一种VPN通信的建立和切换的方法和系统与流程

一种vpn通信的建立和切换的方法和系统
技术领域
1.本发明涉及通信技术领域，具体为一种vpn通信的建立和切换的方法和系统。


背景技术：

2.现在主流的支持vpn加密隧道能够利用公用网络架设专用网络，进行加密通讯。但是大部分vpn技术，如openvpn都使用虚拟接口，这将导致对原有网络拓扑环境进行变更。其余不需改变网络拓扑结构的vpn技术，如ipsec vpn配置步骤却非常复杂。而且其虽然能对vpn对端进行加密隧道有效性的探测，但在vpn对端出现故障的时候却无任何备份措施，只能通知维护管理人员进行检查。这将存在一段时间内无法互相加密通信的问题，甚至导致明文通信的安全问题。
3.cn201110026598.8公开了一种mpls vpn隧道备份链路自动无间隙平滑切换方法,通过产生快速中断,直接板间通信的方式,改变隧道出链路选择器状态,将主隧道无间隙平滑切换到备份隧道,减少了链路的丢报,实现了链路的上的数据无抖动,可以将流量抖动收敛时间缩短到10ms内,远远在人的感知范围之外,满足了用户和运营商级设备的要求,可为运营商级服务提供更加可靠的保障,给用户带来满意度。
4.上述方案虽然实现了vpn隧道的切换，但是其无法实现在vpn隧道探测失败的时候进行vpn隧道的快速切换。


技术实现要素：

5.本发明的目的在于提供一种vpn通信的建立和切换的方法，该方法能够实现vpn通信的快速建立，实现vpn的加密通信。同时，本发明还公开了一种系统。
6.为实现上述目的，本发明提供如下技术方案：一种vpn通信的建立和切换的方法，包括如下步骤：
7.步骤1：部署至少2个vpn服务器，不同vpn服务器具有不同的优先级；
8.步骤2：在每个vpn服务器中建立多个分组和针对不同组的加密策略；不同vpn服务器中的相同的分组具有相同的加密策略和根证书，同一或不同vpn服务器中的不同的分组具有不同的加密策略和根证书；
9.步骤3：vpn客户端从vpn服务器中获取根证书、客户端证书和加密策略，所述客户端证书根据根证书生成；
10.步骤4：vpn客户端和vpn服务器之间基于根证书、客户端证书和加密策略采用ipsec协议建立vpn隧道的加密通信；
11.步骤5：周期性的对当前vpn隧道进行有效性探测，若有效性探测失败达到预设次数，则进行步骤6；
12.步骤6：对其余的vpn服务器的vpn隧道进行探测，当其他的vpn隧道能够探测成功时，基于根证书、客户端证书和加密策略采用ipsec协议建立该vpn隧道的加密通信。
13.在上述的vpn通信的建立和切换的方法中，所述步骤6为：按照优先级从高到低的
顺序，对其余的vpn服务器的vpn隧道进行探测，直至vpn隧道探测成功，基于根证书、客户端证书和加密策略采用ipsec协议建立该vpn隧道的加密通信。
14.在上述的vpn通信的建立和切换的方法中，若当前在用的vpn服务器并不是最高优先级的vpn服务器，则按照预设间隔按照优先级从高到低的顺序，对其余的vpn服务器的vpn隧道进行探测，选择vpn隧道探测成功、优先级高于当前在用的、优先级最高的vpn服务器，基于根证书、客户端证书和加密策略采用ipsec协议建立该vpn服务器和vpn客户端之间的vpn隧道的加密通信。
15.在上述的vpn通信的建立和切换的方法中，vpn客户端从vpn服务器中获取根证书、客户端证书和加密策略包括如下步骤：
16.步骤100：vpn客户端发送包含其用户名的第一请求至vpn服务器；
17.步骤101：vpn服务器接收第一请求将该用户名对应的分组的根证书发送给vpn客户端；
18.步骤102：vpn客户端接收根证书、将包含用户名的证书请求发送给vpn服务器；
19.步骤103：vpn服务器接收证书请求、采用对应的分组的根证书生成客户端证书并发送给vpn客户端；
20.步骤104：vpn客户端接收客户端证书、采用客户端证书生成加密策略请求并发送给vpn服务器；
21.步骤105：vpn服务器采用根证书校验加密策略请求，若校验通过，则发送加密策略给vpn客户端。
22.在上述的vpn通信的建立和切换的方法中，所述步骤4具体为：
23.步骤200：vpn客户端和vpn服务器根据加密策略、客户端证书建立ike通道，协商得到第一秘钥；
24.步骤201：vpn客户端和vpn服务器在ike通道中采用第一秘钥、加密策略，协商得到第二秘钥；
25.步骤202：vpn客户端和vpn服务器采用第二秘钥在vpn隧道进行加密通信。
26.在上述的vpn通信的建立和切换的方法中，所述预设次数为1次或多次。
27.同时，本发明还公开了一种用于实现上述方法的vpn通信系统，包括多个vpn服务器、多个vpn客户端、数据库；
28.所述数据库中存储有vpn服务器的优先级和ip地址；
29.每个vpn服务器均建立多个分组和针对不同组的加密策略；不同vpn服务器中的相同的分组具有相同的加密策略和根证书，同一或不同vpn服务器中的不同的分组具有不同的加密策略和根证书；
30.vpn客户端用于从vpn服务器中获取根证书、客户端证书和加密策略，所述客户端证书根据根证书生成；
31.vpn客户端和vpn服务器之间基于根证书、客户端证书和加密策略采用ipsec协议建立vpn隧道的加密通信；
32.所述vpn客户端和/或vpn服务器周期性的对当前vpn隧道进行有效性探测，若有效性探测失败达到预设次数，则对其余的vpn服务器的vpn隧道进行探测，当其他的vpn隧道能够探测成功时，基于根证书、客户端证书和加密策略采用ipsec协议建立该vpn隧道的加密
通信。
33.与现有技术相比，本发明的有益效果是：
34.本发明保证在不改变原有网络拓扑环境的情况下，实现vpn自动快速建立。
35.且当检测到当前加密隧道失效时，快速切换到备用加密隧道。当所有备用加密隧道皆不可用时，限制vpn客户端通信，保障通信数据安全。软件模块需要实现vpn自动快速建立、vpn隧道有效性探测和vpn隧道管理。
36.为提升易操作性，软件模块需要包含证书自动获取和加密策略解析功能。要求软件模块能够通过vpn服务器获取到认证证书和加密策略。
37.为确保通信稳定性，软件模块需要包含vpn隧道有效性探测和vpn隧道管理功能。要求软件模块能根据vpn服务器优先级检测隧道有效性，且在vpn主隧道有效性探测失败后快速切换到备用vpn服务器。
附图说明
38.图1
‑
3为本发明的实施例1的流程方框图；
39.图4为本发明的实施例1的结构框图。
具体实施方式
40.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
41.实施例1
42.如图1
‑
3，一种vpn通信的建立和切换的方法，包括如下步骤：
43.步骤1：部署至少2个vpn服务器，不同vpn服务器具有不同的优先级；
44.vpn服务器的ip地址和优先级均存储在一个数据库中，当vpn客户端需要进行客户端证书获取、加密策略获取、vpn服务器的优先级的判断和切换时，均会从这个数据库中获取ip地址和优先级。
45.步骤2：在每个vpn服务器中建立多个分组和针对不同组的加密策略；不同vpn服务器中的相同的分组具有相同的加密策略和根证书，同一或不同vpn服务器中的不同的分组具有不同的加密策略和根证书；
46.根证书是用于供vpn服务器生成客户端证书以及vpn服务器证书的，通过客户端证书和vpn服务器证书可完成下述步骤200中ike通道的vpn服务器和vpn客户端的双向认证。
47.加密策略中有很多加密算法，本发明大多采用的是dh加密算法，由dh加密算法对后续的第一秘钥和第二秘钥生成；dh加密算法中涉及随机数，所以每次生成的秘钥都不同。
48.步骤3：vpn客户端从vpn服务器中获取根证书、客户端证书和加密策略，所述客户端证书根据根证书生成；
49.vpn客户端从vpn服务器中获取根证书、客户端证书和加密策略包括如下步骤：
50.步骤100：vpn客户端发送包含其用户名的第一请求至vpn服务器；
51.步骤101：vpn服务器接收第一请求将该用户名对应的分组的根证书发送给vpn客
户端；
52.由于vpn服务器中建立的分组中保存了vpn客户端的用户名，因此接收第一请求，获取用户名，就可确定第一请求是否合法，然后将该分组的根证书发送给vpn客户端；
53.步骤102：vpn客户端接收根证书、将包含用户名的证书请求发送给vpn服务器；证书请求由vpn客户端根据其用户名、密码生成，与此同时vpn客户端的用户名和密码还生成本地私钥。
54.步骤103：vpn服务器接收证书请求、采用对应的分组的根证书生成客户端证书并发送给vpn客户端；
55.同样，vpn服务器根据证书请求中的用户名确定该证书请求对应的分组，采用该分组的根证书生成客户端证书。
56.步骤104：vpn客户端接收客户端证书、采用客户端证书生成加密策略请求并发送给vpn服务器；
57.客户端证书中包含用户名，vpn服务器收到该加密策略请求后，即可分辨该请求对应的vpn客户端。
58.步骤105：vpn服务器采用根证书校验加密策略请求，若校验通过，则发送加密策略给vpn客户端。
59.步骤4：vpn客户端和vpn服务器之间基于根证书、客户端证书和加密策略采用ipsec协议建立vpn隧道的加密通信；
60.所述步骤4具体为：
61.步骤200：vpn客户端和vpn服务器根据加密策略、客户端证书建立ike通道，协商得到第一秘钥；
62.步骤201：vpn客户端和vpn服务器在ike通道中采用第一秘钥、加密策略，协商得到第二秘钥；在协商第二秘钥的过程中，步骤200生成第一秘钥后，vpn客户端和vpn服务器双方需要认证身份，这时vpn客户端就要用本地私钥对密文签名，vpn服务器就用对端公钥验签。
63.步骤202：vpn客户端和vpn服务器采用第二秘钥在vpn隧道进行加密通信。
64.步骤200
‑
步骤202是本领域中ipsec通信的二次协商的惯常做法，在步骤200中，还包括vpn客户端和vpn服务器之间分别发送各自的客户端证书和vpn服务器证书给对方进行双向认证；
65.第一秘钥和第二秘钥均采用加密策略中的dh算法得到；两者通过协商，可在步骤201中进行加密协商，可在vpn隧道中进行加密通信，需要说明的是，在步骤200中是采用明文通信；
66.步骤5：周期性的对当前vpn隧道进行有效性探测，若有效性探测失败达到预设次数，则进行步骤6；如果没有达到，则继续进行周期性的在用的vpn隧道的有效性探测；
67.一般来说，是vpn客户端主动对vpn服务器发起对端探测，当然不排斥vpn服务器发起的探测；这里所述的有效性探测是指发起端能够收到对端的回复，则为探测有效或有效。
68.步骤6：对其余的vpn服务器的vpn隧道进行探测，当其他的vpn隧道能够探测成功时，基于根证书、客户端证书和加密策略采用ipsec协议建立该vpn隧道的加密通信。
69.本发明的优势在于，在步骤6中，进行vpn服务器切换时，由于不同的vpn服务器的
相同的分组的根证书和加密策略均相同，无需再次进行步骤3，整个切换过程会非常迅速、平滑。
70.作为本实施例的进一步优化，所述步骤6为：按照优先级从高到低的顺序，对其余的vpn服务器的vpn隧道进行探测，直至vpn隧道探测成功，基于根证书、客户端证书和加密策略采用ipsec协议建立该vpn隧道的加密通信。
71.在vpn服务器切换成功后，若当前在用的vpn服务器并不是最高优先级的vpn服务器，则按照预设间隔按照优先级从高到低的顺序，对其余的vpn服务器的vpn隧道进行探测，选择vpn隧道探测成功、优先级高于当前在用的、优先级最高的vpn服务器，基于根证书、客户端证书和加密策略采用ipsec协议建立该vpn服务器和vpn客户端之间的vpn隧道的加密通信。
72.实施例2
73.参考图4，一种用于实现实施例1所述的方法的vpn通信系统，包括多个vpn服务器1、多个vpn客户端2、数据库3；
74.所述数据库3中存储有vpn服务器1的优先级和ip地址；
75.每个vpn服务器1均建立多个分组和针对不同组的加密策略；不同vpn服务器1中的相同的分组具有相同的加密策略和根证书，同一或不同vpn服务器1中的不同的分组具有不同的加密策略和根证书；
76.vpn客户端2用于从vpn服务器1中获取根证书、客户端证书和加密策略，所述客户端证书根据根证书生成；从vpn服务器1中获取根证书、客户端证书、加密策略时，需要从数据库3获取vpn服务器1的ip地址，以能够建立初步的非加密的通信连接；
77.vpn客户端2和vpn服务器1之间基于根证书、客户端证书和加密策略采用ipsec协议建立vpn隧道的加密通信；加密通信的过程可参考实施例1；
78.所述vpn客户端2和/或vpn服务器1周期性的对当前vpn隧道进行有效性探测，若有效性探测失败达到预设次数，则对其余的vpn服务器1的vpn隧道进行探测，当其他的vpn隧道能够探测成功时，基于根证书、客户端证书和加密策略采用ipsec协议建立该vpn隧道的加密通信。
79.在进行vpn服务器1的切换时，vpn客户端2优选通过从数据库3中获取vpn服务器1的优先级，选择优先级最高的vpn服务器1的vpn隧道进行探测，如果能够探测成功，则建立该vpn隧道的加密通信；如果不能探测成功，则对优先级次之的vpn服务器1的vpn隧道进行探测，直至能够探测成功并建立加密通信。
80.对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。