本发明涉及通信技术领域,具体涉及一种桥接传输加密的方法。
背景技术:
ipsec(internetprotocolsecurity因特网协议安全)是一种开放标准的框架结构,通过使用加密的安全服务以确保在ip网络上进行保密而安全的通讯。ipsec通过isakmp协议协商安全联盟sa。isakmp(internetsecurityassociationandkeymanagementprotocol)是ipsec密钥管理协议,为ipsec提高身份认证以及密钥交换技术。安全联盟sa(securityassociation)是ipsec的基础,是通信双方建立的一种协定,决定了用来保护数据包的封装协议、加密和认证算法、密钥以及密钥有效期等。ipsec有esp和ah两种封装协议,esp提供数据加密和认证,ah不进行加密只进行完整性认证。ipsec有两种加密模式:隧道模式和传输模式,隧道模式加密ip头及以后的内容,并封装新的ip头形成ip隧道;传输模式加密ip头以后的内容,原ip头保持不变。
ipsec需要端到端设备支持,当现有设备不支持ipsec时,就需要部署支持ipsec的加密设备,由于ipsec工作在ip层,所以部署时需要改变现有ip层设备配置和组网。当尤其是新型量子加密设备推广时,需要不改变现有设备组网和配置,灵活的部署到现有网络中。
技术实现要素:
本发明的目的就是在现有网络设备不做调整和修改的前提下,对现有网络中的流量进行桥接传输加密。
为实现上述目的,本发明提供如下技术方案:
一种桥接传输加密的方法,包括以下步骤:
步骤1:有两个需要加密的内部网络,在各自的现有上下游设备之间,插入加密设备;
步骤2:本端加密设备1与远端加密设备2,通过isakmp协商,得到加密联盟sa,建立隧道接口;
步骤3:在隧道接口上配置到达远端内部网络的路由,通过该路由选路找到目标网络的sa;
步骤4:加密设备通过ingress接口和egress接口,分别与上下游设备连接,接口工作在桥接模式,现有上下游设备配置不做修改;
步骤5:加密设备从ingress接口收包后,查找路由,若出接口伪隧道接口,找到对应的sa,对报文进行传输模式加密,加密ip层以上的内容,ip层及以下的内容不作改变,然后进行esp或ah封装,从egress接口发出去,查不到路由或非ip报文(如arp报文)直接从egress接口发出去;
步骤6:加密设备从egress接口收包后,若当前报文有esp或ah封装,则取封装头部的spi查找sa进行解密,解密后从ingress接口发出去,其余报文直接从ingress接口发出去。
所述桥接传输加密的方法的上游设备为网关,下游设备为交换机。
所述桥接传输加密的方法步骤2中的加密设备可结合量子网关,获取量子密钥进行量子加密。
所述桥接传输加密的方法步骤2包括以下步骤:
步骤21:在两端加密设备旁部署量子网关,量子网关通过专用光纤连接,作为量子信道分发量子密钥;
步骤22:加密设备从量子网关获取量子密钥作为sa;
步骤23:加密设备使用量子密钥sa对报文进行加解密。
所述桥接传输加密的方法步骤5加密时esp或ah封装会增加报文长度,当超过egress接口mtu时,需要对报文进行分片,接收时需要重组。
所述桥接传输加密的方法步骤5包括以下步骤:
步骤51:从ingress接口收包后,若原始报文是分片包,需要对报文进行重组后,再进行加密;
步骤52:从ingress接口收包并加密后,对加密报文进行esp或ah封装,若封装后的报文超过egress接口mtu后,需要对报文进行分片;
步骤53:从egress接口收包后,若当前报文有esp或ah封装,且是分片包,需要对报文进行重组,然后进行解密。
所述桥接传输加密的方法有至少3台加密设备时,需要两两之间进行ike协商,建立多个伪隧道接口,并配置目标网段的路由。
所述桥接传输加密的方法1台加密设备可以设置至少1对桥接接口,可实现至少1组桥接链路同时加密的需求。
所述桥接传输加密的方法加密设备可以配置acl,加密时根据acl筛选指定的流量进行加密。
与现有技术相比较,本发明提供的桥接传输加密的方法具有如下有益效果:可以实现用户在现有网络设置不做调整和修改的前提下,对现有网络中的流量进行桥接传输加密,提高网络的安全性,并且能够和新型的量子网关设备结合实现量子加密,可以灵活的部署到现有网络中。
附图说明
图1是本发明的网络拓扑图;
图2是本发明结合量子加密的网络拓扑图;
图3是本发明的加密流程的示意图;
图4是本发明的解密流程的示意图。
具体实施方式
下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
如图1所示,一种桥接传输加密的方法,有2套加密设备,其余设备为现有网络设备,包括以下步骤:
步骤1:有两个需要加密的内部网络,在各自的上游设备网关和下游设备交换机之间,插入加密设备;
步骤2:本端加密设备1与远端加密设备2,通过isakmp协商,得到加密联盟sa,建立隧道接口;
步骤3:在隧道接口上配置到达远端内部网络的路由,通过该路由选路找到目标网络的sa;
步骤4:加密设备通过ingress接口和egress接口,分别与交换机和网关连接,接口工作在桥接模式,现有交换机和网关配置不做修改;
步骤5:如图3所示,加密设备从ingress接口收包后,查找路由,若出接口伪隧道接口,找到对应的sa,对报文进行传输模式加密,加密ip层以上的内容,ip层及以下的内容不作改变,然后进行esp或ah封装,从egress接口发出去,查不到路由或非ip报文直接从egress接口发出去;
步骤6:如图4所示,加密设备从egress接口收包后,若当前报文有esp或ah封装,则取封装头部的spi查找sa进行解密,解密后从ingress接口发出去,其余报文直接从ingress接口发出去。
实施例2
一种桥接传输加密的方法,有3套加密设备,其余设备为现有网络设备,包括以下步骤:
步骤1:有三个需要加密的内部网络,在各自的上游设备网关和下游设备交换机之间,插入加密设备;
步骤2:本端加密设备1与远端加密设备2、远端加密设备3,两两之间通过ike协商,得到加密联盟sa,建立3个伪隧道接口;
步骤3:在隧道接口上配置到达远端内部网络的路由,通过该路由选路找到目标网络的sa;
步骤4:加密设备通过ingress接口和egress接口,分别与交换机和网关连接,接口工作在桥接模式,现有交换机和网关配置不做修改;
步骤5:如图3所示,加密设备从ingress接口收包后,查找路由,若出接口伪隧道接口,找到对应的sa,对报文进行传输模式加密,加密ip层以上的内容,ip层及以下的内容不作改变,然后进行esp或ah封装,从egress接口发出去,查不到路由或非ip报文直接从egress接口发出去;
步骤6:如图4所示,加密设备从egress接口收包后,若当前报文有esp或ah封装,则取封装头部的spi查找sa进行解密,解密后从ingress接口发出去,其余报文直接从ingress接口发出去。
实施例3
如图2所示,一种桥接传输加密的方法,有2套加密设备和量子网关,其余设备为现有网络设备,包括以下步骤:
步骤1:有两个需要加密的内部网络,在各自的上游设备网关和下游设备交换机之间,插入加密设备;
步骤2:在两端加密设备旁部署量子网关,量子网关通过专用光纤连接,作为量子信道分发量子密钥,加密设备不再使用isakmp协商sa,改为从量子网关获取量子密钥作为sa;
步骤3:在隧道接口上配置到达远端内部网络的路由,通过该路由选路找到目标网络的sa;
步骤4:加密设备通过ingress接口和egress接口,分别与交换机和网关连接,接口工作在桥接模式,现有交换机和网关配置不做修改;
步骤5:如图3所示,加密设备从ingress接口收包后,查找路由,若出接口伪隧道接口,找到对应的sa,对报文进行传输模式加密,加密ip层以上的内容,ip层及以下的内容不作改变,然后进行esp或ah封装,从egress接口发出去,查不到路由或非ip报文直接从egress接口发出去;
步骤6:如图4所示,加密设备从egress接口收包后,若当前报文有esp或ah封装,则取封装头部的spi查找sa进行解密,解密后从ingress接口发出去,其余报文直接从ingress接口发出去。
使用本发明的桥接传输加密的方法,可以实现用户在现有网络设备不做调整和修改的前提下,对现有网络中的流量进行桥接传输加密,提高网络的安全性,并且能够和新型的量子网关设备结合实现量子加密,可以灵活的部署到现有网络中。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。
此外,应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。