[发明专利]一种增强OpenVPN数据安全性的方法和系统

说明书

技术领域

本申请涉及开放式虚拟专用通道(OpenVPN)数据安全领域，由于涉及一种增强OpenVPN数据安全的方法和系统。

背景技术

虚拟专用通道(Virutal Private Network，VPN)是建立在Internet上一种安全数据传输的隧道。OpenVPN是一个开放源码的基于安全套接层(SSL)的VPN系统，和基于点对点隧道协议(PPTP)的VPN相比，其最大的优势在于支持用户数据报协议(UDP)，支持从网络地址转换(NAT)设备后的连接。尤其是在Linux系统中，OpenVPN更容易配置和部署。

此外，OpenVPN具备许多安全特性：在用户空间运行，无须对内核及网络协议栈作修改；初始完毕后以chroot方式运行，放弃根目录(root)权限；使用mlockall防止敏感数据交换到磁盘；允许参与建立VPN的单点使用预设的私钥，第三方证书，或者用户名/密码来进行身份验证；大量使用OpenSSL加密库，以及SSLv3/TLSvl协议。于是OpenVPN技术在安全性上的优势，该技术多被应用于企业网关的通讯。

但是由于OpenVPN的开放性质以及商业经济利益的驱使，近来针对OpenVPN的黑客活动日益猖獗。由于OpenVPN使用安全传输层协议(TLS)握手来组建局域网络，即当客户端和服务器之间传输应用数据之前，需要通过TLS握手协商协议的版本，选择加密算法，选择是否相互进行身份认证，并用公钥加密技术产生一个共享秘密信息以及向各方报告错误。现有的针对OpenVPN的主要的黑客活动为干扰TLS握手数据，截取TLS握手数据，从TSL握手数据中寻找可利用的商业价值，影响企业数据安全。

发明内容

本发明提供了一种增强OpenVPN数据安全的方法和系统，以解决如何避免TLS握手数据被盗取的技术问题。

为解决上述技术问题，本发明实施例提供了一种增强OpenVPN数据安全性的方法，所述方法包括：

在进行安全传输层协议(TLS)握手之前，将TSL握手数据混淆成随机数据后传输。

可选地，所述方法还包括：

在执行完TSL握手，要传输应用数据之前，将该应用数据混淆成随机数据后传输。

可选地，将数据混淆成随机数据，包括：

生成随机的混淆密钥，将所述混淆密钥与被混淆数据进行异或操作。

可选地，所述生成随机的混淆密钥，包括：

生成随机的混淆密钥C0，C0＝SHA1(R+salt)，其中，salt是配置的客户端和服务器端共享的用于彼此建立连接的字符串，字符串长度可设置；R是随机数，长度与salt的长度相同；SHA1()表示通过SHA1加密算法对括号中的数进行加密运算。

可选地，所述方法还包括：

当将数据混淆成随机数据后，在该随机数据的末尾添加长度不超过NUM的随机信息。

可选地，

所述NUM为M0与256相除后的余数；M0为M的第一个字节，为无符号数；

M＝MD5(R+salt)，MD5()表示通过MD5加密算法对括号中的数进行加密运算。

可选地，所述生成随机的混淆密钥，包括：

当被混淆数据的长度小于或等于20个字节时，生成随机混淆密钥C0，C0＝SHA1(R+salt)，其中，salt是配置的客户端和服务器端共享的用于彼此建立连接的字符串，字符串长度可设置；R是随机数，长度与salt的长度相同；SHA1()表示通过SHA1加密算法对括号中的数进行加密运算；

当被混淆数据的长度大于20个字节时，生成随机混淆密钥Cn，Cn＝SHA1(C(n-1))，n＝20，19，...，1。

为解决上述技术问题，本发明实施例还提供了一种增强OpenVPN数据安全性的系统，所述系统包括：

数据混淆模块，用于将安全传输层协议(TLS)握手数据混淆成随机数据；

数据传输模块，用于在进行TLS握手时，传输经过混淆的握手数据。

可选地，

所述数据混淆模块，还用于将应用数据混淆成随机数据；

所述数据传输模块，还用于在执行完TSL握手后，传输经过混淆的应用数据。

可选地，数据混淆模块，用于将数据混淆成随机数据，包括：

生成随机的混淆密钥，将所述混淆密钥与被混淆数据进行异或操作。

可选地，所述数据混淆模块，用于生成随机的混淆密钥，包括：