提高虚拟专用网用户安全性的方法及系统的制作方法

专利名称：提高虚拟专用网用户安全性的方法及系统的制作方法
技术领域：
本发明涉及网络安全技术领域，具体涉及一种提高虚拟专用网用户安全性的方法及系统。
背景技术：
VPN(虚拟专用网)是在公用的通信基础平台上提供私有数据网络的技术，运营商一般通过隧道协议和采用安全机制来满足客户的私密性需求。VPN与传统的专有线/租用线路相比，费用低廉而且能较好地满足客户需求。
MPLS VPN则是指基于MPLS(多协议标签交换)技术构建的虚拟专用网，即采用MPLS技术，在公共IP(因特网协议)网络上构建企业IP专网，实现数据、语音、图像多业务宽带连接，并结合差别服务、流量工程等相关技术，为用户提供高质量的服务。MPLS VPN能够在提供原有VPN网络所有功能的同时，提供强有力的QoS(服务质量)能力，具有可靠性高、安全性高、扩展能力强、控制策略灵活以及管理能力强大等特点。
同传统的VPN不同，MPLS VPN不依靠封装和加密技术，而是依靠转发表和数据包的标记来创建一个安全的VPN。一个VPN数据包括一组CE(用户边缘设备)，以及同其相连的PE(运营商边缘设备)。
图1是基于MPLS的VPN的基本结构CE是用户边缘设备，可以是路由器，也可以是交换机，甚至是一台主机；PE是服务商边缘路由器，位于骨干网络；PE负责对VPN用户进行管理，建立各PE间LSP(标签交换路径)连接，同一VPN用户各分支间路由分配。
在MPLS VPN架构中，一旦组网确定，CE同PE的接口绑定关系就确定下来。因此，在现有技术中没有对VPN用户的认证，并且需要事先在PE上配置好所有的VPN信息，完成用户的接入接口同VPN的绑定。这样，不仅降低了VPN用户接入的安全性，而且即使CE没有业务，也会触发PE维护VPN的大量信息，造成PE上的性能瓶颈。

发明内容
本发明的目的是提供一种提高虚拟专用网用户安全性的方法，以克服现有技术中无法保证VPN用户安全接入的缺点，提高VPN用户接入的安全性。
本发明的另一个目的是提供一种提高虚拟专用网用户安全性的方法，以克服现有技术中不对用户进行认证，并且不管用户是否接入都需要在PE上进行与用户相关的配置，使得PE需要维护大量的VPN信息，影响PE性能的缺点，减少PE的压力，并提高VPN用户接入的安全性。
本发明的另一个目的是提供一种提高虚拟专用网用户安全性的系统，实现基于认证的MPLS VPN的动态绑定。
为此，本发明提供如下的技术方案一种提高虚拟专用网用户安全性的方法，所述方法包括步骤A′、禁止绑定了VPN的接口接入VPN业务；B′、对请求接入所述虚拟专用网的用户进行认证；C′、当所述认证通过后，使能所述用户对应的接口接入VPN业务。
优选地，所述步骤A′具体包括在与所述运营商设备相连的服务器上配置所述VPN信息；所述运营商设备启动后，向所述服务器发送VPN配置请求消息；所述服务器将所述VPN信息发送给所述运营商设备；所述运营商设备根据所述VPN信息禁止绑定了VPN的接口接入VPN业务。
所述步骤B′包括
B1′、所述用户向所述运营商设备发送认证请求消息；B2′、所述运营商设备将所述认证请求发送给所述服务器进行认证；B3′、所述服务器向所述运营商设备返回认证结果。
可选地，由与所述运营商设备相连的同一服务器完成对所述用户的认证过程和对所述VPN信息的配置过程；或者分别由与所述运营商设备相连的AAA服务器和VPN服务器完成对所述用户的认证过程和对所述VPN信息的配置过程。
可选地，所述方法还包括步骤当所述用户离开后，禁止所述用户对应的接口接入VPN业务。
一种提高虚拟专用网用户安全性的方法，所述方法包括步骤A、对请求接入所述虚拟专用网的用户进行认证；B、当所述认证通过后，在所述用户请求接入的运营商设备上完成该用户信息的配置。
特别地，由与所述运营商设备相连的服务器完成对所述用户的认证过程和对所述用户信息的配置过程。
优选地，所述步骤A具体包括A11、所述用户向所述运营商设备发送认证请求；A12、所述运营商设备将所述认证请求发送给所述服务器进行认证；A13、所述服务器向所述运营商设备返回认证结果。
可选地，在所述步骤A前还包括步骤在所述服务器上配置与用户有关的VPN信息。
相应地，所述步骤B具体包括B11、所述服务器将与所述用户有关的VPN信息发送给所述运营商设备；B12、所述运营商设备根据所述用户的配置信息完成所述用户的接入接口与VPN的绑定。
可选地，在所述步骤A前还包括步骤在所述服务器上配置所有VPN信息；所述运营商设备启动后，向所述服务器发送公共配置请求消息；所述服务器收到所述公共配置请求消息后，将与用户无关的VPN信息发送给所述运营商设备。
优选地，分别由与所述运营商设备相连的AAA服务器和VPN服务器完成对所述用户的认证过程和对所述用户信息的配置过程。
可选地，所述方法还包括步骤当所述用户离开后，所述运营商设备删除与该用户有关的VPN信息。
一种提高虚拟专用网用户安全性的系统，包括用户设备和与其相连的运营商设备，还包括服务器，与所述运营商设备相连，用于完成对所述用户设备的接入认证或者完成对所述用户设备的接入认证及VPN信息的配置，所述服务器在完成认证后向所述运营商设备下发VPN配置信息。
一种提高虚拟专用网用户安全性的系统，包括用户设备和与其相连的运营商设备，还包括AAA服务器，与所述运营商设备相连，用于完成对所述用户设备的接入认证；VPN服务器，与所述运营商设备相连，用于认证完成后给运营商设备配置相应的用户VPN信息。
由以上本发明提供的技术方案可以看出，在本发明中CE用户必须经过认证才能建立MPLS VPN连接，对用户的安全性有了进一步的保障。在CE用户未认证之前，不建立MPLS VPN连接，对应MPLS L3VPN(三层多协议标签交换虚拟专用网)而言，PE不需要维护没有认证的CE用户的路由，对应MPLS L2VPN(二层多协议标签交换虚拟专用网)而言，减少了VLL(虚拟租用线路)的连接数目，减少了PE的压力。通过服务器对配置信息的下刷，使PE在CE未经过认证前并不知道哪个接口为哪个CE服务，只有经过认证后，才由PE根据该用户的配置信息完成用户的接入接口同VPN的绑定，即VPN接口动态绑定，从而可以使VPN插入不同的接口，而不需要额外的配置，实现了即插即用。通过RADIUS(远程认证拨号用户业务)服务器或单独的VPN服务器对VPN相关配置信息的动态下刷，保证了配置的正确性。


图1是基于MPLS的VPN的基本结构示意图；图2是本发明系统第一实施例的拓扑图；图3是基于图2所示系统的本发明方法的第一实施例的流程图；图4是基于图2所示系统的本发明方法的第二实施例的流程图；图5是基于图2所示系统的本发明方法的第三实施例的流程图；图6是基于图2所示系统的本发明方法的第四实施例的流程图；图7是本发明系统的第二实施例的拓扑图；图8是基于图7所示系统的本发明方法的第五实施例的流程图；图9是基于图7所示系统的本发明方法的第六实施例的流程图。
具体实施例方式
本发明的核心在于在CE接入PE使用VPN资源之前，需要先通过认证。由PE将CE的认证请求发送给相应的服务器，并将服务器的认证结果返回给CE。CE认证通过后，PE根据VPN用户的配置信息完成用户的接入接口同VPN的动态绑定和相关配置。对CE的认证可以由专门的AAA服务器来完成；VPN用户的配置信息由VPN服务器保存，认证完成后下发给PE，或事先在PE上配置好。
为了使本技术领域的人员更好地理解本发明方案，下面结合附图和实施方式对本发明作进一步的详细说明。
参照图2，图2是本发明系统第一实施例的拓扑图在该实施例中，用户设备S1通过运营商设备S2接入VPN，服务器S3与运营商设备S2相连，为用户设备S1提供接入认证服务，除此之外，还可根据需要为运营商设备S2提供VPN配置服务。
可在运营商设备S2上完成所有的VPN信息的配置；也可以在服务器S3上保存与VPN用户相关的配置，当运营商设备启动后，向服务器S3申请VPN的相关配置，服务器S3将保存的VPN配置信息下发给运营商设备S2，运营商设备S2完成VPN的配置。
下面详细说明基于上述系统的VPN用户接入过程。
参照图3，图3是本发明方法的第一实施例的流程图在该实施例中，服务器上不事先保存运营商设备上与用户相关的VPN配置，这些VPN信息都在运营商设备上配置好。
步骤10在运营商设备上配置VPN信息，并禁止绑定了VPN的接口接入VPN业务；步骤11用户向运营商设备发送认证请求消息；步骤12运营商设备将认证请求并附加必要的信息，比如，设备接受认证请求报文的接口、设备标识，如LSRID等信息发送给服务器进行认证；步骤13服务器向运营商设备返回认证结果。如果认证通过，则运营商设备使能用户对应的接口接入VPN业务；否则，继续禁止用户对应的接口接入VPN业务。
参照图4，图4是本发明方法的第二实施例的流程图在该实施例中，在服务器上保存用户的在运营商设备上的配置信息，服务器不仅要完成对VPN用户的认证，还要向运营商设备提供VPN配置信息。
步骤20在服务器上配置VPN信息；步骤21运营商设备启动后，向服务器发送VPN配置请求消息；步骤22服务器将VPN信息发送给运营商设备；步骤23(图中未示出)运营商设备根据收到的VPN信息禁止绑定了VPN的接口接入VPN业务；步骤24用户向运营商设备发送认证请求消息；步骤25运营商设备将认证请求并附加必要的信息，比如，设备接受认证请求报文的接口、设备标识，如LSRID等信息发送给服务器进行认证；步骤26服务器向运营商设备返回认证结果。如果认证通过，则运营商设备使能用户对应的接口接入VPN业务；否则，继续禁止用户对应的接口接入VPN业务。
可见，利用图3或图4所示实施例，不论通过手工在运营商设备上配置与用户有关的VPN信息，还是通过服务器向运营商设备动态下刷与用户有关的VPN信息，只要在用户认证前在运营商设备上禁止绑定了VPN的接口接入VPN业务，经过认证才使能该用户对应的接口接入VPN业务，从而有效地保证了VPN用户接入的安全性。
参照图5，图5是本发明方法的第三实施例的流程图在该实施例中，服务器上事先只保存运营商设备上与用户相关的VPN信息，其他与用户无关的VPN信息都在运营商设备上配置好。这样，在用户认证前，运营商设备不需要维护没有认证的用户的路由，也不需要建立相关的VLL(虚拟专线)。
步骤30在服务器上保存与用户有关的VPN信息；步骤31用户向运营商设备发送认证请求；步骤32运营商设备将认证请求并附加必要的信息，比如，设备接受认证请求报文的接口、设备标识，如LSRID等信息发送给服务器进行认证；步骤33服务器向运营商设备返回认证结果；步骤34用户认证通过后，服务器将与该用户有关的VPN信息发送给运营商设备；步骤35(图中未示出)运营商设备根据用户的配置信息完成该用户的接入接口与VPN的绑定。
参照图6，图6是本发明方法的第四实施例的流程图在该实施例中，服务器上事先保存运营商设备上所有的VPN信息，即与用户有关的VPN信息和与用户无关的VPN信息。在运营商设备启动后，先将与用户无关的VPN信息发送给运营商设备，在用户通过认证后，再将与该用户有关的VPN信息发送给运营商设备。这样，在用户认证前，运营商设备同样不需要维护没有认证的用户的路由，也不需要建立相关的VLL(虚拟专线)。
步骤40在服务器上配置所有VPN信息；步骤41运营商设备启动后，向服务器发送公共配置请求消息；步骤42服务器收到公共配置请求消息后，将与用户无关的VPN信息发送给运营商设备；步骤43用户向运营商设备发送认证请求；步骤44运营商设备将认证请求并附加必要的信息，比如，设备接受认证请求报文的接口、设备标识，如LSRID等信息发送给服务器进行认证；步骤45服务器向运营商设备返回认证结果；步骤46用户认证通过后，服务器将与该用户有关的VPN信息发送给运营商设备；步骤47(图中未示出)运营商设备根据用户的配置信息完成该用户的接入接口与VPN的绑定。
可见，利用图5或图6所示实施例，首先对请求接入虚拟专用网的用户进行认证；认证通过后，再在用户接入的运营商设备上完成该用户信息的配置。不仅提高了VPN用户接入的安全性，而且实现了VPN接口的动态绑定，减少了运营商设备的压力。
上述实施例采用同一服务器完成对用户的认证及VPN配置信息的保存，在本发明中，也可以采用不同的服务器分别完成对用户的认证及VPN配置信息的保存。例如，通过AAA服务器对用户进行认证，VPN服务器保存VPN配置信息。
参照图7，图7是本发明系统第二实施例的拓扑图在该实施例中，用户设备S1通过运营商设备S2接入VPN，AAA服务器S4和VPN服务器S5分别与运营商设备S2相连，AAA服务器S4为用户设备S1提供接入认证服务，VPN服务器S5为运营商设备S2提供VPN配置服务。
当用户请求接入时，首先由AAA服务器S4对该用户进行认证，认证通过后，由VPN服务器将与该用户有关的VPN配置信息发送给运营商设备S2，其他与用户无关的VPN配置信息可预先手工配置在运营商设备S2上，也可以保存在VPN服务器上，在运营商设备S2启动后，下发给运营商设备S2。运营商设备S2根据收到的VPN配置信息完成用户的接入接口与VPN的动态绑定。也就是说，在用户设备S1没有认证之前，不建立MPLS VPN连接，对应于MPLS L3VPN而言，运营商设备S2不需要维护没有认证的用户设备S1用户的路由，对应于MPLS L2VPN而言，减少了VLL的连接数目，从而减少了运营商设备S2需要保存并维护大量VPN信息的压力。
下面详细说明基于上述系统的VPN用户接入过程。
参照图8，图8是本发明方法的第五实施例的流程图在该实施例中，VPN服务器上事先保存运营商设备上与用户有关的VPN信息。在用户经过AAA服务器认证后，将与该用户有关的VPN信息发送给运营商设备。这样，在用户认证前，运营商设备不需要维护没有认证的用户的路由，也不需要建立相关的VLL(虚拟专线)。
步骤50在VPN服务器上配置与用户有关的VPN信息；步骤51用户向运营商设备发送认证请求；步骤52运营商设备将认证请求并附加必要的信息，比如，设备接受认证请求报文的接口、设备标识，如LSRID等信息发送给AAA服务器进行认证；步骤53AAA服务器向运营商设备返回认证结果；步骤54认证通过后，运营商设备向VPN服务器发送用户配置请求消息；步骤55VPN服务器将与该用户有关的配置信息发送给运营商设备；步骤56(图中未示出)运营商设备根据用户的配置信息完成该用户的接入接口与VPN的绑定。
这样，该用户即可使用有关的VPN资源。
参照图9，图9是本发明方法的第六实施例的流程图在该实施例中，VPN服务器上事先保存运营商设备上所有的VPN信息，即与用户有关的VPN信息和与用户无关的VPN信息。在运营商设备启动后，先将与用户无关的VPN信息发送给运营商设备，在用户通过AAA服务器认证后，再将与该用户有关的VPN信息发送给运营商设备。这样，在用户认证前，运营商设备同样不需要维护没有认证的用户的路由，也不需要建立相关的VLL(虚拟专线)。
步骤60在VPN服务器上配置所有VPN信息；步骤61运营商设备启动后，向VPN服务器发送公共配置请求消息；步骤62VPN服务器收到公共配置请求消息后，将与用户无关的VPN信息发送给运营商设备。
步骤63用户向运营商设备发送认证请求；步骤64运营商设备将认证请求并附加必要的信息，比如，设备接受认证请求报文的接口、设备标识，如LSRID等信息发送给AAA服务器进行认证；
步骤65AAA服务器向运营商设备返回认证结果；步骤66认证通过后，运营商设备向VPN服务器发送用户配置请求消息；步骤67VPN服务器将与该用户有关的配置信息发送给运营商设备；步骤68(图中未示出)运营商设备根据用户的配置信息完成该用户的接入接口与VPN的绑定。
可见，利用图8或图9所示实施例，首先对请求接入虚拟专用网的用户进行认证；认证通过后，再在用户接入的运营商设备上完成该用户信息的配置。不仅提高了VPN用户接入的安全性，而且实现了VPN接口的动态绑定，减少了运营商设备的压力。通过VPN服务器对VPN配置信息的动态下刷，避免了配置错误。
虽然通过实施例描绘了本发明，本领域普通技术人员知道，本发明有许多变形和变化而不脱离本发明的精神，希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
权利要求
1.一种提高虚拟专用网用户安全性的方法，其特征在于，所述方法包括步骤A′、禁止绑定了VPN的接口接入VPN业务；B′、对请求接入所述虚拟专用网的用户进行认证；C′、当所述认证通过后，使能所述用户对应的接口接入VPN业务。
2.根据权利要求1所述的方法，其特征在于，所述步骤A′具体包括在与所述运营商设备相连的服务器上配置所述VPN信息；所述运营商设备启动后，向所述服务器发送VPN配置请求消息；所述服务器将所述VPN信息发送给所述运营商设备；所述运营商设备根据所述VPN信息禁止绑定了VPN的接口接入VPN业务。
3.根据权利要求2所述的方法，其特征在于，所述步骤B′包括B1′、所述用户向所述运营商设备发送认证请求消息；B2′、所述运营商设备将所述认证请求发送给所述服务器进行认证；B3′、所述服务器向所述运营商设备返回认证结果。
4.根据权利要求3所述的方法，其特征在于，由与所述运营商设备相连的同一服务器完成对所述用户的认证过程和对所述VPN信息的配置过程；或者分别由与所述运营商设备相连的AAA服务器和VPN服务器完成对所述用户的认证过程和对所述VPN信息的配置过程。
5.根据权利要求1所述的方法，其特征在于，所述方法还包括步骤当所述用户离开后，禁止所述用户对应的接口接入VPN业务。
6.一种提高虚拟专用网用户安全性的方法，其特征在于，所述方法包括步骤A、对请求接入所述虚拟专用网的用户进行认证；B、当所述认证通过后，在所述用户请求接入的运营商设备上完成该用户信息的配置。
7.根据地权利要求6所述的方法，其特征在于，由与所述运营商设备相连的服务器完成对所述用户的认证过程和对所述用户信息的配置过程。
8.根据权利要求6所述的方法，其特征在于，所述步骤A具体包括A11、所述用户向所述运营商设备发送认证请求；A12、所述运营商设备将所述认证请求发送给所述服务器进行认证；A13、所述服务器向所述运营商设备返回认证结果。
9.根据权利要求7所述的方法，其特征在于，在所述步骤A前还包括步骤在所述服务器上配置与用户有关的VPN信息。
10.根据权利要求9所述的方法，其特征在于，所述步骤B具体包括B11、所述服务器将与所述用户有关的VPN信息发送给所述运营商设备；B12、所述运营商设备根据所述用户的配置信息完成所述用户的接入接口与VPN的绑定。
11.根据权利要求7所述的方法，其特征在于，在所述步骤A前还包括步骤在所述服务器上配置所有VPN信息；所述运营商设备启动后，向所述服务器发送公共配置请求消息；所述服务器收到所述公共配置请求消息后，将与用户无关的VPN信息发送给所述运营商设备。
12.根据权利要求7所述的方法，其特征在于，分别由与所述运营商设备相连的AAA服务器和VPN服务器完成对所述用户的认证过程和对所述用户信息的配置过程。
13.根据权利要求6所述的方法，其特征在于，所述方法还包括步骤当所述用户离开后，所述运营商设备删除与该用户有关的VPN信息。
14.一种提高虚拟专用网用户安全性的系统，包括用户设备和与其相连的运营商设备，其特征在于，还包括服务器，与所述运营商设备相连，用于完成对所述用户设备的接入认证或者完成对所述用户设备的接入认证及VPN信息的配置，所述服务器在完成认证后向所述运营商设备下发VPN配置信息。
15.一种提高虚拟专用网用户安全性的系统，包括用户设备和与其相连的运营商设备，其特征在于，还包括AAA服务器，与所述运营商设备相连，用于完成对所述用户设备的接入认证；VPN服务器，与所述运营商设备相连，用于认证完成后给运营商设备配置相应的用户VPN信息。
全文摘要
本发明公开了一种提高虚拟专用网用户安全性的方法，包括禁止绑定了VPN的接口接入VPN业务；对请求接入虚拟专用网的用户进行认证；当认证通过后，使能该用户对应的接口接入VPN业务。本发明公开的另一种提高虚拟专用网用户安全性的方法，包括对请求接入虚拟专用网的用户进行认证；当认证通过后，在所述用户接入的运营商设备上完成该用户信息的配置。本发明还公开了一种提高虚拟专用网用户安全性的系统，包括用户设备、运营商设备和AAA服务器。利用本发明，可以提高虚拟专用网用户接入的安全性。
文档编号H04L9/32GK1725723SQ20051007708
公开日2006年1月25日 申请日期2005年6月15日 优先权日2005年6月15日
发明者张志飞 申请人:杭州华为三康技术有限公司