无线vpdn网络用户访问特定公网站点的控制装置和方法
【技术领域】
[0001 ] 本发明涉及一种无线VPDN(Virtual Private Dial-up Network)网络用户访问特定公网站点的控制装置和方法,确切地说,涉及一种在使用无线VPDN方式接入企业内部网络时,用户可以在受管控的条件下,能够并且只能使用特定公网站点的云应用服务(包括地图服务、天气服务、支付服务、即时通信服务等),将无线VPDN网络与公共互联网云应用服务连接起来的控制装置和控制方法;属于移动互联网络的技术领域。
【背景技术】
[0002]随着企业客户的信息化水平不断地提高,对网络的依赖越来越大,远程接入企业内部网络的需求也越来越迫切。相对于传统电信业务,无线虚拟专用拨号网络VPDN(Virtual Private Dial-up Network)业务以其访问灵活、快速、安全、方便的特点,为企业提高了工作效率,节省了开支,受到了越来越多企业的认可。
[0003]VPDN是一种VPN业务,是基于拨号用户的虚拟专用拨号网业务。它是利用IP网络的承载能力、GRE/L2TP隧道技术、RADIUS(Remote Authenticat1n Dial In User Service)协议等技术,并结合相应的认证和授权机制,为企业实现建立在公共网络上的认证、授权和计费一体化的、安全的虚拟专网。近年来,随着Internet的发展,VPDN作为一种迅速发展的新技术,已经广泛应用于跨地域集团企业的内部网、专业信息服务提供商专用网、金融大众业务网、银行存取业务网等多种业务;并且成为企业驻外机构和出差人员能够从远程经由公共网络,通过虚拟隧道实现和企业总部之间的网络连接,而公共网络上其它用户则无法穿过虚拟隧道访问企业网内部的资源。
[0004]VPDN的具体实现是采用隧道技术,即将企业网的数据封装在隧道中进行传输。隧道技术的基本过程是在源局域网与公网的接口处将数据作为负载封装在一种可以在公网上传输的数据格式中,再在目的局域网与公网的接口处将数据解封装,取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。要使数据顺利地被封装、传送及解封装,通信协议是保证的核心。
[0005]参见图1,介绍一种典型的VPDN组网示意图:如图1所示,VPDN用户只能访问企业内部网络,而不能连接到公网。但是,随着移动互联网络的快速发展,VPDN客户的业务也在逐步发生变化,不少VPDN客户期望在通过VPDN方式接入企业内部网络的基础上,也能够使用某些特定的公网云计算应用服务,例如地图服务、天气服务、支付服务和即时通信服务等,来为自身业务发展提供更好的支持。
[0006]众所周知,允许VPDN用户访问公网的技术本身并不困难,VPDN接入网关可以通过转发VPDN用户的公网访问请求来完成该功能,图2就是一种为VPDN用户访问公网场景的一种组网示意图。但是,核心的问题在于如何限定特定的VPDN用户只能访问特定的公网站点,仅仅依靠公网出口防火墙是很难应对这种个性化需求的。因为防火墙虽然可以做到特定IP地址到特定公网站点的访问控制。但是,由于VPDN用户接入时是动态分配的IP地址,所以公网出口防火墙无法知道接入的IP地址是属于哪个VPDN用户,也就不知道哪些公网站点是允许该用户访问的。因此仅仅通过制订防火墙规则来限定特定VPDN用户访问特定公网站点的方案仍然是不可行的。
[0007]通过以上分析可以发现,解决VPDN网络中VPDN用户受控访问特定公网站点问题的关键是要维护VPDN用户与所分配其使用的IP地址的对应关系,进而得出要访问的公网站点是否在该VPDN用户授权使用的公网范围的列表之内,从而达到允许授权范围内公网站点的合法访问通过和拒绝授权范围外的公网站点非法访问通过的目的。这才是本发明需要解决的问题及其方法的根源。
【发明内容】
[0008]有鉴于此,本发明的目的是提供一种无线VPDN网络用户访问特定公网站点的控制装置和方法,本发明的关键就是使用AAA设备中记录的VPDN用户在线IP地址来标识用户,并获取该用户授权合法访问的公网站点列表,然后根据该允许访问的公网站点列表判断该用户访问目标公网站点(包括域名和/或IP地址格式站点)的合法性。
[0009]为了达到上述目的,本发明提供了一种无线虚拟专用拨号网络VPDN(VirtualPrivate Dial-up Network)用户访问特定公网站点的控制装置,其特征在于:该装置用于在现有VPDN网络架构和不改动现行业务流程的基础上,控制用户在VPDN网络环境中只能够访问被授权的公网站点;设有VPDN接入网关接口、授权公网站点查询部件、计算机域名系统DNS(Domain Name System)域名查询部件和业务逻辑处理及维护管理部件共四个组成部件;其中:
[0010]VPDN接入网关接口,负责接收VPDN接入网关的查询请求,并将查询请求分别转发给授权公网站点查询部件和DNS域名查询部件进行查询,再把查询结果返回给VPDN接入网关;
[0011 ]授权公网站点查询部件,负责根据来自VPDN接入网关接口的查询请求,向VPDN网络的接入认证、授权、计费AAA( Authenti cat 1n ,Authorizat 1n ,Accounting)设备查询预设的授权用户访问的特定地址的公网站点列表,再把查询结果返回给VPDN接入网关接口;
[0012]DNS域名查询部件,负责根据来自VPDN接入网关接口的查询请求,向外部网络的公网DNS服务器发出查询请求,使用DNS协议查询DNS域名对应的IP地址,再把查询结果返回给VPDN接入网关接口 ;
[0013]业务逻辑处理及维护管理部件,作为该装置的控制中心,分别连接所述其他三个部件,负责业务逻辑处理过程的控制管理,并提供系统维护管控界面,用于实现对系统运行参数的实时配置、调整与运行监控。
[0014]为了达到上述目的,本发明还提供了一种采用本发明无线VPDN网络用户访问特定公网站点的控制装置的控制方法,其特征在于:所述方法包括下列操作步骤:
[0015]步骤I,用户接入VPDN网络:VPDN用户移动终端利用无线方式申请接入VPDN网络,VI3DN接入网关接收到该接入请求后,向VPDN接入AAA设备申请认证和授权;VPDN接入AAA设备根据接入网关发送来的该用户信息认证判断该用户接入请求的合法性;若认证通过,则为该VPDN用户分配IP地址,并维护该VPDN用户与IP地址之间的关联关系;若认证未通过,则结束流程;
[0016]步骤2,用户发起访问公网站点请求:VPDN接入网关接收到VPDN用户发起的访问公网站点请求时,为了判断该VPDN用户是否具备访问该公网站点的授权,向公网访问控制设备发送包括该VPDN用户的IP地址及其申请的包括IP地址和/或域名地址的该公网站点信息的访问请求;
[0017]步骤3,公网访问控制装置判断该VPDN用户的请求访问的公网站点是否合法授权,即请求访问的该公网站点是否位于该用户授权访问的公网站点列表中;如果用户希望访问的该公网站点不在该授权访问的列表内,则访问不合法,直接拒绝用户访问请求,结束流程;否则,执行步骤4,允许该VPDN用户访问该公网站点;
[0018]步骤4,公网访问控制装置通知VPDN接入网关:允许该VPDN用户访问该公网站点,并提供该公网站点的IP地址,然后VPDN接入网关给公网出口防火墙转发该VPDN用户的访问请求,允许接入该访问请求。
[0019]本发明的关键创新技术是在现有VPDN网络架构基础上,增设公网访问控制装置,该特定公网站点的访问控制装置允许用户实现对公网的访问,并且控制用户在VPDN网络环境中只能够访问被授权的公网站点。同时,本发明对现网的改动很小,也不影响现网的现有业务操作流程,具备较高的适用性和可实施性。
[0020]因为本发明在VPDN网络中有效解决了公网站点的访问控制问题,对于运营商而言,可以促进多种新业务的开展和推广,拓宽用户与营收的渠道。对于VPDN用户而言,可以灵活设定和调整允许访问的公网列表,从而能够安全使用特定的公网云计算和其他应用服务,提升具体业务的用户体验,提高用户粘性与忠诚度,具有广阔的应用空间。总之,本发明具备很好的推广应用前景。
【附图说明】
[0021]图1是VPDN网络接入与流向的示意图。
[0022 ]图2是非受控的VPDN网络接入公网访问及流向的示意图。
[0023]图3是本发明受控的VPDN网络接入公网访问的网络结构组成示意图。
[0024]图4是本发明VPDN用户访问特定公网站点的控制装置结构组成示意图。
[0025]图5是本发明VPDN用户访问受控公网站点的操作步骤流程图。
[0026]图6是图5中的步骤I用户接入VPDN网络的操作步骤时序图。
[0027]图7是图5中的步骤2用户发起访问公网站点请求的操作步骤时序图。
[0028]图8是图5中的步骤3公网站点访问控制装置判断用户是否合法的操作步骤时序图。
【具体实施方式】
[0029]为使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明作进一步的详细描述。
[0030]本发明需要在VPDN网络中增设用户访问特定公网站点的控制装置,增加公网访问控制装置后的网络结构拓扑图如图3所示。该公网访问控制装置分别与VPDN接入网关、VTON接入AAA设备和公网DNS服务器进行交互,用于在现有VPDN网络架构和不改动现行业务流程的基础上,实现识别VPDN用户的身份、获取VPDN用户访问公网的授权与否,以及获取授权访问的特定公网站点列表,从而控制用户在VPDN网络环境中只能够访问被授权的公网站点。
[0031]参见图4,介绍本发明V