一种标识分离映射网络中IPSec网关自动发现的方法

文档序号:7762806阅读:313来源:国知局
专利名称:一种标识分离映射网络中IPSec网关自动发现的方法
技术领域
本发明涉及一种标识分离映射网络中IPSec网关(IP Security :IP层安全协议体 系)自动发现的方法,属于网络技术领域
背景技术
标识分离映射网络是一种新型网络,它将终端的位置信息与身份信息进行了分 离,建立了接入标识和路由标识分离映射机制。在标识分离映射网络中,管理部门为每个终 端分配一个全局唯一的接入标识,代表终端的身份信息;映射服务器为接入终端分配路由 标识,代表终端的位置信息,并建立接入标识和路由标识的映射关系。同时,标识分离映射 网络中以接入路由器为边界,将网络划分为接入网和核心网两部分。接入网实现各种类型 的终端或者固定、移动、传感网络等的接入;核心网解决位置管理、安全机制和路由技术。图1是传统的标识分离映射网络结构的示意图。上述网络通过将网络进行接入网和核心网两部分的划分,不仅可以保证各种接入 技术和核心网的架构分别进行独立的技术演进,不互相影响,而且,在网络的安全性和可控 性,也有了很大程度的提高。接入网的用户无法对核心网进行访问,增强了核心网数据的机 密性以及核心网设备的安全性;同时,接入网的用户必须通过接入路由器才能访问网络,接 入路由器和认证中心会对用户的身份真实性进行认证,增强了网络的可控性。一般来说,在标识分离映射网中,接入路由器主要负责各种固定终端、移动终端、 WLAN等固定网络、移动子网以及自组网等移动网络的接入,保存接入终端的接入标识和路 由标识的映射关系,并将终端的数据包进行标识替换处理以后在核心网中传输。核心路由器的主要功能是根据数据报文中的路由标识,在核心网进行选路和转发 数据报文。其中,认证中心负责记录用户类别,用户享受的服务等级等,在用户接入时进行 接入控制和授权。认证中心的数据库中存放了所有合法用户的认证信息。映射服务器主要负责维护网络中接入标识和路由标识的映射关系,并向接入路由 器和其他映射服务器提供查询服务。映射服务器上保存的映射关系都是已经通过认证并且 可以被合法终端所使用的。标识分离映射网络运用身份与位置分离的技术,使得用户的身份信息不会在核心 网随数据流一起传输。网络攻击者如果在核心网络对数据流进行窃取,获得的只是代表位 置信息的路由标识,无法判断参与通信的真正的源端和目的端。同时,采用了核心网与接入 网分离的方法,使得接入网终端不能对核心网的设备进行访问,提高了网络的安全性。不过,对于数据的完整性和机密性方面,特别是在核心网对数据实施的监听和篡 改,标识分离映射网提供的保护仍然不够。为了进一步提高该网络的安全等级,在原有结构 的基础上,有人提出了基于IPSec的增强解决方案。图2是基于标识分离映射网络的IPSec方案的结构示意图。具体来说,该安全增强方案基于IPSec和数字证书,在原有结构的基础上,在核心 网中增加了 IPSec网关和CA证书中心等设备。IPSec网关可以部署在接入路由器的核心网端之前,也可以直接部署在接入路由器上,以其核心网端作为隧道端口,前者不会增加接入 路由器负载而降低可靠性,后者易于实现。CA证书中心是为IPSec网关颁发用于网关之间 协商安全关联的证书该方案的基本思想是在IPSec网关之间建立一条VPN隧道,使用ESP的隧道模式, 对两个接入网之间的通信数据进行加密保护,有效的防止了诸如核心网窃听、数据篡改等 安全攻击手段。同时,在源、目的终端的接入标识隐藏的基础上,IPSec网关将数据包重新封 装,采用自己和对端IPSec网关的路由标识在核心网中传输数据包,更进一步隐藏了终端 的路由标识,使得通信终端的身份信息和位置信息在核心网中完全被隐藏,提高了安全性。在IPSec网关建立隧道之前,每个IPSec网关需要获得如下信息才能建立隧道本地网关的路由标识、对端网关的路由标识、本地接入路由器的路由标识池、对端 接入路由器的路由标识池、IPSec工作模式(传输模式或隧道模式,本方案中统一使用隧道 模式)、IPSec保护方式(AH或ESP,本方案中统一使用ESP)。这些信息需要在两个网关上进行手动配置。手动配置在标识分离映射网络部署初期,接入网数量还不是很多的情况下可行, 但是在后期网络大面积部署时,IPSec网关的数量会急剧增加,这时候手动配置的工作量也 会相应的增加。假设在一个全互联的大型网络中,有100个对等体,那么每个IPSec网关都 需要配置99条加密规则,这是不利于配置和维护的,这套安全增强方案便难以实施。为了克服现有的手动配置的技术缺点,人们采取了多种方法。具体来说,主要有以下所说的两种技术方案现有技术方案一图3是示出现有技术方案一的基于多播的IPSec网关发现机制过程图;如该图所 示,该种技术方案主要基于多播的IPSec网关发现机制,各子网通过其IPSec网关接入互联 网。具体来说,当有新的子网接入网络时,新接入子网的IPSec网关会向网络发送“Hello” 多播报文,以告之其他网关有新的子网加入。报文中包含了其他网关发起IKE协商所需要 的基本信息。其他网关在收到“Hello”报文后,提取出报文中的信息,然后向新网关发起 IKE (Internet密钥交换协议)协商的连接,协商SA (Security Association,安全联盟),建 立VPN(Virtual Private Network,虚拟专用网)隧道。这样,经过一定的时间后,新加入 的IPSec网关就可以和网络中的其他IPSec建立VPN隧道全互联的网络,任意两个子网之 间的通信数据都将受到加密保护。在VPN隧道建立后,IPSec网关需要每隔一个周期向网络发送“ALIVE”多播报文。 当连续四个周期都没有收到来之某个网关的“ALIVE”报文,就可以认为该网关“DEAD”状 态,删除与其建立的IPSec SA。当网关所连接的子网的信息发生变化时,该网关需要向网络发送“UPDATE”多播报 文,将变化信息告之其他网关,以修改相应的SA。但是,该种技术方案具有下面的缺点即由于网关之间需要定时发送“ALIVE”报文,因此增加了网络中的负载。当网络 规模扩大,网关数量增多时,负载流量是呈指数级增长的。另外,基于多播的方案在网络出 现变动后聚敛的时间较慢,所以,这种方案不适宜用于网络规模过大或网络拓扑变化较快的网络中。另外,基于多播的IPSec网关发现方案缺乏相应的安全机制,容易受到DoS、身份 欺骗等攻击现有技术方案二图4是示出现有技术方案二的基于C/S模式的IPSec网关发现机制过程图;如该 图所示,这种技术方案主要基于C/S模式的IPSec网关发现机制,即,每个IPSec网关接入 网络后,将自己管理的子网的前缀信息发给注册服务器进行注册。当网关收到子网内的终端发送给其他子网终端的数据包时,它会首先查找自己的 SA数据库,看是否有相关的SA已经建立。如果没有相关SA,则进入协商SA阶段。在协商SA阶段中,IPSec网关会根据数据包的目的地址查找本地已经存储的前缀 缓存及其网关地址,如果有匹配的项,则直接提取出该项信息。如果没有匹配的项,则IPSec 网关需要向注册服务器发送查询请求,注册服务器查找已注册信息,将结果返回给请求网 关。如果在注册服务器中有相应的注册信息,则该IPSec网关更新自己的本地前缀缓存,并 与对端IPSec网关进行SA协商。协商完成后两个子网之间的主机就可以进行加密通信。如 果没有的话,就要重新建立相应的SA协商通道。但是,这种技术方案具有下面的缺点即由于基于C/S模式的IPSec网关发现方案,网络中的IPSec网关信息都存储在 一个注册服务器中,因此在网络规模扩大时,注册服务器会成为瓶颈。并且,由于注册服务 器缺乏相应的保护措施,因此很容易收到诸如DoS等方式的网络攻击,安全隐患十分严重。由上面进行的分析可知,现有的两种解决手段以及方法,都会给系统带来一定的 问题,因此,不可避免地存在着相应的缺点。

发明内容
本发明的目的在于在已有的标识分离映射网络的IPSec部署方案的基础上,提出 了一种新的自适应配置的方法,并且,该种解决方法的部署方案能够更易实施、尤其适用于 大型网络环境下,并且,该种方法对网络负载影响小、以及不容易受到DoS、身份欺骗等攻 击,具有更好的安全性。为了实现上述目的,本发明提供了一种标识分离映射网络中IPSec网关自动发现 的方法,包括以下阶段I)自动协商阶段,源IPSec网关和目的IPSec网关之间通过自动的信息交换,获得 进行IPSec协商所必须的配置信息,然后再完成安全关联的建立;II)机密通信阶段,源IPSec网关和目的IPSec网关之间进行机密通信,完成源终 端和目的终端之间的数据传送;以及III)自动清除阶段,上述安全关联过期后,源IPSec网关和目的IPSec网关之间的 安全关联会自动清除。