CN113645115A - 虚拟专用网络接入方法和系统 - Google Patents
虚拟专用网络接入方法和系统 Download PDFInfo
- Publication number
- CN113645115A CN113645115A CN202010341661.6A CN202010341661A CN113645115A CN 113645115 A CN113645115 A CN 113645115A CN 202010341661 A CN202010341661 A CN 202010341661A CN 113645115 A CN113645115 A CN 113645115A
- Authority
- CN
- China
- Prior art keywords
- vpn
- client
- gateway
- information
- controller
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
Abstract
本公开提出一种虚拟专用网络接入方法和系统,涉及网络安全领域。VPN控制器响应VPN客户端发送的接入VPN网关的请求,对客户端的身份和接入请求的内容的完整性进行验证,如果验证通过,将VPN网关的信息发送给VPN客户端,将VPN客户端的信息发送给VPN网关;VPN网关对VPN控制器的身份和VPN控制器发送的信息的完整性进行验证,如果验证通过,向VPN网关的网络边界安全设备发送打开针对VPN客户端的连接通道的指示,以使得VPN客户端基于打开的连接通道与VPN网关建立连接。从而,降低VPN接入过程中存在的安全风险。
Description
技术领域
本公开涉及网络安全领域,特别涉及一种虚拟专用网络接入方法和系统。
背景技术
在一些业务场景中,例如,移动办公或居家办公场景,利用虚拟专用网络(VirtualPrivate Net,VPN)技术,客户端可以接入企业的内部网络。
一种开放端口的VPN接入模式,其在内部网络部署提供服务的VPN网关,VPN网关的防火墙开放对外服务的端口,任何客户端可以连接该开放端口,在与VPN网关建立连接后,通过认证后获得内部网络的地址,该客户端与VPN网关就可以进行通信。
发明人发现,上述VPN接入模式,需要在内部网络的边界开放端口,任何人包括黑客都可以自由连接该开放端口,之后利用密码爆破、已知漏洞等技术,就可以进入VPN网关,从而带来安全风险。因此,该开放端口就成为带来安全风险的暴露面。
发明内容
本公开实施例所要解决的一个技术问题是:降低VPN接入过程中存在的安全风险。
本公开实施例,VPN控制器对通过验证的接入请求才进行回应,VPN控制器没有带来安全风险的暴露面;VPN网关接收到VPN控制器发送的请求接入且通过验证的VPN客户端的信息后,指示网络边界安全设备针对该VPN客户端打开连接通道,使得有接入需要且通过验证的该VPN客户端基于打开的连接通道与VPN网关建立连接,其他VPN客户端无法基于打开的连接通道与VPN网关建立连接,VPN网关没有带来安全风险的暴露面;可见,VPN控制器和VPN网关均没有带来安全风险的暴露面,因此,降低了VPN接入过程中存在的安全风险。
本公开的一些实施例提出一种虚拟专用网络VPN接入方法,包括:VPN控制器响应VPN客户端发送的接入VPN网关的请求,对客户端的身份和接入请求的内容的完整性进行验证,如果验证通过,将VPN网关的信息发送给VPN客户端,将VPN客户端的信息发送给VPN网关;VPN网关对VPN控制器的身份和VPN控制器发送的信息的完整性进行验证,如果验证通过,向VPN网关的网络边界安全设备发送打开针对VPN客户端的连接通道的指示,以使得VPN客户端基于打开的连接通道与VPN网关建立连接。
在一些实施例中,VPN控制器接收VPN网关和VPN客户端发送的注册信息,对VPN网关的身份和注册信息的完整性进行验证,如果验证通过,判定VPN网关注册成功,对VPN客户端的身份和注册信息的完整性进行验证,如果验证通过,判定VPN客户端注册成功,以便对注册成功的VPN客户端发送的接入注册成功的VPN网关的请求进行响应。
在一些实施例中,VPN控制器在接收VPN网关和VPN客户端发送的注册信息之后,对VPN网关和VPN客户端不回应任何信息。
在一些实施例中,如果对VPN网关的身份和注册信息的完整性的验证通过,且VPN网关的注册信息携带的时间戳在有效期内,VPN控制器判定VPN网关注册成功;如果对VPN客户端的身份和注册信息的完整性的验证通过,且VPN客户端的注册信息携带的时间戳在有效期内,VPN控制器判定VPN客户端注册成功。
在一些实施例中,如果对客户端的身份和接入请求的内容的完整性的验证通过,且接入请求携带的时间戳在有效期内,VPN控制器再执行将VPN网关的信息发送给VPN客户端和将VPN客户端的信息发送给VPN网关的步骤。
在一些实施例中,VPN控制器判断请求接入的VPN客户端是否有权限接入请求接入的VPN网关,如果是,再执行将VPN网关的信息发送给VPN客户端和将VPN客户端的信息发送给VPN网关的步骤。
在一些实施例中,还包括:VPN客户端在接收到VPN控制器发送的信息后,对VPN控制器的身份和VPN控制器发送的信息的完整性进行验证,如果验证通过,基于打开的连接通道与VPN网关建立连接。
在一些实施例中,VPN控制器接收VPN网关或VPN客户端发送的心跳信息,对VPN网关的身份和心跳信息的完整性进行验证,如果验证通过,判定VPN网关在线,对VPN客户端的身份和心跳信息的完整性进行验证,如果验证通过,判定VPN客户端在线。
在一些实施例中,如果对VPN网关的身份和心跳信息的完整性的验证通过,且VPN网关的心跳信息携带的时间戳在有效期内,VPN控制器判定VPN网关在线;如果对VPN客户端的身份和心跳信息的完整性的验证通过,且VPN客户端的心跳信息携带的时间戳在有效期内,VPN控制器判定VPN客户端在线。
本公开的一些实施例提出一种虚拟专用网络VPN接入系统,包括:VPN控制器,被配置为响应VPN客户端发送的接入VPN网关的请求,对客户端的身份和接入请求的内容的完整性进行验证,如果验证通过,将VPN网关的信息发送给VPN客户端,将VPN客户端的信息发送给VPN网关;以及VPN网关,被配置为对VPN控制器的身份和VPN控制器发送的信息的完整性进行验证,如果验证通过,向VPN网关的网络边界安全设备发送打开针对VPN客户端的连接通道的指示,以使得VPN客户端基于打开的连接通道与VPN网关建立连接。
在一些实施例中,VPN控制器,被配置为接收VPN网关和VPN客户端发送的注册信息,对VPN网关和VPN客户端不回应任何信息,对VPN网关的身份和注册信息的完整性进行验证,如果验证通过,判定VPN网关注册成功,对VPN客户端的身份和注册信息的完整性进行验证,如果验证通过,判定VPN客户端注册成功,以便对注册成功的VPN客户端发送的接入注册成功的VPN网关的请求进行响应。
在一些实施例中,VPN控制器,被配置为:
如果对VPN网关的身份和注册信息的完整性的验证通过,且VPN网关的注册信息携带的时间戳在有效期内,判定VPN网关注册成功;
或者,如果对VPN客户端的身份和注册信息的完整性的验证通过,且VPN客户端的注册信息携带的时间戳在有效期内,判定VPN客户端注册成功;
或者,如果对客户端的身份和接入请求的内容的完整性的验证通过,且接入请求携带的时间戳在有效期内,再执行将VPN网关的信息发送给VPN客户端和将VPN客户端的信息发送给VPN网关的步骤;
或者,判断请求接入的VPN客户端是否有权限接入请求接入的VPN网关,如果是,再执行将VPN网关的信息发送给VPN客户端和将VPN客户端的信息发送给VPN网关的步骤。
在一些实施例中,还包括:VPN客户端,被配置为在接收到VPN控制器发送的信息后,对VPN控制器的身份和VPN控制器发送的信息的完整性进行验证,如果验证通过,基于打开的连接通道与VPN网关建立连接。
在一些实施例中,VPN控制器,还被配置为接收VPN网关或VPN客户端发送的心跳信息,对VPN网关的身份和心跳信息的完整性进行验证,如果验证通过,判定VPN网关在线,对VPN客户端的身份和心跳信息的完整性进行验证,如果验证通过,判定VPN客户端在线。
本公开的一些实施例提出一种非瞬时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现任一个实施例所述的虚拟专用网络VPN接入方法的步骤。
附图说明
下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍。根据下面参照附图的详细描述,可以更加清楚地理解本公开。
显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1示出本公开一些实施例的VPN接入方法的流程示意图。
图2示出本公开一些实施例的VPN接入系统的示意图。
具体实施方式
下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述。
图1示出本公开一些实施例的VPN接入方法的流程示意图。
如图1所示,该实施例的方法包括:
在步骤110,VPN网关和VPN客户端分别向VPN控制器发送注册信息,VPN控制器接收VPN网关和VPN客户端发送的注册信息。VPN控制器在接收VPN网关和VPN客户端发送的注册信息之后,对VPN网关和VPN客户端不回应任何信息。通过“我暗敌明”的攻防策略,使得攻击者难以探测到VPN控制器,从而防止探测攻击行为。
