專利名稱:在虛擬私有網(wǎng)的隧道虛接口上保證互聯(lián)網(wǎng)協(xié)議安全的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種保證互聯(lián)網(wǎng)協(xié)議IP報(bào)文安全傳輸?shù)姆椒?,確切地說(shuō),涉及一種在虛擬私有網(wǎng)的隧道虛接口上保證互聯(lián)網(wǎng)協(xié)議安全的實(shí)現(xiàn)方法���,屬于數(shù)字信息的傳輸中保證通信安全的技術(shù)領(lǐng)域�����。
互聯(lián)網(wǎng)協(xié)議安全I(xiàn)PSec(IP Security)是IETF制定的IP層報(bào)文安全傳輸?shù)臉?biāo)準(zhǔn)�����。在IP報(bào)文封裝的方式上�,互聯(lián)網(wǎng)協(xié)議安全I(xiàn)PSec是提供隧道方式的封裝,利用這個(gè)特性可以實(shí)現(xiàn)虛擬私有網(wǎng)VPN功能����。在設(shè)置IPSec的安全保護(hù)技術(shù)手段的過(guò)程中,如果和訪問(wèn)控制列表ACL(Access Control Lists)相結(jié)合�,可以實(shí)現(xiàn)對(duì)不同的數(shù)據(jù)流執(zhí)行不同的安全保護(hù)措施。目前�,傳統(tǒng)技術(shù)是把設(shè)置好的安全保護(hù)技術(shù)措施應(yīng)用到實(shí)際的物理接口上,完成對(duì)進(jìn)出該物理接口的IP報(bào)文進(jìn)行數(shù)據(jù)加密(解密)�、驗(yàn)證、防重放攻擊等保證通信安全的各項(xiàng)技術(shù)保障手段��。如果IPSec的保證通信安全的各項(xiàng)技術(shù)方法只能應(yīng)用在實(shí)際的物理接口上��,那它就只能為進(jìn)出這個(gè)實(shí)際物理接口上的IP報(bào)文實(shí)施安全保護(hù)�。然而,在虛擬私有網(wǎng)VPN的隧道虛接口上���,尚不能應(yīng)用上述IPSec的保證通信安全的各項(xiàng)技術(shù)方法。如果在虛擬私有網(wǎng)VPN的隧道虛接口上也能夠應(yīng)用上述IPSec的安全技術(shù)保障手段的話�����,那將能夠給進(jìn)出該VPN的隧道虛接口的IP報(bào)文也提供安全保護(hù)的技術(shù)�����。這樣,無(wú)疑將會(huì)受到虛擬私有網(wǎng)VPN的眾多用戶的衷心歡迎����。
例如,參見(jiàn)
圖1所示����,一個(gè)有著私有IP地址的私有網(wǎng)B中的用戶A訪問(wèn)另外一個(gè)私有網(wǎng)C中的某一臺(tái)服務(wù)器D,這兩個(gè)私有網(wǎng)B��、C之間則是通過(guò)Internet相連的(這是一個(gè)典型的虛擬私有網(wǎng)VPN的應(yīng)用實(shí)例)��。私有網(wǎng)B通過(guò)一臺(tái)路由器R1和Internet連接�����。在路由器R1和Internet直接相連的物理接口上通常都是設(shè)置有應(yīng)用IPSec的安全技術(shù)保障方法�。該安全技術(shù)保障方法規(guī)定所有進(jìn)出該物理接口、并且應(yīng)用協(xié)議是傳輸控制協(xié)議TCP(Transmission ControlProtocol)的IP報(bào)文都應(yīng)該使用IPSec的隧道加密功能���。但是 該項(xiàng)安全技術(shù)保障方法是不想讓其他應(yīng)用協(xié)議(例如用戶數(shù)據(jù)報(bào)協(xié)議UDP和普通路由封裝GRE)的IP報(bào)文也能夠應(yīng)用IPSec的加密措施�。然而�����,為了所有擁護(hù)不同應(yīng)用層協(xié)議的IP報(bào)文都能實(shí)現(xiàn)虛擬私有網(wǎng)VPN功能,在路由器R1上創(chuàng)建了一個(gè)VPN的隧道虛接口�����,在這個(gè)虛接口上封裝了普通路由封裝GRE(Generic RoutingEncapsulation)協(xié)議�����,其指定隧道的對(duì)端地址是私有網(wǎng)C和Internet相連的路由器R2上的Internet網(wǎng)公有地址�,并且由路由模塊確定所有到私有網(wǎng)C的IP報(bào)文都要先經(jīng)過(guò)這個(gè)VPN隧道虛接口。通常用戶A以為所有通過(guò)Internet的TCP報(bào)文是可以經(jīng)過(guò)IPSec加密而保證通信安全的����,而實(shí)際的事實(shí)卻是在目前的狀況下所有訪問(wèn)私有網(wǎng)C的TCP報(bào)文在Internet上傳輸時(shí)是不受IPSec保護(hù)的。
本發(fā)明的目的是提供一種在虛擬私有網(wǎng)的隧道虛接口上保證互聯(lián)網(wǎng)協(xié)議安全的實(shí)現(xiàn)方法�����,也就是說(shuō)���,將一種在實(shí)際物理接口上已經(jīng)普遍使用的IPSec安全技術(shù)保障方法提供給虛擬私有網(wǎng)VPN的隧道虛接口上應(yīng)用,以使所有訪問(wèn)私有網(wǎng)的各類(lèi)報(bào)文��,不管其屬于哪類(lèi)協(xié)議,都能夠得到IPSec的安全技術(shù)保障����,以保證通信安全。
本發(fā)明的目的是這樣實(shí)現(xiàn)的一種在虛擬私有網(wǎng)的隧道虛接口上保證互聯(lián)網(wǎng)協(xié)議安全的實(shí)現(xiàn)方法�����,其特征在于將在實(shí)際物理接口上應(yīng)用的IPSec安全技術(shù)保障方法��,移植到虛擬私有網(wǎng)VPN的隧道虛接口上應(yīng)用����。
所述的將在實(shí)際物理接口上應(yīng)用的IPSec安全技術(shù)保障方法,移植到虛擬私有網(wǎng)VPN的隧道虛接口上應(yīng)用�����,包括有下列步驟1��、設(shè)置至少一項(xiàng)訪問(wèn)控制列表ACL(Access Control Lists)�����,2�����、定義如何應(yīng)用第1步設(shè)置的訪問(wèn)控制列表ACL的IPSec安全技術(shù)保障方法,3�����、設(shè)置隧道虛接口���,4����、在隧道虛接口上應(yīng)用第2步生成的IPSec安全技術(shù)保障方法��。
本發(fā)明的特點(diǎn)是將在在物理接口上應(yīng)用的IPSec安全技術(shù)保障方法���,移植到虛擬私有網(wǎng)VPN的隧道虛接口上應(yīng)用���,這樣,所有IPSec安全技術(shù)保障方法應(yīng)用在物理接口上所獲得的好處�����,在VPN隧道虛接口上應(yīng)用時(shí)同樣可以獲得,例如數(shù)據(jù)加密���、報(bào)文驗(yàn)證、防重放攻擊等����。所以,如果應(yīng)用本發(fā)明����,圖1中的用戶A發(fā)出的通過(guò)Internet傳輸?shù)腡CP報(bào)文也可以得到IPSec安全技術(shù)保護(hù)了。
下面結(jié)合附圖詳細(xì)介紹本發(fā)明的方法步驟����、特點(diǎn)和功效圖1是應(yīng)用本發(fā)明方法的第一實(shí)施例-用戶A通過(guò)VPN訪問(wèn)服務(wù)器D-的系統(tǒng)組成示意圖。
圖2是應(yīng)用本發(fā)明方法的第二實(shí)施例-GPRS/WCDMA中手機(jī)用戶非透明方式通過(guò)Internet訪問(wèn)企業(yè)網(wǎng)-的系統(tǒng)組成示意圖���。
參見(jiàn)圖1所示的一典型虛擬私有網(wǎng)VPN的應(yīng)用實(shí)例一個(gè)有著私有IP地址的私有網(wǎng)B中的用戶A訪問(wèn)另外一個(gè)私有網(wǎng)C中的某一臺(tái)服務(wù)器D�,這兩個(gè)私有網(wǎng)B�、C之間則通過(guò)Internet相連。其中私有網(wǎng)B通過(guò)一臺(tái)路由器R1和Internet連接�。在路由器R1和Internet直接相連的物理接口上通常都設(shè)置有應(yīng)用IPSec的安全技術(shù)保障方法。本發(fā)明則是將在實(shí)際物理接口上應(yīng)用的IPSec安全技術(shù)保障方法�,再移植到虛擬私有網(wǎng)VPN的隧道虛接口上應(yīng)用。其具體包括有下列步驟1、設(shè)置至少一項(xiàng)訪問(wèn)控制列表ACL(Access Control Lists)��,2��、定義如何應(yīng)用第1步設(shè)置的訪問(wèn)控制列表ACL的IPSec安全技術(shù)保障方法��,3���、設(shè)置隧道虛接口��,4�����、在隧道虛接口上應(yīng)用第2步生成的IPSec安全技術(shù)保障方法�。
原來(lái)在路由器R1和Internet相連的物理接口上應(yīng)用的IPSec安全技術(shù)保障方法是不想讓?xiě)?yīng)用層協(xié)議是普通路由封裝GRE的報(bào)文也使用IPSec的加密功能�,而且采用GRE+IPSec的方法實(shí)現(xiàn)虛擬私有網(wǎng)VPN的效率與直接使用IPSec的隧道方式實(shí)現(xiàn)VPN的效率相比較明顯要低。但是�����,利用本發(fā)明的方法可以在路由器R1封裝GRE協(xié)議的VPN隧道虛接口上直接應(yīng)用IPSec的安全技術(shù)保障方法��。此時(shí)�����,只要條件符合(即符合IPSec的安全技術(shù)保障方法中匹配的訪問(wèn)控制列表ACL的規(guī)定),就可以直接應(yīng)用IPSec的安全技術(shù)保障方法了���。
本發(fā)明的方法已經(jīng)在通用分組無(wú)線業(yè)務(wù)GPRS/寬帶碼分多址WCDMA系統(tǒng)中進(jìn)行實(shí)施試驗(yàn)����,即在不同的手機(jī)用戶擁有不同的訪問(wèn)點(diǎn)名APN(AccessPoint Name)所分配的相同的私有IP地址的環(huán)境下�����,通過(guò)使用本發(fā)明的方法��,即在VPN的隧道虛接口上應(yīng)用IPSec的安全技術(shù)保障方法���,就可以實(shí)現(xiàn)各手機(jī)用戶通過(guò)IPSec隧道訪問(wèn)不同APN的應(yīng)用目的。實(shí)施試驗(yàn)的結(jié)果是成功的�,達(dá)到了預(yù)期的效果。
為了能夠讓擁有相同私有IP地址的不同手機(jī)用戶訪問(wèn)不同的APN����,在GGSN上必須將相同IP地址的報(bào)文根據(jù)其所屬的不同APN送入不同的VPN隧道虛接口,以便封裝進(jìn)不同的VPN隧道���。圖2所示的即為分屬于APN1和APN2的兩個(gè)手機(jī)用戶MT的IP私有地址是相同的情況�����,此時(shí)�����,如果只能在實(shí)際物理接口上應(yīng)用IPSec的安全技術(shù)保障方法�,為了能夠應(yīng)用IPSec的方式安全地傳輸IP報(bào)文,就只能采取某種VPN協(xié)議(例如普通路由封裝GRE)+IPSec這種低效率的傳輸方式(因?yàn)镮PSec協(xié)議本身就直接支持VPN功能)�����,而且不能根據(jù)實(shí)際的不同數(shù)據(jù)流應(yīng)用不同的安全技術(shù)保障方法�。因?yàn)榻?jīng)過(guò)VPN封裝后的IP報(bào)文,它們的源和目的IP地址都是相同的����,應(yīng)用層協(xié)議也是相同的(VPN協(xié)議),即在IP層看來(lái)它們兩者已經(jīng)沒(méi)有差異���,無(wú)法區(qū)分開(kāi)��。然而��,使用本發(fā)明的方法�,在VPN隧道虛接口上直接應(yīng)用IPSec的安全技術(shù)保障方法,那么��,上述的所有缺點(diǎn)就都能夠克服和解決了����。圖2中分屬于APN1和APN2、且擁有相同IP私有地址的兩個(gè)手機(jī)用戶MT就可以根據(jù)其所屬的不同APN送入不同的VPN隧道虛接口直接應(yīng)用IPSec的安全技術(shù)保障方法�,通過(guò)不同的IPSec隧道訪問(wèn)不同APN(例如圖2中所示的兩個(gè)企業(yè)網(wǎng)APN3和APN4)。
權(quán)利要求
1.一種在虛擬私有網(wǎng)的隧道虛接口上保證互聯(lián)網(wǎng)協(xié)議安全的實(shí)現(xiàn)方法��,其特征在于將在實(shí)際物理接口上應(yīng)用的IPSec安全技術(shù)保障方法�,移植到虛擬私有網(wǎng)VPN的隧道虛接口上應(yīng)用�。
2.如權(quán)利要求1所述的在虛擬私有網(wǎng)的隧道虛接口上保證互聯(lián)網(wǎng)協(xié)議安全的實(shí)現(xiàn)方法,其特征在于所述的將在實(shí)際物理接口上應(yīng)用的IPSec安全技術(shù)保障方法���,移植到虛擬私有網(wǎng)VPN的隧道虛接口上應(yīng)用�,包括有下列步驟1�、設(shè)置至少一項(xiàng)訪問(wèn)控制列表ACL(Access Control Lists),2�����、定義如何應(yīng)用第1步設(shè)置的訪問(wèn)控制列表ACL的IPSec安全技術(shù)保障方法,3�、設(shè)置隧道虛接口,4�、在隧道虛接口上應(yīng)用第2步生成的IPSec安全技術(shù)保障方法。
全文摘要
一種在虛擬私有網(wǎng)的隧道虛接口上保證互聯(lián)網(wǎng)協(xié)議安全的實(shí)現(xiàn)方法�����,是將在實(shí)際物理接口上應(yīng)用的IPSec安全技術(shù)保障方法���,移植到虛擬私有網(wǎng)VPN的隧道虛接口上應(yīng)用����,以使所有訪問(wèn)私有網(wǎng)的各類(lèi)報(bào)文���,不管其屬于哪類(lèi)協(xié)議����,都能夠得到IPSec的安全技術(shù)保障���,保證通信安全�。其包括有下列步驟1�����、設(shè)置至少一項(xiàng)訪問(wèn)控制列表ACL(Access Control Lists),2��、定義如何應(yīng)用第1步設(shè)置的訪問(wèn)控制列表ACL的IPSec安全技術(shù)保障方法���,3�、設(shè)置隧道虛接口�����,4���、在隧道虛接口上應(yīng)用第2步生成的IPSec安全技術(shù)保障方法。
文檔編號(hào)H04L29/06GK1394042SQ01119830
公開(kāi)日2003年1月29日 申請(qǐng)日期2001年6月29日 優(yōu)先權(quán)日2001年6月29日
發(fā)明者唐湜 申請(qǐng)人:華為技術(shù)有限公司