CN116094814A - Vpn接入方法、装置、电子设备及存储介质 - Google Patents

Vpn接入方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN116094814A
CN116094814A CN202310081335.XA CN202310081335A CN116094814A CN 116094814 A CN116094814 A CN 116094814A CN 202310081335 A CN202310081335 A CN 202310081335A CN 116094814 A CN116094814 A CN 116094814A
Authority
CN
China
Prior art keywords
verification
cloud server
password
static
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310081335.XA
Other languages
English (en)
Inventor
李俊浩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN202310081335.XA priority Critical patent/CN116094814A/zh
Publication of CN116094814A publication Critical patent/CN116094814A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请涉及计算机技术领域,提供一种VPN接入方法、装置、电子设备及存储介质,用于提高VPN接入的安全性和灵活性。该方法中,针对客户端远程访问私有云时使用的虚拟专用网络服务器,在公有云服务器提供的MFA服务中预先配置了应用策略和对象策略,通过配置的应用策略和对象策略,对目标对应输入的VPN账号的密码进行验证。其中,通过预先配置的应用策略和对象策略,可以在不改变私有云服务器提供的静态密码验证服务基础上,添加了公有云服务器提供的MFA服务,实现方式简单,同时,能够将私有云服务器提供的静态密码验证服务与公有云服务器提供的MFA服务有序组合,实现“跨云”多因子组合验证,提高了VPN接入的安全性和灵活性。

Description

VPN接入方法、装置、电子设备及存储介质
技术领域
本申请涉及计算机技术领域,尤其涉及VPN接入方法、装置、电子设备及存储介质。
背景技术
随着互联网技术的广泛应用,对网络环境的安全性要求越来越高,外网IP一般无法直接访问内网,需要借助虚拟专用网络(Virtual Private Network,VPN)进行访问。
现有的VPN接入技术,通常使用企业私有云所提供的自动发现(Auto-Discovery,AD)协议/轻型目录访问协议(Lightweight Directory Access Protocol,OpenLDAP)、或自研系统静态密码验证服务等进行接入,安全性较低。
为了提高VPN验证的安全性,一些VPN接入技术在静态密码验证服务的基础上,在私有云中部署了动态密码验证服务,以提供静态密码和动态密码的验证服务。然而,在私有云中部署动态密码验证服务,投入成本和维护成本较高,并且,在静态密码验证服务的基础上,增加动态密码验证服务,需要对原有验证服务进行侵入式变更。同时,无论上述哪种方式,在VPN接入时均是采用“单步认证”的方式,灵活性较差。
发明内容
本申请实施例提供了一种VPN接入方法、装置、电子设备及存储介质,用于提高VPN上网的安全性和灵活性。
一方面,本申请实施例提供一种虚拟专用网络接入方法,包括:
接收虚拟专用网络服务器发送的验证请求报文,所述验证请求报文是所述虚拟专用网络服务器基于客户端发送的远程接入请求生成的,至少包括所述客户端访问私有云服务器时,目标对象输入的虚拟专用网络账号的验证信息;
基于所述验证请求报文,从公有云服务器获取预先配置的多因子验证所需的应用策略和对象策略;
基于所述应用策略所指示的目标验证方式,以及所述对象策略所指示的对象类型,使用所述私有云服务器提供的校验密码和所述公有云服务器提供的校验密码中的至少一种,对所述验证信息进行虚拟专用网络接入验证;
基于验证结果,控制所述虚拟专用网络服务器管理所述客户端对所述私有云服务器的访问权限。
另一方面,本申请实施例提供一种虚拟专用网络接入装置,包括:
接收模块,用于接收虚拟专用网络服务器发送的验证请求报文,所述验证请求报文是所述虚拟专用网络服务器基于客户端发送的远程接入请求生成的,至少包括所述客户端访问私有云服务器时,目标对象输入的虚拟专用网络账号的验证信息;
获取模块,用于基于所述验证请求报文,从公有云服务器获取预先配置的多因子验证所需的应用策略和对象策略;
验证模块,用于基于所述应用策略所指示的目标验证方式,以及所述对象策略所指示的对象类型,使用所述私有云服务器提供的校验密码和所述公有云服务器提供的校验密码中的至少一种,对所述验证信息进行虚拟专用网络接入验证;
控制模块,用于基于验证结果,控制所述虚拟专用网络服务器管理所述客户端对所述私有云服务器的访问权限。
可选的,所述验证信息至少包含所述客户端的IP地址和所述虚拟专用网络服务器的标识,所述获取模块具体用于:
基于所述虚拟专用网络服务器的标识,从所述公有云服务器获取多因子验证所需的对应的应用策略;
从所述应用策略中获取所述虚拟专用网络服务器关联的白名单;
若所述白名单为空,或者,所述客户端的IP地址属于所述白名单,则从所述公有云服务器获取多因子验证所需的对象策略。
可选的,当所述目标验证方式为单步认证时,所述验证模块具体用于:
确定所述对象策略所指示的对象类型,是否为所述私有云服务器对应的对象;
若非所述私有云服务器对应的对象,则使用所述公有云服务器提供的静态校验密码,验证所述验证信息中的静态登陆密码;
若为所述私有云服务器对应的对象,则基于所述验证信息包含的密码类型,使用所述私有云服务器提供的静态校验密码,和所述公有云服务器提供的动态校验密码中的至少一种,对所述验证信息进行虚拟专用网络接入验证。
可选的,所述验证模块具体用于:
若所述验证信息包含静态登陆密码和动态登陆密码,且总密码的长度小于预设阈值,则使用所述私有云服务器提供的静态校验密码,验证所述静态登陆密码,以及,使用所述公有云服务器提供的动态校验密码,验证所述动态登陆密码;
若所述验证信息仅包含静态登陆密码,则使用所述私有云服务器提供的静态校验密码,验证所述静态登陆密码。
可选的,当所述目标验证方式为多步认证时,所述验证模块具体用于:
从所述对象策略中,获取所述虚拟专用网络账号关联的验证状态属性;
若所述验证状态属性为空,则基于所述对象策略所指示的对象类型,使用所述私有云提供的静态校验密码或所述公有云提供的静态校验密码,验证所述验证信息中的静态登陆密码,并更新所述验证状态属性;
若所述验证状态属性非空,将所述验证状态属性的值与所述虚拟专用网络账号进行比较,并基于比较结果,使用所述公有云提供的动态校验密码,验证所述验证信息中的动态登陆密码。
可选的,所述验证模块具体用于:
确定所述对象策略所指示的对象类型,是否为所述私有云服务器对应的对象;
若非所述私有云服务器对应的对象,则使用所述公有云服务器提供的静态校验密码,验证所述验证信息中的静态登陆密码;
若为所述私有云服务器对应的对象,则使用所述私有云服务器提供的静态验证密码,验证所述验证信息中的静态登陆密码;
验证完成后,随机生成一个字符串作为所述验证状态属性的键,将所述虚拟专用网络账号作为所述验证状态属性的值,并以键值对形式出入缓存中。
可选的,所述验证模块具体用于:
若所述验证状态属性的值与所述虚拟专用网络账号一致,则使用所述公有云服务器提供的动态校验密码,验证所述验证信息中的动态登陆密码;
从所述应用策略中,获取角色属性,并将所述目标对象写入所述角色属性。
可选的,所述验证模块具体用于:
基于所述对象策略中所述私有云服务器提供的静态密码验证服务的ID,获取所述静态密码验证服务的服务地址;
将所述虚拟专用网络账号对应的静态登陆密码,发送给所述服务地址对应的私有云服务器,以使所述私有云服务器将所述静态登陆密码与静态校验密码进行比对;
接收所述私有云服务器发送的比对结果,以完成对所述静态登陆密码的验证。
可选的,所述公有云提供的动态校验密码,与所述客户端使用的动态登陆密码,按照预设时间周期同步更新。
另一方面,本申请实施例提供一种电子设备,包括处理器和存储器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,实现上述VPN接入方法的步骤。
另一方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机可执行指令,所述计算机可执行指令被电子设备执行时实现上述虚拟专用网络接入方法的步骤。
另一方面,本申请实施例提供一种计算机程序产品,包含计算机程序,所述计算机程序被电子设备执行时实现上述虚拟专用网络接入方法的步骤。
