数据中心运维虚拟专用网络加密连接系统及方法

本发明属于虚拟专用网络，具体涉及数据中心运维虚拟专用网络加密连接系统及方法。

背景技术：

1、虚拟专用网络(vpn)的功能是：在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。vpn网关通过对数据包的加密和数据包目标地址的转换实现远程访问，然而市面上各种的虚拟专用网络仍存在各种各样的问题。

2、如授权公告号为cn102377731a所公开的虚拟专用网络系统及其网络装置，其虽然实现了用户端装置通过一连接建立请求信息，将经过加密验证信息传送至虚拟专用网络服务器。通过验证服务器进行第一次验证动作，并根据此已加密验证信息确认用户端装置为已授权的网络装置。另外，用户端装置与虚拟专用网络服务器直接地交换虚拟专用网络设定参数以进行第二次验证动作，以建立一因特网安全协议虚拟专用网络连接(ipsec vpnconnection)。此因特网安全协议虚拟专用网络连接具有建立连接速度快、连接安全与可动态性调整设定参数的优点，但是并未解决现有虚拟专用网络中存在不能够有效的实现对加密处理等的问题，为此我们提出数据中心运维虚拟专用网络加密连接系统及方法。

技术实现思路

1、本发明的目的在于提供数据中心运维虚拟专用网络加密连接系统及方法，以解决上述背景技术中提出的问题。

2、为实现上述目的，本发明提供如下技术方案：数据中心运维虚拟专用网络加密连接系统，包括用户端，所述用户端内建立有用于实现专用网络且具有相同通信功能的安全数据通道的连接端口的虚拟vpn接口，所述虚拟vpn接口连接有用于实现通讯连接的路由器，所述路由器通讯连接有用于请求进行连接的交换器，所述交换器上通讯连接有云端数据库，所述云端数据库上电性连接有用于解密和加密的云端加密模块，所述用户端上电性连接有用于解密和加密的用户加密模块；

3、所述云端加密模块和所述用户加密模块中均包括有秘钥生成模块和秘钥获取模块，所述秘钥生成模块上电性连接有用于生成动态秘钥的动态秘钥模块，所述动态秘钥模块上电性连接有用于发送秘钥的秘钥发送模块，所述秘钥获取模块上电性连接有秘钥匹配模块，所述秘钥匹配模块上电性连接有秘钥解码模块；

4、所述虚拟vpn接口通过vpn服务器进行配置连接，生成专用的网络通道，便于提高数据信息在进行传输过程中的安全性和加密性，并且对于所述所述虚拟vpn接口通过多种算法实现对接口进行认证处理，并且实现对传输的数据信息进行加密处理，即包括有隧道技术、加解密技术、密钥管理技术和身份认证技术，并且通过不同的技术，能够有效的控制数据信息传输的加密性，保持安全性，通过所述用户加密模块和所述云端加密模块实现对数据进行加密和解密处理，提高数据信息传输的精准性，并且在对数据信息进行加密和解密处理的时候，采用的大量的算法，提高数据加密和解密的精准度，数据加密和解密的算法包括有非对称加密体系和对称加密体系，防止数据信息的丢失或者是篡改，以及通过虚拟网络通道进行数据传输的时候，对于身份的认证采用数字签名和哈希函数保证信息的可靠性和完整性，实现对数据信息和用户信息进行认证，保证信息的完整性和通信双方的不可抵赖性，以及身份的精准认证。

5、优选的，所述用户端上电性连接有存储模块，所述存储模块中包括有硬盘、内存和移动存储设备，所述存储模块采用的存储方式为对象存储。

6、优选的，所述虚拟vpn接口的建立步骤如下：

7、a、配置vpn服务器：通过配置vpn服务器使得用户端实现vpn接口的设置，完成虚拟的专用网络通道连接；

8、b、赋予用户拨入的权限：在建立好vpn服务器后，通过用户端实现对用户进行设定拨入权限，使得用户端能够实现连接vpn服务器；

9、c、通过局域网来进行的vpn连接：首先安装虚拟专用网络服务，将通过局域网来完成对虚拟专用网络的连接，安装完成之后重启动用户端。

10、优选的，所述配置vpn服务器的时候通过服务器名进行配置并启用路由器和远程访问，然后在公共设置中选中虚拟专用网络服务器，以便让用户能通过公共网络来访问此服务器，然后通过远程客户协议来完成tcp/ip协议，最后分配ip地址，完成对vpn服务器的建立。

11、优选的，所述虚拟vpn接口采用的隧道技术、加解密技术、密钥管理技术和身份认证技术，所述隧道技术采用了第二层隧道协议l2tpl2tp和ipsec协议ipsec协议，所述加解密技术采用的是非对称加密体系和对称加密体系，所述密钥管理技术采用手工配置和采用密钥交换协议动态分发两种方式，所述身份认证技术包括有信息认证和用户身份认证。

12、优选的，所述非对称加密体系和对称加密体系中对称加密采用的是aes算法，且非对称加密采用的是dsa算法；

13、所述aes算法：

14、设aes解密函数为d，则p＝d(k，c)，其中c为密文，k为密钥，p为明文，把密文c和密钥k作为解密函数的参数输入，则解密函数会输出明文p；

15、设aes加密函数为e，则c＝e(k，p)，其中p为明文，k为密钥，c为密文，把明文p和密钥k作为加密函数的参数输入，则加密函数e会输出密文c；

16、所述dsa算法的签名过程：

17、e、用消息摘要算法将要发送数据加密生成信息摘要；

18、f、发送方用自己的dsa私钥对信息摘要再加密，形成数字签名；

19、g、将原报文和加密后的数字签名一并通过互联网传给接收方；

20、h、接收方用发送方的公钥对数字签名进行解密，同时对收到的数据用消息摘要算法产生同一信息摘要；

21、i、将解密后的信息摘要和收到的数据在接收方重新加密产生的摘要进行比对校验，两者一致，则说明在传送过程中信息没有破坏和篡改；否则，则说明信息已经失去安全性和保密性；

22、所述dsa算法的签名过程：

23、产生一个随机数k，其值满足0<k<q；

24、计算r＝powm(g，k，p)modq，其值满足r>0；

25、计算s＝(k^(-1)(sha(m)+x*r))modq，其值满足s>0；

26、所述dsa算法验证签名过程：

27、用(r，s，m)来表示验证方通过某种途径获得的签名结果；

28、为了验证(r，s，m)的签名是否确由发送方所签，验证方需要有(g，p，q，y)，验证过程如下：

29、计算w＝s^(-1)modq

30、计算u1＝(sha(m)*w)modq

31、计算u2＝(r*w)modq

32、计算v＝(((g^u1)*(y^u2))modp)modq＝((g^u1modp)*(y^u2modp)modp)modq＝(powm(g，u1，p)*powm(y，u2，p)modp)modq

33、若v等于r，则通过验证，否则验证失败；

34、所述dsa算法的参数定义：

35、p：一个素模数，其值满足：2^(l-1)<p<2^l，其中l是64的倍数，且满足512≤l≤1024，

36、q：(p-1)的素因子，其值满足2^159<q<2^160，即q长度为160位，

37、g：g＝powm(h，(p-1)/q，p)，h为满足1<h<p-1的任意整数，从而有powm(h，(p-1)/q，p)>1，

38、x：私钥，x为一个随机或伪随机生成的整数，其值满足0<x<q，

39、y：公钥，y＝powm(g，x，p)。

40、优选的，所述信息认证用于保证信息的完整性和通信双方的不可抵赖性，所述用户身份认证用于鉴别用户身份真实性，采用身份认证技术主要有pki体系和非pki体系，所述pki体系主要用于信息认证，所述非pki体系主要用于用户身份认证，采用数字签名和哈希函数保证信息的可靠性和完整性。

41、优选的，所述哈希函数的计算公式如下；address＝h[key]；

42、所述哈希函数的哈希冲突的解决算法包括有线性探查法、二次探查法和双重散列法；

43、线性探查法

44、hi＝(h(key)+i)％m，0≤i≤m-1；

45、即探查时从地址d开始，首先探查t[d]，然后依次探查t[d+1]，…，直到t[m-1]，此后又循环到t[0]，t[1]，…，直到探查到有空余地址或者到t[d-1]为止；

46、二次探查法

47、hi＝(h(key)+i*i)％m，0≤i≤m-1；

48、即探查时从地址d开始，首先探查t[d]，然后依次探查t[d+1^2]，t[d+2^2]，t[d+3^2]，…，等，直到探查到有空余地址或者到t[d-1]为止

49、双重散列法

50、hi＝(h(key)+i*h1(key))％m，0≤i≤m-1；

51、即探查时从地址d开始，首先探查t[d]，然后依次探查t[d+h1(d)]，t[d+2*h1(d)]，…。

52、数据中心运维虚拟专用网络加密连接系统的使用方法，包括有以下步骤：

53、s1、用户端通过局域网建立虚拟网络通道：用户端通过局域网络建立虚拟网络通道，并且实现对vpn接口的建立，以及实现对用户端进行授权，便于用户端通过虚拟网络通道进行传输数据信息；

54、s2、用户端发送请求，实现建立通讯：用户端发送请求，并且通过用户加密模块实现对请求数据进行加密，即通过秘钥生成模块、动态秘钥模块和秘钥下发模块实现对秘钥进行生成，并且实现传输；

55、s3、通过虚拟网络通道实现对数据信息进行发送：即通过虚拟vpn接口、路由器和交换器实现与云端数据库进行通讯连接，并且云端数据库接收用户端请求，并且通过云端加密模块中的秘钥获取模块、秘钥匹配模块和秘钥解码模块实现对请求的识别和解码；

56、s4、虚拟网络通道实现对数据信息和用户信息进行认证：为了保证信息的完整性和通信双方的不可抵赖性，通过用户身份认证鉴别用户身份真实性，且采用身份认证技术主要有pki体系和非pki体系，pki体系主要用于信息认证，非pki体系主要用于用户身份认证，并且采用数字签名和哈希函数保证信息的可靠性和完整性；

57、s5、双方认定完成后，云端数据库实现对数据信息进行加密发送：此时云端数据库通过云端加密模块实现对数据进行加密，即通过秘钥生成模块、动态秘钥模块和秘钥下发模块实现对秘钥进行生成，并且实现传输；

58、s6、用户端通过用户端加密模块进行解码：用户端通过用户加密模块中的秘钥获取模块、秘钥匹配模块和秘钥解码模块实现对请求的识别和解码，并且将解码后的数据信息进行存储在存储模块中。

59、优选的，所述s3中的数据传输通过路由器和交换器实现网络连接，并且实现数据的交换处理和认证。

60、与现有技术相比，本发明的有益效果是：

61、本发明通过虚拟vpn接口实现对虚拟专用网络进行连接，并且实现连接，以及通过用户加密模块和云端加密模块实现对数据进行加密和解密处理，提高数据信息传输的精准性，并且在对数据信息进行加密和解密处理的时候，采用的大量的算法，提高数据加密和解密的精准度，防止数据信息的丢失或者是篡改，以及有效的实现对虚拟网络通道进行建立，以及通过虚拟网络通道进行数据传输的时候，实现对数据信息和用户信息进行认证，保证信息的完整性和通信双方的不可抵赖性，以及身份的精准认证。