CN102742247B - 一种数据分路传输方法及装置、系统 - Google Patents
一种数据分路传输方法及装置、系统 Download PDFInfo
- Publication number
- CN102742247B CN102742247B CN201180001855.0A CN201180001855A CN102742247B CN 102742247 B CN102742247 B CN 102742247B CN 201180001855 A CN201180001855 A CN 201180001855A CN 102742247 B CN102742247 B CN 102742247B
- Authority
- CN
- China
- Prior art keywords
- address
- private network
- tunnel
- logical tunnel
- security gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种端数据分路传输方法,包括:源设备向安全网关请求因特网协议安全IPsec隧道中至少两条逻辑隧道的私网IP地址;所述源设备获得所述至少两条逻辑隧道的私网IP地址及其与各目的设备间的对应关系信息;所述源设备根据所述对应关系信息,将发送至所述各目的设备的数据流映射到对应的逻辑隧道中,并传输至安全网关,以使所述安全网关将接收到的数据流发送至对应的目的设备。该方法实现了数据端到端的分路安全传输。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种数据分路传输方法及装置、系统。
背景技术
IPSec(IP Security,因特网协议安全)是IETF制定的为保证在Internet上传送数据的安全保密性能的三层隧道加密协议。IPSec在IP层对IP报文提供安全服务。在IPSec协议中定义了如何在IP数据包中增加字段来保证IP包的完整性、私有性和真实性,以及如何加密数据包。使用IPSec,数据就可以安全地在公网上传输。
如图1所示为现有技术中应用IPsec的系统结构示意图,源设备、安全网关和目的设备之间通过公网IP进行通信,支持IPsec客户端协议的源设备与安全网关(至少支持IPSec服务器侧协议)之间建立IPSec隧道用于安全数据传输,数据通过安全网关路由到目的设备。
然而,当源设备和安全网关的接口(物理端口或者IP地址)只有一个,目的设备至少为两个时,如目的设备1和目的设备2,由于源设备发送到目的设备1的数据1和源设备发送的目的设备2的数据2均通过IPsec隧道传输到安全网关,安全网关无法识别数据1和数据2的去向,此时,数据1、2只能发送的一个目的设备上,而无法分路,也即,对于上述应用场景,源设备与多个目的设备间无法实现端到端的数据隔离。
发明内容
本发明实施例提供一种数据分路传输方法及装置、系统,能够实现源设备与多个目的设备间端到端的数据隔离。
为了解决上述技术问题,本发明实施例的技术方案如下:
源设备向安全网关请求因特网协议安全IPsec隧道中至少两条逻辑隧道的私网IP地址;
所述源设备获得所述至少两条逻辑隧道的私网IP地址及其与各目的设备间的对应关系信息;
所述源设备根据所述对应关系信息,将发送至所述各目的设备的数据流映射到对应的逻辑隧道中,并向所述安全网关传输,以使所述安全网关将接收到的数据流发送至对应的目的设备。
一种数据分路传输方法,包括:
安全网关接收源设备对IPsec隧道中至少两条逻辑隧道的私网IP地址的请求;
所述安全网关为所述IPsec隧道中至少两条逻辑隧道分别分配私网IP地址,并向所述源设备反馈所述至少两条逻辑隧道的私网IP地址;
所述安全网关接收所述源设备通过不同逻辑隧道发送的数据流;
所述安全网关根据所述至少两条逻辑隧道的私网IP地址识别接收到的数据流,并根据至少两条逻辑隧道的私网IP地址与各目的设备间的对应关系信息将识别出的数据流发送至对应的目的设备。
一种通信设备,包括:
地址请求单元,用于向安全网关请求IPsec隧道中至少两条逻辑隧道的私网IP地址;
地址接收单元,用于获得所述至少两条逻辑隧道的私网IP地址及其与各目的设备间的对应关系信息;
数据隔离单元,用于根据所述对应关系信息,将发送至所述各目的设备的数据流映射到对应的逻辑隧道中,并向安全网关传输,以使所述安全网关将接收到的数据流发送至对应的目的设备。
一种安全网关,包括:
请求接收单元,用于接收源设备对IPsec隧道中至少两条逻辑隧道的私网IP地址的请求;
地址分配单元,用于为所述IPsec隧道中至少两条逻辑隧道分别分配私网IP地址,并向所述源设备反馈所述至少两条逻辑隧道的私网IP地址;
数据接收单元,用于接收所述源设备通过不同逻辑隧道发送的数据流;
数据分流单元,用于根据所述至少两条逻辑隧道的私网IP地址识别接收到的数据流,并根据至少两条逻辑隧道的私网IP地址与各目的设备间的对应关系信息将识别出的数据流发送至对应的目的设备。
一种数据分路传输系统,包括源设备、安全网关和至少两个目的设备,其中,
所述源设备,用于向所述安全网关请求IPsec隧道中至少两条逻辑隧道的私网IP地址;获得所述至少两条逻辑隧道的私网IP地址及其与各目的设备间的对应关系信息;根据所述对应关系信息,将发送至所述各目的设备的数据流映射到对应的逻辑隧道中,并向所述安全网关传输,以使所述安全网关将接收到的数据流发送至对应的目的设备。
本发明实施例通过在IPsec隧道中建立多条逻辑隧道,从而可以使源设备将发送至不同目的设备的数据流通过不同的逻辑隧道进行传输,并由安全网关进行数据的分流,最终发送至对应的目的设备,实现了数据端到端的分路安全传输,如将业务流和数据流分路传输,即保障数据安全性又保障了数据隔离,可以更好的支撑组网,而且,本方法实现了节省外部资源,如IP地址,端口等,可以更加合理的利用现有设备实现端到端的安全传输,该方法实现简单,本方案均可采用标准的协议完成。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是现有技术中应用IPsec的系统结构示意图;
图2本发明实施例一种数据分路传输方法流程图;
图3a是本发明实施例另一种数据分路传输方法流程图;
图3b是图3a所示实施例中端到端数据分路传输示意图;
图4是图3a所示实施例中源设备和安全网关进行IPSec隧道协商的示意图;
图5是图3a所示实施例中源设备和安全网关进行IKE_SA_AUTH交换的示意图;
图6是图3a所示实施例中源设备和安全网关进行CREATE_CHILD_SA交换的示意图;
图7是本发明实施例一种通信设备的结构示意图;
图8是本发明实施例一种安全网关的结构示意图;
图9是本发明实施例另一种安全网关的结构示意图;
图10是本发明实施例一种数据分路传输系统结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合附图和实施例,对本发明的技术方案进行描述。
参见图2,为本发明实施例一种数据分路传输方法流程图。
该方法可以包括:
步骤201,源设备向安全网关请求IPsec隧道中至少两条逻辑隧道的私网IP地址。
在源设备与安全网关基于IKEv2的IPSec隧道协商过程中,或者在建立了源设备与安全网关之间的IPsec隧道之后,源设备可以通过与安全网关之间的交换消息或通过源设备与安全网关协商的其它新增的交互消息,向安全网关请求该IPsec隧道中逻辑隧道的私网IP地址,当然,源设备也可以向其它中间网元请求该逻辑隧道的私网IP地址,例如网管等。其中该逻辑隧道的数目至少为两个,以实现至少两组数据流的隔离,该请求中还可以携带其它信息例如所需要分配的私网IP地址的网段等信息。
步骤202,源设备获得至少两条逻辑隧道的私网IP地址及其与各目的设备间的对应关系信息。
源设备获得逻辑隧道的私网IP地址及其与各目的设备之间对应关系的方法有多种,其中,源设备所获得的逻辑隧道的私网IP地址可以是由安全网关或网管来分配并发送给源设备的。逻辑隧道的私网IP地址与各目的设备间的对应关系也可以是由源设备在请求逻辑隧道的私网IP地址时预先指定的,也可以是由安全网关或网管根据需要分配后,将该对应关系告知源设备的。
例如,可以是源设备在发起逻辑隧道私网IP地址请求时,该请求中包含了各目的设备所需要对应的逻辑隧道的私网IP地址的网段,由安全网关根据指定的网段来分配私网IP地址,则源设备在接收到分配的私网IP地址后,也即获得了逻辑隧道的私网IP地址与目的设备之间的对应关系。该对应关系可以进一步由源设备告知安全网关,当然也可以是由源设备和安全网关预先协商指定网段所对应的目的设备,在安全网关接收到源设备指定的网段并据此分配私网IP地址后,即可获得上述对应关系。
再例如,还可以是源设备在发起逻辑隧道私网IP地址的请求时,由安全网关分配私网IP地址,并建立各逻辑隧道的私网IP地址与对端目的设备之间的对应关系,然后由安全网关将逻辑隧道的私网IP地址及其与目的设备之间的对应关系发送至源设备。
再例如,还可以是源设备在发起逻辑隧道私网IP地址的请求时,由安全网关分配私网IP地址,由网管分配逻辑隧道的私网IP地址与目的设备之间的对应关系,然后由该网关将该对应关系发送至源设备和安全网关。当然还可以有其它情况,此处不再一一列举。
每条逻辑隧道之间的私网IP地址不同,进一步的,可以处于不同的网段。逻辑隧道的私网IP地址与目的设备的对应关系,例如:
逻辑隧道1——私网IP地址1——目的设备1
逻辑隧道2——私网IP地址2——目的设备2
……
该对应关系可以拆分为多个列表进行存储,其具体存储形式不作限定,只要在安全网关中包含上述对应关系即可。
步骤203,源设备根据该对应关系信息,将发送至各目的设备的数据流映射到对应的逻辑隧道中,并向安全网关传输。
源设备根据接收到的逻辑隧道的私网IP地址与各目的设备间的对应关系信息,确定各数据流对应的逻辑隧道,例如,源设备要发送至目的设备1的数据流1要发送至私网IP地址1对应的逻辑隧道1中,源设备要发送至目的设备2的数据流要发送至私网IP地址2对应的逻辑隧道2中等。
在确定好数据流对应的逻辑隧道后,源设备根据各逻辑隧道的私网IP地址将各数据流映射到对应的逻辑隧道中,例如,将数据流1映射到逻辑隧道1中,将数据流2映射到逻辑隧道2中。
该将数据流映射到对应的逻辑隧道的过程即为对发送数据进行隔离的过程,具体的映射过程可以是在数据中插入对应的逻辑隧道的私网IP地址。
在数据流映射完成后,源设备即将各数据流通过不同的逻辑隧道发送至安全网关。安全网关在接收到各逻辑隧道的数据流后,根据逻辑隧道的私网IP地址,具体的也即数据流中插入的逻辑隧道的私网IP地址即可识别各数据流,进而根据各逻辑隧道的私网IP地址与目的设备的对应关系,将识别出的数据流发送至对应的目的设备,例如将接收到携带私网IP地址1的数据流也即由逻辑隧道1传输的数据流,根据逻辑隧道1的私网IP地址与目的设备1的对应关系,将该数据流发送至目的设备1,从而完成数据由源设备到目的设备的端到端数据分路传输。至于安全网关获得逻辑隧道私网IP地址与目的设备的对应关系的过程可以如步骤202中所述。
本发明实施例通过在IPsec隧道中建立多条逻辑隧道,从而可以使源设备将发送至不同目的设备的数据流通过不同的逻辑隧道进行传输,并由安全网关进行数据的分流,最终发送至对应的目的设备,实现了数据端到端的分路安全传输,如将业务流和数据流分路传输,即保障数据安全性又保障了数据隔离,可以更好的支撑组网,而且,本方法实现了节省外部资源,如IP地址,端口等,可以更加合理的利用现有设备实现端到端的安全传输,该方法实现简单,本方案均可采用标准的协议完成。
参见图3a,为本发明实施例另一种数据分路传输方法流程图。
本实施例中端到端数据分路传输示意图如图3b所示,以在IPsec隧道中建立两条逻辑隧道为例进行说明,该方法可以包括:
步骤301,源设备和安全网关通过IKE_SA_INIT交换建立一对IKE SA。
在源设备与安全网关基于IKEv2的IPSec隧道协商过程中,如图4所示,通过IKE_SA_INIT交换和IKE_SA_AUTH交换,完成一对IKE SA和一对IPSec SA的建立,进而通过CREATE_CHILD_SA交换,完成另外一对IPSecSA的建立,通过上述协商,源设备和安全网关即可完成IPSec隧道的建立。
本发明实施例中基于上述隧道建立过程,针对IKE_SA_AUTH和CREATE_CHILD_SA两条交换进行了调整,用于创建多条IPSec逻辑隧道,在本步骤中,通过IKE_SA_INIT交换建立一对IKE SA的过程未调整,与现有技术相同,此处不再赘述。
步骤302,源设备向安全网关发送第一交换信息,该交换信息中包括获得IPsec隧道中第一条逻辑隧道的私网IP地址的请求及指定的该第一条逻辑隧道的私网IP地址所属的网段。
本步骤中可以对现有技术中的IKE_SA_AUTH交换信息进行调整作为第一交换信息,如图5所示,源设备通过该交换消息向安全网关请求IPsec隧道中第一条逻辑隧道的私网IP地址。
具体的,该交换消息中可以携带CP和TSr载荷,其中,CP载荷表示需要获取IP地址;TSr载荷:表示希望在对应的哪个网段获取地址;其余载荷根据需要携带,图5仅为示例。
步骤303,源设备向安全网关发送第二交换信息,交换信息中包括获得IPsec隧道中第二条逻辑隧道的私网IP地址的请求及指定的第二条逻辑隧道的私网IP地址所属的网段。
本步骤中可以对Informational exchange和CREATE_CHILD_SA交换信息进行调整作为第二交换信息,如图6所示,源设备通过该交换消息向安全网关请求IPsec隧道中第二条逻辑隧道的私网IP地址。
具体的,Informational exchange和CREATE_CHILD_SA交换消息中可以分别携带CP和TSr载荷,其中,CP载荷表示需要获取IP地址;TSr载荷:表示希望在对应的哪个网段获取地址;其余载荷根据需要携带,图6仅为示例。
其中,源设备所指定的各逻辑隧道的私网IP地址属于不同网段,而不同的网段即对应不同的逻辑隧道和不同的目的设备,例如源设备指定的第一网段的私网IP地址是对应目的设备1的,指定的第二网段的私网IP地址是对应目的设备2的。本实施例中,该指定网段与目的设备的对应关系可以是预先由源设备与安全网关协商好的;在其它实施例中,也可以是在后续安全网关根据指定网段分配私网IP地址,源设备获得私网IP地址后,由其将逻辑隧道的私网IP与目的设备的对应关系告知安全网关。
步骤304,安全网关接收到源设备的交换消息后,为IPsec隧道中的逻辑隧道分别分配私网IP地址,并建立各逻辑隧道的私网IP地址与各目的设备间的对应关系信息。
安全网关根据IKE_SA_AUTH交换信息中指定的第一条逻辑隧道的私网IP地址所属的网段,也即根据IKE_SA_AUTH交换信息中的TSr载荷,为第一条逻辑隧道分配私网IP地址,并根据预先由源设备与安全网关协商好的指定网段与目的设备的对应关系,建立第一条逻辑隧道的私网IP地址与第一目的设备的对应关系信息;
安全网关根据Informational exchange和CREATE_CHILD_SA交换信息中指定的第二条逻辑隧道的私网IP地址所属的网段,也即根据交换信息中的TSr载荷,为第二条逻辑隧道分配私网IP地址,并根据预先由源设备与安全网关协商好的指定网段与目的设备的对应关系,建立第二条逻辑隧道的私网IP地址与第二目的设备的对应关系信息。
安全网关可以在接收到步骤302的请求后即为第一条逻辑隧道分配私网IP地址,在接收到步骤303的请求后再为第二条逻辑隧道分配私网IP地址,也还可以在接收到所有的请求后,统一为各逻辑隧道分配私网IP地址,并建立逻辑隧道的私网IP地址与目的设备的对应关系信息。
通过上述过程,源设备和安全网关即可完成两条逻辑隧道的建立,之后源设备便可以将数据映射到不同的逻辑隧道上进行端到端的安全传输了。
在其它实施例中,如果需要建立第三条乃至更多条的逻辑隧道时,可以重复上述建立第二条逻辑隧道的过程即可,也即步骤303,安全网关重复分配私网IP地址。
步骤305,源设备根据各逻辑隧道的私网IP地址及其与各目的设备间的对应关系信息,将发送至各目的设备的数据流映射到对应的逻辑隧道中,并向安全网关传输。
源设备在接收到安全网关发送的两条逻辑隧道的私网IP地址,并进一步根据预先指定的网段,获知逻辑隧道的私网IP地址与目的设备的对应关系后,将发送至不同目的设备的数据映射到对应的逻辑隧道中,该映射过程与前述实施例中的步骤203类似,此处不再赘述。
步骤306,安全网关接收源设备通过不同逻辑隧道发送的数据流。
步骤307,安全网关根据数据中的逻辑隧道的私网IP地址识别接收到的数据流,并根据两条逻辑隧道的私网IP地址与各目的设备间的对应关系信息将识别出的数据流发送至对应的目的设备。
本发明实施例通过在IPsec隧道中建立多条逻辑隧道,从而可以使源设备将发送至不同目的设备的数据流通过不同的逻辑隧道进行传输,并由安全网关进行数据的分流,最终发送至对应的目的设备,实现了数据端到端的分路安全传输,如将业务流和数据流分路传输,即保障数据安全性又保障了数据隔离,可以更好的支撑组网,而且,本方法实现了节省外部资源,如IP地址,端口等,可以更加合理的利用现有设备实现端到端的安全传输,该方法实现简单,本方案均可采用标准的协议完成。
以上是对本发明方法实施例的描述,下面对实现上述方法的装置和系统进行介绍。
参见图7所示,为本发明实施例一种通信设备的结构示意图。
该通信设备可以包括:
地址请求单元701,用于请求IPsec隧道中至少两条逻辑隧道的私网IP地址。
地址接收单元702,用于获得所述至少两条逻辑隧道的私网IP地址及其与各目的设备间的对应关系信息。
数据隔离单元703,用于根据所述对应关系信息,将发送至所述各目的设备的数据流映射到对应的逻辑隧道中,并向安全网关传输,以使所述安全网关将接收到的数据流发送至对应的目的设备。
在该通信设备与安全网关基于IKEv2的IPSec隧道协商过程中,或者在建立了源设备与安全网关之间的IPsec隧道之后,该通信设备的地址请求单元701可以通过与安全网关之间的交换消息或通过源设备与安全网关协商的其它新增的交互消息等方式,向安全网关请求该IPsec隧道中逻辑隧道的私网IP地址,其中该逻辑隧道的数目至少为两个,以实现至少两组数据流的隔离,地址接收单元702获得至少两条逻辑隧道的私网IP地址及其与各目的设备间的对应关系信息,获得逻辑隧道的私网IP地址及其与各目的设备之间对应关系的方法有多种,其中,所获得的逻辑隧道的私网IP地址可以是由安全网关或网管来分配并发送给该地址接收单元702的,逻辑隧道的私网IP地址与各目的设备间的对应关系也可以是由地址请求单元701在请求逻辑隧道的私网IP地址时预先指定的,也可以是由安全网关或网管根据需要分配后,将该对应关系告知地址接收单元702的。数据隔离单元703确定各数据流对应的逻辑隧道,在确定好数据流对应的逻辑隧道后,根据各逻辑隧道的私网IP地址将各数据流映射到对应的逻辑隧道中,该将数据流映射到对应的逻辑隧道的过程即为对发送数据进行隔离的过程,在数据流映射完成后,即将各数据流通过不同的逻辑隧道发送至安全网关。安全网关在接收到各逻辑隧道的数据流后,根据逻辑隧道的私网IP地址即可识别各数据流,进而根据各逻辑隧道的私网IP地址与目的设备的对应关系,将识别出的数据流发送至对应的目的设备。
本发明实施例中的通信设备通过上述单元实现了数据端到端的分路安全传输,如将业务流和数据流分路传输,即保障数据安全性又保障了数据隔离,可以更好的支撑组网,而且,本方法实现了节省外部资源,如IP地址,端口等,可以更加合理的利用现有设备实现端到端的安全传输,该方法实现简单,本方案均可采用标准的协议完成。
在本发明的另一实施例中,该通信设备中的地址请求单元还可以进一步包括:第一请求子单元,用于当所述逻辑隧道为两条时,通过第一交换信息如IKE_SA_AUTH交换信息向所述安全网关请求获得第一条逻辑隧道的私网IP地址。
第二请求子单元,用于当所述逻辑隧道为两条时,通过第二交换信息如Informational exchange和CREATE_CHILD_SA交换信息向所述安全网关请求获得第二条逻辑隧道的私网IP地址。第一交换信息与第二交换信息中包含所请求私网IP地址的指定网段,各逻辑隧道的私网IP地址属于不同网段。
参见图8,为本发明实施例一种安全网关的结构示意图。
该安全网关可以包括:
请求接收单元801,用于接收源设备对IPsec隧道中至少两条逻辑隧道的私网IP地址的请求;
地址分配单元802,用于为所述IPsec隧道中至少两条逻辑隧道分别分配私网IP地址,并向所述源设备反馈所述至少两条逻辑隧道的私网IP地址;
数据接收单元803,用于接收源设备通过不同逻辑隧道发送的数据流;
数据分流单元804,用于根据所述至少两条逻辑隧道的私网IP地址识别接收到的数据流,并根据至少两条逻辑隧道的私网IP地址与各目的设备间的对应关系信息将识别出的数据流发送至对应的目的设备。
请求接收单元801在接收到源设备对IPsec隧道中至少两条逻辑隧道的私网IP地址的请求后,由地址分配单元802为逻辑隧道分别分配私网IP地址,并将上述信息反馈至源设备,源设备根据上述信息将不同数据流映射到各自的逻辑隧道后传输至安全网关,由数据接收单元803接收数据流,并由数据分流单元804对数据流进行识别,并分流至对应的目的设备中。
本发明实施例中的安全网关通过上述单元实现了数据端到端的分路安全传输,如将业务流和数据流分路传输,即保障数据安全性又保障了数据隔离,可以更好的支撑组网,而且,本方法实现了节省外部资源,如IP地址,端口等,可以更加合理的利用现有设备实现端到端的安全传输,该方法实现简单,本方案均可采用标准的协议完成。
参见图9,为本发明实施例另一种安全网关的结构示意图。
该安全网关也可以包括请求接收单元901,地址分配单元902,数据接收单元903和数据分流单元904。
其中,请求接收单元901可以进一步包括:
第一接收子单元9011,用于当所述逻辑隧道为两条时,接收所述源设备发送的用以请求获得第一条逻辑隧道的私网IP地址的第一交换信息如IKE_SA_AUTH交换信息;
第二接收子单元9012,用于当所述逻辑隧道为两条时,接收所述源设备发送的用以请求获得第二条逻辑隧道的私网IP地址的第二交换信息如Informational exchange和CREATE_CHILD_SA交换信息。其中,第一交换信息与第二交换信息中包含所请求私网IP地址的指定网段。各逻辑隧道的私网IP地址属于不同网段。
地址分配单元902,具体用于根据第一交换信息与第二交换信息中包含的所请求私网IP地址的指定网段,为IPsec隧道中的两条逻辑隧道分别分配私网IP地址。
数据接收单元903和数据分流单元904分别与前述实施例中的数据接收单元803和数据分流单元804类似,此处不再赘述。
本发明实施例中的安全网关通过上述单元实现了数据端到端的分路安全传输,如将业务流和数据流分路传输,即保障数据安全性又保障了数据隔离,可以更好的支撑组网,而且,本方法实现了节省外部资源,如IP地址,端口等,可以更加合理的利用现有设备实现端到端的安全传输,该方法实现简单,本方案均可采用标准的协议完成。
参见图10,为本发明实施例一种数据分路传输系统结构示意图。
该系统可以包括源设备1001,安全网关1002和至少两个目的设备1003。
其中,源设备1001,用于向安全网关1002请求至少两条逻辑隧道的私网IP地址;获得所述至少两条逻辑隧道的私网IP地址及其与各目的设备1003间的对应关系信息;根据所述对应关系信息,将发送至所述各目的设备1003的数据流映射到对应的逻辑隧道中,并向所述安全网关1002传输,以使所述安全网关1002将接收到的数据流发送至对应的目的设备1003。
该系统实现了数据端到端的分路安全传输,如将业务流和数据流分路传输,即保障数据安全性又保障了数据隔离,可以更好的支撑组网,而且,本方法实现了节省外部资源,如IP地址,端口等,可以更加合理的利用现有设备实现端到端的安全传输,该方法实现简单,本方案均可采用标准的协议完成。
以上所述的本发明实施方式,并不构成对本发明保护范围的限定。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明的权利要求保护范围之内。
Claims (15)
1.一种数据分路传输方法,其特征在于,包括:
源设备向安全网关请求因特网协议安全IPsec隧道中至少两条逻辑隧道的私网IP地址;其中,所述IPsec隧道建立于所述源设备与所述安全网关之间;
所述源设备获得所述至少两条逻辑隧道的私网IP地址及其与各目的设备间的对应关系信息;
所述源设备根据所述对应关系信息,将发送至所述各目的设备的数据流映射到对应的逻辑隧道中,并通过所述对应的逻辑隧道向所述安全网关传输所述数据流,以使所述安全网关将接收到的数据流发送至对应的目的设备;其中,发送至不同目的设备的数据流通过不同的逻辑隧道进行传输。
2.根据权利要求1所述的方法,其特征在于,当所述逻辑隧道为两条时,所述源设备向安全网关请求IPsec隧道中至少两条逻辑隧道的私网IP地址,包括:
所述源设备通过第一交换信息向所述安全网关请求获得第一条逻辑隧道的私网IP地址;
所述源设备通过第二交换信息向所述安全网关请求第二条逻辑隧道的私网IP地址。
3.根据权利要求2所述的方法,其特征在于,所述第一交换信息与所述第二交换信息中包含所请求私网IP地址的指定网段。
4.根据权利要求3所述的方法,其特征在于,所述各逻辑隧道的私网IP地址属于不同网段。
5.一种数据分路传输方法,其特征在于,包括:
安全网关接收源设备对IPsec隧道中至少两条逻辑隧道的私网IP地址的请求;其中,所述IPsec隧道建立于所述源设备与所述安全网关之间;
所述安全网关为所述IPsec隧道中至少两条逻辑隧道分别分配私网IP地址,并向所述源设备反馈所述至少两条逻辑隧道的私网IP地址;
所述安全网关接收所述源设备通过不同逻辑隧道发送的数据流;
所述安全网关根据所述至少两条逻辑隧道的私网IP地址识别接收到的数据流,并根据至少两条逻辑隧道的私网IP地址与各目的设备间的对应关系信息将识别出的数据流发送至对应的目的设备。
6.根据权利要求5所述的方法,其特征在于,当所述逻辑隧道为两条时,所述安全网关接收源设备对所述IPsec隧道中至少两条逻辑隧道的私网IP地址的请求,包括:
所述安全网关接收所述源设备发送的用以请求获得第一条逻辑隧道的私网IP地址的第一交换信息;
所述安全网关接收所述源设备发送的用以请求获得第二条逻辑隧道的私网IP地址的第二交换信息。
7.根据权利要求6所述的方法,其特征在于,所述第一交换信息与所述第二交换信息中包含所请求私网IP地址的指定网段。
8.根据权利要求7所述的方法,其特征在于,所述安全网关为所述IPsec隧道中至少两条逻辑隧道分别分配私网IP地址,具体为:
所述安全网关根据所述第一交换信息与所述第二交换信息中包含的所请求私网IP地址的指定网段,为所述IPsec隧道中的两条逻辑隧道分别分配私网IP地址。
9.一种通信设备,其特征在于,包括:
地址请求单元,用于向安全网关请求IPsec隧道中至少两条逻辑隧道的私网IP地址;其中,所述IPsec隧道建立于所述通信设备与所述安全网关之间;
地址接收单元,用于获得所述至少两条逻辑隧道的私网IP地址及其与各目的设备间的对应关系信息;
数据隔离单元,用于根据所述对应关系信息,将发送至所述各目的设备的数据流映射到对应的逻辑隧道中,并通过所述对应的逻辑隧道向安全网关传输所述数据流,以使所述安全网关将接收到的数据流发送至对应的目的设备;其中,发送至不同目的设备的数据流通过不同的逻辑隧道进行传输。
10.根据权利要求9所述的通信设备,其特征在于,所述地址请求单元包括:
第一请求子单元,用于当所述逻辑隧道为两条时,通过第一交换信息向所述安全网关请求获得第一条逻辑隧道的私网IP地址;
第二请求子单元,用于当所述逻辑隧道为两条时,通过第二交换信息向所述安全网关请求第二条逻辑隧道的私网IP地址。
11.一种安全网关,其特征在于,包括:
请求接收单元,用于接收源设备对IPsec隧道中至少两条逻辑隧道的私网IP地址的请求;其中,所述IPsec隧道建立于所述源设备与所述安全网关之间;
地址分配单元,用于为所述IPsec隧道中至少两条逻辑隧道分别分配私网IP地址,并向所述源设备反馈所述至少两条逻辑隧道的私网IP地址;
数据接收单元,用于接收所述源设备通过不同逻辑隧道发送的数据流;
数据分流单元,用于根据所述至少两条逻辑隧道的私网IP地址识别接收到的数据流,并根据至少两条逻辑隧道的私网IP地址与各目的设备间的对应关系信息将识别出的数据流发送至对应的目的设备。
12.根据权利要求11所述的安全网关,其特征在于,所述请求接收单元包括:
第一接收子单元,用于当所述逻辑隧道为两条时,接收所述源设备发送的用以请求获得第一条逻辑隧道的私网IP地址的第一交换信息;
第二接收子单元,用于当所述逻辑隧道为两条时,接收所述源设备发送的用以请求获得第二条逻辑隧道的私网IP地址的第二交换信息。
13.根据权利要求12所述的安全网关,其特征在于,所述第一交换信息与所述第二交换信息中包含所请求私网IP地址的指定网段。
14.根据权利要求13所述的安全网关,其特征在于,
所述地址分配单元,具体用于根据所述第一交换信息与所述第二交换信息中包含的所请求私网IP地址的指定网段,为所述IPsec隧道中的两条逻辑隧道分别分配私网IP地址。
15.一种数据分路传输系统,其特征在于,包括源设备、安全网关和至少两个目的设备,其中,
所述源设备,用于向所述安全网关请求IPsec隧道中至少两条逻辑隧道的私网IP地址;其中,所述IPsec隧道建立于所述源设备与所述安全网关之间;获得所述至少两条逻辑隧道的私网IP地址及其与各目的设备间的对应关系信息;根据所述对应关系信息,将发送至所述各目的设备的数据流映射到对应的逻辑隧道中,并通过所述对应的逻辑隧道向所述安全网关传输所述数据流,以使所述安全网关将接收到的数据流发送至对应的目的设备;其中,发送至不同目的设备的数据流通过不同的逻辑隧道进行传输。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2011/079809 WO2012149745A1 (zh) | 2011-09-19 | 2011-09-19 | 一种数据分路传输方法及装置、系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102742247A CN102742247A (zh) | 2012-10-17 |
| CN102742247B true CN102742247B (zh) | 2015-09-09 |
Family
ID=46995195
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201180001855.0A Active CN102742247B (zh) | 2011-09-19 | 2011-09-19 | 一种数据分路传输方法及装置、系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN102742247B (zh) |
| WO (1) | WO2012149745A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104601550B (zh) * | 2014-12-24 | 2020-08-11 | 国家电网公司 | 基于集群阵列的反向隔离文件传输系统及其方法 |
| CN109218157B (zh) * | 2017-07-04 | 2020-10-09 | 大唐移动通信设备有限公司 | 一种虚拟专用网络系统的数据处理方法、装置和系统 |
| CN107204994B (zh) * | 2017-07-24 | 2019-09-17 | 杭州迪普科技股份有限公司 | 一种基于IKEv2确定保护网段的方法和装置 |
| CN116074038B (zh) * | 2022-11-29 | 2023-08-22 | 杭州海兴电力科技股份有限公司 | 一种用于IPv6数据安全传输的网关系统及方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101136778A (zh) * | 2006-08-02 | 2008-03-05 | 美国凹凸微系有限公司 | 防火墙/vpn安全网关设备的基于vpn配置的策略 |
| WO2010043254A1 (en) * | 2008-10-15 | 2010-04-22 | Telefonaktiebolaget Lm Ericsson (Publ) | Secure access in a communication network |
| CN101998442A (zh) * | 2009-08-10 | 2011-03-30 | 北京三星通信技术研究有限公司 | 一种远程接入方法和系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101188542A (zh) * | 2006-11-17 | 2008-05-28 | 华为技术有限公司 | 建立ip隧道的方法及系统及分发ip地址的装置 |
| CN101364910B (zh) * | 2007-08-09 | 2011-07-13 | 中兴通讯股份有限公司 | 一种自组织网络的系统和方法 |
-
2011
- 2011-09-19 WO PCT/CN2011/079809 patent/WO2012149745A1/zh active Application Filing
- 2011-09-19 CN CN201180001855.0A patent/CN102742247B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101136778A (zh) * | 2006-08-02 | 2008-03-05 | 美国凹凸微系有限公司 | 防火墙/vpn安全网关设备的基于vpn配置的策略 |
| WO2010043254A1 (en) * | 2008-10-15 | 2010-04-22 | Telefonaktiebolaget Lm Ericsson (Publ) | Secure access in a communication network |
| CN101998442A (zh) * | 2009-08-10 | 2011-03-30 | 北京三星通信技术研究有限公司 | 一种远程接入方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102742247A (zh) | 2012-10-17 |
| WO2012149745A1 (zh) | 2012-11-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101299671B (zh) | 用于组播数据包发送与接收的方法和装置 | |
| CN114402574A (zh) | 用于提供多租户软件定义的广域网(sd-wan)节点的方法、系统和计算机可读介质 | |
| CN104660603A (zh) | IPSec VPN中扩展使用量子密钥的方法及系统 | |
| CN101515896B (zh) | 安全套接字层协议报文转发方法、装置、系统及交换机 | |
| CN104023022B (zh) | 一种IPSec SA的获取方法和装置 | |
| CN103546497A (zh) | 一种分布式防火墙IPSec业务负载分担的方法及装置 | |
| CN102761494B (zh) | 一种ike协商处理方法及装置 | |
| CN104780069A (zh) | 一种面向sdn网络的控制层与数据层通信通道自配置方法及其系统 | |
| CN101001264B (zh) | L1vpn地址分配的方法、装置、网络边沿设备和编址服务器 | |
| CN102742247B (zh) | 一种数据分路传输方法及装置、系统 | |
| CN103716213A (zh) | 在固定接入网中和在用户设备中运行的方法 | |
| JP2016051921A (ja) | 通信システム | |
| CN113726795B (zh) | 报文转发方法、装置、电子设备及可读存储介质 | |
| CN102970293A (zh) | 一种设备间安全联盟同步方法及装置 | |
| CN110830351B (zh) | 基于SaaS服务模式的租户管理及服务提供方法、装置 | |
| CN106535089A (zh) | 机器对机器虚拟私有网络 | |
| CN111064738A (zh) | 一种tls安全通信的方法及系统 | |
| CN103023785A (zh) | 媒体访问控制mac地址获取方法及装置 | |
| CN100459545C (zh) | 一种高速业务跨网通信建立方法和系统 | |
| JP2018504812A (ja) | 受動光ネットワークにおける端末装置を管理するための方法、装置、およびシステム | |
| CN106161340B (zh) | 业务分流方法和系统 | |
| CN102868615B (zh) | 一种局域网间传输报文的方法和系统 | |
| CN109547392A (zh) | 一种在sdn网络中支持多用户隔离的加密接入方法及系统 | |
| CN103401751A (zh) | 因特网安全协议隧道建立方法和装置 | |
| CN102917081A (zh) | Vpn客户端ip地址的分配方法、报文传输方法及vpn服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |