基准站网络、基准站网络节点公网安全接入方法及装置与流程

本技术涉及网络通信，特别涉及大型基准站网络技术。

背景技术：

1、北斗星基增强系统北斗卫星导航系统的重要组成部分，通过地球静止轨道卫星搭载卫星导航增强信号转发器，可以向用户播发星历误差、卫星钟差、电离层延迟等多种修正信息，实现对于原有卫星导航系统定位精度的改进。然而，虽然地基增强基准站分布广泛，但在一些应用场景下的运营成本高。

2、另一方面，远程访问技术(vpn，virtual private network)在近年得到了迅速发展。vpn属于远程访问技术，简单地说就是利用公用网络架设专用网络。例如某公司员工出差到外地，他想访问企业内网的服务器资源，这种访问就属于远程访问。然而，虽然vpn具有安全、方便的等优点，但在一些应用场景下会工作复杂，消耗大量计算资源等，影响其进一步更加广泛地应用。

技术实现思路

1、本技术的目的在于提供一种基准站网络及其节点公网安全接入方法及装置，接入设备及站点数量规模具有更好的扩展性，接入能力更强，安全性更高，配置更简单，能够更灵活地实现冗余切换。

2、本技术公开了一种基准站网络节点公网安全接入方法，所述基准站网络中的基准站和基准站网关连接，基准站网关在公网上通过vpn加密隧道和数据中心vpn网关连接，数据中心vpn网关和数据中心服务器连接，使所述基准站的多个站内设备通过vpn加密隧道与数据中心服务器连接，所述方法包括：

3、所述数据中心服务器发起对指定站内设备的访问请求，其中，所述访问请求数据报文中包含数据中心服务器的原始源地址，以及该指定站内设备对应的目的地址；

4、所述数据中心vpn网关将所述访问请求数据报文中数据中心服务器的原始源地址按照预先配置进行网络地址翻译，以生成该所述访问请求数据报文中的新源地址；

5、所述数据中心vpn网关判断所述数据报文的新源地址到该指定站内设备的目的地址的地址对，与预先配置的vpn兴趣流是否匹配，如果是，则所述数据中心vpn网关向所述指定站内设备发送该访问请求数据报文；其中，预先配置的vpn兴趣流不包含数据中心服务器的原始源地址。

6、在一个优选例中，还包含以下步骤；

7、所述指定站内设备收到所述访问请求数据报文后，根据所述访问请求向所述数据中心服务器回传相应的数据报文，其中，回传数据报文的回传源地址为请求数据报文的目的地址，回传数据报文的回传目的地址为请求数据报文的新源地址。

8、在一个优选例中，所述数据中心vpn网关将所述访问请求数据报文中数据中心服务器的原始源地址按照预先配置进行网络地址翻译，以生成该所述访问请求数据报文中的新源地址的步骤中，

9、所述数据中心vpn网关将所述原始源地址与事先设置的网络地址翻译配置文件匹配，并依据匹配结果进行源地址翻译，以将所述数据报文的原始源地址翻译成事先设置的相应的新源地址，同时，在所述数据中心vpn网关中保留该地址翻译的源地址翻译会话信息，所述源地址翻译会话信息包含翻译前的原始源地址、翻译前的目的地址、翻译前的端口信息、翻译后的新源地址、翻译后的目的地址和翻译后的端口信息，其中，翻译前的目的地址和翻译后的目的地址相同。

10、在一个优选例中，所述指定站内设备收到所述访问请求数据报文后，根据所述访问请求向所述数据中心服务器回传相应的数据报文的步骤中，

11、当所述站内设备返回响应的数据报文时，所述数据中心vpn网关检查回传源地址和回传目的地址是否和存储的源地址翻译会话信息中的翻译后的新源地址、翻译后的目的地址匹配，若匹配，则将回传目的地址修改为和请求数据报文中的原始源地址相同，并继续发送；若不匹配，则丢弃。

12、在一个优选例中，所述数据中心vpn网关判断所述数据报文的新源地址到该指定站内设备的目的地址的地址对，与预先配置的vpn兴趣流是否匹配的步骤中，包括：

13、判断数据中心vpn网关预设的新源地址与基准站网关预设的目的地址匹配，数据中心vpn网关预设的目的地址与基准站网关预设的源地址匹配。

14、在一个优选例中，所述基准站网络中包括多组对应连接的基准站和基准站网关，多组对应连接的数据中心和数据中心vpn网关，且多个基准站和多个数据中心vpn网关分别连接的vpn兴趣流中包含的地址对不同。

15、在一个优选例中，所述站内设备是以下之一或其任意组合：气象仪、物联网网关、传感器、计算服务器。

16、在一个优选例中，所述基准站网络中包含对应连接的第一数据中心服务器和第一数据中心vpn网关，以及对应连接的第二数据中心服务器和第二数据中心vpn网关，且第一数据中心vpn网关和第二数据中心vpn网关连接，当第一数据中心服务器的第一数据中心vpn网关与基准站网关之间的第一vpn隧道中断时，

17、所述第二数据中心vpn网关将所述访问请求数据报文中所述第一数据中心服务器的原始源地址按照预先配置进行网络地址翻译，以生成该所述请求数据报文中的新源地址。

18、本技术还公开了一种基准站网络节点公网安全接入装置所述基准站网络中的基准站和基准站网关连接，基准站网关在公网上通过vpn加密隧道和数据中心vpn网关连接，数据中心vpn网关和数据中心服务器连接，使所述基准站的多个站内设备通过vpn加密隧道与数据中心服务器连接，所述装置包括：

19、访问请求发起模块，用于发起对指定站内设备的访问请求，其中，所述访问请求数据报文中包含数据中心服务器的原始源地址，以及该指定站内设备对应的目的地址；

20、网络地址翻译模块，用于将所述访问请求数据报文中数据中心服务器的原始源地址按照预先配置进行网络地址翻译，以生成该所述访问请求数据报文中的新源地址；

21、判断与发送模块，用于判断所述数据报文的新源地址到该指定站内设备的目的地址的地址对，与预先配置的vpn兴趣流是否匹配，如果是，则所述数据中心vpn网关向所述指定站内设备发送该访问请求数据报文；其中，预先配置的vpn兴趣流不包含数据中心服务器的原始源地址。

22、本技术还公开了一种基准站网络所述基准站网络中的基准站和基准站网关连接，基准站网关在公网上通过vpn加密隧道和数据中心vpn网关连接，数据中心vpn网关和数据中心服务器连接，使所述基准站的多个站内设备通过vpn加密隧道与数据中心服务器连接，其中，所述基准站网络使用如前文描述的基准站网络节点公网安全接入方法。

23、本技术实施方式中，利用ipsec vpn隧道可以接入同一个站点内的所有设备，设备无数量限制，达到站点-站点连接的目的；数据中心服务器访问站点时，经过vpn网关做源地址翻译，翻译成指定网段；站点连接vpn网关的ipsec兴趣流，其目的地址匹配数据中心服务器的源翻译地址。

24、需指出，上述实施例中的每一个基准站站点都可以看作为一个小型分支中心，该站点内所有设备都可以通过vpn隧道接入数据中心；数据访问，仅能从数据中心发起访问分支内的设备，分支设备无法通过vpn隧道直接访问数据中心的内网，保证了数据中心的内网安全，而且配置简单，无需庞杂的策略配置条目；分支vpn网关可以同时连接多个vpn网关(vpn网关可以部署在单一/多个数据中心)，达到链路冗余切换的目的。

25、因此，总体来说，本技术具有以下优点：接入设备及站点数量规模具有更好的扩展性，接入能力更强，安全性更高，配置更简单，能够更灵活地实现冗余切换。

26、本技术的说明书中记载了大量的技术特征，分布在各个技术方案中，如果要罗列出本技术所有可能的技术特征的组合(即技术方案)的话，会使得说明书过于冗长。为了避免这个问题，本技术上述
技术实现要素：
中公开的各个技术特征、在下文各个实施方式和例子中公开的各技术特征、以及附图中公开的各个技术特征，都可以自由地互相组合，从而构成各种新的技术方案(这些技术方案均因视为在本说明书中已经记载)，除非这种技术特征的组合在技术上是不可行的。例如，在一个例子中公开了特征a+b+c，在另一个例子中公开了特征a+b+d+e，而特征c和d是起到相同作用的等同技术手段，技术上只要择一使用即可，不可能同时采用，特征e技术上可以与特征c相组合，则，a+b+c+d的方案因技术不可行而应当不被视为已经记载，而a+b+c+e的方案应当视为已经被记载。