用于卫星信道的多层IPSec动态分区表设计方法
【专利摘要】本发明提供一种用于卫星信道的多层IPSec动态分区表设计方法,通过实现动态分区解决卫星信道上数据的固定大小分区与性能增强技术之间的矛盾。该方法让数据的发送端节点可以按照自己的数据应用类型来决定数据的分区大小,发送端可以动态地调整分区大小,而不是一成不变地按照复合型安全关联中固有的分区大小来进行IPSec分段处理。通过实现数据的动态分区,改变现有的通过复合型安全关联中分区表的静态映射方式。该方法大大增强了IPSec端到端安全技术的灵活性。
【专利说明】用于卫星信道的多层IPSec动态分区表设计方法
【技术领域】
[0001]本发明涉及一种用于卫星信道的多层IPSec动态分区表设计方法。
【背景技术】
[0002]安全传输协议对卫星IP网中的数据安全传输具有重要作用,由于卫星链路的特性,一些传统的安全协议需要经过修改才能在链路中发挥作用,而经过修改的安全传输协议与常用的卫星端到端增强技术存在矛盾,导致这些协议无法正常使用。
[0003]IPSec协议是在地面网络中广泛使用的一种端到端安全协议,对于保护网络数据的安全传输起到积极的作用,随着越来越多互联网上主机对IPSec协议的支持,其在卫星IP网络等无线网络中的应用也是必然的趋势。目前,已经有将IPSec协议应用于无线网络的相关应用。但是在实际的应用中,由于卫星网络中采用了 TCP性能增强技术,地面网络中采用的传统IPSec协议以及相关的改进还不能很好地应用在这种网络环境中,因为使用了IPSec协议将会影响TCP性能增强技术的实现。TCP性能增强技术与IPSec的端到端安全技术存在冲突。
[0004]在TCP性能增强技术中,通常需要获知报文段中的TCP协议头部信息的某些字段,如源端口、目的端口、报文序列号和确认序列号等。尤其是在卫星IP网络中,在卫星链路与地面链路的交汇处,网关设备一般采用性能增强代理(PEP),这些设备是发送端和目的端连接的中间节点。PEP设备通过获取TCP报文段中的序列号和确认号等状态信息,来进行TCP欺骗或者重新装载数据使其采用卫星链路的传输协议,进行数据包的重传或者生成ACK信息,从而达到改善TCP性能的目的。如果PEP设备不能读取这些字段信息,将无法正常工作,在某些TCP改进方案中,甚至还需要PEP设备对原数据报文段中的相关字段进行改动,所有这些方案的完整实施,都需要PEP设备能够正确地读取和修改TCP首部信息。
[0005]IPSec协议在网络层实现数据加密和验证,为用户提供端到端的网络安全方案,主要有两种协议,封装安全载荷(ESP)以及验证头(AH)。ESP将整个TCP报文段作为负载进行加密,还可以附有验证信息,这些信息只有在TCP连接的两端能够被识别,其他任何中间节点都无法获知TCP报文的具体内容,包括TCP报头的明文信息。在此情况下,PEP设备由于无法读取TCP报文的首部信息,而不能正常的工作。
[0006]验证头AH保护IP数据包时,虽然不会对TCP数据包进行加密,但会通过附加验证数据的形式对TCP数据的报头和数据部分进行完整性保护,网络中的任何中间节点都无法对TCP报头做任何的改动。当PEP设备需要修改原报文段中TCP首部字段信息来提供性能增强技术时,也将不能正常工作。
[0007]TCP性能增强技术中需要对TCP报文段进行部分访问的特性与IPSec协议只提供端到端机密性和完整性保护的特性相冲突。如果要在采用性能增强技术的卫星IP网络中使用IPSec协议来提供端到端安全服务,需要解决这个矛盾。
[0008]多层IPSec协议在不降低网络安全性的基础上,实现了可信任的中间节点对TCP首部字段的读取和修改,能够较好地解决TCP性能增强技术与IPSec端到端安全技术之间的矛盾。多层IPSec协议是在IPSec协议的基础上对其进行修改和扩展,增加相应的机制来实现的。为性能增强网关提供了可控、有限的访问IP数据包上层协议信息的权限,并且能够较好地保持IPSec的端到端安全特性。
[0009]然而,多层IPSec协议在设计时没有充分考虑数据分区长度需动态调整的问题,而在卫星IP网络环境中,一些技术的应用会导致协议头分区的长度发生变化,迫切需要实现对数据的动态分区。
[0010]多层IPSec分段保护的实现是根据复合型安全关联(CSA)中的区域映射信息来划分每个段的区域的,而CSA在它的生存期内不会改变,区域映射信息也不会改变。这样在一个端到端连接的过程中,每一个IP数据报都是按照最初协定的分段长度来对数据包进行分区,这个功能的实现需要在每次两个端节点开始建立通信连接的时候就获知以后传输的数据包中IP或者TCP首部信息的长度,这在一些常规的应用中,由于其首部信息长度是不会改变的,因而能够方便的使用通用的首部信息长度来确定分区。然而,在这种分段方式下,一旦端节点改变了 TCP或者IP的选项,就会使得分段映射失败,也将会直接影响到多层IPSec实现的有效性。
[0011]在端到端连接中,各种应用数据流经传输层在网络层应用多层IPSec协议,有些应用会添加TCP报头和IP报头的选项字段,这都会使区域范围发生改变,从而导致实际的分区与CSA中的分区不一致。在卫星IP网中,也经常会采用HTTP加速技术来提高Web浏览请求的响应速度。在该技术中,Web页面的链接对象需要被中间节点获知,从而提前从服务器端下载页面对象。这些链接对象的长度根据页面内容的差异而有所不同,没有固定的长度。因此,分区表中对数据的固定大小分区在应用过程中有很大的局限性。
【发明内容】
[0012]本发明的目的是提供一种用于卫星信道的多层IPSec动态分区表设计方法,解决分区表中对数据的固定大小分区在应用过程中存在很大局限性的问题。
[0013]本发明的技术解决方案是:
[0014]一种用于卫星信道的多层IPSec动态分区表设计方法,
[0015]通过增加区域映射信息,改变在CSA中固定分区大小的形式,数据的发送端节点按照自己的数据应用类型来决定数据的分区大小,发送端动态地调整分区大小,来进行IPSec分段处理。
[0016]改变在CSA中固定分区大小的形式,让数据的发送端节点有权按照自己的数据应用类型来决定数据的分区大小,而不是由CSA确定,发送端可以动态的调整分区大小,而不是一成不变地按照CSA中固有的分区大小来进行IPSec分段处理。通过实现数据的动态分区,改变现有的通过CSA中分区表的静态映射方式。
[0017]进一步地,在AH和ESP协议头部增加区域映射信息,在每次发送IPSec数据时,由端节点在进行IPSec处理时根据头部信息长度的不同自行决定每个数据分区的大小。
[0018]进一步地,区域映射信息包括区域映射值、区域数量和区域长度;区域映射信息加在AH和ESP协议的头部信息末尾,作为新增加的ESP首部字节。
[0019]进一步地,区域映射信息由第一个分区SA内的安全参数处理,区域映射信息不加密,只对其进行完整性认证,认证信息加在每个分区段区域映射信息和加密数据之后,以及时发现数据包的完整性错误。
[0020]进一步地,修改后的AH和ESP协议头中的区域映射信息,由节点在处理时根据需要动态地修改,加入的认证数据字段可以防止区域映射信息未经授权的修改进而影响协议的后续处理过程;
[0021]在后续发送的数据报中如果区域映射信息保持不变,则默认和之前一个数据报的分区信息一致,以避免每次都计算新的分区信息,减少在分区范围不经常改变的通信连接中的处理时延;在后续发送的数据报中如果区域映射信息发生改变,则重新计算新的分区表。
[0022]进一步地,节点处理完一个分区的加密信息后,立即校验跟在加密信息末尾的完整性校验信息,当校验结果出现错误时,丢弃收到的数据包,提高数据处理的效率。
[0023]进一步地,终端节点接收数据的处理过程:
[0024]接收数据包后,从数据包中提取CSA,查找CSA,查找CSA不成功时丢弃数据包;
[0025]查找CSA成功后判断节点属性是中间节点或端节点;对中间节点,从ESP协议头读取区域映射信息,协议头部分分区解密、完整性认证;对端节点,从ESP协议头读取映射信息,全部数据分区解密、完整性认证;
[0026]通过CSA查找安全策略,验证处理是否符合策略要求,在通过策略验证后,向上提交数据包或转发数据包;在未通过策略验证时,丢弃数据包。
[0027]进一步地,终端节点发送数据的处理过程:
[0028]根据安全策略确定提供的保护类型和方式,在确定绕过IPSec时,直接发送数据包;确定应用IPSec时,查找CSA ;
[0029]查找CSA不成功时,协商CSA ;查找CSA成功后判断节点属性是中间节点或端节点,对中间节点的协议头部分分区加密、认证,对端节点的全部数据分段加密和认证;
[0030]然后,根据头部信息长度决定每个分区的大小,填写ESP头部区域映射信息后,发送数据包。
[0031]本发明的有益效果是:该种用于卫星信道的多层IPSec动态分区表设计方法,通过实现动态分区,解决卫星信道上数据的固定大小分区与性能增强技术之间的矛盾。该方法让数据的发送端节点有权按照自己的数据应用类型来决定数据的分区大小,发送端可以动态的调整分区大小,而不是一成不变地按照CSA中固有的分区大小来进行IPSec分段处理。通过实现数据的动态分区,改变现有的通过CSA中分区表的静态映射方式。这种方法能够较好地解决TCP性能增强技术与IPSec端到端安全技术之间的矛盾。
【专利附图】
【附图说明】
[0032]图1是实施例中ESP头部加入区域映射信息的说明示意图;
[0033]图2是实施例中AH头部加入区域映射信息的说明示意图;
[0034]图3是实施例中ESP协议认证数据字段的说明示意图;
[0035]图4是实施例终端节点接收数据的处理过程示意图;
[0036]图5是实施例终端节点发送数据的处理过程示意图。
【具体实施方式】
[0037]下面结合附图详细说明本发明的优选实施例。
[0038]实施例提供一种用于卫星信道的多层IPSec动态分区表设计方法,通过实现动态分区解决卫星信道上数据的固定大小分区与性能增强技术之间的矛盾。
[0039]该方法通过增加区域映射信息,改变在CSA中固定分区大小的形式,让数据的发送端节点按照自己的数据应用类型来决定数据的分区大小,发送端可以动态的调整分区大小,以此来进行IPSec分段处理。通过实现数据的动态分区,改变现有的通过CSA中分区表的静态映射方式,实现灵活的动态分区。
[0040]在AH和ESP协议头部增加区域映射信息,在每次发送IPSec数据时,由端节点在进行IPSec处理时根据头部信息长度的不同自行决定每个数据分区的大小,端节点对动态分区的处理流程如图4、5所示。
[0041 ] 区域映射信息长度为4字节,包括区域映射值(O或I)、区域数量和区域长度,如图1、图2所示。每个分区的区域映射信息统一加在AH和ESP协议的头部信息末尾,作为新增加的ESP首部字节。该区域映射信息由第一个分区SA内的安全参数处理,区域映射信息不加密,只对其进行完整性认证,用HMAC-MD5-32认证算法产生4字节的ICV,并直接在区域映射信息后附上验证信息,经过修改后的IPSec协议头比修改前增加8字节的区域映射和验证信息,如图3。
[0042]认证信息加在每个分区段区域映射信息和加密数据之后,以及时发现数据包的完整性错误。修改后的协议头中的区域映射信息,可以由节点在处理时根据需要动态地修改,加入的认证数据字段可以防止区域映射信息未经授权的修改进而影响协议的后续处理过程。
[0043]在后续发送的数据包如果区域映射信息保持不变,则将区域映射值字段置为0,默认和之前一个数据报的分区信息一致,以避免每次都计算新的分区信息,减少在分区范围不经常改变的通信连接中的处理时延。当区域映射值字段不为O时,则重新计算新的分区表。
[0044]节点处理完一个分区的加密信息后,立即校验跟在加密信息末尾的完整性校验信息,当校验结果出现错误时,丢弃收到的数据包,提高数据处理的效率。每个分区验证信息的验证范围和原多层IPSec中的要求一致,只对数据分区I的验证范围做改变,其验证范围不再包括SPI和序列号字段,这些字段由区域映射表认证数据对其进行认证。区域映射表的验证信息是每次验证的第一条信息。
[0045]端节点发送IPSec数据时,根据头部信息长度的不同自行决定每个数据分区的大小;接收数据时,端节点根据区域映射表信息对数据分区进行处理,中间节点则根据授权情况对部分分区进行加密和认证处理。协议对动态分区的处理流程如图4、5所示。
[0046]终端节点接收数据的处理过程,如图4:接收数据包后,从数据包中提取CSA,查找CSA,查找CSA不成功时丢弃数据包;
[0047]查找CSA成功后判断节点属性是中间节点或端节点;对中间节点,从ESP协议头读取区域映射信息,协议头部分分区解密、完整性认证;对端节点,从ESP协议头读取映射信息,全部数据分区解密、完整性认证;
[0048]通过CSA查找安全策略,验证处理是否符合策略要求,在通过策略验证后,向上提交数据包或转发数据包;在未通过策略验证时,丢弃数据包。
[0049]终端节点发送数据的处理过程,如图5:根据安全策略确定提供的保护类型和方式,在确定绕过IPSec时,直接发送数据包;确定应用IPSec时,查找CSA ;
[0050]查找CSA不成功时,协商CSA ;查找CSA成功后判断节点属性是中间节点或端节点,对中间节点的协议头部分分区加密、认证,对端节点的全部数据分段加密和认证;
[0051]然后,根据头部信息长度决定每个分区的大小,填写ESP头部区域映射信息后,发送数据包。
【权利要求】
1.一种用于卫星信道的多层IPSec动态分区表设计方法,其特征在于: 通过增加区域映射信息,改变在复合型安全关联(CSA)中固定分区大小的形式,数据的发送端节点按照自己的数据应用类型来决定数据的分区大小,发送端动态地调整分区大小,来进行IPSec分段处理。
2.如权利要求1所述的用于卫星信道的多层IPSec动态分区表设计方法,其特征在于:在验证头(AH)和安全载荷(ESP)协议头部增加区域映射信息,在每次发送IPSec数据时,由端节点在进行IPSec处理时根据头部信息长度的不同自行决定每个数据分区的大小。
3.如权利要求2所述的用于卫星信道的多层IPSec动态分区表设计方法,其特征在于:区域映射信息包括区域映射值、区域数量和区域长度;区域映射信息加在AH和ESP协议的头部信息末尾,作为新增加的ESP首部字节。
4.如权利要求3所述的用于卫星信道的多层IPSec动态分区表设计方法,其特征在于:区域映射信息由第一个分区安全关联(SA)内的安全参数处理,区域映射信息不加密,只对其进行完整性认证,认证信息加在每个分区段区域映射信息和加密数据之后。
5.如权利要求4所述的用于卫星信道的多层IPSec动态分区表设计方法,其特征在于:修改后的AH和ESP协议头中的区域映射信息,由节点在处理时根据需要动态地修改; 在后续发送的数据报中如果区域映射信息保持不变,则默认和之前一个数据报的分区信息一致;在后续发送的数据报中如果区域映射信息发生改变,则重新计算新的分区表。
6.如权利要求5所述的用于卫星信道的多层IPSec动态分区表设计方法,其特征在于:节点处理完一个分区的加密信息后,立即校验跟在加密信息末尾的完整性校验信息,当校验结果出现错误时,丢弃收到的数据包。
7.如权利要求1-6任一项所述的用于卫星信道的多层IPSec动态分区表设计方法,其特征在于,终端节点接收数据的处理过程: 接收数据包后,从数据包中提取CSA,查找CSA,查找CSA不成功时丢弃数据包; 查找CSA成功后判断节点属性是中间节点或端节点;对中间节点,从ESP协议头读取区域映射信息,协议头部分分区解密、完整性认证;对端节点,从ESP协议头读取映射信息,全部数据分区解密、完整性认证; 通过CSA查找安全策略,验证处理是否符合策略要求,在通过策略验证后,向上提交数据包或转发数据包;在未通过策略验证时,丢弃数据包。
8.如权利要求7所述的用于卫星信道的多层IPSec动态分区表设计方法,其特征在于,终端节点发送数据的处理过程: 根据安全策略确定提供的保护类型和方式,在确定绕过IPSec时,直接发送数据包;确定应用IPSec时,查找CSA ; 查找CSA不成功时,协商CSA ;查找CSA成功后判断节点属性是中间节点或端节点,对中间节点的协议头部分分区加密、认证,对端节点的全部数据分段加密和认证; 然后,根据头部信息长度决定每个分区的大小,填写ESP头部区域映射信息后,发送数据包。
【文档编号】H04L1/00GK104202311SQ201410410251
【公开日】2014年12月10日 申请日期:2014年8月19日 优先权日:2014年8月19日
【发明者】续欣, 汤凯, 穆旭成, 史春丽, 杨扬, 陈国友 申请人:中国人民解放军理工大学