技術領域

本發(fā)明涉及互聯(lián)網(wǎng)領域，具體而言，涉及一種多協(xié)議標簽交換網(wǎng)絡的接入方法和裝置。

背景技術

對于一些對安全性要求較高的網(wǎng)絡系統(tǒng)，例如電子政務外網(wǎng)這類政務專網(wǎng)，需要通過部門之間的隔離保證各部門之間的安全性。同一個部門的數(shù)據(jù)業(yè)務通過一個基于多協(xié)議標簽交換技術的虛擬專用網(wǎng)（Multi-Protocol?Label?Switching?VPN，簡稱MPLS?VPN）中連接到政務專網(wǎng)，能夠?qū)崿F(xiàn)不同部門之間的邏輯隔離。

通過MPLS?VPN技術解決了部門之間的數(shù)據(jù)業(yè)務隔離的問題，但對移動辦公人員及一些現(xiàn)場執(zhí)法人員如何保證他們通過互聯(lián)網(wǎng)能安全接入電子政務網(wǎng)絡目前還沒有統(tǒng)一的標準。現(xiàn)有技術通常利用預共享密鑰和用戶身份認證方式實現(xiàn)移動用戶接入電子政務網(wǎng)絡，這種方式對移動用戶管理非常復雜，各地實現(xiàn)方式差異很大，安全性也較低。

針對現(xiàn)有技術中用戶接入多協(xié)議標簽交換網(wǎng)絡安全性較低的問題，目前尚未提出有效的解決方案。

發(fā)明內(nèi)容

本發(fā)明的主要目的在于提供一種多協(xié)議標簽交換網(wǎng)絡的接入方法和裝置，以解決現(xiàn)有技術中用戶接入多協(xié)議標簽交換網(wǎng)絡安全性較低的問題。

為了實現(xiàn)上述目的，根據(jù)本發(fā)明的一個方面，提供了一種多協(xié)議標簽交換網(wǎng)絡的接入方法。根據(jù)本發(fā)明的多協(xié)議標簽交換網(wǎng)絡的接入方法包括：獲取用戶移動證書中的用戶身份信息；獲取多協(xié)議標簽交換中的標簽信息；校驗用戶移動證書中的用戶身份信息和多協(xié)議標簽交換中的標簽信息是否一致；如果校驗出用戶移動證書中的用戶身份信息和多協(xié)議標簽交換中的標簽信息一致，則將用戶接入到多協(xié)議標簽交換網(wǎng)絡中；以及如果校驗出用戶移動證書中的用戶身份信息和多協(xié)議標簽交換中的標簽信息不一致，則不將用戶接入到多協(xié)議標簽交換網(wǎng)絡中。

進一步地，如果校驗出用戶移動證書中的用戶身份信息和多協(xié)議標簽交換中的標簽信息一致，則將用戶接入到多協(xié)議標簽交換網(wǎng)絡中包括：獲取用戶網(wǎng)絡邊緣路由器的子接口；獲取多協(xié)議標簽交換的服務提供商邊緣路由器；將用戶身份信息發(fā)送至用戶網(wǎng)絡邊緣路由器的子接口；以及利用用戶網(wǎng)絡邊緣路由器的子接口將用戶身份信息發(fā)送到多協(xié)議標簽交換的服務提供商邊緣路由器上。

進一步地，獲取用戶網(wǎng)絡邊緣路由器的子接口包括：獲取用戶與用戶網(wǎng)絡邊緣路由器之間的互聯(lián)網(wǎng)工程任務組安全標準協(xié)議隧道；利用互聯(lián)網(wǎng)工程任務組安全標準協(xié)議隧道將用戶身份信息發(fā)送至用戶網(wǎng)絡邊緣路由器；以及用戶網(wǎng)絡邊緣路由器對用戶身份信息進行打標簽處理，形成用戶網(wǎng)絡邊緣路由器的標簽。

進一步地，將用戶接入到多協(xié)議標簽交換網(wǎng)絡中包括：獲取用戶移動證書的數(shù)據(jù)包；獲取多協(xié)議標簽交換中的標簽信息；解析數(shù)據(jù)包得到用戶身份信息；根據(jù)用戶身份信息查詢與用戶身份信息對應的多協(xié)議標簽交換中的標簽信息；根據(jù)查詢得到的多協(xié)議標簽交換中的標簽信息確定目標地址；以及按照目標地址將用戶接入到多協(xié)議標簽交換網(wǎng)絡中。

進一步地，解析數(shù)據(jù)包得到用戶身份信息包括：判斷數(shù)據(jù)包是因特網(wǎng)密鑰交換協(xié)議或者封裝安全載荷協(xié)議；如果數(shù)據(jù)包是因特網(wǎng)密鑰交換協(xié)議，則解析因特網(wǎng)密鑰交換協(xié)議以得到用戶身份信息；以及如果數(shù)據(jù)包是封裝安全載荷協(xié)議，則查找加密算法，以及根據(jù)加密算法解密封裝安全載荷協(xié)議得到用戶身份信息。

為了實現(xiàn)上述目的，根據(jù)本發(fā)明的另一方面，提供了一種多協(xié)議標簽交換網(wǎng)絡的接入裝置。根據(jù)本發(fā)明的多協(xié)議標簽交換網(wǎng)絡的接入裝置包括：第一獲取單元，用于獲取用戶移動證書中的用戶身份信息；第二獲取單元，用于獲取多協(xié)議標簽交換中的標簽信息；校驗單元，用于校驗用戶移動證書中的用戶身份信息和多協(xié)議標簽交換中的標簽信息是否一致；接入單元，用于在校驗出用戶移動證書中的用戶身份信息和多協(xié)議標簽交換中的標簽信息一致時，將用戶接入到多協(xié)議標簽交換網(wǎng)絡中，在校驗出用戶移動證書中的用戶身份信息和多協(xié)議標簽交換中的標簽信息不一致時，不將用戶接入到多協(xié)議標簽交換網(wǎng)絡中。

進一步地，接入單元包括：第一獲取模塊，用于獲取用戶網(wǎng)絡邊緣路由器的子接口；第二獲取模塊，用于獲取多協(xié)議標簽交換的服務提供商邊緣路由器；第一發(fā)送模塊，用于將用戶身份信息發(fā)送至用戶網(wǎng)絡邊緣路由器的子接口；以及第二發(fā)送模塊，用于利用用戶網(wǎng)絡邊緣路由器的子接口將用戶身份信息發(fā)送到多協(xié)議標簽交換的服務提供商邊緣路由器上。