CN115767535A - 一种5G场景下终端vpn网络接入鉴权方法及系统 - Google Patents
一种5G场景下终端vpn网络接入鉴权方法及系统 Download PDFInfo
- Publication number
- CN115767535A CN115767535A CN202211375867.6A CN202211375867A CN115767535A CN 115767535 A CN115767535 A CN 115767535A CN 202211375867 A CN202211375867 A CN 202211375867A CN 115767535 A CN115767535 A CN 115767535A
- Authority
- CN
- China
- Prior art keywords
- vpn
- data
- ipsec
- destination
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出了一种5G场景下终端vpn网络接入鉴权方法及系统,该方法通过在请求方和目的方设置VPN代理网关,所述VPN代理网关根据请求方发送的接入请求进行解析,并伪装成目的方对解析后的数据进行处理,在获取到目的方的接入请求允许后,实现终端VPN网络接入。本发明的VPN安全网关依托于IP/SSL的隧道技术实现了多隧道虚拟的数据传输方法,能够将网络报文变成更加随机性和保密性的网络传输数据,有效防止数据的盗取和破译,以及对病毒加入感染。从而更好地对密钥和隧道方法进行管理和安全存储等工作。
Description
技术领域
本发明涉及接入网领域,具体涉及一种5G场景下终端vpn网络接入鉴权方法及系统。
背景技术
5G技术在智慧警务系统的应用,使得警务摆脱了对警察局的地理位置的影响,公安系统工作人员能够在任何地方进行工作。然而,警务系统信息的安全是非常重要的,应该建立完整的网络安全防护机制以适应新时代下智慧警务办公的需求。由于缺少一套严格的认证机制,导致非法用户以及非法设备都能对系统进行访问,终端的安全性失去了保障。
移动网络进行数据传输的安全性以及质量会受病毒以及恶意代码的影响,他们通过造成网络堵塞来影响正常数据的传输。在现有的网络接入环境中使用了一些诸如VPN代理网关等元件来实现网络接入过程中出现的安全性问题,但是,现有的代理网关只是用来对数据进行简单的加解密,而且也数据传输过程中,也只是简单的进行数据转发过程,并没有很好的起到网络接入过程中的安全作用。
发明内容
为解决上述技术问题,一种5G场景下终端vpn网络接入鉴权方法及系统,解决网络接入过程中出现的安全性问题。
根据本发明的目的,本发明提出了一种5G场景下终端vpn网络接入鉴权方法,该方法应用于基于IPSec协议的VPN代理网关,所述方法包括通过所述VPN代理网关执行以下步骤:
在发起VPN网络接入之前,构建基于5G场景的移动网络为请求方和目的方提供通信通道;
所述请求方对待传输的数据基于IPSec隧道模式使用商用密码算法加密待传输数据,形成第一加密数据;
所述VPN代理网关监听所述通信通道中的IPSec协商流量,对分流过来的IPSec协商流量实施自适应IKE攻击,伪装成目的方,并对接收到的所述第一加密数据报进行处理去除明文IP包头,对内容进行解密之后,获得最初的负载IP包,对该负载IP包执行扫描线程,判断是否存在网络攻击行为,若不存在,则通过商用密码算法执行与目的方建立的加解密流程,生成第二加密数据,并通过隧道服务器将所述第二加密数据发送至目标方,以实现终端VPN网络接入鉴权过程。
优选的,所述请求方对待传输的数据基于IPSec隧道模式使用商用密码算法加密待传输数据,形成第一加密数据的步骤还包括:所述IPSec隧道模式使用商用密码算法封装和加密整个IP包,形成封装和加密后的负载,将所述负载封装在明文IP包头内,以形成第一加密数据。
优选的,所述明文IP包头携带目的方网络IP地址。
优选的,所述VPN代理网关监听所述通信通道中的IPSec协商流量,对分流过来的IPSec协商流量实施自适应IKE攻击,伪装成目的方的步骤具体为,所述VPN代理网关预先存储基于目的网络的目的方地址和基于请求网络的请求方地址;当所述VPN代理网关监听到所述通信通道中的IPSec协商流量时,进行识别拦击,提取出目的方网络IP地址后进行轮询匹配,判断是否存在匹配的IP地址,若不存在,直接丢弃该数据内容,否则,构建虚拟目的方地址空间,并向请求方发送已被接收到的确认响应消息。
优选的,所述通过商用密码算法执行与目的方建立的加解密流程,生成第二加密数据的步骤包括,在构建虚拟目的方地址空间后,基于所述最初的负载IP包以及虚拟目的方地址空间索引生成第二加密数据。
优选的,所述方法还包括预先建立VPN代理网关与目的网络的商用密码算法的加解密流程,在所述VPN网络建立基于不同目的网络的不同加解密算法。
优选的,所述VPN代理网关通过隧道服务器将所述第二加密数据发送至目标方后,所述目标方进行网络接入许可判断,若允许接入,则通过所述VPN代理网关向所述请求方发送网络接入响应消息。
根据本发明的目的,本发明还提出了一种5G场景下终端vpn网络接入鉴权系统,所述系统包括请求方、目的方以及VPN代理网关,其中,
在发起VPN网络接入之前,所述VPN代理网关分别构建基于5G场景的移动网络为请求方和目的方提供通信通道;
所述请求方对待传输的数据基于IPSec隧道模式使用商用密码算法加密待传输数据,形成第一加密数据;
所述VPN代理网关监听所述通信通道中的IPSec协商流量,对分流过来的IPSec协商流量实施自适应IKE攻击,伪装成目的方,并对接收到的所述第一加密数据报进行处理去除明文IP包头,对内容进行解密之后,获得最初的负载IP包,对该负载IP包执行扫描线程,判断是否存在网络攻击行为,若不存在,则通过商用密码算法执行与目的方建立的加解密流程,生成第二加密数据,并通过隧道服务器将所述第二加密数据发送至目标方,以实现终端VPN网络接入鉴权过程。
优选的,所述VPN代理网关包括:
IKE处理模块:对IPSec协商流量进行识别和捕获,对分流过来的IPSec协商流量实施自适应IKE攻击,并进行伪装后欺骗使用IPSec通信的双方,将协商产生的SA信息存储到系统的存储数据结构中,自适应地与通信双方分别建立IPSec信道;
策略和SA管理模块:SA策略的存取和查找,主要负责将IKE模块协商的SA策略存储或更新到系统的数据结构中,当网络数据处理模块需要SA策略相关参数时负责根据进行SA的查找;
网络数据处理模块,通过查询和使用IKE协商模块产生的SA信息,对分流过来的密文流量进行解密,然后对明文数据完成配置文件中对需要监控的信息以及关键字的识别并进行相关动作,对允许通过的流量,使用系统与通信目的方建立的IPSec信道的相关参数,对流量进行加密,完成通信双方的通信。
优选的,所述策略和SA管理模块还用于使用Netlink接口接收所述IKE协商模块产生的以Netlink消息方式传送的SA数据,并将其添加到系统维护的SADB结构中。
本发明提出了一种5G场景下终端vpn网络接入鉴权方法及系统,该方法通过在请求方和目的方设置一VPN代理网关,所述VPN代理网关根据请求方发送的接入请求进行解析,并伪装成目的方对解析后的数据进行处理,在获取到目的方的接入请求允许后,实现终端VPN网络接入。本发明的VPN安全网关依托于IP/SSL的隧道技术实现了多隧道虚拟的数据传输方法,能够将网络报文变成更加随机性和保密性的网络传输数据,有效防止数据的盗取和破译,以及对病毒加入感染。从而更好地对密钥和隧道方法进行管理和安全存储等工作。
附图说明
图1为本发明提出的5G场景下终端vpn网络接入鉴权方法流程图。
具体实施方式
为便于理解,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,一种5G场景下终端vpn网络接入鉴权方法,该方法应用于基于IPSec协议的VPN代理网关,所述方法包括通过所述VPN代理网关执行以下步骤:
P001.在发起VPN网络接入之前,构建基于5G场景的移动网络为请求方和目的方提供通信通道;
P002.所述请求方基于IPSec隧道模式使用商用密码算法加密待传输数据,形成第一加密数据。
P003.所述VPN代理网关监听所述通信通道中的IPSec协商流量,对分流过来的IPSec协商流量实施自适应IKE攻击,伪装成目的方。
P004.对接收到的所述第一加密数据报进行处理去除明文IP包头,对内容进行解密之后,获得最初的负载IP包。
P005.对该负载IP包执行扫描线程,判断是否存在网络攻击行为,若不存在,则通过商用密码算法执行与目的方建立的加解密流程,生成第二加密数据。
P006.并通过隧道服务器将所述第二加密数据发送至目标方,以实现终端VPN网络接入鉴权过程。
在本实施例中,所述请求方对待传输的数据基于IPSec隧道模式使用商用密码算法加密待传输数据,形成第一加密数据的步骤还包括:所述IPSec隧道模式使用商用密码算法封装和加密整个IP包,形成封装和加密后的负载,将所述负载封装在明文IP包头内,以形成第一加密数据。
在本实施例中,所述明文IP包头携带目的方网络IP地址。
在本实施例中,所述VPN代理网关监听所述通信通道中的IPSec协商流量,对分流过来的IPSec协商流量实施自适应IKE攻击,伪装成目的方的步骤具体为,所述VPN代理网关预先存储基于目的网络的目的方地址和基于请求网络的请求方地址;当所述VPN代理网关监听到所述通信通道中的IPSec协商流量时,进行识别拦击,提取出目的方网络IP地址后进行轮询匹配,判断是否存在匹配的IP地址,若不存在,直接丢弃该数据内容,否则,构建虚拟目的方地址空间,并向请求方发送已被接收到的确认响应消息。
在本实施例中,所述通过商用密码算法执行与目的方建立的加解密流程,生成第二加密数据的步骤包括,在构建虚拟目的方地址空间后,基于所述最初的负载IP包以及虚拟目的方地址空间索引生成第二加密数据。
在本实施例中,所述方法还包括预先建立VPN代理网关与目的网络的商用密码算法的加解密流程,在所述VPN网络建立基于不同目的网络的不同加解密算法。
在本实施例中,所述VPN代理网关通过隧道服务器将所述第二加密数据发送至目标方后,所述目标方进行网络接入许可判断,若允许接入,则通过所述VPN代理网关向所述请求方发送网络接入响应消息。
根据本发明的目的,本发明还提出了一种5G场景下终端vpn网络接入鉴权系统,所述系统包括请求方、目的方以及VPN代理网关,其中,
在发起VPN网络接入之前,所述VPN代理网关分别构建基于5G场景的移动网络为请求方和目的方提供通信通道;
所述请求方对待传输的数据基于IPSec隧道模式使用商用密码算法加密待传输数据,形成第一加密数据;
所述VPN代理网关监听所述通信通道中的IPSec协商流量,对分流过来的IPSec协商流量实施自适应IKE攻击,伪装成目的方,并对接收到的所述第一加密数据报进行处理去除明文IP包头,对内容进行解密之后,获得最初的负载IP包,对该负载IP包执行扫描线程,判断是否存在网络攻击行为,若不存在,则通过商用密码算法执行与目的方建立的加解密流程,生成第二加密数据,并通过隧道服务器将所述第二加密数据发送至目标方,以实现终端VPN网络接入鉴权过程。
在本实施例中,所述VPN代理网关包括:
IKE处理模块:对IPSec协商流量进行识别和捕获,对分流过来的IPSec协商流量实施自适应IKE攻击,并进行伪装后欺骗使用IPSec通信的双方,将协商产生的SA信息存储到系统的存储数据结构中,自适应地与通信双方分别建立IPSec信道;
策略和SA管理模块:SA策略的存取和查找,主要负责将IKE模块协商的SA策略存储或更新到系统的数据结构中,当网络数据处理模块需要SA策略相关参数时负责根据进行SA的查找;
网络数据处理模块,通过查询和使用IKE协商模块产生的SA信息,对分流过来的密文流量进行解密,然后对明文数据完成配置文件中对需要监控的信息以及关键字的识别并进行相关动作,对允许通过的流量,使用系统与通信目的方建立的IPSec信道的相关参数,对流量进行加密,完成通信双方的通信。
在本实施例中,所述策略和SA管理模块还用于使用Netlink接口接收所述IKE协商模块产生的以Netlink消息方式传送的SA数据,并将其添加到系统维护的SADB结构中。
对于本领域技术人员而言,显然本发明实施例不限于上述示范性实施例的细节,而且在不背离本发明实施例的精神或基本特征的情况下,能够以其他的具体形式实现本发明实施例。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明实施例的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明实施例内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。系统、装置或终端权利要求中陈述的多个单元、模块或装置也可以由同一个单元、模块或装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
最后应说明的是,以上实施方式仅用以说明本发明实施例的技术方案而非限制,尽管参照以上较佳实施方式对本发明实施例进行了详细说明,本领域的普通技术人员应当理解,可以对本发明实施例的技术方案进行修改或等同替换都不应脱离本发明实施例的技术方案的精神和范围。
Claims (10)
1.一种5G场景下终端vpn网络接入鉴权方法,其特征在于,应用于基于IPSec协议的VPN代理网关,所述方法包括通过所述VPN代理网关执行以下步骤:
在发起VPN网络接入之前,构建基于5G场景的移动网络为请求方和目的方提供通信通道;
所述请求方对待传输的数据基于IPSec隧道模式使用商用密码算法加密待传输数据,形成第一加密数据;
所述VPN代理网关监听所述通信通道中的IPSec协商流量,对分流过来的IPSec协商流量实施自适应IKE攻击,伪装成目的方,并对接收到的所述第一加密数据报进行处理去除明文IP包头,对内容进行解密之后,获得最初的负载IP包,对该负载IP包执行扫描线程,判断是否存在网络攻击行为,若不存在,则通过商用密码算法执行与目的方建立的加解密流程,生成第二加密数据,并通过隧道服务器将所述第二加密数据发送至目标方,以实现终端VPN网络接入鉴权过程。
