技術領域

本發明涉及通信技術領域，尤其涉及一種基于Ipsec的權限管理方法。

背景技術

隨著通信技術的飛速發展，VPN和Ipsec在企業內部網絡中的應用已達普及，Ipsec的數據機密性和數據完整性便成了一個急需解決的問題。數據機密性(Data?Confidentiality)指的是當數據在VPN的參與方之間通過IPsec?VPN傳送時保持數據的私密性。大多數VPN都要穿越公用互聯網，因而數據在傳送過程中就有可能被截取或者檢查，在實際應用中，任何數據在傳送過程中都可能被檢查，因而互聯網屬于不安全的傳送媒介。

數據完整性(Data?Integrity)指的是確保數據在通過IPsec?VPN進行傳送的過程中沒有被修改或者改變，數據完整性本身并不是提供數據機密性。數據完整性機制通常使用哈希(或稱為散列)算法來檢查兩端點間傳送的數據包中的數據是否被修改。如果發現數據包被修改，那么就拒絕接收被修改的數據。

數據源驗證(Data?Origin?Authentication)指的是驗證IPsec?VPN的源，該功能特性由VPN得每個端點來完成，以確保與其銅線的對端的身份。需要注意的是，數據源驗證無法單獨實現，必須依賴于數據完整性服務。

故而解決了數據源驗證在企業內部網絡中的技術瓶頸，就解決了基于Ipsec的VPN網絡的數據機密性和數據完整性問題。

發明內容

為了解決上述問題，本發明的目的數據機密性和數據完整性問題。

本發明提出了一種基于Ipsec的權限管理方法，包括：

第一臺交換機將一Ipsec授權指令通過以太網信道發送給第二臺交換機；

所述第二臺交換機接收所述授權指令；

所述第二臺交換機向驗證服務器發出訪問請求；

所述驗證服務器驗證所述訪問請求；

其中所述第一臺交換機具備對所述驗證服務器的第一訪問權限，且所述訪問請求包含所述授權指令。

所述服務器驗證所述訪問請求的步驟進一步包括：

所述驗證服務器根據所述訪問請求檢查所述授權指令的授權源；

所述驗證服務器向所述授權源驗證所述授權指令的權限。

所述授權指令向所述第二臺交換機提供第二訪問權限，所述第二訪問權限低于所述第一訪問權限。

所述授權指令向所述第二臺交換機提供第二訪問權限，所述第二訪問權限等于所述第一訪問權限。

所述驗證服務器向所述授權源驗證所述授權指令的權限的步驟進一步包括：

如果驗證成功，則所述第二臺交換機通過驗證與第一臺交換機建立Ipsec通信信道；

如果驗證失敗，則回到所述第一臺交換機將一授權指令發送給第二臺交換機的步驟。

所述驗證服務器由一臺交換機配置而成，在所述驗證服務器上建立有各交換機驗證數據的數據庫。

采用本發明的技術方案，提出了一種基于Ipsec的權限管理方法，第一臺交換機將一Ipsec授權指令通過以太網信道發送給第二臺交換機，所述第二臺交換機接收所述授權指令，所述第二臺交換機向驗證服務器發出訪問請求，所述驗證服務器驗證所述訪問請求，通過驗證解決基于Ipsec的vpn網絡數據機密性和數據完整性問題。

附圖說明

圖1為本發明優選實施例的系統框架圖；

圖2為本發明的基本步驟的流程圖。

具體實施方式

以下結合附圖詳細描述本發明的技術方案。

圖1示意性地示出了適用于本發明的一種基于Ipsec的權限管理方法的系統架構。如圖1所示，本發明至少包含一被訪問的服務器101以及若干臺交換機作為客戶端設備102-1～102-N。所述服務器101由交換機配置而成，同時服務器上設置有集中管理各VLan交換機數據的數據庫。所述各臺交換機分別為各個Vlan的核心數據交換設備，交換機之間采用Trunk連接，同時使用以太信道技術，將帶寬較小的鏈路捆綁成帶寬較大的鏈路，同時實現數據備份。所述服務器101分別與每一客戶端設備102-1～102-N連接。服務器101與客戶端設備的連接方式可以是無線連接、有線連接或者無線和有線連接的組合。此外，各客戶端設備之間也可以按需要進行連接。具體的連接方式可以是采用任何一種本領域已知的連接方案。

圖2示出了根據本發明的一種基于Ipsec的權限管理方法的基本步驟的流程圖。包括：

步驟201，第一臺交換機將一授權指令發送給第二臺交換機，其中所述第一臺交換機具備對所述服務器的第一訪問權限；