CN113691394A - 一种vpn通信的建立和切换的方法和系统 - Google Patents

一种vpn通信的建立和切换的方法和系统 Download PDF

Info

Publication number
CN113691394A
CN113691394A CN202110867204.5A CN202110867204A CN113691394A CN 113691394 A CN113691394 A CN 113691394A CN 202110867204 A CN202110867204 A CN 202110867204A CN 113691394 A CN113691394 A CN 113691394A
Authority
CN
China
Prior art keywords
vpn
client
certificate
encryption
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110867204.5A
Other languages
English (en)
Other versions
CN113691394B (zh
Inventor
李建明
陶洋
招嘉焕
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangzhou Robustel Technologies Co ltd
Original Assignee
Guangzhou Robustel Technologies Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangzhou Robustel Technologies Co ltd filed Critical Guangzhou Robustel Technologies Co ltd
Priority to CN202110867204.5A priority Critical patent/CN113691394B/zh
Publication of CN113691394A publication Critical patent/CN113691394A/zh
Application granted granted Critical
Publication of CN113691394B publication Critical patent/CN113691394B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0654Management of faults, events, alarms or notifications using network fault recovery
    • H04L41/0663Performing the actions predefined by failover planning, e.g. switching to standby network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/12Network monitoring probes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Abstract

本发明属于通信技术领域,其公开了一种VPN通信的建立和切换的方法,包括如下步骤:步骤1:部署至少2个VPN服务器;步骤2:在每个VPN服务器中建立多个分组和针对不同组的加密策略;步骤3:VPN客户端从VPN服务器中获取根证书、客户端证书和加密策略;步骤4:VPN客户端和VPN服务器之间基于根证书、客户端证书和加密策略采用IPSec协议建立VPN隧道的加密通信;步骤5:周期性的对当前VPN隧道进行有效性探测;步骤6:对其余的VPN服务器的VPN隧道进行探测,当其他的VPN隧道能够探测成功时,基于根证书、客户端证书和加密策略采用IPSec协议建立该VPN隧道的加密通信。该方法能够实现VPN通信的快速建立,实现VPN的加密通信。同时,本发明还公开了一种系统。

Description

一种VPN通信的建立和切换的方法和系统
技术领域
本发明涉及通信技术领域,具体为一种VPN通信的建立和切换的方法和系统。
背景技术
现在主流的支持VPN加密隧道能够利用公用网络架设专用网络,进行加密通讯。但是大部分VPN技术,如OpenVPN都使用虚拟接口,这将导致对原有网络拓扑环境进行变更。其余不需改变网络拓扑结构的VPN技术,如IPSec VPN配置步骤却非常复杂。而且其虽然能对VPN对端进行加密隧道有效性的探测,但在VPN对端出现故障的时候却无任何备份措施,只能通知维护管理人员进行检查。这将存在一段时间内无法互相加密通信的问题,甚至导致明文通信的安全问题。
CN201110026598.8公开了一种MPLS VPN隧道备份链路自动无间隙平滑切换方法,通过产生快速中断,直接板间通信的方式,改变隧道出链路选择器状态,将主隧道无间隙平滑切换到备份隧道,减少了链路的丢报,实现了链路的上的数据无抖动,可以将流量抖动收敛时间缩短到10ms内,远远在人的感知范围之外,满足了用户和运营商级设备的要求,可为运营商级服务提供更加可靠的保障,给用户带来满意度。
上述方案虽然实现了VPN隧道的切换,但是其无法实现在VPN隧道探测失败的时候进行VPN隧道的快速切换。
发明内容
本发明的目的在于提供一种VPN通信的建立和切换的方法,该方法能够实现VPN通信的快速建立,实现VPN的加密通信。同时,本发明还公开了一种系统。
为实现上述目的,本发明提供如下技术方案:一种VPN通信的建立和切换的方法,包括如下步骤:
步骤1:部署至少2个VPN服务器,不同VPN服务器具有不同的优先级;
步骤2:在每个VPN服务器中建立多个分组和针对不同组的加密策略;不同VPN服务器中的相同的分组具有相同的加密策略和根证书,同一或不同VPN服务器中的不同的分组具有不同的加密策略和根证书;
步骤3:VPN客户端从VPN服务器中获取根证书、客户端证书和加密策略,所述客户端证书根据根证书生成;
步骤4:VPN客户端和VPN服务器之间基于根证书、客户端证书和加密策略采用IPSec协议建立VPN隧道的加密通信;
步骤5:周期性的对当前VPN隧道进行有效性探测,若有效性探测失败达到预设次数,则进行步骤6;
步骤6:对其余的VPN服务器的VPN隧道进行探测,当其他的VPN隧道能够探测成功时,基于根证书、客户端证书和加密策略采用IPSec协议建立该VPN隧道的加密通信。
在上述的VPN通信的建立和切换的方法中,所述步骤6为:按照优先级从高到低的顺序,对其余的VPN服务器的VPN隧道进行探测,直至VPN隧道探测成功,基于根证书、客户端证书和加密策略采用IPSec协议建立该VPN隧道的加密通信。
在上述的VPN通信的建立和切换的方法中,若当前在用的VPN服务器并不是最高优先级的VPN服务器,则按照预设间隔按照优先级从高到低的顺序,对其余的VPN服务器的VPN隧道进行探测,选择VPN隧道探测成功、优先级高于当前在用的、优先级最高的VPN服务器,基于根证书、客户端证书和加密策略采用IPSec协议建立该VPN服务器和VPN客户端之间的VPN隧道的加密通信。
在上述的VPN通信的建立和切换的方法中,VPN客户端从VPN服务器中获取根证书、客户端证书和加密策略包括如下步骤:
步骤100:VPN客户端发送包含其用户名的第一请求至VPN服务器;
步骤101:VPN服务器接收第一请求将该用户名对应的分组的根证书发送给VPN客户端;
步骤102:VPN客户端接收根证书、将包含用户名的证书请求发送给VPN服务器;
步骤103:VPN服务器接收证书请求、采用对应的分组的根证书生成客户端证书并发送给VPN客户端;
步骤104:VPN客户端接收客户端证书、采用客户端证书生成加密策略请求并发送给VPN服务器;
步骤105:VPN服务器采用根证书校验加密策略请求,若校验通过,则发送加密策略给VPN客户端。
在上述的VPN通信的建立和切换的方法中,所述步骤4具体为:
步骤200:VPN客户端和VPN服务器根据加密策略、客户端证书建立IKE通道,协商得到第一秘钥;
步骤201:VPN客户端和VPN服务器在IKE通道中采用第一秘钥、加密策略,协商得到第二秘钥;
步骤202:VPN客户端和VPN服务器采用第二秘钥在VPN隧道进行加密通信。
在上述的VPN通信的建立和切换的方法中,所述预设次数为1次或多次。
同时,本发明还公开了一种用于实现上述方法的VPN通信系统,包括多个VPN服务器、多个VPN客户端、数据库;
所述数据库中存储有VPN服务器的优先级和IP地址;
每个VPN服务器均建立多个分组和针对不同组的加密策略;不同VPN服务器中的相同的分组具有相同的加密策略和根证书,同一或不同VPN服务器中的不同的分组具有不同的加密策略和根证书;
VPN客户端用于从VPN服务器中获取根证书、客户端证书和加密策略,所述客户端证书根据根证书生成;
VPN客户端和VPN服务器之间基于根证书、客户端证书和加密策略采用IPSec协议建立VPN隧道的加密通信;
所述VPN客户端和/或VPN服务器周期性的对当前VPN隧道进行有效性探测,若有效性探测失败达到预设次数,则对其余的VPN服务器的VPN隧道进行探测,当其他的VPN隧道能够探测成功时,基于根证书、客户端证书和加密策略采用IPSec协议建立该VPN隧道的加密通信。
与现有技术相比,本发明的有益效果是:
本发明保证在不改变原有网络拓扑环境的情况下,实现VPN自动快速建立。
且当检测到当前加密隧道失效时,快速切换到备用加密隧道。当所有备用加密隧道皆不可用时,限制VPN客户端通信,保障通信数据安全。软件模块需要实现VPN自动快速建立、VPN隧道有效性探测和VPN隧道管理。
为提升易操作性,软件模块需要包含证书自动获取和加密策略解析功能。要求软件模块能够通过VPN服务器获取到认证证书和加密策略。
为确保通信稳定性,软件模块需要包含VPN隧道有效性探测和VPN隧道管理功能。要求软件模块能根据VPN服务器优先级检测隧道有效性,且在VPN主隧道有效性探测失败后快速切换到备用VPN服务器。
附图说明
图1-3为本发明的实施例1的流程方框图;
图4为本发明的实施例1的结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
如图1-3,一种VPN通信的建立和切换的方法,包括如下步骤:
步骤1:部署至少2个VPN服务器,不同VPN服务器具有不同的优先级;
VPN服务器的IP地址和优先级均存储在一个数据库中,当VPN客户端需要进行客户端证书获取、加密策略获取、VPN服务器的优先级的判断和切换时,均会从这个数据库中获取IP地址和优先级。
步骤2:在每个VPN服务器中建立多个分组和针对不同组的加密策略;不同VPN服务器中的相同的分组具有相同的加密策略和根证书,同一或不同VPN服务器中的不同的分组具有不同的加密策略和根证书;
根证书是用于供VPN服务器生成客户端证书以及VPN服务器证书的,通过客户端证书和VPN服务器证书可完成下述步骤200中IKE通道的VPN服务器和VPN客户端的双向认证。
加密策略中有很多加密算法,本发明大多采用的是DH加密算法,由DH加密算法对后续的第一秘钥和第二秘钥生成;DH加密算法中涉及随机数,所以每次生成的秘钥都不同。
步骤3:VPN客户端从VPN服务器中获取根证书、客户端证书和加密策略,所述客户端证书根据根证书生成;
VPN客户端从VPN服务器中获取根证书、客户端证书和加密策略包括如下步骤:
步骤100:VPN客户端发送包含其用户名的第一请求至VPN服务器;
步骤101:VPN服务器接收第一请求将该用户名对应的分组的根证书发送给VPN客户端;
由于VPN服务器中建立的分组中保存了VPN客户端的用户名,因此接收第一请求,获取用户名,就可确定第一请求是否合法,然后将该分组的根证书发送给VPN客户端;
步骤102:VPN客户端接收根证书、将包含用户名的证书请求发送给VPN服务器;证书请求由VPN客户端根据其用户名、密码生成,与此同时VPN客户端的用户名和密码还生成本地私钥。
步骤103:VPN服务器接收证书请求、采用对应的分组的根证书生成客户端证书并发送给VPN客户端;
同样,VPN服务器根据证书请求中的用户名确定该证书请求对应的分组,采用该分组的根证书生成客户端证书。
步骤104:VPN客户端接收客户端证书、采用客户端证书生成加密策略请求并发送给VPN服务器;
客户端证书中包含用户名,VPN服务器收到该加密策略请求后,即可分辨该请求对应的VPN客户端。
步骤105:VPN服务器采用根证书校验加密策略请求,若校验通过,则发送加密策略给VPN客户端。
步骤4:VPN客户端和VPN服务器之间基于根证书、客户端证书和加密策略采用IPSec协议建立VPN隧道的加密通信;
所述步骤4具体为:
步骤200:VPN客户端和VPN服务器根据加密策略、客户端证书建立IKE通道,协商得到第一秘钥;
步骤201:VPN客户端和VPN服务器在IKE通道中采用第一秘钥、加密策略,协商得到第二秘钥;在协商第二秘钥的过程中,步骤200生成第一秘钥后,VPN客户端和VPN服务器双方需要认证身份,这时VPN客户端就要用本地私钥对密文签名,VPN服务器就用对端公钥验签。
步骤202:VPN客户端和VPN服务器采用第二秘钥在VPN隧道进行加密通信。
步骤200-步骤202是本领域中IPsec通信的二次协商的惯常做法,在步骤200中,还包括VPN客户端和VPN服务器之间分别发送各自的客户端证书和VPN服务器证书给对方进行双向认证;
第一秘钥和第二秘钥均采用加密策略中的DH算法得到;两者通过协商,可在步骤201中进行加密协商,可在VPN隧道中进行加密通信,需要说明的是,在步骤200中是采用明文通信;
步骤5:周期性的对当前VPN隧道进行有效性探测,若有效性探测失败达到预设次数,则进行步骤6;如果没有达到,则继续进行周期性的在用的VPN隧道的有效性探测;
一般来说,是VPN客户端主动对VPN服务器发起对端探测,当然不排斥VPN服务器发起的探测;这里所述的有效性探测是指发起端能够收到对端的回复,则为探测有效或有效。
步骤6:对其余的VPN服务器的VPN隧道进行探测,当其他的VPN隧道能够探测成功时,基于根证书、客户端证书和加密策略采用IPSec协议建立该VPN隧道的加密通信。
本发明的优势在于,在步骤6中,进行VPN服务器切换时,由于不同的VPN服务器的相同的分组的根证书和加密策略均相同,无需再次进行步骤3,整个切换过程会非常迅速、平滑。
作为本实施例的进一步优化,所述步骤6为:按照优先级从高到低的顺序,对其余的VPN服务器的VPN隧道进行探测,直至VPN隧道探测成功,基于根证书、客户端证书和加密策略采用IPSec协议建立该VPN隧道的加密通信。
在VPN服务器切换成功后,若当前在用的VPN服务器并不是最高优先级的VPN服务器,则按照预设间隔按照优先级从高到低的顺序,对其余的VPN服务器的VPN隧道进行探测,选择VPN隧道探测成功、优先级高于当前在用的、优先级最高的VPN服务器,基于根证书、客户端证书和加密策略采用IPSec协议建立该VPN服务器和VPN客户端之间的VPN隧道的加密通信。
实施例2
参考图4,一种用于实现实施例1所述的方法的VPN通信系统,包括多个VPN服务器1、多个VPN客户端2、数据库3;
所述数据库3中存储有VPN服务器1的优先级和IP地址;
每个VPN服务器1均建立多个分组和针对不同组的加密策略;不同VPN服务器1中的相同的分组具有相同的加密策略和根证书,同一或不同VPN服务器1中的不同的分组具有不同的加密策略和根证书;
VPN客户端2用于从VPN服务器1中获取根证书、客户端证书和加密策略,所述客户端证书根据根证书生成;从VPN服务器1中获取根证书、客户端证书、加密策略时,需要从数据库3获取VPN服务器1的IP地址,以能够建立初步的非加密的通信连接;
VPN客户端2和VPN服务器1之间基于根证书、客户端证书和加密策略采用IPSec协议建立VPN隧道的加密通信;加密通信的过程可参考实施例1;
所述VPN客户端2和/或VPN服务器1周期性的对当前VPN隧道进行有效性探测,若有效性探测失败达到预设次数,则对其余的VPN服务器1的VPN隧道进行探测,当其他的VPN隧道能够探测成功时,基于根证书、客户端证书和加密策略采用IPSec协议建立该VPN隧道的加密通信。
在进行VPN服务器1的切换时,VPN客户端2优选通过从数据库3中获取VPN服务器1的优先级,选择优先级最高的VPN服务器1的VPN隧道进行探测,如果能够探测成功,则建立该VPN隧道的加密通信;如果不能探测成功,则对优先级次之的VPN服务器1的VPN隧道进行探测,直至能够探测成功并建立加密通信。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。

Claims (7)

1.一种VPN通信的建立和切换的方法,其特征在于,包括如下步骤:
步骤1:部署至少2个VPN服务器,不同VPN服务器具有不同的优先级;
步骤2:在每个VPN服务器中建立多个分组和针对不同组的加密策略;不同VPN服务器中的相同的分组具有相同的加密策略和根证书,同一或不同VPN服务器中的不同的分组具有不同的加密策略和根证书;
步骤3:VPN客户端从VPN服务器中获取根证书、客户端证书和加密策略,所述客户端证书根据根证书生成;
步骤4:VPN客户端和VPN服务器之间基于根证书、客户端证书和加密策略采用IPSec协议建立VPN隧道的加密通信;
步骤5:周期性的对当前VPN隧道进行有效性探测,若有效性探测失败达到预设次数,则进行步骤6;
步骤6:对其余的VPN服务器的VPN隧道进行探测,当其他的VPN隧道能够探测成功时,基于根证书、客户端证书和加密策略采用IPSec协议建立该VPN隧道的加密通信。
2.根据权利要求1所述的VPN通信的建立和切换的方法,其特征在于,所述步骤6为:按照优先级从高到低的顺序,对其余的VPN服务器的VPN隧道进行探测,直至VPN隧道探测成功,基于根证书、客户端证书和加密策略采用IPSec协议建立该VPN隧道的加密通信。
3.根据权利要求2所述的VPN通信的建立和切换的方法,其特征在于,若当前在用的VPN服务器并不是最高优先级的VPN服务器,则按照预设间隔按照优先级从高到低的顺序,对其余的VPN服务器的VPN隧道进行探测,选择VPN隧道探测成功、优先级高于当前在用的、优先级最高的VPN服务器,基于根证书、客户端证书和加密策略采用IPSec协议建立该VPN服务器和VPN客户端之间的VPN隧道的加密通信。
4.根据权利要求1所述的VPN通信的建立和切换的方法,其特征在于,VPN客户端从VPN服务器中获取根证书、客户端证书和加密策略包括如下步骤:
步骤100:VPN客户端发送包含其用户名的第一请求至VPN服务器;
步骤101:VPN服务器接收第一请求将该用户名对应的分组的根证书发送给VPN客户端;
步骤102:VPN客户端接收根证书、将包含用户名的证书请求发送给VPN服务器;
步骤103:VPN服务器接收证书请求、采用对应的分组的根证书生成客户端证书并发送给VPN客户端;
步骤104:VPN客户端接收客户端证书、采用客户端证书生成加密策略请求并发送给VPN服务器;
步骤105:VPN服务器采用根证书校验加密策略请求,若校验通过,则发送加密策略给VPN客户端。
5.根据权利要求1所述的VPN通信的建立和切换的方法,其特征在于,所述步骤4具体为:
步骤200:VPN客户端和VPN服务器根据加密策略、客户端证书建立IKE通道,协商得到第一秘钥;
步骤201:VPN客户端和VPN服务器在IKE通道中采用第一秘钥、加密策略,协商得到第二秘钥;
步骤202:VPN客户端和VPN服务器采用第二秘钥在VPN隧道进行加密通信。
6.根据权利要求1所述的VPN通信的建立和切换的方法,其特征在于,所述预设次数为1次或多次。
7.一种用于实现权利要求1-6任一所述方法的VPN通信系统,其特征在于,包括多个VPN服务器、多个VPN客户端、数据库;
所述数据库中存储有VPN服务器的优先级和IP地址;
每个VPN服务器均建立多个分组和针对不同组的加密策略;不同VPN服务器中的相同的分组具有相同的加密策略和根证书,同一或不同VPN服务器中的不同的分组具有不同的加密策略和根证书;
VPN客户端用于从VPN服务器中获取根证书、客户端证书和加密策略,所述客户端证书根据根证书生成;
VPN客户端和VPN服务器之间基于根证书、客户端证书和加密策略采用IPSec协议建立VPN隧道的加密通信;
所述VPN客户端和/或VPN服务器周期性的对当前VPN隧道进行有效性探测,若有效性探测失败达到预设次数,则对其余的VPN服务器的VPN隧道进行探测,当其他的VPN隧道能够探测成功时,基于根证书、客户端证书和加密策略采用IPSec协议建立该VPN隧道的加密通信。
CN202110867204.5A 2021-07-29 2021-07-29 一种vpn通信的建立和切换的方法和系统 Active CN113691394B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110867204.5A CN113691394B (zh) 2021-07-29 2021-07-29 一种vpn通信的建立和切换的方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110867204.5A CN113691394B (zh) 2021-07-29 2021-07-29 一种vpn通信的建立和切换的方法和系统

Publications (2)

Publication Number Publication Date
CN113691394A true CN113691394A (zh) 2021-11-23
CN113691394B CN113691394B (zh) 2023-07-21

Family

ID=78578304

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110867204.5A Active CN113691394B (zh) 2021-07-29 2021-07-29 一种vpn通信的建立和切换的方法和系统

Country Status (1)

Country Link
CN (1) CN113691394B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114465848A (zh) * 2022-04-13 2022-05-10 北京全路通信信号研究设计院集团有限公司 一种基于密文的数据传输方法及其系统

Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040268148A1 (en) * 2003-06-30 2004-12-30 Nokia, Inc. Method for implementing secure corporate Communication
CN101753401A (zh) * 2008-12-03 2010-06-23 北京天融信科技有限公司 一种实现IPSec虚拟专用网隧道备份和负载的方法
CN102255920A (zh) * 2011-08-24 2011-11-23 杭州华三通信技术有限公司 一种vpn配置信息的发送方法和设备
CN103023741A (zh) * 2012-12-04 2013-04-03 汉柏科技有限公司 Vpn设备故障处理方法
CN103475655A (zh) * 2013-09-06 2013-12-25 瑞斯康达科技发展股份有限公司 一种实现IPSecVPN主备链路动态切换的方法
US20140101324A1 (en) * 2012-10-10 2014-04-10 International Business Machines Corporation Dynamic virtual private network
US20160028701A1 (en) * 2014-07-25 2016-01-28 Huawei Technologies Co., Ltd. Data Processing Method and Apparatus
CN106130862A (zh) * 2016-06-23 2016-11-16 广州鲁邦通物联网科技有限公司 一种多个分布式路由器的虚拟专用网络的管理方法和系统
US20170272255A1 (en) * 2001-01-18 2017-09-21 Virnetx, Inc. Systems and methods for certifying devices to communicate securely
CN109409041A (zh) * 2018-09-04 2019-03-01 航天信息股份有限公司 一种基于多证书应用的服务端安全认证方法及系统
CN111865939A (zh) * 2020-07-02 2020-10-30 上海缔安科技股份有限公司 一种点对点国密隧道建立方法及装置
CN112714097A (zh) * 2019-10-25 2021-04-27 华为技术有限公司 一种安全通信方法、装置及系统
CN113098706A (zh) * 2021-03-05 2021-07-09 深圳震有科技股份有限公司 一种基于云端的vpn服务器切换方法、装置及存储介质

Patent Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170272255A1 (en) * 2001-01-18 2017-09-21 Virnetx, Inc. Systems and methods for certifying devices to communicate securely
US20040268148A1 (en) * 2003-06-30 2004-12-30 Nokia, Inc. Method for implementing secure corporate Communication
CN101753401A (zh) * 2008-12-03 2010-06-23 北京天融信科技有限公司 一种实现IPSec虚拟专用网隧道备份和负载的方法
CN102255920A (zh) * 2011-08-24 2011-11-23 杭州华三通信技术有限公司 一种vpn配置信息的发送方法和设备
US20140101324A1 (en) * 2012-10-10 2014-04-10 International Business Machines Corporation Dynamic virtual private network
CN103023741A (zh) * 2012-12-04 2013-04-03 汉柏科技有限公司 Vpn设备故障处理方法
CN103475655A (zh) * 2013-09-06 2013-12-25 瑞斯康达科技发展股份有限公司 一种实现IPSecVPN主备链路动态切换的方法
US20160028701A1 (en) * 2014-07-25 2016-01-28 Huawei Technologies Co., Ltd. Data Processing Method and Apparatus
CN106130862A (zh) * 2016-06-23 2016-11-16 广州鲁邦通物联网科技有限公司 一种多个分布式路由器的虚拟专用网络的管理方法和系统
CN109409041A (zh) * 2018-09-04 2019-03-01 航天信息股份有限公司 一种基于多证书应用的服务端安全认证方法及系统
CN112714097A (zh) * 2019-10-25 2021-04-27 华为技术有限公司 一种安全通信方法、装置及系统
CN111865939A (zh) * 2020-07-02 2020-10-30 上海缔安科技股份有限公司 一种点对点国密隧道建立方法及装置
CN113098706A (zh) * 2021-03-05 2021-07-09 深圳震有科技股份有限公司 一种基于云端的vpn服务器切换方法、装置及存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114465848A (zh) * 2022-04-13 2022-05-10 北京全路通信信号研究设计院集团有限公司 一种基于密文的数据传输方法及其系统
CN114465848B (zh) * 2022-04-13 2022-09-13 北京全路通信信号研究设计院集团有限公司 一种基于密文的数据传输方法及其系统

Also Published As

Publication number Publication date
CN113691394B (zh) 2023-07-21

Similar Documents

Publication Publication Date Title
JP6612358B2 (ja) ネットワークアクセスデバイスをワイヤレスネットワークアクセスポイントにアクセスさせるための方法、ネットワークアクセスデバイス、アプリケーションサーバ、および不揮発性コンピュータ可読記憶媒体
RU2406251C2 (ru) Способ и устройство для установления безопасной ассоциации
US7587598B2 (en) Interlayer fast authentication or re-authentication for network communication
US9578003B2 (en) Determining whether to use a local authentication server
US20090208013A1 (en) Wireless network handoff key
US20060059344A1 (en) Service authentication
US8724816B2 (en) Security service control method and wireless local area network terminal
US10250581B2 (en) Client, server, radius capability negotiation method and system between client and server
WO2011041962A1 (zh) 一种支持合法监听的端到端会话密钥协商方法和系统
US20210067329A1 (en) High availability secure network including dual mode authentication
US11792034B2 (en) System for communication on a network
CN113691394B (zh) 一种vpn通信的建立和切换的方法和系统
US20100332836A1 (en) Method and apparatus for recovering sessions
US20100131762A1 (en) Secured communication method for wireless mesh network
CN105530687B (zh) 一种无线网络接入控制方法及接入设备
EP2389031B1 (en) Secure handoff method and system
CN108924828B (zh) 一种apn自适应方法、服务端和终端
KR101451163B1 (ko) 무선 네트워크 접속 인증 방법 및 그 시스템
JP2006191429A (ja) 集合型宅内ネットワークにおける認証方法及びシステム
CN116866090B (zh) 工控网络的网络安全管理系统和网络安全管理方法
CN117459527A (zh) 基于网关接入的外网终端与云桌面安全连接系统和方法
CN116405257A (zh) 信令传输方法、装置、设备及存储介质
CN113890761A (zh) 一种面向分区操作系统的轻量级安全通信方法及系统
CN117134933A (zh) 加密通信方法、装置、电子设备和存储介质
CN117596021A (zh) 一种基于内网穿透的变电站监控系统远程开发调试方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 511356 Room 501, building 2, No. 63, Yong'an Avenue, Huangpu District, Guangzhou, Guangdong

Applicant after: Guangzhou lubangtong Internet of things Technology Co.,Ltd.

Address before: 510653 room F315, 95 daguanzhong Road, Tianhe District, Guangzhou City, Guangdong Province

Applicant before: GUANGZHOU ROBUSTEL TECHNOLOGIES Co.,Ltd.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant