CN113691394A - 一种vpn通信的建立和切换的方法和系统 - Google Patents
一种vpn通信的建立和切换的方法和系统 Download PDFInfo
- Publication number
- CN113691394A CN113691394A CN202110867204.5A CN202110867204A CN113691394A CN 113691394 A CN113691394 A CN 113691394A CN 202110867204 A CN202110867204 A CN 202110867204A CN 113691394 A CN113691394 A CN 113691394A
- Authority
- CN
- China
- Prior art keywords
- vpn
- client
- certificate
- encryption
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0654—Management of faults, events, alarms or notifications using network fault recovery
- H04L41/0663—Performing the actions predefined by failover planning, e.g. switching to standby network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Abstract
本发明属于通信技术领域,其公开了一种VPN通信的建立和切换的方法,包括如下步骤:步骤1:部署至少2个VPN服务器;步骤2:在每个VPN服务器中建立多个分组和针对不同组的加密策略;步骤3:VPN客户端从VPN服务器中获取根证书、客户端证书和加密策略;步骤4:VPN客户端和VPN服务器之间基于根证书、客户端证书和加密策略采用IPSec协议建立VPN隧道的加密通信;步骤5:周期性的对当前VPN隧道进行有效性探测;步骤6:对其余的VPN服务器的VPN隧道进行探测,当其他的VPN隧道能够探测成功时,基于根证书、客户端证书和加密策略采用IPSec协议建立该VPN隧道的加密通信。该方法能够实现VPN通信的快速建立,实现VPN的加密通信。同时,本发明还公开了一种系统。
Description
技术领域
本发明涉及通信技术领域,具体为一种VPN通信的建立和切换的方法和系统。
背景技术
现在主流的支持VPN加密隧道能够利用公用网络架设专用网络,进行加密通讯。但是大部分VPN技术,如OpenVPN都使用虚拟接口,这将导致对原有网络拓扑环境进行变更。其余不需改变网络拓扑结构的VPN技术,如IPSec VPN配置步骤却非常复杂。而且其虽然能对VPN对端进行加密隧道有效性的探测,但在VPN对端出现故障的时候却无任何备份措施,只能通知维护管理人员进行检查。这将存在一段时间内无法互相加密通信的问题,甚至导致明文通信的安全问题。
CN201110026598.8公开了一种MPLS VPN隧道备份链路自动无间隙平滑切换方法,通过产生快速中断,直接板间通信的方式,改变隧道出链路选择器状态,将主隧道无间隙平滑切换到备份隧道,减少了链路的丢报,实现了链路的上的数据无抖动,可以将流量抖动收敛时间缩短到10ms内,远远在人的感知范围之外,满足了用户和运营商级设备的要求,可为运营商级服务提供更加可靠的保障,给用户带来满意度。
上述方案虽然实现了VPN隧道的切换,但是其无法实现在VPN隧道探测失败的时候进行VPN隧道的快速切换。
发明内容
本发明的目的在于提供一种VPN通信的建立和切换的方法,该方法能够实现VPN通信的快速建立,实现VPN的加密通信。同时,本发明还公开了一种系统。
为实现上述目的,本发明提供如下技术方案:一种VPN通信的建立和切换的方法,包括如下步骤:
步骤1:部署至少2个VPN服务器,不同VPN服务器具有不同的优先级;
步骤2:在每个VPN服务器中建立多个分组和针对不同组的加密策略;不同VPN服务器中的相同的分组具有相同的加密策略和根证书,同一或不同VPN服务器中的不同的分组具有不同的加密策略和根证书;
步骤3:VPN客户端从VPN服务器中获取根证书、客户端证书和加密策略,所述客户端证书根据根证书生成;
步骤4:VPN客户端和VPN服务器之间基于根证书、客户端证书和加密策略采用IPSec协议建立VPN隧道的加密通信;
步骤5:周期性的对当前VPN隧道进行有效性探测,若有效性探测失败达到预设次数,则进行步骤6;
步骤6:对其余的VPN服务器的VPN隧道进行探测,当其他的VPN隧道能够探测成功时,基于根证书、客户端证书和加密策略采用IPSec协议建立该VPN隧道的加密通信。
在上述的VPN通信的建立和切换的方法中,所述步骤6为:按照优先级从高到低的顺序,对其余的VPN服务器的VPN隧道进行探测,直至VPN隧道探测成功,基于根证书、客户端证书和加密策略采用IPSec协议建立该VPN隧道的加密通信。
在上述的VPN通信的建立和切换的方法中,若当前在用的VPN服务器并不是最高优先级的VPN服务器,则按照预设间隔按照优先级从高到低的顺序,对其余的VPN服务器的VPN隧道进行探测,选择VPN隧道探测成功、优先级高于当前在用的、优先级最高的VPN服务器,基于根证书、客户端证书和加密策略采用IPSec协议建立该VPN服务器和VPN客户端之间的VPN隧道的加密通信。
在上述的VPN通信的建立和切换的方法中,VPN客户端从VPN服务器中获取根证书、客户端证书和加密策略包括如下步骤:
步骤100:VPN客户端发送包含其用户名的第一请求至VPN服务器;
步骤101:VPN服务器接收第一请求将该用户名对应的分组的根证书发送给VPN客户端;
步骤102:VPN客户端接收根证书、将包含用户名的证书请求发送给VPN服务器;
步骤103:VPN服务器接收证书请求、采用对应的分组的根证书生成客户端证书并发送给VPN客户端;
步骤104:VPN客户端接收客户端证书、采用客户端证书生成加密策略请求并发送给VPN服务器;
步骤105:VPN服务器采用根证书校验加密策略请求,若校验通过,则发送加密策略给VPN客户端。
在上述的VPN通信的建立和切换的方法中,所述步骤4具体为:
步骤200:VPN客户端和VPN服务器根据加密策略、客户端证书建立IKE通道,协商得到第一秘钥;
步骤201:VPN客户端和VPN服务器在IKE通道中采用第一秘钥、加密策略,协商得到第二秘钥;
步骤202:VPN客户端和VPN服务器采用第二秘钥在VPN隧道进行加密通信。
在上述的VPN通信的建立和切换的方法中,所述预设次数为1次或多次。
同时,本发明还公开了一种用于实现上述方法的VPN通信系统,包括多个VPN服务器、多个VPN客户端、数据库;
所述数据库中存储有VPN服务器的优先级和IP地址;
每个VPN服务器均建立多个分组和针对不同组的加密策略;不同VPN服务器中的相同的分组具有相同的加密策略和根证书,同一或不同VPN服务器中的不同的分组具有不同的加密策略和根证书;
VPN客户端用于从VPN服务器中获取根证书、客户端证书和加密策略,所述客户端证书根据根证书生成;
VPN客户端和VPN服务器之间基于根证书、客户端证书和加密策略采用IPSec协议建立VPN隧道的加密通信;
所述VPN客户端和/或VPN服务器周期性的对当前VPN隧道进行有效性探测,若有效性探测失败达到预设次数,则对其余的VPN服务器的VPN隧道进行探测,当其他的VPN隧道能够探测成功时,基于根证书、客户端证书和加密策略采用IPSec协议建立该VPN隧道的加密通信。
与现有技术相比,本发明的有益效果是:
本发明保证在不改变原有网络拓扑环境的情况下,实现VPN自动快速建立。
且当检测到当前加密隧道失效时,快速切换到备用加密隧道。当所有备用加密隧道皆不可用时,限制VPN客户端通信,保障通信数据安全。软件模块需要实现VPN自动快速建立、VPN隧道有效性探测和VPN隧道管理。
为提升易操作性,软件模块需要包含证书自动获取和加密策略解析功能。要求软件模块能够通过VPN服务器获取到认证证书和加密策略。
为确保通信稳定性,软件模块需要包含VPN隧道有效性探测和VPN隧道管理功能。要求软件模块能根据VPN服务器优先级检测隧道有效性,且在VPN主隧道有效性探测失败后快速切换到备用VPN服务器。
附图说明
图1-3为本发明的实施例1的流程方框图;
图4为本发明的实施例1的结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
如图1-3,一种VPN通信的建立和切换的方法,包括如下步骤:
步骤1:部署至少2个VPN服务器,不同VPN服务器具有不同的优先级;
VPN服务器的IP地址和优先级均存储在一个数据库中,当VPN客户端需要进行客户端证书获取、加密策略获取、VPN服务器的优先级的判断和切换时,均会从这个数据库中获取IP地址和优先级。
步骤2:在每个VPN服务器中建立多个分组和针对不同组的加密策略;不同VPN服务器中的相同的分组具有相同的加密策略和根证书,同一或不同VPN服务器中的不同的分组具有不同的加密策略和根证书;
根证书是用于供VPN服务器生成客户端证书以及VPN服务器证书的,通过客户端证书和VPN服务器证书可完成下述步骤200中IKE通道的VPN服务器和VPN客户端的双向认证。
加密策略中有很多加密算法,本发明大多采用的是DH加密算法,由DH加密算法对后续的第一秘钥和第二秘钥生成;DH加密算法中涉及随机数,所以每次生成的秘钥都不同。
步骤3:VPN客户端从VPN服务器中获取根证书、客户端证书和加密策略,所述客户端证书根据根证书生成;
VPN客户端从VPN服务器中获取根证书、客户端证书和加密策略包括如下步骤:
步骤100:VPN客户端发送包含其用户名的第一请求至VPN服务器;
步骤101:VPN服务器接收第一请求将该用户名对应的分组的根证书发送给VPN客户端;
由于VPN服务器中建立的分组中保存了VPN客户端的用户名,因此接收第一请求,获取用户名,就可确定第一请求是否合法,然后将该分组的根证书发送给VPN客户端;
步骤102:VPN客户端接收根证书、将包含用户名的证书请求发送给VPN服务器;证书请求由VPN客户端根据其用户名、密码生成,与此同时VPN客户端的用户名和密码还生成本地私钥。
步骤103:VPN服务器接收证书请求、采用对应的分组的根证书生成客户端证书并发送给VPN客户端;
同样,VPN服务器根据证书请求中的用户名确定该证书请求对应的分组,采用该分组的根证书生成客户端证书。
步骤104:VPN客户端接收客户端证书、采用客户端证书生成加密策略请求并发送给VPN服务器;
客户端证书中包含用户名,VPN服务器收到该加密策略请求后,即可分辨该请求对应的VPN客户端。
步骤105:VPN服务器采用根证书校验加密策略请求,若校验通过,则发送加密策略给VPN客户端。
步骤4:VPN客户端和VPN服务器之间基于根证书、客户端证书和加密策略采用IPSec协议建立VPN隧道的加密通信;
所述步骤4具体为:
步骤200:VPN客户端和VPN服务器根据加密策略、客户端证书建立IKE通道,协商得到第一秘钥;
步骤201:VPN客户端和VPN服务器在IKE通道中采用第一秘钥、加密策略,协商得到第二秘钥;在协商第二秘钥的过程中,步骤200生成第一秘钥后,VPN客户端和VPN服务器双方需要认证身份,这时VPN客户端就要用本地私钥对密文签名,VPN服务器就用对端公钥验签。
步骤202:VPN客户端和VPN服务器采用第二秘钥在VPN隧道进行加密通信。
步骤200-步骤202是本领域中IPsec通信的二次协商的惯常做法,在步骤200中,还包括VPN客户端和VPN服务器之间分别发送各自的客户端证书和VPN服务器证书给对方进行双向认证;
第一秘钥和第二秘钥均采用加密策略中的DH算法得到;两者通过协商,可在步骤201中进行加密协商,可在VPN隧道中进行加密通信,需要说明的是,在步骤200中是采用明文通信;
步骤5:周期性的对当前VPN隧道进行有效性探测,若有效性探测失败达到预设次数,则进行步骤6;如果没有达到,则继续进行周期性的在用的VPN隧道的有效性探测;
一般来说,是VPN客户端主动对VPN服务器发起对端探测,当然不排斥VPN服务器发起的探测;这里所述的有效性探测是指发起端能够收到对端的回复,则为探测有效或有效。
步骤6:对其余的VPN服务器的VPN隧道进行探测,当其他的VPN隧道能够探测成功时,基于根证书、客户端证书和加密策略采用IPSec协议建立该VPN隧道的加密通信。
本发明的优势在于,在步骤6中,进行VPN服务器切换时,由于不同的VPN服务器的相同的分组的根证书和加密策略均相同,无需再次进行步骤3,整个切换过程会非常迅速、平滑。
作为本实施例的进一步优化,所述步骤6为:按照优先级从高到低的顺序,对其余的VPN服务器的VPN隧道进行探测,直至VPN隧道探测成功,基于根证书、客户端证书和加密策略采用IPSec协议建立该VPN隧道的加密通信。
在VPN服务器切换成功后,若当前在用的VPN服务器并不是最高优先级的VPN服务器,则按照预设间隔按照优先级从高到低的顺序,对其余的VPN服务器的VPN隧道进行探测,选择VPN隧道探测成功、优先级高于当前在用的、优先级最高的VPN服务器,基于根证书、客户端证书和加密策略采用IPSec协议建立该VPN服务器和VPN客户端之间的VPN隧道的加密通信。
实施例2
参考图4,一种用于实现实施例1所述的方法的VPN通信系统,包括多个VPN服务器1、多个VPN客户端2、数据库3;
所述数据库3中存储有VPN服务器1的优先级和IP地址;
每个VPN服务器1均建立多个分组和针对不同组的加密策略;不同VPN服务器1中的相同的分组具有相同的加密策略和根证书,同一或不同VPN服务器1中的不同的分组具有不同的加密策略和根证书;
VPN客户端2用于从VPN服务器1中获取根证书、客户端证书和加密策略,所述客户端证书根据根证书生成;从VPN服务器1中获取根证书、客户端证书、加密策略时,需要从数据库3获取VPN服务器1的IP地址,以能够建立初步的非加密的通信连接;
