技術(shù)領(lǐng)域

本發(fā)明涉及一種標(biāo)識分離映射網(wǎng)絡(luò)中IPSec網(wǎng)關(guān)(IP?Security：IP層安全協(xié)議體系)自動發(fā)現(xiàn)的方法，屬于網(wǎng)絡(luò)技術(shù)領(lǐng)域。

背景技術(shù)

標(biāo)識分離映射網(wǎng)絡(luò)是一種新型網(wǎng)絡(luò)，它將終端的位置信息與身份信息進(jìn)行了分離，建立了接入標(biāo)識和路由標(biāo)識分離映射機(jī)制。在標(biāo)識分離映射網(wǎng)絡(luò)中，管理部門為每個(gè)終端分配一個(gè)全局唯一的接入標(biāo)識，代表終端的身份信息；映射服務(wù)器為接入終端分配路由標(biāo)識，代表終端的位置信息，并建立接入標(biāo)識和路由標(biāo)識的映射關(guān)系。同時(shí)，標(biāo)識分離映射網(wǎng)絡(luò)中以接入路由器為邊界，將網(wǎng)絡(luò)劃分為接入網(wǎng)和核心網(wǎng)兩部分。接入網(wǎng)實(shí)現(xiàn)各種類型的終端或者固定、移動、傳感網(wǎng)絡(luò)等的接入；核心網(wǎng)解決位置管理、安全機(jī)制和路由技術(shù)。

圖1是傳統(tǒng)的標(biāo)識分離映射網(wǎng)絡(luò)結(jié)構(gòu)的示意圖。

上述網(wǎng)絡(luò)通過將網(wǎng)絡(luò)進(jìn)行接入網(wǎng)和核心網(wǎng)兩部分的劃分，不僅可以保證各種接入技術(shù)和核心網(wǎng)的架構(gòu)分別進(jìn)行獨(dú)立的技術(shù)演進(jìn)，不互相影響，而且，在網(wǎng)絡(luò)的安全性和可控性，也有了很大程度的提高。接入網(wǎng)的用戶無法對核心網(wǎng)進(jìn)行訪問，增強(qiáng)了核心網(wǎng)數(shù)據(jù)的機(jī)密性以及核心網(wǎng)設(shè)備的安全性；同時(shí)，接入網(wǎng)的用戶必須通過接入路由器才能訪問網(wǎng)絡(luò)，接入路由器和認(rèn)證中心會對用戶的身份真實(shí)性進(jìn)行認(rèn)證，增強(qiáng)了網(wǎng)絡(luò)的可控性。

一般來說，在標(biāo)識分離映射網(wǎng)中，接入路由器主要負(fù)責(zé)各種固定終端、移動終端、WLAN等固定網(wǎng)絡(luò)、移動子網(wǎng)以及自組網(wǎng)等移動網(wǎng)絡(luò)的接入，保存接入終端的接入標(biāo)識和路由標(biāo)識的映射關(guān)系，并將終端的數(shù)據(jù)包進(jìn)行標(biāo)識替換處理以后在核心網(wǎng)中傳輸。

核心路由器的主要功能是根據(jù)數(shù)據(jù)報(bào)文中的路由標(biāo)識，在核心網(wǎng)進(jìn)行選路和轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文。其中，認(rèn)證中心負(fù)責(zé)記錄用戶類別，用戶享受的服務(wù)等級等，在用戶接入時(shí)進(jìn)行接入控制和授權(quán)。認(rèn)證中心的數(shù)據(jù)庫中存放了所有合法用戶的認(rèn)證信息。

映射服務(wù)器主要負(fù)責(zé)維護(hù)網(wǎng)絡(luò)中接入標(biāo)識和路由標(biāo)識的映射關(guān)系，并向接入路由器和其他映射服務(wù)器提供查詢服務(wù)。映射服務(wù)器上保存的映射關(guān)系都是已經(jīng)通過認(rèn)證并且可以被合法終端所使用的。

標(biāo)識分離映射網(wǎng)絡(luò)運(yùn)用身份與位置分離的技術(shù)，使得用戶的身份信息不會在核心網(wǎng)隨數(shù)據(jù)流一起傳輸。網(wǎng)絡(luò)攻擊者如果在核心網(wǎng)絡(luò)對數(shù)據(jù)流進(jìn)行竊取，獲得的只是代表位置信息的路由標(biāo)識，無法判斷參與通信的真正的源端和目的端。同時(shí)，采用了核心網(wǎng)與接入網(wǎng)分離的方法，使得接入網(wǎng)終端不能對核心網(wǎng)的設(shè)備進(jìn)行訪問，提高了網(wǎng)絡(luò)的安全性。

不過，對于數(shù)據(jù)的完整性和機(jī)密性方面，特別是在核心網(wǎng)對數(shù)據(jù)實(shí)施的監(jiān)聽和篡改，標(biāo)識分離映射網(wǎng)提供的保護(hù)仍然不夠。為了進(jìn)一步提高該網(wǎng)絡(luò)的安全等級，在原有結(jié)構(gòu)的基礎(chǔ)上，有人提出了基于IPSec的增強(qiáng)解決方案。

圖2是基于標(biāo)識分離映射網(wǎng)絡(luò)的IPSec方案的結(jié)構(gòu)示意圖。

具體來說，該安全增強(qiáng)方案基于IPSec和數(shù)字證書，在原有結(jié)構(gòu)的基礎(chǔ)上，在核心網(wǎng)中增加了IPSec網(wǎng)關(guān)和CA證書中心等設(shè)備。IPSec網(wǎng)關(guān)可以部署在接入路由器的核心網(wǎng)端之前，也可以直接部署在接入路由器上，以其核心網(wǎng)端作為隧道端口，前者不會增加接入路由器負(fù)載而降低可靠性，后者易于實(shí)現(xiàn)。CA證書中心是為IPSec網(wǎng)關(guān)頒發(fā)用于網(wǎng)關(guān)之間協(xié)商安全關(guān)聯(lián)的證書。

該方案的基本思想是在IPSec網(wǎng)關(guān)之間建立一條VPN隧道，使用ESP的隧道模式，對兩個(gè)接入網(wǎng)之間的通信數(shù)據(jù)進(jìn)行加密保護(hù)，有效的防止了諸如核心網(wǎng)竊聽、數(shù)據(jù)篡改等安全攻擊手段。同時(shí)，在源、目的終端的接入標(biāo)識隱藏的基礎(chǔ)上，IPSec網(wǎng)關(guān)將數(shù)據(jù)包重新封裝，采用自己和對端IPSec網(wǎng)關(guān)的路由標(biāo)識在核心網(wǎng)中傳輸數(shù)據(jù)包，更進(jìn)一步隱藏了終端的路由標(biāo)識，使得通信終端的身份信息和位置信息在核心網(wǎng)中完全被隱藏，提高了安全性。

在IPSec網(wǎng)關(guān)建立隧道之前，每個(gè)IPSec網(wǎng)關(guān)需要獲得如下信息才能建立隧道：

本地網(wǎng)關(guān)的路由標(biāo)識、對端網(wǎng)關(guān)的路由標(biāo)識、本地接入路由器的路由標(biāo)識池、對端接入路由器的路由標(biāo)識池、IPSec工作模式(傳輸模式或隧道模式，本方案中統(tǒng)一使用隧道模式)、IPSec保護(hù)方式(AH或ESP，本方案中統(tǒng)一使用ESP)。

這些信息需要在兩個(gè)網(wǎng)關(guān)上進(jìn)行手動配置。

手動配置在標(biāo)識分離映射網(wǎng)絡(luò)部署初期，接入網(wǎng)數(shù)量還不是很多的情況下可行，但是在后期網(wǎng)絡(luò)大面積部署時(shí)，IPSec網(wǎng)關(guān)的數(shù)量會急劇增加，這時(shí)候手動配置的工作量也會相應(yīng)的增加。假設(shè)在一個(gè)全互聯(lián)的大型網(wǎng)絡(luò)中，有100個(gè)對等體，那么每個(gè)IPSec網(wǎng)關(guān)都需要配置99條加密規(guī)則，這是不利于配置和維護(hù)的，這套安全增強(qiáng)方案便難以實(shí)施。

為了克服現(xiàn)有的手動配置的技術(shù)缺點(diǎn)，人們采取了多種方法。