用户数据管理方法及装置制造方法及图纸

本发明专利技术公开了一种用户数据管理方法及装置，该方法包括：接收包含有互联网协议安全性IPsec配置信息的用户信息列表；根据用户信息列表中的用户信息生成全局用户节点；将全局用户节点加入全局用户表中，通过全局用户表管理接入的用户。通过本发明专利技术，解决相关技术由于接入用户过多导致管理效率降低的问题。

User Data Management Method and Device

The invention discloses a user data management method and device, which includes: receiving a list of user information containing IPsec configuration information of Internet protocol security; generating a global user node according to user information in the list of user information; adding the global user node into the global user table and managing the access users through the global user table. The invention solves the problem that the management efficiency of the related technology decreases due to excessive access users.

【技术实现步骤摘要】
用户数据管理方法及装置
本专利技术涉及通信领域，具体而言，涉及一种用户数据管理方法及装置。
技术介绍
IPsec是IETF(InternetEngineeringTaskForce，Internet工程任务组)的IPsec小组建立的一组IP安全协议集。IPsec定义了在网际层使用的安全服务，其功能包括数据加密、对网络单元的访问控制、数据源地址验证、数据完整性检查和防止重放攻击。IPsec远程接入是一种基于IPsec隧道加密保护的VPN接入技术。与对等体网络模型不同，远程接入使用客户端-服务器模型。与对等体IKE协商不同，远程接入在第一阶段和第二阶段之间，需要进行扩展认证和模式配置交换。IKE第一阶段协商完成后，服务器对客户端发起扩展认证。第一阶段通过预共享密钥或者证书的方式提供设备级的认证；而扩展认证在此之外，利用现有广泛使用的认证机制，如RADIUS，SecurID和一次性口令(OTP)等提供用户级的认证。客户端通过扩展认证后，进入模式配置交换阶段。客户端向IPsecVPN网关获取访问内部网络所需的配置信息，包括网关为其分配的内部IP地址、内部DNS服务器、WINS服务器的IP地址等。模式配置结束后进入IKE第二阶段协商，生成安全联盟，至此协商完成。此后远程客户端可以在之前建立的IPsec通道保护下，使用分配的内部IP地址访问IPsecVPN网关保护的内部网络资源。IPsecVPN网关负责管理和维护远程接入客户端信息。在集中式系统中，所有的远程用户都接入到主控，便于维护用户信息。但是集中式系统接入用户容量有限，另外设备通常还需要同时承担其他业务，用户接入速度以及IPsec报文处理性能较弱。分布式系统在性能和容量方面较集中式系统优势有明显的优势。分布式系统一般由主控、线卡、IPsec业务卡组成，主控主要负责各种管理工作，比如网关配置管理和路由表管理等；线卡主要负责报文转发；业务卡主要负责处理应用协议，比如IPsec协议，业务卡的硬件加解密芯片能提供强大的IPsec处理能力。大量用户接入时，可使用多个IPsec业务卡同时处理，由此引入的问题是用户分布在多个业务卡，导致用户管理非常复杂。针对相关技术中由于接入用户过多导致管理效率降低的问题，目前尚未提出有效的解决方案。
技术实现思路
本专利技术提供了一种用户数据管理方法及装置，以至少解决相关技术由于接入用户过多导致管理效率降低的问题。根据本专利技术的一个方面，提供了一种用户数据管理方法，包括：接收包含有互联网协议安全性IPsec配置信息的用户信息列表；根据用户信息列表中的用户信息生成全局用户节点；将全局用户节点加入全局用户表中，通过全局用户表管理接入的用户。优选的，用户信息列表中的用户信息包括以下至少之一：用户组、业务卡地址、IPsec配置信息，其中，IPsec配置信息用于为接入用户配置内网资源；用户信息列表还包括：接入用户索引表，用于索引接入用户，接入用户索引表由IPsec接口和用户内网IP组成。优选的，通过以下方式至少之一，通过全局用户表管理接入的用户：方案一，根据预设阈值判断全局用户表中，用户组的接入用户数是否大于预设阈值；若判断结果为是，则关闭接入接口；方案二，通过查询全局用户表得到异常的业务卡；将异常的业务卡中的上线的全部用户删除；方案三，根据接入用户索引表查找接入用户，并对接入用户执行预设操作，预设操作包括以下至少之一：查询、删除。优选的，在通过全局用户表管理接入的用户之后，还包括：根据全局用户表中的用户信息生成表项；根据表项与用户接入设备建立通信。优选的，根据表项与用户接入设备建立通信，包括：方式一：接收用户接入设备发送的加密报文；对加密报文进行互联网协议安全性IPsec解封装，得到解封装后的内层报文；将内存报文发送至用户接入设备对应的内网设备；或者，方式二，接收内网设备发送的明文；通过互联网协议安全性IPsec封装明文，得到封装后的报文；将报文发送至用户接入设备。根据本专利技术的另一个方面，提供了一种用户数据管理装置，包括：接收模块，用于接收包含有互联网协议安全性IPsec配置信息的用户信息列表；生成模块，用于根据用户信息列表中的用户信息生成全局用户节点；管理模块，用于将全局用户节点加入全局用户表中，通过全局用户表管理接入的用户。优选的，用户信息列表中的用户信息包括以下至少之一：用户组、业务卡地址、IPsec配置信息，其中，IPsec配置信息用于为接入用户配置内网资源；用户信息列表还包括：接入用户索引表，用于索引接入用户，接入用户索引表由IPsec接口和用户内网IP组成。优选的，管理模块，用于通过以下方式至少之一，通过全局用户表管理接入的用户：第一管理单元，用于根据预设阈值判断全局用户表中，用户组的接入用户数是否大于预设阈值；若判断结果为是，则关闭接入接口；第二管理单元，用于通过查询全局用户表得到异常的业务卡；将异常的业务卡中的上线的全部用户删除；第三管理单元，用于根据接入用户索引表查找接入用户，并对接入用户执行预设操作，预设操作包括以下至少之一：查询、删除。优选的，装置还包括：表项生成模块，用于在通过全局用户表管理接入的用户之后，根据全局用户表中的用户信息生成表项；通信模块，用于根据表项生成模块生成的表项与用户接入设备建立通信。优选的，通信模块，包括：第一接收单元，用于接收用户接入设备发送的加密报文；解封单元，用于对第一接收单元接收的加密报文进行互联网协议安全性IPsec解封装，得到解封装后的内层报文；第一发送单元，用于将解封后的内存报文发送至用户接入设备对应的内网设备；或者，第二接收单元，用于接收内网设备发送的明文；封装单元，用于通过互联网协议安全性IPsec封装明文，得到封装后的报文；第二发送单元，用于将报文发送至用户接入设备。通过本专利技术，采用接收包含有互联网协议安全性IPsec配置信息的用户信息列表；根据用户信息列表中的用户信息生成全局用户节点；将全局用户节点加入全局用户表中，通过全局用户表管理接入的用户，解决了由于接入用户过多导致管理效率降低的问题，进而达到了提升对接入用户管理效率的效果。附图说明此处所说明的附图用来提供对本专利技术的进一步理解，构成本申请的一部分，本专利技术的示意性实施例及其说明用于解释本专利技术，并不构成对本专利技术的不当限定。在附图中：图1是根据本专利技术实施例的用户数据管理方法的流程图；图2是根据本专利技术实施例的用户信息列表的结构图；图3是本专利技术实施例通过全局用户表管理用户的架构图；图4是根据本专利技术实施例的用户数据管理装置的结构框图；图5是根据本专利技术优选实施例的用户数据管理装置的结构框图；图6是根据本专利技术优选实施例的用户数据管理装置的结构框图；图7是根据本专利技术优选实施例的用户数据管理装置的结构框图；图8是根据本专利技术实施例适用的运行环境的示意图；图9是根据本专利技术实施例提供的IPsecVPN网关对客户端接入请求处理流程示意图。具体实施方式下文中将参考附图并结合实施例来详细说明本专利技术。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。在本实施例中提供了一种用户数据管理方法，图1是根据本专利技术实施例的用户数据管理方法的流程图，如图1所示，该流程包括如下步骤：步骤S102，接收包含有互联网协议安全性IPsec配置信息的本文档来自技高网...

