国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種基于IPsecVPN代理的Intranet接入系統(tǒng)的制作方法

      文檔序號:11930045閱讀:276來源:國知局
      一種基于IPsec VPN代理的Intranet接入系統(tǒng)的制作方法與工藝

      本發(fā)明涉及一種VPN技術(shù),更特別地說,是指一種基于IPsec VPN代理的Intranet接入系統(tǒng)。



      背景技術(shù):

      Intranet稱為企業(yè)內(nèi)部網(wǎng),或稱內(nèi)部網(wǎng)、內(nèi)聯(lián)網(wǎng)、內(nèi)網(wǎng),是一個使用與因特網(wǎng)(Internet)同樣技術(shù)的計算機(jī)網(wǎng)絡(luò),它通常建立在一個企業(yè)或組織的內(nèi)部并為其成員提供信息的共享和交流等服務(wù),例如萬維網(wǎng),文件傳輸,電子郵件等。

      在《IPsec VPN技術(shù)規(guī)范》GM/T0022-2014,第2頁中“IPsec協(xié)議(Internet Protocol Security)”由IETF制定的端到端的確?;贗P通信數(shù)據(jù)安全性的一種網(wǎng)絡(luò)層協(xié)議,可以提供數(shù)據(jù)完整性保護(hù)、數(shù)據(jù)源鑒別、載荷機(jī)密性和抗重放攻擊等安全服務(wù)。第3頁中“VPN(Virtual Private Network)”為虛擬專用網(wǎng)絡(luò)。

      IPsec最初的設(shè)計是提供點到點的,在遠(yuǎn)程站點和中央辦公室資源之間進(jìn)行不間斷的連接。在這種情況下,客戶端可以是分公司或者供應(yīng)商。這個協(xié)議被設(shè)計為工作在網(wǎng)絡(luò)堆棧的更底層(第3層,網(wǎng)絡(luò)層),并可以用來傳輸任何基于IP的協(xié)議報文,而不用理會應(yīng)用程序所產(chǎn)生的流量。隨著移動辦公時代的到來,IPsec已經(jīng)得到擴(kuò)展,用戶通過使用一個安裝在移動設(shè)備上的專用VPN應(yīng)用程序(客戶端)就可以進(jìn)行遠(yuǎn)程訪問。

      然而,IPsec中與應(yīng)用程序無關(guān)的設(shè)計也是它的弱點。雖然它提供了認(rèn)證、授權(quán)和加密,同時還基本上把公司網(wǎng)絡(luò)拓展到任何遠(yuǎn)程用戶,但是它沒有能在一定粒度級別上限制對資源的訪問。一旦隧道建立,遠(yuǎn)程用戶通??梢栽L問公司的任何資源,就像他們是直接連接到公司網(wǎng)絡(luò)一樣。因為移動辦公需要允許諸如智能手機(jī)和家用電腦等非托管的IT設(shè)備訪問公司資源,所以這些安全問題顯得更加嚴(yán)重。

      此外,IPsec VPN要求每一臺客戶機(jī)都需要安裝客戶端軟件,在帶來安全風(fēng)險的同時,增加了使用難度。IPsec也需要更多的維護(hù),除了VPN服務(wù)器,用戶客戶機(jī)的軟件也需要進(jìn)行管理維護(hù)。



      技術(shù)實現(xiàn)要素:

      針對以上不足,本發(fā)明設(shè)計了一種基于IPsec VPN代理的Intranet接入系統(tǒng)。本發(fā)明接入系統(tǒng)解決了IPsec VPN使用困難以及維護(hù)困難的缺點,并兼顧了應(yīng)用程序無關(guān)性與細(xì)粒度訪問控制。本發(fā)明接入系統(tǒng)是在IPsec基礎(chǔ)功能上加以拓展,與傳統(tǒng)IPsec VPN相比,本發(fā)明接入系統(tǒng)具有配置管理簡單、后臺維護(hù)方便、無需客戶端軟件即可接入的優(yōu)點,同時還提供細(xì)粒度的訪問控制能。

      本發(fā)明是一種基于IPsec VPN代理的Intranet接入系統(tǒng),該ntranet接入系統(tǒng)包括有配置服務(wù)器(2)、VPN網(wǎng)關(guān)(3)、認(rèn)證服務(wù)器(4)、認(rèn)證客戶端(5)以及多個移動VPN代理設(shè)備;移動VPN代理設(shè)備通過因特網(wǎng)與配置服務(wù)器(2)和VPN網(wǎng)關(guān)(3)實現(xiàn)通訊;用戶的訪問請求經(jīng)由移動VPN代理設(shè)備和VPN網(wǎng)關(guān)(3)的轉(zhuǎn)發(fā),使所述訪問請求到達(dá)認(rèn)證客戶端(5);然后認(rèn)證客戶端(5)與認(rèn)證服務(wù)器(4)通過企業(yè)內(nèi)部網(wǎng)實現(xiàn)所述訪問請求的授權(quán);

      一個用戶配置有一個移動VPN代理設(shè)備;在用戶經(jīng)Intranet訪問私有資源時,移動VPN代理設(shè)備第一方面完成自動初始化,第二方面完成接收配置的處理,第三方面完成狀態(tài)信息的發(fā)送;在完成第一方面和第二方面后則建立了連接到Intranet網(wǎng)絡(luò)的IPsec隧道;

      配置服務(wù)器(2)第一方面進(jìn)行對移動VPN代理設(shè)備的認(rèn)證,第二方面用于配置移動VPN代理設(shè)備和VPN網(wǎng)關(guān)(3),第三方面接收來自移動VPN代理設(shè)備和VPN網(wǎng)關(guān)(3)的狀態(tài)信息;

      VPN網(wǎng)關(guān)(3)第一方面完成接收配置的處理,第二方面完成狀態(tài)信息的發(fā)送;第三方面響應(yīng)移動VPN代理設(shè)備的IPsec隧道建立請求;

      認(rèn)證服務(wù)器(4)用于完成對用戶的身份認(rèn)證和授權(quán)信息下發(fā)的處理;

      認(rèn)證客戶端(5)用于過濾用戶請求和授權(quán)信息接收的處理。

      配置服務(wù)器(2)中一方面存儲有全部移動VPN代理設(shè)備的用于設(shè)備認(rèn)證的設(shè)備信息集INAUTH={INAUTH_A,INAUTH_B,…INAUTH_a,…,INAUTH_N};另一方面存儲有全部移動VPN代理設(shè)備的設(shè)備—狀態(tài)信息集INSTAT={INSTAT_A,INSTAT_B,…INSTAT_a,…,INSTAT_N};再一方面存儲有VPN網(wǎng)關(guān)(3)的網(wǎng)關(guān)—配置信息集IMSTAT={IP,CPU,MEM,NET,TNL};

      認(rèn)證服務(wù)器(4)中一方面存儲有屬于企業(yè)全部工作人員的注冊身份信息集UAUTH={uAUTH_A,uAUTH_B,…,uAUTH_a…uAUTH_Z},另一方面存儲有針對每一個工作人員的授權(quán)信息集ACLAUTH={acAUTH_A,acAUTH_B,…,acAUTH_a,…,acAUTH_N};

      任意一個認(rèn)證客戶端設(shè)有唯一標(biāo)識符rdj,J為Intranet中認(rèn)證客戶端的總數(shù)目,j∈J;任意認(rèn)證客戶端維護(hù)用戶的IP地址集記為IPLj={ipj_1,ipj_2,…,ipj_k,…,ipj_K},其中ipj_1表示rdj允許訪問的第一個用戶,ipj_2表示rdj允許訪問的第二個用戶,ipj_k表示rdj允許訪問的任意一個用戶,ipj_K表示rdj允許訪問的最后一個用戶,K為rdj允許訪問的用戶的總數(shù)目,k∈K;

      一個用戶配置有一個移動VPN代理設(shè)備;

      用戶使用IPsec VPN代理接入Intranet系統(tǒng)的認(rèn)證過程如下:

      步驟1,任意一移動VPN代理設(shè)備pda接入Internet后,并對所述移動VPN代理設(shè)備pda執(zhí)行設(shè)置代理初始化;

      步驟2,配置服務(wù)器(2)接收到來自所述移動VPN代理設(shè)備pda的初始化設(shè)備請求,然后完成對所述移動VPN代理設(shè)備pda的配置-設(shè)備認(rèn)證,并向移動VPN代理設(shè)備pda發(fā)送配置-設(shè)備信息

      步驟3,移動VPN代理設(shè)備pda接收到所述配置-設(shè)備信息后,建立與VPN網(wǎng)關(guān)(3)的IPsec隧道;

      步驟4,用戶通過所述IPsec隧道向Intranet的私有資源發(fā)起訪問請求;

      步驟5,認(rèn)證客戶端(5)對用戶的訪問請求進(jìn)行過濾,并將用戶重定向到認(rèn)證服務(wù)器(4);

      步驟6,認(rèn)證服務(wù)器(4)對用戶進(jìn)行身份認(rèn)證后,并向認(rèn)證客戶端(5)下發(fā)授權(quán)-用戶信息;

      步驟7,認(rèn)證客戶端(5)對接收到的所述授權(quán)-用戶信息進(jìn)行處理;

      步驟8,用戶再次通過所述IPsec隧道向Intranet的私有資源發(fā)起訪問請求;

      步驟9,認(rèn)證客戶端(5)對用戶的訪問請求進(jìn)行過濾,并轉(zhuǎn)發(fā)依據(jù)訪問請求請求到的屬于Intranet的私有資源。

      本發(fā)明一種基于IPsec VPN代理的Intranet接入系統(tǒng)的優(yōu)點在于:

      ①本發(fā)明Intranet接入系統(tǒng)是在IPsec基礎(chǔ)功能上加以拓展,與傳統(tǒng)IPsec VPN相比,本發(fā)明接入系統(tǒng)具有配置管理簡單、后臺維護(hù)方便、無需客戶端軟件即可接入的優(yōu)點,同時還提供細(xì)粒度的訪問控制能。

      ②一方面應(yīng)用移動VPN代理設(shè)備的設(shè)備認(rèn)證信息來實現(xiàn)代理設(shè)備的自動初始化,另一方面應(yīng)用移動VPN代理設(shè)備的設(shè)備狀態(tài)信息來實現(xiàn)代理設(shè)備的狀態(tài)監(jiān)控,有利于對代理設(shè)備的集中管理。

      ③本發(fā)明接入系統(tǒng)通過移動VPN代理設(shè)備實現(xiàn)用戶對Intranet的接入,進(jìn)而通過認(rèn)證服務(wù)器和認(rèn)證客戶端實現(xiàn)對用戶訪問請求的授權(quán)。

      ④在本發(fā)明中建立的IPsec隧道是由VPN網(wǎng)關(guān)和移動VPN代理設(shè)備建立的,無需用戶參與,降低了IPsec VPN的使用門檻。

      附圖說明

      圖1是本發(fā)明基于IPsec VPN代理的Intranet接入系統(tǒng)的結(jié)構(gòu)框圖。

      圖2是本發(fā)明基于IPsec VPN代理的Intranet接入系統(tǒng)的時序圖。

      具體實施方式

      下面將結(jié)合附圖對本發(fā)明做進(jìn)一步的詳細(xì)說明。

      參見圖1所示,本發(fā)明的一種基于IPsec VPN代理的Intranet接入系統(tǒng),其包括有配置服務(wù)器2、VPN網(wǎng)關(guān)3、認(rèn)證服務(wù)器4、認(rèn)證客戶端5、以及多個移動VPN代理設(shè)備(即移動VPN代理A設(shè)備1A、移動VPN代理B設(shè)備1B、……、移動VPN代理N設(shè)備1N)。多個移動VPN代理設(shè)備通過因特網(wǎng)(Internet)與配置服務(wù)器2和VPN網(wǎng)關(guān)3實現(xiàn)通訊;用戶user的訪問請求access request經(jīng)由移動VPN代理設(shè)備和VPN網(wǎng)關(guān)3的轉(zhuǎn)發(fā),使所述訪問請求access request到達(dá)認(rèn)證客戶端5;然后認(rèn)證客戶端5與認(rèn)證服務(wù)器4通過企業(yè)內(nèi)部網(wǎng)(Intranet)實現(xiàn)所述用戶user的訪問請求access request的授權(quán)。在基于IPsec VPN代理的Intranet接入系統(tǒng)中私有資源Private resources的請求用戶既是企業(yè)內(nèi)部網(wǎng)(Intranet)中私有資源Private resources的擁有者,也企業(yè)內(nèi)部網(wǎng)(Intranet)中的用戶。

      在本發(fā)明中,pda表示任意一個移動VPN代理設(shè)備,而角標(biāo)a表示設(shè)備標(biāo)志號。即移動VPN代理A設(shè)備1A、移動VPN代理B設(shè)備1B、……、移動VPN代理N設(shè)備1N的編號A、B、N可以用a代替。

      參見圖2所示,用戶user使用IPsec VPN代理接入Intranet系統(tǒng)的認(rèn)證過程如下:

      步驟1,任意一移動VPN代理設(shè)備pda接入Internet后,并對所述移動VPN代理設(shè)備pda執(zhí)行設(shè)置代理初始化;

      步驟2,配置服務(wù)器(2)接收到來自所述移動VPN代理設(shè)備pda的初始化設(shè)備請求,然后完成對所述移動VPN代理設(shè)備pda的配置-設(shè)備認(rèn)證,并向移動VPN代理設(shè)備pda發(fā)送配置-設(shè)備信息

      步驟3,移動VPN代理設(shè)備pda接收到所述配置-設(shè)備信息后,建立與VPN網(wǎng)關(guān)(3)的IPsec隧道;

      步驟4,用戶user通過所述IPsec隧道向Intranet的私有資源Private resources發(fā)起訪問請求access request;

      步驟5,認(rèn)證客戶端(5)對用戶user的訪問請求access request進(jìn)行過濾,并將用戶user重定向到認(rèn)證服務(wù)器(4);

      步驟6,認(rèn)證服務(wù)器(4)對用戶user進(jìn)行身份認(rèn)證后,并向認(rèn)證客戶端(5)下發(fā)授權(quán)-用戶信息;

      步驟7,認(rèn)證客戶端(5)對接收到的所述授權(quán)-用戶信息進(jìn)行處理;

      步驟8,用戶user再次通過所述IPsec隧道向Intranet的私有資源Private resources發(fā)起訪問請求access request;

      步驟9,認(rèn)證客戶端(5)對用戶user的訪問請求access request進(jìn)行過濾,并轉(zhuǎn)發(fā)依據(jù)訪問請求access request請求到的屬于Intranet的私有資源Private resources。

