CN105493453A - 一种实现远程接入的方法、装置及系统 - Google Patents
一种实现远程接入的方法、装置及系统 Download PDFInfo
- Publication number
- CN105493453A CN105493453A CN201480038036.7A CN201480038036A CN105493453A CN 105493453 A CN105493453 A CN 105493453A CN 201480038036 A CN201480038036 A CN 201480038036A CN 105493453 A CN105493453 A CN 105493453A
- Authority
- CN
- China
- Prior art keywords
- vpn server
- vpn
- address
- identifying code
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 57
- 230000005540 biological transmission Effects 0.000 claims abstract description 39
- 230000004913 activation Effects 0.000 claims description 61
- 238000001914 filtration Methods 0.000 claims description 14
- 238000012795 verification Methods 0.000 abstract description 11
- 230000008569 process Effects 0.000 abstract description 10
- 230000007246 mechanism Effects 0.000 abstract description 6
- 238000001994 activation Methods 0.000 description 46
- 238000010586 diagram Methods 0.000 description 15
- 238000013478 data encryption standard Methods 0.000 description 6
- 238000012546 transfer Methods 0.000 description 6
- 230000003213 activating effect Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000003993 interaction Effects 0.000 description 2
- 238000012797 qualification Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种实现用户终端远程接入专用网络的方法、系统和装置,初始配置时,在VPN服务器中配置有专用网络中VPN网关的IP地址,当用户终端激活VPN服务器后,所述VPN服务器将验证码报文发送给所述VPN网关,由VPN网关对所述VPN服务器进行鉴权,在鉴权通过后,VPN网关为所述VPN服务器分配私网地址段和加密密钥,所述VPN网关将所述私网地址段和加密密钥发送给所述VPN服务器,以使得所述VPN服务器在所述私网地址段内为用户终端分配IP地址,并利用所述加密密钥对传递到所述VPN网关的数据进行加密。从而实现了用户终端通过VPN服务器接入到企业内网,通过上述安全的加密和认证机制,保证了从用户接入到数据传输的端到端安全流程。
Description
技术领域
本发明涉及通信领域,尤其是涉及一种实现远程接入的方法、装置及系统。
背景技术
虚拟专用网(VirtualPrivateNetwork,VPN)在企业网络中广泛应用,通过在公用网络上建立专用网络进行加密通信。VPN利用已加密的通道协议(TunnelingProtocol,TP)来达到保密、发送端认证、消息准确性等私人消息安全效果,可以用不安全的网络(例如:互联网)来发送可靠、安全的消息。
例如,某公司员工出差到外地,需要接入企业总部内网中的服务器资源,这种接入就属于远程接入。通过在内网中架设一台VPN网关,外地员工在当地连上互联网后,通过互联网连接VPN网关,然后通过VPN网关进入企业内网,使得外地员工可以访问到内网资源,为了保证数据安全,VPN网关和外地员工使用的客户端之间的通讯数据都进行加密处理。
IPSec(InternetProtocolSecurity)VPN即指采用IPSec协议来实现远程接入的一种VPN技术,是由互联网工程任务组(InternetEngineeringTaskForce,IETF)定义的安全标准框架,用以提供公用和专用网络的端对端加密和验证服务。IPSecVPN公开了Site-to-Site场景(即站点到站点或者网关到网关):例如,某公司的总部与分支机构分布在互联网的两个不同的地方,各使用一个VPN网关建立VPN隧道,实现安全互联。但是,这种方式的前提是需要在各自的VPN网关上按照约定好的参数进行配置,并且预先协商确定加密算法、密钥和子网等等,配置及协商方式复杂。
发明内容
本发明的目的在于提供一种实现远程接入的方法、装置及系统,以解决现有IPSecVPN技术中VPN网关配置及协商方式复杂的问题。
第一方面,本发明实施例提供了一种实现用户终端远程接入专用网络的方法,所述方法应用于远程接入系统,所述远程接入系统包括VPN服务器和专用网络中的VPN网关,所述VPN服务器中配置有所述VPN网关的公网IP地址,所述方法包括:
所述VPN服务器生成验证码报文,将所述验证码报文发送给所述VPN网关,所述验证码报文包括所述VPN服务器的标识;
所述VPN服务器接收所述VPN网关返回的私网IP地址段和加密密钥,所述私网IP地址段和加密密钥具体为所述VPN网关在对所述VPN服务器的标识进行校验通过后为所述VPN服务器分配的;
所述VPN服务器根据所述私网IP地址段和加密密钥进行系统配置;
所述VPN服务器接收用户终端发送的登陆请求,在所述私网IP地址段内为所述用户终端分配IP地址,使用所述加密密钥向所述VPN网关传输所述用户终端发送的数据。
结合第一方面,在第一方面第一种可能的实施方式中,所述VPN服务器中还配置有RSA私钥,相应地,所述VPN网关中配置有所述RSA私钥对应的公钥,
所述VPN服务器生成验证码报文,将所述验证码报文发送给所述VPN网关包括:
所述VPN服务器使用所述RSA私钥对所述验证码报文进行加密,将加密后的所述验证码报文发送给所述VPN网关,以使得所述VPN网关使用所述RSA私钥对应的公钥对所述验证码报文进行解密,获取并校验所述VPN服务器的标识。
结合第一方面第一种可能的实现方式,在第二种可能的实现方式中,在所述VPN服务器将所述验证码报文发送给所述VPN网关前,所述方法还包括:
所述VPN服务器接收配置指令,存储所述RSA私钥以及所述VPN网关的公网IP地址。
结合第一方面、第一方面第一种可能的实现方式或第一方面第二种可能的实现方式,在第三种可能的实现方式中,所述VPN服务器中还设置有激活口令,在所述VPN服务器生成验证码报文之前,所述方法还包括:
所述VPN服务器接收用户终端发送的激活请求,所述激活请求中携带所述激活口令;
所述VPN服务器验证所述激活请求中携带的所述激活口令。
结合第一方面、第一方面第一种可能的实现方式或第一方面第二种可能的实现方式,在第四种可能的实现方式中,,所述VPN服务器中设置有过滤规则,以限定所述VPN服务器上开放的端口为进行VPN数据传输使用的端口、开放的地址为所述VPN网关的公网IP地址。
结合第一方面,在第五种可能的实现方式中,所述VPN服务器的标识为所述所述VPN服务器的设备序列号。
结合第一方面第三种可能的实现方式,在第六种可能的实现方式中,所述激活口令包括密码、指纹、掌纹或虹膜中的至少一个。
第二方面,本发明实施例提供了另一种实现用户终端远程接入专用网络的方法,应用于远程接入系统,所述远程接入系统包括VPN服务器、第三方认证中心以及专用网络中的VPN网关,所述VPN服务器中配置有所述VPN网关的公网IP地址,所述方法包括:
所述VPN服务器生成验证码报文,将所述验证码报文发送给所述第三方认证中心,所述验证码报文包括所述VPN服务器的标识;
所述VPN服务器接收所述VPN网关返回私网IP地址段和加密密钥,所述私网IP地址段和加密密钥具体为所述第三方认证中心在对所述VPN服务器的标识进行校验通过后请求所述VPN网关为所述VPN服务器分配的;
所述VPN服务器根据所述私网IP地址段和加密密钥进行系统配置;
所述VPN服务器接收用户终端发送的登陆请求,在所述私网IP地址段内为所述用户终端分配IP地址,使用所述加密密钥向所述VPN网关传输所述用户终端发送的数据。
结合第二方面,在第二方面第一种可能的实现方式中,所述VPN服务器中还配置有RSA私钥,相应地,所述第三方认证中心中配置有所述RSA私钥对应的公钥,
所述VPN服务器生成验证码报文,将所述验证码报文发送给所述第三方认证中心包括:
所述VPN服务器使用所述RSA私钥对所述验证码报文进行加密,将加密后的所述验证码报文发送给所述第三方认证中心,以使得所述第三方认证中心使用所述RSA私钥对应的公钥对所述验证码报文进行解密,获取并校验所述VPN服务器的标识。
结合第二方面或第二方面第一种可能的实现方式,在第二方面第二种可能的实现方式中,所述VPN服务器中设置有过滤规则,以限定所述VPN服务器上开放的端口为进行VPN数据传输使用的端口以及与所述第三方认证中心交互的端口、开放的地址为所述第三方认证中心的IP地址以及所述VPN网关的公网IP地址。
第三方面,本发明实施例提供了一种实现用户终端远程接入专用网络的系统,所述远程接入系统包括VPN服务器和专用网络中的VPN网关,所述VPN服务器中配置有所述VPN网关的公网IP地址,
所述VPN服务器,用于生成验证码报文,将所述验证码报文发送给所述VPN网关,所述验证码报文包括所述VPN服务器的标识;
所述VPN网关,用于在对所述VPN服务器的标识进行校验通过后,为所述VPN服务器分配私网IP地址段和加密密钥,并将所述私网IP地址段和加密密钥发送给所述VPN服务器;
所述VPN服务器,还用于接收所述VPN网关返回的私网IP地址段和加密密钥,并根据所述私网IP地址段和加密密钥进行系统配置;
所述VPN服务器,还用于接收用户终端发送的登陆请求,在所述私网IP地址段内为所述用户终端分配IP地址,使用所述加密密钥向所述VPN网关传输所述用户终端发送的数据。
结合第三方面,在第三方面第一种可能的实施方式中,,所述VPN服务器中还配置有RSA私钥,相应地,所述VPN网关中配置有所述RSA私钥对应的公钥,
所述VPN服务器,具体用于使用所述RSA私钥对所述验证码报文进行加密,将加密后的所述验证码报文发送给所述VPN网关;
所述VPN网关,具体用于使用所述RSA私钥对应的公钥对所述验证码报文进行解密,获取并校验所述VPN服务器的标识。
结合第三方面第一种可能的实现方式,在第三方面第二种可能的实现方式中,所述VPN服务器接收还用于配置指令,存储所述RSA私钥以及所述VPN网关的公网IP地址。
结合第三方面、第三方面第一种可能的实现方式或第三方面第二种可能的实现方式,在第三方面第三种可能的实现方式中,所述VPN服务器中还设置有激活口令,
所述VPN服务器,还用于接收并验证用户终端发送的激活请求,所述激活请求中携带激活口令。
结合第三方面、第三方面第一种可能的实现方式或第三方面第二种可能的实现方式,在第三方面第四种可能的实现方式中,所述VPN服务器中设置有过滤规则,以限定所述VPN服务器上开放的端口为进行VPN数据传输使用的端口、开放的地址为所述VPN网关的公网IP地址。
第四方面,本发明实施例还提供了一种实现用户终端远程接入专用网络的系统,所述系统包括VPN服务器以及专用网络中的VPN网关,所述VPN服务器中配置有所述VPN网关的公网IP地址,
所述VPN服务器,用于生成验证码报文,将所述验证码报文发送给所述第三方认证中心,所述验证码报文包括所述VPN服务器的标识;
所述VPN网关,用于接收第三方认证中心在对所述VPN服务器的标识校验通过后发送的通知消息,所述通知消息中携带所述VPN服务器的标识;
所述VPN网关,还用于为所述VPN服务器分配私网IP地址段和加密密钥,并经所述私网IP地址段和加密密钥发送给所述VPN服务器;
所述VPN服务器,还用于接收所述VPN网关返回的私网IP地址段和加密密钥,并根据所述私网IP地址段和加密密钥进行系统配置;
所述VPN服务器,还用于接收用户终端发送的登陆请求,在所述私网IP地址段内为所述用户终端分配IP地址,使用所述加密密钥向所述VPN网关传输所述用户终端发送的数据。
结合第四方面,在第四方面第一种可能的实现方式中,所述系统还包括第三方认证中心,
所述第三方认证中心,用于对所述VPN服务器的标识进行校验。
结合第四方面第一种可能的实现方式,在第四方面第二种可能的实现方式中,所述VPN服务器中还配置有RSA私钥,相应地,所述第三方认证中心中配置有所述RSA私钥对应的公钥,
所述VPN服务器,具体用于使用所述RSA私钥对所述验证码报文进行加密,将加密后的所述验证码报文发送给所述第三方认证中心;
所述第三方认证中心,具体用于使用所述RSA私钥对应的公钥对所述验证码报文进行解密,获取并校验所述VPN服务器的标识。
结合第四方面第二种可能的实现方式,在第四方面第三种可能的实现方式中,所述VPN服务器中设置有过滤规则,以限定所述VPN服务器上开放的端口为进行VPN数据传输使用的端口以及与所述第三方认证中心交互的端口、开放的地址为所述第三方认证中心的IP地址以及所述VPN网关的公网IP地址。
第五方面,本发明实施例提供了一种实现用户终端远程接入专用网络的VPN服务器,所述VPN服务器中配置有所述专用网络中的VPN网关的公网IP地址,
生成单元,用于生成验证码报文,所述验证码报文包括所述VPN服务器的标识;
发送单元,用于将所述生成单元生成的所述验证码报文发送给所述VPN网关;
接收单元,用于接收所述VPN网关返回的私网IP地址段和加密密钥,所述私网IP地址段和加密密钥具体为所述VPN网关在对所述VPN服务器的标识进行校验通过后为所述VPN服务器分配的;
配置单元,用于根据所述接收单元接收到的所述私网IP地址段和加密密钥进行系统配置;
所述接收单元,还用于接收用户终端发送的登陆请求;
数据传输单元,用于在所述接收单元接收到所述登陆请求后,在所述私网IP地址段内为所述用户终端分配IP地址,使用所述加密密钥向所述VPN网关传输所述用户终端发送的数据。
结合第五方面,在第五方面第一种可能的实现方式中,所述VPN服务器中还配置有RSA私钥,
所述生成单元,具体用于使用所述RSA私钥对所述验证码报文进行加密;
所述发送单元,具体用于将所述生成单元生成的加密后的所述验证码报文发送给所述VPN网关,以使得所述VPN网关使用所述RSA私钥对应的公钥对所述验证码报文进行解密,获取并校验所述VPN服务器的标识。
结合第五方面第一种可能的实现方式,在第二种可能的实现方式中,所述接收单元,还用于接收配置指令,存储所述RSA私钥以及所述VPN网关的公网IP地址。
结合第五方面,在第五方面第三种可能的实现方式中,所述接收单元,还用于接收用户终端发送的激活请求,所述激活请求中携带所述激活口令;
相应地,所述VPN服务器还包括鉴权单元,用于验证所述接收单元接收到的所述激活请求中携带的所述激活口令。
本发明实施例提供了一种实现用户终端远程接入专用网络的方法、系统和装置,初始配置时,在VPN服务器中配置有专用网络中VPN网关的IP地址,当用户终端激活VPN服务器后,所述VPN服务器将验证码报文发送给所述VPN网关,由VPN网关对所述VPN服务器进行鉴权,在鉴权通过后,VPN网关为所述VPN服务器分配私网地址段和加密密钥,所述VPN网关将所述私网地址段和加密密钥发送给所述VPN服务器,以使得所述VPN服务器在所述私网地址段内为用户终端分配IP地址,并利用所述加密密钥对传递到所述VPN网关的数据进行加密。从而实现了用户终端通过VPN服务器接入到企业内网,通过上述安全的加密和认证机制,保证了从用户接入到数据传输的端到端安全流程。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种实现用户终端远程接入专用网络的方法流程示意图;
图2是本发明实施例提供的一种远程接入的系统结构示意图;
图3是本发明实施例提供的一种实现用户终端远程接入专用网络的方法流程示意图;
图4是本发明实施例提供的另一种实现用户终端远程接入专用网络的方法流程示意图;
图5是本发明实施例提供的另一种实现用户终端远程接入专用网络的方法流程示意图;
图6是本发明实施例提供的一种实现用户终端远程接入专用网络的系统结构示意图;
图7是本发明实施例提供的另一种实现用户终端远程接入专用网络的系统结构示意图
图8是本发明实施例提供的一种实现用户终端远程接入专用网络的VPN服务器结构示意图;
图9是本发明实施例提供的一种VPN服务器硬件结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,为本发明实施例提供的一种实现用户终端远程接入专用网络的方法流程示意图,所述方法应用于远程接入系统,所述远程接入系统包括VPN服务器和专用网络中的VPN网关,所述VPN服务器中配置有所述VPN网关的公网IP地址,所述方法包括:
步骤101:所述VPN服务器生成验证码报文,将所述验证码报文发送给所述VPN网关,所述验证码报文包括所述VPN服务器的标识;
步骤102:所述VPN服务器接收所述VPN网关返回的私网IP地址段和加密密钥,所述私网IP地址段和加密密钥具体为所述VPN网关在对所述VPN服务器的标识进行校验通过后为所述VPN服务器分配的;
步骤103:所述VPN服务器根据所述私网IP地址段和加密密钥进行系统配置;
步骤104:所述VPN服务器接收用户终端发送的登陆请求,在所述私网IP地址段内为所述用户终端分配IP地址,使用所述加密密钥向所述VPN网关传输所述用户终端发送的数据。
初始配置时,在VPN服务器中配置有专用网络中VPN网关的IP地址,当用户终端激活VPN服务器后,所述VPN服务器将验证码报文发送给所述VPN网关,由VPN网关对所述VPN服务器进行鉴权,在鉴权通过后,VPN网关为所述VPN服务器分配私网地址段和加密密钥,所述VPN网关将所述私网地址段和加密密钥发送给所述VPN服务器,以使得所述VPN服务器在所述私网地址段内为用户终端分配IP地址,并利用所述加密密钥对传递到所述VPN网关的数据进行加密。从而实现了用户终端通过VPN服务器接入到企业内网,通过上述安全的加密和认证机制,保证了从用户接入到数据传输的端到端安全流程。
进一步的,VPN服务器中还可以设置RSA私钥,相应地,所述VPN网关中配置有所述RSA私钥对应的公钥,从而使得VPN服务器可以利用所述RSA私钥对发送给所述VPN网关的验证码报文进行加密。具体的,所述VPN服务器使用所述RSA私钥对所述验证码报文进行加密,将加密后的所述验证码报文发送给所述VPN网关,以使得所述VPN网关使用所述RSA私钥对应的公钥对所述验证码报文进行解密,获取并校验所述VPN服务器的标识。
所述VPN服务器接收配置指令,存储所述RSA私钥以及所述VPN网关的公网IP地址。
当用户终端需要通过VPN服务器接入总部的VPN网关时,用户终端向VPN服务器发送激活请求,所述激活请求中携带所述激活口令;所述VPN服务器验证所述激活请求中携带的所述激活口令,所述激活口令包括密码、指纹、掌纹或虹膜中的至少一个。
所述VPN服务器的标识为所述所述VPN服务器的设备序列号。
如图2所示,为本发明实施例提供的一种远程接入的系统结构示意图,用户终端通过VPN服务器连接公网,进而连接到企业内部专用网络的VPN网关,通过VPN网关与企业内网进行数据传输。其中,VPN服务器中预置了与总部进行连接的参数,包括总部的公网IP地址,进一步的,还包括进行通道加密所需的私钥,以及激活密码。VPN服务器本身提供无线和有线接入能力,并可以对接入的终端进行MAC地址过滤。用户终端通过高安全的认证方式(WPA2)接入VPN服务器访问总部。VPN服务器激活后会自动和总部的VPN网关进行交互,实现身份认证,配置协商以及自动配置等操作。VPN服务器每次开始新的连接,或者IP地址发生变化以后,都需要进行重新激活才可以提供服务。
在用户终端通过VPN服务器进行远程接入之前,首先需要对VPN服务器进行初始配置,以达到可用的目的。具体的,在现实场景中,当员工出差前,可以向总部申领VPN服务器,由总部IT管理人员对VPN服务器进行初始配置,所述初始配置可以包括如下内容:
将总部的VPN网关的公网IP地址写入到VPN服务器中;
通过专用设备在VPN服务器中写入分配好的RSA私钥,与所述RSA相对应的公钥保存在总部系统中,所述RSA私钥可以存储在VPN服务器的芯片中,以使得外部系统无法读取到;
用户在总体IT管理员处申领VPN服务器时,在VPN服务器上设置激活口令,该激活口令可以为密码、指纹、掌纹或虹膜等等,本发明实施例对此并不进行限定;
在VPN服务器上开放限定的端口和地址,例如,在VPN服务器上只开放供VPN数据传输使用的端口(500或4500)以及VPN网关的公网IP地址。具体的,可以在VPN服务器上设置过滤规则,所述过滤规则针对IP地址和端口,使得VPN服务器只能访问VPN网关,无法访问其他公网地址。另一方面,当由第三方认证中心负责对所述VPN服务器进行校验时,还需要在所述VPN服务器上设置过滤规则,以限定所述VPN服务器上开放的端口为进行VPN数据传输使用的端口以及与所述第三方认证中心交互的端口、开放的地址为所述第三方认证中心的IP地址以及所述VPN网关的公网IP地址。
本发明实施例提供了一种VPN服务器,远程终端通过该VPN服务器接入企业内网的VPN网关,以实现为移动办公提供简单、安全、方便的即插即用VPN服务。
如图3所示,为本发明实施例提供的一种实现用户终端远程接入专用网络的方法流程示意图,包括:
步骤301:将VPN服务器连接到Internet,并启动VPN服务器,所述VPN服务器获取一个公网IP地址,具体的,可以通过静态手工配置、动态主机配置协议(DynamicHostConfigurationProtocol,DHCP)或者以太网上的点对点协议(Point-to-PointProtocoloverEthernet,PPOE)等方式获取公网IP地址。
步骤302:用户通过用户终端向所述VPN服务器发送激活请求,以使得所述VPN服务器对所述用户进行合法性验证;
根据在VPN服务器申领时设置的激活方式,用户可以通过输入激活密码、扫描指纹或者掌纹等方式激活VPN服务器,本发明实施例对此并不进行限定。
步骤303:VPN服务器生成认证消息,所述认证消息包含验证码报文,报文内容为VPN服务器的设备序列号,VPN服务器使用预置的RSA私钥对认证消息中的验证码报文进行加密和签名,向总部的VPN网关发送认证消息;
步骤304:总部的VPN网关接收所述认证消息,获取到加密后的验证码报文后,使用预先保存的所述RSA私钥对应的公钥对验证码报文进行解密,对解密得到的设备序列号进行校验,确定所述设备序列号是否已在系统中注册,如果设备设备序列号是已知的,且尚未在系统中注册过的设备,则校验通过
步骤305:校验完成后,总部的VPN网关为所述VPN服务器分配一个私网的IP地址段,以及后续进行VPN传输的加密密钥,所述加密密钥可以为对称密钥。
步骤306:总部的VPN网关使用RSA公钥对私网IP地址段以及加密密钥进行加密并签名,将加密后的私网IP地址段以及加密密钥携带在认证响应消息中发送给所述VPN服务器;
步骤307:VPN服务器对接收到的认证响应消息中的报文进行解密,获取到所述VPN网关为所述VPN服务器分配的私网IP地址段以及加密密钥;
步骤308:VPN服务器根据接收到的所述私网IP地址段以及加密密钥自动进行VPN配置;
步骤309:用户通过用户终端接入VPN服务器,所述VPN服务器对接入用户进行合法性验证,验证通过后,为所述用户终端在所述私网IP地址段内分配IP地址;
具体的,用户可以通过用户终端采用高安全的认证方式(WPA2)接入VPN服务器,开始访问总部的数据。VPN服务器对接入用户进行密码方式的连接合法性验证;
步骤310:用户终端与总部的VPN网关使用标准的IPSecVPN协议进行数据交互,使用数据加密标准(DataEncryptionStandard,DES)进行数据的加密。
在本发明实施例中,初始配置时,在VPN服务器中配置有专用网络中VPN网关的IP地址,当用户终端激活VPN服务器后,所述VPN服务器将验证码报文发送给所述VPN网关,由VPN网关对所述VPN服务器进行鉴权,在鉴权通过后,VPN网关为所述VPN服务器分配私网地址段和加密密钥,所述VPN网关将所述私网地址段和加密密钥发送给所述VPN服务器,以使得所述VPN服务器在所述私网地址段内为用户终端分配IP地址,并利用所述加密密钥对传递到所述VPN网关的数据进行加密。从而实现了用户终端通过VPN服务器接入到企业内网,通过上述安全的加密和认证机制,保证了从用户接入到数据传输的端到端安全流程。
如图4所示,为本方面实施例提供的另一种实现用户终端远程接入专用网络的方法流程示意图,与前述实施例不同的是,在本发明实施例中,由第三方认证中心为整个系统提供与具体厂商无关的认证服务,并提供统一的VPN设备发放服务。在VPN申领时,第三方认证中心为VPN服务器提供初始配置;在用户通过VPN服务器接入到企业内网时,相应地,由第三方认证中心对VPN服务器进行认证。在对VPN服务器进行初始配置后,用户通过VPN服务器远程接入到企业内网中。
所述方法包括:
步骤401:所述VPN服务器连接到互联网,获取一个公网IP地址,具体的,可以通过静态手工配置、DHCP或者PPOE等方式获取公网IP地址,本发明实施例对此并不限定。
步骤402:用户通过用户终端向所述VPN服务器发送激活请求,以使得所述VPN服务器对所述用户进行合法性验证;
根据在VPN服务器申领时设置的激活方式,用户可以通过输入激活密码、扫描指纹或者掌纹等方式激活VPN服务器,本发明实施例对此并不进行限定。
步骤403:VPN服务器生成认证消息,所述认证消息包含验证码报文,报文内容为VPN服务器的设备序列号,VPN服务器使用预置的RSA私钥对认证消息中的验证码报文进行加密和签名,向第三方认证中心发送加密后的验证码报文;
步骤404:第三方认证中心接收所述认证消息,获取到加密后的验证码报文后,使用预先保存的所述RSA私钥对应的公钥对加密后的验证码报文进行解密,对解密得到的设备序列号进行校验,确定所述设备序列号是否已在系统中注册,如果设备设备序列号是已知的未注册设备,则校验通过。
步骤405:校验通过后,第三方认证中心向总部的VPN网关发送通知消息,所述通知消息中携带所述VPN服务器的标识和IP地址信息;
步骤406:总部的VPN网关为所述VPN服务器分配一个私网的IP地址段,以及后续进行VPN传输的加密密钥。具体的,所述加密密钥可以为对称密钥。
步骤407:总部的VPN网关使用RSA公钥对私网IP地址段以及加密密钥进行加密并签名,将加密后的私网IP地址段以及加密密钥携带在分配消息中发送给所述VPN服务器;
步骤408:VPN服务器对接收到的所述分配消息进行解密,获取所述VPN网关为所述VPN服务器分配的私网IP地址段以及加密密钥;
步骤409:VPN服务器根据接收到的所述私网IP地址段以及加密密钥自动进行VPN配置;
步骤410:用户通过用户终端接入VPN服务器,所述VPN服务器对接入用户进行合法性验证,验证通过后,为所述用户终端在所述私网IP地址段内分配IP地址;
具体的,用户可以通过用户终端采用高安全的认证方式(WPA2)接入VPN服务器,开始访问总部的数据,VPN服务器对接入用户进行密码方式的连接合法性验证。
步骤411:用户终端与总部的VPN网关使用标准的IPSecVPN协议进行数据交互,使用数据加密标准(DataEncryptionStandard,DES)进行数据的加密。
需要说明的是,在前述激活过程中,VPN服务器进行激活口令验证,是确定用户是否具备激活VPN服务器的资质;在上述用户合法性验证过程中,VPN服务器进行用户身份验证,以确定用户是否具备通过VPN服务器访问总部内网数据的资质。
本发明实施例提供了一种安全方便的远程接入方式,第三方认证中心作为VPN服务器的管理中心,在VPN服务器中预先配置第三方认证中心的IP地址,当用户通过所述VPN服务器接入到企业内网时,VPN服务器连接到所述第三方认证中心进行VPN服务器鉴权,当鉴权通过后,所述第三方认证中心向总部的VPN网关申请为所述VPN服务器分配私网地址段和加密密钥,所述VPN网关将所述私网地址段和加密密钥发送给所述VPN服务器,以使得所述VPN服务器在所述私网地址段内为用户终端分配IP地址,并利用所述加密密钥对传递到所述VPN网关的数据进行加密。从而实现了用户终端通过VPN服务器接入到企业内网,通过上述安全的加密和认证机制,保证了从用户接入到数据传输的端到端安全流程。
如图5所示,本发明实施例还提供了另一种实现用户终端远程接入专用网络的方法流程示意图,该方法应用于远程接入系统,所述远程接入系统包括VPN服务器、第三方认证中心以及专用网络中的VPN网关,所述VPN服务器中配置有所述VPN网关的公网IP地址,所述方法包括:
步骤501:所述VPN服务器生成验证码报文,将所述验证码报文发送给所述第三方认证中心,所述验证码报文包括所述VPN服务器的标识;
步骤502:所述VPN服务器接收所述VPN网关返回私网IP地址段和加密密钥,所述私网IP地址段和加密密钥具体为所述第三方认证中心在对所述VPN服务器的标识进行校验通过后请求所述VPN网关为所述VPN服务器分配的;
步骤503:所述VPN服务器根据所述私网IP地址段和加密密钥进行系统配置;
步骤504:所述VPN服务器接收用户终端发送的登陆请求,在所述私网IP地址段内为所述用户终端分配IP地址,使用所述加密密钥向所述VPN网关传输所述用户终端发送的数据。
在本发明实施例中,VPN服务器被激活后,由第三方认证中心对VPN服务器进行校验,在校验通过后,专用网络的VPN网关为所述VPN服务器分配私网IP地址段和加密密钥,从而使得当用户终端通过VPN服务器接入到所述专用网络时,VPN服务器可以为用户终端分配私网IP地址段内的IP地址,并使用所述加密密钥向所述VPN网关传输所述用户终端发送的数据,从而实现用户数据到专用网络的传输。
进一步的,所述VPN服务器中还配置有RSA私钥,相应地,所述第三方认证中心中配置有所述RSA私钥对应的公钥,
所述VPN服务器使用所述RSA私钥对所述验证码报文进行加密,将加密后的所述验证码报文发送给所述第三方认证中心,以使得所述第三方认证中心使用所述RSA私钥对应的公钥对所述验证码报文进行解密,获取并校验所述VPN服务器的标识。
在第三方认证中心对所述VPN服务器进行初始配置的过程中,可以在所述VPN服务器中设置过滤规则,以限定所述VPN服务器上开放的端口为进行VPN数据传输使用的端口以及与所述第三方认证中心交互的端口、开放的地址为所述第三方认证中心的IP地址以及所述VPN网关的公网IP地址。通过限定该VPN服务器可以访问的地址和端口,可以使得该VPN服务器仅用于与专用网络连通,从而提高了网络传输的安全性。
与前述方法实施例相对应,本发明实施例还提供了一种实现用户终端远程接入专用网络的系统结构示意图,如图6所示,所述远程接入系统包括VPN服务器601和专用网络中的VPN网关602,所述VPN服务器601中配置有所述VPN网关602的公网IP地址,
所述VPN服务器601,用于生成验证码报文,将所述验证码报文发送给所述VPN网关602,所述验证码报文包括所述VPN服务器601的标识;
所述VPN网关602,用于在对所述VPN服务器601的标识进行校验通过后,为所述VPN服务器601分配私网IP地址段和加密密钥,并将所述私网IP地址段和加密密钥发送给所述VPN服务器601;
所述VPN服务器601,还用于接收所述VPN网关602返回的私网IP地址段和加密密钥,并根据所述私网IP地址段和加密密钥进行系统配置;
所述VPN服务器601,还用于接收用户终端发送的登陆请求,在所述私网IP地址段内为所述用户终端分配IP地址,使用所述加密密钥向所述VPN网关602传输所述用户终端发送的数据。
进一步的,所述VPN服务器601中还配置有RSA私钥,相应地,所述VPN网关602中配置有所述RSA私钥对应的公钥,
所述VPN服务器601,具体用于使用所述RSA私钥对所述验证码报文进行加密,将加密后的所述验证码报文发送给所述VPN网关602;
所述VPN网关602,具体用于使用所述RSA私钥对应的公钥对所述验证码报文进行解密,获取并校验所述VPN服务器601的标识。
在对所述VPN进行初始配置阶段,所述VPN服务器601还用于接收配置指令,存储所述RSA私钥以及所述VPN网关602的公网IP地址。
所述VPN服务器601中还设置有激活口令,所述VPN服务器601,还用于接收并验证用户终端发送的激活请求,所述激活请求中携带激活口令。可选的,所述VPN服务器601中设置有过滤规则,以限定所述VPN服务器601上开放的端口为进行VPN数据传输使用的端口、开放的地址为所述VPN网关602的公网IP地址。
另一方面,本发明实施例还提供了另一种实现用户终端远程接入专用网络的系统结构示意图,如图7所示,所述系统包括VPN服务器701以及专用网络中的VPN网关702,所述VPN服务器701中配置有所述VPN网关702的公网IP地址,
所述VPN服务器701,用于生成验证码报文,将所述验证码报文发送给所述第三方认证中心,所述验证码报文包括所述VPN服务器701的标识;
所述VPN网关702,用于接收第三方认证中心在对所述VPN服务器701的标识校验通过后发送的通知消息,所述通知消息中携带所述VPN服务器701的标识;
所述VPN网关702,还用于为所述VPN服务器701分配私网IP地址段和加密密钥,并经所述私网IP地址段和加密密钥发送给所述VPN服务器701;
所述VPN服务器701,还用于接收所述VPN网关返回的私网IP地址段和加密密钥,并根据所述私网IP地址段和加密密钥进行系统配置;
所述VPN服务器701,还用于接收用户终端发送的登陆请求,在所述私网IP地址段内为所述用户终端分配IP地址,使用所述加密密钥向所述VPN网关702传输所述用户终端发送的数据。
进一步的,所述系统还包括第三方认证中心703,所述第三方认证中心703,用于对所述VPN服务器701的标识进行校验。
所述VPN服务器701中还配置有RSA私钥,相应地,所述第三方认证中心703中配置有所述RSA私钥对应的公钥,
所述VPN服务器701,具体用于使用所述RSA私钥对所述验证码报文进行加密,将加密后的所述验证码报文发送给所述第三方认证中心703;
所述第三方认证中心703,具体用于使用所述RSA私钥对应的公钥对所述验证码报文进行解密,获取并校验所述VPN服务器701的标识。
在VPN服务器的初始配置过程中,所述VPN服务器701还用于接收配置指令,存储所述RSA私钥以及所述VPN网关的公网IP地址。
进一步的,初始配置过程中,所述VPN服务器701中还设置有激活口令,
所述VPN服务器701,还用于接收并验证用户终端发送的激活请求,所述激活请求中携带激活口令。
所述VPN服务器701中设置有过滤规则,以限定所述VPN服务器701上开放的端口为进行VPN数据传输使用的端口、开放的地址为所述VPN网关702的公网IP地址。
如图8所示,为本发明实施例提供的一种实现用户终端远程接入专用网络的VPN服务器,所述VPN服务器中配置有所述专用网络中的VPN网关的公网IP地址,
生成单元801,用于生成验证码报文,所述验证码报文包括所述VPN服务器的标识;
发送单元802,用于将所述生成单元801生成的所述验证码报文发送给所述VPN网关;
接收单元803,用于接收所述VPN网关返回的私网IP地址段和加密密钥,所述私网IP地址段和加密密钥具体为所述VPN网关在对所述VPN服务器的标识进行校验通过后为所述VPN服务器分配的;
配置单元804,用于根据所述接收单元803接收到的所述私网IP地址段和加密密钥进行系统配置;
所述接收单元803,还用于接收用户终端发送的登陆请求;
数据传输单元805,用于在所述接收单元803接收到所述登陆请求后,在所述私网IP地址段内为所述用户终端分配IP地址,使用所述加密密钥向所述VPN网关传输所述用户终端发送的数据。
所述VPN服务器中还配置有RSA私钥,
所述生成单元801,具体用于使用所述RSA私钥对所述验证码报文进行加密;
所述发送单元802,具体用于将所述生成单元801生成的加密后的所述验证码报文发送给所述VPN网关,以使得所述VPN网关使用所述RSA私钥对应的公钥对所述验证码报文进行解密,获取并校验所述VPN服务器的标识。
所述接收单元803,还用于接收配置指令,存储所述RSA私钥以及所述VPN网关的公网IP地址。
所述接收单元803,还用于接收用户终端发送的激活请求,所述激活请求中携带所述激活口令;
相应地,所述VPN服务器还包括鉴权单元806,用于验证所述接收单元803接收到的所述激活请求中携带的所述激活口令。
本发明实施例还提供一种VPN服务器,如图9所示,包括:接收器901、发射器902、处理器903以及存储器904;其中存储器904可以应用于初始配置过程中各种配置信息的存储。具体的,
所述存储器904用于存储所述专用网络中的VPN网关的公网IP地址;
所述处理器903用于生成验证码报文,所述验证码报文包括所述VPN服务器的标识;
所述发射器902用于将所述处理器903生成的所述验证码报文发送给所述VPN网关;
所述接收器901用于接收所述VPN网关返回的私网IP地址段和加密密钥,接收用户终端发送的登陆请求,所述私网IP地址段和加密密钥具体为所述VPN网关在对所述VPN服务器的标识进行校验通过后为所述VPN服务器分配的;
所述处理器903还用于根据所述接收器901接收到的所述私网IP地址段和加密密钥进行系统配置,在所述私网IP地址段内为所述用户终端分配IP地址,使用所述加密密钥向所述VPN网关传输所述用户终端发送的数据。
所述存储器904中进一步存储有RSA私钥;
所述处理器903,具体用于使用所述RSA私钥对所述验证码报文进行加密;
所述发射器902,具体用于将所述处理器903生成的加密后的所述验证码报文发送给所述VPN网关,以使得所述VPN网关使用所述RSA私钥对应的公钥对所述验证码报文进行解密,获取并校验所述VPN服务器的标识。
所述接收器901还用于接收配置指令,所述配置指令中包括所述RSA私钥以及所述VPN网关的公网IP地址。
所述接收器901还用于接收用户终端发送的激活请求,所述激活请求中携带所述激活口令;
所述处理器903,还用于验证所述接收器901接收到的所述激活请求中携带的所述激活口令。
在本发明实施例中,初始配置时,在VPN服务器中配置有专用网络中VPN网关的IP地址,当用户终端激活VPN服务器后,所述VPN服务器将验证码报文发送给所述VPN网关,由VPN网关对所述VPN服务器进行鉴权,在鉴权通过后,VPN网关为所述VPN服务器分配私网地址段和加密密钥,所述VPN网关将所述私网地址段和加密密钥发送给所述VPN服务器,以使得所述VPN服务器在所述私网地址段内为用户终端分配IP地址,并利用所述加密密钥对传递到所述VPN网关的数据进行加密。从而实现了用户终端通过VPN服务器接入到企业内网,通过上述安全的加密和认证机制,保证了从用户接入到数据传输的端到端安全流程。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到上述实施例方法中的全部或部分步骤可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,资源管理服务器,或者诸如媒体网关等网络通信设备,等等)执行本发明各个实施例或者实施例的某些部分所述的方法。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于设备及系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的设备及系统实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (23)
1.一种实现用户终端远程接入专用网络的方法,其特征在于,所述方法应用于远程接入系统,所述远程接入系统包括虚拟专用网VPN服务器和专用网络中的VPN网关,所述VPN服务器中配置有所述VPN网关的公网IP地址,所述方法包括:
所述VPN服务器生成验证码报文,将所述验证码报文发送给所述VPN网关,所述验证码报文包括所述VPN服务器的标识;
所述VPN服务器接收所述VPN网关返回的私网IP地址段和加密密钥,所述私网IP地址段和加密密钥具体为所述VPN网关在对所述VPN服务器的标识进行校验通过后为所述VPN服务器分配的;
所述VPN服务器根据所述私网IP地址段和加密密钥进行系统配置;
所述VPN服务器接收用户终端发送的登陆请求,在所述私网IP地址段内为所述用户终端分配IP地址,使用所述加密密钥向所述VPN网关传输所述用户终端发送的数据。
2.如权利要求1所述的方法,其特征在于,所述VPN服务器中还配置有RSA私钥,相应地,所述VPN网关中配置有所述RSA私钥对应的公钥,
所述VPN服务器生成验证码报文,将所述验证码报文发送给所述VPN网关包括:
所述VPN服务器使用所述RSA私钥对所述验证码报文进行加密,将加密后的所述验证码报文发送给所述VPN网关,以使得所述VPN网关使用所述RSA私钥对应的公钥对所述验证码报文进行解密,获取并校验所述VPN服务器的标识。
3.如权利要求2所述的方法,其特征在于,在所述VPN服务器将所述验证码报文发送给所述VPN网关前,所述方法还包括:
所述VPN服务器接收配置指令,存储所述RSA私钥以及所述VPN网关的公网IP地址。
4.如权利要求1-3任一所述的方法,其特征在于,所述VPN服务器中还设置有激活口令,在所述VPN服务器生成验证码报文之前,所述方法还包括:
所述VPN服务器接收用户终端发送的激活请求,所述激活请求中携带所述激活口令;
所述VPN服务器验证所述激活请求中携带的所述激活口令。
5.如权利要求1-3任一所述的方法,其特征在于,所述VPN服务器中设置有过滤规则,以限定所述VPN服务器上开放的端口为进行VPN数据传输使用的端口、开放的地址为所述VPN网关的公网IP地址。
6.如权利要求1所述的方法,其特征在于,所述VPN服务器的标识为所述所述VPN服务器的设备序列号。
7.如权利要求4所述的方法,其特征在于,所述激活口令包括密码、指纹、掌纹或虹膜中的至少一个。
8.一种实现用户终端远程接入专用网络的方法,其特征在于,应用于远程接入系统,所述远程接入系统包括VPN服务器、第三方认证中心以及专用网络中的VPN网关,所述VPN服务器中配置有所述VPN网关的公网IP地址,所述方法包括:
所述VPN服务器生成验证码报文,将所述验证码报文发送给所述第三方认证中心,所述验证码报文包括所述VPN服务器的标识;
所述VPN服务器接收所述VPN网关返回私网IP地址段和加密密钥,所述私网IP地址段和加密密钥具体为所述第三方认证中心在对所述VPN服务器的标识进行校验通过后请求所述VPN网关为所述VPN服务器分配的;
所述VPN服务器根据所述私网IP地址段和加密密钥进行系统配置;
所述VPN服务器接收用户终端发送的登陆请求,在所述私网IP地址段内为所述用户终端分配IP地址,使用所述加密密钥向所述VPN网关传输所述用户终端发送的数据。
9.如权利要求8所述的方法,其特征在于,所述VPN服务器中还配置有RSA私钥,相应地,所述第三方认证中心中配置有所述RSA私钥对应的公钥,
所述VPN服务器生成验证码报文,将所述验证码报文发送给所述第三方认证中心包括:
所述VPN服务器使用所述RSA私钥对所述验证码报文进行加密,将加密后的所述验证码报文发送给所述第三方认证中心,以使得所述第三方认证中心使用所述RSA私钥对应的公钥对所述验证码报文进行解密,获取并校验所述VPN服务器的标识。
10.如权利要求8或9任一所述的方法,其特征在于,所述VPN服务器中设置有过滤规则,以限定所述VPN服务器上开放的端口为进行VPN数据传输使用的端口以及与所述第三方认证中心交互的端口、开放的地址为所述第三方认证中心的IP地址以及所述VPN网关的公网IP地址。
11.一种实现用户终端远程接入专用网络的系统,其特征在于,所述远程接入系统包括VPN服务器和专用网络中的VPN网关,所述VPN服务器中配置有所述VPN网关的公网IP地址,
所述VPN服务器,用于生成验证码报文,将所述验证码报文发送给所述VPN网关,所述验证码报文包括所述VPN服务器的标识;
所述VPN网关,用于在对所述VPN服务器的标识进行校验通过后,为所述VPN服务器分配私网IP地址段和加密密钥,并将所述私网IP地址段和加密密钥发送给所述VPN服务器;
所述VPN服务器,还用于接收所述VPN网关返回的私网IP地址段和加密密钥,并根据所述私网IP地址段和加密密钥进行系统配置;
所述VPN服务器,还用于接收用户终端发送的登陆请求,在所述私网IP地址段内为所述用户终端分配IP地址,使用所述加密密钥向所述VPN网关传输所述用户终端发送的数据。
12.如权利要求11所述的系统,其特征在于,所述VPN服务器中还配置有RSA私钥,相应地,所述VPN网关中配置有所述RSA私钥对应的公钥,
所述VPN服务器,具体用于使用所述RSA私钥对所述验证码报文进行加密,将加密后的所述验证码报文发送给所述VPN网关;
所述VPN网关,具体用于使用所述RSA私钥对应的公钥对所述验证码报文进行解密,获取并校验所述VPN服务器的标识。
13.如权利要求12所述的系统,其特征在于,
所述VPN服务器还用于接收配置指令,存储所述RSA私钥以及所述VPN网关的公网IP地址。
14.如权利要求11-13所述的系统,其特征在于,所述VPN服务器中还设置有激活口令,
所述VPN服务器,还用于接收并验证用户终端发送的激活请求,所述激活请求中携带激活口令。
15.如权利要求11-13所述的系统,其特征在于,所述VPN服务器中设置有过滤规则,以限定所述VPN服务器上开放的端口为进行VPN数据传输使用的端口、开放的地址为所述VPN网关的公网IP地址。
16.一种实现用户终端远程接入专用网络的系统,其特征在于,所述系统包括VPN服务器以及专用网络中的VPN网关,所述VPN服务器中配置有所述VPN网关的公网IP地址,
所述VPN服务器,用于生成验证码报文,将所述验证码报文发送给所述第三方认证中心,所述验证码报文包括所述VPN服务器的标识;
所述VPN网关,用于接收第三方认证中心在对所述VPN服务器的标识校验通过后发送的通知消息,所述通知消息中携带所述VPN服务器的标识;
所述VPN网关,还用于为所述VPN服务器分配私网IP地址段和加密密钥,并经所述私网IP地址段和加密密钥发送给所述VPN服务器;
所述VPN服务器,还用于接收所述VPN网关返回的私网IP地址段和加密密钥,并根据所述私网IP地址段和加密密钥进行系统配置;
所述VPN服务器,还用于接收用户终端发送的登陆请求,在所述私网IP地址段内为所述用户终端分配IP地址,使用所述加密密钥向所述VPN网关传输所述用户终端发送的数据。
17.如权利要求16所述的系统,其特征在于,所述系统还包括第三方认证中心,
所述第三方认证中心,用于对所述VPN服务器的标识进行校验。
18.如权利要求17所述的系统,其特征在于,所述VPN服务器中还配置有RSA私钥,相应地,所述第三方认证中心中配置有所述RSA私钥对应的公钥,
所述VPN服务器,具体用于使用所述RSA私钥对所述验证码报文进行加密,将加密后的所述验证码报文发送给所述第三方认证中心;
所述第三方认证中心,具体用于使用所述RSA私钥对应的公钥对所述验证码报文进行解密,获取并校验所述VPN服务器的标识。
19.如权利要求18所述的系统,其特征在于,所述VPN服务器中设置有过滤规则,以限定所述VPN服务器上开放的端口为进行VPN数据传输使用的端口以及与所述第三方认证中心交互的端口、开放的地址为所述第三方认证中心的IP地址以及所述VPN网关的公网IP地址。
20.一种实现用户终端远程接入专用网络的VPN服务器,其特征在于,所述VPN服务器中配置有所述专用网络中的VPN网关的公网IP地址,所述VPN服务器包括:
生成单元,用于生成验证码报文,所述验证码报文包括所述VPN服务器的标识;
发送单元,用于将所述生成单元生成的所述验证码报文发送给所述VPN网关;
接收单元,用于接收所述VPN网关返回的私网IP地址段和加密密钥,所述私网IP地址段和加密密钥具体为所述VPN网关在对所述VPN服务器的标识进行校验通过后为所述VPN服务器分配的;
配置单元,用于根据所述接收单元接收到的所述私网IP地址段和加密密钥进行系统配置;
所述接收单元,还用于接收用户终端发送的登陆请求;
数据传输单元,用于在所述接收单元接收到所述登陆请求后,在所述私网IP地址段内为所述用户终端分配IP地址,使用所述加密密钥向所述VPN网关传输所述用户终端发送的数据。
21.如权利要求20所述的VPN服务器,其特征在于,所述VPN服务器中还配置有RSA私钥,
所述生成单元,具体用于使用所述RSA私钥对所述验证码报文进行加密;
所述发送单元,具体用于将所述生成单元生成的加密后的所述验证码报文发送给所述VPN网关,以使得所述VPN网关使用所述RSA私钥对应的公钥对所述验证码报文进行解密,获取并校验所述VPN服务器的标识。
22.如权利要求21所述的VPN服务器,其特征在于,
所述接收单元,还用于接收配置指令,存储所述RSA私钥以及所述VPN网关的公网IP地址。
23.如权利要求20所述的VPN服务器,其特征在于,
所述接收单元,还用于接收用户终端发送的激活请求,所述激活请求中携带所述激活口令;
相应地,所述VPN服务器还包括鉴权单元,用于验证所述接收单元接收到的所述激活请求中携带的所述激活口令。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2014/095582 WO2016106560A1 (zh) | 2014-12-30 | 2014-12-30 | 一种实现远程接入的方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105493453A true CN105493453A (zh) | 2016-04-13 |
| CN105493453B CN105493453B (zh) | 2019-02-01 |
Family
ID=55678513
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480038036.7A Active CN105493453B (zh) | 2014-12-30 | 2014-12-30 | 一种实现远程接入的方法、装置及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN105493453B (zh) |
| WO (1) | WO2016106560A1 (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106130864A (zh) * | 2016-07-06 | 2016-11-16 | 北京国电通网络技术有限公司 | 一种基于vpn的私有云接入方法和装置 |
| CN106330653A (zh) * | 2016-08-30 | 2017-01-11 | 成都极玩网络技术有限公司 | 基于轻量级安全虚拟专用网的智能分流网关 |
| CN107135219A (zh) * | 2017-05-05 | 2017-09-05 | 四川长虹电器股份有限公司 | 一种物联网信息安全传输方法 |
| CN109495362A (zh) * | 2018-12-25 | 2019-03-19 | 新华三技术有限公司 | 一种接入认证方法及装置 |
| CN110278181A (zh) * | 2019-01-29 | 2019-09-24 | 广州金越软件技术有限公司 | 一种关于跨网数据交换的即时协议转换技术 |
| CN111538781A (zh) * | 2020-04-13 | 2020-08-14 | 深圳创客区块链技术有限公司 | 区块链跨链密钥安全访问的方法、装置及存储介质 |
| CN113645115A (zh) * | 2020-04-27 | 2021-11-12 | 中国电信股份有限公司 | 虚拟专用网络接入方法和系统 |
| CN114124584A (zh) * | 2022-01-28 | 2022-03-01 | 卓望数码技术(深圳)有限公司 | 远程接入办公网络的方法、装置、系统、接网设备及介质 |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106937278A (zh) * | 2017-05-09 | 2017-07-07 | 深圳市乃斯网络科技有限公司 | 移动终端设备自动获取ip方法及系统 |
| CN111935213B (zh) * | 2020-06-29 | 2023-07-04 | 杭州创谐信息技术股份有限公司 | 一种基于分布式的可信认证虚拟组网系统及方法 |
| CN112351040B (zh) * | 2020-11-10 | 2022-07-29 | 宏图智能物流股份有限公司 | 一种应用于物流网络的网络请求有效性验证方法 |
| CN114244762B (zh) * | 2021-12-14 | 2023-07-14 | 乾讯信息技术(无锡)有限公司 | 基于无ip地址的网络vpn密码机的实现方法 |
| CN114900374B (zh) * | 2022-07-13 | 2022-10-14 | 深圳市乙辰科技股份有限公司 | 一种智能化异地的网络资源互通部署方法、系统及云平台 |
| CN116318876B (zh) * | 2023-02-16 | 2023-09-12 | 江苏特视智能科技有限公司 | 一种情报板信息发布专用安全网关系统 |
| CN116055220B (zh) * | 2023-03-20 | 2023-08-01 | 睿至科技集团有限公司 | 一种物联网终端安全防护管控方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030149899A1 (en) * | 1999-01-29 | 2003-08-07 | International Business Machines Corporation | System and method for network address translation integration with IP security |
| CN1581805A (zh) * | 2004-05-17 | 2005-02-16 | 深圳市深信服电子科技有限公司 | Vpn客户端安全策略交换和存储方法 |
| CN1701573A (zh) * | 2003-07-04 | 2005-11-23 | 日本电信电话株式会社 | 远程访问虚拟专用网络中介方法和中介装置 |
| CN102255920A (zh) * | 2011-08-24 | 2011-11-23 | 杭州华三通信技术有限公司 | 一种vpn配置信息的发送方法和设备 |
| CN102984045A (zh) * | 2012-12-05 | 2013-03-20 | 网神信息技术(北京)股份有限公司 | 虚拟专用网的接入方法及虚拟专用网客户端 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4630296B2 (ja) * | 2007-02-15 | 2011-02-09 | 日本電信電話株式会社 | ゲートウェイ装置および認証処理方法 |
| CN101820344B (zh) * | 2010-03-23 | 2012-05-30 | 中国电信股份有限公司 | Aaa服务器、家庭网络接入方法和系统 |
| CN102571817B (zh) * | 2012-02-15 | 2014-12-10 | 华为技术有限公司 | 访问应用服务器的方法及装置 |
-
2014
- 2014-12-30 CN CN201480038036.7A patent/CN105493453B/zh active Active
- 2014-12-30 WO PCT/CN2014/095582 patent/WO2016106560A1/zh active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030149899A1 (en) * | 1999-01-29 | 2003-08-07 | International Business Machines Corporation | System and method for network address translation integration with IP security |
| CN1701573A (zh) * | 2003-07-04 | 2005-11-23 | 日本电信电话株式会社 | 远程访问虚拟专用网络中介方法和中介装置 |
| CN1581805A (zh) * | 2004-05-17 | 2005-02-16 | 深圳市深信服电子科技有限公司 | Vpn客户端安全策略交换和存储方法 |
| CN102255920A (zh) * | 2011-08-24 | 2011-11-23 | 杭州华三通信技术有限公司 | 一种vpn配置信息的发送方法和设备 |
| CN102984045A (zh) * | 2012-12-05 | 2013-03-20 | 网神信息技术(北京)股份有限公司 | 虚拟专用网的接入方法及虚拟专用网客户端 |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106130864B (zh) * | 2016-07-06 | 2019-02-26 | 北京国电通网络技术有限公司 | 一种基于vpn的私有云接入方法和装置 |
| CN106130864A (zh) * | 2016-07-06 | 2016-11-16 | 北京国电通网络技术有限公司 | 一种基于vpn的私有云接入方法和装置 |
| CN106330653A (zh) * | 2016-08-30 | 2017-01-11 | 成都极玩网络技术有限公司 | 基于轻量级安全虚拟专用网的智能分流网关 |
| CN107135219B (zh) * | 2017-05-05 | 2020-04-28 | 四川长虹电器股份有限公司 | 一种物联网信息安全传输方法 |
| CN107135219A (zh) * | 2017-05-05 | 2017-09-05 | 四川长虹电器股份有限公司 | 一种物联网信息安全传输方法 |
| CN109495362A (zh) * | 2018-12-25 | 2019-03-19 | 新华三技术有限公司 | 一种接入认证方法及装置 |
| CN109495362B (zh) * | 2018-12-25 | 2020-12-11 | 新华三技术有限公司 | 一种接入认证方法及装置 |
| CN110278181A (zh) * | 2019-01-29 | 2019-09-24 | 广州金越软件技术有限公司 | 一种关于跨网数据交换的即时协议转换技术 |
| CN110278181B (zh) * | 2019-01-29 | 2021-09-17 | 广州金越软件技术有限公司 | 一种关于跨网数据交换的即时协议转换系统 |
| CN111538781A (zh) * | 2020-04-13 | 2020-08-14 | 深圳创客区块链技术有限公司 | 区块链跨链密钥安全访问的方法、装置及存储介质 |
| CN111538781B (zh) * | 2020-04-13 | 2023-01-13 | 深圳创客区块链技术有限公司 | 区块链跨链密钥安全访问的方法、装置及存储介质 |
| CN113645115A (zh) * | 2020-04-27 | 2021-11-12 | 中国电信股份有限公司 | 虚拟专用网络接入方法和系统 |
| CN113645115B (zh) * | 2020-04-27 | 2023-04-07 | 中国电信股份有限公司 | 虚拟专用网络接入方法和系统 |
| CN114124584A (zh) * | 2022-01-28 | 2022-03-01 | 卓望数码技术(深圳)有限公司 | 远程接入办公网络的方法、装置、系统、接网设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2016106560A1 (zh) | 2016-07-07 |
| CN105493453B (zh) | 2019-02-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105493453A (zh) | 一种实现远程接入的方法、装置及系统 | |
| CN107040922B (zh) | 无线网络连接方法、装置及系统 | |
| JP6651096B1 (ja) | データ処理方法、装置、端末及びアクセスポイントコンピュータ | |
| TWI705349B (zh) | 終端的認證處理、認證方法及裝置、系統 | |
| CN103067158B (zh) | 加密解密方法、加密解密装置及密钥管理系统 | |
| WO2017185999A1 (zh) | 密钥分发、认证方法,装置及系统 | |
| WO2017185692A1 (zh) | 密钥分发、认证方法,装置及系统 | |
| US20020138635A1 (en) | Multi-ISP controlled access to IP networks, based on third-party operated untrusted access stations | |
| CN105993146A (zh) | 不访问私钥而使用公钥密码的安全会话能力 | |
| CN111756530B (zh) | 量子服务移动引擎系统、网络架构及相关设备 | |
| CN102984045B (zh) | 虚拟专用网的接入方法及虚拟专用网客户端 | |
| EP2625839A1 (en) | Method and systems for implementing a secure boot device using cryptographically secure communications across unsecured networks | |
| CN110933484A (zh) | 一种无线投屏设备的管理方法及装置 | |
| CN102271134B (zh) | 网络配置信息的配置方法、系统、客户端及认证服务器 | |
| CN101771659B (zh) | 一种安全切换配置方法、系统和设备 | |
| CN106464654A (zh) | 配置文件的获取方法、装置和系统 | |
| CN102143492B (zh) | Vpn连接建立方法、移动终端、服务器 | |
| CN107094156A (zh) | 一种基于p2p模式的安全通信方法及系统 | |
| CN104253801A (zh) | 实现登录认证的方法、装置和系统 | |
| CN103916363A (zh) | 加密机的通讯安全管理方法和系统 | |
| CN106464739A (zh) | 保护与增强的媒体平台的通信 | |
| CN101827106A (zh) | 一种dhcp安全通信方法、装置和系统 | |
| CN104023043B (zh) | 一种远程配置管理方法及装置 | |
| CN110166460B (zh) | 业务帐号的注册方法和装置、存储介质、电子装置 | |
| CN104580063A (zh) | 一种网管安全认证方法和装置、网管安全认证系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220228 Address after: 550025 Huawei cloud data center, jiaoxinggong Road, Qianzhong Avenue, Gui'an New District, Guiyang City, Guizhou Province Patentee after: Huawei Cloud Computing Technologies Co.,Ltd. Address before: 518129 Bantian HUAWEI headquarters building, Longgang District, Shenzhen City, Guangdong Province, Guangdong, Shenzhen Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd. |