CN114070672A - 用于实现vpn网关与客户端之间的通信的方法、设备及系统 - Google Patents
用于实现vpn网关与客户端之间的通信的方法、设备及系统 Download PDFInfo
- Publication number
- CN114070672A CN114070672A CN202110977682.1A CN202110977682A CN114070672A CN 114070672 A CN114070672 A CN 114070672A CN 202110977682 A CN202110977682 A CN 202110977682A CN 114070672 A CN114070672 A CN 114070672A
- Authority
- CN
- China
- Prior art keywords
- key
- vpn gateway
- client
- certificate
- hardware
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 29
- 238000004891 communication Methods 0.000 title claims abstract description 12
- 230000004044 response Effects 0.000 claims abstract description 9
- 230000005540 biological transmission Effects 0.000 claims description 30
- 230000006870 function Effects 0.000 claims description 12
- 238000005516 engineering process Methods 0.000 claims description 6
- 230000002159 abnormal effect Effects 0.000 claims description 4
- 238000012795 verification Methods 0.000 description 20
- 238000010586 diagram Methods 0.000 description 11
- 238000004590 computer program Methods 0.000 description 4
- 238000011156 evaluation Methods 0.000 description 4
- 230000002085 persistent effect Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 206010047289 Ventricular extrasystoles Diseases 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 239000002355 dual-layer Substances 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000005129 volume perturbation calorimetry Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
公开了一种用于实现VPN网关与客户端之间的通信的方法、设备及系统。在VPN网关所在的物理机上附接硬件密码设备;在硬件密码设备中对相关密钥进行保护;响应于VPN网关接收到客户端发送的加密信息,基于硬件密码设备中的解密密钥对加密信息进行解密,得到用于对VPN网关与客户端之间传输的消息进行对称加密的密钥,其中,加密信息是由所述客户端使用与解密密钥对应的加密密钥对密钥进行加密得到的。由此,在降低KMS的压力的同时,可以提升VPN网关对国家密码标准要求的合规程度。
Description
技术领域
本公开涉及VPN技术领域,特别是涉及一种用于实现VPN网关与客户端之间的通信的方法、设备及系统。
背景技术
传统的VPN网关,包括IPSEC VPN、SSL VPN、安全认证网关等都是以硬件形态呈现,并且可以依据相应的国家密码标准进行认证,获得产品认证证书。
不同于传统的VPN网关,云上VPN网关是以服务化方式提供给用户的VPN网关。云上VPN网关以软件方式部署,不依赖硬件设备。
云上VPN网关的密钥生成和管理依赖密钥管理系统(Key Management System,简称KMS)。签名验签在KMS上执行,通过验签得到的密钥由KMS传送到云上VPN产品。
由于云上VPN网关是软件形态,云上VPN网关通常使用软件密码模块进行与密钥相关的密码运算,例如可以包括使用密钥对要发送给客户端的消息进行加密、使用密钥对客户端发送的消息进行解密。这种模式缺少标准依据,在云计算密码应用评估中面临诸多挑战。
首先,软件密码模块的最高等级是一级,而等保三级以上系统要求使用二级及以上密码模块。
而且,将密钥从KMS传送到VPN网关需要安全传输通道,如何建立一条符合标准/规范要求的安全传输通道是一个问题,传输方案的安全性难以确保,很难得到认可。
另外,为了实现密钥的周期性更新,不仅需要KMS执行多次验签,还需要KMS通过安全传输通道多次向VPN网关发送密钥,进一步加剧了KMS的成本以及密钥传输的不安全性。
因此,仍然需要一种改进的云上VPN网关的密钥管理方案。
发明内容
本公开的目的在于提供一种新的云上VPN网关的密钥管理方案,以解决上述问题。
根据本公开的第一个方面,提供了一种用于实现VPN网关与客户端之间的通信的方法,包括:在VPN网关所在的物理机上附接硬件密码设备;在硬件密码设备中对相关密钥进行保护;响应于VPN网关接收到客户端发送的加密信息,基于硬件密码设备中的解密密钥对加密信息进行解密,得到用于对VPN网关与客户端之间传输的消息进行对称加密的密钥,其中,加密信息是由客户端使用与解密密钥对应的加密密钥对密钥进行加密得到的。
可选地,解密密钥是由密钥管理系统管理的,该方法还可以包括:由VPN网关通过安全传输通道从密钥管理系统获取解密密钥,并将解密密钥存储在硬件密码设备中;或者预先将解密密钥设置在硬件密码设备中。
可选地,安全传输通道为使用预先配置的一次性使用的共享密钥对传输数据进行加密的数据传输方式。
可选地,该方法还可以包括:将密钥存储在硬件密码设备中;以及/或者由硬件密码设备基于解密密钥对加密信息进行解密;以及/或者由硬件密码设备基于密钥对VPN网关发送给客户端的消息进行加密,并且/或者基于密钥对客户端发送给VPN网关的消息进行解密。
可选地,该方法还可以包括:在密钥需要更新的情况下,基于硬件密码设备中的解密密钥对VPN网关再次从客户端新接收到的加密信息进行解密得到新的密钥,并将硬件密码设备中的密钥替换为新的密钥。
可选地,该方法还可以包括:若VPN网关的私钥出现异常情况,则VPN网关将异常情况通知给证书系统,由证书系统通知与VPN网关使用同一证书的其他VPN网关停止使用该证书。
根据本公开的第二个方面,提供了一种虚拟专用网络服务设备,包括:物理机;和与物理机附接的硬件密码设备,用于对相关密钥进行保护,其中,物理机中包括用于实现VPN网关的功能的虚拟机,虚拟机为通过虚拟化技术在物理机上得到的具有硬件系统功能的、运行在隔离环境中的完整计算机系统,响应于VPN网关接收到客户端发送的加密信息,基于硬件密码设备中的解密密钥对加密信息进行解密,得到用于对VPN网关与客户端之间传输的消息进行对称加密的密钥,其中,加密信息是由客户端使用与解密密钥对应的加密密钥对密钥进行加密得到的。
根据本公开的第三个方面,提供了一种虚拟专用网络服务系统,包括:密钥管理系统;证书系统,用于签发或者从外部证书颁发机构获得证书及密钥对,并将证书和密钥对中的解密密钥导入密钥管理系统,密钥对包括加密密钥和解密密钥,证书包含加密密钥;控制台,用于响应于客户端的VPN网关创建请求,在物理机上的虚拟机中创建VPN网关,其中,虚拟机所在的物理机上附接有硬件密码设备,在硬件密码设备中对相关密钥进行保护,硬件密码设备中的解密密钥是通过安全传输通道从密钥管理系统获取的,或者是预先设置好的,证书系统将证书发送给VPN网关,由VPN网关将证书发送给客户端,VPN网关接收客户端发送的加密信息,基于硬件密码设备中的解密密钥对加密信息进行解密,得到用于对VPN网关与客户端之间传输的消息进行对称加密的密钥,其中,加密信息是由客户端使用加密密钥对密钥进行加密得到的。
根据本公开的第四个方面,提供了一种计算设备,包括:处理器;以及存储器,其上存储有可执行代码,当可执行代码被处理器执行时,使处理器执行如上述第一方面所述的方法。
根据本公开的第五个方面,提供了一种非暂时性机器可读存储介质,其上存储有可执行代码,当可执行代码被电子设备的处理器执行时,使处理器执行如上述第一方面所述的方法。
由此,通过在VPN网关所在的物理机上附接硬件密码设备,在硬件密码设备中对相关密钥进行保护,如将解密密钥存储到硬件密码设备中,使得可以在VPN网关本地进行验签,而无需再通过KMS进行验签,也无需在KMS和VPN网关之间传输密钥,从而可以大大降低KMS的压力及安全成本,同时硬件密码设备又可以提升VPN网关对国家密码标准要求的合规程度。
附图说明
通过结合附图对本公开示例性实施方式进行更详细的描述,本公开的上述以及其它目的、特征和优势将变得更加明显,其中,在本公开示例性实施方式中,相同的参考标号通常代表相同部件。
图1示出了本公开的用于实现VPN网关与客户端之间的通信的方法的原理示意图;
图2示出了未设置硬件密码设备的方案流程示意图。
图3示出了设置硬件密码设备的方案流程示意图。
图4示出了根据本公开一个实施例的虚拟专用网络服务设备的结构示意图。
图5示出了根据本公开一个实施例的虚拟专用网络服务系统的结构示意图。
图6示出了根据本公开一个实施例的计算设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的优选实施方式。虽然附图中显示了本公开的优选实施方式,然而应该理解,可以以各种形式实现本公开而不应被这里阐述的实施方式所限制。相反,提供这些实施方式是为了使本公开更加透彻和完整,并且能够将本公开的范围完整地传达给本领域的技术人员。
本公开方案中的VPN网关特指云上VPN网关。云上VPN网关是指以软件方式部署的、不依赖于硬件设备的VPN网关。VPN网关可以是但不限于IPsec-VPN网关、SSL-VPN网关、安全认证网关。其中,IPsec-VPN网关用于提供IPsec-VPN连接服务,SSL-VPN网关用于提供SSL-VPN连接服务。需要说明的是,本公开方案中的VPN网关在国家相关政策法规内提供服务,不提供访问互联网的功能。
VPN网关可以提供连接虚拟专用网络(Virtual Private Network,简称VPN)的服务。在VPN网关的作用下可以为网络上不同地理位置的两个或更多个客户端建立一条安全加密的通讯线路。其中,这两个或更多个客户端可以属于同一组织,如同一企业内部网。
在一种应用场景中,VPN网关可以提供虚拟私有云(Virtual Private Cloud,以下简称VPC)的公网出口,在VPN网关的作用下客户端可以与VPC之间建立一条安全加密的公网通信隧道。其中,客户端可以是VPC所服务的组织下的需要接入VPC的对象,如企业本地数据中心、企业拥有的互联网终端或企业拥有的其他VPC。
可以通过虚拟化技术在物理机上得到具有完整硬件系统功能、运行在一个完全隔离环境中的完整计算机系统,即虚拟机。由虚拟机实现VPN网关的功能,即在虚拟机中创建VPN网关。
对于以软件方式部署的VPN网关,本公开通过对VPN网关所在物理机(例如VPN网关所在的虚拟机所处的物理机)进行图1所示配置,解决VPN网关使用软件密码模块进行密码运算所存在的诸多问题。
如图1所示,对于VPN网关所在的物理机,可以在物理机本地设置一个硬件密码设备,该硬件密码设备与物理机之间为物理连接,以将硬件密码设备附接或加装在物理机上。
硬件密码设备与VPN网关之间可以是一一对应关系,即可以针对每个VPN网关设置一个用于与该VPN网关所在的物理机附接的硬件密码设备。每个物理机中可以部署一个或多个VPN网关。
硬件密码设备与物理机之间的物理连接,是指通过物理介质(如物理线路)建立的连接,而非通过无线网络实现的连接,也不是通过互联网等方式实现的间接连接。通过物理连接将硬件密码设备附接或加装在物理机上,使得硬件密码设备与物理机(也即在物理机上创建的VPN网关)之间传递数据时,不会出现无线网络或互联网络传输所存在的数据泄露的风险。
硬件密码设备是指能够提供密码运算服务的硬件密码模块,如硬件密码卡。由此,原本需要VPN网关执行的密码运算均可以在硬件密码设备中进行,而硬件密码设备的等保级别较高,因此可以提升VPN网关对国家密码标准要求的合规程度。
可以在硬件密码设备中对相关密钥进行保护。即,可以将相关密钥存储到硬件密码设备中。其中,相关密钥可以包括但不限于下文述及的解密密钥和密钥。
例如,可以通过特定方式将VPN网关的解密密钥存储在硬件密码设备中,以使得VPN网关可以直接在硬件密码设备中执行与解密密钥相关的密码运算。其中,解密密钥可以与加密密钥构成一组用于非对称加密的密钥对。解密密钥即用于解密的密钥,加密密钥即用于加密的密钥。解密密钥可以是指需要保密存储以防泄露的私钥(即私有密钥),加密密钥可以是指可对外公布的公钥(即公有密钥)。其中,多个VPN网关可共用一组密钥对,即多个VPN网关可以共有一组公钥和私钥。VPN网关所使用的公钥和私钥,可以由证书系统指定。
本公开在硬件密码设备中执行的密码运算可以包括:使用解密密钥(如私钥)对接收到的来自客户端的加密信息(如验签请求所附带的加密信息)进行解密;使用密钥对VPN网关要发送给客户端(如VPN客户端)的消息进行加密;使用密钥对客户端发送的加密了的消息进行解密。
由此,在需要对客户端的验签请求进行验签时,VPN网关可以直接在本地硬件密码设备中完成验签,得到用于对VPN网关与客户端之间传输的消息进行对称加密的密钥,而无需再由KMS验签,也无需KMS将密钥传输给VPN网关,在降低KMS的负担的同时,可以提升密钥的安全性。
为了更好地表明图1所示配置的有益效果,下面分别就不设置硬件密码设备由KMS负责验签的VPN网关的方案流程,以及设置硬件密码设备由硬件密码设备负责验签的VPN网关的方案流程进行示例性说明。
未设置硬件密码设备的方案流程
图2示出了未设置硬件密码设备的方案流程示意图。方案包括如下步骤。
1)证书系统(也可称为证书管理系统)签发或者从外部证书颁发机构(Certificate Authority,简称CA)获得证书及密钥对,密钥对中包括加密密钥(如公钥)和解密密钥(如私钥),证书中含有加密密钥(如公钥)。
2)证书和解密密钥导入KMS。解密密钥可以导入HMS,由HMS负责与私钥相关的密码运算,但是HMS运算能力弱,且造价高。
3)客户端将创建VPN网关的请求发送给控制台。
4)控制台将请求转发到KMS。
5)KMS将证书和证书ID传递给VPN网关。
6)客户端连接VPN网关,VPN网关将证书发送给客户端,客户端生成用于对称加密的密钥,并基于证书中的加密密钥(如公钥)对密钥进行加密得到加密信息,并将附带该加密信息的验签请求发送给VPN网关。
7)VPN网关将证书ID和客户端的验签请求发送到KMS。
8)KMS根据证书ID找到相应的解密密钥(如私钥)进行验签,并将验签结果和对加密信息进行解密得到的密钥返回给VPN网关。
9)在VPN网关与客户端进行通话的过程中,VPN网关使用软件密码模块对要传输的消息进行加密,以及对客户端发送的使用密钥加密了的消息进行解密。
在上述流程的步骤8中,为了保证密钥传输的安全性,需要在KMS和VPN之间建立安全传输通道,但是如何建立一条符合商用密码应用安全性评估(简称“密评”)要求的安全传输通道是一个问题,传输方案的安全性难以确保,很难得到认可。
其次,VPN网关与客户端通话所使用的密钥通常需要周期性更新,这使得需要在KMS上执行多次验签、解密操作,且需要在KMS与VPN网关之间进行多次密钥传输,对KMS的压力较大,且为保证反复传输密钥的安全性需要进一步提高安全成本。
再者,在上述流程的步骤9中,密钥存储在VPN网关所在的物理机的内存中,密钥存储的安全性和密钥之间的隔离的有效性通常会被挑战,且软件密码模块的最高等级是一级,而等保三级以上系统要求使用二级及以上密码模块,无法用于更高等保要求的场景。
本公开设置硬件密码设备的方案流程
图3示出了本公开设置硬件密码设备的方案流程示意图。方案包括如下步骤。
1)证书系统签发或者从外部CA获得证书及密钥对。
2)证书和私钥导入KMS。
3)客户端将创建VPN网关的请求发送给控制台。
4)控制台响应于客户端的VPN网关创建请求创建VPN网关,如可以在位于物理机中的虚拟机上创建VPN网关。
5)KMS通过安全传输通道将证书和解密密钥(如私钥)传递给VPN网关,VPN网关将解密密钥(如私钥)保存在本地的硬件密码卡中;这里的安全传输通道可以是指一次性的安全传输通道,如可以是通过使用预配置的一次性使用的共享密钥进行加密的数据传输方式,共享密钥是指通信双方预先知晓的密钥;同一证书和密钥对可以分配给多个VPN网关,即多个VPN网关可以共用一个证书和密钥对。
6)客户端连接VPN网关,VPN网关将证书发送给客户端,客户端基于证书中的加密密钥(如公钥)对客户端生成的用于对称加密的密钥进行加密,并将附带该加密信息的验签请求发送给VPN网关。
7)由硬件密码卡基于解密密钥(如私钥)对验签请求附带的加密信息进行解密,得到密钥。硬件密码卡还可以进行验签,得到验签结果。即,验签和解密均可在硬件密码卡中执行。所得到的密钥可以存储在硬件密码卡中。
9)在VPN网关与客户端进行通话的过程中,VPN网关使用硬件密码卡对要传输的消息进行加密,并且/或者对客户端发送的使用密钥加密了的消息进行解密。
10)如果证书私钥遭到破坏,VPN网关通知证书系统。证书系统通知与该VPN网关同一证书的其他VPN网关停止使用该证书。步骤9和步骤10可以不分先后同时进行。
作为一种替代方案,在步骤5中KMS可以只将证书(和证书ID)发送给VPN网关,而不发送私钥,私钥可以通过线下的方式预先设置在硬件密码设备中。并且,KMS在不发送私钥而只发送证书时,无需使用安全传输通道,由此可以降低传输成本。
可选地,证书也可以由证书系统发送给VPN网关。
与图2所示的不设置硬件密码设备的方案相比,通过在VPN网关所在的物理机本地设置存储了解密密钥(如私钥)的硬件密设备,至少可以产生如下有益效果:
1、VPN网关在接收到客户端发送的附带加密信息的验签请求后,无需将验签请求交由KMS进行验签和解密,而是可以在VPN网关所在的物理机本地进行验签和解密,得到VPN网关和客户端后续通话需要使用的密钥,降低KMS的压力,同时不需要在KMS和VPN之间传输密钥,简化网络架构设计,在密评时能够得到更高分数;
2、得到的密钥可以存储在本地硬件密码卡中,基于密钥的加解密也可以在硬件密码卡中执行,以满足更高级别的等保要求,提升VPN网关对国家密码标准要求的合规程度;
3、在需要(周期性)更新密钥的情况下,可以基于硬件密码设备中的解密密钥对VPN网关再次从客户端新接收到的验签请求所附带的加密信息进行解密得到新的密钥,并将硬件密码设备中的密钥替换为新的密钥,由此可以实现密钥的本地更新,而无需KMS参与,因此可以进一步降低KMS的压力,同时可以避免在KMS和VPN网关之间反复传输密钥的安全成本;
4、KMS无需执行密码运算,而是可以专注于密钥的管理。
综上,本公开是针对云上VPN产品实现的一种软、硬结合的方案,VPN网关以软件形态部署,通过在VPN网关所在的物理机上加装硬件密码设备,在硬件密码设备中进行密钥管理和密码运算,可以将密钥管理从KMS转移到硬件密码设备,从KMS的集中式改为基于多个硬件密码设备的分布式,减少了KMS的负担,并且可以提升VPN网关对国家密码标准要求的合规程度。
图4示出了根据本公开一个实施例的虚拟专用网络服务设备的结构示意图。
如图4所示,虚拟专用网络服务设备400可以包括物理机410和硬件密码设备420。
物理机410中包括用于实现VPN网关的功能的虚拟机,虚拟机为通过虚拟化技术在物理机上得到的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。
物理机上附接有硬件密码设备420,用于对相关密钥进行保护。其中,一个物理机410中可以部署一个或多个VPN网关,可以针对每个VPN网关配置一个硬件密码设备420。
响应于VPN网关接收到客户端发送的加密信息,基于硬件密码设备420中的解密密钥对加密信息进行解密,得到用于对VPN网关与客户端之间传输的消息进行对称加密的密钥,其中,加密信息是由客户端使用与解密密钥对应的加密密钥对密钥进行加密得到的。
虚拟专用网络服务设备可以与上文述及的控制台、KMS、证书系统协作,执行图3所示方案流程。由此,虚拟专用网络服务设备可以与控制台、KMS、证书系统构成一个虚拟专用网络服务系统。
下面结合图5就虚拟专用网络服务系统的结构及工作流程做示意性说明。
图5示出了根据本公开一个实施例的虚拟专用网络服务系统的结构示意图。
如图5所示,虚拟专用网络服务系统500可以包括证书系统510、控制台520和密钥管理系统530。
证书系统510签发或者从外部证书颁发机构获得证书及密钥对,并将证书和密钥对中的解密密钥导入密钥管理系统。密钥对包括加密密钥和解密密钥,证书包含加密密钥。
控制台520响应于客户端的VPN网关创建请求创建VPN网关,如可以在物理机的虚拟机中创建VPN网关。
在创建好VPN网关之后,也可以由证书系统将分配给VPN网关的证书连同解密密钥发送给密钥管理系统530。密钥管理系统530可以通过(一次性)安全传输通道将分配给VPN网关的私钥和证书发送给VPN网关。
VPN网关(即VPN网关所在的虚拟机)所处的物理机上附接有硬件密码设备,VPN网关在接收密钥管理系统530发送的解密密钥后,可以将私钥存储到硬件密码设备。
或者,密钥管理系统530也可以只将证书发送到VPN网关,而不向VPN网关530发送私钥,私钥可以提前设置在硬件密码设备中。其中,密钥管理系统530只向VPN网关发送证书时可以不通过安全传输通道,以降低成本。
可选地,在创建好VPN网关之后,可以直接由证书系统将分配给VPN网关的证书发送给VPN网关。
VPN网关与客户端连接之初,可以将证书发送给客户端。
客户端在接收到证书后,可以提取证书中的加密密钥,使用加密密钥对客户端生成的密钥进行加密得到加密信息,并将加密信息附加在验签请求中发送给VPN网关。
VPN网关在接收到附带加密信息的验签请求后,一方面可以进行验签,另一方面可以基于硬件密码设备中的解密密钥对加密信息进行解密(解密操作可以在硬件密码设备中执行),得到用于对VPN网关与客户端之间传输的消息进行对称加密的密钥,其中,加密信息是由客户端使用加密密钥对密钥进行加密得到的。
所得到的密钥可以存储在硬件密码设备中。此后VPN网关与客户端通话的过程中,可以在VPN网关本地的硬件密码设备中执行与密钥相关的加密运算和解密运算。其中,加密运算是指使用密钥对VPN网关要发送给客户端的消息进行加密,解密运算是指使用密钥对VPN网关接收到的客户端发送的使用密钥加密了的消息进行解密。
图6示出了根据本公开一实施例的计算设备的结构示意图。
参见图6,计算设备600包括存储器610和处理器620。
处理器620可以是一个多核的处理器,也可以包含多个处理器。在一些实施例中,处理器620可以包含一个通用的主处理器以及一个或多个特殊的协处理器,例如图形处理器(GPU)、数字信号处理器(DSP)等等。在一些实施例中,处理器620可以使用定制的电路实现,例如特定用途集成电路(ASIC,Application Specific Integrated Circuit)或者现场可编程逻辑门阵列(FPGA,Field Programmable Gate Arrays)。
存储器610可以包括各种类型的存储单元,例如系统内存、只读存储器(ROM),和永久存储装置。其中,ROM可以存储处理器620或者计算机的其他模块需要的静态数据或者指令。永久存储装置可以是可读写的存储装置。永久存储装置可以是即使计算机断电后也不会失去存储的指令和数据的非易失性存储设备。在一些实施方式中,永久性存储装置采用大容量存储装置(例如磁或光盘、闪存)作为永久存储装置。另外一些实施方式中,永久性存储装置可以是可移除的存储设备(例如软盘、光驱)。系统内存可以是可读写存储设备或者易失性可读写存储设备,例如动态随机访问内存。系统内存可以存储一些或者所有处理器在运行时需要的指令和数据。此外,存储器610可以包括任意计算机可读存储媒介的组合,包括各种类型的半导体存储芯片(DRAM,SRAM,SDRAM,闪存,可编程只读存储器),磁盘和/或光盘也可以采用。在一些实施方式中,存储器610可以包括可读和/或写的可移除的存储设备,例如激光唱片(CD)、只读数字多功能光盘(例如DVD-ROM,双层DVD-ROM)、只读蓝光光盘、超密度光盘、闪存卡(例如SD卡、min SD卡、Micro-SD卡等等)、磁性软盘等等。计算机可读存储媒介不包含载波和通过无线或有线传输的瞬间电子信号。
存储器610上存储有可执行代码,当可执行代码被处理器620处理时,可以使处理器620执行上文述及的用于实现VPN网关与客户端之间的通信的方法。
上文中已经参考附图详细描述了根据本公开的用于实现VPN网关与客户端之间的通信的方法、虚拟专用网络服务设备及系统。
此外,根据本公开的方法还可以实现为一种计算机程序或计算机程序产品,该计算机程序或计算机程序产品包括用于执行本公开的上述方法中限定的上述各步骤的计算机程序代码指令。
或者,本公开还可以实施为一种非暂时性机器可读存储介质(或计算机可读存储介质、或机器可读存储介质),其上存储有可执行代码(或计算机程序、或计算机指令代码),当所述可执行代码(或计算机程序、或计算机指令代码)被电子设备(或计算设备、服务器等)的处理器执行时,使所述处理器执行根据本公开的上述方法的各个步骤。
本领域技术人员还将明白的是,结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。
附图中的流程图和框图显示了根据本公开的多个实施例的系统和方法的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标记的功能也可以以不同于附图中所标记的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
以上已经描述了本公开的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。
Claims (10)
1.一种用于实现VPN网关与客户端之间的通信的方法,包括:
在所述VPN网关所在的物理机上附接硬件密码设备;
在所述硬件密码设备中对相关密钥进行保护;
响应于所述VPN网关接收到所述客户端发送的加密信息,基于所述硬件密码设备中的解密密钥对所述加密信息进行解密,得到用于对所述VPN网关与所述客户端之间传输的消息进行对称加密的密钥,其中,所述加密信息是由所述客户端使用与所述解密密钥对应的加密密钥对所述密钥进行加密得到的。
2.根据权利要求1所述的方法,其中,所述解密密钥是由密钥管理系统管理的,该方法还包括:
由所述VPN网关通过安全传输通道从密钥管理系统获取所述解密密钥,并将所述解密密钥存储在所述硬件密码设备中;或者
预先将所述解密密钥设置在所述硬件密码设备中。
3.根据权利要求2所述的方法,其中,所述安全传输通道为使用预先配置的一次性使用的共享密钥对传输数据进行加密的数据传输方式。
4.根据权利要求1所述的方法,还包括:
将所述密钥存储在所述硬件密码设备中;以及/或者
由所述硬件密码设备基于解密密钥对所述加密信息进行解密;以及/或者
由所述硬件密码设备基于所述密钥对所述VPN网关发送给所述客户端的消息进行加密,并且/或者基于所述密钥对所述客户端发送给所述VPN网关的消息进行解密。
5.根据权利要求4所述的方法,还包括:
在所述密钥需要更新的情况下,基于所述硬件密码设备中的解密密钥对所述VPN网关再次从所述客户端新接收到的加密信息进行解密得到新的密钥,并将所述硬件密码设备中的密钥替换为所述新的密钥。
6.根据权利要求1所述的方法,还包括:
若所述VPN网关的私钥出现异常情况,则所述VPN网关将异常情况通知给证书系统,由所述证书系统通知与所述VPN网关使用同一证书的其他VPN网关停止使用该证书。
7.一种虚拟专用网络服务设备,包括:
物理机;和
与物理机附接的硬件密码设备,用于对相关密钥进行保护,其中,
所述物理机中包括用于实现VPN网关的功能的虚拟机,所述虚拟机为通过虚拟化技术在所述物理机上得到的具有硬件系统功能的、运行在隔离环境中的计算机系统,
响应于所述VPN网关接收到客户端发送的加密信息,基于所述硬件密码设备中的解密密钥对所述加密信息进行解密,得到用于对所述VPN网关与所述客户端之间传输的消息进行对称加密的密钥,其中,所述加密信息是由所述客户端使用与所述解密密钥对应的加密密钥对所述密钥进行加密得到的。
8.一种虚拟专用网络服务系统,包括:
密钥管理系统;
证书系统,用于签发或者从外部证书颁发机构获得证书及密钥对,并将证书和所述密钥对中的解密密钥导入所述密钥管理系统,所述密钥对包括加密密钥和解密密钥,所述证书包含所述加密密钥;
控制台,用于响应于客户端的VPN网关创建请求,在物理机上的虚拟机中创建VPN网关,其中,
所述虚拟机所在的物理机上附接有硬件密码设备,在所述硬件密码设备中对相关密钥进行保护,所述硬件密码设备中的解密密钥是通过安全传输通道从所述密钥管理系统获取的,或者是预先设置好的,
所述证书系统将所述证书发送给所述VPN网关,由所述VPN网关将所述证书发送给所述客户端,所述VPN网关接收所述客户端发送的加密信息,基于所述硬件密码设备中的解密密钥对所述加密信息进行解密,得到用于对所述VPN网关与所述客户端之间传输的消息进行对称加密的密钥,其中,所述加密信息是由所述客户端使用所述加密密钥对所述密钥进行加密得到的。
9.一种计算设备,包括:
处理器;以及
存储器,其上存储有可执行代码,当所述可执行代码被所述处理器执行时,使所述处理器执行如权利要求1至7中任何一项所述的方法。
10.一种非暂时性机器可读存储介质,其上存储有可执行代码,当所述可执行代码被电子设备的处理器执行时,使所述处理器执行如权利要求1至7中任何一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110977682.1A CN114070672A (zh) | 2021-08-24 | 2021-08-24 | 用于实现vpn网关与客户端之间的通信的方法、设备及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110977682.1A CN114070672A (zh) | 2021-08-24 | 2021-08-24 | 用于实现vpn网关与客户端之间的通信的方法、设备及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114070672A true CN114070672A (zh) | 2022-02-18 |
Family
ID=80233588
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110977682.1A Pending CN114070672A (zh) | 2021-08-24 | 2021-08-24 | 用于实现vpn网关与客户端之间的通信的方法、设备及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114070672A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115174258A (zh) * | 2022-07-29 | 2022-10-11 | 国网四川省电力公司乐山供电公司 | 一种vpn数据安全访问方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106169990A (zh) * | 2016-06-22 | 2016-11-30 | 北京奇虎科技有限公司 | 一种加密流量数据监控的方法、装置及系统 |
| US20200374110A1 (en) * | 2019-05-20 | 2020-11-26 | Citrix Systems, Inc. | Computing system and related methods providing connection lease exchange with secure connection lease communications |
| CN112989320A (zh) * | 2021-04-02 | 2021-06-18 | 郑州信大捷安信息技术股份有限公司 | 一种用于密码设备的用户状态管理系统及方法 |
-
2021
- 2021-08-24 CN CN202110977682.1A patent/CN114070672A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106169990A (zh) * | 2016-06-22 | 2016-11-30 | 北京奇虎科技有限公司 | 一种加密流量数据监控的方法、装置及系统 |
| US20200374110A1 (en) * | 2019-05-20 | 2020-11-26 | Citrix Systems, Inc. | Computing system and related methods providing connection lease exchange with secure connection lease communications |
| CN112989320A (zh) * | 2021-04-02 | 2021-06-18 | 郑州信大捷安信息技术股份有限公司 | 一种用于密码设备的用户状态管理系统及方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115174258A (zh) * | 2022-07-29 | 2022-10-11 | 国网四川省电力公司乐山供电公司 | 一种vpn数据安全访问方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11165565B2 (en) | Secure distribution private keys for use by untrusted code | |
| US9667416B1 (en) | Protecting master encryption keys in a distributed computing environment | |
| CN107465689B (zh) | 云环境下的虚拟可信平台模块的密钥管理系统及方法 | |
| WO2018077086A1 (zh) | 数据传输方法、装置及系统 | |
| CN113302871B (zh) | 通信方法、通信系统、网络接口控制器 | |
| WO2017097041A1 (zh) | 数据传输方法和装置 | |
| JP2018518090A (ja) | クラウドベースの暗号化マシン鍵インジェクションの方法、装置、及びシステム | |
| CN107317677B (zh) | 密钥存储及设备身份认证方法、装置 | |
| AU2018287525A1 (en) | Systems and methods for data encryption for cloud services | |
| CN103036880A (zh) | 网络信息传输方法、设备及系统 | |
| WO2018202109A1 (zh) | 一种证书请求消息发送方法、接收方法和装置 | |
| US11985112B2 (en) | Securing data in motion by zero knowledge protocol | |
| CN110868291A (zh) | 一种数据加密传输方法、装置、系统及存储介质 | |
| US20240232441A1 (en) | Executing entity-Specific Cryptographic Code in a Cryptographic | |
| KR101765207B1 (ko) | 교통 신호 보안 시스템 및 방법 | |
| US10333703B2 (en) | Key exchange process | |
| CN110519222B (zh) | 基于一次性非对称密钥对和密钥卡的外网接入身份认证方法和系统 | |
| CN114338091B (zh) | 数据传输方法、装置、电子设备及存储介质 | |
| CN105991622A (zh) | 一种报文验证方法及设备 | |
| WO2024158886A1 (en) | Non-custodial techniques for data encryption and decryption | |
| JP2021533599A (ja) | コンピューティング環境でオンプレミスの秘密を複製する安全な方法 | |
| CN114070672A (zh) | 用于实现vpn网关与客户端之间的通信的方法、设备及系统 | |
| US10257176B2 (en) | Replacing keys in a computer system | |
| TWI804179B (zh) | 量子安全金鑰交換方案 | |
| CN103856463A (zh) | 基于密钥交换协议的轻量目录访问协议实现方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40067023 Country of ref document: HK |