[发明专利]一种基于国密算法的VxLAN安全网关及二层安全网络组建方法

说明书

本发明提供了一种基于国密算法的VxLAN安全网关，包括VxLAN模块及IPSec模块，VxLAN模块与内网连接，IPsec模块与外部互联网连接；所述VxLAN模块，将内网的二层网络通信数据帧封装成vxlan报文或将IPSec模块解密得到的vxlan报文进行解封装并将解封装后的二层网络数据帧转发至内网；所述IPSec模块包括加/解密模块、密钥协商模块；所述密钥协商模块进行密钥协商并建立两个VxLAN安全网关之间的通信隧道，所述加密模块基于国密算法实现对VxLAN数据报文的加/解密。本发明的安全网关具有专线连接的安全、保密、专用和高性能等特点，同时能够实现了跨三层网络的二层网络安全组网，并在其组网基础之上为用户业务通信提供安全保障，提高了网络通信的安全性同时具备组播报文和广播报文转发功能。

技术领域

本发明涉及通信领域，特别涉及一种基于国密算法的VxLAN安全网关及二层安全网络组建方法。

背景技术

目前，各企业机构都在构建自己的专用网来提高自身的工作效率和竞争力。但随着工作范围、业务网络的不断扩大，其网络规模也在迅速扩充。如果按照传统的方式来构建自己的专用网，将会产生非常高昂的费用。因此，各企业机构通常采用通过公共网络进行与内部网络进行互连的方式来传输企业的内部信息。

公共网络是对整个社会开放的公共基础网络，具有覆盖面广、速度快、费用低和使用方便等特点，但同时也存在安全性差的问题。用户通过公共网络传输的信息在传输过程中随时可能被偷看、修改和伪造，使得信息的安全性和可靠性降低。如2010年伊朗核工业设施遭受“震网”病毒攻击件事就是通过伪造信息导致离心机加速运转从而导致设备损坏，因此通过公共信息网络与企业内部网络互连能够大幅度的降低成本，但也带了重大的安全隐患。解决这一矛盾的方法之一就是采用VPN技术。

VPN具有专线连接的安全、保密、专用和高性能等特点，通过对数据包的头部信息和有效的封装加密来保证数据的安全性。因此，我公司严格遵循GM/T 0022-2014《IPSecVPN技术规范》研制了IPSec VPN安全网关，为用户提供安全网络传输服务。

在目前的网络环境中，各企业机构在存在分部的情况下通常通过组建三层网络拓扑来提高自身的工作效率和竞争力。因此，各企业机构通常采用通过公共网络或专用网络与内部网络进行互连的方式来传输企业的内部信息。但是，在公共网络的使用或专用网络搭建都是对整个社会开放的，具有覆盖面广、速度快、费用低和使用方便等特点。同时也存在安全性差和组播通信复杂的问题。

在安全性上面用户无论是通过公共网络还是专用网络传输的信息在传输过程中随时可能被偷看、修改和伪造，使得信息的安全性和可靠性降低。

在组播通信时，需要二层组网模型才能正常工作，但是现有的绝大多数企业机构组网模型都属于路由三层组网模型，无法转发组播报文或者广播报文。

发明内容

针对上述存在的问题，提供了一种基于国密算法的VxLAN安全网关及大二层安全网络组建方法，提高了网络通信的安全性同时具备组播报文和广播报文转发功能。

本发明采用的技术方案如下：基于国密算法的VxLAN安全网关，包括VxLAN模块及IPSec模块，VxLAN模块与内网连接，IPSec模块与外部互联网连接；

所述VxLAN模块，用于将内网的二层网络通信数据帧封装成vxlan报文或将IPSec模块解密得到的vxlan报文进行解封装并将解封装后的二层网络数据帧转发至内网；

所述IPsec模块包括加解密模块、密钥协商模块；所述密钥协商模块基于ISAKMP协议进行密钥协商并根据策略建立两个VxLAN安全网关之间的通信隧道，所述加密模块基于国密算法实现对VxLAN数据包的加/解密。

进一步的，所述密钥协商模块具体工作包括隧道建立、安全报文封装、报文发送。

进一步的，所述国密算法为SM1、SM2、SM3、SM4。