CN117714125A - 基于用户安全等级的ssl vpn终端认证方法及*** - Google Patents
基于用户安全等级的ssl vpn终端认证方法及*** Download PDFInfo
- Publication number
- CN117714125A CN117714125A CN202311684916.9A CN202311684916A CN117714125A CN 117714125 A CN117714125 A CN 117714125A CN 202311684916 A CN202311684916 A CN 202311684916A CN 117714125 A CN117714125 A CN 117714125A
- Authority
- CN
- China
- Prior art keywords
- client
- server
- message
- vpn gateway
- vpn
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 28
- 230000006854 communication Effects 0.000 claims abstract description 19
- 238000004891 communication Methods 0.000 claims abstract description 18
- 238000012795 verification Methods 0.000 claims description 11
- 238000010586 diagram Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明为基于用户安全等级的SSL VPN终端认证方法及***,公开了客户端向服务端VPN网关发送认证请求数据包,服务端VPN网关根据客户端不同安全需求选择不同级别的认证方式并将响应消息返回给客户端,客户端在接受到服务端VPN网关响应消息后选择是否发送证书给服务端VPN网关,客户端与服务端VPN网关进行密钥交换过程,服务端VPN网关将发送一个加密的消息给客户端,完成SSL通信隧道的建立。客户端可以通过该SSL隧道和服务端VPN网关进行加密通信,客户端使用国密算法协商的会话密钥对通信数据包进行加密,服务端VPN网关用协商的会话密钥对加密的通信数据包进行解密,并获取客户端发送的消息明文;解决了认证***中需要AAA服务器参与认证,导致认证流程复杂等问题。
Description
技术领域
本发明属于信息安全技术领域,尤其涉及一种基于用户安全等级的SSL VPN终端认证方法及***。
背景技术
随着互联网技术的快速发展,用户对于远程通信的信息安全保密性要求越来越高,而传统的电话、E-mail、微信、普通视频等传统通信模式安全性低,不能满足更高安全级别的用户使用需求。SSL VPN是一种以SSL(Secure Sockets Layer,安全套接层)协议为基础的VPN(Virtual Private Network,虚拟专用网络)技术。SSL VPN可以提供安全可靠地远程通信方式。
目前,SSLVPN远程通信过程中,SSL VPN客户端认证方式单一,无法根据用户实际安全需求选择合适的认证方式,导致认证效率低且安全性无法得到有效保证。同时,现有的基于SSL VPN认证***中需要AAA服务器参与认证,导致认证流程复杂且成本较高。
发明内容
本发明要解决的技术问题是:本发明提供一种基于用户安全等级的SSL VPN终端认证方法及***,以解决现有的基于SSL VPN认证***中需要AAA服务器参与认证,导致认证流程复杂且成本较高等问题。
本发明技术方案是:
一种基于用户安全等级的SSL VPN终端认证方法,所述方法包括:
步骤1、在客户端与服务端VPN网关建立连接后,向SSL VPN***中的服务端VPN网关发送认证请求报文,认证请求报文包含客户端所需安全等级;安全等级分为重要和一般;
步骤2、服务端VPN网关接收到认证请求报文,首先判断客户端安全等级,如果是一般,则客户端不需要证书验证,服务端VPN网关设备会使用单向握手方式;如果是重要,则服务端VPN网关会使用双向握手方式;
步骤3、客户端发送一个客户端请求消息给服务端VPN网关;
步骤4、服务端VPN网关将返回给客户端一个服务端请求消息,请求消息含有一个附加的证书,如果是双向握手方式,则请求消息还含有附带一个证书请求消息以要求客户端发送客户端证书;
步骤5、客户端以明文的方式向服务端VPN网关发送第一密钥协商报文;
步骤6、服务端VPN网关在接收到第一密钥协商报文后,向客户端发送第二密钥协商报文,
步骤7、完成步骤5、步骤6后,服务端VPN网关设备将发送一个加密的会话建立成功消息给客户端;
步骤8、SSL通信隧道就创建完成,客户端通过该SSL隧道和服务端VPN网关设备交换经过加密的应用程序数据。
第一密钥协商报文包含明文消息和密文消息,明文消息含有客户端密钥交换消息和交换加密细节,密文消息含有结束标识,如果是双向握手方式,则明文消息还含有客户端数字证书。
所述第二密钥协商报文包含明文消息和密文消息,所述明文消息含有交换加密细节、密文消息含有结束标识,如果是双向握手方式,服务端VPN网关将基于客户端发送的数字证书信息验证客户端身份,验证成功后进行步骤7,否则SSL通信隧道创建失败。
认证请求报文、客户端请求消息、服务端请求消息、第一密钥协商报文、第二密钥协商报文及会话建立成功消息为采用SSL VPN协议的报文。
第一密钥协商报文、第二密钥协商报文均采用国密SM4、SM2或SM3算法。
认证请求报文还携带客户端安全等级标识,服务端VPN网关利用这一标识选择相应的认证方式。
第一密钥协商报文还携带密钥交换属性,对服务端VPN证书进行解密验证,包括:从第一密钥协商报文解析后得到密钥交换属性;利用密钥交换属性中记录的解密方式,对所述服务端VPN网关证书进行解密;判断解密后的服务器证书是否有效。
第二密钥协商报文还携带密钥交换属性,对所述服务端VPN证书进行解密验证,包括:从所述第二密钥协商报文解析后得到密钥交换属性;利用所述密钥交换属性中记录的解密方式,对所述服务端VPN网关证书进行解密;判断解密后的服务器证书是否有效;对所述客户端证书进行解密;判断解密后的客户端证书是否有效。
所述***包括:客户端和服务端VPN;客户端在与服务端VPN网关连接;所述客户端包括包括处理器、机器可读存储介质和远程通信软件;所述服务端VPN网关是基于SSL的VPN平台,为Web和非Web应用提供安全和可扩展的远程接入服务;服务端VPN网关支持使用SSLv3/TLSv1/TLSv1.2/DTLS/SMv1.1协议对传输的数据进行加密。
本发明有益效果:
本发明通过客户端向服务端VPN网关发送认证请求数据包,服务端VPN网关根据客户端不同安全需求选择不同级别的认证方式并将响应消息返回给客户端,客户端在接受到服务端VPN网关响应消息后选择是否发送证书给服务端VPN网关,客户端与服务端VPN网关进行密钥交换过程,服务端VPN网关将发送一个加密的消息给客户端,完成SSL通信隧道的建立。客户端可以通过该SSL隧道和服务端VPN网关进行加密通信,客户端使用国密算法协商的会话密钥对通信数据包进行加密,服务端VPN网关用协商的会话密钥对加密的通信数据包进行解密,并获取客户端发送的消息明文。能够解决SSL VPN终端认证中针对不同安全需求用户选择合适的认证方式的问题,从而提高VPN隧道中信息数据传输效率。
解决了现有的基于SSL VPN认证***中需要AAA服务器参与认证,导致认证流程复杂且成本较高等问题。
附图说明
图1为流程示意图;
图2为本发明实施例的SSL VPN客户端的结构示意图;
图3为本发明实施例的服务端VPN网关的结构示意图;
图4为本发明实施例的***组成示意图。
具体实施方式
本发明支持基于用户安全等级需求,选择合适的认证方式,以提高SSL VPN认证的效率。***采用客户端和服务端VPN网关的架构,将AAA服务器集成到服务端VPN网关中,从而降低SSL VPN认证***的成本。
一种基于用户安全等级的SSL VPN终端认证方法,包括:
步骤1、在客户端与服务端VPN网关建立连接后,向所述SSL VPN***中的服务端VPN网关发送认证请求报文,所述的认证请求报文包含客户端所需安全等级,安全等级为重要、一般;
步骤2、服务端VPN网关接收到认证请求报文,首先判断客户端安全等级,如果是一般,则客户端不需要证书验证,服务端VPN网关设备会使用单向握手方式。如果是重要,则服务端VPN网关会使用双向握手方式。
步骤3、客户端发送一个客户端请求消息给服务端VPN网关。
步骤4、服务端VPN网关将返回给客户端一个服务端请求消息,所述消息含有一个附加的证书。如果是双向握手方式,则所述消息还含有附带一个证书请求消息消息以要求客户端发送客户端证书。
步骤5、客户端以明文的方式向服务端VPN网关发送第一密钥协商报文,所述第一密钥协商报文包含明文消息和密文消息,所述明文消息含有客户端密钥交换消息、交换加密细节,所述密文消息含有结束标识。如果是双向握手方式,则所述的明文消息还含有客户端数字证书。
步骤6、服务端VPN网关在接收到第一密钥协商报文后,向客户端发送第二密钥协商报文,所述第二密钥协商报文包含明文消息和密文消息,所述明文消息含有交换加密细节、密文消息含有结束标识。如果是双向握手方式,服务端VPN网关将基于客户端发送的数字证书信息验证客户端身份,验证成功后进行步骤7,否则SSL通信隧道创建失败。
步骤7、完成步骤5、步骤6后,服务端VPN网关设备将发送一个加密的会话建立成功消息给客户端。
步骤8、SSL通信隧道就创建完成。客户端可以通过该SSL隧道和服务端VPN网关设备交换经过加密的应用程序数据。
第二方面,本发明实施例提供了一种SSL VPN***,所述***包括:客户端、服务端VPN网关。客户端包括处理器、机器可读存储介质和远程通信软件,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行的指令,所述指令由所述处理器加载并执行,可以执行远程通信软件,以实现本发明实施例第一方面所述的方法。服务端VPN网关是基于SSL的VPN平台,为Web和非Web应用提供快速、安全和可扩展的远程接入。服务端VPN网关设备通过SSL加速提升访问速度,支持使用SSLv3/TLSv1/TLSv1.2/DTLS/SMv1.1协议对传输的数据进行加密,以实现本发明实施例第一方面所述的方法。
客户端在与服务端VPN网关建立连接后,客户端向服务端VPN网关发送认证请求报文,服务端VPN网关在收到认证请求报文后,识别到认证请求报文中携带安全等级标识,选择合适的认证方式,与客户端进行密钥协商和证书交互过程,如果客户端安全等级为一般,则客户端验证到服务端VPN网关证书有效后即可确定SSL VPN认证成功。如果客户端安全等级为重要,则不仅需要客户端验证到服务端VPN网关证书有效,而且服务端VPN网关也需要验证客户端数字证书有效,二者均验证通过后则可以确定SSL VPN认证成功。保证了客户端和服务端VPN网关是对端可以识别为有效的设备,避免了客户端和服务端VPN网关被假冒利用,从而提高了SSLVPN认证效率和通信安全性。
Claims (9)
1.一种基于用户安全等级的SSL VPN终端认证方法,其特征在于:所述方法包括:
步骤1、在客户端与服务端VPN网关建立连接后,向SSL VPN***中的服务端VPN网关发送认证请求报文,认证请求报文包含客户端所需安全等级;安全等级分为重要和一般;
步骤2、服务端VPN网关接收到认证请求报文,首先判断客户端安全等级,如果是一般,则客户端不需要证书验证,服务端VPN网关设备会使用单向握手方式;如果是重要,则服务端VPN网关会使用双向握手方式;
步骤3、客户端发送一个客户端请求消息给服务端VPN网关;
步骤4、服务端VPN网关将返回给客户端一个服务端请求消息,请求消息含有一个附加的证书,如果是双向握手方式,则请求消息还含有附带一个证书请求消息以要求客户端发送客户端证书;
步骤5、客户端以明文的方式向服务端VPN网关发送第一密钥协商报文;
步骤6、服务端VPN网关在接收到第一密钥协商报文后,向客户端发送第二密钥协商报文,
步骤7、完成步骤5、步骤6后,服务端VPN网关设备将发送一个加密的会话建立成功消息给客户端;
步骤8、SSL通信隧道就创建完成,客户端通过该SSL隧道和服务端VPN网关设备交换经过加密的应用程序数据。
2.根据权利要求1所述的一种基于用户安全等级的SSL VPN终端认证方法,其特征在于:第一密钥协商报文包含明文消息和密文消息,明文消息含有客户端密钥交换消息和交换加密细节,密文消息含有结束标识,如果是双向握手方式,则明文消息还含有客户端数字证书。
3.根据权利要求1所述的一种基于用户安全等级的SSL VPN终端认证方法,其特征在于:所述第二密钥协商报文包含明文消息和密文消息,所述明文消息含有交换加密细节、密文消息含有结束标识,如果是双向握手方式,服务端VPN网关将基于客户端发送的数字证书信息验证客户端身份,验证成功后进行步骤7,否则SSL通信隧道创建失败。
4.根据权利要求1所述的一种基于用户安全等级的SSL VPN终端认证方法,其特征在于:认证请求报文、客户端请求消息、服务端请求消息、第一密钥协商报文、第二密钥协商报文及会话建立成功消息为采用SSL VPN协议的报文。
5.根据权利要求1所述的一种基于用户安全等级的SSL VPN终端认证方法,其特征在于:第一密钥协商报文、第二密钥协商报文均采用国密SM4、SM2或SM3算法。
6.根据权利要求1所述的一种基于用户安全等级的SSL VPN终端认证方法,其特征在于:认证请求报文还携带客户端安全等级标识,服务端VPN网关利用这一标识选择相应的认证方式。
7.根据权利要求1所述的一种基于用户安全等级的SSL VPN终端认证方法,其特征在于:第一密钥协商报文还携带密钥交换属性,对服务端VPN证书进行解密验证,包括:从第一密钥协商报文解析后得到密钥交换属性;利用密钥交换属性中记录的解密方式,对所述服务端VPN网关证书进行解密;判断解密后的服务器证书是否有效。
8.根据权利要求1所述的一种基于用户安全等级的SSL VPN终端认证方法,其特征在于:第二密钥协商报文还携带密钥交换属性,对所述服务端VPN证书进行解密验证,包括:从所述第二密钥协商报文解析后得到密钥交换属性;利用所述密钥交换属性中记录的解密方式,对所述服务端VPN网关证书进行解密;判断解密后的服务器证书是否有效;对所述客户端证书进行解密;判断解密后的客户端证书是否有效。
9.一种实现权1-8任意所述方法的***,其特征在于:所述***包括:客户端和服务端VPN;客户端在与服务端VPN网关连接;所述客户端包括包括处理器、机器可读存储介质和远程通信软件;所述服务端VPN网关是基于SSL的VPN平台,为Web和非Web应用提供安全和可扩展的远程接入服务;服务端VPN网关支持使用SSLv3/TLSv1/TLSv1.2/DTLS/SMv1.1协议对传输的数据进行加密。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311684916.9A CN117714125A (zh) | 2023-12-08 | 2023-12-08 | 基于用户安全等级的ssl vpn终端认证方法及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311684916.9A CN117714125A (zh) | 2023-12-08 | 2023-12-08 | 基于用户安全等级的ssl vpn终端认证方法及*** |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117714125A true CN117714125A (zh) | 2024-03-15 |
Family
ID=90163238
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311684916.9A Pending CN117714125A (zh) | 2023-12-08 | 2023-12-08 | 基于用户安全等级的ssl vpn终端认证方法及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117714125A (zh) |
-
2023
- 2023-12-08 CN CN202311684916.9A patent/CN117714125A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109347809B (zh) | 一种面向自主可控环境下的应用虚拟化安全通信方法 | |
CN108650227B (zh) | 基于数据报安全传输协议的握手方法及*** | |
CN107277061B (zh) | 基于iot设备的端云安全通信方法 | |
EP1811744B1 (en) | Method, system and centre for authenticating in End-to-End communications based on a mobile network | |
US11736304B2 (en) | Secure authentication of remote equipment | |
US7222234B2 (en) | Method for key agreement for a cryptographic secure point—to—multipoint connection | |
CN110808829B (zh) | 一种基于密钥分配中心的ssh认证方法 | |
CN111756529B (zh) | 一种量子会话密钥分发方法及*** | |
CN112995612B (zh) | 一种电力视频监控终端安全接入方法及*** | |
CN110247803B (zh) | 一种针对网络管理协议SNMPv3的协议优化架构及其方法 | |
CN112637136A (zh) | 加密通信方法及*** | |
WO2012083828A1 (zh) | 本地路由业务的实现方法、基站及*** | |
CN112312393A (zh) | 5g应用接入认证方法及5g应用接入认证网络架构 | |
KR20180130203A (ko) | 사물인터넷 디바이스 인증 장치 및 방법 | |
CN112332986B (zh) | 一种基于权限控制的私有加密通信方法及*** | |
CN108040071B (zh) | 一种VoIP音视频加密密钥动态切换方法 | |
CN115314214A (zh) | 一种基于支持硬件加速国密算法的tls协议实现方法 | |
WO2009082950A1 (fr) | Procédé, dispositif et système de distribution de clés | |
JPH10242957A (ja) | ユーザ認証方法およびシステムおよびユーザ認証用記憶媒体 | |
CN109474667B (zh) | 一种基于tcp和udp的无人机通信方法 | |
WO2012126299A1 (zh) | 组合认证***及认证方法 | |
CN213938340U (zh) | 5g应用接入认证网络架构 | |
CN117714125A (zh) | 基于用户安全等级的ssl vpn终端认证方法及*** | |
CN111698096B (zh) | 基于ndn的智能家居设备自动化安全登录方法 | |
CN114386020A (zh) | 基于量子安全的快速二次身份认证方法及*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |