【技术实现步骤摘要】
一种VPN数据安全访问控制方法及系统
本申请属于虚拟专用网络(VPN)的访问控制
,尤其涉及一种VPN数据安全访问控制方法及系统。
技术介绍
随着信息技术的飞速发展,全球步入大数据时代,数据安全的传输和共享访问越来越受到重视。VPN(VirtualPrivateNetwork,虚拟专用网络)作为一种专用加密网络可以提供高安全级别的数据安全共享访问。现有基于VPN的数据访问控制系统,访问方(如用户终端)通过客户端与远程数据服务方建立VPN数据专用通道进行安全的数据共享。然而,现有基于VPN的数据安全访问控制方案,存在VPN访问方式不灵活,访问性能、访问安全和系统可靠性无法得到保障等缺点,具体如下:1)传统的VPN网络中,服务方在其本地网络的路由器上打开VPN服务,访问方通过路由器的IP地址与服务方建立VPN加密信道进行数据安全共享,但由于VPN会代理访问方本地主机全部流量,所以访问方一次只能访问一个VPN服务方,也即,一个访问方在一个时刻只能与一个服务方建立专用VPN连接进行数据共享,无法同时与多个服务方建立VPN连接,访问方与服务方的数据共享是多对一的模式,从而数据访问方式不灵活;2)VPN的实现是在互联网之上建立专用网络,即,构建运行于公网网络架构之上的专用网络,从而VPN性能会受互联网等公网性能变化的影响,访问性能无法得到保障;3)访问方通过连接位于服务方处的VPN服务器实现专用数据共享服务,如果VPN服务器出现未知原因而无法提供服务,那么整个数据共享将被破坏;4)V...
【技术保护点】
1.一种VPN数据安全访问控制方法,其特征在于,应用于VPN数据安全访问控制系统,所述系统包括:基于私有网络搭建的VPN数据安全访问控制平台,以及接入所述VPN数据安全访问控制平台的至少一个访问方和多个服务方;所述VPN数据安全访问控制平台包括VPN管理服务器及多个VPN接入服务器;其中,一个访问方能够通过所述VPN数据安全访问控制平台与多个服务方建立连接,以实现一个服务方能同时与多个服务方进行数据共享;/n所述方法包括:/n访问方向所接入的第一VPN接入服务器发送原始请求数据包;所述原始请求数据包包括访问方的服务需求信息及目标服务方信息;/n所述第一VPN接入服务器接收所述原始请求数据包,并进行格式封装得到第一请求数据包;所述第一请求数据包在所述原始请求数据包基础上封装了原始请求数据包的源地址及根据原始请求数据包中的服务方信息确定的目标服务方的目的地址,以及还封装了根据路由表确定出的下一跳地址;/n所述第一VPN接入服务器将所述第一请求数据包转发至所确定出的下一跳地址对应的第二VPN接入服务器;/n所述第二VPN接入服务器接收所述第一请求数据包,根据所述第一请求数据包的目的地址及路由...
【技术特征摘要】
1.一种VPN数据安全访问控制方法,其特征在于,应用于VPN数据安全访问控制系统,所述系统包括:基于私有网络搭建的VPN数据安全访问控制平台,以及接入所述VPN数据安全访问控制平台的至少一个访问方和多个服务方;所述VPN数据安全访问控制平台包括VPN管理服务器及多个VPN接入服务器;其中,一个访问方能够通过所述VPN数据安全访问控制平台与多个服务方建立连接,以实现一个服务方能同时与多个服务方进行数据共享;
所述方法包括:
访问方向所接入的第一VPN接入服务器发送原始请求数据包;所述原始请求数据包包括访问方的服务需求信息及目标服务方信息;
所述第一VPN接入服务器接收所述原始请求数据包,并进行格式封装得到第一请求数据包;所述第一请求数据包在所述原始请求数据包基础上封装了原始请求数据包的源地址及根据原始请求数据包中的服务方信息确定的目标服务方的目的地址,以及还封装了根据路由表确定出的下一跳地址;
所述第一VPN接入服务器将所述第一请求数据包转发至所确定出的下一跳地址对应的第二VPN接入服务器;
所述第二VPN接入服务器接收所述第一请求数据包,根据所述第一请求数据包的目的地址及路由表确定下一跳,并将所述第一请求数据包中已有的下一条地址更新为确定出的下一跳地址,得到第二请求数据包;
所述第二VPN接入服务器将所述第二请求数据包转发至所确定出的下一跳地址对应的下一跳VPN接入服务器;
所述下一跳VPN接入服务器重复执行确定请求数据包的下一跳并转发的处理,直至将请求数据包转发至目标服务方所接入的接入服务器;
所述目标服务方所接入的接入服务器对接收的请求数据包进行解封装,并将解封装所得的目标请求数据包发送至目标服务方,以使得目标服务方通过至少一个VPN接入服务器向访问方反馈响应数据包;
其中,VPN数据安全访问控制平台中的多个VPN接入服务器基于VPN管理服务器下发的流表信息形成路由表;若一个访问方同时与多个不同的目标服务方进行数据共享,所述一个访问方与直连接入的VPN接入服务器之间建立有多个VPN连接,不同的VPN连接通过相应不同路由路径接通至相应不同的目标服务方。
2.根据权利要求1所述的方法,其特征在于,所述私有网络上还搭建有用于运行于所述VPN数据安全访问控制平台上层的监管链;
所述方法还包括:基于所述监管链对所述VPN数据安全访问控制系统中的访问方与服务方之间的交易行为进行监管;
其中,所述基于所述监管链对所述VPN数据安全访问控制系统中的访问方与服务方之间的交易行为进行监管,至少包括:
根据预先定义的智能合约规则,由访问方直连接入的VPN接入服务器填写智能合约,并将填写后的智能合约发送至服务方直连接入的VPN接入服务器;
服务方直连接入的VPN接入服务器根据所述智能合约规则填写接收的智能合约,并将填写后的智能合约发送到监管链上;
监管链根据合约规则,对访问方与服务方之间的交易行为进行监管。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
各VPN接入服务器根据ACL规则使用包过滤技术,对数据包进行过滤,以实现对数据访问的流量控制;其中,所述VPN管理服务器预先将制定好的ACL规则发送到各VPN接入服务器;
和/或,所述方法还包括:
在访问方与服务方之间的数据访问出现超时的情况下,将用于指示超时的异常信息传送至VPN管理服务器;所述异常信息至少包括访问方在所述VPN数据安全访问控制平台中对应的VPN连接信息;
VPN管理服务器根据所述异常信息中的VPN连接信息,将访问方重定向到满足重定向条件的另一VPN接入服务器;
访问方与重定向的VPN接入服务器建立VPN连接,并重新发送之前响应失败的请求信息至重定向的VPN接入服务器。
4.根据权利要求1所述的方法,其特征在于,还包括预先将访问方或服务方接入所述VPN数据安全访问控制平台;
所述预先将访问方或服务方接入所述VPN数据安全访问控制平台,包括:
访问方或服务方向所述VPN数据安全访问控制平台中满足接入条件的VPN接入服务器发送VPN接入请求,所述VPN接入请求包括访问方或服务方的接入验证信息;
满足接入条件的VPN接入服务器将访问方或服务方的VPN接入请求发送至VPN管理服务器;
VPN管理服务器基于VPN接入请求中访问方或服务方的接入验证信息,对访问方或服务方进行接入验证,并向所述满足接入条件的VPN接入服务器反馈验证确认信息;
在所述验证确认信息表示验证通过的情况下,服务方或访问方与所述满足接入条件的VPN接入服务器建立VPN信道。
5.根据权利要求1所述的方法,其特征在于,访问方或服务方在访问VPN接入服务器时虚拟出专用虚拟网卡,并基于所述专用虚拟网卡提供与所接入的VPN接入服务器之间的VPN数据发送和接收功能;
且,若一个访问方同时访问多个目标服务方,所述一个访问方基于虚拟出的一个专用虚拟网卡实现与多个目标服务方之间的数据收发。...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。