[发明专利]一种虚拟专用网多实例安全接入的方法及设备

权利要求书

1.一种虚拟专用网VPN多实例安全接入的方法，其特征在于，

当分支节点的上行数据，需要经由本分支节点和总部节点之间的通用路由封装GRE隧道在本分支节点处的GRE隧道接口发送时，分支节点根据配置在所述GRE隧道接口上的因特网协议安全IPSec策略，触发本分支节点和总部节点之间的因特网密钥交换IKE自动协商，其中，所述GRE隧道与总部节点上多个VPN实例中的一个VPN实例相对应，所述IPSec策略中包括在IKE自动协商中使用本节点的认证机构CA证书进行身份认证的规则；

在所述IKE自动协商的过程中，所述分支节点和总部节点分别根据对方节点的CA证书，对对方身份进行认证，并在相互认证通过以后，在所述分支节点和总部节点之间建立IPSec隧道；

分支节点对所述上行数据先后进行IPSec封装和GRE封装，再通过所述GRE隧道发送至总部节点。

2.如权利要求1所述的方法，其特征在于，所述IPSec策略的配置包括：对所有需要经由所述分支节点的GRE隧道接口发送的数据流，都配置为需要IPSec保护；配置通过IKE自动协商方式建立安全联盟；配置在所述IKE自动协商中采用公共密钥基础设施PKI方式进行身份认证；配置所述PKI的域信息。

3.如权利要求2所述的方法，其特征在于，所述触发本分支节点和总部节点之间的因特网密钥交换IKE自动协商包括：分支节点根据所述IPSec策略，判断所述上行数据是否需要IPSec保护，并在所述上行数据需要被保护时，触发所述IKE自动协商。

4.如权利要求3所述的方法，其特征在于，在所述IPSec隧道建立之前，所述分支节点或总部节点根据自身预先配置的PKI的域信息，获取各自的所述CA证书。

5.如权利要求4所述的方法，其特征在于，还包括以下步骤：

总部节点接收来自所述GRE隧道的所述上行数据，对所述上行数据解GRE封装和解IPSec封装，并根据所述GRE隧道对应的VPN实例，对解封装后的上行数据进行转发处理。

6.如权利要求5所述的方法，其特征在于，还包括以下步骤：

当总部节点的下行数据，需要经由所述GRE隧道在本总部节点处的GRE隧道接口发送时，总部节点对所述下行数据先后进行IPSec封装和GRE封装，再通过所述GRE隧道发送出去；

所述分支节点接收来自所述GRE隧道的所述下行数据，对所述下行数据解GRE封装和解IPSec封装，再对解封装后的下行数据进行转发处理。

7.如权利要求1所述的方法，其特征在于，所述GRE隧道与总部节点上多个VPN实例中的一个VPN实例相对应是：所述GRE隧道通过该GRE隧道在总部节点处的GRE隧道接口，与所述多个VPN实例中的一个VPN实例相对应。

8.如权利要求1所述的方法，其特征在于，所述总部节点作为中心，通过星形连接的方式与多个所述分支节点连接。

9.一种分支节点，其特征在于，包括：

GRE隧道建立单元，用于建立本分支节点与总部节点之间的GRE隧道；

IPSec策略配置单元，用于在本分支节点的GRE隧道接口上配置IPSec策略，所述IPSec策略中包括在IKE自动协商中使用本节点的CA证书进行身份认证的规则；

IPSec隧道建立单元，用于在分支节点的上行数据需要经由本分支节点的GRE隧道接口发送时，触发本分支节点和总部节点之间的IKE自动协商，在所述IKE自动协商过程中根据总部节点的CA证书对对总部节点进行身份认证，并在本分支节点和总部节点之间的相互认证通过以后，在本分支节点和总部节点之间建立IPSec隧道；

发送单元，用于在所述IPSec隧道建立单元建立IPSec隧道后，对所述上行数据先后进行IPSec封装和GRE封装，再经由所述GRE隧道建立单元建立的GRE隧道发送出去。

10.如权利要求9所述的分支节点，其特征在于，所述IPSec策略配置单元所配置的所述IPSec策略还包括有：对所有需要经由所述分支节点的GRE隧道接口发送的数据流，都配置为需要IPSec保护；配置通过IKE自动协商方式建立安全联盟；配置在所述IKE自动协商中采用公共密钥基础设施PKI方式进行身份认证；配置所述PKI的域信息。