本发明专利技术涉及加密数据传输领域,尤其是一种支持移动终端的IPSec VPN加密方法及装置。本发明专利技术现有技术存在问题,提供一种加密方法及装置。其支持在移动终端IP地址不可见时的隧道协商,支持通过证书或设备标识对移动终端进行验证。支持在隧道建立后终端IP地址动态变化时隧道自动适应新IP地址,适应移动办公环境需求,满足移动终端的接入需求。本发明专利技术通过内置网关的移动终端发起IKE密钥协商请求,加密网关接收移动终端协商请求后,进行数据密钥协商,对协商包明文进行判断处理,将移动终端IP增加进入SA数据结构中,协商完成后生成IP报文加密密钥以及对应的序列号(SPI),移动终端与加密网关建立加密隧道,然后进行数据传输。
【技术实现步骤摘要】
本专利技术涉及加密数据传输领域,尤其是一种支持移动终端进行IPSec VPN报文传输方法及装置。
技术介绍
IPSeC (IPSeCurty Protcol, IP安全协议)是一组开放标准集,它们协同地工作来确保对等设备之间的数据机密性、数据完整性以及数据认证。IPSec VPN和其它远程访问解决方案相比有一大优势就是它采用了集中式安全和策略管理部件,从而大大缓解了维护需求。故在帮助远程用户、公司分支机构、商业伙伴及供应商等同公司的内部网建立可信的安全连接方案中得到了广泛应用。1、IPSec VPN 现有方案 IPSec VPN作为加密网关到加密网关之间的数据安全传输协议,目前较成熟的IPSecVPN方案的网络拓扑结构、协商流程、报文入站流程、报文出站流程如下图: (1)现有方案的网络拓扑结构 如图1所述,加密网关A与加密网关B在此网络中的作用与地位是对等的,他们都保护了若干终端。加密网关A与加密网关B都能通过IP地址访问到对方。(2 )现有IPSec VPN密钥协商流程如图2所示: 现有IPSec VPN协商流程:收到IPSec VPN协商报文件后,根据SH)规则查看报文IP地址是合法,如果合法则进行参数处理,同时记录下Cookie。后续的协商报文经过Cookie和IP地址匹配后进入协商流程。协商成功后生成SA。在移动办公网络中,终端IP地址不固定,因此进入加密网关的协商报文IP地址也不固定,不能只靠IP地址判定协商报文是否合法。(3 )现有IPSec VPN报文入站流程如图3所述: 外网口报文入站之后,先检测是否为ESP包,如果是ESP包并且合法则进入解密流程,解密之后发往内网口。(4)现有IPSec VPN报文出站流程如图4所述 2、IPSec VPN现有方案不足 随着智能手机的普及和移动应用增多,移动办公需求也日益增加。现有的IPSec VPN方案由于存在不足,无法满足移动办公需求。现有IPSec VPN方案存在以下不足: (1)在现有的IPSec VPN方案中,隧道的建立过程可以由任意一个加密网关发起,而在移动办公网络中,移动终端的网络地址是动态分配的,只能由移动终端发起隧道建立请求。(2)在隧道协商过程中,现有IPSec方案先检查发起协商的网关IP地址是否合法,再判定是否接受协商包。而在移动办公网络中,移动终端IP地址不固定,不能通过此方法判别终端是否合法。(3)当隧道建立成功后,在移动终端的使用过程中,其IP地址会随时发生改变,现有的IPSec VPN方案无法适应隧道一端地址动态改变的情况。(4)在现有IPSec VPN方案中,按照五元组方式进行规则匹配,在移动办公应用中,终端的IP地址不固定,因此规则中只能确定加密网关的参数,其它参数需要根据终端的IP地址动态更新。
技术实现思路
本专利技术所要解决的技术问题是:为了解决移动办公中数据传输过程中的安全问题,并解决现有IPSec VPN方案不足问题,本专利技术设计了支持移动终端进行IPSec VPN报文传输装置。一套针对移动办公的IPSec VPN解决方案,支持在移动终端IP地址不可见时的隧道协商,支持通过证书或设备标识对移动终端进行验证。支持在隧道建立后终端IP地址动态变化时隧道自动适应新IP地址,适应移动办公环境需求,满足移动终端的接入需求,对现有的IPSec VPN工流程进行了优化和改造。本专利技术采用的技术方案如下: 一种支持移动终端进行IPSec VPN报文传输方法包括: 步骤1:内置网关的移动终端发起IKE密钥协商请求,加密网关接收移动终端协商请求后,进行数据密钥协商,对前三个协商包明文进行判断处理,将通过验证的移动终端IP增加进入SA数据结构中,协商完成后生成IP报文加密密钥以及对应的序列号,移动终端与加密网关建立加密隧道; 步骤2:当移动终端发送加密IP报文给加密网关时,加密网关收到加密IP报文,对加密IP报文合法性以及完整性进行检测;当检测通过时,则加密网关进行IP加密报文解密,更新SA数据结构中的移动终端IP地址,然后加密网关将解密后的IP报文发送至内网口 ;步骤3:当加密网关需要发送加密IP报文给某一移动终端时,先查找当前移动终端所对应的SA数据结构是否存在,如果SA数据结构不存在,直接丢弃此报文,如果SA数据结构存在,加密网关根据SA数据结构中密钥对IP报文进行加密,再根据SA数据结构中的当前终端IP地址字段,将加密后的报文发送出去,进行加密数据传输。进一步的,所述步骤3还包括当终端IP地址变化时,能够及时将加密报文发向新的IP地址,具体实现过程是:当加密网关接收到来自移动终端的加密报文后,根据加密报文的序列号(SPI)对IP报文进行解密和验证,验证通过后将IP报文发往内网口,并把当前报文的IP地址记录在对应的SA数据结构中;SA数据结构中始终保留了最新的终端IP地址,加密网关能够及时将加密报文发向新的终端IP地址。进一步的,所述步骤1具体过程是: 步骤11:移动终端发起IKE密钥协商过程,加密网关在收到移动终端发送的第一个协商包后,不对移动终端的IP地址进行合法性校验;直接检查第一个协商包终端加密参数是否合法; 步骤12:如果加密参数合法,则将移动终端的IP地址与Cookie记录写入SA数据结构;同时加密网关向移动终端回复第二个协商包; 步骤13:当加密网关收到移动终端发往加密网关的第三个协商包时,加密网关检测这个协商包中的终端证书是否合法;若移动终端证书合法,则进入后续协商过程,完成IKE密钥协商,IKE密钥协商完成后生成IP报文加密密钥以及IP报文对应的序列号;否则丢弃第三个协商包,并将此包对应的Cookie —并删除。进一步的,所述步骤2具体包括: 步骤21:当移动终端发送加密IP报文给加密网关时,加密网关收到加密IP报文,判断加密IP报文是否为ESP包;若是ESP包,则根据加密IP报文的序列号,查对应SA数据结构中的协商密钥与加密网关协商密钥是否一致,则执行步骤22 ;否则,按照非ESP包处理;步骤22:若一致,则根据SA数据结构进行加密IP报文的合法性以及完整性检测,并执行步骤23;否则,丢弃该报文; 步骤23:对加密IP报文合法性以及完整性进行检测,若检测通过,则进行加密IP报文解密,将发送此加密IP报文的移动终端IP地址,更新到SA数据结构中的当前终端IP地址字段,更新SA数据结构中的移动终端IP地址,然后将解密后的IP报文发送至内网口 ;否贝1J,丢弃该加密IP报文。进一步的,所述步骤3中具体实现过程是: 步骤31:当加密网关需要发送的IP报文给某一移动终端时,移动终端中的内置网关进行sro查询;若该IP报文是需要经过加密时,则进行步骤32 ;否则,丢弃该IP报文; 步骤32:所述加密网关检查该加密IP报文的SA数据结构是否存在,若存在,则执行步骤33 ;否则,丢弃该IP报文; 步骤33:对该IP报文进行加密,然后根据SA数据结构中该移动终端地址,为该IP报文添加新IP头,然后将加密后的IP报文发向外网口。一种支持移动终端进行IPSec VPN报文传输装置包括: 内置网关的移动终端,发起IKE密钥协商请求,加密网关接收移动终端协商请求后,进行数据密本文档来自技高网...
【技术保护点】
一种支持移动终端进行IPSec VPN报文传输方法,其特征在于包括:步骤1:内置网关的移动终端发起IKE密钥协商请求,加密网关接收移动终端协商请求后,进行数据密钥协商,对前三个协商包明文进行判断处理,将通过验证的移动终端IP增加进入SA数据结构中,协商完成后生成IP报文加密密钥以及对应的序列号,移动终端与加密网关建立加密隧道;步骤2:当移动终端发送加密IP报文给加密网关时,加密网关收到加密IP报文,对加密IP报文合法性以及完整性进行检测;当检测通过时,则加密网关进行IP加密报文解密,更新SA数据结构中的移动终端IP地址,然后加密网关将解密后的IP报文发送至内网口;步骤3:当加密网关需要发送加密IP报文给某一移动终端时,先查找当前移动终端所对应的SA数据结构是否存在,如果SA数据结构不存在,直接丢弃此报文,如果SA数据结构存在,加密网关根据SA数据结构中密钥对IP报文进行加密,再根据SA数据结构中的当前终端IP地址字段,将加密后的报文发送出去,进行加密数据传输。
【技术特征摘要】
【专利技术属性】
技术研发人员:袁健,熊毅,吴志臣,张智,
申请(专利权)人:成都三零瑞通移动通信有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。