在一些实施例中,VPN控制器对VPN网关的身份和注册信息的完整性进行验证,如果验证通过,判定VPN网关注册成功,对VPN客户端的身份和注册信息的完整性进行验证,如果验证通过,判定VPN客户端注册成功,以便对注册成功的VPN客户端发送的接入注册成功的VPN网关的请求进行响应。其中,身份认证可以防止认证方被伪冒;信息的完整性验证可以防止信息被篡改。
其中,VPN控制器对VPN网关的身份和注册信息的完整性进行验证的一种示例性方法包括:VPN网关对准备发送的注册信息进行哈希运算生成注册信息的摘要信息,通过对称加密方法(即,同一个密钥可以同时用作信息的加密密钥和解密密钥)利用对称密钥将注册信息和其摘要信息进行加密得到密文,将密文利用VPN网关的私钥进行加密得到签名,将密文及其签名一起发送给VPN控制器;VPN控制器接收VPN网关发送的密文及其签名,利用VPN网关的公钥对签名进行解密,如果解密得到的信息与接收的密文一致,可以确认发送密文及其签名就是VPN网关,即确认VPN网关的身份,然后,利用对称密钥对接收的密文进行解密得到注册信息和其摘要信息,对解密得到的注册信息进行相同的哈希运算生成相应的摘要信息,如果生成的摘要信息与解密得到的摘要信息一致,说明注册信息未被篡改,即确认注册信息是完整的。
其中,VPN控制器对VPN客户端的身份和注册信息的完整性进行验证的方法与VPN控制器对VPN网关身份和注册信息的完整性进行验证的方法相似,仅需要一些适应性的调整,例如,签名时使用VPN客户端的私钥,签名验证时使用VPN客户端的公钥,因此,这里不再赘述VPN客户端的验证方法。
其中,VPN网关的注册信息例如包括VPN网关的标识、IP地址、端口号、时间戳等信息。VPN客户端的注册信息例如包括VPN客户端的标识、IP地址、端口号、时间戳等信息。
在另一些实施例中,如果对VPN网关的身份和注册信息的完整性的验证通过,且VPN网关的注册信息携带的时间戳在有效期内,VPN控制器判定VPN网关注册成功;如果对VPN客户端的身份和注册信息的完整性的验证通过,且VPN客户端的注册信息携带的时间戳在有效期内,VPN控制器判定VPN客户端注册成功。其中,信息时效性的验证可以防止信息重放攻击。
其中,注册信息例如通过用户数据报协议(UDP,User Datagram Protocol)报文发送。
在步骤120,VPN网关或VPN客户端向VPN控制器发送心跳信息,VPN控制器接收VPN网关或VPN客户端发送的心跳信息。
其中,心跳信息例如通过UDP报文发送。
在一些实施例中,VPN控制器对VPN网关的身份和心跳信息的完整性进行验证,如果验证通过,判定VPN网关在线,对VPN客户端的身份和心跳信息的完整性进行验证,如果验证通过,判定VPN客户端在线。
其中,VPN控制器对VPN网关的身份和心跳信息的完整性进行验证的方法与VPN控制器对VPN网关身份和注册信息的完整性进行验证的方法相同,这里不再赘述。
在另一些实施例中,如果对VPN网关的身份和心跳信息的完整性的验证通过,且VPN网关的心跳信息携带的时间戳在有效期内,VPN控制器判定VPN网关在线;如果对VPN客户端的身份和心跳信息的完整性的验证通过,且VPN客户端的心跳信息携带的时间戳在有效期内,VPN控制器判定VPN客户端在线。
其中,VPN网关的心跳信息例如包括VPN网关的标识、IP地址、端口号、时间戳等信息。VPN客户端的心跳信息例如包括VPN客户端的标识、IP地址、端口号、时间戳等信息。
在移动办公场景下,随着VPN客户端的移动,VPN客户端的IP地址会发生变化,通过心跳信息可以发现VPN客户端的IP地址的改变,并触发重新认证,实现用户无感知的网络切换。
在步骤130,VPN客户端向VPN控制器发送接入VPN网关的请求。
在步骤140,VPN控制器响应VPN客户端发送的接入VPN网关的请求,对客户端的身份和接入请求的内容的完整性进行验证,具体的验证方法与VPN控制器对VPN客户端身份和注册信息的完整性进行验证的方法相同,这里不再赘述。
在一些实施例中,如果对客户端的身份和接入请求的内容的完整性的验证通过,VPN控制器将VPN网关的信息发送给VPN客户端,将VPN客户端的信息发送给VPN网关。
在另一些实施例中,如果对客户端的身份和接入请求的内容的完整性的验证通过,且接入请求携带的时间戳在有效期内,VPN控制器再执行将VPN网关的信息发送给VPN客户端和将VPN客户端的信息发送给VPN网关的步骤。
在另一些实施例中,在验证操作和时间戳校验之后,VPN控制器还可以判断请求接入的VPN客户端是否有权限接入请求接入的VPN网关,如果是,再执行将VPN网关的信息发送给VPN客户端和将VPN客户端的信息发送给VPN网关的步骤。
其中,接入请求中例如包括发起请求的VPN客户端的标识、IP地址、端口号、时间戳等信息,还包括请求接入的VPN网关的标识、IP地址、端口号、时间戳等信息。VPN控制器发送的VPN网关的信息例如包括VPN网关的标识、IP地址、端口号、时间戳等信息。VPN控制器发送的VPN客户端的信息例如包括VPN客户端的标识、IP地址、端口号、时间戳等信息。
其中,接入请求、VPN网关的信息、VPN客户端的信息例如通过UDP报文发送。
在步骤150,VPN网关接收VPN控制器发送的VPN客户端的信息,对VPN控制器的身份和VPN控制器发送的信息的完整性进行验证,如果验证通过,向VPN网关的网络边界安全设备发送打开针对VPN客户端的连接通道的指示(如激活包),以使得VPN客户端基于打开的连接通道与VPN网关建立连接。
其中,VPN网关对VPN控制器的身份和VPN控制器发送的信息的完整性进行验证的一种示例性方法包括:VPN控制器对准备发送的VPN客户端的信息进行哈希运算生成相应的摘要信息,利用对称密钥将VPN客户端的信息和其摘要信息进行加密得到密文,将密文利用VPN控制器的私钥进行加密得到签名,将密文及其签名一起发送给VPN网关;VPN网关接收VPN控制器发送的密文及其签名,利用VPN控制器的公钥对签名进行解密,如果解密得到的信息与接收的密文一致,可以确认发送密文及其签名就是VPN控制器,即确认VPN控制器的身份,然后,利用对称密钥对接收的密文进行解密得到VPN客户端的信息和其摘要信息,对解密得到的VPN客户端的信息进行相同的哈希运算生成相应的摘要信息,如果生成的摘要信息与解密得到的摘要信息一致,说明VPN客户端的信息未被篡改,即确认VPN客户端的信息是完整的。
其中,网络边界安全设备例如为防火墙。VPN网关和VPN客户端均可以设置自己的防火墙。
在步骤160,VPN客户端接收到VPN控制器发送的VPN网关的信息,对VPN控制器的身份和VPN控制器发送的信息的完整性进行验证,如果验证通过,基于打开的连接通道与VPN网关建立连接。
VPN客户端对VPN控制器的身份和VPN控制器发送的信息的完整性进行验证的方法与VPN网关对VPN控制器的身份和VPN控制器发送的信息的完整性进行验证的方法相似,这里不再赘述。
在步骤170,VPN客户端与VPN网关进一步协商加密传输方式,然后开始安全传输数据。
其中,VPN客户端与VPN网关例如可以采用IPsec(Internet Protocol Security,互联网协议安全)、SSL(Secure Sockets Layer,安全套接字协议)VPN等协商加密传输方式和传输数据。
本公开实施例,VPN控制器对通过验证的接入请求才进行回应,VPN控制器没有带来安全风险的暴露面;VPN网关接收到VPN控制器发送的请求接入且通过验证的VPN客户端的信息后,指示网络边界安全设备针对该VPN客户端打开连接通道,使得有接入需要且通过验证的该VPN客户端基于打开的连接通道与VPN网关建立连接,其他VPN客户端无法基于打开的连接通道与VPN网关建立连接,VPN网关没有带来安全风险的暴露面;可见,VPN控制器和VPN网关均没有带来安全风险的暴露面,因此,降低了VPN接入过程中存在的安全风险。
无暴露面建立VPN接入方法,主要基于先认证、建立IP连接、再建立安全通道的模式实现。所有设备在建立连接之前,都需要通过控制器的认证,才能获得其他网元的信息,并在需要连接的时候,才激活针对特定设备的连接通道,最小化安全风险。在建立IP通道后,双方协商建立安全通道,实现数据安全传输。不需要对现网结构做任何变更,方便部署。由于采用了心跳机制,自动更新网络变化,适合移动办公场景。在移动办公场景中,网络切换自身IP地址发生变化时,会自动重新认证,建立IP通道,加密传输,对用户透明,实现无感切换。通过先认证后连接的模式,有效感知网络威胁,而攻击者却无法获得任何信息,杜绝暴露面,改变攻防双方的明暗角色,有效防护和预防网络攻击。
图2示出本公开一些实施例的VPN接入系统的示意图。
如图2所示,该实施例的系统包括:VPN控制器210和VPN网关220,还可以包括VPN客户端230。
VPN控制器210,被配置为响应VPN客户端发送的接入VPN网关的请求,对客户端的身份和接入请求的内容的完整性进行验证,如果验证通过,将VPN网关的信息发送给VPN客户端,将VPN客户端的信息发送给VPN网关。
VPN网关220,被配置为对VPN控制器的身份和VPN控制器发送的信息的完整性进行验证,如果验证通过,向VPN网关的网络边界安全设备发送打开针对VPN客户端的连接通道的指示,以使得VPN客户端基于打开的连接通道与VPN网关建立连接。
在一些实施例中,VPN控制器210,被配置为接收VPN网关和VPN客户端发送的注册信息,对VPN网关和VPN客户端不回应任何信息,对VPN网关的身份和注册信息的完整性进行验证,如果验证通过,判定VPN网关注册成功,对VPN客户端的身份和注册信息的完整性进行验证,如果验证通过,判定VPN客户端注册成功,以便对注册成功的VPN客户端发送的接入注册成功的VPN网关的请求进行响应。
