專利名稱:一種專用局域網(wǎng)的安全訪問方法及用于該方法的裝置的制作方法
技術領域:
本發(fā)明涉及網(wǎng)絡通信技術領域�����,尤其涉及一種專用局域網(wǎng)的安全訪問方法及用于該方法的裝置����。
背景技術:
在未來的IPv6環(huán)境下����,隨著IP地址資源的極大豐富,以及各種電子設備的智能化和網(wǎng)絡化�,專用局域網(wǎng)中每個設備都可以擁有獨立的IP地址�,通過這些設備的IP地址或其對應的域名���,可以從外部網(wǎng)絡尋址到相應的設備。這使得通過互聯(lián)網(wǎng)遠程訪問和控制專用局域網(wǎng)中的設備在技術上成為可能��;而且隨著應用和服務的發(fā)展�����,對專用局域網(wǎng)中的設備進行遠程訪問和控制也會逐漸成為用戶的迫切需求�����。
但是��,由于專用局域網(wǎng)中設備的私密性和敏感性�����,設備擁有者并不希望外部網(wǎng)絡可以任意訪問專用局域網(wǎng)中的設備�。如果允許外部網(wǎng)絡任意訪問這些設備,則這些設備將面臨被攻擊的巨大風險����,并可能會給設備擁有者造成重大損失。
上述問題對專用局域網(wǎng)提出了安全性的要求,即要求提供一種有效的在IPv6環(huán)境下的專用局域網(wǎng)的安全訪問機制在保證專用局域網(wǎng)內(nèi)設備與外部網(wǎng)絡的正常通信的同時�����,保護專用局域網(wǎng)不受來自外部網(wǎng)絡的惡意攻擊�;合法用戶可以從外界訪問專用局域網(wǎng)的內(nèi)部設備,而未經(jīng)授權的其他人則無法訪問該專用局域網(wǎng)�����。
現(xiàn)有技術中����,VPN(Virtual Private Network,虛擬專用網(wǎng))技術是目前比較完善的一種專用網(wǎng)絡安全訪問機制�����。VPN技術向用戶提供一種虛擬的專用網(wǎng)絡�,這種網(wǎng)絡雖然借助公用網(wǎng)絡的基礎設施進行通信,但其安全性卻類似由用戶租用的專用物理線路構成的專用網(wǎng)絡��。只有經(jīng)過身份認證的合法VPN用戶可以從外部網(wǎng)絡訪問VPN中的局域網(wǎng)��,其它外部網(wǎng)絡的用戶或設備不能訪問這些局域網(wǎng)��。
現(xiàn)有的VPN技術主要是通過隧道技術即通過跨越公眾網(wǎng)絡的隧道來實現(xiàn)專用局域網(wǎng)間的互連和專用網(wǎng)絡安全訪問。隧道技術通常有兩種工作模式隧道模式和傳輸模式��,而現(xiàn)有的VPN技術通常采用隧道模式進行工作��。圖1顯示的是現(xiàn)有的隧道模式的工作原理示意圖����。如圖1所示�,在隧道模式中,安全通信隧道建立在隧道服務器之間�。通信時,外部網(wǎng)絡中的源主機將IP數(shù)據(jù)包發(fā)送給源隧道服務器���,源隧道服務器將源IP數(shù)據(jù)包加密并打包到新的IP數(shù)據(jù)包中�,在新的IP頭和源IP數(shù)據(jù)包間插入安全頭(AH和ESP頭)�����,將新的IP數(shù)據(jù)包源地址和目的地址分別更換為源隧道服務器和目的隧道服務器的地址����,然后發(fā)送給目的隧道服務器。目的隧道服務器收到該數(shù)據(jù)包后���,從中提取并解密源IP數(shù)據(jù)包����,然后將源IP數(shù)據(jù)包發(fā)送給專用局域網(wǎng)中的目的主機。
現(xiàn)有的VPN技術雖然較好地解決了專用局域網(wǎng)訪問的安全性����,但其以下一些特征還不能很好的滿足IPv6環(huán)境下專用局域網(wǎng)安全訪問的需求。
首先���,在現(xiàn)有的VPN保護下的每個專用局域網(wǎng)都需要一個專職的隧道服務器��,當用戶從外部訪問該專用局域網(wǎng)時�����,需要提供相應的隧道服務器的地址����。為了通過現(xiàn)有的VPN訪問不同的專用局域網(wǎng)�,用戶需要記憶大量的隧道服務器的地址,增加了用戶使用VPN的負擔和難度����。
其次����,現(xiàn)有的VPN的隧道服務器需要大量的復雜的配置工作�,而且隨著VPN邏輯結構的變化(增加或刪除VPN邏輯節(jié)點),需要相應地修改隧道服務器上的所有配置數(shù)據(jù)�����,這使得VPN的可擴展性較差��。
第三��,現(xiàn)有的VPN不能支持輕量級的用戶設備�����。為了使用VPN技術��,用戶設備上需要安裝復雜的VPN支持軟件���。有些情況下,用戶用來訪問專用局域網(wǎng)的設備可能在硬件和軟件上都非常簡單�,沒有安裝或無法安裝VPN支持軟件,則無法通過VPN訪問所需的專用局域網(wǎng)�。
第四�����,由于現(xiàn)有的VPN方案主要采用隧道模式�����,不能解決網(wǎng)絡尋址問題����,用戶在訪問VPN的局域網(wǎng)時�,需要知道并提供網(wǎng)絡接入服務器(NASNetwork Access Server)即隧道服務器的地址,安全通信隧道對用戶不透明���。
最后��,由于現(xiàn)有的VPN的部分安全功能通過用戶設備上的VPN支持軟件實現(xiàn)����,VPN服務提供商無法控制VPN所有的安全特性�����,用戶需要不斷的更新VPN支持軟件以增強安全性����,這就降低了VPN的可管理性�����。
圖2顯示的是現(xiàn)有的傳輸模式的工作原理示意圖���。如圖2所示,在傳輸模式中��,安全通信隧道建立在進行通信的外部網(wǎng)絡中的源主機和專用局域網(wǎng)中的目的主機之間�����。通信時�,源主機對IP數(shù)據(jù)包進行加密�,并在IP頭和上層傳輸協(xié)議頭之間插入相應的安全頭(AH或ESP頭)�����,然后將數(shù)據(jù)包發(fā)送給目的主機。目的主機收到該數(shù)據(jù)包之后����,對數(shù)據(jù)包進行解密并移除IP頭和安全頭����,獲取原始數(shù)據(jù)包����。在傳輸模式下的通信過程中,IP數(shù)據(jù)包的源地址和目的地址不發(fā)生改變�����。但是���,由于安全通信隧道的建立和維護�、以及數(shù)據(jù)包的加密和解密都是由進行通信的源主機和目的主機雙方共同負責��,因此在這種方案下�,雖然不存在網(wǎng)絡尋址問題,但對進行通信的源主機和目的主機要求較高�����,需要安裝大量的安全通信隧道支持軟件�,而且配置和管理工作也較為復雜。
鑒于現(xiàn)有技術中存在的上述缺陷����,本發(fā)明提出了一種專用局域網(wǎng)的安全訪問方法及用于該方法的裝置����,該方法及其裝置基于隧道模式和傳輸模式相結合的混合模式來實現(xiàn)專用局域網(wǎng)的安全訪問��。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種專用局域網(wǎng)的安全訪問方法及用于該方法的裝置�����。該方法及用于該方法的裝置在保證外部網(wǎng)絡中的用戶安全訪問專用局域網(wǎng)的同時�����,使安全通信隧道對用戶(主機)完全透明�,同時采用本發(fā)明的方法�����,一些在軟件和硬件方面都很簡單的主機也可以安全的訪問專用局域網(wǎng)�����,而且本發(fā)明還具有良好的可管理性和可擴展性����。
本發(fā)明的一種專用局域網(wǎng)的安全訪問方法����,該方法利用源隧道服務器和目的隧道服務器來實現(xiàn)專用局域網(wǎng)的安全訪問����,包含以下步驟a、將所述源隧道服務器設置在外部網(wǎng)絡中的源主機發(fā)送IP數(shù)據(jù)包的必經(jīng)之路上�����,以及所述目的隧道服務器設置在專用局域網(wǎng)中的目的主機接收所述IP數(shù)據(jù)包的必經(jīng)之路上�����;b���、在所述源隧道服務器和所述目的隧道服務器之間建立所述外部網(wǎng)絡中的源主機與所述專用局域網(wǎng)中的目的主機進行安全通信的安全通信隧道���,所述源主機通過所述安全通信隧道向所述目的主機發(fā)送所述IP數(shù)據(jù)包,所述IP數(shù)據(jù)包的源地址為所述源主機的IP地址�����,所述IP數(shù)據(jù)包的目的地址為所述目的主機的IP地址;c���、當所述IP數(shù)據(jù)包經(jīng)過所述源隧道服務器時�,所述源隧道服務器截取所述IP數(shù)據(jù)包并對其進行加密處理后�����,將加密后的所述IP數(shù)據(jù)包通過所述安全通信隧道向所述目的主機轉(zhuǎn)發(fā)���;d�、當所述加密后的IP數(shù)據(jù)包經(jīng)過目的隧道服務器時��,所述目的隧道服務器截取所述IP數(shù)據(jù)包并對其進行解密處理后�,將解密后的所述IP數(shù)據(jù)包轉(zhuǎn)發(fā)給所述目的主機;所述IP數(shù)據(jù)包的源地址和目的地址在上述步驟a-c中均不改變�。
其中,步驟c中源隧道服務器截取所述IP數(shù)據(jù)包并對其進行加密處理是根據(jù)所述源隧道服務器與所述目的隧道服務器相互協(xié)定的安全策略來截取所述IP數(shù)據(jù)包��,并按照與所述安全策略對應的安全聯(lián)盟對截取的所述IP數(shù)據(jù)包進行加密處理�。步驟d中目的隧道服務器截取所述IP數(shù)據(jù)包并對其進行解密處理是根據(jù)所述源隧道服務器與所述目的隧道服務器相互協(xié)定的安全策略來截取所述IP數(shù)據(jù)包�,并按照與所述安全策略對應的安全聯(lián)盟對截取的所述IP數(shù)據(jù)包進行解密處理。
源隧道服務器部署在所述IP數(shù)據(jù)包自所述源主機外出的必經(jīng)路由設備上,目的隧道服務器部署在所述IP數(shù)據(jù)包進入所述目的主機的必經(jīng)路由設備上���。
本發(fā)明的一種源隧道服務器��,設置在外部網(wǎng)絡中的源主機發(fā)送IP數(shù)據(jù)包的必經(jīng)之路上��,包含外出包過濾單元�����,用于截取由所述外部網(wǎng)絡中的源主機發(fā)出的所述IP數(shù)據(jù)包���;加密單元,用于對所述外出包過濾單元截取的所述IP數(shù)據(jù)包進行加密處理��;外出包轉(zhuǎn)發(fā)單元����,用于將所述加密單元加密后的所述IP數(shù)據(jù)包向所述專用局域網(wǎng)中的目的主機轉(zhuǎn)發(fā)。
其中���,源隧道服務器進一步包含用于存儲各種安全策略和安全聯(lián)盟的安全策略和安全聯(lián)盟數(shù)據(jù)庫�����,所述安全策略和安全聯(lián)盟數(shù)據(jù)庫進一步包含用于存儲各種安全策略的安全策略數(shù)據(jù)庫�,以及用于存儲各種安全聯(lián)盟的安全聯(lián)盟數(shù)據(jù)庫,所述安全策略數(shù)據(jù)庫與所述安全聯(lián)盟數(shù)據(jù)庫相對應�����。外出包過濾單元截取由外部網(wǎng)絡中的源主機發(fā)出的IP數(shù)據(jù)包是根據(jù)存儲在所述安全策略數(shù)據(jù)庫中的所述源隧道服務器與所述目的隧道服務器相互協(xié)定的安全策略來截取所述IP數(shù)據(jù)包��,所述加密單元對所述外出包過濾單元截取的所述IP數(shù)據(jù)包進行加密處理是按照存儲在所述安全聯(lián)盟數(shù)據(jù)庫中的與所述安全策略對應的安全聯(lián)盟對截取的所述IP數(shù)據(jù)包進行加密處理�。
本發(fā)明的一種目的隧道服務器,設置在專用局域網(wǎng)中的目的主機接收IP數(shù)據(jù)包的必經(jīng)之路上�����,包含進入包過濾單元�,用于截取由源隧道服務器發(fā)出的經(jīng)加密的所述IP數(shù)據(jù)包;解密單元�,用于對所述進入包過濾單元截取的所述IP數(shù)據(jù)包進行解密處理;進入包轉(zhuǎn)發(fā)單元��,用于將所述解密單元解密后的所述IP數(shù)據(jù)包轉(zhuǎn)發(fā)給所述專用局域網(wǎng)中的目的主機����。
其中,目的隧道服務器進一步包含用于存儲各種安全策略和安全聯(lián)盟的安全策略和安全聯(lián)盟數(shù)據(jù)庫�����,所述安全策略和安全聯(lián)盟數(shù)據(jù)庫進一步包含用于存儲各種安全策略的安全策略數(shù)據(jù)庫�����,以及用于存儲各種安全聯(lián)盟的安全聯(lián)盟數(shù)據(jù)庫����,所述安全策略數(shù)據(jù)庫與所述安全聯(lián)盟數(shù)據(jù)庫相對應。進入包過濾單元截取由源隧道服務器發(fā)出的經(jīng)加密的IP數(shù)據(jù)包是根據(jù)存儲在所述安全策略數(shù)據(jù)庫中的所述源隧道服務器與所述目的隧道服務器相互協(xié)定的安全策略來截取所述IP數(shù)據(jù)包�����,所述解密單元對所述進入包過濾單元截取的所述IP數(shù)據(jù)包進行解密處理是按照存儲在所述安全聯(lián)盟數(shù)據(jù)庫中的與所述安全策略對應的安全聯(lián)盟對截取的所述IP數(shù)據(jù)包進行解密處理�。
本發(fā)明的一種隧道服務器,設置在外部網(wǎng)絡中的源主機發(fā)送IP數(shù)據(jù)包的必經(jīng)之路上�,以及專用局域網(wǎng)中的目的主機接收所述IP數(shù)據(jù)包的必經(jīng)之路上,包含外出包過濾單元����,當所述隧道服務器作為源隧道服務器時,用于截取由外部網(wǎng)絡中的源主機發(fā)出的IP數(shù)據(jù)包�����;加密單元,用于對所述外出包過濾單元截取的所述IP數(shù)據(jù)包進行加密處理��;外出包轉(zhuǎn)發(fā)單元�����,用于將所述加密單元加密后的所述IP數(shù)據(jù)包向所述專用局域網(wǎng)中的目的主機轉(zhuǎn)發(fā)����。
進入包過濾單元,當所述隧道服務器作為目的隧道服務器時����,用于截取由源隧道服務器發(fā)出的經(jīng)加密的IP數(shù)據(jù)包;解密單元�����,用于對所述進入包過濾單元截取的所述IP數(shù)據(jù)包進行解密處理��;進入包轉(zhuǎn)發(fā)單元�,用于將所述解密單元解密后的所述IP數(shù)據(jù)包轉(zhuǎn)發(fā)給所述專用局域網(wǎng)中的目的主機。
其中����,隧道服務器進一步包含用于存儲各種安全策略和安全聯(lián)盟的安全策略和安全聯(lián)盟數(shù)據(jù)庫�����,所述安全策略和安全聯(lián)盟數(shù)據(jù)庫進一步包含用于存儲各種安全策略的安全策略數(shù)據(jù)庫���,以及用于存儲各種安全聯(lián)盟的安全聯(lián)盟數(shù)據(jù)庫�,所述安全策略數(shù)據(jù)庫與所述安全聯(lián)盟數(shù)據(jù)庫相對應。
外出包過濾單元截取由外部網(wǎng)絡中的源主機發(fā)出的IP數(shù)據(jù)包是根據(jù)存儲在所述安全策略數(shù)據(jù)庫中的所述源隧道服務器與所述目的隧道服務器相互協(xié)定的安全策略來截取所述IP數(shù)據(jù)包�,加密單元對所述外出包過濾單元截取的所述IP數(shù)據(jù)包進行加密處理是按照存儲在所述安全聯(lián)盟數(shù)據(jù)庫中的與所述安全策略對應的安全聯(lián)盟對截取的所述IP數(shù)據(jù)包進行加密處理。進入包過濾單元截取由源隧道服務器發(fā)出的經(jīng)加密的IP數(shù)據(jù)包是根據(jù)存儲在所述安全策略和安全聯(lián)盟數(shù)據(jù)庫中的所述源隧道服務器與所述目的隧道服務器相互協(xié)定的安全策略來截取所述IP數(shù)據(jù)包���,解密單元對所述進入包過濾單元截取的所述IP數(shù)據(jù)包進行解密處理是按照存儲在所述安全策略和安全聯(lián)盟數(shù)據(jù)庫中的與所述安全策略對應的安全聯(lián)盟對截取的所述IP數(shù)據(jù)包進行解密處理����。
本發(fā)明采用一種新的基于傳輸模式和隧道模式相結合的混合模式來實現(xiàn)外部網(wǎng)絡中的設備安全訪問專用局域網(wǎng)中的設備��。本發(fā)明利用隧道模式的特性來解決通信安全性問題的同時�����,利用傳輸模式的特性來解決網(wǎng)絡尋址問題���,使安全通信隧道對用戶透明�����。
圖1是現(xiàn)有的隧道模式的工作原理示意圖��;圖2是現(xiàn)有的傳輸模式的工作原理示意圖���;圖3是根據(jù)本發(fā)明實施例的源隧道服務器的結構示意圖���;圖4是根據(jù)本發(fā)明實施例的目的隧道服務器的結構示意圖;圖5是根據(jù)本發(fā)明實施例的隧道服務器的結構示意圖���。
具體實施例方式
下面結合附圖和實施例對本發(fā)明作進一步的說明�。
本發(fā)明通過采用傳輸模式和隧道模式相結合的混合模式�����,在實現(xiàn)外部網(wǎng)絡中的設備安全訪問專用局域網(wǎng)中的設備的同時�����,解決了網(wǎng)絡尋址問題和通信安全性問題�����。
本發(fā)明利用傳輸模式中的發(fā)送的IP數(shù)據(jù)包的源地址和目的地址在整個通信過程中不發(fā)生改變的特性,解決了網(wǎng)絡尋址問題�。同時,本發(fā)明通過利用類似于隧道模式中的隧道服務器并在該隧道服務器之間建立安全通信隧道的特性來保證外部網(wǎng)絡中的主機安全訪問專用局域網(wǎng)中的主機�����,解決了通信安全性的問題����。
本發(fā)明所采用的混合模式的體系結構與現(xiàn)有的VPN技術所采用的隧道模式的體系結構基本相同�����,參見圖1�,均由作為通信雙方的外部網(wǎng)絡中的源主機和專用局域網(wǎng)中的目的主機、以及各自相應的源隧道服務器和目的隧道服務器所組成�,安全通信隧道則建立在源隧道服務器和目的隧道服務器之間。但與現(xiàn)有的VPN技術不同的是��,本發(fā)明的混合模式下的源隧道服務器和目的隧道服務器可以不是專職的隧道服務器���。這是因為本發(fā)明將源隧道服務器設置在外部網(wǎng)絡中的源主機發(fā)送IP數(shù)據(jù)包的必經(jīng)之路上�����,目的隧道服務器則設置在專用局域網(wǎng)中的目的主機接收所述IP數(shù)據(jù)包的必經(jīng)之路上����,而且外部網(wǎng)絡中的源主機向?qū)S镁钟蚓W(wǎng)中的目的主機發(fā)送的IP數(shù)據(jù)包的源地址和目的地址在整個通信過程中不發(fā)生改變。這樣�����,本發(fā)明的源隧道服務器和目的隧道服務器就可以通過主動截取的方式來獲取IP數(shù)據(jù)包并對其進行加密或解密��,而且本發(fā)明的源隧道服務器和目的隧道服務器自身可以不需要分配相應的IP地址�����,因此本發(fā)明的源隧道服務器和目的隧道服務器可以不是專職的隧道服務器���。而現(xiàn)有的VPN技術中的源隧道服務器和目的隧道服務器則需要以被動接收的方式來獲取IP數(shù)據(jù)包�����,而且外部網(wǎng)絡中的源主機發(fā)送的IP數(shù)據(jù)包的源地址和目的地址在整個通信過程中要發(fā)生改變����,因此現(xiàn)有的VPN技術中的源隧道服務器和目的隧道服務器需要分配相應的IP地址,是必須要單獨設置的專職的隧道服務器�����。
與此相比�����,由于本發(fā)明將源隧道服務器設置在外部網(wǎng)絡中的源主機發(fā)送IP數(shù)據(jù)包的必經(jīng)之路上��,目的隧道服務器設置在專用局域網(wǎng)中的目的主機接收IP數(shù)據(jù)包的必經(jīng)之路上����,且兩者不需要分配IP地址,因此可以將本發(fā)明的源隧道服務器或目的隧道服務器與IP數(shù)據(jù)包的必經(jīng)之路上任何設備結合在一起以達到本發(fā)明的安全訪問專用局域網(wǎng)的目的����,例如����,可以將本發(fā)明的源隧道服務器部署在IP數(shù)據(jù)包自外部網(wǎng)絡中的源主機外出的必經(jīng)路由設備上,以及目的隧道服務器部署在IP數(shù)據(jù)包進入專用局域網(wǎng)中的目的主機的必經(jīng)路由設備上���,這些路由設備通常是距離源主機和目的主機較近的路由器或網(wǎng)關等���。
當外部網(wǎng)絡中的源主機想要訪問專用局域網(wǎng)中的目的主機時����,首先�����,要在源主機的源隧道服務器和目的主機的目的隧道服務器之間建立源主機與目的主機進行安全通信的安全通信隧道���,在本發(fā)明中���,源隧道服務器和目的隧道服務器之間的安全通信隧道的建立采用的是常規(guī)的現(xiàn)有技術手段。在現(xiàn)有技術中通常有兩種方法來建立安全通信隧道����,一種為手工配置隧道方法,另一種則為自動配置隧道方法����。
在本發(fā)明中,源隧道服務器和目的隧道服務器之間所建立的外部網(wǎng)絡中的源主機與專用局域網(wǎng)中的目的主機進行安全通信的安全通信隧道為單向隧道�����,即外部網(wǎng)絡中的源主機向?qū)S镁钟蚓W(wǎng)中的目的主機發(fā)送IP數(shù)據(jù)包的安全通信隧道。若專用局域網(wǎng)中的主機想要向外部網(wǎng)絡中的主機進行通信時�����,則可采用相同的方法另行建立專用局域網(wǎng)中的主機向外部網(wǎng)絡中的主機發(fā)送IP數(shù)據(jù)包的單向的安全通信隧道�。
當安全通信隧道建立好之后,外部網(wǎng)絡中的源主機通過該安全通信隧道向?qū)S镁钟蚓W(wǎng)中的目的主機發(fā)送IP數(shù)據(jù)包����,以此來訪問專用局域網(wǎng)中的主機。源主機發(fā)送的IP數(shù)據(jù)包的源地址為外部網(wǎng)絡中的源主機的IP地址���、目的地址為專用局域網(wǎng)中的目的主機的IP地址�����。
其次����,當外部網(wǎng)絡中的源主機發(fā)送的IP數(shù)據(jù)包經(jīng)過源隧道服務器時�����,源隧道服務器截取該IP數(shù)據(jù)包并對其進行加密處理后�,將加密后的IP數(shù)據(jù)包通過安全通信隧道向?qū)S镁钟蚓W(wǎng)中的目的主機轉(zhuǎn)發(fā)。
在本發(fā)明中����,源隧道服務器可以根據(jù)源隧道服務器與目的隧道服務器相互協(xié)定的安全策略截取由外部網(wǎng)絡中的源主機發(fā)出的IP數(shù)據(jù)包,并按照與該安全策略對應的安全聯(lián)盟對截取到的該IP數(shù)據(jù)包進行加密處理����。
安全策略(Security Policy,SP)和安全聯(lián)盟(Security Associate����,SA)是兩個通信實體例如外部網(wǎng)絡中的源主機和專用局域網(wǎng)中的目的主機之間為安全通信所設定的一種協(xié)定。其中���,安全策略用于決定何種外出或進入的IP數(shù)據(jù)包需要安全保護��,其至少包含IP數(shù)據(jù)包的源地址和目的地址兩個選擇符�����,除此之外���,還可以包含源端口和目的端口等其它選擇符,各種安全策略可以被保存在安全策略數(shù)據(jù)庫中���;安全聯(lián)盟則用于決定保護IP數(shù)據(jù)包安全的IPSec協(xié)議�����、加密方式�、密鑰以及密鑰的有效存在時間等等,同樣���,各種安全聯(lián)盟也可以保存在安全聯(lián)盟數(shù)據(jù)庫中����。安全策略數(shù)據(jù)庫和安全聯(lián)盟數(shù)據(jù)庫也可以共同保存在一個安全策略和安全聯(lián)盟數(shù)據(jù)庫中��。安全策略和安全聯(lián)盟兩者之間存在對應的關系����,是一種現(xiàn)有技術。
通過協(xié)定進行安全通信所要采用的安全策略及與之對應的安全聯(lián)盟�����,源隧道服務器和目的隧道服務器之間建立起外部網(wǎng)絡中的源主機向?qū)S镁钟蚓W(wǎng)中的目的主機進行安全通信的安全通信隧道��。
由于源隧道服務器設置在外部網(wǎng)絡中的源主機發(fā)送IP數(shù)據(jù)包的必經(jīng)之路上�,因此當外部網(wǎng)絡中的源主機向?qū)S镁钟蚓W(wǎng)中的目的主機發(fā)送IP數(shù)據(jù)包時,該IP數(shù)據(jù)包必然經(jīng)過源隧道服務器���。這樣���,當一個IP數(shù)據(jù)包經(jīng)過源隧道服務器時,源隧道服務器就調(diào)用安全策略數(shù)據(jù)庫中的源隧道服務器與目的隧道服務器已經(jīng)協(xié)議好的安全策略對該經(jīng)過的IP數(shù)據(jù)包進行比對和判斷�����,將符合該源隧道服務器與目的隧道服務器已經(jīng)協(xié)議好的安全策略的IP數(shù)據(jù)包截取下來����,之后,再調(diào)用安全聯(lián)盟數(shù)據(jù)庫中與該安全策略對應的安全聯(lián)盟對截取下來的IP數(shù)據(jù)包進行加密處理���。
在本發(fā)明中���,源隧道服務器按照與安全策略對應的安全聯(lián)盟對截取到的IP數(shù)據(jù)包進行加密處理的方法可以有如下兩種1、對截取到的源IP數(shù)據(jù)包按照與安全策略對應的安全聯(lián)盟進行加密后�����,將其打包到新的IP數(shù)據(jù)包中�,在新的IP頭和源IP數(shù)據(jù)包之間加入相應的安全頭(AH或ESP頭)�,新的IP數(shù)據(jù)包的源地址和目的地址仍然保持為原來的源主機和目的主機地址���,參見下表加密處理前的IP數(shù)據(jù)包為
加密處理后的新的IP數(shù)據(jù)包為
或
2�����、對截取到的源IP數(shù)據(jù)包按照與安全策略對應的安全聯(lián)盟進行加密后���,在IP頭和上層傳輸協(xié)議頭之間加入相應的安全頭(AH或ESP頭),新的IP數(shù)據(jù)包的源地址和目的地址仍然保持為原來的源主機和目的主機地址��,參見下表加密處理前的IP數(shù)據(jù)包為
加密處理后的新的IP數(shù)據(jù)包為
或
在源隧道服務器對截取到的IP數(shù)據(jù)包完成加密處理后��,源隧道服務器接著將加密后的IP數(shù)據(jù)包向?qū)S镁钟蚓W(wǎng)中的目的主機轉(zhuǎn)發(fā)�。
最后,當源隧道服務器發(fā)出的加密后的IP數(shù)據(jù)包經(jīng)過目的隧道服務器時���,目的隧道服務器截取該IP數(shù)據(jù)包���,并對截取到的該IP數(shù)據(jù)包進行解密處理后,將解密后的IP數(shù)據(jù)包轉(zhuǎn)發(fā)給專用局域網(wǎng)中的目的主機���。
在本發(fā)明中���,目的隧道服務器截取源隧道服務器發(fā)出的IP數(shù)據(jù)包的工作原理,與源隧道服務器截取外部網(wǎng)絡中的源主機發(fā)出的IP數(shù)據(jù)包的工作原理相同����,即目的隧道服務器根據(jù)源隧道服務器與目的隧道服務器相互協(xié)定的安全策略來截取源隧道服務器發(fā)出的經(jīng)加密后的IP數(shù)據(jù)包。目的隧道服務器使用的該安全策略與源隧道服務器中使用的安全策略相同���。
當目的隧道服務器根據(jù)相應的安全策略截取到源隧道服務器發(fā)出的IP數(shù)據(jù)包后����,目的隧道服務器按照與安全策略對應的安全聯(lián)盟對截取到的IP數(shù)據(jù)包進行相對于加密處理的解密處理�,獲取原始IP數(shù)據(jù)包并轉(zhuǎn)發(fā)給專用局域網(wǎng)中的目的主機。
在上述整個安全通信過程中�����,通信的安全性由隧道服務器保證�����,外部網(wǎng)絡中的源主機和專用局域網(wǎng)中的目的主機無需對IP數(shù)據(jù)包進行任何與安全相關的處理����;同時���,IP數(shù)據(jù)包的源地址和目的地址在整個通信過程中也不發(fā)生改變,IP數(shù)據(jù)包的路由尋址按正常方式進行����,隧道服務器和主機無需增加任何特殊的路由配置或處理。
圖3顯示的是根據(jù)本發(fā)明實施例的源隧道服務器的結構示意圖�。如圖3所示,本發(fā)明的一種源隧道服務器300����,用于專用局域網(wǎng)的安全訪問,包含外出包過濾單元310����,加密單元320和外出包轉(zhuǎn)發(fā)單元330。
其中���,外出包過濾單元310用于截取由外部網(wǎng)絡中的源主機發(fā)出的IP數(shù)據(jù)包���;加密單元320用于對外出包過濾單元310截取的IP數(shù)據(jù)包進行加密處理;外出包轉(zhuǎn)發(fā)單元330用于將加密單元320加密后的IP數(shù)據(jù)包向?qū)S镁钟蚓W(wǎng)中的目的主機轉(zhuǎn)發(fā)����。
此外���,本發(fā)明的源隧道服務器300還可以進一步包含用于存儲各種安全策略和安全聯(lián)盟的安全策略和安全聯(lián)盟數(shù)據(jù)庫340。其中����,該安全策略和安全聯(lián)盟數(shù)據(jù)庫340還可以進一步包含用于存放各種安全策略的安全策略數(shù)據(jù)庫341和用于存放各種安全聯(lián)盟的安全聯(lián)盟數(shù)據(jù)庫342�����,安全策略數(shù)據(jù)庫341和安全聯(lián)盟數(shù)據(jù)庫342之間存在對應關系�。
在本發(fā)明中,外出包過濾單元310可以根據(jù)存儲在安全策略和安全聯(lián)盟數(shù)據(jù)庫340的安全策略數(shù)據(jù)庫341中的源隧道服務器與目的隧道服務器相互協(xié)定的安全策略來截取由外部網(wǎng)絡中的源主機發(fā)出的IP數(shù)據(jù)包�����;加密單元320可以按照存儲在安全策略和安全聯(lián)盟數(shù)據(jù)庫340的安全聯(lián)盟數(shù)據(jù)庫342中的與安全策略對應的安全聯(lián)盟對IP數(shù)據(jù)包進行加密處理�����;圖4顯示的是根據(jù)本發(fā)明實施例的目的隧道服務器的結構示意圖�。如圖4所示,本發(fā)明的一種目的隧道服務器400��,用于專用局域網(wǎng)的安全訪問,包含進入包過濾單元410����、解密單元420和進入包轉(zhuǎn)發(fā)單元430。
其中進入包過濾單元410用于截取由源隧道服務器300發(fā)出的經(jīng)加密的IP數(shù)據(jù)包���;解密單元420用于對進入包過濾單元410截取的IP數(shù)據(jù)包進行解密處理�����;進入包轉(zhuǎn)發(fā)單元430用于將解密單元解密后的IP數(shù)據(jù)包轉(zhuǎn)發(fā)給專用局域網(wǎng)中的目的主機�。
此外���,本發(fā)明的目的隧道服務器400還可以進一步包含用于存儲各種安全策略和安全聯(lián)盟的安全策略和安全聯(lián)盟數(shù)據(jù)庫340�����。其中���,該安全策略和安全聯(lián)盟數(shù)據(jù)庫340還可以進一步包含用于存放各種安全策略的安全策略數(shù)據(jù)庫341和用于存放各種安全聯(lián)盟的安全聯(lián)盟數(shù)據(jù)庫342,安全策略數(shù)據(jù)庫341和安全聯(lián)盟數(shù)據(jù)庫342之間存在對應關系�����。
在本發(fā)明中,進入包過濾單元410可以根據(jù)存儲在安全策略和安全聯(lián)盟數(shù)據(jù)庫340的安全策略數(shù)據(jù)庫341中的外部網(wǎng)絡中的源隧道服務器與專用局域網(wǎng)中的目的隧道服務器相互協(xié)定的安全策略來截取由源隧道服務器300發(fā)出的經(jīng)加密的IP數(shù)據(jù)包����,解密單元420可以按照存儲在安全策略和安全聯(lián)盟數(shù)據(jù)庫340的安全聯(lián)盟數(shù)據(jù)庫342中的與安全策略對應的安全聯(lián)盟對截取到的IP數(shù)據(jù)包進行解密處理。
圖3和圖4所示的源隧道服務器300和目的隧道服務器400的組合只適合外部網(wǎng)絡中的主機單向訪問專用局域網(wǎng)中的主機的情況�����,若外部網(wǎng)絡中的主機和專用局域網(wǎng)中的主機要實現(xiàn)雙向通信的情況下�,可以將本發(fā)明的源隧道服務器300和目的隧道服務器400結合在一種隧道服務器500中,該隧道服務器500能夠同時實現(xiàn)源隧道服務器300和目的隧道服務器400的功能�����。
圖5顯示的是根據(jù)本發(fā)明實施例的隧道服務器的結構示意圖����。如圖5所示��,本發(fā)明的一種隧道服務器500��,用于專用局域網(wǎng)中雙向通信的安全訪問�,包含外出包過濾單元310、加密單元320�、外出包轉(zhuǎn)發(fā)單元330��、進入包過濾單元410�、解密單元420以及進入包轉(zhuǎn)發(fā)單元430����。
其中,外出包過濾單元310用于當隧道服務器500作為源隧道服務器300時截取由外部網(wǎng)絡中的源主機發(fā)出的IP數(shù)據(jù)包���;加密單元320用于對外出包過濾單元310截取的IP數(shù)據(jù)包進行加密處理�����;外出包轉(zhuǎn)發(fā)單元330用于將加密單元320加密后的IP數(shù)據(jù)包向?qū)S镁钟蚓W(wǎng)中的目的主機轉(zhuǎn)發(fā)�����。
進入包過濾單元410用于當隧道服務器500作為目的隧道服務器400時截取由源隧道服務器300發(fā)出的經(jīng)加密的IP數(shù)據(jù)包���;解密單元420用于對進入包過濾單元410截取的IP數(shù)據(jù)包進行解密處理;進入包轉(zhuǎn)發(fā)單元430用于將解密單元420解密后的IP數(shù)據(jù)包轉(zhuǎn)發(fā)給專用局域網(wǎng)中的目的主機��。
此外����,本發(fā)明的隧道服務器還可以包含用于存儲各種安全策略和安全聯(lián)盟安全策略和安全聯(lián)盟數(shù)據(jù)庫340�����。其中����,該安全策略和安全聯(lián)盟數(shù)據(jù)庫340還可以進一步包含用于存放各種安全策略的安全策略數(shù)據(jù)庫341和用于存放各種安全聯(lián)盟的安全聯(lián)盟數(shù)據(jù)庫342�,安全策略數(shù)據(jù)庫341和安全聯(lián)盟數(shù)據(jù)庫342之間存在對應關系。
在本發(fā)明中����,外出包過濾單元310可以根據(jù)存儲在安全策略和安全聯(lián)盟數(shù)據(jù)庫340的安全策略數(shù)據(jù)庫341中的外部網(wǎng)絡中的源隧道服務器與專用局域網(wǎng)中的目的隧道服務器相互協(xié)定的安全策略來截取由外部網(wǎng)絡中的源主機發(fā)出的IP數(shù)據(jù)包,加密單元320可以按照存儲在安全策略和安全聯(lián)盟數(shù)據(jù)庫340的安全聯(lián)盟數(shù)據(jù)庫342中的與安全策略對應的安全聯(lián)盟對IP數(shù)據(jù)包進行加密處理�。進入包過濾單元410可以根據(jù)存儲在安全策略和安全聯(lián)盟數(shù)據(jù)庫340的安全策略數(shù)據(jù)庫341中的外部網(wǎng)絡中的源隧道服務器與專用局域網(wǎng)中的目的隧道服務器相互協(xié)定的安全策略來截取由源隧道服務器300發(fā)出的經(jīng)加密的IP數(shù)據(jù)包,解密單元420可以按照存儲在安全策略和安全聯(lián)盟數(shù)據(jù)庫340的安全聯(lián)盟數(shù)據(jù)庫342中的與安全策略對應的安全聯(lián)盟對截取到的IP數(shù)據(jù)包進行解密處理�����。
本發(fā)明的基于混合模式的專用局域網(wǎng)的安全訪問方法還具有如下的優(yōu)點1.安全性專用局域網(wǎng)內(nèi)部的主機和外部網(wǎng)絡中的主機的通信通過隧道服務器500之間的安全通信隧道進行����,保證了專用局域網(wǎng)訪問的安全性���。
2.易用性隧道服務器500之間的安全通信隧道對用戶(主機)完全透明��。用戶在訪問目的專用局域網(wǎng)時無需提供任何隧道服務器500的信息(如隧道服務器500的地址等)���,只需直接輸入要訪問的專用局域網(wǎng)內(nèi)目的主機的地址�,即可通過安全通信隧道訪問相應的目的主機����。對用戶而言,從外部網(wǎng)絡訪問專用局域網(wǎng)內(nèi)的主機與從內(nèi)部訪問該主機的方式一樣簡單�。
3.支持簡單主機本方法中,通信的安全性由隧道服務器500保證���,主機無需任何與安全或路由相關的配置和處理����,所以主機無需安裝任何支持專用局域網(wǎng)安全訪問的軟件和硬件��。采用本方法�����,一些在軟件和硬件方面都很簡單的主機也可以安全的訪問專用局域網(wǎng)��。
4.可管理性由于所有安全相關的處理都在隧道服務器500上進行�����,所以這種專用局域網(wǎng)的安全訪問服務易于管理。管理者可以在隧道服務器500上配置和管理專用局域網(wǎng)訪問的所有安全特性��,對安全特性的修改或增強不會對用戶主機有任何軟件或硬件的要求���,也不會對用戶主機使用該服務有任何影響����。
5.可擴展性為了向用戶提供專用局域網(wǎng)安全訪問服務�,只需在網(wǎng)絡的適當位置上部署相應的隧道服務器500即可,隧道服務器500的加入不會影響網(wǎng)絡的其它部分或設備��,包括使用安全訪問服務的用戶主機����,自身也無需進行任何特殊的路由配置或處理。因此��,本方法具有良好的可擴展性����。
權利要求
1.一種專用局域網(wǎng)的安全訪問方法���,所述方法利用源隧道服務器和目的隧道服務器來實現(xiàn)專用局域網(wǎng)的安全訪問�,其特征在于,所述方法包含以下步驟a�����、將所述源隧道服務器設置在外部網(wǎng)絡中的源主機發(fā)送IP數(shù)據(jù)包的必經(jīng)之路上����,以及所述目的隧道服務器設置在專用局域網(wǎng)中的目的主機接收所述IP數(shù)據(jù)包的必經(jīng)之路上;b����、在所述源隧道服務器和所述目的隧道服務器之間建立所述外部網(wǎng)絡中的源主機與所述專用局域網(wǎng)中的目的主機進行安全通信的安全通信隧道,所述源主機通過所述安全通信隧道向所述目的主機發(fā)送所述IP數(shù)據(jù)包��,所述IP數(shù)據(jù)包的源地址為所述源主機的IP地址����,所述IP數(shù)據(jù)包的目的地址為所述目的主機的IP地址;c�、當所述IP數(shù)據(jù)包經(jīng)過所述源隧道服務器時,所述源隧道服務器截取所述IP數(shù)據(jù)包并對其進行加密處理后����,將加密后的所述IP數(shù)據(jù)包通過所述安全通信隧道向所述目的主機轉(zhuǎn)發(fā)���;d、當所述加密后的IP數(shù)據(jù)包經(jīng)過目的隧道服務器時���,所述目的隧道服務器截取所述IP數(shù)據(jù)包并對其進行解密處理后��,將解密后的所述IP數(shù)據(jù)包轉(zhuǎn)發(fā)給所述目的主機�����;所述IP數(shù)據(jù)包的源地址和目的地址在上述步驟a-c中均不改變����。
2.如權利要求1所述的專用局域網(wǎng)的安全訪問方法���,其特征在于����,所述步驟c中源隧道服務器截取所述IP數(shù)據(jù)包并對其進行加密處理是根據(jù)所述源隧道服務器與所述目的隧道服務器相互協(xié)定的安全策略來截取所述IP數(shù)據(jù)包���,并按照與所述安全策略對應的安全聯(lián)盟對截取的所述IP數(shù)據(jù)包進行加密處理����。
3.如權利要求2所述的專用局域網(wǎng)的安全訪問方法�����,其特征在于��,所述步驟d中目的隧道服務器截取所述IP數(shù)據(jù)包并對其進行解密處理是根據(jù)所述源隧道服務器與所述目的隧道服務器相互協(xié)定的安全策略來截取所述IP數(shù)據(jù)包��,并按照與所述安全策略對應的安全聯(lián)盟對截取的所述IP數(shù)據(jù)包進行解密處理�����。
4.如權利要求1所述的專用局域網(wǎng)的安全訪問方法���,其特征在于���,所述源隧道服務器部署在所述IP數(shù)據(jù)包自所述源主機外出的必經(jīng)路由設備上,所述目的隧道服務器部署在所述IP數(shù)據(jù)包進入所述目的主機的必經(jīng)路由設備上�����。
5.一種源隧道服務器���,其特征在于�,所述源隧道服務器設置在外部網(wǎng)絡中的源主機發(fā)送IP數(shù)據(jù)包的必經(jīng)之路上,包含外出包過濾單元�����,用于截取由所述外部網(wǎng)絡中的源主機發(fā)出的所述IP數(shù)據(jù)包��;加密單元�,用于對所述外出包過濾單元截取的所述IP數(shù)據(jù)包進行加密處理;外出包轉(zhuǎn)發(fā)單元���,用于將所述加密單元加密后的所述IP數(shù)據(jù)包向所述專用局域網(wǎng)中的目的主機轉(zhuǎn)發(fā)��。
6.如權利要求5所述的源隧道服務器�,其特征在于�,所述源隧道服務器進一步包含用于存儲各種安全策略和安全聯(lián)盟的安全策略和安全聯(lián)盟數(shù)據(jù)庫,所述安全策略和安全聯(lián)盟數(shù)據(jù)庫進一步包含用于存儲各種安全策略的安全策略數(shù)據(jù)庫�,以及用于存儲各種安全聯(lián)盟的安全聯(lián)盟數(shù)據(jù)庫,所述安全策略數(shù)據(jù)庫與所述安全聯(lián)盟數(shù)據(jù)庫相對應��。
7.如權利要求6所述的源隧道服務器����,其特征在于�����,所述外出包過濾單元截取由外部網(wǎng)絡中的源主機發(fā)出的IP數(shù)據(jù)包是根據(jù)存儲在所述安全策略數(shù)據(jù)庫中的所述源隧道服務器與所述目的隧道服務器相互協(xié)定的安全策略來截取所述IP數(shù)據(jù)包,所述加密單元對所述外出包過濾單元截取的所述IP數(shù)據(jù)包進行加密處理是按照存儲在所述安全聯(lián)盟數(shù)據(jù)庫中的與所述安全策略對應的安全聯(lián)盟對截取的所述IP數(shù)據(jù)包進行加密處理�����。
8.一種目的隧道服務器��,其特征在于�,所述目的隧道服務器設置在專用局域網(wǎng)中的目的主機接收IP數(shù)據(jù)包的必經(jīng)之路上,包含進入包過濾單元����,用于截取由源隧道服務器發(fā)出的經(jīng)加密的所述IP數(shù)據(jù)包;解密單元�,用于對所述進入包過濾單元截取的所述IP數(shù)據(jù)包進行解密處理;進入包轉(zhuǎn)發(fā)單元��,用于將所述解密單元解密后的所述IP數(shù)據(jù)包轉(zhuǎn)發(fā)給所述專用局域網(wǎng)中的目的主機�。
9.如權利要求8所述的目的隧道服務器,其特征在于�,所述目的隧道服務器進一步包含用于存儲各種安全策略和安全聯(lián)盟的安全策略和安全聯(lián)盟數(shù)據(jù)庫,所述安全策略和安全聯(lián)盟數(shù)據(jù)庫進一步包含用于存儲各種安全策略的安全策略數(shù)據(jù)庫�,以及用于存儲各種安全聯(lián)盟的安全聯(lián)盟數(shù)據(jù)庫���,所述安全策略數(shù)據(jù)庫與所述安全聯(lián)盟數(shù)據(jù)庫相對應。
10.如權利要求9所述的目的隧道服務器��,其特征在于�,所述進入包過濾單元截取由源隧道服務器發(fā)出的經(jīng)加密的IP數(shù)據(jù)包是根據(jù)存儲在所述安全策略數(shù)據(jù)庫中的所述源隧道服務器與所述目的隧道服務器相互協(xié)定的安全策略來截取所述IP數(shù)據(jù)包,所述解密單元對所述進入包過濾單元截取的所述IP數(shù)據(jù)包進行解密處理是按照存儲在所述安全聯(lián)盟數(shù)據(jù)庫中的與所述安全策略對應的安全聯(lián)盟對截取的所述IP數(shù)據(jù)包進行解密處理���。
11.一種隧道服務器��,其特征在于�����,所述隧道服務器設置在外部網(wǎng)絡中的源主機發(fā)送IP數(shù)據(jù)包的必經(jīng)之路上��,以及專用局域網(wǎng)中的目的主機接收所述IP數(shù)據(jù)包的必經(jīng)之路上����,包含外出包過濾單元�����,當所述隧道服務器作為源隧道服務器時����,用于截取由外部網(wǎng)絡中的源主機發(fā)出的IP數(shù)據(jù)包��;加密單元���,用于對所述外出包過濾單元截取的所述IP數(shù)據(jù)包進行加密處理;外出包轉(zhuǎn)發(fā)單元�,用于將所述加密單元加密后的所述IP數(shù)據(jù)包向所述專用局域網(wǎng)中的目的主機轉(zhuǎn)發(fā)��。進入包過濾單元�����,當所述隧道服務器作為目的隧道服務器時����,用于截取由源隧道服務器發(fā)出的經(jīng)加密的IP數(shù)據(jù)包;解密單元����,用于對所述進入包過濾單元截取的所述IP數(shù)據(jù)包進行解密處理;進入包轉(zhuǎn)發(fā)單元���,用于將所述解密單元解密后的所述IP數(shù)據(jù)包轉(zhuǎn)發(fā)給所述專用局域網(wǎng)中的目的主機�����。
12.如權利要求11所述的隧道服務器��,其特征在于���,所述隧道服務器進一步包含用于存儲各種安全策略和安全聯(lián)盟的安全策略和安全聯(lián)盟數(shù)據(jù)庫���,所述安全策略和安全聯(lián)盟數(shù)據(jù)庫進一步包含用于存儲各種安全策略的安全策略數(shù)據(jù)庫,以及用于存儲各種安全聯(lián)盟的安全聯(lián)盟數(shù)據(jù)庫�,所述安全策略數(shù)據(jù)庫與所述安全聯(lián)盟數(shù)據(jù)庫相對應。
13.如權利要求12所述的隧道服務器����,其特征在于,所述外出包過濾單元截取由外部網(wǎng)絡中的源主機發(fā)出的IP數(shù)據(jù)包是根據(jù)存儲在所述安全策略數(shù)據(jù)庫中的所述源隧道服務器與所述目的隧道服務器相互協(xié)定的安全策略來截取所述IP數(shù)據(jù)包�,所述加密單元對所述外出包過濾單元截取的所述IP數(shù)據(jù)包進行加密處理是按照存儲在所述安全聯(lián)盟數(shù)據(jù)庫中的與所述安全策略對應的安全聯(lián)盟對截取的所述IP數(shù)據(jù)包進行加密處理。
14.如權利要求12所述的隧道服務器���,其特征在于��,所述進入包過濾單元截取由源隧道服務器通過安全通信隧道發(fā)出的經(jīng)加密的IP數(shù)據(jù)包是根據(jù)存儲在所述安全策略數(shù)據(jù)庫中的所述源隧道服務器與所述目的隧道服務器相互協(xié)定的安全策略來截取所述IP數(shù)據(jù)包�����,所述解密單元對所述進入包過濾單元截取的所述IP數(shù)據(jù)包進行解密處理是按照存儲在所述安全聯(lián)盟數(shù)據(jù)庫中的與所述安全策略對應的安全聯(lián)盟對截取的所述IP數(shù)據(jù)包進行解密處理����。
全文摘要
本發(fā)明提供一種專用局域網(wǎng)的安全訪問方法及用于該方法的裝置。該方法及用于該方法的裝置采用一種新的基于傳輸模式和隧道模式相結合的混合模式來實現(xiàn)外部網(wǎng)絡中的設備安全訪問專用局域網(wǎng)中的設備�。即利用隧道模式的特性來解決通信安全性問題,同時利用傳輸模式的特性來解決網(wǎng)絡尋址問題����,保證了外部網(wǎng)絡中的用戶安全訪問專用局域網(wǎng),并使安全通信隧道對用戶(主機)完全透明��,而且一些在軟件和硬件方面都很簡單的主機也可以通過采用本發(fā)明的方法和裝置來安全訪問專用局域網(wǎng)����,此外����,本發(fā)明還具有良好的可管理性和可擴展性。
文檔編號H04L9/00GK1901499SQ20051002806
公開日2007年1月24日 申請日期2005年7月22日 優(yōu)先權日2005年7月22日
發(fā)明者張青山 申請人:上海貝爾阿爾卡特股份有限公司