Ipsec vpn設(shè)備及其隔離方法與系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供一種IPSEC?VPN設(shè)備及其隔離方法與系統(tǒng),設(shè)備包括內(nèi)端主機(jī)、外端主機(jī)和非網(wǎng)絡(luò)隔離卡,內(nèi)、外端主機(jī)分別維護(hù)了相同的IP映射表,每一條表項(xiàng)定義了原地址、目的地址及IP映射ID等信息,數(shù)據(jù)包經(jīng)過IP頭剝離及重組,IP映射表檢索過濾,私有協(xié)議封轉(zhuǎn)及解封裝,非網(wǎng)絡(luò)隔離卡傳輸?shù)确绞綄?shí)現(xiàn)網(wǎng)絡(luò)隔離,數(shù)據(jù)包在內(nèi)網(wǎng)主機(jī)上對IPsec?VPN網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行加解密,設(shè)備能抵抗惡意攻擊行為,抵抗病毒、木馬、惡意插件的傳播,從真正意義上達(dá)到內(nèi)外網(wǎng)連接時的安全隔離,實(shí)現(xiàn)對內(nèi)部網(wǎng)絡(luò)、IPSEC?VPN設(shè)備以及網(wǎng)絡(luò)業(yè)務(wù)數(shù)據(jù)包更高強(qiáng)度的安全保護(hù),是一種安全程度高的IPSEC?VPN隔離設(shè)備。
【專利說明】IPSEC VPN設(shè)備及其隔離方法與系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全【技術(shù)領(lǐng)域】,特別是涉及IPSEC VPN設(shè)備及其隔離方法與系統(tǒng)。【背景技術(shù)】
[0002]IPSec是互聯(lián)網(wǎng)工程任務(wù)組制定的一個開放的IP層安全框架協(xié)議,為IP網(wǎng)絡(luò)通信提供透明的安全服務(wù),保護(hù)TCP/IP通信免遭竊聽和篡改,可以有效抵御網(wǎng)絡(luò)攻擊,同時保持易用性。IPSEC技術(shù)已廣泛普及并應(yīng)用到網(wǎng)關(guān)設(shè)備中,采用IPSEC隧道技術(shù),加密技術(shù)以及認(rèn)證技術(shù)等方法,在公眾網(wǎng)絡(luò)上構(gòu)建虛擬專用網(wǎng)絡(luò),數(shù)據(jù)在安全信道上傳輸,從而到達(dá)保障通信安全,保密信息的目的。
[0003]通常IPSEC VPN設(shè)備部署在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間,IPSEC VPN設(shè)備包括外端主機(jī)和內(nèi)端主機(jī),外端主機(jī)和內(nèi)端主機(jī)進(jìn)行數(shù)據(jù)交互,其中外端主機(jī)與外部網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交互,內(nèi)端主機(jī)與內(nèi)部網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交互。內(nèi)部網(wǎng)絡(luò)安全度很高,外部網(wǎng)絡(luò)一般為互聯(lián)網(wǎng),安全度很低,因此IPSEC VPN設(shè)備還需要對內(nèi)部網(wǎng)絡(luò)進(jìn)行隔離及訪問控制保護(hù),通常集成防火墻、入侵檢測、應(yīng)用網(wǎng)關(guān)等功能模塊。
[0004]黑客從外部網(wǎng)絡(luò)利用網(wǎng)絡(luò)協(xié)議漏洞和操作系統(tǒng)漏洞入侵,如果劫持了 IPSEC VPN設(shè)備本身,內(nèi)部網(wǎng)絡(luò)的安全防線就被瓦解了,因此現(xiàn)有的IPSEC VPN設(shè)備及其隔離方法是無法做到非常有效的隔離保護(hù)的,特別是對于對于安全度要求很高的內(nèi)部網(wǎng)絡(luò),現(xiàn)有的IPSECVPN設(shè)備及其隔離方法已經(jīng)無法滿足這種安全度要求很高的內(nèi)部網(wǎng)絡(luò)隔離保護(hù)需求。
【發(fā)明內(nèi)容】
[0005]基于此,有必要針對現(xiàn)有IPSEC VPN設(shè)備無法做到非常有效的隔離保護(hù)某些安全度要求很高的內(nèi)部網(wǎng)絡(luò)對隔離保護(hù)的需求的問題,提供一種非常有效的IPSEC VPN設(shè)備及其隔離方法與系統(tǒng),以滿足某些安全度要求很高的內(nèi)部網(wǎng)絡(luò)隔離保護(hù)的需求。
[0006]一種IPSEC VPN設(shè)備的隔離方法,包括步驟:
[0007]在內(nèi)端主機(jī)與外端主機(jī)中維護(hù)相同的IP映射表,其中,所述IP映射表為哈希鏈表,所述哈希鏈表定義有IP映射表索引INDEX以及數(shù)據(jù)包的源地址、目的地址和IP映射ID
信息;
[0008]對于從內(nèi)部網(wǎng)絡(luò)輸出到外部網(wǎng)絡(luò)的明文數(shù)據(jù)包包括如下步驟:
[0009]接收來自內(nèi)部網(wǎng)絡(luò)的明文數(shù)據(jù)包;
[0010]對接收到的明文數(shù)據(jù)包進(jìn)行數(shù)據(jù)加密處理和IPSEC隧道封裝處理,生成密文數(shù)據(jù)包;
[0011]對密文數(shù)據(jù)包進(jìn)行以太幀及IP頭部剝離處理,根據(jù)剝離的IP頭部,計算IP映射表中索引INDEX,并遍歷所述哈希鏈表,查找是否有對應(yīng)的源IP地址、目的IP地址,如有對應(yīng)的數(shù)據(jù),則對密文數(shù)據(jù)包進(jìn)行私有協(xié)議封裝處理,并將私有協(xié)議封裝的數(shù)據(jù)發(fā)送到外端主機(jī);
[0012]外端主機(jī)對接收到的私有協(xié)議封裝數(shù)據(jù)進(jìn)行解封裝處理,根據(jù)解封裝得到的IP映射表索引INDEX,節(jié)點(diǎn)ID在IP映射表進(jìn)行檢索,根據(jù)檢索的結(jié)果對密文IPSEC數(shù)據(jù)包進(jìn)行重組,生成密文IPSEC數(shù)據(jù)包,發(fā)送密文IPSEC數(shù)據(jù)包到外部網(wǎng)絡(luò);
[0013]對于從外部網(wǎng)絡(luò)進(jìn)入到內(nèi)部網(wǎng)絡(luò)的密文數(shù)據(jù)包包括如下步驟:
[0014]接收來自外部網(wǎng)絡(luò)的密文數(shù)據(jù)包;
[0015]對密文數(shù)據(jù)包進(jìn)行以太幀及IP頭部剝離處理,根據(jù)剝離的IP頭部,計算IP映射表中索引INDEX,并遍歷哈希鏈表,查找是否有對應(yīng)的源IP地址、目的IP地址,如有對應(yīng)的數(shù)據(jù),則對密文數(shù)據(jù)包進(jìn)行私有協(xié)議封裝處理,并將私有協(xié)議封裝的數(shù)據(jù)發(fā)送到內(nèi)端主機(jī);
[0016]內(nèi)端主機(jī)對接收到的私有協(xié)議封裝數(shù)據(jù)進(jìn)行解封裝處理,根據(jù)解封裝得到的IP映射表索引INDEX,節(jié)點(diǎn)ID在IP映射表進(jìn)行檢索,根據(jù)檢索的結(jié)果對密文IPSEC數(shù)據(jù)包進(jìn)行重組,生成新的密文數(shù)據(jù)包,再對新的密文數(shù)據(jù)包進(jìn)行解密處理和IPSEC隧道解封裝處理,生成明文數(shù)據(jù)包,發(fā)送明文數(shù)據(jù)包到內(nèi)部網(wǎng)絡(luò)。
[0017]一種IPSEC VPN設(shè)備的隔離系統(tǒng),包括:
[0018]IP映射表維護(hù)模塊,用于在內(nèi)端主機(jī)與外端主機(jī)中維護(hù)相同的IP映射表,其中,所述IP映射表為哈希鏈表,所述哈希鏈表定義有IP映射表索引INDEX以及數(shù)據(jù)包的源地址、目的地址和IP映射ID信息;
[0019]外發(fā)數(shù)據(jù)包處理模塊,用于對從內(nèi)部網(wǎng)絡(luò)輸出到外部網(wǎng)絡(luò)的明文數(shù)據(jù)進(jìn)傳輸處理,其中,所述外發(fā)數(shù)據(jù)包處理模塊包括:
[0020]明文數(shù)據(jù)包接收模塊,用于接收來自內(nèi)部網(wǎng)絡(luò)的明文數(shù)據(jù)包;
[0021]密文數(shù)據(jù)包生成模塊,用于對接收到的明文數(shù)據(jù)包進(jìn)行數(shù)據(jù)加密處理和IPSEC隧道封裝處理,生成密文數(shù)據(jù)包;
[0022]第一私有協(xié)議封轉(zhuǎn)模塊,用于對密文數(shù)據(jù)包進(jìn)行以太幀及IP頭部剝離處理,根據(jù)剝離的IP頭部,計算IP映射表中索引INDEX,并遍歷所述哈希鏈表,查找是否有對應(yīng)的源IP地址、目的IP地址,如有對應(yīng)的數(shù)據(jù),則對密文數(shù)據(jù)包進(jìn)行私有協(xié)議封裝處理,并將私有協(xié)議封裝的數(shù)據(jù)發(fā)送到外端主機(jī);
[0023]第一解封裝模塊,用于通過外端主機(jī)對接收到的私有協(xié)議封裝數(shù)據(jù)進(jìn)行解封裝處理,根據(jù)解封裝得到的IP映射表索引INDEX,節(jié)點(diǎn)ID在IP映射表進(jìn)行檢索,根據(jù)檢索的結(jié)果對密文IPSEC數(shù)據(jù)包進(jìn)行重組,生成密文IPSEC數(shù)據(jù)包,發(fā)送密文IPSEC數(shù)據(jù)包到外部網(wǎng)絡(luò);
[0024]內(nèi)傳數(shù)據(jù)包處理模塊,用于對從外部網(wǎng)絡(luò)進(jìn)入到內(nèi)部網(wǎng)絡(luò)的密文數(shù)據(jù)包進(jìn)行傳輸處理,其中所述內(nèi)傳數(shù)據(jù)包處理模塊包括:
[0025]密文數(shù)據(jù)包接收模塊,用于接收來自外部網(wǎng)絡(luò)的密文數(shù)據(jù)包;
[0026]第二私有協(xié)議封轉(zhuǎn)模塊,用于對密文數(shù)據(jù)包進(jìn)行以太幀及IP頭部剝離處理,根據(jù)剝離的IP頭部,計算IP映射表中索引INDEX,并遍歷哈希鏈表,查找是否有對應(yīng)的源IP地址、目的IP地址,如有對應(yīng)的數(shù)據(jù),則對密文數(shù)據(jù)包進(jìn)行私有協(xié)議封裝處理,并將私有協(xié)議封裝的數(shù)據(jù)發(fā)送到內(nèi)端主機(jī);
[0027]第二內(nèi)解封裝模塊,用于通過內(nèi)端主機(jī)對接收到的私有協(xié)議封裝數(shù)據(jù)進(jìn)行解封裝處理,根據(jù)解封裝得到的IP映射表索引INDEX,節(jié)點(diǎn)ID在IP映射表進(jìn)行檢索,根據(jù)檢索的結(jié)果對密文IPSEC數(shù)據(jù)包進(jìn)行重組,生成新的密文數(shù)據(jù)包,再對新的密文數(shù)據(jù)包進(jìn)行解密處理和IPSEC隧道解封裝處理,生成明文數(shù)據(jù)包,發(fā)送明文數(shù)據(jù)包到內(nèi)部網(wǎng)絡(luò)。
[0028]一種IPSEC VPN設(shè)備,包括內(nèi)端主機(jī)、外端主機(jī)和非網(wǎng)絡(luò)隔離卡,所述非網(wǎng)絡(luò)隔離卡用于傳輸不包含以太幀及IP頭信息的純數(shù)據(jù),所述內(nèi)端主機(jī)通過所述非網(wǎng)絡(luò)隔離卡與所述外端主機(jī)物理連接,所述內(nèi)端主機(jī)與內(nèi)部網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交互,所述外端主機(jī)與外部網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交互;
[0029]內(nèi)端主機(jī)與外端主機(jī)中維護(hù)相同的IP映射表,其中,所述IP映射表為哈希鏈表,所述哈希鏈表定義有IP映射表索引INDEX以及數(shù)據(jù)包的源地址、目的地址和IP映射ID信息;
[0030]當(dāng)所述內(nèi)部網(wǎng)絡(luò)外出明文數(shù)據(jù)包傳輸?shù)剿鰞?nèi)端主機(jī)時,對接收到的明文數(shù)據(jù)包進(jìn)行數(shù)據(jù)加密處理和IPSEC隧道封裝處理,生成密文數(shù)據(jù)包,對密文數(shù)據(jù)包進(jìn)行以太幀及IP頭部剝離處理,根據(jù)剝離的IP頭部,計算IP映射表中索引INDEX,并遍歷所述哈希鏈表,查找是否有對應(yīng)的源IP地址、目的IP地址,如有對應(yīng)的數(shù)據(jù),則對密文數(shù)據(jù)包進(jìn)行私有協(xié)議封裝處理,并將私有協(xié)議封裝的數(shù)據(jù)發(fā)送到外端主機(jī),通過外端主機(jī)對接收到的私有協(xié)議封裝數(shù)據(jù)進(jìn)行解封裝處理,根據(jù)解封裝得到的IP映射表索引INDEX,節(jié)點(diǎn)ID在IP映射表進(jìn)行檢索,根據(jù)檢索的結(jié)果對密文IPSEC數(shù)據(jù)包進(jìn)行重組,生成密文IPSEC數(shù)據(jù)包,發(fā)送密文IPSEC數(shù)據(jù)包到外部網(wǎng)絡(luò);
[0031]當(dāng)所述外部網(wǎng)絡(luò)向所述外端主機(jī)傳輸密文數(shù)據(jù)包時,接收來自外部網(wǎng)絡(luò)的密文數(shù)據(jù)包,對密文數(shù)據(jù)包進(jìn)行以太幀及IP頭部剝離處理,根據(jù)剝離的IP頭部,計算IP映射表中索引INDEX,并遍歷哈希鏈表,查找是否有對應(yīng)的源IP地址、目的IP地址,如有對應(yīng)的數(shù)據(jù),則對密文數(shù)據(jù)包進(jìn)行私有協(xié)議封裝處理,并將私有協(xié)議封裝的數(shù)據(jù)發(fā)送到內(nèi)端主機(jī),通過內(nèi)端主機(jī)對接收到的私有協(xié)議封裝數(shù)據(jù)進(jìn)行解封裝處理,根據(jù)解封裝得到的IP映射表索引INDEX,節(jié)點(diǎn)ID在IP映射表進(jìn)行檢索,根據(jù)檢索的結(jié)果對密文IPSEC數(shù)據(jù)包進(jìn)行重組,生成新的密文數(shù)據(jù)包,再對新的密文數(shù)據(jù)包進(jìn)行解密處理和IPSEC隧道解封裝處理,生成明文數(shù)據(jù)包,發(fā)送明文數(shù)據(jù)包到內(nèi)部網(wǎng)絡(luò)。
[0032]本發(fā)明IPSEC VPN設(shè)備及其隔離方法與系統(tǒng),在所述內(nèi)端主機(jī)與所述外端主機(jī)中維護(hù)相同的IP映射表,當(dāng)內(nèi)部網(wǎng)絡(luò)外出明文數(shù)據(jù)包通過內(nèi)端主機(jī)時,經(jīng)過數(shù)據(jù)加密及IPSEC隧道模式封裝,密文數(shù)據(jù)包源地址變?yōu)镮PSEC VPN設(shè)備地址,密文數(shù)據(jù)包轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò),同理從外部網(wǎng)絡(luò)進(jìn)入的密文數(shù)據(jù)包,其目的地址為IPSEC VPN設(shè)備地址,密文數(shù)據(jù)包轉(zhuǎn)發(fā)到內(nèi)端主機(jī),內(nèi)端主機(jī)經(jīng)過數(shù)據(jù)解密及IPSEC隧道模式解封裝后,將明文數(shù)據(jù)包轉(zhuǎn)發(fā)到內(nèi)部網(wǎng)絡(luò)。整個過程通過以太幀及IP頭部剝離/重組、IPSEC隧道模式解封裝/封裝、以及利用IP映射表等處理,實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)及外部網(wǎng)絡(luò)之間安全隔離,有效阻止黑客從外部網(wǎng)絡(luò)利用網(wǎng)絡(luò)協(xié)議漏洞和操作系統(tǒng)漏洞入侵,保護(hù)內(nèi)端主機(jī)不被黑客劫持,為進(jìn)入及外出內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)數(shù)據(jù)包提供了機(jī)密性和完整性保護(hù)、數(shù)據(jù)源認(rèn)證、抗重放攻擊等安全保障,在外部網(wǎng)絡(luò)中傳輸?shù)拿芪臄?shù)據(jù)包采用IPSEC隧道模式封裝,隱藏了內(nèi)部網(wǎng)絡(luò)中真實(shí)地址,而變成IPSEC VPN設(shè)備的地址,有效防止黑客從外部網(wǎng)絡(luò)攻擊內(nèi)部網(wǎng)絡(luò)。綜上所述,本發(fā)明IPSEC VPN設(shè)備的隔離方法,采用非網(wǎng)絡(luò)隔離與IPSEC技術(shù)的結(jié)合,實(shí)現(xiàn)對內(nèi)部網(wǎng)絡(luò)、IPSECVPN設(shè)備以及網(wǎng)絡(luò)業(yè)務(wù)數(shù)據(jù)包更高強(qiáng)度的安全保護(hù),是一種安全程度高的IPSEC VPN設(shè)備隔離方法,能夠滿足安全度要求很高的內(nèi)部網(wǎng)絡(luò)對隔離保護(hù)的需求。【專利附圖】
【附圖說明】
[0033]圖1為本發(fā)明IPSEC VPN設(shè)備的隔離方法的第一個實(shí)施例中從內(nèi)部網(wǎng)絡(luò)輸出到外部網(wǎng)絡(luò)的明文數(shù)據(jù)的流程示意圖;
[0034]圖2為本發(fā)明IPSEC VPN設(shè)備的隔離方法的第一個實(shí)施例中從外部網(wǎng)絡(luò)輸入到內(nèi)部網(wǎng)絡(luò)的密文數(shù)據(jù)的流程示意圖;
[0035]圖3為本發(fā)明IPSEC VPN設(shè)備的隔離方法的第二個實(shí)施例中從內(nèi)部網(wǎng)絡(luò)輸出到外部網(wǎng)絡(luò)的明文數(shù)據(jù)的流程示意圖;
[0036]圖4為本發(fā)明IPSEC VPN設(shè)備的隔離系統(tǒng)第一個實(shí)施例結(jié)構(gòu)示意圖;
[0037]圖5為本發(fā)明IPSEC VPN設(shè)備第一個實(shí)施例的結(jié)構(gòu)示意圖;
[0038]圖6為本發(fā)明IPSEC VPN設(shè)備第二個實(shí)施例的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0039]為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白,以下根據(jù)附圖及實(shí)施例,對本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明。應(yīng)當(dāng)理解,此處所描述的具體實(shí)施僅僅用以解釋本發(fā)明,并不限定本發(fā)明。
[0040]如圖1、圖2所示,一種IPSEC VPN設(shè)備的隔離方法,其特征在于,包括步驟:
[0041]在內(nèi)端主機(jī)與外端主機(jī)中維護(hù)相同的IP映射表,其中,所述IP映射表為哈希鏈表,所述哈希鏈表定義有IP映射表索引INDEX以及數(shù)據(jù)包的源地址、目的地址和IP映射ID信息。
[0042]IP映射表維護(hù)存儲在內(nèi)端主機(jī)與外端主機(jī)的兩端,且在內(nèi)外主機(jī)中存儲的相同,每個IP映射表中都有多條表項(xiàng),每一條所述表項(xiàng)均定義有數(shù)據(jù)包的源地址和目的地址。只有匹配內(nèi)、外主機(jī)兩端IP映射表的數(shù)據(jù)包才允許通過隔離卡傳輸,能抵抗惡意攻擊行為,抵抗病毒、木馬、惡意插件的傳播,從真正意義上達(dá)到內(nèi)外網(wǎng)連接時的安全隔離,即使外網(wǎng)在最壞的情況下,甚至外端主機(jī)被劫持了,內(nèi)端主機(jī)仍是安全的。
[0043]對于從內(nèi)部網(wǎng)絡(luò)輸出到外部網(wǎng)絡(luò)的明文數(shù)據(jù)包包括如下步驟:
[0044]SlOO:接收來自內(nèi)部網(wǎng)絡(luò)的明文數(shù)據(jù)包;
[0045]S120:對接收到的明文數(shù)據(jù)包進(jìn)行數(shù)據(jù)加密處理和IPSEC隧道封裝處理,生成密文數(shù)據(jù)包;
[0046]S140:對密文數(shù)據(jù)包進(jìn)行以太幀及IP頭部剝離處理,根據(jù)剝離的IP頭部,計算IP映射表中索引INDEX,并遍歷所述哈希鏈表,查找是否有對應(yīng)的源IP地址、目的IP地址,如有對應(yīng)的數(shù)據(jù),則對密文數(shù)據(jù)包進(jìn)行私有協(xié)議封裝處理,并將私有協(xié)議封裝的數(shù)據(jù)發(fā)送到外端主機(jī);
[0047]S160:外端主機(jī)對接收到的私有協(xié)議封裝數(shù)據(jù)進(jìn)行解封裝處理,根據(jù)解封裝得到的IP映射表索引INDEX,節(jié)點(diǎn)ID在IP映射表進(jìn)行檢索,根據(jù)檢索的結(jié)果對密文IPSEC數(shù)據(jù)包進(jìn)行重組,生成密文IPSEC數(shù)據(jù)包,發(fā)送密文IPSEC數(shù)據(jù)包到外部網(wǎng)絡(luò);
[0048]對于從外部網(wǎng)絡(luò)進(jìn)入到內(nèi)部網(wǎng)絡(luò)的密文數(shù)據(jù)包包括如下步驟:
[0049]S200:接收來自外部網(wǎng)絡(luò)的密文數(shù)據(jù)包;
[0050]S220:對密文數(shù)據(jù)包進(jìn)行以太幀及IP頭部剝離處理,根據(jù)剝離的IP頭部,計算IP映射表中索引INDEX,并遍歷哈希鏈表,查找是否有對應(yīng)的源IP地址、目的IP地址,如有對應(yīng)的數(shù)據(jù),則對密文數(shù)據(jù)包進(jìn)行私有協(xié)議封裝處理,并將私有協(xié)議封裝的數(shù)據(jù)發(fā)送到內(nèi)端主機(jī);
[0051]S240:內(nèi)端主機(jī)對接收到的私有協(xié)議封裝數(shù)據(jù)進(jìn)行解封裝處理,根據(jù)解封裝得到的IP映射表索引INDEX,節(jié)點(diǎn)ID在IP映射表進(jìn)行檢索,根據(jù)檢索的結(jié)果對密文IPSEC數(shù)據(jù)包進(jìn)行重組,生成新的密文數(shù)據(jù)包,再對新的密文數(shù)據(jù)包進(jìn)行解密處理和IPSEC隧道解封裝處理,生成明文數(shù)據(jù)包,發(fā)送明文數(shù)據(jù)包到內(nèi)部網(wǎng)絡(luò)。
[0052]本發(fā)明IPSEC VPN設(shè)備的隔離方法,在所述內(nèi)端主機(jī)與所述外端主機(jī)中維護(hù)相同的IP映射表,當(dāng)內(nèi)部網(wǎng)絡(luò)外出明文數(shù)據(jù)包通過內(nèi)端主機(jī)時,經(jīng)過數(shù)據(jù)加密及IPSEC隧道模式封裝,密文數(shù)據(jù)包源地址變?yōu)镮PSEC VPN設(shè)備地址,密文數(shù)據(jù)包轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò),同理從外部網(wǎng)絡(luò)進(jìn)入的密文數(shù)據(jù)包,其目的地址為IPSEC VPN設(shè)備地址,密文數(shù)據(jù)包轉(zhuǎn)發(fā)到內(nèi)端主機(jī),內(nèi)端主機(jī)經(jīng)過數(shù)據(jù)解密及IPSEC隧道模式解封裝后,將明文數(shù)據(jù)包轉(zhuǎn)發(fā)到內(nèi)部網(wǎng)絡(luò)。整個過程通過以太幀及IP頭部剝離/重組、IPSEC隧道模式解封裝/封裝、以及利用IP映射表等處理,實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)及外部網(wǎng)絡(luò)之間安全隔離,有效阻止黑客從外部網(wǎng)絡(luò)利用網(wǎng)絡(luò)協(xié)議漏洞和操作系統(tǒng)漏洞入侵,保護(hù)內(nèi)端主機(jī)不被黑客劫持,為進(jìn)入及外出內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)數(shù)據(jù)包提供了機(jī)密性和完整性保護(hù)、數(shù)據(jù)源認(rèn)證、抗重放攻擊等安全保障,在外部網(wǎng)絡(luò)中傳輸?shù)拿芪臄?shù)據(jù)包采用IPSEC隧道模式封裝,隱藏了內(nèi)部網(wǎng)絡(luò)中真實(shí)地址,而變成IPSEC VPN設(shè)備的地址,有效防止黑客從外部網(wǎng)絡(luò)攻擊內(nèi)部網(wǎng)絡(luò)。綜上所述,本發(fā)明IPSEC VPN設(shè)備的隔離方法,采用非網(wǎng)絡(luò)隔離與IPSEC技術(shù)的結(jié)合,實(shí)現(xiàn)對內(nèi)部網(wǎng)絡(luò)、IPSEC VPN設(shè)備以及網(wǎng)絡(luò)業(yè)務(wù)數(shù)據(jù)包更高強(qiáng)度的安全保護(hù),是一種安全程度高的IPSEC VPN設(shè)備隔離方法,能夠滿足安全度要求很高的內(nèi)部網(wǎng)絡(luò)對隔離保護(hù)的需求。
[0053]如圖3所示,在其中一個實(shí)施例中,對于從內(nèi)部網(wǎng)絡(luò)輸出到外部網(wǎng)絡(luò)的明文數(shù)據(jù)包的步驟中,所述步驟S140具體包括步驟:
[0054]S142:對密文數(shù)據(jù)包進(jìn)行以太幀及IP頭部剝離處理,獲得密文數(shù)據(jù)包剝離的IP頭部;
[0055]S144:根據(jù)剝離的IP頭部攜帶的源地址和目的地址,利用HASH算法,計算其IP映射表索引INDEX,并遍歷所述哈希鏈表,如有對應(yīng)的源IP地址、目的IP地址,則對密文數(shù)據(jù)包進(jìn)行私有協(xié)議封裝處理,生成私有協(xié)議封裝的數(shù)據(jù)包;
[0056]S146:發(fā)送所述私有協(xié)議的數(shù)據(jù)包到外端主機(jī)。
[0057]在其中一個實(shí)施例,所述步驟根據(jù)剝離的IP頭部攜帶的源地址和目的地址,利用HASH算法,計算其IP映射表索引INDEX,并遍歷所述哈希鏈表,如有對應(yīng)的源IP地址、目的IP地址,則對密文數(shù)據(jù)包進(jìn)行私有協(xié)議封裝處理,生成私有協(xié)議封裝的數(shù)據(jù)包具體包括步驟:
[0058]根據(jù)密文數(shù)據(jù)包的源地址和目的地址,利用hash算法,計算出IP映射表索引INDEX值,在IP映射表中取出對應(yīng)的節(jié)點(diǎn)鏈表的首節(jié)點(diǎn);
[0059]遍歷所述節(jié)點(diǎn)鏈表,查找與密文數(shù)據(jù)包的源地址以及目的地址相匹配的節(jié)點(diǎn)項(xiàng),若查找到,則將對應(yīng)的節(jié)點(diǎn)ID值及映射表索引INDEX值寫入密文數(shù)據(jù)私有協(xié)議數(shù)據(jù)包中,若未查找到,則丟棄該密文數(shù)據(jù)包并結(jié)束處理;
[0060]剝除密文數(shù)據(jù)包以太幀及IP頭信息,將純載荷內(nèi)容以及關(guān)鍵狀態(tài)信息寫入私有協(xié)議數(shù)據(jù)包中。[0061]IP頭部的剝離與封裝必須要借助IP映射表來實(shí)現(xiàn)。為提高查表速度,IP映射表由HASH算法實(shí)現(xiàn),根據(jù)HASH表大小分配一段連續(xù)內(nèi)存,假設(shè)HASH表大小為K (必須為2的整數(shù)倍),HASH算法的查找輸入項(xiàng)源地址記作S、目的地址記作D、那么HASH表內(nèi)索引值INDEX等于下述公式
[0062]INDEX= ((S+D) ~ ((S+D) ?16)) & (K-1)
[0063]由于不同的源地址、目的地址計算出的索引值有可能相同,也就是發(fā)生HASH碰撞,所以將索引值相同的IP映射節(jié)點(diǎn)以鏈表方式掛在HASH表對應(yīng)的表項(xiàng)中(為了保證查表速度,應(yīng)盡量控制鏈表的深度,可根據(jù)系統(tǒng)資源及業(yè)務(wù)需求適當(dāng)調(diào)節(jié)HASH表大小K的值),為了區(qū)分鏈表各個映射節(jié)點(diǎn),系統(tǒng)為每個映射節(jié)點(diǎn)分配一個全局唯一的ID,因此IP映射節(jié)點(diǎn)結(jié)構(gòu)包含有節(jié)點(diǎn)ID、源地址、目的地址、下一節(jié)點(diǎn)等字段。
[0064]將網(wǎng)絡(luò)數(shù)據(jù)包的以太幀及IP頭信息剝除,僅進(jìn)行IP層之上的純數(shù)據(jù)的交換,采用私有協(xié)議封裝,私有協(xié)議數(shù)據(jù)格式中包括以下三類字段:
[0065]I)靜態(tài)數(shù)據(jù):IP映射索引INDEX,IP映射節(jié)點(diǎn)ID ;
[0066]2)動態(tài)信息:原始網(wǎng)絡(luò)數(shù)據(jù)包的關(guān)鍵狀態(tài)信息(如分片信息、服務(wù)類型、存活時間、承載協(xié)議);
[0067]3)用戶數(shù)據(jù):原始網(wǎng)絡(luò)數(shù)據(jù)包的純載荷內(nèi)容。
[0068]進(jìn)行私有協(xié)議封裝采用以下步驟:
[0069]步驟1:根據(jù)網(wǎng)絡(luò)數(shù)據(jù)包源地址、目的地址,計算出IP映射表索引INDEX值,在IP映射表中取出對應(yīng)的節(jié)點(diǎn)鏈表的首節(jié)點(diǎn);
`[0070]步驟2:遍歷該節(jié)點(diǎn)鏈表,如果找到了與源地址及目地址相匹配的節(jié)點(diǎn)項(xiàng),將對應(yīng)的節(jié)點(diǎn)ID值及映射表索引INDEX值寫入私有協(xié)議數(shù)據(jù)包中,如果未找到,則丟棄該數(shù)據(jù)包并結(jié)束處理;
[0071]步驟3:剝除網(wǎng)絡(luò)數(shù)據(jù)包以太幀及IP頭信息,將純載荷內(nèi)容以及關(guān)鍵狀態(tài)信息(如分片信息、服務(wù)類型、存活時間、承載協(xié)議)寫入私有協(xié)議數(shù)據(jù)包中。
[0072]同樣對于進(jìn)行私有協(xié)議解封裝采用以下步驟:
[0073]步驟1:取出私有協(xié)議數(shù)據(jù)包中IP映射表索引INDEX值,在IP映射表中取出對應(yīng)的節(jié)點(diǎn)鏈表的首節(jié)點(diǎn);
[0074]步驟2:遍歷該節(jié)點(diǎn)鏈表,如果找到了與私有協(xié)議數(shù)據(jù)包中節(jié)點(diǎn)ID值相匹配的節(jié)點(diǎn)項(xiàng),取出對應(yīng)的源地址及目的地址,如果未找到,則丟棄該數(shù)據(jù)包并結(jié)束處理
[0075]步驟3:從私有協(xié)議數(shù)據(jù)包中取出原始網(wǎng)絡(luò)數(shù)據(jù)包純載荷內(nèi)容及關(guān)鍵狀態(tài)信息(如分片信息、服務(wù)類型、存活時間、承載協(xié)議),并根據(jù)步驟2中的源地址、目的地址,進(jìn)行IP報文重組。
[0076]如圖4所示,一種IPSEC VPN設(shè)備的隔離系統(tǒng),包括:
[0077]IP映射表維護(hù)模塊100,用于在內(nèi)端主機(jī)與外端主機(jī)中維護(hù)相同的IP映射表,其中,所述IP映射表為哈希鏈表,所述哈希鏈表定義有IP映射表索引INDEX以及數(shù)據(jù)包的源地址、目的地址和IP映射ID信息;
[0078]外發(fā)數(shù)據(jù)包處理模塊200,用于對從內(nèi)部網(wǎng)絡(luò)輸出到外部網(wǎng)絡(luò)的明文數(shù)據(jù)進(jìn)傳輸處理,其中,所述外發(fā)數(shù)據(jù)包處理模塊200包括:
[0079]明文數(shù)據(jù)包接收模塊220,用于接收來自內(nèi)部網(wǎng)絡(luò)的明文數(shù)據(jù)包;[0080]密文數(shù)據(jù)包生成模塊240,用于對接收到的明文數(shù)據(jù)包進(jìn)行數(shù)據(jù)加密處理和IPSEC隧道封裝處理,生成密文數(shù)據(jù)包;
[0081]第一私有協(xié)議封轉(zhuǎn)模塊260,用于對密文數(shù)據(jù)包進(jìn)行以太幀及IP頭部剝離處理,根據(jù)剝離的IP頭部,計算IP映射表中索引INDEX,并遍歷所述哈希鏈表,查找是否有對應(yīng)的源IP地址、目的IP地址,如有對應(yīng)的數(shù)據(jù),則對密文數(shù)據(jù)包進(jìn)行私有協(xié)議封裝處理,并將私有協(xié)議封裝的數(shù)據(jù)發(fā)送到外端主機(jī);
[0082]第一解封裝模塊280,用于通過外端主機(jī)對接收到的私有協(xié)議封裝數(shù)據(jù)進(jìn)行解封裝處理,根據(jù)解封裝得到的IP映射表索引INDEX,節(jié)點(diǎn)ID在IP映射表進(jìn)行檢索,根據(jù)檢索的結(jié)果對密文IPSEC數(shù)據(jù)包進(jìn)行重組,生成密文IPSEC數(shù)據(jù)包,發(fā)送密文IPSEC數(shù)據(jù)包到外部網(wǎng)絡(luò);
[0083]內(nèi)傳數(shù)據(jù)包處理模塊300,用于對從外部網(wǎng)絡(luò)進(jìn)入到內(nèi)部網(wǎng)絡(luò)的密文數(shù)據(jù)包進(jìn)行傳輸處理,其中所述內(nèi)傳數(shù)據(jù)包處理模塊包括:
[0084]密文數(shù)據(jù)包接收模塊320,用于接收來自外部網(wǎng)絡(luò)的密文數(shù)據(jù)包;
[0085]第二私有協(xié)議封轉(zhuǎn)模塊340,用于對密文數(shù)據(jù)包進(jìn)行以太幀及IP頭部剝離處理,根據(jù)剝離的IP頭部,計算IP映射表中索引INDEX,并遍歷哈希鏈表,查找是否有對應(yīng)的源IP地址、目的IP地址,如有對應(yīng)的數(shù)據(jù),則對密文數(shù)據(jù)包進(jìn)行私有協(xié)議封裝處理,并將私有協(xié)議封裝的數(shù)據(jù)發(fā)送到內(nèi)端主機(jī);
[0086]第二解封裝模塊360,用于通過內(nèi)端主機(jī)對接收到的私有協(xié)議封裝數(shù)據(jù)進(jìn)行解封裝處理,根據(jù)解封裝得到的IP映射表索引INDEX,節(jié)點(diǎn)ID在IP映射表進(jìn)行檢索,根據(jù)檢索的結(jié)果對密文IPSEC數(shù)據(jù)包進(jìn)行重組,生成新的密文數(shù)據(jù)包,再對新的密文數(shù)據(jù)包進(jìn)行解密處理和IPSEC隧道解封裝處理,生成明文數(shù)據(jù)包,發(fā)送明文數(shù)據(jù)包到內(nèi)部網(wǎng)絡(luò)。
[0087]本發(fā)明IPSEC VPN設(shè)備的隔離系統(tǒng),在所述內(nèi)端主機(jī)與所述外端主機(jī)中維護(hù)相同的IP映射表,當(dāng)內(nèi)部網(wǎng)絡(luò)外出明文數(shù)據(jù)包通過內(nèi)端主機(jī)時,經(jīng)過數(shù)據(jù)加密及IPSEC隧道模式封裝,密文數(shù)據(jù)包源地址變?yōu)镮PSEC VPN設(shè)備地址,密文數(shù)據(jù)包轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò),同理從外部網(wǎng)絡(luò)進(jìn)入的密文數(shù)據(jù)包,其目的地址為IPSEC VPN設(shè)備地址,密文數(shù)據(jù)包轉(zhuǎn)發(fā)到內(nèi)端主機(jī),內(nèi)端主機(jī)經(jīng)過數(shù)據(jù)解密及IPSEC隧道模式解封裝后,將明文數(shù)據(jù)包轉(zhuǎn)發(fā)到內(nèi)部網(wǎng)絡(luò)。整過過程通過以太幀及IP頭部剝離/重組、IPSEC隧道模式解封裝/封裝、以及利用IP映射表等處理,實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)及外部網(wǎng)絡(luò)之間安全隔離,有效阻止黑客從外部網(wǎng)絡(luò)利用網(wǎng)絡(luò)協(xié)議漏洞和操作系統(tǒng)漏洞入侵,保護(hù)內(nèi)端主機(jī)不被黑客劫持,為進(jìn)入及外出內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)數(shù)據(jù)包提供了機(jī)密性和完整性保護(hù)、數(shù)據(jù)源認(rèn)證、抗重放攻擊等安全保障,在外部網(wǎng)絡(luò)中傳輸?shù)拿芪臄?shù)據(jù)包采用IPSEC隧道模式封裝,隱藏了內(nèi)部網(wǎng)絡(luò)中真實(shí)地址,而變成IPSEC VPN設(shè)備的地址,有效防止黑客從外部網(wǎng)絡(luò)攻擊內(nèi)部網(wǎng)絡(luò)。綜上所述,本發(fā)明IPSEC VPN設(shè)備的隔離系統(tǒng),采用非網(wǎng)絡(luò)隔離與IPSEC技術(shù)的結(jié)合,實(shí)現(xiàn)對內(nèi)部網(wǎng)絡(luò)、IPSEC VPN設(shè)備以及網(wǎng)絡(luò)業(yè)務(wù)數(shù)據(jù)包更高強(qiáng)度的安全保護(hù),是一種安全程度高的IPSEC VPN設(shè)備隔離系統(tǒng),能夠滿足安全度要求很高的內(nèi)部網(wǎng)絡(luò)對隔離保護(hù)的需求。
[0088]在其中一個實(shí)施例中,第一私有協(xié)議封轉(zhuǎn)模塊具體包括:
[0089]剝離單元,用于對密文數(shù)據(jù)包進(jìn)行以太幀及IP頭部剝離處理,獲得密文數(shù)據(jù)包剝離的IP頭部;
[0090]封裝單元,用于根據(jù)剝離的IP頭部攜帶的源地址和目的地址,利用HASH算法,計算其IP映射表索引INDEX,并遍歷所述哈希鏈表,如有對應(yīng)的源IP地址、目的IP地址,則對密文數(shù)據(jù)包進(jìn)行私有協(xié)議封裝處理,生成私有協(xié)議封裝的數(shù)據(jù)包;
[0091]發(fā)送單元,用于發(fā)送所述私有協(xié)議的數(shù)據(jù)包到外端主機(jī)。
[0092]在其中一個實(shí)施例中,封裝單元具體包括:
[0093]INDEX值計算單元,用于根據(jù)密文數(shù)據(jù)包的源地址和目的地址,利用hash算法,計算出IP映射表索引INDEX值,在IP映射表中取出對應(yīng)的節(jié)點(diǎn)鏈表的首節(jié)點(diǎn);
[0094]遍歷單元,用于遍歷所述節(jié)點(diǎn)鏈表,查找與密文數(shù)據(jù)包的源地址以及目的地址相匹配的節(jié)點(diǎn)項(xiàng),若查找到,則將對應(yīng)的節(jié)點(diǎn)ID值及映射表索引INDEX值寫入密文數(shù)據(jù)私有協(xié)議數(shù)據(jù)包中,若未查找到,則丟棄該密文數(shù)據(jù)包并結(jié)束處理;
[0095]處理單元,用于剝除密文數(shù)據(jù)包以太幀及IP頭信息,將純載荷內(nèi)容以及關(guān)鍵狀態(tài)信息寫入私有協(xié)議數(shù)據(jù)包中。
[0096]如圖5所示,一種IPSEC VPN設(shè)備,其特征在于,包括內(nèi)端主機(jī)610、外端主機(jī)620和非網(wǎng)絡(luò)隔離卡630,所述非網(wǎng)絡(luò)隔離卡630用于傳輸不包含以太幀及IP頭信息的純數(shù)據(jù),所述內(nèi)端主機(jī)610通過所述非網(wǎng)絡(luò)隔離卡630與所述外端主機(jī)620物理連接,所述內(nèi)端主機(jī)610與內(nèi)部網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交互,所述外端主機(jī)620與外部網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交互;
[0097]內(nèi)端主機(jī)610與外端主機(jī)620中維護(hù)相同的IP映射表,其中,所述IP映射表為哈希鏈表,所述哈希鏈表定義有IP映射表索引INDEX以及數(shù)據(jù)包的源地址、目的地址和IP映射ID信息;
[0098]當(dāng)所述內(nèi)部網(wǎng)絡(luò)外出明文數(shù)據(jù)包傳輸?shù)剿鰞?nèi)端主機(jī)610時,對接收到的明文數(shù)據(jù)包進(jìn)行數(shù)據(jù)加密處理和IPSEC隧道封裝處理,生成密文數(shù)據(jù)包,對密文數(shù)據(jù)包進(jìn)行以太幀及IP頭部剝離處理,根據(jù)剝離的IP頭部,計算IP映射表中索引INDEX,并遍歷所述哈希鏈表,查找是否有對應(yīng)的源IP地址、目的IP地址,如有對應(yīng)的數(shù)據(jù),則對密文數(shù)據(jù)包進(jìn)行私有協(xié)議封裝處理,并將私有協(xié)議封裝的數(shù)據(jù)發(fā)送到外端主機(jī)620,通過外端主機(jī)620對接收到的私有協(xié)議封裝數(shù)據(jù)進(jìn)行解封裝處理,根據(jù)解封裝得到的IP映射表索引INDEX,節(jié)點(diǎn)ID在IP映射表進(jìn)行檢索,根據(jù)檢索的結(jié)果對密文IPSEC數(shù)據(jù)包進(jìn)行重組,生成密文IPSEC數(shù)據(jù)包,發(fā)送密文IPSEC數(shù)據(jù)包到外部網(wǎng)絡(luò);
[0099]當(dāng)所述外部網(wǎng)絡(luò)向所述外端主機(jī)620傳輸密文數(shù)據(jù)包時,接收來自外部網(wǎng)絡(luò)的密文數(shù)據(jù)包,對密文數(shù)據(jù)包進(jìn)行以太幀及IP頭部剝離處理,根據(jù)剝離的IP頭部,計算IP映射表中索引INDEX,并遍歷哈希鏈表,查找是否有對應(yīng)的源IP地址、目的IP地址,如有對應(yīng)的數(shù)據(jù),則對密文數(shù)據(jù)包進(jìn)行私有協(xié)議封裝處理,并將私有協(xié)議封裝的數(shù)據(jù)發(fā)送到內(nèi)端主機(jī)610,通過內(nèi)端主機(jī)610對接收到的私有協(xié)議封裝數(shù)據(jù)進(jìn)行解封裝處理,根據(jù)解封裝得到的IP映射表索引INDEX,節(jié)點(diǎn)ID在IP映射表進(jìn)行檢索,根據(jù)檢索的結(jié)果對密文IPSEC數(shù)據(jù)包進(jìn)行重組,生成新的密文數(shù)據(jù)包,再對新的密文數(shù)據(jù)包進(jìn)行解密處理和IPSEC隧道解封裝處理,生成明文數(shù)據(jù)包,發(fā)送明文數(shù)據(jù)包到內(nèi)部網(wǎng)絡(luò)。
[0100]本發(fā)明IPSEC VPN設(shè)備,包括內(nèi)端主機(jī)、外端主機(jī)和非網(wǎng)絡(luò)隔離卡在所述內(nèi)端主機(jī)與所述外端主機(jī)中維護(hù)相同的IP映射表,當(dāng)內(nèi)部網(wǎng)絡(luò)外出明文數(shù)據(jù)包通過內(nèi)端主機(jī)時,經(jīng)過數(shù)據(jù)加密及IPSEC隧道模式封裝,密文數(shù)據(jù)包源地址變?yōu)镮PSEC VPN設(shè)備地址,密文數(shù)據(jù)包轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò),同理從外部網(wǎng)絡(luò)進(jìn)入的密文數(shù)據(jù)包,其目的地址為IPSEC VPN設(shè)備地址,密文數(shù)據(jù)包轉(zhuǎn)發(fā)到內(nèi)端主機(jī),內(nèi)端主機(jī)經(jīng)過數(shù)據(jù)解密及IPSEC隧道模式解封裝后,將明文數(shù)據(jù)包轉(zhuǎn)發(fā)到內(nèi)部網(wǎng)絡(luò)。整過過程通過以太幀及IP頭部剝離/重組、IPSEC隧道模式解封裝/封裝、以及利用IP映射表等處理,實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)及外部網(wǎng)絡(luò)之間安全隔離,有效阻止黑客從外部網(wǎng)絡(luò)利用網(wǎng)絡(luò)協(xié)議漏洞和操作系統(tǒng)漏洞入侵,保護(hù)內(nèi)端主機(jī)不被黑客劫持,為進(jìn)入及外出內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)數(shù)據(jù)包提供了機(jī)密性和完整性保護(hù)、數(shù)據(jù)源認(rèn)證、抗重放攻擊等安全保障,在外部網(wǎng)絡(luò)中傳輸?shù)拿芪臄?shù)據(jù)包采用IPSEC隧道模式封裝,隱藏了內(nèi)部網(wǎng)絡(luò)中真實(shí)地址,而變成IPSEC VPN設(shè)備的地址,有效防止黑客從外部網(wǎng)絡(luò)攻擊內(nèi)部網(wǎng)絡(luò)。綜上所述,本發(fā)明IPSEC VPN設(shè)備,采用非網(wǎng)絡(luò)隔離與IPSEC技術(shù)的結(jié)合,實(shí)現(xiàn)對內(nèi)部網(wǎng)絡(luò)、IPSEC VPN設(shè)備以及網(wǎng)絡(luò)業(yè)務(wù)數(shù)據(jù)包更高強(qiáng)度的安全保護(hù),是一種安全程度高的IPSEC VPN設(shè)備,能夠滿足安全度要求很高的內(nèi)部網(wǎng)絡(luò)對隔離保護(hù)的需求。
[0101]如圖6所示,在其中一個實(shí)施例中,所述內(nèi)端主機(jī)610包括硬件加密模塊612、VPN處理模塊614和密鑰協(xié)商模塊616 ;
[0102]所述硬件加密模塊612用于對接收到的明文數(shù)據(jù)包進(jìn)行加密處理,或者對接收到的密文數(shù)據(jù)包進(jìn)行解密處理,所述VPN處理模塊614用于數(shù)據(jù)包進(jìn)行IPSEC隧道模式封裝和解封裝,所述密鑰協(xié)商模塊616用于IPSec VPN密鑰協(xié)商。
[0103]如圖6所示,在其中一個實(shí)施例中,本發(fā)明IPSEC VPN設(shè)備還包括第一網(wǎng)卡630和第二網(wǎng)卡640,所述內(nèi)端主機(jī)610通過所述第一網(wǎng)卡630與所述內(nèi)部網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交互,所述外端主機(jī)620通過所述第二網(wǎng)卡640與所述外部網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交互。
[0104]網(wǎng)卡是便于主機(jī)與網(wǎng)絡(luò)交互數(shù)據(jù)的媒介,能夠提高主機(jī)與網(wǎng)絡(luò)交互速度的效率。
[0105]以上所述實(shí)施例僅表達(dá)了本發(fā)明的幾種實(shí)施方式,其描述較為具體和詳細(xì),但并不能因此而理解為對本發(fā)明專利范圍的限制。應(yīng)當(dāng)指出的是,對于本領(lǐng)域的普通技術(shù)人員來說,在不脫離本發(fā)明構(gòu)思的前提下,還可以做出若干變形和改進(jìn),這些都屬于本發(fā)明的保護(hù)范圍。因此,本發(fā)明專利的保護(hù)范圍應(yīng)以所附權(quán)利要求為準(zhǔn)。
【權(quán)利要求】
1.一種IPSEC VPN設(shè)備的隔離方法,其特征在于,包括步驟: 在內(nèi)端主機(jī)與外端主機(jī)中維護(hù)相同的IP映射表,其中,所述IP映射表為哈希鏈表,所述哈希鏈表定義有IP映射表索引INDEX以及數(shù)據(jù)包的源地址、目的地址和IP映射ID信息; 對于從內(nèi)部網(wǎng)絡(luò)輸出到外部網(wǎng)絡(luò)的明文數(shù)據(jù)包包括如下步驟: 接收來自內(nèi)部網(wǎng)絡(luò)的明文數(shù)據(jù)包;對接收到的明文數(shù)據(jù)包進(jìn)行數(shù)據(jù)加密處理和IPSEC隧道封裝處理,生成密文數(shù)據(jù)包;對密文數(shù)據(jù)包進(jìn)行以太幀及IP頭部剝離處理,根據(jù)剝離的IP頭部,計算IP映射表中索引INDEX,并遍歷所述哈希鏈表,查找是否有對應(yīng)的源IP地址、目的IP地址,如有對應(yīng)的數(shù)據(jù),則對密文數(shù)據(jù)包進(jìn)行私有協(xié)議封裝處理,并將私有協(xié)議封裝的數(shù)據(jù)發(fā)送到外端主機(jī); 外端主機(jī)對接收到的私有協(xié)議封裝數(shù)據(jù)進(jìn)行解封裝處理,根據(jù)解封裝得到的IP映射表索引INDEX,節(jié)點(diǎn)ID在IP映射表進(jìn)行檢索,根據(jù)檢索的結(jié)果對密文IPSEC數(shù)據(jù)包進(jìn)行重組,生成密文IPSEC數(shù)據(jù)包,發(fā)送密文IPSEC數(shù)據(jù)包到外部網(wǎng)絡(luò); 對于從外部網(wǎng)絡(luò)進(jìn)入到內(nèi)部網(wǎng)絡(luò)的密文數(shù)據(jù)包包括如下步驟: 接收來自外部網(wǎng)絡(luò)的密文數(shù)據(jù)包; 對密文數(shù)據(jù)包進(jìn)行以太幀及IP頭部剝離處理,根據(jù)剝離的IP頭部,計算IP映射表中索引INDEX,并遍歷哈希 鏈表,查找是否有對應(yīng)的源IP地址、目的IP地址,如有對應(yīng)的數(shù)據(jù),則對密文數(shù)據(jù)包進(jìn)行私有協(xié)議封裝處理,并將私有協(xié)議封裝的數(shù)據(jù)發(fā)送到內(nèi)端主機(jī); 內(nèi)端主機(jī)對接收到的私有協(xié)議封裝數(shù)據(jù)進(jìn)行解封裝處理,根據(jù)解封裝得到的IP映射表索引INDEX,節(jié)點(diǎn)ID在IP映射表進(jìn)行檢索,根據(jù)檢索的結(jié)果對密文IPSEC數(shù)據(jù)包進(jìn)行重組,生成新的密文數(shù)據(jù)包,再對新的密文數(shù)據(jù)包進(jìn)行解密處理和IPSEC隧道解封裝處理,生成明文數(shù)據(jù)包,發(fā)送明文數(shù)據(jù)包到內(nèi)部網(wǎng)絡(luò)。
2.根據(jù)權(quán)利要求1所述的IPSECVPN設(shè)備的隔離方法,其特征在于,對于從內(nèi)部網(wǎng)絡(luò)輸出到外部網(wǎng)絡(luò)的明文數(shù)據(jù)包的步驟中,所述對密文數(shù)據(jù)包進(jìn)行以太幀及IP頭部剝離處理,根據(jù)剝離的IP頭部,計算IP映射表中索引INDEX,并遍歷所述哈希鏈表,查找是否有對應(yīng)的源IP地址、目的IP地址,如有對應(yīng)的數(shù)據(jù),則對密文數(shù)據(jù)包進(jìn)行私有協(xié)議封裝處理,并將私有協(xié)議封裝的數(shù)據(jù)包發(fā)送到外端主機(jī)具體包括步驟: 對密文數(shù)據(jù)包進(jìn)行以太幀及IP頭部剝離處理,獲得密文數(shù)據(jù)包剝離的IP頭部; 根據(jù)剝離的IP頭部攜帶的源地址和目的地址,利用HASH算法,計算其IP映射表索引INDEX,并遍歷所述哈希鏈表,如有對應(yīng)的源IP地址、目的IP地址,則對密文數(shù)據(jù)包進(jìn)行私有協(xié)議封裝處理,生成私有協(xié)議封裝的數(shù)據(jù)包; 發(fā)送所述私有協(xié)議的數(shù)據(jù)包到外端主機(jī)。
3.根據(jù)權(quán)利要求2所述的IPSECVPN設(shè)備的隔離方法,其特征在于,所述根據(jù)剝離的IP頭部攜帶的源地址和目的地址,利用HASH算法,計算其IP映射表索引INDEX,并遍歷所述哈希鏈表,如有對應(yīng)的源IP地址、目的IP地址,則對密文數(shù)據(jù)包進(jìn)行私有協(xié)議封裝處理,生成私有協(xié)議封裝的數(shù)據(jù)包具體包括步驟: 根據(jù)密文數(shù)據(jù)包的源地址和目的地址,利用hash算法,計算出IP映射表索引INDEX值,在IP映射表中取出對應(yīng)的節(jié)點(diǎn)鏈表的首節(jié)點(diǎn);遍歷所述節(jié)點(diǎn)鏈表,查找與密文數(shù)據(jù)包的源地址以及目的地址相匹配的節(jié)點(diǎn)項(xiàng),若查找到,則將對應(yīng)的節(jié)點(diǎn)ID值及映射表索引INDEX值寫入密文數(shù)據(jù)私有協(xié)議數(shù)據(jù)包中,若未查找到,則丟棄該密文數(shù)據(jù)包并結(jié)束處理; 剝除密文數(shù)據(jù)包以太幀及IP頭信息,將純載荷內(nèi)容以及關(guān)鍵狀態(tài)信息寫入私有協(xié)議數(shù)據(jù)包中。
4.一種IPSEC VPN設(shè)備的隔離系統(tǒng),其特征在于,包括: IP映射表維護(hù)模塊,用于在內(nèi)端主機(jī)與外端主機(jī)中維護(hù)相同的IP映射表,其中,所述IP映射表為哈希鏈表,所述哈希鏈表定義有IP映射表索引INDEX以及數(shù)據(jù)包的源地址、目的地址和IP映射ID信息; 外發(fā)數(shù)據(jù)包處理模塊,用于對從內(nèi)部網(wǎng)絡(luò)輸出到外部網(wǎng)絡(luò)的明文數(shù)據(jù)進(jìn)傳輸處理,其中,所述外發(fā)數(shù)據(jù)包處理模塊包括: 明文數(shù)據(jù)包接收模塊,用于接收來自內(nèi)部網(wǎng)絡(luò)的明文數(shù)據(jù)包; 密文數(shù)據(jù)包生成模塊,用于對接收到的明文數(shù)據(jù)包進(jìn)行數(shù)據(jù)加密處理和IPSEC隧道封裝處理,生成密文數(shù)據(jù)包; 第一私有協(xié)議封轉(zhuǎn)模塊,用于對密文數(shù)據(jù)包進(jìn)行以太幀及IP頭部剝離處理,根據(jù)剝離的IP頭部,計算IP映射表中索引INDEX,并遍歷所述哈希鏈表,查找是否有對應(yīng)的源IP地址、目的IP地 址,如有對應(yīng)的數(shù)據(jù),則對密文數(shù)據(jù)包進(jìn)行私有協(xié)議封裝處理,并將私有協(xié)議封裝的數(shù)據(jù)發(fā)送到外端主機(jī);第一解封裝模塊,用于通過外端主機(jī)對接收到的私有協(xié)議封裝數(shù)據(jù)進(jìn)行解封裝處理,根據(jù)解封裝得到的IP映射表索引INDEX,節(jié)點(diǎn)ID在IP映射表進(jìn)行檢索,根據(jù)檢索的結(jié)果對密文IPSEC數(shù)據(jù)包進(jìn)行重組,生成密文IPSEC數(shù)據(jù)包,發(fā)送密文IPSEC數(shù)據(jù)包到外部網(wǎng)絡(luò);內(nèi)傳數(shù)據(jù)包處理模塊,用于對從外部網(wǎng)絡(luò)進(jìn)入到內(nèi)部網(wǎng)絡(luò)的密文數(shù)據(jù)包進(jìn)行傳輸處理,其中所述內(nèi)傳數(shù)據(jù)包處理模塊包括: 密文數(shù)據(jù)包接收模塊,用于接收來自外部網(wǎng)絡(luò)的密文數(shù)據(jù)包; 第二私有協(xié)議封轉(zhuǎn)模塊,用于對密文數(shù)據(jù)包進(jìn)行以太幀及IP頭部剝離處理,根據(jù)剝離的IP頭部,計算IP映射表中索引INDEX,并遍歷哈希鏈表,查找是否有對應(yīng)的源IP地址、目的IP地址,如有對應(yīng)的數(shù)據(jù),則對密文數(shù)據(jù)包進(jìn)行私有協(xié)議封裝處理,并將私有協(xié)議封裝的數(shù)據(jù)發(fā)送到內(nèi)端主機(jī); 第二解封裝模塊,用于通過內(nèi)端主機(jī)對接收到的私有協(xié)議封裝數(shù)據(jù)進(jìn)行解封裝處理,根據(jù)解封裝得到的IP映射表索引INDEX,節(jié)點(diǎn)ID在IP映射表進(jìn)行檢索,根據(jù)檢索的結(jié)果對密文IPSEC數(shù)據(jù)包進(jìn)行重組,生成新的密文數(shù)據(jù)包,再對新的密文數(shù)據(jù)包進(jìn)行解密處理和IPSEC隧道解封裝處理,生成明文數(shù)據(jù)包,發(fā)送明文數(shù)據(jù)包到內(nèi)部網(wǎng)絡(luò)。
5.根據(jù)權(quán)利要求4所述的IPSECVPN設(shè)備的隔離系統(tǒng),其特征在于,所述第一私有協(xié)議封轉(zhuǎn)模塊具體包括: 剝離單元,用于對密文數(shù)據(jù)包進(jìn)行以太幀及IP頭部剝離處理,獲得密文數(shù)據(jù)包剝離的IP頭部; 封裝單元,用于根據(jù)剝離的IP頭部攜帶的源地址和目的地址,利用HASH算法,計算其IP映射表索引INDEX,并遍歷所述哈希鏈表,如有對應(yīng)的源IP地址、目的IP地址,則對密文數(shù)據(jù)包進(jìn)行私有協(xié)議封裝處理,生成私有協(xié)議封裝的數(shù)據(jù)包;發(fā)送單元,用于發(fā)送所述私有協(xié)議的數(shù)據(jù)包到外端主機(jī)。
6.根據(jù)權(quán)利要求5所述的IPSECVPN設(shè)備的隔離系統(tǒng),其特征在于,所述封裝單元具體包括: INDEX值計算單元,用于根據(jù)密文數(shù)據(jù)包的源地址和目的地址,利用hash算法,計算出IP映射表索引INDEX值,在IP映射表中取出對應(yīng)的節(jié)點(diǎn)鏈表的首節(jié)點(diǎn); 遍歷單元,用于遍歷所述節(jié)點(diǎn)鏈表,查找與密文數(shù)據(jù)包的源地址以及目的地址相匹配的節(jié)點(diǎn)項(xiàng),若查找到,則將對應(yīng)的節(jié)點(diǎn)ID值及映射表索引INDEX值寫入密文數(shù)據(jù)私有協(xié)議數(shù)據(jù)包中,若未查找到,則丟棄該密文數(shù)據(jù)包并結(jié)束處理; 處理單元,用于剝除密文數(shù)據(jù)包以太幀及IP頭信息,將純載荷內(nèi)容以及關(guān)鍵狀態(tài)信息寫入私有協(xié)議數(shù)據(jù)包中。
7.一種IPSEC VPN設(shè)備,其特征在于,包括內(nèi)端主機(jī)、外端主機(jī)和非網(wǎng)絡(luò)隔離卡,所述非網(wǎng)絡(luò)隔離卡用于傳輸不包含以太幀及IP頭信息的純數(shù)據(jù),所述內(nèi)端主機(jī)通過所述非網(wǎng)絡(luò)隔離卡與所述外端主機(jī)物理連接,所述內(nèi)端主機(jī)與內(nèi)部網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交互,所述外端主機(jī)與外部網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交互; 內(nèi)端主機(jī)與外端主機(jī)中維護(hù)相同的IP映射表,其中,所述IP映射表為哈希鏈表,所述哈希鏈表定義有IP映射表索引INDEX以及數(shù)據(jù)包的源地址、目的地址和IP映射ID信息; 當(dāng)所述內(nèi)部網(wǎng)絡(luò)外出明文數(shù)據(jù)包傳輸?shù)剿鰞?nèi)端主機(jī)時,對接收到的明文數(shù)據(jù)包進(jìn)行數(shù)據(jù)加密處理和IPSEC隧道封裝處理,生成密文數(shù)據(jù)包,對密文數(shù)據(jù)包進(jìn)行以太幀及IP頭部剝離處理,根據(jù)剝離的IP頭部,計算IP映射表中索引INDEX,并遍歷所述哈希鏈表,查找是否有對應(yīng)的源IP地址、目的IP地址,如有對應(yīng)的數(shù)據(jù),則對密文數(shù)據(jù)包進(jìn)行私有協(xié)議封裝處理,并將私有協(xié)議封裝的數(shù)據(jù)發(fā)送到外端主機(jī),通過外端主機(jī)對接收到的私有協(xié)議封裝數(shù)據(jù)進(jìn)行解封裝處理,根據(jù)解封裝得到的IP映射表索引INDEX,節(jié)點(diǎn)ID在IP映射表進(jìn)行檢索,根據(jù)檢索的結(jié)果對密文IPSEC數(shù)據(jù)包進(jìn)行重組,生成密文IPSEC數(shù)據(jù)包,發(fā)送密文IPSEC數(shù)據(jù)包到外部網(wǎng)絡(luò); 當(dāng)所述外部網(wǎng)絡(luò)向所述外端主機(jī)傳輸密文數(shù)據(jù)包時,接收來自外部網(wǎng)絡(luò)的密文數(shù)據(jù)包,對密文數(shù)據(jù)包進(jìn)行以太幀及IP頭部剝離處理,根據(jù)剝離的IP頭部,計算IP映射表中索引INDEX,并遍歷哈希鏈表,查找是否有對應(yīng)的源IP地址、目的IP地址,如有對應(yīng)的數(shù)據(jù),則對密文數(shù)據(jù)包進(jìn)行私有協(xié)議封裝處理,并將私有協(xié)議封裝的數(shù)據(jù)發(fā)送到內(nèi)端主機(jī),通過內(nèi)端主機(jī)對接收到的私有協(xié)議封裝數(shù)據(jù)進(jìn)行解封裝處理,根據(jù)解封裝得到的IP映射表索引INDEX,節(jié)點(diǎn)ID在IP映射表進(jìn)行檢索,根據(jù)檢索的結(jié)果對密文IPSEC數(shù)據(jù)包進(jìn)行重組,生成新的密文數(shù)據(jù)包,再對新的密文數(shù)據(jù)包進(jìn)行解密處理和IPSEC隧道解封裝處理,生成明文數(shù)據(jù)包,發(fā)送明文數(shù)據(jù)包到內(nèi)部網(wǎng)絡(luò)。
8.根據(jù)權(quán)利要求7所述的IPSECVPN設(shè)備,其特征在于,所述內(nèi)端主機(jī)包括硬件加密模塊、VPN處理模塊和密鑰協(xié)商模塊; 所述硬件加密模塊用于對接收到的明文數(shù)據(jù)包進(jìn)行加密處理,或者對接收到的密文數(shù)據(jù)包進(jìn)行解密處理,所述VPN處理模塊用于數(shù)據(jù)包進(jìn)行IPSEC隧道模式封裝和解封裝,所述密鑰協(xié)商模塊用于IPSec VPN密鑰協(xié)商。
9.根據(jù)權(quán)利要7或8所述的IPSECVPN設(shè)備,其特征在于,還包括第一網(wǎng)卡和第二網(wǎng)卡,所述內(nèi)端主機(jī)通過所述第一網(wǎng)卡與所述內(nèi)部網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交互,所述外端主機(jī)通過所述第二網(wǎng)卡與所述外部網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交互。
【文檔編號】H04L29/06GK103812861SQ201410025959
【公開日】2014年5月21日 申請日期:2014年1月20日 優(yōu)先權(quán)日:2014年1月20日
【發(fā)明者】胡朝輝, 梁智強(qiáng), 江澤鑫, 梁志宏, 陳炯聰, 黃曙, 余南華, 林丹生, 李闖, 石煒君, 梁毅成, 黃岳峰 申請人:廣東電網(wǎng)公司電力科學(xué)研究院