一种路由器的VPN网络连接方法及系统技术方案

技术编号:15395170 阅读:72 留言:0更新日期:2017-05-19 06:45
本发明专利技术公开了一种路由器的VPN网络连接方法及系统,方法包括S100内部网络的路由器和外部网络的客户端相互验证双方身份的合法性;S200内部网络的路由器建立一安全通道与外部网络的客户端连接,并在安全通道上与外部网络的客户端进行密钥协商;S300内部网络的路由器控制自身和外部网络的客户端的通道配置相匹配,并将VPN相关配置参数推送至所述外部网络的客户端,建立VPN网络连接。通过路由器与客户端直接建立VPN连接,使用VPN技术连接至路由器的网络,加密性好、适应性高,比较灵活,不容易被封锁。

Router VPN network connection method and system

The invention discloses a VPN network router connection method and system, method of legitimacy including S100 internal network routers and external network client mutually verify the identity of both parties; establish a secure channel and external network S200 network router connected to the client, and in a secure channel with the external network client key negotiation; S300 internal network and external network router control client channel configuration, and VPN configuration parameters pushed to the external network client, a VPN network connection. Through the router and the client directly establish VPN connection, use VPN technology to connect to the router network, good encryption, high flexibility, flexible, not easy to be blocked.

【技术实现步骤摘要】
一种路由器的VPN网络连接方法及系统
本专利技术涉及通讯
,特别是涉及一种路由器的VPN网络连接方法及系统。
技术介绍
VPN全称VirtualPrivateNetwork,虚拟专用网络。虚拟指的是该网络并不具有传统意义上的实际的物理链路,专用意味着这个网络是私人化的,简单地说就是利用公网链路架设私有网络。得益于隧道技术和其他的安全措施,VPN连接建立后所传输的数据都是被加密保护的,保证了数据的私有性和安全性。常用于企业之间或者个人与公司之间进行安全的访问与数据传输。OpenVPN是一个用于创建虚拟专用网络(VirtualPrivateNetwork)加密通道的免费开源软件。使用OpenVPN可以方便地在家庭、办公场所、住宿酒店等不同网络访问场所之间搭建类似于局域网的专用网络通道。OpenVPN使用方便,运行性能优秀,支持Solaris、Linux2.2+(Linux2.2+表示Linux2.2及以上版本,下同)、OpenBSD3.0+、FreeBSD、NetBSD、MacOSX、Android和Windows2000+的操作系统,并且采用了高强度的数据加密,再加上其开源免费的特性,使得OpenVPN成为中小型企业及个人的VPN首选产品。使用OpenVPN配合特定的代理服务器,可用于访问Youtube、FaceBook、Twitter等受限网站,也可用于突破公司的网络限制。由于OpenVPN支持UDP协议,还可以配合HTTP代理(HTTPProxy)使用,使得只要是能够打开网站或上QQ的地方,就可以访问外部的任何网站或其他网络资源。现有技术中,当前路由器的VPN实现主要通过PPTP、L2TP、IPSec隧道协议。被广泛应用的这三个主流隧道协议在安全性及稳定性受到质疑。PPTPVPN协议:它是点对点隧道协议,使用TCP协议。适合在没有防火墙限制的网络中使用。L2TPVPN协议:它是国际标准隧道协议,没有任何加密措施。L2TP使用UDP协议,大多可以穿透防火墙,适合在有防火墙限制及局域网用户。IPSecVPN协议:基于端对端的安全模式,每一个使用者端在网络上会被当成一个节点,而此联机会一直处于激活的状态。因此,一但使用者端的计算机被黑客或病毒入侵,黑客就可以透过此网络连结进入另一个端点,也就是公司内部。因这样的运作模式,此节点很有可能成为黑客、病毒入侵的管道。因此可以明显知道PPTP协议占用资源少,应用最为广泛,但是通过协议和端口很容易被封锁。L2TP/IPSec更高级的VPN协议,支持各种平台,安全性更高,但是不太灵活。OpenVPN它是一个基于SSL加密的纯应用层的VPN协议,由于其运行在纯应用层,避免了PPTP和L2TP在某些NAT设备后面不被支持的情况,并且可以绕过一些网络的封锁,通俗点讲,基本上能上网的地方就能用OpenVPN。
技术实现思路
本专利技术提供了一种路由器的VPN网络连接方法及系统,其目的是解决上述安全性、灵活性不高的问题,保障传输数据的完整性、私密性和有效性,提高安全性。本专利技术提供的技术方案如下:一种路由器的VPN网络连接方法,包括步骤:S100内部网络的路由器和外部网络的客户端相互验证双方身份的合法性;S200所述内部网络的路由器建立一安全通道与所述外部网络的客户端连接,并在所述安全通道上与所述外部网络的客户端进行密钥协商;S300所述内部网络的路由器控制所述自身和所述外部网络的客户端的通道配置相匹配,并将VPN相关配置参数推送至所述外部网络的客户端,建立VPN网络连接。本专利技术中,通过密钥交换、封装、认证、加密手段在公共网络上建立起私密的隧道,保障传输数据的完整性、私密性和有效性。传统SSLVPN通过端口代理的方法实现,代理路由器根据应用协议的类型(如http,telnet等)做相应的端口代理,客户端与代理路由器之间建立SSL安全连接,客户端与应用路由器之间的所有数据传输通过代理路由器转发。这种实现方式烦琐,应用范围也比较窄;不能对TCP以外的其它网络通信协议进行代理;代理路由器前端的防火墙也要根据代理端口的配置变化进行相应调整。OpenVPN以一种全新的方式实现了SSLVPN的功能,克服了传统SSLVPN的一些缺陷,扩展了应用领域,并且防火墙上只需开放TCP或UDP协议的一个端口。进一步的,所述步骤S100之前还包括步骤:S010预先设置控制脚本至所述内部网络的路由器内核;S020根据预设生成规则生成初始会话密钥;S030根据所述路由器相关信息和所述客户端相关信息,预先设置VPN相关配置参数;其中,所述控制脚本包括开源VPN相关软件和OVPN文件,所述OVPN文件控制启动形式,启动形式包括路由器启动形式、客户端启动形式和同步启动形式;所述客户端相关信息和所述路由器相关信息包括MAC地址、型号、IP地址中的任一一种或多种。本专利技术中,涉及了一种具有OpenVPN隧道协议的路由器,路由器加入OpenVPN更能体现智能家庭路由器这一概念,此功能并非是通过无线路由器连接至其他的VPN路由器建立VPN连接。而是将路由器作为VPN路由器,位于因特网上的终端设备可以使用VPN技术连接至路由器的内网。路由器内核里有OpenVPN隧道协议,将路由器作为VPN路由器,客户端直接通过VPN技术连接该路由器的网络,OpenVPN能够应用在下列操作系统,例如:Linux、Windos、MacOS和Unix等操作系统系统。这里,可以是根据设置的启动形式,路由器先进行认证或者客户端先进行认证,也可以是客户端和路由器同步进行认证。进一步的,所述步骤S200包括步骤:S210所述内部网络的路由器接收所述外部网络的客户端发送的建立安全通道请求,建立一条通道;并在所述通道上发送自身的路由器数字证书至所述外部网络的客户端;S220所述外部网络的客户端接收所述路由器数字证书,并验证所述路由器数字证书是否有效,若是执行步骤S230;否则执行步骤S290;S230所述外部网络的客户端根据所述路由器数字证书的公钥将所述初始会话密钥进行加密;并将所述加密后的会话密钥和客户端用户证书发送至所述内部网络的路由器;S240所述内部网络的路由器接收所述客户端用户证书,并验证所述客户端用户证书是否有效,若是执行步骤S250;否则执行步骤S290;S250所述内部网络的路由器根据第一私钥对所述加密后的会话密钥进行解密,获得解密后的会话密钥;并根据所述客户端用户证书的公钥将所述解密后的会话密钥进行加密;然后将所述二次加密后的会话密钥发送至所述外部网络的客户端;S260所述外部网络的客户端接收所述二次加密后的会话密钥,根据第二私钥对所述二次加密后的会话密钥进行解密,获得二次解密后的会话密钥;并判断所述二次解密后的会话密钥是否与所述初始会话密钥是否一致,若是执行步骤S270;否则执行步骤S290;S270输出终端身份验证通过,双方使用这把初始会话密钥建立安全通道;S280所述内部网络的路由器和所述外部网络的客户端在所述安全通道上进行密钥协商得到加密密钥和MAC密钥;S290输出终端身份验证不通过,退出所述建立安全通道过程;其中,所述内部网络的路由器数字证书包括所述内部网络的路由器的公钥;所述外部网络的客户端用户证书包括所述外部网络的客户本文档来自技高网
...
一种路由器的VPN网络连接方法及系统

【技术保护点】
一种路由器的VPN网络连接方法,其特征在于,包括步骤:S100内部网络的路由器和外部网络的客户端相互验证双方身份的合法性;S200所述内部网络的路由器建立一安全通道与所述外部网络的客户端连接,并在所述安全通道上与所述外部网络的客户端进行密钥协商;S300所述内部网络的路由器控制所述自身和所述外部网络的客户端的通道配置相匹配,并将VPN相关配置参数推送至所述外部网络的客户端,建立VPN网络连接。

【技术特征摘要】
1.一种路由器的VPN网络连接方法,其特征在于,包括步骤:S100内部网络的路由器和外部网络的客户端相互验证双方身份的合法性;S200所述内部网络的路由器建立一安全通道与所述外部网络的客户端连接,并在所述安全通道上与所述外部网络的客户端进行密钥协商;S300所述内部网络的路由器控制所述自身和所述外部网络的客户端的通道配置相匹配,并将VPN相关配置参数推送至所述外部网络的客户端,建立VPN网络连接。2.根据权利要求2所述的路由器的VPN网络连接方法,其特征在于,所述步骤S100之前还包括步骤:S010预先设置控制脚本至所述内部网络的路由器内核;S020根据预设生成规则生成初始会话密钥;S030根据所述路由器相关信息和所述客户端相关信息,预先设置VPN相关配置参数;其中,所述控制脚本包括开源VPN相关软件和OVPN文件,所述OVPN文件控制启动形式,启动形式包括路由器启动形式、客户端启动形式和同步启动形式;所述客户端相关信息和所述路由器相关信息包括MAC地址、型号、IP地址中的任一一种或多种。3.根据权利要求2所述的路由器的VPN网络连接方法,其特征在于,所述步骤S200包括步骤:S210所述内部网络的路由器接收所述外部网络的客户端发送的建立安全通道请求,建立一条通道;并在所述通道上发送自身的路由器数字证书至所述外部网络的客户端;S220所述外部网络的客户端接收所述路由器数字证书,并验证所述路由器数字证书是否有效,若是执行步骤S230;否则执行步骤S290;S230所述外部网络的客户端根据所述路由器数字证书的公钥将所述初始会话密钥进行加密;并将所述加密后的会话密钥和客户端用户证书发送至所述内部网络的路由器;S240所述内部网络的路由器接收所述客户端用户证书,并验证所述客户端用户证书是否有效,若是执行步骤S250;否则执行步骤S290;S250所述内部网络的路由器根据第一私钥对所述加密后的会话密钥进行解密,获得解密后的会话密钥;并根据所述客户端用户证书的公钥将所述解密后的会话密钥进行加密;然后将所述二次加密后的会话密钥发送至所述外部网络的客户端;S260所述外部网络的客户端接收所述二次加密后的会话密钥,根据第二私钥对所述二次加密后的会话密钥进行解密,获得二次解密后的会话密钥;并判断所述二次解密后的会话密钥是否与所述初始会话密钥是否一致,若是执行步骤S270;否则执行步骤S290;S270输出终端身份验证通过,双方使用这把初始会话密钥建立安全通道;S280所述内部网络的路由器和所述外部网络的客户端在所述安全通道上进行密钥协商得到加密密钥和MAC密钥;S290输出终端身份验证不通过,退出所述建立安全通道过程;其中,所述内部网络的路由器数字证书包括所述内部网络的路由器的公钥;所述外部网络的客户端用户证书包括所述外部网络的客户端的公钥。4.根据权利要求2所述的路由器的VPN网络连接方法,其特征在于,所述步骤S300包括步骤:S310所述内部网络的路由器控制所述自身和所述外部网络的客户端的通道配置相匹配;S320所述内部网络的路由器通过所述安全通道接收所述外部网络的客户端发送的网络连接请求;S330所述内部网络的路由器通过所述安全通道将所述VPN相关配置参数发送至所述外部网络的客户端;S340所述外部网络的客户端接收所述VPN相关配置参数,并与所述内部网络的路由器建立VPN网络连接;其中,所述VPN相关配置参数包括服务类型、服务端口、访问站点、最大传输数据阈值中的任意一种或多种。5.根据权利要求1-4任一所述的路由器的VPN网络连接方法,其特征在于,所述步骤S300之后还包括步骤:S400判断所述外部网络的客户端与所述内部网络的路由器VPN连接是否成功,若是执行步骤S500;否则,执行步骤S100;S500所述外部网络的客户端在所述安全通道通过VPN连接所述内部网络的路由器访问内网或外网进行数据传输。6.一种路由器的VPN网络连接系统,其特征在于,包括:内部网络的路由器和至少一台外部网络的客户端;所述内部网络的路由器与所述外部网络的客户端通讯连接;所述内部网络的路由器,验证所述外部网络的客户端身份的合法性;所述外部网络的客户端,验证所述内部网络的路由器身份的合法性;所述内部网络的路由器,建立一安全通道与所述外部网络的客户端连接,并在所述安全通道上与所述外部网络的客户端进行密钥协商;所述内部网络的路由器,控制所述自身和所述外部网络的客户端的...

【专利技术属性】
技术研发人员:刘玉敏
申请(专利权)人:上海斐讯数据通信技术有限公司
类型:发明
国别省市:上海,31

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1