亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種基于IPsecVPN代理的Intranet接入系統(tǒng)的制作方法

文檔序號(hào):11930045閱讀:277來(lái)源:國(guó)知局
一種基于IPsec VPN代理的Intranet接入系統(tǒng)的制作方法與工藝

本發(fā)明涉及一種VPN技術(shù),更特別地說(shuō),是指一種基于IPsec VPN代理的Intranet接入系統(tǒng)。



背景技術(shù):

Intranet稱為企業(yè)內(nèi)部網(wǎng),或稱內(nèi)部網(wǎng)、內(nèi)聯(lián)網(wǎng)、內(nèi)網(wǎng),是一個(gè)使用與因特網(wǎng)(Internet)同樣技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò),它通常建立在一個(gè)企業(yè)或組織的內(nèi)部并為其成員提供信息的共享和交流等服務(wù),例如萬(wàn)維網(wǎng),文件傳輸,電子郵件等。

在《IPsec VPN技術(shù)規(guī)范》GM/T0022-2014,第2頁(yè)中“IPsec協(xié)議(Internet Protocol Security)”由IETF制定的端到端的確保基于IP通信數(shù)據(jù)安全性的一種網(wǎng)絡(luò)層協(xié)議,可以提供數(shù)據(jù)完整性保護(hù)、數(shù)據(jù)源鑒別、載荷機(jī)密性和抗重放攻擊等安全服務(wù)。第3頁(yè)中“VPN(Virtual Private Network)”為虛擬專用網(wǎng)絡(luò)。

IPsec最初的設(shè)計(jì)是提供點(diǎn)到點(diǎn)的,在遠(yuǎn)程站點(diǎn)和中央辦公室資源之間進(jìn)行不間斷的連接。在這種情況下,客戶端可以是分公司或者供應(yīng)商。這個(gè)協(xié)議被設(shè)計(jì)為工作在網(wǎng)絡(luò)堆棧的更底層(第3層,網(wǎng)絡(luò)層),并可以用來(lái)傳輸任何基于IP的協(xié)議報(bào)文,而不用理會(huì)應(yīng)用程序所產(chǎn)生的流量。隨著移動(dòng)辦公時(shí)代的到來(lái),IPsec已經(jīng)得到擴(kuò)展,用戶通過(guò)使用一個(gè)安裝在移動(dòng)設(shè)備上的專用VPN應(yīng)用程序(客戶端)就可以進(jìn)行遠(yuǎn)程訪問。

然而,IPsec中與應(yīng)用程序無(wú)關(guān)的設(shè)計(jì)也是它的弱點(diǎn)。雖然它提供了認(rèn)證、授權(quán)和加密,同時(shí)還基本上把公司網(wǎng)絡(luò)拓展到任何遠(yuǎn)程用戶,但是它沒有能在一定粒度級(jí)別上限制對(duì)資源的訪問。一旦隧道建立,遠(yuǎn)程用戶通常可以訪問公司的任何資源,就像他們是直接連接到公司網(wǎng)絡(luò)一樣。因?yàn)橐苿?dòng)辦公需要允許諸如智能手機(jī)和家用電腦等非托管的IT設(shè)備訪問公司資源,所以這些安全問題顯得更加嚴(yán)重。

此外,IPsec VPN要求每一臺(tái)客戶機(jī)都需要安裝客戶端軟件,在帶來(lái)安全風(fēng)險(xiǎn)的同時(shí),增加了使用難度。IPsec也需要更多的維護(hù),除了VPN服務(wù)器,用戶客戶機(jī)的軟件也需要進(jìn)行管理維護(hù)。



技術(shù)實(shí)現(xiàn)要素:

針對(duì)以上不足,本發(fā)明設(shè)計(jì)了一種基于IPsec VPN代理的Intranet接入系統(tǒng)。本發(fā)明接入系統(tǒng)解決了IPsec VPN使用困難以及維護(hù)困難的缺點(diǎn),并兼顧了應(yīng)用程序無(wú)關(guān)性與細(xì)粒度訪問控制。本發(fā)明接入系統(tǒng)是在IPsec基礎(chǔ)功能上加以拓展,與傳統(tǒng)IPsec VPN相比,本發(fā)明接入系統(tǒng)具有配置管理簡(jiǎn)單、后臺(tái)維護(hù)方便、無(wú)需客戶端軟件即可接入的優(yōu)點(diǎn),同時(shí)還提供細(xì)粒度的訪問控制能。

本發(fā)明是一種基于IPsec VPN代理的Intranet接入系統(tǒng),該ntranet接入系統(tǒng)包括有配置服務(wù)器(2)、VPN網(wǎng)關(guān)(3)、認(rèn)證服務(wù)器(4)、認(rèn)證客戶端(5)以及多個(gè)移動(dòng)VPN代理設(shè)備;移動(dòng)VPN代理設(shè)備通過(guò)因特網(wǎng)與配置服務(wù)器(2)和VPN網(wǎng)關(guān)(3)實(shí)現(xiàn)通訊;用戶的訪問請(qǐng)求經(jīng)由移動(dòng)VPN代理設(shè)備和VPN網(wǎng)關(guān)(3)的轉(zhuǎn)發(fā),使所述訪問請(qǐng)求到達(dá)認(rèn)證客戶端(5);然后認(rèn)證客戶端(5)與認(rèn)證服務(wù)器(4)通過(guò)企業(yè)內(nèi)部網(wǎng)實(shí)現(xiàn)所述訪問請(qǐng)求的授權(quán);

一個(gè)用戶配置有一個(gè)移動(dòng)VPN代理設(shè)備;在用戶經(jīng)Intranet訪問私有資源時(shí),移動(dòng)VPN代理設(shè)備第一方面完成自動(dòng)初始化,第二方面完成接收配置的處理,第三方面完成狀態(tài)信息的發(fā)送;在完成第一方面和第二方面后則建立了連接到Intranet網(wǎng)絡(luò)的IPsec隧道;

配置服務(wù)器(2)第一方面進(jìn)行對(duì)移動(dòng)VPN代理設(shè)備的認(rèn)證,第二方面用于配置移動(dòng)VPN代理設(shè)備和VPN網(wǎng)關(guān)(3),第三方面接收來(lái)自移動(dòng)VPN代理設(shè)備和VPN網(wǎng)關(guān)(3)的狀態(tài)信息;

VPN網(wǎng)關(guān)(3)第一方面完成接收配置的處理,第二方面完成狀態(tài)信息的發(fā)送;第三方面響應(yīng)移動(dòng)VPN代理設(shè)備的IPsec隧道建立請(qǐng)求;

認(rèn)證服務(wù)器(4)用于完成對(duì)用戶的身份認(rèn)證和授權(quán)信息下發(fā)的處理;

認(rèn)證客戶端(5)用于過(guò)濾用戶請(qǐng)求和授權(quán)信息接收的處理。

配置服務(wù)器(2)中一方面存儲(chǔ)有全部移動(dòng)VPN代理設(shè)備的用于設(shè)備認(rèn)證的設(shè)備信息集INAUTH={INAUTH_A,INAUTH_B,…INAUTH_a,…,INAUTH_N};另一方面存儲(chǔ)有全部移動(dòng)VPN代理設(shè)備的設(shè)備—狀態(tài)信息集INSTAT={INSTAT_A,INSTAT_B,…INSTAT_a,…,INSTAT_N};再一方面存儲(chǔ)有VPN網(wǎng)關(guān)(3)的網(wǎng)關(guān)—配置信息集IMSTAT={IP,CPU,MEM,NET,TNL};

認(rèn)證服務(wù)器(4)中一方面存儲(chǔ)有屬于企業(yè)全部工作人員的注冊(cè)身份信息集UAUTH={uAUTH_A,uAUTH_B,…,uAUTH_a…uAUTH_Z},另一方面存儲(chǔ)有針對(duì)每一個(gè)工作人員的授權(quán)信息集ACLAUTH={acAUTH_A,acAUTH_B,…,acAUTH_a,…,acAUTH_N};

任意一個(gè)認(rèn)證客戶端設(shè)有唯一標(biāo)識(shí)符rdj,J為Intranet中認(rèn)證客戶端的總數(shù)目,j∈J;任意認(rèn)證客戶端維護(hù)用戶的IP地址集記為IPLj={ipj_1,ipj_2,…,ipj_k,…,ipj_K},其中ipj_1表示rdj允許訪問的第一個(gè)用戶,ipj_2表示rdj允許訪問的第二個(gè)用戶,ipj_k表示rdj允許訪問的任意一個(gè)用戶,ipj_K表示rdj允許訪問的最后一個(gè)用戶,K為rdj允許訪問的用戶的總數(shù)目,k∈K;

一個(gè)用戶配置有一個(gè)移動(dòng)VPN代理設(shè)備;

用戶使用IPsec VPN代理接入Intranet系統(tǒng)的認(rèn)證過(guò)程如下:

步驟1,任意一移動(dòng)VPN代理設(shè)備pda接入Internet后,并對(duì)所述移動(dòng)VPN代理設(shè)備pda執(zhí)行設(shè)置代理初始化;

步驟2,配置服務(wù)器(2)接收到來(lái)自所述移動(dòng)VPN代理設(shè)備pda的初始化設(shè)備請(qǐng)求,然后完成對(duì)所述移動(dòng)VPN代理設(shè)備pda的配置-設(shè)備認(rèn)證,并向移動(dòng)VPN代理設(shè)備pda發(fā)送配置-設(shè)備信息

步驟3,移動(dòng)VPN代理設(shè)備pda接收到所述配置-設(shè)備信息后,建立與VPN網(wǎng)關(guān)(3)的IPsec隧道;

步驟4,用戶通過(guò)所述IPsec隧道向Intranet的私有資源發(fā)起訪問請(qǐng)求;

步驟5,認(rèn)證客戶端(5)對(duì)用戶的訪問請(qǐng)求進(jìn)行過(guò)濾,并將用戶重定向到認(rèn)證服務(wù)器(4);

步驟6,認(rèn)證服務(wù)器(4)對(duì)用戶進(jìn)行身份認(rèn)證后,并向認(rèn)證客戶端(5)下發(fā)授權(quán)-用戶信息;

步驟7,認(rèn)證客戶端(5)對(duì)接收到的所述授權(quán)-用戶信息進(jìn)行處理;

步驟8,用戶再次通過(guò)所述IPsec隧道向Intranet的私有資源發(fā)起訪問請(qǐng)求;

步驟9,認(rèn)證客戶端(5)對(duì)用戶的訪問請(qǐng)求進(jìn)行過(guò)濾,并轉(zhuǎn)發(fā)依據(jù)訪問請(qǐng)求請(qǐng)求到的屬于Intranet的私有資源。

本發(fā)明一種基于IPsec VPN代理的Intranet接入系統(tǒng)的優(yōu)點(diǎn)在于:

①本發(fā)明Intranet接入系統(tǒng)是在IPsec基礎(chǔ)功能上加以拓展,與傳統(tǒng)IPsec VPN相比,本發(fā)明接入系統(tǒng)具有配置管理簡(jiǎn)單、后臺(tái)維護(hù)方便、無(wú)需客戶端軟件即可接入的優(yōu)點(diǎn),同時(shí)還提供細(xì)粒度的訪問控制能。

②一方面應(yīng)用移動(dòng)VPN代理設(shè)備的設(shè)備認(rèn)證信息來(lái)實(shí)現(xiàn)代理設(shè)備的自動(dòng)初始化,另一方面應(yīng)用移動(dòng)VPN代理設(shè)備的設(shè)備狀態(tài)信息來(lái)實(shí)現(xiàn)代理設(shè)備的狀態(tài)監(jiān)控,有利于對(duì)代理設(shè)備的集中管理。

③本發(fā)明接入系統(tǒng)通過(guò)移動(dòng)VPN代理設(shè)備實(shí)現(xiàn)用戶對(duì)Intranet的接入,進(jìn)而通過(guò)認(rèn)證服務(wù)器和認(rèn)證客戶端實(shí)現(xiàn)對(duì)用戶訪問請(qǐng)求的授權(quán)。

④在本發(fā)明中建立的IPsec隧道是由VPN網(wǎng)關(guān)和移動(dòng)VPN代理設(shè)備建立的,無(wú)需用戶參與,降低了IPsec VPN的使用門檻。

附圖說(shuō)明

圖1是本發(fā)明基于IPsec VPN代理的Intranet接入系統(tǒng)的結(jié)構(gòu)框圖。

圖2是本發(fā)明基于IPsec VPN代理的Intranet接入系統(tǒng)的時(shí)序圖。

具體實(shí)施方式

下面將結(jié)合附圖對(duì)本發(fā)明做進(jìn)一步的詳細(xì)說(shuō)明。

參見圖1所示,本發(fā)明的一種基于IPsec VPN代理的Intranet接入系統(tǒng),其包括有配置服務(wù)器2、VPN網(wǎng)關(guān)3、認(rèn)證服務(wù)器4、認(rèn)證客戶端5、以及多個(gè)移動(dòng)VPN代理設(shè)備(即移動(dòng)VPN代理A設(shè)備1A、移動(dòng)VPN代理B設(shè)備1B、……、移動(dòng)VPN代理N設(shè)備1N)。多個(gè)移動(dòng)VPN代理設(shè)備通過(guò)因特網(wǎng)(Internet)與配置服務(wù)器2和VPN網(wǎng)關(guān)3實(shí)現(xiàn)通訊;用戶user的訪問請(qǐng)求access request經(jīng)由移動(dòng)VPN代理設(shè)備和VPN網(wǎng)關(guān)3的轉(zhuǎn)發(fā),使所述訪問請(qǐng)求access request到達(dá)認(rèn)證客戶端5;然后認(rèn)證客戶端5與認(rèn)證服務(wù)器4通過(guò)企業(yè)內(nèi)部網(wǎng)(Intranet)實(shí)現(xiàn)所述用戶user的訪問請(qǐng)求access request的授權(quán)。在基于IPsec VPN代理的Intranet接入系統(tǒng)中私有資源Private resources的請(qǐng)求用戶既是企業(yè)內(nèi)部網(wǎng)(Intranet)中私有資源Private resources的擁有者,也企業(yè)內(nèi)部網(wǎng)(Intranet)中的用戶。

在本發(fā)明中,pda表示任意一個(gè)移動(dòng)VPN代理設(shè)備,而角標(biāo)a表示設(shè)備標(biāo)志號(hào)。即移動(dòng)VPN代理A設(shè)備1A、移動(dòng)VPN代理B設(shè)備1B、……、移動(dòng)VPN代理N設(shè)備1N的編號(hào)A、B、N可以用a代替。

參見圖2所示,用戶user使用IPsec VPN代理接入Intranet系統(tǒng)的認(rèn)證過(guò)程如下:

步驟1,任意一移動(dòng)VPN代理設(shè)備pda接入Internet后,并對(duì)所述移動(dòng)VPN代理設(shè)備pda執(zhí)行設(shè)置代理初始化;

步驟2,配置服務(wù)器(2)接收到來(lái)自所述移動(dòng)VPN代理設(shè)備pda的初始化設(shè)備請(qǐng)求,然后完成對(duì)所述移動(dòng)VPN代理設(shè)備pda的配置-設(shè)備認(rèn)證,并向移動(dòng)VPN代理設(shè)備pda發(fā)送配置-設(shè)備信息

步驟3,移動(dòng)VPN代理設(shè)備pda接收到所述配置-設(shè)備信息后,建立與VPN網(wǎng)關(guān)(3)的IPsec隧道;

步驟4,用戶user通過(guò)所述IPsec隧道向Intranet的私有資源Private resources發(fā)起訪問請(qǐng)求access request;

步驟5,認(rèn)證客戶端(5)對(duì)用戶user的訪問請(qǐng)求access request進(jìn)行過(guò)濾,并將用戶user重定向到認(rèn)證服務(wù)器(4);

步驟6,認(rèn)證服務(wù)器(4)對(duì)用戶user進(jìn)行身份認(rèn)證后,并向認(rèn)證客戶端(5)下發(fā)授權(quán)-用戶信息;

步驟7,認(rèn)證客戶端(5)對(duì)接收到的所述授權(quán)-用戶信息進(jìn)行處理;

步驟8,用戶user再次通過(guò)所述IPsec隧道向Intranet的私有資源Private resources發(fā)起訪問請(qǐng)求access request;

步驟9,認(rèn)證客戶端(5)對(duì)用戶user的訪問請(qǐng)求access request進(jìn)行過(guò)濾,并轉(zhuǎn)發(fā)依據(jù)訪問請(qǐng)求access request請(qǐng)求到的屬于Intranet的私有資源Private resources。

移動(dòng)VPN代理設(shè)備1

在本發(fā)明中,移動(dòng)VPN代理設(shè)備可以選用網(wǎng)件公司生產(chǎn)的WNDR4300無(wú)線路由器,并使用OpenWrt嵌入式操作系統(tǒng)作為移動(dòng)VPN代理設(shè)備的操作系統(tǒng),通過(guò)安裝strongSwan提供IPsec VPN基本功能,在此之上使用C語(yǔ)言編寫本發(fā)明用到的處理程序。一般地,在使用時(shí),一個(gè)用戶配置有一個(gè)移動(dòng)VPN代理設(shè)備。如圖1所示,A用戶配置的記為移動(dòng)VPN代理A設(shè)備1A、B用戶配置的記為移動(dòng)VPN代理B設(shè)備1B、……、N用戶配置的記為移動(dòng)VPN代理N設(shè)備1N。在用戶訪問Intranet網(wǎng)絡(luò)資源時(shí),移動(dòng)VPN代理設(shè)備完成自動(dòng)初始化以及接收配置的處理,從而建立連接到Intranet網(wǎng)絡(luò)的IPsec隧道。

本發(fā)明采用C語(yǔ)言編寫了對(duì)任意一移動(dòng)VPN代理設(shè)備進(jìn)行自動(dòng)初始化、接收配置和發(fā)送狀態(tài)的過(guò)程處理。

在本發(fā)明中,多個(gè)移動(dòng)VPN代理設(shè)備采用集合形式表示為PPD={pdA,pdB,…,pda,…,pdN},pdA表示移動(dòng)VPN代理A設(shè)備,pdB表示移動(dòng)VPN代理B設(shè)備,pdN表示移動(dòng)VPN代理N設(shè)備,pda表示任意一個(gè)移動(dòng)VPN代理設(shè)備,而角標(biāo)a表示設(shè)備標(biāo)志號(hào)。

移動(dòng)VPN代理設(shè)備的設(shè)備代理初始化的處理過(guò)程為:

步驟1-A1,任意一移動(dòng)VPN代理設(shè)備pda向配置服務(wù)器2發(fā)送自身的設(shè)備標(biāo)志號(hào)a;

步驟1-A2,所述任意一移動(dòng)VPN代理設(shè)備pda接收配置服務(wù)器2發(fā)送的配置校驗(yàn)隨機(jī)數(shù)

在本發(fā)明中,該配置校驗(yàn)隨機(jī)數(shù)是由數(shù)字和/或字母組成的8位隨機(jī)數(shù)。

步驟1-A3,所述任意一移動(dòng)VPN代理設(shè)備pda采用MD5算法對(duì)PSKa和進(jìn)行處理,獲得Hash值(譯文為:哈希值),記為設(shè)備哈希值

pda表示任意一個(gè)移動(dòng)VPN代理設(shè)備,而角標(biāo)a表示設(shè)備標(biāo)志號(hào)。

PSKa表示預(yù)設(shè)的任意一移動(dòng)VPN代理設(shè)備pda的預(yù)共享密鑰。

在本發(fā)明中,MD5算法請(qǐng)參考《現(xiàn)代密碼學(xué)原理與應(yīng)用》,第116-121頁(yè),宋秀麗主編,2012年4月第1版,機(jī)械工業(yè)出版社。

步驟1-A4,任意一移動(dòng)VPN代理設(shè)備pda向配置服務(wù)器2發(fā)送所述設(shè)備哈希值

在本發(fā)明中,針對(duì)移動(dòng)VPN代理A設(shè)備1A的自動(dòng)初始化的過(guò)程為:

步驟1-A1,移動(dòng)VPN代理A設(shè)備pdA向配置服務(wù)器2發(fā)送自身的設(shè)備標(biāo)志號(hào)A;

步驟1-A2,所述pdA接收配置服務(wù)器2發(fā)送的對(duì)應(yīng)pdA的配置校驗(yàn)隨機(jī)數(shù)

步驟1-A3,所述pdA采用MD5算法對(duì)PSKA和進(jìn)行處理,獲得Hash值(譯文為:哈希值),記為對(duì)應(yīng)pdA的設(shè)備哈希值PSKA表示預(yù)設(shè)的pdA的預(yù)共享密鑰。

步驟1-A4,所述pdA向配置服務(wù)器2發(fā)送所述

在本發(fā)明中,針對(duì)移動(dòng)VPN代理B設(shè)備1B的自動(dòng)初始化的過(guò)程為:

步驟1-A1,移動(dòng)VPN代理B設(shè)備pdB向配置服務(wù)器2發(fā)送自身的設(shè)備標(biāo)志號(hào)B;

步驟1-A2,所述pdB接收配置服務(wù)器2發(fā)送的對(duì)應(yīng)pdB的配置校驗(yàn)隨機(jī)數(shù)

步驟1-A3,所述pdB采用MD5算法對(duì)PSKB和進(jìn)行處理,獲得Hash值(譯文為:哈希值),記為對(duì)應(yīng)pdB的設(shè)備哈希值PSKB表示預(yù)設(shè)的pdB的預(yù)共享密鑰。

步驟1-A4,所述pdB向配置服務(wù)器2發(fā)送所述

在本發(fā)明中,針對(duì)移動(dòng)VPN代理N設(shè)備1N的自動(dòng)初始化的過(guò)程為:

步驟1-A1,移動(dòng)VPN代理N設(shè)備pdN向配置服務(wù)器2發(fā)送自身的設(shè)備標(biāo)志號(hào)N;

步驟1-A2,所述pdN接收配置服務(wù)器2發(fā)送的對(duì)應(yīng)pdN的配置校驗(yàn)隨機(jī)數(shù)

步驟1-A3,所述pdN采用MD5算法對(duì)PSKN和進(jìn)行處理,獲得Hash值(譯文為:哈希值),記為對(duì)應(yīng)pdN的設(shè)備哈希值PSKN表示預(yù)設(shè)的pdN的預(yù)共享密鑰。

步驟1-A4,所述pdN向配置服務(wù)器2發(fā)送所述

移動(dòng)VPN代理設(shè)備的接收配置處理過(guò)程為:

在本發(fā)明中,接收配置處理發(fā)生在任意一個(gè)移動(dòng)VPN代理設(shè)備pda接收到配置服務(wù)器2發(fā)送的配置—設(shè)備信息之后。

步驟1-B1,任意一移動(dòng)VPN代理設(shè)備pda接收配置服務(wù)器2發(fā)送的配置—設(shè)備信息其中,除以外的其他參數(shù)為本發(fā)明使用的IPsec VPN實(shí)現(xiàn)strongSwan的配置參數(shù),所述參數(shù)為strongSwan的常用參數(shù),可以參考strongSwan的官方網(wǎng)站對(duì)該參數(shù)設(shè)置的說(shuō)明。

是在IPsec連接生成時(shí)由配置服務(wù)器2產(chǎn)生并向移動(dòng)VPN代理設(shè)備發(fā)送的IPsec連接標(biāo)識(shí)號(hào),簡(jiǎn)稱為設(shè)備—IPsec連接標(biāo)記。

在本發(fā)明中,配置—設(shè)備信息是為了建議與IPsec連接用的。

步驟1-B2,根據(jù)設(shè)備—IPsec連接標(biāo)記來(lái)判斷所述移動(dòng)VPN代理設(shè)備pda是否存在IPsec連接標(biāo)記相同的IPsec連接;

若不存在,則依據(jù)配置—設(shè)備信息在移動(dòng)VPN代理設(shè)備pda中添加IPsec連接;

若存在,則用配置—設(shè)備信息更新移動(dòng)VPN代理設(shè)備pda中設(shè)備—IPsec連接標(biāo)記相同的IPsec連接;

步驟1-B3,移動(dòng)VPN代理設(shè)備pda依據(jù)配置—設(shè)備信息通過(guò)密鑰交換協(xié)議構(gòu)建得到VPN網(wǎng)關(guān)3的IPsec隧道。

在本發(fā)明中,對(duì)于IPsec隧道的建立請(qǐng)參考中華人民共和國(guó)密碼行業(yè)標(biāo)準(zhǔn),GM/T0022-2014,《IPSec VPN技術(shù)規(guī)范》,第4-28頁(yè),5.1密鑰交換協(xié)議。

在本發(fā)明中,針對(duì)移動(dòng)VPN代理A設(shè)備1A的接收配置處理過(guò)程為:

步驟1-B1,移動(dòng)VPN代理A設(shè)備pdA接收配置服務(wù)器2發(fā)送的配置—設(shè)備信息

步驟1-B2,根據(jù)設(shè)備—IPsec連接標(biāo)記來(lái)判斷移動(dòng)VPN代理A設(shè)備pdA是否存在IPsec連接標(biāo)記相同的IPsec連接;

若不存在,則依據(jù)在移動(dòng)VPN代理A設(shè)備pdA中添加IPsec連接;

若存在,則用更新移動(dòng)VPN代理A設(shè)備pdA中設(shè)備—IPsec連接標(biāo)記相同的IPsec連接;

步驟1-B3,移動(dòng)VPN代理A設(shè)備pdA依據(jù)通過(guò)密鑰交換協(xié)議構(gòu)建得到VPN網(wǎng)關(guān)3的IPsec隧道。

在本發(fā)明中,針對(duì)移動(dòng)VPN代理B設(shè)備1B的接收配置處理過(guò)程為:

步驟1-B1,移動(dòng)VPN代理B設(shè)備pdB接收配置服務(wù)器2發(fā)送的配置—設(shè)備信息

步驟1-B2,根據(jù)設(shè)備—IPsec連接標(biāo)記來(lái)判斷所述移動(dòng)VPN代理設(shè)備pdB是否存在IPsec連接標(biāo)記相同的IPsec連接;

若不存在,則依據(jù)在移動(dòng)VPN代理B設(shè)備pdB中添加IPsec連接;

若存在,則用更新移動(dòng)VPN代理B設(shè)備pdB中設(shè)備—IPsec連接標(biāo)記相同的IPsec連接;

步驟1-B3,移動(dòng)VPN代理B設(shè)備pdB依據(jù)通過(guò)密鑰交換協(xié)議構(gòu)建得到VPN網(wǎng)關(guān)3的IPsec隧道。

在本發(fā)明中,針對(duì)移動(dòng)VPN代理N設(shè)備1N的接收配置處理過(guò)程為:

步驟1-B1,移動(dòng)VPN代理N設(shè)備pdN接收配置服務(wù)器2發(fā)送的配置—設(shè)備信息

步驟1-B2,根據(jù)設(shè)備—IPsec連接標(biāo)記來(lái)判斷所述移動(dòng)VPN代理設(shè)備pdN是否存在IPsec連接標(biāo)記相同的IPsec連接;

若不存在,則依據(jù)在所述移動(dòng)VPN代理N設(shè)備pdN中添加IPsec連接;

若存在,則用更新移動(dòng)VPN代理N設(shè)備pdN中設(shè)備—IPsec連接標(biāo)記相同的IPsec連接;

步驟1-B3,移動(dòng)VPN代理N設(shè)備pdN依據(jù)通過(guò)密鑰交換協(xié)議構(gòu)建得到VPN網(wǎng)關(guān)3的IPsec隧道。

移動(dòng)VPN代理設(shè)備1的發(fā)送狀態(tài)處理過(guò)程為:

在本發(fā)明中,任意一個(gè)移動(dòng)VPN代理設(shè)備pda收集自身的設(shè)備—狀態(tài)信息INSTAT_a={pda,IPa,CPUa,MEMa,NETa,TNLa},并在完成初始化后,每2分鐘執(zhí)行一次設(shè)備—狀態(tài)信息INSTAT_a={pda,IPa,CPUa,MEMa,NETa,TNLa}發(fā)送給配置服務(wù)器2。

在本發(fā)明中,INSTAT_a={pda,IPa,CPUa,MEMa,NETa,TNLa}中的各元素定義為:pda表示任意一個(gè)移動(dòng)VPN代理設(shè)備,而角標(biāo)a表示設(shè)備標(biāo)志號(hào);IPa表示任意一個(gè)移動(dòng)VPN代理設(shè)備pda的IP地址;CPUa表示任意一個(gè)移動(dòng)VPN代理設(shè)備pda的CPU使用率;MEMa表示任意一個(gè)移動(dòng)VPN代理設(shè)備pda的內(nèi)存使用率;NETa表示任意一個(gè)移動(dòng)VPN代理設(shè)備pda的網(wǎng)絡(luò)使用率;TNLa表示屬于任意一個(gè)移動(dòng)VPN代理設(shè)備pda的所有IPsec隧道集(簡(jiǎn)稱為設(shè)備—IPsec隧道集),設(shè)備—IPsec隧道集采用集合形式表示為TNLa={tnla_1,tnla_2,…,tnla_s,…,tnla_S},tnla_1表示屬于任意一個(gè)移動(dòng)VPN代理設(shè)備pda的第一個(gè)IPsec隧道,tnla_2表示屬于任意一個(gè)移動(dòng)VPN代理設(shè)備pda的第二個(gè)IPsec隧道,tnla_s表示屬于任意一個(gè)移動(dòng)VPN代理設(shè)備pda的任意一個(gè)IPsec隧道,tnla_S表示屬于任意一個(gè)移動(dòng)VPN代理設(shè)備pda的最后一個(gè)IPsec隧道,S表示屬于任意一個(gè)移動(dòng)VPN代理設(shè)備pda的IPsec隧道總個(gè)數(shù),s∈S,s表示IPsec隧道編號(hào)。tnla_s={tda_s,DTa_s},其中tda_s為任意一個(gè)移動(dòng)VPN代理設(shè)備pda中建立第s個(gè)IPsec隧道所使用的IPsec連接的標(biāo)識(shí)號(hào)(簡(jiǎn)稱為設(shè)備—IPsec連接標(biāo)記),DTa_s為tnla_s對(duì)應(yīng)IPsec隧道的持續(xù)時(shí)間(簡(jiǎn)稱為設(shè)備—IPsec隧道持續(xù)時(shí)間)。

在本發(fā)明中,移動(dòng)VPN代理A設(shè)備1A的發(fā)送狀態(tài)處理過(guò)程為:移動(dòng)VPN代理A設(shè)備pdA收集自身的設(shè)備—狀態(tài)信息,記為INSTAT_A={pdA,IPA,CPUA,MEMA,NETA,TNLA},并在完成初始化后,每2分鐘執(zhí)行一次設(shè)備—狀態(tài)信息INSTAT_A={pdA,IPA,CPUA,MEMA,NETA,TNLA}發(fā)送給配置服務(wù)器2。

pdA表示移動(dòng)VPN代理A設(shè)備的標(biāo)識(shí)號(hào);

IPA表示移動(dòng)VPN代理A設(shè)備pdA的IP地址;

CPUA表示移動(dòng)VPN代理A設(shè)備pdA的CPU使用率;

MEMA表示移動(dòng)VPN代理A設(shè)備pdA的內(nèi)存使用率;

NETA表示移動(dòng)VPN代理A設(shè)備pdA的網(wǎng)絡(luò)使用率;

TNLA表示屬于移動(dòng)VPN代理A設(shè)備pdA的所有IPsec隧道。

在本發(fā)明中,移動(dòng)VPN代理B設(shè)備1B的發(fā)送狀態(tài)處理過(guò)程為:移動(dòng)VPN代理B設(shè)備pdB收集自身的設(shè)備—狀態(tài)信息,記為INSTAT_B={pdB,IPB,CPUB,MEMB,NETB,TNLB},并在完成初始化后,每2分鐘執(zhí)行一次設(shè)備—狀態(tài)信息INSTAT_B={pdB,IPB,CPUB,MEMB,NETB,TNLB}發(fā)送給配置服務(wù)器2。

pdB表示移動(dòng)VPN代理B設(shè)備1B的標(biāo)識(shí)號(hào);

IPB表示移動(dòng)VPN代理B設(shè)備pdB的IP地址;

CPUB表示移動(dòng)VPN代理B設(shè)備pdB的CPU使用率;

MEMB表示移動(dòng)VPN代理B設(shè)備pdB的內(nèi)存使用率;

NETB表示移動(dòng)VPN代理B設(shè)備pdB的網(wǎng)絡(luò)使用率;

TNLB表示屬于移動(dòng)VPN代理B設(shè)備pdB的所有IPsec隧道。

在本發(fā)明中,移動(dòng)VPN代理N設(shè)備1N的發(fā)送狀態(tài)處理過(guò)程為:移動(dòng)VPN代理N設(shè)備pdN收集自身的設(shè)備—狀態(tài)信息,記為INSTAT_N={pdN,IPN,CPUN,MEMN,NETN,TNLN},并在完成初始化后,每2分鐘執(zhí)行一次設(shè)備—狀態(tài)信息INSTAT_N={pdN,IPN,CPUN,MEMN,NETN,TNLN}發(fā)送給配置服務(wù)器2。

pdN表示移動(dòng)VPN代理N設(shè)備1N的標(biāo)識(shí)號(hào);

IPN表示移動(dòng)VPN代理N設(shè)備pdN的IP地址;

CPUN表示移動(dòng)VPN代理N設(shè)備pdN的CPU使用率;

MEMN表示移動(dòng)VPN代理N設(shè)備pdN的內(nèi)存使用率;

NETN表示移動(dòng)VPN代理N設(shè)備pdN的網(wǎng)絡(luò)使用率;

TNLN表示屬于移動(dòng)VPN代理N設(shè)備pdN的所有IPsec隧道。

配置服務(wù)器2

在本發(fā)明中,配置服務(wù)器2可以選用戴爾公司生產(chǎn)的PowerEdge R620服務(wù)器,使用Linux操作系統(tǒng)作為配置服務(wù)器2的操作系統(tǒng),并使用Java語(yǔ)言編寫本發(fā)明用到的處理程序。在使用時(shí),配置服務(wù)器2部署在DMZ(Demilitarized Zone,譯文為:非軍事化區(qū))中。

配置服務(wù)器2中一方面存儲(chǔ)有全部移動(dòng)VPN代理設(shè)備(即A、B、……N)的用于設(shè)備認(rèn)證的設(shè)備信息集INAUTH={INAUTH_A,INAUTH_B,…INAUTH_a,…,INAUTH_N};另一方面存儲(chǔ)有全部移動(dòng)VPN代理設(shè)備的設(shè)備—狀態(tài)信息集INSTAT={INSTAT_A,INSTAT_B,…INSTAT_a,…,INSTAT_N};再一方面存儲(chǔ)有VPN網(wǎng)關(guān)3的網(wǎng)關(guān)—配置信息集IMSTAT={IP,CPU,MEM,NET,TNL}。

INAUTH={INAUTH_A,INAUTH_B,…INAUTH_a,…,INAUTH_N}中INAUTH_A表示移動(dòng)VPN代理A設(shè)備的設(shè)備信息,INAUTH_B表示移動(dòng)VPN代理B設(shè)備的設(shè)備信息,INAUTH_N表示移動(dòng)VPN代理N設(shè)備的設(shè)備信息,INAUTH_a表示任意一個(gè)移動(dòng)VPN代理設(shè)備pda的設(shè)備信息。

INSTAT={INSTAT_A,INSTAT_B,…INSTAT_a,…,INSTAT_N}中INSTAT_A表示移動(dòng)VPN代理A設(shè)備的設(shè)備—狀態(tài)信息,INSTAT_B表示移動(dòng)VPN代理B設(shè)備的設(shè)備—狀態(tài)信息,INSTAT_N表示移動(dòng)VPN代理N設(shè)備的設(shè)備—狀態(tài)信息,INSTAT_a表示任意一個(gè)移動(dòng)VPN代理設(shè)備pda的設(shè)備—狀態(tài)信息。任意一設(shè)備—狀態(tài)信息記為INSTAT_a={pda,IPa,CPUa,MEMa,NETa,TNLa}

IMSTAT={IP,CPU,MEM,NET,TNL}中IP表示VPN網(wǎng)關(guān)3的IP地址;CPU表示VPN網(wǎng)關(guān)3的CPU使用率;MEM表示VPN網(wǎng)關(guān)3的內(nèi)存使用率;NET表示VPN網(wǎng)關(guān)3的網(wǎng)絡(luò)使用率;TNL表示VPN網(wǎng)關(guān)3中存在的所有IPsec隧道集(簡(jiǎn)稱為網(wǎng)關(guān)—IPsec隧道集),網(wǎng)關(guān)—IPsec隧道集采用集合形式表示為TNL={tnl1,tnl2,…,tnlt,…,tnlT},tnl1表示屬于VPN網(wǎng)關(guān)3的第一個(gè)IPsec隧道,tnl2表示屬于VPN網(wǎng)關(guān)3的第二個(gè)IPsec隧道,tnlt表示屬于VPN網(wǎng)關(guān)3的任意一個(gè)IPsec隧道,tnlT表示屬于VPN網(wǎng)關(guān)3的最后一個(gè)IPsec隧道,T表示屬于VPN網(wǎng)關(guān)3的IPsec隧道總個(gè)數(shù),t∈T,t表示IPsec隧道編號(hào)。所述tnlt={tdt,DTt}中tdt表示屬于VPN網(wǎng)關(guān)3的第t個(gè)IPsec隧道所使用的IPsec連接的標(biāo)識(shí)號(hào)(簡(jiǎn)稱為網(wǎng)關(guān)—IPsec連接標(biāo)記),DTt表示tnlt對(duì)應(yīng)IPsec隧道的持續(xù)時(shí)間(簡(jiǎn)稱為網(wǎng)關(guān)—IPsec隧道持續(xù)時(shí)間)。

本發(fā)明采用JAVA語(yǔ)言編寫了配置服務(wù)器2對(duì)任意一個(gè)移動(dòng)VPN代理設(shè)備pda進(jìn)行自動(dòng)初始化的處理,以及接收來(lái)自任意一個(gè)移動(dòng)VPN代理設(shè)備pda和VPN網(wǎng)關(guān)3狀態(tài)信息的處理過(guò)程。而初始化的處理一方面包括有配置服務(wù)器2對(duì)任意一個(gè)移動(dòng)VPN代理設(shè)備pda進(jìn)行設(shè)備認(rèn)證,另一方面配置服務(wù)器2配置任意一個(gè)移動(dòng)VPN代理設(shè)備pda和VPN網(wǎng)關(guān)3的處理過(guò)程。

配置服務(wù)器2進(jìn)行的設(shè)備認(rèn)證處理過(guò)程為:

步驟2-A1,配置服務(wù)器2接收任意一個(gè)移動(dòng)VPN代理設(shè)備pda發(fā)送的自身設(shè)備標(biāo)志號(hào)a,然后采用線性同余算法生成配置校驗(yàn)隨機(jī)數(shù),記為最后將所述返回給任意一個(gè)移動(dòng)VPN代理設(shè)備pda;

步驟2-A2,配置服務(wù)器2根據(jù)所述a查找所述pda對(duì)應(yīng)的設(shè)備信息INAUTH_a={pda,PSKa};然后采用MD5算法對(duì)PSKa和進(jìn)行處理,獲得Hash值(譯文為:哈希值),記為服務(wù)器哈希值

pda表示任意一個(gè)移動(dòng)VPN代理設(shè)備,而角標(biāo)a表示設(shè)備標(biāo)志號(hào)。

PSKa表示預(yù)設(shè)的任意一移動(dòng)VPN代理設(shè)備pda的預(yù)共享密鑰。

步驟2-A3,配置服務(wù)器2接收并對(duì)比與若相同,則任意一移動(dòng)VPN代理設(shè)備pda通過(guò)配置服務(wù)器2的設(shè)備認(rèn)證,配置服務(wù)器2啟動(dòng)后續(xù)配置處理,轉(zhuǎn)入步驟2-B1;

若不相同,則配置服務(wù)器2不啟動(dòng)后續(xù)配置處理,返回步驟2-A1。

在本發(fā)明中,針對(duì)移動(dòng)VPN代理A設(shè)備1A的設(shè)備認(rèn)證處理過(guò)程為:

步驟2-A1,配置服務(wù)器2接收移動(dòng)VPN代理A設(shè)備pdA發(fā)送的自身設(shè)備標(biāo)志號(hào)A,然后采用線性同余算法生成配置檢驗(yàn)隨機(jī)數(shù),記為最后將所述返回給移動(dòng)VPN代理A設(shè)備pdA;

步驟2-A2,配置服務(wù)器2根據(jù)所述A查找所述pdA對(duì)應(yīng)的設(shè)備信息INAUTH_A={pdA,PSKA};然后采用MD5算法對(duì)PSKA和進(jìn)行處理,獲得Hash值(譯文為:哈希值),記為pdA對(duì)應(yīng)的服務(wù)器哈希值

步驟2-A3,配置服務(wù)器2接收并對(duì)比與若相同,則移動(dòng)VPN代理A設(shè)備1A通過(guò)配置服務(wù)器2的設(shè)備認(rèn)證,配置服務(wù)器2啟動(dòng)后續(xù)配置處理,轉(zhuǎn)入步驟2-B1;

若不相同,則配置服務(wù)器2不啟動(dòng)后續(xù)配置處理,返回步驟2-A1。

在本發(fā)明中,針對(duì)移動(dòng)VPN代理B設(shè)備1B的設(shè)備認(rèn)證處理過(guò)程為:

步驟2-A1,配置服務(wù)器2接收移動(dòng)VPN代理B設(shè)備pdB發(fā)送的自身設(shè)備標(biāo)志號(hào)B,然后采用線性同余算法生成配置校驗(yàn)隨機(jī)數(shù),記為最后將所述返回給移動(dòng)VPN代理B設(shè)備pdB

步驟2-A2,配置服務(wù)器2根據(jù)所述B查找所述pdB對(duì)應(yīng)的設(shè)備信息INAUTH_B={pdB,PSKB};然后采用MD5算法對(duì)PSKB和進(jìn)行處理,獲得Hash值(譯文為:哈希值),記為pdB對(duì)應(yīng)的服務(wù)器哈希值

步驟2-A3,配置服務(wù)器2接收并對(duì)比與若相同,則移動(dòng)VPN代理B設(shè)備1B通過(guò)配置服務(wù)器2的設(shè)備認(rèn)證,配置服務(wù)器2啟動(dòng)后續(xù)配置處理,轉(zhuǎn)入步驟2-B1;

若不相同,則配置服務(wù)器2不啟動(dòng)后續(xù)配置處理,返回步驟2-A1。

在本發(fā)明中,針對(duì)移動(dòng)VPN代理N設(shè)備1N的設(shè)備認(rèn)證處理過(guò)程為:

步驟2-A1,配置服務(wù)器2接收移動(dòng)VPN代理N設(shè)備pdN發(fā)送的自身設(shè)備標(biāo)志號(hào)N,然后采用線性同余算法生成配置檢驗(yàn)隨機(jī)數(shù),記為最后將所述返回給移動(dòng)VPN代理N設(shè)備pdN;

步驟2-A2,配置服務(wù)器2根據(jù)所述N查找所述pdN對(duì)應(yīng)的設(shè)備信息INAUTH_N={pdN,PSKN};然后采用MD5算法對(duì)PSKN和進(jìn)行處理,獲得Hash值(譯文為:哈希值),記為pdN對(duì)應(yīng)的服務(wù)器哈希值

步驟2-A3,配置服務(wù)器2接收并對(duì)比與若相同,則移動(dòng)VPN代理N設(shè)備1N通過(guò)配置服務(wù)器2的認(rèn)證,配置服務(wù)器2啟動(dòng)后續(xù)配置處理,轉(zhuǎn)入步驟2-B1;

若不相同,則配置服務(wù)器2不啟動(dòng)后續(xù)配置處理,返回步驟2-A1。

配置服務(wù)器2的配置過(guò)程為:

在本發(fā)明中,配置服務(wù)器2對(duì)任意一個(gè)移動(dòng)VPN代理設(shè)備pda和VPN網(wǎng)關(guān)3進(jìn)行配置的處理發(fā)生在完成設(shè)備認(rèn)證之后。

步驟2-B1,任意一個(gè)移動(dòng)VPN代理設(shè)備pda經(jīng)配置服務(wù)器2認(rèn)證成功后,配置服務(wù)器2第一方面將提取到屬于所述任意一個(gè)移動(dòng)VPN代理設(shè)備pda的IPa,第二方面構(gòu)建屬于所述任意一個(gè)移動(dòng)VPN代理設(shè)備pda的IPsec連接模板,簡(jiǎn)稱為配置—設(shè)備信息第三方面構(gòu)建屬于所述任意一個(gè)移動(dòng)VPN代理設(shè)備pda的網(wǎng)關(guān)連接模板,簡(jiǎn)稱為網(wǎng)關(guān)—設(shè)備信息

步驟2-B2,配置服務(wù)器2向VPN網(wǎng)關(guān)3下發(fā)所述

步驟2-B3,配置服務(wù)器2向VPN代理1下發(fā)所述

是在IPsec連接生成時(shí)由配置服務(wù)器2產(chǎn)生并向移動(dòng)VPN代理設(shè)備發(fā)送的IPsec連接標(biāo)識(shí)號(hào),簡(jiǎn)稱為設(shè)備—IPsec連接標(biāo)記。

cd2-3是在IPsec連接生成時(shí)由配置服務(wù)器2產(chǎn)生并向VPN網(wǎng)關(guān)3發(fā)送的IPsec連接標(biāo)識(shí)號(hào),簡(jiǎn)稱為網(wǎng)關(guān)—IPsec連接標(biāo)記。所述將在VPN網(wǎng)關(guān)3的所述cd2-3中進(jìn)行查找,若存在相同的IPsec隧道,則IPsec連接建立。

在本發(fā)明中,配置服務(wù)器2對(duì)移動(dòng)VPN代理A設(shè)備1A和VPN網(wǎng)關(guān)3進(jìn)行配置的處理過(guò)程為:

步驟2-B1,移動(dòng)VPN代理A設(shè)備pdA經(jīng)配置服務(wù)器2認(rèn)證成功后,配置服務(wù)器2第一方面將提取到屬于移動(dòng)VPN代理A設(shè)備pdA的地址IPA,第二方面構(gòu)建屬于移動(dòng)VPN代理A設(shè)備pdA的配置—設(shè)備信息第三方面構(gòu)建屬于移動(dòng)VPN代理A設(shè)備pdA的網(wǎng)關(guān)—設(shè)備信息

步驟2-B2,配置服務(wù)器2向VPN網(wǎng)關(guān)3下發(fā)所述

步驟2-B3,配置服務(wù)器2向移動(dòng)VPN代理A設(shè)備1A下發(fā)所述

在本發(fā)明中,配置服務(wù)器2對(duì)移動(dòng)VPN代理B設(shè)備1B和VPN網(wǎng)關(guān)3進(jìn)行配置的處理過(guò)程為:

步驟2-B1,移動(dòng)VPN代理B設(shè)備pdB經(jīng)配置服務(wù)器2認(rèn)證成功后,配置服務(wù)器2第一方面將提取到屬于移動(dòng)VPN代理B設(shè)備pdB的地址IPB,第二方面構(gòu)建屬于移動(dòng)VPN代理B設(shè)備pdB的配置—設(shè)備信息第三方面構(gòu)建屬于移動(dòng)VPN代理B設(shè)備pdB的網(wǎng)關(guān)—設(shè)備信息

步驟2-B2,配置服務(wù)器2向VPN網(wǎng)關(guān)3下發(fā)所述

步驟2-B3,配置服務(wù)器2向移動(dòng)VPN代理B設(shè)備1B下發(fā)所述

在本發(fā)明中,配置服務(wù)器2對(duì)移動(dòng)VPN代理N設(shè)備1N和VPN網(wǎng)關(guān)3進(jìn)行配置的處理過(guò)程為:

步驟2-B1,移動(dòng)VPN代理N設(shè)備pdN經(jīng)配置服務(wù)器2認(rèn)證成功后,配置服務(wù)器2第一方面將提取到屬于移動(dòng)VPN代理N設(shè)備pdN的地址IPN,第二方面構(gòu)建屬于移動(dòng)VPN代理N設(shè)備pdN的配置—設(shè)備信息第三方面構(gòu)建屬于移動(dòng)VPN代理N設(shè)備pdN的網(wǎng)關(guān)—設(shè)備信息

步驟2-B2,配置服務(wù)器2向VPN網(wǎng)關(guān)3下發(fā)所述

步驟2-B3,配置服務(wù)器2向移動(dòng)VPN代理N設(shè)備1N下發(fā)所述

配置服務(wù)器2對(duì)接收到的狀態(tài)信息的處理過(guò)程為:

在本發(fā)明中,配置服務(wù)器2存儲(chǔ)有所有移動(dòng)VPN代理設(shè)備的設(shè)備—狀態(tài)信息集INSTAT={INSTAT_A,INSTAT_B,…INSTAT_a,…,INSTAT_N}。

步驟2-C1,配置服務(wù)器2接收任意一個(gè)移動(dòng)VPN代理設(shè)備pda的設(shè)備—狀態(tài)信息INSTAT_a={pda,IPa,CPUa,MEMa,NETa,TNLa};

步驟2-C2,配置服務(wù)器2使用所述INSTAT_a更新INSTAT={INSTAT_A,INSTAT_B,…INSTAT_a,…,INSTAT_N}中對(duì)應(yīng)移動(dòng)VPN代理設(shè)備pda的狀態(tài)信息;

配置服務(wù)器2接收來(lái)自移動(dòng)VPN代理A設(shè)備1A的狀態(tài)信息的處理過(guò)程為:

步驟2-C1,配置服務(wù)器2接收移動(dòng)VPN代理A設(shè)備1A的設(shè)備—狀態(tài)信息INSTAT_A={pdA,IPA,CPUA,MEMA,NETA,TNLA};

步驟2-C2,配置服務(wù)器2使用所述INSTAT_A更新INSTAT={INSTAT_A,INSTAT_B,…INSTAT_a,…,INSTAT_N}中對(duì)應(yīng)移動(dòng)VPN代理A設(shè)備1A的狀態(tài)信息;

配置服務(wù)器2接收來(lái)自移動(dòng)VPN代理B設(shè)備1B的狀態(tài)信息的處理過(guò)程為:

步驟2-C1,配置服務(wù)器2接收移動(dòng)VPN代理B設(shè)備1B的設(shè)備—狀態(tài)信息INSTAT_B={pdB,IPB,CPUB,MEMB,NETB,TNLB};

步驟2-C2,配置服務(wù)器2使用所述INSTAT_B更新INSTAT={INSTAT_A,INSTAT_B,…INSTAT_a,…,INSTAT_N}中對(duì)應(yīng)移動(dòng)VPN代理B設(shè)備1B的狀態(tài)信息;

配置服務(wù)器2接收來(lái)自移動(dòng)VPN代理N設(shè)備1N的狀態(tài)信息的處理過(guò)程為:

步驟2-C1,配置服務(wù)器2接收移動(dòng)VPN代理N設(shè)備1N的設(shè)備—狀態(tài)信息INSTAT_N={pdN,IPN,CPUN,MEMN,NETN,TNLN};

步驟2-C2,配置服務(wù)器2使用所述INSTAT_N更新INSTAT={INSTAT_A,INSTAT_B,…INSTAT_a,…,INSTAT_N}中對(duì)應(yīng)移動(dòng)VPN代理N設(shè)備1N的狀態(tài)信息;

在本發(fā)明中,配置服務(wù)器2接收來(lái)自VPN網(wǎng)關(guān)3的狀態(tài)信息。

配置服務(wù)器2依據(jù)接收到的VPN網(wǎng)關(guān)3發(fā)送的網(wǎng)關(guān)狀態(tài)信息IMSTAT_3={IP,CPU,MEM,NET,TNL}來(lái)更新存儲(chǔ)的網(wǎng)關(guān)—配置信息集IMSTAT={IP,CPU,MEM,NET,TNL}。

VPN網(wǎng)關(guān)3

在本發(fā)明中,VPN網(wǎng)關(guān)3可以選用戴爾公司生產(chǎn)的PowerEdge R620服務(wù)器,使用Linux操作系統(tǒng)作為VPN網(wǎng)關(guān)3的操作系統(tǒng),并使用C語(yǔ)言編寫本發(fā)明用到的處理程序。在使用時(shí),VPN網(wǎng)關(guān)3部署在DMZ(Demilitarized Zone,譯文為:非軍事化區(qū))中。

本發(fā)明采用C語(yǔ)言編寫了對(duì)所述VPN網(wǎng)關(guān)3進(jìn)行接收配置和發(fā)送狀態(tài)的處理。

VPN網(wǎng)關(guān)3進(jìn)行接收配置的處理過(guò)程為:

在本發(fā)明中,接收配置發(fā)生在VPN網(wǎng)關(guān)3接收到配置服務(wù)器2發(fā)送的網(wǎng)關(guān)—配置信息集IMSTAT={IP,CPU,MEM,NET,TNL}之后。

步驟3-A1,VPN網(wǎng)關(guān)3接收配置服務(wù)器2發(fā)送的網(wǎng)關(guān)—設(shè)備信息其中,除cd2-3以外的其他參數(shù)為本發(fā)明使用的IPsec VPN實(shí)現(xiàn)strongSwan的配置參數(shù),所述參數(shù)為strongSwan的常用參數(shù),可以參考strongSwan的官方網(wǎng)站對(duì)該參數(shù)設(shè)置的說(shuō)明。

cd2-3是在IPsec連接生成時(shí)由配置服務(wù)器2產(chǎn)生并向VPN網(wǎng)關(guān)3發(fā)送的IPsec連接標(biāo)識(shí)號(hào),簡(jiǎn)稱為網(wǎng)關(guān)—IPsec連接標(biāo)記。

在本發(fā)明中,網(wǎng)關(guān)—設(shè)備信息是為了建議與IPsec連接用的。

步驟3-A2,根據(jù)網(wǎng)關(guān)—IPsec連接標(biāo)記cd2-3來(lái)判斷任意一移動(dòng)VPN代理設(shè)備pda是否存在IPsec連接標(biāo)識(shí)號(hào)相同的IPsec連接;

若不存在,則依據(jù)網(wǎng)關(guān)—設(shè)備信息在VPN網(wǎng)關(guān)3中添加IPsec連接;

若存在,則用網(wǎng)關(guān)—設(shè)備信息更新VPN網(wǎng)關(guān)3中網(wǎng)關(guān)—IPsec連接標(biāo)記cd2-3相同的IPsec連接。

VPN網(wǎng)關(guān)3進(jìn)行發(fā)送狀態(tài)的處理過(guò)程為:

在本發(fā)明中,VPN網(wǎng)關(guān)3啟動(dòng)后每2分鐘執(zhí)行網(wǎng)關(guān)狀態(tài)信息IMSTAT_3={IP,CPU,MEM,NET,TNL}發(fā)送,或者有新的移動(dòng)VPN代理設(shè)備接入到VPN網(wǎng)關(guān)3時(shí)執(zhí)行網(wǎng)關(guān)狀態(tài)信息IMSTAT_3={IP,CPU,MEM,NET,TNL}發(fā)送。

步驟3-B1,VPN網(wǎng)關(guān)3收集自身的網(wǎng)關(guān)狀態(tài)信息,記為IMSTAT_3={IP,CPU,MEM,NET,TNL};

IP表示VPN網(wǎng)關(guān)3的IP地址;

CPU表示VPN網(wǎng)關(guān)3的CPU使用率;

MEM表示VPN網(wǎng)關(guān)3的內(nèi)存使用率;

NET表示VPN網(wǎng)關(guān)3的網(wǎng)絡(luò)使用率;

TNL表示VPN網(wǎng)關(guān)3中存在的所有IPsec隧道集(簡(jiǎn)稱為網(wǎng)關(guān)—IPsec隧道集),網(wǎng)關(guān)—IPsec隧道集采用集合形式表示為TNL={tnl1,tnl2,…,tnlt,…,tnlT},tnl1表示屬于VPN網(wǎng)關(guān)3的第一個(gè)IPsec隧道,tnl2表示屬于VPN網(wǎng)關(guān)3的第二個(gè)IPsec隧道,tnlt表示屬于VPN網(wǎng)關(guān)3的任意一個(gè)IPsec隧道,tnlT表示屬于VPN網(wǎng)關(guān)3的最后一個(gè)IPsec隧道,T表示屬于VPN網(wǎng)關(guān)3的IPsec隧道總個(gè)數(shù),t∈T,t表示IPsec隧道編號(hào)。tnlt={tdt,DTt}其中tdt為屬于VPN網(wǎng)關(guān)3的第t個(gè)IPsec隧道所使用的IPsec連接的標(biāo)識(shí)號(hào)(簡(jiǎn)稱為網(wǎng)關(guān)—IPsec連接標(biāo)記),DTt為tnlt對(duì)應(yīng)IPsec隧道的持續(xù)時(shí)間(簡(jiǎn)稱為網(wǎng)關(guān)—IPsec隧道持續(xù)時(shí)間)。

步驟3-B2,VPN網(wǎng)關(guān)3將所述網(wǎng)關(guān)狀態(tài)信息IMSTAT_3發(fā)送給配置服務(wù)器2。

認(rèn)證服務(wù)器4

在本發(fā)明中,認(rèn)證服務(wù)器4可以選用戴爾公司生產(chǎn)的PowerEdge R620服務(wù)器,使用Linux操作系統(tǒng)作為認(rèn)證服務(wù)器4的操作系統(tǒng),并使用Java語(yǔ)言編寫本發(fā)明用到的處理程序。在使用時(shí),認(rèn)證服務(wù)器4部署在Intranet內(nèi)部。

在本發(fā)明中,認(rèn)證服務(wù)器4中一方面存儲(chǔ)有屬于企業(yè)全部工作人員的注冊(cè)身份信息集UAUTH={uAUTH_A,uAUTH_B,…,uAUTH_a…uAUTH_Z},另一方面存儲(chǔ)有針對(duì)每一個(gè)工作人員的授權(quán)信息集ACLAUTH={acAUTH_A,acAUTH_B,…,acAUTH_a,…,acAUTH_N}。認(rèn)證服務(wù)器4用于完成對(duì)用戶的身份認(rèn)證和授權(quán)信息下發(fā)的處理。

uAUTH_A表示連接在移動(dòng)VPN代理A設(shè)備上的用戶(或工作人員)在認(rèn)證服務(wù)器4中注冊(cè)時(shí)的注冊(cè)身份信息;

uAUTH_B表示連接在移動(dòng)VPN代理B設(shè)備上的用戶(或工作人員)在認(rèn)證服務(wù)器4中注冊(cè)時(shí)的注冊(cè)身份信息;

uAUTH_Z表示連接在移動(dòng)VPN代理Z設(shè)備上的用戶(或工作人員)在認(rèn)證服務(wù)器4中注冊(cè)時(shí)的注冊(cè)身份信息;

uAUTH_a表示連接在任意一移動(dòng)VPN代理設(shè)備pda上的用戶(或工作人員)在認(rèn)證服務(wù)器4中注冊(cè)時(shí)的注冊(cè)身份信息,簡(jiǎn)稱為注冊(cè)身份信息;

acAUTH_A表示認(rèn)證服務(wù)器4針對(duì)連接在移動(dòng)VPN代理A設(shè)備上的用戶(或工作人員)設(shè)置的授權(quán)信息;

acAUTH_B表示認(rèn)證服務(wù)器4針對(duì)連接在移動(dòng)VPN代理B設(shè)備上的用戶(或工作人員)設(shè)置的授權(quán)信息;

acAUTH_N表示認(rèn)證服務(wù)器4針對(duì)連接在移動(dòng)VPN代理N設(shè)備上的用戶(或工作人員)設(shè)置的授權(quán)信息;

acAUTH_a表示認(rèn)證服務(wù)器4針對(duì)連接在任意一移動(dòng)VPN代理設(shè)備pda上的用戶(或工作人員)設(shè)置的授權(quán)信息,簡(jiǎn)稱為授權(quán)信息。

所述注冊(cè)身份信息uAUTH_a={uda,pwda}中uda表示連接在任意一移動(dòng)VPN代理設(shè)備pda上的用戶(或工作人員)注冊(cè)時(shí)用的用戶名,pwda表示所述uda登錄用的密碼。

所述授權(quán)信息中uda表示連接在任意一移動(dòng)VPN代理設(shè)備pda上的用戶(或工作人員)注冊(cè)時(shí)用的用戶名,pwda表示所述uda登錄用的密碼,PLa表示屬于所述uda的訪問資源集。訪問資源集中表示允許uda訪問的第一個(gè)認(rèn)證客戶端,表示允許uda訪問的第二個(gè)認(rèn)證客戶端,表示允許uda訪問的最后認(rèn)證客戶端,I表示允許uda訪問的認(rèn)證客戶端的總個(gè)數(shù)。

認(rèn)證服務(wù)器4的身份認(rèn)證處理與授權(quán)信息下發(fā)處理過(guò)程為:

步驟4-A1,認(rèn)證服務(wù)器4接收來(lái)自任意一個(gè)用戶user發(fā)送的訪問請(qǐng)求access request;

步驟4-A2,認(rèn)證服務(wù)器4依據(jù)注冊(cè)身份信息集UAUTH={uAUTH_A,uAUTH_B,…,uAUTH_a…uAUTH_Z}來(lái)核對(duì)所述用戶user是否屬于企業(yè)內(nèi)部網(wǎng)Intrnet的注冊(cè)用戶;若屬于企業(yè)內(nèi)部網(wǎng)Intrnet中的任意一注冊(cè)用戶uAUTH_a={uda,pwda},執(zhí)行步驟4-A3,若不屬于企業(yè)內(nèi)部網(wǎng)Intrnet的注冊(cè)用戶,注冊(cè)用戶認(rèn)證失??;

步驟4-A3,認(rèn)證服務(wù)器4通過(guò)在授權(quán)信息集ACLAUTH={acAUTH_A,acAUTH_B,…,acAUTH_a,…,acAUTH_N}中查找出uAUTH_a={uda,pwda}對(duì)應(yīng)的用戶授權(quán)信息acAUTH_a;并記錄下uAUTH_a={uda,pwda}的IP地址,并根據(jù)所找到的acAUTH_a進(jìn)行授權(quán)信息下發(fā)至允許uda訪問的認(rèn)證客戶端5的訪問資源集

認(rèn)證客戶端5

在本發(fā)明中,認(rèn)證客戶端5可以選用戴爾公司生產(chǎn)的PowerEdge R620服務(wù)器,使用Linux操作系統(tǒng)作為認(rèn)證客戶端5的操作系統(tǒng),并使用C語(yǔ)言編寫本發(fā)明用到的處理程序。在使用時(shí),認(rèn)證客戶端5部署在Intranet內(nèi)部受保護(hù)的私有資源Private resources之前,可同時(shí)使用多個(gè)認(rèn)證客戶端5保護(hù)不同的私有資源Private resources,一個(gè)認(rèn)證客戶端5也可部署在若干個(gè)私有資源Private resources之前以同時(shí)保護(hù)多個(gè)訪問資源通過(guò)使用認(rèn)證客戶端5能夠?qū)崿F(xiàn)對(duì)Intranet私有資源Private resources的細(xì)粒度訪問控制。

任意一個(gè)認(rèn)證客戶端設(shè)有唯一標(biāo)識(shí)符rdj,J為Intranet中認(rèn)證客戶端的總數(shù)目,j∈J。任意認(rèn)證客戶端維護(hù)用戶的IP地址集記為IPLj={ipj_1,ipj_2,…,ipj_k,…,ipj_K},其中ipj_1表示rdj允許訪問的第一個(gè)用戶,ipj_2表示rdj允許訪問的第二個(gè)用戶,ipj_k表示rdj允許訪問的任意一個(gè)用戶,ipj_K表示rdj允許訪問的最后一個(gè)用戶,K為rdj允許訪問的用戶的總數(shù)目,k∈K。

在本發(fā)明中,認(rèn)證客戶端5用于過(guò)濾用戶請(qǐng)求和授權(quán)信息接收的處理。

認(rèn)證客戶端5對(duì)用戶請(qǐng)求的過(guò)濾處理過(guò)程為:

步驟5-A1,任意一認(rèn)證客戶端rdj接收監(jiān)聽來(lái)自任意一用戶user的訪問請(qǐng)求access request,并提取用戶的IP地址,記為IPa

在本發(fā)明中,因?yàn)橐粋€(gè)移動(dòng)VPN代理設(shè)備連接一個(gè)用戶user,所以任意一用戶user的IP地址與任意一個(gè)移動(dòng)VPN代理設(shè)備pda的IP地址是相同的。

步驟5-A2,所述認(rèn)證客戶端rdj通過(guò)IPLj={ipj_1,ipj_2,…,ipj_k,…,ipj_K}來(lái)判斷所述IPa對(duì)應(yīng)的允許訪問的用戶;

若iIPa∈IPLj,轉(zhuǎn)發(fā)用戶的訪問請(qǐng)求access request到私有資源Private resources;

若則拒絕用戶的訪問請(qǐng)求access request,若用戶的請(qǐng)求為Web請(qǐng)求,則需重定向用戶到認(rèn)證服務(wù)器4。

認(rèn)證客戶端5的授權(quán)信息接收的處理過(guò)程為:

步驟5-B1,認(rèn)證客戶端5接收來(lái)自認(rèn)證服務(wù)器4的IPa;

步驟5-B2,認(rèn)證客戶端5使用所述IPa查詢IPLj;

若IPa∈IPLj,則不對(duì)IPLj進(jìn)行更新;

若則更新IPLj。編程語(yǔ)言中記為IPLj=IPLj∪iIPa。

本發(fā)明設(shè)計(jì)了一種基于IPsec VPN代理的Intranet接入系統(tǒng),所要解決的是IPsec VPN在使用上的困難以及維護(hù)上的困難的技術(shù)問題,本發(fā)明接入系統(tǒng)通過(guò)移動(dòng)VPN代理設(shè)備實(shí)現(xiàn)用戶對(duì)Intranet的接入,進(jìn)而通過(guò)認(rèn)證服務(wù)器和認(rèn)證客戶端實(shí)現(xiàn)對(duì)用戶訪問請(qǐng)求的授權(quán);IPsec隧道是由VPN網(wǎng)關(guān)和移動(dòng)VPN代理設(shè)備建立的,無(wú)需用戶參與,降低了IPsec VPN的使用門檻;在IPsec基礎(chǔ)功能上加以拓展,與傳統(tǒng)IPsec VPN相比,本發(fā)明接入系統(tǒng)具有配置管理簡(jiǎn)單、后臺(tái)維護(hù)方便、無(wú)需客戶端軟件即可接入的優(yōu)點(diǎn),同時(shí)還提供細(xì)粒度的訪問控制能的技術(shù)效果。

當(dāng)前第1頁(yè)1 2 3 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1