[go: up one dir, main page]

CN111147344A - 一种虚拟专用网络实现方法、装置、设备及介质 - Google Patents

一种虚拟专用网络实现方法、装置、设备及介质 Download PDF

Info

Publication number
CN111147344A
CN111147344A CN201911296706.6A CN201911296706A CN111147344A CN 111147344 A CN111147344 A CN 111147344A CN 201911296706 A CN201911296706 A CN 201911296706A CN 111147344 A CN111147344 A CN 111147344A
Authority
CN
China
Prior art keywords
message
analyzed
encrypted
network protocol
virtual private
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911296706.6A
Other languages
English (en)
Other versions
CN111147344B (zh
Inventor
梅松
张云鹤
郑聪
叶志强
万雷
任永和
宋峰峰
付宁静
张平
陈高金
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuhan Fly For Same Flight Network Technology Ltd By Share Ltd
Original Assignee
Wuhan Fly For Same Flight Network Technology Ltd By Share Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan Fly For Same Flight Network Technology Ltd By Share Ltd filed Critical Wuhan Fly For Same Flight Network Technology Ltd By Share Ltd
Priority to CN201911296706.6A priority Critical patent/CN111147344B/zh
Publication of CN111147344A publication Critical patent/CN111147344A/zh
Application granted granted Critical
Publication of CN111147344B publication Critical patent/CN111147344B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提出了一种虚拟专用网络实现方法、装置、设备及介质。包括:从物理网卡中获取数据报文,循环获取数据报文请求,当获取到数据报文请求时,将当前数据报文作为待分析报文;从待分析报文中提取网络协议,根据本地网络协议对待分析报文的网络协议进行判断,根据判断结果对待分析报文进行处理,获取处理后的待分析报文作为待加密报文;对待加密报文进行加密,并将加密后的待加密报文反馈至物理网卡。本发明通过轮询的方式,即定时循环判断收发数据包,提升收发报文的效率,避免了CPU中断的问题,然后将要出站的报文进行二次加密,加强了报文的保密性,提高了转发过程的安全性。

Description

一种虚拟专用网络实现方法、装置、设备及介质
技术领域
本发明涉及虚拟专用网络加密传输技术领域,尤其涉及一种虚拟专用网络实现方法、装置、设备及介质。
背景技术
虚拟专用网络(VPN)的功能是:在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。与专线相比,优点是成本低,并且数据以加密方式传输。
但是,随着互联网技术和业务的发展,VPN通信规模日益增大,用户对VPN 网关的传输性能的要求越来越高。然而,传统的VPN网关包转发效率较差,VPN 网关面临越来越大的性能压力。因此,研究高性能VPN网关技术有十分重大的意义。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
有鉴于此,本发明提出了一种虚拟专用网络实现方法、装置、设备及介质,旨在解决现有技术无法利用DPDK平台来提升VPN网关包转发的技术问题。
本发明的技术方案是这样实现的:
一方面,本发明提供了一种虚拟专用网络实现方法,所述一种虚拟专用网络实现方法包括以下步骤:
S1,从物理网卡中获取数据报文,循环定时获取数据报文请求,当获取到数据报文请求时,将当前数据报文作为待分析报文;
S2,获取本地网络协议,从待分析报文中提取网络协议,根据本地网络协议对待分析报文的网络协议进行判断,根据判断结果对待分析报文进行处理,获取处理后的待分析报文作为待加密报文;
S3,设定通信安全策略,根据网络协议获取对应的通信安全策略,对待加密报文进行加密,并将加密后的待加密报文反馈至物理网卡。
在以上技术方案的基础上,优选的,步骤S1中,从物理网卡中获取数据报文,循环定时获取数据报文请求,当获取到数据报文请求时,将当前数据报文作为待分析报文,还包括以下步骤,从数据报文中获取用户信息,根据该用户信息从本地密钥库中获取对应的密钥,根据该密钥对数据报文进行解密,当成功解密时,将成功解密的数据报文作为待分析报文;当解密失败时,重新选择数据报文。
在以上技术方案的基础上,优选的,步骤S2中,获取本地网络协议,从待分析报文中提取网络协议,根据本地网络协议对待分析报文的网络协议进行判断,根据判断结果对待分析报文进行处理,获取处理后的待分析报文作为待加密报文,还包括以下步骤,获取本地网络协议,所述网络协议包括:PKI协议以及IKE协议,根据本地网络协议对待分析报文的网络协议进行判断,根据判断结果对待分析报文进行处理,获取处理后的待分析报文作为待加密报文。
在以上技术方案的基础上,优选的,根据本地网络协议对待分析报文的网络协议进行判断,根据判断结果对待分析报文进行处理,获取处理后的待分析报文作为待加密报文,还包括以下步骤,当判断结果为PKI协议时,从待分析报文中提取用户标识信息以及用户公钥,所述标识信息包括:用户名以及电子邮件地址,根据该用户标识信息与用户公钥建立新公钥分配至对应的待分析报文,将分配了新公钥的待分析报文作为待加密报文。
在以上技术方案的基础上,优选的,根据本地网络协议对待分析报文的网络协议进行判断,根据判断结果对待分析报文进行处理,获取处理后的待分析报文作为待加密报文,还包括以下步骤,当判断结果为IKE协议时,设定报文格式,建立DH算法,根据报文格式对待分析报文进行检测,当待分析报文与报文格式相同时,根据DH算法,通过待分析报文计算出对应的公共密钥,根据该公共密钥对待分析报文进行加密,将加密后的待分析报文作为待加密报文。
在以上技术方案的基础上,优选的,还包括以下步骤,所述DH算法为:
S1=Ta^dbmodt,S2=Tb^damodt;
其中,S1代表待分析报文发送端的共享密钥,S2代表待分析报文接收端的共享密钥,且S1=S2,Ta=r^damodt,Tb=r^dbmodt,da是一个范围在[1,t-1]之间的随机数,db是一个范围在[1,t-1]之间的随机数,(r,t)是待分析报文中的数据组成的一个二元组。
在以上技术方案的基础上,优选的,步骤S3中,设定通信安全策略,根据网络协议获取对应的通信安全策略,对待加密报文进行加密,并将加密后的待加密报文反馈至物理网卡,还包括以下步骤,获取本地网络协议以及对应的安全策略,根据该根据本地网络协议以及对应的安全策略设定通信安全策略,根据网络协议从通信安全策略中获取对应的安全策略,根据该安全策略对待加密报文进行机密,将加密后的待加密报文反馈至物理网卡。
更进一步优选的,所述一种虚拟专用网络实现装置包括:
获取模块,用于从物理网卡中获取数据报文,循环定时获取数据报文请求,当获取到数据报文请求时,将当前数据报文作为待分析报文;
处理模块,用于获取本地网络协议,从待分析报文中提取网络协议,根据本地网络协议对待分析报文的网络协议进行判断,根据判断结果对待分析报文进行处理,获取处理后的待分析报文作为待加密报文;
加密模块,用于设定通信安全策略,根据网络协议获取对应的通信安全策略,对待加密报文进行加密,并将加密后的待加密报文反馈至物理网卡。
第二方面,所述一种虚拟专用网络实现方法还包括一种设备,所述设备包括:存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的一种虚拟专用网络实现方法程序,所述一种虚拟专用网络实现方法程序配置为实现如上文所述的一种虚拟专用网络实现方法的步骤。
第三方面,所述一种虚拟专用网络实现方法还包括一种介质,所述介质为计算机介质,所述计算机介质上存储有一种虚拟专用网络实现方法程序,所述一种虚拟专用网络实现方法程序被处理器执行时实现如上文所述的一种虚拟专用网络实现方法的步骤。
本发明的一种虚拟专用网络实现方法相对于现有技术具有以下有益效果:
(1)通过轮询的方式,即定时循环收发数据包,使CPU一直处于满负荷状态,避免CPU采用中断的方式来收发报文,提升报文收发效率,提高整个过程的效率;
(2)通过DPSK平台来实现虚拟专用网络,由于DPSK平台支持用户态驱动,直接在用户态处理网络报文,避免了内存拷贝和系统调用,提高了整个转发过程的效率,同时也节省了系统资源的占用;
(3)通过多重加密的方式对需要出站的报文进行加密,避免出站报文遭到篡改,提高了数据的可靠性和完整性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例方案涉及的硬件运行环境的设备的结构示意图;
图2为本发明一种虚拟专用网络实现方法第一实施例的流程示意图;
图3为本发明一种虚拟专用网络实现方法第一实施例的功能模块示意图。
具体实施方式
下面将结合本发明实施方式,对本发明实施方式中的技术方案进行清楚、完整地描述,显然,所描述的实施方式仅仅是本发明一部分实施方式,而不是全部的实施方式。基于本发明中的实施方式,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施方式,都属于本发明保护的范围。
如图1所示,该设备可以包括:处理器1001,例如中央处理器(Central ProcessingUnit,CPU),通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口 1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(WIreless-FIdelity,WI-FI)接口)。存储器1005可以是高速的随机存取存储器(Random Access Memory,RAM)存储器,也可以是稳定的非易失性存储器(Non-Volatile Memory,NVM),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的结构并不构成对设备的限定,在实际应用中设备可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及一种虚拟专用网络实现方法程序。
在图1所示的设备中,网络接口1004主要用于建立设备与存储一种虚拟专用网络实现方法系统中所需的所有数据的服务器的通信连接;用户接口1003主要用于与用户进行数据交互;本发明一种虚拟专用网络实现方法设备中的处理器1001、存储器1005可以设置在一种虚拟专用网络实现方法设备中,所述一种虚拟专用网络实现方法设备通过处理器1001调用存储器1005中存储的一种虚拟专用网络实现方法程序,并执行本发明实施提供的一种虚拟专用网络实现方法。
结合图2,图2为本发明一种虚拟专用网络实现方法第一实施例的流程示意图。
本实施例中,所述一种虚拟专用网络实现方法包括以下步骤:
S10:从物理网卡中获取数据报文,循环定时获取数据报文请求,当获取到数据报文请求时,将当前数据报文作为待分析报文。
应当理解的是,DPDK(即数据平面开发套件,Data Plane Development Kit) 主要基于Linux系统运行,用于快速数据包处理的函数库与驱动集合,可以极大提高数据处理性能和吞吐量,可以提高数据平面应用程序的工作效率,DPDK 平台采用用户态驱动,并且输出是链路层报文,而DPDK平台又不提供上层协议栈,故需要构建精简的用户态协议栈,并在用户态实现虚拟专用网络功能。
应当理解的是,轮询是一种CPU决策如何提供周边设备服务的方式,又称“程控输入输出”(Programmed I/O)。轮询法的概念是:由CPU定时发出询问,依序询问每一个周边设备是否需要其服务,有即给予服务,服务结束后再问下一个周边,接着不断周而复始。
应当理解的是,本实施例中,是通过设定时间阈值,根据该时间阈值定时向CPU进行询问,只有收到数据报文请求的时候,才会截取此时的数据报文,然后从截取下来的数据报文中提取用户信息,然后根据该用户信息从本地密钥库中获取对应的密钥,在提取到用户信息时,系统会根据自身的密钥生成器生成对应的密钥,并根据这些密钥建立本地密钥库,根据该密钥对数据报文进行解密,当成功解密时,将成功解密的数据报文作为待分析报文;当解密失败时,重新选择数据报文。
S20:获取本地网络协议,从待分析报文中提取网络协议,根据本地网络协议对待分析报文的网络协议进行判断,根据判断结果对待分析报文进行处理,获取处理后的待分析报文作为待加密报文。
应当理解的是,获取本地网络协议,所述网络协议包括:PKI协议、IKE协议以及IPsec协议,然后根据本地网络协议对待分析报文的网络协议进行判断,根据判断结果对待分析报文进行处理,获取处理后的待分析报文作为待加密报文。
应当理解的是,所谓PKI(公钥基础设施)就是一个用公钥概念和技术实施和提供安全服务的具有普适性的安全基础设施。但PKI的定义在不断地延伸和扩展。PKI涉及到多个实体之间的协作过程,如CA、RA、证书库、密钥恢复服务器和终端用户,同时负责IPSecVPN网关的设备密钥的生成、保护、更新、备份、恢复,设备证书的申请下载,CA服务器根证书、CRL下载,以及其他设备证书的合法性检查等功能。当判断结果为PKI协议时,从待分析报文中提取用户标识信息以及用户公钥,所述标识信息包括:用户名以及电子邮件地址,根据该用户标识信息与用户公钥建立新公钥分配至对应的待分析报文,将分配了新公钥的待分析报文作为待加密报文。
应当理解的是,IKE(因特网密钥交换协议),负责IPSec VPN网关隧道的工作密钥和会话密钥的协商、更新、销毁,安全策略的协商,及隧道状态监控,同时IKE不是在网络上直接传送密钥,而是通过一系列数据的交换,最终计算出双方共享的密钥,并且即使第三者截获了双方用于计算密钥的所有交换数据,也不足以计算出真正的密钥。
应当理解的是,当判断结果为IKE协议时,设定报文格式,建立DH算法,根据报文格式对待分析报文进行检测,当待分析报文与报文格式相同时,根据 DH算法,通过待分析报文计算出对应的公共密钥,根据该公共密钥对待分析报文进行加密,将加密后的待分析报文作为待加密报文,在计算之前,会对数据报文的完整性进行验证,只有报文完整时,才会对报文的公共密钥进行计算。
应当理解的是,所述DH算法为:
S1=Ta^dbmodt,S2=Tb^damodt;
其中,S1代表待分析报文发送端的共享密钥,S2代表待分析报文接收端的共享密钥,且S1=S2,Ta=r^damodt,Tb=r^dbmodt,da是一个范围在[1,t-1]之间的随机数,db是一个范围在[1,t-1]之间的随机数,(r,t)是待分析报文中的数据组成的一个二元组。
假设有这么一个二元组(r,t)=(3,7);
da是一个范围在[1,t-1]之间的随机数,da=5,Ta=r^damodt=5;
db是一个范围在[1,t-1]之间的随机数,db=6,Tb=r^dbmodt=1;
代表待分析报文发送端的共享密钥S1=Ta^dbmodt=1,代表待分析报文接收端的共享密钥S2=Tb^damodt=1。
S30:设定通信安全策略,根据网络协议获取对应的通信安全策略,对待加密报文进行加密,并将加密后的待加密报文反馈至物理网卡。
应当理解的是,IPsec协议(互联网安全协议)负责维护IPSec安全通信策略、会话密钥;对出站报文匹配安全策略并使用对应的会话密钥进行封装和加密;对入站报文进行解封装和解密的处理。
应当理解的是,在接受到待加密报文时,系统会获取本地网络协议以及对应的安全策略,根据该根据本地网络协议以及对应的安全策略设定通信安全策略,根据网络协议从通信安全策略中获取对应的安全策略,根据该安全策略对待加密报文进行机密,将加密后的待加密报文反馈至物理网卡。
需要说明的是,以上仅为举例说明,并不对本申请的技术方案构成任何限定。
通过上述描述不难发现,本实施例通过从物理网卡中获取数据报文,循环定时获取数据报文请求,当获取到数据报文请求时,将当前数据报文作为待分析报文;获取本地网络协议,从待分析报文中提取网络协议,根据本地网络协议对待分析报文的网络协议进行判断,根据判断结果对待分析报文进行处理,获取处理后的待分析报文作为待加密报文;用于设定通信安全策略,根据网络协议获取对应的通信安全策略,对待加密报文进行加密,并将加密后的待加密报文反馈至物理网卡。本实施例通过轮询的方式,即定时循环判断收发数据包,提升收发报文的效率,避免了CPU中断的问题,然后将要出站的报文进行二次加密,加强了报文的保密性,提高了转发过程的安全性。
此外,本发明实施例还提出一种虚拟专用网络实现装置。如图3所示,该一种虚拟专用网络实现装置包括:获取模块10、处理模块20、加密模块30。
获取模块10,用于从物理网卡中获取数据报文,循环定时获取数据报文请求,当获取到数据报文请求时,将当前数据报文作为待分析报文;
处理模块20,用于获取本地网络协议,从待分析报文中提取网络协议,根据本地网络协议对待分析报文的网络协议进行判断,根据判断结果对待分析报文进行处理,获取处理后的待分析报文作为待加密报文;
加密模块30,用于设定通信安全策略,根据网络协议获取对应的通信安全策略,对待加密报文进行加密,并将加密后的待加密报文反馈至物理网卡。
此外,需要说明的是,以上所描述的装置实施例仅仅是示意性的,并不对本发明的保护范围构成限定,在实际应用中,本领域的技术人员可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的,此处不做限制。
另外,未在本实施例中详尽描述的技术细节,可参见本发明任意实施例所提供的一种虚拟专用网络实现方法,此处不再赘述。
此外,本发明实施例还提出一种介质,所述介质为计算机介质,所述计算机介质上存储有一种虚拟专用网络实现方法程序,所述一种虚拟专用网络实现方法程序被处理器执行时实现如下操作:
S1,从物理网卡中获取数据报文,循环定时获取数据报文请求,当获取到数据报文请求时,将当前数据报文作为待分析报文;
S2,获取本地网络协议,从待分析报文中提取网络协议,根据本地网络协议对待分析报文的网络协议进行判断,根据判断结果对待分析报文进行处理,获取处理后的待分析报文作为待加密报文;
S3,设定通信安全策略,根据网络协议获取对应的通信安全策略,对待加密报文进行加密,并将加密后的待加密报文反馈至物理网卡。
进一步地,所述一种虚拟专用网络实现方法程序被处理器执行时还实现如下操作:
从数据报文中获取用户信息,根据该用户信息从本地密钥库中获取对应的密钥,根据该密钥对数据报文进行解密,当成功解密时,将成功解密的数据报文作为待分析报文;当解密失败时,重新选择数据报文。
进一步地,所述一种虚拟专用网络实现方法程序被处理器执行时还实现如下操作:
获取本地网络协议,所述网络协议包括:PKI协议以及IKE协议,根据本地网络协议对待分析报文的网络协议进行判断,根据判断结果对待分析报文进行处理,获取处理后的待分析报文作为待加密报文。
进一步地,所述一种虚拟专用网络实现方法程序被处理器执行时还实现如下操作:
当判断结果为PKI协议时,从待分析报文中提取用户标识信息以及用户公钥,所述标识信息包括:用户名以及电子邮件地址,根据该用户标识信息与用户公钥建立新公钥分配至对应的待分析报文,将分配了新公钥的待分析报文作为待加密报文。
进一步地,所述一种虚拟专用网络实现方法程序被处理器执行时还实现如下操作:
当判断结果为IKE协议时,设定报文格式,建立DH算法,根据报文格式对待分析报文进行检测,当待分析报文与报文格式相同时,根据DH算法,通过待分析报文计算出对应的公共密钥,根据该公共密钥对待分析报文进行加密,将加密后的待分析报文作为待加密报文。
进一步地,所述一种虚拟专用网络实现方法程序被处理器执行时还实现如下操作:
所述DH算法为:
S1=Ta^dbmodt,S2=Tb^damodt;
其中,S1代表待分析报文发送端的共享密钥,S2代表待分析报文接收端的共享密钥,且S1=S2,Ta=r^damodt,Tb=r^dbmodt,da是一个范围在[1,t-1]之间的随机数,db是一个范围在[1,t-1]之间的随机数,(r,t)是待分析报文中的数据组成的一个二元组。
进一步地,所述一种虚拟专用网络实现方法程序被处理器执行时还实现如下操作:
获取本地网络协议以及对应的安全策略,根据该根据本地网络协议以及对应的安全策略设定通信安全策略,根据网络协议从通信安全策略中获取对应的安全策略,根据该安全策略对待加密报文进行机密,将加密后的待加密报文反馈至物理网卡。
以上所述仅为本发明的较佳实施方式而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种虚拟专用网络实现方法,其特征在于:包括以下步骤;
S1,从物理网卡中获取数据报文,循环定时获取数据报文请求,当获取到数据报文请求时,将当前数据报文作为待分析报文;
S2,获取本地网络协议,从待分析报文中提取网络协议,根据本地网络协议对待分析报文的网络协议进行判断,根据判断结果对待分析报文进行处理,获取处理后的待分析报文作为待加密报文;
S3,设定通信安全策略,根据网络协议获取对应的通信安全策略,对待加密报文进行加密,并将加密后的待加密报文反馈至物理网卡。
2.如权利要求1所述的一种虚拟专用网络实现方法,其特征在于:步骤S1中,从物理网卡中获取数据报文,循环定时获取数据报文请求,当获取到数据报文请求时,将当前数据报文作为待分析报文,还包括以下步骤,从数据报文中获取用户信息,根据该用户信息从本地密钥库中获取对应的密钥,根据该密钥对数据报文进行解密,当成功解密时,将成功解密的数据报文作为待分析报文;当解密失败时,重新选择数据报文。
3.如权利要求2所述的一种虚拟专用网络实现方法,其特征在于:步骤S2中,获取本地网络协议,从待分析报文中提取网络协议,根据本地网络协议对待分析报文的网络协议进行判断,根据判断结果对待分析报文进行处理,获取处理后的待分析报文作为待加密报文,还包括以下步骤,获取本地网络协议,所述网络协议包括:PKI协议以及IKE协议,根据本地网络协议对待分析报文的网络协议进行判断,根据判断结果对待分析报文进行处理,获取处理后的待分析报文作为待加密报文。
4.如权利要求3所述的一种虚拟专用网络实现方法,其特征在于:根据本地网络协议对待分析报文的网络协议进行判断,根据判断结果对待分析报文进行处理,获取处理后的待分析报文作为待加密报文,还包括以下步骤,当判断结果为PKI协议时,从待分析报文中提取用户标识信息以及用户公钥,所述标识信息包括:用户名以及电子邮件地址,根据该用户标识信息与用户公钥建立新公钥分配至对应的待分析报文,将分配了新公钥的待分析报文作为待加密报文。
5.如权利要求3所述的一种虚拟专用网络实现方法,其特征在于:根据本地网络协议对待分析报文的网络协议进行判断,根据判断结果对待分析报文进行处理,获取处理后的待分析报文作为待加密报文,还包括以下步骤,当判断结果为IKE协议时,设定报文格式,建立DH算法,根据报文格式对待分析报文进行检测,当待分析报文与报文格式相同时,根据DH算法,通过待分析报文计算出对应的公共密钥,根据该公共密钥对待分析报文进行加密,将加密后的待分析报文作为待加密报文。
6.如权利要求5所述的一种虚拟专用网络实现方法,其特征在于:还包括以下步骤,所述DH算法为:
S1=Ta^dbmodt,S2=Tb^damodt;
其中,S1代表待分析报文发送端的共享密钥,S2代表待分析报文接收端的共享密钥,且S1=S2,Ta=r^damodt,Tb=r^dbmodt,da是一个范围在[1,t-1]之间的随机数,db是一个范围在[1,t-1]之间的随机数,(r,t)是待分析报文中的数据组成的一个二元组。
7.如权利要求6所述的一种虚拟专用网络实现方法,其特征在于:步骤S3中,设定通信安全策略,根据网络协议获取对应的通信安全策略,对待加密报文进行加密,并将加密后的待加密报文反馈至物理网卡,还包括以下步骤,获取本地网络协议以及对应的安全策略,根据该根据本地网络协议以及对应的安全策略设定通信安全策略,根据网络协议从通信安全策略中获取对应的安全策略,根据该安全策略对待加密报文进行机密,将加密后的待加密报文反馈至物理网卡。
8.一种虚拟专用网络实现装置,其特征在于,所述一种虚拟专用网络实现装置包括:
获取模块,用于从物理网卡中获取数据报文,循环定时获取数据报文请求,当获取到数据报文请求时,将当前数据报文作为待分析报文;
处理模块,用于获取本地网络协议,从待分析报文中提取网络协议,根据本地网络协议对待分析报文的网络协议进行判断,根据判断结果对待分析报文进行处理,获取处理后的待分析报文作为待加密报文;
加密模块,用于设定通信安全策略,根据网络协议获取对应的通信安全策略,对待加密报文进行加密,并将加密后的待加密报文反馈至物理网卡。
9.一种设备,其特征在于,所述设备包括:存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的一种虚拟专用网络实现方法程序,所述一种虚拟专用网络实现方法程序配置为实现如权利要求1至7任一项所述的一种虚拟专用网络实现方法的步骤。
10.一种介质,其特征在于,所述介质为计算机介质,所述计算机介质上存储有一种虚拟专用网络实现方法程序,所述一种虚拟专用网络实现方法程序被处理器执行时实现如权利要求1至7任一项所述的一种虚拟专用网络实现方法的步骤。
CN201911296706.6A 2019-12-16 2019-12-16 一种虚拟专用网络实现方法、装置、设备及介质 Active CN111147344B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911296706.6A CN111147344B (zh) 2019-12-16 2019-12-16 一种虚拟专用网络实现方法、装置、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911296706.6A CN111147344B (zh) 2019-12-16 2019-12-16 一种虚拟专用网络实现方法、装置、设备及介质

