CN114338116B - 加密传输方法、装置及sd-wan网络系统 - Google Patents
加密传输方法、装置及sd-wan网络系统 Download PDFInfo
- Publication number
- CN114338116B CN114338116B CN202111573236.0A CN202111573236A CN114338116B CN 114338116 B CN114338116 B CN 114338116B CN 202111573236 A CN202111573236 A CN 202111573236A CN 114338116 B CN114338116 B CN 114338116B
- Authority
- CN
- China
- Prior art keywords
- tunnel
- message
- encrypted
- pop node
- pop
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000005540 biological transmission Effects 0.000 title claims abstract description 84
- 238000000034 method Methods 0.000 title claims abstract description 67
- 238000005538 encapsulation Methods 0.000 claims abstract description 82
- 238000004806 packaging method and process Methods 0.000 claims description 5
- 230000008569 process Effects 0.000 abstract description 29
- 238000012545 processing Methods 0.000 abstract description 20
- 238000004891 communication Methods 0.000 description 22
- 238000010586 diagram Methods 0.000 description 12
- 238000012795 verification Methods 0.000 description 11
- 101150025129 POP1 gene Proteins 0.000 description 10
- 230000006870 function Effects 0.000 description 9
- 230000008859 change Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 238000002347 injection Methods 0.000 description 4
- 239000007924 injection Substances 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000006855 networking Effects 0.000 description 3
- 239000000243 solution Substances 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000009365 direct transmission Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
Abstract
本申请提供一种加密传输方法、装置及SD‑WAN网络系统,方法包括:边缘设备对第一原始报文进行加密,得到第一加密报文;边缘设备对所述第一加密报文进行隧道封装,得到第一隧道加密报文;边缘设备向本设备连接的PoP节点发送所述第一隧道加密报文。在这个过程中,边缘设备只需要对原始报文进行一次加密处理,就在SD‑WAN网络中实现了数据加密传输。相较于现有方案,边缘设备减少了一次加密过程,从而提高了边缘设备的处理性能。且由于PoP节点所能传输的是加密后的加密报文,因此也保证了传输过程中数据的安全性。
Description
技术领域
本申请涉及通信技术领域,具体而言,涉及一种加密传输方法、装置及SD-WAN网络系统。
背景技术
SD-WAN,即软件定义广域网,是将SDN(Software Defined Network,软件定义网络)技术应用到广域网场景中所形成的一种服务,这种服务用于连接广阔地理范围的企业网络、数据中心、互联网应用及云服务。通过引入SD-WAN控制器,完成分支机构CPE(Customer Premise Equipment,客户前置设备)的集中管理以及自动化配置,包括各种Internet及专线接入的配置管理等。SD-WAN提供企业WAN网络及应用的可视化,提供智能路由功能,能够基于WAN网络的实时状态,将各种应用的数据流智能调度。
IPsec(Internet Protocol Security,互联网协议安全)是为IP网络提供安全性的协议和服务的集合,它是VPN(Virtual Private Network,虚拟专用网)中常用的一种技术。由于IP报文本身没有集成任何安全特性,IP数据包在公用网络如Internet中传输可能会面临被伪造、窃取或篡改的风险。通信双方通过IPsec建立一条IPsec隧道,IP数据包通过IPsec隧道进行加密传输,有效保证了数据在不安全的网络环境如Internet中传输的安全性。
SD-WAN中的常用组网是基于PoP(Point Of Presence,接入点)云端网络架构(On-PoP-Overlay架构)。该架构利用云端或运营商的PoP节点来终结CPE,设计部署时会选择在各地的多个机房部署多线PoP节点,分支机构需要首先探测和选择最佳的PoP节点并建立连接。在PoP中部署网关设备,CPE与PoP节点之间建立VPN(Virtual Private Network,虚拟专用网络)隧道,在PoP层解决跨运营商互通,提升互联品质。
目前,基于On-PoP-Overlay架构进行跨区域的业务开展时,所采用的传输方案通常为如下两种方案:
方案一:依次在各个节点之间建立IPsec隧道,然后进行通信,例如图1所示。在这种方式中,以图1为例,当CPE-1和CPE-3之间进行通信时,从CPE-1访问CPE-3需要经过三段IPSec隧道,其中IPSec隧道2是由运营商决定是否加密。如果运营商不加密,则存在数据泄露的风险。同时,在这种方式中,业务数据需要在PoP节点经过多次的隧道解封装、解密、加密、隧道封装操作(以PoP-1节点为例,PoP-1节点在接收到CPE-1的数据后,需要先进行隧道解封装、然后进行数据解密,接着再进行数据加密,隧道封装),会影响PoP节点的处理性能。
方案二:在CPE和PoP节点之间建立IPsec隧道,并在通信的两CPE节点之间叠加一层IPSec隧道,进而进行通信,例如图2所示。在这种方式中,以图2为例,当CPE-1需要访问CPE-3时,CPE-1上需要对数据进行两次隧道封装和加密(针对IPSec隧道1需要进行一次隧道封装和加密,针对叠加IPSec隧道也需要进行一次隧道封装和加密),相应的,CPE-3上需要对数据进行两次解封装和解密(针对叠加IPSec隧道需要进行一次隧道解封装和解密,针对IPSec隧道2也需要进行一次隧道解封装和解密),从而影响会CPE节点的处理性能。
发明内容
本申请实施例的目的在于提供一种加密传输方法、装置及SD-WAN网络系统,用以提供一种新的在SD-WAN网络中实现数据加密传输的方案。
本申请实施例提供了一种加密传输方法,应用于SD-WAN网络中的边缘设备上,包括:对第一原始报文进行加密,得到第一加密报文;对所述第一加密报文进行隧道封装,得到第一隧道加密报文;向本设备连接的PoP节点发送所述第一隧道加密报文。
在上述实现过程中,边缘设备对第一原始报文进行加密后,进行隧道封装,然后发送给所连接的PoP节点。在这个过程中,边缘设备只需要对原始报文进行一次加密处理,就在SD-WAN网络中实现了数据加密传输。相较于现有的第二种方案而言,边缘设备(即CPE节点设备)减少了一次加密过程,从而提高了边缘设备的处理性能。且由于PoP节点所能传输的是加密后的加密报文,因此也保证了传输过程中数据的安全性。
进一步地,在对第一原始报文进行加密之前,所述方法还包括:与所连接的PoP节点之间建立IPSec Overlay隧道,并协商第一安全参数;所述第一安全参数用于进行本设备与所连接的PoP节点之间的隧道封装与解封装;通过PoP节点之间的网络连接,获取对端边缘设备的路由信息,并根据所述路由信息,建立本设备与所述对端边缘设备之间的端到端IPSec数据加密通道;通过所述端到端IPSec数据加密通道,与所述对端边缘设备协商第二安全参数;所述第二安全参数用于进行对报文进行加密和解密。
在上述实现过程中,通过预先在边缘设备与所连接的PoP节点之间建立IPSecOverlay隧道,从而基于IPSec Overlay隧道可以实现Internet NAT(Network AddressTranslation,网络地址转换)穿越功能。而且基于IPSec Overlay隧道,PoP节点能够通过反向路由注入功能学习到边缘设备的路由信息,进而由PoP节点之间的网络连接获取到对端边缘设备的路由信息,即可实现整网路由的打通,从而即可建立到两边缘设备之间的端到端的IPSec数据加密通道,协商出第二安全参数,从而保证后续可以正常进行数据传输。
进一步地,对第一原始报文进行加密,得到第一加密报文,包括:在传输模式下对所述第一原始报文进行加密和ESP(Encapsulating Security Payload,报文安全封装协议)封装,得到所述第一加密报文。
应理解,在传输模式下,ESP封装时无需进行报文IP的封装,从而相较于现有第二种方案而言,虽然在边缘设备中都需要进行两次封装,但是现有第二种方案中由于需要进行的是两次隧道封装,因此其需要封装两次报文IP,而本申请的方案则只会进行一次隧道封装,只需封装一次报文IP,从而相比于现有第二种方案而言,在封装过程中,也提高了边缘设备的处理性能。
进一步地,所述方法还包括:接收所连接的PoP节点传来的第二隧道加密报文;所述第二隧道加密报文为经过加密和隧道封装后得到的报文;对所述第二隧道加密报文进行解封装,得到第二加密报文;对所述第二加密报文,采用与对端边缘设备协商得到的第二安全参数进行解密,得到第二原始报文。
在上述实现过程中,当接收到所连接的PoP节点传来的第二隧道加密报文后,针对进行解封装得到的第二加密报文只需进行一次解密即可,相较于现有第二种方案而言,减少了一次解密过程,提高了边缘设备的处理性能。
本申请实施例还提供了一种加密传输方法,应用于SD-WAN网络中的PoP节点上,包括:在接收到所连接的边缘设备传来的第一隧道加密报文时,对所述第一隧道加密报文进行隧道解封装,得到第一加密报文;所述第一隧道加密报文为经过加密和隧道封装后得到的报文;将所述第一加密报文传输至对端PoP节点,以使所述对端PoP节点对所述第一加密报文进行隧道封装后传输至对端边缘设备。
在上述实现过程中,PoP节点之间通过传输加密报文,从而PoP节点上只需要进行一次解封装或只需进行一次隧道封装即可,相较于现有第一种方案而言,提高了PoP节点的处理性能,且由于传输的是加密报文,也保证了数据的安全性,实现了在SD-WAN网络中的数据加密传输。
进一步地,在接收到所连接的边缘设备传来的第一加密报文之前,所述方法还包括:与所连接的边缘设备之间建立IPSec Overlay隧道,并协商第一安全参数;所述第一安全参数用于进行本节点与所连接的边缘设备之间的隧道封装与解封装。
