专利名称:一种外部用户登录备份系统的制作方法
技术领域:
本实用新型涉及SSL VPN、CA认证和虚拟计算技术领域,尤其涉及外部用户集成登 录系统。
背景技术:
在现有技术中,外网客户端的用户如果要访问内网的B/S应用系统服务器或C/S 应用系统服务器,一般是通过互联网、防火墙、DMZ交换机经CA数字认证后与SSL VPN设备 建立连接,然后再访问B/S应用系统服务器或者通过虚拟网络计算服务器访问C/S应用系 统服务器。在现有技术中,一旦SSL VPN设备发生故障或宕机,外部用户将不能登录和访问 内网的B/S应用系统服务器或C/S应用系统服务器。
发明内容本实用新型的发明目的在于提供一种外部用户集成登录系统,以实现SSLVPN应 用业务中,采用虚拟网络计算技术进行备份,并使用检测/控制装置进行自动切换以确保 外部用户能顺利登录和访问内网。本实用新型是通过下述技术方案解决上述技术问题的一种外部用户登录备份系 统,包括用于保护内部网络的DMZ交换机;用于建立虚拟专用网的SSL VPN设备,所述SSL VPN设备与DMZ交换机连接,所述SSL VPN设备还与B/S应用系统服务器相连接;用于提供 身份认证的CA数字认证服务器,CA数字认证服务器与所述SSL VPN设备相连接;用于虚拟 化计算的虚拟网络计算服务器,所述虚拟网络计算服务器与所述SSL VPN设备相连接,所述 虚拟网络计算服务器与C/S应用系统服务器相连接;还包括,用于登录备份的设置在虚拟 网络计算服务器上的与SSL VPN设备IP地址相同的备用网卡,所述备用网卡与DMZ交换机 连接;用于向SSL VPN设备发送ICMP响应请求和当响应请求报文出现异常时控制备用网卡 启动的检测/控制装置,所述检测/控制装置设置在所述虚拟网络计算服务器上;所述虚拟 网络计算服务器还与B/S应用系统服务器相连接。外网用户通过SSL VPN设备和CA数字证书认证相结合来访问B/S应用系统服务 器,通过虚拟网络计算服务器来访问基于C/S应用系统服务器。检测/控制装置安装在虚 拟网络计算服务器上,时刻检测到SSL VPN设备是否失效;在虚拟网络计算服务器上安装 了内网所有应用,以便随时启用。基于虚拟化计算服务的功能,对于任何不同结构的软件系 统,通过虚拟网络计算服务器,无需安装和配置任何客户端软件。在SSL VN设备工作正常情况下对外的应用访问全部由SSL VPN来完成,用户的身份认证采用CA双向认证模式, 只有身份合法的客户端才能合法接入;对于B/S应用系统的用户,通过登录SSL VPN设备,结合CA数字认证,进入到内部 网络;对于C/S应用系统的用户,通过登录SSL VPN设备,结合CA数字认证,建立IPSECVPN网络安全通道,进入到内部网络。在SSL VPN设备出现故障的情况下检测/控制装置控制启动备用网卡,整个过程对用户说是透明的,做到客户端零 配置、零安装完成切换过程。虚拟网络计算服务器上的检测/控制装置检测到SSL VPN设备失效时,启用备用 网卡,对外的应用访问全部由虚拟网络计算服务器来接管与完成;虚拟化计算技术提高了 数据安全性,因此外部用户登录可免去CA数字认证环节。本实用新型带来的有益效果是,当SSL VPN设备发生故障时让虚拟网络计算服务 器无缝接替SSL VPN设备的工作,从而不影响外部用户的登录和访问。本实用新型涉及的现有技术包括一、虚拟专用网络(VPN Virtual Private Network)通过公用网络(如 Internet)建立,一条穿过公用网络临时的、安全的、稳定的隧道,是对企业内部网的扩展。 可分 IPSEC VPN 和 SSL VPN0二、虚拟化计算应用虚拟化计算技术原理是基于应用/服务器计算A/S架构,采 用AIP (Application Integration Protocol)技术,把应用程序的人机交互逻辑(应用程 序界面、键盘及鼠标的操作、音频输入输出、读卡器、打印输出等)与计算逻辑隔离开来。在 用户访问一个服务器虚拟化后的应用时,用户计算机只需要把人机交互逻辑通过AIP协议 传送到服务器端,服务器端为用户开设独立的会话空间,应用程序的计算逻辑在这个会话 空间中运行,把变化后的人机交互逻辑传送给客户端,并且在客户端相应设备展示出来,从 而使用户获得如同运行本地应用程序一样的访问感受。该技术优势体现在三个方面(1) 由于应用程式和所访问的数据处于集中管理和维护之下,对数据的访问能够被轻易地监测 和保护,从而避免窃取数据或其他形式的攻击;(2)极大地限制了应用程式可能受到某个 终端用户设备特性、网络特性或远程接入的场所特点所带来的负面影响的风险。在无需对 终端用户的装置进行标准化的情况下,实现终端用户体验的标准化;(3)由于应用程式只 需要实际运行一次即可,集中化的应用程式能够轻易地加以规划。
图1为本实用新型的结构示意图。
具体实施方式
以下结合附图1对本实用新型作进一步详细描述实施例1如图1所示,一种外部用户登录备份系统,包括用于保护内部网络的DMZ交换机 1 ;用于建立虚拟专用网的SSL VPN设备2,所述SSL VPN设备2与DMZ交换机1连接,所述 SSL VPN设备2还与B/S应用系统服务器4相连接;用于提供身份认证的CA数字认证服务 器3,CA数字认证服务器3与所述SSL VPN设备2相连接;用于虚拟化计算的虚拟网络计 算服务器6,所述虚拟网络计算服务器6与所述SSLVPN设备2相连接,所述虚拟网络计算 服务器6与C/S应用系统服务器5相连接;还包括,用于登录备份的设置在虚拟网络计算服 务器6上的与SSL VPN设备2的IP地址相同的备用网卡8,所述备用网卡8与DMZ交换机1连接;用于向SSL VPN设备2发送ICMP响应请求和当响应请求报文出现异常时控制备用 网卡8启动的检测/控制装置7,所述检测/控制装置7设置在所述虚拟网络计算服务器6 上;所述虚拟网络计算服务器6还与B/S应用系统服务器4相连接。本实用新型的工作原理如下SSL VPN设备接在DMZ交换机同时映射到公网上提供服务,虚拟网络计算服务器 上设有备份网卡,备份网卡连接DMZ交换机,备份网卡配有和SSL VPN设备相同的IP地址, 正常情况下禁用备份网卡。当SSL VPN设备正常工作时,外网用户通过SSL VPN设备和CA 数字认证相结合来访问B/S应用系统服务,通过虚拟网络计算服务器来访问基于C/S应用 系统服务。在虚拟网络计算服务器上设有检测/控制装置,该检测/控制装置定期监测SSL VPN设备的工作状态,当检测到SSL VPN设备不正常时,虚拟网络计算服务器自动接管SSL VPN设备的全部工作。该检测/控制装置的运行机制如下当检测/控制装置定期发出的ICMP响应请求 能够正常地到达SSL VPN设备,则返回一个报文可达的信息,判断SSL VPN设备工作正常; 当检测/控制装置发出的ICMP响应请求报文出现异常,则返回一个目标不可达或响应超时 的信息,判断SSL VPN设备出现故障或宕机,此时检测/控制装置会立即启用备用网卡和相 应的服务,从而接替SSL VPN设备的全部工作。以上所述仅为本实用新型的较佳实施例,凡依本实用新型申请专利范围所作的均 等变化与修饰,皆应属本实用新型专利的涵盖范围。
权利要求一种外部用户登录备份系统,包括用于保护内部网络的DMZ交换机;用于建立虚拟专用网的SSL VPN设备,所述SSL VPN设备与DMZ交换机连接,所述SSL VPN设备还与B/S应用系统服务器相连接;用于提供身份认证的CA数字认证服务器,CA数字认证服务器与所述SSL VPN设备相连接;用于虚拟化计算的虚拟网络计算服务器,所述虚拟网络计算服务器与所述SSL VPN设备相连接,所述虚拟网络计算服务器与C/S应用系统服务器相连接;其特征在于还包括,用于登录备份的设置在虚拟网络计算服务器上的与SSL VPN设备IP地址相同的备用网卡,所述备用网卡与DMZ交换机连接;用于向SSL VPN设备发送ICMP响应请求和当响应请求报文出现异常时控制备用网卡启动的检测/控制装置,所述检测/控制装置设置在所述虚拟网络计算服务器上;所述虚拟网络计算服务器还与B/S应用系统服务器相连接。
专利摘要本实用新型涉及SSL VPN、CA认证和虚拟计算技术领域,尤其涉及一种外部用户集成登录系统。包括DMZ交换机和SSL VPN设备,所述SSL VPN设备与DMZ交换机连接,所述SSL VPN设备还与B/S应用系统服务器相连接;CA数字认证服务器与所述SSL VPN设备相连接;所述虚拟网络计算服务器与所述SSLVPN设备相连接,所述虚拟网络计算服务器与C/S应用系统服务器相连接;还包括,设置在虚拟网络计算服务器上的备用网卡,所述备用网卡与DMZ交换机连接;所述检测/控制装置设置在所述虚拟网络计算服务器上;所述虚拟网络计算服务器还与B/S应用系统服务器相连接。实现SSL VPN应用业务中,采用虚拟网络计算技术进行备份,并使用检测/控制装置进行自动切换以确保外部用户能顺利登录和访问内网。
文档编号H04L29/08GK201639605SQ20102014154
公开日2010年11月17日 申请日期2010年3月25日 优先权日2010年3月25日
发明者刘鹏, 姜学峰, 李健俊, 章志华 申请人:浙江中烟工业有限责任公司