[发明专利]多协议标签交换网络的接入方法和装置

说明书

技术领域

本发明涉及互联网领域，具体而言，涉及一种多协议标签交换网络的接入方法和装置。

背景技术

对于一些对安全性要求较高的网络系统，例如电子政务外网这类政务专网，需要通过部门之间的隔离保证各部门之间的安全性。同一个部门的数据业务通过一个基于多协议标签交换技术的虚拟专用网（Multi-Protocol Label Switching VPN，简称MPLS VPN）中连接到政务专网，能够实现不同部门之间的逻辑隔离。

通过MPLS VPN技术解决了部门之间的数据业务隔离的问题，但对移动办公人员及一些现场执法人员如何保证他们通过互联网能安全接入电子政务网络目前还没有统一的标准。现有技术通常利用预共享密钥和用户身份认证方式实现移动用户接入电子政务网络，这种方式对移动用户管理非常复杂，各地实现方式差异很大，安全性也较低。

针对现有技术中用户接入多协议标签交换网络安全性较低的问题，目前尚未提出有效的解决方案。

发明内容

本发明的主要目的在于提供一种多协议标签交换网络的接入方法和装置，以解决现有技术中用户接入多协议标签交换网络安全性较低的问题。

为了实现上述目的，根据本发明的一个方面，提供了一种多协议标签交换网络的接入方法。根据本发明的多协议标签交换网络的接入方法包括：获取用户移动证书中的用户身份信息；获取多协议标签交换中的标签信息；校验用户移动证书中的用户身份信息和多协议标签交换中的标签信息是否一致；如果校验出用户移动证书中的用户身份信息和多协议标签交换中的标签信息一致，则将用户接入到多协议标签交换网络中；以及如果校验出用户移动证书中的用户身份信息和多协议标签交换中的标签信息不一致，则不将用户接入到多协议标签交换网络中。

进一步地，如果校验出用户移动证书中的用户身份信息和多协议标签交换中的标签信息一致，则将用户接入到多协议标签交换网络中包括：获取用户网络边缘路由器的子接口；获取多协议标签交换的服务提供商边缘路由器；将用户身份信息发送至用户网络边缘路由器的子接口；以及利用用户网络边缘路由器的子接口将用户身份信息发送到多协议标签交换的服务提供商边缘路由器上。

进一步地，获取用户网络边缘路由器的子接口包括：获取用户与用户网络边缘路由器之间的互联网工程任务组安全标准协议隧道；利用互联网工程任务组安全标准协议隧道将用户身份信息发送至用户网络边缘路由器；以及用户网络边缘路由器对用户身份信息进行打标签处理，形成用户网络边缘路由器的标签。

进一步地，将用户接入到多协议标签交换网络中包括：获取用户移动证书的数据包；获取多协议标签交换中的标签信息；解析数据包得到用户身份信息；根据用户身份信息查询与用户身份信息对应的多协议标签交换中的标签信息；根据查询得到的多协议标签交换中的标签信息确定目标地址；以及按照目标地址将用户接入到多协议标签交换网络中。

进一步地，解析数据包得到用户身份信息包括：判断数据包是因特网密钥交换协议或者封装安全载荷协议；如果数据包是因特网密钥交换协议，则解析因特网密钥交换协议以得到用户身份信息；以及如果数据包是封装安全载荷协议，则查找加密算法，以及根据加密算法解密封装安全载荷协议得到用户身份信息。

为了实现上述目的，根据本发明的另一方面，提供了一种多协议标签交换网络的接入装置。根据本发明的多协议标签交换网络的接入装置包括：第一获取单元，用于获取用户移动证书中的用户身份信息；第二获取单元，用于获取多协议标签交换中的标签信息；校验单元，用于校验用户移动证书中的用户身份信息和多协议标签交换中的标签信息是否一致；接入单元，用于在校验出用户移动证书中的用户身份信息和多协议标签交换中的标签信息一致时，将用户接入到多协议标签交换网络中，在校验出用户移动证书中的用户身份信息和多协议标签交换中的标签信息不一致时，不将用户接入到多协议标签交换网络中。

进一步地，接入单元包括：第一获取模块，用于获取用户网络边缘路由器的子接口；第二获取模块，用于获取多协议标签交换的服务提供商边缘路由器；第一发送模块，用于将用户身份信息发送至用户网络边缘路由器的子接口；以及第二发送模块，用于利用用户网络边缘路由器的子接口将用户身份信息发送到多协议标签交换的服务提供商边缘路由器上。