CN113872990A - 基于ssl协议的vpn网络证书认证方法、装置和计算机设备 - Google Patents

基于ssl协议的vpn网络证书认证方法、装置和计算机设备 Download PDF

Info

Publication number
CN113872990A
CN113872990A CN202111217313.9A CN202111217313A CN113872990A CN 113872990 A CN113872990 A CN 113872990A CN 202111217313 A CN202111217313 A CN 202111217313A CN 113872990 A CN113872990 A CN 113872990A
Authority
CN
China
Prior art keywords
client
supported
network
information
ssl protocol
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111217313.9A
Other languages
English (en)
Other versions
CN113872990B (zh
Inventor
赖宇阳
冯国聪
邓建锋
王依云
张丽娟
吴昊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Southern Power Grid Digital Platform Technology Guangdong Co ltd
Original Assignee
Southern Power Grid Digital Grid Research Institute Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Southern Power Grid Digital Grid Research Institute Co Ltd filed Critical Southern Power Grid Digital Grid Research Institute Co Ltd
Priority to CN202111217313.9A priority Critical patent/CN113872990B/zh
Publication of CN113872990A publication Critical patent/CN113872990A/zh
Application granted granted Critical
Publication of CN113872990B publication Critical patent/CN113872990B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请涉及一种基于SSL协议的VPN网络证书认证方法、装置、计算机设备和存储介质。方法包括:接收客户端基于SSL协议所发送的握手请求消息,其中,握手请求消息包括用户的签名、用户的身份信息、客户端支持的密钥交换算法类型以及客户端支持的SSL协议版本类型;若身份信息合法,则根据密钥交换算法类型及签名,生成网络证书,其中,网络证书中包括待验证信息;若存在SSL协议证书标准验证信息与待验证信息匹配,则确定网络证书匹配成功,并向客户端返回握手响应消息。由于将客户端的用户在VPN上与CA服务器建立关联,使管理员不必配置具体的用户,提高了网络应用的效率。

Description

基于SSL协议的VPN网络证书认证方法、装置和计算机设备
技术领域
本申请涉及网络安全技术领域,特别是涉及一种基于SSL协议的VPN网络证书认证方法、装置、计算机设备和存储介质。
背景技术
随着网络技术的发展,网络数据传输的安全性越来越被重视,为了确保数据传输的安全性,通过将安全套接层SSL与虚拟专网VPN结合起来,形成了SSL VPN技术。在相关技术中,SSL VPN技术是通常是在网关上通过建立用户、角色、资源的关联关系,以此来实现当用户在通过认证后获取相应的访问权限。
然而,当SSL VPN网关上有大量用户需要配置时,管理员就需要为每一个用户建立用户、角色、资源关联关系的操作,配置工作特别繁琐且耗时。
发明内容
基于此,有必要针对上述技术问题,提供一种基于SSL协议的VPN网络证书认证方法、装置、计算机设备和存储介质。
一种基于SSL协议的VPN网络证书认证方法,所述方法包括:
接收客户端基于SSL协议所发送的握手请求消息,握手请求消息包括用户的签名、用户的身份信息、客户端支持的密钥交换算法类型以及客户端支持的SSL协议版本类型;
若身份信息合法,则根据密钥交换算法类型及签名,生成网络证书,其中,网络证书中包括待验证信息;
若存在SSL协议证书标准验证信息与待验证信息匹配,则确定网络证书匹配成功,并向客户端返回握手响应消息,其中,握手响应消息用于指示对客户端进行访问授权。
在其中一个实施例中,接收客户端发送的握手请求消息之前,包括:
接收客户端根据用户的配置信息所发送的网络连接建立请求;
向客户端返回确定消息,并在VPN上与客户端建立网络连接。
在其中一个实施例中,接收客户端基于SSL协议所发送的握手请求消息之后,还包括:
若身份信息不合法,则向客户端返回拒绝消息,其中,拒绝消息用于指示客户端重新发送网络连接建立请求。
在其中一个实施例中,生成网络证书,包括:
网络证书配置有至少一个特征值并且配置了各个特征值之间的关系,其中,特征值用于许可网络证书的权限;
若网络证书存在两个以上,则将网络证书按照密钥交换算法中的公钥类型分组。
在其中一个实施例中,握手响应消息的生成方式,包括:
确定客户端所支持的签名算法类型;
根据客户端所支持的签名算法类型及本地所支持的签名算法类型,确定客户端与本地均支持的签名算法类型;
根据客户端支持的密钥交换算法类型及本地所支持的密钥交换算法类型,确定客户端与本地均支持的密钥交换算法类型;
根据客户端与本地均支持的签名算法类型及密钥交换算法类型,生成握手响应消息。
在其中一个实施例中,握手响应消息的生成方式,包括:握手请求消息还包括客户端所支持的SSL协议的版本信息;相应地,确定客户端所支持的签名算法类型,包括:
根据客户端所支持的SSL协议的版本信息及本地所支持的SSL协议的版本信息,确定客户端与本地均支持的SSL协议的版本信息;
从客户端与本地均支持的SSL协议的版本信息中确定版本最高的SSL协议,并查找版本最高的SSL协议的扩展头;
根据扩展头,识别客户端所支持的签名算法类型。
在其中一个实施例中,向客户端返回握手响应消息之后,包括:
根据握手响应消息,获取用户的入网网口;
根据入网网口,获取用户的需要的网络资源。
上述基于SSL协议的VPN网络证书认证方法、装置、计算机设备和存储介质,通过接收客户端基于SSL协议所发送的握手请求消息,其中,握手请求消息包括用户的签名、用户的身份信息、客户端支持的密钥交换算法类型以及客户端支持的SSL协议版本类型;若身份信息合法,则根据密钥交换算法类型及签名,生成网络证书,其中,网络证书中包括待验证信息;若存在SSL协议证书标准验证信息与待验证信息匹配,则确定网络证书匹配成功,并向客户端返回握手响应消息,其中,握手响应消息用于指示对客户端进行访问授权。
相较于现有技术,由于将客户端的用户在VPN上与CA服务器建立关联,使管理员不必配置具体的用户,提高了网络应用的效率。尤其当网络上的用户量特别大时,可以对大批量的证书用户进行快速关联,从而提高资源配置率,进而提高网络传输效率。
附图说明
图1为一个实施例中基于SSL协议的VPN网络证书认证方法的应用环境图;
图2为一个实施例中基于SSL协议的VPN网络证书认证方法的流程示意图;
图3为一个实施例中基于SSL协议的VPN网络证书认证装置的结构框图;
图4为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请提供的一种基于SSL协议的VPN网络证书认证方法,可以应用于如图1所示的应用环境中。其中,客户端101通过网络与服务器102进行通信。服务器102接收客户端101基于SSL协议所发送的握手请求消息,握手请求消息包括用户的签名、用户的身份信息、客户端101支持的密钥交换算法类型以及客户端101支持的SSL协议版本类型;若身份信息合法,则根据密钥交换算法类型及签名,生成网络证书,网络证书中包括待验证信息;若存在SSL协议证书标准验证信息与待验证信息匹配,则确定网络证书匹配成功,并向客户端101返回握手响应消息,其中,握手响应消息用于指示对客户端101进行访问授权。
其中,客户端101可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备,服务器102可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图2所示,提供了一种基于SSL协议的VPN网络证书认证方法,以该方法应用于图1中的服务器102为例进行说明,包括以下步骤:
201、接收客户端基于SSL协议所发送的握手请求消息,握手请求消息包括用户的签名、用户的身份信息、客户端支持的密钥交换算法类型以及客户端支持的SSL协议版本类型;
202、若身份信息合法,则根据密钥交换算法类型及签名,生成网络证书,网络证书中包括待验证信息;
203、若存在SSL协议证书标准验证信息与待验证信息匹配,则确定网络证书匹配成功,并向客户端返回握手响应消息,其中,握手响应消息用于指示对客户端进行访问授权。
上述步骤201中,在CA服务器与客户端建立连接后,CA服务器会接收客户端发送的握手请求消息,当CA服务器接收到握手请求消息时,需要通过SSL协议进行解析获取内容,具体的内容包括用户的签名、用户的身份信息、客户端支持的密钥交换算法类型以及客户端支持的SSL协议版本类型。
上述步骤202中,合法指的是服务器验证用户的身份信息是否与服务器中存储的该用户的身份信息是否一致。本发明实施例不对身份信息的验证方式作具体限定,包括但不限于:指纹识别、人脸识别。
具体地,CA服务器接收到的握手请求消息中包含有用户的身份信息,CA服务器判断该用户身份信息与存储在CA服务器中该用户的身份信息是否一致,若一致,则证明该用户的身份信息验证合法。用户的身份信息验证合法后,则CA服务器根据握手请求消息中包含的客户端支持的密钥交换算法类型和客户端支持的SSL协议版本类型生成网络证书,网络证书中包含待验证信息、客户端与CA服务器都支持的密钥交换算法类型以及SSL协议版本类型。
上述步骤203中,将网络证书中的待验证信息与SSL协议证书中的标准验证信息进行匹配,若存在SSL协议证书标准验证信息与该待验证信息匹配,证明该网络证书匹配成功,则CA服务器向客户端返回握手响应消息,客户端接收返回握手响应消息后,获得对CA服务器进行访问的权利。若不存在网络证书的待验证信息与SSL协议证书的标准验证信息集中任何一项标准验证信息匹配,证明该网络证书匹配失败,则结束该网络证书认证。
本发明实施例提供的方法,通过将客户端的用户在VPN上与CA服务器建立关联,使管理员不必配置具体的用户,提高了网络应用的效率;尤其当网络上的用户量特别大时,可以对大批量的证书用户进行快速关联,从而提高资源配置率,进而提高网络传输效率。
在一个实施例中,接收客户端发送的握手请求消息之前,包括:
301、接收客户端根据用户的配置信息所发送的网络连接建立请求;
302、向客户端返回确定消息,并在VPN上与客户端建立网络连接。
具体地,用户在客户端上进行操作时,客户端会基于用户的配置信息在VPN上向CA服务器发送建立网络连接的请求,当CA服务器收到客户端的网络连接建立请求的消息后,会向客户端返回网络连接请求收到的确定消息,并通过VPN与客户端建立网络连接。
本发明实施例提供的方法,通过客户端根据用户的配置信息所发送的网络连接建立请求,从而可以使客户端的用户在VPN上与CA服务器建立关联。
在一个实施例中,接收客户端基于SSL协议所发送的握手请求消息之后,还包括:
若身份信息不合法,则向客户端返回拒绝消息,其中,拒绝消息用于指示客户端重新发送网络连接建立请求。
具体地,当CA服务器验证用户的身份信息为不合法时,即表示用户的身份验证未通过,此时,CA服务器会拒绝客户端的握手请求并断开网络连接,然后向客户端返回拒绝握手请求的消息。当客户端接收到CA服务器返回的拒绝握手请求的消息后,将重新向CA服务器发送网络连接请求。
本发明实施例提供的方法,通过验证用户身份的合法性,可以提高网络认证的安全性,从而可以提高网络连接过程中的安全性。
在一个实施例中,生成网络证书,包括:
401、网络证书配置有至少一个特征值并且配置了各个特征值之间的关系,特征值用于许可网络证书的权限;
402、若网络证书存在两个以上,则将网络证书按照密钥交换算法中的公钥类型分组。
具体地,网络证书配置了至少一个特征值,当网络证书中存在多个特征值时配置了特征值之间的关系,其中,特征值用于许可该网络证书在网关上的权限,并且配置好的网络证书在网关上具有唯一性。若网络证书存在两个以上,则将网络证书按照密钥交换算法中的公钥类型分组。
比如,网络证书A与B的公钥类型为S,网络证书C的公钥类型为Q,则将网络证书A与B分为一组,网络证书C为一组。
本发明实施例提供的方法,通过网络证书对用户进行授权,可以把用户、数字证书、角色、资源结合起来作为一个整体,使CA服务器不用配置用户,即可在用户通过合法身份验证后,进行网络证书认证,获取访问内网资源的权限,从而提高了用户获取网络资源的效率。
在一个实施例中,握手响应消息的生成方式,包括:
501、确定客户端所支持的签名算法类型;
502、根据客户端所支持的签名算法类型及本地所支持的签名算法类型,确定客户端与本地均支持的签名算法类型;
503、根据客户端支持的密钥交换算法类型及本地所支持的密钥交换算法类型,确定客户端与本地均支持的密钥交换算法类型;
504、根据客户端与本地均支持的签名算法类型及密钥交换算法类型,生成握手响应消息。
具体地,客户端支持的签名算法类型及密钥交换算法类型都至少存在一种,CA服务器根据握手请求消息确定了客户端所支持的签名算法类型,然后根据客户端及本地所支持的签名算法类型,从中选择出CA服务器和CA服务器均支持的签名算法类型作为返回的握手响应消息。
CA服务器根据握手请求消息确定了客户端所支持的密钥交换算法类型,然后根据客户端及本地所支持的密钥交换算法类型,从中选择出CA服务器和CA服务器均支持的密钥交换算法类型作为返回的握手响应消息。CA服务器根据出的签名算法类型和密钥交换算法类型生成握手响应消息。
本发明实施例提供的方法,通过选择CA服务器和客户端均支持的签名算法类型和密钥交换算法类型,从而可以生成CA服务器返回的握手响应消息。
在一个实施例中,握手请求消息还包括客户端所支持的SSL协议的版本信息;相应地,确定客户端所支持的签名算法类型,包括:
601、根据客户端所支持的SSL协议的版本信息及本地所支持的SSL协议的版本信息,确定客户端与本地均支持的SSL协议的版本信息;
602、从客户端与本地均支持的SSL协议的版本信息中确定版本最高的SSL协议,并查找版本最高的SSL协议的扩展头;
603、根据扩展头,识别客户端所支持的签名算法类型。
具体地,客户端支持的SSL协议版本类型至少存在一种,CA服务器根据客户端所支持的SSL协议的版本信息及本地所支持的SSL协议的版本信息,确定客户端与本地均支持的SSL协议的版本信息。然后从这些客户端与本地均支持的SSL协议的版本信息中选出版本型号最高的协议,同时将该协议作为握手响应消息返回给客户端。
比如,客户端支持的SSL协议版本类型为SSL3.0、SSL2.0,而CA服务器支持的SSL协议版本类型为SSL2.0,则SSL2.0为最终选出的协议。
CA服务器从最终选出的协议中找出该协议的扩展头,然后根据查找出的扩展头可以确定客户端支持的算法类型。
本发明实施例提供的方法,通过确定CA服务器与客户端均支持的SSL协议,识别出客户端所支持的签名算法类型,可以使客户端的用户在VPN上与CA服务器建立关联,从而使管理员不必在VPN上配置具体的用户,进而提高了网络应用的效率。
在一个实施例中,向客户端返回握手响应消息之后,包括:
701、根据握手响应消息,获取用户的入网网口;
702、根据入网网口,获取用户的需要的网络资源。
具体地,当客户端接收到返回的握手响应消息后,将携带网络证书、待更新的用户属性以及更新的操作标识进行网络认证,认证结果会分别发送至客户端和CA服务器。当认证通过后,用户在浏览器上输入要访问网关的地址,进入登录页面,当对用户的登录请求的合法性检测通过后,找到相应的入网网口,然后内网资源关联到该用户上,以使得用户可以获取需要的内网资源。若未找到相应得入网网口,则返回登录页面,继续等待用户的登录。
本发明实施例提供的方法,通过将用户与相应的内网资源直接关联在一起,在包含大量用户的应用场景中,可以使管理员不用为每个用户分配角色,从而提高了用户访问内网资源的效率。
在一个实施例中,如图3所示,提供了一种基于SSL协议的VPN网络证书认证方法装置,包括:第一接收模块311、第一生成模块312以及第一确定模块313,其中:
第一接收模块311,用于接收客户端基于SSL协议所发送的握手请求消息,其中,握手请求消息包括用户的签名、用户的身份信息、客户端支持的密钥交换算法类型以及客户端支持的SSL协议版本类型;
第一生成模块312,用于若身份信息合法,则根据密钥交换算法类型及签名,生成网络证书,其中,网络证书中包括待验证信息;
第一确定模块313,用于若存在SSL协议证书标准验证信息与待验证信息匹配,则确定网络证书匹配成功,并向客户端返回握手响应消息,其中,握手响应消息用于指示对客户端进行访问授权。
在一个实施例中,基于SSL协议的VPN网络证书认证方法装置,还包括:
第二接收模块,用于接收客户端根据用户的配置信息所发送的网络连接建立请求;
第一返回模块,用于向客户端返回确定消息,并在VPN上与客户端建立网络连接。
在一个实施例中,基于SSL协议的VPN网络证书认证方法装置,还包括:
第二返回模块,用于若身份信息不合法,则向客户端返回拒绝消息,其中,拒绝消息用于指示客户端重新发送网络连接建立请求。
在一个实施例中,第一生成模块312,还包括:
第一配置单元,用于对网络证书配置至少一个特征值并且配置各个特征值之间的关系,其中,特征值用于许可网络证书的权限;
第一分组单元,用于若网络证书存在两个以上,则将网络证书按照密钥交换算法中的公钥类型分组。
在一个实施例中,基于SSL协议的VPN网络证书认证方法装置,还包括:
第一确定单元,用于确定客户端所支持的签名算法类型;
第二确定单元,用于根据客户端所支持的签名算法类型及本地所支持的签名算法类型,确定客户端与本地均支持的签名算法类型;
第三确定单元,用于根据客户端支持的密钥交换算法类型及本地所支持的密钥交换算法类型,确定客户端与本地均支持的密钥交换算法类型;
第一生成单元,用于根据客户端与本地均支持的签名算法类型及密钥交换算法类型,生成握手响应消息。
在一个实施例中,基于SSL协议的VPN网络证书认证方法装置,还包括:
第四确定单元,用于根据客户端所支持的SSL协议的版本信息及本地所支持的SSL协议的版本信息,确定客户端与本地均支持的SSL协议的版本信息;
第五确定单元,用于从客户端与本地均支持的SSL协议的版本信息中确定版本最高的SSL协议,并查找版本最高的SSL协议的扩展头;
第一识别单元,用于根据扩展头,识别客户端所支持的签名算法类型。
在一个实施例中,基于SSL协议的VPN网络证书认证方法装置,还包括:
第一获取模块,用于根据握手响应消息,获取用户的入网网口;
第二获取模块,用于根据入网网口,获取用户的需要的网络资源。
关于基于SSL协议的VPN网络证书认证装置的具体限定可以参见上文中对于基于SSL协议的VPN网络证书认证方法的限定,在此不再赘述。上述基于SSL协议的VPN网络证书认证装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图4所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储预设阈值。该计算机设备的网络接口用于与外部的终端等节点通过网络连接通信。该计算机程序被处理器执行时以实现一种基于SSL协议的VPN网络证书认证方法。
本领域技术人员可以理解,图4中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现以下步骤:
接收客户端基于SSL协议所发送的握手请求消息,其中,握手请求消息包括用户的签名、用户的身份信息、客户端支持的密钥交换算法类型以及客户端支持的SSL协议版本类型;
若身份信息合法,则根据密钥交换算法类型及签名,生成网络证书,其中,网络证书中包括待验证信息;
若存在SSL协议证书标准验证信息与待验证信息匹配,则确定网络证书匹配成功,并向客户端返回握手响应消息,握手响应消息用于指示对客户端进行访问授权。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
接收客户端根据用户的配置信息所发送的网络连接建立请求;
向客户端返回确定消息,并在VPN上与客户端建立网络连接。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
若身份信息不合法,则向客户端返回拒绝消息,其中,拒绝消息用于指示客户端重新发送网络连接建立请求。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
网络证书配置有至少一个特征值并且配置了各个特征值之间的关系,其中,特征值用于许可网络证书的权限;
若网络证书存在两个以上,则将网络证书按照密钥交换算法中的公钥类型分组。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
确定客户端所支持的签名算法类型;
根据客户端所支持的签名算法类型及本地所支持的签名算法类型,确定客户端与本地均支持的签名算法类型;
根据客户端支持的密钥交换算法类型及本地所支持的密钥交换算法类型,确定客户端与本地均支持的密钥交换算法类型;
根据客户端与本地均支持的签名算法类型及密钥交换算法类型,生成握手响应消息。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
根据客户端所支持的SSL协议的版本信息及本地所支持的SSL协议的版本信息,确定客户端与本地均支持的SSL协议的版本信息;
从客户端与本地均支持的SSL协议的版本信息中确定版本最高的SSL协议,并查找版本最高的SSL协议的扩展头;
根据扩展头,识别客户端所支持的签名算法类型。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
根据握手响应消息,获取用户的入网网口;
根据入网网口,获取用户的需要的网络资源。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
接收客户端基于SSL协议所发送的握手请求消息,其中,握手请求消息包括用户的签名、用户的身份信息、客户端支持的密钥交换算法类型以及客户端支持的SSL协议版本类型;
若身份信息合法,则根据密钥交换算法类型及签名,生成网络证书,其中,网络证书中包括待验证信息;
若存在SSL协议证书标准验证信息与待验证信息匹配,则确定网络证书匹配成功,并向客户端返回握手响应消息,其中,握手响应消息用于指示对客户端进行访问授权。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
接收客户端根据用户的配置信息所发送的网络连接建立请求;
向客户端返回确定消息,并在VPN上与客户端建立网络连接。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
若身份信息不合法,则向客户端返回拒绝消息,其中,拒绝消息用于指示客户端重新发送网络连接建立请求。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
网络证书配置有至少一个特征值并且配置了各个特征值之间的关系,其中,特征值用于许可网络证书的权限;
若网络证书存在两个以上,则将网络证书按照密钥交换算法中的公钥类型分组。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
确定客户端所支持的签名算法类型;
根据客户端所支持的签名算法类型及本地所支持的签名算法类型,确定客户端与本地均支持的签名算法类型;
根据客户端支持的密钥交换算法类型及本地所支持的密钥交换算法类型,确定客户端与本地均支持的密钥交换算法类型;
根据客户端与本地均支持的签名算法类型及密钥交换算法类型,生成握手响应消息。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
根据客户端所支持的SSL协议的版本信息及本地所支持的SSL协议的版本信息,确定客户端与本地均支持的SSL协议的版本信息;
从客户端与本地均支持的SSL协议的版本信息中确定版本最高的SSL协议,并查找版本最高的SSL协议的扩展头;
根据扩展头,识别客户端所支持的签名算法类型。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
根据握手响应消息,获取用户的入网网口;
根据入网网口,获取用户的需要的网络资源。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种基于SSL协议的VPN网络证书认证方法,其特征在于,所述方法包括:
接收客户端基于SSL协议所发送的握手请求消息,所述握手请求消息包括用户的签名、用户的身份信息、所述客户端支持的密钥交换算法类型以及所述客户端支持的SSL协议版本类型;
若所述身份信息合法,则根据所述密钥交换算法类型及所述签名,生成网络证书,所述网络证书中包括待验证信息;
若存在SSL协议证书标准验证信息与所述待验证信息匹配,则确定所述网络证书匹配成功,并向所述客户端返回握手响应消息,所述握手响应消息用于指示对所述客户端进行访问授权。
2.根据权利要求1所述的方法,其特征在于,所述接收客户端发送的握手请求消息之前,包括:
接收所述客户端根据所述用户的配置信息所发送的网络连接建立请求;
向所述客户端返回确定消息,并在VPN上与所述客户端建立网络连接。
3.根据权利要求1所述的方法,其特征在于,所述接收客户端基于SSL协议所发送的握手请求消息之后,还包括:
若所述身份信息不合法,则向所述客户端返回拒绝消息,所述拒绝消息用于指示所述客户端重新发送网络连接建立请求。
4.根据权利要求1所述方法,其特征在于,所述生成网络证书,包括:
所述网络证书配置有至少一个特征值并且配置了各个特征值之间的关系,所述特征值用于许可所述网络证书的权限;
若所述网络证书存在两个以上,则将所述网络证书按照所述密钥交换算法中的公钥类型分组。
5.根据权利要求1所述方法,其特征在于,所述握手响应消息的生成方式,包括:
确定所述客户端所支持的签名算法类型;
根据所述客户端所支持的签名算法类型及本地所支持的签名算法类型,确定所述客户端与所述本地均支持的签名算法类型;
根据所述客户端支持的密钥交换算法类型及本地所支持的密钥交换算法类型,确定所述客户端与所述本地均支持的密钥交换算法类型;
根据所述客户端与所述本地均支持的签名算法类型及密钥交换算法类型,生成所述握手响应消息。
6.根据权利要求5所述方法,其特征在于,所述握手请求消息还包括所述客户端所支持的SSL协议的版本信息;相应地,所述确定所述客户端所支持的签名算法类型,包括:
根据所述客户端所支持的SSL协议的版本信息及所述本地所支持的SSL协议的版本信息,确定所述客户端与所述本地均支持的SSL协议的版本信息;
从所述客户端与所述本地均支持的SSL协议的版本信息中确定版本最高的SSL协议,并查找所述版本最高的SSL协议的扩展头;
根据所述扩展头,识别所述客户端所支持的签名算法类型。
7.根据权利要求1所述方法,其特征在于,所述向所述客户端返回握手响应消息之后,包括:
根据所述握手响应消息,获取所述用户的入网网口;
根据所述入网网口,获取所述用户的需要的网络资源。
8.一种基于SSL协议的VPN网络证书认证方法装置,其特征在于,所述装置包括:
第一接收模块,用于接收客户端基于SSL协议所发送的握手请求消息,所述握手请求消息包括用户的签名、用户的身份信息、所述客户端支持的密钥交换算法类型以及所述客户端支持的SSL协议版本类型;
第一生成模块,用于若所述身份信息合法,则根据所述密钥交换算法类型及所述签名,生成网络证书,所述网络证书中包括待验证信息;
第一确定模块,用于若存在SSL协议证书标准验证信息与所述待验证信息匹配,则确定所述网络证书匹配成功,并向所述客户端返回握手响应消息,所述握手响应消息用于指示对所述客户端进行访问授权。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
CN202111217313.9A 2021-10-19 2021-10-19 基于ssl协议的vpn网络证书认证方法、装置和计算机设备 Active CN113872990B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111217313.9A CN113872990B (zh) 2021-10-19 2021-10-19 基于ssl协议的vpn网络证书认证方法、装置和计算机设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111217313.9A CN113872990B (zh) 2021-10-19 2021-10-19 基于ssl协议的vpn网络证书认证方法、装置和计算机设备

Publications (2)

Publication Number Publication Date
CN113872990A true CN113872990A (zh) 2021-12-31
CN113872990B CN113872990B (zh) 2023-06-30

Family

ID=79000426

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111217313.9A Active CN113872990B (zh) 2021-10-19 2021-10-19 基于ssl协议的vpn网络证书认证方法、装置和计算机设备

Country Status (1)

Country Link
CN (1) CN113872990B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114666132A (zh) * 2022-03-22 2022-06-24 深圳供电局有限公司 基于tcp/ip协议对应用层加密认证的方法
CN116846953A (zh) * 2023-08-30 2023-10-03 北京格尔国信科技有限公司 一种证书获取方法、系统及计算机设备

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101040496A (zh) * 2004-10-19 2007-09-19 日本电气株式会社 Vpn网关设备和主机系统
CN101964800A (zh) * 2010-10-21 2011-02-02 神州数码网络(北京)有限公司 一种在ssl vpn中对数字证书用户认证的方法
CN106533689A (zh) * 2015-09-15 2017-03-22 阿里巴巴集团控股有限公司 一种在ssl/tls通信中加载数字证书的方法和装置
CN106685956A (zh) * 2016-12-27 2017-05-17 上海斐讯数据通信技术有限公司 一种路由器的vpn网络连接方法及系统
CN109495503A (zh) * 2018-12-20 2019-03-19 新华三技术有限公司 一种ssl vpn认证方法、客户端、服务器及网关
CN111865939A (zh) * 2020-07-02 2020-10-30 上海缔安科技股份有限公司 一种点对点国密隧道建立方法及装置
CN112714053A (zh) * 2020-12-25 2021-04-27 北京天融信网络安全技术有限公司 通信连接方法及装置

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101040496A (zh) * 2004-10-19 2007-09-19 日本电气株式会社 Vpn网关设备和主机系统
CN101964800A (zh) * 2010-10-21 2011-02-02 神州数码网络(北京)有限公司 一种在ssl vpn中对数字证书用户认证的方法
CN106533689A (zh) * 2015-09-15 2017-03-22 阿里巴巴集团控股有限公司 一种在ssl/tls通信中加载数字证书的方法和装置
CN106685956A (zh) * 2016-12-27 2017-05-17 上海斐讯数据通信技术有限公司 一种路由器的vpn网络连接方法及系统
CN109495503A (zh) * 2018-12-20 2019-03-19 新华三技术有限公司 一种ssl vpn认证方法、客户端、服务器及网关
CN111865939A (zh) * 2020-07-02 2020-10-30 上海缔安科技股份有限公司 一种点对点国密隧道建立方法及装置
CN112714053A (zh) * 2020-12-25 2021-04-27 北京天融信网络安全技术有限公司 通信连接方法及装置

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114666132A (zh) * 2022-03-22 2022-06-24 深圳供电局有限公司 基于tcp/ip协议对应用层加密认证的方法
CN114666132B (zh) * 2022-03-22 2024-01-30 深圳供电局有限公司 基于tcp/ip协议对应用层加密认证的方法
CN116846953A (zh) * 2023-08-30 2023-10-03 北京格尔国信科技有限公司 一种证书获取方法、系统及计算机设备
CN116846953B (zh) * 2023-08-30 2023-11-17 北京格尔国信科技有限公司 一种证书获取方法、系统及计算机设备

Also Published As

Publication number Publication date
CN113872990B (zh) 2023-06-30

Similar Documents

Publication Publication Date Title
CN111949953B (zh) 基于区块链的身份认证方法、系统、装置和计算机设备
CN113114624B (zh) 基于生物特征的身份认证方法和装置
JP6349579B2 (ja) 条件付きログインプロモーション
CN110266656B (zh) 免密认证身份识别方法、装置及计算机设备
CN108365958B (zh) 账号登录的验证方法、装置、计算机设备和存储介质
CN113872990B (zh) 基于ssl协议的vpn网络证书认证方法、装置和计算机设备
CN112559993A (zh) 身份认证方法、装置、系统及电子设备
CN110611647A (zh) 一种区块链系统上的节点加入方法和装置
CN111880919A (zh) 数据调度方法、系统和计算机设备
CN114157434A (zh) 登录验证方法、装置、电子设备及存储介质
CN113360868A (zh) 应用程序登录方法、装置、计算机设备和存储介质
CN114172747B (zh) 一种基于数字证书的群成员获得认证证书的方法和系统
CN112165448A (zh) 业务处理方法、装置、系统、计算机设备和存储介质
CN112422516B (zh) 基于电力边缘计算的可信连接方法、装置和计算机设备
CN111901359B (zh) 资源账户授权方法、装置、系统、计算机设备和介质
CN110225511B (zh) 终端imei号的获取方法、装置、系统和计算机设备
CN109428869B (zh) 钓鱼攻击防御方法和授权服务器
CN111817860B (zh) 一种通信认证方法、装置、设备及存储介质
CN109561093B (zh) 越权行为检测方法、装置、计算机设备和存储介质
CN114239004A (zh) 电子签章生成方法、装置、计算机设备和存储介质
CN114238914A (zh) 数字证书申请系统、方法、装置、计算机设备和存储介质
CN113015265A (zh) 网络会话自愈方法、装置、系统、计算机设备和存储介质
CN115129229A (zh) 信息存储方法、设备、存储介质及装置
CN111383110A (zh) 跨区块链的通证转移方法、装置及硬件设备
US10412097B1 (en) Method and system for providing distributed authentication

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20230808

Address after: 518000 building 501, 502, 601, 602, building D, wisdom Plaza, Qiaoxiang Road, Gaofa community, Shahe street, Nanshan District, Shenzhen City, Guangdong Province

Patentee after: China Southern Power Grid Digital Platform Technology (Guangdong) Co.,Ltd.

Address before: Room 86, room 406, No.1, Yichuang street, Zhongxin Guangzhou Knowledge City, Huangpu District, Guangzhou City, Guangdong Province

Patentee before: Southern Power Grid Digital Grid Research Institute Co.,Ltd.

TR01 Transfer of patent right