【技术实现步骤摘要】
本专利技术涉及网络通信
,尤其涉及一种流量保护方法及装置。
技术介绍
IPsec(InternetProtocolSecurity,互联网协议安全)是IETF(TheInternetEngineeringTaskForce,国际互联网工程任务组)制定的三层隧道加密协议,它为互联网上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证,是一种传统的实现三层VPN(VirtualPrivateNetwork,虚拟专用网络)的安全技术。特定的通信方之间通过建立IPsec隧道来保护和传输用户的私有数据,并在IP层提供数据机密性、数据完整性、数据来源认证以及防重放等安全服务。SA(SecurityAssociation,安全关联)是通信双方对某些要素的约定,例如,使用哪种安全协议、算法、封装模式、保护什么样的数据流、以及密钥的生存周期等。IKE(InternetKeyExchange,互联网密钥交换协议)为IPsec提供密钥的自动协商,帮忙建立和维护SA,简化了IPsec的使用和管理。IPsec可通过配置ACL(AccessControlList,访问控制列表)来指定要保护的数据流。传统基于ACL保护的数据流一般包括的关键字大概囊括:源地址、目的地址、源端口号、目的端口号、协议,即报文的五元组信息。例如,对于应用于IPsec安全策略的某ACL规则定义为:保护UDP(UserDatagramProtoco ...
【技术保护点】
一种流量保护方法,其特征在于,包括:接收来自租户的报文;确定所述报文的出接口;根据所述报文中包括的五元组信息以及租户身份标识查询所述出接口对应的访问控制列表ACL;其中,同一设备连接的不同租户的租户身份标识不同;若所述ACL中存在与所述五元组信息以及租户身份标识匹配的表项,则查询与所述五元组信息以及所述租户身份标识对应的互联网安全IPsec隧道;若未查询到与所述五元组信息以及所述租户身份标识对应的IPsec隧道,则触发IKE协商,以创建与所述五元组信息以及所述租户身份标识对应的IPsec隧道,该IPsec隧道对应的IPsec安全联盟SA中携带有所述租户身份标识;根据该IPsec隧道对应的IPsec SA对所述报文进行封装保护。
【技术特征摘要】
1.一种流量保护方法,其特征在于,包括:
接收来自租户的报文;
确定所述报文的出接口;
根据所述报文中包括的五元组信息以及租户身份标识查询所述出接口对
应的访问控制列表ACL;其中,同一设备连接的不同租户的租户身份标识不
同;
若所述ACL中存在与所述五元组信息以及租户身份标识匹配的表项,则
查询与所述五元组信息以及所述租户身份标识对应的互联网安全IPsec隧道;
若未查询到与所述五元组信息以及所述租户身份标识对应的IPsec隧道,
则触发IKE协商,以创建与所述五元组信息以及所述租户身份标识对应的
IPsec隧道,该IPsec隧道对应的IPsec安全联盟SA中携带有所述租户身份
标识;
根据该IPsec隧道对应的IPsecSA对所述报文进行封装保护。
2.根据权利要求1所述的方法,其特征在于,所述判断是否已创建与所
述五元组信息以及所述租户身份标识对应的互联网安全IPsec隧道之后,还
包括:
若查询到与所述五元组信息以及所述租户身份标识对应的IPsec隧道,
则根据该IPsec隧道对应的IPsec安全联盟SA对所述报文进行封装保护。
3.根据权利要求1所述的方法,其特征在于,所述接收到报文后,根据
所述报文中包括的五元组信息以及租户身份标识查询所述出接口对应的
ACL之前,还包括:
根据接收到所述报文的接口,为所述报文添加对应的租户身份标识。
4.根据权利要求1所述的方法,其特征在于,所述触发IKE协商,以
创建与所述五元组信息以及所述租户身份标识对应的IPsec隧道,包括:
在IKE协商过程中,当需要进行身份验证时,在向通信对端发送的用于
\t身份验证的报文中携带所述租户身份标识;
当接收到所述通信对端发送的响应报文,并确定所述响应报文中携带了
所述租户身份标识时,创建与所述五元组信息以及所述租户身份标识对应的
IPsec隧道。
5.根据权利要求4所述的方法,其特征在于,所述用于身份验证的报文
以及所述响应报文中携带的租户身份标识通过供应商标识Ve...
【专利技术属性】
技术研发人员:黄琳,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。