本发明涉及安全虚拟专用网,特别涉及一种基于轻量级安全虚拟专用网的智能分流网关。
背景技术:
Internet网络互联技术和移动通信技术的高速发展带动了以IP技术为核心的移动互联网的发展。企业移动IP技术以其出色的移动性支持成为移动互联网首选组网协议。然而,移动网络环境的开放性、拓扑的动态性使得移动IP网络面临诸如中间人攻击、DoS攻击等各种企业安全威胁,而且在移动切换、数据传输等企业通信过程中移动IP协议并未提供任何安全保护措施,移动IP网络安全问题十分突出。此外与移动性相关的移动IP切换及注册关联更新等过程引发的延时问题严重影响了网络的整体性能,进而影响了企业用户获取的服务质量。
技术实现要素:
为解决上述现有技术所存在的问题,本发明提出了一种基于轻量级安全虚拟专用网的智能分流网关,包括:
访问认证模块,用于在移动IP网络中进行节点间的双向认证和端到端安全传输;以及
传输加密鉴权模块,用于实现移动节点与VPN网内节点间的关联。
优选地,所述访问认证模块在企业移动节点初始化后完成注册的过程中进行访问认证,所述企业移动节点首先向代理进行注册认证,并与代理协商安全会话,本地注册过程描述如下:
首先,节点向本地代理以关联更新的消息形式发送注册申请请求,本地代理一旦接收到这个请求,即向企业移动节点发送一个确认消息作为应答响应;其次,本地代理在链路上获取企业移动节点对应的所有移动IP分组作为目的地址;
在整个注册过程中只需进行基于本地链路的交互信令而不传递到本地网关进行访问控制;然后引入了密钥交换机制实现双向认证,形成一个虚拟专用网VPN通道,从而保护节点与本地代理间的信令交互;认证过程中的许可证采用私钥签名,同时接收端也是借助于签名验证判断信息的有效性。
优选地,所述认证过程进一步包括:
(1)根据生成的随机数i,生成许可证Ni,然后企业移动节点N采用私钥签名sigN的方式将许可证Ni发送至本地代理;
(2)本地代理接收企业移动节点发送的签名许可证,传递至远程认证中心加以鉴权;远程认证中心接收消息后,从签名许可证中提取企业节点公钥PK进行验证,判定许可证的合法性与有效性;
(3)远程认证中心对许可证进行认证后反馈确认消息,若许可证非法,则直接丢弃;若许可证合法,则本地代理生成随机数r,计算出许可证Nr,接着由r、Ni生成共享密钥k;本地代理将Ni、Nr以及自己许可证共同进行签名后,反馈给企业移动节点;
(4)企业移动节点接收本地代理反馈的签名许可证,提取公钥验证合法性,完成企业移动节点与本地代理间双向的认证与许可证交换;之后,企业移动节点采用共享密钥加密相关参数,包括企业移动节点的负载ID、认证信息AUTH并发送给本地代理;
(5)本地代理接收到加密参数消息后,采用密钥提取参数,并向企业移动节点反馈自己的参数,至此,虚拟专用网终端与认证端建立成功。
优选地,若VPN网内节点已经与企业移动节点的本地地址、转发地址实施了关联,则VPN网内节点的分组直接传输到转发地址,真正实现端到端的直接通信。
优选地,所述传输加密鉴权模块在企业节点与CN间进行传输认证采用如下方式:
企业移动节点完成本地注册与本地地址关联后,若需对VPN网内节点发起通信请求,则向VPN网内节点注册,包括身份认证、安全会话以及关联注册,继而由网关根据VPN网内节点的角色实现强制访问控制,以保障通信的安全性。
本发明相比现有技术,具有以下优点:
本发明提出了一种基于轻量级安全虚拟专用网的智能分流网关,通过虚拟专用网解决企业移动IP网络层安全问题,普遍兼容于各种OS和软硬件,提高了IP网络的安全传输性能。
附图说明
图1是根据本发明实施例的基于轻量级安全虚拟专用网的智能分流网关的结构图。
具体实施方式
下文与图示本发明原理的附图一起提供对本发明一个或者多个实施例的详细描述。结合这样的实施例描述本发明,但是本发明不限于任何实施例。本发明的范围仅由权利要求书限定,并且本发明涵盖诸多替代、修改和等同物。在下文描述中阐述诸多具体细节以便提供对本发明的透彻理解。出于示例的目的而提供这些细节,并且无这些具体细节中的一些或者所有细节也可以根据权利要求书实现本发明。
本发明的一方面提供了一种基于轻量级安全虚拟专用网的智能分流网关。图1是根据本发明实施例的基于轻量级安全虚拟专用网的智能分流网关结构图。
本发明提出的虚拟专用网架构的智能分流网关包括访问认证模块和传输加密鉴权模块这两大模块。其中,访问认证模块采用密钥交换实现移动IP网络环境中两节点间端到端的安全传输,并要求节点在首次访问网络时须通过双向认证才可正常访问。而传输加密鉴权模块则实现节点与VPN网内节点间的关联。
访问认证是企业移动节点初始化后完成注册的过程,企业移动节点首先向代理进行注册认证,并与代理协商安全会话。企业移动节点本地注册过程描述如下:首先,节点向本地代理以关联更新的消息形式发送注册申请请求,本地代理一旦接收到这个请求,即向企业移动节点发送一个确认消息作为应答响应;其次,本地代理在链路上获取企业移动节点对应的所有移动IP分组作为目的地址。
在整个注册过程中只需进行基于本地链路的交互信令而不必传递到本地网关进行访问控制。然后引入了密钥交换机制实现双向认证,形成一个虚拟专用网VPN通道,从而很好地保护节点与本地代理间的信令交互。认证过程中的许可证采用私钥签名,同时接收端也是借助于签名验证判断信息的有效性。具体过程描述如下:
(1)根据生成的随机数i,生成许可证Ni,然后企业移动节点N采用私钥签名sigN的方式将许可证Ni发送至本地代理;
(2)本地代理接收企业移动节点发送的签名许可证,传递至远程认证中心加以鉴权;远程认证中心接收消息后,从签名许可证中提取企业节点公钥PK进行验证,判定许可证的合法性与有效性;
(3)远程认证中心对许可证进行认证后反馈确认消息,若许可证非法,则直接丢弃;若许可证合法,则本地代理生成随机数r,计算出许可证Nr,接着由r、Ni生成共享密钥k;本地代理将Ni、Nr以及自己许可证共同进行签名后,反馈给企业移动节点。
(4)企业移动节点接收本地代理反馈的签名许可证,提取公钥验证合法性,完成企业移动节点与本地代理间双向的认证与许可证交换;之后,企业移动节点采用共享密钥加密相关参数,包括企业移动节点的负载ID、认证信息AUTH并发送给本地代理。
(5)本地代理接收到加密参数消息后,采用密钥提取参数,并向企业移动节点反馈自己的参数,至此,虚拟专用网终端与认证端建立成功。
若VPN网内节点已经与企业移动节点的本地地址、转发地址实施了关联,则VPN网内节点的分组可直接传输到转发地址,真正实现端到端的直接通信。
本发明的传输加密鉴权模块在企业节点与CN间进行传输认证采用如下方案:企业移动节点完成本地注册与本地地址关联后,若需对VPN网内节点发起通信请求,则须向VPN网内节点注册,包括身份认证、安全会话以及关联注册,继而由网关根据VPN网内节点的角色实现强制访问控制,以保障通信的安全性。
其中企业移动节点向VPN网内节点注册过程为:
(1)企业移动节点向VPN网内节点发出注册请求,同时根据随机数i计算生成Ni,将附带企业移动节点许可证、Ni、安全会话等内容的信息经过私钥签名并由虚拟专用网保护后发向网内节点。
(2)本地网关接收到该注册请求信息后,检查企业移动节点许可证及源认证数据的有效性,若有效则转发VPN网内节点的网关,否则直接丢弃;VPN网内节点的智能网关接收信息后,对企业移动节点发来的许可证进行验证,并找到VPN网内节点许可证进行访问控制的判断;若非法,则反馈一个响应消息给企业移动节点的本地网关;若合法,则将信息中的源地址与目的地址记录在访问表项中,并转发给VPN网内节点;
(3)VPN网内节点接收到信息后,提取公钥对签名进行验证;并将VPN网内节点自身的许可证,Nr、Ni用私钥签名后,反馈给企业节点。
(4)本地网关对CN许可证实施访问控制,并转发给企业节点;双方生成安全会话密钥,而企业移动节点根据安全会话密钥对节点ID、认证消息进行保护,并与网关协商生成源认证密钥。
(5)VPN网内节点接收到消息后,将节点许可证IP与发来的ID进行比对。若比对结果是一致的,则判定该IP地址是企业移动节点本地地址,并实现源地址与本地地址间的关联;同时,VPN网内节点将自己的ID、关联信息一起反馈给企业移动节点;
在后续的通信过程中,企业移动节点发送的每个数据包都用节点与本地网关间建立的源认证VPN加以保护。
综上所述,本发明提出了一种基于轻量级安全虚拟专用网的智能分流网关,通过虚拟专用网解决企业移动IP网络层安全问题,普遍兼容于各种OS和软硬件,提高了IP网络的安全传输性能。
显然,本领域的技术人员应该理解,上述的本发明的各模块或各步骤可以用通用的计算系统来实现,它们可以集中在单个的计算系统上,或者分布在多个计算系统所组成的网络上,可选地,它们可以用计算系统可执行的程序代码来实现,从而,可以将它们存储在存储系统中由计算系统来执行。这样,本发明不限制于任何特定的硬件和软件结合。
应当理解的是,本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。