[发明专利]在IPsec隧道中传输组播的方法、分支节点和中心节点

说明书

技术领域

本发明涉及数据通信技术领域，具体涉及一种在因特网协议安全(IPsec，IP Security)隧道中传输组播的方法、分支节点和中心节点。

背景技术

随着高速因特网(Internet)接入的推广，以及员工从集中办公地点不断向外扩散，虚拟专用网络(VPN，Virtual Private Network)已经变成了公司网络架构的一个关键部分。VPN利用公用网络来连接企业私有网络，通过安全机制实现严格的访问控制，建立起逻辑上虚拟的私有网络。VPN提供了一种经济有效的手段，实现通过公用网络安全地交换私有信息。

VPN具体实现是采用隧道技术。隧道是指在公用网建立一条数据通道(隧道)，将企业网的数据封装在隧道中进行传输。隧道技术指的是利用一种网络协议来传输另一种网络协议，它主要利用网络隧道协议来实现这种功能。隧道协议可分为二层隧道协议和三层隧道协议，其中，三层隧道协议包括通用路由封装(GRE，Generic Routing Encapsulation)和IPsec协议等。

IPsec VPN利用高级的加密和隧道技术，来允许企业网络通过第三方的网络，如Internet，来建立安全的、端到端的专用网络连接。IPsec是由一组RFC文档组成，定义了一个系统来提供安全协议选择、安全算法，确定服务所使用密钥等服务，从而在IP层提供安全保障。它给出了应用于IP层上网络数据安全的一整套体系结构，包括网络安全协议(AH，Authentication Header)和封装安全载荷协议(ESP，Encapsulating Security Payload)、密钥管理协议(IKE，Internet Key Exchange)协议和用于网络验证及加密的一些算法等。IPSec利用访问控制列表(ACL，Access Control List)来决定哪些数据是需要加密的，当有数据报文匹配所定义的ACL时，即建立IPSec加密隧道传输该数据报文。

IPsec通过共享密钥在通讯的两端实现数据加密，即任意两端之间都要共享不同的密钥，所以IPsec隧道实际上是点到点的加密隧道，IPsec网络就是点到点加密隧道的集合，IPsec隧道不支持对组播包进行加密。目前，为解决这一问题，通常采用通用GRE隧道与IPsec加密相结合的方法，也即GRE OverIPsec。GRE是一种在任意一种网络层协议上封装任意一个其它网络层协议的协议，将有效载荷封装在一个GRE报文中，然后将此GRE包封装在其它协议中进行转发。GRE隧道支持运载组播数据到对端，而GRE隧道的数据报文是单播的，因此GRE隧道的报文可被IPsec加密。在GRE Over IPsec中，GRE协议用于建立隧道，IPsec协议完成VPN网络的加密。如图1所示，现有技术在实现组播在IPsec VPN传输时，都需要先进行一次GRE封装，再将整个GRE报文封装到IPsec VPN中进行加密传输，这样能够保证组播报文在两个节点间正常传输。

显然，上述处理方案中，组播数据流需要经过GER和IPsec两次封装与解封装后才能得到最终处理，这对于传输时延比较敏感的业务，如语音业务影响很大，对视频业务也会产生较大延时。并且，该方案要求中心节点和分支节点同时支持IPsec和GRE两套VPN技术，这增加了该方案的运营和维护成本。

发明内容

本发明所要解决的技术问题是提供一种IPsec隧道中的组播传输方法、分支节点和中心节点，只需对数据包进行一次封装就可以实现组播数据的加密传输。

为解决上述技术问题，本发明提供方案如下：

一种在IPsec隧道中传输组播的方法，包括步骤：

A，分别在中心节点与分支节点上配置相互对应的特定组播组加入报文的加密ACL规则，以及在分支节点上配置特定组播组的下行组播流的加密ACL规则；

B，分支节点将特定组播组加入报文通过特定组播组加入报文的IPsecVPN发送至中心节点，所述特定组播组加入报文的IPsec VPN是根据中心节点与分支节点上配置的特定组播组加入报文的加密ACL规则，通过IKE协商建立；

C，中心节点根据接收到的特定组播组加入报文中的组地址信息，配置特定组播组的下行组播流的加密ACL规则，与分支节点上配置的所述特定组播组的下行组播流的ACL规则相对应；

D，根据分支节点和中心节点上的配置的所述特定组播组的下行组播流的加密ACL规则，通过IKE协商建立所述特定组播组的下行组播流的IPsecVPN，将所述下行组播流发送至分支节点。