[发明专利]一种支持移动终端进行IPSec VPN报文传输方法及装置

说明书

本发明涉及加密数据传输领域，尤其是一种支持移动终端的IPSec VPN加密方法及装置。本发明现有技术存在问题，提供一种加密方法及装置。其支持在移动终端IP地址不可见时的隧道协商，支持通过证书或设备标识对移动终端进行验证。支持在隧道建立后终端IP地址动态变化时隧道自动适应新IP地址，适应移动办公环境需求，满足移动终端的接入需求。本发明通过内置网关的移动终端发起IKE密钥协商请求，加密网关接收移动终端协商请求后，进行数据密钥协商，对协商包明文进行判断处理，将移动终端IP增加进入SA数据结构中，协商完成后生成IP报文加密密钥以及对应的序列号（SPI），移动终端与加密网关建立加密隧道，然后进行数据传输。

技术领域

本发明涉及加密数据传输领域，尤其是一种支持移动终端进行IPSec VPN报文传输方法及装置。

背景技术

IPSeC(IPSeCurty Protcol,IP安全协议)是一组开放标准集，它们协同地工作来确保对等设备之间的数据机密性、数据完整性以及数据认证。IPSec VPN和其它远程访问解决方案相比有一大优势就是它采用了集中式安全和策略管理部件，从而大大缓解了维护需求。故在帮助远程用户、公司分支机构、商业伙伴及供应商等同公司的内部网建立可信的安全连接方案中得到了广泛应用。

1、IPSec VPN现有方案

IPSec VPN作为加密网关到加密网关之间的数据安全传输协议，目前较成熟的IPSec VPN方案的网络拓扑结构、协商流程、报文入站流程、报文出站流程如下图：

（1）现有方案的网络拓扑结构

如图1所述，加密网关A与加密网关B在此网络中的作用与地位是对等的，他们都保护了若干终端。加密网关A与加密网关B都能通过IP地址访问到对方。

（2）现有IPSec VPN密钥协商流程如图2所示：

现有IPSec VPN协商流程：收到IPSec VPN协商报文件后，根据SPD规则查看报文IP地址是合法，如果合法则进行参数处理，同时记录下Cookie。后续的协商报文经过Cookie和IP地址匹配后进入协商流程。协商成功后生成SA。在移动办公网络中，终端IP地址不固定，因此进入加密网关的协商报文IP地址也不固定，不能只靠IP地址判定协商报文是否合法。

（3）现有IPSec VPN报文入站流程如图3所述：

外网口报文入站之后，先检测是否为ESP包，如果是ESP包并且合法则进入解密流程，解密之后发往内网口。

（4）现有IPSec VPN报文出站流程如图4所述

2、IPSec VPN现有方案不足

随着智能手机的普及和移动应用增多，移动办公需求也日益增加。现有的IPSecVPN方案由于存在不足，无法满足移动办公需求。现有IPSec VPN方案存在以下不足：

（1）在现有的IPSec VPN方案中，隧道的建立过程可以由任意一个加密网关发起，而在移动办公网络中，移动终端的网络地址是动态分配的，只能由移动终端发起隧道建立请求。

（2）在隧道协商过程中，现有IPSec 方案先检查发起协商的网关IP地址是否合法，再判定是否接受协商包。而在移动办公网络中，移动终端IP地址不固定，不能通过此方法判别终端是否合法。

（3）当隧道建立成功后，在移动终端的使用过程中，其IP地址会随时发生改变，现有的IPSec VPN方案无法适应隧道一端地址动态改变的情况。

（4）在现有IPSecVPN方案中，按照五元组方式进行规则匹配，在移动办公应用中，终端的IP地址不固定，因此规则中只能确定加密网关的参数，其它参数需要根据终端的IP地址动态更新。

发明内容