经由虚拟私有网络传达的重复分组的高效加密和解密的制作方法

技术特征：
1.一种方法，包括：由网络设备接收用于分组加密的加密密钥，所述分组加密与虚拟私有网络vpn相关联，其中所述加密密钥与解密密钥相关联，所述解密密钥由所述vpn的多个网络设备用于分组解密；由所述网络设备使用所述密钥来加密分组以创建经加密的分组，其中所述经加密的分组包括外部互联网协议ip报头，所述外部互联网协议ip报头包括虚拟源地址和第一虚拟目的地地址，所述虚拟源地址标识所述网络设备的虚拟隧道端点，所述第一虚拟目的地地址标识第一接收网络设备的虚拟隧道端点；复制所述经加密的分组以创建多个经加密的分组，所述多个经加密的分组包括与所述第一接收网络设备相关联的经加密的分组的第一集合、和将与第二接收网络设备相关联的经加密的分组的第二集合；将所述多个经加密的分组的所述第二集合中的所述第一虚拟目的地地址替换为第二虚拟目的地地址，所述第二虚拟目的地地址标识所述第二接收网络设备的虚拟隧道端点；基于隧道化协议来封装所述经加密的分组的第一集合，以创建经封装经加密的分组的第一集合，其中所述经封装经加密的分组的第一集合中的个体经封装经加密的分组包括附加外部ip报头，所述附加外部ip报头包括物理源地址和物理目的地地址，所述物理源地址标识所述网络设备的物理隧道端点，所述物理目的地地址标识所述第一接收网络设备的物理隧道端点；基于所述隧道化协议来封装所述经加密的分组的第二集合，以创建经封装经加密的分组的第二集合，其中所述经封装经加密的分组的第二集合中的个体经封装经加密的分组包括附加外部ip报头，所述附加外部ip报头包括物理源地址和物理目的地地址，所述物理源地址标识所述网络设备的物理隧道端点，所述物理目的地地址标识所述第二接收网络设备的物理隧道端点；经由所述网络设备与所述第一接收网络设备之间的第一多个隧道中的个体指定隧道来向所述第一接收网络设备发送所述经封装经加密的分组的第一集合中的所述个体经封装经加密的分组；以及经由所述网络设备与所述第二接收网络设备之间的第二多个隧道中的个体指定隧道来向所述第二接收网络设备发送所述经封装经加密的分组的第二集合中的所述个体经封装经加密的分组。2.根据权利要求1所述的方法，还包括：经由所述第一多个隧道中的隧道来从所述第一接收网络设备接收所述分组的经修改版本；以及经由所述第二多个隧道中的隧道来从所述第二接收网络设备接收所述分组的经修改版本。3.根据权利要求1所述的方法，其中加密所述分组以创建所述经加密的分组包括：使用封装安全性有效负载esp协议来加密所述分组以创建所述经加密的分组，其中所述经加密的分组包括所述外部ip报头和esp报头。4.根据权利要求1所述的方法，其中所述经封装经加密的分组的第一集合和所述经封装经加密的分组的第二集合根据通用路由封装gre隧道化协议而被封装，
其中所述附加外部ip报头包括gre报头。5.根据权利要求1所述的方法，其中在复制所述经加密的分组以创建所述多个经加密的分组之前，所述方法包括：确定所述第一多个隧道中的隧道的第一数量；以及确定所述第二多个隧道中的隧道的第二数量，其中所述多个经加密的分组的数量基于所述第一多个隧道的所述第一数量和所述第二多个隧道的所述第二数量。6.根据权利要求1所述的方法，其中所述经封装经加密的分组的第一集合的数量与所述第一多个隧道的数量对应，并且其中所述经封装经加密的分组的第二集合的数量与所述第二多个隧道的数量对应。7.根据权利要求1所述的方法，其中所述分组是探测分组，所述探测分组包括用户数据报协议udp报头和合成的数据有效负载。8.一种网络设备，包括：一个或多个存储器；以及一个或多个处理器，用以：接收用于分组解密的解密密钥，所述分组解密与虚拟私有网络vpn相关联，其中所述解密密钥与加密密钥相关联，所述加密密钥由所述vpn的多个网络设备用于分组加密；从传输网络设备经由所述网络设备与所述传输网络设备之间的多个隧道中的隧道来接收分组，其中所述分组包括第一外部互联网协议ip报头、通用路由封装gre报头、第二外部ip报头、与所述分组的内部分组的加密相关联的封装安全性有效负载esp报头、以及所述内部分组，其中所述内部分组被所述esp报头封装，所述esp报头被所述第二外部ip报头封装，所述第二外部ip报头被所述gre报头封装，并且所述gre报头被第一外部ip报头封装；解封装所述分组以从所述分组移除所述第一外部ip报头和所述gre报头，以标识：与所述esp报头相关联的esp时间戳，以及所述传输网络设备处的所述隧道的虚拟隧道端点的虚拟源地址；解密所述分组以标识所述内部分组；以及基于所述esp时间戳来执行与所述内部分组相关联的动作。9.根据权利要求8所述的网络设备，其中所述一个或多个处理器在执行所述动作时，将用以：更新所述内部分组的有效负载以创建响应分组，所述响应分组包括探测信息，所述探测信息标识与接收所述分组相关联的接收时间、和与向所述传输网络设备传输所述分组相关联的传输时间；以及经由所述隧道向所述传输网络设备发送所述响应分组。10.根据权利要求8所述的网络设备，其中所述一个或多个处理器在执行所述动作时，将用以：生成基于所述内部分组的响应有效负载；以及将所述响应有效负载与所述esp时间戳和所述虚拟源地址相关联地存储在数据结构中，以允许所述网络设备向来自所述传输网络设备的后续所接收的分组提供所述响应有效负载，所述后续所接收的分组包括所述内部分组。
11.根据权利要求8所述的网络设备，其中所述一个或多个处理器在执行所述动作时，将用以：将所述esp时间戳与所述虚拟源地址相关联地存储在数据结构中，以允许所述网络设备确定后续所接收的分组与所述传输网络设备相关联。12.根据权利要求8所述的网络设备，其中所述一个或多个处理器还将用以：经由所述网络设备与所述传输网络设备之间的所述多个隧道中的不同的隧道来接收附加分组，其中所述附加分组包括附加第一外部ip报头、附加gre报头、附加第二外部ip报头、附加esp报头、和附加内部分组，其中所述附加内部分组被所述附加esp报头封装，所述附加esp报头被所述附加第二外部ip报头封装，所述附加第二外部ip报头被所述附加gre报头封装，并且所述附加gre报头被所述附加第一外部ip报头封装；解封装所述附加分组以从所述附加分组移除所述附加第一外部ip报头和所述附加gre报头；在解封装所述附加分组之后，标识与所述附加esp报头相关联的esp时间戳；从数据结构获取与所述esp报头相关联的esp时间戳；基于与所述附加esp报头相关联的所述esp时间戳和与所述esp报头相关联的所述esp时间戳，确定所述附加内部分组是所述内部分组的副本；并且基于确定所述附加内部分组是所述内部分组的副本，使所述附加分组被丢弃；以及执行与经由所述不同的隧道对所述传输设备进行响应相关联的动作。13.根据权利要求12所述的网络设备，其中所述一个或多个处理器，在执行与经由所述不同的隧道对所述传输设备进行响应相关联的所述动作时，将用以：获取与所述esp时间戳相关联地被存储在所述数据结构中的响应有效负载，所述esp时间戳与所述esp报头相关联，其中所述响应有效负载与接收所述分组相关联地被存储；并且生成包括所述响应有效负载和探测信息的响应分组，所述探测信息包括：与接收所述附加分组相关联的接收时间，以及与经由所述不同的隧道对所述传输网络设备进行响应相关联的传输时间；以及经由所述不同的隧道来向所述传输网络设备发送所述响应分组。14.根据权利要求8所述的网络设备，其中所述分组是数据分组。15.一种非瞬态计算机可读介质，存储指令，所述指令包括：一个或多个指令，所述一个或多个指令在由网络设备的一个或多个处理器执行时，使所述一个或多个处理器：接收用于分组加密的加密密钥，所述分组加密与虚拟私有网络vpn相关联，其中所述加密密钥与解密密钥相关联，所述解密密钥由所述vpn的多个网络设备用于分组解密；使用所述密钥来加密分组以创建经加密的分组，其中所述经加密的分组包括外部互联网协议ip报头，所述外部ip报头包括虚拟源地址和第一虚拟目的地地址，所述虚拟源地址标识所述网络设备的虚拟隧道端点，所述第一虚拟目的地地址标识第一接收网络设备的虚
拟隧道端点；复制所述经加密的分组以创建多个经加密的分组，所述多个经加密的分组包括与所述第一接收网络设备相关联的经加密的分组的第一集合、和将与第二接收网络设备相关联的经加密的分组的第二集合；通过将所述多个经加密的分组的所述第二集合中的所述第一虚拟目的地地址替换为第二虚拟目的地地址来修改所述经加密的分组的第二集合，所述第二虚拟目的地地址标识所述第二接收网络设备的虚拟隧道端点；基于隧道化协议来封装所述经加密的分组的第一集合和所述经加密的分组的第二集合，以创建多个经封装经加密的分组；以及基于所述第一虚拟目的地地址和所述第二虚拟目的地地址来向所述第一接收网络设备或者所述第二接收网络设备发送所述多个经封装经加密的分组中的个体经封装经加密的分组。16.根据权利要求15所述的非瞬态计算机可读介质，其中使所述一个或多个处理器发送所述个体经封装经加密的分组的所述一个或多个指令，使所述一个或多个处理器：基于所述多个经封装经加密的分组中的经封装经加密的分组的第一集合包括所述第一虚拟目的地地址，经由所述网络设备与所述第一接收网络设备之间的第一多个隧道中的个体指定隧道来发送所述经封装经加密的分组的第一集合；以及基于所述多个经封装经加密的分组中的经封装经加密的分组的第二集合包括所述第二虚拟目的地地址，经由所述网络设备与所述第二接收网络设备之间的第二多个隧道中的个体指定隧道来发送所述经封装经加密的分组的第二集合。17.根据权利要求15所述的非瞬态计算机可读介质，其中使所述一个或多个处理器加密所述分组以创建所述经加密的分组的所述一个或多个指令，使所述一个或多个处理器：使用封装安全性有效负载esp协议来加密所述分组以创建所述经加密的分组，其中所述经加密的分组包括所述外部ip报头和esp报头。18.根据权利要求15所述的非瞬态计算机可读介质，其中使所述一个或多个处理器加密所述分组以创建所述经加密的分组的所述一个或多个指令，使所述一个或多个处理器：使用封装安全性有效负载esp协议来加密所述分组以创建所述经加密的分组，其中所述经加密的分组包括标识加密所述分组的定时的esp时间戳。19.根据权利要求15所述的非瞬态计算机可读介质，其中所述多个经封装经加密的分组根据通用路由封装gre隧道化协议而被封装。20.根据权利要求15所述的非瞬态计算机可读介质，其中所述经封装经加密的分组的第一集合的数量与第一多个隧道的数量对应，所述第一多个隧道被配置在所述网络设备与所述第一接收设备之间，并且其中所述经封装经加密的分组的第二集合的数量与第二多个隧道的数量对应，所述第二多个隧道被配置在所述网络设备与所述第二接收设备之间。

技术总结
本公开的实施例涉及经由虚拟私有网络传达的重复分组的高效加密和解密。一种网络设备可以创建经加密的分组，并且可以复制经加密的分组以创建多个经加密的分组，该多个经加密的分组包括与第一接收网络设备相关联的经加密的分组的第一集合和将与第二接收网络设备相关联的经加密的分组的第二集合。网络设备可以通过将多个经加密的分组的第二集合中的第一虚拟目的地地址替换为第二虚拟目的地地址来修改经加密的分组的第二集合，该第二虚拟目的地地址标识第二接收网络设备的虚拟隧道端点。网络设备可以封装、并且基于第一虚拟目的地地址和第二虚拟目的地地址来向第一接收网络设备或者第二接收网络设备发送个体经封装经加密的分组。密的分组。密的分组。


技术研发人员：G
受保护的技术使用者：瞻博网络公司
技术研发日：2021.04.12
技术公布日：2021/11/4