本发明专利技术提供了对转发报文加密的方法和设备、及报文转发的方法和设备,以解决IPSEC网络设备中报文转发流程繁琐、用时长的问题。所述方法包括:通过在网络设备与交换机的物理接口中设置至少一个VLAN子接口,并在所述VLAN子接口中配置IPSEC遂道功能,IPSEC功能配置完成后,在报文转发和报文接收的VLAN子接口间协商建立IPSEC遂道,通过协商建立的所述IPSEC遂道对所述报文进行加密。这一加密方法不需要对报文进行ACL规则匹配,简化了转发流程,节省了转发时间,在不增加硬件成本的前提下增加了IPSEC遂道的吞吐量,提升了用户体验,节约了成本。
【技术实现步骤摘要】
对转发报文加密的方法和设备、及报文转发的方法和设备
本专利技术属于通信
,具体涉及对转发报文加密的方法和设备、及报文转发 的方法和设备。
技术介绍
因特网协议安全性(Internet Protocol Security, IPSEC)是基于 Internet 工 程任务组的一种开放标准的安全框架,通过数据包筛选及受信任通讯的实施来防御网络攻 击。基于此,在因特网的报文转发的过程中,需要保证报文的安全性,在报文转发前对报文 进行加密处理,在报文转发后对报文进行解密处理,以完成报文的安全转发。 当前,对报文的转发流程如下:在转发端,首先匹配报文的ACL规则;匹配完成后 判断是否有可用的IPSEC遂道;若有,则利用IPSEC遂道对报文进行加密,加密后进行转 发;若没有,触发建立IPSEC遂道,利用建立后的IPSEC遂道对报文进行加密和转发;在接 收端,首先判断所接收的报文的类型,当判断所接收的报文为加密报文后,在安全关联数据 (Security Association Data Base,SADB)库中查找 IPSEC 安全联盟(IPSEC Security Association,IPSEC SA),利用IPSEC SA对报文进行解密,完成报文的转发流程。这一转发 流程复杂繁琐,所需转发时间较长,降低了用户体验。
技术实现思路
本专利技术的目的是提供一种对转发报文加密的方法和设备、及报文转发的方法和设 备,简化报文转发流程,节省报文转发时间。 根据本专利技术的一个方面,提供了一种对转发报文加密的方法,所述方法包括: 在网络设备与交换机的物理接口中设置至少一个VLAN子接口,并在所述VLAN子 接口中配置IPSEC遂道功能;在报文转发和报文接收的VLAN子接口间协商建立IPSEC遂 道;通过协商建立的所述IPSEC遂道对所述报文进行加密。 上述方案中,所述在报文转发和报文接收的VLAN子接口间协商建立IPSEC遂道的 步骤进一步包括: 用于报文转发和报文接收的VLAN子接口配置完IPSEC功能后,触发报文转发VLAN 子接口与报文接收VLAN子接口建立IPSEC遂道的协商;若协商失败,则每隔预设时间进行 再次协商;协商完成后,建立IPSEC遂道。 上述方案中,所述通过协商建立的所述IPSEC遂道对所述报文进行加密的步骤进 一步包括:通过建立IPSEC遂道的协商中所获得的密码对所述报文进行加密。 根据本专利技术的另一个方面,还提供了一种对转发报文加密的设备,所述设备包 括: 接口配置模块,用于在网络设备与交换机的物理接口中设置至少一个VLAN子接 口,并在所述VLAN子接口中配置IPSEC遂道功能; 遂道建立模块,与接口配置模块连接,用于在报文转发和报文接收的VLAN子接口 间协商建立IPSEC遂道; 报文加密模块,与遂道建立模块连接,用于接收到报文后,通过所述IPSEC遂道对 所述报文进行加密。 上述方案中,所述设备还包括: 触发模块,与接口配置模块和遂道建立模块连接,用于在VLAN子接口配置完 IPSEC遂道功能后,触发所述遂道建立模块进行建立IPSEC遂道的协商; 遂道路建立模块具体用于:在报文转发VLAN子接口和报文接收VLAN的接口间进 行建立IPSEC遂道的协商;若协商失败,则每隔预设时间进行再次协商;协商完成后,建立 IPSEC遂道。 上述方案中,所述报文加密模块具体用于:通过建立IPSEC遂道的协商中所获得 的密码对所述报文进行加密。 根据本专利技术的再一个方面,还提供了一种报文转发的方法,所述方法包括: 在第一网络设备与第一交换机的物理接口中设置至少一个第一网络设备VLAN子 接口,并在所述第一网络设备VLAN子接口中配置IPSEC遂道功能;在第二网络设备与第 二交换机的物理接口中设置至少一个第二网络设备VLAN子接口,并在所述第二网络设备 VLAN子接口中配置IPSEC遂道功能; 在第一网络设备VLAN子接口与第二网络设备VLAN子接口间协商建立IPSEC遂 道; 第一网络设备接收报文后,选择一个第一网络设备VLAN子接口,通过协商建立的 所述IPSEC遂道对所述报文进行加密,并将报文通过IPSEC遂道传输至第二网络设备VLAN 子接口;通过所述IPSEC遂道对所述报文进行解密。 上述方案中,所述通过协商建立的所述IPSEC遂道对所述报文进行加密的步骤进 一步包括:通过建立IPSEC遂道的协商中所获得的密码对所述报文进行加密;所述通过所 述IPSEC遂道对所述报文进行解密的步骤进一步包括:通过建立IPSEC遂道的协商中所获 得IPSEC SA对所述报文进行解密。 根据本专利技术的又一个方面,还提供了一种报文转发的设备,所述设备包括: 接口配置模块,用于第一网络设备与第一交换机的物理接口中设置至少一个第一 网络设备VLAN子接口,并在所述第一网络设备VLAN子接口中配置IPSEC遂道功能;在第二 网络设备与第二交换机的物理接口中设置至少一个第二网络设备VLAN子接口,并在所述 第二网络设备VLAN子接口中配置IPSEC遂道功能; 遂道建立模块,用于在第一网络设备VLAN子接口与第二网络设备VLAN子接口间 协商建立IPSEC遂道; 接口选择模块,用于第一网络设备接收报文后,选择一个第一网络设备VLAN子接 口作为报文的转发接口;同时选择相应的第二网络设备VLAN子接口作为接收接口; 报文加密传输模块,用于通过协商建立的所述IPSEC遂道对所述报文进行加密, 并将报文通过IPSEC遂道从第一网络设备VLAN子接口传输至第二网络设备VLAN子接口; 报文解密模块,用于通过所述IPSEC遂道对所述报文进行解密。 上述方案中,所述报文加密传输模块具体用于:通过建立IPSEC遂道的协商中所 获得的密码对所述报文进行加密;所述报文解密模块还执行以下操作:通过建立IPSEC遂 道的协商中所获得IPSEC SA对所述报文进行解密。 本专利技术提供了一种对转发报文加密的方法和设备、及报文转发的方法和设备,通 过在网络设备与交换机的物理接口中设置至少一个VLAN子接口,并在所述VLAN子接口中 配置IPSEC遂道功能,IPSEC功能配置完成后,在报文转发和报文接收的VLAN子接口间协 商建立IPSEC遂道,通过协商建立的所述IPSEC遂道对所述报文进行加密。这一加密方法 不需要对报文进行ACL规则匹配,简化了转发流程,节省了转发时间,在不增加硬件成本的 前提下增加了 IPSEC遂道的吞吐量,提升了用户体验,节约了成本。 【附图说明】 图1是根据本专利技术优选实施例的对转发报文加密的方法流程图; 图2是根据本专利技术优选实施例的对转发报文加密的设备结构示意图; 图3是根据本专利技术优选实施例的报文转发方法的流程图; 图4是根据本专利技术优选实施例的报文转发设备的结构示意图; 图5是根据本专利技术另一优选实施例的报文转发方法的原理示意图。 【具体实施方式】 为使本专利技术的目的、技术方案和优点更加清楚明了,下面结合【具体实施方式】并参 照附图,对本专利技术进一步详细说明。应该本文档来自技高网...
【技术保护点】
一种对转发报文加密的方法,其特征在于,所述方法包括:在网络设备与交换机的物理接口中设置至少一个VLAN子接口,并在所述VLAN子接口中配置IPSEC遂道功能;在报文转发和报文接收的VLAN子接口间协商建立IPSEC遂道;通过协商建立的所述IPSEC遂道对所述报文进行加密。
【技术特征摘要】
1. 一种对转发报文加密的方法,其特征在于,所述方法包括: 在网络设备与交换机的物理接口中设置至少一个VLAN子接口,并在所述VLAN子接口 中配置IPSEC遂道功能; 在报文转发和报文接收的VLAN子接口间协商建立IPSEC遂道; 通过协商建立的所述IPSEC遂道对所述报文进行加密。2. 根据权利要求1所述的对转发报文加密的方法,其特征在于,所述在报文转发和报 文接收的VLAN子接口间协商建立IPSEC遂道的步骤进一步包括: 用于报文转发和报文接收的VLAN子接口配置完IPSEC功能后,触发报文转发VLAN子 接口与报文接收VLAN子接口建立IPSEC遂道的协商; 若协商失败,则每隔预设时间进行再次协商; 协商完成后,建立IPSEC遂道。3. 根据权利要求1所述的对转发报文加密的方法,其特征在于,所述通过协商建立的 所述IPSEC遂道对所述报文进行加密的步骤进一步包括:通过建立IPSEC遂道的协商中所 获得的密码对所述报文进行加密。4. 一种对转发报文加密的设备,其特征在于,所述设备包括: 接口配置模块,用于在网络设备与交换机的物理接口中设置至少一个VLAN子接口,并 在所述VLAN子接口中配置IPSEC遂道功能; 遂道建立模块,与接口配置模块连接,用于在报文转发和报文接收的VLAN子接口间协 商建立IPSEC遂道; 报文加密模块,与遂道建立模块连接,用于接收到报文后,通过所述IPSEC遂道对所述 报文进行加密。5. 根据权利要求4所述的对转发报文加密的设备,其特征在于,所述设备还包括: 触发模块,与接口配置模块和遂道建立模块连接,用于在VLAN子接口配置完IPSEC遂 道功能后,触发所述遂道建立模块进行建立IPSEC遂道的协商; 遂道路建立模块具体用于:在触发模块触发协商后,在报文转发VLAN子接口和报文接 收VLAN的接口间进行建立IPSEC遂道的协商;若协商失败,则每隔预设时间进行再次协商; 协商完成后,建立IPSEC遂道。6. 根据权利要求4所述的对转发报文加密的设备,其特征在于,所述报文加密模块具 体用于:通过建立IPSEC遂道的协商中所获得的密码对所述报文进行加密。7. -种报文转发的方法,其特征在于,所述方法包括: 在第一网络设备与第一交换机的物理接口中设置至少一个第一网络设备VLAN子接 口,并在所述第一网络设备VL...
【专利技术属性】
技术研发人员:陈海滨,于立洋,章敏,王禹,王智民,
申请(专利权)人:汉柏科技有限公司,
类型:发明
国别省市:天津;12
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。