本申请提供一种基于IPSec VPN的报文转发方法及装置,该方法包括:IPSec VPN客户端的IKE进程通过已建立的控制通道与IPSec VPN服务端协商出建立数据通道所使用的加密参数后,将加密参数发送至VPN Client进程;VPN Client进程接收加密参数,并向IPSec VPN服务端发送反向端口更新报文,反向端口更新报文携带第一端口的端口号;VPN Client进程通过第一端口和加密参数与IPSec VPN服务端建立数据通道,并通过已建立的数据通道与IPSec VPN服务端互相发送数据报文。本申请提升了IPSec VPN客户端处理数据报文的性能。
【技术实现步骤摘要】
一种基于IPSecVPN的报文转发方法及装置
本申请涉及通信
,特别涉及一种基于IPSecVPN的报文转发方法及装置。
技术介绍
IPSec(InternetProtocolSecurity,互联网协议安全性)是一种开放标准的框架结构,通过使用加密的安全服务以确保在IP网络上进行保密而安全的通讯。IPSec不是一个单独的协议,而是应用于IP层上网络数据安全的一整套体系结构,包括AH(AuthenticationHeader,网络认证协议)协议、ESP(EncapsulatingSecurityPayload,封装安全荷载协议)协议、IKE(InternetKeyExchange,互联网密钥交换协议)和用于网络认证及加密的一些算法等。IPSecVPN(VirtualPrivateNetwork,虚拟专用网络)是采用IPSec协议来实现远程接入的一种VPN技术,用以提供公用网络和专用网络的端对端加密和验证服务。IPSecVPN客户端上运行IKE协议的IKE进程与IPSecVPN服务端之间互相发送控制报文,来实现用户身份认证并建立数据通道。后续IPSecVPN客户端与IPSecVPN服务端之间通过数据通道互相发送数据报文。
技术实现思路
有鉴于此,本申请提供一种基于IPSecVPN的报文转发方法及装置,用以提高IPSecVPN客户端对数据报文的处理性能。具体地,本申请是通过如下技术方案实现的:一种基于IPSecVPN的报文转发方法,应用于IPSecVPN客户端,所述IPSecVPN客户端包括IKE进程和VPNClient进程,包括:所述IKE进程通过已建立的控制通道与IPSecVPN服务端协商出建立数据通道所使用的加密参数后,将所述加密参数发送至所述VPNClient进程;所述VPNClient进程接收所述加密参数,并向所述IPSecVPN服务端发送反向端口更新报文,所述反向端口更新报文携带第一端口的端口号;所述VPNClient进程通过所述第一端口和所述加密参数与所述IPSecVPN服务端建立数据通道,并通过已建立的数据通道与所述IPSecVPN服务端互相发送数据报文。在所述基于IPSecVPN的报文转发方法中,所述方法还包括:所述IKE进程从第二端口接收到所述IPSecVPN服务端发送的数据报文,基于所述加密参数对所述数据报文进行解密,并将解密后的数据报文转发至所述VPNClient进程;其中,所述第二端口为建立所述控制通道所采用的端口;所述IKE进程通知所述VPNClient进程向所述IPSecVPN服务端发送所述反向端口更新报文。在所述基于IPSecVPN的报文转发方法中,所述通过已建立的数据通道与所述IPSecVPN服务端互相发送数据报文,包括:所述VPNClient进程通过已建立的数据通道接收到所述IPSecVPN服务端发送的数据报文,基于所述加密参数对所述数据报文进行解密,获得解密后的数据报文。在所述基于IPSecVPN的报文转发方法中,所述通过已建立的数据通道与所述IPSecVPN服务端互相发送数据报文,包括:所述VPNClient进程将解密后的数据报文交由所述IPSecVPN客户端的系统,以由所述IPSecVPN客户端的系统处理所述数据报文后返回业务数据;所述VPNClient进程基于所述加密参数将所述业务数据封装成数据报文,并通过已建立的数据通道向所述IPSecVPN服务端发送所述数据报文。一种基于IPSecVPN的报文转发方法,应用于IPSecVPN服务端,包括:在与IPSecVPN客户端协商出建立数据通道所使用的加密参数后,接收到所述IPSecVPN客户端发送的反向端口更新报文,其中,所述反向端口更新报文携带第一端口的端口号;通过所述加密参数和所述第一端口与所述IPSecVPN客户端建立数据通道,并通过已建立的数据通道与所述IPSecVPN客户端互相发送数据报文。一种基于IPSecVPN的报文转发装置,应用于IPSecVPN客户端,所述IPSecVPN客户端包括IKE进程和VPNClient进程,包括:第一协商单元,用于通过已建立的控制通道与IPSecVPN服务端协商出建立数据通道所使用的加密参数后,将所述加密参数发送至所述VPNClient进程;第一发送单元,用于接收所述加密参数,并向所述IPSecVPN服务端发送反向端口更新报文,所述反向端口更新报文携带第一端口的端口号;第二发送单元,用于通过所述第一端口和所述加密参数与所述IPSecVPN服务端建立数据通道,并通过已建立的数据通道与所述IPSecVPN服务端互相发送数据报文。在所述基于IPSecVPN的报文转发装置中,所述装置还包括:转发单元,用于从第二端口接收到所述IPSecVPN服务端发送的数据报文,基于所述加密参数对所述数据报文进行解密,并将解密后的数据报文转发至所述VPNClient进程;其中,所述第二端口为建立所述控制通道所采用的端口;通知单元,用于通知所述VPNClient进程向所述IPSecVPN服务端发送所述反向端口更新报文。在所述基于IPSecVPN的报文转发装置中,所述第二发送单元,进一步用于:通过已建立的数据通道接收到所述IPSecVPN服务端发送的数据报文,基于所述加密参数对所述数据报文进行解密,获得解密后的数据报文。在所述基于IPSecVPN的报文转发装置中,所述第二发送单元,进一步用于:将解密后的数据报文交由所述IPSecVPN客户端的系统,以由所述IPSecVPN客户端的系统处理所述数据报文后返回业务数据;基于所述加密参数将所述业务数据封装成数据报文,并通过已建立的数据通道向所述IPSecVPN服务端发送所述数据报文。一种基于IPSecVPN的报文转发装置,应用于IPSecVPN服务端,包括:第二协商单元,用于在与IPSecVPN客户端协商出建立数据通道所使用的加密参数后,接收到所述IPSecVPN客户端发送的反向端口更新报文,其中,所述反向端口更新报文携带第一端口的端口号;第三发送单元,用于通过所述加密参数和所述第一端口与所述IPSecVPN客户端建立数据通道,并通过已建立的数据通道与所述IPSecVPN客户端互相发送数据报文。在本申请实施例中,IPSecVPN客户端与IPSecVPN服务端协商出建立数据通道所使用的加密参数后,IPSecVPN客户端上的IKE进程将该加密参数发送至IPSecVPN客户端上的VPNClient进程;VPNClient进程接收该加密参数,并向IPSecVPN服务端发送反向端口更新报文,该反向端口更新报文携带第一端口的端口号;进一步地,VPNClient进程通过第一端口和上述加密参数与IPSecVPN服务端建立数据通道,并通过已建立的数据通道与IPSecVPN服务端互相发送数据报文;由于IPSecVPN客户端上的VPNClient进程可以反向端口更新报文中的第一端口和上述加密参数与IPSecVPN服务端建立数据通道,从而使得IPSecVPN客户端与IPSecVPN服务端之间的控制通道和数据通道分别使用不同的UDP通道,VPNClient进程直接接收IPSecVPN服务端发送的数据报文,减少了IKE进程与VPNClient进程之间的交互,大大提升了IPSe本文档来自技高网...
【技术保护点】
1.一种基于IPSec VPN的报文转发方法,应用于IPSec VPN客户端,所述IPSec VPN客户端包括IKE进程和VPN Client进程,其特征在于,包括:所述IKE进程通过已建立的控制通道与IPSec VPN服务端协商出建立数据通道所使用的加密参数后,将所述加密参数发送至所述VPN Client进程;所述VPN Client进程接收所述加密参数,并向所述IPSec VPN服务端发送反向端口更新报文,所述反向端口更新报文携带第一端口的端口号;所述VPN Client进程通过所述第一端口和所述加密参数与所述IPSec VPN服务端建立数据通道,并通过已建立的数据通道与所述IPSec VPN服务端互相发送数据报文。
【技术特征摘要】
1.一种基于IPSecVPN的报文转发方法,应用于IPSecVPN客户端,所述IPSecVPN客户端包括IKE进程和VPNClient进程,其特征在于,包括:所述IKE进程通过已建立的控制通道与IPSecVPN服务端协商出建立数据通道所使用的加密参数后,将所述加密参数发送至所述VPNClient进程;所述VPNClient进程接收所述加密参数,并向所述IPSecVPN服务端发送反向端口更新报文,所述反向端口更新报文携带第一端口的端口号;所述VPNClient进程通过所述第一端口和所述加密参数与所述IPSecVPN服务端建立数据通道,并通过已建立的数据通道与所述IPSecVPN服务端互相发送数据报文。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:所述IKE进程从第二端口接收到所述IPSecVPN服务端发送的数据报文,基于所述加密参数对所述数据报文进行解密,并将解密后的数据报文转发至所述VPNClient进程;其中,所述第二端口为建立所述控制通道所采用的端口;所述IKE进程通知所述VPNClient进程向所述IPSecVPN服务端发送所述反向端口更新报文。3.根据权利要求1所述的方法,其特征在于,所述通过已建立的数据通道与所述IPSecVPN服务端互相发送数据报文,包括:所述VPNClient进程通过已建立的数据通道接收到所述IPSecVPN服务端发送的数据报文,基于所述加密参数对所述数据报文进行解密,获得解密后的数据报文。4.根据权利要求2或3所述的方法,其特征在于,所述通过已建立的数据通道与所述IPSecVPN服务端互相发送数据报文,包括:所述VPNClient进程将解密后的数据报文交由所述IPSecVPN客户端的系统,以由所述IPSecVPN客户端的系统处理所述数据报文后返回业务数据;所述VPNClient进程基于所述加密参数将所述业务数据封装成数据报文,并通过已建立的数据通道向所述IPSecVPN服务端发送所述数据报文。5.一种基于IPSecVPN的报文转发方法,应用于IPSecVPN服务端,其特征在于,包括:在与IPSecVPN客户端协商出建立数据通道所使用的加密参数后,接收到所述IPSecVPN客户端发送的反向端口更新报文,其中,所述反向端口更新报文携带第一端口的端口号;通过所述加密参数和所述第一端口与所述IPSecVPN客户端建立数据通...
【专利技术属性】
技术研发人员:孔伟政,
申请(专利权)人:杭州迪普科技股份有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。