在一些实施例中,VPN控制器210,被配置为:
如果对VPN网关的身份和注册信息的完整性的验证通过,且VPN网关的注册信息携带的时间戳在有效期内,判定VPN网关注册成功;
或者,如果对VPN客户端的身份和注册信息的完整性的验证通过,且VPN客户端的注册信息携带的时间戳在有效期内,判定VPN客户端注册成功;
或者,如果对客户端的身份和接入请求的内容的完整性的验证通过,且接入请求携带的时间戳在有效期内,再执行将VPN网关的信息发送给VPN客户端和将VPN客户端的信息发送给VPN网关的步骤;
或者,判断请求接入的VPN客户端是否有权限接入请求接入的VPN网关,如果是,再执行将VPN网关的信息发送给VPN客户端和将VPN客户端的信息发送给VPN网关的步骤。
在一些实施例中,VPN控制器210,还被配置为接收VPN网关或VPN客户端发送的心跳信息,对VPN网关的身份和心跳信息的完整性进行验证,如果验证通过,判定VPN网关在线,对VPN客户端的身份和心跳信息的完整性进行验证,如果验证通过,判定VPN客户端在线。
在一些实施例中,VPN客户端230,被配置为在接收到VPN控制器发送的信息后,对VPN控制器的身份和VPN控制器发送的信息的完整性进行验证,如果验证通过,基于打开的连接通道与VPN网关建立连接。
本公开的一些实施例提出一种非瞬时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现任一个实施例所述的VPN接入方法的步骤。
本领域内的技术人员应当明白,本公开的实施例可提供为方法、系统、或计算机程序产品。因此,本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本公开可采用在一个或多个其中包含有计算机程序代码的非瞬时性计算机可读存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本公开是参照根据本公开实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解为可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本公开的较佳实施例,并不用以限制本公开,凡在本公开的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本公开的保护范围之内。
Claims (15)
1.一种虚拟专用网络VPN接入方法,其特征在于,包括:
VPN控制器响应VPN客户端发送的接入VPN网关的请求,对客户端的身份和接入请求的内容的完整性进行验证,如果验证通过,将VPN网关的信息发送给VPN客户端,将VPN客户端的信息发送给VPN网关;
VPN网关对VPN控制器的身份和VPN控制器发送的信息的完整性进行验证,如果验证通过,向所述VPN网关的网络边界安全设备发送打开针对所述VPN客户端的连接通道的指示,以使得所述VPN客户端基于打开的所述连接通道与所述VPN网关建立连接。
2.根据权利要求1所述的方法,其特征在于,还包括:
所述VPN控制器接收VPN网关和VPN客户端发送的注册信息,对VPN网关的身份和注册信息的完整性进行验证,如果验证通过,判定VPN网关注册成功,对VPN客户端的身份和注册信息的完整性进行验证,如果验证通过,判定VPN客户端注册成功,以便对注册成功的VPN客户端发送的接入注册成功的VPN网关的请求进行响应。
3.根据权利要求2所述的方法,其特征在于,
所述VPN控制器在接收VPN网关和VPN客户端发送的注册信息之后,对VPN网关和VPN客户端不回应任何信息。
4.根据权利要求2所述的方法,其特征在于,
如果对VPN网关的身份和注册信息的完整性的验证通过,且VPN网关的注册信息携带的时间戳在有效期内,所述VPN控制器判定VPN网关注册成功;
如果对VPN客户端的身份和注册信息的完整性的验证通过,且VPN客户端的注册信息携带的时间戳在有效期内,所述VPN控制器判定VPN客户端注册成功。
5.根据权利要求1所述的方法,其特征在于,
如果对客户端的身份和接入请求的内容的完整性的验证通过,且接入请求携带的时间戳在有效期内,所述VPN控制器再执行将VPN网关的信息发送给VPN客户端和将VPN客户端的信息发送给VPN网关的步骤。
6.根据权利要求1所述的方法,其特征在于,还包括:
所述VPN控制器判断请求接入的VPN客户端是否有权限接入请求接入的VPN网关,如果是,再执行将VPN网关的信息发送给VPN客户端和将VPN客户端的信息发送给VPN网关的步骤。
7.根据权利要求1所述的方法,其特征在于,还包括:
所述VPN客户端在接收到VPN控制器发送的信息后,对VPN控制器的身份和VPN控制器发送的信息的完整性进行验证,如果验证通过,基于打开的所述连接通道与所述VPN网关建立连接。
8.根据权利要求1所述的方法,其特征在于,还包括:
所述VPN控制器接收VPN网关或VPN客户端发送的心跳信息,对VPN网关的身份和心跳信息的完整性进行验证,如果验证通过,判定VPN网关在线,对VPN客户端的身份和心跳信息的完整性进行验证,如果验证通过,判定VPN客户端在线。
9.根据权利要求8所述的方法,其特征在于,
如果对VPN网关的身份和心跳信息的完整性的验证通过,且VPN网关的心跳信息携带的时间戳在有效期内,所述VPN控制器判定VPN网关在线;
如果对VPN客户端的身份和心跳信息的完整性的验证通过,且VPN客户端的心跳信息携带的时间戳在有效期内,所述VPN控制器判定VPN客户端在线。
10.一种虚拟专用网络VPN接入系统,其特征在于,包括:
VPN控制器,被配置为响应VPN客户端发送的接入VPN网关的请求,对客户端的身份和接入请求的内容的完整性进行验证,如果验证通过,将VPN网关的信息发送给VPN客户端,将VPN客户端的信息发送给VPN网关;
VPN网关,被配置为对VPN控制器的身份和VPN控制器发送的信息的完整性进行验证,如果验证通过,向所述VPN网关的网络边界安全设备发送打开针对所述VPN客户端的连接通道的指示,以使得所述VPN客户端基于打开的所述连接通道与所述VPN网关建立连接。
11.根据权利要求10所述的系统,其特征在于,还包括:
所述VPN控制器,被配置为接收VPN网关和VPN客户端发送的注册信息,对VPN网关和VPN客户端不回应任何信息,对VPN网关的身份和注册信息的完整性进行验证,如果验证通过,判定VPN网关注册成功,对VPN客户端的身份和注册信息的完整性进行验证,如果验证通过,判定VPN客户端注册成功,以便对注册成功的VPN客户端发送的接入注册成功的VPN网关的请求进行响应。
12.根据权利要求11所述的系统,其特征在于,
所述VPN控制器,被配置为:
如果对VPN网关的身份和注册信息的完整性的验证通过,且VPN网关的注册信息携带的时间戳在有效期内,判定VPN网关注册成功;
或者,如果对VPN客户端的身份和注册信息的完整性的验证通过,且VPN客户端的注册信息携带的时间戳在有效期内,判定VPN客户端注册成功;
或者,如果对客户端的身份和接入请求的内容的完整性的验证通过,且接入请求携带的时间戳在有效期内,再执行将VPN网关的信息发送给VPN客户端和将VPN客户端的信息发送给VPN网关的步骤;
或者,判断请求接入的VPN客户端是否有权限接入请求接入的VPN网关,如果是,再执行将VPN网关的信息发送给VPN客户端和将VPN客户端的信息发送给VPN网关的步骤。
13.根据权利要求10所述的系统,其特征在于,还包括:
所述VPN客户端,被配置为在接收到VPN控制器发送的信息后,对VPN控制器的身份和VPN控制器发送的信息的完整性进行验证,如果验证通过,基于打开的所述连接通道与所述VPN网关建立连接。
14.根据权利要求10所述的系统,其特征在于,
所述VPN控制器,还被配置为接收VPN网关或VPN客户端发送的心跳信息,对VPN网关的身份和心跳信息的完整性进行验证,如果验证通过,判定VPN网关在线,对VPN客户端的身份和心跳信息的完整性进行验证,如果验证通过,判定VPN客户端在线。
15.一种非瞬时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现权利要求1-9中任一项所述的虚拟专用网络VPN接入方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010341661.6A CN113645115B (zh) | 2020-04-27 | 2020-04-27 | 虚拟专用网络接入方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010341661.6A CN113645115B (zh) | 2020-04-27 | 2020-04-27 | 虚拟专用网络接入方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113645115A true CN113645115A (zh) | 2021-11-12 |
| CN113645115B CN113645115B (zh) | 2023-04-07 |
Family
ID=78414906
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010341661.6A Active CN113645115B (zh) | 2020-04-27 | 2020-04-27 | 虚拟专用网络接入方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113645115B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115174258A (zh) * | 2022-07-29 | 2022-10-11 | 国网四川省电力公司乐山供电公司 | 一种vpn数据安全访问方法 |
