Ipsecvpn设备及其隔离方法与系统的制作方法

Ipsec vpn设备及其隔离方法与系统的制作方法
【专利摘要】本发明提供一种IPSEC?VPN设备及其隔离方法与系统，设备包括内端主机、外端主机和非网络隔离卡，内、外端主机分别维护了相同的IP映射表，每一条表项定义了原地址、目的地址及IP映射ID等信息，数据包经过IP头剥离及重组，IP映射表检索过滤，私有协议封转及解封装，非网络隔离卡传输等方式实现网络隔离，数据包在内网主机上对IPsec?VPN网络数据包进行加解密，设备能抵抗恶意攻击行为，抵抗病毒、木马、恶意插件的传播，从真正意义上达到内外网连接时的安全隔离，实现对内部网络、IPSEC?VPN设备以及网络业务数据包更高强度的安全保护，是一种安全程度高的IPSEC?VPN隔离设备。
【专利说明】IPSEC VPN设备及其隔离方法与系统
【技术领域】
[0001]本发明涉及信息安全【技术领域】，特别是涉及IPSEC VPN设备及其隔离方法与系统。【背景技术】
[0002]IPSec是互联网工程任务组制定的一个开放的IP层安全框架协议，为IP网络通信提供透明的安全服务，保护TCP/IP通信免遭窃听和篡改，可以有效抵御网络攻击，同时保持易用性。IPSEC技术已广泛普及并应用到网关设备中，采用IPSEC隧道技术，加密技术以及认证技术等方法，在公众网络上构建虚拟专用网络，数据在安全信道上传输，从而到达保障通信安全，保密信息的目的。
[0003]通常IPSEC VPN设备部署在内部网络和外部网络之间，IPSEC VPN设备包括外端主机和内端主机，外端主机和内端主机进行数据交互，其中外端主机与外部网络进行数据交互，内端主机与内部网络进行数据交互。内部网络安全度很高，外部网络一般为互联网，安全度很低，因此IPSEC VPN设备还需要对内部网络进行隔离及访问控制保护，通常集成防火墙、入侵检测、应用网关等功能模块。
[0004]黑客从外部网络利用网络协议漏洞和操作系统漏洞入侵，如果劫持了 IPSEC VPN设备本身，内部网络的安全防线就被瓦解了，因此现有的IPSEC VPN设备及其隔离方法是无法做到非常有效的隔离保护的，特别是对于对于安全度要求很高的内部网络，现有的IPSECVPN设备及其隔离方法已经无法满足这种安全度要求很高的内部网络隔离保护需求。

【发明内容】

[0005]基于此，有必要针对现有IPSEC VPN设备无法做到非常有效的隔离保护某些安全度要求很高的内部网络对隔离保护的需求的问题，提供一种非常有效的IPSEC VPN设备及其隔离方法与系统，以满足某些安全度要求很高的内部网络隔离保护的需求。
[0006]一种IPSEC VPN设备的隔离方法，包括步骤:
[0007]在内端主机与外端主机中维护相同的IP映射表，其中，所述IP映射表为哈希链表，所述哈希链表定义有IP映射表索引INDEX以及数据包的源地址、目的地址和IP映射ID
信息；
[0008]对于从内部网络输出到外部网络的明文数据包包括如下步骤:
[0009]接收来自内部网络的明文数据包；
[0010]对接收到的明文数据包进行数据加密处理和IPSEC隧道封装处理，生成密文数据包；
[0011]对密文数据包进行以太帧及IP头部剥离处理，根据剥离的IP头部，计算IP映射表中索引INDEX，并遍历所述哈希链表，查找是否有对应的源IP地址、目的IP地址，如有对应的数据，则对密文数据包进行私有协议封装处理，并将私有协议封装的数据发送到外端主机；
[0012]外端主机对接收到的私有协议封装数据进行解封装处理，根据解封装得到的IP映射表索引INDEX，节点ID在IP映射表进行检索，根据检索的结果对密文IPSEC数据包进行重组，生成密文IPSEC数据包，发送密文IPSEC数据包到外部网络；
[0013]对于从外部网络进入到内部网络的密文数据包包括如下步骤:
[0014]接收来自外部网络的密文数据包；
[0015]对密文数据包进行以太帧及IP头部剥离处理，根据剥离的IP头部，计算IP映射表中索引INDEX，并遍历哈希链表，查找是否有对应的源IP地址、目的IP地址，如有对应的数据，则对密文数据包进行私有协议封装处理，并将私有协议封装的数据发送到内端主机；
[0016]内端主机对接收到的私有协议封装数据进行解封装处理，根据解封装得到的IP映射表索引INDEX，节点ID在IP映射表进行检索，根据检索的结果对密文IPSEC数据包进行重组，生成新的密文数据包，再对新的密文数据包进行解密处理和IPSEC隧道解封装处理，生成明文数据包，发送明文数据包到内部网络。
[0017]一种IPSEC VPN设备的隔离系统，包括:
[0018]IP映射表维护模块，用于在内端主机与外端主机中维护相同的IP映射表，其中，所述IP映射表为哈希链表，所述哈希链表定义有IP映射表索引INDEX以及数据包的源地址、目的地址和IP映射ID信息；
[0019]外发数据包处理模块，用于对从内部网络输出到外部网络的明文数据进传输处理，其中，所述外发数据包处理模块包括:
[0020]明文数据包接收模块，用于接收来自内部网络的明文数据包；
[0021]密文数据包生成模块，用于对接收到的明文数据包进行数据加密处理和IPSEC隧道封装处理，生成密文数据包；
[0022]第一私有协议封转模块，用于对密文数据包进行以太帧及IP头部剥离处理，根据剥离的IP头部，计算IP映射表中索引INDEX，并遍历所述哈希链表，查找是否有对应的源IP地址、目的IP地址，如有对应的数据，则对密文数据包进行私有协议封装处理，并将私有协议封装的数据发送到外端主机；
[0023]第一解封装模块，用于通过外端主机对接收到的私有协议封装数据进行解封装处理，根据解封装得到的IP映射表索引INDEX，节点ID在IP映射表进行检索，根据检索的结果对密文IPSEC数据包进行重组，生成密文IPSEC数据包，发送密文IPSEC数据包到外部网络；
[0024]内传数据包处理模块，用于对从外部网络进入到内部网络的密文数据包进行传输处理，其中所述内传数据包处理模块包括:
[0025]密文数据包接收模块，用于接收来自外部网络的密文数据包；
[0026]第二私有协议封转模块，用于对密文数据包进行以太帧及IP头部剥离处理，根据剥离的IP头部，计算IP映射表中索引INDEX，并遍历哈希链表，查找是否有对应的源IP地址、目的IP地址，如有对应的数据，则对密文数据包进行私有协议封装处理，并将私有协议封装的数据发送到内端主机；
[0027]第二内解封装模块，用于通过内端主机对接收到的私有协议封装数据进行解封装处理，根据解封装得到的IP映射表索引INDEX，节点ID在IP映射表进行检索，根据检索的结果对密文IPSEC数据包进行重组，生成新的密文数据包，再对新的密文数据包进行解密处理和IPSEC隧道解封装处理，生成明文数据包，发送明文数据包到内部网络。
[0028]一种IPSEC VPN设备，包括内端主机、外端主机和非网络隔离卡，所述非网络隔离卡用于传输不包含以太帧及IP头信息的纯数据，所述内端主机通过所述非网络隔离卡与所述外端主机物理连接，所述内端主机与内部网络进行数据交互，所述外端主机与外部网络进行数据交互；
[0029]内端主机与外端主机中维护相同的IP映射表，其中，所述IP映射表为哈希链表，所述哈希链表定义有IP映射表索引INDEX以及数据包的源地址、目的地址和IP映射ID信息；
[0030]当所述内部网络外出明文数据包传输到所述内端主机时,对接收到的明文数据包进行数据加密处理和IPSEC隧道封装处理，生成密文数据包，对密文数据包进行以太帧及IP头部剥离处理，根据剥离的IP头部，计算IP映射表中索引INDEX，并遍历所述哈希链表，查找是否有对应的源IP地址、目的IP地址，如有对应的数据，则对密文数据包进行私有协议封装处理，并将私有协议封装的数据发送到外端主机，通过外端主机对接收到的私有协议封装数据进行解封装处理，根据解封装得到的IP映射表索引INDEX，节点ID在IP映射表进行检索，根据检索的结果对密文IPSEC数据包进行重组，生成密文IPSEC数据包，发送密文IPSEC数据包到外部网络；
[0031]当所述外部网络向所述外端主机传输密文数据包时，接收来自外部网络的密文数据包，对密文数据包进行以太帧及IP头部剥离处理，根据剥离的IP头部，计算IP映射表中索引INDEX，并遍历哈希链表，查找是否有对应的源IP地址、目的IP地址，如有对应的数据，则对密文数据包进行私有协议封装处理，并将私有协议封装的数据发送到内端主机，通过内端主机对接收到的私有协议封装数据进行解封装处理，根据解封装得到的IP映射表索引INDEX，节点ID在IP映射表进行检索，根据检索的结果对密文IPSEC数据包进行重组，生成新的密文数据包，再对新的密文数据包进行解密处理和IPSEC隧道解封装处理，生成明文数据包，发送明文数据包到内部网络。
[0032]本发明IPSEC VPN设备及其隔离方法与系统，在所述内端主机与所述外端主机中维护相同的IP映射表，当内部网络外出明文数据包通过内端主机时,经过数据加密及IPSEC隧道模式封装，密文数据包源地址变为IPSEC VPN设备地址，密文数据包转发到外部网络，同理从外部网络进入的密文数据包，其目的地址为IPSEC VPN设备地址，密文数据包转发到内端主机，内端主机经过数据解密及IPSEC隧道模式解封装后，将明文数据包转发到内部网络。整个过程通过以太帧及IP头部剥离/重组、IPSEC隧道模式解封装/封装、以及利用IP映射表等处理，实现内部网络及外部网络之间安全隔离，有效阻止黑客从外部网络利用网络协议漏洞和操作系统漏洞入侵，保护内端主机不被黑客劫持，为进入及外出内部网络的网络数据包提供了机密性和完整性保护、数据源认证、抗重放攻击等安全保障，在外部网络中传输的密文数据包采用IPSEC隧道模式封装，隐藏了内部网络中真实地址，而变成IPSEC VPN设备的地址，有效防止黑客从外部网络攻击内部网络。综上所述，本发明IPSEC VPN设备的隔离方法，采用非网络隔离与IPSEC技术的结合，实现对内部网络、IPSECVPN设备以及网络业务数据包更高强度的安全保护，是一种安全程度高的IPSEC VPN设备隔离方法，能够满足安全度要求很高的内部网络对隔离保护的需求。【专利附图】

【附图说明】
[0033]图1为本发明IPSEC VPN设备的隔离方法的第一个实施例中从内部网络输出到外部网络的明文数据的流程示意图；
[0034]图2为本发明IPSEC VPN设备的隔离方法的第一个实施例中从外部网络输入到内部网络的密文数据的流程示意图；
[0035]图3为本发明IPSEC VPN设备的隔离方法的第二个实施例中从内部网络输出到外部网络的明文数据的流程示意图；
[0036]图4为本发明IPSEC VPN设备的隔离系统第一个实施例结构示意图；
[0037]图5为本发明IPSEC VPN设备第一个实施例的结构示意图；
[0038]图6为本发明IPSEC VPN设备第二个实施例的结构示意图。
【具体实施方式】
[0039]为了使本发明的目的、技术方案及优点更加清楚明白，以下根据附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施仅仅用以解释本发明，并不限定本发明。
[0040]如图1、图2所示，一种IPSEC VPN设备的隔离方法，其特征在于，包括步骤:
[0041]在内端主机与外端主机中维护相同的IP映射表，其中，所述IP映射表为哈希链表，所述哈希链表定义有IP映射表索引INDEX以及数据包的源地址、目的地址和IP映射ID信息。
[0042]IP映射表维护存储在内端主机与外端主机的两端，且在内外主机中存储的相同，每个IP映射表中都有多条表项，每一条所述表项均定义有数据包的源地址和目的地址。只有匹配内、外主机两端IP映射表的数据包才允许通过隔离卡传输，能抵抗恶意攻击行为，抵抗病毒、木马、恶意插件的传播，从真正意义上达到内外网连接时的安全隔离，即使外网在最坏的情况下，甚至外端主机被劫持了，内端主机仍是安全的。
[0043]对于从内部网络输出到外部网络的明文数据包包括如下步骤:
[0044]SlOO:接收来自内部网络的明文数据包；
[0045]S120:对接收到的明文数据包进行数据加密处理和IPSEC隧道封装处理，生成密文数据包；
[0046]S140:对密文数据包进行以太帧及IP头部剥离处理，根据剥离的IP头部，计算IP映射表中索引INDEX，并遍历所述哈希链表，查找是否有对应的源IP地址、目的IP地址，如有对应的数据，则对密文数据包进行私有协议封装处理，并将私有协议封装的数据发送到外端主机；
[0047]S160:外端主机对接收到的私有协议封装数据进行解封装处理，根据解封装得到的IP映射表索引INDEX，节点ID在IP映射表进行检索，根据检索的结果对密文IPSEC数据包进行重组，生成密文IPSEC数据包，发送密文IPSEC数据包到外部网络；
[0048]对于从外部网络进入到内部网络的密文数据包包括如下步骤:
[0049]S200:接收来自外部网络的密文数据包；
[0050]S220:对密文数据包进行以太帧及IP头部剥离处理，根据剥离的IP头部，计算IP映射表中索引INDEX，并遍历哈希链表，查找是否有对应的源IP地址、目的IP地址，如有对应的数据，则对密文数据包进行私有协议封装处理，并将私有协议封装的数据发送到内端主机；
[0051]S240:内端主机对接收到的私有协议封装数据进行解封装处理，根据解封装得到的IP映射表索引INDEX，节点ID在IP映射表进行检索，根据检索的结果对密文IPSEC数据包进行重组，生成新的密文数据包，再对新的密文数据包进行解密处理和IPSEC隧道解封装处理，生成明文数据包，发送明文数据包到内部网络。
[0052]本发明IPSEC VPN设备的隔离方法，在所述内端主机与所述外端主机中维护相同的IP映射表，当内部网络外出明文数据包通过内端主机时，经过数据加密及IPSEC隧道模式封装，密文数据包源地址变为IPSEC VPN设备地址，密文数据包转发到外部网络，同理从外部网络进入的密文数据包，其目的地址为IPSEC VPN设备地址，密文数据包转发到内端主机，内端主机经过数据解密及IPSEC隧道模式解封装后，将明文数据包转发到内部网络。整个过程通过以太帧及IP头部剥离/重组、IPSEC隧道模式解封装/封装、以及利用IP映射表等处理，实现内部网络及外部网络之间安全隔离，有效阻止黑客从外部网络利用网络协议漏洞和操作系统漏洞入侵，保护内端主机不被黑客劫持，为进入及外出内部网络的网络数据包提供了机密性和完整性保护、数据源认证、抗重放攻击等安全保障，在外部网络中传输的密文数据包采用IPSEC隧道模式封装，隐藏了内部网络中真实地址，而变成IPSEC VPN设备的地址，有效防止黑客从外部网络攻击内部网络。综上所述，本发明IPSEC VPN设备的隔离方法，采用非网络隔离与IPSEC技术的结合，实现对内部网络、IPSEC VPN设备以及网络业务数据包更高强度的安全保护，是一种安全程度高的IPSEC VPN设备隔离方法，能够满足安全度要求很高的内部网络对隔离保护的需求。
[0053]如图3所示，在其中一个实施例中，对于从内部网络输出到外部网络的明文数据包的步骤中，所述步骤S140具体包括步骤:
[0054]S142:对密文数据包进行以太帧及IP头部剥离处理，获得密文数据包剥离的IP头部;
[0055]S144:根据剥离的IP头部携带的源地址和目的地址，利用HASH算法，计算其IP映射表索引INDEX，并遍历所述哈希链表，如有对应的源IP地址、目的IP地址，则对密文数据包进行私有协议封装处理，生成私有协议封装的数据包；
[0056]S146:发送所述私有协议的数据包到外端主机。
[0057]在其中一个实施例，所述步骤根据剥离的IP头部携带的源地址和目的地址，利用HASH算法，计算其IP映射表索引INDEX，并遍历所述哈希链表，如有对应的源IP地址、目的IP地址，则对密文数据包进行私有协议封装处理，生成私有协议封装的数据包具体包括步骤:
[0058]根据密文数据包的源地址和目的地址，利用hash算法，计算出IP映射表索引INDEX值，在IP映射表中取出对应的节点链表的首节点；
[0059]遍历所述节点链表，查找与密文数据包的源地址以及目的地址相匹配的节点项，若查找到，则将对应的节点ID值及映射表索引INDEX值写入密文数据私有协议数据包中，若未查找到，则丢弃该密文数据包并结束处理；
[0060]剥除密文数据包以太帧及IP头信息，将纯载荷内容以及关键状态信息写入私有协议数据包中。[0061]IP头部的剥离与封装必须要借助IP映射表来实现。为提高查表速度，IP映射表由HASH算法实现，根据HASH表大小分配一段连续内存，假设HASH表大小为K (必须为2的整数倍)，HASH算法的查找输入项源地址记作S、目的地址记作D、那么HASH表内索引值INDEX等于下述公式
[0062]INDEX= ((S+D) ~ ((S+D) ?16)) & (K-1)
[0063]由于不同的源地址、目的地址计算出的索引值有可能相同，也就是发生HASH碰撞，所以将索引值相同的IP映射节点以链表方式挂在HASH表对应的表项中(为了保证查表速度，应尽量控制链表的深度，可根据系统资源及业务需求适当调节HASH表大小K的值)，为了区分链表各个映射节点，系统为每个映射节点分配一个全局唯一的ID，因此IP映射节点结构包含有节点ID、源地址、目的地址、下一节点等字段。
[0064]将网络数据包的以太帧及IP头信息剥除，仅进行IP层之上的纯数据的交换，采用私有协议封装，私有协议数据格式中包括以下三类字段:
[0065]I)静态数据:IP映射索引INDEX，IP映射节点ID ；
[0066]2)动态信息:原始网络数据包的关键状态信息(如分片信息、服务类型、存活时间、承载协议);
[0067]3)用户数据:原始网络数据包的纯载荷内容。
[0068]进行私有协议封装采用以下步骤:
[0069]步骤1:根据网络数据包源地址、目的地址，计算出IP映射表索引INDEX值，在IP映射表中取出对应的节点链表的首节点；
`[0070]步骤2:遍历该节点链表，如果找到了与源地址及目地址相匹配的节点项，将对应的节点ID值及映射表索引INDEX值写入私有协议数据包中，如果未找到，则丢弃该数据包并结束处理；
[0071]步骤3:剥除网络数据包以太帧及IP头信息，将纯载荷内容以及关键状态信息(如分片信息、服务类型、存活时间、承载协议)写入私有协议数据包中。
[0072]同样对于进行私有协议解封装采用以下步骤:
[0073]步骤1:取出私有协议数据包中IP映射表索引INDEX值，在IP映射表中取出对应的节点链表的首节点；
[0074]步骤2:遍历该节点链表，如果找到了与私有协议数据包中节点ID值相匹配的节点项，取出对应的源地址及目的地址，如果未找到，则丢弃该数据包并结束处理
[0075]步骤3:从私有协议数据包中取出原始网络数据包纯载荷内容及关键状态信息(如分片信息、服务类型、存活时间、承载协议)，并根据步骤2中的源地址、目的地址，进行IP报文重组。
[0076]如图4所示，一种IPSEC VPN设备的隔离系统，包括:
[0077]IP映射表维护模块100，用于在内端主机与外端主机中维护相同的IP映射表，其中，所述IP映射表为哈希链表，所述哈希链表定义有IP映射表索引INDEX以及数据包的源地址、目的地址和IP映射ID信息；
[0078]外发数据包处理模块200，用于对从内部网络输出到外部网络的明文数据进传输处理，其中，所述外发数据包处理模块200包括:
[0079]明文数据包接收模块220，用于接收来自内部网络的明文数据包；[0080]密文数据包生成模块240，用于对接收到的明文数据包进行数据加密处理和IPSEC隧道封装处理，生成密文数据包；
[0081]第一私有协议封转模块260，用于对密文数据包进行以太帧及IP头部剥离处理，根据剥离的IP头部，计算IP映射表中索引INDEX，并遍历所述哈希链表，查找是否有对应的源IP地址、目的IP地址，如有对应的数据，则对密文数据包进行私有协议封装处理，并将私有协议封装的数据发送到外端主机；
[0082]第一解封装模块280，用于通过外端主机对接收到的私有协议封装数据进行解封装处理，根据解封装得到的IP映射表索引INDEX，节点ID在IP映射表进行检索，根据检索的结果对密文IPSEC数据包进行重组，生成密文IPSEC数据包，发送密文IPSEC数据包到外部网络；
[0083]内传数据包处理模块300，用于对从外部网络进入到内部网络的密文数据包进行传输处理，其中所述内传数据包处理模块包括:
[0084]密文数据包接收模块320，用于接收来自外部网络的密文数据包；
[0085]第二私有协议封转模块340，用于对密文数据包进行以太帧及IP头部剥离处理，根据剥离的IP头部，计算IP映射表中索引INDEX，并遍历哈希链表，查找是否有对应的源IP地址、目的IP地址，如有对应的数据，则对密文数据包进行私有协议封装处理，并将私有协议封装的数据发送到内端主机；
[0086]第二解封装模块360，用于通过内端主机对接收到的私有协议封装数据进行解封装处理，根据解封装得到的IP映射表索引INDEX，节点ID在IP映射表进行检索，根据检索的结果对密文IPSEC数据包进行重组，生成新的密文数据包，再对新的密文数据包进行解密处理和IPSEC隧道解封装处理，生成明文数据包，发送明文数据包到内部网络。
[0087]本发明IPSEC VPN设备的隔离系统，在所述内端主机与所述外端主机中维护相同的IP映射表，当内部网络外出明文数据包通过内端主机时，经过数据加密及IPSEC隧道模式封装，密文数据包源地址变为IPSEC VPN设备地址，密文数据包转发到外部网络，同理从外部网络进入的密文数据包，其目的地址为IPSEC VPN设备地址，密文数据包转发到内端主机，内端主机经过数据解密及IPSEC隧道模式解封装后，将明文数据包转发到内部网络。整过过程通过以太帧及IP头部剥离/重组、IPSEC隧道模式解封装/封装、以及利用IP映射表等处理，实现内部网络及外部网络之间安全隔离，有效阻止黑客从外部网络利用网络协议漏洞和操作系统漏洞入侵，保护内端主机不被黑客劫持，为进入及外出内部网络的网络数据包提供了机密性和完整性保护、数据源认证、抗重放攻击等安全保障，在外部网络中传输的密文数据包采用IPSEC隧道模式封装，隐藏了内部网络中真实地址，而变成IPSEC VPN设备的地址，有效防止黑客从外部网络攻击内部网络。综上所述，本发明IPSEC VPN设备的隔离系统，采用非网络隔离与IPSEC技术的结合，实现对内部网络、IPSEC VPN设备以及网络业务数据包更高强度的安全保护，是一种安全程度高的IPSEC VPN设备隔离系统，能够满足安全度要求很高的内部网络对隔离保护的需求。
[0088]在其中一个实施例中，第一私有协议封转模块具体包括:
[0089]剥离单元，用于对密文数据包进行以太帧及IP头部剥离处理，获得密文数据包剥离的IP头部；
[0090]封装单元，用于根据剥离的IP头部携带的源地址和目的地址，利用HASH算法，计算其IP映射表索引INDEX，并遍历所述哈希链表，如有对应的源IP地址、目的IP地址，则对密文数据包进行私有协议封装处理，生成私有协议封装的数据包；
[0091]发送单元，用于发送所述私有协议的数据包到外端主机。
[0092]在其中一个实施例中，封装单元具体包括:
[0093]INDEX值计算单元，用于根据密文数据包的源地址和目的地址，利用hash算法，计算出IP映射表索引INDEX值，在IP映射表中取出对应的节点链表的首节点；
[0094]遍历单元，用于遍历所述节点链表，查找与密文数据包的源地址以及目的地址相匹配的节点项，若查找到，则将对应的节点ID值及映射表索引INDEX值写入密文数据私有协议数据包中，若未查找到，则丢弃该密文数据包并结束处理；
[0095]处理单元，用于剥除密文数据包以太帧及IP头信息，将纯载荷内容以及关键状态信息写入私有协议数据包中。
[0096]如图5所示，一种IPSEC VPN设备，其特征在于，包括内端主机610、外端主机620和非网络隔离卡630，所述非网络隔离卡630用于传输不包含以太帧及IP头信息的纯数据，所述内端主机610通过所述非网络隔离卡630与所述外端主机620物理连接，所述内端主机610与内部网络进行数据交互，所述外端主机620与外部网络进行数据交互；
[0097]内端主机610与外端主机620中维护相同的IP映射表，其中，所述IP映射表为哈希链表，所述哈希链表定义有IP映射表索引INDEX以及数据包的源地址、目的地址和IP映射ID信息；
[0098]当所述内部网络外出明文数据包传输到所述内端主机610时，对接收到的明文数据包进行数据加密处理和IPSEC隧道封装处理，生成密文数据包，对密文数据包进行以太帧及IP头部剥离处理，根据剥离的IP头部，计算IP映射表中索引INDEX，并遍历所述哈希链表，查找是否有对应的源IP地址、目的IP地址，如有对应的数据，则对密文数据包进行私有协议封装处理，并将私有协议封装的数据发送到外端主机620，通过外端主机620对接收到的私有协议封装数据进行解封装处理，根据解封装得到的IP映射表索引INDEX，节点ID在IP映射表进行检索，根据检索的结果对密文IPSEC数据包进行重组，生成密文IPSEC数据包，发送密文IPSEC数据包到外部网络；
[0099]当所述外部网络向所述外端主机620传输密文数据包时，接收来自外部网络的密文数据包，对密文数据包进行以太帧及IP头部剥离处理，根据剥离的IP头部，计算IP映射表中索引INDEX，并遍历哈希链表，查找是否有对应的源IP地址、目的IP地址，如有对应的数据，则对密文数据包进行私有协议封装处理，并将私有协议封装的数据发送到内端主机610，通过内端主机610对接收到的私有协议封装数据进行解封装处理，根据解封装得到的IP映射表索引INDEX，节点ID在IP映射表进行检索，根据检索的结果对密文IPSEC数据包进行重组，生成新的密文数据包，再对新的密文数据包进行解密处理和IPSEC隧道解封装处理，生成明文数据包，发送明文数据包到内部网络。
[0100]本发明IPSEC VPN设备，包括内端主机、外端主机和非网络隔离卡在所述内端主机与所述外端主机中维护相同的IP映射表，当内部网络外出明文数据包通过内端主机时，经过数据加密及IPSEC隧道模式封装，密文数据包源地址变为IPSEC VPN设备地址，密文数据包转发到外部网络，同理从外部网络进入的密文数据包，其目的地址为IPSEC VPN设备地址，密文数据包转发到内端主机，内端主机经过数据解密及IPSEC隧道模式解封装后，将明文数据包转发到内部网络。整过过程通过以太帧及IP头部剥离/重组、IPSEC隧道模式解封装/封装、以及利用IP映射表等处理，实现内部网络及外部网络之间安全隔离，有效阻止黑客从外部网络利用网络协议漏洞和操作系统漏洞入侵，保护内端主机不被黑客劫持，为进入及外出内部网络的网络数据包提供了机密性和完整性保护、数据源认证、抗重放攻击等安全保障，在外部网络中传输的密文数据包采用IPSEC隧道模式封装，隐藏了内部网络中真实地址，而变成IPSEC VPN设备的地址，有效防止黑客从外部网络攻击内部网络。综上所述，本发明IPSEC VPN设备，采用非网络隔离与IPSEC技术的结合，实现对内部网络、IPSEC VPN设备以及网络业务数据包更高强度的安全保护，是一种安全程度高的IPSEC VPN设备，能够满足安全度要求很高的内部网络对隔离保护的需求。
[0101]如图6所示，在其中一个实施例中，所述内端主机610包括硬件加密模块612、VPN处理模块614和密钥协商模块616 ；
[0102]所述硬件加密模块612用于对接收到的明文数据包进行加密处理，或者对接收到的密文数据包进行解密处理，所述VPN处理模块614用于数据包进行IPSEC隧道模式封装和解封装，所述密钥协商模块616用于IPSec VPN密钥协商。
[0103]如图6所示，在其中一个实施例中，本发明IPSEC VPN设备还包括第一网卡630和第二网卡640，所述内端主机610通过所述第一网卡630与所述内部网络进行数据交互，所述外端主机620通过所述第二网卡640与所述外部网络进行数据交互。
[0104]网卡是便于主机与网络交互数据的媒介，能够提高主机与网络交互速度的效率。
[0105]以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。
【权利要求】
1.一种IPSEC VPN设备的隔离方法，其特征在于，包括步骤: 在内端主机与外端主机中维护相同的IP映射表，其中，所述IP映射表为哈希链表，所述哈希链表定义有IP映射表索引INDEX以及数据包的源地址、目的地址和IP映射ID信息； 对于从内部网络输出到外部网络的明文数据包包括如下步骤: 接收来自内部网络的明文数据包；对接收到的明文数据包进行数据加密处理和IPSEC隧道封装处理，生成密文数据包；对密文数据包进行以太帧及IP头部剥离处理，根据剥离的IP头部，计算IP映射表中索引INDEX，并遍历所述哈希链表，查找是否有对应的源IP地址、目的IP地址，如有对应的数据，则对密文数据包进行私有协议封装处理，并将私有协议封装的数据发送到外端主机； 外端主机对接收到的私有协议封装数据进行解封装处理，根据解封装得到的IP映射表索引INDEX，节点ID在IP映射表进行检索，根据检索的结果对密文IPSEC数据包进行重组，生成密文IPSEC数据包，发送密文IPSEC数据包到外部网络； 对于从外部网络进入到内部网络的密文数据包包括如下步骤: 接收来自外部网络的密文数据包； 对密文数据包进行以太帧及IP头部剥离处理，根据剥离的IP头部，计算IP映射表中索引INDEX，并遍历哈希 链表，查找是否有对应的源IP地址、目的IP地址，如有对应的数据，则对密文数据包进行私有协议封装处理，并将私有协议封装的数据发送到内端主机； 内端主机对接收到的私有协议封装数据进行解封装处理，根据解封装得到的IP映射表索引INDEX，节点ID在IP映射表进行检索，根据检索的结果对密文IPSEC数据包进行重组，生成新的密文数据包，再对新的密文数据包进行解密处理和IPSEC隧道解封装处理，生成明文数据包，发送明文数据包到内部网络。
2.根据权利要求1所述的IPSECVPN设备的隔离方法，其特征在于，对于从内部网络输出到外部网络的明文数据包的步骤中，所述对密文数据包进行以太帧及IP头部剥离处理，根据剥离的IP头部，计算IP映射表中索引INDEX，并遍历所述哈希链表，查找是否有对应的源IP地址、目的IP地址，如有对应的数据，则对密文数据包进行私有协议封装处理，并将私有协议封装的数据包发送到外端主机具体包括步骤: 对密文数据包进行以太帧及IP头部剥离处理，获得密文数据包剥离的IP头部； 根据剥离的IP头部携带的源地址和目的地址，利用HASH算法，计算其IP映射表索引INDEX,并遍历所述哈希链表，如有对应的源IP地址、目的IP地址，则对密文数据包进行私有协议封装处理，生成私有协议封装的数据包； 发送所述私有协议的数据包到外端主机。
3.根据权利要求2所述的IPSECVPN设备的隔离方法，其特征在于，所述根据剥离的IP头部携带的源地址和目的地址，利用HASH算法，计算其IP映射表索引INDEX，并遍历所述哈希链表，如有对应的源IP地址、目的IP地址，则对密文数据包进行私有协议封装处理，生成私有协议封装的数据包具体包括步骤: 根据密文数据包的源地址和目的地址，利用hash算法，计算出IP映射表索引INDEX值，在IP映射表中取出对应的节点链表的首节点；遍历所述节点链表，查找与密文数据包的源地址以及目的地址相匹配的节点项，若查找到，则将对应的节点ID值及映射表索引INDEX值写入密文数据私有协议数据包中，若未查找到，则丢弃该密文数据包并结束处理； 剥除密文数据包以太帧及IP头信息，将纯载荷内容以及关键状态信息写入私有协议数据包中。
4.一种IPSEC VPN设备的隔离系统，其特征在于，包括: IP映射表维护模块，用于在内端主机与外端主机中维护相同的IP映射表，其中，所述IP映射表为哈希链表，所述哈希链表定义有IP映射表索引INDEX以及数据包的源地址、目的地址和IP映射ID信息； 外发数据包处理模块，用于对从内部网络输出到外部网络的明文数据进传输处理，其中，所述外发数据包处理模块包括: 明文数据包接收模块，用于接收来自内部网络的明文数据包； 密文数据包生成模块，用于对接收到的明文数据包进行数据加密处理和IPSEC隧道封装处理，生成密文数据包； 第一私有协议封转模块，用于对密文数据包进行以太帧及IP头部剥离处理，根据剥离的IP头部，计算IP映射表中索引INDEX，并遍历所述哈希链表，查找是否有对应的源IP地址、目的IP地 址，如有对应的数据，则对密文数据包进行私有协议封装处理，并将私有协议封装的数据发送到外端主机；第一解封装模块，用于通过外端主机对接收到的私有协议封装数据进行解封装处理，根据解封装得到的IP映射表索引INDEX，节点ID在IP映射表进行检索，根据检索的结果对密文IPSEC数据包进行重组，生成密文IPSEC数据包，发送密文IPSEC数据包到外部网络；内传数据包处理模块，用于对从外部网络进入到内部网络的密文数据包进行传输处理，其中所述内传数据包处理模块包括: 密文数据包接收模块，用于接收来自外部网络的密文数据包； 第二私有协议封转模块，用于对密文数据包进行以太帧及IP头部剥离处理，根据剥离的IP头部，计算IP映射表中索引INDEX，并遍历哈希链表，查找是否有对应的源IP地址、目的IP地址，如有对应的数据，则对密文数据包进行私有协议封装处理，并将私有协议封装的数据发送到内端主机； 第二解封装模块，用于通过内端主机对接收到的私有协议封装数据进行解封装处理，根据解封装得到的IP映射表索引INDEX，节点ID在IP映射表进行检索，根据检索的结果对密文IPSEC数据包进行重组，生成新的密文数据包，再对新的密文数据包进行解密处理和IPSEC隧道解封装处理，生成明文数据包，发送明文数据包到内部网络。
5.根据权利要求4所述的IPSECVPN设备的隔离系统，其特征在于，所述第一私有协议封转模块具体包括: 剥离单元，用于对密文数据包进行以太帧及IP头部剥离处理，获得密文数据包剥离的IP头部； 封装单元，用于根据剥离的IP头部携带的源地址和目的地址，利用HASH算法，计算其IP映射表索引INDEX，并遍历所述哈希链表，如有对应的源IP地址、目的IP地址，则对密文数据包进行私有协议封装处理，生成私有协议封装的数据包；发送单元，用于发送所述私有协议的数据包到外端主机。
6.根据权利要求5所述的IPSECVPN设备的隔离系统，其特征在于，所述封装单元具体包括: INDEX值计算单元，用于根据密文数据包的源地址和目的地址，利用hash算法，计算出IP映射表索引INDEX值，在IP映射表中取出对应的节点链表的首节点； 遍历单元，用于遍历所述节点链表，查找与密文数据包的源地址以及目的地址相匹配的节点项，若查找到，则将对应的节点ID值及映射表索引INDEX值写入密文数据私有协议数据包中，若未查找到，则丢弃该密文数据包并结束处理； 处理单元，用于剥除密文数据包以太帧及IP头信息，将纯载荷内容以及关键状态信息写入私有协议数据包中。
7.一种IPSEC VPN设备，其特征在于，包括内端主机、外端主机和非网络隔离卡，所述非网络隔离卡用于传输不包含以太帧及IP头信息的纯数据，所述内端主机通过所述非网络隔离卡与所述外端主机物理连接，所述内端主机与内部网络进行数据交互，所述外端主机与外部网络进行数据交互； 内端主机与外端主机中维护相同的IP映射表，其中，所述IP映射表为哈希链表，所述哈希链表定义有IP映射表索引INDEX以及数据包的源地址、目的地址和IP映射ID信息； 当所述内部网络外出明文数据包传输到所述内端主机时,对接收到的明文数据包进行数据加密处理和IPSEC隧道封装处理，生成密文数据包，对密文数据包进行以太帧及IP头部剥离处理，根据剥离的IP头部，计算IP映射表中索引INDEX，并遍历所述哈希链表，查找是否有对应的源IP地址、目的IP地址，如有对应的数据，则对密文数据包进行私有协议封装处理，并将私有协议封装的数据发送到外端主机，通过外端主机对接收到的私有协议封装数据进行解封装处理，根据解封装得到的IP映射表索引INDEX，节点ID在IP映射表进行检索，根据检索的结果对密文IPSEC数据包进行重组，生成密文IPSEC数据包，发送密文IPSEC数据包到外部网络； 当所述外部网络向所述外端主机传输密文数据包时，接收来自外部网络的密文数据包，对密文数据包进行以太帧及IP头部剥离处理，根据剥离的IP头部，计算IP映射表中索引INDEX，并遍历哈希链表，查找是否有对应的源IP地址、目的IP地址，如有对应的数据，则对密文数据包进行私有协议封装处理，并将私有协议封装的数据发送到内端主机，通过内端主机对接收到的私有协议封装数据进行解封装处理，根据解封装得到的IP映射表索引INDEX,节点ID在IP映射表进行检索，根据检索的结果对密文IPSEC数据包进行重组，生成新的密文数据包，再对新的密文数据包进行解密处理和IPSEC隧道解封装处理，生成明文数据包，发送明文数据包到内部网络。
8.根据权利要求7所述的IPSECVPN设备，其特征在于，所述内端主机包括硬件加密模块、VPN处理模块和密钥协商模块； 所述硬件加密模块用于对接收到的明文数据包进行加密处理，或者对接收到的密文数据包进行解密处理，所述VPN处理模块用于数据包进行IPSEC隧道模式封装和解封装，所述密钥协商模块用于IPSec VPN密钥协商。
9.根据权利要7或8所述的IPSECVPN设备，其特征在于，还包括第一网卡和第二网卡，所述内端主机通过所述第一网卡与所述内部网络进行数据交互，所述外端主机通过所述第二网卡与所述外部网络进行数据交互。
【文档编号】H04L29/06GK103812861SQ201410025959
【公开日】2014年5月21日 申请日期:2014年1月20日 优先权日:2014年1月20日
【发明者】胡朝辉, 梁智强, 江泽鑫, 梁志宏, 陈炯聪, 黄曙, 余南华, 林丹生, 李闯, 石炜君, 梁毅成, 黄岳峰 申请人:广东电网公司电力科学研究院