CN101621503A - 应用于虚拟专用网络架构下的身份识别系统与方法 - Google Patents
应用于虚拟专用网络架构下的身份识别系统与方法 Download PDFInfo
- Publication number
- CN101621503A CN101621503A CN200810127267A CN200810127267A CN101621503A CN 101621503 A CN101621503 A CN 101621503A CN 200810127267 A CN200810127267 A CN 200810127267A CN 200810127267 A CN200810127267 A CN 200810127267A CN 101621503 A CN101621503 A CN 101621503A
- Authority
- CN
- China
- Prior art keywords
- virtual private
- private network
- vpn
- network
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种应用于虚拟专用网络架构下的身份识别系统与方法,搭接于虚拟专用网络网关,该虚拟专用网络网关通过存取服务器与验证服务器连接,其主要通过该虚拟专用网络网关接收来自网络的存取要求,经该验证服务器及该网络存取服务器针对该存取要求执行身份识别与动态密码验证,若未通过该验证,则拒绝该存取要求,若通过该验证,则授权该存取要求针对相应的该虚拟专用网络进行存取。据此,能增加虚拟专用网络存取的安全性。
Description
技术领域
本发明涉及一种远程网络存取系统与方法,更详而言之,涉及一种应用于虚拟专用网络架构下的身份识别系统与方法。
背景技术
从人类历史转入二十一世纪,网络使用越来越大众化,随着网络的蓬勃发展,网络的建构及扩展已渐渐地改变企业经营的模式,传统的工作环境及上下游厂商的关系将随着因特网的普及而有所更动,尤其在虚拟专用网络(Virtual Private Network,VPN)的架设之下,更有革命性的变化。企业员工不再受限于固定的上班场所,而是只要能连结上企业网络的地方均可办公。同时,商场竞争的压力也会迫使相当多的产业寻求与其上下游厂商相结合,以类似一个大企业体系网络的方式运作,来增加其竞争优势。
上述的改变将会使企业的营运更加快速,产生更大的产值,而在此同时,却也意味着传统固接式的企业网络连结架构将不敷所需。在外出差的员工及配合厂商都将期待通过因特网的途径来存取企业内部的信息,企业广域网络架构也是必需将虚拟专用网络的功能纳入其中。
过去企业的网络架构,多以封闭式的专线连结为主;其主要考虑即是在于数据传输的“安全性”。若在安全性不能被保障的状况下,一旦企业重要数据被黑客或有心人士窃取,将对企业造成难以弥补的伤害及损失。所以在虚拟专用网络架构中的各项安全机制便成为虚拟专用网络技术中最为重要的一环。
所谓安全机制必需具备下列两项功能:私密性,为了确保数据能保持私密和机密性,以及防止可能拥有网络监视软件的窃听者检视数据,通常以加密方式提供私密性。完整性,必须能确保数据受到保护,以防止在传输时遭到意外或蓄意的修改。通常使用“信息验证程序代码(message Authentication Code)”来提供完整性。
一般常用的安全传输技术如保密封包层(SSL)技术,为网页服务器和浏览器之间以加解密方式沟通的安全技术标准,这个沟通过程确保了所有在服务器与浏览器之间通过的数据的私密性与完整性,而为了使用SSL技术作安全连结,一个网页服务器需要一张凭证。
当在网页服务器上启动SSL时,该网页服务器将建立两把密钥,一把私钥和一把公钥。私钥用来维持私密性与安全性的,而公钥则不需去作保密并且还置放在凭证需求文件(Certificate Signing Request)里,它是一个包含用户详细数据的文件,您必须将此CSR传送给认证中心,通过SSL凭证申请程序,发证中心(Certification Authority)将验证用户详细数据然后核发一个凭证给用户,使该网页服务器能在服务器与用户的浏览器之间建立一个加密连结。将此SSL技术运用在VPN系统,使外部用户可随时利用浏览器通过虚拟专用网络网关所建立的加密的安全联机信道与该VPN系统进行连结。
当使用SSL虚拟专用网络联机时,用户仅需通过可支持SSL加密协议的浏览器,就可以存取虚拟专用网络上的资源及程序,可以有效突破如防火墙等网络安全设备的联机限制,而且能够支持如个人数字助理(PDA)、GPRS手机等设备,使用上相当具有弹性,基本上只要能够顺利读取网页,就可以顺利的读取到内部网络的开放资源,可以随时随地取得想要的数据。
上述现有的SSL虚拟专用网络固然可以让客户端能弹性地通过浏览器存取虚拟专用网络上的资源及程序,但仍存有以下缺点需要改进。
首先,一般用户登入SSL虚拟专用网络时仅通过单一密码认证方式,优良的密码安全机制是抵挡入侵的第一线,最常见的网络入侵方法是窃取用户账号密码,或直接窃取机密数据。一般的静态单一密码系统,简单易记的密码容易被猜测出来,而复杂的不易记忆。而一旦用户登入SSL虚拟专用网络的账号密码遭盗用时,盗用者即可任意存取虚拟专用网络内的重要数据。
其次,远程网络存取系统欲整合于多个虚拟专用网络下,为避免各个虚拟专用网络IP地址相同而冲突的问题,常须以NAT方式转换IP地址,IP地址的管理不易且复杂度高。
综上所述,如何能提供一种具有高安全性的远程网络存取系统与方法,并整合于虚拟专用网络系统中,遂成为目前亟待解决的课题。
发明内容
为解决前述现有技术的缺失,本发明提供一种应用于虚拟专用网络架构下的身份识别系统,搭接于虚拟专用网络网关,该应用于虚拟专用网络架构下的身份识别系统包括:网络存取服务器,连接至该虚拟专用网络网关;以及验证服务器,与该网络存取服务器连接,用以在该虚拟专用网络网关接收到针对虚拟专用网络的存取要求时,通过该网络存取服务器执行身份识别与动态密码验证,并在该存取要求通过身份识别与动态密码验证后,授权该存取要求针对相应的该虚拟专用网络进行存取。
在本发明的另一种型态中,还包括防火墙,与该虚拟专用网络网关连接。且该防火墙连接于该虚拟专用网络网关、该网络存取服务器与该虚拟专用网络之间和/或连接于该虚拟专用网络网关与网络之间。
在本发明的另一种型态中,该虚拟专用网络是由多个虚拟专用网络系统所组成。较佳者,该存取要求包括通过虚拟专用网络网关加入的虚拟局域网络卷标,且该虚拟专用网络包括虚拟局域网络卷标识别装置,用以依据该虚拟局域网络卷标,识别该存取要求所对应的欲存取的该虚拟专用网络系统,以令该存取要求进入该对应的虚拟专用网络系统进行存取。
在本发明的另一种型态中,该网络存取服务器为远程用户拨入验证(Remote Authentication Dial In User Service,Radius)服务器,通过账号与密码执行身份识别的验证。
在本发明的再一种型态中,还包含密码产生器,用以提供验证密码给该网络终端装置。且该验证服务器为一次性密码(One TimePassword,OTP)验证服务器。
本发明还提供一种应用于虚拟专用网络架构下的身份识别方法,搭接于虚拟专用网络网关,该虚拟专用网络网关通过网络存取服务器与验证服务器连接,包括,首先,通过该虚拟专用网络网关接收来自网络的存取要求。其次,该验证服务器通过该网络存取服务器针对该存取要求执行身份识别与动态密码验证,若未通过该验证,则拒绝该存取要求;若通过该验证,则授权该存取要求针对相应的该虚拟专用网络进行存取。
在本发明的另一种型态中,包括该存取要求通过虚拟专用网络网关加入虚拟局域网络卷标,且如果通过该验证,则在授权该存取要求针对相应的该虚拟专用网络进行存取后,还包括依据该虚拟局域网络卷标,识别该存取要求所对应的欲存取的该虚拟专用网络系统,以令该存取要求进入该对应的虚拟专用网络系统进行存取。
与现有的远程网络存取装置相比,在本发明的应用于虚拟专用网络架构下的身份识别系统与方法中,利用OTP动态密码技术结合虚拟专用网络网关的技术,来验证对虚拟专用网络所发出存取要求的客户端身份。由于该动态密码最大优点是使用随机数产生的密码,根据时间或事件每次产生不同的密码,而且该密码只能使用一次。故未经授权的他人即使拦截到这一次的密码,也无法应用到下一次的登入。因此,该应用于虚拟专用网络架构下的身份识别系统与方法,能有效的提高远程网络存取的安全性以及提升客户端联机的便利性。
附图说明
图1a为本发明的应用于虚拟专用网络架构下的身份识别系统的第一实施例的系统架构示意图;
图1b为本发明的应用于虚拟专用网络架构下的身份识别方法第一实施例的流程图;
图2a为本发明的应用于虚拟专用网络架构下的身份识别系统的第二实施例的系统架构示意图;
图2b为本发明的应用于虚拟专用网络架构下的身份识别方法第二实施例的流程图;以及
图3为本发明的应用于虚拟专用网络架构下的身份识别系统的第三实施例的系统架构示意图。
主要组件符号说明
1 本发明的应用于虚拟专用网络架构下的身份识别系统
11 网络存取服务器
12 验证服务器
20 虚拟专用网络
20a、20b、20c虚拟专用网络系统
21 虚拟专用网络网关
22a、22b 防火墙
30 网络
40 网络终端装置
41 密码产生器
S1~S5 步骤
具体实施方式
以下通过特定的具体实施例说明本发明的实施方式,本领域技术人员可由本说明书所揭示的内容轻易地了解本发明的其它优点与功效。本发明也可通过其它不同的具体实施例加以施行或应用。
第一实施例:
请参阅图1a,其为本发明的应用于虚拟专用网络架构下的身份识别系统第一实施例的系统架构示意图。如图所示,本发明的应用于虚拟专用网络架构下的身份识别系统1,可应用于虚拟专用网络20中,该虚拟专用网络20通过虚拟专用网络网关21与外部的网络30连接,而网络30则可与网络终端装置40连接,网络终端装置40搭配密码产生器41。本发明的应用于虚拟专用网络架构下的身份识别系统1则搭接至虚拟专用网络网关21。
虚拟专用网络20用以提供虚拟专用网络的服务。对于建立虚拟专用网络的大型企业,团体,政府机关或类似单位,不但具有私有网络内部传输的安全性及封闭性,也具备外部连结存取数据的方便性。在本实施例中,该虚拟专用网络20可选择性地采用硬件式虚拟专用网络与/或软件式虚拟专用网络。其中,硬件式虚拟专用网络设备可为虚拟专用网络加密路由器(VPN Router),这种设备将加解密的钥匙储存在内存中,较不易被损坏,同时加解密的速度也较快。软件式的虚拟专用网络产品架设于服务器及作业平台之上,可依据目的地址或通讯协议来建立虚拟专用网络信道。
在本实施例中,应用安全套阶层(Secure Sockets Layer,SSL)于网络30。网络终端装置40搭配密码产生器41发出存取要求,该存取要求则通过网络30连结至虚拟专用网络网关21,并通过虚拟专用网络网关21与本发明的应用于虚拟专用网络架构下的身份识别系统1之间的认证,以进入虚拟专用网络20中执行包括浏览网页、传输或接收数据在内的存取要求。由于采用SSL架构的虚拟专用网络30,因此可运用包括保密封包层加密技术的SSL技术来建立加密传输通道,并有较现有的IPSec技术方式更高的数据传输安全性。在本实施例中,密码产生器41可例如为动态密码产生器,较佳地,用以产生一次性密码(OTP)的动态密码产生器。
网络30可例如为因特网(Internet)、组织内网络系统(intranet)、组织间网络系统(extranet)、局域网络系统(Local Area Network,LAN)、广域网络系统(Wide Area Network,WAN)或虚拟私人网络系统(VirtualPrivate Network,VPN)。当然,也可以为上述该些网络种类间的组合。
网络终端装置40可例如为工作站、服务器、个人计算机、笔记型计算机、平板计算机、掌上型计算机、智能型行动电话、行动电话、或个人数字助理(PDA),上述所列的终端具备网络浏览器接口。
另一方面,网络30可例如为有线或无线网络系统,也可为有线与无线网络系统的组合。承前所述,只要是能用如浏览器等接口与SSL虚拟专用网络网关21进行联机,即可作为网络终端装置40。
本发明的应用于虚拟专用网络架构下的身份识别系统包括:网络存取服务器11与验证服务器12。
网络存取服务器11连接至虚拟专用网络网关21,并通过虚拟专用网络网关21与虚拟专用网络20以及网络30连接。在本实施例中,网络存取服务器11可为远程用户拨入(Radius)验证服务器,采用RADIUS协议。而验证服务器12可为一次性密码(OTP)验证服务器。
OTP验证服务器12与Radius验证服务器11连接,用以在虚拟专用网络网关21接收到针对虚拟专用网络20的存取要求时,通过Radius验证服务器11执行身份识别与动态密码验证,并在存取要求通过身份识别与动态密码验证后,授权该存取要求针对相应的该虚拟专用网络进行存取。
具体言之,OTP验证服务器12用以对要针对虚拟专用网络20发出存取要求而连结至虚拟专用网络网关21的网络终端装置40的客户端进行身份认证。动态密码最大特点是使用随机数产生的密码,根据时间或事件每次产生不同的密码,并且该密码只能使用一次。OTP验证服务器12可利用很多方式来验证网络终端装置40的客户端身份,举例来说,网络终端装置40可利用密码产生器41所产生的一次性密码,而OTP验证服务器12则具有对应该密码产生器41的钥匙(KEY)算法,当网络终端装置40输入由该密码产生器41产生的随机数密码时,OTP验证服务器12即可通过算法得出钥匙值,即可确认该钥匙对应的网络终端装置40的客户端身份。
请参阅图1b,其为本发明的应用于虚拟专用网络架构下的身份识别方法第一实施例的流程图。如图所示,在步骤S1中,通过虚拟专用网络网关接收来自网络的存取要求。接着进至步骤S2。承前所述,当客户端要通过网络终端装置40并经由网络30联机登入虚拟专用网络20时,首先会与虚拟专用网络网关21连接,并由虚拟专用网络网关21接收来自网络30的网络终端装置40的存取要求。
在步骤S2中,通过验证服务器经由网络存取服务器针对存取要求执行身份识别与动态密码验证,并判断是否通过验证,若否,则进至步骤S3;若是则进至步骤S4。承前所述,当客户端欲通过网络终端装置40连接至虚拟专用网络20,并针对虚拟专用网络20发出存取要求时,需通过浏览器接口进行登入,此时网络终端装置40与虚拟专用网络20间会建立加密的数据传输信道,此时,客户端在通过网络终端装置40登入虚拟专用网络20时,除须输入账号与密码外,复须输入一组动态密码。接着,通过网络存取服务器11将此组动态密码传送至验证服务器12进行分析演算,若确认网络终端装置40的客户端为合法身份,进至步骤S4;反之,则进至步骤S3。
在步骤S3中,网络终端装置40的客户端不具有存取虚拟专用网络20的权限,故拒绝存取要求。
在步骤S4中,验证服务器12会通知网络存取服务器11授予网络终端装置40的客户端存取虚拟专用网络20的权限,即,授权存取要求针对相应的虚拟专用网络进行存取。
第二实施例:
请参阅图2a,其为本发明的应用于虚拟专用网络架构下的身份识别系统第二实施例的系统架构示意图。如图所示,本实施例与第一实施例的架构与构件大致相同,其差异仅在于虚拟专用网络20是由三个虚拟专用网络系统20a、20b与20c所组成。在实际实施的情况下,虚拟专用网络系统的数量并不受限。
具体言之,不同的虚拟专用网络系统20a、20b与20c可能属于不同的企业、学校甚至个人所有。而虚拟专用网络20本身则可由如网络服务供应者(ISP)所建构。
承前所述,由于虚拟专用网络20包括三个不同的虚拟专用网络系统20a、20b与20c。为确认网络终端装置40通过网络30所发出的存取要求对象为虚拟专用网络系统20a、20b或20c,因此可选择性地在存取要求中加入虚拟局域网络卷标,而虚拟专用网络20则还包括虚拟局域网络卷标识别装置,由此来依据存取要求中的虚拟局域网络卷标,识别存取要求所对应的欲存取的虚拟专用网络系统为20a、20b或20c,从而令存取要求进入对应的虚拟专用网络系统20a、20b或20c进行存取。
请参阅图2b,其为本发明的应用于虚拟专用网络架构下的身份识别方法第二实施例的流程图。如图所示,在步骤S1中,通过虚拟专用网络网关接收来自网络的存取要求。接着进至步骤S2。
在步骤S2中,通过验证服务器经由网络存取服务器针对存取要求执行身份识别与动态密码验证,并判断是否通过验证,若否,则进至步骤S3;若是则进至步骤S4。
在步骤S3中,拒绝存取要求。
在步骤S4中,授权存取要求针对相应的虚拟专用网络进行存取。接着进至步骤S5。
在步骤S5中,依据存取要求的虚拟局域网络卷标,识别存取要求所对应的欲存取的该虚拟专用网络系统,以令存取要求进入对应的虚拟专用网络系统进行存取。
第三实施例:
请参阅图3,其为本发明的应用于虚拟专用网络架构下的身份识别系统第三实施例的系统架构示意图。如图所示,本实施例可与第一或第二实施例相结合,以下以第二实施例的系统架构为例提出说明。
在本实施例中,本发明的应用于虚拟专用网络架构下的身份识别系统还可选择性地包括防火墙22a和/或22b,防火墙22a和/或22b均与虚拟专用网络网关21连接。
更具体言之,防火墙22a可选择性地连接于该虚拟专用网络网关21与网络30之间。另一方面,防火墙22b也可选择性地连接于该虚拟专用网络网关21、该Radius验证服务器11与该虚拟专用网络20之间。
按防火墙22a和/或22b为用来分隔两个不同网络的安全装置(在本实施例中用以分隔虚拟专用网络20与网络30)。其可使合法用户端正常的取得虚拟专用网络20上的数据,防止非法用户蓄意破坏以及保护虚拟专用网络20的数据。防火墙22a和/或22b可为软件或硬件,用以阻挡试图通过网络30进入虚拟专用网络20的黑客或计算机病毒。
防火墙22a和/或22b的功能可包括但不限于封包过滤、代理服务器(Proxy Server)与状态检测。其中,封包过滤是一种简单的防火墙机制。这种防火墙会检查封包的目的地和来源的IP地址、TCP/UDP端口,并根据管理者设定的简单规则来决定是否接受或拒绝封包。通过管理者所设定的规则去进行过滤,检查是否允许封包传送或是拒传送。
代理服务器位于应用层的代理程序,为防火墙22a和/或22b上执行的一种软件,能够仿真网络30联机的来源和目的地两端。用户间的网络传输都必须通过此代理服务器,进行数据检查并检查联机的合法性,如此一来在检查数据的过程中,能够有效地将受信任的虚拟专用网络20和网络30隔离开来。代理服务器的程序会检查客户端送过来的数据,并判断是否为合法的数据要转送出去或是为非法的数据直接丢弃。
状态检测防火墙以封包过滤类似的方法来控制网络传输,但会进一步检查数据封包流的内容,而不只是单纯地过滤封包而已。状态检视封包防火墙22a和/或22b根据封包的来源和目的地IP地址及所要求的服务来作判断过滤。
需补充说明的是,防火墙22a和/或22b的功能与型态有多种,只要能与本发明的应用于虚拟专用网络架构下的身份识别系统与方法相结合者,均不超出本发明的权利要求书表示的范围。
第四实施例:
在本实施例中本发明的应用于虚拟专用网络架构下的身份识别系统可与第一、第二或第三实施例相结合。具体言之,Radius验证服务器11以及OTP验证服务器12可选择性地整合在单一服务装置中,由于将Radius验证服务器11以及OTP验证服务器12整合于单一服务装置非本发明的主要技术特征所在,而仅为一种实施例态样,因此不另为图文描述。
总而言之,通过本发明的应用于虚拟专用网络架构下的身份识别系统与方法所提供的双因素认证机制更加强了整个虚拟专用网络的安全性,且其简易的架构也节省了建制虚拟专用网络安全系统的成本。能有效的提升远程网络存取的安全性及提升客户端联机的便利性。
此外,结合本发明的应用于虚拟专用网络架构下的身份识别系统与方法的SSL虚拟专用网络架构,其可获得的优点包括:简化客户端,只用浏览器就可连结到虚拟专用网络的内部网络且对客户端的操作系统没有任何限制;使用方便,只要配置SSL虚拟专用网络网关就可以立刻执行远程访问;以及简化身份认证方式。
因此,本发明的应用于虚拟专用网络架构下的身份识别系统与方法,不但能有效地提升远程网络存取的安全性及提升客户端联机的便利性,且可减少虚拟专用网络用户的设备建制成本。
上述实施例仅例示性地说明本发明的原理及其功效,而非用于限制本发明。任何本领域技术人员均可在不违背本发明的精神及范畴下,对上述实施例进行修饰与变化。因此,本发明的权利保护范围,应以权利要求书的范围为依据。
Claims (31)
1、一种应用于虚拟专用网络架构下的身份识别系统,搭接于虚拟专用网络网关,其特征在于,该应用于虚拟专用网络架构下的身份识别系统包括:
网络存取服务器,连接至该虚拟专用网络网关;以及
验证服务器,与该网络存取服务器连接,用以在该虚拟专用网络网关接收到针对虚拟专用网络的存取要求时,通过该网络存取服务器执行身份识别与动态密码验证,并在该存取要求通过身份识别与动态密码验证后,授权该存取要求针对相应的该虚拟专用网络进行存取。
2、根据权利要求1所述的应用于虚拟专用网络架构下的身份识别系统,其特征在于,还包括防火墙,其与该虚拟专用网络网关连接。
3、根据权利要求2所述的应用于虚拟专用网络架构下的身份识别系统,其特征在于,该防火墙连接于该虚拟专用网络网关、该网络存取服务器与该虚拟专用网络之间。
4、根据权利要求2所述的应用于虚拟专用网络架构下的身份识别系统,其特征在于,该防火墙连接于该虚拟专用网络网关与网络之间。
5、根据权利要求4所述的应用于虚拟专用网络架构下的身份识别系统,其特征在于,该网络为因特网、组织内网络系统、组织间网络系统、局域网络系统、广域网络系统和/或虚拟私人网络系统。
6、根据权利要求4所述的应用于虚拟专用网络架构下的身份识别系统,其特征在于,该网络为有线和/或无线网络系统。
7、根据权利要求4所述的应用于虚拟专用网络架构下的身份识别系统,其特征在于,该网络与网络终端装置连接。
8、根据权利要求7所述的应用于虚拟专用网络架构下的身份识别系统,其特征在于,该网络终端装置为工作站、服务器、个人计算机、笔记型计算机、平板计算机、掌上型计算机、智能型行动电话、行动电话、个人数字助理。
9、根据权利要求7所述的应用于虚拟专用网络架构下的身份识别系统,其特征在于,还包含密码产生器,用以提供验证密码给该网络终端装置。
10、根据权利要求7所述的应用于虚拟专用网络架构下的身份识别系统,其特征在于,该密码产生器为动态密码产生器。
11、根据权利要求1所述的应用于虚拟专用网络架构下的身份识别系统,其特征在于,该虚拟专用网络是由多个虚拟专用网络系统所组成。
12、根据权利要求11所述的应用于虚拟专用网络架构下的身份识别系统,其特征在于,该存取要求包括虚拟局域网络卷标,且该虚拟专用网络包括虚拟局域网络卷标识别装置,用以依据该虚拟局域网络卷标,识别该存取要求所对应的欲存取的该虚拟专用网络系统,以令该存取要求进入对应的虚拟专用网络系统进行存取。
13、根据权利要求1所述的应用于虚拟专用网络架构下的身份识别系统,其特征在于,该虚拟专用网络为硬件式虚拟专用网络和/或软件式虚拟专用网络。
14、根据权利要求1所述的应用于虚拟专用网络架构下的身份识别系统,其特征在于,该网络存取服务器通过账号与密码执行身份识别的验证。
15、根据权利要求14所述的应用于虚拟专用网络架构下的身份识别系统,其特征在于,该网络存取服务器为远程用户拨入验证服务器。
16、根据权利要求1所述的应用于虚拟专用网络架构下的身份识别系统,其特征在于,该验证服务器为一次性密码验证服务器。
17、根据权利要求1所述的应用于虚拟专用网络架构下的身份识别系统,其特征在于,该网络存取服务器以及该验证服务器整合于单一服务装置中。
18、一种应用于虚拟专用网络架构下的身份识别方法,搭接于虚拟专用网络网关,该虚拟专用网络网关通过网络存取服务器与验证服务器连接,其特征在于,该应用于虚拟专用网络架构下的身份识别方法包括:
(1)通过该虚拟专用网络网关接收来自网络的存取要求;
(2)该验证服务器通过该网络存取服务器针对该存取要求执行身份识别与动态密码验证,若未通过该验证则进至步骤(3),若通过该验证则进至步骤(4);
(3)拒绝该存取要求;以及
(4)授权该存取要求针对相应的该虚拟专用网络进行存取。
19、根据权利要求18所述的应用于虚拟专用网络架构下的身份识别方法,其特征在于,该存取要求包括虚拟局域网络卷标,且在步骤(4)后还包括:
(5)依据该虚拟局域网络卷标,识别该存取要求所对应的欲存取的该虚拟专用网络系统,以令该存取要求进入对应的虚拟专用网络系统进行存取。
20、根据权利要求18所述的应用于虚拟专用网络架构下的身份识别方法,其特征在于,该虚拟专用网络网关与防火墙连接。
21、根据权利要求20所述的应用于虚拟专用网络架构下的身份识别方法,其特征在于,该防火墙连接于该虚拟专用网络网关、该网络存取服务器与该虚拟专用网络之间。
22、根据权利要求20所述的应用于虚拟专用网络架构下的身份识别方法,其特征在于,该防火墙连接于该虚拟专用网络网关与该网络之间。
23、根据权利要求18所述的应用于虚拟专用网络架构下的身份识别方法,其特征在于,该网络为因特网、组织内网络系统、组织间网络系统、局域网络系统、广域网络系统和/或虚拟私人网络系统。
24、根据权利要求18所述的应用于虚拟专用网络架构下的身份识别方法,其特征在于,该网络为有线和/或无线网络系统。
25、根据权利要求18所述的应用于虚拟专用网络架构下的身份识别方法,其特征在于,该网络与网络终端装置连接。
26、根据权利要求25所述的应用于虚拟专用网络架构下的身份识别方法,其特征在于,该网络终端装置为工作站、服务器、个人计算机、笔记型计算机、平板计算机、掌上型计算机、智能型行动电话、行动电话、或个人数字助理。
27、根据权利要求18所述的应用于虚拟专用网络架构下的身份识别方法,其特征在于,该虚拟专用网络是由多个虚拟专用网络系统所组成。
28、根据权利要求18所述的应用于虚拟专用网络架构下的身份识别方法,其特征在于,该虚拟专用网络为硬件式虚拟专用网络和/或软件式虚拟专用网络。
29、根据权利要求18所述的应用于虚拟专用网络架构下的身份识别方法,其特征在于,该网络存取服务器通过账号与密码执行身份识别的验证。
30、根据权利要求18所述的应用于虚拟专用网络架构下的身份识别方法,其特征在于,该网络存取服务器为远程用户拨入验证服务器。
31、根据权利要求18所述的应用于虚拟专用网络架构下的身份识别方法,其特征在于,该验证服务器为一次性密码验证服务器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200810127267A CN101621503A (zh) | 2008-06-30 | 2008-06-30 | 应用于虚拟专用网络架构下的身份识别系统与方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200810127267A CN101621503A (zh) | 2008-06-30 | 2008-06-30 | 应用于虚拟专用网络架构下的身份识别系统与方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101621503A true CN101621503A (zh) | 2010-01-06 |
Family
ID=41514549
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200810127267A Pending CN101621503A (zh) | 2008-06-30 | 2008-06-30 | 应用于虚拟专用网络架构下的身份识别系统与方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101621503A (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102098313A (zh) * | 2011-03-01 | 2011-06-15 | 黄泽鑫 | 一种防水墙系统及其验证方法 |
CN102263804A (zh) * | 2010-05-26 | 2011-11-30 | 中华电信股份有限公司 | 云存储系统及方法 |
CN105765935A (zh) * | 2013-08-23 | 2016-07-13 | 瑞典爱立信有限公司 | 在无线通信网络中加虚拟防火墙的方法和装置 |
CN110691059A (zh) * | 2018-07-05 | 2020-01-14 | 资富电子股份有限公司 | 动态虚拟私有网络的装置和方法以及计算机可读取记录媒体 |
CN112019571B (zh) * | 2020-10-22 | 2021-01-15 | 锱云(上海)物联网科技有限公司 | 一种vpn连接实现方法和系统 |
CN114422252A (zh) * | 2022-01-21 | 2022-04-29 | 中国农业银行股份有限公司 | 一种身份认证方法及装置 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1427351A (zh) * | 2001-12-17 | 2003-07-02 | 北京兆日科技有限责任公司 | 动态电子密码设备及其资源共享系统的用户身份认证方法 |
TW200420071A (en) * | 2002-10-24 | 2004-10-01 | 3Com Corp | System and method for using virtual local area network tags with a virtual private network |
-
2008
- 2008-06-30 CN CN200810127267A patent/CN101621503A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1427351A (zh) * | 2001-12-17 | 2003-07-02 | 北京兆日科技有限责任公司 | 动态电子密码设备及其资源共享系统的用户身份认证方法 |
TW200420071A (en) * | 2002-10-24 | 2004-10-01 | 3Com Corp | System and method for using virtual local area network tags with a virtual private network |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102263804A (zh) * | 2010-05-26 | 2011-11-30 | 中华电信股份有限公司 | 云存储系统及方法 |
CN102098313A (zh) * | 2011-03-01 | 2011-06-15 | 黄泽鑫 | 一种防水墙系统及其验证方法 |
CN102098313B (zh) * | 2011-03-01 | 2017-03-15 | 黄泽鑫 | 一种防水墙系统及其验证方法 |
CN105765935A (zh) * | 2013-08-23 | 2016-07-13 | 瑞典爱立信有限公司 | 在无线通信网络中加虚拟防火墙的方法和装置 |
CN105765935B (zh) * | 2013-08-23 | 2019-09-24 | 瑞典爱立信有限公司 | 在无线通信网络中加虚拟防火墙的方法和装置 |
CN110691059A (zh) * | 2018-07-05 | 2020-01-14 | 资富电子股份有限公司 | 动态虚拟私有网络的装置和方法以及计算机可读取记录媒体 |
CN112019571B (zh) * | 2020-10-22 | 2021-01-15 | 锱云(上海)物联网科技有限公司 | 一种vpn连接实现方法和系统 |
CN114422252A (zh) * | 2022-01-21 | 2022-04-29 | 中国农业银行股份有限公司 | 一种身份认证方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Kaeo | Designing network security | |
KR101414312B1 (ko) | 클라이언트로부터 서버로 사용자 자격 증명들을 위임하는 방법, 애플리케이션 프로그래밍 인터페이스, 및 클라이언트컴퓨팅 장치 | |
CN103812871B (zh) | 一种基于移动终端应用程序安全应用的开发方法及系统 | |
CN100563158C (zh) | 网络接入控制方法及系统 | |
US8059818B2 (en) | Accessing protected data on network storage from multiple devices | |
CN101371550B (zh) | 自动安全地向移动通信终端的用户供给在线服务的服务访问凭证的方法和系统 | |
CN1842993B (zh) | 提供证书 | |
Frankel et al. | Establishing wireless robust security networks: a guide to IEEE 802.11 i | |
Jeong et al. | Integrated OTP-based user authentication scheme using smart cards in home networks | |
US20090025080A1 (en) | System and method for authenticating a client to a server via an ipsec vpn and facilitating a secure migration to ssl vpn remote access | |
Sankar | Cisco wireless LAN security | |
US20090313691A1 (en) | Identity verification system applicable to virtual private network architecture and method of the same | |
CN104767731A (zh) | 一种Restful移动交易系统身份认证防护方法 | |
US8458468B2 (en) | Method and system for protecting information exchanged during communication between users | |
CN1863048B (zh) | 用户与接入设备间因特网密钥交换协商方法 | |
CN1949705B (zh) | 一种用于安全访问专用局域网的动态隧道构建方法及用于该方法的装置 | |
CN101621503A (zh) | 应用于虚拟专用网络架构下的身份识别系统与方法 | |
JP4783340B2 (ja) | 移動ネットワーク環境におけるデータトラフィックの保護方法 | |
CN111935213A (zh) | 一种基于分布式的可信认证虚拟组网系统及方法 | |
KR20070109040A (ko) | 사용자 인증의 이중 강화를 위한 보안 관리 웹 서비스시스템 및 방법 | |
US20060053288A1 (en) | Interface method and device for the on-line exchange of content data in a secure manner | |
KR101451163B1 (ko) | 무선 네트워크 접속 인증 방법 및 그 시스템 | |
Maple et al. | Choosing the right wireless LAN security protocol for the home and business user | |
Singh et al. | Survey and analysis of Modern Authentication system | |
Lang et al. | Research on the authentication scheme of WiMAX |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20100106 |