专利名称::部署基于ip安全协议的虚拟专网业务的系统和方法
技术领域:
:本发明涉及IP网络技术为核心的数据通信领域,特别是涉及部署基于IP安全协议的虛拟专网(IPsecVPN)业务的系统和方法。
背景技术:
:IPsec(lP安全协议)作为IPv6协议的一个重要特性具有广泛的应用前景,IPsec协议可以部署在包括路由器、业务网关设备、用户主机等设备中,特别是对于IPv6网络中大量而且多样化的消费电子类型终端设备同样可以部署IPsec以支持它们对于安全通信的需求。由于IPsec提供较为复杂、多样化的安全保护,这就给基于IPsec协议的VPN(虚拟专网)等业务的开展带来复杂的管理任务,特别是随着网络规模的扩大这种管理控制的复杂性更是成倍的增长。对于运营商在IPv6网络中面向公众用户提供IPsecVPN业务时,管理以及业务提供的效率问题就更为突出。迄今在IPv6网络上如何实现对IPsecVPN业务的管理没有一个完整的解决方法。目前IETF(互联网工程任务组)遵循策略系统的方法定义安全策略系统,其中详细定义了安全策略信息模型以及安全策略分发和控制协议。在安全策略信息模型方面,建立以分布式管理任务项目策略核心信息模型(DMTFPCIM-DistributedManagementTaskForcePolicyCoreInformationModel)为基础的安全策略信息模型,在RFC3585中定义了IPsec配置安全策略信息模型;安全策略分发协议方面,沿用了IP网络配置管理中定义的方法,例如采用通用开放策略业务(COPS-CommonOpenPolicyService)、简单网络管理协议(S匪P-SimpleNetworkManagementProtocol)以及命令行接口(CLI-CommandLineInterface)等方法,同时定义4十对于IPsec密钥交换(IKE-InternetKeyExchange)策略实体的SNMP管理信息库(MIB-ManagementInformationBase)、以及COPS策略信息库(PIB-PolicyInformationBase)。然而,IETF安全策略模型主要存在以下两个方面的问题首先,基于面向对象的安全策略信息模型,主要是面向设备和网络层面的信息表达,因此对于业务和应用的表示能力有限,同时基于PCIM定义的策略模型一直以来都面临着厂商设备支持能力的局限,以及不同厂商定义的不一致等方面的问题;其次,围绕SNMP或者COPS建立的安全策略分发协议,主要是为了解决网络配置自动化的问题,通过直接存取和设置与设备紧密相关的MIB或者PIB信息实现对于网络的管理和控制,这种方法对于上层业务和应用而言不能有效屏蔽下层网络和设备的差异性,同时基于客户/服务器模式不适合复杂的安全业务交互过程,这种业务过程的管理和控制需要具备业务描迷、业务动态发现以及远程业务调用的能力。从以上可以看出,对于运营商而言IETF安全策略系统并不能满足基于IPsecVPN业务管理和控制的要求。因此,需要一种新的系统和方法实现IPsecVPN业务管理和控制。
发明内容本发明提出引入安全业务策略的方法实现对于IPsecVPN业务的管理和控制,这种方法通过定义安全业务策略层、安全网络策略层和安全设备实体三层结构实现,在安全业务策略层引入web服务体系结构实现安全业务策略的描述、发现以及远程调用,弥补安全网络策略层在IPsecVPN业务和应用中的不足之处。根据本发明,提供了一种部署基于IP安全协议的虛拟专网业务的系统,所述系统包括IP安全协议的虛拟专网(IPsecVPN)安全应用终端,用作安全业务策略在VPN节点的代理,包含SOAP客户端和SOAP服务器端;和IPsecVPN安全业务策略服务器,包含业务策略服务器SOAP客户端和业务策略服务器SOAP服务器端;其中通过IPsecVPN安全应用终端中.的SOAP客户端、SOAP服务器端,以及通过IPsecVPN安全业务策略服务器中的业务策略服务器SOAP客户端和业务策略服务器SOAP服务器端,IPsecVPN安全应用终端在请求/响应模式下代理IPsecVPN节点向IPsecVPN安全业务策略服务器请求匹配的安全业务策略,或在订购/通知才莫式下代理IPsecVPN节点向IPsecVPN安全业务策略服务器登记动态的安全业务策略,IPsecVPN安全业务策略服务器根据IPsecVPN安全应用终端的不同请求模式,向IPsecVPN安全应用终端下发相应的安全业务策略,其中,IPsecVPN安全应用终端中还包含IPsecVPN安全业务策略适配器和加载器,用于通过IPsecVPN安全业务策略适配器和加载器完成策略在底层平台IPsec协议栈上的加载,以按照安全业务策略所定义的方式实现对于IPsecVPN^亍为的控制。所述系统还包括安全业务策略库,其中IPsecVPN安全业务策略服务器通过接口向安全业务策略库存取相应的安全业务策略。在请求/响应模式下向IPsecVPN安全业务策略服务器请求匹配的安全业务策略的请求包含根据属性信息初始化的安全策略信息。根据本发明的另一方面,提供了一种部署基于IP安全协议的虚拟专网业务的方法,所述系统包含IP安全协i义的虛拟专网(IPsecVPN)安全应用终端,用作安全业务策略在VPN节点的代理,包含SOAP客户端、SOAP服务器端和IPsecVPN安全业务策略适配器和加载器;和IPsecVPN安全业务策略服务器,包含业务策略服务器SOAP客户端和业务策略服务器SOAP服务器端,所述方法包括通过IPsecVPN安全应用终端中的SOAP客户端、SOAP服务器端,以及通过IPsecVPN安全业务策略服务器中的业务策略服务器SOAP客户端和业务策略服务器SOAP服务器端,IPsecVPN安全应用终端在请求/响应模式下代理IPsecVPN节点向IPsecVPN安全业务策略服务器请求匹配的安全业务策略,或在订购/通知模式下代理IPsecVPN节点向IPsecVPN安全业务策略服务器登记动态的安全业务策略;IPsecVPN安全业务策略月l务器根据IPsecVPN安全应用终端的不同请求模式,向IPsecVPN安全应用终端下发相应的安全业务策略;以及通过IPsecVPN安全业务策略适配器和加栽器完成策略在底层平台IPsec协议栈上的加载,以按照安全业务策略所定义的方式实现对于IPsecVPN^f亍为的控制。以下附图构成说明书的一部分并提供对本发明的进一步说明,说明本发明的实施例。图1为根据本发明的IPsecVPN安全业务策略与网络策略关系示意图2示出根据本发明的IPsecVPN安全业务策略系统框架结构;图3示出根据本发明的IPsecVPN安全业务策略功能部件的配置;图4示出根据本发明的IPsecVPN安全业务策略的控制流程。具体实施例方式运营商开展基于IPsec的VPN业务时首先需要定义相关的安全业务策略,主要包括IPsecVPN业务规则(Rule)、以及相应的动作(Action);然后在安全业务策略的基础上,在网络和设备层面完成策略在本地的具体实施。虽然IETF对于网络策略内容已经进行了较为详细的研究和分析,但面向于业务运营方面的业务策略部分目前还没有一个较为明确的解决方法。从运营商开展IPsecVPN业务的完整过程来看,安全策略系统作为管理和控制机制,实质上是分为安全业务策略域和安全网络策略域这样两个部分,参见图1所示,图1示出安全业务策略与网络策略关系示意图。安全业务策略域是与运营商业务开展直接相关,是以IPsecVPN业务属性出发定义安全业务策略信息,利用基于超文本传输协议(HTTP—HyperTextTransportProtocol)的简单对象访问协议(SOAP-SimpleObjectAccessProtocl)实现安全业务策略信息的分发控制。根据本发明的安全业务策略系统引入简单对象访问协议接口的web服务框架结构,其中建立基于扩展标记语言(XML-eXtansibleMarkupLanguage)的安全业务策略信息描述,更适合于IPsecVPN业务属性的定义;HTTP/SOAP更加适合于运营商业务系统与IPv6用户终端系统之间的交互,通过更为通用的HTTP方法实现安全业务策略的交互控制,与基于COPS/SNMP的网络策略域中策略的交互控制相比较而言更为简单可行;SOAP的会话状态机制以及业务动态发现有效解决安全业务策略控制中的状态管理和控制以及安全业务策略的动态交互控制;利用对等的web服务方式代替客户/服务器方式,可以灵活提供更丰富的交互方式。安全策略管理和控制往往与运营商网络和业务开展相关联,运营商需要定义相关业务开展中终端或者网关应该遵循的安全策略,在此基础上设备完成策略在本地的具体实施,因此策略定义通用、普遍的行为规则,设备层面的实施是一个具体、设备系统相关、能力相关的本地加载的过程。策略定义和实施的分离更符合运营商业务运营的需求,运营商通过定义针对业务层面的安全、服务质量、以及业务接入控制等策略,实现业务统一部署和运营,而且这些内容应该是和具体设备、网络实现技术相分离的;策略加栽和实施保证运营商策略在设备层面的实现。参见图l所示,根据本发明,在原有的网络策略的基础上,分离设计业务策略部分,通过业务策略的管理和控制实现对于各种基于通用操作系统的应用终端中各种业务的实现。本系统通过引入安全业务策略实现对IPsecVPN应用的管理和控制。图2示出根据本发明的IPsecVPN安全业务策略系统框架结构。如图2所示,根据本发明的安全业务策略系统包括策略控制单元,其包舍IPsecVPN安全业务策略服务器20;策略数据库和目录,其包含安全业务策略;和客户端,其包含IPsecVPN应用终端10。IPsecVPN安全业务策略服务器20通过接口INTF-D实现与后台策略数据库或者策略目录之间的交互。IPsecVPN安全业务策略服务器20访问策略数据库和目录中,产生要配置到客户端中的安全策略。IPsecVPN安全业务策略服务器20将产生的安全策略通过接口INTF-S下发到客户端的,IPsecVPN安全应用终端10。本发明中的接口INTF-S是在原有网络策略接口INTF-W(其采用TCP协议承载,通过COPS协议封装相应的策略信息(PIB-PolicyInformationBase)实现策略决策点和策略实施点之间的交互)基础上扩展的,在业务应用终端和业务策略服务器之间完成业务策略承载、业务策略信息编码以及消息交互功能。该接口采用基于HTTP/HTTPs作为承栽协议,利用SOAP消息封装安全策略信息,参见以下定义的详细的SOAP消息格式以及安全策略属性定义。<table>tableseeoriginaldocumentpage10</column></row><table>保护模式(TUNNEL|TRANSPORT)隧道网关地址DH組信息(1|2)ESP完整性算法(HMAC-SHA-1)ESP力口密算法(DES|3DES|AES)生命周期<IPSECVPNPOLICY><IDENTIFICATION><VPNID>*"*</VPNID><VPNGROUPID>"**</VPNGROUPID></IDENTIFICATION><CONDITION><SOURCEADDRESS>****:*****</SOURCEADDRESS><DESTINATIONADDRESS>***</DESTINATIONADDRESS><SOURCEPORT>****</SOURCEPORT><DESTINATIONPORT>"**</DESTINATIONPORT><PROTOCOL>****</PROTOCOL><DIRECTION>****</DIRECTION></CONDITION><ACTION><CATEGORY><APPLY>"**</APPLY><DISCARD>****</DISCARD><BYPASS>*"*</BYPASS></CATEGORY><IKEPROCEDURE><EXCHANGEMODE>**"</EXCHANGEMODE><CIPHERALG>****</CIPHERALG><HASHALG>****</HASHALG><AUTHALG>****</AUTHALG><IKEMAXLIFETIME>""</IKEMAXLIFETIME></IKEPROCEDURE><IPSECPROCEDURE><PROTECTIONMODE>""</PROTECTIOINMODE><PEERGATEWAY>****</PEERGATEWAY><ESPINTEGRITY>****</ESPINTEGRITY><ESPCIPHER>"**</ESPCIPHER><SALIFETIME>"**</SALIFETIME></IPSECRPOCEDURE></ACTION><EVENT><PORTGATING>XXXX</PORTGATING><GROUPMEMBERADD>XXXX</GROUPMEMBERADD>〈GROUPMEMBERDEl^XXXX々GROUPMEMBERDEL^<CALLEVENT>XXXX</CALLEVENT></EVENT></IPSECVPNPOLICY>原有面向网络设备的策略管理系统主要是通过策略方式实现网络层设备的配置管理,其中包括服务质量、用户接入访问控制等相关内容,但是随着宽带业务的不断丰富,如果通过策略控制的方式实现对于业务的管理和控制同样可以带来很大便捷,促进业务的开展。但是与网络策略机制不同的是,应用终端往往在处理能力、协议支持等方面要强于网络i殳备,因此可以通过引入WEB业务等方式简化原来网络策略机制的复杂性。如图3所示,图3示出根据本发明的IPsecVPN安全业务策略系统中的IPsecVPN安全业务策略服务器20和IPsecVPN安全应用终端10的配置。IPsecVPN安全应用终端(ApplicationEndsystem)10具有SOAP客户端101和SOAP服务器端102,以及IPsecVPN安全业务策略适配器和加栽器103。IPsecVPN安全业务策略服务器(PolicyServer)20包含策略服务器SOAP客户端(SOAPClient)201和业务策略服务器SOAP月良务器端(SOAPServer)202。IPsecVPN安全应用终端10承担安全业务策略在VPN节点的代理功能。IPsecVPN安全应用终端10具有两个方面的功能,其一建立与IPsecVPN安全业务策略服务器20之间的安全信令通道,作为安全业务策略信息的传输通道;其二代理IPsecVPN节点请求匹配的安全业务策略(在安全业务策略系统的请求/响应模式-Request/ResponseMode或者同步模式下,以下将详细描述),以及代理IPsecVPN节点向IPsecVPN安全业务策略服务器20登记动态的安全业务策略(在安全业务策略系统的订购/通知模式-Subscribe/NotifyMode或者异步模式下,以下将详细描述)。这两种工作模式分别通过SOAP客户端101和SOAP服务器端102加以实现,通过IPsecVPN安全业务策略适配器和加载器103实现对于VPN节点的IPsec协议栈的管理和控制。下面描述IPsecVPN安全应用终端10中的业务策略代理SOAP客户端(SOAPClient)101。IPsecVPN节点通过SOAP客户端101向IPsecVPN安全业务策略服务器20请求相应的安全业务策略。在安全业务策略系统的请求/响应才莫式,IPsecVPN安全业务策略服务器20根据VPN节点标识信息查询获取该节点的策略信息,并且将它作为响应发送回SOAP客户端101。在此模式下,安全业务策略的请求响应在代理和服务器之间是以同步方式进行的。下面描述IPsecVPN安全应用终端10中的安全业务策略代理SOAP服务器端(SOAPServer)102。IPsecVPN节点通过SOAP客户端101向IPsecVPN安全业务策略服务器20订购某些安全业务触发事件。当外部事件触发,IPsecVPN安全业务策略服务器20中SOAP客户端201根据订购事件的相应IPsecVPN节点信息,通过IPsecVPN节点中的安全业务策略代理SOAP服务器102通知相应节点。因此通过安全业务策略代理SOAP服务器102是以异步方式实现IPsecVPN节点订购安全业务策略信息的下发。IPsecVPN安全应用终端10中的业务策略适配器和加载器(PolicyAdaptor/Loader)103在功能上分为安全业务策略适配器和安全业务策略加载器。通过安全业务策略适配器实现以XML表达的安全业务策略在不同底层IPsec协议栈的策略数据之间的适配和转换;安全业务策略加载器完成策略数据在底层平台IPsec协议栈上的加载,最终按照安全业务策略所定义的方式实现对于IPsecVPN行为的控制。下面描述IPsecVPN业务策略服务器(PolicyServer)20。IPsecVPN安全业务策略服务器20主要实现两个方面的功能,其一是提供IPsecVPN管理员定义和配置VPN节点的安全业务策略;其二通过与安全业务策略代理IPsecVPN安全应用终端10之间的交互控制和管理VPN节点的IPsec协议栈,从而实现安全业务策略在VPN节点的实施。通过SOAP客户端101和SOAP服务器端102分别实现同步和异步两种工作方式。IPsecVPN安全业务策略服务器20中的安全业务策略服务器SOAP客户端(SOAPClient)201用于通过与安全业务策略代理IPsecVPN安全应用终端10中的SOAP服务器端102之间的交互实现安全业务策略代理IPsecVPN安全应用终端10订购的安全事件所触发的安全策略。IPsecVPN安全业务策略服务器20的SOAP客户端201以异步方式支持动态安全业务策略的处理。IPsecVPN安全业务策略服务器20中的业务策略服务器SOAP服务器端(SOAPServer)202用于通过与安全业务策略代理IPsecVPN安全应用终端10中的SOAP客户端101之间的交互实现安全业务策略请求和响应过程。IPsecVPN安全业务策略服务器20的SOAP服务器端202主要接受客户端的请求,以同步方式实现IPsecVPN管理员预定义的安全业务策略的下发。图4示出根据本发明的IPsecVPN安全业务策略的控制流程。参见图4所示,IPsecVPN安全应用终端10和IPsecVPN安全业务策略服务器20之间的IPsecVPN安全业务策略控制过程可以包括2个过程(1)同步方式下,IPsecVPN安全应用终端10与IPsecVPN安全业务策略服务器20之间,以请求/响应模式实现同步安全策略的下发,见工作流程A;(2)异步方式下,IPsecVPN安全应用终端10与IPsecVPN安全业务策略服务器20之间,以订购/通知模式实现异步安全策略的下发,见工作流程B。图4中所示,在请求/响应模式下的流程A中,IPsecVPN节点通过IPsecVPN安全应用终端10中的SOAP客户端101向IPsecVPN安全业务策略服务器20请求相应的安全业务策略。在步骤Al,IPsecVPN安全应用终端10中的SOAP客户端101向IPsecVPN安全业务策略服务器20中的SOAP服务器端202发送初始安全业务策略请求(IPsecPolicyRequest)。该请求包含根据例如身份等属性信息初始化的安全策略信息,这里身份属性信息可以是VPN标识或者VPN组标识等。在步骤A2,响应接收到该请求,SOAP服务器端202根据例如VPN节点标识信息等获取该节点的匹配的策略信息,并且将匹配的安全策略信息作为响应发送回SOAP客户端101。安全业务策略的请求响应在SOAP客户端101和SOAP服务器端202之间是以同步方式进行的。接着,在步骤A3,IPsecVPN安全应用终端10中的IPsecVPN安全业务策略适配器和加载器103完成策略数据在底层平台IPsec协议栈上的加载,以最终按照安全业务策略所定义的方式实现对于IPsecVPN行为的控制,由此实现安全策略的适配和加载过程。在订购/通知才莫式下的流考呈B中,IPsecVPN节点通过IPsecVPN安全应用终端10中的SOAP客户端101向IPsecVPN安全业务策略服务器20订购相应的安全业务策略,该订购过程提供安全策略异步实现才几制。在步骤B1中,IPsecVPN节点通过IPsecVPN安全应用终端10中的SOAP客户端101向IPsecVPN安全业务策略服务器20发送请求订购相关的安全事件(IPsecPolicySubscription),即当安全事件发生时,IPsecVPN安全业务策略服务器20向IPsecVPN安全应用终端10下发订购的安全业务策略。当IPsecVPN安全业务策略服务器20中相应的安全事件发生时,在步骤B2中,IPsecVPN安全业务策略服务器20中的SOAP服务器端202事件触发IPsecVPN安全业务策略服务器20中的SOAP客户端201。在步骤B3中,IPsecVPN安全业务策略服务器20中的SOAP客户端201将安全事件相关联的安全业务策略通知IPsecVPN应用终端10中的SOAP服务器端102(IPsecPolicyNotification),即将IPsecVPN节点的安全业务策略动态下发给应用终端10。在步骤B4中,IPsecVPN安全应用终端10中的IPsecVPN安全业务策略适配器和加栽器103完成策略数据在底层平台IPsec协议栈上的加栽,以最终按照安全业务策略所定义的方式实现对于IPsecVPN行为的控制,由此实现安全策略的适配和加栽过程。在流程A和流程B中,IPsecVPN安全业务策略服务器20统一通过接口INTF-D向安全业务策略库或者目录存取相应的安全业务策略项目。以下具体描述上述的过程A和过程B。根据前面描述的IPsecVPN业务属性和安全业务策略的定义,下面给出安全业务策略管理和控制流程及主要的SOAP消息(1)IPsecVPN安全应用终端10请求安全业务策略方法getStaticPolicyItem、getStatkPolicyltemResponse参数<VPNID>****</VPNID><VPNGROUPID>**"</VPNGROUPID>SOAP消息初始化静态策略请求<xmlversion=,1.0,encoding=,UTF-8,?><SOAP-ENV:Envelopexmlns:SOAP-ENV=,,http:〃schemas.xmlsoap.org/soap/envelope/"xmlns:xsi=http:〃w\vw.w3.org/2001/X!VrLSchema-instancexmlns:xsd=http:〃www.w3.org/2001/XMLSchema><SOAP-ENV:Body><nsl:getStaticPolicyItemxmlns:nsl=,,urn:PolicyAgent:StaticPolicy"SOAP-ENV:encodingStvle=,,htti>:〃schemas.xmlsoaD.org/soap/encoding〃,><VPNID>XXXX</VPNID><VPNGROUPID>XXXX</VPNGROUPID></nsl:getStaticPolicyItem></SOAP-ENV:Body></SOAP-ENV:Envelope>安全业务策略请求响应<xmlversion=,1.0,encoding=,UTF-8,?><SOAP-ENV:Envelopexmlns:SOAP-ENV=,,http:〃schemas.xmlsoap.org/soap/envelope/,,xmlns:xsi=http:〃www.w3.or2/2001/XMLSchema-instancexmlns:xsd=http:〃www.w3.org/2001/XMLSchema><SOAP-ENV:Body><nsl:getStaticPolicyltemResponsexmlns:nsl=,,urn:PolicyAgent:StaticPolkySOAP-ENV:encodingStYle="http:〃schemas.xmlsoap.org/soap/encoding/"><return><VPNNODEVPNID=""><CATEGORY>XXXX</CATEGORY><IKEPROCEDURE><EXCHANGEMODE>****</EXCHANGEMODE><CIPHERALG>*"*</CIPHERALG><HASHALG>*"*</HASHALG><AUTHALG>"**</AUTHALG><IKEMAXLIFETIME卢"</IKEMAXLIFETIME></IKEPROCEDURE><IPSECPROCEDURE><PROTECTIONMODE>**"</PROTECTIOINMODE><PEERGATEWAY>****</PEERGATEWAY><ESPINTEGRITY>"**</ESPINTEGRITY><ESPCIPHER>**"</ESPCIPHER><SALIFETIME>****</SALIFETIME></IPSECRPOCEDURE></VPNNODEVPNID=,,XXXX,,></nsl:getStaticPolicyItemResponse></SOAP-ENV:Body></SOAP-ENV:Envelope>(2)IPsecVPN安全应用终端IO订购安全事件过程方法subscribeEvent参数<Events><EventItem>****</EventItem><EventItem>****</Eventitem></Events>SOAP消息事件订购<xmlversion='1.0'encoding='UTF-8,?><SOAP-ENV:Envelopexmlns:SOAP-ENV=,,http:〃schemas.xmlsoap.org/soap/envelope〃,xmlns:xsi=http:〃www.w3.org/2001/XMLSchema-instancexmlns:xsd=http:〃www.w3.org/2001/XMLSchema><SOAP-ENV:Body><nsl:subcribeEventxmlns:nsl=,,urn:PolicyAgent:PolicyEvent"SOAP-ENV:encodingStyle="httiK〃schemas.xmlsoap.org/soap/encodhig/"><Evcnts><EventItem>**"</Event"em><EventItem>*"*</Eventitem></Evcnts></nsl:subscribeEvent></SOAP-ENV:Body></SOAP-ENV:Envelope>(3)安全业务策略服务器事件通知过程方法NotifyEventSOAP消息事件通知<xmlversion=,1.0,encoding='UTF-8,?><SOAP-ENV:Envelopexmlns:SOAP-ENV=,,http:〃schemas.xmlsoap.org/soap/envelope/,,xmlns:xsi=http:〃www.w3.org/2001/XMLSchema-instaticexmlns:xsd=http:〃www.w3.org/2001/XMLScheina><SOAP-ENV:Body><nsl:NotifyEventxmlns:nsl="urn:PolicyServer:RegisteredEvent"SOAP-ENV:encodingStyle=,,http:〃schemas.xmlsoai>.org/soap/encoding〃,><rcturii><IPsecVPNPolicy><£\,6111>头头头A</Event></IPsecVPNPolicy></return></nsl:subscribeEvent></SOAP-ENV:Body></SOAP-ENV:Envelope>虽然本发明的详细说明是针对示范实例的,但对于本领域技术人员来说,这些实施例的各种修改形式以及替换形式都是可设想的。因此,本发明涵盖了所有在所附权利要求明确的本发明专利保护范围内的修改形式和替换形式。权利要求1、一种部署基于IP安全协议的虚拟专网业务的系统,所述系统包括IP安全协议的虚拟专网(IPsecVPN)安全应用终端,用作安全业务策略在VPN节点的代理,包含SOAP客户端和SOAP服务器端;和IPsecVPN安全业务策略服务器,包含业务策略服务器SOAP客户端和业务策略服务器SOAP服务器端;其中通过IPsecVPN安全应用终端中的SOAP客户端、SOAP服务器端,以及通过IPsecVPN安全业务策略服务器中的业务策略服务器SOAP客户端和业务策略服务器SOAP服务器端,IPsecVPN安全应用终端在请求/响应模式下代理IPsecVPN节点向IPsecVPN安全业务策略服务器请求匹配的安全业务策略,或在订购/通知模式下代理IPsecVPN节点向IPsecVPN安全业务策略服务器登记动态的安全业务策略,IPsecVPN安全业务策略服务器根据IPsecVPN安全应用终端的不同请求模式,向IPsecVPN安全应用终端下发相应的安全业务策略,其中,IPsecVPN安全应用终端中还包含IPsecVPN安全业务策略适配器和加载器,用于通过IPsecVPN安全业务策略适配器和加载器完成策略在底层平台IPsec协议栈上的加载,以按照安全业务策略所定义的方式实现对于IPsecVPN行为的控制。2.根据权利要求l的系统,所述系统还包括安全业务策略库,其中IPsecVPN安全业务策略服务器通过接口向安全业务策略库存取相应的安全业务策略。3.根据权利要求1的系统,其中在请求/响应模式下向IPsecVPN安全业务策略服务器请求匹配的安全业务策略的请求包含根据属性信息初始化的安全策略信息。4.根据权利要求3的系统,其中身份属性信息是VPN标识或VPN组标识。5.一种部署基于IP安全协议的虚拟专网业务的方法,所述系统包含IP安全协议的虚拟专网(IPsecVPN)安全应用终端,用作安全业务策略在VPN节点的代理,包含SOAP客户端、SOAP服务器端和IPsecVPN安全业务策略适配器和加载器;和IPsecVPN安全业务策略服务器,包含业务策略服务器SOAP客户端和业务策略服务器SOAP月l务器端,所述方法包4舌通过IPsecVPN安全应用终端中的SOAP客户端、SOAP服务器端,以及通过IPsecVPN安全业务策略服务器中的业务策略服务器SOAP客户端和业务策略服务器SOAP服务器端,IPsecVPN安全应用终端在请求/响应模式下代理IPsecVPN节点向IPsecVPN安全业务策略服务器请求匹配的安全业务策略,或在订购/通知模式下代理IPsecVPN节点向IPsecVPN安全业务策略服务器登记动态的安全业务策略;IPsecVPN安全业务策略服务器根据IPsecVPN安全应用终端的不同请求模式,向IPsecVPN安全应用终端下发相应的安全业务策略;以及通过IPsecVPN安全业务策略适配器和加载器完成策略在底层平台IPsec协议栈上的加载,以按照安全业务策略所定义的方式实现对于IPsecVPN行为的控制。6.根据权利要求l的方法,其中所述系统还包括安全业务策略库,其中IPsecVPN安全业务策略服务器通过接口向安全业务策略库存取相应的安全业务策略。7.根据权利要求l的方法,其中在请求/响应模式下向IPsecVPN安全业务策略服务器请求匹配的安全业务策略的请求包含根据属性信息初始化的安全策略信息。8.根据权利要求7的方法,其中身份属性信息是VPN标识或VPN组标识。全文摘要一种部署基于IPsecVPN业务的系统和方法,所述系统包含IPsecVPN安全应用终端和IPsecVPN安全业务策略服务器。所述方法包括IPsecVPN安全应用终端在请求/响应模式下代理IPsecVPN节点向IPsecVPN安全业务策略服务器请求匹配的安全业务策略,或在订购/通知模式下代理IPsecVPN节点向IPsecVPN安全业务策略服务器登记动态的安全业务策略;IPsecVPN安全业务策略服务器根据IPsecVPN安全应用终端的不同请求模式,向IPsecVPN安全应用终端下发相应的安全业务策略;以及通过IPsecVPN安全业务策略适配器和加载器完成策略在底层平台IPsec协议栈上的加载。文档编号H04L12/46GK101193035SQ20061016250公开日2008年6月4日申请日期2006年11月24日优先权日2006年11月24日发明者明冯,凡史,广小明,张浩峰,玮王,王和宇,解冲锋申请人:中国电信股份有限公司