1.一种基于轻量级安全虚拟专用网的智能分流网关,其特征在于,包括:
访问认证模块,用于在移动IP网络中进行节点间的双向认证和端到端安全传输;以及
传输加密鉴权模块,用于实现移动节点与VPN网内节点间的关联。
2.根据权利要求1所述的方法,其特征在于,所述访问认证模块在企业移动节点初始化后完成注册的过程中进行访问认证,所述企业移动节点首先向代理进行注册认证,并与代理协商安全会话,本地注册过程描述如下:
首先,节点向本地代理以关联更新的消息形式发送注册申请请求,本地代理一旦接收到这个请求,即向企业移动节点发送一个确认消息作为应答响应;其次,本地代理在链路上获取企业移动节点对应的所有移动IP分组作为目的地址;
在整个注册过程中只需进行基于本地链路的交互信令而不传递到本地网关进行访问控制;然后引入了密钥交换机制实现双向认证,形成一个虚拟专用网VPN通道,从而保护节点与本地代理间的信令交互;认证过程中的许可证采用私钥签名,同时接收端也是借助于签名验证判断信息的有效性。
3.根据权利要求2所述的方法,其特征在于,所述认证过程进一步包括:
(1)根据生成的随机数i,生成许可证Ni,然后企业移动节点N采用私钥签名sigN的方式将许可证Ni发送至本地代理;
(2)本地代理接收企业移动节点发送的签名许可证,传递至远程认证中心加以鉴权;远程认证中心接收消息后,从签名许可证中提取企业节点公钥PK进行验证,判定许可证的合法性与有效性;
(3)远程认证中心对许可证进行认证后反馈确认消息,若许可证非法,则直接丢弃;若许可证合法,则本地代理生成随机数r,计算出许可证Nr,接着由r、Ni生成共享密钥k;本地代理将Ni、Nr以及自己许可证共同进行签名后,反馈给企业移动节点;
(4)企业移动节点接收本地代理反馈的签名许可证,提取公钥验证合法性,完成企业移动节点与本地代理间双向的认证与许可证交换;之后,企业移动节点采用共享密钥加密相关参数,包括企业移动节点的负载ID、认证信息AUTH并发送给本地代理;
(5)本地代理接收到加密参数消息后,采用密钥提取参数,并向企业移动节点反馈自己的参数,至此,虚拟专用网终端与认证端建立成功。
4.根据权利要求3所述的方法,其特征在于,若VPN网内节点已经与企业移动节点的本地地址、转发地址实施了关联,则VPN网内节点的分组直接传输到转发地址,真正实现端到端的直接通信。
5.根据权利要求4所述的方法,其特征在于,所述传输加密鉴权模块在企业节点与CN间进行传输认证采用如下方式:
企业移动节点完成本地注册与本地地址关联后,若需对VPN网内节点发起通信请求,则向VPN网内节点注册,包括身份认证、安全会话以及关联注册,继而由网关根据VPN网内节点的角色实现强制访问控制,以保障通信的安全性。