专利名称:一种基于Ipsec的权限管理方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种基于Ipsec的权限管理方法。
背景技术:
随着通信技术的飞速发展,VPN和Ipsec在企业内部网络中的应用已达普 及,Ipsec的数据机密性和数据完整性便成了一个急需解决的问题。数据机密性(Data Confidentiality)指的是当数据在VPN的参与方之间通过IPsec VPN传送时保持数据的私 密性。大多数VPN都要穿越公用互联网,因而数据在传送过程中就有可能被截取或者检查, 在实际应用中,任何数据在传送过程中都可能被检查,因而互联网属于不安全的传送媒介。
数据完整性(Data Integrity)指的是确保数据在通过IPsec VPN进行传送的过 程中没有被修改或者改变,数据完整性本身并不是提供数据机密性。数据完整性机制通常 使用哈希(或称为散列)算法来检查两端点间传送的数据包中的数据是否被修改。如果发 现数据包被修改,那么就拒绝接收被修改的数据。
数据源验证(Data Origin Authentication)指的是验证IPsec VPN的源,该功能 特性由VPN得每个端点来完成,以确保与其铜线的对端的身份。需要注意的是,数据源验证 无法单独实现,必须依赖于数据完整性服务。
故而解决了数据源验证在企业内部网络中的技术瓶颈,就解决了基于Ipsec的 VPN网络的数据机密性和数据完整性问题。发明内容
为了解决上述问题,本发明的目的数据机密性和数据完整性问题。
本发明提出了一种基于Ipsec的权限管理方法,包括:
第一台交换机将一 Ipsec授权指令通过以太网信道发送给第二台交换机;
所述第二台交换机接收所述授权指令;
所述第二台交换机向验证服务器发出访问请求;
所述验证服务器验证所述访问请求;
其中所述第一台交换机具备对所述验证服务器的第一访问权限,且所述访问请求 包含所述授权指令。
所述服务器验证所述访问请求的步骤进一步包括:
所述验证服务器根据所述访问请求检查所述授权指令的授权源;
所述验证服务器向所述授权源验证所述授权指令的权限。
所述授权指令向所述第二台交换机提供第二访问权限,所述第二访问权限低于所 述第一访问权限。
所述授权指令向所述第二台交换机提供第二访问权限,所述第二访问权限等于所 述第一访问权限。
所述验证服务器向所述授权源验证所述授权指令的权限的步骤进一步包括:
如果验证成功,贝U所述第二台交换机通过验证与第一台交换机建立Ipsec通信信 道;
如果验证失败,则回到所述第一台交换机将一授权指令发送给第二台交换机的步骤。
所述验证服务器由一台交换机配置而成,在所述验证服务器上建立有各交换机验 证数据的数据库。
采用本发明的技术方案,提出了一种基于Ipsec的权限管理方法,第一台交换机 将一 Ipsec授权指令通过以太网信道发送给第二台交换机,所述第二台交换机接收所述授 权指令,所述第二台交换机向验证服务器发出访问请求,所述验证服务器验证所述访问请 求,通过验证解决基于Ipsec的vpn网络数据机密性和数据完整性问题。
图1为本发明优选实施例的系统框架图2为本发明的基本步骤的流程图。
具体实施方式
以下结合附图详细描述本发明的技术方案。
图1示意性地示出了适用于本发明的一种基于Ipsec的权限管理方法的系统架 构。如图1所示,本发明至少包含一被访问的服务器101以及若干台交换机作为客户端设备 102-1 102-N。所述服务器101由交换机配置而成,同时服务器上设置有集中管理各VLan 交换机数据的数据库。所述各台交换机分别为各个Vlan的核心数据交换设备,交换机之间 采用Trunk连接,同时使用以太信道技术,将带宽较小的链路捆绑成带宽较大的链路,同时 实现数据备份。所述服务器101分别与每一客户端设备102-1 102-N连接。服务器101 与客户端设备的连接方式可以是无线连接、有线连接或者无线和有线连接的组合。此外,各 客户端设备之间也可以按需要进行连接。具体的连接方式可以是采用任何一种本领域已知 的连接方案。
图2示出了根据本发明的一种基于Ipsec的权限管理方法的基本步骤的流程图。 包括:
步骤201,第一台交换机将一授权指令发送给第二台交换机,其中所述第一台交换 机具备对所述服务器的第一访问权限;
步骤202,所述第二台交换机接收所述授权指令;
步骤203,所述第二台交换机向服务器发出访问请求,其中所述访问请求包含所述 授权指令;
步骤204,所述服务器验证所述访问请求,
步骤205,所述服务器根据所述访问请求检查所述授权指令的授权源,所述服务器 向所述授权源验证所述授权指令的权限,
如果验证成功,则所述第二台交换机通过验证(步骤206);
如果验证失败,则回到所述第一设备将一授权指令发送给第二台交换机的步骤 (步骤201)。
此外,根据本发明的一个实施例,所述授权指令向所述第二台交换机提供第二访 问权限,所述第二访问权限低于所述第一访问权限。
此外,根据本发明的另一实施例,所述授权指令向所述第二台交换机提供第二访 问权限,所述第二访问权限等于所述第一访问权限。
在步骤206之后,第二台交换机通过验证后以所述第二访问权限访问所述服务器。
通过使用本发明的一种基于Ipsec的权限管理方法,一台交换机设备可以将等于 或低于自身权限的新权限赋予其他多台交换机设备,从而能及时扩展权限的使用。此外,本 发明的服务器在由新客户端访问时还被要求向给该新客户端权限的授权源进行验证操作, 因此可以进一步地确保授权行为的可靠性,提高了整个授权系统的可靠性,从而保证Ipsec 的vpn网络数据机密性和数据完整性问题。
本领域的普通技术人员应该理解,在不脱离由权利要求限定的本发明的精神和范 围的情况下,可以在形式和细节上进行各种替换、修改和改变。因此,将理解,上述实施例仅 仅是示意目的,并且不被解释为对本发明的限制。
权利要求
1.一种基于Ipsec的权限管理方法,包括:第一台交换机将一 Ipsec授权指令通过以太网信道发送给第二台交换机;所述第二台交换机接收所述授权指令;所述第二台交换机向验证服务器发出访问请求;所述验证服务器验证所述访问请求;其中所述第一台交换机具备对所述验证服务器的第一访问权限,且所述访问请求包含 所述授权指令。
2.如权利要求1所述的一种基于Ipsec的权限管理方法,其特征在于,所述服务器验证 所述访问请求的步骤进一步包括:所述验证服务器根据所述访问请求检查所述授权指令的授权源;所述验证服务器向所述授权源验证所述授权指令的权限。
3.如权利要求1所述的一种基于Ipsec的权限管理方法,其特征在于,所述授权指令向 所述第二台交换机提供第二访问权限,所述第二访问权限低于所述第一访问权限。
4.如权利要求1所述的一种基于Ipsec的权限管理方法,其特征在于,所述授权指令向 所述第二台交换机提供第二访问权限,所述第二访问权限等于所述第一访问权限。
5.如权利要求3或4所述的一种基于Ipsec的权限管理方法,其特征在于,所述验证服 务器向所述授权源验证所述授权指令的权限的步骤进一步包括:如果验证成功,贝1J所述第二台交换机通过验证与第一台交换机建立Ipsec通信信道;如果验证失败,则回到所述第一台交换机将一授权指令发送给第二台交换机的步骤。
6.如权利要求5所述的一种基于Ipsec的权限管理方法,其特征在于,所述验证服务器 由一台交换机配置而成,在所述验证服务器上建立有各交换机验证数据的数据库。
全文摘要
本发明提出了一种基于Ipsec的权限管理方法,包括第一台交换机将一Ipsec授权指令通过以太网信道发送给第二台交换机,所述第二台交换机接收所述授权指令,所述第二台交换机向验证服务器发出访问请求,所述验证服务器验证所述访问请求,通过验证解决基于Ipsec的Vpn网络数据机密性和数据完整性问题。
文档编号H04L29/06GK103139141SQ20111037523
公开日2013年6月5日 申请日期2011年11月22日 优先权日2011年11月22日
发明者蒋志勇 申请人:上海博腾信息科技有限公司