CN1949705A - 一种用于安全访问专用局域网的动态隧道构建方法及用于该方法的装置 - Google Patents
一种用于安全访问专用局域网的动态隧道构建方法及用于该方法的装置 Download PDFInfo
- Publication number
- CN1949705A CN1949705A CNA2005100305246A CN200510030524A CN1949705A CN 1949705 A CN1949705 A CN 1949705A CN A2005100305246 A CNA2005100305246 A CN A2005100305246A CN 200510030524 A CN200510030524 A CN 200510030524A CN 1949705 A CN1949705 A CN 1949705A
- Authority
- CN
- China
- Prior art keywords
- tunnel
- packet
- address
- server
- command
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提出了一种用于安全访问专用局域网的动态隧道构建方法及用于该方法的装置。本发明方法将源隧道服务器部署在源主机收发IP数据包必经的路由设备上,目的隧道服务器部署在目的主机收发IP数据包必经的路由设备上,并在源隧道服务器和目的隧道服务器之间自动构建安全通信隧道,无需手工配置隧道,也不需要提供相应的专用局域网的访问服务器的IP地址。并且在通信完毕后,可以销毁该通信隧道。
Description
技术领域
本发明涉及专用局域网的安全访问,尤其涉及一种用于安全访问专用局域网的动态隧道构建方法及用于该方法的装置。
背景技术
在未来IPv6环境下,随着IP地址资源的极大丰富,以及各种电子设备的智能化和网络化,专用局域网(例如企业内部网络、家庭网络等)中每个设备都可以拥有独立的IP地址,通过这些设备的IP地址或其对应的域名,可以从外部网络寻址到相应的设备。这使得通过互联网远程访问和控制专用局域网中的设备在技术上成为可能;而且随着应用和服务的发展,对专用局域网中的设备进行远程访问和控制也会逐渐成为用户的迫切需求。
但是,由于专用局域网中设备的私密性和敏感性,设备拥有者并不希望外部网络可以任意访问专用局域网中的设备。如果允许外部网络任意访问这些设备,则这些设备将面临被攻击的巨大风险,并可能会给设备拥有者造成重大损失。
隧道技术是一种目前广泛使用的解决上述专用局域网安全访问问题的解决方案。外部网络中经过认证的用户可以通过建立在专用局域网和外部网络之间的安全通信隧道合法地访问专用局域网内设备,而外部网络中未经认证的其它主机/设备则不能访问该专用局域网。
现有技术中,基于隧道技术的各种VPN(Virtual Private Network,虚拟专用网)技术是目前比较完善的一种专用网络安全访问机制。VPN技术向用户提供一种虚拟的专用网络,这种网络虽然借助公用网络的基础设施进行通信,但其安全性却类似由用户租用的专用物理线路构成的专用网络。通过隧道技术,VPN使得经过身份认证的合法用户可以从外部网络访问VPN中的局域网,同时阻止外部网络中其它未经认证的用户或设备访问这些局域网,而且外部网络和VPN局域网之间通信具有安全性和私密性。
图1所示是VPN技术中两种访问方式:远程访问方式和本地访问方式。这两种方式都通过相应的安全通信隧道对VPN中的局域网进行访问。下面简要介绍两种方式下的安全通信隧道构建方法及不足之处。
(1)远程访问方式
远程访问方式下,安全通信隧道通常是固定配置的,即专用局域网(VPN)的管理员预先手工配置好本地接入点和远端访问服务器之间的安全隧道。远端访问服务器与本地接入点即为隧道服务器。当某外部网络源主机需要访问专用局域网(VPN)时,首先连接到本地接入点(POP:Point of Presence),然后向待访问的专用局域网的远端访问服务器(Access Server)发出访问请求,经过身份认证后,外部网络源主机即可通过该预先构建好的安全隧道访问远端的专用局域网。
远程访问方式的主要缺点是,安全隧道是手工配置的,需要VPN管理员大量的手工配置工作,而且当专用局域网(VPN)的网络构件发生变化时,比如现有的远端访问服务器/本地接入点更改了IP地址,或者部署了新的远端访问服务器/本地接入点等,这些静态配置的手工隧道需要手工进行修改,非常麻烦。
(2)本地访问方式
本地访问方式下,外部网络源主机访问专用局域网时,首先直接连接到待访问的本地专用局域网的访问服务器,即外部网络源主机需要知道相应的本地访问服务器的IP地址。经过身份认证后,本地访问服务器和外部网络源主机之间通过协商建立起安全通信隧道。此后,外部网络源主机即可通过该隧道访问本地的专用局域网。在这种方式下,隧道服务器的角色由本地访问服务器与外部网络源主机扮演。
本地访问方式的主要缺点是:隧道对用户是不透明的,即建立从外部网络访问某专用局域网的安全通信隧道时,用户需要提供相应的专用局域网的访问服务器的IP地址。为了访问不同的专用局域网,用户需要记忆大量的访问服务器的地址,增加了用户使用VPN的负担和难度。
另外,上述两种隧道构建方法不支持轻量级的用户设备。其用于访问专用局域网的外部网络主机都不同程度的参与了安全通信隧道的构建过程,尤其是本地访问方式,外部网络主机作为隧道服务器,直接负责安全通信隧道的协商和建立,这就需要该主机上安装有复杂的隧道支持软件。但是在有些情况下,用户用来访问专用局域网的设备可能在硬件和软件上都非常简单,没有安装或无法安装这类软件,则无法通过安全隧道访问专用局域网。
发明内容
本发明提出了一种新的动态隧道构建方法,本发明方法将源隧道服务器和目的隧道服务器部署在源主机发送或者目的主机接收IP数据包必经的路由设备上,并在源隧道服务器和目的隧道服务器之间自动构建安全通信隧道,无需手工配置隧道,也不需要提供相应的专用局域网的访问服务器的IP地址。
本发明方法包括以下步骤:
首先,外部网络中的源主机向身份认证单元所在方发送用户身份认证信息,由该身份认证单元所在方进行身份认证。其中,该用户身份认证信息包括用户名,用户密码,该目的主机的IP地址和端口号,以及该源主机的IP地址。该源主机的IP地址可以为缺省,默认为发起访问该专用局域网的外部网络主机本身。
其次,通过身份认证后,该身份认证单元所在方产生一个包含建立安全通信隧道命令的IP数据包,该IP数据包经加密后发送至专用局域网的目的主机侧的设备,该设备设置在该目的主机收发IP数据包的必经之路上。该包含建立安全通信隧道命令的IP数据包的内容部分包括:该源主机的IP地址,该目的主机的IP地址及端口号,以及为建立该安全通信隧道用的预留参数;该IP数据包的目的地址为目的主机的IP地址。
再次,该目的主机侧的设备截取含有建立安全通信隧道命令的IP数据包并解密该IP数据包,再产生一个包含隧道协商命令的IP数据包,该IP数据包经加密后发送至该外部网络中的源主机侧的设备,该设备设置在该源主机发送IP数据包的必经之路上。该IP数据包的目的地址为源主机的IP地址。
接着,该源主机侧的设备截取包含隧道协商命令的IP数据包并解密该IP数据包,再产生一个包含隧道协商回复命令的IP数据包,该IP数据包经加密后发送至该目的主机侧的设备;以及
最后,该目的主机侧的设备截取含有隧道协商回复命令的IP数据包并解密该IP数据包,该目的主机侧的设备根据该隧道协商命令中的隧道参数,与该源主机侧的设备协商建立安全通信隧道。
进行截取、解密、产生、加密和发送IP数据包的上述源主机侧的设备可以为设置在源主机收发IP数据包必经之路上的源隧道服务器。
进行截取、解密、产生、加密和发送IP数据包的上述目的主机侧的设备可以为设置在目的主机收发IP数据包必经之路上的目的隧道服务器。
本发明又提供了一种隧道服务器,该隧道服务器设置在外部网络中的源主机收发IP数据包的必经之路上则作为源隧道服务器,或者设置在专用局域网中的目的主机收发IP数据包的必经之路上则作为目的隧道服务器,包括:
隧道协商单元,用于根据相应的指令和对端隧道服务器协商隧道的加/解密参数;
隧道数据包处理单元,用于根据隧道的加/解密参数对通过安全通信隧道传输的IP数据包进行加/解密处理;
安全策略和安全联盟数据库,该安全策略和安全联盟数据库进一步包括用于存储各种安全策略的安全策略数据库,以及用于存储各种安全联盟的安全联盟数据库;
隧道命令过滤单元,用于截取来自外部网络的包含隧道命令的IP数据包;
隧道命令处理单元,用于对该隧道命令过滤单元截取的包含隧道命令的IP数据包进行解密,并根据隧道命令的内容发出相应的指令;以及
隧道命令产生单元,用于根据该隧道命令处理单元的指令产生相应的隧道命令,对隧道命令进行加密,并发往目的地址。
通过本发明的动态隧道构建方法,对现有技术作出了以下的贡献:
1.自动性:可以动态地自动构建安全通信隧道,无需手工干预,网络构件的变化对动态隧道构建方法没有影响;
2.易用性:安全隧道对用户完全透明,用户无需记忆任何隧道服务器的地址,对用户来说更易于使用;
3.支持简单主机:本方法中的安全通信隧道的构建完全由网络服务提供商(NSP)的设备完成,包括AAA服务器,隧道服务器等。除了提供身份认证信息外,外部网络的源主机无需任何与安全通信隧道协商和建立相关的配置和处理,所以无需安装支持安全通信隧道协商与建立相关的软件和硬件。采用本方法,一些在软件和硬件方面都很简单的主机也可以动态构建访问专用局域网的安全通信隧道。
通过参照结合附图所进行的如下描述和权利要求,本发明的其它目的和成就将是显而易见的,并对本发明也会有更为全面的理解。
附图说明
借助示例性的实施例和所附示意图,本发明及其相关的优点将得到进一步阐述,在附图中:
图1是现有的VPN技术中远程访问方式和本地访问方式的示意图;
图2是根据本发明的第一实施例的动态隧道构建方法的体系结构;
图3根据本发明的第二实施例的动态隧道构建方法的流程图;以及
图4是根据本发明的第二实施例的隧道服务器的框图。
具体实施方式
下面根据附图具体实施方式对本发明作进一步的详细描述。
实施例1
图2是根据本发明的第一实施例的动态隧道构建方法的体系结构。我们现假设这样的场景,某用户属于其公司所在的专用局域网A的合法用户,由于出差或者其它原因,该用户到了外地,他要访问其公司所在的专用局域网A以获得一些必要的资料,那么如何做到安全地访问专用局域网A呢?这就需要本发明的动态隧道构建方法在外部网络的源主机和专用局域网的目的主机之间建立一条安全通信隧道,源主机通过安全通信隧道访问目的主机。如图2所示为动态隧道构建方法的体系结构,其中,将一个隧道服务器设置在外部网络中的源主机收发IP数据包的必经之路上,作为源隧道服务器;将另一个隧道服务器设置在专用局域网中的目的主机收发IP数据包的必经之路上,作为目的隧道服务器,以及在公用网络中的服务器上设置身份认证单元,用于对访问该专用局域网的用户进行身份认证。在源主机和目的主机之间建立安全通信隧道,从而源主机通过该安全通信隧道访问目的主机。
图3是根据本发明的第一实施例的动态隧道构建方法的流程图。
外部网络中的源主机向身份认证单元所在的服务器发送身份认证信息,由身份认证单元进行身份认证(步骤320)。该用户身份认证信息包括用户名,用户密码,目的主机的IP地址和端口号,以及源主机的IP地址。
该身份认证单元对接收到的身份认证信息进行身份认证还包括以下步骤:
该身份认证单元根据接收到的信息从公共网络中的AAA服务器获取该用户名对应的专用局域网的网络地址范围;以及
检查该用户名以及用户密码是否属于该专用局域网的合法用户,以及待访问的该目的主机是否属于该专用局域网。
如果身份认证单元验证了该用户是合法用户后,则身份认证单元所在的服务器产生一个包含建立安全通信隧道命令的IP数据包,该IP数据包经加密后发送至目的隧道服务器(步骤330)。该包含建立安全通信隧道命令的IP数据包的内容部分包括:源主机的IP地址,目的主机的IP地址及端口号,以及为建立安全通信隧道预留的参数,该IP数据包的目的地址为目的主机的IP地址。源主机的IP地址可以为缺省,默认为发起访问所述专用局域网的外部网络主机本身。
目的隧道服务器截取并处理含有建立安全通信隧道命令的IP数据包(步骤340)。目的隧道服务器根据事先协商好的方法截取该含有隧道命令的IP数据包。再对该IP数据包进行解密,根据该隧道命令的内容,发出相应的指令。由于这里该隧道命令是要建立安全通信隧道,因此,根据指令,目的隧道服务器产生一个包含隧道协商命令的IP数据包,该IP数据包经加密后发送至源隧道服务器,该IP数据包的目的地址为源主机的IP地址。
源隧道服务器截取并处理包含隧道协商命令的IP数据包(步骤350)。源隧道服务器根据事先协商好的方法截取包含隧道协商命令的IP数据包。包含隧道协商命令的IP数据包的内容部分包括:源主机的IP地址,目的主机的IP地址及端口号,以及关于安全隧道的参数。再由源隧道服务器对该IP数据包进行解密,根据该隧道命令的内容,发出相应的指令。由于这里该隧道命令是要协商安全通信隧道,因此,根据指令,源隧道服务器产生一个包含隧道协商回复命令的IP数据包,该IP数据包经加密后发送至目的隧道服务器。
目的隧道服务器截取并处理含有隧道协商回复命令的IP数据包(步骤360)。目的隧道服务器根据事先协商好的方法截取该含有隧道命令的IP数据包。再对该IP数据包进行解密,根据该隧道命令的内容,发出相应的指令。由于这里该隧道命令是隧道协商回复命令,因此,根据相应的指令,当隧道命令处理单元判断其为正确的回复命令后,即调用隧道协商模块,使得目的隧道服务器根据隧道协商命令中的隧道参数,与源隧道服务器协商建立安全通信隧道。
前述构建安全通信隧道的过程中,目的隧道服务器、源隧道服务器或者身份认证单元所在的服务器根据事先协商好的方法截取含有隧道命令的IP数据包。该方法可以灵活设计。这里可以举出两个例子。
例如,可以根据该IP数据包的包头内的安全参数索引号(SPI,Security Parameter Index)进行截取,该安全参数索引号由身份认证单元所在方、源主机侧的设备或目的主机侧的设备加密包含隧道命令的该IP数据包后,将一个约定的保留安全参数索引号放入该IP数据包的包头内,作为该IP数据包的安全参数索引号。
又例如,可以根据该IP数据包的源地址进行截取,该源地址是由身份认证单元所在方、源主机侧的设备或目的主机侧的设备加密包含隧道命令的该IP数据包后,用一个约定的保留地址作为该IP数据包的源地址。
前述构建安全通信隧道的过程中,源隧道服务器、目的隧道服务器以及身份认证单元所在的服务器对IP数据包进行加密或者解密是根据其相互协定的安全策略以及与该安全策略对应的安全联盟对该IP数据包进行加密和解密处理的。安全策略和安全联盟分别存储在安全策略数据库和安全联盟数据库中,上述数据库是现有技术。
源隧道服务器和目的隧道服务器之间的安全通信隧道建立好以后,外部网络中的源主机就可以通过该安全通信隧道访问专用局域网中的目的主机了。
当外部网络中的源主机通过该安全通信隧道访问专用局域网完毕后,可以销毁该安全通信隧道(步骤370)。具体包括以下步骤:外部网络中的源主机向身份认证单元所在的服务器发送用户身份认证信息;然后身份认证单元所在的服务器对接收到的信息进行身份认证,通过身份认证后,向目的隧道服务器发送包含销毁安全通信隧道命令的加密IP数据包,该数据包的目的地址为目的主机的IP地址;最后目的隧道服务器向源隧道服务器发出撤销该安全通信隧道的通知:并删除目的隧道服务器中的隧道参数。
本实施例中,身份认证单元是独立设置在公用网络中的服务器上的,例如AAA服务器上。但是,本领域的技术人员应该熟知,身份认证单元的设置非常灵活,可以独立设置在公用网络中的其它设备上,也可以设置在目的隧道服务器上或者源隧道服务器上。
图4是根据本发明的第二实施例的隧道服务器的框图。
将隧道服务器设置在外部网络中的源主机发送数据包的必经之路上,则作为源隧道服务器,或者,将隧道服务器设置在专用局域网中的目的主机发送数据包的必经之路上,则作为目的隧道服务器。在该源隧道服务器和该目的隧道服务器之间可以动态地建立安全通信隧道,用于专用局域网的安全访问。
该隧道服务器400包括隧道协商单元410,隧道数据包处理单元420,数据库430,隧道命令过滤单元440,隧道命令处理单元450以及隧道命令产生单元460。其中,隧道协商单元410,隧道数据包处理单元420和数据库430是隧道服务器的标准模块,属于现有技术。但是,隧道命令过滤单元440,隧道命令处理单元450,隧道命令产生单元460是本发明中新增的模块,通过这些新增的模块,可以在源隧道服务器和目的隧道服务器之间动态地建立安全通信隧道,无需用户设备的参与,隧道服务器的网络寻址自动完成,无需手工配置隧道服务器的地址信息。
隧道协商单元410用于根据相应的指令和对端隧道服务器协商隧道的加解密参数。该隧道协商单元410是隧道服务器的标准模块。对端隧道服务器是相对于隧道服务器400而言的。如果该隧道服务器400是源隧道服务器,则对端隧道服务器是目的隧道服务器。反之亦然。
隧道数据包处理单元420,用于根据隧道的加解密参数对通过安全通信隧道传输的数据包进行加解密处理。该隧道数据包处理单元420是隧道服务器的标准模块。
数据库230包括用于存储各种安全策略的安全策略数据库,以及用于存储各种安全联盟的安全联盟数据库。该数据库430是隧道服务器的标准模块。
安全策略(Security Policy,SP)和安全联盟(Security Associate,SA)是两个通信实体例如外部网络中的源主机和专用局域网中的目的主机之间的为安全通信所设定的一种协定。其中,安全策略用于决定何种外出或者进入的IP数据包需要安全保护,其至少包含IP数据包的源地址和目的地址两个选择符,除此之外,还可以包含源端口和目的端口等其它选择符,各种安全策略可以被保存在安全策略数据库中;安全联盟则用于决定保护IP数据包安全的IPSec协议、加密方式、密钥以及密钥的有效存在时间等等,同样,各种安全联盟也可以保存在安全联盟数据库中。安全策略和安全联盟两者之间存在对应的关系,是一种现有技术。
隧道命令过滤单元440,用于截取来自外部网络的包含隧道命令的IP数据包。隧道命令过滤单元440截取包含隧道命令的IP数据包,可以用多种灵活的方法。具体参见第一实施例中的描述,本实施例中不再赘述。
隧道命令处理单元450,用于对该隧道命令过滤单元截取的包含隧道命令的IP数据包进行解密,并根据隧道命令的内容向隧道协商单元410或者隧道命令产生单元460发出相应的指令。如果隧道命令是安全通信隧道建立命令,则隧道命令处理单元450向隧道命令产生单元460发出产生并发送安全通信隧道协商命令的指令;如果隧道命令是安全通信隧道协商的命令,则隧道命令处理单元450向隧道命令产生单元460发出产生并发送隧道协商回复命令的指令。如果隧道命令是协商隧道回复的命令,则隧道命令处理单元450向隧道协商单元410发出和对端隧道服务器协商隧道的加解密参数的指令。
隧道命令产生单元460,用于根据该隧道命令处理单元450的指令产生相应的隧道命令,对隧道命令进行加密,并发往目的地址。其中,相应的隧道命令包括隧道建立命令,隧道协商命令,隧道协商回复命令或者隧道销毁命令。如果隧道命令产生单元460为目的隧道服务器中的隧道命令产生单元,则其产生的隧道命令包括:隧道建立命令(如果身份认证单元设置在目的隧道服务器中的话),隧道协商命令以及隧道撤销命令。如果隧道命令产生单元460为源隧道服务器中的隧道命令产生单元,则其产生的隧道命令包括隧道协商回复命令。
可选地,该隧道服务器400还可以包括身份认证单元470,用于对外部网络中源主机进行身份认证。该身份认证单元470根据外部网络的源主机发来的身份认证信息,从公共网络中的AAA服务器获取该用户名对应的专用局域网的网络地址范围,该身份认证信息包括用户名,用户密码,目的主机的IP地址和端口号,以及源主机的IP地址;接着该身份认证单元470检查该用户名以及用户密码是否属于该专用局域网的合法用户,以及待访问的目的主机是否属于该专用局域网。如果检查下来是合法的用户,则该用户有权访问该专用局域网。
其中,AAA(Authentication,Authorization,Accounting,认证,授权,记帐)服务器被设置在公共网络中,是一种用于身份认证,授权和帐户记帐的通用服务器,是一种现有技术。
值得一提的是,该身份认证单元470也可以不设置在隧道服务器400中。一般来说,身份认证处理单元470可以灵活地单独设置在公共网络的服务器中,例如设置在AAA服务器中,而不限于设置在隧道服务器中。
接下来详细描述对IP数据包进行加密或者解密的问题。源隧道服务器、目的隧道服务器对IP数据包进行加密或者解密是根据其相互协定的安全策略以及与该安全策略对应的安全联盟对该IP数据包进行加密和解密处理的。安全策略和安全联盟存储在安全策略和安全联盟数据库中,该数据库是现有技术。本实施例中,该安全策略和安全联盟数据库包括在数据库430中。从图4中也可以看出,数据库430与隧道协商单元410,隧道数据包处理单元420,隧道命令处理单元450以及隧道命令产生单元460之间分别用双箭头虚线连接,说明数据库430与它们之间分别存在数据交互操作,即当这些单元要对IP数据包进行加解密时,都要调用该数据库430。
上述的用于安全访问专用局域网的动态隧道构建方法,其对于现有的安全通信隧道构建方法具有下述有益效果。
首先,具有自动性:可以动态地自动构建安全通信隧道,无需手工干预,网络构件的变化对动态隧道构建方法没有影响;并且在通信完毕后,可以撤销该通信隧道。
其次,具有易用性:安全隧道对用户完全透明,用户无需记忆任何隧道服务器的地址,对用户来说更易于使用。
再次,支持简单主机:本方法中的安全通信隧道的构建完全由网络服务提供商(NSP)的设备完成,包括AAA服务器,隧道服务器等。除了提供身份认证信息外,外部网络的源主机无需任何与安全通信隧道协商和建立相关的配置和处理,所以无需安装支持安全通信隧道协商与建立相关的软件和硬件。采用本方法,一些在软件和硬件方面都很简单的主机也可以动态构建访问专用局域网的安全通信隧道。
本发明结合上述典型实施例进行了详细描述,各种选择、修改、变化、改进和/或基本的等同技术,目前已知的内容,对本领域的普通技术人员是熟知的。因此,本发明的上述的典型实施例,在与阐明而不在于限制本发明。在不脱离本发明的精神和范围之内可以做多种改变。因此,本发明可以包含所有已知的或者以后发展的选择、修改、变化、改进和/或基本的等同技术。
Claims (18)
1、一种用于安全访问专用局域网的动态隧道建立方法,其特征在于,所述方法包含以下步骤:
a.外部网络中的源主机向身份认证单元所在方发送用户身份认证信息,由所述身份认证单元所在方进行身份认证;
b.通过身份认证后,所述身份认证单元所在方产生一个包含建立安全通信隧道命令的IP数据包,所述IP数据包经加密后发送至专用局域网的目的主机侧的设备,所述设备设置在所述目的主机收发IP数据包的必经之路上;
c.所述目的主机侧的设备截取含有建立安全通信隧道命令的IP数据包并解密所述IP数据包,再产生一个包含隧道协商命令的IP数据包,所述IP数据包经加密后发送至所述外部网络中的源主机侧的设备,所述设备设置在所述源主机发送IP数据包的必经之路上;
d.所述源主机侧的设备截取包含隧道协商命令的IP数据包并解密所述IP数据包,再产生一个包含隧道协商回复命令的IP数据包,所述IP数据包经加密后发送至所述目的主机侧的设备;以及
e.所述目的主机侧的设备截取含有隧道协商回复命令的IP数据包并解密所述IP数据包,所述目的主机侧的设备根据所述隧道协商命令中的隧道参数,与所述源主机侧的设备协商建立安全通信隧道。
2.如权利要求1所述的方法,其特征在于,所述用户身份认证信息包括用户名,用户密码,所述目的主机的IP地址和端口号,以及所述源主机的IP地址。
3.如权利要求2所述的方法,其特征在于,所述源主机的IP地址可以为缺省,默认为发起访问所述专用局域网的外部网络主机本身。
4.如权利要求3所述的方法,其特征在于,所述身份认证单元所在方对接收到的信息进行身份认证包括以下步骤:
所述身份认证单元所在方根据接收到的信息从公共网络中的AAA服务器获取所述用户名对应的专用局域网的网络地址范围;以及
检查所述用户名以及用户密码是否属于所述专用局域网的合法用户,以及待访问的所述目的主机是否属于所述专用局域网。
5.如权利要求4所述的方法,其特征在于,所述包含建立安全通信隧道命令的IP数据包的内容部分包括:所述源主机的IP地址,所述目的主机的IP地址及端口号,以及为建立所述安全通信隧道用的预留参数;所述IP数据包的目的地址为所述目的主机的IP地址。
6.如权利要求5所述的方法,其特征在于,所述源主机侧的设备或所述目的主机侧的设备截取所述包含隧道命令的IP数据包是根据所述IP数据包的包头内约定的安全参数索引号(SPI,Security Parameter Index)进行截取的,所述安全参数索引号由所述身份认证单元所在方、所述源主机侧的设备或所述目的主机侧的设备加密所述隧道命令的IP数据包后放入所述IP数据包的包头内。
7.如权利要求5所述的方法,其特征在于,所述源主机侧的设备或所述目的主机侧的设备截取所述包含隧道命令的IP数据包是根据所述IP数据包的源地址进行截取的,所述源地址是由所述身份认证单元所在方、所述源主机侧的设备或所述目的主机侧的设备加密所述隧道命令的IP数据包后,用一个约定的保留地址作为所述IP数据包的源地址。
8.如权利要求6或者7所述的方法,其特征在于,所述源主机侧的设备、所述目的主机侧的设备以及所述身份认证单元所在方对所述包含隧道命令的IP数据包进行加密或者解密是根据其相互协定的安全策略以及与所述安全策略对应的安全联盟对所述IP数据包进行加密和解密处理。
9.如权利要求8所述的方法,其特征在于,所述包含隧道协商命令的IP数据包的内容部分包括:所述源主机的IP地址,所述目的主机的IP地址及端口号,以及关于所述安全隧道用的参数;所述IP数据包的目的地址为所述源主机的IP地址。
10.如权利要求9所述的方法,其特征在于,进行截取、解密、产生、加密和发送IP数据包的所述源主机侧的设备可以为设置在所述源主机收发IP数据包必经之路上的源隧道服务器。
11.如权利要求9所述的方法,其特征在于,进行截取、解密、产生、加密和发送IP数据包的所述目的主机侧的设备可以为设置在所述目的主机收发IP数据包必经之路上的目的隧道服务器。
12.如权利要求10或者11所述的方法,其特征在于,进一步包括步骤:
f.所述外部网络的源主机通过所述安全通信隧道访问所述专用局域网完毕后,销毁所述安全通信隧道。
13.如权利要求12所述的方法,其特征在于,步骤f包括以下步骤:
f1.所述外部网络中的源主机向所述身份认证单元所在方发送用户身份认证信息;
f2.所述身份认证单元所在方对接收到的信息进行身份认证;通过身份认证后,向所述目的主机侧的设备发送包含销毁安全通信隧道命令的IP数据包,该IP数据包的目的地址为目的主机的IP地址;以及
f3.所述目的主机侧的设备向所述源主机侧的设备发出撤销所述安全通信隧道的通知;并删除所述目的主机侧的设备中的隧道参数。
14.一种用于安全访问专用局域网的隧道服务器,所述隧道服务器设置在外部网络中的源主机收发IP数据包的必经之路上则作为源隧道服务器,或者设置在专用局域网中的目的主机收发IP数据包的必经之路上则作为目的隧道服务器,包括:
隧道协商单元,用于根据相应的指令和对端隧道服务器协商隧道的加/解密参数;
隧道数据包处理单元,用于根据隧道的加/解密参数对通过安全通信隧道传输的IP数据包进行加/解密处理;
安全策略和安全联盟数据库,所述安全策略和安全联盟数据库进一步包括用于存储各种安全策略的安全策略数据库,以及用于存储各种安全联盟的安全联盟数据库,所述安全策略数据库与所述安全联盟数据库相对应,其特征在于,所述隧道服务器还包括:
隧道命令过滤单元,用于截取来自外部网络的包含隧道命令的IP数据包;
隧道命令处理单元,用于对所述隧道命令过滤单元截取的包含隧道命令的IP数据包进行解密,并根据隧道命令的内容发出相应的指令;以及
隧道命令产生单元,用于根据所述隧道命令处理单元的指令产生相应的隧道命令,对隧道命令进行加密,并发往目的地址。
15.如权利要求14所述的隧道服务器,其特征在于,所述隧道服务器进一步包括身份认证处理单元,用于接收所述外部网络中的源主机发出的用户身份认证信息,并进行身份认证。
16.如权利要求15所述的隧道服务器,其特征在于,所述隧道命令过滤单元截取所述包含隧道命令的IP数据包是根据所述IP数据包的包头内约定的安全参数索引号(SPI,Security Parameter Index)进行截取的,所述安全参数索引号由所述身份认证单元所在方或隧道服务器加密所述隧道命令的IP数据包后放入所述IP数据包的包头内。
17.如权利要求15所述的隧道服务器,其特征在于,所述隧道命令过滤单元截取所述包含隧道命令的IP数据包是根据所述IP数据包的源地址进行截取的,所述源地址是由所述身份认证单元所在方或隧道服务器加密所述隧道命令的IP数据包后,用一个约定的保留地址作为所述IP数据包的源地址。
18.如权利要求16或者17所述的隧道服务器,其特征在于,所述源隧道服务器以及所述目的隧道服务器对所述包含隧道命令的IP数据包进行加密或者解密是根据其相互协定的安全策略以及与所述安全策略对应的安全联盟对所述IP数据包进行加密和解密处理。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2005100305246A CN1949705B (zh) | 2005-10-14 | 2005-10-14 | 一种用于安全访问专用局域网的动态隧道构建方法及用于该方法的装置 |
| US11/546,326 US20070086462A1 (en) | 2005-10-14 | 2006-10-12 | Dynamic tunnel construction method for securely accessing to a private LAN and apparatus therefor |
| EP06021530A EP1775903B1 (en) | 2005-10-14 | 2006-10-13 | A dynamic tunnel construction method for secure access to a private LAN and apparatus therefor |
| DE602006021266T DE602006021266D1 (de) | 2005-10-14 | 2006-10-13 | Vorrichtung und Verfahren zum dynamischen Aufbauen eines Tunnels zum sicheren Zugriff auf ein privates LAN |
| AT06021530T ATE505892T1 (de) | 2005-10-14 | 2006-10-13 | Vorrichtung und verfahren zum dynamischen aufbauen eines tunnels zum sicheren zugriff auf ein privates lan |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2005100305246A CN1949705B (zh) | 2005-10-14 | 2005-10-14 | 一种用于安全访问专用局域网的动态隧道构建方法及用于该方法的装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1949705A true CN1949705A (zh) | 2007-04-18 |
| CN1949705B CN1949705B (zh) | 2010-08-18 |
Family
ID=37667489
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2005100305246A Active CN1949705B (zh) | 2005-10-14 | 2005-10-14 | 一种用于安全访问专用局域网的动态隧道构建方法及用于该方法的装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20070086462A1 (zh) |
| EP (1) | EP1775903B1 (zh) |
| CN (1) | CN1949705B (zh) |
| AT (1) | ATE505892T1 (zh) |
| DE (1) | DE602006021266D1 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101399665B (zh) * | 2007-09-24 | 2011-07-13 | 上海贝尔阿尔卡特股份有限公司 | 以基于身份的密码体制为基础的业务认证方法和系统 |
| WO2012040971A1 (zh) * | 2010-09-28 | 2012-04-05 | 中兴通讯股份有限公司 | 用于路由协议的密钥管理方法和系统 |
| CN103237015A (zh) * | 2013-03-29 | 2013-08-07 | 汉柏科技有限公司 | 一种IPSec安全关联存储方法 |
| CN104753752A (zh) * | 2013-12-30 | 2015-07-01 | 上海格尔软件股份有限公司 | 一种适用于vpn的按需连接方法 |
| CN106936684A (zh) * | 2017-01-18 | 2017-07-07 | 北京华夏创新科技有限公司 | 一种透明模式下无ip地址建立隧道的方法及系统 |
| CN114389916A (zh) * | 2022-01-20 | 2022-04-22 | 迈普通信技术股份有限公司 | 一种组网通信方法、装置、系统及网络设备 |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2145458A4 (en) * | 2007-05-09 | 2014-11-26 | Ericsson Telefon Ab L M | METHOD AND APPARATUS FOR PROTECTING ROUTING OF DATA PACKETS |
| US7975294B2 (en) * | 2007-11-19 | 2011-07-05 | International Business Machines Corporation | VPN management |
| JP2010034860A (ja) * | 2008-07-29 | 2010-02-12 | Fujitsu Ltd | セキュリティ機能を有するipネットワーク通信方法及び通信システム |
| US9083587B2 (en) * | 2009-08-21 | 2015-07-14 | Cisco Technology, Inc. | Port chunk allocation in network address translation |
| US11290425B2 (en) * | 2016-02-01 | 2022-03-29 | Airwatch Llc | Configuring network security based on device management characteristics |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6076168A (en) * | 1997-10-03 | 2000-06-13 | International Business Machines Corporation | Simplified method of configuring internet protocol security tunnels |
| US6055236A (en) * | 1998-03-05 | 2000-04-25 | 3Com Corporation | Method and system for locating network services with distributed network address translation |
| US6522880B1 (en) * | 2000-02-28 | 2003-02-18 | 3Com Corporation | Method and apparatus for handoff of a connection between network devices |
| US6763018B1 (en) * | 2000-11-30 | 2004-07-13 | 3Com Corporation | Distributed protocol processing and packet forwarding using tunneling protocols |
| US6950862B1 (en) * | 2001-05-07 | 2005-09-27 | 3Com Corporation | System and method for offloading a computational service on a point-to-point communication link |
| US7979528B2 (en) * | 2002-03-27 | 2011-07-12 | Radvision Ltd. | System and method for traversing firewalls, NATs, and proxies with rich media communications and other application protocols |
| EP1411676A1 (en) * | 2002-10-17 | 2004-04-21 | Alcatel | Method, network access server, client and computer software product for dynamic definition of layer 2 tunneling connections |
| US20040088385A1 (en) * | 2002-11-01 | 2004-05-06 | Hexago Inc. | Method and apparatus for connecting IPV4 devices through an IPV6 network using a tunnel setup protocol |
| USRE48758E1 (en) * | 2004-06-24 | 2021-09-28 | Intellectual Ventures I Llc | Transfer of packet data in system comprising mobile terminal, wireless local network and mobile network |
| US20060251101A1 (en) * | 2005-04-25 | 2006-11-09 | Zhang Li J | Tunnel establishment |
-
2005
- 2005-10-14 CN CN2005100305246A patent/CN1949705B/zh active Active
-
2006
- 2006-10-12 US US11/546,326 patent/US20070086462A1/en not_active Abandoned
- 2006-10-13 DE DE602006021266T patent/DE602006021266D1/de active Active
- 2006-10-13 EP EP06021530A patent/EP1775903B1/en not_active Not-in-force
- 2006-10-13 AT AT06021530T patent/ATE505892T1/de not_active IP Right Cessation
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101399665B (zh) * | 2007-09-24 | 2011-07-13 | 上海贝尔阿尔卡特股份有限公司 | 以基于身份的密码体制为基础的业务认证方法和系统 |
| WO2012040971A1 (zh) * | 2010-09-28 | 2012-04-05 | 中兴通讯股份有限公司 | 用于路由协议的密钥管理方法和系统 |
| CN102420740A (zh) * | 2010-09-28 | 2012-04-18 | 中兴通讯股份有限公司 | 用于路由协议的密钥管理方法和系统 |
| CN103237015A (zh) * | 2013-03-29 | 2013-08-07 | 汉柏科技有限公司 | 一种IPSec安全关联存储方法 |
| CN103237015B (zh) * | 2013-03-29 | 2016-08-31 | 汉柏科技有限公司 | 一种IPSec安全关联存储方法 |
| CN104753752A (zh) * | 2013-12-30 | 2015-07-01 | 上海格尔软件股份有限公司 | 一种适用于vpn的按需连接方法 |
| CN104753752B (zh) * | 2013-12-30 | 2019-05-07 | 格尔软件股份有限公司 | 一种适用于vpn的按需连接方法 |
| CN106936684A (zh) * | 2017-01-18 | 2017-07-07 | 北京华夏创新科技有限公司 | 一种透明模式下无ip地址建立隧道的方法及系统 |
| CN114389916A (zh) * | 2022-01-20 | 2022-04-22 | 迈普通信技术股份有限公司 | 一种组网通信方法、装置、系统及网络设备 |
| CN114389916B (zh) * | 2022-01-20 | 2023-12-15 | 迈普通信技术股份有限公司 | 一种组网通信方法、装置、系统及网络设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1775903A2 (en) | 2007-04-18 |
| ATE505892T1 (de) | 2011-04-15 |
| EP1775903B1 (en) | 2011-04-13 |
| EP1775903A3 (en) | 2008-03-19 |
| CN1949705B (zh) | 2010-08-18 |
| DE602006021266D1 (de) | 2011-05-26 |
| US20070086462A1 (en) | 2007-04-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1949705A (zh) | 一种用于安全访问专用局域网的动态隧道构建方法及用于该方法的装置 | |
| KR101585936B1 (ko) | 가상 사설 망 관리 시스템 및 그 방법 | |
| US7853783B2 (en) | Method and apparatus for secure communication between user equipment and private network | |
| CN1838638A (zh) | 一种vpn数据转发方法及用于数据转发的vpn设备 | |
| CN1456006A (zh) | 电信系统中的方法和设备 | |
| CN1756234A (zh) | 服务器、vpn客户机、vpn系统及软件 | |
| CN1689304A (zh) | 在公共网络设备和内部网络设备间传送数据的方法、网关及系统 | |
| CN1703867A (zh) | 防火墙 | |
| WO2005065008A2 (en) | System and method for managing a proxy request over a secure network using inherited security attributes | |
| CN1969526A (zh) | 使用ha-mn密钥来保护本地代理与移动节点的通信 | |
| CN1731786A (zh) | 网络系统、内部服务器、终端设备、存储介质和分组中继方法 | |
| US20140122876A1 (en) | System and method for providing a secure book device using cryptographically secure communications across secure networks | |
| CN1523808A (zh) | 接入虚拟专用网(vpn)的数据加密方法 | |
| CN1747436A (zh) | 一种虚拟专网客户端的接入方法及系统 | |
| CN1770767A (zh) | 对vpn报文进行tcp应用层协议封装的系统及其方法 | |
| CN100352220C (zh) | 基于动态主机配置协议加网络门户认证的安全接入方法 | |
| CN1863048A (zh) | 用户与接入设备间因特网密钥交换协商方法 | |
| CN1564508A (zh) | 宽带无线ip网络匿名连接方法 | |
| CN1770769A (zh) | 使用IPsec提供网络隔离的系统和方法 | |
| CN1627682A (zh) | 网络传输中建立连接时动态密码的创建方法 | |
| CN1314221C (zh) | 一种安全代理方法 | |
| CN103716280B (zh) | 数据传输方法、服务器及系统 | |
| US20130219172A1 (en) | System and method for providing a secure book device using cryptographically secure communications across secure networks | |
| JP3847343B2 (ja) | コンピュータネットワークにおける通信のセキュリティのためのデータパケットを検査し選択的変更を施す方法及びシステム及びそのシステムの操作方法 | |
| CN1956441A (zh) | 授权模式访问专用局域网的方法及其装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: SHANGHAI ALCATEL-LUCENT CO., LTD. Free format text: FORMER NAME: BEIER AERKATE CO., LTD., SHANGHAI |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 201206 Pudong Jinqiao Export Processing Zone, Nanjing Road, No. 388, Shanghai Patentee after: Shanghai Alcatel-Lucent Co., Ltd. Address before: 201206 Pudong Jinqiao Export Processing Zone, Nanjing Road, No. 388, Shanghai Patentee before: Beier Aerkate Co., Ltd., Shanghai |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 201206 Pudong Jinqiao Export Processing Zone, Nanjing Road, No. 388, Shanghai Patentee after: Shanghai NOKIA Baer Limited by Share Ltd Address before: 201206 Pudong Jinqiao Export Processing Zone, Nanjing Road, No. 388, Shanghai Patentee before: Shanghai Alcatel-Lucent Co., Ltd. |
|
| CP01 | Change in the name or title of a patent holder |