0731-84728105
15116127200
高可靠加密通信機制解決方案

一(yī)、 應用場景

    如圖1所示,對主機制場A與主機B間的TCP的通信進行加解密處理。即主機A的TCP數據問哥通過網絡加密結點對其TCP數據加密後傳送給網絡,數據包經互聯網傳送給主機B端東看的網絡加解密結點進行解密處理,處理後的數據送給主機B 。廠喝反向同理。

圖1 應用場景圖

二、 方案1 固定密鑰的實現

     在網絡加解費離密的結點将TCP報文的序号按某一(yī)算法進行加密處理,另外(wài)鐘雨将TCP數據報文的DATA域的數據進行亂序處新黑理,從而實現在對TCP數據流報文進行發送序号下新亂序的同時實現了對報文内容的亂序加密處理。 藍外
具體(tǐ)硬件加密方式:
    網絡加解人喝密結點解析所有經過它的數據流的報文,識别報文是否爲TCP/IPv4的工校類型報文,若是則根據圖2所示的TCP頭部格式書對,在傳送TCP數據時,将序号字段(Sequence 森如Number)作爲密鑰進行加密處理。否則數據會直接轉發輸出區是。

圖2 TCP頭部格式
    做頻另外(wài),網絡加解密結點會針對其TCP類型拿玩報文的數據部分(fēn)根據硬件處理格式進行亂序處理,從而實現數據加密東下的功能。如圖3所示,硬件是将數據幀以128b(16B)的中可形式進行組織。

圖3 硬件處理幀形式
   &nbs現呢p;根據網絡加解密結點對數據處理的特點,加密可以将看請每拍TCP報文數據部分(fēn)的字節數據高低4位對調來實現,如圖4所示城可。

圖4 數據位對調亂序示意圖
   &光話nbsp;硬件實現的難點:
  • 1) TCP報文解析(IPV4);
  • 2) TCP的校驗和重計算;
  • 3) 線速實現加密處理及恢複。
    美笑;優點:
  • 1) 可實現加解密處理;
  • 2) 可以保證處理延時。

三、 方案2 動态密鑰的實現

   報地 動态密鑰是基于TCP類型的數據在握手的過程中(zh海員ōng)傳遞,即在建立TCP的握手時協商(shāng)此對應TCP流一章對應的密鑰;在連接結束時,删除其密鑰信息,謝做在下(xià)次建立時随機獲取密鑰池中(zh紅時ōng)的新的密鑰來進行加密通信。處理過程如圖5、6所示。

圖5 基于TCP建立的密鑰協商(shāng)過程圖 上吧
   &nbs明照p;在TCP建立連接時,網絡加解密結點會監兵還測,輸入報文是否主SYN的報文,若是,則從密鑰習學池中(zhōng)随機申請一(yī)個密鑰雜能(KEY),将密鑰信息随建立連接的報文發送給接收司呢端,接收端接收密鑰信息,在接收到連接響應報文時,将确認的不什密鑰信息再返回給發送端,以确認其已經正确協商(shāng)密鑰可以正常通信市黑。
    在TCP結姐藍束連接時,當結束發送端(主機A)發送FIN報文時綠要,網絡加密結點先不立刻注銷密鑰信息,而是街紅等待主機B發送結束時才注銷密鑰信息,因爲主機A在申請結束連接時,主機B可能國門還會向主機A發送TCP的數據,因此,需要等待主機B也發送結束報文時舊村才進行密鑰的注銷。

圖6 基于TCP結束的密鑰取消過程圖
    密鑰池爲網絡加密結點内吃木部存儲的密鑰的集合,密鑰池内有多種密鑰,爲了保證通信的安全性,在每條TCP流進愛筆行通信時,都會選用不同的密鑰進行加解密處理。從而可以更細粒度的保證每哥兒條TCP數據流的安全性。
    同方案1相同在針對密大員鑰加密的同時還可以實現對報文内容的亂序處理,從而進一(yī)劇子步保證其數據的安全性。

四、 方案2 實現的優化

    腦花在實現時,由于每條TCP的建立都會随機的在密鑰池作小中(zhōng)選擇密鑰進行連接且鏈路可以存在很長時間無數據是小交互的情況或鏈路出現故障無法正常通信的情況,因此在實現時針對每條流設機姐定一(yī)個計時器,即若有此流的報文交互則不斷更新其時間值到最新的時間美煙點,若某條流長時間無數據通信時,則将此流對應的流表及協商(shāng)店區的密鑰删除,在恢複通信時重新協商(shāng)密月黃鑰進行通信,如圖7所示。
    當流A的數據經過網農湖絡加密節點時則更新其流A所對應的計時器,流B和流C則保持不變,若已經達到超時有好的時間,則更改流狀态,将此流表項标記爲無效。若此時又(yòu)有視醫對應流表的數據到來則使用默認密鑰進行加密處理,同時通過TCP熱兒頭的狀态位的保留位,如圖2所示,來标記其加密的密鑰狀态,從而說的是接收端也可以通過相同密鑰解密。

圖7 流表狀态管理
   &nbs年金p;以上爲TCP的兩種加密的方案,方案1爲固定密鑰實現方式,其實現比較做又簡單,加密效果則不太安全;方案2實現比較複雜(如上zá),可以針對不同的TCP流,選用不同的加密方法,從而可以更細粒度的司件對通信内容進行加密處理,從而通信内容會更加安全。歌訊另外(wài),兩種實現方案都需要硬件對報文很來進行解析、報文亂序移位處理及報文TCP頭及IP頭部男友校驗和進行重新計算處理,因此硬件資(zī)國化源開(kāi)銷比較大(dà),但其可以保證加密處理的延時。
下(xià)載該文檔