      移動VPN代理設(shè)備1

      在本發(fā)明中,移動VPN代理設(shè)備可以選用網(wǎng)件公司生產(chǎn)的WNDR4300無線路由器,并使用OpenWrt嵌入式操作系統(tǒng)作為移動VPN代理設(shè)備的操作系統(tǒng),通過安裝strongSwan提供IPsec VPN基本功能,在此之上使用C語言編寫本發(fā)明用到的處理程序。一般地,在使用時,一個用戶配置有一個移動VPN代理設(shè)備。如圖1所示,A用戶配置的記為移動VPN代理A設(shè)備1A、B用戶配置的記為移動VPN代理B設(shè)備1B、……、N用戶配置的記為移動VPN代理N設(shè)備1N。在用戶訪問Intranet網(wǎng)絡(luò)資源時,移動VPN代理設(shè)備完成自動初始化以及接收配置的處理,從而建立連接到Intranet網(wǎng)絡(luò)的IPsec隧道。

      本發(fā)明采用C語言編寫了對任意一移動VPN代理設(shè)備進(jìn)行自動初始化、接收配置和發(fā)送狀態(tài)的過程處理。

      在本發(fā)明中,多個移動VPN代理設(shè)備采用集合形式表示為PPD={pdA,pdB,…,pda,…,pdN},pdA表示移動VPN代理A設(shè)備,pdB表示移動VPN代理B設(shè)備,pdN表示移動VPN代理N設(shè)備,pda表示任意一個移動VPN代理設(shè)備,而角標(biāo)a表示設(shè)備標(biāo)志號。

      移動VPN代理設(shè)備的設(shè)備代理初始化的處理過程為:

      步驟1-A1,任意一移動VPN代理設(shè)備pda向配置服務(wù)器2發(fā)送自身的設(shè)備標(biāo)志號a;

      步驟1-A2,所述任意一移動VPN代理設(shè)備pda接收配置服務(wù)器2發(fā)送的配置校驗隨機(jī)數(shù)

      在本發(fā)明中,該配置校驗隨機(jī)數(shù)是由數(shù)字和/或字母組成的8位隨機(jī)數(shù)。

      步驟1-A3,所述任意一移動VPN代理設(shè)備pda采用MD5算法對PSKa和進(jìn)行處理,獲得Hash值(譯文為:哈希值),記為設(shè)備哈希值

      pda表示任意一個移動VPN代理設(shè)備,而角標(biāo)a表示設(shè)備標(biāo)志號。

      PSKa表示預(yù)設(shè)的任意一移動VPN代理設(shè)備pda的預(yù)共享密鑰。

      在本發(fā)明中,MD5算法請參考《現(xiàn)代密碼學(xué)原理與應(yīng)用》,第116-121頁,宋秀麗主編,2012年4月第1版,機(jī)械工業(yè)出版社。

      步驟1-A4,任意一移動VPN代理設(shè)備pda向配置服務(wù)器2發(fā)送所述設(shè)備哈希值

      在本發(fā)明中,針對移動VPN代理A設(shè)備1A的自動初始化的過程為:

      步驟1-A1,移動VPN代理A設(shè)備pdA向配置服務(wù)器2發(fā)送自身的設(shè)備標(biāo)志號A;

      步驟1-A2,所述pdA接收配置服務(wù)器2發(fā)送的對應(yīng)pdA的配置校驗隨機(jī)數(shù)

      步驟1-A3,所述pdA采用MD5算法對PSKA和進(jìn)行處理,獲得Hash值(譯文為:哈希值),記為對應(yīng)pdA的設(shè)備哈希值PSKA表示預(yù)設(shè)的pdA的預(yù)共享密鑰。

      步驟1-A4,所述pdA向配置服務(wù)器2發(fā)送所述

      在本發(fā)明中,針對移動VPN代理B設(shè)備1B的自動初始化的過程為:

      步驟1-A1,移動VPN代理B設(shè)備pdB向配置服務(wù)器2發(fā)送自身的設(shè)備標(biāo)志號B;

      步驟1-A2,所述pdB接收配置服務(wù)器2發(fā)送的對應(yīng)pdB的配置校驗隨機(jī)數(shù)

      步驟1-A3,所述pdB采用MD5算法對PSKB和進(jìn)行處理,獲得Hash值(譯文為:哈希值),記為對應(yīng)pdB的設(shè)備哈希值PSKB表示預(yù)設(shè)的pdB的預(yù)共享密鑰。

      步驟1-A4,所述pdB向配置服務(wù)器2發(fā)送所述

      在本發(fā)明中,針對移動VPN代理N設(shè)備1N的自動初始化的過程為:

      步驟1-A1,移動VPN代理N設(shè)備pdN向配置服務(wù)器2發(fā)送自身的設(shè)備標(biāo)志號N;

      步驟1-A2,所述pdN接收配置服務(wù)器2發(fā)送的對應(yīng)pdN的配置校驗隨機(jī)數(shù)

      步驟1-A3,所述pdN采用MD5算法對PSKN和進(jìn)行處理,獲得Hash值(譯文為:哈希值),記為對應(yīng)pdN的設(shè)備哈希值PSKN表示預(yù)設(shè)的pdN的預(yù)共享密鑰。

      步驟1-A4,所述pdN向配置服務(wù)器2發(fā)送所述

      移動VPN代理設(shè)備的接收配置處理過程為:

      在本發(fā)明中,接收配置處理發(fā)生在任意一個移動VPN代理設(shè)備pda接收到配置服務(wù)器2發(fā)送的配置—設(shè)備信息之后。

      步驟1-B1,任意一移動VPN代理設(shè)備pda接收配置服務(wù)器2發(fā)送的配置—設(shè)備信息其中,除以外的其他參數(shù)為本發(fā)明使用的IPsec VPN實現(xiàn)strongSwan的配置參數(shù),所述參數(shù)為strongSwan的常用參數(shù),可以參考strongSwan的官方網(wǎng)站對該參數(shù)設(shè)置的說明。

      是在IPsec連接生成時由配置服務(wù)器2產(chǎn)生并向移動VPN代理設(shè)備發(fā)送的IPsec連接標(biāo)識號,簡稱為設(shè)備—IPsec連接標(biāo)記。

      在本發(fā)明中,配置—設(shè)備信息是為了建議與IPsec連接用的。

      步驟1-B2,根據(jù)設(shè)備—IPsec連接標(biāo)記來判斷所述移動VPN代理設(shè)備pda是否存在IPsec連接標(biāo)記相同的IPsec連接;

      若不存在,則依據(jù)配置—設(shè)備信息在移動VPN代理設(shè)備pda中添加IPsec連接;

      若存在,則用配置—設(shè)備信息更新移動VPN代理設(shè)備pda中設(shè)備—IPsec連接標(biāo)記相同的IPsec連接;

      步驟1-B3,移動VPN代理設(shè)備pda依據(jù)配置—設(shè)備信息通過密鑰交換協(xié)議構(gòu)建得到VPN網(wǎng)關(guān)3的IPsec隧道。

      在本發(fā)明中,對于IPsec隧道的建立請參考中華人民共和國密碼行業(yè)標(biāo)準(zhǔn),GM/T0022-2014,《IPSec VPN技術(shù)規(guī)范》,第4-28頁,5.1密鑰交換協(xié)議。

      在本發(fā)明中,針對移動VPN代理A設(shè)備1A的接收配置處理過程為:

      步驟1-B1,移動VPN代理A設(shè)備pdA接收配置服務(wù)器2發(fā)送的配置—設(shè)備信息

      步驟1-B2,根據(jù)設(shè)備—IPsec連接標(biāo)記來判斷移動VPN代理A設(shè)備pdA是否存在IPsec連接標(biāo)記相同的IPsec連接;

      若不存在,則依據(jù)在移動VPN代理A設(shè)備pdA中添加IPsec連接;

      若存在,則用更新移動VPN代理A設(shè)備pdA中設(shè)備—IPsec連接標(biāo)記相同的IPsec連接;

      步驟1-B3,移動VPN代理A設(shè)備pdA依據(jù)通過密鑰交換協(xié)議構(gòu)建得到VPN網(wǎng)關(guān)3的IPsec隧道。

      在本發(fā)明中,針對移動VPN代理B設(shè)備1B的接收配置處理過程為:

      步驟1-B1,移動VPN代理B設(shè)備pdB接收配置服務(wù)器2發(fā)送的配置—設(shè)備信息

      步驟1-B2,根據(jù)設(shè)備—IPsec連接標(biāo)記來判斷所述移動VPN代理設(shè)備pdB是否存在IPsec連接標(biāo)記相同的IPsec連接;

      若不存在,則依據(jù)在移動VPN代理B設(shè)備pdB中添加IPsec連接;

      若存在,則用更新移動VPN代理B設(shè)備pdB中設(shè)備—IPsec連接標(biāo)記相同的IPsec連接;

      步驟1-B3,移動VPN代理B設(shè)備pdB依據(jù)通過密鑰交換協(xié)議構(gòu)建得到VPN網(wǎng)關(guān)3的IPsec隧道。

      在本發(fā)明中,針對移動VPN代理N設(shè)備1N的接收配置處理過程為:

      步驟1-B1,移動VPN代理N設(shè)備pdN接收配置服務(wù)器2發(fā)送的配置—設(shè)備信息

      步驟1-B2,根據(jù)設(shè)備—IPsec連接標(biāo)記來判斷所述移動VPN代理設(shè)備pdN是否存在IPsec連接標(biāo)記相同的IPsec連接;

      若不存在,則依據(jù)在所述移動VPN代理N設(shè)備pdN中添加IPsec連接;

      若存在,則用更新移動VPN代理N設(shè)備pdN中設(shè)備—IPsec連接標(biāo)記相同的IPsec連接;

      步驟1-B3,移動VPN代理N設(shè)備pdN依據(jù)通過密鑰交換協(xié)議構(gòu)建得到VPN網(wǎng)關(guān)3的IPsec隧道。

      移動VPN代理設(shè)備1的發(fā)送狀態(tài)處理過程為:

      在本發(fā)明中,任意一個移動VPN代理設(shè)備pda收集自身的設(shè)備—狀態(tài)信息INSTAT_a={pda,IPa,CPUa,MEMa,NETa,TNLa},并在完成初始化后,每2分鐘執(zhí)行一次設(shè)備—狀態(tài)信息INSTAT_a={pda,IPa,CPUa,MEMa,NETa,TNLa}發(fā)送給配置服務(wù)器2。

      在本發(fā)明中,INSTAT_a={pda,IPa,CPUa,MEMa,NETa,TNLa}中的各元素定義為:pda表示任意一個移動VPN代理設(shè)備,而角標(biāo)a表示設(shè)備標(biāo)志號;IPa表示任意一個移動VPN代理設(shè)備pda的IP地址;CPUa表示任意一個移動VPN代理設(shè)備pda的CPU使用率;MEMa表示任意一個移動VPN代理設(shè)備pda的內(nèi)存使用率;NETa表示任意一個移動VPN代理設(shè)備pda的網(wǎng)絡(luò)使用率;TNLa表示屬于任意一個移動VPN代理設(shè)備pda的所有IPsec隧道集(簡稱為設(shè)備—IPsec隧道集),設(shè)備—IPsec隧道集采用集合形式表示為TNLa={tnla_1,tnla_2,…,tnla_s,…,tnla_S},tnla_1表示屬于任意一個移動VPN代理設(shè)備pda的第一個IPsec隧道,tnla_2表示屬于任意一個移動VPN代理設(shè)備pda的第二個IPsec隧道,tnla_s表示屬于任意一個移動VPN代理設(shè)備pda的任意一個IPsec隧道,tnla_S表示屬于任意一個移動VPN代理設(shè)備pda的最后一個IPsec隧道,S表示屬于任意一個移動VPN代理設(shè)備pda的IPsec隧道總個數(shù),s∈S,s表示IPsec隧道編號。tnla_s={tda_s,DTa_s},其中tda_s為任意一個移動VPN代理設(shè)備pda中建立第s個IPsec隧道所使用的IPsec連接的標(biāo)識號(簡稱為設(shè)備—IPsec連接標(biāo)記),DTa_s為tnla_s對應(yīng)IPsec隧道的持續(xù)時間(簡稱為設(shè)備—IPsec隧道持續(xù)時間)。

      在本發(fā)明中,移動VPN代理A設(shè)備1A的發(fā)送狀態(tài)處理過程為:移動VPN代理A設(shè)備pdA收集自身的設(shè)備—狀態(tài)信息,記為INSTAT_A={pdA,IPA,CPUA,MEMA,NETA,TNLA},并在完成初始化后,每2分鐘執(zhí)行一次設(shè)備—狀態(tài)信息INSTAT_A={pdA,IPA,CPUA,MEMA,NETA,TNLA}發(fā)送給配置服務(wù)器2。

      pdA表示移動VPN代理A設(shè)備的標(biāo)識號;

      IPA表示移動VPN代理A設(shè)備pdA的IP地址;

      CPUA表示移動VPN代理A設(shè)備pdA的CPU使用率;

      MEMA表示移動VPN代理A設(shè)備pdA的內(nèi)存使用率;

      NETA表示移動VPN代理A設(shè)備pdA的網(wǎng)絡(luò)使用率;

      TNLA表示屬于移動VPN代理A設(shè)備pdA的所有IPsec隧道。

      在本發(fā)明中,移動VPN代理B設(shè)備1B的發(fā)送狀態(tài)處理過程為:移動VPN代理B設(shè)備pdB收集自身的設(shè)備—狀態(tài)信息,記為INSTAT_B={pdB,IPB,CPUB,MEMB,NETB,TNLB},并在完成初始化后,每2分鐘執(zhí)行一次設(shè)備—狀態(tài)信息INSTAT_B={pdB,IPB,CPUB,MEMB,NETB,TNLB}發(fā)送給配置服務(wù)器2。

      pdB表示移動VPN代理B設(shè)備1B的標(biāo)識號;

      IPB表示移動VPN代理B設(shè)備pdB的IP地址;

      CPUB表示移動VPN代理B設(shè)備pdB的CPU使用率;

      MEMB表示移動VPN代理B設(shè)備pdB的內(nèi)存使用率;

      NETB表示移動VPN代理B設(shè)備pdB的網(wǎng)絡(luò)使用率;

      TNLB表示屬于移動VPN代理B設(shè)備pdB的所有IPsec隧道。

      在本發(fā)明中,移動VPN代理N設(shè)備1N的發(fā)送狀態(tài)處理過程為:移動VPN代理N設(shè)備pdN收集自身的設(shè)備—狀態(tài)信息,記為INSTAT_N={pdN,IPN,CPUN,MEMN,NETN,TNLN},并在完成初始化后,每2分鐘執(zhí)行一次設(shè)備—狀態(tài)信息INSTAT_N={pdN,IPN,CPUN,MEMN,NETN,TNLN}發(fā)送給配置服務(wù)器2。

      pdN表示移動VPN代理N設(shè)備1N的標(biāo)識號;

      IPN表示移動VPN代理N設(shè)備pdN的IP地址;

      CPUN表示移動VPN代理N設(shè)備pdN的CPU使用率;

      MEMN表示移動VPN代理N設(shè)備pdN的內(nèi)存使用率;

      NETN表示移動VPN代理N設(shè)備pdN的網(wǎng)絡(luò)使用率;

      TNLN表示屬于移動VPN代理N設(shè)備pdN的所有IPsec隧道。

      配置服務(wù)器2

      在本發(fā)明中,配置服務(wù)器2可以選用戴爾公司生產(chǎn)的PowerEdge R620服務(wù)器,使用Linux操作系統(tǒng)作為配置服務(wù)器2的操作系統(tǒng),并使用Java語言編寫本發(fā)明用到的處理程序。在使用時,配置服務(wù)器2部署在DMZ(Demilitarized Zone,譯文為:非軍事化區(qū))中。

      配置服務(wù)器2中一方面存儲有全部移動VPN代理設(shè)備(即A、B、……N)的用于設(shè)備認(rèn)證的設(shè)備信息集INAUTH={INAUTH_A,INAUTH_B,…INAUTH_a,…,INAUTH_N};另一方面存儲有全部移動VPN代理設(shè)備的設(shè)備—狀態(tài)信息集INSTAT={INSTAT_A,INSTAT_B,…INSTAT_a,…,INSTAT_N};再一方面存儲有VPN網(wǎng)關(guān)3的網(wǎng)關(guān)—配置信息集IMSTAT={IP,CPU,MEM,NET,TNL}。

      INAUTH={INAUTH_A,INAUTH_B,…INAUTH_a,…,INAUTH_N}中INAUTH_A表示移動VPN代理A設(shè)備的設(shè)備信息,INAUTH_B表示移動VPN代理B設(shè)備的設(shè)備信息,INAUTH_N表示移動VPN代理N設(shè)備的設(shè)備信息,INAUTH_a表示任意一個移動VPN代理設(shè)備pda的設(shè)備信息。

      INSTAT={INSTAT_A,INSTAT_B,…INSTAT_a,…,INSTAT_N}中INSTAT_A表示移動VPN代理A設(shè)備的設(shè)備—狀態(tài)信息,INSTAT_B表示移動VPN代理B設(shè)備的設(shè)備—狀態(tài)信息,INSTAT_N表示移動VPN代理N設(shè)備的設(shè)備—狀態(tài)信息,INSTAT_a表示任意一個移動VPN代理設(shè)備pda的設(shè)備—狀態(tài)信息。任意一設(shè)備—狀態(tài)信息記為INSTAT_a={pda,IPa,CPUa,MEMa,NETa,TNLa}

      IMSTAT={IP,CPU,MEM,NET,TNL}中IP表示VPN網(wǎng)關(guān)3的IP地址;CPU表示VPN網(wǎng)關(guān)3的CPU使用率;MEM表示VPN網(wǎng)關(guān)3的內(nèi)存使用率;NET表示VPN網(wǎng)關(guān)3的網(wǎng)絡(luò)使用率;TNL表示VPN網(wǎng)關(guān)3中存在的所有IPsec隧道集(簡稱為網(wǎng)關(guān)—IPsec隧道集),網(wǎng)關(guān)—IPsec隧道集采用集合形式表示為TNL={tnl1,tnl2,…,tnlt,…,tnlT},tnl1表示屬于VPN網(wǎng)關(guān)3的第一個IPsec隧道,tnl2表示屬于VPN網(wǎng)關(guān)3的第二個IPsec隧道,tnlt表示屬于VPN網(wǎng)關(guān)3的任意一個IPsec隧道,tnlT表示屬于VPN網(wǎng)關(guān)3的最后一個IPsec隧道,T表示屬于VPN網(wǎng)關(guān)3的IPsec隧道總個數(shù),t∈T,t表示IPsec隧道編號。所述tnlt={tdt,DTt}中tdt表示屬于VPN網(wǎng)關(guān)3的第t個IPsec隧道所使用的IPsec連接的標(biāo)識號(簡稱為網(wǎng)關(guān)—IPsec連接標(biāo)記),DTt表示tnlt對應(yīng)IPsec隧道的持續(xù)時間(簡稱為網(wǎng)關(guān)—IPsec隧道持續(xù)時間)。

      本發(fā)明采用JAVA語言編寫了配置服務(wù)器2對任意一個移動VPN代理設(shè)備pda進(jìn)行自動初始化的處理,以及接收來自任意一個移動VPN代理設(shè)備pda和VPN網(wǎng)關(guān)3狀態(tài)信息的處理過程。而初始化的處理一方面包括有配置服務(wù)器2對任意一個移動VPN代理設(shè)備pda進(jìn)行設(shè)備認(rèn)證,另一方面配置服務(wù)器2配置任意一個移動VPN代理設(shè)備pda和VPN網(wǎng)關(guān)3的處理過程。

      配置服務(wù)器2進(jìn)行的設(shè)備認(rèn)證處理過程為:

      步驟2-A1,配置服務(wù)器2接收任意一個移動VPN代理設(shè)備pda發(fā)送的自身設(shè)備標(biāo)志號a,然后采用線性同余算法生成配置校驗隨機(jī)數(shù),記為最后將所述返回給任意一個移動VPN代理設(shè)備pda;

      步驟2-A2,配置服務(wù)器2根據(jù)所述a查找所述pda對應(yīng)的設(shè)備信息INAUTH_a={pda,PSKa};然后采用MD5算法對PSKa和進(jìn)行處理,獲得Hash值(譯文為:哈希值),記為服務(wù)器哈希值

      pda表示任意一個移動VPN代理設(shè)備,而角標(biāo)a表示設(shè)備標(biāo)志號。

      PSKa表示預(yù)設(shè)的任意一移動VPN代理設(shè)備pda的預(yù)共享密鑰。

      步驟2-A3,配置服務(wù)器2接收并對比與若相同,則任意一移動VPN代理設(shè)備pda通過配置服務(wù)器2的設(shè)備認(rèn)證,配置服務(wù)器2啟動后續(xù)配置處理,轉(zhuǎn)入步驟2-B1;

      若不相同,則配置服務(wù)器2不啟動后續(xù)配置處理,返回步驟2-A1。

      在本發(fā)明中,針對移動VPN代理A設(shè)備1A的設(shè)備認(rèn)證處理過程為:

      步驟2-A1,配置服務(wù)器2接收移動VPN代理A設(shè)備pdA發(fā)送的自身設(shè)備標(biāo)志號A,然后采用線性同余算法生成配置檢驗隨機(jī)數(shù),記為最后將所述返回給移動VPN代理A設(shè)備pdA;

      步驟2-A2,配置服務(wù)器2根據(jù)所述A查找所述pdA對應(yīng)的設(shè)備信息INAUTH_A={pdA,PSKA};然后采用MD5算法對PSKA和進(jìn)行處理,獲得Hash值(譯文為:哈希值),記為pdA對應(yīng)的服務(wù)器哈希值

      步驟2-A3,配置服務(wù)器2接收并對比與若相同,則移動VPN代理A設(shè)備1A通過配置服務(wù)器2的設(shè)備認(rèn)證,配置服務(wù)器2啟動后續(xù)配置處理,轉(zhuǎn)入步驟2-B1;

      若不相同,則配置服務(wù)器2不啟動后續(xù)配置處理,返回步驟2-A1。

      在本發(fā)明中,針對移動VPN代理B設(shè)備1B的設(shè)備認(rèn)證處理過程為:

      步驟2-A1,配置服務(wù)器2接收移動VPN代理B設(shè)備pdB發(fā)送的自身設(shè)備標(biāo)志號B,然后采用線性同余算法生成配置校驗隨機(jī)數(shù),記為最后將所述返回給移動VPN代理B設(shè)備pdB;

      步驟2-A2,配置服務(wù)器2根據(jù)所述B查找所述pdB對應(yīng)的設(shè)備信息INAUTH_B={pdB,PSKB};然后采用MD5算法對PSKB和進(jìn)行處理,獲得Hash值(譯文為:哈希值),記為pdB對應(yīng)的服務(wù)器哈希值

      步驟2-A3,配置服務(wù)器2接收并對比與若相同,則移動VPN代理B設(shè)備1B通過配置服務(wù)器2的設(shè)備認(rèn)證,配置服務(wù)器2啟動后續(xù)配置處理,轉(zhuǎn)入步驟2-B1;

      若不相同,則配置服務(wù)器2不啟動后續(xù)配置處理,返回步驟2-A1。

      在本發(fā)明中,針對移動VPN代理N設(shè)備1N的設(shè)備認(rèn)證處理過程為:

      步驟2-A1,配置服務(wù)器2接收移動VPN代理N設(shè)備pdN發(fā)送的自身設(shè)備標(biāo)志號N,然后采用線性同余算法生成配置檢驗隨機(jī)數(shù),記為最后將所述返回給移動VPN代理N設(shè)備pdN;

      步驟2-A2,配置服務(wù)器2根據(jù)所述N查找所述pdN對應(yīng)的設(shè)備信息INAUTH_N={pdN,PSKN};然后采用MD5算法對PSKN和進(jìn)行處理,獲得Hash值(譯文為:哈希值),記為pdN對應(yīng)的服務(wù)器哈希值

      步驟2-A3,配置服務(wù)器2接收并對比與若相同,則移動VPN代理N設(shè)備1N通過配置服務(wù)器2的認(rèn)證,配置服務(wù)器2啟動后續(xù)配置處理,轉(zhuǎn)入步驟2-B1;

      若不相同,則配置服務(wù)器2不啟動后續(xù)配置處理,返回步驟2-A1。

      配置服務(wù)器2的配置過程為:

      在本發(fā)明中,配置服務(wù)器2對任意一個移動VPN代理設(shè)備pda和VPN網(wǎng)關(guān)3進(jìn)行配置的處理發(fā)生在完成設(shè)備認(rèn)證之后。

      步驟2-B1,任意一個移動VPN代理設(shè)備pda經(jīng)配置服務(wù)器2認(rèn)證成功后,配置服務(wù)器2第一方面將提取到屬于所述任意一個移動VPN代理設(shè)備pda的IPa,第二方面構(gòu)建屬于所述任意一個移動VPN代理設(shè)備pda的IPsec連接模板,簡稱為配置—設(shè)備信息第三方面構(gòu)建屬于所述任意一個移動VPN代理設(shè)備pda的網(wǎng)關(guān)連接模板,簡稱為網(wǎng)關(guān)—設(shè)備信息

      步驟2-B2,配置服務(wù)器2向VPN網(wǎng)關(guān)3下發(fā)所述

      步驟2-B3,配置服務(wù)器2向VPN代理1下發(fā)所述

      是在IPsec連接生成時由配置服務(wù)器2產(chǎn)生并向移動VPN代理設(shè)備發(fā)送的IPsec連接標(biāo)識號,簡稱為設(shè)備—IPsec連接標(biāo)記。

      cd2-3是在IPsec連接生成時由配置服務(wù)器2產(chǎn)生并向VPN網(wǎng)關(guān)3發(fā)送的IPsec連接標(biāo)識號,簡稱為網(wǎng)關(guān)—IPsec連接標(biāo)記。所述將在VPN網(wǎng)關(guān)3的所述cd2-3中進(jìn)行查找,若存在相同的IPsec隧道,則IPsec連接建立。

      在本發(fā)明中,配置服務(wù)器2對移動VPN代理A設(shè)備1A和VPN網(wǎng)關(guān)3進(jìn)行配置的處理過程為:

      步驟2-B1,移動VPN代理A設(shè)備pdA經(jīng)配置服務(wù)器2認(rèn)證成功后,配置服務(wù)器2第一方面將提取到屬于移動VPN代理A設(shè)備pdA的地址IPA,第二方面構(gòu)建屬于移動VPN代理A設(shè)備pdA的配置—設(shè)備信息第三方面構(gòu)建屬于移動VPN代理A設(shè)備pdA的網(wǎng)關(guān)—設(shè)備信息

      步驟2-B2,配置服務(wù)器2向VPN網(wǎng)關(guān)3下發(fā)所述

      步驟2-B3,配置服務(wù)器2向移動VPN代理A設(shè)備1A下發(fā)所述

      在本發(fā)明中,配置服務(wù)器2對移動VPN代理B設(shè)備1B和VPN網(wǎng)關(guān)3進(jìn)行配置的處理過程為:

      步驟2-B1,移動VPN代理B設(shè)備pdB經(jīng)配置服務(wù)器2認(rèn)證成功后,配置服務(wù)器2第一方面將提取到屬于移動VPN代理B設(shè)備pdB的地址IPB,第二方面構(gòu)建屬于移動VPN代理B設(shè)備pdB的配置—設(shè)備信息第三方面構(gòu)建屬于移動VPN代理B設(shè)備pdB的網(wǎng)關(guān)—設(shè)備信息

      步驟2-B2,配置服務(wù)器2向VPN網(wǎng)關(guān)3下發(fā)所述

      步驟2-B3,配置服務(wù)器2向移動VPN代理B設(shè)備1B下發(fā)所述

      在本發(fā)明中,配置服務(wù)器2對移動VPN代理N設(shè)備1N和VPN網(wǎng)關(guān)3進(jìn)行配置的處理過程為:

      步驟2-B1,移動VPN代理N設(shè)備pdN經(jīng)配置服務(wù)器2認(rèn)證成功后,配置服務(wù)器2第一方面將提取到屬于移動VPN代理N設(shè)備pdN的地址IPN,第二方面構(gòu)建屬于移動VPN代理N設(shè)備pdN的配置—設(shè)備信息第三方面構(gòu)建屬于移動VPN代理N設(shè)備pdN的網(wǎng)關(guān)—設(shè)備信息

      步驟2-B2,配置服務(wù)器2向VPN網(wǎng)關(guān)3下發(fā)所述

      步驟2-B3,配置服務(wù)器2向移動VPN代理N設(shè)備1N下發(fā)所述

      配置服務(wù)器2對接收到的狀態(tài)信息的處理過程為:

      在本發(fā)明中,配置服務(wù)器2存儲有所有移動VPN代理設(shè)備的設(shè)備—狀態(tài)信息集INSTAT={INSTAT_A,INSTAT_B,…INSTAT_a,…,INSTAT_N}。

      步驟2-C1,配置服務(wù)器2接收任意一個移動VPN代理設(shè)備pda的設(shè)備—狀態(tài)信息INSTAT_a={pda,IPa,CPUa,MEMa,NETa,TNLa};

      步驟2-C2,配置服務(wù)器2使用所述INSTAT_a更新INSTAT={INSTAT_A,INSTAT_B,…INSTAT_a,…,INSTAT_N}中對應(yīng)移動VPN代理設(shè)備pda的狀態(tài)信息;

      配置服務(wù)器2接收來自移動VPN代理A設(shè)備1A的狀態(tài)信息的處理過程為:

      步驟2-C1,配置服務(wù)器2接收移動VPN代理A設(shè)備1A的設(shè)備—狀態(tài)信息INSTAT_A={pdA,IPA,CPUA,MEMA,NETA,TNLA};

      步驟2-C2,配置服務(wù)器2使用所述INSTAT_A更新INSTAT={INSTAT_A,INSTAT_B,…INSTAT_a,…,INSTAT_N}中對應(yīng)移動VPN代理A設(shè)備1A的狀態(tài)信息;

      配置服務(wù)器2接收來自移動VPN代理B設(shè)備1B的狀態(tài)信息的處理過程為:

      步驟2-C1,配置服務(wù)器2接收移動VPN代理B設(shè)備1B的設(shè)備—狀態(tài)信息INSTAT_B={pdB,IPB,CPUB,MEMB,NETB,TNLB};

      步驟2-C2,配置服務(wù)器2使用所述INSTAT_B更新INSTAT={INSTAT_A,INSTAT_B,…INSTAT_a,…,INSTAT_N}中對應(yīng)移動VPN代理B設(shè)備1B的狀態(tài)信息;

      配置服務(wù)器2接收來自移動VPN代理N設(shè)備1N的狀態(tài)信息的處理過程為:

      步驟2-C1,配置服務(wù)器2接收移動VPN代理N設(shè)備1N的設(shè)備—狀態(tài)信息INSTAT_N={pdN,IPN,CPUN,MEMN,NETN,TNLN};

      步驟2-C2,配置服務(wù)器2使用所述INSTAT_N更新INSTAT={INSTAT_A,INSTAT_B,…INSTAT_a,…,INSTAT_N}中對應(yīng)移動VPN代理N設(shè)備1N的狀態(tài)信息;

      在本發(fā)明中,配置服務(wù)器2接收來自VPN網(wǎng)關(guān)3的狀態(tài)信息。

      配置服務(wù)器2依據(jù)接收到的VPN網(wǎng)關(guān)3發(fā)送的網(wǎng)關(guān)狀態(tài)信息IMSTAT_3={IP,CPU,MEM,NET,TNL}來更新存儲的網(wǎng)關(guān)—配置信息集IMSTAT={IP,CPU,MEM,NET,TNL}。

      VPN網(wǎng)關(guān)3

      在本發(fā)明中,VPN網(wǎng)關(guān)3可以選用戴爾公司生產(chǎn)的PowerEdge R620服務(wù)器,使用Linux操作系統(tǒng)作為VPN網(wǎng)關(guān)3的操作系統(tǒng),并使用C語言編寫本發(fā)明用到的處理程序。在使用時,VPN網(wǎng)關(guān)3部署在DMZ(Demilitarized Zone,譯文為:非軍事化區(qū))中。

      本發(fā)明采用C語言編寫了對所述VPN網(wǎng)關(guān)3進(jìn)行接收配置和發(fā)送狀態(tài)的處理。

      VPN網(wǎng)關(guān)3進(jìn)行接收配置的處理過程為:

      在本發(fā)明中,接收配置發(fā)生在VPN網(wǎng)關(guān)3接收到配置服務(wù)器2發(fā)送的網(wǎng)關(guān)—配置信息集IMSTAT={IP,CPU,MEM,NET,TNL}之后。

      步驟3-A1,VPN網(wǎng)關(guān)3接收配置服務(wù)器2發(fā)送的網(wǎng)關(guān)—設(shè)備信息其中,除cd2-3以外的其他參數(shù)為本發(fā)明使用的IPsec VPN實現(xiàn)strongSwan的配置參數(shù),所述參數(shù)為strongSwan的常用參數(shù),可以參考strongSwan的官方網(wǎng)站對該參數(shù)設(shè)置的說明。

      cd2-3是在IPsec連接生成時由配置服務(wù)器2產(chǎn)生并向VPN網(wǎng)關(guān)3發(fā)送的IPsec連接標(biāo)識號,簡稱為網(wǎng)關(guān)—IPsec連接標(biāo)記。

      在本發(fā)明中,網(wǎng)關(guān)—設(shè)備信息是為了建議與IPsec連接用的。

      步驟3-A2,根據(jù)網(wǎng)關(guān)—IPsec連接標(biāo)記cd2-3來判斷任意一移動VPN代理設(shè)備pda是否存在IPsec連接標(biāo)識號相同的IPsec連接;

      若不存在,則依據(jù)網(wǎng)關(guān)—設(shè)備信息在VPN網(wǎng)關(guān)3中添加IPsec連接;

      若存在,則用網(wǎng)關(guān)—設(shè)備信息更新VPN網(wǎng)關(guān)3中網(wǎng)關(guān)—IPsec連接標(biāo)記cd2-3相同的IPsec連接。

      VPN網(wǎng)關(guān)3進(jìn)行發(fā)送狀態(tài)的處理過程為:

      在本發(fā)明中,VPN網(wǎng)關(guān)3啟動后每2分鐘執(zhí)行網(wǎng)關(guān)狀態(tài)信息IMSTAT_3={IP,CPU,MEM,NET,TNL}發(fā)送,或者有新的移動VPN代理設(shè)備接入到VPN網(wǎng)關(guān)3時執(zhí)行網(wǎng)關(guān)狀態(tài)信息IMSTAT_3={IP,CPU,MEM,NET,TNL}發(fā)送。

      步驟3-B1,VPN網(wǎng)關(guān)3收集自身的網(wǎng)關(guān)狀態(tài)信息,記為IMSTAT_3={IP,CPU,MEM,NET,TNL};

      IP表示VPN網(wǎng)關(guān)3的IP地址;

      CPU表示VPN網(wǎng)關(guān)3的CPU使用率;

      MEM表示VPN網(wǎng)關(guān)3的內(nèi)存使用率;

      NET表示VPN網(wǎng)關(guān)3的網(wǎng)絡(luò)使用率;

      TNL表示VPN網(wǎng)關(guān)3中存在的所有IPsec隧道集(簡稱為網(wǎng)關(guān)—IPsec隧道集),網(wǎng)關(guān)—IPsec隧道集采用集合形式表示為TNL={tnl1,tnl2,…,tnlt,…,tnlT},tnl1表示屬于VPN網(wǎng)關(guān)3的第一個IPsec隧道,tnl2表示屬于VPN網(wǎng)關(guān)3的第二個IPsec隧道,tnlt表示屬于VPN網(wǎng)關(guān)3的任意一個IPsec隧道,tnlT表示屬于VPN網(wǎng)關(guān)3的最后一個IPsec隧道,T表示屬于VPN網(wǎng)關(guān)3的IPsec隧道總個數(shù),t∈T,t表示IPsec隧道編號。tnlt={tdt,DTt}其中tdt為屬于VPN網(wǎng)關(guān)3的第t個IPsec隧道所使用的IPsec連接的標(biāo)識號(簡稱為網(wǎng)關(guān)—IPsec連接標(biāo)記),DTt為tnlt對應(yīng)IPsec隧道的持續(xù)時間(簡稱為網(wǎng)關(guān)—IPsec隧道持續(xù)時間)。

      步驟3-B2,VPN網(wǎng)關(guān)3將所述網(wǎng)關(guān)狀態(tài)信息IMSTAT_3發(fā)送給配置服務(wù)器2。

      認(rèn)證服務(wù)器4

      在本發(fā)明中,認(rèn)證服務(wù)器4可以選用戴爾公司生產(chǎn)的PowerEdge R620服務(wù)器,使用Linux操作系統(tǒng)作為認(rèn)證服務(wù)器4的操作系統(tǒng),并使用Java語言編寫本發(fā)明用到的處理程序。在使用時,認(rèn)證服務(wù)器4部署在Intranet內(nèi)部。

      在本發(fā)明中,認(rèn)證服務(wù)器4中一方面存儲有屬于企業(yè)全部工作人員的注冊身份信息集UAUTH={uAUTH_A,uAUTH_B,…,uAUTH_a…uAUTH_Z},另一方面存儲有針對每一個工作人員的授權(quán)信息集ACLAUTH={acAUTH_A,acAUTH_B,…,acAUTH_a,…,acAUTH_N}。認(rèn)證服務(wù)器4用于完成對用戶的身份認(rèn)證和授權(quán)信息下發(fā)的處理。

      uAUTH_A表示連接在移動VPN代理A設(shè)備上的用戶(或工作人員)在認(rèn)證服務(wù)器4中注冊時的注冊身份信息;

      uAUTH_B表示連接在移動VPN代理B設(shè)備上的用戶(或工作人員)在認(rèn)證服務(wù)器4中注冊時的注冊身份信息;

      uAUTH_Z表示連接在移動VPN代理Z設(shè)備上的用戶(或工作人員)在認(rèn)證服務(wù)器4中注冊時的注冊身份信息;

      uAUTH_a表示連接在任意一移動VPN代理設(shè)備pda上的用戶(或工作人員)在認(rèn)證服務(wù)器4中注冊時的注冊身份信息,簡稱為注冊身份信息;

      acAUTH_A表示認(rèn)證服務(wù)器4針對連接在移動VPN代理A設(shè)備上的用戶(或工作人員)設(shè)置的授權(quán)信息;

      acAUTH_B表示認(rèn)證服務(wù)器4針對連接在移動VPN代理B設(shè)備上的用戶(或工作人員)設(shè)置的授權(quán)信息;

      acAUTH_N表示認(rèn)證服務(wù)器4針對連接在移動VPN代理N設(shè)備上的用戶(或工作人員)設(shè)置的授權(quán)信息;

      acAUTH_a表示認(rèn)證服務(wù)器4針對連接在任意一移動VPN代理設(shè)備pda上的用戶(或工作人員)設(shè)置的授權(quán)信息,簡稱為授權(quán)信息。

      所述注冊身份信息uAUTH_a={uda,pwda}中uda表示連接在任意一移動VPN代理設(shè)備pda上的用戶(或工作人員)注冊時用的用戶名,pwda表示所述uda登錄用的密碼。

      所述授權(quán)信息中uda表示連接在任意一移動VPN代理設(shè)備pda上的用戶(或工作人員)注冊時用的用戶名,pwda表示所述uda登錄用的密碼,PLa表示屬于所述uda的訪問資源集。訪問資源集中表示允許uda訪問的第一個認(rèn)證客戶端,表示允許uda訪問的第二個認(rèn)證客戶端,表示允許uda訪問的最后認(rèn)證客戶端,I表示允許uda訪問的認(rèn)證客戶端的總個數(shù)。

      認(rèn)證服務(wù)器4的身份認(rèn)證處理與授權(quán)信息下發(fā)處理過程為:

      步驟4-A1,認(rèn)證服務(wù)器4接收來自任意一個用戶user發(fā)送的訪問請求access request;

      步驟4-A2,認(rèn)證服務(wù)器4依據(jù)注冊身份信息集UAUTH={uAUTH_A,uAUTH_B,…,uAUTH_a…uAUTH_Z}來核對所述用戶user是否屬于企業(yè)內(nèi)部網(wǎng)Intrnet的注冊用戶;若屬于企業(yè)內(nèi)部網(wǎng)Intrnet中的任意一注冊用戶uAUTH_a={uda,pwda},執(zhí)行步驟4-A3,若不屬于企業(yè)內(nèi)部網(wǎng)Intrnet的注冊用戶,注冊用戶認(rèn)證失??;

      步驟4-A3,認(rèn)證服務(wù)器4通過在授權(quán)信息集ACLAUTH={acAUTH_A,acAUTH_B,…,acAUTH_a,…,acAUTH_N}中查找出uAUTH_a={uda,pwda}對應(yīng)的用戶授權(quán)信息acAUTH_a;并記錄下uAUTH_a={uda,pwda}的IP地址,并根據(jù)所找到的acAUTH_a進(jìn)行授權(quán)信息下發(fā)至允許uda訪問的認(rèn)證客戶端5的訪問資源集

      認(rèn)證客戶端5

      在本發(fā)明中,認(rèn)證客戶端5可以選用戴爾公司生產(chǎn)的PowerEdge R620服務(wù)器,使用Linux操作系統(tǒng)作為認(rèn)證客戶端5的操作系統(tǒng),并使用C語言編寫本發(fā)明用到的處理程序。在使用時,認(rèn)證客戶端5部署在Intranet內(nèi)部受保護(hù)的私有資源Private resources之前,可同時使用多個認(rèn)證客戶端5保護(hù)不同的私有資源Private resources,一個認(rèn)證客戶端5也可部署在若干個私有資源Private resources之前以同時保護(hù)多個訪問資源通過使用認(rèn)證客戶端5能夠?qū)崿F(xiàn)對Intranet私有資源Private resources的細(xì)粒度訪問控制。

      任意一個認(rèn)證客戶端設(shè)有唯一標(biāo)識符rdj,J為Intranet中認(rèn)證客戶端的總數(shù)目,j∈J。任意認(rèn)證客戶端維護(hù)用戶的IP地址集記為IPLj={ipj_1,ipj_2,…,ipj_k,…,ipj_K},其中ipj_1表示rdj允許訪問的第一個用戶,ipj_2表示rdj允許訪問的第二個用戶,ipj_k表示rdj允許訪問的任意一個用戶,ipj_K表示rdj允許訪問的最后一個用戶,K為rdj允許訪問的用戶的總數(shù)目,k∈K。

      在本發(fā)明中,認(rèn)證客戶端5用于過濾用戶請求和授權(quán)信息接收的處理。

      認(rèn)證客戶端5對用戶請求的過濾處理過程為:

      步驟5-A1,任意一認(rèn)證客戶端rdj接收監(jiān)聽來自任意一用戶user的訪問請求access request,并提取用戶的IP地址,記為IPa

      在本發(fā)明中,因為一個移動VPN代理設(shè)備連接一個用戶user,所以任意一用戶user的IP地址與任意一個移動VPN代理設(shè)備pda的IP地址是相同的。

      步驟5-A2,所述認(rèn)證客戶端rdj通過IPLj={ipj_1,ipj_2,…,ipj_k,…,ipj_K}來判斷所述IPa對應(yīng)的允許訪問的用戶;

      若iIPa∈IPLj,轉(zhuǎn)發(fā)用戶的訪問請求access request到私有資源Private resources;

      若則拒絕用戶的訪問請求access request,若用戶的請求為Web請求,則需重定向用戶到認(rèn)證服務(wù)器4。

      認(rèn)證客戶端5的授權(quán)信息接收的處理過程為:

      步驟5-B1,認(rèn)證客戶端5接收來自認(rèn)證服務(wù)器4的IPa

      步驟5-B2,認(rèn)證客戶端5使用所述IPa查詢IPLj;

      若IPa∈IPLj,則不對IPLj進(jìn)行更新;

      若則更新IPLj。編程語言中記為IPLj=IPLj∪iIPa。

      本發(fā)明設(shè)計了一種基于IPsec VPN代理的Intranet接入系統(tǒng),所要解決的是IPsec VPN在使用上的困難以及維護(hù)上的困難的技術(shù)問題,本發(fā)明接入系統(tǒng)通過移動VPN代理設(shè)備實現(xiàn)用戶對Intranet的接入,進(jìn)而通過認(rèn)證服務(wù)器和認(rèn)證客戶端實現(xiàn)對用戶訪問請求的授權(quán);IPsec隧道是由VPN網(wǎng)關(guān)和移動VPN代理設(shè)備建立的,無需用戶參與,降低了IPsec VPN的使用門檻;在IPsec基礎(chǔ)功能上加以拓展,與傳統(tǒng)IPsec VPN相比,本發(fā)明接入系統(tǒng)具有配置管理簡單、后臺維護(hù)方便、無需客戶端軟件即可接入的優(yōu)點,同時還提供細(xì)粒度的訪問控制能的技術(shù)效果。

      當(dāng)前第1頁1 2 3 
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1