專利名稱:一種基于Ipsec的權(quán)限管理方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域�,尤其涉及一種基于Ipsec的權(quán)限管理方法。
背景技術(shù):
隨著通信技術(shù)的飛速發(fā)展,VPN和Ipsec在企業(yè)內(nèi)部網(wǎng)絡(luò)中的應(yīng)用已達(dá)普 及,Ipsec的數(shù)據(jù)機(jī)密性和數(shù)據(jù)完整性便成了一個(gè)急需解決的問題�。數(shù)據(jù)機(jī)密性(Data Confidentiality)指的是當(dāng)數(shù)據(jù)在VPN的參與方之間通過IPsec VPN傳送時(shí)保持?jǐn)?shù)據(jù)的私 密性����。大多數(shù)VPN都要穿越公用互聯(lián)網(wǎng),因而數(shù)據(jù)在傳送過程中就有可能被截取或者檢查��, 在實(shí)際應(yīng)用中��,任何數(shù)據(jù)在傳送過程中都可能被檢查�����,因而互聯(lián)網(wǎng)屬于不安全的傳送媒介����。
數(shù)據(jù)完整性(Data Integrity)指的是確保數(shù)據(jù)在通過IPsec VPN進(jìn)行傳送的過 程中沒有被修改或者改變�,數(shù)據(jù)完整性本身并不是提供數(shù)據(jù)機(jī)密性。數(shù)據(jù)完整性機(jī)制通常 使用哈希(或稱為散列)算法來檢查兩端點(diǎn)間傳送的數(shù)據(jù)包中的數(shù)據(jù)是否被修改�����。如果發(fā) 現(xiàn)數(shù)據(jù)包被修改,那么就拒絕接收被修改的數(shù)據(jù)����。
數(shù)據(jù)源驗(yàn)證(Data Origin Authentication)指的是驗(yàn)證IPsec VPN的源����,該功能 特性由VPN得每個(gè)端點(diǎn)來完成,以確保與其銅線的對端的身份�����。需要注意的是��,數(shù)據(jù)源驗(yàn)證 無法單獨(dú)實(shí)現(xiàn)��,必須依賴于數(shù)據(jù)完整性服務(wù)����。
故而解決了數(shù)據(jù)源驗(yàn)證在企業(yè)內(nèi)部網(wǎng)絡(luò)中的技術(shù)瓶頸,就解決了基于Ipsec的 VPN網(wǎng)絡(luò)的數(shù)據(jù)機(jī)密性和數(shù)據(jù)完整性問題�。發(fā)明內(nèi)容
為了解決上述問題��,本發(fā)明的目的數(shù)據(jù)機(jī)密性和數(shù)據(jù)完整性問題。
本發(fā)明提出了一種基于Ipsec的權(quán)限管理方法����,包括:
第一臺交換機(jī)將一 Ipsec授權(quán)指令通過以太網(wǎng)信道發(fā)送給第二臺交換機(jī);
所述第二臺交換機(jī)接收所述授權(quán)指令;
所述第二臺交換機(jī)向驗(yàn)證服務(wù)器發(fā)出訪問請求;
所述驗(yàn)證服務(wù)器驗(yàn)證所述訪問請求���;
其中所述第一臺交換機(jī)具備對所述驗(yàn)證服務(wù)器的第一訪問權(quán)限�����,且所述訪問請求 包含所述授權(quán)指令�。
所述服務(wù)器驗(yàn)證所述訪問請求的步驟進(jìn)一步包括:
所述驗(yàn)證服務(wù)器根據(jù)所述訪問請求檢查所述授權(quán)指令的授權(quán)源;
所述驗(yàn)證服務(wù)器向所述授權(quán)源驗(yàn)證所述授權(quán)指令的權(quán)限����。
所述授權(quán)指令向所述第二臺交換機(jī)提供第二訪問權(quán)限,所述第二訪問權(quán)限低于所 述第一訪問權(quán)限�����。
所述授權(quán)指令向所述第二臺交換機(jī)提供第二訪問權(quán)限���,所述第二訪問權(quán)限等于所 述第一訪問權(quán)限�����。
所述驗(yàn)證服務(wù)器向所述授權(quán)源驗(yàn)證所述授權(quán)指令的權(quán)限的步驟進(jìn)一步包括:
如果驗(yàn)證成功,貝U所述第二臺交換機(jī)通過驗(yàn)證與第一臺交換機(jī)建立Ipsec通信信 道;
如果驗(yàn)證失敗�,則回到所述第一臺交換機(jī)將一授權(quán)指令發(fā)送給第二臺交換機(jī)的步驟���。
所述驗(yàn)證服務(wù)器由一臺交換機(jī)配置而成����,在所述驗(yàn)證服務(wù)器上建立有各交換機(jī)驗(yàn) 證數(shù)據(jù)的數(shù)據(jù)庫。
采用本發(fā)明的技術(shù)方案��,提出了一種基于Ipsec的權(quán)限管理方法��,第一臺交換機(jī) 將一 Ipsec授權(quán)指令通過以太網(wǎng)信道發(fā)送給第二臺交換機(jī)��,所述第二臺交換機(jī)接收所述授 權(quán)指令��,所述第二臺交換機(jī)向驗(yàn)證服務(wù)器發(fā)出訪問請求��,所述驗(yàn)證服務(wù)器驗(yàn)證所述訪問請 求�,通過驗(yàn)證解決基于Ipsec的vpn網(wǎng)絡(luò)數(shù)據(jù)機(jī)密性和數(shù)據(jù)完整性問題。
圖1為本發(fā)明優(yōu)選實(shí)施例的系統(tǒng)框架圖2為本發(fā)明的基本步驟的流程圖����。
具體實(shí)施方式
以下結(jié)合附圖詳細(xì)描述本發(fā)明的技術(shù)方案�。
圖1示意性地示出了適用于本發(fā)明的一種基于Ipsec的權(quán)限管理方法的系統(tǒng)架 構(gòu)。如圖1所示���,本發(fā)明至少包含一被訪問的服務(wù)器101以及若干臺交換機(jī)作為客戶端設(shè)備 102-1 102-N����。所述服務(wù)器101由交換機(jī)配置而成����,同時(shí)服務(wù)器上設(shè)置有集中管理各VLan 交換機(jī)數(shù)據(jù)的數(shù)據(jù)庫��。所述各臺交換機(jī)分別為各個(gè)Vlan的核心數(shù)據(jù)交換設(shè)備��,交換機(jī)之間 采用Trunk連接�,同時(shí)使用以太信道技術(shù)�,將帶寬較小的鏈路捆綁成帶寬較大的鏈路,同時(shí) 實(shí)現(xiàn)數(shù)據(jù)備份����。所述服務(wù)器101分別與每一客戶端設(shè)備102-1 102-N連接。服務(wù)器101 與客戶端設(shè)備的連接方式可以是無線連接�、有線連接或者無線和有線連接的組合。此外��,各 客戶端設(shè)備之間也可以按需要進(jìn)行連接����。具體的連接方式可以是采用任何一種本領(lǐng)域已知 的連接方案。
圖2示出了根據(jù)本發(fā)明的一種基于Ipsec的權(quán)限管理方法的基本步驟的流程圖�。 包括:
步驟201,第一臺交換機(jī)將一授權(quán)指令發(fā)送給第二臺交換機(jī),其中所述第一臺交換 機(jī)具備對所述服務(wù)器的第一訪問權(quán)限;
步驟202�,所述第二臺交換機(jī)接收所述授權(quán)指令;
步驟203,所述第二臺交換機(jī)向服務(wù)器發(fā)出訪問請求�����,其中所述訪問請求包含所述 授權(quán)指令�����;
步驟204����,所述服務(wù)器驗(yàn)證所述訪問請求,
步驟205����,所述服務(wù)器根據(jù)所述訪問請求檢查所述授權(quán)指令的授權(quán)源,所述服務(wù)器 向所述授權(quán)源驗(yàn)證所述授權(quán)指令的權(quán)限����,
如果驗(yàn)證成功,則所述第二臺交換機(jī)通過驗(yàn)證(步驟206)���;
如果驗(yàn)證失敗,則回到所述第一設(shè)備將一授權(quán)指令發(fā)送給第二臺交換機(jī)的步驟 (步驟201)��。
此外,根據(jù)本發(fā)明的一個(gè)實(shí)施例�,所述授權(quán)指令向所述第二臺交換機(jī)提供第二訪 問權(quán)限,所述第二訪問權(quán)限低于所述第一訪問權(quán)限����。
此外,根據(jù)本發(fā)明的另一實(shí)施例����,所述授權(quán)指令向所述第二臺交換機(jī)提供第二訪 問權(quán)限,所述第二訪問權(quán)限等于所述第一訪問權(quán)限�����。
在步驟206之后���,第二臺交換機(jī)通過驗(yàn)證后以所述第二訪問權(quán)限訪問所述服務(wù)器���。
通過使用本發(fā)明的一種基于Ipsec的權(quán)限管理方法,一臺交換機(jī)設(shè)備可以將等于 或低于自身權(quán)限的新權(quán)限賦予其他多臺交換機(jī)設(shè)備��,從而能及時(shí)擴(kuò)展權(quán)限的使用�����。此外,本 發(fā)明的服務(wù)器在由新客戶端訪問時(shí)還被要求向給該新客戶端權(quán)限的授權(quán)源進(jìn)行驗(yàn)證操作��, 因此可以進(jìn)一步地確保授權(quán)行為的可靠性�,提高了整個(gè)授權(quán)系統(tǒng)的可靠性,從而保證Ipsec 的vpn網(wǎng)絡(luò)數(shù)據(jù)機(jī)密性和數(shù)據(jù)完整性問題�����。
本領(lǐng)域的普通技術(shù)人員應(yīng)該理解�����,在不脫離由權(quán)利要求限定的本發(fā)明的精神和范 圍的情況下��,可以在形式和細(xì)節(jié)上進(jìn)行各種替換��、修改和改變����。因此,將理解��,上述實(shí)施例僅 僅是示意目的�,并且不被解釋為對本發(fā)明的限制。
權(quán)利要求
1.一種基于Ipsec的權(quán)限管理方法���,包括:第一臺交換機(jī)將一 Ipsec授權(quán)指令通過以太網(wǎng)信道發(fā)送給第二臺交換機(jī)�;所述第二臺交換機(jī)接收所述授權(quán)指令����;所述第二臺交換機(jī)向驗(yàn)證服務(wù)器發(fā)出訪問請求;所述驗(yàn)證服務(wù)器驗(yàn)證所述訪問請求���;其中所述第一臺交換機(jī)具備對所述驗(yàn)證服務(wù)器的第一訪問權(quán)限��,且所述訪問請求包含 所述授權(quán)指令�。
2.如權(quán)利要求1所述的一種基于Ipsec的權(quán)限管理方法�,其特征在于,所述服務(wù)器驗(yàn)證 所述訪問請求的步驟進(jìn)一步包括:所述驗(yàn)證服務(wù)器根據(jù)所述訪問請求檢查所述授權(quán)指令的授權(quán)源�����;所述驗(yàn)證服務(wù)器向所述授權(quán)源驗(yàn)證所述授權(quán)指令的權(quán)限���。
3.如權(quán)利要求1所述的一種基于Ipsec的權(quán)限管理方法���,其特征在于,所述授權(quán)指令向 所述第二臺交換機(jī)提供第二訪問權(quán)限�,所述第二訪問權(quán)限低于所述第一訪問權(quán)限����。
4.如權(quán)利要求1所述的一種基于Ipsec的權(quán)限管理方法�����,其特征在于�����,所述授權(quán)指令向 所述第二臺交換機(jī)提供第二訪問權(quán)限��,所述第二訪問權(quán)限等于所述第一訪問權(quán)限�����。
5.如權(quán)利要求3或4所述的一種基于Ipsec的權(quán)限管理方法��,其特征在于����,所述驗(yàn)證服 務(wù)器向所述授權(quán)源驗(yàn)證所述授權(quán)指令的權(quán)限的步驟進(jìn)一步包括:如果驗(yàn)證成功,貝1J所述第二臺交換機(jī)通過驗(yàn)證與第一臺交換機(jī)建立Ipsec通信信道��;如果驗(yàn)證失敗����,則回到所述第一臺交換機(jī)將一授權(quán)指令發(fā)送給第二臺交換機(jī)的步驟����。
6.如權(quán)利要求5所述的一種基于Ipsec的權(quán)限管理方法�����,其特征在于�����,所述驗(yàn)證服務(wù)器 由一臺交換機(jī)配置而成��,在所述驗(yàn)證服務(wù)器上建立有各交換機(jī)驗(yàn)證數(shù)據(jù)的數(shù)據(jù)庫����。
全文摘要
本發(fā)明提出了一種基于Ipsec的權(quán)限管理方法����,包括第一臺交換機(jī)將一Ipsec授權(quán)指令通過以太網(wǎng)信道發(fā)送給第二臺交換機(jī),所述第二臺交換機(jī)接收所述授權(quán)指令�,所述第二臺交換機(jī)向驗(yàn)證服務(wù)器發(fā)出訪問請求,所述驗(yàn)證服務(wù)器驗(yàn)證所述訪問請求���,通過驗(yàn)證解決基于Ipsec的Vpn網(wǎng)絡(luò)數(shù)據(jù)機(jī)密性和數(shù)據(jù)完整性問題���。
文檔編號H04L29/06GK103139141SQ20111037523
公開日2013年6月5日 申請日期2011年11月22日 優(yōu)先權(quán)日2011年11月22日
發(fā)明者蔣志勇 申請人:上海博騰信息科技有限公司