本发明涉及网络构建,具体来说涉及一种基于分布式加密隧道的网络系统及组网方法。
背景技术:
1、传统的虚拟专用网络(virtual private network,vpn)可以轻松使用笔记本、桌面pc、智能手机、pda等移动终端设备实现安全、便捷的远程接入内网,其能够在降低运营成本的同时大幅提高企业的生产效率,vpn解决方案在金融、运营商、能源、大中型企业等各种场景都得到了广泛应用。但是针对互联网场景下,不同的厂区、办公区、工控设备产线需要快速组建一个分布式的安全网络,并打通一个安全的隧道提供节点下的设备进行通信。而传统的vpn只支持站点到站点、端到端、端到网关的场景,无法满足多个异地厂区下的多节点之间进行全互联组网,需要转发流量,导致成本和延迟较高并且安全性较低,采用传统部署专线网络的成本也较高。
技术实现思路
1、本发明旨在解决现有多节点之间进行全互联组网方式存在成本和延迟较高以及安全性较低的问题,提出一种基于分布式加密隧道的网络系统及组网方法。
2、本发明解决上述技术问题所采用的技术方案是:
3、第一方面,提供一种基于分布式加密隧道的网络系统,包括:可信连接器管理平台和至少两个可信连接器,所述可信连接器分布设置于对应区域;
4、所述可信连接器,用于在可信连接器管理平台进行设备注册后,将资产信息上报至可信连接器管理平台,并接收可信连接器管理平台返回的组网配置信息列表;以及接收其他可信连接器发送的组网请求,向可信连接器管理平台请求验证所述组网请求,并在可信连接器管理平台验证通过后建立与对应可信连接器的加密隧道;
5、所述可信连接器管理平台,用于对可信连接器进行设备注册,并在收到可信连接器上报的资产信息后,向可信连接器返回组网配置信息列表;以及对收到的组网请求进行验证,并向对应的可信连接器返回验证结果。
6、进一步地,所述可信连接器管理平台包括身份管理服务器和设备管理服务器;
7、所述可信连接器,具体用于向身份管理服务器发送设备注册请求,所述设备注册请求中包含设备信息;在收到设备注册成功的结果后,向身份管理服务器发起token获取请求,将chisid和vp发送给身份管理服务器;以及接收身份管理服务器返回的token;
8、所述身份管理服务器,具体用于接收设备注册请求,根据分布式数字身份规则生成chisid,并将设备注册结果以及对应的chisid和vp返回给可信连接器,同时将注册信息进行本地存储;以及接收token获取请求,并根据对应的chisid和vp进行验证,验证成功后颁发token,并将token返回至对应的可信连接器。
9、进一步地,所述设备信息包括:设备sn号、mac地址、设备名称和版本号。
10、进一步地,所述可信连接器,具体用于向设备管理服务器发起状态上报请求,向设备管理服务器上报当前资产信息、南向设备ip、可信连接器ip和token;
11、所述设备管理服务器,具体用于在收到状态上报请求后,将包含token的验证请求发送至身份管理服务器;以及在收到身份管理服务器返回的验证成功的结果后保存当前资产信息;
12、所述身份管理服务器,具体用于收到包含token的验证请求后,对token进行验证,并将验证结果返回给设备管理服务器。
13、进一步地,所述可信连接器,具体还用于在至少两个可信连接器均进行设备注册后,向其他可信连接器发送组网请求,组网请求中包含设备信息、可信连接器ip和token;
14、其他可信连接器用于在收到组网请求后,将包含token的验证请求发送至身份管理服务器;以及在收到身份管理服务器返回的验证成功的结果后向发送组网请求的可信连接器返回可以组网的结果,并建立与该可信连接器的加密隧道;
15、所述身份管理服务器,具体用于在收到包含token的验证请求后,对token进行验证,并将验证结果返回给对应的可信连接器。
16、另一方面,提供一种基于分布式加密隧道的组网方法,包括以下步骤:
17、步骤1、可信连接器在可信连接器管理平台进行设备注册后,将状态信息上报至可信连接器管理平台;
18、步骤2、可信连接器管理平台在收到可信连接器上报的状态信息后,向可信连接器返回组网配置信息列表;
19、步骤3、在至少两个可信连接器在可信连接器管理平台进行设备注册后,可信连接器接收其他可信连接器发送的组网请求,向可信连接器管理平台请求验证所述组网请求;
20、步骤4、可信连接器管理平台对收到的组网请求进行验证,并将验证结果返回至可信连接器,可信连接器在验证通过后建立与对应可信连接器的加密隧道。
21、进一步地,所述可信连接器管理平台包括身份管理服务器和设备管理服务器,所述方法具体包括:
22、所述可信连接器向身份管理服务器发送设备注册请求,所述设备注册请求中包含设备信息;
23、所述身份管理服务器接收设备注册请求,根据分布式数字身份规则生成chisid,并将设备注册结果以及对应的chisid和vp返回给可信连接器,同时将注册信息进行本地存储;
24、所述可信连接器在收到设备注册成功的结果后,向身份管理服务器发起token获取请求,将chisid和vp发送给身份管理服务器;
25、所述身份管理服务器接收token获取请求,并根据对应的chisid和vp进行验证,验证成功后颁发token,并将token返回至对应的可信连接器;
26、所述可信连接器接收身份管理服务器返回的token。
27、进一步地,所述设备信息包括:设备sn号、mac地址、设备名称和版本号。
28、进一步地,所述方法具体包括:
29、所述可信连接器向设备管理服务器发起状态上报请求,向设备管理服务器上报当前资产信息、南向设备ip、可信连接器ip和token;
30、所述设备管理服务器在收到状态上报请求后,将包含token的验证请求发送至身份管理服务器;
31、所述身份管理服务器收到包含token的验证请求后,对token进行验证,并将验证结果返回给设备管理服务器;
32、所述设备管理服务器在收到身份管理服务器返回的验证成功的结果后保存当前资产信息。
33、进一步地,所述方法具体包括:
34、所述可信连接器在至少两个可信连接器均进行设备注册后,向其他可信连接器发送组网请求,组网请求中包含设备信息、可信连接器ip和token;
35、其他可信连接器用于在收到组网请求后,将包含token的验证请求发送至身份管理服务器;
36、所述身份管理服务器在收到包含token的验证请求后,对token进行验证,并将验证结果返回给对应的可信连接器。
37、其他可信连接器在收到身份管理服务器返回的验证成功的结果后向发送组网请求的可信连接器返回可以组网的结果,并建立与该可信连接器的加密隧道。
38、本发明的有益效果是:本发明所述的基于分布式加密隧道的网络系统及组网方法,通过在可信连接器搭载wireguard,并将可信连接器作为各个分布式节点上的网关装置,各可信连接器通过与可信连接器管理平台进行设备认证后,进行全互联方式组网,在各个节点间建立加密隧道,即便各个节点的距离较远,也能实现端到端的加密通信,相较于传统vpn网关而言,本发明任意两个节点之间均是直连,无需中转流量,进而降低了转发流量成本和延迟,也提高了网络安全性。