本申请实施例的有益效果如下:
本申请实施例提供的VPN接入方法、装置、电子设备及存储介质,在公有云服务器中,基于客户端远程访问私有云使用的虚拟专用网络服务器,预先配置了公有云服务器多因子验证服务所需的应用策略和对象策略,从而在不改变私有云服务器提供的静态密码验证服务基础上,添加了公有云服务器提供的多因子验证服务,这样,当接收到虚拟专用网络服务器发送的验证请求报文时,从公有云服务器获取多因子验证所需的应用策略以及对象策略,基于应用策略和对象策略,将私有云服务器提供的静态密码验证方式与公有云服务器提供的多因子验证方式有序组合,形成“跨云”多因子组合策略,从而使用不同的验证方式灵活验证报文中的验证信息,提高了VPN接入的安全性。
本申请的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请而了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例适用的一种应用场景图;
图2A为本申请实施例提供的一种MFA服务的可视化配置界面;
图2B为本申请实施例提供的MFA服务中添加应用的界面;
图2C为本申请实施例提供的MFA服务配置应用策略的界面;
图3A为本申请实施例提供的另一种MFA服务的可视化配置界面;
图3B为本申请实施例提供的MFA服务中添加对象策略的界面;
图3C为本申请实施例提供的对象策略中基本信息界面;
图3D为本申请实施例提供的MFA服务中对象策略配置界面;
图3E为本申请实施例提供的配置动态密码认证策略项的界面;
图4为本申请实施例提供的VPN接入方法的交互流程图;
图5为本申请实施例提供的VPN接入方法的流程图;
图6为本申请实施例提供的获取应用策略和对象策略的方法流程图;
图7为本申请实施例提供的配置的应用策略的代码示意图;
图8为本申请实施例提供的配置的对象策略的代码示意图;
图9为本申请实施例提供的单步认证的方法流程图;
图10为本申请实施例提供的单步认证过程中“跨云”组合认证方法流程图;
图11为本申请实施例提供的多步认证方法流程图;
图12为本申请实施例提供的多步认证中第一步认证方法流程图;
图13为本申请实施例提供的多步认证中第二步认证方法流程图;
图14为本申请实施例提供的验证服务器对VPN账号的密码进行验证的完整流程图;
图15为本申请实施例提供的VPN接入装置的结构图;
图16为本申请实施例提供的电子设备的结构图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请技术方案的一部分实施例,而不是全部的实施例。基于本申请文件中记载的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请技术方案保护的范围。
为了方便理解,下面对本申请实施例中涉及的名词进行解释。
AAA:为认证(Authentication)、授权(Authorization)和计费(Accounting)的简称,是网络安全中进行访问控制的一种安全管理机制,提供认证、授权和计费三种安全服务。
Radius:为远程用户拨号服务(Remote Authentication Dial In User Service)的简称,是一种C/S结构的通讯协议。常用于网络通讯AAA场景,例如ADSL上网、IP电话、VPN远程访问等。
MFA:为多因子验证(Multi-factor authentication)的简称,是一种计算机访问控制的方法,客户端要通过两种以上的认证机制(如:指纹认证、面部认证、静态密码认证、动态密码认证中的任意组合)之后,才能得到授权,使用云中的计算机资源。
VPN:是一种远程访问技术,即利用公用网络架设专用网络。例如,外地出差的员工,通过客户端访问企业内网服务器中的资源,这种访问方式就属于远程访问。
下面对本申请实施例的设计思想进行概述。
目前,VPN接入方式主要有两种:第一种方法是使用私有云所提供的AD/OpenLDAP、或自研系统静态密码验证服务;第二种方法是在私有云提供的静态密码验证服务基础上,在私有云中部署动态密码验证服务,以提供静态密码和动态密码的验证服务。相对于第一种方法,第二种方法安全性更高,但是主要存在以下缺点:1)在私有云服务器中部署动态密码验证服务,初期投入与后期维护成本较大,不利于长远发展;2)在私有云服务器中部署动态密码验证服务,需要对原有的静态密码验证服务进行侵入式变更;3)静态密码验证服务和动态密码验证服务缺乏可配置、可组合、可切换的机制。同时,上述两种接入方式,无论是静态密码验证服务,还是静态密码和动态密码的验证服务,都是单步认证,灵活性较差。
鉴于此,本申请实施例提供了一种VPN接入方法、装置、电子设备及存储介质,在私有云服务器提供的静态密码验证服务的基础上,创新性地加入公有云服务器提供的MFA服务,通过公有云服务器提供的MFA服务的可视化界面,基于虚拟专用网络服务器,预先配置了MFA所需的应用策略和对象策略,从而将私有云服务器提供的静态密码验证服务与公有云服务器提供的MFA服务有序组合,形成“跨云”多因子组合策略,并由验证服务器执行“组合策略”,实现“单步”或“分步”多因子验证方式。该方法无需变更私有云服务器原有的静态密码验证服务,实现方式较为简单,且丰富了VPN接入的验证方式,增强了VPN接入的安全性,可用于解决安全监管、IT审计等方面所提出的问题。
以下结合说明书附图对本申请的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本申请,并不用于限定本申请,并且在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
参考图1,为本申请实施例的一种应用场景示意图,该应用场景图中包括客户端110、虚拟专用网络服务器120、私有云服务器130、公有云服务器140和验证服务器150。
在本申请实施例中,客户端110包括但不限于手机、平板电脑、笔记本电脑、台式电脑、智能语音交互设备、车载终端等具有显示功能的设备。客户端110上可以安装VPN应用程序,该VPN应用程序可以是客户端软件,也可以是浏览器软件,目标对象通过在客户端110安装的VPN应用程序中输入账号和密码,访问私有云服务器130。虚拟专用网络服务器120是专门用于VPN接入的服务器。私有云服务器130和公有云服务器140可以由多台服务器搭建,验证服务器150是专门用于远程用户拨号服务的服务器。
上述各类服务器,可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(Content DeliveryNetwork,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。
本申请实施例中的VPN接入方法,可以由图1中的客户端110、虚拟专用网络服务器120和验证服务器150共同执行。具体实施时,目标对象通过客户端110访问私有云服务器130中的资源时,在客户端110输入访问私有云服务器130的VPN账号和密码,通过互联网向虚拟专用网络服务器120发送远程接入请求。虚拟专用网络服务器120按照Radius协议,将VPN帐号、密码以及其他信息封装成验证请求报文,并将该报文发送到验证服务器150。验证服务器150接收到验证请求报文后,从公有云服务器140获取基于虚拟专用网络服务器120预先配置的MFA服务所需的应用策略和对象策略,并根据应用策略和对象策略,分别调用私有云服务器提供的静态密码验证服务以及公有云服务器提供的MFA服务,并将验证结果封装为Radius协议的验证结果报文返回到虚拟专用网络服务器120。虚拟专用网络服务器120基于验证结果报文,确定是否准许客户端110远程访问私有云服务器130中的资源。
需要说明的是,图1所示只是举例说明,实际上客户端和服务器的数量不受限制,在本申请实施例中不做具体限定。
本申请实施例中,当服务器的数量为多个时,多个服务器可组成为一区块链,而服务器为区块链上的节点;如本申请实施例所公开的VPN接入方法,其中所涉及的应用策略、对象策略等可保存于区块链上。
需要注意的是,本申请的实施方式仅是为了便于理解本申请的精神和原理而示出,不作为应用场景的限制。
本申请实施例提供的VPN接入方法,基于管理客户端访问对私有云服务器的访问权限的虚拟专用网络服务器,预先配置了应用策略和对象策略,从而将私有云提供的静态密码验证服务与公有云提供的MFA服务有序组合,形成“跨云”多因子组合策略,提高VPN验证的安全性和灵活性。
下面详细描述两个策略的配置方式。
一、应用策略配置
如图2A所示,为公有云服务器提供的MFA服务的可视化界面,首先,点击该页面中的“策略&应用”菜单;然后,选择下拉菜单中的“应用”选项,跳转至图2B中为MFA服务添加应用的界面;进一步地,点击图2B中的“新增应用”选项,将当前虚拟专用网络服务器添加为MFA服务中的一个应用,并为该应用配置的应用策略。
