[发明专利]一种基于IPSec的VPN连接方法

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种VPN的连接方法。 

背景技术

信息技术的发展和 Internet 的广泛使用，在给人们生活和工作带来极大方便的同时，却也使人们一直十分担心在基于开放协议平台TCP/IP 的 Internet 上通信数据的安全和计算机系统运行的安全。目前已经有多种安全通信技术应用于互联网中的数据传输，其中在网络层实现的因特网协议安全（IPSec）通信协议由于对应用层完全透明，因此非常适合在现有的 TCP/IP 网络中，通过增加 IPSec 安全模块，而不需修改应用系统、软件的设置，为各类网络应用构建一个通用的安全网络通信环境。

随着网络，尤其是网络经济的发展，企业日益扩张，客户分布日益广泛，合作伙伴日益增多，这种情况促使了企业的效益日益增长，另一方面也越来越凸显传统企业网的功能缺陷：传统企业网基于固定物理地点的专线连接方式已难以适应现代企业的需求于是企业对于自身的网络建设提出了更高的需求，主要表现在网络的灵活性、安全性、经济性、扩展性等方面。在这样的背景下，VPN以其独具特色的优势赢得了越来越多的企业的青睐，令企业可以较少地关注网络的运行与维护，而更多地致力于企业的商业目标的实现。

VPN(Virtual Private Network)是指通过综合利用网络技术、访问控制技术和加密技术，并通过一定的用户管理机制，在公共网络中建立起安全的“专用”网络，保证数据在“加密通道”中进行安全传输的技术。通过隧道(TUNNEL)或虚电路(VIRTUAL CIRCUIT)实现网络互联，支持用户安全管理，能够进行网络监控、故障诊断，具有省钱、选择灵活、速度快、安全性好、实现投资的保护等优点。

在现有技术中，通过对IP层的扩展，使其能够支持IPSec协议，包括网络安全协议(AH，Authentication Header)和封装安全载荷协议(ESP，Encapsulating Security Payload)、密钥管理协议(IKE，Internet Key Exchange)协议。创建一个安全策略时，由安全策略进程负责管理和维护，并激活IKE进程与对方VPN网关协商一个SA (Security Association)。在发送数据时，由输出进程按SA指定的协议封装，并按规定算法加密和生成认证数据；接收数据时，由输入进程按SA指定协议解包，并解密和验证。

可见，现有技术在进行IKE协商时，使用普通的密钥协商方式，容易被破解，安全性不高。

发明内容

本发明提供了一种基于IPSec的VPN连接方法，其特征在于，网络中包括连接了USB Key的发起方A、未连接USB Key的发起方B和响应方，所述USB Key中存储了IPSec连接所需的数字证书，并作为第三方设备与发起方设备电连接，包括以下步骤：

步骤202、发起方A发起到响应方的基于IPSec的连接请求；

步骤204、发起方A使用USB Key中保存的数字证书来和响应方进行IKE协商，建立IPSec连接；

步骤206、发起方B向所述响应方发起IPSec连接请求，进行IKE协商，在协商进行到涉及数字证书的相关信息的传递时，发起方B挂起IKE协商；

步骤208、发起方B获取连接有USB Key的发起方A的IP地址；

步骤210、发起方B向发起方A发送请求，要求获取USB Key中包含的数字证书；

步骤212、发起方A接收到该请求，并发送响应；若发起方A同意该请求，则所述响应中包括同意消息和发起方A所连接的USB Key中的数字证书；若发起方A不同意该请求，则所述响应中包括拒绝消息；

步骤214、发起方B接收所述响应，若响应中包括同意消息，则恢复IKE协商，并使用所述响应中的数字证书进行IKE协商，完成IPSec连接；若响应中包括拒绝消息，则结束IKE协商，IPSec连接失败。

      本发明中，通过读取在USB Key中存储的数字证书的方式来进行IKE协商，避免了普通的密钥协商方式安全性能低下的问题。而且，对于没有USB Key而又有临时接入请求的用户，使用向其他具有USB Key用户发送请求的方式获取数字证书，保证了特殊情况下的连接的建立，兼顾了安全性和易用性。

附图说明