技術領域

本發明涉及通信技術領域，尤其涉及一種VPN的連接方法。

背景技術

信息技術的發展和 Internet 的廣泛使用，在給人們生活和工作帶來極大方便的同時，卻也使人們一直十分擔心在基于開放協議平臺TCP/IP 的 Internet 上通信數據的安全和計算機系統運行的安全。目前已經有多種安全通信技術應用于互聯網中的數據傳輸，其中在網絡層實現的因特網協議安全（IPSec）通信協議由于對應用層完全透明，因此非常適合在現有的 TCP/IP 網絡中，通過增加 IPSec 安全模塊，而不需修改應用系統、軟件的設置，為各類網絡應用構建一個通用的安全網絡通信環境。

隨著網絡，尤其是網絡經濟的發展，企業日益擴張，客戶分布日益廣泛，合作伙伴日益增多，這種情況促使了企業的效益日益增長，另一方面也越來越凸顯傳統企業網的功能缺陷：傳統企業網基于固定物理地點的專線連接方式已難以適應現代企業的需求于是企業對于自身的網絡建設提出了更高的需求，主要表現在網絡的靈活性、安全性、經濟性、擴展性等方面。在這樣的背景下，VPN以其獨具特色的優勢贏得了越來越多的企業的青睞，令企業可以較少地關注網絡的運行與維護，而更多地致力于企業的商業目標的實現。

VPN(Virtual Private Network)是指通過綜合利用網絡技術、訪問控制技術和加密技術，并通過一定的用戶管理機制，在公共網絡中建立起安全的“專用”網絡，保證數據在“加密通道”中進行安全傳輸的技術。通過隧道(TUNNEL)或虛電路(VIRTUAL CIRCUIT)實現網絡互聯，支持用戶安全管理，能夠進行網絡監控、故障診斷，具有省錢、選擇靈活、速度快、安全性好、實現投資的保護等優點。

在現有技術中，通過對IP層的擴展，使其能夠支持IPSec協議，包括網絡安全協議(AH，Authentication Header)和封裝安全載荷協議(ESP，Encapsulating Security Payload)、密鑰管理協議(IKE，Internet Key Exchange)協議。創建一個安全策略時，由安全策略進程負責管理和維護，并激活IKE進程與對方VPN網關協商一個SA (Security Association)。在發送數據時，由輸出進程按SA指定的協議封裝，并按規定算法加密和生成認證數據；接收數據時，由輸入進程按SA指定協議解包，并解密和驗證。

可見現有技術在進行IPSec連接是需要在通信雙方之間協商很多信息，這些信息的協商無疑加大了連接時所需的時間，并且若網絡傳輸有誤則會導致不明的連接失敗，影響了質量，降低了用戶體驗。

發明內容

本發明提供了一種基于IPsec的VPN快速連接方法，其特征在于，包括以下步驟：

步驟202、在發起VPN連接之前，通信雙方之間規定下次通信時涉及的n組IPSec的IKE和SA，并為每組IPSec的IKE和SA設置對應的掩碼，在通信雙方的節點上存儲該n組IKE和SA以及其對應的掩碼；

步驟204、會話發起方選擇任意一組IPSec的IKE和SA，并記錄所選擇的IPSec的IKE和SA以及其對應的掩碼；

步驟206、對要傳送的數據，使用所述記錄的IPSec的IKE和SA，得到使用IPSec協議封裝后的待發數據包；

步驟208、將所述待發數據包中除了IP包頭外的數據進行CRC運算，得到CRC碼；

步驟210、使用所述記錄的掩碼對CRC碼進行加擾；

步驟212、將所述待發數據包除去IP包頭后的部分和加擾后的CRC碼作為數據凈荷，加上對應的IP包頭后，進行發送，其中所述對應的IP包頭中包括所述待發數據包中指明的源、目的地地址信息；

步驟214、在后續的數據發送中，使用所述記錄的IPSec的IKE和SA以及掩碼，對數據進行處理后發送。

同時，本發明還提供了一種基于IPSec的VPN快速連接方法，其特征在于，包括以下步驟：

步驟202、在發起VPN連接之前，通信雙方之間規定下次通信時涉及的n組IPSec的IKE和SA，并為每組IPSec的IKE和SA設置對應的掩碼，在通信雙方的節點上存儲該n組IKE和SA以及其對應的掩碼；

步驟204、接收IP數據包，獲得數據包中的凈荷；

步驟206、對凈荷進行CRC校驗，得到校驗后的CRC碼；依次使用所述存儲的每一個掩碼對接收到的凈荷中的CRC碼進行解擾，獲得解擾后的CRC碼；比較所述校驗后的CRC碼和哪個所述解擾后的CRC碼一致；