專利名稱：：部署基于ip安全協(xié)議的虛擬專網(wǎng)業(yè)務(wù)的系統(tǒng)和方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及IP網(wǎng)絡(luò)技術(shù)為核心的數(shù)據(jù)通信領(lǐng)域，特別是涉及部署基于IP安全協(xié)議的虛擬專網(wǎng)(IPsecVPN)業(yè)務(wù)的系統(tǒng)和方法。
背景技術(shù)：
：IPsec(lP安全協(xié)議)作為IPv6協(xié)議的一個重要特性具有廣泛的應(yīng)用前景，IPsec協(xié)議可以部署在包括路由器、業(yè)務(wù)網(wǎng)關(guān)設(shè)備、用戶主機(jī)等設(shè)備中，特別是對于IPv6網(wǎng)絡(luò)中大量而且多樣化的消費(fèi)電子類型終端設(shè)備同樣可以部署IPsec以支持它們對于安全通信的需求。由于IPsec提供較為復(fù)雜、多樣化的安全保護(hù)，這就給基于IPsec協(xié)議的VPN(虛擬專網(wǎng))等業(yè)務(wù)的開展帶來復(fù)雜的管理任務(wù)，特別是隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大這種管理控制的復(fù)雜性更是成倍的增長。對于運(yùn)營商在IPv6網(wǎng)絡(luò)中面向公眾用戶提供IPsecVPN業(yè)務(wù)時，管理以及業(yè)務(wù)提供的效率問題就更為突出。迄今在IPv6網(wǎng)絡(luò)上如何實(shí)現(xiàn)對IPsecVPN業(yè)務(wù)的管理沒有一個完整的解決方法。目前IETF(互聯(lián)網(wǎng)工程任務(wù)組)遵循策略系統(tǒng)的方法定義安全策略系統(tǒng)，其中詳細(xì)定義了安全策略信息模型以及安全策略分發(fā)和控制協(xié)議。在安全策略信息模型方面，建立以分布式管理任務(wù)項(xiàng)目策略核心信息模型(DMTFPCIM-DistributedManagementTaskForcePolicyCoreInformationModel)為基礎(chǔ)的安全策略信息模型，在RFC3585中定義了IPsec配置安全策略信息模型；安全策略分發(fā)協(xié)議方面，沿用了IP網(wǎng)絡(luò)配置管理中定義的方法，例如采用通用開放策略業(yè)務(wù)(COPS-CommonOpenPolicyService)、簡單網(wǎng)絡(luò)管理協(xié)議(S匪P-SimpleNetworkManagementProtocol)以及命令行接口(CLI-CommandLineInterface)等方法，同時定義4十對于IPsec密鑰交換(IKE-InternetKeyExchange)策略實(shí)體的SNMP管理信息庫(MIB-ManagementInformationBase)、以及COPS策略信息庫(PIB-PolicyInformationBase)。然而，IETF安全策略模型主要存在以下兩個方面的問題首先，基于面向?qū)ο蟮陌踩呗孕畔⒛Ｐ停饕敲嫦蛟O(shè)備和網(wǎng)絡(luò)層面的信息表達(dá)，因此對于業(yè)務(wù)和應(yīng)用的表示能力有限，同時基于PCIM定義的策略模型一直以來都面臨著廠商設(shè)備支持能力的局限，以及不同廠商定義的不一致等方面的問題；其次，圍繞SNMP或者COPS建立的安全策略分發(fā)協(xié)議，主要是為了解決網(wǎng)絡(luò)配置自動化的問題，通過直接存取和設(shè)置與設(shè)備緊密相關(guān)的MIB或者PIB信息實(shí)現(xiàn)對于網(wǎng)絡(luò)的管理和控制，這種方法對于上層業(yè)務(wù)和應(yīng)用而言不能有效屏蔽下層網(wǎng)絡(luò)和設(shè)備的差異性，同時基于客戶/服務(wù)器模式不適合復(fù)雜的安全業(yè)務(wù)交互過程，這種業(yè)務(wù)過程的管理和控制需要具備業(yè)務(wù)描迷、業(yè)務(wù)動態(tài)發(fā)現(xiàn)以及遠(yuǎn)程業(yè)務(wù)調(diào)用的能力。從以上可以看出，對于運(yùn)營商而言IETF安全策略系統(tǒng)并不能滿足基于IPsecVPN業(yè)務(wù)管理和控制的要求。因此，需要一種新的系統(tǒng)和方法實(shí)現(xiàn)IPsecVPN業(yè)務(wù)管理和控制。
發(fā)明內(nèi)容本發(fā)明提出引入安全業(yè)務(wù)策略的方法實(shí)現(xiàn)對于IPsecVPN業(yè)務(wù)的管理和控制，這種方法通過定義安全業(yè)務(wù)策略層、安全網(wǎng)絡(luò)策略層和安全設(shè)備實(shí)體三層結(jié)構(gòu)實(shí)現(xiàn)，在安全業(yè)務(wù)策略層引入web服務(wù)體系結(jié)構(gòu)實(shí)現(xiàn)安全業(yè)務(wù)策略的描述、發(fā)現(xiàn)以及遠(yuǎn)程調(diào)用，彌補(bǔ)安全網(wǎng)絡(luò)策略層在IPsecVPN業(yè)務(wù)和應(yīng)用中的不足之處。根據(jù)本發(fā)明，提供了一種部署基于IP安全協(xié)議的虛擬專網(wǎng)業(yè)務(wù)的系統(tǒng)，所述系統(tǒng)包括IP安全協(xié)議的虛擬專網(wǎng)(IPsecVPN)安全應(yīng)用終端，用作安全業(yè)務(wù)策略在VPN節(jié)點(diǎn)的代理，包含SOAP客戶端和SOAP服務(wù)器端；和IPsecVPN安全業(yè)務(wù)策略服務(wù)器，包含業(yè)務(wù)策略服務(wù)器SOAP客戶端和業(yè)務(wù)策略服務(wù)器SOAP服務(wù)器端；其中通過IPsecVPN安全應(yīng)用終端中.的SOAP客戶端、SOAP服務(wù)器端，以及通過IPsecVPN安全業(yè)務(wù)策略服務(wù)器中的業(yè)務(wù)策略服務(wù)器SOAP客戶端和業(yè)務(wù)策略服務(wù)器SOAP服務(wù)器端，IPsecVPN安全應(yīng)用終端在請求/響應(yīng)模式下代理IPsecVPN節(jié)點(diǎn)向IPsecVPN安全業(yè)務(wù)策略服務(wù)器請求匹配的安全業(yè)務(wù)策略，或在訂購/通知才莫式下代理IPsecVPN節(jié)點(diǎn)向IPsecVPN安全業(yè)務(wù)策略服務(wù)器登記動態(tài)的安全業(yè)務(wù)策略，IPsecVPN安全業(yè)務(wù)策略服務(wù)器根據(jù)IPsecVPN安全應(yīng)用終端的不同請求模式，向IPsecVPN安全應(yīng)用終端下發(fā)相應(yīng)的安全業(yè)務(wù)策略，其中，IPsecVPN安全應(yīng)用終端中還包含IPsecVPN安全業(yè)務(wù)策略適配器和加載器，用于通過IPsecVPN安全業(yè)務(wù)策略適配器和加載器完成策略在底層平臺IPsec協(xié)議棧上的加載，以按照安全業(yè)務(wù)策略所定義的方式實(shí)現(xiàn)對于IPsecVPN^亍為的控制。所述系統(tǒng)還包括安全業(yè)務(wù)策略庫，其中IPsecVPN安全業(yè)務(wù)策略服務(wù)器通過接口向安全業(yè)務(wù)策略庫存取相應(yīng)的安全業(yè)務(wù)策略。在請求/響應(yīng)模式下向IPsecVPN安全業(yè)務(wù)策略服務(wù)器請求匹配的安全業(yè)務(wù)策略的請求包含根據(jù)屬性信息初始化的安全策略信息。根據(jù)本發(fā)明的另一方面，提供了一種部署基于IP安全協(xié)議的虛擬專網(wǎng)業(yè)務(wù)的方法，所述系統(tǒng)包含IP安全協(xié)i義的虛擬專網(wǎng)(IPsecVPN)安全應(yīng)用終端，用作安全業(yè)務(wù)策略在VPN節(jié)點(diǎn)的代理，包含SOAP客戶端、SOAP服務(wù)器端和IPsecVPN安全業(yè)務(wù)策略適配器和加載器；和IPsecVPN安全業(yè)務(wù)策略服務(wù)器，包含業(yè)務(wù)策略服務(wù)器SOAP客戶端和業(yè)務(wù)策略服務(wù)器SOAP服務(wù)器端，所述方法包括通過IPsecVPN安全應(yīng)用終端中的SOAP客戶端、SOAP服務(wù)器端，以及通過IPsecVPN安全業(yè)務(wù)策略服務(wù)器中的業(yè)務(wù)策略服務(wù)器SOAP客戶端和業(yè)務(wù)策略服務(wù)器SOAP服務(wù)器端，IPsecVPN安全應(yīng)用終端在請求/響應(yīng)模式下代理IPsecVPN節(jié)點(diǎn)向IPsecVPN安全業(yè)務(wù)策略服務(wù)器請求匹配的安全業(yè)務(wù)策略，或在訂購/通知模式下代理IPsecVPN節(jié)點(diǎn)向IPsecVPN安全業(yè)務(wù)策略服務(wù)器登記動態(tài)的安全業(yè)務(wù)策略；IPsecVPN安全業(yè)務(wù)策略月l務(wù)器根據(jù)IPsecVPN安全應(yīng)用終端的不同請求模式，向IPsecVPN安全應(yīng)用終端下發(fā)相應(yīng)的安全業(yè)務(wù)策略；以及通過IPsecVPN安全業(yè)務(wù)策略適配器和加栽器完成策略在底層平臺IPsec協(xié)議棧上的加載，以按照安全業(yè)務(wù)策略所定義的方式實(shí)現(xiàn)對于IPsecVPN^f亍為的控制。以下附圖構(gòu)成說明書的一部分并提供對本發(fā)明的進(jìn)一步說明，說明本發(fā)明的實(shí)施例。圖1為根據(jù)本發(fā)明的IPsecVPN安全業(yè)務(wù)策略與網(wǎng)絡(luò)策略關(guān)系示意圖2示出根據(jù)本發(fā)明的IPsecVPN安全業(yè)務(wù)策略系統(tǒng)框架結(jié)構(gòu)；圖3示出根據(jù)本發(fā)明的IPsecVPN安全業(yè)務(wù)策略功能部件的配置；圖4示出根據(jù)本發(fā)明的IPsecVPN安全業(yè)務(wù)策略的控制流程。具體實(shí)施例方式運(yùn)營商開展基于IPsec的VPN業(yè)務(wù)時首先需要定義相關(guān)的安全業(yè)務(wù)策略，主要包括IPsecVPN業(yè)務(wù)規(guī)則(Rule)、以及相應(yīng)的動作(Action);然后在安全業(yè)務(wù)策略的基礎(chǔ)上，在網(wǎng)絡(luò)和設(shè)備層面完成策略在本地的具體實(shí)施。雖然IETF對于網(wǎng)絡(luò)策略內(nèi)容已經(jīng)進(jìn)行了較為詳細(xì)的研究和分析，但面向于業(yè)務(wù)運(yùn)營方面的業(yè)務(wù)策略部分目前還沒有一個較為明確的解決方法。從運(yùn)營商開展IPsecVPN業(yè)務(wù)的完整過程來看，安全策略系統(tǒng)作為管理和控制機(jī)制，實(shí)質(zhì)上是分為安全業(yè)務(wù)策略域和安全網(wǎng)絡(luò)策略域這樣兩個部分，參見圖1所示，圖1示出安全業(yè)務(wù)策略與網(wǎng)絡(luò)策略關(guān)系示意圖。安全業(yè)務(wù)策略域是與運(yùn)營商業(yè)務(wù)開展直接相關(guān)，是以IPsecVPN業(yè)務(wù)屬性出發(fā)定義安全業(yè)務(wù)策略信息，利用基于超文本傳輸協(xié)議(HTTP—HyperTextTransportProtocol)的簡單對象訪問協(xié)議(SOAP-SimpleObjectAccessProtocl)實(shí)現(xiàn)安全業(yè)務(wù)策略信息的分發(fā)控制。根據(jù)本發(fā)明的安全業(yè)務(wù)策略系統(tǒng)引入簡單對象訪問協(xié)議接口的web服務(wù)框架結(jié)構(gòu)，其中建立基于擴(kuò)展標(biāo)記語言(XML-eXtansibleMarkupLanguage)的安全業(yè)務(wù)策略信息描述，更適合于IPsecVPN業(yè)務(wù)屬性的定義；HTTP/SOAP更加適合于運(yùn)營商業(yè)務(wù)系統(tǒng)與IPv6用戶終端系統(tǒng)之間的交互，通過更為通用的HTTP方法實(shí)現(xiàn)安全業(yè)務(wù)策略的交互控制，與基于COPS/SNMP的網(wǎng)絡(luò)策略域中策略的交互控制相比較而言更為簡單可行；SOAP的會話狀態(tài)機(jī)制以及業(yè)務(wù)動態(tài)發(fā)現(xiàn)有效解決安全業(yè)務(wù)策略控制中的狀態(tài)管理和控制以及安全業(yè)務(wù)策略的動態(tài)交互控制；利用對等的web服務(wù)方式代替客戶/服務(wù)器方式，可以靈活提供更豐富的交互方式。安全策略管理和控制往往與運(yùn)營商網(wǎng)絡(luò)和業(yè)務(wù)開展相關(guān)聯(lián)，運(yùn)營商需要定義相關(guān)業(yè)務(wù)開展中終端或者網(wǎng)關(guān)應(yīng)該遵循的安全策略，在此基礎(chǔ)上設(shè)備完成策略在本地的具體實(shí)施，因此策略定義通用、普遍的行為規(guī)則，設(shè)備層面的實(shí)施是一個具體、設(shè)備系統(tǒng)相關(guān)、能力相關(guān)的本地加載的過程。策略定義和實(shí)施的分離更符合運(yùn)營商業(yè)務(wù)運(yùn)營的需求，運(yùn)營商通過定義針對業(yè)務(wù)層面的安全、服務(wù)質(zhì)量、以及業(yè)務(wù)接入控制等策略，實(shí)現(xiàn)業(yè)務(wù)統(tǒng)一部署和運(yùn)營，而且這些內(nèi)容應(yīng)該是和具體設(shè)備、網(wǎng)絡(luò)實(shí)現(xiàn)技術(shù)相分離的；策略加栽和實(shí)施保證運(yùn)營商策略在設(shè)備層面的實(shí)現(xiàn)。參見圖l所示，根據(jù)本發(fā)明，在原有的網(wǎng)絡(luò)策略的基礎(chǔ)上，分離設(shè)計業(yè)務(wù)策略部分，通過業(yè)務(wù)策略的管理和控制實(shí)現(xiàn)對于各種基于通用操作系統(tǒng)的應(yīng)用終端中各種業(yè)務(wù)的實(shí)現(xiàn)。本系統(tǒng)通過引入安全業(yè)務(wù)策略實(shí)現(xiàn)對IPsecVPN應(yīng)用的管理和控制。圖2示出根據(jù)本發(fā)明的IPsecVPN安全業(yè)務(wù)策略系統(tǒng)框架結(jié)構(gòu)。如圖2所示，根據(jù)本發(fā)明的安全業(yè)務(wù)策略系統(tǒng)包括策略控制單元，其包舍IPsecVPN安全業(yè)務(wù)策略服務(wù)器20;策略數(shù)據(jù)庫和目錄，其包含安全業(yè)務(wù)策略；和客戶端，其包含IPsecVPN應(yīng)用終端10。IPsecVPN安全業(yè)務(wù)策略服務(wù)器20通過接口INTF-D實(shí)現(xiàn)與后臺策略數(shù)據(jù)庫或者策略目錄之間的交互。IPsecVPN安全業(yè)務(wù)策略服務(wù)器20訪問策略數(shù)據(jù)庫和目錄中，產(chǎn)生要配置到客戶端中的安全策略。IPsecVPN安全業(yè)務(wù)策略服務(wù)器20將產(chǎn)生的安全策略通過接口INTF-S下發(fā)到客戶端的,IPsecVPN安全應(yīng)用終端10。本發(fā)明中的接口INTF-S是在原有網(wǎng)絡(luò)策略接口INTF-W(其采用TCP協(xié)議承載，通過COPS協(xié)議封裝相應(yīng)的策略信息(PIB-PolicyInformationBase)實(shí)現(xiàn)策略決策點(diǎn)和策略實(shí)施點(diǎn)之間的交互)基礎(chǔ)上擴(kuò)展的，在業(yè)務(wù)應(yīng)用終端和業(yè)務(wù)策略服務(wù)器之間完成業(yè)務(wù)策略承載、業(yè)務(wù)策略信息編碼以及消息交互功能。該接口采用基于HTTP/HTTPs作為承栽協(xié)議，利用SOAP消息封裝安全策略信息，參見以下定義的詳細(xì)的SOAP消息格式以及安全策略屬性定義。<table>tableseeoriginaldocumentpage10</column></row><table>保護(hù)模式(TUNNEL|TRANSPORT)隧道網(wǎng)關(guān)地址DH組信息(1|2)ESP完整性算法(HMAC-SHA-1)ESP力口密算法(DES|3DES|AES)生命周期<IPSECVPNPOLICY><IDENTIFICATION><VPNID>*"*</VPNID><VPNGROUPID>"**</VPNGROUPID></IDENTIFICATION><CONDITION><SOURCEADDRESS>****:*****</SOURCEADDRESS><DESTINATIONADDRESS>***</DESTINATIONADDRESS><SOURCEPORT>****</SOURCEPORT><DESTINATIONPORT>"**</DESTINATIONPORT><PROTOCOL>****</PROTOCOL><DIRECTION>****</DIRECTION></CONDITION><ACTION><CATEGORY><APPLY>"**</APPLY><DISCARD>****</DISCARD><BYPASS>*"*</BYPASS></CATEGORY><IKEPROCEDURE><EXCHANGEMODE>**"</EXCHANGEMODE><CIPHERALG>****</CIPHERALG><HASHALG>****</HASHALG><AUTHALG>****</AUTHALG><IKEMAXLIFETIME>""</IKEMAXLIFETIME></IKEPROCEDURE><IPSECPROCEDURE><PROTECTIONMODE>""</PROTECTIOINMODE><PEERGATEWAY>****</PEERGATEWAY><ESPINTEGRITY>****</ESPINTEGRITY><ESPCIPHER>"**</ESPCIPHER><SALIFETIME>"**</SALIFETIME></IPSECRPOCEDURE></ACTION><EVENT><PORTGATING>XXXX</PORTGATING><GROUPMEMBERADD>XXXX</GROUPMEMBERADD>〈GROUPMEMBERDEl^XXXX々GROUPMEMBERDEL^<CALLEVENT>XXXX</CALLEVENT></EVENT></IPSECVPNPOLICY>原有面向網(wǎng)絡(luò)設(shè)備的策略管理系統(tǒng)主要是通過策略方式實(shí)現(xiàn)網(wǎng)絡(luò)層設(shè)備的配置管理，其中包括服務(wù)質(zhì)量、用戶接入訪問控制等相關(guān)內(nèi)容，但是隨著寬帶業(yè)務(wù)的不斷豐富，如果通過策略控制的方式實(shí)現(xiàn)對于業(yè)務(wù)的管理和控制同樣可以帶來很大便捷，促進(jìn)業(yè)務(wù)的開展。但是與網(wǎng)絡(luò)策略機(jī)制不同的是，應(yīng)用終端往往在處理能力、協(xié)議支持等方面要強(qiáng)于網(wǎng)絡(luò)i殳備，因此可以通過引入WEB業(yè)務(wù)等方式簡化原來網(wǎng)絡(luò)策略機(jī)制的復(fù)雜性。如圖3所示，圖3示出根據(jù)本發(fā)明的IPsecVPN安全業(yè)務(wù)策略系統(tǒng)中的IPsecVPN安全業(yè)務(wù)策略服務(wù)器20和IPsecVPN安全應(yīng)用終端10的配置。IPsecVPN安全應(yīng)用終端(ApplicationEndsystem)10具有SOAP客戶端101和SOAP服務(wù)器端102，以及IPsecVPN安全業(yè)務(wù)策略適配器和加栽器103。IPsecVPN安全業(yè)務(wù)策略服務(wù)器(PolicyServer)20包含策略服務(wù)器SOAP客戶端(SOAPClient)201和業(yè)務(wù)策略服務(wù)器SOAP月良務(wù)器端(SOAPServer)202。IPsecVPN安全應(yīng)用終端10承擔(dān)安全業(yè)務(wù)策略在VPN節(jié)點(diǎn)的代理功能。IPsecVPN安全應(yīng)用終端10具有兩個方面的功能，其一建立與IPsecVPN安全業(yè)務(wù)策略服務(wù)器20之間的安全信令通道，作為安全業(yè)務(wù)策略信息的傳輸通道；其二代理IPsecVPN節(jié)點(diǎn)請求匹配的安全業(yè)務(wù)策略(在安全業(yè)務(wù)策略系統(tǒng)的請求/響應(yīng)模式-Request/ResponseMode或者同步模式下，以下將詳細(xì)描述)，以及代理IPsecVPN節(jié)點(diǎn)向IPsecVPN安全業(yè)務(wù)策略服務(wù)器20登記動態(tài)的安全業(yè)務(wù)策略(在安全業(yè)務(wù)策略系統(tǒng)的訂購/通知模式-Subscribe/NotifyMode或者異步模式下，以下將詳細(xì)描述)。這兩種工作模式分別通過SOAP客戶端101和SOAP服務(wù)器端102加以實(shí)現(xiàn)，通過IPsecVPN安全業(yè)務(wù)策略適配器和加載器103實(shí)現(xiàn)對于VPN節(jié)點(diǎn)的IPsec協(xié)議棧的管理和控制。下面描述IPsecVPN安全應(yīng)用終端10中的業(yè)務(wù)策略代理SOAP客戶端(SOAPClient)101。IPsecVPN節(jié)點(diǎn)通過SOAP客戶端101向IPsecVPN安全業(yè)務(wù)策略服務(wù)器20請求相應(yīng)的安全業(yè)務(wù)策略。在安全業(yè)務(wù)策略系統(tǒng)的請求/響應(yīng)才莫式，IPsecVPN安全業(yè)務(wù)策略服務(wù)器20根據(jù)VPN節(jié)點(diǎn)標(biāo)識信息查詢獲取該節(jié)點(diǎn)的策略信息，并且將它作為響應(yīng)發(fā)送回SOAP客戶端101。在此模式下，安全業(yè)務(wù)策略的請求響應(yīng)在代理和服務(wù)器之間是以同步方式進(jìn)行的。下面描述IPsecVPN安全應(yīng)用終端10中的安全業(yè)務(wù)策略代理SOAP服務(wù)器端(SOAPServer)102。IPsecVPN節(jié)點(diǎn)通過SOAP客戶端101向IPsecVPN安全業(yè)務(wù)策略服務(wù)器20訂購某些安全業(yè)務(wù)觸發(fā)事件。當(dāng)外部事件觸發(fā)，IPsecVPN安全業(yè)務(wù)策略服務(wù)器20中SOAP客戶端201根據(jù)訂購事件的相應(yīng)IPsecVPN節(jié)點(diǎn)信息，通過IPsecVPN節(jié)點(diǎn)中的安全業(yè)務(wù)策略代理SOAP服務(wù)器102通知相應(yīng)節(jié)點(diǎn)。因此通過安全業(yè)務(wù)策略代理SOAP服務(wù)器102是以異步方式實(shí)現(xiàn)IPsecVPN節(jié)點(diǎn)訂購安全業(yè)務(wù)策略信息的下發(fā)。IPsecVPN安全應(yīng)用終端10中的業(yè)務(wù)策略適配器和加載器(PolicyAdaptor/Loader)103在功能上分為安全業(yè)務(wù)策略適配器和安全業(yè)務(wù)策略加載器。通過安全業(yè)務(wù)策略適配器實(shí)現(xiàn)以XML表達(dá)的安全業(yè)務(wù)策略在不同底層IPsec協(xié)議棧的策略數(shù)據(jù)之間的適配和轉(zhuǎn)換；安全業(yè)務(wù)策略加載器完成策略數(shù)據(jù)在底層平臺IPsec協(xié)議棧上的加載，最終按照安全業(yè)務(wù)策略所定義的方式實(shí)現(xiàn)對于IPsecVPN行為的控制。下面描述IPsecVPN業(yè)務(wù)策略服務(wù)器(PolicyServer)20。IPsecVPN安全業(yè)務(wù)策略服務(wù)器20主要實(shí)現(xiàn)兩個方面的功能，其一是提供IPsecVPN管理員定義和配置VPN節(jié)點(diǎn)的安全業(yè)務(wù)策略；其二通過與安全業(yè)務(wù)策略代理IPsecVPN安全應(yīng)用終端10之間的交互控制和管理VPN節(jié)點(diǎn)的IPsec協(xié)議棧，從而實(shí)現(xiàn)安全業(yè)務(wù)策略在VPN節(jié)點(diǎn)的實(shí)施。通過SOAP客戶端101和SOAP服務(wù)器端102分別實(shí)現(xiàn)同步和異步兩種工作方式。IPsecVPN安全業(yè)務(wù)策略服務(wù)器20中的安全業(yè)務(wù)策略服務(wù)器SOAP客戶端(SOAPClient)201用于通過與安全業(yè)務(wù)策略代理IPsecVPN安全應(yīng)用終端10中的SOAP服務(wù)器端102之間的交互實(shí)現(xiàn)安全業(yè)務(wù)策略代理IPsecVPN安全應(yīng)用終端10訂購的安全事件所觸發(fā)的安全策略。IPsecVPN安全業(yè)務(wù)策略服務(wù)器20的SOAP客戶端201以異步方式支持動態(tài)安全業(yè)務(wù)策略的處理。IPsecVPN安全業(yè)務(wù)策略服務(wù)器20中的業(yè)務(wù)策略服務(wù)器SOAP服務(wù)器端(SOAPServer)202用于通過與安全業(yè)務(wù)策略代理IPsecVPN安全應(yīng)用終端10中的SOAP客戶端101之間的交互實(shí)現(xiàn)安全業(yè)務(wù)策略請求和響應(yīng)過程。IPsecVPN安全業(yè)務(wù)策略服務(wù)器20的SOAP服務(wù)器端202主要接受客戶端的請求，以同步方式實(shí)現(xiàn)IPsecVPN管理員預(yù)定義的安全業(yè)務(wù)策略的下發(fā)。圖4示出根據(jù)本發(fā)明的IPsecVPN安全業(yè)務(wù)策略的控制流程。參見圖4所示，IPsecVPN安全應(yīng)用終端10和IPsecVPN安全業(yè)務(wù)策略服務(wù)器20之間的IPsecVPN安全業(yè)務(wù)策略控制過程可以包括2個過程(1)同步方式下，IPsecVPN安全應(yīng)用終端10與IPsecVPN安全業(yè)務(wù)策略服務(wù)器20之間，以請求/響應(yīng)模式實(shí)現(xiàn)同步安全策略的下發(fā)，見工作流程A;(2)異步方式下，IPsecVPN安全應(yīng)用終端10與IPsecVPN安全業(yè)務(wù)策略服務(wù)器20之間，以訂購/通知模式實(shí)現(xiàn)異步安全策略的下發(fā)，見工作流程B。圖4中所示，在請求/響應(yīng)模式下的流程A中，IPsecVPN節(jié)點(diǎn)通過IPsecVPN安全應(yīng)用終端10中的SOAP客戶端101向IPsecVPN安全業(yè)務(wù)策略服務(wù)器20請求相應(yīng)的安全業(yè)務(wù)策略。在步驟Al，IPsecVPN安全應(yīng)用終端10中的SOAP客戶端101向IPsecVPN安全業(yè)務(wù)策略服務(wù)器20中的SOAP服務(wù)器端202發(fā)送初始安全業(yè)務(wù)策略請求(IPsecPolicyRequest)。該請求包含根據(jù)例如身份等屬性信息初始化的安全策略信息，這里身份屬性信息可以是VPN標(biāo)識或者VPN組標(biāo)識等。在步驟A2，響應(yīng)接收到該請求，SOAP服務(wù)器端202根據(jù)例如VPN節(jié)點(diǎn)標(biāo)識信息等獲取該節(jié)點(diǎn)的匹配的策略信息，并且將匹配的安全策略信息作為響應(yīng)發(fā)送回SOAP客戶端101。安全業(yè)務(wù)策略的請求響應(yīng)在SOAP客戶端101和SOAP服務(wù)器端202之間是以同步方式進(jìn)行的。接著，在步驟A3，IPsecVPN安全應(yīng)用終端10中的IPsecVPN安全業(yè)務(wù)策略適配器和加載器103完成策略數(shù)據(jù)在底層平臺IPsec協(xié)議棧上的加載，以最終按照安全業(yè)務(wù)策略所定義的方式實(shí)現(xiàn)對于IPsecVPN行為的控制，由此實(shí)現(xiàn)安全策略的適配和加載過程。在訂購/通知才莫式下的流考呈B中，IPsecVPN節(jié)點(diǎn)通過IPsecVPN安全應(yīng)用終端10中的SOAP客戶端101向IPsecVPN安全業(yè)務(wù)策略服務(wù)器20訂購相應(yīng)的安全業(yè)務(wù)策略，該訂購過程提供安全策略異步實(shí)現(xiàn)才幾制。在步驟B1中，IPsecVPN節(jié)點(diǎn)通過IPsecVPN安全應(yīng)用終端10中的SOAP客戶端101向IPsecVPN安全業(yè)務(wù)策略服務(wù)器20發(fā)送請求訂購相關(guān)的安全事件(IPsecPolicySubscription)，即當(dāng)安全事件發(fā)生時，IPsecVPN安全業(yè)務(wù)策略服務(wù)器20向IPsecVPN安全應(yīng)用終端10下發(fā)訂購的安全業(yè)務(wù)策略。當(dāng)IPsecVPN安全業(yè)務(wù)策略服務(wù)器20中相應(yīng)的安全事件發(fā)生時，在步驟B2中，IPsecVPN安全業(yè)務(wù)策略服務(wù)器20中的SOAP服務(wù)器端202事件觸發(fā)IPsecVPN安全業(yè)務(wù)策略服務(wù)器20中的SOAP客戶端201。在步驟B3中，IPsecVPN安全業(yè)務(wù)策略服務(wù)器20中的SOAP客戶端201將安全事件相關(guān)聯(lián)的安全業(yè)務(wù)策略通知IPsecVPN應(yīng)用終端10中的SOAP服務(wù)器端102(IPsecPolicyNotification)，即將IPsecVPN節(jié)點(diǎn)的安全業(yè)務(wù)策略動態(tài)下發(fā)給應(yīng)用終端10。在步驟B4中，IPsecVPN安全應(yīng)用終端10中的IPsecVPN安全業(yè)務(wù)策略適配器和加栽器103完成策略數(shù)據(jù)在底層平臺IPsec協(xié)議棧上的加栽，以最終按照安全業(yè)務(wù)策略所定義的方式實(shí)現(xiàn)對于IPsecVPN行為的控制，由此實(shí)現(xiàn)安全策略的適配和加栽過程。在流程A和流程B中，IPsecVPN安全業(yè)務(wù)策略服務(wù)器20統(tǒng)一通過接口INTF-D向安全業(yè)務(wù)策略庫或者目錄存取相應(yīng)的安全業(yè)務(wù)策略項(xiàng)目。以下具體描述上述的過程A和過程B。根據(jù)前面描述的IPsecVPN業(yè)務(wù)屬性和安全業(yè)務(wù)策略的定義，下面給出安全業(yè)務(wù)策略管理和控制流程及主要的SOAP消息(1)IPsecVPN安全應(yīng)用終端10請求安全業(yè)務(wù)策略方法getStaticPolicyItem、getStatkPolicyltemResponse參數(shù)<VPNID>****</VPNID><VPNGROUPID>**"</VPNGROUPID>SOAP消息初始化靜態(tài)策略請求<xmlversion=，1.0，encoding=，UTF-8，？><SOAP-ENV:Envelopexmlns:SOAP-ENV=，，http:〃schemas.xmlsoap.org/soap/envelope/"xmlns:xsi=http:〃w\vw.w3.org/2001/X!VrLSchema-instancexmlns:xsd=http:〃www.w3.org/2001/XMLSchema><SOAP-ENV:Body><nsl:getStaticPolicyItemxmlns:nsl=，，urn:PolicyAgent:StaticPolicy"SOAP-ENV:encodingStvle=，，htti>:〃schemas.xmlsoaD.org/soap/encoding〃，><VPNID>XXXX</VPNID><VPNGROUPID>XXXX</VPNGROUPID></nsl:getStaticPolicyItem></SOAP-ENV:Body></SOAP-ENV:Envelope>安全業(yè)務(wù)策略請求響應(yīng)<xmlversion=，1.0，encoding=，UTF-8，？><SOAP-ENV:Envelopexmlns:SOAP-ENV=，，http:〃schemas.xmlsoap.org/soap/envelope/，，xmlns:xsi=http:〃www.w3.or2/2001/XMLSchema-instancexmlns:xsd=http:〃www.w3.org/2001/XMLSchema><SOAP-ENV:Body><nsl:getStaticPolicyltemResponsexmlns:nsl=，，urn:PolicyAgent:StaticPolkySOAP-ENV:encodingStYle="http:〃schemas.xmlsoap.org/soap/encoding/"><return><VPNNODEVPNID=""><CATEGORY>XXXX</CATEGORY><IKEPROCEDURE><EXCHANGEMODE>****</EXCHANGEMODE><CIPHERALG>*"*</CIPHERALG><HASHALG>*"*</HASHALG><AUTHALG>"**</AUTHALG><IKEMAXLIFETIME盧"</IKEMAXLIFETIME></IKEPROCEDURE><IPSECPROCEDURE><PROTECTIONMODE>**"</PROTECTIOINMODE><PEERGATEWAY>****</PEERGATEWAY><ESPINTEGRITY>"**</ESPINTEGRITY><ESPCIPHER>**"</ESPCIPHER><SALIFETIME>****</SALIFETIME></IPSECRPOCEDURE></VPNNODEVPNID=，，XXXX，，></nsl:getStaticPolicyItemResponse></SOAP-ENV:Body></SOAP-ENV:Envelope>(2)IPsecVPN安全應(yīng)用終端IO訂購安全事件過程方法subscribeEvent參數(shù)<Events><EventItem>****</EventItem><EventItem>****</Eventitem></Events>SOAP消息事件訂購<xmlversion='1.0'encoding='UTF-8，？><SOAP-ENV:Envelopexmlns:SOAP-ENV=，，http:〃schemas.xmlsoap.org/soap/envelope〃，xmlns:xsi=http:〃www.w3.org/2001/XMLSchema-instancexmlns:xsd=http:〃www.w3.org/2001/XMLSchema><SOAP-ENV:Body><nsl:subcribeEventxmlns:nsl=，，urn:PolicyAgent:PolicyEvent"SOAP-ENV:encodingStyle="httiK〃schemas.xmlsoap.org/soap/encodhig/"><Evcnts><EventItem>**"</Event"em><EventItem>*"*</Eventitem></Evcnts></nsl:subscribeEvent></SOAP-ENV:Body></SOAP-ENV:Envelope>(3)安全業(yè)務(wù)策略服務(wù)器事件通知過程方法NotifyEventSOAP消息事件通知<xmlversion=，1.0，encoding='UTF-8，？><SOAP-ENV:Envelopexmlns:SOAP-ENV=，，http:〃schemas.xmlsoap.org/soap/envelope/，，xmlns:xsi=http:〃www.w3.org/2001/XMLSchema-instaticexmlns:xsd=http:〃www.w3.org/2001/XMLScheina><SOAP-ENV:Body><nsl:NotifyEventxmlns:nsl="urn:PolicyServer:RegisteredEvent"SOAP-ENV:encodingStyle=，，http:〃schemas.xmlsoai>.org/soap/encoding〃，><rcturii><IPsecVPNPolicy><￡\,6111>頭頭頭A</Event></IPsecVPNPolicy></return></nsl:subscribeEvent></SOAP-ENV:Body></SOAP-ENV:Envelope>雖然本發(fā)明的詳細(xì)說明是針對示范實(shí)例的，但對于本領(lǐng)域技術(shù)人員來說，這些實(shí)施例的各種修改形式以及替換形式都是可設(shè)想的。因此，本發(fā)明涵蓋了所有在所附權(quán)利要求明確的本發(fā)明專利保護(hù)范圍內(nèi)的修改形式和替換形式。權(quán)利要求1、一種部署基于IP安全協(xié)議的虛擬專網(wǎng)業(yè)務(wù)的系統(tǒng)，所述系統(tǒng)包括IP安全協(xié)議的虛擬專網(wǎng)(IPsecVPN)安全應(yīng)用終端，用作安全業(yè)務(wù)策略在VPN節(jié)點(diǎn)的代理，包含SOAP客戶端和SOAP服務(wù)器端；和IPsecVPN安全業(yè)務(wù)策略服務(wù)器，包含業(yè)務(wù)策略服務(wù)器SOAP客戶端和業(yè)務(wù)策略服務(wù)器SOAP服務(wù)器端；其中通過IPsecVPN安全應(yīng)用終端中的SOAP客戶端、SOAP服務(wù)器端，以及通過IPsecVPN安全業(yè)務(wù)策略服務(wù)器中的業(yè)務(wù)策略服務(wù)器SOAP客戶端和業(yè)務(wù)策略服務(wù)器SOAP服務(wù)器端，IPsecVPN安全應(yīng)用終端在請求/響應(yīng)模式下代理IPsecVPN節(jié)點(diǎn)向IPsecVPN安全業(yè)務(wù)策略服務(wù)器請求匹配的安全業(yè)務(wù)策略，或在訂購/通知模式下代理IPsecVPN節(jié)點(diǎn)向IPsecVPN安全業(yè)務(wù)策略服務(wù)器登記動態(tài)的安全業(yè)務(wù)策略，IPsecVPN安全業(yè)務(wù)策略服務(wù)器根據(jù)IPsecVPN安全應(yīng)用終端的不同請求模式，向IPsecVPN安全應(yīng)用終端下發(fā)相應(yīng)的安全業(yè)務(wù)策略，其中，IPsecVPN安全應(yīng)用終端中還包含IPsecVPN安全業(yè)務(wù)策略適配器和加載器，用于通過IPsecVPN安全業(yè)務(wù)策略適配器和加載器完成策略在底層平臺IPsec協(xié)議棧上的加載，以按照安全業(yè)務(wù)策略所定義的方式實(shí)現(xiàn)對于IPsecVPN行為的控制。2.根據(jù)權(quán)利要求l的系統(tǒng)，所述系統(tǒng)還包括安全業(yè)務(wù)策略庫，其中IPsecVPN安全業(yè)務(wù)策略服務(wù)器通過接口向安全業(yè)務(wù)策略庫存取相應(yīng)的安全業(yè)務(wù)策略。3.根據(jù)權(quán)利要求1的系統(tǒng)，其中在請求/響應(yīng)模式下向IPsecVPN安全業(yè)務(wù)策略服務(wù)器請求匹配的安全業(yè)務(wù)策略的請求包含根據(jù)屬性信息初始化的安全策略信息。4.根據(jù)權(quán)利要求3的系統(tǒng)，其中身份屬性信息是VPN標(biāo)識或VPN組標(biāo)識。5.一種部署基于IP安全協(xié)議的虛擬專網(wǎng)業(yè)務(wù)的方法，所述系統(tǒng)包含IP安全協(xié)議的虛擬專網(wǎng)(IPsecVPN)安全應(yīng)用終端，用作安全業(yè)務(wù)策略在VPN節(jié)點(diǎn)的代理，包含SOAP客戶端、SOAP服務(wù)器端和IPsecVPN安全業(yè)務(wù)策略適配器和加載器；和IPsecVPN安全業(yè)務(wù)策略服務(wù)器，包含業(yè)務(wù)策略服務(wù)器SOAP客戶端和業(yè)務(wù)策略服務(wù)器SOAP月l務(wù)器端，所述方法包4舌通過IPsecVPN安全應(yīng)用終端中的SOAP客戶端、SOAP服務(wù)器端，以及通過IPsecVPN安全業(yè)務(wù)策略服務(wù)器中的業(yè)務(wù)策略服務(wù)器SOAP客戶端和業(yè)務(wù)策略服務(wù)器SOAP服務(wù)器端，IPsecVPN安全應(yīng)用終端在請求/響應(yīng)模式下代理IPsecVPN節(jié)點(diǎn)向IPsecVPN安全業(yè)務(wù)策略服務(wù)器請求匹配的安全業(yè)務(wù)策略，或在訂購/通知模式下代理IPsecVPN節(jié)點(diǎn)向IPsecVPN安全業(yè)務(wù)策略服務(wù)器登記動態(tài)的安全業(yè)務(wù)策略；IPsecVPN安全業(yè)務(wù)策略服務(wù)器根據(jù)IPsecVPN安全應(yīng)用終端的不同請求模式，向IPsecVPN安全應(yīng)用終端下發(fā)相應(yīng)的安全業(yè)務(wù)策略；以及通過IPsecVPN安全業(yè)務(wù)策略適配器和加載器完成策略在底層平臺IPsec協(xié)議棧上的加載，以按照安全業(yè)務(wù)策略所定義的方式實(shí)現(xiàn)對于IPsecVPN行為的控制。6.根據(jù)權(quán)利要求l的方法，其中所述系統(tǒng)還包括安全業(yè)務(wù)策略庫，其中IPsecVPN安全業(yè)務(wù)策略服務(wù)器通過接口向安全業(yè)務(wù)策略庫存取相應(yīng)的安全業(yè)務(wù)策略。7.根據(jù)權(quán)利要求l的方法，其中在請求/響應(yīng)模式下向IPsecVPN安全業(yè)務(wù)策略服務(wù)器請求匹配的安全業(yè)務(wù)策略的請求包含根據(jù)屬性信息初始化的安全策略信息。8.根據(jù)權(quán)利要求7的方法，其中身份屬性信息是VPN標(biāo)識或VPN組標(biāo)識。全文摘要一種部署基于IPsecVPN業(yè)務(wù)的系統(tǒng)和方法，所述系統(tǒng)包含IPsecVPN安全應(yīng)用終端和IPsecVPN安全業(yè)務(wù)策略服務(wù)器。所述方法包括IPsecVPN安全應(yīng)用終端在請求/響應(yīng)模式下代理IPsecVPN節(jié)點(diǎn)向IPsecVPN安全業(yè)務(wù)策略服務(wù)器請求匹配的安全業(yè)務(wù)策略，或在訂購/通知模式下代理IPsecVPN節(jié)點(diǎn)向IPsecVPN安全業(yè)務(wù)策略服務(wù)器登記動態(tài)的安全業(yè)務(wù)策略；IPsecVPN安全業(yè)務(wù)策略服務(wù)器根據(jù)IPsecVPN安全應(yīng)用終端的不同請求模式，向IPsecVPN安全應(yīng)用終端下發(fā)相應(yīng)的安全業(yè)務(wù)策略；以及通過IPsecVPN安全業(yè)務(wù)策略適配器和加載器完成策略在底層平臺IPsec協(xié)議棧上的加載。文檔編號H04L12/46GK101193035SQ20061016250公開日2008年6月4日申請日期2006年11月24日優(yōu)先權(quán)日2006年11月24日發(fā)明者明馮,凡史,廣小明,張浩峰,瑋王,王和宇,解沖鋒申請人:中國電信股份有限公司