CN115277164B - 基于二层组网环境的报文处理方法及装置 - Google Patents
基于二层组网环境的报文处理方法及装置 Download PDFInfo
- Publication number
- CN115277164B CN115277164B CN202210873752.3A CN202210873752A CN115277164B CN 115277164 B CN115277164 B CN 115277164B CN 202210873752 A CN202210873752 A CN 202210873752A CN 115277164 B CN115277164 B CN 115277164B
- Authority
- CN
- China
- Prior art keywords
- message
- strategy
- layer
- layer networking
- vpn
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
Abstract
本公开涉及一种基于二层组网环境的报文处理方法及装置。该方法包括:对接收到的报文进行合法性校验;在合法性校验通过时,判断所述报文是否为VPN报文;在所述报文为VPN报文时,确定所述报文的策略属性;根据所述策略属性基于二层组网策略和/或三层组网策略对所述报文进行解密并处理。本申请涉及的基于二层组网环境的报文处理方法及装置,能够解决IPSec在二层透明部署时,报文泛洪的问题及区分二层报文的SPI与三层报文SPI冲突的问题。
Description
技术领域
本公开涉及计算机信息处理领域,具体而言,涉及一种基于二层组网环境的报文处理方法、装置、电子设备及计算机可读介质。
背景技术
IPSec是一种工作在三层的加密协议。IPSec通过在IPSec对等体间建立双向安全联盟形成一个安全互通的IPSec隧道,并通过定义IPSec保护的数据流将要保护的数据引入该IPSec隧道,然后对流经IPSec隧道的数据通过安全协议进行加密和验证,进而实现在Internet上安全传输指定的数据。
二层组网环境:OSI将计算机网络分为七层,二层为数据链路层,二层组网是指各个区域内部通过二层方式进行组网,同时区域之间也通过二层方式进行通信,通过二层转发达到各个区域之间快速通信。
为了保证如上图二层组网环境中,区域之间数据交换的安全,在原有二层组网的方式中引入透明串接的防火墙设备,通过IPSecVPN功能对数据进行加密,保证数据的安全。
在所述背景技术部分公开的上述信息仅用于加强对本申请的背景的理解,因此它可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
有鉴于此,本申请提供一种基于二层组网环境的报文处理方法、装置、电子设备及计算机可读介质,能够解决IPSec在二层透明部署时,报文泛洪的问题及区分二层报文的SPI与三层报文SPI冲突的问题。
本申请的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本申请的实践而习得。
根据本申请的一方面,提出一种基于二层组网环境的报文处理方法,该方法包括:对接收到的报文进行合法性校验;在合法性校验通过时,判断所述报文是否为VPN报文;在所述报文为VPN报文时,确定所述报文的策略属性;根据所述策略属性基于二层组网策略和/或三层组网策略对所述报文进行解密并处理。
在本申请的一种示例性实施例中,还包括:提取待发送的VPN报文的地址信息;将所述地址信息和二层组网策略进行匹配;在匹配一致时,根据所述二层组网策略确定加密策略;根据所述加密策略对所述VPN报文进行封装并进行发送。
在本申请的一种示例性实施例中,还包括:用户生成配置策略,所述配置策略中包括二层组网策略和/或三层组网策略;防火墙对所述配置策略进行校验;在校验通过且所述配置策略中包括二层组网策略时,基于所述二层组网策略提取策略信息;基于所述策略信息建立二层组网策略节点。
在本申请的一种示例性实施例中,根据所述策略属性基于二层组网策略和/或三层组网策略对所述报文进行解密并处理,包括:在所述报文为VPN报文时,通过三层组网策略对所述报文进行解密;生成解密报文;在所述解密报文符合二层组网策略时,通过所述二层组网策略对所述解密报文进行解密。
在本申请的一种示例性实施例中,在所述解密报文符合二层组网策略时,通过所述二层组网策略对所述解密报文进行解密,包括:通过所述解密报文中SPI字段的预设比特位确定所述解密报文是否符合二层组网策略;在所述解密报文符合二层组网策略时,确定目标二层组网策略节点;通过所述目标二层组网策略对所述解密报文进行解密。
在本申请的一种示例性实施例中,确定目标二层组网策略节点,包括:提取所述解密报文的地址信息;根据所述地址信息的哈希值确定所述目标二层组网策略节点。
在本申请的一种示例性实施例中,将所述地址信息和二层组网策略进行匹配,包括:由所述二层组网策略中提取保护网段信息;将所述地址信息和所述保护网段信息进行匹配。
