CN103188351B - IPv6环境下IPSec VPN通信业务处理方法与系统 - Google Patents
IPv6环境下IPSec VPN通信业务处理方法与系统 Download PDFInfo
- Publication number
- CN103188351B CN103188351B CN201110443234.XA CN201110443234A CN103188351B CN 103188351 B CN103188351 B CN 103188351B CN 201110443234 A CN201110443234 A CN 201110443234A CN 103188351 B CN103188351 B CN 103188351B
- Authority
- CN
- China
- Prior art keywords
- ipsecvpn
- address
- data packet
- access
- ipv6
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 28
- 238000012545 processing Methods 0.000 title claims abstract description 26
- 230000003068 static effect Effects 0.000 claims abstract description 163
- 238000001514 detection method Methods 0.000 claims description 63
- 238000004891 communication Methods 0.000 claims description 47
- 238000012795 verification Methods 0.000 claims description 5
- 230000000977 initiatory effect Effects 0.000 claims description 3
- 238000005538 encapsulation Methods 0.000 claims description 2
- 238000012544 monitoring process Methods 0.000 abstract description 15
- 238000010586 diagram Methods 0.000 description 12
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000003672 processing method Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000009466 transformation Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种IPv6环境下IPSec?VPN通信业务处理方法与系统,其中,方法包括:接入设备接收客户端发送的IPv6数据包,根据该IPv6数据包中源IPv6地址中前64位路由前缀中的静态路由标识信息,识别所述源IPv6地址是否为静态地址;若所述源IPv6地址是静态地址,接入设备根据所述前64位路由前缀中的接入类型标识,识别所述IPv6数据包是否为互联网协议安全虚拟专用网IPSecVPN数据包;若所述IPv6数据包为IPSec?VPN数据包,则对所述源IPv6地址中后64位中的认证信息进行认证;若认证不通过,则丢弃该IPSec?VPN数据包;若认证通过,则根据IPSec?VPN数据包中目的地址直接转发给统一接IPSec?VPN网关或其它目标VPN网关。本发明实施例可以实现IPv6环境下IPSec?VPN流量的监管,同时提升监控效率。
Description
技术领域
本发明涉及数据通信领域中网络安全技术,尤其是一种IPv6环境下IPSecVPN通信业务处理方法与系统。
背景技术
互联网协议安全(InternetProtocolSecurity,以下简称:IPSec)协议是一种开放标准的框架结构,特定的通信方之间在IP网络层通过加密和数据摘要(hash)等手段,来保证数据包在互联网(Internet)上传输时的私密性、完整性和真实性。IPSec协议提供两个安全协议,包括认证头(AuthenticationHeader,以下简称:AH)和封装安全净载(EncapsulationSafetyPayload,以下简称:ESP)头。其中,AH可实现数据认证、数据完整性,可以有效防止重放(Replay)攻击。ESP头可提供数据机密性、数据认证、数据完整性,实现对已封装有效载荷的重放攻击的保护。
IPSec协议支持两种封装格式,包括传输模式和隧道模式。其中,传输模式不改变原有的IP包头,通常用于主机间端对端的安全通信;隧道模式增加新的IP头,通常用于在安全网关间建立一条安全的虚拟通信隧道。现有IPSec虚拟专用网(VirtualPrivateNetwork,以下简称:VPN)通信通常通过IPSecVPN用户与目标客户VPN网关之间建立VPN隧道实现。由于IPSecVPN隧道加密传输,即使在中间网络节点能捕获IPSec流量,也无法对其内容解密从而实现监管。而目标客户VPN网关位于用户侧,运营商无法对其控制而实现监管。因此目前在互联网协议版本4(IPv4)和互联网协议版本6(IPv6)环境下对于IPSecVPN通信监管都是一个难点。
IPv6数据包由IPv6包头、扩展包头和上层协议数据单元三部分组成,如图1所示,为IPv6数据包的数据报文格式示意图。IPv6在扩展包头中实现IPSec报头。存在部分IPSecVPN通信不需监管的需求,如何识别这些通信流量并为其提供快速IPSec通道也是IPSecVPN通信监管中要解决的问题。
发明内容
本发明实施例所要解决的技术问题是:提供一种IPv6环境下IPSecVPN通信业务处理方法与系统,以实现IPv6环境下IPSecVPN流量的监管,同时提升监控效率。
本发明实施例提供的一种IPv6环境下IPSecVPN通信业务处理方法,包括:
接入设备接收客户端发送的IPv6数据包,根据该IPv6数据包中源IPv6地址中前64位路由前缀中的静态路由标识信息,识别所述源IPv6地址是否为静态地址;
若所述源IPv6地址是静态地址,接入设备根据所述前64位路由前缀中的接入类型标识,识别所述IPv6数据包是否为互联网协议安全虚拟专用网IPSecVPN数据包;若所述IPv6数据包为IPSecVPN数据包,则对所述源IPv6地址中后64位中的认证信息进行认证;若认证不通过,则丢弃该IPSecVPN数据包;若认证通过,则根据IPSecVPN数据包中目的地址直接转发给统一接入IPSecVPN网关或其它目标VPN网关;
若所述源IPv6地址如果是非静态地址,接入设备根据所述IPv6数据包的扩展包头中是否含有认证头AH或者封装安全净载ESP头,识别所述IPv6数据包是否为IPSecVPN数据包;若所述IPv6数据包为IPSecVPN数据包,则识别所述IPSecVPN数据包中的目的地址是否为统一接入IPSecVPN网关地址;若不是统一接入IPSecVPN网关地址,则丢弃所述IPSecVPN数据包;若是统一接入IPSecVPN网关地址,则将所述IPSecVPN数据包转发给统一接入IPSecVPN网关;
统一接入IPSecVPN网关接收到IPSecVPN数据包后,将所述源IPv6地址发送给认证服务器;
所述认证服务器识别所述源IPv6地址是否存在于预先存储的静态地址客户端的地址白名单中,并向所述统一接入IPSecVPN网关返回识别结果;
若所述源IPv6地址存在于预先存储的静态地址客户端的地址白名单中,统一接入IPSecVPN网关根据所述目的地址对所述IPSecVPN数据包进行转发;
若所述源IPv6地址不存在于预先存储的静态地址客户端的地址白名单中,统一接入IPSecVPN网关请求内容检测系统对所述IPSecVPN数据包内容进行安全检测,并在所述IPSecVPN数据包内容通过安全检测后,根据所述目的地址对所述IPSecVPN数据包进行转发。
本发明实施例提供的一种IPv6环境下IPSecVPN通信业务处理系统,包括客户端、接入设备、统一接入IPSecVPN网关、认证服务器与内容检测系统;其中:
客户端,用于生成并向接入设备发送IPv6数据包;
