1.一種基于IPsec VPN代理的Intranet接入系統(tǒng),其特征在于:Intranet接入系統(tǒng)包括有配置服務(wù)器(2)、VPN網(wǎng)關(guān)(3)、認(rèn)證服務(wù)器(4)、認(rèn)證客戶端(5)以及多個(gè)移動(dòng)VPN代理設(shè)備;移動(dòng)VPN代理設(shè)備通過(guò)因特網(wǎng)與配置服務(wù)器(2)和VPN網(wǎng)關(guān)(3)實(shí)現(xiàn)通訊;用戶的訪問(wèn)請(qǐng)求經(jīng)由移動(dòng)VPN代理設(shè)備和VPN網(wǎng)關(guān)(3)的轉(zhuǎn)發(fā),使所述訪問(wèn)請(qǐng)求到達(dá)認(rèn)證客戶端(5);然后認(rèn)證客戶端(5)與認(rèn)證服務(wù)器(4)通過(guò)企業(yè)內(nèi)部網(wǎng)實(shí)現(xiàn)所述訪問(wèn)請(qǐng)求的授權(quán);
配置服務(wù)器(2)中一方面存儲(chǔ)有全部移動(dòng)VPN代理設(shè)備的用于設(shè)備認(rèn)證的設(shè)備信息集INAUTH={INAUTH_A,INAUTH_B,…INAUTH_a,…,INAUTH_N};另一方面存儲(chǔ)有全部移動(dòng)VPN代理設(shè)備的設(shè)備—狀態(tài)信息集INSTAT={INSTAT_A,INSTAT_B,…INSTAT_a,…,INSTAT_N};再一方面存儲(chǔ)有VPN網(wǎng)關(guān)(3)的網(wǎng)關(guān)—配置信息集IMSTAT={IP,CPU,MEM,NET,TNL};
認(rèn)證服務(wù)器(4)中一方面存儲(chǔ)有屬于企業(yè)全部工作人員的注冊(cè)身份信息集UAUTH={uAUTH_A,uAUTH_B,…,uAUTH_a…uAUTH_Z},另一方面存儲(chǔ)有針對(duì)每一個(gè)工作人員的授權(quán)信息集ACLAUTH={acAUTH_A,acAUTH_B,…,acAUTH_a,…,acAUTH_N};
任意一個(gè)認(rèn)證客戶端設(shè)有唯一標(biāo)識(shí)符rdj,J為Intranet中認(rèn)證客戶端的總數(shù)目,j∈J;任意認(rèn)證客戶端維護(hù)用戶的IP地址集記為IPLj={ipj_1,ipj_2,…,ipj_k,…,ipj_K},其中ipj_1表示rdj允許訪問(wèn)的第一個(gè)用戶,ipj_2表示rdj允許訪問(wèn)的第二個(gè)用戶,ipj_k表示rdj允許訪問(wèn)的任意一個(gè)用戶,ipj_K表示rdj允許訪問(wèn)的最后一個(gè)用戶,K為rdj允許訪問(wèn)的用戶的總數(shù)目,k∈K;
一個(gè)用戶配置有一個(gè)移動(dòng)VPN代理設(shè)備;
用戶使用IPsec VPN代理接入Intranet系統(tǒng)的認(rèn)證過(guò)程如下:
步驟1,任意一移動(dòng)VPN代理設(shè)備pda接入Internet后,并對(duì)所述移動(dòng)VPN代理設(shè)備pda執(zhí)行設(shè)置代理初始化;
步驟2,配置服務(wù)器(2)接收到來(lái)自所述移動(dòng)VPN代理設(shè)備pda的初始化設(shè)備請(qǐng)求,然后完成對(duì)所述移動(dòng)VPN代理設(shè)備pda的配置-設(shè)備認(rèn)證,并向移動(dòng)VPN代理設(shè)備pda發(fā)送配置-設(shè)備信息
步驟3,移動(dòng)VPN代理設(shè)備pda接收到所述配置-設(shè)備信息后,建立與VPN網(wǎng)關(guān)(3)的IPsec隧道;
步驟4,用戶通過(guò)所述IPsec隧道向Intranet的私有資源發(fā)起訪問(wèn)請(qǐng)求;
步驟5,認(rèn)證客戶端(5)對(duì)用戶的訪問(wèn)請(qǐng)求進(jìn)行過(guò)濾,并將用戶重定向到認(rèn)證服務(wù)器(4);
步驟6,認(rèn)證服務(wù)器(4)對(duì)用戶進(jìn)行身份認(rèn)證后,并向認(rèn)證客戶端(5)下發(fā)授權(quán)-用戶信息;
步驟7,認(rèn)證客戶端(5)對(duì)接收到的所述授權(quán)-用戶信息進(jìn)行處理;
步驟8,用戶再次通過(guò)所述IPsec隧道向Intranet的私有資源發(fā)起訪問(wèn)請(qǐng)求;
步驟9,認(rèn)證客戶端(5)對(duì)用戶的訪問(wèn)請(qǐng)求進(jìn)行過(guò)濾,并轉(zhuǎn)發(fā)依據(jù)訪問(wèn)請(qǐng)求請(qǐng)求到的屬于Intranet的私有資源。
2.根據(jù)權(quán)利要求1所述的一種基于IPsec VPN代理的Intranet接入系統(tǒng),其特征在于:移動(dòng)VPN代理設(shè)備的設(shè)備代理初始化的處理過(guò)程為:
步驟1-A1,任意一移動(dòng)VPN代理設(shè)備pda向配置服務(wù)器(2)發(fā)送自身的設(shè)備標(biāo)志號(hào)a;
步驟1-A2,所述任意一移動(dòng)VPN代理設(shè)備pda接收配置服務(wù)器(2)發(fā)送的配置校驗(yàn)隨機(jī)數(shù)
步驟1-A3,所述任意一移動(dòng)VPN代理設(shè)備pda采用MD5算法對(duì)PSKa和進(jìn)行處理,獲得設(shè)備哈希值
pda表示任意一個(gè)移動(dòng)VPN代理設(shè)備,而角標(biāo)a表示設(shè)備標(biāo)志號(hào);
PSKa表示預(yù)設(shè)的任意一移動(dòng)VPN代理設(shè)備pda的預(yù)共享密鑰;
步驟1-A4,任意一移動(dòng)VPN代理設(shè)備pda向配置服務(wù)器(2)發(fā)送所述設(shè)備哈希值
移動(dòng)VPN代理設(shè)備的接收配置處理過(guò)程為:
步驟1-B1,任意一移動(dòng)VPN代理設(shè)備pda接收配置服務(wù)器(2)發(fā)送的配置—設(shè)備信息其中,除以外的其他參數(shù)為IPsec VPN實(shí)現(xiàn)strongSwan的配置參數(shù);
是在IPsec連接生成時(shí)由配置服務(wù)器(2)產(chǎn)生并向移動(dòng)VPN代理設(shè)備發(fā)送的IPsec連接標(biāo)識(shí)號(hào),簡(jiǎn)稱為設(shè)備—IPsec連接標(biāo)記;
步驟1-B2,根據(jù)設(shè)備—IPsec連接標(biāo)記來(lái)判斷所述移動(dòng)VPN代理設(shè)備pda是否存在IPsec連接標(biāo)記相同的IPsec連接;
若不存在,則依據(jù)配置—設(shè)備信息在移動(dòng)VPN代理設(shè)備pda中添加IPsec連接;
若存在,則用配置—設(shè)備信息更新移動(dòng)VPN代理設(shè)備pda中設(shè)備—IPsec連接標(biāo)記相同的IPsec連接;
步驟1-B3,移動(dòng)VPN代理設(shè)備pda依據(jù)配置—設(shè)備信息通過(guò)密鑰交換協(xié)議構(gòu)建得到VPN網(wǎng)關(guān)(3)的IPsec隧道;
移動(dòng)VPN代理設(shè)備1的發(fā)送狀態(tài)處理過(guò)程為:
任意一個(gè)移動(dòng)VPN代理設(shè)備pda收集自身的設(shè)備—狀態(tài)信息INSTAT_a={pda,IPa,CPUa,MEMa,NETa,TNLa},并在完成初始化后,每2分鐘執(zhí)行一次設(shè)備—狀態(tài)信息INSTAT_a={pda,IPa,CPUa,MEMa,NETa,TNLa}發(fā)送給配置服務(wù)器(2)。
3.根據(jù)權(quán)利要求1所述的一種基于IPsec VPN代理的Intranet接入系統(tǒng),其特征在于:
配置服務(wù)器(2)進(jìn)行的設(shè)備認(rèn)證處理過(guò)程為:
步驟2-A1,配置服務(wù)器(2)接收任意一個(gè)移動(dòng)VPN代理設(shè)備pda發(fā)送的自身設(shè)備標(biāo)志號(hào)a,然后采用線性同余算法生成配置校驗(yàn)隨機(jī)數(shù)最后將所述返回給任意一個(gè)移動(dòng)VPN代理設(shè)備pda;
步驟2-A2,配置服務(wù)器(2)根據(jù)所述a查找所述pda對(duì)應(yīng)的設(shè)備信息INAUTH_a={pda,PSKa};然后采用MD5算法對(duì)PSKa和進(jìn)行處理,獲得服務(wù)器哈希值
pda表示任意一個(gè)移動(dòng)VPN代理設(shè)備,而角標(biāo)a表示設(shè)備標(biāo)志號(hào);
PSKa表示預(yù)設(shè)的任意一移動(dòng)VPN代理設(shè)備pda的預(yù)共享密鑰;
步驟2-A3,配置服務(wù)器(2)接收并對(duì)比與若相同,則任意一移動(dòng)VPN代理設(shè)備pda通過(guò)配置服務(wù)器(2)的設(shè)備認(rèn)證,轉(zhuǎn)入步驟2-B1;
若不相同,返回步驟2-A1;
步驟2-B1,任意一個(gè)移動(dòng)VPN代理設(shè)備pda經(jīng)配置服務(wù)器(2)認(rèn)證成功后,配置服務(wù)器(2)第一方面將提取到屬于所述任意一個(gè)移動(dòng)VPN代理設(shè)備pda的IPa,第二方面構(gòu)建屬于所述任意一個(gè)移動(dòng)VPN代理設(shè)備pda的IPsec連接模板,即配置—設(shè)備信息第三方面構(gòu)建屬于所述任意一個(gè)移動(dòng)VPN代理設(shè)備pda的網(wǎng)關(guān)連接模板,即網(wǎng)關(guān)—設(shè)備信息
步驟2-B2,配置服務(wù)器(2)向VPN網(wǎng)關(guān)(3)下發(fā)所述
步驟2-B3,配置服務(wù)器(2)向VPN代理(1)下發(fā)所述
是在IPsec連接生成時(shí)由配置服務(wù)器(2)產(chǎn)生并向移動(dòng)VPN代理設(shè)備發(fā)送的IPsec連接標(biāo)識(shí)號(hào),簡(jiǎn)稱為設(shè)備—IPsec連接標(biāo)記;
cd2-3是在IPsec連接生成時(shí)由配置服務(wù)器(2)產(chǎn)生并向VPN網(wǎng)關(guān)(3)發(fā)送的IPsec連接標(biāo)識(shí)號(hào),簡(jiǎn)稱為網(wǎng)關(guān)—IPsec連接標(biāo)記;
步驟2-C1,配置服務(wù)器(2)接收任意一個(gè)移動(dòng)VPN代理設(shè)備pda的設(shè)備—狀態(tài)信息INSTAT_a={pda,IPa,CPUa,MEMa,NETa,TNLa};
步驟2-C2,配置服務(wù)器(2)使用所述INSTAT_a更新INSTAT={INSTAT_A,INSTAT_B,…INSTAT_a,…,INSTAT_N}中對(duì)應(yīng)移動(dòng)VPN代理設(shè)備pda的狀態(tài)信息。
4.根據(jù)權(quán)利要求1所述的一種基于IPsec VPN代理的Intranet接入系統(tǒng),其特征在于:
VPN網(wǎng)關(guān)(3)進(jìn)行接收配置的處理過(guò)程為:
步驟3-A1,VPN網(wǎng)關(guān)(3)接收配置服務(wù)器(2)發(fā)送的網(wǎng)關(guān)—設(shè)備信息其中,除cd2-3以外的其他參數(shù)為IPsec VPN實(shí)現(xiàn)strongSwan的配置參數(shù);
cd2-3是在IPsec連接生成時(shí)由配置服務(wù)器(2)產(chǎn)生并向VPN網(wǎng)關(guān)(3)發(fā)送的IPsec連接標(biāo)識(shí)號(hào),簡(jiǎn)稱為網(wǎng)關(guān)—IPsec連接標(biāo)記;
步驟3-A2,根據(jù)網(wǎng)關(guān)—IPsec連接標(biāo)記cd2-3來(lái)判斷任意一移動(dòng)VPN代理設(shè)備pda是否存在IPsec連接標(biāo)識(shí)號(hào)相同的IPsec連接;
若不存在,則依據(jù)網(wǎng)關(guān)—設(shè)備信息在VPN網(wǎng)關(guān)(3)中添加IPsec連接;
若存在,則用網(wǎng)關(guān)—設(shè)備信息更新VPN網(wǎng)關(guān)(3)中網(wǎng)關(guān)—IPsec連接標(biāo)記cd2-3相同的IPsec連接;
VPN網(wǎng)關(guān)(3)進(jìn)行發(fā)送狀態(tài)的處理過(guò)程為:
在本發(fā)明中,VPN網(wǎng)關(guān)(3)啟動(dòng)后每2分鐘執(zhí)行網(wǎng)關(guān)狀態(tài)信息IMSTAT_3={IP,CPU,MEM,NET,TNL}發(fā)送,或者有新的移動(dòng)VPN代理設(shè)備接入到VPN網(wǎng)關(guān)(3)時(shí)執(zhí)行網(wǎng)關(guān)狀態(tài)信息IMSTAT_3={IP,CPU,MEM,NET,TNL}發(fā)送;
步驟3-B1,VPN網(wǎng)關(guān)(3)收集自身的網(wǎng)關(guān)狀態(tài)信息IMSTAT_3={IP,CPU,MEM,NET,TNL};
步驟3-B2,VPN網(wǎng)關(guān)(3)將所述網(wǎng)關(guān)狀態(tài)信息IMSTAT_3發(fā)送給配置服務(wù)器(2)。
5.根據(jù)權(quán)利要求1所述的一種基于IPsec VPN代理的Intranet接入系統(tǒng),其特征在于:認(rèn)證服務(wù)器(4)的身份認(rèn)證處理與授權(quán)信息下發(fā)處理過(guò)程為:
步驟4-A1,認(rèn)證服務(wù)器(4)接收來(lái)自任意一個(gè)用戶user發(fā)送的訪問(wèn)請(qǐng)求access request;
步驟4-A2,認(rèn)證服務(wù)器(4)依據(jù)注冊(cè)身份信息集UAUTH={uAUTH_A,uAUTH_B,…,uAUTH_a…uAUTH_Z}來(lái)核對(duì)所述用戶user是否屬于企業(yè)內(nèi)部網(wǎng)Intrnet的注冊(cè)用戶;若屬于企業(yè)內(nèi)部網(wǎng)Intrnet中的任意一注冊(cè)用戶uAUTH_a={uda,pwda},執(zhí)行步驟4-A3,若不屬于企業(yè)內(nèi)部網(wǎng)Intrnet的注冊(cè)用戶,注冊(cè)用戶認(rèn)證失?。?/p>
步驟4-A3,認(rèn)證服務(wù)器(4)通過(guò)在授權(quán)信息集ACLAUTH={acAUTH_A,acAUTH_B,…,acAUTH_a,…,acAUTH_N}中查找出uAUTH_a={uda,pwda}對(duì)應(yīng)的用戶授權(quán)信息acAUTH_a;并記錄下uAUTH_a={uda,pwda}的IP地址,并根據(jù)所找到的acAUTH_a進(jìn)行授權(quán)信息下發(fā)至允許uda訪問(wèn)的認(rèn)證客戶端(5)的訪問(wèn)資源集
6.根據(jù)權(quán)利要求1所述的一種基于IPsec VPN代理的Intranet接入系統(tǒng),其特征在于:
認(rèn)證客戶端(5)對(duì)用戶請(qǐng)求的過(guò)濾處理過(guò)程為:
步驟5-A1,任意一認(rèn)證客戶端rdj接收監(jiān)聽(tīng)來(lái)自任意一用戶user的訪問(wèn)請(qǐng)求access request,并提取用戶的IP地址,記為IPa;
步驟5-A2,所述認(rèn)證客戶端rdj通過(guò)IPLj={ipj_1,ipj_2,…,ipj_k,…,ipj_K}來(lái)判斷所述IPa對(duì)應(yīng)的允許訪問(wèn)的用戶;
若iIPa∈IPLj,轉(zhuǎn)發(fā)用戶的訪問(wèn)請(qǐng)求access request到私有資源Private resources;
若則拒絕用戶的訪問(wèn)請(qǐng)求access request,若用戶的請(qǐng)求為Web請(qǐng)求,則需重定向用戶到認(rèn)證服務(wù)器(4);
認(rèn)證客戶端(5)的授權(quán)信息接收的處理過(guò)程為:
步驟5-B1,認(rèn)證客戶端(5)接收來(lái)自認(rèn)證服務(wù)器(4)的IPa;
步驟5-B2,認(rèn)證客戶端(5)使用所述IPa查詢IPLj;
若IPa∈IPLj,則不對(duì)IPLj進(jìn)行更新;
若則更新IPLj。
7.根據(jù)權(quán)利要求1所述的一種基于IPsec VPN代理的Intranet接入系統(tǒng),其特征在于:私有資源的請(qǐng)求用戶既是企業(yè)內(nèi)部網(wǎng)中私有資源的擁有者,也企業(yè)內(nèi)部網(wǎng)中的用戶。
8.根據(jù)權(quán)利要求1所述的一種基于IPsec VPN代理的Intranet接入系統(tǒng),其特征在于:在使用時(shí),認(rèn)證客戶端(5)部署在Intranet內(nèi)部受保護(hù)的私有資源之前,可同時(shí)使用多個(gè)認(rèn)證客戶端(5)保護(hù)不同的私有資源,一個(gè)認(rèn)證客戶端(5)也可部署在若干個(gè)私有資源之前以同時(shí)保護(hù)多個(gè)資源。通過(guò)使用認(rèn)證客戶端5能夠?qū)崿F(xiàn)對(duì)Intranet私有資源的細(xì)粒度訪問(wèn)控制。
9.根據(jù)權(quán)利要求1所述的一種基于IPsec VPN代理的Intranet接入系統(tǒng),其特征在于:所述接入系統(tǒng)由無(wú)線路由器和服務(wù)器構(gòu)成。