專利名稱:外部用戶登錄備份系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及SSL VPN、CA認證和虛擬計算技術領域,尤其涉及外部用戶集成登錄系統(tǒng)。
背景技術:
在現(xiàn)有技術中,外網(wǎng)客戶端的用戶如果要訪問內(nèi)網(wǎng)的B/S應用系統(tǒng)服務器或C/S 應用系統(tǒng)服務器,一般是通過互聯(lián)網(wǎng)、防火墻、DMZ交換機經(jīng)CA數(shù)字認證后與SSL VPN設備 建立連接,然后再訪問B/S應用系統(tǒng)服務器或者通過虛擬網(wǎng)絡計算服務器訪問C/S應用系 統(tǒng)服務器。在現(xiàn)有技術中,一旦SSL VPN設備發(fā)生故障或宕機,外部用戶將不能登錄和訪問 內(nèi)網(wǎng)的B/S應用系統(tǒng)服務器或C/S應用系統(tǒng)服務器。
發(fā)明內(nèi)容
本發(fā)明的發(fā)明目的在于提供外部用戶集成登錄系統(tǒng),以實現(xiàn)SSL VPN應用業(yè)務中, 采用虛擬網(wǎng)絡計算技術進行備份,并使用檢測/控制裝置進行自動切換以確保外部用戶能 順利登錄和訪問內(nèi)網(wǎng)。本發(fā)明是通過下述技術方案解決上述技術問題的外部用戶登錄備份系統(tǒng),包括 用于保護內(nèi)部網(wǎng)絡的DMZ交換機;用于建立虛擬專用網(wǎng)的SSL VPN設備,所述SSL VPN設備 與DMZ交換機連接,所述SSL VPN設備還與B/S應用系統(tǒng)服務器相連接;用于提供身份認證 的CA數(shù)字認證服務器,CA數(shù)字認證服務器與所述SSLVPN設備相連接;用于虛擬化計算的 虛擬網(wǎng)絡計算服務器,所述虛擬網(wǎng)絡計算服務器與所述SSL VPN設備相連接,所述虛擬網(wǎng)絡 計算服務器與C/S應用系統(tǒng)服務器相連接;還包括,用于登錄備份的設置在虛擬網(wǎng)絡計算 服務器上的與SSL VPN設備IP地址相同的備用網(wǎng)卡,所述備用網(wǎng)卡與DMZ交換機連接;用 于向SSL VPN設備發(fā)送ICMP響應請求和當響應請求報文出現(xiàn)異常時控制備用網(wǎng)卡啟動的 檢測/控制裝置,所述檢測/控制裝置設置在所述虛擬網(wǎng)絡計算服務器上;所述虛擬網(wǎng)絡計 算服務器還與B/S應用系統(tǒng)服務器相連接。外網(wǎng)用戶通過SSL VPN設備和CA數(shù)字證書認證相結合來訪問B/S應用系統(tǒng)服務 器,通過虛擬網(wǎng)絡計算服務器來訪問基于C/S應用系統(tǒng)服務器。檢測/控制裝置安裝在虛 擬網(wǎng)絡計算服務器上,時刻檢測到SSL VPN設備是否失效;在虛擬網(wǎng)絡計算服務器上安裝 了內(nèi)網(wǎng)所有應用,以便隨時啟用?;谔摂M化計算服務的功能,對于任何不同結構的軟件系 統(tǒng),通過虛擬網(wǎng)絡計算服務器,無需安裝和配置任何客戶端軟件。在SSL VN設備工作正常情況下對外的應用訪問全部由SSL VPN來完成,用戶的身份認證采用CA雙向認證模式, 只有身份合法的客戶端才能合法接入;對于B/S應用系統(tǒng)的用戶,通過登錄SSL VPN設備,結合CA數(shù)字認證,進入到內(nèi)部 網(wǎng)絡;對于C/S應用系統(tǒng)的用戶,通過登錄SSL VPN設備,結合CA數(shù)字認證,建立IPSECVPN網(wǎng)絡安全通道,進入到內(nèi)部網(wǎng)絡。在SSL VPN設備出現(xiàn)故障的情況下檢測/控制裝置控制啟動備用網(wǎng)卡,整個過程對用戶說是透明的,做到客戶端零 配置、零安裝完成切換過程。虛擬網(wǎng)絡計算服務器上的檢測/控制裝置檢測到SSL VPN設備失效時,啟用備用 網(wǎng)卡,對外的應用訪問全部由虛擬網(wǎng)絡計算服務器來接管與完成;虛擬化計算技術提高了 數(shù)據(jù)安全性,因此外部用戶登錄可免去CA數(shù)字認證環(huán)節(jié)。本發(fā)明帶來的有益效果是,當SSL VPN設備發(fā)生故障時讓虛擬網(wǎng)絡計算服務器無 縫接替SSL VPN設備的工作,從而不影響外部用戶的登錄和訪問。本發(fā)明涉及的現(xiàn)有技術包括
一、虛擬專用網(wǎng)絡(VPN Virtual Private Network)通過公用網(wǎng)絡(如 Internet)建立,一條穿過公用網(wǎng)絡臨時的、安全的、穩(wěn)定的隧道,是對企業(yè)內(nèi)部網(wǎng)的擴展。 可分 IPSEC VPN 和 SSL VPN0二、虛擬化計算應用虛擬化計算技術原理是基于應用/服務器計算A/S架構,采 用AIP (Application Integration Protocol)技術,把應用程序的人機交互邏輯(應用程 序界面、鍵盤及鼠標的操作、音頻輸入輸出、讀卡器、打印輸出等)與計算邏輯隔離開來。在 用戶訪問一個服務器虛擬化后的應用時,用戶計算機只需要把人機交互邏輯通過AIP協(xié)議 傳送到服務器端,服務器端為用戶開設獨立的會話空間,應用程序的計算邏輯在這個會話 空間中運行,把變化后的人機交互邏輯傳送給客戶端,并且在客戶端相應設備展示出來,從 而使用戶獲得如同運行本地應用程序一樣的訪問感受。該技術優(yōu)勢體現(xiàn)在三個方面(1) 由于應用程式和所訪問的數(shù)據(jù)處于集中管理和維護之下,對數(shù)據(jù)的訪問能夠被輕易地監(jiān)測 和保護,從而避免竊取數(shù)據(jù)或其他形式的攻擊;(2)極大地限制了應用程式可能受到某個 終端用戶設備特性、網(wǎng)絡特性或遠程接入的場所特點所帶來的負面影響的風險。在無需對 終端用戶的裝置進行標準化的情況下,實現(xiàn)終端用戶體驗的標準化;(3)由于應用程式只 需要實際運行一次即可,集中化的應用程式能夠輕易地加以規(guī)劃。
圖1為本發(fā)明的結構示意圖。
具體實施例方式下面結合附圖1對本發(fā)明作進一步詳細描述實施例1如圖1所示,外部用戶登錄備份系統(tǒng),包括用于保護內(nèi)部網(wǎng)絡的DMZ交換機1 ;用 于建立虛擬專用網(wǎng)的SSL VPN設備2,所述SSL VPN設備2與DMZ交換機1連接,所述SSL VPN設備2還與B/S應用系統(tǒng)服務器4相連接;用于提供身份認證的CA數(shù)字認證服務器3, CA數(shù)字認證服務器3與所述SSL VPN設備2相連接;用于虛擬化計算的虛擬網(wǎng)絡計算服務 器6,所述虛擬網(wǎng)絡計算服務器6與所述SSL VPN設備2相連接,所述虛擬網(wǎng)絡計算服務器 6與C/S應用系統(tǒng)服務器5相連接;還包括,用于登錄備份的設置在虛擬網(wǎng)絡計算服務器6 上的與SSL VPN設備2的IP地址相同的備用網(wǎng)卡8,所述備用網(wǎng)卡8與DMZ交換機1連接;用于向SSL VPN設備2發(fā)送ICMP響應請求和當響應請求報文出現(xiàn)異常時控制備用網(wǎng)卡8啟動的檢測/控制裝置7,所述檢測/控制裝置7設置在所述虛擬網(wǎng)絡計算服務器6上;所 述虛擬網(wǎng)絡計算服務器6還與B/S應用系統(tǒng)服務器4相連接。本發(fā)明的工作原理如下SSL VPN設備接在DMZ交換機同時映射到公網(wǎng)上提供服務,虛擬網(wǎng)絡計算服務器 上設有備份網(wǎng)卡,備份網(wǎng)卡連接DMZ交換機,備份網(wǎng)卡配有和SSL VPN設備相同的IP地址, 正常情況下禁用備份網(wǎng)卡。當SSL VPN設備正常工作時,外網(wǎng)用戶通過SSL VPN設備和CA 數(shù)字認證相結合來訪問B/S應用系統(tǒng)服務,通過虛擬網(wǎng)絡計算服務器來訪問基于C/S應用 系統(tǒng)服務。在虛擬網(wǎng)絡計算服務器上設有檢測/控制裝置,該檢測/控制裝置定期監(jiān)測SSL VPN設備的工作狀態(tài),當檢測到SSL VPN設備不正常時,虛擬網(wǎng)絡計算服務器自動接管SSL VPN設備的全部工作。該檢測/控制裝置的運行機制如下當檢測/控制裝置定期發(fā)出的ICMP響應請求 能夠正常地到達SSL VPN設備,則返回一個報文可達的信息,判斷SSL VPN設備工作正常; 當檢測/控制裝置發(fā)出的ICMP響應請求報文出現(xiàn)異常,則返回一個目標不可達或響應超時 的信息,判斷SSL VPN設備出現(xiàn)故障或宕機,此時檢測/控制裝置會立即啟用備用網(wǎng)卡和相 應的服務,從而接替SSL VPN設備的全部工作。以上所述僅為本發(fā)明的較佳實施例,凡依本發(fā)明申請專利范圍所作的均等變化與 修飾,皆應屬本發(fā)明專利的涵蓋范圍。
權利要求
外部用戶登錄備份系統(tǒng),包括用于保護內(nèi)部網(wǎng)絡的DMZ交換機;用于建立虛擬專用網(wǎng)的SSL VPN設備,所述SSL VPN設備與DMZ交換機連接,所述SSL VPN設備還與B/S應用系統(tǒng)服務器相連接;用于提供身份認證的CA數(shù)字認證服務器,CA數(shù)字認證服務器與所述SSL VPN設備相連接;用于虛擬化計算的虛擬網(wǎng)絡計算服務器,所述虛擬網(wǎng)絡計算服務器與所述SSL VPN設備相連接,所述虛擬網(wǎng)絡計算服務器與C/S應用系統(tǒng)服務器相連接;其特征在于還包括,用于登錄備份的設置在虛擬網(wǎng)絡計算服務器上的與SSL VPN設備IP地址相同的備用網(wǎng)卡,所述備用網(wǎng)卡與DMZ交換機連接;用于向SSL VPN設備發(fā)送ICMP響應請求和當響應請求報文出現(xiàn)異常時控制備用網(wǎng)卡啟動的檢測/控制裝置,所述檢測/控制裝置設置在所述虛擬網(wǎng)絡計算服務器上;所述虛擬網(wǎng)絡計算服務器還與B/S應用系統(tǒng)服務器相連接。
全文摘要
本發(fā)明涉及SSL VPN、CA認證和虛擬計算技術領域,尤其涉及外部用戶集成登錄系統(tǒng)。包括DMZ交換機和SSL VPN設備,所述SSL VPN設備與DMZ交換機連接,所述SSL VPN設備還與B/S應用系統(tǒng)服務器相連接;CA數(shù)字認證服務器與所述SSL VPN設備相連接;所述虛擬網(wǎng)絡計算服務器與所述SSL VPN設備相連接,所述虛擬網(wǎng)絡計算服務器與C/S應用系統(tǒng)服務器相連接;還包括,設置在虛擬網(wǎng)絡計算服務器上的備用網(wǎng)卡,所述備用網(wǎng)卡與DMZ交換機連接;所述檢測/控制裝置設置在所述虛擬網(wǎng)絡計算服務器上;所述虛擬網(wǎng)絡計算服務器還與B/S應用系統(tǒng)服務器相連接。實現(xiàn)SSL VPN應用業(yè)務中,采用虛擬網(wǎng)絡計算技術進行備份,并使用檢測/控制裝置進行自動切換以確保外部用戶能順利登錄和訪問內(nèi)網(wǎng)。
文檔編號H04L29/06GK101827090SQ20101013283
公開日2010年9月8日 申請日期2010年3月25日 優(yōu)先權日2010年3月25日
發(fā)明者劉鵬, 姜學峰, 李健俊, 章志華 申請人:浙江中煙工業(yè)有限責任公司