VPN终端接入系统及方法技术方案

本申请提供一种VPN终端接入系统及方法，能够解决相关技术中VPN中心端不能识别使用NAT技术的不同的局域网内的VPN终端下的终端设备的问题，从而提高VPN隧道中信息数据传输的准度和效率。该VPN终端接入系统包括第一VPN终端和VPN中心端。其中，第一VPN终端用于向VPN中心端发送注册申请；VPN中心端基于IPSec协议用于与第一VPN终端密钥协商，获取第一密钥以及与密钥对应的第一安全参数索引；VPN中心端还用于为终端设备分配第一局域网内部IP地址，并将第一密钥、第一安全参数索引、第一局域网内部IP地址和第一公网IP关联存储；VPN中心端还用于向第一VPN终端发送第一局域网内部IP地址；第一VPN终端还用于为终端设备分配第一局域网内部IP地址。域网内部IP地址。域网内部IP地址。

【技术实现步骤摘要】
VPN终端接入系统及方法


[0001]本申请涉及通信领域，尤其涉及一种VPN终端接入系统及方法。

技术介绍

[0002]随着网络空间的不断扩大，IPv4地址即将耗尽。NAT(英文：NetworkAddress Translation；中文：网络地址转换)技术使得私有网络内部的多个设备可以使用一个外部IP地址接入公共网络，极大的减缓了IPv4地址耗尽的速度。
[0003]IPSec VPN是利用IPSec(英文：Internet Protocol Security；中文：互联网安全协议)协议来实现远程接入的一种VPN(英语：Virtual Private Network；中文：虚拟专用网络)技术。IPSec VPN基于密码技术，在公网上通过处于两个私有网络的VPN中心端和VPN终端为该两个私有网络构建安全可靠的通信通道(隧道)。
[0004]IPSec VPN是一种比较成熟的技术，但是，当连接于不同VPN终端下的终端设备处于使用NAT技术的不同的局域网内时，不同局域网内部的终端设备的网络地址可能存在冲突(即两个不同VPN终端下的终端设备的局域网内部IP地址相同)，这会导致VPN中心端不能识别不同VPN终端下的终端设备。

技术实现思路

[0005]本申请实施例提供一种VPN终端接入系统及方法，能够解决相关技术中VPN中心端不能识别使用NAT技术的不同的局域网内的VPN终端下的终端设备的问题，从而提高VPN隧道中信息数据传输的准度和效率。
[0006]为达到上述目的，本申请采用如下技术方案：
[0007]第一方面，提供一种VPN终端接入系统，包括第一VPN终端和VPN中心端；其中，所述第一VPN终端用于向所述VPN中心端发送注册申请；其中，所述注册申请包括所述第一VPN终端的密钥协商请求、终端设备的局域网内部IP地址分配请求和所述第一VPN终端的第一公网IP，所述终端设备连接于所述第一VPN终端；所述VPN中心端基于IPSec协议用于与所述第一VPN终端密钥协商，获取第一密钥以及与所述密钥对应的第一安全参数索引；所述VPN中心端还用于为所述终端设备分配第一局域网内部IP地址，并将所述第一密钥、所述第一安全参数索引、所述第一局域网内部IP地址和所述第一公网IP关联存储；所述VPN中心端还用于向所述第一VPN终端发送所述第一局域网内部IP地址；所述第一VPN终端还用于为所述终端设备分配所述第一局域网内部IP地址。
[0008]基于该VPN终端接入系统，VPN中心端为VPN终端下的终端设备分配局域网内部地址，进而VPN中心端可以为不同的局域网内的终端设备分配不同的局域网内部地址，可以解决相关技术中VPN中心端不能识别使用NAT技术的不同的局域网内的VPN终端下的终端设备的问题，从而提高VPN隧道中信息数据传输的准度和效率。
[0009]可选地，所述VPN中心端还用于从IP地址池中选择一IP地址以作为第一局域网内部IP地址，并在所述IP地址池中删除所述IP地址。
[0010]可选地，所述第一VPN终端还用于：基于所述第一密钥加密数据以生成数据包，并向所述VPN中心端发送所述数据包；其中，所述数据包中包括安全参数索引；所述VPN中心端还用于：获取所述数据包中的所述安全参数索引；在确认所述安全参数索引为所述第一安全参数索引后，基于所述第一密钥，解密所述数据包中的加密数据；向服务器发送解密后的数据。
[0011]可选地，在确认所述安全参数索引为所述第一安全参数索引之后，所述VPN中心端还用于：获取所述数据包中的公网IP；确认所述公网IP不同于所述第一公网IP；更新所述第一公网IP。
[0012]可选地，所述VPN中心端还用于：从服务器接收需要发送给所述第一VPN终端的反馈数据，并基于所述第一密钥，加密所述反馈数据；基于所述第一公网IP，向所述第一VPN终端发送加密后的所述反馈数据；所述第一VPN终端还用于：基于所述第一密钥，解密所述反馈数据。
[0013]可选地，所述VPN中心端还用于确认在预设时间段内没有接收到所述第一VPN终端的数据后，删除所述第一密钥、所述第一安全参数索引和所述第一公网IP。
[0014]可选地，所述VPN中心端还用于在接收用于指示删除所述第一VPN终端信息的指令后，删除所述第一密钥、所述第一安全参数索引和所述第一公网IP。
[0015]第二方面，提供一种VPN终端接入方法，包括：所述第一VPN终端向所述VPN中心端发送注册申请；其中，所述注册申请包括所述第一VPN终端的密钥协商请求、终端设备的局域网内部IP地址分配请求和所述第一VPN终端的第一公网IP，所述终端设备连接于所述第一VPN终端；所述VPN中心端基于IPSec协议与所述第一VPN终端密钥协商，获取第一密钥以及与所述密钥对应的第一安全参数索引；所述VPN中心端为所述终端设备分配第一局域网内部IP地址，并将所述第一密钥、所述第一安全参数索引、所述第一局域网内部IP地址和所述第一公网IP关联存储；所述VPN中心端向所述第一VPN终端发送所述第一局域网内部IP地址；所述第一VPN终端为所述终端设备分配所述第一局域网内部IP地址。
[0016]此外，第二方面所述的VPN终端接入方法的技术效果可以参考第一方面所述的VPN终端接入系统的技术效果，此处不再赘述。
[0017]可选地，所述VPN中心端为所述终端设备分配第一局域网内部IP地址，包括：所述VPN中心端从IP地址池中选择一IP地址以作为第一局域网内部IP地址，并在所述IP地址池中删除所述IP地址。
[0018]可选地，还包括：所述第一VPN终端基于所述第一密钥加密数据以生成数据包，并向所述VPN中心端发送所述数据包；其中，所述数据包中包括安全参数索引；所述VPN中心端获取所述数据包中的所述安全参数索引，在确认所述安全参数索引为所述第一安全参数索引后，基于所述第一密钥，解密所述数据包中的加密数据；所述VPN中心端向服务器发送解密后的数据。
附图说明
[0019]图1为本申请实施例提供的VPN通信的架构示意图；
[0020]图2为本申请实施例提供的VPN终端接入方法的流程示意图；
[0021]图3为本申请实施例提供的VPN终端通信方法的流程示意图；
[0022]图4为本申请实施例提供的基于IPSec协议的VPN终端通信方法的流程示意图；
[0023]图5为本申请实施例提供的VPN中心端的结构示意图一；
[0024]图6为本申请实施例提供的VPN中心端的结构示意图二。
具体实施方式
[0025]下面将结合附图，对本申请中的技术方案进行描述。
[0026]本申请实施例的技术方案可以应用于各种通信系统，例如无线保真(wireless fidelity，WiFi)系统，车到任意物体(vehicle to everything，V2X)通信系统、设备间(device
‑
todevie，D2D)通信系统、车联网通信系统、第4代本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种VPN终端接入系统，其特征在于，包括第一VPN终端和VPN中心端；其中，所述第一VPN终端用于向所述VPN中心端发送注册申请；其中，所述注册申请包括所述第一VPN终端的密钥协商请求、终端设备的局域网内部IP地址分配请求和所述第一VPN终端的第一公网IP，所述终端设备连接于所述第一VPN终端；所述VPN中心端基于IPSec协议用于与所述第一VPN终端密钥协商，获取第一密钥以及与所述密钥对应的第一安全参数索引；所述VPN中心端还用于为所述终端设备分配第一局域网内部IP地址，并将所述第一密钥、所述第一安全参数索引、所述第一局域网内部IP地址和所述第一公网IP关联存储；所述VPN中心端还用于向所述第一VPN终端发送所述第一局域网内部IP地址；所述第一VPN终端还用于为所述终端设备分配所述第一局域网内部IP地址。2.根据权利要求1所述的VPN终端接入系统，其特征在于，所述VPN中心端还用于从IP地址池中选择一IP地址以作为第一局域网内部IP地址，并在所述IP地址池中删除所述IP地址。3.根据权利要求1所述的VPN终端接入系统，其特征在于，所述第一VPN终端还用于：基于所述第一密钥加密数据以生成数据包，并向所述VPN中心端发送所述数据包；其中，所述数据包中包括安全参数索引；所述VPN中心端还用于：获取所述数据包中的所述安全参数索引；在确认所述安全参数索引为所述第一安全参数索引后，基于所述第一密钥，解密所述数据包中的加密数据；向服务器发送解密后的数据。4.根据权利要求3所述的VPN终端接入系统，其特征在于，在确认所述安全参数索引为所述第一安全参数索引之后，所述VPN中心端还用于：获取所述数据包中的公网IP；确认所述公网IP不同于所述第一公网IP；更新所述第一公网IP。5.根据权利要求1
‑
4中任一项所述的VPN终端接入系统，其特征在于，所述VPN中心端还用于：从服务器接收需要发送给所述第一VPN终端的反馈数据，并基于所述第一密钥，加密所述反馈数据；基于所述第一公网IP，向所述第一VPN终端...

【专利技术属性】
技术研发人员：李磊，
申请(专利权)人：中创为成都量子通信技术有限公司，
类型：发明
国别省市：