经由虚拟私有网络传达的重复分组的高效加密和解密的制作方法

本公开的实施例涉及网络隧道，并且更具体地涉及利用网络隧道跨网络传输网络分组。

背景技术：

1、网络隧道是一种机制，用于以公共网络的网络设备意识不到私有信息的方式通过公共网络来安全传输私有信息。隧道化协议是支持网络隧道的创建的通信协议。隧道化协议使私有信息能够通过被称为封装的过程而跨公共网络被发送。

技术实现思路

1、根据一些实现，一种方法可以包括：由网络设备接收用于分组加密的加密密钥，该分组加密与虚拟私有网络(vpn)相关联，其中加密密钥与解密密钥相关联，该解密密钥由vpn的多个网络设备用于分组解密；由网络设备使用密钥来加密分组以创建经加密的分组，其中经加密的分组包括外部互联网协议(ip)报头，该外部ip报头包括虚拟源地址和第一虚拟目的地地址，虚拟源地址标识网络设备的虚拟隧道端点，第一虚拟目的地地址标识第一接收网络设备的虚拟隧道端点；复制经加密的分组以创建多个经加密的分组，该多个经加密的分组包括与第一接收网络设备相关联的经加密的分组的第一集合、和将与第二接收网络设备相关联的经加密的分组的第二集合；将多个经加密的分组的第二集合中的第一虚拟目的地地址替换为第二虚拟目的地地址，该第二虚拟目的地地址标识第二接收网络设备的虚拟隧道端点；基于隧道化协议来封装经加密的分组的第一集合，以创建经封装经加密的分组的第一集合，其中经封装经加密的分组的第一集合中的个体经封装经加密的分组包括附加外部ip报头，该附加外部ip报头包括物理源地址和物理目的地地址，该物理源地址标识网络设备的物理隧道端点，该物理目的地地址标识第一接收网络设备的物理隧道端点；基于隧道化协议来封装经加密的分组的第二集合，以创建经封装经加密的分组的第二集合，其中经封装经加密的分组的第二集合中的个体经封装经加密的分组包括附加外部ip报头，该附加外部ip报头包括物理源地址和物理目的地地址，该物理源地址标识网络设备的物理隧道端点，该物理目的地地址标识第二接收网络设备的物理隧道端点；经由网络设备与第一接收网络设备之间的第一多个隧道中的个体指定隧道来向第一接收网络设备发送经封装经加密的分组的第一集合中的个体经封装经加密的分组；以及经由网络设备与第二接收网络设备之间的第二多个隧道中的个体指定隧道来向第二接收网络设备发送经封装经加密的分组的第二集合中的个体经封装经加密的分组。

2、根据一些实现，一种网络设备可以包括一个或多个存储器和一个或多个处理器，用以：接收用于分组解密的解密密钥，该分组解密与vpn相关联，其中解密密钥与加密密钥相关联，该加密密钥由vpn的多个网络设备用于分组加密；从传输网络设备经由网络设备与传输网络设备之间的多个隧道中的隧道来接收分组，其中分组包括第一外部ip报头、通用路由封装(gre)报头、第二外部ip报头、与分组的内部分组的加密相关联的封装安全性有效负载(esp)报头、以及内部分组，其中内部分组被esp报头封装，esp报头被第二外部ip报头封装，第二外部ip报头被gre报头封装，并且gre报头被第一外部ip报头封装；解封装分组以从分组移除第一外部ip报头和gre报头，以标识：与esp报头相关联的esp时间戳、以及传输网络设备处的隧道的虚拟隧道端点的虚拟源地址；解密分组以标识内部分组；以及基于esp时间戳来执行与内部分组相关联的动作。

3、根据一些实现，一种非瞬态计算机可读介质可以存储一个或多个指令。该一个或多个指令在由网络设备的一个或多个处理器执行时，可以使一个或多个处理器：接收用于分组加密的加密密钥，该分组加密与vpn相关联，其中加密密钥与解密密钥相关联，该解密密钥由vpn的多个网络设备用于分组解密；使用密钥来加密分组以创建经加密的分组，其中经加密的分组包括外部ip报头，该外部ip报头包括虚拟源地址和第一虚拟目的地地址，虚拟源地址标识网络设备的虚拟隧道端点，第一虚拟目的地地址标识第一接收网络设备的虚拟隧道端点；复制经加密的分组以创建多个经加密的分组，该多个经加密的分组包括与第一接收网络设备相关联的经加密的分组的第一集合、和将与第二接收网络设备相关联的经加密的分组的第二集合；通过将多个经加密的分组的第二集合中的第一虚拟目的地地址替换为第二虚拟目的地地址来修改经加密的分组的第二集合，该第二虚拟目的地地址标识第二接收网络设备的虚拟隧道端点；基于隧道化协议来封装经加密的分组的第一集合和经加密的分组的第二集合，以创建多个经封装经加密的分组；以及基于第一虚拟目的地地址和第二虚拟目的地地址来向第一接收网络设备或者第二接收网络设备发送多个经封装经加密的分组中的个体经封装经加密的分组。

技术特征：

1.一种方法，包括：

2.根据权利要求1所述的方法，其中复制所述经加密的分组包括：

3.根据权利要求1所述的方法，其中复制所述经加密的分组包括：

4.根据权利要求1所述的方法，其中修改所述第一虚拟目的地地址包括：

5.根据权利要求1所述的方法，其中封装所述经加密的分组的第一集合包括：

6.根据权利要求1所述的方法，其中封装所述经加密的分组的第一集合包括：

7.根据权利要求1所述的方法，其中所述经封装经加密的分组的第一集合中的经封装经加密的分组包括由封装安全性有效负载esp报头封装的经加密的内部分组。

8.一种设备，包括：

9.根据权利要求8所述的设备，其中为复制所述经加密的分组，所述一个多个处理器被用以：

10.根据权利要求8所述的设备，其中为复制所述经加密的分组，所述一个多个处理器被用以：

11.根据权利要求8所述的设备，其中为修改所述第一虚拟目的地地址，所述一个多个处理器被用以：

12.根据权利要求8所述的设备，其中为封装所述经加密的分组的第一集合，所述一个多个处理器被用以：

13.根据权利要求8所述的设备，其中为封装所述经加密的分组的第一集合，所述一个多个处理器被用以：

14.根据权利要求8所述的设备，其中所述经封装经加密的分组的第一集合中的经封装经加密的分组包括由封装安全性有效负载esp报头封装的经加密的内部分组。

15.一种非瞬态计算机可读介质，存储一组指令，所述一组指令包括：

16.根据权利要求15所述的非瞬态计算机可读介质，其中使所述设备复制所述经加密的分组的所述一个或多个指令，使所述设备：

17.根据权利要求15所述的非瞬态计算机可读介质，其中使所述设备修改所述第一虚拟目的地地址的所述一个或多个指令，使所述设备：

18.根据权利要求15所述的非瞬态计算机可读介质，其中使所述设备封装所述经加密的分组的第一集合的所述一个或多个指令，使所述设备：

19.根据权利要求15所述的非瞬态计算机可读介质，其中使所述设备封装所述经加密的分组的第一集合的所述一个或多个指令，使所述设备：

20.根据权利要求15所述的非瞬态计算机可读介质，其中所述经封装经加密的分组的第一集合中的经封装经加密的分组包括由装安全性有效负载esp报头封装的经加密的内部分组。

技术总结
本公开的实施例涉及经由虚拟私有网络传达的重复分组的高效加密和解密。一种网络设备可以创建经加密的分组，并且可以复制经加密的分组以创建多个经加密的分组，该多个经加密的分组包括与第一接收网络设备相关联的经加密的分组的第一集合和将与第二接收网络设备相关联的经加密的分组的第二集合。网络设备可以通过将多个经加密的分组的第二集合中的第一虚拟目的地地址替换为第二虚拟目的地地址来修改经加密的分组的第二集合，该第二虚拟目的地地址标识第二接收网络设备的虚拟隧道端点。网络设备可以封装、并且基于第一虚拟目的地地址和第二虚拟目的地地址来向第一接收网络设备或者第二接收网络设备发送个体经封装经加密的分组。

技术研发人员：G·孔达帕武鲁鲁,S·K·巴塔,V·S·R·帕鲁楚里,R·比拉达,S·B·德瓦拉迪
受保护的技术使用者：瞻博网络公司
技术研发日：
技术公布日：2024/1/15