亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

基于IPSec協(xié)議的無線IP網(wǎng)絡(luò)可變區(qū)域通信方法

文檔序號:7687637閱讀:198來源:國知局
專利名稱:基于IPSec協(xié)議的無線IP網(wǎng)絡(luò)可變區(qū)域通信方法
技術(shù)領(lǐng)域
本發(fā)明涉及到一種無線IP網(wǎng)絡(luò)的通信方法,具體涉及到基于IPSec協(xié)議 在無線IP網(wǎng)絡(luò)通信中的應(yīng)用方法。
背景技術(shù)
無線網(wǎng)絡(luò)鏈路具有傳播延時長、帶寬延遲積大、鏈路誤碼率較高、上下 行帶寬不對稱等特性,這在靜止軌道衛(wèi)星接入Internet方面顯得尤為突出。這些特性導(dǎo)致了在地面Internet得到廣泛使用且能保障端對端可靠傳輸 的TCP協(xié)議在應(yīng)用于無線網(wǎng)絡(luò)時會產(chǎn)生嚴(yán)重的性能惡化。具體體現(xiàn)在TCP 差錯控制機(jī)制功能薄弱,TCP協(xié)議無法區(qū)分網(wǎng)絡(luò)擁塞造成的數(shù)據(jù)包丟失和誤 碼造成的數(shù)據(jù)包丟失之間的不同,只能毫無區(qū)別地采用減小擁塞窗口尺寸的 方法進(jìn)行處理,從而嚴(yán)重影響了網(wǎng)絡(luò)吞吐率;傳播延時長的特性致使獲取TCP 確認(rèn)信息和慢啟動緩慢。在改善無線IP網(wǎng)絡(luò)TCP性能的各種方案中,TCP欺騙代理是一種相對 有效且應(yīng)用廣泛的解決方法。欺騙代理需要檢測傳輸經(jīng)過的每個數(shù)據(jù)包TCP 報頭,并對數(shù)據(jù)包進(jìn)行緩存。它在不需要了解TCP接收方是否收到數(shù)據(jù),且 不需要等待接收方ACK (確認(rèn)信號)的情況下,提前對TCP發(fā)送方發(fā)出與 接收方完全相同的ACK信息,縮短了RTT(往返時間),加快了慢啟動速度。 當(dāng)接收方真正的ACK到來時,欺騙代理將中止真正的ACK,并將緩存中的 數(shù)據(jù)包清除;若數(shù)據(jù)包在向接收方傳輸?shù)倪^程中丟失,欺騙代理將從緩存中 將數(shù)據(jù)包提取出來重新對接收方發(fā)送。無線網(wǎng)絡(luò)中也應(yīng)用HTTP (超文本傳 輸協(xié)議)加速代理來加快Web瀏覽請求的響應(yīng)速度。IPSec (IP層安全協(xié)議)是為Internet通信提供安全服務(wù)的一組標(biāo)準(zhǔn)協(xié)議, 它以端到端方式為整個IP數(shù)據(jù)包提供有力的安全保護(hù)。隨著IPSec的發(fā)展, Internet網(wǎng)絡(luò)中出現(xiàn)了越來越多的IPSec服務(wù)和支持IPSec的服務(wù)器。IPSec 為未來的全I(xiàn)P無線網(wǎng)絡(luò)提供保障網(wǎng)絡(luò)層安全的手段。然而,在網(wǎng)絡(luò)層保障端 對端安全的IPSec與提出的TCP性能增強(qiáng)代理技術(shù)和HTTP加速代理技術(shù)相 互沖突。對于應(yīng)用TCP欺騙代理的無線網(wǎng)絡(luò),在IPSec傳輸模式下,欺騙代理無法訪問經(jīng)過加密的TCP報頭端口信息和序列號信息;在IPSec隧道模式 下,欺騙代理甚至連原始IP地址也無法訪問。因此,TCP欺騙代理在IPSec 端到端的保護(hù)下喪失了執(zhí)行性能增強(qiáng)功能。對于HTTP加速功能,應(yīng)用層數(shù) 據(jù)被端到端加密,HTTP加速代理無法檢索鏈接對象地址,加速功能也無法 實(shí)現(xiàn)。為了解決這一問題,傳統(tǒng)方法包含了使用傳輸層安全機(jī)制替代IPSec、 網(wǎng)絡(luò)層IPSec套嵌傳輸層安全機(jī)制和使用傳輸層友好的ESP (封裝安全載荷) 協(xié)議。這些方法不是限制了安全協(xié)議的保護(hù)范圍,就是安全協(xié)議的實(shí)現(xiàn)過于 復(fù)雜,難以實(shí)際應(yīng)用。目前,還缺乏性能增強(qiáng)技術(shù)與網(wǎng)絡(luò)層安全協(xié)議矛盾的 根本性解決方法。

發(fā)明內(nèi)容
本發(fā)明的目的在于解決現(xiàn)有無線通信方法中的性能增強(qiáng)技術(shù)與網(wǎng)絡(luò)層安 全協(xié)議之間存在矛盾、互不兼容的問題,而提供一種基于IPSec協(xié)議的無線 IP網(wǎng)絡(luò)可變區(qū)域通信方法?;贗PSec協(xié)議的無線IP網(wǎng)絡(luò)可變區(qū)域通信方法是將待發(fā)送的IP數(shù)據(jù)包根據(jù)IPSec協(xié)議的規(guī)則劃分成多個區(qū)域生成IPSec 數(shù)據(jù)包,所述多個區(qū)域的區(qū)域映射均封裝在ESP報頭中,所述多個區(qū)域中分 別設(shè)定有不同等級的安全關(guān)聯(lián)信息;每個加密區(qū)域的區(qū)域映射信息中包括IP 數(shù)據(jù)包的區(qū)域數(shù)量、區(qū)域編號和所映射區(qū)域長度的信息;數(shù)據(jù)的發(fā)送端點(diǎn)和接收端點(diǎn)中包含每個IPSec數(shù)據(jù)包中的所有區(qū)域的安 全關(guān)聯(lián)信息,能夠解讀IPSec數(shù)據(jù)包中的所有數(shù)據(jù)信息;傳遞數(shù)據(jù)路徑中的普通中間節(jié)點(diǎn)不包含IPSec數(shù)據(jù)包中的任何安全關(guān)聯(lián) 信息,只能解讀IPSec數(shù)據(jù)包的報頭以及明文部分?jǐn)?shù)據(jù);傳遞數(shù)據(jù)路徑中的經(jīng)認(rèn)證的性能增強(qiáng)中間節(jié)點(diǎn)中只包含有安全策略允許 的部分區(qū)域的安全關(guān)聯(lián)信息,能夠解讀IPSec數(shù)據(jù)包中的部分加密數(shù)據(jù)。本發(fā)明的區(qū)域映射不在安全關(guān)聯(lián)信息中被定義,而是在封裝ESP報頭中 定義,并跟隨數(shù)據(jù)包進(jìn)行傳輸。在發(fā)送方與接收方信息流傳輸?shù)倪^程中,根 據(jù)數(shù)據(jù)包信息的變化和安全級別對區(qū)域個數(shù)和每個區(qū)域的范圍進(jìn)行調(diào)整,使 可變區(qū)域的IPSec數(shù)據(jù)包實(shí)現(xiàn)了靈活的動態(tài)區(qū)域。傳輸?shù)拿總€數(shù)據(jù)包的區(qū)域映射都可以不同,收發(fā)兩端包含所有區(qū)域的安全關(guān)聯(lián)信息,普通節(jié)點(diǎn)中沒有 數(shù)據(jù)包中的任何安全關(guān)聯(lián)信息,而經(jīng)認(rèn)證的性能增強(qiáng)中間節(jié)點(diǎn)只包含安全策 略允許的對無線網(wǎng)絡(luò)性能增強(qiáng)有意義的部分區(qū)域安全關(guān)聯(lián)信息,實(shí)現(xiàn)性能增 強(qiáng)的功能。本發(fā)明能夠在利用IPSec保障端對端安全的同時,還達(dá)到TCP性能增強(qiáng) 與HTTP傳輸加速的目的。


圖1是具體實(shí)施方式
二所述的傳輸模型圖;圖2是具體實(shí)施方式
二所述 可變區(qū)域IPSec數(shù)據(jù)包的ESP報頭結(jié)構(gòu)示意圖;圖3是具體實(shí)施方式
三所述 的復(fù)合型安全關(guān)聯(lián)構(gòu)造示意圖;圖具體實(shí)施方式
二所述的發(fā)送終端對IP數(shù) 據(jù)包的輸出處理流程圖;圖具體實(shí)施方式
二所述的接收終端對可變區(qū)域 IPSec數(shù)據(jù)包的輸入處理流程圖;圖具體實(shí)施方式
二所述的性能增強(qiáng)節(jié)點(diǎn) 對可變區(qū)域IPSec數(shù)據(jù)包的處理流程圖。
具體實(shí)施方式
具體實(shí)施方式
一本實(shí)施方式所述的基于IPSec協(xié)議的無線IP網(wǎng)絡(luò)可變區(qū)域通信方法是將待發(fā)送的IP數(shù)據(jù)包根據(jù)IPSec協(xié)議的規(guī)則劃分成多個區(qū)域生成IPSec 數(shù)據(jù)包,所述多個區(qū)域的區(qū)域映射均封裝在ESP報頭中,所述多個區(qū)域中分 別設(shè)定有不同等級的安全關(guān)聯(lián)信息;每個加密區(qū)域的區(qū)域映射信息中包括IP數(shù)據(jù)包的區(qū)域數(shù)量、區(qū)域編號和所映射區(qū)域長度的信息;數(shù)據(jù)的發(fā)送端點(diǎn)和接收端點(diǎn)中包含每個IPSec數(shù)據(jù)包中的所有區(qū)域的安 全關(guān)聯(lián)信息,能夠解讀IPSec數(shù)據(jù)包中的所有數(shù)據(jù)信息;傳遞數(shù)據(jù)路徑中的普通中間節(jié)點(diǎn)不包含IPSec數(shù)據(jù)包中的任何安全關(guān)聯(lián) 信息,只能解讀IPSec數(shù)據(jù)包的報頭以及明文部分?jǐn)?shù)據(jù);傳遞數(shù)據(jù)路徑中的經(jīng)認(rèn)證的性能增強(qiáng)中間節(jié)點(diǎn)中只包含有安全策略允許 的部分區(qū)域的安全關(guān)聯(lián)信息,能夠解讀IPSec數(shù)據(jù)包中的部分加密數(shù)據(jù)。
具體實(shí)施方式
二本實(shí)施方式與具體實(shí)施方式
一所述的基于IPSec協(xié)議 的無線IP網(wǎng)絡(luò)可變區(qū)域通信方法的區(qū)別在于,將待發(fā)送的IP數(shù)據(jù)包根據(jù) IPSec協(xié)議的規(guī)則劃分成兩個區(qū)。設(shè)定應(yīng)用層為HTTP協(xié)議,包含HTML (超文本標(biāo)記語言)描述的Web 頁面信息,則本實(shí)施方式所述的傳輸模型圖參見圖1,該模型由IP數(shù)據(jù)包發(fā) 送終端l,兩個不被信任的中間節(jié)點(diǎn)2、 4,經(jīng)認(rèn)證授權(quán)的性能增強(qiáng)網(wǎng)關(guān)3和 接收終端5組成。在這個傳輸模式模型中,待發(fā)送的IP數(shù)據(jù)包劃分為兩個區(qū) 域,區(qū)域一包含了 TCP報頭和長度可變的HTML對象鏈接,區(qū)域一安全關(guān) 聯(lián)信息信息被發(fā)送終端1、經(jīng)認(rèn)證授權(quán)的性能增強(qiáng)網(wǎng)關(guān)3和接收終端5三方 共享;區(qū)域二包含的是HTML基本頁面源代碼,區(qū)域二安全關(guān)聯(lián)信息信息只 有發(fā)送終端1和接收終端5兩端共享。在發(fā)送終端1,將兩個安全關(guān)聯(lián)信息 加入到IP數(shù)據(jù)包中,形成帶有兩個區(qū)域的IPSec數(shù)據(jù)包,不被信任的普通中 間節(jié)點(diǎn)2、 4只能讀取到IPSec數(shù)據(jù)包中沒有被加密的IP報頭和IPSec報頭 部分的信息。經(jīng)認(rèn)證授權(quán)的性能增強(qiáng)網(wǎng)關(guān)3有IPSec數(shù)據(jù)包中區(qū)域一安全關(guān) 聯(lián)信息信息,所以還能夠解讀TCP報頭和可變長的HTML目標(biāo)鏈接信息; 接收終端5有與發(fā)送終端1相同的安全關(guān)聯(lián)信息,能夠?qū)PSec數(shù)據(jù)包解密 之后獲得發(fā)送終端發(fā)送的IP數(shù)據(jù)包的信息。本實(shí)施方式的基于IPSec協(xié)議的無線IP網(wǎng)絡(luò)可變區(qū)域通信方法通過為IP 數(shù)據(jù)包提供有效的分層訪問控制,實(shí)現(xiàn)了性能增強(qiáng)網(wǎng)關(guān)的功能,而且這種方 式能夠被安全策略所接受。'本實(shí)施方式所述的IPSec數(shù)據(jù)包的ESP報頭的結(jié)構(gòu)參見圖2所示,ESP 報頭由安全參數(shù)索引6、序列號7、區(qū)域一映射信息8、區(qū)域一加密載荷數(shù)據(jù) 9、區(qū)域一填充IO、區(qū)域二映射信息ll、區(qū)域二加密載荷數(shù)據(jù)12、區(qū)域二填 充13、區(qū)域一的完整性校驗(yàn)數(shù)據(jù)14和區(qū)域二的完整性校驗(yàn)數(shù)據(jù)15組成。在 IPSec標(biāo)準(zhǔn)協(xié)議中,區(qū)域映射信息是在安全關(guān)聯(lián)信息SA中定義的,為了使區(qū) 域動態(tài)可變,本實(shí)施方式所述的區(qū)域映射信息封裝在ESP報頭中,即在每個 加密區(qū)域前添加了 4個字節(jié)的區(qū)域映射信息,這4個字節(jié)包含了 IP數(shù)據(jù)包的 區(qū)域數(shù)量(占1個字節(jié))、區(qū)域編號(占1個字節(jié))和每個區(qū)域的長度(占2 個字節(jié),長度數(shù)按字節(jié)計(jì)數(shù))。采用本實(shí)施方式所述的基于IPSec協(xié)議的無線IP網(wǎng)絡(luò)可變區(qū)域通信方法 進(jìn)行數(shù)據(jù)傳送,發(fā)送終端1對IP數(shù)據(jù)包的處理過程參見圖4,具體為根據(jù)動態(tài)區(qū)域映射信息33對輸出IP數(shù)據(jù)包18進(jìn)行區(qū)域映射處理,將輸出IP數(shù)據(jù)包18劃分成區(qū)域一明文20和區(qū)域二明文21;分別根據(jù)區(qū)域一安全關(guān)聯(lián)信息24、區(qū)域二安全關(guān)聯(lián)信息25的加密算法 及相關(guān)密鑰對區(qū)域一明文20、區(qū)域二明文21進(jìn)行加密,分別生成區(qū)域一密 文26和區(qū)域二密文27;分別根據(jù)區(qū)域一安全關(guān)聯(lián)信息24、區(qū)域二安全關(guān)聯(lián)信息25的完整性驗(yàn) 證算法及相關(guān)密鑰對區(qū)域一密文26和區(qū)域二密文27進(jìn)行完整性驗(yàn)證,獲得 區(qū)域一完整性校驗(yàn)值30和區(qū)域二完整性校驗(yàn)值31;將區(qū)域一完整性校驗(yàn)值30和區(qū)域二完整性校驗(yàn)值31合并成ESP完整性 驗(yàn)證信息32;根據(jù)動態(tài)區(qū)域映射信息33獲得區(qū)域一和區(qū)域二的信息結(jié)合后的兩區(qū)域 ESP負(fù)載數(shù)據(jù)和完整性校驗(yàn)信息拼裝后的IPSec數(shù)據(jù)包34。本實(shí)施方式中,接收終端5的數(shù)據(jù)處理過程參見圖5,具體為從接收到的可變區(qū)域IPSec數(shù)據(jù)包34的區(qū)域一映射信息與區(qū)域二映射信 息中提取出數(shù)據(jù)包的動態(tài)區(qū)域映射信息33;分別根據(jù)區(qū)域一安全關(guān)聯(lián)信息24和區(qū)域二安全關(guān)聯(lián)信息25中的完整性 驗(yàn)證算法和相關(guān)密鑰對區(qū)域一密文26和區(qū)域二密文27進(jìn)行完整性校驗(yàn),將 得到的兩個完整性校驗(yàn)值分別與接收到的IPSec數(shù)據(jù)包34末尾處攜帶的完整 性校驗(yàn)信息中的區(qū)域一完整性校驗(yàn)值30和區(qū)域二完整性校驗(yàn)值31進(jìn)行比較, 如果不相同,則完整性校驗(yàn)失敗,丟棄此數(shù)據(jù)包;否則,分別根據(jù)區(qū)域一安 全關(guān)聯(lián)信息24和區(qū)域二安全關(guān)聯(lián)信息25中的加密算法和相關(guān)密鑰對區(qū)域一 密文26與區(qū)域二密文27進(jìn)行解密,獲得區(qū)域一明文20和區(qū)域二明文21;根據(jù)動態(tài)區(qū)域映射信息33對區(qū)域一明文20和區(qū)域二明文21進(jìn)行區(qū)域映 射處理,最終得到IP數(shù)據(jù)18。在本實(shí)施方式中,假定用于性能增強(qiáng)的數(shù)據(jù)存在于區(qū)域一中,性能增強(qiáng) 網(wǎng)關(guān)3接收到的可變區(qū)域IPSec數(shù)據(jù)包34后對數(shù)據(jù)的處理過程參見圖6,具 體為根據(jù)提取出動態(tài)區(qū)域映射信息33,分離出區(qū)域一密文26和區(qū)域一完整 性驗(yàn)證信息30,根據(jù)性能增強(qiáng)網(wǎng)關(guān)的安全關(guān)聯(lián)信息24中的完整性校驗(yàn)算法 與相關(guān)密鑰對區(qū)域一密文26進(jìn)行完整性校驗(yàn)獲得完整性校驗(yàn)值,比較所述完整性校驗(yàn)值和從可變區(qū)域IPSec數(shù)據(jù)包34中分離出的區(qū)域一完整性校驗(yàn)值 30,如果不同,則校驗(yàn)失敗,丟棄此數(shù)據(jù)包;否則,根據(jù)性能增強(qiáng)網(wǎng)關(guān)的安 全關(guān)聯(lián)信息24中的加密算法和相關(guān)密鑰對區(qū)域一密文26進(jìn)行解密,獲得區(qū) 域一明文20,并根據(jù)所述區(qū)域一明文20進(jìn)行性能增強(qiáng)功能的實(shí)現(xiàn)。
具體實(shí)施方式
三本實(shí)施方式與具體實(shí)施方式
一或二所述的基于IPSec 協(xié)議的無線IP網(wǎng)絡(luò)可變區(qū)域通信方法的區(qū)別在于,所述安全關(guān)聯(lián)信息是區(qū)域 復(fù)合安全關(guān)聯(lián)信息CSA,所述區(qū)域復(fù)合安全關(guān)聯(lián)信息CSA是將原有多個區(qū) 域安全關(guān)聯(lián)信息中相同的信息放到一起作為區(qū)域復(fù)合安全關(guān)聯(lián)信息的公用參 數(shù),而將多個區(qū)域安全關(guān)聯(lián)信息中不相同的信息作為區(qū)域安全關(guān)聯(lián)信息的私 有參數(shù),其中所述公用參數(shù)可以包括序列號計(jì)數(shù)器、序列號溢出計(jì)數(shù)器、協(xié) 議模式、抗重播攻擊窗口等信息。本實(shí)施方式采用了區(qū)域復(fù)合安全關(guān)聯(lián)信息CSA,每個IP數(shù)據(jù)包的區(qū)域 數(shù)量可以與收發(fā)節(jié)點(diǎn)的符合安全關(guān)聯(lián)信息CSA中的安全關(guān)聯(lián)信息SA數(shù)量不 一致,因?yàn)閰^(qū)域復(fù)合安全關(guān)聯(lián)CSA建立之后,對某些突發(fā)的保密級別高的數(shù) 據(jù),安全策略寧愿犧牲網(wǎng)絡(luò)傳輸性能,也不允許任何中間節(jié)點(diǎn)對IP包的局部 區(qū)域進(jìn)行訪問,在這種情況下,可變區(qū)域IPSec可以靈活地改變區(qū)域數(shù)量, 利用區(qū)域編號對復(fù)合安全關(guān)聯(lián)信息CSA中所需的安全關(guān)聯(lián)信息SA進(jìn)行索 引。在一些極端的情況,可變區(qū)域IPSec甚至可以平滑地轉(zhuǎn)換為傳統(tǒng)的單一 區(qū)域的IPSec來保證網(wǎng)絡(luò)層安全性。值得注意的是,區(qū)域編號必須與CSA的 區(qū)域列表編號嚴(yán)格匹配,并起到索引作用。區(qū)域映射信息在IP數(shù)據(jù)包傳輸?shù)?任何階段都是以明文形式存在,必須參與區(qū)域的完整性校驗(yàn)??勺儏^(qū)域IPSec復(fù)合型安全關(guān)聯(lián)中去除了區(qū)域映射的信息,并將安全關(guān) 聯(lián)參數(shù)劃分為共用參數(shù)與區(qū)域安全關(guān)聯(lián)私有參數(shù)兩類。這種劃分使序列號計(jì) 數(shù)器、序列號溢出計(jì)數(shù)器等共用參數(shù)不被某一特定區(qū)域獨(dú)有,而是被各個區(qū) 域共同擁有。根據(jù)安全級別的需要,選擇復(fù)合安全關(guān)聯(lián)信息CSA中一種區(qū)域 的參數(shù)就可以實(shí)現(xiàn)原始IPSec,可變區(qū)域IPSec以這種方式具備了動態(tài)兼容 IPSec的能力。在IPSec中,接收終端需要用SPI、目的地址和協(xié)議三者組成 的字元組來從安全關(guān)聯(lián)數(shù)據(jù)庫SADB中唯一地標(biāo)識出SA。而在可變區(qū)域 IPSec中,在上述提到的字元組確定出SA之后,需要進(jìn)一步利用區(qū)域編號來對區(qū)域進(jìn)行索引。當(dāng)區(qū)域數(shù)為兩個,并且性能增強(qiáng)節(jié)點(diǎn)中包含區(qū)域一安全關(guān)聯(lián)信息信息時,在發(fā)送終端和接收終端,區(qū)域復(fù)合安全關(guān)聯(lián)信息的結(jié)構(gòu)參見圖3中左側(cè)一列 所示,區(qū)域復(fù)合安全關(guān)聯(lián)信息包括區(qū)域列表、公用部分、區(qū)域一安全關(guān)聯(lián)信 息和區(qū)域二安全關(guān)聯(lián)信息,在數(shù)據(jù)傳輸路徑中的性能增強(qiáng)節(jié)點(diǎn)讀取的安全關(guān) 聯(lián)信息參見圖3中的右側(cè)一列所示,包括區(qū)域列表、公用部分和區(qū)域一安全 關(guān)聯(lián)信息組合后的安全關(guān)聯(lián)信息。對于性能增強(qiáng)網(wǎng)關(guān)的CSA,如圖3所示,僅僅劃分了一個區(qū)域,用來實(shí) 現(xiàn)欺騙性能增強(qiáng)和HTTP加速的功能,對應(yīng)的安全關(guān)聯(lián)是SA1。 SA1的完整 性驗(yàn)證算法采用了 4字節(jié)摘要的加密雜湊算法HMAC-MD5-32,目的在于減 小開銷。在更注重安全性的場合,應(yīng)當(dāng)應(yīng)用標(biāo)準(zhǔn)HMAC-MD5-96。
權(quán)利要求
1、基于IPSec協(xié)議的無線IP網(wǎng)絡(luò)可變區(qū)域通信方法,其特征在于它的具體過程是將待發(fā)送的IP數(shù)據(jù)包根據(jù)IPSec協(xié)議的規(guī)則劃分成多個區(qū)域生成IPSec數(shù)據(jù)包,所述多個區(qū)域的區(qū)域映射均封裝在ESP報頭中,所述多個區(qū)域中分別設(shè)定有不同等級的安全關(guān)聯(lián)信息;每個加密區(qū)域的區(qū)域映射信息中包括IP數(shù)據(jù)包的區(qū)域數(shù)量、區(qū)域編號和所映射區(qū)域長度的信息;數(shù)據(jù)的發(fā)送端點(diǎn)和接收端點(diǎn)中包含每個IPSec數(shù)據(jù)包中的所有區(qū)域的安全關(guān)聯(lián)信息,能夠解讀IPSec數(shù)據(jù)包中的所有數(shù)據(jù)信息;傳遞數(shù)據(jù)路徑中的普通中間節(jié)點(diǎn)不包含IPSec數(shù)據(jù)包中的任何安全關(guān)聯(lián)信息,只能解讀IPSec數(shù)據(jù)包的報頭以及明文部分?jǐn)?shù)據(jù);傳遞數(shù)據(jù)路徑中的經(jīng)認(rèn)證的性能增強(qiáng)中間節(jié)點(diǎn)中只包含有安全策略允許的部分區(qū)域的安全關(guān)聯(lián)信息,能夠解讀IPSec數(shù)據(jù)包中的部分加密數(shù)據(jù)。
2、 根據(jù)權(quán)利要求1所述的基于IPSec協(xié)議的無線IP網(wǎng)絡(luò)可變區(qū)域通信方 法,其特征在于所述安全關(guān)聯(lián)信息是復(fù)合安全關(guān)聯(lián)信息。
全文摘要
基于IPSec協(xié)議的無線IP網(wǎng)絡(luò)可變區(qū)域通信方法,它涉及到一種無線IP網(wǎng)絡(luò)的通信方法。它解決了現(xiàn)有無線通信方法中的性能增強(qiáng)技術(shù)與網(wǎng)絡(luò)層安全協(xié)議之間存在矛盾、互不兼容的問題。它將待發(fā)送的IP數(shù)據(jù)包根據(jù)IPSec協(xié)議的規(guī)則劃分成多個區(qū)域生成IPSec數(shù)據(jù)包,所述多個區(qū)域的區(qū)域映射均封裝在ESP報頭中,多個區(qū)域中分別設(shè)定有不同等級的安全關(guān)聯(lián)信息;發(fā)送終端和接收終端包含所有區(qū)域的安全關(guān)聯(lián)信息,傳遞數(shù)據(jù)路徑中經(jīng)認(rèn)證的性能增強(qiáng)中間節(jié)點(diǎn)中只包含有安全策略允許的部分區(qū)域的安全關(guān)聯(lián)信息。本發(fā)明的方法能夠保證網(wǎng)絡(luò)層端到端安全,還支持傳輸層TCP增強(qiáng)網(wǎng)關(guān)以及應(yīng)用層HTTP加速代理的安全協(xié)議,它能夠應(yīng)用到衛(wèi)星IP網(wǎng)絡(luò)通信和地面無線類似信道條件環(huán)境中。
文檔編號H04L12/56GK101232519SQ20081006402
公開日2008年7月30日 申請日期2008年2月22日 優(yōu)先權(quán)日2008年2月22日
發(fā)明者慶 郭, 顧學(xué)邁, 展 黃 申請人:哈爾濱工業(yè)大學(xué)
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
1