基于vpn切換協(xié)議的方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及數(shù)據(jù)通信領(lǐng)域�,具體而言,涉及一種基于VPN切換協(xié)議的方法和裝置����。
【背景技術(shù)】
[0002]目前,虛擬專用網(wǎng)絡(luò)(Virtual Private Network��,簡稱為VPN)相關(guān)技術(shù)及產(chǎn)品目前市場已經(jīng)非常成熟���,目前使用比較多的VPN產(chǎn)品主要以互聯(lián)網(wǎng)協(xié)議安全虛擬專用網(wǎng)絡(luò)(Internet Protocol Security Virtual Private Network�����,簡稱為 IPSec VPN)為主�,通過互聯(lián)網(wǎng)密鑰交換協(xié)議(Internet Key Exchange��,簡稱為IKE)協(xié)議進行密鑰協(xié)商后生成一個數(shù)據(jù)加密密鑰�,并用這個密鑰對傳輸?shù)臄?shù)據(jù)進行封裝和加密��。
[0003]當(dāng)前標準的VPN技術(shù)及產(chǎn)品也存在一定的缺陷����,一些漏洞和缺陷也經(jīng)常被黑客所利用��,比如當(dāng)前IPSec VPN產(chǎn)品中����,主模式由于采用了 DH交換,存在無法抵抗“中間人”攻擊的漏洞���,而野蠻模式完全暴露了協(xié)商者的身份�,加密算法也都使用國際標準的算法�,算法都比較公開。另外��,IKE的第一階段中允許使用預(yù)共享密鑰的身份認證方式���,存在安全性低�����、技術(shù)落后�����、不符合我國相關(guān)密碼政策等問題��,隨著國家對網(wǎng)絡(luò)信息安全的重視程度不斷提高�,對于涉及國家信息安全的涉密企業(yè),當(dāng)前VPN產(chǎn)品已經(jīng)無法滿足我們國家對信息安全及加密技術(shù)的相關(guān)要求�����。
[0004]由于當(dāng)前VPN產(chǎn)品存在如上問題�����,我們國家制定了符合我國信息安全標準的《IPSec VPN技術(shù)規(guī)范》��,此規(guī)范解決了上述問題����,但也只是針對網(wǎng)關(guān)定義的����,客戶端目前沒有一個定義標準,當(dāng)使用客戶端和網(wǎng)關(guān)進行互通時���,同一個客戶端就無法和不同廠家的網(wǎng)關(guān)進彳丁互通��。
[0005]針對現(xiàn)有技術(shù)中基于兩種規(guī)范下的網(wǎng)關(guān)和客戶端之間如何互通的問題����,目前尚未提出有效的解決方案。
【發(fā)明內(nèi)容】
[0006]本發(fā)明的主要目的在于提供一種基于VPN切換協(xié)議的方法和裝置�����,以解決現(xiàn)有技術(shù)中基于兩種規(guī)范下的網(wǎng)關(guān)和客戶端之間如何互通的問題���。
[0007]為了實現(xiàn)上述目的���,根據(jù)本發(fā)明實施例的一個方面,提供了一種基于VPN切換協(xié)議的方法���。根據(jù)本發(fā)明的基于VPN切換協(xié)議的方法包括:發(fā)送報文至網(wǎng)關(guān)����,接收來自網(wǎng)關(guān)的響應(yīng)報文���,解析報文和響應(yīng)報文���,以獲取報文的認證方式和響應(yīng)報文的認證方式�����,判斷響應(yīng)報文的認證方式與報文的認證方式是否相同�,在響應(yīng)報文的認證方式與報文的認證方式相同的情況下�,根據(jù)響應(yīng)報文的認證方式確定傳輸協(xié)議,其中�����,傳輸協(xié)議包括標準IPSec VPN協(xié)議和預(yù)設(shè)IPSec VPN協(xié)議���。
[0008]為了實現(xiàn)上述目的,根據(jù)本發(fā)明實施例的另一方面����,提供了一種基于VPN切換協(xié)議的裝置。根據(jù)本發(fā)明的基于VPN切換協(xié)議的裝置包括:發(fā)送模塊����,用于發(fā)送報文至網(wǎng)關(guān),接收模塊,用于接收來自網(wǎng)關(guān)的響應(yīng)報文�,解析模塊,用于解析報文和響應(yīng)報文�,以獲取報文的認證方式和響應(yīng)報文的認證方式,判斷模塊���,用于判斷響應(yīng)報文的認證方式與報文的認證方式是否相同����,確定模塊�,用于在響應(yīng)報文的認證方式與報文的認證方式相同的情況下,根據(jù)響應(yīng)報文的認證方式確定傳輸協(xié)議���,其中��,傳輸協(xié)議包括標準IPSec VPN協(xié)議和預(yù)設(shè)IPSec VPN協(xié)議���。
[0009]根據(jù)本發(fā)明實施例,通過基于VPN切換協(xié)議的方法���,解決了現(xiàn)有技術(shù)中現(xiàn)有技術(shù)中基于兩種規(guī)范下的網(wǎng)關(guān)和客戶端之間如何互通的問題����,實現(xiàn)了網(wǎng)關(guān)和客戶端互通的目的。
【附圖說明】
[0010]構(gòu)成本申請的一部分的附圖用來提供對本發(fā)明的進一步理解��,本發(fā)明的示意性實施例及其說明用于解釋本發(fā)明��,并不構(gòu)成對本發(fā)明的不當(dāng)限定���。在附圖中:
[0011]圖1是根據(jù)本發(fā)明實施例的基于VPN切換協(xié)議的方法的流程示意圖�����;
[0012]圖2是根據(jù)本發(fā)明實施例的基于VPN切換協(xié)議的裝置的結(jié)構(gòu)示意圖�����。
【具體實施方式】
[0013]需要說明的是���,在不沖突的情況下,本申請中的實施例及實施例中的特征可以相互組合����。下面將參考附圖并結(jié)合實施例來詳細說明本發(fā)明���。
[0014]為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明方案�,下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行清楚����、完整地描述,顯然�����,所描述的實施例僅僅是本發(fā)明一部分的實施例���,而不是全部的實施例����?��;诒景l(fā)明中的實施例�����,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例�,都應(yīng)當(dāng)屬于本發(fā)明保護的范圍���。
[0015]需要說明的是���,本發(fā)明的說明書和權(quán)利要求書及上述附圖中的術(shù)語“第一”�、“第二”等是用于區(qū)別類似的對象��,而不必用于描述特定的順序或先后次序����。應(yīng)該理解這樣使用的數(shù)據(jù)在適當(dāng)情況下可以互換,以便這里描述的本發(fā)明的實施例����。此外,術(shù)語“包括”和“具有”以及他們的任何變形��,意圖在于覆蓋不排他的包含����,例如,包含了一系列步驟或單元的過程��、方法�����、系統(tǒng)��、產(chǎn)品或設(shè)備不必限于清楚地列出的那些步驟或單元��,而是可包括沒有清楚地列出的或?qū)τ谶@些過程����、方法、產(chǎn)品或設(shè)備固有的其它步驟或單元�����。
[0016]實施例1
[0017]根據(jù)本發(fā)明實施例��,提供了一種基于VPN切換協(xié)議的方法的方法實施例�����。
[0018]本發(fā)明實施例還提供了一種基于VPN切換協(xié)議的方法�����。該方法可以通過基于VPN切換協(xié)議的裝置來實現(xiàn)����,但不限于此。
[0019]圖1是根據(jù)本發(fā)明是實施例的基于VPN切換協(xié)議的方法流程示意圖��。如圖1所示,該方法包括步驟如下:
[0020]步驟S101�,發(fā)送報文至網(wǎng)關(guān);
[0021]在上述步驟SlOl中��,在IPSec VPN在主模式的協(xié)商過程中�����,通過終端上的VPN客戶端軟件向網(wǎng)關(guān)發(fā)送報文�����,以使得網(wǎng)關(guān)在得到該報文后作出響應(yīng)����;其中,IPSec VPN協(xié)商有兩種模式�,主模式和野蠻模式;因為安全問題��,本發(fā)明去掉野蠻模式���,支持主模式�。
[0022]步驟S103,接收來自網(wǎng)關(guān)的響應(yīng)報文�;
[0023]在上述步驟S103中,網(wǎng)關(guān)接收到來自終端上的VPN客戶端軟件的報文后���,對上述報文做出響應(yīng),得到響應(yīng)報文��,并將該響應(yīng)報文發(fā)送至終端上的VPN客戶端軟件��,使得終端上的VPN客戶端軟件接收到了上述響應(yīng)報文����,基于此,通過報文和響應(yīng)報文來完成終端的VPN客戶端軟件的傳輸協(xié)議的確定�。
[0024]步驟S105,解析報文和響應(yīng)報文��,以獲取報文的認證方式和響應(yīng)報文的認證方式����;
[0025]在上述步驟S105中,經(jīng)過步驟SlOl和步驟S103得到報文和響應(yīng)報文后��,終端上的VPN客戶端軟件分別對該報文和該響應(yīng)報文進行解析�����,通過解析,該解析具體為:分別對上述報文和上述響應(yīng)報文進行抓包分析�����,終端上的VPN客戶端軟件獲取到上述報文的認證方式和上述響應(yīng)報文的認證方式���,在本發(fā)明中�,獲取到報文和響應(yīng)報文的認證方式是終端確定傳輸協(xié)議的基礎(chǔ)����,所以,只有得到報文和響應(yīng)報文的認證方式�,才能確定出終端的VPN客戶端軟件的傳輸協(xié)議。
[0026]步驟S107�,判斷響應(yīng)報文的認證方式與報文的認證方式是否相同;
[0027]在上述步驟S107中����,經(jīng)過步驟S105得到上述報文和響應(yīng)報文的認證方式,本步驟中�����,判斷上述響應(yīng)報文的認證方式與上述報文的認證方式是否相同,通過判斷認證方式是否相同�,可以得知報文和響應(yīng)報文的傳輸協(xié)議是否相同,進而確定終端的VPN客戶端軟件該使用哪種傳輸協(xié)議�。
[0028]步驟S109,在響應(yīng)報文的認證方式與報文的認證方式相同的情況下�����,根據(jù)響應(yīng)報文的認證方式確定傳輸協(xié)議����;其中�����,傳輸協(xié)議包括標準IPSec VPN協(xié)議和預(yù)設(shè)IPSec VPN協(xié)議���。
[0029]在上述步驟S109中����,通過步驟S107的判斷�,在得到的判斷結(jié)果為上述響應(yīng)報文的認證方式與上述報文的認證方式相同的情況下,說明上述報文所使用的傳輸協(xié)議與上述響應(yīng)報文所使用的傳輸協(xié)議相同����;然后�����,根據(jù)上述響應(yīng)報文的認證方式可以確定傳輸協(xié)議��,之所以可以通過認證方式來確定傳輸協(xié)議是因為���,一種傳輸協(xié)議對應(yīng)的認證方式不同,據(jù)此����,可