一种基于IPSec的VPN连接方法
【专利摘要】本发明中,在建立基于IPSec的VPN连接时,通过读取在USBKey中存储的数字证书的方式来进行IKE协商,避免了普通的密钥协商方式安全性能低下的问题。而且,对于没有USBKey而又有临时接入请求的用户,使用向其他具有USBKey用户发送请求的方式获取数字证书,保证了特殊情况下的连接的建立,兼顾了安全性和易用性。
【专利说明】一种基于IPSec的VPN连接方法
【技术领域】
[0001]本发明涉及通信【技术领域】,尤其涉及一种VPN的连接方法。
【背景技术】
[0002]信息技术的发展和Internet的广泛使用,在给人们生活和工作带来极大方便的同时,却也使人们一直十分担心在基于开放协议平台TCP/IP的Internet上通信数据的安全和计算机系统运行的安全。目前已经有多种安全通信技术应用于互联网中的数据传输,其中在网络层实现的因特网协议安全(IPSec)通信协议由于对应用层完全透明,因此非常适合在现有的TCP/IP网络中,通过增加IPSec安全模块,而不需修改应用系统、软件的设置,为各类网络应用构建一个通用的安全网络通信环境。
[0003]随着网络,尤其是网络经济的发展,企业日益扩张,客户分布日益广泛,合作伙伴日益增多,这种情况促使了企业的效益日益增长,另一方面也越来越凸显传统企业网的功能缺陷:传统企业网基于固定物理地点的专线连接方式已难以适应现代企业的需求于是企业对于自身的网络建设提出了更高的需求,主要表现在网络的灵活性、安全性、经济性、扩展性等方面。在这样的背景下,VPN以其独具特色的优势赢得了越来越多的企业的青睐,令企业可以较少地关注网络的运行与维护,而更多地致力于企业的商业目标的实现。
[0004]VPN(Virtual Private Network)是指通过综合利用网络技术、访问控制技术和加密技术,并通过一定的用户管理机制,在公共网络中建立起安全的“专用”网络,保证数据在“加密通道”中进行安全传输的技术。通过隧道(TUNNEL)或虚电路(VIRTUAL CIRCUIT)实现网络互联,支持用户安全管理,能够进行网络监控、故障诊断,具有省钱、选择灵活、速度快、安全性好、实现投资的保护等优点。
[0005]在现有技术中,通过对IP层的扩展,使其能够支持IPSec协议,包括网络安全协议(AH, Authenticat1n Header)和封装安全载荷协议(ESP, Encapsulating SecurityPayload)、密钥管理协议(IKE,Internet Key Exchange)协议。创建一个安全策略时,由安全策略进程负责管理和维护,并激活IKE进程与对方VPN网关协商一个SA (SecurityAssociat1n)。在发送数据时,由输出进程按SA指定的协议封装,并按规定算法加密和生成认证数据;接收数据时,由输入进程按SA指定协议解包,并解密和验证。
[0006]可见,现有技术在进行IKE协商时,使用普通的密钥协商方式,容易被破解,安全性不高。
【发明内容】
[0007]本发明提供了一种基于IPSec的VPN连接方法,其特征在于,网络中包括连接了USB Key的发起方A、未连接USB Key的发起方B和响应方,所述USB Key中存储了 IPSec连接所需的数字证书,并作为第三方设备与发起方设备电连接,包括以下步骤:
步骤202、发起方A发起到响应方的基于IPSec的连接请求;
步骤204、发起方A使用USB Key中保存的数字证书来和响应方进行IKE协商,建立IPSec连接;
步骤206、发起方B向所述响应方发起IPSec连接请求,进行IKE协商,在协商进行到涉及数字证书的相关信息的传递时,发起方B挂起IKE协商;
步骤208、发起方B获取连接有USB Key的发起方A的IP地址;
步骤210、发起方B向发起方A发送请求,要求获取USB Key中包含的数字证书;
步骤212、发起方A接收到该请求,并发送响应;若发起方A同意该请求,则所述响应中包括同意消息和发起方A所连接的USB Key中的数字证书;若发起方A不同意该请求,则所述响应中包括拒绝消息;
步骤214、发起方B接收所述响应,若响应中包括同意消息,则恢复IKE协商,并使用所述响应中的数字证书进行IKE协商,完成IPSec连接;若响应中包括拒绝消息,则结束IKE协商,IPSec连接失败。
[0008]本发明中,通过读取在USB Key中存储的数字证书的方式来进行IKE协商,避免了普通的密钥协商方式安全性能低下的问题。而且,对于没有USB Key而又有临时接入请求的用户,使用向其他具有USB Key用户发送请求的方式获取数字证书,保证了特殊情况下的连接的建立,兼顾了安全性和易用性。
【专利附图】
【附图说明】
[0009]为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例。对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0010]图1为本发明实施例一的流程图。
【具体实施方式】
[0011]为使本发明的目的、技术方案及优点更加清楚明白,以下将通过具体实施例和相关附图,对本发明作进一步详细说明。
[0012]实施例一
本发明实施例一提供了一种基于IPSec的VPN连接方法,其特征在于,网络中包括连接了 USB Key的发起方A、未连接USB Key的发起方B和响应方,所述USB Key中存储了 IPSec连接所需的数字证书,并作为第三方设备与发起方设备电连接,包括以下步骤:
步骤202、发起方A发起到响应方的基于IPSec的连接请求;
步骤204、发起方A使用USB Key中保存的数字证书来和响应方进行IKE协商,建立IPSec连接;
步骤206、发起方B向所述响应方发起IPSec连接请求,进行IKE协商,在协商进行到涉及数字证书的相关信息的传递时,发起方B挂起IKE协商;
步骤208、发起方B获取连接有USB Key的发起方A的IP地址;
步骤210、发起方B向发起方A发送请求,要求获取USB Key中包含的数字证书;
步骤212、发起方A接收到该请求,并发送响应;若发起方A同意该请求,则所述响应中包括同意消息和发起方A所连接的USB Key中的数字证书;若发起方A不同意该请求,则所述响应中包括拒绝消息;
步骤214、发起方B接收所述响应,若响应中包括同意消息,则恢复IKE协商,并使用所述响应中的数字证书进行IKE协商,完成IPSec连接;若响应中包括拒绝消息,则结束IKE协商,IPSec连接失败。
[0013]实施例二
在实施例一的步骤208中,所述发起方B获取连接有USB Key的发起方A的IP地址的具体方式为:
发起方B向响应方发送查询请求,请求响应方向发起方B发送连接了包含数字证书的USB Key的发起方的IP地址信息;
响应方接收到所述查询请求后,查找到与自身已进行IPSec连接并连接了包含数字证书的USB Key的发起方A,并将发起方A的IP地址发送给发起方B。
[0014]本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过主机程序来指令相关的硬件来完成,所述的程序可存储于一主机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory, ROM)或随机存储记忆体(Random AccessMemory, RAM)等。
[0015]上列较佳实施例,对本发明的目的、技术方案和优点进行了进一步详细说明,所应理解的是,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【权利要求】
1.一种基于IPSec的VPN连接方法,其特征在于,网络中包括连接了 USB Key的所述发起方A、未连接USB Key的发起方B和响应方,所述USB Key中存储了 IPSec连接所需的数字证书,并作为第三方设备与发起方设备电连接,包括以下步骤: 步骤202、发起方A发起到响应方的基于IPSec的连接请求; 步骤204、发起方A使用USB Key中保存的数字证书来和响应方进行IKE协商,建立IPSec连接; 步骤206、发起方B向所述响应方发起IPSec连接请求,进行IKE协商,在协商进行到涉及数字证书的相关信息的传递时,发起方B挂起IKE协商; 步骤208、发起方B获取连接有USB Key的发起方A的IP地址; 步骤210、发起方B向发起方A发送请求,要求获取USB Key中包含的数字证书; 步骤212、发起方A接收到该请求,并发送响应;若发起方A同意该请求,则所述响应中包括同意消息和发起方A所连接的USB Key中的数字证书;若发起方A不同意该请求,则所述响应中包括拒绝消息; 步骤214、发起方B接收所述响应,若响应中包括同意消息,则恢复IKE协商,并使用所述响应中的数字证书进行IKE协商,完成IPSec连接;若响应中包括拒绝消息,则结束IKE协商,IPSec连接失败。
2.根据权利要求1所述的方法,其特征在于,所述步骤208中,所述发起方B获取连接有USB Key的发起方A的IP地址的具体方式为: 发起方B向响应方发送查询请求,请求响应方向发起方B发送连接了包含数字证书的USB Key的发起方的IP地址信息; 响应方接收到所述查询请求后,查找到与自身已进行IPSec连接并连接了包含数字证书的USB Key的发起方A,并将发起方A的IP地址发送给发起方B。
【文档编号】H04L12/46GK104253688SQ201310263931
【公开日】2014年12月31日 申请日期:2013年6月28日 优先权日:2013年6月28日
【发明者】苏长君, 郑曙光 申请人:北京思普崚技术有限公司