2.根据权利要求1所述的5G场景下终端vpn网络接入鉴权方法,其特征在于,所述请求方对待传输的数据基于IPSec隧道模式使用商用密码算法加密待传输数据,形成第一加密数据的步骤还包括:所述IPSec隧道模式使用商用密码算法封装和加密整个IP包,形成封装和加密后的负载,将所述负载封装在明文IP包头内,以形成第一加密数据。
3.根据权利要求2所述的5G场景下终端vpn网络接入鉴权方法,其特征在于,所述明文IP包头携带目的方网络IP地址。
4.根据权利要求3所述的5G场景下终端vpn网络接入鉴权方法,其特征在于,所述VPN代理网关监听所述通信通道中的IPSec协商流量,对分流过来的IPSec协商流量实施自适应IKE攻击,伪装成目的方的步骤具体为,所述VPN代理网关预先存储基于目的网络的目的方地址和基于请求网络的请求方地址;当所述VPN代理网关监听到所述通信通道中的IPSec协商流量时,进行识别拦击,提取出目的方网络IP地址后进行轮询匹配,判断是否存在匹配的IP地址,若不存在,直接丢弃该数据内容,否则,构建虚拟目的方地址空间,并向请求方发送已被接收到的确认响应消息。
5.根据权利要求4所述的5G场景下终端vpn网络接入鉴权方法,其特征在于,所述通过商用密码算法执行与目的方建立的加解密流程,生成第二加密数据的步骤包括,在构建虚拟目的方地址空间后,基于所述最初的负载IP包以及虚拟目的方地址空间索引生成第二加密数据。
6.根据权利要求5所述的5G场景下终端vpn网络接入鉴权方法,其特征在于,所述方法还包括预先建立VPN代理网关与目的网络的商用密码算法的加解密流程,在所述VPN网络建立基于不同目的网络的不同加解密算法。
7.根据权利要求6所述的5G场景下终端vpn网络接入鉴权方法,其特征在于,所述VPN代理网关通过隧道服务器将所述第二加密数据发送至目标方后,所述目标方进行网络接入许可判断,若允许接入,则通过所述VPN代理网关向所述请求方发送网络接入响应消息。
8.一种5G场景下终端vpn网络接入鉴权系统,其特征在于,所述系统包括请求方、目的方以及VPN代理网关,其中,
在发起VPN网络接入之前,所述VPN代理网关分别构建基于5G场景的移动网络为请求方和目的方提供通信通道;
所述请求方对待传输的数据基于IPSec隧道模式使用商用密码算法加密待传输数据,形成第一加密数据;
所述VPN代理网关监听所述通信通道中的IPSec协商流量,对分流过来的IPSec协商流量实施自适应IKE攻击,伪装成目的方,并对接收到的所述第一加密数据报进行处理去除明文IP包头,对内容进行解密之后,获得最初的负载IP包,对该负载IP包执行扫描线程,判断是否存在网络攻击行为,若不存在,则通过商用密码算法执行与目的方建立的加解密流程,生成第二加密数据,并通过隧道服务器将所述第二加密数据发送至目标方,以实现终端VPN网络接入鉴权过程。
9.根据权利要求8所述的5G场景下终端vpn网络接入鉴权系统,其特征在于,所述VPN代理网关包括:
IKE处理模块:对IPSec协商流量进行识别和捕获,对分流过来的IPSec协商流量实施自适应IKE攻击,并进行伪装后欺骗使用IPSec通信的双方,将协商产生的SA信息存储到系统的存储数据结构中,自适应地与通信双方分别建立IPSec信道;
策略和SA管理模块:SA策略的存取和查找,主要负责将IKE模块协商的SA策略存储或更新到系统的数据结构中,当网络数据处理模块需要SA策略相关参数时负责根据进行SA的查找;
网络数据处理模块,通过查询和使用IKE协商模块产生的SA信息,对分流过来的密文流量进行解密,然后对明文数据完成配置文件中对需要监控的信息以及关键字的识别并进行相关动作,对允许通过的流量,使用系统与通信目的方建立的IPSec信道的相关参数,对流量进行加密,完成通信双方的通信。
10.根据权利要求8所述的5G场景下终端vpn网络接入鉴权系统,其特征在于,所述策略和SA管理模块还用于使用Netlink接口接收 所述IKE协商模块产生的以Netlink消息方式传送的SA数据,并将其添加到系统维护的SADB结构中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211375867.6A CN115767535A (zh) | 2022-11-04 | 2022-11-04 | 一种5G场景下终端vpn网络接入鉴权方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211375867.6A CN115767535A (zh) | 2022-11-04 | 2022-11-04 | 一种5G场景下终端vpn网络接入鉴权方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115767535A true CN115767535A (zh) | 2023-03-07 |