VPN客户端2和VPN服务器1之间基于根证书、客户端证书和加密策略采用IPSec协议建立VPN隧道的加密通信;加密通信的过程可参考实施例1;
所述VPN客户端2和/或VPN服务器1周期性的对当前VPN隧道进行有效性探测,若有效性探测失败达到预设次数,则对其余的VPN服务器1的VPN隧道进行探测,当其他的VPN隧道能够探测成功时,基于根证书、客户端证书和加密策略采用IPSec协议建立该VPN隧道的加密通信。
在进行VPN服务器1的切换时,VPN客户端2优选通过从数据库3中获取VPN服务器1的优先级,选择优先级最高的VPN服务器1的VPN隧道进行探测,如果能够探测成功,则建立该VPN隧道的加密通信;如果不能探测成功,则对优先级次之的VPN服务器1的VPN隧道进行探测,直至能够探测成功并建立加密通信。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
Claims (7)
1.一种VPN通信的建立和切换的方法,其特征在于,包括如下步骤:
步骤1:部署至少2个VPN服务器,不同VPN服务器具有不同的优先级;
步骤2:在每个VPN服务器中建立多个分组和针对不同组的加密策略;不同VPN服务器中的相同的分组具有相同的加密策略和根证书,同一或不同VPN服务器中的不同的分组具有不同的加密策略和根证书;
步骤3:VPN客户端从VPN服务器中获取根证书、客户端证书和加密策略,所述客户端证书根据根证书生成;
步骤4:VPN客户端和VPN服务器之间基于根证书、客户端证书和加密策略采用IPSec协议建立VPN隧道的加密通信;
步骤5:周期性的对当前VPN隧道进行有效性探测,若有效性探测失败达到预设次数,则进行步骤6;
步骤6:对其余的VPN服务器的VPN隧道进行探测,当其他的VPN隧道能够探测成功时,基于根证书、客户端证书和加密策略采用IPSec协议建立该VPN隧道的加密通信。
2.根据权利要求1所述的VPN通信的建立和切换的方法,其特征在于,所述步骤6为:按照优先级从高到低的顺序,对其余的VPN服务器的VPN隧道进行探测,直至VPN隧道探测成功,基于根证书、客户端证书和加密策略采用IPSec协议建立该VPN隧道的加密通信。
3.根据权利要求2所述的VPN通信的建立和切换的方法,其特征在于,若当前在用的VPN服务器并不是最高优先级的VPN服务器,则按照预设间隔按照优先级从高到低的顺序,对其余的VPN服务器的VPN隧道进行探测,选择VPN隧道探测成功、优先级高于当前在用的、优先级最高的VPN服务器,基于根证书、客户端证书和加密策略采用IPSec协议建立该VPN服务器和VPN客户端之间的VPN隧道的加密通信。
4.根据权利要求1所述的VPN通信的建立和切换的方法,其特征在于,VPN客户端从VPN服务器中获取根证书、客户端证书和加密策略包括如下步骤:
步骤100:VPN客户端发送包含其用户名的第一请求至VPN服务器;
步骤101:VPN服务器接收第一请求将该用户名对应的分组的根证书发送给VPN客户端;
步骤102:VPN客户端接收根证书、将包含用户名的证书请求发送给VPN服务器;
步骤103:VPN服务器接收证书请求、采用对应的分组的根证书生成客户端证书并发送给VPN客户端;
步骤104:VPN客户端接收客户端证书、采用客户端证书生成加密策略请求并发送给VPN服务器;
步骤105:VPN服务器采用根证书校验加密策略请求,若校验通过,则发送加密策略给VPN客户端。
5.根据权利要求1所述的VPN通信的建立和切换的方法,其特征在于,所述步骤4具体为:
步骤200:VPN客户端和VPN服务器根据加密策略、客户端证书建立IKE通道,协商得到第一秘钥;
步骤201:VPN客户端和VPN服务器在IKE通道中采用第一秘钥、加密策略,协商得到第二秘钥;
步骤202:VPN客户端和VPN服务器采用第二秘钥在VPN隧道进行加密通信。
6.根据权利要求1所述的VPN通信的建立和切换的方法,其特征在于,所述预设次数为1次或多次。
7.一种用于实现权利要求1-6任一所述方法的VPN通信系统,其特征在于,包括多个VPN服务器、多个VPN客户端、数据库;
所述数据库中存储有VPN服务器的优先级和IP地址;
每个VPN服务器均建立多个分组和针对不同组的加密策略;不同VPN服务器中的相同的分组具有相同的加密策略和根证书,同一或不同VPN服务器中的不同的分组具有不同的加密策略和根证书;
VPN客户端用于从VPN服务器中获取根证书、客户端证书和加密策略,所述客户端证书根据根证书生成;
VPN客户端和VPN服务器之间基于根证书、客户端证书和加密策略采用IPSec协议建立VPN隧道的加密通信;
