[发明专利]一种基于双协议VPN的实现方法

权利要求书

1.一种基于双协议VPN的实现方法，其特征在于下：

采用“微内核”专用操作系统的设计思想，建立多种密钥体制的加密系统，采用预共享密钥方式，并在加密算法的保护下秘密进行共享密钥，每个IP数据包一个密钥，建立IPSec标准加密隧道，并选择IP层(第三层)建立专用加密隧道，通过加密隧道管理所有远程VPN网关，建立审计与日志功能，将加密算法、密钥管理、VPN标准协议、VPN专用协议、管理工具和审计日志功能——主要安全模块集成一体，同时，实现硬件驱动的VPN功能模块的自毁功能，来防止VPN系统被“破译者”解剖，提高VPN的安全性能，从而，建立一种双协议的虚拟专用网。

2.根据权利1要求的方法，其特征在于：

采用通用操作系统(如：windows、unix、linux)中的通信内核功能，使用36K的微内核结构，软件内核没有通用操作系统的无关进程、内存的动态分配，网络数据通过微内核结构，转发和调用环节少，所有功能都只提供给VPN应用程序调用，避免了通用操作系统支持通用软硬件调用和驱动带来的重大安全隐患，使得依赖于通用操作系统的黑客无机可乘，有效地提高了VPN的安全性和速度。

3.根据权利1要求的方法，其特征在于：

(1)TK称为加密隧道密钥，长度128比特，由网络管理员负责更换，用于身份认证、建立加密隧道；

(2)NK称为网络密钥，长度是128比特，一网一个，固定不变，用于网络分割；

(3)SK称为会话密钥，长度为128比特，通过加密的密钥交换，由双方网关独立生成，生存期由时间策略或流量策略控制；

(4)PK称为包密钥，长度128比特，加密内网数据包，每包一个，由大于128比特的随机数发生器生成。

4.根据权利1要求的方法，其特征在于：

(1)通过VPN标准协议建立的加密隧道管理所有远程VPN网关，对网络中的VPN网关实行集中管理，降低了管理成本，提高了VPN系统管理的效率和安全等级；

(2)通过VPN专用协议建立的VPN网关之间的加密隧道，能大大提高VPN网关之间的数据传输的保密强度。

5.根据权利1和4要求的方法，其特征在于：

在VPN的安全网关上选择IP层(第3层)建立专用的加密隧道即：VPN专用协议，内部网数据被封装成IP 17号或99号协议在互联网上传输，加密隧道的协议分为建立加密隧道阶段和加密隧道通信阶段。

6.根据权利1和5要求的方法，其特征在于：

(1)建立加密遂道阶段，即协商密通信参数、身份认证与密钥交换，通信双方交互发送6个IP包完成此过程，这个过程又分为明通信过程和密通信过程，明通信过程是协商密通信过程所用的密码学参数，密通信过程，即用预共享加密隧道密钥(TK)加密并进行身份认证，在密钥交换上，双方得出共同的加密包密钥(PK)的密钥即：会话密钥(SK)；

(2)加密遂道通信阶段，是在这一阶段专用网的数据包被加密传送，对每个数据包生成一个包密钥(PK)，用包密钥(PK)加密专用网的数据包，而包密钥(PK)本身用会话密钥(SK)加密，然后发送到公用网上。

7.根据权利1和4要求的方法，其特征在于：

在VPN安全网关中建立审计与日志功能，采用标准系统日志(Syslog)，进行监控及问题处理，Syslog日志系统按指定的级别记录日志(log)事件或错误信息，VPN网关将Syslog日志系统记录的信息送至控制台屏幕或正在运行系统记录程序的主控计算机，该主控计算机与通过IPSec标准协议建立的VPN网关通过加密隧道进行信息传输。

8.根据权利1和7要求的方法，其特征在于：

审计与日志的主要实现原理是，VPN网关运行一个客户端线程，把事件、或错误信息使用UDP的514号端口发送到指定的本地红色网络的主机或通过加密隧道传输到远程主控机上，该主机运行标准的系统日志(Syslog)守护进程，守护进程把信息记录成文件，同时，VPN网关本身的控制台也能显示系统日志(Syslog)信息。