[发明专利]一种地址分离映射网络中IPSec-VPN的部署方法

说明书

技术领域

本发明涉及基于地址分离映射网络的一种IPSec-VPN的部署方法，属于网络应用技术领域。

背景技术

地址分离映射网络将传统IP地址既表示主机身份又表示主机位置的双重功能进行分离，分成了两种地址类型：接入地址和路由地址。其中接入地址代表了终端的身份信息，而路由地址则代表了终端的位置信息。同时，该网络中以接入路由器为边界，将网络划分为接入网和核心网两部分。接入网实现各种类型的终端或者固定、移动、传感网络等的接入；核心网解决位置管理和路由技术。

通过将终端用户所在的接入网和运营者所在的核心网进行分离，可以保证各种接入技术和核心网的架构分别进行独立的技术演进，而不互相影响。在接入网，这些技术可以包括各种新兴接入技术如移动网络、传感网络、智能家电等，各种技术甚至可以使用不同的协议栈和不同的身份表达方式；在核心网，这些技术可以包括核心网络的基本架构、路由方式、安全机制、服务质量机制等。

地址分离映射网络的结构模型如图1所示。在地址分离映射网络中，接入路由器主要负责各种固定终端、移动终端、WLAN等固定网络、移动子网以及自组网等移动网络的接入，为接入的用户分配接入地址和路由地址，并将用户的数据包进行地址替换后在核心网中传输。

核心路由器(CR-Core Router)的主要功能是根据数据报文中的路由地址，在核心网进行选路和转发数据报文。

认证中心负责记录用户类别，用户享受的服务等级等，在用户接入时进行接入控制和授权。认证中心的数据库中存放了所有合法用户的认证信息。在认证过程中，不仅网络要认证终端是否合法，终端也要认证网络是否合法。

映射服务器主要负责维护网络中接入地址和路由地址的映射关系，并向接入路由器和其他映射服务器提供查询服务。映射服务器上保存的映射关系都是已经通过认证并且可以被合法终端所使用。

地址分离映射网络运用身份与位置分离的技术，采用“间接通信”的方式，完成网内终端通信。图2是身份分离映射网络中通信示意图，接入网采用接入地址转发数据，而进入核心网后，采用路由地址替代接入地址转发，到达通信对端的接入路由器后，数据包的路由地址被置换回原来的接入地址，再发给接收方。

地址分离映射网络的路由交换技术的实现可以增强网络传输的安全性，在传输过程中隐藏其真实的源地址、目的地址及其相关信息。但是，该网络结构仍然存在安全隐患。

1)核心网窃听。攻击者利用监听工具在核心网络获取所有数据包后，从中抽取关键信息，造成信息外泄。

2)数据篡改。攻击者在核心网中截取并捕获了一系列数据包，对这些数据包进行修改，然后再将这些数据重新放到网络中，从而进行非法数据的通信。

3)重放攻击。攻击者发送一个目的主机已经接收过的数据包，来达到欺骗系统的目的，重放攻击主要发生在身份认证过程中。

4)身份欺骗。攻击者通过修改接入网中的数据包，伪造接入路由器地址池中存在的接入地址，导致对端主机将数据包发往其他用户，造成信息流失。

鉴于地址分离映射网络中存在的安全隐患，有必要对其安全特性进行拓展改进，以提供更高安全级别的通信服务。

(1)IPSec-VPN技术方案

针对现有的因特网体系而设计出应用于因特网中的IPSec-VPN技术，如图3所示，现有因特网中IPSec-VPN(IPSec：IP Security，IP层安全协议体系；VPN：Virtual Private Network，虚拟专用网)，利用IPSec协议，使用IP隧道技术，实现虚拟专用网。

现有的因特网中，利用IPSec安全网关建立一条穿过公用的因特网的隧道，将两个或多个相隔较远的场所连接起来，使得这两个场所组成一个虚拟专用网VPN。这样，各场所内部的通信都不经过因特网，而各场所之间的通信需经过IPSec加密认证处理，以保证通信的安全性。这种跨越因特网建立的VPN连接逻辑上等同于两地之间使用广域网建立的连接。

虽然VPN通信建立在公共因特网的基础上，但是用户在使用VPN时感觉如同在使用专用网络进行通讯，因而在当今企业全球运作广泛分布，远程通讯量日益增大的情况下，当员工需要访问中央资源时，解决了企业之间以及企业内部分支之间远距离进行及时和有效的通信问题。由于IPSec-VPN是针对现有的因特网体系而设计，现有因特网体系不同于地址分离映射网络，没有接入地址和路由地址的概念，不能直接将该技术运用于地址分离映射网络。

(2)第二层隧道协议