应用策略的配置界面如图2C所示,其中,带有“*”的信息为必填项。在配置MFA所需的应用策略时,类型选择“Strong Auth”;认证策略选择“VPN MFA(Strong Auth)”;名称可自行定义,如设置为“VPN”;应用地址设置为虚拟专用网络服务器的公网IP地址(如203.205.100.100),作为白名单;共享密钥设置为虚拟专用网络服务器使用的共享密钥;品牌选择“通用设备”;“多步认证”未开启时,执行单步认证过程,否则,执行多步认证过程;RADIUS角色属性设置为“25Class”,该项可根据虚拟专用网络服务器所支持的Radius协议及具体情况进行设置;取消“创建Agent”的选择状态。
需要说明的是,图2C所示的配置内容仅作为一种示例,在实际应用中,可根据实际情况进行设置和选择。
二、对象策略配置
如图3A所示,从公有云提供的MFA服务的可视化界面中,点击该页面中的“策略&应用”菜单,并选择下拉菜单中的“策略”选项,进入到图3B中为MFA服务添加对象策略的界面;然后,点击图3B中的“新增”选项,跳转至图3C所示的新建对象策略页面,并在该界面中,填写新创建的对象策略的基本信息,如设置新建的对象策略的名称为“VPN MFA”,类型为“安全认证”,用户源为“本地用户”。
完成对象策略新建后,进入图3D所示的“策略信息”配置界面,在该界面中,可以配置“用户过滤”、“终端过滤”、“授权角色”、“静态密码认证”和“动态密码认证”等策略项,通过打开或关闭相关策略项的开关,来定制对象策略。
例如,在图3E所示的配置“动态密码认证”策略项的界面中,打开动态密码认证、推送认证和强制使用动态密码等策略项的开关,选择令牌类型为“手机令牌”,并输入信任终端数量和信任终端时长(分钟)。配置好“动态密码认证”策略项后,点击“提交”对当前策略项的内容进行保存。
本申请实施例提供的VPN接入方法中,是通过在公有云服务器提供的MFA服务的可视化界面中,配置各策略项的参数内容,实现的“跨云”多因子组合验证方式。可选的,在一些实施例中,也可以加入可视化的ABAC决策流程,进一步提高“跨云”多因子组合验证方式的灵活性。
基于上述配置的应用策略和对象策略,本申请实施例提供的VPN接入方法的交互流程如图4所示,主要包括以下几步:
S401:客户端响应于目标对象输入的VPN账号和密码,发起远程接入请求。
当目标对象通过客户端访问私有云服务器中的资源时,开启客户端中的VPN应用,在VPN应用界面中,目标对象输入已在私有云服务器中开通的VPN账号和密码,并触发登录操作。客户端响应于目标对象触发的登陆操作,向虚拟专用网络服务器发送远程接入请求,该远程接入请求至少携带目标对象输入的VPN账号和密码,以及客户端的IP地址。
S402:虚拟专用网络服务器基于远程接入请求携带的VPN账号和密码、以及客户端的IP地址,生成验证请求报文,并发送给验证服务器。
虚拟专用网络服务器接收到客户端发送的远程接入请求后,将虚拟专用网络服务器标识、远程接入请求携带的VPN账号和密码、客户端的IP地址等信息,封装成Radius协议支持的验证请求报文,并将该报文发送给验证服务器。
S403:验证服务器基于验证请求报文,从公有云服务器获取预先配置的MFA所需的应用策略和对象策略。
验证服务器接收到验证请求报文后,根据报文中虚拟专用网络服务器的标识,从公有云服务器获取预先配置的公有云服务器提供MFA服务所需的应用策略,和对象策略。
S404:验证服务器基于获取的应用策略和对象策略,调用私有云服务器提供的静态密码验证服务,以及公有云服务器提供的MFA服务中的至少一种,对VPN账号对应的密码进行VPN接入验证。
基于应用策略和对象策略中各策略项的具体内容,对目标对象输入的VPN账号的密码有三种验证方式,第一种由公有云服务器提供的MFA服务验证VPN账号的密码,第二种由私有云服务器提供的静态密码验证服务验证VPN账号的密码,第三种由公有云服务器提供的MFA服务和私有云服务器提供的静态密码验证服务共同验证VPN账号的密码。
S405:验证服务器将私有云服务器和公有云服务器中的至少一个验证结果,发送给虚拟专用网络服务器。
验证服务器将私有云服务器和公有云服务器中的至少一个,对目标对象输入的VPN账号的密码的验证结果,封装为Radius协议支持的验证结果报文,并返回给虚拟专用网络服务器,以使虚拟专用网络服务器根据验证结果对客户端对私有服务器的访问权限进行管理。
S406:虚拟专用网络服务器基于验证结果,控制是否准许客户端远程访问私有云服务器中的资源。
当目标对象输入的VPN账号的密码认证成功时,虚拟专用网络服务器允许客户端访问私有云服务器中的资源,当目标对象输入的VPN账号的密码认证失败时,虚拟专用网络服务器拒绝客户端访问私有云服务器中的资源。
本申请实施例提供的VPN接入方法,将用于管理客户端对私有云服务器访问权限的虚拟专用网络服务器,添加为公有云服务器提供的MFA服务中的一个应用,并配置相应的应用策略和对象策略,从而将私有云提供的静态密码验证服务和公有云服务器的MFA服务“跨云”组合,并将私有云提供的静态密码验证服务和公有云服务器的MFA服务,整体切换到验证服务器基于应用策略和对象策略所提供的新验证服务,避免对原服务的变更,以较低的成本,提升VPN接入的灵活性和安全性,实现“跨云”多因子VPN接入方式。
其中,本申请实施例中验证服务器,可以为web服务器,也可以为云服务器,还可以为远程拨号上网专用的服务器,如Radius服务器。
在一种可选的实施方式中,验证服务器基于预先配置的应用策略和对象策略,将私有云提供的静态密码验证服务和公有云服务器的多因子验证服务,“跨云”组合对VPN进行验证的具体方式参见图5,主要包括以下几步:
S501:验证服务器接收虚拟专用网络服务器发送的验证请求报文,验证请求报文是虚拟专用网络服务器基于客户端发送的远程接入请求生成的,至少包括客户端访问私有云服务器时目标对象输入的VPN账号的验证信息。
虚拟专用网络服务器用于管理客户端对私有云服务器中资源的访问权限,目标对象通过客户端远程访问私有云服务器时,在客户端中输入已在私有云服务器开通的VPN账号和密码,以向虚拟专用网络服务器发起远程接入请求,虚拟专用网络服务器将远程接入请求携带的客户端访问私有云服务器时目标对象输入的VPN账号的验证信息,封装为Radius协议支持的验证请求报文发送给验证服务器。
可选的,验证请求报文中的验证信息至少包括VPN账号、密码、虚拟专用网络服务器的标识和客户端的IP地址等。
S502:验证服务器基于验证请求报文,从公有云服务器获取预先配置的MFA所需的应用策略和对象策略。
本申请实施例为实现私有云服务器提供的静态密码验证服务,和公有云服务器提供的多因子验证服务的“跨云”组合,基于公有云服务器提供的MFA服务的可视化界面,预先为虚拟专用网络服务器配置了MFA所需的应用策略和对象策略,当验证服务器接收到虚拟专用网络服务器发送的验证请求报文后,对该报文进行解析,得到虚拟专用网络服务器的标识和客户端的IP地址,并基于解析获得的虚拟专用网络服务器的标识和客户端的IP地址,获取相应的应用策略和对象策略。
其中,应用策略和对象策略的获取过程参见图6,主要包括以下几步:
S5021:基于虚拟专用网络服务器的标识,从公有云服务器获取MFA所需的对应的应用策略。
可选的,虚拟专用网络服务器的标识为虚拟专用网络服务器的IP地址、编号、名称和ID中任意一个。
在一种可选的实施方式中,在将虚拟专用网络服务器添加为公有云服务器提供的MFA服务中的一个应用时,会生成一个应用ID,基于虚拟专用网络服务器的IP地址与应用ID的对应关系,从公有云服务器获取对应的应用策略。
S5022:从应用策略中获取虚拟专用网络服务器关联的白名单。
可选的,白名单包含虚拟专用网络服务器允许远程访问私有云服务器的客户端的IP地址。
S5023:确定白名单是否为空,若否,则执行S5024,若是,则执行S5025。
当白名单为空时,表明允许所有客户端远程访问私有云服务器,当白名单不为空时,表明白名单中的客户端才可以远程访问私有云服务器,因此,需要进一步判断当前目标对象使用的客户端,是否属于白名单中的客户端。
S5024:确定客户端的IP地址是否属于白名单,若是,则执行S5025,若否,则结束VPN认证。
将目标对象当前使用的客户端的IP地址,与白名单中的IP地址一一进行比对,当比对一致时,表明允许当前的客户端远程访问私有云服务器,当比对不一致时,表明不允许当前的客户端远程访问私有云服务器,无需进行VPN认证,可返回访问错误的提示信息。
S5025:从公有云服务器获取MFA所需的对象策略。
当白名单为空,或者,客户端的IP地址属于白名单时,客户端可远程访问私有云服务器,此时,需要公有云服务器获取MFA所需的对象策略,以对客户端接收的VPN账号的密码进行认证。
S503:验证服务器基于应用策略所指示的目标验证方式,以及对象策略所指示的对象类型,使用私有云服务器提供的校验密码和公有云服务器提供的校验密码中的至少一种,对验证信息进行VPN接入验证。
在配置应用策略时,如图2C所示,可以选择开启或关闭多步认证,当开启多步认证时,目标验证方式为多步认证,当关闭多步认证时,目标验证方式为单步认证。同时,还可以配置应用地址和RADIUS角色属性等策略项。其中,应用策略中部分策略项的数据结构如表1所示。
