[发明专利]一种IPSec VPN网关数据处理方法

说明书

技术领域

本发明涉及通讯安全领域，尤其是一种IPSec VPN自动配置IPSec策略的方法。

背景技术

IPSec（Internet Protocol Security），是通过对IP协议（互联网协议）的分组进行加密和认证来保护IP协议的网络传输协议族（一些相互关联的协议的集合），用以提供公用和专用网络的端对端加密和验证服务。

IPsec由两大部分组成：（1）建立安全分组流的密钥交换协议；（2）保护分组流的协议。前者为互联网密钥交换（IKE）协议。后者包括加密分组流的封装安全载荷协议（ESP协议）或认证头协议（AH协议）协议，用于保证数据的机密性、来源可靠性（认证）、无连接的完整性并提供抗重播服务,鉴于ESP协议具有更好的安全性，在实际应用中大多是ESP协议，本文中只阐述使用ESP协议时的处理流程。

VPN(Virtual Private Network，虚拟专用网络)被定义为通过公用网络(通常是因特网)建立临时的、安全的连接，是一条穿过公用网络的安全、稳定隧道。VPN 可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接， 用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。VPN 主要采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。

IPSec VPN即指采用IPSec协议来实现远程接入的一种VPN技术。IPSec VPN提供（1）入口对入口通信安全，在此机制下，分组通信的安全性由单个节点提供给多台机器（甚至可以是整个局域网）；（2）端到端分组通信安全，由作为端点的计算机完成安全操作。

IPSec VPN网关是指提供IPSec服务的网关设备。IPSec VPN可提供端到端、端到网络、网络到网络的通信安全，通常，IPSec VPN在端到网络、网络到网络的模式下，在网络一端一般部署IPSec VPN网关来负责实现IPSec的配置和通信。IPSec VPN网关需要配置IPSec策略，IPSec策略一般根据到达IPSec VPN网关的网络数据包的源地址、源端口、目的地址、目的端口、协议类型来确定该数据包是否应该按IPSec的保护分组流的协议处理。

IPSec VPN常用于机构总部到各分支机构、以及各分支机构之间，基于不安全的Internet网络，提供安全的网络通讯服务。通常在机构总部和各分支机构接入互联网的入口处部署IPSec VPN网关，由 IPSec VPN网关实现安全的网络通信服务。

由于总部、分支机构组成了网状的网络结构，且总部、分支机构只是也可能存在一定规模的内部局域网，因此，在每个IPSec VPN网关中都可能要包配置其他网关的网络信息，包括其他网关的IP地址，其他网关所保护的内网地址，甚至其他网关所保护的一系列内网服务的地址和端口，并需要根据这些信息和本网关所保护的网络信息配置策略，且一旦某个网络或服务发生变化，与其相关的IPSec VPN网关均需要做修改对应的策略，在这类情况下，策略的配置会相当的繁琐，也容易出错，导致网络不通，影响IPSec VPN网关提供的网络服务。

发明内容

本发明所要解决的技术问题是：针对上述存在的问题，提供一种IPSec VPN网关数据处理方法，采用本发明提供的方法，仅需在每个IPSec VPN网关配置自身所保护的网络和服务，并配置信息发布中心信息，即可实现到IPSec VPN网关之间所保护的网络间的互联互通。

本发明采用的技术方案如下：

一种IPSec VPN网关数据处理方法包括：

步骤1：IPSec VPN网关与信息发布服务器建立信息连接；

步骤2：每台IPSec VPN网关与信息发布服务器建立信息连接后，从信息发布服务器获取其他IPSec VPN网关的信息及所保护的网络服务的信息，并生成IPSec策略信息，所述IPSec VPN策略信息是与其他IPSec VPN网关所保护的网络服务的信息一一对应的；

步骤3：当某IPSec VPN网关接收到网络数据包时，该IPSec VPN网关会根据该网络数据包的网络信息、IPSec策略信息以及该IPSec VPN网关的访问权限设置，判断该网络数据包是否该按照ESP协议处理。

所述步骤1具体步骤包括：

步骤11：信息发布服务器为所有IPSec VPN网关配置对应的认证信息；

步骤12：所述每台IPSec VPN网关配置信息发布服务的信息，所述信息发布服务的信息包括认证信息及信息发布服务器地址；