在本申请的一种示例性实施例中,根据所述二层组网策略确定加密策略,包括:根据所述二层组网策略中的保护网段信息生成哈希节点;根据所述哈希节点提取所述加密策略。
在本申请的一种示例性实施例中,在校验通过且所述配置策略中包括二层组网策略时,基于所述二层组网策略提取策略信息,包括:在校验通过时,由所述配置策略提取SPI预设比特位;在SPI预设比特位为指定值时,确定所述配置策略中包括二层组网策略。
在本申请的一种示例性实施例中,基于所述策略信息建立二层组网策略节点,包括:基于所述策略信息中的报文源地址信息、加密后地址信息、SPI值、保护网段信息建立二层组网策略节点;将保护网段信息的哈希值作为所述二层组网策略节点的标识。
根据本申请的一方面,提出一种基于二层组网环境的报文处理装置,该装置包括:校验模块,用于对接收到的报文进行合法性校验;判断模块,用于在合法性校验通过时,判断所述报文是否为VPN报文;策略模块,用于在所述报文为VPN报文时,确定所述报文的策略属性;解密模块,用于根据所述策略属性基于二层组网策略和/或三层组网策略对所述报文进行解密并处理。
根据本申请的一方面,提出一种电子设备,该电子设备包括:一个或多个处理器;存储装置,用于存储一个或多个程序;当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现如上文的方法。
根据本申请的一方面,提出一种计算机可读介质,其上存储有计算机程序,该程序被处理器执行时实现如上文中的方法。
根据本申请的基于二层组网环境的报文处理方法、装置、电子设备及计算机可读介质,通过对接收到的报文进行合法性校验;在合法性校验通过时,判断所述报文是否为VPN报文;在所述报文为VPN报文时,确定所述报文的策略属性;根据所述策略属性基于二层组网策略和/或三层组网策略对所述报文进行解密并处理的方式,能够解决IPSec在二层透明部署时,报文泛洪的问题及区分二层报文的SPI与三层报文SPI冲突的问题。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本申请。
附图说明
通过参照附图详细描述其示例实施例,本申请的上述和其它目标、特征及优点将变得更加显而易见。下面描述的附图仅仅是本申请的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是基于二层组网环境的报文处理方法及装置的系统框图。
图2是根据一示例性实施例示出的一种基于二层组网环境的报文处理方法的流程图。
图3是根据另一示例性实施例示出的一种基于二层组网环境的报文处理方法的流程图。
图4是根据另一示例性实施例示出的一种基于二层组网环境的报文处理方法的流程图。
图5是根据一示例性实施例示出的一种基于二层组网环境的报文处理装置的框图。
图6是根据一示例性实施例示出的一种电子设备的框图。
图7是根据一示例性实施例示出的一种计算机可读介质的框图。
具体实施方式
现在将参考附图更全面地描述示例实施例。然而,示例实施例能够以多种形式实施,且不应被理解为限于在此阐述的实施例;相反,提供这些实施例使得本申请将全面和完整,并将示例实施例的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。
此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中,提供许多具体细节从而给出对本申请的实施例的充分理解。然而,本领域技术人员将意识到,可以实践本申请的技术方案而没有特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知方法、装置、实现或者操作以避免模糊本申请的各方面。
附图中所示的方框图仅仅是功能实体,不一定必须与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解,而有的操作/步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
应理解,虽然本文中可能使用术语第一、第二、第三等来描述各种组件,但这些组件不应受这些术语限制。这些术语乃用以区分一组件与另一组件。因此,下文论述的第一组件可称为第二组件而不偏离本申请概念的教示。如本文中所使用,术语“及/或”包括相关联的列出项目中的任一个及一或多者的所有组合。
本领域技术人员可以理解,附图只是示例实施例的示意图,附图中的模块或流程并不一定是实施本申请所必须的,因此不能用于限制本申请的保护范围。
本申请涉及的技术缩略语解释如下:
VPN:虚拟专用网络,可以在公用网络上建立专用网络,进行加密通讯。
IPsec VPN指采用IPSec协议来实现远程接入的一种VPN技术。
IPSec全称为Internet Protocol Security,是由Internet Engineering TaskForce(IETF)定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务.
传输模式:IPSec的一种操作方式。
在传输模式中,保留原始IP报文头作为新的IP报文的报文头,验证报文头插入在IP报文头和原始的有效负载之间,仅有协议字段的值修改成50(ESP协议)51(AH协议)。协议字段中用来表示上层协议号的旧值被放入验证报文头的后续报文头字段中。
在隧道模式中,需要为新的IP报文建立一个新的IP报文头,验证报文被插入在原始IP报文头和新IP报文头之间,原始IP报文头保持完整不变,而被封装在新的IP报文中。这种方法是在整个原始IP报文上提供验证(包括原始IP报文头和可变字段),除了验证报文头和新的IP报文头的不可变字段。此外,为了添加和去除这些额外的报文头需要更强的设备能力。
为了保证如上图二层组网环境中,区域之间数据交换的安全,可在原有二层组网的方式中引入透明串接的防火墙设备,通过IPSecVPN功能对数据进行加密,保证数据的安全,典型组网如图1所示。
在原有组网中串接防火墙,防火墙工作在二层转发模式,原有流量传输时通过防火墙设备时将数据加封装,到达对端防火墙时解密,以此完成数据解密。
存在区域1的设备和区域2的设备通信的流量。正常情况下,首先发送arp请求,请求区域2某个设备的MAC地址;当完成一个arp请求过程后,所有中间设备都可以学到PC1与PC2的MAC地址。但是使用隧道模式加密前后,源IP和目的IP会改变,当中间设备长时间收不到区域1和区域2收到的报文时,中间设备的MAC表会老化,导致建立隧道的FW1和FW2缺少相应的MAC表信息,发包时泛洪,导致隧道不能正常建立。
现有技术方案会导致:透明串接的互相建立IPSec的防火墙设备;受到IPSec保护的流量,学习不到对端的MAC地址;导致去往对端的二层报文在防火墙设备上进行泛洪。实例:例如防火墙1一段时间后学习不到区域2内的MAC地址;因为区域2中去往区域1的报文在匹配到IPSec加密策略后被加密成了新报文,原有的MAC信息被破坏,使得防火墙1学习不到区域二的MAC,导致去往区域2的报文在防火墙1二层转发时由于找不到MAC表项而进行了泛洪。而且由于一直学习不到MAC,导致转发报文会一直泛洪。
有鉴于现有技术中的技术缺陷,本申请提出一种基于二层组网环境的报文处理方法,旨在解决IPSec在二层透明部署时,引起的防火墙设备学习不到对端MAC地址,导致报文泛洪的问题及区分二层报文的SPI与三层报文SPI冲突的问题。
在本申请的基于二层组网环境的报文处理方法中,通过使用传输模式,在二层网络部署VPN。将防火墙设备以二层组网的部署的方式接入原有组网,在对原有二层组网环境进行报文的加密传输,充分利用网络带宽,且降低流量在网络中被窃听的风险,为用户提供了更多的选择。
但是在三层网络同样可以使用传输模式部署IPSec隧道,当同时存在二层和三层VPN时,且如果同时配置相同网段的二层IPSec VPN和三层的IPSec VPN,那么如何来下刷SA(Security Associations安全关联),本申请中通过SPI的前两个比特位来标识使所受标识的SPI为二层VPN专用SPI可解决此问题。
下面借助于具体的实施例对本申请的内容进行详细描述。
图2是根据一示例性实施例示出的一种基于二层组网环境的报文处理方法的流程图。基于二层组网环境的报文处理方法20至少包括步骤S202至S208。
如图2所示,在S202中,对接收到的报文进行合法性校验。
在S204中,在合法性校验通过时,判断所述报文是否为VPN报文。
在S206中,在所述报文为VPN报文时,确定所述报文的策略属性。
在S208中,根据所述策略属性基于二层组网策略和/或三层组网策略对所述报文进行解密并处理。
在一个实施例中,在所述报文为VPN报文时,通过三层组网策略对所述报文进行解密;生成解密报文;在另一个实施例中,在所述解密报文符合二层组网策略时,通过所述二层组网策略对所述解密报文进行解密。
更具体的,可通过所述解密报文中SPI字段的预设比特位确定所述解密报文是否符合二层组网策略;在所述解密报文符合二层组网策略时,确定目标二层组网策略节点;通过所述目标二层组网策略对所述解密报文进行解密。
其中,确定目标二层组网策略节点,包括:提取所述解密报文的地址信息;根据所述地址信息的哈希值确定所述目标二层组网策略节点。
在一个具体的应用场景中,可在二层收包做完相关的合法性校验后,进行报文三层头的校验,此时判断接收到的报文是否为VPN报文,如果该报文的三层头协议为ESP或AH协议,则认为该报文是三层头协议报文,进入三层组网解密流程。
在三层组网解密流程进行完毕之后,再查看此时报文的ESP头或AH头的SPI字段的前两个比特位,重温判断该报文是否属于二层组网报文。如果是的话,则匹配二层隧道,匹配成功后,根据报文的源IP目的IP及SPI通过哈希运算,匹配相应哈希节点,进而进行二层VPN的解密流程。
二层VPN解密完成后,报文重入二层收包;匹配不成功则返回源有流程,之后进入原有流程进入正常VPN的处理过程。由此进行报文的交互工作。
根据本申请的基于二层组网环境的报文处理方法,通过对接收到的报文进行合法性校验;在合法性校验通过时,判断所述报文是否为VPN报文;在所述报文为VPN报文时,确定所述报文的策略属性;根据所述策略属性基于二层组网策略和/或三层组网策略对所述报文进行解密并处理的方式,能够解决IPSec在二层透明部署时,报文泛洪的问题及区分二层报文的SPI与三层报文SPI冲突的问题。
本申请的基于二层组网环境的报文处理方法,将反向解密后的内层报文的二层信息恢复并重入二层流程,使用传输模式使得正向报文在进行二层转发时,能够根据目的MAC查到出接口,避免了正向报文由于无法查到出接口而出现的泛洪。而通过对SPI的前两位赋指定值(二层VPN可例如设置为01),避免了SPI冲突的问题。
应清楚地理解,本申请描述了如何形成和使用特定示例,但本申请的原理不限于这些示例的任何细节。相反,基于本申请公开的内容的教导,这些原理能够应用于许多其它实施例。
图3是根据另一示例性实施例示出的一种基于二层组网环境的报文处理方法的流程图。图3所示的流程30是对图2所示的流程的补充描述。
如图3所示,在S302中,提取待发送的VPN报文的地址信息。
在S304中,将所述地址信息和二层组网策略进行匹配。可由所述二层组网策略中提取保护网段信息;将所述地址信息和所述保护网段信息进行匹配。
在S306中,在匹配一致时,根据所述二层组网策略确定加密策略。可根据所述二层组网策略中的保护网段信息生成哈希节点;根据所述哈希节点提取所述加密策略。
在S308中,根据所述加密策略对所述VPN报文进行封装并进行发送。
在一个具体的应用场景中,可在二层发包封装报文之前,匹配报文是否在IPSecVPN策略的保护网段,若是,则根据保护网段计算哈希节点,进而找到加密的策略,然后对报文进行传输模式的封装。当然,如果没有二层VPN配置,那么则不进行该过程。是否存在二层VPN配置是通过内核的二层VPN哈希节点计数来实现的。报文加密后,不需要重入发包流程,而是直接使用返回当前流程直接发包。
图4是根据另一示例性实施例示出的一种基于二层组网环境的报文处理方法的流程图。图4所示的流程40是对图2所示的流程的补充描述。
如图4所示,在S401中,SA协商及下发内核。
在S402中,是否为二层VPN。
在S403中,修改SPI相关字段。
在S404中,向内核下发SA。
在S405中,SA的SPI是否有标记。
在S406中,存储二层组网策略节点。
在S407中,进行后续下发流程。
在一个具体的应用场景中,用户在配置IPSec VPN时,用户可从配置页面选择是否为二层VPN的按钮,当选择此按钮后,在IPSec VPN策略下发及SA的协商的过程与原有过程相同,但是在SA协商完成,如果配置为传输模式,在策略将要下发内核时,此时会根据是否选择二层VPN部署的配置来选择是否修改SPI前两个比特位,如果SPI前两个比特位为01,则该连接为二层VPN连接。
在一个具体的应用场景中,当用户态的策略下发到防火墙内核时,在进行相关的合法性校验之后,防火墙会判断上述SPI的前两个比特位,如果该字段为01则代表此条VPN链接为二层网络专用。此时会从用户态下刷的SA上取下相应字段,建立新节点,新节点包括保护网段,加密后报文的源IP及加密后报文的目的IP,SPI等。然后将保护网段的IP进行哈希运算得到相应的哈希表位置,将上述节点存入对应位置。
在一个实施例中,用户生成配置策略,所述配置策略中包括二层组网策略和/或三层组网策略;防火墙对所述配置策略进行校验;在校验通过且所述配置策略中包括二层组网策略时,基于所述二层组网策略提取策略信息;基于所述策略信息建立二层组网策略节点。
更具体的,可在校验通过时,由所述配置策略提取SPI预设比特位;在SPI预设比特位为指定值时,确定所述配置策略中包括二层组网策略。
更具体的,可基于所述策略信息中的报文源地址信息、加密后地址信息、SPI值、保护网段信息建立二层组网策略节点;将保护网段信息的哈希值作为所述二层组网策略节点的标识。
根据本申请的基于二层组网环境的报文处理方法,使用传输模式在二层网络部署IPSec VPN。在报文SPI相关字段置特殊标记位,区分及确定VPN的部署的方式,能够根据目的MAC查到出接口,避免了正向报文由于无法查到出接口而出现的泛洪。也避免了SPI冲突的问题。
本领域技术人员可以理解实现上述实施例的全部或部分步骤被实现为由CPU执行的计算机程序。在该计算机程序被CPU执行时,执行本申请提供的上述方法所限定的上述功能。所述的程序可以存储于一种计算机可读存储介质中,该存储介质可以是只读存储器,磁盘或光盘等。
此外,需要注意的是,上述附图仅是根据本申请示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
下述为本申请装置实施例,可以用于执行本申请方法实施例。对于本申请装置实施例中未披露的细节,请参照本申请方法实施例。
图5是根据一示例性实施例示出的一种基于二层组网环境的报文处理装置的框图。如图5所示,基于二层组网环境的报文处理装置50包括:校验模块502,判断模块504,策略模块506,解密模块508。
校验模块502用于对接收到的报文进行合法性校验;
判断模块504用于在合法性校验通过时,判断所述报文是否为VPN报文;
策略模块506用于在所述报文为VPN报文时,确定所述报文的策略属性;
解密模块508用于根据所述策略属性基于二层组网策略和/或三层组网策略对所述报文进行解密并处理。解密模块508还用于在所述报文为VPN报文时,通过三层组网策略对所述报文进行解密;生成解密报文;在所述解密报文符合二层组网策略时,通过所述二层组网策略对所述解密报文进行解密。
根据本申请的基于二层组网环境的报文处理装置,通过对接收到的报文进行合法性校验;在合法性校验通过时,判断所述报文是否为VPN报文;在所述报文为VPN报文时,确定所述报文的策略属性;根据所述策略属性基于二层组网策略和/或三层组网策略对所述报文进行解密并处理的方式,能够解决IPSec在二层透明部署时,报文泛洪的问题及区分二层报文的SPI与三层报文SPI冲突的问题。
图6是根据一示例性实施例示出的一种电子设备的框图。
下面参照图6来描述根据本申请的这种实施方式的电子设备600。图6显示的电子设备600仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图6所示,电子设备600以通用计算设备的形式表现。电子设备600的组件可以包括但不限于:至少一个处理单元610、至少一个存储单元620、连接不同系统组件(包括存储单元620和处理单元610)的总线630、显示单元640等。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元610执行,使得所述处理单元610执行本说明书中描述的根据本申请各种示例性实施方式的步骤。例如,所述处理单元610可以执行如图2,图3,图4中所示的步骤。
所述存储单元620可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)6201和/或高速缓存存储单元6202,还可以进一步包括只读存储单元(ROM)6203。
所述存储单元620还可以包括具有一组(至少一个)程序模块6205的程序/实用工具6204,这样的程序模块6205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线630可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备600也可以与一个或多个外部设备600’(例如键盘、指向设备、蓝牙设备等)通信,使得用户能与该电子设备600交互的设备通信,和/或该电子设备600能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口650进行。并且,电子设备600还可以通过网络适配器660与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器660可以通过总线630与电子设备600的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备600使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,如图7所示,根据本申请实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、或者网络设备等)执行根据本申请实施方式的上述方法。
另一方面,本公开包含了一种基于二层组网环境的VPN部署方法及其系统。现有的二层组网环境透明串接的互相建立IPSec的防火墙设备;受到IPSec保护的流量,学习不到对端的mac地址;导致去往对端的二层报文在防火墙设备上进行泛洪。实例:例如防火墙1一段时间后学习不到区域2内的mac地址;因为区域2中去往区域1的报文在匹配到IPSec加密策略后被加密成了新报文,原有的mac信息被破坏,使得防火墙1学习不到区域二的mac,导致去往区域2的报文在防火墙1二层转发时由于找不到mac表项而进行了泛洪。而且由于一直学习不到mac,导致转发报文会一直泛洪。为此,本公开旨在解决IPSec在二层透明部署时,引起的防火墙设备学习不到对端mac地址,导致报文泛洪的问题及区分二层报文的spi与三层报文spi冲突的问题。为此,本公开通过传输模式在二层网络部署IPSec VPN,即通过使用传输模式,在二层网络部署VPN。将防火墙设备以二层组网的部署的方式接入原有组网,再对原有二层组网环境进行报文的加密传输,充分利用网络带宽,且降低流量在网络中被窃听的风险,为用户提供了更多的选择。通过在报文spi相关字段置特殊标记位,区分及确定VPN的部署,解决同时存在二层和三层VPN时,在三层网络同样可以使用传输模式部署IPSec隧道。当同时存在二层和三层VPN时(假设有更巧合的事情:如果同时配置相同网段的二层IPSec VPN和三层的IPSec VPN)那么如何来下刷SA(Security Associations安全关联),本公开提出的使用SPI(串行外围接口)的前两个比特位来标识使所受标识的SPI为二层VPN专用SPI可专用于解决此问题。具体而言,在配置IPSec VPN时,用户可从配置页面选择是否为二层VPN的按钮,当选择此按钮后,在IPSec VPN策略下发及SA的协商的过程与原有过程相同,但是在SA协商完成,如果配置为传输模式,在策略将要下发内核时,此时会根据是否选择二层VPN部署的配置来选择是否修改SPI前两个比特位,如果SPI前两个比特位为01,则该连接为二层VPN连接,完成用户态处理。用户态的策略下发到内核时,在进行相关的合法性校验之后,我们会判断上述SPI的前两个比特位,如果该字段为01则代表此条VPN链接为二层网络专用。此时会从用户态下刷的SA上取下相应字段,建立新节点,新节点包括保护网段,加密后报文的源IP及加密后报文的目的IP,SPI等。然后将保护网段的IP进行哈希运算得到相应的哈希表位置,将上述节点存入对应位置,完成内核态处理。由此实现,隧道的建立及SA的协商。在进行上述部署之后,在报文发送之前进行新部署的二层组网系统中进行加密,即在二层发包封装报文之前,匹配报文是否在IPSec VPN策略的保护网段,若匹配结果为“是”,则根据保护网段计算哈希节点,进而找到加密的策略,然后对报文进行传输模式的封装。当然,如果没有二层VPN配置,那么则不进行该过程。是否存在二层VPN配置是通过内核的二层VPN哈希节点计数来实现的。报文加密后,不需要重入发包流程,而是直接使用返回当前流程直接发包。同样,在完成本公开的部署之后,在接收到报文进行解密时,在二层组网收包做完相关的合法性校验后,进行报文三层头的校验,此时判断是否为VPN报文,如果三层头协议为ESP或AH协议,则进入解密流程,此时再判断ESP头或AH头的SPI字段的前两个比特位判断该报文是否匹配二层隧道,匹配成功后,根据报文的源IP目的IP及SPI通过哈希运算,匹配相应哈希节点,进而进行二层VPN的解密流程。解密完成后,报文重入二层组网收包;匹配不成功则返回源有流程,之后进入原有流程进入正常VPN的处理过程。由此进行报文的交互工作。很显然,由于采用本公开的二层组网环境的VPN部署方法及其系统,在二层网络部署VPN。将防火墙设备以二层组网的部署的方式接入原有组网,再对原有二层组网环境进行报文的加密传输,降低流量在网络中被窃听的风险,为用户提供了更多的选择。并且,采用这种部署方式和系统,将反向解密后的内层报文的二层信息恢复并入二层流程,由此相应地提供了本公开所述的一种新的报文处理方法及装置,使用传输模式使得正向报文在进行二层转发时,能够根据目的MAC查到出接口,避免了正向报文由于无法查到出接口而出现的泛洪。而通过对SPI的前两位赋特殊值(二层VPN为01),避免了SPI冲突的问题。可选择地,本公开也可以通过在透明接入的防火墙设备在建立VPN链接时存储明文的MAC信息或者通过定时发送免费ARP来更新当前的MAC表来实现。
所述软件产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
所述计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本申请操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该计算机可读介质实现如下功能:对接收到的报文进行合法性校验;在合法性校验通过时,判断所述报文是否为VPN报文;在所述报文为VPN报文时,确定所述报文的策略属性;根据所述策略属性基于二层组网策略和/或三层组网策略对所述报文进行解密并处理。
该计算机可读介质还可实现如下功能:提取待发送的VPN报文的地址信息;将所述地址信息和二层组网策略进行匹配;在匹配一致时,根据所述二层组网策略确定加密策略;根据所述加密策略对所述VPN报文进行封装并进行发送。
该计算机可读介质还可实现如下功能:用户生成配置策略,所述配置策略中包括二层组网策略和/或三层组网策略;防火墙对所述配置策略进行校验;在校验通过且所述配置策略中包括二层组网策略时,基于所述二层组网策略提取策略信息;基于所述策略信息建立二层组网策略节点。
本领域技术人员可以理解上述各模块可以按照实施例的描述分布于装置中,也可以进行相应变化唯一不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施例的描述,本领域的技术人员易于理解,这里描述的示例实施例可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本申请实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本申请实施例的方法。
以上具体地示出和描述了本申请的示例性实施例。应可理解的是,本申请不限于这里描述的详细结构、设置方式或实现方法;相反,本申请意图涵盖包含在所附权利要求的精神和范围内的各种修改和等效设置。
Claims (9)
1.一种基于二层组网环境的报文处理方法,其特征在于,包括:
对接收到的报文进行合法性校验;
在合法性校验通过时,判断所述报文是否为VPN报文;
在所述报文为VPN报文时,确定所述报文的策略属性;
通过三层组网策略对所述报文进行解密,生成解密报文;
通过所述解密报文中SPI字段的预设比特位确定所述解密报文是否符合二层组网策略;
在所述解密报文符合二层组网策略时,确定目标二层组网策略节点;
通过所述目标二层组网策略对所述解密报文进行解密。
2.如权利要求1所述的方法,其特征在于,还包括:
提取待发送的VPN报文的地址信息;
将所述地址信息和二层组网策略进行匹配;
在匹配一致时,根据所述二层组网策略确定加密策略;
根据所述加密策略对所述VPN报文进行封装并进行发送。
3.如权利要求1所述的方法,其特征在于,还包括:
用户生成配置策略,所述配置策略中包括二层组网策略和/或三层组网策略;
防火墙对所述配置策略进行校验;
在校验通过且所述配置策略中包括二层组网策略时,基于所述二层组网策略提取策略信息;
基于所述策略信息建立二层组网策略节点。
4.如权利要求1所述的方法,其特征在于,确定目标二层组网策略节点,包括:
提取所述解密报文的地址信息;
根据所述地址信息的哈希值确定所述目标二层组网策略节点。
5.如权利要求2所述的方法,其特征在于,将所述地址信息和二层组网策略进行匹配,包括:
由所述二层组网策略中提取保护网段信息;
将所述地址信息和所述保护网段信息进行匹配。
6.如权利要求2所述的方法,其特征在于,根据所述二层组网策略确定加密策略,包括:
根据所述二层组网策略中的保护网段信息生成哈希节点;
根据所述哈希节点提取所述加密策略。
7.如权利要求3所述的方法,其特征在于,在校验通过且所述配置策略中包括二层组网策略时,基于所述二层组网策略提取策略信息,包括:
在校验通过时,由所述配置策略提取SPI预设比特位;
在SPI预设比特位为指定值时,确定所述配置策略中包括二层组网策略。
8.如权利要求3所述的方法,其特征在于,基于所述策略信息建立二层组网策略节点,包括:
基于所述策略信息中的报文源地址信息、加密后地址信息、SPI值、保护网段信息建立二层组网策略节点;
将保护网段信息的哈希值作为所述二层组网策略节点的标识。
9.一种基于二层组网环境的报文处理装置,其特征在于,包括:
校验模块,用于对接收到的报文进行合法性校验;
判断模块,用于在合法性校验通过时,判断所述报文是否为VPN报文;
策略模块,用于在所述报文为VPN报文时,确定所述报文的策略属性;
解密模块,用于通过三层组网策略对所述报文进行解密,生成解密报文,通过所述解密报文中SPI字段的预设比特位确定所述解密报文是否符合二层组网策略,在所述解密报文符合二层组网策略时,确定目标二层组网策略节点,以及通过所述目标二层组网策略对所述解密报文进行解密。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210873752.3A CN115277164B (zh) | 2022-07-24 | 2022-07-24 | 基于二层组网环境的报文处理方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210873752.3A CN115277164B (zh) | 2022-07-24 | 2022-07-24 | 基于二层组网环境的报文处理方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115277164A CN115277164A (zh) | 2022-11-01 |
CN115277164B true CN115277164B (zh) | 2023-06-27 |
Family
ID=83769485
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210873752.3A Active CN115277164B (zh) | 2022-07-24 | 2022-07-24 | 基于二层组网环境的报文处理方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115277164B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2004114047A2 (en) * | 2003-06-24 | 2004-12-29 | Nokia Inc. | System and method for secure mobile connectivity |
CN101540946A (zh) * | 2009-04-01 | 2009-09-23 | 神州数码网络(北京)有限公司 | 金融网点终端无线远程自动上下线系统及方法 |
CN102932377A (zh) * | 2012-11-28 | 2013-02-13 | 成都卫士通信息产业股份有限公司 | 一种ip报文过滤方法及装置 |
CN111147382A (zh) * | 2019-12-31 | 2020-05-12 | 杭州迪普科技股份有限公司 | 报文转发方法和装置 |
CN111698245A (zh) * | 2020-06-10 | 2020-09-22 | 成都国泰网信科技有限公司 | 一种基于国密算法的VxLAN安全网关及二层安全网络组建方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100138909A1 (en) * | 2002-09-06 | 2010-06-03 | O2Micro, Inc. | Vpn and firewall integrated system |
US10708299B2 (en) * | 2018-03-19 | 2020-07-07 | Fortinet, Inc. | Mitigating effects of flooding attacks on a forwarding database |
-
2022
