(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211006618.X (22)申请日 2022.08.22 (71)申请人 中国人民解 放军战略支援 部队信息 工程大学 地址 450001 河南省郑州市高新区科 学大 道62号 (72)发明人 崔鹏帅　胡宇翔　刘泽英　董永吉　 伊鹏　李军飞　王钰　马港亮　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 专利代理师 张静 (51)Int.Cl. H04L 9/40(2022.01) H04L 69/06(2022.01) (54)发明名称 协议无关的多 模态安全方法及装置 (57)摘要 本发明提供一种协议无关的多模态安全方 法及装置， 该方法应用于第一电子设备， 接收并 解析目标数据包， 以确定目标数据包的处理操 作； 进而， 如果目标数据包的处理操作为加密操 作， 则依次对目标数据包添加数据包尾部； 进一 步， 按照已指定的加密算法对目标数据包中从数 据包头开始的原始数据和数据包尾部进行加密 得到加密数据； 再进一步， 在目标数据包中加密 后的数据包头之前添加数据包头部； 更进一步， 确定数据包头部中安全参数索引对应的验证算 法， 按照验证算法对数据包头和加密数据进行验 证， 并将验证结果添加至数据包尾部之后； 最后， 在填充字段之前对目标数据包添加模态包头， 并 将添加模态包头后的目标数据包发送给第二电 子设备。 权利要求书3页 说明书13页 附图4页 CN 115378705 A 2022.11.22 CN 115378705 A 1.一种协议无关的多模态安全方法， 其特征在于， 所述方法应用于第 一电子设备， 所述 方法包括： 接收并解析目标 数据包， 以确定所述目标 数据包的处 理操作； 如果所述目标数据包的处理操作为加密操作， 对所述目标数据包添加数据包尾部， 所 述数据包尾部中包含填充字段、 所述填充字段的长度和所述 目标数据包对应的协议号， 所 述填充字段中记录有从所述目标数据包中数据包头开始进行分块所得到的最后一块中所 补齐的字符； 按照已指定的加密算法对所述目标数据包中从数据包头开始的原始数据和所述数据 包尾部进行加密得到加密数据； 在所述目标数据包中加密后的数据包头之前添加数据包头部， 所述数据包头部 中包含 已指定的序列号和所述加密算法对应的安全参数索引； 确定所述安全参数索引对应的验证算法， 按照所述验证算法对所述数据包头和所述加 密数据进行验证， 并将验证结果添加至所述数据包尾部之后； 在所述数据包头部之前对所述目标数据包添加模态包头， 并将添加模态包头后的目标 数据包发送给第二电子设备， 所述模态包头中包 含已指定的数据包头被修改的字段。 2.根据权利要求1所述的方法， 其特征在于， 所述对所述目标数据包添加数据包尾部， 包括： 获取所述目标数据包中数据包头的长度信 息， 并将所述长度信 息计入已定义的结构体 中； 将所述目标 数据包中数据包头的数据内容复制至已定义的特定 字段中； 从所述目标数据包中提取用于加密的匹配字段， 并基于所述匹配字段确定相应的安全 参数索引， 以获得 所述安全参数索引所对应的加密算法； 按照目标长度从所述目标数据包中数据包头开始进行分块， 并且对于最后 一块中不足 所述目标长度的部分长度， 在所述填充字段中补齐所述部分长度的字符， 所述目标长度为 与所述加密算法相对应的长度； 将所述填充字段补入所述数据包尾部； 确定所述填充字段的长度， 并在所述数据包尾部中补入所述填充字段的长度， 所述填 充字段在所述数据包尾部中的位置位于所述 填充字段之后； 对所述目标数据包中以太网头部进行解析以获得所述协议号， 并在所述数据包尾部中 补入所述协议 号， 所述协议 号在所述数据包尾部中的位置位于所述 填充字段的长度之后。 3.根据权利要求2所述的方法， 其特征在于， 所述按照已指定的加密算法对所述目标数 据包中从数据包头开始的原 始数据和所述数据包尾部进行加密得到加密数据， 包括： 获取针对所述目标 数据包中数据包头所输入的第一偏移量； 根据所述第 一偏移量和所述结构体中的长度信 息， 确定所述目标数据包中作为加密开 始的目标 数据包头； 按照所述加密算法对所述目标数据包中从所述目标数据包头开始的原始数据和所述 数据包尾部进行加密得到加密数据。 4.根据权利要求3所述的方法， 其特征在于， 所述在所述目标数据包中加密后的数据包 头之前添加数据包头 部， 包括：权　利　要　求　书 1/3 页 2 CN 115378705 A 2在所述数据包头 部中补入所述序列号， 所述数据包头 部位于所述目标 数据包头之前； 在所述数据包头部 中补入所述安全参数索引， 所述安全参数索引在所述数据包头部中 的位置位于所述序列号之前。 5.根据权利要求2所述的方法， 其特征在于， 所述在所述数据包头部之前对所述目标数 据包添加模态包头， 包括： 获取针对所述目标数据包中被指定的起始数据包头所输入的第 二偏移量、 以及针对所 述目标数据包中被指定的末尾数据包头所输入的第三偏移量； 根据所述第二偏移量和所述第三偏移量确定所述目标数据包中由所述起始数据包头 至所述末尾数据包头之间的数据包头； 对所述目标数据包中由所述起始数据包头至所述末尾数据包头之间的数据包头进行 字段修改， 并将修改的字段补入至位于所述数据包头 部之前的所述模态包头中。 6.一种协议无关的多模态安全 装置， 其特 征在于， 所述装置包括： 第一接收模块， 用于 接收并解析目标 数据包， 以确定所述目标 数据包的处 理操作； 加密模块， 用于如果所述目标数据包的处理操作为加密操作， 对所述目标数据包添加 数据包尾部， 所述数据包尾部中包含填充字段、 所述填充字段的长度和所述 目标数据包对 应的协议号， 所述填充字段中记录有从所述目标数据包中数据包头开始进 行分块所得到的 最后一块中所补齐的字符； 按照已指 定的加密算法对所述目标数据包中从数据包头开始的 原始数据和所述数据包尾部进 行加密得到加密数据； 在所述目标数据包中加密后的数据包 头之前添加数据包头部， 所述数据包头部中包含已指 定的序列号和所述加密算法对应的安 全参数索引； 确定所述安全参数索引对应的验证算法， 按照所述验证算法对所述数据包头 和所述加密数据进行验证， 并将验证结果添加至所述数据包尾部之后； 在所述数据包头部 之前对所述目标数据包添加模态包头， 并将添加模态包头后的目标数据包发送给第二电子 设备， 所述模态包头中包 含已指定的数据包头被修改的字段。 7.根据权利要求6所述的装置， 其特征在于， 用于对所述目标数据包添加数据包尾部的 所述加密模块， 具体用于： 获取所述目标数据包中数据包头的长度信 息， 并将所述长度信 息计入已定义的结构体 中； 将所述 目标数据包中数据包头的数据内容复制 至已定义的特定字段中； 从所述 目标数 据包中提取用于加密的匹配字段， 并基于所述匹配字段确定相应的安全参数索引， 以获得 所述安全参数索引所对应的加密算法； 按照目标长度从所述目标数据包中数据包头开始进 行分块， 并且对于最后一块中不足所述 目标长度的部分长度， 在所述填充字段中补齐所述 部分长度的字符， 所述 目标长度为与所述加密算法相对应的长度； 将所述填充字段补入所 述数据包尾部； 确定所述填充字段的长度， 并在所述数据包尾部中补入所述填充字段的长 度， 所述填充字段在所述数据包尾部中的位置位于所述填充字段之后； 对所述目标数据包 中以太网头部进行解析以获得所述协议号， 并在所述数据包尾部中补入所述协议号， 所述 协议号在所述数据包尾部中的位置位于所述 填充字段的长度之后。 8.根据权利要求7所述的装置， 其特征在于， 用于按照已指定的加密算法对所述目标数 据包中从数据包头开始的原始数据和所述数据包尾部进行加密得到加密数据的所述加密 模块， 具体用于： 获取针对所述目标数据包中数据包头所输入的第 一偏移量； 根据 所述第一偏移量和所权　利　要　求　书 2/3 页 3 CN 115378705 A 3