一种虚拟专用网络通信方法和虚拟专用网络设备与流程

本申请实施例涉及通信领域，特别涉及一种虚拟专用网络通信方法和虚拟专用网络设备。

背景技术：

目前ipsecvpn远程的用户,实现客户端接入,隧道建立成功后,只有保护的vpn后台资源实现加密报文通信。然而，现有ipsecvpn隧道，vpn客户端接入后,只有对应的vpn保护后台资源实现通信加密,针对远程的用户之间的通信,没有对应的安全保护机制。远程用户之间，端到端的信息传输只能按照原始方式进行通信,保护措施依赖通信手段，安全级别较低。

申请内容

本申请提供了一种虚拟专用网络通信方法和虚拟专用网络设备，能够实现客户端之间的安全通信。

为了解决上述技术问题，本申请实施例提供了一种虚拟专用网络通信方法，包括：

接收第一客户端发送的以第一ipsec隧道策略封装的通信报文，所述通信报文包括目的地虚拟地址信息；

解封装得到所述通信报文，并且确定所述目的地虚拟地址信息对应于第二客户端；

以所述第二客户端的第二ipsec隧道策略封装所述通信报文，并且向所述第二客户端发送。

作为优选，在所述接收第一客户端发送的以第一ipsec隧道策略封装的报文之前，还包括：

确定所述第一客户端的互联开关参数指示开启。

作为优选，在所述向所述第二客户端发送之前，还包括：

确定所述第二客户端的互联开关参数指示开启。

作为优选，所述第一ipsec隧道策略还包括第一访问时间范围，其中，在所述接收第一客户端发送的以第一ipsec隧道策略封装的通信报文之前，包括：

确定当前时刻在所述第一访问时间范围内。

作为优选，所述第二ipsec隧道策略还包括第二访问时间范围，其中，在所述向所述第二客户端发送之前，包括：

确定当前时刻在所述第二访问时间范围内。

本发明实施例同时提供一种虚拟专用网络设备，包括：

接收模块，接收第一客户端发送的以第一ipsec隧道策略封装的通信报文，所述通信报文包括目的地虚拟地址信息；

解封装模块，解封装得到所述通信报文，

第一确定模块，确定所述目的地虚拟地址信息对应于第二客户端；

封装模块，以所述第二客户端的第二ipsec隧道策略封装所述通信报文，以及

发送模块，向所述第二客户端发送所封装的通信报文。

作为优选，还包括：

第二确定模块，在所述接收第一客户端发送的以第一ipsec隧道策略封装的报文之前，确定所述第一客户端的互联开关参数指示开启。

作为优选，还包括：第三确定模块，在所述向所述第二客户端发送之前，确定所述第二客户端的互联开关参数指示开启。

作为优选，所述第一ipsec隧道策略还包括第一访问时间范围，所述设备还包括第四确定模块，在所述接收第一客户端发送的以第一ipsec隧道策略封装的通信报文之前，确定当前时刻在所述第一访问时间范围内。

作为优选，所述第二ipsec隧道策略还包括第二访问时间范围，所述设备还包括第五确定模块，在所述向所述第二客户端发送之前，确定当前时刻在所述第二访问时间范围内。

基于上述实施例的公开可以获知，本申请实施例通过虚拟专用网络通信方法和虚拟专用网络设备，采用不同的隧道安全策略在不同客户端之间发送通信报文，在兼容了现有协议的情况下提高了通信的安全性。

附图说明

图1为根据本发明实施例的虚拟专用网络的系统示意图。

图2为根据本发明另一实施例的虚拟专用网络通信方法的示意性流程图。

图3为根据本发明另一实施例的虚拟专用网络通信方法的示意性流程图。

图4为根据本发明另一实施例的虚拟专用网络设备的示意性框图。

具体实施方式

下面，结合附图对本申请的具体实施例进行详细的描述，但不作为本申请的限定。

应理解的是，可以对此处公开的实施例做出各种修改。因此，下述说明书不应该视为限制，而仅是作为实施例的范例。本领域的技术人员将想到在本公开的范围和精神内的其他修改。

包含在说明书中并构成说明书的一部分的附图示出了本公开的实施例，并且与上面给出的对本公开的大致描述以及下面给出的对实施例的详细描述一起用于解释本公开的原理。

通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述，本申请的这些和其它特性将会变得显而易见。

还应当理解，尽管已经参照一些具体实例对本申请进行了描述，但本领域技术人员能够确定地实现本申请的很多其它等效形式，它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。

当结合附图时，鉴于以下详细说明，本公开的上述和其他方面、特征和优势将变得更为显而易见。

此后参照附图描述本公开的具体实施例；然而，应当理解，所公开的实施例仅仅是本公开的实例，其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本公开模糊不清。因此，本文所公开的具体的结构性和功能性细节并非意在限定，而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本公开。

本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”，其均可指代根据本公开的相同或不同实施例中的一个或多个。

下面，结合附图详细的说明本申请实施例。

图1为根据本发明实施例的虚拟专用网络的系统示意图。如图所示，虚拟专用网络设备与客户端节点a和客户端节点b可以分别进行通信，通过本发明的配置进而实现了各方的通信。应理解，在本发明实施例中，vpn(virtualprivatenetwork)：虚拟专用网络的功能是在公用网络上建立专用网络，进行加密通讯。ipsec:是一个协议包，通过ip协议的分组进行加密和认证来保护ip协议的网络传输协议族。使用ipsec可以确保包括远程登录、客户/服务器、电子邮件、文件传输、web浏览、erp、视频会议、ip电话等在内的各种应用程序的安全。spi：安全参数指针(securityparameterindex，spi)，是一个32位的整数，用来标识当前ip报文所对应的安全关联。隧道：指的是利用一种网络协议来传输另一种网络协议，它主要利用网络隧道协议来实现这种功能。

图2为根据本发明另一实施例的虚拟专用网络通信方法的示意性流程图。图2的虚拟专用网络通信方法包括：

210：接收第一客户端发送的以第一ipsec隧道策略封装的通信报文，通信报文包括目的地虚拟地址信息；

220：解封装得到通信报文，并且确定目的地虚拟地址信息对应于第二客户端；

230：以第二客户端的第二ipsec隧道策略封装通信报文，并且向第二客户端发送。

本申请实施例通过虚拟专用网络通信方法，采用不同的隧道安全策略在不同客户端之间发送通信报文，在兼容了现有协议的情况下实现了通信的安全性。换句话说，本发明的目的在于，在ipsecvpn系统中，实现ipsecvpn客户端用户之间，通过下发的虚地址访问对端应用，实现了端到端的ipsec隧道密文通信技术，也就是说，实现一种ipsecvpn客户端之间，ipsec隧道内各种应用协议传输，实现了远程用户之间，信息通信的机密性，提升了各终端之间信息通信的安全性。

根据图2的实施例，在接收第一客户端发送的以第一ipsec隧道策略封装的报文之前，还可以包括：确定第一客户端的互联开关参数指示开启。

根据图2的实施例，在向第二客户端发送之前，还可以包括：确定第二客户端的互联开关参数指示开启。

因此，在ipsecvpn系统中，ipsecvpn客户端，通过参数控制，启动用户之间，隧道内的网络互联互通。此外，在ipsecvpn系统中，通过参数控制，判断是否按照新策略重新封装通信报文，实现ipsecvpn客户端用户通信报文二次密文转发。

图3为根据本发明另一实施例的虚拟专用网络通信方法的示意性流程图。在图3的虚拟专用网络通信方法中，第一ipsec隧道策略还包括第一访问时间范围，第二ipsec隧道策略还包括第二访问时间范围，图3的虚拟专用网络通信方法包括：

310：确定当前时刻在第一访问时间范围内。

320：接收第一客户端发送的以第一ipsec隧道策略封装的通信报文，通信报文包括目的地虚拟地址信息；

330：解封装得到通信报文，并且确定目的地虚拟地址信息对应于第二客户端；

340：确定当前时刻在第二访问时间范围内。

350：以第二客户端的第二ipsec隧道策略封装通信报文，并且向第二客户端发送。

应理解，本发明实施例具体包括：在接收第一客户端发送的以第一ipsec隧道策略封装的通信报文之前，匹配以第一ipsec隧道策略封装的通信报文的spi对应参数后。此外，在向第二客户端发送之前，匹配第二ipsec隧道策略的spi对应参数。

具体而言，本发明方案ipsec隧道,通过ipsecvpn客户端互联开关参数，确定远程用户之间是否可以使用ipsec隧道进行安全通信。例如，确定两个客户端是否均属于ipsecvpn认证的用户，若是则表明互联开关呈开启状态，此时当远程用户客户端(即，ipsecvpn客户端)在ipsec隧道接入后，也就是成功与ipsecvpn建立通信隧道后，ipsecvpn与客户端间便具有专属于该客户端的虚拟地址(即，虚拟ip)以及保护资源策略(即，匹配该客户端的安全策略)，该用户和其他远程用户之间通信时，也是通过用户之间预先交换各自的虚拟地址来实现信息传输的，而用户接收到的数据包也是预先由ipsecvpn根据各用户的保护资源策略对数据包进行重整后得到的，以确保各用户接收到的数据包均可被自身设备所识别。具体地，在用户访问对端的虚拟地址启用的业务资源时，会先使用自己的ipsec保护资源策略对欲发送至对端的数据进行加密封装，然后基于对端的告知的其虚拟地址当该封装好的数据包进行发送，接着vpn设备会“截获”该数据包，并对其解密，然后根据该数据包发送的目标地址确定接收端信息，确定该接收端是否为已认证的vpn客户端，若是则表明互联开关开启，两客户端可基于vpn设备进行通信，vpn设备便会将解密、解封装的数据包根据对端的保护资源策略而对该数据包重新加密封装，使形成对端设备可解密识别的形式，然后基于目标地址将该重整后的数据包发送至对端，进而完成两客户端基于ipsecvpn的通信。实际操作时，发送方客户端ipsecvpn会匹配上发送方的ipsec保护资源策略，实现数据通信的ipsec隧道封装，在发送方客户端的物理网卡上发送出去。vpn设备物理接口收到对应的加密报文，匹配ipsec隧道入spi对应参数后，将报文转换到隧道接口上，按照ipsec隧道策略解密，并检查报文去向，当根据虚拟地址确定是发往另外一个远程用户时，查看设备远程用户互联开关的状态是否为开启状态，若是，则将报文转送到隧道接口上，并匹配出spi隧道策略，匹配上后，使用另外一个远程用户的ipsec隧道加密策略(即，安全保护策略)，实现报文的密文封装，匹配对端客户端设备上的路由，转到物理网卡转发出去。另外一个远程用户收到报文后，会匹配自己的ipsec隧道入spi策略，匹配成功后，使用自身安全保护策略对报文进行解密，从而完整的实现了远程用户之间，端到端的ipsec隧道内安全通信。

因此，本发明方案中，在隧道互联互通的基础上，ipsecvpn客户端之间，通过时间策略的访问控制参数，实现客户端之间的隧道内互联互通的访问控制。通过添加对应的时间访问策略，限制ipsecvpn客户端之间互联互通的时间范围，从而实现了隧道内通信的细粒度访问控制。即，在ipsecvpn系统中，ipsecvpn客户端，通过时间策略的访问控制参数，实现客户端之间互联互通隧道的访问控制。

图4为根据本发明另一实施例的虚拟专用网络设备的示意性框图。图4的虚拟专用网络设备400包括：

接收模块410，接收第一客户端发送的以第一ipsec隧道策略封装的通信报文，通信报文包括目的地虚拟地址信息；

解封装模块420，解封装得到通信报文，

第一确定模块430，确定目的地虚拟地址信息对应于第二客户端；

封装模块440，以第二客户端的第二ipsec隧道策略封装通信报文，以及

发送模块450，向第二客户端发送所封装的通信报文。

本申请实施例通过上述各模块配合实施虚拟专用网络通信方法，利用不同的隧道安全策略在不同客户端之间发送通信报文，在兼容了现有协议的情况下实现了通信的安全性。也就是，本发明的目的在于，在ipsecvpn系统中，实现ipsecvpn客户端用户之间，通过下发的虚地址访问对端应用，实现了端到端的ipsec隧道密文通信技术，也就是说，实现一种ipsecvpn客户端之间，ipsec隧道内各种应用协议传输，实现了远程用户之间，信息通信的机密性，提升了各终端之间信息通信的安全性。

图4的虚拟专用网络设备400，还包括：第二确定模块，在接收第一客户端发送的以第一ipsec隧道策略封装的报文之前，确定第一客户端的互联开关参数指示开启。

图4的虚拟专用网络设备400还包括：第三确定模块，在向第二客户端发送之前，确定第二客户端的互联开关参数指示开启。

因此，在ipsecvpn系统中，ipsecvpn客户端，通过参数控制，启动用户之间，隧道内的网络互联互通。此外，在ipsecvpn系统中，通过参数控制，判断是否按照新策略重新封装通信报文，实现ipsecvpn客户端用户通信报文二次密文转发。具体而言，本发明方案ipsec隧道,通过ipsecvpn客户端互联开关参数，确定远程用户之间是否可以使用ipsec隧道进行安全通信。例如，确定两个客户端是否均属于ipsecvpn认证的用户，若是则表明互联开关呈开启状态，此时当远程用户客户端(即，ipsecvpn客户端)在ipsec隧道接入后，也就是成功与ipsecvpn建立通信隧道后，ipsecvpn与客户端间便具有专属于该客户端的虚拟地址(即，虚拟ip)以及保护资源策略(即，匹配该客户端的安全策略)，该用户和其他远程用户之间通信时，也是通过用户之间预先交换各自的虚拟地址来实现信息传输的，而用户接收到的数据包也是预先由ipsecvpn根据各用户的保护资源策略对数据包进行重整后得到的，以确保各用户接收到的数据包均可被自身设备所识别。具体地，在用户访问对端的虚拟地址启用的业务资源时，会先使用自己的ipsec保护资源策略对欲发送至对端的数据进行加密封装，然后基于对端的告知的其虚拟地址当该封装好的数据包进行发送，接着vpn设备会“截获”该数据包，并对其解密，然后根据该数据包发送的目标地址确定接收端信息，确定该接收端是否为已认证的vpn客户端，若是则表明互联开关开启，两客户端可基于vpn设备进行通信，vpn设备便会将解密、解封装的数据包根据对端的保护资源策略而对该数据包重新加密封装，使形成对端设备可解密识别的形式，然后基于目标地址将该重整后的数据包发送至对端，进而完成两客户端基于ipsecvpn的通信。实际操作时，发送方客户端ipsecvpn会匹配上发送方的ipsec保护资源策略，实现数据通信的ipsec隧道封装，在发送方客户端的物理网卡上发送出去。vpn设备物理接口收到对应的加密报文，匹配ipsec隧道入spi对应参数后，将报文转换到隧道接口上，按照ipsec隧道策略解密，并检查报文去向，当根据虚拟地址确定是发往另外一个远程用户时，查看设备远程用户互联开关的状态是否为开启状态，若是，则将报文转送到隧道接口上，并匹配出spi隧道策略，匹配上后，使用另外一个远程用户的ipsec隧道加密策略(即，安全保护策略)，实现报文的密文封装，匹配对端客户端设备上的路由，转到物理网卡转发出去。另外一个远程用户收到报文后，会匹配自己的ipsec隧道入spi策略，匹配成功后，使用自身安全保护策略对报文进行解密，从而完整的实现了远程用户之间，端到端的ipsec隧道内安全通信。

在图4的虚拟专用网络设备400中，第一ipsec隧道策略还包括第一访问时间范围，虚拟专用网络设备400还包括第四确定模块，在接收第一客户端发送的以第一ipsec隧道策略封装的通信报文之前，确定当前时刻在第一访问时间范围内。

在图4的虚拟专用网络设备400中，第二ipsec隧道策略还包括第二访问时间范围，虚拟专用网络设备400还包括第五确定模块，在向第二客户端发送之前，确定当前时刻在第二访问时间范围内。

因此，本发明方案中，在隧道互联互通的基础上，ipsecvpn客户端之间，通过时间策略的访问控制参数，实现客户端之间的隧道内互联互通的访问控制。通过添加对应的时间访问策略，限制ipsecvpn客户端之间互联互通的时间范围，从而实现了隧道内通信的细粒度访问控制。即，在ipsecvpn系统中，ipsecvpn客户端，通过时间策略的访问控制参数，实现客户端之间互联互通隧道的访问控制。

以上实施例仅为本申请的示例性实施例，不用于限制本申请，本申请的保护范围由权利要求书限定。本领域技术人员可以在本申请的实质和保护范围内，对本申请做出各种修改或等同替换，这种修改或等同替换也应视为落在本申请的保护范围内。