| 发明名称 | IPSEC VPN设备及其隔离方法与系统 | ||
| 摘要 | 本发明提供一种IPSEC VPN设备及其隔离方法与系统,设备包括内端主机、外端主机和非网络隔离卡,内、外端主机分别维护了相同的IP映射表,每一条表项定义了原地址、目的地址及IP映射ID等信息,数据包经过IP头剥离及重组,IP映射表检索过滤,私有协议封转及解封装,非网络隔离卡传输等方式实现网络隔离,数据包在内网主机上对IPsec VPN网络数据包进行加解密,设备能抵抗恶意攻击行为,抵抗病毒、木马、恶意插件的传播,从真正意义上达到内外网连接时的安全隔离,实现对内部网络、IPSEC VPN设备以及网络业务数据包更高强度的安全保护,是一种安全程度高的IPSEC VPN隔离设备。 | ||
| 申请公布号 | CN103812861A | 申请公布日期 | 2014.05.21 |
| 申请号 | CN201410025959.0 | 申请日期 | 2014.01.20 |
| 申请人 | 广东电网公司电力科学研究院 | 发明人 | 胡朝辉;梁智强;江泽鑫;梁志宏;陈炯聪;黄曙;余南华;林丹生;李闯;石炜君;梁毅成;黄岳峰 |
| 分类号 | H04L29/06(2006.01)I | 主分类号 | H04L29/06(2006.01)I |
| 代理机构 | 广州华进联合专利商标代理有限公司 44224 | 代理人 | 王茹;曾旻辉 |
| 主权项 | 一种IPSEC VPN设备的隔离方法,其特征在于,包括步骤:在内端主机与外端主机中维护相同的IP映射表,其中,所述IP映射表为哈希链表,所述哈希链表定义有IP映射表索引INDEX以及数据包的源地址、目的地址和IP映射ID信息;对于从内部网络输出到外部网络的明文数据包包括如下步骤:接收来自内部网络的明文数据包;对接收到的明文数据包进行数据加密处理和IPSEC隧道封装处理,生成密文数据包;对密文数据包进行以太帧及IP头部剥离处理,根据剥离的IP头部,计算IP映射表中索引INDEX,并遍历所述哈希链表,查找是否有对应的源IP地址、目的IP地址,如有对应的数据,则对密文数据包进行私有协议封装处理,并将私有协议封装的数据发送到外端主机;外端主机对接收到的私有协议封装数据进行解封装处理,根据解封装得到的IP映射表索引INDEX,节点ID在IP映射表进行检索,根据检索的结果对密文IPSEC数据包进行重组,生成密文IPSEC数据包,发送密文IPSEC数据包到外部网络;对于从外部网络进入到内部网络的密文数据包包括如下步骤:接收来自外部网络的密文数据包;对密文数据包进行以太帧及IP头部剥离处理,根据剥离的IP头部,计算IP映射表中索引INDEX,并遍历哈希链表,查找是否有对应的源IP地址、目的IP地址,如有对应的数据,则对密文数据包进行私有协议封装处理,并将私有协议封装的数据发送到内端主机;内端主机对接收到的私有协议封装数据进行解封装处理,根据解封装得到的IP映射表索引INDEX,节点ID在IP映射表进行检索,根据检索的结果对密文IPSEC数据包进行重组,生成新的密文数据包,再对新的密文数据包进行解密处理和IPSEC隧道解封装处理,生成明文数据包,发送明文数据包到内部网络。 | ||
| 地址 | 510080 广东省广州市越秀区东风东路水均岗8号 | ||