技術(shù)領(lǐng)域

本申請涉及開放式虛擬專用通道(OpenVPN)數(shù)據(jù)安全領(lǐng)域，由于涉及一種增強(qiáng)OpenVPN數(shù)據(jù)安全的方法和系統(tǒng)。

背景技術(shù)

虛擬專用通道(Virutal?Private?Network，VPN)是建立在Internet上一種安全數(shù)據(jù)傳輸?shù)乃淼馈penVPN是一個(gè)開放源碼的基于安全套接層(SSL)的VPN系統(tǒng)，和基于點(diǎn)對點(diǎn)隧道協(xié)議(PPTP)的VPN相比，其最大的優(yōu)勢在于支持用戶數(shù)據(jù)報(bào)協(xié)議(UDP)，支持從網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)設(shè)備后的連接。尤其是在Linux系統(tǒng)中，OpenVPN更容易配置和部署。

此外，OpenVPN具備許多安全特性：在用戶空間運(yùn)行，無須對內(nèi)核及網(wǎng)絡(luò)協(xié)議棧作修改；初始完畢后以chroot方式運(yùn)行，放棄根目錄(root)權(quán)限；使用mlockall防止敏感數(shù)據(jù)交換到磁盤；允許參與建立VPN的單點(diǎn)使用預(yù)設(shè)的私鑰，第三方證書，或者用戶名/密碼來進(jìn)行身份驗(yàn)證；大量使用OpenSSL加密庫，以及SSLv3/TLSvl協(xié)議。于是OpenVPN技術(shù)在安全性上的優(yōu)勢，該技術(shù)多被應(yīng)用于企業(yè)網(wǎng)關(guān)的通訊。

但是由于OpenVPN的開放性質(zhì)以及商業(yè)經(jīng)濟(jì)利益的驅(qū)使，近來針對OpenVPN的黑客活動(dòng)日益猖獗。由于OpenVPN使用安全傳輸層協(xié)議(TLS)握手來組建局域網(wǎng)絡(luò)，即當(dāng)客戶端和服務(wù)器之間傳輸應(yīng)用數(shù)據(jù)之前，需要通過TLS握手協(xié)商協(xié)議的版本，選擇加密算法，選擇是否相互進(jìn)行身份認(rèn)證，并用公鑰加密技術(shù)產(chǎn)生一個(gè)共享秘密信息以及向各方報(bào)告錯(cuò)誤。現(xiàn)有的針對OpenVPN的主要的黑客活動(dòng)為干擾TLS握手?jǐn)?shù)據(jù)，截取TLS握手?jǐn)?shù)據(jù)，從TSL握手?jǐn)?shù)據(jù)中尋找可利用的商業(yè)價(jià)值，影響企業(yè)數(shù)據(jù)安全。

發(fā)明內(nèi)容

本發(fā)明提供了一種增強(qiáng)OpenVPN數(shù)據(jù)安全的方法和系統(tǒng)，以解決如何避免TLS握手?jǐn)?shù)據(jù)被盜取的技術(shù)問題。

為解決上述技術(shù)問題，本發(fā)明實(shí)施例提供了一種增強(qiáng)OpenVPN數(shù)據(jù)安全性的方法，所述方法包括：

在進(jìn)行安全傳輸層協(xié)議(TLS)握手之前，將TSL握手?jǐn)?shù)據(jù)混淆成隨機(jī)數(shù)據(jù)后傳輸。

可選地，所述方法還包括：

在執(zhí)行完TSL握手，要傳輸應(yīng)用數(shù)據(jù)之前，將該應(yīng)用數(shù)據(jù)混淆成隨機(jī)數(shù)據(jù)后傳輸。

可選地，將數(shù)據(jù)混淆成隨機(jī)數(shù)據(jù)，包括：

生成隨機(jī)的混淆密鑰，將所述混淆密鑰與被混淆數(shù)據(jù)進(jìn)行異或操作。

可選地，所述生成隨機(jī)的混淆密鑰，包括：

生成隨機(jī)的混淆密鑰C0，C0＝SHA1(R+salt)，其中，salt是配置的客戶端和服務(wù)器端共享的用于彼此建立連接的字符串，字符串長度可設(shè)置；R是隨機(jī)數(shù)，長度與salt的長度相同；SHA1()表示通過SHA1加密算法對括號(hào)中的數(shù)進(jìn)行加密運(yùn)算。

可選地，所述方法還包括：

當(dāng)將數(shù)據(jù)混淆成隨機(jī)數(shù)據(jù)后，在該隨機(jī)數(shù)據(jù)的末尾添加長度不超過NUM的隨機(jī)信息。

可選地，

所述NUM為M0與256相除后的余數(shù)；M0為M的第一個(gè)字節(jié)，為無符號(hào)數(shù)；

M＝MD5(R+salt)，MD5()表示通過MD5加密算法對括號(hào)中的數(shù)進(jìn)行加密運(yùn)算。

可選地，所述生成隨機(jī)的混淆密鑰，包括：

當(dāng)被混淆數(shù)據(jù)的長度小于或等于20個(gè)字節(jié)時(shí)，生成隨機(jī)混淆密鑰C0，C0＝SHA1(R+salt)，其中，salt是配置的客戶端和服務(wù)器端共享的用于彼此建立連接的字符串，字符串長度可設(shè)置；R是隨機(jī)數(shù)，長度與salt的長度相同；SHA1()表示通過SHA1加密算法對括號(hào)中的數(shù)進(jìn)行加密運(yùn)算；

當(dāng)被混淆數(shù)據(jù)的長度大于20個(gè)字節(jié)時(shí)，生成隨機(jī)混淆密鑰Cn，Cn＝SHA1(C(n-1))，n＝20，19，...，1。

為解決上述技術(shù)問題，本發(fā)明實(shí)施例還提供了一種增強(qiáng)OpenVPN數(shù)據(jù)安全性的系統(tǒng)，所述系統(tǒng)包括：

數(shù)據(jù)混淆模塊，用于將安全傳輸層協(xié)議(TLS)握手?jǐn)?shù)據(jù)混淆成隨機(jī)數(shù)據(jù)；

數(shù)據(jù)傳輸模塊，用于在進(jìn)行TLS握手時(shí)，傳輸經(jīng)過混淆的握手?jǐn)?shù)據(jù)。

可選地，

所述數(shù)據(jù)混淆模塊，還用于將應(yīng)用數(shù)據(jù)混淆成隨機(jī)數(shù)據(jù)；

所述數(shù)據(jù)傳輸模塊，還用于在執(zhí)行完TSL握手后，傳輸經(jīng)過混淆的應(yīng)用數(shù)據(jù)。

可選地，數(shù)據(jù)混淆模塊，用于將數(shù)據(jù)混淆成隨機(jī)數(shù)據(jù)，包括：

生成隨機(jī)的混淆密鑰，將所述混淆密鑰與被混淆數(shù)據(jù)進(jìn)行異或操作。

可選地，所述數(shù)據(jù)混淆模塊，用于生成隨機(jī)的混淆密鑰，包括：