專利名稱:一種虛擬專用網(wǎng)多實(shí)例安全接入的方法及設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及虛擬專用網(wǎng)技術(shù)領(lǐng)域����,尤其涉及一種安全地4妄入VPN多實(shí)例 的方法和相應(yīng)的i殳備。
背景技術(shù):
虛擬專用網(wǎng)(VPN�����, Virtual Private Network),是在公共網(wǎng)絡(luò)中建立專用數(shù) 據(jù)通信網(wǎng)絡(luò)的技術(shù)。VPN為特定的企業(yè)或用戶群體專用���,對(duì)于VPN用戶��,使 用VPN與使用傳統(tǒng)專網(wǎng)沒有區(qū)別����。VPN作為私有專網(wǎng)�, 一方面與底層承載網(wǎng) 絡(luò)之間保持資源獨(dú)立性����,即, 一般情況下��,VPN資源不被網(wǎng)絡(luò)中其它VPN或 非該VPN用戶的網(wǎng)絡(luò)成員所使用����;另一方面,VPN才是供一定的安全性����,確保 VPN內(nèi)部信息不受外部的侵?jǐn)_。VPN能夠在遠(yuǎn)端用戶、駐外機(jī)構(gòu)�、合作伙伴、 供應(yīng)商與公司總部之間建立可靠的安全連接�����,4呆-i正數(shù)據(jù)傳輸?shù)陌踩?��。這對(duì)于 實(shí)現(xiàn)電子商務(wù)或金融網(wǎng)絡(luò)與通訊網(wǎng)絡(luò)的融合特別重要����。傳統(tǒng)VPN的基本原理是利用隧道技術(shù)�����,把數(shù)據(jù)封裝在隧道協(xié)議中����,利用 已有的公網(wǎng)如Internet、 PSTN��、 ISDN等建立專用數(shù)據(jù)傳輸通道��,從而實(shí)現(xiàn)報(bào) 文的透明傳輸�。 一些傳統(tǒng)的隧道包括1��、 通用3各由封裝(GRE, Generic Routing Encapsulation)隧道 GRE隧道使用GRE協(xié)議來(lái)封裝原始數(shù)據(jù)報(bào)文(VPN報(bào)文)���,其本身基于公共IP網(wǎng)絡(luò),實(shí)現(xiàn)數(shù)據(jù)的透明傳輸����。GRE隧道不能配置二層信息,但可以配 置IP地址���,利用隧道上配置的實(shí)際物理接口完成轉(zhuǎn)發(fā)所有去往VPN遠(yuǎn)端的 報(bào)文先發(fā)送到隧道(Tunnel);在Tunnel上進(jìn)行GRE封裝�,填寫Tunnel建立 時(shí)確定的隧道源地址和目的地址���;再通過(guò)IP網(wǎng)絡(luò)轉(zhuǎn)發(fā)到VPN遠(yuǎn)端。2�、 因特網(wǎng)協(xié)議安全(IPSec, IP Security)隧道IPSec協(xié)議是由 一組RFC文檔組成,定義了 一個(gè)系統(tǒng)來(lái)提供安全協(xié)議選擇�����、 安全算法�����,確定服務(wù)所使用密鑰等服務(wù),從而在IP層提供安全保障�。它給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的 一整套體系結(jié)構(gòu),包括網(wǎng)絡(luò)安全協(xié)議(AH�����, Authentication Header)和去于裝安全載荷妨�����、i義(ESP, Encapsulating Security Payload)��、因特網(wǎng)密鑰交換(IKE, Internet Key Exchange)協(xié)i義和用于網(wǎng)絡(luò)-險(xiǎn) 證及加密的一些算法等�。IPSec對(duì)IP數(shù)據(jù)流進(jìn)行篩選,以決定哪些數(shù)據(jù)是需要 加密的���,當(dāng)有數(shù)據(jù)報(bào)文需要加密時(shí)��,即建立IPSec加密隧道傳輸該數(shù)據(jù)報(bào)文���。除了上述傳統(tǒng)的VPN技術(shù),還有一種VPN路由轉(zhuǎn)發(fā)多實(shí)例(VPN Routing and Forwarding Instances)技術(shù)����,簡(jiǎn)稱VPN多實(shí)例�����。所謂VPN多實(shí)例�,指的 是在同一臺(tái)物理i 各由器上�����,同時(shí)具有多個(gè)VPN空間�,各VPN空間相互隔離。 VPN路由轉(zhuǎn)發(fā)(VRF�, VPN Routing and Forwarding)表代表一個(gè)獨(dú)立的VPN 空間,每個(gè)VPN空間具有獨(dú)立的三層路由表�。因此,每個(gè)VRF表對(duì)應(yīng)一個(gè) VPN實(shí)例����,相當(dāng)于一個(gè)邏輯上的路由器?�,F(xiàn)有的VPN多實(shí)例接入是基于RFC2547的邊界網(wǎng)關(guān)協(xié)議/多協(xié)議標(biāo)記交 換協(xié)議虛擬專用網(wǎng)(BGP/MPLS VPN)技術(shù)����。其中MPLS VPN則是指基于MPLS (多協(xié)議標(biāo)簽交換)技術(shù)構(gòu)建的虛擬專用網(wǎng),即采用MPLS技術(shù)����,在IP網(wǎng)絡(luò) 上構(gòu)建企業(yè)IP專網(wǎng)�����。與傳統(tǒng)VPN不同���,MPLS VPN不依靠封裝和加密技術(shù), 而是依靠轉(zhuǎn)發(fā)表和數(shù)i居包的標(biāo)記來(lái)創(chuàng)建一個(gè)安全的VPN��。圖1所示為現(xiàn)有技 術(shù)的MPLS VPN的基本結(jié)構(gòu)���。圖1中����,CE ( Customer Edge )設(shè)備是指用戶網(wǎng) 絡(luò)邊緣設(shè)備���。CE "感知"不到VPN的存在�,可以不支持MPLS�。 PE(Provider Edge)路由器是服務(wù)提供商邊緣路由器,PE負(fù)責(zé)對(duì)VPN用戶進(jìn)行管理����。P (Provider)路由器為服務(wù)提供商網(wǎng)絡(luò)中的骨干路由器����。P設(shè)備只需要具備基 本MPLS轉(zhuǎn)發(fā)能力�����?��?梢钥闯?,當(dāng)前的BGP/MPLSVPN多實(shí)例接入涉及的設(shè) 備眾多�,管理復(fù)雜,其接入成本非常高��,只適合于運(yùn)營(yíng)商接入或大型企業(yè)網(wǎng)接 入�����,絕大多數(shù)中小型的企業(yè)無(wú)力構(gòu)建這樣一個(gè)BGP/MPLSVPN網(wǎng)絡(luò)��。企業(yè)最常用的組網(wǎng)方式就是星型組網(wǎng)�����。以企業(yè)總部為核心����,將多個(gè)企業(yè)分 支節(jié)點(diǎn)通過(guò)VPN隧道接入到總部。但這種技術(shù)的前提是企業(yè)只能有一個(gè)VPN 空間���,即企業(yè)只能有一個(gè)VPN實(shí)例�。隨著企業(yè)業(yè)務(wù)的發(fā)展和信息技術(shù)的進(jìn)步�,同 一個(gè)企業(yè)內(nèi)部也出現(xiàn)了多個(gè) VPN實(shí)例的需求。例如企業(yè)的辦公����、生產(chǎn)和財(cái)務(wù)這3個(gè)業(yè)務(wù)彼此沒有直接 關(guān)聯(lián),生產(chǎn)�、財(cái)務(wù)的安全級(jí)別高于辦公業(yè)務(wù),因此希望普通辦公業(yè)務(wù)不能訪問(wèn)生產(chǎn)���、財(cái)務(wù)業(yè)務(wù)��,以保證生產(chǎn)�����、財(cái)務(wù)業(yè)務(wù)的安全��。另外��,生產(chǎn)業(yè)務(wù)的流量大����, 而財(cái)務(wù)業(yè)務(wù)安全級(jí)別高,也希望能夠彼此隔離���,以便保證生產(chǎn)業(yè)務(wù)的流量不受干擾���。這樣就對(duì)網(wǎng)絡(luò)提出了兩個(gè)要求第一是嚴(yán)格的身份認(rèn)證;第二是不同身 份的用戶之間保證業(yè)務(wù)隔離���。這其中的關(guān)鍵就在于如何保證通過(guò)了嚴(yán)格身份認(rèn) 證的用戶能夠準(zhǔn)確地接入到對(duì)應(yīng)的VPN實(shí)例中?�,F(xiàn)有的IP GRE VPN與VRF結(jié)合能夠?qū)崿F(xiàn)VPN多實(shí)例的接入功能��,但由 于GREVPN沒有身份認(rèn)證功能����,所以不能對(duì)接入的用戶進(jìn)行身份認(rèn)證����,從而 無(wú)法實(shí)現(xiàn)VPN的多實(shí)例安全接入,不能保證企業(yè)的組網(wǎng)安全。發(fā)明內(nèi)容本發(fā)明所要解決的技術(shù)問(wèn)題是提供一種虛擬專用網(wǎng)多實(shí)例安全接入的方 法及設(shè)備���,對(duì)接入節(jié)點(diǎn)進(jìn)行身份認(rèn)證,并根據(jù)接入節(jié)點(diǎn)的身份���,確定該接入節(jié) 點(diǎn)對(duì)應(yīng)的VPN實(shí)例�����,從而提高了 VPN多實(shí)例接入的安全性����。為解決上述技術(shù)問(wèn)題�,本發(fā)明提供方案如下一種虛擬專用網(wǎng)VPN多實(shí)例安全接入的方法,當(dāng)分支節(jié)點(diǎn)的上行數(shù)據(jù)���, 需要經(jīng)由本分支節(jié)點(diǎn)和總部節(jié)點(diǎn)之間的通用路由封裝GRE隧道在本分支節(jié)點(diǎn) 處的GRE隧道接口發(fā)送時(shí)���,分支節(jié)點(diǎn)根據(jù)配置在所述GRE隧道接口上的因特 網(wǎng)協(xié)議安全I(xiàn)PSec策略,觸發(fā)本分支節(jié)點(diǎn)和總部節(jié)點(diǎn)之間的因特網(wǎng)密鑰交換 IKE自動(dòng)協(xié)商����,其中,所述GRE隧道與總部節(jié)點(diǎn)上多個(gè)VPN實(shí)例中的一個(gè) VPN實(shí)例相對(duì)應(yīng),所述IPSec策略中包括在IKE自動(dòng)協(xié)商中使用本節(jié)點(diǎn)的認(rèn) 證機(jī)構(gòu)CA證書進(jìn)行身份認(rèn)證的規(guī)則����;在所述IKE自動(dòng)協(xié)商的過(guò)程中,所述分支節(jié)點(diǎn)和總部節(jié)點(diǎn)分別根據(jù)對(duì)方 節(jié)點(diǎn)的CA證書����,對(duì)對(duì)方身份進(jìn)行認(rèn)證,并在相互認(rèn)證通過(guò)以后�,在所述分支 節(jié)點(diǎn)和總部節(jié)點(diǎn)之間建立IPSec隧道;分支節(jié)點(diǎn)對(duì)所述上行數(shù)據(jù)先后進(jìn)行IPSec封裝和GRE封裝���,再通過(guò)所述 GRE隧道發(fā)送至總部節(jié)點(diǎn)����。本發(fā)明所述的方法���,其中����,所述IPSec策略的配置包括對(duì)所有需要經(jīng)由 所述分支節(jié)點(diǎn)的GRE隧道接口發(fā)送的數(shù)據(jù)流�,都配置為需要IPSec保護(hù);配 置通過(guò)IKE自動(dòng)協(xié)商方式建立安全聯(lián)盟�����;配置在所述IKE自動(dòng)協(xié)商中采用公共密鑰^5tH殳施PKI方式進(jìn)行身份認(rèn)證;配置所述PKI的域信息��。本發(fā)明所述的方法����,其中���,所述觸發(fā)本分支節(jié)點(diǎn)和總部節(jié)點(diǎn)之間的因特網(wǎng) 密鑰交換IKE自動(dòng)協(xié)商包括分支節(jié)點(diǎn)根據(jù)所述IPSec策略��,判斷所述上行數(shù) 據(jù)是否需要IPSec保護(hù)�,并在所述上行數(shù)據(jù)需要被保護(hù)時(shí)��,觸發(fā)所述IKE自動(dòng) 協(xié)商����。本發(fā)明所述的方法,其中��,在所述IPSec隧道建立之前���,所述分支節(jié)點(diǎn)或 總部節(jié)點(diǎn)根據(jù)自身預(yù)先配置的PKI的域信息���,獲取各自的所述CA證書�����。 本發(fā)明所述的方法���,其中,還包括以下步驟總部節(jié)點(diǎn)接收來(lái)自所述GRE隧道的所述上行數(shù)據(jù)�,對(duì)所述上行數(shù)據(jù)解 GRE封裝和解IPSec封裝,并才艮據(jù)所述GRE隧道對(duì)應(yīng)的VPN實(shí)例�,對(duì)解封裝 后的上行數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)處理。本發(fā)明所述的方法��,其中����,還包括以下步驟當(dāng)總部節(jié)點(diǎn)的下行數(shù)據(jù),需要經(jīng)由所述GRE隧道在本總部節(jié)點(diǎn)處的GRE 隧道接口發(fā)送時(shí)��,總部節(jié)點(diǎn)對(duì)所述下行數(shù)據(jù)先后進(jìn)行IPSec封裝和GRE封裝�����, 再通過(guò)所述GRE隧道發(fā)送出去����;所述分支節(jié)點(diǎn)接收來(lái)自所述GRE隧道的所述下行^t據(jù)���,對(duì)所述下行數(shù)據(jù) 解GRE封裝和解IPSec封裝,再對(duì)解封裝后的下行數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)處理�。本發(fā)明所述的方法,其中��,所述GRE隧道與總部節(jié)點(diǎn)上多個(gè)VPN實(shí)例中 的一個(gè)VPN實(shí)例相對(duì)應(yīng)是所述GRE隧道通過(guò)該GRE隧道在總部節(jié)點(diǎn)處的 GRE隧道接口 �����,與所述多個(gè)VPN實(shí)例中的一個(gè)VPN實(shí)例相對(duì)應(yīng)�����。本發(fā)明所述的方法��,其中���,所述總部節(jié)點(diǎn)作為中心,通過(guò)星形連接的方式 分別與多個(gè)所述分支節(jié)點(diǎn)連接����。本發(fā)明還提供了一種分支節(jié)點(diǎn)���,包括GRE隧道建立單元,用于建立本分支節(jié)點(diǎn)與總部節(jié)點(diǎn)之間的GRE隧道�; IPSec策略配置單元,用于在本分支節(jié)點(diǎn)的GRE隧道接口上配置IPSec策略�����,所述IPSec策略中包括在IKE自動(dòng)協(xié)商中使用本節(jié)點(diǎn)的CA證書進(jìn)行身份iU正的規(guī)則�;IPSec隧道建立單元,用于在分支節(jié)點(diǎn)的上行數(shù)據(jù)需要經(jīng)由本分支節(jié)點(diǎn)的 GRE隧道接口發(fā)送時(shí)�����,觸發(fā)本分支節(jié)點(diǎn)和總部節(jié)點(diǎn)之間的IKE自動(dòng)協(xié)商���,在所述IKE自動(dòng)協(xié)商過(guò)程中根據(jù)總部節(jié)點(diǎn)的CA證書對(duì)對(duì)總部節(jié)點(diǎn)進(jìn)行身份認(rèn) 證���,并在本分支節(jié)點(diǎn)和總部節(jié)點(diǎn)之間的相互認(rèn)證通過(guò)以后,在本分支節(jié)點(diǎn)和總 部節(jié)點(diǎn)之間建立IPSec隧道��;發(fā)送單元��,用于在所述IPSec隧道建立單元建立IPSec隧道后��,對(duì)所述上 行數(shù)據(jù)先后進(jìn)行IPSec封裝和GRE封裝,再經(jīng)由所述GRE隧道建立單元建立 的GRE隧道發(fā)送出去����。本發(fā)明所述的分支節(jié)點(diǎn),其中��,所述IPSec策略配置單元所配置的所述 IPSec策略還包括有對(duì)所有需要經(jīng)由所述分支節(jié)點(diǎn)的GRE隧道接口發(fā)送的數(shù) 據(jù)流���,都配置為需要IPSec保護(hù)�����;配置通過(guò)IKE自動(dòng)協(xié)商方式建立安全聯(lián)盟�; 配置在所述IKE自動(dòng)協(xié)商中采用公共密鑰基礎(chǔ)設(shè)施PKI方式進(jìn)行身份認(rèn)證����; 配置所迷PKI的域信息�����。本發(fā)明所述的分支節(jié)點(diǎn)�,其中,還包括接收單元��,用于接收來(lái)自GRE隧道的下行數(shù)據(jù),并對(duì)所述下行數(shù)據(jù)進(jìn)行 解GRE封裝和解IPSec封裝��;轉(zhuǎn)發(fā)單元�����,用于對(duì)所述接收單元解封裝后的下行數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)處理���。 本發(fā)明還提供了一種總部節(jié)點(diǎn)�����,包括GRE隧道建立單元�����,用于建立本總部節(jié)點(diǎn)與各分支節(jié)點(diǎn)之間的GRE隧道�����; VPN實(shí)例單元�,用于建立多個(gè)VPN實(shí)例��,并保存每條GRE隧道與唯一一個(gè)VPN實(shí)例之間的對(duì)應(yīng)關(guān)系;IPSec策略配置單元���,用于在本總部節(jié)點(diǎn)的GRE隧道接口上配置IPSec策略���,所述IPSec策略中包括在IKE自動(dòng)協(xié)商中使用本節(jié)點(diǎn)的CA證書進(jìn)行身份i人證的少見則;IPSec隧道建立單元���,用于響應(yīng)分支節(jié)點(diǎn)發(fā)起IKE自動(dòng)協(xié)商��,在所述IKE 自動(dòng)協(xié)商過(guò)程中根據(jù)所述分支節(jié)點(diǎn)的CA證書對(duì)對(duì)所述分支節(jié)點(diǎn)進(jìn)行身份認(rèn) 證����,并在本總部節(jié)點(diǎn)和所述分支節(jié)點(diǎn)之間的相互認(rèn)證通過(guò)以后�����,在本總部節(jié)點(diǎn) 和所述分支節(jié)點(diǎn)之間建立IPSec隧道��。本發(fā)明所述的總部節(jié)點(diǎn)�����,其中�����,還包括接收單元��,用于接收來(lái)自GRE隧道的上行數(shù)據(jù)����,并對(duì)所述上行數(shù)據(jù)進(jìn)行 解GRE封裝和解IPSec封裝;轉(zhuǎn)發(fā)單元�,用于根據(jù)傳輸所述上行數(shù)據(jù)的GRE隧道對(duì)應(yīng)的VPN實(shí)例,對(duì) 解封裝后的上行數(shù)據(jù)進(jìn)^f亍轉(zhuǎn)發(fā)處理�。本發(fā)明所述的總部節(jié)點(diǎn),其中���,還包括發(fā)送單元����,用于對(duì)需要經(jīng)由本總部節(jié)點(diǎn)的GRE隧道接口發(fā)送的下行數(shù)據(jù)�����, 先后進(jìn)行IPSec封裝和GRE封裝���,再通過(guò)所述GRE隧道發(fā)送出去�����。從以上所述可以看出��,本發(fā)明提供的虛擬專用網(wǎng)多實(shí)例安全接入的方法及 設(shè)備����,通過(guò)分別將CA證書與IPSec隧道,IPSec隧道與GRE隧道���,GRE隧 道接口與VPN實(shí)例相綁定���,最終形成了 CAi正書和VPN實(shí)例之間的對(duì)應(yīng)關(guān)系, 最終使得可以根據(jù)節(jié)點(diǎn)CA證書��,唯一確定與該節(jié)點(diǎn)所對(duì)應(yīng)的VPN實(shí)例��。這 樣�,在VPN多實(shí)例接入過(guò)程中,通過(guò)CA證書對(duì)節(jié)點(diǎn)身份進(jìn)行認(rèn)證�,提高了 節(jié)點(diǎn)接入的安全性,避免了非法用戶的接入的同時(shí)����,也確保各VPN實(shí)例之間 的隔離關(guān)系。并且����,本實(shí)施例中還通過(guò)IPSec隧道對(duì)分支節(jié)點(diǎn)和總部節(jié)點(diǎn)之間 的數(shù)據(jù)進(jìn)行加密,提高了數(shù)據(jù)傳輸過(guò)程中的安全性�,避免了數(shù)據(jù)被非法監(jiān)聽。
圖1為現(xiàn)有技術(shù)的MPLS VPN的基本結(jié)構(gòu)示意圖��; 圖2為本發(fā)明所述實(shí)施例中VPN多實(shí)例安全接入隧道層次示意圖�����; 圖3為本發(fā)明所述實(shí)施例中IPSec over GRE隧道中數(shù)據(jù)報(bào)文的其中一種封 裝結(jié)構(gòu)示意圖���;圖4為本發(fā)明實(shí)施例所述VPN多實(shí)例安全接入的方法的流程圖�; 圖5為本發(fā)明實(shí)施例所述分支節(jié)點(diǎn)的結(jié)構(gòu)示意圖�; 圖6為本發(fā)明實(shí)施例所述總部節(jié)點(diǎn)的結(jié)構(gòu)示意圖。
具體實(shí)施方式
本發(fā)明的核心思想在于建立分支節(jié)點(diǎn)的公鑰證書與VPN實(shí)例之間的對(duì) 應(yīng)關(guān)系����,通過(guò)公鑰證書識(shí)別接入節(jié)點(diǎn)的身份,并確定該分支節(jié)點(diǎn)對(duì)應(yīng)的VPN 實(shí)例���,使得只有通過(guò)身份認(rèn)證的分支節(jié)點(diǎn)才能準(zhǔn)確地接入到該分支節(jié)點(diǎn)對(duì)應(yīng)的 VPN實(shí)例中���,從而提高VPN多實(shí)例接入的安全性����。以下結(jié)合附圖通過(guò)具體實(shí) 施例對(duì)本發(fā)明做詳細(xì)的說(shuō)明���。公鑰i正書�,又稱作認(rèn)i正機(jī)構(gòu)(CA, Certification Authority ) i正書�����,是由權(quán) 威的�����、可信賴的����、公正的第三方機(jī)構(gòu)認(rèn)證機(jī)構(gòu)負(fù)責(zé)發(fā)放的數(shù)字證書。CA證書 認(rèn)證是目前安全級(jí)別最高的認(rèn)證方式��,本實(shí)施例中采用CA證書對(duì)分支節(jié)點(diǎn)進(jìn) 行認(rèn)證���。雖然GRE VPN與VRF結(jié)合能夠?qū)崿F(xiàn)VPN多實(shí)例的接入功能����,但 GRE隧道等其他的IP VPN隧道是無(wú)法與CA證書綁定的,而IPSec隧道可以 與CA證書綁定��。因此�,本實(shí)施例在GRE隧道的基礎(chǔ)之上���,再構(gòu)建一個(gè)IPSec 隧道�,即IPSec over GRE隧道�����,將IPSec隧道與GRE隧道一對(duì)一地捆綁在一 起�����。圖2為本實(shí)施例中VPN多實(shí)例安全接入隧道層次示意圖���。本實(shí)施例中����, 總部節(jié)點(diǎn)作為星形網(wǎng)絡(luò)的中心��,通過(guò)星形連接的方式分別與各個(gè)分支節(jié)點(diǎn)連 接?��?偛抗?jié)點(diǎn)處建立有多個(gè)VPN實(shí)例�����。如圖2所示�,分支節(jié)點(diǎn)l對(duì)應(yīng)于VPN 實(shí)例1,通過(guò)分支節(jié)點(diǎn)1的CA證書可以唯一標(biāo)識(shí)該節(jié)點(diǎn)的身份�;IPSec隧道 建立在GRE隧道之上,并且����,在IPSec隧道與CA證書之間建立綁定關(guān)系; 在總部節(jié)點(diǎn)處��,GRE隧道接口與各VPN實(shí)例相對(duì)應(yīng)�����。這樣�����,通過(guò)接入節(jié)點(diǎn)的 CA證書與IPSec隧道�、IPSec隧道與GRE隧道�、GRE隧道4妄口與VPN實(shí)例 之間的綁定(或?qū)?yīng))關(guān)系�����,最終形成了沖妄入節(jié)點(diǎn)的CA證書與VPN實(shí)例之 間的對(duì)應(yīng)關(guān)系��。圖3所示為IPSec over GRE隧道中數(shù)據(jù)報(bào)文的其中 一種封裝示意圖��。首先�, 對(duì)原始數(shù)據(jù)報(bào)文進(jìn)行IPSec封裝���,即在原始數(shù)據(jù)報(bào)文前增加了 AH報(bào)頭和新IP 報(bào)頭��;然后���,對(duì)IPSec封裝后的報(bào)文進(jìn)一步進(jìn)行GRE封裝,即增加了 GRE報(bào) 頭���;最后��,經(jīng)過(guò)上述封裝后的報(bào)文根據(jù)傳輸協(xié)議�,再增加相應(yīng)的傳輸協(xié)議報(bào)頭 后�,即可在網(wǎng)絡(luò)中通過(guò)GRE隧道傳輸至隧道遠(yuǎn)端��。以下再通過(guò)圖4對(duì)本實(shí)施例所述VPN多實(shí)例安全接入的方法作進(jìn)一步說(shuō) 明��,如圖4所示����,所述方法具體包括以下步驟步驟401,總部節(jié)點(diǎn)建立多個(gè)VPN實(shí)例�����,其中�����,每個(gè)VPN實(shí)例對(duì)應(yīng)于一 個(gè)VRF表�。步驟402,分別在總部節(jié)點(diǎn)和各個(gè)分支節(jié)點(diǎn)配置GRE隧道接口����,在總部 節(jié)點(diǎn)和各個(gè)分支節(jié)點(diǎn)之間建立靜態(tài)GRE隧道。步驟403,將每條GRE隧道在總部節(jié)點(diǎn)處的GRE隧道接口與唯"^一個(gè)VPN實(shí)例相關(guān)聯(lián)�����,即在總部節(jié)點(diǎn)處,將GRE隧道接口與唯一一個(gè)VPN實(shí)例 相關(guān)聯(lián)(綁定)�。步驟404,在總部節(jié)點(diǎn)和分支節(jié)點(diǎn)處配置公開密鑰基礎(chǔ)設(shè)施(PKI, Public Key Infrastructure )的域信息,所述PKI的域信息中包括認(rèn)證機(jī)構(gòu)等信息���,從 而節(jié)點(diǎn)可以根據(jù)所配置的PKI的域信息��,向認(rèn)證機(jī)構(gòu)申請(qǐng)并得到CA證書�。步驟405�����,在總部節(jié)點(diǎn)和分支節(jié)點(diǎn)處配置IPSec策略����,使用IKE自動(dòng)協(xié)商�����, 并且所述IPSec策略中包括在IKE自動(dòng)協(xié)商中使用本節(jié)點(diǎn)的CA證書進(jìn)行身份 認(rèn)證的規(guī)則�。IPSec支持的認(rèn)證方式包括CA證書認(rèn)證和預(yù)置共享密鑰認(rèn)證等 方式。這里���,通過(guò)選擇CA證書認(rèn)證方式�,并根據(jù)步驟404中所配置的PKI 的域信息可獲取到節(jié)點(diǎn)的CA證書,從而將IPSec隧道與本節(jié)點(diǎn)的CA證書相 綁定��。這里���,所述IPSec策略的配置具體包括對(duì)所有需要經(jīng)由本分支節(jié)點(diǎn)的所 述GRE隧道接口發(fā)送的數(shù)據(jù)流����,都配置為需要IPSec保護(hù)����;配置通過(guò)IKE自 動(dòng)協(xié)商方式建立安全聯(lián)盟;配置在所述IKE自動(dòng)協(xié)商中采用公共密鑰基礎(chǔ)設(shè) 施PKI方式進(jìn)行身份認(rèn)證��;配置所述PKI的域信息���。步驟406,在總部節(jié)點(diǎn)和分支節(jié)點(diǎn)處����,將步驟405中配置的IPSec策略配 置到GRE隧道接口上�。通過(guò)步驟405和步驟406,在總部節(jié)點(diǎn)和分支節(jié)點(diǎn)之間的GRE隧道兩端 節(jié)點(diǎn)上的GRE隧道接口上應(yīng)用了 IPSec策略。步驟407,當(dāng)分支節(jié)點(diǎn)有去往總部節(jié)點(diǎn)的數(shù)據(jù)(簡(jiǎn)稱上行數(shù)據(jù))時(shí)�,分支 節(jié)點(diǎn)查找路由,得知所述上行數(shù)據(jù)的出接口是GRE隧道接口�;由于IPSec策 略配置在GRE隧道接口上,此時(shí),分支節(jié)點(diǎn)將所述IPSec策略與所述上4亍數(shù) 據(jù)相匹配����,用以判斷所述上行數(shù)據(jù)是否需要IPSec保護(hù)如果不需要保護(hù),則 所述上行數(shù)據(jù)直接經(jīng)GRE封裝��,然后通過(guò)GRE隧道發(fā)送至總部節(jié)點(diǎn)�;如果需 要保護(hù),則觸發(fā)IKE自動(dòng)協(xié)商��;總部響應(yīng)IKE自動(dòng)協(xié)商����,在IKE自動(dòng)協(xié)商過(guò) 程中,由于在IPSec策略中預(yù)定規(guī)定了使用CA證書進(jìn)行認(rèn)證����,因此�,分支節(jié) 點(diǎn)與總部節(jié)點(diǎn)分別根據(jù)自身所配置的PKI的域信息,獲取各自的CA證書���,然 后�,通過(guò)相互交換本節(jié)點(diǎn)的CA證書�����,分別對(duì)對(duì)方身^f分進(jìn)行認(rèn)證。CA證書可 以是預(yù)先由認(rèn)證機(jī)關(guān)頒發(fā)并保存在節(jié)點(diǎn)本地的����,通過(guò)在PKI的域信息中指定CA證書的保存目錄,這樣�,節(jié)點(diǎn)就可以根據(jù)PKI的域信息獲取到CA證書。 這里���,可以在IPSec策略中設(shè)置訪問(wèn)控制列表(ACL, Access Control List)規(guī)則�����,來(lái)決定哪些數(shù)據(jù)是需要加密的��,當(dāng)有數(shù)據(jù)報(bào)文匹配所定義的ACL規(guī)則 時(shí)���,即觸發(fā)IKE自動(dòng)協(xié)商,以建立IPSec加密隧道傳輸該數(shù)據(jù)4艮文�。為了保證 接入的安全性,本實(shí)施例中可以通過(guò)配置"permit IP source any destination any" 的ACL規(guī)則�,對(duì)所有經(jīng)由所述分支節(jié)點(diǎn)的GRE隧道接口發(fā)送的數(shù)據(jù)都配置為 需要IPSec保護(hù),從而可以在IPSec隧道建立過(guò)程中的IKE自動(dòng)協(xié)商過(guò)程中對(duì) 該分支節(jié)點(diǎn)進(jìn)行身份認(rèn)證��,提高接入的安全性。步驟408,在相互認(rèn)證通過(guò)以后���,在所述分支節(jié)點(diǎn)和總部節(jié)點(diǎn)之間建立 IPSec隧道���。由于該IPSec隧道的建立是和所述分支節(jié)點(diǎn)的CA證書相關(guān)聯(lián)的, 因此����,所述分支節(jié)點(diǎn)的CA證書和該IPSec隧道之間存在對(duì)應(yīng)關(guān)系。這里��,由于所述分支節(jié)點(diǎn)的GRE隧道接口對(duì)應(yīng)于GRE隧道��,在步驟408 中建立所述IPSec隧道后����,該IPSec隧道存在唯——條與之對(duì)應(yīng)的GRE隧道。 所述IPSec隧道是承載在所述GRE隧道之上�����,所以��,這里實(shí)際上建立的是一 條IPSec over GRE暖道���。步驟409,所述上行數(shù)據(jù)先后進(jìn)行IPSec封裝和GRE封裝�,再通過(guò)GRE 隧道發(fā)送出去�����,即����,上行數(shù)據(jù)在經(jīng)過(guò)IPSec over GRE的隧道封裝后,直接透?jìng)?到總部節(jié)點(diǎn)����。總部節(jié)點(diǎn)接收所述上行數(shù)據(jù)后��,并對(duì)所述上行數(shù)據(jù)進(jìn)行解GRE 封裝和解IPSec封裝�,并根據(jù)接收到所述上行數(shù)據(jù)的GRE隧道接口所關(guān)聯(lián)的 VPN實(shí)例,對(duì)解封裝后的上行數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)處理����。步驟410,對(duì)于總部節(jié)點(diǎn)去往分支節(jié)點(diǎn)的數(shù)據(jù)(簡(jiǎn)稱下行數(shù)據(jù))�,總部節(jié) 點(diǎn)在VRF表中查找路由,發(fā)現(xiàn)所述下行數(shù)據(jù)的出接口是GRE隧道接口��。由于 在所述GRE隧道之上還建立有IPSec隧道,因此�����,總部節(jié)點(diǎn)對(duì)所述下行數(shù)據(jù) 先后進(jìn)行IPSec封裝和GRE封裝,再通過(guò)所述GRE隧道發(fā)送至所述分支節(jié)點(diǎn)��, 所述分支節(jié)點(diǎn)接收到所述下行數(shù)據(jù)后���,對(duì)所述下行數(shù)據(jù)解GRE封裝和解IPSec 封裝����,再對(duì)解封裝后的下行數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)處理�����。以上說(shuō)明了分支節(jié)點(diǎn)接入總部節(jié)點(diǎn)的過(guò)程�。可以看出��,為了提高節(jié)點(diǎn)接入 的安全性�,本實(shí)施例中采用CA證書,對(duì)節(jié)點(diǎn)進(jìn)行身份認(rèn)證����。由于GRE隧道 無(wú)法與CA證書綁定,因此���,本實(shí)施例在GRE隧道之上建立了一個(gè)與該GRE隧道相綁定的IPSec隧道�,再將節(jié)點(diǎn)的CA證書與IPSec隧道相綁定��,從而形 成了節(jié)點(diǎn)的CAi正書-〉IPSec隧道-〉GRE隧道-〉VPN實(shí)例這樣一種對(duì)應(yīng)關(guān) 系�,最終使得可以根據(jù)節(jié)點(diǎn)CA證書,唯一確定與該節(jié)點(diǎn)所對(duì)應(yīng)的VPN實(shí)例��。 從而實(shí)現(xiàn)了在VPN多實(shí)例接入過(guò)程中��,通過(guò)CA證書對(duì)節(jié)點(diǎn)身份進(jìn)行認(rèn)證�����, 提高了節(jié)點(diǎn)接入的安全性��,避免了非法用戶的接入��;同時(shí)��,也確保各VPN實(shí) 例之間的隔離關(guān)系����。并且����,本實(shí)施例中還通過(guò)IPSec隧道對(duì)分支節(jié)點(diǎn)和總部節(jié) 點(diǎn)之間的數(shù)據(jù)進(jìn)行加密�����,提高了數(shù)據(jù)傳輸過(guò)程中的安全性�,避免了數(shù)據(jù)被非法 監(jiān)聽?����;谏鲜鯲PN多實(shí)例安全接入的方法�����,本實(shí)施例還相應(yīng)地提供了一種分 支節(jié)點(diǎn)和總部節(jié)點(diǎn)����。如圖5所示,本實(shí)施例所述分支節(jié)點(diǎn)包括GRE隧道建立單元���,用于配置GRE隧道接口���,建立本分支節(jié)點(diǎn)與總部節(jié) 點(diǎn)之間的GRE隧道�����;IPSec策略配置單元,用于在本分支節(jié)點(diǎn)的GRE隧道接口上配置IPSec策 略�,所述IPSec策略中包括在IKE自動(dòng)協(xié)商中使用本節(jié)點(diǎn)的CA證書進(jìn)行身份IPSec隧道建立單元,用于在分支節(jié)點(diǎn)的上行數(shù)據(jù)需要經(jīng)由本分支節(jié)點(diǎn)的 GRE隧道接口發(fā)送時(shí)��,觸發(fā)本分支節(jié)點(diǎn)和總部節(jié)點(diǎn)之間的IKE自動(dòng)協(xié)商���,在 所述IKE自動(dòng)協(xié)商過(guò)程中根據(jù)總部節(jié)點(diǎn)的CA證書對(duì)對(duì)總部節(jié)點(diǎn)進(jìn)行身份認(rèn) 證����,并在本分支節(jié)點(diǎn)和總部節(jié)點(diǎn)之間的相互認(rèn)證通過(guò)以后��,在本分支節(jié)點(diǎn)和總 部節(jié)點(diǎn)之間建立IPSec隧道�����;發(fā)送單元����,用于在所述IPSec隧道建立單元建立IPSec隧道后,對(duì)所述上 行數(shù)據(jù)先后進(jìn)行IPSec封裝和GRE封裝,再經(jīng)由所述GRE隧道建立單元建立 的GRE隧道發(fā)送出去�����。接收單元�,用于接收來(lái)自GRE隧道的下行數(shù)據(jù),并對(duì)所述下行數(shù)據(jù)進(jìn)行 解GRE封裝和解IPSec封裝����;轉(zhuǎn)發(fā)單元,用于對(duì)所述接收單元解封裝后的下行數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)處理�。這里,所述IPSec策略配置單元�����,還可以進(jìn)一步用于對(duì)所有需要經(jīng)由本分 支節(jié)點(diǎn)的GRE隧道4妄口發(fā)送的數(shù)據(jù)流�,都配置為需要IPSec保護(hù);配置通過(guò)IKE自動(dòng)協(xié)商方式建立安全聯(lián)盟�����;配置在所述IKE自動(dòng)協(xié)商中采用公共密鑰基 礎(chǔ)設(shè)施PKI方式進(jìn)行身份認(rèn)證����;以及配置所述PKI的域信息��。 如圖6所示��,本實(shí)施例所述總部節(jié)點(diǎn)包括GRE隧道建立單元���,用于配置GRE隧道接口,建立本總部節(jié)點(diǎn)與各分支 節(jié)點(diǎn)之間的GRE隧道��;VPN實(shí)例單元�����,用于建立多個(gè)VPN實(shí)例���,并保存每條GRE隧道與唯一 一個(gè)VPN實(shí)例之間的對(duì)應(yīng)關(guān)系;IPSec策略配置單元�����,用于在本總部節(jié)點(diǎn)的GRE隧道4妄口上配置IPSec策 略��,所述IPSec策略中包括在IKE自動(dòng)協(xié)商中使用本節(jié)點(diǎn)的CA證書進(jìn)行身份 認(rèn)證的規(guī)則�;IPSec隧道建立單元,用于響應(yīng)分支節(jié)點(diǎn)發(fā)起IKE自動(dòng)協(xié)商���,在所述IKE 自動(dòng)協(xié)商過(guò)程中根據(jù)所述分支節(jié)點(diǎn)的CA證書對(duì)對(duì)所述分支節(jié)點(diǎn)進(jìn)行身份認(rèn) 證��,并在本總部節(jié)點(diǎn)和所述分支節(jié)點(diǎn)之間的相互認(rèn)證通過(guò)以后�����,在本總部節(jié)點(diǎn) 和所述分支節(jié)點(diǎn)之間建立IPSec隧道���;接收單元�,用于接收來(lái)自GRE隧道的上行數(shù)據(jù)���,并對(duì)所述上行數(shù)據(jù)進(jìn)行 解GRE封裝和解IPSec封裝��;轉(zhuǎn)發(fā)單元�����,用于根據(jù)傳輸所述上行數(shù)據(jù)的GRE隧道對(duì)應(yīng)的VPN實(shí)例���,對(duì) 解封裝后的上行數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)處理。發(fā)送單元����,對(duì)需要經(jīng)由本總部節(jié)點(diǎn)的GRE隧道接口發(fā)送的下行數(shù)據(jù)�����,先 后進(jìn)行IPSec封裝和GRE封裝�,再通過(guò)所述GRE隧道發(fā)送出去�。綜上所述,本發(fā)明實(shí)施例所述虛擬專用網(wǎng)多實(shí)例安全4妄入的方法及設(shè)備���, 在IPSec隧道建立時(shí)���,通過(guò)在IKE自動(dòng)協(xié)商過(guò)程中交互CA證書,對(duì)分支節(jié)點(diǎn) 進(jìn)行身份認(rèn)證����,從而提高了 VPN多實(shí)例接入的安全性����。本發(fā)明所述虛擬專用網(wǎng)多實(shí)例安全接入的方法及設(shè)備,并不僅僅限于說(shuō)明 書和實(shí)施方式中所列運(yùn)用����,它完全可以被適用于各lt適合本發(fā)明之領(lǐng)域,對(duì)于 熟悉本領(lǐng)域的人員而言可容易地實(shí)現(xiàn)另外的優(yōu)點(diǎn)和進(jìn)行修改���,因此在不背離權(quán) 利要求及等同范圍所限定的一般概念的精神和范圍的情況下�����,本發(fā)明并不限于 特定的細(xì)節(jié)�、代表性的設(shè)備和這里示出與描述的圖示示例。
權(quán)利要求
1.一種虛擬專用網(wǎng)VPN多實(shí)例安全接入的方法�,其特征在于,當(dāng)分支節(jié)點(diǎn)的上行數(shù)據(jù)�����,需要經(jīng)由本分支節(jié)點(diǎn)和總部節(jié)點(diǎn)之間的通用路由封裝GRE隧道在本分支節(jié)點(diǎn)處的GRE隧道接口發(fā)送時(shí)�,分支節(jié)點(diǎn)根據(jù)配置在所述GRE隧道接口上的因特網(wǎng)協(xié)議安全I(xiàn)PSec策略,觸發(fā)本分支節(jié)點(diǎn)和總部節(jié)點(diǎn)之間的因特網(wǎng)密鑰交換IKE自動(dòng)協(xié)商�,其中,所述GRE隧道與總部節(jié)點(diǎn)上多個(gè)VPN實(shí)例中的一個(gè)VPN實(shí)例相對(duì)應(yīng)���,所述IPSec策略中包括在IKE自動(dòng)協(xié)商中使用本節(jié)點(diǎn)的認(rèn)證機(jī)構(gòu)CA證書進(jìn)行身份認(rèn)證的規(guī)則�;在所述IKE自動(dòng)協(xié)商的過(guò)程中�,所述分支節(jié)點(diǎn)和總部節(jié)點(diǎn)分別根據(jù)對(duì)方節(jié)點(diǎn)的CA證書,對(duì)對(duì)方身份進(jìn)行認(rèn)證���,并在相互認(rèn)證通過(guò)以后���,在所述分支節(jié)點(diǎn)和總部節(jié)點(diǎn)之間建立IPSec隧道���;分支節(jié)點(diǎn)對(duì)所述上行數(shù)據(jù)先后進(jìn)行IPSec封裝和GRE封裝,再通過(guò)所述GRE隧道發(fā)送至總部節(jié)點(diǎn)�����。
2. 如權(quán)利要求1所述的方法�����,其特征在于����,所述IPSec策略的配置包括對(duì)所有需要經(jīng)由所述分支節(jié)點(diǎn)的GRE隧道接口發(fā)送的數(shù)據(jù)流,都配置為需要IPSec保護(hù)�����;配置通過(guò)IKE自動(dòng)協(xié)商方式建立安全聯(lián)盟�����;配置在所述IKE自動(dòng)協(xié)商中采用公共密鑰基礎(chǔ)設(shè)施PKI方式進(jìn)行身份認(rèn)證���;配置所述PKI的域信 臺(tái)
3. 如權(quán)利要求2所述的方法����,其特征在于�,所述觸發(fā)本分支節(jié)點(diǎn)和總部 節(jié)點(diǎn)之間的因特網(wǎng)密鑰交換IKE自動(dòng)協(xié)商包括:分支節(jié)點(diǎn)根據(jù)所述IPSec策略, 判斷所述上行數(shù)據(jù)是否需要IPSec保護(hù)�,并在所述上行數(shù)據(jù)需要纟皮保護(hù)時(shí),觸 發(fā)所述IKE自動(dòng)協(xié)商��。
4. 如權(quán)利要求3所述的方法����,其特征在于,在所述IPSec隧道建立之前��, 所述分支節(jié)點(diǎn)或總部節(jié)點(diǎn)根據(jù)自身預(yù)先配置的PKI的域信息�����,獲取各自的所 述CA證書�。
5. 如權(quán)利要求4所述的方法,其特征在于��,還包括以下步驟 總部節(jié)點(diǎn)接收來(lái)自所述GRE隧道的所述上行數(shù)據(jù)��,對(duì)所述上行數(shù)據(jù)解GRE封裝和解IPSec封裝,并根據(jù)所述GRE隧道對(duì)應(yīng)的VPN實(shí)例��,對(duì)解封裝后的上行數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)處理����。
6. 如權(quán)利要求5所述的方法,其特征在于��,還包括以下步驟 當(dāng)總部節(jié)點(diǎn)的下行數(shù)據(jù)�,需要經(jīng)由所述GRE隧道在本總部節(jié)點(diǎn)處的GRE隧道接口發(fā)送時(shí),總部節(jié)點(diǎn)對(duì)所述下行數(shù)據(jù)先后進(jìn)4于IPSec封裝和GRE封裝�����, 再通過(guò)所述GRE隧道發(fā)送出去��;所述分支節(jié)點(diǎn)接收來(lái)自所述GRE隧道的所述下行數(shù)據(jù)��,對(duì)所述下行數(shù)據(jù) 解GRE封裝和解IPSec封裝�����,再對(duì)解封裝后的下行數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)處理����。
7. 如權(quán)利要求l所述的方法,其特征在于��,所述GRE隧道與總部節(jié)點(diǎn)上 多個(gè)VPN實(shí)例中的一個(gè)VPN實(shí)例相對(duì)應(yīng)是所述GRE隧道通過(guò)該GRE隧道 在總部節(jié)點(diǎn)處的GRE隧道接口 �,與所述多個(gè)VPN實(shí)例中的一個(gè)VPN實(shí)例相 對(duì)應(yīng)。
8. 如權(quán)利要求1所述的方法���,其特征在于���,所述總部節(jié)點(diǎn)作為中心,通 過(guò)星形連接的方式與多個(gè)所述分支節(jié)點(diǎn)連接�。
9. 一種分支節(jié)點(diǎn),其特征在于��,包括GRE隧道建立單元��,用于建立本分支節(jié)點(diǎn)與總部節(jié)點(diǎn)之間的GRE隧道��; IPSec策略配置單元��,用于在本分支節(jié)點(diǎn)的GRE隧道接口上配置IPSec策略�����,所述IPSec策略中包括在IKE自動(dòng)協(xié)商中使用本節(jié)點(diǎn)的CA證書進(jìn)行身份i人證的^見則;IPSec隧道建立單元�,用于在分支節(jié)點(diǎn)的上行數(shù)據(jù)需要經(jīng)由本分支節(jié)點(diǎn)的 GRE隧道接口發(fā)送時(shí),觸發(fā)本分支節(jié)點(diǎn)和總部節(jié)點(diǎn)之間的IKE自動(dòng)協(xié)商���,在 所述IKE自動(dòng)協(xié)商過(guò)程中根據(jù)總部節(jié)點(diǎn)的CA證書對(duì)對(duì)總部節(jié)點(diǎn)進(jìn)行身份認(rèn) 證�,并在本分支節(jié)點(diǎn)和總部節(jié)點(diǎn)之間的相互iU正通過(guò)以后�����,在本分支節(jié)點(diǎn)和總 部節(jié)點(diǎn)之間建立IPSec隧道��;發(fā)送單元�,用于在所述IPSec隧道建立單元建立IPSec隧道后,對(duì)所述上 行數(shù)據(jù)先后進(jìn)行IPSec封裝和GRE封裝����,再經(jīng)由所述GRE隧道建立單元建立 的GRE隧道發(fā)送出去。
10. 如權(quán)利要求9所述的分支節(jié)點(diǎn)�����,其特征在于�����,所述IPSec策略配置單 元所配置的所述IPSec策略還包括有對(duì)所有需要經(jīng)由所述分支節(jié)點(diǎn)的GRE 隧道接口發(fā)送的數(shù)據(jù)流,都配置為需要IPSec保護(hù)����;配置通過(guò)IKE自動(dòng)協(xié)商方式建立安全聯(lián)盟���;配置在所述IKE自動(dòng)協(xié)商中采用公共密鑰基礎(chǔ)設(shè)施PKI方 式進(jìn)行身份認(rèn)證��;配置所述PKI的域信息�����。
11. 如權(quán)利要求IO所述的分支節(jié)點(diǎn)�,其特征在于�,還包括 接收單元,用于接收來(lái)自GRE隧道的下行數(shù)據(jù)�,并對(duì)所述下行數(shù)據(jù)進(jìn)行解GRE封裝和解IPSec封裝;轉(zhuǎn)發(fā)單元���,用于對(duì)所述接收單元解封裝后的下行數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)處理�。
12. —種總部節(jié)點(diǎn)���,其特征在于�,包括GRE隧道建立單元,用于建立本總部節(jié)點(diǎn)與各分支節(jié)點(diǎn)之間的GRE隧道�����; VPN實(shí)例單元�����,用于建立多個(gè)VPN實(shí)例��,并保存每條GRE隧道與唯一一個(gè)VPN實(shí)例之間的對(duì)應(yīng)關(guān)系����;IPSec策略配置單元,用于在本總部節(jié)點(diǎn)的GRE隧道4姿口上配置IPSec策略����,所述IPSec策略中包括在IKE自動(dòng)協(xié)商中使用本節(jié)點(diǎn)的CA證書進(jìn)行身份iU正的纟見則;IPSec隧道建立單元����,用于響應(yīng)分支節(jié)點(diǎn)發(fā)起IKE自動(dòng)協(xié)商,在所述IKE 自動(dòng)協(xié)商過(guò)程中根據(jù)所述分支節(jié)點(diǎn)的CA證書對(duì)對(duì)所述分支節(jié)點(diǎn)進(jìn)行身份認(rèn) 證�,并在本總部節(jié)點(diǎn)和所述分支節(jié)點(diǎn)之間的相互認(rèn)證通過(guò)以后,在本總部節(jié)點(diǎn) 和所述分支節(jié)點(diǎn)之間建立IPSec隧道����。
13. 如權(quán)利要求12所述的總部節(jié)點(diǎn)��,其特征在于��,還包括 接收單元����,用于接收來(lái)自GRE隧道的上行數(shù)據(jù)��,并對(duì)所述上行數(shù)據(jù)進(jìn)行解GRE封裝和解IPSec封裝��;轉(zhuǎn)發(fā)單元�,用于根據(jù)傳輸所述上行數(shù)據(jù)的GRE隧道對(duì)應(yīng)的VPN實(shí)例��,對(duì) 解封裝后的上行數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)處理��。
14. 如權(quán)利要求13所述的總部節(jié)點(diǎn)����,其特征在于,還包括 發(fā)送單元�����,用于對(duì)需要經(jīng)由本總部節(jié)點(diǎn)的GRE隧道接口發(fā)送的下行數(shù)據(jù),先后進(jìn)行IPSec封裝和GRE封裝���,再通過(guò)所述GRE隧道發(fā)送出去��。
全文摘要
本發(fā)明提供了一種虛擬專用網(wǎng)多實(shí)例安全接入的方法及設(shè)備�。所述方法中�����,建立了節(jié)點(diǎn)的CA證書與VPN實(shí)例之間的對(duì)應(yīng)關(guān)系�,通過(guò)CA證書對(duì)接入節(jié)點(diǎn)進(jìn)行身份認(rèn)證,并根據(jù)CA證書�,確定該節(jié)點(diǎn)對(duì)應(yīng)的VPN實(shí)例。按照本發(fā)明所述方法及設(shè)備�,可以提高VPN多實(shí)例接入的安全性。
文檔編號(hào)H04L12/46GK101227376SQ20081005768
公開日2008年7月23日 申請(qǐng)日期2008年2月4日 優(yōu)先權(quán)日2008年2月4日
發(fā)明者蔚 李 申請(qǐng)人:杭州華三通信技術(shù)有限公司