Family
ID=85356275
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211375867.6A Pending CN115767535A (zh) | 2022-11-04 | 2022-11-04 | 一种5G场景下终端vpn网络接入鉴权方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115767535A (zh) |
-
2022
- 2022-11-04 CN CN202211375867.6A patent/CN115767535A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11165604B2 (en) | Method and system used by terminal to connect to virtual private network, and related device | |
| US9055047B2 (en) | Method and device for negotiating encryption information | |
| US8583809B2 (en) | Destroying a secure session maintained by a server on behalf of a connection owner | |
| KR101021708B1 (ko) | 그룹키 분배 방법 및 이를 위한 서버 및 클라이언트 | |
| CN111245862A (zh) | 一种物联网终端数据安全接收、发送的系统 | |
| EP1374533B1 (en) | Facilitating legal interception of ip connections | |
| CN113225352B (zh) | 一种数据传输方法、装置、电子设备及存储介质 | |
| JP2011524669A (ja) | 制御信号の暗号化方法 | |
| CN108712364B (zh) | 一种sdn网络的安全防御系统及方法 | |
| CN112637136A (zh) | 加密通信方法及系统 | |
| CA2938166C (en) | Method and system for protecting data using data passports | |
| KR20180130203A (ko) | 사물인터넷 디바이스 인증 장치 및 방법 | |
| CN112332986B (zh) | 一种基于权限控制的私有加密通信方法及系统 | |
| Park et al. | Survey for secure IoT group communication | |
| WO2017197968A1 (zh) | 一种数据传输方法及装置 | |
| KR20020079044A (ko) | 네트워크 카메라, 홈 게이트웨이 및 홈 오토메이션장치에서의 데이터 보안 유지 방법 및 장치 | |
| CN113765900B (zh) | 协议交互信息输出传输方法、适配器装置及存储介质 | |
| CN210839642U (zh) | 一种物联网终端数据安全接收、发送的装置 | |
| CN115767535A (zh) | 一种5G场景下终端vpn网络接入鉴权方法及系统 | |
| US20080059788A1 (en) | Secure electronic communications pathway | |
| CN117201200B (zh) | 基于协议栈的数据安全传输方法 | |
| US20220069982A1 (en) | Caching encrypted content in an oblivious content distribution network, and system, compter-readable medium, and terminal for the same | |
| CN117955735B (zh) | 一种数据安全访问控制方法、系统及存储介质 | |
| Yogender et al. | Impact of Employing Different Security Levels on QoS Parameters in Virtual Private Networks. | |
| CN110995564B (zh) | 一种报文传输方法、装置及安全网络系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |