本申请提供一种VPN终端通信系统及方法,能够解决相关技术中基于IPSec协议建立的VPN隧道在动态NAT的环境中难以实现通信的问题,从而提高VPN隧道中信息数据传输的准度和效率。该VPN终端通信系统,包括第一VPN终端和VPN中心端;第一VPN终端用于:基于第一密钥加密数据以生成数据包,并向VPN中心端发送数据包;其中,数据包中包括安全参数索引;VPN中心端用于获取数据包中的安全参数索引和公网IP,并在确认安全参数索引为第一安全参数索引但数据库中不存在公网IP后,更新第一公网IP;VPN中心端还用于基于第一密钥,解密数据包中的加密数据,并向服务器发送解密后的数据。并向服务器发送解密后的数据。并向服务器发送解密后的数据。
【技术实现步骤摘要】
VPN终端通信系统及方法
[0001]本申请涉及通信领域,尤其涉及一种VPN终端通信系统及方法。
技术介绍
[0002]随着网络空间的不断扩大,IPv4地址即将耗尽。NAT(英文:NetworkAddress Translation;中文:网络地址转换)技术使得私有网络内部的多个设备可以使用一个外部IP地址接入公共网络,极大的减缓了IPv4地址耗尽的速度。NAT包括静态NAT(Static NAT)、动态NAT(PooledNAT)和网络地址端口转换NAPT(NetworkAddress Port Translation)。其中,动态NAT将内部网络的私有IP地址转换为公网IP地址时,IP地址是不确定,随机的。
[0003]IPSec VPN是利用IPSec(英文:Internet Protocol Security;中文:互联网安全协议)协议来实现远程接入的一种VPN(英语:Virtual Private Network;中文:虚拟专用网络)技术。IPSec VPN基于密码技术,在公网上通过处于两个私有网络的VPN中心端和VPN终端为该两个私有网络构建安全可靠的通信通道(隧道)。
[0004]IPSec VPN是一种点到点的通信技术,即隧道两端的VPN中心端和VPN终端必须知道对端的网络地址。但是,VPN终端的公网IP地址在动态NAT的环境中会发生变化,导致VPN中心端给变化之前的IP地址发送数据,该数据不能到达VPN终端。
技术实现思路
[0005]本申请实施例提供一种VPN终端通信系统及方法,能够解决相关技术中基于IPSec协议建立的VPN隧道在动态NAT的环境中难以实现通信的问题,从而提高VPN隧道中信息数据传输的准度和效率。
[0006]为达到上述目的,本申请采用如下技术方案:
[0007]第一方面,提供一种VPN终端通信系统,包括第一VPN终端和VPN中心端。其中,所述VPN中心端设有数据库,所述数据库关联存储有第一密钥、第一安全参数索引、第一局域网内部IP地址和第一公网IP;所述第一VPN终端用于:基于所述第一密钥加密数据以生成数据包,并向所述VPN中心端发送所述数据包;其中,所述数据包中包括安全参数索引;所述VPN中心端用于获取所述数据包中的安全参数索引和公网IP,并在确认所述安全参数索引为所述第一安全参数索引但所述数据库中不存在所述公网IP后,更新所述第一公网IP;所述VPN中心端还用于基于所述第一密钥,解密所述数据包中的加密数据,并向服务器发送解密后的数据。
[0008]基于该VPN终端通信系统,VPN终端的公网IP与安全参数索引关联存储,当动态NAT的环境中VPN终端的公网IP发生变化时,交互的数据包中安全参数索引没有变化,进而可以根据根据安全参数索引更新VPN终端的公网IP,可以解决相关技术中基于IPSec协议建立的VPN隧道在动态NAT的环境中难以实现通信的问题,从而提高VPN隧道中信息数据传输的准度和效率。
[0009]可选地,所述VPN中心端还用于:从所述服务器接收反馈数据;在确认所述反馈数
据的目标IP为第一局域网内部IP地址后,基于所述第一密钥,加密所述反馈数据;基于所述第一公网IP,向所述VPN终端发送加密后的所述反馈数据;所述第一VPN终端还用于基于所述第一密钥,解密所述反馈数据。
[0010]可选地,所述第一VPN终端还用于向所述VPN中心端发送注册申请;其中,所述注册申请包括所述第一VPN终端的密钥协商请求、终端设备的局域网内部IP地址分配请求和所述第一VPN终端的第一公网IP,所述终端设备连接于所述第一VPN终端;所述VPN中心端基于IPSec协议还用于与所述第一VPN终端密钥协商,获取第一密钥以及与所述密钥对应的第一安全参数索引;所述VPN中心端还用于为所述终端设备分配第一局域网内部IP地址,并将所述第一密钥、所述第一安全参数索引、所述第一局域网内部IP地址和所述第一公网IP关联存储于数据库内;所述VPN中心端还用于向所述第一VPN终端发送所述第一局域网内部IP地址;所述第一VPN终端还用于为所述终端设备分配所述第一局域网内部IP地址。
[0011]可选地,所述VPN中心端还用于从IP地址池中选择一IP地址以作为第一局域网内部IP地址,并在所述IP地址池中删除所述IP地址。
[0012]可选地,所述VPN中心端还用于:从服务器接收需要发送给所述第一VPN终端的反馈数据,并基于所述第一密钥,加密所述反馈数据;基于所述第一公网IP,向所述第一VPN终端发送加密后的所述反馈数据;所述第一VPN终端还用于:基于所述第一密钥,解密所述反馈数据。
[0013]可选地,所述VPN中心端还用于确认在预设时间段内没有接收到所述第一VPN终端的数据后,在所述数据库中删除所述第一密钥、所述第一安全参数索引和所述第一公网IP。
[0014]可选地,所述VPN中心端还用于在接收用于指示删除所述第一VPN终端信息的指令后,在所述数据库中删除所述第一密钥、所述第一安全参数索引和所述第一公网IP。
[0015]第二方面,提供一种VPN终端通信方法,包括:第一VPN终端基于预设的第一密钥加密数据以生成数据包,并向VPN中心端发送所述数据包;其中,所述数据包中包括安全参数索引;所述VPN中心端获取所述数据包中的安全参数索引和公网IP,并在预设的数据库中确认所述安全参数索引为所述第一安全参数索引但所述数据库中不存在所述公网IP后,更新所述数据库中的第一公网IP;所述VPN中心端基于与所述第一安全参数索对应的第一密钥,解密所述数据包中的加密数据,并向服务器发送解密后的数据。
[0016]此外,第二方面所述的VPN终端通信方法的技术效果可以参考第一方面所述的VPN终端通信系统的技术效果,此处不再赘述。
[0017]可选地,还包括:所述VPN中心端从所述服务器接收反馈数据,并在确认所述反馈数据的目标IP为第一局域网内部IP地址后,基于所述第一密钥,加密所述反馈数据;所述VPN中心端基于所述第一公网IP,向所述VPN终端发送加密后的所述反馈数据;所述第一VPN终端基于所述第一密钥,解密所述反馈数据。
[0018]可选地,还包括:所述第一VPN终端向所述VPN中心端发送注册申请;其中,所述注册申请包括所述第一VPN终端的密钥协商请求、终端设备的局域网内部IP地址分配请求和所述第一VPN终端的第一公网IP,所述终端设备连接于所述第一VPN终端;所述VPN中心端基于IPSec协议与所述第一VPN终端密钥协商,获取第一密钥以及与所述密钥对应的第一安全参数索引;所述VPN中心端为所述终端设备分配第一局域网内部IP地址,并将所述第一密钥、所述第一安全参数索引、所述第一局域网内部IP地址和所述第一公网IP关联存储于数
据库内;所述VPN中心端向所述第一VPN终端发送所述第一局域网内部IP地址;所述第一VPN终端为所述终端设备分配所述第一局域网内部IP地址。
附图说明
[0019]图1为本申请实施例本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种VPN终端通信系统,其特征在于,包括第一VPN终端和VPN中心端;其中,所述VPN中心端设有数据库,所述数据库关联存储有第一密钥、第一安全参数索引、第一局域网内部IP地址和第一公网IP;所述第一VPN终端用于:基于所述第一密钥加密数据以生成数据包,并向所述VPN中心端发送所述数据包;其中,所述数据包中包括安全参数索引;所述VPN中心端用于获取所述数据包中的安全参数索引和公网IP,并在确认所述安全参数索引为所述第一安全参数索引但所述数据库中不存在所述公网IP后,更新所述第一公网IP;所述VPN中心端还用于基于所述第一密钥,解密所述数据包中的加密数据,并向服务器发送解密后的数据。2.根据权利要求1所述的VPN终端通信系统,其特征在于,所述VPN中心端还用于:从所述服务器接收反馈数据;在确认所述反馈数据的目标IP为第一局域网内部IP地址后,基于所述第一密钥,加密所述反馈数据;基于所述第一公网IP,向所述VPN终端发送加密后的所述反馈数据;所述第一VPN终端还用于基于所述第一密钥,解密所述反馈数据。3.根据权利要求1所述的VPN终端通信系统,其特征在于,所述第一VPN终端还用于向所述VPN中心端发送注册申请;其中,所述注册申请包括所述第一VPN终端的密钥协商请求、终端设备的局域网内部IP地址分配请求和所述第一VPN终端的第一公网IP,所述终端设备连接于所述第一VPN终端;所述VPN中心端基于IPSec协议还用于与所述第一VPN终端密钥协商,获取第一密钥以及与所述密钥对应的第一安全参数索引;所述VPN中心端还用于为所述终端设备分配第一局域网内部IP地址,并将所述第一密钥、所述第一安全参数索引、所述第一局域网内部IP地址和所述第一公网IP关联存储于数据库内;所述VPN中心端还用于向所述第一VPN终端发送所述第一局域网内部IP地址;所述第一VPN终端还用于为所述终端设备分配所述第一局域网内部IP地址。4.根据权利要求3所述的VPN终端通信系统,其特征在于,所述VPN中心端还用于从IP地址池中选择一IP地址以作为第一局域网内部IP地址,并在所述IP地址池中删除所述IP地址。5.根据权利要求1
‑
4中任一项所述的VPN终端通信系统,其特征在于,所述VPN中心端还用于:从服务器接收需要发送给所述第一VPN终端的反馈数据,并基于所述第一密钥,加密所述反馈数据;基于所述第一公网IP,向...
【专利技术属性】
技术研发人员:李磊,
申请(专利权)人:中创为成都量子通信技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。