CN110113243B - 一种基于容器技术的用户无感vpn接入方法 - Google Patents

Abstract

本发明公开了一种基于容器技术的用户无感VPN接入方法，先进行企业VPN网络信息登记和终端用户设备的信息登记，然后开始基于容器技术的终端接入设备的部署，当部署完成后，结合登记信号实现终端用户设备与企业网络的VPN通信；这样使整个接入过程不依赖于用户的使用环境，且连接过程简单，不需要人为配置，提高工作效率。

Description

一种基于容器技术的用户无感VPN接入方法

技术领域

本发明属于网络通信技术领域，更为具体地讲，涉及一种基于容器技术的用户无感VPN接入方法。

背景技术

虚拟专用网络(Virtual Private Network，VPN)是一种常用于连接中、大型企业或团体与团体间的私人网络的通讯方法。虚拟私人网络的信息透过公用的网络架构(例如：互联网)来传送内部网的网络信息。它利用加密的隧道协议来达到保密、发送端认证、消息准确性等私人消息安全效果，这种技术可以使用不安全的网网络(例如：互联网)来发送可靠、安全的消息。这种技术的出现满足了企业移动办公人员的需要，使得他们能够使用认证信息随时随地访问和管理企业内部网络的资源，大大提升了工作效率。

容器是一种有别于虚拟机(也称hypervisor虚拟化技术)的另一种计算资源虚拟化技术。本文中所述的容器技术均以Docker作为实现范例。

虚拟机会将虚拟硬件、内核(即操作***)以及用户空间打包在新虚拟机当中，虚拟机能够利用“虚拟机管理程序”运行在物理设备之上。虚拟机依赖于 hypervisor，其通常被安装在“裸金属”***硬件之上，这导致hypervisor在某些方面被认为是一种操作***。一旦hypervisor安装完成，就可以从***可用计算资源当中分配虚拟机实例了，每台虚拟机都能够获得唯一的操作***和负载 (应用程序)。简言之，虚拟机先需要虚拟一个物理环境，然后构建一个完整的操作***，再搭建一层Runtime，然后供应用程序运行。

对于容器环境来说，不需要安装主机操作***，直接将容器层(比如LXC或libcontainer)安装在主机操作***(通常是Linux变种)之上。在安装完容器层之后，就可以从***可用计算资源当中分配容器实例了，并且企业应用可以被部署在容器当中。但是，每个容器化应用都会共享相同的操作***(单个主机操作***)。容器可以看成一个装好了一组特定应用的虚拟机，它直接利用了宿主机的内核，抽象层比虚拟机更少，更加轻量化，启动速度极快

相比于虚拟机，容器拥有更高的资源使用效率，因为它并不需要为每个应用分配单独的操作***——实例规模更小、创建和迁移速度也更快。这意味相比于虚拟机，单个操作***能够承载更多的容器。云提供商十分热衷于容器技术，因为在相同的硬件设备当中，可以部署数量更多的容器实例。此外，容器易于迁移，但是只能被迁移到具有兼容操作***内核的其他服务器当中，这样就会给迁移选择带来限制。

因为容器不像虚拟机那样同样对内核或者虚拟硬件进行打包，所以每套容器都拥有自己的隔离化用户空间，从而使得多套容器能够运行在同一主机***之上。我们可以看到全部操作***层级的架构都可实现跨容器共享，惟一需要独立构建的就是二进制文件与库。正因为如此，容器才拥有极为出色的轻量化特性。

在本文所提供的解决方案中，容器将扮演VPN隧道端点的角色，最大程度地利用了容器的隔离、轻量化、启动快速、删除无痕等特性。

尽管目前市面上有许多的VPN服务提供商，也有许多功能丰富的VPN软件(包括计算机操作***内置的VPN网络配置服务)。但对于移动办公人员，特别是非计算机网络相关的企业办公人员而言，可能并不需要细致入微的VPN 配置和功能。他们只需要能够访问企业内网即可，并不关心自己究竟是如何登入内网的。同时，VPN的配置本身可能对于他们而言就是一项不小的负担。也就是说，现有的VPN解决方案均需要依靠用户去手动进行一系列操作后才能实现，并且同时依赖于用户的使用环境。若配置过程出现某些意外状况，则会使得连接过程人为地变得复杂，降低工作效率甚至无法成功。

发明内容

本发明的目的在于克服现有技术的不足，提供一种基于容器技术的用户无感VPN接入方法，通过用户设备软硬件特征提取子***将自身设备特征信息进行登记，再物理接入容器化公共网络接入设备。

为实现上述发明目的，本发明一种基于容器技术的用户无感VPN接入方法，其特征在于，包括以下步骤：；

(1)、企业VPN网络信息登记

(1.1)、企业网络管理员向网络管理平台登记企业VPN网络的以下信息：企业名、企业VPN网关地址、企业子网地址、VPN配置信息和连接、加密方式以及一个VPN口令池；

(1.2)、网络管理平台根据上述信息生成符合该企业要求的容器镜像并保存；

(2)、终端用户设备的信息登记

(2.1)、判断终端用户设备是否进行了信号登记，如果已经登记则进入步骤(2.2)，否则，在网络管理平台对该终端用户设备进行信息登记；

(2.2)、判断判断终端用户设备是否已连接至企业内网，如果未连接，则进入步骤(2.3)，否则直接跳转至步骤(2.4)；

(2.3)、终端用户在该终端上下载安装由企业提供的信息采集客户端，并进行企业内的身份认证，待认证通过后跳转至步骤(2.5)；

(2.4)、通过终端信息采集工具自动采集终端用户设备的特征信息，再发送给网络管理员；

(2.5)、通过信息采集客户端采集终端用户设备的特征信息，再发送给网络管理员；

(2.6)、网络管理员接收到特征信息数据后，将特征信息数据提交到云VPN 管理子***保存；

(3)、基于容器技术的终端接入设备的部署

(3.1)、通过DHCP或人工配置方式获得IP地址，将终端接入设备进行网络的物理接入，以确保能够与云VPN管理子***进行通信；

然后，终端接入设备向云VPN管理子***发送请求，启动交互，通过终端接入设备的软硬件信息认证该终端接入设备的合法性；

(3.2)、管理平台下发初始化脚本，对终端接入设备进行初始化；

(3.3)、当认证通过且初始化成功完成后，网络管理平台通过扫描终端接入设备的运行进程和端口，启动对终端接入设备的安全检查，确保无异常软件植入、无异常通信发生，若检查不通过，则返回至步骤(3.2)；

(3.4)、运行容器连接测试，保证基于容器技术的终端接入设备的部署完毕后能够正确连接各企业的VPN网关；

(4)、终端用户设备与企业网络的VPN通信

(4.1)、当终端接入设备接收到用户的接入请求时，先判断该用户是否已经经过了认证，如果通过了认证，则将该用户标记为已知用户，并跳转至步骤(4.3)；否则将该用户标记为未知用户，再进入步骤(4.2)；

(4.2)、终端接入设备将未知用户识别信息发送至云VPN管理子***，根据未知用户设备识别信息获取该用户的镜像信息，部署相关容器并按照对应口令进行配置，从而完成该未知用户的认证，将该用户标记为已知用户进入步骤 (4.3)；若相关记录中没有找到该未知用户信息，则按照常规网关模式进行数据的转发，并结束；

(4.3)、识别已知用户的目的IP地址，若不是企业指定的IP，则按照常规网关模式进行转发，并结束；若是企业指定的IP，则进入步骤(4.4)；

(4.4)、将根据步骤(1)、(2)的信息登记，将已知用户接入至企业网络：将已知用户数据导入容器，容器记录当前已知用户的IP地址和端口号，修改数据包头为容器自身的IP地址和端口号，发送至VPN对端；当数据返回时，再将返回数据包头改为已知用户当前IP地址和端口，并发送给已知用户；

(4.5)、当已知用户超过指定时间未发送和收到数据，删除该容器，清空相应数据。

本发明的发明目的是这样实现的：

本发明基于容器技术的用户无感VPN接入方法，先进行企业VPN网络信息登记和终端用户设备的信息登记，然后开始基于容器技术的终端接入设备的部署，当部署完成后，结合登记信号实现终端用户设备与企业网络的VPN通信；这样使整个接入过程不依赖于用户的使用环境，且连接过程简单，不需要人为配置，提高工作效率。

同时，本发明基于容器技术的用户无感VPN接入方法还具有以下有益效果：

(1)、便捷性：用户在部署了该接入设备的环境下接入网络，可以完全模拟公司网络环境，不需再进行任何其他配置即可轻松访问专用网络中的内容。

(2)、兼容性：容器的隔离性使得即使多个用户同时接入，且启用完全不同种类的VPN，也不会相互之间产生干扰。

(3)、安全性：容器完全由企业定制，企业可以在允许的范围内为容器加入更多功能，如流量清洗等，进一步强化用户与企业网络之间联系的安全性。同时，终端接入设备本身的认证和安全功能也保证了在用户与接入设备之间的通信是安全的。

附图说明

图1是本发明基于容器技术的用户无感VPN接入***架构图；

图2是本发明基于容器技术的用户无感VPN接入***工作原理图；

图3是终端用户设备的信息登记流程图；

图4是基于容器技术的终端接入设备的部署流程图；

图5是终端用户设备与企业网络的VPN通信流程图。

具体实施方式

下面结合附图对本发明的具体实施方式进行描述，以便本领域的技术人员更好地理解本发明。需要特别提醒注意的是，在以下的描述中，当已知功能和设计的详细描述也许会淡化本发明的主要内容时，这些描述在这里将被忽略。

实施例

在本方案中，重点解决的问题为：当用户处于公共网络中时，能够无感地、安全地访问企业内部网络。要达到该目的，在用户设备如笔记本、手机等移动终端上，无需任何额外的联网操作，所有VPN相关的软件部署、参数配置等在用户端的网络接入设备上自动完成。

在本实施例中，如图1所示，完整的用户无感VPN接入***由三部分组成，它们是：用户设备软硬件特征提取子***，云VPN管理子***，容器化公共网络接入设备。

其中，用户设备软硬件特征提取子***由企业网络管理员端和移动用户端构成。企业网络管理员端负责收集用户端发送的软硬件特征信息以生成用户指纹，并为该用户设备生成一个证书，之后将用户指纹与对应的证书提交至云VPN 管理子***保存。用户端负责采集用户的软硬件特征信息并发送到网络管理员处，采集过程自动完成。

云VPN管理子***(以下简称“管理平台”)中维护一个数据库和一个容器镜像仓库，数据库中记录：企业名-企业VPN网关IP用户指纹-所属企业-证书等。基于企业提交的VPN配置信息，云VPN管理子***生成可与该内网关口 VPN设备直接挂接的容器镜像，存入云VPN管理子***的镜像库中。云VPN 管理子***可以对所生成的容器镜像进行测试，验证其运行后与该用户设备所属单位的VPN网关间的连接状况，以确保其可用性。

容器化公共网络接入设备是由“用户无感VPN接入服务商”(以下简称“服务商”)提供的公网安全接入设备，如无线AP，它是经过安全认证的、用户可信任的设备，含有服务商颁发的证书，同时满足容器运行的要求，除用户流量外，它仅仅与管理平台通信，同时不提供直接的人机接口以确保管理平台具有它的唯一管理权限。

通过上述三者构成完整的用户无感VPN接入***，其具体的工作原理如图 2所示。

图3是本发明基于容器技术的用户无感VPN接入方法流程图。

在本实施例中，如图3所示，本发明一种基于容器技术的用户无感VPN接入方法，包括以下步骤：；

S1、企业VPN网络信息登记

S1.1、企业网络管理员向网络管理平台登记企业VPN网络的以下信息：企业名、企业VPN网关地址、企业子网地址、VPN配置信息和连接、加密方式以及一个VPN口令池；

S1.2、网络管理平台根据上述信息生成符合该企业要求的容器镜像并保存；

S2、如图4所示，终端用户设备进行信息登记

S2.1、判断终端用户设备是否进行了信号登记，如果已经登记则进入步骤 S2.2，否则，在网络管理平台对该终端用户设备进行信息登记；

S2.2、判断判断终端用户设备是否已连接至企业内网，如果未连接，则进入步骤S2.3，否则直接跳转至步骤S2.4；

S2.3、终端用户在该终端上下载安装由企业提供的信息采集客户端，并进行企业内的身份认证，待认证通过后跳转至步骤S2.5；

S2.4、通过终端信息采集工具自动采集终端用户设备的特征信息，再发送给网络管理员；

S2.5、通过信息采集客户端采集终端用户设备的特征信息，再发送给网络管理员；

S2.6、网络管理员接收到特征信息数据后，将特征信息数据提交到云VPN 管理子***保存；

S3、如图5所示，基于容器技术的终端接入设备的部署

S3.1、通过DHCP或人工配置方式获得IP地址，将终端接入设备进行网络的物理接入，以确保能够与云VPN管理子***进行通信；

然后，终端接入设备向云VPN管理子***发送请求，启动交互，通过终端接入设备的软硬件信息认证该终端接入设备的合法性；

S3.2、管理平台下发初始化脚本，对终端接入设备进行初始化；

S3.3、当认证通过且初始化成功完成后，网络管理平台通过扫描终端接入设备的运行进程和端口，启动对终端接入设备的安全检查，确保无异常软件植入、无异常通信发生，若检查不通过，则返回至步骤S3.2；

S3.4、运行容器连接测试，保证基于容器技术的终端接入设备的部署完毕后能够正确连接各企业的VPN网关；

S4、终端用户设备与企业网络的VPN通信

S4.1、当终端接入设备接收到用户的接入请求时，先判断该用户是否已经经过了认证，如果通过了认证，则将该用户标记为已知用户，并跳转至步骤S4.3；否则将该用户标记为未知用户，再进入步骤S4.2；

S4.2、终端接入设备将未知用户识别信息发送至云VPN管理子***，根据未知用户设备识别信息获取该用户的镜像信息，部署相关容器并按照对应口令进行配置，从而完成该未知用户的认证，将该用户标记为已知用户进入步骤 S4.3；若相关记录中没有找到该未知用户信息，则按照常规网关模式进行数据的转发，并结束；

S4.3、识别已知用户的目的IP地址，若不是企业指定的IP，则按照常规网关模式进行转发，并结束；若是企业指定的IP，则进入步骤S4.4；

S4.4、将根据步骤S1、S2的信息登记，将已知用户接入至企业网络：将已知用户数据导入容器，容器记录当前已知用户的IP地址和端口号，修改数据包头为容器自身的IP地址和端口号，发送至VPN对端；当数据返回时，再将返回数据包头改为已知用户当前IP地址和端口，并发送给已知用户；

S4.5、当已知用户超过指定时间未发送和收到数据，删除该容器，清空相应数据。

实例：

企业B在服务提供商处注册企业信息，申请该项服务，向管理平台提供的信息为B-1.1.110.1/16。并登记企业所使用的VPN种类为SSL VPN，SSL VPN 地址为https:// gateway.b.com。

用户A持有XIAOMI 5S手机，***MIUI 10.1.1.0stable，基带版本 TH20c1.9-0926_1622_3a7bd2d，内核版本 3.18.31-perf-g0bf156d-01143-g2d4873d,WLAN MAC地址34:80:b3:f8:65:a0。该设备为新购入，未连接过工作单位网络，故通过用户端软件进行员工身份认证，通过后，开始向企业网络管理员发送上述信息。

网络管理员收到上述信息后，管理员端软件计算得到该用户设备的指纹： 966634ebf2fc135707d6753692bf4b1e，随后，管理员为该设备分配了一个证书来证明其合法性，并将指纹与证书通过管理员端软件上传至管理平台。

云管理平台IP地址为220.10.3.7/24.其在企业B注册时已经为其生成了将来所需的容器镜像并保存于镜像库中。当网络管理员提交 966634ebf2fc135707d6753692bf4b1e-证书时，管理平台将该指纹-证书对保存在数据库中。

酒店C购买了符合该***要求的终端接入设备，并向管理平台提交了设备序列号和配置文件，接入Internet后，该设备获得的IP是125.21.3.31/24.设备首先向220.10.3.7发起交互请求，得到响应后，发送证书开始基于PKI体系的设备认证。认证通过后，平台发送并启动设备自检程序。自检完毕未发现问题，向管理平台发送本机序列号，管理平台根据序列号找到响应配置文件进行设备初始化配置。

用户A来到酒店C进行移动办公，当用户A的设备XIAOMI 5S接入终端接入设备时，终端接入设备向其分配IP地址192.168.110.1/24.同时，接入过程也向终端接入设备发送了设备信息，终端接入设备根据信息计算得到其指纹应为： 966634ebf2fc135707d6753692bf4b1e，随后终端接入设备将指纹发送至管理平台，管理平台在数据库中检索得到存在该用户且其对应公司名为B，向终端接入设备下发镜像和用户设备证书。终端接入设备中的Docker Engine利用镜像生成容器，为其配置IP为192.168.110.2/24.

用户开始发送数据，终端接入设备将数据进行拦截并分析，若数据包IP指向1.1.0.0/16，则修改发送者IP为192.168.110.2，并将数据包送入容器，再由容器发往企业VPN网关。返回数据则再将接受者IP改为192.168.110.1，送给用户设备，完成通信过程。

A离开时，经过一段时间后，容器被注销。

尽管上面对本发明说明性的具体实施方式进行了描述，以便于本技术领域的技术人员理解本发明，但应该清楚，本发明不限于具体实施方式的范围，对本技术领域的普通技术人员来讲，只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内，这些变化是显而易见的，一切利用本发明构思的发明创造均在保护之列。

Claims (1)

1.一种基于容器技术的用户无感VPN接入方法，其特征在于，包括以下步骤：

(1)、企业VPN网络信息登记

(1.1)、企业网络管理员向网络管理平台登记企业VPN网络的以下信息：企业名、企业VPN网关地址、企业子网地址、连接、加密方式以及一个VPN口令池；

(1.2)、网络管理平台根据上述信息生成符合该企业要求的容器镜像并保存；

(2)、终端用户设备的信息登记

(2.1)、判断终端用户设备是否进行了信号登记，如果已经登记则进入步骤(2.2)，否则，在网络管理平台对该终端用户设备进行信息登记；

(2.2)、判断终端用户设备是否已连接至企业内网，如果未连接，则进入步骤(2.3)，否则直接跳转至步骤(2.4)；

(2.3)、终端用户在该终端上下载安装由企业提供的信息采集客户端，并进行企业内的身份认证，待认证通过后跳转至步骤(2.5)；

(2.4)、通过终端信息采集工具自动采集终端用户设备的特征信息，再发送给网络管理员；

(2.5)、通过信息采集客户端采集终端用户设备的特征信息，再发送给网络管理员；

(2.6)、网络管理员接收到特征信息数据后，将特征信息数据提交到云VPN管理子***保存；

(3)、基于容器技术的终端接入设备的部署

(3.1)、通过DHCP或人工配置方式获得IP地址，将终端接入设备进行网络的物理接入，以确保能够与云VPN管理子***进行通信；

然后，终端接入设备向云VPN管理子***发送请求，启动交互，通过终端接入设备的软硬件信息认证该终端接入设备的合法性；

(3.2)、管理平台下发初始化脚本，对终端接入设备进行初始化；

(3.3)、当认证通过且初始化成功完成后，网络管理平台通过扫描终端接入设备的运行进程和端口，启动对终端接入设备的安全检查，确保无异常软件植入、无异常通信发生，若检查不通过，则返回至步骤(3.2)；

(3.4)、运行容器连接测试，保证基于容器技术的终端接入设备的部署完毕后能够正确连接各企业的VPN网关；

(4)、终端用户设备与企业网络的VPN通信

(4.1)、当终端接入设备接收到用户的接入请求时，先判断该用户是否已经经过了认证，如果通过了认证，则将该用户标记为已知用户，并跳转至步骤(4.3)；否则将该用户标记为未知用户，再进入步骤(4.2)；

(4.2)、终端接入设备将未知用户识别信息发送至云VPN管理子***，根据未知用户设备识别信息获取该用户的镜像信息，部署相关容器并按照对应口令进行配置，从而完成该未知用户的认证，将该用户标记为已知用户进入步骤(4.3)；若相关记录中没有找到该未知用户信息，则按照常规网关模式进行数据的转发，并结束；

(4.3)、识别已知用户的目的IP地址，若不是企业指定的IP，则按照常规网关模式进行转发，并结束；若是企业指定的IP，则进入步骤(4.4)；

(4.4)、将根据步骤(1)、(2)的信息登记，将已知用户接入至企业网络：将已知用户数据导入容器，容器记录当前已知用户的IP地址和端口号，修改数据包头为容器自身的IP地址和端口号，发送至VPN对端；当数据返回时，再将返回数据包头改为已知用户当前IP地址和端口，并发送给已知用户；

(4.5)、当已知用户超过指定时间未发送和收到数据，删除该容器，清空相应数据。

Images