一种基于IPSec的VPN多方连接方法

一种基于IPSec的VPN多方连接方法
【专利摘要】本发明中，在需要进行多方会话的IPSecVPN中，通过将所有需要进行连接的节点分为重点节点和一般节点，并设置其从属关系，在发起多方会话时，通过重点节点进行转发，使得数据通过安全的方式在参与多方会话的节点之间传递。本发明无需使用任何附加的协议，无需对待发送的数据包进行重新的封装和打包，实现了多方会话。通过重点节点的设立，仅需保证重点节点的转发性能，即能对其他的一般节点实现多方的安全连接，使得企业等应用环境得到高效、经济的运行模式。
【专利说明】—种基于IPSec的VPN多方连接方法

【技术领域】
[0001]本发明涉及通信【技术领域】，尤其涉及一种VPN的连接方法。

【背景技术】
[0002]信息技术的发展和Internet的广泛使用，在给人们生活和工作带来极大方便的同时，却也使人们一直十分担心在基于开放协议平台TCP/IP的Internet上通信数据的安全和计算机系统运行的安全。目前已经有多种安全通信技术应用于互联网中的数据传输，其中在网络层实现的因特网协议安全(IPSec)通信协议由于对应用层完全透明，因此非常适合在现有的TCP/IP网络中，通过增加IPSec安全模块，而不需修改应用系统、软件的设置，为各类网络应用构建一个通用的安全网络通信环境。
[0003]随着网络，尤其是网络经济的发展，企业日益扩张，客户分布日益广泛，合作伙伴日益增多，这种情况促使了企业的效益日益增长，另一方面也越来越凸显传统企业网的功能缺陷:传统企业网基于固定物理地点的专线连接方式已难以适应现代企业的需求于是企业对于自身的网络建设提出了更高的需求，主要表现在网络的灵活性、安全性、经济性、扩展性等方面。在这样的背景下，VPN以其独具特色的优势赢得了越来越多的企业的青睐，令企业可以较少地关注网络的运行与维护，而更多地致力于企业的商业目标的实现。
[0004]VPN(Virtual Private Network)是指通过综合利用网络技术、访问控制技术和加密技术，并通过一定的用户管理机制，在公共网络中建立起安全的“专用”网络，保证数据在“加密通道”中进行安全传输的技术。通过隧道(TUNNEL)或虚电路(VIRTUAL CIRCUIT)实现网络互联，支持用户安全管理，能够进行网络监控、故障诊断，具有省钱、选择灵活、速度快、安全性好、实现投资的保护等优点。
[0005]IPSec通过共享密钥在通讯的两端实现数据加密，即任意两端之间都要共享不同的密钥，所以IPSec隧道实际上是点到点的加密隧道，IPSec网络就是点到点加密隧道的集合，IPSec隧道不支持对组播包进行加密。目前，为解决这一问题，通常采用通用GRE隧道与IPSec加密相结合的方法，也即GRE Over IPSec0 GRE是一种在任意一种网络层协议上封装任意一个其它网络层协议的协议，将有效载荷封装在一个GRE报文中，然后将此GRE包封装在其它协议中进行转发。GRE隧道支持运载组播数据到对端，而GRE隧道的数据报文是单播的，因此GRE隧道的报文可被IPSec加密。在GRE Over IPSec中，GRE协议用于建立隧道，IPSec协议完成VPN网络的加密。如图1所示，现有技术在实现组播在IPSecVPN传输时，都需要先进行一次GRE封装，再将整个GRE报文封装到IPSec VPN中进行加密传输，这样能够保证组播报文在两个节点间正常传输。
[0006]显然，上述处理方案中，组播数据流需要经过GER和IPSec两次封装与解封装后才能得到最终处理，这对于传输时延比较敏感的业务，如语音业务影响很大，对视频业务也会产生较大延时。并且，该方案要求中心节点和分支节点同时支持IPSec和GRE两套VPN技术，这增加了该方案的运营和维护成本。


【发明内容】

[0007]本发明提供了一种基于IPSec的VPN连接方法，其特征在于，包括以下步骤:
步骤202、构建网络结构，具体包括:
步骤2021、将可能需要进行相互连接的各个节点进行分类，根据具体需求将所述节点分为一个重点节点和若干个一般节点；
步骤2022、确定重点节点和一般节点的隶属关系，重点节点下属若干个一般节点；步骤2023、在重点节点上配置节点关系路由表，表中至少包括重点节点的ID、IP地址和MAC地址、重点节点下属一般节点的ID、IP地址和MAC地址；
步骤2024、在所有一般节点上配置节点关系路由表，表中至少包括一般节点自身的ID、IP地址和MAC地址、其所属的重点节点的ID、IP地址和MAC地址；
步骤204、发起连接，具体包括:
步骤2041、第一一般节点发起多方会话连接，向其所属的重点节点发送连接请求消息，其中至少包括所述第一一般节点自身的ID、IP地址和MAC地址，以及要连接的所有其他节点的ID、IP地址和MAC地址信息；
步骤2042、重点节点接收到所述连接请求消息，获取消息中的所有待连接节点中一般节点的ID、IP地址、MAC地址信息后，向这些节点发起IPSec VPN连接；
步骤2043、每条IPSec VPN连接成功后，均在重点节点上记录IPSec VPN连接信息，至少包括所连接的一般节点的ID、IP地址和MAC地址和该连接所使用的IPSec协商信息的对应关系，构成对应关系表；
步骤206、建立会话，具体包括:
步骤2061、第一一般节点使用其与重点节点建立的第一 IPSec VPN连接向重点节点发送数据，该数据使用所述第一 IPSec VPN连接所协商信息进行封装传输；
步骤2062、重点节点接收到该数据，判断其源为第——般节点时，查找所述对应关系表，得到第一一般节点对应的IPSec协商信息，解封装数据包，得到包内数据；
步骤2063、若连接请求消息中的多方通话包括了重点节点，则将所述包内数据发送给重点节点的用户，进行下一步；否则直接进行下一步；
步骤208、转发数据，具体包括:
步骤2081、重点节点查找所述对应关系表，找到除所述第一一般节点外的其他一般节点，使用该表中的对应关系获取所述其他一般节点对应的IPSec协商信息；
步骤2082、对每一个所述其他一般节点，重点节点使用其对应的IPSec协商信息对接收到的数据进行封装，通过IPSec VPN将数据转发给该其他一般节点；
步骤2082、所述其他一般节点接收数据并进行解封装，完成会话；
步骤210、结束会话，具体包括:会话结束后，拆除所有已建立的连接，并删除重点节点上保存的所述对应关系表。
[0008]本发明中，无需使用任何附加的协议，无需在待发送的数据包进行重新的封装和打包，实现了多方会话。通过重点节点的设立，仅需保证重点节点的转发性能，即能对其他的一般节点实现多方的安全连接，使得企业等应用环境得到高效、经济的运行模式。

【专利附图】

【附图说明】
[0009]为了更清楚地说明本发明实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例。对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0010]图1为本发明系统结构图。
[0011]图2为本发明实施例一的流程图。

【具体实施方式】
[0012]为使本发明的目的、技术方案及优点更加清楚明白，以下将通过具体实施例和相关附图，对本发明作进一步详细说明。
[0013]实施例一
本发明实施例一提供了一种基于IPSec的VPN连接方法，其特征在于，包括以下步骤: 步骤202、构建网络结构，具体包括:
步骤2021、将可能需要进行连接的各个节点进行分类，根据具体需求将所述节点分为一个重点节点和若干个一般节点；
步骤2022、确定重点节点和一般节点的隶属关系，重点节点下属若干个一般节点；
步骤2023、在重点节点上配置节点关系路由表，表中至少包括重点节点的ID、IP地址和MAC地址、重点节点下属一般节点的ID、IP地址和MAC地址；
步骤2024、在所有一般节点上配置节点关系路由表，表中至少包括一般节点自身的ID、IP地址和MAC地址、其所属的重点节点的ID、IP地址和MAC地址；
步骤204、发起连接，具体包括:
步骤2041、第一一般节点发起多方会话连接，向其所属的重点节点发送连接请求消息，其中至少包括所述第一一般节点自身的ID、IP地址和MAC地址，以及要连接的所有其他节点的ID、IP地址和MAC地址信息；
步骤2042、重点节点接收到所述连接请求消息，获取消息中的所有待连接节点中一般节点的ID、IP地址、MAC地址信息后，向这些节点发起IPSec VPN连接；
步骤2043、每条IPSec VPN连接成功后，均在重点节点上记录IPSec VPN连接信息，至少包括所连接的一般节点的ID、IP地址和MAC地址和该连接所使用的IPSec协商信息的对应关系，构成对应关系表；
步骤206、建立会话，具体包括:
步骤2061、第一一般节点使用其与重点节点建立的第一 IPSec VPN连接向重点节点发送数据，该数据使用所述第一 IPSec VPN连接所协商信息进行封装传输；
步骤2062、重点节点接收到该数据，判断其源为第——般节点时，查找所述对应关系表，得到第一一般节点对应的IPSec协商信息，解封装数据包，得到包内数据；
步骤2063、若连接请求消息中的多方通话包括了重点节点，则将所述包内数据发送给重点节点的用户，进行下一步；否则直接进行下一步；
步骤208、转发数据，具体包括:
步骤2081、重点节点查找所述对应关系表，找到除所述第一一般节点外的其他一般节点，使用该表中的对应关系获取所述其他一般节点对应的IPSec协商信息； 步骤2082、对每一个所述其他一般节点，重点节点使用其对应的IPSec协商信息对接收到的数据进行封装，通过IPSec VPN将数据转发给该其他一般节点；
步骤2082、所述其他一般节点接收数据并进行解封装，完成会话；
步骤210、结束会话，具体包括:会话结束后，拆除所有已建立的连接，并删除重点节点上保存的所述对应关系表。
[0014]实施例二
在所述步骤2041之前,还包括:
步骤2040、第一一般节点接收用户发起的会话请求，判断待连接的会话是双方会话还是多方会话，若是双方会话则使用一般的IPSec VPN连接流程进行连接；若是多方会话则进行步骤2041。
[0015]本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过主机程序来指令相关的硬件来完成,所述的程序可存储于一主机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory, ROM)或随机存储记忆体(Random AccessMemory, RAM)等。
[0016]上列较佳实施例，对本发明的目的、技术方案和优点进行了进一步详细说明，所应理解的是，以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。
【权利要求】
1.一种基于IPSec的VPN连接方法，其特征在于，包括以下步骤: 步骤202、构建网络结构，具体包括: 步骤2021、将可能需要进行相互连接的各个节点进行分类，根据具体需求将所述节点分为一个重点节点和若干个一般节点； 步骤2022、确定重点节点和一般节点的隶属关系，重点节点下属若干个一般节点；步骤2023、在重点节点上配置节点关系路由表，表中至少包括重点节点的ID、IP地址和MAC地址、重点节点下属一般节点的ID、IP地址和MAC地址； 步骤2024、在所有一般节点上配置节点关系路由表，表中至少包括一般节点自身的ID、IP地址和MAC地址、其所属的重点节点的ID、IP地址和MAC地址； 步骤204、发起连接，具体包括: 步骤2041、第一一般节点发起多方会话连接，向其所属的重点节点发送连接请求消息，其中至少包括所述第一一般节点自身的ID、IP地址和MAC地址，以及要连接的所有其他节点的ID、IP地址和MAC地址信息； 步骤2042、重点节点接收到所述请求消息，获取消息中的所有待连接节点中一般节点的ID、IP地址、MAC地址信息后，向这些节点发起IPSec VPN连接； 步骤2043、每条IPSec VPN连接成功后，均在重点节点上记录IPSec VPN连接信息，至少包括所连接的一般节点的ID、IP地址和MAC地址和该连接所使用的IPSec协商信息的对应关系，构成对应关系表； 步骤206、建立会话，具体包括: 步骤2061、第一一般节点使用其与重点节点建立的第一 IPSec VPN连接向重点节点发送数据，该数据使用所述第一 IPSec VPN连接所协商信息进行封装传输； 步骤2062、重点节点接收到该数据，判断其源为第一一般节点时，查找所述对应表，得到第一一般节点对应的IPSec协商信息，解封装数据包，得到包内数据； 步骤2063、若连接请求消息中的多方通话包括了重点节点，则将所述包内数据发送给重点节点的用户，进行下一步；否则直接进行下一步； 步骤208、转发数据，具体包括: 步骤2081、重点节点查找所述对应关系表，找到除所述第一一般节点外的其他一般节点，使用该表中的对应关系获取所述其他一般节点对应的IPSec协商信息； 步骤2082、对每一个所述其他一般节点，重点节点使用其对应的IPSec协商信息对接收到的数据进行封装，通过IPSec VPN将数据转发给该其他一般节点； 步骤2082、所述其他一般节点接收数据并进行解封装，完成会话； 步骤210、结束会话，具体包括:会话结束后，拆除所有已建立的连接，并删除重点节点上保存的所述对应关系表。
2.根据权利要求1所述的方法，其特征在于，在所述步骤2041之前，还包括: 步骤2040、第一一般节点接收用户发起的会话请求，判断待连接的会话是双方会话还是多方会话，若是双方会话则使用一般的IPSec VPN连接流程进行连接；若是多方会话则进行步骤2041。
【文档编号】H04L29/06GK104253733SQ201310257268
【公开日】2014年12月31日 申请日期:2013年6月26日 优先权日:2013年6月26日
【发明者】苏长君, 郑曙光 申请人:北京思普崚技术有限公司