CN102833271A - 虚拟专用网络中安全隐患的解决方法 - Google Patents

Abstract

本发明为虚拟专用网络中安全隐患的解决方法，步骤为：A，防火墙服务器检查VPN隧道内数据包加密部分包头信息的密文是否处于与其明文包头信息中目的IP地址对应的黑白名单中；B，A步结果为否，防火墙服务器按其目的IP地址查询防火墙得出符合条件的FDD分支；C，防火墙服务器将B步查询结果转化成OBDD，保存该OBDD及对应的查询条件；D，防火墙服务器加密并混淆C步所得OBDD各节点发送给VPN服务器；E，VPN服务器解密接收的OBDD得终结点信息，所得信息异或数据包的密文，发送至防火墙服务器；F，防火墙服务器执行防火墙策略，并将A步中的密文添加到与其目的IP地址对应的黑白名单内。防火墙对VPN隧道内的数据流安全执行防火墙策略，且加密数据不被泄漏。

Description

虚拟专用网络中安全隐患的解决方法

技术领域

本发明涉及网络安全技术领域，特别是涉及虚拟专用网络（VPN，VirtualPrivate Network）中安全隐患的解决方法。

背景技术

虚拟专用网络VPN（以下简称为VPN）属于一种远程访问技术，亦即利用公用网络链路架设私有网络。在VPN中安全和隐私是主要的两个技术目标。在现行的VPN技术方案中，VPN的终端主要依靠隧道技术，即用加密的方式来保证通信的安全和私密。然而，因为使用了加密的方法，导致VPN中漫游用户所处的外部网络的防火墙不能有效地检查和管理隧道内的通信数据。如此一来，这些无法被防火墙检查和管理的隧道，就变成了恶意攻击的入口，这一漏洞也给外部网络内的计算机带来了极大了安全隐患。

为了避免VPN技术给外部网络造成的安全隐患，需要恢复防火墙对VPN隧道内的数据流的策略执行功能。然而，基于安全和隐私两大要求，在达到解决目的的同时还要保证防火墙的安全策略以及隧道内的加密数据不被泄漏。

目前存在的解决办法：

（1）交互加密方法：防火墙服务器用其私有密钥将防火墙规则变成密文格式传递给VPN服务器，VPN服务器用其私有密钥对密文进行二次加密，并将要通过隧道发送的数据包的包头信息加密，再传回给防火墙服务器。防火墙服务器将收到的数据包包头的密文用其私有的密钥二次加密，然后执行防火墙的策略。其中加密函数具备如下性质：假设防火墙服务器拥有私钥K1、VPN拥有私钥K2、M为明文、CE为加密函数，则

CE(CE(M,K1),K2)=CE(CE(M,K2),K1)。

（2）加强的交互加密方法：方法（2）是在上述方法（1）的基础上加入了符号算法以及异或运算提高了计算速度。

在上述方法（1）中存在一个安全漏洞，即防火墙服务器通过选择性的升级规则库中的规则可以很快的找出与数据包包头匹配的规则，从而使VPN用户信息泄漏。方法（2）中修复了这个安全漏洞并提高了效率，但是方法（2）不得不引入可信任的第三方来防止计算过程中隐私的泄漏。方法（2）中引入的可信任的第三方一方面是加强了计算过程中的安全性，但另一方面也使得VPN的安全性变得被动、受第三方制约。

发明内容

本发明的目的在于提供一种虚拟专用网络中安全隐患的解决方法，本发明的方法安全地完成防火墙对虚拟专用网络隧道内的数据流的策略执行功能，同时还保证了防火墙的安全策略以及隧道内的加密数据不被泄漏，其算法效率较高。

本发明提供的虚拟专用网络中安全隐患的解决方法，在公用网络上建立虚拟专用网络的两个局域网络，漫游用户身处的局域网中具有防火墙服务器，另一局域网具有VPN服务器，本方法包括如下步骤：

步骤A  防火墙服务器检查虚拟专用网络隧道内数据包的加密部分的包头信息的密文是否处于防火墙的与该数据包明文包头信息包含的目的IP地址对应的黑、白名单中；

步骤B若数据包的加密部分的包头信息的密文不存在于已有的黑白名单中，则防火墙服务器根据该数据包明文包头信息包含的目的IP地址查询防火墙，得出符合条件的防火墙决策图的分支；

步骤C防火墙服务器将步骤B查询的结果转化成有序二叉决策图（OBDD，Ordered Binary Decision Diagram），保存有序二叉决策图以及与其对应的查询条件，即步骤B中所使用的数据包明文包头信息包含的目的IP地址；

步骤D  防火墙服务器加密并混淆步骤C得到的有序二叉决策图各节点后发送给VPN服务器；

步骤E VPN服务器解密步骤D加密混淆的有序二叉决策图，得到终结点信息，将得到的信息异或隧道内数据包的加密部分的包头信息的密文，发送至防火墙服务器；

步骤F防火墙服务器执行防火墙策略，并将步骤A中的数据包的加密部分的包头信息的密文添加到与该数据包明文包头信息包含的目的IP地址对应的黑、白名单内。

所述步骤A，包括如下步骤：

步骤A1防火墙服务器捕获隧道内的数据包，分离数据包明文包头信息，提取其中包含的目的IP地址；

步骤A2防火墙服务器提取数据包加密部分的包头信息的密文并保存，并与该数据包明文包头信息中目的IP地址对应的防火墙黑、白名单中检索比较，若该数据包加密部分的包头信息的密文存在于黑、白名单内则执行防火墙策略；若该数据包加密部分的包头信息的密文未见于黑、白名单，继续步骤B。

执行防火墙策略为：若数据包加密部分的包头信息的密文存在于黑名单中则丢弃该数据包；若数据包的加密部分的包头信息的密文存在于白名单中则按数据包明文包头信息包含的目的IP地址转发该数据包。

所述步骤B，包括如下步骤：

步骤B1防火墙服务器根据步骤A1提取的数据包明文包头信息中的目的IP地址进行检索，并保存该查询条件，即步骤A1提取的目的IP地址。若步骤A1提取的数据包明文包头信息中的目的IP地址存在，说明防火墙服务器已检索过该查询条件，跳至步骤D，直接使用与该目的IP地址对应的有序二叉决策图；若未检索到步骤A1提取的数据包明文包头信息中的目的IP地址，继续步骤B2；

步骤B2防火墙服务器检查防火墙服务器更新日志判断防火墙规则库有否更新，若防火墙规则库未更新则直接跳至步骤B4；若防火墙规则库已更新，则继续步骤B3；

步骤B3防火墙服务器将防火墙规则库转化成防火墙决策图（FDD，Firewall Decision Diagram）并更新保存的防火墙决策图FDD；此步骤B3为现有技术，在此不再赘述；

步骤B4防火墙服务器对其保存的防火墙决策图FDD按步骤A1提取的数据包中的明文包头信息中包含的目的IP地址查询，得到分支终结点决策相同且分支中的目的IP地址域内含有数据包明文包头信息中的目的IP地址的分支；此步骤B4为现有技术，在此不再赘述；

步骤B5防火墙服务器将步骤B4得到的防火墙决策图分支去除目的IP地址域之后保存。下文步骤C1将使用本步骤保存的分支。

所述步骤C，包括如下步骤：

步骤C1防火墙服务器将步骤B5保存的各个防火墙决策图分支中的各个域名下的数域转换成有序二叉决策图OBDD；

步骤C2防火墙服务器将步骤B5保存的所有防火墙决策图分支用一个有序二叉决策图OBDD表示；

步骤C3防火墙服务器保存步骤C2所得到的有序二叉决策图OBDD及其对应的查询条件。

所述步骤C1包括：

步骤C11防火墙服务器将步骤B5保存的各个防火墙决策图分支中的各个域名下的数域中的数的二进制表示形式改用布尔表达式表示；布尔表达式的变量个数X满足log₂F≤X≤log₂F+1，该式中F为防火墙决策图FDD中对应数域的大小，X取整数；一个二进制数从左到右的每一位用一个变量表示，不足X位从左补0，即一个二进制数的位数为X，当二进进数的某位为0则该位变量取非；

步骤C12防火墙服务器将步骤C11所得的各个数的布尔表达式转换成有序二叉决策图OBDD，对同一分支同一域名内的数的有序二叉决策图OBDD进行逻辑或操作，得到数域的有序二叉决策图OBDD表示形式；

其中同一分支下不同域名数域转换成的有序二叉决策图OBDD的变量具有不同的变量名；不同分支下域名相同的数域转换成的有序二叉决策图OBDD的变量具有相同的变量名和变量序。

所述步骤C2包括如下步骤：

步骤C21防火墙服务器对同一分支不同域名下的数域的有序二叉决策图OBDD进行逻辑与操作，得到每个分支的有序二叉决策图OBDD；

一个分支转换成的有序二叉决策图OBDD中的变量顺序按照防火墙决策图FDD分支从上到下的域名数域的有序二叉决策图OBDD变量的顺序排列。

步骤C22防火墙服务器对步骤C21得到的不同分支的有序二叉决策图OBDD进行逻辑或操作，得到所有保存的分支的一个有序二叉决策图OBDD。

所述步骤D包括如下步骤：

步骤D1防火墙服务器向VPN服务器协调约定任意选用现行公钥加密算法中的某一种DE，并请求N个长度相同的公钥，即N个所约定的公钥加密算法中公开的长度相同的密钥，其中N等于步骤C得到的有序二叉决策图OBDD内的变量个数，公钥长度为M个bits，并向VPN服务器发送一个M个bits的二进制码；

步骤D2VPN服务器产生N个公钥，并保留N个公钥对应的私钥。每个公钥与其异或M后的二进制码组成一对，即得到N个公钥对(PK_n ⁰,PK_n ¹)；n为1～N的整数，PK_n ⁰和PK_n ¹为第n个公钥对中的公钥和该公钥异或M后的二进制码组。

步骤D3VPN服务器将数据包加密部分的包头信息的明文按域名划分、再转换成相应的二进制数，按照步骤C得到的有序二叉决策图OBDD中规定的变量名和变量序，确定N个公钥对的每一对中的公钥的位置，若数据包加密部分的包头信息的明文二进制数的该位取1则将对应的此个公钥对中的公钥置于后，即形式为

其中PK为其公钥，

为该公钥异或M后的二进制码；若该位取0则将公钥置于前，即形式为

N个公钥对均按此规则排列；VPN服务器将所得的N个公钥对按（n，PK_n ⁰，PK_n ¹）的形式发送给防火墙服务器，其中n表示在N对公钥中此为第n个公钥对。

步骤D4防火墙服务器将步骤C得到的有序二叉决策图OBDD的终结点0、1置换成两个随机的二进制数M0、M1；VPN服务器不知道M0、M1与0、1的对应关系，但防火墙服务器保留其对应关系；

步骤D5防火墙服务器加密步骤C得到的有序二叉决策图OBDD中的各节点，将密文发送给VPN服务器；防火墙服务器生成N对密钥（S₁ ⁰，S₁ ¹），…，（S_N ⁰，S_N ¹），对应步骤C得到的有序二叉决策图OBDD中的变量X_n-1，…，X₀，各变量分别位于OBDD的各层，X_n-1位于OBDD的第一层，X₀位于OBDD的第N层；并对步骤C得到的有序二叉决策图OBDD中的每个节点分配一个密钥和一个标记。

本步骤D5为现有技术。

假设节点v处于步骤C得到的有序二叉决策图OBDD中的第l层，节点v的密文形式如下：

(label(v)，

s_l ⁰(label(low(v))||S_low（v）)，(label(high(v))||S_high(v）))；

上述密文中label(v)表示节点v的标记，S_v表示节点v的密钥。low(v)和high(v)分别表示节点v的0分支节点和1分支节点，相应的label(low(v))和label(low(v))分别表示防火墙服务器分配给节点v的0分支节点的标记和1分支节点的标记；S_low（v）和S_{high （v）}分别表示防火墙服务器分配给节点v的0分支节点的密钥和1分支节点的密钥；

(label(low(v))||S_low（v）)表示密文，E表示加密算法，

表示加密使用的密钥，label(low(v))||S_low(v）为明文，其中||为分隔符；

步骤D6防火墙服务器使用步骤D1中与VPN服务器约定的公钥加密算法DE、用上述步骤D3所得的N个公钥对加密步骤D5中使用的N对密钥（S₁ ⁰，S₁ ¹），…，（S_N ⁰，S_N ¹）；第n对公钥加密第n对密钥；防火墙服务器发送密文给VPN服务器，密文形式如下：

(n,DE _PKn ⁰(Sn⁰),DE _PKn ¹(Sn¹))。

步骤D1和D6中所提到的公钥加密算法DE可为现行的任何一种安全的公钥加密算法；

所述步骤E包括如下步骤：

步骤E1防火墙服务器将步骤D加密混淆后的有序二叉决策图OBDD的根节点v_init的标记label（v_init）以及根节点的密钥S_Vinit发送给VPN服务器；

步骤E2VPN服务器用步骤D2中保留的私钥解开所接收的防火墙服务器发送的于步骤D6中产生并发送的N对密钥的密文中对应的S_l ^m，其中m=0或1，l∈[1,N]；

步骤E3VPN服务器利用根节点label（v_init）、S_Vinit以及N个S_l ^m解密步骤D加密混淆后的有序二叉决策图OBDD各节点，得到终结点信息M0或者M1；本步骤E3与现有技术相同，具体步骤不再赘述。

步骤E4VPN服务器用步骤E3得到的M0或者M1异或数据包加密部分的包头信息的密文，并将结果发送给防火墙服务器。

所述步骤F包括如下步骤：

步骤F1防火墙服务器将接收到的步骤E4中VPN服务器发送来的结果异或步骤A2中保存的该数据包加密部分的包头信息的密文；

步骤F2防火墙服务器将步骤F1的所得结果与M0、M1比较，确认VPN服务器得到的有序二叉决策图OBDD的终结点为0还是1；

步骤F3防火墙服务器根据步骤F2确认的结果执行策略，当步骤B4中保存的防火墙决策图FDD分支的终结点决策为接受时，步骤F2得到的终结点为1执行接受，步骤F2得到的终结点为0执行拒绝；当步骤B4中保存的防火墙决策图FDD分支的终结点决策为拒绝时，步骤F2得到的终结点为1执行拒绝，步骤F2得到的终结点为0执行接受。执行策略后，将数据包加密部分的包头信息的密文添加到与明文包头信息包含的目的IP地址对应的防火墙黑、白名单中，若执行策略为接受则加入白名单，执行策略为拒绝则加入黑名单。

与现有技术相比，本发明虚拟专用网络中安全隐患的解决方法的有益效果在于：

1、安全地完成防火墙对VPN隧道内的数据流的防火墙策略执行功能，同时还保证了防火墙的安全策略以及隧道内的加密数据不被泄漏；

2、本方法建立在符号技术的基础上，具有较高的计算效率；

3、本方法是为漫游用户的终端提供的针对性的解决办法，不涉及局域网内的其他终端，能缩短预处理时间及存储空间；

4、本方法的安全性只依赖于参与双方，不需要可信任的第三方介入，减少了参与者，提高了安全性能的可控性。

附图说明

图1是本虚拟专用网络中安全隐患的解决方法实施例的两个局域网在公用网络基础上建立虚拟专用网络连接通讯示意图；

图2是本虚拟专用网络中安全隐患的解决方法实施例的防火墙服务器和VPN服务器的协议图；

图3是本虚拟专用网络中安全隐患的解决方法实施例中步骤B3所得的防火墙决策图FDD；

图4是本虚拟专用网络中安全隐患的解决方法实施例中步骤B4得到的分支、步骤B5得到的分支以及步骤C最终得到的有序二叉决策图OBDD；

图5是本虚拟专用网络中安全隐患的解决方法实施例中步骤C11得到的有序二叉决策图以及步骤C12得到的有序二叉决策图。

具体实施方式

以下结合附图详细说明本虚拟专用网络中安全隐患的解决方法实施例。

图1所示为本虚拟专用网络中安全隐患的解决方法实施例的在公用网络基础上建立虚拟专用网络的连接通讯情况，图1中Ⅰ网，Ⅱ网为两个局部网络；Ⅰ网中有防火墙服务器，Ⅰ网中的某台计算机IP地址1.1.0.10，同时其作为Ⅱ网的漫游用户IP地址为2.2.0.25，该计算机可经Ⅰ网中的防火墙服务器与Ⅱ网的计算机连接通讯。Ⅱ网中有VPN服务器（IP地址2.2.0.1），VPN服务器连接有保密的私有数据库（IP地址2.2.0.2）。当Ⅱ网内的私有数据库通过VPN服务器与Ⅰ网中的计算机通讯时，其通信数据被VPN服务器加密。同样恶意主机通过VPN服务器与Ⅰ网中的计算机通讯时，其恶意通信数据也被VPN服务器加密。用现有技术Ⅰ网的防火墙服务器难以有效地检查和管理隧道内通讯是否属于恶意主机，虚拟专用网络存在严重安全隐患。

本虚拟专用网络中安全隐患的解决方法实施例的防火墙服务器和VPN服务器的协议参见图2，本方法可有效地检出恶意数据包。

具体步骤如下：

步骤A防火墙服务器检查虚拟专用网络隧道内数据包的加密部分的包头信息的密文是否处于防火墙的与该数据包明文包头信息包含的目的IP地址对应的黑、白名单中；

步骤A1防火墙服务器捕获隧道内的数据包，分离数据包明文包头信息，提取其中的目的IP地址；

步骤A2防火墙服务器提取数据包加密部分的包头信息的密文并保存，在与该数据包明文包头信息中的目的IP地址对应的防火墙黑、白名单中检索比较，若数据包加密部分的包头信息的密文存在于黑、白名单内则执行防火墙策略；若数据包加密部分的包头信息的密文未见于黑、白名单，继续步骤B。

执行防火墙策略为：若数据包加密部分的包头信息的密文存在于黑名单中则丢弃该数据包，若存在于白名单中则按数据包明文包头信息包含的目的IP地址内容转发该数据包。

上述步骤A1、A2均通过编程实现。

步骤B若数据包加密部分的包头信息的密文不存在已有的黑白名单中，则防火墙服务器根据该数据包明文包头信息包含的目的IP地址查询防火墙，得出符合条件的防火墙决策图的分支；

步骤B1防火墙服务器根据步骤A1提取并保存的明文包头信息中的目的IP地址进行检索，并保存此查询条件，若A1步骤提取的数据包明文包头信息中的目的IP地址存在，则跳至步骤D，直接使用与该目的IP地址对应的有序二叉决策图；若未检索到步骤A1提取的数据包明文包头信息中的目的IP地址，继续步骤B2；

步骤B2防火墙服务器检查防火墙服务器更新日志判断防火墙规则库有否更新，若防火墙规则库未更新则直接跳至步骤B4；若防火墙规则库已更新，则继续步骤B3；

步骤B3防火墙服务器将防火墙规则库转化成防火墙决策图FDD，并更新原保存的防火墙决策图FDD；

本例防火墙规则库如下，其中的域S为源IP地址域范围为[1,10]，域D为目的IP地址域范围为[1,10]；a表示防火墙执行的策略(即终结点决策)为接受，d表示防火墙执行的策略为拒绝；

r′₁：S∈[4，7]            ∧D∈[6，8]           →a

r′₂：S∈[4，7]            ∧D∈[2，5]∪[9，9]   →d

r′₃：S∈[4，7]            ∧D∈[1.1]∪[10，10]  →a

r′₄：S∈[3，3]∪[8，8]    ∧D∈[2，9]           →d

r′₅：S∈[3，3]∪[8，8]    ∧D∈[1，1]∪[10，10] →a

r′₆：S∈[1，2]∪[9，10]   ∧D∈ [1，10]         →a

所转化得到的防火墙决策图FDD如图3所示，从左到右共六条分支，例如第1条分支表示IP地址为[4，7]的计算机向IP地址为[6，8]的计算机发送数据包，防火墙执行的策略为接受；第二条分支表示IP地址为[4，7]的计算机向IP地址为[2，5]或[9，9]的计算机发送数据包，防火墙执行的策略为拒绝；

步骤B4防火墙服务器对其保存的防火墙决策图FDD按数据包中明文包头信息中的目的IP地址查询，得到分支终结点决策相同（同为a或者同为d）且目的IP地址域内含有数据包明文包头信息中目的IP地址的分支，本例取分支终结点决策同为d的分支；

如图3所示，本例数据包中明文包头信息中的目的IP地址为[8，8]；查询终结点为d且目的IP地址域含有[8，8]的分支，本例所得为图3中第4个分支，即图4左侧的分支。

步骤B5防火墙服务器将步骤B4得到的防火墙决策图分支去除目的IP地址域之后保存，如图所示，步骤B4得到图3中的第4个分支，即图4左侧的分支，其去除目的IP地址域D后所得分支如图4中间的分支，保存该分支。

步骤C  防火墙服务器将查询的结果转化成有序二叉决策图OBDD，保存有序二叉决策图OBDD以及与其对应的查询条件，即步骤B中所使用的明文包头信息包含的目的IP地址，本例中为8；

步骤C1防火墙服务器将步骤B5保存的各个防火墙决策图分支中的各个域名下的数域转换成有序二叉决策图OBDD；

步骤C11防火墙服务器将步骤B5保存的各个防火墙决策图分支中的各个域名下的数域中的数的二进制表示形式改用布尔表达式表示；布尔表达式的变量个数X满足log₂F≤X≤log₂F+1，该式中F为防火墙决策图FDD中对应数域的大小，X取整数；一个二进制数从左到右的每一位用一个变量表示，不足X位从左补0，即一个二进制数的位数为X，当二进制数的某位为0则该位变量取非；

以图3中第四个分支为例，将S域下的3和8用布尔表达式表示；本例防火墙决策图FDD中对应数域（S域）F=10，log₂10≤X≤log₂10+1，布尔表达式的变量个数X为4，数域中的数3的二进制表示形式为0011，数8的二进制表示形式为1000，数3的布尔表达式为X₃’X₂’X₁X₀，数8的布尔表达式为X₃X₂’X₁’X₀’，其中右上角带撇的变量表示该变量取非，如X₃’表示变量X₃取非；

步骤C12防火墙服务器将步骤C11所得的各个数的布尔表达式转换成有序二叉决策图OBDD，对集合内的有序二叉决策图OBDD进行逻辑或操作，得到数域的有序二叉决策图OBDD表示形式；

本例中将数3和数8的布尔表达式转换成有序二叉决策图，分别如图5左侧和中间所示；再将数3和数8的有序二叉决策图逻辑或，得到B5保存的分支中S域下数域的有序二叉决策图，如图5右侧所示，此即图4中间分支的S域下数域的有序二叉决策图。

其中同一分支下不同域名数域转换成的有序二叉决策图OBDD的变量具有不同的变量名；不同分支下域名相同的数域转换成的有序二叉决策图OBDD的变量具有相同的变量名和变量序，本例中S域名下数域的各变量名为X₀、X₁、X₂、X₃，变量序为X₃、X₂、X₁、X₀。

步骤C2防火墙服务器将步骤B5保存的所有防火墙决策图分支用一个有序二叉决策图OBDD表示；

步骤C21防火墙服务器对同一分支不同域名下的数域的有序二叉决策图OBDD进行逻辑与操作，得到每个分支的有序二叉决策图OBDD；

一个分支转换成的有序二叉决策图OBDD中的变量序按照防火墙决策图FDD分支从上到下的域名数域的有序二叉决策图OBDD变量的顺序排列。

步骤C22防火墙服务器对步骤C21得到的不同分支的有序二叉决策图OBDD进行逻辑或操作，得到所有保存的分支的一个有序二叉决策图OBDD。

本例中步骤B5保存的分支只有一个，这个分支转换成的有序二叉决策图（如图5右侧所示）亦是本步骤得到的所有保存的分支的有序二叉决策图，如图4右侧所示。

步骤C3防火墙服务器保存步骤C2所得到的有序二叉决策图OBDD及其对应的查询条件。

本例中保存的有序二叉决策图为图4右侧的有序二叉决策图，保存的查询条件为IP地址8。

步骤D  防火墙服务器加密并混淆步骤C得到的有序二叉决策图各节点后发送给VPN服务器；

步骤D1防火墙服务器向VPN服务器协调约定选用现行公钥加密算法中的某一种，本例中我们选用公钥长度为1024bits的RSA加密算法并用DE表示；并请求N个长度1024bits的公钥，其中N等于步骤C得到的有序二叉决策图OBDD内的变量个数，本例中N=4；并向VPN服务器发送一个M=1024bits的二进制码；

步骤D2VPN服务器产生4个公钥，并保留4个公钥对应的私钥；每个公钥与其异或M后的二进制码组成一对，即得到4个公钥对(PK_n ⁰,PK_n ¹)；n为1、2、3、4，PK_n ⁰和PK_n ¹为第n个公钥对中的公钥和与该公钥异或M后的二进制码组。

步骤D3VPN服务器将数据包加密部分的包头信息的明文按域名划分、再转换成相应的二进制数，按照步骤C得到的有序二叉决策图OBDD中规定的变量名和变量序，确定4个公钥对的每一对中的公钥的位置，若数据包加密部分的包头信息的明文的二进制数的该位取1则将对应的此个公钥对中的公钥置于后，即形式为

其中PK为公钥，

为该公钥异或M后的二进制码；若该位取0则将公钥置于前，即形式为

4个公钥对均按此规则排列；VPN服务器将所得的4个公钥对按（n，PK_n ⁰，PK_n ¹）的形式发送给防火墙服务器，其中n表示在4对公钥中此为第n个公钥对。

步骤D4防火墙服务器将步骤C得到的有序二叉决策图OBDD的终结点0、1置换成两个随机的二进制数M0、M1；VPN服务器不知道M0、M1与0、1的对应关系，但防火墙服务器保留其对应关系；

步骤D5防火墙服务器加密步骤C得到的有序二叉决策图OBDD中的各节点，将密文发送给VPN服务器；防火墙服务器生成4对密钥（S₁ ⁰，S₁ ¹），…，（S₄ ⁰，S₄ ¹），对应步骤C得到的有序二叉决策图OBDD中的变量X₃，…，X₀，各变量分别位于OBDD的各层，X₃位于OBDD的第一层，X₀位于OBDD的第4层；并对步骤C得到的有序二叉决策图OBDD中的每个节点分配一个密钥和一个标记。

处于步骤C得到的有序二叉决策图OBDD中的第3层节点v的密文形式如下：

(label(v)，

s₃ ⁰(label(low(v))||S_low（v）)，(label(high(v))||S_high(v）))；

步骤D6防火墙服务器使用步骤D1中与VPN服务器约定的RSA公钥加密算法、用上述步骤D3所得的4个公钥对加密步骤D5中使用的4对密钥（S₁ ⁰，S₁ ¹），…，（S₄ ⁰，S₄ ¹）；第n对公钥加密第n对密钥；发送密文给VPN服务器，密文形式如下：

(n,DE _PKn ⁰(Sn⁰),DE _PKn ¹(Sn¹))。

步骤E VPN服务器解密步骤D加密并混淆的有序二叉决策图，得到终结点信息，将得到的信息异或隧道内数据包的加密部分的包头信息的密文，发送至防火墙服务器；

步骤E1防火墙服务器将步骤D加密混淆后的有序二叉决策图OBDD根节点的label（v_init）以及其密钥S_Vinit发送给VPN服务器；

步骤E2VPN服务器用步骤D2保留的私钥解开所接收的防火墙服务器于步骤D6中产生并发送的4对密钥的密文中对应的S_l ^m，其中m=0或1，l∈[1,4]；

步骤E3VPN服务器利用根节点label（v_init）、S_Vinit以及S₁ ^mS₂ ^mS₃ ^mS₄ ^m解密OBDD各节点，得到终结点信息M0或者M1；

步骤E4VPN服务器用步骤E3得到的M0或者M1异或数据包加密部分的包头信息的密文，并将结果发送给防火墙服务器。

步骤F防火墙服务器执行防火墙策略，并将步骤A中的数据包的加密部分的包头信息（密文）添加到与该数据包明文包头信息中的目的IP地址对应的黑、白名单内。

步骤F1防火墙服务器将接受到的步骤E4VPN服务器发送的结果异或步骤A2中保存的该数据包加密部分的包头信息的密文；

步骤F2防火墙服务器将步骤F1的结果与M0、M1比较，确认VPN服务器得到OBDD的终结点为0还是1；

步骤F3防火墙服务器根据步骤F2确认的结果执行策略，当步骤B4中保存的防火墙决策图FDD分支的终结点决策为接受时，步骤F2得到的终结点为1执行接受，步骤F2得到的终结点为0执行拒绝；当步骤B4中保存的防火墙决策图FDD分支的终结点决策为拒绝时，步骤F2得到的终结点为1执行拒绝，步骤F2得到的终结点为0执行接受。

执行策略后，将数据包加密部分的包头信息的密文添加到与明文包头信息包含的目的IP地址对应的防火墙黑、白名单中，若执行策略为接受则加入白名单，为拒绝则加入黑名单。

本例步骤B4保存的防火墙决策图FDD分支的终结点决策为d即为拒绝，本例步骤F2得到的终结点为1就执行拒绝，为0就执行接受。

上述实施例，仅为对本发明的目的、技术方案和有益效果进一步详细说明的具体个例，本发明并非限定于此。凡在本发明的公开的范围之内所做的任何修改、等同替换、改进等，均包含在本发明的保护范围之内。

Claims (9)

1.虚拟专用网络中安全隐患的解决方法，在公用网络上建立虚拟专用网络的两个局域网络，漫游用户身处的局域网中具有防火墙服务器，另一局域网具有VPN服务器，其特征在于包括如下步骤：

步骤A防火墙服务器检查虚拟专用网络隧道内数据包的加密部分的包头信息的密文是否处于防火墙的与该数据包明文包头信息包含的目的IP地址对应的黑、白名单中；

步骤B若数据包的加密部分的包头信息的密文不存在于已有的黑白名单中，则防火墙服务器根据该数据包明文包头信息包含的目的IP地址查询防火墙，得出符合条件的防火墙决策图的分支；

步骤C  防火墙服务器将查询的结果转化成有序二叉决策图，保存有序二叉决策图以及与其对应的查询条件，即步骤B中所使用的数据包明文包头信息包含的目的IP地址；

步骤D  防火墙服务器加密并混淆步骤C得到的有序二叉决策图各节点后发送给VPN服务器；

步骤E VPN服务器解密步骤D加密混淆的有序二叉决策图，得到终结点信息，将得到的信息异或隧道内数据包的加密部分的包头信息的密文，发送至防火墙服务器；

步骤F  防火墙服务器执行防火墙策略，并将步骤A中的数据包的加密部分的包头信息的密文添加到与该数据包明文包头信息包含的目的IP地址对应的黑、白名单内。

2.根据权利要求1所述的虚拟专用网络中安全隐患的解决方法，其特征在于：

所述步骤A，包括如下步骤：

步骤A1防火墙服务器捕获隧道内的数据包，分离数据包明文包头信息，提取其中包含的目的IP地址；

步骤A2防火墙服务器提取数据包加密部分的包头信息的密文并保存，并与该数据包明文包头信息中目的IP地址对应的防火墙黑、白名单中检索比较，若该数据包加密部分的包头信息的密文存在于黑、白名单内则执行防火墙策略；若该数据包加密部分的包头信息的密文未见于黑、白名单，继续步骤B；

执行防火墙策略为：若数据包加密部分的包头信息的密文存在于黑名单中则丢弃该数据包；若数据包的加密部分的包头信息的密文存在于白名单中则按数据包明文包头信息包含的目的IP地址转发该数据包。

3.根据权利要求2所述的虚拟专用网络中安全隐患的解决方法，其特征在于：

所述步骤B，包括如下步骤：

步骤B1防火墙服务器根据步骤A1提取的数据包明文包头信息中的目的IP地址进行检索，并保存该查询条件；若步骤A1提取的数据包明文包头信息中的目的IP地址存在，说明防火墙服务器已检索过该查询条件，跳至步骤D，直接使用与该目的IP地址对应的有序二叉决策图；若未检索到步骤A1提取的数据包明文包头信息中的目的IP地址，继续步骤B2；

步骤B2防火墙服务器检查防火墙服务器更新日志判断防火墙规则库有否更新，若防火墙规则库未更新则直接跳至步骤B4；若防火墙规则库已更新，则继续步骤B3；

步骤B3防火墙服务器将防火墙规则库转化成防火墙决策图，并更新保存的防火墙决策图FDD；

步骤B4防火墙服务器对其保存的防火墙决策图FDD按步骤A1提取的数据包中的明文包头信息中包含的目的IP地址查询，得到分支终结点决策相同且分支中的目的IP地址域内含有数据包明文包头信息中的目的IP地址的分支；

步骤B5防火墙服务器将步骤B4得到的防火墙决策图分支去除目的IP地址域之后保存。

4.根据权利要求3所述的虚拟专用网络中安全隐患的解决方法，其特征在于：

所述步骤C，包括如下步骤：

步骤C1防火墙服务器将步骤B5保存的各个防火墙决策图分支中的各个域名下的数域转换成有序二叉决策图；

步骤C2防火墙服务器将步骤B5保存的所有防火墙决策图分支用一个有序二叉决策图表示；

步骤C3防火墙服务器保存步骤C2所得到的有序二叉决策图及其对应的查询条件。

5.根据权利要求4所述的虚拟专用网络中安全隐患的解决方法，其特征在于：

所述步骤C1包括：

步骤C11防火墙服务器将步骤B5保存的各个防火墙决策图分支中的各个域名下的数域中的数的二进制表示形式改用布尔表达式表示；布尔表达式的变量个数X满足log₂F≤X≤log₂F+1，该式中F为防火墙决策图中对应数域的大小，X取整数；一个二进制数从左到右的每一位用一个变量表示，不足X位从左补0，即一个二进制数的位数为X，当二进制数的某位为0则该位变量取非；

步骤C12防火墙服务器将步骤C11所得的各个数的布尔表达式转换成有序二叉决策图，对同一分支同一域名内的数的有序二叉决策图进行逻辑或操作，得到数域的有序二叉决策图表示形式；

其中同一分支下不同域名数域转换成的有序二叉决策图的变量具有不同的变量名；不同分支下域名相同的数域转换成的有序二叉决策图的变量具有相同的变量名和变量序。

6.根据权利要求4所述的虚拟专用网络中安全隐患的解决方法，其特征在于：

所述步骤C2包括如下步骤：

步骤C21防火墙服务器对同一分支不同域名下的数域的有序二叉决策图进行逻辑与操作，得到每个分支的有序二叉决策图；

一个分支转换成的有序二叉决策图OBDD中的变量顺序按照防火墙决策图分支从上到下的域名数域的有序二叉决策图变量的顺序排列；

步骤C22防火墙服务器对步骤C21得到的不同分支的有序二叉决策图进行逻辑或操作，得到所有保存的分支的一个有序二叉决策图。

7.根据权利要求4所述的虚拟专用网络中安全隐患的解决方法，其特征在于：

所述步骤D包括如下步骤：

步骤D1防火墙服务器向VPN服务器协调约定任意选用现行公钥加密算法中的某一种，并请求N个长度相同的公钥，即N个所约定的公钥加密算法中公开的长度相同的密钥，其中N等于步骤C得到的有序二叉决策图OBDD内的变量个数，公钥长度为M个bits，并向VPN服务器发送一个M个bits的二进制码；

步骤D2VPN服务器产生N个公钥，并保留N个公钥对应的私钥；每个公钥与其异或M后的二进制码组成一对，即得到N个公钥对(PK_n ⁰,PK_n ¹)；n为1～N的整数，PK_n ⁰和PK_n ¹为第n个公钥对中的公钥和该公钥异或M后的二进制码组；

步骤D3VPN服务器将数据包加密部分的包头信息的明文按域名划分、再转换成相应的二进制数，按照步骤C得到的有序二叉决策图中规定的变量名和变量序，确定N个公钥对的每一对中的公钥的位置，若数据包加密部分的包头信息的明文二进制数的该位取1则将对应的此个公钥对中的公钥置于后，即形式为

其中PK为其公钥，

为该公钥异或M后的二进制码；若该位取0则将公钥置于前，即形式为

N个公钥对均按此规则排列；VPN服务器将所得的N个公钥对按（n，PK_n ⁰，PK_n ¹）的形式发送给防火墙服务器，其中n表示在N对公钥中此为第n个公钥对；

步骤D4防火墙服务器将步骤C得到的有序二叉决策图的终结点0、1置换成两个随机的二进制数M0、M1；VPN服务器不知道M0、M1与0、1的对应关系，但防火墙服务器保留其对应关系；

步骤D5防火墙服务器加密步骤C得到的有序二叉决策图中的各节点，防火墙服务器生成N对密钥，对应步骤C得到的有序二叉决策图中分别处于N层的N个变量；并对步骤C得到的有序二叉决策图中的每个节点分配一个密钥和一个标记，将此发送密文给VPN服务器；

步骤D6防火墙服务器使用步骤D1中与VPN服务器约定的公钥加密算法、用上述步骤D3所得的N个公钥对加密步骤D5中使用的N对密钥；第n对公钥加密第n对密钥；防火墙服务器发送密文给VPN服务器。

8.根据权利要求7所述的虚拟专用网络中安全隐患的解决方法，其特征在于：

所述步骤E包括如下步骤：

步骤E1防火墙服务器将步骤D加密混淆后的有序二叉决策图的根节点v_init的标记label（v_init）以及根节点的密钥S_Vinit发送给VPN服务器；

步骤E2VPN服务器用步骤D2中保留的私钥解开所接收的防火墙服务器发送的于步骤D6中产生并发送的N对密钥的密文中对应的S_l ^m，其中m=0或1，l∈[1,N]；

步骤E3VPN服务器利用根节点label（v_init）、S_Vinit以及N个S_l ^m解密步骤D加密混淆后的有序二叉决策图各节点，得到终结点信息M0或者M1；

步骤E4VPN服务器用步骤E3得到的M0或者M1异或数据包加密部分包头信息的密文，并将结果发送给防火墙服务器。

9.根据权利要求8所述的虚拟专用网络中安全隐患的解决方法，其特征在于：

所述步骤F包括如下步骤：

步骤F1防火墙服务器将接收到的步骤E4中VPN服务器发送来的结果异或步骤A2中保存的该数据包加密部分的包头信息的密文；

步骤F2防火墙服务器将步骤F1的所得结果与M0、M1比较，确认VPN服务器得到的有序二叉决策图的终结点为0还是1；

步骤F3防火墙服务器根据步骤F2确认的结果执行策略，当步骤B4中保存的防火墙决策图分支的终结点决策为接受时，步骤F2得到的终结点为1执行接受，步骤F2得到的终结点为0执行拒绝；当步骤B4中保存的防火墙决策图分支的终结点决策为拒绝时，步骤F2得到的终结点为1执行拒绝，步骤F2得到的终结点为0执行接受；执行策略后，将数据包加密部分的包头信息的密文添加到与明文包头信息包含的目的IP地址对应的防火墙黑、白名单中，若执行策略为接受则加入白名单，执行策略为拒绝则加入黑名单。

Images