专利名称:一种虚拟专用网络结构及其认证授权方法
技术领域:
本发明涉及一种网络结构,尤其是一种虚拟专用网络结构及其认证授权方法。
背景技术:
随着网络技术的普及越来越多的企业在企业内部建立了企业网络以满足企业本地的网络应用需求,但是随着企业的发展,特别是经济全球化的浪潮,企业的网络应用已不再仅仅局限于本地,经常需要远程互联,在现有的企业网络配置方案中,要进行异地局域网之间的互连,一般的方法是租用数字数据网(DDN)专线或者采用帧中继(Frame Relay)。这样的通讯方案必然导致高昂的网络通讯/维护费用。对于移动用户(移动办公人员)与远端个人用户而言,一般通过拨号线路(Internet)进入企业的局域网,而这样必然带来安全上的隐患。
发明内容
针对现有异地局域网互联方案所存在的上述问题,本发明提供一种虚拟专用网络结构及其认证授权方法。本发明解决技术问题所采用的技术手段为:
一种虚拟专用网络结构,包括多个客户端,其中,还包括登录控制装置、认证授权装置、用户数据储存装置、接入装置和专用网络;
所述客户端与所述登录控制装置连接及所述接入装置分别连接;
所述登录控制装置及所述接入装置分别与所述认证授权装置连接;
所述用户数据储存装置包括多个独立空间,所述每个独立空间设有储存单个用户信息的空间,所述用户数据储存装置与所述认证授权装置连接;
所述接入装置与所述专用网络连接;
所述客户端向所述登录控制装置发送登录信息并向所述接入装置发出登录请求;
所述登录控制装置控制接收所述客户端发送的登录信息并传递至所述认证授权装
置;
所述认证授权装置接收所述登录控制装置传来的登录信息,并与所述用户数据储存装置中的用户信息进行比较,对符合条件的登录信息向所述接入装置发送接入许可指令,对不符合条件的登录信息向所述接入装置发出拒绝接入指令;
所述接入装置根据所述认证授权装置发送的指令,将所述客户端连接至所述专用网络或者拒绝所述客户端接入。上述虚拟专用网络结构,其中,所述专用网络分为多个区域,还包括第一防护装置,所述第一防护装置设于所述接入装置与所述专用网络之间;
所述数据储存装置中的每个所述独立空间包括储存用户权限数据的空间,所述认证授权装置读取符合条件的登录信息所对应的所述用户权限数据并发送至所述接入装置,所述接入装置根据所述认证授权装置发送的用户权限数据对所述客户端进行授权,所述第一防护装置根据所述客户端获得的授权限制所述客户端仅连接所述专用网络中与所述客户端当前获得的授权对应的区域。上述虚拟专用网络结构,其中,所述接入装置包括加密部件,所述加密部件对所述客户端与所述专用网络的连接进行加密。上述虚拟专用网络结构,其中,还包括第二防护装置,所述第二防护装置设于所述第一防护装置与所述专用网络之间,所述第二防护装置包括路由控制部件,所述路由控制部件包括储存预置路由数据的空间,所述路由控制部件根据所述预置路由数据将所述客户端连接所述专用网络内站点的目标地址转换为所述专用网络内站点的实际地址。上述虚拟专用网路结构,其中,所述第二防护装置包括端口映射部件,所述端口映射部件包括储存预置端口映射策略的空间,所述端口映射部件根据所述预置端口映射策略将所述客户端连接所述专用网络的目标端口转换成所述专用网络的实际端口。上述虚拟专用网络结构,其中,所述客户端通过有线电视网络与所述接入装置以及所述认证授权真授权装置连接。一种虚拟专用网络的认证授权方法,其中,包括如上述的虚拟专用网络结构,具体步骤如下:
步骤a、所述客户端向所述登录控制装置发送登录请求以及登录信息;
步骤b、所述登录控制装置将所述客户端发送的登录信息发送至所述认证授权装置;步骤C、所述认证授权装置读取所述用户数据储存装置内存放的用户信息进行比对,对符合条件的登录信息向所述接入装置发送接入许可指令,对不符合条件的登录信息向所述接入装置发出拒绝接入指令;
步骤d、所述接入装置根据所述认证授权装置发送的指令,将所述客户端连接至所述专用网络或者拒绝所述客户端接入。本发明的有益效果是:
局域网的各种功能均能实现,可以支持多种接入方式,成本低、开销少、灵活度高,认证授权使互联安全性提高,同时连接加密保证了传输的可靠性。
图1是本发明一种虚拟专用网络结构的结构示意 图2是本发明一种虚拟专用网络认证授权方法的流程图。
具体实施例方式下面结合附图和具体实施例对本发明作进一步说明,但不作为本发明的限定。如图1所示,本发明一种虚拟专用网络结构,包括多个客户端,其中,还包括登录控制装置、认证授权装置、用户数据储存装置、接入装置和专用网络;客户端与登录控制装置连接及接入装置分别连接;登录控制装置及接入装置分别与认证授权装置连接;用户数据储存装置包括多个独立空间,每个独立空间设有储存单个用户信息的空间,用户数据储存装置与所述认证授权装置连接;接入装置与专用网络连接;客户端向登录控制装置发送登录信息并向接入装置发出登录请求;登录控制装置控制接收客户端发送的登录信息并传递至认证授权装置;认证授权装置接收所述登录控制装置传来的登录信息,并与所述用户数据储存装置中的用户信息进行比较,对符合条件的登录信息向所述接入装置发送接入许可指令,对不符合条件的登录信息向接入装置发出拒绝接入指令;接入装置根据所述认证授权装置发送的指令,将符合条件的客户端连接至专用网络或者拒绝所述客户端接入。其中认证授权装置可以由基于远程用户拨号认证服务(RADIUS)协议的服务器形成,接入装置可以由网络接入服务器(NAS)形成,用户数据储存装置可以由安装有MySQL数据库系统的服务器形成。专用网络中包括多个站点,客户端可以通过有线电视网络与接入装置以及认证授权真授权装置连接,并通过认证授权装置的认证授权后经由接入装置与专用网络中的站点建立连接。该技术方案的优点在于,远程客户端可以通过各种连接方式与本地的局域网互联,实现局域网的各种功能,同时认证授权装置保证了互联的安全性,使本地局域网不会受到未经授权的入侵。进一步的,其中,专用网络分为多个区域,每个区域包含一个或数个站点,区域间可以重叠;还包括第一防护装置,第一防护装置设于接入装置与专用网络之间;同时数据储存装置中的每个独立空间包括储存用户权限数据的空间,认证授权装置读取符合条件的登录信息所对应的用户权限数据并发送至接入装置,接入装置根据认证授权装置发送的用户权限数据对客户端进行授权,第一防护装置根据客户端获得的授权限制客户端仅连接专用网络中与客户端当前获得的授权对应的区域。其中第一防护装置可以是应用层防火墙,应用层防火墙针对客户端获得的授权限制客户端仅能访问专用网络中对应的区域,以实现专用网络中的分级管理,进而提高专用网络的安全性。进一步的,其中,还包括第二防护装置,第二防护装置设于第一防护装置与专用网络之间,第二防护装置包括路由控制部件,路由控制部件包括储存预置路由数据的空间,路由控制部件根据所述预置路由数据将客户端连接专用网络内站点的目标地址转换为专用网络内站点的实际地址。其中第二防护装置可以是网络层防火墙,网络层防火墙的路由部件可以根据其内置的路由表将用户访问的地址转换为专用网络中的实际地址,使专用网络中个站点的实际地址得到保护,降低专用网络中个站点被入侵的风险。在上述实时方式基础上,进一步的,第二防护装置还可以包括端口映射部件,端口映射部件包括储存预置端口映射策略的空间,端口映射部件根据预置端口映射策略将客户端连接专用网络的目标端口转换成专用网络的实际端口。端口映射部件可以根据其内置的端口映射策略将用户访问的端口转换为专用网络中的实际端口,使专用网络中个实际端口得到保护,降低专用网络被入侵的风险。进一步的,还包括日志记录装置,日志记录装置与认证授权装置、接入装置以及数据储存装置分别连接,数据储存装置内包括储存认证授权日志的空间和储存接入日志的空间,日志记录装置将认证授权装置工作产生的认证授权日志储存入数据储存装置内的用于储存认证授权日志的空间,并且将接入装置工作产生的接入日志储存入数据储存装置内的用于储存接入日志的空间。储存认证授权日志和接入日志便于在专用网络出现问题或者遭受入侵时通过日志数据发现问题并解决问题。进一步的,其中,接入装置还可以包括加密部件,加密部件对客户端与专用网络的连接进行加密。通过将客户端与专用网络之间的连接加密以提高远程客户端与本地局域网之间互联的可靠性。
本发明还包括一种虚拟专用网络的认证授权方法,其中,包括如上述的虚拟专用网络结构,如图2所示,具体步骤如下:
步骤a、客户端向登录控制装置发送登录请求以及登录信息;
步骤b、登录控制装置将客户端发送的登录信息发送至认证授权装置;
步骤C、认证授权装置读取用户数据储存装置内存放的用户信息进行比对,对符合条件的登录信息向接入装置发送接入许可指令,对不符合条件的登录信息向接入装置发出拒绝接入指令;
步骤d、接入装置根据认证授权装置发送的指令,将客户端连接至专用网络或者拒绝客户端接入。以上所述仅为本发明较佳的实施例,并非因此限制本发明的申请专利范围,所以凡运用本发明说明书及图示内容所作出的等效结构变化,均包含在本发明的保护范围内。
权利要求
1.一种虚拟专用网络结构,包括多个客户端,其特征在于,还包括认证授权装置、用户数据储存装置、接入装置和专用网络; 所述客户端与所述认证授权装置及所述接入装置分别连接; 所述接入装置与所述认证授权装置连接; 所述用户数据储存装置包括多个独立空间,所述每个独立空间设有储存单个用户信息的空间,所述用户数据储存装置与所述认证授权装置连接; 所述接入装置与所述专用 网络连接; 所述客户端向所述认证授权装置发送登录信息并向所述接入装置发出登录请求; 所述认证授权装置接收所述客户端传来的登录信息,并与所述用户数据储存装置中的用户信息进行比较,对符合条件的登录信息向所述接入装置发送接入许可指令,对不符合条件的登陆信息向所述接入装置发出拒绝接入指令; 所述接入装置根据所述认证授权装置发送的指令,将所述客户端连接至所述专用网络或者拒绝所述客户端接入。
2.如权利要求1所述虚拟专用网络结构,其特征在于,所述专用网络分为多个区域,还包括第一防护装置,所述第一防护装置设于所述接入装置与所述专用网络之间; 所述数据储存装置中的每个所述独立空间包括储存用户权限数据的空间,所述认证授权装置读取符合条件的登录信息所对应的所述用户权限数据并发送至所述接入装置,所述接入装置根据所述认证授权装置发送的用户权限数据对所述客户端进行授权,所述第一防护装置根据所述客户端获得的授权限制所述客户端仅连接所述专用网络中与所述客户端当前获得的授权对应的区域。
3.如权利要求1所述虚拟专用网络结构,其特征在于,所述接入装置包括加密部件,所述加密部件对所述客户端与所述专用网络的连接进行加密。
4.如权利要求2所述虚拟专用网络结构,其特征在于,还包括第二防护装置,所述第二防护装置设于所述第一防护装置与所述专用网络之间,所述第二防护装置包括路由控制部件,所述路由控制部件包括储存预置路由数据的空间,所述路由控制部件根据所述预置路由数据将所述客户端连接所述专用网络内站点的目标地址转换为所述专用网络内站点的实际地址。
5.如权利要求4所述虚拟专用网路结构,其特征在于,所述第二防护装置包括端口映射部件,所述端口映射部件包括储存预置端口映射策略的空间,所述端口映射部件根据所述预置端口映射策略将所述客户端连接所述专用网络的目标端口转换成所述专用网络的实际端口。
6.如权利要求1-5中任一所述虚拟专用网络结构,其特征在于,所述客户端通过有线电视网络与所述接入装置以及所述认证授权真授权装置连接。
7.—种虚拟专用网络的认证授权方法,其特征在于,包括如权利要求1-6中任一所述的虚拟专用网络结构,还包括登陆控制装置,所述登陆控制装置连接于所述客户端与所述认证授权装置之间,具体步骤如下: 步骤a、所述客户端向所述登陆控制装置发送登陆请求以及登录信息; 步骤b、所述登陆控制装置将所述客户端发送的登录信息发送至所述认证授权装置; 步骤C、所述认证授权装置读取所述用户数据储存装置内存放的用户信息进行比对,对符合条件的登录信息向所述接入装置发送接入许可指令,对不符合条件的登陆信息向所述接入装置发出拒绝接入指令; 步骤d、所述接入装置根据所述认证授权装置发送的指令,将所述客户端连接至所述专用网络或者拒绝所述 客户端接入。
全文摘要
本发明公开了一种虚拟专用网络结构,包括多个客户端,其中,还包括登录控制装置、认证授权装置、用户数据储存装置、接入装置和专用网络;所述客户端与所述登录控制装置连接及所述接入装置分别连接;所述登录控制装置及所述接入装置分别与所述认证授权装置连接;所述用户数据储存装置包括多个独立空间,所述每个独立空间设有储存单个用户信息的空间,所述用户数据储存装置与所述认证授权装置连接;所述接入装置与所述专用网络连接。本发明的有益效果是局域网的各种功能均能实现,可以支持多种接入方式,成本低、开销少、灵活度高,认证授权使互联安全性提高,同时连接加密保证了传输的可靠性。
文档编号H04L29/06GK103166939SQ20111042616
公开日2013年6月19日 申请日期2011年12月19日 优先权日2011年12月19日
发明者谭伟娟 申请人:上海市闸北区信息化服务中心