接入设备,用于接收客户端发送的IPv6数据包,根据该IPv6数据包中源IPv6地址中前64位路由前缀中的静态路由标识信息,识别所述源IPv6地址是否为静态地址;若所述源IPv6地址是静态地址,根据所述前64位路由前缀中的接入类型标识,识别所述IPv6数据包是否为IPSecVPN数据包;若所述IPv6数据包为IPSecVPN数据包,则对所述源IPv6地址中后64位中的认证信息进行认证;若认证不通过,则丢弃该IPSecVPN数据包;若认证通过,则根据IPSecVPN数据包中目的地址直接转发给统一接入IPSecVPN网关或其它目标VPN网关;
若所述源IPv6地址是非静态地址,根据所述IPv6数据包的扩展包头中是否含有AH或者ESP头,识别所述IPv6数据包是否为IPSecVPN数据包;若所述IPv6数据包为IPSecVPN数据包,则识别所述IPSecVPN数据包中的目的地址是否为统一接入IPSecVPN网关地址;若不是统一接入IPSecVPN网关地址,则丢弃所述IPSecVPN数据包;若是统一接入IPSecVPN网关地址,则将所述IPSecVPN数据包转发给统一接入IPSecVPN网关;
统一接入IPSecVPN网关,用于在接收到接入设备发送的IPSecVPN数据包后,将所述源IPv6地址发送给认证服务器;以及根据认证服务器返回的识别结果,若所述源IPv6地址存在于预先存储的静态地址客户端的地址白名单中,根据所述目的地址对所述IPSecVPN数据包进行转发;若所述源IPv6地址不存在于预先存储的静态地址客户端的地址白名单中,请求内容检测系统对所述IPSecVPN数据包内容进行安全检测,并在所述IPSecVPN数据包内容通过安全检测后,根据所述目的地址对所述IPSecVPN数据包进行转发;
认证服务器,用于识别统一接入IPSecVPN网关发送的所述源IPv6地址是否存在于预先存储的静态地址客户端的地址白名单中,并向所述统一接入IPSecVPN网关返回识别结果;
内容检测系统,用于对统一接入IPSecVPN网关发送的所述IPSecVPN数据包内容进行安全检测,并向统一接入IPSecVPN网关返回检测结果。
基于本发明上述实施例提供的IPv6环境下IPSecVPN通信业务处理方法与系统,对IPv6环境下IPSecVPN通信流程进行了一定的改造,合理规划IPv6地址,基于IPv6地址中设置的静态路由标识信息有效识别用户,通过对IPv6环境下IPSecVPN通信流量的识别和控制,实现了对IPSecVPN客户的差异化信息监管能力,防止用户绕过信息监管,从而实现IPv6环境下IPSecVPN通信流量的监管,并且提升了监控效率,为静态地址客户端用户建立快速通道。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为IPv6数据包的数据报文格式示意图。
图2为IPv6全球单播地址的一个格式示意图。
图3为本发明IPv6环境下IPSecVPN通信业务处理方法一个实施例的流程图。
图4为本发明实施例中静态IPv6地址的一个格式示意图。
图5为本发明实施例中非静态IPv6地址的一个格式示意图。
图6为本发明实施例中建立IPSec隧道一个实施例的流程图。
图7为本发明IPv6环境下IPSecVPN通信业务处理系统一个实施例的结构示意图。
图8为本发明IPv6环境下IPSecVPN通信业务处理系统的一个典型部署示例图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
IPv6地址长度扩展至128位,IPv6前缀的表示方式类似于IPv4地址中的无分类域间路由(ClasslessInter-DomainRouting,以下简称:CIDR)机制,一个IPv6地址前缀表示为:IPv6地址/前缀长度。在实际使用中,一个终端的IPv6公有地址通常都是64位前缀的,后64位是接口标识符,用于标识一个特定前缀的子网内的唯一主机。如图2所示,为IPv6全球单播地址的一个格式示意图。IPv6全球单播地址统一前缀为二进制格式:001/3(即:格式前缀/前缀长度)。当前IPv6全球单播地址包含以下三个字段:全球路由前缀是分配给一个站点的,一般具有一定的层次结构;子网标识(ID)是此站点内的一个子网标识符;接口ID是子网内的接口标识符,用于标识子网内的唯一的网络接口。RFC4291协议规定,除了以000开头的,例如内嵌IPv4地址的IPv6地址外,所有的IPv6全球单播地址接口ID必须是64位,并且是修正的EUI-64的格式。
本发明实施例,对现网IPSecVPN隧道建立流程进行一定改造,有效控制IPSecVPN流量流经采用可控算法的统一接入IPSecVPN网关,并通过对IPv6地址的合理规划,利用地址内置的静态路由标识信息有效识别静态地址用户和验证IPSecVPN流量,实现IPv6环境下对于IPSecVPN通信的安全监管,同时将在实现IPv6环境下IPSecVPN流量监管的同时提升监控效率,从而解决目前对于隧道模式下IPSecVPN加密通信无法监管的难题,同时提高安全监管效率,为特定用户建立快速通道。
图3为本发明IPv6环境下IPSecVPN通信业务处理方法一个实施例的流程图。如图3所示,该实施例的IPv6环境下IPSecVPN通信业务处理方法包括:
101,接入设备接收客户端发送的IPv6数据包,根据该IPv6数据包中源IPv6地址中前64位路由前缀中的静态路由标识信息,识别源IPv6地址是否为静态地址。若源IPv6地址是静态地址,执行102的操作。否则,若源IPv6地址如果是非静态地址,执行106的操作。
102,接入设备根据前64位路由前缀中的接入类型标识,识别IPv6数据包是否为互联网协议安全虚拟专用网IPSecVPN数据包。若IPv6数据包为IPSecVPN数据包,则执行103的操作。否则,若该IPv6数据包不是IPSecVPN数据包,执行114的操作。
103,接入设备对源IPv6地址中后64位中的认证信息进行认证。若认证不通过,则执行104的操作。否则,若认证通过,执行105的操作。
104,接入设备丢弃该IPSecVPN数据包。之后,不执行本发明实施例的后续流程。
105,接入设备根据该IPSecVPN数据包中目的地址直接转发给统一接入IPSecVPN网关或其它目标VPN网关。若转发给统一接入IPSecVPN网关,执行109的操作。
106,接入设备根据IPv6数据包的扩展包头中是否含有认证头AH或者封装安全净载ESP头,识别IPv6数据包是否为IPSecVPN数据包。若IPv6数据包为IPSecVPN数据包,则执行107的操作。否则,若该IPv6数据包不是IPSecVPN数据包,执行114的操作。
107,接入设备识别IPSecVPN数据包中的目的地址是否为统一接入IPSecVPN网关地址。若不是统一接入IPSecVPN网关地址,则执行104的操作。否则,若是统一接入IPSecVPN网关地址,则执行108的操作。
108,接入网关将IPSecVPN数据包转发给统一接入IPSecVPN网关。
109,统一接入IPSecVPN网关接收到IPSecVPN数据包后,将源IPv6地址发送给认证服务器。
110,认证服务器识别源IPv6地址是否存在于预先存储的静态地址客户端的地址白名单中,并向统一接入IPSecVPN网关返回识别结果。
111,统一接入IPSecVPN网关根据认证服务器返回的识别结果,识别源IPv6地址是否存在于预先存储的静态地址客户端的地址白名单中。若源IPv6地址存在于预先存储的静态地址客户端的地址白名单中,执行112的操作。否则,若源IPv6地址不存在于预先存储的静态地址客户端的地址白名单中,执行113的操作。
112,统一接入IPSecVPN网关根据目的地址对IPSecVPN数据包进行转发。
113,统一接入IPSecVPN网关请求内容检测系统对IPSecVPN数据包内容进行安全检测,并在IPSecVPN数据包内容通过安全检测后,根据目的地址对IPSecVPN数据包进行转发。之后,不执行本发明实施例的后续流程。
114,接入设备根据IPv6数据包中的目的地址,直接对该IPv6数据包进行转发。
本发明上述实施例提供的IPv6环境下IPSecVPN通信业务处理方法,对IPv6环境下IPSecVPN通信流程进行了一定的改造,合理规划IPv6地址,基于IPv6地址中设置的静态路由标识信息有效识别用户,通过对IPv6环境下IPSecVPN通信流量的识别和控制,实现了对IPSecVPN客户的差异化信息监管能力,防止用户绕过信息监管,从而实现IPv6环境下IPSecVPN通信流量的监管,并且提升了监控效率,为静态地址客户端用户建立快速通道。
作为本发明的一个具体实施例,图3所示实施例的步骤112中,统一接入IPSecVPN网关请求内容检测系统对IPSecVPN数据包内容进行安全检测具体可以通过如下方式实现:
统一接入IPSecVPN网关根据扩展包头中包括AH或者ESP头,识别IPSecVPN数据包为AH还是ESP封装;
若IPSecVPN数据包为AH封装,统一接入IPSecVPN网关对IPSecVPN数据包解封装后发送给内容检测系统,由内容检测系统对IPSecVPN数据包内容进行安全检测;
若IPSecVPN数据包为ESP封装,统一接入IPSecVPN网关对IPSecVPN数据包进行解封装,并利用在隧道建立阶段与客户端协商的密钥对IPSecVPN数据包中的数据进行解密,将解密得到的内容数据发送给内容检测系统,由内容检测系统对IPSecVPN数据包内容进行安全检测。
本发明实施例还提供了一种IPv6地址规划设计的方法,通过合理的设计,在IPv6地址中能够插入一定的标识信息。图4为本发明实施例中静态IPv6地址的一个格式示意图。图5为本发明实施例中非静态IPv6地址的一个格式示意图。参见图4与图5,在IPv6地址中前64位路由前缀中包括服务质量(QoS)等级信息,特定QoS等级信息为静态路由标识信息,特定QoS等级信息以外的其它QoS等级信息为非静态路由标识信息。例如,预先设置QoS等级为1的IPv6地址为静态IPv6地址,则QoS等级为1以外其它的QoS等级的IPv6地址为非静态IPv6地址。示例性地,可以设定QoS等级信息位于所述前64位路由前缀中的最后3位。另外,可以设定接入类型标识位于前64位路由前缀中最后7位中的前4位,认证信息位于后64位路由前缀中的最后16位。
参见图4,在IPv6地址前64位路由前缀中用4bit表示接入类型,标识出固网接入、移动网络接入、公共无线局域网(WirelessLocalAreaNetwork,以下简称:WLAN)接入、公共VPN接入、IPSecVPN接入等接入类型。用3bit表示QoS等级信息,区分用户的QoS等级,将静态地址赋予某一特定QoS等级接入。
在IPv6地址的后64位中用16bit表示认证信息,该认证信息为地址前112位地址的哈希值,认证信息的生成函数如下所示:
认证信息=Sec(Hash(IPv6地址前112位),Kpri)
其中,Kpri为客户端的私钥,通过hash函数计算IPv6地址前112位的哈希值,并对此哈希值用客户端的私钥进行加密,得到16位的认证信息,构成IPv6地址的后16位。
对认证信息进行认证的函数如下所示:
Sec(Hash(IPv6地址前112位),Kpub)=?认证信息
其中,Kpub为客户端的公钥,接入设备拥有客户端的公钥,其对接收到的静态地址的IPSecVPN流量,计算地址的前112位的哈希值,并用客户端的公钥解密,同时读取地址中的认证信息,将之与解密后的信息进行比对。如果比对成功,则认证通过;如两个值不一致,则认证不通过。
通过对IPv6地址中认证信息的认证,可有效保证地址的完整性和不可抵赖性,从而防止用户假冒静态地址绕过信息监管。
参见图5,其中在IPv6地址前64位路由前缀中用4bit表示接入类型,标识出固网接入、移动网络接入、公共WLAN接入、公共VPN接入、IPSecVPN接入等接入类型。用3bit表示QoS等级信息,区分用户的QoS等级,除静态地址的QoS等级之外的均视为非静态地址。
图6为本发明实施例中建立IPSec隧道一个实施例的流程图。在图3所示实施例的流程之前,先建立IPSec隧道,其包括:
201,客户端向接入设备发起接入请求数据包。
202,接入设备接收到接入请求数据包后,根据该接入请求数据包中源IPv6地址中前64位路由前缀中的静态路由标识信息,识别接入请求数据包中源IPv6地址是否为静态地址。若为静态地址,执行203的操作。否则,若为非静态地址,执行210的操作。
203,接入设备根据接入请求数据包中源IPv6地址中前64位路由前缀中的接入类型标识,识别接入请求是否为IPSecVPN接入请求。若不是IPSecVPN接入,则执行204的操作。若为IPSecVPN接入请求,执行205的操作。
204,接入设备根据该接入请求数据包中目的地址直接转发接入请求数据包。之后,不执行本发明实施例的后续流程。
205,接入设备对接入请求数据包中源IPv6地址中后64位中的认证信息进行认证。若认证不通过,则执行206的操作。若认证通过,执行207的操作。
206,接入设备丢弃该IPSecVPN接入请求数据包。之后,不执行本发明实施例的后续流程。
207,接入设备识别接入请求数据包中目的地址是否为统一接入IPSecVPN网关地址。若接入请求数据包中目的地址为统一接入IPSecVPN网关地址,则执行208的操作。若接入请求数据包中目的地址为其它目标VPN网关地址,执行209的操作。
208,接入设备与统一接入IPSecVPN网关建立IPSec隧道,由统一接入IPSecVPN网关进一步与目标VPN网关建立IPSec隧道。之后,不执行本发明实施例的后续流程。
209,接入设备直接与该其它目标VPN网关建立IPSec隧道。之后,不执行本发明实施例的后续流程。
210,接入设备根据接入请求数据包的扩展包头中是否含有AH或者ESP头,识别接入是否为IPSecVPN接入请求。若不是IPSecVPN接入,则执行204的操作。若为IPSecVPN接入请求,执行211的操作。
211,接入设备识别接入请求数据包中目的地址是否为统一接入IPSecVPN网关地址。若不是统一接入IPSecVPN网关地址,则执行206的操作。若为统一接入IPSecVPN网关地址,则执行208的操作。
作为本发明的另一个具体实施例,本发明上述实施例的客户端为非静态地址客户端时,在201中客户端向接入设备发起接入请求数据包之前,还可以包括:
非静态地址客户端向接入设备发起网络接入请求,该网络接入请求中包括该非静态地址客户端的接入认证信息,例如:用户名、密码;
接入设备将接入认证信息转发给认证服务器进行认证;
如认证通过,接入设备构造IPv6地址的前64位路由前缀并发送给非静态地址客户端,构造的IPv6地址前64位路由前缀中设置有非静态路由标识信息;
非静态地址客户端将接入设备发送的IPv6地址前64位路由前缀和自己的接口标识ID结合配置成为其源IPv6地址。
图7为本发明IPv6环境下IPSecVPN通信业务处理系统一个实施例的结构示意图。该实施例IPv6环境下IPSecVPN通信业务处理系统可用于实现本发明上述各IPv6环境下IPSecVPN通信业务处理方法实施例流程。如图7所示,其包括客户端、接入设备、统一接入IPSecVPN网关、认证服务器与内容检测系统。其中:
客户端,用于生成并向接入设备发送IPv6数据包。客户端通常为需进行IPSecVPN接入的用户设备,支持IPv6协议。
接入设备,用于接收客户端发送的IPv6数据包,根据该IPv6数据包中源IPv6地址中前64位路由前缀中的静态路由标识信息,识别源IPv6地址是否为静态地址;若源IPv6地址是静态地址,根据前64位路由前缀中的接入类型标识,识别该IPv6数据包是否为IPSecVPN数据包;若该IPv6数据包为IPSecVPN数据包,则对源IPv6地址中后64位中的认证信息进行认证;若认证不通过,则丢弃该IPSecVPN数据包;若认证通过,则根据IPSecVPN数据包中目的地址直接转发给统一接入IPSecVPN网关或其它目标VPN网关。若源IPv6地址是非静态地址,根据该IPv6数据包的扩展包头中是否含有AH或者ESP头,识别IPv6数据包是否为IPSecVPN数据包;若IPv6数据包为IPSecVPN数据包,则识别IPSecVPN数据包中的目的地址是否为统一接入IPSecVPN网关地址;若不是统一接入IPSecVPN网关地址,则丢弃该IPSecVPN数据包;若是统一接入IPSecVPN网关地址,则将该IPSecVPN数据包转发给统一接入IPSecVPN网关。该接入设备通常为负责客户端接入的设备,如接入路由器、宽带接入服务器(BroadbandRemoteAccessServer,以下简称:BRAS)等。
接入设备能区分静态地址客户端和非静态地址客户端发出的IPSecVPN流量。对于静态地址客户端的IPSecVPN流量,接入设备能对IPv6地址后64位中的认证信息进行验证,防止非法用户绕过信息监管,并对认证通过的流量进行转发。对于非静态地址客户端的IPSecVPN流量,接入设备负责将用户认证信息发送给认证服务器进行验证,并为客户端分配IPv6地址,同时根据其目的地址严格控制IPSecVPN流量经过统一IPSecVPN接入设备接受监管。
统一接入IPSecVPN网关,用于在接收到接入设备发送的IPSecVPN数据包后,将源IPv6地址发送给认证服务器;以及根据认证服务器返回的识别结果,若源IPv6地址存在于预先存储的静态地址客户端的地址白名单中,根据目的地址对该IPSecVPN数据包进行转发;若源IPv6地址不存在于预先存储的静态地址客户端的地址白名单中,请求内容检测系统对IPSecVPN数据包内容进行安全检测,并在该IPSecVPN数据包内容通过安全检测后,根据目的地址对该IPSecVPN数据包进行转发。该统一接入IPSecVPN网关通常为IPv6IPSecVPN网关。
认证服务器,用于识别统一接入IPSecVPN网关发送的源IPv6地址是否存在于预先存储的静态地址客户端的地址白名单中,并向统一接入IPSecVPN网关返回识别结果。该认证服务器通常为验证用户接入的设备,能够对客户端认证信息进行验证并给予访问授权,同时能识别白名单用户,授权其建立快速IPSecVPN通道。
内容检测系统,用于对统一接入IPSecVPN网关发送的IPSecVPN数据包内容进行安全检测,检查其中是否有不良信息和非法信息,并向统一接入IPSecVPN网关返回检测结果。
目标VPN网关通常位于客户端发起IPSecVPN通信的对端网络,终结IPSecVPN流量,从而建立完整的IPSecVPN通信通道。
本发明上述实施例提供的IPv6环境下IPSecVPN通信业务处理系统,对IPv6环境下IPSecVPN通信流程进行了一定的改造,合理规划IPv6地址,基于IPv6地址中设置的静态路由标识信息有效识别用户,通过对IPv6环境下IPSecVPN通信流量的识别和控制,实现了对IPSecVPN客户的差异化信息监管能力,防止用户绕过信息监管,从而实现IPv6环境下IPSecVPN通信流量的监管,并且提升了监控效率,为静态地址客户端用户建立快速通道。
根据本发明的一个具体示例而非限制,在图7所示的实施例中,统一接入IPSecVPN网关请求内容检测系统对IPSecVPN数据包内容进行安全检测时,具体可以根据扩展包头中包括AH或者ESP头,识别IPSecVPN数据包为AH还是ESP封装;若IPSecVPN数据包为AH封装,对IPSecVPN数据包解封装后发送给内容检测系统;若IPSecVPN数据包为ESP封装,对IPSecVPN数据包进行解封装,并利用在隧道建立阶段与客户端协商的密钥对IPSecVPN数据包中的数据进行解密,将解密得到的内容数据发送给内容检测系统。相应地,内容检测系统,具体对统一接入IPSecVPN网关发送的IPSecVPN数据包内容进行安全检测。
另外,示例性地,接入设备还可用于在IPv6数据包不是IPSecVPN数据包时,根据IPv6数据包中的目的地址,直接对IPv6数据包进行转发。
根据本发明的一个具体示例而非限制,本发明上述实施例的IPv6环境下IPSecVPN通信业务处理系统中,客户端,还可用于向接入设备发起接入请求数据包。相应地,接入设备,还可以用于在接收到客户端发送的接入请求数据包后,根据该接入请求数据包中源IPv6地址中前64位路由前缀中的静态路由标识信息,识别接入请求数据包中源IPv6地址是否为静态地址。若为静态地址,接入根据接入请求数据包中源IPv6地址中前64位路由前缀中的接入类型标识,识别接入请求是否为IPSecVPN接入请求;若不是IPSecVPN接入,则根据该接入请求数据包中目的地址直接转发接入请求数据包;若为IPSecVPN接入请求,则对接入请求数据包中源IPv6地址中后64位中的认证信息进行认证;若认证不通过,则丢弃该IPSecVPN接入请求数据包;若认证通过,则识别接入请求数据包中目的地址是否为统一接入IPSecVPN网关地址;若接入请求数据包中目的地址为统一接入IPSecVPN网关地址,则与统一接入IPSecVPN网关建立IPSec隧道;若接入请求数据包中目的地址为其它目标VPN网关地址,则直接与该其它目标VPN网关建立IPSec隧道。若为非静态地址,接入根据接入请求数据包的扩展包头中是否含有AH或者ESP头,识别接入是否为IPSecVPN接入请求;若不是IPSecVPN接入,则根据该接入请求数据包中目的地址直接转发接入请求数据包;若为IPSecVPN接入请求,识别接入请求数据包中目的地址是否为统一接入IPSecVPN网关地址;若不是统一接入IPSecVPN网关地址,则丢弃该IPSecVPN接入请求数据包;若为统一接入IPSecVPN网关地址,则与统一接入IPSecVPN网关建立IPSec隧道。相应地,统一接入IPSecVPN网关,还可用于在与接入设备建立IPSec隧道后,进一步与目标VPN网关建立IPSec隧道。
根据本发明的一个具体示例而非限制,本发明上述实施例的IPv6环境下IPSecVPN通信业务处理系统中,客户端为具体为非静态地址客户端时,非静态地址客户端,还可用于向接入设备发起网络接入请求,该网络接入请求中包括该非静态地址客户端的接入认证信息;以及将接入设备发送的路由前缀和自己的接口标识ID结合配置成为其源IPv6地址。相应地,接入设备,还用于将接入认证信息转发给认证服务器进行认证;如认证通过,按照图5所示的IPv6地址结构构造IPv6地址的前64位路由前缀并发送给非静态地址客户端,构造的IPv6地址前64位路由前缀中设置有非静态路由标识信息。
如图8所示,为本发明IPv6环境下IPSecVPN通信业务处理系统的一个典型部署示例图。
再参见图7,本发明上述各实施例的IPv6环境下IPSecVPN通信业务处理系统中,客户端分为静态地址客户端和非静态地址客户端,可以示例性地包括接入拨号模块、地址配置模块与IPSecVPN客户端。其中:
非静态地址客户端中的接入拨号模块,用于向接入设备发起网络接入请求,网络接入请求中包括该非静态地址客户端的接入认证信息;以及接受接入设备发送的路由前缀。
地址配置模块,用于将接入拨号模块接收到的路由前缀和自己的接口ID结合配置成为其源IPv6地址。
IPSecVPN客户端,用于生成并向接入设备发送IPSecVPN接入请求数据包与IPSecVPN数据包。
其中静态地址客户端通过地址配置模块配置静态IPv6地址,其静态IPv6地址预先由权威机构分配,并根据如图4所示的IPv6地址结构所构造。
再参见图7,接入设备可以示例性地包括地址验证模块、地址分配模块、第一认证接入点、第一转发模块与接入服务模块。其中,
第一认证接入点,用于将IPSecVPN客户端发送的网络接入请求中的接入认证信息转发给认证服务器进行认证,并接受认证服务器并返回的认证结果消息。
地址分配模块,用于根据第一认证接入点接收到的认证结果消息,如认证通过,构造IPv6地址并发送给非静态地址客户端,构造的IPv6地址前64位路由前缀中设置有非静态路由标识信息。
地址验证模块,用于在接收到IPSecVPN客户端发送的接入请求数据包后,根据该接入请求数据包中源IPv6地址中前64位路由前缀中的静态路由标识信息,识别接入请求数据包中源IPv6地址是否为静态地址;若为静态地址,根据接入请求数据包中源IPv6地址中前64位路由前缀中的接入类型标识,识别接入请求是否为IPSecVPN接入请求;若不是IPSecVPN接入,则指示第一转发模块根据该接入请求数据包中目的地址直接转发接入请求数据包;若为IPSecVPN接入请求,则对接入请求数据包中源IPv6地址中后64位中的认证信息进行认证;若认证不通过,则丢弃该IPSecVPN接入请求数据包;若认证通过,则识别接入请求数据包中目的地址是否为统一接入IPSecVPN网关地址;若接入请求数据包中目的地址为统一接入IPSecVPN网关地址,则指示接入服务模块与统一接入IPSecVPN网关建立IPSec隧道;若接入请求数据包中目的地址为其它目标VPN网关地址,则指示接入服务模块直接与该其它目标VPN网关建立IPSec隧道。若为非静态地址,根据接入请求数据包的扩展包头中是否含有AH或者ESP头,识别接入是否为IPSecVPN接入请求;若不是IPSecVPN接入,则指示第一转发模块根据该接入请求数据包中目的地址直接转发接入请求数据包;若为IPSecVPN接入请求,识别接入请求数据包中目的地址是否为统一接入IPSecVPN网关地址;若不是统一接入IPSecVPN网关地址,则丢弃该IPSecVPN接入请求数据包;若为统一接入IPSecVPN网关地址,则指示接入服务模块与统一接入IPSecVPN网关建立IPSec隧道。
第一转发模块,用于根据接入请求数据包中目的地址直接转发接入请求数据包;接收IPSecVPN客户端发送的IPv6数据包,根据该IPv6数据包中源IPv6地址中前64位路由前缀中的静态路由标识信息,识别源IPv6地址是否为静态地址;若源IPv6地址是静态地址,根据前64位路由前缀中的接入类型标识,识别IPv6数据包是否为IPSecVPN数据包;若IPv6数据包不是IPSecVPN数据包,根据IPv6数据包中的目的地址,直接对IPv6数据包进行转发;若IPv6数据包为IPSecVPN数据包,则对源IPv6地址中后64位中的认证信息进行认证;若认证不通过,则丢弃该IPSecVPN数据包;若认证通过,则根据IPSecVPN数据包中目的地址直接转发给统一接入IPSecVPN网关或其它目标VPN网关。若源IPv6地址如果是非静态地址,根据IPv6数据包的扩展包头中是否含有AH或者ESP头,识别IPv6数据包是否为IPSecVPN数据包;若IPv6数据包不是IPSecVPN数据包,根据IPv6数据包中的目的地址,直接对IPv6数据包进行转发;若IPv6数据包为IPSecVPN数据包,则识别IPSecVPN数据包中的目的地址是否为统一接入IPSecVPN网关地址;若不是统一接入IPSecVPN网关地址,则丢弃IPSecVPN数据包;若是统一接入IPSecVPN网关地址,则将IPSecVPN数据包转发给统一接入IPSecVPN网关。
接入服务模块,用于与统一接入IPSecVPN网关建立IPSec隧道。
再参见图7,统一接入IPSecVPN网关可以示例性地包括第二接入认证点、VPN接入网关服务模块与第二转发模块。其中:
VPN接入网关服务模块,用于在与接入设备中的接入服务模块建立IPSec隧道后,与目标VPN网关建立IPSec隧道。
第二接入认证点,用于在接收到接入设备中第一转发模块发送的IPSecVPN数据包后,将源IPv6地址发送给认证服务器;以及根据认证服务器返回的识别结果,识别源IPv6地址是否存在于预先存储的静态地址客户端的地址白名单中。若源IPv6地址存在于预先存储的静态地址客户端的地址白名单中,指示第二转发模块根据目的地址对IPSecVPN数据包进行转发。若源IPv6地址不存在于预先存储的静态地址客户端的地址白名单中,根据扩展包头中包括AH或者ESP头,识别IPSecVPN数据包为AH还是ESP封装;若IPSecVPN数据包为AH封装,对IPSecVPN数据包解封装后发送给内容检测系统;若IPSecVPN数据包为ESP封装,对IPSecVPN数据包进行解封装,并利用在隧道建立阶段与客户端协商的密钥对IPSecVPN数据包中的数据进行解密,将解密得到的内容数据发送给内容检测系统;并在IPSecVPN数据包内容通过安全检测后,指示第二转发模块根据目的地址对IPSecVPN数据包进行转发。
第二转发模块,用于根据目的地址对IPSecVPN数据包进行转发。
再参见图7,认证服务器可以示例性地包括白名单存储模块、VPN接入认证模块与认证处理模块。其中:
白名单存储模块,用于存储预先设置的静态地址客户端的地址白名单。
VPN接入认证模块,用于识别统一接入IPSecVPN网关中第二接入认证点发送的源IPv6地址是否存在于预先存储的静态地址客户端的地址白名单中,并向统一接入IPSecVPN网关返回识别结果。
认证处理模块,用于接收接入设备中第一认证接入点发送的接入认证信息,基于预先存储的用户信息对接入认证信息进行认证,并向第一认证接入点返回接入认证结果消息。
与本发明上述IPv6环境下IPSecVPN通信业务处理方法实施例相应地,在IPv6地址中前64位路由前缀中包括QoS等级信息,特定QoS等级信息为静态路由标识信息,特定QoS等级信息以外的其它QoS等级信息为非静态路由标识信息。例如,预先设置QoS等级为1的IPv6地址为静态IPv6地址,则QoS等级为1以外其它的QoS等级的IPv6地址为非静态IPv6地址。示例性地,可以设定QoS等级信息位于所述前64位路由前缀中的最后3位。另外,可以设定接入类型标识位于前64位路由前缀中最后7位中的前4位,认证信息位于后64位路由前缀中的最后16位。
本说明书中各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似的部分相互参见即可。对于系统实施例而言,由于其与方法实施例基本对应,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
本发明实施例对IPv6IPSecVPN通信流程进行一定的改造,合理规划IPv6地址,通过对IPv6IPSecVPN通信流量的识别和控制,实现了对IPSecVPN客户的差异化信息监管能力,防止用户绕过信息监管,从而实现IPv6环境下IPSecVPN通信的高效监管。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
Claims (20)
1.一种IPv6环境下IPSecVPN通信业务处理方法,其特征在于,包括:
接入设备接收客户端发送的IPv6数据包,根据该IPv6数据包中源IPv6地址中前64位路由前缀中的静态路由标识信息,识别所述源IPv6地址是否为静态地址;
若所述源IPv6地址是静态地址,接入设备根据所述前64位路由前缀中的接入类型标识,识别所述IPv6数据包是否为互联网协议安全虚拟专用网IPSecVPN数据包;若所述IPv6数据包为IPSecVPN数据包,则对所述源IPv6地址中后64位中的认证信息进行认证;若认证不通过,则丢弃该IPSecVPN数据包;若认证通过,则根据IPSecVPN数据包中目的地址直接转发给统一接入IPSecVPN网关或其它目标VPN网关;
若所述源IPv6地址是非静态地址,接入设备根据所述IPv6数据包的扩展包头中是否含有认证头AH或者封装安全净载ESP头,识别所述IPv6数据包是否为IPSecVPN数据包;若所述IPv6数据包为IPSecVPN数据包,则识别所述IPSecVPN数据包中的目的地址是否为统一接入IPSecVPN网关地址;若不是统一接入IPSecVPN网关地址,则丢弃所述IPSecVPN数据包;若是统一接入IPSecVPN网关地址,则将所述IPSecVPN数据包转发给统一接入IPSecVPN网关;
统一接入IPSecVPN网关接收到IPSecVPN数据包后,将所述源IPv6地址发送给认证服务器;
所述认证服务器识别所述源IPv6地址是否存在于预先存储的静态地址客户端的地址白名单中,并向所述统一接入IPSecVPN网关返回识别结果;
若所述源IPv6地址存在于预先存储的静态地址客户端的地址白名单中,统一接入IPSecVPN网关根据所述目的地址对所述IPSecVPN数据包进行转发;
若所述源IPv6地址不存在于预先存储的静态地址客户端的地址白名单中,统一接入IPSecVPN网关请求内容检测系统对所述IPSecVPN数据包内容进行安全检测,并在所述IPSecVPN数据包内容通过安全检测后,根据所述目的地址对所述IPSecVPN数据包进行转发。
2.根据权利要求1所述的方法,其特征在于,统一接入IPSecVPN网关请求内容检测系统对所述IPSecVPN数据包内容进行安全检测包括:
统一接入IPSecVPN网关根据所述扩展包头中包括AH或者ESP头,识别所述IPSecVPN数据包为AH还是ESP封装;
若所述IPSecVPN数据包为AH封装,统一接入IPSecVPN网关对所述IPSecVPN数据包解封装后发送给内容检测系统,由内容检测系统对所述IPSecVPN数据包内容进行安全检测;
若所述IPSecVPN数据包为ESP封装,统一接入IPSecVPN网关对所述IPSecVPN数据包进行解封装,并利用在隧道建立阶段与客户端协商的密钥对IPSecVPN数据包中的数据进行解密,将解密得到的内容数据发送给内容检测系统,由内容检测系统对所述IPSecVPN数据包内容进行安全检测。
3.根据权利要求2所述的方法,其特征在于,若所述IPv6数据包不是IPSecVPN数据包,接入设备根据所述IPv6数据包中的目的地址,直接对所述IPv6数据包进行转发。
4.根据权利要求3所述的方法,其特征在于,接入设备接收客户端发送的IPv6数据包之前,还包括:
客户端向接入设备发起接入请求数据包;
接入设备接收到接入请求数据包后,根据该接入请求数据包中源IPv6地址中前64位路由前缀中的静态路由标识信息,识别所述接入请求数据包中源IPv6地址是否为静态地址;
若为静态地址,接入设备根据接入请求数据包中源IPv6地址中前64位路由前缀中的接入类型标识,识别所述接入请求是否为IPSecVPN接入请求;若不是IPSecVPN接入,则根据该接入请求数据包中目的地址直接转发所述接入请求数据包;若为IPSecVPN接入请求,则对接入请求数据包中源IPv6地址中后64位中的认证信息进行认证;若认证不通过,则丢弃该IPSecVPN接入请求数据包;若认证通过,则识别接入请求数据包中目的地址是否为统一接入IPSecVPN网关地址;若接入请求数据包中目的地址为统一接入IPSecVPN网关地址,则与统一接入IPSecVPN网关建立IPSec隧道,由统一接入IPSecVPN网关进一步与目标VPN网关建立IPSec隧道;若接入请求数据包中目的地址为其它目标VPN网关地址,则直接与该其它目标VPN网关建立IPSec隧道;
若为非静态地址,接入设备根据所述接入请求数据包的扩展包头中是否含有AH或者ESP头,识别所述接入是否为IPSecVPN接入请求;若不是IPSecVPN接入,则根据该接入请求数据包中目的地址直接转发所述接入请求数据包;若为IPSecVPN接入请求,识别接入请求数据包中目的地址是否为统一接入IPSecVPN网关地址;若不是统一接入IPSecVPN网关地址,则丢弃该IPSecVPN接入请求数据包;若为统一接入IPSecVPN网关地址,则与统一接入IPSecVPN网关建立IPSec隧道,由统一接入IPSecVPN网关进一步与目标VPN网关建立IPSec隧道。
5.根据权利要求1至4任意一项所述的方法,其特征在于,所述客户端为非静态地址客户端;
客户端向接入设备发起接入请求数据包之前,还包括:
非静态地址客户端向接入设备发起网络接入请求,所述网络接入请求中包括该非静态地址客户端的接入认证信息;
接入设备将所述接入认证信息转发给认证服务器进行认证;
如认证通过,接入设备构造IPv6地址的前64位路由前缀并发送给非静态地址客户端,构造的IPv6地址的前64位路由前缀中设置有非静态路由标识信息;
非静态地址客户端将接入设备发送的IPv6地址的前64位路由前缀和自己的接口标识ID结合配置成为其源IPv6地址。
6.根据权利要求5所述的方法,其特征在于,IPv6地址中前64位路由前缀中包括服务质量QoS等级信息,特定QoS等级信息为静态路由标识信息,特定QoS等级信息以外的其它QoS等级信息为非静态路由标识信息。
7.根据权利要求6所述的方法,其特征在于,所述QoS等级信息位于所述前64位路由前缀中的最后3位。
8.根据权利要求7所述的方法,其特征在于,所述接入类型标识位于所述前64位路由前缀中最后7位中的前4位,所述认证信息位于所述后64位中的最后16位。
9.一种IPv6环境下IPSecVPN通信业务处理系统,其特征在于,包括客户端、接入设备、统一接入IPSecVPN网关、认证服务器与内容检测系统;其中:
客户端,用于生成并向接入设备发送IPv6数据包;
接入设备,用于接收客户端发送的IPv6数据包,根据该IPv6数据包中源IPv6地址中前64位路由前缀中的静态路由标识信息,识别所述源IPv6地址是否为静态地址;若所述源IPv6地址是静态地址,根据所述前64位路由前缀中的接入类型标识,识别所述IPv6数据包是否为IPSecVPN数据包;若所述IPv6数据包为IPSecVPN数据包,则对所述源IPv6地址中后64位中的认证信息进行认证;若认证不通过,则丢弃该IPSecVPN数据包;若认证通过,则根据IPSecVPN数据包中目的地址直接转发给统一接入IPSecVPN网关或其它目标VPN网关;
若所述源IPv6地址如果是非静态地址,根据所述IPv6数据包的扩展包头中是否含有AH或者ESP头,识别所述IPv6数据包是否为IPSecVPN数据包;若所述IPv6数据包为IPSecVPN数据包,则识别所述IPSecVPN数据包中的目的地址是否为统一接入IPSecVPN网关地址;若不是统一接入IPSecVPN网关地址,则丢弃所述IPSecVPN数据包;若是统一接入IPSecVPN网关地址,则将所述IPSecVPN数据包转发给统一接入IPSecVPN网关;
统一接入IPSecVPN网关,用于在接收到接入设备发送的IPSecVPN数据包后,将所述源IPv6地址发送给认证服务器;以及根据认证服务器返回的识别结果,若所述源IPv6地址存在于预先存储的静态地址客户端的地址白名单中,根据所述目的地址对所述IPSecVPN数据包进行转发;若所述源IPv6地址不存在于预先存储的静态地址客户端的地址白名单中,请求内容检测系统对所述IPSecVPN数据包内容进行安全检测,并在所述IPSecVPN数据包内容通过安全检测后,根据所述目的地址对所述IPSecVPN数据包进行转发;
认证服务器,用于识别统一接入IPSecVPN网关发送的所述源IPv6地址是否存在于预先存储的静态地址客户端的地址白名单中,并向所述统一接入IPSecVPN网关返回识别结果;
内容检测系统,用于对统一接入IPSecVPN网关发送的所述IPSecVPN数据包内容进行安全检测,并向统一接入IPSecVPN网关返回检测结果。
10.根据权利要求9所述的系统,其特征在于,统一接入IPSecVPN网关请求内容检测系统对所述IPSecVPN数据包内容进行安全检测时,具体根据所述扩展包头中包括AH或者ESP头,识别所述IPSecVPN数据包为AH还是ESP封装;若所述IPSecVPN数据包为AH封装,对所述IPSecVPN数据包解封装后发送给内容检测系统;若所述IPSecVPN数据包为ESP封装,对所述IPSecVPN数据包进行解封装,并利用在隧道建立阶段与客户端协商的密钥对IPSecVPN数据包中的数据进行解密,将解密得到的内容数据发送给内容检测系统;
内容检测系统,具体对统一接入IPSecVPN网关发送的所述IPSecVPN数据包内容进行安全检测。
11.根据权利要求10所述的系统,其特征在于,所述接入设备还用于在所述IPv6数据包不是IPSecVPN数据包时,根据所述IPv6数据包中的目的地址,直接对所述IPv6数据包进行转发。
12.根据权利要求11所述的系统,其特征在于,所述客户端,还用于向接入设备发起接入请求数据包;
所述接入设备,还用于在接收到客户端发送的接入请求数据包后,根据该接入请求数据包中源IPv6地址中前64位路由前缀中的静态路由标识信息,识别所述接入请求数据包中源IPv6地址是否为静态地址;
若为静态地址,根据接入请求数据包中源IPv6地址中前64位路由前缀中的接入类型标识,识别所述接入请求是否为IPSecVPN接入请求;若不是IPSecVPN接入,则根据该接入请求数据包中目的地址直接转发所述接入请求数据包;若为IPSecVPN接入请求,则对接入请求数据包中源IPv6地址中后64位中的认证信息进行认证;若认证不通过,则丢弃该IPSecVPN接入请求数据包;若认证通过,则识别接入请求数据包中目的地址是否为统一接入IPSecVPN网关地址;若接入请求数据包中目的地址为统一接入IPSecVPN网关地址,则与统一接入IPSecVPN网关建立IPSec隧道;若接入请求数据包中目的地址为其它目标VPN网关地址,则直接与该其它目标VPN网关建立IPSec隧道;
若为非静态地址,根据所述接入请求数据包的扩展包头中是否含有AH或者ESP头,识别所述接入是否为IPSecVPN接入请求;若不是IPSecVPN接入,则根据该接入请求数据包中目的地址直接转发所述接入请求数据包;若为IPSecVPN接入请求,识别接入请求数据包中目的地址是否为统一接入IPSecVPN网关地址;若不是统一接入IPSecVPN网关地址,则丢弃该IPSecVPN接入请求数据包;若为统一接入IPSecVPN网关地址,则与统一接入IPSecVPN网关建立IPSec隧道;
所述统一接入IPSecVPN网关,还用于在与接入设备建立IPSec隧道后,进一步与目标VPN网关建立IPSec隧道。
13.根据权利要求9至12任意一项所述的系统,其特征在于,所述客户端为非静态地址客户端;
所述非静态地址客户端,还用于向接入设备发起网络接入请求,所述网络接入请求中包括该非静态地址客户端的接入认证信息;以及将接入设备发送的IPv6地址的前64位路由前缀和自己的接口标识ID结合配置成为其源IPv6地址;
所述接入设备,还用于将所述接入认证信息转发给认证服务器进行认证;如认证通过,构造IPv6地址的前64位路由前缀并发送给非静态地址客户端,构造的IPv6地址的前64位路由前缀中设置有非静态路由标识信息。
14.根据权利要求13所述的系统,其特征在于,所述客户端分为静态地址客户端和非静态地址客户端,包括接入拨号模块、地址配置模块与IPSecVPN客户端;其中:
非静态地址客户端中的接入拨号模块,用于向接入设备发起网络接入请求,所述网络接入请求中包括该非静态地址客户端的接入认证信息;以及接受接入设备发送的路由前缀;
非静态地址客户端中的地址配置模块,用于将接入拨号模块接收到的路由前缀和自己的接口ID结合配置成为其源IPv6地址;
IPSecVPN客户端,用于生成并向接入设备发送IPSecVPN接入请求数据包与IPSecVPN数据包。
15.根据权利要求14所述的系统,其特征在于,所述接入设备包括地址验证模块、地址分配模块、第一认证接入点、第一转发模块与接入服务模块;其中,
第一认证接入点,用于将IPSecVPN客户端发送的网络接入请求中的接入认证信息转发给认证服务器进行认证,并接受认证服务器并返回的认证结果消息;
地址分配模块,用于根据所述第一认证接入点接收到的认证结果消息,如认证通过,构造IPv6地址并发送给非静态地址客户端,构造的IPv6地址前64位路由前缀中设置有非静态路由标识信息;
地址验证模块,用于在接收到IPSecVPN客户端发送的接入请求数据包后,根据该接入请求数据包中源IPv6地址中前64位路由前缀中的静态路由标识信息,识别所述接入请求数据包中源IPv6地址是否为静态地址;若为静态地址,根据接入请求数据包中源IPv6地址中前64位路由前缀中的接入类型标识,识别所述接入请求是否为IPSecVPN接入请求;若不是IPSecVPN接入,则指示第一转发模块根据该接入请求数据包中目的地址直接转发所述接入请求数据包;若为IPSecVPN接入请求,则对接入请求数据包中源IPv6地址中后64位中的认证信息进行认证;若认证不通过,则丢弃该IPSecVPN接入请求数据包;若认证通过,则识别接入请求数据包中目的地址是否为统一接入IPSecVPN网关地址;若接入请求数据包中目的地址为统一接入IPSecVPN网关地址,则指示接入服务模块与统一接入IPSecVPN网关建立IPSec隧道;若接入请求数据包中目的地址为其它目标VPN网关地址,则指示接入服务模块直接与该其它目标VPN网关建立IPSec隧道;若为非静态地址,根据所述接入请求数据包的扩展包头中是否含有AH或者ESP头,识别所述接入是否为IPSecVPN接入请求;若不是IPSecVPN接入,则指示第一转发模块根据该接入请求数据包中目的地址直接转发所述接入请求数据包;若为IPSecVPN接入请求,识别接入请求数据包中目的地址是否为统一接入IPSecVPN网关地址;若不是统一接入IPSecVPN网关地址,则丢弃该IPSecVPN接入请求数据包;若为统一接入IPSecVPN网关地址,则指示接入服务模块与统一接入IPSecVPN网关建立IPSec隧道;
第一转发模块,用于根据接入请求数据包中目的地址直接转发所述接入请求数据包;接收IPSecVPN客户端发送的IPv6数据包,根据该IPv6数据包中源IPv6地址中前64位路由前缀中的静态路由标识信息,识别所述源IPv6地址是否为静态地址;若所述源IPv6地址是静态地址,根据所述前64位路由前缀中的接入类型标识,识别所述IPv6数据包是否为IPSecVPN数据包;若所述IPv6数据包不是IPSecVPN数据包,根据所述IPv6数据包中的目的地址,直接对所述IPv6数据包进行转发;若所述IPv6数据包为IPSecVPN数据包,则对所述源IPv6地址中后64位中的认证信息进行认证;若认证不通过,则丢弃该IPSecVPN数据包;若认证通过,则根据IPSecVPN数据包中目的地址直接转发给统一接入IPSecVPN网关或其它目标VPN网关;若所述源IPv6地址如果是非静态地址,根据所述IPv6数据包的扩展包头中是否含有AH或者ESP头,识别所述IPv6数据包是否为IPSecVPN数据包;若所述IPv6数据包不是IPSecVPN数据包,根据所述IPv6数据包中的目的地址,直接对所述IPv6数据包进行转发;若所述IPv6数据包为IPSecVPN数据包,则识别所述IPSecVPN数据包中的目的地址是否为统一接入IPSecVPN网关地址;若不是统一接入IPSecVPN网关地址,则丢弃所述IPSecVPN数据包;若是统一接入IPSecVPN网关地址,则将所述IPSecVPN数据包转发给统一接入IPSecVPN网关;
接入服务模块,用于与统一接入IPSecVPN网关建立IPSec隧道。
16.根据权利要求15所述的系统,其特征在于,所述统一接入IPSecVPN网关包括第二接入认证点、VPN接入网关服务模块与第二转发模块;其中:
VPN接入网关服务模块,用于在与接入设备中的接入服务模块建立IPSec隧道后,与目标VPN网关建立IPSec隧道;
第二接入认证点,用于在接收到接入设备中第一转发模块发送的IPSecVPN数据包后,将所述源IPv6地址发送给认证服务器;以及根据认证服务器返回的识别结果,识别所述源IPv6地址是否存在于预先存储的静态地址客户端的地址白名单中;若所述源IPv6地址存在于预先存储的静态地址客户端的地址白名单中,指示第二转发模块根据所述目的地址对所述IPSecVPN数据包进行转发;若所述源IPv6地址不存在于预先存储的静态地址客户端的地址白名单中,根据所述扩展包头中包括AH或者ESP头,识别所述IPSecVPN数据包为AH还是ESP封装;若所述IPSecVPN数据包为AH封装,对所述IPSecVPN数据包解封装后发送给内容检测系统;若所述IPSecVPN数据包为ESP封装,对所述IPSecVPN数据包进行解封装,并利用在隧道建立阶段与客户端协商的密钥对IPSecVPN数据包中的数据进行解密,将解密得到的内容数据发送给内容检测系统;并在所述IPSecVPN数据包内容通过安全检测后,指示第二转发模块根据所述目的地址对所述IPSecVPN数据包进行转发;
第二转发模块,用于根据所述目的地址对所述IPSecVPN数据包进行转发。
17.根据权利要求16所述的系统,其特征在于,所述认证服务器包括白名单存储模块、VPN接入认证模块与认证处理模块;其中:
白名单存储模块,用于存储预先设置的静态地址客户端的地址白名单;
VPN接入认证模块,用于识别统一接入IPSecVPN网关中第二接入认证点发送的所述源IPv6地址是否存在于预先存储的静态地址客户端的地址白名单中,并向所述统一接入IPSecVPN网关返回识别结果;
认证处理模块,用于接收接入设备中第一认证接入点发送的接入认证信息,基于预先存储的用户信息对所述接入认证信息进行认证,并向第一认证接入点返回接入认证结果消息。
18.根据权利要求17所述的系统,其特征在于,IPv6地址中前64位路由前缀中包括QoS等级信息,特定QoS等级信息为静态路由标识信息,特定QoS等级信息以外的其它QoS等级信息为非静态路由标识信息。
19.根据权利要求18所述的系统,其特征在于,所述QoS等级信息位于所述前64位路由前缀中的最后3位。
20.根据权利要求19所述的系统,其特征在于,所述接入类型标识位于所述前64位路由前缀中最后7位中的前4位,所述认证信息位于所述后64位中的最后16位。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110443234.XA CN103188351B (zh) | 2011-12-27 | 2011-12-27 | IPv6环境下IPSec VPN通信业务处理方法与系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110443234.XA CN103188351B (zh) | 2011-12-27 | 2011-12-27 | IPv6环境下IPSec VPN通信业务处理方法与系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103188351A CN103188351A (zh) | 2013-07-03 |
CN103188351B true CN103188351B (zh) | 2016-04-13 |
Family
ID=48679313
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110443234.XA Active CN103188351B (zh) | 2011-12-27 | 2011-12-27 | IPv6环境下IPSec VPN通信业务处理方法与系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103188351B (zh) |
Families Citing this family (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103475646A (zh) * | 2013-08-23 | 2013-12-25 | 天津汉柏汉安信息技术有限公司 | 一种防止恶意esp报文攻击的方法 |
CN104468293B (zh) * | 2014-11-28 | 2018-12-28 | 国家信息中心 | Vpn接入方法 |
CN104486191B (zh) * | 2014-11-28 | 2018-06-22 | 国家信息中心 | 移动终端接入方法 |
CN105187407B (zh) * | 2015-08-13 | 2018-12-07 | 浪潮(北京)电子信息产业有限公司 | 一种基于黑名单机制的vpn连接方法及系统 |
CN107318111B (zh) * | 2016-04-27 | 2020-04-28 | 中国电信股份有限公司 | 一种volte业务的控制方法、p-gw和lte网络 |
CN106452896A (zh) * | 2016-11-01 | 2017-02-22 | 赛尔网络有限公司 | 一种实现虚拟专网平台的方法及系统 |
US11729858B2 (en) * | 2019-06-21 | 2023-08-15 | Parallel Wireless, Inc. | Unique IP address in ad-hoc base station |
CN112995103B (zh) * | 2019-12-17 | 2022-08-02 | 中国电信股份有限公司 | 数据验证方法、装置及计算机可读存储介质 |
CN111970176B (zh) * | 2020-10-21 | 2021-01-15 | 中国人民解放军国防科技大学 | 用于IPv4和IPv6双栈网络的数据摘要方法及设备 |
CN114553819B (zh) * | 2020-11-23 | 2023-07-25 | 中盈优创资讯科技有限公司 | 一种IPv6地址识别方法及装置 |
US20210314359A1 (en) * | 2021-06-16 | 2021-10-07 | Intel Corporation | Efficient encryption in vpn sessions |
CN113872956A (zh) * | 2021-09-24 | 2021-12-31 | 深圳供电局有限公司 | 一种审查ipsec vpn传输内容的方法及系统 |
CN114039948B (zh) * | 2021-11-26 | 2024-06-07 | 中国电信股份有限公司 | 基于IPv6单栈环境的流量识别方法、装置、介质及电子设备 |
CN114826640A (zh) * | 2021-12-15 | 2022-07-29 | 广西电网有限责任公司电力科学研究院 | 一种审查IPSec VPN传输内容的方法及系统 |
CN115296988B (zh) * | 2022-10-09 | 2023-03-21 | 中国电子科技集团公司第三十研究所 | 一种实现IPSec网关动态组网的方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1705282A (zh) * | 2004-06-02 | 2005-12-07 | 日本电气株式会社 | 通信系统、通信装置、操作控制方法和程序 |
CN102098189A (zh) * | 2011-02-01 | 2011-06-15 | 杭州华三通信技术有限公司 | 一种对ce进行监控的方法和路由设备 |
-
2011
- 2011-12-27 CN CN201110443234.XA patent/CN103188351B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1705282A (zh) * | 2004-06-02 | 2005-12-07 | 日本电气株式会社 | 通信系统、通信装置、操作控制方法和程序 |
CN102098189A (zh) * | 2011-02-01 | 2011-06-15 | 杭州华三通信技术有限公司 | 一种对ce进行监控的方法和路由设备 |
Non-Patent Citations (1)
Title |
---|
基于IPSec协议的IPv6安全研究;满昌勇等;《中国信息科技》;20101031(第20期);105-106 * |
Also Published As
Publication number | Publication date |
---|---|
CN103188351A (zh) | 2013-07-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103188351B (zh) | IPv6环境下IPSec VPN通信业务处理方法与系统 | |
US11283772B2 (en) | Method and system for sending a message through a secure connection | |
CN102347870B (zh) | 一种流量安全检测方法、设备和系统 | |
US9461975B2 (en) | Method and system for traffic engineering in secured networks | |
US7389412B2 (en) | System and method for secure network roaming | |
US20070006296A1 (en) | System and method for establishing a shared key between network peers | |
CN105207778A (zh) | 一种在接入网关设备上实现包身份标识及数字签名的方法 | |
Tschofenig et al. | RSVP security properties | |
CN115567208B (zh) | 网络会话数据流细粒度透明加解密方法、网关、管控平台及系统 | |
KR101329968B1 (ko) | IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 방법 및 시스템 | |
Cisco | Introduction to Cisco IPsec Technology | |
Cisco | Introduction to Cisco IPsec Technology | |
Liyanage | Enhancing security and scalability of virtual private LAN services | |
CN116074038B (zh) | 一种用于IPv6数据安全传输的网关系统及方法 | |
Hills et al. | IP virtual private networks | |
Xenakis et al. | Alternative Schemes for Dynamic Secure VPN Deployment in UMTS | |
Dudani | Virtual Private Networks for Peer-to-Peer Infrastructures | |
CN115766063A (zh) | 数据传输方法、装置、设备及介质 | |
KR20190074912A (ko) | 소프트웨어 정의 네트워킹을 활용한 mac 프로토콜 기반의 종단간 보안 통신 방법과 이를 위한 통신 컨트롤러 및 컴퓨터 프로그램 | |
EP2494760A1 (en) | Method for providing security associations for encrypted packet data | |
Al-Abaychi et al. | Evaluation of VPNs | |
JP2006033350A (ja) | 代理セキュアルータ装置及びプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |