CN1150718C - 在虚拟私有网的隧道虚接口上保证互联网协议安全的方法 - Google Patents
在虚拟私有网的隧道虚接口上保证互联网协议安全的方法 Download PDFInfo
- Publication number
- CN1150718C CN1150718C CNB011198303A CN01119830A CN1150718C CN 1150718 C CN1150718 C CN 1150718C CN B011198303 A CNB011198303 A CN B011198303A CN 01119830 A CN01119830 A CN 01119830A CN 1150718 C CN1150718 C CN 1150718C
- Authority
- CN
- China
- Prior art keywords
- private network
- tunnel
- ipsec
- virtual interface
- interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种在虚拟私有网的隧道虚接口上保证互联网协议安全的实现方法,是将在实际物理接口上应用的IPSec安全技术保障方法,移植到虚拟私有网VPN的隧道虚接口上应用,以使所有访问私有网的各类报文,不管其属于哪类协议,都能够得到IPSec的安全技术保障,保证通信安全。其包括有下列步骤:1、设置至少一项访问控制列表ACL(Access Control Lists),2、定义如何应用第1步设置的访问控制列表ACL的IPSec安全技术保障方法,3、设置隧道虚接口,4、在隧道虚接口上应用第2步生成的IPSec安全技术保障方法。
Description
技术领域
本发明涉及一种保证互联网协议IP报文安全传输的方法,确切地说,涉及一种在虚拟私有网的隧道虚接口上保证互联网协议安全的实现方法,属于数字信息的传输中保证通信安全的技术领域。
背景技术
互联网协议安全IPSec(IP Security)是IETF制定的IP层报文安全传输的标准。在IP报文封装的方式上,互联网协议安全IPSec是提供隧道方式的封装,利用这个特性可以实现虚拟私有网VPN功能。在设置IPSec的安全保护技术手段的过程中,如果和访问控制列表ACL(Access Control Lists)相结合,可以实现对不同的数据流执行不同的安全保护措施。目前,传统技术是把设置好的安全保护技术措施应用到实际的物理接口上,完成对进出该物理接口的IP报文进行数据加密(解密)、验证、防重放攻击等保证通信安全的各项技术保障手段。如果IPSec的保证通信安全的各项技术方法只能应用在实际的物理接口上,那它就只能为进出这个实际物理接口上的IP报文实施安全保护。然而,在虚拟私有网VPN的隧道虚接口上,尚不能应用上述IPSec的保证通信安全的各项技术方法。如果在虚拟私有网VPN的隧道虚接口上也能够应用上述IPSec的安全技术保障手段的话,那将能够给进出该VPN的隧道虚接口的IP报文也提供安全保护的技术。这样,无疑将会受到虚拟私有网VPN的众多用户的衷心欢迎。
例如,参见图1所示,一个有着私有IP地址的私有网B中的用户A访问另外一个私有网C中的某一台服务器D,这两个私有网B、C之间则是通过Internet相连的(这是一个典型的虚拟私有网VPN的应用实例)。私有网B通过一台路由器R1和Internet连接。在路由器R1和Internet直接相连的物理接口上通常都是设置有应用IPSec的安全技术保障方法。该安全技术保障方法规定所有进出该物理接口、并且应用协议是传输控制协议TCP(Transmission ControlProtocol)的IP报文都应该使用IPSec的隧道加密功能。但是,该项安全技术保障方法是不想让其他应用协议(例如用户数据报协议UDP和普通路由封装GRE)的IP报文也能够应用IPSec的加密措施。然而,为了所有拥护不同应用层协议的IP报文都能实现虚拟私有网VPN功能,在路由器R1上创建了一个VPN的隧道虚接口,在这个虚接口上封装了普通路由封装GRE(GenericRouting Encapsulation)协议,其指定隧道的对端地址是私有网C和Internet相连的路由器R2上的Internet网公有地址,并且由路由模块确定所有到私有网C的IP报文都要先经过这个VPN隧道虚接口。申请人出版的《Quidway系列路由器用户手册配置指导分册V1.3》中的第11-37页“路由器配置举例”部分(资料版本:T1-080139-20010615-C-1.3)对如何应用访问控制列表ACL(Access Control Lists)和隧道方式的封装特性相结合,对不同的数据流实现不同的安全保护措施的方法作了详细又具体的说明,即采用下列两个操作步骤:首先设置至少一项访问控制列表ACL,然后定义如何应用上述步骤设置的访问控制列表ACL的IPSec安全技术保障方法。其中第一步骤和第二步骤分别与上述资料文档配置举例部分的第1、2条命令和第3~17条命令相对应(有关参考资料中路由器A配置举例的全部指令内容因为是过于具体的程序指令,故在此不再赘述)。这样,通常用户A就会以为所有通过Internet的TCP报文是可以经过IPSec加密而保证通信安全的,而实际的事实却是:在目前的状况下所有访问私有网C的TCP报文在Internet上传输时是不受IPSec保护的。
发明内容
本发明的目的是提供一种在虚拟私有网的隧道虚接口上保证互联网协议安全的实现方法,也就是说,将一种在实际物理接口上已经普遍使用的IPSec安全技术保障方法提供给虚拟私有网VPN的隧道虚接口上应用,以使所有访问私有网的各类报文,不管其属于哪类协议,都能够得到IPSec的安全技术保障,以保证通信安全。
本发明的目的是这样实现的:一种在虚拟私有网的隧道虚接口上保证互联网协议安全的实现方法,是将在实际物理接口上应用的IPSec安全技术保障方法,移植应用到虚拟私有网VPN的隧道虚接口上;包括有下列操作步骤:
(1)设置至少一项访问控制列表ACL;
(2)定义如何应用第(1)步骤设置的访问控制列表ACL的IPSec安全技术保障方法;
其特征在于:该方法进一步包括有以下操作步骤:
(3)设置隧道虚接口;
(4)在隧道虚接口上应用第(2)步骤生成的IPSec安全技术保障方法。
本发明的特点是将在在物理接口上应用的IPSec安全技术保障方法,移植到虚拟私有网VPN的隧道虚接口上应用,这样,所有IPSec安全技术保障方法应用在物理接口上所获得的好处,在VPN隧道虚接口上应用时同样可以获得,例如数据加密、报文验证、防重放攻击等。所以,如果应用本发明,图1中的用户A发出的通过Internet传输的TCP报文也可以得到IPSec安全技术保护了。
附图说明
图1是应用本发明方法的第一实施例-用户A通过VPN访问服务器D-的系统组成示意图。
图2是应用本发明方法的第二实施例-GPRS/WCDMA中手机用户非透明方式通过Internet访问企业网-的系统组成示意图。
具体实施方式
下面结合附图详细介绍本发明的方法步骤、特点和功效:
参见图1所示的一典型虚拟私有网VPN的应用实例:一个有着私有IP地址的私有网B中的用户A访问另外一个私有网C中的某一台服务器D,这两个私有网B、C之间则通过Internet相连。其中私有网B通过一台路由器R1和Internet连接。在路由器R1和Internet直接相连的物理接口上通常都设置有应用IPSec的安全技术保障方法。本发明则是将在实际物理接口上应用的IPSec安全技术保障方法,再移植到虚拟私有网VPN的隧道虚接口上应用。其具体包括有下列步骤:1、设置至少一项访问控制列表ACL(Access Control Lists),2、定义如何应用第1步设置的访问控制列表ACL的IPSec安全技术保障方法,3、设置隧道虚接口,4、在隧道虚接口上应用第2步生成的IPSec安全技术保障方法。
原来在路由器R1和Internet相连的物理接口上应用的IPSec安全技术保障方法是不想让应用层协议是普通路由封装GRE的报文也使用IPSec的加密功能,而且采用GRE+IPSec的方法实现虚拟私有网VPN的效率与直接使用IPSec的隧道方式实现VPN的效率相比较明显要低。但是,利用本发明的方法可以在路由器R1封装GRE协议的VPN隧道虚接口上直接应用IPSec的安全技术保障方法。此时,只要条件符合(即符合IPSec的安全技术保障方法中匹配的访问控制列表ACL的规定),就可以直接应用IPSec的安全技术保障方法了。
本发明的方法已经在通用分组无线业务GPRS/宽带码分多址WCDMA系统中进行实施试验,即在不同的手机用户拥有不同的访问点名APN(AccessPoint Name)所分配的相同的私有IP地址的环境下,通过使用本发明的方法,即在VPN的隧道虚接口上应用IPSec的安全技术保障方法,就可以实现各手机用户通过IPSec隧道访问不同APN的应用目的。实施试验的结果是成功的,达到了预期的效果。
为了能够让拥有相同私有IP地址的不同手机用户访问不同的APN,在GGSN上必须将相同IP地址的报文根据其所属的不同APN送入不同的VPN隧道虚接口,以便封装进不同的VPN隧道。图2所示的即为分属于APN1和APN2的两个手机用户的手机MT的IP私有地址是相同的情况,此时,如果只能在实际物理接口上应用IPSec的安全技术保障方法,为了能够应用IPSec的方式安全地传输IP报文,就只能采取某种VPN协议(例如普通路由封装GRE)+IPSec这种低效率的传输方式(因为IPSec协议本身就直接支持VPN功能),而且不能根据实际的不同数据流应用不同的安全技术保障方法。因为经过VPN封装后的IP报文,它们的源和目的IP地址都是相同的,应用层协议也是相同的(VPN协议),即在IP层看来它们两者已经没有差异,无法区分开。然而,使用本发明的方法,在VPN隧道虚接口上直接应用IPSec的安全技术保障方法,那么,上述的所有缺点就都能够克服和解决了。图2中分属于不同访问点名APN1和APN2、且拥有相同IP私有地址的两个手机用户就可以通过手机MT或者通过便携式电脑TE(此时需要藉助起到类似MODEM功能的手机MT),根据其所属的不同的APN(Access Point Name)送入不同的VPN隧道虚接口直接应用IPSec的安全技术保障方法,即通过不同的IPSec隧道访问不同的APN(例如图2中所示的两个企业网APN1和APN2)。
Claims (1)
1、一种在虚拟私有网的隧道虚接口上保证互联网协议安全的实现方法,是将在实际物理接口上应用的IPSec安全技术保障方法,移植应用到虚拟私有网VPN的隧道虚接口上;包括有下列操作步骤:
(1)设置至少一项访问控制列表ACL;
(2)定义如何应用第(1)步骤设置的访问控制列表ACL的IPSec安全技术保障方法;
其特征在于:该方法进一步包括有以下操作步骤:
(3)设置隧道虚接口;
(4)在隧道虚接口上应用第(2)步骤生成的IPSec安全技术保障方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB011198303A CN1150718C (zh) | 2001-06-29 | 2001-06-29 | 在虚拟私有网的隧道虚接口上保证互联网协议安全的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB011198303A CN1150718C (zh) | 2001-06-29 | 2001-06-29 | 在虚拟私有网的隧道虚接口上保证互联网协议安全的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1394042A CN1394042A (zh) | 2003-01-29 |
| CN1150718C true CN1150718C (zh) | 2004-05-19 |
Family
ID=4663745
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB011198303A Expired - Fee Related CN1150718C (zh) | 2001-06-29 | 2001-06-29 | 在虚拟私有网的隧道虚接口上保证互联网协议安全的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1150718C (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100576720C (zh) * | 2004-05-19 | 2009-12-30 | 日本电波工业株式会社 | 恒温型晶体振荡器 |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1643691B1 (en) * | 2003-07-04 | 2007-12-05 | Nippon Telegraph and Telephone Corporation | Remote access vpn mediation method and mediation device |
| US7978716B2 (en) | 2003-11-24 | 2011-07-12 | Citrix Systems, Inc. | Systems and methods for providing a VPN solution |
| US8146148B2 (en) * | 2003-11-19 | 2012-03-27 | Cisco Technology, Inc. | Tunneled security groups |
| US8739274B2 (en) | 2004-06-30 | 2014-05-27 | Citrix Systems, Inc. | Method and device for performing integrated caching in a data communication network |
| US7757074B2 (en) | 2004-06-30 | 2010-07-13 | Citrix Application Networking, Llc | System and method for establishing a virtual private network |
| US8495305B2 (en) | 2004-06-30 | 2013-07-23 | Citrix Systems, Inc. | Method and device for performing caching of dynamically generated objects in a data communication network |
| CN100385885C (zh) * | 2004-07-09 | 2008-04-30 | 威达电股份有限公司 | 具ssl保护功能的安全网关及方法 |
| AU2005266943C1 (en) | 2004-07-23 | 2011-01-06 | Citrix Systems, Inc. | Systems and methods for optimizing communications between network nodes |
| EP2267951B1 (en) | 2004-07-23 | 2016-12-28 | Citrix Systems, Inc. | Method for routing packets from an endpoint to a gateway |
| WO2006020823A1 (en) | 2004-08-13 | 2006-02-23 | Citrix Systems, Inc. | A method for maintaining transaction integrity across multiple remote access servers |
| US8700695B2 (en) | 2004-12-30 | 2014-04-15 | Citrix Systems, Inc. | Systems and methods for providing client-side accelerated access to remote applications via TCP pooling |
| US8706877B2 (en) | 2004-12-30 | 2014-04-22 | Citrix Systems, Inc. | Systems and methods for providing client-side dynamic redirection to bypass an intermediary |
| US8954595B2 (en) | 2004-12-30 | 2015-02-10 | Citrix Systems, Inc. | Systems and methods for providing client-side accelerated access to remote applications via TCP buffering |
| US8549149B2 (en) | 2004-12-30 | 2013-10-01 | Citrix Systems, Inc. | Systems and methods for providing client-side accelerated access to remote applications via TCP multiplexing |
| US7810089B2 (en) | 2004-12-30 | 2010-10-05 | Citrix Systems, Inc. | Systems and methods for automatic installation and execution of a client-side acceleration program |
| US8255456B2 (en) | 2005-12-30 | 2012-08-28 | Citrix Systems, Inc. | System and method for performing flash caching of dynamically generated objects in a data communication network |
| CN101147379B (zh) | 2005-01-24 | 2011-05-25 | 茨特里克斯系统公司 | 在网络中对动态产生的对象执行缓存的系统和方法 |
| US7921184B2 (en) | 2005-12-30 | 2011-04-05 | Citrix Systems, Inc. | System and method for performing flash crowd caching of dynamically generated objects in a data communication network |
| US8301839B2 (en) | 2005-12-30 | 2012-10-30 | Citrix Systems, Inc. | System and method for performing granular invalidation of cached dynamically generated objects in a data communication network |
| CN100440846C (zh) * | 2007-01-26 | 2008-12-03 | 成都迈普产业集团有限公司 | 虚拟专用网动态连接方法 |
| CN101499972B (zh) * | 2009-03-16 | 2012-01-11 | 杭州华三通信技术有限公司 | Ip安全报文转发方法及装置 |
-
2001
- 2001-06-29 CN CNB011198303A patent/CN1150718C/zh not_active Expired - Fee Related
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100576720C (zh) * | 2004-05-19 | 2009-12-30 | 日本电波工业株式会社 | 恒温型晶体振荡器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1394042A (zh) | 2003-01-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1150718C (zh) | 在虚拟私有网的隧道虚接口上保证互联网协议安全的方法 | |
| US7616597B2 (en) | System and method for integrating mobile networking with security-based VPNs | |
| US8910272B2 (en) | Computer communication system for communication via public networks | |
| KR101680955B1 (ko) | 다중 터널 가상 사설 네트워크 | |
| US7316028B2 (en) | Method and system for transmitting information across a firewall | |
| CN101753531B (zh) | 利用https/http协议实现IPsec协议封装的方法 | |
| US20160080328A1 (en) | Proxy ssl handoff via mid-stream renegotiation | |
| US20030014626A1 (en) | Data handling in IPSec enabled network stack | |
| EP1463239A3 (en) | Protection of network infrastructure and secure communication of control information thereto | |
| CN102801695A (zh) | 虚拟专用网通信设备及其数据包传输方法 | |
| FI116027B (fi) | Menetelmä ja järjestelmä viestien turvallisen lähettämisen varmistamiseksi | |
| US20150288651A1 (en) | Ip packet processing method and apparatus, and network system | |
| CN105122741A (zh) | 业务流的业务链控制方法和装置 | |
| CN101222412B (zh) | 网络地址转换穿越方法和系统 | |
| CN106899606A (zh) | 一种报文处理方法和装置 | |
| US7680102B2 (en) | Method and system for connecting manipulation equipment between operator's premises and the internet | |
| US9077666B2 (en) | Service segregation according to subscriber service association | |
| CN1949705A (zh) | 一种用于安全访问专用局域网的动态隧道构建方法及用于该方法的装置 | |
| CN1747436A (zh) | 一种虚拟专网客户端的接入方法及系统 | |
| CN104618323B (zh) | 基于网络过滤驱动的业务系统传输安全加固方法 | |
| CN1118171C (zh) | 应用于虚拟私有网络的存取中继器的随选系统与方法 | |
| CN1770761A (zh) | 一种基于网络密钥交换协议的地址更新方法 | |
| CN102025745B (zh) | 一种基于cs结构的网络数据包过滤方法及系统 | |
| TWI277328B (en) | SSL-based IPv6 tunnel service gateway system and connection method thereof | |
| AU2002229470A1 (en) | Method for executing monitoring measures in telecommunications networks and data networks with, for example, an ip protocol (internet protocol) |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20040519 Termination date: 20170629 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |