IPv6环境下IPSecVPN通信业务处理方法与系统的制作方法

专利名称：IPv6 环境下IPSec VPN 通信业务处理方法与系统的制作方法
技术领域：
本发明涉及数据通信领域中网络安全技术，尤其是一种IPv6环境下IPSec VPN通信业务处理方法与系统。
背景技术：
互联网协议安全(Internet Protocol Security,以下简称:IPSec)协议是一种开放标准的框架结构，特定的通信方之间在IP网络层通过加密和数据摘要(hash)等手段，来保证数据包在互联网(Internet)上传输时的私密性、完整性和真实性。IPSec协议提供两个安全协议，包括认证头(Authentication Header,以下简称:AH)和封装安全净载(Encapsulation Safety Payload,以下简称:ESP)头。其中,AH可实现数据认证、数据完整性，可以有效防止重放(Replay)攻击。ESP头可提供数据机密性、数据认证、数据完整性，实现对已封装有效载荷的重放攻击的保护。IPSec协议支持两种封装格式,包括传输模式和隧道模式。其中，传输模式不改变原有的IP包头，通常用于主机间端对端的安全通信；隧道模式增加新的IP头，通常用于在安全网关间建立一条安全的虚拟通信隧道。现有IPSec虚拟专用网(Virtual PrivateNetwork,以下简称:VPN)通信通常通过IPSec VPN用户与目标客户VPN网关之间建立VPN隧道实现。由于IPSec VPN隧道加密传输，即使在中间网络节点能捕获IPSec流量，也无法对其内容解密从而实现监管。而目标客户VPN网关位于用户侧，运营商无法对其控制而实现监管。因此目前在互联网协议版本4(IPv4)和互联网协议版本6 (IPv6)环境下对于IPSecVPN通信监管都是一个难点。IPv6数据包由IPv6包头、扩展包头和上层协议数据单元三部分组成，如图1所示，为IPv6数据包的数据报文格式示意图。IPv6在扩展包头中实现IPSec报头。存在部分IPSec VPN通信不需监管的需求，如何识别这些通信流量并为其提供快速IPSec通道也是IPSec VPN通信监管中要解决的问题。

发明内容
本发明实施例所要解决的技术问题是:提供一种IPv6环境下IPSec VPN通信业务处理方法与系统，以实现IPv6环境下IPSec VPN流量的监管，同时提升监控效率。本发明实施例提供的一种IPv6环境下IPSec VPN通信业务处理方法，包括:接入设备接收客户端发送的IPv6数据包，根据该IPv6数据包中源IPv6地址中前64位路由前缀中的静态路由标识信息，识别所述源IPv6地址是否为静态地址；若所述源IPv6地址是静态地址，接入设备根据所述前64位路由前缀中的接入类型标识，识别所述IPv6数据包是否为互联网协议安全虚拟专用网IPSec VPN数据包；若所述IPv6数据包为IPSec VPN数据包，则对所述源IPv6地址中后64位中的认证信息进行认证；若认证不通过，则丢弃该IPSec VPN数据包；若认证通过，则根据IPSec VPN数据包中目的地址直接转发给统一接入IPSec VPN网关或其它目标VPN网关；
若所述源IPv6地址如果是非静态地址，接入设备根据所述IPv6数据包的扩展包头中是否含有认证头AH或者封装安全净载ESP头，识别所述IPv6数据包是否为IPSec VPN数据包；若所述IPv6数据包为IPSec VPN数据包，则识别所述IPSec VPN数据包中的目的地址是否为统一接入IPSec VPN网关地址；若不是统一接入IPSec VPN网关地址，则丢弃所述IPSec VPN数据包；若是统一接入IPSec VPN网关地址，则将所述IPSec VPN数据包转发给统一接入IPSec VPN网关；
统一接入IPSec VPN网关接收到IPSec VPN数据包后，将所述源IPv6地址发送给认证服务器；
所述认证服务器识别所述源IPv6地址是否存在于预先存储的静态地址客户端的地址白名单中，并向所述统一接入IPSec VPN网关返回识别结果；
若所述源IPv6地址存在于预先存储的静态地址客户端的地址白名单中，统一接入IPSec VPN网关根据所述目的地址对所述IPSec VPN数据包进行转发；
若所述源IPv6地址不存在于预先存储的静态地址客户端的地址白名单中，统一接入IPSec VPN网关请求内容检测系统对所述IPSec VPN数据包内容进行安全检测，并在所述IPSec VPN数据包内容通过安全检测后，根据所述目的地址对所述IPSec VPN数据包进行转发。
本发明实施例提供的一种IPv6环境下IPSec VPN通信业务处理系统，包括客户端、接入设备、统一接入IPSec VPN网关、认证服务器与内容检测系统；其中:
客户端，用于生成并向接入设备发送IPv6数据包；
接入设备，用于接收客户端发送的IPv6数据包，根据该IPv6数据包中源IPv6地址中前64位路由前缀中的静态路由标识信息，识别所述源IPv6地址是否为静态地址；若所述源IPv6地址是静态地址，根据所述前64位路由前缀中的接入类型标识，识别所述IPv6数据包是否为IPSec VPN数据包；若所述IPv6数据包为IPSec VPN数据包，则对所述源IPv6地址中后64位中的认证信息进行认证；若认证不通过，则丢弃该IPSec VPN数据包；若认证通过，则根据IPSec VPN数据包中目的地址直接转发给统一接入IPSec VPN网关或其它目标VPN网关；
若所述源IPv6地址是非静态地址，根据所述IPv6数据包的扩展包头中是否含有AH或者ESP头，识别所述IPv6数据包是否为IPSec VPN数据包；若所述IPv6数据包为IPSec VPN数据包，则识别所述IPSec VPN数据包中的目的地址是否为统一接入IPSec VPN网关地址；若不是统一接入IPSec VPN网关地址，则丢弃所述IPSec VPN数据包；若是统一接入IPSec VPN网关地址，则将所述IPSec VPN数据包转发给统一接入IPSec VPN网关；
统一接入IPSec VPN网关，用于在接收到接入设备发送的IPSec VPN数据包后，将所述源IPv6地址发送给认证服务器；以及根据认证服务器返回的识别结果，若所述源IPv6地址存在于预先存储的静态地址客户端的地址白名单中，根据所述目的地址对所述IPSecVPN数据包进行转发；若所述源IPv6地址不存在于预先存储的静态地址客户端的地址白名单中，请求内容检测系统对所述IPSec VPN数据包内容进行安全检测，并在所述IPSec VPN数据包内容通过安全检测后，根据所述目的地址对所述IPSec VPN数据包进行转发；
认证服务器，用于识别统一接入IPSec VPN网关发送的所述源IPv6地址是否存在于预先存储的静态地址客户端的地址白名单中，并向所述统一接入IPSec VPN网关返回识别结果；
内容检测系统，用于对统一接入IPSec VPN网关发送的所述IPSec VPN数据包内容进行安全检测，并向统一接入IPSec VPN网关返回检测结果。
基于本发明上述实施例提供的IPv6环境下IPSec VPN通信业务处理方法与系统，对IPv6环境下IPSec VPN通信流程进行了一定的改造，合理规划IPv6地址，基于IPv6地址中设置的静态路由标识信息有效识别用户，通过对IPv6环境下IPSec VPN通信流量的识别和控制，实现了对IPSec VPN客户的差异化信息监管能力，防止用户绕过信息监管，从而实现IPv6环境下IPSec VPN通信流量的监管，并且提升了监控效率，为静态地址客户端用户建立快速通道。
下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。


为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
图1为IPv6数据包的数据报文格式示意图。
图2为IPv6全球单播地址的一个格式示意图。
图3为本发明IPv6环境下IPSec VPN通信业务处理方法一个实施例的流程图。
图4为本发明实施例中静态IPv6地址的一个格式示意图。
图5为本发明实施例中非静态IPv6地址的一个格式示意图。
图6为本发明实施例中建立IPSec隧道一个实施例的流程图。
图7为本发明IPv6环境下IPSec VPN通信业务处理系统一个实施例的结构示意图。
图8为本发明IPv6环境下IPSec VPN通信业务处理系统的一个典型部署示例图。
具体实施方式
下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
IPv6地址长度扩展至128位，IPv6前缀的表示方式类似于IPv4地址中的无分类域间路由(Classless Inter-Domain Routing,以下简称:CIDR)机制,一个IPv6地址前缀表示为:IPv6地址/前缀长度。在实际使用中，一个终端的IPv6公有地址通常都是64位前缀的，后64位是接口标识符，用于标识一个特定前缀的子网内的唯一主机。如图2所示，为IPv6全球单播地址的一个格式示意图。IPv6全球单播地址统一前缀为二进制格式:001/3(即:格式前缀/前缀长度)。当前IPv6全球单播地址包含以下三个字段:全球路由前缀是分配给一个站点的，一般具有一定的层次结构；子网标识(ID)是此站点内的一个子网标识符；接口 ID是子网内的接口标识符，用于标识子网内的唯一的网络接口。RFC4291协议规定，除了以OOO开头的，例如内嵌IPv4地址的IPv6地址外，所有的IPv6全球单播地址接口 ID必须是64位，并且是修正的EU1-64的格式。
本发明实施例，对现网IPSec VPN隧道建立流程进行一定改造，有效控制IPSecVPN流量流经采用可控算法的统一接入IPSec VPN网关，并通过对IPv6地址的合理规划，利用地址内置的静态路由标识信息有效识别静态地址用户和验证IPSec VPN流量，实现IPv6环境下对于IPSec VPN通信的安全监管，同时将在实现IPv6环境下IPSec VPN流量监管的同时提升监控效率，从而解决目前对于隧道模式下IPSec VPN加密通信无法监管的难题，同时提高安全监管效率，为特定用户建立快速通道。
图3为本发明IPv6环境下IPSec VPN通信业务处理方法一个实施例的流程图。如图3所示，该实施例的IPv6环境下IPSec VPN通信业务处理方法包括:
101，接入设备接收客户端发送的IPv6数据包，根据该IPv6数据包中源IPv6地址中前64位路由前缀中的静态路由标识信息，识别源IPv6地址是否为静态地址。若源IPv6地址是静态地址，执行102的操作。否则，若源IPv6地址如果是非静态地址，执行106的操作。
102，接入设备根据前64位路由前缀中的接入类型标识，识别IPv6数据包是否为互联网协议安全虚拟专用网IPSec VPN数据包。若IPv6数据包为IPSec VPN数据包，则执行103的操作。否则，若该IPv6数据包不是IPSec VPN数据包，执行114的操作。
103，接入设备对源IPv6地址中后64位中的认证信息进行认证。若认证不通过，则执行104的操作。否则，若认证通过，执行105的操作。
104，接入设备丢弃该IPSec VPN数据包。之后，不执行本发明实施例的后续流程。
105，接入设备根据该IPSec VPN数据包中目的地址直接转发给统一接入IPSecVPN网关或其它目标VPN网关。若转发给统一接入IPSec VPN网关，执行109的操作。
106，接入设备根据IPv6数据包的扩展包头中是否含有认证头AH或者封装安全净载ESP头，识别IPv6数据包是否为IPSec VPN数据包。若IPv6数据包为IPSec VPN数据包，则执行107的操作。否则，若该IPv6数据包不是IPSec VPN数据包，执行114的操作。
107，接入设备识别IPSec VPN数据包中的目的地址是否为统一接入IPSec VPN网关地址。若不是统一接入IPSec VPN网关地址，则执行104的操作。否则，若是统一接入IPSec VPN网关地址，则执行108的操作。
108，接入网关将IPSec VPN数据包转发给统一接入IPSec VPN网关。
109，统一接入IPSec VPN网关接收到IPSec VPN数据包后，将源IPv6地址发送给认证服务器。
110，认证服务器识别源IPv6地址是否存在于预先存储的静态地址客户端的地址白名单中，并向统一接入IPSec VPN网关返回识别结果。
111，统一接入IPSec VPN网关根据认证服务器返回的识别结果，识别源IPv6地址是否存在于预先存储的静态地址客户端的地址白名单中。若源IPv6地址存在于预先存储的静态地址客户端的地址白名单中，执行112的操作。否则，若源IPv6地址不存在于预先存储的静态地址客户端的地址白名单中，执行113的操作。
112，统一接入IPSec VPN网关根据目的地址对IPSec VPN数据包进行转发。
113，统一接入IPSec VPN网关请求内容检测系统对IPSec VPN数据包内容进行安全检测，并在IPSec VPN数据包内容通过安全检测后，根据目的地址对IPSec VPN数据包进行转发。之后，不执行本发明实施例的后续流程。
114，接入设备根据IPv6数据包中的目的地址，直接对该IPv6数据包进行转发。
本发明上述实施例提供的IPv6环境下IPSec VPN通信业务处理方法，对IPv6环境下IPSec VPN通信流程进行了一定的改造，合理规划IPv6地址，基于IPv6地址中设置的静态路由标识信息有效识别用户，通过对IPv6环境下IPSec VPN通信流量的识别和控制，实现了对IPSec VPN客户的差异化信息监管能力，防止用户绕过信息监管，从而实现IPv6环境下IPSec VPN通信流量的监管，并且提升了监控效率，为静态地址客户端用户建立快速通道。
作为本发明的一个具体实施例，图3所示实施例的步骤112中，统一接入IPSecVPN网关请求内容检测系统对IPSec VPN数据包内容进行安全检测具体可以通过如下方式实现:
统一接入IPSec VPN网关根据扩展包头中包括AH或者ESP头，识别IPSec VPN数据包为AH还是ESP封装；
若IPSec VPN数据包为AH封装，统一接入IPSec VPN网关对IPSec VPN数据包解封装后发送给内容检测系统，由内容检测系统对IPSec VPN数据包内容进行安全检测；
若IPSec VPN数据包为ESP封装，统一接入IPSec VPN网关对IPSec VPN数据包进行解封装，并利用在隧道建立阶段与客户端协商的密钥对IPSec VPN数据包中的数据进行解密，将解密得到的内容数据发送给内容检测系统，由内容检测系统对IPSec VPN数据包内容进行安全检测。
本发明实施例还提供了一种IPv6地址规划设计的方法，通过合理的设计，在IPv6地址中能够插入一定的标识信息。图4为本发明实施例中静态IPv6地址的一个格式示意图。图5为本发明实施例中非静态IPv6地址的一个格式示意图。参见图4与图5，在IPv6地址中前64位路由前缀中包括服务质量(QoS)等级信息，特定QoS等级信息为静态路由标识信息，特定QoS等级信息以外的其它QoS等级信息为非静态路由标识信息。例如，预先设置QoS等级为I的IPv6地址为静态IPv6地址，则QoS等级为I以外其它的QoS等级的IPv6地址为非静态IPv6地址。示例性地，可以设定QoS等级信息位于所述前64位路由前缀中的最后3位。另外，可以设定接入类型标识位于前64位路由前缀中最后7位中的前4位，认证信息位于后64位路由前缀中的最后16位。
参见图4，在IPv6地址前64位路由前缀中用4bit表示接入类型，标识出固网接入、移动网络接入、公共无线局域网(Wireless Local Area Network,以下简称:WLAN)接入、公共VPN接入、IPSec VPN接入等接入类型。用3bit表示QoS等级信息，区分用户的QoS等级，将静态地址赋予某一特定QoS等级接入。
在IPv6地址的后64位中用16bit表示认证信息,该认证信息为地址前112位地址的哈希值，认证信息的生成函数如下所示:
认证信息=Sec(Hash (IPv6 地址前 112 位)，Kpri)
其中,Kpri为客户端的私钥,通过hash函数计算IPv6地址前112位的哈希值,并对此哈希值用客户端的私钥进行加密，得到16位的认证信息，构成IPv6地址的后16位。
对认证信息进行认证的函数如下所示:
Sec (Hash (IPv6 地址前 112 位),Kpub) = 认证信息
其中，Kpub为客户端的公钥，接入设备拥有客户端的公钥，其对接收到的静态地址的IPSec VPN流量，计算地址的前112位的哈希值，并用客户端的公钥解密，同时读取地址中的认证信息，将之与解密后的信息进行比对。如果比对成功，则认证通过；如两个值不一致，则认证不通过。
通过对IPv6地址中认证信息的认证，可有效保证地址的完整性和不可抵赖性，从而防止用户假冒静态地址绕过信息监管。
参见图5，其中在IPv6地址前64位路由前缀中用4bit表示接入类型，标识出固网接入、移动网络接入、公共WLAN接入、公共VPN接入、IPSec VPN接入等接入类型。用3bit表示QoS等级信息，区分用户的QoS等级，除静态地址的QoS等级之外的均视为非静态地址。
图6为本发明实施例中建立IPSec隧道一个实施例的流程图。在图3所示实施例的流程之前，先建立IPSec隧道，其包括:
201,客户端向接入设备发起接入请求数据包。
202，接入设备接收到接入请求数据包后，根据该接入请求数据包中源IPv6地址中前64位路由前缀中的静态路由标识信息，识别接入请求数据包中源IPv6地址是否为静态地址。若为静态地址，执行203的操作。否则，若为非静态地址，执行210的操作。
203，接入设备根据接入请求数据包中源IPv6地址中前64位路由前缀中的接入类型标识，识别接入请求是否为IPSec VPN接入请求。若不是IPSec VPN接入，则执行204的操作。若为IPSec VPN 接入请求，执行205的操作。
204，接入设备根据该接入请求数据包中目的地址直接转发接入请求数据包。之后，不执行本发明实施例的后续流程。
205，接入设备对接入请求数据包中源IPv6地址中后64位中的认证信息进行认证。若认证不通过，则执行206的操作。若认证通过，执行207的操作。
206，接入设备丢弃该IPSec VPN接入请求数据包。之后，不执行本发明实施例的后续流程。
207，接入设备识别接入请求数据包中目的地址是否为统一接入IPSec VPN网关地址。若接入请求数据包中目的地址为统一接入IPSec VPN网关地址，则执行208的操作。若接入请求数据包中目的地址为其它目标VPN网关地址,执行209的操作。
208，接入设备与统一接入IPSec VPN网关建立IPSec隧道，由统一接入IPSec VPN网关进一步与目标VPN网关建立IPSec隧道。之后，不执行本发明实施例的后续流程。
209，接入设备直接与该其它目标VPN网关建立IPSec隧道。之后，不执行本发明实施例的后续流程。
210，接入设备根据接入请求数据包的扩展包头中是否含有AH或者ESP头，识别接入是否为IPSec VPN接入请求。若不是IPSec VPN接入，则执行204的操作。若为IPSecVPN接入请求，执行211的操作。
211，接入设备识别接入请求数据包中目的地址是否为统一接入IPSec VPN网关地址。若不是统一接入IPSec VPN网关地址，则执行206的操作。若为统一接入IPSec VPN网关地址，则执行208的操作。
作为本发明的另一个具体实施例，本发明上述实施例的客户端为非静态地址客户端时，在201中客户端向接入设备发起接入请求数据包之前，还可以包括:
非静态地址客户端向接入设备发起网络接入请求，该网络接入请求中包括该非静态地址客户端的接入认证信息，例如:用户名、密码；
接入设备将接入认证信息转发给认证服务器进行认证；
如认证通过，接入设备构造IPv6地址的前64位路由前缀并发送给非静态地址客户端，构造的IPv6地址前64位路由前缀中设置有非静态路由标识信息；
非静态地址客户端将接入设备发送的IPv6地址前64位路由前缀和自己的接口标识ID结合配置成为其源IPv6地址。
图7为本发明IPv6环境下IPSec VPN通信业务处理系统一个实施例的结构示意图。该实施例1Pv6环境下IPSec VPN通信业务处理系统可用于实现本发明上述各IPv6环境下IPSec VPN通信业务处理方法实施例流程。如图7所示，其包括客户端、接入设备、统一接入IPSec VPN网关、认证服务器与内容检测系统。其中:
客户端，用于生成并向接入设备发送IPv6数据包。客户端通常为需进行IPSecVPN接入的用户设备，支持IPv6协议。
接入设备，用于接收客户端发送的IPv6数据包，根据该IPv6数据包中源IPv6地址中前64位路由前缀中的静态路由标识信息，识别源IPv6地址是否为静态地址；若源IPv6地址是静态地址，根据前64位路由前缀中的接入类型标识，识别该IPv6数据包是否为IPSec VPN数据包；若该IPv6数据包为IPSec VPN数据包，则对源IPv6地址中后64位中的认证信息进行认证；若认证不通过，则丢弃该IPSec VPN数据包；若认证通过，则根据IPSecVPN数据包中目的地址直接转发给统一接入IPSec VPN网关或其它目标VPN网关。若源IPv6地址是非静态地址，根据该IPv6数据包的扩展包头中是否含有AH或者ESP头，识别IPv6数据包是否为IPSec VPN数据包；若IPv6数据包为IPSec VPN数据包，则识别IPSecVPN数据包中的目的地址是否为统一接入IPSec VPN网关地址；若不是统一接入IPSec VPN网关地址，则丢弃该IPSec VPN数据包；若是统一接入IPSec VPN网关地址，则将该IPSecVPN数据包转发给统一接入IPSec VPN网关。该接入设备通常为负责客户端接入的设备，如接入路由器、宽带接入服务器(Broadband Remote Access Server,以下简称:BRAS)等。
接入设备能区分静态地址客户端和非静态地址客户端发出的IPSec VPN流量。对于静态地址客户端的IPSec VPN流量，接入设备能对IPv6地址后64位中的认证信息进行验证，防止非法用户绕过信息监管，并对认证通过的流量进行转发。对于非静态地址客户端的IPSec VPN流量，接入设备负责将用户认证信息发送给认证服务器进行验证，并为客户端分配IPv6地址，同时根据其目的地址严格控制IPSec VPN流量经过统一 IPSec VPN接入设备接受监管。
统一接入IPSec VPN网关，用于在接收到接入设备发送的IPSec VPN数据包后，将源IPv6地址发送给认证服务器；以及根据认证服务器返回的识别结果，若源IPv6地址存在于预先存储的静态地址客户端的地址白名单中，根据目的地址对该IPSec VPN数据包进行转发；若源IPv6地址不存在于预先存储的静态地址客户端的地址白名单中，请求内容检测系统对IPSec VPN数据包内容进行安全检测，并在该IPSec VPN数据包内容通过安全检测后，根据目的地址对该IPSec VPN数据包进行转发。该统一接入IPSec VPN网关通常为IPv6 IPSec VPN 网关。
认证服务器，用于识别统一接入IPSec VPN网关发送的源IPv6地址是否存在于预先存储的静态地址客户端的地址白名单中，并向统一接入IPSec VPN网关返回识别结果。该认证服务器通常为验证用户接入的设备，能够对客户端认证信息进行验证并给予访问授权，同时能识别白名单用户，授权其建立快速IPSec VPN通道。
内容检测系统，用于对统一接入IPSec VPN网关发送的IPSec VPN数据包内容进行安全检测，检查其中是否有不良信息和非法信息，并向统一接入IPSec VPN网关返回检测结果。
目标VPN网关通常位于客户端发起IPSec VPN通信的对端网络，终结IPSec VPN流量，从而建立完整的IPSec VPN通信通道。
本发明上述实施例提供的IPv6环境下IPSec VPN通信业务处理系统，对IPv6环境下IPSec VPN通信流程进行了一定的改造，合理规划IPv6地址，基于IPv6地址中设置的静态路由标识信息有效识别用户，通过对IPv6环境下IPSec VPN通信流量的识别和控制，实现了对IPSec VPN客户的差异化信息监管能力，防止用户绕过信息监管，从而实现IPv6环境下IPSec VPN通信流量的监管，并且提升了监控效率，为静态地址客户端用户建立快速通道。
根据本发明的一个具体示例而非限制，在图7所示的实施例中，统一接入IPSecVPN网关请求内容检测系统对IPSec VPN数据包内容进行安全检测时，具体可以根据扩展包头中包括AH或者ESP头，识别IPSec VPN数据包为AH还是ESP封装；若IPSec VPN数据包为AH封装，对IPSec VPN数据包解封装后发送给内容检测系统；若IPSec VPN数据包为ESP封装，对IPSec VPN数据包进行解封装，并利用在隧道建立阶段与客户端协商的密钥对IPSec VPN数据包中的数据进行解密，将解密得到的内容数据发送给内容检测系统。相应地，内容检测系统，具体对统一接入IPSec VPN网关发送的IPSec VPN数据包内容进行安全检测。
另外，示例性地，接入设备还可用于在IPv6数据包不是IPSec VPN数据包时，根据IPv6数据包中的目的地址，直接对IPv6数据包进行转发。
根据本发明的一个具体示例而非限制，本发明上述实施例的IPv6环境下IPSecVPN通信业务处理系统中，客户端，还可用于向接入设备发起接入请求数据包。相应地，接入设备，还可以用于在接收到客户端发送的接入请求数据包后，根据该接入请求数据包中源IPv6地址中前64位路由前缀中的静态路由标识信息，识别接入请求数据包中源IPv6地址是否为静态地址。若为静态地址，接入根据接入请求数据包中源IPv6地址中前64位路由前缀中的接入类型标识，识别接入请求是否为IPSec VPN接入请求；若不是IPSec VPN接入，则根据该接入请求数据包中目的地址直接转发接入请求数据包；若为IPSec VPN接入请求，则对接入请求数据包中源IPv6地址中后64位中的认证信息进行认证；若认证不通过，则丢弃该IPSec VPN接入请求数据包；若认证通过，则识别接入请求数据包中目的地址是否为统一接入IPSec VPN网关地址；若接入请求数据包中目的地址为统一接入IPSecVPN网关地址，则与统一接入IPSec VPN网关建立IPSec隧道；若接入请求数据包中目的地址为其它目标VPN网关地址，则直接与该其它目标VPN网关建立IPSec隧道。若为非静态地址，接入根据接入请求数据包的扩展包头中是否含有AH或者ESP头，识别接入是否为IPSecVPN接入请求；若不是IPSec VPN接入，则根据该接入请求数据包中目的地址直接转发接入请求数据包；若为IPSec VPN接入请求，识别接入请求数据包中目的地址是否为统一接入IPSec VPN网关地址；若不是统一接入IPSec VPN网关地址，则丢弃该IPSec VPN接入请求数据包；若为统一接入IPSec VPN网关地址，则与统一接入IPSec VPN网关建立IPSec隧道。相应地，统一接入IPSec VPN网关，还可用于在与接入设备建立IPSec隧道后，进一步与目标VPN网关建立IPSec隧道。
根据本发明的一个具体示例而非限制，本发明上述实施例的IPv6环境下IPSecVPN通信业务处理系统中，客户端为具体为非静态地址客户端时，非静态地址客户端，还可用于向接入设备发起网络接入请求，该网络接入请求中包括该非静态地址客户端的接入认证信息；以及将接入设备发送的路由前缀和自己的接口标识ID结合配置成为其源IPv6地址。相应地，接入设备，还用于将接入认证信息转发给认证服务器进行认证；如认证通过，按照图5所示的IPv6地址结构构造IPv6地址的前64位路由前缀并发送给非静态地址客户端，构造的IPv6地址前64位路由前缀中设置有非静态路由标识信息。
如图8所示，为本发明IPv6环境下IPSec VPN通信业务处理系统的一个典型部署示例图。
再参见图7，本发明上述各实施例的IPv6环境下IPSec VPN通信业务处理系统中，客户端分为静态地址客户端和非静态地址客户端，可以示例性地包括接入拨号模块、地址配置模块与IPSec VPN客户端。其中:
非静态地址客户端中的接入拨号模块，用于向接入设备发起网络接入请求，网络接入请求中包括该非静态地址客户端的接入认证信息；以及接受接入设备发送的路由前三双。
地址配置模块，用于将接入拨号模块接收到的路由前缀和自己的接口 ID结合配置成为其源IPv6地址。
IPSec VPN客户端，用于生成并向接入设备发送IPSec VPN接入请求数据包与IPSec VPN数据包。
其中静态地址客户端通过地址配置模块配置静态IPv6地址，其静态IPv6地址预先由权威机构分配，并根据如图4所示的IPv6地址结构所构造。
再参见图7，接入设备可以示例性地包括地址验证模块、地址分配模块、第一认证接入点、第一转发模块与接入服务模块。其中，
第一认证接入点，用于将IPSec VPN客户端发送的网络接入请求中的接入认证信息转发给认证服务器进行认证，并接受认证服务器并返回的认证结果消息。
地址分配模块，用于根据第一认证接入点接收到的认证结果消息，如认证通过，构造IPv6地址并发送给非静态地址客户端，构造的IPv6地址前64位路由前缀中设置有非静态路由标识信息。
地址验证模块，用于在接收到IPSec VPN客户端发送的接入请求数据包后，根据该接入请求数据包中源IPv6地址中前64位路由前缀中的静态路由标识信息，识别接入请求数据包中源IPv6地址是否为静态地址；若为静态地址，根据接入请求数据包中源IPv6地址中前64位路由前缀中的接入类型标识，识别接入请求是否为IPSec VPN接入请求；若不是IPSec VPN接入，则指示第一转发模块根据该接入请求数据包中目的地址直接转发接入请求数据包；若为IPSec VPN接入请求，则对接入请求数据包中源IPv6地址中后64位中的认证信息进行认证；若认证不通过，则丢弃该IPSec VPN接入请求数据包；若认证通过，则识别接入请求数据包中目的地址是否为统一接入IPSec VPN网关地址；若接入请求数据包中目的地址为统一接入IPSec VPN网关地址，则指示接入服务模块与统一接入IPSec VPN网关建立IPSec隧道；若接入请求数据包中目的地址为其它目标VPN网关地址，则指示接入服务模块直接与该其它目标VPN网关建立IPSec隧道。若为非静态地址，根据接入请求数据包的扩展包头中是否含有AH或者ESP头，识别接入是否为IPSec VPN接入请求；若不是IPSec VPN接入，则指示第一转发模块根据该接入请求数据包中目的地址直接转发接入请求数据包；若为IPSec VPN接入请求，识别接入请求数据包中目的地址是否为统一接入IPSec VPN网关地址；若不是统一接入IPSec VPN网关地址，则丢弃该IPSec VPN接入请求数据包；若为统一接入IPSec VPN网关地址，则指示接入服务模块与统一接入IPSec VPN网关建立IPSec隧道。
第一转发模块，用于根据接入请求数据包中目的地址直接转发接入请求数据包；接收IPSec VPN客户端发送的IPv6数据包，根据该IPv6数据包中源IPv6地址中前64位路由前缀中的静态路由标识信息，识别源IPv6地址是否为静态地址；若源IPv6地址是静态地址，根据前64位路由前缀中的接入类型标识，识别IPv6数据包是否为IPSec VPN数据包；若IPv6数据包不是IPSec VPN数据包，根据IPv6数据包中的目的地址，直接对IPv6数据包进行转发；若IPv6数据包为IPSec VPN数据包，则对源IPv6地址中后64位中的认证信息进行认证；若认证不通过，则丢弃该IPSec VPN数据包；若认证通过，则根据IPSec VPN数据包中目的地址直接转发给统一接入IPSec VPN网关或其它目标VPN网关。若源IPv6地址如果是非静态地址，根据IPv6数据包的扩展包头中是否含有AH或者ESP头，识别IPv6数据包是否为IPSec VPN数据包；若IPv6数据包不是IPSec VPN数据包，根据IPv6数据包中的目的地址，直接对IPv6数据包进行转发；若IPv6数据包为IPSec VPN数据包，则识别IPSec VPN数据包中的目的地址是否为统一接入IPSec VPN网关地址；若不是统一接入IPSec VPN网关地址，则丢弃IPSec VPN数据包；若是统一接入IPSec VPN网关地址，则将IPSec VPN数据包转发给统一接入IPSec VPN网关。
接入服务模块，用于与统一接入IPSec VPN网关建立IPSec隧道。
再参见图7，统一接入IPSec VPN网关可以示例性地包括第二接入认证点、VPN接入网关服务模块与第二转发模块。其中:
VPN接入网关服务模块，用于在与接入设备中的接入服务模块建立IPSec隧道后，与目标VPN网关建立IPSec隧道。
第二接入认证点，用于在接收到接入设备中第一转发模块发送的IPSec VPN数据包后，将源IPv6地址发送给认证服务器；以及根据认证服务器返回的识别结果，识别源IPv6地址是否存在于预先存储的静态地址客户端的地址白名单中。若源IPv6地址存在于预先存储的静态地址客户端的地址白名单中，指示第二转发模块根据目的地址对IPSecVPN数据包进行转发。若源IPv6地址不存在于预先存储的静态地址客户端的地址白名单中，根据扩展包头中包括AH或者ESP头，识别IPSec VPN数据包为AH还是ESP封装；若IPSecVPN数据包为AH封装，对IPSec VPN数据包解封装后发送给内容检测系统；若IPSec VPN数据包为ESP封装，对IPSec VPN数据包进行解封装，并利用在隧道建立阶段与客户端协商的密钥对IPSec VPN数据包中的数据进行解密，将解密得到的内容数据发送给内容检测系统；并在IPSec VPN数据包内容通过安全检测后，指示第二转发模块根据目的地址对IPSecVPN数据包进行转发。
第二转发模块，用于根据目的地址对IPSec VPN数据包进行转发。
再参见图7，认证服务器可以示例性地包括白名单存储模块、VPN接入认证模块与认证处理模块。其中:
白名单存储模块，用于存储预先设置的静态地址客户端的地址白名单。
VPN接入认证模块，用于识别统一接入IPSec VPN网关中第二接入认证点发送的源IPv6地址是否存在于预先存储的静态地址客户端的地址白名单中，并向统一接入IPSecVPN网关返回识别结果。
认证处理模块，用于接收接入设备中第一认证接入点发送的接入认证信息，基于预先存储的用户信息对接入认证信息进行认证，并向第一认证接入点返回接入认证结果消肩、O
与本发明上述IPv6环境下IPSec VPN通信业务处理方法实施例相应地，在IPv6地址中前64位路由前缀中包括QoS等级信息，特定QoS等级信息为静态路由标识信息，特定QoS等级信息以外的其它QoS等级信息为非静态路由标识信息。例如，预先设置QoS等级为I的IPv6地址为静态IPv6地址，则QoS等级为I以外其它的QoS等级的IPv6地址为非静态IPv6地址。示例性地，可以设定QoS等级信息位于所述前64位路由前缀中的最后3位。另外，可以设定接入类型标识位于前64位路由前缀中最后7位中的前4位，认证信息位于后64位路由前缀中的最后16位。
本说明书中各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似的部分相互参见即可。对于系统实施例而言，由于其与方法实施例基本对应，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括:R0M、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
本发明实施例对IPv6IPSec VPN通信流程进行一定的改造，合理规划IPv6地址，通过对IPv6IPSec VPN通信流量的识别和控制，实现了对IPSec VPN客户的差异化信息监管能力，防止用户绕过信息监管，从而实现IPv6环境下IPSec VPN通信的高效监管。
本发明的描述是为了示例和描述起见而给出的，而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用，并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
权利要求
1.一种IPv6环境下IPSec VPN通信业务处理方法，其特征在于，包括: 接入设备接收客户端发送的IPv6数据包，根据该IPv6数据包中源IPv6地址中前64位路由前缀中的静态路由标识信息，识别所述源IPv6地址是否为静态地址； 若所述源IPv6地址是静态地址，接入设备根据所述前64位路由前缀中的接入类型标识，识别所述IPv6数据包是否为互联网协议安全虚拟专用网IPSec VPN数据包；若所述IPv6数据包为IPSec VPN数据包，则对所述源IPv6地址中后64位中的认证信息进行认证；若认证不通过，则丢弃该IPSec VPN数据包；若认证通过，则根据IPSec VPN数据包中目的地址直接转发给统一接入IPSec VPN网关或其它目标VPN网关； 若所述源IPv6地址是非静态地址，接入设备根据所述IPv6数据包的扩展包头中是否含有认证头AH或者封装安全净载ESP头，识别所述IPv6数据包是否为IPSec VPN数据包；若所述IPv6数据包为IPSecVPN数据包，则识别所述IPSec VPN数据包中的目的地址是否为统一接入IPSec VPN网关地址；若不是统一接入IPSec VPN网关地址，则丢弃所述IPSecVPN数据包；若是统一接入IPSec VPN网关地址，则将所述IPSec VPN数据包转发给统一接入IPSec VPN网关; 统一接入IPSec VPN网关接收到IPSec VPN数据包后，将所述源IPv6地址发送给认证服务器； 所述认证服务器识别所述源IPv6地址是否存在于预先存储的静态地址客户端的地址白名单中，并向所述统一接入IPSec VPN网关返回识别结果； 若所述源IPv6地址存在于预先存储的静态地址客户端的地址白名单中，统一接入IPSec VPN网关根据所述目的地址对所述IPSec VPN数据包进行转发； 若所述源IPv6地址不存在于预先存储的静态地址客户端的地址白名单中，统一接入IPSec VPN网关请求内容检测系统对所述IPSec VPN数据包内容进行安全检测，并在所述IPSec VPN数据包内容通过安全检测后，根据所述目的地址对所述IPSec VPN数据包进行转发。
2.根据权利要求1所述的方法，其特征在于，统一接入IPSecVPN网关请求内容检测系统对所述IPSec VPN数据包内容进行安全检测包括: 统一接入IPSec VPN网关根据所述扩展包头中包括AH或者ESP头，识别所述IPSec VPN数据包为AH还是ESP封装； 若所述IPSec VPN数据包为AH封装，统一接入IPSec VPN网关对所述IPSec VPN数据包解封装后发送给内容检测系统，由内容检测系统对所述IPSec VPN数据包内容进行安全检测； 若所述IPSec VPN数据包为ESP封装，统一接入IPSec VPN网关对所述IPSec VPN数据包进行解封装，并利用在隧道建立阶段与客户端协商的密钥对IPSec VPN数据包中的数据进行解密，将解密得到的内容数据发送给内容检测系统，由内容检测系统对所述IPSec VPN数据包内容进行安全检测。
3.根据权利要求2所述的方法，其特征在于，若所述IPv6数据包不是IPSecVPN数据包，接入设备根据所述IPv6数据包中的目的地址，直接对所述IPv6数据包进行转发。
4.根据权利要求3所述的方法，其特征在于，接入设备接收客户端发送的IPv6数据包之前，还包括:客户端向接入设备发起接入请求数据包； 接入设备接收到接入请求数据包后，根据该接入请求数据包中源IPv6地址中前64位路由前缀中的静态路由标识信息，识别所述接入请求数据包中源IPv6地址是否为静态地址； 若为静态地址，接入设备根据接入请求数据包中源IPv6地址中前64位路由前缀中的接入类型标识，识别所述接入请求是否为IPSec VPN接入请求；若不是IPSec VPN接入，则根据该接入请求数据包中目的地址直接转发所述接入请求数据包 ’若为IPSec VPN接入请求，则对接入请求数据包中源IPv6地址中后64位中的认证信息进行认证；若认证不通过，则丢弃该IPSec VPN接入请求数据包；若认证通过，则识别接入请求数据包中目的地址是否为统一接入IPSec VPN网关地址；若接入请求数据包中目的地址为统一接入IPSec VPN网关地址，则与统一接入IPSec VPN网关建立IPSec隧道，由统一接入IPSec VPN网关进一步与目标VPN网关建立IPSec隧道；若接入请求数据包中目的地址为其它目标VPN网关地址，则直接与该其它目标VPN网关建立IPSec隧道； 若为非静态地址，接入 设备根据所述接入请求数据包的扩展包头中是否含有AH或者ESP头，识别所述接 入是否为IPSec VPN接入请求；若不是IPSec VPN接入，则根据该接入请求数据包中目的地址直接转发所述接入请求数据包；若为IPSec VPN接入请求，识别接入请求数据包中目的地址是否为统一接入IPSec VPN网关地址；若不是统一接入IPSec VPN网关地址，则丢弃该IPSec VPN接入请求数据包；若为统一接入IPSec VPN网关地址，则与统一接入IPSec VPN网关建立IPSec隧道，由统一接入IPSec VPN网关进一步与目标VPN网关建立IPSec隧道。
5.根据权利要求1至4任意一项所述的方法，其特征在于，所述客户端为非静态地址客户端； 客户端向接入设备发起接入请求数据包之前，还包括: 非静态地址客户端向接入设备发起网络接入请求，所述网络接入请求中包括该非静态地址客户端的接入认证信息； 接入设备将所述接入认证信息转发给认证服务器进行认证； 如认证通过，接入设备构造IPv6地址的前64位路由前缀并发送给非静态地址客户端，构造的IPv6地址的前64位路由前缀中设置有非静态路由标识信息； 非静态地址客户端将接入设备发送的IPv6地址的前64位路由前缀和自己的接口标识ID结合配置成为其源IPv6地址。
6.根据权利要求5所述的方法，其特征在于，IPv6地址中前64位路由前缀中包括服务质量Q0S等级信息，特定QoS等级信息为静态路由标识信息，特定QoS等级信息以外的其它QoS等级信息为非静态路由标识信息。
7.根据权利要求6所述的方法，其特征在于，所述QoS等级信息位于所述前64位路由iu缀中的最后3位。
8.根据权利要求7所述的方法，其特征在于，所述接入类型标识位于所述前64位路由前缀中最后7位中的前4位，所述认证信息位于所述后64位路由前缀中的最后16位。
9.一种IPv6环境下IPSec VPN通信业务处理系统，其特征在于，包括客户端、接入设备、统一接入IPSec VPN网关、认证服务器与内容检测系统；其中:客户端，用于生成并向接入设备发送IPv6数据包； 接入设备，用于接收客户端发送的IPv6数据包，根据该IPv6数据包中源IPv6地址中前64位路由前缀中的静态路由标识信息，识别所述源IPv6地址是否为静态地址；若所述源IPv6地址是静态地址，根据所述前64位路由前缀中的接入类型标识，识别所述IPv6数据包是否为IPSec VPN数据包；若所述IPv6数据包为IPSec VPN数据包，则对所述源IPv6地址中后64位中的认证信息进行认证；若认证不通过，则丢弃该IPSec VPN数据包；若认证通过，则根据IPSec VPN数据包中目的地址直接转发给统一接入IPSec VPN网关或其它目标VPN网关； 若所述源IPv6地址如果是非静态地址，根据所述IPv6数据包的扩展包头中是否含有AH或者ESP头，识别所述IPv6数据包是否为IPSec VPN数据包；若所述IPv6数据包为IPSec VPN数据包， 则识别所述IPSec VPN数据包中的目的地址是否为统一接入IPSec VPN网关地址；若不是统一接入IPSec VPN网关地址，则丢弃所述IPSec VPN数据包；若是统一接入IPSec VPN网关地址，则将所述IPSec VPN数据包转发给统一接入IPSec VPN网关； 统一接入IPSec VPN网关，用于在接收到接入设备发送的IPSec VPN数据包后，将所述源IPv6地址发送给认证服务器；以及根据认证服务器返回的识别结果，若所述源IPv6地址存在于预先存储的静态地址客户端的地址白名单中，根据所述目的地址对所述IPSec VPN数据包进行转发；若所述源IPv6地址不存在于预先存储的静态地址客户端的地址白名单中，请求内容检测系统对所述IPSec VPN数据包内容进行安全检测，并在所述IPSec VPN数据包内容通过安全检测后，根据所述目的地址对所述IPSec VPN数据包进行转发； 认证服务器，用于识别统一接入IPSec VPN网关发送的所述源IPv6地址是否存在于预先存储的静态地址客户端的地址白名单中，并向所述统一接入IPSec VPN网关返回识别结果; 内容检测系统，用于对统一接入IPSec VPN网关发送的所述IPSec VPN数据包内容进行安全检测，并向统一接入IPSec VPN网关返回检测结果。
10.根据权利要求9所述的系统，其特征在于，统一接入IPSecVPN网关请求内容检测系统对所述IPSec VPN数据包内容进行安全检测时，具体根据所述扩展包头中包括AH或者ESP头，识别所述IPSec VPN数据包为AH还是ESP封装；若所述IPSec VPN数据包为AH封装，对所述IPSec VPN数据包解封装后发送给内容检测系统；若所述IPSec VPN数据包为ESP封装，对所述IPSec VPN数据包进行解封装，并利用在隧道建立阶段与客户端协商的密钥对IPSec VPN数据包中的数据进行解密，将解密得到的内容数据发送给内容检测系统； 内容检测系统，具体对统一接入IPSec VPN网关发送的所述IPSec VPN数据包内容进行安全检测。
11.根据权利要求10所述的系统，其特征在于，所述接入设备还用于在所述IPv6数据包不是IPSec VPN数据包时，根据所述IPv6数据包中的目的地址，直接对所述IPv6数据包进行转发。
12.根据权利要求11所述的系统，其特征在于，所述客户端，还用于向接入设备发起接入请求数据包； 所述接入设备，还用于在接收到客户端发送的接入请求数据包后，根据该接入请求数据包中源IPv6地址中前64位路由前缀中的静态路由标识信息，识别所述接入请求数据包中源IPv6地址是否为静态地址； 若为静态地址，根据接入请求数据包中源IPv6地址中前64位路由前缀中的接入类型标识，识别所述接入请求是否为IPSec VPN接入请求；若不是IPSec VPN接入，则根据该接入请求数据包中目的地址直接转发所述接入请求数据包；若为IPSec VPN接入请求，则对接入请求数据包中源IPv6地址中后64位中的认证信息进行认证；若认证不通过，则丢弃该IPSec VPN接入请求数据包；若认证通过，则识别接入请求数据包中目的地址是否为统一接入IPSec VPN网关地址；若接入请求数据包中目的地址为统一接入IPSec VPN网关地址，则与统一接入IPSec VPN网关建立IPSec隧道；若接入请求数据包中目的地址为其它目标VPN网关地址，则直接与该其它目标VPN网关建立IPSec隧道； 若为非静态地址，根据所述接入请求数据包的扩展包头中是否含有AH或者ESP头，识别所述接入是否为IPSec VPN接入请求；若不是IPSec VPN接入，则根据该接入请求数据包中目的地址直接转发所述接入请求数据包；若为IPSec VPN接入请求，识别接入请求数据包中目的地址是否为统一接入IPSec VPN网关地址；若不是统一接入IPSec VPN网关地址，则丢弃该IPSec VPN接入请求数据包；若为统一接入IPSec VPN网关地址，则与统一接入IPSec VPN网关建立IPSec隧道； 所述统一接入IPSec VPN网关，还用于在与接入设备建立IPSec隧道后，进一步与目标VPN网关建立IPSec隧道。
13.根据权利要求9至12任意一项所述的系统，其特征在于，所述客户端为非静态地址客户端； 所述非静态地址客户端，还用于向接入设备发起网络接入请求，所述网络接入请求中包括该非静态地址客户端的接入认证信息；以及将接入设备发送的IPv6地址的前64位路由前缀和自己的接口标识ID结合配置成为其源IPv6地址； 所述接入设备，还用于将 所述接入认证信息转发给认证服务器进行认证；如认证通过，构造IPv6地址的前64位路由前缀并发送给非静态地址客户端，构造的IPv6地址的前64位路由前缀中设置有非静态路由标识信息。
14.根据权利要求13所述的系统，其特征在于，所述客户端分为静态地址客户端和非静态地址客户端，包括接入拨号模块、地址配置模块与IPSec VPN客户端；其中: 非静态地址客户端中的接入拨号模块，用于向接入设备发起网络接入请求，所述网络接入请求中包括该非静态地址客户端的接入认证信息；以及接受接入设备发送的路由前三双； 地址配置模块，用于将接入拨号模块接收到的路由前缀和自己的接口 ID结合配置成为其源IPv6地址； IPSec VPN客户端，用于生成并向接入设备发送IPSec VPN接入请求数据包与IPSecVPN数据包。
15.根据权利要求14所述的系统，其特征在于，所述接入设备包括地址验证模块、地址分配模块、第一认证接入点、第一转发模块与接入服务模块；其中， 第一认证接入点，用于将IPSec VPN客户端发送的网络接入请求中的接入认证信息转发给认证服务器进行认证，并接受认证服务器并返回的认证结果消息； 地址分配模块，用于根据所述第一认证接入点接收到的认证结果消息，如认证通过，构造IPv6地址并发送给非静态地址客户端，构造的IPv6地址前64位路由前缀中设置有非静态路由标识信息； 地址验证模块，用于在接收到IPSec VPN客户端发送的接入请求数据包后，根据该接入请求数据包中源IPv6地址中前64位路由前缀中的静态路由标识信息，识别所述接入请求数据包中源IPv6地址是否为静态地址；若为静态地址，根据接入请求数据包中源IPv6地址中前64位路由前缀中的接入类型标识，识别所述接入请求是否为IPSec VPN接入请求；若不是IPSec VPN接入，则指示第一转发模块根据该接入请求数据包中目的地址直接转发所述接入请求数据包 ’若为IPSec VPN接入请求，则对接入请求数据包中源IPv6地址中后64位中的认证信息进行认证；若认证不通过，则丢弃该IPSec VPN接入请求数据包；若认证通过，则识别接入请求数据包中目的地址是否为统一接入IPSec VPN网关地址；若接入请求数据包中目的地址为统一接入IPSec VPN网关地址，则指示接入服务模块与统一接入IPSecVPN网关建立IPSec隧道；若接入请求数据包中目的地址为其它目标VPN网关地址，则指示接入服务模块直接与该其它目标VPN网关建立IPSec隧道；若为非静态地址，根据所述接入请求数据包的扩展包头中是否含有AH或者ESP头，识别所述接入是否为IPSec VPN接入请求；若不是IPSec VPN接入，则指示第一转发模块根据该接入请求数据包中目的地址直接转发所述接入请求数据包；若为IPSec VPN接入请求，识别接入请求数据包中目的地址是否为统一接入IPSec VPN网关地址；若不是统一接入IPSec VPN网关地址，则丢弃该IPSecVPN接入请求数据包；若为统一接入IPSec VPN网关地址，则指示接入服务模块与统一接入IPSec VPN网关建立IPSec隧道； 第一转发模块，用于根据接入请求数据包中目的地址直接转发所述接入请求数据包；接收IPSec VPN客户端发送的IPv6数据包，根据该IPv6数据包中源IPv6地址中前64位路由前缀中的静态路由标识信息，识别所述源IPv6地址是否为静态地址；若所述源IPv6地址是静态地址，根据所述前64位路由前缀中的接入类型标识，识别所述IPv6数据包是否为IPSec VPN数据包；若所述IPv6数据包不是IPSec VPN数据包，根据所述IPv6数据包中的目的地址，直接对所述IPv6数据包进行转发；若所述IPv6数据包为IPSec VPN数据包，则对所述源IPv6地址中后64位中的认证信息进行认证；若认证不通过，则丢弃该IPSec VPN数据包；若认证通过，则根据IPSec` VPN数据包中目的地址直接转发给统一接入IPSec VPN网关或其它目标VPN网关；若所述源IPv6地址如果是非静态地址，根据所述IPv6数据包的扩展包头中是否含有AH或者ESP头，识别所述IPv6数据包是否为IPSec VPN数据包；若所述IPv6数据包不是IPSec VPN数据包，根据所述IPv6数据包中的目的地址，直接对所述IPv6数据包进行转发；若所述IPv6数据包为IPSec VPN数据包，则识别所述IPSec VPN数据包中的目的地址是否为统一接入IPSec VPN网关地址；若不是统一接入IPSec VPN网关地址，则丢弃所述IPSec VPN数据包；若是统一接入IPSec VPN网关地址，则将所述IPSecVPN数据包转发给统一接入IPSec VPN网关； 接入服务模块，用于与统一接入IPSec VPN网关建立IPSec隧道。
16.根据权利要求15所述的系统，其特征在于，所述统一接入IPSec VPN网关包括第二接入认证点、VPN接入网关服务模块与第二转发模块；其中: VPN接入网关服务模块，用于在与接入设备中的接入服务模块建立IPSec隧道后，与目标VPN网关建立IPSec隧道；第二接入认证点，用于在接收到接入设备中第一转发模块发送的IPSec VPN数据包后，将所述源IPv6地址发送给认证服务器；以及根据认证服务器返回的识别结果，识别所述源IPv6地址是否存在于预先存储的静态地址客户端的地址白名单中；若所述源IPv6地址存在于预先存储的静态地址客户端的地址白名单中，指示第二转发模块根据所述目的地址对所述IPSec VPN数据包进行转发；若所述源IPv6地址不存在于预先存储的静态地址客户端的地址白名单中，根据所述扩展包头中包括AH或者ESP头，识别所述IPSec VPN数据包为AH还是ESP封装；若所述IPSec VPN数据包为AH封装，对所述IPSec VPN数据包解封装后发送给内容检测系统；若所述IPSec VPN数据包为ESP封装，对所述IPSec VPN数据包进行解封装，并利用在隧道建立阶段与客户端协商的密钥对IPSec VPN数据包中的数据进行解密，将解密得到的内容数据发送给内容检测系统；并在所述IPSec VPN数据包内容通过安全检测后，指示第二转发模块根据所述目的地址对所述IPSec VPN数据包进行转发； 第二转发模块，用于根据所述目的地址对所述IPSec VPN数据包进行转发。
17.根据权利要求16所述的系统，其特征在于，所述认证服务器包括白名单存储模块、VPN接入认证模块与认证处理模块；其中: 白名单存储模块，用于存储预先设置的静态地址客户端的地址白名单； VPN接入认证模块，用于识别统一接入IPSec VPN网关中第二接入认证点发送的所述源IPv6地址是否存在于预先存储的静态地址客户端的地址白名单中，并向所述统一接入IPSec VPN网关返回识别结果； 认证处理模块，用于接收接入设备中第一认证接入点发送的接入认证信息，基于预先存储的用户信息对所述接入认证信息进行认证，并向第一认证接入点返回接入认证结果消肩、O
18.根据权利要求17所述的系统，其特征在于，IPv6地址中前64位路由前缀中包括QoS等级信息，特定QoS等级信息为静态路由标识信息，特定QoS等级信息以外的其它QoS等级信息为非静态路由标识信息。
19.根据权利要求18所述的系统，其特征在于，所述QoS等级信息位于所述前64位路由iu缀中的最后3位。
20.根据权利要求19所述的系统，其特征在于，所述接入类型标识位于所述前64位路由前缀中最后7位中的前4位，所述认证信息位于所述后64位路由前缀中的最后16位。
全文摘要
本发明实施例公开了一种IPv6环境下IPSec VPN通信业务处理方法与系统，其中，方法包括接入设备接收客户端发送的IPv6数据包，根据该IPv6数据包中源IPv6地址中前64位路由前缀中的静态路由标识信息，识别所述源IPv6地址是否为静态地址；若所述源IPv6地址是静态地址，接入设备根据所述前64位路由前缀中的接入类型标识，识别所述IPv6数据包是否为互联网协议安全虚拟专用网IPSecVPN数据包；若所述IPv6数据包为IPSec VPN数据包，则对所述源IPv6地址中后64位中的认证信息进行认证；若认证不通过，则丢弃该IPSec VPN数据包；若认证通过，则根据IPSec VPN数据包中目的地址直接转发给统一接IPSec VPN网关或其它目标VPN网关。本发明实施例可以实现IPv6环境下IPSec VPN流量的监管，同时提升监控效率。
文档编号H04L29/06GK103188351SQ20111044323
公开日2013年7月3日 申请日期2011年12月27日 优先权日2011年12月27日
发明者王帅, 沈军, 金华敏, 汪来富, 余晓光, 何明, 冯明 申请人:中国电信股份有限公司