本发明专利技术公开了一种基于容器技术的用户无感VPN接入方法,先进行企业VPN网络信息登记和终端用户设备的信息登记,然后开始基于容器技术的终端接入设备的部署,当部署完成后,结合登记信号实现终端用户设备与企业网络的VPN通信;这样使整个接入过程不依赖于用户的使用环境,且连接过程简单,不需要人为配置,提高工作效率。
A User-insensitive VPN Access Method Based on Container Technology
【技术实现步骤摘要】
一种基于容器技术的用户无感VPN接入方法
本专利技术属于网络通信
,更为具体地讲,涉及一种基于容器技术的用户无感VPN接入方法。
技术介绍
虚拟专用网络(VirtualPrivateNetwork,VPN)是一种常用于连接中、大型企业或团体与团体间的私人网络的通讯方法。虚拟私人网络的信息透过公用的网络架构(例如:互联网)来传送内部网的网络信息。它利用加密的隧道协议来达到保密、发送端认证、消息准确性等私人消息安全效果,这种技术可以使用不安全的网网络(例如:互联网)来发送可靠、安全的消息。这种技术的出现满足了企业移动办公人员的需要,使得他们能够使用认证信息随时随地访问和管理企业内部网络的资源,大大提升了工作效率。容器是一种有别于虚拟机(也称hypervisor虚拟化技术)的另一种计算资源虚拟化技术。本文中所述的容器技术均以Docker作为实现范例。虚拟机会将虚拟硬件、内核(即操作系统)以及用户空间打包在新虚拟机当中,虚拟机能够利用“虚拟机管理程序”运行在物理设备之上。虚拟机依赖于hypervisor,其通常被安装在“裸金属”系统硬件之上,这导致hypervisor在某些方面被认为是一种操作系统。一旦hypervisor安装完成,就可以从系统可用计算资源当中分配虚拟机实例了,每台虚拟机都能够获得唯一的操作系统和负载(应用程序)。简言之,虚拟机先需要虚拟一个物理环境,然后构建一个完整的操作系统,再搭建一层Runtime,然后供应用程序运行。对于容器环境来说,不需要安装主机操作系统,直接将容器层(比如LXC或libcontainer)安装在主机操作系统(通常是Linux变种)之上。在安装完容器层之后,就可以从系统可用计算资源当中分配容器实例了,并且企业应用可以被部署在容器当中。但是,每个容器化应用都会共享相同的操作系统(单个主机操作系统)。容器可以看成一个装好了一组特定应用的虚拟机,它直接利用了宿主机的内核,抽象层比虚拟机更少,更加轻量化,启动速度极快相比于虚拟机,容器拥有更高的资源使用效率,因为它并不需要为每个应用分配单独的操作系统——实例规模更小、创建和迁移速度也更快。这意味相比于虚拟机,单个操作系统能够承载更多的容器。云提供商十分热衷于容器技术,因为在相同的硬件设备当中,可以部署数量更多的容器实例。此外,容器易于迁移,但是只能被迁移到具有兼容操作系统内核的其他服务器当中,这样就会给迁移选择带来限制。因为容器不像虚拟机那样同样对内核或者虚拟硬件进行打包,所以每套容器都拥有自己的隔离化用户空间,从而使得多套容器能够运行在同一主机系统之上。我们可以看到全部操作系统层级的架构都可实现跨容器共享,惟一需要独立构建的就是二进制文件与库。正因为如此,容器才拥有极为出色的轻量化特性。在本文所提供的解决方案中,容器将扮演VPN隧道端点的角色,最大程度地利用了容器的隔离、轻量化、启动快速、删除无痕等特性。尽管目前市面上有许多的VPN服务提供商,也有许多功能丰富的VPN软件(包括计算机操作系统内置的VPN网络配置服务)。但对于移动办公人员,特别是非计算机网络相关的企业办公人员而言,可能并不需要细致入微的VPN配置和功能。他们只需要能够访问企业内网即可,并不关心自己究竟是如何登入内网的。同时,VPN的配置本身可能对于他们而言就是一项不小的负担。也就是说,现有的VPN解决方案均需要依靠用户去手动进行一系列操作后才能实现,并且同时依赖于用户的使用环境。若配置过程出现某些意外状况,则会使得连接过程人为地变得复杂,降低工作效率甚至无法成功。
