一種IPSec隧道共用方法、系統及設備的製作方法

2023-08-06 11:49:46

專利名稱：一種IPSec隧道共用方法、系統及設備的製作方法
技術領域：
本發明涉及通信技術領域,尤其涉及一種網絡層安全(SecurityArchitecturefor IP network, IPSec)隧道共用方法、系統及設備。
背景技術：
IPSec 是一種由網際網路工程任務組(Internet Engineering Task Force, IETF)設計的端到端的確保網絡(Internet Protocol, IP)層通信安全(保密性、完整性、真實性)的機制。為確保通信雙方也即兩個獨立的網元的IP數據包的安全性，兩個獨立的網元之間可以建立IPSec隧道，則所述兩個獨立的網元交互的IP數據包就可以在已建立的IPSec隧道中傳輸，以避免IP數據包在傳送中受到攔截、偽造和篡改。
兩個獨立的網元即第一網元和第二網元之間建立IPSec隧道的具體過程為:已安裝IPSec引擎的第一網元啟動所述IPSec引擎，通知其上的網際網路密鑰交換(InternetKey Exchange, IKE)向第二網元發起安全協商，安裝IPSec引擎的第二網元上的IKE收到安全協商通知，和第一網元進行第一階段協商建立用於保證第二階段的協商安全的安全聯盟(Security Association，SA)，此階段的SA是通過IKE建立的，故也稱為IKE SA，然後所述第一網元與所述第二網元進行第二階段協商建立IPSec SA。兩個獨立的網元經過上述兩個階段協商建立IPSec隧道之後，就可以利用所述IPSec隧道實現IP數據包的安全傳送。若與第一網元處於同一區域網的第三網元需要與所述第二網元進行安全通信，則需與第二網元經過上述兩個階段的協商建立屬於所述第三網元和所述第二網元之間的IPSec隧道。
例如，在主要由家庭基站(Home NodeB, HNB)業務設備、家庭基站網關(Home NodeBGate Way, HNB-Gff)和用戶終端(User Equipment, UE)構成的微蜂窩(Femto cell)系統中，為了提高網絡的安全性能，在HNB業務設備與HNB-GW之間的邏輯接口即Iuh接口引入了 IPSec協議，並在邏輯上，在HNB業務設備與HNB-GW之間增加了一個安全網關(SecurityGateffay, Se-Gff)設備(Se_GW設備邏輯上是一個實體，在實際實施中，可以作為一個單獨的物理設備，也可以整合在HNB-GW中)，由HNB業務設備與Se-GW設備進行上述兩個階段的協商，建立IPSec隧道。
在現有的通信系統中，部署了大量的網元，可以根據實際的傳輸需求，在兩兩網元之間建立IPSec隧道進行安全傳輸，但是，若在任意兩個網元之間都建立IPSec隧道，則會導致網絡資源的較大消耗。
仍以上述微蜂窩系統為例，在HNB業務設備與Se-GW之間建立IPSec隧道的同時，與HNB業務設備位於同一區域網的操作維護平臺(OperationAdministrationMaintenance, 0ΑΜ)設備，為實現對HNB業務設備進行安全的小區參數配置、軟體升級、上傳性能文件以及遠程操作等功能，OAM設備需要與連接在網管設備之前的Se-GW設備再建立OAM和Se-GW設備之間的一條IPSec隧道，這種在任意兩個網元之間建立IPSec隧道的方式，會明顯造成網絡資源的損耗。發明內容
本發明實施例提供一種IPSec隧道共用方法、系統及設備，以解決現有技術中任意兩個網元之間建立IPSec隧道，造成網絡資源損耗較大的問題。
一種IPSec隧道共用系統，該系統包括:第一網元、第二網元和第三網元，第一網元與第二網元之間已經建立有IPSec隧道，其中:
第一網元，用於接收第三網元發送的第一 IP數據包，並利用所述IPSec隧道的私有IP位址替換所述第一 IP數據包中的源地址，以及將替換源地址後的第一 IP數據包通過所述IPSec隧道發送至第二網元；
第二網元，用於在接收到來自第一網元的第一 IP數據包後，根據該第一 IP數據包中的目的地址，發送所述第一 IP數據包；
第三網元，用於生成並向第一網元發送第一 IP數據包。
一種IPSec隧道共用方法，該方法包括:
第一網元接收第三網元發送的第一 IP數據包；
第一網元利用與第二網元之間已建立的IPSec隧道的私有IP位址，替換所述第一IP數據包中的源地址，以及將替換源地址後的第一 IP數據包通過所述IPSec隧道發送至第二網元，並指示第二網元根據第一 IP數據包中的目的地址，發送所述第一 IP數據包。
一種IPSec隧道共用設備，該設備包括:隧道建立單元、接收單元、替換單元和發送單元，其中:
隧道建立單元，用於建立IPSec隧道；
接收單元，用於接收第一 IP數據包，所述第一 IP數據包不是由IPSec隧道的對端發送的；
替換單元，用於利用所述IPSec隧道的私有IP位址替換所述第一 IP數據包中的源地址；
發送單元，用於將替換源地址後的第一 IP數據包通過所述IPSec隧道發送至IPSec隧道的對端，指示對端根據第一 IP數據包中的目的地址發送所述第一 IP數據包。
本發明實施例的方案中，已與第二網元之間建立IPSec隧道的第一網元接收第三網元發送的第一 IP數據包，並利用所述IPSec隧道的私有IP位址，替換所述第一 IP數據包中的源地址，以及將第一 IP數據包通過所述IPSec隧道發送至第二網元，第二網元則根據接收到的第一 IP數據包中的目的地址，發送所述第一 IP數據包，進而使第三網元能通過第一網元和第二網元之間已經建立的IPSec隧道與其發送的第一 IP數據包中的目的地址對應的網元進行通信，實現了多個網元共用第一網元與第二網元之間已建立的IPSec隧道的目的，避免針對任意兩個網元都需要單獨建立IPSec隧道的問題，節約了網絡資源。


圖1為本發明實施例一中IPSec隧道共用系統的結構示意圖2為本發明實施例二中IPSec隧道共用方法的步驟示意圖3為本發明實施例三中IPSec隧道共用方法的步驟示意圖4為本發明實施例四中OAM設備共用HNB業務設備的IPSec隧道的系統結構示意圖5為本發明實施例四中IPSec發送端的安全機制；
圖6為本發明實施例四中IPSec接收端的安全機制；
圖7為本發明實施例五中IPSec隧道共用設備結構示意圖。
具體實施方式
本發明實施例在第一網元和第二網元已建立IPSec隧道時，將第三網元待發送的IP數據包發送給第一網元，由第一網元轉換該IP數據包中的源地址後，通過該已建立的IPSec隧道將所述待發送的IP數據包發送至第二網元，實現一條IPSec隧道被多個網元共用的目的，節約了網絡資源。
下面結合具體實施例詳細描述本發明的方案。
實施例一
如圖1所示，為本發明實施例一中IPSec隧道共用系統的結構示意圖，所述系統包括:之間建立了 IPSec隧道的第一網元11和第二網元12，以及能夠與第一網元11進行通信的第三網元13，較優地，可將第三網元13設定為與第一網元11處於同一區域網的網元。
其中:
當第三網元13需要發送IP數據包時，第三網元13可用於生成第一 IP數據包，並將所述第一 IP數據包發送給第一網元11，所述第一 IP數據包中的源地址為第三網元13的地址，目的地址為第三網元13確定的接收並處理該第一 IP數據包的網元地址。
第一網元11，用於與第二網元12之間建立IPSec隧道，並記錄與該IPSec隧道相關的信息，如IPSec隧道的私有IP位址以及安全認證的相關信息，如SA信息。
所述第一網元11上具有至少兩個網口，其中一個網口用於與第二網元12之間建立IPSec隧道，另一個網口作為第三網元13的網關，與第三網元13進行IP數據包的收發。
具體的，設所述其中一個網口為第一網口，另一個網口為第二網口，則第一網口用於和第二網元12之間建立IPSec隧道，所述第一網口的IP位址為與第二網元12建立的IPSec隧道的私有IP位址。第一網元11上的第二網口可以作為第三網元13的默認網關，與第三網元13之間進行IP數據包的收發。
較優的，所述系統還可以包括交換機14，所述第一網元11的第一網口和第二網口都連接至所述交換機14，交換機14可以通過連接到支持NAT-T的路由器連接至外網；同時，所述第三網元13也連接至交換機14。
所述第一網元11的第一網口通過交換機14連接至第二網元12，並建立IPSec隧道，同時，所述第一網元11的第二網口通過交換機14與連接的第三網元13進行IP數據包的收發。
第一網元11，用於接收第三網元13發送的第一 IP數據包，記錄該第一 IP數據包中的源地址和目的地址對，並利用所述IPSec隧道的私有IP位址替換所述第一 IP數據包中的源地址，以及將第一 IP數據包經過IPSec協議進行加密後，通過IPSec隧道發送至第二網元12。
所述第二網元12，用於在接收到來自第一網元11的第一 IP數據包時，根據該第一IP數據包中的目的地址，發送所述第一 IP數據包。
具體地，所述第二網元12可以對接收到的第一 IP數據包按照IPSec協議進行解密後，再轉發至目的地址對應的網元。若所述第一 IP數據包中的目的地址為第二網元12的地址，則第二網元12在接收到所述第一 IP數據包後，可以直接處理該第一 IP數據包。
所述目的地址對應的網元接收並處理接收到的第一 IP數據包後，若產生需要返回給第三網元13的第二 IP數據包，則將該第二 IP數據包發送給所述第二網元12。所述第二 IP數據包中的源地址為產生該第二 IP數據包的網元地址，目的地址為IPSec隧道的私有IP位址。
第二網元12將接收到的第二 IP數據包經過IPSec協議加密後，通過IPSec隧道發送至第一網元11。
特殊地，若產生第二 IP數據包的網元是第二網元12，則可由第二網元12直接對第二 IP數據包經過IPSec協議加密後，通過IPSec隧道發送至第一網元11。
第一網元11將接收到的第二 IP數據包按照IPSec協議進行解密後，讀取該第二IP數據包中的源地址，並判斷已記錄的目的地址對中，是否存在與所述第二 IP數據包中的源地址相同的目的地址。
若判斷結果為不存在，則確定該第二 IP數據包是發送給該第一網元11的數據包；若判斷結果為存在，則確定已記錄的源地址和目的地址對中，與所述第二 IP數據包中的源地址相同的目的地址所對應的源地址，並將確定的該源地址替換所述第二 IP數據包中的目的地址，並通過交換機14發送至第三網元13，也就是說，利用該目的地址對應的源地址替換第二 IP數據包中的目的地址，並根據替換後的目的地址發送所述第二 IP數據包。
例如:假設第一網元11的第一網口的IP位址(也即為IPSec隧道的私有IP位址)為:1.1.1.1，第三網元13的IP位址為1.1.1.2。
當第三網元13生成第一 IP數據包，其中的源地址為1.1.1.2，目的地址為2.2.2.2。
第三網元13將所述第一 IP數據包發送給第一網元11，則第一網元11記錄源地址1.1.1.2與目的地址2.2.2.2的地址對，並將第一 IP數據包中的源地址替換為1.1.1.1後，加密並通過IPSec隧道發送給第二網元12。此時，第二網元12中接收到的第一 IP數據包中的源地址為1.1.1.1，目的地址為2.2.2.2。
第二網元12接收到第一 IP數據包後，解密該第一 IP數據包，並根據其中的目的地址將第一 IP數據包發送至對應的網元。
第二網元12接收處理第一 IP數據包的網元發送的第二 IP數據包，所述第二 IP數據包中的源地址為2.2.2.2,目的地址為1.1.1.1。
第二網元12將所述第二 IP數據包加密後通過IPSec隧道發送給第一網元11。
第一網元11接收到所述第二 IP數據包後，讀取其中的源地址2.2.2.2，並判斷確定已記錄的源地址1.1.1.2與目的地址2.2.2.2的地址對中，包含第二 IP數據包中的源地址2.2.2.2，則將地址對中對應的源地址1.1.1.2替換第二 IP數據包中的目的地址，此時，第二 IP數據包中的源地址為2.2.2.2，目的地址為1.1.1.2。
第一網元11按照所述第二 IP數據包中的目的地址，將所述第二 IP數據包發送給第三網元13。
其中在上述實施例一中，可能存在多個第三網元13通過第一網元11和第二網元12之間建立的IPSec隧道和目的網元通信時，在目的網元返回報文時，第一網元11無法確定返回報文該發送到哪個第三網元13，為了解決這個問題，本發明實施例還進而提出第一網元11在接收到第三網元13發送的第一 IP數據包時，除了記錄該第一 IP數據包中的源地址和目的地址之外，還對應記錄的地址對對應記錄第一 IP數據包中的源埠號和目的埠號對，這樣當第一網元11接收經由IPSec隧道傳送的所述第二 IP數據包時，按照IPSec協議進行解密後，讀取該第二 IP數據包中的源地址及源埠號，並判斷已記錄的地址對及埠號對中，是否存在與所述第二 IP數據包中的源地址及源埠號均相同的目的地址及目的埠號，若判斷結果為不存在，則確定該第二 IP數據包是發送給自身的；若判斷結果為存在，則確定已記錄的源地址和目的地址對及對應的源埠號及目的埠號對中，與所述第二 IP數據包中的源地址及源埠號均相同的目的地址及目的埠號所對應的源地址，並將確定的該源地址替換所述第二 IP數據包中的目的地址，並通過交換機14發送至對應的第三網元13，也就是說，利用該目的地址和目的埠號對應的源地址替換第二 IP數據包中的目的地址，並根據替換後的目的地址發送所述第二 IP數據包。
例如:假設第一網元11的第一網口的IP位址(也即為IPSec隧道的私有IP位址)為:1.1.1.1，有兩個第三網元13，分別為第三網元13A，第三網元13B，所述第三網元13A的IP位址為1.1.1.2，所述第三網元13B的IP位址為1.1.1.3。
當第三網元13A生成第一 IP數據包，其中的源地址為1.1.1.2，目的地址為2.2.2.2，源埠號為3001，目的埠號為3000。第三網元13B生成第一 IP數據包，其中的源地址為1.1.1.3，目的地址也2.2.2.2，源埠號為4001，目的埠號為4000。
第三網元13A及第三網元13B分別將各自的第一 IP數據包發送給第一網元11，則第一網元11記錄第三網元13A發送的第一 IP數據包中的源地址1.1.1.2與目的地址2.2.2.2地址對，以及對應的源埠號3001與目的埠號3000埠對，同時第一網元11記錄第三網元13B發送的第一 IP數據包中的源地址1.1.1.3與目的地址2.2.2.2地址對，以及對應的源埠號4001與目的埠號4000埠對，並分別將所述第三網元13A發送的第一 IP數據包和所述第三網元13B發送的將第一 IP數據包中的源地址替換為1.1.1.1後，加密並通過IPSec隧道發送給第二網元12。
此時，第二網元12中接收到的兩個第一 IP數據包，假設其中一個為第一 IP數據包A，另一個為第一 IP數據包B，則第一 IP數據包A中的源地址為1.1.1.1，目的地址為2.2.2.2，目的埠號為3000 ;第一 IP數據包B中的源地址為1.1.1.1，目的地址為2.2.2.2，目的埠號為4000。
第二網元12接收到第一 IP數據包A和第一 IP數據包B後，解密該第一 IP數據包A和第一 IP數據包B，並分別根據其中的目的地址將第一 IP數據包A和第一 IP數據包B發送至對應的網元。
第二網元12接收處理第一 IP數據包A和第一 IP數據包B的網元發送的第二IP數據包A和第二 IP數據包B，所述第二 IP數據包A中的源地址為2.2.2.2，目的地址為1.1.1.1，源埠號為3000，所述第二 IP數據包B中的源地址為2.2.2.2，目的地址為1.1.1.1，源埠號為 4000。
第二網元12將所述第二 IP數據包A和第二 IP數據包B加密後通過IPSec隧道發送給第一網元11。
第一網元11接收到所述第二 IP數據包A後，解密並讀取第二 IP數據包A中的源地址2.2.2.2和源埠號3000，並判斷確定已記錄的源地址1.1.1.2與目的地址2.2.2.2的地址對，以及對應的源埠號3001與目的埠號3000中，包含第二 IP數據包A中的源地址2.2.2.2和源埠號3000，則將地址對中對應的源地址1.1.1.2替換第二 IP數據包A中的目的地址，此時，第二 IP數據包中的源地址為2.2.2.2,目的地址為1.1.1.2。
第一網元11接收到所述第二 IP數據包B後，解密並讀取第二 IP數據包B中的源地址2.2.2.2和源埠號3000，並判斷確定已記錄的源地址1.1.1.3與目的地址2.2.2.2的地址對，以及對應的源埠號4001與目的埠號4000中，包含第二 IP數據包B中的源地址2.2.2.2和源埠號4000，則將地址對中對應的源地址1.1.1.3替換第二 IP數據包A中的目的地址,此時,第二 IP數據包中的源地址為2.2.2.2，目的地址為1.1.1.3。
第一網元11按照所述第二 IP數據包A中的目的地址，將所述第二 IP數據包發送給第三網元13A。
第一網元11按照所述第二 IP數據包B中的目的地址，將所述第二 IP數據包發送給第三網元13B。
實施例二
如圖2所示，為本發明實施例二中IPSec隧道共用的方法的示意圖，所述方法具體包括以下步驟:
步驟201:預先建立第一網元和第二網元之間的IPSec隧道。
所述第一網元上可設置有兩個網口，第一網口用於和第二網元之間建立IPSec隧道，所述第一網口的IP位址為與第二網元建立的IPSec隧道的私有IP位址。第一網元11上的第二網口作為第三網元的默認網關，與第三網元之間進行IP數據包的收發。
步驟202:第一網元接收來自第三網元的第一 IP數據包，所述第一 IP數據包中的源地址為第三網元的地址，目的地址為目的網元的地址。
所述第三網元將第一網元的第二網口作為默認網關，將生成的第一 IP數據包通過交換機路由至所述默認網關，也即路由至第一網元的第二網口，使得第一網元能夠正確接收第三網元生成的所述第一 IP數據包。
所述目的網元可以為第二網元，也可以為能夠與第二網元進行通信的其他網元。
步驟203:第一網元記錄所述第一 IP數據包中的源地址和目的地址對。
步驟204:第一網元利用與第二網元之間已建立的IPSec隧道的私有IP位址替換所述第一 IP數據包中的源地址。
步驟205:第一網元將所述第一 IP數據包通過IPSec發送端的安全機制對所述第一 IP數據包進行驗證和加密後通過IPSec隧道發送至第二網元。
具體的，若第一網元和第二網元不在同一區域網內，則第一網元將所述第一 IP數據包通過IPSec隧道發送至第二網元時，可經由支持網絡地址轉換(Network AdressTranslation, NAT)的 NAT-T 路由器。
步驟206:第二網元接收所述第一 IP數據包，通過IPSec接收端的安全機制對所述第一 IP數據包進行驗證和解密後，根據所述接收到的第一 IP數據包中的目的地址將該第一 IP數據包發送。
步驟207:第二網元接收第二 IP數據包，所述第二 IP數據包是所述第一 IP數據包目的地址對應的網元生成並發送的。
若所述第一 IP數據包的目的地址為第二網元的地址，則第二網元解密第一 IP數據包後，對第一 IP數據包進行解析處理，並生成作為響應消息的第二 IP數據包。
若所述第一 IP數據包的目的地址不是第二網元，則第二網元解密第一 IP數據包後，根據第一 IP數據包中的目的地址，將該解密後的IP數據包發送至對應的網元，假設第一 IP數據包中的目的地址對應的網元是第四網元，所述第四網元對接收到的第一 IP數據包進行解析，並生成作為響應消息的第二 IP數據，該第二 IP數據包的源地址為第四網元，目的地址為IPSec隧道的私有IP位址(也即第一網元的第二網口的IP位址)。
步驟208:第二網元通過IPSec發送端的安全機制對所述第二 IP數據包進行驗證加密後，通過IPSec隧道將其發送給第一網元，所述第二 IP數據包中的源地址為第一 IP數據包中的目的地址，第二 IP數據包中的目的地址為IPSec隧道的私有IP位址。
步驟209:第一網元接收第二 IP數據包後，按照IPSec接收端的安全機制對所述第二 IP數據包進行驗證和解密，並讀取該後的第二 IP數據包中的源地址，判斷已記錄的目的地址中，是否存在與所述第二 IP數據包中的源地址相同的目的地址。
若判斷結果為不存在，則確定該第二 IP數據包是發送給該第一網元的數據包；若判斷結果為存在，則確定已記錄的源地址和目的地址對中，與所述第二 IP數據包中的源地址相同的目的地址所對應的源地址，並將確定的該源地址替換所述第二 IP數據包中的目的地址，也就是說，利用該目的地址對應的源地址替換第二 IP數據包中的目的地址。
步驟210:第一網元將替換目的地址後的所述第二 IP數據包通過第二網口經由交換機發送至第三網元。
步驟211:第三網元接收所述第二 IP數據包。
需要說明的是本實施例二提出的方法適用於實際應用中第三網元通過所述IPSec隧道僅與第隧道對端的一個網元進行通信，且所述隧道對端的一個網元通過所述IPSec隧道與第三網元通信。
實施例三
在實際應用中，會有一個網元共用另一網元已建立的IPSec隧道與N(N為正整數，N> O)個網元進行通信，本發明實施例三即為解決一個網元共用另一網元已建立的IPSec隧道與N (N為正整數，N > O)個網元進行通信，共用所述IPSec隧道的方法。
如圖3所示，為本發明實施例三中IPSec隧道共用的方法的示意圖，所述方法具體包括以下步驟:
步驟301 步驟302與實施例二中的步驟201 步驟201相同，這裡不再贅述。
步驟303:第一網元記錄所述第一 IP數據包中的源地址和目的地址對及對應的源埠號和目的埠號對。
步驟304 步驟308與實施例二中的步驟201 步驟201相同，這裡不再贅述。
步驟309:第一網元接收第二 IP數據包後，按照IPSec接收端的安全機制對所述第二 IP數據包進行驗證和解密，並讀取該第二 IP數據包中的源地址及源埠號，並判斷在已記錄的地址對及埠號對中，是否存在與第二 IP數據包中的源地址及源埠號均相同的目的地址及目的埠號。
若判斷結果為不存在，則確定該第二 IP數據包是發送給該第一網元的數據包；若判斷結果為存在，則確定已記錄的源地址和目的地址對及對應的源埠號及目的埠號對中，與所述第二 IP數據包中的源地址及源埠號均相同的目的地址及目的埠號所對應的源地址，並將確定的該源地址替換所述第二 IP數據包中的目的地址，並通過交換機發送至第三網元，也就是說，利用該目的地址和目的埠號對應的源地址替換第二 IP數據包中的目的地址。
步驟310 步驟311與實施例二中的步驟210 步驟211相同，這裡不再贅述。
實施例四
本實施例四以微蜂窩網絡為例，說明本實施例二的IPSec隧道的共用的方法，在本實施例三的方案中，構成HNB業務設備的IPSec隧道共用的系統如圖4所示，所述系統包括:之間已建立了 IPSec隧道的HNB業務設備41和Se-GW設備42、需要共用所述IPSec隧道的OAM設備43、OAM設備43需要與之通信的網管設備44、交換機45、連接交換機45與Se-Gff設備42的支持網絡地址轉換的NAT-T路由器46和連接在Se-GW設備42與網管設備44 之間的 HNB-GW 47。
其中:
HNB業務設備41可看作是實施例一中的第一網元，OAM設備43可看作是實施例一中的第三網元，Se-Gff設備42可看作是實施例一中的第二網元。
OAM設備42在與網管設備44之間進行通信時，可共用HNB業務設備41與Se-GW設備42之間的IPSec隧道，其方法與實施例二中的方法相同。
具體地，應用於實施例四的方案中，實施例二涉及的步驟205和步驟208中，通過IPSec發送端的安全機制對IP數據包進行驗證加密的過程。如圖5所示，以HNB業務設備對第一 IP數據包進行驗證加密為例，所述IPsec發送端的安全機制具體的實現過程如下:
第一步:HNB業務設備確定需要發送的第一 IP數據包。
第二步:HNB業務設備啟動IPSec引擎，查詢安全策略庫(SecurityPolicyDatabase, SH))，得到所述第一 IP數據包的源IP位址、目的IP位址及IP數據包的類型(即是入數據包還是出數據包)與處理策略的對應關係。
第三步:HNB業務設備根據所述對應關係，決定對該第一 IP數據包的處理策略，所述處理策略包括以下三種:
第一種處理策略:
若處理策略為繞過，即為不使用IPSec隧道，則將該IP數據包作為普通IP數據包進行處理，包括:對該第一 IP數據包進行IP封裝，置於IP層的發送隊列，等待發送。
第二種處理策略:
若處理策略為丟棄，則HNB業務設備丟棄該第一 IP數據包，記錄出錯信息。
第三種處理策略:
若處理策略為使用IPSec隧道，則查詢安全關聯庫(SecurityAssociationDatabase, SAD),確定所述第一 IP數據包是否存在安全關聯。
若不存在安全關聯(Security Association, SA)或SA無效,則啟動IKE協商,若協商成功，則創建IKE SA,建立IPSec SA,進行IPSec處理，即添加IPSec頭，使用協商成功的SA對IP數據包進行籤名(完整性檢查)與/或加密，形成受保護的IP數據包，並對進行IPSec處理的IP數據包進行IP封裝，將IP數據包置於IP層的發送隊列。若協商不成功，則HNB業務設備丟棄該第一 IP數據包，記錄出錯信息。
若存在有效的SA，則進行IPSec處理，即添加IPSec頭，使用協商成功的SA對IP數據包進行籤名(完整性檢查)與/或加密，形成受保護的IP數據包，對進行IPSec處理的IP數據包進行IP封裝，將IP數據包置於IP層的發送隊列。
根據以上三步操作，HNB業務設備對第一 IP數據包進行驗證加密並置於IP層的發送隊列，等待通過IPSec隧道進行傳輸。Se-GW設備對第二 IP數據包進行驗證加密的過程相同。
具體地，應用於實施例四的方案中，實施例二涉及的步驟206和步驟209中，通過IPSec接收端的安全機制對IP數據包進行驗證解密的過程。如圖6所示，以Se-GW設備對第二 IP數據包進行驗證解密為例，所述IPsec接收端的安全機制具體的實現過程如下:
第一步:Se-GW設備第二 IP數據包提交給IPSec引擎，從IKE處獲得會話密鑰SA和安全參數索引(Security Parameter Index, SPI)。
第二步:Se-GW設備從該第二 IP數據包的IP頭中找出源和目的IP位址及安全協議類型信息，在網絡接口層對接收到的IP數據包進行SAD查詢，確定該IP數據包是否存在匹配的SA。
若不存在匹配的SA或存在的匹配的無效SA，則在網絡層丟棄此第二 IP數據包，記錄出錯信息，返回。
若存在匹配的有效SA，則用所述有效SA對該IP數據包進行安全處理，檢查完整性籤名與/或對IP數據包進行解密，也即對該IP數據包進行解密，還原該IP數據包。
第三步:Se-GW設備對所述已還原的第二 IP數據包進行STO查詢，判斷為該第二IP數據包提供的安全保護是否和策略配置的安全保護相符，若相符，則將還原後的第二 IP數據包交給本機的TCP層或繼續轉發，若不相符，則丟棄此IP數據包，記錄出錯信息，返回。
實施例五
本發明實施例五還提供一種與實施例一、實施例二和實施例四屬於同一發明構思下的一種IPSec隧道共用設備，如圖7所示，所述設備包括隧道建立單元71、接收單元72、替換單元73和發送單元74，其中:
隧道建立單元71，用於建立IPSec隧道。
接收單元72，用於接收第一 IP數據包，所述第一 IP數據包不是由IPSec隧道的對端發送的。
替換單元73，用於利用所述IPSec隧道的私有IP位址替換所述第一 IP數據包中的源地址。
發送單元74，用於將替換源地址後的第一 IP數據包通過所述IPSec隧道發送至IPSec隧道的對端，指示對端根據第一 IP數據包中的目的地址發送所述第一 IP數據包。
所述接收單元72，還用於接收來自IPSec隧道對端的第二 IP數據包。
所述設備還包括:
記錄單元75，用於記錄第一 IP數據包中的源地址和目的地址對。
判斷單元76，用於根據所述記錄單元75中已記錄的目的地址，判斷是否存在與所述第二 IP數據包中的源地址相同的目的地址，若存在，則觸發所述替換單元73。
所述替換單元73，還用於將與第二 IP數據包中的源地址相同的目的地址對應的源地址替換第二 IP數據包中的目的地址。
所述發送單元74，還用於根據替換後的目的地址發送所述第二 IP數據包。
所述設備具有至少兩個網口，其中:
所述隧道建立單元71通過其中一個網口建立IPSec隧道。
所述接收單元72通過另一個網口進行IP數據包的收發。
其中在上述實施例五中，可能存在多個第三網元通過第一網元和第二網元12之間建議的IPSec隧道和目的網元通信時，基於圖7所示的設備組成結構，該設備的實現原理還可以為:
所述接收單元72，還用於接收來自IPSec隧道對端的第二 IP數據包；
所述設備還包括:
記錄單元75，用於記錄第一 IP數據包中的源地址和目的地址對以及對應的源埠號和目的埠號；
判斷單元76，用於根據所述記錄單元中已記錄的目的地址和目的埠號，判斷是否存在與所述第二 IP數據包中的源地址及源埠號均相同的目的地址及目的埠號，若存在，則觸發所述替換單元；
所述替換單元73，還用於將與第二 IP數據包中的源地址及源埠號均相同的目的地址及目的埠號對應的源地址替換第二 IP數據包中的目的地址；
所述發送單元74，還用於根據替換後的目的地址發送所述第二 IP數據包。
所述設備具有至少兩個網口，其中:
所述隧道建立單元71通過其中一個網口建立IPSec隧道。
所述接收單元72通過另一個網口進行IP數據包的收發。
通過本發明實施例描述的方法、系統和設備，可將第一網元和第二網元之間已建立的IPSec隧道共享給其他網元。實現了多網元共用一條IPSec隧道的目的，避免針對任意兩個網元都需要單獨建立IPSec隧道的問題，節約了網絡資源。
顯然，本領域的技術人員可以對本發明進行各種改動和變型而不脫離本發明的精神和範圍。這樣，倘若本發明的這些修改和變型屬於本發明權利要求及其等同技術的範圍之內，則本發明也意圖包含這些改動和變型在內。
權利要求
1.一種IPSec隧道共用系統，其特徵在於，該系統包括第一網元、第二網元和第三網元，第一網元與第二網元之間已經建立有IPSec隧道，其中: 第一網元，用於接收第三網元發送的第一 IP數據包，並利用所述IPSec隧道的私有IP位址替換所述第一 IP數據包中的源地址，以及將替換源地址後的第一 IP數據包通過所述IPSec隧道發送至第二網元； 第二網元，用於在接收到來自第一網元的第一 IP數據包後，根據該第一 IP數據包中的目的地址，發送所述第一 IP數據包； 第三網元，用於生成並向第一網元發送第一 IP數據包。
2.如權利要求1所述的系統，其特徵在於， 所述第二網元，還用於將第二 IP數據包通過IPSec隧道發送給第一網元，所述第二 IP數據包中的源地址為第一 IP數據包中的目的地址，第二 IP數據包中的目的地址為IPSec隧道的私有IP位址； 所述第一網元，還用於在接收到第三網元發送的第一 IP數據包時，記錄該第一 IP數據包中的源地址和目的地址對，並在接收到所述第二 IP數據包時，判斷已記錄的目的地址中，是否存在與第二 IP數據包中的源地址相同的目的地址，若存在，則利用該目的地址對應的源地址替換第二 IP數據包中的目的地址，並根據替換後的目的地址發送所述第二 IP數據包。
3.如權利要求1所述的系統，其特徵在於， 所述第二網元，還用於將第二 IP數據包通過IPSec隧道發送給第一網元，所述第二 IP數據包中的源地址為第一 IP數據包中的目的地址，第二 IP數據包中的目的地址為IPSec隧道的私有IP位址； 所述第一網元，還用於在接收到第三網元發送的第一 IP數據包時，記錄該第一 IP數據包中的源地址和目的地址對以及對應的源埠號和目的埠號對，並在接收到所述第二 IP數據包時，在已記錄的地址對及埠號對中，判斷是否存在與第二 IP數據包中的源地址及源埠號均相同的目的地址及目的埠號，若存在，則利用該目的地址和目的埠號對應的源地址替換第二 IP數據包中的目的地址，並根據替換後的目的地址發送所述第二 IP數據包。
4.如權利要求1 3任一所述的系統，其特徵在於， 所述第一網元具有至少兩 個網口，其中一個網口用於與第二網元之間建立IPSec隧道，另一個網口作為第三網元的網關，與第三網元進行IP數據包的收發。
5.一種IPSec隧道共用方法，其特徵在於，該方法包括: 第一網元接收第三網元發送的第一 IP數據包； 第一網元利用與第二網元之間已建立的IPSec隧道的私有IP位址，替換所述第一 IP數據包中的源地址，以及將替換源地址後的第一 IP數據包通過所述IPSec隧道發送至第二網元，並指示第二網元根據第一 IP數據包中的目的地址，發送所述第一 IP數據包。
6.如權利要求5所述的方法，其特徵在於，還包括: 第一網元接收到第一 IP數據包之後，記錄該第一 IP數據包中的源地址和目的地址對； 所述第二網元根據第一 IP數據包中的目的地址發送所述第一 IP數據包之後，所述方法還包括: 所述第一網元接收所述第二網元通過IPSec隧道發送的第二 IP數據包，所述第二 IP數據包中的源地址為第一 IP數據包中的目的地址，第二 IP數據包中的目的地址為IPSec隧道的私有IP位址； 所述第一網元在接收到所述第二 IP數據包時，判斷已記錄的目的地址中，是否存在與第二 IP數據包中的源地址相同的目的地址，若存在，則利用該目的地址對應的源地址替換第二 IP數據包中的目的地址，並根據替換後的目的地址發送所述第二 IP數據包。
7.如權利要求5所述的方法，其特徵在於，還包括: 第一網元接收到第一 IP數據包之後，記錄該第一 IP數據包中的源地址和目的地址對以及對應的源埠號和目的埠號對； 所述第二網元根據第一 IP數據包中的目的地址發送所述第一 IP數據包之後，所述方法還包括: 所述第一網元接收所述第二網元通過IPSec隧道發送的第二 IP數據包，所述第二 IP數據包中的源地址為第一 IP數據包中的目的地址，第二 IP數據包中的目的地址為IPSec隧道的私有IP位址； 所述第一網元在接收到所述第二 IP數據包時，在已記錄的地址對及埠號對中，判斷是否存在與第二 IP數據包中的源地址及源埠號均相同的目的地址及目的埠號，若存在，則利用該目的地址和目的埠號對應的源地址替換第二 IP數據包中的目的地址，並根據替換後的目的地址發送所述第二 IP數據包。
8.—種IPSec隧道共用設備，其特徵在於，該設備包括: 隧道建立單元，用於建立IPSec隧道； 接收單元，用於接收第一 IP數據包，所述第一 IP數據包不是由IPSec隧道的對端發送的； 替換單元，用於利用所述IPSec隧道的私有IP位址替換所述第一 IP數據包中的源地址； 發送單元，用於將替換源地址後的第一 IP數據包通過所述IPSec隧道發送至IPSec隧道的對端，指示對端根據第一 IP數據包中的目的地址發送所述第一 IP數據包。
9.如權利要求8所 述的設備，其特徵在於， 所述接收單元，還用於接收來自IPSec隧道對端的第二 IP數據包； 所述設備還包括: 記錄單元，用於記錄第一 IP數據包中的源地址和目的地址對； 判斷單元，用於根據所述記錄單元中已記錄的目的地址，判斷是否存在與所述第二 IP數據包中的源地址相同的目的地址，若存在，則觸發所述替換單元； 所述替換單元，還用於將與第二 IP數據包中的源地址相同的目的地址對應的源地址替換第二 IP數據包中的目的地址； 所述發送單元，還用於根據替換後的目的地址發送所述第二 IP數據包。
10.如權利要求8所述的設備，其特徵在於， 所述接收單元，還用於接收來自IPSec隧道對端的第二 IP數據包； 所述設備還包括:記錄單元，用於記錄第一 IP數據包中的源地址和目的地址對以及對應的源埠號和目的埠號； 判斷單元，用於根據所述記錄單元中已記錄的目的地址和目的埠號，判斷是否存在與所述第二 IP數據包中的源地址及源埠號均相同的目的地址及目的埠號，若存在，則觸發所述替換單元； 所述替換單元，還用於將與第二 IP數據包中的源地址及源埠號均相同的目的地址及目的埠號對應的源地址替換第二 IP數據包中的目的地址； 所述發送單元，還用於根據替換後的目的地址發送所述第二 IP數據包。
11.如權利要求8 10所述的任一設備，其特徵在於，所述設備具有至少兩個網口，其中: 所述隧道建立單元通過其中一個網口建立IPSec隧道； 所述接收單元通過另一個網口`進行IP數據包的收發。
全文摘要
一種IPSec隧道共用方法、系統及設備，所述系統包括已與第二網元之間建立IPSec隧道的第一網元接收第三網元發送的第一IP數據包，並利用所述IPSec隧道的私有IP位址，替換所述第一IP數據包中的源地址，以及將第一IP數據包通過所述IPSec隧道發送至第二網元，第二網元則根據接收到的第一IP數據包中的目的地址，發送所述第一IP數據包，進而使第三網元能通過IPSec隧道與其發送的第一IP數據包中的目的地址對應的網元進行通信，實現了多個網元共用第一網元與第二網元之間已建立的IPSec隧道的目的，避免針對任意兩個網元都需要單獨建立IPSec隧道的問題，節約了網絡資源。
文檔編號H04L12/46GK103139189SQ20111039888
公開日2013年6月5日 申請日期2011年12月5日 優先權日2011年12月5日
發明者張建華, 楊煜 申請人:京信通信系統(中國)有限公司