CN111294223B - 一种strongswan中的多隔离空间配置方法及系统 - Google Patents

Abstract

本发明公开了一种strongswan中的多隔离空间配置方法及系统，其中，所述方法包括：预先在strongswan的关键字中添加用于表征隔离空间名称的隔离空间关键字；在当前设备中创建strongswan的各个配置文件，所述各个配置文件中通过所述隔离空间关键字定义至少两个隔离空间；基于所述各个配置文件，为每个所述隔离空间创建各自的安全关联，每个所述安全关联用于表征所述当前设备的一个vpn连接。本申请提供的技术方案，能够在strongswan中实现多隔离空间配置，从而提高设备的资源利用率。

Description

一种strongswan中的多隔离空间配置方法及系统

技术领域

本发明涉及互联网技术领域，特别涉及一种strongswan中的多隔离空间配置方法及系统。

背景技术

随着互联网技术的不断发展，VPN(Virtual Private Network，虚拟专用网络)逐渐被应用于组织的总部和分支机构之间的组网互联。VPN利用组织已有的互联网出口，虚拟出一条“专线”，将组织的分支机构和总部连接起来，组成一个大的局域网。

原先基于TCP/IP的VPN体系，任何能够搭入线路的用户都能分析所有的通信数据。为了提高VPN体系的安全性，在VPN中引入了IPsec(Internet Protocol Security，因特网协议安全)协议。IPsec VPN可以提供站点到站点(site-to-site)、端到端(end-to-end)以及端到站点(end-to-site)之间的安全通信，IPsec协议通过数据包封装技术，能够利用Internet中可路由的地址，封装内部网络的IP地址，从而实现异地网络的互通。

目前，可以利用strongswan来实现IPsec VPN的具体方案。Strongswan可以使用Internet密钥交换协议在两个对等体之间建立安全关联(Security association，SA)，通过SA可以实现数据报文的安全传输。

然而，现有的strongswan中不支持多隔离空间配置的场景，因而具备较低的资源利用率。

发明内容

本申请的目的在于提供一种strongswan中的多隔离空间配置方法及系统，能够在strongswan中实现多隔离空间配置，从而提高设备的资源利用率。

为实现上述目的，本申请一方面提供一种strongswan中的多隔离空间配置方法，所述方法包括：预先在strongswan的关键字中添加用于表征隔离空间名称的隔离空间关键字；在当前设备中创建strongswan的各个配置文件，所述各个配置文件中通过所述隔离空间关键字定义至少两个隔离空间；基于所述各个配置文件，为每个所述隔离空间创建各自的安全关联，每个所述安全关联用于表征所述当前设备的一个vpn连接。

为实现上述目的，本申请另一方面还提供一种strongswan中的多隔离空间配置系统，所述系统包括：隔离空间关键字添加单元，用于预先在strongswan的关键字中添加用于表征隔离空间名称的隔离空间关键字；配置文件创建单元，用于在当前设备中创建strongswan的各个配置文件，所述各个配置文件中通过所述隔离空间关键字定义至少两个隔离空间；安全关联创建单元，用于基于所述各个配置文件，为每个所述隔离空间创建各自的安全关联，每个所述安全关联用于表征所述当前设备的一个vpn连接。

由上可见，本申请提供的技术方案，可以预先在strongswan的关键字中添加用于表征隔离空间名称的隔离空间关键字。该隔离空间关键字例如可以是“ns”，通过对该隔离空间关键字赋值，便可以在strongswan的各个配置文件中定义多个隔离空间。这些隔离空间所使用的资源可以相互隔离，从而保证每个隔离空间都是一个单独的个体。这样，在当前设备中可以通过创建的配置文件划分出多个资源隔离的隔离空间，然后根据创建的配置文件，可以为每个隔离空间创建各自的安全关联，每个安全关联均可以表示当前设备上的一个vpn连接。这样，原先只能支持一条vpn连接的当前设备，通过多隔离空间配置之后，便可以同时支持多条不同的vpn连接。后续，当有数据报文发送至当前设备后，当前设备可以判断数据报文是针对哪个隔离空间发送的，从而可以通过判断出的隔离空间对应的SA对该数据报文进行处理。由上可见，本申请提供的技术方案，能够在strongswan中实现资源隔离的多隔离空间配置，从而提高当前设备的资源利用率。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施方式中多隔离空间配置方法的步骤图；

图2是本发明实施方式中多隔离空间配置方法的流程示意图；

图3是本发明实施方式中多隔离空间配置系统的功能模块示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。

本申请提供一种strongswan中的多隔离空间配置方法，请参阅图1和图2，所述方法可以包括以下步骤。

S1：预先在strongswan的关键字中添加用于表征隔离空间名称的隔离空间关键字。

在strongswan中通常会具备一些预先设置的关键字(keyword)，这些关键字可以作为创建配置文件过程中所使用的合法字符。例如，strongswan的关键字中可以包括“IP”，那么在配置文件中，可以通过“IP＝114.114.114.114”这样的方式，为某个IP地址赋值。在strongswan中预先定义过的关键字，都可以直接在配置文件中使用，strongswan可以正常识别这些预先定义过的关键字。

当前，若需要在strongswan中实现多隔离空间配置，那么就需要在strongswan的配置文件中定义不同隔离空间的隔离空间名称。而在原始的strongswan中，并没有预先对表征隔离空间名称的关键字进行定义。因此，如果直接在配置文件中定义隔离空间名称，strongswan在读取配置文件时会由于无法识别隔离空间名称而报错。鉴于此，在本实施方式中，可以预先在strongswan的关键字中添加用于表征隔离空间名称的隔离空间关键字。例如，所述表征隔离空间名称的隔离空间关键字可以是“ns”。当然在实际应用场景中，该隔离空间关键字的形式可以根据需要进行更改。在strongswan的关键字中添加了上述的隔离空间关键字后，该隔离空间关键字便成为了配置文件中的合法字符。这样，在配置文件中便可以通过类似“ns＝user1”的方式，定义隔离空间名称为“user1”的一个隔离空间。

S3：在当前设备中创建strongswan的各个配置文件，所述各个配置文件中通过所述隔离空间关键字定义至少两个隔离空间。

在本实施方式中，所述当前设备可以是安装了strongswan的设备，这样，通过strongswan可以将当前设备配置为一个支持多隔离空间的VPN服务器。在strongswan的关键字中添加了隔离空间关键字之后，便可以开始在当前设备中创建strongswan的各个配置文件。具体地，所述各个配置文件例如可以包括ipsec.conf、strongswan.conf、ipsec.secrets等配置文件。由于在strongswan的关键字中添加了所述隔离空间关键字，因此在各个配置文件中，可以通过所述隔离空间关键字定义多个隔离空间，然后针对每个隔离空间分别设置对应的内容。

在一个实施方式中，在ipsec.conf配置文件的连接配置conn中，可以通过所述隔离空间关键字，定义至少两个隔离空间名称。例如，可以通过“ns＝user1”和“ns＝user2”分别定义隔离空间名称“user1”和“user2”。每个隔离空间名称可以对应一个资源隔离的独立隔离空间。在定义了隔离空间名称之后，可以分别为各个所述隔离空间名称分配公网IP地址。具体地，当前设备可以从当前可用的公网IP地址中，选取与定义的隔离空间名称的数量一致的多个不同的公网IP地址，然后将这些不同的公网IP地址一一分配给各个隔离空间名称，从而使得定义的每个隔离空间名称都具备各自的公网IP地址，并且不同隔离空间名称对应的公网IP地址各不相同。这样，公网IP地址可以作为隔离空间的key值，通过公网IP地址便可以查询到对应的隔离空间。

在一个实施方式中，针对密钥系统和日志系统的配置文件而言，可以将在ipsec.conf配置文件中定义的所述至少两个隔离空间名称添加至所述密钥系统和所述日志系统中，从而可以在所述密钥系统和所述日志系统中创建所述至少两个隔离空间名称各自的隔离配置。

在一个实施方式中，在各个配置文件中定义了多个隔离空间之后，还可以继续为每个隔离空间分配对应的内网IP地址段，从而完成虚拟IP池(virtual ip pool)的创建。所述内网IP地址段可以用于将外部的流量引导至内部网络的设备中。具体地，可以获取所述配置文件中的所述至少两个隔离空间的隔离空间名称，并为获取的各个所述隔离空间名称分配各自的内网IP地址段。为了防止不同隔离空间之间可能会存在重复的内网IP地址段，从而导致后续在处理外部引入的数据流量时，会产生地址冲突，在本实施方式中，针对各个所述隔离空间名称中的当前隔离空间名称，在为所述当前隔离空间名称分配内网IP地址段后，可以将所述当前隔离空间名称标注于为所述当前隔离空间名称分配的内网IP地址段中。其中，当前隔离空间名称可以作为前缀或者后缀标注于分配的内网IP地址段中。例如，当前隔离空间名称为test，那么在将192.168.1.1/24的内网IP地址段分配给当前隔离空间名称之后，当前隔离空间名称对应的内网IP地址段可以表示为“test_192.168.1.1/24”。这样，后续在为其它隔离空间名称分配内网IP地址段时，可以选用未标注隔离空间名称的内网IP地址段，从而避免不同的隔离空间之间存在内网IP地址冲突的问题。这样，按照上述的方式进行内网IP地址段分配之后，不同隔离空间名称对应的内网IP地址段各不相同。

在本实施方式中，在各个配置文件中定义了多个隔离空间之后，可以通过strongswan中的消息传递进程读取配置文件中的各个隔离空间名称。该消息传递进程可以是由strongswan中的消息传递机制stroke msg创建的stroke进程，stroke进程可以将读取到的各个隔离空间名称传递给strongswan主进程，后续便可以通过strongswan主进程为各个隔离空间名称分配互不冲突的内网IP地址段，从而完成虚拟IP池的创建过程。

S5：基于所述各个配置文件，为每个所述隔离空间创建各自的安全关联，每个所述安全关联用于表征所述当前设备的一个vpn连接。

在本实施方式中，在完成配置文件的创建后，strongswan主进程便可以基于所述各个配置文件，分别为各个隔离空间创建各自的安全关联(Security association，SA)，其中，每个SA都可以表征所述当前设备的一个vpn连接，从而使得当前设备可以同时存在多个不同的vpn连接。

在本实施方式中，每个SA均可以按照现有的方式实现两个对等体之间的数据报文的安全传输。具体地，在隔离空间的SA中，可以包含在之前创建的配置文件中设置的该隔离空间的各项信息，这些信息可以限定该隔离空间对应的网络配置以及数据报文的转发规则。例如，隔离空间的SA中可以注明数据报文的加解密策略、数据报文应当以何种方式传输以及数据报文应当被导入哪个内网设备或者被转发至哪个中继设备继续进行传输。这样，在本实施方式中，在所述当前设备接收到数据报文时，可以在创建的各个所述安全关联中确定所述数据报文指向的目标安全关联，并通过所述目标安全关联限定的网络配置和转发规则对所述数据报文进行处理。

具体地，在一个实施方式中，所述数据报文中可以注明目的公网IP地址，这样，当前设备在接收到所述数据报文后，可以从所述数据报文中提取所述目的公网IP地址，并在定义的所述至少两个隔离空间中，查询具备所述目的公网IP地址的目标隔离空间。具体地，由于隔离空间与公网IP地址之间是一一对应的关系，因此可以将所述目的公网IP地址作为key值，查询到对应的目标隔离空间。然后，可以将为所述目标隔离空间创建的安全关联作为所述数据报文指向的目标安全关联。在确定出所述目标安全关联后，便可以通过所述目标安全关联限定的网络配置和转发规则对所述数据报文进行处理。

在实际应用中，可以对所述数据报文按照目标安全关联限定的方式进行封包或者解包。此外，还可以在密钥系统中查询所述目标隔离空间的密钥信息，并基于所述目标隔离空间的密钥信息对所述数据报文进行加密或者解密。另外，还可以在日志系统中查询所述目标隔离空间的日志信息，并将本次针对所述数据报文的处理过程记录于所述目标隔离空间的日志信息中。

在一个实施方式中，目标安全关联可以限定目标隔离空间对应的数据报文是转发至中继设备，还是按照之前分配的内网IP地址段导入内网设备中。因此，通过所述目标安全关联限定的网络配置和转发规则对所述数据报文进行处理时，可以将所述数据报文转发至中继设备，以通过所述中继设备继续传输所述数据报文，或者可以查询所述目标隔离空间的内网IP地址段，并将所述数据报文转发至所述内网IP地址段对应的内网设备中。

由上可见，通过在各个配置文件中定义资源隔离的多个隔离空间，从而可以在当前设备中实现多个隔离空间之间连接配置的隔离、密钥系统的隔离、日志系统的隔离、安全关联的隔离以及虚拟ip池的隔离。每个隔离空间可以对应一个公网IP地址，对于当前设备而言，可以由原先仅支持一条vpn连接的情况，转变为能够同时支持多条vpn连接的情况，从而充分利用了当前设备的资源。

请参阅图3，本申请还提供一种strongswan中的多隔离空间配置系统，所述系统包括：

隔离空间关键字添加单元，用于预先在strongswan的关键字中添加用于表征隔离空间名称的隔离空间关键字；

配置文件创建单元，用于在当前设备中创建strongswan的各个配置文件，所述各个配置文件中通过所述隔离空间关键字定义至少两个隔离空间；

安全关联创建单元，用于基于所述各个配置文件，为每个所述隔离空间创建各自的安全关联，每个所述安全关联用于表征所述当前设备的一个vpn连接。

在一个实施方式中，所述配置文创建单元包括：

连接配置模块，用于在连接配置中通过所述隔离空间关键字，定义至少两个隔离空间名称，并分别为各个所述隔离空间名称分配公网IP地址；其中，不同隔离空间名称对应的公网IP地址各不相同；

密钥配置模块，用于将所述至少两个隔离空间名称添加至密钥系统中，以在所述密钥系统中创建所述至少两个隔离空间名称各自的隔离配置；

日志配置模块，用于将所述至少两个隔离空间名称添加至日志系统中，以在所述日志系统中创建所述至少两个隔离空间名称各自的隔离配置。

如图3所示，在一个实施方式中，所述系统还包括：

内网IP地址段分配单元，用于获取所述配置文件中的所述至少两个隔离空间的隔离空间名称，并为获取的各个所述隔离空间名称分配各自的内网IP地址段；其中，不同隔离空间名称对应的内网IP地址段各不相同。

如图3所示，在一个实施方式中，所述系统还包括：

数据报文处理单元，用于在所述当前设备接收到数据报文时，在创建的各个所述安全关联中确定所述数据报文指向的目标安全关联，并通过所述目标安全关联限定的网络配置和转发规则对所述数据报文进行处理。

由上可见，本申请提供的技术方案，可以预先在strongswan的关键字中添加用于表征隔离空间名称的隔离空间关键字。该隔离空间关键字例如可以是“ns”，通过对该隔离空间关键字赋值，便可以在strongswan的各个配置文件中定义多个隔离空间。这些隔离空间所使用的资源可以相互隔离，从而保证每个隔离空间都是一个单独的个体。这样，在当前设备中可以通过创建的配置文件划分出多个资源隔离的隔离空间，然后根据创建的配置文件，可以为每个隔离空间创建各自的安全关联，每个安全关联均可以表示当前设备上的一个vpn连接。这样，原先只能支持一条vpn连接的当前设备，通过多隔离空间配置之后，便可以同时支持多条不同的vpn连接。后续，当有数据报文发送至当前设备后，当前设备可以判断数据报文是针对哪个隔离空间发送的，从而可以通过判断出的隔离空间对应的SA对该数据报文进行处理。由上可见，本申请提供的技术方案，能够在strongswan中实现资源隔离的多隔离空间配置，从而提高当前设备的资源利用率。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件来实现。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (13)

1.一种strongswan中的多隔离空间配置方法，其特征在于，所述方法包括：

预先在strongswan的关键字列表中添加用于表征隔离空间名称的隔离空间关键字，所述每个隔离空间名称对应一个隔离空间；在当前设备中创建strongswan的各个配置文件，所述各个配置文件中通过所述隔离空间关键字定义至少两个隔离空间；

基于所述各个配置文件，为每个所述隔离空间创建各自的安全关联，每个所述安全关联用于表征所述当前设备的一个vpn连接。

2.根据权利要求1所述的方法，其特征在于，在当前设备中创建strongswan的各个配置文件之后，所述方法还包括：

获取所述配置文件中的所述至少两个隔离空间的隔离空间名称，并为获取的各个所述隔离空间名称分配各自的内网IP地址段；其中，不同隔离空间名称对应的内网IP地址段各不相同。

3.根据权利要求2所述的方法，其特征在于，获取所述配置文件中的所述至少两个隔离空间的隔离空间名称包括：

通过strongswan中的消息传递进程读取所述配置文件中的所述至少两个隔离空间的隔离空间名称，并将读取的所述隔离空间名称传递给strongswan主进程。

4.根据权利要求2或3所述的方法，其特征在于，为获取的各个所述隔离空间名称分配各自的内网IP地址段包括：

针对各个所述隔离空间名称中的当前隔离空间名称，为所述当前隔离空间名称分配内网IP段，并将所述当前隔离空间名称标注于为所述当前隔离空间名称分配的内网IP地址段中。

5.根据权利要求1所述的方法，其特征在于，所述各个配置文件中通过所述隔离空间关键字定义至少两个隔离空间包括：

在连接配置中通过所述隔离空间关键字，定义至少两个隔离空间名称，并分别为各个所述隔离空间名称分配公网IP地址；其中，不同隔离空间名称对应的公网IP地址各不相同；

将所述至少两个隔离空间名称添加至密钥系统和日志系统中，以在所述密钥系统和所述日志系统中创建所述至少两个隔离空间名称各自的隔离配置。

6.根据权利要求5所述的方法，其特征在于，在为每个所述隔离空间创建各自的安全关联之后，所述方法还包括：

在所述当前设备接收到数据报文时，在创建的各个所述安全关联中确定所述数据报文指向的目标安全关联，并通过所述目标安全关联限定的网络配置和转发规则对所述数据报文进行处理。

7.根据权利要求6所述的方法，其特征在于，在创建的各个所述安全关联中确定所述数据报文指向的目标安全关联包括：

从所述数据报文中提取目的公网IP地址，并在定义的所述至少两个隔离空间中，查询具备所述目的公网IP地址的目标隔离空间；

将为所述目标隔离空间创建的安全关联作为所述数据报文指向的目标安全关联。

8.根据权利要求6所述的方法，其特征在于，通过所述目标安全关联限定的网络配置和转发规则对所述数据报文进行处理包括：

在密钥系统中查询所述目标隔离空间的密钥信息，并基于所述目标隔离空间的密钥信息对所述数据报文进行加密或者解密；

在日志系统中查询所述目标隔离空间的日志信息，并将本次针对所述数据报文的处理过程记录于所述目标隔离空间的日志信息中。

9.根据权利要求6或8所述的方法，其特征在于，通过所述目标安全关联限定的网络配置和转发规则对所述数据报文进行处理包括：

将所述数据报文转发至中继设备，以通过所述中继设备继续传输所述数据报文；

或者

查询所述目标隔离空间的内网I P地址段，并将所述数据报文转发至所述内网IP地址段对应的内网设备中。

10.一种strongswan中的多隔离空间配置系统，其特征在于，所述系统包括：

隔离空间关键字添加单元，用于预先在strongswan的关键字中添加用于表征隔离空间名称的隔离空间关键字，所述每个隔离空间名称对应一个隔离空间；

配置文件创建单元，用于在当前设备中创建strongswan的各个配置文件，所述各个配置文件中通过所述隔离空间关键字定义至少两个隔离空间；

安全关联创建单元，用于基于所述各个配置文件，为每个所述隔离空间创建各自的安全关联，每个所述安全关联用于表征所述当前设备的一个vpn连接。

11.根据权利要求10所述的系统，其特征在于，所述配置文件创建单元包括：

连接配置模块，用于在连接配置中通过所述隔离空间关键字，定义至少两个隔离空间名称，并分别为各个所述隔离空间名称分配公网IP地址；其中，不同隔离空间名称对应的公网IP地址各不相同；

密钥配置模块，用于将所述至少两个隔离空间名称添加至密钥系统中，以在所述密钥系统中创建所述至少两个隔离空间名称各自的隔离配置；

日志配置模块，用于将所述至少两个隔离空间名称添加至日志系统中，以在所述日志系统中创建所述至少两个隔离空间名称各自的隔离配置。

12.根据权利要求10所述的系统，其特征在于，所述系统还包括：

内网IP地址段分配单元，用于获取所述配置文件中的所述至少两个隔离空间的隔离空间名称，并为获取的各个所述隔离空间名称分配各自的内网IP地址段；其中，不同隔离空间名称对应的内网IP地址段各不相同。

13.根据权利要求10或12所述的系统，其特征在于，所述系统还包括：

数据报文处理单元，用于在所述当前设备接收到数据报文时，在创建的各个所述安全关联中确定所述数据报文指向的目标安全关联，并通过所述目标安全关联限定的网络配置和转发规则对所述数据报文进行处理。

Images