CN113726795B - 报文转发方法、装置、电子设备及可读存储介质 - Google Patents
报文转发方法、装置、电子设备及可读存储介质 Download PDFInfo
- Publication number
- CN113726795B CN113726795B CN202111019562.7A CN202111019562A CN113726795B CN 113726795 B CN113726795 B CN 113726795B CN 202111019562 A CN202111019562 A CN 202111019562A CN 113726795 B CN113726795 B CN 113726795B
- Authority
- CN
- China
- Prior art keywords
- address
- message
- encryption key
- ipsec tunnel
- vpn device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
Abstract
本申请提供一种报文转发方法、装置、电子设备及可读存储介质,涉及数据传输技术领域。该方法通过接收与第一VPN设备连接的任一子网发送的报文,然后将报文与虚拟路由进行匹配,若报文与虚拟路由匹配,则获取虚拟路由中的IPSec隧道的标识,这样虚拟路由可将任一子网的数据流引流到对应的IPSec隧道进行传输,并且根据IPSec隧道的标识获取对应的加密密钥,该加密密钥是在IPSec隧道协商过程中获得的公共密钥,然后将报文进行加密后转发出去,这样第一VPN设备与第二VPN设备无需为多个子网维护多个密钥,只需要针对多个子网维护一个公共密钥即可,节省了隧道协商资源以及降低了密钥维护成本。
Description
技术领域
本申请涉及数据传输技术领域,具体而言,涉及一种报文转发方法、装置、电子设备及可读存储介质。
背景技术
互联网协议安全(Internet Protocol Security,IPSec)是一种虚拟专用网络(Virtual Private Network,VPN)技术,该技术利用IPSec协议为互联网上传输的数据提供了高质量的、基于密码学的安全保证,从而确保用户数据传输的稳定性。
现有的方式中,本端设备在维护多个子网时,针对每个子网需要协商获得一个加密密钥,每个子网的数据通过对应的加密密钥进行加密后再传输给对端设备,这种情况下,两端设备均需要维护多个密钥,维护成本较高。
发明内容
本申请实施例的目的在于提供一种报文转发方法、装置、电子设备及可读存储介质,用以改善现有技术中密钥维护成本高的问题。
第一方面,本申请实施例提供了一种报文转发方法,应用于第一VPN设备,所述方法包括:
接收与所述第一VPN设备连接的多个子网中任一子网发送的报文;
将所述报文与预先配置的虚拟路由进行匹配,若所述报文与所述虚拟路由匹配,则获取所述虚拟路由中的IPSec隧道的标识,其中,所述虚拟路由用于指示所述第一VPN设备将所述任一子网的报文通过对应的IPSec隧道发送出去;
根据所述IPSec隧道的标识获取对应的加密密钥,其中,所述加密密钥为所述第一VPN设备与第二VPN设备在IPSec隧道协商过程中针对所述多个子网所确定的公共密钥;
按照所述加密密钥对所述报文进行加密处理后转发给所述第二VPN设备。
在上述实现过程中,第一VPN设备通过接收与第一VPN设备连接的任一子网发送的报文,然后将报文与预先配置的虚拟路由进行匹配,若报文与虚拟路由匹配,则获取虚拟路由中的IPSec隧道的标识,虚拟路由用于指示第一VPN设备将任一子网的报文通过对应的IPSec隧道发送出去,这样虚拟路由可将任一子网的数据流引流到对应的IPSec隧道进行传输,并且根据IPSec隧道的标识获取对应的加密密钥,该加密密钥是在IPSec隧道协商过程中获得的公共密钥,然后将报文进行加密后转发出去,这样第一VPN设备与第二VPN设备无需为多个子网维护多个密钥,只需要针对多个子网维护一个公共密钥即可,节省了隧道协商资源以及降低了密钥维护成本。另外,第一VPN设备在进行报文转发时,可以快速匹配到对应的公共密钥进行加密处理,无需针对每个子网的报文匹配对应的密钥,处理效率更高,可以实现报文的快速转发。
可选地,通过以下方式确定所述加密密钥:
在所述第一VPN设备与所述第二VPN设备的IPSec隧道协商过程中,向所述第二VPN设备发送源IP地址为any且目的IP地址为any的协商报文,所述协商报文用于指示所述第二VPN设备为源IP地址为any且目的IP地址为any对应的数据流生成加密密钥;
其中,所述源IP地址为any是指所述源IP地址是任意的地址或者任意一个子网的子网IP地址,所述目的IP地址为any是指所述目的IP地址是任意的地址或者任意一个服务器的IP地址。
在上述实现过程中,通过在协商报文中携带的源IP地址和目的IP地址为any,这样可以为任意两个地址之间协商出一个公共密钥,而不需要针对每个子网协商出一个密钥,可节省隧道协商资源,降低密钥维护成本。
可选地,在IPSec隧道协商后,所述方法还包括:
针对建立的IPSec隧道配置对应的虚拟路由,所述虚拟路由包括源IP地址、目的IP地址以及IPSec隧道的标识,所述源IP地址为所述任一子网的IP地址,所述目的IP地址为目的设备的IP地址;
配置所述IPSec隧道对应的加密策略,所述加密策略包括所述加密密钥。
在上述实现过程中,通过配置虚拟路由,可将原本是源IP地址为any且目的IP地址为any对应的数据流对应的加密密钥转换为对应子网的加密密钥,并将子网的数据引流到该IPSec隧道进行加密传输。
可选地,所述虚拟路由包括源IP地址、目的IP地址以及IPSec隧道的标识,所述将所述报文与预先配置的虚拟路由进行匹配,包括:
将所述报文中携带的所述任一子网的IP地址与所述虚拟路由中的源IP地址进行匹配,以及将所述报文中携带的目的IP地址与所述虚拟路由中的目的IP地址进行匹配;
若所述报文中携带的所述任一子网的IP地址与所述虚拟路由中的源IP地址相同,且所述报文中携带的目的IP地址与所述虚拟路由中的目的IP地址相同,则确定所述报文与所述虚拟路由匹配。
在上述实现过程中,将报文与虚拟路由中的IP地址进行匹配,从而可以通过虚拟路由将报文引流到对应的IPSec隧道进行加密传输。
可选地,所述任一子网为与所述第一VPN设备连接的第一网络中的子网,所述第一VPN设备还连接有第二网络;在所述第一VPN设备与所述第二VPN设备的IPSec隧道协商过程中,分别为所述第一网络协商获得对应的第一加密密钥以及为所述第二网络协商获得对应的第二加密密钥;所述虚拟路由包括网络标识;所述根据所述IPSec隧道的标识获取对应的加密密钥,包括:
根据所述IPSec隧道的标识以及所述网络标识获取对应的第一加密密钥;
所述按照所述加密密钥对所述报文进行加密处理后转发给所述第二VPN设备,包括:
按照所述第一加密密钥对所述报文进行加密处理后转发给所述第二VPN设备。
在上述实现过程中,针对不同的网络协商出不同的加密密钥,这样针对不同的网络可以采用不同的加密密钥进行加密后传输,可以适用有不同加密需求的应用场景。
可选地,所述第一加密密钥和所述第二加密密钥的安全级别不同。这样可以针对不同安全性要求的数据采用不同安全级别的密钥进行加密,适用场景更广泛。
可选地,所述方法还包括:
在设定时间过后,对所述加密密钥进行更新。这样可以避免长时间使用一个加密密钥安全性不高的问题,对加密密钥进行更新,则可以针对不同时间段的数据采用不同的加密密钥进行加密,数据安全性更高。
第二方面,本申请实施例提供了一种报文转发装置,运行于第一VPN设备,所述装置包括:
报文接收模块,用于接收与所述第一VPN设备连接的多个子网中任一子网发送的报文;
报文匹配模块,用于将所述报文与预先配置的虚拟路由进行匹配,若所述报文与所述虚拟路由匹配,则获取所述虚拟路由中的IPSec隧道的标识,其中,所述虚拟路由用于指示所述第一VPN设备将所述任一子网的报文通过对应的IPSec隧道发送出去;
密钥获取模块,用于根据所述IPSec隧道的标识获取对应的加密密钥,其中,所述加密密钥为所述第一VPN设备与第二VPN设备在IPSec隧道协商过程中针对所述多个子网所确定的公共密钥;
报文转发模块,用于按照所述加密密钥对所述报文进行加密处理后转发给所述第二VPN设备。
可选地,所述密钥获取模块,用于在所述第一VPN设备与所述第二VPN设备的IPSec隧道协商过程中,向所述第二VPN设备发送源IP地址为any且目的IP地址为any的协商报文,所述协商报文用于指示所述第二VPN设备为源IP地址为any且目的IP地址为any对应的数据流生成加密密钥;其中,所述源IP地址为any是指所述源IP地址是任意的地址或者任意一个子网的子网IP地址,所述目的IP地址为any是指所述目的IP地址是任意的地址或者任意一个服务器的IP地址。
可选地,在IPSec隧道协商后,所述装置还包括:
配置模块,用于针对建立的IPSec隧道配置对应的虚拟路由,所述虚拟路由包括源IP地址、目的IP地址以及IPSec隧道的标识,所述源IP地址为所述任一子网的IP地址,所述目的IP地址为目的设备的IP地址;以及配置所述IPSec隧道对应的加密策略,所述加密策略包括所述加密密钥。
可选地,所述虚拟路由包括源IP地址、目的IP地址以及IPSec隧道的标识,所述报文匹配模块,用于将所述报文中携带的所述任一子网的IP地址与所述虚拟路由中的源IP地址进行匹配,以及将所述报文中携带的目的IP地址与所述虚拟路由中的目的IP地址进行匹配;若所述报文中携带的所述任一子网的IP地址与所述虚拟路由中的源IP地址相同,且所述报文中携带的目的IP地址与所述虚拟路由中的目的IP地址相同,则确定所述报文与所述虚拟路由匹配。
可选地,所述任一子网为与所述第一VPN设备连接的第一网络中的子网,所述第一VPN设备还连接有第二网络;在所述第一VPN设备与所述第二VPN设备的IPSec隧道协商过程中,分别为所述第一网络协商获得对应的第一加密密钥以及为所述第二网络协商获得对应的第二加密密钥;所述虚拟路由包括网络标识;
所述密钥获取模块,用于根据所述IPSec隧道的标识以及所述网络标识获取对应的第一加密密钥;
所述报文转发模块,用于按照所述第一加密密钥对所述报文进行加密处理后转发给所述第二VPN设备。
可选地,所述第一加密密钥和所述第二加密密钥的安全级别不同。
可选地,所述装置还包括:
密钥更新模块,用于在设定时间过后,对所述加密密钥进行更新。
第三方面,本申请实施例提供一种电子设备,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如上述第一方面提供的所述方法中的步骤。
第四方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时运行如上述第一方面提供的所述方法中的步骤。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种网络结构的示意图;
图2为本申请实施例提供的一种报文转发方法的流程图;
图3为本申请实施例提供的一种报文转发装置的结构框图;
图4为本申请实施例提供的一种用于执行报文转发方法的电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述。
需要说明的是,本发明实施例中的术语“系统”和“网络”可被互换使用。“多个”是指两个或两个以上,鉴于此,本发明实施例中也可以将“多个”理解为“至少两个”。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,字符“/”,如无特殊说明,一般表示前后关联对象是一种“或”的关系。
本申请实施例提供一种报文转发方法,该方法应用于第一VPN设备,第一VPN设备通过接收与第一VPN设备连接的任一子网发送的报文,然后将报文与预先配置的虚拟路由进行匹配,若报文与虚拟路由匹配,则获取虚拟路由中的IPSec隧道的标识,虚拟路由用于指示第一VPN设备将任一子网的报文通过对应的IPSec隧道发送出去,这样虚拟路由可将任一子网的数据流引流到对应的IPSec隧道进行传输,并且根据IPSec隧道的标识获取对应的加密密钥,该加密密钥是在IPSec隧道协商过程中获得的公共密钥,然后将报文进行加密后转发出去,这样第一VPN设备与第二VPN设备无需为多个子网维护多个密钥,只需要针对多个子网维护一个公共密钥即可,节省了隧道协商资源以及降低了密钥维护成本。
