CN111865939A - 一种点对点国密隧道建立方法及装置 - Google Patents
一种点对点国密隧道建立方法及装置 Download PDFInfo
- Publication number
- CN111865939A CN111865939A CN202010624694.1A CN202010624694A CN111865939A CN 111865939 A CN111865939 A CN 111865939A CN 202010624694 A CN202010624694 A CN 202010624694A CN 111865939 A CN111865939 A CN 111865939A
- Authority
- CN
- China
- Prior art keywords
- ssl vpn
- vpn server
- mobile client
- server
- branch
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3066—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Abstract
本发明公开了一种点对点国密隧道建立方法及装置,包括:安装总部端的SSL VPN服务器A,并为SSL VPN服务器A配备唯一标识;安装分部端SSL VPN服务器B,为SSL VPN服务器B配置一个分部局域网内部IP地址,使其可以访问因特网;用户通过身份验证后获取访问控制权限,可通过SSL VPN服务器间的隧道实现加密数据安全传输。通过SSL VPN技术实现企业组网,通过SSL加密技术保护企业内网不被攻击,内部资源不被窃取;建立了点对点国密隧道,使得企业能够在公共网络上通过虚拟专用隧道实现总部与分部、移动客户端之间安全的网络连接与加密数据传输。
Description
技术领域
本发明涉及国密算法技术领域,尤其涉及一种点对点国密隧道建立方法及装置。
背景技术
随着互联网和电子商务的飞速发展,越来越多的员工、客户、供应商和合作伙伴等希望能够随时随地访问公司内部资源。但是用户身份的合理性、远端及移动端访问内网的安全性等问题都可能产生一定程度的安全隐患。因此,通过加密实现安全入网的SSL VPN(安全套接层虚拟专网)技术提供了一种安全机制,保护企业内网不被攻击,内部资源不被窃取。
VPN(Virtual Private Network)即虚拟专用网络,指在公共通信基础设施上构建虚拟专用或私有网。本发明中VPN主要用于企业组网,具体指连接因特网上不同分布的企业内部网间建立的专有通讯线路。为保证VPN能够实现企业总部与分部、移动客户端之间安全的网络连接与数据传输,一般VPN需采用专用的网络加密和通信协议,使得企业能够在公共网络上建立虚拟的加密通道,构筑安全的虚拟专网。SSL(Secure Sockets Layer)即安全套接协议层,是一种加密传输技术协议。SSL的安全功能组件包括三部分:认证,对连接两端的服务器或服务器和客户端进行验证;加密,对传输数据进行加密,只有加密的双方才能交换信息并相互识别;完整性验证,对信息内容检测防止篡改。SSL协议主要包括握手子协议和记录子协议,所述握手协议允许服务器之间或服务器与客户端彼此认证并协商加密算法及加解密密钥,所述记录协议利用握手协议生成的密钥加解密传输数据。上述两者结合即产生SSL VPN,该技术可大幅增强远端用户接入企业内网安全性。
点对点隧道协议PPTP(Point to Point Tunneling Protocol)是实现VPN的方式之一。PPTP基于TCP/IP的数据网络创建VPN实现从移动客户端/分部服务器到企业总部服务器之间数据的安全加密传输。通过点对点隧道协议,远端客户端可以通过windows操作系统及其他装有点对点协议的系统安全访问公司网络。
随着信息安全的重要性不断提高,国家相关监管机构提出了推动国密算法应用实施、加强行业安全可控的要求。密码算法是保障信息安全的核心技术,增强我国行业信息系统的应用安全,摆脱对国外技术和产品的过度依赖尤为重要。因此,本发明所述SSL VPN是基于国密的技术,所述SSL是基于国密算法的加密通讯协议,所述点对点隧道是使用国密加密的传输信道。
发明内容
本发明提供的一种技术方案是一种点对点国密隧道建立装置,由四部分组成:总部系统、分部局域网、移动客户端和因特网。所述总部系统包括企业总部服务器群和总部端SSL VPN服务器;所述分部局域网包括企业分部服务器、分部端SSL VPN服务器及其所连接的用户服务器;所述移动客户端包括PC、手机、PAD等移动通讯设备。
本发明的技术方案同时还记载了一种点对点国密隧道建立方法:包括;
总部端SSL VPN服务器A,并为SSL VPN服务器A配备唯一标识;
分部端SSL VPN服务器B,为SSL VPN服务器B配置一个分部局域网内部IP地址并使其可以访问因特网;
移动客户端,移动客户端程序CCA创建一个虚拟网卡,SSL VPN服务器A会给移动客户端分配一个IP地址;移动客户端程序CCA与SSL VPN服务器A间的隧道实现加密数据安全传输;
总部端与分部端国密隧道建立包括:
1、分部端SSL VPN服务器B转发访问请求至总部端SSL VPN服务器A并告知其所支持的通信协议版本列表和SM2_SM4_SM3加密算法;另外,分部端SSL VPN服务器B还生成一个随机数a传送给总部端SSL VPN服务器A用于生成主密钥。
2、总部端SSL VPN服务器A收到分部端SSL VPN服务器B的请求后发送其国密证书及验证分部端SSL VPN服务器B身份的国密证书请求;同时,总部端SSL VPN服务器A生产一个随机数b发送至分部端SSL VPN服务器B;总部端SSL VPN服务器A与分部端SSL VPN服务器B使用随机数a和随机数b生成主秘钥。
3、分部端SSL VPN服务器B对总部端SSL VPN服务器A的国密证书验证无误后,分部端SSL VPN服务器B向总部端SSL VPN服务器A发送:使用总部端SSL VPN服务器A公钥加密的与预主秘钥、表示随后信息都将使用双方协定加密方式发送的编码改变通知、表示分部端SSL VPN服务器B握手阶段结束的握手结束通知。
4、总部端SSL VPN服务器A在收到分部端SSL VPN服务器B传来的预主密钥之后使用其私钥对该加密数据进行解密及数据验证,总部端SSL VPN服务器A生成工作密钥后给分部端SSL VPN服务器B发送编码改变通知并告诉分部端SSL VPN服务器B已经切换到协商过的国密加密套件状态并准备使用加密套件和工作密钥加密数据;总部端SSL VPN服务器A会用工作密钥加密结束消息发送给分部端SSL VPN服务器B以验证通过握手协议建立的加密通道。
5、根据上述握手信息,如果总部端SSL VPN服务器A和分部端SSL VPN服务器B都能对结束信息进行正常加解密且消息正确验收,则成功建立基于国密算法的点对点隧道,接下来两端服务器可以通过工作密钥通过点对点国密隧道进行加解密传输数据。
6、总部端SSL VPN服务器A和分部端SSL VPN服务器B完成身份认证并成功建立点对点国密隧道之后,总部端SSL VPN服务器A向分部端SSL VPN服务器B发送分部端有权使用的应用列表。其中,应用包括但不局限于WEB代理、端口映射、IP连接等。
7、分部端SSL VPN服务器B在有权使用的应用列表范围内对总部端SSL VPN服务器A发起应用访问请求,总部端SSL VPN服务器A转发解密后的分部访问请求,与总部内网进行数据交换;总部端SSL VPN服务器A对总部响应数据进行加密并发送给分部端SSL VPN服务器B,分部端SSL VPN服务器B解密并转发数据给分部。
总部端与移动端国密隧道建立包括:
1、移动客户端程序创建一个虚拟网卡,总部端SSL VPN服务器A从地址池给移动客户端取一个IP地址,同时下发路由等信息,总部端SSL VPN服务器A针对该地址池也会有一个服务器地址,作为移动客户端程序虚拟网卡的网关。
2、移动客户端转发访问请求至总部端SSL VPN服务器A并告知其所支持的通信协议版本列表和SM2_SM4_SM3加密算法;另外,移动客户端还生成一个随机数d传送给总部端SSL VPN服务器A用于生成主密钥。
3、总部端SSL VPN服务器A收到移动客户端的请求后发送其国密证书及验证移动客户端身份的国密证书请求;同时,总部端SSL VPN服务器A生产一个随机数e发送至移动客户端;总部端SSL VPN服务器A与移动客户端使用随机数d和随机数e生成主秘钥。
4、移动客户端对总部端SSL VPN服务器A的国密证书验证无误后,移动客户端向总部端SSL VPN服务器A发送:使用总部端SSL VPN服务器A公钥加密的与预主秘钥、表示随后信息都将使用双方协定加密方式发送的编码改变通知、表示移动客户端握手阶段结束的握手结束通知。
5、总部端SSL VPN服务器A在收到移动客户端传来的预主密钥之后使用其私钥对该加密数据进行解密及数据验证,总部端SSL VPN服务器A生成工作密钥后给移动客户端发送编码改变通知并告诉移动客户端已经切换到协商过的国密加密套件状态并准备使用加密套件和工作密钥加密数据;总部端SSL VPN服务器A会用工作密钥加密结束消息发送给移动客户端以验证通过握手协议建立的加密通道。
6、根据上述握手信息,如果移动客户端和总部端SSL VPN服务器A都能对结束信息进行正常加解密且消息正确验收,则成功建立基于国密算法的点对点隧道,接下来双方可以通过工作密钥通过点对点国密隧道进行加解密传输数据。
7、移动客户端和总部端SSL VPN服务器A完成身份认证并成功建立点对点国密隧道之后,总部端SSL VPN服务器A向移动客户端发送客户有权使用的应用列表,应用包括但不限于WEB代理、端口映射、IP连接等。
8、移动客户端在有权使用的应用列表范围内对总部发起应用访问请求,总部端SSL VPN服务器A转发解密后的移动客户端访问请求,与总部内网进行数据交换;总部端SSLVPN服务器A对总部响应数据进行加密并发送给移动客户端。
