专利名称:一种用于安全访问专用局域网的动态隧道构建方法及用于该方法的装置的制作方法
技术领域:
本发明涉及专用局域网的安全访问,尤其涉及一种用于安全访问专用局域网的动态隧道构建方法及用于该方法的装置。
背景技术:
在未来IPv6环境下,随着IP地址资源的极大丰富,以及各种电子设备的智能化和网络化,专用局域网(例如企业内部网络、家庭网络等)中每个设备都可以拥有独立的IP地址,通过这些设备的IP地址或其对应的域名,可以从外部网络寻址到相应的设备。这使得通过互联网远程访问和控制专用局域网中的设备在技术上成为可能;而且随着应用和服务的发展,对专用局域网中的设备进行远程访问和控制也会逐渐成为用户的迫切需求。
但是,由于专用局域网中设备的私密性和敏感性,设备拥有者并不希望外部网络可以任意访问专用局域网中的设备。如果允许外部网络任意访问这些设备,则这些设备将面临被攻击的巨大风险,并可能会给设备拥有者造成重大损失。
隧道技术是一种目前广泛使用的解决上述专用局域网安全访问问题的解决方案。外部网络中经过认证的用户可以通过建立在专用局域网和外部网络之间的安全通信隧道合法地访问专用局域网内设备,而外部网络中未经认证的其它主机/设备则不能访问该专用局域网。
现有技术中,基于隧道技术的各种VPN(Virtual Private Network,虚拟专用网)技术是目前比较完善的一种专用网络安全访问机制。VPN技术向用户提供一种虚拟的专用网络,这种网络虽然借助公用网络的基础设施进行通信,但其安全性却类似由用户租用的专用物理线路构成的专用网络。通过隧道技术,VPN使得经过身份认证的合法用户可以从外部网络访问VPN中的局域网,同时阻止外部网络中其它未经认证的用户或设备访问这些局域网,而且外部网络和VPN局域网之间通信具有安全性和私密性。
图1所示是VPN技术中两种访问方式远程访问方式和本地访问方式。这两种方式都通过相应的安全通信隧道对VPN中的局域网进行访问。下面简要介绍两种方式下的安全通信隧道构建方法及不足之处。
(1)远程访问方式远程访问方式下,安全通信隧道通常是固定配置的,即专用局域网(VPN)的管理员预先手工配置好本地接入点和远端访问服务器之间的安全隧道。远端访问服务器与本地接入点即为隧道服务器。当某外部网络源主机需要访问专用局域网(VPN)时,首先连接到本地接入点(POPPoint of Presence),然后向待访问的专用局域网的远端访问服务器(Access Server)发出访问请求,经过身份认证后,外部网络源主机即可通过该预先构建好的安全隧道访问远端的专用局域网。
远程访问方式的主要缺点是,安全隧道是手工配置的,需要VPN管理员大量的手工配置工作,而且当专用局域网(VPN)的网络构件发生变化时,比如现有的远端访问服务器/本地接入点更改了IP地址,或者部署了新的远端访问服务器/本地接入点等,这些静态配置的手工隧道需要手工进行修改,非常麻烦。
(2)本地访问方式本地访问方式下,外部网络源主机访问专用局域网时,首先直接连接到待访问的本地专用局域网的访问服务器,即外部网络源主机需要知道相应的本地访问服务器的IP地址。经过身份认证后,本地访问服务器和外部网络源主机之间通过协商建立起安全通信隧道。此后,外部网络源主机即可通过该隧道访问本地的专用局域网。在这种方式下,隧道服务器的角色由本地访问服务器与外部网络源主机扮演。
本地访问方式的主要缺点是隧道对用户是不透明的,即建立从外部网络访问某专用局域网的安全通信隧道时,用户需要提供相应的专用局域网的访问服务器的IP地址。为了访问不同的专用局域网,用户需要记忆大量的访问服务器的地址,增加了用户使用VPN的负担和难度。
另外,上述两种隧道构建方法不支持轻量级的用户设备。其用于访问专用局域网的外部网络主机都不同程度的参与了安全通信隧道的构建过程,尤其是本地访问方式,外部网络主机作为隧道服务器,直接负责安全通信隧道的协商和建立,这就需要该主机上安装有复杂的隧道支持软件。但是在有些情况下,用户用来访问专用局域网的设备可能在硬件和软件上都非常简单,没有安装或无法安装这类软件,则无法通过安全隧道访问专用局域网。
发明内容
本发明提出了一种新的动态隧道构建方法,本发明方法将源隧道服务器和目的隧道服务器部署在源主机发送或者目的主机接收IP数据包必经的路由设备上,并在源隧道服务器和目的隧道服务器之间自动构建安全通信隧道,无需手工配置隧道,也不需要提供相应的专用局域网的访问服务器的IP地址。
本发明方法包括以下步骤首先,外部网络中的源主机向身份认证单元所在方发送用户身份认证信息,由该身份认证单元所在方进行身份认证。其中,该用户身份认证信息包括用户名,用户密码,该目的主机的IP地址和端口号,以及该源主机的IP地址。该源主机的IP地址可以为缺省,默认为发起访问该专用局域网的外部网络主机本身。
其次,通过身份认证后,该身份认证单元所在方产生一个包含建立安全通信隧道命令的IP数据包,该IP数据包经加密后发送至专用局域网的目的主机侧的设备,该设备设置在该目的主机收发IP数据包的必经之路上。该包含建立安全通信隧道命令的IP数据包的内容部分包括该源主机的IP地址,该目的主机的IP地址及端口号,以及为建立该安全通信隧道用的预留参数;该IP数据包的目的地址为目的主机的IP地址。
再次,该目的主机侧的设备截取含有建立安全通信隧道命令的IP数据包并解密该IP数据包,再产生一个包含隧道协商命令的IP数据包,该IP数据包经加密后发送至该外部网络中的源主机侧的设备,该设备设置在该源主机发送IP数据包的必经之路上。该IP数据包的目的地址为源主机的IP地址。
接着,该源主机侧的设备截取包含隧道协商命令的IP数据包并解密该IP数据包,再产生一个包含隧道协商回复命令的IP数据包,该IP数据包经加密后发送至该目的主机侧的设备;以及最后,该目的主机侧的设备截取含有隧道协商回复命令的IP数据包并解密该IP数据包,该目的主机侧的设备根据该隧道协商命令中的隧道参数,与该源主机侧的设备协商建立安全通信隧道。
进行截取、解密、产生、加密和发送IP数据包的上述源主机侧的设备可以为设置在源主机收发IP数据包必经之路上的源隧道服务器。
进行截取、解密、产生、加密和发送IP数据包的上述目的主机侧的设备可以为设置在目的主机收发IP数据包必经之路上的目的隧道服务器。
本发明又提供了一种隧道服务器,该隧道服务器设置在外部网络中的源主机收发IP数据包的必经之路上则作为源隧道服务器,或者设置在专用局域网中的目的主机收发IP数据包的必经之路上则作为目的隧道服务器,包括隧道协商单元,用于根据相应的指令和对端隧道服务器协商隧道的加/解密参数;隧道数据包处理单元,用于根据隧道的加/解密参数对通过安全通信隧道传输的IP数据包进行加/解密处理;安全策略和安全联盟数据库,该安全策略和安全联盟数据库进一步包括用于存储各种安全策略的安全策略数据库,以及用于存储各种安全联盟的安全联盟数据库;隧道命令过滤单元,用于截取来自外部网络的包含隧道命令的IP数据包;隧道命令处理单元,用于对该隧道命令过滤单元截取的包含隧道命令的IP数据包进行解密,并根据隧道命令的内容发出相应的指令;以及隧道命令产生单元,用于根据该隧道命令处理单元的指令产生相应的隧道命令,对隧道命令进行加密,并发往目的地址。
通过本发明的动态隧道构建方法,对现有技术作出了以下的贡献1.自动性可以动态地自动构建安全通信隧道,无需手工干预,网络构件的变化对动态隧道构建方法没有影响;2.易用性安全隧道对用户完全透明,用户无需记忆任何隧道服务器的地址,对用户来说更易于使用;3.支持简单主机本方法中的安全通信隧道的构建完全由网络服务提供商(NSP)的设备完成,包括AAA服务器,隧道服务器等。除了提供身份认证信息外,外部网络的源主机无需任何与安全通信隧道协商和建立相关的配置和处理,所以无需安装支持安全通信隧道协商与建立相关的软件和硬件。采用本方法,一些在软件和硬件方面都很简单的主机也可以动态构建访问专用局域网的安全通信隧道。
通过参照结合附图所进行的如下描述和权利要求,本发明的其它目的和成就将是显而易见的,并对本发明也会有更为全面的理解。
借助示例性的实施例和所附示意图,本发明及其相关的优点将得到进一步阐述,在附图中图1是现有的VPN技术中远程访问方式和本地访问方式的示意图;图2是根据本发明的第一实施例的动态隧道构建方法的体系结构;图3根据本发明的第二实施例的动态隧道构建方法的流程图;以及图4是根据本发明的第二实施例的隧道服务器的框图。
具体实施例方式
下面根据附图具体实施方式
对本发明作进一步的详细描述。
实施例1图2是根据本发明的第一实施例的动态隧道构建方法的体系结构。我们现假设这样的场景,某用户属于其公司所在的专用局域网A的合法用户,由于出差或者其它原因,该用户到了外地,他要访问其公司所在的专用局域网A以获得一些必要的资料,那么如何做到安全地访问专用局域网A呢?这就需要本发明的动态隧道构建方法在外部网络的源主机和专用局域网的目的主机之间建立一条安全通信隧道,源主机通过安全通信隧道访问目的主机。如图2所示为动态隧道构建方法的体系结构,其中,将一个隧道服务器设置在外部网络中的源主机收发IP数据包的必经之路上,作为源隧道服务器;将另一个隧道服务器设置在专用局域网中的目的主机收发IP数据包的必经之路上,作为目的隧道服务器,以及在公用网络中的服务器上设置身份认证单元,用于对访问该专用局域网的用户进行身份认证。在源主机和目的主机之间建立安全通信隧道,从而源主机通过该安全通信隧道访问目的主机。
图3是根据本发明的第一实施例的动态隧道构建方法的流程图。
外部网络中的源主机向身份认证单元所在的服务器发送身份认证信息,由身份认证单元进行身份认证(步骤320)。该用户身份认证信息包括用户名,用户密码,目的主机的IP地址和端口号,以及源主机的IP地址。
该身份认证单元对接收到的身份认证信息进行身份认证还包括以下步骤该身份认证单元根据接收到的信息从公共网络中的AAA服务器获取该用户名对应的专用局域网的网络地址范围;以及检查该用户名以及用户密码是否属于该专用局域网的合法用户,以及待访问的该目的主机是否属于该专用局域网。
如果身份认证单元验证了该用户是合法用户后,则身份认证单元所在的服务器产生一个包含建立安全通信隧道命令的IP数据包,该IP数据包经加密后发送至目的隧道服务器(步骤330)。该包含建立安全通信隧道命令的IP数据包的内容部分包括源主机的IP地址,目的主机的IP地址及端口号,以及为建立安全通信隧道预留的参数,该IP数据包的目的地址为目的主机的IP地址。源主机的IP地址可以为缺省,默认为发起访问所述专用局域网的外部网络主机本身。
目的隧道服务器截取并处理含有建立安全通信隧道命令的IP数据包(步骤340)。目的隧道服务器根据事先协商好的方法截取该含有隧道命令的IP数据包。再对该IP数据包进行解密,根据该隧道命令的内容,发出相应的指令。由于这里该隧道命令是要建立安全通信隧道,因此,根据指令,目的隧道服务器产生一个包含隧道协商命令的IP数据包,该IP数据包经加密后发送至源隧道服务器,该IP数据包的目的地址为源主机的IP地址。
源隧道服务器截取并处理包含隧道协商命令的IP数据包(步骤350)。源隧道服务器根据事先协商好的方法截取包含隧道协商命令的IP数据包。包含隧道协商命令的IP数据包的内容部分包括源主机的IP地址,目的主机的IP地址及端口号,以及关于安全隧道的参数。再由源隧道服务器对该IP数据包进行解密,根据该隧道命令的内容,发出相应的指令。由于这里该隧道命令是要协商安全通信隧道,因此,根据指令,源隧道服务器产生一个包含隧道协商回复命令的IP数据包,该IP数据包经加密后发送至目的隧道服务器。
目的隧道服务器截取并处理含有隧道协商回复命令的IP数据包(步骤360)。目的隧道服务器根据事先协商好的方法截取该含有隧道命令的IP数据包。再对该IP数据包进行解密,根据该隧道命令的内容,发出相应的指令。由于这里该隧道命令是隧道协商回复命令,因此,根据相应的指令,当隧道命令处理单元判断其为正确的回复命令后,即调用隧道协商模块,使得目的隧道服务器根据隧道协商命令中的隧道参数,与源隧道服务器协商建立安全通信隧道。
前述构建安全通信隧道的过程中,目的隧道服务器、源隧道服务器或者身份认证单元所在的服务器根据事先协商好的方法截取含有隧道命令的IP数据包。该方法可以灵活设计。这里可以举出两个例子。
例如,可以根据该IP数据包的包头内的安全参数索引号(SPI,Security Parameter Index)进行截取,该安全参数索引号由身份认证单元所在方、源主机侧的设备或目的主机侧的设备加密包含隧道命令的该IP数据包后,将一个约定的保留安全参数索引号放入该IP数据包的包头内,作为该IP数据包的安全参数索引号。
又例如,可以根据该IP数据包的源地址进行截取,该源地址是由身份认证单元所在方、源主机侧的设备或目的主机侧的设备加密包含隧道命令的该IP数据包后,用一个约定的保留地址作为该IP数据包的源地址。
前述构建安全通信隧道的过程中,源隧道服务器、目的隧道服务器以及身份认证单元所在的服务器对IP数据包进行加密或者解密是根据其相互协定的安全策略以及与该安全策略对应的安全联盟对该IP数据包进行加密和解密处理的。安全策略和安全联盟分别存储在安全策略数据库和安全联盟数据库中,上述数据库是现有技术。
源隧道服务器和目的隧道服务器之间的安全通信隧道建立好以后,外部网络中的源主机就可以通过该安全通信隧道访问专用局域网中的目的主机了。
当外部网络中的源主机通过该安全通信隧道访问专用局域网完毕后,可以销毁该安全通信隧道(步骤370)。具体包括以下步骤外部网络中的源主机向身份认证单元所在的服务器发送用户身份认证信息;然后身份认证单元所在的服务器对接收到的信息进行身份认证,通过身份认证后,向目的隧道服务器发送包含销毁安全通信隧道命令的加密IP数据包,该数据包的目的地址为目的主机的IP地址;最后目的隧道服务器向源隧道服务器发出撤销该安全通信隧道的通知并删除目的隧道服务器中的隧道参数。
本实施例中,身份认证单元是独立设置在公用网络中的服务器上的,例如AAA服务器上。但是,本领域的技术人员应该熟知,身份认证单元的设置非常灵活,可以独立设置在公用网络中的其它设备上,也可以设置在目的隧道服务器上或者源隧道服务器上。
图4是根据本发明的第二实施例的隧道服务器的框图。
将隧道服务器设置在外部网络中的源主机发送数据包的必经之路上,则作为源隧道服务器,或者,将隧道服务器设置在专用局域网中的目的主机发送数据包的必经之路上,则作为目的隧道服务器。在该源隧道服务器和该目的隧道服务器之间可以动态地建立安全通信隧道,用于专用局域网的安全访问。
该隧道服务器400包括隧道协商单元410,隧道数据包处理单元420,数据库430,隧道命令过滤单元440,隧道命令处理单元450以及隧道命令产生单元460。其中,隧道协商单元410,隧道数据包处理单元420和数据库430是隧道服务器的标准模块,属于现有技术。但是,隧道命令过滤单元440,隧道命令处理单元450,隧道命令产生单元460是本发明中新增的模块,通过这些新增的模块,可以在源隧道服务器和目的隧道服务器之间动态地建立安全通信隧道,无需用户设备的参与,隧道服务器的网络寻址自动完成,无需手工配置隧道服务器的地址信息。
隧道协商单元410用于根据相应的指令和对端隧道服务器协商隧道的加解密参数。该隧道协商单元410是隧道服务器的标准模块。对端隧道服务器是相对于隧道服务器400而言的。如果该隧道服务器400是源隧道服务器,则对端隧道服务器是目的隧道服务器。反之亦然。
隧道数据包处理单元420,用于根据隧道的加解密参数对通过安全通信隧道传输的数据包进行加解密处理。该隧道数据包处理单元420是隧道服务器的标准模块。
数据库230包括用于存储各种安全策略的安全策略数据库,以及用于存储各种安全联盟的安全联盟数据库。该数据库430是隧道服务器的标准模块。
安全策略(Security Policy,SP)和安全联盟(Security Associate,SA)是两个通信实体例如外部网络中的源主机和专用局域网中的目的主机之间的为安全通信所设定的一种协定。其中,安全策略用于决定何种外出或者进入的IP数据包需要安全保护,其至少包含IP数据包的源地址和目的地址两个选择符,除此之外,还可以包含源端口和目的端口等其它选择符,各种安全策略可以被保存在安全策略数据库中;安全联盟则用于决定保护IP数据包安全的IPSec协议、加密方式、密钥以及密钥的有效存在时间等等,同样,各种安全联盟也可以保存在安全联盟数据库中。安全策略和安全联盟两者之间存在对应的关系,是一种现有技术。
隧道命令过滤单元440,用于截取来自外部网络的包含隧道命令的IP数据包。隧道命令过滤单元440截取包含隧道命令的IP数据包,可以用多种灵活的方法。具体参见第一实施例中的描述,本实施例中不再赘述。
隧道命令处理单元450,用于对该隧道命令过滤单元截取的包含隧道命令的IP数据包进行解密,并根据隧道命令的内容向隧道协商单元410或者隧道命令产生单元460发出相应的指令。如果隧道命令是安全通信隧道建立命令,则隧道命令处理单元450向隧道命令产生单元460发出产生并发送安全通信隧道协商命令的指令;如果隧道命令是安全通信隧道协商的命令,则隧道命令处理单元450向隧道命令产生单元460发出产生并发送隧道协商回复命令的指令。如果隧道命令是协商隧道回复的命令,则隧道命令处理单元450向隧道协商单元410发出和对端隧道服务器协商隧道的加解密参数的指令。
隧道命令产生单元460,用于根据该隧道命令处理单元450的指令产生相应的隧道命令,对隧道命令进行加密,并发往目的地址。其中,相应的隧道命令包括隧道建立命令,隧道协商命令,隧道协商回复命令或者隧道销毁命令。如果隧道命令产生单元460为目的隧道服务器中的隧道命令产生单元,则其产生的隧道命令包括隧道建立命令(如果身份认证单元设置在目的隧道服务器中的话),隧道协商命令以及隧道撤销命令。如果隧道命令产生单元460为源隧道服务器中的隧道命令产生单元,则其产生的隧道命令包括隧道协商回复命令。
可选地,该隧道服务器400还可以包括身份认证单元470,用于对外部网络中源主机进行身份认证。该身份认证单元470根据外部网络的源主机发来的身份认证信息,从公共网络中的AAA服务器获取该用户名对应的专用局域网的网络地址范围,该身份认证信息包括用户名,用户密码,目的主机的IP地址和端口号,以及源主机的IP地址;接着该身份认证单元470检查该用户名以及用户密码是否属于该专用局域网的合法用户,以及待访问的目的主机是否属于该专用局域网。如果检查下来是合法的用户,则该用户有权访问该专用局域网。
其中,AAA(Authentication,Authorization,Accounting,认证,授权,记帐)服务器被设置在公共网络中,是一种用于身份认证,授权和帐户记帐的通用服务器,是一种现有技术。
值得一提的是,该身份认证单元470也可以不设置在隧道服务器400中。一般来说,身份认证处理单元470可以灵活地单独设置在公共网络的服务器中,例如设置在AAA服务器中,而不限于设置在隧道服务器中。
接下来详细描述对IP数据包进行加密或者解密的问题。源隧道服务器、目的隧道服务器对IP数据包进行加密或者解密是根据其相互协定的安全策略以及与该安全策略对应的安全联盟对该IP数据包进行加密和解密处理的。安全策略和安全联盟存储在安全策略和安全联盟数据库中,该数据库是现有技术。本实施例中,该安全策略和安全联盟数据库包括在数据库430中。从图4中也可以看出,数据库430与隧道协商单元410,隧道数据包处理单元420,隧道命令处理单元450以及隧道命令产生单元460之间分别用双箭头虚线连接,说明数据库430与它们之间分别存在数据交互操作,即当这些单元要对IP数据包进行加解密时,都要调用该数据库430。
上述的用于安全访问专用局域网的动态隧道构建方法,其对于现有的安全通信隧道构建方法具有下述有益效果。
首先,具有自动性可以动态地自动构建安全通信隧道,无需手工干预,网络构件的变化对动态隧道构建方法没有影响;并且在通信完毕后,可以撤销该通信隧道。
其次,具有易用性安全隧道对用户完全透明,用户无需记忆任何隧道服务器的地址,对用户来说更易于使用。
再次,支持简单主机本方法中的安全通信隧道的构建完全由网络服务提供商(NSP)的设备完成,包括AAA服务器,隧道服务器等。除了提供身份认证信息外,外部网络的源主机无需任何与安全通信隧道协商和建立相关的配置和处理,所以无需安装支持安全通信隧道协商与建立相关的软件和硬件。采用本方法,一些在软件和硬件方面都很简单的主机也可以动态构建访问专用局域网的安全通信隧道。
本发明结合上述典型实施例进行了详细描述,各种选择、修改、变化、改进和/或基本的等同技术,目前已知的内容,对本领域的普通技术人员是熟知的。因此,本发明的上述的典型实施例,在与阐明而不在于限制本发明。在不脱离本发明的精神和范围之内可以做多种改变。因此,本发明可以包含所有已知的或者以后发展的选择、修改、变化、改进和/或基本的等同技术。
权利要求
1.一种用于安全访问专用局域网的动态隧道建立方法,其特征在于,所述方法包含以下步骤a.外部网络中的源主机向身份认证单元所在方发送用户身份认证信息,由所述身份认证单元所在方进行身份认证;b.通过身份认证后,所述身份认证单元所在方产生一个包含建立安全通信隧道命令的IP数据包,所述IP数据包经加密后发送至专用局域网的目的主机侧的设备,所述设备设置在所述目的主机收发IP数据包的必经之路上;c.所述目的主机侧的设备截取含有建立安全通信隧道命令的IP数据包并解密所述IP数据包,再产生一个包含隧道协商命令的IP数据包,所述IP数据包经加密后发送至所述外部网络中的源主机侧的设备,所述设备设置在所述源主机发送IP数据包的必经之路上;d.所述源主机侧的设备截取包含隧道协商命令的IP数据包并解密所述IP数据包,再产生一个包含隧道协商回复命令的IP数据包,所述IP数据包经加密后发送至所述目的主机侧的设备;以及e.所述目的主机侧的设备截取含有隧道协商回复命令的IP数据包并解密所述IP数据包,所述目的主机侧的设备根据所述隧道协商命令中的隧道参数,与所述源主机侧的设备协商建立安全通信隧道。
2.如权利要求1所述的方法,其特征在于,所述用户身份认证信息包括用户名,用户密码,所述目的主机的IP地址和端口号,以及所述源主机的IP地址。
3.如权利要求2所述的方法,其特征在于,所述源主机的IP地址可以为缺省,默认为发起访问所述专用局域网的外部网络主机本身。
4.如权利要求3所述的方法,其特征在于,所述身份认证单元所在方对接收到的信息进行身份认证包括以下步骤所述身份认证单元所在方根据接收到的信息从公共网络中的AAA服务器获取所述用户名对应的专用局域网的网络地址范围;以及检查所述用户名以及用户密码是否属于所述专用局域网的合法用户,以及待访问的所述目的主机是否属于所述专用局域网。
5.如权利要求4所述的方法,其特征在于,所述包含建立安全通信隧道命令的IP数据包的内容部分包括所述源主机的IP地址,所述目的主机的IP地址及端口号,以及为建立所述安全通信隧道用的预留参数;所述IP数据包的目的地址为所述目的主机的IP地址。
6.如权利要求5所述的方法,其特征在于,所述源主机侧的设备或所述目的主机侧的设备截取所述包含隧道命令的IP数据包是根据所述IP数据包的包头内约定的安全参数索引号(SPI,Security Parameter Index)进行截取的,所述安全参数索引号由所述身份认证单元所在方、所述源主机侧的设备或所述目的主机侧的设备加密所述隧道命令的IP数据包后放入所述IP数据包的包头内。
7.如权利要求5所述的方法,其特征在于,所述源主机侧的设备或所述目的主机侧的设备截取所述包含隧道命令的IP数据包是根据所述IP数据包的源地址进行截取的,所述源地址是由所述身份认证单元所在方、所述源主机侧的设备或所述目的主机侧的设备加密所述隧道命令的IP数据包后,用一个约定的保留地址作为所述IP数据包的源地址。
8.如权利要求6或者7所述的方法,其特征在于,所述源主机侧的设备、所述目的主机侧的设备以及所述身份认证单元所在方对所述包含隧道命令的IP数据包进行加密或者解密是根据其相互协定的安全策略以及与所述安全策略对应的安全联盟对所述IP数据包进行加密和解密处理。
9.如权利要求8所述的方法,其特征在于,所述包含隧道协商命令的IP数据包的内容部分包括所述源主机的IP地址,所述目的主机的IP地址及端口号,以及关于所述安全隧道用的参数;所述IP数据包的目的地址为所述源主机的IP地址。
10.如权利要求9所述的方法,其特征在于,进行截取、解密、产生、加密和发送IP数据包的所述源主机侧的设备可以为设置在所述源主机收发IP数据包必经之路上的源隧道服务器。
11.如权利要求9所述的方法,其特征在于,进行截取、解密、产生、加密和发送IP数据包的所述目的主机侧的设备可以为设置在所述目的主机收发IP数据包必经之路上的目的隧道服务器。
12.如权利要求10或者11所述的方法,其特征在于,进一步包括步骤f.所述外部网络的源主机通过所述安全通信隧道访问所述专用局域网完毕后,销毁所述安全通信隧道。
13.如权利要求12所述的方法,其特征在于,步骤f包括以下步骤f1.所述外部网络中的源主机向所述身份认证单元所在方发送用户身份认证信息;f2.所述身份认证单元所在方对接收到的信息进行身份认证;通过身份认证后,向所述目的主机侧的设备发送包含销毁安全通信隧道命令的IP数据包,该IP数据包的目的地址为目的主机的IP地址;以及f3.所述目的主机侧的设备向所述源主机侧的设备发出撤销所述安全通信隧道的通知;并删除所述目的主机侧的设备中的隧道参数。
14.一种用于安全访问专用局域网的隧道服务器,所述隧道服务器设置在外部网络中的源主机收发IP数据包的必经之路上则作为源隧道服务器,或者设置在专用局域网中的目的主机收发IP数据包的必经之路上则作为目的隧道服务器,包括隧道协商单元,用于根据相应的指令和对端隧道服务器协商隧道的加/解密参数;隧道数据包处理单元,用于根据隧道的加/解密参数对通过安全通信隧道传输的IP数据包进行加/解密处理;安全策略和安全联盟数据库,所述安全策略和安全联盟数据库进一步包括用于存储各种安全策略的安全策略数据库,以及用于存储各种安全联盟的安全联盟数据库,所述安全策略数据库与所述安全联盟数据库相对应,其特征在于,所述隧道服务器还包括隧道命令过滤单元,用于截取来自外部网络的包含隧道命令的IP数据包;隧道命令处理单元,用于对所述隧道命令过滤单元截取的包含隧道命令的IP数据包进行解密,并根据隧道命令的内容发出相应的指令;以及隧道命令产生单元,用于根据所述隧道命令处理单元的指令产生相应的隧道命令,对隧道命令进行加密,并发往目的地址。
15.如权利要求14所述的隧道服务器,其特征在于,所述隧道服务器进一步包括身份认证处理单元,用于接收所述外部网络中的源主机发出的用户身份认证信息,并进行身份认证。
16.如权利要求15所述的隧道服务器,其特征在于,所述隧道命令过滤单元截取所述包含隧道命令的IP数据包是根据所述IP数据包的包头内约定的安全参数索引号(SPI,Security Parameter Index)进行截取的,所述安全参数索引号由所述身份认证单元所在方或隧道服务器加密所述隧道命令的IP数据包后放入所述IP数据包的包头内。
17.如权利要求15所述的隧道服务器,其特征在于,所述隧道命令过滤单元截取所述包含隧道命令的IP数据包是根据所述IP数据包的源地址进行截取的,所述源地址是由所述身份认证单元所在方或隧道服务器加密所述隧道命令的IP数据包后,用一个约定的保留地址作为所述IP数据包的源地址。
18.如权利要求16或者17所述的隧道服务器,其特征在于,所述源隧道服务器以及所述目的隧道服务器对所述包含隧道命令的IP数据包进行加密或者解密是根据其相互协定的安全策略以及与所述安全策略对应的安全联盟对所述IP数据包进行加密和解密处理。
全文摘要
本发明提出了一种用于安全访问专用局域网的动态隧道构建方法及用于该方法的装置。本发明方法将源隧道服务器部署在源主机收发IP数据包必经的路由设备上,目的隧道服务器部署在目的主机收发IP数据包必经的路由设备上,并在源隧道服务器和目的隧道服务器之间自动构建安全通信隧道,无需手工配置隧道,也不需要提供相应的专用局域网的访问服务器的IP地址。并且在通信完毕后,可以销毁该通信隧道。
文档编号H04L9/32GK1949705SQ20051003052
公开日2007年4月18日 申请日期2005年10月14日 优先权日2005年10月14日
发明者张青山, 宾梵翔, 鄢仁祥, 温海波 申请人:上海贝尔阿尔卡特股份有限公司