CN112787940A - 一种多级vpn加密传输方法、***、设备及存储介质 - Google Patents

Abstract

本发明涉及一种多级VPN加密传输方法、***、设备及存储介质，多级VPN包括VPN客户端、VPN服务端，是指：通过使用set‑mark标记和NAT，实现所述VPN客户端通过3跳或3跳以上的链路同所述VPN服务端建立通信隧道。本发明使得攻击者不容易跟踪定位到服务端。客户端IP更具有隐蔽性。易于实现和维护。

Description

一种多级VPN加密传输方法、***、设备及存储介质

技术领域

本发明涉及一种多级VPN加密传输方法、***、设备及存储介质，属于网络通信技术领域。

背景技术

VPN(Virtual Private Network虚拟专用网络)，被定义为通过一个公用互联网络建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定隧道，使用这条隧道可以达到对数据进行几倍加密达到安全使用互联网的目的，广泛使用于企业办公当中，虚拟专用网也可以是针对企业内部网的扩展，虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网，因此很多办公一族在自己电脑中也需要建立VPN连接，方便远程办公等等。

VPN通过私有隧道技术在公共网络上仿真一条点到点的专线从而达到安全的数据传输目的。如果要仿真一条专线，为保证传输数据的安全通常还要对数据进行加密处理。在局域网之间进行信息传输时，VPN网关的加密功能能够保证信息在不安全的网络上传输时采用密文形式。这样，即使信息被截取，它的内容也无法被偷窥和篡改。保证通过互联网连接的各个局域网间的信息传输是安全的、机密的。

由于VPN是在Internet上临时建立的安全专用虚拟网络，用户就节省了租用专线的费用，在运行的资金支出上，除了购买VPN设备，企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用，也节省了长途电话费。这就是VPN价格低廉的原因。

随着Internet和电子商务的蓬勃发展，经济全球化的最佳途径是发展基于Internet的商务应用。随着商务活动的日益频繁，各企业开始允许其生意伙伴、供应商也能够访问本企业的局域网，从而大大简化信息交流的途径，增加信息交换速度。这些合作和联系是动态的，并依靠网络来维持和加强，于是各企业发现，这样的信息交流不但带来了网络的复杂性，还带来了管理和安全性的问题，因为Internet是一个全球性和开放性的、基于TCP/IP技术的、不可管理的国际互联网络，因此，基于Internet的商务活动就面临非善意的信息威胁和安全隐患。

当前主流的VPN软件主要使用GRE、PPTP、L2TP等隧道协议构建VPN隧道。

GRE主要用于源路由和终路由之间所形成的隧道。例如，将通过隧道的报文用一个新的报文头〈GRE报文头〉进行封装然后带着隧道终点地址放入隧道中。当报文到达隧道终点时，GRE报文头被剥掉，继续原始报文的目标地址进行寻址。GRE隧道通常是点到点的，即隧道只有一个源地址和一个终地址。然而也有一些实现允许点到多点，即一个源地址对多个终地址。这时候就要和下一跳路由协议(Next-HopRouting Protocol NHRP)结合使用。NHRP主要是为了在路由之间建立捷径。

GRE隧道用来建立VPN有很大的吸引力。从体系结构的观点来看，VPN就象是通过普通主机网络的隧道集合。普通主机网络的每个点都可利用其地址以及路由所形成的物理连接，配置成一个或多个隧道。在GRE隧道技术中入口地址用的是普通主机网络的地址空间，而在隧道中流动的原始报文用的是VPN的地址空间，这样反过来就要求隧道的终点应该配置成VPN与普通主机网络之间的交界点。这种方法的好处是使VPN的路由信息从普通主机网络的路由信息中隔离出来，多个VPN可以重复利用同一个地址空间而没有冲突，这使得VPN从主机网络中独立出来。从而满足了VPN的关键要求:可以不使用全局唯一的地址空间。隧道也能封装数量众多的协议族，减少实现VPN功能函数的数量。还有，对许多VPN所支持的体系结构来说，用同一种格式来支持多种协议同时又保留协议的功能，这是非常重要的。IP路由过滤的主机网络不能提供这种服务，而只有隧道技术才能把VPN私有协议从主机网络中隔离开来。基于隧道技术的VPN实现的另一特点是对主机网络环境和VPN路由环境进行隔离。对VPN而言主机网络可看成点到点的电路集合，VPN能够用其路由协议穿过符合VPN管理要求的虚拟网。同样，主机网络用符合网络要求的路由设计方案,而不必受VPN用户网络的路由协议限制。

虽然GRE隧道技术有很多优点，但用其技术作为VPN机制也有缺点，例如管理费用高、隧道的规模数量大等。因为GRE是由手工配置的，所以配置和维护隧道所需的费用和隧道的数量是直接相关的——每次隧道的终点改变，隧道要重新配置。隧道也可自动配置，但有缺点，如不能考虑相关路由信息、性能问题以及容易形成回路问题。一旦形成回路，会极大恶化路由的效率。除此之外，通信分类机制是通过一个好的粒度级别来识别通信类型。如果通信分类过程是通过识别报文〈进入隧道前的〉进行的话，就会影响路由发送速率的能力及服务性能。GRE隧道技术是用在路由器中的,可以满足Extranet VPNI以及Intranet VPN的需求。但是在远程访问VPN中，多数用户是采用拨号上网。这时可以通过L2TP和PPTP来加以解决。

L2TP是L2F(Layer 2 Forwarding)和PPTP的结合。但是由于PC机的Windows桌面操作***包含着PPTP,因此PPTP仍比较流行。隧道的建立有两种方式即:“用户初始化”隧道和“TNAS初始化”(Network Access Server)隧道。前者一般指“主动”隧道，后者指“强制”隧道。“主动”隧道是用户为某种特定目的的请求建立的，而“强制”隧道则是在没有任何来自用户的动作以及选择的情况下建立的。L2TP作为“强制”隧道模型是让拨号用户与网络中的另一点建立连接的重要机制。建立过程如下:①用户通过Modem与NAS建立连接；②用户通过NAS的L2TP接入服务器身份认证﹔③在政策配置文件或NAS与政策服务器进行协商的基础上，NAS和L2TP接入服务器动态地建立一条L2TP隧道；④用户与L2TP接入服务器之间建立一条点到点协议〈Point to Point Protocol，PPP)访问服务隧道；⑤用户通过该隧道获得VPN服务。

与之相反的是，PPTP作为“主动”隧道模型允许终端***进行配置，与任意位置的PPTP服务器建立一条不连续的、点到点的隧道。并且，PPTP协商和隧道建立过程都没有中间媒介NAS的参与。NAS的作用只是提供网络服务。PPTP建立过程如下:①用户通过串口以拨号P访问的方式与NAS建立连接取得网络服务﹔②用户通过路由信息定位PPTP接入服务器；③用户形成一个PPTP虚拟接口﹔④用户通过该接口与PPTP接入服务器协商、认证建立一条PPP访问服务隧道；⑤用户通过该隧道获得VPN服务。

在L2TP中，用户感觉不到NAS的存在，仿佛与PPTP接入服务器直接建立连接。而在PPTP中，PPTP隧道对NAS是透明的；NAS不需要知道PPTP接入服务器的存在，只是简单地把PPTP流量作为普通IP流量处理。

采用L2TP还是PPTP实现VPN取决于要把控制权放在NAS还是用户手中。L2TP比PPTP更安全，因为L2TP接入服务器能够确定用户从哪里来的。L2TP主要用于比较集中的、固定的VPN用户，而PPTP比较适合移动的用户。

现有主流的VPN软件虽然使用不同的隧道协议，但VPN隧道链路均采用VPN客户端同VPN服务端直连的方式，再由VPN服务端转发用户的明文数据到目标网络。攻击者锁定VPN服务端之后，可以直接定位到VPN客户端所在的IP，可能会进一步引发用户被直接攻击。因而，主流的VPN软件在数据源保护上安全级别不高。

发明内容

针对现有技术的不足，本发明提供了一种多级VPN加密传输方法及一种多级VPN加密传输***；

本发明还提供了一种计算机设备和存储介质；

本发明通过对路由器的路由表进行配置，对不同跳之间的路由进行子网的划分。使用set-mark对特定流量进行标记，使打上标记的特定流量通过特定的路由路径，从而实现多跳VPN之间的切换，从而实现对特定流量的加密传输。

术语解释：

1、NAT(Network Address Translation，网络地址转换)，是1994年提出的。当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址)，但现在又想和因特网上的主机通信(并不需要加密)时，可使用NAT方法。

2、/etc/iproute2/rt_table文件，路由表序号和表名的对应关系在/etc/iproute2/rt_table文件中，可手动编辑。

3、iptables组件的MARK指令，MARK标记，用于将特定的数据包打上标签，供iptables配合TC做QOS流量限制或应用策略路由。

4、AES加密、AES解密，高级加密标准(英语:Advanced Encryption Standard，缩写:AES)，在密码学中又称Rijndael加密法。

5、DH算法，DH是Diffie-Hellman的首字母缩写，是Whitefield与Martin Hellman在1976年提出了一个的密钥交换协议。

6、私钥解密，使用单个私钥来解密数据。由于具有密钥的任意一方都可以使用该密钥解密数据，因此必须保护密钥不被未经授权的代理得到。

本发明的技术方案为：

一种多级VPN加密传输方法，多级VPN包括VPN客户端、VPN服务端，是指：通过使用set-mark标记和NAT，实现所述VPN客户端通过3跳或3跳以上的链路同所述VPN服务端建立通信隧道。

根据本发明优选的，通过使用set-mark标记和NAT，实现所述VPN客户端通过3跳或3跳以上的链路同所述VPN服务端建立通信隧道，包括步骤如下：

(1)配置路由表：配置VPN客户端与VPN服务端之间的通信隧道所经过链路的路由的路由表，使源地址为VPN客户端地址的数据流量走设定的链路路径；

(2)对特定数据打上标记：依据数据的源地址，对特定源地址的数据打上标记；特定数据是指源地址为VPN客户端地址的数据流量；

(3)对标记数据进行加密：对步骤(2)的标记的数据在每一跳都进行一次加密；

(4)让特定标记的数据走特定路由：让步骤(3)加密的数据使用步骤(1)配置的路由表，将加密的数据发送至VPN服务端；

(5)VPN服务端对接收数据解密：VPN服务端对接收到的数据进行解密，得到VPN客户端发送的原始信息，实现VPN客户端和VPN服务端之间数据的多跳VPN加密传输。

进一步优选的，步骤(1)中，通过配置/etc/iproute2/rt_table文件，修改数据传输的路由路径，使源地址为VPN客户端地址的数据流量走设定的链路路径。

进一步优选的，步骤(2)中，使用iptables组件的MARK指令对特定数据打上标记。

进一步优选的，步骤(3)的实现步骤包括：

A、对步骤(2)的标记的数据进行AES加密，AES加密后发往下一跳路由；

B、对下一跳路由接收到的步骤A中AES加密后的数据使用DH算法用公钥进行加密，加密后发往下一跳路由；

C、对下一跳路由接收到的步骤B中公钥加密后的数据进行加密直至到达所述VPN服务端。

对于三跳以上路由的通信隧道，接下去的每一中转路由可自行定制是否加密以及使用何种算法进行加密。

进一步优选的，步骤(5)的实现步骤包括：

D、对接收到的数据用私钥进行第一次解密；

E、对第一次解密后得到的数据再进行AES解密，从而得到所述VPN客户端发送的原始信息。

一种多级VPN加密传输***，包括依次连接的配置模块、标记模块、加密模块、发送模块及解密模块；

所述配置模块用于实现步骤(1)；所述标记模块用于实现步骤(2)；所述加密模块用于实现步骤(3)；所述发送模块用于实现步骤(4)；所述解密模块用于实现步骤(5)。

一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现多级VPN加密传输方法的步骤。

一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现多级VPN加密传输方法的步骤。

本发明的有益效果为：

1、本发明提供的一种多级VPN加密传输技术的实现方法，通过使用set-mark标记和NAT来实现，VPN客户端通过3跳或3跳以上的链路同VPN服务端建立通信隧道，使得攻击者不容易跟踪定位到服务端。

2、本发明用户通信隧道采用多跳链路节点实现，客户端至少通过2跳连接到目标网络，客户端IP更具有隐蔽性。

3、本发明通过使用set-mark标记和NAT实现多级VPN传输，易于实现和维护。

4、本发明实用范围包括个人用户，网络服务提供商，中小型企业、机构之间的通信以及机密信息的传输，应用前景十分广泛。

附图说明

图1为本发明多级VPN加密传输方法的流程示意图；

图2为本发明多级VPN加密传输拓扑示意图；

图3为本发明多级VPN加密传输***的结构示意图。

具体实施方式

下面结合说明书附图和实施例对本发明作进一步限定，但不限于此。

实施例1

一种多级VPN加密传输方法，多级VPN包括VPN客户端、VPN服务端，是指：通过使用set-mark标记和NAT，实现VPN客户端通过3跳或3跳以上的链路同VPN服务端建立通信隧道。

实施例2

根据实施例1所述的一种多级VPN加密传输方法，如图1所示，其区别在于：

通过使用set-mark标记和NAT，实现VPN客户端通过3跳或3跳以上的链路同VPN服务端建立通信隧道，包括步骤如下：

(1)配置路由表：配置VPN客户端与VPN服务端之间的通信隧道所经过链路的路由的路由表，使源地址为VPN客户端地址的数据流量走设定的链路路径；

(2)对特定数据打上标记：依据数据的源地址，对特定源地址的数据打上标记；特定数据是指源地址为VPN客户端地址的数据流量；

(3)对标记数据进行加密：对步骤(2)的标记的数据在每一跳都进行一次加密；

(4)让特定标记的数据走特定路由：让步骤(3)加密的数据使用步骤(1)配置的路由表，将加密的数据发送至VPN服务端；

(5)VPN服务端对接收数据解密：VPN服务端对接收到的数据进行解密，得到VPN客户端发送的原始信息，实现VPN客户端和VPN服务端之间数据的多跳VPN加密传输。

步骤(1)中，通过配置/etc/iproute2/rt_table文件，修改数据传输的路由路径，使源地址为VPN客户端地址的数据流量走设定的链路路径。

步骤(2)中，使用iptables组件的MARK指令对特定数据打上标记。

步骤(3)的实现步骤包括：

A、对步骤(2)的标记的数据进行AES加密，AES加密后发往下一跳路由；

B、对下一跳路由接收到的步骤A中AES加密后的数据使用DH算法用公钥进行加密，加密后发往下一跳路由；

C、对下一跳路由接收到的步骤B中公钥加密后的数据进行加密直至到达VPN服务端。

对于三跳以上路由的通信隧道，接下去的每一中转路由可自行定制是否加密以及使用何种算法进行加密。

步骤(5)的实现步骤包括：

D、对接收到的数据用私钥进行第一次解密；

E、对第一次解密后得到的数据再进行AES解密，从而得到VPN客户端发送的原始信息。

实施例3

根据实施例2所述的一种多级VPN加密传输方法，其区别在于：

使用set-mark标记和NAT实现多跳VPN，如图2所示，包括：

客户端向第一跳发送数据；

第一跳，139.129.13.90：

VPNs：tun100(10.100.0.1/16)VPNc:tun101(10.101.0.2/16)

第二跳，119.28.152.184：

VPNs：tun101(10.101.0.1/16)

VPNc：tun102(10.102.0.2/16)

第三跳，161.117.191.113

VPNs：tun102(10.102.0.1/16)

1)对第一跳路由进行设置，设置指令如下：

echo"100css100">>/etc/iproute2/rt_table

ip route flush table 100#清空已有路由表100的路由

ip route add default via 10.101.0.2 dev tun101 table 100#将表100的默认路由设置为tun101

ip route add 119.28.152.184 via 172.31.95.253 dev eth0#第2跳IP地址走物理网卡路由

ip rule add fwmark 0x10 table 100#标记为0x10的数据使用路由表100

iptables-t mangle-A PREROUTING-i tun100-s 10.100.0.0/16-j MARK--set-mark 0x10#源地址为tun100网卡的数据打上标记0x10

iptables-t nat-A POSTROUTING-s 10.100.0.0/16-o tun101-j MASQUERADE#将源地址为tun100的数据包，改源地址为tun101的ip地址

2)对第二跳路由进行设置，设置指令如下：

echo"101css101">>/etc/iproute2/rt_table

ip route flush table 101

ip route add default via 10.102.0.2 dev tun102 table 101

ip route add 161.117.191.113 via 172.29.0.1 dev eth0#第3跳IP地址走物理网卡路由

ip rule add fwmark 0x11 table 101

iptables-t mangle-A PREROUTING-i tun101-s 10.101.0.0/16-j MARK--set-mark 0x11

iptables-t nat-A POSTROUTING-s 10.101.0.0/16-o tun102-j MASQUERADE

3)对第三跳路由进行设置，设置指令如下：

iptables-t nat-A POSTROUTING-s 10.102.0.0/16-o eth0-j MASQUERADE

让所有HTTP和HTTPS流量走VPN，在网站需要加速的时候可以使用；

服务器上安装了VPNc，VPNs地址是10.7.0.1，虚拟网卡是tun0；

ip route add default via 10.7.0.1 dev tun0 table 100

ip rule add fwmark 0x10 table 100

iptables-t mangle-A PREROUTING-p tcp--dport 443-j MARK--set-mark 0x10

iptables-t mangle-A PREROUTING-p tcp--dport 80-j MARK--set-mark 0x10

实施例4

一种多级VPN加密传输***，如图3所示，包括依次连接的配置模块、标记模块、加密模块、发送模块及解密模块；配置模块用于实现步骤(1)；标记模块用于实现步骤(2)；加密模块用于实现步骤(3)；发送模块用于实现步骤(4)；解密模块用于实现步骤(5)。

实施例5

一种计算机设备，包括存储器和处理器，存储器存储有计算机程序，处理器执行计算机程序时实现实施例1或2多级VPN加密传输方法的步骤。

实施例6

一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现实施例1或2多级VPN加密传输方法的步骤。

Claims (9)

1.一种多级VPN加密传输方法，其特征在于，多级VPN包括VPN客户端、VPN服务端，是指：通过使用set-mark标记和NAT，实现所述VPN客户端通过3跳或3跳以上的链路同所述VPN服务端建立通信隧道。

2.根据权利要求1所述的一种多级VPN加密传输方法，其特征在于，通过使用set-mark标记和NAT，实现所述VPN客户端通过3跳或3跳以上的链路同所述VPN服务端建立通信隧道，包括步骤如下：

(1)配置路由表：配置VPN客户端与VPN服务端之间的通信隧道所经过链路的路由的路由表，使源地址为VPN客户端地址的数据流量走设定的链路路径；

(2)对特定数据打上标记：依据数据的源地址，对特定源地址的数据打上标记；特定数据是指源地址为VPN客户端地址的数据流量；

(3)对标记数据进行加密：对步骤(2)的标记的数据在每一跳都进行一次加密；

(4)让特定标记的数据走特定路由：让步骤(3)加密的数据使用步骤(1)配置的路由表，将加密的数据发送至VPN服务端；

(5)VPN服务端对接收数据解密：VPN服务端对接收到的数据进行解密，得到VPN客户端发送的原始信息，实现VPN客户端和VPN服务端之间数据的多跳VPN加密传输。

3.根据权利要求2所述的一种多级VPN加密传输方法，其特征在于，步骤(1)中，通过配置/etc/iproute2/rt_table文件，修改数据传输的路由路径，使源地址为VPN客户端地址的数据流量走设定的链路路径。

4.根据权利要求2所述的一种多级VPN加密传输方法，其特征在于，步骤(2)中，使用iptables组件的MARK指令对特定数据打上标记。

5.根据权利要求2所述的一种多级VPN加密传输方法，其特征在于，步骤(3)的实现步骤包括：

A、对步骤(2)的标记的数据进行AES加密，AES加密后发往下一跳路由；

B、对下一跳路由接收到的步骤A中AES加密后的数据使用DH算法用公钥进行加密，加密后发往下一跳路由；

C、对下一跳路由接收到的步骤B中公钥加密后的数据进行加密直至到达所述VPN服务端。

6.根据权利要求2所述的一种多级VPN加密传输方法，其特征在于，步骤(5)的实现步骤包括：

D、对接收到的数据用私钥进行第一次解密；

E、对第一次解密后得到的数据再进行AES解密，从而得到所述VPN客户端发送的原始信息。

7.一种多级VPN加密传输***，用于实现权利要求1-6任一所述多级VPN加密传输方法，其特征在于，包括依次连接的配置模块、标记模块、加密模块、发送模块及解密模块；

所述配置模块用于实现所述步骤(1)；所述标记模块用于实现所述步骤(2)；所述加密模块用于实现所述步骤(3)；所述发送模块用于实现所述步骤(4)；所述解密模块用于实现所述步骤(5)。

8.一种计算机设备，其特征在于，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现权利要求1-6任一所述多级VPN加密传输方法的步骤。

9.一种计算机可读存储介质，其特征在于，其上存储有计算机程序，所述计算机程序被处理器执行时实现权利要求1-6任一所述多级VPN加密传输方法的步骤。

Images