基于VPDN专网的无线通讯方法技术

技术编号:13619939 阅读:108 留言:0更新日期:2016-08-31 11:07
本发明专利技术公开了一种基于VPDN专网的无线通讯方法,由发射端设备的3G模块通过后端路由器进行专网拨号,通过预先在服务端设定的账号、密码与服务端进行chap认证或者pap认证,认证通过后进入专用网络,利用发射端设备中安装的vpn软件通过IKE进行协商,采用国密对称密码SM1分组算法,对密钥协商数据以及报文数据进行加密保护,采用预共享密钥进行终端合法校验、采用DH算法进行密钥交换;采用密码杂凑算法MD5对对称密钥生成以及完整性进行校验;协商完成后建立安全通讯隧道,数据传输通过ipsec esp协议认证算法MD5认证,通过专线传输。本发明专利技术由于采用国密算法,且在vpdn专网通信的基础上实现无线加密通信,安全性高,可用于手机、PDA设备等。

【技术实现步骤摘要】

本专利技术属于通讯
,具体涉及一种基于VPDN专网的无线通讯方法
技术介绍
目前无线通信虽然较有线带来了许多方便,但它在安全性方面也领人担忧,特别是商业领域,如银行、军方对数据的保密性要求很高,无线加密传输刚好弥补了它的不足,目前无线加密传输主要应用在路由行业,路由对路由通过点对点或者一点对多点数据传输,然而在手持设备上无法嵌入路由进行通信,而且目前android系统所用到的加密算法主要包含对称性加密(DES、AES)、非对称性加密,其算法公开、计算量小、安全性得不到保证,易被人拦截、破解。
技术实现思路
本专利技术的目的是提供一种基于VPDN专网的无线通讯方法,是在安全传输数据之后采用国密算法进行密钥协商,协商完成建立安全通讯隧道后,采用ESP安全封装协议进行数据传输。本专利技术是这样实现的:一种基于VPDN专网的无线通讯方法,由发射端设备的3G模块通过后端路由器进行专网拨号,通过预先在服务端设定的账号、密码与服务端进行chap认证或者pap认证,认证通过后进入专用网络,利用发射端设备中安装的vpn软件通过IKE进行协商,采用国密对称密码SM1分组算法,对密钥协商数据以及报文数据进行加密保护,采用预共享密钥进行终端合法校验、采用DH算法进行密钥交换;采用密码杂凑算法MD5对对称密钥生成以及完整性进行校验;协商完成后建立安全通讯隧道,数据传输通过ipsec esp协议
认证算法MD5认证,通过专线传输。进一步地,所述报文数据通过UDP协议500端口传输的过程,包括两个阶段,第一阶段为身份认证,采用公私钥密钥对方式,发射端设备与接收端设备根据对称密码算法SM1预先配置好对方的公钥和自身的私钥;第二阶段为消息的完整性检验和数据源的身份验证,利用hash进行,将hash载荷添加在ISAKMP头之后,使用对称密码算法的CBC模式对ISAKMP之后的载荷nonce、ID进行加密。进一步地,所述安全通讯隧道中信号发送由虚拟网卡驱动,所述虚拟网卡驱动由Tun/tap驱动。进一步地,所述Tun/tap驱动实现虚拟网卡驱动的处理为:当打开一个tun/tap设备时,open函数将调用tun_chr_open()函数,以完成初始化过程,包括设置网卡驱动的初始化函数、网络缓冲区链表的初始化以及等待队列的初始化;Tun/tap驱动中网卡的注册被嵌入了字符驱动的ioct l例程中,通过对字符设备文件描述符利用自定义的ioctl设置标志TUNSETIFF完成网卡注册;使用ioctl()函数操作字符设备文件描述符,将调用字符设备中tun_chr_ioctl来设置已经open好的tun/tap设备,如果设置标志为TUNSETIFF,则调用tun_set_iff()函数,对网卡驱动进行注册register_netdev(&tun->dev),网卡驱动的各个处理例程的挂接在open操作时由tun_chr_open()函数初始化好了。进一步地,Tun/tap设备的工作过程为:Tun/tap设备驱动通过字符设备文件来实现数据从用户区获取,发送数据时tun/tap设备是通过字符设备发送至用户区,再由用户区程序通过其他渠道发送。进一步地,tun/tap设备发送数据过程为:tun/tap网卡的程序经过协议栈把数据传送给驱动程序,驱动程序调用注册好的hard_start_xmit函数发送,hard_start_xmit函数又会调用tun_net_xmit函数,skb被加入到skb链表,
然后唤醒被阻塞的使用tun/tap设备字符驱动读数据的进程,接着tun/tap设备的字符驱动部分调用其tun_chr_read()过程读取skb链表,并将每一个读到的skb发往用户区,完成虚拟网卡的数据发送。进一步地,Tun/tap设备接收数据过程为:当使用write()系统调用向tun/tap设备的字符设备文件写入数据时,tun_chr_write函数将被调用,使用tun_get_user从用户区接受数据,并将数据存入skb中,然后调用关键的函数netif_rx(skb)将skb送给tcp/ip协议栈处理,完成虚拟网卡的数据接收。进一步地,所述发射端设备包括手机、PDA设备。与现有技术相比,本专利技术的有益效果:在安全传输数据之后采用国密算法进行密钥协商,协商完成建立安全通讯隧道后,采用ESP安全封装协议进行数据传输;由于采用国密算法即国家密码局认定的国产密码算法安全性高,不易被破解;另外在vpdn专网通信的基础上实现无线加密通信,安全性更高,可用于在手机、PDA设备等;其通过直接连接到路由器,使用方便。附图说明为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图只是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1是本专利技术基于VPDN专网的无线通讯系统结构示意图;图2是本专利技术Tun/tap驱动程序示意图;图3是本专利技术Tun/tap驱动中实现的网卡驱动的处理例程;图4是本专利技术Tun/tap设备发送和接收数据程序示意图。具体实施方式为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例只用以解释本专利技术,并不用于限定本专利技术。需要说明的是,当元件被称为“固定于”或“设置于”另一个元件,它可以直接在另一个元件上或者可能同时存在居中元件。当一个元件被称为是“连接于”另一个元件,它可以是直接连接到另一个元件或者可能同时存在居中元件。还需要说明的是,本专利技术实施例中的左、右、上、下等方位用语,仅是互为相对概念或是以产品的正常使用状态为参考的,而不应该认为是具有限制性的。如图1所示,一种基于VPDN专网的无线通讯系统,包括PDA设备1,3G站点2、路由器3和服务器4。PDA设备1的3G模块通过3G站点2与路由器4相连,PDA设备1进行专网拨号时,通过在PDA设备1上输入账号、密码的方式在服务端4进行chap认证或者pap认证,当认证通过后,进入专用网络,在专用网络的基础上进行vpn ipsec协议封装。PDA设备1中安装的vpn软件通过IKE进行协商,采用国密对称密码SM1分组算法,对密钥协商数据以及报文数据进行加密保护,采用预共享密钥进行终端合法校验、采用DH算法进行密钥交换;采用密码杂凑算法MD5对对称密钥生成以及完整性进行校验。在安全传输数据之后采用国密算法进行密钥协商,协商完成建立安全通讯隧道后,采用ESP安全封装协议进行数据传输。密钥协商的主要功能就是在通信双方协商SA;在传输数据之前,需经过密钥协商。密钥交换技术主要用于协商、建立、修改和删除安全联盟。报文是通过UDP协议500端口进行传输,其过程分为两个阶段,第一阶段用于保护PDA设备1与接收端设备之间的通讯而使用的共享策略和密钥,实现通讯双方的身份认证和密钥协商,得到工作密钥,建立ISAKMP SA,第二阶段
是使用第一阶段建立的ISAKMP SA建立IPSEC SA,确定通讯双方的IPSEC安全策略和会话密钥。第一阶段身份认证采用公私本文档来自技高网
...

【技术保护点】
一种基于VPDN专网的无线通讯方法,其特征在于,由发射端设备的3G模块通过后端路由器进行专网拨号,通过预先在服务端设定的账号、密码与服务端进行chap认证或者pap认证,认证通过后进入专用网络,利用发射端设备中安装的vpn软件通过IKE进行协商,采用国密对称密码SM1分组算法,对密钥协商数据以及报文数据进行加密保护,采用预共享密钥进行终端合法校验、采用DH算法进行密钥交换;采用密码杂凑算法MD5对对称密钥生成以及完整性进行校验;协商完成后建立安全通讯隧道,数据传输通过ipsec esp协议认证算法MD5认证,通过专线传输。

【技术特征摘要】
1.一种基于VPDN专网的无线通讯方法,其特征在于,由发射端设备的3G模块通过后端路由器进行专网拨号,通过预先在服务端设定的账号、密码与服务端进行chap认证或者pap认证,认证通过后进入专用网络,利用发射端设备中安装的vpn软件通过IKE进行协商,采用国密对称密码SM1分组算法,对密钥协商数据以及报文数据进行加密保护,采用预共享密钥进行终端合法校验、采用DH算法进行密钥交换;采用密码杂凑算法MD5对对称密钥生成以及完整性进行校验;协商完成后建立安全通讯隧道,数据传输通过ipsec esp协议认证算法MD5认证,通过专线传输。2.根据权利要求1所述的基于VPDN专网的无线通讯方法,其特征在于,所述报文数据通过UDP协议500端口传输的过程,包括两个阶段,第一阶段为身份认证,采用公私钥密钥对方式,发射端设备与接收端设备根据对称密码算法SM1预先配置好对方的公钥和自身的私钥;第二阶段为消息的完整性检验和数据源的身份验证,利用hash进行,将hash载荷添加在ISAKMP头之后,使用对称密码算法的CBC模式对ISAKMP之后的载荷nonce、ID进行加密。3.根据权利要求1所述的基于VPDN专网的无线通讯方法,其特征在于,所述安全通讯隧道中信号发送由虚拟网卡驱动,所述虚拟网卡驱动由Tun/tap驱动。4.根据权利要求3所述的基于VPDN专网的无线通讯方法,其特征在于,所述Tun/tap驱动实现虚拟网卡驱动的处理例程为:当打开一个tun/tap设备时,open函数将调用tun_chr_open()函数,以完成初始化过程,包括设置网卡驱动的初始化函数、网络缓冲区链表的初始化以及等待队列的初始化;Tun/tap驱动中网卡的注册被嵌入了字符驱动的ioct1例程中,通过对字符设备文件描述符利用自定义的ioct1设置标志TUNSETIFF完成网卡注册;使用ioct1()函数操作字符设备文件描述符,将调用...

【专利技术属性】
技术研发人员:刘连生
申请(专利权)人:深圳市融钞科技有限公司
类型:发明
国别省市:广东;44

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1