CN100466599C - 一种专用局域网的安全访问方法及用于该方法的装置 - Google Patents
一种专用局域网的安全访问方法及用于该方法的装置 Download PDFInfo
- Publication number
- CN100466599C CN100466599C CNB2005100857203A CN200510028061A CN100466599C CN 100466599 C CN100466599 C CN 100466599C CN B2005100857203 A CNB2005100857203 A CN B2005100857203A CN 200510028061 A CN200510028061 A CN 200510028061A CN 100466599 C CN100466599 C CN 100466599C
- Authority
- CN
- China
- Prior art keywords
- packet
- tunnel server
- source
- security
- local area
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种专用局域网的安全访问方法及用于该方法的装置。该方法及用于该方法的装置采用一种新的基于传输模式和隧道模式相结合的混合模式来实现外部网络中的设备安全访问专用局域网中的设备。即利用隧道模式的特性来解决通信安全性问题,同时利用传输模式的特性来解决网络寻址问题,保证了外部网络中的用户安全访问专用局域网,并使安全通信隧道对用户(主机)完全透明,而且一些在软件和硬件方面都很简单的主机也可以通过采用本发明的方法和装置来安全访问专用局域网,此外,本发明还具有良好的可管理性和可扩展性。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种专用局域网的安全访问方法及用于该方法的装置。
背景技术
在未来的IPv6环境下,随着IP地址资源的极大丰富,以及各种电子设备的智能化和网络化,专用局域网中每个设备都可以拥有独立的IP地址,通过这些设备的IP地址或其对应的域名,可以从外部网络寻址到相应的设备。这使得通过互联网远程访问和控制专用局域网中的设备在技术上成为可能;而且随着应用和服务的发展,对专用局域网中的设备进行远程访问和控制也会逐渐成为用户的迫切需求。
但是,由于专用局域网中设备的私密性和敏感性,设备拥有者并不希望外部网络可以任意访问专用局域网中的设备。如果允许外部网络任意访问这些设备,则这些设备将面临被攻击的巨大风险,并可能会给设备拥有者造成重大损失。
上述问题对专用局域网提出了安全性的要求,即要求提供一种有效的在IPv6环境下的专用局域网的安全访问机制:在保证专用局域网内设备与外部网络的正常通信的同时,保护专用局域网不受来自外部网络的恶意攻击;合法用户可以从外界访问专用局域网的内部设备,而未经授权的其他人则无法访问该专用局域网。
现有技术中,VPN(Virtual Private Network,虚拟专用网)技术是目前比较完善的一种专用网络安全访问机制。VPN技术向用户提供一种虚拟的专用网络,这种网络虽然借助公用网络的基础设施进行通信,但其安全性却类似由用户租用的专用物理线路构成的专用网络。只有经过身份认证的合法VPN用户可以从外部网络访问VPN中的局域网,其它外部网络的用户或设备不能访问这些局域网。
现有的VPN技术主要是通过隧道技术即通过跨越公众网络的隧道来实现专用局域网间的互连和专用网络安全访问。隧道技术通常有两种工作模式:隧道模式和传输模式,而现有的VPN技术通常采用隧道模式进行工作。图1显示的是现有的隧道模式的工作原理示意图。如图1所示,在隧道模式中,安全通信隧道建立在隧道服务器之间。通信时,外部网络中的源主机将IP数据包发送给源隧道服务器,源隧道服务器将源IP数据包加密并打包到新的IP数据包中,在新的IP头和源IP数据包间插入安全头(AH和ESP头),将新的IP数据包源地址和目的地址分别更换为源隧道服务器和目的隧道服务器的地址,然后发送给目的隧道服务器。目的隧道服务器收到该数据包后,从中提取并解密源IP数据包,然后将源IP数据包发送给专用局域网中的目的主机。
现有的VPN技术虽然较好地解决了专用局域网访问的安全性,但其以下一些特征还不能很好的满足IPv6环境下专用局域网安全访问的需求。
首先,在现有的VPN保护下的每个专用局域网都需要一个专职的隧道服务器,当用户从外部访问该专用局域网时,需要提供相应的隧道服务器的地址。为了通过现有的VPN访问不同的专用局域网,用户需要记忆大量的隧道服务器的地址,增加了用户使用VPN的负担和难度。
其次,现有的VPN的隧服务器需要大量的复杂的配置工作,而且随着VPN逻辑结构的变化(增加或删除VPN逻辑节点),需要相应地修改隧道服务器上的所有配置数据,这使得VPN的可扩展性较差。
第三,现有的VPN不能支持轻量级的用户设备。为了使用VPN技术,用户设备上需要安装复杂的VPN支持软件。有些情况下,用户用来访问专用局域网的设备可能在硬件和软件上都非常简单,没有安装或无法安装VPN支持软件,则无法通过VPN访问所需的专用局域网。
第四,由于现有的VPN方案主要采用隧道模式,不能解决网络寻址问题,用户在访问VPN的局域网时,需要知道并提供网络接入服务器(NAS:Network Access Server)即隧道服务器的地址,安全通信隧道对用户不透明。
最后,由于现有的VPN的部分安全功能通过用户设备上的VPN支持软件实现,VPN服务提供商无法控制VPN所有的安全特性,用户需要不断的更新VPN支持软件以增强安全性,这就降低了VPN的可管理性。
图2显示的是现有的传输模式的工作原理示意图。如图2所示,在传输模式中,安全通信隧道建立在进行通信的外部网络中的源主机和专用局域网中的目的主机之间。通信时,源主机对IP数据包进行加密,并在IP头和上层传输协议头之间插入相应的安全头(AH或ESP头),然后将数据包发送给目的主机。目的主机收到该数据包之后,对数据包进行解密并移除IP头和安全头,获取原始数据包。在传输模式下的通信过程中,IP数据包的源地址和目的地址不发生改变。但是,由于安全通信隧道的建立和维护、以及数据包的加密和解密都是由进行通信的源主机和目的主机双方共同负责,因此在这种方案下,虽然不存在网络寻址问题,但对进行通信的源主机和目的主机要求较高,需要安装大量的安全通信隧道支持软件,而且配置和管理工作也较为复杂。
鉴于现有技术中存在的上述缺陷,本发明提出了一种专用局域网的安全访问方法及用于该方法的装置,该方法及其装置基于隧道模式和传输模式相结合的混合模式来实现专用局域网的安全访问。
发明内容
本发明的目的在于提供一种专用局域网的安全访问方法及用于该方法的装置。该方法及用于该方法的装置在保证外部网络中的用户安全访问专用局域网的同时,使安全通信隧道对用户(主机)完全透明,同时采用本发明的方法,一些在软件和硬件方面都很简单的主机也可以安全的访问专用局域网,而且本发明还具有良好的可管理性和可扩展性。
本发明的一种专用局域网的安全访问方法,该方法利用源隧道服务器和目的隧道服务器来实现专用局域网的安全访问,包含以下步骤:
a、将所述源隧道服务器设置在外部网络中的源主机发送IP数据包的必经之路上,以及所述目的隧道服务器设置在专用局域网中的目的主机接收所述IP数据包的必经之路上;
b、在所述源隧道服务器和所述目的隧道服务器之间建立所述外部网络中的源主机与所述专用局域网中的目的主机进行安全通信的安全通信隧道,所述源主机通过所述安全通信隧道向所述目的主机发送所述IP数据包,所述IP数据包的源地址为所述源主机的IP地址,所述IP数据包的目的地址为所述目的主机的IP地址;
c、当所述IP数据包经过所述源隧道服务器时,所述源隧道服务器截取所述IP数据包并对其进行加密处理后,将加密后的IP数据包通过所述安全通信隧道向所述目的主机转发;
d、当所述加密后的IP数据包经过目的隧道服务器时,所述目的隧道服务器截取所述IP数据包并对其进行解密处理后,将解密后的IP数据包转发给所述目的主机;
所述IP数据包的源地址和目的地址在上述步骤a-c中均不改变。
其中,步骤c中源隧道服务器截取所述IP数据包并对其进行加密处理是根据所述源隧道服务器与所述目的隧道服务器相互协定的安全策略来截取所述IP数据包,并按照与所述安全策略对应的安全联盟对截取的所述IP数据包进行加密处理。步骤d中目的隧道服务器截取所述IP数据包并对其进行解密处理是根据所述源隧道服务器与所述目的隧道服务器相互协定的安全策略来截取所述IP数据包,并按照与所述安全策略对应的安全联盟对截取的所述IP数据包进行解密处理。
源隧道服务器部署在所述IP数据包自所述源主机外出的必经路由设备上,目的隧道服务器部署在所述IP数据包进入所述目的主机的必经路由设备上。
本发明的一种源隧道服务器,设置在外部网络中的源主机发送IP数据包的必经之路上,包含:
外出包过滤单元,用于截取由所述外部网络中的源主机发出的所述IP数据包;
加密单元,用于对所述外出包过滤单元截取的所述IP数据包进行加密处理;
外出包转发单元,用于将所述加密单元加密后的IP数据包向所述专用局域网中的目的主机转发。
其中,源隧道服务器进一步包含用于存储各种安全策略和安全联盟的安全策略和安全联盟数据库,所述安全策略和安全联盟数据库进一步包含用于存储各种安全策略的安全策略数据库,以及用于存储各种安全联盟的安全联盟数据库,所述安全策略数据库与所述安全联盟数据库相对应。外出包过滤单元截取由外部网络中的源主机发出的IP数据包是根据存储在所述安全策略数据库中的所述源隧道服务器与所述目的隧道服务器相互协定的安全策略来截取所述IP数据包,所述加密单元对所述外出包过滤单元截取的所述IP数据包进行加密处理是按照存储在所述安全联盟数据库中的与所述安全策略对应的安全联盟对截取的所述IP数据包进行加密处理。
本发明的一种目的隧道服务器,设置在专用局域网中的目的主机接收IP数据包的必经之路上,包含:
进入包过滤单元,用于截取由源隧道服务器发出的经加密的所述IP数据包;
解密单元,用于对所述进入包过滤单元截取的所述IP数据包进行解密处理;
进入包转发单元,用于将所述解密单元解密后的IP数据包转发给所述专用局域网中的目的主机。
其中,目的隧道服务器进一步包含用于存储各种安全策略和安全联盟的安全策略和安全联盟数据库,所述安全策略和安全联盟数据库进一步包含用于存储各种安全策略的安全策略数据库,以及用于存储各种安全联盟的安全联盟数据库,所述安全策略数据库与所述安全联盟数据库相对应。进入包过滤单元截取由源隧道服务器发出的经加密的IP数据包是根据存储在所述安全策略数据库中的所述源隧道服务器与所述目的隧道服务器相互协定的安全策略来截取所述IP数据包,所述解密单元对所述进入包过滤单元截取的所述IP数据包进行解密处理是按照存储在所述安全联盟数据库中的与所述安全策略对应的安全联盟对截取的所述IP数据包进行解密处理。
本发明采用一种新的基于传输模式和隧道模式相结合的混合模式来实现外部网络中的设备安全访问专用局域网中的设备。本发明利用隧道模式的特性来解决通信安全性问题的同时,利用传输模式的特性来解决网络寻址问题,使安全通信隧道对用户透明。
附图说明
图1是现有的隧道模式的工作原理示意图;
图2是现有的传输模式的工作原理示意图;
图3是根据本发明实施例的源隧道服务器的结构示意图;
图4是根据本发明实施例的目的隧道服务器的结构示意图;
图5是根据本发明实施例的隧道服务器的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的说明。
本发明通过采用传输模式和隧道模式相结合的混合模式,在实现外部网络中的设备安全访问专用局域网中的设备的同时,解决了网络寻址问题和通信安全性问题。
本发明利用传输模式中的发送的IP数据包的源地址和目的地址在整个通信过程中不发生改变的特性,解决了网络寻址问题。同时,本发明通过利用类似于隧道模式中的隧道服务器并在该隧道服务器之间建立安全通信隧道的特性来保证外部网络中的主机安全访问专用局域网中的主机,解决了通信安全性的问题。
本发明所采用的混合模式的体系结构与现有的VPN技术所采用的隧道模式的体系结构基本相同,参见图1,均由作为通信双方的外部网络中的源主机和专用局域网中的目的主机、以及各自相应的源隧道服务器和目的隧道服务器所组成,安全通信隧道则建立在源隧道服务器和目的隧道服务器之间。但与现有的VPN技术不同的是,本发明的混合模式下的源隧道服务器和目的隧道服务器可以不是专职的隧道服务器。这是因为本发明将源隧道服务器设置在外部网络中的源主机发送IP数据包的必经之路上,目的隧道服务器则设置在专用局域网中的目的主机接收所述IP数据包的必经之路上,而且外部网络中的源主机向专用局域网中的目的主机发送的IP数据包的源地址和目的地址在整个通信过程中不发生改变。这样,本发明的源隧道服务器和目的隧道服务器就可以通过主动截取的方式来获取IP数据包并对其进行加密或解密,而且本发明的源隧道服务器和目的隧道服务器自身可以不需要分配相应的IP地址,因此本发明的源隧道服务器和目的隧道服务器可以不是专职的隧道服务器。而现有的VPN技术中的源隧道服务器和目的隧道服务器则需要以被动接收的方式来获取IP数据包,而且外部网络中的源主机发送的IP数据包的源地址和目的地址在整个通信过程中要发生改变,因此现有的VPN技术中的源隧道服务器和目的隧道服务器需要分配相应的IP地址,是必须要单独设置的专职的隧道服务器。
与此相比,由于本发明将源隧道服务器设置在外部网络中的源主机发送IP数据包的必经之路上,目的隧道服务器设置在专用局域网中的目的主机接收IP数据包的必经之路上,且两者不需要分配IP地址,因此可以将本发明的源隧道服务器或目的隧道服务器与IP数据包的必经之路上任何设备结合在一起以达到本发明的安全访问专用局域网的目的,例如,可以将本发明的源隧道服务器部署在IP数据包自外部网络中的源主机外出的必经路由设备上,以及目的隧道服务器部署在IP数据包进入专用局域网中的目的主机的必经路由设备上,这些路由设备通常是距离源主机和目的主机较近的路由器或网关等。
当外部网络中的源主机想要访问专用局域网中的目的主机时,首先,要在源主机的源隧道服务器和目的主机的目的隧道服务器之间建立源主机与目的主机进行安全通信的安全通信隧道,在本发明中,源隧道服务器和目的隧道服务器之间的安全通信隧道的建立采用的是常规的现有技术手段。在现有技术中通常有两种方法来建立安全通信隧道,一种为手工配置隧道方法,另一种则为自动配置隧道方法。
在本发明中,源隧道服务器和目的隧道服务器之间所建立的外部网络中的源主机与专用局域网中的目的主机进行安全通信的安全通信隧道为单向隧道,即外部网络中的源主机向专用局域网中的目的主机发送IP数据包的安全通信隧道。若专用局域网中的主机想要向外部网络中的主机进行通信时,则可采用相同的方法另行建立专用局域网中的主机向外部网络中的主机发送IP数据包的单向的安全通信隧道。
当安全通信隧道建立好之后,外部网络中的源主机通过该安全通信隧道向专用局域网中的目的主机发送IP数据包,以此来访问专用局域网中的主机。源主机发送的IP数据包的源地址为外部网络中的源主机的IP地址、目的地址为专用局域网中的目的主机的IP地址。
其次,当外部网络中的源主机发送的IP数据包经过源隧道服务器时,源隧道服务器截取该IP数据包并对其进行加密处理后,将加密后的IP数据包通过安全通信隧道向专用局域网中的目的主机转发。
在本发明中,源隧道服务器可以根据源隧道服务器与目的隧道服务器相互协定的安全策略截取由外部网络中的源主机发出的IP数据包,并按照与该安全策略对应的安全联盟对截取到的该IP数据包进行加密处理。
安全策略(Security Policy,SP)和安全联盟(Security Associate,SA)是两个通信实体例如外部网络中的源主机和专用局域网中的目的主机之间为安全通信所设定的一种协定。其中,安全策略用于决定何种外出或进入的IP数据包需要安全保护,其至少包含IP数据包的源地址和目的地址两个选择符,除此之外,还可以包含源端口和目的端口等其它选择符,各种安全策略可以被保存在安全策略数据库中;安全联盟则用于决定保护IP数据包安全的IPSec协议、加密方式、密钥以及密钥的有效存在时间等等,同样,各种安全联盟也可以保存在安全联盟数据库中。安全策略数据库和安全联盟数据库也可以共同保存在一个安全策略和安全联盟数据库中。安全策略和安全联盟两者之间存在对应的关系,是一种现有技术。