表1、应用策略的数据结构
Figure BDA0004067810790000151
作为一种示例,表1中各策略项设置的内容的代码表示如图7所示。其中,虚拟专用网络服务器的白名单nasIpAddress用“点分十进制”表示成x.x.x.x的形式,x为0~255之间的十进制整数;RADIUS角色属性roleAttrName为Radius协议的数据包格式,需包含“NAS-Identifier”;多步认证enableMultiStepAuth设置为true,表示开启多步认证。
在配置对象策略时,设置了对象类型、密码类型和私有云服务器提供的静态密码验证服务的ID等策略项,各策略项的数据结构如表2所示。
表2、对象策略的数据结构
Figure BDA0004067810790000152
Figure BDA0004067810790000161
上述表2中各策略项设置的内容的代码表示如图8所示。其中,对象类型userType设置为inner,密码类型enableDynamicPassword设置为true,表示目标对象输入的密码除了包含静态登陆密码外,还包含动态登陆密码;私有云服务器提供的静态密码验证服务的ID设置为“1”,后续可根据该ID调用AD/openLADP服务对目标对象输入的静态登陆密码进行VPN验证。
本申请的实施例中,验证服务器基于应用策略所指示的目标验证方式,以及对象策略所指示的对象类型,将私有云服务器提供的静态密码验证服务和公有云服务器提供的MFA服务进行“跨云”组合认证,并实现“单步”或“多步”的多因子(即静态登陆密码和动态登陆密码)VPN认证,提高VPN接入的安全性和灵活性。
在一种可选的实施方式中,当目标验证方式为单步认证时,即enableMultiStepAuth设置为false时,验证服务器对验证请求报文中验证信息的验证流程如图9所示,主要包括以下几步:
S5031_1:确定对象策略所指示的对象类型,是否为私有云服务器对应的对象,若否,则执行S5031_2,若是,则执行S5031_3。
从对象策略中获取对象类型的取值,当userType为outter时,表示公有云服务器提供的MFA服务对应的对象,当userType为inner时,表示私有云服务器提供的静态密码验证服务对应的对象。
S5031_2:使用公有云服务器提供的静态校验密码,验证验证信息中的静态登陆密码。
当对象策略中设置对象类型为非私有云服务器的对象时,即userType为outter,此时,由公有云服务器提供的MFA服务进行VPN验证。
具体的,验证服务器将验证信息中目标对象输入的VPN账号的静态登陆密码,发送给公有云服务器,公有云服务器将MFA服务提供的静态校验密码与静态登陆密码进行比对,并将对比结果返回给验证服务器,以完成对静态登陆密码的验证。
S5031_3:基于验证信息包含的密码类型,使用私有云服务器提供的静态校验密码,和公有云服务器提供的动态校验密码中的至少一种,对验证信息进行VPN接入验证。
当对象策略中设置对象类型为私有云服务器的对象时,即userType为inner,验证服务器可根据验证信息中是否包含动态登陆密码,采用不同的方式进行VPN接入验证。具体验证方式参见图10,主要包括以下几步:
S5031_31:确定验证信息是否包含动态登陆密码,若是,则执行S5031_32,若否,则执行S5031_34。
目标对象在客户端登陆VPN时,通常会输入静态登陆密码,如果目标对象还输入了动态登陆密码,满足多因子验证的条件,如果,目标对象仅输入了静态登陆密码,则不满足多因子验证的条件,只需验证静态登陆密码。因此,针对私有云服务器对应的对象,验证服务器需判断目标对象输入的验证信息中,除了静态登陆密码外,是否还包含动态登陆密码,从而采用不同的方式进行VPN接入验证。
S5031_32:确定验证信息中密码的总长度是否小于预设阈值,若是,则返回VPN认证失败的提示信息,若否,则执行S5031_33。
当目标对象输入的验证信息中包含静态登陆密码和动态登陆密码时,密码的总长度一般较长,如果小于预设阈值,表明可能输入错误,则返回认证失败的提示信息以使用户重新输入;如果大于等于预设阈值,可将静态登陆密码和动态登陆密码进行区分,从而由私有云服务器和公有云服务器分别进行认证,实现“跨云”组合认证。
可选的,预设阈值为7字符。
S5031_33:使用私有云服务器提供的静态校验密码,验证静态登陆密码,以及,使用公有云服务器提供的动态校验密码,验证动态登陆密码。
可选的,当目标对象输入的密码包含动态登陆密码,且密码总长度大于等于预设阈值,将密码的后N位(如N=6)作为动态登陆密码,其它部分作为静态登陆密码。
针对动态登陆密码,使用公有云服务器提供的动态校验密码进行验证。其中,公有云服务器提供的动态校验密码,与客户端使用的动态登陆密码,按照预设时间周期同步更新。
在一种可选的实施方式中,公有云服务器和客户端预先配置了相同的初始密码,随着时间戳的改变,两端的初始密码按照预设时间周期同步更新。这样,针对目标对象输入的验证信息中的动态登陆密码,公有云服务器计算出具有相同时间戳的动态校验密码,理论上,动态登陆密码和动态校验密码都是在相同的初始密码基础上进行的相同变化,二者应当一致。因此,验证服务器将目标对象输入的VPN账号的动态登陆密码,发送给公有云服务器,公有云服务器将MFA服务提供的动态校验密码,与验证信息中动态登陆密码进行比对,若二者一致,则动态登陆密码认证成功。
针对静态登陆密码,使用私有云服务器提供的静态校验密码进行验证。
在一种可选的实施方式中,验证服务器基于对象策略中私有云服务器提供的静态密码验证服务的ID(如图8中ldapConfigId为“1”),获取静态密码验证服务的服务地址,并将目标对象输入的VPN账号的静态登陆密码,发送给该服务地址对应的私有云服务器,由私有云服务器将静态密码验证服务提供的静态校验密码,与验证信息中的静态登陆密码进行比对,并将比对结果发送给验证服务器,以完成对静态登陆密码的验证。
可选的,私有云服务器提供的静态密码验证服务的ID为私有云服务器提供的AD/openLADP服务的ID。
需要说明的,本申请实施例对私有云服务器提供的静态密码验证服务不做限制要求,除了使用AD/openLADP服务外,还可以加入企业自己研发的验证服务,作为“跨云”组合验证的一种方式。
S5031_34:使用私有云服务器提供的静态校验密码,验证静态登陆密码。
当目标对象输入的密码中不包含动态登陆密码时,使用私有云服务器提供的静态校验密,验证目标对象输入的VPN账号对应的静态登陆密码。具体验证过程参见S5031_33的描述,在此不在重复。
在对目标对象输入的VPN账号和密码进行单步认证时,公有云服务器提供的MFA服务既可以验证目标对象输入的VPN账号的静态登陆密码,也可以验证目标对象输入的VPN账号的动态登陆密码。其中,针对非私有云服务器对应的对象,利用公有云服务器提供的MFA服务验证静态登陆密码。针对私有云服务器对应的对象,当包含动态登陆密码且长度满足要求时,使用公有云服务器提供的MFA服务验证动态登陆密码,以及使用私有云服务器提供的静态密码验证服务验证静态登陆密码;当不包含动态登陆密码时,使用私有云服务器提供的静态密码验证服务验证静态登陆密码。上述实施例通过获取的对象策略中的对象类型和密码类型,将公有云服务器提供的MFA服务和私有云服务器提供的静态密码验证服务进行“跨云”组合认证,在不改变私有云服务器提供的原有静态密码验证服务的情况下,提高了VPN接入的安全性和灵活性。
在一种可选的实施方式中,当目标验证方式为多步认证时,即enableMultiStepAuth设置为true时,验证服务器对验证请求报文中验证信息的验证流程如图11所示,主要包括以下几步:
S5032_1:从对象策略中,获取VPN账号关联的验证状态属性。
其中,验证状态属性用于记录对目标对象输入的VPN账号的验证次数,当VPN账号未被验证时,验证状态属性为空,当VPN账号被验证时,验证状态属性非空。
S5032_2:确定验证状态属性是否为空,若是,则执行S5032_3,若否,则执行S5032_4。
当验证状态属性为空时,对当前的VPN账号进行首次(即第一步)认证,当验证状态属性非空时,对当前的VPN账号进行非首次认证。
S5032_3:基于对象策略所指示的对象类型,使用私有云提供的静态校验密码或公有云提供的静态校验密码,验证验证信息中的静态登陆密码,并更新验证状态属性。
在当前的VPN账号进行第一步认证时,基于对象策略中不同的对象类型,对当前的VPN账号采用不同的验证方式。第一步认证过程参见图12,主要包括以下几步:
S5032_31:确定对象策略所指示的对象类型,是否为私有云服务器对应的对象,若是,则执行S5032_32,若否,则执行S5032_33。
从对象策略中获取对象类型的取值,当userType为outter时,表示公有云服务器提供的MFA服务对应的对象,当userType为inner时,表示私有云服务器提供的静态密码验证服务对应的对象。
S5032_32:使用公有云服务器提供的静态校验密码,验证验证信息中的静态登陆密码。
当对象策略中设置对象类型为非私有云服务器的对象时,即userType为outter,此时,由公有云服务器提供的MFA服务进行VPN接入验证。
具体的,验证服务器将验证信息中目标对象输入的VPN账号的静态登陆密码,发送给公有云服务器,公有云服务器将MFA服务提供的静态校验密码与静态登陆密码进行比对,并将对比结果返回给验证服务器,以完成对静态登陆密码的验证。
S5032_33:使用私有云服务器提供的静态验证密码,验证验证信息中的静态登陆密码。
当对象策略中设置对象类型为私有云服务器的对象时,即userType为inner,此时,由私有云服务器提供的MFA服务进行VPN接入验证。
具体的,验证服务器将验证信息中目标对象输入的VPN账号的静态登陆密码,发送给私有云服务器,私有云服务器将静态密码验证服务提供的静态校验密码与静态登陆密码进行比对,并将对比结果返回给验证服务器,以完成对静态登陆密码的验证。
S5032_34:验证完成后,随机生成一个字符串作为验证状态属性的键,将VPN账号作为验证状态属性的值,并以键值对形式出入缓存中。
第一步认证完成后,验证状态属性不再为空。其中,验证状态属性的键为随机生成一个字符串,验证状态属性的值,为被验证的VPN账号,并存入缓存。
S5032_4:将验证状态属性的值与VPN账号进行比较,并基于比较结果,使用公有云提供的动态校验密码,验证验证信息中的动态登陆密码。
经过第一步认证后,验证状态属性被更新,不再为空,可直接进行第二步认证。第二步认证过程参见图13,主要包括以下几步:
S5032_41:确定验证状态属性的值与VPN账号是否一致,若是,则执行S5032_42,若否,则返回验证失败的提示信息。
基于验证状态属性的键,获取相应的值,该值为第一步认证的VPN账号,将第一步认证的VPN账号,与目标对象输入的VPN账号进行比对,确定二者是否一致,若一致,则对VPN账号对应的密码进一步验证,若不一致,则返回认证失败的提示信息。
S5032_42:使用公有云服务器提供的动态校验密码,验证验证信息中的动态登陆密码。
当第一步认证的VPN账号与目标对象输入的VPN账号为同一账号时,验证服务器将目标对象输入的VPN账号对应的动态登陆密码,发送给公有云服务器,公有云服务器将动态登陆密码,与MFA服务提供的动态校验密码进行比对,以完成验证信息中动态登陆密码的验证。
S5032_43:从应用策略中获取角色属性,并将目标对象写入角色属性。
第二步认证完成后,将从应用策略中获取角色属性,将目标对象写入角色属性,并将角色属性携带在多步认证返回的验证结果中。
在对目标对象输入的VPN账号和密码进行多步认证时,在第一步认证时,根据对象策略中对象属性所指示的对象类型,采用私有云服务器提供的静态密码验证服务、或公有云服务器提供的MFA服务,对目标对象输入的VPN账号的静态登陆密码进行验证,实现“跨云”组合认证,并将验证的VPN账号作为验证状态属性的值,这样,在第二步认证是,从缓存中获取的第一步认证的VPN账号,与目标对象输入的VPN账号进行比对,以确保两步认证的是同一VPN账号,进一步提高了VPN接入的安全性。
S504:验证服务器基于验证结果,控制虚拟专用网络服务器管理客户端对私有云服务器的访问权限。
基于应用策略中指示的目标验证方式、以及对象策略中指示的对象类型的不同,对目标对象在客户端输入的远程访问私有云服务器的VPN账号和密码的验证方式不同,获取验证结果的方式也就不同。
具体的,当使用私有云服务器提供的静态校验密码,验证目标对象输入的VPN账号的静态登陆密码时,验证服务器从私有云服务器获取验证结果,并将验证结果封装成Radius协议支持的验证结果报文发送给虚拟专用网络服务器;当使用公有云服务器提供的静态校验密码,验证目标对象输入的VPN账号的静态登陆密码时,验证服务器从公有云服务器获取验证结果,并将验证结果封装成Radius协议支持的验证结果报文发送给虚拟专用网络服务器;当使用私有云服务器提供的静态校验密码,验证目标对象输入的VPN账号的静态登陆密码,以及,使用公有云服务器提供的动态校验密码,验证目标对象输入的VPN账号的动态登陆密码时,验证服务器从私有云服务器获取第一验证结果,从公有云服务器获取第二验证结果,并将第一验证结果和第二验证结果封装成Radius协议支持的验证结果报文发送给虚拟专用网络服务器。
可选的,验证结果报文为challenge类型的报文。
虚拟专用网络服务器接收到验证结果报文后,对验证结果报文进行解析,如果验证成功,虚拟专用网络服务器允许客户端远程访问私有云服务器,如果验证失败,虚拟专用网络服务器拒绝客户端远程访问私有云服务器。
本申请实施例提供的VPN接入方法,在企业私有云提供的静态密码验证服务的基础上,添加了公有云服务器提供的MFA服务,提供了一种可配置、可组合的“跨云”多因子验证方式,提高了VPN接入方式的灵活性,有效加强VPN接入的安全性,更符合监管和审计的要求。
同时,通过配置的应用策略和对象策略,由验证服务器进行“跨云”组合多因子认证,将传统的VPN接入方式,整体切换为新的接入方式,变更代价小,操作简易。
其中,验证服务器基于应用策略和对象策略,对验证请求报文进行验证的完整流程参见图14,主要包括以下几步:
S1401:接收虚拟专用网络服务器发送的验证请求报文。
在一种示例中,虚拟专用网络服务器接收目标对象通过客户端,远程访问私有云服务器时发送的远程接入请求,该远程接入请求至少包括目标对象输入的VPN账号和密码,以及客户端的IP地址、虚拟专用网络服务器的IP地址等验证信息,虚拟专用网络服务器采用Radius协议,将验证信息封装为验证请求报文后,发送给验证服务器。
S1402:基于验证请求报文中虚拟专用网络服务器的IP地址,获取对应的应用策略。
验证服务器接收到虚拟专用网络服务器发送的验证请求报文后,通过对该报文进行解析,可以获得VPN账号、密码、客户端的IP地址和虚拟专用网络服务器的IP地址等验证信息。由于针对虚拟专用网络服务器,预先在公有云服务器提供的MFA服务器中,配置了应用ID唯一的应用策略,因此,验证服务器可以基于虚拟专用网络服务器的IP地址,获取对应的应用策略。
S1403:从应用策略中获取虚拟专用网络服务器关联的白名单。
在公有云服务器的MFA服务中,为虚拟专用网络服务器预先配置应用策略时,基于虚拟专用网络服务器允许远程访问私有云服务器的客户端的IP地址,配置了白名单。白名单中的客户端经验证服务器进行VPN接入验证后,可以远程访问私有云服务器中的资源。
S1404:确定白名单是否为空,若否,则执行S1405,若是,则执行S1406。
当白名单为空时,所有的客户端均可以远程访问私有云服务器中资源,当白名单不为空时,仅白名单中的客户端可以远程访问私有云服务器中资源。
S1405:确定验证请求报文中客户端的IP地址是否属于白名单,若是,则执行S1406,若否,则结束验证。
在一种示例中,验证服务器基于验证请求报文中解析出的客户端的IP地址,查找白名单,当解析出的客户端的IP地址存在于白名单时,表明该客户端可以远程访问私有云服务器中资源,否则,该客户端不可远程访问私有云服务器中资源,可结束VPN接入验证过程。
S1406:确定应用策略中多步认证是否开启,若否,则执行S1407,若是,则执行S1418。
当验证服务器确定当前客户端可以远程访问私有云服务器时,确定应用策略中多步认证的开关是否开启,若未开启,执行单步认证过程,若开启,执行多步认证过程。
S1407:获取对应的对象策略。
其中,对象策略中配置了对象类型、密码类型和私有云服务器提供的静态密码验证服务的ID等策略项。当对象类型userType=outter时,表示目标对象为公有云服务器提供的MFA服务对应的对象;当对象类型userType=inner时,表示目标对象为私有云提供的静态密码验证服务对应的对象。当密码类型enableDynamicPassword=false时,表示目标对象输入的密码不包含动态登陆密码,但包含静态登陆密码;当密码类型enableDynamicPassword=false时,表示目标对象输入的密码既包含动态登陆密码,也包含静态登陆密码。私有云服务器提供的静态密码验证服务的ID,用于指示静态密码验证服务的地址。
S1408:确定对象策略中对象类型是否为私有云服务器对应的对象,若是,则执行S1409,若否,则执行S1416。
针对不同类型的目标对象,采用不同的方式进行VPN接入认证。
S1409:从验证请求报文中获取目标对象输入的VPN账号和密码。
可选的,目标对象输入的密码,除了包含静态登陆密码外,还可能包含动态登陆密码。
S1410:确定密码是否包含动态登陆密码,若是,则执行S1411,若否,则执行S1414。
针对私有云服务器对应的对象,由私有云服务器仅提供静态密码验证服务,无法验证动态登陆密码,因此,需要根据目标对象输入的密码是否包含动态登陆密码来采用不同的验证方式。
S1411:确定密码的总长度是否小于预设阈值,若是,则返回验证失败的提示信息,若否,则执行S1412。
VPN账号的密码一般设有长度限制,当目标对象输入的密码小于预设阈值,表明可能输入错误,则返回认证失败的提示信息以使用户重新输入。
S1412:将密码的后N位作为动态登陆密码,其他部分作为静态登陆密码。
当目标对象输入的密码的总长度大于等于预设阈值,且包含动态登陆密码时,需要按预设规则,从目标对象输入的密码中拆分出静态登陆密码和动态登陆密码。
S1413:请求公有云服务器提供的MFA服务验证动态登陆密码。
针对私有云服务器对应的对象,且目标对象输入的密码包含动态登陆密码时,由于控制客户端对私有云服务器访问权限的虚拟专用网络服务器,预先被配置为了公有云服务器提供的MFA服务中的一个应用,因此,可借助公有云服务器提供的MFA服务,验证VPN账号的动态登陆密码。
S1414:从对象策略中获取私有云服务器提供的AD/openLADP服务的ID。
针对私有云服务器对应的对象输入的静态登陆密码,由私有云服务器提供的静态密码验证服务进行VPN接入验证。
可选的,静态密码验证服务为AD/openLADP服务。
S1415:基于AD/openLADP服务的ID,请求对应的AD/openLADP服务验证静态登陆密码。
在一种可选的实施方式中,由于对象策略中包含私有云服务器提供AD/openLADP服务的ID,因此,验证服务器可以基于该ID获取静态密码验证服务的服务地址,并将目标对象输入的VPN账号的静态登陆密码,发送给该服务地址对应的私有云服务器,由私有云服务器将对应的AD/openLADP服务提供的静态校验密码,与目标对象输入的静态登陆密码进行比对,并将比对结果发送给验证服务器,以完成对静态登陆密码的验证。
S1416:请求公有云服务器提供的MFA服务验证静态登陆密码。
在单步认证过程中,针对公有云服务器对应的对象,可直接将目标对象输入的静态登陆密码发送给公有云服务器,由公有云服务器根据MFA服务提供的静态校验密码,与目标对象输入的静态登陆密码进行比对,并将比对结果发送给验证服务器,以完成对静态登陆密码的验证。
S1417:接收验证结果报文。
在单步认证过程中,验证服务器接收的验证结果报文,包含当前VPN账号和密码验证成功或失败的结果。
S1418:获取验证状态属性。
当开启多步认证开关时,验证服务器获取验证状态属性以确认本次是否为首次认证。
S1419:确定验证状态属性是否为空,若是,则执行S1420,若否,则执行S1425。
如果验证状态属性是否为空,表明当前VPN账号的密码未被认证过,即本次是对VPN行号的密码进行首次认证;如果验证状态属性不为空,表明VPN账号的密码已经被认证过,本次为非首次认证。
S1420:确定对象策略中的对象类型,是否为私有云服务器对应的对象,若是,则执行S1421,若否,则执行S1423。
与单步认证过程相同的是,在多步认证的首次认证过程中,针对不同类型的目标对象,采用不同的方式进行VPN接入认证。
S1421:从对象策略中获取私有云服务器提供的AD/openLADP服务的ID。
与单步认证过程不同的是,在多步认证的首次认证过程中,无需判断目标对象输入的密码是否包含动态登陆密码,直接请求私有云服务器提供的AD/openLADP服务,对静态登陆密码进行验证。
S1422:基于AD/openLADP服务的ID,请求对应的AD/openLADP服务验证静态登陆密码。
其中,多步认证过程中,私有云服务器提供的AD/openLADP服务,对静态登陆密码的验证方式,与单步认证过程中,私有云服务器提供的AD/openLADP服务,对静态登陆密码的验证方式相同,具体参见S1415,在此不再重复描述。
S1423:请求公有云服务器提供的MFA服务验证静态登陆密码。
在多步认证的首次认证过程中,针对公有云服务器提供的MFA服务对应的目标对象,直接请求公有云服务器提供的MFA服务,验证目标对象输入的静态登陆密码。
S1424:随机生成一个字符串作为验证状态属性的键,将VPN账号作为验证状态属性的值,并以键值对形式出入缓存中。
首次认证完成后,针对当前验证的VPN账号,以键值对的形式进行记录,以表明当前VPN账号已经被认证过。
S1425:确定验证状态属性的值与目标对象输入的VPN账号是否一致,若是,则执行S1426,若否,则返回验证失败的提示信息。
当验证状态属性不为空时,可缓存中获取上一次认证的VPN账号,通过比较缓存中的VPN账号与目标对象输入的VPN账号,以确保多步认证的是同一VPN账号。
S1426:请求公有云服务器提供的MFA服务验证动态登陆密码。
当本次认证与首次认证的VPN账号为同一账号时,验证服务器将目标对象输入的静态登陆密码发送给公有云服务器,由公有云服务器根据MFA服务提供的静态校验密码,与目标对象输入的静态登陆密码进行比对,并将比对结果发送给验证服务器,以完成对静态登陆密码的验证。
S1427:从应用策略中获取角色属性,并将目标对象写入角色属性。
多步认证完成后,从应用策略中获取角色属性的属性名,并将当前的目标对象作为属性值赋值给对应的属性名。
S1428:接收携带角色属性的验证结果报文。
与单步认证不同的是,在多步认证过程中,验证服务器接收的验证结果报文中,除了携带VPN账号和密码的验证结果外,还携带角色属性。
S1429:将验证结果报文发送给虚拟专用网络服务器,以使虚拟专用网络服务器管理客户端对私有云服务器的访问权限。
验证服务器将单步认证或多步认证的验证结果报文,发送给虚拟专用网络服务器,虚拟专用网络服务器对验证结果报文进行解析,如果解析为验证通过,则允许客户端进行远程访问,如果解析为验证失败,则拒绝客户端进行远程访问。
基于相同的技术构思,本申请实施例提供了一种虚拟专用网络接入装置的结构示意图,该虚拟专用网络接入装置能够实现上述VPN接入方法,且能达到相同的技术效果。
参见图15,该虚拟专用网络接入装置包括接收模块1501、获取模块1502、验证模块1503和控制模块1504,其中:
接收模块1501,用于接收虚拟专用网络服务器发送的验证请求报文,验证请求报文是虚拟专用网络服务器基于客户端发送的远程接入请求生成的,至少包括客户端访问私有云服务器时,目标对象输入的虚拟专用网络账号的验证信息;
获取模块1502,用于基于验证请求报文,从公有云服务器获取预先配置的多因子验证所需的应用策略和对象策略;
验证模块1503,用于基于应用策略所指示的目标验证方式,以及对象策略所指示的对象类型,使用私有云服务器提供的校验密码和公有云服务器提供的校验密码中的至少一种,对验证信息进行虚拟专用网络接入验证;
控制模块1504,用于基于验证结果,控制虚拟专用网络服务器管理客户端对私有云服务器的访问权限。
可选的,验证信息至少包含客户端的IP地址和虚拟专用网络服务器的标识,获取模块1502具体用于:
基于虚拟专用网络服务器的标识,从公有云服务器获取多因子验证所需的对应的应用策略;
从应用策略中获取虚拟专用网络服务器关联的白名单;
若白名单为空,或者,客户端的IP地址属于白名单,则从公有云服务器获取多因子验证所需的对象策略。
可选的,当目标验证方式为单步认证时,验证模块1503具体用于:
确定对象策略所指示的对象类型,是否为私有云服务器对应的对象;
若非私有云服务器对应的对象,则使用公有云服务器提供的静态校验密码,验证验证信息中的静态登陆密码;
若为私有云服务器对应的对象,则基于验证信息包含的密码类型,使用私有云服务器提供的静态校验密码,和公有云服务器提供的动态校验密码中的至少一种,对验证信息进行虚拟专用网络接入验证。
可选的,验证模块1503具体用于:
若验证信息包含静态登陆密码和动态登陆密码,且总密码的长度小于预设阈值,则使用私有云服务器提供的静态校验密码,验证静态登陆密码,以及,使用公有云服务器提供的动态校验密码,验证动态登陆密码;
若验证信息仅包含静态登陆密码,则使用私有云服务器提供的静态校验密码,验证静态登陆密码。
可选的,当目标验证方式为多步认证时,验证模块1503具体用于:
从对象策略中,获取VPN账号关联的验证状态属性;
若验证状态属性为空,则基于对象策略所指示的对象类型,使用私有云提供的静态校验密码或公有云提供的静态校验密码,验证验证信息中的静态登陆密码,并更新验证状态属性;
若验证状态属性非空,将验证状态属性的值与VPN账号进行比较,并基于比较结果,使用公有云提供的动态校验密码,验证验证信息中的动态登陆密码。
可选的,验证模块1503具体用于:
确定对象策略所指示的对象类型,是否为私有云服务器对应的对象;
若非私有云服务器对应的对象,则使用公有云服务器提供的静态校验密码,验证验证信息中的静态登陆密码;
若为私有云服务器对应的对象,则使用私有云服务器提供的静态验证密码,验证验证信息中的静态登陆密码;
验证完成后,随机生成一个字符串作为验证状态属性的键,将VPN账号作为验证状态属性的值,并以键值对形式出入缓存中。
可选的,验证模块1503具体用于:
若验证状态属性的值与VPN账号一致,则使用公有云服务器提供的动态校验密码,验证验证信息中的动态登陆密码;
从应用策略中,获取角色属性,并将目标对象写入角色属性。
可选的,验证模块1503具体用于:
基于对象策略中私有云服务器提供的静态密码验证服务的ID,获取静态密码验证服务的服务地址;
将VPN账号对应的静态登陆密码,发送给服务地址对应的私有云服务器,以使私有云服务器将静态登陆密码与静态校验密码进行比对;
通过接收模块1501,接收私有云服务器发送的比对结果,以完成对静态登陆密码的验证。
可选的,公有云提供的动态校验密码,与客户端使用的动态登陆密码,按照预设时间周期同步更新。
本申请实施例提供的VPN接入装置,在公有云服务器中,基于客户端远程访问私有云使用的虚拟专用网络服务器,预先配置了公有云服务器MFA服务所需的应用策略和对象策略,从而在不改变私有云服务器提供的VPN验证服务基础上,添加了公有云服务器提供的MFA服务,这样,当接收到虚拟专用网络服务器发送的验证请求报文时,从公有云服务器获取MFA所需的应用策略以及对象策略,基于应用策略和对象策略,将私有云服务器提供的VPN验证方式与公有云服务器提供的MFA验证方式有序组合,形成“跨云”多因子组合策略,从而使用不同的验证方式灵活验证报文中的验证信息,提高了VPN接入的安全性。
与上述方法实施例基于同一发明构思,本申请实施例中还提供了一种电子设备。在一种实施例中,该电子设备可以是图1中的验证服务器。在该实施例中,电子设备的结构可以如图16所示,包括存储器1601,通讯模块1603以及一个或多个处理器1602。
存储器1601,用于存储处理器1602执行的计算机程序。存储器1601可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统,以及运行即时通讯功能所需的程序等;存储数据区可存储各种即时通讯信息和操作指令集等。
存储器1601可以是易失性存储器(volatile memory),例如随机存取存储器(random-access memory,RAM);存储器1601也可以是非易失性存储器(non-volatilememory),例如只读存储器,快闪存储器(flash memory),硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD);或者存储器1601是能够用于携带或存储具有指令或数据结构形式的期望的计算机程序并能够由计算机存取的任何其他介质,但不限于此。存储器1601可以是上述存储器的组合。
处理器1602,可以包括一个或多个中央处理单元(central processing unit,CPU)或者为数字处理单元等等。处理器1602,用于调用存储器1601中存储的计算机程序时实现上述VPN接入方法。
通讯模块1603用于与终端设备和其他服务器进行通信。
本申请实施例中不限定上述存储器1601、通讯模块1603和处理器1602之间的具体连接介质。本申请实施例在图16中以存储器1601和处理器1602之间通过总线1604连接,总线1604在图16中以粗线描述,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。总线1604可以分为地址总线、数据总线、控制总线等。为便于描述,图16中仅用一条粗线描述,但并不描述仅有一根总线或一种类型的总线。
存储器1601中存储有计算机存储介质,计算机存储介质中存储有计算机可执行指令,计算机可执行指令用于实现本申请实施例的VPN接入方法。处理器1602用于执行上述VPN接入方法,如图5所示。
在一些可能的实施方式中,本申请提供的VPN接入方法的各个方面还可以实现为一种程序产品的形式,其包括计算机程序,当程序产品在电子设备上运行时,计算机程序用于使电子设备执行本说明书上述描述的根据本申请各种示例性实施方式的VPN接入方法中的步骤,例如,电子设备可以执行如图5中所示的步骤。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
本申请的实施方式的程序产品可以采用便携式紧凑盘只读存储器(CD-ROM)并包括计算机程序,并可以在电子设备上运行。然而,本申请的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被命令执行系统、装置或者器件使用或者与其结合使用。
可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读计算机程序。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由命令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的计算机程序可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本申请操作的计算机程序,程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。计算机程序可以完全地在电子设备上执行、部分地在电子设备上执行、作为一个独立的软件包执行、部分在电子设备上部分在远程电子设备上执行、或者完全在远程电子设备或服务器上执行。在涉及远程电子设备的情形中,远程电子设备可以通过任意种类的网络包括局域网(LAN)或广域网(WAN)连接到电子设备,或者,可以连接到外部电子设备(例如利用因特网服务提供商来通过因特网连接)。
应当注意,尽管在上文详细描述中提及了装置的若干单元或子单元,但是这种划分仅仅是示例性的并非强制性的。实际上,根据本申请的实施方式,上文描述的两个或更多单元的特征和功能可以在一个单元中具体化。反之,上文描述的一个单元的特征和功能可以进一步划分为由多个单元来具体化。
此外,尽管在附图中以特定顺序描述了本申请方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (13)

1.一种虚拟专用网络接入方法,其特征在于,所述方法包括:
接收虚拟专用网络服务器发送的验证请求报文,所述验证请求报文是所述虚拟专用网络服务器基于客户端发送的远程接入请求生成的,至少包括所述客户端访问私有云服务器时,目标对象输入的虚拟专用网络账号的验证信息;
基于所述验证请求报文,从公有云服务器获取预先配置的多因子验证所需的应用策略和对象策略;
基于所述应用策略所指示的目标验证方式,以及所述对象策略所指示的对象类型,使用所述私有云服务器提供的校验密码和所述公有云服务器提供的校验密码中的至少一种,对所述验证信息进行虚拟专用网络接入验证;
基于验证结果,控制所述虚拟专用网络服务器管理所述客户端对所述私有云服务器的访问权限。
2.如权利要求1所述的方法,其特征在于,所述验证信息至少包含所述客户端的IP地址和所述虚拟专用网络服务器的标识,则基于所述验证请求报文,从公有云服务器获取预先配置的多因子验证所需的应用策略和对象策略,包括:
基于所述虚拟专用网络服务器的标识,从所述公有云服务器获取多因子验证所需的对应的应用策略;
从所述应用策略中获取所述虚拟专用网络服务器关联的白名单;
若所述白名单为空,或者,所述客户端的IP地址属于所述白名单,则从所述公有云服务器获取多因子验证所需的对象策略。
3.如权利要求1所述的方法,其特征在于,当所述目标验证方式为单步认证时,则所述基于所述应用策略所指示的目标验证方式,以及所述对象策略所指示的对象类型,使用所述私有云服务器提供的校验密码和所述公有云服务器提供的校验密码中的至少一种,对所述验证信息进行虚拟专用网络接入验证,包括:
确定所述对象策略所指示的对象类型,是否为所述私有云服务器对应的对象;
若非所述私有云服务器对应的对象,则使用所述公有云服务器提供的静态校验密码,验证所述验证信息中的静态登陆密码;
若为所述私有云服务器对应的对象,则基于所述验证信息包含的密码类型,使用所述私有云服务器提供的静态校验密码,和所述公有云服务器提供的动态校验密码中的至少一种,对所述验证信息进行虚拟专用网络接入验证。
4.如权利要求3所述的方法,其特征在于,所述基于所述验证信息包含的密码类型,使用所述私有云服务器提供的静态校验密码和所述公有云服务器提供的动态校验密码中的至少一种,对所述验证信息进行虚拟专用网络接入验证,包括:
若所述验证信息包含静态登陆密码和动态登陆密码,且总密码的长度小于预设阈值,则使用所述私有云服务器提供的静态校验密码,验证所述静态登陆密码,以及,使用所述公有云服务器提供的动态校验密码,验证所述动态登陆密码;
若所述验证信息仅包含静态登陆密码,则使用所述私有云服务器提供的静态校验密码,验证所述静态登陆密码。
5.如权利要求1所述的方法,其特征在于,当所述目标验证方式为多步认证时,则所述基于所述应用策略所指示的目标验证方式,以及所述对象策略所指示的对象类型,使用所述私有云服务器提供的校验密码和所述公有云服务器提供的校验密码中的至少一种,对所述验证信息进行虚拟专用网络接入验证,包括:
从所述对象策略中,获取所述虚拟专用网络账号关联的验证状态属性;
若所述验证状态属性为空,则基于所述对象策略所指示的对象类型,使用所述私有云提供的静态校验密码或所述公有云提供的静态校验密码,验证所述验证信息中的静态登陆密码,并更新所述验证状态属性;
若所述验证状态属性非空,将所述验证状态属性的值与所述虚拟专用网络账号进行比较,并基于比较结果,使用所述公有云提供的动态校验密码,验证所述验证信息中的动态登陆密码。
6.如权利要求5所述的方法,其特征在于,所述基于所述对象策略所指示的对象类型,使用所述私有云提供的静态校验密码或所述公有云提供的静态校验密码,验证所述验证信息中的静态登陆密码,并更新所述验证状态属性,包括:
确定所述对象策略所指示的对象类型,是否为所述私有云服务器对应的对象;
若非所述私有云服务器对应的对象,则使用所述公有云服务器提供的静态校验密码,验证所述验证信息中的静态登陆密码;
若为所述私有云服务器对应的对象,则使用所述私有云服务器提供的静态验证密码,验证所述验证信息中的静态登陆密码;
验证完成后,随机生成一个字符串作为所述验证状态属性的键,将所述VPN账号作为所述验证状态属性的值,并以键值对形式出入缓存中。
7.如权利要求5所述的方法,其特征在于,所述将所述验证状态属性的值与所述虚拟专用网络账号进行比较,并基于比较结果,使用所述公有云提供的动态校验密码,验证所述验证信息中的动态登陆密码,包括:
若所述验证状态属性的值与所述虚拟专用网络账号一致,则使用所述公有云服务器提供的动态校验密码,验证所述验证信息中的动态登陆密码;
从所述应用策略中,获取角色属性,并将所述目标对象写入所述角色属性。
8.如权利要求3~7中任一项所述的方法,其特征在于,所述使用所述私有云提供的静态校验密码,验证所述静态登陆密码,包括:
基于所述对象策略中所述私有云服务器提供的静态密码验证服务的ID,获取所述静态密码验证服务的服务地址;
将所述虚拟专用网络账号对应的静态登陆密码,发送给所述服务地址对应的私有云服务器,以使所述私有云服务器将所述静态登陆密码与静态校验密码进行比对;
接收所述私有云服务器发送的比对结果,以完成对所述静态登陆密码的验证。
9.如权利要求3~7中任一项所述的方法,其特征在于,所述公有云提供的动态校验密码,与所述客户端使用的动态登陆密码,按照预设时间周期同步更新。
10.一种虚拟专用网络接入装置,其特征在于,包括:
接收模块,用于接收虚拟专用网络服务器发送的验证请求报文,所述验证请求报文是所述虚拟专用网络服务器基于客户端发送的远程接入请求生成的,至少包括所述客户端访问私有云服务器时,目标对象输入的虚拟专用网络账号的验证信息;
获取模块,用于基于所述验证请求报文,从公有云服务器获取预先配置的多因子验证所需的应用策略和对象策略;
验证模块,用于基于所述应用策略所指示的目标验证方式,以及所述对象策略所指示的对象类型,使用所述私有云服务器提供的校验密码和所述公有云服务器提供的校验密码中的至少一种,对所述验证信息进行虚拟专用网络接入验证;
控制模块,用于基于验证结果,控制所述虚拟专用网络服务器管理所述客户端对所述私有云服务器的访问权限。
11.一种电子设备,其特征在于,其包括处理器和存储器,其中,所述存储器存储有计算机程序,当所述计算机程序被所述处理器执行时,使得所述处理器执行权利要求1-9中任一所述方法的步骤。
12.一种计算机可读存储介质,其特征在于,其包括计算机程序,当所述计算机程序在电子设备上运行时,所述计算机程序用于使所述电子设备执行权利要求1-9中任一所述方法的步骤。
13.一种计算机程序产品,其特征在于,包括计算机程序,所述计算机程序存储在计算机可读存储介质中;当电子设备的处理器从所述计算机可读存储介质读取所述计算机程序时,所述处理器执行所述计算机程序,使得所述电子设备执行权利要求1-9中任一所述方法的步骤。
CN202310081335.XA 2023-01-13 2023-01-13 Vpn接入方法、装置、电子设备及存储介质 Pending CN116094814A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310081335.XA CN116094814A (zh) 2023-01-13 2023-01-13 Vpn接入方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310081335.XA CN116094814A (zh) 2023-01-13 2023-01-13 Vpn接入方法、装置、电子设备及存储介质

Publications (1)

Publication Number Publication Date
CN116094814A true CN116094814A (zh) 2023-05-09

Family

ID=86202218

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310081335.XA Pending CN116094814A (zh) 2023-01-13 2023-01-13 Vpn接入方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN116094814A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116389194A (zh) * 2023-06-06 2023-07-04 天津市天河计算机技术有限公司 基于云计算平台的vpn服务生成方法、系统、设备及介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116389194A (zh) * 2023-06-06 2023-07-04 天津市天河计算机技术有限公司 基于云计算平台的vpn服务生成方法、系统、设备及介质
CN116389194B (zh) * 2023-06-06 2023-08-11 天津市天河计算机技术有限公司 基于云计算平台的vpn服务生成方法、系统、设备及介质

Similar Documents

Publication Publication Date Title
US10728235B2 (en) System and method for mobile single sign-on integration
US10057251B2 (en) Provisioning account credentials via a trusted channel
US9584515B2 (en) Enterprise system authentication and authorization via gateway
EP3162103B1 (en) Enterprise authentication via third party authentication support
US9565212B2 (en) Secure mobile framework
US9419968B1 (en) Mobile push user authentication for native client based logon
US11057364B2 (en) Single sign-on for managed mobile devices
CN113630377B (zh) 托管移动设备的单点登录
CN109635550B (zh) 集群数据的权限校验方法、网关及系统
CN111818088A (zh) 授权模式管理方法、装置、计算机设备及可读存储介质
US11765153B2 (en) Wireless LAN (WLAN) public identity federation trust architecture
CN114928460A (zh) 一种基于微服务架构的多租户应用集成框架系统
EP3834116A1 (en) System and method for accessing a data repository
CN116094814A (zh) Vpn接入方法、装置、电子设备及存储介质
CN104703183A (zh) 一种专线apn安全增强接入方法与装置
CN113489689A (zh) 访问请求的鉴权方法及装置、存储介质、电子设备
Rahman et al. Blockchain-enabled SLA compliance for crowdsourced edge-based network function virtualization
CN114866247B (zh) 一种通信方法、装置、系统、终端及服务器
CN112953892B (zh) 第三方系统的访问认证方法和装置
KR20150109233A (ko) 애플리케이션에 대한 로그인을 수행하는 방법 및 이를 위한 서버
US11212292B2 (en) Network access control authorization process chaining
CN112491893B (zh) 区块链的终端设备入网方法、装置、服务器及存储介质
US20240147231A1 (en) Validating authenticity of an application accessing a network slice
CN115374407A (zh) 业务访问方法、装置、电子设备和计算机可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination