本申请提供一种VPN终端通信方法、VPN中心端及存储介质,能够解决相关技术中基于IPSec协议建立的VPN隧道在动态NAT的环境中难以实现通信的问题,从而提高VPN隧道中信息数据传输的准度和效率。该方法包括:接收一VPN终端的数据包;获取数据包中的安全参数索引和公网IP;确认安全参数索引为第一安全参数索引但所述数据库中不存在公网IP;更新第一公网IP;基于所述第一密钥,解密数据包中的加密数据;向服务器发送解密后的数据。服务器发送解密后的数据。服务器发送解密后的数据。
【技术实现步骤摘要】
VPN终端通信方法、VPN中心端及存储介质
[0001]本申请涉及通信领域,尤其涉及一种VPN终端通信方法、VPN中心端及存储介质。
技术介绍
[0002]随着网络空间的不断扩大,IPv4地址即将耗尽。NAT(英文:NetworkAddress Translation;中文:网络地址转换)技术使得私有网络内部的多个设备可以使用一个外部IP地址接入公共网络,极大的减缓了IPv4地址耗尽的速度。NAT包括静态NAT(Static NAT)、动态NAT(PooledNAT)和网络地址端口转换NAPT(NetworkAddress Port Translation)。其中,动态NAT将内部网络的私有IP地址转换为公网IP地址时,IP地址是不确定,随机的。
[0003]IPSec VPN是利用IPSec(英文:Internet Protocol Security;中文:互联网安全协议)协议来实现远程接入的一种VPN(英语:Virtual Private Network;中文:虚拟专用网络)技术。IPSec VPN基于密码技术,在公网上通过处于两个私有网络的VPN中心端和VPN终端为该两个私有网络构建安全可靠的通信通道(隧道)。
[0004]IPSec VPN是一种点到点的通信技术,即隧道两端的VPN中心端和VPN终端必须知道对端的网络地址。但是,VPN终端的公网IP地址在动态NAT的环境中会发生变化,导致VPN中心端给变化之前的IP地址发送数据,该数据不能到达VPN终端。
技术实现思路
[0005]本申请实施例提供一种VPN终端通信方法、VPN中心端及存储介质,能够解决相关技术中基于IPSec协议建立的VPN隧道在动态NAT的环境中难以实现通信的问题,从而提高VPN隧道中信息数据传输的准度和效率。
[0006]为达到上述目的,本申请采用如下技术方案:
[0007]第一方面,提供一种VPN终端通信方法,应用于VPN中心端。所述VPN中心端设有数据库,所述数据库关联存储有第一密钥、第一安全参数索引、第一局域网内部IP地址和第一公网IP;所述VPN终端通信方法包括:接收一VPN终端的数据包;获取所述数据包中的安全参数索引和公网IP;确认所述安全参数索引为所述第一安全参数索引但所述数据库中不存在所述公网IP;更新所述第一公网IP;基于所述第一密钥,解密所述数据包中的加密数据;向服务器发送解密后的数据。
[0008]基于该VPN终端通信方法,VPN终端的公网IP与安全参数索引关联存储,当动态NAT的环境中VPN终端的公网IP发生变化时,交互的数据包中安全参数索引没有变化,进而可以根据根据安全参数索引更新VPN终端的公网IP,可以解决相关技术中基于IPSec协议建立的VPN隧道在动态NAT的环境中难以实现通信的问题,从而提高VPN隧道中信息数据传输的准度和效率。
[0009]可选地,还包括:从所述服务器接收反馈数据;确认所述反馈数据的目标IP为第一局域网内部IP地址;基于所述第一密钥,加密所述反馈数据;基于所述第一公网IP,向所述VPN终端发送加密后的所述反馈数据。
[0010]可选地,还包括:接收第一VPN终端的注册申请;其中,所述注册申请包括所述第一VPN终端的密钥协商请求、终端设备的局域网内部IP地址分配请求和所述第一VPN终端的第一公网IP,所述终端设备连接于所述第一VPN终端;基于IPSec协议与所述第一VPN终端密钥协商,获取第一密钥以及与所述密钥对应的第一安全参数索引;为所述终端设备分配第一局域网内部IP地址;将所述第一密钥、所述第一安全参数索引、所述第一局域网内部IP地址和所述第一公网IP关联存储于数据库内;向所述第一VPN终端发送所述第一局域网内部IP地址。
[0011]可选地,所述为所述终端设备分配第一局域网内部IP地址,包括:从IP地址池中选择一IP地址以作为第一局域网内部IP地址;在所述IP地址池中删除所述IP地址。
[0012]可选地,还包括:从服务器接收需要发送给所述第一VPN终端的反馈数据;基于所述第一密钥,加密所述反馈数据;基于所述第一公网IP,向所述第一VPN终端发送加密后的所述反馈数据。
[0013]可选地,还包括:确认在预设时间段内没有接收到所述第一VPN终端的数据;删除所述第一密钥、所述第一安全参数索引和所述第一公网IP。
[0014]可选地,还包括:接收用于指示删除所述第一VPN终端信息的指令;删除所述第一密钥、所述第一安全参数索引和所述第一公网IP。
[0015]第二方面,提供一种VPN中心端,包括收发模块、处理模块、和存储模块;其中,所述存储模块存有数据库,所述数据库关联存储有第一密钥、第一安全参数索引、第一局域网内部IP地址和第一公网IP;所述收发模块用于接收一VPN终端的数据包;所述处理模块用于获取所述数据包中的安全参数索引和公网IP,并确认所述安全参数索引为所述第一安全参数索引但所述数据库中不存在所述公网IP;所述处理模块还用于更新所述第一公网IP,并基于所述第一密钥,解密所述数据包中的加密数据;所述收发模块还用于向服务器发送解密后的数据。
[0016]可选地,所述收发模块还用于从所述服务器接收反馈数据;所述处理模块还用于确认所述反馈数据的目标IP为第一局域网内部IP地址,并基于所述第一密钥,加密所述反馈数据;所述收发模块还用于基于所述第一公网IP,向所述VPN终端发送加密后的所述反馈数据。
[0017]可选地,第二方面所述的VPN中心端还可以包括存储模块,该存储模块存储有程序或指令。当处理模块执行该程序或指令时,使得该VPN中心端可以执行第一方面所述的VPN终端通信方法。
[0018]此外,第二方面所述的VPN中心端的技术效果可以参考第一方面所述的VPN终端通信方法的技术效果,此处不再赘述。
[0019]第三方面,提供一种计算机可读存储介质,包括:计算机程序或指令;当该计算机程序或指令在计算机上运行时,使得该计算机执行第一方面的实现方式所述的VPN终端通信方法。
[0020]第四方面,提供一种计算机程序产品,包括计算机程序或指令,当该计算机程序或指令在计算机上运行时,使得该计算机执行第一方面的实现方式所述的VPN终端通信方法。
附图说明
[0021]图1为本申请实施例提供的VPN通信的架构示意图;
[0022]图2为本申请实施例提供的VPN终端接入方法的流程示意图;
[0023]图3为本申请实施例提供的VPN终端通信方法的流程示意图;
[0024]图4为本申请实施例提供的基于IPSec协议的VPN终端通信方法的流程示意图;
[0025]图5为本申请实施例提供的VPN中心端的结构示意图一;
[0026]图6为本申请实施例提供的VPN中心端的结构示意图二。
具体实施方式
[0027]下面将结合附图,对本申请中的技术方案进行描述。
[0028]本申请实施例的技术方案可以应用于各种通信系统,例如无本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种VPN终端通信方法,其特征在于,应用于VPN中心端,所述VPN中心端设有数据库,所述数据库关联存储有第一密钥、第一安全参数索引、第一局域网内部IP地址和第一公网IP;所述VPN终端通信方法包括:接收一VPN终端的数据包;获取所述数据包中的安全参数索引和公网IP;确认所述安全参数索引为所述第一安全参数索引但所述数据库中不存在所述公网IP;更新所述第一公网IP;基于所述第一密钥,解密所述数据包中的加密数据;向服务器发送解密后的数据。2.根据权利要求1所述的VPN终端通信方法,其特征在于,还包括:从所述服务器接收反馈数据;确认所述反馈数据的目标IP为第一局域网内部IP地址;基于所述第一密钥,加密所述反馈数据;基于所述第一公网IP,向所述VPN终端发送加密后的所述反馈数据。3.根据权利要求1所述的VPN终端通信方法,其特征在于,还包括:接收第一VPN终端的注册申请;其中,所述注册申请包括所述第一VPN终端的密钥协商请求、终端设备的局域网内部IP地址分配请求和所述第一VPN终端的第一公网IP,所述终端设备连接于所述第一VPN终端;基于IPSec协议与所述第一VPN终端密钥协商,获取第一密钥以及与所述密钥对应的第一安全参数索引;为所述终端设备分配第一局域网内部IP地址;将所述第一密钥、所述第一安全参数索引、所述第一局域网内部IP地址和所述第一公网IP关联存储于数据库内;向所述第一VPN终端发送所述第一局域网内部IP地址。4.根据权利要求3所述的VPN终端通信方法,其特征在于,所述为所述终端设备分配第一局域网内部IP地址,包括:从IP地址池中选择一IP地址以作为第一局域网内部IP地址;在所述IP地址池中删除所述IP地址。5.根据权利要求1
‑
4中任一项所述的VPN终端通信方法,其特征在于,还...
【专利技术属性】
技术研发人员:李磊,
申请(专利权)人:中创为成都量子通信技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。