一种数据传输方法及装置制造方法及图纸

本发明专利技术公开了一种数据传输方法，应用于网关，网关中配置有至少两种类型的虚拟网卡，不同类型的虚拟网卡对应不同类型的VPN数据处理单元，每种类型的VPN数据处理单元均预先建立有多条VPN隧道，该方法包括：将出站数据路由到第一类型虚拟网卡；通过第一VPN数据处理单元从第一类型虚拟网卡读取出站数据，并对出站数据进行封装处理；将进行封装处理后的出站数据通过对应的VPN隧道传送出去。应用本发明专利技术实施例所提供的技术方案，使得在一台网关设备上稳定高效运行至少两套VPN系统，不同VPN系统可以进行优势互补，在实现多个网络之间的安全互连的同时可以减少维护成本。本发明专利技术还公开了一种数据传输装置，具有相应技术效果。

【技术实现步骤摘要】
一种数据传输方法及装置
本专利技术涉及网络安全
，特别是涉及一种数据传输方法及装置。
技术介绍
随着互联网技术的快速发展，各企事业单位对网络安全的关注程度越来越高，虚拟专用网络VPN应运而生，常见的如IPSecVPN和SSLVPN。IPSecVPN是利用IPSec协议在公用网络的两个实体之间建立安全的数据通信隧道，使两个实体的内网之间像局域网一样通信，通信数据在穿过公网时经过加密传输。SSLVPN是利用SSL协议在远程用户和组织之间建立一条穿过混乱的公用网络的安全、稳定的隧道，通信数据在穿过公网时经过加密传输。最大的好处之一就是远程用户可以随时随地地从任何浏览器上安全接入到内部网络，安全地访问应用程序，无需手动安装或设置客户端软件，降低了企业的维护成本。目前，一台网关设备通常采用一种VPN系统，存在一定的局限性，如传统的IPSecVPN在部署时，往往需要在每个远程接入的终端都安装相应的IPSec客户端，并需要做复杂的配置，如果企业的远程接入和移动办公数量增多，企业的维护成本也将增加；而SSLVPN无法实现多个网络之间的安全互连。
技术实现思路
本专利技术的目的是提供一种数据传输方法及装置，以在实现多个网络之间的安全互连的同时减少维护成本。为解决上述技术问题，本专利技术提供如下技术方案：一种数据传输方法，应用于部署在网络出入口的网关，所述网关中配置有至少两种类型的虚拟网卡，不同类型的虚拟网卡对应不同类型的VPN数据处理单元，每种类型的VPN数据处理单元均预先建立有多条VPN隧道，所述方法包括：在接收到出站数据时，根据所述出站数据的内网源IP和内网目的IP，将所述出站数据路由到第一类型虚拟网卡；通过第一VPN数据处理单元从所述第一类型虚拟网卡读取所述出站数据，并对所述出站数据进行封装处理，所述第一VPN数据处理单元与所述第一类型虚拟网卡对应；将进行封装处理后的所述出站数据通过对应的VPN隧道传送出去。在本专利技术的一种具体实施方式中，所述对所述出站数据进行封装处理，包括：基于所述出站数据，封装所述第一类型虚拟网卡对应的第一类型报文的载荷；在所述载荷上添加所述第一类型报文的报文头及新IP头，所述新IP头至少包含外网源IP和外网目的IP。在本专利技术的一种具体实施方式中，所述基于所述出站数据，封装所述第一类型虚拟网卡对应的第一类型报文的载荷，包括：调用加密卡抽象接口计算所述出站数据的哈希消息认证码HMAC，并对所述出站数据进行加密处理；将加密处理后的所述出站数据和所述HMAC封装成所述第一类型虚拟网卡对应的第一类型报文的载荷。在本专利技术的一种具体实施方式中，所述加密卡抽象接口基于预设规范进行定义。在本专利技术的一种具体实施方式中，在所述通过第一VPN数据处理单元从所述第一类型虚拟网卡读取所述出站数据之后，还包括：根据所述出站数据的内网源IP和内网目的IP，确定是否可匹配到所述第一VPN数据处理单元预先建立的至少一条VPN隧道；如果是，则继续执行所述对所述出站数据进行封装处理的步骤。在本专利技术的一种具体实施方式中，还包括：在接收到经过封装处理的入站数据时，通过对所述入站数据进行协议解析，确定所述入站数据所属的第二类型报文；通过所述第二类型报文对应的第二数据处理单元对所述入站数据进行解封装处理；将进行解封装处理后的所述入站数据转发给相应的内网设备。在本专利技术的一种具体实施方式中，所述网关中还部署有广域网优化控制器WOC，所述WOC包括WOC数据处理单元，所述第一类型虚拟网卡为IPSec虚拟网卡，在所述将所述出站数据路由到第一类型虚拟网卡之前，还包括：通过所述WOC数据处理单元对所述出站数据进行优化处理。在本专利技术的一种具体实施方式中，所述第二类型报文为ESP报文，在所述将进行解封装处理后的所述入站数据转发给相应的内网设备之前，还包括：通过所述WOC数据处理单元对进行解封装后的所述入站数据进行优化处理。在本专利技术的一种具体实施方式中，所述WOC还包括WOCTCP协议代理，所述第二类型报文为SSL报文，在所述通过所述第二类型报文对应的第二数据处理单元对所述入站数据进行解封装处理之前，还包括：通过所述WOCTCP协议代理对所述入站数据进行优化处理。一种数据传输装置，应用于部署在网络出入口的网关，所述网关中配置有至少两种类型的虚拟网卡，不同类型的虚拟网卡对应不同类型的VPN数据处理单元，每种类型的VPN数据处理单元均预先建立有多条VPN隧道，所述装置包括：数据路由模块，用于在接收到出站数据时，根据所述出站数据的内网源IP和内网目的IP，将所述出站数据路由到第一类型虚拟网卡；数据封装模块，用于通过第一VPN数据处理单元从所述第一类型虚拟网卡读取所述出站数据，并对所述出站数据进行封装处理，所述第一VPN数据处理单元与所述第一类型虚拟网卡对应；数据传送模块，用于将进行封装处理后的所述出站数据通过对应的VPN隧道传送出去。在本专利技术的一种具体实施方式中，所述数据封装模块，具体用于：基于所述出站数据，封装所述第一类型虚拟网卡对应的第一类型报文的载荷；在所述载荷上添加所述第一类型报文的报文头及新IP头，所述新IP头至少包含外网源IP和外网目的IP。在本专利技术的一种具体实施方式中，所述数据封装模块，具体用于：调用加密卡抽象接口计算所述出站数据的哈希消息认证码HMAC，并对所述出站数据进行加密处理；将加密处理后的所述出站数据和所述HMAC封装成所述第一类型虚拟网卡对应的第一类型报文的载荷。在本专利技术的一种具体实施方式中，所述数据封装模块，还用于：在所述通过第一VPN数据处理单元从所述第一类型虚拟网卡读取所述出站数据之后，根据所述出站数据的内网源IP和内网目的IP，确定是否可匹配到所述第一VPN数据处理单元预先建立的至少一条VPN隧道；如果是，则继续执行所述对所述出站数据进行封装处理的步骤。在本专利技术的一种具体实施方式中，还包括：报文类型确定模块，用于在接收到经过封装处理的入站数据时，通过对所述入站数据进行协议解析，确定所述入站数据所属的第二类型报文；数据解封装模块，用于通过所述第二类型报文对应的第二数据处理单元对所述入站数据进行解封装处理；数据转发模块，用于将进行解封装处理后的所述入站数据转发给相应的内网设备。在本专利技术的一种具体实施方式中，所述网关中还部署有广域网优化控制器WOC，所述WOC包括WOC数据处理单元，所述第一类型虚拟网卡为IPSec虚拟网卡，还包括：优化处理模块，用于：在所述将所述出站数据路由到第一类型虚拟网卡之前，通过所述WOC数据处理单元对所述出站数据进行优化处理。在本专利技术的一种具体实施方式中，所述第二类型报文为ESP报文，所述优化处理模块，还用于：在所述将进行解封装处理后的所述入站数据转发给相应的内网设备之前，通过所述WOC数据处理单元对进行解封装后的所述入站数据进行优化处理。在本专利技术的一种具体实施方式中，所述WOC还包括WOCTCP协议代理，所述第二类型报文为SSL报文，所述优化处理模块，还用于：在所述通过所述第二类型报文对应的第二数据处理单元对所述入站数据进行解封装处理之前，通过所述WOCTCP协议代理对所述入站数据进行优化处理。应用本专利技术实施例所提供的技术方案，部署在网络出入口的网关中配置有至少两种类型的虚拟网卡，不同类型的虚拟网卡对应本文档来自技高网...

【技术保护点】
1.一种数据传输方法，其特征在于，应用于部署在网络出入口的网关，所述网关中配置有至少两种类型的虚拟网卡，不同类型的虚拟网卡对应不同类型的VPN数据处理单元，每种类型的VPN数据处理单元均预先建立有多条VPN隧道，所述方法包括：在接收到出站数据时，根据所述出站数据的内网源IP和内网目的IP，将所述出站数据路由到第一类型虚拟网卡；通过第一VPN数据处理单元从所述第一类型虚拟网卡读取所述出站数据，并对所述出站数据进行封装处理，所述第一VPN数据处理单元与所述第一类型虚拟网卡对应；将进行封装处理后的所述出站数据通过对应的VPN隧道传送出去。

【技术特征摘要】
1.一种数据传输方法，其特征在于，应用于部署在网络出入口的网关，所述网关中配置有至少两种类型的虚拟网卡，不同类型的虚拟网卡对应不同类型的VPN数据处理单元，每种类型的VPN数据处理单元均预先建立有多条VPN隧道，所述方法包括：在接收到出站数据时，根据所述出站数据的内网源IP和内网目的IP，将所述出站数据路由到第一类型虚拟网卡；通过第一VPN数据处理单元从所述第一类型虚拟网卡读取所述出站数据，并对所述出站数据进行封装处理，所述第一VPN数据处理单元与所述第一类型虚拟网卡对应；将进行封装处理后的所述出站数据通过对应的VPN隧道传送出去。2.根据权利要求1所述的数据传输方法，其特征在于，所述对所述出站数据进行封装处理，包括：基于所述出站数据，封装所述第一类型虚拟网卡对应的第一类型报文的载荷；在所述载荷上添加所述第一类型报文的报文头及新IP头，所述新IP头至少包含外网源IP和外网目的IP。3.根据权利要求2所述的数据传输方法，其特征在于，所述基于所述出站数据，封装所述第一类型虚拟网卡对应的第一类型报文的载荷，包括：调用加密卡抽象接口计算所述出站数据的哈希消息认证码HMAC，并对所述出站数据进行加密处理；将加密处理后的所述出站数据和所述HMAC封装成所述第一类型虚拟网卡对应的第一类型报文的载荷。4.根据权利要求3所述的数据传输方法，其特征在于，所述加密卡抽象接口基于预设规范进行定义。5.根据权利要求1所述的数据传输方法，其特征在于，在所述通过第一VPN数据处理单元从所述第一类型虚拟网卡读取所述出站数据之后，还包括：根据所述出站数据的内网源IP和内网目的IP，确定是否可匹配到所述第一VPN数据处理单元预先建立的至少一条VPN隧道；如果是，则继续执行所述对所述出站数据进行封装处理的步骤。6.根据权利要求1至5之中任一项所述的数据传输方法，其特征在于，还包括：在接收到经过封装处理的入站数据时，通过对所述入站数据进行协议解析，确定所述入站数据所属的第二类型报文；通过所述第二类型报文对应的第二数据处理单元对所述入站数据进行解封装处理；将进行解封装处理后的所述入站数据转发给相应的内网设备。7.根据权利要求6所述的数据传输方法，其特征在于，所述网关中还部署有广域网优化控制器WOC，所述WOC包括WOC数据处理单元，所述第一类型虚拟网卡为IPSec虚拟网卡，在所述将所述出站数据路由到第一类型虚拟网卡之前，还包括：通过所述WOC数据处理单元对所述出站数据进行优化处理。8.根据权利要求7所述的数据传输方法，其特征在于，所述第二类型报文为ESP报文，在所述将进行解封装处理后的所述入站数据转发给相应的内网设备之前，还包括：通过所述WOC数据处理单元对进行解封装后的所述入站数据进行优化处理。9.根据权利要求7所述的数据传输方法，其特征在于，所述WOC还包括WOCTCP协议代理，所述第二类型报文为SSL报文，在所述通过所述第二类型报文对应的第二数据处理单元对所述入站数据进行解封装处理之前，还包括：通过所述WOCTCP协议代理对所述入站数据进行优化处理。10.一种数据传输装置，其特征在于...

【专利技术属性】
技术研发人员：董伟，徐洪勋，杨金柱，
申请(专利权)人：深信服科技股份有限公司，
类型：发明
国别省市：广东,44