技術領域

本發明涉及一種數據加密的方法，尤其是涉及一種基于IPSec?VPN協議，針對其ESP封裝方式的強化數據加密的方法。

背景技術

近年來，網絡安全問題日益突出，黑客入侵以及網絡攻擊現象日益增多，而隨著計算機網絡技術的不斷普及，公眾使用計算機的次數越來越多，特別是公用信息基礎設施建設推動了政府、企業日益依賴信息系統，一些涉及國計民生的業務、系統受到了前所未有的安全挑戰，如維基解密網站泄漏了大量政府的機密信息；花旗集團受黑客攻擊導致36多萬的客戶賬戶信息被竊取；CSDN網站被攻擊導致600余萬用戶資料被泄漏等。這些事故充分說明網絡安全對國家、政府和企業的重要性。

國家、政府、企業的信息系統涉及到國家的安全、企業機密及公民的切身利益，其數據的安全性、準確性必須得到充分的保障。為了加強信息系統的安全保護，國家、政府、企業大量使用專網、局域網、VPN等技術進行防護，起到了良好的效果。

IPSec?VPN是一種成熟的網絡傳輸技術，IPSec?VPN有兩種隧道封裝協議：ESP封裝和AH封裝。ESP封裝主要用于提供數據的完整性校驗、數據加密、防重放攻擊等安全服務。在IPSec?VPN中，ESP進行加密的內容進行了規定，以保證數據的機密性。

現有的I?PSec?VPN的網絡傳輸模式有兩種：隧道模式和傳輸模式，隧道模式主要用于點對站(end-to-site)或者站對站（site-to-site）的通信，而傳輸模式主要用于點對點(end-to-end)的通信，不同的網絡傳輸模式對ESP封裝的格式亦不同，IPSec?VPN數據包格式和原始數據包格式的映射關系如圖1所示。

若用戶采用傳輸模式，則原始數據包中的原始IP頭和包數據將被拆分，其中原始IP頭作為ESP數據包的IP頭，包數據被加密存放在ESP數據包中的負載數據中；

若用戶用隧道模式，則原始數據包被全部加密，存放在ESP數據包中的負載數據中。

傳輸模式和隧道模式的主要差別在于：傳輸模式僅將原始數據包中的包數據加密，并采用原始的IP頭；隧道模式將原始數據包全部加密，并構造出新IP頭。在實際應用當中，用戶根據應用環境選擇合適的網絡傳輸模式。

ESP封裝數據包的格式如圖2所示。

圖2為ESP數據包格式示意圖，其中安全參數索引和序列號對應于圖1中的ESP報頭；認證數據對應于圖1中的ESP認證；負載數據、填充、填充長度和下一頭部對應于圖1中加密數據，加密數據的計算方式如公式1所示；ESP認證對應于圖2中的認證數據。

加密數據=ESP(負載數據||填充||填充長度||下一頭部)????????????（1）

由于現有的IPSec?VPN是公開標準，大多數攻擊者對加密前后數據報文的格式、需要加密的內容均非常熟悉，攻擊者有可能通過對比前后文等方式破譯密鑰。

發明內容

本發明所要解決的技術問題，就是提供一種基于ESP封裝、強化數據加密的方法，可進一步增強數據的機密性。

解決上述技術問題，本發明采用的技術方案如下：

一種基于ESP封裝、強化數據加密的方法，具體包括以下步驟：

S1發送方通過使用等式（2）和（3）對需要進行加密的數據進行預處理：

若IPSec?VPN采用傳輸模式，則拆分原始數據包中的原始IP頭和包數據，原始IP頭作為ESP數據包的IP頭，對需要加密的包數據做如下變換：

其中ESP（*）是指加密算法，代表對數據X進行取反操作，||代表數據連接運算。根據序列號和4取余的結果，對需要加密的包數據進行相應處理；

若IPSec?VPN采用隧道模式，則原始數據包被全部加密存放在ESP數據包中的負載數據中，做如下變化：

S2接受方接受到數據以后，對數據包進行解密，并同樣根據公式（2）及（3）對數據進行變換和驗證。

有益效果：由于序列號在建立會話時隨機產生，因此需要加密的數據將被進一步隱藏，這無疑會增加攻擊者分析的難度，實現強化數據加密的目的。

采用本發明，通過對需要加密的數據進一步處理，達到信息的深度隱藏，加大攻擊者破解的難度，實現強化數據加密的目的。

附圖說明

下面結合附圖和具體實施方式對本發明做進一步的詳細說明。

圖1為原始數據包兩種傳輸模式與ESP包數據包的映射關系示意圖；

圖2為ESP數據包格式示意圖。

具體實施方式