CN112019418A - 基于野蛮模式的IPSec隧道建立方法及其装置 - Google Patents
基于野蛮模式的IPSec隧道建立方法及其装置 Download PDFInfo
- Publication number
- CN112019418A CN112019418A CN201910465783.3A CN201910465783A CN112019418A CN 112019418 A CN112019418 A CN 112019418A CN 201910465783 A CN201910465783 A CN 201910465783A CN 112019418 A CN112019418 A CN 112019418A
- Authority
- CN
- China
- Prior art keywords
- ipsec tunnel
- encrypted
- idr
- tunnel establishment
- idi
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及基于野蛮模式的IPSec隧道建立方法及其装置。由IPSec隧道建立装置执行的基于野蛮模式的IPSec隧道建立方法包括:接收其他装置发送的第一IKE包,所述第一IKE包包括所述其他装置的加密后的身份信息IDi,其中,所述其他装置对加密前的IDi利用第一哈希算法确定所述加密后的IDi;根据所述第一IKE包对所述其他装置进行第一身份认证;对所述IPSec隧道建立装置的加密前的身份信息IDr利用第二哈希算法确定加密后的IDr;发送包括所述加密后的IDr的第二IKE包至所述其他装置;接收所述其他装置发送的第三IKE包,以在所述IPSec隧道建立装置与所述其他装置之间建立IPSec隧道,所述第三IKE包包括所述其他装置根据所述第二IKE包对所述IPSec隧道建立装置进行第二身份认证的确认信息。
Description
技术领域
本公开涉及通信领域,特别涉及基于野蛮模式的IPSec隧道建立方法及其装置、计算机可存储介质。
背景技术
IPSec(Internet Protocol Security,互联网安全协议)VPN(Virtual PrivateNetwork,虚拟专用网络)技术是一种应用广泛的隧道技术,包括天翼云、腾讯云、阿里云等等主流云资源池都采用了IPSec VPN隧道技术建立IPSec隧道为客户提供服务。在vCPE(virtual Customer Premise Equipment,虚拟客户终端设备)的运行环境下,通过建立IPSec隧道,将例如CPE(Customer Premise Equipment,客户终端设备)的企业侧的业务流量引入到vCPE,由vCPE为企业侧的业务流量提供转发、网络行为管控、分支组网及DPI(DeepPacket Inspection,深度包检测)增值服务等。
传统的基于主模式建立IPSec隧道的方法,虽然能够保护身份信息,但不支持动态IP,这限制了大量采用包括NAT(Network Address Translation,网络地址转换)穿越的动态IP接入的中小企业的应用,大大缩减了市场范围。
相关技术基于主模式、通过预先建立的物理通道传送IP地址,建立可实现动态IP地址的IPSec隧道。
发明内容
发明人认为:相关技术建立物理通道的成本高、实现复杂。
针对上述技术问题,本公开提出了一种解决方案,在有效保护IPSec隧道两端的身份信息的同时,成本低且实现简单。
根据本公开的第一方面,提供了一种基于野蛮模式的互联网安全协议IPSec隧道建立方法,由IPSec隧道建立装置执行,所述IPSec隧道建立方法包括:接收其他装置发送的第一因特网密钥交换协议IKE包,所述第一IKE包包括所述其他装置的加密后的身份信息IDi,其中,所述其他装置对加密前的IDi利用第一哈希算法确定所述加密后的IDi;根据所述第一IKE包对所述其他装置进行第一身份认证;对所述IPSec隧道建立装置的加密前的身份信息IDr利用第二哈希算法确定加密后的IDr;发送第二IKE包至所述其他装置,所述第二IKE包包括所述加密后的IDr;接收所述其他装置发送的第三IKE包,以在所述IPSec隧道建立装置与所述其他装置之间建立IPSec隧道,所述第三IKE包包括所述其他装置根据所述第二IKE包对所述IPSec隧道建立装置进行第二身份认证的确认信息。
在一些实施例中,对加密前的IDi利用第一哈希算法确定所述加密后的IDi包括:利用第一哈希算法对加密前的IDi和第一随机数Nonce进行哈希计算,得到第一哈希值;根据所述第一哈希算法的名称、第一随机数Nonce和第一哈希值,确定所述加密后的IDi。
在一些实施例中,根据所述第一IKE包对所述其他装置进行第一身份认证包括:从所述加密后的IDi中提取所述第一随机数Nonce、所述第一哈希值;利用所述第一哈希算法、对所述第一随机数Nonce和所述IPSec隧道建立装置的身份数据库中预先配置的各个其他装置的身份信息进行哈希计算,得到对应的第一参考哈希值;在存在所述第一参考哈希值和所述第一哈希值相同的情况下,第一身份认证成功。
在一些实施例中,对所述IPSec隧道建立装置的加密前的身份信息IDr利用第二哈希算法确定加密后的IDr包括:生成第二随机数Nonce;根据所述第二随机数Nonce和所述加密前的IDr,利用第二哈希算法确定所述加密后的IDr。
在一些实施例中,根据所述第二随机数Nonce和所述加密前的IDr,利用第二哈希算法确定所述加密后的IDr包括:利用所述第二哈希算法,对所述加密前的IDr和所述第二随机数Nonce进行哈希计算,得到第二哈希值;根据所述第二哈希算法的名称、所述第二随机数Nonce、所述第二哈希值,确定所述加密后的IDr。
根据本公开第二方面,提供了一种基于野蛮模式的IPSec隧道建立装置,包括:第一接收模块,被配置为接收其他装置发送的第一因特网密钥交换协议IKE包,所述第一IKE包包括所述其他装置的加密后的身份信息IDi,其中,所述其他装置对加密前的IDi利用第一哈希算法确定所述加密后的IDi;身份认证模块,被配置为根据所述第一IKE包对所述其他装置进行第一身份认证;确定模块,被配置为对所述IPSec隧道建立装置的加密前的身份信息IDr利用第二哈希算法确定加密后的IDr;发送模块,被配置为发送第二IKE包至所述其他装置,所述第二IKE包包括所述加密后的IDr;第二接收模块,被配置为接收所述其他装置发送的第三IKE包,以在IPSec隧道建立装置与其他装置之间建立IPSec隧道,所述第三IKE包包括所述其他装置根据所述第二IKE包对所述IPSec隧道建立装置进行第二身份认证的确认信息。
在一些实施例中,所述确定模块包括:生成单元,被配置为生成第二随机数Nonce;确定单元,被配置为根据所述第二随机数Nonce和所述加密前的IDr,利用第二哈希算法确定所述加密后的IDr。
根据本公开第三方面,提供了一种基于野蛮模式的IPSec隧道建立装置,包括:存储器;以及耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器的指令,执行上述任一实施例所述的基于野蛮模式的IPSec隧道建立方法。
根据本公开的第四方面,提供了一种虚拟客户终端设备vCPE,包括:上述任一实施例所述的基于野蛮模式的IPSec隧道建立装置。
根据本公开的第五方面,提供了一种计算机可存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现上述任一实施例所述的基于野蛮模式的IPSec隧道建立方法。
在上述实施例中,在有效保护了IPSec隧道两端的身份信息的同时,成本低且实现简单。
附图说明
构成说明书的一部分的附图描述了本公开的实施例,并且连同说明书一起用于解释本公开的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本公开,其中:
图1A示出根据本公开一些实施例的基于野蛮模式的IPSec隧道建立方法的流程图;
图1B示出根据本公开一些实施例的基于野蛮模式的IPSec隧道建立方法的信令图;
图2示出根据本公开一些实施例的基于野蛮模式的IPSec隧道建立装置的框图;
图3示出根据本公开另一些实施例的基于野蛮模式的IPSec隧道建立方法的信令图;
图4示出根据本公开另一些实施例的基于野蛮模式的IPSec隧道建立装置的框图;
图5A示出根据本公开一些实施例的虚拟客户终端设备vCPE的框图;
图5B示出根据本公开另一些实施例的虚拟客户终端设备vCPE的系统架构图;
图6示出用于实现本公开一些实施例的计算机系统的框图。
具体实施方式
现在将参照附图来详细描述本公开的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
图1A示出根据本公开一些实施例的基于野蛮模式的IPSec隧道建立方法的流程图。
如图1A所示,基于野蛮模式的IPSec隧道建立方法包括步骤S110~步骤S150。基于野蛮模式IPSec隧道建立方法由IPSec隧道建立装置执行。野蛮模式是IPSec隧道建立中的IKE(Internet Key Exchange,因特网密钥交换协议)协商的一种方式,通常用于动态IP地址的应用场景。例如,IPSec隧道建立装置部署于vCPE。
在步骤S110中,接收其他装置发送的第一IKE包。第一IKE包包括其他装置的加密后的身份信息IDi。其中,其他装置对加密前的IDi利用第一哈希算法确定加密后的IDi。其他装置例如为CPE。
例如,第一IKE包还包括其他装置生成的ISAKMP(Intern et SecurityAssociation and Key Management Protocol,因特网安全连接和密钥管理协议)的头部HDR、安全提议SA、密钥交换KE和第一随机数Ni。第一随机数Ni用于生成密钥。
在一些实施例中,通过如下方式实现对加密前的IDi利用第一哈希算法确定加密后的IDi。
首先,利用利用第一哈希算法对加密前的IDi和第一随机数Nonce进行哈希计算,得到第一哈希值。然后,根据第一哈希算法的名称、第一随机数Nonce和第一哈希值,确定加密后的IDi。
例如,第一哈希算法包括MD5(Message-Digest Algorithm 5,消息摘要算法5)、MD4(Message-Digest Algorithm 4,消息摘要算法4)、SHA-1(Secure Hash Algorithm-1,安全哈希算法-1)。应当理解,哈希算法也称为杂凑算法。在一些实施例中,第一随机数Nonce由其他装置生成。
在一些实施例中,加密后的IDi可以表示为“加密后的IDi=HASH1;NONCE1;Hash(IDi;NONCE1)”。参数HASH1表示第一哈希算法的名称。参数NONCE1表示第一随机数nonce。参数Hash(IDi;NONCE1)表示第一哈希值。各个参数之间采用分隔符“;”隔离,16进制形式为0X7e0X7b0X7e0X7b。例如,加密后的IDi=MD5;123456;第一哈希值。
在另一些实施例中,加密后的IDi还可以表示为“加密后的IDi=NONCE1;HASH1;Hash(IDi;NONCE1)”。应当理解,加密后的IDi的参数第一哈希算法的名称、第一随机数Nonce和第一哈希值可以以任意合理的方式组合,也可以采用其他任何分隔符进行隔离。
哈希算法具有不可破解的特性,采用哈希算法保护加密前的身份信息,即使攻击方截获加密后的身份信息,也无法反解出加密前的身份信息或者对加密后的身份信息加以利用,有效保护了身份信息,降低了IPSec隧道被攻击的可能性。
另外,通过身份信息进行身份认证、确定预共享密钥,不依赖于IP地址,其他装置可以为动态IP地址,无需购买固定IP地址,也无需建立物理通道,成本低且实现简单。
在步骤S120中,根据第一IKE包对其他装置进行第一身份认证。
在一些实施例中,通过如下方式进行第一身份认证。
首先,从加密后的IDi中提取所述第一随机数Nonce、所述第一哈希值。例如,从第一IKE包中提取加密后的IDi。
其次,利用第一哈希算法、对第一随机数Nonce和IPSec隧道建立装置的身份数据库中预先配置的各个其他装置的身份信息进行哈希计算,得到对应的第一参考哈希值。应当理解,可以在IPSec隧道建立装置与多个其他装置之间建立多个IPSec隧道。
最后,在存在第一参考哈希值和第一哈希值相同的情况下,第一身份认证成功。
在步骤S130中,对IPSec隧道建立装置的加密前的身份信息IDr利用第二哈希算法确定加密后的IDr。在一些实施例中,通过如下方式确定加密后的IDr。
首先,生成第二随机数Nonce。然后,根据第二随机数Nonce和加密前的IDr,利用第二哈希算法确定加密后的IDr。
例如,通过如下方式根据第二随机数Nonce和加密前的IDr,利用第二哈希算法确定加密后的IDr。
首先,利用第二哈希算法,对加密前的IDr和第二随机数Nonce进行哈希计算,得到第二哈希值。
然后,根据第二哈希算法的名称、第二随机数Nonce、第二哈希值,确定加密后的IDr。与加密后的IDi类似,加密后的IDr包括第二哈希算法的名称、第二随机数Nonce、第二哈希值。例如,第二哈希算法包括MD5(Message-Digest Algorithm 5,消息摘要算法5)、MD4(Message-Digest Algorithm 4,消息摘要算法4)、SHA-1(Secure Hash Algorithm-1,安全哈希算法-1)。
在一些实施例中,加密后的IDr可以表示为“加密后的IDr=HASH1;NONCE1;Hash(IDr;NONCE1)”。参数HASH1表示第二哈希算法的名称。参数NONCE1表示第二随机数nonce。参数Hash(IDr;NONCE1)表示第二哈希值。各个参数之间采用分隔符“;”隔离,16进制形式为0X7e0X7b0X7e0X7b。例如,加密后的IDr=MD5;123456;第二哈希值。
在另一些实施例中,加密后的IDr还可以表示为“加密后的IDr=NONCE1;HASH1;Hash(IDr;NONCE1)”。应当理解,加密后的IDr的参数第二哈希算法的名称、第二随机数Nonce和第二哈希值可以以任意合理的方式组合,也可以采用其他任何分隔符进行隔离。
在步骤S140中,发送第二IKE包至其他装置。第二IKE包包括加密后的IDr。在一些实施例中,第二IKE包还包括IPSec隧道建立装置生成的ISAKMP的头部HDR、安全提议SA、密钥交换KE和第二随机数Nr。第一随机数Nr用于生成密钥。
在步骤S150中,接收其他装置发送的第三IKE包,以在IPSec隧道建立装置与其他装置之间建立IPSec隧道。第三IKE包包括其他装置根据第二IKE包对IPSec隧道建立装置进行第二身份认证的确认信息。在一些实施例中,第三IKE包还包括HDR以及身份验证数据HASH_I。
在一些实施例中,其他装置中预先配置了IPSec隧道建立装置的加密前的身份信息IDr。例如,其他装置通过如下方式进行第二身份认证。
首先,从第二IKE包中提取加密后的IDr。其次,从加密后的IDr中提取第二随机数Nonce、第二哈希值。然后,利用第二哈希算法、对第二随机数Nonce和预先配置的IPSec隧道建立装置的加密前的身份信息IDr进行哈希计算,得到对应的第二参考哈希值。最后,判断第二参考哈希值和第二哈希值是否相同。在第二参考哈希值和第二哈希值相同的情况下,第二身份认证成功。其他装置生成第二身份认证的确认信息,并封装到第三IKE包中。
本公开提出的IPSec隧道建立方法有效保护了隧道双方的身份信息,并基于受保护的身份信息重新设计了隧道建立流程,很好的解决了野蛮模式下IPSec隧道两端身份信息保护的难题,且相对于在主模式下提前建立物理通道的方法具有成本低、复杂度低的效果。并且,本公开提出的IPSec隧道建立方法无需对IPSec协议进行修改。特别地,本公开对基于动态IP地址接入互联网,而同时对IPSec隧道有较高安全防护要求的中小企业有着积极意义。
图1B示出根据本公开一些实施例的基于野蛮模式的IPSec隧道建立方法的信令图。
如图1B所示,基于野蛮模式的IPSec隧道建立方法包括步骤S1,其他装置生成第一随机数Nonce、利用第一哈希算法对加密前的IDi和第一随机数Nonce进行哈希计算确定加密后的IDi;步骤S2,其他装置将加密后的IDi封装在第一IKE包并发送给基于野蛮模式的IPSec隧道建立装置;步骤S3,IPSec隧道建立装置根据第一IKE包对其他装置进行第一身份认证,并对加密前的IDr利用第二哈希算法确定加密后的IDr;步骤S4,IPSec隧道建立装置将加密后的IDr封装在第二IKE包并发送给其他装置;以及步骤S5,其他装置发送第三IKE包至IPSec隧道建立装置。第三IKE包包括其他装置根据第二IKE包对IPSec隧道建立装置进行第二身份认证的确认信息。
图2示出根据本公开一些实施例的基于野蛮模式的IPSec隧道建立装置的框图。
如图2所示,基于野蛮模式的IPSec隧道建立装置2包括第一接收模块21,被配置为接收其他装置发送的第一因特网密钥交换协议IKE包,例如执行如图1所示的步骤S110,第一IKE包包括其他装置的加密后的身份信息IDi,加密后的IDi为其他装置对加密前的IDi利用第一哈希算法得到;身份认证模块22,被配置为根据第一IKE包对其他装置进行第一身份认证,例如执行如图1所示的步骤S120;确定模块23,被配置为对IPSec隧道建立装置的加密前的身份信息IDr利用第二哈希算法确定加密后的IDr,例如执行如图1所示的步骤S130;发送模块24,被配置为发送第二IKE包至其他装置,第二IKE包包括加密后的IDr,例如执行如图1所示的步骤S140;第二接收模块25,被配置为接收其他装置发送的第三IKE包,以在IPSec隧道建立装置与其他装置之间建立IPSec隧道,例如执行如图1所示的步骤S150,第三IKE包包括其他装置根据第二IKE包对IPSec隧道建立装置进行第二身份认证的确认信息。
在一些实施例中,确定模块23包括生成单元231,被配置为生成第二随机数Nonce;以及确定单元232,被配置为根据第二随机数Nonce和加密前的IDr,利用第二哈希算法确定加密后的IDr。
在一些实施例中,身份认证模块和确定单元可以集成为身份认证/生成模块,生成单元可以单独作为一个模块,例如为生成模块。生成模块例如为Nonce生成器。在另一些实施例中,第一接收模块、发送模块、第二接收模块可以集成为一个模块,例如为IPSec核心处理模块。
在一些实施例中,基于野蛮模式的IPSec隧道建立装置2还包括身份数据库,被配置为存储各个其他装置的身份信息。
本公开的基于野蛮模式的IPSec隧道建立装置具有普适性、通用性、跨平台性。即,本公开的基于野蛮模式的IPSec隧道建立装置可以在基于各种平台的vCPE设备上实现并部署,也可以在基于实体设备或者虚拟机上的其他隧道网关实现并部署,还可以部署于天翼云等主流云资源池的云网关,还可以在企业私有云资源池的云网关进行部署,具有广泛的应用前景。
图3示出根据本公开另一些实施例的基于野蛮模式的IPSec隧道建立方法的信令图。
如图3所示,基于野蛮模式的IPSec隧道建立方法包括步骤S301~步骤S313。
在步骤S301中,其他装置作为IPSec隧道建立的发起者,生成HDR、SA、KE、Ni以及加密后的IDi,并封装于第一IKE包。在一些实施例中,其他装置为企业侧网关。企业侧网关例如为CPE。
在步骤S302中,其他装置发送第一IKE包至基于野蛮模式的IPSec隧道建立装置的第一接收模块。即,以野蛮模式向IPSec隧道建立装置发送IPSec隧道建立请求。在一些实施例中,IPSec隧道建立装置为vCPE。第一接收模块位于IPSec核心处理器中。
在步骤S303中,从第一IKE包提取并转发加密后的IDi至IPSec隧道建立装置的身份认证模块。该步骤由IPSec核心处理器中的一功能模块执行。
在步骤S304中,身份认证模块从IPSec隧道建立装置的身份数据库获取各个其他装置的身份信息。
在步骤S305中,身份认证模块根据加密后的IDi中的第一随机数Nonce、第一哈希值对其他装置进行第一身份认证。
在步骤S306中,身份认证模块在身份认证成功后向IPSec核心处理器发送身份认证通过消息。
在步骤S306之后,IPSec隧道建立装置的确定模块对加密前的IDr利用第二哈希算法确定加密后的IDr,确定模块包括生成单元和确定单元。具体地,通过生成单元和确定单元分别执行步骤S306和步骤S307确定加密后的IDr。
在步骤S307中,生成单元生成第二随机数Nonce,并发送至确定单元。
在步骤S308中,确定单元根据第二随机数Nonce和加密前的IDr,利用第二哈希算法确定加密后的IDr。
在步骤S309中,确定模块转发加密后的IDr至IPSec核心处理器。
在步骤S310中,IPSec核心处理器生成第二IKE包。该步骤具体由IPSec核心处理器的一功能模块执行。
在步骤S311中,发送模块发送第二IKE包至其他装置。发送模块位于IPSec核心处理器中。
在步骤S312中,其他装置根据第二IKE包对IPSec隧道建立装置进行第二身份认证,并生成包括第二身份认证的确认信息的第三IKE包。
在步骤S313中,其他装置发送第三IKE包给第二接收模块。第二接收模块位于IPSec核心处理器中。
图4示出根据本公开另一些实施例的基于野蛮模式的IPSec隧道建立装置的框图。
如图4所示,基于野蛮模式的IPSec隧道建立装置4包括存储器41;以及耦接至该存储器41的处理器42,存储器41用于存储执行IPSec隧道建立方法对应实施例的指令。处理器42被配置为基于存储在存储器41中的指令,执行本公开中任意一些实施例中的IPSec隧道建立方法。
图5A示出根据本公开一些实施例的虚拟客户终端设备vCPE的框图。
如图5A所示,虚拟客户终端设备5A包括本公开任意一些实施例的基于野蛮模式的IPSec隧道建立装置51A,被配置为执行本公开中任意一些实施例中的基于野蛮模式的IPSec隧道建立方法。
图5B示出根据本公开另一些实施例的虚拟客户终端设备vCPE的系统架构图。
如图5B所示,虚拟客户终端设备vCPE5B包括:vCPE网络接口51,被配置为接收并转发来自其他装置的各种信息和数据,并辅助构建IPSec隧道;IPSec核心处理器52,被配置为执行如图3所示步骤S303、S310、S311;Nonce生成器53,被配置为执行如图3所示的步骤S307;身份数据库54,被配置为执行如图3所示的步骤S304;身份认证/生成模块55,被配置为执行如图3所示的步骤S305、S308、S309;SA数据库56;密钥管理服务器57;加/解密引擎58;以及vCPE数据包转发模块59。SA数据库56、密钥管理服务器57、加/解密引擎58、vCPE数据包转发模块59为虚拟客户终端设备vCPE通用的模块,这里不再赘述。IPSec核心处理器52、Nonce生成器53、身份数据库54、身份认证/生成模块55为IPSec隧道建立装置的组成部分。
图6示出用于实现本公开一些实施例的计算机系统的框图。
如图6所示,计算机系统60可以通用计算设备的形式表现。计算机系统60包括存储器610、处理器620和连接不同系统组件的总线600。
存储器610例如可以包括系统存储器、非易失性存储介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序(Boot Loader)以及其他程序等。系统存储器可以包括易失性存储介质,例如随机存取存储器(RAM)和/或高速缓存存储器。非易失性存储介质例如存储有执行信息发送方法和信息接收方法中的至少一种的对应实施例的指令。非易失性存储介质包括但不限于磁盘存储器、光学存储器、闪存等。
处理器620可以用通用处理器、数字信号处理器(DSP)、应用专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑设备、分立门或晶体管等分立硬件组件方式来实现。相应地,诸如判断模块和确定模块的每个模块,可以通过中央处理器(CPU)运行存储器中执行相应步骤的指令来实现,也可以通过执行相应步骤的专用电路来实现。
总线600可以使用多种总线结构中的任意总线结构。例如,总线结构包括但不限于工业标准体系结构(ISA)总线、微通道体系结构(MCA)总线、外围组件互连(PCI)总线。
计算机系统60还可以包括输入输出接口630、网络接口640、存储接口650等。这些接口630、640、650以及存储器65和处理器620之间可以通过总线600连接。输入输出接口630可以为显示器、鼠标、键盘等输入输出设备提供连接接口。网络接口640为各种联网设备提供连接接口。存储接口640为软盘、U盘、SD卡等外部存储设备提供连接接口。
这里,参照根据本公开实施例的方法、装置和计算机程序产品的流程图和/或框图描述了本公开的各个方面。应当理解,流程图和/或框图的每个框以及各框的组合,都可以由计算机可读程序指令实现。
这些计算机可读程序指令可提供到通用计算机、专用计算机或其他可编程装置的处理器,以产生一个机器,使得通过处理器执行指令产生实现在流程图和/或框图中一个或多个框中指定的功能的装置。
这些计算机可读程序指令也可存储在计算机可读存储器中,这些指令使得计算机以特定方式工作,从而产生一个制造品,包括实现在流程图和/或框图中一个或多个框中指定的功能的指令。
本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。
通过上述实施例中的基于野蛮模式的IPSec隧道建立方法及其装置、计算机可存储介质,在有效保护IPSec隧道两端的身份信息的同时,成本低且实现简单。
至此,已经详细描述了根据本公开的基于野蛮模式的IPSec隧道建立方法及其装置、计算机可存储介质。为了避免遮蔽本公开的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
Claims (10)
1.一种基于野蛮模式的互联网安全协议IPSec隧道建立方法,由IPSec隧道建立装置执行,所述IPSec隧道建立方法包括:
接收其他装置发送的第一因特网密钥交换协议IKE包,所述第一IKE包包括所述其他装置的加密后的身份信息IDi,其中,所述其他装置对加密前的IDi利用第一哈希算法确定所述加密后的IDi;
根据所述第一IKE包对所述其他装置进行第一身份认证;
对所述IPSec隧道建立装置的加密前的身份信息IDr利用第二哈希算法确定加密后的IDr;
发送第二IKE包至所述其他装置,所述第二IKE包包括所述加密后的IDr;
接收所述其他装置发送的第三IKE包,以在所述IPSec隧道建立装置与所述其他装置之间建立IPSec隧道,所述第三IKE包包括所述其他装置根据所述第二IKE包对所述IPSec隧道建立装置进行第二身份认证的确认信息。
2.根据权利要求1所述的IPSec隧道建立方法,其中,对加密前的IDi利用第一哈希算法确定所述加密后的IDi包括:
利用第一哈希算法对加密前的IDi和第一随机数Nonce进行哈希计算,得到第一哈希值;
根据所述第一哈希算法的名称、第一随机数Nonce和第一哈希值,确定所述加密后的IDi。
3.根据权利要求2所述的IPSec隧道建立方法,其中,根据所述第一IKE包对所述其他装置进行第一身份认证包括:
从所述加密后的IDi中提取所述第一随机数Nonce、所述第一哈希值;
利用所述第一哈希算法、对所述第一随机数Nonce和所述IPSec隧道建立装置的身份数据库中预先配置的各个其他装置的身份信息进行哈希计算,得到对应的第一参考哈希值;
在存在所述第一参考哈希值和所述第一哈希值相同的情况下,第一身份认证成功。
4.根据权利要求1所述的IPSec隧道建立方法,其中,对所述IPSec隧道建立装置的加密前的身份信息IDr利用第二哈希算法确定加密后的IDr包括:
生成第二随机数Nonce;
根据所述第二随机数Nonce和所述加密前的IDr,利用第二哈希算法确定所述加密后的IDr。
5.根据权利要求4所述的IPSec隧道建立方法,其中,根据所述第二随机数Nonce和所述加密前的IDr,利用第二哈希算法确定所述加密后的IDr包括:
利用所述第二哈希算法,对所述加密前的IDr和所述第二随机数Nonce进行哈希计算,得到第二哈希值;
根据所述第二哈希算法的名称、所述第二随机数Nonce、所述第二哈希值,确定所述加密后的IDr。
6.一种基于野蛮模式的IPSec隧道建立装置,包括:
第一接收模块,被配置为接收其他装置发送的第一因特网密钥交换协议IKE包,所述第一IKE包包括所述其他装置的加密后的身份信息IDi,其中,所述其他装置对加密前的IDi利用第一哈希算法确定所述加密后的IDi;
身份认证模块,被配置为根据所述第一IKE包对所述其他装置进行第一身份认证;
确定模块,被配置为对所述IPSec隧道建立装置的加密前的身份信息IDr利用第二哈希算法确定加密后的IDr;
发送模块,被配置为发送第二IKE包至所述其他装置,所述第二IKE包包括所述加密后的IDr;
第二接收模块,被配置为接收所述其他装置发送的第三IKE包,以在IPSec隧道建立装置与其他装置之间建立IPSec隧道,所述第三IKE包包括所述其他装置根据所述第二IKE包对所述IPSec隧道建立装置进行第二身份认证的确认信息。
7.根据权利要求6所述的基于野蛮模式的IPSec隧道建立装置,其中,所述确定模块包括:
生成单元,被配置为生成第二随机数Nonce;
确定单元,被配置为根据所述第二随机数Nonce和所述加密前的IDr,利用第二哈希算法确定所述加密后的IDr。
8.一种基于野蛮模式的IPSec隧道建立装置,包括:
存储器;以及
耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器的指令,执行如权利要求1至5任一项所述的基于野蛮模式的IPSec隧道建立方法。
9.一种虚拟客户终端设备vCPE,包括:如权利要求6-8任一项所述的基于野蛮模式的IPSec隧道建立装置。
10.一种计算机可存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现如权利要求1至5任一项所述的基于野蛮模式的的IPSec隧道建立方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910465783.3A CN112019418B (zh) | 2019-05-31 | 2019-05-31 | 基于野蛮模式的IPSec隧道建立方法及其装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910465783.3A CN112019418B (zh) | 2019-05-31 | 2019-05-31 | 基于野蛮模式的IPSec隧道建立方法及其装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112019418A true CN112019418A (zh) | 2020-12-01 |
| CN112019418B CN112019418B (zh) | 2022-04-19 |
Family
ID=73500495
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910465783.3A Active CN112019418B (zh) | 2019-05-31 | 2019-05-31 | 基于野蛮模式的IPSec隧道建立方法及其装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112019418B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113411245A (zh) * | 2021-06-30 | 2021-09-17 | 北京天融信网络安全技术有限公司 | 一种IPSec隧道网络配置方法、装置、电子设备和存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030135753A1 (en) * | 2001-08-23 | 2003-07-17 | International Business Machines Corporation | Standard format specification for automatically configuring IP security tunnels |
| US20040151322A1 (en) * | 2001-06-05 | 2004-08-05 | Sampo Sovio | Method and arrangement for efficient information network key exchange |
| CN102347870A (zh) * | 2010-07-29 | 2012-02-08 | 中国电信股份有限公司 | 一种流量安全检测方法、设备和系统 |
| CN106533881A (zh) * | 2016-11-10 | 2017-03-22 | 锐捷网络股份有限公司 | Ipsec隧道恢复方法、分支出口设备和ipsec vpn系统 |
-
2019
- 2019-05-31 CN CN201910465783.3A patent/CN112019418B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040151322A1 (en) * | 2001-06-05 | 2004-08-05 | Sampo Sovio | Method and arrangement for efficient information network key exchange |
| US20030135753A1 (en) * | 2001-08-23 | 2003-07-17 | International Business Machines Corporation | Standard format specification for automatically configuring IP security tunnels |
| CN102347870A (zh) * | 2010-07-29 | 2012-02-08 | 中国电信股份有限公司 | 一种流量安全检测方法、设备和系统 |
| CN106533881A (zh) * | 2016-11-10 | 2017-03-22 | 锐捷网络股份有限公司 | Ipsec隧道恢复方法、分支出口设备和ipsec vpn系统 |
Non-Patent Citations (2)
| Title |
|---|
| IETF: "The Internet Key Exchange(IKE),RFC2409", 《IETF》 * |
| 王健: "网络安全防护技术的研究与实现", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113411245A (zh) * | 2021-06-30 | 2021-09-17 | 北京天融信网络安全技术有限公司 | 一种IPSec隧道网络配置方法、装置、电子设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112019418B (zh) | 2022-04-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110870277B (zh) | 将中间盒引入到客户端与服务器之间的安全通信中 | |
| CN104322001B (zh) | 使用服务名称识别的传输层安全流量控制 | |
| CN104662551B (zh) | 在网络环境中对加密的数据的检查 | |
| US11729042B2 (en) | IPSec acceleration method, apparatus, and system | |
| US11115391B2 (en) | Securing end-to-end virtual machine traffic | |
| CN110719248B (zh) | 用户数据报协议报文的转发方法及装置 | |
| CN107483383B (zh) | 一种数据处理方法、终端、后台服务器及存储介质 | |
| US20140177839A1 (en) | Secure app-to-app communication | |
| US11539747B2 (en) | Secure communication session resumption in a service function chain | |
| CN105763318B (zh) | 一种预共享密钥获取、分配方法及装置 | |
| CN112788594B (zh) | 数据传输方法、装置和系统、电子设备、存储介质 | |
| US9473466B2 (en) | System and method for internet protocol security processing | |
| US20240146728A1 (en) | Access control method, access control system, and related device | |
| CN107800723A (zh) | Cc攻击防护方法及设备 | |
| CN114844730A (zh) | 一种基于可信隧道技术构建的网络系统 | |
| CN112838925A (zh) | 数据传输方法、装置和系统、电子设备、存储介质 | |
| CN117254976B (zh) | 基于VPP的国标IPsec VPN实现方法、装置、系统及电子设备 | |
| CN108900324B (zh) | 校验虚拟机通信性能的方法及装置 | |
| CN112019418B (zh) | 基于野蛮模式的IPSec隧道建立方法及其装置 | |
| CN115225414A (zh) | 基于ipsec的加密策略匹配方法、装置及通信系统 | |
| CN111049798B (zh) | 一种信息处理方法、装置和计算机可读存储介质 | |
| US12028378B2 (en) | Secure communication session resumption in a service function chain preliminary class | |
| US20220400525A1 (en) | Method and system for communicating over overlay networks | |
| CN104104569A (zh) | 建立vpn隧道的方法及服务器 | |
| WO2023141946A1 (en) | Communication device and method therein for facilitating ike communications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |