虚拟专用网络中安全隐患的解决方法技术

本发明专利技术为虚拟专用网络中安全隐患的解决方法，步骤为：A，防火墙服务器检查VPN隧道内数据包加密部分包头信息的密文是否处于与其明文包头信息中目的IP地址对应的黑白名单中；B，A步结果为否，防火墙服务器按其目的IP地址查询防火墙得出符合条件的FDD分支；C，防火墙服务器将B步查询结果转化成OBDD，保存该OBDD及对应的查询条件；D，防火墙服务器加密并混淆C步所得OBDD各节点发送给VPN服务器；E，VPN服务器解密接收的OBDD得终结点信息，所得信息异或数据包的密文，发送至防火墙服务器；F，防火墙服务器执行防火墙策略，并将A步中的密文添加到与其目的IP地址对应的黑白名单内。防火墙对VPN隧道内的数据流安全执行防火墙策略，且加密数据不被泄漏。

【技术实现步骤摘要】

本专利技术涉及网络安全
,特别是涉及虚拟专用网络(VPN, Virtual PrivateNetwork)中安全隐患的解决方法。
技术介绍
虚拟专用网络VPN (以下简称为VPN)属于ー种远程访问技术，亦即利用公用网络链路架设私有网络。在VPN中安全和隐私是主要的两个技木目标。在现行的VPN技术方案中，VPN的終端主要依靠隧道技术，即用加密的方式来保证通信的安全和私密。然而，因为使用了加密的方法，导致VPN中漫游用户所处的外部网络的防火墙不能有效地检查和管理隧道内的通信数据。如此一来，这些无法被防火墙检查和管理的隧道，就变成了恶意攻击的入口，这ー漏洞也给外部网络内的计算机带来了极大了安全隐患。 为了避免VPN技术给外部网络造成的安全隐患，需要恢复防火墙对VPN隧道内的数据流的策略执行功能。然而，基于安全和隐私两大要求，在达到解决目的的同时还要保证防火墙的安全策略以及隧道内的加密数据不被泄漏。目前存在的解决办法(I)交互加密方法防火墙服务器用其私有密钥将防火墙规则变成密文格式传递给VPN服务器，VPN服务器用其私有密钥对密文进行二次加密，并将要通过隧道发送的数据包的包头信息加密，再传回给防火墙服务器。防火墙服务器将收到的数据包包头的密文用其私有的密钥二次加密，然后执行防火墙的策略。其中加密函数具备如下性质假设防火墙服务器拥有私钥Kl、VPN拥有私钥K2、M为明文、CE为加密函数，则CE (CE (Μ, ΚΙ), K2) =CE (CE (Μ, K2)，Kl)。(2)加强的交互加密方法(2)是在上述方法(I)的基础上加入了符号算法以及异或运算提高了计算速度。在上述方法(I)中存在ー个安全漏洞，即防火墙服务器通过选择性的升级规则库中的规则可以很快的找出与数据包包头匹配的规则，从而使VPN用户信息泄漏。方法(2)中修复了这个安全漏洞并提高了效率，但是方法(2)不得不引入可信任的第三方来防止计算过程中隐私的泄漏。方法(2)中引入的可信任的第三方一方面是加强了计算过程中的安全性，但另一方面也使得VPN的安全性变得被动、受第三方制約。
技术实现思路
本专利技术的目的在于提供ー种，本专利技术的方法安全地完成防火墙对虚拟专用网络隧道内的数据流的策略执行功能，同时还保证了防火墙的安全策略以及隧道内的加密数据不被泄漏，其算法效率较高。本专利技术提供的，在公用网络上建立虚拟专用网络的两个局域网络，漫游用户身处的局域网中具有防火墙服务器，另一局域网具有VPN服务器，本方法包括如下步骤步骤A防火墙服务器检查虚拟专用网络隧道内数据包的加密部分的包头信息的密文是否处于防火墙的与该数据包明文包头信息包含的目的IP地址对应的黑、白名单中；步骤B若数据包的加密部分的包头信息的密文不存在于已有的黒白名单中，则防火墙服务器根据该数据包明文包头信息包含的目的IP地址查询防火墙，得出符合条件的防火墙决策图的分支；步骤C防火墙服务器将步骤B查询的结果转化成有序ニ叉决策图(OBDD，OrderedBinary Decision Diagram),保存有序ニ叉决策图以及与其对应的查询条件，即步骤B中所使用的数据包明文包头信息包含的目的IP地址；步骤D防火墙服务器加密并混淆步骤C得到的有序ニ叉决策图各节点后发送给VPN服务器； 步骤E VPN服务器解密步骤D加密混淆的有序ニ叉决策图，得到终结点信息，将得到的信息异或隧道内数据包的加密部分的包头信息的密文，发送至防火墙服务器；步骤F防火墙服务器执行防火墙策略，并将步骤A中的数据包的加密部分的包头信息的密文添加到与该数据包明文包头信息包含的目的IP地址对应的黒、白名单内。所述步骤A，包括如下步骤步骤Al防火墙服务器捕获隧道内的数据包，分离数据包明文包头信息，提取其中包含的目的IP地址；步骤A2防火墙服务器提取数据包加密部分的包头信息的密文并保存，并与该数据包明文包头信息中目的IP地址对应的防火墙黑、白名单中检索比较，若该数据包加密部分的包头信息的密文存在于黑、白名单内则执行防火墙策略；若该数据包加密部分的包头信息的密文未见于黒、白名単，继续步骤B。执行防火墙策略为若数据包加密部分的包头信息的密文存在于黑名单中则丢弃该数据包；若数据包的加密部分的包头信息的密文存在于白名单中则按数据包明文包头信息包含的目的IP地址转发该数据包。所述步骤B，包括如下步骤步骤BI防火墙服务器根据步骤Al提取的数据包明文包头信息中的目的IP地址进行检索，并保存该查询条件，即步骤Al提取的目的IP地址。若步骤Al提取的数据包明文包头信息中的目的IP地址存在，说明防火墙服务器已检索过该查询条件，跳至步骤D，直接使用与该目的IP地址对应的有序ニ叉决策图；若未检索到步骤Al提取的数据包明文包头信息中的目的IP地址，继续步骤B2 ；步骤B2防火墙服务器检查防火墙服务器更新日志判断防火墙规则库有否更新，若防火墙规则库未更新则直接跳至步骤B4 ;若防火墙规则库已更新，则继续步骤B3 ；步骤B3防火墙服务器将防火墙规则库转化成防火墙决策图(FDD，FirewallDecision Diagram)并更新保存的防火墙决策图FDD ;此步骤B3为现有技术,在此不再赘述；步骤B4防火墙服务器对其保存的防火墙决策图FDD按步骤Al提取的数据包中的明文包头信息中包含的目的IP地址查询，得到分支终结点决策相同且分支中的目的IP地址域内含有数据包明文包头信息中的目的IP地址的分支；此步骤B4为现有技术，在此不再赘述；步骤B5防火墙服务器将步骤B4得到的防火墙决策图分支去除目的IP地址域之后保存。下文步骤Cl将使用本步骤保存的分支。所述步骤C，包括如下步骤步骤Cl防火墙服务器将步骤B5保存的各个防火墙决策图分支中的各个域名下的数域转换成有序ニ叉决策图OBDD ；步骤C2防火墙服务器将步骤B5保存的所有防火墙决策图分支用一个有序ニ叉决策图OBDD表示；步骤C3防火墙服务器保存步骤C2所得到的有序ニ叉决策图OBDD及其对应的查询条件。所述步骤Cl包括 步骤Cll防火墙服务器将步骤B5保存的各个防火墙决策图分支中的各个域名下的数域中的数的ニ进制表示形式改用布尔表达式表示；布尔表达式的变量个数X满足Iog2F log2F+l，该式中F为防火墙决策图FDD中对应数域的大小，X取整数；ー个ニ进制数从左到右的每一位用一个变量表示，不足X位从左补0，即ー个ニ进制数的位数为X，当ニ进进数的某位为O则该位变量取非；步骤C12防火墙服务器将步骤Cll所得的各个数的布尔表达式转换成有序ニ叉决策图0BDD，对同一分支同一域名内的数的有序ニ叉决策图OBDD进行逻辑或操作，得到数域的有序ニ叉决策图OBDD表示形式；其中同一分支下不同域名数域转换成的有序ニ叉决策图OBDD的变量具有不同的变量名；不同分支下城名相同的数域转换成的有序ニ叉决策图OBDD的变量具有相同的变量名和变量序。所述步骤C2包括如下步骤步骤C21防火墙服务器对同一分支不同域名下的数域的有序ニ叉决策图OBDD进行逻辑与操作，得到每个分支的有序ニ叉决策图OBDD ；一个分支转换成的有序ニ叉决策图OBDD中的变量顺序按照防火墙决策图FDD分支从上到下的域名数域的有序ニ叉决策图OBDD变量的顺序排列。步骤C22防火墙服务器对步骤C21得本文档来自技高网...

【技术保护点】
虚拟专用网络中安全隐患的解决方法，在公用网络上建立虚拟专用网络的两个局域网络，漫游用户身处的局域网中具有防火墙服务器，另一局域网具有VPN服务器，其特征在于包括如下步骤：步骤A防火墙服务器检查虚拟专用网络隧道内数据包的加密部分的包头信息的密文是否处于防火墙的与该数据包明文包头信息包含的目的IP地址对应的黑、白名单中；步骤B若数据包的加密部分的包头信息的密文不存在于已有的黑白名单中，则防火墙服务器根据该数据包明文包头信息包含的目的IP地址查询防火墙，得出符合条件的防火墙决策图的分支；步骤C？？防火墙服务器将查询的结果转化成有序二叉决策图，保存有序二叉决策图以及与其对应的查询条件，即步骤B中所使用的数据包明文包头信息包含的目的IP地址；步骤D？？防火墙服务器加密并混淆步骤C得到的有序二叉决策图各节点后发送给VPN服务器；步骤E？VPN服务器解密步骤D加密混淆的有序二叉决策图，得到终结点信息，将得到的信息异或隧道内数据包的加密部分的包头信息的密文，发送至防火墙服务器；步骤F？？防火墙服务器执行防火墙策略，并将步骤A中的数据包的加密部分的包头信息的密文添加到与该数据包明文包头信息包含的目的IP地址对应的黑、白名单内。...

【技术特征摘要】
1.虚拟专用网络中安全隐患的解决方法，在公用网络上建立虚拟专用网络的两个局域网络，漫游用户身处的局域网中具有防火墙服务器，另一局域网具有VPN服务器，其特征在于包括如下步骤 步骤A防火墙服务器检查虚拟专用网络隧道内数据包的加密部分的包头信息的密文是否处于防火墙的与该数据包明文包头信息包含的目的IP地址对应的黑、白名单中； 步骤B若数据包的加密部分的包头信息的密文不存在于已有的黒白名单中，则防火墙服务器根据该数据包明文包头信息包含的目的IP地址查询防火墙，得出符合条件的防火墙决策图的分支； 步骤C 防火墙服务器将查询的结果转化成有序ニ叉决策图，保存有序ニ叉决策图以及与其对应的查询条件，即步骤B中所使用的数据包明文包头信息包含的目的IP地址；步骤D防火墙服务器加密并混淆步骤C得到的有序ニ叉决策图各节点后发送给VPN 服务器； 步骤E VPN服务器解密步骤D加密混淆的有序ニ叉决策图，得到终结点信息，将得到的信息异或隧道内数据包的加密部分的包头信息的密文，发送至防火墙服务器； 步骤F 防火墙服务器执行防火墙策略，并将步骤A中的数据包的加密部分的包头信息的密文添加到与该数据包明文包头信息包含的目的IP地址对应的黒、白名单内。2.根据权利要求I所述的虚拟专用网络中安全隐患的解决方法，其特征在于 所述步骤A，包括如下步骤 步骤Al防火墙服务器捕获隧道内的数据包，分离数据包明文包头信息，提取其中包含的目的IP地址； 步骤A2防火墙服务器提取数据包加密部分的包头信息的密文并保存，并与该数据包明文包头信息中目的IP地址对应的防火墙黑、白名单中检索比较，若该数据包加密部分的包头信息的密文存在于黑、白名单内则执行防火墙策略；若该数据包加密部分的包头信息的密文未见于黒、白名単，继续步骤B ； 执行防火墙策略为若数据包加密部分的包头信息的密文存在于黑名单中则丢弃该数据包；若数据包的加密部分的包头信息的密文存在于白名单中则按数据包明文包头信息包含的目的IP地址转发该数据包。3.根据权利要求2所述的虚拟专用网络中安全隐患的解决方法，其特征在于 所述步骤B，包括如下步骤 步骤BI防火墙服务器根据步骤Al提取的数据包明文包头信息中的目的IP地址进行检索，并保存该查询条件；若步骤Al提取的数据包明文包头信息中的目的IP地址存在，说明防火墙服务器已检索过该查询条件，跳至步骤D，直接使用与该目的IP地址对应的有序ニ叉决策图；若未检索到步骤Al提取的数据包明文包头信息中的目的IP地址，继续步骤B2 ； 步骤B2防火墙服务器检查防火墙服务器更新日志判断防火墙规则库有否更新，若防火墙规则库未更新则直接跳至步骤B4 ;若防火墙规则库已更新，则继续步骤B3 ； 步骤B3防火墙服务器将防火墙规则库转化成防火墙决策图，并更新保存的防火墙决策图FDD ； 步骤B4防火墙服务器对其保存的防火墙决策图FDD按步骤Al提取的数据包中的明文包头信息中包含的目的IP地址查询，得到分支终结点决策相同且分支中的目的IP地址域内含有数据包明文包头信息中的目的IP地址的分支； 步骤B5防火墙服务器将步骤B4得到的防火墙决策图分支去除目的IP地址域之后保存。4.根据权利要求3所述的虚拟专用网络中安全隐患的解决方法，其特征在于 所述步骤C，包括如下步骤 步骤Cl防火墙服务器将步骤B5保存的各个防火墙决策图分支中的各个域名下的数域转换成有序ニ叉决策图； 步骤C2防火墙服务器将步骤B5保存的所有防火墙决策图分支用一个有序ニ叉决策图 表不; 步骤C3防火墙服务器保存步骤C2所得到的有序ニ叉决策图及其对应的查询条件。5.根据权利要求4所述的虚拟专用网络中安全隐患的解决方法，其特征在于 所述步骤Cl包括 步骤Cll防火墙服务器将步骤B5保存的各个防火墙决策图分支中的各个域名下的数域中的数的ニ进制表示形式改用布尔表达式表示；布尔表达式的变量个数X满足Iog2F彡X彡log2F+l，该式中F为防火墙决策图中对应数域的大小，X取整数；一个ニ进制数从左到右的每一位用一个变量表示，不足X位从左补0，即ー个ニ进制数的位数为X，当ニ进制数的某位为O则该位变量取非； 步骤C12防火墙服务器将步骤Cll所得的各个数的布尔表达式转换成有序ニ叉决策图，对同一分支同一域名内的数的有序ニ叉决策图进行逻辑或操作，得到数域的有序ニ叉决策图表示形式； 其中同一分支下不同域名数域转换成的有序ニ叉决策图的变量具有不同的变量名；不同分支下域名相同的数域转换成的有序ニ叉决策图的变量具有相...

【专利技术属性】
技术研发人员：古天龙，何仲春，常亮，徐周波，徐彬彬，
申请(专利权)人：桂林电子科技大学，
类型：发明
国别省市：