技术实现思路
本专利技术的目的在于克服现有技术的不足,提供一种基于容器技术的用户无感VPN接入方法,通过用户设备软硬件特征提取子系统将自身设备特征信息进行登记,再物理接入容器化公共网络接入设备。为实现上述专利技术目的,本专利技术一种基于容器技术的用户无感VPN接入方法,其特征在于,包括以下步骤:;(1)、企业VPN网络信息登记(1.1)、企业网络管理员向网络管理平台登记企业VPN网络的以下信息:企业名、企业VPN网关地址、企业子网地址、VPN配置信息和连接、加密方式以及一个VPN口令池;(1.2)、网络管理平台根据上述信息生成符合该企业要求的容器镜像并保存;(2)、终端用户设备的信息登记(2.1)、判断终端用户设备是否进行了信号登记,如果已经登记则进入步骤(2.2),否则,在网络管理平台对该终端用户设备进行信息登记;(2.2)、判断判断终端用户设备是否已连接至企业内网,如果未连接,则进入步骤(2.3),否则直接跳转至步骤(2.4);(2.3)、终端用户在该终端上下载安装由企业提供的信息采集客户端,并进行企业内的身份认证,待认证通过后跳转至步骤(2.5);(2.4)、通过终端信息采集工具自动采集终端用户设备的特征信息,再发送给网络管理员;(2.5)、通过信息采集客户端采集终端用户设备的特征信息,再发送给网络管理员;(2.6)、网络管理员接收到特征信息数据后,将特征信息数据提交到云VPN管理子系统保存;(3)、基于容器技术的终端接入设备的部署(3.1)、通过DHCP或人工配置方式获得IP地址,将终端接入设备进行网络的物理接入,以确保能够与云VPN管理子系统进行通信;然后,终端接入设备向云VPN管理子系统发送请求,启动交互,通过终端接入设备的软硬件信息认证该终端接入设备的合法性;(3.2)、管理平台下发初始化脚本,对终端接入设备进行初始化;(3.3)、当认证通过且初始化成功完成后,网络管理平台通过扫描终端接入设备的运行进程和端口,启动对终端接入设备的安全检查,确保无异常软件植入、无异常通信发生,若检查不通过,则返回至步骤(3.2);(3.4)、运行容器连接测试,保证基于容器技术的终端接入设备的部署完毕后能够正确连接各企业的VPN网关;(4)、终端用户设备与企业网络的VPN通信(4.1)、当终端接入设备接收到用户的接入请求时,先判断该用户是否已经经过了认证,如果通过了认证,则将该用户标记为已知用户,并跳转至步骤(4.3);否则将该用户标记为未知用户,再进入步骤(4.2);(4.2)、终端接入设备将未知用户识别信息发送至云VPN管理子系统,根据未知用户设备识别信息获取该用户的镜像信息,部署相关容器并按照对应口令进行配置,从而完成该未知用户的认证,将该用户标记为已知用户进入步骤(4.3);若相关记录中没有找到该未知用户信息,则按照常规网关模式进行数据的转发,并结束;(4.3)、识别已知用户的目的IP地址,若不是企业指定的IP,则按照常规网关模式进行转发,并结束;若是企业指定的IP,则进入步骤(4.4);(4.4)、将根据步骤(1)、(2)的信息登记,将已知用户接入至企业网络:将已知用户数据导入容器,容器记录当前已知用户的IP地址和端口号,修改数据包头为容器自身的IP地址和端口号,发送至VPN对端;当数据返回时,再将返回数据包头改为已知用户当前IP地址和端口,并发送给已知用户;(4.5)、当已知用户超过指定时间未发送和收到数据,删除该容器,清空相应数据。本专利技术的专利技术目的是这样实现的:本专利技术基于容器技术的用户无感VPN接入方法,先进行企业VPN网络信息登记和终端用户设备的信息登记,然后开始基于容器技术的终端接入设备本文档来自技高网...
【技术保护点】
1.一种基于容器技术的用户无感VPN接入方法,其特征在于,包括以下步骤:;(1)、企业VPN网络信息登记(1.1)、企业网络管理员向网络管理平台登记企业VPN网络的以下信息:企业名、企业VPN网关地址、企业子网地址、VPN配置信息和连接、加密方式以及一个VPN口令池;(1.2)、网络管理平台根据上述信息生成符合该企业要求的容器镜像并保存;(2)、终端用户设备的信息登记(2.1)、判断终端用户设备是否进行了信号登记,如果已经登记则进入步骤(2.2),否则,在网络管理平台对该终端用户设备进行信息登记;(2.2)、判断判断终端用户户设备是否已连接至企业内网,如果未连接,则进入步骤(2.3),否则直接跳转至步骤(2.4);(2.3)、终端用户在该终端上下载安装由企业提供的信息采集客户端,并进行企业内的身份认证,待认证通过后跳转至步骤(2.5);(2.4)、通过终端信息采集工具自动采集终端用户设备的特征信息,再发送给网络管理员;(2.5)、通过信息采集客户端采集终端用户设备的特征信息,再发送给网络管理员;(2.6)、网络管理员接收到特征信息数据后,将特征信息数据提交到云VPN管理子系统保存;(3)、基于容器技术的终端接入设备的部署(3.1)、通过DHCP或人工配置方式获得IP地址,将终端接入设备进行网络的物理接入,以确保能够与云VPN管理子系统进行通信;然后,终端接入设备向云VPN管理子系统发送请求,启动交互,通过终端接入设备的软硬件信息认证该终端接入设备的合法性;(3.2)、管理平台下发初始化脚本,对终端接入设备进行初始化;(3.3)、当认证通过且初始化成功完成后,网络管理平台通过扫描终端接入设备的运行进程和端口,启动对终端接入设备的安全检查,确保无异常软件植入、无异常通信发生,若检查不通过,则返回至步骤(3.2);(3.4)、运行容器连接测试,保证基于容器技术的终端接入设备的部署完毕后能够正确连接各企业的VPN网关;(4)、终端用户设备与企业网络的VPN通信(4.1)、当终端接入设备接收到用户的接入请求时,先判断该用户是否已经经过了认证,如果通过了认证,则将该用户标记为已知用户,并跳转至步骤(4.3);否则将该用户标记为未知用户,再进入步骤(4.3);(4.2)、终端接入设备将未知用户识别信息发送至云VPN管理子系统,根据未知用户设备识别信息获取该用户的镜像信息,部署相关容器并按照对应口令进行配置,从而完成该未知用户的认证,将该用户标记为已知用户进入步骤(4.3);若相关记录中没有找到该未知用户信息,则按照常规网关模式进行数据的转发,并结束;(4.3)、识别已知用户的目的IP地址,若不是企业指定的IP,则按照常规网关模式进行转发,并结束;若是企业指定的IP,则进入步骤(4.4);(4.4)、将根据步骤(1)、(2)的信息登记,将已知用户接入至企业网络:将已知用户数据导入容器,容器记录当前已知用户的IP地址和端口号,修改数据包头为容器自身的IP地址和端口号,发送至VPN对端;当数据返回时,再将返回数据包头改为已知用户当前IP地址和端口,并发送给已知用户;(4.5)、当已知用户超过指定时间未发送和收到数据,删除该容器,清空相应数据。...
【技术特征摘要】
1.一种基于容器技术的用户无感VPN接入方法,其特征在于,包括以下步骤:;(1)、企业VPN网络信息登记(1.1)、企业网络管理员向网络管理平台登记企业VPN网络的以下信息:企业名、企业VPN网关地址、企业子网地址、VPN配置信息和连接、加密方式以及一个VPN口令池;(1.2)、网络管理平台根据上述信息生成符合该企业要求的容器镜像并保存;(2)、终端用户设备的信息登记(2.1)、判断终端用户设备是否进行了信号登记,如果已经登记则进入步骤(2.2),否则,在网络管理平台对该终端用户设备进行信息登记;(2.2)、判断判断终端用户户设备是否已连接至企业内网,如果未连接,则进入步骤(2.3),否则直接跳转至步骤(2.4);(2.3)、终端用户在该终端上下载安装由企业提供的信息采集客户端,并进行企业内的身份认证,待认证通过后跳转至步骤(2.5);(2.4)、通过终端信息采集工具自动采集终端用户设备的特征信息,再发送给网络管理员;(2.5)、通过信息采集客户端采集终端用户设备的特征信息,再发送给网络管理员;(2.6)、网络管理员接收到特征信息数据后,将特征信息数据提交到云VPN管理子系统保存;(3)、基于容器技术的终端接入设备的部署(3.1)、通过DHCP或人工配置方式获得IP地址,将终端接入设备进行网络的物理接入,以确保能够与云VPN管理子系统进行通信;然后,终端接入设备向云VPN管理子系统发送请求,启动交互,通过终端接入设备的软硬件信息认证该终端接入设备的合法性;(3.2)、管理平台下发初始化脚本,对终端接入设备进行初始...
【专利技术属性】
技术研发人员:郭秉楠,刘坚,许都,
申请(专利权)人:电子科技大学,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。