[发明专利]一种终端设备接入VPN设备的方法

说明书

技术领域

本发明涉及信息安全密码技术领域，尤其是一种终端设备安全接入VPN设备的方法。

背景技术

由VPN设备构建的VPN网络能够有效的保证数据在网络中传输的安全性，随着我国信息化产业高速全面发展，VPN网络作为一种有效的保证方法，其应用更加广泛，在特殊的场合对其终端接入也提出了更加严格的安全要求。

在网络安全中特别是物联网的网络安全中，终端的安全接入是非常重要的一环，在物联网终端部署的地点，一般处于无人值守状态，非法人员可以比较容易的仿冒终端然后接入VPN设备，在这种情况下，VPN设备无法对接入的终端进行认证就容易出现安全问题，因此在无人值守的终端设备接入VPN网络的应用环境中必须对接入的终端进行身份认证，从而保证接入安全。

VPN网络在运行的过程中能够有完善的加密方法、认证方法、日志记录等，能够有效的保证网络数据传输的可靠性和保密性，但如果接入的终端设备本身就是非法的，则无法对终端做成有效的甄别，非法终端能够接入VPN网络对网络和服务器进行攻击，因此在这种情况下对接入的终端设备进行身份认证，能够有效的保证网络的接入安全，增强系统的安全性。

发明内容

本发明所要解决的技术问题是：为解决上述VPN网络中终端设备的接入安全问题，保证接入VPN网络的设备的合法性，本发明提供一种其涉及一种终端设备安全接入VPN网络的方法，在终端设备接入VPN网络时，VPN设备采用对称算法对接入的终端设备进行认证，从而防止非法的终端设备接入VPN网络，保证终端接入的安全性。

本发明采用的技术方案如下：

一种终端设备接入VPN设备的方法包括：

步骤1：密码服务器对包括有安全模块的终端设备进行初始化，注入主控密钥给安全模块，安全模块生成唯一的密文分散因子MSi和应用密钥；密码服务器对VPN设备进行初始化，注入终端设备对应的主控密钥给VPN设备；

步骤2：当终端设备接入VPN设备时，由VPN设备主动进行终端设备安全认证。

所述步骤1中，安全模块生成唯一的密文分散因子MSi和应用密钥具体步骤是：

步骤11：安全模块使用主控密钥对安全模块唯一对应的分散因子Si进行密钥分散，生成应用密钥PM；

步骤12：安全模块使用主控密钥对Si进行加密生产密文分散因子MSi。    

所述步骤2中，当终端设备接入VPN设备时，由VPN设备主动进行终端设备安全认证具体过程是：

步骤21：VPN设备生成随机数R并发送给终端设备的安全模块；

步骤22：安全模块使用应用密钥PM对随机数R进行n次密钥分散得到工作密钥KM，使用所述工作密钥KM对R进行加密生成MR；

步骤23：安全模块将密文分散因子MSi和MR发送给VPN设备；

步骤24：VPN设备使用主控密钥对MSi进行解密，得到分散因子Si’;并通过主控密钥对分散因子Si’进行密钥分散生成应用密钥PM’；

步骤25：VPN设备使用应用密钥PM’和R进行密钥分散生成工作密钥KM’；

步骤26：VPN设备使用工作密钥KM’对收到的MR进行解密，得到R’；

步骤27：比较VPN设备比较R’和R，如果R’=R时，允许该终端设备接入；否则，拒绝该终端设备接入。

所述密钥分散是采用异或算法或者国际通用算法，所述加密或者解密采用国际通用算法。

所述加密或者解密采用DES算法、AES算法、SM1算法或SM4算法。

所述每个安全模块的分散因子Si互不相同：

所述步骤5中发送时通过无线或者有线模式发送。

所述密码服务器属于VPN设备或者不属于VPN设备。

所述包括安全模块的终端设备其接入方式是TF卡形式或是USB形式。

综上所述，由于采用了上述技术方案，本发明的有益效果是：

1、                在终端设备接入时，VPN设备首先对接入设备进行身份认证工作，只有在认证通过的情况下才允许终端设备接入VPN网络，然后通过VPN网络传输数据。一旦终端设备和VPN设备断开，重新接入网络时需要重新进行认证，确保终端接入安全，保证终端合法性，防止非法终端接入。

2、                在终端设备上提供连接访问安全模块的接口，并提供和安全模块通信的软件接口，在接入认证过程中终端设备需要通过接口和安全模块交互数据。