- 2022-07-24 CN CN202210873752.3A patent/CN115277164B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2004114047A2 (en) * | 2003-06-24 | 2004-12-29 | Nokia Inc. | System and method for secure mobile connectivity |
CN101540946A (zh) * | 2009-04-01 | 2009-09-23 | 神州数码网络(北京)有限公司 | 金融网点终端无线远程自动上下线系统及方法 |
CN102932377A (zh) * | 2012-11-28 | 2013-02-13 | 成都卫士通信息产业股份有限公司 | 一种ip报文过滤方法及装置 |
CN111147382A (zh) * | 2019-12-31 | 2020-05-12 | 杭州迪普科技股份有限公司 | 报文转发方法和装置 |
CN111698245A (zh) * | 2020-06-10 | 2020-09-22 | 成都国泰网信科技有限公司 | 一种基于国密算法的VxLAN安全网关及二层安全网络组建方法 |
Non-Patent Citations (1)
Title |
---|
VPN技术及其在无线局域网安全中的应用;汪斌;于瑞厚;;科技信息(学术研究)(第04期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN115277164A (zh) | 2022-11-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11283772B2 (en) | Method and system for sending a message through a secure connection | |
CN107018134B (zh) | 一种配电终端安全接入平台及其实现方法 | |
US10091102B2 (en) | Tunnel sub-interface using IP header field | |
US7061899B2 (en) | Method and apparatus for providing network security | |
US9258282B2 (en) | Simplified mechanism for multi-tenant encrypted virtual networks | |
CN103188351B (zh) | IPv6环境下IPSec VPN通信业务处理方法与系统 | |
US20030191843A1 (en) | Secure network connection for devices on a private network | |
CN106506354B (zh) | 一种报文传输方法和装置 | |
KR100839941B1 (ko) | IPSec 설정정보와 세션정보를 이용한 비정상IPSec 트래픽 제어 시스템 및 그 제어 방법 | |
CN105471827A (zh) | 一种报文传输方法及装置 | |
US9106618B2 (en) | Control plane encryption in IP/MPLS networks | |
CN102904792B (zh) | 业务承载的方法及路由器 | |
CN115277164B (zh) | 基于二层组网环境的报文处理方法及装置 | |
CN115865845A (zh) | 一种基于SegmentRouting实现的跨Region虚拟网络通信的方法 | |
CN101360096B (zh) | 一种应用于数字医疗的系统安全规划方法 | |
CN112787940A (zh) | 一种多级vpn加密传输方法、系统、设备及存储介质 | |
KR101845776B1 (ko) | 레이어2 보안을 위한 MACsec 어댑터 장치 | |
KR100450774B1 (ko) | NAT 기능을 갖는 사설망에서 IPSec을 이용한종단과 종단 간의 private 정보 전송 방법 및 이를이용한 보안 서비스 방법 | |
CN114338116B (zh) | 加密传输方法、装置及sd-wan网络系统 | |
JP6075871B2 (ja) | ネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラム | |
JP2011077887A (ja) | パケット転送システム、パケット転送方法、通信装置及びパケット転送プログラム | |
JP4724636B2 (ja) | プロトコル処理システム及びプロトコル処理方法 | |
CN116846566A (zh) | 一种报文传输方法及相关设备 | |
Alhoaimel | Performance Evaluation of IPv6 and the Role of IPsec in Encrypting Data | |
CN117527556A (zh) | 多云平台间数据互通的方法、装置、电子设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |