WO2023274146A1

WO2023274146A1 - 远程接入方法、电子设备及存储介质

Info

Publication number: WO2023274146A1
Application number: PCT/CN2022/101508
Authority: WO
Inventors: 梁乾灯; 康娇
Original assignee: 华为技术有限公司
Priority date: 2021-07-01
Filing date: 2022-06-27
Publication date: 2023-01-05
Also published as: CN115567497A

Abstract

本申请实施例提供一种远程接入方法、电子设备及存储介质，涉及信息技术领域，该方法包括：与第二设备进行基于QUIC协议的会话握手，其中，所述基于QUIC协议的会话握手用于声明用于接入认证的应用层协议类型；建立与所述第二设备之间的QUIC会话；在所述已建立的QUIC会话上，使用与所述用于接入认证的应用层协议类型对应的应用层协议消息，与所述第二设备进行接入认证交互，完成在所述第二设备上的远程接入。本申请实施例提供的方法，能够提高远程接入的效率，降低网络部署的成本。

Description

远程接入方法、电子设备及存储介质

本申请要求于2021年07月01日提交中国专利局、申请号为202110741989.1、申请名称为“远程接入方法、电子设备及存储介质”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请实施例涉及信息技术领域，尤其涉及一种远程接入方法、电子设备及存储介质。

背景技术

动态主机配置协议(Dynamic Host Configuration Protocol，DHCP)是一种在网络设备和智能终端上广泛部署的一种协议，用于实现管理动态的IP地址分配及其他网络相关的配置工作，减轻TCP/IP网络的规划、管理和维护的负担，解决IP地址空间缺乏的问题。可以理解的是，上述DHCP还包括v6版本的DHCP，也就是DHCP v6。

DHCP/DHCPv6采用用户数据报协议(User Datagram Protocol，UDP)封装，客户端采用二层广播的方式在局域网内请求DHCP Server或DHCP relay/proxy设备的答复，从获得答复的DHCP设备中优选一个DHCP Server或DHCP relay/proxy设备完成DHCP的交互流程，获取到对应的IP地址。

目前，当客户端设备从本地网络远程接入到机构私网时，DHCP/DHCPv6无法直接穿越公网。通常的做法是部署虚拟专用网络(Virtual Private Network，VPN)专线，例如，在本地网络的出口接入路由器(AR)设备和机构私网的入口AR设备之间部署IPSec隧道，或者在客户端设备上部署专门的VPN客户端，以实现上述客户端设备从本地网络远程接入到机构私网。然而，上述的部署配置比较复杂，且成本较大，例如，VPN专线的部署较复杂，且成本较大，而IPSec在笔记本电脑、智能手机上实际应用比较少。

发明内容

本申请实施例提供了一种远程接入方法、电子设备及存储介质，以提供一种客户端设备远程接入到机构私网的方式，在客户端设备与机构私网之间通过基于QUIC协议的接入认证交互建立连接，由此可以提高远程接入的效率，并可以降低网络部署的成本。

第一方面，本申请实施例提供了一种远程接入方法，应用于第一设备，包括：

与第二设备进行基于QUIC协议的会话握手，其中，基于QUIC协议的会话握手用于声明用于接入认证的应用层协议类型；建立与第二设备之间的QUIC会话；在已建立的QUIC会话上，使用与用于接入认证的应用层协议类型对应的应用层协议消息，与第二设备进行接入认证交互，完成在第二设备上的远程接入。

本申请实施例中，通过在QUIC会话握手阶段声明用于接入认证的应用层协议类型，并在建立QUIC会话后，在该QUIC会话上，使用上述已声明的应用层协议消息进行远程接入交互，由此完成远程接入认证，可以提高远程接入的效率，并可以节省网络部署成本。

其中一种可能的实现方式中，上述用于接入认证的应用层协议类型包括动态主机配置协议DHCP类型及扩展认证协议EAP类型。通过声明不同类型的用于接入认证的应用层协议消息，可以提高选取的灵活性。

其中一种可能的实现方式中，上述基于QUIC协议的会话握手还用于声明用于转发的应用层协议类型。

本申请实施例中，通过在QUIC握手阶段声明用于转发的应用层协议类型，可以避免在认证后进行用于转发的应用层协议类型的声明，由此可以提高效率。

其中一种可能的实现方式中，完成在第二设备上的远程接入后，还包括：

在已建立的QUIC会话上，声明用于转发的应用层协议类型。

本申请实施例中，在认证完成后，声明用于转发的应用层协议类型，由此可以避免第一设备在未认证成功前访问第二设备的所管控的网络资源，进而可以避免产生网络安全问题。

其中一种可能的实现方式中，上述用于转发的应用层协议类型包括L2类型及L3类型。通过声明不同类型的用于转发的应用层协议消息，可以提高选取的灵活性。

其中一种可能的实现方式中，用于接入认证的应用层协议类型为DHCP类型，与第二设备进行接入认证交互包括：

向第二设备发送第一报文，其中，第一报文用于向第二设备请求分配IP地址；接收第二设备发送的第二报文，其中，第二报文包含可分配的IP地址；向第二设备发送第三报文，其中，第三报文用于确认可分配的IP地址；接收第二设备发送的第四报文，其中，第四报文包含已分配的IP地址。

其中一种可能的实现方式中，DHCP类型的应用层协议用于进行DHCP报文交互，EAP类型的应用层协议用于进行EAP报文交互，其中，

每条DHCP报文或每条EAP报文由一个或多个ALP_STREAM帧，和或一个或多个STREAM帧承载，或

每条DHCP报文或所述EAP报文由一个或多个ALP_DATAGRAM帧，和/或一个或多个DATAGRAM帧承载。

本申请实施例中，通过上述不同类型的帧(例如STREAM帧或DATAGRAM帧)承载上述报文，可以提高报文传输的灵活性。

其中一种可能的实现方式中，还包括：

向第二设备发送访问报文，其中，访问报文用于请求访问第二设备的网络资源；

接收第二设备发送的响应报文，其中，响应报文包括被第一设备请求访问的网络资源。

其中一种可能的实现方式中，上述访问报文由ALP_DATAGRAM帧和/或DATAGRAM帧承载。

本申请实施例还提供了一种远程接入方法，应用于第二设备，包括：

与第一设备进行基于QUIC协议的会话握手，其中，基于QUIC协议的会话握手用于声明用于接入认证的应用层协议类型；建立与第一设备之间的QUIC会话；在已建立的QUIC会话上，使用与用于接入认证的应用层协议类型对应的应用层协议消息，与第一设备进行接入认证交互，完成对第一设备的远程接入认证。

其中一种可能的实现方式中，用于接入认证的应用层协议类型包括动态主机配置协议DHCP类型及扩展认证协议EAP类型。

其中一种可能的实现方式中，基于QUIC协议的会话握手还用于声明用于转发的应用层协议类型。

其中一种可能的实现方式中，完成对第一设备的远程接入认证后，还包括：

在已建立的QUIC会话上，声明用于转发的应用层协议类型。

其中一种可能的实现方式中，用于转发的应用层协议类型包括L2类型及L3类型。

其中一种可能的实现方式中，用于接入认证的应用层协议类型为DHCP类型，与第一设备进行接入认证交互包括：

接收第一设备发送的第一报文，其中，第一报文用于向第二设备请求分配IP地址；向第一设备发送第二报文，其中，第二报文包含可分配的IP地址；接收第一设备发送的第三报文，其中，第三报文用于确认可分配的IP地址；向第一设备发送第四报文，其中，第四报文包含已分配的IP地址。

每条DHCP报文或每条EAP报文由一个或多个ALP_DATAGRAM帧，和/或一个或多个DATAGRAM帧承载。

其中一种可能的实现方式中，还包括：

接收第一设备发送的访问报文，其中，访问报文用于请求访问第二设备的网络资源；向第一设备发送响应报文，其中，响应报文包括被第一设备请求访问的网络资源。

其中一种可能的实现方式中，访问报文由ALP_DATAGRAM帧和/或DATAGRAM帧承载。

第二方面，本申请实施例提供一种远程接入装置，应用于第一设备，包括：

握手模块，用于与第二设备进行基于QUIC协议的会话握手，其中，基于QUIC协议的会话握手用于声明用于接入认证的应用层协议类型；

会话建立模块，用于建立与第二设备之间的QUIC会话；

接入模块，用于在已建立的QUIC会话上，使用与用于接入认证的应用层协议类型对应的应用层协议消息，与第二设备进行接入认证交互，完成在第二设备上的远程接入。

其中一种可能的实现方式中，上述握手模块还用于声明用于转发的应用层协议类型。

其中一种可能的实现方式中，上述装置还包括：

声明模块，用于在已建立的QUIC会话上，声明用于转发的应用层协议类型。

其中一种可能的实现方式中，用于接入认证的应用层协议类型为DHCP类型，上述接入模块还用于向第二设备发送第一报文，其中，第一报文用于向第二设备请求分配IP地址；

接收第二设备发送的第二报文，其中，第二报文包含可分配的IP地址；

向第二设备发送第三报文，其中，第三报文用于确认可分配的IP地址；

接收第二设备发送的第四报文，其中，第四报文包含已分配的IP地址。

其中一种可能的实现方式中，上述装置还包括：

访问模块，用于向第二设备发送访问报文，其中，访问报文用于请求访问第二设备的网络资源；

本申请实施例还提供一种远程接入装置，应用于第二设备，包括：

握手模块，用于与第一设备进行基于QUIC协议的会话握手，其中，基于QUIC协议的会话握手用于声明用于接入认证的应用层协议类型；

会话建立模块，用于建立与第一设备之间的QUIC会话；

认证模块，用于在已建立的QUIC会话上，使用与用于接入认证的应用层协议类型对应的应用层协议消息，与第一设备进行接入认证交互，完成对第一设备的远程接入认证。

其中一种可能的实现方式中，上述装置还包括：

其中一种可能的实现方式中，用于接入认证的应用层协议类型为DHCP类型，上述认证模块还用于接收第一设备发送的第一报文，其中，第一报文用于向第二设备请求分配IP地址；

向第一设备发送第二报文，其中，第二报文包含可分配的IP地址；

接收第一设备发送的第三报文，其中，第三报文用于确认可分配的IP地址；

向第一设备发送第四报文，其中，第四报文包含已分配的IP地址。

其中一种可能的实现方式中，上述装置还包括：

响应模块，用于接收第一设备发送的访问报文，其中，访问报文用于请求访问第二设备的网络资源；

向第一设备发送响应报文，其中，响应报文包括被第一设备请求访问的网络资源。

第三方面，本申请实施例提供一种第一设备，包括：

存储器，上述存储器用于存储计算机程序代码，上述计算机程序代码包括指令，当上述第一设备从上述存储器中读取上述指令，以使得上述第一设备执行以下步骤：

与第二设备进行基于QUIC协议的会话握手，其中，基于QUIC协议的会话握手用于声明用于接入认证的应用层协议类型；

建立与第二设备之间的QUIC会话；

在已建立的QUIC会话上，使用与用于接入认证的应用层协议类型对应的应用层协议消息，与第二设备进行接入认证交互，完成在第二设备上的远程接入。

其中一种可能的实现方式中，上述指令被上述第一设备执行时，使得上述第一设备执行的完成在第二设备上的远程接入的步骤之后，还执行以下步骤：

在已建立的QUIC会话上，声明用于转发的应用层协议类型。

其中一种可能的实现方式中，用于接入认证的应用层协议类型为DHCP类型，上述指令被上述第一设备执行时，使得上述第一设备执行与第二设备进行接入认证交互的步骤包括：

向第二设备发送第一报文，其中，第一报文用于向第二设备请求分配IP地址；

其中一种可能的实现方式中，上述指令被上述第一设备执行时，使得上述第一设备还执行以下步骤：

本申请实施例还提供一种第二设备，包括：

存储器，上述存储器用于存储计算机程序代码，上述计算机程序代码包括指令，当上述第二设备从上述存储器中读取上述指令，以使得上述第二设备执行以下步骤：

与第一设备进行基于QUIC协议的会话握手，其中，基于QUIC协议的会话握手用于声明用于接入认证的应用层协议类型；

建立与第一设备之间的QUIC会话；

在已建立的QUIC会话上，使用与用于接入认证的应用层协议类型对应的应用层协议消息，与第一设备进行接入认证交互，完成对第一设备的远程接入认证。

其中一种可能的实现方式中，上述指令被上述第二设备执行时，使得上述第二设备执行完成对第一设备的远程接入认证的步骤之后，还执行以下步骤：

在已建立的QUIC会话上，声明用于转发的应用层协议类型。

其中一种可能的实现方式中，用于接入认证的应用层协议类型为DHCP类型，上述指令被上述第二设备执行时，使得上述第二设备执行与所述第一设备进行接入认证交互的步骤包括：

接收第一设备发送的第一报文，其中，第一报文用于向第二设备请求分配IP地址；

其中一种可能的实现方式中，上述指令被上述第二设备执行时，使得上述第二设备还执行以下步骤：

接收第一设备发送的访问报文，其中，访问报文用于请求访问第二设备的网络资源；

第四方面，本申请实施例提供一种计算机可读存储介质，该计算机可读存储介质中存储有计算机程序，当其在计算机上运行时，使得计算机执行如第一方面所述的方法。

第五方面，本申请实施例提供一种计算机程序，当上述计算机程序被计算机执行时，用于执行第一方面所述的方法。

在一种可能的设计中，第五方面中的程序可以全部或者部分存储在与处理器封装在一起的存储介质上，也可以部分或者全部存储在不与处理器封装在一起的存储器上。

附图说明

图1a-图1c为本申请实施例提供的应用场景示意图；

图2为本申请提供的远程接入方法一个实施例的流程示意图；

图3为本申请提供的远程接入装置一个实施例的结构示意图；

图4为本申请提供的远程接入装置另一个实施例的结构示意图；

图5为本申请实施例提供的电子设备的硬件结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。其中，在本申请实施例的描述中，除非另有说明，“/”表示或的意思，例如，A/B可以表示A或B；本文中的“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。

以下，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本申请实施例的描述中，除非另有说明，“多个”的含义是两个或两个以上。

TCP/IP协议族是互联网的基础。其中，传输层协议包括传输控制协议(Transmission Control Protocol，TCP)和用户数据报协议(User Datagram Protocol，UDP)协议。与TCP协议相比，UDP更为轻量，但是错误校验也要少得多。由于在UDP协议中，客户端不经常跟服务器端通信查看数据包是否送达或者按序，这也就意味着UDP往往效率更高。但是，UDP的可靠性比不上TCP。通常，对于游戏、流媒体以及VoIP等应用均采用UDP，而对于网页、邮件、远程登录等大部分的应用均采用TCP。

DHCP/DHCPv6采用封装，客户端采用二层广播的方式在局域网内请求DHCP Server或DHCP relay/proxy设备的答复，从获得答复的DHCP设备中优选一个DHCP Server或DHCP relay/proxy设备完成DHCP的交互流程，获取到对应的IP地址。

快速UDP互联网连接(Quick UDP Internet Connection，QUIC)协议对传输层进行了多路复用：在建立了客户端到服务器之间的基本连接之后，对于每个网页元素的传输，它都单独提供一个“流”(Stream)进行数据传输，流的开启和关闭都是轻量级的，不会影响其所属连接，且流与流之间相互独立，不影响各自的传输。QUIC协议支持加密，可以提供安全的传输通道。

QUIC报文承载在UDP上。QUIC报文可以包含一个或多个STREAM帧。STREAM帧作为QUIC报文中一种特殊类型的帧，用于区分承载一个应用的不同业务流。例如，同一个业务的音视频业务流、应用文字业务流或应用层控制协议业务流。因为有确认和重传机制，所以Stream是一种可靠的传输机制。

此外，QUIC协议也包括一种承载不需要可靠性保障的传输机制，用DATAGRAM帧承载。其中，DATAGRAM帧也可以扩展增加Flow ID字段，用Flow ID标识不同的业务会话或交互请求。

为了解决上述问题，本申请实施例基于上述QUIC协议，提出了一种远程接入方法，以实现DHCP远程接入，上述远程接入方法可以应用于第一设备10及第二设备20。示例性的，该第一设备10可以是客户端设备，该客户端设备可以包括但不限于手机、平板电脑(pad)、带收发功能的电脑、虚拟现实(Virtual Reality，VR)终端设备、增强现实(Augmented Reality，AR)终端设备、工业控制(Industrial Control)中的无线终端、无人驾驶(Self Driving)中的无线终端、远程医疗(Remote Medical)中的无线终端、智能电网(Smart Grid)中的无线终端、运输安全(Transportation Safety)中的无线终端、智慧城市(Smart City)中的无线终端、智慧家庭(Smart Home)中的无线终端、可穿戴设备、车载设备和网络设备，其中，该网络设备可以包括但不限于例如三层交换机、路由器、宽带网关、防火墙、负载均衡器等设备。该第二设备20可以是服务器。该服务器可以为客户端设备提供服务，例如，可以向客户端设备提供资源以及保存客户端数据等。

图1a-图1c为上述远程接入方法的三个应用场景。

图1a为应用场景1的架构示意图。如图1a所示，上述应用场景1包括第一设备10、第二设备20及第三设备30。其中，该第一设备10为客户端设备，第二设备20 为DHCP服务器，第三设备30为DHCP relay或DHCP proxy。第一设备10与第三设备30之间是DHCP连接，第二设备20与第三设备30之间是基于QUIC协议的DHCP协议交互。因此，该第三设备30可以是与第一设备10处于同一本地网络的接入路由器设备。通过第一设备10与第三设备30之间建立本地的DHCP连接，并通过第三设备30与第二设备20之间建立QUIC会话，由此可以提供安全、可靠的三层隧道，进而可以跨越公网，以实现远程接入，并可以防止DHCP报文中传递的私网设备网络配置信息被中间设备侦听。

图1b为应用场景2的架构示意图。如图1b所示，上述应用场景2包括第一设备10、第二设备20及第三设备30。其中，该第一设备10为客户端设备，第二设备20为DHCP服务器，第三设备30为DHCP relay或DHCP proxy。第二设备20与第三设备30之间是DHCP连接，第二设备20与第一设备10之间是基于QUIC协议的DHCP协议交互。因此，该第三设备30可以是与第二设备20处于同一外部网络的设备。通过第二设备20与第三设备30之间建立本地的DHCP连接，并通过第三设备30与第一设备10之间建立QUIC会话，由此可以提供安全、可靠的三层隧道，进而可以跨越公网，以实现远程接入，并可以防止DHCP报文中传递的私网设备网络配置信息被中间设备侦听。

图1c为应用场景3的架构示意图。如图1c所示，上述应用场景3包括第一设备10及第二设备20。其中，该第一设备10为客户端设备，第二设备20为DHCP服务器。第二设备20与第一设备10之间是基于QUIC协议的DHCP协议交互。通过第二设备20与第一设备10之间建立QUIC会话，由此可以提供安全、可靠的三层隧道，进而可以跨越公网，以实现远程接入，并可以防止DHCP报文中传递的私网设备网络配置信息被中间设备侦听。

接着，以第一设备10通过DHCP交互的方式远程接入第二设备20所在的机构私网为例进行说明。

图2为本申请实施例提供的远程接入方法一个实施例的流程示意图，包括：

步骤201，第一设备10向第二设备20发送远程接入请求，用于建立与第二设备20之间的QUIC会话。

具体地，用户可以在第一设备10上进行操作，示例性的，用户可以在第一设备10上配置用于接入认证的应用层协议类型，并可以根据配置的用于接入认证的应用层协议类型发起远程接入认证，也就是说，第一设备10可以采用基于QUIC协议的接入认证交互的方式完成远程接入认证。响应于用户的操作，第一设备10可以向第二设备20发送远程接入请求，以和第二设备20建立QUIC会话，实现远程接入到第二设备20所在的机构私网。

此外，用户还可以在第一设备上配置用于转发的应用层协议类型。其中，用于转发的应用层协议类型可以用于在接入认证成功后，对应用层协议消息进行转发。其中，该应用层协议消息可以是与上述应用层协议类型对应的数据报文。

其中，在本申请实施例中，上述用于接入认证的应用层协议类型可以包括DHCP类型及扩展认证协议(Extensible Authentication Protocol，EAP)类型。示例性的，上述DHCP类型可以包括DHCP over Quic及DHCPv6 over Quic。其中，DHCP over Quic 用于表征基于QUIC协议的DHCP交互，DHCPv6 over Quic用于表征基于QUIC协议的DHCPv6交互。在具体实现时，可以通过字符串“dhcpoq”标识DHCP over Quic，通过字符串“dhcpv6oq”标识DHCP over Quic。

上述用于转发的应用层协议类型可以包括L2类型及L3类型。上述L2类型可以包括ethernet over Quic，其中，ethernet over Quic用于表征基于QUIC协议的ethernet交互。在具体实现时，可以通过字符串“ethoq”标识ethernet over Quic。上述L3类型可以包括IPv4 over Quic及IPv6 over Quic。其中，IPv4 over Quic用于表征基于QUIC协议的IPv4交互，Ipv6 over Quic用于表征基于QUIC协议的Ipv6交互。在具体实现时，可以通过字符串“ipv4oq”标识IPv4 over Quic，通过字符串“ipv6oq”标识Ipv6 over Quic。上述字符串可以在应用层协议协商(Application Layer Protocol Negotiation，ALPN)协议的注册表中创建。

可以理解的是，上述第一设备10向第二设备20发送远程接入请求后，第二设备20可以与第一设备10之间进行基于QUIC协议的会话握手，以在第一设备10与第二设备20之间建立QUIC会话。上述基于QUIC协议的握手过程可以包括第一设备10与第二设备20之间的多次交互过程，上述基于QUIC协议的握手过程可以完成鉴权、能力协商及密钥交互，具体可以参考QUIC协议，在此不再赘述。其中，上述能力协商可以用于完成第一设备10与第二设备20之间的应用层协议类型的声明。

可选地，上述基于QUIC协议的握手可以由首个DHCP Discovery报文或DHCPv6的SOLICIT报文触发，也可以由其他承载在QUIC会话上的应用协议会话建立请求触发，然后，DHCP或DHCPv6可以复用该QUIC会话来完成DHCP或DHCPv6协议交互。

需要说明的是，在上述基于QUIC协议的会话握手过程中，第一设备10与第二设备20可以通过应用层协议协商(Application Layer Protocol Negotiation，ALPN)声明支持的承载的应用层协议类型，其中，上述声明的应用层协议类型可以包括用于接入认证的应用层协议类型。也就是说，通过声明上述应用层协议类型，可以声明支持承载的应用层协议消息。示例性的，“dhcpoq”的协议类型可以用于声明上述QUIC会话支持传输与“dhcpoq”对应的应用层协议消息，例如DHCP报文；“dhcpoqv6”的协议类型可以用于声明上述QUIC会话支持传输与“dhcpoqv6”对应的应用层协议消息，例如DHCPv6报文。

可选地，上述声明的应用层协议类型还可以包括用于转发的应用层协议类型。示例性的，“ethoq”的协议类型可以用于声明上述QUIC会话支持传输与“ethoq”对应的应用层协议消息，例如ethernet报文；“ipv4oq”的协议类型可以用于声明上述QUIC会话支持传输与“IPv4”对应的应用层协议消息，例如IPv4报文；“ipv6oq”的协议类型可以用于声明上述QUIC会话支持传输与“ipv6oq”对应的应用层协议消息，例如Ipv6报文。

其中，DHCP报文或DHCPv6报文可以通过STREAM帧或DATAGRAM帧承载，ethernet报文、IPv4报文或IPv6报文可以通过DATAGRAM帧承载

可选地，上述DHCP报文或DHCPv6报文还可以通过ALP_STREAM帧或ALP_DATAGRAM帧承载，上述ethernet报文、IPv4报文或IPv6报文也可以通过 ALP_DATAGRAM帧承载。其中，该ALP_STREAM帧比STREAM帧多一个ALP域，ALP_DATAGRAM帧比DATAGRAM帧多一个ALP域。其中，该ALP域用于表征应用层协议类型。

可以理解的是，当通过ALP_STREAM帧和/或STREAM帧承载上述DHCP报文或DHCPv6报文时，一个DHCP报文或DHCPv6报文可以由一个或多个ALP_STREAM帧，和/或一个或多个STREAM帧承载。

此外，上述声明支持的应用层协议类型可以是一个或多个。示例性的，上述声明支持的应用层协议类型可以是DHCP over Quic或DHCPv6 over Quic，也可以是ethernet over Quic、IPv4 over Quic或IPv6。也就是说，当上述声明支持的应用层协议类型为DHCP over Quic或DHCPv6 over Quic时，可以通过ALP_STREAM帧和/或STREAM帧、或ALP_DATAGRAM帧和/或DATAGRAM帧承载DHCP报文或DHCPv6报文。当上述声明支持的应用层协议类型为ethernet over Quic、IPv4 over Quic或IPv6 over Quic时，可以通过ethernet报文、IPv4报文或IPv6报文间接承载上述DHCP报文或DHCPv6报文以及其他协议报文。

示例性的，以第一设备10发送DHCP报文以及申请IPv4地址为例，此时，声明支持的应用层协议类型可以是IPv4 over Quic。第一设备10可以创建ALP_DATAGRAM和/或DATAGRAM帧，该ALP_DATAGRAM和/或DATAGRAM帧帧承载的是IPv4报文，可以理解的是，该IPv4报文可以包含IPv4头和载荷，该载荷可以是带UDP头的DHCP报文，由此可以实现通过IPv4报文间接承载DHCP报文。可以理解的是，该载荷也可以是其他协议报文，例如带TCP头的HTTP报文。

接着，以第一设备10发送DHCPv6报文以及申请IPv6地址为例，此时，声明支持的应用层协议类型可以是IPv6 over Quic。第一设备10可以创建ALP_DATAGRAM和/或DATAGRAM帧，该DATAGRAM帧承载的是IPv6报文，可以理解的是，该IPv6报文可以包含IPv6头和载荷，该载荷可以是DHCPv6报文，由此可以实现通过IPv6报文间接承载DHCPv6报文。可以理解的是，该载荷也可以是其他协议报文，例如HTTP报文。

进一步地，以第一设备10发送DHCP报文或DHCPv6报文为例，此时，声明支持的应用层协议类型可以是ethernet over Quic。第一设备10可以创建ALP_DATAGRAM和/或DATAGRAM帧，该ALP_DATAGRAM和/或DATAGRAM帧承载的是ethernet报文。可以理解的是，该ethernet报文可以包含ethernet头、IP头和载荷，该载荷可以是带UDP头的DHCP或DHCPv6报文，由此可以实现通过ethernet报文间接承载DHCP或DHCPv6报文。该载荷可以是其他协议报文，例如带TCP头的HTTP报文。可以理解的是，上述IP头可以是IPv4头或IPv6头，上述IP头的类型可以根据第一设备10申请的IP地址的类型确定。

可选地，上述L2类型的应用层协议(例如，ethernet over Quic)及L3类型的应用层协议(例如，IPv4 over Quic或IPv6 over Quic)的声明可以在上述基于QUIC协议的握手过程中完成，也可以在已建立的QUIC会话中通过第一设备10与第二设备20之间的再次能力协商完成，也就是说，第一设备10可以在接入认证完成后，在已建立的QUIC会话中继续声明支持的L2和/或L3类型的应用层协议，用于通知第二设备20支持的L2和/或L3类型的应用层协议，本申请实施例对上述QUIC会话的应用层协议类型的声明时刻不作特殊限定。

步骤202，第一设备10向第二设备20发送第一报文，用于请求分配IP地址。

具体地，当第一设备10与第二设备20建立QUIC会话后，第一设备10可以向第二设备20发送第一报文(应用层协议消息)。其中，该第一报文可以是DHCP Discovery报文，示例性的，在承载DHCP报文时，上述第一报文可以是DHCP Discovery报文。该第一报文也可以是SOLICIT报文，示例性的，在承载DHCPv6报文时，上述第一报文可以是SOLICIT报文。

在具体实现时，第一设备10可以创建一个ID为X的双向Stream及第一报文。其中，该X可以为预设的整数(例如，X为16)。该双向Stream传输ALP_STREAM帧和/或STREAM帧，该ALP_STREAM帧和/或STREAM帧可以用于承载上述第一报文。该第一报文用于请求第二设备20给第一设备10分配IP地址，该IP地址是机构私网的IP地址。

可以理解的是，一个ALP_STREAM帧或STREAM帧的载荷通常较小，可能不足以承载一个携带较大载荷的第一报文，因此，可以将上述第一报文根据一个ALP_STREAM帧或STREAM帧的最大载荷分割成多个子报文，每个第一报文的子报文通过一个ALP_STREAM帧或STREAM帧承载，并可以在第二设备20处将上述多个第一报文的子报文进行重组，由此还原出第一报文。也就是说，上述第一报文可以由一个或多个ALP_STREAM帧，和或一个或多个STREAM帧承载。

可选地，第一设备10在向第二设备20发送Stream数据时，上述Stream中的首个帧可以为ALP_STREAM帧。该ALP_STREAM帧中可以包含Stream ID的数值(例如，该数值为16)及其承载的应用层协议类型的标识(例如，该标识为dhcpoq)，用于通知第二设备20该Stream ID对应的Stream承载的是DHCP报文。也就是说，第一设备10后续可以发送同一Stream ID对应的STREAM帧时，可以不用继续发送ALP_STREAM帧，由此可以使得第二设备20在后续收到该Stream ID对应的STREAM帧时，可以马上识别出该Stream ID对应的STREAM帧承载的是DHCP报文。

需要说明的是，上述示例仅示意性的示出了通过ALP_STREAM帧或STREAM帧承载第一报文的方式，并不构成对本申请实施例的限定。在一些实施例中，也可以通过ALP_DATAGRAM帧或DATAGRAM帧承载上述第一报文，也就是说，上述第一报文可以由一个或多个ALP_DATAGRAM帧，和/或一个或多个DATAGRAM帧承载。为说明方便，下文以ALP_STREAM帧或STREAM帧承载其他应用层协议消息(例如，第二报文、第三报文及第四报文)为例进行说明，但并不限于通过ALP_STREAM帧或STREAM帧承载上述第二报文、第三报文及第四报文。

步骤203，第二设备20对第一报文进行解析，并根据解析结果向第一设备10发送第二报文，用于提供可分配的IP地址。

具体地，当第二设备20接收到第一设备10发送的第一报文后，可以对上述第一报文进行解析，由此可以根据解析结果提供可分配的IP地址。在具体实现时，上述第二设备20接收第一报文的方式可以是从一个ALP_STREAM帧或STREAM帧中获取第一报文，也可以是从一组ALP_STREAM帧或STREAM帧中获取第一报文的子报文，并将多个第一报文的子报文重组成第一报文。

示例性的，若通过对上述第一报文(例如，该第一报文是DHCP Discovery报文)解析获知第一设备10请求的是IPv4地址，则第二设备可以提供可分配的IPv4地址；若通过对上述第一报文(例如，该第一报文是SOLICIT报文)解析获知第一设备10请求的是IPv6地址，则第二设备可以提供可分配的IPv6地址。

接着，第二设备20在根据上述第一报文携带的第一设备10的用户认证信息在本地认证、授权和计费(Authentication、Authorization and Accounting，AAA)模块和远程AAA服务器上认证通过后，可以创建第二报文(应用层协议消息)，并可以将上述第二报文封装到ID为X的ALP_STREAM帧和/或STREAM帧中，其中，上述第二报文可以包含可分配的IP地址。然后，第二设备20可以将上述ID为X的ALP_STREAM帧和/或STREAM帧发送给第一设备10。

可以理解的是，若上述第一报文是DHCP Discovery报文，则第二报文为DHCP Offer报文。若上述第一报文是DHCPv6的SOLICIT报文，则第二报文为DHCPv6的ADVERTISE报文。

需要说明的是，上述第二报文也可以分割成多个第二报文的子报文，每个第二报文的子报文可以通过一个ALP_STREAM帧或STREAM帧承载，由此可以使得在第一设备10处将上述多个第二报文的子报文进行重组，进而在第一设备10处还原出第二报文。

步骤204，第一设备10对第二报文进行解析，根据解析结果向第二设备20发送第三报文，以确认分配的IP地址。

具体地，当第一设备10接收到第二设备20发送的第二报文后，可以对上述第二报文进行解析，由此可以得到上述第二报文携带的由第二设备20分配的IP地址。接着，第一设备10可以根据该分配的IP地址创建第三报文(应用层协议消息)。该第三报文可以用于向第二设备20确认使用上述分配的IP地址。然后，第一设备10可以将上述第三报文封装在ID为X的ALP_STREAM帧和/或STREAM帧中，并可以将该ALP_STREAM帧和/或STREAM帧发送给第二设备20。

可以理解的是，若上述第二报文是DHCP Offer报文，则第三报文为DHCP Request报文。若上述第二报文是DHCPv6的ADVERTISE报文，则第三报文为DHCPv6的REQUEST报文。

需要说明的是，上述第三报文也可以分割成多个第三报文的子报文，每个第三报文的子报文可以通过一个ALP_STREAM帧或STREAM帧承载，由此可以使得在第二设备20处将上述多个第三报文的子报文进行重组，进而在第二设备20处还原出第三报文。

步骤205，第二设备20对第三报文进行解析，根据解析结果向第一设备10发送第四报文，以确认分配IP地址。

具体地，当第二设备20接收到第一设备10发送的第三报文后，可以对上述第三报文进行解析，由此可以得到上述第三报文中对第二设备20分配的IP地址的确认信息。接着，第二设备20可以将上述IP地址分配给第一设备10使用，并可以根据上述确认信息创建第四报文(应用层协议消息)，该第四报文可以用于通知第一设备10，上述IP地址已经确认分配给第一设备10。然后，第二设备20可以将上述第四报文封装在ID为X的ALP_STREAM帧和/或STREAM帧中，并可以将该ALP_STREAM帧和/或STREAM帧发送给第一设备10。

可以理解的是，若上述第三报文是DHCP Request报文，则第四报文可以是DHCP Ack报文，此时，DHCP Request报文中携带的是对第二设备20分配的IPv4地址的确认信息。若上述第三报文是DHCPv6的REQUEST报文，则第四报文为DHCPv6的REPLY报文，此时，DREQUES报文中携带的是对第二设备20分配的IPv6地址的确认信息。

需要说明的是，上述第四报文也可以分割成多个第四报文的子报文，每个第四报文的子报文可以通过一个ALP_STREAM帧或STREAM帧承载，由此可以使得在第一设备10处将上述多个第四报文的子报文进行重组，进而在第一设备10处还原出第四报文。

步骤206，第一设备10对第四报文进行解析，根据解析结果确定IP地址，以完成与第二设备20之间的DHCP交互。

具体地，当第一设备10接收到第二设备20发送的第四报文后，可以对上述第四报文进行解析，由此可以得到上述第四报文中第二设备20确认分配该IP地址的信息。接着，第一设备10可以使用该IP地址，由此可以完成与第二设备20之间的DHCP交互，也就是完成了该第一设备10在第二设备20上的远程接入认证。可见，通过上述应用层协议消息的交互(例如，第一报文、第二报文、第三报文及第四报文)，可以实现第一设备10在第二设备20上的远程接入认证。

可选地，如果在上述QUIC协议的握手阶段没有协商好支持L2或L3类型应用层协议，第一设备10收到第二设备20发送的上述第四报文后，可以动态触发QUIC协议模块。示例性的，第一设备10可以在上述已建立的QUIC会话上发送NEW_ALP帧给第二设备20，该NEW_ALP帧可以用于与第二设备20协商支持L2或L3类型的应用层协议。由于在上述方式中，上述协商L2或L3类型的应用层协议的步骤是在认证成功之后执行，因此，可以避免第一设备10在未认证成功前访问第二设备20的所管控的网络资源，进而可以避免产生网络安全问题。

步骤207，第一设备10基于L2或L3类型的应用层协议向第二设备20发送第五报文，以访问第二设备20所在的网络上的资源。

具体地，当第一设备10完成在第二设备20上的远程接入后，可以进一步对第二设备20进行远程访问，也就是说，第一设备10可以对第二设备20所管控的网络资源进行访问。

在具体实现时，第一设备10可以创建用于进行远程访问的访问报文(为说明方便，下文将上述“用于进行远程访问的访问报文”简称为“第五报文”)，该第五报文可以通过ALP_DATAGRAM帧或DATAGRAM帧承载。示例性的，第一设备10可以创建DATAGRAM flow，该DATAGRAM flow可以包括多个ALP_DATAGRAM帧或多个DATAGRAM帧，其中，每个ALP_DATAGRAM帧或DATAGRAM帧可以包括flow ID，该flow ID用于标识DATAGRAM flow的身份。

接着，第一设备10可以将上述第五报文封装到ALP_DATAGRAM帧或 DATAGRAM帧中，其中，该ALP_DATAGRAM帧可以包括ALP域，该ALP域可以用于标识应用层协议类型(例如，该应用层协议类型可以是ipv4oq)。

步骤208，第二设备20向第一设备10发送第六报文，以完成第一设备10对第二设备20的访问。

具体地，第二设备20接收到第一设备10发送的ALP_DATAGRAM帧或DATAGRAM帧后，可以获取上述ALP_DATAGRAM帧或DATAGRAM帧中的第五报文(访问报文)，并可以根据该第五报文中的路由信息转发给上层或第二设备20所在网络的其他网络设备(例如，内网资源服务器)。可以理解的是，上述路由信息可以用于表征IP路由，因此，上述第二设备20中的上层可以是L3(例如，IP层)以上的协议层。

接着，当上述第二设备20中的上层或其他网络设备接收到上述第五报文后，可以根据该第五报文生成对应的第六报文。其中，该第六报文可以是响应报文，也就是说，该第六报文可以是对上述第五报文的响应，该第六报文中可以包括第一设备10想要访问的资源。然后，第二设备20可以将上述第六报文发送给第一设备10。可以理解的是，若上述第二设备20中的上层生成对应的第六报文，则可以直接由第二设备20将上述第六报文发送给第一设备10；若其他网络设备生成对应的第六报文，则该其他网络设备将上述第六报文发送给第二设备20，并可以由第二设备20转发给第一设备10。

在具体实现时，上述第二设备20发送第六报文的方式可以是，将上述第六报文封装到ALP_DATAGRAM帧或DATAGRAM帧中，并可以将上述ALP_DATAGRAM帧或DATAGRAM帧发送给第一设备10。

步骤209，第一设备10接收并解析第二设备20发送的第六报文，获取第六报文中的资源信息。

具体地，第一设备10可以接收第二设备20发送的ALP_DATAGRAM帧或DATAGRAM帧，并可以从上述ALP_DATAGRAM帧或DATAGRAM帧中获取第六报文。接着，第一设备10可以对上述第六报文进行解析，示例性的，第一设备10可以对上述第六报文中的IP头及传输协议头进行解析，以获得上述第六报文中的载荷，上述第六报文中的载荷即为第一设备10访问的资源，由此可以实现第一设备10对第二设备20所在的私网的资源的访问。

可以理解的是，上述步骤201-步骤206描述了通过基于QUIC协议的DHCP交互申请IP地址的场景。同样地，上述步骤201-步骤206的方式也适用于IP地址续租的场景，例如，用于IP地址续租的报文可以承载在基于QUIC协议的STREAM帧或DATAGRAM帧上，也可以承载在基于QUIC协议的ALP_STREAM帧或ALP_DATAGRAM帧上，具体过程可以参考上述步骤201-步骤206，在此不再赘述。

本申请实施例中，第一设备10通过基于QUIC协议的DHCP交互向第二设备20申请IP地址，由此可以实现简单高效的远程接入认证，并可以节省由于铺设VPN专线或部署专门的VPN客户端导致的大量成本。

可以理解的是，上述实施例仅示例性的示出了第一设备10与第二设备20交互的过程，也可以通过第一设备10经第三设备30中转后与第二设备20进行交互。

此外，上面实施例中，步骤201-步骤209均为可选步骤，本申请只提供一种可行的实施例，还可以包括比步骤201-步骤209更多或更少的步骤，本申请对此不做限定。

需要说明的是，上述示例仅示例性的示出了DHCP类型的接入认证方式，并不构成对本申请实施例的限定，在一些实施例中，上述接入认证类型还可以包括EAP类型(例如，EAP over Quic)，示例性的，可以通过字符串“eapoq”表征上述EAP类型的接入认证协议。其中，“eapoq”的协议类型可以支持扩展认证协议(Extensible Authentication Protocol，EAP)报文。也就是说，将第二设备20作为认证点，第一设备10可以通过QUIC会话的一个或多个ALP_STREAM帧，和或一个或多个STREAM帧承载承载EAP报文。可选地，第一设备10也可以通过QUIC会话的一个或多个ALP_DATAGRAM帧，和/或一个或多个DATAGRAM帧承载EAP报文，由此可以和第二设备20完成接入认证交互，然后再通过ALP_DATAGRAM帧或DATAGRAM帧承载L2类型或L3类型报文进行上述实施例中私网IP地址的申请和私网网络资源的访问。

图3为本申请远程接入装置一个实施例的结构示意图，如图3所示，上述远程接入装置300应用与第一设备10，可以包括：握手模块310、会话建立模块320及接入模块330；其中，

握手模块310，用于与第二设备进行基于QUIC协议的会话握手，其中，基于QUIC协议的会话握手用于声明用于接入认证的应用层协议类型；

会话建立模块320，用于建立与第二设备之间的QUIC会话；

接入模块330，用于在已建立的QUIC会话上，使用与用于接入认证的应用层协议类型对应的应用层协议消息，与第二设备进行接入认证交互，完成在第二设备上的远程接入。

其中一种可能的实现方式中，上述握手模块310还用于声明用于转发的应用层协议类型。

其中一种可能的实现方式中，上述装置300还包括：

声明模块340，用于在已建立的QUIC会话上，声明用于转发的应用层协议类型。

其中一种可能的实现方式中，用于接入认证的应用层协议类型为DHCP类型，上述接入模块330还用于向第二设备发送第一报文，其中，第一报文用于向第二设备请求分配IP地址；

其中一种可能的实现方式中，上述装置300还包括：

访问模块350，用于向第二设备发送访问报文，其中，访问报文用于请求访问第二设备的网络资源；

图4为本申请远程接入装置另一个实施例的结构示意图，如图4所示，上述远程接入装置400应用于第二设备20，可以包括：握手模块410、会话建立模块420及认证模块430；其中，

握手模块410，用于与第一设备进行基于QUIC协议的会话握手，其中，基于QUIC协议的会话握手用于声明用于接入认证的应用层协议类型；

会话建立模块420，用于建立与第一设备之间的QUIC会话；

认证模块430，用于在已建立的QUIC会话上，使用与用于接入认证的应用层协议类型对应的应用层协议消息，与第一设备进行接入认证交互，完成对第一设备的远程接入认证。

其中一种可能的实现方式中，上述握手模块410还用于声明用于转发的应用层协议类型。

其中一种可能的实现方式中，上述装置400还包括：

声明模块440，用于在已建立的QUIC会话上，声明用于转发的应用层协议类型。

其中一种可能的实现方式中，用于接入认证的应用层协议类型为DHCP类型，上述认证模块430还用于接收第一设备发送的第一报文，其中，第一报文用于向第二设备请求分配IP地址；

其中一种可能的实现方式中，上述装置400还包括：

响应模块450，用于接收第一设备发送的访问报文，其中，访问报文用于请求访问第二设备的网络资源；

图3和图4所示实施例提供的远程接入装置300及远程接入装置400可用于执行本申请图1和图2所示方法实施例的技术方案，其实现原理和技术效果可以进一步参考方法实施例中的相关描述。

应理解以上图3和图4所示的远程接入装置的各个模块的划分仅仅是一种逻辑功能的划分，实际实现时可以全部或部分集成到一个物理实体上，也可以物理上分开。且这些模块可以全部以软件通过处理元件调用的形式实现；也可以全部以硬件的形式实现；还可以部分模块以软件通过处理元件调用的形式实现，部分模块通过硬件的形式实现。例如，检测模块可以为单独设立的处理元件，也可以集成在电子设备的某一个芯片中实现。其它模块的实现与之类似。此外这些模块全部或部分可以集成在一起，也可以独立实现。在实现过程中，上述方法的各步骤或以上各个模块可以通过处理器元件中的硬件的集成逻辑电路或者软件形式的指令完成。

例如，以上这些模块可以是被配置成实施以上方法的一个或多个集成电路，例如：一个或多个特定集成电路(Application Specific Integrated Circuit；以下简称：ASIC)，或，一个或多个微处理器(Digital Signal Processor；以下简称：DSP)，或，一个或者多个现场可编程门阵列(Field Programmable Gate Array；以下简称：FPGA)等。再如，这些模块可以集成在一起，以片上系统(System-On-a-Chip；以下简称：SOC)的形式实现。

下面结合图5进一步介绍本申请以下实施例中提供的示例性电子设备。图5示出了电子设备500的结构示意图，该电子设备500可以是上述第一设备10或第二设备20。

上述电子设备500可以包括：至少一个处理器；以及与上述处理器通信连接的至少一个存储器，其中：上述存储器存储有可被上述处理器执行的程序指令，处理器调用上述程序指令能够执行本申请图1和图2所示实施例提供的远程接入方法。

图5示出了适用于实现本申请实施方式的示例性电子设备500的框图。图5显示的电子设备500仅仅是一个示例，不应对本申请实施例的功能和使用范围带来任何限制。

如图5所示，电子设备500以通用计算设备的形式表现。电子设备500的组件可以包括但不限于：一个或者多个处理器510，存储器520，连接不同系统组件(包括存储器520和处理器510)的通信总线540以及通信接口530。

通信总线540表示几类总线结构中的一种或多种，包括存储器总线或者存储器控制器，外围总线，图形加速端口，处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说，这些体系结构包括但不限于工业标准体系结构(Industry Standard Architecture；以下简称：ISA)总线，微通道体系结构(Micro Channel Architecture；以下简称：MAC)总线，增强型ISA总线、视频电子标准协会(Video Electronics Standards Association；以下简称：VESA)局域总线以及外围组件互连(Peripheral Component Interconnection；以下简称：PCI)总线。

电子设备500典型地包括多种计算机系统可读介质。这些介质可以是任何能够被电子设备访问的可用介质，包括易失性和非易失性介质，可移动的和不可移动的介质。

存储器520可以包括易失性存储器形式的计算机系统可读介质，例如随机存取存储器(Random Access Memory；以下简称：RAM)和/或高速缓存存储器。电子设备可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。尽管图5中未示出，可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器，以及对可移动非易失性光盘(例如：光盘只读存储器(Compact Disc Read Only Memory；以下简称：CD-ROM)、数字多功能只读光盘(Digital Video Disc Read Only Memory；以下简称：DVD-ROM)或者其它光介质)读写的光盘驱动器。在这些情况下，每个驱动器可以通过一个或者多个数据介质接口与通信总线540相连。存储器520可以包括至少一个程序产品，该程序产品具有一组(例如至少一个)程序模块，这些程序模块被配置以执行本申请各实施例的功能。

具有一组(至少一个)程序模块的程序/实用工具，可以存储在存储器520中，这样的程序模块包括——但不限于——操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块通常执行本申请所描述的实施例中的功能和/或方法。

电子设备500也可以与一个或多个外部设备(例如键盘、指向设备、显示器等)通信，还可与一个或者多个使得用户能与该电子设备交互的设备通信，和/或与使得该电子设备能与一个或多个其它计算设备进行通信的任何设备(例如网卡，调制解调器等等)通信。这种通信可以通过通信接口530进行。并且，电子设备500还可以通过网络适配器(图5中未示出)与一个或者多个网络(例如局域网(Local Area Network；以下简称：LAN)，广域网(Wide Area Network；以下简称：WAN)和/或公共网络，例如因特网)通信，上述网络适配器可以通过通信总线540与电子设备的其它模块通信。应当明白，尽管图5中未示出，可以结合电子设备500使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、磁盘阵列(Redundant Arrays of Independent Drives；以下简称：RAID)系统、磁带驱动器以及数据备份存储系统等。

处理器510通过运行存储在存储器520中的程序，从而执行各种功能应用以及数据处理，例如实现本申请实施例提供的远程接入方法。

可以理解的是，本申请实施例示意的各模块间的接口连接关系，只是示意性说明，并不构成对电子设备500的结构限定。在本申请另一些实施例中，电子设备500也可以采用上述实施例中不同的接口连接方式，或多种接口连接方式的组合。

可以理解的是，上述电子设备等为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本申请实施例能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请实施例的范围。

本申请实施例可以根据上述方法示例对上述电子设备等进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请实施例各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：快闪存储器、移动硬盘、只读存储器、随机存取存储器、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何在本申请揭露的技术范围内的变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

一种远程接入方法，应用于第一设备，其特征在于，所述方法包括：

与第二设备进行基于QUIC协议的会话握手，其中，所述基于QUIC协议的会话握手用于声明用于接入认证的应用层协议类型；

建立与所述第二设备之间的QUIC会话；

在所述已建立的QUIC会话上，使用与所述用于接入认证的应用层协议类型对应的应用层协议消息，与所述第二设备进行接入认证交互，完成在所述第二设备上的远程接入。
根据权利要求1所述的方法，其特征在于，所述用于接入认证的应用层协议类型包括动态主机配置协议DHCP类型及扩展认证协议EAP类型。
根据权利要求1或2所述的方法，其特征在于，所述基于QUIC协议的会话握手还用于声明用于转发的应用层协议类型。
根据权利要求1或2所述的方法，其特征在于，所述完成在所述第二设备上的远程接入后，所述方法还包括：

在所述已建立的QUIC会话上，声明用于转发的应用层协议类型。
根据权利要求3或4所述的方法，其特征在于，所述用于转发的应用层协议类型包括L2类型及L3类型。
根据权利要求2所述的方法，其特征在于，所述用于接入认证的应用层协议类型为DHCP类型，所述与所述第二设备进行接入认证交互包括：

向所述第二设备发送第一报文，其中，所述第一报文用于向所述第二设备请求分配IP地址；

接收所述第二设备发送的第二报文，其中，所述第二报文包含可分配的IP地址；

向所述第二设备发送第三报文，其中，所述第三报文用于确认所述可分配的IP地址；

接收所述第二设备发送的第四报文，其中，所述第四报文包含已分配的IP地址。
根据权利要求2所述的方法，其特征在于，所述DHCP类型的应用层协议用于进行DHCP报文交互，所述EAP类型的应用层协议用于进行EAP报文交互，其中，

每条所述DHCP报文或每条所述EAP报文由一个或多个ALP_STREAM帧，和或一个或多个STREAM帧承载，或

每条所述DHCP报文或每条所述EAP报文由一个或多个ALP_DATAGRAM帧，和/或一个或多个DATAGRAM帧承载。
根据权利要求1-7任一项所述的方法，其特征在于，所述方法还包括：

向所述第二设备发送访问报文，其中，所述访问报文用于请求访问所述第二设备的网络资源；

接收所述第二设备发送的响应报文，其中，所述响应报文包括被所述第一设备请求访问的网络资源。
根据权利要求8所述的方法，其特征在于，所述访问报文由ALP_DATAGRAM帧和/或DATAGRAM帧承载。
一种远程接入方法，应用于第二设备，其特征在于，所述方法包括：

与第一设备进行基于QUIC协议的会话握手，其中，所述基于QUIC协议的会话握手用于声明用于接入认证的应用层协议类型；

建立与所述第一设备之间的QUIC会话；

在所述已建立的QUIC会话上，使用与所述用于接入认证的应用层协议类型对应的应用层协议消息，与所述第一设备进行接入认证交互，完成对所述第一设备的远程接入认证。
根据权利要求10所述的方法，其特征在于，所述用于接入认证的应用层协议类型包括动态主机配置协议DHCP类型及扩展认证协议EAP类型。
根据权利要求10或11所述的方法，其特征在于，所述基于QUIC协议的会话握手还用于声明用于转发的应用层协议类型。
根据权利要求10或11所述的方法，其特征在于，所述完成对所述第一设备的远程接入认证后，所述方法还包括：

在所述已建立的QUIC会话上，声明用于转发的应用层协议类型。
根据权利要求12或13所述的方法，其特征在于，所述用于转发的应用层协议类型包括L2类型及L3类型。
根据权利要求11所述的方法，其特征在于，所述用于接入认证的应用层协议类型为DHCP类型，所述与所述第一设备进行接入认证交互包括：

接收所述第一设备发送的第一报文，其中，所述第一报文用于向所述第二设备请求分配IP地址；

向所述第一设备发送第二报文，其中，所述第二报文包含可分配的IP地址；

接收所述第一设备发送的第三报文，其中，所述第三报文用于确认所述可分配的IP地址；

向所述第一设备发送第四报文，其中，所述第四报文包含已分配的IP地址。
根据权利要求11所述的方法，其特征在于，所述DHCP类型的应用层协议用于进行DHCP报文交互，所述EAP类型的应用层协议用于进行EAP报文交互，其中，

每条所述DHCP报文或每条所述EAP报文由一个或多个ALP_STREAM帧，和或一个或多个STREAM帧承载，或

每条所述DHCP报文或每条所述EAP报文由一个或多个ALP_DATAGRAM帧，和/或一个或多个DATAGRAM帧承载。
根据权利要求10所述的方法，其特征在于，所述方法还包括：

接收所述第一设备发送的访问报文，其中，所述访问报文用于请求访问所述第二设备的网络资源；

向所述第一设备发送响应报文，其中，所述响应报文包括被所述第一设备请求访问的网络资源。
根据权利要求17所述的方法，其特征在于，所述访问报文由ALP_DATAGRAM帧和/或DATAGRAM帧承载。
一种第一设备，其特征在于，包括：存储器，所述存储器用于存储计算机程序代码，所述计算机程序代码包括指令，当所述第一设备从所述存储器中读取所述指令，以使得所述第一设备执行如权利要求1-9中任一项所述的方法。
一种第二设备，其特征在于，包括：存储器，所述存储器用于存储计算机程序代码，所述计算机程序代码包括指令，当所述第二设备从所述存储器中读取所述指令，以使得所述第二设备执行如权利要求10-18中任一项所述的方法。
一种计算机可读存储介质，其特征在于，包括计算机指令，当所述计算机指令在所述第一设备上运行时，使得所述第一设备执行如权利要求1-9中任一项所述的方法，或当所述计算机指令在所述第二设备上运行时，使得所述第二设备执行如权利要求10-18中任一项所述的方法。
一种计算机程序产品，其特征在于，当所述计算机程序产品在计算机上运行时，使得所述计算机执行如权利要求1-18中任一项所述的方法。