【技术保护点】
1.一种用户数据管理方法，其特征在于，包括：接收包含有互联网协议安全性IPsec配置信息的用户信息列表；根据所述用户信息列表中的用户信息生成全局用户节点；将所述全局用户节点加入全局用户表中，通过所述全局用户表管理接入的用户。

【技术特征摘要】
1.一种用户数据管理方法，其特征在于，包括：接收包含有互联网协议安全性IPsec配置信息的用户信息列表；根据所述用户信息列表中的用户信息生成全局用户节点；将所述全局用户节点加入全局用户表中，通过所述全局用户表管理接入的用户。2.根据权利要求1所述的方法，其特征在于，所述用户信息列表中的用户信息包括以下至少之一：用户组、业务卡地址、所述IPsec配置信息，其中，所述IPsec配置信息用于为接入用户配置内网资源；所述用户信息列表包括：接入用户索引表，用于索引接入用户，所述接入用户索引表由IPsec接口和用户内网IP组成。3.根据权利要求2所述的方法，其特征在于，通过以下方式至少之一，通过所述全局用户表管理接入的用户：方案一，根据预设阈值判断所述全局用户表中，所述用户组的接入用户数是否大于所述预设阈值；若判断结果为是，则关闭接入接口；方案二，通过查询所述全局用户表得到异常的业务卡；将所述异常的业务卡中的上线的全部用户删除；方案三，根据所述接入用户索引表查找接入用户，并对所述接入用户执行预设操作，所述预设操作包括以下至少之一：查询、删除。4.根据权利要求2所述的方法，其特征在于，在所述通过所述全局用户表管理接入的用户之后，还包括：根据所述全局用户表中的所述用户信息生成表项；根据所述表项与用户接入设备建立通信。5.根据权利要求4所述的方法，其特征在于，所述根据所述表项与所述用户接入设备建立通信，包括：方式一：接收用户接入设备发送的加密报文；对所述加密报文进行互联网协议安全性IPsec解封装，得到解封装后的内存报文；将所述内存报文发送至所述用户接入设备对应的内网设备；或者，方式二，接收内网设备发送的明文；通过互联网协议安全性IPsec封装所述明文，得到封装后的报文；将所述报文发送至用户接入设备。6.一种用户数据管理装置，其特征在于，包括：接收模块，用于接收包含有互联网协议安全性IPsec配置信息的用户信息列表；生成...

【专利技术属性】
技术研发人员：唐骁琨，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：广东,44