无线VPDN网络用户访问特定公网站点的控制装置和方法

摘要

一种无线VPDN用户访问特定公网站点的控制装置和方法，该装置用于在现有VPDN网络架构和不改动现行业务流程基础上，控制用户在VPDN网络环境中只能够访问被授权的公网站点。其创新关键是用AAA设备中记录的VPDN用户在线IP地址标识用户，并获取用户授权合法访问的公网站点列表，再根据该允许访问的公网站点列表判断用户访问目标公网站点的合法性。本发明对现网的改动很小，也不影响现网的现有业务操作流程，有较高的适用性和可实施性。对运营商，可促进新业务的开展和推广，拓宽用户与营收渠道。对VPDN用户，可灵活设定和调整允许访问的公网列表，安全使用特定公网的云计算和其他应用服务，提升具体业务的用户体验，提高用户粘性与忠诚度，具有广阔的应用空间。

说明书

技术领域

本发明涉及一种无线VPDN(VirtualPrivateDial-upNetwork)网络用户访 问特定公网站点的控制装置和方法，确切地说，涉及一种在使用无线VPDN方 式接入企业内部网络时，用户可以在受管控的条件下，能够并且只能使用特定 公网站点的云应用服务(包括地图服务、天气服务、支付服务、即时通信服务 等)，将无线VPDN网络与公共互联网云应用服务连接起来的控制装置和控制 方法；属于移动互联网络的技术领域。

背景技术

随着企业客户的信息化水平不断地提高，对网络的依赖越来越大，远程接 入企业内部网络的需求也越来越迫切。相对于传统电信业务，无线虚拟专用拨 号网络VPDN(VirtualPrivateDial-upNetwork)业务以其访问灵活、快速、安 全、方便的特点，为企业提高了工作效率，节省了开支，受到了越来越多企业 的认可。

VPDN是一种VPN业务，是基于拨号用户的虚拟专用拨号网业务。它是利 用IP网络的承载能力、GRE/L2TP隧道技术、RADIUS(RemoteAuthentication DialInUserService)协议等技术，并结合相应的认证和授权机制，为企业实现 建立在公共网络上的认证、授权和计费一体化的、安全的虚拟专网。近年来， 随着Internet的发展，VPDN作为一种迅速发展的新技术，已经广泛应用于跨地 域集团企业的内部网、专业信息服务提供商专用网、金融大众业务网、银行存 取业务网等多种业务；并且成为企业驻外机构和出差人员能够从远程经由公共 网络，通过虚拟隧道实现和企业总部之间的网络连接，而公共网络上其它用户 则无法穿过虚拟隧道访问企业网内部的资源。

VPDN的具体实现是采用隧道技术，即将企业网的数据封装在隧道中进行 传输。隧道技术的基本过程是在源局域网与公网的接口处将数据作为负载封装 在一种可以在公网上传输的数据格式中，再在目的局域网与公网的接口处将数 据解封装，取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被 称为“隧道”。要使数据顺利地被封装、传送及解封装，通信协议是保证的核心。

参见图1，介绍一种典型的VPDN组网示意图：如图1所示，VPDN用户 只能访问企业内部网络，而不能连接到公网。但是，随着移动互联网络的快速 发展，VPDN客户的业务也在逐步发生变化，不少VPDN客户期望在通过VPDN 方式接入企业内部网络的基础上，也能够使用某些特定的公网云计算应用服务， 例如地图服务、天气服务、支付服务和即时通信服务等，来为自身业务发展提 供更好的支持。

众所周知，允许VPDN用户访问公网的技术本身并不困难，VPDN接入网 关可以通过转发VPDN用户的公网访问请求来完成该功能，图2就是一种为 VPDN用户访问公网场景的一种组网示意图。但是，核心的问题在于如何限定 特定的VPDN用户只能访问特定的公网站点，仅仅依靠公网出口防火墙是很难 应对这种个性化需求的。因为防火墙虽然可以做到特定IP地址到特定公网站点 的访问控制。但是，由于VPDN用户接入时是动态分配的IP地址，所以公网 出口防火墙无法知道接入的IP地址是属于哪个VPDN用户，也就不知道哪些 公网站点是允许该用户访问的。因此仅仅通过制订防火墙规则来限定特定 VPDN用户访问特定公网站点的方案仍然是不可行的。

通过以上分析可以发现，解决VPDN网络中VPDN用户受控访问特定公网 站点问题的关键是要维护VPDN用户与所分配其使用的IP地址的对应关系， 进而得出要访问的公网站点是否在该VPDN用户授权使用的公网范围的列表之 内，从而达到允许授权范围内公网站点的合法访问通过和拒绝授权范围外的公 网站点非法访问通过的目的。这才是本发明需要解决的问题及其方法的根源。

发明内容

有鉴于此，本发明的目的是提供一种无线VPDN网络用户访问特定公网站 点的控制装置和方法，本发明的关键就是使用AAA设备中记录的VPDN用户 在线IP地址来标识用户，并获取该用户授权合法访问的公网站点列表，然后根 据该允许访问的公网站点列表判断该用户访问目标公网站点(包括域名和/或IP 地址格式站点)的合法性。

为了达到上述目的，本发明提供了一种无线虚拟专用拨号网络VPDN (VirtualPrivateDial-upNetwork)用户访问特定公网站点的控制装置，其特征在 于：该装置用于在现有VPDN网络架构和不改动现行业务流程的基础上，控制用 户在VPDN网络环境中只能够访问被授权的公网站点；设有VPDN接入网关接口、 授权公网站点查询部件、计算机域名系统DNS(DomainNameSystem)域名查询 部件和业务逻辑处理及维护管理部件共四个组成部件；其中：

VPDN接入网关接口，负责接收VPDN接入网关的查询请求，并将查询请求 分别转发给授权公网站点查询部件和DNS域名查询部件进行查询，再把查询结果 返回给VPDN接入网关；

授权公网站点查询部件，负责根据来自VPDN接入网关接口的查询请求，向 VPDN网络的接入认证、授权、计费AAA(Authentication,Authorization, Accounting)设备查询预设的授权用户访问的特定地址的公网站点列表，再把查 询结果返回给VPDN接入网关接口；

DNS域名查询部件，负责根据来自VPDN接入网关接口的查询请求，向外部 网络的公网DNS服务器发出查询请求，使用DNS协议查询DNS域名对应的IP 地址，再把查询结果返回给VPDN接入网关接口；

业务逻辑处理及维护管理部件，作为该装置的控制中心，分别连接所述其他 三个部件，负责业务逻辑处理过程的控制管理，并提供系统维护管控界面，用于 实现对系统运行参数的实时配置、调整与运行监控。

为了达到上述目的，本发明还提供了一种采用本发明无线VPDN网络用户 访问特定公网站点的控制装置的控制方法，其特征在于：所述方法包括下列操作 步骤：

步骤1，用户接入VPDN网络：VPDN用户移动终端利用无线方式申请接入 VPDN网络，VPDN接入网关接收到该接入请求后，向VPDN接入AAA设备申 请认证和授权；VPDN接入AAA设备根据接入网关发送来的该用户信息认证判 断该用户接入请求的合法性；若认证通过，则为该VPDN用户分配IP地址，并 维护该VPDN用户与IP地址之间的关联关系；若认证未通过，则结束流程；

步骤2，用户发起访问公网站点请求：VPDN接入网关接收到VPDN用户发 起的访问公网站点请求时，为了判断该VPDN用户是否具备访问该公网站点的授 权，向公网访问控制设备发送包括该VPDN用户的IP地址及其申请的包括IP地 址和/或域名地址的该公网站点信息的访问请求；

步骤3，公网访问控制装置判断该VPDN用户的请求访问的公网站点是否合 法授权，即请求访问的该公网站点是否位于该用户授权访问的公网站点列表中； 如果用户希望访问的该公网站点不在该授权访问的列表内，则访问不合法，直接 拒绝用户访问请求，结束流程；否则，执行步骤4，允许该VPDN用户访问该公 网站点；

步骤4，公网访问控制装置通知VPDN接入网关：允许该VPDN用户访问 该公网站点，并提供该公网站点的IP地址，然后VPDN接入网关给公网出口防 火墙转发该VPDN用户的访问请求，允许接入该访问请求。

本发明的关键创新技术是在现有VPDN网络架构基础上，增设公网访问控 制装置，该特定公网站点的访问控制装置允许用户实现对公网的访问，并且控制 用户在VPDN网络环境中只能够访问被授权的公网站点。同时，本发明对现网的 改动很小，也不影响现网的现有业务操作流程，具备较高的适用性和可实施性。

因为本发明在VPDN网络中有效解决了公网站点的访问控制问题，对于运 营商而言，可以促进多种新业务的开展和推广，拓宽用户与营收的渠道。对于 VPDN用户而言，可以灵活设定和调整允许访问的公网列表，从而能够安全使 用特定的公网云计算和其他应用服务，提升具体业务的用户体验，提高用户粘 性与忠诚度，具有广阔的应用空间。总之，本发明具备很好的推广应用前景。

附图说明

图1是VPDN网络接入与流向的示意图。

图2是非受控的VPDN网络接入公网访问及流向的示意图。

图3是本发明受控的VPDN网络接入公网访问的网络结构组成示意图。

图4是本发明VPDN用户访问特定公网站点的控制装置结构组成示意图。

图5是本发明VPDN用户访问受控公网站点的操作步骤流程图。

图6是图5中的步骤1用户接入VPDN网络的操作步骤时序图。

图7是图5中的步骤2用户发起访问公网站点请求的操作步骤时序图。

图8是图5中的步骤3公网站点访问控制装置判断用户是否合法的操作步骤 时序图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面结合附图对本发明作 进一步的详细描述。

本发明需要在VPDN网络中增设用户访问特定公网站点的控制装置， 增加公网访问控制装置后的网络结构拓扑图如图3所示。该公网访问控制装 置分别与VPDN接入网关、VPDN接入AAA设备和公网DNS服务器进行 交互，用于在现有VPDN网络架构和不改动现行业务流程的基础上，实现识 别VPDN用户的身份、获取VPDN用户访问公网的授权与否，以及获取授 权访问的特定公网站点列表，从而控制用户在VPDN网络环境中只能够访问 被授权的公网站点。

参见图4，介绍本发明VPDN网络中的用户访问特定公网站点的控制装 置的结构组成，设有四个组成部件；VPDN接入网关接口、授权公网站点查 询部件、计算机域名系统DNS域名查询部件和业务逻辑处理及维护管理部 件。其中：

VPDN接入网关接口：负责接收VPDN接入网关的查询请求，并将查询请求 分别转发给授权公网站点查询部件和DNS域名查询部件进行查询，再把查询结果 返回给VPDN接入网关。

授权公网站点查询部件：负责根据来自VPDN接入网关接口的查询请求，向 VPDN网络的接入认证、授权、计费AAA(Authentication,Authorization, Accounting)设备查询预设的授权用户访问的特定地址的公网站点列表，再把查 询结果返回给VPDN接入网关接口。

DNS域名查询部件：负责根据来自VPDN接入网关接口的查询请求，向外部 网络的公网DNS服务器发出查询请求，使用DNS协议查询DNS域名对应的IP 地址，再把查询结果返回给VPDN接入网关接口。

业务逻辑处理及维护管理部件，作为该装置的控制中心，分别连接所述其他 三个部件，负责业务逻辑处理过程的控制管理，并提供系统维护管控界面，用于 实现对系统运行参数的实时配置、调整与运行监控。

参见图5，介绍本发明无线VPDN网络用户访问特定公网站点的控制装置的 控制方法的下列操作步骤：

步骤1，用户接入VPDN网络(参见图6所示的时序图)：

VPDN用户移动终端利用无线方式申请接入VPDN网络，VPDN接入网关接 收到该接入请求后，向VPDN接入AAA设备申请认证和授权；VPDN接入AAA 设备根据接入网关发送来的该用户信息认证判断该用户接入请求的合法性；若认 证通过，则为该VPDN用户分配IP地址，并维护该VPDN用户与IP地址之间的 关联关系；若认证未通过，则结束流程。

步骤2，用户发起访问公网站点请求(参见图7所示的时序图)：

当VPDN接入网关接收到VPDN用户发起的访问公网站点请求时，为了判 断该VPDN用户是否具备访问该公网站点的授权，向公网访问控制设备发送包括 该VPDN用户的IP地址及其申请的包括IP地址和/或域名地址的该公网站点信息 的访问请求。

步骤3，公网访问控制装置判断该VPDN用户的请求访问的公网站点是否合 法授权(参见图8所示的时序图)，即请求访问的该公网站点是否位于该用户授权 访问的公网站点列表中；如果用户希望访问的该公网站点不在该授权访问的列表 内，则访问不合法，直接拒绝用户访问请求，结束流程；否则，执行步骤4，允 许该VPDN用户访问该公网站点。该步骤3包括下列操作内容：

(31)VPDN接入网关接口从VPDN接入网关获取该VPDN用户的接入IP 地址及其申请的包括IP地址和/或域名地址的公网站点信息的访问请求后，将其 分别转发给授权公网站点查询部件和/或DNS域名查询部件进行查询处理。

(32)授权公网站点查询部件与VPDN接入AAA设备交互，利用原来维护 的用户与IP地址之间的关联关系确认该VPDN用户身份，并获取预设的VPDN 用户授权访问公网站点列表；然后根据该用户的IP地址在该VPDN客户授权访 问公网站点列表中查询是否有其请求访问的公网站点，并将查询结果返回VPDN 接入网关接口。

(33)DNS域名查询部件根据来自VPDN接入网关接口的查询请求，获取该 VPDN用户申请访问的公网站点域名地址信息的访问请求后，向外部网络的公网 DNS服务器发出查询请求，使用DNS协议查询该域名地址对应的IP地址；还根 据来自授权公网站点查询部件的VPDN客户授权访问公网站点列表，判断该域名 对应的IP地址公网站点是否在该VPDN客户授权访问公网站点列表内，并将查 询结果返回VPDN接入网关接口。另外，公网访问控制装置中的DNS域名查询 部件也缓存公网域名地址与IP地址的对应关系，以便减少不必要的DNS查询， 降低查询频率，提高响应速度。

步骤4，公网访问控制装置通知VPDN接入网关：允许该VPDN用户访问 该公网站点，并提供该公网站点的IP地址，然后VPDN接入网关给公网出口防 火墙转发该VPDN用户的访问请求，允许接入该访问请求。