CN101179470A - 一种基于双协议vpn的实现方法 - Google Patents
一种基于双协议vpn的实现方法 Download PDFInfo
- Publication number
- CN101179470A CN101179470A CNA2007101792737A CN200710179273A CN101179470A CN 101179470 A CN101179470 A CN 101179470A CN A2007101792737 A CNA2007101792737 A CN A2007101792737A CN 200710179273 A CN200710179273 A CN 200710179273A CN 101179470 A CN101179470 A CN 101179470A
- Authority
- CN
- China
- Prior art keywords
- vpn
- key
- encryption
- gateway
- encryption tunnel
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种基于双协议VPN的实现方法,是基于密码、工控机板卡、芯片和网络技术,采用“微内核”专用操作系统的设计思想,建立多种密钥体制的加密系统,采用预共享密钥方式,并在加密算法的保护下秘密进行共享密钥,每个IP数据包一个密钥,建立IPSec标准加密隧道,并选择IP层(第三层)建立专用加密隧道,通过加密隧道管理所有远程VPN网关,建立审计与日志功能,将加密算法、密钥管理、VPN标准协议、VPN专用协议、管理工具和审计日志功能——主要安全模块集成一体,同时,实现硬件驱动的VPN功能模块的自毁功能,从而,建立一种基于双协议的虚拟专用网。
Description
技术领域:
本发明涉及信息安全领域,能对专用网的数据实时进行加解密,适用于政府、企业、军队、银行、证券、保险等单位的各种网络。
背景技术:
目前,国际上采用IPSec协议的VPN产品较多,大多数都不同程度存在着:功能集成度低,速度慢,价格高,安全性差、抗集团攻击能力不足的弱点,同时,也都存在VPN使用通用操作系统效率低,各种密钥分发管理费用高,系统日常维护难度大等的问题,这些已直接影响VPN的应用和普及。
发明内容:
本发明是采用密码、工控机板卡、芯片和网络技术,在INTERNET网络上建立由若干用户组成的采用双协议的虚拟专用网,其实施步骤如下:
采用“微内核”专用操作系统的设计思想,建立多种密钥体制的加密系统,采用预共享密钥方式,并在加密算法的保护下秘密进行共享密钥,每个IP数据包一个密钥,建立IPSec标准加密隧道,并选择IP层(第三层)建立专用加密隧道,通过加密隧道管理所有远程VPN网关,建立审计与日志功能,将加密算法、密钥管理、VPN标准协议、VPN专用协议、管理工具和审计日志功能——主要安全模块集成一体,同时,实现硬件驱动的VPN功能模块的自毁功能,来防止VPN系统被“破译者”解剖,提高VPN的安全性能,VPN系统使用软、硬件相结合的方式来实现,具体实现步骤如下:
1、采用微内核技术即:采用通用操作系统中(windows、unix、linux)的通信内核功能,来实现专用操作系统,使用36K的微内核结构,软件内核没有通用操作系统的无关进程、内存的动态分配,网络数据通过微内核结构,转发和调用环节少,所有功能都只提供给VPN应用程序调用,避免了通用操作系统支持通用软硬件调用和驱动带来的重大安全隐患,使得依赖于通用操作系统的黑客无机可乘,有效地提高了VPN的安全性和速度。
2、VPN加密系统以分组加密算法为核心,算法采用了分组迭代的线性与非线性组合(SP)网络结构,分组长度和密钥长度均为128比特,迭代变换的层数为至少8层,每个IP数据包一个密钥,在起点与终点IP地址基础上,建立专用的加密隧道即:VPN专用协议和IPSec标准加密隧道即:VPN标准协议。
3、使用非对称公钥加密技术,运用2048位的公钥算法和杂凑函数用于密钥管理和认证,即:交换对称密钥、起点与终点IP地址之间的认证、两VPN网关之间的认证和计算机和VPN网关之间的认证。
4、采用多种密钥体制,其中:
(1)TK称为加密隧道密钥,长度至少128比特,由网络管理员负责更换,用于身份认证、建立加密隧道;
(2)NK称为网络密钥,长度是128比特,一网一个,固定不变,用于网络分割;
(3)SK称为会话密钥,长度至少为128比特,通过加密的密钥交换,由双方网关独立生成,生存期由时间策略或流量策略控制;
(4)PK称为包密钥,长度至少128比特,加密内网数据包,每包一个,由大于128比特的随机数发生器生成。
5、在VPN的安全网关上选择IP层(第3层)建立专用的加密隧道即:VPN专用协议,内部网数据被封装成IP 17号或99号协议在互联网上传输,加密隧道的协议分为建立加密隧道阶段和加密隧道通信阶段。
6、建立加密遂道阶段,即协商密通信参数、身份认证与密钥交换,通信双方交互发送6个IP包完成此过程,这个过程又分为明通信过程和密通信过程,明通信过程是协商密通信过程所用的密码学参数,密通信过程,即用预共享加密隧道密钥(TK)加密并进行身份认证,在密钥交换上,双方得出共同的加密包密钥(PK)的密钥即:会话密钥(SK)。
7、加密遂道通信阶段,是在这一阶段专用网的数据包被加密传送,对每个数据包生成一个包密钥(PK),用包密钥(PK)加密专用网的数据包,而包密钥(PK)本身用会话密钥(SK)加密,然后发送到公用网上。
8、采用可堆叠的结构,确保网络的整合与发展,对工作性能无丝毫影响,安全网关堆叠可非常平稳地同时支持几千条通道,可达1Gbps的吞吐量。
9、在VPN安全网关中建立审计与日志功能,采用标准系统日志(Syslog),进行监控及问题处理,Syslog日志系统按指定的级别记录日志(log)事件或错误信息,VPN网关将Syslog日志系统记录的信息送至控制台屏幕或正在运行系统记录程序的主控计算机,同时,该主控计算机与VPN网关通过IPSec标准协议建立的加密隧道进行信息传输。
10、审计与日志的主要实现原理是,VPN网关运行一个客户端线程,把事件、或错误信息使用UDP的514号端口发送到指定的本地红色网络的主机或通过加密隧道传输到远程主控机上,该主机运行标准的系统日志(Syslog)守护进程,守护进程把信息记录成文件,同时,VPN网关本身的控制台也能显示系统日志(Syslog)信息。
11、在VPN系统的主控计算机上,采用Windons 98/NT以上版本操作系统,运用管理图形用户界面(GUI)程序,来管理多个VPN安全网关,使用信息管理系统库(SNMP)或中央系统记录,来监控VPN安全网关的所有活动及警报,同时,该主控计算机与VPN网关通过IPSec标准协议建立的加密隧道进行信息传输。
12、通过IPSec标准协议即:VPN标准协议建立的加密隧道,管理所有远程VPN网关,对网络中的VPN网关实行集中管理,降低了管理成本,提高了VPN网关管理的效率和安全等级,通过VPN专用协议建立的VPN网关之间的加密隧道,提高VPN网关之间数据传输的保密强度。
13、硬件拟采用Intel IA架构的嵌入式工控机板卡,工艺成熟,稳定,可靠,适应苛刻的工作环境,并在该板卡上嵌入芯片。
14、将加密算法、密钥管理、VPN标准协议、VPN专用协议、管理工具和审计日志功能存放在Intel IA架构的嵌入式工控机板卡上嵌入的芯片中。
15、硬件安全保护装置,硬件使用了软件加密、自毁的安全措施,在芯片与外壳连接部位设置多处触发按扭,未经许可恶意开机盖触动芯片将自动销毁密钥及加密程序,保护重要数据不被读出,极大地提高VPN抗系统分析的能力。
附图说明:
图1:建立VPN双协议的流程图
图2:VPN专用协议数据包传输的示意图
具体实施方式:
以下结合附图说明VPN协议的实现步骤:
图1:说明建立VPN双协议的过程:
第一步,预设置参数和网络密钥:预设置通信协议、网络密钥、密钥长度参数;
第二步,建立IPSec标准加密隧道即:VPN标准协议(略);
第三步,建立专用加密隧道(即:VPN专用协议):协商与交换加密隧道参数,如双方的用户名、协议类型、加密算法、密钥长度、公钥算法的长度、加密隧道留存期、加密隧道超时重联、时间戳;
第四步,身份验证与密钥交换阶段:利用协商的加密算法、预共享密钥、公钥、散列函数和数字签名来实现用户身份认证,并在秘密状态下进行密钥交换;
第五步,会话密钥认证阶段:通过解密共同的加密数据验证双方密钥是否一致,从而,验证会话密钥(SK);
第六步,加密隧道通信:这一过程涉及数据封装和数据加密两个部分,首先对IP层以上的数据进行封装,再针对每一个IP包生成一个包密钥(PK)用于加密IP包数据,并利用密钥交换过程中协商得到的会话密钥(SK),对包密钥(PK)进行加密。
图2:说明VPN专用协议数据包传输的过程:
第一步,网关A和网关B在网络密钥和通道密钥的保护下实施公钥签名认证、密钥交换产生会话密钥;
第二步,网关A随机生成包密钥(PK),图中的PKA指网关A的包密钥;
第三步,用网络密钥(NK)、网关A的包密钥(PKA)和加密算法,来加密网关A端的网络数据,用会话密钥(SK)、网络密钥(NK)和加密算法,来加密网关A的包密钥(PKA):
第四步,发送数据;
第五步,网关B首先解密网关A的包密钥(PKA),然后解密数据,并进行真实性与完整性检验。
Claims (10)
1.一种基于双协议VPN的实现方法,其特征在于下:
采用“微内核”专用操作系统的设计思想,建立多种密钥体制的加密系统,采用预共享密钥方式,并在加密算法的保护下秘密进行共享密钥,每个IP数据包一个密钥,建立IPSec标准加密隧道,并选择IP层(第三层)建立专用加密隧道,通过加密隧道管理所有远程VPN网关,建立审计与日志功能,将加密算法、密钥管理、VPN标准协议、VPN专用协议、管理工具和审计日志功能——主要安全模块集成一体,同时,实现硬件驱动的VPN功能模块的自毁功能,来防止VPN系统被“破译者”解剖,提高VPN的安全性能,从而,建立一种双协议的虚拟专用网。
2.根据权利1要求的方法,其特征在于:
采用通用操作系统(如:windows、unix、linux)中的通信内核功能,使用36K的微内核结构,软件内核没有通用操作系统的无关进程、内存的动态分配,网络数据通过微内核结构,转发和调用环节少,所有功能都只提供给VPN应用程序调用,避免了通用操作系统支持通用软硬件调用和驱动带来的重大安全隐患,使得依赖于通用操作系统的黑客无机可乘,有效地提高了VPN的安全性和速度。
3.根据权利1要求的方法,其特征在于:
(1)TK称为加密隧道密钥,长度128比特,由网络管理员负责更换,用于身份认证、建立加密隧道;
(2)NK称为网络密钥,长度是128比特,一网一个,固定不变,用于网络分割;
(3)SK称为会话密钥,长度为128比特,通过加密的密钥交换,由双方网关独立生成,生存期由时间策略或流量策略控制;
(4)PK称为包密钥,长度128比特,加密内网数据包,每包一个,由大于128比特的随机数发生器生成。
4.根据权利1要求的方法,其特征在于:
(1)通过VPN标准协议建立的加密隧道管理所有远程VPN网关,对网络中的VPN网关实行集中管理,降低了管理成本,提高了VPN系统管理的效率和安全等级;
(2)通过VPN专用协议建立的VPN网关之间的加密隧道,能大大提高VPN网关之间的数据传输的保密强度。
5.根据权利1和4要求的方法,其特征在于:
在VPN的安全网关上选择IP层(第3层)建立专用的加密隧道即:VPN专用协议,内部网数据被封装成IP 17号或99号协议在互联网上传输,加密隧道的协议分为建立加密隧道阶段和加密隧道通信阶段。
6.根据权利1和5要求的方法,其特征在于:
(1)建立加密遂道阶段,即协商密通信参数、身份认证与密钥交换,通信双方交互发送6个IP包完成此过程,这个过程又分为明通信过程和密通信过程,明通信过程是协商密通信过程所用的密码学参数,密通信过程,即用预共享加密隧道密钥(TK)加密并进行身份认证,在密钥交换上,双方得出共同的加密包密钥(PK)的密钥即:会话密钥(SK);
(2)加密遂道通信阶段,是在这一阶段专用网的数据包被加密传送,对每个数据包生成一个包密钥(PK),用包密钥(PK)加密专用网的数据包,而包密钥(PK)本身用会话密钥(SK)加密,然后发送到公用网上。
7.根据权利1和4要求的方法,其特征在于:
在VPN安全网关中建立审计与日志功能,采用标准系统日志(Syslog),进行监控及问题处理,Syslog日志系统按指定的级别记录日志(log)事件或错误信息,VPN网关将Syslog日志系统记录的信息送至控制台屏幕或正在运行系统记录程序的主控计算机,该主控计算机与通过IPSec标准协议建立的VPN网关通过加密隧道进行信息传输。
8.根据权利1和7要求的方法,其特征在于:
审计与日志的主要实现原理是,VPN网关运行一个客户端线程,把事件、或错误信息使用UDP的514号端口发送到指定的本地红色网络的主机或通过加密隧道传输到远程主控机上,该主机运行标准的系统日志(Syslog)守护进程,守护进程把信息记录成文件,同时,VPN网关本身的控制台也能显示系统日志(Syslog)信息。
9.根据权利1、4和7要求的方法,其特征在于:
在VPN系统的主控计算机上,采用Windons 98/NT以上版本操作系统,运用管理图形用户界面(GUI)程序,来管理多个VPN安全网关,使用信息管理系统库(SNMP)或中央系统记录,来监控VPN安全网关的所有活动及警报,从而,降低VPN网关的管理成本,同时,该主控计算机与通过IPSec标准协议建立的VPN网关通过加密隧道进行信息传输。
10.根据权利1要求的方法,其特征在于:
采用硬件安全保护装置,硬件使用了软件加密、自毁的安全措施,在芯片与外壳连接部位设置多处触发按扭,未经许可恶意开机盖触动芯片将自动销毁密钥及加密程序,保护重要数据不被读出,极大地提高VPN抗系统分析的能力。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2007101792737A CN101179470A (zh) | 2007-12-12 | 2007-12-12 | 一种基于双协议vpn的实现方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2007101792737A CN101179470A (zh) | 2007-12-12 | 2007-12-12 | 一种基于双协议vpn的实现方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101179470A true CN101179470A (zh) | 2008-05-14 |
Family
ID=39405565
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2007101792737A Pending CN101179470A (zh) | 2007-12-12 | 2007-12-12 | 一种基于双协议vpn的实现方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101179470A (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101299665B (zh) * | 2008-05-19 | 2011-10-05 | 成都市华为赛门铁克科技有限公司 | 报文处理方法、系统及装置 |
CN102725748A (zh) * | 2010-01-26 | 2012-10-10 | 社会传播公司 | 用于空间通信环境的网络浏览器接口 |
CN104537320A (zh) * | 2014-12-05 | 2015-04-22 | 深圳市雷赛软件技术有限公司 | 芯片自动加密方法和系统 |
CN104702590A (zh) * | 2014-12-09 | 2015-06-10 | 网神信息技术(北京)股份有限公司 | 通信协议的切换方法及装置 |
CN106254231A (zh) * | 2016-08-18 | 2016-12-21 | 中京天裕科技(北京)有限公司 | 一种基于状态的工业安全加密网关及其实现方法 |
CN114615127A (zh) * | 2022-03-07 | 2022-06-10 | 黄子琦 | 一种国密vpn监管方法、系统、电子设备和存储介质 |
CN115174258A (zh) * | 2022-07-29 | 2022-10-11 | 国网四川省电力公司乐山供电公司 | 一种vpn数据安全访问方法 |
-
2007
- 2007-12-12 CN CNA2007101792737A patent/CN101179470A/zh active Pending
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101299665B (zh) * | 2008-05-19 | 2011-10-05 | 成都市华为赛门铁克科技有限公司 | 报文处理方法、系统及装置 |
CN102725748A (zh) * | 2010-01-26 | 2012-10-10 | 社会传播公司 | 用于空间通信环境的网络浏览器接口 |
CN104537320A (zh) * | 2014-12-05 | 2015-04-22 | 深圳市雷赛软件技术有限公司 | 芯片自动加密方法和系统 |
CN104702590A (zh) * | 2014-12-09 | 2015-06-10 | 网神信息技术(北京)股份有限公司 | 通信协议的切换方法及装置 |
CN106254231A (zh) * | 2016-08-18 | 2016-12-21 | 中京天裕科技(北京)有限公司 | 一种基于状态的工业安全加密网关及其实现方法 |
CN114615127A (zh) * | 2022-03-07 | 2022-06-10 | 黄子琦 | 一种国密vpn监管方法、系统、电子设备和存储介质 |
CN115174258A (zh) * | 2022-07-29 | 2022-10-11 | 国网四川省电力公司乐山供电公司 | 一种vpn数据安全访问方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Xin | A mixed encryption algorithm used in internet of things security transmission system | |
Sridhar et al. | Intelligent security framework for iot devices cryptography based end-to-end security architecture | |
CN1949765B (zh) | 获得被管设备的ssh主机公开密钥的方法和系统 | |
CN200962604Y (zh) | 电力专用纵向加密认证网关设备 | |
CN101299665B (zh) | 报文处理方法、系统及装置 | |
CN101094394A (zh) | 一种保证视频数据安全传输的方法及视频监控系统 | |
CN101179470A (zh) | 一种基于双协议vpn的实现方法 | |
Jose et al. | Implementation of data security in cloud computing | |
CN101521667B (zh) | 一种安全的数据通信方法及装置 | |
CN104219217A (zh) | 安全关联协商方法、设备和系统 | |
US9015825B2 (en) | Method and device for network communication management | |
CN104065485A (zh) | 电网调度移动平台安全保障管控方法 | |
CN103118363A (zh) | 一种互传秘密信息的方法、系统、终端设备及平台设备 | |
CN107181716A (zh) | 一种基于国家商用密码算法的网络安全通信系统及方法 | |
CN104901803A (zh) | 一种基于cpk标识认证技术的数据交互安全保护方法 | |
CN211352206U (zh) | 基于量子密钥分发的IPSec VPN密码机 | |
Iyer et al. | Implementation and evaluation of lightweight ciphers in mqtt environment | |
CN103379103A (zh) | 线性与加密解密的硬件实现方法 | |
CN107493287A (zh) | 工控网络数据安全系统 | |
CN112039654A (zh) | 一种抵御中间人攻击的电表数据安全采集方法 | |
CN101827079A (zh) | 抗阻塞攻击的终端连接建立方法和终端访问认证系统 | |
CN211930752U (zh) | 一种视频加密的监控系统 | |
CN112953890A (zh) | 一种客户侧用能控制系统的信息加密方法及装置 | |
CN202713365U (zh) | 一种对网络数据流硬件加密的系统 | |
CN1606288A (zh) | 一种基于微内核技术的vpn实现方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20080514 |