一种安全隧道的建立方法及装置与流程

本发明涉及网络
技术领域：
，特别涉及一种安全隧道的建立方法及装置。
背景技术：
：为了保证信息的安全，组网中的终端间常常需要建立安全隧道(如：IPsec(InternetProtocolSecurity，网络协议安全性)隧道)。以一个中心节点和多个分支机构的组网模式为例。安全隧道的建立一般为分支机构侧的第二网关设备主动发起的，具体的：分支机构侧的第二网关设备向中心侧(中心节点侧)的第一网关设备发送隧道协商报文，第一网关设备与第二网关设备协商建立隧道需要的信息，根据协商得到的信息，建立第一网关设备与第二网关设备间的安全隧道。实际应用中，第一网关设备不知道待保护数据的地址信息，因此，第一网关设备无法主动向第二网关设备发送隧道协商报文，与建立第二网关设备将的安全隧道。技术实现要素：本发明实施例公开了一种安全隧道的建立方法及装置，以实现中心侧的网关设备主动与分支机构侧的网关设备建立安全隧道。为达到上述目的，本发明实施例公开了一种安全隧道的建立方法，应用于中心侧的第一网关设备，所述方法包括：获取分支机构侧的第二网关设备配置的第二待保护数据的地址信息；将所述第一网关设备配置的第一待保护数据的地址信息中与所述第二待保护数据的地址信息镜像对称后的地址信息重叠的部分确定为目标地址信息；当接收到与所述目标地址信息匹配的数据报文时，向所述第二网关设备发送第一隧道协商报文，与所述第二网关设备建立第一安全隧道。为达到上述目的，本发明实施例还公开了一种安全隧道的建立装置，应用于中心侧的第一网关设备，所述装置包括：获取单元，用于获取分支机构侧的第二网关设备配置的第二待保护数据的地址信息；确定单元，用于将所述第一网关设备配置的第一待保护数据的地址信息中与所述第二待保护数据的地址信息镜像对称后的地址信息重叠的部分确定为目标地址信息；发送单元，用于当接收到与所述目标地址信息匹配的数据报文时，向所述第二网关设备发送第一隧道协商报文，与所述第二网关设备建立第一安全隧道。在本发明实施例中，中心侧的第一网关设备获取分支机构侧的第二网关设备配置的第二待保护数据的地址信息，将第一网关设备配置的第一待保护数据的地址信息中与第一待保护数据的地址信息镜像对称后的地址信息重叠的部分确定为目标地址信息，当接收到与目标地址信息匹配的数据报文时，可以确定需要与第二网关设备建立安全隧道，第一网关设备向第二网关设备发送第一隧道协商报文，实现了中心侧的网关设备主动与分支机构侧的网关设备建立安全隧道。附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为一种组网的结构示意图；图2为本发明实施例提供的一种安全隧道的建立方法的流程示意图；图3为本发明实施例提供的一种安全隧道的建立装置的结构示意图。具体实施方式下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。参考图1，图1为本发明实施例提供的一种组网的结构示意图，该组网中包括一个中心节点100和至少一个分支机构200，其中，一个中心节点100对应一个第一网关设备110，一个分支机构200对应一个第二网关设备210。这里中心节点100可以理解为企业总部，分支机构可以理解为企业在不同地区的分部。为了保证中心节点100和分支机构200间的传输信息的安全，第一网关设备110和第二网关设备210间常常需要建立安全隧道(如：IPsec(InternetProtocolSecurity，网络协议安全)隧道)，通过该安全隧道对中心节点100和分支机构200间的传输信息进行加密。下面通过具体实施例，详细说明第一网关设备主动第二网关设备建立安全隧道的过程。参考图2，图2为本发明实施例提供的一种安全隧道的建立方法的流程示意图，应用于中心侧的第一网关设备110，参考图1，该方法包括：S201：获取分支机构侧的第二网关设备配置的第二待保护数据的地址信息；其中，第二待保护数据的地址信息可以包括：源IP地址网段和目的IP地址网段。在本发明的其他实施例中，第二待保护数据的地址信息可以包括：源IP地址和目的IP地址。为了实现第二网关设备210主动与第一网关设备110建立安全隧道，第二网关设备210需要进行完整的安全隧道信息(包括：第二待保护数据的地址信息、第一网关设备的标识等)的配置，这里，安全隧道信息为根据ACL(访问控制列表，AccessControlList)配置的。另外，第一网关设备110中设置有IPsec策略模板，该IPsec策略模板用于与第二网关设备210建立IPsec隧道。这样，当有数据需要从分支机构侧发送至中心侧时，第二网关设备210可以根据ACL配置的安全隧道信息，向第一网关设备110发送隧道协商报文(如：IKE(InternetKeyExchange，网络密钥交换)协商)，第一网关设备110接收第二网关设备210发送的隧道协商报文后，根据隧道协商报文与第二网关设备210间建立安全隧道。在本发明的一个实施例中，第一网关设备110中并未配置第二网关设备的标识、以及与第二网关设备间的待保护数据的地址信息等安全隧道信息，为了便于第一网关设备110获取到安全隧道信息，第二网关设备210在完成了安全隧道信息的配置之后，可以向第一网关设备110发送一个第二隧道协商报文，该第二隧道协商报文包含：第二待保护数据的地址信息；这样，第一网关设备110就可以从该第二隧道协商报文中获取到第二待保护数据的地址信息，并且该第二隧道协商报文是由第二网关设备210发送来的，还可以获取到该第二网关设备的标识。在本发明的其他实施例中，第二网关设备的标识也可以携带在第二隧道协商报文中，以便于第一网关设备110获取。第一网关设备110接收到第二隧道协商报文后，与第二网关设备210建立第二安全隧道。该第二安全隧道并不是用于传输数据报文的，为了避免影响中心侧和分支机构侧间数据的传输，在建立用于传输数据报文的安全隧道前，需要删除该第二安全隧道。在本发明的其他实施例中，可以为第二安全隧道配置一个非常小的老化时间，使得第二安全隧道在建立之后很快就会被删除，避免了影响中心侧和分支机构侧间数据的传输。另外，在本发明的其他实施例中，在第一网关设备110中可以预设设置一个信息获取条件，当第一网关设备110满足该信息获取条件时，也就是，使能隧道建立功能时，第一网关设备110获取分支机构侧的第二网关设备配置的第二待保护数据的地址信息。具体地，可以理解为，在第一网关设备110设置一个信息获取开关，当信息获取开关打开时，允许第一网关设备110获取分支机构侧的第二网关设备配置的第二待保护数据的地址信息，进而第一网关设备110主动建立与第二网关设备210间的安全隧道；当信息获取开关关闭时，禁止第一网关设备110获取分支机构侧的第二网关设备配置的第二待保护数据的地址信息，进而拒绝第一网关设备110主动与第二网关设备210建立安全隧道。S202：将所述第一网关设备配置的第一待保护数据的地址信息中与所述第二待保护数据的地址信息镜像对称后的地址信息重叠的部分确定为目标地址信息；其中，第一待保护数据的地址信息可以包括：源IP地址网段和/或目的IP地址网段。在本发明的其他实施例中，第一待保护数据的地址信息可以包括：源IP地址和/或目的IP地址。以第一待保护数据的地址信息为待保护数据的IP地址网段为例，如，第一网关设备110的信息中第一待保护数据的地址信息可以设置为：ACLrule0：IPsource网段1；如，第一网关设备110的信息中第一待保护数据的地址信息也可以设置为：ACLrule1：IPsource网段1destination网段2；第一网关设备110在获取到第二待保护数据的地址信息后，将第一待保护数据的地址信息中与第二待保护数据的地址信息镜像对称后的地址信息重叠的部分确定为目标地址信息。假设，第一待保护数据的地址信息如上述ACLrule0，第二待保护数据的地址信息为：ACLrule2：IPsource网段3destination网段4；ACLrule2中的IPsource网段3，而ACLrule0中IPdestination为空，也就是，ACLrule0中IPdestination的网段为任意，取ACLrule2中的IPsource与ACLrule0中IPdestination重叠的IP地址网段，确定目标地址信息的IPdestination为网段3；ACLrule2中的IPdestination网段4，而ACLrule0中IPsource网段1，其中网段4在网段1范围内，取ACLrule2中的IPdestination与ACLrule0中IPsource重叠的IP地址网段，确定目标地址信息的IPsource为网段4；此时可以确定目标地址信息为：IPsource网段4IPdestination网段3。以第一待保护数据的地址信息为待保护数据的IP地址为例，如，第一网关设备110的信息中第一待保护数据的地址信息可以设置为：ACLrule3：IPsourceIP1；如，第一网关设备110的信息中第一待保护数据的地址信息也可以设置为：ACLrule4：IPsourceIP1destinationIP2；ACLrule5：IPsourceIP3destinationIP4；ACLrule6：IPsourceIP5destinationIP6。假设，第一待保护数据的地址信息如上述ACLrule4、rule5和rule6，第二待保护数据的地址信息为：ACLrule7：IPsourceIP2destinationIP1；ACLrule8：IPsourceIP3destinationIP7；第一网关设备110在获取到第二待保护数据的地址信息后，将第一待保护数据的地址信息中与第二待保护数据的地址信息镜像对称后的地址信息重叠的部分确定为目标地址信息。如上，ACLrule4和与ACLrule7镜像对称后的地址信息重叠，即，ACLrule4的IPsourceIP1与ACLrule7的IPdestinationIP1重叠，ACLrule4的IPdestinationIP2与ACLrule7的IPdestinationsourceIP2重叠；此时可以确定目标地址信息为：IPsourceIP1destinationIP2。在本发明的其他实施例中，第二网关设备210中需要保护的数据可能会发生变化，因此在未建立安全隧道的情况下，还需要不断地更新第一网关设备110中的待保护数据的地址信息，以保证建立准确的安全隧道。具体地，第一网关设备110可以按照预设的时间间隔，获取第二待保护数据的地址信息，重新将第一待保护数据的地址信息中与第二待保护数据的地址信息镜像对称后的地址信息重叠的部分作为目标地址信息。S203：当接收到与所述目标地址信息匹配的数据报文时，向所述第二网关设备发送第一隧道协商报文，与所述第二网关设备建立第一安全隧道。在本发明的一个实施例中，在获取第二待保护数据的地址信息时，还可以获取第二网关设备的标识，在确定了目标地址信息后，可以存储该目标地址信息与第二网关设备210的标识对应关系。当接收到与该目标地址信息匹配的数据报文时，从该对应关系中获取第二网关设备的标识，根据该第二网关设备的标识，向对应第二网关设备发送第一隧道协商报文，与第二网关设备建立第一安全隧道。可选的，可以将目标地址信息与第二网关设备210的标识作为安全隧道信息，将该安全隧道信息记录在预设表中。假设，预设表中记录的信息如表1所示。表1目标地址信息第二网关设备的标识网段1to网段2a网段4to网段3b网段Xto网段Yc其中，网段Xto网段Y表示：源IP地址网段为网段X，目的IP地址网段为网段Y。当第一网关设备110接收到需要发送至分支机构侧的数据报文时，将该数据报文的源IP地址和目的IP地址与预设表中的目标地址信息进行匹配，若该数据报文的源IP地址在网段1内、目的IP地址在网段2内，则可以与上述表1中的第一条表项匹配，获得第二网关设备的标识为a，根据第二网关设备的标识a，向第二网关设备发送第一隧道协商报文，与第二网关设备建立第一安全隧道，进而将数据报文发送至第二网关设备，实现该第一网关设备110与第二网关设备210间安全的数据传输。应用图2所示实施例，中心侧的第一网关设备获取分支机构侧的第二网关设备配置的第二待保护数据的地址信息，将第一网关设备配置的第一待保护数据的地址信息中与第一待保护数据的地址信息镜像对称后的地址信息重叠的部分确定为目标地址信息，当接收到与目标地址信息匹配的数据报文时，可以确定需要与第二网关设备建立安全隧道，第一网关设备向第二网关设备发送第一隧道协商报文，实现了中心侧的网关设备主动与分支机构侧的网关设备建立安全隧道。参考图3，图3为本发明实施例提供的一种安全隧道的建立装置的结构示意图，应用于中心节点的第一网关设备，该装置包括：获取单元301，用于获取分支机构侧的第二网关设备配置的第二待保护数据的地址信息；确定单元302，用于将所述第一网关设备配置的第一待保护数据的地址信息中与所述第二待保护数据的地址信息镜像对称后的地址信息重叠的部分确定为目标地址信息；发送单元303，用于当接收到与所述目标地址信息匹配的数据报文时，向所述第二网关设备发送第一隧道协商报文，与所述第二网关设备建立第一安全隧道。在本发明的其他实施例中，所述获取单元301，可以包括：接收子单元(图3中未示出)，用于接收分支机构侧的第二网关设备发送的用于与所述第一网关设备建立第二安全隧道的第二隧道协商报文，其中，所述第二隧道协商报文携带所述第二待保护数据的地址信息；获取子单元(图3中未示出)，用于从所述第二隧道协商报文中获取所述第二待保护数据的地址信息。在本发明的其他实施例中，所述安全隧道的建立装置还可以包括：删除单元(图3中未示出)，用于在建立所述第一安全隧道前，删除所述第二安全隧道。在本发明的其他实施例中，所述获取单元301，还用于获取第二网关设备的标识；这种情况下，所述安全隧道的建立装置还可以包括：存储单元(图3中未示出)，用于在将所述第一网关设备配置的第一待保护数据的地址信息中与所述第二待保护数据的地址信息镜像对称后的地址信息重叠的部分确定为目标地址信息之后，存储所述目标地址信息与所述第二网关设备的标识的对应关系；所述发送单元303，具体用于：当接收到与所述目标地址信息匹配的数据报文时，从所述对应关系中获取所述第二网关设备的标识；根据所述第二网关设备的标识，向所述第二网关设备发送第一隧道协商报文，与所述第二网关设备建立第一安全隧道。在本发明的其他实施例中，所述获取单元301，具体用于：当所述第一网关设备使能隧道建立功能时，获取分支机构侧的第二网关设备配置的第二待保护数据的地址信息。应用图3所示实施例，中心侧的第一网关设备获取分支机构侧的第二网关设备配置的第二待保护数据的地址信息，将第一网关设备配置的第一待保护数据的地址信息中与第一待保护数据的地址信息镜像对称后的地址信息重叠的部分确定为目标地址信息，当接收到与目标地址信息匹配的数据报文时，可以确定需要与第二网关设备建立安全隧道，第一网关设备向第二网关设备发送第一隧道协商报文，实现了中心侧的网关设备主动与分支机构侧的网关设备建立安全隧道。对于装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。本领域普通技术人员可以理解实现上述方法实施方式中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，所述的程序可以存储于计算机可读取存储介质中，这里所称得的存储介质，如：ROM/RAM、磁碟、光盘等。以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。当前第1页1 2 3