IPSec VPN数据传输方法及装置制造方法及图纸

本发明专利技术提供了一种IPSec VPN数据传输方法及装置，应用于VPN服务器，其中，所述方法包括：与外网客户端进行协商，生成安全联盟信息；接收所述外网客户端发送的请求报文；基于用户态进程，使用所述安全联盟信息对所述请求报文进行解封装和解密，得到明文报文；基于所述用户态进程，向内网服务器发送所述明文报文。本发明专利技术提供的IPSec VPN数据传输方法，VPN服务器在用户态下对请求报文进行解封装和解密，并在用户态下向内网服务器发送解封装和解密后的明文报文，相较于现有技术中在内核态下处理报文的数据传输方法而言，不存在报文拷贝动作，直接在用户态下进行数据传输，所以处理报文的速度较快，有效提高了IPSec VPN数据传输的速度。

IPSec VPN Data Transmission Method and Device

The invention provides an IPSec VPN data transmission method and device, which is applied to a VPN server. The method includes: negotiating with an external network client to generate security alliance information; receiving the request message sent by the external network client; decomposing and decrypting the request message using the security alliance information based on the user-mode process, and obtaining the plaintext message. Based on the user-mode process, the plaintext message is sent to the intranet server. The IPSec VPN data transmission method provided by the invention is that the VPN server decomposes and decrypts the request message in the user mode, and sends the unpackaged and decrypted plaintext message to the intranet server in the user mode. Compared with the data transmission method of processing the message in the kernel mode in the existing technology, there is no copy action of the message, and the data transmission is carried out directly in the user mode. Therefore, the speed of message processing is faster, which effectively improves the speed of data transmission in IPSec VPN.

【技术实现步骤摘要】
IPSecVPN数据传输方法及装置
本专利技术涉及计算机数据处理
，特别涉及一种IPSecVPN数据传输方法及装置。
技术介绍
虚拟专用网(VirtualPrivateNetwork，VPN)是对企业内部网的扩展，可以理解为虚拟出来的企业内部专线。VPN技术能够利用公共网络建立虚拟私有网，并通过特殊加密的通讯协议，在位于因特网中不同地方的两个或多个企业内部网之间，建立一条专有的通讯线路。从而可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。上述通讯协议包括IPSec、PPTP、L2F及L2TP等，其中，IPsec(InternetProtocolSecurity，互联网协议安全性)是IETF制定的三层隧道加密协议，它为因特网上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。由于IPSecVPN所提供的安全服务对于数据的机密性，完整性，来源认证，防重发等具有良好的保障，IPsecVPN越来越受到用户的青睐。随着网络的不断发展，越来越多的用户需要在外接入企业的内部网络，获取企业内部提供的服务，实现移动办公，这使得访问企业内部VPN服务器的流量大增。而现有的IPsecVPN数据传输，是在内核态下进行数据的转发，即在接收到外网发送的报文之后，通过操作系统先进行报文拷贝，然后将拷贝的报文发送给内部网络。所以访问企业内部VPN服务器的流量较大时，报文拷贝动作频繁，使得VPN服务器的性能大大降低，甚至无法保障服务的质量。
技术实现思路
为了解决现有技术的问题，本专利技术实施例提供了一种IPSecVPN数据传输方法及装置。所述技术方案如下：第一方面，提供了一种IPSecVPN数据传输方法，应用于VPN服务器，所述方法包括：与外网客户端进行协商，生成安全联盟信息；接收所述外网客户端发送的请求报文；基于用户态进程，使用所述安全联盟信息对所述请求报文进行解封装和解密，得到明文报文；基于所述用户态进程，向内网服务器发送所述明文报文。进一步的，向所述内网服务器发送所述明文报文的步骤之后，还包括：接收所述内网服务器基于所述明文报文发送的响应报文；基于所述用户态进程，使用所述安全联盟信息对所述响应报文进行加密和封装；基于所述用户态进程，向所述外网客户端发送封装之后的所述响应报文。进一步的，所述与外网客户端进行协商，生成安全联盟信息的步骤，还包括：基于内核态进程，与所述外网客户端进行协商，生成所述安全联盟信息。进一步的，所述与外网客户端进行协商，生成安全联盟信息的步骤，还包括：基于所述内核态进程，获取包括预设端口号的协商报文；利用所述协商报文与所述外网客户端进行协商，生成所述安全联盟信息。进一步的，与外网客户端进行协商，生成安全联盟信息的步骤之后，还包括：将所述安全联盟信息存入内存中；相应的，基于所述用户态进程，使用所述安全联盟信息对所述请求报文进行解封装和解密，得到明文报文的步骤之前，还包括：基于所述请求报文中的安全参数索引，从所述内存中获取所述请求报文对应的安全联盟信息。进一步的，基于用户态进程，使用所述安全联盟信息对所述请求报文进行解封装和解密，得到明文报文的步骤之前，还包括：所述用户态进程按照预设时间间隔查询用于接收所述请求报文的网卡；若所述网卡接收到所述请求报文，则所述用户态进程获取所述请求报文。进一步的，基于所述用户态进程，向内网服务器发送所述明文报文的步骤之前，还包括：根据安全联盟信息中的策略库查找对所述明文报文的处理方式；当查找结果为转发时向内网服务器发送所述明文报文。进一步的，所述用户态进程采用多核并行处理机制处理所述请求报文。进一步的，所述用户态进程在采用多核并行处理机制的同时，采用均衡负载机制处理所述请求报文。进一步的，所述均衡负载机制采用四元组hash均衡算法。第二方面，提供了一种IPSecVPN数据传输装置，所述装置包括：协商模块，用于与外网客户端进行协商，生成安全联盟信息；接收模块，用于接收所述外网客户端发送的请求报文；用户态模块，用于基于用户态进程，使用所述安全联盟信息对所述请求报文进行解封装和解密，得到明文报文；所述用户态模块，还用于基于所述用户态进程，向内网服务器发送所述明文报文。进一步的，所述接收模块，还用于接收所述内网服务器基于所述明文报文发送的响应报文；所述用户态模块，还用于基于所述用户态进程，使用所述安全联盟信息对所述响应报文进行加密和封装；所述用户态模块，还用于基于所述用户态进程，向所述外网客户端发送封装之后的所述响应报文。进一步的，所述协商模块，还用于基于内核态进程，与所述外网客户端进行协商，生成所述安全联盟信息。进一步的，所述协商模块，还用于将所述安全联盟信息存入内存中；所述用户态模块，还用于基于所述请求报文中的安全参数索引，从所述内存中获取所述请求报文对应的安全联盟信息。进一步的，所述用户态模块，还用于：按照预设时间间隔对用于接收所述请求报文的网卡进行查询；若所述网卡接收到所述请求报文，则获取所述请求报文。第三方面，提供了VPN服务器，所述VPN服务器包括处理器和存储器，所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现第一方面所述的IPSecVPN数据传输方法。本专利技术提供的IPSecVPN数据传输方法，VPN服务器在用户态下对请求报文进行解封装和解密，并在用户态下向内网服务器发送解封装和解密后的明文报文，相较于现有技术中在内核态下处理报文的数据传输方法而言，不存在报文拷贝动作，直接在用户态下进行数据传输，所以处理报文的速度较快，有效提高了IPSecVPN数据传输的速度；且在用户态下进行数据传输，便于采用多核并行处理机制，进一步提高报文的处理速度；同时还有利于对单独的环节进行流量的控制，比如可以对用户态进程的解封装或解密环节单独进行监控，监测解封装和解密过程中流量的变化，或单独对多核并行处理中的每个核单独进行监控，便于多核并行处理时为用户态进程分配空间和任务。附图说明为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1是本专利技术实施例提供的一种网络框架示意图；图2为本专利技术实施例提供的IPSecVPN数据传输方法流程示意图；图3为本专利技术实施例提供的IPSecVPN数据传输装置的结构示意图；图4为本专利技术实施例提供的VPN服务器的结构示意图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。本实施例提供一种IPSecVPN数据传输方法，该方法可以应用于图1所示的网络框架中。该网络框架包括外网客户端、VPN服务器以及内网服务器。外网客户端可以是企业外部连接公共网络的个人电脑。内网服务器可以是连接企业内部局域网的服务器。VPN服本文档来自技高网...

【技术保护点】
1.一种IPSec VPN数据传输方法，其特征在于，应用于VPN服务器，所述方法包括：与外网客户端进行协商，生成安全联盟信息；接收所述外网客户端发送的请求报文；基于用户态进程，使用所述安全联盟信息对所述请求报文进行解封装和解密，得到明文报文；基于所述用户态进程，向内网服务器发送所述明文报文。

【技术特征摘要】
1.一种IPSecVPN数据传输方法，其特征在于，应用于VPN服务器，所述方法包括：与外网客户端进行协商，生成安全联盟信息；接收所述外网客户端发送的请求报文；基于用户态进程，使用所述安全联盟信息对所述请求报文进行解封装和解密，得到明文报文；基于所述用户态进程，向内网服务器发送所述明文报文。2.如权利要求1所述的方法，其特征在于，向所述内网服务器发送所述明文报文的步骤之后，还包括：接收所述内网服务器基于所述明文报文发送的响应报文；基于所述用户态进程，使用所述安全联盟信息对所述响应报文进行加密和封装；基于所述用户态进程，向所述外网客户端发送封装之后的所述响应报文。3.如权利要求1所述的方法，其特征在于，所述与外网客户端进行协商，生成安全联盟信息的步骤，还包括：基于内核态进程，与所述外网客户端进行协商，生成所述安全联盟信息。4.如权利要求3所述的方法，其特征在于，所述与外网客户端进行协商，生成安全联盟信息的步骤，还包括：基于所述内核态进程，获取包括预设端口号的协商报文；利用所述协商报文与所述外网客户端进行协商，生成所述安全联盟信息。5.如权利要求1所述的方法，其特征在于，与外网客户端进行协商，生成安全联盟信息的步骤之后，还包括：将所述安全联盟信息存入内存中；相应的，基于所述用户态进程，使用所述安全联盟信息对所述请求报文进行解封装和解密，得到明文报文的步骤之前，还包括：基于所述请求报文中的安全参数索引，从所述内存中获取所述请求报文对应的安全联盟信息。6.如权利要求1所述的方法，其特征在于，基于用户态进程，使用所述安全联盟信息对所述请求报文进行解封装和解密，得到明文报文的步骤之前，还包括：所述用户态进程按照预设时间间隔查询用于接收所述请求报文的网卡；若所述网卡接收到所述请求报文，则所述用户态进程获取所述请求报文。7.如权利要求1所述的方法，其特征在于，基于所述用户态进程，向内网服务器发送所述明文报文的步骤之前，还包括：根据...

【专利技术属性】
技术研发人员：王建明，
申请(专利权)人：网宿科技股份有限公司，
类型：发明
国别省市：上海,31