[发明专利]一种用于IPSec VPN主动添加加密通信策略的方法有效
| 申请号: | 202110471985.6 | 申请日: | 2021-04-29 |
| 公开(公告)号: | CN113259330B | 公开(公告)日: | 2022-05-10 |
| 发明(设计)人: | 汪海洋 | 申请(专利权)人: | 江苏新质信息科技有限公司 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40;H04L12/46 |
| 代理公司: | 无锡佳信专利代理事务所(普通合伙) 32505 | 代理人: | 宋亚超 |
| 地址: | 214000 江苏省无锡市滨*** | 国省代码: | 江苏;32 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 用于 ipsec vpn 主动 添加 加密 通信 策略 方法 | ||
1.一种用于IPSec VPN主动添加加密通信策略的方法,设定IPSec VPN网络系统中网关GW各自只配置了自身的IPGW,保护的子网信息SubNet,以及在己方的证书白名单中添加了对方证书CERTGW,其中IPGW为网关GW的IP地址,SubNet为Net子网信息,CERTGW为网关GW公钥证书序列号;
其步骤为:(1)网关GW1接收到来自PC1第一次向PC2发送的IP数据包①,网关GW1判断PC1是处于己方SubNet1内,且不存在SubNet1与PC2所在子网的加密通信互通策略,因此不能匹配到加密通信策略;
(2)网关GW1构造出基于UDP协议用于探测对端网关的UDP[IPPC1,IPPC2,DATA(CERTGW1,IPGW1,SubNet1),SignGW1(DATA)]数据包②并发到外网;其中UDP[]为UDP协议格式的数据包,IPPC1、IPPC2为PC1、PC2的IP地址,DATA(CERTGW1,IPGW1,SubNet1)为包含CERTGW1、IPGW1、SubNet1字段的数据载荷,SignGW1(DATA)为用网关GW的私钥对DATA数据进行签名;
(3)经过外网路由,网关GW2接收到数据包②,经过证书验证网关GW1在允许建立安全通信的白名单中,解析出GW1和PC1的网络信息,网关GW2构造ICMP[IPGW2,IPPC2]数据包③并发到内网;其中ICMP[]为ICMP协议格式的数据包;
(4)PC2接收到数据包③后发出ICMP[echo]应答数据包④;
(5)网关GW2接收到数据包④,确认PC2位于本设备保护的子网SubNet2内,网关GW2构造出UDP[IPGW2,IPGW1,DATA(CERTGW2,IPGW2,SubNet2),SignGW2(DATA)]数据包⑤并发到外网;
(6)网关GW1接收到数据包⑤,经过证书验证网关GW2在允许建立安全通信的白名单中,并解析出PC2位于网关GW2所保护的子网SubNet2内,提取消息中网关GW2和子网SubNet2信息,网关GW1主动添加1条SubNet1与SubNet2之间的加密通信策略,并构造应答消息UDP[IPGW1,IPGW2,DATA(echo),SignGW1(DATA)]数据包⑥发往网关GW2进行确认;
(7)网关GW2接收到数据包⑥后,网关GW2也主动添加1条SubNet1与SubNet2之间的加密通信策略,然后启动IKEv2协商⑦出SA,最终网关GW1和网关GW2即可完成SubNet1与SubNet2之间双向VPN隧道⑧的建立;
(8)PC1与PC2之间通信的IP数据包在通过网关GW1和网关GW2时,就会在已经构建的双向VPN隧道⑧中进行安全传输。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于江苏新质信息科技有限公司,未经江苏新质信息科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202110471985.6/1.html,转载请声明来源钻瓜专利网。
