CN111556084A - Vpn设备间的通信方法、装置、系统、介质和电子设备 - Google Patents

Vpn设备间的通信方法、装置、系统、介质和电子设备 Download PDF

Info

Publication number
CN111556084A
CN111556084A CN202010614591.7A CN202010614591A CN111556084A CN 111556084 A CN111556084 A CN 111556084A CN 202010614591 A CN202010614591 A CN 202010614591A CN 111556084 A CN111556084 A CN 111556084A
Authority
CN
China
Prior art keywords
address
message
protocol
data message
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010614591.7A
Other languages
English (en)
Other versions
CN111556084B (zh
Inventor
罗俊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Electronics Technology Network Security Technology Co ltd
Original Assignee
Chengdu Westone Information Industry Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu Westone Information Industry Inc filed Critical Chengdu Westone Information Industry Inc
Priority to CN202010614591.7A priority Critical patent/CN111556084B/zh
Publication of CN111556084A publication Critical patent/CN111556084A/zh
Application granted granted Critical
Publication of CN111556084B publication Critical patent/CN111556084B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本公开实施例公开了一种VPN设备间的通信方法、装置、系统、介质和电子设备,发起方检测到未匹配到安全隧道的IP数据报文时,将IP数据报文的源IP地址作为协议报文的源IP地址,将IP数据报文的目的IP地址作为响应方IP地址,向响应方发送协议报文。响应方将协议报文的目的IP地址转换为本地VPN设备的IP地址或环回地址,将协议报文重定向到本地VPN设备的协议栈,以生成响应报文。响应方将IP数据报文的目的IP地址作为响应报文的源IP地址,向发起方发送响应报文。发起方对响应报文执行重定向以及目的IP地址转换,从而建立安全隧道,实现了VPN设备的即插即用和零配置。

Description

VPN设备间的通信方法、装置、系统、介质和电子设备
技术领域
本公开涉及数据传输技术领域,具体地,涉及一种VPN设备间的通信方法、装置、系统、计算机可读介质和电子设备。
背景技术
互联网安全协议(Internet Protocol Security,IPSec)是一种开放标准的框架结构,通过在通信双方之间建立基于密码技术的安全隧道,以确保在互联网安全协议网络上进行保密而安全的通讯。密钥交换(Internet Key Exchange,IKE)协议解决在Internet等不安全的网络环境中安全的建立或更新共享密钥的问题。
虚拟专用网络(Virtual Private Network,VPN)指的是在公用网络上建立专用网络的技术,它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。采用IPSec和IKE协议的VPN称为IPSec VPN。
IPSec VPN设备间的通信需要建立IPSec VPN安全隧道。传统方式中,IPSec VPN安全隧道的建立过程需要比较多的配置过程,而且需要事先知道通信双方的网段地址和设备的IP地址,在通信双方的设备上配置五元组形式的安全策略以及安全联盟中的目的IP地址等信息。VPN设备间的通信方式,对于IP地址采用动态获取方式的网络环境以及缺乏集中管理的完全分布式对等网络等网络环境的适应性较差,不能实现即插即用。管理员的工作量大且对管理员的专业性要求较强,对事前没有为VPN设备预留IP的已有的网络基础设施往往需要进行改造,用户体验差。
可见,如何实现VPN设备的即插即用,是本领域技术人员需要解决的问题。
发明内容
本公开实施例的目的是提供一种VPN设备间的通信方法、装置、系统、计算机可读介质和电子设备,可以实现VPN设备的即插即用。
为了实现上述目的,本公开提供一种VPN设备间的通信方法,适用于发起方,所述方法包括:
检测是否存在未匹配到安全隧道的IP数据报文;
当存在未匹配到安全隧道的IP数据报文时,将所述IP数据报文的源IP地址作为协议报文的源IP地址,将所述IP数据报文的目的IP地址作为响应方IP地址,向响应方发送所述协议报文;
当接收到所述响应方反馈的响应报文时,将所述响应报文重定向到所述本地VPN设备的协议栈,并将所述响应报文的目的IP地址转换为本地VPN设备的IP地址或环回地址,基于所述响应报文建立用于传输所述IP数据报文的安全隧道。
可选地,所述检测是否存在未匹配到安全隧道的IP数据报文包括:
拦截所有数据报文;
当检测到所述数据报文中出现IP数据报文时,提取所述IP数据报文的粒度信息;
判断是否存在与所述粒度信息匹配的安全隧道;
当存在与所述粒度信息匹配的安全隧道时,将所述IP数据报文通过所述安全隧道传输至响应方;
当不存在与所述粒度信息匹配的安全隧道时,则执行所述将所述IP数据报文的源IP地址作为协议报文的源IP地址,将所述IP数据报文的目的IP地址作为响应方IP地址,向响应方发送所述协议报文的步骤。
可选地,在所述判断是否存在与所述粒度信息匹配的安全隧道之后还包括:
当不存在与所述粒度信息匹配的安全隧道时,将所述IP数据报文缓存至预设存储空间;
相应的,在所述基于所述响应报文建立用于传输所述IP数据报文的安全隧道之后还包括:
将所述存储空间中的IP数据报文通过所述安全隧道传输至所述响应方。
可选地,在所述将所述IP数据报文缓存至预设存储空间之前还包括:
判断所述粒度信息是否与预先建立的非加密数据库中的数据信息匹配;
当所述粒度信息与预先建立的非加密数据库中的数据信息不匹配时,则执行所述将所述IP数据报文缓存至预设存储空间的步骤。
可选地,在所述拦截所有数据报文之后还包括:
当所述数据报文为非IP数据报文时,根据预先设置的规则对将所述非IP数据报文进行处理。
可选地,在所述基于所述响应报文建立用于传输所述IP数据报文的安全隧道之后还包括:
将所述IP数据报文的粒度信息的哈希值设置为所述安全隧道的安全参数索引。
本公开实施例还提供了一种VPN设备间的通信装置,适用于发起方,所述装置包括检测单元、发送单元、重定向单元、转换单元和建立单元;
所述检测单元,用于检测是否存在未匹配到安全隧道的IP数据报文;
所述发送单元,用于当存在未匹配到安全隧道的IP数据报文时,将所述IP数据报文的源IP地址作为协议报文的源IP地址,将所述IP数据报文的目的IP地址作为响应方IP地址,向响应方发送所述协议报文;
所述重定向单元,用于当接收到所述响应方反馈的响应报文时,将所述响应报文重定向到所述本地VPN设备的协议栈;
所述转换单元,用于将所述响应报文的目的IP地址转换为本地VPN设备的IP地址或环回地址;
所述建立单元,用于基于所述响应报文建立用于传输所述IP数据报文的安全隧道。
可选地,所述检测单元包括拦截子单元、提取子单元、判断子单元和传输子单元;
所述拦截子单元,用于拦截所有数据报文;
所述提取子单元,用于当检测到所述数据报文中出现IP数据报文时,提取所述IP数据报文的粒度信息;
所述判断子单元,用于判断是否存在与所述粒度信息匹配的安全隧道;当不存在与所述粒度信息匹配的安全隧道时,则触发所述作为单元;
所述传输子单元,用于当存在与所述粒度信息匹配的安全隧道时,将所述IP数据报文通过所述安全隧道传输至响应方。
可选地,还包括缓存单元和传输单元;
所述缓存单元,用于当不存在与所述粒度信息匹配的安全隧道时,将所述IP数据报文缓存至预设存储空间;
所述传输单元,用于将所述存储空间中的IP数据报文通过所述安全隧道传输至所述响应方。
可选地,还包括判断单元;
所述判断单元,用于判断所述粒度信息是否与预先建立的非加密数据库中的数据信息匹配;当所述粒度信息与预先建立的非加密数据库中的数据信息不匹配时,则触发所述缓存单元执行所述将所述IP数据报文缓存至预设存储空间的步骤。
可选地,还包括处理单元;
所述处理单元,用于当所述数据报文为非IP数据报文时,根据预先设置的规则对将所述非IP数据报文进行处理。
可选地,还包括设置单元;
所述设置单元,用于将所述IP数据报文的粒度信息的哈希值设置为所述安全隧道的安全参数索引。
本公开实施例还提供了一种VPN设备间的通信方法,适用于响应方,所述方法包括:
检测是否接收到发起方传输的协议报文;
当接收到发起方传输的协议报文时,将所述协议报文的目的IP地址转换为本地VPN设备的IP地址或环回地址,并将所述协议报文重定向到本地VPN设备的协议栈,以生成响应报文;
将所述IP数据报文的目的IP地址作为所述响应报文的源IP地址,向所述发起方发送所述响应报文。
可选地,所述检测是否接收到发起方传输的协议报文包括:
拦截所有数据报文;
当检测到所述数据报文中出现IP数据报文时,获取所述IP数据报文的协议类型;
当所述IP数据报文的协议类型为ESP协议或AH协议时,将所述IP数据报文通过安全隧道传输至发起方;
当所述IP数据报文的协议类型为IKE协议时,则执行将所述协议报文的目的IP地址转换为本地VPN设备的IP地址或环回地址,并将所述协议报文重定向到本地VPN设备的协议栈,以生成响应报文的步骤。
本公开实施例还提供了一种VPN设备间的通信装置,适用于响应方,所述装置包括检测单元、转换单元、重定向单元、发送单元;
所述检测单元,用于检测是否接收到发起方传输的协议报文;
所述转换单元,用于当接收到发起方传输的协议报文时,将所述协议报文的目的IP地址转换为本地VPN设备的IP地址或环回地址;
所述重定向单元,用于将所述协议报文重定向到本地VPN设备的协议栈,以生成响应报文;
所述发送单元,用于将所述IP数据报文的目的IP地址作为所述响应报文的源IP地址,向所述发起方发送所述响应报文。
可选地,所述检测单元包括拦截子单元、获取子单元和传输子单元;
所述拦截子单元,用于拦截所有数据报文;
所述获取子单元,用于当检测到所述数据报文中出现IP数据报文时,获取所述IP数据报文的协议类型;当所述IP数据报文的协议类型为IKE协议时,则触发所述转换单元;
所述传输子单元,用于当所述IP数据报文的协议类型为ESP协议或AH协议时,将所述IP数据报文通过安全隧道传输至发起方。
本公开实施例还提供了一种VPN设备间的通信系统,包括发起方和响应方;
所述发起方,用于检测是否存在未匹配到安全隧道的IP数据报文;当存在未匹配到安全隧道的IP数据报文时,将所述IP数据报文的源IP地址作为协议报文的源IP地址,将所述IP数据报文的目的IP地址作为响应方IP地址,向响应方发送所述协议报文;当接收到所述响应方反馈的响应报文时,将所述响应报文重定向到所述本地VPN设备的协议栈,并将所述响应报文的目的IP地址转换为本地VPN设备的IP地址或环回地址,基于所述响应报文建立用于传输所述IP数据报文的安全隧道;
所述响应方,用于检测是否接收到发起方传输的协议报文;当接收到发起方传输的协议报文时,将所述协议报文的目的IP地址转换为本地VPN设备的IP地址或环回地址,并将所述协议报文重定向到本地VPN设备的协议栈,以生成响应报文;将所述IP数据报文的目的IP地址作为所述响应报文的源IP地址,向所述发起方发送所述响应报文。
本公开实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述任一项所述方法的步骤。
本公开实施例还提供了一种电子设备,包括:
存储器,其上存储有计算机程序;
处理器,用于执行所述存储器中的所述计算机程序,以实现上述任一项所述方法的步骤。
通过上述技术方案,发起方检测是否存在未匹配到安全隧道的IP数据报文;当存在未匹配到安全隧道的IP数据报文时,则说明发起方需要和响应方进行IKE密钥协商,由于发起方并未提前配置IP网段地址,因此,发起方可以将IP数据报文的源IP地址作为协议报文的源IP地址,将所述IP数据报文的目的IP地址作为响应方IP地址,向响应方发送所述协议报文。响应方接收到发起方传输的协议报文时,将协议报文的目的IP地址转换为本地VPN设备的IP地址或环回地址,并将协议报文重定向到本地VPN设备的协议栈,以生成响应报文;由于响应方的本地VPN设备的IP地址或环回地址无法作为传输报文的源IP地址,因此响应方需要将IP数据报文的目的IP地址作为响应报文的源IP地址,向发起方发送响应报文。发起方接收到响应方反馈的响应报文时,将响应报文重定向到本地VPN设备的协议栈,并将响应报文的目的IP地址转换为本地VPN设备的IP地址或环回地址,基于响应报文建立用于传输所述IP数据报文的安全隧道。该过程不需要配置通信双方的网段和VPN设备的IP地址,根据在线的IP数据报文的实际的源地址和目的IP地址,通过IKE密钥协商的方式,可以为每个数据流建立安全隧道。VPN设备之间的协议报文和安全隧道外层包头的源IP地址和目的IP地址均采用原始IP数据报文的源IP地址和目的IP地址,这样可以无需改动网络拓扑环境并无需知道任何VPN设备的IP地址信息,便可以实现VPN设备的即插即用和零配置。
本公开的其他特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
附图是用来提供对本公开的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本公开,但并不构成对本公开的限制。在附图中:
图1为本公开实施例提供的一种VPN设备间的通信方法的信令图;
图2为本公开实施例提供的一种适用于发起方的VPN设备间的通信装置的结构示意图;
图3为本公开实施例提供的一种适用于响应方的VPN设备间的通信装置的结构示意图;
图4为本公开实施例提供的一种VPN设备间的通信系统的结构示意图;
图5为本公开实施例提供的一种电子设备的框图。
具体实施方式
以下结合附图对本公开的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本公开,并不用于限制本公开。
为了使本技术领域的人员更好地理解本公开方案,下面结合附图和具体实施方式对本公开作进一步的详细说明。
接下来,详细介绍本公开实施例所提供的一种VPN设备间的通信方法。图1为本公开实施例提供的一种VPN设备间的通信方法的信令图,该方法包括:
S101:发起方检测是否存在未匹配到安全隧道的IP数据报文。
数据报文的类型有多种,按照数据传输要求,可以将数据报文划分为IP数据报文和非IP数据报文。其中,IP数据报文需要通过安全隧道传输。
对于一个节点设备而言,其既可以作为发起方,也可以作为响应方。例如,节点设备A需要将获取的IP数据报文传输至节点设备B,此时节点设备A即为发起方、节点设备B即为响应方。节点设备B需要将获取的IP数据报文传输至节点设备A,此时节点设备B即为发起方、节点设备A即为响应方。
在本公开实施例中,发起方可以拦截所有数据报文;检测是否存在IP数据报文,当数据报文中出现IP数据报文时,发起方需要通过安全隧道传输IP数据报文。
在实际应用中,可能已经建立了与IP数据报文相匹配的安全隧道,也可能还未建立与IP数据报文相匹配的安全隧道。因此,需要判断是否存在与IP数据报文相匹配的安全隧道。
不同类型的IP数据报文有其各自对应的粒度信息,在本公开实施例中,可以根据粒度信息设置安全隧道的标识。因此,在本公开实施例中,可以根据IP数据报文的粒度信息,判断是否存在与粒度信息匹配的安全隧道。
其中,粒度信息具有两种类型,一种为粗粒度信息,另一种为细粒度信息。其中,粗粒度信息指的是IP数据报文的二元组信息,即源IP地址和目的IP地址。细粒度信息指的是IP数据报文的五元组信息,即源IP地址、目的IP地址、源传输层端口、目的传输层端口和传输层协议号。
在本公开实施例中,可以将IP数据报文的粒度信息的哈希值设置为安全隧道的安全参数索引。每个安全隧道与其唯一对应的一个安全参数索引。
在实际应用中,可以按照如下公式计算安全参数索引,
安全参数索引=(32位源IP地址+32位目的IP地址+(源传输层端口|目的传输层端口)/传输层协议号)mod 232
当IP数据报文的粒度信息为粗粒度信息时,在计算安全参数索引时,可以令源传输层端口和目的传输层端口的取值为零,令传输层协议号取值为1。
当存在与粒度信息匹配的安全隧道时,则可以将IP数据报文通过安全隧道传输至响应方;当不存在与粒度信息匹配的安全隧道时,则进入S102。
S102:当存在未匹配到安全隧道的IP数据报文时,发起方将IP数据报文的源IP地址作为协议报文的源IP地址,将IP数据报文的目的IP地址作为响应方IP地址,向响应方发送协议报文。
发起方检测到存在未匹配到安全隧道的IP数据报文时,需要和响应方进行IKE密钥协商,从而建立安全隧道。
由于发起方并未提前配置IP网段地址,因此,发起方与响应方进行IKE密钥协商时,发起方可以将IP数据报文的源IP地址作为协议报文的源IP地址,将IP数据报文的目的IP地址作为响应方IP地址,向响应方发送协议报文。
S103:响应方检测是否接收到发起方传输的协议报文。
在本公开实施例中,响应方可以拦截所有数据报文,当检测到数据报文中出现IP数据报文时,根据IP数据报文的协议类型,确定IP数据报文是否为协议报文。
当IP数据报文的协议类型为ESP协议或AH协议时,则说明该IP数据报文并非是协议报文,并且该IP数据报文已经有其对应的安全隧道,此时可以将IP数据报文通过安全隧道传输至发起方。
当IP数据报文的协议类型为IKE协议时,则说明该IP数据报文属于协议报文,此时可以执行S104。
S104:响应方接收到发起方传输的协议报文时,将协议报文的目的IP地址转换为本地VPN设备的IP地址或环回地址,并将协议报文重定向到本地VPN设备的协议栈,以生成响应报文。
由于协议报文的目的IP地址是IP数据报文的目的IP地址,响应方的VPN设备在对协议报文处理时,需要将协议报文的目的IP地址转换为本地VPN设备的IP地址或环回地址,并将协议报文重定向到本地VPN设备的协议栈。
在实际应用中,当本地VPN设备具有IP地址时,则可以将协议报文的目的IP地址转换为本地VPN设备的IP地址;当本地VPN设备不具有IP地址时,则可以将协议报文的目的IP地址转换为本地VPN设备的环回地址。
将目的IP地址进行转换,并且将协议报文重定向到本地VPN设备的协议栈之后,本地VPN设备可以实现对协议报文的处理,从而可以针对协议报文生成相应的响应报文。
S105:响应方将IP数据报文的目的IP地址作为响应报文的源IP地址,向发起方发送响应报文。
由于响应方的本地VPN设备的IP地址或环回地址无法作为传输报文的源IP地址,因此响应方需要将IP数据报文的目的IP地址作为响应报文的源IP地址,向发起方发送响应报文。
S106:发起方接收到响应方反馈的响应报文时,将响应报文重定向到本地VPN设备的协议栈,并将响应报文的目的IP地址转换为本地VPN设备的IP地址或环回地址,基于响应报文建立用于传输IP数据报文的安全隧道。
发起方的VPN设备在对响应报文处理时,需要将响应报文的目的IP地址转换为本地VPN设备的IP地址或环回地址,并将响应报文重定向到本地VPN设备的协议栈。
在实际应用中,当本地VPN设备具有IP地址时,则可以将响应报文的目的IP地址转换为本地VPN设备的IP地址;当本地VPN设备不具有IP地址时,则可以将响应报文的目的IP地址转换为本地VPN设备的环回地址。
将目的IP地址进行转换,并且将响应报文重定向到本地VPN设备的协议栈之后,本地VPN设备可以实现对响应报文的处理,从而完成与响应方的IKE协商过程。
响应报文可以携带有建立安全隧道所需的密钥,发起方基于响应报文可以建立用于传输IP数据报文的安全隧道。
通过上述技术方案,发起方检测是否存在未匹配到安全隧道的IP数据报文;当存在未匹配到安全隧道的IP数据报文时,则说明发起方需要和响应方进行IKE密钥协商,由于发起方并未提前配置IP网段地址,因此,发起方可以将IP数据报文的源IP地址作为协议报文的源IP地址,将所述IP数据报文的目的IP地址作为响应方IP地址,向响应方发送所述协议报文。响应方接收到发起方传输的协议报文时,将协议报文的目的IP地址转换为本地VPN设备的IP地址或环回地址,并将协议报文重定向到本地VPN设备的协议栈,以生成响应报文;由于响应方的本地VPN设备的IP地址或环回地址无法作为传输报文的源IP地址,因此响应方需要将IP数据报文的目的IP地址作为响应报文的源IP地址,向发起方发送响应报文。发起方接收到响应方反馈的响应报文时,将响应报文重定向到本地VPN设备的协议栈,并将响应报文的目的IP地址转换为本地VPN设备的IP地址或环回地址,基于响应报文建立用于传输所述IP数据报文的安全隧道。该过程不需要配置通信双方的网段和VPN设备的IP地址,根据在线的IP数据报文的实际的源地址和目的IP地址,通过IKE密钥协商的方式,可以为每个数据流建立安全隧道。VPN设备之间的协议报文和安全隧道外层包头的源IP地址和目的IP地址均采用原始IP数据报文的源IP地址和目的IP地址,这样可以无需改动网络拓扑环境并无需知道任何VPN设备的IP地址信息,便可以实现VPN设备的即插即用和零配置。
考虑到发起方和响应方的IKE密钥协商过程需要花费时间,因此,在本公开实施例中,当不存在与粒度信息匹配的安全隧道时,可以将IP数据报文缓存至预设存储空间。相应的,在基于响应报文建立用于传输IP数据报文的安全隧道之后,则可以将存储空间中的IP数据报文通过安全隧道传输至响应方。
通过将IP数据报文进行缓存,既可以降低IP数据报文丢失的风险,也可以保证多个IP数据报文在发起方和响应方之间进行有序传输。
考虑到实际应用中,可能会存在不需要进行加密处理的IP数据报文,这类IP数据报文无需通过安全隧道传输,因此,在本公开实施例中,可以预先统计不需要进行加密处理的IP数据报文类型,将不需要进行加密处理的IP数据报文类型以非加密数据库的形式存储。
发起方在将IP数据报文缓存至预设存储空间之前,可以先判断粒度信息是否与预先建立的非加密数据库中的数据信息匹配。
当粒度信息与预先建立的非加密数据库中的数据信息不匹配时,则说明IP数据报文在传输时需要执行加密处理,此时执行将IP数据报文缓存至预设存储空间的步骤。
通过设置非加密数据库,可以在缓存IP数据报文之前,对IP数据报文进行过滤,以筛选出需要执行加密处理的IP数据报文,从而可以有效的避免对不需要执行加密处理的IP数据报文执行IKE密钥协商过程。
在本公开实施例中,发起方可以拦截所有的数据报文,当数据报文为非IP数据报文时,可以根据预先设置的规则对将非IP数据报文进行处理。
预先设置的规则可以包括对非IP数据报文执行透明转发或者丢弃操作等。在实际应用中,可以根据实际需求,确定哪种类型的非IP数据报文执行透明转发,哪种类型的非IP数据报文执行丢弃操作。本公开实施例中,对于非IP数据报文的处理方式不做限定。
通过预先设置针对于非IP数据报文进行处理的规则,可以实现对非IP数据报文的及时处理,有效的避免了节点设备拦截到非IP数据报文时直接丢弃的情况发生。
图2为本公开实施例提供的一种VPN设备间的通信装置的结构示意图,适用于发起方,装置包括检测单元21、发送单元22、重定向单元23、转换单元24和建立单元25;
检测单元21,用于检测是否存在未匹配到安全隧道的IP数据报文;
发送单元22,用于当存在未匹配到安全隧道的IP数据报文时,将IP数据报文的源IP地址作为协议报文的源IP地址,将IP数据报文的目的IP地址作为响应方IP地址,向响应方发送协议报文;
重定向单元23,用于当接收到响应方反馈的响应报文时,将响应报文重定向到本地VPN设备的协议栈;
转换单元24,用于将响应报文的目的IP地址转换为本地VPN设备的IP地址或环回地址;
建立单元25,用于基于响应报文建立用于传输IP数据报文的安全隧道。
可选地,检测单元包括拦截子单元、提取子单元、判断子单元和传输子单元;
拦截子单元,用于拦截所有数据报文;
提取子单元,用于当检测到数据报文中出现IP数据报文时,提取IP数据报文的粒度信息;
判断子单元,用于判断是否存在与粒度信息匹配的安全隧道;当不存在与粒度信息匹配的安全隧道时,则触发作为单元;
传输子单元,用于当存在与粒度信息匹配的安全隧道时,将IP数据报文通过安全隧道传输至响应方。
可选地,还包括缓存单元和传输单元;
缓存单元,用于当不存在与粒度信息匹配的安全隧道时,将IP数据报文缓存至预设存储空间;
传输单元,用于将存储空间中的IP数据报文通过安全隧道传输至响应方。
可选地,还包括判断单元;
判断单元,用于判断粒度信息是否与预先建立的非加密数据库中的数据信息匹配;当粒度信息与预先建立的非加密数据库中的数据信息不匹配时,则触发缓存单元执行将IP数据报文缓存至预设存储空间的步骤。
可选地,还包括处理单元;
处理单元,用于当数据报文为非IP数据报文时,根据预先设置的规则对将非IP数据报文进行处理。
可选地,还包括设置单元;
设置单元,用于将IP数据报文的粒度信息的哈希值设置为安全隧道的安全参数索引。
图2所对应实施例中特征的说明可以参见图1所对应实施例的相关说明,这里不再一一赘述。
通过上述技术方案,发起方检测是否存在未匹配到安全隧道的IP数据报文;当存在未匹配到安全隧道的IP数据报文时,则说明发起方需要和响应方进行IKE密钥协商,由于发起方并未提前配置IP网段地址,因此,发起方可以将IP数据报文的源IP地址作为协议报文的源IP地址,将所述IP数据报文的目的IP地址作为响应方IP地址,向响应方发送所述协议报文。发起方接收到响应方反馈的响应报文时,将响应报文重定向到本地VPN设备的协议栈,并将响应报文的目的IP地址转换为本地VPN设备的IP地址或环回地址,基于响应报文建立用于传输所述IP数据报文的安全隧道。该过程不需要配置通信双方的网段和VPN设备的IP地址,根据在线的IP数据报文的实际的源地址和目的IP地址,通过IKE密钥协商的方式,可以为每个数据流建立安全隧道。VPN设备之间的协议报文和安全隧道外层包头的源IP地址和目的IP地址均采用原始IP数据报文的源IP地址和目的IP地址,这样可以无需改动网络拓扑环境并无需知道任何VPN设备的IP地址信息,便可以实现VPN设备的即插即用和零配置。
图3为本公开实施例提供的一种VPN设备间的通信装置的结构示意图,适用于响应方,装置包括检测单元31、转换单元32、重定向单元33、发送单元34;
检测单元31,用于检测是否接收到发起方传输的协议报文;
转换单元32,用于当接收到发起方传输的协议报文时,将协议报文的目的IP地址转换为本地VPN设备的IP地址或环回地址;
重定向单元33,用于将协议报文重定向到本地VPN设备的协议栈,以生成响应报文;
发送单元34,用于将IP数据报文的目的IP地址作为响应报文的源IP地址,向发起方发送响应报文。
可选地,检测单元包括拦截子单元、获取子单元和传输子单元;
拦截子单元,用于拦截所有数据报文;
获取子单元,用于当检测到数据报文中出现IP数据报文时,获取IP数据报文的协议类型;当IP数据报文的协议类型为IKE协议时,则触发转换单元;
传输子单元,用于当IP数据报文的协议类型为ESP协议或AH协议时,将IP数据报文通过安全隧道传输至发起方。
图3所对应实施例中特征的说明可以参见图1所对应实施例的相关说明,这里不再一一赘述。
通过上述技术方案,响应方接收到发起方传输的协议报文时,由于该协议报文的目的IP地址为IP数据报文的目的IP地址,为了便于响应方的VPN设备可以对协议报文进行处理,需要将协议报文的目的IP地址转换为本地VPN设备的IP地址或环回地址,并将协议报文重定向到本地VPN设备的协议栈,以生成响应报文。由于响应方的本地VPN设备的IP地址或环回地址无法作为传输报文的源IP地址,因此响应方需要将IP数据报文的目的IP地址作为响应报文的源IP地址,向发起方发送响应报文,以便于发起方基于响应报文建立用于传输所述IP数据报文的安全隧道。该过程不需要配置通信双方的网段和VPN设备的IP地址,根据在线的IP数据报文的实际的源地址和目的IP地址,通过IKE密钥协商的方式,可以为每个数据流建立安全隧道。VPN设备之间的协议报文和安全隧道外层包头的源IP地址和目的IP地址均采用原始IP数据报文的源IP地址和目的IP地址,这样可以无需改动网络拓扑环境并无需知道任何VPN设备的IP地址信息,便可以实现VPN设备的即插即用和零配置。
图4为本公开实施例提供的一种VPN设备间的通信系统40的结构示意图,包括发起方41和响应方42;
发起方41,用于检测是否存在未匹配到安全隧道的IP数据报文;当存在未匹配到安全隧道的IP数据报文时,将IP数据报文的源IP地址作为协议报文的源IP地址,将IP数据报文的目的IP地址作为响应方42IP地址,向响应方42发送协议报文;当接收到响应方42反馈的响应报文时,将响应报文重定向到本地VPN设备的协议栈,并将响应报文的目的IP地址转换为本地VPN设备的IP地址或环回地址,基于响应报文建立用于传输IP数据报文的安全隧道;
响应方42,用于检测是否接收到发起方传输的协议报文;当接收到发起方41传输的协议报文时,将协议报文的目的IP地址转换为本地VPN设备的IP地址或环回地址,并将协议报文重定向到本地VPN设备的协议栈,以生成响应报文;将IP数据报文的目的IP地址作为响应报文的源IP地址,向发起方41发送响应报文。
图4所对应实施例中特征的说明可以参见图1所对应实施例的相关说明,这里不再一一赘述。
通过上述技术方案,发起方检测是否存在未匹配到安全隧道的IP数据报文;当存在未匹配到安全隧道的IP数据报文时,则说明发起方需要和响应方进行IKE密钥协商,由于发起方并未提前配置IP网段地址,因此,发起方可以将IP数据报文的源IP地址作为协议报文的源IP地址,将所述IP数据报文的目的IP地址作为响应方IP地址,向响应方发送所述协议报文。响应方接收到发起方传输的协议报文时,将协议报文的目的IP地址转换为本地VPN设备的IP地址或环回地址,并将协议报文重定向到本地VPN设备的协议栈,以生成响应报文;由于响应方的本地VPN设备的IP地址或环回地址无法作为传输报文的源IP地址,因此响应方需要将IP数据报文的目的IP地址作为响应报文的源IP地址,向发起方发送响应报文。发起方接收到响应方反馈的响应报文时,将响应报文重定向到本地VPN设备的协议栈,并将响应报文的目的IP地址转换为本地VPN设备的IP地址或环回地址,基于响应报文建立用于传输所述IP数据报文的安全隧道。该过程不需要配置通信双方的网段和VPN设备的IP地址,根据在线的IP数据报文的实际的源地址和目的IP地址,通过IKE密钥协商的方式,可以为每个数据流建立安全隧道。VPN设备之间的协议报文和安全隧道外层包头的源IP地址和目的IP地址均采用原始IP数据报文的源IP地址和目的IP地址,这样可以无需改动网络拓扑环境并无需知道任何VPN设备的IP地址信息,便可以实现VPN设备的即插即用和零配置。
本公开实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述任意实施例所述的VPN设备间的通信方法。
图5是根据一示例性实施例示出的一种电子设备500的框图。如图5所示,该电子设备500可以包括:处理器501,存储器502。该电子设备500还可以包括多媒体组件503,输入/输出(I/O)接口504,以及通信组件505中的一者或多者。
其中,处理器501用于控制该电子设备500的整体操作,以完成上述的VPN设备间的通信方法中的全部或部分步骤。存储器502用于存储各种类型的数据以支持在该电子设备500的操作,这些数据例如可以包括用于在该电子设备500上操作的任何应用程序或方法的指令,以及应用程序相关的数据,例如联系人数据、收发的消息、图片、音频、视频等等。该存储器502可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,例如静态随机存取存储器(Static Random Access Memory,简称SRAM),电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,简称EEPROM),可擦除可编程只读存储器(Erasable Programmable Read-Only Memory,简称EPROM),可编程只读存储器(Programmable Read-Only Memory,简称PROM),只读存储器(Read-Only Memory,简称ROM),磁存储器,快闪存储器,磁盘或光盘。多媒体组件503可以包括屏幕和音频组件。其中屏幕例如可以是触摸屏,音频组件用于输出和/或输入音频信号。例如,音频组件可以包括一个麦克风,麦克风用于接收外部音频信号。所接收的音频信号可以被进一步存储在存储器502或通过通信组件505发送。音频组件还包括至少一个扬声器,用于输出音频信号。I/O接口504为处理器501和其他接口模块之间提供接口,上述其他接口模块可以是键盘,鼠标,按钮等。这些按钮可以是虚拟按钮或者实体按钮。通信组件505用于该电子设备500与其他设备之间进行有线或无线通信。无线通信,例如Wi-Fi,蓝牙,近场通信(Near FieldCommunication,简称NFC),2G、3G或4G,或它们中的一种或几种的组合,因此相应的该通信组件505可以包括:Wi-Fi模块,蓝牙模块,NFC模块。
在一示例性实施例中,电子设备500可以被一个或多个应用专用集成电路(Application Specific Integrated Circuit,简称ASIC)、数字信号处理器(DigitalSignal Processor,简称DSP)、数字信号处理设备(Digital Signal Processing Device,简称DSPD)、可编程逻辑器件(Programmable Logic Device,简称PLD)、现场可编程门阵列(Field Programmable Gate Array,简称FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述的VPN设备间的通信方法。
在另一示例性实施例中,还提供了一种包括程序指令的计算机可读存储介质,该程序指令被处理器执行时实现上述的VPN设备间的通信方法的步骤。例如,该计算机可读存储介质可以为上述包括程序指令的存储器502,上述程序指令可由电子设备500的处理器501执行以完成上述的VPN设备间的通信方法。
以上结合附图详细描述了本公开的优选实施方式,但是,本公开并不限于上述实施方式中的具体细节,在本公开的技术构思范围内,可以对本公开的技术方案进行多种简单变型,这些简单变型均属于本公开的保护范围。
另外需要说明的是,在上述具体实施方式中所描述的各个具体技术特征,在不矛盾的情况下,可以通过任何合适的方式进行组合。为了避免不必要的重复,本公开对各种可能的组合方式不再另行说明。
此外,本公开的各种不同的实施方式之间也可以进行任意组合,只要其不违背本公开的思想,其同样应当视为本公开所公开的内容。

Claims (13)

1.一种VPN设备间的通信方法,其特征在于,适用于发起方,所述方法包括:
检测是否存在未匹配到安全隧道的IP数据报文;
当存在未匹配到安全隧道的IP数据报文时,将所述IP数据报文的源IP地址作为协议报文的源IP地址,将所述IP数据报文的目的IP地址作为响应方IP地址,向响应方发送所述协议报文;
当接收到所述响应方反馈的响应报文时,将所述响应报文重定向到所述本地VPN设备的协议栈,并将所述响应报文的目的IP地址转换为本地VPN设备的IP地址或环回地址,基于所述响应报文建立用于传输所述IP数据报文的安全隧道。
2.根据权利要求1所述的方法,其特征在于,所述检测是否存在未匹配到安全隧道的IP数据报文包括:
拦截所有数据报文;
当检测到所述数据报文中出现IP数据报文时,提取所述IP数据报文的粒度信息;
判断是否存在与所述粒度信息匹配的安全隧道;
当存在与所述粒度信息匹配的安全隧道时,将所述IP数据报文通过所述安全隧道传输至响应方;
当不存在与所述粒度信息匹配的安全隧道时,则执行所述将所述IP数据报文的源IP地址作为协议报文的源IP地址,将所述IP数据报文的目的IP地址作为响应方IP地址,向响应方发送所述协议报文的步骤。
3.根据权利要求2所述的方法,其特征在于,在所述判断是否存在与所述粒度信息匹配的安全隧道之后还包括:
当不存在与所述粒度信息匹配的安全隧道时,将所述IP数据报文缓存至预设存储空间;
相应的,在所述基于所述响应报文建立用于传输所述IP数据报文的安全隧道之后还包括:
将所述存储空间中的IP数据报文通过所述安全隧道传输至所述响应方。
4.根据权利要求3所述的方法,其特征在于,在所述将所述IP数据报文缓存至预设存储空间之前还包括:
判断所述粒度信息是否与预先建立的非加密数据库中的数据信息匹配;
当所述粒度信息与预先建立的非加密数据库中的数据信息不匹配时,则执行所述将所述IP数据报文缓存至预设存储空间的步骤。
5.根据权利要求2所述的方法,其特征在于,在所述拦截所有数据报文之后还包括:
当所述数据报文为非IP数据报文时,根据预先设置的规则对将所述非IP数据报文进行处理。
6.根据权利要求1-5任意一项所述的方法,其特征在于,在所述基于所述响应报文建立用于传输所述IP数据报文的安全隧道之后还包括:
将所述IP数据报文的粒度信息的哈希值设置为所述安全隧道的安全参数索引。
7.一种VPN设备间的通信装置,其特征在于,适用于发起方,所述装置包括检测单元、发送单元、重定向单元、转换单元和建立单元;
所述检测单元,用于检测是否存在未匹配到安全隧道的IP数据报文;
所述发送单元,用于当存在未匹配到安全隧道的IP数据报文时,将所述IP数据报文的源IP地址作为协议报文的源IP地址,将所述IP数据报文的目的IP地址作为响应方IP地址,向响应方发送所述协议报文;
所述重定向单元,用于当接收到所述响应方反馈的响应报文时,将所述响应报文重定向到所述本地VPN设备的协议栈;
所述转换单元,用于将所述响应报文的目的IP地址转换为本地VPN设备的IP地址或环回地址;
所述建立单元,用于基于所述响应报文建立用于传输所述IP数据报文的安全隧道。
8.一种VPN设备间的通信方法,其特征在于,适用于响应方,所述方法包括:
检测是否接收到发起方传输的协议报文;
当接收到发起方传输的协议报文时,将所述协议报文的目的IP地址转换为本地VPN设备的IP地址或环回地址,并将所述协议报文重定向到本地VPN设备的协议栈,以生成响应报文;
将所述IP数据报文的目的IP地址作为所述响应报文的源IP地址,向所述发起方发送所述响应报文。
9.根据权利要求8所述的方法,其特征在于,所述检测是否接收到发起方传输的协议报文包括:
拦截所有数据报文;
当检测到所述数据报文中出现IP数据报文时,获取所述IP数据报文的协议类型;
当所述IP数据报文的协议类型为ESP协议或AH协议时,将所述IP数据报文通过安全隧道传输至发起方;
当所述IP数据报文的协议类型为IKE协议时,则执行将所述协议报文的目的IP地址转换为本地VPN设备的IP地址或环回地址,并将所述协议报文重定向到本地VPN设备的协议栈,以生成响应报文的步骤。
10.一种VPN设备间的通信装置,其特征在于,适用于响应方,所述装置包括检测单元、转换单元、重定向单元、发送单元;
所述检测单元,用于检测是否接收到发起方传输的协议报文;
所述转换单元,用于当接收到发起方传输的协议报文时,将所述协议报文的目的IP地址转换为本地VPN设备的IP地址或环回地址;
所述重定向单元,用于将所述协议报文重定向到本地VPN设备的协议栈,以生成响应报文;
所述发送单元,用于将所述IP数据报文的目的IP地址作为所述响应报文的源IP地址,向所述发起方发送所述响应报文。
11.一种VPN设备间的通信系统,其特征在于,包括发起方和响应方;
所述发起方,用于检测是否存在未匹配到安全隧道的IP数据报文;当存在未匹配到安全隧道的IP数据报文时,将所述IP数据报文的源IP地址作为协议报文的源IP地址,将所述IP数据报文的目的IP地址作为响应方IP地址,向响应方发送所述协议报文;当接收到所述响应方反馈的响应报文时,将所述响应报文重定向到所述本地VPN设备的协议栈,并将所述响应报文的目的IP地址转换为本地VPN设备的IP地址或环回地址,基于所述响应报文建立用于传输所述IP数据报文的安全隧道;
所述响应方,用于检测是否接收到发起方传输的协议报文;当接收到发起方传输的协议报文时,将所述协议报文的目的IP地址转换为本地VPN设备的IP地址或环回地址,并将所述协议报文重定向到本地VPN设备的协议栈,以生成响应报文;将所述IP数据报文的目的IP地址作为所述响应报文的源IP地址,向所述发起方发送所述响应报文。
12.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1-6中任一项和/或权利要求8-9中任一项所述方法的步骤。
13.一种电子设备,其特征在于,包括:
存储器,其上存储有计算机程序;
处理器,用于执行所述存储器中的所述计算机程序,以实现权利要求1-6中任一项和/或权利要求8-9中任一项所述方法的步骤。
CN202010614591.7A 2020-06-30 2020-06-30 Vpn设备间的通信方法、装置、系统、介质和电子设备 Active CN111556084B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010614591.7A CN111556084B (zh) 2020-06-30 2020-06-30 Vpn设备间的通信方法、装置、系统、介质和电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010614591.7A CN111556084B (zh) 2020-06-30 2020-06-30 Vpn设备间的通信方法、装置、系统、介质和电子设备

Publications (2)

Publication Number Publication Date
CN111556084A true CN111556084A (zh) 2020-08-18
CN111556084B CN111556084B (zh) 2022-08-23

Family

ID=72008883

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010614591.7A Active CN111556084B (zh) 2020-06-30 2020-06-30 Vpn设备间的通信方法、装置、系统、介质和电子设备

Country Status (1)

Country Link
CN (1) CN111556084B (zh)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030041136A1 (en) * 2001-08-23 2003-02-27 Hughes Electronics Corporation Automated configuration of a virtual private network
CN101023647A (zh) * 2004-09-20 2007-08-22 松下电器产业株式会社 返回路由的优化
US20080072312A1 (en) * 2006-09-14 2008-03-20 Fujitsu Limited Connection supporting apparatus
CN101515859A (zh) * 2009-04-02 2009-08-26 杭州华三通信技术有限公司 一种因特网协议安全隧道传输组播的方法及设备
CN102136987A (zh) * 2010-01-22 2011-07-27 杭州华三通信技术有限公司 一种mpls vpn中的报文转发方法和pe设备
CN103023898A (zh) * 2012-12-03 2013-04-03 杭州迪普科技有限公司 一种访问vpn服务端内网资源的方法及装置
CN104488235A (zh) * 2013-04-09 2015-04-01 华为技术有限公司 报文转发方法和网络设备
CN108366059A (zh) * 2018-02-07 2018-08-03 迈普通信技术股份有限公司 通信协商方法、响应方设备及发起方设备

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030041136A1 (en) * 2001-08-23 2003-02-27 Hughes Electronics Corporation Automated configuration of a virtual private network
CN101023647A (zh) * 2004-09-20 2007-08-22 松下电器产业株式会社 返回路由的优化
US20080072312A1 (en) * 2006-09-14 2008-03-20 Fujitsu Limited Connection supporting apparatus
CN101515859A (zh) * 2009-04-02 2009-08-26 杭州华三通信技术有限公司 一种因特网协议安全隧道传输组播的方法及设备
CN102136987A (zh) * 2010-01-22 2011-07-27 杭州华三通信技术有限公司 一种mpls vpn中的报文转发方法和pe设备
CN103023898A (zh) * 2012-12-03 2013-04-03 杭州迪普科技有限公司 一种访问vpn服务端内网资源的方法及装置
CN104488235A (zh) * 2013-04-09 2015-04-01 华为技术有限公司 报文转发方法和网络设备
CN108366059A (zh) * 2018-02-07 2018-08-03 迈普通信技术股份有限公司 通信协商方法、响应方设备及发起方设备

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
《李辉》: "《移动VPN技术综述》", 《中国电子科学研究院学报》 *
MENG ZHULI: "《Context-based Deep Packet Inspection of IKE Phase One Exchange in IPSec VPN》", 《INTERNATIONAL CONFERENCE ON INNOVATIVE COMPUTING AND COMMUNICATION/ASIA-PACIFIC CONFERENCE ON INFORMATION TECHNOLOGY AND OCEAN ENGINEERING》 *

Also Published As

Publication number Publication date
CN111556084B (zh) 2022-08-23

Similar Documents

Publication Publication Date Title
US10069800B2 (en) Scalable intermediate network device leveraging SSL session ticket extension
US9742806B1 (en) Accessing SSL connection data by a third-party
CN111726366A (zh) 设备通信方法、装置、系统、介质和电子设备
US8595818B2 (en) Systems and methods for decoy routing and covert channel bonding
US8811397B2 (en) System and method for data communication between a user terminal and a gateway via a network node
US8104082B2 (en) Virtual security interface
US20160380894A1 (en) Path maximum transmission unit handling for virtual private networks
CN108702371A (zh) 用于产生用于安全验证的动态ipv6地址的系统、设备和方法
CN107046495B (zh) 用于构建虚拟专用网络的方法、装置和系统
US9832175B2 (en) Group member recovery techniques
US20140095862A1 (en) Security association detection for internet protocol security
JP2005117246A (ja) パケット判定装置
US20080133915A1 (en) Communication apparatus and communication method
CN111194541A (zh) 用于数据传输的装置和方法
US11006346B2 (en) X2 service transmission method and network device
WO2016165277A1 (zh) 一种实现IPsec分流的方法和装置
CN110832806B (zh) 针对面向身份的网络的基于id的数据面安全
US10015208B2 (en) Single proxies in secure communication using service function chaining
CN111556084B (zh) Vpn设备间的通信方法、装置、系统、介质和电子设备
JP2013077957A (ja) 中継装置、暗号化通信システム、暗号化通信プログラム、および暗号化通信方法
CN113746861B (zh) 基于国密技术的数据传输加密、解密方法及加解密系统
CN114039812B (zh) 数据传输通道建立方法、装置、计算机设备和存储介质
CN107547478B (zh) 报文传输方法、装置及系统
CN111866865B (zh) 一种数据传输方法、5g专网建立方法及系统
JP2007173959A (ja) 暗号化通信装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder

Address after: No. 333, Yunhua Road, high tech Zone, Chengdu, Sichuan 610041

Patentee after: China Electronics Technology Network Security Technology Co.,Ltd.

Address before: No. 333, Yunhua Road, high tech Zone, Chengdu, Sichuan 610041

Patentee before: CHENGDU WESTONE INFORMATION INDUSTRY Inc.

CP01 Change in the name or title of a patent holder