一种点对点国密隧道建立方法及装置制造方法及图纸

本发明专利技术公开了一种点对点国密隧道建立方法及装置，包括：安装总部端的SSL VPN服务器A，并为SSL VPN服务器A配备唯一标识；安装分部端SSL VPN服务器B，为SSL VPN服务器B配置一个分部局域网内部IP地址，使其可以访问因特网；用户通过身份验证后获取访问控制权限，可通过SSL VPN服务器间的隧道实现加密数据安全传输。通过SSL VPN技术实现企业组网，通过SSL加密技术保护企业内网不被攻击，内部资源不被窃取；建立了点对点国密隧道，使得企业能够在公共网络上通过虚拟专用隧道实现总部与分部、移动客户端之间安全的网络连接与加密数据传输。

A point-to-point national secret tunnel construction method and device

【技术实现步骤摘要】
一种点对点国密隧道建立方法及装置
本专利技术涉及国密算法
，尤其涉及一种点对点国密隧道建立方法及装置。
技术介绍
随着互联网和电子商务的飞速发展，越来越多的员工、客户、供应商和合作伙伴等希望能够随时随地访问公司内部资源。但是用户身份的合理性、远端及移动端访问内网的安全性等问题都可能产生一定程度的安全隐患。因此，通过加密实现安全入网的SSLVPN（安全套接层虚拟专网）技术提供了一种安全机制，保护企业内网不被攻击，内部资源不被窃取。VPN（VirtualPrivateNetwork）即虚拟专用网络，指在公共通信基础设施上构建虚拟专用或私有网。本专利技术中VPN主要用于企业组网，具体指连接因特网上不同分布的企业内部网间建立的专有通讯线路。为保证VPN能够实现企业总部与分部、移动客户端之间安全的网络连接与数据传输，一般VPN需采用专用的网络加密和通信协议，使得企业能够在公共网络上建立虚拟的加密通道，构筑安全的虚拟专网。SSL（SecureSocketsLayer）即安全套接协议层，是一种加密传输技术协议。SSL的安全功能组件包括三部分：认本文档来自技高网...

【技术保护点】
1.一种点对点国密隧道建立方法及装置，包括；/n总部端SSL VPN服务器A，并为SSL VPN服务器A配备唯一标识；/n分部端SSL VPN服务器B，为SSL VPN服务器B配置一个分部局域网内部IP地址并使其可以访问因特网；/n移动客户端，移动客户端程序CCA创建一个虚拟网卡，SSL VPN服务器A会给移动客户端分配一个IP地址；移动客户端程序CCA与SSL VPN服务器A间的隧道实现加密数据安全传输；/n总部端与分部端国密隧道建立包括：/n基于通信协议版本列表和SM2_SM4_SM3加密算法，分部端SSL VPN服务器B向总部端SSLVPN服务器A发送访问请求及随机数；/n总部端SSL ...

【技术特征摘要】
1.一种点对点国密隧道建立方法及装置，包括；
总部端SSLVPN服务器A，并为SSLVPN服务器A配备唯一标识；
分部端SSLVPN服务器B，为SSLVPN服务器B配置一个分部局域网内部IP地址并使其可以访问因特网；
移动客户端，移动客户端程序CCA创建一个虚拟网卡，SSLVPN服务器A会给移动客户端分配一个IP地址；移动客户端程序CCA与SSLVPN服务器A间的隧道实现加密数据安全传输；
总部端与分部端国密隧道建立包括：
基于通信协议版本列表和SM2_SM4_SM3加密算法，分部端SSLVPN服务器B向总部端SSLVPN服务器A发送访问请求及随机数；
总部端SSLVPN服务器A响应分部端SSLVPN服务器B的访问请求并基于国密证书进行身份认证；
分部端SSLVPN服务器B回应总部端SSLVPN服务器A的身份认定并与部端SSLVPN服务器A进行秘钥协商；
总部端SSLVPN服务器A回应分部端SSLVPN服务器B的秘钥协定并验证通过握手协议建立点对点国密隧道；
总部端与移动端国密隧道建立包括：
基于通信协议版本列表和SM2_SM4_SM3加密算法，移动客户端向总部端SSLVPN服务器A发送访问请求及随机数；
总部端SSLVPN服务器A响应移动客户端的访问请求并基于国密证书进行身份认证；
移动客户端回应总部端SSLVPN服务器A的身份认定并与部端SSLVPN服务器A进行秘钥协商；
总部端SSLVPN服务器A回应移动客户端的秘钥协定并验证通过握手协议建立点对点国密隧道。


2.根据权利要求1所述的一种点对点国密隧道建立方法，其特征在于：总部端与分部端国密隧道建立步骤包括：
分部端SSLVPN服务器B转发访问请求至总部端SSLVPN服务器A并告知其所支持的通信协议版本列表和SM2_SM4_SM3加密算法；另外，分部端SSLVPN服务器B还生成一个随机数a传送给总部端SSLVPN服务器A用于生成主密钥；
总部端SSLVPN服务器A收到分部端SSLVPN服务器B的请求后发送其国密证书及验证分部端SSLVPN服务器B身份的国密证书请求；同时，总部端SSLVPN服务器A生产一个随机数b发送至分部端SSLVPN服务器B；总部端SSLVPN服务器A与分部端SSLVPN服务器B使用随机数a和随机数b生成主秘钥；
分部端SSLVPN服务器B对总部端SSLVPN服务器A的国密证书验证无误后，分部端SSLVPN服务器B向总部端SSLVPN服务器A发送：基于SM2算法产生的预主秘钥、表示随后信息都将使用双方协定加密方式发送的编码改变通知、表示分部端SSLVPN服务器B握手阶段结束的握手结束通知；
总部端SSLVPN服务器A在收到分部端SSLVPN服务器B传来的预主密钥之后使用其私钥对该加密数据进行解密及数据验证，总部端SSLVPN服务器A生成工作密钥后给分部端SSLVPN服务器B发送编码改变通知并告诉分部端SSLVPN服务器B已经切换到协商过的国密加密套件状态并准备使用加密套件和工作密钥加密数据；总部端SSLVPN服务器A会用工作密钥加密结束消息发送给分部端SSLVPN服务器B以验证通过握手协议建立的加密通道。


3.根据权利要求2所述的一种点对点国密隧道建立方法，其特征在于：总部端与移动端国密隧道建立步骤包括：
移动客户端转发访问请求至总部端SSLVPN服务器A并告知其所支持的通信...

【专利技术属性】
技术研发人员：林艺芳，
申请(专利权)人：上海缔安科技股份有限公司，
类型：发明
国别省市：上海;31