CN116016529A - IPSec VPN设备负载均衡管理方法和装置 - Google Patents
IPSec VPN设备负载均衡管理方法和装置 Download PDFInfo
- Publication number
- CN116016529A CN116016529A CN202211685690.XA CN202211685690A CN116016529A CN 116016529 A CN116016529 A CN 116016529A CN 202211685690 A CN202211685690 A CN 202211685690A CN 116016529 A CN116016529 A CN 116016529A
- Authority
- CN
- China
- Prior art keywords
- security
- data message
- inbound data
- module
- local machine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000007726 management method Methods 0.000 title claims description 46
- 238000012545 processing Methods 0.000 claims abstract description 58
- 238000000034 method Methods 0.000 claims abstract description 32
- 238000004590 computer program Methods 0.000 claims description 43
- 238000006243 chemical reaction Methods 0.000 claims description 32
- 238000001514 detection method Methods 0.000 claims description 27
- 238000005538 encapsulation Methods 0.000 claims description 13
- 238000012795 verification Methods 0.000 claims description 8
- 238000000354 decomposition reaction Methods 0.000 claims description 7
- 238000005516 engineering process Methods 0.000 abstract description 7
- 238000004891 communication Methods 0.000 abstract description 6
- 238000010586 diagram Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 7
- 238000004422 calculation algorithm Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- OKTJSMMVPCPJKN-UHFFFAOYSA-N Carbon Chemical compound [C] OKTJSMMVPCPJKN-UHFFFAOYSA-N 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000004888 barrier function Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 229910021389 graphene Inorganic materials 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000007670 refining Methods 0.000 description 1
Images
Abstract
本申请涉及数据通信技术领域,特别是涉及一种IPSec VPN设备负载均衡管理方法和装置。该方法包括:获取入站数据报文;若入站数据报文处在本机已生效的安全策略或安全联盟之内,则对入站数据报文IPSec处理;其中,本机已生效的安全策略或安全联盟根据本机的负载能力,从全局一致的安全策略或安全联盟中选择得到。
Description
技术领域
本申请涉及数据通信技术领域,特别是涉及一种IPSec VPN设备负载均衡管理方法和装置。
背景技术
IPSec:Internet Protocol Security的缩写,表示Internet协议安全性,是一种开放标准的框架结构,通过使用加密的安全服务以确保在Internet协议(IP)网络上进行保密而安全的通讯。VPN:虚拟专用网络(Virtual Private Network,简称VPN)指的是在公用网络上建立专用网络的技术。
由于IPSec VPN采用了多种安全技术对数据进行处理,而且是部署在用户网络的出入口处,对设备处理性能和可靠性的要求是很高的,可以采用多台IPSec VPN集群的技术来解决性能和可靠性的问题。
然而,IPSec VPN自身的技术特点为多IPSec VPN集群的实现设置了障碍,即,隧道封装导致经过不同IPSec VPN设备处理的出站IP数据报文具有不同的源IP地址,而入站数据报文由于目的地址不同又无法实现负载的自动分配。
发明内容
基于此,有必要针对上述技术问题,提供一种能够对入站数据报文的IPSec VPN设备负载均衡管理方法和装置。
第一方面,本申请提供了一种IPSec VPN设备负载均衡管理方法,该方法包括:
获取入站数据报文;
若入站数据报文处在本机已生效的安全策略或安全联盟之内,则对入站数据报文IPSec处理;
其中,本机已生效的安全策略或安全联盟根据本机的负载能力,从全局一致的安全策略或安全联盟中选择得到。
在其中一个实施例中,对入站数据报文IPSec处理,包括:
根据身份认证模块,对入站数据报文进行合法性验证,若验证通过,则基于密钥管理模块,对入站数据报文进行加密;
基于核心处理模块建立虚拟隧道,通过虚拟隧道将加密后的入站数据报文传输至转换模块;
基于转换模块中的VPN数据检测模块,对加密后的入站数据报文进行VPN检测,若VPN检测通过,则基于转换模块中的数据包转换模块,对加密后的入站数据报文进行封装;
基于处理模块中的加密/解密模块,对封装后的入站数据报文进行解密;
基于处理模块中的封装/分解模块,对解密后的入站数据报文进行解封;
将解封后的入站数据报文发送至本机对应的用户。
在其中一个实施例中,根据本机的负载能力,从全局一致的安全策略或安全联盟中选择得到,包括:
获取集群内各IPSec VPN设备的安全策略、安全联盟、在线状态和负载能力;
根据各IPSec VPN设备的安全策略、安全联盟和在线状态,生成全局一致的安全策略或安全联盟;
根据本机的负载能力,从全局一致的安全策略或安全联盟中选择本机对应的已生效的安全策略和安全联盟。
在其中一个实施例中,根据本机的负载能力,从全局一致的安全策略或安全联盟中选择本机对应的已生效的安全策略和安全联盟,包括:
基于集群内各IPSec VPN设备对应的实际IP地址和计算能力;
基于各实际IP地址,对所有IPSec VPN设备进行编号;
将集群内各IPSec VPN设备的计算能力之和作为总计算能力;
将本机的计算能力与总计算能力的比值,作为本机的负载能力;
基于本机的编号和负载能力,从全局一致的安全策略或安全联盟中,选择本机对应的已生效的安全策略和安全联盟。
在其中一个实施例中,该方法还包括:
获取集群内各IPSec VPN设备配置统一的虚拟地址信息;
基于虚拟地址信息,对从内网出站的出站数据报文和从外网入站的入站数据报文的链路层地址请求进行响应。
在其中一个实施例中,获取集群内各IPSec VPN设备的计算能力,包括:
当集群内的任一IPSec VPN设备起动时,对该IPSec VPN设备进行签名运算,并根据签名运算结果,确定该IPSec VPN设备的计算能力。
第二方面,本申请还提供了一种IPSec VPN设备负载均衡管理装置,该装置包括:
获取模块,用于获取入站数据报文;
分配模块,用于若入站数据报文处在本机已生效的安全策略或安全联盟之内,则对入站数据报文IPSec处理;其中,本机已生效的安全策略或安全联盟根据本机的负载能力,从全局一致的安全策略或安全联盟中选择得到。
第三方面,本申请还提供了一种计算机设备,该计算机设备包括存储器和处理器,存储器存储有计算机程序,处理器执行计算机程序时实现以下步骤:
获取入站数据报文;
若入站数据报文处在本机已生效的安全策略或安全联盟之内,则对入站数据报文IPSec处理;
其中,本机已生效的安全策略或安全联盟根据本机的负载能力,从全局一致的安全策略或安全联盟中选择得到。
第四方面,本申请还提供了一种计算机可读存储介质,该计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
获取入站数据报文;
若入站数据报文处在本机已生效的安全策略或安全联盟之内,则对入站数据报文IPSec处理;
其中,本机已生效的安全策略或安全联盟根据本机的负载能力,从全局一致的安全策略或安全联盟中选择得到。
第五方面,本申请还提供了一种计算机程序产品,该计算机程序产品包括计算机程序,该计算机程序被处理器执行时实现以下步骤:
获取入站数据报文;
若入站数据报文处在本机已生效的安全策略或安全联盟之内,则对入站数据报文IPSec处理;
其中,本机已生效的安全策略或安全联盟根据本机的负载能力,从全局一致的安全策略或安全联盟中选择得到。
上述IPSec VPN设备负载均衡管理方法和装置,集群内的任一IPSec VPN设备基于其自身的负载能力,全局一致的安全策略或安全联盟中选择得到该IPSec VPN设备对应的已生效的安全策略或安全联盟,实现了对集群内各IPSec VPN设备的负载均衡管理;当接收到入站数据报文时,本机判断入站数据报文是否处在本机已生效的安全策略或安全联盟之内,若是,则对相应的入站数据报文的IPSec处理,在负载均衡的基础上,实现了对数据报文的自动处理。
附图说明
图1为一个实施例中IPSec VPN设备负载均衡管理方法的流程示意图;
图2为一个实施例中本机中各模块的示意图;
图3为一个实施例中对入站数据报文IPSec处理的流程示意图;
图4为一个实施例中选择本机对应的安全策略或安全联盟的流程示意图;
图5为一个实施例中确定本机对应的已生效的安全策略和安全联盟的流程示意图;
图6为一个实施例中IPSec VPN设备负载均衡管理装置的结构框图;
图7为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
IPSec VPN采用了多种安全技术对数据进行处理,而且是部署在用户网络的出入口处,对设备处理性能和可靠性的要求是很高的,因此可以采用多台IPSec VPN集群的技术来解决性能和可靠性的问题。IPSec VPN自身的技术特点为多IPSec VPN集群的实现设置了两大障碍,一是隧道封装导致经过不同IPSec VPN设备处理的出站IP数据报文具有不同的源IP地址,而入站的IP数据报文由于目的地址不同又无法实现负载的自动分配;二是序列号和抗重放窗口随着每一个数据报文更新,多台不同设备间无法实现序列号和抗重放窗口的即时同步,故障时的热切换存在问题。
本申请实施例提供的IPSec VPN设备负载均衡管理方法,该方法应用于集群中的任一IPSec VPN设备,该方法具体可以包括以下步骤:
S101,获取入站数据报文。
其中,集群包括多个IPSec VPN设备,入站数据报文是指从外网的发送方发送至集群的IP数据包,入站数据报文对应的IPSec VPN设备即为本机。可选的,入站数据报文包括VPN网关的策略表、内外网口IP地址以及集群内各VPN设备的内外网口物理地址。
具体的,发送方对该入站数据报文、基于预先指定报文特定字段(例如,报文头中的四元组)计算得到哈希(hash)值,接收方(管理各台IPSec VPN设备的管理方)基于计算的哈希值确定入站数据报文对应的本机。
S102,若入站数据报文处在本机已生效的安全策略或安全联盟之内,则对入站数据报文IPSec处理。
可以理解的是,安全策略(SP)一般由五元组形式的选择符唯一标志,该五元组包括源IP地址、目的IP地址、源传输层端口、目的传输层端口、传输层协议号,指示了明文数据报文的处理方式:丢弃、绕过IPSec或使用IPSec安全联盟处理。另外,安全联盟(SA)由三元组唯一标识,该三元组包括安全参数索引(SPI)、目的IP地址(单播地址)和安全协议(AH或ESP)标识符,指示了IPSec处理数据包的算法、密钥、抗重放窗口、封装方式等具体的参数。
其中,本机已生效的安全策略或安全联盟根据本机的负载能力,从全局一致的安全策略或安全联盟中选择得到。可选的,全局一致的安全策略或安全联盟是指基于集群中各IPSec VPN设备的安全策略或安全联盟汇总得到的安全策略或安全联盟;其中,每台IPSec VPN设备的负载能力表征该IPSec VPN设备所能处理的数据量。
具体的,为了形成全局一致的安全策略或安全联盟,集群内的每台IPSec VPN设备均设置一个可配置的IP多播地址,作为组内通讯地址;本机定期地将本机的安全策略、安全联盟、在线状态和计算能力通过多播的方式传递到集群的其他成员设备,同时也接收其他成员设备通过多播传递过来的安全策略、安全联盟、在线状态和计算能力,形成该集群全局一致的安全策略和安全联盟。
本实施例中,IPSec为IP数据包(数据报文)提供了基于密码学的安全传输特性,特定的通信双方在IP层通过加密与数据源认证等方式,保证IP数据报在网络上传输的私有性、完整性和防重放。具体的,IPSec处理可以包括:触发IKE协商、加解密、完整性校验/验证、隧道封装/重构、序列号和抗重放窗口的更新、生存期更新等。
上述IPSec VPN设备负载均衡管理方法,集群内的任一IPSec VPN设备基于其自身的负载能力,全局一致的安全策略或安全联盟中选择得到该IPSec VPN设备对应的已生效的安全策略或安全联盟,实现了对集群内各IPSec VPN设备的负载均衡管理;当接收到入站数据报文时,本机判断入站数据报文是否处在本机已生效的安全策略或安全联盟之内,若是,则对相应的入站数据报文的IPSec处理,在负载均衡的基础上,实现了对数据报文的自动处理。
如图2所示,本机包括管理员模块1、用户模块2、负载均衡管理模块3、配置模块4和处理模块5;负载均衡管理模块3包括加密数据库30、密钥管理模块31、身份认证模块32、核心处理模块33、数据发送模块34、数据接收模块35和转换模块36。其中,用户模块2用于存储本机对应的经过认证的用户身份,管理员模块1通过身份认证模块32获取使用者身份(入站数据报文对应的接收用户),并将使用者身份与用户模块2中的用户身份进行比对,以对使用者进行身份验证;负载均衡管理模块3用于确定对入站数据报文的处理方式,基于该处理方式,负载均衡管理模块3中的核心处理模块33、数据发送模块34、数据接收模块35、转换模块36为入站数据报文提供相应的处理路径;处理模块5和配置模块4用于将经处理路径传输的数据报文转发至本机对应的用户,即用户模块2中对应的用户。
在一个实施例中,如图3所示,本实施例提供了一种对入站数据报文IPSec处理的可选方式,即提供了一种对S102进行细化的方式。具体实现过程可以包括:
S301,根据身份认证模块,对入站数据报文进行合法性验证,若验证通过,则基于密钥管理模块,对入站数据报文进行加密。
可选的,根据身份认证模块,对入站数据报文进行合法性验证,即为:管理模块1通过身份认证模块获取使用者身份(入站数据报文对应的接收用户),并将使用者身份与用户模块2中的用户身份进行比对,以对使用者进行身份验证。
可选的,管理模块1从加密数据库30中获取公开密钥,基于密钥管理模块31基于该公开密钥,对入站数据报文进行加密,目的是实现非对称加密。非对称加密在准备传输数据的时候,先用IPSec VPN设备(本机)的公开密钥对入站数据报文进行加密,再把加密后的入站数据报文发送给用户,用户在收到加密后的数据包后要用自己的私人密钥对它进行解密。
S302,基于核心处理模块建立虚拟隧道,通过虚拟隧道将加密后的入站数据报文传输至转换模块。
其中,核心处理模块33用于建立虚拟隧道,通过虚拟隧道、数据发送模块34和数据接收模块35将加密后的入站数据报文传输至转换模块36。
S303,基于转换模块中的VPN数据检测模块,对加密后的入站数据报文进行VPN检测,若VPN检测通过,则基于转换模块中的数据包转换模块,对加密后的入站数据报文进行封装。
其中,VPN数据检测模块360实现的IPSec VPN检测包括离线、在线两种检测模式;IPSec VPN检测主要包括合规性、正确性和完整性检测。
可选的,合规性是指IPSec安全传输协议数据信息结构符合GB/T 0022-2014标准规范,密码算法使用符合规范。正确性是指证书签名算法使用正确,验证出正确的签名;摘要算法获取正确的哈希值;加解密的国密算法使用正确,能正确的获取密文和明文。完整性是指获取的数据是否受到篡改和遗漏,通过检测数据的哈希值来证明。
S304,基于处理模块中的加密/解密模块,对封装后的入站数据报文进行解密。
其中,与管理模块1从加密数据库30中获取公开密钥,基于密钥管理模块31以及该公开密钥,对入站数据报文进行加密相对应,本实施例中的加密/解密模块51对加密后的入站数据报文进行解密时采用公开密钥算法,公开密钥也叫做不对称加密,这类加密方法需要用到两个密钥:一个私人密钥和一个公开密钥。不对称加密在概念上很简单并且和对称加密的方法相比在安全性能方面更为出色,生成一队既能密切配合又能达到高保密性要求的密钥其过程是很复杂的,这个过程的复杂性恰好增加了数据的安全性。不对称加密使得在交流信件或者数据之前,人们不再需要先进行私人密钥的交换。
S305,基于处理模块中的封装/分解模块,对解密后的入站数据报文进行解封。
其中,封装/分解模块52的解封方式与数据包转换模块361中的封装方式相对应。
S306,将解封后的入站数据报文发送至本机对应的用户。
其中,本机对应的用户即为用户模块2中经过认证的用户身份。
本实施例中,管理员模块和核心处理模块能控制来自或去往某个用户的入站数据报文的通过,可以拒绝来自某个外部站点的入站数据报文访问内部某些用户,也可以拒绝某个内部站点方对某些外部网站的访问。负载均衡管理模块能保证自内部网络出去的数据包不被截取,也可以保证进入内部网络的数据包未经过篡改。只有在对入站数据报文实施了加密和认证后,才能保证在外部网络传输的数据包的机密性,真实性,完整性,通过Internet进新安全的通信才成为可能。
进一步的,在一个实施例中,该IPSec VPN设备负载均衡管理方法还包括:获取集群内各IPSec VPN设备配置统一的虚拟地址信息;基于虚拟地址信息,对从内网出站的出站数据报文和从外网入站的入站数据报文的链路层地址请求进行响应。
其中,集群各IPSec VPN设备具有共享的虚拟IP地址,作为该集群共享的IPSecVPN隧道源IP地址,所有通过该集群处理的出站IP数据报文都以该集群各成员设备共享的虚拟IP地址作为隧道封装后的源IP地址,而所有以该虚拟IP地址为目的IP地址的入站IPSec报文将被集群内的所有在线成员设备接收。该虚拟IP地址是管理模块1从管理各台IPSec VPN设备的管理方获取到的。
在一个实施例中,如图4所示,根据本机的负载能力,从全局一致的安全策略或安全联盟中选择得到,包括:
S401,获取集群内各IPSec VPN设备的安全策略、安全联盟、在线状态和负载能力。
S402,根据各IPSec VPN设备的安全策略、安全联盟和在线状态,生成全局一致的安全策略或安全联盟。
S403,根据本机的负载能力,从全局一致的安全策略或安全联盟中选择本机对应的已生效的安全策略和安全联盟。
具体的,如图5所示,根据本机的负载能力,从全局一致的安全策略或安全联盟中选择本机对应的已生效的安全策略和安全联盟,具体可以包括以下过程:
S501,基于集群内各IPSec VPN设备对应的实际IP地址和计算能力。
可选的,当集群内的任一IPSec VPN设备起动时,对该IPSec VPN设备进行签名运算,并根据签名运算结果,确定该IPSec VPN设备的计算能力。
具体的,以多线程的方式运行1万次2048比特模长的RSA签名运算,并计算出以次/秒为单位的签名速度,作为其所在IPSec VPN设备的计算能力 。
S502,基于各实际IP地址,对所有IPSec VPN设备进行编号。
具体的,按照各成员设备实际IP地址从大到小的顺序将集群内的所有设备统一排序并编号;对于全局安全策略,按照源IP地址、目的IP地址、源传输层端口、目的传输层端口、传输层协议号的五元组依次从大到小排序;对于全局安全联盟,按照目的IP地址、安全参数索引、安全协议的三元组依次从大到小排序。
S503,将集群内各IPSec VPN设备的计算能力之和作为总计算能力。
其中,IPSec VPN设备的计算能力通过IPSec VPN设备对应的物理资源的数量以及物理资源容量、速率和带宽来表征。
S504,将本机的计算能力与总计算能力的比值,作为本机的负载能力。
其中,设备的负载能力用于表征该设备的计算能力占于整个集群设备计算能力的比值。
S505,基于本机的编号和负载能力,从全局一致的安全策略或安全联盟中,选择本机对应的已生效的安全策略和安全联盟。
具体的,按照设备编号和负载比例分别依次从全局安全策略和全局安全联盟获取本设备实际生效的安全策略和安全联盟,对于每台设备,全局策略和全局联盟中除去该设备实际生效的安全策略和安全联盟,剩下的属于该设备仅更新的安全策略和安全联盟。
进一步的,负载管理模块将根据定期收到的组内同步信息定期更新本设备的实际生效的安全策略和安全联盟以及仅更新的安全策略和安全联盟,如果有设备失效,则该设备所分配到的负载,即该设备实际生效的安全策略和安全联盟将根据其他设备的计算能力重新分配给其他设备。
应该理解的是,虽然如上的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的IPSecVPN设备负载均衡管理方法的IPSec VPN设备负载均衡管理装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个IPSec VPN设备负载均衡管理装置实施例中的具体限定可以参见上文中对于IPSec VPN设备负载均衡管理方法的限定,在此不再赘述。
在一个实施例中,如图6所示,提供了一种IPSec VPN设备负载均衡管理装置100,包括:获取模块110和分配模块120,其中:
获取模块110,用于获取入站数据报文;
分配模块120,用于若入站数据报文处在本机已生效的安全策略或安全联盟之内,则对入站数据报文IPSec处理;其中,本机已生效的安全策略或安全联盟根据本机的负载能力,从全局一致的安全策略或安全联盟中选择得到。
分配模块120还用于:根据身份认证模块,对入站数据报文进行合法性验证,若验证通过,则基于密钥管理模块,对入站数据报文进行加密;
基于核心处理模块建立虚拟隧道,通过虚拟隧道将加密后的入站数据报文传输至转换模块;
基于转换模块中的VPN数据检测模块,对加密后的入站数据报文进行VPN检测,若VPN检测通过,则基于转换模块中的数据包转换模块,对加密后的入站数据报文进行封装;
基于处理模块中的加密/解密模块,对封装后的入站数据报文进行解密;
基于处理模块中的封装/分解模块,对解密后的入站数据报文进行解封;
将解封后的入站数据报文发送至本机对应的用户。
在一个实施例中,该IPSec VPN设备负载均衡管理装置还包括计划模块,计划模块包括:
获取子模块,用于获取集群内各IPSec VPN设备的安全策略、安全联盟、在线状态和负载能力;
汇总子模块,用于根据各IPSec VPN设备的安全策略、安全联盟和在线状态,生成全局一致的安全策略或安全联盟;
分配子模块,用于根据本机的负载能力,从全局一致的安全策略或安全联盟中选择本机对应的已生效的安全策略和安全联盟。
在一个实施例中,分配子模块还用于:基于集群内各IPSec VPN设备对应的实际IP地址和计算能力;
基于各实际IP地址,对所有IPSec VPN设备进行编号;
将集群内各IPSec VPN设备的计算能力之和作为总计算能力;
将本机的计算能力与总计算能力的比值,作为本机的负载能力;
基于本机的编号和负载能力,从全局一致的安全策略或安全联盟中,选择本机对应的已生效的安全策略和安全联盟。
在一个实施例中,该IPSec VPN设备负载均衡管理装置还包括设置模块,设置模块用于:
获取集群内各IPSec VPN设备配置统一的虚拟地址信息;
基于虚拟地址信息,对从内网出站的出站数据报文和从外网入站的入站数据报文的链路层地址请求进行响应。
在一个实施例中,获取子模块还用于:当集群内的任一IPSec VPN设备起动时,对该IPSec VPN设备进行签名运算,并根据签名运算结果,确定该IPSec VPN设备的计算能力。
上述IPSec VPN设备负载均衡管理装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图7所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储IPSec VPN设备负载均衡管理方法的数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种IPSec VPN设备负载均衡管理方法。
本领域技术人员可以理解,图7中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:
获取入站数据报文;
其中,本机已生效的安全策略或安全联盟根据本机的负载能力,从全局一致的安全策略或安全联盟中选择得到;
若入站数据报文处在本机已生效的安全策略或安全联盟之内,则对入站数据报文IPSec处理。
在一个实施例中,处理器执行计算机程序对入站数据报文IPSec处理的逻辑时,具体实现以下步骤:根据身份认证模块,对入站数据报文进行合法性验证,若验证通过,则基于密钥管理模块,对入站数据报文进行加密;基于核心处理模块建立虚拟隧道,通过虚拟隧道将加密后的入站数据报文传输至转换模块;
基于转换模块中的VPN数据检测模块,对加密后的入站数据报文进行VPN检测,若VPN检测通过,则基于转换模块中的数据包转换模块,对加密后的入站数据报文进行封装;基于处理模块中的加密/解密模块,对封装后的入站数据报文进行解密;基于处理模块中的封装/分解模块,对解密后的入站数据报文进行解封;将解封后的入站数据报文发送至本机对应的用户。
在一个实施例中,处理器执行计算机程序根据本机的负载能力,从全局一致的安全策略或安全联盟中选择得到的逻辑时,具体实现以下步骤:获取集群内各IPSec VPN设备的安全策略、安全联盟、在线状态和负载能力;根据各IPSec VPN设备的安全策略、安全联盟和在线状态,生成全局一致的安全策略或安全联盟;根据本机的负载能力,从全局一致的安全策略或安全联盟中选择本机对应的已生效的安全策略和安全联盟。
在一个实施例中,处理器执行计算机程序根据本机的负载能力的逻辑时,具体实现以下步骤:基于集群内各IPSec VPN设备对应的实际IP地址和计算能力;基于各实际IP地址,对所有IPSec VPN设备进行编号;将集群内各IPSec VPN设备的计算能力之和作为总计算能力;将本机的计算能力与总计算能力的比值,作为本机的负载能力;基于本机的编号和负载能力,从全局一致的安全策略或安全联盟中,选择本机对应的已生效的安全策略和安全联盟。
在一个实施例中,处理器执行计算机程序执行时还实现以下步骤:获取集群内各IPSec VPN设备配置统一的虚拟地址信息;基于虚拟地址信息,对从内网出站的出站数据报文和从外网入站的入站数据报文的链路层地址请求进行响应。
在一个实施例中,处理器执行计算机程序获取集群内各IPSec VPN设备的计算能力的逻辑时,具体实现以下步骤:当集群内的任一IPSec VPN设备起动时,对该IPSec VPN设备进行签名运算,并根据签名运算结果,确定该IPSec VPN设备的计算能力。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
获取入站数据报文;
若入站数据报文处在本机已生效的安全策略或安全联盟之内,则对入站数据报文IPSec处理;
其中,本机已生效的安全策略或安全联盟根据本机的负载能力,从全局一致的安全策略或安全联盟中选择得到。
在一个实施例中,计算机程序对入站数据报文IPSec处理的逻辑被处理器执行时,具体实现以下步骤:根据身份认证模块,对入站数据报文进行合法性验证,若验证通过,则基于密钥管理模块,对入站数据报文进行加密;基于核心处理模块建立虚拟隧道,通过虚拟隧道将加密后的入站数据报文传输至转换模块;基于转换模块中的VPN数据检测模块,对加密后的入站数据报文进行VPN检测,若VPN检测通过,则基于转换模块中的数据包转换模块,对加密后的入站数据报文进行封装;基于处理模块中的加密/解密模块,对封装后的入站数据报文进行解密;基于处理模块中的封装/分解模块,对解密后的入站数据报文进行解封;将解封后的入站数据报文发送至本机对应的用户。
在一个实施例中,计算机程序根据本机的负载能力,从全局一致的安全策略或安全联盟中选择得到,的逻辑被处理器执行时,具体实现以下步骤:获取集群内各IPSec VPN设备的安全策略、安全联盟、在线状态和负载能力;根据各IPSec VPN设备的安全策略、安全联盟和在线状态,生成全局一致的安全策略或安全联盟;根据本机的负载能力,从全局一致的安全策略或安全联盟中选择本机对应的已生效的安全策略和安全联盟。
在一个实施例中,计算机程序根据本机的负载能力,从全局一致的安全策略或安全联盟中选择本机对应的已生效的安全策略和安全联盟的逻辑被处理器执行时,具体实现以下步骤:基于集群内各IPSec VPN设备对应的实际IP地址和计算能力;基于各实际IP地址,对所有IPSec VPN设备进行编号;将集群内各IPSec VPN设备的计算能力之和作为总计算能力;将本机的计算能力与总计算能力的比值,作为本机的负载能力;基于本机的编号和负载能力,从全局一致的安全策略或安全联盟中,选择本机对应的已生效的安全策略和安全联盟。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:获取集群内各IPSec VPN设备配置统一的虚拟地址信息;基于虚拟地址信息,对从内网出站的出站数据报文和从外网入站的入站数据报文的链路层地址请求进行响应。
在一个实施例中,计算机程序获取集群内各IPSec VPN设备的计算能力的逻辑被处理器执行时,具体实现以下步骤:当集群内的任一IPSec VPN设备起动时,对该IPSec VPN设备进行签名运算,并根据签名运算结果,确定该IPSec VPN设备的计算能力。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:
获取入站数据报文;
若入站数据报文处在本机已生效的安全策略或安全联盟之内,则对入站数据报文IPSec处理;
其中,本机已生效的安全策略或安全联盟根据本机的负载能力,从全局一致的安全策略或安全联盟中选择得到。
在一个实施例中,计算机程序对入站数据报文IPSec处理的逻辑被处理器执行时,具体实现以下步骤:根据身份认证模块,对入站数据报文进行合法性验证,若验证通过,则基于密钥管理模块,对入站数据报文进行加密;基于核心处理模块建立虚拟隧道,通过虚拟隧道将加密后的入站数据报文传输至转换模块;基于转换模块中的VPN数据检测模块,对加密后的入站数据报文进行VPN检测,若VPN检测通过,则基于转换模块中的数据包转换模块,对加密后的入站数据报文进行封装;基于处理模块中的加密/解密模块,对封装后的入站数据报文进行解密;基于处理模块中的封装/分解模块,对解密后的入站数据报文进行解封;将解封后的入站数据报文发送至本机对应的用户。
在一个实施例中,计算机程序根据本机的负载能力,从全局一致的安全策略或安全联盟中选择得到,的逻辑被处理器执行时,具体实现以下步骤:获取集群内各IPSec VPN设备的安全策略、安全联盟、在线状态和负载能力;根据各IPSec VPN设备的安全策略、安全联盟和在线状态,生成全局一致的安全策略或安全联盟;根据本机的负载能力,从全局一致的安全策略或安全联盟中选择本机对应的已生效的安全策略和安全联盟。
在一个实施例中,计算机程序根据本机的负载能力,从全局一致的安全策略或安全联盟中选择本机对应的已生效的安全策略和安全联盟的逻辑被处理器执行时,具体实现以下步骤:基于集群内各IPSec VPN设备对应的实际IP地址和计算能力;基于各实际IP地址,对所有IPSec VPN设备进行编号;将集群内各IPSec VPN设备的计算能力之和作为总计算能力;将本机的计算能力与总计算能力的比值,作为本机的负载能力;基于本机的编号和负载能力,从全局一致的安全策略或安全联盟中,选择本机对应的已生效的安全策略和安全联盟。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:获取集群内各IPSec VPN设备配置统一的虚拟地址信息;基于虚拟地址信息,对从内网出站的出站数据报文和从外网入站的入站数据报文的链路层地址请求进行响应。
在一个实施例中,计算机程序获取集群内各IPSec VPN设备的计算能力的逻辑被处理器执行时,具体实现以下步骤:当集群内的任一IPSec VPN设备起动时,对该IPSec VPN设备进行签名运算,并根据签名运算结果,确定该IPSec VPN设备的计算能力。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (10)
1.一种IPSec VPN设备负载均衡管理方法,其特征在于,所述方法包括:
获取入站数据报文;
若所述入站数据报文处在本机已生效的安全策略或安全联盟之内,则对所述入站数据报文IPSec处理;
其中,所述本机已生效的安全策略或安全联盟根据所述本机的负载能力,从全局一致的安全策略或安全联盟中选择得到。
2.根据权利要求1所述的方法,其特征在于,所述对所述入站数据报文IPSec处理,包括:
根据所述身份认证模块,对所述入站数据报文进行合法性验证,若验证通过,则基于密钥管理模块,对所述入站数据报文进行加密;
基于核心处理模块建立虚拟隧道,通过所述虚拟隧道将加密后的入站数据报文传输至转换模块;
基于所述转换模块中的VPN数据检测模块,对加密后的入站数据报文进行VPN检测,若VPN检测通过,则基于所述转换模块中的数据包转换模块,对加密后的入站数据报文进行封装;
基于处理模块中的加密/解密模块,对所述封装后的入站数据报文进行解密;
基于所述处理模块中的封装/分解模块,对解密后的入站数据报文进行解封;
将解封后的入站数据报文发送至所述本机对应的用户。
3.根据权利要求1所述的方法,其特征在于,所述根据所述本机的负载能力,从全局一致的安全策略或安全联盟中选择得到,包括:
获取所述集群内各IPSec VPN设备的安全策略、安全联盟、在线状态和负载能力;
根据各IPSec VPN设备的安全策略、安全联盟和在线状态,生成全局一致的安全策略或安全联盟;
根据所述本机的负载能力,从全局一致的安全策略或安全联盟中选择所述本机对应的已生效的安全策略和安全联盟。
4.根据权利要求3所述的方法,其特征在于,所述根据所述本机的负载能力,从全局一致的安全策略或安全联盟中选择所述本机对应的已生效的安全策略和安全联盟,包括:
基于所述集群内各IPSec VPN设备对应的实际IP地址和计算能力;
基于各实际IP地址,对所有IPSec VPN设备进行编号;
将所述集群内各IPSec VPN设备的计算能力之和作为总计算能力;
将所述本机的计算能力与所述总计算能力的比值,作为所述本机的负载能力;
基于所述本机的编号和负载能力,从全局一致的安全策略或安全联盟中,选择所述本机对应的已生效的安全策略和安全联盟。
5.根据权利要求3所述的方法,其特征在于,所述方法还包括:
获取所述集群内各IPSec VPN设备配置统一的虚拟地址信息;
基于所述虚拟地址信息,对从内网出站的出站数据报文和从外网入站的入站数据报文的链路层地址请求进行响应。
6.根据权利要求4所述的方法,其特征在于,所述获取所述集群内各IPSec VPN设备的计算能力,包括:
当所述集群内的任一IPSec VPN设备起动时,对该IPSec VPN设备进行签名运算,并根据签名运算结果,确定该IPSec VPN设备的计算能力。
7.一种IPSec VPN设备负载均衡管理装置,其特征在于,所述装置包括:
获取模块,用于获取入站数据报文;
分配模块,用于若所述入站数据报文处在所述本机已生效的安全策略或安全联盟之内,则对所述入站数据报文IPSec处理;其中,所述本机已生效的安全策略或安全联盟根据所述本机的负载能力,从全局一致的安全策略或安全联盟中选择得到。
8.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述的方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
10.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211685690.XA CN116016529A (zh) | 2022-12-27 | 2022-12-27 | IPSec VPN设备负载均衡管理方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211685690.XA CN116016529A (zh) | 2022-12-27 | 2022-12-27 | IPSec VPN设备负载均衡管理方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116016529A true CN116016529A (zh) | 2023-04-25 |
Family
ID=86032983
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211685690.XA Pending CN116016529A (zh) | 2022-12-27 | 2022-12-27 | IPSec VPN设备负载均衡管理方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116016529A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117240455A (zh) * | 2023-10-16 | 2023-12-15 | 北京环宇博亚科技有限公司 | 一种基于IPsec链路加密方法的加密系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104184675A (zh) * | 2014-09-12 | 2014-12-03 | 成都卫士通信息产业股份有限公司 | 一种负载均衡的IPSec VPN设备集群系统及其工作方法 |
| CN108964880A (zh) * | 2018-10-10 | 2018-12-07 | 深信服科技股份有限公司 | 一种数据传输方法及装置 |
-
2022
- 2022-12-27 CN CN202211685690.XA patent/CN116016529A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104184675A (zh) * | 2014-09-12 | 2014-12-03 | 成都卫士通信息产业股份有限公司 | 一种负载均衡的IPSec VPN设备集群系统及其工作方法 |
| CN108964880A (zh) * | 2018-10-10 | 2018-12-07 | 深信服科技股份有限公司 | 一种数据传输方法及装置 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117240455A (zh) * | 2023-10-16 | 2023-12-15 | 北京环宇博亚科技有限公司 | 一种基于IPsec链路加密方法的加密系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9571458B1 (en) | Anti-replay mechanism for group virtual private networks | |
| CN107018134B (zh) | 一种配电终端安全接入平台及其实现方法 | |
| US20220006627A1 (en) | Quantum key distribution node apparatus and method for quantum key distribution thereof | |
| KR101498323B1 (ko) | 컴퓨터 클러스터 시스템들내 통신의 보안 | |
| US10148438B2 (en) | Methods and apparatus for protecting sensitive data in distributed applications | |
| US9596077B2 (en) | Community of interest-based secured communications over IPsec | |
| US8082574B2 (en) | Enforcing security groups in network of data processors | |
| US20030074584A1 (en) | System and method for maintaining N number of simultaneous cryptographic sessions using a distributed computing environment | |
| EP1748615A1 (en) | Method and system for providing public key encryption security in insecure networks | |
| US9876773B1 (en) | Packet authentication and encryption in virtual networks | |
| US11336627B2 (en) | Packet inspection and forensics in an encrypted network | |
| US20170201382A1 (en) | Secure Endpoint Devices | |
| CN110690961B (zh) | 一种量子网络功能虚拟化方法与装置 | |
| CN110677241B (zh) | 一种量子网络虚拟化架构方法与装置 | |
| US20140122876A1 (en) | System and method for providing a secure book device using cryptographically secure communications across secure networks | |
| EP4270867A1 (en) | Secure communication method, apparatus, and system for dc interconnection | |
| CN112367163A (zh) | 一种量子网络虚拟化方法与装置 | |
| Shaheen et al. | Source specific centralized secure multicast scheme based on IPSec | |
| CN115766002A (zh) | 采用量子密钥分发及软件定义实现以太数据加解密的方法 | |
| CN116016529A (zh) | IPSec VPN设备负载均衡管理方法和装置 | |
| CN107276996A (zh) | 一种日志文件的传输方法及系统 | |
| Maffina et al. | An improved and efficient message passing interface for secure communication on distributed clusters | |
| WO2023000075A1 (en) | Methods and systems of multi-user quantum key distribution and management | |
| Ren et al. | A detailed implement and analysis of MPLS VPN based on IPSec | |
| Li et al. | Certificateless identity-concealed authenticated encryption under multi-KGC |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |