CN113259330B - 一种用于IPSec VPN主动添加加密通信策略的方法 - Google Patents

一种用于IPSec VPN主动添加加密通信策略的方法 Download PDF

Info

Publication number
CN113259330B
CN113259330B CN202110471985.6A CN202110471985A CN113259330B CN 113259330 B CN113259330 B CN 113259330B CN 202110471985 A CN202110471985 A CN 202110471985A CN 113259330 B CN113259330 B CN 113259330B
Authority
CN
China
Prior art keywords
gateway
sub
data
data packet
net1
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110471985.6A
Other languages
English (en)
Other versions
CN113259330A (zh
Inventor
汪海洋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu Xinzhi Information Technology Co ltd
Original Assignee
Jiangsu Xinzhi Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu Xinzhi Information Technology Co ltd filed Critical Jiangsu Xinzhi Information Technology Co ltd
Priority to CN202110471985.6A priority Critical patent/CN113259330B/zh
Publication of CN113259330A publication Critical patent/CN113259330A/zh
Application granted granted Critical
Publication of CN113259330B publication Critical patent/CN113259330B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种用于IPSec VPN主动添加加密通信策略的方法。设定IPSec VPN网络***中网关GW各自只配置了自身的IPGW,保护的子网信息SubNet,以及在己方的证书白名单中添加了对方证书CERTGW;在IPSec VPN网络***中新增一台VPN网关或已部署VPN网关调整保护的业务子网发生调整情况下,运维人员只需要根据自己的实际情况调整己方网关的保护子网配置,无需在其他VPN网关上再修改加密通信策略配置,尤其对于没有集中配置管理***情况更具优势,降低了用户运行维护成本,提升了用户体验。

Description

一种用于IPSec VPN主动添加加密通信策略的方法
技术领域:
本发明属于网络通信技术领域,特别涉及一种用于IPSec VPN主动添加加密通信策略的方法。
背景技术:
目前,IPSec VPN网关在初始***署时,需要提前对整个用户加密网络拓扑、保护子网等信息进行收集,然后规划出加密互通关系,形成配置方案,并通过建设运维人员手工逐条逐条往VPN网关中配置加密通信策略的方式实现或者在集中配置管理***中逐条添加加密通信策略然后统一下发的方式进行***初始配置,从而造成对网络建设、运维人员的知识、技能要求比较高,或者需要专门投资建设集中配置管理***。
此外,对于已部署VPN网关调整保护的业务子网发生调整情况下,需要在所有具有与此台VPN网关存在加密互通关系的其他VPN网关上重新手动调整加密通信策略,还需要重新调试以确认配置的正确性,费时费力,对运维人员压力大。
公开于该背景技术部分的信息仅仅旨在增加对本发明的总体背景的理解,而不应当被视为承认或以任何形式暗示该信息构成已为本领域一般技术人员所公知的现有技术。
发明内容:
本发明的目的在于提供一种用于IPSec VPN主动添加加密通信策略的方法,从而克服上述现有技术中的缺陷。
为实现上述目的,本发明提供了一种用于IPSec VPN主动添加加密通信策略的方法,设定IPSec VPN网络***中网关GW各自只配置了自身的IPGW,保护的子网信息SubNet,以及在己方的证书白名单中添加了对方证书CERTGW,其中IPGW为网关GW的IP地址,SubNet为Net子网信息,CERTGW为网关GW公钥证书序列号;
其步骤为:(1)网关GW1接收到来自PC1第一次向PC2发送的IP数据包①,网关GW1判断PC1是处于己方SubNet1内,且不存在SubNet1与PC2所在子网的加密通信互通策略,因此不能匹配到加密通信策略;
(2)网关GW1构造出基于UDP协议用于探测对端网关的UDP[IPPC1,IPPC2,DATA(CERTGW1,IPGW1,SubNet1),SignGW1(DATA)]数据包②并发到外网;其中UDP[]为UDP协议格式的数据包,IPPC1、IPPC2为PC1、PC2的IP地址,DATA(CERTGW1,IPGW1,SubNet1)为包含CERTGW1、IPGW1、SubNet1字段的数据载荷,SignGW1(DATA)为用网关GW的私钥对DATA数据进行签名;
(3)经过外网路由,网关GW2接收到数据包②,经过证书验证网关GW1在允许建立安全通信的白名单中,解析出GW1和PC1的网络信息,网关GW2构造ICMP[IPGW2,IPPC2]数据包③并发到内网;其中ICMP[]为ICMP协议格式的数据包;
(4)PC2接收到数据包③后发出ICMP[echo]应答数据包④;
(5)网关GW2接收到数据包④,确认PC2位于本设备保护的子网SubNet2内,网关GW2构造出UDP[IPGW2,IPGW1,DATA(CERTGW2,IPGW2,SubNet2),SignGW2(DATA)]数据包⑤并发到外网;
(6)网关GW1接收到数据包⑤,经过证书验证网关GW2在允许建立安全通信的白名单中,并解析出PC2位于网关GW2所保护的子网SubNet2内,提取消息中网关GW2和子网SubNet2信息,网关GW1主动添加1条SubNet1与SubNet2之间的加密通信策略,并构造应答消息UDP[IPGW1,IPGW2,DATA(echo),SignGW1(DATA)]数据包⑥发往网关GW2进行确认;
(7)网关GW2接收到数据包⑥后,网关GW2也主动添加1条SubNet1与SubNet2之间的加密通信策略,然后启动IKEv2协商⑦出SA,最终网关GW1和网关GW2即可完成SubNet1与SubNet2之间双向VPN隧道⑧的建立;
(8)PC1与PC2之间通信的IP数据包在通过网关GW1和网关GW2时,就会在已经构建的双向VPN隧道⑧中进行安全传输。
与现有技术相比,本发明具有如下有益效果:
在IPSec VPN网络***中新增一台VPN网关或已部署VPN网关调整保护的业务子网发生调整情况下,运维人员只需要根据自己的实际情况调整己方网关的保护子网配置,无需在其他VPN网关上再修改加密通信策略配置,尤其对于没有集中配置管理***情况更具优势,降低了用户运行维护成本,提升了用户体验。
附图说明:
图1为本发明用于IPSec VPN网关主动添加加密通信策略***构架示意图。
具体实施方式:
下面对本发明的具体实施方式进行详细描述,但应当理解本发明的保护范围并不受具体实施方式的限制。
除非另有其它明确表示,否则在整个说明书和权利要求书中,术语“包括”或其变换如“包含”或“包括有”等等将被理解为包括所陈述的元件或组成部分,而并未排除其它元件或其它组成部分。
如图1所示,一种用于IPSec VPN主动添加加密通信策略的方法,设定IPSec VPN网络***中网关GW各自只配置了自身的IPGW,保护的子网信息SubNet,以及在己方的证书白名单中添加了对方证书CERTGW,其中IPGW为网关GW的IP地址,SubNet为Net子网信息,CERTGW为网关GW公钥证书序列号;
其步骤为:(1)网关GW1接收到来自PC1第一次向PC2发送的IP数据包①,网关GW1判断PC1是处于己方SubNet1内,且不存在SubNet1与PC2所在子网的加密通信互通策略,因此不能匹配到加密通信策略;
(2)网关GW1构造出基于UDP协议用于探测对端网关的UDP[IPPC1,IPPC2,DATA(CERTGW1,IPGW1,SubNet1),SignGW1(DATA)]数据包②并发到外网;其中UDP[]为UDP协议格式的数据包,IPPC1、IPPC2为PC1、PC2的IP地址,DATA(CERTGW1,IPGW1,SubNet1)为包含CERTGW1、IPGW1、SubNet1字段的数据载荷,SignGW1(DATA)为用网关GW的私钥对DATA数据进行签名;
(3)经过外网路由,网关GW2接收到数据包②,经过证书验证网关GW1在允许建立安全通信的白名单中,解析出GW1和PC1的网络信息,网关GW2构造ICMP[IPGW2,IPPC2]数据包③并发到内网;其中ICMP[]为ICMP协议格式的数据包;
(4)PC2接收到数据包③后发出ICMP[echo]应答数据包④;
(5)网关GW2接收到数据包④,确认PC2位于本设备保护的子网SubNet2内,网关GW2构造出UDP[IPGW2,IPGW1,DATA(CERTGW2,IPGW2,SubNet2),SignGW2(DATA)]数据包⑤并发到外网;
(6)网关GW1接收到数据包⑤,经过证书验证网关GW2在允许建立安全通信的白名单中,并解析出PC2位于网关GW2所保护的子网SubNet2内,提取消息中网关GW2和子网SubNet2信息,网关GW1主动添加1条SubNet1与SubNet2之间的加密通信策略,并构造应答消息UDP[IPGW1,IPGW2,DATA(echo),SignGW1(DATA)]数据包⑥发往网关GW2进行确认;
(7)网关GW2接收到数据包⑥后,网关GW2也主动添加1条SubNet1与SubNet2之间的加密通信策略,然后启动IKEv2协商⑦出SA,最终网关GW1和网关GW2即可完成SubNet1与SubNet2之间双向VPN隧道⑧的建立;
(8)PC1与PC2之间通信的IP数据包在通过网关GW1和网关GW2时,就会在已经构建的双向VPN隧道⑧中进行安全传输。
前述对本发明的具体示例性实施方案的描述是为了说明和例证的目的。这些描述并非想将本发明限定为所公开的精确形式,并且很显然,根据上述教导,可以进行很多改变和变化。对示例性实施例进行选择和描述的目的在于解释本发明的特定原理及其实际应用,从而使得本领域的技术人员能够实现并利用本发明的各种不同的示例性实施方案以及各种不同的选择和改变。本发明的范围意在由权利要求书及其等同形式所限定。

Claims (1)

1.一种用于IPSec VPN主动添加加密通信策略的方法,设定IPSec VPN网络***中网关GW各自只配置了自身的IPGW,保护的子网信息SubNet,以及在己方的证书白名单中添加了对方证书CERTGW,其中IPGW为网关GW的IP地址,SubNet为Net子网信息,CERTGW为网关GW公钥证书序列号;
其步骤为:(1)网关GW1接收到来自PC1第一次向PC2发送的IP数据包①,网关GW1判断PC1是处于己方SubNet1内,且不存在SubNet1与PC2所在子网的加密通信互通策略,因此不能匹配到加密通信策略;
(2)网关GW1构造出基于UDP协议用于探测对端网关的UDP[IPPC1,IPPC2,DATA(CERTGW1,IPGW1,SubNet1),SignGW1(DATA)]数据包②并发到外网;其中UDP[]为UDP协议格式的数据包,IPPC1、IPPC2为PC1、PC2的IP地址,DATA(CERTGW1,IPGW1,SubNet1)为包含CERTGW1、IPGW1、SubNet1字段的数据载荷,SignGW1(DATA)为用网关GW的私钥对DATA数据进行签名;
(3)经过外网路由,网关GW2接收到数据包②,经过证书验证网关GW1在允许建立安全通信的白名单中,解析出GW1和PC1的网络信息,网关GW2构造ICMP[IPGW2,IPPC2]数据包③并发到内网;其中ICMP[]为ICMP协议格式的数据包;
(4)PC2接收到数据包③后发出ICMP[echo]应答数据包④;
(5)网关GW2接收到数据包④,确认PC2位于本设备保护的子网SubNet2内,网关GW2构造出UDP[IPGW2,IPGW1,DATA(CERTGW2,IPGW2,SubNet2),SignGW2(DATA)]数据包⑤并发到外网;
(6)网关GW1接收到数据包⑤,经过证书验证网关GW2在允许建立安全通信的白名单中,并解析出PC2位于网关GW2所保护的子网SubNet2内,提取消息中网关GW2和子网SubNet2信息,网关GW1主动添加1条SubNet1与SubNet2之间的加密通信策略,并构造应答消息UDP[IPGW1,IPGW2,DATA(echo),SignGW1(DATA)]数据包⑥发往网关GW2进行确认;
(7)网关GW2接收到数据包⑥后,网关GW2也主动添加1条SubNet1与SubNet2之间的加密通信策略,然后启动IKEv2协商⑦出SA,最终网关GW1和网关GW2即可完成SubNet1与SubNet2之间双向VPN隧道⑧的建立;
(8)PC1与PC2之间通信的IP数据包在通过网关GW1和网关GW2时,就会在已经构建的双向VPN隧道⑧中进行安全传输。
CN202110471985.6A 2021-04-29 2021-04-29 一种用于IPSec VPN主动添加加密通信策略的方法 Active CN113259330B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110471985.6A CN113259330B (zh) 2021-04-29 2021-04-29 一种用于IPSec VPN主动添加加密通信策略的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110471985.6A CN113259330B (zh) 2021-04-29 2021-04-29 一种用于IPSec VPN主动添加加密通信策略的方法

Publications (2)

Publication Number Publication Date
CN113259330A CN113259330A (zh) 2021-08-13
CN113259330B true CN113259330B (zh) 2022-05-10

Family

ID=77223404

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110471985.6A Active CN113259330B (zh) 2021-04-29 2021-04-29 一种用于IPSec VPN主动添加加密通信策略的方法

Country Status (1)

Country Link
CN (1) CN113259330B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101640607A (zh) * 2009-04-13 2010-02-03 山石网科通信技术(北京)有限公司 基于因特网安全协议的虚拟专用网的配置方法及***
CN101969414A (zh) * 2010-10-15 2011-02-09 北京交通大学 一种标识分离映射网络中IPSec网关自动发现的方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9258282B2 (en) * 2012-10-24 2016-02-09 Cisco Technology, Inc. Simplified mechanism for multi-tenant encrypted virtual networks

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101640607A (zh) * 2009-04-13 2010-02-03 山石网科通信技术(北京)有限公司 基于因特网安全协议的虚拟专用网的配置方法及***
CN101969414A (zh) * 2010-10-15 2011-02-09 北京交通大学 一种标识分离映射网络中IPSec网关自动发现的方法

Also Published As

Publication number Publication date
CN113259330A (zh) 2021-08-13

Similar Documents

Publication Publication Date Title
JP4737089B2 (ja) Vpnゲートウェイ装置およびホスティングシステム
Patel et al. Securing L2TP using IPsec
EP1658700B1 (en) Personal remote firewall
US7444415B1 (en) Method and apparatus providing virtual private network access
US7373660B1 (en) Methods and apparatus to distribute policy information
US7809126B2 (en) Proxy server for internet telephony
US20070079368A1 (en) Connection assistance apparatus and gateway apparatus
WO2003015360A3 (en) System and method for secure network roaming
EP1328105B1 (en) Method for sending a packet from a first IPsec client to a second IPsec client through a L2TP tunnel
CN106685956A (zh) 一种路由器的vpn网络连接方法及***
US20080137863A1 (en) Method and system for using a key management facility to negotiate a security association via an internet key exchange on behalf of another device
TW200824356A (en) A method for managing a newwork based VPN configuration, a method for establishing a VPN tunnel, and a system for configuring a VPN policy and establishing a VPN tunnel
WO2008039506B1 (en) Deploying group vpns and security groups over an end-to-end enterprise network and ip encryption for vpns
CN111698245A (zh) 一种基于国密算法的VxLAN安全网关及二层安全网络组建方法
JP2004328029A (ja) ネットワークアクセスシステム
CN113259330B (zh) 一种用于IPSec VPN主动添加加密通信策略的方法
Liyanage et al. Secure hierarchical virtual private LAN services for provider provisioned networks
CN104426735B (zh) 一种建立虚拟专用网络连接的方法及装置
Xenakis et al. Secure VPN deployment in GPRS mobile network
KR102059150B1 (ko) IPsec 가상 사설 네트워크 시스템
Cisco Policy Management
US20200287868A1 (en) Systems and methods for in-band remote management
JP5864453B2 (ja) 通信サービス提供システムおよびその方法
US20130133063A1 (en) Tunneling-based method of bypassing internet access denial
Thiara Enterprise Based VPN

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant