一种基于IPsec的VPN快速连接方法

一种基于IPsec的VPN快速连接方法
【专利摘要】本发明为：一种基于IPsec的VPN快速连接方法，通过将IPSec所需要协商的信息和掩码进行对应的方式，避免了在IPSecVPN连接时过多的进行协商。在IPSecVPN连接建立时，使用CRC以及掩码的方式，传递了所需要协商的信息，使得通信双方无需协商即可进行安全通信。通过事先确定所使用的IPSec协商信息，并使用安全的方式传递该信息的方式，避免了IPSecVPN连接过程中的繁复过多的协商过程，使得整个通信过程不仅能在安全的环境中进行，而且减少了不必要的信号传递，提高了效率，获得了更好的用户体验。
【专利说明】—种基于IPsec的VPN快速连接方法

【技术领域】
[0001]本发明涉及通信【技术领域】，尤其涉及一种VPN的连接方法。

【背景技术】
[0002]信息技术的发展和Internet的广泛使用，在给人们生活和工作带来极大方便的同时，却也使人们一直十分担心在基于开放协议平台TCP/IP的Internet上通信数据的安全和计算机系统运行的安全。目前已经有多种安全通信技术应用于互联网中的数据传输，其中在网络层实现的因特网协议安全(IPSec)通信协议由于对应用层完全透明，因此非常适合在现有的TCP/IP网络中，通过增加IPSec安全模块，而不需修改应用系统、软件的设置，为各类网络应用构建一个通用的安全网络通信环境。
[0003]随着网络，尤其是网络经济的发展，企业日益扩张，客户分布日益广泛，合作伙伴日益增多，这种情况促使了企业的效益日益增长，另一方面也越来越凸显传统企业网的功能缺陷:传统企业网基于固定物理地点的专线连接方式已难以适应现代企业的需求于是企业对于自身的网络建设提出了更高的需求，主要表现在网络的灵活性、安全性、经济性、扩展性等方面。在这样的背景下，VPN以其独具特色的优势赢得了越来越多的企业的青睐，令企业可以较少地关注网络的运行与维护，而更多地致力于企业的商业目标的实现。
[0004]VPN(Virtual Private Network)是指通过综合利用网络技术、访问控制技术和加密技术，并通过一定的用户管理机制，在公共网络中建立起安全的“专用”网络，保证数据在“加密通道”中进行安全传输的技术。通过隧道(TUNNEL)或虚电路(VIRTUAL CIRCUIT)实现网络互联，支持用户安全管理，能够进行网络监控、故障诊断，具有省钱、选择灵活、速度快、安全性好、实现投资的保护等优点。
[0005]在现有技术中，通过对IP层的扩展，使其能够支持IPSec协议，包括网络安全协议(AH, Authenticat1n Header)和封装安全载荷协议(ESP, Encapsulating SecurityPayload)、密钥管理协议(IKE，Internet Key Exchange)协议。创建一个安全策略时，由安全策略进程负责管理和维护，并激活IKE进程与对方VPN网关协商一个SA (SecurityAssociat1n)。在发送数据时，由输出进程按SA指定的协议封装,并按规定算法加密和生成认证数据；接收数据时，由输入进程按SA指定协议解包，并解密和验证。
[0006]可见现有技术在进行IPSec连接是需要在通信双方之间协商很多信息，这些信息的协商无疑加大了连接时所需的时间，并且若网络传输有误则会导致不明的连接失败，影响了质量，降低了用户体验。


【发明内容】

[0007]本发明提供了一种基于IPsec的VPN快速连接方法，其特征在于，包括以下步骤: 步骤202、在发起VPN连接之前，通信双方之间规定下次通信时涉及的η组IPSec的IKE
和SA’并为每组IPSec的IKE和SA设置对应的掩码，在通信双方的节点上存储该η组IKE和SA以及其对应的掩码； 步骤204、会话发起方选择任意一组IPSec的IKE和SA，并记录所选择的IPSec的IKE和SA以及其对应的掩码；
步骤206、对要传送的数据，使用所述记录的IPSec的IKE和SA，得到使用IPSec协议封装后的待发数据包；
步骤208、将所述待发数据包中除了 IP包头外的数据进行CRC运算，得到CRC码；
步骤210、使用所述记录的掩码对CRC码进行加扰；
步骤212、将所述待发数据包除去IP包头后的部分和加扰后的CRC码作为数据净荷，加上对应的IP包头后，进行发送，其中所述对应的IP包头中包括所述待发数据包中指明的源、目的地地址信息；
步骤214、在后续的数据发送中，使用所述记录的IPSec的IKE和SA以及掩码，对数据进行处理后发送。
[0008]同时，本发明还提供了一种基于IPSec的VPN快速连接方法，其特征在于，包括以下步骤:
步骤202、在发起VPN连接之前，通信双方之间规定下次通信时涉及的η组IPSec的IKE和SA’并为每组IPSec的IKE和SA设置对应的掩码，在通信双方的节点上存储该η组IKE和SA以及其对应的掩码；
步骤204、接收IP数据包，获得数据包中的净荷；
步骤206、对净荷进行CRC校验，得到校验后的CRC码；依次使用所述存储的每一个掩码对接收到的净荷中的CRC码进行解扰，获得解扰后的CRC码；比较所述校验后的CRC码和哪个所述解扰后的CRC码一致；
步骤208、若找到一致的，则记录该掩码，并根据该一致的掩码，查找对应关系得到对应的IPSec的IKE和SA，并记录下来；
步骤210、在后续的通信过程中，根据记录的IPSec的IKE和SA以及掩码，对接收到的数据包进行CRC校验、解扰、解IPSec封装，完成会话。
[0009]本发明中，通过事先确定所使用的IPSec协商信息，并使用安全的方式传递该信息的方式，避免了 IPSec VPN连接过程中的繁复过多的协商过程，使得整个通信过程不仅能在安全的环境中进行，而且减少了不必要的信号传递，提高了效率，获得了更好的用户体验。

【专利附图】

【附图说明】
[0010]为了更清楚地说明本发明实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例。对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0011]图1为本发明实施例一的流程图。
[0012]图2为本发明实施例二的流程图。

【具体实施方式】
[0013]为使本发明的目的、技术方案及优点更加清楚明白，以下将通过具体实施例和相关附图，对本发明作进一步详细说明。
[0014]实施例一
本发明实施例一提供了一种基于IPsec的VPN快速连接方法，其特征在于，包括以下步骤:
步骤202、在发起VPN连接之前，通信双方之间规定下次通信时涉及的η组IPSec的IKE和SA’并为每组IPSec的IKE和SA设置对应的掩码，在通信双方的节点上存储该η组IKE和SA以及其对应的掩码；
步骤204、会话发起方选择任意一组IPSec的IKE和SA，并记录所选择的IPSec的IKE和SA以及其对应的掩码；
步骤206、对要传送的数据，使用所述记录的IPSec的IKE和SA，得到使用IPSec协议封装后的待发数据包；
步骤208、将所述待发数据包中除了 IP包头外的数据进行CRC运算，得到CRC码；
步骤210、使用所述记录的掩码对CRC码进行加扰；
步骤212、将所述待发数据包除去IP包头后的部分和加扰后的CRC码作为数据净荷，加上对应的IP包头后，进行发送，其中所述对应的IP包头中包括所述待发数据包中指明的源、目的地地址信息；
步骤214、在后续的数据发送中，使用所述记录的IPSec的IKE和SA以及掩码，对数据进行处理后发送。
[0015]实施例二
同时，本发明实施例二还提供了一种基于IPsec的VPN快速连接方法，其特征在于，包括以下步骤:
步骤202、在发起VPN连接之前，通信双方之间规定下次通信时涉及的η组IPSec的IKE和SA’并为每组IPSec的IKE和SA设置对应的掩码，在通信双方的节点上存储该η组IKE和SA以及其对应的掩码；
步骤204、接收IP数据包，获得数据包中的净荷；
步骤206、对净荷进行CRC校验，得到校验后的CRC码；依次使用所述存储的每一个掩码对接收到的净荷中的CRC码进行解扰，获得解扰后的CRC码；比较所述校验后的CRC码和哪个所述解扰后的CRC码一致；
步骤208、若找到一致的，则记录该掩码，并根据该一致的掩码，查找对应关系得到对应的IPSec的IKE和SA，并记录下来；
步骤210、在后续的通信过程中，根据记录的IPSec的IKE和SA以及掩码，对接收到的数据包进行CRC校验、解扰、解IPSec封装，完成会话。
[0016]实施例三
在实施例一中，结束会话之前，生成并存储下次会话所涉及的η组IPSec的IKE和SA以及对应的掩码，作为下次进行IPSec VPN连接会话时的通信参数，并向会话接收方发送该η组信息。
[0017]实施例四
在实施例二中，结束会话之前，接收发送方发送的η组IPSec的IKE和SA以及对应的掩码，并进行存储，作为下次进行IPSec VPN连接会话时的通信参数。
[0018]本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过主机程序来指令相关的硬件来完成,所述的程序可存储于一主机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory, ROM)或随机存储记忆体(Random AccessMemory, RAM)等。
[0019]上列较佳实施例，对本发明的目的、技术方案和优点进行了进一步详细说明，所应理解的是，以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。
【权利要求】
1.一种基于IPSec的VPN快速连接方法，其特征在于，包括以下步骤: 步骤202、在发起VPN连接之前，通信双方之间规定下次通信时涉及的η组IPSec的IKE和SA’并为每组IPSec的IKE和SA设置对应的掩码，在通信双方的节点上存储该η组IKE和SA以及其对应的掩码； 步骤204、会话发起方选择任意一组IPSec的IKE和SA，并记录所选择的IPSec的IKE和SA以及其对应的掩码； 步骤206、对要传送的数据，使用所述记录的IPSec的IKE和SA，得到使用IPSec协议封装后的数据包； 步骤208、将所述待发数据包中除了 IP包头外的数据进行CRC运算，得到CRC码； 步骤210、使用所述记录的掩码对CRC码进行加扰； 步骤212、将所述待发数据包除去IP包头后的部分和加扰后的CRC码作为数据净荷，加上对应的IP包头后，进行发送，其中所述对应的IP包头中包括所述待发数据包中指明的源、目的地地址信息； 步骤214、在后续的数据发送中，使用所述记录的IPSec的IKE和SA以及掩码，对数据进行处理后发送。
2.根据权利要求1所述的方法，其特征在于，结束会话之前，生成并存储下次会话所涉及的η组IPSec的IKE和SA以及对应的掩码，作为下次进行IPSec VPN连接会话时的通信参数，并向会话接收方发送该η组信息。
3.一种基于IPSec的VPN快速连接方法，其特征在于，包括以下步骤: 步骤202、在发起VPN连接之前，通信双方之间规定下次通信时涉及的η组IPSec的IKE和SA’并为每组IPSec的IKE和SA设置对应的掩码，在通信双方的节点上存储该η组IKE和SA以及其对应的掩码； 步骤204、接收IP数据包，获得数据包中的净荷； 步骤206、对净荷进行CRC校验，得到校验后的CRC码；依次使用所述存储的每一个掩码对接收到的净荷中的CRC码进行解扰，获得解扰后的CRC码；比较所述校验后的CRC码和哪个所述解扰后的CRC码一致； 步骤208、若找到一致的，则记录该掩码，并根据该一致的掩码，查找对应关系得到对应的IPSec的IKE和SA，并记录下来； 步骤210、在后续的通信过程中，根据记录的IPSec的IKE和SA以及掩码，对接收到的数据包进行CRC校验、解扰、解IPSec封装，完成会话。
4.根据权利要求3所述的方法，其特征在于，结束会话之前，接收发送方发送的η组IPSec的IKE和SA以及对应的掩码，并进行存储，作为下次进行IPSec VPN连接会话时的通信参数。
【文档编号】H04L29/06GK104283757SQ201310283803
【公开日】2015年1月14日 申请日期:2013年7月8日 优先权日:2013年7月8日
【发明者】苏长君, 郑曙光 申请人:北京思普崚技术有限公司