通过协定进行安全通信所要采用的安全策略及与之对应的安全联盟,源隧道服务器和目的隧道服务器之间建立起外部网络中的源主机向专用局域网中的目的主机进行安全通信的安全通信隧道。
由于源隧道服务器设置在外部网络中的源主机发送IP数据包的必经之路上,因此当外部网络中的源主机向专用局域网中的目的主机发送IP数据包时,该IP数据包必然经过源隧道服务器。这样,当一个IP数据包经过源隧道服务器时,源隧道服务器就调用安全策略数据库中的源隧道服务器与目的隧道服务器已经协议好的安全策略对该经过的IP数据包进行比对和判断,将符合该源隧道服务器与目的隧道服务器已经协议好的安全策略的IP数据包截取下来,之后,再调用安全联盟数据库中与该安全策略对应的安全联盟对截取下来的IP数据包进行加密处理。
在本发明中,源隧道服务器按照与安全策略对应的安全联盟对截取到的IP数据包进行加密处理的方法可以有如下两种:
1、对截取到的源IP数据包按照与安全策略对应的安全联盟进行加密后,将其打包到新的IP数据包中,在新的IP头和源IP数据包之间加入相应的安全头(AH或ESP头),新的IP数据包的源地址和目的地址仍然保持为原来的源主机和目的主机地址,参见下表:
加密处理前的IP数据包为:
| 原始IP头 | 传输协议头 | 传输协议数据 |
加密处理后的新的IP数据包为:
| 新的IP头 | AH头 | 原始IP头 | 传输协议头 | 传输协议数据 |
或
| 新的IP头 | ESP头 | 原始IP头 | 传输协议头 | 传输协议数据 | ESP尾 | ESP验证数据 |
2、对截取到的源IP数据包按照与安全策略对应的安全联盟进行加密后,在IP头和上层传输协议头之间加入相应的安全头(AH或ESP头),新的IP数据包的源地址和目的地址仍然保持为原来的源主机和目的主机地址,参见下表:
加密处理前的IP数据包为:
| 原始IP头 | 传输协议头 | 传输协议数据 |
加密处理后的新的IP数据包为:
| 原始IP头 | AH头 | 传输协议头 | 传输协议数据 |
或
| 原始IP头 | ESP头 | 传输协议头 | 传输协议数据 | ESP尾 | ESP验证数据 |
在源隧道服务器对截取到的IP数据包完成加密处理后,源隧道服务器接着将加密后的IP数据包向专用局域网中的目的主机转发。
最后,当源隧道服务器发出的加密后的IP数据包经过目的隧道服务器时,目的隧道服务器截取该IP数据包,并对截取到的该IP数据包进行解密处理后,将解密后的IP数据包转发给专用局域网中的目的主机。
在本发明中,目的隧道服务器截取源隧道服务器发出的IP数据包的工作原理,与源隧道服务器截取外部网络中的源主机发出的IP数据包的工作原理相同,即目的隧道服务器根据源隧道服务器与目的隧道服务器相互协定的安全策略来截取源隧道服务器发出的经加密后的IP数据包。目的隧道服务器使用的该安全策略与源隧道服务器中使用的安全策略相同。
当目的隧道服务器根据相应的安全策略截取到源隧道服务器发出的IP数据包后,目的隧道服务器按照与安全策略对应的安全联盟对截取到的IP数据包进行相对于加密处理的解密处理,获取原始IP数据包并转发给专用局域网中的目的主机。
在上述整个安全通信过程中,通信的安全性由隧道服务器保证,外部网络中的源主机和专用局域网中的目的主机无需对IP数据包进行任何与安全相关的处理;同时,IP数据包的源地址和目的地址在整个通信过程中也不发生改变,IP数据包的路由寻址按正常方式进行,隧道服务器和主机无需增加任何特殊的路由配置或处理。
图3显示的是根据本发明实施例的源隧道服务器的结构示意图。如图3所示,本发明的一种源隧道服务器300,用于专用局域网的安全访问,包含:外出包过滤单元310,加密单元320和外出包转发单元330。
其中,外出包过滤单元310用于截取由外部网络中的源主机发出的IP数据包;加密单元320用于对外出包过滤单元310截取的IP数据包进行加密处理;外出包转发单元330用于将加密单元320加密后的IP数据包向专用局域网中的目的主机转发。
此外,本发明的源隧道服务器300还可以进一步包含用于存储各种安全策略和安全联盟的安全策略和安全联盟数据库340。其中,该安全策略和安全联盟数据库340还可以进一步包含用于存放各种安全策略的安全策略数据库341和用于存放各种安全联盟的安全联盟数据库342,安全策略数据库341和安全联盟数据库342之间存在对应关系。
在本发明中,外出包过滤单元310可以根据存储在安全策略和安全联盟数据库340的安全策略数据库341中的源隧道服务器与目的隧道服务器相互协定的安全策略来截取由外部网络中的源主机发出的IP数据包;加密单元320可以按照存储在安全策略和安全联盟数据库340的安全联盟数据库342中的与安全策略对应的安全联盟对IP数据包进行加密处理;
图4显示的是根据本发明实施例的目的隧道服务器的结构示意图。如图4所示,本发明的一种目的隧道服务器400,用于专用局域网的安全访问,包含:进入包过滤单元410、解密单元420和进入包转发单元430。
其中进入包过滤单元410用于截取由源隧道服务器300发出的经加密的IP数据包;解密单元420用于对进入包过滤单元410截取的IP数据包进行解密处理;进入包转发单元430用于将解密单元解密后的IP数据包转发给专用局域网中的目的主机。
此外,本发明的目的隧道服务器400还可以进一步包含用于存储各种安全策略和安全联盟的安全策略和安全联盟数据库340。其中,该安全策略和安全联盟数据库340还可以进一步包含用于存放各种安全策略的安全策略数据库341和用于存放各种安全联盟的安全联盟数据库342,安全策略数据库341和安全联盟数据库342之间存在对应关系。
在本发明中,进入包过滤单元410可以根据存储在安全策略和安全联盟数据库340的安全策略数据库341中的外部网络中的源隧道服务器与专用局域网中的目的隧道服务器相互协定的安全策略来截取由源隧道服务器300发出的经加密的IP数据包,解密单元420可以按照存储在安全策略和安全联盟数据库340的安全联盟数据库342中的与安全策略对应的安全联盟对截取到的IP数据包进行解密处理。
图3和图4所示的源隧道服务器300和目的隧道服务器400的组合只适合外部网络中的主机单向访问专用局域网中的主机的情况,若外部网络中的主机和专用局域网中的主机要实现双向通信的情况下,可以将本发明的源隧道服务器300和目的隧道服务器400结合在一种隧道服务器500中,该隧道服务器500能够同时实现源隧道服务器300和目的隧道服务器400的功能。
图5显示的是根据本发明实施例的隧道服务器的结构示意图。如图5所示,本发明的一种隧道服务器500,用于专用局域网中双向通信的安全访问,包含:外出包过滤单元310、加密单元320、外出包转发单元330、进入包过滤单元410、解密单元420以及进入包转发单元430。
其中,外出包过滤单元310用于当隧道服务器500作为源隧道服务器300时截取由外部网络中的源主机发出的IP数据包;加密单元320用于对外出包过滤单元310截取的IP数据包进行加密处理;外出包转发单元330用于将加密单元320加密后的IP数据包向专用局域网中的目的主机转发。
进入包过滤单元410用于当隧道服务器500作为目的隧道服务器400时截取由源隧道服务器300发出的经加密的IP数据包;解密单元420用于对进入包过滤单元410截取的IP数据包进行解密处理;进入包转发单元430用于将解密单元420解密后的IP数据包转发给专用局域网中的目的主机。
此外,本发明的隧道服务器还可以包含用于存储各种安全策略和安全联盟安全策略和安全联盟数据库340。其中,该安全策略和安全联盟数据库340还可以进一步包含用于存放各种安全策略的安全策略数据库341和用于存放各种安全联盟的安全联盟数据库342,安全策略数据库341和安全联盟数据库342之间存在对应关系。
在本发明中,外出包过滤单元310可以根据存储在安全策略和安全联盟数据库340的安个策略数据库341中的外部网络中的源隧道服务器与专用局域网中的目的隧道服务器相互协定的安个策略来截取由外部网络中的源主机发出的IP数据包,加密单元320可以按照存储在安全策略和安全联盟数据库340的安全联盟数据库342中的与安全策略对应的安全联盟对IP数据包进行加密处理。进入包过滤单元410可以根据存储在安全策略和安全联盟数据库340的安全策略数据库341中的外部网络中的源隧道服务器与专用局域网中的目的隧道服务器相互协定的安全策略来截取由源隧道服务器300发出的经加密的IP数据包,解密单元420可以按照存储在安全策略和安全联盟数据库340的安全联盟数据库342中的与安全策略对应的安全联盟对截取到的IP数据包进行解密处理。
本发明的基于混合模式的专用局域网的安全访问方法还具有如下的优点:
1.安全性:专用局域网内部的主机和外部网络中的主机的通信通过隧道服务器500之间的安全通信隧道进行,保证了专用局域网访问的安全性。
2.易用性:隧道服务器500之间的安全通信隧道对用户(主机)完全透明。用户在访问目的专用局域网时无需提供任何隧道服务器500的信息(如隧道服务器500的地址等),只需直接输入要访问的专用局域网内目的主机的地址,即可通过安全通信隧道访问相应的目的主机。对用户而言,从外部网络访问专用局域网内的主机与从内部访问该主机的方式一样简单。
3.支持简单主机:本方法中,通信的安全性由隧道服务器500保证,主机无需任何与安全或路由相关的配置和处理,所以主机无需安装任何支持专用局域网安全访问的软件和硬件。采用本方法,一些在软件和硬件方面都很简单的主机也可以安全的访问专用局域网。
4.可管理性:由于所有安全相关的处理都在隧道服务器500上进行,所以这种专用局域网的安全访问服务易于管理。管理者可以在隧道服务器500上配置和管理专用局域网访问的所有安全特性,对安全特性的修改或增强不会对用户主机有任何软件或硬件的要求,也不会对用户主机使用该服务有任何影响。
5.可扩展性:为了向用户提供专用局域网安全访问服务,只需在网络的适当位置上部署相应的隧道服务器500即可,隧道服务器500的加入不会影响网络的其它部分或设备,包括使用安全访问服务的用户主机,自身也无需进行任何特殊的路由配置或处理。因此,本方法具有良好的可扩展性。
Claims (10)
1、一种专用局域网的安全访问方法,所述方法利用源隧道服务器和目的隧道服务器来实现专用局域网的安全访问,其特征在于,所述方法包含以下步骤:
a、将所述源隧道服务器设置在外部网络中的源主机发送IP数据包的必经之路上,以及所述目的隧道服务器设置在专用局域网中的目的主机接收所述IP数据包的必经之路上;
b、在所述源隧道服务器和所述目的隧道服务器之间建立所述外部网络中的源主机与所述专用局域网中的目的主机进行安全通信的安全通信隧道,所述源主机通过所述安全通信隧道向所述目的主机发送所述IP数据包,所述IP数据包的源地址为所述源主机的IP地址,所述IP数据包的目的地址为所述目的主机的IP地址;
c、当所述IP数据包经过所述源隧道服务器时,所述源隧道服务器截取所述IP数据包并对其进行加密处理后,将加密后的IP数据包通过所述安全通信隧道向所述目的主机转发;
d、当所述加密后的IP数据包经过目的隧道服务器时,所述目的隧道服务器截取所述IP数据包并对其进行解密处理后,将解密后的IP数据包转发给所述目的主机;
所述IP数据包的源地址和目的地址在上述步骤a-c中均不改变。
2、如权利要求1所述的专用局域网的安全访问方法,其特征在于,所述步骤c中源隧道服务器截取所述IP数据包并对其进行加密处理是根据所述源隧道服务器与所述目的隧道服务器相互协定的安全策略来截取所述IP数据包,并按照与所述安全策略对应的安全联盟对截取的所述IP数据包进行加密处理。
3、如权利要求2所述的专用局域网的安全访问方法,其特征在于,所述步骤d中目的隧道服务器截取所述IP数据包并对其进行解密处理是根据所述源隧道服务器与所述目的隧道服务器相互协定的安全策略来截取所述IP数据包,并按照与所述安全策略对应的安全联盟对截取的所述IP数据包进行解密处理。
4、如权利要求1所述的专用局域网的安全访问方法,其特征在于,所述源隧道服务器部署在所述IP数据包自所述源主机外出的必经路由设备上,所述目的隧道服务器部署在所述IP数据包进入所述目的主机的必经路由设备上。
5、一种源隧道服务器,其特征在于,所述源隧道服务器设置在外部网络中的源主机发送IP数据包的必经之路上,包含:
外出包过滤单元,用于截取由所述外部网络中的源主机发出的所述IP数据包;
加密单元,用于对所述外出包过滤单元截取的所述IP数据包进行加密处理;
外出包转发单元,用于将所述加密单元加密后的IP数据包向所述专用局域网中的目的主机转发。
6、如权利要求5所述的源隧道服务器,其特征在于,所述源隧道服务器进一步包含用于存储各种安全策略和安全联盟的安全策略和安全联盟数据库,所述安全策略和安全联盟数据库进一步包含用于存储各种安全策略的安全策略数据库,以及用于存储各种安全联盟的安全联盟数据库,所述安全策略数据库与所述安全联盟数据库相对应。
7、如权利要求6所述的源隧道服务器,其特征在于,所述外出包过滤单元截取由外部网络中的源主机发出的IP数据包是根据存储在所述安全策略数据库中的所述源隧道服务器与所述目的隧道服务器相互协定的安全策略来截取所述IP数据包,所述加密单元对所述外出包过滤单元截取的所述IP数据包进行加密处理是按照存储在所述安全联盟数据库中的与所述安全策略对应的安全联盟对截取的所述IP数据包进行加密处理。
8、一种目的隧道服务器,其特征在于,所述目的隧道服务器设置在专用局域网中的目的主机接收IP数据包的必经之路上,包含:
进入包过滤单元,用于截取由源隧道服务器发出的经加密的所述IP数据包;
解密单元,用于对所述进入包过滤单元截取的所述IP数据包进行解密处理;
进入包转发单元,用于将所述解密单元解密后的IP数据包转发给所述专用局域网中的目的主机。
9、如权利要求8所述的目的隧道服务器,其特征在于,所述目的隧道服务器进一步包含用于存储各种安全策略和安全联盟的安全策略和安全联盟数据库,所述安全策略和安全联盟数据库进一步包含用于存储各种安全策略的安全策略数据库,以及用于存储各种安全联盟的安全联盟数据库,所述安全策略数据库与所述安全联盟数据库相对应。
10、如权利要求9所述的目的隧道服务器,其特征在于,所述进入包过滤单元截取由源隧道服务器发出的经加密的IP数据包是根据存储在所述安全策略数据库中的所述源隧道服务器与所述目的隧道服务器相互协定的安全策略来截取所述IP数据包,所述解密单元对所述进入包过滤单元截取的所述IP数据包进行解密处理是按照存储在所述安全联盟数据库中的与所述安全策略对应的安全联盟对截取的所述IP数据包进行解密处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100857203A CN100466599C (zh) | 2005-07-22 | 2005-07-22 | 一种专用局域网的安全访问方法及用于该方法的装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100857203A CN100466599C (zh) | 2005-07-22 | 2005-07-22 | 一种专用局域网的安全访问方法及用于该方法的装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1901499A CN1901499A (zh) | 2007-01-24 |
| CN100466599C true CN100466599C (zh) | 2009-03-04 |
Family
ID=37657246
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005100857203A Active CN100466599C (zh) | 2005-07-22 | 2005-07-22 | 一种专用局域网的安全访问方法及用于该方法的装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100466599C (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101222412B (zh) * | 2008-01-23 | 2010-08-04 | 成都市华为赛门铁克科技有限公司 | 网络地址转换穿越方法和系统 |
| CN101478533B (zh) * | 2008-11-29 | 2012-05-23 | 成都市华为赛门铁克科技有限公司 | 一种跨越虚拟防火墙发送和接收数据的方法及系统 |
| CN102790775A (zh) * | 2012-08-01 | 2012-11-21 | 北京映翰通网络技术有限公司 | 一种增强网络安全性能的方法及系统 |
| CN103905193A (zh) * | 2012-12-26 | 2014-07-02 | 北京合众思壮科技股份有限公司 | 信息交互方法、终端、安全信息接入系统及信息交互系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002060117A1 (en) * | 2001-01-25 | 2002-08-01 | Solutionary, Inc. | Method and apparatus for verifying the integrity of computer networks and implementation of counter measures |
| CN1468007A (zh) * | 2002-07-10 | 2004-01-14 | 华为技术有限公司 | 提供虚拟局域网段业务的虚拟交换机及方法 |
| US20040255164A1 (en) * | 2000-12-20 | 2004-12-16 | Intellisync Corporation | Virtual private network between computing network and remote device |
| CN1589060A (zh) * | 2004-09-30 | 2005-03-02 | 西安西电捷通无线网络通信有限公司 | 一种使移动节点实现自代理功能的方法 |
| CN1604587A (zh) * | 2003-10-01 | 2005-04-06 | 华为技术有限公司 | 一种网络过渡接入的方法 |
-
2005
- 2005-07-22 CN CNB2005100857203A patent/CN100466599C/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040255164A1 (en) * | 2000-12-20 | 2004-12-16 | Intellisync Corporation | Virtual private network between computing network and remote device |
| WO2002060117A1 (en) * | 2001-01-25 | 2002-08-01 | Solutionary, Inc. | Method and apparatus for verifying the integrity of computer networks and implementation of counter measures |
| CN1468007A (zh) * | 2002-07-10 | 2004-01-14 | 华为技术有限公司 | 提供虚拟局域网段业务的虚拟交换机及方法 |
| CN1604587A (zh) * | 2003-10-01 | 2005-04-06 | 华为技术有限公司 | 一种网络过渡接入的方法 |
| CN1589060A (zh) * | 2004-09-30 | 2005-03-02 | 西安西电捷通无线网络通信有限公司 | 一种使移动节点实现自代理功能的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1901499A (zh) | 2007-01-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101585936B1 (ko) | 가상 사설 망 관리 시스템 및 그 방법 | |
| CN101682656B (zh) | 用于保护数据分组的路由选择的方法和设备 | |
| EP3432523B1 (en) | Method and system for connecting a terminal to a virtual private network | |
| US8607301B2 (en) | Deploying group VPNS and security groups over an end-to-end enterprise network | |
| US7853783B2 (en) | Method and apparatus for secure communication between user equipment and private network | |
| US7536715B2 (en) | Distributed firewall system and method | |
| CN1949705B (zh) | 一种用于安全访问专用局域网的动态隧道构建方法及用于该方法的装置 | |
| CN101299665B (zh) | 报文处理方法、系统及装置 | |
| CN101529805A (zh) | 中间设备 | |
| TW200307423A (en) | Password device and method, password system | |
| WO2008039506B1 (en) | Deploying group vpns and security groups over an end-to-end enterprise network and ip encryption for vpns | |
| WO2008108821A2 (en) | Virtual security interface | |
| US20140122876A1 (en) | System and method for providing a secure book device using cryptographically secure communications across secure networks | |
| Zhipeng et al. | VPN: a boon or trap?: a comparative study of MPLs, IPSec, and SSL virtual private networks | |
| CN112332901B (zh) | 一种天地一体化移动接入认证方法及装置 | |
| JP4752064B2 (ja) | アクセス制限を行う公衆回線上の通信システムと端末接続装置およびサーバー接続制限装置 | |
| Liyanage et al. | Securing virtual private LAN service by efficient key management | |
| US9730074B2 (en) | System, methods and apparatuses for providing network access security control | |
| US20130219172A1 (en) | System and method for providing a secure book device using cryptographically secure communications across secure networks | |
| CN100466599C (zh) | 一种专用局域网的安全访问方法及用于该方法的装置 | |
| CN103188228A (zh) | 一种实现端到端安全防护的方法、安全网关及系统 | |
| Khoussainov et al. | LAN security: problems and solutions for Ethernet networks | |
| KR20170017860A (ko) | 네트워크 vpn 기반의 네트워크 가상화 시스템 | |
| JP2023531034A (ja) | サービス伝送方法、装置、ネットワーク機器及び記憶媒体 | |
| JP4752063B2 (ja) | アクセス制限を行う公衆回線上の通信システムと端末接続装置およびサーバー接続制限装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: SHANGHAI ALCATEL-LUCENT CO., LTD. Free format text: FORMER NAME: BEIER AERKATE CO., LTD., SHANGHAI |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 201206 Pudong Jinqiao Export Processing Zone, Nanjing Road, No. 388, Shanghai Patentee after: Shanghai Alcatel-Lucent Co., Ltd. Address before: 201206 Pudong Jinqiao Export Processing Zone, Nanjing Road, No. 388, Shanghai Patentee before: Beier Aerkate Co., Ltd., Shanghai |
|
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 201206 Pudong Jinqiao Export Processing Zone, Nanjing Road, No. 388, Shanghai Patentee after: Shanghai NOKIA Baer Limited by Share Ltd Address before: 201206 Pudong Jinqiao Export Processing Zone, Nanjing Road, No. 388, Shanghai Patentee before: Shanghai Alcatel-Lucent Co., Ltd. |