Publications (2)

Publication Number Publication Date
CN111147344A true CN111147344A (zh) 2020-05-12
CN111147344B CN111147344B (zh) 2021-12-24

Family

ID=70518459

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911296706.6A Active CN111147344B (zh) 2019-12-16 2019-12-16 一种虚拟专用网络实现方法、装置、设备及介质

Country Status (1)

Country Link
CN (1) CN111147344B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2025118789A1 (zh) * 2023-12-08 2025-06-12 中电信量子科技有限公司 基于ipsec和量子密钥的双重加密方法、加密网关

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1770767A (zh) * 2005-09-01 2006-05-10 武汉思为同飞网络技术有限公司 对vpn报文进行tcp应用层协议封装的系统及其方法
CN1937571A (zh) * 2005-09-22 2007-03-28 武汉思为同飞网络技术有限公司 在应用层实现vpn协议的系统及其方法
CN1984131A (zh) * 2005-12-14 2007-06-20 北京三星通信技术研究有限公司 分布式IPSec处理的方法
CN101299665A (zh) * 2008-05-19 2008-11-05 华为技术有限公司 报文处理方法、系统及装置
US20130318345A1 (en) * 2012-05-22 2013-11-28 Harris Corporation Multi-tunnel virtual private network
CN106341404A (zh) * 2016-09-09 2017-01-18 西安工程大学 基于众核处理器的IPSec VPN系统及加解密处理方法
US20170359372A1 (en) * 2016-06-14 2017-12-14 Microsoft Technology Licensing, Llc. Detecting volumetric attacks
CN108028748A (zh) * 2016-02-27 2018-05-11 华为技术有限公司 用于处理vxlan报文的方法、设备及系统

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1770767A (zh) * 2005-09-01 2006-05-10 武汉思为同飞网络技术有限公司 对vpn报文进行tcp应用层协议封装的系统及其方法
CN1937571A (zh) * 2005-09-22 2007-03-28 武汉思为同飞网络技术有限公司 在应用层实现vpn协议的系统及其方法
CN1984131A (zh) * 2005-12-14 2007-06-20 北京三星通信技术研究有限公司 分布式IPSec处理的方法
CN101299665A (zh) * 2008-05-19 2008-11-05 华为技术有限公司 报文处理方法、系统及装置
US20130318345A1 (en) * 2012-05-22 2013-11-28 Harris Corporation Multi-tunnel virtual private network
CN108028748A (zh) * 2016-02-27 2018-05-11 华为技术有限公司 用于处理vxlan报文的方法、设备及系统
US20170359372A1 (en) * 2016-06-14 2017-12-14 Microsoft Technology Licensing, Llc. Detecting volumetric attacks
CN106341404A (zh) * 2016-09-09 2017-01-18 西安工程大学 基于众核处理器的IPSec VPN系统及加解密处理方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
吴越等: "基于IPSec的虚拟专用网络密钥交换实现及其安全分析", 《东南大学学报(自然科学版)》 *
蔡思飞等: "基于VPN的安全网关研究", 《太原理工大学学报》 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2025118789A1 (zh) * 2023-12-08 2025-06-12 中电信量子科技有限公司 基于ipsec和量子密钥的双重加密方法、加密网关

Also Published As

Publication number Publication date
CN111147344B (zh) 2021-12-24

Similar Documents

Publication Publication Date Title
CN113067828B (zh) 报文处理方法、装置、服务器、计算机设备及存储介质
US10785019B2 (en) Data transmission method and apparatus
CN111371549B (zh) 一种报文数据传输方法、装置及系统
CN108881224A (zh) 一种配电自动化系统的加密方法及相关装置
CN114650181B (zh) 电子邮件加解密方法、系统、设备及计算机可读存储介质
CN114938312B (zh) 一种数据传输方法和装置
CN110166489B (zh) 一种物联网中数据传输方法、系统、设备及计算机介质
CN111914291A (zh) 消息处理方法、装置、设备及存储介质
CN110611679A (zh) 一种数据传输方法、装置、设备及系统
CN115001705A (zh) 一种基于加密设备的网络协议安全提升方法
CN111586680A (zh) 电网端到端通信加密系统、方法、通信设备和存储介质
WO2025016183A1 (zh) 一种数据处理方法及相关设备
WO2024021958A1 (zh) 通信处理方法及系统、客户端、通信服务端和监管服务端
CN113765900B (zh) 协议交互信息输出传输方法、适配器装置及存储介质
CN113992427B (zh) 基于相邻节点的数据加密发送方法及装置
CN111147344B (zh) 一种虚拟专用网络实现方法、装置、设备及介质
CN114531239A (zh) 多加密密钥的数据传输方法及系统
CN110855628A (zh) 一种数据传输方法及系统
CN118316608A (zh) 数据加密方法、数据解密方法及相关设备
CN114928503B (zh) 一种安全通道的实现方法及数据传输方法
CN107623571B (zh) 一种握手处理方法、客户端及服务器
CN116938448A (zh) 远程主机的请求处理方法、装置、设备及介质
CN110995730B (zh) 数据传输方法、装置、代理服务器和代理服务器集群
CN117997522A (zh) 基于量子会话密钥的数据交互方法、电子设备及介质
CN117998354A (zh) 基于量子会话密钥的数据交互方法、电子设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant