專利名稱:一種標(biāo)識分離映射網(wǎng)絡(luò)中IPSec網(wǎng)關(guān)自動發(fā)現(xiàn)的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種標(biāo)識分離映射網(wǎng)絡(luò)中IPSec網(wǎng)關(guān)(IP Security :IP層安全協(xié)議體 系)自動發(fā)現(xiàn)的方法,屬于網(wǎng)絡(luò)技術(shù)領(lǐng)域
背景技術(shù):
標(biāo)識分離映射網(wǎng)絡(luò)是一種新型網(wǎng)絡(luò),它將終端的位置信息與身份信息進(jìn)行了分 離,建立了接入標(biāo)識和路由標(biāo)識分離映射機(jī)制。在標(biāo)識分離映射網(wǎng)絡(luò)中,管理部門為每個終 端分配一個全局唯一的接入標(biāo)識,代表終端的身份信息;映射服務(wù)器為接入終端分配路由 標(biāo)識,代表終端的位置信息,并建立接入標(biāo)識和路由標(biāo)識的映射關(guān)系。同時,標(biāo)識分離映射 網(wǎng)絡(luò)中以接入路由器為邊界,將網(wǎng)絡(luò)劃分為接入網(wǎng)和核心網(wǎng)兩部分。接入網(wǎng)實現(xiàn)各種類型 的終端或者固定、移動、傳感網(wǎng)絡(luò)等的接入;核心網(wǎng)解決位置管理、安全機(jī)制和路由技術(shù)。圖1是傳統(tǒng)的標(biāo)識分離映射網(wǎng)絡(luò)結(jié)構(gòu)的示意圖。上述網(wǎng)絡(luò)通過將網(wǎng)絡(luò)進(jìn)行接入網(wǎng)和核心網(wǎng)兩部分的劃分,不僅可以保證各種接入 技術(shù)和核心網(wǎng)的架構(gòu)分別進(jìn)行獨(dú)立的技術(shù)演進(jìn),不互相影響,而且,在網(wǎng)絡(luò)的安全性和可控 性,也有了很大程度的提高。接入網(wǎng)的用戶無法對核心網(wǎng)進(jìn)行訪問,增強(qiáng)了核心網(wǎng)數(shù)據(jù)的機(jī) 密性以及核心網(wǎng)設(shè)備的安全性;同時,接入網(wǎng)的用戶必須通過接入路由器才能訪問網(wǎng)絡(luò),接 入路由器和認(rèn)證中心會對用戶的身份真實性進(jìn)行認(rèn)證,增強(qiáng)了網(wǎng)絡(luò)的可控性。一般來說,在標(biāo)識分離映射網(wǎng)中,接入路由器主要負(fù)責(zé)各種固定終端、移動終端、 WLAN等固定網(wǎng)絡(luò)、移動子網(wǎng)以及自組網(wǎng)等移動網(wǎng)絡(luò)的接入,保存接入終端的接入標(biāo)識和路 由標(biāo)識的映射關(guān)系,并將終端的數(shù)據(jù)包進(jìn)行標(biāo)識替換處理以后在核心網(wǎng)中傳輸。核心路由器的主要功能是根據(jù)數(shù)據(jù)報文中的路由標(biāo)識,在核心網(wǎng)進(jìn)行選路和轉(zhuǎn)發(fā) 數(shù)據(jù)報文。其中,認(rèn)證中心負(fù)責(zé)記錄用戶類別,用戶享受的服務(wù)等級等,在用戶接入時進(jìn)行 接入控制和授權(quán)。認(rèn)證中心的數(shù)據(jù)庫中存放了所有合法用戶的認(rèn)證信息。映射服務(wù)器主要負(fù)責(zé)維護(hù)網(wǎng)絡(luò)中接入標(biāo)識和路由標(biāo)識的映射關(guān)系,并向接入路由 器和其他映射服務(wù)器提供查詢服務(wù)。映射服務(wù)器上保存的映射關(guān)系都是已經(jīng)通過認(rèn)證并且 可以被合法終端所使用的。標(biāo)識分離映射網(wǎng)絡(luò)運(yùn)用身份與位置分離的技術(shù),使得用戶的身份信息不會在核心 網(wǎng)隨數(shù)據(jù)流一起傳輸。網(wǎng)絡(luò)攻擊者如果在核心網(wǎng)絡(luò)對數(shù)據(jù)流進(jìn)行竊取,獲得的只是代表位 置信息的路由標(biāo)識,無法判斷參與通信的真正的源端和目的端。同時,采用了核心網(wǎng)與接入 網(wǎng)分離的方法,使得接入網(wǎng)終端不能對核心網(wǎng)的設(shè)備進(jìn)行訪問,提高了網(wǎng)絡(luò)的安全性。不過,對于數(shù)據(jù)的完整性和機(jī)密性方面,特別是在核心網(wǎng)對數(shù)據(jù)實施的監(jiān)聽和篡 改,標(biāo)識分離映射網(wǎng)提供的保護(hù)仍然不夠。為了進(jìn)一步提高該網(wǎng)絡(luò)的安全等級,在原有結(jié)構(gòu) 的基礎(chǔ)上,有人提出了基于IPSec的增強(qiáng)解決方案。圖2是基于標(biāo)識分離映射網(wǎng)絡(luò)的IPSec方案的結(jié)構(gòu)示意圖。具體來說,該安全增強(qiáng)方案基于IPSec和數(shù)字證書,在原有結(jié)構(gòu)的基礎(chǔ)上,在核心 網(wǎng)中增加了 IPSec網(wǎng)關(guān)和CA證書中心等設(shè)備。IPSec網(wǎng)關(guān)可以部署在接入路由器的核心網(wǎng)端之前,也可以直接部署在接入路由器上,以其核心網(wǎng)端作為隧道端口,前者不會增加接入 路由器負(fù)載而降低可靠性,后者易于實現(xiàn)。CA證書中心是為IPSec網(wǎng)關(guān)頒發(fā)用于網(wǎng)關(guān)之間 協(xié)商安全關(guān)聯(lián)的證書該方案的基本思想是在IPSec網(wǎng)關(guān)之間建立一條VPN隧道,使用ESP的隧道模式, 對兩個接入網(wǎng)之間的通信數(shù)據(jù)進(jìn)行加密保護(hù),有效的防止了諸如核心網(wǎng)竊聽、數(shù)據(jù)篡改等 安全攻擊手段。同時,在源、目的終端的接入標(biāo)識隱藏的基礎(chǔ)上,IPSec網(wǎng)關(guān)將數(shù)據(jù)包重新封 裝,采用自己和對端IPSec網(wǎng)關(guān)的路由標(biāo)識在核心網(wǎng)中傳輸數(shù)據(jù)包,更進(jìn)一步隱藏了終端 的路由標(biāo)識,使得通信終端的身份信息和位置信息在核心網(wǎng)中完全被隱藏,提高了安全性。在IPSec網(wǎng)關(guān)建立隧道之前,每個IPSec網(wǎng)關(guān)需要獲得如下信息才能建立隧道本地網(wǎng)關(guān)的路由標(biāo)識、對端網(wǎng)關(guān)的路由標(biāo)識、本地接入路由器的路由標(biāo)識池、對端 接入路由器的路由標(biāo)識池、IPSec工作模式(傳輸模式或隧道模式,本方案中統(tǒng)一使用隧道 模式)、IPSec保護(hù)方式(AH或ESP,本方案中統(tǒng)一使用ESP)。這些信息需要在兩個網(wǎng)關(guān)上進(jìn)行手動配置。手動配置在標(biāo)識分離映射網(wǎng)絡(luò)部署初期,接入網(wǎng)數(shù)量還不是很多的情況下可行, 但是在后期網(wǎng)絡(luò)大面積部署時,IPSec網(wǎng)關(guān)的數(shù)量會急劇增加,這時候手動配置的工作量也 會相應(yīng)的增加。假設(shè)在一個全互聯(lián)的大型網(wǎng)絡(luò)中,有100個對等體,那么每個IPSec網(wǎng)關(guān)都 需要配置99條加密規(guī)則,這是不利于配置和維護(hù)的,這套安全增強(qiáng)方案便難以實施。為了克服現(xiàn)有的手動配置的技術(shù)缺點(diǎn),人們采取了多種方法。具體來說,主要有以下所說的兩種技術(shù)方案現(xiàn)有技術(shù)方案一圖3是示出現(xiàn)有技術(shù)方案一的基于多播的IPSec網(wǎng)關(guān)發(fā)現(xiàn)機(jī)制過程圖;如該圖所 示,該種技術(shù)方案主要基于多播的IPSec網(wǎng)關(guān)發(fā)現(xiàn)機(jī)制,各子網(wǎng)通過其IPSec網(wǎng)關(guān)接入互聯(lián) 網(wǎng)。具體來說,當(dāng)有新的子網(wǎng)接入網(wǎng)絡(luò)時,新接入子網(wǎng)的IPSec網(wǎng)關(guān)會向網(wǎng)絡(luò)發(fā)送“Hello” 多播報文,以告之其他網(wǎng)關(guān)有新的子網(wǎng)加入。報文中包含了其他網(wǎng)關(guān)發(fā)起IKE協(xié)商所需要 的基本信息。其他網(wǎng)關(guān)在收到“Hello”報文后,提取出報文中的信息,然后向新網(wǎng)關(guān)發(fā)起 IKE (Internet密鑰交換協(xié)議)協(xié)商的連接,協(xié)商SA (Security Association,安全聯(lián)盟),建 立VPN(Virtual Private Network,虛擬專用網(wǎng))隧道。這樣,經(jīng)過一定的時間后,新加入 的IPSec網(wǎng)關(guān)就可以和網(wǎng)絡(luò)中的其他IPSec建立VPN隧道全互聯(lián)的網(wǎng)絡(luò),任意兩個子網(wǎng)之 間的通信數(shù)據(jù)都將受到加密保護(hù)。在VPN隧道建立后,IPSec網(wǎng)關(guān)需要每隔一個周期向網(wǎng)絡(luò)發(fā)送“ALIVE”多播報文。 當(dāng)連續(xù)四個周期都沒有收到來之某個網(wǎng)關(guān)的“ALIVE”報文,就可以認(rèn)為該網(wǎng)關(guān)“DEAD”狀 態(tài),刪除與其建立的IPSec SA。當(dāng)網(wǎng)關(guān)所連接的子網(wǎng)的信息發(fā)生變化時,該網(wǎng)關(guān)需要向網(wǎng)絡(luò)發(fā)送“UPDATE”多播報 文,將變化信息告之其他網(wǎng)關(guān),以修改相應(yīng)的SA。但是,該種技術(shù)方案具有下面的缺點(diǎn)即由于網(wǎng)關(guān)之間需要定時發(fā)送“ALIVE”報文,因此增加了網(wǎng)絡(luò)中的負(fù)載。當(dāng)網(wǎng)絡(luò) 規(guī)模擴(kuò)大,網(wǎng)關(guān)數(shù)量增多時,負(fù)載流量是呈指數(shù)級增長的。另外,基于多播的方案在網(wǎng)絡(luò)出 現(xiàn)變動后聚斂的時間較慢,所以,這種方案不適宜用于網(wǎng)絡(luò)規(guī)模過大或網(wǎng)絡(luò)拓?fù)渥兓^快的網(wǎng)絡(luò)中。另外,基于多播的IPSec網(wǎng)關(guān)發(fā)現(xiàn)方案缺乏相應(yīng)的安全機(jī)制,容易受到DoS、身份 欺騙等攻擊現(xiàn)有技術(shù)方案二圖4是示出現(xiàn)有技術(shù)方案二的基于C/S模式的IPSec網(wǎng)關(guān)發(fā)現(xiàn)機(jī)制過程圖;如該 圖所示,這種技術(shù)方案主要基于C/S模式的IPSec網(wǎng)關(guān)發(fā)現(xiàn)機(jī)制,即,每個IPSec網(wǎng)關(guān)接入 網(wǎng)絡(luò)后,將自己管理的子網(wǎng)的前綴信息發(fā)給注冊服務(wù)器進(jìn)行注冊。當(dāng)網(wǎng)關(guān)收到子網(wǎng)內(nèi)的終端發(fā)送給其他子網(wǎng)終端的數(shù)據(jù)包時,它會首先查找自己的 SA數(shù)據(jù)庫,看是否有相關(guān)的SA已經(jīng)建立。如果沒有相關(guān)SA,則進(jìn)入?yún)f(xié)商SA階段。在協(xié)商SA階段中,IPSec網(wǎng)關(guān)會根據(jù)數(shù)據(jù)包的目的地址查找本地已經(jīng)存儲的前綴 緩存及其網(wǎng)關(guān)地址,如果有匹配的項,則直接提取出該項信息。如果沒有匹配的項,則IPSec 網(wǎng)關(guān)需要向注冊服務(wù)器發(fā)送查詢請求,注冊服務(wù)器查找已注冊信息,將結(jié)果返回給請求網(wǎng) 關(guān)。如果在注冊服務(wù)器中有相應(yīng)的注冊信息,則該IPSec網(wǎng)關(guān)更新自己的本地前綴緩存,并 與對端IPSec網(wǎng)關(guān)進(jìn)行SA協(xié)商。協(xié)商完成后兩個子網(wǎng)之間的主機(jī)就可以進(jìn)行加密通信。如 果沒有的話,就要重新建立相應(yīng)的SA協(xié)商通道。但是,這種技術(shù)方案具有下面的缺點(diǎn)即由于基于C/S模式的IPSec網(wǎng)關(guān)發(fā)現(xiàn)方案,網(wǎng)絡(luò)中的IPSec網(wǎng)關(guān)信息都存儲在 一個注冊服務(wù)器中,因此在網(wǎng)絡(luò)規(guī)模擴(kuò)大時,注冊服務(wù)器會成為瓶頸。并且,由于注冊服務(wù) 器缺乏相應(yīng)的保護(hù)措施,因此很容易收到諸如DoS等方式的網(wǎng)絡(luò)攻擊,安全隱患十分嚴(yán)重。由上面進(jìn)行的分析可知,現(xiàn)有的兩種解決手段以及方法,都會給系統(tǒng)帶來一定的 問題,因此,不可避免地存在著相應(yīng)的缺點(diǎn)。
發(fā)明內(nèi)容
本發(fā)明的目的在于在已有的標(biāo)識分離映射網(wǎng)絡(luò)的IPSec部署方案的基礎(chǔ)上,提出 了一種新的自適應(yīng)配置的方法,并且,該種解決方法的部署方案能夠更易實施、尤其適用于 大型網(wǎng)絡(luò)環(huán)境下,并且,該種方法對網(wǎng)絡(luò)負(fù)載影響小、以及不容易受到DoS、身份欺騙等攻 擊,具有更好的安全性。為了實現(xiàn)上述目的,本發(fā)明提供了一種標(biāo)識分離映射網(wǎng)絡(luò)中IPSec網(wǎng)關(guān)自動發(fā)現(xiàn) 的方法,包括以下階段I)自動協(xié)商階段,源IPSec網(wǎng)關(guān)和目的IPSec網(wǎng)關(guān)之間通過自動的信息交換,獲得 進(jìn)行IPSec協(xié)商所必須的配置信息,然后再完成安全關(guān)聯(lián)的建立;II)機(jī)密通信階段,源IPSec網(wǎng)關(guān)和目的IPSec網(wǎng)關(guān)之間進(jìn)行機(jī)密通信,完成源終 端和目的終端之間的數(shù)據(jù)傳送;以及III)自動清除階段,上述安全關(guān)聯(lián)過期后,源IPSec網(wǎng)關(guān)和目的IPSec網(wǎng)關(guān)之間的 安全關(guān)聯(lián)會自動清除。進(jìn)一步地,優(yōu)選的方法是,所述階段I)之中,又包括下列步驟1-1)源接入路由器收到源終端發(fā)出的數(shù)據(jù)包,對該數(shù)據(jù)包進(jìn)行標(biāo)識映射,將接入 標(biāo)識映射為路由標(biāo)識后,發(fā)給源IPSec網(wǎng)關(guān);1-2)源IPSec網(wǎng)關(guān)接收到帶有路由標(biāo)識的數(shù)據(jù)包后,將該數(shù)據(jù)包加入?yún)f(xié)商等待數(shù)據(jù)庫中形成協(xié)商請求項;1-3)源IPSec網(wǎng)關(guān)根據(jù)上述協(xié)商請求項,利用源IPSec網(wǎng)關(guān)的路由標(biāo)識以及源接 入路由器管理的路由標(biāo)識池信息,構(gòu)造協(xié)商請求包,發(fā)送到目的IPSec網(wǎng)關(guān)1-4)目的IPSec網(wǎng)關(guān)接收到上述協(xié)商請求包后,加入自己的協(xié)商等待數(shù)據(jù)庫中并 形成協(xié)商響應(yīng)項;同時,利用目的IPSec網(wǎng)關(guān)的路由標(biāo)識以及目的接入路由器管理的路由 標(biāo)識信息,構(gòu)造協(xié)商響應(yīng)包,返回給源IPSec網(wǎng)關(guān);1-5)源IPSec網(wǎng)關(guān)收到上述協(xié)商響應(yīng)包后,發(fā)送協(xié)商確認(rèn)包給目的IPSec網(wǎng)關(guān);1-6)源IPSec網(wǎng)關(guān)和目的IPSec網(wǎng)關(guān)利用步驟1-1 1-5后得到的協(xié)商信息進(jìn)行 協(xié)商,完成安全關(guān)聯(lián)的建立,同時,雙方清除協(xié)商等待數(shù)據(jù)庫中的對應(yīng)信息。進(jìn)一步地,優(yōu)選的方法是,所述源IPSec網(wǎng)關(guān)和目的IPSec網(wǎng)關(guān)之間使用IKE協(xié)議 進(jìn)行安全關(guān)聯(lián)的協(xié)商。進(jìn)一步地,優(yōu)選的方法是,所述目的IPSec網(wǎng)關(guān)收到的協(xié)商請求包包括源IPSec 網(wǎng)關(guān)的路由標(biāo)識以及源接入路由器管理的路由標(biāo)識池信息;以及,所述源IPSec網(wǎng)關(guān)收到 的協(xié)商響應(yīng)包包括目的IPSec網(wǎng)關(guān)的路由標(biāo)識以及目的接入路由器管理的路由標(biāo)識池信 肩、ο進(jìn)一步地,優(yōu)選的方法是,所述階段II)中,又包含下列步驟II-1)源終端發(fā)送數(shù)據(jù)包,源接入路由器收到該數(shù)據(jù)包后,對數(shù)據(jù)包進(jìn)行標(biāo)識映 射,將接入標(biāo)識映射為路由標(biāo)識后,發(fā)給源IPSec網(wǎng)關(guān);II-2)源IPSec網(wǎng)關(guān)接收到源接入路由器發(fā)來的數(shù)據(jù)包后,按照SA對數(shù)據(jù)包進(jìn)行 加密封裝處理,然后發(fā)往核心網(wǎng);II-3)目的IPSec網(wǎng)關(guān)接收到數(shù)據(jù)包后,按照SA對數(shù)據(jù)包進(jìn)行解密以及完整性檢 驗后,將通過檢驗的數(shù)據(jù)包發(fā)給目的接入路由器;11-4)目的接入路由器收到數(shù)據(jù)包后,將數(shù)據(jù)包的路由標(biāo)識映射回接入標(biāo)識,然后 發(fā)給目的終端。進(jìn)一步地,優(yōu)選的方法是,所述步驟II-2)和II-3)之中,源IPSec網(wǎng)關(guān)以及目的 IPSec網(wǎng)關(guān)分別通過連接在策略數(shù)據(jù)庫中相應(yīng)的策略進(jìn)行加密封裝以及解密的。進(jìn)一步地,優(yōu)選的方法是,所述階段III)中,又包含下列步驟III-1)如果在設(shè)定時間內(nèi),源終端沒有數(shù)據(jù)包發(fā)給目的終端,則該安全關(guān)聯(lián)項視 為過期,將該安全關(guān)聯(lián)項加入清除等待數(shù)據(jù)庫,同時源IPSec網(wǎng)關(guān)向目的IPSec網(wǎng)關(guān)發(fā)送清 除請求包;III-2)目的IPSec網(wǎng)關(guān)收到清除請求包后,將待清除的安全關(guān)聯(lián)項加入清除等待 數(shù)據(jù)庫,并向源IPSec網(wǎng)關(guān)返回清除響應(yīng)包;III-3)源IPSec網(wǎng)關(guān)收到清除響應(yīng)包后,清除對應(yīng)的SA和等待數(shù)據(jù)庫中的等待 項,并向目的IPSec網(wǎng)關(guān)發(fā)送清除確認(rèn)包;111-4)目的IPSec網(wǎng)關(guān)收到清除確認(rèn)包后,清除對應(yīng)的SA和等待數(shù)據(jù)庫中的等待 項。進(jìn)一步地,優(yōu)選的方法是,步驟III-1)中,所述的設(shè)定時間是180秒。進(jìn)一步地,優(yōu)選的方法是,IPSec網(wǎng)關(guān)對數(shù)據(jù)包進(jìn)行如下處理=IPSec網(wǎng)關(guān)根據(jù)數(shù) 據(jù)包的源和目的標(biāo)識查找策略庫;如果找到了對應(yīng)的策略,就按照策略記錄對數(shù)據(jù)包進(jìn)行加密或者數(shù)據(jù)處理,處理完成后進(jìn)行轉(zhuǎn)發(fā);以及如果沒有找到對應(yīng)的策略,判斷數(shù)據(jù)包是來 自接入路由器還是核心路由器;其中,如果來自接入路由器,則判斷源和目的終端是否合 法,如果合法,則該數(shù)據(jù)包加入?yún)f(xié)商等待數(shù)據(jù)庫;以及如果數(shù)據(jù)包來自核心路由器,則判斷 是否為特殊包,若為特殊包,則按照特殊包的處理方式進(jìn)行處理;否則該數(shù)據(jù)包視為非法 包,進(jìn)行丟棄處理。進(jìn)一步地,優(yōu)選的方法是,所述特殊包包括協(xié)商請求包、協(xié)商響應(yīng)包、協(xié)商確認(rèn) 包、清除請求包、清除響應(yīng)包、清除確認(rèn)包以及IKE協(xié)商包。
本發(fā)明的有益效果具體描述如下第一、根據(jù)本發(fā)明的方法能夠使標(biāo)識分離映射網(wǎng)絡(luò)中的IPSec網(wǎng)關(guān)自動的進(jìn)行配 置協(xié)商安全關(guān)聯(lián),替代了手工配置的方式,簡化了配置的過程;第二、能夠自動的清除過期 的安全關(guān)聯(lián),保證了策略數(shù)據(jù)庫的穩(wěn)定,并且,該種方法尤其適用于大型網(wǎng)絡(luò)環(huán)境之中,具 有較好的技術(shù)效果。
通過下面結(jié)合附圖對其示例性實施例進(jìn)行的描述,本發(fā)明上述特征和優(yōu)點(diǎn)將會變 得更加清楚和容易理解。圖1是傳統(tǒng)的標(biāo)識分離映射網(wǎng)絡(luò)結(jié)構(gòu)的示意圖;圖2是基于標(biāo)識分離映射網(wǎng)絡(luò)的IPSec方案的結(jié)構(gòu)示意圖;圖3是現(xiàn)有的一種基于多播的IPSec網(wǎng)關(guān)發(fā)現(xiàn)機(jī)制過程圖;圖4是現(xiàn)有的一種基于C/S模式的IPSec網(wǎng)關(guān)發(fā)現(xiàn)機(jī)制過程圖;圖5是根據(jù)本發(fā)明的網(wǎng)關(guān)自動發(fā)現(xiàn)以及通信流程示意圖;圖6是根據(jù)本發(fā)明的標(biāo)識分離映射網(wǎng)絡(luò)中IPSec網(wǎng)關(guān)自動發(fā)現(xiàn)的實施示意圖;圖7是根據(jù)本發(fā)明的IPSec對數(shù)據(jù)包的處理流程示意圖;圖8是根據(jù)本發(fā)明的協(xié)商請求包的格式的示意圖;圖9是根據(jù)本發(fā)明的協(xié)商響應(yīng)包的格式的示意圖;圖10是根據(jù)本發(fā)明的協(xié)商確認(rèn)包的格式的示意圖;圖11是根據(jù)本發(fā)明的清除請求包的格式的示意圖;圖12是根據(jù)本發(fā)明的清除響應(yīng)包的格式的示意圖;圖13是根據(jù)本發(fā)明的清除確認(rèn)包的格式的示意圖;圖14是根據(jù)本發(fā)明的協(xié)商等待數(shù)據(jù)庫格式的示意圖;圖15是根據(jù)本發(fā)明的協(xié)商等待數(shù)據(jù)庫中狀態(tài)的轉(zhuǎn)移示意圖;圖16是根據(jù)本發(fā)明的清除等待數(shù)據(jù)庫格式的示意圖;圖17是根據(jù)本發(fā)明的清除等待數(shù)據(jù)庫中狀態(tài)的轉(zhuǎn)移示意圖。
具體實施例方式下面結(jié)合附圖對本發(fā)明進(jìn)行詳細(xì)的描述。本發(fā)明所述的各種英文縮略語的定義如下所示IPSec :IP Security,IP 層安全協(xié)議體系;VPN :Virtual Private Network, 虛擬專用網(wǎng);IPSec Gff JPSec Gateway, IPSec 網(wǎng)關(guān);AR :Access Router ;接入路由器;CR :Core Router, ^tM ^ ^ ;AC -Authentication Center, τΛ ΕΦ^ ; IDS Jdentifier Server,映射月艮務(wù)器;SA Security Association,安全聯(lián)盟;AH Authentication Header, 認(rèn) ilH 頭 t辦;ESP !Encapsulating Security Payload, ;fef _ 安全 i 荷;Internet key exchange (IKE) :Internet 密鑰交換協(xié)議(IKE) ;DoS =Denial of Service,拒絕服務(wù)。圖5是根據(jù)本發(fā)明的網(wǎng)關(guān)自動發(fā)現(xiàn)以及通信流程示意圖;圖6是根據(jù)本發(fā)明的標(biāo) 識分離映射網(wǎng)絡(luò)中IPSec網(wǎng)關(guān)自動發(fā)現(xiàn)的實施示意圖。如圖5-6所示,其示出的標(biāo)識分離映射網(wǎng)絡(luò)包括,接入網(wǎng)以及核心網(wǎng),并且,兩個 網(wǎng)絡(luò)之間并不能自由地進(jìn)行通訊。
其中,在接入網(wǎng)的終端通過源接入路由器、核心路由器、目的接入路由器進(jìn)行終端 之間的通信,其中,處于核心網(wǎng)絡(luò)之中的核心路由器負(fù)責(zé)各種用戶終端等網(wǎng)絡(luò)的接入,保存 接入終端的接入標(biāo)識和路由標(biāo)識之間的映射關(guān)系,并將終端的數(shù)據(jù)包進(jìn)行標(biāo)識替換后在核 心網(wǎng)進(jìn)行傳遞;而認(rèn)證中心負(fù)責(zé)記錄用戶終端的類別以及服務(wù)等級,在用戶終端接入的時 候,進(jìn)行控制和授權(quán),其中,在認(rèn)證中心的服務(wù)器之中存放了所有合法用戶的認(rèn)證信息。同時,在映射服務(wù)器負(fù)責(zé)維護(hù)網(wǎng)絡(luò)中接入標(biāo)識和路由標(biāo)識的映射關(guān)系,并且,其向 接入路由器和其他映射服務(wù)器提供查詢服務(wù),其中,在映射服務(wù)器上保存的映射關(guān)系都是 已經(jīng)通過認(rèn)證并且可以被合法用戶終端使用的。并且,標(biāo)識分離映射網(wǎng)絡(luò)運(yùn)用身份與位置分離的技術(shù),使得用戶的身份信息不會 在核心網(wǎng)絡(luò)中出現(xiàn)并被人攻擊。另外,IPSec網(wǎng)關(guān)設(shè)置在路由器和核心路由器之間,也可以直接設(shè)置在接入路由器 之上;并且,CA證書中心用于為IPSec網(wǎng)關(guān)頒發(fā)用于網(wǎng)關(guān)之間協(xié)商安全關(guān)聯(lián)的證書。上述裝置的方法是,源IPSec網(wǎng)關(guān)與設(shè)置在核心網(wǎng)內(nèi)部的映射服務(wù)器、認(rèn)證中心 以及CA證書中心一起作用,實現(xiàn)源接入終端、源接入路由器、核心路由器、目的接入路由 器、目的終端之間的信息的自動交換,數(shù)據(jù)的封裝、映射以及傳遞的過程。根據(jù)本發(fā)明的標(biāo)識分離網(wǎng)絡(luò)中IPSec網(wǎng)關(guān)自動發(fā)現(xiàn)的方法,具體來說,包括下列 階段I)自動協(xié)商階段,源IPSec網(wǎng)關(guān)和目的IPSec網(wǎng)關(guān)之間通過自動的信息交換,獲 得IPSec協(xié)商所必須的配置信息,然后再完成安全關(guān)聯(lián)的建立;II)機(jī)密通信階段,源IPSec 網(wǎng)關(guān)和目的IPSec網(wǎng)關(guān)之間進(jìn)行機(jī)密通信,完成源終端和目的終端之間的數(shù)據(jù)傳送;以及 III)自動清除階段,上述安全關(guān)聯(lián)過期后,源IPSec網(wǎng)關(guān)和目的IPSec網(wǎng)關(guān)之間的安全關(guān)聯(lián) 會自動清除。下面,更具體地對上述方案進(jìn)行詳細(xì)的描述。本發(fā)明主要采用一種觸發(fā)式的方式來使IPSec網(wǎng)關(guān)開始自動發(fā)現(xiàn)的步驟,并且, 借助于源IPSec網(wǎng)關(guān)和目的IPSec網(wǎng)關(guān)、核心網(wǎng)絡(luò)之間的信息傳遞,完成機(jī)密信息的傳遞過程。一般來說,當(dāng)源終端第一次發(fā)送數(shù)據(jù)包給目的終端時,IPSec網(wǎng)關(guān)間還未建立相應(yīng) SA。當(dāng)數(shù)據(jù)包到達(dá)源IPSec網(wǎng)關(guān)后,源IPSec網(wǎng)關(guān)在策略庫中查詢不到該數(shù)據(jù)包的處理策 略,在協(xié)商等待數(shù)據(jù)庫中加入新的等待項,開始自動發(fā)現(xiàn)步驟。接著,源IPSec網(wǎng)關(guān)根據(jù)協(xié)商等待數(shù)據(jù)庫中的 < 源終端RID,目的終端RID> 二元 組記錄構(gòu)造“協(xié)商請求包”,目的IPSec網(wǎng)關(guān)收到協(xié)商請求后返回一個“協(xié)商響應(yīng)包”給源IPSec網(wǎng)關(guān),然后源IPSec網(wǎng)關(guān)發(fā)送“協(xié)商確認(rèn)包”給目的IPSec網(wǎng)關(guān),雙方開始協(xié)商安全關(guān)
聯(lián)。 自動協(xié)商的方法是,通過“協(xié)商請求包”和“協(xié)商響應(yīng)包”兩個包的具體對應(yīng)請求 使源IPSec網(wǎng)關(guān)和目的IPSec網(wǎng)關(guān)相互確認(rèn),并獲得進(jìn)行協(xié)商所需要的必要信息。通過“協(xié) 商確認(rèn)包”使雙方開始IKE協(xié)商,然后建立對應(yīng)的SA。此外,當(dāng)兩個接入網(wǎng)間的超過一定時間沒有通信數(shù)據(jù)時,該項SA視為過期,源 IPSec網(wǎng)關(guān)和目的IPSec網(wǎng)關(guān)通過“清除請求包”、“清除響應(yīng)包”和“清除確認(rèn)包”進(jìn)行相互 確認(rèn),然后刪除對應(yīng)的SA。具體來說,包括三個階段,分別為自動協(xié)商階段、機(jī)密通信階段以及自動清除階 段。在本方法中,我們假設(shè)源終端和目的終端已經(jīng)通過了接入認(rèn)證,并且在映射服務(wù)器和其 各自連接的接入路由器上注冊了接入標(biāo)識和路由標(biāo)識的映射關(guān)系,同時IPSec網(wǎng)關(guān)已獲得 與其連接的接入路由器的路由標(biāo)識池信息。自動協(xié)商階段主要的目的是源IPSec網(wǎng)關(guān)和目的IPSec網(wǎng)關(guān)之間通過進(jìn)行 IPSec協(xié)商所必須的配置信息的互相交換,完成安全關(guān)聯(lián)的建立。本階段首先要完成源IPSec網(wǎng)關(guān)和目的IPSec網(wǎng)關(guān)之間進(jìn)行IPSec協(xié)商所必須的 配置信息的自動交換,然后完成源IPSec網(wǎng)關(guān)和目的IPSec網(wǎng)關(guān)的自動協(xié)商,建立起源接入 網(wǎng)和目的接入網(wǎng)間的SA,本階段共有四個步驟步驟1)源終端發(fā)送正常通信數(shù)據(jù)包給目的終端,源接入路由器收到該數(shù)據(jù)包后, 對數(shù)據(jù)包進(jìn)行標(biāo)識映射,將接入標(biāo)識映射為路由標(biāo)識后,發(fā)給源IPSec網(wǎng)關(guān);步驟2)源IPSec網(wǎng)關(guān)接收到源接入路由器發(fā)來的數(shù)據(jù)包后,查詢策略數(shù)據(jù)庫,由 于SA還未建立,因此源IPSec網(wǎng)關(guān)不能處理該數(shù)據(jù)包,將數(shù)據(jù)包的<源終端RID,目的終端 RID >二元組信息加入?yún)f(xié)商等待數(shù)據(jù)庫,丟棄該包;步驟3)源IPSec網(wǎng)關(guān)取出協(xié)商等待數(shù)據(jù)庫中的<源終端RID,目的終端RID >二 元組記錄構(gòu)造“協(xié)商請求包”,將源IPSec網(wǎng)關(guān)的路由標(biāo)識以及源接入路由器管理的路由標(biāo) 識池信息作為載荷并發(fā)送;步驟4)目的IPSec網(wǎng)關(guān)收到“協(xié)商請求包”后,先當(dāng)作正常數(shù)據(jù)包處理,查詢策略 數(shù)據(jù)庫,沒有查詢到策略信息后,檢查載荷,發(fā)現(xiàn)協(xié)商請求標(biāo)志,記錄下數(shù)據(jù)包載荷中的源 IPSec網(wǎng)關(guān)的路由標(biāo)識以及源接入路由器管理的路由標(biāo)識池信息,加入自己的協(xié)商等待數(shù) 據(jù)庫,并用源IPSec網(wǎng)關(guān)的路由標(biāo)識和自己的路由標(biāo)識構(gòu)造“協(xié)商響應(yīng)包”,將目的接入路 由器管理的路由標(biāo)識池信息作為載荷,發(fā)送給源IPSec網(wǎng)關(guān);步驟5)源IPSec網(wǎng)關(guān)收到“協(xié)商響應(yīng)包”后,記錄下目的IPSec網(wǎng)關(guān)的路由標(biāo)識 以及目的接入路由器管理的路由標(biāo)識池信息,此時,雙方IPSec網(wǎng)關(guān)都知道了進(jìn)行協(xié)商的 對端IPSec網(wǎng)關(guān)的路由標(biāo)識以及需要提供保護(hù)兩個接入網(wǎng)的路由標(biāo)識池信息,源IPSec網(wǎng) 關(guān)發(fā)送“協(xié)商確認(rèn)包”給目的IPSec網(wǎng)關(guān),準(zhǔn)備開始IKE協(xié)商;經(jīng)過上述處理以后,雙方IPSec網(wǎng)關(guān)利用前幾個步驟得到的協(xié)商信息,使用IKE協(xié) 議進(jìn)行協(xié)商,完成安全關(guān)聯(lián)的建立,雙方清除協(xié)商等待數(shù)據(jù)庫中的對應(yīng)信息。機(jī)密通信階段的主要目的是源IPSec網(wǎng)關(guān)和目的IPSec網(wǎng)關(guān)之間進(jìn)行機(jī)密通信, 完成源終端和目的終端之間的數(shù)據(jù)傳送。本階段是IPSec網(wǎng)關(guān)完成自動協(xié)商后,通信終端雙方的通信數(shù)據(jù)經(jīng)過IPSec網(wǎng)關(guān)時,按照安全策略對數(shù)據(jù)進(jìn)行保護(hù),保證數(shù)據(jù)包和核心網(wǎng)傳輸?shù)臋C(jī)密性和完整性,有四個步 驟步驟6)源終端發(fā)送正常通信數(shù)據(jù)包給目的終端,源接入路由器收到給數(shù)據(jù)包后, 對數(shù)據(jù)包進(jìn)行標(biāo)識映射,將接入標(biāo)識映射為路由標(biāo)識后,發(fā)給源IPSec網(wǎng)關(guān);步驟7)源IPSec網(wǎng)關(guān)接收到源接入路由器發(fā)來的數(shù)據(jù)包后,查詢策略數(shù)據(jù)庫,找 到相應(yīng)的策略,按照SA對數(shù)據(jù)包進(jìn)行加密封裝處理,然后發(fā)往核心網(wǎng);步驟8)目的IPSec網(wǎng)關(guān)接收到數(shù)據(jù)包后,查詢策略數(shù)據(jù)庫,找到相應(yīng)的策略,按照 SA對數(shù)據(jù)包進(jìn)行解密以及完整性檢驗后,將通過檢驗的數(shù)據(jù)包發(fā)給目的接入路由器;步驟9)目的接入路由器收到數(shù)據(jù)包后,將數(shù)據(jù)包的路由標(biāo)識映射回接入標(biāo)識,然 后發(fā)給目的終端,完成一次受保護(hù)的通信。自動清除階段的主要目的是上述安全關(guān)聯(lián)過期后,源IPSec網(wǎng)關(guān)和目的IPSec網(wǎng) 關(guān)之間的數(shù)據(jù)自動清除。本階段是當(dāng)兩個接入網(wǎng)之間安的全關(guān)聯(lián)過期后,在雙方IPSec網(wǎng)關(guān)清除該安全關(guān) 聯(lián)項,有四個步驟 步驟10) —定時間內(nèi)(180s)源終端沒有數(shù)據(jù)包發(fā)給目的終端,該安全關(guān)聯(lián)項視為 過期,將該安全關(guān)聯(lián)加入清除等待數(shù)據(jù)庫,同時源IPSec網(wǎng)關(guān)向目的IPSec網(wǎng)關(guān)發(fā)送“清除 請求包”;步驟11)目的IPSec網(wǎng)關(guān)收到“清除請求包”后,將待清除的安全關(guān)聯(lián)項加入清除 等待數(shù)據(jù)庫,并返回“清除響應(yīng)包”給源IPSec網(wǎng)關(guān);步驟12)源IPSec網(wǎng)關(guān)收到“清除響應(yīng)包”后,清除對應(yīng)的SA和等待數(shù)據(jù)庫中的 等待項,并發(fā)送“清除確認(rèn)包”;步驟13)目的IPSec網(wǎng)關(guān)收到“清除確認(rèn)包”后,清除對應(yīng)的SA和等待數(shù)據(jù)庫中 的等待項。另外,需要知道的是,在標(biāo)識分離映射網(wǎng)絡(luò)中IPSec VPN部署時,IPSec網(wǎng)關(guān)有兩 種部署方法可以與接入路由器分開,作為不同的設(shè)備獨(dú)立部署;也可以進(jìn)行聯(lián)合部署,直 接在接入路由器上實現(xiàn)IPSec網(wǎng)關(guān)。在實施IPSec網(wǎng)關(guān)自動發(fā)現(xiàn)時,IPSec網(wǎng)關(guān)采用的是獨(dú)立部署的方法。如果使用 聯(lián)合部署的方法,會進(jìn)一步增加接入路由器的負(fù)載。接入路由器不僅要對經(jīng)過的數(shù)據(jù)包進(jìn) 行標(biāo)識映射、IPSec處理,還要與其他接入路由器進(jìn)行IPSec協(xié)商,維護(hù)策略數(shù)據(jù)庫等。會 使得接入路由器成為標(biāo)識分離映射網(wǎng)絡(luò)的瓶頸。在聯(lián)合部署時使用IPSec網(wǎng)關(guān)自動發(fā)現(xiàn),只有在網(wǎng)絡(luò)規(guī)模較小,數(shù)據(jù)流量低時才 能使用。圖7是根據(jù)本發(fā)明的IPSec對數(shù)據(jù)包的處理流程示意圖。如圖7所示,IPSec網(wǎng)關(guān)對數(shù)據(jù)包進(jìn)行如下處理IPSec網(wǎng)關(guān)根據(jù)數(shù)據(jù)包的源和目的標(biāo)識查找策略庫;如果找到了對應(yīng)的策略,就 按照策略記錄對數(shù)據(jù)包進(jìn)行加密或者數(shù)據(jù)處理,處理完成后進(jìn)行轉(zhuǎn)發(fā);以及,如果沒有找到 對應(yīng)的策略,則判斷數(shù)據(jù)包是來自接入路由器還是核心路由器;其中,如果來自接入路由 器,則判斷源和目的終端是否合法,如果合法,則將該數(shù)據(jù)包加入?yún)f(xié)商等待數(shù)據(jù)庫;如果數(shù) 據(jù)包來自核心路由器,則判斷是否為特殊包,若為特殊包,則按照特殊包的處理方式進(jìn)行處理;否則該數(shù)據(jù)包視為非法包,進(jìn)行丟棄處理。并且,所述特殊包包括協(xié)商請求包、協(xié)商響應(yīng)包、協(xié)商確認(rèn)包、清除請求包、清除 響應(yīng)包、清除確認(rèn)包以及IKE協(xié)商包。下面我們對上述方法中所出現(xiàn)的各種請求包進(jìn)行一個說明,以使得本發(fā)明的技術(shù) 效果更加具體和清楚。協(xié)商請求包的格式如圖8所示由于源IPSec網(wǎng)關(guān)在發(fā)送此數(shù)據(jù)包時并不知道目的IPSec網(wǎng)關(guān)的RID,因此該數(shù)據(jù) 包的網(wǎng)通層報頭的源標(biāo)識域及目的標(biāo)識域分別為源終端的RID和目的終端的RID,這樣可 以保證“協(xié)商請求包”正確的路由到目的IPSec網(wǎng)關(guān)。請求序列號是源IPSec網(wǎng)關(guān)自動生成的序列號,與時間戳域配合防止重放攻擊。 載荷信息包含了目的IPSec網(wǎng)關(guān)需要知道的源IPSec網(wǎng)關(guān)的RID以及源接入路由器的路由 標(biāo)識池信息。協(xié)商響應(yīng)包的格式如圖9所示。 此時目的IPSec網(wǎng)關(guān)知道了源IPSec網(wǎng)關(guān)的RID,因此該數(shù)據(jù)包的網(wǎng)通層報頭的 源標(biāo)識域及目的標(biāo)識域分別為目的IPSec網(wǎng)關(guān)的RID和源IPSec網(wǎng)關(guān)的RID。響應(yīng)序列號 是目的IPSec網(wǎng)關(guān)自動生成的,另外返回請求序列號+1防止重返攻擊。載荷信息包含了源 IPSec網(wǎng)關(guān)需要知道的目的IPSec網(wǎng)關(guān)的RID以及目的接入路由器的路由標(biāo)識池信息。協(xié)商確認(rèn)包的格式如圖10所示。該數(shù)據(jù)包的網(wǎng)通層報頭的源標(biāo)識域及目的標(biāo)識域分別為源IPSec網(wǎng)關(guān)的RID和目 的IPSec網(wǎng)關(guān)的RID。此時雙方IPSec網(wǎng)關(guān)已經(jīng)掌握了進(jìn)行協(xié)商所需全部信息,本數(shù)據(jù)包目 的是使雙方IPSec網(wǎng)關(guān)同步開始IKE協(xié)商。返回響應(yīng)序列號+1防止重返攻擊。清除請求包的格式如圖11所示。該數(shù)據(jù)包的網(wǎng)通層報頭的源標(biāo)識域及目的標(biāo)識域分別為源IPSec網(wǎng)關(guān)的RID和目 的IPSec網(wǎng)關(guān)的RID。請求序列號是源IPSec網(wǎng)關(guān)自動生成的序列號,與時間戳域配合防止 重放攻擊。載荷信息包含了待清除的安全關(guān)聯(lián)的安全參數(shù)索引SPI。由于SA是單向的,每 兩個接入網(wǎng)間應(yīng)有兩個SA及對應(yīng)的SPI,以完成數(shù)據(jù)包的雙向處理,因此應(yīng)有兩個待清除 的 SPI。清除響應(yīng)包的格式如圖12所示。該數(shù)據(jù)包的網(wǎng)通層報頭的源標(biāo)識域及目的標(biāo)識域分別為目的IPSec網(wǎng)關(guān)的RID和 源IPSec網(wǎng)關(guān)的RID。響應(yīng)序列號是目的IPSec網(wǎng)關(guān)自動生成的,另外返回請求序列號+1 防止重返攻擊。載荷信息包含了兩個待清除的安全關(guān)聯(lián)的安全參數(shù)索引SPI。清除確認(rèn)包的格式如圖13所示。該數(shù)據(jù)包的網(wǎng)通層報頭的源標(biāo)識域及目的標(biāo)識域分別為源IPSec網(wǎng)關(guān)的RID和目 的IPSec網(wǎng)關(guān)的RID。本數(shù)據(jù)包目的是使雙方IPSec網(wǎng)關(guān)同步清除過期安全關(guān)聯(lián)。返回響 應(yīng)序列號+1防止重返攻擊。協(xié)商等待數(shù)據(jù)庫的格式如圖14所示。下面,具體對該數(shù)據(jù)庫進(jìn)行說明,當(dāng)源IPSec網(wǎng)關(guān)收到觸發(fā)數(shù)據(jù)包后,在數(shù)據(jù)庫中 新增等待項,狀態(tài)域置為“未協(xié)商”,填充源終端RID域、目的終端RID域、源IPSec網(wǎng)關(guān)RID 域、源接入網(wǎng)路由標(biāo)識地址池域,其他域為空。對于數(shù)據(jù)庫中“未協(xié)商”的項,源IPSec網(wǎng)關(guān)構(gòu)造“協(xié)商請求包”并發(fā)送,同時狀態(tài)域置為“等待響應(yīng)”。目的IPSec網(wǎng)關(guān)收到“協(xié)商請求 包”后,在數(shù)據(jù)庫中新增等待項,根據(jù)數(shù)據(jù)包的攜帶信息,填充全部域,發(fā)送“協(xié)商響應(yīng)包”, 同時狀態(tài)域置為“等待確認(rèn)”。源IPSec網(wǎng)關(guān)收到“協(xié)商響應(yīng)包”后,根據(jù)數(shù)據(jù)包的攜帶信息 填充目的IPSec網(wǎng)關(guān)RID域和目的接入網(wǎng)路由標(biāo)識域,然后發(fā)送“協(xié)商確認(rèn)包”。雙方開始 IKE協(xié)商后,狀態(tài)域都置為“協(xié)商中”。協(xié)商結(jié)束后,該等待項自動清除。清除等待數(shù)據(jù)庫的格式如圖16所示。當(dāng)源接入網(wǎng)和目的接入網(wǎng)間的一定時間內(nèi)沒有通信數(shù)據(jù),該項安全關(guān)聯(lián)視為過 期,源IPSec網(wǎng)關(guān)在清除數(shù)據(jù)庫中新增清除等待項,狀態(tài)域置為“未清除”。對于數(shù)據(jù)庫中 “未清除”的項,源IPSec網(wǎng)關(guān)構(gòu)造“清除請求包”并發(fā)送,同時狀態(tài)域置為“等待響應(yīng)”。目 的IPSec網(wǎng)關(guān)收到“清除請求包”后,在數(shù)據(jù)庫中新增等待項,發(fā)送“清除響應(yīng)包”,同時狀態(tài) 域置為“等待確認(rèn)”。源IPSec網(wǎng)關(guān)收到“清除響應(yīng)包”后,刪除對應(yīng)的進(jìn)入方向SA和外出 方向SA,然后發(fā)送“清除確認(rèn)包”。目的IPSec網(wǎng)關(guān)收到“清楚確認(rèn)包”后,清除對應(yīng)SA。清 除完成后,雙方網(wǎng)關(guān)的數(shù)據(jù)庫中的等待項自動清除。本發(fā)明的有益效果具體描述如下
第一、根據(jù)本發(fā)明的方法能夠使標(biāo)識分離映射網(wǎng)絡(luò)中的IPSec網(wǎng)關(guān)自動的進(jìn)行配 置協(xié)商安全關(guān)聯(lián),替代了手工配置的方式,簡化了配置的過程;第二、能夠自動的清除過期 的安全關(guān)聯(lián),保證了策略數(shù)據(jù)庫的穩(wěn)定,并且,本發(fā)明的方法尤其適用于大型網(wǎng)絡(luò)環(huán)境之 中,具有較好的技術(shù)效果。在本發(fā)明的上述教導(dǎo)下,本領(lǐng)域技術(shù)人員可以在上述實施例的基礎(chǔ)上進(jìn)行各種改 進(jìn)和變形,而這些改進(jìn)或者變形落在本發(fā)明的保護(hù)范圍內(nèi)。本領(lǐng)域技術(shù)人員應(yīng)該明白,上面 的具體描述只是為了解釋本發(fā)明的目的,并非用于限制本發(fā)明。本發(fā)明的保護(hù)范圍由權(quán)利 要求及其等同物限定。
權(quán)利要求
一種標(biāo)識分離映射網(wǎng)絡(luò)中IPSec網(wǎng)關(guān)自動發(fā)現(xiàn)的方法,包括以下階段I)自動協(xié)商階段,源IPSec網(wǎng)關(guān)和目的IPSec網(wǎng)關(guān)之間通過自動的信息交換,獲得進(jìn)行IPSec協(xié)商所必須的配置信息,然后再完成安全關(guān)聯(lián)的建立;II)機(jī)密通信階段,源IPSec網(wǎng)關(guān)和目的IPSec網(wǎng)關(guān)之間進(jìn)行機(jī)密通信,完成源終端和目的終端之間的數(shù)據(jù)傳送;以及III)自動清除階段,上述安全關(guān)聯(lián)過期后,源IPSec網(wǎng)關(guān)和目的IPSec網(wǎng)關(guān)之間的安全關(guān)聯(lián)會自動清除。
2.根據(jù)權(quán)利要求1所述的標(biāo)識分離映射網(wǎng)絡(luò)中IPSec網(wǎng)關(guān)自動發(fā)現(xiàn)的方法,其特征在 于,所述階段I)之中,又包括下列步驟1-1)源接入路由器收到源終端發(fā)出的數(shù)據(jù)包,對該數(shù)據(jù)包進(jìn)行標(biāo)識映射,將接入標(biāo)識 映射為路由標(biāo)識后,發(fā)給源IPSec網(wǎng)關(guān);1-2)源IPSec網(wǎng)關(guān)接收到帶有路由標(biāo)識的數(shù)據(jù)包后,將該數(shù)據(jù)包加入?yún)f(xié)商等待數(shù)據(jù)庫 中形成協(xié)商請求項;1-3)源IPSec網(wǎng)關(guān)根據(jù)上述協(xié)商請求項,利用源IPSec網(wǎng)關(guān)的路由標(biāo)識以及源接入路 由器管理的路由標(biāo)識池信息,構(gòu)造協(xié)商請求包,發(fā)送到目的IPSec網(wǎng)關(guān);1-4)目的IPSec網(wǎng)關(guān)接收到上述協(xié)商請求包后,加入自己的協(xié)商等待數(shù)據(jù)庫中并形成 協(xié)商響應(yīng)項;同時,利用目的IPSec網(wǎng)關(guān)的路由標(biāo)識以及目的接入路由器管理的路由標(biāo)識 信息,構(gòu)造協(xié)商響應(yīng)包,返回給源IPSec網(wǎng)關(guān);1-5)源IPSec網(wǎng)關(guān)收到上述協(xié)商響應(yīng)包后,發(fā)送協(xié)商確認(rèn)包給目的IPSec網(wǎng)關(guān);I-6)源IPSec網(wǎng)關(guān)和目的IPSec網(wǎng)關(guān)利用步驟1_1) 1_5)后得到的協(xié)商信息進(jìn)行協(xié) 商,完成安全關(guān)聯(lián)的建立,同時,雙方清除協(xié)商等待數(shù)據(jù)庫中的對應(yīng)信息。
3.根據(jù)權(quán)利要求2所述的標(biāo)識分離映射網(wǎng)中IPSec網(wǎng)關(guān)自動發(fā)現(xiàn)的方法,其特征在于, 所述源IPSec網(wǎng)關(guān)和目的IPSec網(wǎng)關(guān)之間使用IKE協(xié)議進(jìn)行安全關(guān)聯(lián)的協(xié)商。
4.根據(jù)權(quán)利要求2所述的標(biāo)識分離映射網(wǎng)中IPSec網(wǎng)關(guān)自動發(fā)現(xiàn)的方法,其特征在于, 所述目的IPSec網(wǎng)關(guān)收到的協(xié)商請求包包括源IPSec網(wǎng)關(guān)的路由標(biāo)識以及源接入路由器 管理的路由標(biāo)識池信息;以及,所述源IPSec網(wǎng)關(guān)收到的協(xié)商響應(yīng)包包括目的IPSec網(wǎng)關(guān)的路由標(biāo)識以及目的接入 路由器管理的路由標(biāo)識池信息。
5.根據(jù)權(quán)利要求1所述的標(biāo)識分離映射網(wǎng)中IPSec網(wǎng)關(guān)自動發(fā)現(xiàn)的方法,其特征在于, 所述階段II)中,又包含下列步驟Ii-D源終端發(fā)送數(shù)據(jù)包,源接入路由器收到該數(shù)據(jù)包后,對數(shù)據(jù)包進(jìn)行標(biāo)識映射,將 接入標(biāo)識映射為路由標(biāo)識后,發(fā)給源IPSec網(wǎng)關(guān);II-2)源IPSec網(wǎng)關(guān)接收到源接入路由器發(fā)來的數(shù)據(jù)包后,按照SA對數(shù)據(jù)包進(jìn)行加密 封裝處理,然后發(fā)往核心網(wǎng);II-3)目的IPSec網(wǎng)關(guān)接收到數(shù)據(jù)包后,按照SA對數(shù)據(jù)包進(jìn)行解密以及完整性檢驗后, 將通過檢驗的數(shù)據(jù)包發(fā)給目的接入路由器;11-4)目的接入路由器收到數(shù)據(jù)包后,將數(shù)據(jù)包的路由標(biāo)識映射回接入標(biāo)識,然后發(fā)給 目的終端。
6.根據(jù)權(quán)利要求5所述的標(biāo)識分離映射網(wǎng)中IPSec網(wǎng)關(guān)自動發(fā)現(xiàn)的方法,其特征在于,所述步驟II-2)和II-3)之中,源IPSec網(wǎng)關(guān)以及目的IPSec網(wǎng)關(guān)分別通過連接在策略數(shù) 據(jù)庫中相應(yīng)的策略進(jìn)行加密封裝以及解密。
7.根據(jù)權(quán)利要求1所述的標(biāo)識分離映射網(wǎng)中IPSec網(wǎng)關(guān)自動發(fā)現(xiàn)的方法,其特征在于, 所述階段III)中,又包含下列步驟III-1)如果在設(shè)定時間內(nèi),源終端沒有數(shù)據(jù)包發(fā)給目的終端,則該安全關(guān)聯(lián)項視為過 期,將該安全關(guān)聯(lián)項加入清除等待數(shù)據(jù)庫,同時源IPSec網(wǎng)關(guān)向目的IPSec網(wǎng)關(guān)發(fā)送清除請 求包;III-2)目的IPSec網(wǎng)關(guān)收到清除請求包后,將待清除的安全關(guān)聯(lián)項加入清除等待數(shù)據(jù) 庫,并向源IPSec網(wǎng)關(guān)返回清除響應(yīng)包;III-3)源IPSec網(wǎng)關(guān)收到清除響應(yīng)包后,清除對應(yīng)的SA和等待數(shù)據(jù)庫中的等待項,并 向目的IPSec網(wǎng)關(guān)發(fā)送清除確認(rèn)包;111-4)目的IPSec網(wǎng)關(guān)收到清除確認(rèn)包后,清除對應(yīng)的SA和等待數(shù)據(jù)庫中的等待項。
8.根據(jù)權(quán)利要求7所述的標(biāo)識分離映射網(wǎng)中IPSec網(wǎng)關(guān)自動發(fā)現(xiàn)的方法,其特征在于, 步驟III-1)中,所述的設(shè)定時間是180秒。
9.根據(jù)權(quán)利要求1 8中任一項所述的標(biāo)識分離映射網(wǎng)中IPSec網(wǎng)關(guān)自動發(fā)現(xiàn)的方 法,其特征在于,所述IPSec網(wǎng)關(guān)對數(shù)據(jù)包進(jìn)行如下處理IPSec網(wǎng)關(guān)根據(jù)數(shù)據(jù)包的源和目的標(biāo)識查找策略庫;如果找到了對應(yīng)的策略,則按照策略記錄對數(shù)據(jù)包進(jìn)行加密或者數(shù)據(jù)處理,處理完成 后進(jìn)行轉(zhuǎn)發(fā);以及如果沒有找到對應(yīng)的策略,則判斷數(shù)據(jù)包是來自接入路由器還是核心路由器;其中,如果來自接入路由器,則判斷源和目的終端是否合法,如果合法,則該數(shù)據(jù)包加入?yún)f(xié)商 等待數(shù)據(jù)庫;以及如果數(shù)據(jù)包來自核心路由器,則判斷是否為特殊包,若為特殊包則按照特殊包的處理 方式進(jìn)行處理;否則該數(shù)據(jù)包視為非法包,進(jìn)行丟棄處理。
10.根據(jù)權(quán)利要求9所述的標(biāo)識分離映射網(wǎng)中IPSec網(wǎng)關(guān)自動發(fā)現(xiàn)的方法,其特征在 于,所述特殊包包括協(xié)商請求包、協(xié)商響應(yīng)包、協(xié)商確認(rèn)包、清除請求包、清除響應(yīng)包、清除 確認(rèn)包以及IKE協(xié)商包。
全文摘要
一種標(biāo)識分離映射網(wǎng)絡(luò)中IPSec網(wǎng)關(guān)自動發(fā)現(xiàn)的方法,屬于網(wǎng)絡(luò)技術(shù)領(lǐng)域。該方法包括以下階段I)自動協(xié)商階段,源IPSec網(wǎng)關(guān)和目的IPSec網(wǎng)關(guān)之間通過自動的信息交換,獲得進(jìn)行IPSec協(xié)商所必須的配置信息,然后再完成安全關(guān)聯(lián)的建立;II)機(jī)密通信階段,源IPSec網(wǎng)關(guān)和目的IPSec網(wǎng)關(guān)之間進(jìn)行機(jī)密通信,完成源終端和目的終端之間的數(shù)據(jù)傳送;III)自動清除階段,上述安全關(guān)聯(lián)過期后,源IPSec網(wǎng)關(guān)和目的IPSec網(wǎng)關(guān)之間的安全關(guān)聯(lián)會自動清除。本發(fā)明實現(xiàn)能夠使標(biāo)識分離映射網(wǎng)絡(luò)中的IPSec網(wǎng)關(guān)自動的進(jìn)行配置協(xié)商安全關(guān)聯(lián),替代手工配置的方式,簡化配置的過程;能夠自動的清除過期的安全關(guān)聯(lián),保證策略數(shù)據(jù)庫的穩(wěn)定,尤其適用于大型網(wǎng)絡(luò)環(huán)境之中。
文檔編號H04L12/56GK101969414SQ20101051593
公開日2011年2月9日 申請日期2010年10月15日 優(yōu)先權(quán)日2010年10月15日
發(fā)明者萬明, 劉穎, 唐建強(qiáng), 姜巍, 張宏科 申請人:北京交通大學(xué)