用戶數據管理方法及裝置的制造方法
【技術領域】
[0001]本發(fā)明涉及通信領域�,具體而言���,涉及一種用戶數據管理方法及裝置�。
【背景技術】
[0002]IPsec 是 IETF (Internet Engineering Task Force, Internet 工程任務組)的IPsec小組建立的一組IP安全協(xié)議集。IPsec定義了在網際層使用的安全服務��,其功能包括數據加密���、對網絡單元的訪問控制�����、數據源地址驗證、數據完整性檢查和防止重放攻擊���。
[0003]IPsec遠程接入是一種基于IPsec隧道加密保護的VPN接入技術�����。與對等體網絡模型不同�����,遠程接入使用客戶端-服務器模型�����。與對等體IKE協(xié)商不同�����,遠程接入在第一階段和第二階段之間�����,需要進行擴展認證和模式配置交換�。IKE第一階段協(xié)商完成后,服務器對客戶端發(fā)起擴展認證����。第一階段通過預共享密鑰或者證書的方式提供設備級的認證;而擴展認證在此之外�,利用現有廣泛使用的認證機制,如RADIUS��,SecurID和一次性口令(OTP)等提供用戶級的認證�。客戶端通過擴展認證后���,進入模式配置交換階段��?���?蛻舳讼騃PsecVPN網關獲取訪問內部網絡所需的配置信息,包括網關為其分配的內部IP地址��、內部DNS服務器�����、WINS服務器的IP地址等��。模式配置結束后進入IKE第二階段協(xié)商����,生成安全聯盟�,至此協(xié)商完成。此后遠程客戶端可以在之前建立的IPsec通道保護下��,使用分配的內部IP地址訪問IPsec VPN網關保護的內部網絡資源�。
[0004]IPsec VPN網關負責管理和維護遠程接入客戶端信息。在集中式系統(tǒng)中�����,所有的遠程用戶都接入到主控�,便于維護用戶信息。但是集中式系統(tǒng)接入用戶容量有限���,另外設備通常還需要同時承擔其他業(yè)務���,用戶接入速度以及IPsec報文處理性能較弱���。分布式系統(tǒng)在性能和容量方面較集中式系統(tǒng)優(yōu)勢有明顯的優(yōu)勢。分布式系統(tǒng)一般由主控�、線卡、IPsec業(yè)務卡組成����,主控主要負責各種管理工作,比如網關配置管理和路由表管理等�����;線卡主要負責報文轉發(fā)��;業(yè)務卡主要負責處理應用協(xié)議�,比如IPsec協(xié)議,業(yè)務卡的硬件加解密芯片能提供強大的IPsec處理能力�����。大量用戶接入時,可使用多個IPsec業(yè)務卡同時處理��,由此引入的問題是用戶分布在多個業(yè)務卡,導致用戶管理非常復雜�。
[0005]針對相關技術中由于接入用戶過多導致管理效率降低的問題,目前尚未提出有效的解決方案�。
【發(fā)明內容】
[0006]本發(fā)明提供了一種用戶數據管理方法及裝置,以至少解決相關技術由于接入用戶過多導致管理效率降低的問題�。
[0007]根據本發(fā)明的一個方面,提供了一種用戶數據管理方法���,包括:
[0008]接收包含有互聯網協(xié)議安全性IPsec配置信息的用戶信息列表����;根據用戶信息列表中的用戶信息生成全局用戶節(jié)點�;將全局用戶節(jié)點加入全局用戶表中,通過全局用戶表管理接入的用戶�����。
[0009]優(yōu)選的�����,用戶信息列表中的用戶信息包括以下至少之一:用戶組�、業(yè)務卡地址�、IPsec配置信息�,其中�����,IPsec配置信息用于為接入用戶配置內網資源�;用戶信息列表還包括:接入用戶索引表,用于索引接入用戶����,接入用戶索引表由IPsec接口和用戶內網IP組成。
[0010]優(yōu)選的�����,通過以下方式至少之一���,通過全局用戶表管理接入的用戶:
[0011]方案一��,根據預設閾值判斷全局用戶表中���,用戶組的接入用戶數是否大于預設閾值;若判斷結果為是�,則關閉接入接口 ;
[0012]方案二�,通過查詢全局用戶表得到異常的業(yè)務卡��;將異常的業(yè)務卡中的上線的全部用戶刪除��;
[0013]方案三�,根據接入用戶索引表查找接入用戶���,并對接入用戶執(zhí)行預設操作��,預設操作包括以下至少之一:查詢��、刪除���。
[0014]優(yōu)選的,在通過全局用戶表管理接入的用戶之后����,還包括:根據全局用戶表中的用戶信息生成表項;根據表項與用戶接入設備建立通信����。
[0015]優(yōu)選的�,根據表項與用戶接入設備建立通信,包括:方式一:接收用戶接入設備發(fā)送的加密報文�;對加密報文進行互聯網協(xié)議安全性IPsec解封裝�,得到解封裝后的內層報文���;將內存報文發(fā)送至用戶接入設備對應的內網設備���;
[0016]或者,
[0017]方式二��,接收內網設備發(fā)送的明文���;通過互聯網協(xié)議安全性IPsec封裝明文����,得到封裝后的報文�;將報文發(fā)送至用戶接入設備。
[0018]根據本發(fā)明的另一個方面���,提供了一種用戶數據管理裝置����,包括:
[0019]接收模塊���,用于接收包含有互聯網協(xié)議安全性IPsec配置信息的用戶信息列表��;生成模塊�����,用于根據用戶信息列表中的用戶信息生成全局用戶節(jié)點��;管理模塊���,用于將全局用戶節(jié)點加入全局用戶表中�,通過全局用戶表管理接入的用戶�。
[0020]優(yōu)選的,用戶信息列表中的用戶信息包括以下至少之一:用戶組��、業(yè)務卡地址��、IPsec配置信息�,其中,IPsec配置信息用于為接入用戶配置內網資源���;用戶信息列表還包括:接入用戶索引表�,用于索引接入用戶�,接入用戶索引表由IPsec接口和用戶內網IP組成。
[0021]優(yōu)選的��,管理模塊����,用于通過以下方式至少之一,通過全局用戶表管理接入的用戶:第一管理單元��,用于根據預設閾值判斷全局用戶表中�,用戶組的接入用戶數是否大于預設閾值;若判斷結果為是�����,則關閉接入接口 ����;第二管理單元,用于通過查詢全局用戶表得到異常的業(yè)務卡����;將異常的業(yè)務卡中的上線的全部用戶刪除;第三管理單元�����,用于根據接入用戶索引表查找接入用戶,并對接入用戶執(zhí)行預設操作���,預設操作包括以下至少之一:查詢�、刪除���。
[0022]優(yōu)選的��,裝置還包括:表項生成模塊�����,用于在通過全局用戶表管理接入的用戶之后�����,根據全局用戶表中的用戶信息生成表項��;通信模塊�����,用于根據表項生成模塊生成的表項與用戶接入設備建立通信�。
[0023]優(yōu)選的�,通信模塊,包括:第一接收單元,用于接收用戶接入設備發(fā)送的加密報文��;解封單元���,用于對第一接收單元接收的加密報文進行互聯網協(xié)議安全性IPsec解封裝,得到解封裝后的內層報文�;第一發(fā)送單元,用于將解封后的內存報文發(fā)送至用戶接入設備對應的內網設備����;或者,第二接收單元�,用于接收內網設備發(fā)送的明文;封裝單元�,用于通過互聯網協(xié)議安全性IPsec封裝明文,得到封裝后的報文�;第二發(fā)送單元,用于將報文發(fā)送至用戶接入設備�����。
[0024]通過本發(fā)明�����,采用接收包含有互聯網協(xié)議安全性IPsec配置信息的用戶信息列表;根據用戶信息列表中的用戶信息生成全局用戶節(jié)點����;將全局用戶節(jié)點加入全局用戶表中,通過全局用戶表管理接入的用戶��,解決了由于接入用戶過多導致管理效率降低的問題�,進而達到了提升對接入用戶管理效率的效果。
【附圖說明】
[0025]此處所說明的附圖用來提供對本發(fā)明的進一步理解���,構成本申請的一部分�����,本發(fā)明的示意性實施例及其說明用于解釋本發(fā)明��,并不構成對本發(fā)明的不當限定�。在附圖中:
[0026]圖1是根據本發(fā)明實施例的用戶數據管理方法的流程圖�;
[0027]圖2是根據本發(fā)明實施例的用戶信息列表的結構圖;
[0028]圖3是本發(fā)明實施例通過全局用戶表管理用戶的架構圖�;
[0029]圖4是根據本發(fā)明實施例的用戶數據管理裝置的結構框圖;
[0030