【技术实现步骤摘要】
基于VPP的国标IPsec VPN实现方法、装置、系统及电子设备
[0001]本申请涉及网络安全领域,尤其涉及一种基于
VPP
的国标
IPsec VPN
实现方法
、
装置
、
系统及电子设备
。
技术介绍
[0002]IPsec
(互联网安全协议,
Internet Protocol Security
)作为一种开放标准的安全框架结构,可以用来保证
IP
数据报文在网络上传输的机密性
、
完整性和防重放
。IPsec
不是一个单独的协议,它通过
AH
(
Authentication Header
)和
ESP
(
Encapsulating Security Payload
)这两个安全协议来实现
IP
数据报文的安全传送,再通过
IKE
(网络密钥交换协议,
Interne...
【技术保护点】
【技术特征摘要】
1.
一种基于
VPP
的国标
IPsec VPN
实现方法,其特征在于,应用于
Linux
系统的服务器,包括:接收到第一发送设备发送的第一网络数据包,所述第一发送设备与所述服务器存在安全关联,所述第一网络数据包为
IPsec VPN
数据包,所述第一网络数据包的目的地址指向所述服务器,所述第一网络数据包的约定封装方式为基于
ESP
协议和
/
或
AH
协议的封装方式,所述第一网络数据包的约定加密算法包括在硬件密码设备上实现的国家商用密码算法,所述硬件密码设备与所述服务器通信连接,所述第一网络数据包为
IPsec
流量;基于
VPP
框架,按照所述约定封装方式
、
所述约定加密算法和约定密钥,对所述第一网络数据包进行解密和解封装,获得解封装数据包
。2.
根据权利要求1所述的基于
VPP
的国标
IPsec VPN
实现方法,其特征在于,在所述接收到第一发送设备发送的第一网络数据包之前,所述方法还包括:接收到所述第一发送设备发送的第二网络数据包,所述第二网络数据包的目的地址指向所述服务器,所述第二网络数据包的目的端口指向预设端口;基于所述
VPP
框架,与所述第一发送设备基于网络密钥交换协议建立所述安全关联,并生成安全关联信息,所述安全关联信息包括所述约定封装方式
、
所述约定加密算法和所述约定密钥
。3.
根据权利要求1或2所述的基于
VPP
的国标
IPsec VPN
实现方法,其特征在于,所述基于
VPP
框架,按照所述约定封装方式
、
所述约定加密算法和约定密钥,对所述第一网络数据包进行解密和解封装,获得解封装数据包,包括:基于所述
VPP
框架,将所述第一网络数据包发送到所述硬件密码设备的待处理数据包队列;基于所述
VPP
框架,接收到所述硬件密码设备发送的所述解封装数据包,所述解封装数据包为所述硬件密码设备基于所述约定封装方式
、
所述约定加密算法和所述约定密钥对所述待处理数据包队列中的所述第一网络数据包进行解封装和解密获得
。4.
根据权利要求1所述的基于
VPP
的国标
IPsec VPN
实现方法,其特征在于,所述服务器的物理网口属于所述
VPP
框架所处的第一网络命名空间,所述服务器的
Linux
内核协议栈属于第二网络命名空间;所述第一网络命名空间还包括虚拟主机接口和第一虚拟以太网设备,所述虚拟主机接口与所述物理网口桥接,所述虚拟主机接口与所述第一虚拟以太网设备通信连接;所述第二网络命名空间还包括第二虚拟以太网设备,所述第一虚拟以太网设备和所述第二虚拟以太网设备通信连接
。5.
根据权利要求1所述的基于
VPP
的国标
IPsec VPN
实现方法,其特征在于,所述服务器的物理网口属于所述
VPP
框架所处的第一网络命名空间,所述服务器的
Linux
内核协议栈属于第二网络命名空间;所述方法还包括:在所述第一网络命名空间中创建虚拟主机接口,并基于所述
VPP
框架桥接所述虚拟主机接口与所述服务器的物理网口;在所述第一网络命名空间创建第一虚拟以太网设备,在所述第二网络命名空间创建第二虚拟以太网设备,所述第一虚拟以太网设备与所述虚拟主机接口通信连接,所述第二虚拟以太网设备与所述第一虚拟以太网设备通信连接
。6.
根据权利要求4或5所述的基于
VPP
的国标
IPsec VPN
实现方法,其特征在于,所述方
法还包括:接收到第二发送设备发送的第三网络数据包,所述第三网络数据包指示的目的地址为所述第二虚拟以太网设备;基于所述服务器的物理网口
、
所述虚拟主机接口
、
所述第一虚拟以太网设备和所述第二虚拟以太网设备的通信连接,将所述第三网络数据包发送至所述第二虚拟以太网设备所属的所述第二网络命名空间中,并通过所述
Linux
内核协议栈转发给所述
Linux
系统对应的应用进行处理
。7.
根据权利要求1所述的基于
VPP
的国标
IPsec VPN
实现方法,其特征在于,所述方法还包括:接收到第三发送设备发送的第四网络数据包,所述第四网络数据包的目的地址指向所述服务器,所述第四网络数据包的封装方式为基于
ESP
协议和
/
或
AH
协议的封装方式,所述第三发送设备与所述服务器不存在安全关联;基于所述
VPP
框架,根据预设策略转发所述第四网络数据包;和
/
或,接收到第四发送设备发送的第五网络数据包,所述第五网络数据包为基于除所述约定封装方式封装以外的其他封装方式封装;基于所述
VPP
框架,将所述第五网络数据包转发至除所述
IPsec VPN
以外的虚拟网络的协议栈中处理;和
/
或,接收到第五发送设备发送的第六网络数据包,所述第六网络数据包的目的地址不指向所述服务器;基于所述
VPP
框架,根据所述第六网络数据包的所述目的地址,转发所述网络数据包
。8.
根据权利要求...
【专利技术属性】
技术研发人员:王滨,王丁磊,张海宾,陈加栋,李超豪,王玉银,谢瀛辉,
申请(专利权)人:杭州海康威视数字技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。