[发明专利]闪存卡及虚拟专用网密钥交换的实现方法

说明书

技术领域

本发明涉及网络安全技术，特别涉及一种闪存卡及虚拟专用网(VPN，Virtual Private Network)密钥交换的实现方法。 

背景技术

VPN是通过公用网络(通常为互联网)建立一个临时、安全的连接，以企业内部网为例，通过VPN可以使公司总部与分支机构、商业伙伴及供应商公司等的内部网建立可信的安全连接，并保证数据的安全传输，上述连接并非物理链路，而是通信双方基于公用网络建立起的虚拟传输“隧道”。 

在VPN技术的基础上，现有技术中出现了一种基于公开密钥体系(PKI，Public Key Infrastructure)的VPN解决方案，通过PKI提供的公钥密码技术、数字证书、证书认证机构和安全策略等进一步完善VPN的功能。 

申请号为01132348.5的中国专利公开了一种基于PKI的VPN密钥交换的实现方法，这里的密钥交换是通信双方在建立安全连接、及进行通信之前必须进行的操作。 

图1为现有技术中基于PKI的企业VPN的网络架构示意图，该企业VPN通过企业内部网建立，将该企业内部网称为目标网络。其中， 

第一目标网络网关11位于企业总部的内部网中，第二目标网络网关12位于企业分支机构的内部网中，这两个目标网络网关都具有自己的网关证书； 

PKI管理实体13包括证书注册机构(RA，Registration Authority)和认证中心(CA，Certificate Authority)，其中RA为目标网络网关提供身份验证和注册，即为目标网络网关提供登录企业VPN的用户名和密码、将CA签发的证书发布到证书库14、以及将CA签发的证书发布给各个目标网络网关；CA为目标网络网关签发网关证书，并及时更新哪些证书已经失效的消息(CRL)到证书库14；证书库14用于保存PKI管理实体13签发的证书 及其相关信息，该证书库14通常采用目录服务器实现，所保存的证书通常为X.509格式，通过互联网可以访问该证书库14。 

基于图1所示的网络架构，第一目标网络网关与第二目标网络网关通信之前所进行的密钥交换包括以下步骤： 

步骤1：第一目标网络网关11与第二目标网络网关12协商一个临时会话密钥； 

步骤2：第一目标网络网关11与第二目标网络网关12针对身份进行相互认证，在本步骤的认证时需要使用由PKI管理实体为每个网关签发的网关证书。 

虽然这篇专利中提出了基于PKI的VPN密钥交换方法，但是还存在以下缺陷： 

第一、进行密钥交换的通信双方都位于目标网络内，但随着移动办公的情况越来越多，用户可能需要在目标网络外，例如使用家里的终端登录企业VPN并与某一目标网络网关交互数据，该专利中并不存在这种情况下VPN密钥交换的实现方法； 

第二、该专利中在实现密钥交换时首先协商临时会话密钥，然后才进行针对身份的相互认证，这样如果相互认证没有通过则前述的协商密钥过程并没有意义，反而增加了通信双方的负担。 

发明内容

本发明的第一个目的在于提供一种VPN密钥交换的实现方法，使用该方法可以使位于目标网络外的终端实现与目标网络内终端之间的密钥交换，且能有效减轻VPN密钥交换中通信双方的负担。 

本发明的第二个目的在于提供一种闪存卡，使用该闪存卡可以使位于目标网络外的终端实现与目标网络内终端之间的密钥交换，且能有效减轻VPN密钥交换中通信双方的负担。 

本发明的技术方案是这样实现的： 

一种虚拟专用网密钥交换的实现方法，关键在于，在包括卡控制器和存储器的闪存卡中集成智能芯片，在所述存储器中存储公开密钥体系PKI管理实体签发的用户证书；该方法还包括： 

所述智能芯片利用所述用户证书与目标网络网关相互认证，包括：所述智 能芯片将用户证书封装在登录请求消息中发送给目标网络网关；所述目标网络网关访问PKI管理实体验证所述用户证书有效后，将网关证书封装在登录响应消息中发送给智能芯片；所述智能芯片访问PKI管理实体验证所述网关证书有效后，将多种安全关联参数封装在认证请求消息中发送给目标网络网关；所述目标网络网关从认证请求消息中封装的安全关联参数中选择一种，将认证通过及选择出的安全关联参数封装在认证响应消息中发送给智能芯片； 

所述智能芯片在相互认证通过后，与目标网络网关协商临时会话密钥。 

一种闪存卡，包括存储器和卡控制器；关键在于，该闪存卡还包括智能芯片；