分布式IPSec网关制造技术

在本文公开了一种分布式IPSec网关技术，将IPSec网关的控制层和数据层进行分离，在数据层中运行多个网关处理节点来处理入向ESP/AH流量的数据包和/或出向IP流量的数据包，在控制层中处理IKE信息交互以及对数据层中的各个网关处理节点进行流量导引。通过控制层和数据层进行分离设计，从而实现了分布式IPSec网关。

【技术实现步骤摘要】
分布式IPSec网关
技术介绍
虚拟云网络服务使得云使用者能够在公有云(云提供者的云网络)上拥有自己的私有网络(以下简称虚拟私有云网络)。在云
中，IPSec(InternetProtocolSecurity，Internet协议安全性)网关为云租户中的云使用者提供了远程接入他们的虚拟私有云网络的VPN(VirtualPrivateNetwork，虚拟专用网络)连接。
技术实现思路
提供本专利技术实施例内容是为了以精简的形式介绍将在以下详细描述中进一步描述的一些概念。本
技术实现思路
并不旨在标识所要求保护主题的关键特征或必要特征，也不旨在用于限制所要求保护主题的范围。在本文公开了一种分布式IPSec网关技术，将IPSec网关的控制层和数据层进行分离，在数据层中运行多个网关处理节点来处理入向ESP(EncapsulatingSecurityPayload，封装安全负载)/AH(AuthenticationHeader，认证头)流量的数据包和/或出向IP流量的数据包，在控制层中处理IKE(InternetKeyExchange，因特网密钥交换)信息交互以及对数据层中的各个网关处理节点进行流量导引。通过控制层和数据层进行分离设计，从而实现了分布式IPSec网关。上述说明仅是本公开技术方案的概述，为了能够更清楚了解本公开的技术手段，而可依照说明书的内容予以实施，并且为了让本公开的上述和其它目的、特征和优点能够更明显易懂，以下特举本公开的具体实施方式。附图说明图1为应用了本专利技术实施例的分布式IPSec网关的云网络系统的示例框图。图2为IPSec隧道的示意结构框图。图3为本专利技术实施例的IPSec隧道迁移过程的示例流程图。图4为本专利技术实施例的网关处理节点的结构框图。图5为本专利技术实施例的分布式IPSec网关的系统结构框图。图6为本专利技术实施例的计算设备的结构框图。图7为本专利技术实施例的分布式IPSec网关的处理流程的示意图。具体实施方式下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。术语说明IPSec：InternetProtocolSecurity，Internet协议安全性，IPSec是一种开放标准的框架结构，通过使用加密的安全服务以确保在Internet协议(IP)网络上进行保密而安全的通讯。ESP：EncapsulatingSecurityPayload，封装安全负载。AH：AuthenticationHeader，认证头。SA：securityassociation，安全关联。IKE：InternetKeyExchangeProtocol，Internet密钥交换协议。IP：InternetProtocol，网络互连协议。SPI：SecurityParameterIndex，安全参数索引。DH：Diffie-Hellman，一种密钥一致性算法。Nonce：Numberusedonce，Nonce是一个只被使用一次的任意或非重复的随机数。本文中，术语“技术”可以指代例如(一个或多个)系统、(一个或多个)方法、计算机可读指令、(一个或多个)模块、算法、硬件逻辑(例如，现场可编程门阵列(FPGA))、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑电子设备(CPLD)和/或上述上下文以及在本文档通篇中所允许的(一项或多项)其它技术。整体概述如图1所示，其为应用了本专利技术实施例的分布式IPSec网关的云网络系统的示例框图100。在框图100中包括了云提供者的云网络101和多个云租户的本地网络102，在云提供者的云网络101中，包括多个云租户租用的云租户的虚拟私有云网络107。云租户的本地网络102通过云租户IPSec网关104接入互联网(Internet)105后，再通过云提供者的分布式IPSec网关106接入到云租户的虚拟私有云网络107，从而在云租户的本地网络102和云租户的虚拟私有云网络107之间建立了一条IPSec隧道，实现了云租户的本地网络102和云租户的虚拟私有云网络107之间的VPN连接。在本文中所提出的技术方案中，云提供者的IPSec网关为分布式的IPSec网关，采用了控制层108和数据层109分离的架构。在数据层109中设置有多个网关处理节点(GPN，GatewayProcessingNode)110，每个网关处理节点通过一个虚拟机(VM，VirtualMachine)111来运行，用来处理至少一条IPSec隧道的入向ESP/AH流量的数据包和/或出向IP流量的数据包。在一些例子中，数据层109设置了虚拟机资源池112，虚拟机资源池112中的虚拟机111用来运行上述网关处理节点110。在控制层108中设置有网关管理节点(GMN，GatewayManagementNode)113，用于与多个云租户IPSec网关104进行信息交互生成多条IPSec隧道的IPSecSA，并发送给处理相应IPSec隧道的数据包的网关处理节点110，此外，网关管理节点113还对数据层109中的各个网关处理节点110进行流量导引，以调整各个网关处理节点处理的IPSec隧道的数据包的负载量，从而最大效率地利用虚拟机资源。具体地，网关管理节点113通过生成流量导引规则的方式对数据层109的IPSec隧道的流量进行导引，生成的流量导引规则发送到数据层109的网关输入节点(GIN,GatewayIngressNode)114和网关输出节点(GEN,GatewayEgressNode)115，网关输入节点114和网关输出节点115根据流量导引规则进行流量导引。下面对应用了本专利技术实施例的分布式IPSec网关的云网络系统的各个部分以及主要数据处理过程分别进行详细说明。IPSec隧道如图2所示，其为IPSec隧道的示意结构框图200。IPSec隧道201建立在云租户IPSec网关104和云提供者的分布式IPSec网关106之间，在该IPSec隧道201中传输有IKE流量202和ESP/AH流量，由于ESP/AH流量是通过单向的IPSecSA(包括入向IPSecSA和出向IPSecSA)进行加密和解密的，因此，在图中区分为入向ESP/AH流量203和出向ESP/AH流量204。IPSec协议是一种站点到站点的VPN连接标准，IPSec协议通过对IP数据包进行加密和认证的机制来确保对等的IPSec网关之间的安全通信。对于站点到站点的VPN连接，IPSec网关对IP数据包进行加密后，在两个对等的IPSec网关之间进行传输，从而形成IPSec隧道。IPSec协议主要包括IKE协议和ESP/AH协议，下面将分别介绍这两个IPSec协议。IKE协议主要用于两个对等IPSec网关之间的认证，以及在两个对等的IPSec网关之间建立用于安全通信的共享属性(sharedattributes)。该共享属性称作SA(securityassociation，安全关联)，SA是通过IPSec网关之间的协商产生的，SA包括加密套件(本文档来自技高网...

【技术保护点】
1.一种计算设备，包括：处理单元；以及存储器，耦合至所述处理单元并且包含存储于其上的指令，所述指令在由所述处理单元执行时使所述电子设备执行动作，所述动作包括：配置网关管理节点以用于：生成多条IPSec隧道的IPSec SA，并发送给处理相应IPSec隧道的入向ESP/AH流量的数据包和/或出向IP流量的数据包的网关处理节点，以及在多个所述网关处理节点之间进行入向ESP/AH流量导引和/或出向IP流量导引；以及配置多个网关处理节点以用于：使用所述网关管理节点发送的IPSec SA，对接收到的入向ESP/AH流量的数据包进行处理，生成入向IP流量的数据包，和/或，对接收到的出向IP流量的数据包进行处理，生成出向ESP/AH流量的数据包。

【技术特征摘要】
1.一种计算设备，包括：处理单元；以及存储器，耦合至所述处理单元并且包含存储于其上的指令，所述指令在由所述处理单元执行时使所述电子设备执行动作，所述动作包括：配置网关管理节点以用于：生成多条IPSec隧道的IPSecSA，并发送给处理相应IPSec隧道的入向ESP/AH流量的数据包和/或出向IP流量的数据包的网关处理节点，以及在多个所述网关处理节点之间进行入向ESP/AH流量导引和/或出向IP流量导引；以及配置多个网关处理节点以用于：使用所述网关管理节点发送的IPSecSA，对接收到的入向ESP/AH流量的数据包进行处理，生成入向IP流量的数据包，和/或，对接收到的出向IP流量的数据包进行处理，生成出向ESP/AH流量的数据包。2.根据权利要求1所述的计算设备，其中，所述动作还包括：配置网关输入节点和/或网关输出节点；所述网关管理节点，进一步用于生成用于在所述多个网关处理节点之间进行入向ESP/AH流量导引的入向ESP/AH流量导引规则，并将所述入向ESP/AH流量导引规则发送给所述网关输入节点，和/或，生成用于在所述多个网关处理节点之间进行出向IP流量导引的出向IP流量导引规则，将所述出向IP流量导引规则发送给所述网关输出节点，配置网关输入节点以用于接收入向ESP/AH流量的数据包，并根据所述入向ESP/AH流量导引规则，将接收到的入向ESP/AH流量的数据包发送给相应的网关处理节点；配置网关输出节点以用于接收出向IP流量的数据包，并根据所述出向IP流量导引规则，将接收到的出向IP流量的数据包发送给相应的网关处理节点。3.根据权利要求1所述计算设备，其中，所述网关管理节点进一步用于维护用于运行所述网关处理节点的虚拟机资源池，对所述虚拟机资源池的虚拟机资源配置进行调配，其中，每个所述网关处理节点通过所述虚拟机资源池中的一个虚拟机来运行。4.根据权利要求3所述的计算设备，其中，所述虚拟机资源池中的多个虚拟机包括如下状态：已经启动并且用于正在运行网关处理节点的活跃状态、已经启动并且用于准备运行网关处理节点的非活跃状态，所述对虚拟机资源池的虚拟机资源配置进行调配包括：在建立新的IPSec隧道时或者在需要进行IPSec隧道迁移时，如果网关管理节点在活跃状态的虚拟机中没有找到有负载余量虚拟机，则从所述非活跃状态的虚拟机中选择虚拟机来运行新的网关处理节点，以处理新的IPSec隧道的流量或者被迁移的IPSec隧道迁移的流量。5.根据权利要求3或4所述的计算设备，其中，所述对虚拟机资源池的虚拟机资源配置进行调配包括：根据已经建立的各个IPSec隧道对应的云提供者向云租户所承诺的性能要求以及各个虚拟机的负载能力，对所述虚拟机资源池中的虚拟机资源配置进行调整，使得虚拟机资源池中的资源配置能够满足已经建立的IPSec隧道的所述性能要求的总和。6.根据权利要求2所述的计算设备，其中，所述网关管理节点还进一步用于执行从源网关处理节点到目标网关处理节点的IPSec隧道迁移控制，所述IPSec隧道迁移控制包括：所述网关管理节点生成被迁移的隧道的新的IPSecSA，并将该新的IPSecSA发送给目标网关处理节点；生成新的入向ESP/AH流量导引规则和/或新的出向IP流量导引规则，并将所述新的入向ESP/AH流量导引规则发送给所述网关输入节点和/或将所述新的出向IP流量导引规则发送给所述网关输出节点，其中，在IPSec隧道迁移过程中，源网关处理节点使用旧的IPSecSA处理被迁移的隧道的入向ESP/AH流量的数据包和/或出向IP流量的数据包。7.根据权利要求6所述的计算设备，其中，在IKE密钥更新的过程中，进行所述IPSec隧道迁移控制。8.根据权利要求1所述的计算设备，其中，所述网关管理节点还进一步用于对网关处理节点处理的各个IPSec隧道的入向ESP/AH流量和/或出向IP流量进行监测，并判断该网关处理节点处理的全部IPSec隧道的入向ESP/AH流量和/或出向IP流量的总和是否超过运行该网关处理节点的虚拟机的负载能力阈值，如果所述入向ESP/AH流量和/或出向IP流量的总和超过运行该网关处理节点的虚拟机的负载能力阈值，则执行隧道迁移控制。9.根据权利要求8所述的计算设备，其中，所述网关管理节点，还进一步用于计算网关处理节点所处理的各个IPSec隧道入向ESP/AH流量和/或出向IP流量与所述虚拟机的负载能力阈值的差值，基于该差值对所述网关处理节点所处理的多个IPSec隧道进行排序，并选择需要进行迁移的IPSec隧道，直到该网关处理节点处理的全部IPSec隧道的入向ESP/AH流量和/或出向IP流量的总和小于所述负载能力阈值。10.一种在IPSec网关中实现的方法，所述IPSec网关包括网关管理节点和多个网关处理节点，所述方法包括：所述网关管理节点生成多条IPSec隧道的IPSecSA，并发送给处理相应IPSec隧道的入向ESP/AH流量的数据包和/或出向IP流量的数据包的网关处理节点，以及在所述多个网关处理节点之间进行入向ESP/AH流量导引和/或出向IP流量导引；各个所述网关处理节点使用所述网关管理节点发送的IPSecSA，对接收到的入向ESP/AH流量的数据包进行处理，生成入向IP流量的数据包，和/或，对接收到的出向IP流量的数据包进行处理，生成出向ESP/AH流量的数据包。11.根据权利要求10所述的方法，其中，所述IPSec网关还包括：网关输入节点和/...

【专利技术属性】
技术研发人员：熊勇强，王智用，孙正锡，
申请(专利权)人：微软技术许可有限责任公司，
类型：发明
国别省市：美国,US