所述VPN客户端和/或VPN服务器周期性的对当前VPN隧道进行有效性探测,若有效性探测失败达到预设次数,则对其余的VPN服务器的VPN隧道进行探测,当其他的VPN隧道能够探测成功时,基于根证书、客户端证书和加密策略采用IPSec协议建立该VPN隧道的加密通信。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110867204.5A CN113691394B (zh) | 2021-07-29 | 2021-07-29 | 一种vpn通信的建立和切换的方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110867204.5A CN113691394B (zh) | 2021-07-29 | 2021-07-29 | 一种vpn通信的建立和切换的方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113691394A true CN113691394A (zh) | 2021-11-23 |
CN113691394B CN113691394B (zh) | 2023-07-21 |
Family
ID=78578304
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110867204.5A Active CN113691394B (zh) | 2021-07-29 | 2021-07-29 | 一种vpn通信的建立和切换的方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113691394B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114465848A (zh) * | 2022-04-13 | 2022-05-10 | 北京全路通信信号研究设计院集团有限公司 | 一种基于密文的数据传输方法及其系统 |
Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040268148A1 (en) * | 2003-06-30 | 2004-12-30 | Nokia, Inc. | Method for implementing secure corporate Communication |
CN101753401A (zh) * | 2008-12-03 | 2010-06-23 | 北京天融信科技有限公司 | 一种实现IPSec虚拟专用网隧道备份和负载的方法 |
CN102255920A (zh) * | 2011-08-24 | 2011-11-23 | 杭州华三通信技术有限公司 | 一种vpn配置信息的发送方法和设备 |
CN103023741A (zh) * | 2012-12-04 | 2013-04-03 | 汉柏科技有限公司 | Vpn设备故障处理方法 |
CN103475655A (zh) * | 2013-09-06 | 2013-12-25 | 瑞斯康达科技发展股份有限公司 | 一种实现IPSecVPN主备链路动态切换的方法 |
US20140101324A1 (en) * | 2012-10-10 | 2014-04-10 | International Business Machines Corporation | Dynamic virtual private network |
US20160028701A1 (en) * | 2014-07-25 | 2016-01-28 | Huawei Technologies Co., Ltd. | Data Processing Method and Apparatus |
CN106130862A (zh) * | 2016-06-23 | 2016-11-16 | 广州鲁邦通物联网科技有限公司 | 一种多个分布式路由器的虚拟专用网络的管理方法和系统 |
US20170272255A1 (en) * | 2001-01-18 | 2017-09-21 | Virnetx, Inc. | Systems and methods for certifying devices to communicate securely |
CN109409041A (zh) * | 2018-09-04 | 2019-03-01 | 航天信息股份有限公司 | 一种基于多证书应用的服务端安全认证方法及系统 |
CN111865939A (zh) * | 2020-07-02 | 2020-10-30 | 上海缔安科技股份有限公司 | 一种点对点国密隧道建立方法及装置 |
CN112714097A (zh) * | 2019-10-25 | 2021-04-27 | 华为技术有限公司 | 一种安全通信方法、装置及系统 |
CN113098706A (zh) * | 2021-03-05 | 2021-07-09 | 深圳震有科技股份有限公司 | 一种基于云端的vpn服务器切换方法、装置及存储介质 |
-
2021
- 2021-07-29 CN CN202110867204.5A patent/CN113691394B/zh active Active
Patent Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170272255A1 (en) * | 2001-01-18 | 2017-09-21 | Virnetx, Inc. | Systems and methods for certifying devices to communicate securely |
US20040268148A1 (en) * | 2003-06-30 | 2004-12-30 | Nokia, Inc. | Method for implementing secure corporate Communication |
CN101753401A (zh) * | 2008-12-03 | 2010-06-23 | 北京天融信科技有限公司 | 一种实现IPSec虚拟专用网隧道备份和负载的方法 |
CN102255920A (zh) * | 2011-08-24 | 2011-11-23 | 杭州华三通信技术有限公司 | 一种vpn配置信息的发送方法和设备 |
US20140101324A1 (en) * | 2012-10-10 | 2014-04-10 | International Business Machines Corporation | Dynamic virtual private network |
CN103023741A (zh) * | 2012-12-04 | 2013-04-03 | 汉柏科技有限公司 | Vpn设备故障处理方法 |
CN103475655A (zh) * | 2013-09-06 | 2013-12-25 | 瑞斯康达科技发展股份有限公司 | 一种实现IPSecVPN主备链路动态切换的方法 |
US20160028701A1 (en) * | 2014-07-25 | 2016-01-28 | Huawei Technologies Co., Ltd. | Data Processing Method and Apparatus |
CN106130862A (zh) * | 2016-06-23 | 2016-11-16 | 广州鲁邦通物联网科技有限公司 | 一种多个分布式路由器的虚拟专用网络的管理方法和系统 |
CN109409041A (zh) * | 2018-09-04 | 2019-03-01 | 航天信息股份有限公司 | 一种基于多证书应用的服务端安全认证方法及系统 |
CN112714097A (zh) * | 2019-10-25 | 2021-04-27 | 华为技术有限公司 | 一种安全通信方法、装置及系统 |
CN111865939A (zh) * | 2020-07-02 | 2020-10-30 | 上海缔安科技股份有限公司 | 一种点对点国密隧道建立方法及装置 |
CN113098706A (zh) * | 2021-03-05 | 2021-07-09 | 深圳震有科技股份有限公司 | 一种基于云端的vpn服务器切换方法、装置及存储介质 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114465848A (zh) * | 2022-04-13 | 2022-05-10 | 北京全路通信信号研究设计院集团有限公司 | 一种基于密文的数据传输方法及其系统 |
CN114465848B (zh) * | 2022-04-13 | 2022-09-13 | 北京全路通信信号研究设计院集团有限公司 | 一种基于密文的数据传输方法及其系统 |
Also Published As
Publication number | Publication date |
---|---|
CN113691394B (zh) | 2023-07-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6612358B2 (ja) | ネットワークアクセスデバイスをワイヤレスネットワークアクセスポイントにアクセスさせるための方法、ネットワークアクセスデバイス、アプリケーションサーバ、および不揮発性コンピュータ可読記憶媒体 | |
RU2406251C2 (ru) | Способ и устройство для установления безопасной ассоциации | |
US7587598B2 (en) | Interlayer fast authentication or re-authentication for network communication | |
US9578003B2 (en) | Determining whether to use a local authentication server | |
US20090208013A1 (en) | Wireless network handoff key | |
US20060059344A1 (en) | Service authentication | |
US8724816B2 (en) | Security service control method and wireless local area network terminal | |
US10250581B2 (en) | Client, server, radius capability negotiation method and system between client and server | |
WO2011041962A1 (zh) | 一种支持合法监听的端到端会话密钥协商方法和系统 | |
US20210067329A1 (en) | High availability secure network including dual mode authentication | |
US11792034B2 (en) | System for communication on a network | |
CN113691394B (zh) | 一种vpn通信的建立和切换的方法和系统 | |
US20100332836A1 (en) | Method and apparatus for recovering sessions | |
US20100131762A1 (en) | Secured communication method for wireless mesh network | |
CN105530687B (zh) | 一种无线网络接入控制方法及接入设备 | |
EP2389031B1 (en) | Secure handoff method and system | |
CN108924828B (zh) | 一种apn自适应方法、服务端和终端 | |
KR101451163B1 (ko) | 무선 네트워크 접속 인증 방법 및 그 시스템 | |
JP2006191429A (ja) | 集合型宅内ネットワークにおける認証方法及びシステム | |
CN116866090B (zh) | 工控网络的网络安全管理系统和网络安全管理方法 | |
CN117459527A (zh) | 基于网关接入的外网终端与云桌面安全连接系统和方法 | |
CN116405257A (zh) | 信令传输方法、装置、设备及存储介质 | |
CN113890761A (zh) | 一种面向分区操作系统的轻量级安全通信方法及系统 | |
CN117134933A (zh) | 加密通信方法、装置、电子设备和存储介质 | |
CN117596021A (zh) | 一种基于内网穿透的变电站监控系统远程开发调试方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: 511356 Room 501, building 2, No. 63, Yong'an Avenue, Huangpu District, Guangzhou, Guangdong Applicant after: Guangzhou lubangtong Internet of things Technology Co.,Ltd. Address before: 510653 room F315, 95 daguanzhong Road, Tianhe District, Guangzhou City, Guangdong Province Applicant before: GUANGZHOU ROBUSTEL TECHNOLOGIES Co.,Ltd. |
|
CB02 | Change of applicant information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |