CN102377731A - 虚拟专用网络系统及其网络装置 - Google Patents
虚拟专用网络系统及其网络装置 Download PDFInfo
- Publication number
- CN102377731A CN102377731A CN2010102512947A CN201010251294A CN102377731A CN 102377731 A CN102377731 A CN 102377731A CN 2010102512947 A CN2010102512947 A CN 2010102512947A CN 201010251294 A CN201010251294 A CN 201010251294A CN 102377731 A CN102377731 A CN 102377731A
- Authority
- CN
- China
- Prior art keywords
- network equipment
- network
- server
- vpn
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种虚拟专用网络系统及其网络装置,此虚拟专用网络系统包括一第一网络装置、一第二网络装置与一验证服务器。第一网络装置提供包括一验证信息的一已加密连接建立请求信息至第二网络装置。第二网络装置转传此验证信息至验证服务器进行一第一验证流程,以确认第一网络装置是否为已被授权。若第一网络装置确认为已被授权,则第一网络装置与第二网络装置直接地交换一组虚拟专用网络设定参数,并通过交换此组虚拟专用网络设定参数进行一第二验证流程,以在第一网络装置与第二网络装置之间建立一因特网安全协议虚拟专用网络连接。
Description
技术领域
本发明涉及一种虚拟专用网络系统及其网络装置,尤其涉及一种基于因特网安全协议虚拟专用网络连接的虚拟专用网络系统及其网络装置。
背景技术
虚拟专用网络(Virtual Private Network,VPN)目前被视为可以有效达成云端运算的方法之一。一用户端装置(或一电子装置)必须在因特网中与一VPN服务器(VPN server)建立一虚拟专用网络连接,才能使用VPN服务器目前所在的网域内的其他服务器提供的功能。
现有的虚拟专用网络连接建立方式可分为以下三种。第一种方式为使用者根据网络管理员提供的设定参数,自行设定在目前使用的用户端装置(例如:一电脑)的VPN设定参数。然而此方法通常需要使用者熟悉相关的操作与设定方法,且较为繁杂容易在设定参数流程中产生错误。因此对于大多数使用者来说,此方式相当不方便。
第二种方式为使用者在目前使用的用户端装置中安装一VPN用户端软件,并载入网络管理员提供的VPN服务器设定参数,并输入预先设定好的用户名(user name)及对应的密码(password)以取得连接。然而用户名及对应的密码的验证信息有被盗用的风险,且使用者更换为其他用户端装置以连接到虚拟专用网络,需要再载入VPN服务器设定参数。所以此方式对于使用者来说既不安全也不便利。
第三种方法为通过安全套接层协议(Secure Socket Layer,SSL)的方式,让使用者在目前使用的用户端装置中输入预先设定好的用户名及对应的密码以取得连接。然而第三种方法,因使用SSL的方式来建立虚拟专用网络连接,建立连接的速度较慢,且用户名及对应的密码仍有被盗用的风险,所以此方式仍不安全也不便利。
发明内容
承上所述,本发明提供一种虚拟专用网络系统及其网络装置。在所述的系统中,用户端装置通过一连接建立请求信息,将经过加密验证信息传送至虚拟专用网络服务器。通过验证服务器进行第一次验证动作,并根据此已加密验证信息确认用户端装置为已授权的网络装置。另外,用户端装置与虚拟专用网络服务器直接地交换虚拟专用网络设定参数以进行第二次验证动作,以建立一因特网安全协议虚拟专用网络连接(IPSec VPN connection)。此因特网安全协议虚拟专用网络连接具有建立连接速度快、连接安全与可动态性调整设定参数的优点。
根据本发明的一示范实施例,本发明提供一种虚拟专用网络系统,此虚拟专用网络系统包括一第一网络装置、一第二网络装置与一验证服务器。第一网络装置提供一已加密连接建立请求信息,而此已加密连接建立请求信息包括一验证信息。第二网络装置通过一网络连接至第一网络装置,接收此已加密连接建立请求信息,并传送此验证信息给验证服务器进行一第一验证流程以确认第一网络装置是否为已被授权。若第一网络装置确认为已被授权,则第一网络装置与第二网络装置直接地交换一组虚拟专用网络设定参数,并通过交换此组虚拟专用网络设定参数进行一第二验证流程,以在该第一网络装置与该二网络装置之间建立一因特网安全协议虚拟专用网络连接。
根据本发明的一示范实施例,本发明提出一种网络装置,用以与其他网络装置建立一虚拟专用网络连接。此网络装置包括一网络接口、一存储器模组与一处理器模组。网络接口用以连接至因特网。所述的存储器模组包括一参数产生模组与一连接处理模组。连接处理模组,连接至网络接口,用以接收一用户端装置所提供的一已加密连接建立请求信息,并传送此已加密连接建立请求信息给一验证服务器进行一第一验证流程,以确认此用户端装置是否为一已授权设备,而此已加密连接建立请求信息包括所述的验证信息。参数产生模组,连接至连接处理模组,用以产生一组虚拟专用网络设定参数,而此虚拟专用网络设定参数包括一预先分享密钥(preshared key)。所述的处理器模组,连接至网络接口与存储器模组,用以执行上述的参数产生模组与连接处理模组,以及控制网络接口与存储器模组。另外,若验证服务器确认用户端装置为一已授权设备,则此网络装置与此用户端装置直接地交换一组虚拟专用网络设定参数,并通过交换此组虚拟专用网络设定参数来进行一第二验证流程,以建立一因特网安全协议(IPsec)虚拟专用网络连接。
根据本发明的一示范实施例,本发明提出一种网络装置,用以与其他网络装置建立一虚拟专用网络连接。此网络装置包括一网络接口、一存储器模组与一处理器模组。网络接口用以连接至因特网。所述的存储器模组包括一使用者接口模组与一加密模组。使用者接口模组,连接至网络接口,用以接收一使用者所提供的一验证信息与一服务器地址,根据此服务器地址产生一连接建立请求信息并传送一已加密连接建立请求信息至一服务器。服务器传送此已加密连接建立请求信息至一验证服务器以进行一第一验证流程以确认此网络装置是否为一已授权设备,而此已加密连接建立请求信息包括所述的验证信息。加密模组,连接至使用者接口模组,用以加密所述的连接建立请求信息为所述的已加密连接建立请求信息。处理器模组,连接至网络接口与存储器模组,用以执行使用者接口模组与加密模组,并控制网络接口与存储器模组。另外,若此网络装置确认为一已授权设备,则服务器与网络装置直接地交换一组虚拟专用网络设定参数,并通过交换此组虚拟专用网络设定参数进行一第二验证流程,以在服务器与网络装置之间建立一因特网安全协议(IPsec)虚拟专用网络连接。
为让本发明的上述特征和优点能更明显易懂,下文特举实施例,并配合附图作详细说明。
附图说明
图1A是根据本发明的一示范实施例所示的一种虚拟专用网络系统的系统方块图。
图1B是根据本发明的另一示范实施例所示的另一种虚拟专用网络系统的系统方块图。
图2A是根据本发明的一示范实施例所示的一种用户端装置的功能方块图。
图2B是根据本发明的一示范实施例所示的一种虚拟专用网络服务器的功能方块图。
图3是根据本发明的一示范实施例所示的一种虚拟专用网络连接建立方法的流程图。
图4是根据本发明的另一示范实施例所示的另一种虚拟专用网络连接建立方法的流程图。
图5是根据本发明的另一示范实施例所示的另一种虚拟专用网络连接建立方法的流程图。
主要附图符号说明:
10、15:虚拟专用网络系统;11:用户端装置;
12:虚拟专用网络服务器; 13:因特网;
14:认证服务器; 210、250:处理器模组;
222:输出输入接口; 224、260:网络接口;
230、270:存储器模组; 231:使用者接口模组;
232、272:网络协议处理模组;233、273:加密模组;
234、274:解密模组; 271:虚拟专用网络参数产生模
组;
275:虚拟专用网络连接处理模
组;
300、400、500:虚拟专用网络连接建立方法;
S302~S306、S402~S412、S502~S514:步骤。
具体实施方式
承上所述,本发明提供一种基于因特网安全协议虚拟专用网络连接(IPsec VPN connection)的虚拟专用网络系统及其网络装置。以下将以图1A与图1B介绍虚拟专用网络的系统方块图,以图2A与图2B介绍虚拟专用网络系统中用户端装置与虚拟专用网络服务器的功能方块图,并以图3至图5进一步介绍建立虚拟专用网络连接的方法。
图1A是根据本发明的一示范实施例所示的一种虚拟专用网络系统10的系统方块图。请参照图1A,虚拟专用网络系统10包括至少一用户端装置(client device)11、一虚拟专用网络服务器(以下简称为VPN服务器)12、一因特网13与一验证服务器(authentication server)14。用户端装置11通过因特网13连接至VPN服务器12,而VPN服务器12通过因特网13连接至验证服务器14。
在此示范实施例中,用户端装置11提供包括一已加密连接建立请求信息(encrypted connection setup request message)连至VPN服务器12。此已加密连接建立请求信息包括至少一验证信息(authenticationinformation)与一证书(certificate)。VPN服务器12接收此已加密连接建立请求信息,并进一步传送此验证信息给验证服务器14进行一次验证流程,以确认用户端装置11是否为已被授权(authorized)。若验证服务器14确认用户端装置11为已被授权的用户装置,则VPN服务器12与用户端装置11直接地交换一组虚拟专用网络设定参数(VPN arguments,以下简称为VPN设定参数),并通过交换此组VPN设定参数以进行另一次验证流程。如此一来,通过此交换VPN设定参数可实现交换因特网安全协议设定信息的流程,因而建立一因特网安全协议虚拟专用网络连接(IPSec VPN connection,以下简称为IPSec VPN连接)在用户端装置11与VPN服务器12两者之间。所述的已加密连接建立请求信息可以利用例如:数据报传输层安全技术(Datagram Transport Layer Security,DTLS)来实现加密的流程。
在此示范实施例中,使用者可以直接在此用户端装置11上进行操作,以使用虚拟专用网络服务器12所在网域(domain)的其他服务器(未示出)所提供的服务与功能,例如:存取文件服务器、存取电子邮件、使用内部即时信息服务与存取内部数据库等。所述的用户端装置11为一电子装置,例如:一台式电脑、一笔记本电脑、一智能型手机、一个人数字助理装置、一电视、一多媒体播放器或一移动通讯装置。另外,使用者直接在此用户端装置11上提供或输入验证身份所需的验证信息以与VPN服务器12建立一虚拟专用网络连接,而所述的验证信息可以为,例如:用户名/密码(username/password)、预先取得且已载入用户端装置11的证书(certificate)、生物特征(例如:指纹特征或视网膜特征)或智能卡(smart card)上的证书。
在此示范实施例中,用户端装置11与VPN服务器12交换一组VPN设定参数时,用户端装置11传送目前用户端装置11的一局域网络(LAN)的一第一因特网地址(IP address)至VPN服务器12,而VPN服务器12回传目前VPN服务器12所在的另一局域网络的一第二因特网地址至用户端装置11。另外,在交换各自目前所在局域网络中的因特网地址之后,用户端装置11与VPN服务器12在交换VPN设定参数时,用户端装置11还传送目前用户端装置11的一广域网络(WAN)的一第三因特网地址至VPN服务器12,而VPN服务器12则回传目前VPN服务器12所在的另一广域网络的一第四因特网地址至用户端装置11。此外,VPN服务器12动态性地产生一预先分享密钥(preshared key),并传送此预先分享密钥至用户端装置11以完成所述的第二验证流程,并进而建立IPSecVPN连接,而上述的第二验证流程为一虚拟专用网络验证流程。
在另一示范实施例中,VPN服务器12还可以选择性地传送一域名服务器(简称为DNS服务器)信息给用户端装置11,使得用户端装置11可以连接至VPN服务器12目前所在的网域中的一DNS服务器(未示出)。如此一来,用户端装置11可以利用一域名(domain name)连接至VPN服务器12目前所在的局域网络中的一或多个网络服务器(未示出),并使用这些网络服务器提供的服务与功能。若VPN服务器12选择不传送域名服务器信息给用户端装置11,则用户端装置11无法直接地利用域名连接至VPN服务器12目前所在的局域网络中的网络服务器,而需要通过因特网地址(IP address)来连接这些网络服务器,以使用这些网络服务器提供的服务与功能。
图1B是根据本发明的另一示范实施例所示的另一种虚拟专用网络系统15的系统方块图。请参照图1B,虚拟专用网络系统15与图1A中的虚拟专用网络系统10相类似,但不同之处在于VPN服务器12不须通过因特网13连接至验证服务器14,因为验证服务器14与VPN服务器12在相同的局域网络(LAN)中。然而本发明并不限定于此,VPN服务器12可以与验证服务器14设定在同一网域(domain)中,或者VPN服务器12可以与验证服务器14整合为一体。
图2A是根据本发明的一示范实施例所示一种用户端装置11的功能方块图。请参照图2A,用户端装置11包括处理器模组210、输出输入接口222、网络接口224与存储器模组230。存储器模组230至少包括一使用者接口模组(user interface module)231、一网络协议(Internetprotocol)处理模组232、一加密模组(encryption module)233与一解密模组(decryption module)234。
请继续参照图2A,网络接口224用以利用例如有线通讯技术或无线通讯技术连接用户端装置11至因特网。用户端装置11的使用者接口模组231,连接至网络协议处理模组232与输出输入接口222且连接至网络接口224,用以接收一使用者所提供的一验证信息与一服务器地址,根据此服务器地址产生一连接建立请求信息并传送一已加密连接建立请求信息至一VPN服务器(例如:图1A中的VPN服务器12),而此VPN服务器12进一步传送此已加密连接建立请求信息至验证服务器14来进行一第一验证流程,以确认此用户端装置11是否为一已授权设备。此已加密连接建立请求信息包括所述的验证信息,例如:用户名/密码、预先取得且已载入用户端装置11的证书、生物特征(例如:指纹特征或视网膜特征)或智能卡上的证书。
请继续参照图2A,加密模组233,连接至使用者接口模组231与网络协议处理模组232,用以加密此连接建立请求信息为一已加密连接建立请求信息。加密模组233可以利用例如数据报传输层安全(DTLS)技术来实现加密的流程。解密模组234,连接至使用者接口模组231与网络协议处理模组232,用以解密由一VPN服务器传送至用户端装置11的使用者接口模组231的已加密数据或已加密信息。所述的网络协议处理模组232可以为例如:一软件模组或一固件模组(firmware module),用以处理因特网协议栈(Internet protocol stack)的相关信息或网络套接。
请继续参照图2A,输出输入接口222,连接至网络接口224与处理器模组210,用以连接至一生物特征采样器或一智能卡读取器。当输出输入接口222连接至一生物特征采样器时,输出输入接口222接收一使用者通过此生物特征采样器所提供的一生物特征(例如:指纹特征或视网膜特征),并根据此生物特征产生所述的验证信息。当输出输入接口222连接至一智能卡读取器时,接收一智能卡所提供的一数字特征(或证书),并根据此数字特征产生所述的验证信息。此外,处理器模组210,连接至输出输入接口222、网络接口224与存储器模组230。处理器模组210用以执行上述的使用者接口模组231、网络协议处理模组232、加密模组233与解密模组234,并控制与协调上述的输出输入接口222、网络接口224与存储器模组230。
然而,本发明并不限定于此,在其他实施例中,上述的网络协议处理模组232、加密模组233与解密模组234可以用硬件单元来替换,而处理器模组250控制与协调这些网络协议处理单元(未示出)、加密模组单元(未示出)与解密模组单元(未示出)。
图2B是根据本发明的一示范实施例所示一种虚拟专用网络服务器12的功能方块图。请参照图2B,虚拟专用网络服务器(VPN服务器)12包括处理器模组250、网络接口260与存储器模组270。存储器模组270至少包括一虚拟专用网络参数产生模组(简称为VPN参数产生模组)271、一网络协议处理模组272、一加密模组273、一解密模组274与一虚拟专用网络连接处理模组(简称为VPN连接处理模组)275。
请继续参照图2B,网络接口260用以利用一有线通讯技术或一无线通讯技术来将VPN服务器12连接至因特网。VPN参数产生模组271,连接至网络协议处理模组272且连接至网络接口260,用以产生一组虚拟专用网络设定参数(VPN设定参数),而此VPN设定参数包括一预先分享密钥(preshared key)。所述的加密模组273以及解密模组274,连接至VPN参数产生模组271、网络协议处理模组272与VPN连接处理模组275,且分别与用户端装置11的加密模组233以及解密模组234相类似,故在此不重述其细节。网络协议处理模组272连接至网络接口260与VPN参数产生模组271,且与网络协议处理模组232相类似,故在此不重述其细节。
请继续参照图2B,VPN连接处理模组275,连接至VPN参数产生模组271、网络协议处理模组272、加密模组273与解密模组274,用以接收一用户端装置(例如:图1A中的用户端装置11)所提供的一已加密连接建立请求信息,并传送此已加密连接建立请求信息给一验证服务器(例如:图1A中的验证服务器14)以进行一第一验证流程,并确认此用户端装置11是否为一已授权设备,而此已加密连接建立请求信息包括所述的验证信息。处理器模组250,连接至网络接口260与存储器模组270,用以执行VPN参数产生模组271、网络协议处理模组272、加密模组273与解密模组274与VPN连接处理模组275,以及控制与协调网络接口260与存储器模组270。
然而,本发明并不限定于此,在其他实施例中,上述VPN参数产生模组271、网络协议处理模组272、加密模组273与解密模组274可以用硬件单元来替换,而处理器模组210控制与协调这些VPN设定参数产生单元(未示出)、网络协议处理单元(未示出)、加密模组单元(未示出)与解密模组单元(未示出)。
图3是根据本发明的一示范实施例所示的一种虚拟专用网络连接建立方法300的流程图。请同时参照图1A与图3,此方法300由步骤S302开始,一网络装置(例如:用户端装置11)与一VPN服务器(例如:VPN服务器12)通过一验证服务器(例如:验证服务器12)进行一第一验证动作(步骤S302)。所述的网络装置与VPN服务器交换一组VPN设定参数,并进行一第二验证动作(步骤S304)。在交换VPN设定参数后,所述的网络装置与VPN服务器建立一VPN连接(步骤S306),此方法300到此结束。以下将以图4进一步介绍虚拟专用网络连接建立方法的详细技术内容。
图4是根据本发明的另一示范实施例所示的另一种虚拟专用网络连接建立方法400的流程图。请参照图1A、图2A、图2B与图4,此方法400由步骤S402开始,使用者在一网络装置(例如:用户端装置11)上通过一使用者接口模组(例如:使用者接口模组231)设定欲连接的一VPN服务器(例如:VPN服务器12)的因特网地址(步骤S402)。
在本示范实施例中,使用者同时选取一验证方式,并提供对应的验证信息(步骤S404)。所述的验证方式例如为:输入用户名/密码、提供载入网络装置的证书、提供生物特征(例如:指纹特征或视网膜特征)或提供一智能卡上的证书。对应的验证信息则例如为:用户名/密码、已载入网络装置的证书、生物特征或智能卡上的证书。举例说明,当使用者选取验证方式为使用生物特征时,使用者可以将用户端装置11的输出输入接口222连接至一生物特征采样器时,以接收一使用者通过此生物特征采样器所提供的一生物特征(例如:指纹特征或视网膜特征),并根据此生物特征产生所述的验证信息。再举另一例说明,当使用者选取验证方式为使用智能卡上的证书时,使用者可以将用户端装置11的输出输入接口222连接至一智能卡读取器时,以接收一智能卡所提供的一数字特征(或证书),并根据此数字特征(或证书)产生所述的验证信息。
在本示范实施例中,使用者接口模组231将使用者所选取的验证方式的一验证信息经过一加密处理(例如:利用加密模组233来加密验证信息为一已加密验证信息)后,加入在一连接建立请求信息中,并传送此连接建立请求信息至欲连接的VPN服务器(步骤S406)。在其他实施例中,使用者接口模组231还可以先将验证信息加入连接建立请求信息中,再利用加密模组233加密此连接建立请求信息为一已加密连接建立请求信息,并传送此已加密连接建立请求信息至欲连接的VPN服务器12的VPN连接处理模组275。
在本示范实施例中,VPN服务器将使用者的验证信息转送至一验证服务器以进行一第一验证动作(步骤S408)。更进一步举例说明,VPN服务器12的VPN连接处理模组275从连接建立请求信息中撷取已加密验证信息,并将此已加密验证信息转送至验证服务器14以进行第一验证动作。或者,在其他实施例中,VPN服务器12的VPN连接处理模组275,可以从已加密连接建立请求信息中撷取验证信息,并将此验证信息转送至验证服务器14以进行第一验证动作。
在本示范实施例中,验证服务器14确认此用户端装置11为已授权(此即一已授权的网络装置)后,VPN服务器12与用户端装置11的使用者接口模组231交换一组VPN设定参数,并通过交换此VPN设定参数来进行一第二验证动作(步骤S410)。进一步举例说明交换VPN设定参数的详细流程,用户端装置11的使用者接口模组231,将目前用户端装置11所在的一局域网络(LAN)的一第一因特网地址传送至VPN服务器12的VPN连接处理模组275,而VPN连接处理模组275,将目前VPN服务器12所在的一局域网络的一第二因特网地址传送至使用者接口模组231。
依据相类似的方法,用户端装置11的使用者接口模组231将目前用户端装置11所在的一广域网络(WAN)的一第三因特网地址传送至VPN服务器12的VPN连接处理模组275,而VPN连接处理模组275将目前VPN服务器12所在的一广域网络的一第四因特网地址传送至使用者接口模组231。另外,VPN参数产生模组271产生一预先分享密钥(preshared key),并通过传送此预先分享密钥至使用者接口模组231来进行所述的第二验证动作。
在本示范实施例中,VPN服务器12与使用者接口模组231完成上述的交换VPN设定参数与后续的第二验证动作之后,即建立一VPN连接(步骤S412),而此方法400到此结束,而所述的VPN连接为一IPSecVPN连接。使用者可以在用户端装置11通过所建立的IPSec VPN连接,连接到VPN服务器12所在局域网络中或网域中的其他网络服务器,已使用这些网络服务器提供的功能与服务。以下将以图5介绍另一种虚拟专用网络连接建立方法的技术内容。
图5是根据本发明的另一示范实施例所示另一种虚拟专用网络连接建立方法500的流程图。此方法500的步骤S502至步骤S508大致上类似于与图4中方法400的步骤S402至步骤S408,故在此不详述其细节。请同时参照图1A、图2A至2B、图4与图5,在步骤S510中,验证服务器14确认用户端装置11为已授权的网络装置之后,VPN服务器12动态性地产生一组VPN设定参数。更进一步说明,VPN服务器12的VPN参数产生模组271动态性产生一预先分享密钥与其他相关的VPN设定参数。
在步骤S512中,VPN服务器与使用者接口模组交换VPN设定参数,并进行一第二验证动作。更进一步说明,VPN连接处理模组275传送此预先分享密钥至用户端装置11的使用者接口模组231以完成第二验证流程,而第二验证流程为一虚拟专用网络验证流程。由于VPN设定参数是动态性产生的,用户端装置11的使用者接口模组231不须要永久性储存此VPN设定参数,并且当使用者更换至另一电子装置以建立另一VPN连接时,可以有效确保VPN建立连接的安全性。此方法500的步骤S514与方法400的步骤S412相类似,故在此不详述其细节,而此方法500在步骤S514之后结束。另外,VPN服务器12的VPN连接处理模组275选择性地传送一域名服务器信息给用户端装置11的使用者接口模组231,使得用户端装置11可以利用域名连接至VPN服务器12目前所在的局域网络中的一或多个网络服务器,或连接至VPN服务器12目前所在网域中的一或多个网络服务器。
综上所述,在本发明的上述示范实施例中,本发明提出虚拟专用网络系统及其网络装置。用户端装置加密验证信息后,将已加密验证信息加入连接建立请求信息,并传送此连接建立请求信息至虚拟专用网络服务器。通过验证服务器根据此已加密验证信息进行第一次验证动作,以确认用户端装置为已授权的网络装置。另外,用户端装置与虚拟专用网络服务器直接地交换虚拟专用网络设定参数以进行第二次验证动作,以建立一因特网安全协议虚拟专用网络连接。如此一来,虚拟专用网络系统将具有建立连接速度快、连接安全与可动态性调整虚拟专用网络服务器设定参数的优点。
虽然本发明以实施例揭露如上,但其并非用以限定本发明,任何所属领域技术人员,在不脱离本发明的精神和范围内,可作任意改动或等同替换,故本发明的保护范围应当以本申请权利要求所界定的范围为准。
Claims (23)
1.一种虚拟专用网络系统,包括:
一第一网络装置,用以提供一已加密连接建立请求信息,其中该已加密连接建立请求信息包括一验证信息;
一第二网络装置,通过一网络连接至该第一网络装置,用以接收该已加密连接建立请求信息,并传送该验证信息给一验证服务器以进行一第一验证流程,并确认该第一网络装置是否为一已授权设备;以及
其中,若该第一网络装置确认为一已授权设备,则该第二网络装置与该第一网络装置直接地交换一组虚拟专用网络设定参数,并通过交换该组虚拟专用网络设定参数来进行一第二验证流程,以在该第一网络装置与该二网络装置之间建立一因特网安全协议虚拟专用网络连接。
2.根据权利要求1所述的虚拟专用网络系统,其中该第一网络装置为一用户端装置,而该第二网络装置为一虚拟专用网络服务器。
3.根据权利要求1所述的虚拟专用网络系统,其中该第二网络装置与该第一网络装置交换该组虚拟专用网络设定参数时,该第一网络装置传送该第一网络装置所在的一局域网络的一第一因特网地址至该第二网络装置,而该第二网络装置回传该第二网络装置所在的一局域网络的一第二因特网地址至该第一网络装置。
4.根据权利要求3所述的虚拟专用网络系统,其中该第二网络装置与该第一网络装置交换该组虚拟专用网络设定参数时,该第一网络装置传送该第一网络装置所在的一广域网络的一第三因特网地址至该第二网络装置,而该第二网络装置回传该第二网络装置所在的一广域网络的一第四因特网地址至该第一网络装置。
5.根据权利要求3所述的虚拟专用网络系统,其中该第二网络装置动态性地产生一预先分享密钥,并传送该预先分享密钥至该第一网络装置以完成该第二验证流程,其中该第二验证流程为一虚拟专用网络验证流程。
6.根据权利要求4所述的虚拟专用网络系统,其中该第二网络装置选择性地传送一域名服务器信息给该第一网络装置,使得该第一网络装置利用一域名连接至该第二网络装置所在的局域网络中的一或多个网络服务器。
7.根据权利要求1所述的虚拟专用网络系统,其中该第一网络装置为一电脑、一智能型手机、一个人数字助理装置、一电视与一多媒体播放器的其中之一。
8.一种网络装置,用以与其他网络装置建立一虚拟专用网络连接,该网络装置包括:
一网络接口,用以连接至一因特网;
一存储器模组,包括:一连接处理模组,连接至该网络接口,用以接收一用户端装置所提供的一已加密连接建立请求信息,并传送该已加密连接建立请求信息给一验证服务器以进行一第一验证流程,并确认该用户端装置是否为一已授权设备,其中该已加密连接建立请求信息包括该验证信息;一参数产生模组,连接至该连接处理模组,用以产生一组虚拟专用网络设定参数,其中该虚拟专用网络设定参数包括一预先分享密钥;以及
一处理器模组,连接至该网络接口与该存储器模组,用以执行该参数产生模组与该连接处理模组,以及控制该网络接口与该存储器模组;以及
其中,若该用户端装置确认为一已授权设备,则该网络装置与该用户端装置直接地交换一组虚拟专用网络设定参数,并通过交换该组虚拟专用网络设定参数来进行一第二验证流程,以建立一因特网安全协议虚拟专用网络连接。
9.根据权利要求8所述的网络装置,其中该网络装置为一虚拟专用网络服务器。
10.根据权利要求8所述的网络装置,其中在该网络装置与该用户端装置交换该组虚拟专用网络设定参数时,该连接处理模组接收该用户端装置所在的一局域网络的一第一因特网地址至该网络装置,并传送该网络装置所在的一局域网络的一第二因特网地址至该用户端装置。
11.根据权利要求10所述的网络装置,其中在该网络装置与该用户端装置交换该组虚拟专用网络设定参数时,该连接处理模组接收该用户端装置所在的一广域网络的一第三因特网地址至该第二网络装置,并传送该网络装置所在的一广域网络的一第四因特网地址至该用户端装置。
12.根据权利要求10所述的网络装置,其中该参数产生模组动态性产生该预先分享密钥,并且该连接处理模组传送该预先分享密钥至该用户端装置以完成该第二验证流程,其中该第二验证流程为一虚拟专用网络验证流程。
13.根据权利要求12所述的网络装置,其中该连接处理模组选择性地传送一域名服务器信息给该用户端装置,使得该用户端装置利用一域名连接至该网络装置所在的一局域网络中的一或多个网络服务器。
14.一种网络装置,用以与其他网络装置建立一虚拟专用网络连接,该网络装置包括:
一网络接口,用以连接至一因特网;
一存储器模组,包括:一使用者接口模组,连接至该网络接口,用以接收一使用者所提供的一验证信息与一服务器地址,根据该服务器地址产生一连接建立请求信息并传送一已加密连接建立请求信息至一服务器,其中该服务器传送该已加密连接建立请求信息至一验证服务器以进行一第一验证流程以确认该网络装置是否为一已授权设备,其中该已加密连接建立请求信息包括该验证信息;一加密模组,连接至该使用者接口模组,用以加密该连接建立请求信息为该已加密连接建立请求信息;
一处理器模组,连接至该网络接口与该存储器模组,用以执行该使用者接口模组与该加密模组,并控制该网络接口与该存储器模组;以及
其中,若该网络装置确认为一已授权设备,则该服务器与该网络装置直接地交换一组虚拟专用网络设定参数,并通过交换该组虚拟专用网络设定参数进行一第二验证流程,以在该服务器与该网络装置之间建立一因特网安全协议虚拟专用网络连接。
15.根据权利要求14所述的网络装置,其中该网络装置为一用户端装置,而该服务器为一虚拟专用网络服务器。
16.根据权利要求14所述的网络装置,其中在该网络装置与该服务器交换该组虚拟专用网络设定参数时,该使用者接口模组提供该网络装置所在的一局域网络的一第一因特网地址至该服务器,并接收该服务器所在的一局域网络的一第二因特网地址。
17.根据权利要求16所述的网络装置,其中在该网络装置与该服务器交换该组虚拟专用网络设定参数时,该使用者接口模组提供该网络装置所在的一广域网络的一第三因特网地址至该服务器,并接收该服务器所在的一广域网络的一第四因特网地址。
18.根据权利要求16所述的网络装置,其中该服务器动态性产生一预先分享密钥,并且传送该预先分享密钥至该网络装置以完成该第二验证流程,其中该第二验证流程为一虚拟专用网络验证流程。
19.根据权利要求17所述的网络装置,其中该服务器选择性地传送一域名服务器信息给该网络装置,使得该网络装置利用一域名连接至该服务器所在的一局域网络中的一或多个网络服务器。
20.根据权利要求14所述的网络装置,还包括:
一输出输入接口,用以连接至一生物特征采样器,接收该使用者通过该生物特征采样器所提供的一生物特征,并根据该生物特征产生该验证信息。
21.根据权利要求14所述的网络装置,还包括:
一输出输入接口,用以连接至一智能卡读取器,接收一智能卡所提供的一数字特征,并根据该数字特征产生该验证信息。
22.根据权利要求14所述的网络装置,其中该验证信息包括一使用者帐号与一密码。
23.根据权利要求14所述的虚拟专用网络系统,其中该网络装置为一电脑、一智能型手机、一个人数字助理装置、一电视与一多媒体播放器的其中之一。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010102512947A CN102377731A (zh) | 2010-08-10 | 2010-08-10 | 虚拟专用网络系统及其网络装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010102512947A CN102377731A (zh) | 2010-08-10 | 2010-08-10 | 虚拟专用网络系统及其网络装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN102377731A true CN102377731A (zh) | 2012-03-14 |
Family
ID=45795711
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2010102512947A Pending CN102377731A (zh) | 2010-08-10 | 2010-08-10 | 虚拟专用网络系统及其网络装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102377731A (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102984044A (zh) * | 2012-11-16 | 2013-03-20 | 深圳市深信服电子科技有限公司 | 基于虚拟专用网络实现数据传输安全性的方法和装置 |
CN103840994A (zh) * | 2012-11-23 | 2014-06-04 | 华耀(中国)科技有限公司 | 一种用户端通过 vpn 访问内网的系统及方法 |
CN107517213A (zh) * | 2017-09-01 | 2017-12-26 | 郑州云海信息技术有限公司 | 指纹识别的方法及其装置 |
CN107517212A (zh) * | 2017-09-01 | 2017-12-26 | 郑州云海信息技术有限公司 | 指纹识别的方法及其装置 |
CN107516026A (zh) * | 2017-09-01 | 2017-12-26 | 郑州云海信息技术有限公司 | 指纹识别的方法及其装置 |
CN109088809A (zh) * | 2014-12-05 | 2018-12-25 | 华为技术有限公司 | 报文处理方法、网络服务器和虚拟专用网络系统 |
CN110808975A (zh) * | 2019-10-31 | 2020-02-18 | 广州润铂晟信息技术有限公司 | 敏感数据传输方法、装置、计算机设备和存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1719813A (zh) * | 2004-07-09 | 2006-01-11 | 威达电股份有限公司 | 具ssl保护功能的安全网关及方法 |
CN1747436A (zh) * | 2005-10-24 | 2006-03-15 | 杭州华为三康技术有限公司 | 一种虚拟专网客户端的接入方法及系统 |
US20060068998A1 (en) * | 2004-09-27 | 2006-03-30 | Fuji Photo Film Co. Ltd. | Lubricant composition and triazine ring-containing compound |
US20060070115A1 (en) * | 2004-09-29 | 2006-03-30 | Hitachi Communication Technologies, Ltd. | Server, VPN client, VPN system, and software |
CN101640607A (zh) * | 2009-04-13 | 2010-02-03 | 山石网科通信技术(北京)有限公司 | 基于因特网安全协议的虚拟专用网的配置方法及系统 |
TW201021572A (en) * | 2008-11-20 | 2010-06-01 | Dynalab Singapore Ltd | A business model of virtual private network on the interactive TV |
-
2010
- 2010-08-10 CN CN2010102512947A patent/CN102377731A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1719813A (zh) * | 2004-07-09 | 2006-01-11 | 威达电股份有限公司 | 具ssl保护功能的安全网关及方法 |
US20060068998A1 (en) * | 2004-09-27 | 2006-03-30 | Fuji Photo Film Co. Ltd. | Lubricant composition and triazine ring-containing compound |
US20060070115A1 (en) * | 2004-09-29 | 2006-03-30 | Hitachi Communication Technologies, Ltd. | Server, VPN client, VPN system, and software |
CN1747436A (zh) * | 2005-10-24 | 2006-03-15 | 杭州华为三康技术有限公司 | 一种虚拟专网客户端的接入方法及系统 |
TW201021572A (en) * | 2008-11-20 | 2010-06-01 | Dynalab Singapore Ltd | A business model of virtual private network on the interactive TV |
CN101640607A (zh) * | 2009-04-13 | 2010-02-03 | 山石网科通信技术(北京)有限公司 | 基于因特网安全协议的虚拟专用网的配置方法及系统 |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102984044A (zh) * | 2012-11-16 | 2013-03-20 | 深圳市深信服电子科技有限公司 | 基于虚拟专用网络实现数据传输安全性的方法和装置 |
CN103840994A (zh) * | 2012-11-23 | 2014-06-04 | 华耀(中国)科技有限公司 | 一种用户端通过 vpn 访问内网的系统及方法 |
CN103840994B (zh) * | 2012-11-23 | 2017-06-06 | 华耀(中国)科技有限公司 | 一种用户端通过vpn访问内网的系统及方法 |
CN109088809A (zh) * | 2014-12-05 | 2018-12-25 | 华为技术有限公司 | 报文处理方法、网络服务器和虚拟专用网络系统 |
CN107517213A (zh) * | 2017-09-01 | 2017-12-26 | 郑州云海信息技术有限公司 | 指纹识别的方法及其装置 |
CN107517212A (zh) * | 2017-09-01 | 2017-12-26 | 郑州云海信息技术有限公司 | 指纹识别的方法及其装置 |
CN107516026A (zh) * | 2017-09-01 | 2017-12-26 | 郑州云海信息技术有限公司 | 指纹识别的方法及其装置 |
CN110808975A (zh) * | 2019-10-31 | 2020-02-18 | 广州润铂晟信息技术有限公司 | 敏感数据传输方法、装置、计算机设备和存储介质 |
CN110808975B (zh) * | 2019-10-31 | 2021-11-19 | 广州润铂晟信息技术有限公司 | 敏感数据传输方法、装置、计算机设备和存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108390851B (zh) | 一种用于工业设备的安全远程控制系统及方法 | |
AU2007267836B2 (en) | Policy driven, credential delegation for single sign on and secure access to network resources | |
CN105993146B (zh) | 用于与客户端设备建立安全会话的方法和装置 | |
TW201929482A (zh) | 身份認證方法、系統及計算設備 | |
US11736304B2 (en) | Secure authentication of remote equipment | |
US20120240204A1 (en) | System, design and process for strong authentication using bidirectional OTP and out-of-band multichannel authentication | |
US20140282840A1 (en) | Managing data handling policies | |
CN102377731A (zh) | 虚拟专用网络系统及其网络装置 | |
CN105634737B (zh) | 一种数据传输方法、终端及其系统 | |
CN105050081A (zh) | 网络接入设备接入无线网络接入点的方法、装置和系统 | |
CN101772024B (zh) | 一种用户身份确定方法及装置和系统 | |
US20120023325A1 (en) | Virtual private network system and network device thereof | |
CN102638346B (zh) | 一种用户数字证书的认证方法及装置 | |
JP2012530311A5 (zh) | ||
CN106162537B (zh) | 一种安全认证连接的方法、无线通信设备及终端 | |
US10395052B2 (en) | Managing data handling policies | |
CN102811225B (zh) | 一种ssl中间代理访问web资源的方法及交换机 | |
CN107018154A (zh) | 一种基于应用层用于连接内网和外网的路由器和路由方法 | |
CN103780609A (zh) | 一种云数据的处理方法、装置和云数据安全网关 | |
CN102143492B (zh) | Vpn连接建立方法、移动终端、服务器 | |
CN103152326A (zh) | 一种分布式认证方法及认证系统 | |
CN105591748B (zh) | 一种认证方法和装置 | |
CN111357305A (zh) | 可移动平台的通信方法、设备、系统及存储介质 | |
CN103269301A (zh) | 桌面型IPSecVPN密码机及组网方法 | |
Sathyan et al. | Multi-layered collaborative approach to address enterprise mobile security challenges |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20120314 |