WO2013166696A1 - 数据传输方法、系统及装置 - Google Patents

Abstract

一种数据传输方法，应用于虚拟专用网VPN中，包括：发起方客户端向VPN服务器查询所述发起方客户端和应答方客户端的外网IP地址；发起方客户端通过VPN服务器与应答方客户端进行密钥协商；密钥协商完成后，发起方客户端将发起方客户端的外网IP地址写入待发送UDP报文的源地址字段中、将所述应答方客户端的外网IP地址写入待发送UDP报文的目的地址字段中，并中据协商得到的密钥对待发送UDP报文进行加密；发起方客户端向所述应答方客户端发送加密后的UDP报文，与所述应答方客户端直接进行报文交互。本发明在密钥协商完成后发起方客户端和应答方客户端之间的消息无需VPN服务器进行转发，因此减轻了VPN服务器的处理负荷。

Description

数据传输方法、 系统及装置 技术领域

本发明涉及计算机及通信技术领域， 尤其涉及一种数据传输方法、 一种 发起方客户端设备、一种虚拟专用网（VPN, Virtual Private Network )服务器、 一种应答方客户端设备和一种数据传输系统。 背景技术

用户数据艮协议 ( UDP, User Datagram Protocol )是一种无连接的传输层 协议， 提供面向事务的简单不可靠信息传送服务， 适用于单次只传输少量数 据， 对可靠性要求不高的应用环境。

端对端 UDP通信通常通过服务器转发来实现， 在 VPN场景下， VPN客 户端 （后面将简称为客户端） 不知晓对端客户端的外网 IP地址， 在待发送的 UDP报文的目的地址字段中填写对端客户端的内网 IP地址。发起方客户端发 送给应答方客户端的 UDP报文首先被发送到 VPN服务器， VPN服务器再将 该 UDP 文发送至应答方客户端， 应答方客户端返回的 UDP 文也执行类 似的转发处理。

发明人在实现本发明的过程中发现， 现有技术至少存在如下问题： 由于 两个 VPN客户端之间的所有报文都需要通过 VPN服务器进行转发， 在同一 时间段客户端数目较多、 或者客户端之间传送的报文数量较多时， VPN服务 器的处理负荷将会加重， 这将进一步导致丟包率增加、 报文的传送延时增长。 发明内容

本发明实施例提供一种数据传输方法， 用以解决现有 VPN场景下， 在客 户端之间端到端通信过程中， 对 VPN服务器造成的处理负荷较大的问题。

对应地，本发明实施例还提供了一种发起方客户端设备、应答方客户端设 备、 一种 VPN服务器和一种数据传输系统。 本发明实施例提供的技术方案如下：

一种数据传输方法， 应用于虚拟专用网 VPN中， 包括：

发起方客户端向 VPN服务器查询所述发起方客户端和应答方客户端的外 网 IP地址；

发起方客户端通过 VPN服务器与应答方客户端进行密钥协商； 密钥协商完成后， 发起方客户端将所述发起方客户端的外网 IP地址写入 待发送用户数据报协议 UDP报文的源地址字段中、 将所述应答方客户端的外 网 IP地址写入待发送 UDP报文的目的地址字段中，并根据协商得到的密钥对 待发送 UDP 文进行加密；

发起方客户端向所述应答方客户端发送加密后的 UDP报文， 与所述应答 方客户端直接进行报文交互。

一种数据传输方法， 应用于 VPN中， 包括：

VPN服务器根据预先存储的各客户端的外网 IP地址， 向发起方客户端提 供所查询的所述发起方客户端和应答方客户端的外网 IP地址；

在所述发起方客户端和应答方客户端进行密钥协商过程中， 将所述发起 方客户端发送的消息转发给所述应答方客户端， 以及将所述应答方客户端返 回的消息转发给所述发起方客户端。

一种数据传输方法， 应用于 VPN中， 包括：

应答方客户端通过 VPN服务器与发起方客户端进行密钥协商； 密钥协商完成后， 应答方客户端从接收到的所述发起方客户端发送的 UDP报文中提取所述发起方客户端和应答方客户端的外网 IP地址；

应答方客户端将所述应答方客户端的外网 IP地址写入待发送 UDP报文的 源地址字段中，将所述发起方客户端的外网 IP地址写入待发送 UDP报文的目 的地址字段中， 并根据协商得到的密钥对待发送 UDP报文进行加密；

应答方客户端向所述发起方客户端发送加密后的 UDP报文， 与所述发起 方客户端直接进行报文交互。

一种发起方客户端设备， 包括： 查询单元， 用于向 VPN服务器查询所述发起方客户端和应答方客户端的 夕卜网 IP地址；

第一密钥协商单元，用于通过 VPN服务器与应答方客户端进行密钥协商； 第一报文交互单元， 用于在密钥协商完成后， 将所述发起方客户端的外 网 IP地址写入待发送用户数据报协议 UDP报文的源地址字段中、 将所述应 答方客户端的外网 IP地址写入待发送用户数据报协议 UDP报文的目的地址字 段中， 并根据协商得到的密钥对待发送 UDP报文进行加密； 向所述应答方客 户端发送加密后的 UDP报文， 与所述应答方客户端直接进行报文交互。

一种 VPN服务器， 包括：

地址查询单元， 用于根据预先存储的各客户端的外网 IP地址， 向发起方 客户端提供所查询的所述发起方客户端和应答方客户端的外网 IP地址；

转发单元， 用于在所述发起方客户端和应答方客户端进行密钥协商过程 中， 将所述发起方客户端发送的消息转发给所述应答方客户端， 以及将所述 应答方客户端返回的消息转发给所述发起方客户端。

一种应答方客户端设备， 包括：

第二密钥协商单元，用于通过 VPN服务器与发起方客户端进行密钥协商； 第二报文交互单元， 用于密钥协商完成后， 从接收到的所述发起方客户 端发送的 UDP报文中提取所述发起方客户端和应答方客户端的外网 IP地址； 将所述应答方客户端的外网 IP地址写入待发送 UDP报文的源地址字段中，将 所述发起方客户端的外网 IP地址写入待发送 UDP报文的目的地址字段中，并 根据协商得到的密钥对待发送 UDP报文进行加密； 向所述发起方客户端发送 加密后的 UDP报文， 与所述发起方客户端直接进行报文交互。

一种数据传输系统，应用于 VPN中， 包括前面所述的发起方客户端设备、 的 VPN服务器和应答方客户端设备。

本发明实施例通过发起方客户端首先从 VPN服务器中查询获得所述发起 方客户端和应答方客户端的外网 IP地址，然后通过 VPN服务器与应答方客户 端进行密钥协商。发起方客户端根据得到的通信双方的外网 IP地址，构建 UDP 报文， 并利用协商得到的密钥对 UDP报文进行加密， 将加密后的 UDP报文 发送至应答方客户端， 从而实现与应答方客户端直接通信。 在密钥协商完成 后发起方客户端和应答方客户端之间的消息无需 VPN服务器进行转发， 因此 减轻了 VPN服务器的处理负荷。 附图说明 施例或现有技术描述中所需要使用的附图作一简单地介绍， 显而易见地， 下 面描述中的附图是本发明的一些实施例， 对于本领域普通技术人员来讲， 在 不付出创造性劳动的前提下， 还可以根据这些附图获得其他的附图。

图 1为本发明实施例应用场景以及消息交互过程的示意图；

图 2为本发明实施例一提供的数据传输方法的流程图；

图 3为本发明实施例一提供的数据传输方法中， 外网 IP地址查询过程的 示意图；

图 4为本发明实施例二提供的数据传输方法的流程图；

图 5为本发明实施例二提供的数据传输方法中， 外网 IP地址查询过程的 示意图；

图 6为本发明实施例三提供的数据传输方法的流程图；

图 7a为本发明实施例四提供的数据传输方法的流程图；

图 7b为本发明实施例五提供的数据传输过程应用场景的示意图； 图 7c为本发明实施例五提供的数据传输过程的时序图；

图 8为本发明实施例六提供的发起方客户端设备的结构示意图； 图 9为本发明实施例六提供的 VPN服务器的结构示意图；

图 10为本发明实施例六提供的应答方客户端设备的结构示意图。 具体实施方式

由于现有 VPN场景下， 客户端之间的端对端 UDP通信都要通过服务器 转发来实现， VPN服务器的处理负荷较大。 本发明实施例提出了一种数据传 输方法， 为减轻 VPN场景下客户端之间的端对端通信过程中， VPN服务器的 处理负荷提出了可行的解决方案。

下面结合各个附图对本发明实施例技术方案的主要实现原理、 具体实施 方式及其对应能够达到的有益效果进行详细的阐述。

实施例一

在本实施例中， 将从发起方客户端的角度对本发明实施例提供的数据传 输方法进行描述。

附图 1为本发明实施例应用的 VPN场景的示意图， 包括客户端 1、 VPN 服务器和客户端 2, 需要说明的是， 同一个客户端可以在一次通信过程中作为 发起方， 在另一次通信过程中作为应答方。 在本实施例中， 以客户端 1 为发 起方客户端， 客户端 2为应答方客户端为例对数据传输方案进行描述。

如图 2所示， 本发明实施例提供的数据传输方法的流程如下：

步骤 210, 发起方客户端向 VPN服务器查询所述发起方客户端和应答方 客户端的外网 IP地址， 所述外网 IP地址是互联网中唯一的。

可选地， 发起方客户端可以根据所述发起方客户端的标识、 应答方客户 端的标识从 VPN服务器查询对应的外网 IP地址，所述发起方客户端的标识是 发起方客户端在登录 VPN服务器时被分配的， 所述应答方客户端的标识是应 答方客户端在登录 VPN服务器时被分配的。 在 VPN场景下客户端 （既可以 是发起方客户端也可以是应答方客户端）在登录 VPN服务器时， 在登录请求 消息中携带自身的外网 IP地址， VPN服务器在为登录的客户端（既可以是发 起方客户端也可以是应答方客户端）分配标识、 并将分配的标识通过登录响 应消息通知客户端之后， 建立并存储客户端 （既可以是发起方客户端也可以 是应答方客户端）的外网 IP地址与客户端标识之间的对应关系以备后续查询。 釆用这种查询方式时， 具体查询流程如附图 3所示：

步骤 310, 发起方客户端向 VPN服务器发送查询请求消息， 所述查询请 求消息中携带发起方客户端的标识和应答方客户端的标识； 所述发起方客户端的标识可以是发起方客户端从登录时， VPN服务器返 回的登录响应消息中提取的， 而应答方客户端的标识可以是发起方客户端根 据业务需要预先从 VPN服务器中查询获得的。

步骤 320, 发起方客户端接收 VPN服务器返回的查询响应消息， 并从所 述查询响应消息中提取发起方客户端的外网 IP地址和应答方客户端的外网 IP 地址。

除此之外， 发起方客户端也可以先获取发起方客户端的内网 IP地址、 应 答方客户端的内网 IP地址（具体获取方式前面与发起方客户端和应答方客户 端标识的获取方式类似），然后根据所述发起方客户端的内网 IP地址、应答方 客户端的内网 IP地址从 VPN月良务器查询对应的外网 IP地址。所述内网 IP地 址， 即虚拟 IP地址， 是指客户端在登录 VPN服务器时被分配的 IP地址， 客 户端的内网 IP地址在所属 VPN中是唯一的 ,但不同 VPN中虚拟 IP地址可以 重复。 在 VPN场景下， VPN服务器为了进行消息转发， 在客户端登录 VPN 服务器时， 会为用户分配内网 IP地址、 并将分配的标识通过登录响应消息通 知客户端。 VPN服务器从客户端的登录请求消息中提取携带的外网 IP地址， 后续查询。

步骤 220,发起方客户端通过 VPN服务器与应答方客户端进行密钥协商。 可选地， 在进行密钥协商时， 所协商的可以是对称密钥， 例如基于对称 密钥加密 （DES, Data Encryption Standard )算法生成的密钥， 也可以是非对 称密钥， 在这里不进行限定。

由于在密钥协商过程中， 发起方客户端和应答方客户端所交互的消息都 是通过 VPN服务器转发的， 因此消息的安全性可以得到保证， 从而使后续发 起方客户端和接收方客户端之间， 基于密钥协商过程获得的密钥进行的直接 通信的安全性也可以得到保证。

步骤 230, 密钥协商完成后，发起方客户端将所述发起方客户端的外网 IP 地址写入待发送 UDP报文的源地址字段中、 将所述应答方客户端的外网 IP 地址写入待发送 UDP报文的目的地址字段中， 并根据协商得到的密钥对待发 送 UDP报文进行加密。

可选地， 若发起方客户端和应答方客户端密钥协商得到的密钥是对称密 钥， 则步骤 230中发起方客户端对待发送 UDP报文进行加密时所用的密钥与 后续对接收到的 UDP报文进行解密时所用的密钥与是相同的。

若密钥协商得到的密钥是非对称密钥， 则步骤 230 中发起方客户端釆用 协商得到的应答方客户端的公钥对待发送 UDP报文进行加密， 后续釆用自身 的私钥， 对接收到的应答方客户端返回的 UDP报文进行解密。

步骤 240, 发起方客户端向所述应答方客户端发送加密后的 UDP报文， 与所述应答方客户端直接进行报文交互。

可选地， 步骤 230和步骤 240也可以被看作发起方客户端根据查询得到 的所述发起方客户端和应答方客户端的外网 IP地址、 以及协商得到的密钥， 与应答方客户端建立安全套接层（ SSL, Secure Sockets Layer )加密隧道； 通 过所述 SSL加密隧道将 UDP报文发送给所述应答方客户端，接收应答方客户 端返回的 UDP报文，从而实现发起方客户端和应答方客户端的直接报文交互。

需要说明的是， 本发明实施例并未对步骤 220密钥协商与步骤 210外网 地址查询， 这两个步骤执行的顺序进行限定， 也可以先执行步骤 220所示的 密钥协商， 再执行步骤 210所示的外网地址查询， 或者发起方客户端也可以 并行执行密钥协商和外网地址查询两个步骤。

由于发起方客户端向应答方客户端发送的 UDP报文中， 目的地址为应答 方客户端的外网 IP地址， 因此该 UDP报文可以直接发送至应答方客户端， 而 无需通过 VPN服务器进行转发， 减轻了 VPN服务器的处理负荷。

本发明实施例提供了一种数据传输方法， 发起方客户端首先从 VPN服务 器中查询获得所述发起方客户端和应答方客户端的外网 IP 地址， 然后通过 VPN服务器与应答方客户端进行密钥协商。 发起方客户端根据得到的通信双 方的外网 IP地址， 构建 UDP报文， 并利用协商得到的密钥对 UDP报文进行 加密， 将加密后的 UDP报文发送至应答方客户端。 后续应答方客户端可以根 据密钥协商时得到的密钥， 以及从发起方客户端发送的 UDP报文中提取的通 信双方的外网 IP地址， 向发起方客户端发送 UDP报文，从而在保证通信报文 安全性的前提下， 实现了发起方客户端和接收方客户端的直接通信。

由于在数据传输过程中， 只有发起方客户端和应答方客户端之间密钥协 商过程中的消息是通过 VPN服务器进行转发的， 在密钥协商完成后， 发起方 客户端和应答方客户端之间的消息无需 VPN服务器进行转发， 因此减轻了 VPN服务器的处理负荷，从而避免 VPN服务器成为消息传输瓶颈， 降低了因 VPN服务器处理资源耗尽而造成丟包的风险， 缩短了报文的传送延时。 实施例二

本发明实施例从 VPN服务器的角度， 对本发明实施例提供的数据传输方 案进行描述。 其应用场景图如附图 1所示。

附图 4为本发明实施例提供的数据传输方法的流程图。

步骤 410, VPN服务器根据预先存储的各客户端的外网 IP地址， 向发起 方客户端提供所查询的所述发起方客户端和应答方客户端的外网 IP地址。

可选地， 如附图 5所示， VPN服务器向发起方客户端提供所查询的所述 发起方客户端和应答方客户端的外网 IP地址的具体流程包括：

步骤 510, VPN服务器接收发起方客户端发送的查询请求消息， 从所述 查询请求消息中提取携带的发起方客户端的标识和应答方客户端的标识。

步骤 520, VPN服务器从预先存储的客户端的标识与外网 IP地址的对应 关系中， 查询到所述发起方客户端的标识对应的外网 IP地址、 所述应答方客 户端的标识对应的外网 IP地址。 其中， 所述客户端的标识与外网 IP地址的对 应关系的建立方式请参照实施例一， 在这里不再重复。

步骤 530, VPN服务器将查询到的所述发起方客户端的标识对应的外网 IP地址和所述应答方客户端的标识对应的外网 IP地址， 携带在查询响应消息 中发送给所述发起方客户端。

除此之外， VPN服务器还可以釆用其他方式向发起方客户端提供所述发 起方客户端和应答方客户端的外网 IP地址， 例如根据查询请求中携带的发起 方客户端的内网 IP地址和应答方客户端的内网 IP,从存储的各客户端内网 IP 地址和外网 IP地址的对应关系中， 查询到所述发起方客户端和应答方客户端 的外网 IP地址， 并返回给发起方客户端。 其他的方式在这里不再——列举。

步骤 420, VPN服务器在所述发起方客户端和应答方客户端进行密钥协 商过程中， 对协商双方的消息进行转发， 具体地将所述发起方客户端发送的 消息转发给所述应答方客户端， 以及将所述应答方客户端返回的消息转发给 所述发起方客户端。

可选地， 对于一些配置有防火墙等安全设备、 对安全性要求较高的应答 方客户端， 其不允许接收除 VPN服务器之外的、 不信任的其他网络节点发送 的报文， 为了便于发起方客户端和应答方客户端可以成功进行直接报文交互， 在上述步骤 410之后， 还包括：

步骤 415, 所述 VPN服务器将所述发起方客户端的传输信息发送给应答 方客户端， 所述传输信息包括发起方客户端的外网 IP地址， 所述传输信息被 应答方客户端用以配置网络安全策略， 允许接收并处理来自于所述发起方客 户端的 文。

可选地， 所述传输信息还包括发起方客户端发送报文使用的协议标识等 等。 应答方客户端接收到所述 VPN服务器通知的传输信息后， 根据其中携带 的发起方客户端的外网 IP配置防火墙或其他安全设备中的网络安全策略， 使 得允许接收并处理来自于所述发起方客户端的报文。

本发明实施例提供的数据传输方法， VPN服务器在发起方客户端和应答 方客户端进行密钥协商过程中， 对发起方客户端和应答方客户端相互发送的 消息进行转发。 在协商完成后， VPN服务器无需转发所述发起方客户端和应 答方客户端相互发送的 UDP报文， 从而减轻了处理负荷。 实施例三

本发明实施例从应答方客户端的角度， 对本发明实施例提供的数据传输 方案进行描述。 其应用场景图如附图 1所示。

附图 6为本发明实施例提供的数据传输方法的流程图。

步骤 610,应答方客户端通过 VPN服务器与发起方客户端进行密钥协商。 可选地， 在进行密钥协商时， 所协商的可以是对称密钥， 例如基于 DES 算法生成的密钥， 也可以是非对称密钥， 在这里不进行限定。

步骤 620, 密钥协商完成后，应答方客户端从接收到的所述发起方客户端 发送的 UDP报文中提取所述发起方客户端和应答方客户端的外网 IP地址。

应答方客户端接收到发起方客户端发送的 UDP报文后， 根据密钥协商得 到的密钥， 对该 UDP报文进行解密， 然后从解密后的 UDP报文的报文头中 的源地址字段中提取所述发起方客户端的外网 IP地址， 从报文头中的目的地 址字段中提取所述应答方客户端的外网 IP地址。

步骤 630, 应答方客户端将所述应答方客户端的外网 IP地址写入待发送

UDP报文的源地址字段中， 将所述发起方客户端的外网 IP 地址写入待发送

UDP报文的目的地址字段中，并根据协商得到的密钥对待发送 UDP报文进行 加密。

可选地， 若发起方客户端和应答方客户端密钥协商得到的密钥是对称密 钥， 则步骤 620 中对接收到的 UDP报文进行解密时所用的密钥与对待发送 UDP报文进行加密时所用的密钥是相同的。

若密钥协商得到的密钥是非对称密钥， 则步骤 620 中应答方客户端用自 身的私钥对接收到的 UDP报文进行解密， 釆用协商得到的发起方客户端的公 钥对待发送 UDP 文进行加密。

步骤 640, 应答方客户端向所述发起方客户端发送加密后的 UDP报文， 与所述发起方客户端直接进行报文交互。

可选地， 若所述应答方客户端对安全性要求较高， 所配置的防火墙等安 全设备中的策略不允许该应答方客户端接收不被信任的网络节点发来的报 文， 为了使该客户端能够接收发起方客户端发送的报文， 从而成功进行报文 交互， 在步骤 620之前， 还包括： 步骤 615 , 所述应答方客户端接收所述 VPN服务器发送的所述发起方客 户端的传输信息， 所述传输信息包括发起方客户端的外网 IP地址；

所述应答方客户端根据所述传输信息配置网络安全策略， 允许接收并处 理来自于所述发起方客户端的报文。 实施例四

为了便于理解， 本发明从发起方客户端、 应答方客户端和 VPN服务器等 设备相互交互的角度， 对本发明实施例提供的数据传输方法进行描述。 其示 意图仍如附图 1所示。

图 7a为本发明实施例提供的数据传输方法的流程图， 包括以下步骤： 步骤 71 ,发起方客户端向 VPN服务器查询所述发起方客户端和应答方客 户端的外网 IP地址， 所述外网 IP地址是互联网中唯一的。

具体查询方式请参照附图 3和附图 5的描述， 在这里不再重复。

步骤 72, VPN服务器在所述发起方客户端和应答方客户端进行密钥协商 过程中， 对协商双方的消息进行转发。

具体地， 发起方客户端在用于协商密钥的报文中， 填写的目的地址为应 答方客户端的内网 IP地址， 源地址为发起方客户端的内网 IP地址， 其中发起 方客户端的内网 IP地址是发起方客户端登录 VPN服务器时被分配的，应答方 客户端的内网 IP地址是应答方客户端登录 VPN服务器时被分配的。发起方客 户端可以从登录时 VPN服务器返回的登录响应消息中获得发起方客户端的内 网 IP地址， 从 VPN服务器中预先查询获得应答方客户端的内网 IP地址。

VPN服务器将接收到的发起方客户端发送的用于与应答方客户端协商密 钥的报文， 转发给应答方客户端。

应答方客户端从 VPN服务器发送的报文中获得起始方客户端的内网 IP 地址， 对应构建返回给起始端设备的报文， 在该报文中， 填写的目的地址为 起始方客户端的内网 IP地址， 源地址为应答方客户端的内网 IP地址。

VPN服务器将接收到的应答方客户端返回的用于与应答方客户端协商密 钥的报文， 转发给起始方客户端。

步骤 73 , 密钥协商完成后， 发起方客户端根据查询得到的所述发起方客 户端和应答方客户端的外网 IP地址、 以及协商得到的密钥， 与应答方客户端 建立 SSL加密隧道。

步骤 74, 发起方客户端和应答方客户端通过建立的 SSL加密隧道， 直接 进行报文交互。

需要说明的是， 本实施例中未对步骤 71和步骤 72的执行顺序进行限定， 可以调换顺序或者并行执行。

本发明实施例提供的数据传输方法， 发起方客户端一方面从 VPN服务器 中查询获得所述发起方客户端和应答方客户端的外网 IP地址； 另一方面通过 VPN服务器与应答方客户端进行密钥协商。 由于在密钥协商过程中， 发起方 客户端和应答方客户端所交互的消息都是通过 VPN服务器转发的， 因此消息 的安全性可以得到保证， 从而使后续基于密钥协商过程获得的密钥进行的直 接通信的安全性也可以得到保证。 在密钥协商完成后， 发起方客户端和应答 方客户端可以基于外网 IP地址和协商得到的密钥进行直接通信， 此时发起方 客户端和应答方客户端之间的消息无需 VPN服务器进行转发， 因此减轻了 VPN服务器的处理负荷，从而避免 VPN服务器成为消息传输瓶颈， 降低了因 VPN服务器处理资源耗尽而造成丟包的风险， 缩短了报文的传送延时。 实施例五

本发明实施例给出了一个数据传输过程的具体实例， 以时序图的方式对 本发明实施例提供的数据传输方法进行描述。

图 7b为本发明实施例应用场景的示意图，仍以客户端 1为发起方客户端， 客户端 2为应答方客户端为例。 其中客户端 1连接有一个应用服务器， 客户 端 2连接有一个应用代理， 具体的应用可以是 IP电话、 即时通讯等对实时性 要求不高的应用。

附图 7c为本发明实施例的时序图， 包括以下步骤： 步骤 701 , 客户端 1向 VPN服务器发送查询请求消息， 所述查询请求消 息中携带客户端 1的 ID和客户端 2的 ID。

客户端 1的 ID和客户端 2的 ID分别是客户端 1的 ID和客户端 2登录 VPN服务器时， VPN服务器分配的。 客户端 1预先从 VPN服务器的登录响 应中获得 VPN服务器为自身分配的 ID, 预先从 VPN服务器中查询获得客户 端 2的 ID。

步骤 702, VPN服务器从预先存储的各客户端 ID与外网 IP地址的对应 关系中， 查询到客户端 1的 ID对应的外网 IP地址、 客户端 2的 ID对应的外 网 IP地址。

可选地， VPN服务器中还存储有各客户端 ID与内网 IP地址的对应关系， VPN服务器还可以从各客户端 ID与内网 IP地址的对应关系中查询到， 客户 端 1的内网 IP地址和客户端 2的内网 IP地址， 并与外网 IP地址、 客户端 1 的 ID对应的外网 IP地址一起， 携带在查询响应消息中发送给客户端 1。

步骤 703 , VPN服务器向客户端 1返回查询响应消息， 该查询响应消息 中携带客户端 1的外网 IP地址、 客户端 2的外网 IP地址。

可选地， 查询响应消息中还包括客户端 1的内网 IP地址和客户端 2的内 网 IP地址。

步骤 704,客户端 1通过 VPN服务器向客户端 2发送探测消息 clienthello()。 该探测消息中携带客户端 1和客户端 2的内网 IP地址， VPN服务器接收 到探测消息后， 将该探测消息发送给客户端 2。

在整个密钥协商过程中， 客户端 1和客户端 2基于内网 IP地址来交互消 息。

步骤 705, 可选地， 客户端 2接收到探测消息 clienthelloO后， 通过 VPN 服务器向客户端 1返回探测确认消息 serverhello()。

步骤 706,客户端 2将自身的公钥携带在验证请求消息 Certificate Request 中，通过所述 VPN服务器将所述验证请求消息 Certificate Request发送给客户 端 2。 步骤 707, 客户端 1从所述验证请求消息 Certificate Request中提取客户 端 2的公钥， 作为协商获得的密钥， 并通过第三方验证服务器对所述客户端 2 的公钥进行身份验证， 在验证成功后， 进入步骤 708。

步骤 708, 客户端 1通过所述 VPN服务器向客户端 2发送验证通过消息 Certificate Verify。 该验证通过消息 Certificate Verify中携带客户端 1的公钥。

客户端 2接收到所述验证通过消息 Certificate Verify后， 可以从该消息中 提取客户端 1的公钥， 用于后续向客户端 1发送 UDP报文时， 对报文进行加 密处理。

步骤 709, 客户端 1通过所述 VPN服务器向客户端 2发送协商结束消息 finished()o

步骤 710, 客户端 2接收到商结束消息 fmishedO后， 通过所述 VPN服务 器向客户端 1返回协商结束确认消息 fmished()。

步骤 711 ,客户端 1接收到协商结束确认消息 fmishedO后，确认密钥协商 完成。 若在密钥协商过程中， 客户端 1未收到探测确认消息 serverhello()、 验 证请求消息 Certificate Request, 或者协商结束确认消息 fmished(), 则确定密 钥协商失败。

步骤 712,客户端 1将客户端 1的外网 IP地址写入待发送 UDP报文 packetl 的源地址字段中、 将客户端 2的外网 IP地址写入 packetl的目的地址字段中， 并根据客户端 2的公钥对 packetl进行加密。客户端 1向客户端 2发送加密后 的 packetl。 所述 packetl的载荷部分承载有客户端 1想要发送给客户端 2的 应用数据。

步骤 713 , 客户端 2接收客户端 1发送的 packetl， 用自身的私钥对其进 行解密， 获取其载荷部分中承载的应用数据。 若客户端 2需要向客户端 1返 回应用数据， 则客户端 2从接收到的 packetl中提取所述客户端 1和客户端 2 的外网 IP地址，将客户端 2的外网 IP地址写入待发送 UDP报文 packet2的源 地址字段中， 将所述客户端 1的外网 IP地址写入 packet2的目的地址字段中， 并根据客户端 1的公钥对 packet2进行加密， packet2的载荷部分承载有客户 端 2发送给客户端 1的应用数据；客户端 2向客户端 1发送加密后的 packet2。 上述步骤 701〜步骤 703完成外网 IP地址查询过程， 步骤 704〜步骤 711 完成密钥协商过程， 本实施例是以非对称密钥协商为例进行说明的， 对称密 钥协商较为简单， 只需要一方客户端将自身生成的密钥通知对端， 并收到对 端的确认消息即可。 需要说明的是， 步骤 704〜步骤 711只是给出了一种密钥 协商的消息交互流程， 本领域技术人员可以根据实际需要对其中的消息交互 顺序进行调整， 删除可选的一些消息或者增加其他的消息， 例如客户端 1接 收到探测确认消息后， 可以先将自身公钥携带在验证请求消息 Certificate Request中， 通过所述 VPN服务器发送给客户端 2, 由客户端 2在第三方验证 服务器中进行身份验证； 或者应答方客户端在接收到探测消息后， 无需回复 探测确认消息， 而是直接发送验证请求消息， 即省略步骤 705。

步骤 712〜步骤 713的报文交互过程可以包含两条以上消息的交互。 实施例六

相应地， 本发明实施例还提供了一种发起方客户端设备， 如图 8所示， 该装置包括查询单元 801、 第一密钥协商单元 802和第一报文交互单元 803 , 其中：

查询单元 801 , 用于向 VPN服务器查询所述发起方客户端和应答方客户 端的外网 IP地址；

第一密钥协商单元 802, 用于通过 VPN服务器与应答方客户端进行密钥 协商；

第一报文交互单元 803 , 用于在密钥协商完成后， 将所述发起方客户端的 外网 IP地址写入待发送用户数据报协议 UDP报文的源地址字段中、将所述应 答方客户端的外网 IP地址写入待发送用户数据报协议 UDP报文的目的地址字 段中， 并根据协商得到的密钥对待发送 UDP报文进行加密； 向所述应答方客 户端发送加密后的 UDP报文， 与所述应答方客户端直接进行报文交互。

其中， 查询单元 801的具体查询方式、 以及第一密钥协商单元 802的在 具体密钥协商流程中的工作方式请参照前面方法实施例中的描述， 在这里不 再赘述。

本发明实施例还提供了一种 VPN服务器， 如附图 9所示， 该 VPN服务 器包括地址查询单元 901和转发单元 902, 其中：

地址查询单元 901 , 用于根据预先存储的各客户端的外网 IP地址， 向发 起方客户端提供所查询的所述发起方客户端和应答方客户端的外网 IP地址； 转发单元 902,用于在所述发起方客户端和应答方客户端进行密钥协商过 程中， 将所述发起方客户端发送的消息转发给所述应答方客户端， 以及将所 述应答方客户端返回的消息转发给所述发起方客户端。

可选地， 该 VPN服务器还包括：

通知单元 903 , 用于在地址查询单元 901向发起方客户端提供外网 IP地 址之后， 将所述发起方客户端的传输信息发送给应答方客户端， 所述传输信 息包括发起方客户端的外网 IP地址， 所述传输信息被应答方客户端用以配置 网络安全策略， 允许接收并处理来自于所述发起方客户端的报文。

本发明实施例还提供了一种应答方客户端设备， 如附图 10所示， 该应答 方客户端设备包括第二密钥协商单元 110和第二报文交互单元 120, 其中： 第二密钥协商单元 110, 用于通过 VPN服务器与发起方客户端进行密钥 协商；

第二报文交互单元 120, 用于密钥协商完成后，从接收到的所述发起方客 户端发送的 UDP报文中提取所述发起方客户端和应答方客户端的外网 IP地

并根据协商得到的密钥对待发送 UDP报文进行加密； 向所述发起方客户端发 送加密后的 UDP报文， 与所述发起方客户端直接进行报文交互。

可选地， 所述应答方客户端设备还包括：

配置单元 130,用于在第二报文交互单元 120与所述发起方客户端直接进 行报文交互之前 ,接收所述 VPN服务器发送的所述发起方客户端的传输信息， 所述传输信息包括发起方客户端的外网 IP地址； 以及根据所述传输信息配置 网络安全策略， 允许接收并处理来自于所述发起方客户端的报文。

本发明实施例还提供了一种数据传输系统， 包括附图 8所示的发起方客 户端设备， 附图 9所示的 VPN服务器和附图 10所示的应答方客户端设备。 其中， 发起方客户端设备、 VPN服务器和应答方客户端设备各自的工作原理， 以及相互之间的交互流程请参照前面方法实施例和附图 8所示、 附图 9和附 图 10的描述， 在这里不再赘述。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤 是可以通过程序来指令相关的硬件来完成， 该程序可以存储于一计算机可读 取存储介质中， 如： ROM/RAM、 磁碟、 光盘等。 发明的精神和范围。 这样， 倘若本发明的这些修改和变型属于本发明权利要 求及其等同技术的范围之内， 则本发明也意图包含这些改动和变型在内。

Claims

权 利 要 求

1、 一种数据传输方法， 应用于虚拟专用网 VPN中， 其特征在于， 包括： 发起方客户端向 VPN服务器查询所述发起方客户端和应答方客户端的外 网 IP地址；

发起方客户端通过 VPN服务器与应答方客户端进行密钥协商；

密钥协商完成后， 发起方客户端将所述发起方客户端的外网 IP地址写入 待发送用户数据报协议 UDP报文的源地址字段中、 将所述应答方客户端的外 网 IP地址写入待发送 UDP报文的目的地址字段中，并根据协商得到的密钥对 待发送 UDP 文进行加密；

发起方客户端向所述应答方客户端发送加密后的 UDP报文， 与所述应答 方客户端直接进行报文交互。

2、 如权利要求 1 所述的方法， 其特征在于， 所述发起方客户端向 VPN 服务器查询应答方客户端的外网 IP地址， 包括：

所述发起方客户端向 VPN服务器发送查询请求消息， 所述查询请求消息 中携带发起方客户端的标识和应答方客户端的标识， 所述发起方客户端的标 识是发起方客户端在登录 VPN服务器时被分配的， 所述应答方客户端的标识 是应答方客户端在登录 VPN服务器时被分配的；

所述发起方客户端接收 VPN服务器返回的查询响应消息， 并从所述查询 响应消息中提取发起方客户端的外网 IP地址和应答方客户端的外网 IP地址。

3、 如权利要求 1或 2所述的方法， 其特征在于， 所述发起方客户端通过 VPN服务器与应答方客户端进行密钥协商， 包括：

所述发起方客户端通过 VPN服务器向所述应答方客户端发送探测消息； 所述发起方客户端接收所述 VPN服务器转发的来自于所述应答方客户端 的验证请求消息， 所述验证请求消息是所述应答方客户端接收到所述探测消 息后发送的， 所述验证请求消息中携带应答方客户端的公钥；

所述发起方客户端从所述验证通过消息中提取所述应答方客户端的公钥 作为协商得到的密钥， 并通过第三方验证服务器对所述应答方客户端的公钥 进行身份验证， 并在验证通过后通过所述 VPN服务器向所述应答方客户端发 送验证通过消息， 所述验证通过消息中携带发起方客户端的公钥；

所述发起方客户端通过所述 VPN服务器向所述应答方客户端发送协商结 束消息， 并接收到所述 VPN服务器转发的来自于所述应答方客户端的协商结 束确认消息后， 确定完成密钥协商；

若所述发起方客户端未接收到验证通过消息、 或协商结束确认消息， 则 确定密钥协商失败。

4、 如权利要求 3所述的方法， 其特征在于， 所述发起方客户端向所述应 答方客户端发送加密后的 UDP报文之后， 还包括：

所述发起方客户端接收所述应答方客户端发送的根据所述发起方客户端 的公钥加密后的 UDP报文；

所述发起方客户端根据所述所述发起方客户端的私钥对接收到的 UDP报 文进行解密。

5、 一种数据传输方法， 应用于 VPN中， 其特征在于， 包括：

VPN服务器根据预先存储的各客户端的外网 IP地址， 向发起方客户端提 供所查询的所述发起方客户端和应答方客户端的外网 IP地址；

在所述发起方客户端和应答方客户端进行密钥协商过程中， 将所述发起 方客户端发送的消息转发给所述应答方客户端， 以及将所述应答方客户端返 回的消息转发给所述发起方客户端。

6、 如权利要求 5所述的方法， 其特征在于， 所述 VPN服务器根据预先 存储的各客户端的外网 IP地址， 向发起方客户端提供所查询的所述发起方客 户端和应答方客户端的外网 IP地址， 包括：

所述 VPN服务器接收发起方客户端发送的查询请求消息， 从所述查询请 求消息中提取携带的发起方客户端的标识和应答方客户端的标识；

从预先存储的客户端的标识与外网 IP地址的对应关系中， 查询到所述发 起方客户端的标识对应的外网 IP地址、 所述应答方客户端的标识对应的外网 IP地址；

将所述发起方客户端的标识对应的外网 IP地址和所述应答方客户端的标 识对应的外网 IP地址携带在查询响应消息中发送给所述发起方客户端。

7、 如权利要求 5或 6所述的方法， 其特征在于， 所述向发起方客户端提 供所查询的所述发起方客户端和应答方客户端的外网 IP地址之后， 还包括： 所述 VPN服务器将所述发起方客户端的传输信息发送给应答方客户端， 所述传输信息包括发起方客户端的外网 IP地址， 所述传输信息被应答方客户 端用以配置网络安全策略， 允许接收并处理来自于所述发起方客户端的报文。

8、 如权利要求 5所述的方法， 其特征在于， 所述发起方客户端发送的消 息包括探测消息、 验证请求消息、 或协商结束消息；

所述应答方客户端返回的消息包括探测确认消息、 验证通过消息或协商 结束确认消息。

9、 一种数据传输方法， 应用于 VPN中， 其特征在于， 包括：

应答方客户端通过 VPN服务器与发起方客户端进行密钥协商；

密钥协商完成后， 应答方客户端从接收到的所述发起方客户端发送的 UDP报文中提取所述发起方客户端和应答方客户端的外网 IP地址；

应答方客户端将所述应答方客户端的外网 IP地址写入待发送 UDP报文的 源地址字段中，将所述发起方客户端的外网 IP地址写入待发送 UDP报文的目 的地址字段中， 并根据协商得到的密钥对待发送 UDP报文进行加密；

应答方客户端向所述发起方客户端发送加密后的 UDP报文， 与所述发起 方客户端直接进行报文交互。

10、如权利要求 9所述的方法，其特征在于，所述应答方客户端通过 VPN 服务器与发起方客户端进行密钥协商包括：

所述应答方客户端接收 VPN服务器转发的来自于所述发起方客户端的探 测消息；

所述应答方客户端将应答方客户端的公钥携带在验证请求消息中， 通过 VPN服务器转发给所述发起方客户端； 所述应答方客户端接收所述 VPN服务器转发的来自于所述发起方客户端 的验证确认消息， 从所述验证确认消息中提取携带的所述发起方客户端的公 钥， 作为后续对待发送给所述发起方客户端的 UDP报文进行加密时所用的密 钥；

所述应答方客户端接收 VPN服务器转发的来自于所述发起方客户端的协 商结束消息， 并通过所述 VPN服务器向所述发起方客户端发送协商结束确认 消息。

11、 如权利要求 9所述的方法， 其特征在于， 所述应答方客户端从接收 到的所述发起方客户端发送的 UDP报文中提取所述发起方客户端和应答方客 户端的外网 IP地址之前 , 还包括：

所述应答方客户端接收所述 VPN服务器发送的所述发起方客户端的传输 信息， 所述传输信息包括发起方客户端的外网 IP地址；

所述应答方客户端根据所述传输信息配置网络安全策略， 允许接收并处 理来自于所述发起方客户端的报文。

12、 一种发起方客户端设备， 其特征在于， 包括：

查询单元， 用于向 VPN服务器查询所述发起方客户端和应答方客户端的 夕卜网 IP地址；

第一密钥协商单元，用于通过 VPN服务器与应答方客户端进行密钥协商； 第一报文交互单元， 用于在密钥协商完成后， 将所述发起方客户端的外 网 IP地址写入待发送用户数据报协议 UDP报文的源地址字段中、将所述应答 方客户端的外网 IP地址写入待发送用户数据报协议 UDP报文的目的地址字段 中， 并根据协商得到的密钥对待发送 UDP报文进行加密； 向所述应答方客户 端发送加密后的 UDP报文， 与所述应答方客户端直接进行报文交互。

13、 一种 VPN服务器， 其特征在于， 包括：

地址查询单元， 用于根据预先存储的各客户端的外网 IP地址， 向发起方 客户端提供所查询的所述发起方客户端和应答方客户端的外网 IP地址；

转发单元， 用于在所述发起方客户端和应答方客户端进行密钥协商过程 中， 将所述发起方客户端发送的消息转发给所述应答方客户端， 以及将所述 应答方客户端返回的消息转发给所述发起方客户端。

14、 如权利要求 13所示的 VPN服务器， 其特征在于， 还包括： 通知单元， 用于在地址查询单元向发起方客户端提供外网 IP地址之后， 将所述发起方客户端的传输信息发送给应答方客户端， 所述传输信息包括发 起方客户端的外网 IP地址， 所述传输信息被应答方客户端用以配置网络安全 策略， 允许接收并处理来自于所述发起方客户端的报文。

15、 一种应答方客户端设备， 其特征在于， 包括：

第二密钥协商单元，用于通过 VPN服务器与发起方客户端进行密钥协商； 第二报文交互单元， 用于密钥协商完成后， 从接收到的所述发起方客户 端发送的 UDP报文中提取所述发起方客户端和应答方客户端的外网 IP地址； 将所述应答方客户端的外网 IP地址写入待发送 UDP报文的源地址字段中，将 所述发起方客户端的外网 IP地址写入待发送 UDP报文的目的地址字段中，并 根据协商得到的密钥对待发送 UDP报文进行加密； 向所述发起方客户端发送 加密后的 UDP报文， 与所述发起方客户端直接进行报文交互。

16、 如权利要求 15所述的应答方客户端设备， 其特征在于， 还包括： 配置单元， 用于在第二报文交互单元与所述发起方客户端直接进行报文 交互之前， 接收所述 VPN服务器发送的所述发起方客户端的传输信息， 所述 传输信息包括发起方客户端的外网 IP地址； 以及根据所述传输信息配置网络 安全策略， 允许接收并处理来自于所述发起方客户端的报文。

17、 一种数据传输系统， 应用于 VPN中， 其特征在于， 包括如权利要求 12所述的发起方客户端设备、如权利要求 13或 14所述的 VPN服务器和如权 利要求 15或 16所述的应答方客户端设备。