[发明专利]一种基于双协议VPN的实现方法

说明书

技术领域：

本发明涉及信息安全领域，能对专用网的数据实时进行加解密，适用于政府、企业、军队、银行、证券、保险等单位的各种网络。

背景技术：

目前，国际上采用IPSec协议的VPN产品较多，大多数都不同程度存在着：功能集成度低，速度慢，价格高，安全性差、抗集团攻击能力不足的弱点，同时，也都存在VPN使用通用操作系统效率低，各种密钥分发管理费用高，系统日常维护难度大等的问题，这些已直接影响VPN的应用和普及。

发明内容：

本发明是采用密码、工控机板卡、芯片和网络技术，在INTERNET网络上建立由若干用户组成的采用双协议的虚拟专用网，其实施步骤如下：

采用“微内核”专用操作系统的设计思想，建立多种密钥体制的加密系统，采用预共享密钥方式，并在加密算法的保护下秘密进行共享密钥，每个IP数据包一个密钥，建立IPSec标准加密隧道，并选择IP层(第三层)建立专用加密隧道，通过加密隧道管理所有远程VPN网关，建立审计与日志功能，将加密算法、密钥管理、VPN标准协议、VPN专用协议、管理工具和审计日志功能——主要安全模块集成一体，同时，实现硬件驱动的VPN功能模块的自毁功能，来防止VPN系统被“破译者”解剖，提高VPN的安全性能，VPN系统使用软、硬件相结合的方式来实现，具体实现步骤如下：

1、采用微内核技术即：采用通用操作系统中(windows、unix、linux)的通信内核功能，来实现专用操作系统，使用36K的微内核结构，软件内核没有通用操作系统的无关进程、内存的动态分配，网络数据通过微内核结构，转发和调用环节少，所有功能都只提供给VPN应用程序调用，避免了通用操作系统支持通用软硬件调用和驱动带来的重大安全隐患，使得依赖于通用操作系统的黑客无机可乘，有效地提高了VPN的安全性和速度。

2、VPN加密系统以分组加密算法为核心，算法采用了分组迭代的线性与非线性组合(SP)网络结构，分组长度和密钥长度均为128比特，迭代变换的层数为至少8层，每个IP数据包一个密钥，在起点与终点IP地址基础上，建立专用的加密隧道即：VPN专用协议和IPSec标准加密隧道即：VPN标准协议。

3、使用非对称公钥加密技术，运用2048位的公钥算法和杂凑函数用于密钥管理和认证，即：交换对称密钥、起点与终点IP地址之间的认证、两VPN网关之间的认证和计算机和VPN网关之间的认证。

4、采用多种密钥体制，其中：

(1)TK称为加密隧道密钥，长度至少128比特，由网络管理员负责更换，用于身份认证、建立加密隧道；

(2)NK称为网络密钥，长度是128比特，一网一个，固定不变，用于网络分割；

(3)SK称为会话密钥，长度至少为128比特，通过加密的密钥交换，由双方网关独立生成，生存期由时间策略或流量策略控制；

(4)PK称为包密钥，长度至少128比特，加密内网数据包，每包一个，由大于128比特的随机数发生器生成。

5、在VPN的安全网关上选择IP层(第3层)建立专用的加密隧道即：VPN专用协议，内部网数据被封装成IP 17号或99号协议在互联网上传输，加密隧道的协议分为建立加密隧道阶段和加密隧道通信阶段。

6、建立加密遂道阶段，即协商密通信参数、身份认证与密钥交换，通信双方交互发送6个IP包完成此过程，这个过程又分为明通信过程和密通信过程，明通信过程是协商密通信过程所用的密码学参数，密通信过程，即用预共享加密隧道密钥(TK)加密并进行身份认证，在密钥交换上，双方得出共同的加密包密钥(PK)的密钥即：会话密钥(SK)。

7、加密遂道通信阶段，是在这一阶段专用网的数据包被加密传送，对每个数据包生成一个包密钥(PK)，用包密钥(PK)加密专用网的数据包，而包密钥(PK)本身用会话密钥(SK)加密，然后发送到公用网上。

8、采用可堆叠的结构，确保网络的整合与发展，对工作性能无丝毫影响，安全网关堆叠可非常平稳地同时支持几千条通道，可达1Gbps的吞吐量。

9、在VPN安全网关中建立审计与日志功能，采用标准系统日志(Syslog)，进行监控及问题处理，Syslog日志系统按指定的级别记录日志(log)事件或错误信息，VPN网关将Syslog日志系统记录的信息送至控制台屏幕或正在运行系统记录程序的主控计算机，同时，该主控计算机与VPN网关通过IPSec标准协议建立的加密隧道进行信息传输。