[发明专利]一种报文加解密方法、网路设备及系统

权利要求书

1.一种报文加密方法，其特征在于，该方法包括：

第一网络设备生成一个数据报文；

所述第一网络设备从子密钥集合中确定出一个子密钥，所述子密钥集合包含M个子密钥，所述M个子密钥是根据原始密钥拆分得到的N个字段生成的，所述原始密钥是所述第一网络设备与第二网络设备预先协商确定的，M大于等于N；

所述第一网络设备将所述数据报文的序列号中包含的第一字段和所述确定出的子密钥进行加密处理，得到加密字段，其中，所述序列号中包含多个字段；

所述第一网络设备利用所述加密字段替换所述数据报文的序列号中的第一字段，从而得到修改后的数据报文；

所述第一网络设备向所述第二网络设备发送所述修改后的数据报文。

2.根据权利要求1所述的方法，其特征在于，所述子密钥集合还包括每个子密钥对应的索引值，所述第一网络设备从子密钥集合中确定出一个子密钥，包括：

所述第一网络设备将所述序列号中包含的第二字段对M取模得到模值；

所述第一网络设备以所述模值作为索引值，从所述子密钥集合中查找到所述索引值对应的子密钥。

3.根据权利要求1或2所述的方法，其特征在于，所述第一网络设备将所述数据报文的序列号中包含的第一字段和所述确定出的子密钥进行加密处理，得到加密字段，包括：

所述第一网络设备将所述数据报文的序列号中包含的第一字段和所述确定出的子密钥进行异或操作，得到加密字段，其中，所述确定出的子密钥的字节数目与所述第一字段的字节数目相同。

4.根据权利要求1至2任一项所述的方法，其特征在于，所述第一网络设备从子密钥集合中确定出第一子密钥之前，还包括：

所述第一网络设备向所述第二网络设备发送因特网密钥交换IKE协商请求报文，所述IKE协商请求报文中的预定标识位的值被设置为第一值，所述第一值指示支持对序列号加密传输；

所述第一网络设备接收所述第二网络设备发送的IKE协商响应报文，所述IKE协商响应报文中的预定标识位的值被设置为所述第一值；

所述第一网络设备根据所述IKE协商响应报文中的预定标识位的值确定所述第二网络设备支持对序列号加密传输。

5.一种报文解密方法，其特征在于，该方法包括：

第二网络设备接收第一网络设备发送的数据报文；

所述第二网络设备从子密钥集合中确定出一个子密钥，所述子密钥集合包含M个子密钥，所述M个子密钥是根据原始密钥拆分得到的N个字段生成的，所述原始密钥是所述第一网络设备与所述第二网络设备预先协商确定的，M大于等于N；

所述第二网络设备将接收到的数据报文的序列号中包含的第一字段和所述确定出的子密钥进行解密处理，得到解密字段，其中，所述序列号中包含多个字段；

所述第二网络设备利用所述解密字段替换所述数据报文的序列号中的第一字段，从而得到解密后的数据报文。

6.根据权利要求5所述的方法，其特征在于，所述子密钥集合还包括每个子密钥对应的索引值，所述第二网络设备从子密钥集合中确定出一个子密钥，包括：

所述第二网络设备将所述数据报文的序列号中包含的第二字段对M取模得到模值；

所述第二网络设备以所述模值作为索引值，从所述子密钥集合中查找到所述索引值对应的子密钥。

7.根据权利要求5或6所述的方法，其特征在于，所述第二网络设备将所述数据报文的序列号中包含的第一字段和所述确定出的子密钥进行解密处理，得到解密字段，包括：

所述第二网络设备将所述数据报文的序列号中包含的第一字段和所述确定出的子密钥进行异或操作，得到解密字段，其中，所述确定出的子密钥的字节数目与所述第一字段的字节数目相同。