無線vpdn網(wǎng)絡(luò)用戶訪問特定公網(wǎng)站點(diǎn)的控制裝置和方法
【技術(shù)領(lǐng)域】
[0001 ] 本發(fā)明涉及一種無線VPDN(Virtual Private Dial-up Network)網(wǎng)絡(luò)用戶訪問特定公網(wǎng)站點(diǎn)的控制裝置和方法��,確切地說�����,涉及一種在使用無線VPDN方式接入企業(yè)內(nèi)部網(wǎng)絡(luò)時(shí)��,用戶可以在受管控的條件下���,能夠并且只能使用特定公網(wǎng)站點(diǎn)的云應(yīng)用服務(wù)(包括地圖服務(wù)���、天氣服務(wù)、支付服務(wù)��、即時(shí)通信服務(wù)等)���,將無線VPDN網(wǎng)絡(luò)與公共互聯(lián)網(wǎng)云應(yīng)用服務(wù)連接起來的控制裝置和控制方法;屬于移動(dòng)互聯(lián)網(wǎng)絡(luò)的技術(shù)領(lǐng)域�����。
【背景技術(shù)】
[0002]隨著企業(yè)客戶的信息化水平不斷地提高�,對(duì)網(wǎng)絡(luò)的依賴越來越大���,遠(yuǎn)程接入企業(yè)內(nèi)部網(wǎng)絡(luò)的需求也越來越迫切��。相對(duì)于傳統(tǒng)電信業(yè)務(wù)�,無線虛擬專用撥號(hào)網(wǎng)絡(luò)VPDN(Virtual Private Dial-up Network)業(yè)務(wù)以其訪問靈活�����、快速��、安全����、方便的特點(diǎn),為企業(yè)提高了工作效率���,節(jié)省了開支�����,受到了越來越多企業(yè)的認(rèn)可�。
[0003]VPDN是一種VPN業(yè)務(wù),是基于撥號(hào)用戶的虛擬專用撥號(hào)網(wǎng)業(yè)務(wù)���。它是利用IP網(wǎng)絡(luò)的承載能力����、GRE/L2TP隧道技術(shù)�����、RADIUS(Remote Authenticat1n Dial In User Service)協(xié)議等技術(shù)�,并結(jié)合相應(yīng)的認(rèn)證和授權(quán)機(jī)制,為企業(yè)實(shí)現(xiàn)建立在公共網(wǎng)絡(luò)上的認(rèn)證����、授權(quán)和計(jì)費(fèi)一體化的、安全的虛擬專網(wǎng)��。近年來�����,隨著Internet的發(fā)展,VPDN作為一種迅速發(fā)展的新技術(shù)����,已經(jīng)廣泛應(yīng)用于跨地域集團(tuán)企業(yè)的內(nèi)部網(wǎng)�、專業(yè)信息服務(wù)提供商專用網(wǎng)、金融大眾業(yè)務(wù)網(wǎng)���、銀行存取業(yè)務(wù)網(wǎng)等多種業(yè)務(wù);并且成為企業(yè)駐外機(jī)構(gòu)和出差人員能夠從遠(yuǎn)程經(jīng)由公共網(wǎng)絡(luò)�����,通過虛擬隧道實(shí)現(xiàn)和企業(yè)總部之間的網(wǎng)絡(luò)連接����,而公共網(wǎng)絡(luò)上其它用戶則無法穿過虛擬隧道訪問企業(yè)網(wǎng)內(nèi)部的資源����。
[0004]VPDN的具體實(shí)現(xiàn)是采用隧道技術(shù),即將企業(yè)網(wǎng)的數(shù)據(jù)封裝在隧道中進(jìn)行傳輸�。隧道技術(shù)的基本過程是在源局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)作為負(fù)載封裝在一種可以在公網(wǎng)上傳輸?shù)臄?shù)據(jù)格式中,再在目的局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)解封裝�,取出負(fù)載。被封裝的數(shù)據(jù)包在互聯(lián)網(wǎng)上傳遞時(shí)所經(jīng)過的邏輯路徑被稱為“隧道”���。要使數(shù)據(jù)順利地被封裝����、傳送及解封裝,通信協(xié)議是保證的核心���。
[0005]參見圖1����,介紹一種典型的VPDN組網(wǎng)示意圖:如圖1所示����,VPDN用戶只能訪問企業(yè)內(nèi)部網(wǎng)絡(luò),而不能連接到公網(wǎng)����。但是,隨著移動(dòng)互聯(lián)網(wǎng)絡(luò)的快速發(fā)展��,VPDN客戶的業(yè)務(wù)也在逐步發(fā)生變化���,不少VPDN客戶期望在通過VPDN方式接入企業(yè)內(nèi)部網(wǎng)絡(luò)的基礎(chǔ)上��,也能夠使用某些特定的公網(wǎng)云計(jì)算應(yīng)用服務(wù)�����,例如地圖服務(wù)����、天氣服務(wù)、支付服務(wù)和即時(shí)通信服務(wù)等�,來為自身業(yè)務(wù)發(fā)展提供更好的支持���。
[0006]眾所周知���,允許VPDN用戶訪問公網(wǎng)的技術(shù)本身并不困難,VPDN接入網(wǎng)關(guān)可以通過轉(zhuǎn)發(fā)VPDN用戶的公網(wǎng)訪問請(qǐng)求來完成該功能��,圖2就是一種為VPDN用戶訪問公網(wǎng)場(chǎng)景的一種組網(wǎng)示意圖��。但是���,核心的問題在于如何限定特定的VPDN用戶只能訪問特定的公網(wǎng)站點(diǎn)�,僅僅依靠公網(wǎng)出口防火墻是很難應(yīng)對(duì)這種個(gè)性化需求的�����。因?yàn)榉阑饓﹄m然可以做到特定IP地址到特定公網(wǎng)站點(diǎn)的訪問控制。但是�,由于VPDN用戶接入時(shí)是動(dòng)態(tài)分配的IP地址,所以公網(wǎng)出口防火墻無法知道接入的IP地址是屬于哪個(gè)VPDN用戶����,也就不知道哪些公網(wǎng)站點(diǎn)是允許該用戶訪問的。因此僅僅通過制訂防火墻規(guī)則來限定特定VPDN用戶訪問特定公網(wǎng)站點(diǎn)的方案仍然是不可行的�。
[0007]通過以上分析可以發(fā)現(xiàn),解決VPDN網(wǎng)絡(luò)中VPDN用戶受控訪問特定公網(wǎng)站點(diǎn)問題的關(guān)鍵是要維護(hù)VPDN用戶與所分配其使用的IP地址的對(duì)應(yīng)關(guān)系�,進(jìn)而得出要訪問的公網(wǎng)站點(diǎn)是否在該VPDN用戶授權(quán)使用的公網(wǎng)范圍的列表之內(nèi),從而達(dá)到允許授權(quán)范圍內(nèi)公網(wǎng)站點(diǎn)的合法訪問通過和拒絕授權(quán)范圍外的公網(wǎng)站點(diǎn)非法訪問通過的目的����。這才是本發(fā)明需要解決的問題及其方法的根源。
【發(fā)明內(nèi)容】
[0008]有鑒于此�,本發(fā)明的目的是提供一種無線VPDN網(wǎng)絡(luò)用戶訪問特定公網(wǎng)站點(diǎn)的控制裝置和方法,本發(fā)明的關(guān)鍵就是使用AAA設(shè)備中記錄的VPDN用戶在線IP地址來標(biāo)識(shí)用戶�����,并獲取該用戶授權(quán)合法訪問的公網(wǎng)站點(diǎn)列表��,然后根據(jù)該允許訪問的公網(wǎng)站點(diǎn)列表判斷該用戶訪問目標(biāo)公網(wǎng)站點(diǎn)(包括域名和/或IP地址格式站點(diǎn))的合法性����。
[0009]為了達(dá)到上述目的�,本發(fā)明提供了一種無線虛擬專用撥號(hào)網(wǎng)絡(luò)VPDN(VirtualPrivate Dial-up Network)用戶訪問特定公網(wǎng)站點(diǎn)的控制裝置����,其特征在于:該裝置用于在現(xiàn)有VPDN網(wǎng)絡(luò)架構(gòu)和不改動(dòng)現(xiàn)行業(yè)務(wù)流程的基礎(chǔ)上,控制用戶在VPDN網(wǎng)絡(luò)環(huán)境中只能夠訪問被授權(quán)的公網(wǎng)站點(diǎn)����;設(shè)有VPDN接入網(wǎng)關(guān)接口、授權(quán)公網(wǎng)站點(diǎn)查詢部件���、計(jì)算機(jī)域名系統(tǒng)DNS(Domain Name System)域名查詢部件和業(yè)務(wù)邏輯處理及維護(hù)管理部件共四個(gè)組成部件;其中:
[0010]VPDN接入網(wǎng)關(guān)接口,負(fù)責(zé)接收VPDN接入網(wǎng)關(guān)的查詢請(qǐng)求����,并將查詢請(qǐng)求分別轉(zhuǎn)發(fā)給授權(quán)公網(wǎng)站點(diǎn)查詢部件和DNS域名查詢部件進(jìn)行查詢,再把查詢結(jié)果返回給VPDN接入網(wǎng)關(guān);
[0011 ]授權(quán)公網(wǎng)站點(diǎn)查詢部件��,負(fù)責(zé)根據(jù)來自VPDN接入網(wǎng)關(guān)接口的查詢請(qǐng)求���,向VPDN網(wǎng)絡(luò)的接入認(rèn)證����、授權(quán)�、計(jì)費(fèi)AAA( Authenti cat 1n ,Authorizat 1n ,Accounting)設(shè)備查詢預(yù)設(shè)的授權(quán)用戶訪問的特定地址的公網(wǎng)站點(diǎn)列表���,再把查詢結(jié)果返回給VPDN接入網(wǎng)關(guān)接口;
[0012]DNS域名查詢部件�,負(fù)責(zé)根據(jù)來自VPDN接入網(wǎng)關(guān)接口的查詢請(qǐng)求,向外部網(wǎng)絡(luò)的公網(wǎng)DNS服務(wù)器發(fā)出查詢請(qǐng)求����,使用DNS協(xié)議查詢DNS域名對(duì)應(yīng)的IP地址,再把查詢結(jié)果返回給VPDN接入網(wǎng)關(guān)接口 ��;
[0013]業(yè)務(wù)邏輯處理及維護(hù)管理部件����,作為該裝置的控制中心,分別連接所述其他三個(gè)部件�����,負(fù)責(zé)業(yè)務(wù)邏輯處理過程的控制管理����,并提供系統(tǒng)維護(hù)管控界面,用于實(shí)現(xiàn)對(duì)系統(tǒng)運(yùn)行參數(shù)的實(shí)時(shí)配置�����、調(diào)整與運(yùn)行監(jiān)控。
[0014]為了達(dá)到上述目的�����,本發(fā)明還提供了一種采用本發(fā)明無線VPDN網(wǎng)絡(luò)用戶訪問特定公網(wǎng)站點(diǎn)的控制裝置的控制方法�,其特征在于:所述方法包括下列操作步驟:
[0015]步驟I,用戶接入VPDN網(wǎng)絡(luò):VPDN用戶移動(dòng)終端利用無線方式申請(qǐng)接入VPDN網(wǎng)絡(luò)��,VI3DN接入網(wǎng)關(guān)接收到該接入請(qǐng)求后��,向VPDN接入AAA設(shè)備申請(qǐng)認(rèn)證和授權(quán);VPDN接入AAA設(shè)備根據(jù)接入網(wǎng)關(guān)發(fā)送來的該用戶信息認(rèn)證判斷該用戶接入請(qǐng)求的合法性;若認(rèn)證通過�����,則為該VPDN用戶分配IP地址�,并維護(hù)該VPDN用戶與IP地址之間的關(guān)聯(lián)關(guān)系;若認(rèn)證未通過�����,則結(jié)束流程����;
[0016]步驟2,用戶發(fā)起訪問公網(wǎng)站點(diǎn)請(qǐng)求:VPDN接入網(wǎng)關(guān)接收到VPDN用戶發(fā)起的訪問公網(wǎng)站點(diǎn)請(qǐng)求時(shí)��,為了判斷該VPDN用戶是否具備訪問該公網(wǎng)站點(diǎn)的授權(quán),向公網(wǎng)訪問控制設(shè)備發(fā)送包括該VPDN用戶的IP地址及其申請(qǐng)的包括IP地址和/或域名地址的該公網(wǎng)站點(diǎn)信息的訪問請(qǐng)求�����;
[0017]步驟3���,公網(wǎng)訪問控制裝置判斷該VPDN用戶的請(qǐng)求訪問的公網(wǎng)站點(diǎn)是否合法授權(quán)���,即請(qǐng)求訪問的該公網(wǎng)站點(diǎn)是否位于該用戶授權(quán)訪問的公網(wǎng)站點(diǎn)列表中;如果用戶希望訪問的該公網(wǎng)站點(diǎn)不在該授權(quán)訪問的列表內(nèi)�����,則訪問不合法�����,直接拒絕用戶訪問請(qǐng)求�����,結(jié)束流程;否則�����,執(zhí)行步驟4,允許該VPDN用戶訪問該公網(wǎng)站點(diǎn)���;
[0018]步驟4����,公網(wǎng)訪問控制裝置通知VPDN接入網(wǎng)關(guān):允許該VPDN用戶訪問該公網(wǎng)站點(diǎn)�,并提供該公網(wǎng)站點(diǎn)的IP地址,然后VPDN接入網(wǎng)關(guān)給公網(wǎng)出口防火墻轉(zhuǎn)發(fā)該VPDN用戶的訪問請(qǐng)求��,允許接入該訪問請(qǐng)求��。
[0019]本發(fā)明的關(guān)鍵創(chuàng)新技術(shù)是在現(xiàn)有VPDN網(wǎng)絡(luò)架構(gòu)基礎(chǔ)上���,增設(shè)公網(wǎng)訪問控制裝置��,該特定公網(wǎng)站點(diǎn)的訪問控制裝置允許用戶實(shí)現(xiàn)對(duì)公網(wǎng)的訪問���,并且控制用戶在VPDN網(wǎng)絡(luò)環(huán)境中只能夠訪問被授權(quán)的公網(wǎng)站點(diǎn)��。同時(shí)�,本發(fā)明對(duì)現(xiàn)網(wǎng)的改動(dòng)很小,也不影響現(xiàn)網(wǎng)的現(xiàn)有業(yè)務(wù)操作流程,具備較高的適用性和可實(shí)施性����。
[0020]因?yàn)楸景l(fā)明在VPDN網(wǎng)絡(luò)中有效解決了公網(wǎng)站點(diǎn)的訪問控制問題,對(duì)于運(yùn)營商而言���,可以促進(jìn)多種新業(yè)務(wù)的開展和推廣�,拓寬用戶與營收的渠道�。對(duì)于VPDN用戶而言,可以靈活設(shè)定和調(diào)整允許訪問的公網(wǎng)列表�,從而能夠安全使用特定的公網(wǎng)云計(jì)算和其他應(yīng)用服務(wù),提升具體業(yè)務(wù)的用戶體驗(yàn)��,提高用戶粘性與忠誠度�����,具有廣闊的應(yīng)用空間����。總之��,本發(fā)明具備很好的推廣應(yīng)用前景���。
【附圖說明】
[0021]圖1是VPDN網(wǎng)絡(luò)接入與流向的示意圖��。
[0022 ]圖2是非受控的VPDN網(wǎng)絡(luò)接入公網(wǎng)訪問及流向的示意圖��。
[0023]圖3是本發(fā)明受控的VPDN網(wǎng)絡(luò)接入公網(wǎng)訪問的網(wǎng)絡(luò)結(jié)構(gòu)組成示意圖���。
[0024]圖4是本發(fā)明VPDN用戶訪問特定公網(wǎng)站點(diǎn)的控制裝置結(jié)構(gòu)組成示意圖����。
[0025]圖5是本發(fā)明VPDN用戶訪問受控公網(wǎng)站點(diǎn)的操作步驟流程圖��。
[0026]圖6是圖5中的步驟I用戶接入VPDN網(wǎng)絡(luò)的操作步驟時(shí)序圖�����。
[0027]圖7是圖5中的步驟2用戶發(fā)起訪問公網(wǎng)站點(diǎn)請(qǐng)求的操作步驟時(shí)序圖�����。
[0028]圖8是圖5中的步驟3公網(wǎng)站點(diǎn)訪問控制裝置判斷用戶是否合法的操作步驟時(shí)序圖�����。
【具體實(shí)施方式】
[0029]為使本發(fā)明的目的����、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步的詳細(xì)描述����。
[0030]本發(fā)明需要在VPDN網(wǎng)絡(luò)中增設(shè)用戶訪問特定公網(wǎng)站點(diǎn)的控制裝置,增加公網(wǎng)訪問控制裝置后的網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D如圖3所示�。該公網(wǎng)訪問控制裝置分別與VPDN接入網(wǎng)關(guān)、VTON接入AAA設(shè)備和公網(wǎng)DNS服務(wù)器進(jìn)行交互���,用于在現(xiàn)有VPDN網(wǎng)絡(luò)架構(gòu)和不改動(dòng)現(xiàn)行業(yè)務(wù)流程的基礎(chǔ)上��,實(shí)現(xiàn)識(shí)別VPDN用戶的身份��、獲取VPDN用戶訪問公網(wǎng)的授權(quán)與否���,以及獲取授權(quán)訪問的特定公網(wǎng)站點(diǎn)列表,從而控制用戶在VPDN網(wǎng)絡(luò)環(huán)境中只能夠訪問被授權(quán)的公網(wǎng)站點(diǎn)�。
[0031]參見圖4,介紹本發(fā)明V