专利名称:协同工作的实现方法及其系统的制作方法
技术领域:
本发明涉及数据网络通信领域的虛拟专用网(VPN, Virtual Private Network)实现技术,尤其涉及一种远程接入条件下协同工 作的实现方法及其系统。
背景技术:
在企事业单位内部,利用计算机支持来实现多部门或多用户的协 同工作(CSCW, Computer Supported Cooperative Work)已成为 大势所趋。同时,对于具有较多分支机构或外派员工较多的企事业单 位,实现远程接入安全地访问企事业单位内部公共信息和与同事协同 工作成为这些单位的主要需求。
目前,为实现协同远程接入条件下的协同工作,目前的实现方案 中大致有三种方式采用私有协议,部署中继服务器或借助第三方设 备来实现网络地址转换-穿越(NAT-T , Network Address Translation- Traversal) /防火墙的穿越。大多数企事业单位通过部署 各自的私有专属网络的方式实现远程接入条件下的CSCW工作,这
种方式大大提高了工作效率。由于提供CSCW解决方案的厂家通常 提供综合/集成度较高的解决方案,甚至使用私有协议实现,这样, 这些企事业单位就需对原有信息技术系统进行大规模改造甚至重新部 署,独立组网的成本较高,而且不利于保护企事业单位的已有投资。 部署中继服务器的方式,不仅会增加投资,而且会形成通信交互的瓶 颈;借助第三方设备的实现方式,通常基于对等网络(P2P, Peer to Peer)实现,节点选择具有随意性,存在较大的安全隐患,且当 VPN网络内的公有IP地址节点不多时,存在可靠性问题。
当今,在互联网上普遍使用即时通信软件进行对话交流,包括使
5用QQ、 MSN Messenger、 Jabber、 ICQ、 Google Talk或百度hi 等。考虑到即时通信(IM, Instant Message)可进行点对点、点对 多、多对多等多种方式的通信。而且随着互联网的普及,越来越多的 上班族选择通过IM方式与同事、合作伙伴或客户等进行交流沟通和 信息共享等。IM已经成为仅次于语音电话、电子邮件等传统沟通方 式之下的重要选择。电信运营商是否能够利用IM技术即时通信的便 捷特性,为多分支的企事业单位提供一种通用性强、组网简单、解决 穿越实现IM交互的难题且接入安全的CSCW工作方式成为当前亟 待解决的技术问题。
发明内容
本发明的目的是提供一种远程接入条件下协同工作的方法及其系 统,绕开了 IM系统为实现穿越而借助中继服务器/第三方实现IM交互 的难题,降低了 IM系统实现的复杂性,最大限度利用了企事业单位的 已有网络资源,为具有多分支机构的企事业单位提供"远程接入和协同 办公"的实现方式。本发明提供如下技术方案
本发明的一个方面提供了 一种远程接入条件下协同工作的实现方 法,该实现方法包括IPSec网关接收来自客户端的用户的认证请求, 并将用户的认证信息转发到AAA服务器进行认证;IPSec网关接收到 AAA服务器的授权信息后,建立与客户端之间的IPSec隧道;IPSec网 关通过IPSec隧道接^户端的用户的IM登陆请求,并将用户的IM 登陆信息转发到IM服务器以使客户端与另外至少一个客户端建立即时 通信联系。
本发明提供的远程接入条件下协同工作的实现方法的一个实施例 中,该实现方法包括在IPSec网关接收客户端的用户的认证请求之 前,客户端向IPSec网关发送认证请求,并请求建立IPSec隧道;其中 认证请求包含用户的i人证信息。
本发明提供的远程接入条件下协同工作的实现方法的一个实施例 中,该实现方法还包括AAA服务器接收IPSec网关转发的用户的认证倌息后对用户进行认证;如果AAA服务器未通过对用户的认证信息 的认证,贝'J AAA服务器向IPSec网关发送指令,拒绝用户远程接入; 以及如果AAA服务器通过对用户的认证信息的认证,则AAA服务器 向IPSec网关发送允许用户远程接入的授权信息。
本发明提供的远程接入条件下协同工作的实现方法的一个实施例 中,授权信息包括用户访问内部网络的权限、访问的速率和是否可使 用IM功能中的至少一个。
本发明提供的远程接入条件下协同工作的实现方法的一个实施例 中,该实现方法还包括IPSec网关将用户的IM登陆信息转发到IM 服务器后,IM服务器从用户数据库中读取用户的已审核信息;通过将 IM服务器接收到的用户的IM登陆倌息与用户的已审核信息进行比对 来验证用户身份;如果用户通过身份验证,则IM服务器记录用户登陆 的客户端信息后,返回用户登录成功的标识;以及如果用户未通过身份 ,则IM服务器拒绝用户登陆。
本发明提供的远程接入条件下协同工作的实现方法的一个实施例 中,用户登陆的客户端信息包括用户登陆的IP地址和/或客户端的 TCP/UDP端口号。
本发明提供的远程接入条件下协同工作的实现方法的一个实施例 中,该实现方法还包括在客户端与另外至少一个客户端建立即时通信 联系后,根据用户存储在IM服务器上的好友列表,IM服务器将用户 在线的相关信息发送给用户在线的IM好友。
本发明提供的远程接入条件下协同工作的实现方法的一个实施例 中,用户在线的相关信息包括用户的在线状态、IP地址和客户端的 TCP/UDP端口号中的至少 一个,
本发明另一个方面提供了一种远程接入条件下实现协同工作的 IPSec网关,该IPSec网关包括认证模块,用于接收来自客户端的用 户的认证请求,并将用户的认证信息转发到AAA服务器进行认证; IPSec隧道建立模块,用于接收到AAA服务器的授权信息后,建立与 客户端之间的IPSec隧道;IM联系建立模块,用于通过IPSec隧道接收客户端的用户的IM登陆请求,并将用户的IM登陆信息转发到IM 服务器以使客户端与另外至少一个客户端建立即时通信联系。
本发明另一个方面提供了一种远程接入条件下实现协同工作的 IPSec网关,其中认证请求包含用户的认证信息,IM登陆请求包含用 户的IM登陆信息。
本发明另一个方面提供了一种具有IPSec网关的远程接入条件下协 同工作的实现系统,该实现系统还包括AAA服务器,用于接收IPSec 网关,转发的用户的认证信息,并对用户的认证信息进行认证;通过对 用户的认证信息的认证后,向IPSec网关,发送授权信息;以及IM服 务器,用于接M户端经由IPSec隧道发送的用户的IM登陆请求;验 证用户的身份;通过身份验证后,向IPSec网关发送用户登陆IM服务 器成功的标识,并记录用户登陆的客户端信息。
本发明提供的远程接入条件下协同工作的实现系统的一个实施例 中,该实现系统还包括用户数据库,用于保存用户的已审核信息,并 在IM服务器!HiE用户的身份时,提供用户的已审核信息作为發汪的基 准。
本发明提供的远程接入条件下协同工作的实现系统的一个实施例 中,该实现系统还包括内部公共资源服务器,其包括办公自动化服务 器、电子邮件服务器和/或文件共享服务器。
本发明提供的在远程接入条件下协同工作的实现方法和系统中, 其利用IPSec网关的NAT-T功能,绕开了 IM系统为实现穿越而借助中 继服务器/第三方实现IM交互的难题;将IPSec技术、IM技术和AAA 技术集成在一起,降低了 IM系统实现的复杂性,最大限度利用了企事 业单位的已有网络资源;这样可以大大减少为实现协同工作而进行软 硬件开发的投资成本,还能减轻企事业单位对于庞大的网路的维护成 本。
图1示出根据本发明的远程接入条件下协同工作的实现方法的一个
8实施例的流程图2示出根据本发明的远程接入a下协同工作的实现方法的一个 实施例的流程图3示出根据本发明的远程接入条件下实现协同工作的IPSec网关 的一个实施例的结构示意图4示出根据本发明的远程接入a下协同工作的实现系统的一个 实施例的结构示意图5示出根据本发明的远程接入条件下协同工作的实现方法的一个 具体应用例的流程示意图。
具体实施例方式
下面参照附图对本发明进行更全面的描述,其中说明本发明的示例 性实施例。
图1示出根据本发明的远程接入条件下协同工作的实现方法的一个 实施例的流程图。
如图1所示,步骤102,互联网协议安全制式(IPSec, Internet Protocol Security)网关将用户认证信息转发到认证/授W计费(AAA, Authorization, Authentication & Accounting)月良务器。本发明中的客户 端集成有IM工具软件,可以提供即时通信的功能;本发明中提及的客 户端指的都是集成有IM工具软件的IPSec客户端,简称为"IPSec集成 客户端"。该IPSec集成客户端主要用于实现远程接入用户与其它用户 开展协同工作;其中,IM工具主要用于实现包含文本、音频和视频等 信息的交互。在本发明的一个实施例中,用户通it^户端向IPSec网关 发送远程接入请求,IPSec网关接收到来自客户端的用户的认证请求 后,IPSec网关将把IPSec集成客户端输入的用户认证信息(如用于远 程接入认证的用户名和登陆密码等身份信息)转发到AAA服务器进行 认证0
步骤104, IPSec网关建立与客户端之间的IPSec隧道。例如, IPSec网关接收到AAA服务器发送的认证通过的授权信息后,IPSec网关建立与该客户端之间的IPSec隧道。由于IPSec网关和IPSec集成客 户端都是设置在NAT/防火墙之后,所以通过在IPSec网关和IPSec集 成客户端之间建立IPSec隧道后实现了 IPSec隧道的NAT/防火墙的穿 越。在IPSec隧道建立后,客户端能够经由IPSec隧道、依照相应权限 对内部公共/共享资源进^H方问。本发明中采用的IPSec网关和IPSec集 成客户端都具有NAT-T功能,稍后对NAT/防火墙穿越技术进行简要介 绍。
步骤106,通过IPSec隧道将用户的IM登陆信息转发到IM服务 器。例如,IPSec网关通过IPSec隧道接收来自客户端的用户的IM登 陆请求,并将该用户的IM登陆信息(如用户名和登陆密码等身份信 息)转发到IM服务器进行用户身份验证。步骤108, IM服务器记录用 户登陆的客户端信息以使IM客户端与另外至少一个客户端建立IM联 系。例如,当用户通过IM服务器的身份JiHiE后,IM服务器将记录用 户登陆的客户端信息,如客户端的IP地址和/或客户端的TCP/UDP端 口 (port)号等信息。当用户存在协同工作需求时,请求建立协同工作 的用户可以根据IM服务器中记录的另外至少一个用户的客户端信息, 直接与其它用户的客户端建立IPSec连接,并在IPSec隧道的基础上建 立与其它用户的IM联系,从而实现远程登陆的不同用户之间开展协同 工作。基于IM的协同工作使得建立IM联系的参与各方都能通过IM 软件实现沟通(如MSN的商谈工作事宜等),此外,还应能实现文档共 享、流程共享和代码共享等功能。例如,在利用MSN实现协同工作 中,其"共享文件夹,,功能可以实现多方共同编辑文档的功能。
本发明中提及"NAT/防火墙穿越,,技术指的是对NAT以及防火墙的 穿越。为解决互联网协议第四版(IPv4, Internet Protocol Version 4) 公有地址不足的问题,很多单位采取在网络出口放置NAT设备的技术 方案。另外,为了信息安全,很多单位会在网络出口设置防火墙,防火 墙通常也具备NAT功能。NAT-T是IETF提出的基于标准的IPsec over UDP方案,属于IEFT标准。本发明利用该技术实现IPSec隧道的 NAT/防火墙穿越。NAT-T技术可探测IPSEC隧道经过路径是否存在
10NAT,并能穿越NAT。 "NAT/防火墙穿越"是指对NAT和防火墙的穿 越,IPSec随道穿越NAT/防火墙的实现手段相同。
本发明提供的远程接入条件下协同工作的实现方法的一个实施例 中,该实现方法还可以包括在步骤102之前,客户端向IPSec网关发 送认证请求,并请求建立IPSec隧道;其中认证请求包含该用户的认证 信息。
本发明提供的远程接入条件下协同工作的实现方法的一个实施例 中,该实现方法还包括在步骤102之后、步骤106之前,AAA服务 器接收IPSec网关转发的用户的认证信息后对该用户进行认证;如果 AAA服务器未通过对该用户的认证信息的认证,则AAA服务器向 IPSec网关发送指令,IPSec网关拒绝提供服务(拒绝该用户远程接 入);以及如果AAA服务器通过对该用户的认证信息的认证,贝'J AAA 服务器向IPSec网关发送允许该用户远程接入的授权信息(如用户访问 内部网络的权限、访问的速率,以及是否可4吏用IM功能等中的至少一个)。
本发明提供的远程接入条件下协同工作的实现方法的一个实施例 中,该实现方法还包括在步骤106中,IM服务器收到用户的IM登 陆请求后,IM服务器从用户数据库中读取该用户的已审核信息;通过 将IM服务器接收到的用户的IM登陆信息与该用户的已审核信息进行 比对来验证用户身份;如果该用户通过身份!HiE,则IM服务器记录用 户登陆的客户端信息后,返回用户登录成功的标识;以及如果该用户未 通过身份验证,则IM服务器拒绝用户登陆。
本发明提供的远程接入条件下协同工作的实现方法的一个实施例 中,该实现方法还包括在步骤108中,根据用户存储在IM服务器上 的好友列表,IM服务器将该用户在线的相关信息发送给在线的IM好 友。其中,该用户在线的相关信息包括在线状态、客户端的IP地址, 以;^:户端的TCP/UDP端口号等中的至少一个。
本发明提供的远程接入条件下协同工作的实现方法集成了 IPSec技 术、IM技术和AAA技术,为具有远程接入和协同办公需求的企事业单
ii位提供了一种安全、快捷且低成本的协同工作方式,最大限度保护企事 业单位的已有投资。
图2示出根据本发明的远程接入条件下协同工作的实现方法的一个 实施例的流程图。
如图2所示,步骤202, IPSec网关将用户的认证信息转发到AAA 服务器进行认证。例如,用户通it^户端向IPSec网关发送远程接入请 求,IPSec网关接收到来自客户端的用户的认证请求后,IPSec网关将 IPSec集成客户端输入的用户认证信息(如用于远程接入认证的用户名 和密码等身份信息)转发到AAA服务器,AAA服务器收到用户认证信 息后对该用户进行身份认证。如果AAA服务器通过对该用户认证信息 的认证后,则执行步骤204;否则,执行步骤212。
步骤204, IPSec网关建立与客户端之间的IPSec隧道。例如, IPSec网关收到AAA服务器发送的认证通过的授权信息后,IPSec网关 建立与客户端之间的IPSec隧道。在IPSec隧道建立后,客户端能够经 由IPSec隧道、依照相应权限对内部公共/共享资源进行访问。本发明中 IPSec网关和客户端支持NAT-T功能。
步骤206, IPSec隧道将用户的IM登陆信息转发到IM服务器进行 验证。例如,IPSec网关通过IPSec隧道将用户的IM登陆信息(如用 户登陆IM工具软件的用户名和密码等身份信息)转发到IM服务器, IM服务器将客户端输入的用户的IM登陆信息与已审核信息进行比对 来發汪用户身份,如果IM服务器通过对该用户的身份!Hi,则执行步 骤208;否则,执行步骤214。
步骤208, IM服务器记录用户登陆的客户端信息。例如,用户通 过IM服务器的身份验证后,IM服务器将记录用户登陆的客户端信息 (如客户端的IP地址和/或客户端的TCP/UDP端口号等信息)。
步骤210,客户端与另外至少一个客户端建立IM联系。例如,当 用户存在协同工作需求时,请求建立协同工作的用户根据IM服务器中 记录的另外至少一个用户的客户端信息,与其它用户的客户端建立 IPSec连接,并在IPSec隧道的基础上建立IM联系,从而实现远程登陆的不同用户之间开展协同工作。
步骤212, IPSec网关拒绝用户远程接入。例如,AAA服务器指示 IPSec网关拒绝提供服务,用户无法通过IPSec集成客户端远程接入协 同工作系统中,该用户被拒绝访问企业或单位的内部共享资源。
步骤214, IM服务器拒绝用户登陆。用户可以具有访问企业或单 位的内部共享资源的权限,但无法通过IM服务器与其它用户建立协同 工作的联系。
本发明提供的远程接入条件下协同工作的实现方法的一个实施例 中,该实现方法还包括在步骤202之前,用户通过客户端向IPSec网 关发送认证请求,并请求建立IPSec隧道;其中认证请求包含该用户的 认证信息。
本发明提供的远程接入条件下协同工作的实现方法的一个实施例 中,该实现方法还包括在步骤202中,AAA服务器通过对该用户的 认证信息的认证之后,AAA服务器向IPSec网关发送授权信息。其 中,授权信息可以包括用户访问内部网络的权限、访问的速率,以及 是否可使用IM功能等中的至少一个。
本发明提供的远程接入条件下协同工作的实现方法的一个实施例 中,该实现方法还包括在步骤206中,IM月良务器收到用户的IM登 陆请求后,该IM服务器从用户数据库中读取用户的已审核信息;通过 将IM服务器接收到的用户的IM登陆信息与用户的已审核信息进行比 对来验证用户身份;如果用户通过身份mt,则IM服务器记录用户登 陆的客户端信息后,返回用户登录成功的标识;以及如果用户未通过身 份验证,则IM服务器拒绝用户登陆。
本发明提供的远程接入条件下协同工作的实现方法的一个实施例 中,该实现方法还包括在步骤208中,根据用户存储在IM服务器上 的好友列表,IM服务器将用户在线的相关信息发送给该用户在线的IM 好友。其中,用户在线的相关信息包括在线状态、IP地址和客户端的 TCP/UDP端口号中的至少一个。
本发明提供的远程接入条件下协同工作的实现方法,在IPSec网关和IPSec集成客户端之间建立IPSec隧道,利用IPSec隧道的NAT-T功能,实现NAT/防火墙的穿越,绕开了 IM系统为实现穿越而借 助中继服务器/第三方实现IM交互的难题,降低了 IM系统实现的复 杂性。企事业单位可在原有网络设施的基础上,通过业务外包外包/ 合作开发的方式使用外部资源(如AAA服务器、IPSec网关,以及 IM服务器等相关设施),这样可以极大提升大大减少为实现协同工 作而进行软硬件开发的投资成本,还能减轻企事业单位对于庞大的网 路的维护成本。
图3示出根据本发明的远程接入条件下实现协同工作的IPSec网关 的一个实施例的结构示意图。如图3所示,远程接入条件下实现协同工 作的IPSec网关300包括认证模块3002、 IPSec隧道建立模块3004 和IM联系建立模块3006。
其中认佐漠块3002,用于接收来自客户端318的用户的认证请求, 并将用户的认证信息转发到AAA服务器302进行认证;
IPSec隧道建立模块3004,用于接收到AAA服务器302的授权信 息后,建立与客户端318之间的IPSec隧道;
IM联系建立模块3006,用于通过IPSec隧道接^户端318的用 户的IM登陆请求,并将用户的IM登陆信息转发到IM服务器306以 使客户端与另外至少一个客户端318建立即时通信联系。
本发明提供的远程接入条件下实现协同工作的IPSec网关的一个实 施例中,认证请求包含用户的认证信息,IM登陆请求包含用户的IM 登陆信息。
本发明提供的远程接入条件下实现协同工作的IPSec网关的一个实 施例中,IPSec网关300还可以连接有内部公共资源服务器(包括办公 自动化服务器312、电子邮件服务器314和/或文件共享服务器316), 用于向远程接入的用户提供企事业单位内部共享的公共资源。本发明 中,IPSec网关300、 IM服务器306、内部公共资源服务器310和 IPSec集成客户端318等共同构成VPN。 IPSec隧道保证了 IPSec集成 客户端318之间以及IPSec客户端318到内部公共资源服务器310的访问是安全可靠的,IPSec客户端与内部公共资源服务器、IM登录服务 器等共同组成VPN。
图4示出根据本发明的远程接入M下协同工作的实现系统的一个 实施例的结构示意图。如图4所示,远程接入条件下协同工作的实现系 统400包括AAA服务器402、 IPSec网关404和IM服务器406。
其中AAA服务器402,用于接收IPSec网关404转发的用户的认 证信息,并对用户的认证信息进行认证;通过对用户的认证信息的认证 后,向IPSec网关404发送授权信息。
IPSec网关404,用于接收来自客户端418的用户发送的认证请 求,并将该用户的认证信息转发到AAA服务器402进行认证;收到 AAA服务器402发送的授权信息后,IPSec网关404建立与客户端418 之间的IPSec隧道;IPSec网关通过IPSec隧道接4t^户端的用户的IM 登陆请求,并将该用户的IM登陆信息转发到IM服务器406;收到用 户登陆IM服务器406成功的标识后,在IPSec隧道的^sfe上建立与另 外至少一个客户端的IM联系;其中,授权信息包括用户访问内部网 络的权限、访问的速率,以及是否可使用IM功能等中的至少一个。
IM服务器406,用于接M户端418经由IPSec隧道发送的用户 的IM登陆请求;验证用户的IM登陆信息;通过身份验证后,向 IPSec网关发送用户登陆IM服务器成功的标识,并记录该用户登陆的 客户端信息。其中,用户的登陆信息包括用户使用的IP地址和/或客 户端的TCP/UDP端口号。
本发明提供的远程接入条件下协同工作的实现系统的一个实施例 中,该实现系统400还包括用户数据库408,其与IM服务器406连 接,用于保存用户的已审核信息(如用户名、密码和/或校验码等),并 在IM服务器406 !Hit用户身份时,提供用户的已审核信息作为臉汪用 户身份的基准。
本发明提供的远程接入条件下协同工作的实现系统的一个实施例 中,该实现系统400还包括与IPSec网关404连接的内部^^共资源服务 器410,其包括办公自动化服务器412、电子邮件服务器414和/或文件
15共享服务器416,用于向远程接入的用户提供企事业单位内部共享的公 共资源。本发明中,IPSec网关404、 IM服务器406、内部公共资源服 务器410和IPSec集成客户端418等共同构成VPN。 IPSec隧道保证了 IPSec集成客户端418之间以及IPSec客户端418到内部公共资源服务 器410的访问是安全可靠的,由IPSec客户端与内部公共资源服务器、 IM登录服务器等共同组成VPN。
本发明提供的远程接入条件下协同工作的实现系统的一个实施例 中,如果AAA服务器402未通过对用户认证信息的认证,则该AAA 服务器402向IPSec网关404发送指令,指示IPSec网关404拒绝提供 向该用户远程接入服务。
本发明提供的远程接入条件下协同工作的实现系统的一个实施例 中,在IPSec隧道建立后,客户端418能够经由IPSec隧道、依照相 应权限对内部公共资源服务器410进行访问。
本发明提供的远程接入条件下协同工作的实现系统的一个实施例 中,IM服务器406根据用户存储在其上的好友列表,可以将该用户 在线的相关信息发送给该用户在线的IM好友;其中,该用户在线的 相关信息包括在线状态、IP地址和客户端的TCP/UDP端口号中的至 少一个。
本发明提供的远程接入条件下协同工作的实现系统的一个实施例 中,IPSec网关404和客户端418支持NAT-T功能。
本发明提供的远程接入条件下协同工作的实现方法及其系统只需 对有需求的企事业单位(如具有分支机构或驻外办事处等)进行内部 部署,具体来说就是改造IM服务器以及部署IPSec网关等工作;因 此,实现起来较为简单,易于部署,并且改造成本较少。而且, IPSec网关与IM服务器以及客户端之间执行标准的IPSec协议, IPSec网关与AAA服务器采用远程认证拨号用户业务(RADIUS) / 终端接入控制者接入控制系统协议(TACACS+, TACACS的升级协 议,也是一种AAA协议)。由于本发明在标准协议的框架下构建, 因而其标准化的协议接口更有利于第三方实施集成开发,同时能够最 16大限度保护原有网络资源和固有投资。
图5示出根据本发明的远程接入条件下协同工作的实现方法的一个 具体应用例的流程示意图。以某企业为例,其拥有大量分支机构,各分 支机构之间存在协同工作需求。为最大限度保护原有投资,该企业与电 信运营商合作,在原有设备基础上,由电信运营商为其提供IPSec网 关、AAA认证功能、IPSec集成客户端及IM服务器等服务,共同实现 远程接入条件下的协同工作。
如图5所示,步骤502,用户请求建立IPSec隧道。本发明的一个 实施例中,用户通过IPSec集成客户端向IPSec网关发送远程接入请 求,并请求建立IPSec隧道。远程接入请求包含该客户端用户的远程接 入认证信息。本发明中IPSec网关和客户端支持NAT-T功能。
步骤504, IPSec网关将客户端输入的用户认证信息转发到AAA服 务器。例如,IPSec网关将IPSec集成客户端输入的用户认证信息(如 用于远程接入认证的用户名和密码等身份信息)转发到AAA服务器进 行认证0
步骤506, AAA服务器对用户的认证信息进行认证。如果AAA服 务器通过对该用户认证信息的认证,则执行步骤508;否则,执行步骤 522。
步骤508, AAA服务器向IPSec网关发送授权信息。例如,在步骤 506中AAA服务器通过对用户认证信息的认证,则AAA服务器向 IPSec网关发送授权信息。其中,授权信息包括用户访问内部网络的权 限、访问的速率,以及是否可使用IM功能中的至少一个。
步骤510, IPSec网关建立与客户端之间的IPSec隧道。例如, IPSec网关收到AAA服务器发送的认证通过的授权信息后,IPSec网 关建立与IPSec集成客户端之间的IPSec隧道。在IPSec隧道建立后, 客户端能够经由IPSec隧道、依照相应权P艮对内部公共/共享资源进行访 问;同时该用户还可以经由所建立的IPSec隧itX起对IM服务器进行 访问。
步骤512, IPSec网关将用户IM登录信息转发给IM服务器。例如,通过步骤510建立的IPSec隧道,IPSec网关将通it^户端输入的 用户IM登录信息(如登录IM服务器的用户名和密码等身份信息)转 发到IM服务器进行身份验证。
步骤514, IM服务器对用户的IM登录信息进行验证。例如,IM 服务器从用户数据库中读取用户的已审核信息,通过将收到的用户IM 登陆信息与用户的已审核信息进行比对来验证用户身份。如果IM服务 器通过对用户身份信息的验证,则执行步骤516;否则,执行步骤 524。
步骤516, IM服务器记录用户登陆的信息。例如,在步骤514 中,用户通过AAA服务器对其身份的验证,则IM服务器记录该用户 登陆的客户端信息(如客户端的IP地址和/或客户端的TCP/UDP端口 号等信息)后,返回用户登录成功的标识。
步骤518, IM服务器将用户在线的相关信息发送给在线的IM好 友。例如,根据用户存储在IM服务器上的好友列表,IM服务器将用 户在线的相关信息发送给在线的IM好友。其中,用户在线的相关信息 包括在线状态、IP地址和客户端的TCP/UDP端口号等中的至少一个。
步骤520,客户端与另外至少一个客户端建立IM联系。例如,远 程接入的用户存在协同工作需求,则请求建立协同工作的用户可以根据 IM服务器中记录的其它用户的客户端信息,与其它用户的客户端建立 IPSec连接,并在IPSec隧道的基础上建立IM联系,从而实现远程登 陆的用户与该企事业单位其它分支机构的员工之间开展合作、协同工 作。在本发明的一个实施例中,其它客户端可以是一个、两个或多个客 户端。
步骤522, IPSec网关拒绝用户远程接入。例如,在步骤506中, 用户的IM登录信息未通过AAA服务器的验证,那么AAA服务器指示 IPSec网关拒绝提供服务,用户无法通过IPSec集成客户端远程接入协 同工作系统中,该用户3皮拒绝访问企业或单位的内部共享资源。
步骤524, IM服务器拒绝用户登陆。例如,在步骤514中,用户 身份未通过IM服务器的验证,那么用户仍然具有访问企业或单位的内部共享资源的权限,但无法通过IM服务器与其它用户建立协同工作的 联系。
本发明提供的远程接入条件下协同工作的实现方法及其系统,利用 IPSec网关的NAT-T功能,绕开了 IM系统为实现穿越需要借助中继服 务器/第三方执行IM交互时出现的技术难题;而且本发明将IPSec技 术、IM技术和AAA技术有机地结合在一起,降低了远程接入条件下协 同工作的实现系统組网的复杂性;同时还最大限度利用了企事业单位的 已有网络资源,为具有多分支机构的企事业单位提供"远程接入,,和"协 同办公,,的工作模式。参考前述本发明示例性的描述,本领域技术人员 可以清楚的知晓本发明具有以下优点
1、 实现简单,易于部署实施。
如果采用通用的协同工作软件,通常需要将其与原有办公网络资源 (如Email、 OA等办公软件服务器)紧密结合、集成在一个系统中; 因此,需要对原有办公网络实施大规模改造,甚至要重新部署。本发明 提供的远程接入条件下协同办公的实现方法及其系统利用在IPSec网关 与客户端之间形成的IPSec隧道的NAT-T功能,绕开了 IM系统为实现 穿越而借助中继服务器/第三方实现IM交互的难题,只需对有协同工作 需求的企事业单位(如具有分支机构或驻外办事处等)进行内部部署, 具体来说,就是改造IM服务器以及部署IPSec网关等工作;因此,实 现起来较为简单,易于部署,并且改造成本较少。
2、 采用标准化的协议接口,易于扩展和集成,有利于保护原有投资。
本发明提供的远程接入条件下协同工作的实现方法及其系统中, IPSec网关与IM服务器以a户端之间执行标准的IPSec协议,IPSec 网关与AAA服务器采用远程认证拨号用户业务(RADIUS) /终端接入 控制者接入控制系统协议(TACACS+ )。由于本发明在标准协议的框架 下构建,因而其标准化的协议接口更有利于第三方实施集成开发,同时 能够最大限度保护原有网络资源和固有投资。
3、 企事业单位可以通过合作/外包方式实现远程接入条件下的协同工作。
本发明提供的远程接入条件下协同工作的实现方法及其系统中,企 事业单位可在原有网络设施的基础上,通过将相关业务外包或与网络设
备商开展合作开发的方式使用外部资源(如由电信运营商来提供AAA 服务器、IPSee网关,以及IM服务器等相关设施);将IPSec技术、 IM技术和AAA技术集成在一起,降低了 IM系统实现的复杂性,最大 限度利用了企事业单位的已有网络资源。这样有利于利用现有网络技术 及其提供的通用网络资源,而且可以大大减少为实现协同工作而进行软 硬件开发的投资成本,还能减轻企事业单位对于庞大的网路的维护成 本。
本发明的实施例是为了示例和描述起见而给出的,而并不是无遗漏 的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通
技术人员而言是显而易见的。选择和描述实施例是为了更好说明本发明 的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而 设计适于特定用途的带有各种修改的各种实施例。
权利要求
1.一种远程接入条件下协同工作的实现方法,其特征在于所述实现方法包括IPSec网关接收来自客户端的用户的认证请求,并将所述用户的认证信息转发到AAA服务器进行认证;所述IPSec网关接收到所述AAA服务器的授权信息后,建立与所述客户端之间的IPSec隧道;所述IPSec网关通过所述IPSec隧道接收所述客户端的用户的IM登陆请求,并将所述用户的IM登陆信息转发到IM服务器以使所述客户端与另外至少一个客户端建立即时通信联系。
2. 根据权利要求l所述的实现方法,其特征在于,所述实现方法包 括在所述IPSec网关接^户端的用户的认证请求之前,所^户端 向所述IPSec网关发送认证请求,并请求建立所述IPSec隧道;其中所 迷认证请求包含所迷用户的认证信息。
3. 根据权利要求l所述的实现方法,其特征在于,所述实现方法还 包括所述AAA服务器接收所述IPSec网关转发的所迷用户的认证信 息后对所述用户进行i人证;如果所述AAA服务器未通过对所述用户的认证信息的认证,则所 述AAA服务器向所述IPSec网关发送指令,拒绝所述用户远程接入; 以及如果所述AAA服务器通过对所述用户的认证信息的认证,则所述 AAA服务器向所述IPSec网关发送允许用户远程接入的授权信息。
4. 根据权利要求3所述的实现方法,其特征在于,所述授权信息包 括所迷用户访问内部网络的权限、访问的速率和是否可使用IM功能 中的至少一个。
5. 根据权利要求l所述的实现方法,其特征在于,所述实现方法还 包括所迷IPSec网关将所述用户的IM登陆信息转发到所述IM服务器后,所述IM服务器从用户数据库中读取所述用户的已审核信息;通过将所述IM服务器接收到的所述用户的IM登陆信息与所述用户的已审核信息进行比对来mit所述用户身份;如果所述用户通过身份验证,则所述IM服务器记录所述用户登陆的客户端信息后,返回用户登录成功的标识;以及如果所述用户未通过身份验证,则所述IM服务器拒绝所述用户登陆。
6. 根据权利要求5所述的实现方法,其特征在于,所述用户登陆的 客户端信息包括所述用户登陆的IP地址和/或所述客户端的 TCP/UDP端口号。
7. 根据权利要求l所述的实现方法,其特征在于,所述实现方法还 包括在所述客户端与另外至少一个客户端建立即时通信联系后,根据 所述用户存储在所述IM服务器上的好友列表,所述IM服务器将所述 用户在线的相关信息发送给所述用户在线的IM好友。
8. 根据权利要求7所述的实现方法,其特征在于,所述用户在线的 相关信息包括所述用户的在线状态、IP地址和所述客户端的 TCP/UDP端口号中的至少 一个。
9. 一种远程接入条件下实现协同工作的IPSec网关,其特征在于, 所述IPSec网关(300)包括认证模块(3002),用于接收来自客户端(318)的用户的认证请求,并 将所述用户的认证信息转发到AAA服务器(302)进行i人证;IPSec隧道建立模块(3004),用于接收到所述AAA服务器(302)的授 权信息后,建立与所^户端(318)之间的IPSec隧道;IM联系建立才莫块(3006),用于通过所述IPSec隧道接收所述客户端 (302)的用户的IM登陆请求,并将所述用户的IM登陆信息转发到IM 服务器(306)以使所述客户端与另外至少一个客户端(318)建立即时通信 联系。
10. 根据权利要求9所述的IPSec网关,其特征在于,所述认证请 求包含所述用户的认证信息,所述IM登陆请求包含所述用户的IM登陆信息。
11. 一种具有如权利要求9所述的IPSec网关的远程接入条件下协 同工作的实现系统,其特征在于,所述实现系统(400)还包括AAA服务器(402),用于接收所述IPSec网关(300, 404)转发的所迷 用户的认证信息,并对所述用户的认证信息进行认证;通过对所述用户 的认证信息的认证后,向所述IPSec网关(300, 404)发送所述授权信 息;以及IM服务器(406),用于接收所述客户端(418)经由所述IPSec隧道发 送的所述用户的IM登陆请求;验证所述用户的身份;通过身份验证 后,向所述IPSec网关发送所述用户登陆IM服务器成功的标识,并记 录所述用户登陆的客户端信息。
12. 根据权利要求ll所述的实现系统,其特征在于,所述实现系统 (400)还包括用户数据库(408),用于保存所述用户的已审核信息,并 在所述IM服务器(406)lHi所述用户的身份时,提供所述用户的已审核 信息作为验证的基准。
13. 根据权利要求ll所述的实现系统,其特征在于,所述实现系统 (400)还包括内部公共资源服务器(410),其包括办公自动化服务器 (412)、电子邮件服务器(414)和/或文件共享服务器(416)。
全文摘要
本发明公开一种远程接入条件下协同工作的实现方法及其系统,所述方法包括IPSec网关接收来自客户端的用户的认证请求,并将用户的认证信息转发到AAA服务器进行认证;IPSec网关接收到AAA服务器的授权信息后,建立与客户端之间的IPSec隧道;IPSec网关通过IPSec隧道接收客户端的用户的IM登陆请求,并将用户的IM登陆信息转发到IM服务器以使客户端与另外至少一个客户端建立即时通信联系。本发明利用IPSec网关的NAT-T功能,绕开了系统为实现穿越而借助中继服务器/第三方发生的IM交互难题,将IPSec技术、IM技术和AAA技术结合起来,降低了系统实现的复杂性,为具有多分支机构的企事业单位提供“远程接入”和“协同办公”的实现方式。
文档编号H04L9/32GK101667918SQ20091020487
公开日2010年3月10日 申请日期2009年10月15日 优先权日2009年10月15日
发明者宏 唐, 朱永庆, 洁 邹 申请人:中国电信股份有限公司