(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111404889.6 (22)申请日 2021.11.24 (71)申请人 贵州电网有限责任公司 地址 550002 贵州省贵阳市南明区滨河路 17号 申请人 南方电网数字电网研究院有限公司 (72)发明人 欧家祥　胡厚鹏　吴才远　何沛林　 董天强　吴欣　余云昊　肖艳红　 高正浩　李航峰　陈泽瑞　邓玥丹　 宋强　吴昊　王依云　邓建锋　 张丽娟　李慧娟　母天石　赖宇阳　 徐宏伟　 (74)专利代理 机构 北京集智东方知识产权代理 有限公司 1 1578 代理人 孙文彬(51)Int.Cl. H04L 9/40(2022.01) H04L 69/06(2022.01) (54)发明名称 一种基于ESP的报文处 理方法 (57)摘要 本发明涉及报文处理技术领域， 具体涉及一 种基于ESP的报文处理方法， 包括以下步骤： 获取 原始IP数据包， 并根据本地策略库查找与之相关 联的SA协议； 根据原始IP数据包， 将其填充到ESP 载荷字段中， 并对其进行封装； 选定IPv4环境使 用传输模式， ESP放在IP头及其包含的所有选项 之后及上层协议之前， 同时选定IP v4环境使用隧 道模式， ESP保护包括原内部IP头在内的整个原 IP报文； 本发明中， 通过SA协议与接收端事先协 议并制定所需使用的加密算法和算法密钥， 在 IPv4环境中使用传输模式及隧道模式， 随后根据 SA协议中指定的密钥、 加密算法、 算法模式和IV 对原始数据进行封装加密， 使得接收端可以根据 SA协议中指定的密钥、 加密算法、 算法模式和IV 对数据进行解密。 权利要求书2页 说明书5页 附图3页 CN 114244577 A 2022.03.25 CN 114244577 A 1.一种基于 ESP的报文处 理方法， 其特 征在于， 包括以下步骤： S1： 获取原 始IP数据包， 并根据本地策略库查找与之相关联的SA 协议； S2： 根据S1中的原 始IP数据包， 将其 填充到ESP载荷字段中， 并对其进行封装； S3： 选定IPv4环境使用传输模式， ESP放在IP头及其包含的所有选项之后及 上层协议之 前， 同时选 定IPv4环境使用隧道模式， ES P保护包括原内部IP头在内的整个原IP报文； S4： 对出站报文进行查找SA、 封装、 加密报文、 产生序列 号、 计算完整性校验值及分片处 理； S5： 对入站报文进行重组、 查找SA、 验证序列号、 验证完整性校验值、 解密报文和重构处 理。 2.根据权利要求1所述的一种基于ESP的报文处理方法， 其特征在于， 所述SA协议用于 保护信息的策略和密钥。 3.根据权利要求1所述的一种基于ESP的报文处理方法， 其特征在于， 所述传输模式选 定IPv4环境发起传输， 并将以ES P为后缀的文件填充到原有IP头之后及所述上层协议之前； 所述隧道模式用于对原始  IP 数据包进行保护； 其中， 所述 隧道模式选定IPv4环境进 行加密， 并通过ES P发出保护原有IP头在内的整个原IP报文。 4.根据权利要求1所述的一种基于ESP的报文处理方法， 所述方法用于辅助如权利要求 1‑5任一项所述的一种基于 ESP的报文处 理方法， 其特 征在于， 包括以下子步骤： S41： 根据本地策略库查找SA， 并使IP Sec确定报文与SA之间的关联； S42： 随后在传输模式中， 将原始上层协议封装至ESO载荷字段中， 同时隧道模式中， 将 整个原始IP数据报文封装到 ESP载荷字段中； S43： 对报文添加所需的填充， 随后根据SA指定的加密算法进行加密， 并产生序列号； S44： 若SA提供完整性校验服 务， 发送方应在除去认证数据字段的ES P报文上计算 ICV。 5.根据权利要求4所述的一种基于ESP的报文处理方法， 其特征在于， 其中判断所述本 地策略中是否存在与所述原始 IP数据相关联的SA协 议时， 当确定所述本地策略中存在与所 述原始IP数据相关联的SA协议时， 直接配置使用所述SA协议； 当确定所述本地策 略中不存 在与所述原 始IP数据相关联的SA 协议时， 随之生成新的SA 协议进行配置使用。 6.根据权利要求4所述的一种基于ESP的报文处理方法， 其特征在于， 所述SA协议中指 定的密钥、 加密算法、 算法模式和IV对 所述封装 数据进行加密， 以得到加密数据； 其中， SA协 议的加密范围包括载荷数据、 填充、 填充长度和下一个头 。 7.根据权利要求4所述的一种基于ESP的报文处理方法， 其特征在于， 当发送方在除去 认证数据字段的ESP报文上计算ICV时， 所述加密算法对所述加密数据的完整性进行计算， 获取完整性校验值； 当所述IPSec处理ESP 之后， 若发现所述IP数据报文长度大于输出接口的MTU值， 随后对 处理后的数据报文 进行分片。 8.根据权利要求1所述的一种基于ESP的报文处理方法， 所述方法用于辅助如权利要求 1‑7任一项所述的一种基于 ESP的报文处 理方法， 其特 征在于， 包括以下子步骤： S51： 在ES P处理之前进行IP数据报文重组， 随后接收方应查找SA； S52： 所有ESP应实现支 持抗重放攻击服务， 并在SA建立时， 接收方的序列 号计数器应初 始化为0；权　利　要　求　书 1/2 页 2 CN 114244577 A 2S53： 接收方采用指定的完整性校验算法对报文计算 ICV； S54： 使用SA指定的加密算法对接收报文的加密部分进行解密； 随后对其重构原始IP数 据报文。 9.根据权利要求8所述的一种基于ESP的报文处理方法， 其特征在于， 当所述报文入站 时， 查看所述IP数据是否需要重组， 若需要， 对 所述IP数据报文进 行重组， 以获得ESP封装的 数据包， 随后根据目的IP地址、 S PI来查找SA， 当查找失败时， 接收方则丢弃报文。 10.根据权利要求6或8所述的一种基于ESP的报文处理方法， 其特征在于， 所述接收方 接收到报文后采用完整性校验算法计算出报文的ICV， 若计算的结果与报文中的ICV一致， 则接收到的数据报文为有效， 反之接 收方应将收到的数据报文处理丢弃， 随后所述SA协议 中指定的密钥、 加密算法、 算法模式和IV对所述封装数据加密的部 分进行解密， 并重构原始 IP数据报文。权　利　要　求　书 2/2 页 3 CN 114244577 A 3