VPN设备的集中管理系统及方法与流程

本发明涉及一种网络安全技术领域，特别是涉及一种VPN设备的集中管理系统及方法。

背景技术：

随着网络的发展，为了保证数据的安全，分公司和总公司之间的通讯或者子站点和IDC(互联网数据中心)之间往往采用VPN(虚拟专用网络)的方式进行通讯。现有技术中主要通过人工进行修改远端的VPN设备的配置与中心端进行连接，但是如果远端出现故障无法进行远程管理时，此时只能人工赶到设备现场进行管理，对于大规模的VPN终端设备，管理成本非常高。

技术实现要素：

本发明要解决的技术问题是为了克服现有技术中人工修改远端的VPN设备的配置，导致远端出现故障时无法进行远程管理的缺陷，提供一种VPN设备的集中管理系统及方法。

本发明是通过下述技术方案来解决上述技术问题的：

本发明提供了一种VPN设备的集中管理系统，其特点在于，包括：

识别码生成单元，用于生成VPN设备的唯一识别码，并建立VPN设备的秘钥；

传输单元，用于将VPN设备的唯一识别码、秘钥以及配置文件传输至一配置文件存储单元进行存储，并将秘钥导入VPN设备中；

校验码生成单元，用于在启动VPN设备后，从VPN设备中获取唯一识别码和秘钥，并根据获取的唯一识别码和秘钥生成校验码；

配置文件请求单元，用于向所述配置文件存储单元发送请求下载配置文件的请求指令，所述请求指令包含VPN设备的唯一识别码和校验码；

校验单元，用于根据VPN设备的唯一识别码和秘钥计算校验码，并比较计算出的校验码与所述请求指令中包含的校验码是否相同，若相同，则将配置文件从所述配置文件存储单元下载至VPN设备中，若不相同，则返回错误信息；

计算单元，用于计算下载的配置文件的MD5(消息摘要算法第五版)值，并比较计算出的MD5值与VPN设备当前使用的配置文件的MD5值是否相同，并在判断为否时为VPN设备下载新的配置文件。

较佳地，所述计算单元还用于在判断为是时，加载所述下载的配置文件并启动VPN隧道。

较佳地，所述集中管理系统还包括：

监控单元，用于定时检测VPN隧道是否发生异常，并在检测VPN隧道发生异常超过一时间段时，调用所述校验码生成单元重启VPN设备。

较佳地，所述集中管理系统还包括：

检测单元，用于检测配置文件是否修改，并在检测为是时将修改后的配置文件存储至所述配置文件存储单元中，重启VPN设备并将修改后的配置文件从所述配置文件存储单元下载至VPN设备中。

较佳地，所述校验码生成单元生成的校验码为MD5校验码。

本发明的目的在于还提供了一种VPN设备的集中管理方法，其特点在于，其利用上述的集中管理系统实现，包括以下步骤：

S₁、生成VPN设备的唯一识别码，并建立VPN设备的秘钥；

S₂、将VPN设备的唯一识别码、秘钥以及配置文件传输至配置文件存储单元进行存储，并将秘钥导入VPN设备中；

S₃、在启动VPN设备后，从VPN设备中获取唯一识别码和秘钥，并根据获取的唯一识别码和秘钥生成校验码；

S₄、向所述配置文件存储单元发送请求下载配置文件的请求指令，所述请求指令包含VPN设备的唯一识别码和校验码；

S₅、根据VPN设备的唯一识别码和秘钥计算校验码，并比较计算出的校验码与所述请求指令中包含的校验码是否相同，若相同，则将配置文件从所述配置文件存储单元下载至VPN设备中，然后执行步骤S₆；若不相同，则返回错误信息，然后结束流程；

S₆、计算下载的配置文件的MD5值，并比较计算出的MD5值与VPN设备当前使用的配置文件的MD5值是否相同，并在判断为否时为VPN设备下载新的配置文件。

较佳地，步骤S₆中还在判断为是时，加载所述下载的配置文件并启动VPN隧道。

较佳地，所述集中管理系统还包括监控单元，所述监控方法还包括：

监控单元定时检测VPN隧道是否发生异常，并在检测VPN隧道发生异常超过一时间段时，调用所述校验码生成单元重启VPN设备。

较佳地，所述集中管理系统还包括检测单元，所述集中管理方法还包括：

检测单元检测配置文件是否修改，并在检测为是时将修改后的配置文件存储至所述配置文件存储单元中，重启VPN设备并将修改后的配置文件从所述配置文件存储单元下载至VPN设备中。

较佳地，步骤S₃中生成的校验码为MD5校验码。

本发明的积极进步效果在于：本发明将VPN终端设备进行集中管理，所有的配置文件可集中进行操作，并且VPN设备可以在VPN隧道未建立的情况下自主的下载新的配置文件，降低了VPN设备维护的复杂度，简化了维护工作，增强了VPN设备的稳定性，并且本发明能解决VPN设备大批量修改配置文件的工作量巨大的问题，提高了工作效率。

附图说明

图1为本发明的较佳实施例的VPN设备的集中管理系统的模块示意图。

图2为本发明的较佳实施例的VPN设备的集中管理方法的流程图。

具体实施方式

下面通过实施例的方式进一步说明本发明，但并不因此将本发明限制在所述的实施例范围之中。

如图1所示，本发明的VPN设备的集中管理系统包括识别码生成单元1、传输单元2、校验码生成单元3、配置文件请求单元4、校验单元5、计算单元6以及配置文件存储单元7，本发明的VPN设备的集中管理系统可以利用上述各个单元对多个VPN设备进行集中统一管理。

其中，所述识别码生成单元1可根据VPN设备的硬件信息生成唯一识别码(UID)，并建立VPN设备的秘钥；

所述传输单元2则将VPN设备的唯一识别码、秘钥以及配置文件传输至所述配置文件存储单元7中进行存储，并将秘钥导入VPN设备中；

所述校验码生成单元3会启动VPN设备，从VPN设备获取唯一识别码和秘钥，并根据对获取的唯一识别码和秘钥进行计算以生成校验码；

所述配置文件请求单元4则根据VPN设备的唯一识别码和生成的校验码向所述配置文件存储单元7发送配置文件获取请求，具体地，所述配置文件请求单元4会向所述配置文件存储单元7发送请求下载配置文件的请求指令，所述请求指令包含VPN设备的唯一识别码和校验码；

所述校验单元5会根据VPN设备的唯一识别码和秘钥计算校验码(具体为MD5校验码)，并比较计算出的校验码与所述请求指令中包含的校验码是否相同，若相同，则说明请求指令合法，此时就将配置文件从所述配置文件存储单元7中下载至VPN设备中，若不相同，则返回错误信息；

所述计算单元6会计算下载的配置文件的MD5值，并比较计算出的MD5值与VPN设备当前使用的配置文件的MD5值是否相同，并在判断为否时，则为VPN设备下载新的配置文件，在判断为是时，则加载所述下载的配置文件并启动VPN隧道。

在本发明中，优选地，所述VPN设备的管理系统还包括监控单元8，所述监控单元8在VPN设备运行过程中，定时检测VPN隧道是否发生异常，并在检测VPN隧道发生异常超过一时间段(具体时间可根据实际需要进行设置)时，调用所述校验码生成单元3重启VPN设备，所述校验码生成单元3则在VPN设备重启后重新获取唯一识别码和秘钥，并重新生成校验码。

优选地，在本发明中，所述VPN设备的集中管理系统还包括检测单元9，所述检测单元9可以检测配置文件是否修改，并在检测到修改时，将修改后的新的配置文件存储至所述配置文件存储单元7中，然后重启VPN设备并将修改后的配置文件从所述配置文件存储单元7下载至VPN设备中，实现了为VPN设备加载最新的配置文件。

在本发明中，VPN设备可主动向配置文件存储单元获取属于所述VPN设备的配置文件，进行更新和加载；配置文件存储单元组要存储各个VPN设备的配置文件，并提供对配置文件的下载，配置文件存储单元可以在公网中开放；所述VPN设备的集中管理系统主要用于工作人员添加新的VPN设备，并维护相应的配置文件的接口，新的配置文件以及设备信息将发送到配置文件存储单元中进行存储。

本发明实现了将所有VPN设备的配置进行集中管理，无需连接到各个VPN设备对配置进行修改，降低了维护的复杂度，并且当VPN设备的配置发生修改时，VPN设备可以自动重新下载最新的配置文件并进行更新，免去了登录相应的VPN设备进行修改的操作，大大提供了工作效率以及维护成本，并且有利于对多个VPN设备进行大规模的批量修改配置，简化了VPN设备的维护工作。

如图2所示，本发明的VPN设备的集中管理方法利用上述的VPN设备的集中管理系统实现，包括以下步骤：

步骤101、生成VPN设备的唯一识别码，并建立VPN设备的秘钥；

步骤102、将VPN设备的唯一识别码、秘钥以及配置文件传输至配置文件存储单元进行存储，并将秘钥导入VPN设备中；

步骤103、在启动VPN设备后，从VPN设备中获取唯一识别码和秘钥，并根据获取的唯一识别码和秘钥生成校验码；

步骤104、向所述配置文件存储单元发送请求下载配置文件的请求指令，所述请求指令包含VPN设备的唯一识别码和校验码；

步骤105、根据VPN设备的唯一识别码和秘钥计算校验码，并比较计算出的校验码与所述请求指令中包含的校验码是否相同，若相同，则将配置文件从所述配置文件存储单元下载至VPN设备中，然后执行步骤106；若不相同，则返回错误信息，然后结束流程；

步骤106、计算下载的配置文件的MD5值，并比较计算出的MD5值与VPN设备当前使用的配置文件的MD5值是否相同，若否，则为VPN设备下载新的配置文件；若是，则加载所述下载的配置文件并启动VPN隧道；

步骤107、定时检测VPN隧道是否发生异常，并在检测VPN隧道发生异常超过一时间段时，调用所述校验码生成单元重启VPN设备，然后返回步骤103。

在本发明的VPN设备的集中管理方法中，还包括：利用检测单元检测配置文件是否修改，并在检测到修改时，将修改后的新的配置文件存储至配置文件存储单元中，然后重启VPN设备并将修改后的配置文件从配置文件存储单元下载至VPN设备中，实现了为VPN设备加载最新的配置文件。

虽然以上描述了本发明的具体实施方式，但是本领域的技术人员应当理解，这些仅是举例说明，本发明的保护范围是由所附权利要求书限定的。本领域的技术人员在不背离本发明的原理和实质的前提下，可以对这些实施方式做出多种变更或修改，但这些变更和修改均落入本发明的保护范围。