[发明专利]一种用于IPSec VPN主动添加加密通信策略的方法

说明书

本发明公开了一种用于IPSec VPN主动添加加密通信策略的方法。设定IPSec VPN网络系统中网关GW各自只配置了自身的IP_GW，保护的子网信息Sub_Net，以及在己方的证书白名单中添加了对方证书CERT_GW；在IPSec VPN网络系统中新增一台VPN网关或已部署VPN网关调整保护的业务子网发生调整情况下，运维人员只需要根据自己的实际情况调整己方网关的保护子网配置，无需在其他VPN网关上再修改加密通信策略配置，尤其对于没有集中配置管理系统情况更具优势，降低了用户运行维护成本，提升了用户体验。

技术领域：

本发明属于网络通信技术领域，特别涉及一种用于IPSec VPN主动添加加密通信策略的方法。

背景技术：

目前，IPSec VPN网关在初始建设部署时，需要提前对整个用户加密网络拓扑、保护子网等信息进行收集，然后规划出加密互通关系，形成配置方案，并通过建设运维人员手工逐条逐条往VPN网关中配置加密通信策略的方式实现或者在集中配置管理系统中逐条添加加密通信策略然后统一下发的方式进行系统初始配置，从而造成对网络建设、运维人员的知识、技能要求比较高，或者需要专门投资建设集中配置管理系统。

此外，对于已部署VPN网关调整保护的业务子网发生调整情况下，需要在所有具有与此台VPN网关存在加密互通关系的其他VPN网关上重新手动调整加密通信策略，还需要重新调试以确认配置的正确性，费时费力，对运维人员压力大。

公开于该背景技术部分的信息仅仅旨在增加对本发明的总体背景的理解，而不应当被视为承认或以任何形式暗示该信息构成已为本领域一般技术人员所公知的现有技术。

发明内容：

本发明的目的在于提供一种用于IPSec VPN主动添加加密通信策略的方法，从而克服上述现有技术中的缺陷。

为实现上述目的，本发明提供了一种用于IPSec VPN主动添加加密通信策略的方法，设定IPSec VPN网络系统中网关GW各自只配置了自身的IP_GW，保护的子网信息Sub_Net，以及在己方的证书白名单中添加了对方证书CERT_GW，其中IP_GW为网关GW的IP地址，Sub_Net为Net子网信息，CERT_GW为网关GW公钥证书序列号；

其步骤为：(1)网关GW1接收到来自PC1第一次向PC2发送的IP数据包①，网关GW1判断PC1是处于己方Sub_Net1内，且不存在Sub_Net1与PC2所在子网的加密通信互通策略，因此不能匹配到加密通信策略；

(2)网关GW1构造出基于UDP协议用于探测对端网关的UDP[IP_PC1,IP_PC2,DATA(CERT_GW1,IP_GW1,Sub_Net1),Sign_GW1(DATA)]数据包②并发到外网；其中UDP[]为UDP协议格式的数据包，IP_PC1、IP_PC2为PC1、PC2的IP地址，DATA(CERT_GW1,IP_GW1,Sub_Net1)为包含CERT_GW1、IP_GW1、Sub_Net1字段的数据载荷，Sign_GW1(DATA)为用网关GW的私钥对DATA数据进行签名；

(3)经过外网路由，网关GW2接收到数据包②，经过证书验证网关GW1在允许建立安全通信的白名单中，解析出GW1和PC1的网络信息，网关GW2构造ICMP[IP_GW2,IP_PC2]数据包③并发到内网；其中ICMP[]为ICMP协议格式的数据包；