一种基于IPsec VPN代理的Intranet接入系统技术方案

本发明专利技术公开了一种基于IPsec VPN代理的Intranet接入系统，该系统包括有移动VPN代理设备、配置服务器、VPN网关、认证服务器和认证客户端。移动VPN代理设备通过因特网与配置服务器和VPN网关实现通讯；用户请求经由移动VPN代理设备和VPN网关的转发，使所述用户请求到达认证客户端；然后认证客户端与认证服务器通过企业内部网实现所述用户请求的授权。本发明专利技术接入系统通过移动VPN代理设备实现用户对Intranet的接入，进而通过认证服务器和认证客户端实现对用户访问请求的授权。IPsec隧道是由VPN网关和移动VPN代理设备建立的，无需用户参与，降低了IPsec VPN的使用门槛，克服了IPsec VPN使用困难以及维护困难的缺点。

A Intranet access system based on IPsec VPN agent

The invention discloses a Intranet access system based on IPsec VPN agent, the system comprises a mobile VPN agent device, configuration server, VPN gateway, authentication server and client authentication. Mobile agent VPN equipment for communication through the Internet and configuration of VPN server and gateway; user request forwarding mobile VPN proxy device and VPN gateway through the user authentication client request arrival; then the authentication client and the authentication server through the intranet to realize the user authorization request. The access system realizes the user access to the Intranet through the mobile VPN proxy device, and then realizes the authorization of the user access request through the authentication server and the authentication client. The IPsec tunnel is established by the VPN gateway and mobile VPN proxy device, without user involvement, IPsec lowers the threshold for the use of VPN, IPsec VPN overcomes the shortcomings of difficult to use and difficult to maintain.

【技术实现步骤摘要】
一种基于IPsecVPN代理的Intranet接入系统
本专利技术涉及一种VPN技术，更特别地说，是指一种基于IPsecVPN代理的Intranet接入系统。
技术介绍
Intranet称为企业内部网，或称内部网、内联网、内网，是一个使用与因特网(Internet)同样技术的计算机网络，它通常建立在一个企业或组织的内部并为其成员提供信息的共享和交流等服务，例如万维网，文件传输，电子邮件等。在《IPsecVPN技术规范》GM/T0022-2014，第2页中“IPsec协议(InternetProtocolSecurity)”由IETF制定的端到端的确保基于IP通信数据安全性的一种网络层协议，可以提供数据完整性保护、数据源鉴别、载荷机密性和抗重放攻击等安全服务。第3页中“VPN(VirtualPrivateNetwork)”为虚拟专用网络。IPsec最初的设计是提供点到点的，在远程站点和中央办公室资源之间进行不间断的连接。在这种情况下，客户端可以是分公司或者供应商。这个协议被设计为工作在网络堆栈的更底层(第3层，网络层)，并可以用来传输任何基于IP的协议报文，而不用理会应用程序所产生的流量。随着移动办公时代的到来，IPsec已经得到扩展，用户通过使用一个安装在移动设备上的专用VPN应用程序(客户端)就可以进行远程访问。然而，IPsec中与应用程序无关的设计也是它的弱点。虽然它提供了认证、授权和加密，同时还基本上把公司网络拓展到任何远程用户，但是它没有能在一定粒度级别上限制对资源的访问。一旦隧道建立，远程用户通常可以访问公司的任何资源，就像他们是直接连接到公司网络一样。因为移动办公需要允许诸如智能手机和家用电脑等非托管的IT设备访问公司资源，所以这些安全问题显得更加严重。此外，IPsecVPN要求每一台客户机都需要安装客户端软件，在带来安全风险的同时，增加了使用难度。IPsec也需要更多的维护，除了VPN服务器，用户客户机的软件也需要进行管理维护。
技术实现思路
针对以上不足，本专利技术设计了一种基于IPsecVPN代理的Intranet接入系统。本专利技术接入系统解决了IPsecVPN使用困难以及维护困难的缺点，并兼顾了应用程序无关性与细粒度访问控制。本专利技术接入系统是在IPsec基础功能上加以拓展，与传统IPsecVPN相比，本专利技术接入系统具有配置管理简单、后台维护方便、无需客户端软件即可接入的优点，同时还提供细粒度的访问控制能。本专利技术是一种基于IPsecVPN代理的Intranet接入系统，该ntranet接入系统包括有配置服务器(2)、VPN网关(3)、认证服务器(4)、认证客户端(5)以及多个移动VPN代理设备；移动VPN代理设备通过因特网与配置服务器(2)和VPN网关(3)实现通讯；用户的访问请求经由移动VPN代理设备和VPN网关(3)的转发，使所述访问请求到达认证客户端(5)；然后认证客户端(5)与认证服务器(4)通过企业内部网实现所述访问请求的授权；一个用户配置有一个移动VPN代理设备；在用户经Intranet访问私有资源时，移动VPN代理设备第一方面完成自动初始化，第二方面完成接收配置的处理，第三方面完成状态信息的发送；在完成第一方面和第二方面后则建立了连接到Intranet网络的IPsec隧道；配置服务器(2)第一方面进行对移动VPN代理设备的认证，第二方面用于配置移动VPN代理设备和VPN网关(3)，第三方面接收来自移动VPN代理设备和VPN网关(3)的状态信息；VPN网关(3)第一方面完成接收配置的处理，第二方面完成状态信息的发送；第三方面响应移动VPN代理设备的IPsec隧道建立请求；认证服务器(4)用于完成对用户的身份认证和授权信息下发的处理；认证客户端(5)用于过滤用户请求和授权信息接收的处理。配置服务器(2)中一方面存储有全部移动VPN代理设备的用于设备认证的设备信息集INAUTH＝{INAUTH_A,INAUTH_B,…INAUTH_a,…,INAUTH_N}；另一方面存储有全部移动VPN代理设备的设备—状态信息集INSTAT＝{INSTAT_A,INSTAT_B,…INSTAT_a,…,INSTAT_N}；再一方面存储有VPN网关(3)的网关—配置信息集IMSTAT＝{IP,CPU,MEM,NET,TNL}；认证服务器(4)中一方面存储有属于企业全部工作人员的注册身份信息集UAUTH＝{uAUTH_A,uAUTH_B,…,uAUTH_a…uAUTH_Z}，另一方面存储有针对每一个工作人员的授权信息集ACLAUTH＝{acAUTH_A,acAUTH_B,…,acAUTH_a,…,acAUTH_N}；任意一个认证客户端设有唯一标识符rdj，J为Intranet中认证客户端的总数目，j∈J；任意认证客户端维护用户的IP地址集记为IPLj＝{ipj_1,ipj_2,…,ipj_k,…,ipj_K}，其中ipj_1表示rdj允许访问的第一个用户，ipj_2表示rdj允许访问的第二个用户，ipj_k表示rdj允许访问的任意一个用户，ipj_K表示rdj允许访问的最后一个用户，K为rdj允许访问的用户的总数目，k∈K；一个用户配置有一个移动VPN代理设备；用户使用IPsecVPN代理接入Intranet系统的认证过程如下：步骤1，任意一移动VPN代理设备pda接入Internet后，并对所述移动VPN代理设备pda执行设置代理初始化；步骤2，配置服务器(2)接收到来自所述移动VPN代理设备pda的初始化设备请求，然后完成对所述移动VPN代理设备pda的配置－设备认证，并向移动VPN代理设备pda发送配置－设备信息步骤3，移动VPN代理设备pda接收到所述配置－设备信息后，建立与VPN网关(3)的IPsec隧道；步骤4，用户通过所述IPsec隧道向Intranet的私有资源发起访问请求；步骤5，认证客户端(5)对用户的访问请求进行过滤，并将用户重定向到认证服务器(4)；步骤6，认证服务器(4)对用户进行身份认证后，并向认证客户端(5)下发授权－用户信息；步骤7，认证客户端(5)对接收到的所述授权－用户信息进行处理；步骤8，用户再次通过所述IPsec隧道向Intranet的私有资源发起访问请求；步骤9，认证客户端(5)对用户的访问请求进行过滤，并转发依据访问请求请求到的属于Intranet的私有资源。本专利技术一种基于IPsecVPN代理的Intranet接入系统的优点在于：①本专利技术Intranet接入系统是在IPsec基础功能上加以拓展，与传统IPsecVPN相比，本专利技术接入系统具有配置管理简单、后台维护方便、无需客户端软件即可接入的优点，同时还提供细粒度的访问控制能。②一方面应用移动VPN代理设备的设备认证信息来实现代理设备的自动初始化，另一方面应用移动VPN代理设备的设备状态信息来实现代理设备的状态监控，有利于对代理设备的集中管理。③本专利技术接入系统通过移动VPN代理设备实现用户对Intranet的接入，进而通过认证服务器和认证客户端实现对用户访问请求的授权。④在本专利技术中建立的IPsec隧道是由VPN网关和移动VPN代理设备建立的，无需用户参与，降低了IPsecVPN的使用门槛。附图说明图1是本文档来自技高网...

【技术保护点】
一种基于IPsec VPN代理的Intranet接入系统，其特征在于：Intranet接入系统包括有配置服务器(2)、VPN网关(3)、认证服务器(4)、认证客户端(5)以及多个移动VPN代理设备；移动VPN代理设备通过因特网与配置服务器(2)和VPN网关(3)实现通讯；用户的访问请求经由移动VPN代理设备和VPN网关(3)的转发，使所述访问请求到达认证客户端(5)；然后认证客户端(5)与认证服务器(4)通过企业内部网实现所述访问请求的授权；配置服务器(2)中一方面存储有全部移动VPN代理设备的用于设备认证的设备信息集IN

【技术特征摘要】
1.一种基于IPsecVPN代理的Intranet接入系统，其特征在于：Intranet接入系统包括有配置服务器(2)、VPN网关(3)、认证服务器(4)、认证客户端(5)以及多个移动VPN代理设备；移动VPN代理设备通过因特网与配置服务器(2)和VPN网关(3)实现通讯；用户的访问请求经由移动VPN代理设备和VPN网关(3)的转发，使所述访问请求到达认证客户端(5)；然后认证客户端(5)与认证服务器(4)通过企业内部网实现所述访问请求的授权；配置服务器(2)中一方面存储有全部移动VPN代理设备的用于设备认证的设备信息集INAUTH＝{INAUTH_A,INAUTH_B,…INAUTH_a,…,INAUTH_N}；另一方面存储有全部移动VPN代理设备的设备—状态信息集INSTAT＝{INSTAT_A,INSTAT_B,…INSTAT_a,…,INSTAT_N}；再一方面存储有VPN网关(3)的网关—配置信息集IMSTAT＝{IP,CPU,MEM,NET,TNL}；认证服务器(4)中一方面存储有属于企业全部工作人员的注册身份信息集UAUTH＝{uAUTH_A,uAUTH_B,…,uAUTH_a…uAUTH_Z}，另一方面存储有针对每一个工作人员的授权信息集ACLAUTH＝{acAUTH_A,acAUTH_B,…,acAUTH_a,…,acAUTH_N}；任意一个认证客户端设有唯一标识符rdj，J为Intranet中认证客户端的总数目，j∈J；任意认证客户端维护用户的IP地址集记为IPLj＝{ipj_1,ipj_2,…,ipj_k,…,ipj_K}，其中ipj_1表示rdj允许访问的第一个用户，ipj_2表示rdj允许访问的第二个用户，ipj_k表示rdj允许访问的任意一个用户，ipj_K表示rdj允许访问的最后一个用户，K为rdj允许访问的用户的总数目，k∈K；一个用户配置有一个移动VPN代理设备；用户使用IPsecVPN代理接入Intranet系统的认证过程如下：步骤1，任意一移动VPN代理设备pda接入Internet后，并对所述移动VPN代理设备pda执行设置代理初始化；步骤2，配置服务器(2)接收到来自所述移动VPN代理设备pda的初始化设备请求，然后完成对所述移动VPN代理设备pda的配置－设备认证，并向移动VPN代理设备pda发送配置－设备信息步骤3，移动VPN代理设备pda接收到所述配置－设备信息后，建立与VPN网关(3)的IPsec隧道；步骤4，用户通过所述IPsec隧道向Intranet的私有资源发起访问请求；步骤5，认证客户端(5)对用户的访问请求进行过滤，并将用户重定向到认证服务器(4)；步骤6，认证服务器(4)对用户进行身份认证后，并向认证客户端(5)下发授权－用户信息；步骤7，认证客户端(5)对接收到的所述授权－用户信息进行处理；步骤8，用户再次通过所述IPsec隧道向Intranet的私有资源发起访问请求；步骤9，认证客户端(5)对用户的访问请求进行过滤，并转发依据访问请求请求到的属于Intranet的私有资源。2.根据权利要求1所述的一种基于IPsecVPN代理的Intranet接入系统，其特征在于：移动VPN代理设备的设备代理初始化的处理过程为：步骤1-A1，任意一移动VPN代理设备pda向配置服务器(2)发送自身的设备标志号a；步骤1-A2，所述任意一移动VPN代理设备pda接收配置服务器(2)发送的配置校验随机数步骤1-A3，所述任意一移动VPN代理设备pda采用MD5算法对PSKa和进行处理，获得设备哈希值pda表示任意一个移动VPN代理设备，而角标a表示设备标志号；PSKa表示预设的任意一移动VPN代理设备pda的预共享密钥；步骤1-A4，任意一移动VPN代理设备pda向配置服务器(2)发送所述设备哈希值移动VPN代理设备的接收配置处理过程为：步骤1-B1，任意一移动VPN代理设备pda接收配置服务器(2)发送的配置—设备信息其中，除以外的其他参数为IPsecVPN实现strongSwan的配置参数；是在IPsec连接生成时由配置服务器(2)产生并向移动VPN代理设备发送的IPsec连接标识号，简称为设备—IPsec连接标记；步骤1-B2，根据设备—IPsec连接标记来判断所述移动VPN代理设备pda是否存在IPsec连接标记相同的IPsec连接；若不存在，则依据配置—设备信息在移动VPN代理设备pda中添加IPsec连接；若存在，则用配置—设备信息更新移动VPN代理设备pda中设备—IPsec连接标记相同的IPsec连接；步骤1-B3，移动VPN代理设备pda依据配置—设备信息通过密钥交换协议构建得到VPN网关(3)的IPsec隧道；移动VPN代理设备1的发送状态处理过程为：任意一个移动VPN代理设备pda收集自身的设备—状态信息INSTAT_a＝{pda,IPa,CPUa,MEMa,NETa,TNLa}，并在完成初始化后，每2分钟执行一次设备—状态信息INSTAT_a＝{pda,IPa,CPUa,MEMa,NETa,TNLa}发送给配置服务器(2)。3.根据权利要求1所述的一种基于IPsecVPN代理的Intranet接入系统，其特征在于：配置服务器(2)进行的设备认证处理过程为：步骤2-A1，配置服务器(2)接收任意一个移动VPN代理设备pda发送的自身设备标志号a，然后采用线性同余算法生成配置校验随机数最后将所述返回给任意一个移动VPN代理设备pda；步骤2-A2，配置服务器(2)根据所述a查找所述pda对应的设备信息INAUTH_a＝{pda,PSKa}；然后采用MD5算法对PSKa和进行处理，获得服务器哈希值pda表示任意一个移动VPN代理设备，而角标a表示设备标志号；PSKa表示预设的任意一移动VPN代理设备pda的预共享密钥；步骤2-A3，配置服务器(2)接收并对比与...

【专利技术属性】
技术研发人员：李巍，林峰旭，孙冠超，李云春，
申请(专利权)人：北京航空航天大学，
类型：发明
国别省市：北京,11