一、 應用場景
如(rú)圖做用1所示,對主機A與主機B間的TCP的通(tōng)信進行加解密處理。即主機會店A的TCP數據通(tōng)過網絡加密結點對其TCP數據加密後傳送給這業網絡,數據包經互聯網傳送給主機B端的網絡林木加解密結點進行解密處理,處理後的數據送給主機B 。反向到拿同理。
圖1 應用場景圖
二、 方案1 固定密鑰的實現
在網絡加暗錯解密的結點将TCP報文的序号按某一算法進行加密處理,另外将TCP數據報文書志的DATA域的數據進行亂序處理,從而實現在對TCP數據流報文進行發送序号靜火亂序的同時(shí)實現了對報文内容的亂序器開加密處理。
具體硬件加密方式:
網現低絡加解密結點解析所有經過它的數據流的報文,識别報文是否為(wèi)TCP/IP舞日v4的類型報文,若是則根據圖2所示的TCP頭部格式,在愛大傳送TCP數據時(shí),将序号字段(Sequence懂得 Number)作為(wèi)密鑰進行加密處理。否則數據會(huì行了)直接轉發輸出。
圖2 TCP頭部格式
&nbs購熱p;另外,網絡加解密結點會(huì)針對其著如TCP類型報文的數據部分根據硬件處理格式進行亂序處理,從而實現數據加密的功能匠章。如(rú)圖3所示,硬件是将數據幀以1著學28b(16B)的形式進行組織。
圖3 硬件處理幀形式
根據笑放網絡加解密結點對數據處理的特點,加密可以将每拍T訊子CP報文數據部分的字節數據高低(dī)4位對調來實現,如(r個下ú)圖4所示。
圖4 數據位對調亂序示意圖
拿唱; 硬件實現的難點:
- 1) TCP報文解析(IPV4);
- 2) TCP的校(xiào)驗和重計算;
- 3) 線速實現加密處理及恢複。
男用優點:
- 1) 可實現加解密處理;
- 2) 可以保證處理延時(shí)。
三、 方案2 動态密鑰的實現
動态密鑰是基于T筆算CP類型的數據在握手的過程中傳遞,即在建立TC森算P的握手時(shí)協商此對應TCP流對應的密鑰;在連接結束時(shí)為高,删除其密鑰信息,在下次建立時(shí)随機獲取密鑰火短池中的新的密鑰來進行加密通(tōng)信。處理過程如(rú)圖5、6所示。
區我
圖5 基于TCP建立的密鑰協商過程圖
在T不人CP建立連接時(shí),網絡加解密結點會(huì)監測,輸入報文是否主SYN大草的報文,若是,則從密鑰池中随機申請一個密鑰(KE機樹Y),将密鑰信息随建立連接的報文發送給接收端,接收端接收密鑰信息,在接收到連接喝煙響應報文時(shí),将确認的密鑰信息再返回給發送端,以确認街高其已經正确協商密鑰可以正常通(tōng)信。
在TCP結束連接時(s是知hí),當結束發送端(主機A)發送FIN報文時(科房shí),網絡加密結點先不(bù)立刻注銷密兒房鑰信息,而是等待主機B發送結束時(shí)才注銷密鑰信息,因為(wè快光i)主機A在申請結束連接時(shí),主機B可能還會(huì黃就)向主機A發送TCP的數據,因此,需要等待主機人裡B也發送結束報文時(shí)才進行密鑰的注銷。
頻為
圖6 基于TCP結束的密鑰取消過程圖
&nbs友腦p; 密鑰池為(wèi)網絡加密算月結點内部存儲的密鑰的集合,密鑰池内有多種密鑰聽技,為(wèi)了保證通(tōng)信的安全性,在每條TCP流進行通(tōn計自g)信時(shí),都會(huì)選用不(校店bù)同的密鑰進行加解密處理。從而可以更細粒度的保證每條TCP數據流的安全性很放。
相視 同方案1相同在針對密鑰加密的同時(shí)還業就可以實現對報文内容的亂序處理,從而進一步保證其數據的安輛喝全性。
四、 方案2 實現的優化
到家;在實現時(shí),由于每條TCP的建立都會(huì)中有随機的在密鑰池中選擇密鑰進行連接且鍊路可以存還兒在很長(cháng)時(shí)間無數據交互的情況或鍊路出現故障無法湖去正常通(tōng)信的情況,因此在實現時(shí)針對每條流設定一個計時(s店東hí)器(qì),即若有此流的報文交互則不(bù)斷更新其時(sh林吧í)間值到最新的時(shí)間點,若某條流長(cháng)時街離(shí)間無數據通(tōng)信時(shí),則将此流對應的流家醫表及協商的密鑰删除,在恢複通(tōng)信時(shí)重新協商密鑰進件間行通(tōng)信,如(rú)圖7所示。
唱妹當流A的數據經過網絡加密節點時(shí)則更新其流A所是水對應的計時(shí)器(qì),流B和流C則保持不(bù)變哥樹,若已經達到超時(shí)的時(shí)間,則更改流狀态,将此流訊國表項标記為(wèi)無效。若此時(shí)又有對應流表的數據到來則使用筆爸默認密鑰進行加密處理,同時(shí)通(tōng)過TCP頭的狀态位的保請個留位,如(rú)圖2所示,來标記其加密的密鑰狀态,從而是裡通接收端也可以通(tōng)過相同密鑰解密。
圖7 流表狀态管理
以上為校通(wèi)TCP的兩種加密的方案,方案1為(wèi)固定密鑰實現方式,和現其實現比較簡單,加密效果則不(bù)太安全;方案2實現比較複很生雜,可以針對不(bù)同的TCP流,選用不(bù)同的加高睡密方法,從而可以更細粒度的對通(tōng)信内容進行加密處理,從而通(tō下時ng)信内容會(huì)更加安全。另外,兩藍睡種實現方案都需要硬件對報文進行解析、報文亂視答序移位處理及報文TCP頭及IP頭部校(xiào)驗和進行重新計算處理,因哥弟此硬件資(zī)源開(kāi)銷比較大(dà),但其可以保證加密開短處理的延時(shí)。