国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      構(gòu)建ip層sslvpn隧道的方法

      文檔序號:7595879閱讀:1306來源:國知局
      專利名稱:構(gòu)建ip層ssl vpn隧道的方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域,特別涉及一種構(gòu)建IP層SSL VPN隧道的方法。
      背景技術(shù)
      網(wǎng)絡(luò)上有時要傳輸重要或敏感的數(shù)據(jù),Netscape公司(網(wǎng)景公司)提出了 SSL 協(xié)議(Secure Socket Layer,安全套接字協(xié)議),能夠保證網(wǎng)絡(luò)通信的保密性和可靠性。 IETF(Internet Engineering Task R)rce,互聯(lián)網(wǎng)工程任務(wù)組)將SSL協(xié)議作了標(biāo)準(zhǔn)化,并 將其稱為TLS (Transport Layer Security,安全傳輸層協(xié)議)協(xié)議。TCP (Transmission Control Protocol,傳輸控制協(xié)議)之上的應(yīng)用可以用TLS協(xié) 議來保證安全,但是TLS協(xié)議不能用來保證UDP (User Datagram Protocol,用戶數(shù)據(jù)報(bào)協(xié) 議)的安全。Datagram(數(shù)據(jù)報(bào))TLS協(xié)議,簡稱DTLS協(xié)議,在TLS協(xié)議架構(gòu)上提出擴(kuò)展,使 之支持UDP,即成為TLS協(xié)議的一個支持?jǐn)?shù)據(jù)報(bào)傳輸?shù)陌姹?。SSL VPN(Virtual Private Network,虛擬專用網(wǎng)絡(luò))是解決遠(yuǎn)程用戶訪問敏感公 司數(shù)據(jù)最簡單最安全的解決技術(shù)?,F(xiàn)有的SSL VPN技術(shù)主要有代理方式、網(wǎng)絡(luò)反向代理方 式和IP層隧道方式。目前,構(gòu)建IP層SSL VPN隧道的方式包括SSL方式和SSL+DTLS方 式。其中SSL方式完全使用TCP傳輸所有SSL VPN隧道中的流量,其會同時傳輸與連接的 可靠性保護(hù)相關(guān)的流量,所以這樣會造成一定流量的浪費(fèi)。而SSL+DTLS方式,是使用SSL 協(xié)議來協(xié)商和建立控制連接,使用DTLS協(xié)議建立數(shù)據(jù)連接并完成SSL VPN隧道中流量的傳 輸。這樣雖然解決了 SSL VPN隧道對帶寬的浪費(fèi)問題,但卻引入了另外一個問題SSL協(xié)議 在建立控制連接時,需要協(xié)商一次;這種方式下,DTLS在建立數(shù)據(jù)連接時,也需要協(xié)商一 次。而每次協(xié)商獲得加密套件和加密參數(shù)的算法是最消耗系統(tǒng)性能的部分,并且第二次協(xié) 商并沒有帶來任何安全優(yōu)勢。

      發(fā)明內(nèi)容
      (一)要解決的技術(shù)問題本發(fā)明要解決的技術(shù)問題是如何提供一種構(gòu)建IP層SSL VPN隧道的方法,以減少 對系統(tǒng)性能的消耗。( 二 )技術(shù)方案為解決上述技術(shù)問題,本發(fā)明提供一種構(gòu)建IP層SSL VPN隧道的方法,該方法包 括以下步驟Sl 通過SSL協(xié)議協(xié)商控制連接,得到加密套件和加密參數(shù),并通過SSL協(xié)議使用 所述加密套件和加密參數(shù)建立控制連接;S2 通過DTLS協(xié)議,使用所述加密套件和加密參數(shù)建立數(shù)據(jù)連接。優(yōu)選地,所述SSL VPN隧道構(gòu)建于兩個網(wǎng)關(guān)之間或者構(gòu)建于網(wǎng)關(guān)和客戶端之間。優(yōu)選地,當(dāng)所述SSL VPN隧道構(gòu)建于網(wǎng)關(guān)和客戶端之間時,在所述步驟S2之前還 包括以下步驟通過所述控制連接,傳輸端點(diǎn)安全檢查策略和檢查結(jié)果。
      優(yōu)選地,在所述步驟Sl之前,還包括步驟SO 觸發(fā)隧道協(xié)商。優(yōu)選地,當(dāng)所述SSL VPN隧道構(gòu)建于兩個網(wǎng)關(guān)之間時,系統(tǒng)啟動后,自動執(zhí)行所述 步驟SO 觸發(fā)隧道協(xié)商;當(dāng)所述SSL VPN隧道構(gòu)建于網(wǎng)關(guān)和客戶端之間時,用戶登錄時,自動執(zhí)行所述步驟 SO 觸發(fā)隧道協(xié)商。優(yōu)選地,所述步驟S2中數(shù)據(jù)連接使用所述DTLS協(xié)議的Record (記錄)層將數(shù)據(jù) 封裝成隧道數(shù)據(jù)報(bào)。優(yōu)選地,所述隧道數(shù)據(jù)報(bào)包括隧道外殼和隧道內(nèi)核;所述隧道外殼包括隧道IP 頭、UDP頭和DTLS Record頭;所述隧道內(nèi)核包括隧道內(nèi)IP頭和隧道內(nèi)IP負(fù)載。優(yōu)選地,所述隧道IP頭包括隧道源IP和隧道目的IP,所述UDP頭包括源端口和目 的端口,所述隧道內(nèi)IP頭包括主機(jī)源IP和主機(jī)目的IP。優(yōu)選地,所述步驟Sl中協(xié)商控制連接過程,通過所述SSL協(xié)議的握手過程完成。優(yōu)選地,所述步驟Sl中的加密套件和加密參數(shù)被保存在內(nèi)存中,以供所述步驟S2 中直接使用。(三)有益效果本發(fā)明所述的構(gòu)建IP層SSL VPN隧道的方法,在利用DTLS協(xié)議建立數(shù)據(jù)連接時, 直接使用通過SSL協(xié)議協(xié)商得到的加密套件和加密參數(shù),減少了對系統(tǒng)性能的消耗。


      圖1是本發(fā)明實(shí)施例所述的構(gòu)建IP層SSL VPN隧道的方法流程圖;圖2是本發(fā)明實(shí)施例所述的隧道數(shù)據(jù)報(bào)結(jié)構(gòu)圖。
      具體實(shí)施例方式下面結(jié)合附圖和實(shí)施例,對本發(fā)明的具體實(shí)施方式
      作進(jìn)一步詳細(xì)描述。以下實(shí)施 例用于說明本發(fā)明,但不用來限制本發(fā)明的范圍。圖1是本發(fā)明實(shí)施例所述的構(gòu)建IP層SSL VPN隧道的方法流程圖,參見圖1,該方 法包括以下步驟Sl 通過SSL協(xié)議協(xié)商控制連接,得到加密套件和加密參數(shù),并通過SSL協(xié)議使用 所述加密套件和加密參數(shù)建立控制連接;所述協(xié)商控制連接還包括完成證書認(rèn)證的步驟。S2 通過DTLS協(xié)議,使用所述加密套件和加密參數(shù)建立數(shù)據(jù)連接。SSL VPN隧道包含控制連接和數(shù)據(jù)連接兩個部分,步驟Sl中通過SSL協(xié)議協(xié)商得 到了加密套件和加密參數(shù),建立控制連接;在步驟S2中通過DTLS協(xié)議建立數(shù)據(jù)連接時,直 接使用步驟Sl中SSL協(xié)議協(xié)商得到的加密套件和加密參數(shù),減少了對系統(tǒng)性能的消耗。優(yōu)選地,所述SSL VPN隧道構(gòu)建于兩個網(wǎng)關(guān)之間或者構(gòu)建于網(wǎng)關(guān)和客戶端之間。代 理方式和網(wǎng)絡(luò)反向代理方式的SSL VPN隧道沒有很好的解決網(wǎng)關(guān)到網(wǎng)關(guān)間的數(shù)據(jù)保護(hù),一 般只應(yīng)用于網(wǎng)關(guān)到客戶端之間的數(shù)據(jù)保護(hù)。而本發(fā)明的IP層SSL VPN隧道,既可應(yīng)用于兩 個網(wǎng)關(guān)之間,也可應(yīng)用于網(wǎng)關(guān)和客戶端之間,具有更廣的應(yīng)用范圍。優(yōu)選地,當(dāng)所述SSL VPN隧道構(gòu)建于網(wǎng)關(guān)和客戶端之間時,在所述步驟S2之前還包括以下步驟通過所述控制連接,傳輸端點(diǎn)安全檢查策略和檢查結(jié)果。優(yōu)選地,在所述步驟Sl之前,還包括步驟SO 觸發(fā)隧道協(xié)商。優(yōu)選地,當(dāng)所述SSL VPN隧道構(gòu)建于兩個網(wǎng)關(guān)之間時,系統(tǒng)啟動后,自動執(zhí)行所述 步驟SO 觸發(fā)隧道協(xié)商;當(dāng)所述SSL VPN隧道構(gòu)建于網(wǎng)關(guān)和客戶端之間時,用戶登錄時,自動執(zhí)行所述步驟 SO 觸發(fā)隧道協(xié)商。優(yōu)選地,所述步驟S2中數(shù)據(jù)連接使用所述DTLS協(xié)議的Record層將數(shù)據(jù)封裝成隧 道數(shù)據(jù)報(bào)。Record層是DTLS協(xié)議中最基礎(chǔ)的一層,被加密的內(nèi)容必須基于Record層來傳輸。圖2是本發(fā)明實(shí)施例所述隧道數(shù)據(jù)報(bào)結(jié)構(gòu)圖,參見圖2,優(yōu)選地,所述隧道數(shù)據(jù)報(bào) 包括隧道外殼1和隧道內(nèi)核2 ;所述隧道外殼包括隧道IP頭1. 1、UDP頭1.2和DTLS Record 頭1. 3 ;所述隧道內(nèi)核包括隧道內(nèi)IP頭2. 1和隧道內(nèi)IP負(fù)載2. 2。假設(shè)SSL VPN隧道構(gòu)建 于兩個網(wǎng)關(guān)之間,當(dāng)?shù)谝痪W(wǎng)關(guān)所保護(hù)的客戶端產(chǎn)生需要保護(hù)的數(shù)據(jù)時,數(shù)據(jù)作為隧道內(nèi)IP 負(fù)載2. 2,先被加裝隧道內(nèi)IP頭2. 1,形成隧道內(nèi)核2 ;然后再被加裝隧道外殼1 ;最后通過 數(shù)據(jù)連接發(fā)送給第二網(wǎng)關(guān)。第二網(wǎng)關(guān)接收到上述數(shù)據(jù)后,首先去除隧道外殼1 ;然后轉(zhuǎn)發(fā) 給相應(yīng)的客戶端,解析后得到被保護(hù)的數(shù)據(jù)。優(yōu)選地,所述隧道IP頭1. 1包括隧道源IP和隧道目的IP,所述UDP頭1. 2包括源 端口和目的端口,所述隧道內(nèi)IP頭2. 1包括主機(jī)源IP和主機(jī)目的IP。對于網(wǎng)關(guān)到網(wǎng)關(guān)間的SSL VPN隧道來說,隧道源IP和隧道目的IP分別為兩個網(wǎng) 關(guān)的IP ;UDP頭1. 2中的源端口和目的端口是網(wǎng)關(guān)上的SSL VPN數(shù)據(jù)隧道端口 ;主機(jī)源IP 和主機(jī)目的IP可以為兩端網(wǎng)關(guān)所保護(hù)的私有網(wǎng)絡(luò)內(nèi)的主機(jī)IP,其也可以為某個虛擬IP,網(wǎng) 關(guān)對該虛擬IP進(jìn)行轉(zhuǎn)換,進(jìn)而得到真實(shí)的主機(jī)IP。對于客戶端到網(wǎng)關(guān)間的SSL VPN隧道來說,隧道源IP和隧道目的IP分別為客戶 端IP和網(wǎng)關(guān)IP ;UDP頭1. 2中的源端口和目的端口是客戶端和網(wǎng)關(guān)上的SSL VPN數(shù)據(jù)隧道 端口 ;主機(jī)源IP和主機(jī)目的IP,分別是能被SSL VPN網(wǎng)關(guān)及其保護(hù)的私有網(wǎng)絡(luò)識別的一個 IP和SSL VPN網(wǎng)關(guān)保護(hù)的私有網(wǎng)絡(luò)中的主機(jī)的IP。優(yōu)選地,所述步驟Sl中協(xié)商控制連接過程,通過所述SSL協(xié)議的握手過程完成。直 接使用SSL協(xié)議本身包含的握手過程,便于本發(fā)明方法的推廣應(yīng)用。優(yōu)選地,所述步驟Sl中的加密套件和加密參數(shù)被保存在內(nèi)存中,以供所述步驟S2 中直接使用。步驟Sl中協(xié)商得到的加密套件和加密參數(shù)在用于建立控制連接后,并未被丟棄, 而是被保存在了內(nèi)存中。這樣,當(dāng)步驟S2建立數(shù)據(jù)連接時,可以直接使用前述加密套件和 加密參數(shù),省略了再次協(xié)商的過程,節(jié)省了系統(tǒng)性能。以上實(shí)施方式僅用于說明本發(fā)明,而并非對本發(fā)明的限制,有關(guān)技術(shù)領(lǐng)域的普通 技術(shù)人員,在不脫離本發(fā)明的精神和范圍的情況下,還可以做出各種變化和變型,因此所有 等同的技術(shù)方案也屬于本發(fā)明的范疇,本發(fā)明的專利保護(hù)范圍應(yīng)由權(quán)利要求限定。
      權(quán)利要求
      1.一種構(gòu)建IP層SSL VPN隧道的方法,其特征在于,該方法包括以下步驟51通過SSL協(xié)議協(xié)商控制連接,得到加密套件和加密參數(shù),并通過SSL協(xié)議使用所述 加密套件和加密參數(shù)建立控制連接;52通過DTLS協(xié)議,使用所述加密套件和加密參數(shù)建立數(shù)據(jù)連接。
      2.如權(quán)利要求1所述的構(gòu)建IP層SSLVPN隧道的方法,其特征在于,所述SSL VPN隧 道構(gòu)建于兩個網(wǎng)關(guān)之間或者構(gòu)建于網(wǎng)關(guān)和客戶端之間。
      3.如權(quán)利要求2所述的構(gòu)建IP層SSLVPN隧道的方法,其特征在于,當(dāng)所述SSL VPN隧 道構(gòu)建于網(wǎng)關(guān)和客戶端之間時,在所述步驟S2之前還包括以下步驟通過所述控制連接, 傳輸端點(diǎn)安全檢查策略和檢查結(jié)果。
      4.如權(quán)利要求1所述的構(gòu)建IP層SSLVPN隧道的方法,其特征在于,在所述步驟Sl之 前,還包括步驟SO 觸發(fā)隧道協(xié)商。
      5.如權(quán)利要求4所述的構(gòu)建IP層SSLVPN隧道的方法,其特征在于,當(dāng)所述SSL VPN隧道構(gòu)建于兩個網(wǎng)關(guān)之間時,系統(tǒng)啟動后,自動執(zhí)行所述步驟SO 觸發(fā) 隧道協(xié)商;當(dāng)所述SSL VPN隧道構(gòu)建于網(wǎng)關(guān)和客戶端之間時,用戶登錄時,自動執(zhí)行所述步驟SO 觸發(fā)隧道協(xié)商。
      6.如權(quán)利要求1所述的構(gòu)建IP層SSLVPN隧道的方法,其特征在于,所述步驟S2中數(shù) 據(jù)連接使用所述DTLS協(xié)議的Record層將數(shù)據(jù)封裝成隧道數(shù)據(jù)報(bào)。
      7.如權(quán)利要求6所述的構(gòu)建IP層SSLVPN隧道的方法,其特征在于,所述隧道數(shù)據(jù)報(bào) 包括隧道外殼和隧道內(nèi)核;所述隧道外殼包括隧道IP頭、UDP頭和DTLS Record頭;所述隧 道內(nèi)核包括隧道內(nèi)IP頭和隧道內(nèi)IP負(fù)載。
      8.如權(quán)利要求7所述的構(gòu)建IP層SSLVPN隧道的方法,其特征在于,所述隧道IP頭包 括隧道源IP和隧道目的IP,所述UDP頭包括源端口和目的端口,所述隧道內(nèi)IP頭包括主機(jī) 源IP和主機(jī)目的IP。
      9.如權(quán)利要求1所述的構(gòu)建IP層SSLVPN隧道的方法,其特征在于,所述步驟Sl中協(xié) 商控制連接過程,通過所述SSL協(xié)議的握手過程完成。
      10.如權(quán)利要求1所述的構(gòu)建IP層SSLVPN隧道的方法,其特征在于,所述步驟Sl中 的加密套件和加密參數(shù)被保存在內(nèi)存中,以供所述步驟S2中直接使用。
      全文摘要
      本發(fā)明公開了一種構(gòu)建IP層SSL VPN隧道的方法,該方法包括以下步驟通過SSL協(xié)議協(xié)商控制連接,得到加密套件和加密參數(shù),并通過SSL協(xié)議使用所述加密套件和加密參數(shù)建立控制連接;通過DTLS協(xié)議,使用所述加密套件和加密參數(shù)建立數(shù)據(jù)連接。本發(fā)明采用SSL+DTLS方式構(gòu)建IP層SSL VPN隧道,在利用DTLS協(xié)議建立數(shù)據(jù)連接時,直接使用通過SSL協(xié)議協(xié)商得到的加密套件和加密參數(shù),減少了對系統(tǒng)性能的消耗。
      文檔編號H04L29/06GK102137100SQ201110048520
      公開日2011年7月27日 申請日期2011年3月1日 優(yōu)先權(quán)日2011年3月1日
      發(fā)明者張永培, 接偉, 殷建儒 申請人:漢柏科技有限公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
      1