[发明专利]一种基于IPsec VPN代理的Intranet接入系统

摘要

本发明公开了一种基于IPsec VPN代理的Intranet接入系统，该系统包括有移动VPN代理设备、配置服务器、VPN网关、认证服务器和认证客户端。移动VPN代理设备通过因特网与配置服务器和VPN网关实现通讯；用户请求经由移动VPN代理设备和VPN网关的转发，使所述用户请求到达认证客户端；然后认证客户端与认证服务器通过企业内部网实现所述用户请求的授权。本发明接入系统通过移动VPN代理设备实现用户对Intranet的接入，进而通过认证服务器和认证客户端实现对用户访问请求的授权。IPsec隧道是由VPN网关和移动VPN代理设备建立的，无需用户参与，降低了IPsec VPN的使用门槛，克服了IPsec VPN使用困难以及维护困难的缺点。

主权项

一种基于IPsec VPN代理的Intranet接入系统，其特征在于：Intranet接入系统包括有配置服务器(2)、VPN网关(3)、认证服务器(4)、认证客户端(5)以及多个移动VPN代理设备；移动VPN代理设备通过因特网与配置服务器(2)和VPN网关(3)实现通讯；用户的访问请求经由移动VPN代理设备和VPN网关(3)的转发，使所述访问请求到达认证客户端(5)；然后认证客户端(5)与认证服务器(4)通过企业内部网实现所述访问请求的授权；配置服务器(2)中一方面存储有全部移动VPN代理设备的用于设备认证的设备信息集INAUTH＝{INAUTH_A,INAUTH_B,…INAUTH_a,…,INAUTH_N}；另一方面存储有全部移动VPN代理设备的设备—状态信息集INSTAT＝{INSTAT_A,INSTAT_B,…INSTAT_a,…,INSTAT_N}；再一方面存储有VPN网关(3)的网关—配置信息集IMSTAT＝{IP,CPU,MEM,NET,TNL}；认证服务器(4)中一方面存储有属于企业全部工作人员的注册身份信息集UAUTH＝{uAUTH_A,uAUTH_B,…,uAUTH_a…uAUTH_Z}，另一方面存储有针对每一个工作人员的授权信息集ACLAUTH＝{acAUTH_A,acAUTH_B,…,acAUTH_a,…,acAUTH_N}；任意一个认证客户端设有唯一标识符rdj，J为Intranet中认证客户端的总数目，j∈J；任意认证客户端维护用户的IP地址集记为IPLj＝{ipj_1,ipj_2,…,ipj_k,…,ipj_K}，其中ipj_1表示rdj允许访问的第一个用户，ipj_2表示rdj允许访问的第二个用户，ipj_k表示rdj允许访问的任意一个用户，ipj_K表示rdj允许访问的最后一个用户，K为rdj允许访问的用户的总数目，k∈K；一个用户配置有一个移动VPN代理设备；用户使用IPsec VPN代理接入Intranet系统的认证过程如下：步骤1，任意一移动VPN代理设备pda接入Internet后，并对所述移动VPN代理设备pda执行设置代理初始化；步骤2，配置服务器(2)接收到来自所述移动VPN代理设备pda的初始化设备请求，然后完成对所述移动VPN代理设备pda的配置－设备认证，并向移动VPN代理设备pda发送配置－设备信息步骤3，移动VPN代理设备pda接收到所述配置－设备信息后，建立与VPN网关(3)的IPsec隧道；步骤4，用户通过所述IPsec隧道向Intranet的私有资源发起访问请求；步骤5，认证客户端(5)对用户的访问请求进行过滤，并将用户重定向到认证服务器(4)；步骤6，认证服务器(4)对用户进行身份认证后，并向认证客户端(5)下发授权－用户信息；步骤7，认证客户端(5)对接收到的所述授权－用户信息进行处理；步骤8，用户再次通过所述IPsec隧道向Intranet的私有资源发起访问请求；步骤9，认证客户端(5)对用户的访问请求进行过滤，并转发依据访问请求请求到的属于Intranet的私有资源。