一种流量保护方法及装置的制造方法
【技术领域】
[0001]本发明涉及网络通信技术领域,尤其涉及一种流量保护方法及装置。
【背景技术】
[0002]IPsec (Internet Protocol Security,互联网协议安全)是 IETF (The InternetEngineering Task Force,国际互联网工程任务组)制定的三层隧道加密协议,它为互联网上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证,是一种传统的实现三层VPN(Virtual Private Network,虚拟专用网络)的安全技术。特定的通信方之间通过建立IPsec隧道来保护和传输用户的私有数据,并在IP层提供数据机密性、数据完整性、数据来源认证以及防重放等安全服务。
[0003]SA (Security Associat1n,安全关联)是通信双方对某些要素的约定,例如,使用哪种安全协议、算法、封装模式、保护什么样的数据流、以及密钥的生存周期等。
[0004]IKE (Internet Key Exchange,互联网密钥交换协议)为IPsec提供密钥的自动协商,帮忙建立和维护SA,简化了 IPsec的使用和管理。
[0005]IPsec可通过配置ACL(Access Control List,访问控制列表)来指定要保护的数据流。传统基于ACL保护的数据流一般包括的关键字大概囊括:源地址、目的地址、源端口号、目的端口号、协议,即报文的五元组信息。例如,对于应用于IPsec安全策略的某ACL规则定义为:保护UDP(User Datagram Protocol,用户数据报协议)协议,源地址范围为
10.10.10.0/24,目的地址范围为 30.30.30.0/24。
[0006]虚拟化技术是将一个实体设备虚拟成多个独立设备的技术。虚拟化环境下,一台设备会划分给多个租户使用。然而实践发现,在现有IPsec协议中,对于同一设备的多个租户(如Router (路由器)A)的两个租户(假设为租户I和租户2),若其想要保护相同的流量(协议以及源目的地址均相同,假设想要保护的流量均为UDP协议流,数据流源地址范围均为10.10.10.0/24,目的地址范围均为30.30.30.0/24),则当租户I接入后,Router A生成SAl,SAl保护数据源地址范围为10.10.10.0/24,目的地址范围为30.30.30.0/24的UDP协议流。而当租户2接入时,Router A会发现已存在保护同样流量的SAl,Router A会直接使用SAl对租户2的流量进行封装保护,即租户I和租户2使用了相同的SA进行流量保护,从而导致租户1(或租户2)可以解析获取租户2(或租户I)保护后的流量,流量安全性较低。
【发明内容】
[0007]本发明提供一种流量保护方法及装置,以提高同一设备划分给多个租户使用时传输流量的安全性。
[0008]根据本发明实施例的第一方面,提供一种流量保护方法,包括:
[0009]接收来自租户的报文;
[0010]确定所述报文的出接口 ;
[0011]根据所述报文中包括的五元组信息以及租户身份标识查询所述出接口对应的访问控制列表ACL ;其中,同一设备连接的不同租户的租户身份标识不同;
[0012]若所述ACL中存在与所述五元组信息以及租户身份标识匹配的表项,则查询与所述五元组信息以及所述租户身份标识对应的互联网安全IPsec隧道;
[0013]若未查询到与所述五元组信息以及所述租户身份标识对应的IPsec隧道,则触发IKE协商,以创建与所述五元组信息以及所述租户身份标识对应的IPsec隧道,该IPsec隧道对应的IPsec安全联盟SA中携带有所述租户身份标识;
[0014]根据该IPsec隧道对应的IPsec SA对所述报文进行封装保护。
[0015]根据本发明实施例的第二方面,提供一种流量保护装置,包括:
[0016]接收单元,用于接收来自租户的报文;
[0017]确定单元,用于确定该报文的出接口 ;
[0018]查询单元,用于根据所述报文中包括的五元组信息以及租户身份标识查询所述出接口对应的访问控制列表ACL ;其中,同一设备连接的不同租户的租户身份标识不同;
[0019]所述查询单元,还用于若所述ACL中存在与所述五元组信息以及租户身份标识匹配的表项,则查询与所述五元组信息以及所述租户身份标识对应的互联网安全IPsec隧道;
[0020]创建单元,用于若所述查询单元未查询到与所述五元组信息以及所述租户身份标识对应的IPsec隧道,则触发IKE协商,以创建与所述五元组信息以及所述租户身份标识对应的IPsec隧道,该IPsec隧道对应的IPsec安全联盟SA中携带有所述租户身份标识;
[0021]封装单元,用于根据该IPsec隧道对应的IPsec SA对所述报文进行封装保护。
[0022]应用本发明实施例,通过为同一设备的多个不同租户配置不同的租户身份标识,且出接口对应的ACL的匹配参数中也添加租户身份标识,当接收到报文时,根据该报文中包括的五元组信息以及租户身份标识查询对应的ACL,并当查询到存在与五元组信息以及租户身份标识匹配的表项时,查询与该五元组信息以及租户身份标识对应的IPsec隧道,并当未查询到与该五元组信息以及租户身份标识对应的IPsec隧道时,触发IKE协商,以创建与该五元组信息以及租户身份标识对应的IPsec隧道,并根据该IPsec隧道对应的IPsecSA对报文进行封装保护,实现了为同一设备连接的不同租户的相同流量分别建立不同的IPsec隧道,以对流量进行保护,提高安全性。
【附图说明】
[0023]图1是本发明实施例提供的一种流量保护方法的流程示意图;
[0024]图2是本发明实施例提供的一种流量保护装置的结构示意图;
[0025]图3是本发明实施例提供的另一种流量保护装置的结构示意图;
[0026]图4是本发明实施例提供的另一种流量保护装置的结构示意图。
【具体实施方式】
[0027]为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明实施例中技术方案作进一步详细的说明。
[0028]参见图1,为本发明实施例提供的一种流量保护方法的流程示意图,可以包括:
[0029]步骤101、接收来自租户的报文,并确定该报文的出接口。
[0030]步骤102、根据报文中包括的五元组信息以及租户身份标识查询该出接口对应的ACL ;其中,同一设备连接的不同租户的租户身份标识不同。
[0031]本发明实施例中,上述方法可以应用于支持IPsec协议的路由设备,该路由设备可以作为IPsec协议中通信双方中的任意一方,为便于描述,以下以上述方法的执行主体为路由设备为例进行说明。
[0032]在本发明实施例中,当同一路由设备被划分给多个不同租户使用时,可以为该多个不同租户配置租户身份标识,该租户身份标识可以用于标识同一设备连接的多个不同租户,同一设备连接的不同租户的租户身份标识不同,通信双方为同一租户设置的租户身份标识相同。其中,该租户身份标识可以包括但不限于数字、字母、特殊符号中的一个或多个的组合。
[0033]本发明实施例中,当路由设备接收到报文时,该路由设备可以根据路由信息确定该报文的出接口,并根据该报文中包括的五元组信息以及租户身份标识查询该出接口对应的 ACL0
[0034]其中,在本发明实施例中,ACL的配置也需要区分开同一设备下的不同租户,因而,ACL的保护范围内也需要加入租户身份标识作为匹配参数,即