專(zhuān)利名稱(chēng):一種用于安全訪問(wèn)專(zhuān)用局域網(wǎng)的動(dòng)態(tài)隧道構(gòu)建方法及用于該方法的裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及專(zhuān)用局域網(wǎng)的安全訪問(wèn)����,尤其涉及一種用于安全訪問(wèn)專(zhuān)用局域網(wǎng)的動(dòng)態(tài)隧道構(gòu)建方法及用于該方法的裝置。
背景技術(shù):
在未來(lái)IPv6環(huán)境下�,隨著IP地址資源的極大豐富,以及各種電子設(shè)備的智能化和網(wǎng)絡(luò)化���,專(zhuān)用局域網(wǎng)(例如企業(yè)內(nèi)部網(wǎng)絡(luò)�����、家庭網(wǎng)絡(luò)等)中每個(gè)設(shè)備都可以擁有獨(dú)立的IP地址�����,通過(guò)這些設(shè)備的IP地址或其對(duì)應(yīng)的域名���,可以從外部網(wǎng)絡(luò)尋址到相應(yīng)的設(shè)備�����。這使得通過(guò)互聯(lián)網(wǎng)遠(yuǎn)程訪問(wèn)和控制專(zhuān)用局域網(wǎng)中的設(shè)備在技術(shù)上成為可能�;而且隨著應(yīng)用和服務(wù)的發(fā)展��,對(duì)專(zhuān)用局域網(wǎng)中的設(shè)備進(jìn)行遠(yuǎn)程訪問(wèn)和控制也會(huì)逐漸成為用戶(hù)的迫切需求���。
但是���,由于專(zhuān)用局域網(wǎng)中設(shè)備的私密性和敏感性,設(shè)備擁有者并不希望外部網(wǎng)絡(luò)可以任意訪問(wèn)專(zhuān)用局域網(wǎng)中的設(shè)備���。如果允許外部網(wǎng)絡(luò)任意訪問(wèn)這些設(shè)備�����,則這些設(shè)備將面臨被攻擊的巨大風(fēng)險(xiǎn)����,并可能會(huì)給設(shè)備擁有者造成重大損失��。
隧道技術(shù)是一種目前廣泛使用的解決上述專(zhuān)用局域網(wǎng)安全訪問(wèn)問(wèn)題的解決方案�����。外部網(wǎng)絡(luò)中經(jīng)過(guò)認(rèn)證的用戶(hù)可以通過(guò)建立在專(zhuān)用局域網(wǎng)和外部網(wǎng)絡(luò)之間的安全通信隧道合法地訪問(wèn)專(zhuān)用局域網(wǎng)內(nèi)設(shè)備�����,而外部網(wǎng)絡(luò)中未經(jīng)認(rèn)證的其它主機(jī)/設(shè)備則不能訪問(wèn)該專(zhuān)用局域網(wǎng)����。
現(xiàn)有技術(shù)中,基于隧道技術(shù)的各種VPN(Virtual Private Network���,虛擬專(zhuān)用網(wǎng))技術(shù)是目前比較完善的一種專(zhuān)用網(wǎng)絡(luò)安全訪問(wèn)機(jī)制���。VPN技術(shù)向用戶(hù)提供一種虛擬的專(zhuān)用網(wǎng)絡(luò),這種網(wǎng)絡(luò)雖然借助公用網(wǎng)絡(luò)的基礎(chǔ)設(shè)施進(jìn)行通信�,但其安全性卻類(lèi)似由用戶(hù)租用的專(zhuān)用物理線路構(gòu)成的專(zhuān)用網(wǎng)絡(luò)。通過(guò)隧道技術(shù)��,VPN使得經(jīng)過(guò)身份認(rèn)證的合法用戶(hù)可以從外部網(wǎng)絡(luò)訪問(wèn)VPN中的局域網(wǎng)���,同時(shí)阻止外部網(wǎng)絡(luò)中其它未經(jīng)認(rèn)證的用戶(hù)或設(shè)備訪問(wèn)這些局域網(wǎng)���,而且外部網(wǎng)絡(luò)和VPN局域網(wǎng)之間通信具有安全性和私密性��。
圖1所示是VPN技術(shù)中兩種訪問(wèn)方式遠(yuǎn)程訪問(wèn)方式和本地訪問(wèn)方式�。這兩種方式都通過(guò)相應(yīng)的安全通信隧道對(duì)VPN中的局域網(wǎng)進(jìn)行訪問(wèn)���。下面簡(jiǎn)要介紹兩種方式下的安全通信隧道構(gòu)建方法及不足之處�����。
(1)遠(yuǎn)程訪問(wèn)方式遠(yuǎn)程訪問(wèn)方式下�,安全通信隧道通常是固定配置的����,即專(zhuān)用局域網(wǎng)(VPN)的管理員預(yù)先手工配置好本地接入點(diǎn)和遠(yuǎn)端訪問(wèn)服務(wù)器之間的安全隧道。遠(yuǎn)端訪問(wèn)服務(wù)器與本地接入點(diǎn)即為隧道服務(wù)器��。當(dāng)某外部網(wǎng)絡(luò)源主機(jī)需要訪問(wèn)專(zhuān)用局域網(wǎng)(VPN)時(shí)���,首先連接到本地接入點(diǎn)(POPPoint of Presence)�����,然后向待訪問(wèn)的專(zhuān)用局域網(wǎng)的遠(yuǎn)端訪問(wèn)服務(wù)器(Access Server)發(fā)出訪問(wèn)請(qǐng)求�,經(jīng)過(guò)身份認(rèn)證后���,外部網(wǎng)絡(luò)源主機(jī)即可通過(guò)該預(yù)先構(gòu)建好的安全隧道訪問(wèn)遠(yuǎn)端的專(zhuān)用局域網(wǎng)�。
遠(yuǎn)程訪問(wèn)方式的主要缺點(diǎn)是��,安全隧道是手工配置的�,需要VPN管理員大量的手工配置工作,而且當(dāng)專(zhuān)用局域網(wǎng)(VPN)的網(wǎng)絡(luò)構(gòu)件發(fā)生變化時(shí)����,比如現(xiàn)有的遠(yuǎn)端訪問(wèn)服務(wù)器/本地接入點(diǎn)更改了IP地址,或者部署了新的遠(yuǎn)端訪問(wèn)服務(wù)器/本地接入點(diǎn)等�,這些靜態(tài)配置的手工隧道需要手工進(jìn)行修改,非常麻煩����。
(2)本地訪問(wèn)方式本地訪問(wèn)方式下,外部網(wǎng)絡(luò)源主機(jī)訪問(wèn)專(zhuān)用局域網(wǎng)時(shí)����,首先直接連接到待訪問(wèn)的本地專(zhuān)用局域網(wǎng)的訪問(wèn)服務(wù)器,即外部網(wǎng)絡(luò)源主機(jī)需要知道相應(yīng)的本地訪問(wèn)服務(wù)器的IP地址�����。經(jīng)過(guò)身份認(rèn)證后���,本地訪問(wèn)服務(wù)器和外部網(wǎng)絡(luò)源主機(jī)之間通過(guò)協(xié)商建立起安全通信隧道���。此后���,外部網(wǎng)絡(luò)源主機(jī)即可通過(guò)該隧道訪問(wèn)本地的專(zhuān)用局域網(wǎng)。在這種方式下���,隧道服務(wù)器的角色由本地訪問(wèn)服務(wù)器與外部網(wǎng)絡(luò)源主機(jī)扮演�����。
本地訪問(wèn)方式的主要缺點(diǎn)是隧道對(duì)用戶(hù)是不透明的��,即建立從外部網(wǎng)絡(luò)訪問(wèn)某專(zhuān)用局域網(wǎng)的安全通信隧道時(shí)�����,用戶(hù)需要提供相應(yīng)的專(zhuān)用局域網(wǎng)的訪問(wèn)服務(wù)器的IP地址��。為了訪問(wèn)不同的專(zhuān)用局域網(wǎng)���,用戶(hù)需要記憶大量的訪問(wèn)服務(wù)器的地址,增加了用戶(hù)使用VPN的負(fù)擔(dān)和難度。
另外��,上述兩種隧道構(gòu)建方法不支持輕量級(jí)的用戶(hù)設(shè)備����。其用于訪問(wèn)專(zhuān)用局域網(wǎng)的外部網(wǎng)絡(luò)主機(jī)都不同程度的參與了安全通信隧道的構(gòu)建過(guò)程�,尤其是本地訪問(wèn)方式,外部網(wǎng)絡(luò)主機(jī)作為隧道服務(wù)器����,直接負(fù)責(zé)安全通信隧道的協(xié)商和建立,這就需要該主機(jī)上安裝有復(fù)雜的隧道支持軟件���。但是在有些情況下�����,用戶(hù)用來(lái)訪問(wèn)專(zhuān)用局域網(wǎng)的設(shè)備可能在硬件和軟件上都非常簡(jiǎn)單��,沒(méi)有安裝或無(wú)法安裝這類(lèi)軟件���,則無(wú)法通過(guò)安全隧道訪問(wèn)專(zhuān)用局域網(wǎng)。
發(fā)明內(nèi)容
本發(fā)明提出了一種新的動(dòng)態(tài)隧道構(gòu)建方法�����,本發(fā)明方法將源隧道服務(wù)器和目的隧道服務(wù)器部署在源主機(jī)發(fā)送或者目的主機(jī)接收IP數(shù)據(jù)包必經(jīng)的路由設(shè)備上,并在源隧道服務(wù)器和目的隧道服務(wù)器之間自動(dòng)構(gòu)建安全通信隧道���,無(wú)需手工配置隧道�����,也不需要提供相應(yīng)的專(zhuān)用局域網(wǎng)的訪問(wèn)服務(wù)器的IP地址��。
本發(fā)明方法包括以下步驟首先����,外部網(wǎng)絡(luò)中的源主機(jī)向身份認(rèn)證單元所在方發(fā)送用戶(hù)身份認(rèn)證信息���,由該身份認(rèn)證單元所在方進(jìn)行身份認(rèn)證���。其中,該用戶(hù)身份認(rèn)證信息包括用戶(hù)名�����,用戶(hù)密碼����,該目的主機(jī)的IP地址和端口號(hào)�����,以及該源主機(jī)的IP地址�����。該源主機(jī)的IP地址可以為缺省,默認(rèn)為發(fā)起訪問(wèn)該專(zhuān)用局域網(wǎng)的外部網(wǎng)絡(luò)主機(jī)本身�。
其次,通過(guò)身份認(rèn)證后��,該身份認(rèn)證單元所在方產(chǎn)生一個(gè)包含建立安全通信隧道命令的IP數(shù)據(jù)包��,該IP數(shù)據(jù)包經(jīng)加密后發(fā)送至專(zhuān)用局域網(wǎng)的目的主機(jī)側(cè)的設(shè)備�,該設(shè)備設(shè)置在該目的主機(jī)收發(fā)IP數(shù)據(jù)包的必經(jīng)之路上。該包含建立安全通信隧道命令的IP數(shù)據(jù)包的內(nèi)容部分包括該源主機(jī)的IP地址�,該目的主機(jī)的IP地址及端口號(hào),以及為建立該安全通信隧道用的預(yù)留參數(shù)�;該IP數(shù)據(jù)包的目的地址為目的主機(jī)的IP地址。
再次��,該目的主機(jī)側(cè)的設(shè)備截取含有建立安全通信隧道命令的IP數(shù)據(jù)包并解密該IP數(shù)據(jù)包,再產(chǎn)生一個(gè)包含隧道協(xié)商命令的IP數(shù)據(jù)包,該IP數(shù)據(jù)包經(jīng)加密后發(fā)送至該外部網(wǎng)絡(luò)中的源主機(jī)側(cè)的設(shè)備���,該設(shè)備設(shè)置在該源主機(jī)發(fā)送IP數(shù)據(jù)包的必經(jīng)之路上�����。該IP數(shù)據(jù)包的目的地址為源主機(jī)的IP地址�����。
接著���,該源主機(jī)側(cè)的設(shè)備截取包含隧道協(xié)商命令的IP數(shù)據(jù)包并解密該IP數(shù)據(jù)包,再產(chǎn)生一個(gè)包含隧道協(xié)商回復(fù)命令的IP數(shù)據(jù)包�����,該IP數(shù)據(jù)包經(jīng)加密后發(fā)送至該目的主機(jī)側(cè)的設(shè)備�����;以及最后�,該目的主機(jī)側(cè)的設(shè)備截取含有隧道協(xié)商回復(fù)命令的IP數(shù)據(jù)包并解密該IP數(shù)據(jù)包,該目的主機(jī)側(cè)的設(shè)備根據(jù)該隧道協(xié)商命令中的隧道參數(shù)�����,與該源主機(jī)側(cè)的設(shè)備協(xié)商建立安全通信隧道。
進(jìn)行截取����、解密、產(chǎn)生����、加密和發(fā)送IP數(shù)據(jù)包的上述源主機(jī)側(cè)的設(shè)備可以為設(shè)置在源主機(jī)收發(fā)IP數(shù)據(jù)包必經(jīng)之路上的源隧道服務(wù)器。
進(jìn)行截取���、解密����、產(chǎn)生��、加密和發(fā)送IP數(shù)據(jù)包的上述目的主機(jī)側(cè)的設(shè)備可以為設(shè)置在目的主機(jī)收發(fā)IP數(shù)據(jù)包必經(jīng)之路上的目的隧道服務(wù)器����。
本發(fā)明又提供了一種隧道服務(wù)器��,該隧道服務(wù)器設(shè)置在外部網(wǎng)絡(luò)中的源主機(jī)收發(fā)IP數(shù)據(jù)包的必經(jīng)之路上則作為源隧道服務(wù)器���,或者設(shè)置在專(zhuān)用局域網(wǎng)中的目的主機(jī)收發(fā)IP數(shù)據(jù)包的必經(jīng)之路上則作為目的隧道服務(wù)器���,包括隧道協(xié)商單元�����,用于根據(jù)相應(yīng)的指令和對(duì)端隧道服務(wù)器協(xié)商隧道的加/解密參數(shù)��;隧道數(shù)據(jù)包處理單元��,用于根據(jù)隧道的加/解密參數(shù)對(duì)通過(guò)安全通信隧道傳輸?shù)腎P數(shù)據(jù)包進(jìn)行加/解密處理�����;安全策略和安全聯(lián)盟數(shù)據(jù)庫(kù)��,該安全策略和安全聯(lián)盟數(shù)據(jù)庫(kù)進(jìn)一步包括用于存儲(chǔ)各種安全策略的安全策略數(shù)據(jù)庫(kù)�����,以及用于存儲(chǔ)各種安全聯(lián)盟的安全聯(lián)盟數(shù)據(jù)庫(kù)��;隧道命令過(guò)濾單元�,用于截取來(lái)自外部網(wǎng)絡(luò)的包含隧道命令的IP數(shù)據(jù)包����;隧道命令處理單元��,用于對(duì)該隧道命令過(guò)濾單元截取的包含隧道命令的IP數(shù)據(jù)包進(jìn)行解密�����,并根據(jù)隧道命令的內(nèi)容發(fā)出相應(yīng)的指令����;以及隧道命令產(chǎn)生單元�,用于根據(jù)該隧道命令處理單元的指令產(chǎn)生相應(yīng)的隧道命令,對(duì)隧道命令進(jìn)行加密�����,并發(fā)往目的地址����。
通過(guò)本發(fā)明的動(dòng)態(tài)隧道構(gòu)建方法����,對(duì)現(xiàn)有技術(shù)作出了以下的貢獻(xiàn)1.自動(dòng)性可以動(dòng)態(tài)地自動(dòng)構(gòu)建安全通信隧道,無(wú)需手工干預(yù)��,網(wǎng)絡(luò)構(gòu)件的變化對(duì)動(dòng)態(tài)隧道構(gòu)建方法沒(méi)有影響�����;2.易用性安全隧道對(duì)用戶(hù)完全透明,用戶(hù)無(wú)需記憶任何隧道服務(wù)器的地址�,對(duì)用戶(hù)來(lái)說(shuō)更易于使用;3.支持簡(jiǎn)單主機(jī)本方法中的安全通信隧道的構(gòu)建完全由網(wǎng)絡(luò)服務(wù)提供商(NSP)的設(shè)備完成�����,包括AAA服務(wù)器����,隧道服務(wù)器等。除了提供身份認(rèn)證信息外���,外部網(wǎng)絡(luò)的源主機(jī)無(wú)需任何與安全通信隧道協(xié)商和建立相關(guān)的配置和處理���,所以無(wú)需安裝支持安全通信隧道協(xié)商與建立相關(guān)的軟件和硬件。采用本方法��,一些在軟件和硬件方面都很簡(jiǎn)單的主機(jī)也可以動(dòng)態(tài)構(gòu)建訪問(wèn)專(zhuān)用局域網(wǎng)的安全通信隧道����。
通過(guò)參照結(jié)合附圖所進(jìn)行的如下描述和權(quán)利要求,本發(fā)明的其它目的和成就將是顯而易見(jiàn)的���,并對(duì)本發(fā)明也會(huì)有更為全面的理解���。
借助示例性的實(shí)施例和所附示意圖�,本發(fā)明及其相關(guān)的優(yōu)點(diǎn)將得到進(jìn)一步闡述�����,在附圖中圖1是現(xiàn)有的VPN技術(shù)中遠(yuǎn)程訪問(wèn)方式和本地訪問(wèn)方式的示意圖�;圖2是根據(jù)本發(fā)明的第一實(shí)施例的動(dòng)態(tài)隧道構(gòu)建方法的體系結(jié)構(gòu);圖3根據(jù)本發(fā)明的第二實(shí)施例的動(dòng)態(tài)隧道構(gòu)建方法的流程圖����;以及圖4是根據(jù)本發(fā)明的第二實(shí)施例的隧道服務(wù)器的框圖。
具體實(shí)施例方式
下面根據(jù)附圖具體實(shí)施方式
對(duì)本發(fā)明作進(jìn)一步的詳細(xì)描述�。
實(shí)施例1圖2是根據(jù)本發(fā)明的第一實(shí)施例的動(dòng)態(tài)隧道構(gòu)建方法的體系結(jié)構(gòu)。我們現(xiàn)假設(shè)這樣的場(chǎng)景���,某用戶(hù)屬于其公司所在的專(zhuān)用局域網(wǎng)A的合法用戶(hù)�����,由于出差或者其它原因,該用戶(hù)到了外地�����,他要訪問(wèn)其公司所在的專(zhuān)用局域網(wǎng)A以獲得一些必要的資料,那么如何做到安全地訪問(wèn)專(zhuān)用局域網(wǎng)A呢�?這就需要本發(fā)明的動(dòng)態(tài)隧道構(gòu)建方法在外部網(wǎng)絡(luò)的源主機(jī)和專(zhuān)用局域網(wǎng)的目的主機(jī)之間建立一條安全通信隧道,源主機(jī)通過(guò)安全通信隧道訪問(wèn)目的主機(jī)����。如圖2所示為動(dòng)態(tài)隧道構(gòu)建方法的體系結(jié)構(gòu),其中����,將一個(gè)隧道服務(wù)器設(shè)置在外部網(wǎng)絡(luò)中的源主機(jī)收發(fā)IP數(shù)據(jù)包的必經(jīng)之路上,作為源隧道服務(wù)器�;將另一個(gè)隧道服務(wù)器設(shè)置在專(zhuān)用局域網(wǎng)中的目的主機(jī)收發(fā)IP數(shù)據(jù)包的必經(jīng)之路上,作為目的隧道服務(wù)器�����,以及在公用網(wǎng)絡(luò)中的服務(wù)器上設(shè)置身份認(rèn)證單元�����,用于對(duì)訪問(wèn)該專(zhuān)用局域網(wǎng)的用戶(hù)進(jìn)行身份認(rèn)證����。在源主機(jī)和目的主機(jī)之間建立安全通信隧道���,從而源主機(jī)通過(guò)該安全通信隧道訪問(wèn)目的主機(jī)。
圖3是根據(jù)本發(fā)明的第一實(shí)施例的動(dòng)態(tài)隧道構(gòu)建方法的流程圖����。
外部網(wǎng)絡(luò)中的源主機(jī)向身份認(rèn)證單元所在的服務(wù)器發(fā)送身份認(rèn)證信息,由身份認(rèn)證單元進(jìn)行身份認(rèn)證(步驟320)����。該用戶(hù)身份認(rèn)證信息包括用戶(hù)名,用戶(hù)密碼��,目的主機(jī)的IP地址和端口號(hào)�����,以及源主機(jī)的IP地址����。
該身份認(rèn)證單元對(duì)接收到的身份認(rèn)證信息進(jìn)行身份認(rèn)證還包括以下步驟該身份認(rèn)證單元根據(jù)接收到的信息從公共網(wǎng)絡(luò)中的AAA服務(wù)器獲取該用戶(hù)名對(duì)應(yīng)的專(zhuān)用局域網(wǎng)的網(wǎng)絡(luò)地址范圍;以及檢查該用戶(hù)名以及用戶(hù)密碼是否屬于該專(zhuān)用局域網(wǎng)的合法用戶(hù)�,以及待訪問(wèn)的該目的主機(jī)是否屬于該專(zhuān)用局域網(wǎng)。
如果身份認(rèn)證單元驗(yàn)證了該用戶(hù)是合法用戶(hù)后��,則身份認(rèn)證單元所在的服務(wù)器產(chǎn)生一個(gè)包含建立安全通信隧道命令的IP數(shù)據(jù)包���,該IP數(shù)據(jù)包經(jīng)加密后發(fā)送至目的隧道服務(wù)器(步驟330)��。該包含建立安全通信隧道命令的IP數(shù)據(jù)包的內(nèi)容部分包括源主機(jī)的IP地址����,目的主機(jī)的IP地址及端口號(hào)����,以及為建立安全通信隧道預(yù)留的參數(shù),該IP數(shù)據(jù)包的目的地址為目的主機(jī)的IP地址���。源主機(jī)的IP地址可以為缺省��,默認(rèn)為發(fā)起訪問(wèn)所述專(zhuān)用局域網(wǎng)的外部網(wǎng)絡(luò)主機(jī)本身�����。
目的隧道服務(wù)器截取并處理含有建立安全通信隧道命令的IP數(shù)據(jù)包(步驟340)���。目的隧道服務(wù)器根據(jù)事先協(xié)商好的方法截取該含有隧道命令的IP數(shù)據(jù)包。再對(duì)該IP數(shù)據(jù)包進(jìn)行解密����,根據(jù)該隧道命令的內(nèi)容�,發(fā)出相應(yīng)的指令�。由于這里該隧道命令是要建立安全通信隧道,因此����,根據(jù)指令,目的隧道服務(wù)器產(chǎn)生一個(gè)包含隧道協(xié)商命令的IP數(shù)據(jù)包���,該IP數(shù)據(jù)包經(jīng)加密后發(fā)送至源隧道服務(wù)器�,該IP數(shù)據(jù)包的目的地址為源主機(jī)的IP地址�。
源隧道服務(wù)器截取并處理包含隧道協(xié)商命令的IP數(shù)據(jù)包(步驟350)。源隧道服務(wù)器根據(jù)事先協(xié)商好的方法截取包含隧道協(xié)商命令的IP數(shù)據(jù)包�����。包含隧道協(xié)商命令的IP數(shù)據(jù)包的內(nèi)容部分包括源主機(jī)的IP地址����,目的主機(jī)的IP地址及端口號(hào),以及關(guān)于安全隧道的參數(shù)�。再由源隧道服務(wù)器對(duì)該IP數(shù)據(jù)包進(jìn)行解密,根據(jù)該隧道命令的內(nèi)容�,發(fā)出相應(yīng)的指令����。由于這里該隧道命令是要協(xié)商安全通信隧道��,因此����,根據(jù)指令����,源隧道服務(wù)器產(chǎn)生一個(gè)包含隧道協(xié)商回復(fù)命令的IP數(shù)據(jù)包,該IP數(shù)據(jù)包經(jīng)加密后發(fā)送至目的隧道服務(wù)器����。
目的隧道服務(wù)器截取并處理含有隧道協(xié)商回復(fù)命令的IP數(shù)據(jù)包(步驟360)。目的隧道服務(wù)器根據(jù)事先協(xié)商好的方法截取該含有隧道命令的IP數(shù)據(jù)包��。再對(duì)該IP數(shù)據(jù)包進(jìn)行解密���,根據(jù)該隧道命令的內(nèi)容����,發(fā)出相應(yīng)的指令����。由于這里該隧道命令是隧道協(xié)商回復(fù)命令���,因此,根據(jù)相應(yīng)的指令�,當(dāng)隧道命令處理單元判斷其為正確的回復(fù)命令后,即調(diào)用隧道協(xié)商模塊���,使得目的隧道服務(wù)器根據(jù)隧道協(xié)商命令中的隧道參數(shù)��,與源隧道服務(wù)器協(xié)商建立安全通信隧道���。
前述構(gòu)建安全通信隧道的過(guò)程中,目的隧道服務(wù)器�、源隧道服務(wù)器或者身份認(rèn)證單元所在的服務(wù)器根據(jù)事先協(xié)商好的方法截取含有隧道命令的IP數(shù)據(jù)包。該方法可以靈活設(shè)計(jì)����。這里可以舉出兩個(gè)例子。
例如�,可以根據(jù)該IP數(shù)據(jù)包的包頭內(nèi)的安全參數(shù)索引號(hào)(SPI,Security Parameter Index)進(jìn)行截取���,該安全參數(shù)索引號(hào)由身份認(rèn)證單元所在方����、源主機(jī)側(cè)的設(shè)備或目的主機(jī)側(cè)的設(shè)備加密包含隧道命令的該IP數(shù)據(jù)包后,將一個(gè)約定的保留安全參數(shù)索引號(hào)放入該IP數(shù)據(jù)包的包頭內(nèi)����,作為該IP數(shù)據(jù)包的安全參數(shù)索引號(hào)。
又例如�����,可以根據(jù)該IP數(shù)據(jù)包的源地址進(jìn)行截取�����,該源地址是由身份認(rèn)證單元所在方����、源主機(jī)側(cè)的設(shè)備或目的主機(jī)側(cè)的設(shè)備加密包含隧道命令的該IP數(shù)據(jù)包后��,用一個(gè)約定的保留地址作為該IP數(shù)據(jù)包的源地址����。
前述構(gòu)建安全通信隧道的過(guò)程中,源隧道服務(wù)器����、目的隧道服務(wù)器以及身份認(rèn)證單元所在的服務(wù)器對(duì)IP數(shù)據(jù)包進(jìn)行加密或者解密是根據(jù)其相互協(xié)定的安全策略以及與該安全策略對(duì)應(yīng)的安全聯(lián)盟對(duì)該IP數(shù)據(jù)包進(jìn)行加密和解密處理的�����。安全策略和安全聯(lián)盟分別存儲(chǔ)在安全策略數(shù)據(jù)庫(kù)和安全聯(lián)盟數(shù)據(jù)庫(kù)中�,上述數(shù)據(jù)庫(kù)是現(xiàn)有技術(shù)����。
源隧道服務(wù)器和目的隧道服務(wù)器之間的安全通信隧道建立好以后,外部網(wǎng)絡(luò)中的源主機(jī)就可以通過(guò)該安全通信隧道訪問(wèn)專(zhuān)用局域網(wǎng)中的目的主機(jī)了�����。
當(dāng)外部網(wǎng)絡(luò)中的源主機(jī)通過(guò)該安全通信隧道訪問(wèn)專(zhuān)用局域網(wǎng)完畢后���,可以銷(xiāo)毀該安全通信隧道(步驟370)��。具體包括以下步驟外部網(wǎng)絡(luò)中的源主機(jī)向身份認(rèn)證單元所在的服務(wù)器發(fā)送用戶(hù)身份認(rèn)證信息��;然后身份認(rèn)證單元所在的服務(wù)器對(duì)接收到的信息進(jìn)行身份認(rèn)證��,通過(guò)身份認(rèn)證后�,向目的隧道服務(wù)器發(fā)送包含銷(xiāo)毀安全通信隧道命令的加密IP數(shù)據(jù)包���,該數(shù)據(jù)包的目的地址為目的主機(jī)的IP地址�;最后目的隧道服務(wù)器向源隧道服務(wù)器發(fā)出撤銷(xiāo)該安全通信隧道的通知并刪除目的隧道服務(wù)器中的隧道參數(shù)。
本實(shí)施例中��,身份認(rèn)證單元是獨(dú)立設(shè)置在公用網(wǎng)絡(luò)中的服務(wù)器上的��,例如AAA服務(wù)器上���。但是�,本領(lǐng)域的技術(shù)人員應(yīng)該熟知�,身份認(rèn)證單元的設(shè)置非常靈活,可以獨(dú)立設(shè)置在公用網(wǎng)絡(luò)中的其它設(shè)備上�,也可以設(shè)置在目的隧道服務(wù)器上或者源隧道服務(wù)器上��。
圖4是根據(jù)本發(fā)明的第二實(shí)施例的隧道服務(wù)器的框圖�����。
將隧道服務(wù)器設(shè)置在外部網(wǎng)絡(luò)中的源主機(jī)發(fā)送數(shù)據(jù)包的必經(jīng)之路上���,則作為源隧道服務(wù)器�,或者����,將隧道服務(wù)器設(shè)置在專(zhuān)用局域網(wǎng)中的目的主機(jī)發(fā)送數(shù)據(jù)包的必經(jīng)之路上���,則作為目的隧道服務(wù)器。在該源隧道服務(wù)器和該目的隧道服務(wù)器之間可以動(dòng)態(tài)地建立安全通信隧道���,用于專(zhuān)用局域網(wǎng)的安全訪問(wèn)�����。
該隧道服務(wù)器400包括隧道協(xié)商單元410���,隧道數(shù)據(jù)包處理單元420,數(shù)據(jù)庫(kù)430�����,隧道命令過(guò)濾單元440�����,隧道命令處理單元450以及隧道命令產(chǎn)生單元460��。其中,隧道協(xié)商單元410��,隧道數(shù)據(jù)包處理單元420和數(shù)據(jù)庫(kù)430是隧道服務(wù)器的標(biāo)準(zhǔn)模塊����,屬于現(xiàn)有技術(shù)。但是��,隧道命令過(guò)濾單元440��,隧道命令處理單元450��,隧道命令產(chǎn)生單元460是本發(fā)明中新增的模塊�,通過(guò)這些新增的模塊,可以在源隧道服務(wù)器和目的隧道服務(wù)器之間動(dòng)態(tài)地建立安全通信隧道���,無(wú)需用戶(hù)設(shè)備的參與�,隧道服務(wù)器的網(wǎng)絡(luò)尋址自動(dòng)完成��,無(wú)需手工配置隧道服務(wù)器的地址信息�����。
隧道協(xié)商單元410用于根據(jù)相應(yīng)的指令和對(duì)端隧道服務(wù)器協(xié)商隧道的加解密參數(shù)�。該隧道協(xié)商單元410是隧道服務(wù)器的標(biāo)準(zhǔn)模塊。對(duì)端隧道服務(wù)器是相對(duì)于隧道服務(wù)器400而言的����。如果該隧道服務(wù)器400是源隧道服務(wù)器,則對(duì)端隧道服務(wù)器是目的隧道服務(wù)器�。反之亦然。
隧道數(shù)據(jù)包處理單元420����,用于根據(jù)隧道的加解密參數(shù)對(duì)通過(guò)安全通信隧道傳輸?shù)臄?shù)據(jù)包進(jìn)行加解密處理。該隧道數(shù)據(jù)包處理單元420是隧道服務(wù)器的標(biāo)準(zhǔn)模塊��。
數(shù)據(jù)庫(kù)230包括用于存儲(chǔ)各種安全策略的安全策略數(shù)據(jù)庫(kù)�����,以及用于存儲(chǔ)各種安全聯(lián)盟的安全聯(lián)盟數(shù)據(jù)庫(kù)��。該數(shù)據(jù)庫(kù)430是隧道服務(wù)器的標(biāo)準(zhǔn)模塊����。
安全策略(Security Policy,SP)和安全聯(lián)盟(Security Associate��,SA)是兩個(gè)通信實(shí)體例如外部網(wǎng)絡(luò)中的源主機(jī)和專(zhuān)用局域網(wǎng)中的目的主機(jī)之間的為安全通信所設(shè)定的一種協(xié)定�����。其中,安全策略用于決定何種外出或者進(jìn)入的IP數(shù)據(jù)包需要安全保護(hù)�,其至少包含IP數(shù)據(jù)包的源地址和目的地址兩個(gè)選擇符,除此之外�,還可以包含源端口和目的端口等其它選擇符,各種安全策略可以被保存在安全策略數(shù)據(jù)庫(kù)中�����;安全聯(lián)盟則用于決定保護(hù)IP數(shù)據(jù)包安全的IPSec協(xié)議�����、加密方式����、密鑰以及密鑰的有效存在時(shí)間等等,同樣�,各種安全聯(lián)盟也可以保存在安全聯(lián)盟數(shù)據(jù)庫(kù)中。安全策略和安全聯(lián)盟兩者之間存在對(duì)應(yīng)的關(guān)系�����,是一種現(xiàn)有技術(shù)����。
隧道命令過(guò)濾單元440,用于截取來(lái)自外部網(wǎng)絡(luò)的包含隧道命令的IP數(shù)據(jù)包����。隧道命令過(guò)濾單元440截取包含隧道命令的IP數(shù)據(jù)包,可以用多種靈活的方法���。具體參見(jiàn)第一實(shí)施例中的描述�,本實(shí)施例中不再贅述���。
隧道命令處理單元450�,用于對(duì)該隧道命令過(guò)濾單元截取的包含隧道命令的IP數(shù)據(jù)包進(jìn)行解密�����,并根據(jù)隧道命令的內(nèi)容向隧道協(xié)商單元410或者隧道命令產(chǎn)生單元460發(fā)出相應(yīng)的指令����。如果隧道命令是安全通信隧道建立命令,則隧道命令處理單元450向隧道命令產(chǎn)生單元460發(fā)出產(chǎn)生并發(fā)送安全通信隧道協(xié)商命令的指令���;如果隧道命令是安全通信隧道協(xié)商的命令����,則隧道命令處理單元450向隧道命令產(chǎn)生單元460發(fā)出產(chǎn)生并發(fā)送隧道協(xié)商回復(fù)命令的指令。如果隧道命令是協(xié)商隧道回復(fù)的命令����,則隧道命令處理單元450向隧道協(xié)商單元410發(fā)出和對(duì)端隧道服務(wù)器協(xié)商隧道的加解密參數(shù)的指令。
隧道命令產(chǎn)生單元460�����,用于根據(jù)該隧道命令處理單元450的指令產(chǎn)生相應(yīng)的隧道命令�����,對(duì)隧道命令進(jìn)行加密�����,并發(fā)往目的地址����。其中,相應(yīng)的隧道命令包括隧道建立命令�����,隧道協(xié)商命令,隧道協(xié)商回復(fù)命令或者隧道銷(xiāo)毀命令��。如果隧道命令產(chǎn)生單元460為目的隧道服務(wù)器中的隧道命令產(chǎn)生單元�,則其產(chǎn)生的隧道命令包括隧道建立命令(如果身份認(rèn)證單元設(shè)置在目的隧道服務(wù)器中的話)�����,隧道協(xié)商命令以及隧道撤銷(xiāo)命令�。如果隧道命令產(chǎn)生單元460為源隧道服務(wù)器中的隧道命令產(chǎn)生單元,則其產(chǎn)生的隧道命令包括隧道協(xié)商回復(fù)命令�。
可選地,該隧道服務(wù)器400還可以包括身份認(rèn)證單元470����,用于對(duì)外部網(wǎng)絡(luò)中源主機(jī)進(jìn)行身份認(rèn)證。該身份認(rèn)證單元470根據(jù)外部網(wǎng)絡(luò)的源主機(jī)發(fā)來(lái)的身份認(rèn)證信息����,從公共網(wǎng)絡(luò)中的AAA服務(wù)器獲取該用戶(hù)名對(duì)應(yīng)的專(zhuān)用局域網(wǎng)的網(wǎng)絡(luò)地址范圍,該身份認(rèn)證信息包括用戶(hù)名���,用戶(hù)密碼�����,目的主機(jī)的IP地址和端口號(hào)�����,以及源主機(jī)的IP地址��;接著該身份認(rèn)證單元470檢查該用戶(hù)名以及用戶(hù)密碼是否屬于該專(zhuān)用局域網(wǎng)的合法用戶(hù)����,以及待訪問(wèn)的目的主機(jī)是否屬于該專(zhuān)用局域網(wǎng)。如果檢查下來(lái)是合法的用戶(hù)��,則該用戶(hù)有權(quán)訪問(wèn)該專(zhuān)用局域網(wǎng)�����。
其中��,AAA(Authentication�,Authorization,Accounting�����,認(rèn)證,授權(quán)����,記帳)服務(wù)器被設(shè)置在公共網(wǎng)絡(luò)中,是一種用于身份認(rèn)證�,授權(quán)和帳戶(hù)記帳的通用服務(wù)器,是一種現(xiàn)有技術(shù)�����。
值得一提的是��,該身份認(rèn)證單元470也可以不設(shè)置在隧道服務(wù)器400中���。一般來(lái)說(shuō),身份認(rèn)證處理單元470可以靈活地單獨(dú)設(shè)置在公共網(wǎng)絡(luò)的服務(wù)器中�����,例如設(shè)置在AAA服務(wù)器中��,而不限于設(shè)置在隧道服務(wù)器中�����。
接下來(lái)詳細(xì)描述對(duì)IP數(shù)據(jù)包進(jìn)行加密或者解密的問(wèn)題�����。源隧道服務(wù)器、目的隧道服務(wù)器對(duì)IP數(shù)據(jù)包進(jìn)行加密或者解密是根據(jù)其相互協(xié)定的安全策略以及與該安全策略對(duì)應(yīng)的安全聯(lián)盟對(duì)該IP數(shù)據(jù)包進(jìn)行加密和解密處理的��。安全策略和安全聯(lián)盟存儲(chǔ)在安全策略和安全聯(lián)盟數(shù)據(jù)庫(kù)中�,該數(shù)據(jù)庫(kù)是現(xiàn)有技術(shù)。本實(shí)施例中��,該安全策略和安全聯(lián)盟數(shù)據(jù)庫(kù)包括在數(shù)據(jù)庫(kù)430中����。從圖4中也可以看出,數(shù)據(jù)庫(kù)430與隧道協(xié)商單元410�,隧道數(shù)據(jù)包處理單元420,隧道命令處理單元450以及隧道命令產(chǎn)生單元460之間分別用雙箭頭虛線連接�,說(shuō)明數(shù)據(jù)庫(kù)430與它們之間分別存在數(shù)據(jù)交互操作,即當(dāng)這些單元要對(duì)IP數(shù)據(jù)包進(jìn)行加解密時(shí)�,都要調(diào)用該數(shù)據(jù)庫(kù)430。
上述的用于安全訪問(wèn)專(zhuān)用局域網(wǎng)的動(dòng)態(tài)隧道構(gòu)建方法��,其對(duì)于現(xiàn)有的安全通信隧道構(gòu)建方法具有下述有益效果���。
首先����,具有自動(dòng)性可以動(dòng)態(tài)地自動(dòng)構(gòu)建安全通信隧道,無(wú)需手工干預(yù)�����,網(wǎng)絡(luò)構(gòu)件的變化對(duì)動(dòng)態(tài)隧道構(gòu)建方法沒(méi)有影響���;并且在通信完畢后��,可以撤銷(xiāo)該通信隧道。
其次����,具有易用性安全隧道對(duì)用戶(hù)完全透明,用戶(hù)無(wú)需記憶任何隧道服務(wù)器的地址���,對(duì)用戶(hù)來(lái)說(shuō)更易于使用��。
再次���,支持簡(jiǎn)單主機(jī)本方法中的安全通信隧道的構(gòu)建完全由網(wǎng)絡(luò)服務(wù)提供商(NSP)的設(shè)備完成,包括AAA服務(wù)器�,隧道服務(wù)器等。除了提供身份認(rèn)證信息外,外部網(wǎng)絡(luò)的源主機(jī)無(wú)需任何與安全通信隧道協(xié)商和建立相關(guān)的配置和處理���,所以無(wú)需安裝支持安全通信隧道協(xié)商與建立相關(guān)的軟件和硬件���。采用本方法,一些在軟件和硬件方面都很簡(jiǎn)單的主機(jī)也可以動(dòng)態(tài)構(gòu)建訪問(wèn)專(zhuān)用局域網(wǎng)的安全通信隧道���。
本發(fā)明結(jié)合上述典型實(shí)施例進(jìn)行了詳細(xì)描述�����,各種選擇�、修改����、變化、改進(jìn)和/或基本的等同技術(shù)��,目前已知的內(nèi)容��,對(duì)本領(lǐng)域的普通技術(shù)人員是熟知的��。因此��,本發(fā)明的上述的典型實(shí)施例,在與闡明而不在于限制本發(fā)明�。在不脫離本發(fā)明的精神和范圍之內(nèi)可以做多種改變。因此���,本發(fā)明可以包含所有已知的或者以后發(fā)展的選擇�、修改�����、變化����、改進(jìn)和/或基本的等同技術(shù)。
權(quán)利要求
1.一種用于安全訪問(wèn)專(zhuān)用局域網(wǎng)的動(dòng)態(tài)隧道建立方法�,其特征在于��,所述方法包含以下步驟a.外部網(wǎng)絡(luò)中的源主機(jī)向身份認(rèn)證單元所在方發(fā)送用戶(hù)身份認(rèn)證信息��,由所述身份認(rèn)證單元所在方進(jìn)行身份認(rèn)證����;b.通過(guò)身份認(rèn)證后,所述身份認(rèn)證單元所在方產(chǎn)生一個(gè)包含建立安全通信隧道命令的IP數(shù)據(jù)包�����,所述IP數(shù)據(jù)包經(jīng)加密后發(fā)送至專(zhuān)用局域網(wǎng)的目的主機(jī)側(cè)的設(shè)備,所述設(shè)備設(shè)置在所述目的主機(jī)收發(fā)IP數(shù)據(jù)包的必經(jīng)之路上�����;c.所述目的主機(jī)側(cè)的設(shè)備截取含有建立安全通信隧道命令的IP數(shù)據(jù)包并解密所述IP數(shù)據(jù)包�,再產(chǎn)生一個(gè)包含隧道協(xié)商命令的IP數(shù)據(jù)包,所述IP數(shù)據(jù)包經(jīng)加密后發(fā)送至所述外部網(wǎng)絡(luò)中的源主機(jī)側(cè)的設(shè)備���,所述設(shè)備設(shè)置在所述源主機(jī)發(fā)送IP數(shù)據(jù)包的必經(jīng)之路上��;d.所述源主機(jī)側(cè)的設(shè)備截取包含隧道協(xié)商命令的IP數(shù)據(jù)包并解密所述IP數(shù)據(jù)包���,再產(chǎn)生一個(gè)包含隧道協(xié)商回復(fù)命令的IP數(shù)據(jù)包,所述IP數(shù)據(jù)包經(jīng)加密后發(fā)送至所述目的主機(jī)側(cè)的設(shè)備�;以及e.所述目的主機(jī)側(cè)的設(shè)備截取含有隧道協(xié)商回復(fù)命令的IP數(shù)據(jù)包并解密所述IP數(shù)據(jù)包,所述目的主機(jī)側(cè)的設(shè)備根據(jù)所述隧道協(xié)商命令中的隧道參數(shù)�����,與所述源主機(jī)側(cè)的設(shè)備協(xié)商建立安全通信隧道�����。
2.如權(quán)利要求1所述的方法,其特征在于�,所述用戶(hù)身份認(rèn)證信息包括用戶(hù)名,用戶(hù)密碼�����,所述目的主機(jī)的IP地址和端口號(hào)�����,以及所述源主機(jī)的IP地址���。
3.如權(quán)利要求2所述的方法�����,其特征在于���,所述源主機(jī)的IP地址可以為缺省����,默認(rèn)為發(fā)起訪問(wèn)所述專(zhuān)用局域網(wǎng)的外部網(wǎng)絡(luò)主機(jī)本身。
4.如權(quán)利要求3所述的方法���,其特征在于����,所述身份認(rèn)證單元所在方對(duì)接收到的信息進(jìn)行身份認(rèn)證包括以下步驟所述身份認(rèn)證單元所在方根據(jù)接收到的信息從公共網(wǎng)絡(luò)中的AAA服務(wù)器獲取所述用戶(hù)名對(duì)應(yīng)的專(zhuān)用局域網(wǎng)的網(wǎng)絡(luò)地址范圍;以及檢查所述用戶(hù)名以及用戶(hù)密碼是否屬于所述專(zhuān)用局域網(wǎng)的合法用戶(hù)����,以及待訪問(wèn)的所述目的主機(jī)是否屬于所述專(zhuān)用局域網(wǎng)。
5.如權(quán)利要求4所述的方法���,其特征在于��,所述包含建立安全通信隧道命令的IP數(shù)據(jù)包的內(nèi)容部分包括所述源主機(jī)的IP地址��,所述目的主機(jī)的IP地址及端口號(hào)��,以及為建立所述安全通信隧道用的預(yù)留參數(shù)��;所述IP數(shù)據(jù)包的目的地址為所述目的主機(jī)的IP地址���。
6.如權(quán)利要求5所述的方法,其特征在于����,所述源主機(jī)側(cè)的設(shè)備或所述目的主機(jī)側(cè)的設(shè)備截取所述包含隧道命令的IP數(shù)據(jù)包是根據(jù)所述IP數(shù)據(jù)包的包頭內(nèi)約定的安全參數(shù)索引號(hào)(SPI���,Security Parameter Index)進(jìn)行截取的,所述安全參數(shù)索引號(hào)由所述身份認(rèn)證單元所在方�����、所述源主機(jī)側(cè)的設(shè)備或所述目的主機(jī)側(cè)的設(shè)備加密所述隧道命令的IP數(shù)據(jù)包后放入所述IP數(shù)據(jù)包的包頭內(nèi)��。
7.如權(quán)利要求5所述的方法�,其特征在于,所述源主機(jī)側(cè)的設(shè)備或所述目的主機(jī)側(cè)的設(shè)備截取所述包含隧道命令的IP數(shù)據(jù)包是根據(jù)所述IP數(shù)據(jù)包的源地址進(jìn)行截取的��,所述源地址是由所述身份認(rèn)證單元所在方�����、所述源主機(jī)側(cè)的設(shè)備或所述目的主機(jī)側(cè)的設(shè)備加密所述隧道命令的IP數(shù)據(jù)包后��,用一個(gè)約定的保留地址作為所述IP數(shù)據(jù)包的源地址�����。
8.如權(quán)利要求6或者7所述的方法����,其特征在于,所述源主機(jī)側(cè)的設(shè)備�、所述目的主機(jī)側(cè)的設(shè)備以及所述身份認(rèn)證單元所在方對(duì)所述包含隧道命令的IP數(shù)據(jù)包進(jìn)行加密或者解密是根據(jù)其相互協(xié)定的安全策略以及與所述安全策略對(duì)應(yīng)的安全聯(lián)盟對(duì)所述IP數(shù)據(jù)包進(jìn)行加密和解密處理。
9.如權(quán)利要求8所述的方法�,其特征在于,所述包含隧道協(xié)商命令的IP數(shù)據(jù)包的內(nèi)容部分包括所述源主機(jī)的IP地址���,所述目的主機(jī)的IP地址及端口號(hào)��,以及關(guān)于所述安全隧道用的參數(shù)��;所述IP數(shù)據(jù)包的目的地址為所述源主機(jī)的IP地址����。
10.如權(quán)利要求9所述的方法��,其特征在于����,進(jìn)行截取、解密����、產(chǎn)生、加密和發(fā)送IP數(shù)據(jù)包的所述源主機(jī)側(cè)的設(shè)備可以為設(shè)置在所述源主機(jī)收發(fā)IP數(shù)據(jù)包必經(jīng)之路上的源隧道服務(wù)器。
11.如權(quán)利要求9所述的方法���,其特征在于�����,進(jìn)行截取����、解密�、產(chǎn)生、加密和發(fā)送IP數(shù)據(jù)包的所述目的主機(jī)側(cè)的設(shè)備可以為設(shè)置在所述目的主機(jī)收發(fā)IP數(shù)據(jù)包必經(jīng)之路上的目的隧道服務(wù)器��。
12.如權(quán)利要求10或者11所述的方法����,其特征在于,進(jìn)一步包括步驟f.所述外部網(wǎng)絡(luò)的源主機(jī)通過(guò)所述安全通信隧道訪問(wèn)所述專(zhuān)用局域網(wǎng)完畢后��,銷(xiāo)毀所述安全通信隧道���。
13.如權(quán)利要求12所述的方法�,其特征在于�����,步驟f包括以下步驟f1.所述外部網(wǎng)絡(luò)中的源主機(jī)向所述身份認(rèn)證單元所在方發(fā)送用戶(hù)身份認(rèn)證信息;f2.所述身份認(rèn)證單元所在方對(duì)接收到的信息進(jìn)行身份認(rèn)證����;通過(guò)身份認(rèn)證后�����,向所述目的主機(jī)側(cè)的設(shè)備發(fā)送包含銷(xiāo)毀安全通信隧道命令的IP數(shù)據(jù)包���,該IP數(shù)據(jù)包的目的地址為目的主機(jī)的IP地址�����;以及f3.所述目的主機(jī)側(cè)的設(shè)備向所述源主機(jī)側(cè)的設(shè)備發(fā)出撤銷(xiāo)所述安全通信隧道的通知���;并刪除所述目的主機(jī)側(cè)的設(shè)備中的隧道參數(shù)。
14.一種用于安全訪問(wèn)專(zhuān)用局域網(wǎng)的隧道服務(wù)器���,所述隧道服務(wù)器設(shè)置在外部網(wǎng)絡(luò)中的源主機(jī)收發(fā)IP數(shù)據(jù)包的必經(jīng)之路上則作為源隧道服務(wù)器���,或者設(shè)置在專(zhuān)用局域網(wǎng)中的目的主機(jī)收發(fā)IP數(shù)據(jù)包的必經(jīng)之路上則作為目的隧道服務(wù)器,包括隧道協(xié)商單元,用于根據(jù)相應(yīng)的指令和對(duì)端隧道服務(wù)器協(xié)商隧道的加/解密參數(shù)��;隧道數(shù)據(jù)包處理單元����,用于根據(jù)隧道的加/解密參數(shù)對(duì)通過(guò)安全通信隧道傳輸?shù)腎P數(shù)據(jù)包進(jìn)行加/解密處理;安全策略和安全聯(lián)盟數(shù)據(jù)庫(kù)����,所述安全策略和安全聯(lián)盟數(shù)據(jù)庫(kù)進(jìn)一步包括用于存儲(chǔ)各種安全策略的安全策略數(shù)據(jù)庫(kù),以及用于存儲(chǔ)各種安全聯(lián)盟的安全聯(lián)盟數(shù)據(jù)庫(kù)���,所述安全策略數(shù)據(jù)庫(kù)與所述安全聯(lián)盟數(shù)據(jù)庫(kù)相對(duì)應(yīng)�����,其特征在于�,所述隧道服務(wù)器還包括隧道命令過(guò)濾單元��,用于截取來(lái)自外部網(wǎng)絡(luò)的包含隧道命令的IP數(shù)據(jù)包��;隧道命令處理單元����,用于對(duì)所述隧道命令過(guò)濾單元截取的包含隧道命令的IP數(shù)據(jù)包進(jìn)行解密�,并根據(jù)隧道命令的內(nèi)容發(fā)出相應(yīng)的指令�����;以及隧道命令產(chǎn)生單元��,用于根據(jù)所述隧道命令處理單元的指令產(chǎn)生相應(yīng)的隧道命令�����,對(duì)隧道命令進(jìn)行加密�����,并發(fā)往目的地址����。
15.如權(quán)利要求14所述的隧道服務(wù)器��,其特征在于����,所述隧道服務(wù)器進(jìn)一步包括身份認(rèn)證處理單元,用于接收所述外部網(wǎng)絡(luò)中的源主機(jī)發(fā)出的用戶(hù)身份認(rèn)證信息���,并進(jìn)行身份認(rèn)證��。
16.如權(quán)利要求15所述的隧道服務(wù)器��,其特征在于��,所述隧道命令過(guò)濾單元截取所述包含隧道命令的IP數(shù)據(jù)包是根據(jù)所述IP數(shù)據(jù)包的包頭內(nèi)約定的安全參數(shù)索引號(hào)(SPI����,Security Parameter Index)進(jìn)行截取的,所述安全參數(shù)索引號(hào)由所述身份認(rèn)證單元所在方或隧道服務(wù)器加密所述隧道命令的IP數(shù)據(jù)包后放入所述IP數(shù)據(jù)包的包頭內(nèi)���。
17.如權(quán)利要求15所述的隧道服務(wù)器�,其特征在于�,所述隧道命令過(guò)濾單元截取所述包含隧道命令的IP數(shù)據(jù)包是根據(jù)所述IP數(shù)據(jù)包的源地址進(jìn)行截取的,所述源地址是由所述身份認(rèn)證單元所在方或隧道服務(wù)器加密所述隧道命令的IP數(shù)據(jù)包后�����,用一個(gè)約定的保留地址作為所述IP數(shù)據(jù)包的源地址����。
18.如權(quán)利要求16或者17所述的隧道服務(wù)器,其特征在于����,所述源隧道服務(wù)器以及所述目的隧道服務(wù)器對(duì)所述包含隧道命令的IP數(shù)據(jù)包進(jìn)行加密或者解密是根據(jù)其相互協(xié)定的安全策略以及與所述安全策略對(duì)應(yīng)的安全聯(lián)盟對(duì)所述IP數(shù)據(jù)包進(jìn)行加密和解密處理�。
全文摘要
本發(fā)明提出了一種用于安全訪問(wèn)專(zhuān)用局域網(wǎng)的動(dòng)態(tài)隧道構(gòu)建方法及用于該方法的裝置��。本發(fā)明方法將源隧道服務(wù)器部署在源主機(jī)收發(fā)IP數(shù)據(jù)包必經(jīng)的路由設(shè)備上�����,目的隧道服務(wù)器部署在目的主機(jī)收發(fā)IP數(shù)據(jù)包必經(jīng)的路由設(shè)備上���,并在源隧道服務(wù)器和目的隧道服務(wù)器之間自動(dòng)構(gòu)建安全通信隧道�����,無(wú)需手工配置隧道,也不需要提供相應(yīng)的專(zhuān)用局域網(wǎng)的訪問(wèn)服務(wù)器的IP地址�。并且在通信完畢后,可以銷(xiāo)毀該通信隧道�����。
文檔編號(hào)H04L9/32GK1949705SQ20051003052
公開(kāi)日2007年4月18日 申請(qǐng)日期2005年10月14日 優(yōu)先權(quán)日2005年10月14日
發(fā)明者張青山, 賓梵翔, 鄢仁祥, 溫海波 申請(qǐng)人:上海貝爾阿爾卡特股份有限公司