| CN115225313A (zh) * | 2022-06-02 | 2022-10-21 | 清华大学 | 一种高可靠的云网络虚拟专用网络通信方法和装置 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1697451A (zh) * | 2005-05-17 | 2005-11-16 | 北京立通无限科技有限公司 | 一种利用ssl协议建立防火墙通道实现虚拟专用网的方法 |
| CN102611700A (zh) * | 2012-02-24 | 2012-07-25 | 汉柏科技有限公司 | 一种在透明模式下实现vpn接入的方法 |
| FR3010599A1 (fr) * | 2013-09-11 | 2015-03-13 | Citypassenger | Procede et systeme d'etablissement de reseaux prives virtuels entre reseaux locaux |
| CN104468532A (zh) * | 2014-11-19 | 2015-03-25 | 成都卫士通信息安全技术有限公司 | 一种跨多级网络边界的网络资源访问接入控制方法 |
| CN105493453A (zh) * | 2014-12-30 | 2016-04-13 | 华为技术有限公司 | 一种实现远程接入的方法、装置及系统 |
| US9560015B1 (en) * | 2016-04-12 | 2017-01-31 | Cryptzone North America, Inc. | Systems and methods for protecting network devices by a firewall |
| CN110213215A (zh) * | 2018-08-07 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 一种资源访问方法、装置、终端和存储介质 |
| CN110493095A (zh) * | 2019-07-26 | 2019-11-22 | 广州至真信息科技有限公司 | 一种vpn业务的处理方法、装置、服务器和存储介质 |
-
2020
- 2020-04-27 CN CN202010341661.6A patent/CN113645115B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1697451A (zh) * | 2005-05-17 | 2005-11-16 | 北京立通无限科技有限公司 | 一种利用ssl协议建立防火墙通道实现虚拟专用网的方法 |
| CN102611700A (zh) * | 2012-02-24 | 2012-07-25 | 汉柏科技有限公司 | 一种在透明模式下实现vpn接入的方法 |
| FR3010599A1 (fr) * | 2013-09-11 | 2015-03-13 | Citypassenger | Procede et systeme d'etablissement de reseaux prives virtuels entre reseaux locaux |
| CN104468532A (zh) * | 2014-11-19 | 2015-03-25 | 成都卫士通信息安全技术有限公司 | 一种跨多级网络边界的网络资源访问接入控制方法 |
| CN105493453A (zh) * | 2014-12-30 | 2016-04-13 | 华为技术有限公司 | 一种实现远程接入的方法、装置及系统 |
| US9560015B1 (en) * | 2016-04-12 | 2017-01-31 | Cryptzone North America, Inc. | Systems and methods for protecting network devices by a firewall |
| CN109076057A (zh) * | 2016-04-12 | 2018-12-21 | 科里普特佐内北美股份有限公司 | 用于通过防火墙保护网络装置的系统和方法 |
| CN110213215A (zh) * | 2018-08-07 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 一种资源访问方法、装置、终端和存储介质 |
| CN110493095A (zh) * | 2019-07-26 | 2019-11-22 | 广州至真信息科技有限公司 | 一种vpn业务的处理方法、装置、服务器和存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 穆成坡 等: "《网络入侵分析与入侵响应》", 31 May 2016 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115225313A (zh) * | 2022-06-02 | 2022-10-21 | 清华大学 | 一种高可靠的云网络虚拟专用网络通信方法和装置 |
| CN115225313B (zh) * | 2022-06-02 | 2023-08-29 | 清华大学 | 一种高可靠的云网络虚拟专用网络通信方法和装置 |
| CN115174258A (zh) * | 2022-07-29 | 2022-10-11 | 国网四川省电力公司乐山供电公司 | 一种vpn数据安全访问方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113645115B (zh) | 2023-04-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109309565B (zh) | 一种安全认证的方法及装置 | |
| US10142297B2 (en) | Secure communication method and apparatus | |
| CN114553568B (zh) | 一种基于零信任单包认证与授权的资源访问控制方法 | |
| CN109561066B (zh) | 数据处理方法、装置、终端及接入点计算机 | |
| CN107040513B (zh) | 一种可信访问认证处理方法、用户终端和服务端 | |
| US7992193B2 (en) | Method and apparatus to secure AAA protocol messages | |
| CN108769007B (zh) | 网关安全认证方法、服务器及网关 | |
| US8418242B2 (en) | Method, system, and device for negotiating SA on IPv6 network | |
| US20080276309A1 (en) | System and Method for Securing Software Applications | |
| CN107360571B (zh) | 在移动网络中的匿名相互认证和密钥协商协议的方法 | |
| US20090307486A1 (en) | System and method for secured network access utilizing a client .net software component | |
| CN109525565B (zh) | 一种针对短信拦截攻击的防御方法及系统 | |
| CN110999223A (zh) | 安全加密的心跳协议 | |
| CN112235235A (zh) | 一种基于国密算法的sdp认证协议实现方法 | |
| EP3794856A1 (en) | Internet of things security with multi-party computation (mpc) | |
| CN102164033A (zh) | 防止服务被攻击的方法、设备及系统 | |
| CN110493367B (zh) | 无地址的IPv6非公开服务器、客户机与通信方法 | |
| WO2023174143A1 (zh) | 数据传输方法、设备、介质及产品 | |
| CN110635901A (zh) | 用于物联网设备的本地蓝牙动态认证方法和系统 | |
| CN113645115B (zh) | 虚拟专用网络接入方法和系统 | |
| CN105245338B (zh) | 一种认证方法及装置系统 | |
| CN114553480B (zh) | 跨域单点登录方法、装置、电子设备及可读存储介质 | |
| CN111416824B (zh) | 一种网络接入认证控制系统 | |
| CN106576050B (zh) | 三层安全和计算架构 | |
| Dinu et al. | DHCPAuth—a DHCP message authentication module |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |