虚拟专用网(VPN，Virtual Private Network)，是在公共网络中建立专用数据通信网络的技术。VPN为特定的企业或用户群体专用，对于VPN用户，使用VPN与使用传统专网没有区别。VPN作为私有专网，一方面与底层承载网络之间保持资源独立性，即，一般情况下，VPN资源不被网络中其它VPN或非该VPN用户的网络成员所使用；另一方面，VPN提供一定的安全性，确保VPN内部信息不受外部的侵扰。VPN能够在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的安全连接，保证数据传输的安全性。这对于实现电子商务或金融网络与通讯网络的融合特别重要。
传统VPN的基本原理是利用隧道技术，把数据封装在隧道协议中，利用已有的公网如Internet、PSTN、ISDN等建立专用数据传输通道，从而实现报文的透明传输。一些传统的隧道包括：
1、通用路由封装(GRE，Generic Routing Encapsulation)隧道
GRE隧道使用GRE协议来封装原始数据报文(VPN报文)，其本身基于公共IP网络，实现数据的透明传输。GRE隧道不能配置二层信息，但可以配置IP地址，利用隧道上配置的实际物理接口完成转发：所有去往VPN远端的报文先发送到隧道(Tunnel)；在Tunnel上进行GRE封装，填写Tunnel建立时确定的隧道源地址和目的地址；再通过IP网络转发到VPN远端。
2、因特网协议安全(IPSec，IP Security)隧道
IPSec协议是由一组RFC文档组成，定义了一个系统来提供安全协议选择、安全算法，确定服务所使用密钥等服务，从而在IP层提供安全保障。它给出了应用于IP层上网络数据安全的一整套体系结构，包括网络安全协议(AH，Authentication Header)和封装安全载荷协议(ESP，Encapsulating SecurityPayload)、因特网密钥交换(IKE，Internet Key Exchange)协议和用于网络验证及加密的一些算法等。IPSec对IP数据流进行筛选，以决定哪些数据是需要加密的，当有数据报文需要加密时，即建立IPSec加密隧道传输该数据报文。
除了上述传统的VPN技术，还有一种VPN路由转发多实例(VPN Routingand Forwarding Instances)技术，简称VPN多实例。所谓VPN多实例，指的是在同一台物理路由器上，同时具有多个VPN空间，各VPN空间相互隔离。VPN路由转发(VRF，VPN Routing and Forwarding)表代表一个独立的VPN空间，每个VPN空间具有独立的三层路由表。因此，每个VRF表对应一个VPN实例，相当于一个逻辑上的路由器。
现有的VPN多实例接入是基于RFC2547的边界网关协议/多协议标记交换协议虚拟专用网(BGP/MPLS VPN)技术。其中MPLS VPN则是指基于MPLS(多协议标签交换)技术构建的虚拟专用网，即采用MPLS技术，在IP网络上构建企业IP专网。与传统VPN不同，MPLS VPN不依靠封装和加密技术，而是依靠转发表和数据包的标记来创建一个安全的VPN。图1所示为现有技术的MPLS VPN的基本结构。图1中，CE(Customer Edge)设备是指用户网络边缘设备。CE“感知”不到VPN的存在，可以不支持MPLS。PE(ProviderEdge)路由器是服务提供商边缘路由器，PE负责对VPN用户进行管理。P(Provider)路由器为服务提供商网络中的骨干路由器。P设备只需要具备基本MPLS转发能力。可以看出，当前的BGP/MPLS VPN多实例接入涉及的设备众多，管理复杂，其接入成本非常高，只适合于运营商接入或大型企业网接入，绝大多数中小型的企业无力构建这样一个BGP/MPLS VPN网络。
企业最常用的组网方式就是星型组网。以企业总部为核心，将多个企业分支节点通过VPN隧道接入到总部。但这种技术的前提是企业只能有一个VPN空间，即企业只能有一个VPN实例。
随着企业业务的发展和信息技术的进步，同一个企业内部也出现了多个VPN实例的需求。例如：企业的办公、生产和财务这3个业务彼此没有直接关联，生产、财务的安全级别高于办公业务，因此希望普通办公业务不能访问生产、财务业务，以保证生产、财务业务的安全。另外，生产业务的流量大，而财务业务安全级别高，也希望能够彼此隔离，以便保证生产业务的流量不受干扰。这样就对网络提出了两个要求：第一是严格的身份认证；第二是不同身份的用户之间保证业务隔离。这其中的关键就在于如何保证通过了严格身份认证的用户能够准确地接入到对应的VPN实例中。
现有的IP GRE VPN与VRF结合能够实现VPN多实例的接入功能，但由于GRE VPN没有身份认证功能，所以不能对接入的用户进行身份认证，从而无法实现VPN的多实例安全接入，不能保证企业的组网安全。

本发明所要解决的技术问题是提供一种虚拟专用网多实例安全接入的方法及设备，对接入节点进行身份认证，并根据接入节点的身份，确定该接入节点对应的VPN实例，从而提高了VPN多实例接入的安全性。
为解决上述技术问题，本发明提供方案如下：
一种虚拟专用网VPN多实例安全接入的方法，当分支节点的上行数据，需要经由本分支节点和总部节点之间的通用路由封装GRE隧道在本分支节点处的GRE隧道接口发送时，分支节点根据配置在所述GRE隧道接口上的因特网协议安全IPSec策略，触发本分支节点和总部节点之间的因特网密钥交换IKE自动协商，其中，所述GRE隧道与总部节点上多个VPN实例中的一个VPN实例相对应，所述IPSec策略中包括在IKE自动协商中使用本节点的认证机构CA证书进行身份认证的规则；
在所述IKE自动协商的过程中，所述分支节点和总部节点分别根据对方节点的CA证书，对对方身份进行认证，并在相互认证通过以后，在所述分支节点和总部节点之间建立IPSec隧道；
分支节点对所述上行数据先后进行IPSec封装和GRE封装，再通过所述GRE隧道发送至总部节点。
本发明所述的方法，其中，所述IPSec策略的配置包括：对所有需要经由所述分支节点的GRE隧道接口发送的数据流，都配置为需要IPSec保护；配置通过IKE自动协商方式建立安全联盟；配置在所述IKE自动协商中采用公共密钥基础设施PKI方式进行身份认证；配置所述PKI的域信息。
本发明所述的方法，其中，所述触发本分支节点和总部节点之间的因特网密钥交换IKE自动协商包括：分支节点根据所述IPSec策略，判断所述上行数据是否需要IPSec保护，并在所述上行数据需要被保护时，触发所述IKE自动协商。
本发明所述的方法，其中，在所述IPSec隧道建立之前，所述分支节点或总部节点根据自身预先配置的PKI的域信息，获取各自的所述CA证书。
本发明所述的方法，其中，还包括以下步骤：
总部节点接收来自所述GRE隧道的所述上行数据，对所述上行数据解GRE封装和解IPSec封装，并根据所述GRE隧道对应的VPN实例，对解封装后的上行数据进行转发处理。
本发明所述的方法，其中，还包括以下步骤：
当总部节点的下行数据，需要经由所述GRE隧道在本总部节点处的GRE隧道接口发送时，总部节点对所述下行数据先后进行IPSec封装和GRE封装，再通过所述GRE隧道发送出去；
所述分支节点接收来自所述GRE隧道的所述下行数据，对所述下行数据解GRE封装和解IPSec封装，再对解封装后的下行数据进行转发处理。
本发明所述的方法，其中，所述GRE隧道与总部节点上多个VPN实例中的一个VPN实例相对应是：所述GRE隧道通过该GRE隧道在总部节点处的GRE隧道接口，与所述多个VPN实例中的一个VPN实例相对应。
本发明所述的方法，其中，所述总部节点作为中心，通过星形连接的方式分别与多个所述分支节点连接。
本发明还提供了一种分支节点，包括：
GRE隧道建立单元，用于建立本分支节点与总部节点之间的GRE隧道；
IPSec策略配置单元，用于在本分支节点的GRE隧道接口上配置IPSec策略，所述IPSec策略中包括在IKE自动协商中使用本节点的CA证书进行身份认证的规则；
IPSec隧道建立单元，用于在分支节点的上行数据需要经由本分支节点的GRE隧道接口发送时，触发本分支节点和总部节点之间的IKE自动协商，在所述IKE自动协商过程中根据总部节点的CA证书对对总部节点进行身份认证，并在本分支节点和总部节点之间的相互认证通过以后，在本分支节点和总部节点之间建立IPSec隧道；
发送单元，用于在所述IPSec隧道建立单元建立IPSec隧道后，对所述上行数据先后进行IPSec封装和GRE封装，再经由所述GRE隧道建立单元建立的GRE隧道发送出去。
本发明所述的分支节点，其中，所述IPSec策略配置单元所配置的所述IPSec策略还包括有：对所有需要经由所述分支节点的GRE隧道接口发送的数据流，都配置为需要IPSec保护；配置通过IKE自动协商方式建立安全联盟；配置在所述IKE自动协商中采用公共密钥基础设施PKI方式进行身份认证；配置所述PKI的域信息。
本发明所述的分支节点，其中，还包括：
接收单元，用于接收来自GRE隧道的下行数据，并对所述下行数据进行解GRE封装和解IPSec封装；
转发单元，用于对所述接收单元解封装后的下行数据进行转发处理。
本发明还提供了一种总部节点，包括：
GRE隧道建立单元，用于建立本总部节点与各分支节点之间的GRE隧道；
VPN实例单元，用于建立多个VPN实例，并保存每条GRE隧道与唯一一个VPN实例之间的对应关系；
IPSec策略配置单元，用于在本总部节点的GRE隧道接口上配置IPSec策略，所述IPSec策略中包括在IKE自动协商中使用本节点的CA证书进行身份认证的规则；
IPSec隧道建立单元，用于响应分支节点发起IKE自动协商，在所述IKE自动协商过程中根据所述分支节点的CA证书对对所述分支节点进行身份认证，并在本总部节点和所述分支节点之间的相互认证通过以后，在本总部节点和所述分支节点之间建立IPSec隧道。
本发明所述的总部节点，其中，还包括：
接收单元，用于接收来自GRE隧道的上行数据，并对所述上行数据进行解GRE封装和解IPSec封装；
转发单元，用于根据传输所述上行数据的GRE隧道对应的VPN实例，对解封装后的上行数据进行转发处理。
本发明所述的总部节点，其中，还包括：
发送单元，用于对需要经由本总部节点的GRE隧道接口发送的下行数据，先后进行IPSec封装和GRE封装，再通过所述GRE隧道发送出去。
从以上所述可以看出，本发明提供的虚拟专用网多实例安全接入的方法及设备，通过分别将CA证书与IPSec隧道，IPSec隧道与GRE隧道，GRE隧道接口与VPN实例相绑定，最终形成了CA证书和VPN实例之间的对应关系，最终使得可以根据节点CA证书，唯一确定与该节点所对应的VPN实例。这样，在VPN多实例接入过程中，通过CA证书对节点身份进行认证，提高了节点接入的安全性，避免了非法用户的接入的同时，也确保各VPN实例之间的隔离关系。并且，本实施例中还通过IPSec隧道对分支节点和总部节点之间的数据进行加密，提高了数据传输过程中的安全性，避免了数据被非法监听。

图1为现有技术的MPLS VPN的基本结构示意图；
图2为本发明所述实施例中VPN多实例安全接入隧道层次示意图；
图3为本发明所述实施例中IPSec over GRE隧道中数据报文的其中一种封装结构示意图；
图4为本发明实施例所述VPN多实例安全接入的方法的流程图；
图5为本发明实施例所述分支节点的结构示意图；
图6为本发明实施例所述总部节点的结构示意图。

本发明的核心思想在于：建立分支节点的公钥证书与VPN实例之间的对应关系，通过公钥证书识别接入节点的身份，并确定该分支节点对应的VPN实例，使得只有通过身份认证的分支节点才能准确地接入到该分支节点对应的VPN实例中，从而提高VPN多实例接入的安全性。以下结合附图通过具体实施例对本发明做详细的说明。
公钥证书，又称作认证机构(CA，Certification Authority)证书，是由权威的、可信赖的、公正的第三方机构认证机构负责发放的数字证书。CA证书认证是目前安全级别最高的认证方式，本实施例中采用CA证书对分支节点进行认证。虽然GRE VPN与VRF结合能够实现VPN多实例的接入功能，但GRE隧道等其他的IP VPN隧道是无法与CA证书绑定的，而IPSec隧道可以与CA证书绑定。因此，本实施例在GRE隧道的基础之上，再构建一个IPSec隧道，即IPSec over GRE隧道，将IPSec隧道与GRE隧道一对一地捆绑在一起。
图2为本实施例中VPN多实例安全接入隧道层次示意图。本实施例中，总部节点作为星形网络的中心，通过星形连接的方式分别与各个分支节点连接。总部节点处建立有多个VPN实例。如图2所示，分支节点1对应于VPN实例1，通过分支节点1的CA证书可以唯一标识该节点的身份；IPSec隧道建立在GRE隧道之上，并且，在IPSec隧道与CA证书之间建立绑定关系；在总部节点处，GRE隧道接口与各VPN实例相对应。这样，通过接入节点的CA证书与IPSec隧道、IPSec隧道与GRE隧道、GRE隧道接口与VPN实例之间的绑定(或对应)关系，最终形成了接入节点的CA证书与VPN实例之间的对应关系。
图3所示为IPSec over GRE隧道中数据报文的其中一种封装示意图。首先，对原始数据报文进行IPSec封装，即在原始数据报文前增加了AH报头和新IP报头；然后，对IPSec封装后的报文进一步进行GRE封装，即增加了GRE报头；最后，经过上述封装后的报文根据传输协议，再增加相应的传输协议报头后，即可在网络中通过GRE隧道传输至隧道远端。
以下再通过图4对本实施例所述VPN多实例安全接入的方法作进一步说明，如图4所示，所述方法具体包括以下步骤：
步骤401，总部节点建立多个VPN实例，其中，每个VPN实例对应于一个VRF表。
步骤402，分别在总部节点和各个分支节点配置GRE隧道接口，在总部节点和各个分支节点之间建立静态GRE隧道。
步骤403，将每条GRE隧道在总部节点处的GRE隧道接口与唯一一个VPN实例相关联，即在总部节点处，将GRE隧道接口与唯一一个VPN实例相关联(绑定)。
步骤404，在总部节点和分支节点处配置公开密钥基础设施(PKI，PublicKey Infrastructure)的域信息，所述PKI的域信息中包括认证机构等信息，从而节点可以根据所配置的PKI的域信息，向认证机构申请并得到CA证书。
步骤405，在总部节点和分支节点处配置IPSec策略，使用IKE自动协商，并且所述IPSec策略中包括在IKE自动协商中使用本节点的CA证书进行身份认证的规则。IPSec支持的认证方式包括CA证书认证和预置共享密钥认证等方式。这里，通过选择CA证书认证方式，并根据步骤404中所配置的PKI的域信息可获取到节点的CA证书，从而将IPSec隧道与本节点的CA证书相绑定。
这里，所述IPSec策略的配置具体包括：对所有需要经由本分支节点的所述GRE隧道接口发送的数据流，都配置为需要IPSec保护；配置通过IKE自动协商方式建立安全联盟；配置在所述IKE自动协商中采用公共密钥基础设施PKI方式进行身份认证；配置所述PKI的域信息。
步骤406，在总部节点和分支节点处，将步骤405中配置的IPSec策略配置到GRE隧道接口上。
通过步骤405和步骤406，在总部节点和分支节点之间的GRE隧道两端节点上的GRE隧道接口上应用了IPSec策略。
步骤407，当分支节点有去往总部节点的数据(简称上行数据)时，分支节点查找路由，得知所述上行数据的出接口是GRE隧道接口；由于IPSec策略配置在GRE隧道接口上，此时，分支节点将所述IPSec策略与所述上行数据相匹配，用以判断所述上行数据是否需要IPSec保护：如果不需要保护，则所述上行数据直接经GRE封装，然后通过GRE隧道发送至总部节点；如果需要保护，则触发IKE自动协商；总部响应IKE自动协商，在IKE自动协商过程中，由于在IPSec策略中预定规定了使用CA证书进行认证，因此，分支节点与总部节点分别根据自身所配置的PKI的域信息，获取各自的CA证书，然后，通过相互交换本节点的CA证书，分别对对方身份进行认证。CA证书可以是预先由认证机关颁发并保存在节点本地的，通过在PKI的域信息中指定CA证书的保存目录，这样，节点就可以根据PKI的域信息获取到CA证书。
这里，可以在IPSec策略中设置访问控制列表(ACL，Access Control List)规则，来决定哪些数据是需要加密的，当有数据报文匹配所定义的ACL规则时，即触发IKE自动协商，以建立IPSec加密隧道传输该数据报文。为了保证接入的安全性，本实施例中可以通过配置“permit IP source any destination any”的ACL规则，对所有经由所述分支节点的GRE隧道接口发送的数据都配置为需要IPSec保护，从而可以在IPSec隧道建立过程中的IKE自动协商过程中对该分支节点进行身份认证，提高接入的安全性。
步骤408，在相互认证通过以后，在所述分支节点和总部节点之间建立IPSec隧道。由于该IPSec隧道的建立是和所述分支节点的CA证书相关联的，因此，所述分支节点的CA证书和该IPSec隧道之间存在对应关系。
这里，由于所述分支节点的GRE隧道接口对应于GRE隧道，在步骤408中建立所述IPSec隧道后，该IPSec隧道存在唯一一条与之对应的GRE隧道。所述IPSec隧道是承载在所述GRE隧道之上，所以，这里实际上建立的是一条IPSec over GRE隧道。
步骤409，所述上行数据先后进行IPSec封装和GRE封装，再通过GRE隧道发送出去，即，上行数据在经过IPSec over GRE的隧道封装后，直接透传到总部节点。总部节点接收所述上行数据后，并对所述上行数据进行解GRE封装和解IPSec封装，并根据接收到所述上行数据的GRE隧道接口所关联的VPN实例，对解封装后的上行数据进行转发处理。
步骤410，对于总部节点去往分支节点的数据(简称下行数据)，总部节点在VRF表中查找路由，发现所述下行数据的出接口是GRE隧道接口。由于在所述GRE隧道之上还建立有IPSec隧道，因此，总部节点对所述下行数据先后进行IPSec封装和GRE封装，再通过所述GRE隧道发送至所述分支节点，所述分支节点接收到所述下行数据后，对所述下行数据解GRE封装和解IPSec封装，再对解封装后的下行数据进行转发处理。
以上说明了分支节点接入总部节点的过程。可以看出，为了提高节点接入的安全性，本实施例中采用CA证书，对节点进行身份认证。由于GRE隧道无法与CA证书绑定，因此，本实施例在GRE隧道之上建立了一个与该GRE隧道相绑定的IPSec隧道，再将节点的CA证书与IPSec隧道相绑定，从而形成了节点的CA证书->IPSec隧道->GRE隧道->VPN实例这样一种对应关系，最终使得可以根据节点CA证书，唯一确定与该节点所对应的VPN实例。从而实现了在VPN多实例接入过程中，通过CA证书对节点身份进行认证，提高了节点接入的安全性，避免了非法用户的接入；同时，也确保各VPN实例之间的隔离关系。并且，本实施例中还通过IPSec隧道对分支节点和总部节点之间的数据进行加密，提高了数据传输过程中的安全性，避免了数据被非法监听。
基于上述VPN多实例安全接入的方法，本实施例还相应地提供了一种分支节点和总部节点。
如图5所示，本实施例所述分支节点包括：
GRE隧道建立单元，用于配置GRE隧道接口，建立本分支节点与总部节点之间的GRE隧道；
IPSec策略配置单元，用于在本分支节点的GRE隧道接口上配置IPSec策略，所述IPSec策略中包括在IKE自动协商中使用本节点的CA证书进行身份认证的规则；
IPSec隧道建立单元，用于在分支节点的上行数据需要经由本分支节点的GRE隧道接口发送时，触发本分支节点和总部节点之间的IKE自动协商，在所述IKE自动协商过程中根据总部节点的CA证书对对总部节点进行身份认证，并在本分支节点和总部节点之间的相互认证通过以后，在本分支节点和总部节点之间建立IPSec隧道；
发送单元，用于在所述IPSec隧道建立单元建立IPSec隧道后，对所述上行数据先后进行IPSec封装和GRE封装，再经由所述GRE隧道建立单元建立的GRE隧道发送出去。
接收单元，用于接收来自GRE隧道的下行数据，并对所述下行数据进行解GRE封装和解IPSec封装；
转发单元，用于对所述接收单元解封装后的下行数据进行转发处理。
这里，所述IPSec策略配置单元，还可以进一步用于对所有需要经由本分支节点的GRE隧道接口发送的数据流，都配置为需要IPSec保护；配置通过IKE自动协商方式建立安全联盟；配置在所述IKE自动协商中采用公共密钥基础设施PKI方式进行身份认证；以及配置所述PKI的域信息。
如图6所示，本实施例所述总部节点包括：
GRE隧道建立单元，用于配置GRE隧道接口，建立本总部节点与各分支节点之间的GRE隧道；
VPN实例单元，用于建立多个VPN实例，并保存每条GRE隧道与唯一一个VPN实例之间的对应关系；
IPSec策略配置单元，用于在本总部节点的GRE隧道接口上配置IPSec策略，所述IPSec策略中包括在IKE自动协商中使用本节点的CA证书进行身份认证的规则；
IPSec隧道建立单元，用于响应分支节点发起IKE自动协商，在所述IKE自动协商过程中根据所述分支节点的CA证书对对所述分支节点进行身份认证，并在本总部节点和所述分支节点之间的相互认证通过以后，在本总部节点和所述分支节点之间建立IPSec隧道；
接收单元，用于接收来自GRE隧道的上行数据，并对所述上行数据进行解GRE封装和解IPSec封装；
转发单元，用于根据传输所述上行数据的GRE隧道对应的VPN实例，对解封装后的上行数据进行转发处理。
发送单元，对需要经由本总部节点的GRE隧道接口发送的下行数据，先后进行IPSec封装和GRE封装，再通过所述GRE隧道发送出去。
综上所述，本发明实施例所述虚拟专用网多实例安全接入的方法及设备，在IPSec隧道建立时，通过在IKE自动协商过程中交互CA证书，对分支节点进行身份认证，从而提高了VPN多实例接入的安全性。
本发明所述虚拟专用网多实例安全接入的方法及设备，并不仅仅限于说明书和实施方式中所列运用，它完全可以被适用于各种适合本发明之领域，对于熟悉本领域的人员而言可容易地实现另外的优点和进行修改，因此在不背离权利要求及等同范围所限定的一般概念的精神和范围的情况下，本发明并不限于特定的细节、代表性的设备和这里示出与描述的图示示例。