一種實(shí)現(xiàn)遠(yuǎn)程接入的方法�、裝置及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信領(lǐng)域,尤其是涉及一種實(shí)現(xiàn)遠(yuǎn)程接入的方法����、裝置及系統(tǒng)。
【背景技術(shù)】
[0002]虛擬專用網(wǎng)(Virtual Private Network, VPN)在企業(yè)網(wǎng)絡(luò)中廣泛應(yīng)用����,通過(guò)在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)進(jìn)行加密通信。VPN利用已加密的通道協(xié)議(Tunneling Protocol,TP)來(lái)達(dá)到保密�����、發(fā)送端認(rèn)證���、消息準(zhǔn)確性等私人消息安全效果�,可以用不安全的網(wǎng)絡(luò)(例如:互聯(lián)網(wǎng))來(lái)發(fā)送可靠��、安全的消息��。
[0003]例如,某公司員工出差到外地���,需要接入企業(yè)總部?jī)?nèi)網(wǎng)中的服務(wù)器資源�,這種接入就屬于遠(yuǎn)程接入�。通過(guò)在內(nèi)網(wǎng)中架設(shè)一臺(tái)VPN網(wǎng)關(guān)���,外地員工在當(dāng)?shù)剡B上互聯(lián)網(wǎng)后���,通過(guò)互聯(lián)網(wǎng)連接VPN網(wǎng)關(guān),然后通過(guò)VPN網(wǎng)關(guān)進(jìn)入企業(yè)內(nèi)網(wǎng)�,使得外地員工可以訪問(wèn)到內(nèi)網(wǎng)資源,為了保證數(shù)據(jù)安全��,VPN網(wǎng)關(guān)和外地員工使用的客戶端之間的通訊數(shù)據(jù)都進(jìn)行加密處理���。
[0004]IPSec (Internet Protocol Security) VPN 即指米用 IPSec 協(xié)議來(lái)實(shí)現(xiàn)遠(yuǎn)程接入的一種VPN技術(shù)��,是由互聯(lián)網(wǎng)工程任務(wù)組(Internet Engineering Task Force�����,IETF)定義的安全標(biāo)準(zhǔn)框架����,用以提供公用和專用網(wǎng)絡(luò)的端對(duì)端加密和驗(yàn)證服務(wù)。IPSec VPN公開(kāi)了Site-to-Site場(chǎng)景(即站點(diǎn)到站點(diǎn)或者網(wǎng)關(guān)到網(wǎng)關(guān)):例如�,某公司的總部與分支機(jī)構(gòu)分布在互聯(lián)網(wǎng)的兩個(gè)不同的地方,各使用一個(gè)VPN網(wǎng)關(guān)建立VPN隧道��,實(shí)現(xiàn)安全互聯(lián)����。但是,這種方式的前提是需要在各自的VPN網(wǎng)關(guān)上按照約定好的參數(shù)進(jìn)行配置�����,并且預(yù)先協(xié)商確定加密算法�����、密鑰和子網(wǎng)等等����,配置及協(xié)商方式復(fù)雜。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的目的在于提供一種實(shí)現(xiàn)遠(yuǎn)程接入的方法���、裝置及系統(tǒng)��,以解決現(xiàn)有IPSecVPN技術(shù)中VPN網(wǎng)關(guān)配置及協(xié)商方式復(fù)雜的問(wèn)題�����。
[0006]第一方面��,本發(fā)明實(shí)施例提供了一種實(shí)現(xiàn)用戶終端遠(yuǎn)程接入專用網(wǎng)絡(luò)的方法�����,所述方法應(yīng)用于遠(yuǎn)程接入系統(tǒng)�����,所述遠(yuǎn)程接入系統(tǒng)包括VPN服務(wù)器和專用網(wǎng)絡(luò)中的VPN網(wǎng)關(guān)��,所述VPN服務(wù)器中配置有所述VPN網(wǎng)關(guān)的公網(wǎng)IP地址���,所述方法包括:
[0007]所述VPN服務(wù)器生成驗(yàn)證碼報(bào)文,將所述驗(yàn)證碼報(bào)文發(fā)送給所述VPN網(wǎng)關(guān)�����,所述驗(yàn)證碼報(bào)文包括所述VPN服務(wù)器的標(biāo)識(shí);
[0008]所述VPN服務(wù)器接收所述VPN網(wǎng)關(guān)返回的私網(wǎng)IP地址段和加密密鑰��,所述私網(wǎng)IP地址段和加密密鑰具體為所述VPN網(wǎng)關(guān)在對(duì)所述VPN服務(wù)器的標(biāo)識(shí)進(jìn)行校驗(yàn)通過(guò)后為所述VPN服務(wù)器分配的�;
[0009]所述VPN服務(wù)器根據(jù)所述私網(wǎng)IP地址段和加密密鑰進(jìn)行系統(tǒng)配置;
[0010]所述VPN服務(wù)器接收用戶終端發(fā)送的登陸請(qǐng)求�,在所述私網(wǎng)IP地址段內(nèi)為所述用戶終端分配IP地址,使用所述加密密鑰向所述VPN網(wǎng)關(guān)傳輸所述用戶終端發(fā)送的數(shù)據(jù)����。
[0011]結(jié)合第一方面,在第一方面第一種可能的實(shí)施方式中�,所述VPN服務(wù)器中還配置有RSA私鑰,相應(yīng)地�����,所述VPN網(wǎng)關(guān)中配置有所述RSA私鑰對(duì)應(yīng)的公鑰�����,
[0012]所述VPN服務(wù)器生成驗(yàn)證碼報(bào)文�����,將所述驗(yàn)證碼報(bào)文發(fā)送給所述VPN網(wǎng)關(guān)包括:
[0013]所述VPN服務(wù)器使用所述RSA私鑰對(duì)所述驗(yàn)證碼報(bào)文進(jìn)行加密�����,將加密后的所述驗(yàn)證碼報(bào)文發(fā)送給所述VPN網(wǎng)關(guān),以使得所述VPN網(wǎng)關(guān)使用所述RSA私鑰對(duì)應(yīng)的公鑰對(duì)所述驗(yàn)證碼報(bào)文進(jìn)行解密����,獲取并校驗(yàn)所述VPN服務(wù)器的標(biāo)識(shí)。
[0014]結(jié)合第一方面第一種可能的實(shí)現(xiàn)方式��,在第二種可能的實(shí)現(xiàn)方式中����,在所述VPN服務(wù)器將所述驗(yàn)證碼報(bào)文發(fā)送給所述VPN網(wǎng)關(guān)前,所述方法還包括:
[0015]所述VPN服務(wù)器接收配置指令�����,存儲(chǔ)所述RSA私鑰以及所述VPN網(wǎng)關(guān)的公網(wǎng)IP地址����。
[0016]結(jié)合第一方面����、第一方面第一種可能的實(shí)現(xiàn)方式或第一方面第二種可能的實(shí)現(xiàn)方式,在第三種可能的實(shí)現(xiàn)方式中��,所述VPN服務(wù)器中還設(shè)置有激活口令,在所述VPN服務(wù)器生成驗(yàn)證碼報(bào)文之前�����,所述方法還包括:
[0017]所述VPN服務(wù)器接收用戶終端發(fā)送的激活請(qǐng)求�����,所述激活請(qǐng)求中攜帶所述激活口令���;
[0018]所述VPN服務(wù)器驗(yàn)證所述激活請(qǐng)求中攜帶的所述激活口令����。
[0019]結(jié)合第一方面��、第一方面第一種可能的實(shí)現(xiàn)方式或第一方面第二種可能的實(shí)現(xiàn)方式��,在第四種可能的實(shí)現(xiàn)方式中���,�����,所述VPN服務(wù)器中設(shè)置有過(guò)濾規(guī)則����,以限定所述VPN服務(wù)器上開(kāi)放的端口為進(jìn)行VPN數(shù)據(jù)傳輸使用的端口、開(kāi)放的地址為所述VPN網(wǎng)關(guān)的公網(wǎng)IP地址�����。
[0020]結(jié)合第一方面�����,在第五種可能的實(shí)現(xiàn)方式中�����,所述VPN服務(wù)器的標(biāo)識(shí)為所述所述VPN服務(wù)器的設(shè)備序列號(hào)�����。
[0021]結(jié)合第一方面第三種可能的實(shí)現(xiàn)方式,在第六種可能的實(shí)現(xiàn)方式中,所述激活口令包括密碼�����、指紋���、掌紋或虹膜中的至少一個(gè)���。
[0022]第二方面�,本發(fā)明實(shí)施例提供了另一種實(shí)現(xiàn)用戶終端遠(yuǎn)程接入專用網(wǎng)絡(luò)的方法����,應(yīng)用于遠(yuǎn)程接入系統(tǒng),所述遠(yuǎn)程接入系統(tǒng)包括VPN服務(wù)器�����、第三方認(rèn)證中心以及專用網(wǎng)絡(luò)中的VPN網(wǎng)關(guān)�����,所述VPN服務(wù)器中配置有所述VPN網(wǎng)關(guān)的公網(wǎng)IP地址����,所述方法包括:
[0023]所述VPN服務(wù)器生成驗(yàn)證碼報(bào)文,將所述驗(yàn)證碼報(bào)文發(fā)送給所述第三方認(rèn)證中心���,所述驗(yàn)證碼報(bào)文包括所述VPN服務(wù)器的標(biāo)識(shí)�����;
[0024]所述VPN服務(wù)器接收所述VPN網(wǎng)關(guān)返回私網(wǎng)IP地址段和加密密鑰���,所述私網(wǎng)IP地址段和加密密鑰具體為所述第三方認(rèn)證中心在對(duì)所述VPN服務(wù)器的標(biāo)識(shí)進(jìn)行校驗(yàn)通過(guò)后請(qǐng)求所述VPN網(wǎng)關(guān)為所述VPN服務(wù)器分配的���;
[0025]所述VPN服務(wù)器根據(jù)所述私網(wǎng)IP地址段和加密密鑰進(jìn)行系統(tǒng)配置;
[0026]所述VPN服務(wù)器接收用戶終端發(fā)送的登陸請(qǐng)求�,在所述私網(wǎng)IP地址段內(nèi)為所述用戶終端分配IP地址,使用所述加密密鑰向所述VPN網(wǎng)關(guān)傳輸所述用戶終端發(fā)送的數(shù)據(jù)�����。
[0027]結(jié)合第二方面��,在第二方面第一種可能的實(shí)現(xiàn)方式中����,所述VPN服務(wù)器中還配置有RSA私鑰,相應(yīng)地��,所述第三方認(rèn)證中心中配置有所述RSA私鑰對(duì)應(yīng)的公鑰�����,
[0028]所述VPN服務(wù)器生成驗(yàn)證碼報(bào)文��,將所述驗(yàn)證碼報(bào)文發(fā)送給所述第三方認(rèn)證中心包括:
[0029]所述VPN服務(wù)器使用所述RSA私鑰對(duì)所述驗(yàn)證碼報(bào)文進(jìn)行加密�����,將加密后的所述驗(yàn)證碼報(bào)文發(fā)送給所述第三方認(rèn)證中心��,以使得所述第三方認(rèn)證中心使用所述RSA私鑰對(duì)應(yīng)的公鑰對(duì)所述驗(yàn)證碼報(bào)文進(jìn)行解密�,獲取并校驗(yàn)所述VPN服務(wù)器的標(biāo)識(shí)。
[0030]結(jié)合第二方面或第二方面第一種可能的實(shí)現(xiàn)方式�����,在第二方面第二種可能的實(shí)現(xiàn)方式中��,所述VPN服務(wù)器中設(shè)置有過(guò)濾規(guī)則���,以限定所述VPN服務(wù)器上開(kāi)放的端口為進(jìn)行VPN數(shù)據(jù)傳輸使用的端口以及與所述第三方認(rèn)證中心交互的端口�、開(kāi)放的地址為所述第三方認(rèn)證中心的IP地址以及所述VPN網(wǎng)關(guān)的公網(wǎng)IP地址�。
[0031]第三方面,本發(fā)明實(shí)施例提供了一種實(shí)現(xiàn)用戶終端遠(yuǎn)程接入專用網(wǎng)絡(luò)的系統(tǒng)���,所述遠(yuǎn)程接入系統(tǒng)包括VPN服務(wù)器和專用網(wǎng)絡(luò)中的VPN網(wǎng)關(guān)�����,所述VPN服務(wù)器中配置有所述VPN網(wǎng)關(guān)的公網(wǎng)IP地址����,
[0032]所述VPN服務(wù)器,用于生成驗(yàn)證碼報(bào)文�,將所述驗(yàn)證碼報(bào)文發(fā)送給所述VPN網(wǎng)關(guān),所述驗(yàn)證碼報(bào)文包括所述VPN服務(wù)器的標(biāo)識(shí)�����;
[0033]所述VPN網(wǎng)關(guān)����,用于在對(duì)所述VPN服務(wù)器的標(biāo)識(shí)進(jìn)行校驗(yàn)通過(guò)后,為所述VPN服務(wù)器分配私網(wǎng)IP地址段和加密密鑰����,并將所述私網(wǎng)IP地址段和加密密鑰發(fā)送給所述VPN服務(wù)器;
[0034]所述VPN服務(wù)器����,還用于接收所述VPN網(wǎng)關(guān)返回的私網(wǎng)IP地址段和加密密鑰,并根據(jù)所述私網(wǎng)IP地址段和加密密鑰進(jìn)行系統(tǒng)配置�;
[0035]所述VPN服務(wù)器,還用于接收用戶終端發(fā)送的登陸請(qǐng)求,在所述私網(wǎng)IP地址段內(nèi)為所述用戶終端分配IP地址����,使用所述加密密鑰向所述VPN網(wǎng)關(guān)傳輸所述用戶終端發(fā)送的數(shù)據(jù)�。
[0036]結(jié)合第三方面,在第三方面第一種可能的實(shí)施方式中���,���,所述VPN服務(wù)器中還配置有RSA私鑰,相應(yīng)地����,所述VPN網(wǎng)關(guān)中配置有所述RSA私鑰對(duì)應(yīng)的公鑰,
[0037]所述VPN服務(wù)器��,具體用于使用所述RSA私鑰對(duì)所述驗(yàn)證碼報(bào)文進(jìn)行加密����,將加密后的所述驗(yàn)證碼報(bào)文發(fā)送給所述VPN網(wǎng)關(guān);
[0038]所述VPN網(wǎng)關(guān)���,具體用于使用所述RSA私鑰對(duì)應(yīng)的公鑰對(duì)所述驗(yàn)證碼報(bào)文進(jìn)行解密��,獲取并校驗(yàn)所述VPN服務(wù)器的標(biāo)識(shí)����。
[0039]結(jié)合第三方面第一種可能的實(shí)現(xiàn)方式,在第三方面第二種可能的實(shí)現(xiàn)方式中�����,所述VPN服務(wù)器接收還用于配置指令����,存儲(chǔ)所述RSA私鑰以及所述VPN網(wǎng)關(guān)的公網(wǎng)IP地址。
[0040]結(jié)合第三方面���、第三方面第一種可能的實(shí)現(xiàn)方式或第三方面第二種可能的實(shí)現(xiàn)方式�����,在第三方面第三種可能的實(shí)現(xiàn)方式中�,所述VPN服務(wù)器中還設(shè)置有激活口令�,
[0041]所述VPN服務(wù)器,還用于接收并驗(yàn)證用戶終端發(fā)送的激活請(qǐng)求���,所述激活請(qǐng)求中攜帶激活口令��。
[0042]結(jié)合第三方面�、第三方面第一種可能的實(shí)現(xiàn)方式或第三方面第二種可能的實(shí)現(xiàn)方式,在第三方面第四種可能的實(shí)現(xiàn)方式中�����,所述VPN服務(wù)器中設(shè)置有過(guò)濾規(guī)則��,以限定所述VPN服務(wù)器上開(kāi)放的端口為進(jìn)行VPN數(shù)據(jù)傳輸使用的端口�、開(kāi)放的地址為所述VPN網(wǎng)關(guān)的公網(wǎng)IP地址����。
[0043]第四方面,本發(fā)明實(shí)施例還提供了一種實(shí)現(xiàn)用戶終端遠(yuǎn)程接入專用網(wǎng)絡(luò)的系統(tǒng)����,所述系統(tǒng)包括VPN服務(wù)器以及專用網(wǎng)絡(luò)中的VPN網(wǎng)關(guān),所述VPN服務(wù)器中配置有所述VPN網(wǎng)關(guān)的公網(wǎng)IP地址��,
[0044]所述VPN服務(wù)器�,用于生成驗(yàn)證碼報(bào)文,將所述驗(yàn)證碼報(bào)文發(fā)送給所述第三方認(rèn)證中心�����,所述驗(yàn)證碼報(bào)文包括所述VPN服務(wù)器的標(biāo)識(shí);
[0045]所述VPN網(wǎng)關(guān)�����,用于接收第三方認(rèn)證中心在對(duì)所述VPN服務(wù)器的標(biāo)識(shí)校驗(yàn)通過(guò)后發(fā)送的通知消息��,所述通知消息中攜帶所述VPN服務(wù)器的標(biāo)識(shí)�;
[0046]所述VPN網(wǎng)關(guān),還用于為所述VPN服務(wù)器分配私網(wǎng)IP地址段和加密密鑰���,并經(jīng)所述私網(wǎng)IP地址段和加密密鑰發(fā)送給所述VPN服務(wù)器��;
[0047]所述VPN服務(wù)器����,還用于接收所述VPN網(wǎng)關(guān)返回的私網(wǎng)IP地址段和加密密鑰����,并根據(jù)所述私網(wǎng)IP地址段和加密密鑰進(jìn)行系統(tǒng)配置;
[0048]所述VPN服務(wù)器�,還用于接收用戶終端發(fā)送的登陸請(qǐng)求,在所述私網(wǎng)IP地址段內(nèi)為所述用戶終端分配IP地址�����,使用所述加密密鑰向所述VPN網(wǎng)關(guān)傳輸所述用戶終端發(fā)送的數(shù)據(jù)。
[0049]結(jié)合第四方面�����,在第四方面第一種可能的實(shí)現(xiàn)方式中��,所述系統(tǒng)還包括第三方認(rèn)證中心����,
[0050]所述第三方認(rèn)證中心,用于對(duì)所述VPN服務(wù)器的標(biāo)識(shí)進(jìn)行校驗(yàn)���。
[0051]結(jié)合第四方面第一種可能的實(shí)現(xiàn)方式,在第四方面第二