综上所述,本发明的优点是:通过SSL VPN技术实现企业组网,通过SSL加密技术保护企业内网不被攻击,内部资源不被窃取;建立了点对点国密隧道,使得企业能够在公共网络上通过虚拟专用隧道实现总部与分部、移动客户端之间安全的网络连接与加密数据传输。
附图说明
下面结合附图及实施例对本发明作进一步描述:
图1为企业分部端访问总部过程关系图;
图2为移动客户端访问总部过程关系图;
图3为点对点国密隧道装置示意图。
具体实施方式
实施例1
企业总部与分部国密隧道的建立方法
为了实现企业组网,本发明提供一种企业总部与分部之间建立点对点国密隧道的方法,包括:安装总部端SSL VPN服务器A,并为总部端SSL VPN服务器A配备唯一标识;安装分部端SSL VPN服务器B,为分部端SSL VPN服务器B配置一个分部局域网内部IP地址,使其可以访问因特网;用户通过身份验证后获取访问控制权限,可通过SSL VPN服务器间的隧道实现加密数据安全传输。具体的企业分部端访问过程如图1所示:
(1)访问请求
此步骤中企业分部发起访问请求,分部端SSL VPN服务器B转发该请求,并需告知总部端SSL VPN服务器A自己所支持的通信协议版本列表和加密算法,发送本端支持的加密套件列表给对端服务器A;另外分部端SSL VPN服务器B还需要生成一个随机数传送给对应总部端SSL VPN服务器A,用于生成主密钥。
具体地,加密套件即加密算法的组合,如SM2_SM4_SM3表示密钥协商算法使用的是SM2,对称加密算法使用的是SM4,摘要使用的是SM3。
优选地,本发明选用基于国密的加密套件SM2_SM4_SM3。SM2算法是一种基于椭圆曲线的非对称加密算法;SM3是一种哈希算法,主要用于计算消息的摘要,验证消息的完整性;SM4为分组对称算法,用于实现数据的加密、解密运算,以保证数据和信息的机密性。
(2)SSL VPN服务器A响应请求并要求进行身份认证
总部端SSL VPN服务器A收到对端服务器B的请求之后,发送自己的证书给对端分部端SSL VPN服务器B。同时总部端SSL VPN服务器A还需要对分部端SSL VPN服务器B进行身份验证,以保证数据传送给了安全合法的服务器,即向分部端SSL VPN服务器B发出证书请求。此外总部端SSL VPN服务器A需确认通信版本和加密方式,并产生一个随机数并发送给分部端SSL VPN服务器B,两台服务器均需要使用上述两个随机数产生主密钥。最后总部端SSL VPN服务器A会发送一个请求结束的消息,表示响应结束。
具体地,颁发国密证书会同时产生一对密钥,包括一个公钥和一个私钥,私钥由总部端SSL VPN服务器A保存,公钥附带在证书的信息中发送给分部端SSL VPN服务器B;证书也附带一个电子签名,该签名用于验证证书的完整性和真实性,用于防止证书被篡改。
优选地,在总部端SSL VPN服务器A向分部端SSL VPN服务器B发送的证书中信息量不足时,需向分部端SSL VPN服务器B发送一个密钥协商请求。
(3)SSL VPN服务器B回应并进行密钥协商
分部端SSL VPN服务器B对总部端SSL VPN服务器A的证书进行检查,如果证书不是可信机构颁布、或者证书中的域名与实际域名不一致、或者证书已经过期,向访问者显示一个警告;若证书没有问题,分部端SSL VPN服务器B需要向总部端SSL VPN服务器A发送己端的证书,然后分部端SSL VPN服务器B会从对端证书中取出公钥,并向对端总部端SSL VPN服务器A发送以下信息:
(a)随机数,该随机数需用总部端SSL VPN服务器A公钥加密;
(b)编码改变通知,表示随后的信息都将用双方协定的加密方式和密钥发送;
(c)握手结束通知,表示分部端SSL VPN服务器B的握手阶段已经结束。这一项同时也是前面发送的所有内容的哈希值,以供校验。
优选地,上述步骤中的随机数时整个握手阶段的第三个随机数,该随机数是分部端SSL VPN服务器B使用SM2产生的48个字节的密钥,被称为预主密钥。
(4)SSL VPN服务器A回应
总部端SSL VPN服务器A在收到分部端SSL VPN服务器B传来的预主密钥之后使用私钥对该加密数据进行解密,并对数据进行验证,和分部端SSL VPN服务器B以同样的方式生成工作密钥,一切准备好之后,会给分部端SSL VPN服务器B发送编码改变通知,告诉分部端SSL VPN服务器B已经切换到协商过的加密套件状态,准备使用加密套件和工作密钥加密数据。之后,总部端SSL VPN服务器A会用工作密钥加密结束消息发送给分部端SSL VPN服务器B,以验证通过握手协议建立的加密通道是否成功。
(5)建立点对点国密隧道
根据上述握手信息,如果两端SSL VPN服务器都能对结束信息进行正常加解密且消息正确验收,则成功建立基于国密算法的点对点隧道,接下来两端服务器可以通过工作密钥通过点对点国密隧道进行加解密传输数据。
(6)发送有权使用的应用列表
两端服务器完成身份认证并成功建立点对点国密隧道之后,总部端SSL VPN服务器A向分部端SSL VPN服务器B发送分部端有权使用的应用列表。
具体地,应用包括但不局限于WEB代理、端口映射、IP连接等。
(7)发起应用访问请求与响应请求
分部端在有权使用的应用列表范围内对总部发起应用访问请求,总部端SSL VPN服务器A转发解密后的分部访问请求,与总部内网进行数据交换;总部端SSL VPN服务器A对总部响应数据进行加密并发送给分部端SSL VPN服务器B,分部端SSL VPN服务器B解密并转发数据给分部。
特别地,在上述步骤(1)-(7)中总部端SSL VPN服务器A与分部端SSL VPN服务器B之间传输的数据均通过基于国密的协商工作密钥加密;步骤(7)中总部端SSL VPN服务器A与总部之间传输的数据均为解密后的数据;步骤(6)-(7)中分部端SSL VPN服务器B与分部之间传输的数据均为解密后的数据。
实施例2:
企业总部与移动客户端国密隧道的建立方法
为了实现企业组网,本发明提供一种企业总部与移动客户端之间建立点对点国密隧道的方法,包括:安装总部端SSL VPN服务器A,并为总部端SSL VPN服务器A配备唯一标识;安装移动客户端程序CCA,目的是给移动客户端创建一个虚拟网卡,虚拟网卡创建完成后,总部端SSL VPN服务器A会给移动客户端分配一个IP地址;移动客户端程序与SSL VPN服务器间的隧道实现加密数据安全传输。具体的移动客户端访问过程如图2所示:
(1)创建虚拟网卡
移动客户端程序创建一个虚拟网卡,总部端SSL VPN服务器A从地址池给移动客户端取一个IP地址,同时下发路由等信息,总部端SSL VPN服务器A针对该地址池也会有一个服务器地址,作为移动客户端程序虚拟网卡的网关;
(2)访问请求
此步骤中移动客户端发起访问请求,告知总部端SSL VPN服务器A自己所支持的加密算法和通信协议版本,发送本端支持的加密套件列表给对端总部端SSL VPN服务器A;另外移动客户端还需要生成一个随机数,并传送给对端总部端SSL VPN服务器A,用于生成主密钥。
具体地,加密套件即加密算法的组合,如SM2_SM4_SM3表示密钥协商算法使用的是SM2,对称加密算法使用的是SM4,摘要使用的是SM3。
优选地,本发明选用基于国密的加密套件SM2_SM4_SM3。SM2算法是一种基于椭圆曲线的非对称加密算法;SM3是一种哈希算法,主要用于计算消息的摘要,验证消息的完整性;SM4为分组对称算法,用于实现数据的加密、解密运算,以保证数据和信息的机密性。
(3)服务器A响应请求并要求进行身份认证
总部端SSL VPN服务器A收到移动客户端的请求之后,发送自己的证书给移动客户端。同时总部端SSL VPN服务器A还需要对移动客户端进行身份验证,以保证数据传送给了安全合法的移动客户端,即发出证书请求。此外总部端SSL VPN服务器A也需要确认通信协议版本和加密方式,并产生一个随机数发送给移动客户端,结合移动客户端的随机数共同用于产生主密钥。最后总部端SSL VPN服务器A会发送一个请求结束的消息,表示响应结束。
SSL VPN服务器A的响应包括以下消息:
具体地,颁发国密证书会同时产生一对密钥,包括一个公钥和一个私钥,私钥由总部端SSL VPN服务器A保存,公钥附带在证书的信息中发送给移动客户端;证书也附带一个电子签名,该签名用于验证证书的完整性和真实性,用于防止证书被篡改。
优选地,在总部端SSL VPN服务器A向移动客户端发送的证书中信息量不足时,需向移动客户端发送一个密钥协商请求。
(4)客户端回应并进行密钥协商
移动客户端对总部端SSL VPN服务器A的证书进行检查,如果证书不是可信机构颁布、或者证书中的域名与实际域名不一致、或者证书已经过期,向访问者显示一个警告;若证书没有问题,移动客户端需要向总部端SSL VPN服务器A发送己端的证书,然后移动客户端会从对端证书中取出公钥,并向对端总部端SSL VPN服务器A发送以下信息:
(a)随机数,该随机数需用总部端SSL VPN服务器A公钥加密;
(b)编码改变通知,表示随后的信息都将用双方协定的加密方式和密钥发送;
(c)握手结束通知,表示移动客户端的握手阶段已经结束。这一项同时也是前面发送的所有内容的哈希值,以供校验。
优选地,上述步骤中的随机数时整个握手阶段的第三个随机数,该随机数是客户端使用SM2产生的48个字节的密钥,被称为预主密钥。
(5)SSL VPN服务器A回应
总部端SSL VPN服务器A在收到移动客户端传来的预主密钥之后使用私钥对该加密数据进行解密,并对数据进行验证,和移动客户端以同样的方式生成工作密钥,一切准备好之后,会给移动客户端发送编码改变通知,告诉移动客户端已经切换到协商过的加密套件状态,准备使用加密套件和工作密钥加密数据。之后,总部端SSL VPN服务器A会用工作密钥加密结束消息发送给移动客户端,以验证通过握手协议建立的加密通道是否成功。
(6)建立点对点国密隧道
根据上述握手信息,如果移动客户端和总部端SSL VPN服务器A都能对结束信息进行正常加解密且消息正确验收,则成功建立基于国密算法的点对点隧道,接下来双方可以通过工作密钥通过点对点国密隧道进行加解密传输数据。
(7)发送有权使用的应用列表
移动客户端和总部端SSL VPN服务器A完成身份认证并成功建立点对点国密隧道之后,总部端SSL VPN服务器A向移动客户端发送客户有权使用的应用列表。
具体地,应用包括但不局限于WEB代理、端口映射、IP连接等。
(8)发起应用访问请求与响应请求
移动客户端在有权使用的应用列表范围内对总部发起应用访问请求,总部端SSL VPN服务器A转发解密后的移动客户端访问请求,与总部内网进行数据交换;总部端SSL VPN服务器A对总部响应数据进行加密并发送给移动客户端。
特别地,在上述步骤(2)-(8)中总部端SSL VPN服务器A与移动客户端之间传输的数据均通过基于国密的协商工作密钥加密;步骤(8)中总部端SSL VPN服务器A与总部之间传输的数据均为解密后的数据。
本发明实施例仅例示性说明本发明的原理及其功效,而非用于限制本发明的。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下,对上述实施例进行修饰或改变。因此,举凡所属技术领域中具有通常知识者在未脱离本发明的所揭示的精神与技术思想下所完成的一切等效修饰或改变,仍应由本发明的权利要求所涵盖。
Claims (11)
1.一种点对点国密隧道建立方法及装置,包括;
总部端SSL VPN服务器A,并为SSL VPN服务器A配备唯一标识;
分部端SSL VPN服务器B,为SSL VPN服务器B配置一个分部局域网内部IP地址并使其可以访问因特网;
移动客户端,移动客户端程序CCA创建一个虚拟网卡,SSL VPN服务器A会给移动客户端分配一个IP地址;移动客户端程序CCA与SSL VPN服务器A间的隧道实现加密数据安全传输;
总部端与分部端国密隧道建立包括:
基于通信协议版本列表和SM2_SM4_SM3加密算法,分部端SSL VPN服务器B向总部端SSLVPN服务器A发送访问请求及随机数;
总部端SSL VPN服务器A响应分部端SSL VPN服务器B的访问请求并基于国密证书进行身份认证;
分部端SSL VPN服务器B回应总部端SSL VPN服务器A的身份认定并与部端SSL VPN服务器A进行秘钥协商;
总部端SSL VPN服务器A回应分部端SSL VPN服务器B的秘钥协定并验证通过握手协议建立点对点国密隧道;
总部端与移动端国密隧道建立包括:
基于通信协议版本列表和SM2_SM4_SM3加密算法,移动客户端向总部端SSL VPN服务器A发送访问请求及随机数;
总部端SSL VPN服务器A响应移动客户端的访问请求并基于国密证书进行身份认证;
移动客户端回应总部端SSL VPN服务器A的身份认定并与部端SSL VPN服务器A进行秘钥协商;
总部端SSL VPN服务器A回应移动客户端的秘钥协定并验证通过握手协议建立点对点国密隧道。
2.根据权利要求1所述的一种点对点国密隧道建立方法,其特征在于:总部端与分部端国密隧道建立步骤包括:
分部端SSL VPN服务器B转发访问请求至总部端SSL VPN服务器A并告知其所支持的通信协议版本列表和SM2_SM4_SM3加密算法;另外,分部端SSL VPN服务器B还生成一个随机数a传送给总部端SSL VPN服务器A用于生成主密钥;
总部端SSL VPN服务器A收到分部端SSL VPN服务器B的请求后发送其国密证书及验证分部端SSL VPN服务器B身份的国密证书请求;同时,总部端SSL VPN服务器A生产一个随机数b发送至分部端SSL VPN服务器B;总部端SSL VPN服务器A与分部端SSL VPN服务器B使用随机数a和随机数b生成主秘钥;
分部端SSL VPN服务器B对总部端SSL VPN服务器A的国密证书验证无误后,分部端SSLVPN服务器B向总部端SSL VPN服务器A发送:基于SM2算法产生的预主秘钥、表示随后信息都将使用双方协定加密方式发送的编码改变通知、表示分部端SSL VPN服务器B握手阶段结束的握手结束通知;
总部端SSL VPN服务器A在收到分部端SSL VPN服务器B传来的预主密钥之后使用其私钥对该加密数据进行解密及数据验证,总部端SSL VPN服务器A生成工作密钥后给分部端SSL VPN服务器B发送编码改变通知并告诉分部端SSL VPN服务器B已经切换到协商过的国密加密套件状态并准备使用加密套件和工作密钥加密数据;总部端SSL VPN服务器A会用工作密钥加密结束消息发送给分部端SSL VPN服务器B以验证通过握手协议建立的加密通道。
3.根据权利要求2所述的一种点对点国密隧道建立方法,其特征在于:总部端与移动端国密隧道建立步骤包括:
移动客户端转发访问请求至总部端SSL VPN服务器A并告知其所支持的通信协议版本列表和SM2_SM4_SM3加密算法;另外,移动客户端还生成一个随机数d传送给总部端SSL VPN服务器A用于生成主密钥;
总部端SSL VPN服务器A收到移动客户端的请求后发送其国密证书及验证移动客户端身份的国密证书请求;同时,总部端SSL VPN服务器A生产一个随机数e发送至移动客户端;总部端SSL VPN服务器A与移动客户端使用随机数d和随机数e生成主秘钥;
移动客户端对总部端SSL VPN服务器A的国密证书验证无误后,移动客户端向总部端SSL VPN服务器A发送:基于SM2算法产生的预主秘钥、表示随后信息都将使用双方协定加密方式发送的编码改变通知、表示移动客户端握手阶段结束的握手结束通知;
总部端SSL VPN服务器A在收到移动客户端传来的预主密钥之后使用其私钥对该加密数据进行解密及数据验证,总部端SSL VPN服务器A生成工作密钥后给移动客户端发送编码改变通知并告诉移动客户端已经切换到协商过的国密加密套件状态并准备使用加密套件和工作密钥加密数据;总部端SSL VPN服务器A会用工作密钥加密结束消息发送给移动客户端以验证通过握手协议建立的加密通道。
4.根据权利要求1或2或3所述的一种点对点国密隧道建立方法,其特征在于:所述SM2_SM4_SM3加密算法表示密钥协商算法使用的是SM2算法,对称加密算法使用的是SM4算法,摘要使用的是SM3算法。
5.根据权利要求2所述的一种点对点国密隧道建立方法,其特征在于:总部端与分部端国密隧道建立过程的第三步骤中:分部端SSL VPN服务器B向总部端SSL VPN服务器A发送:基于SM2算法产生的预主秘钥;该预主秘钥为总部端SSL VPN服务器A公钥加密的随机数,该随机数为分部端SSL VPN服务器B使用SM2算法产生的48个字节的秘钥。
6.根据权利要求3所述的一种点对点国密隧道建立方法,其特征在于:总部端与移动端国密隧道建立过程的第三步骤中:移动客户端向总部端SSL VPN服务器A发送:基于SM2算法产生的预主秘钥;该预主秘钥为总部端SSL VPN服务器A公钥加密的随机数,该随机数为移动客户端使用SM2算法产生的48个字节的秘钥。
7.根据权利要求2所述的一种点对点国密隧道建立方法,其特征在于:总部端与分部端国密隧道建立完成后,总部端SSL VPN服务器A向分部端SSL VPN服务器B发送分部端有权使用的应用列表。
8.根据权利要求7所述的一种点对点国密隧道建立方法,其特征在于:分部端有权使用的应用列表包括但不局限于WEB代理、端口映射、IP连接。
9.根据权利要求3所述的一种点对点国密隧道建立方法,其特征在于:总部端与移动端国密隧道建立完成后,总部端SSL VPN服务器A向移动客户端发送客户端有权使用的应用列表。
10.根据权利要求9所述的一种点对点国密隧道建立方法,其特征在于客户端有权使用的应用列表:包括但不局限于WEB代理、端口映射、IP连接。
11.一种根据权利要求1所述的点对点国密隧道建立方法所应用的装置,其特征在于:总部系统模块、分部局域网模块、移动客户端模块、因特网模块;所述总部系统模块包括企业总部服务器群和总部端SSL VPN服务器A;所述分布局域网模块包括企业分部服务器、分部端SSL VPN服务器B及其所连接的用户服务器;所述移动客户端模块包括但不限于PC机、手机、PAD。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010624694.1A CN111865939A (zh) | 2020-07-02 | 2020-07-02 | 一种点对点国密隧道建立方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010624694.1A CN111865939A (zh) | 2020-07-02 | 2020-07-02 | 一种点对点国密隧道建立方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111865939A true CN111865939A (zh) | 2020-10-30 |
Family
ID=72988948
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010624694.1A Pending CN111865939A (zh) | 2020-07-02 | 2020-07-02 | 一种点对点国密隧道建立方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111865939A (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113691394A (zh) * | 2021-07-29 | 2021-11-23 | 广州鲁邦通物联网科技有限公司 | 一种vpn通信的建立和切换的方法和系统 |
| CN113810373A (zh) * | 2021-08-11 | 2021-12-17 | 长沙证通云计算有限公司 | 一种基于国密算法的ceph可视化一键部署方法 |
| CN113872990A (zh) * | 2021-10-19 | 2021-12-31 | 南方电网数字电网研究院有限公司 | 基于ssl协议的vpn网络证书认证方法、装置和计算机设备 |
| CN113904773A (zh) * | 2021-10-11 | 2022-01-07 | 博雅中科(北京)信息技术有限公司 | Ssl连接建立方法、装置、电子设备及计算机可读存储介质 |
| CN114070606A (zh) * | 2021-11-12 | 2022-02-18 | 山东方寸微电子科技有限公司 | 一种基于国产操作系统的网络安全终端装置及工作方法 |
| CN114629678A (zh) * | 2021-12-31 | 2022-06-14 | 绿盟科技集团股份有限公司 | 一种基于tls的内网穿透方法及装置 |
| CN115361275A (zh) * | 2022-08-16 | 2022-11-18 | 深圳市网安信科技有限公司 | 平面网络自动化部署系统 |
| CN115378578A (zh) * | 2022-10-25 | 2022-11-22 | 国网信息通信产业集团有限公司 | 一种基于国密sm4的sd-wan实现方法及系统 |
| CN116801239A (zh) * | 2023-08-23 | 2023-09-22 | 国网信息通信产业集团有限公司 | 一种基于国密sm4的点对点虚拟通信方法及系统 |
| CN117614751A (zh) * | 2024-01-24 | 2024-02-27 | 上海银基信息安全技术股份有限公司 | 内网访问方法及系统 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109889422A (zh) * | 2019-03-07 | 2019-06-14 | 江苏省人民医院 | 结合虚拟化桌面与ssl vpn实现远程放疗计划的方法 |
-
2020
- 2020-07-02 CN CN202010624694.1A patent/CN111865939A/zh active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109889422A (zh) * | 2019-03-07 | 2019-06-14 | 江苏省人民医院 | 结合虚拟化桌面与ssl vpn实现远程放疗计划的方法 |
Non-Patent Citations (3)
| Title |
|---|
| 尹文琪: ""基于国密算法的SSL_VPN的设计与实现"", 《中国优秀硕士论文全文数据库(电子期刊)信息科技辑》 * |
| 王谨旗: "基于国家标准的SSL VPN安全网关研究与实现", 《无线互联科技》 * |
| 谭武征、黄敏、曾建发等: ""SSL VPN技术规范"", 《HTTPS://WWW.BJGM.GOV.CN/WEB/STATIC/ARTICLES/CATALOG_FF80808135BCBC840135D78FE7140001/ARTICLE_FF80808135BCBC8401361AACEC5F00B3/FF80808135BCBC8401361AACEC5F00B5.PDF》 * |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113691394A (zh) * | 2021-07-29 | 2021-11-23 | 广州鲁邦通物联网科技有限公司 | 一种vpn通信的建立和切换的方法和系统 |
| CN113691394B (zh) * | 2021-07-29 | 2023-07-21 | 广州鲁邦通物联网科技股份有限公司 | 一种vpn通信的建立和切换的方法和系统 |
| CN113810373B (zh) * | 2021-08-11 | 2023-04-07 | 长沙证通云计算有限公司 | 一种基于国密算法的ceph可视化一键部署方法 |
| CN113810373A (zh) * | 2021-08-11 | 2021-12-17 | 长沙证通云计算有限公司 | 一种基于国密算法的ceph可视化一键部署方法 |
| CN113904773A (zh) * | 2021-10-11 | 2022-01-07 | 博雅中科(北京)信息技术有限公司 | Ssl连接建立方法、装置、电子设备及计算机可读存储介质 |
| CN113904773B (zh) * | 2021-10-11 | 2023-07-07 | 博雅中科(北京)信息技术有限公司 | Ssl连接建立方法、装置、电子设备及计算机可读存储介质 |
| CN113872990A (zh) * | 2021-10-19 | 2021-12-31 | 南方电网数字电网研究院有限公司 | 基于ssl协议的vpn网络证书认证方法、装置和计算机设备 |
| CN114070606A (zh) * | 2021-11-12 | 2022-02-18 | 山东方寸微电子科技有限公司 | 一种基于国产操作系统的网络安全终端装置及工作方法 |
| CN114629678B (zh) * | 2021-12-31 | 2023-09-19 | 绿盟科技集团股份有限公司 | 一种基于tls的内网穿透方法及装置 |
| CN114629678A (zh) * | 2021-12-31 | 2022-06-14 | 绿盟科技集团股份有限公司 | 一种基于tls的内网穿透方法及装置 |
| CN115361275A (zh) * | 2022-08-16 | 2022-11-18 | 深圳市网安信科技有限公司 | 平面网络自动化部署系统 |
| CN115378578B (zh) * | 2022-10-25 | 2023-02-03 | 国网信息通信产业集团有限公司 | 一种基于国密sm4的sd-wan实现方法及系统 |
| CN115378578A (zh) * | 2022-10-25 | 2022-11-22 | 国网信息通信产业集团有限公司 | 一种基于国密sm4的sd-wan实现方法及系统 |
| CN116801239A (zh) * | 2023-08-23 | 2023-09-22 | 国网信息通信产业集团有限公司 | 一种基于国密sm4的点对点虚拟通信方法及系统 |
| CN116801239B (zh) * | 2023-08-23 | 2024-01-09 | 国网信息通信产业集团有限公司 | 一种基于国密sm4的点对点虚拟通信方法及系统 |
| CN117614751A (zh) * | 2024-01-24 | 2024-02-27 | 上海银基信息安全技术股份有限公司 | 内网访问方法及系统 |
| CN117614751B (zh) * | 2024-01-24 | 2024-04-02 | 上海银基信息安全技术股份有限公司 | 内网访问方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111865939A (zh) | 一种点对点国密隧道建立方法及装置 | |
| US11477037B2 (en) | Providing forward secrecy in a terminating SSL/TLS connection proxy using ephemeral Diffie-Hellman key exchange | |
| US9847882B2 (en) | Multiple factor authentication in an identity certificate service | |
| US7584505B2 (en) | Inspected secure communication protocol | |
| CN112235235B (zh) | 一种基于国密算法的sdp认证协议实现方法 | |
| CN111756529B (zh) | 一种量子会话密钥分发方法及系统 | |
| CN104506534A (zh) | 安全通信密钥协商交互方案 | |
| CN111935213B (zh) | 一种基于分布式的可信认证虚拟组网系统及方法 | |
| CN111756528B (zh) | 一种量子会话密钥分发方法、装置及通信架构 | |
| KR20090098542A (ko) | 프록시를 이용한 암호화 데이터 통신시스템 및 암호화데이터 통신방법 | |
| JP3842100B2 (ja) | 暗号化通信システムにおける認証処理方法及びそのシステム | |
| JP4870427B2 (ja) | デジタル証明書交換方法、端末装置、及びプログラム | |
| CN111756530B (zh) | 量子服务移动引擎系统、网络架构及相关设备 | |
| CN102413144A (zh) | 一种用于c/s架构业务的安全接入系统及相关接入方法 | |
| EP3216163B1 (en) | Providing forward secrecy in a terminating ssl/tls connection proxy using ephemeral diffie-hellman key exchange | |
| CN110611679A (zh) | 一种数据传输方法、装置、设备及系统 | |
| JPH10242957A (ja) | ユーザ認証方法およびシステムおよびユーザ認証用記憶媒体 | |
| CN114095919A (zh) | 一种基于车联网的证书授权处理方法及相关设备 | |
| CN115174114B (zh) | 一种ssl隧道建立方法、服务端及客户端 | |
| CN116865966B (zh) | 基于量子密钥生成工作密钥的加密方法、装置及存储介质 | |
| JP4976794B2 (ja) | 駅務システム及びセキュリティ通信方法 | |
| WO2023151427A1 (zh) | 量子密钥传输方法、装置及系统 | |
| US20240121083A1 (en) | Secure restoration of private key | |
| KR101893758B1 (ko) | 암호화된 트래픽 분석을 통한 내부 정보 유출 모니터링 시스템 및 방법 | |
| CN115915123A (zh) | 智能网联汽车数字证书授权生成和安全签注方法及其系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201030 |