一種基于IPSec的VPN多方連接方法
【專利摘要】本發(fā)明中����,在需要進行多方會話的IPSecVPN中,通過將所有需要進行連接的節(jié)點分為重點節(jié)點和一般節(jié)點����,并設(shè)置其從屬關(guān)系,在發(fā)起多方會話時��,通過重點節(jié)點進行轉(zhuǎn)發(fā)����,使得數(shù)據(jù)通過安全的方式在參與多方會話的節(jié)點之間傳遞。本發(fā)明無需使用任何附加的協(xié)議�����,無需對待發(fā)送的數(shù)據(jù)包進行重新的封裝和打包����,實現(xiàn)了多方會話。通過重點節(jié)點的設(shè)立�,僅需保證重點節(jié)點的轉(zhuǎn)發(fā)性能,即能對其他的一般節(jié)點實現(xiàn)多方的安全連接����,使得企業(yè)等應(yīng)用環(huán)境得到高效、經(jīng)濟的運行模式�����。
【專利說明】—種基于IPSec的VPN多方連接方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信【技術(shù)領(lǐng)域】�����,尤其涉及一種VPN的連接方法�����。
【背景技術(shù)】
[0002]信息技術(shù)的發(fā)展和Internet的廣泛使用����,在給人們生活和工作帶來極大方便的同時,卻也使人們一直十分擔(dān)心在基于開放協(xié)議平臺TCP/IP的Internet上通信數(shù)據(jù)的安全和計算機系統(tǒng)運行的安全��。目前已經(jīng)有多種安全通信技術(shù)應(yīng)用于互聯(lián)網(wǎng)中的數(shù)據(jù)傳輸��,其中在網(wǎng)絡(luò)層實現(xiàn)的因特網(wǎng)協(xié)議安全(IPSec)通信協(xié)議由于對應(yīng)用層完全透明,因此非常適合在現(xiàn)有的TCP/IP網(wǎng)絡(luò)中����,通過增加IPSec安全模塊,而不需修改應(yīng)用系統(tǒng)�����、軟件的設(shè)置�����,為各類網(wǎng)絡(luò)應(yīng)用構(gòu)建一個通用的安全網(wǎng)絡(luò)通信環(huán)境�。
[0003]隨著網(wǎng)絡(luò),尤其是網(wǎng)絡(luò)經(jīng)濟的發(fā)展���,企業(yè)日益擴張���,客戶分布日益廣泛,合作伙伴日益增多����,這種情況促使了企業(yè)的效益日益增長,另一方面也越來越凸顯傳統(tǒng)企業(yè)網(wǎng)的功能缺陷:傳統(tǒng)企業(yè)網(wǎng)基于固定物理地點的專線連接方式已難以適應(yīng)現(xiàn)代企業(yè)的需求于是企業(yè)對于自身的網(wǎng)絡(luò)建設(shè)提出了更高的需求����,主要表現(xiàn)在網(wǎng)絡(luò)的靈活性、安全性��、經(jīng)濟性���、擴展性等方面���。在這樣的背景下,VPN以其獨具特色的優(yōu)勢贏得了越來越多的企業(yè)的青睞����,令企業(yè)可以較少地關(guān)注網(wǎng)絡(luò)的運行與維護,而更多地致力于企業(yè)的商業(yè)目標(biāo)的實現(xiàn)����。
[0004]VPN(Virtual Private Network)是指通過綜合利用網(wǎng)絡(luò)技術(shù)、訪問控制技術(shù)和加密技術(shù)�����,并通過一定的用戶管理機制��,在公共網(wǎng)絡(luò)中建立起安全的“專用”網(wǎng)絡(luò)����,保證數(shù)據(jù)在“加密通道”中進行安全傳輸?shù)募夹g(shù)����。通過隧道(TUNNEL)或虛電路(VIRTUAL CIRCUIT)實現(xiàn)網(wǎng)絡(luò)互聯(lián)�����,支持用戶安全管理���,能夠進行網(wǎng)絡(luò)監(jiān)控�、故障診斷���,具有省錢��、選擇靈活�����、速度快�����、安全性好�、實現(xiàn)投資的保護等優(yōu)點。
[0005]IPSec通過共享密鑰在通訊的兩端實現(xiàn)數(shù)據(jù)加密��,即任意兩端之間都要共享不同的密鑰��,所以IPSec隧道實際上是點到點的加密隧道��,IPSec網(wǎng)絡(luò)就是點到點加密隧道的集合��,IPSec隧道不支持對組播包進行加密�����。目前��,為解決這一問題��,通常采用通用GRE隧道與IPSec加密相結(jié)合的方法����,也即GRE Over IPSec0 GRE是一種在任意一種網(wǎng)絡(luò)層協(xié)議上封裝任意一個其它網(wǎng)絡(luò)層協(xié)議的協(xié)議��,將有效載荷封裝在一個GRE報文中��,然后將此GRE包封裝在其它協(xié)議中進行轉(zhuǎn)發(fā)。GRE隧道支持運載組播數(shù)據(jù)到對端���,而GRE隧道的數(shù)據(jù)報文是單播的���,因此GRE隧道的報文可被IPSec加密。在GRE Over IPSec中����,GRE協(xié)議用于建立隧道,IPSec協(xié)議完成VPN網(wǎng)絡(luò)的加密���。如圖1所示����,現(xiàn)有技術(shù)在實現(xiàn)組播在IPSecVPN傳輸時���,都需要先進行一次GRE封裝����,再將整個GRE報文封裝到IPSec VPN中進行加密傳輸��,這樣能夠保證組播報文在兩個節(jié)點間正常傳輸��。
[0006]顯然,上述處理方案中��,組播數(shù)據(jù)流需要經(jīng)過GER和IPSec兩次封裝與解封裝后才能得到最終處理�����,這對于傳輸時延比較敏感的業(yè)務(wù)���,如語音業(yè)務(wù)影響很大,對視頻業(yè)務(wù)也會產(chǎn)生較大延時����。并且,該方案要求中心節(jié)點和分支節(jié)點同時支持IPSec和GRE兩套VPN技術(shù)�,這增加了該方案的運營和維護成本。
【發(fā)明內(nèi)容】
[0007]本發(fā)明提供了一種基于IPSec的VPN連接方法�����,其特征在于����,包括以下步驟:
步驟202、構(gòu)建網(wǎng)絡(luò)結(jié)構(gòu)���,具體包括:
步驟2021�、將可能需要進行相互連接的各個節(jié)點進行分類,根據(jù)具體需求將所述節(jié)點分為一個重點節(jié)點和若干個一般節(jié)點����;
步驟2022、確定重點節(jié)點和一般節(jié)點的隸屬關(guān)系���,重點節(jié)點下屬若干個一般節(jié)點����;步驟2023����、在重點節(jié)點上配置節(jié)點關(guān)系路由表,表中至少包括重點節(jié)點的ID���、IP地址和MAC地址�����、重點節(jié)點下屬一般節(jié)點的ID���、IP地址和MAC地址��;
步驟2024�、在所有一般節(jié)點上配置節(jié)點關(guān)系路由表�,表中至少包括一般節(jié)點自身的ID、IP地址和MAC地址���、其所屬的重點節(jié)點的ID�、IP地址和MAC地址��;
步驟204�����、發(fā)起連接��,具體包括:
步驟2041���、第一一般節(jié)點發(fā)起多方會話連接,向其所屬的重點節(jié)點發(fā)送連接請求消息�����,其中至少包括所述第一一般節(jié)點自身的ID����、IP地址和MAC地址����,以及要連接的所有其他節(jié)點的ID��、IP地址和MAC地址信息��;
步驟2042�、重點節(jié)點接收到所述連接請求消息,獲取消息中的所有待連接節(jié)點中一般節(jié)點的ID��、IP地址���、MAC地址信息后�,向這些節(jié)點發(fā)起IPSec VPN連接����;
步驟2043、每條IPSec VPN連接成功后�,均在重點節(jié)點上記錄IPSec VPN連接信息,至少包括所連接的一般節(jié)點的ID���、IP地址和MAC地址和該連接所使用的IPSec協(xié)商信息的對應(yīng)關(guān)系���,構(gòu)成對應(yīng)關(guān)系表����;
步驟206����、建立會話,具體包括:
步驟2061�����、第一一般節(jié)點使用其與重點節(jié)點建立的第一 IPSec VPN連接向重點節(jié)點發(fā)送數(shù)據(jù)��,該數(shù)據(jù)使用所述第一 IPSec VPN連接所協(xié)商信息進行封裝傳輸�;
步驟2062、重點節(jié)點接收到該數(shù)據(jù)���,判斷其源為第——般節(jié)點時,查找所述對應(yīng)關(guān)系表����,得到第一一般節(jié)點對應(yīng)的IPSec協(xié)商信息,解封裝數(shù)據(jù)包��,得到包內(nèi)數(shù)據(jù);
步驟2063���、若連接請求消息中的多方通話包括了重點節(jié)點����,則將所述包內(nèi)數(shù)據(jù)發(fā)送給重點節(jié)點的用戶���,進行下一步�;否則直接進行下一步����;
步驟208、轉(zhuǎn)發(fā)數(shù)據(jù)����,具體包括:
步驟2081、重點節(jié)點查找所述對應(yīng)關(guān)系表��,找到除所述第一一般節(jié)點外的其他一般節(jié)點����,使用該表中的對應(yīng)關(guān)系獲取所述其他一般節(jié)點對應(yīng)的IPSec協(xié)商信息;
步驟2082、對每一個所述其他一般節(jié)點�,重點節(jié)點使用其對應(yīng)的IPSec協(xié)商信息對接收到的數(shù)據(jù)進行封裝,通過IPSec VPN將數(shù)據(jù)轉(zhuǎn)發(fā)給該其他一般節(jié)點���;
步驟2082�����、所述其他一般節(jié)點接收數(shù)據(jù)并進行解封裝���,完成會話;
步驟210���、結(jié)束會話��,具體包括:會話結(jié)束后���,拆除所有已建立的連接,并刪除重點節(jié)點上保存的所述對應(yīng)關(guān)系表��。
[0008]本發(fā)明中�,無需使用任何附加的協(xié)議����,無需在待發(fā)送的數(shù)據(jù)包進行重新的封裝和打包��,實現(xiàn)了多方會話���。通過重點節(jié)點的設(shè)立,僅需保證重點節(jié)點的轉(zhuǎn)發(fā)性能�����,即能對其他的一般節(jié)點實現(xiàn)多方的安全連接����,使得企業(yè)等應(yīng)用環(huán)境得到高效、經(jīng)濟的運行模式�。
【專利附圖】
【附圖說明】
[0009]為了更清楚地說明本發(fā)明實施例中的技術(shù)方案,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹�,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實施例�����。對于本領(lǐng)域普通技術(shù)人員來講���,在不付出創(chuàng)造性勞動的前提下�,還可以根據(jù)這些附圖獲得其他的附圖。
[0010]圖1為本發(fā)明系統(tǒng)結(jié)構(gòu)圖����。
[0011]圖2為本發(fā)明實施例一的流程圖。
【具體實施方式】
[0012]為使本發(fā)明的目的��、技術(shù)方案及優(yōu)點更加清楚明白��,以下將通過具體實施例和相關(guān)附圖��,對本發(fā)明作進一步詳細說明�����。
[0013]實施例一
本發(fā)明實施例一提供了一種基于IPSec的VPN連接方法���,其特征在于�,包括以下步驟: 步驟202��、構(gòu)建網(wǎng)絡(luò)結(jié)構(gòu)�,具體包括:
步驟2021、將可能需要進行連接的各個節(jié)點進行分類��,根據(jù)具體需求將所述節(jié)點分為一個重點節(jié)點和若干個一般節(jié)點���;
步驟2022��、確定重點節(jié)點和一般節(jié)點的隸屬關(guān)系��,重點節(jié)點下屬若干個一般節(jié)點����;
步驟2023��、在重點節(jié)點上配置節(jié)點關(guān)系路由表���,表中至少包括重點節(jié)點的ID����、IP地址和MAC地址�����、重點節(jié)點下屬一般節(jié)點的ID����、IP地址和MAC地址;
步驟2024�、在所有一般節(jié)點上配置節(jié)點關(guān)系路由表�����,表中至少包括一般節(jié)點自身的ID��、IP地址和MAC地址�����、其所屬的重點節(jié)點的ID�、IP地址和MAC地址�����;
步驟204����、發(fā)起連接,具體包括:
步驟2041��、第一一般節(jié)點發(fā)起多方會話連接�����,向其所屬的重點節(jié)點發(fā)送連接請求消息�����,其中至少包括所述第一一般節(jié)點自身的ID、IP地址和MAC地址�,以及要連接的所有其他節(jié)點的ID、IP地址和MAC地址信息��;
步驟2042��、重點節(jié)點接收到所述連接請求消息�����,獲取消息中的所有待連接節(jié)點中一般節(jié)點的ID�����、IP地址���、MAC地址信息后,向這些節(jié)點發(fā)起IPSec VPN連接���;
步驟2043���、每條IPSec VPN連接成功后��,均在重點節(jié)點上記錄IPSec VPN連接信息���,至少包括所連接的一般節(jié)點的ID、IP地址和MAC地址和該連接所使用的IPSec協(xié)商信息的對應(yīng)關(guān)系�����,構(gòu)成對應(yīng)關(guān)系表����;
步驟206、建立會話�,具體包括:
步驟2061、第一一般節(jié)點使用其與重點節(jié)點建立的第一 IPSec VPN連接向重點節(jié)點發(fā)送數(shù)據(jù)��,該數(shù)據(jù)使用所述第一 IPSec VPN連接所協(xié)商信息進行封裝傳輸�����;
步驟2062���、重點節(jié)點接收到該數(shù)據(jù)����,判斷其源為第——般節(jié)點時,查找所述對應(yīng)關(guān)系表����,得到第一一般節(jié)點對應(yīng)的IPSec協(xié)商信息,解封裝數(shù)據(jù)包��,得到包內(nèi)數(shù)據(jù)���;
步驟2063、若連接請求消息中的多方通話包括了重點節(jié)點���,則將所述包內(nèi)數(shù)據(jù)發(fā)送給重點節(jié)點的用戶�,進行下一步�;否則直接進行下一步;
步驟208����、轉(zhuǎn)發(fā)數(shù)據(jù),具體包括:
步驟2081�、重點節(jié)點查找所述對應(yīng)關(guān)系表,找到除所述第一一般節(jié)點外的其他一般節(jié)點����,使用該表中的對應(yīng)關(guān)系獲取所述其他一般節(jié)點對應(yīng)的IPSec協(xié)商信息���; 步驟2082、對每一個所述其他一般節(jié)點���,重點節(jié)點使用其對應(yīng)的IPSec協(xié)商信息對接收到的數(shù)據(jù)進行封裝��,通過IPSec VPN將數(shù)據(jù)轉(zhuǎn)發(fā)給該其他一般節(jié)點���;
步驟2082、所述其他一般節(jié)點接收數(shù)據(jù)并進行解封裝��,完成會話�����;
步驟210����、結(jié)束會話,具體包括:會話結(jié)束后����,拆除所有已建立的連接,并刪除重點節(jié)點上保存的所述對應(yīng)關(guān)系表。
[0014]實施例二
在所述步驟2041之前,還包括:
步驟2040�����、第一一般節(jié)點接收用戶發(fā)起的會話請求�,判斷待連接的會話是雙方會話還是多方會話,若是雙方會話則使用一般的IPSec VPN連接流程進行連接��;若是多方會話則進行步驟2041����。
[0015]本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述實施例方法中的全部或部分流程,是可以通過主機程序來指令相關(guān)的硬件來完成,所述的程序可存儲于一主機可讀取存儲介質(zhì)中���,該程序在執(zhí)行時,可包括如上述各方法的實施例的流程��。其中��,所述的存儲介質(zhì)可為磁碟���、光盤�����、只讀存儲記憶體(Read-Only Memory, ROM)或隨機存儲記憶體(Random AccessMemory, RAM)等���。
[0016]上列較佳實施例����,對本發(fā)明的目的�����、技術(shù)方案和優(yōu)點進行了進一步詳細說明����,所應(yīng)理解的是,以上所述僅為本發(fā)明的較佳實施例而已���,并不用以限制本發(fā)明�����,凡在本發(fā)明的精神和原則之內(nèi)����,所作的任何修改�、等同替換���、改進等,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)����。
【權(quán)利要求】
1.一種基于IPSec的VPN連接方法,其特征在于����,包括以下步驟: 步驟202、構(gòu)建網(wǎng)絡(luò)結(jié)構(gòu)�,具體包括: 步驟2021、將可能需要進行相互連接的各個節(jié)點進行分類�����,根據(jù)具體需求將所述節(jié)點分為一個重點節(jié)點和若干個一般節(jié)點����; 步驟2022����、確定重點節(jié)點和一般節(jié)點的隸屬關(guān)系,重點節(jié)點下屬若干個一般節(jié)點�;步驟2023、在重點節(jié)點上配置節(jié)點關(guān)系路由表,表中至少包括重點節(jié)點的ID���、IP地址和MAC地址�����、重點節(jié)點下屬一般節(jié)點的ID�、IP地址和MAC地址�����; 步驟2024�����、在所有一般節(jié)點上配置節(jié)點關(guān)系路由表��,表中至少包括一般節(jié)點自身的ID�、IP地址和MAC地址、其所屬的重點節(jié)點的ID���、IP地址和MAC地址�; 步驟204�、發(fā)起連接�����,具體包括: 步驟2041��、第一一般節(jié)點發(fā)起多方會話連接�����,向其所屬的重點節(jié)點發(fā)送連接請求消息�����,其中至少包括所述第一一般節(jié)點自身的ID�、IP地址和MAC地址�����,以及要連接的所有其他節(jié)點的ID�����、IP地址和MAC地址信息�����; 步驟2042����、重點節(jié)點接收到所述請求消息,獲取消息中的所有待連接節(jié)點中一般節(jié)點的ID�、IP地址、MAC地址信息后�����,向這些節(jié)點發(fā)起IPSec VPN連接�; 步驟2043、每條IPSec VPN連接成功后���,均在重點節(jié)點上記錄IPSec VPN連接信息���,至少包括所連接的一般節(jié)點的ID、IP地址和MAC地址和該連接所使用的IPSec協(xié)商信息的對應(yīng)關(guān)系�����,構(gòu)成對應(yīng)關(guān)系表�; 步驟206、建立會話��,具體包括: 步驟2061、第一一般節(jié)點使用其與重點節(jié)點建立的第一 IPSec VPN連接向重點節(jié)點發(fā)送數(shù)據(jù)�����,該數(shù)據(jù)使用所述第一 IPSec VPN連接所協(xié)商信息進行封裝傳輸����; 步驟2062、重點節(jié)點接收到該數(shù)據(jù)�,判斷其源為第一一般節(jié)點時,查找所述對應(yīng)表����,得到第一一般節(jié)點對應(yīng)的IPSec協(xié)商信息,解封裝數(shù)據(jù)包����,得到包內(nèi)數(shù)據(jù); 步驟2063�、若連接請求消息中的多方通話包括了重點節(jié)點,則將所述包內(nèi)數(shù)據(jù)發(fā)送給重點節(jié)點的用戶��,進行下一步���;否則直接進行下一步�; 步驟208、轉(zhuǎn)發(fā)數(shù)據(jù)�����,具體包括: 步驟2081����、重點節(jié)點查找所述對應(yīng)關(guān)系表����,找到除所述第一一般節(jié)點外的其他一般節(jié)點,使用該表中的對應(yīng)關(guān)系獲取所述其他一般節(jié)點對應(yīng)的IPSec協(xié)商信息���; 步驟2082�、對每一個所述其他一般節(jié)點���,重點節(jié)點使用其對應(yīng)的IPSec協(xié)商信息對接收到的數(shù)據(jù)進行封裝�����,通過IPSec VPN將數(shù)據(jù)轉(zhuǎn)發(fā)給該其他一般節(jié)點�����; 步驟2082���、所述其他一般節(jié)點接收數(shù)據(jù)并進行解封裝���,完成會話; 步驟210�、結(jié)束會話,具體包括:會話結(jié)束后��,拆除所有已建立的連接�����,并刪除重點節(jié)點上保存的所述對應(yīng)關(guān)系表����。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于�����,在所述步驟2041之前���,還包括: 步驟2040���、第一一般節(jié)點接收用戶發(fā)起的會話請求�����,判斷待連接的會話是雙方會話還是多方會話��,若是雙方會話則使用一般的IPSec VPN連接流程進行連接;若是多方會話則進行步驟2041���。
【文檔編號】H04L29/06GK104253733SQ201310257268
【公開日】2014年12月31日 申請日期:2013年6月26日 優(yōu)先權(quán)日:2013年6月26日
【發(fā)明者】蘇長君, 鄭曙光 申請人:北京思普崚技術(shù)有限公司