一种IPSecVPN网关数据处理方法
【专利摘要】本发明涉及通讯安全领域,尤其是一种IPSec?VPN自动配置IPSec策略的方法。本发明所要解决的技术问题是:针对上述存在的问题,提供一种IPSecVPN网关数据处理方法,采用本发明提供的方法,仅需在每个IPSecVPN网关配置自身所保护的网络和服务,并配置信息发布中心信息,即可实现到IPSecVPN网关之间所保护的网络间的互联互通。本发明通过信息发布服务器、IPSecVPN等通讯,简化IPSecVPN网关的策略配置,每个IPSecVPN网关配置只需配置自身所保护的网络/服务和信息发布服务的信息,即可实现IPSecVPN网关之间保护网络的互联互通。本发明应用于数据通讯安全领域。
【专利说明】—种IPSec VPN网关数据处理方法
【技术领域】
[0001]本发明涉及通讯安全领域,尤其是一种IPSec VPN自动配置IPSec策略的方法。【背景技术】
[0002]IPSec (Internet Protocol Security),是通过对IP协议(互联网协议)的分组进行加密和认证来保护IP协议的网络传输协议族(一些相互关联的协议的集合),用以提供公用和专用网络的端对端加密和验证服务。
[0003]IPsec由两大部分组成:(I)建立安全分组流的密钥交换协议;(2)保护分组流的协议。前者为互联网密钥交换(IKE)协议。后者包括加密分组流的封装安全载荷协议(ESP协议)或认证头协议(AH协议)协议,用于保证数据的机密性、来源可靠性(认证)、无连接的完整性并提供抗重播服务,鉴于ESP协议具有更好的安全性,在实际应用中大多是ESP协议,本文中只阐述使用ESP协议时的处理流程。
[0004]VPN (Virtual Private Network,虚拟专用网络)被定义为通过公用网络(通常是因特网)建立临时的、安全的连接,是一条穿过公用网络的安全、稳定隧道。VPN可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。VPN主要采用隧道技术、力口解密技术、密钥管理技术和使用者与设备身份认证技术。
[0005]IPSec VPN即指采用IPSec协议来实现远程接入的一种VPN技术。IPSec VPN提供
(I)入口对入口通信安全,在此机制下,分组通信的安全性由单个节点提供给多台机器(甚至可以是整个局域网);(2)端到端分组通信安全,由作为端点的计算机完成安全操作。
[0006]IPSec VPN网关是指提供IPSec服务的网关设备。IPSec VPN可提供端到端、端到网络、网络到网络的通信安全,通常,IPSec VPN在端到网络、网络到网络的模式下,在网络一端一般部署IPSec VPN网关来负责实现IPSec的配置和通信。IPSec VPN网关需要配置IPSec策略,IPSec策略一般根据到达IPSec VPN网关的网络数据包的源地址、源端口、目的地址、目的端口、协议类型来确定该数据包是否应该按IPSec的保护分组流的协议处理。
[0007]IPSec VPN常用于机构总部到各分支机构、以及各分支机构之间,基于不安全的Internet网络,提供安全的网络通讯服务。通常在机构总部和各分支机构接入互联网的入口处部署IPSec VPN网关,由IPSec VPN网关实现安全的网络通信服务。
[0008]由于总部、分支机构组成了网状的网络结构,且总部、分支机构只是也可能存在一定规模的内部局域网,因此,在每个IPSec VPN网关中都可能要包配置其他网关的网络信息,包括其他网关的IP地址,其他网关所保护的内网地址,甚至其他网关所保护的一系列内网服务的地址和端口,并需要根据这些信息和本网关所保护的网络信息配置策略,且一旦某个网络或服务发生变化,与其相关的IPSec VPN网关均需要做修改对应的策略,在这类情况下,策略的配置会相当的繁琐,也容易出错,导致网络不通,影响IPSec VPN网关提供的网络服务。
【发明内容】
[0009]本发明所要解决的技术问题是:针对上述存在的问题,提供一种IPSec VPN网关数据处理方法,采用本发明提供的方法,仅需在每个IPSec VPN网关配置自身所保护的网络和服务,并配置信息发布中心信息,即可实现到IPSec VPN网关之间所保护的网络间的互联互通。
[0010]本发明采用的技术方案如下:
一种IPSec VPN网关数据处理方法包括:
步骤1:1PSec VPN网关与信息发布服务器建立信息连接;
步骤2:每台IPSec VPN网关与信息发布服务器建立信息连接后,从信息发布服务器获取其他IPSec VPN网关的信息及所保护的网络服务的信息,并生成IPSec策略信息,所述IPSec VPN策略信息是与其他IPSec VPN网关所保护的网络服务的信息一一对应的;
步骤3:当某IPSec VPN网关接收到网络数据包时,该IPSec VPN网关会根据该网络数据包的网络信息、IPSec策略信息以及该IPSec VPN网关的访问权限设置,判断该网络数据包是否该按照ESP协议处理。
[0011 ] 所述步骤I具体步骤包括:
步骤11:信息发布服务器为所有IPSec VPN网关配置对应的认证信息;
步骤12:所述每台IPSec VPN网关配置信息发布服务的信息,所述信息发布服务的信息包括认证信息及信息发布服务器地址;
步骤13:对应IPSec VPN网关按照与信息服务器规定的认证信息进行认证识别,若认证识别通过,则该IPSec VPN网关将其自身及其所保护的网络服务向信息服务器进行信息注册,然后从信息发布服务器获取其他IPSec VPN网关发布的信息;若认证识别不通过,则该IPSec VPN网关不上传自身及其所保护的网络服务的信息,不获取信息发布服务器发布的其他IPSec VPN网关的信息。
[0012]一种IPSec VPN网关数据处理方法还包括步骤13:当IPSec VPN网关发布的信息有变更时,信息发布服务器会向其他认证识别通过的IPSec VPN网关推送发生变更的信息。
[0013]所述认证识别的过程通过账号/ 口令鉴别机制或者证书鉴别机制进行。
[0014]所述IPSec VPN网关自身保护的网络服务包括IPSec VPN网关所在局域网、局域网的服务器、局域网的设备。
[0015]所述步骤2中每台IPSec VPN网关在启动时,从信息发布服务器获取其他IPSecVPN网关的信息及所保护的网络服务信息的具体步骤包括:
步骤21:1PSec VPN网关获取其他IPSec VPN网关的自身的IP地址和掩码;
步骤22:1PSec VPN网关获取其他IPSec VPN网关所保护的网络服务的信息,网络信息包括:IP地址、IP掩码、协议类型、网络服务端口号;
步骤23:1PSec VPN网关根据获得的其他IPSec VPN网关的所保护的网络服务信息生成对应的IPsec策略信息。
[0016]所述步骤3具体步骤是:
步骤31:当该IPSec VPN网关接收到网络数据包时,首先根据该数据包的网络信息和该IPSec VPN网关的访问控制策略,判断该数据包是否可以通过该IPSec VPN网关,如果不能通过该IPSec VPN网关,则丢弃该数据包;如果可通过该IPSec VPN网关,则执行步骤32 ;
步骤32:该IPSec VPN网关会根据网络数据包网络信息,与该IPSec VPN网关生成的IPSec策略信息进行匹配,若不能匹配策略,则丢弃该数据包;若能与IPSec策略信息完全匹配,则将该网络数据包进行按照ESP协议处理:如果该数据包需要ESP封包,则将该将数据包进行ESP封装包处理后,发送给目的IPSec VPN网关;如果该数据包需要ESP解包,则将该数据包验证并解密后,还原原始数据包,并将该原始数据包的网络信息和该IPSec VPN网关的访问控制策略,判断该原始数据包是否可以通过该IPSec VPN网关,如果不能通过该IPSec VPN网关,则丢弃该原始数据包;如果可通过该IPSec VPN网关,则将该原始数据包发送给目标设备或服务器。
[0017]所述信息发布服务器集成在IPSec VPN网关或者通过单独的服务器实现。
[0018]所述信息发布服务器集成在IPSec VPN网关或者通过单独的服务器实现。
[0019]综上所述,由于采用了上述技术方案,本发明的有益效果是:
1、简化IPSec VPN网关的策略配置,每个IPSec VPN网关配置只需配置自身所保护的网络/服务和信息发布服务的信息,即可实现IPSec VPN网关之间保护网络的互联互通。
[0020]2、网络数据包进行访问时,可进行权限访问设置,大大简化了数据通讯过程,提高效率。
【专利附图】
【附图说明】
[0021]本发明将通过例子并参照附图的方式说明,其中:
图1为本发明的部署示意 图;
图2为本发明的通信流程示意图。
【具体实施方式】
[0022]本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。
[0023]本说明书(包括任何附加权利要求、摘要和附图)中公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
[0024]本发明相关说明
1.账号/ 口令鉴别机制:信息发布服务为每个IPSec VPN网关生成账号和口令,IPSecVPN网关在配置信息发布服务信息时,填入相应的认证账户和口令。IPSec VPN网关采用此账户和口令与信息发布服务进行鉴别。
[0025]2.证书鉴别机制:每个IPSec VPN网关生成PKCS#10的证书请求,交给信息发布服务签发证书,签发的证书导入IPSec VPN网关,IPSec VPN网关采用此证书与信息发布服务进行鉴别。
[0026]3.1PSec VPN网关自身保护的网络服务包括局域网、局域网的服务器(图2中内部服务器区中的服务器)、局域网的设备(图2中内部办公区中工作机)。
[0027]4.协议类型是TCP/IP等协议。
[0028]5.信息发布服务器功能是:实现IPSec VPN网关及其所保护的网络服务(IPSecVPN网关所在局域网的服务器、设备等)信息注册。
[0029]6.1PSec VPN网关与信息发布服务器之间是SSL方式通讯。
[0030]7.源IPSec VPN网关指的是发送网络数据包的网络服务所在的IPSec VPN网关。目的IPSec VPN网关指的是接收网络数据包的网络服务所在的IPSec VPN网关。
[0031]8.当信息发布服务器集成在某一 IPSec VPN网关时,此IPSec VPN网关为主网关,本设计中还可以在包括一个从IPSec VPN网关(还包括一个信息发布服务器)本设计包括两个IPSec VPN网关,其中一个IPSec VPN网关是常用的主IPSec VPN网关(主IPSec VPN网关),另外一个是备用的从网关(从IPSec VPN网关)
9.1PSec策略信息包括三元组(或五元组)、其他安全参数以及算法等的信息。
[0032]10.网络数据包的网络信息是三元组(源地址、目的地址、协议类型)信息或者五元组(源地址、源端口、目的地址、目的端口、协议类型)信息。
[0033]11.每台IPSec VPN网关在启动时,从信息发布服务器获取其他IPSec VPN网关的信息及所保护的网络服务信息,并生成IPSec策略信息,指的是相当于每个IPSec VPN网关在获取其他IPSec VPN网关的信息及所保护的网络服务信息,并生成IPSec策略信息指的是每台IPSec VPN对其他网关都生成了对应的IPSec策略信息。
[0034]12.网络数据包进行ESP封装包处理,并发送ESP封装包处理后的数据给目的IPSec VPN网关具体过程是:按两个IPSec VPN网关之间通过IKE协商好的安全参数将源数据包封装为ESP包(如果两个IPSec VPN网关之间未进行相应的IKE协商,则首先两IPSecVPN网关会进行相应的IKE协商,协商出双方通信的安全参数),并将封装后的网络数据包发送给其目的IPSec VPN网关。
[0035]13.本发明提供了信息发布服务机制,信息发布服务机制包括:
I)如图1所示,在整个IPSec VPN网络中,部署信息发布服务器。信息发布服务本身可以集成在IPSec VPN网关中,也可以部署在单独的服务器中,本设计中,默认信息发布服务集成在IPSec VPN网关中。在一个网络中,一般情况下有一个主信息发布服务器和一个备用信息发布服务器,但只能有一个信息发布服务器处于工作状态。
[0036]2)每台IPSec VPN网关在启动时,从信息发布服务中获取其他IPSec VPN网关的信息。
[0037]3)每台IPSec VPN网关向信息发布服务器通告自己的信息,包括网关自身的网络信息、网关自身的证书信息、网关所保护网络/服务的信息。通告的时机包括=IPSec VPN网关启动时,IPSec VPN网关自身网络信息和所保护网络/服务配置发生变更时。
[0038]4)当其中一台IPSec VPN网关将信息变更发送到信息发布服务时,信息发布服务将保存该变更,并负责将变更发布到其他的IPSec VPN网关。
[0039]5)每台IPSec VPN网关定时向信息发布服务告知自己的状态,如果某台IPSec VPN网关长期未报告状态,信息发布服务将认为该IPSec VPN网关掉线,将删除该IPSec VPN网关发布的信息,并发布到其他的IPSec VPN网关中。
[0040]13、在IPSec VPN的网络环境中进行如下配置:
步骤1:在其中一台或两台分为主备的IPSec VPN网关中部署信息发布服务器;
步骤2:在信息发布服务器中配置每台IPSec VPN网关的认证信息;
步骤3:为每台IPSec VPN网关配置信息发布服务的信息,包括信息发布服务器的地址、认证信息等;
步骤4:每台IPSec VPN网关配置该IPSec VPN网关所保护的网络服务。
[0041]步骤5:上述配置完成后,IPSec VPN网关将向信息发布服务器报告自身的信息和自己所保护的网络服务的信息。同时也从信息发布服务器获得其他IPSec VPN网关的信息及其所保护网络服务。当这些信息发生变更后,也能及时从信息发布服务器中获得这些变更。
[0042]步骤6 =IPSec VPN网关获得其他网关及其所保护的网络服务的信息后,会生成相应的IPSec策略信息,当有网络数据包到达该IPSec VPN网关时,IPSec VPN网关会根据上述的IPSec策略信息以及网络数据包的网络信息来判断该数据包是否应该按IPSec的ESP协议处理。
[0043]实施例二:分支机构一中的工作机2访问分支机构二的服务器2(该访问数据包路由到分支机构一的IPSec VPN网关,此时没有进行权限访问设置),具体过程是:
步骤1:分支机构一和分支机构二的IPSec VPN网关首先将自己所保护的网络服务发布到总部的信息发布服务中,同时,获取到了其他IPSec VPN网关及其所保护的网络/服务信息,(图2中过程“I”)。
[0044]步骤2:分支机构一的IPSec VPN网关根据从信息发布服务器获得的信息,判断出该网络数据包应该按IPSec的保护分组流的协议处理。具体过程是:按两个IPSec VPN网关之间通过IKE协商好的安全参数将源数据包封装为ESP包(如果分支机构一与分支机构二之间的两个IPSec VPN网关之间未进行相应的IKE协商,则首先两IPSec VPN网关会进行相应的IKE协商,协商出双方通信的安全参数),发送给分支机构二的IPSec VPN网关,图2中过程“2” “3”。
[0045]步骤3:分支机构二的IPSec VPN网关检查到该网络数据包来源于分支机构一的IPSec VPN网关,根据从信息发布服务器获得的信息,判断出该网络数据包应该按IPSec的保护分组流的协议处理,保护分组流的协议处理解密、校验并还原原始的数据包,并将数据包发送给服务器2处理,图2中的过程“4”。从服务器2返回给工作机2的数据包的处理流程与前面的流程类似,本文不再赘述。
[0046]本发明并不局限于前述的【具体实施方式】。本发明扩展到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。
【权利要求】
1.一种IPSec VPN网关数据处理方法,其特征在于包括: 步骤1:1PSec VPN网关与信息发布服务器建立信息连接; 步骤2:每台IPSec VPN网关与信息发布服务器建立信息连接后,从信息发布服务器获取其他IPSec VPN网关的信息及所保护的网络服务的信息,并生成IPSec策略信息,所述IPSec VPN策略信息是与其他IPSec VPN网关所保护的网络服务的信息一一对应的; 步骤3:当某IPSec VPN网关接收到网络数据包时,该IPSec VPN网关会根据该网络数据包的网络信息、IPSec策略信息以及该IPSec VPN网关的访问权限设置,判断该网络数据包是否该按照ESP协议处理。
2.根据权利要求1所述的一 种IPSecVPN网关数据处理方法,其特征在于所述步骤I具体步骤包括: 步骤11:信息发布服务器为所有IPSec VPN网关配置对应的认证信息; 步骤12:所述每台IPSec VPN网关配置信息发布服务的信息,所述信息发布服务的信息包括认证信息及信息发布服务器地址; 步骤13:对应IPSec VPN网关按照与信息服务器规定的认证信息进行认证识别,若认证识别通过,则该IPSec VPN网关将其自身及其所保护的网络服务向信息服务器进行信息注册,然后从信息发布服务器获取其他IPSec VPN网关发布的信息;若认证识别不通过,则该IPSec VPN网关不上传自身及其所保护的网络服务的信息,不获取信息发布服务器发布的其他IPSec VPN网关的信息。
3.根据权利要求2所述的一种IPSecVPN网关数据处理方法,其特征在于还包括步骤13:当IPSec VPN网关发布的信息有变更时,信息发布服务器会向其他认证识别通过的IPSec VPN网关推送发生变更的信息。
4.根据权利要求1所述的一种IPSecVPN网关数据处理方法,其特征在于所述认证识别的过程通过账号/口令鉴别机制或者证书鉴别机制进行。
5.根据权利要求1所述的一种IPSecVPN网关数据处理方法,其特征在于所述IPSecVPN网关自身保护的网络服务包括IPSec VPN网关所在局域网、局域网的服务器、局域网的设备。
6.根据权利要求4所述的一种IPSecVPN网关数据处理方法,其特征在于所述步骤2中每台IPSec VPN网关在启动时,从信息发布服务器获取其他IPSec VPN网关的信息及所保护的网络服务信息的具体步骤包括: 步骤21:1PSec VPN网关获取其他IPSec VPN网关的自身的IP地址和掩码; 步骤22:1PSec VPN网关获取其他IPSec VPN网关所保护的网络服务的信息,网络信息包括:IP地址、IP掩码、协议类型、网络服务端口号; 步骤23:1PSec VPN网关根据获得的其他IPSec VPN网关的所保护的网络服务信息生成对应的IPsec策略信息。
7.根据权利要求1所述的一种IPSecVPN网关数据处理方法,其特征在于所述步骤3具体步骤是: 步骤31:当该IPSec VPN网关接收到网络数据包时,首先根据该数据包的网络信息和该IPSec VPN网关的访问控制策略,判断该数据包是否可以通过该IPSec VPN网关,如果不能通过该IPSec VPN网关,则丢弃该数据包;如果可通过该IPSec VPN网关,则执行步骤.32 ; 步骤32:该IPSec VPN网关会根据网络数据包网络信息,与该IPSec VPN网关生成的IPSec策略信息进行匹配,若不能匹配策略,则丢弃该数据包;若能与IPSec策略信息完全匹配,则将该网络数据包进行按照ESP协议处理:如果该数据包需要ESP封包,则将该将数据包进行ESP封装包处理后,发送给目的IPSec VPN网关;如果该数据包需要ESP解包,则将该数据包验证并解密后,还原原始数据包,并将该原始数据包的网络信息和该IPSec VPN网关的访问控制策略,判断该原始数据包是否可以通过该IPSec VPN网关,如果不能通过该IPSec VPN网关,则丢弃该原始数据包;如果可通过该IPSec VPN网关,则将该原始数据包发送给目标设备或服务器。
8. 根据权利要求1至7之一所述的一种IPSec VPN网关数据处理方法,其特征在于所述信息发布服务器集成在IPSec VPN网关或者通过单独的服务器实现。
【文档编号】H04L12/46GK103491088SQ201310431211
【公开日】2014年1月1日 申请日期:2013年9月22日 优先权日:2013年9月22日
【发明者】吴庆国 申请人:成都卫士通信息产业股份有限公司
文档序号 :
【 7771079 】
技术研发人员:吴庆国
技术所有人:成都卫士通信息产业股份有限公司
备 注:该技术已申请专利,仅供学习研究,如用于商业用途,请联系技术所有人。
声 明 :此信息收集于网络,如果你是此专利的发明人不想本网站收录此信息请联系我们,我们会在第一时间删除
技术研发人员:吴庆国
技术所有人:成都卫士通信息产业股份有限公司
备 注:该技术已申请专利,仅供学习研究,如用于商业用途,请联系技术所有人。
声 明 :此信息收集于网络,如果你是此专利的发明人不想本网站收录此信息请联系我们,我们会在第一时间删除