基于IPSec协议的VPN终端通信系统及方法技术方案

本申请提供一种基于IPSec协议的VPN终端通信系统及方法，能够解决相关技术中基于IPSec协议建立的VPN隧道在动态NAT的环境中难以实现通信的问题，从而提高VPN隧道中信息数据传输的准度和效率。该VPN终端通信系统包括第一VPN终端、第二VPN终端和VPN中心端；第一VPN终端用于：基于第一密钥加密数据以生成数据包，并向VPN中心端发送数据包；VPN中心端用于：获取数据包中的第一安全参数索引和公网IP，在确认公网IP与预设的第一公网IP不同时，更新第一公网IP；VPN中心端还用于：基于第一密钥，解密数据包中的加密数据；基于第二密钥，加密第一通信数据；向第二VPN终端发送加密后的第一通信数据；第二VPN终端用于：基于第二密钥，解密加密后的第一通信数据。解密加密后的第一通信数据。解密加密后的第一通信数据。

【技术实现步骤摘要】
基于IPSec协议的VPN终端通信系统及方法


[0001]本申请涉及通信领域，尤其涉及一种基于IPSec协议的VPN终端通信系统及方法。

技术介绍

[0002]随着网络空间的不断扩大，IPv4地址即将耗尽。NAT(英文：Network Address Translation；中文：网络地址转换)技术使得私有网络内部的多个设备可以使用一个外部IP地址接入公共网络，极大的减缓了IPv4地址耗尽的速度。
[0003]IPSec VPN是利用IPSec(英文：Internet Protocol Security；中文：互联网安全协议)协议来实现远程接入的一种VPN(英语：Virtual Private Network；中文：虚拟专用网络)技术。IPSec VPN基于密码技术，在公网上通过处于两个私有网络的VPN中心端和VPN终端为该两个私有网络构建安全可靠的通信通道(隧道)。
[0004]IPSec VPN是一种比较成熟的技术，但是，当连接于不同VPN终端下的终端设备处于使用NAT技术的不同的局域网内时，不同局域网内部的终端设备的网络地址可能存在冲突(即两个不同VPN终端下的终端设备的局域网内部IP地址相同)，这会导致VPN中心端不能识别不同VPN终端下的终端设备。

技术实现思路

[0005]本申请实施例提供一种基于IPSec协议的VPN终端通信系统及方法，能够解决相关技术中基于IPSec协议建立的VPN隧道在动态NAT的环境中难以实现通信的问题，从而提高VPN隧道中信息数据传输的准度和效率。
[0006]为达到上述目的，本申请采用如下技术方案：
[0007]第一方面，提供一种基于IPSec协议的VPN终端通信系统，包括第一VPN终端、第二VPN终端和VPN中心端；其中，所述VPN中心端设有数据库，所述数据库关联存储有第一密钥、第一安全参数索引、第一局域网内部IP地址和第一公网IP、以及关联存储有第二密钥、第二安全参数索引、第二局域网内部IP地址和第二公网IP；所述第一VPN终端用于：基于所述第一密钥加密数据以生成数据包，并向所述VPN中心端发送所述数据包；其中，所述数据包中包括第一安全参数索引；所述数据包括所述第二局域网内部IP地址以及与第二终端设备通信的第一通信数据，所述第二终端设备连接于第二VPN终端；所述VPN中心端用于：获取所述数据包中的第一安全参数索引和公网IP，在确认所述公网IP与预设的第一公网IP不同时，更新所述第一公网IP；所述VPN中心端还用于：基于所述第一密钥，解密所述数据包中的加密数据；基于所述第二密钥，加密所述第一通信数据；向所述第二VPN终端发送加密后的所述第一通信数据；所述第二VPN终端用于：基于所述第二密钥，解密加密后的所述第一通信数据。
[0008]基于该VPN终端通信系统，VPN终端的公网IP与安全参数索引关联存储，当动态NAT的环境中VPN终端的公网IP发生变化时，交互的数据包中安全参数索引没有变化，进而可以根据根据安全参数索引更新VPN终端的公网IP，可以解决相关技术中基于IPSec协议建立的
VPN隧道在动态NAT的环境中难以实现通信的问题，从而提高VPN隧道中信息数据传输的准度和效率。
[0009]可选地，所述第二VPN终端还用于：基于所述第二密钥，加密第一局域网内部IP地址以及与第一终端设备通信的第二通信数据以生成反馈数据包；向所述VPN中心端发送所述反馈数据包；其中，所述反馈数据包包括所述第二安全参数索引，所述第一终端设备连接于所述第一VPN终端；所述VPN中心端还用于：获取所述反馈数据包中的所述第二安全参数索引和公网IP；在确认该公网IP与预设的第二公网IP不同时，更新所述第二公网IP；基于所述第二密钥，解密所述反馈数据包以获取所述第一局域网内部IP地址以及所述第二通信数据；基于所述第一密钥，加密所述第二通信数据；向所述第一VPN终端发送加密后的所述第二通信数据；所述第一VPN终端还用于：基于所述第一密钥，解密加密后的所述第二通信数据。
[0010]可选地，所述第一VPN终端和第二VPN终端还用于向所述VPN中心端发送注册申请；其中，所述注册申请包括所述第一VPN终端和第二VPN终端的密钥协商请求、第一终端设备和第二终端设备的局域网内部IP地址分配请求、所述第一VPN终端的第一公网IP和所述第二VPN终端的第二公网IP；所述VPN中心端还用于：基于IPSec协议与所述第一VPN终端以及所述第二VPN终端密钥协商，获取第一密钥、与所述第一密钥对应的第一安全参数索引、第二密钥以及与所述第二密钥对应的第一安全参数索引；为所述第一终端设备和所述第二终端设备对应分配第一局域网内部IP地址和第二局域网内部IP地址；将所述第一密钥、所述第一安全参数索引、所述第一局域网内部IP地址和所述第一公网IP、以及所述第二密钥、所述第二安全参数索引、所述第二局域网内部IP地址和所述第二公网IP关联存储于所述数据库内；所述VPN中心端还用于：向所述第一VPN终端、所述第二VPN终端对应发送所述第一局域网内部IP地址和所述第二局域网内部IP地址；所述第一VPN终端还用于为所述第一终端设备分配所述第一局域网内部IP地址；所述第二VPN终端还用于为所述第二终端设备分配所述第二局域网内部IP地址。
[0011]可选地，所述VPN中心端还用于从IP地址池中选择一IP地址作为第一局域网内部IP地址，并在所述IP地址池中删除所述IP地址。
[0012]可选地，所述VPN中心端还用于从IP地址池中选择一IP地址作为第二局域网内部IP地址，并在所述IP地址池中删除所述IP地址。
[0013]可选地，所述VPN中心端还用于确认在预设时间段内没有接收到所述第一VPN终端的数据时，删除所述第一密钥、所述第一安全参数索引和所述第一公网IP。
[0014]可选地，所述VPN中心端还用于确认在预设时间段内没有接收到所述第二VPN终端的数据时，删除所述第二密钥、所述第二安全参数索引和所述第二公网IP。
[0015]可选地，所述VPN中心端还用于接收用于指示删除所述第一VPN终端信息的指令时，删除所述第一密钥、所述第一安全参数索引和所述第一公网IP。
[0016]可选地，所述VPN中心端还用于接收用于指示删除所述第二VPN终端信息的指令时，删除所述第二密钥、所述第二安全参数索引和所述第二公网IP。
[0017]第二方面，提供一种VPN终端通信方法，包括：第一VPN终端基于预设的第一密钥加密数据以生成数据包，并向VPN中心端发送所述数据包；其中，所述数据包中包括第一安全参数索引；所述数据包括第二局域网内部IP地址以及与第二终端设备通信的第一通信数
据，所述第二终端设备连接于第二VPN终端；所述VPN中心端获取所述数据包中的第一安全参数索引和公网IP，并在预设的数据库中确认存在第一安全参数索引但所述数据库中不存在所述公网IP后，更新所述数据库中的第一公网IP；所述VPN中心端基于与所述第一安全参数索对应的第一密钥，解密所述数据包中本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于IPSec协议的VPN终端通信系统，其特征在于，包括第一VPN终端、第二VPN终端和VPN中心端；其中，所述VPN中心端设有数据库，所述数据库关联存储有第一密钥、第一安全参数索引、第一局域网内部IP地址和第一公网IP、以及关联存储有第二密钥、第二安全参数索引、第二局域网内部IP地址和第二公网IP；所述第一VPN终端用于：基于所述第一密钥加密数据以生成数据包，并向所述VPN中心端发送所述数据包；其中，所述数据包中包括第一安全参数索引；所述数据包括所述第二局域网内部IP地址以及与第二终端设备通信的第一通信数据，所述第二终端设备连接于第二VPN终端；所述VPN中心端用于：获取所述数据包中的第一安全参数索引和公网IP，在确认所述公网IP与预设的第一公网IP不同时，更新所述第一公网IP；所述VPN中心端还用于：基于所述第一密钥，解密所述数据包中的加密数据；基于所述第二密钥，加密所述第一通信数据；向所述第二VPN终端发送加密后的所述第一通信数据；所述第二VPN终端用于：基于所述第二密钥，解密加密后的所述第一通信数据。2.根据权利要求1所述的VPN终端通信系统，其特征在于，所述第二VPN终端还用于：基于所述第二密钥，加密第一局域网内部IP地址以及与第一终端设备通信的第二通信数据以生成反馈数据包；向所述VPN中心端发送所述反馈数据包；其中，所述反馈数据包包括所述第二安全参数索引，所述第一终端设备连接于所述第一VPN终端；所述VPN中心端还用于：获取所述反馈数据包中的所述第二安全参数索引和公网IP；在确认该公网IP与预设的第二公网IP不同时，更新所述第二公网IP；基于所述第二密钥，解密所述反馈数据包以获取所述第一局域网内部IP地址以及所述第二通信数据；基于所述第一密钥，加密所述第二通信数据；向所述第一VPN终端发送加密后的所述第二通信数据；所述第一VPN终端还用于：基于所述第一密钥，解密加密后的所述第二通信数据。3.根据权利要求2所述的VPN终端通信系统，其特征在于，所述第一VPN终端和第二VPN终端还用于向所述VPN中心端发送注册申请；其中，所述注册申请包括所述第一VPN终端和第二VPN终端的密钥协商请求、第一终端设备和第二终端设备的局域网内部IP地址分配请求、所述第一VPN终端的第一公网IP和所述第二VPN终端的第二公网IP；所述VPN中心端还用于：基于IPSec协议与所述第一VPN终端以及所述第二VPN终端密钥协商，获取第一密钥、与所述第一密钥对应的第一安全参数索引、第二密钥以及与所述第二密钥对应的第一安全参数索引；为所述第一终端设备和所述第二终端设备对应分配第一局域网内部IP地址和第二局域网内部IP地址；将所述第一密钥、所述第一安全参数索引、所述第一局域网内部IP地址和所述第一公网IP、以及所述第二密钥、所述第二安全参数索引、所述第二局域...

【专利技术属性】
技术研发人员：李磊，
申请(专利权)人：中创为成都量子通信技术有限公司，
类型：发明
国别省市：