进一步地,优选的方法是,所述阶段I)之中,又包括下列步骤1-1)源接入路由器收到源终端发出的数据包,对该数据包进行标识映射,将接入 标识映射为路由标识后,发给源IPSec网关;1-2)源IPSec网关接收到带有路由标识的数据包后,将该数据包加入协商等待数据库中形成协商请求项;1-3)源IPSec网关根据上述协商请求项,利用源IPSec网关的路由标识以及源接 入路由器管理的路由标识池信息,构造协商请求包,发送到目的IPSec网关1-4)目的IPSec网关接收到上述协商请求包后,加入自己的协商等待数据库中并 形成协商响应项;同时,利用目的IPSec网关的路由标识以及目的接入路由器管理的路由 标识信息,构造协商响应包,返回给源IPSec网关;1-5)源IPSec网关收到上述协商响应包后,发送协商确认包给目的IPSec网关;1-6)源IPSec网关和目的IPSec网关利用步骤1-1 1-5后得到的协商信息进行 协商,完成安全关联的建立,同时,双方清除协商等待数据库中的对应信息。进一步地,优选的方法是,所述源IPSec网关和目的IPSec网关之间使用IKE协议 进行安全关联的协商。进一步地,优选的方法是,所述目的IPSec网关收到的协商请求包包括源IPSec 网关的路由标识以及源接入路由器管理的路由标识池信息;以及,所述源IPSec网关收到 的协商响应包包括目的IPSec网关的路由标识以及目的接入路由器管理的路由标识池信 肩、ο进一步地,优选的方法是,所述阶段II)中,又包含下列步骤II-1)源终端发送数据包,源接入路由器收到该数据包后,对数据包进行标识映 射,将接入标识映射为路由标识后,发给源IPSec网关;II-2)源IPSec网关接收到源接入路由器发来的数据包后,按照SA对数据包进行 加密封装处理,然后发往核心网;II-3)目的IPSec网关接收到数据包后,按照SA对数据包进行解密以及完整性检 验后,将通过检验的数据包发给目的接入路由器;11-4)目的接入路由器收到数据包后,将数据包的路由标识映射回接入标识,然后 发给目的终端。进一步地,优选的方法是,所述步骤II-2)和II-3)之中,源IPSec网关以及目的 IPSec网关分别通过连接在策略数据库中相应的策略进行加密封装以及解密的。进一步地,优选的方法是,所述阶段III)中,又包含下列步骤III-1)如果在设定时间内,源终端没有数据包发给目的终端,则该安全关联项视 为过期,将该安全关联项加入清除等待数据库,同时源IPSec网关向目的IPSec网关发送清 除请求包;III-2)目的IPSec网关收到清除请求包后,将待清除的安全关联项加入清除等待 数据库,并向源IPSec网关返回清除响应包;III-3)源IPSec网关收到清除响应包后,清除对应的SA和等待数据库中的等待 项,并向目的IPSec网关发送清除确认包;111-4)目的IPSec网关收到清除确认包后,清除对应的SA和等待数据库中的等待 项。进一步地,优选的方法是,步骤III-1)中,所述的设定时间是180秒。进一步地,优选的方法是,IPSec网关对数据包进行如下处理=IPSec网关根据数 据包的源和目的标识查找策略库;如果找到了对应的策略,就按照策略记录对数据包进行加密或者数据处理,处理完成后进行转发;以及如果没有找到对应的策略,判断数据包是来 自接入路由器还是核心路由器;其中,如果来自接入路由器,则判断源和目的终端是否合 法,如果合法,则该数据包加入协商等待数据库;以及如果数据包来自核心路由器,则判断 是否为特殊包,若为特殊包,则按照特殊包的处理方式进行处理;否则该数据包视为非法 包,进行丢弃处理。进一步地,优选的方法是,所述特殊包包括协商请求包、协商响应包、协商确认 包、清除请求包、清除响应包、清除确认包以及IKE协商包。
本发明的有益效果具体描述如下第一、根据本发明的方法能够使标识分离映射网络中的IPSec网关自动的进行配 置协商安全关联,替代了手工配置的方式,简化了配置的过程;第二、能够自动的清除过期 的安全关联,保证了策略数据库的稳定,并且,该种方法尤其适用于大型网络环境之中,具 有较好的技术效果。


通过下面结合附图对其示例性实施例进行的描述,本发明上述特征和优点将会变 得更加清楚和容易理解。图1是传统的标识分离映射网络结构的示意图;图2是基于标识分离映射网络的IPSec方案的结构示意图;图3是现有的一种基于多播的IPSec网关发现机制过程图;图4是现有的一种基于C/S模式的IPSec网关发现机制过程图;图5是根据本发明的网关自动发现以及通信流程示意图;图6是根据本发明的标识分离映射网络中IPSec网关自动发现的实施示意图;图7是根据本发明的IPSec对数据包的处理流程示意图;图8是根据本发明的协商请求包的格式的示意图;图9是根据本发明的协商响应包的格式的示意图;图10是根据本发明的协商确认包的格式的示意图;图11是根据本发明的清除请求包的格式的示意图;图12是根据本发明的清除响应包的格式的示意图;图13是根据本发明的清除确认包的格式的示意图;图14是根据本发明的协商等待数据库格式的示意图;图15是根据本发明的协商等待数据库中状态的转移示意图;图16是根据本发明的清除等待数据库格式的示意图;图17是根据本发明的清除等待数据库中状态的转移示意图。
具体实施例方式下面结合附图对本发明进行详细的描述。本发明所述的各种英文缩略语的定义如下所示IPSec :IP Security,IP 层安全协议体系;VPN :Virtual Private Network, 虚拟专用网;IPSec Gff JPSec Gateway, IPSec 网关;AR :Access Router ;接入路由器;CR :Core Router, ^tM ^ ^ ;AC -Authentication Center, τΛ ΕΦ^ ; IDS Jdentifier Server,映射月艮务器;SA Security Association,安全联盟;AH Authentication Header, 认 ilH 头 t办;ESP !Encapsulating Security Payload, ;fef _ 安全 i 荷;Internet key exchange (IKE) :Internet 密钥交换协议(IKE) ;DoS =Denial of Service,拒绝服务。图5是根据本发明的网关自动发现以及通信流程示意图;图6是根据本发明的标 识分离映射网络中IPSec网关自动发现的实施示意图。如图5-6所示,其示出的标识分离映射网络包括,接入网以及核心网,并且,两个 网络之间并不能自由地进行通讯。
其中,在接入网的终端通过源接入路由器、核心路由器、目的接入路由器进行终端 之间的通信,其中,处于核心网络之中的核心路由器负责各种用户终端等网络的接入,保存 接入终端的接入标识和路由标识之间的映射关系,并将终端的数据包进行标识替换后在核 心网进行传递;而认证中心负责记录用户终端的类别以及服务等级,在用户终端接入的时 候,进行控制和授权,其中,在认证中心的服务器之中存放了所有合法用户的认证信息。同时,在映射服务器负责维护网络中接入标识和路由标识的映射关系,并且,其向 接入路由器和其他映射服务器提供查询服务,其中,在映射服务器上保存的映射关系都是 已经通过认证并且可以被合法用户终端使用的。并且,标识分离映射网络运用身份与位置分离的技术,使得用户的身份信息不会 在核心网络中出现并被人攻击。另外,IPSec网关设置在路由器和核心路由器之间,也可以直接设置在接入路由器 之上;并且,CA证书中心用于为IPSec网关颁发用于网关之间协商安全关联的证书。上述装置的方法是,源IPSec网关与设置在核心网内部的映射服务器、认证中心 以及CA证书中心一起作用,实现源接入终端、源接入路由器、核心路由器、目的接入路由 器、目的终端之间的信息的自动交换,数据的封装、映射以及传递的过程。根据本发明的标识分离网络中IPSec网关自动发现的方法,具体来说,包括下列 阶段I)自动协商阶段,源IPSec网关和目的IPSec网关之间通过自动的信息交换,获 得IPSec协商所必须的配置信息,然后再完成安全关联的建立;II)机密通信阶段,源IPSec 网关和目的IPSec网关之间进行机密通信,完成源终端和目的终端之间的数据传送;以及 III)自动清除阶段,上述安全关联过期后,源IPSec网关和目的IPSec网关之间的安全关联 会自动清除。下面,更具体地对上述方案进行详细的描述。本发明主要采用一种触发式的方式来使IPSec网关开始自动发现的步骤,并且, 借助于源IPSec网关和目的IPSec网关、核心网络之间的信息传递,完成机密信息的传递过程。一般来说,当源终端第一次发送数据包给目的终端时,IPSec网关间还未建立相应 SA。当数据包到达源IPSec网关后,源IPSec网关在策略库中查询不到该数据包的处理策 略,在协商等待数据库中加入新的等待项,开始自动发现步骤。接着,源IPSec网关根据协商等待数据库中的 < 源终端RID,目的终端RID> 二元 组记录构造“协商请求包”,目的IPSec网关收到协商请求后返回一个“协商响应包”给源IPSec网关,然后源IPSec网关发送“协商确认包”给目的IPSec网关,双方开始协商安全关
联。 自动协商的方法是,通过“协商请求包”和“协商响应包”两个包的具体对应请求 使源IPSec网关和目的IPSec网关相互确认,并获得进行协商所需要的必要信息。通过“协 商确认包”使双方开始IKE协商,然后建立对应的SA。此外,当两个接入网间的超过一定时间没有通信数据时,该项SA视为过期,源 IPSec网关和目的IPSec网关通过“清除请求包”、“清除响应包”和“清除确认包”进行相互 确认,然后删除对应的SA。具体来说,包括三个阶段,分别为自动协商阶段、机密通信阶段以及自动清除阶 段。在本方法中,我们假设源终端和目的终端已经通过了接入认证,并且在映射服务器和其 各自连接的接入路由器上注册了接入标识和路由标识的映射关系,同时IPSec网关已获得 与其连接的接入路由器的路由标识池信息。自动协商阶段主要的目的是源IPSec网关和目的IPSec网关之间通过进行 IPSec协商所必须的配置信息的互相交换,完成安全关联的建立。本阶段首先要完成源IPSec网关和目的IPSec网关之间进行IPSec协商所必须的 配置信息的自动交换,然后完成源IPSec网关和目的IPSec网关的自动协商,建立起源接入 网和目的接入网间的SA,本阶段共有四个步骤步骤1)源终端发送正常通信数据包给目的终端,源接入路由器收到该数据包后, 对数据包进行标识映射,将接入标识映射为路由标识后,发给源IPSec网关;步骤2)源IPSec网关接收到源接入路由器发来的数据包后,查询策略数据库,由 于SA还未建立,因此源IPSec网关不能处理该数据包,将数据包的<源终端RID,目的终端 RID >二元组信息加入协商等待数据库,丢弃该包;步骤3)源IPSec网关取出协商等待数据库中的<源终端RID,目的终端RID >二 元组记录构造“协商请求包”,将源IPSec网关的路由标识以及源接入路由器管理的路由标 识池信息作为载荷并发送;步骤4)目的IPSec网关收到“协商请求包”后,先当作正常数据包处理,查询策略 数据库,没有查询到策略信息后,检查载荷,发现协商请求标志,记录下数据包载荷中的源 IPSec网关的路由标识以及源接入路由器管理的路由标识池信息,加入自己的协商等待数 据库,并用源IPSec网关的路由标识和自己的路由标识构造“协商响应包”,将目的接入路 由器管理的路由标识池信息作为载荷,发送给源IPSec网关;步骤5)源IPSec网关收到“协商响应包”后,记录下目的IPSec网关的路由标识 以及目的接入路由器管理的路由标识池信息,此时,双方IPSec网关都知道了进行协商的 对端IPSec网关的路由标识以及需要提供保护两个接入网的路由标识池信息,源IPSec网 关发送“协商确认包”给目的IPSec网关,准备开始IKE协商;经过上述处理以后,双方IPSec网关利用前几个步骤得到的协商信息,使用IKE协 议进行协商,完成安全关联的建立,双方清除协商等待数据库中的对应信息。机密通信阶段的主要目的是源IPSec网关和目的IPSec网关之间进行机密通信, 完成源终端和目的终端之间的数据传送。本阶段是IPSec网关完成自动协商后,通信终端双方的通信数据经过IPSec网关时,按照安全策略对数据进行保护,保证数据包和核心网传输的机密性和完整性,有四个步 骤步骤6)源终端发送正常通信数据包给目的终端,源接入路由器收到给数据包后, 对数据包进行标识映射,将接入标识映射为路由标识后,发给源IPSec网关;步骤7)源IPSec网关接收到源接入路由器发来的数据包后,查询策略数据库,找 到相应的策略,按照SA对数据包进行加密封装处理,然后发往核心网;步骤8)目的IPSec网关接收到数据包后,查询策略数据库,找到相应的策略,按照 SA对数据包进行解密以及完整性检验后,将通过检验的数据包发给目的接入路由器;步骤9)目的接入路由器收到数据包后,将数据包的路由标识映射回接入标识,然 后发给目的终端,完成一次受保护的通信。自动清除阶段的主要目的是上述安全关联过期后,源IPSec网关和目的IPSec网 关之间的数据自动清除。本阶段是当两个接入网之间安的全关联过期后,在双方IPSec网关清除该安全关 联项,有四个步骤 步骤10) —定时间内(180s)源终端没有数据包发给目的终端,该安全关联项视为 过期,将该安全关联加入清除等待数据库,同时源IPSec网关向目的IPSec网关发送“清除 请求包”;步骤11)目的IPSec网关收到“清除请求包”后,将待清除的安全关联项加入清除 等待数据库,并返回“清除响应包”给源IPSec网关;步骤12)源IPSec网关收到“清除响应包”后,清除对应的SA和等待数据库中的 等待项,并发送“清除确认包”;步骤13)目的IPSec网关收到“清除确认包”后,清除对应的SA和等待数据库中 的等待项。另外,需要知道的是,在标识分离映射网络中IPSec VPN部署时,IPSec网关有两 种部署方法可以与接入路由器分开,作为不同的设备独立部署;也可以进行联合部署,直 接在接入路由器上实现IPSec网关。在实施IPSec网关自动发现时,IPSec网关采用的是独立部署的方法。如果使用 联合部署的方法,会进一步增加接入路由器的负载。接入路由器不仅要对经过的数据包进 行标识映射、IPSec处理,还要与其他接入路由器进行IPSec协商,维护策略数据库等。会 使得接入路由器成为标识分离映射网络的瓶颈。在联合部署时使用IPSec网关自动发现,只有在网络规模较小,数据流量低时才 能使用。图7是根据本发明的IPSec对数据包的处理流程示意图。如图7所示,IPSec网关对数据包进行如下处理IPSec网关根据数据包的源和目的标识查找策略库;如果找到了对应的策略,就 按照策略记录对数据包进行加密或者数据处理,处理完成后进行转发;以及,如果没有找到 对应的策略,则判断数据包是来自接入路由器还是核心路由器;其中,如果来自接入路由 器,则判断源和目的终端是否合法,如果合法,则将该数据包加入协商等待数据库;如果数 据包来自核心路由器,则判断是否为特殊包,若为特殊包,则按照特殊包的处理方式进行处理;否则该数据包视为非法包,进行丢弃处理。并且,所述特殊包包括协商请求包、协商响应包、协商确认包、清除请求包、清除 响应包、清除确认包以及IKE协商包。下面我们对上述方法中所出现的各种请求包进行一个说明,以使得本发明的技术 效果更加具体和清楚。协商请求包的格式如图8所示由于源IPSec网关在发送此数据包时并不知道目的IPSec网关的RID,因此该数据 包的网通层报头的源标识域及目的标识域分别为源终端的RID和目的终端的RID,这样可 以保证“协商请求包”正确的路由到目的IPSec网关。请求序列号是源IPSec网关自动生成的序列号,与时间戳域配合防止重放攻击。 载荷信息包含了目的IPSec网关需要知道的源IPSec网关的RID以及源接入路由器的路由 标识池信息。协商响应包的格式如图9所示。 此时目的IPSec网关知道了源IPSec网关的RID,因此该数据包的网通层报头的 源标识域及目的标识域分别为目的IPSec网关的RID和源IPSec网关的RID。响应序列号 是目的IPSec网关自动生成的,另外返回请求序列号+1防止重返攻击。载荷信息包含了源 IPSec网关需要知道的目的IPSec网关的RID以及目的接入路由器的路由标识池信息。协商确认包的格式如图10所示。该数据包的网通层报头的源标识域及目的标识域分别为源IPSec网关的RID和目 的IPSec网关的RID。此时双方IPSec网关已经掌握了进行协商所需全部信息,本数据包目 的是使双方IPSec网关同步开始IKE协商。返回响应序列号+1防止重返攻击。清除请求包的格式如图11所示。该数据包的网通层报头的源标识域及目的标识域分别为源IPSec网关的RID和目 的IPSec网关的RID。请求序列号是源IPSec网关自动生成的序列号,与时间戳域配合防止 重放攻击。载荷信息包含了待清除的安全关联的安全参数索引SPI。由于SA是单向的,每 两个接入网间应有两个SA及对应的SPI,以完成数据包的双向处理,因此应有两个待清除 的 SPI。清除响应包的格式如图12所示。该数据包的网通层报头的源标识域及目的标识域分别为目的IPSec网关的RID和 源IPSec网关的RID。响应序列号是目的IPSec网关自动生成的,另外返回请求序列号+1 防止重返攻击。载荷信息包含了两个待清除的安全关联的安全参数索引SPI。清除确认包的格式如图13所示。该数据包的网通层报头的源标识域及目的标识域分别为源IPSec网关的RID和目 的IPSec网关的RID。本数据包目的是使双方IPSec网关同步清除过期安全关联。返回响 应序列号+1防止重返攻击。协商等待数据库的格式如图14所示。下面,具体对该数据库进行说明,当源IPSec网关收到触发数据包后,在数据库中 新增等待项,状态域置为“未协商”,填充源终端RID域、目的终端RID域、源IPSec网关RID 域、源接入网路由标识地址池域,其他域为空。对于数据库中“未协商”的项,源IPSec网关构造“协商请求包”并发送,同时状态域置为“等待响应”。目的IPSec网关收到“协商请求 包”后,在数据库中新增等待项,根据数据包的携带信息,填充全部域,发送“协商响应包”, 同时状态域置为“等待确认”。源IPSec网关收到“协商响应包”后,根据数据包的携带信息 填充目的IPSec网关RID域和目的接入网路由标识域,然后发送“协商确认包”。双方开始 IKE协商后,状态域都置为“协商中”。协商结束后,该等待项自动清除。清除等待数据库的格式如图16所示。当源接入网和目的接入网间的一定时间内没有通信数据,该项安全关联视为过 期,源IPSec网关在清除数据库中新增清除等待项,状态域置为“未清除”。对于数据库中 “未清除”的项,源IPSec网关构造“清除请求包”并发送,同时状态域置为“等待响应”。目 的IPSec网关收到“清除请求包”后,在数据库中新增等待项,发送“清除响应包”,同时状态 域置为“等待确认”。源IPSec网关收到“清除响应包”后,删除对应的进入方向SA和外出 方向SA,然后发送“清除确认包”。目的IPSec网关收到“清楚确认包”后,清除对应SA。清 除完成后,双方网关的数据库中的等待项自动清除。本发明的有益效果具体描述如下
第一、根据本发明的方法能够使标识分离映射网络中的IPSec网关自动的进行配 置协商安全关联,替代了手工配置的方式,简化了配置的过程;第二、能够自动的清除过期 的安全关联,保证了策略数据库的稳定,并且,本发明的方法尤其适用于大型网络环境之 中,具有较好的技术效果。在本发明的上述教导下,本领域技术人员可以在上述实施例的基础上进行各种改 进和变形,而这些改进或者变形落在本发明的保护范围内。本领域技术人员应该明白,上面 的具体描述只是为了解释本发明的目的,并非用于限制本发明。本发明的保护范围由权利 要求及其等同物限定。
权利要求
一种标识分离映射网络中IPSec网关自动发现的方法,包括以下阶段I)自动协商阶段,源IPSec网关和目的IPSec网关之间通过自动的信息交换,获得进行IPSec协商所必须的配置信息,然后再完成安全关联的建立;II)机密通信阶段,源IPSec网关和目的IPSec网关之间进行机密通信,完成源终端和目的终端之间的数据传送;以及III)自动清除阶段,上述安全关联过期后,源IPSec网关和目的IPSec网关之间的安全关联会自动清除。
2.根据权利要求1所述的标识分离映射网络中IPSec网关自动发现的方法,其特征在 于,所述阶段I)之中,又包括下列步骤1-1)源接入路由器收到源终端发出的数据包,对该数据包进行标识映射,将接入标识 映射为路由标识后,发给源IPSec网关;1-2)源IPSec网关接收到带有路由标识的数据包后,将该数据包加入协商等待数据库 中形成协商请求项;1-3)源IPSec网关根据上述协商请求项,利用源IPSec网关的路由标识以及源接入路 由器管理的路由标识池信息,构造协商请求包,发送到目的IPSec网关;1-4)目的IPSec网关接收到上述协商请求包后,加入自己的协商等待数据库中并形成 协商响应项;同时,利用目的IPSec网关的路由标识以及目的接入路由器管理的路由标识 信息,构造协商响应包,返回给源IPSec网关;1-5)源IPSec网关收到上述协商响应包后,发送协商确认包给目的IPSec网关;I-6)源IPSec网关和目的IPSec网关利用步骤1_1) 1_5)后得到的协商信息进行协 商,完成安全关联的建立,同时,双方清除协商等待数据库中的对应信息。
3.根据权利要求2所述的标识分离映射网中IPSec网关自动发现的方法,其特征在于, 所述源IPSec网关和目的IPSec网关之间使用IKE协议进行安全关联的协商。
4.根据权利要求2所述的标识分离映射网中IPSec网关自动发现的方法,其特征在于, 所述目的IPSec网关收到的协商请求包包括源IPSec网关的路由标识以及源接入路由器 管理的路由标识池信息;以及,所述源IPSec网关收到的协商响应包包括目的IPSec网关的路由标识以及目的接入 路由器管理的路由标识池信息。
5.根据权利要求1所述的标识分离映射网中IPSec网关自动发现的方法,其特征在于, 所述阶段II)中,又包含下列步骤Ii-D源终端发送数据包,源接入路由器收到该数据包后,对数据包进行标识映射,将 接入标识映射为路由标识后,发给源IPSec网关;II-2)源IPSec网关接收到源接入路由器发来的数据包后,按照SA对数据包进行加密 封装处理,然后发往核心网;II-3)目的IPSec网关接收到数据包后,按照SA对数据包进行解密以及完整性检验后, 将通过检验的数据包发给目的接入路由器;11-4)目的接入路由器收到数据包后,将数据包的路由标识映射回接入标识,然后发给 目的终端。
6.根据权利要求5所述的标识分离映射网中IPSec网关自动发现的方法,其特征在于,所述步骤II-2)和II-3)之中,源IPSec网关以及目的IPSec网关分别通过连接在策略数 据库中相应的策略进行加密封装以及解密。
7.根据权利要求1所述的标识分离映射网中IPSec网关自动发现的方法,其特征在于, 所述阶段III)中,又包含下列步骤III-1)如果在设定时间内,源终端没有数据包发给目的终端,则该安全关联项视为过 期,将该安全关联项加入清除等待数据库,同时源IPSec网关向目的IPSec网关发送清除请 求包;III-2)目的IPSec网关收到清除请求包后,将待清除的安全关联项加入清除等待数据 库,并向源IPSec网关返回清除响应包;III-3)源IPSec网关收到清除响应包后,清除对应的SA和等待数据库中的等待项,并 向目的IPSec网关发送清除确认包;111-4)目的IPSec网关收到清除确认包后,清除对应的SA和等待数据库中的等待项。
8.根据权利要求7所述的标识分离映射网中IPSec网关自动发现的方法,其特征在于, 步骤III-1)中,所述的设定时间是180秒。
9.根据权利要求1 8中任一项所述的标识分离映射网中IPSec网关自动发现的方 法,其特征在于,所述IPSec网关对数据包进行如下处理IPSec网关根据数据包的源和目的标识查找策略库;如果找到了对应的策略,则按照策略记录对数据包进行加密或者数据处理,处理完成 后进行转发;以及如果没有找到对应的策略,则判断数据包是来自接入路由器还是核心路由器;其中,如果来自接入路由器,则判断源和目的终端是否合法,如果合法,则该数据包加入协商 等待数据库;以及如果数据包来自核心路由器,则判断是否为特殊包,若为特殊包则按照特殊包的处理 方式进行处理;否则该数据包视为非法包,进行丢弃处理。
10.根据权利要求9所述的标识分离映射网中IPSec网关自动发现的方法,其特征在 于,所述特殊包包括协商请求包、协商响应包、协商确认包、清除请求包、清除响应包、清除 确认包以及IKE协商包。
全文摘要
一种标识分离映射网络中IPSec网关自动发现的方法,属于网络技术领域。该方法包括以下阶段I)自动协商阶段,源IPSec网关和目的IPSec网关之间通过自动的信息交换,获得进行IPSec协商所必须的配置信息,然后再完成安全关联的建立;II)机密通信阶段,源IPSec网关和目的IPSec网关之间进行机密通信,完成源终端和目的终端之间的数据传送;III)自动清除阶段,上述安全关联过期后,源IPSec网关和目的IPSec网关之间的安全关联会自动清除。本发明实现能够使标识分离映射网络中的IPSec网关自动的进行配置协商安全关联,替代手工配置的方式,简化配置的过程;能够自动的清除过期的安全关联,保证策略数据库的稳定,尤其适用于大型网络环境之中。
文档编号H04L12/56GK101969414SQ20101051593
公开日2011年2月9日 申请日期2010年10月15日 优先权日2010年10月15日
发明者万明, 刘颖, 唐建强, 姜巍, 张宏科 申请人:北京交通大学
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1