专利名称:一种基于双协议vpn的实现方法
技术领域:
本发明涉及信息安全领域,能对专用网的数据实时进行加解密,适用于政府、企业、 军队、银行、证券、保险等单位的各种网络。
背景技术:
目前,国际上釆用IPSec协议的VPN产品较多,大多数都不同程度存在着功能集成 度低,速度慢,价格髙,安全性差、抗集团攻击能力不足的弱点,同时,也都存在VPN使 用通用操作系统效率低,各种密钥分发管理费用髙,系统日常维护难度大等的问题,这些 已直接影响VPN的应用和普及。
发明内容
本发明是采用密码、工控机板卡、芯片和网络技术,在INTERNET网络上建立由若干 用户组成的采用双协议的虚拟专用网,其实施步骤如下
采用"微内核"专用操作系统的设计思想,建立多种密钥体制的加密系统,采用预共 享密钥方式,并在加密算法的保护下秘密进行共享密钥,每个IP数据包一个密钥,建立 IPSec标准加密隧道,并选择IP层(第三层)建立专用加密隧道,通过加密隧道管理所有 远程VPN网关,建立审计与日志功能,将加密算法、密钥管理、VPN标准协议、VPN专用 协议、管理工具和审计日志功能——主要安全模块集成一体,同时,实现硬件驱动的VPN 功能模块的自毁功能,来防止VPN系统被"破译者"解剖,提髙VPN的安全性能,VPN系 统使用软、硬件相结合的方式来实现,具体实现步骤如下
1、 采用微内核技术即采用通用操作系统中(windows、 unix、 linux)的通信内核 功能,来实现专用操作系统,使用36K的微内核结构,软件内核没有通用操作系统的无关 进程、内存的动态分配,网络数据通过微内核结构,转发和调用环节少,所有功能都只提 供给VPN应用程序调用,避免了通用操作系统支持通用软硬件调用和驱动带来的重大安全 隐患,使得依赖于通用操作系统的黑客无机可乘,有效地提高了VPN的安全性和速度。
2、 VPN加密系统以分组加密算法为核心,算法采用了分组迭代的线性与非线性组合 (SP)网络结构,分组长度和密钥长度均为128比特,迭代变换的层数为至少8层,每个
IP数据包一个密钥,在起点与终点IP地址基础上,建立专用的加密隧道即VPN专用协
议和IPSec标准加密隧道即VPN标准协议。
3、 使用非对称公钥加密技术,运用2048位的公钥算法和杂凑函数用于密钥管理和认 证,即交换对称密钥、起点与终点IP地址之间的认证、两VPN网关之间的认证和计算 机和VPN网关之间的认证。
4、 釆用多种密钥体制,其中
(1) TK称为加密隧道密钥,长度至少128比特,由网络管理员负责更换,用于身份 认证、建立加密隧道;
(2) NK称为网络密钥,长度是128比特,一网一个,固定不变,用于网络分割;
(3) SK称为会话密钥,长度至少为128比特,通过加密的密钥交换,由双方网关独 立生成,生存期由时间策略或流量策略控制;
(4) PK称为包密钥,长度至少128比特,加密内网数据包,每包一个,由大于128 比特的随机数发生器生成。
5、 在VPN的安全网关上选择IP层(第3层)建立专用的加密隧道B卩VPN专用协议, 内部网数据被封装成IP 17号或99号协议在互联网上传输,加密隧道的协议分为建立加 密隧道阶段和加密隧道通信阶段。
6、 建立加密遂道阶段,即协商密通信参数、身份认证与密钥交换,通信双方交互发 送6个IP包完成此过程,这个过程又分为明通信过程和密通信过程,明通信过程是协商 密通信过程所用的密码学参数,密通信过程,即用预共享加密隧道密钥(TK)加密并进行 身份认证,在密钥交换上,双方得出共同的加密包密钥(PK)的密钥即会话密钥(SK)。
7、 加密遂道通信阶段,是在这一阶段专用网的数据包被加密传送,对每个数据包生 成一个包密钥(PK),用包密钥(PK)加密专用网的数据包,而包密钥(PK)本身用会话 密钥(SK)加密,然后发送到公用网上。
8、 采用可堆叠的结构,确保网络的整合与发展,对工作性能无丝毫影响,安全网关 堆叠可非常平稳地同时支持几千条通道,可达1Gbps的吞吐量。
9、 在VPN安全网关中建立审计与日志功能,采用标准系统日志(Syslog),进行监控 及问题处理,Syslog日志系统按指定的级别记录日志(log)事件或错误信息,VPN网关 将Syslog日志系统记录的信息送至控制台屏幕或正在运行系统记录程序的主控计算机, 同时,该主控计算机与VPN网关通过IPSec标准协议建立的加密隧道进行信息传输。
10、审计与日志的主要实现原理是,VPN网关运行一个客户端线程,把事件、或错误信 息使用UDP的514号端口发送到指定的本地红色网络的主机或通过加密隧道传输到远程主控机上,该主机运行标准的系统日志(Syslog)守护进程,守护进程把信息记录成文件, 同时,VPN网关本身的控制台也能显示系统日志(Syslog)信息。
11、 在VPN系统的主控计算机上,采用Windons 98/NT以上版本操作系统,运用管理 图形用户界面(GUI)程序,来管理多个VPN安全网关,使用信息管理系统库(SNMP)或中央 系统记录,来监控VPN安全网关的所有活动及瞀报,同时,该主控计算机与VPN网关通过 IPSec标准协议建立的加密隧道进行信息传输。
12、 通过IPSec标准协议即VPN标准协议建立的加密隧道,管理所有远程VPN网关, 对网络中的VPN网关实行集中管理,降低了管理成本,提高了 VPN网关管理的效率和安全 等级,通过VPN专用协议建立的VPN网关之间的加密隧道,提髙VPN网关之间数据传输的 保密强度。
13、 硬件拟釆用Intel IA架构的嵌入式工控机板卡,工艺成熟,稳定,可靠,适应苛 刻的工作环境,并在该板卡上嵌入芯片。
14、 将加密算法、密钥管理、VPN标准协议、VPN专用协议、管理工具和审计日志功能 存放在Intel IA架构的嵌入式工控机板卡上嵌入的芯片中。
15、 硬件安全保护装置,硬件使用了软件加密、自毁的安全措施,在芯片与外壳连接 部位设置多处触发按扭,未经许可恶意开机盖触动芯片将自动销毁密钥及加密程序,保护 重要数据不被读出,极大地提高VPN抗系统分析的能力。
图1:建立VPN双协议的流程图
图2: VPN专用协议数据包传输的示意图
具体实施例方式
以下结合
VPN协议的实现步骤 图l:说明建立VPN双协议的过程
第一步,预设置参数和网络密钥预设置通信协议、网络密钥、密钥长度参数; 第二步,建立IPSec标准加密隧道即VPN标准协议(略);
第三步,建立专用加密隧道(即VPN专用协议)协商与交换加密隧道参数,如双
方的用户名、协议类型、加密算法、密钥长度、公钥算法的长度、加密隧道留存期、加密
隧道超时重联、时间戳;
第四步,身份验证与密钥交换阶段利用协商的加密算法、预共享密钥、公钥、散列 函数和数字签名来实现用户身份认证,并在秘密状态下进行密钥交换;
第五步,会话密钥认证阶段通过解密共同的加密数据验证双方密钥是否一致,从而, 验证会话密钥(SK);
第六步,加密隧道通信这一过程涉及数据封装和数据加密两个部分,首先对IP层 以上的数据进行封装,再针对每一个IP包生成一个包密钥(PK)用于加密IP包数据, 并利用密钥交换过程中协商得到的会话密钥(SK),对包密钥(PK)进行加密。
图2:说明VPN专用协议数据包传输的过程
第一步,网关A和网关B在网络密钥和通道密钥的保护下实施公钥签名认证、密钥
交换产生会话密钥;
第二步,网关A随机生成包密钥(PK),图中的PKA指网关A的包密钥;
第三步,用网络密钥(NK)、网关A的包密钥(PKA)和加密算法,来加密网关A
端的网络数据,用会话密钥(SK)、网络密钥(NK)和加密算法,来加密网关A的包密
钥(PKA);
第四步,发送数据;
第五步,网关B首先解密网关A的包密钥(PKA),然后解密数据,并进行真实性与 完整性检验。
权利要求
1、一种基于双协议VPN的实现方法,其特征在于下采用“微内核”专用操作系统的设计思想,建立多种密钥体制的加密系统,采用预共享密钥方式,并在加密算法的保护下秘密进行共享密钥,每个IP数据包一个密钥,建立IPSec标准加密隧道,并选择IP层(第三层)建立专用加密隧道,通过加密隧道管理所有远程VPN网关,建立审计与日志功能,将加密算法、密钥管理、VPN标准协议、VPN专用协议、管理工具和审计日志功能——主要安全模块集成一体,同时,实现硬件驱动的VPN功能模块的自毁功能,来防止VPN系统被“破译者”解剖,提高VPN的安全性能,从而,建立一种双协议的虚拟专用网。
2、 根据权利1要求的方法,其特征在于釆用通用操作系统(如windows、 unix、 linux)中的通信内核功能,使用36K 的微内核结构,软件内核没有通用操作系统的无关进程、内存的动态分配,网络数据 通过微内核结构,转发和调用环节少,所有功能都只提供给VPN应用程序调用,避免 了通用操作系统支持通用软硬件调用和驱动带来的重大安全隐患,使得依赖于通用操 作系统的黑客无机可乘,有效地提髙了VPN的安全性和速度。
3、 根据权利1要求的方法,其特征在于(1) TK称为加密隧道密钥,长度128比特,由网络管理员负责更换,用于身份 认证、建立加密隧道;(2) NK称为网络密钥,长度是128比特, 一网一个,固定不变,用于网络分割;(3) SK称为会话密钥,长度为128比特,通过加密的密钥交换,由双方网关独 立生成,生存期由时间策略或流量策略控制;(4) PK称为包密钥,长度128比特,加密内网数据包,每包一个,由大于128 比特的随机数发生器生成。
4、 根据权利1要求的方法,其特征在于(1) 通过VPN标准协议建立的加密隧道管理所有远程VPN网关,对网络中的VPN 网关实行集中管理,降低了管理成本,提髙了VPN系统管理的效率和安全等级;(2) 通过VPN专用协议建立的VPN网关之间的加密隧道,能大大提髙VPN网关 之间的数据传输的保密强度。
5、 根据权利1和4要求的方法,其特征在于在VPN的安全网关上选择IP层(第3层)建立专用的加密隧道即VPN专用协 议,内部网数据被封装成IP17号或99号协议在互联网上传输,加密隧道的协议分为 建立加密隧道阶段和加密隧道通信阶段。
6、 根据权利1和5要求的方法,其特征在于(1) 建立加密遂道阶段,即协商密通信参数、身份认证与密钥交换,通信双方交互发送6个IP包完成此过程,这个过程又分为明通信过程和密通信过程,明通信过 程是协商密通信过程所用的密码学参数,密通信过程,即用预共享加密隧道密钥(TK) 加密并进行身份认证,在密钥交换上,双方得出共同的加密包密钥(PK)的密钥即会 话密钥(SK);(2) 加密遂道通信阶段,是在这一阶段专用网的数据包被加密传送,对每个数 据包生成一个包密钥(PK),用包密钥(PK)加密专用网的数据包,而包密钥(PK)本身用会 话密钥(SK)加密,然后发送到公用网上。
7、 根据权利1和4要求的方法,其特征在于在VPN安全网关中建立审计与日志功能,采用标准系统日志(Syslog),进行监 控及问题处理,Syslog日志系统按指定的级别记录日志(log)事件或错误信息,VPN 网关将Syslog日志系统记录的信息送至控制台屏幕或正在运行系统记录程序的主控 计算机,该主控计算机与通过IPSec标准协议建立的VPN网关通过加密隧道进行信 息传输。
8、 根据权利1和7要求的方法,其特征在于审计与日志的主要实现原理是,VPN网关运行一个客户端线程,把事件、或错误 信息使用UDP的514号端口发送到指定的本地红色网络的主机或通过加密隧道传输 到远程主控机上,该主机运行标准的系统日志(Syslog)守护进程,守护进程把信息 记录成文件,同时,VPN网关本身的控制台也能显示系统日志(Syslog)信息。
9、 根据权利l、 4和7要求的方法,其特征在于在VPN系统的主控计算机上,采用Windons98/NT以上版本操作系统,运用管理 图形用户界面(GUI)程序,来管理多个VPN安全网关,使用信息管理系统库(SNMP) 或中央系统记录,来监控VPN安全网关的所有活动及警报,从而,降低VPN网关的 管理成本,同时,该主控计算机与通过IPSec标准协议建立的VPN网关通过加密隧道 进行信息传输。
10、 根据权利1要求的方法,其特征在于采用硬件安全保护装置,硬件使用了软件加密、自毁的安全措施,在芯片与外壳连 接部位设置多处触发按扭,未经许可恶意开机盖触动芯片将自动销毁密钥及加密程序,保 护重要数据不被读出,极大地提高VPN抗系统分析的能力。
全文摘要
一种基于双协议VPN的实现方法,是基于密码、工控机板卡、芯片和网络技术,采用“微内核”专用操作系统的设计思想,建立多种密钥体制的加密系统,采用预共享密钥方式,并在加密算法的保护下秘密进行共享密钥,每个IP数据包一个密钥,建立IPSec标准加密隧道,并选择IP层(第三层)建立专用加密隧道,通过加密隧道管理所有远程VPN网关,建立审计与日志功能,将加密算法、密钥管理、VPN标准协议、VPN专用协议、管理工具和审计日志功能——主要安全模块集成一体,同时,实现硬件驱动的VPN功能模块的自毁功能,从而,建立一种基于双协议的虚拟专用网。
文档编号H04L12/46GK101179470SQ20071017927
公开日2008年5月14日 申请日期2007年12月12日 优先权日2007年12月12日
发明者胡祥义 申请人:胡祥义