CN1394042A - 在虚拟私有网的隧道虚接口上保证互联网协议安全的方法 - Google Patents

Abstract

一种在虚拟私有网的隧道虚接口上保证互联网协议安全的实现方法，是将在实际物理接口上应用的IPSec安全技术保障方法，移植到虚拟私有网VPN的隧道虚接口上应用，以使所有访问私有网的各类报文，不管其属于哪类协议，都能够得到IPSec的安全技术保障，保证通信安全。其包括有下列步骤：1、设置至少一项访问控制列表ACL(Access Control Lists)，2、定义如何应用第1步设置的访问控制列表ACL的IPSec安全技术保障方法，3、设置隧道虚接口，4、在隧道虚接口上应用第2步生成的IPSec安全技术保障方法。

Description

在虚拟私有网的隧道虚接口上保证互联网协议安全的方法

本发明涉及一种保证互联网协议IP报文安全传输的方法，确切地说，涉及一种在虚拟私有网的隧道虚接口上保证互联网协议安全的实现方法，属于数字信息的传输中保证通信安全的技术领域。

互联网协议安全IPSec(IP Security)是IETF制定的IP层报文安全传输的标准。在IP报文封装的方式上，互联网协议安全IPSec是提供隧道方式的封装，利用这个特性可以实现虚拟私有网VPN功能。在设置IPSec的安全保护技术手段的过程中，如果和访问控制列表ACL(Access Control Lists)相结合，可以实现对不同的数据流执行不同的安全保护措施。目前，传统技术是把设置好的安全保护技术措施应用到实际的物理接口上，完成对进出该物理接口的IP报文进行数据加密(解密)、验证、防重放攻击等保证通信安全的各项技术保障手段。如果IPSec的保证通信安全的各项技术方法只能应用在实际的物理接口上，那它就只能为进出这个实际物理接口上的IP报文实施安全保护。然而，在虚拟私有网VPN的隧道虚接口上，尚不能应用上述IPSec的保证通信安全的各项技术方法。如果在虚拟私有网VPN的隧道虚接口上也能够应用上述IPSec的安全技术保障手段的话，那将能够给进出该VPN的隧道虚接口的IP报文也提供安全保护的技术。这样，无疑将会受到虚拟私有网VPN的众多用户的衷心欢迎。

例如，参见图1所示，一个有着私有IP地址的私有网B中的用户A访问另外一个私有网C中的某一台服务器D，这两个私有网B、C之间则是通过Internet相连的(这是一个典型的虚拟私有网VPN的应用实例)。私有网B通过一台路由器R1和Internet连接。在路由器R1和Internet直接相连的物理接口上通常都是设置有应用IPSec的安全技术保障方法。该安全技术保障方法规定所有进出该物理接口、并且应用协议是传输控制协议TCP(Transmission ControlProtocol)的IP报文都应该使用IPSec的隧道加密功能。但是  该项安全技术保障方法是不想让其他应用协议(例如用户数据报协议UDP和普通路由封装GRE)的IP报文也能够应用IPSec的加密措施。然而，为了所有拥护不同应用层协议的IP报文都能实现虚拟私有网VPN功能，在路由器R1上创建了一个VPN的隧道虚接口，在这个虚接口上封装了普通路由封装GRE(Generic RoutingEncapsulation)协议，其指定隧道的对端地址是私有网C和Internet相连的路由器R2上的Internet网公有地址，并且由路由模块确定所有到私有网C的IP报文都要先经过这个VPN隧道虚接口。通常用户A以为所有通过Internet的TCP报文是可以经过IPSec加密而保证通信安全的，而实际的事实却是：在目前的状况下所有访问私有网C的TCP报文在Internet上传输时是不受IPSec保护的。

本发明的目的是提供一种在虚拟私有网的隧道虚接口上保证互联网协议安全的实现方法，也就是说，将一种在实际物理接口上已经普遍使用的IPSec安全技术保障方法提供给虚拟私有网VPN的隧道虚接口上应用，以使所有访问私有网的各类报文，不管其属于哪类协议，都能够得到IPSec的安全技术保障，以保证通信安全。

本发明的目的是这样实现的：一种在虚拟私有网的隧道虚接口上保证互联网协议安全的实现方法，其特征在于：将在实际物理接口上应用的IPSec安全技术保障方法，移植到虚拟私有网VPN的隧道虚接口上应用。

所述的将在实际物理接口上应用的IPSec安全技术保障方法，移植到虚拟私有网VPN的隧道虚接口上应用，包括有下列步骤：1、设置至少一项访问控制列表ACL(Access Control Lists)，2、定义如何应用第1步设置的访问控制列表ACL的IPSec安全技术保障方法，3、设置隧道虚接口，4、在隧道虚接口上应用第2步生成的IPSec安全技术保障方法。

本发明的特点是将在在物理接口上应用的IPSec安全技术保障方法，移植到虚拟私有网VPN的隧道虚接口上应用，这样，所有IPSec安全技术保障方法应用在物理接口上所获得的好处，在VPN隧道虚接口上应用时同样可以获得，例如数据加密、报文验证、防重放攻击等。所以，如果应用本发明，图1中的用户A发出的通过Internet传输的TCP报文也可以得到IPSec安全技术保护了。

下面结合附图详细介绍本发明的方法步骤、特点和功效：

图1是应用本发明方法的第一实施例-用户A通过VPN访问服务器D-的系统组成示意图。

图2是应用本发明方法的第二实施例-GPRS/WCDMA中手机用户非透明方式通过Internet访问企业网-的系统组成示意图。

参见图1所示的一典型虚拟私有网VPN的应用实例：一个有着私有IP地址的私有网B中的用户A访问另外一个私有网C中的某一台服务器D，这两个私有网B、C之间则通过Internet相连。其中私有网B通过一台路由器R1和Internet连接。在路由器R1和Internet直接相连的物理接口上通常都设置有应用IPSec的安全技术保障方法。本发明则是将在实际物理接口上应用的IPSec安全技术保障方法，再移植到虚拟私有网VPN的隧道虚接口上应用。其具体包括有下列步骤：1、设置至少一项访问控制列表ACL(Access Control Lists)，2、定义如何应用第1步设置的访问控制列表ACL的IPSec安全技术保障方法，3、设置隧道虚接口，4、在隧道虚接口上应用第2步生成的IPSec安全技术保障方法。

原来在路由器R1和Internet相连的物理接口上应用的IPSec安全技术保障方法是不想让应用层协议是普通路由封装GRE的报文也使用IPSec的加密功能，而且采用GRE+IPSec的方法实现虚拟私有网VPN的效率与直接使用IPSec的隧道方式实现VPN的效率相比较明显要低。但是，利用本发明的方法可以在路由器R1封装GRE协议的VPN隧道虚接口上直接应用IPSec的安全技术保障方法。此时，只要条件符合(即符合IPSec的安全技术保障方法中匹配的访问控制列表ACL的规定)，就可以直接应用IPSec的安全技术保障方法了。

本发明的方法已经在通用分组无线业务GPRS/宽带码分多址WCDMA系统中进行实施试验，即在不同的手机用户拥有不同的访问点名APN(AccessPoint Name)所分配的相同的私有IP地址的环境下，通过使用本发明的方法，即在VPN的隧道虚接口上应用IPSec的安全技术保障方法，就可以实现各手机用户通过IPSec隧道访问不同APN的应用目的。实施试验的结果是成功的，达到了预期的效果。

为了能够让拥有相同私有IP地址的不同手机用户访问不同的APN，在GGSN上必须将相同IP地址的报文根据其所属的不同APN送入不同的VPN隧道虚接口，以便封装进不同的VPN隧道。图2所示的即为分属于APN1和APN2的两个手机用户MT的IP私有地址是相同的情况，此时，如果只能在实际物理接口上应用IPSec的安全技术保障方法，为了能够应用IPSec的方式安全地传输IP报文，就只能采取某种VPN协议(例如普通路由封装GRE)+IPSec这种低效率的传输方式(因为IPSec协议本身就直接支持VPN功能)，而且不能根据实际的不同数据流应用不同的安全技术保障方法。因为经过VPN封装后的IP报文，它们的源和目的IP地址都是相同的，应用层协议也是相同的(VPN协议)，即在IP层看来它们两者已经没有差异，无法区分开。然而，使用本发明的方法，在VPN隧道虚接口上直接应用IPSec的安全技术保障方法，那么，上述的所有缺点就都能够克服和解决了。图2中分属于APN1和APN2、且拥有相同IP私有地址的两个手机用户MT就可以根据其所属的不同APN送入不同的VPN隧道虚接口直接应用IPSec的安全技术保障方法，通过不同的IPSec隧道访问不同APN(例如图2中所示的两个企业网APN3和APN4)。

Claims (2)

1、一种在虚拟私有网的隧道虚接口上保证互联网协议安全的实现方法，其特征在于：将在实际物理接口上应用的IPSec安全技术保障方法，移植到虚拟私有网VPN的隧道虚接口上应用。

2、如权利要求1所述的在虚拟私有网的隧道虚接口上保证互联网协议安全的实现方法，其特征在于：所述的将在实际物理接口上应用的IPSec安全技术保障方法，移植到虚拟私有网VPN的隧道虚接口上应用，包括有下列步骤：1、设置至少一项访问控制列表ACL(Access Control Lists)，2、定义如何应用第1步设置的访问控制列表ACL的IPSec安全技术保障方法，3、设置隧道虚接口，4、在隧道虚接口上应用第2步生成的IPSec安全技术保障方法。