在虚拟私有网的隧道虚接口上保证互联网协议安全的方法

1、一种在虚拟私有网的隧道虚接口上保证互联网协议安全的实现方法， 是将在实际物理接口上应用的IPSec安全技术保障方法，移植应用到虚拟私有 网VPN的隧道虚接口上；包括有下列操作步骤：
(1)设置至少一项访问控制列表ACL；
(2)定义如何应用第(1)步骤设置的访问控制列表ACL的IPSec安全技 术保障方法；
其特征在于：该方法进一步包括有以下操作步骤：
(3)设置隧道虚接口；
(4)在隧道虚接口上应用第(2)步骤生成的IPSec安全技术保障方 法。

技术领域\n本发明涉及一种保证互联网协议IP报文安全传输的方法，确切地说，涉及 一种在虚拟私有网的隧道虚接口上保证互联网协议安全的实现方法，属于数字 信息的传输中保证通信安全的技术领域。\n背景技术\n互联网协议安全IPSec(IP Security)是IETF制定的IP层报文安全传输的 标准。在IP报文封装的方式上，互联网协议安全IPSec是提供隧道方式的封装， 利用这个特性可以实现虚拟私有网VPN功能。在设置IPSec的安全保护技术手 段的过程中，如果和访问控制列表ACL(Access Control Lists)相结合，可以 实现对不同的数据流执行不同的安全保护措施。目前，传统技术是把设置好的 安全保护技术措施应用到实际的物理接口上，完成对进出该物理接口的IP报文 进行数据加密(解密)、验证、防重放攻击等保证通信安全的各项技术保障手 段。如果IPSec的保证通信安全的各项技术方法只能应用在实际的物理接口上， 那它就只能为进出这个实际物理接口上的IP报文实施安全保护。然而，在虚拟 私有网VPN的隧道虚接口上，尚不能应用上述IPSec的保证通信安全的各项技 术方法。如果在虚拟私有网VPN的隧道虚接口上也能够应用上述IPSec的安全 技术保障手段的话，那将能够给进出该VPN的隧道虚接口的IP报文也提供安全 保护的技术。这样，无疑将会受到虚拟私有网VPN的众多用户的衷心欢迎。\n例如，参见图1所示，一个有着私有IP地址的私有网B中的用户A访问另 外一个私有网C中的某一台服务器D，这两个私有网B、C之间则是通过Internet 相连的(这是一个典型的虚拟私有网VPN的应用实例)。私有网B通过一台路 由器R1和Internet连接。在路由器R1和Internet直接相连的物理接口上通常都 是设置有应用IPSec的安全技术保障方法。该安全技术保障方法规定所有进出 该物理接口、并且应用协议是传输控制协议TCP(Transmission Control Protocol)的IP报文都应该使用IPSec的隧道加密功能。但是，该项安全技术 保障方法是不想让其他应用协议(例如用户数据报协议UDP和普通路由封装 GRE)的IP报文也能够应用IPSec的加密措施。然而，为了所有拥护不同应用 层协议的IP报文都能实现虚拟私有网VPN功能，在路由器R1上创建了一个 VPN的隧道虚接口，在这个虚接口上封装了普通路由封装GRE(Generic Routing Encapsulation)协议，其指定隧道的对端地址是私有网C和Internet 相连的路由器R2上的Internet网公有地址，并且由路由模块确定所有到私有网 C的IP报文都要先经过这个VPN隧道虚接口。申请人出版的《Quidway系列路 由器用户手册配置指导分册V1.3》中的第11-37页“路由器配置举例”部分 (资料版本：T1-080139-20010615-C-1.3)对如何应用访问控制列表ACL (Access Control Lists)和隧道方式的封装特性相结合，对不同的数据流实现 不同的安全保护措施的方法作了详细又具体的说明，即采用下列两个操作步 骤：首先设置至少一项访问控制列表ACL，然后定义如何应用上述步骤设置的 访问控制列表ACL的IPSec安全技术保障方法。其中第一步骤和第二步骤分别 与上述资料文档配置举例部分的第1、2条命令和第3～17条命令相对应(有关 参考资料中路由器A配置举例的全部指令内容因为是过于具体的程序指令，故 在此不再赘述)。这样，通常用户A就会以为所有通过Internet的TCP报文是可 以经过IPSec加密而保证通信安全的，而实际的事实却是：在目前的状况下所 有访问私有网C的TCP报文在Internet上传输时是不受IPSec保护的。\n发明内容\n本发明的目的是提供一种在虚拟私有网的隧道虚接口上保证互联网协议 安全的实现方法，也就是说，将一种在实际物理接口上已经普遍使用的IPSec 安全技术保障方法提供给虚拟私有网VPN的隧道虚接口上应用，以使所有访问 私有网的各类报文，不管其属于哪类协议，都能够得到IPSec的安全技术保障， 以保证通信安全。\n本发明的目的是这样实现的：一种在虚拟私有网的隧道虚接口上保证互联 网协议安全的实现方法，是将在实际物理接口上应用的IPSec安全技术保障方 法，移植应用到虚拟私有网VPN的隧道虚接口上；包括有下列操作步骤：\n(1)设置至少一项访问控制列表ACL；\n(2)定义如何应用第(1)步骤设置的访问控制列表ACL的IPSec安全技 术保障方法；\n其特征在于：该方法进一步包括有以下操作步骤：\n(3)设置隧道虚接口；\n(4)在隧道虚接口上应用第(2)步骤生成的IPSec安全技术保障方法。\n本发明的特点是将在在物理接口上应用的IPSec安全技术保障方法，移植 到虚拟私有网VPN的隧道虚接口上应用，这样，所有IPSec安全技术保障方法 应用在物理接口上所获得的好处，在VPN隧道虚接口上应用时同样可以获得， 例如数据加密、报文验证、防重放攻击等。所以，如果应用本发明，图1中的 用户A发出的通过Internet传输的TCP报文也可以得到IPSec安全技术保护了。\n附图说明\n图1是应用本发明方法的第一实施例-用户A通过VPN访问服务器D-的 系统组成示意图。\n图2是应用本发明方法的第二实施例-GPRS/WCDMA中手机用户非透 明方式通过Internet访问企业网-的系统组成示意图。\n具体实施方式\n下面结合附图详细介绍本发明的方法步骤、特点和功效：\n参见图1所示的一典型虚拟私有网VPN的应用实例：一个有着私有IP地址 的私有网B中的用户A访问另外一个私有网C中的某一台服务器D，这两个私有 网B、C之间则通过Internet相连。其中私有网B通过一台路由器R1和Internet 连接。在路由器R1和Internet直接相连的物理接口上通常都设置有应用IPSec 的安全技术保障方法。本发明则是将在实际物理接口上应用的IPSec安全技术 保障方法，再移植到虚拟私有网VPN的隧道虚接口上应用。其具体包括有下列 步骤：1、设置至少一项访问控制列表ACL(Access Control Lists)，2、定义 如何应用第1步设置的访问控制列表ACL的IPSec安全技术保障方法，3、设置 隧道虚接口，4、在隧道虚接口上应用第2步生成的IPSec安全技术保障方法。\n原来在路由器R1和Internet相连的物理接口上应用的IPSec安全技术保障 方法是不想让应用层协议是普通路由封装GRE的报文也使用IPSec的加密功 能，而且采用GRE+IPSec的方法实现虚拟私有网VPN的效率与直接使用 IPSec的隧道方式实现VPN的效率相比较明显要低。但是，利用本发明的方法 可以在路由器R1封装GRE协议的VPN隧道虚接口上直接应用IPSec的安全技 术保障方法。此时，只要条件符合(即符合IPSec的安全技术保障方法中匹配 的访问控制列表ACL的规定)，就可以直接应用IPSec的安全技术保障方法了。\n本发明的方法已经在通用分组无线业务GPRS/宽带码分多址WCDMA系 统中进行实施试验，即在不同的手机用户拥有不同的访问点名APN(Access Point Name)所分配的相同的私有IP地址的环境下，通过使用本发明的方法， 即在VPN的隧道虚接口上应用IPSec的安全技术保障方法，就可以实现各手机 用户通过IPSec隧道访问不同APN的应用目的。实施试验的结果是成功的，达 到了预期的效果。\n为了能够让拥有相同私有IP地址的不同手机用户访问不同的APN，在 GGSN上必须将相同IP地址的报文根据其所属的不同APN送入不同的VPN隧 道虚接口，以便封装进不同的VPN隧道。图2所示的即为分属于APN1和APN2 的两个手机用户的手机MT的IP私有地址是相同的情况，此时，如果只能在实 际物理接口上应用IPSec的安全技术保障方法，为了能够应用IPSec的方式安 全地传输IP报文，就只能采取某种VPN协议(例如普通路由封装GRE)+IPSec 这种低效率的传输方式(因为IPSec协议本身就直接支持VPN功能)，而且不 能根据实际的不同数据流应用不同的安全技术保障方法。因为经过VPN封装后 的IP报文，它们的源和目的IP地址都是相同的，应用层协议也是相同的(VPN 协议)，即在IP层看来它们两者已经没有差异，无法区分开。然而，使用本发 明的方法，在VPN隧道虚接口上直接应用IPSec的安全技术保障方法，那么， 上述的所有缺点就都能够克服和解决了。图2中分属于不同访问点名APN1和 APN2、且拥有相同IP私有地址的两个手机用户就可以通过手机MT或者通过便 携式电脑TE(此时需要藉助起到类似MODEM功能的手机MT)，根据其所属 的不同的APN(Access Point Name)送入不同的VPN隧道虚接口直接应用 IPSec的安全技术保障方法，即通过不同的IPSec隧道访问不同的APN(例如 图2中所示的两个企业网APN1和APN2)。