专利名称:应用于vpn的数据传输方法
技术领域:
本发明涉及一种数据传输方法,尤其涉及一种应用于VPN (虚拟专用网,Virtual Private Network)的数据传输方法。
背景技术:
VPN是利用开放的公众网络资源建立私有数据传输通道,是将远程的分支机构、商业伙伴、移动办公人员等连接起来,并且提供安全的端到端的数据通信的一种广域网技术。 VPN有两层含义它是“虚拟的”,即建立隧道或虚电路把不同的物理网络或设备连接起来, 不再使用物理的专线建立专用网,而是将其建立在分布广泛的公共网络上,如hternet ; 它是“专用的”,对基于IPkc的VPN而言,是一组连接的闭合用户群(CVC),它不仅具有服务质量(QoS)的保证,而且更多地强调安全服务。VPN是企业网在公共网络上的无缝延伸, VPN可将位于不同地点的远程用户、分支机构和合作伙伴等连接起来。VPN按照应用大致可分为 htranet VPN及Extranet VPN 以及Remote access VPN 三种。其基本用途就是提供企业分支机构和企业,企业客户和企业以及企业内部的,远端企业员工与企业安全的点对点通信。下面是几种常用VPN的场合
(1) Intranet VPN是指在一个组织内部如何安全地连接两个相互信任的内联网,要求在公司与分支机构之间建立安全的通信连接。这种应用模式需要做的不仅是要防范外部入侵者对企业内联网的攻击,还要保护在因特网上传送的敏感数据。(2) Extranet VPN是基于hternet的VPN,虚拟专用网络支持远程访问客户以安全的方式通过公共互联网络远程访问企业资源。Extranet VPN是htranet VPN的一个扩展,即通过因特网连接两台分别属于两个互不信任的内部网络的主机。它要求一个开放的基于标准的解决方案,以便解决企业与各种合作伙伴和客户网络的协同工作问题。(3) Remote Access VPN是指企业员工通过因特网远程拨号的方式访问企业内联网而构筑的VPN,通常也叫做远程拨号VPN。VPN技术的这种应用代替了传统的直接拨入内联网的远程访问方式,这样可以大大降低远程访问的费用。然而,现有的VPN技术在数据安全方面还存在一些不足。
发明内容
针对现有技术的安全性缺陷,本发明提出了一套独特的适用于VPN的数据传输方法。具体来说,本发明提出了一种应用于VPN的数据传输方法,所述VPN至少包括相互传输数据的第一参与方和第二参与方,该数据传输方法包括在所述第一参与方和所述第二参与方之间交换密钥;在发送数据时,用所述交换密钥加密所述数据;以及在接收数据时,用所述交换密钥解密所述数据;其中,在接收数据时,检查该数据是否被修改。根据本发明的一个优选实施例,在上述应用于VPN的数据传输方法中,在检查该数据是否被修改的步骤之后,如果该数据被修改,则拒绝接收该被修改的数据。
根据本发明的一个优选实施例,在上述应用于VPN的数据传输方法中,进一步包括利用散列算法来检查数据是否被修改。 根据本发明的一个优选实施例,在上述应用于VPN的数据传输方法中,在接收数据时,该数据传输方法进一步包括验证所述数据的源的身份。根据本发明的一个优选实施例,在上述应用于VPN的数据传输方法中,进一步包括在发送数据时,在所述数据中插入一数据包序列号;在接收数据时,根据所述数据中的数据序列号检验迟到的数据。根据本发明的一个优选实施例,在上述应用于VPN的数据传输方法中,在根据所述数据中的数据序列号检验迟到的数据之后,拒绝接收迟到的数据。应当理解,本发明以上的一般性描述和以下的详细描述都是示例性和说明性的, 并且旨在为如权利要求所述的本发明提供进一步的解释。
附图主要是用于提供对本发明进一步的理解。附图示出了本发明的实施例,并与本说明书一起起到解释本发明原理的作用。附图中
图1示出了根据本发明的适用于VPN的数据传输方法的主要步骤的流程图。图2示出了根据本发明的另一实施例的主要步骤的流程图。
具体实施例方式以下结合附图详细描述本发明的技术方案。其中,相同的标号用于表示相同的元素,且以下描述中的具体技术术语并不构成对本发明的技术方案本身的实质性限制。实际上,本领域的技术人员所熟知的各种变化都是允许的。如图1所示,本发明的应用于VPN的数据传输方法包括 步骤101,在所述第一参与方和所述第二参与方之间交换密钥; 步骤102,在发送数据时,用所述交换密钥加密所述数据; 步骤103,在接收数据时,用所述交换密钥解密所述数据; 步骤104,在接收数据时,检查该数据是否被修改;
步骤105,如果该数据被修改,则拒绝接收该被修改的数据; 步骤106,如果该数据未被修改,则接收该数据。实际上,本发明的特点之一在于数据的机密性,即当数据在VPN的参与方之间传输时保持数据的私密性。大多数VPN都要穿越公用互联网,因而数据在传送过程中就有可能被截取或者检查,在实际应用中,任何数据在传送过程中都可能被检查,因而互联网属于不安全的传送媒介。本发明利用加密机制来扰乱传送中的数据,除了真正的接收者之外,加密后的数据包很难被轻易理解。另一方面,本发明还考虑了数据的完整性,即确保数据进行传送的过程中没有被修改或者改变,数据完整性本身并不是提供数据机密性。本发明的数据完整性机制通常使用散列算法来检查两端点间传送的数据包中的数据是否被修改。如果发现数据包被修改, 那么就拒绝接收被修改的数据。图2示出了根据本发明的另一实施例。如图2所示,与以上详述的图1相比,图2进一步包括了一步骤206,验证数据的源的身份。实践中,该功能可以由VPN得每个端点来完成,以确保与其对端的身份。最后,虽然未图示,但在本发明的另一优选实施例中,在发送数据时,在所述数据中插入一数据包序列号;在接收数据时,根据所述数据中的数据序列号检验迟到的数据,且在根据所述数据中的数据序列号检验迟到的数据之后,拒绝接收迟到的数据。该技术的目的在于防重放,也就是确保VPN中的数据没有被复制。上述迟到的数据包都被认为是重复的数据包。综上,本发明的上述实施例都可以有效地改进VPN数据传输的安全性和可靠性, 具有良好的商用价值。
权利要求
1.一种应用于VPN的数据传输方法,所述VPN至少包括相互传输数据的第一参与方和第二参与方,该数据传输方法包括在所述第一参与方和所述第二参与方之间交换密钥; 在发送数据时,用所述交换密钥加密所述数据;以及在接收数据时,用所述交换密钥解密所述数据; 其中,在接收数据时,检查该数据是否被修改。
2.如权利要求1所述的数据传输方法,其特征在于,在检查该数据是否被修改的步骤之后,如果该数据被修改,则拒绝接收该被修改的数据。
3.如权利要求1所述的数据传输方法,其特征在于,所述检查该数据是否被修改的步骤进一步包括利用散列算法来检查数据是否被修改。
4.如权利要求1所述的数据传输方法,其特征在于,在接收数据时,该数据传输方法进一步包括验证所述数据的源的身份。
5.如权利要求1所述的数据传输方法,其特征在于,进一步包括 在发送数据时,在所述数据中插入一数据包序列号;在接收数据时,根据所述数据中的数据序列号检验迟到的数据。
6 如权利要求5所述的数据传输方法,其特征在于,在根据所述数据中的数据序列号检验迟到的数据之后,拒绝接收迟到的数据。
全文摘要
本发明提出了一种应用于VPN的数据传输方法,所述VPN至少包括相互传输数据的第一参与方和第二参与方,该数据传输方法包括:在所述第一参与方和所述第二参与方之间交换密钥;在发送数据时,用所述交换密钥加密所述数据;以及在接收数据时,用所述交换密钥解密所述数据;其中,在接收数据时,检查该数据是否被修改。
文档编号H04L12/46GK102487349SQ20101057466
公开日2012年6月6日 申请日期2010年12月6日 优先权日2010年12月6日
发明者刘在英, 衡力成 申请人:上海杉达学院