申请/专利权人：杭州海康威视数字技术股份有限公司

申请日：2023-11-15

公开（公告）日：2024-03-19

公开（公告）号：CN117254976B

主分类号：H04L9/40

分类号：H04L9/40

优先权：

专利状态码：有效-授权

法律状态：2024.03.19#授权;2024.01.05#实质审查的生效;2023.12.19#公开

摘要：本申请提供一种基于VPP的国标IPsecVPN实现方法、装置、系统及电子设备，涉及网络安全领域，用于使IPsecVPN调用硬件密码设备。该方法包括：接收到第一发送设备发送的第一网络数据包，第一网络数据包为IPsecVPN数据包，第一网络数据包的约定加密算法为包括在硬件密码设备上实现的国家商用密码算法；基于VPP框架，对第一网络数据包解密和解封装，获得解封装数据包。基于VPP框架根据安全关联对应的封装方式、加密算法和密钥，封装第七网络数据包；根据封装后的第七网络数据包的目的地址，基于VPP框架转发封装后的第七网络数据包。

主权项：1.一种基于VPP的国标IPsecVPN实现方法，其特征在于，应用于Linux系统的服务器，包括：接收到第一发送设备发送的第二网络数据包，所述第二网络数据包的目的地址指向所述服务器，所述第二网络数据包的目的端口指向预设端口；基于VPP框架，与所述第一发送设备基于网络密钥交换协议建立安全关联，并生成安全关联信息，所述安全关联信息包括约定封装方式、约定加密算法和约定密钥;其中，针对IKE阶段，所述与所述第一发送设备基于网络密钥交换协议建立所述安全关联，包括：通过IKE软件生成IKE协商报文，并将所述IKE协商报文发送至所述VPP框架中，通过所述VPP框架将所述IKE协商报文从绑定的发送网口发送给所述第一发送设备，以建立所述安全关联；接收到所述第一发送设备发送的第一网络数据包，所述第一发送设备与所述服务器存在安全关联，所述第一网络数据包为IPsecVPN数据包，所述第一网络数据包的目的地址指向所述服务器，所述第一网络数据包的约定封装方式为基于ESP协议和或AH协议的封装方式，所述第一网络数据包的约定加密算法包括在硬件密码设备上实现的国家商用密码算法，所述硬件密码设备与所述服务器通信连接，所述第一网络数据包为IPsec流量；所述VPP框架包括数据包括加密队列节点、回调节点、数据包返发节点、以及输出节点；通过所述加密队列节点将所述第一网络数据包放入所述硬件密码设备的待处理数据包队列；通过注册加密实例注册加密算法接口后，使用所述加密算法的接口调用所述硬件密码设备中的加密算法；通过所述回调节点响应于所述硬件密码设备的调用，获取到所述硬件密码设备发送的解封装数据包，所述解封装数据包为所述硬件密码设备基于所述约定封装方式、所述约定加密算法和所述约定密钥对所述待处理数据包队列中的所述第一网络数据包进行解封装和解密获得；通过所述数据包返发节点将所述解封装数据包返回至所述输出节点；通过所述输出节点将所述解封装数据包输出；其中，所述服务器的物理网口属于VPP框架所处的第一网络命名空间，所述服务器的Linux内核协议栈属于第二网络命名空间；所述第一网络命名空间还包括虚拟主机接口和第一虚拟以太网设备，所述虚拟主机接口与所述物理网口桥接，所述虚拟主机接口与所述第一虚拟以太网设备通信连接；所述第二网络命名空间还包括第二虚拟以太网设备，所述第一虚拟以太网设备和所述第二虚拟以太网设备通信连接，以使得所述服务器的上层应用通过所述第一虚拟以太网设备和所述第二虚拟以太网设备通信连接获得网络数据包。

全文数据：

权利要求：

百度查询： 杭州海康威视数字技术股份有限公司 基于VPP的国标IPsec VPN实现方法、装置、系统及电子设备

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD