[发明专利]一种双栈IPSecVPN装置

说明书

技术领域

本发明涉及网络通信安全技术领域，尤其涉及一种双栈IPSec VPN装置。

背景技术

网络本身具有的开放性一方面给使得任意用户都可以接入享用其便利性，另一角度来说网络通信若不采取安全保护措施就会使得通信数据对任何一个进入网络的用户都是可获取的，通信过程不具备安全性。就目前而言随着网络技术的发展和网络新兴业务的大量崛起，特别是在政府、电信、金融和数据通信公司对网络通信的安全性要求已经达到了一个前所未有的高度，这些机构对保密的信息种类急剧增多。而IPv4地址资源短缺是当前IP网络面临的严峻问题，业界公认向IPv6迁移是彻底解决IPv4地址耗尽最有效的方法，另一方面IPv4向IPv6迁移又会遇到已经会影响部署好的VPN网络的问题。另外，随着高速网络的普及，10G和40G网络已经开始普及，100G网络已经在较为发达的地区开始部署，400G的网络也正在走出实验室开始面向应用，如何在如此高速的网络下保证数据的安全性，也成为了一个非常迫切的问题。

针对网络安全的问题，因特网工程部（IETF）提出了一组保护IP层数据的安全协议，即为IPSec协议。IPSec协议是一种标准的、健壮的和包容广泛的机制，协议本身提供了一套默认的、强制实施的安全算法以保证不同的IPSec实现方案可以实现互通，其为IPv4和IPv6的IP层数据提供安全性保证，这种安全性包括数据源认证、数据完整性认证、数据保密性和抗重播保护。

针对未来将长期处于IPv4向IPv6的迁移阶段问题，现有的过渡技术包括双栈技术、隧道技术、NAT-PT技术。双栈技术即通信的节点是双协议栈节点，与IPv4节点通信的时候选择IPv4协议栈，与IPv6节点通信的时候选择IPv6协议栈。隧道技术即实现了两个IPv6的站点之间通过IPv4网络进行通信，包括多种手工隧道技术和自动隧道技术。NAT-PT技术即通过IPv4和IPv6地址之间的相互转换实现IPv4网络和IPv6网络互通。就目前而言，双栈技术方案最为成熟、适用范围更宽，是当前全球运营商部署IPv6的主流选择方案。

把在双栈网络技术、IPSec技术和VPN技术的结合使得设备具有很强的适用范围，可以达到网络协议迁移、网络安全性保护和VPN网络构建的目标。

目前实现双栈IPSec VPN的实现主要有三种方式，通用处理器+纯软件的方式、通用处理器+硬件算法加速模块和集成的网络处理器的实现方式。第一种方式灵活性最大，速度最慢，不适合高速网络下的应用，第二种灵活较低，CPU仍然负担很大的数据流，同样也不适合高速网络下的应用，第三种灵活性适中，CPU不干预数据流流动，CPU只是用来配置管理操作，总线构架中分为CPU的总线和报文数据流进入和外出的总线三条总线，相互独立。IPSec协议实现全部硬件电路实现，可扩展性强，速度最高，适合高速网络场景。

发明内容

本发明所要解决的技术问题在于克服现有技术不足，提供一种双栈IPSec VPN装置，可以满足给下一代IPv4向IPv6高速网络部署提供安全服务，数据处理和传输效率高，可扩展性强。

本发明具体采用以下技术方案解决上述技术问题：

一种双栈IPSec VPN装置，包括双栈VPN处理部分、安全数据库构建和查找部分、安全协议处理部分、数据流传输机制部分和CPU部分；

所述双栈VPN处理部分，用于双协议栈的处理、VPN头的处理，包括外出双栈VPN预处理模块、外出VPN管理表和进入双栈VPN预处理模块；

所述安全数据库构建和查找部分，用于完成IPv4和IPv6两种类型的安全策略数据库维护、匹配查找和一种类型的安全联盟数据库维护、匹配查找；其包括外出双栈安全处理模块、数据报文缓存模块、外出安全数据库操作接口、外出双栈安全数据库模块、进入双栈安全处理模块、进入安全数据库操作接口和进入双栈安全数据库模块；

所述安全协议处理部分，用于完成IPSec AH和ESP协议的封装和解封装处理和对数据报文加密、解密、认证算法处理，其包括IPSec协议处理模块和算法处理模块；

所述数据流传输机制部分，用于控制进入和外出方向数据流以一定的顺序流经不同的模块和网络通信接口；内网外出外网的报文数据通过外出双栈安全处理模块、外出双栈VPN预处理模块处理后，分别将安全参数和VPN参数封装到原始报文的头部；外网进入内网的报文数据通过进入双栈VPN预处理后就会将VPN的头部信息剥掉，这个剥掉VPN信息的报文通过双栈安全处理模块处理后，将安全参数封装到这个报文头部；