另外,第一VPN设备在进行报文转发时,可以快速匹配到对应的公共密钥进行加密处理,无需针对每个子网的报文匹配对应的密钥,处理效率更高,可以实现报文的快速转发。
为了便于理解,下面先介绍本申请的应用环境。
请参照图1,图1为本申请实施例提供的一种网络系统的结构示意图,本申请的报文转发方法应用于该网络系统,该网络系统包括至少一个子网、第一VPN设备、第二VPN设备以及至少一个服务器,每个子网下包括有至少一个终端设备,终端设备与服务器之间使用公共网络进行数据交互。为了实现终端设备与服务器之间的安全通信,第一VPN设备与第二VPN设备可以预先建立IPSec隧道,IPSec隧道用于传输两端设备通信的数据报文。
IPSec隧道建立的过程为IPSec协商的过程,IPSec隧道协商包括两个协商阶段,第一协商阶段主要是对协商双方进行身份认证,并在两方之间建立一条安全通道,主要协商的参数包括加密算法、身份认证算法和Diffie-Hellman组标识等。在第二协商阶段时,是在第一协商阶段建立的安全通道上协商IPSec参数,IPSec参数包括加密算法、Hash算法、安全协议、封装模式等,第二协商阶段协商获得的加密算法用于对两端设备真正传输的数据进行加密,即下文中所说的加密密钥。
其中,第一VPN设备和第二VPN设备可以为网关或路由器等数据转发设备,两者在建立IPSec隧道后,可通过IPSec隧道进行数据传输。
下面详细介绍本申请的报文转发方法的具体实现过程。
请参照图2,图2为本申请实施例提供的一种报文转发方法的流程图,该方法应用于第一VPN设备,包括如下步骤:
步骤S110:接收与第一VPN设备连接的多个子网中任一子网发送的报文。
第一VPN设备连接有多个子网,每个子网可包含有多个终端设备,每个子网对应有一个子网IP地址,若某个子网下的终端设备向对端的服务器发送信息,则向第一VPN设备发送对应的报文,第一VPN设备则可接收到任一子网发送的报文。
步骤S120:将所述报文与预先配置的虚拟路由进行匹配,若所述报文与所述虚拟路由匹配,则获取所述虚拟路由中的IPSec隧道的标识。
第一VPN设备接收的报文中可携带有源IP地址、目的IP地址、源端口、目的端口等信息,第一VPN设备在进行转发时,需要根据路由信息进行转发,本申请中预先在第一VPN设备上配置了虚拟路由,该虚拟路由用于指示第一VPN设备将任一子网的报文通过对应的IPSec隧道发送出去。该虚拟路由与真正的路由信息所包含的信息可以不同,因为在进行IPSec隧道协商时,为了对多个子网协商出一个共同的公共密钥,所以其协商时的源IP地址并不是实际的子网IP地址,目的IP地址也不是实际的服务器的IP地址,所以,为了将这些子网的报文进行加密传输,需要配置虚拟路由来将子网的报文引流到对应的IPSec隧道进行加密传输。
其中,IPSec隧道的标识可以是指IPSec隧道的名称,或者也可以是其他可以唯一标识不同IPSec隧道的信息,如隧道ID等。
步骤S130:根据所述IPSec隧道的标识获取对应的加密密钥。
如果网络系统中存在多条IPSec隧道,则针对每条IPSec隧道配置有对应的加密策略,加密策略可以包括对应的加密算法和加密密钥。第一VPN设备上可存储有IPSec隧道的标识与加密策略的对应关系,所以,可以根据IPSec隧道的标识来获得对应的加密策略,进而获得对应的加密密钥。该加密密钥是指第一VPN设备与第二VPN设备在IPSec隧道协商过程中针对多个子网所确定的公共密钥,这样对于第一VPN设备和第二VPN设备来说,两个设备针对多个子网只需要维护一个公共密钥即可,无需针对每个子网均维护一个密钥,也就是说这多个子网的数据均可通过同一个公共密钥进行加密后传输,这样可有效减少密钥维护成本。
步骤S140:按照所述加密密钥对所述报文进行加密处理后转发给第二VPN设备。
获得加密密钥后,可采用加密密钥对报文进行加密处理后,将加密后的报文发送给第二VPN设备,第二VPN设备接收到报文后,获取对应的解密策略对报文进行加密后,再发送给对应的目的服务器。
在上述实现过程中,第一VPN设备通过接收与第一VPN设备连接的任一子网发送的报文,然后将报文与预先配置的虚拟路由进行匹配,若报文与虚拟路由匹配,则获取虚拟路由中的IPSec隧道的标识,虚拟路由用于指示第一VPN设备将任一子网的报文通过对应的IPSec隧道发送出去,这样虚拟路由可将任一子网的数据流引流到对应的IPSec隧道进行传输,并且根据IPSec隧道的标识获取对应的加密密钥,该加密密钥是在IPSec隧道协商过程中获得的公共密钥,然后将报文进行加密后转发出去,这样第一VPN设备与第二VPN设备无需为多个子网维护多个密钥,只需要针对多个子网维护一个公共密钥即可,节省了隧道协商资源以及降低了密钥维护成本。另外,第一VPN设备在进行报文转发时,可以快速匹配到对应的公共密钥进行加密处理,无需针对每个子网的报文匹配对应的密钥,处理效率更高,可以实现报文的快速转发。
在上述实施例的基础上,为了减少密钥维护成本,可以针对多个子网协商出一个公共密钥,具体实现方式为:在第一VPN设备与第二VPN设备进行IPSec隧道协商过程中,如上述的第二协商阶段,第一VPN设备向第二VPN设备发送源IP地址为any且目的IP地址为any的协商报文,该协商报文用于指示第二VPN设备为源IP地址为any且目的IP地址为any对应的数据流生成加密密钥。
在协商时,第一VPN设备为多个子网协商出一条IPSec隧道,这样多个子网的数据均通过这一条IPSec隧道进行加密传输,无需维护多条IPSec隧道,只需维护单条隧道信息,节省了隧道资源。并且,由于本申请中只需要协商出一个公共密钥,这样就不需要针对每个子网都进行密钥协商,即不需要进行多次第二协商阶段,提高了协商效率。
其中,源IP地址为any可以是指源IP地址可以是任意的地址,如全0地址,目的IP地址为any也可以是指目的IP地址可以是任意的地址,如全0地址,这样IPSec隧道保护的子网就是所有网段的子网地址;或者说源IP地址为any可以是指任意一个子网的子网IP地址,目的IP地址为any可以是指任意一个服务器的IP地址。也就是说,在协商时,第一VPN设备与第二VPN设备为任意的源IP地址与目的IP地址之间的数据流建立一条IPSec隧道,并协商确定该IPSec隧道对应的加密密钥,如此获得的加密密钥可以是针对多个子网的公共密钥,后续通过虚拟路由将需要进行加密传输的子网引流到对应的IPSec隧道加密传输即可。
在上述实现过程中,通过在协商报文中携带的源IP地址和目的IP地址为any,这样可以为任意两个地址之间协商出一个公共密钥,而不需要针对每个子网协商出一个密钥,可节省隧道协商资源,在保证数据安全性的前提下,简化了配置和维护成本。
在上述实施例的基础上,在IPSec隧道协商成功后,即在构建IPSec隧道并确定公共密钥后,还可以针对建立的IPSec隧道配置对应的虚拟路由,虚拟路由配置在第一VPN设备上,虚拟路由包括源IP地址、目的IP地址以及IPSec隧道的标识,其中,源IP地址为任一子网的IP地址,目的IP地址为目的设备的IP地址;并配置IPSec隧道对应的加密策略,该加密策略包括上述的加密密钥。
例如,与第一VPN设备连接的多个子网有3个,若该3个子网的数据均通过建立的同一条IPSec隧道(如IPSec隧道的标识为IPSec隧道a)传输,与第二VPN设备连接的服务器有2个,即第二VPN设备所连接的子网为2个,则可在第一VPN设备上配置6条虚拟路由,如包括(子网1的IP地址,服务器1的IP地址,IPSec隧道a)、(子网1的IP地址,服务器2的IP地址,IPSec隧道a)、(子网2的IP地址,服务器1的IP地址,IPSec隧道a)、(子网2的IP地址,服务器2的IP地址,IPSec隧道a)、(子网3的IP地址,服务器1的IP地址,IPSec隧道a)、(子网3的IP地址,服务器3的IP地址,IPSec隧道a)。
在第一VPN设备上配置的加密策略可以包含有加密密钥(即上述的公共密钥),还可以包括有对应的加密算法,当然,由于两端VPN设备都需要对数据进行加解密,所以第一VPN设备上还可以配置有对应的解密策略,第二VPN设备上可以配置有加密策略和解密策略,以实现对两端设备传输的数据进行加解密。
在上述实现过程中,通过配置虚拟路由,可将原本是源IP地址为any且目的IP地址为any对应的数据流对应的加密密钥转换为对应子网的加密密钥,并将子网的数据引流到该IPSec隧道进行加密传输。
在上述实施例的基础上,虚拟路由包括源IP地址、目的IP地址以及IPSec隧道的标识,在将报文与虚拟路由进行匹配时,是将报文中携带的任一子网的IP地址与虚拟路由中的源IP地址进行匹配,以及将报文中携带的目的IP地址与虚拟路由中的目的IP地址进行匹配,若报文中携带的任一子网的IP地址与虚拟路由中的源IP地址相同,且报文中携带的目的IP地址与虚拟路由中的目的IP地址相同,则确定报文与该虚拟路由匹配。
继续以上述示例为例介绍数据传输的过程,例如,第一VPN设备接收到的报文为子网1发送给服务器1的报文,则报文中携带的源IP地址为子网1的IP地址,目的IP地址为服务器1的IP地址,然后将该报文分别与6条虚拟路由分别进行匹配,如果命中其中的一条虚拟路由,则停止匹配,如该报文与其中一条虚拟路由(子网1的IP地址,服务器1的IP地址,IPSec隧道a)匹配,此时,则获取该虚拟路由中的IPSec隧道的标识,即获得IPSec隧道a,然后根据该标识查找对应的加密密钥,如该隧道对应的加密密钥为A1,则可采用加密密钥A1对该报文进行加密,然后再发送出去。
可以理解地,若上述只有子网1和子网2的数据需要通过IPSec隧道a加密传输,若子网3的数据不需要通过IPSec隧道a加密传输,则可以根据需求配置虚拟路由,即这种情况下配置的虚拟路由为4条,包括:(子网1的IP地址,服务器1的IP地址,IPSec隧道a)、(子网1的IP地址,服务器2的IP地址,IPSec隧道a)、(子网2的IP地址,服务器1的IP地址,IPSec隧道a)、(子网2的IP地址,服务器2的IP地址,IPSec隧道a)。这样可以通过虚拟路由将需要加密传输的子网数据引流到对应的IPSec隧道中加密传输,不需要针对每个子网均配置对应的路由信息,简化了配置。
在上述实现过程中,将报文与虚拟路由中的IP地址进行匹配,从而可以通过虚拟路由将报文引流到对应的IPSec隧道进行加密传输。
在上述实施例的基础上,为了针对不同安全级别的子网协商不同安全级别的加密密钥,上述实施例中的任一子网可以是指与第一VPN设备连接的第一网络中的子网,第一VPN设备还连接有第二网络,如第一VPN设备连接有5个子网,将其中的3个子网(该3个子网可以认为是企业内部安全级别比较高的部门,如财务部、董秘部、人事部等)划分为第一网络,其中的2个子网(这两个子网可以是企业内部安全级别相对较低的部门,如项目部、流程部等)划分为第二网络。
这样在第一VPN设备与第二VPN设备的IPSec隧道协商过程中,分别为第一网络协商获得对应的第一加密密钥以及为第二网络协商获得对应的第二加密密钥。
例如,第一VPN设备在与第二VPN设备进行IPSec隧道协商时,第一VPN设备向第二VPN设备发送的协商报文中携带的源IP地址为地址1、目的IP地址为地址2,这样第二VPN设备可为地址1与地址2之间的数据流生成第一加密密钥,然后第一VPN设备又进行二次协商,发送的协商报文中携带的源IP地址为地址3(地址3与地址1不同,两个地址可以是随意生成的虚拟地址)、目的IP地址为地址4(地址4与地址2不同,两个地址也可以是随意生成的虚拟地址),这样第二VPN设备可以为地址3和地址4之间的数据流生成第二加密密钥。
所以,第一VPN设备与第二VPN设备通过两次协商,可为第一网络和第二网络分别协商获得对应的加密密钥,并且经过两次协商可建立两条IPSec隧道,如分别为IPSec隧道a和IPSec隧道b,IPSec隧道a对应的加密密钥为第一加密密钥,表示第一网络的数据采用第一加密密钥进行加密后,通过IPSec隧道a传输,IPSec隧道b对应的加密密钥为第二加密密钥,表示第二网络的数据采用第二加密密钥进行加密后,通过IPSec隧道b传输。
然后可针对每个网络配置对应的虚拟路由,如针对第一网络(如包括子网1、子网2和子网3)配置的虚拟路由包括:(子网1的IP地址,服务器1的IP地址,IPSec隧道a)、(子网1的IP地址,服务器2的IP地址,IPSec隧道a)、(子网2的IP地址,服务器1的IP地址,IPSec隧道a)、(子网2的IP地址,服务器2的IP地址,IPSec隧道a)、(子网3的IP地址,服务器1的IP地址,IPSec隧道a)、(子网3的IP地址,服务器2的IP地址,IPSec隧道a)。针对第二网络(如包括子网4和子网5)配置的虚拟路由包括:(子网3的IP地址,服务器1的IP地址,IPSec隧道b)、(子网3的IP地址,服务器2的IP地址,IPSec隧道b)、(子网4的IP地址,服务器1的IP地址,IPSec隧道b)、(子网4的IP地址,服务器4的IP地址,IPSec隧道b)。
配置好虚拟路由后,还可以在第一VPN设备上配置IPSec隧道的标识与加密密钥的对应关系,这样第一VPN设备若在接收到子网1发送的报文后,其携带的源IP地址为子网1的IP地址,若其携带的目的IP地址为服务器1的IP地址,则该报文匹配到虚拟路由(子网1的IP地址,服务器1的IP地址,IPSec隧道a),所以,可以根据IPSec隧道a获取到对应的第一加密密钥,然后可采用第一加密密钥对报文进行加密后,通过IPSec隧道a传输出去。同理,若第一VPN设备接收到子网3或子网4的报文,则采用第二加密密钥对报文进行加密后,通过IPSec隧道b传输出去。
另外,在其他实施方式中,第一VPN设备与第二VPN设备通过两次协商可获得第一加密密钥以及第二加密密钥,并建立一条IPSec隧道(如IPSec隧道a),此时该隧道维护两个加密密钥,上述实施例为一条隧道维护一个加密密钥。这种情况下,为了区分加密所采用的第一加密密钥和第二加密密钥,则虚拟路由还可以包括网络标识,如配置的虚拟路由为(源IP地址,目的IP地址,IPSec隧道的标识,网络标识)。继续以上述示例为例,如针对第一网络(如包括子网1、子网2和子网3)配置的虚拟路由包括:(子网1的IP地址,服务器1的IP地址,IPSec隧道a,网络1)、(子网1的IP地址,服务器2的IP地址,IPSec隧道a,网络1)、(子网2的IP地址,服务器1的IP地址,IPSec隧道a,网络1)、(子网2的IP地址,服务器2的IP地址,IPSec隧道a,网络1)、(子网3的IP地址,服务器1的IP地址,IPSec隧道a,网络1)、(子网3的IP地址,服务器2的IP地址,IPSec隧道a,网络1)。针对第二网络(如包括子网4和子网5)配置的虚拟路由包括:(子网3的IP地址,服务器1的IP地址,IPSec隧道a,网络2)、(子网3的IP地址,服务器2的IP地址,IPSec隧道a,网络2)、(子网4的IP地址,服务器1的IP地址,IPSec隧道a,网络2)、(子网4的IP地址,服务器2的IP地址,IPSec隧道a,网络2)。
配置好虚拟路由后,还可以在第一VPN设备上配置IPSec隧道的标识、网络标识与加密密钥的对应关系,如IPSec隧道a、网络1-第一加密密钥,这样第一VPN设备若在接收到子网1发送的报文后,其携带的源IP地址为子网1的IP地址,若其携带的目的IP地址为服务器1的IP地址,则该报文匹配到虚拟路由(子网1的IP地址,服务器1的IP地址,IPSec隧道a、网络1),所以,可以根据IPSec隧道a以及网络1获取到对应的第一加密密钥,然后可采用第一加密密钥对报文进行加密后,通过IPSec隧道a传输出去。同理,若第一VPN设备接收到子网3或子网4的报文,则根据IPSec隧道a以及网络2获取到对应的第二加密密钥,然后采用第二加密密钥对报文进行加密后,通过IPSec隧道a传输出去。
在上述实现过程中,这样可以针对不同的网络采用不同的加密密钥加密后,通过不同的IPSec隧道传输出去,可以适用于更多不同的应用场景。
在上述实施例的基础上,第一加密密钥和第二加密密钥的安全级别不同,如第一网络内的数据安全性更高,则第一加密密钥的安全级别更高,具体可以是第一加密密钥对应的加密算法更复杂,安全性更高,或者是第一加密密钥更复杂,相比于第二加密密钥更不容易被破解,这样可以针对不同安全性要求的数据采用不同安全级别的密钥进行加密,适用场景更广泛。
在上述实施例的基础上,为了确保数据传输安全,还可以定时对上述协商确定的加密密钥进行更新,如在设定时间过后对加密密钥进行更新,或者还可以在设定时间过后,重新协商获得新的加密密钥。
例如,在获得加密密钥后,第一VPN设备可启动一个定时器,在定时器到期之后,自动对加密密钥进行更新,并将更新后的加密密钥发送给第二VPN设备。或者,在定时器到期之后,自动重新向第二VPN设备发送协商报文,以重新协商获得新的加密密钥。如此,可在一定时间后对加密密钥进行更新,以避免长时间使用一个加密密钥,若该加密密钥被泄露而导致安全性不高的问题,对加密密钥进行更新可以及时更换密钥,且可以针对不同时间段的数据采用不同的加密密钥进行加密,数据安全性更高。
请参照图3,图3为本申请实施例提供的一种报文转发装置200的结构示意图,该装置200可以是第一VPN设备上的模块、程序段或代码。应理解,该装置200与上述图2方法实施例对应,能够执行图2方法实施例涉及的各个步骤,该装置200具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。
可选地,所述装置200包括:
报文接收模块210,用于接收与所述第一VPN设备连接的多个子网中任一子网发送的报文;
报文匹配模块220,用于将所述报文与预先配置的虚拟路由进行匹配,若所述报文与所述虚拟路由匹配,则获取所述虚拟路由中的IPSec隧道的标识,其中,所述虚拟路由用于指示所述第一VPN设备将所述任一子网的报文通过对应的IPSec隧道发送出去;
密钥获取模块230,用于根据所述IPSec隧道的标识获取对应的加密密钥,其中,所述加密密钥为所述第一VPN设备与第二VPN设备在IPSec隧道协商过程中针对所述多个子网所确定的公共密钥;
报文转发模块240,用于按照所述加密密钥对所述报文进行加密处理后转发给所述第二VPN设备。
可选地,所述密钥获取模块230,用于在所述第一VPN设备与所述第二VPN设备的IPSec隧道协商过程中,向所述第二VPN设备发送源IP地址为any且目的IP地址为any的协商报文,所述协商报文用于指示所述第二VPN设备为源IP地址为any且目的IP地址为any对应的数据流生成加密密钥;其中,所述源IP地址为any是指所述源IP地址是任意的地址或者任意一个子网的子网IP地址,所述目的IP地址为any是指所述目的IP地址是任意的地址或者任意一个服务器的IP地址。
可选地,在IPSec隧道协商后,所述装置200还包括:
配置模块,用于针对建立的IPSec隧道配置对应的虚拟路由,所述虚拟路由包括源IP地址、目的IP地址以及IPSec隧道的标识,所述源IP地址为所述任一子网的IP地址,所述目的IP地址为目的设备的IP地址;以及配置所述IPSec隧道对应的加密策略,所述加密策略包括所述加密密钥。
可选地,所述虚拟路由包括源IP地址、目的IP地址以及IPSec隧道的标识,所述报文匹配模块220,用于将所述报文中携带的所述任一子网的IP地址与所述虚拟路由中的源IP地址进行匹配,以及将所述报文中携带的目的IP地址与所述虚拟路由中的目的IP地址进行匹配;若所述报文中携带的所述任一子网的IP地址与所述虚拟路由中的源IP地址相同,且所述报文中携带的目的IP地址与所述虚拟路由中的目的IP地址相同,则确定所述报文与所述虚拟路由匹配。
可选地,所述任一子网为与所述第一VPN设备连接的第一网络中的子网,所述第一VPN设备还连接有第二网络;在所述第一VPN设备与所述第二VPN设备的IPSec隧道协商过程中,分别为所述第一网络协商获得对应的第一加密密钥以及为所述第二网络协商获得对应的第二加密密钥;所述虚拟路由包括网络标识;
所述密钥获取模块230,用于根据所述IPSec隧道的标识以及所述网络标识获取对应的第一加密密钥;
所述报文转发模块240,用于按照所述第一加密密钥对所述报文进行加密处理后转发给所述第二VPN设备。
可选地,所述第一加密密钥和所述第二加密密钥的安全级别不同。
可选地,所述装置200还包括:
密钥更新模块,用于在设定时间过后,对所述加密密钥进行更新。
需要说明的是,本领域技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再重复描述。
请参照图4,图4为本申请实施例提供的一种用于执行报文转发方法的电子设备的结构示意图,该电子设备可以是指上述的第一VPN设备或第二VPN设备,所述电子设备可以包括:至少一个处理器310,例如CPU,至少一个通信接口320,至少一个存储器330和至少一个通信总线340。其中,通信总线340用于实现这些组件直接的连接通信。其中,本申请实施例中设备的通信接口320用于与其他节点设备进行信令或数据的通信。存储器330可以是高速RAM存储器,也可以是非易失性的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器330可选的还可以是至少一个位于远离前述处理器的存储装置。存储器330中存储有计算机可读取指令,当所述计算机可读取指令由所述处理器310执行时,电子设备执行上述图2所示方法过程。
可以理解,图4所示的结构仅为示意,所述电子设备还可包括比图4中所示更多或者更少的组件,或者具有与图4所示不同的配置。图4中所示的各组件可以采用硬件、软件或其组合实现。
本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,执行如图2所示方法实施例中电子设备所执行的方法过程。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如,包括:接收与所述第一VPN设备连接的多个子网中任一子网发送的报文;将所述报文与预先配置的虚拟路由进行匹配,若所述报文与所述虚拟路由匹配,则获取所述虚拟路由中的IPSec隧道的标识,其中,所述虚拟路由用于指示所述第一VPN设备将所述任一子网的报文通过对应的IPSec隧道发送出去;根据所述IPSec隧道的标识获取对应的加密密钥,其中,所述加密密钥为所述第一VPN设备与第二VPN设备在IPSec隧道协商过程中针对所述多个子网所确定的公共密钥;按照所述加密密钥对所述报文进行加密处理后转发给所述第二VPN设备。
综上所述,本申请实施例提供一种报文转发方法、装置、电子设备及可读存储介质,该方法通过接收与第一VPN设备连接的任一子网发送的报文,然后将报文与预先配置的虚拟路由进行匹配,若报文与虚拟路由匹配,则获取虚拟路由中的IPSec隧道的标识,虚拟路由用于指示第一VPN设备将任一子网的报文通过对应的IPSec隧道发送出去,这样虚拟路由可将任一子网的数据流引流到对应的IPSec隧道进行传输,并且根据IPSec隧道的标识获取对应的加密密钥,该加密密钥是在IPSec隧道协商过程中获得的公共密钥,然后将报文进行加密后转发出去,这样第一VPN设备与第二VPN设备在数据传输过程中无需为多个子网维护多个密钥,只需要针对多个子网维护一个公共密钥即可,节省了隧道协商资源以及降低了密钥维护成本。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (9)
1.一种报文转发方法,其特征在于,应用于第一VPN设备,所述方法包括:
接收与所述第一VPN设备连接的多个子网中任一子网发送的报文;
将所述报文与预先配置的虚拟路由进行匹配,若所述报文与所述虚拟路由匹配,则获取所述虚拟路由中的IPSec隧道的标识,其中,所述虚拟路由用于指示所述第一VPN设备将所述任一子网的报文通过对应的IPSec隧道发送出去;
根据所述IPSec隧道的标识获取对应的加密密钥,其中,所述加密密钥为所述第一VPN设备与第二VPN设备在IPSec隧道协商过程中针对所述多个子网所确定的公共密钥;
按照所述加密密钥对所述报文进行加密处理后转发给所述第二VPN设备;
所述任一子网为与所述第一VPN设备连接的第一网络中的子网,所述第一VPN设备还连接有第二网络;在所述第一VPN设备与所述第二VPN设备的IPSec隧道协商过程中,分别为所述第一网络协商获得对应的第一加密密钥以及为所述第二网络协商获得对应的第二加密密钥,所述IPSec隧道维护所述第一加密密钥以及所述第二加密密钥;所述虚拟路由包括网络标识;所述根据所述IPSec隧道的标识获取对应的加密密钥,包括:
根据所述IPSec隧道的标识以及所述网络标识获取对应的第一加密密钥;
所述按照所述加密密钥对所述报文进行加密处理后转发给所述第二VPN设备,包括:
按照所述第一加密密钥对所述报文进行加密处理后转发给所述第二VPN设备。
2.根据权利要求1所述的方法,其特征在于,通过以下方式确定所述加密密钥:
在所述第一VPN设备与所述第二VPN设备的IPSec隧道协商过程中,向所述第二VPN设备发送源IP地址为any且目的IP地址为any的协商报文,所述协商报文用于指示所述第二VPN设备为源IP地址为any且目的IP地址为any对应的数据流生成加密密钥;
其中,所述源IP地址为any是指所述源IP地址是任意的地址或者任意一个子网的子网IP地址,所述目的IP地址为any是指所述目的IP地址是任意的地址或者任意一个服务器的IP地址。
3.根据权利要求2所述的方法,其特征在于,在IPSec隧道协商后,所述方法还包括:
针对建立的IPSec隧道配置对应的虚拟路由,所述虚拟路由包括源IP地址、目的IP地址以及IPSec隧道的标识,所述源IP地址为所述任一子网的IP地址,所述目的IP地址为目的设备的IP地址;
配置所述IPSec隧道对应的加密策略,所述加密策略包括所述加密密钥。
4.根据权利要求1所述的方法,其特征在于,所述虚拟路由包括源IP地址、目的IP地址以及IPSec隧道的标识,所述将所述报文与预先配置的虚拟路由进行匹配,包括:
将所述报文中携带的所述任一子网的IP地址与所述虚拟路由中的源IP地址进行匹配,以及将所述报文中携带的目的IP地址与所述虚拟路由中的目的IP地址进行匹配;
若所述报文中携带的所述任一子网的IP地址与所述虚拟路由中的源IP地址相同,且所述报文中携带的目的IP地址与所述虚拟路由中的目的IP地址相同,则确定所述报文与所述虚拟路由匹配。
5.根据权利要求1所述的方法,其特征在于,所述第一加密密钥和所述第二加密密钥的安全级别不同。
6.根据权利要求1-5任一所述的方法,其特征在于,所述方法还包括:
在设定时间过后,对所述加密密钥进行更新。
7.一种报文转发装置,其特征在于,运行于第一VPN设备,所述装置包括:
报文接收模块,用于接收与所述第一VPN设备连接的多个子网中任一子网发送的报文;
报文匹配模块,用于将所述报文与预先配置的虚拟路由进行匹配,若所述报文与所述虚拟路由匹配,则获取所述虚拟路由中的IPSec隧道的标识,其中,所述虚拟路由用于指示所述第一VPN设备将所述任一子网的报文通过对应的IPSec隧道发送出去;
密钥获取模块,用于根据所述IPSec隧道的标识获取对应的加密密钥,其中,所述加密密钥为所述第一VPN设备与第二VPN设备在IPSec隧道协商过程中针对所述多个子网所确定的公共密钥;
报文转发模块,用于按照所述加密密钥对所述报文进行加密处理后转发给所述第二VPN设备;
所述任一子网为与所述第一VPN设备连接的第一网络中的子网,所述第一VPN设备还连接有第二网络;在所述第一VPN设备与所述第二VPN设备的IPSec隧道协商过程中,分别为所述第一网络协商获得对应的第一加密密钥以及为所述第二网络协商获得对应的第二加密密钥,所述IPSec隧道维护所述第一加密密钥以及所述第二加密密钥;所述虚拟路由包括网络标识;
所述密钥获取模块具体用于:根据所述IPSec隧道的标识以及所述网络标识获取对应的第一加密密钥;
所述报文转发模块具体用于:按照所述第一加密密钥对所述报文进行加密处理后转发给所述第二VPN设备。
8.一种电子设备,其特征在于,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如权利要求1-6任一所述的方法。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时运行如权利要求1-6任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111019562.7A CN113726795B (zh) | 2021-09-01 | 2021-09-01 | 报文转发方法、装置、电子设备及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111019562.7A CN113726795B (zh) | 2021-09-01 | 2021-09-01 | 报文转发方法、装置、电子设备及可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113726795A CN113726795A (zh) | 2021-11-30 |
CN113726795B true CN113726795B (zh) | 2023-06-09 |
Family
ID=78680583
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111019562.7A Active CN113726795B (zh) | 2021-09-01 | 2021-09-01 | 报文转发方法、装置、电子设备及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113726795B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114301704B (zh) * | 2021-12-30 | 2023-11-10 | 北京天融信网络安全技术有限公司 | 一种ipsec隧道协商方法、本端设备、对端设备及存储介质 |
CN114285675B (zh) * | 2022-03-07 | 2022-07-12 | 杭州优云科技有限公司 | 一种报文转发方法及设备 |
CN115065735A (zh) * | 2022-03-08 | 2022-09-16 | 阿里巴巴(中国)有限公司 | 报文处理方法及电子设备 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105471827A (zh) * | 2014-09-04 | 2016-04-06 | 华为技术有限公司 | 一种报文传输方法及装置 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103152343B (zh) * | 2013-03-04 | 2015-09-16 | 北京神州绿盟信息安全科技股份有限公司 | 建立互联网安全协议虚拟专用网隧道的方法和网络设备 |
CN105812322B (zh) * | 2014-12-30 | 2019-11-12 | 华为数字技术(苏州)有限公司 | 因特网安全协议安全联盟的建立方法及装置 |
CN108574589B (zh) * | 2017-03-10 | 2021-09-14 | 华为技术有限公司 | 一种互联网协议安全性隧道的维护方法、装置及系统 |
US10904217B2 (en) * | 2018-05-31 | 2021-01-26 | Cisco Technology, Inc. | Encryption for gateway tunnel-based VPNs independent of wan transport addresses |
CN110677426B (zh) * | 2019-09-30 | 2021-11-16 | 北京天融信网络安全技术有限公司 | 一种数据传输方法、装置、存储介质及vpn设备 |
CN113259497A (zh) * | 2020-02-07 | 2021-08-13 | 华为技术有限公司 | 传输报文的方法、装置、存储介质和系统 |
-
2021
- 2021-09-01 CN CN202111019562.7A patent/CN113726795B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105471827A (zh) * | 2014-09-04 | 2016-04-06 | 华为技术有限公司 | 一种报文传输方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN113726795A (zh) | 2021-11-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107682284B (zh) | 发送报文的方法和网络设备 | |
CN113726795B (zh) | 报文转发方法、装置、电子设备及可读存储介质 | |
US11038846B2 (en) | Internet protocol security tunnel maintenance method, apparatus, and system | |
JP4159328B2 (ja) | ネットワーク、IPsec設定サーバ装置、IPsec処理装置及びそれらに用いるIPsec設定方法 | |
US8327129B2 (en) | Method, apparatus and system for internet key exchange negotiation | |
US7120792B1 (en) | System and method for secure communication of routing messages | |
US8566590B2 (en) | Encryption information transmitting terminal | |
CN110581763A (zh) | 一种量子密钥服务区块链网络系统 | |
US9866383B2 (en) | Key management for privacy-ensured conferencing | |
CN111787025B (zh) | 加解密处理方法、装置、系统以及数据保护网关 | |
CN110191052B (zh) | 一种跨协议网络传输方法及系统 | |
JP2016051921A (ja) | 通信システム | |
CN115567205A (zh) | 采用量子密钥分发实现网络会话数据流加解密方法及系统 | |
CN114095423B (zh) | 基于mpls的电力通信骨干网数据安全防护方法及系统 | |
CN106209401A (zh) | 一种传输方法及装置 | |
US20190281530A1 (en) | X2 service transmission method and network device | |
CN108924157B (zh) | 一种基于IPSec VPN的报文转发方法及装置 | |
CN110943996B (zh) | 一种业务加解密的管理方法、装置及系统 | |
CN107135226B (zh) | 基于socks5的传输层代理通信方法 | |
CN116112202A (zh) | 采用自学习自组织方式实现以太数据加解密的方法 | |
CN115733683A (zh) | 采用量子密钥分发的以太链路自组织加密隧道实现方法 | |
JP2018174550A (ja) | 通信システム | |
CN111866865B (zh) | 一种数据传输方法、5g专网建立方法及系统 | |
CN113542197A (zh) | 一种节点间保密通信方法及网络节点 | |
CN113923046B (zh) | 一种分布式防火墙安全通信的实现方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |