专利名称:基于IPSec协议的无线IP网络可变区域通信方法
技术领域:
本发明涉及到一种无线IP网络的通信方法,具体涉及到基于IPSec协议 在无线IP网络通信中的应用方法。
背景技术:
无线网络链路具有传播延时长、带宽延迟积大、链路误码率较高、上下 行带宽不对称等特性,这在静止轨道卫星接入Internet方面显得尤为突出。这些特性导致了在地面Internet得到广泛使用且能保障端对端可靠传输 的TCP协议在应用于无线网络时会产生严重的性能恶化。具体体现在TCP 差错控制机制功能薄弱,TCP协议无法区分网络拥塞造成的数据包丢失和误 码造成的数据包丢失之间的不同,只能毫无区别地采用减小拥塞窗口尺寸的 方法进行处理,从而严重影响了网络吞吐率;传播延时长的特性致使获取TCP 确认信息和慢启动缓慢。在改善无线IP网络TCP性能的各种方案中,TCP欺骗代理是一种相对 有效且应用广泛的解决方法。欺骗代理需要检测传输经过的每个数据包TCP 报头,并对数据包进行缓存。它在不需要了解TCP接收方是否收到数据,且 不需要等待接收方ACK (确认信号)的情况下,提前对TCP发送方发出与 接收方完全相同的ACK信息,縮短了RTT(往返时间),加快了慢启动速度。 当接收方真正的ACK到来时,欺骗代理将中止真正的ACK,并将缓存中的 数据包清除;若数据包在向接收方传输的过程中丢失,欺骗代理将从缓存中 将数据包提取出来重新对接收方发送。无线网络中也应用HTTP (超文本传 输协议)加速代理来加快Web浏览请求的响应速度。IPSec (IP层安全协议)是为Internet通信提供安全服务的一组标准协议, 它以端到端方式为整个IP数据包提供有力的安全保护。随着IPSec的发展, Internet网络中出现了越来越多的IPSec服务和支持IPSec的服务器。IPSec 为未来的全IP无线网络提供保障网络层安全的手段。然而,在网络层保障端 对端安全的IPSec与提出的TCP性能增强代理技术和HTTP加速代理技术相 互冲突。对于应用TCP欺骗代理的无线网络,在IPSec传输模式下,欺骗代理无法访问经过加密的TCP报头端口信息和序列号信息;在IPSec隧道模式 下,欺骗代理甚至连原始IP地址也无法访问。因此,TCP欺骗代理在IPSec 端到端的保护下丧失了执行性能增强功能。对于HTTP加速功能,应用层数 据被端到端加密,HTTP加速代理无法检索链接对象地址,加速功能也无法 实现。为了解决这一问题,传统方法包含了使用传输层安全机制替代IPSec、 网络层IPSec套嵌传输层安全机制和使用传输层友好的ESP (封装安全载荷) 协议。这些方法不是限制了安全协议的保护范围,就是安全协议的实现过于 复杂,难以实际应用。目前,还缺乏性能增强技术与网络层安全协议矛盾的 根本性解决方法。
发明内容
本发明的目的在于解决现有无线通信方法中的性能增强技术与网络层安 全协议之间存在矛盾、互不兼容的问题,而提供一种基于IPSec协议的无线 IP网络可变区域通信方法。基于IPSec协议的无线IP网络可变区域通信方法是将待发送的IP数据包根据IPSec协议的规则划分成多个区域生成IPSec 数据包,所述多个区域的区域映射均封装在ESP报头中,所述多个区域中分 别设定有不同等级的安全关联信息;每个加密区域的区域映射信息中包括IP 数据包的区域数量、区域编号和所映射区域长度的信息;数据的发送端点和接收端点中包含每个IPSec数据包中的所有区域的安 全关联信息,能够解读IPSec数据包中的所有数据信息;传递数据路径中的普通中间节点不包含IPSec数据包中的任何安全关联 信息,只能解读IPSec数据包的报头以及明文部分数据;传递数据路径中的经认证的性能增强中间节点中只包含有安全策略允许 的部分区域的安全关联信息,能够解读IPSec数据包中的部分加密数据。本发明的区域映射不在安全关联信息中被定义,而是在封装ESP报头中 定义,并跟随数据包进行传输。在发送方与接收方信息流传输的过程中,根 据数据包信息的变化和安全级别对区域个数和每个区域的范围进行调整,使 可变区域的IPSec数据包实现了灵活的动态区域。传输的每个数据包的区域映射都可以不同,收发两端包含所有区域的安全关联信息,普通节点中没有 数据包中的任何安全关联信息,而经认证的性能增强中间节点只包含安全策 略允许的对无线网络性能增强有意义的部分区域安全关联信息,实现性能增 强的功能。本发明能够在利用IPSec保障端对端安全的同时,还达到TCP性能增强 与HTTP传输加速的目的。
图1是具体实施方式
二所述的传输模型图;图2是具体实施方式
二所述 可变区域IPSec数据包的ESP报头结构示意图;图3是具体实施方式
三所述 的复合型安全关联构造示意图;图具体实施方式
二所述的发送终端对IP数 据包的输出处理流程图;图具体实施方式
二所述的接收终端对可变区域 IPSec数据包的输入处理流程图;图具体实施方式
二所述的性能增强节点 对可变区域IPSec数据包的处理流程图。
具体实施方式
具体实施方式
一本实施方式所述的基于IPSec协议的无线IP网络可变区域通信方法是将待发送的IP数据包根据IPSec协议的规则划分成多个区域生成IPSec 数据包,所述多个区域的区域映射均封装在ESP报头中,所述多个区域中分 别设定有不同等级的安全关联信息;每个加密区域的区域映射信息中包括IP数据包的区域数量、区域编号和所映射区域长度的信息;数据的发送端点和接收端点中包含每个IPSec数据包中的所有区域的安 全关联信息,能够解读IPSec数据包中的所有数据信息;传递数据路径中的普通中间节点不包含IPSec数据包中的任何安全关联 信息,只能解读IPSec数据包的报头以及明文部分数据;传递数据路径中的经认证的性能增强中间节点中只包含有安全策略允许 的部分区域的安全关联信息,能够解读IPSec数据包中的部分加密数据。
具体实施方式
二本实施方式与具体实施方式
一所述的基于IPSec协议 的无线IP网络可变区域通信方法的区别在于,将待发送的IP数据包根据 IPSec协议的规则划分成两个区。设定应用层为HTTP协议,包含HTML (超文本标记语言)描述的Web 页面信息,则本实施方式所述的传输模型图参见图1,该模型由IP数据包发 送终端l,两个不被信任的中间节点2、 4,经认证授权的性能增强网关3和 接收终端5组成。在这个传输模式模型中,待发送的IP数据包划分为两个区 域,区域一包含了 TCP报头和长度可变的HTML对象链接,区域一安全关 联信息信息被发送终端1、经认证授权的性能增强网关3和接收终端5三方 共享;区域二包含的是HTML基本页面源代码,区域二安全关联信息信息只 有发送终端1和接收终端5两端共享。在发送终端1,将两个安全关联信息 加入到IP数据包中,形成带有两个区域的IPSec数据包,不被信任的普通中 间节点2、 4只能读取到IPSec数据包中没有被加密的IP报头和IPSec报头 部分的信息。经认证授权的性能增强网关3有IPSec数据包中区域一安全关 联信息信息,所以还能够解读TCP报头和可变长的HTML目标链接信息; 接收终端5有与发送终端1相同的安全关联信息,能够将IPSec数据包解密 之后获得发送终端发送的IP数据包的信息。本实施方式的基于IPSec协议的无线IP网络可变区域通信方法通过为IP 数据包提供有效的分层访问控制,实现了性能增强网关的功能,而且这种方 式能够被安全策略所接受。'本实施方式所述的IPSec数据包的ESP报头的结构参见图2所示,ESP 报头由安全参数索引6、序列号7、区域一映射信息8、区域一加密载荷数据 9、区域一填充IO、区域二映射信息ll、区域二加密载荷数据12、区域二填 充13、区域一的完整性校验数据14和区域二的完整性校验数据15组成。在 IPSec标准协议中,区域映射信息是在安全关联信息SA中定义的,为了使区 域动态可变,本实施方式所述的区域映射信息封装在ESP报头中,即在每个 加密区域前添加了 4个字节的区域映射信息,这4个字节包含了 IP数据包的 区域数量(占1个字节)、区域编号(占1个字节)和每个区域的长度(占2 个字节,长度数按字节计数)。采用本实施方式所述的基于IPSec协议的无线IP网络可变区域通信方法 进行数据传送,发送终端1对IP数据包的处理过程参见图4,具体为根据动态区域映射信息33对输出IP数据包18进行区域映射处理,将输出IP数据包18划分成区域一明文20和区域二明文21;分别根据区域一安全关联信息24、区域二安全关联信息25的加密算法 及相关密钥对区域一明文20、区域二明文21进行加密,分别生成区域一密 文26和区域二密文27;分别根据区域一安全关联信息24、区域二安全关联信息25的完整性验 证算法及相关密钥对区域一密文26和区域二密文27进行完整性验证,获得 区域一完整性校验值30和区域二完整性校验值31;将区域一完整性校验值30和区域二完整性校验值31合并成ESP完整性 验证信息32;根据动态区域映射信息33获得区域一和区域二的信息结合后的两区域 ESP负载数据和完整性校验信息拼装后的IPSec数据包34。本实施方式中,接收终端5的数据处理过程参见图5,具体为从接收到的可变区域IPSec数据包34的区域一映射信息与区域二映射信 息中提取出数据包的动态区域映射信息33;分别根据区域一安全关联信息24和区域二安全关联信息25中的完整性 验证算法和相关密钥对区域一密文26和区域二密文27进行完整性校验,将 得到的两个完整性校验值分别与接收到的IPSec数据包34末尾处携带的完整 性校验信息中的区域一完整性校验值30和区域二完整性校验值31进行比较, 如果不相同,则完整性校验失败,丢弃此数据包;否则,分别根据区域一安 全关联信息24和区域二安全关联信息25中的加密算法和相关密钥对区域一 密文26与区域二密文27进行解密,获得区域一明文20和区域二明文21;根据动态区域映射信息33对区域一明文20和区域二明文21进行区域映 射处理,最终得到IP数据18。在本实施方式中,假定用于性能增强的数据存在于区域一中,性能增强 网关3接收到的可变区域IPSec数据包34后对数据的处理过程参见图6,具 体为根据提取出动态区域映射信息33,分离出区域一密文26和区域一完整 性验证信息30,根据性能增强网关的安全关联信息24中的完整性校验算法 与相关密钥对区域一密文26进行完整性校验获得完整性校验值,比较所述完整性校验值和从可变区域IPSec数据包34中分离出的区域一完整性校验值 30,如果不同,则校验失败,丢弃此数据包;否则,根据性能增强网关的安 全关联信息24中的加密算法和相关密钥对区域一密文26进行解密,获得区 域一明文20,并根据所述区域一明文20进行性能增强功能的实现。
具体实施方式
三本实施方式与具体实施方式
一或二所述的基于IPSec 协议的无线IP网络可变区域通信方法的区别在于,所述安全关联信息是区域 复合安全关联信息CSA,所述区域复合安全关联信息CSA是将原有多个区 域安全关联信息中相同的信息放到一起作为区域复合安全关联信息的公用参 数,而将多个区域安全关联信息中不相同的信息作为区域安全关联信息的私 有参数,其中所述公用参数可以包括序列号计数器、序列号溢出计数器、协 议模式、抗重播攻击窗口等信息。本实施方式采用了区域复合安全关联信息CSA,每个IP数据包的区域 数量可以与收发节点的符合安全关联信息CSA中的安全关联信息SA数量不 一致,因为区域复合安全关联CSA建立之后,对某些突发的保密级别高的数 据,安全策略宁愿牺牲网络传输性能,也不允许任何中间节点对IP包的局部 区域进行访问,在这种情况下,可变区域IPSec可以灵活地改变区域数量, 利用区域编号对复合安全关联信息CSA中所需的安全关联信息SA进行索 引。在一些极端的情况,可变区域IPSec甚至可以平滑地转换为传统的单一 区域的IPSec来保证网络层安全性。值得注意的是,区域编号必须与CSA的 区域列表编号严格匹配,并起到索引作用。区域映射信息在IP数据包传输的 任何阶段都是以明文形式存在,必须参与区域的完整性校验。可变区域IPSec复合型安全关联中去除了区域映射的信息,并将安全关 联参数划分为共用参数与区域安全关联私有参数两类。这种划分使序列号计 数器、序列号溢出计数器等共用参数不被某一特定区域独有,而是被各个区 域共同拥有。根据安全级别的需要,选择复合安全关联信息CSA中一种区域 的参数就可以实现原始IPSec,可变区域IPSec以这种方式具备了动态兼容 IPSec的能力。在IPSec中,接收终端需要用SPI、目的地址和协议三者组成 的字元组来从安全关联数据库SADB中唯一地标识出SA。而在可变区域 IPSec中,在上述提到的字元组确定出SA之后,需要进一步利用区域编号来对区域进行索引。当区域数为两个,并且性能增强节点中包含区域一安全关联信息信息时,在发送终端和接收终端,区域复合安全关联信息的结构参见图3中左侧一列 所示,区域复合安全关联信息包括区域列表、公用部分、区域一安全关联信 息和区域二安全关联信息,在数据传输路径中的性能增强节点读取的安全关 联信息参见图3中的右侧一列所示,包括区域列表、公用部分和区域一安全 关联信息组合后的安全关联信息。对于性能增强网关的CSA,如图3所示,仅仅划分了一个区域,用来实 现欺骗性能增强和HTTP加速的功能,对应的安全关联是SA1。 SA1的完整 性验证算法采用了 4字节摘要的加密杂凑算法HMAC-MD5-32,目的在于减 小开销。在更注重安全性的场合,应当应用标准HMAC-MD5-96。
权利要求
1、基于IPSec协议的无线IP网络可变区域通信方法,其特征在于它的具体过程是将待发送的IP数据包根据IPSec协议的规则划分成多个区域生成IPSec数据包,所述多个区域的区域映射均封装在ESP报头中,所述多个区域中分别设定有不同等级的安全关联信息;每个加密区域的区域映射信息中包括IP数据包的区域数量、区域编号和所映射区域长度的信息;数据的发送端点和接收端点中包含每个IPSec数据包中的所有区域的安全关联信息,能够解读IPSec数据包中的所有数据信息;传递数据路径中的普通中间节点不包含IPSec数据包中的任何安全关联信息,只能解读IPSec数据包的报头以及明文部分数据;传递数据路径中的经认证的性能增强中间节点中只包含有安全策略允许的部分区域的安全关联信息,能够解读IPSec数据包中的部分加密数据。
2、 根据权利要求1所述的基于IPSec协议的无线IP网络可变区域通信方 法,其特征在于所述安全关联信息是复合安全关联信息。
全文摘要
基于IPSec协议的无线IP网络可变区域通信方法,它涉及到一种无线IP网络的通信方法。它解决了现有无线通信方法中的性能增强技术与网络层安全协议之间存在矛盾、互不兼容的问题。它将待发送的IP数据包根据IPSec协议的规则划分成多个区域生成IPSec数据包,所述多个区域的区域映射均封装在ESP报头中,多个区域中分别设定有不同等级的安全关联信息;发送终端和接收终端包含所有区域的安全关联信息,传递数据路径中经认证的性能增强中间节点中只包含有安全策略允许的部分区域的安全关联信息。本发明的方法能够保证网络层端到端安全,还支持传输层TCP增强网关以及应用层HTTP加速代理的安全协议,它能够应用到卫星IP网络通信和地面无线类似信道条件环境中。
文档编号H04L12/56GK101232519SQ20081006402
公开日2008年7月30日 申请日期2008年2月22日 优先权日2008年2月22日
发明者庆 郭, 顾学迈, 展 黄 申请人:哈尔滨工业大学