一种IPSEC通信用可穿越隔离模块的通信系统的制作方法

一种ipsec通信用可穿越隔离模块的通信系统
技术领域
1.本发明属于ipsec通信领域，涉及一种穿越隔离模块的通信技术，具体是一种ipsec通信用可穿越隔离模块的通信系统。


背景技术：

2.公告号为cn106533881b的专利公开了一种ipsec隧道恢复方法、分支出口设备和ipsec？vpn系统，涉及通信领域，用于解决长udp流被中间网络设备丢弃或抑制导致ipsec隧道断开需要人工介入恢复的问题。ipsec隧道恢复方法包括：分支出口设备随机创建ipsec备用端口；分支出口设备使用ipsec默认端口作为源端口与总部出口设备进行ike协商以建立第一ipsec隧道；ike协商成功后，分支出口设备与总部设备通过第一ipsec隧道进行第一内网报文的通信；当第一内网报文的时间戳无更新时，分支出口设备触发第一dpd探测；如果第一dpd探测失败，则分支出口设备断开第一ipsec隧道，并分别使用ipsec默认端口和ipsec备用端口作为源端口与总部出口设备进行ike协商以建立第二ipsec隧道。本发明实施例应用于ipsec的vpn。
3.但是，其在实际应用时，没有一种可靠的身份核准系统，而且针对缺乏访问权限的人员，需要临时访问，或者被允许访问时，缺乏一种有效的系统来进行辅助验证；为了解决上述缺陷，现提供一种解决方案。


技术实现要素：

4.本发明的目的在于提供一种ipsec通信用可穿越隔离模块的通信系统。
5.本发明的目的可以通过以下技术方案实现：
6.一种ipsec通信用可穿越隔离模块的通信系统，包括请求模块、数据分解单元、表层验证单元、表层数据库、终层验证单元、特征库、组合单元、控制器、存储单元、显示单元、允通单元、临时请求单元和vpn子系统；
7.所述请求模块用于用户录入请求信息，请求信息包括身份信息及其对应的密钥、特征角和录时值；
8.所述请求模块用于将身份信息及其对应的密钥、特征角q和录时值l传输到数据分解单元，所述数据分解单元接收到请求模块传输的身份信息及其对应的密钥、特征角q和录时值l；
9.所述数据分解单元用于将身份信息及其对应的密钥传输到表层验证单元，所述数据分解单元用于将特征角q和录时值l传输到终层验证单元；
10.所述表层数据库内存储有身份信息对应的标准密钥；所述表层验证单元接收数据分解单元传输的身份信息及其对应的密钥，并将身份信息和密钥与表层数据库内的对应身份信息的标准密钥进行比对，当比对到一致时，产生初通信号，否则产生中断信号；
11.所述终层验证单元接收数据分解单元传输的特征角q和录时值l，并结合特征库对特征角q和录时值l进行积累分析，得到时通过信号、时错误信号、角错误信号、角通过信号
和另判信号；
12.所述终层验证单元用于将产生的时通过信号、时错误信号、角错误信号、角通过信号和另判信号传输到组合单元；
13.所述表层验证单元用于将产生的初通信号和中断信号传输到组合单元；
14.所述组合单元用于对时通过信号、时错误信号、角错误信号、角通过信号、初通信号和中断信号进行量化处理，量化处理的具体步骤为：
15.ss10：获取到初通信号和中断信号，标定出新一值h1：
16.当产生初通信号时，将新一值h1标定为1；
17.当产生中断信号时，将新一值h1标定为0；
18.ss20：当产生出时通过信号、时错误信号时，标注出新二值h2：
19.当产生时通过信号时，将新二值h2标记为1；
20.当产生时错误信号时，将新二值h2标记为0；
21.ss30：当产生出角错误信号、角通过信号时，标注出新三值；
22.当产生角通过信号时，将新三值h3标记为1；
23.当产生角错误信号时，将新三值h3标记为0；
24.ss40：根据公式计算核算值hs＝h1*(h2+h3)；
25.ss50：当hs等于零时，产生拒绝信号，否则产生允通信号；
26.所述组合单元用于将允通信号和拒绝信号传输到控制器，所述控制器在接收到组合单元传输的允通信号时将其传输到允通单元，允通单元接收控制器传输的允通信号时，自动接通请求模块与vpn子系统之间连接。
27.进一步地，所述请求模块获取特征角和录时值的方式为：
28.步骤一：利用请求模块的摄像机，获取到用户在录入身份信息及其对应的密钥时的影像信息；
29.步骤二：获取到影像信息内的用户脸部影像信息；
30.步骤三：获取到用户人脸上左耳垂的最低点，将其标记为特征点一，获取到用户下巴中线最低位置点，将该点标记为特征点二；
31.步骤四：连接特征点一和特征点二，将二者连线，得到特征线；
32.步骤五：将特征线与水平面之间的夹角标记为目标夹角；
33.步骤六：当用户从开始录入用户名到密钥结束时，持续获取目标夹角，且每间隔时间t1获取一次目标夹角，得到目标夹角组ji，i＝1...n；
34.步骤七：获取到目标夹角组的均值p，利用公式计算目标夹角组的特征角q的值，得到特征角q；
35.步骤八：获取到密钥从开始输入到结束输入的时间，将其标记为录时值l。
36.进一步地，所述积累分析的具体步骤为：
37.s010：获取到每一次接收到的特征角q，将每一次的特征角q组合形成特征角组qj，j＝1...m；
38.s020：当m小于x1时，此时产生另判信号；
39.s030：当m≥x1时，进入步骤s040的特征差值获取步骤；
40.s040：获取到qj，当qm-qm-1≥x2时，产生初疑信号，此时计算到qj的均值pq；并利用公式计算qj的稳值wq，
41.s050：当wq≥x3时，产生角错误信号，否则产生角通过信号；
42.s060：若qm-qm-1《x2，则产生角通过信号；
43.s070：获取到每一次接收到的录时值l，将每一次的录时值l组合形成录时值组lj，j＝1...m；
44.s080：当m小于x1时，不做任何处理；
45.s090：当m≥x1时，获取到最新的lm，求取lm，m＝1...m-1的均值，将其标记为前置均值，当lm与前置均值之间差值的绝对值小于等于x4时，产生时通过信号；否则产生时错误信号。
46.进一步地，所述组合单元还用于将另判信号传输到控制器，控制器在接收到另判信号时，只有通过短信验证的方式验证用户身份后，才会将对应的新三值h3标定为1，否则标定为0。
47.进一步地，所述控制器在接收到组合单元传输的允通信号时驱动显示单元显示“验证通过，正常访问”字眼。
48.进一步地，所述请求模块还用于向允通单元传输特征密令和访问时长，特征密令为权限用户给予非权限用户的零时密令；访问时长为对应特征密令的可访问时间长度；
49.所述请求模块用于将特征密令和访问时长通过允通单元传输到控制器，所述控制器用于将特征密令和访问时长传输到存储单元进行实时存储；
50.所述临时请求单元用于非权限用户发起临时请求用，所述临时请求单元用于录入临时密令，并将其传输到控制器，所述控制器接收临时请求单元传输的临时密令，并进行临时访问操作，具体操作步骤如下：
51.s01：获取到临时密令；
52.s02：将临时密令与存储单元的特征密令进行比对，在比对到一致时获取到对应特征密令的访问时长；
53.s03：允许临时请求单元借助控制器访问vpn子系统，并在开始访问时进行倒计时，倒计时时间为访问时长；
54.s04：当倒计时结束时，断开临时请求单元与vpn子系统之间的连接，并将存储单元内的该特征密令和访问时长删除。
55.本发明的有益效果：
56.本发明通过请求模块录入请求信息，请求包括身份信息及其对应的密钥、特征角和录时值；之后借助终层验证单元对特征角和录时值进行相关的数据积累，对用户的使用习惯进行分析，并根据本次请求时的具体值处理得到相应的信号；同时借助表层验证单元对用户的身份信息及其对应的密钥进行验证，并产生不同的信号；并对所有产生的信号进行量化处理，借助相应规则和算法判定本次用户访问是否合法；
57.同时通过请求模块能够录入特征密令和访问时长，使得非权限用户可借助临时请求单元借助临时密令获取得到相应的访问权限，而且其具备一次性和时限性，保证了内网的安全；本发明简单有效，且易于实用。
附图说明
58.为了便于本领域技术人员理解，下面结合附图对本发明作进一步的说明。
59.图1为本发明ipsec通信用可穿越隔离模块的通信系统的系统框图。
具体实施方式
60.如图1所示，一种ipsec通信用可穿越隔离模块的通信系统，包括请求模块、数据分解单元、表层验证单元、表层数据库、终层验证单元、特征库、组合单元、控制器、存储单元、显示单元、允通单元、临时请求单元和vpn子系统；
61.所述请求模块用于用户录入请求信息，请求信息包括身份信息及其对应的密钥、特征角和录时值；请求模块获取特征角和录时值的方式为：
62.步骤一：利用请求模块的摄像机，获取到用户在录入身份信息及其对应的密钥时的影像信息；
63.步骤二：获取到影像信息内的用户脸部影像信息；
64.步骤三：获取到用户人脸上左耳垂的最低点，将其标记为特征点一，获取到用户下巴中线最低位置点，将该点标记为特征点二；
65.步骤四：连接特征点一和特征点二，将二者连线，得到特征线；
66.步骤五：将特征线与水平面之间的夹角标记为目标夹角；
67.步骤六：当用户从开始录入用户名到密钥结束时，持续获取目标夹角，且每间隔时间t1获取一次目标夹角，得到目标夹角组ji，i＝1...n；
68.步骤七：获取到目标夹角组的均值p，利用公式计算目标夹角组的特征角q的值，得到特征角q；
69.步骤八：获取到密钥从开始输入到结束输入的时间，将其标记为录时值l；
70.所述请求模块用于将身份信息及其对应的密钥、特征角q和录时值l传输到数据分解单元，所述数据分解单元接收到请求模块传输的身份信息及其对应的密钥、特征角q和录时值l；
71.所述数据分解单元用于将身份信息及其对应的密钥传输到表层验证单元，所述数据分解单元用于将特征角q和录时值l传输到终层验证单元；
72.所述表层数据库内存储有身份信息对应的标准密钥；所述表层验证单元接收数据分解单元传输的身份信息及其对应的密钥，并将身份信息和密钥与表层数据库内的对应身份信息的标准密钥进行比对，当比对到一致时，产生初通信号，否则产生中断信号；
73.所述终层验证单元接收数据分解单元传输的特征角q和录时值l，并结合特征库对特征角q和录时值l进行积累分析，积累分析的具体步骤为：
74.s010：获取到每一次接收到的特征角q，将每一次的特征角q组合形成特征角组qj，j＝1...m；
75.s020：当m小于x1时，此时产生另判信号；
76.s030：当m≥x1时，进入步骤s040的特征差值获取步骤；
77.s040：获取到qj，当qm-qm-1≥x2时，产生初疑信号，此时计算到qj的均值pq；并利
用公式计算qj的稳值wq，
78.s050：当wq≥x3时，产生角错误信号，否则产生角通过信号；
79.s060：若qm-qm-1《x2，则产生角通过信号；
80.s070：获取到每一次接收到的录时值l，将每一次的录时值l组合形成录时值组lj，j＝1...m；
81.s080：当m小于x1时，不做任何处理；
82.s090：当m≥x1时，获取到最新的lm，求取lm，m＝1...m-1的均值，将其标记为前置均值，当lm与前置均值之间差值的绝对值小于等于x4时，产生时通过信号；否则产生时错误信号；
83.所述终层验证单元用于将产生的时通过信号、时错误信号、角错误信号、角通过信号和另判信号传输到组合单元；
84.所述表层验证单元用于将产生的初通信号和中断信号传输到组合单元；
85.所述组合单元用于对时通过信号、时错误信号、角错误信号、角通过信号、初通信号和中断信号进行量化处理，量化处理的具体步骤为：
86.ss10：获取到初通信号和中断信号，标定出新一值h1：
87.当产生初通信号时，将新一值h1标定为1；
88.当产生中断信号时，将新一值h1标定为0；
89.ss20：当产生出时通过信号、时错误信号时，标注出新二值h2：
90.当产生时通过信号时，将新二值h2标记为1；
91.当产生时错误信号时，将新二值h2标记为0；
92.ss30：当产生出角错误信号、角通过信号时，标注出新三值；
93.当产生角通过信号时，将新三值h3标记为1；
94.当产生角错误信号时，将新三值h3标记为0；
95.ss40：根据公式计算核算值hs＝h1*(h2+h3)；
96.ss50：当hs等于零时，产生拒绝信号，否则产生允通信号；
97.所述组合单元用于将允通信号和拒绝信号传输到控制器，所述控制器在接收到组合单元传输的允通信号时将其传输到允通单元，允通单元接收控制器传输的允通信号时，自动接通请求模块与vpn子系统之间连接，开始访问；vpn子系统为背景技术内公开的vpn系统，此处不做具体赘述；所述组合单元还用于将另判信号传输到控制器，控制器在接收到另判信号时，只有通过短信验证的方式验证用户身份后，才会将对应的新三值h3标定为1，否则标定为0；
98.所述控制器在接收到组合单元传输的允通信号时驱动显示单元显示“验证通过，正常访问”字眼；
99.所述请求模块还用于向允通单元传输特征密令和访问时长，特征密令为权限用户给予非权限用户的零时密令，具备一次性；访问时长为对应特征密令的可访问时间长度；
100.所述请求模块用于将特征密令和访问时长通过允通单元传输到控制器，所述控制器用于将特征密令和访问时长传输到存储单元进行实时存储；
101.所述临时请求单元用于非权限用户发起临时请求用，所述临时请求单元用于录入
临时密令，并将其传输到控制器，所述控制器接收临时请求单元传输的临时密令，并进行临时访问操作，具体操作步骤如下：
102.s01：获取到临时密令；
103.s02：将临时密令与存储单元的特征密令进行比对，在比对到一致时获取到对应特征密令的访问时长；
104.s03：允许临时请求单元借助控制器访问vpn子系统，并在开始访问时进行倒计时，倒计时时间为访问时长；
105.s04：当倒计时结束时，断开临时请求单元与vpn子系统之间的连接，并将存储单元内的该特征密令和访问时长删除。
106.一种ipsec通信用可穿越隔离模块的通信系统，在工作时，首先通过请求模块录入请求信息，请求包括身份信息及其对应的密钥、特征角和录时值；之后借助终层验证单元对特征角和录时值进行相关的数据积累，对用户的使用习惯进行分析，并根据本次请求时的具体值处理得到相应的信号；同时借助表层验证单元对用户的身份信息及其对应的密钥进行验证，并产生不同的信号；并对所有产生的信号进行量化处理，借助相应规则和算法判定本次用户访问是否合法；
107.同时通过请求模块能够录入特征密令和访问时长，使得非权限用户可借助临时请求单元借助临时密令获取得到相应的访问权限，而且其具备一次性和时限性，保证了内网的安全；本发明简单有效，且易于实用。
108.以上内容仅仅是对本发明结构所作的举例和说明，所属本技术领域的技术人员对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代，只要不偏离发明的结构或者超越本权利要求书所定义的范围，均应属于本发明的保护范围。