在上述实现过程中,通过预先在PoP节点与所连接的边缘设备之间建立IPSecOverlay隧道,从而基于IPSec Overlay隧道可以实现Internet NAT穿越功能。而且基于IPSec Overlay隧道,PoP节点能够通过反向路由注入功能学习到边缘设备的路由信息,进而由PoP节点之间的网络连接获取到对端边缘设备的路由信息,即可实现整网路由的打通,从而使得边缘设备之间可以建立端到端的IPSec数据加密通道,协商出第二安全参数,从而保证后续可以正常进行数据传输。
进一步地,所述方法还包括:在接收到所述对端PoP节点传来的第二加密报文时,对所述第二加密报文进行隧道封装,得到第二隧道加密报文;将所述第二隧道加密报文发送给所连接的边缘设备。
在上述实现过程中,在接收到对端PoP节点传来的第二加密报文后,只需进行隧道封装,无需进行解封装操作,相较于现有第一种方案而言,提高了PoP节点的处理性能。且由于PoP节点仅进行了隧道封装,不进行加密,因此对于所连接的边缘设备而言,其只需进行一次解密操作,相较于现有第二种方案而言,也提高了边缘设备的处理性能。
本申请实施例还提供了一种加密传输装置,应用于SD-WAN网络中的边缘设备上,包括:加密模块和第一封装模块;所述加密模块,用于对第一原始报文进行加密,得到第一加密报文;所述第一封装模块,用于对所述第一加密报文进行隧道封装,得到第一隧道加密报文,向本设备连接的PoP节点发送所述第一隧道加密报文。
本申请实施例还提供了一种加密传输装置,应用于SD-WAN网络中的PoP节点上,包括:第二封装模块和传输模块;所述第二封装模块,用于在接收到所连接的边缘设备传来的第一隧道加密报文时,对所述第一隧道加密报文进行隧道解封装,得到第一加密报文;所述第一隧道加密报文为经过加密和隧道封装后得到的报文;所述传输模块,用于将所述第一加密报文传输至对端PoP节点,以使所述对端PoP节点对所述第一加密报文进行隧道封装后传输至所述对端PoP节点所连接的边缘设备。
本申请实施例还提供了一种SD-WAN网络系统,包括:多个边缘设备和多个PoP节点;每个所述PoP节点和至少一个所述边缘设备之间建立有IPSec Overlay隧道;各所述PoP节点之间建立有数据的传输通道;所述边缘设备用于执行上述任一种应用于SD-WAN网络中的边缘设备上的加密传输方法;所述PoP节点用于执行上述任一种应用于SD-WAN网络中的PoP节点上的加密传输方法。
本申请实施例还提供了一种电子设备,包括处理器、存储器、内部通信总线、及外部通信模组;所述内部通信总线用于实现所述处理器、所述存储器和所述外部通信模组之间的连接通信;所述外部通信模组用于与边缘设备或PoP节点连接,以与所述边缘设备或所述PoP节点进行数据传输;所述处理器用于执行所述存储器中存储的程序,以实现上述任一种的加密传输方法。
本申请实施例中还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现上述任一种的加密传输方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的第一种现有传输方案的实现示意图;
图2为本申请实施例提供的第二种现有传输方案的实现示意图;
图3为本申请实施例提供的一种应用于SD-WAN网络中的加密传输方法的多端交互示意图;
图4为本申请实施例提供的一种传输模式下进行封装时的报文结构变化示意图;
图5为本申请实施例提供的一种隧道模式下进行封装时的报文结构变化示意图;
图6为本申请实施例提供的一种SD-WAN网络系统的基本结构示意图;
图7为本申请实施例提供的一种SD-WAN网络系统示例图;
图8为本申请实施例提供的一种处理过程中报文结构的变化示意图;
图9为本申请实施例提供的一种应用于SD-WAN网络中的边缘设备上的加密传输装置的结构示意图;
图10为本申请实施例提供的一种应用于SD-WAN网络中的PoP节点上的加密传输装置的结构示意图;
图11为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
实施例一:
为了在SD-WAN网络中实现数据加密传输,本申请实施例中提供了一种加密传输方法。可以参见图3所示,图3为本申请实施例中提供的一种应用于SD-WAN网络中的加密传输方法的多端交互示意图,包括:
S101:本端边缘设备对第一原始报文进行加密,得到第一加密报文。
需要理解的是,在本申请实施例中,边缘设备是指位于某一组网边缘的设备,其可以是CPE设备。
在本申请实施例中,第一原始报文可以是该边缘设备的组网内传来的需要发给另一组网的报文。
S102:本端边缘设备对第一加密报文进行隧道封装,得到第一隧道加密报文。
在本申请实施例中,各边缘设备可以预先和所连接的PoP节点建立IPSec Overlay隧道,并协商第一安全参数。第一安全参数用于进行边缘设备与所连接的PoP节点之间的隧道封装与解封装。
示例性的,边缘设备可以和所连接的PoP节点构建IPSec SA(SecurityAssociation,安全联盟),实现对于第一安全参数的协商,进而基于该第一安全参数,即可在步骤S102中进行隧道封装,得到第一隧道加密报文。
在本申请实施例中,边缘设备和所连接的PoP节点之间协商的第一安全参数可以包括但不限于:双方使用ESP进行封装;双方使用NULL加密算法(即不进行加密);任意的HMAC(Hash-based Message Authentication Code,哈希消息认证码)方式,如MD5、SHA等;使用隧道模式;对应的秘钥信息等,从而便于双方进行隧道封装,但不进行加密。
需要说明的是,在某些文献中,存在将在隧道模式下所进行的封装和加密的整个过程简称为隧道封装的情况。但是,在本申请实施例中,隧道封装仅是指报文通过IPSecOverlay隧道传输前,在隧道模式下所进行的封装过程,不包含加密过程。
也即,在本申请实施例中,在执行步骤S102时,仅会针对第一加密报文执行隧道封装操作,不会对第一加密报文再执行加密操作。从而相比于现有技术方案而言,边缘设备只需进行一次加密操作,提高了边缘设备的处理性能。
还需要说明的是,在边缘设备和所连接的PoP节点建立IPSec Overlay隧道之后,PoP节点基于IPSec Overlay隧道能够通过反向路由注入功能,学习到所连接的边缘设备的路由信息,进而PoP节点直接通过现有网络技术(如MPLS L3 VPN等网络技术)交换边缘设备所属分支网络的路由信息,实现整网路由的打通,从而使得边缘设备可以根据该路由信息,建立本设备与对端边缘设备之间的端到端IPSec数据加密通道。
需要理解的是,所谓端到端IPSec数据加密通道是指,不建立IPSec Overlay隧道,使用传输模式建立的数据通道。
通过该端到端IPSec数据加密通道,边缘设备之间可以协商得到第二安全参数。第二安全参数用于进行对报文进行加密和解密。
进而,在步骤S101中,边缘设备即可采用该第二安全参数对第一原始报文进行加密,得到第一加密报文。
示例性的,边缘设备之间可以构建IPSec SA,实现对于第二安全参数的协商。
在本申请实施例中,第二安全参数可以包括但不限于:双方使用ESP进行封装;双方使用的加密算法,如AES、3DES等;任意的信息摘要计算方式,如MD5、SHA等;使用传输模式;及其对应的秘钥信息。
此时,边缘设备即可以在传输模式下对第一原始报文进行加密和ESP封装,得到第一加密报文。
需要注意的是,使用ESP进行封装时,若在传输模式,则无需进行报文IP的封装,封装效果可以参见图4所示。而在隧道模式下,使用ESP进行封装时,则无需进行报文IP的封装,封装效果可以参见图5所示。因此,在本申请实施例中,虽然边缘设备中也需要对报文进行两次封装,但是只会进行一次隧道封装,只需封装一次报文IP,从而相比于现有方案而言,在封装过程中,也提高了边缘设备的处理性能。
S103:向所连接的本端PoP节点发送该第一隧道加密报文。
在本申请实施例中,由于第一隧道加密报文进行了隧道封装,从而满足IPSecOverlay隧道传输规范,可以通过与所连接的本端PoP节点之间的IPSec Overlay隧道将该第一隧道加密报文发送给所连接的本端PoP节点。
S104:本端PoP节点对第一隧道加密报文进行隧道解封装,得到第一加密报文。
在本申请实施例中,本端PoP节点可以根据与本端边缘设备协商得到的第一安全参数进行隧道解封装,从而还原出第一加密报文。
需要注意的是,在本申请实施例中,PoP节点可以通过具有数据处理能力的电子设备(如服务器等)或电子设备集群(如服务器集群等)实现,在本申请实施例中不作限制。
需要理解的是,在本申请实施例中,本端PoP节点对第一隧道加密报文进行隧道解封装的过程中,可以依据协商得到的第一安全参数对第一隧道加密报文中用于进行隧道封装的ESP头部进行校验。如果校验失败,则丢弃该第一隧道加密报文。如果校验成功,则继续进行图3中的各流程,从而保证整个报文转发过程中的数据安全性。
S105:将第一加密报文传输至对端PoP节点。
在本申请实施例中,由于第一加密报文本身就是加密过的,因此其在网络中直接传输也具有较高的安全性,可以满足SD-WAN网络中数据安全传输的需求。
S106:对端PoP节点对第一加密报文进行隧道封装,得到第一隧道加密报文。
S107:对端PoP节点将该第二隧道加密报文发送给所连接的对端边缘设备。
对端PoP节点在接收到第一加密报文后,为了满足IPSec Overlay隧道的传输规范,可以根据与所连接的对端边缘设备之间协商的第一安全参数,对第一加密报文进行隧道封装,得到第一隧道加密报文。然后通过IPSec Overlay隧道将第一隧道加密报文发送给对端边缘设备。
S108:对端边缘设备对第一隧道加密报文进行解封装,得到第一加密报文。
应理解,对端边缘设备可以通过与所连接的对端PoP节点之间协商的第一安全参数,对第一隧道加密报文进行解封装。
在对第一隧道加密报文进行解封装的过程中,对端PoP节点还可以根据该第一安全参数,对第一隧道加密报文中用于进行隧道封装的ESP头部进行校验。如果校验失败,则丢弃该第一隧道加密报文。如果校验成功,则继续进行后续流程,从而保证整个报文转发过程中的数据安全性。
S109:采用与本端边缘设备协商得到的第二安全参数对第一加密报文进行解密,得到第一原始报文。
需要理解的是,在解密过程中,对端边缘设备还可以根据该第二安全参数,对第一加密报文中的ESP头部进行校验。如果校验失败,则丢弃该第一加密报文,从而保证数据安全性。
此后,对端边缘设备可以根据实际转发需要,将第一原始报文转发至对端边缘设备所属组网中,实现报文转发。
需要理解的,上文中的本端边缘设备也可以作为接收侧的边缘设备,本端PoP节点可以作为接收侧的PoP节点,相应的,对端边缘设备也可以作为发送侧的边缘设备,对端PoP节点可以作为发送侧的PoP节点。
从而,对端边缘设备可以在接收到自身组网发来的需要发送至本端边缘设备所在组网的第二原始报文时,对第二原始报文进行加密,得到第二加密报文后,再将所述第二加密报文进行隧道封装,得到第二隧道加密报文,然后将之发送至对端PoP节点。
然后,对端PoP节点进行解封装后,将第二加密报文直接传输至本端PoP节点。由本端PoP节点再对第二加密报文进行隧道封装传输给本端边缘设备。最后,本端边缘设备进行隧道解封装和解密后,得到第二原始报文。
上述过程实质为图3所示过程的逆过程,本端边缘设备执行的是图3中对端边缘设备的操作,本端PoP节点执行的是图3中对端PoP节点的操作,对端边缘设备执行的是图3中本端边缘设备的操作,对端PoP节点执行的是图3中本端PoP节点的操作,故而再此不再展开说明。
参见图6所示,本申请实施例中还提供了一种SD-WAN网络系统,其包括多个边缘设备和多个PoP节点。其中:
每个PoP节点和至少一个边缘设备之间建立有IPSec Overlay隧道。各PoP节点之间建立有数据的传输通道,以实现PoP节点之间的数据传输。
在此架构下,各边缘设备用于执行上文所描述的加密传输方法中边缘设备所执行的各操作。而各PoP节点则用于执行上文所描述的加密传输方法中PoP节点所执行的各操作。从而,通过该SD-WAN网络系统,即在SD-WAN网络中实现数据的安全加密传输,并且提高了PoP节点和边缘设备的处理性能。
本申请实施例所提供的加密传输方法和SD-WAN网络系统,边缘设备对第一原始报文进行加密后,进行隧道封装,然后发送给所连接的PoP节点。在这个过程中,边缘设备只需要对原始报文进行一次加密处理,就在SD-WAN网络中实现了数据加密传输。相较于现有的第二种方案而言,边缘设备减少了一次加密过程,从而提高了边缘设备的处理性能。而PoP节点之间通过传输加密报文,从而PoP节点上只需要进行一次解封装或只需进行一次隧道封装即可,相较于现有第一种方案而言,提高了PoP节点的处理性能,且由于传输的是加密过的报文,也保证了数据的安全性,实现了在SD-WAN网络中的数据加密传输。
实施例二:
本实施例在实施例一的基础上,以一个分支机构中的网络访问总部网络的具体的报文传输过程为例,为本申请做进一步示例说明。
参见图7所示,CPE-1是分支-1的边缘设备,CPE-3是总部的边缘设备。CPE-1和PoP-1、CPE-3和PoP-2分别建立IPSec Overlay隧道,提供Internet承载私网数据的能力。
配置CPE-1和PoP-1之间的SA(记为SA11)、CPE-3和PoP-2之间的SA(记为SA32),实现通信双方第一安全参数的协商。第一安全参数包括:双方使用ESP作为封装;双方使用NULL加密算法;任意的HMAC方式,如MD5、SHA等;使用隧道模式;对应的秘钥信息。
基于IPSec Overlay隧道,PoP-1和PoP-2能够通过反向路由注入功能分别学习到分支-1和总部的路由信息。且基于IPSec Overlay隧道可以实现Internet NAT穿越功能。
PoP-1和PoP-2通过现有网络技术(如MPLS L3 VPN)交换分支-1和总部的路由信息,实现整网路由打通。这样即可实现分支-1和总部的数据互通。此时数据在整个网络上都是明文传输。
CPE-1和CPE-3之间建立端到端IPSec数据加密通道。
配置CPE-1和CPE-3的SA(记为SA13),实现通信双方的第二安全参数的协商。第二安全参数包括:双方使用ESP作为封装;双方使用合适加密算法,如AES、3DES等;任意的信息摘要计算方式,如MD5、SHA等;使用传输模式;对应的秘钥信息。
CPE-1接收到需发送的原始报文后,使用SA13协商结果对数据进行加密和传输模式下的ESP封装,得到加密报文。此时加密报文中没有增加新IP头部。处理过程中报文结构的变化可参见图8所示。
CPE-1继续处理报文,匹配发往PoP-1的报文,使用SA11对加密报文在隧道模式下进行二次ESP封装,将封装得到的隧道加密报文发送给PoP-1。处理过程中报文结构的变化可参见图8所示。这次封装主要目标是构建隧道使报文能够在Internet线路上进行承载传输。
PoP-1使用SA11对隧道加密报文进行隧道解封装。在隧道解封装过程中,剥离外部隧道头部(包括图8中示出的外出IP和外层ESP),并对隧道头部的ESP头部(即图8中示出的外层ESP)进行校验。如果校验失败,则丢弃报文,结束流程。若校验通过,则将解封装后的加密报文直接发送给PoP-2。
PoP-2使用SA32对加密报文在隧道模式下进行ESP封装,将封装得到的隧道加密报文发送给CPE-3。
CPE-3使用SA32对隧道加密报文进行隧道解封装。在隧道解封装过程中,剥离外部隧道头部(包括图8中示出的外出IP和外层ESP),并对隧道头部的ESP头部(即图8中示出的外层ESP)进行校验。如果校验失败,则丢弃报文,结束流程。
若校验通过,则使用SA13对隧道解封装得到的加密报文进行解封装。在对加密报文进行解封装时,使用SA13对传输模式下封装的ESP头部(即图8中示出的内层ESP)进行校验。如果校验失败,则丢弃报文,结束流程。如果校验成功,使用SA13对加密报文解密,得到原始报文,将原始报文转发至总部网络中。
在上述方案中,通过CPE的双层封装,减少多次隧道封装对PoP节点的处理性能的影响。通过CPE两种ESP封装模式,无需CPE进行重复加解密,提高了CPE性能。通过CPE端到端加密,保证了在PoP节点之间传输数据时,数据的安全性。此外,本申请实施例的方案中,PoP节点无需感知端到端加密处理,无需对现有网络架构进行大规模升级改造,兼容性很高。
实施例三:
基于同一发明构思,本申请实施例中还提供了两种加密传输装置900和加密传输装置1000。请参阅图9和图10所示,图9示出了可以实现图3所示的方法中边缘设备所执行的操作的加密传输装置,图10示出了可以实现图3所示的方法中PoP节点所执行的操作的加密传输装置。应理解,装置900和装置1000具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。装置900和装置1000包括至少一个能以软件或固件的形式存储于存储器中或固化在装置900、装置1000的操作系统中的软件功能模块。具体地:
参见图9所示,装置900应用于SD-WAN网络中的边缘设备上,包括:加密模块901和第一封装模块902。其中:
所述加密模块901,用于对第一原始报文进行加密,得到第一加密报文;
所述第一封装模块902,用于对所述第一加密报文进行隧道封装,得到第一隧道加密报文,向本设备连接的PoP节点发送所述第一隧道加密报文。
在本申请实施例中,装置900还包括第一连接建立模块,用于在所述加密模块901对第一原始报文进行加密之前,与所连接的PoP节点之间建立IPSec Overlay隧道,并协商第一安全参数;通过PoP节点之间的网络连接,获取对端边缘设备的路由信息,并根据所述路由信息,建立本设备与所述对端边缘设备之间的端到端IPSec数据加密通道;通过所述端到端IPSec数据加密通道,与所述对端边缘设备协商第二安全参数;其中:所述第一安全参数用于进行本设备与所连接的PoP节点之间的隧道封装与解封装;所述第二安全参数用于进行对报文进行加密和解密。
在本申请实施例中,所述加密模块901具体用于在传输模式下对所述第一原始报文进行加密和ESP封装,得到所述第一加密报文。
在本申请实施例中,所述第一封装模块902还用于,接收所连接的PoP节点传来的第二隧道加密报文;对所述第二隧道加密报文进行解封装,得到第二加密报文;对所述第二加密报文,采用与对端边缘设备协商得到的第二安全参数进行解密,得到第二原始报文。所述第二隧道加密报文为经过加密和隧道封装后得到的报文;
参见图10所示,装置1000应用于SD-WAN网络中的PoP节点上,包括:第二封装模块1001和传输模块1002。其中:
所述第二封装模块1001,用于在接收到所连接的边缘设备传来的第一隧道加密报文时,对所述第一隧道加密报文进行隧道解封装,得到第一加密报文;所述第一隧道加密报文为经过加密和隧道封装后得到的报文;
所述传输模块1002,用于将所述第一加密报文传输至对端PoP节点,以使所述对端PoP节点对所述第一加密报文进行隧道封装后传输至所述对端PoP节点所连接的边缘设备。
在本申请实施例中,装置1000还包括第二连接建立模块,用于在接收到所连接的边缘设备传来的第一加密报文之前,与所连接的边缘设备之间建立IPSec Overlay隧道,并协商第一安全参数;所述第一安全参数用于进行本节点与所连接的边缘设备之间的隧道封装与解封装。
在本申请实施例中,所述第二封装模块1001还用于在接收到所述对端PoP节点传来的第二加密报文时,对所述第二加密报文进行隧道封装,得到第二隧道加密报文;所述传输模块1002还用于将所述第二隧道加密报文发送给本节点所连接的边缘设备。
需要理解的是,出于描述简洁的考量,部分实施例一中描述过的内容在本实施例中不再赘述。
实施例四:
本实施例提供了一种电子设备,参见图11所示,其包括处理器1101、存储器1102、内部通信总线1103和外部通信模组1104。其中:
内部通信总线1103用于实现处理器1101、存储器1102和外部通信模组1104之间的连接通信。
外部通信模组1104用于与边缘设备或PoP节点连接,以与边缘设备或PoP节点进行数据传输。
处理器1101用于执行存储器1102中存储的一个或多个程序,以实现上述实施例一和/或实施例二中边缘设备或PoP节点所执行的加密传输方法。
可以理解,图11所示的结构仅为示意,电子设备还可包括比图11中所示更多或者更少的组件,或者具有与图11所示不同的配置。
本实施例还提供了一种计算机可读存储介质,如软盘、光盘、硬盘、闪存、U盘、SD(Secure Digital Memory Card,安全数码卡)卡、MMC(Multimedia Card,多媒体卡)卡等,在该计算机可读存储介质中存储有实现上述各个步骤的一个或者多个程序,这一个或者多个程序可被一个或者多个处理器执行,以实现上述实施例一和/或实施例二中边缘设备或PoP节点所执行的加密传输方法。在此不再赘述。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
在本文中,多个是指两个或两个以上。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (8)
1.一种加密传输方法,其特征在于,应用于SD-WAN网络中的边缘设备上,包括:
对第一原始报文进行加密,得到第一加密报文;
对所述第一加密报文进行隧道封装,得到第一隧道加密报文;
向本设备连接的PoP节点发送所述第一隧道加密报文;
在对第一原始报文进行加密之前,与所连接的PoP节点之间建立IPSec Overlay隧道,并协商第一安全参数;所述第一安全参数用于进行本设备与所连接的PoP节点之间的隧道封装与解封装;
通过PoP节点之间的网络连接,获取对端边缘设备的路由信息,并根据所述路由信息,建立本设备与所述对端边缘设备之间的端到端IPSec数据加密通道;
通过所述端到端IPSec数据加密通道,与所述对端边缘设备协商第二安全参数;所述第二安全参数用于进行对报文进行加密和解密。
2.如权利要求1所述的加密传输方法,其特征在于,对第一原始报文进行加密,得到第一加密报文,包括:
在传输模式下对所述第一原始报文进行加密和ESP封装,得到所述第一加密报文。
3.如权利要求1或2所述的加密传输方法,其特征在于,所述方法还包括:
接收所连接的PoP节点传来的第二隧道加密报文;所述第二隧道加密报文为经过加密和隧道封装后得到的报文;
对所述第二隧道加密报文进行解封装,得到第二加密报文;
对所述第二加密报文,采用与对端边缘设备协商得到的第二安全参数进行解密,得到第二原始报文。
4.一种加密传输方法,其特征在于,应用于SD-WAN网络中的PoP节点上,包括:
在接收到所连接的边缘设备传来的第一隧道加密报文时,对所述第一隧道加密报文进行隧道解封装,得到第一加密报文;所述第一隧道加密报文为经过加密和隧道封装后得到的报文;
将所述第一加密报文传输至对端PoP节点,以使所述对端PoP节点对所述第一加密报文进行隧道封装后传输至所述对端PoP节点所连接的边缘设备;
在接收到所连接的边缘设备传来的第一加密报文之前,与所连接的边缘设备之间建立IPSec Overlay隧道,并协商第一安全参数;所述第一安全参数用于进行本节点与所连接的边缘设备之间的隧道封装与解封装;并通过与对端PoP节点之间的网络连接,使所连接的边缘设备获取对端PoP节点所连接的边缘设备的路由信息,并根据所述路由信息,建立与所述对端PoP节点所连接的边缘设备之间的端到端IPSec数据加密通道,通过所述端到端IPSec数据加密通道,所连接的边缘设备与所述对端PoP节点所连接的边缘设备协商第二安全参数,所述第二安全参数用于进行对报文进行加密和解密。
5.如权利要求4所述的加密传输方法,其特征在于,所述方法还包括:
在接收到所述对端PoP节点传来的第二加密报文时,对所述第二加密报文进行隧道封装,得到第二隧道加密报文;
将所述第二隧道加密报文发送给本节点所连接的边缘设备。
6.一种加密传输装置,其特征在于,应用于SD-WAN网络中的边缘设备上,包括:加密模块、第一封装模块和第一连接建立模块;
所述加密模块,用于对第一原始报文进行加密,得到第一加密报文;
所述第一封装模块,用于对所述第一加密报文进行隧道封装,得到第一隧道加密报文,向本设备连接的PoP节点发送所述第一隧道加密报文;
所述第一连接建立模块,用于在所述加密模块对第一原始报文进行加密之前,与所连接的PoP节点之间建立IPSec Overlay隧道,并协商第一安全参数;通过PoP节点之间的网络连接,获取对端边缘设备的路由信息,并根据所述路由信息,建立本设备与所述对端边缘设备之间的端到端IPSec数据加密通道;通过所述端到端IPSec数据加密通道,与所述对端边缘设备协商第二安全参数;其中:所述第一安全参数用于进行本设备与所连接的PoP节点之间的隧道封装与解封装;所述第二安全参数用于进行对报文进行加密和解密。
7.一种加密传输装置,其特征在于,应用于SD-WAN网络中的PoP节点上,包括:第二封装模块、传输模块和第二连接建立模块;
所述第二封装模块,用于在接收到所连接的边缘设备传来的第一隧道加密报文时,对所述第一隧道加密报文进行隧道解封装,得到第一加密报文;所述第一隧道加密报文为经过加密和隧道封装后得到的报文;
所述传输模块,用于将所述第一加密报文传输至对端PoP节点,以使所述对端PoP节点对所述第一加密报文进行隧道封装后传输至所述对端PoP节点所连接的边缘设备;
所述第二连接建立模块,用于在接收到所连接的边缘设备传来的第一加密报文之前,与所连接的边缘设备之间建立IPSec Overlay隧道,并协商第一安全参数;所述第一安全参数用于进行本节点与所连接的边缘设备之间的隧道封装与解封装;并通过与对端PoP节点之间的网络连接,使所连接的边缘设备获取对端PoP节点所连接的边缘设备的路由信息,并根据所述路由信息,建立与所述对端PoP节点所连接的边缘设备之间的端到端IPSec数据加密通道,通过所述端到端IPSec数据加密通道,所连接的边缘设备与所述对端PoP节点所连接的边缘设备协商第二安全参数,所述第二安全参数用于进行对报文进行加密和解密。
8.一种SD-WAN网络系统,其特征在于,包括:多个边缘设备和多个PoP节点;
每个所述PoP节点和至少一个所述边缘设备之间建立有IPSec Overlay隧道;
各所述PoP节点之间建立有数据的传输通道;
所述边缘设备用于执行如权利要求 1至 3中任一项所述的加密传输方法;
所述PoP节点用于执行如权利要求 4至 5中任一项所述的加密传输方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111573236.0A CN114338116B (zh) | 2021-12-21 | 2021-12-21 | 加密传输方法、装置及sd-wan网络系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111573236.0A CN114338116B (zh) | 2021-12-21 | 2021-12-21 | 加密传输方法、装置及sd-wan网络系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114338116A CN114338116A (zh) | 2022-04-12 |
| CN114338116B true CN114338116B (zh) | 2023-12-19 |
Family
ID=81054014
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111573236.0A Active CN114338116B (zh) | 2021-12-21 | 2021-12-21 | 加密传输方法、装置及sd-wan网络系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114338116B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101350824A (zh) * | 2008-09-23 | 2009-01-21 | 成都市华为赛门铁克科技有限公司 | 一种数据传输方法、装置和系统 |
| US10374830B1 (en) * | 2016-07-17 | 2019-08-06 | Fatpipe, Inc. | WAN-span LAN (WSL) networking technology |
| CN111628934A (zh) * | 2020-04-29 | 2020-09-04 | 四川速宝网络科技有限公司 | 一种sd-wan网络中实现域名访问加速的方法及装置 |
| CN112333841A (zh) * | 2020-11-18 | 2021-02-05 | 赛尔网络有限公司 | 基于sd-wan的网络切片调度系统及方法 |
| WO2021155389A2 (en) * | 2020-05-15 | 2021-08-05 | Futurewei Technologies, Inc. | Internet protocol security (ipsec) simplification in border gateway protocol (bgp)-controlled software-defined wide area networks (sd-wans) |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9929964B2 (en) * | 2008-11-12 | 2018-03-27 | Teloip Inc. | System, apparatus and method for providing aggregation of connections with a secure and trusted virtual network overlay |
-
2021
- 2021-12-21 CN CN202111573236.0A patent/CN114338116B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101350824A (zh) * | 2008-09-23 | 2009-01-21 | 成都市华为赛门铁克科技有限公司 | 一种数据传输方法、装置和系统 |
| US10374830B1 (en) * | 2016-07-17 | 2019-08-06 | Fatpipe, Inc. | WAN-span LAN (WSL) networking technology |
| CN111628934A (zh) * | 2020-04-29 | 2020-09-04 | 四川速宝网络科技有限公司 | 一种sd-wan网络中实现域名访问加速的方法及装置 |
| WO2021155389A2 (en) * | 2020-05-15 | 2021-08-05 | Futurewei Technologies, Inc. | Internet protocol security (ipsec) simplification in border gateway protocol (bgp)-controlled software-defined wide area networks (sd-wans) |
| CN112333841A (zh) * | 2020-11-18 | 2021-02-05 | 赛尔网络有限公司 | 基于sd-wan的网络切片调度系统及方法 |
Non-Patent Citations (1)
| Title |
|---|
| SD-WAN关键技术;柴瑶琳;穆博;马军锋;;中兴通讯技术(02) * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114338116A (zh) | 2022-04-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107018134B (zh) | 一种配电终端安全接入平台及其实现方法 | |
| EP2590368B1 (en) | Method, equipment and network system for terminal communicating with ip multimedia subsystem(ims) core network server by traversing private network | |
| CN108769292B (zh) | 报文数据处理方法及装置 | |
| EP2777217B1 (en) | Protocol for layer two multiple network links tunnelling | |
| CN104993993B (zh) | 一种报文处理方法、设备和系统 | |
| CN111385259B (zh) | 一种数据传输方法、装置、相关设备及存储介质 | |
| CN103188351A (zh) | IPv6 环境下IPSec VPN 通信业务处理方法与系统 | |
| US9473466B2 (en) | System and method for internet protocol security processing | |
| CN114844730A (zh) | 一种基于可信隧道技术构建的网络系统 | |
| CN115567205A (zh) | 采用量子密钥分发实现网络会话数据流加解密方法及系统 | |
| CN114143050B (zh) | 一种视频数据加密系统 | |
| CN108924157B (zh) | 一种基于IPSec VPN的报文转发方法及装置 | |
| CN111885430B (zh) | 一种基于以太帧的带内遥测方法及带内遥测系统 | |
| CN113556273A (zh) | 一种三网云互通系统的数据传输方法 | |
| CN113676391A (zh) | 一种数据传输方法、装置、通信节点和存储介质 | |
| CN112104601A (zh) | 数据传输方法、装置、终端设备和存储介质 | |
| WO2020228130A1 (zh) | 通信设备的网管服务器与网元的通信方法及系统 | |
| CN114338116B (zh) | 加密传输方法、装置及sd-wan网络系统 | |
| CN113992440B (zh) | 一种网关设备和将本地数据传入IPsec隧道的方法 | |
| CN115473729A (zh) | 数据传输方法、网关、sdn控制器及存储介质 | |
| CN109257388A (zh) | 一种mpls-tp中伪线加密方法 | |
| CN115442121A (zh) | 一种流量传输方法、系统、装置及存储介质 | |
| WO2011023010A1 (zh) | 一种用于伪线网络的数据安全发送接收方法、装置及系统 | |
| CN111866865B (zh) | 一种数据传输方法、5g专网建立方法及系统 | |
| WO2022001937A1 (zh) | 业务传输方法、装置、网络设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |