多协议标签交换网络的接入方法和装置制造方法

多协议标签交换网络的接入方法和装置制造方法
【专利摘要】本发明公开了一种多协议标签交换网络的接入方法和装置。该多协议标签交换网络的接入方法包括：获取用户移动证书中的用户身份信息；获取多协议标签交换中的标签信息；校验用户移动证书中的用户身份信息和多协议标签交换中的标签信息是否一致；如果校验出用户移动证书中的用户身份信息和多协议标签交换中的标签信息一致，则将用户接入到多协议标签交换网络中；以及如果校验出用户移动证书中的用户身份信息和多协议标签交换中的标签信息不一致，则不将用户接入到多协议标签交换网络中。通过本发明，达到了提高用户接入多协议标签交换网络安全性的效果。
【专利说明】多协议标签交换网络的接入方法和装置
【技术领域】
[0001]本发明涉及互联网领域，具体而言，涉及一种多协议标签交换网络的接入方法和装置。
【背景技术】
[0002]对于一些对安全性要求较高的网络系统，例如电子政务外网这类政务专网，需要通过部门之间的隔离保证各部门之间的安全性。同一个部门的数据业务通过一个基于多协议标签交换技术的虚拟专用网(Mult1-Protocol Label Switching VPN,简称MPLS VPN)中连接到政务专网，能够实现不同部门之间的逻辑隔离。
[0003]通过MPLS VPN技术解决了部门之间的数据业务隔离的问题，但对移动办公人员及一些现场执法人员如何保证他们通过互联网能安全接入电子政务网络目前还没有统一的标准。现有技术通常利用预共享密钥和用户身份认证方式实现移动用户接入电子政务网络，这种方式对移动用户管理非常复杂，各地实现方式差异很大，安全性也较低。
[0004]针对现有技术中用户接入多协议标签交换网络安全性较低的问题，目前尚未提出有效的解决方案。

【发明内容】

[0005]本发明的主要目的在于提供一种多协议标签交换网络的接入方法和装置，以解决现有技术中用户接入多协议标签交换网络安全性较低的问题。
[0006]为了实现上述目的，根据本发明的一个方面，提供了一种多协议标签交换网络的接入方法。根据本发明的多协议标签交换网络的接入方法包括:获取用户移动证书中的用户身份信息；获取多协议标签交换中的标签信息；校验用户移动证书中的用户身份信息和多协议标签交换中的标签信息是否一致；如果校验出用户移动证书中的用户身份信息和多协议标签交换中的标签信息一致，则将用户接入到多协议标签交换网络中；以及如果校验出用户移动证书中的用户身份信息和多协议标签交换中的标签信息不一致，则不将用户接入到多协议标签交换网络中。
[0007]进一步地，如果校验出用户移动证书中的用户身份信息和多协议标签交换中的标签信息一致，则将用户接入到多协议标签交换网络中包括:获取用户网络边缘路由器的子接口 ；获取多协议标签交换的服务提供商边缘路由器；将用户身份信息发送至用户网络边缘路由器的子接口 ；以及利用用户网络边缘路由器的子接口将用户身份信息发送到多协议标签交换的服务提供商边缘路由器上。
[0008]进一步地，获取用户网络边缘路由器的子接口包括:获取用户与用户网络边缘路由器之间的互联网工程任务组安全标准协议隧道；利用互联网工程任务组安全标准协议隧道将用户身份信息发送至用户网络边缘路由器；以及用户网络边缘路由器对用户身份信息进行打标签处理，形成用户网络边缘路由器的标签。
[0009]进一步地，将用户接入到多协议标签交换网络中包括:获取用户移动证书的数据包；获取多协议标签交换中的标签信息；解析数据包得到用户身份信息；根据用户身份信息查询与用户身份信息对应的多协议标签交换中的标签信息；根据查询得到的多协议标签交换中的标签信息确定目标地址；以及按照目标地址将用户接入到多协议标签交换网络中。
[0010]进一步地，解析数据包得到用户身份信息包括:判断数据包是因特网密钥交换协议或者封装安全载荷协议；如果数据包是因特网密钥交换协议，则解析因特网密钥交换协议以得到用户身份信息；以及如果数据包是封装安全载荷协议，则查找加密算法，以及根据加密算法解密封装安全载荷协议得到用户身份信息。
[0011]为了实现上述目的，根据本发明的另一方面，提供了一种多协议标签交换网络的接入装置。根据本发明的多协议标签交换网络的接入装置包括:第一获取单元，用于获取用户移动证书中的用户身份信息；第二获取单元，用于获取多协议标签交换中的标签信息；校验单元，用于校验用户移动证书中的用户身份信息和多协议标签交换中的标签信息是否一致；接入单元，用于在校验出用户移动证书中的用户身份信息和多协议标签交换中的标签信息一致时，将用户接入到多协议标签交换网络中，在校验出用户移动证书中的用户身份信息和多协议标签交换中的标签信息不一致时，不将用户接入到多协议标签交换网络中。
[0012]进一步地，接入单元包括:第一获取模块，用于获取用户网络边缘路由器的子接口 ；第二获取模块，用于获取多协议标签交换的服务提供商边缘路由器；第一发送模块，用于将用户身份信息发送至用户网络边缘路由器的子接口 ；以及第二发送模块，用于利用用户网络边缘路由器的子接口将用户身份信息发送到多协议标签交换的服务提供商边缘路由器上。
[0013]进一步地，第一获取模块包括:获取子模块，用于获取用户与用户网络边缘路由器之间的互联网工程任务组安全标准协议隧道；发送子模块，用于利用互联网工程任务组安全标准协议隧道将用户身份信息发送至用户网络边缘路由器；以及处理子模块，用于利用用户网络边缘路由器对用户身份信息进行打标签处理，形成用户网络边缘路由器的标签。
[0014]进一步地，接入单元包括:第三获取模块，用于获取用户移动证书的数据包；第四获取模块，用于获取多协议标签交换中的标签信息；解析模块，用于解析数据包得到用户身份信息；查询模块，用于根据用户身份信息查询与用户身份信息对应的多协议标签交换中的标签信息；确定模块，用于根据查询得到的多协议标签交换中的标签信息确定目标地址；以及接入模块，用于按照目标地址将用户接入到多协议标签交换网络中。
[0015]进一步地，解析模块包括:判断子模块，用于判断数据包是因特网密钥交换协议或者封装安全载荷协议；解析子模块，用于在数据包是因特网密钥交换协议时，解析因特网密钥交换协议以得到用户身份信息；以及解密子模块，用于在数据包是封装安全载荷协议时，查找加密算法，以及根据加密算法解密封装安全载荷协议得到用户身份信息。
[0016]通过本发明，采用获取用户移动证书中的用户身份信息，其中，所述用户身份信息为标签形式的信息；获取多协议标签交换中的标签信息；校验所述用户移动证书中的用户身份信息和所述多协议标签交换中的标签信息是否一致；如果校验出所述用户移动证书中的用户身份信息和所述多协议标签交换中的标签信息一致，则将所述用户接入到所述多协议标签交换中；以及如果校验出所述用户移动证书中的用户身份信息和所述多协议标签交换中的标签信息不一致，则不将所述用户接入到所述多协议标签交换中，无需经过第三方认证服务器认证，解决了现有技术中用户接入多协议标签交换网络安全性较低的问题，进而达到了提高用户接入多协议标签交换网络安全性的效果。
【专利附图】

【附图说明】
[0017]构成本申请的一部分的附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中:
[0018]图1是根据本发明第一实施例的多协议标签交换网络的接入方法的流程图；
[0019]图2是根据本发明第二实施例的多协议标签交换网络的接入方法的流程图；
[0020]图3是根据本发明实施例将用户接入到用户接入到多协议标签交换网络方法的流程图；
[0021]图4是根据本发明第一实施例的多协议标签交换网络的接入装置的示意图；
[0022]图5是根据本发明第二实施例的多协议标签交换网络的接入装置的示意图；以及
[0023]图6是根据本发明第三实施例的多协议标签交换网络的接入装置的示意图。
【具体实施方式】
[0024]需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
[0025]为了使本【技术领域】的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。
[0026]需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
[0027]本发明实施例提供了一种多协议标签交换网络的接入方法。
[0028]为了便于对本发明实施例的技术方案的理解，首先明确如下几个概念:
[0029]多协议标签交换(Multiprotocol Label Switching,简称MPLS)是一种用于快速数据包交换和路由的体系，它为网络数据流量提供了目标、路由、转发和交换等能力，它具有管理各种不同形式通信流的机制。MPLS独立于第二层和第三层协议，诸如ATM和IP。它提供了一种方式，将IP地址映射为简单的具有固定长度的标签，用于不同的包转发和包交换技术。
[0030]虚拟专用网络(Virtual Private Network,简称VPN)是一种在公共通信基础网络上通过逻辑方式隔离出来的网络。所谓“虚拟”指网络连接特性是逻辑的而不是物理的。在一个虚拟网内，所有用户共享相同的安全策略、优先级服务和管理策略。VPN技术可用于网关与网关之间的连接、网关与端点之间的连接、端点与端点之间的连接。
[0031]MPLS VPN是指采用MPLS技术在骨干的宽带IP网络上构建企业IP专网，实现跨地域、安全、高速、可靠的数据、语音、图像多业务通信，并结合差别服务、流量工程等相关技术，将公众网可靠的性能、良好的扩展性、丰富的功能与专用网的安全、灵活、高效结合在一起，为用户提供高质量的服务。MPLS VPN的网络采用标签交换，一个标签对应一个用户数据流，非常易于用户之间数据的隔离，利用区分服务体系可以轻易地解决困扰传统IP网络的各种问题，MPLS自身提供流量工程的能力，可以最大限度地优化配置网络资源，自动快速修复网络故障，提供高可用性和高可靠性。
[0032]服务提供商边缘设备(Provider Edge，简称PE)负责VPN业务接入，处理VPN路由。PE路由器连接用户端边缘路由器(Customer Edge，简称CE)路由器和服务提供商边缘路由器(Provider Router，简称P)，用户的流量通过CE路由器流入用户网络，或者通过P路由器流到MPLS骨干网。
[0033]CE路由器直接与服务提供商网络相连接，CE路由器通过连接一个或多个PE路由器，为用户端网络提供接入服务。CE路由器通常与连接的PE路由器建立连接关系，不参与VPN路由。
[0034]图1是根据本发明第一实施例的多协议标签交换网络的接入方法的流程图。如图所示，该方法包括如下步骤:
[0035]步骤S101，获取用户移动证书中的用户身份信息。
[0036]用户移动证书是一种硬件设备，通常情况下，用户移动证书可以存储用户的私钥、公钥和数字证书，可以利用公钥算法对用户身份进行认证。本发明实施例中的用户移动证书还存储了用户的身份信息，包括用户名称、用户所在部门和用户电话等信息。对于电子政务外网这类需要不同政务部门业务隔离的网络体系，需要通过用户移动证书使得移动办公人员接入到所在部门的多协议标签交换网络中，从而实现移动用户接入多协议标签交换网络。
[0037]通过用户网络边缘路由器可以将用户身份信息转换为标签形式作为用户网络边缘路由器的逻辑子接口，从而与使得用户通过互联网与多协议标签交换连接。
[0038]步骤S102，获取多协议标签交换中的标签信息。
[0039]多协议标签交换中的标签信息与用户网络边缘路由器的逻辑子接口一一对应，每个标签信息表示一个部门的VPN，在用户网络边缘路由器上配置用户身份信息与多协议标签交换中的标签信息的对应关系，比如部门I=MPLS标签A，部门2=MPLS标签B等，再比如分机号1234=MPLS标签A，分机号4567=MPLS标签B等。在用户网络边缘路由器上配置用户身份信息中的一种或者多种身份信息，配置MPLS标签信息为例如MPLS标签A，MPLS标签B等。利用MPLS的标签信息可以将用户连入到该用户所在部门的网络中。
[0040]步骤S103，校验用户移动证书中的用户身份信息和多协议标签交换中的标签信息是否一致。正如步骤SlOl中所说，用户移动证书中的用户身份信息包括用户名称、用户所在部门和用户电话等信息，可以通过校验用户身份信息中的一种或者多种进行用户身份的校验。
[0041]具体地，校验部门与MPLS标签的关系，如果用户移动证书的用户身份信息为部门1，则将部门I与MPLS标签进行校验，判断部门I对应的MPLS的标签，如果在MPLS标签信息存在与部门I对应的MPLS标签，则确定该用户可以接入MPLS中。例如，在MPLS标签信息查询到部门I=MPLS标签A，则确定该用户可以接入到MPLS中。
[0042]如果在MPLS标签信息中还配置了 MPLS标签与服务提供商边缘路由器的对应关系，则在确定该用户可以接入部门I的网络中之后，还可以确定用户可以从对应的服务提供商边缘路由器发送数据。
[0043]步骤S104，如果校验出用户移动证书中的用户身份信息和多协议标签交换中的标签信息一致，则将用户接入到多协议标签交换中。
[0044]例如，用户移动证书中的用户身份信息为部门1，多协议标签交换中的标签信息中为部门I=MPLS标签A，则将用户通过MPLS标签A对应的服务提供商边缘路由器接入到部门I所在的网络中。
[0045]步骤S105，如果校验出用户移动证书中的用户身份信息和多协议标签交换中的标签信息不一致，则不将用户接入到多协议标签交换中。
[0046]例如，用户移动证书中的用户身份信息为部门1，多协议标签交换中的标签信息中未找到部门I的相关信息，则该用户无法接入MPLS隧道，进而无法接入到部门I所在的网络中；如果用户移动证书中没有查询到用户身份信息，则该用户也无法接入到MPLS隧道中。
[0047]本发明实施例通过验证用户移动证书中的用户身份信息，并利用用户身份信息与多协议标签进行校验，在用户通过校验时将该用户接入到多协议标签交换中的方法，可以提高移动用户接入多协议标签交换中的安全性，并且，由于用户信息与MPLS标签信息相对应，方便了对移动用户的统一管理。
[0048]图2是根据本发明第二实施例的多协议标签交换网络的接入方法的流程图。如图所示，该方法包括如下步骤:
[0049]步骤S201，获取用户网络边缘路由器的子接口。用户网络边缘路由器的子接口是逻辑接口，不是物理接口。子接口的个数可以根据移动办公人员的个数进行配置，例如，移动办公人员有两名，在用户网络边缘路由器配置两个子接口，用户网络边缘路由器可以根据用户的数量自动配置子接口。
[0050]步骤S202，获取多协议标签交换的服务提供商边缘路由器。
[0051]服务提供商边缘路由器与用户网络边缘路由器直接相连，如果用户网络边缘路由器有多个子接口，则用户网络边缘路由器的多个子接口分别于服务提供商边缘路由器相连接。
[0052]步骤S203，将用户身份信息发送至用户网络边缘路由器的子接口。用户网络边缘路由器获取用户身份信息，根据用户身份信息将用户分配至不同的用户网络边缘路由器的子接口中。需要说明的是，这里的用户网络边缘路由器的子接口是逻辑子接口，并非物理接口，用户网络边缘路由器可以根据多个用户身份信息划分多个逻辑子接口，多个用户分别通过不同的用户网络边缘路由器的子接口进行网络连接，不同部门的用户连接至不同的用户网络边缘路由器的子接口中，从而实现不同部门用户的隔离，提高了用户接入MPLS的安全性。
[0053]步骤S204，利用用户网络边缘路由器的子接口将用户身份信息发送到多协议标签交换的服务提供商边缘路由器上。
[0054]一个用户网络边缘路由器的子接口对应一个用户身份信息，每个用户通过一个用户网络边缘路由器的子接口将用户身份信息发送至服务提供商边缘路由器，服务提供商边缘路由器将通过用户网络边缘路由器发送的用户连接封装到MPLS隧道中，从而将移动用户接入到MPLS隧道。
[0055]本发明实施例通过用户网络边缘路由器解析用户证书以获得用户的身份信息，以及利用用户网络边缘路由器为每个用户分配传输业务数据的子接口的方法，避免了额外增加认证服务器验证用户身份及分配传输业务的接口，简化了连接逻辑，便于网络维护以及用户的统一管理，进而提高了用户接入多协议标签交换网络安全性。
[0056]进一步地，获取用户网络边缘路由器的标签包括:获取用户与用户网络边缘路由器之间的互联网工程任务组安全标准协议隧道，利用互联网工程任务组安全标准协议隧道将用户身份信息发送至用户网络边缘路由器，以及用户网络边缘路由器对用户身份信息进行打标签处理，形成用户网络边缘路由器的标签。
[0057]互联网工程任务组安全标准协议隧道提供所有在网络层上的数据保护，为接入的两端提供透明的安全通信。利用互联网工程任务组安全标准协议隧道将用户身份信息发送至用户网络边缘路由器，用户网络边缘路由器对用户身份信息进行打标签处理，即为用户配置用户网络边缘路由器子接口。对用户身份信息进行打标签处理的规则与配置MPLS的标签的规则相同，可以直接针对用户身份信息将不同用户打标签为部门I或者部门2等，标签的形式可以为对用户身份信息进行数据处理后得到的数值、数值组或者编码等，应该知晓的是，对用户身份信息进行打标签处理，以及对MPLS的标签进行配置的过程，都是为了通过校验用户身份将用户接入到相应的MPLS网络中，以提高MPLS网络的安全性。
[0058]图3是根据本发明实施例将用户接入到用户接入到多协议标签交换网络方法的流程图。如图所示，该方法包括如下步骤:
[0059]步骤S301，获取用户移动证书的数据包。用户移动证书中存储了用户的身份信息、密钥等信息，这些信息在用户移动证书中以数据包的形成存储，在获取用户身份信息之前，获取用户移动证书的数据包。
[0060]步骤S302，获取多协议标签交换中的标签信息。多协议标签交换中的标签信息中的每个标签信息表示一个部门的VPN，多协议标签交换中的标签信息还包括用户身份信息与多协议标签交换中的标签信息的对应关系，获取在用户网络边缘路由器上配置的上述对应关系，比如部门I=MPLS标签A，部门2=MPLS标签B等。
[0061]步骤S303，解析数据包得到用户身份信息。解析数据包获得用户的身份信息，例如，解析用户移动证书数据包得到用户身份信息为部门I。
[0062]步骤S304，根据用户身份信息查询与用户身份信息对应的多协议标签交换中的标
签信息。
[0063]由于多协议标签交换中的标签信息与用户身份信息相对应，如部门I=MPLS标签A，部门2=MPLS标签B等，因此，根据用户身份信息部门I查询到对应的多协议标签交换中的标签信息为MPLS标签A,查询的范围包括获取得到的多协议标签交换中的标签信息。
[0064]步骤S305，根据查询得到的多协议标签交换中的标签信息确定目标地址。每个多协议标签交换中的标签信息都对应一个目标地址，每个用户身份信息又对应一个多协议标签交换中的标签信息，通过标签信息能够查找到对应的目标地址，从而确定用户需要连接的部门网络。
[0065]步骤S306，按照目标地址将用户接入到多协议标签交换网络中。通过用户身份信息确定多协议标签交换中的标签信息，然后确定目标地址，将用户连接至目标地址。
[0066]通过用户网络边缘路由器获取用户身份信息，并在用户网络边缘路由器配置用户身份信息与MPLS的标签信息的对应关系，完成用户身份信息与MPLS的标签信息的校验之后，将用户连接至服务提供商边缘路由器，通过服务提供商边缘路由器将用户连接至相应的网络中，用这种方法实现移动用户安全接入MPLS网络。
[0067]进一步地，解析数据包得到用户身份信息包括如下步骤:
[0068]步骤S3031，判断数据包是因特网密钥交换协议或者封装安全载荷协议。因特网密钥交换协议(Internet Key Exchange,简称IKE)是一份符合因特网协议安全标准的协议，常用来确保虚拟专用网络VPN与远端网络或者宿主机进行交流时的安全。
[0069]按照封装安全载荷协议可以封装原始数据，并利用因特网密钥交换协议生成的密钥对封装后的原始数据进行加密，从而提高数据安全性。
[0070]步骤S3032，如果数据包是因特网密钥交换协议，则解析因特网密钥交换协议以得到用户身份信息。获取到的数据包为因特网密钥交换协议之后，将因特网密钥交换协议中获取用户移动证书，并解析得到用户身份信息，用因特网密钥交换协议传输用户身份信息能够保护用户身份信息的安全性。
[0071]步骤S3033，如果数据包是封装安全载荷协议，则查找加密算法，以及根据加密算法解密封装安全载荷协议得到用户身份信息。获取到的数据包为封装安全载荷协议之后，查找加密算法，查找到的加密算法可以为安全联盟。安全联盟是两个通信实体经协商建立起来的一种协定，它描述了实体如何利用安全服务来进行安全的通信。安全联盟包括了执行各种网络安全服务所需要的所有信息，例如IP层服务(如头认证和载荷封装)、传输层和应用层服务或者协商通信的自我保护。
[0072]在查找到加密算法之后，根据查找到的加密算法对封装安全载荷协议进行解密，从而得到用户身份信息。
[0073]本发明实施例还提供了 一种多协议标签交换网络的接入装置。
[0074]本发明实施例的多协议标签交换网络的接入方法可以通过本发明实施例所提供的多协议标签交换网络的接入装置来执行，本发明实施例的多协议标签交换网络的接入装置也可以用于执行本发明实施例所提供的多协议标签交换网络的接入方法。
[0075]图4是根据本发明第一实施例的多协议标签交换网络的接入装置的示意图。如图所示，该多协议标签交换网络的接入装置包括第一获取单元10、第二获取单元20、校验单元30和接入单元40。
[0076]第一获取单元10用于获取用户移动证书中的用户身份信息。
[0077]用户移动证书是一种硬件设备，通常情况下，用户移动证书可以存储用户的私钥、公钥和数字证书，可以利用公钥算法对用户身份进行认证。本发明实施例中的用户移动证书还存储了用户的身份信息，包括用户名称、用户所在部门和用户电话等信息。对于电子政务外网这类需要不同政务部门业务隔离的网络体系，需要通过用户移动证书使得移动办公人员接入到所在部门的多协议标签交换网络中，从而实现移动用户接入多协议标签交换网络。
[0078]通过用户网络边缘路由器可以将用户身份信息转换为标签形式作为用户网络边缘路由器的逻辑子接口，从而与使得用户通过互联网与多协议标签交换连接。
[0079]第二获取单元20用于获取多协议标签交换中的标签信息。
[0080]多协议标签交换中的标签信息与用户网络边缘路由器的逻辑子接口一一对应，每个标签信息表示一个部门的VPN，在用户网络边缘路由器上配置用户身份信息与多协议标签交换中的标签信息的对应关系，比如部门I=MPLS标签A，部门2=MPLS标签B等，再比如分机号1234=MPLS标签A，分机号4567=MPLS标签B等。在用户网络边缘路由器上配置用户身份信息中的一种或者多种身份信息，配置MPLS标签信息为例如MPLS标签A，MPLS标签B等。利用MPLS的标签信息可以将用户连入到该用户所在部门的网络中。
[0081]校验单元30用于校验用户移动证书中的用户身份信息和多协议标签交换中的标签信息是否一致。用户移动证书中的用户身份信息包括用户名称、用户所在部门和用户电话等信息，可以通过校验用户身份信息中的一种或者多种进行用户身份的校验。
[0082]具体地，校验部门与MPLS标签的关系，如果用户移动证书的用户身份信息为部门1，则将部门I与MPLS标签进行校验，判断部门I对应的MPLS的标签，如果在MPLS标签信息存在与部门I对应的MPLS标签，则确定该用户可以接入MPLS中。例如，在MPLS标签信息查询到部门I=MPLS标签A，则确定该用户可以接入到MPLS中。
[0083]如果在MPLS标签信息中还配置了 MPLS标签与服务提供商边缘路由器的对应关系，则在确定该用户可以接入部门I的网络中之后，还可以确定用户可以从对应的服务提供商边缘路由器发送数据。
[0084]接入单元40用于在校验出用户移动证书中的用户身份信息和多协议标签交换中的标签信息一致时，将用户接入到多协议标签交换网络中，在校验出用户移动证书中的用户身份信息和多协议标签交换中的标签信息不一致时，不将用户接入到多协议标签交换网络中。
[0085]例如，用户移动证书中的用户身份信息为部门1，多协议标签交换中的标签信息中为部门I=MPLS标签A，则将用户通过MPLS标签A对应的服务提供商边缘路由器接入到部门I所在的网络中。
[0086]例如，用户移动证书中的用户身份信息为部门1，多协议标签交换中的标签信息中未找到部门I的相关信息，则该用户无法接入MPLS隧道，进而无法接入到部门I所在的网络中；如果用户移动证书中没有查询到用户身份信息，则该用户也无法接入到MPLS隧道中。
[0087]本发明实施例通过验证用户移动证书中的用户身份信息，并利用用户身份信息与多协议标签进行校验，在用户通过校验时将该用户接入到多协议标签交换中的装置，可以提高移动用户接入多协议标签交换中的安全性，并且，由于用户信息与MPLS标签信息相对应，方便了对移动用户的统一管理。
[0088]图5是根据本发明第二实施例的多协议标签交换网络的接入装置的示意图。如图所示，该第一获取单元10、第二获取单元20、校验单元30和接入单元40，接入单元40还包括第一获取模块401、第二获取模块402、第一发送模块403和第二发送模块404。
[0089]第一获取模块401用于获取用户网络边缘路由器的子接口。用户网络边缘路由器的子接口是逻辑接口，不是物理接口。子接口的个数可以根据移动办公人员的个数进行配置，例如，移动办公人员有两名，在用户网络边缘路由器配置两个子接口，用户网络边缘路由器可以根据用户的数量自动配置子接口。
[0090]第二获取模块402用于获取多协议标签交换的服务提供商边缘路由器。服务提供商边缘路由器与用户网络边缘路由器直接相连，如果用户网络边缘路由器有多个子接口，则用户网络边缘路由器的多个子接口分别于服务提供商边缘路由器相连接。
[0091]第一发送模块403用于将用户身份信息发送至用户网络边缘路由器的子接口。用户网络边缘路由器获取用户身份信息，根据用户身份信息将用户分配至不同的用户网络边缘路由器的子接口中。需要说明的是，这里的用户网络边缘路由器的子接口是逻辑子接口，并非物理接口，用户网络边缘路由器可以根据多个用户身份信息划分多个逻辑子接口，多个用户分别通过不同的用户网络边缘路由器的子接口进行网络连接，不同部门的用户连接至不同的用户网络边缘路由器的子接口中，从而实现不同部门用户的隔离，提高了用户接AMPLS的安全性。
[0092]第二发送模块404用于利用用户网络边缘路由器的子接口将用户身份信息发送到多协议标签交换的服务提供商边缘路由器上。一个用户网络边缘路由器的子接口对应一个用户身份信息，每个用户通过一个用户网络边缘路由器的子接口将用户身份信息发送至服务提供商边缘路由器，服务提供商边缘路由器将通过用户网络边缘路由器发送的用户连接封装到MPLS隧道中，从而将移动用户接入到MPLS隧道。
[0093]本发明实施例通过用户网络边缘路由器解析用户证书以获得用户的身份信息，以及利用用户网络边缘路由器为每个用户分配传输业务数据的子接口的方法，避免了额外增加认证服务器验证用户身份及分配传输业务的接口，简化了连接逻辑，便于网络维护以及用户的统一管理，进而提高了用户接入多协议标签交换网络安全性。
[0094]进一步地，第一获取模块包括:获取子模块，用于获取用户与用户网络边缘路由器之间的互联网工程任务组安全标准协议隧道；发送子模块，用于利用互联网工程任务组安全标准协议隧道将用户身份信息发送至用户网络边缘路由器；以及处理子模块，用于利用用户网络边缘路由器对用户身份信息进行打标签处理，形成用户网络边缘路由器的标签。
[0095]互联网工程任务组安全标准协议隧道提供所有在网络层上的数据保护，为接入的两端提供透明的安全通信。利用互联网工程任务组安全标准协议隧道将用户身份信息发送至用户网络边缘路由器，用户网络边缘路由器对用户身份信息进行打标签处理，即为用户配置用户网络边缘路由器子接口。对用户身份信息进行打标签处理的规则与配置MPLS的标签的规则相同，可以直接针对用户身份信息将不同用户打标签为部门I或者部门2等，标签的形式可以为对用户身份信息进行数据处理后得到的数值、数值组或者编码等，应该知晓的是，对用户身份信息进行打标签处理，以及对MPLS的标签进行配置的过程，都是为了通过校验用户身份将用户接入到相应的MPLS网络中，以提高MPLS网络的安全性。
[0096]图6是根据本发明第三实施例的多协议标签交换网络的接入装置的示意图。如图所示，该第一获取单元10、第二获取单元20、校验单元30和接入单元40，接入单元40还包括第三获取模块411、第四获取模块412、解析模块413、查询模块414、确定模块415和接入模块416。
[0097]第三获取模块411用于获取用户移动证书的数据包。用户移动证书中存储了用户的身份信息、密钥等信息，这些信息在用户移动证书中以数据包的形成存储，在获取用户身份信息之前，获取用户移动证书的数据包。
[0098]第四获取模块412用于获取多协议标签交换中的标签信息。多协议标签交换中的标签信息中的每个标签信息表示一个部门的VPN，多协议标签交换中的标签信息还包括用户身份信息与多协议标签交换中的标签信息的对应关系，获取在用户网络边缘路由器上配置的上述对应关系，比如部门I=MPLS标签A，部门2=MPLS标签B等。
[0099]解析模块413用于解析数据包得到用户身份信息。解析数据包获得用户的身份信息，例如，解析用户移动证书数据包得到用户身份信息为部门I。
[0100]查询模块414用于根据用户身份信息查询与用户身份信息对应的多协议标签交换中的标签信息。由于多协议标签交换中的标签信息与用户身份信息相对应，如部门I=MPLS标签A，部门2=MPLS标签B等，因此，根据用户身份信息部门I查询到对应的多协议标签交换中的标签信息为MPLS标签A,查询的范围包括获取得到的多协议标签交换中的标
签信息。
[0101]确定模块415用于根据查询得到的多协议标签交换中的标签信息确定目标地址。每个多协议标签交换中的标签信息都对应一个目标地址，每个用户身份信息又对应一个多协议标签交换中的标签信息，通过标签信息能够查找到对应的目标地址，从而确定用户需要连接的部门网络。
[0102]接入模块416用于按照目标地址将用户接入到多协议标签交换网络中。通过用户身份信息确定多协议标签交换中的标签信息，然后确定目标地址，将用户连接至目标地址。
[0103]通过用户网络边缘路由器获取用户身份信息，并在用户网络边缘路由器配置用户身份信息与MPLS的标签信息的对应关系，完成用户身份信息与MPLS的标签信息的校验之后，将用户连接至服务提供商边缘路由器，通过服务提供商边缘路由器将用户连接至相应的网络中，用这种方法实现移动用户安全接入MPLS网络。
[0104]进一步地，解析模块包括判断子模块、解析子模块和解密子模块。
[0105]判断子模块用于判断数据包是因特网密钥交换协议或者封装安全载荷协议。因特网密钥交换协议(Internet Key Exchange,简称IKE)是一份符合因特网协议安全标准的协议，常用来确保虚拟专用网络VPN与远端网络或者宿主机进行交流时的安全。
[0106]按照封装安全载荷协议可以封装原始数据，并利用因特网密钥交换协议生成的密钥对封装后的原始数据进行加密，从而提高数据安全性。
[0107]解析子模块用于在数据包是因特网密钥交换协议时，解析因特网密钥交换协议以得到用户身份信息。获取到的数据包为因特网密钥交换协议之后，将因特网密钥交换协议中获取用户移动证书，并解析得到用户身份信息，用因特网密钥交换协议传输用户身份信息能够保护用户身份信息的安全性。
[0108]解密子模块用于在数据包是封装安全载荷协议时，查找加密算法，以及根据加密算法解密封装安全载荷协议得到用户身份信息。获取到的数据包为封装安全载荷协议之后，查找加密算法，查找到的加密算法可以为安全联盟。安全联盟是两个通信实体经协商建立起来的一种协定，它描述了实体如何利用安全服务来进行安全的通信。安全联盟包括了执行各种网络安全服务所需要的所有信息，例如IP层服务(如头认证和载荷封装)、传输层和应用层服务或者协商通信的自我保护。[0109]在查找到加密算法之后，根据查找到的加密算法对封装安全载荷协议进行解密，从而得到用户身份信息。
[0110]本发明实施例还提供了一种计算机存储介质。该计算机存储介质可存储有程序，该程序用于执行上述的多协议标签交换网络的接入方法中的部分或全部步骤。
[0111]需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为依据本发明，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本发明所必须的。
[0112]在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。
[0113]在本申请所提供的几个实施例中，应该理解到，所揭露的装置，可通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性或其它的形式。
[0114]所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0115]另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
[0116]所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM, Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
[0117]以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。
【权利要求】
1.一种多协议标签交换网络的接入方法，其特征在于，包括: 获取用户移动证书中的用户身份信息； 获取多协议标签交换中的标签信息； 校验所述用户移动证书中的用户身份信息和所述多协议标签交换中的标签信息是否一致； 如果校验出所述用户移动证书中的用户身份信息和所述多协议标签交换中的标签信息一致，则将所述用户接入到所述多协议标签交换网络中；以及 如果校验出所述用户移动证书中的用户身份信息和所述多协议标签交换中的标签信息不一致，则不将所述用户接入到所述多协议标签交换网络中。
2.根据权利要求1所述的接入方法，其特征在于，如果校验出所述用户移动证书中的用户身份信息和所述多协议标签交换中的标签信息一致，则将所述用户接入到所述多协议标签交换网络中包括: 获取用户网络边缘路由器的子接口； 获取所述多协议标签交换的服务提供商边缘路由器； 将所述用户身份信息发送至所述用户网络边缘路由器的子接口 ；以及利用所述用户网络边缘路由器的子接口将所述用户身份信息发送到所述多协议标签交换的服务提供商边缘路由器上。
3.根据权利要求2所述的接入方法，其特征在于，获取用户网络边缘路由器的子接口包括:` 获取所述用户与所述用户网络边缘路由器之间的互联网工程任务组安全标准协议隧道； 利用所述互联网工程任务组安全标准协议隧道将所述用户身份信息发送至所述用户网络边缘路由器；以及 所述用户网络边缘路由器对所述用户身份信息进行打标签处理，形成所述用户网络边缘路由器的标签。
4.根据权利要求1所述的接入方法，其特征在于，将所述用户接入到所述多协议标签交换网络中包括: 获取所述用户移动证书的数据包； 获取所述多协议标签交换中的标签信息； 解析所述数据包得到所述用户身份信息； 根据所述用户身份信息查询与所述用户身份信息对应的所述多协议标签交换中的标签信息； 根据查询得到的所述多协议标签交换中的标签信息确定目标地址；以及 按照所述目标地址将所述用户接入到所述多协议标签交换网络中。
5.根据权利要求4所述的接入方法，其特征在于，解析所述数据包得到所述用户身份信息包括: 判断所述数据包是因特网密钥交换协议或者封装安全载荷协议； 如果所述数据包是所述因特网密钥交换协议，则解析所述因特网密钥交换协议以得到所述用户身份信息；以及如果所述数据包是封装安全载荷协议，则查找加密算法，以及根据所述加密算法解密所述封装安全载荷协议得到所述用户身份信息。
6.一种多协议标签交换网络的接入装置，其特征在于，包括: 第一获取单元，用于获取用户移动证书中的用户身份信息； 第二获取单元，用于获取多协议标签交换中的标签信息； 校验单元，用于校验所述用户移动证书中的用户身份信息和所述多协议标签交换中的标签信息是否一致； 接入单元，用于在校验出所述用户移动证书中的用户身份信息和所述多协议标签交换中的标签信息一致时，将所述用户接入到所述多协议标签交换网络中，在校验出所述用户移动证书中的用户身份信息和所述多协议标签交换中的标签信息不一致时，不将所述用户接入到所述多协议标签交换网络中。
7.根据权利要求6所述的接入装置，其特征在于，所述接入单元包括: 第一获取模块，用于获取用户网络边缘路由器的子接口 ； 第二获取模块，用于获取所述多协议标签交换的服务提供商边缘路由器； 第一发送模块，用于将所述用户身份信息发送至所述用户网络边缘路由器的子接口 ；以及 第二发送模块，用于利用所述用户网络边缘路由器的子接口将所述用户身份信息发送到所述多协议标签交换的服务提供商边缘路由器上。
8.根据权利要求7所述的接入装置，其特征在于，所述第一获取模块包括: 获取子模块，用于获取所述用户与所述用户网络边缘路由器之间的互联网工程任务组安全标准协议隧道； 发送子模块，用于利用所述互联网工程任务组安全标准协议隧道将所述用户身份信息发送至所述用户网络边缘路由器；以及 处理子模块，用于利用所述用户网络边缘路由器对所述用户身份信息进行打标签处理，形成所述用户网络边缘路由器的标签。
9.根据权利要求6所述的接入装置，其特征在于，所述接入单元包括: 第三获取模块，用于获取所述用户移动证书的数据包； 第四获取模块，用于获取所述多协议标签交换中的标签信息； 解析模块，用于解析所述数据包得到所述用户身份信息； 查询模块，用于根据所述用户身份信息查询与所述用户身份信息对应的所述多协议标签交换中的标签信息； 确定模块，用于根据查询得到的所述多协议标签交换中的标签信息确定目标地址；以及 接入模块，用于按照所述目标地址将所述用户接入到所述多协议标签交换网络中。
10.根据权利要求9所述的接入装置，其特征在于，所述解析模块包括: 判断子模块，用于判断所述数据包是因特网密钥交换协议或者封装安全载荷协议；解析子模块，用于在所述数据包是所述因特网密钥交换协议时，解析所述因特网密钥交换协议以得到所述用户身份信息；以及 解密子模块，用于在所述数据包是封装安全载荷协议时，查找加密算法，以及根据所述加密算法解密所述封装安全载荷协议得到所述用户身份信息。
【文档编号】H04L12/46GK103618603SQ201310603856
【公开日】2014年3月5日 申请日期:2013年11月25日 优先权日:2013年11月25日
【发明者】任献永, 刘洪亮, 王斌 申请人:网神信息技术（北京）股份有限公司, 网神科技（北京）有限公司