专利名称:虚拟专用网的接入方法及虚拟专用网客户端的制作方法
技术领域:
本发明涉及通信领域,尤其涉及一种虚拟专用网(Virtual Private Network,简称为VPN)的接入方法及VPN客户端。
背景技术:
基于因特网协议层安全协议(Internet Protocol Security,简称为IPSec)的VPN 技术可以很好的实现用户的网络安全性,适用于在一些大型网络中,通过安全的VPN隧道实现用户数据保护;同时通过VPN客户端也能满足移动用户的接入安全。
虽然通过VPN客户端用户能够更方便、更安全地访问企业内部资源,但由于VPN客户端需要配置客户端-网关协商参数,具有一定的复杂性,要求移动用户具备相应的素能。 不具备计算机专业技术的移动用户配置VPN客户端将面临很大的难度,同时也给网管人员带来很多麻烦。
在相关技术中,大部分的VPN客户端仍然需要手动的繁琐的配置。有小部分的VPN 客户端的配置虽然允许自动配置,但是,VPN客户端自动配置的参数固定的,这样,一旦VPN 服务器的网关一端的参数(如IP地址)发生变化,VPN客户端将无法自动配置新的参数,隧道建立就会失败。另外,不同的用户对加密程度的要求应该也是不同的,这也需要根据参数的不同,对不同用户的信息进行不同程度的加密。
可见,在相关技术中,针对上述相关技术中VPN客户端访问企业内部资源时手动配置复杂或自动配置受限的问题,目前尚未提出有效解决方案。发明内容
本发明的主要目的是提供一种VPN的接入方案,以至少解决相关技术中VPN客户端访问企业内部资源时手动配置复杂或自动配置受限的问题。
根据本发明的一个方面,提供了一种VPN的接入方法,包括以下步骤VPN客户端向认证服务器发送配置请求,其中,所述VPN客户端存储于移动存储器中,所述VPN客户端在所述移动存储器连接到计算机设备之后自动运行;所述VPN客户端收到来自所述认证服务器的所述配置请求的响应信息后,根据所述响应信息中携带的协商参数信息与VPN网关进行通信。
优选地,所述VPN客户端向所述认证服务器发送所述配置请求包括所述VPN客户端将所述配置请求用所述认证服务器的公钥加密后,再用所述移动存储器中存储的所述 VPN客户端的私钥签名;所述VPN客户端将签名后的所述配置请求发送给所述认证服务器。
优选地,所述VPN客户端向所述认证服务器发送所述配置请求之后,所述方法还包括所述认证服务器对接收到所述配置请求中的用户信息进行验证;在验证通过的情况下,所述认证服务器向所述VPN客户端返回所述响应信息,其中,所述响应信息中包括所述协商参数信息和所述VPN网关的地址信息。
优选地,所述认证服务器对接收到所述配置请求中的用户信息进行验证包括所述认证服务器解密所述配置请求,从解密后的所述配置请求中获取与所述VPN客户端对应的用户信息;所述认证服务器验证该用户信息是否为所述认证服务器颁发的身份证书。
优选地,所述认证服务器向所述VPN客户端返回所述响应信息包括所述认证服务器将所述协商参数信息和所述VPN网关的地址信息用所述VPN客户端公钥加密后,再用自身私钥签名;所述认证服务器将签名后的所述协商参数信息和所述VPN网关的地址信息携带在所述响应信息中发送给所述VPN客户端。
优选地,所述移动存储器中存储以下信息所述移动存储器的私钥、所述认证服务器颁发的身份证书和所述认证服务器的公钥证书。
优选地,所述移动存储器中存储的信息还包括所述认证服务器的地址和/或所述认证服务器的域名。
根据本发明的另一方面,提供了一种VPN客户端,位于移动存储器之中,包括请求模块,用于向认证服务器发送配置请求,其中,所述VPN客户端在所述移动存储器连接到计算机设备之后运行;接入模块,用于在所述VPN客户端收到来自所述认证服务器的所述配置请求的响应信息后,根据所述响应信息中携带的协商参数信息与VPN网关进行通信。
优选地,所述请求模块包括签名模块,用于将所述配置请求用所述认证服务器的公钥加密后,再用所述移动存储器中存储的所述VPN客户端的私钥签名;发送模块,用于将所述签名模块签名后的所述配置请求发送给所述认证服务器。
优选地,所述移动存储器为通用串行总线密钥(Ukey)。
根据本发明的技术方案,采用存储于移动存储器中的VPN客户端在移动存储器连接到计算机设备之后,向认证服务器发送配置请求;以及VPN客户端在收到该配置请求的响应信息后,根据该响应信息中携带的协商参数信息与VPN网关进行通信的方式,解决了相关技术中VPN客户端访问企业内部资源时手动配置复杂或自动配置受限的问题,简化了 VPN客户端的配置过程,使得在VPN网关参数变化的情况下VPN客户端能够自动修改设置, 从而不影响VPN客户端的接入,提高了系统的灵活性和兼容性。
说明书附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中
图I是根据本发明实施例的VPN的接入方法的流程图2是根据本发明实施例的VPN客户端的结构框图3是根据本发明优选实施例的VPN客户端的结构框图4是根据本发明实施例一的VPN的接入系统的结构示意图5是根据本发明实施例一的认证服务器处理VPN客户端配置请求的方法的流程图6是根据本发明实施例二的VPN的接入方法的流程图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。5
根据本发明实施例,提供了一种VPN的接入方法。图I是根据本发明实施例的VPN 的接入方法的流程图,如图I所示,该方法包括以下步骤
步骤S102,VPN客户端向认证服务器发送配置请求,其中,VPN客户端存储于移动存储器中,VPN客户端在该移动存储器连接到计算机设备之后运行;
步骤S104,VPN客户端收到来自证服务器的该配置请求的响应信息后,根据该响应信息中携带的协商参数信息与VPN网关进行通信。
通过上述步骤,采用存储于移动存储器中的VPN客户端在移动存储器连接到计算机设备之后,向认证服务器发送配置请求;以及VPN客户端在收到该配置请求的响应信息后,根据该响应信息中携带的协商参数信息与VPN网关进行通信的方式,解决了相关技术中VPN客户端访问企业内部资源时手动配置复杂或自动配置受限的问题,简化了 VPN客户端的配置过程,使得在VPN网关参数变化的情况下VPN客户端能够自动修改设置,从而不影响VPN客户端的接入,提高了系统的灵活性和兼容性。
例如,当用户想通过VPN客户端接入VPN时,只需要将能够随身携带的移动存储器 (集成VPN客户端)与计算机设备连接,即可以自动向认证服务器请求协商参数、自动配置参数及进行隧道协商建立通讯连接,从而简化了 VPN客户端的配置过程。并且,在认证服务器监听到VPN网关的参数信息发生了变化的情况后,能够根据VPN客户端的配置请求,发送最新的VPN网关参数信息给VPN客户端,即,在VPN网关参数变化的情况下VPN客户端能够自动修改设置,从而不影响VPN客户端的正常接入。
实施过程中,在步骤S102中,VPN客户端可以将配置请求用认证服务器的公钥加密后,再用移动存储器中存储的VPN客户端的私钥签名;VPN客户端将签名后的配置请求发送给认证服务器。例如,该方法可以使用公开密钥基础设施(Pub lie Key Infrastructure, 简称为PKI)技术,这样可以保障在VPN客户端与认证服务器之间数据传输的安全,提高了系统的安全性。
优选地,步骤S102之后,认证服务器可以对接收到配置请求中的用户信息进行验证;在验证通过的情况下,认证服务器向VPN客户端返回响应信息,其中,该响应信息中包括协商参数信息和VPN网关的地址信息。该方法采用认证服务器集中管理VPN客户端相应身份的协商参数,并根据身份返回协商参数和VPN网关的地址信息,进一步保障了系统的安全性,同时方便了管理员对VPN接入用户的准入和权限管理。
优选地,上述认证服务器接收到来自VPN客户端的配置请求后,对该配置请求中的用户信息进行验证可以包括认证服务器首先解密该配置请求,从解密后的配置请求中获取与VPN客户端对应的用户信息;然后,认证服务器验证该用户信息是否为认证服务器颁发的身份证书。该方法采用网络身份验证机制,认证服务器对颁发了身份证书的来自VPN 客户端的配置请求进行响应,通过响应,将访问企业内部资源的VPN网关的相关配置信息发送给VPN客户端,实现了多重的数据安全保障,提高了系统的精确度和有效性。
在实施过程中,认证服务器向VPN客户端返回该配置请求的响应信息可以包括 认证服务器将协商参数信息和VPN网关的地址信息用VPN客户端公钥加密后,再用自身私钥签名;认证服务器将签名后的协商参数信息和VPN网关的地址信息携带在响应信息中发送给VPN客户端。该方法可以采用PKI技术,在认证服务器和VPN客户端之间建立加密的数据传输,提高了系统的安全性。
优选地,在移动存储器中可以存储如下信息移动存储器的私钥、认证服务器颁发的身份证书和认证服务器的公钥证书。例如,在存储有VPN客户端的移动存储器出厂时,就根据认证服务器分配的身份信息写入了相关证书,且相关信息不易解读和篡改,这样,在保障了安全性的同时,能够对不同的移动存储器所对应的用户身份设置不同的标识,从而便于实现权限或业务管理。
优选地,在移动存储器中存储的信息还可以包括认证服务器的地址和/或认证服务器的域名。移动存储器中不直接保存VPN网关地址,而保存认证服务器的地址或域名。通常认证服务器的地址或域名是相对稳定的,移动存储器在每次请求时向上述地址请求VPN网关的地址,保障了系统的稳定性,同时采用该方法不必公开VPN网关的地址,从而避免VPN网关地址暴露,增加了安全屏障。
对应于上述方法,本发明实施例还提供了一种VPN客户端。图2是根据本发明实施例的VPN客户端的结构框图,如图2所示,该装置位于移动存储器之中,包括请求模块 22和接入模块24,其中,请求模块22,用于向认证服务器发送配置请求,其中,VPN客户端在移动存储器连接到计算机设备之后运行;接入模块24,耦合至请求模块22,用于在VPN客户端收到来自认证服务器的配置请求的响应信息后,根据该响应信息中携带的协商参数信息与VPN网关进行通信。
通过上述装置,位于移动存储器之中的VPN客户端的请求模块22在移动存储器连接到计算机设备之后,向认证服务器发送配置请求;接入模块24在VPN客户端收到该配置请求的响应信息后,根据该响应信息中携带的协商参数信息与VPN网关进行通信,解决了相关技术中VPN客户端访问企业内部资源时手动配置复杂或自动配置受限的问题,简化了 VPN客户端的配置过程,使得在VPN网关参数变化的情况下VPN客户端能够自动修改设置, 从而不影响VPN客户端的接入,提高了系统的灵活性和兼容性。
图3是根据本发明优选实施例的VPN客户端的结构框图,如图3所示,该装置具有图2所示装置的全部模块,其中上述请求模块22包括签名模块32和发送模块34,其中,签名模块32,用于将该配置请求用认证服务器的公钥加密后,再用移动存储器中存储的VPN 客户端的私钥签名;发送模块34,耦合至签名模块32,用于将签名模块32签名后的配置请求发送给认证服务器。
优选地,存储VPN客户端的硬件设备为具有通用串行总线(Universal Serial Bus,简称为USB)接口的硬件存储设备,简称Ukey,它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用Ukey内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中,理论上使用任何方式都无法读取,因此保证了用户认证的安全性。
下面结合优选实施例和附图对上述实施例的实现过程进行详细说明。
实施例一
本实施例中涉及三个部分,即,Ukey、认证服务器和VPN网关。其中,Ukey中包括 VPN客户端、用户证书和默认配置(例如,认证服务器的域名/认证服务器的地址)等相关的内容;认证服务器相当于认证中心(Certificate Authority,简称为CA)服务器,负责对用户证书及用户身份的验证,同时通过加密的方式下发VPN的相关配置(例如,协商参数,VPN 网关地址,远程保护子网信息)给VPN客户端;VPN客户端接收服务器发送的加密消息,解密后获得协商参数、VPN网关地址,远程保护子网信息等配置后,自动和VPN网关进行隧道协商。其中,涉及了客户端自动运行技术、配置自动下发技术和公开密钥基础设施(Public KeyInfrastructure,简称为PKI)相关的技术。
图4是根据本发明实施例一的VPN的接入系统的结构示意图,如图4所示,其中, 用户所持有的Ukey内置认证服务器的地址和/或认证服务器的域名;除上述参数以外还内置有自身的私钥、认证服务器颁发的证书及认证服务器的公钥证书。内网服务器存储的是客户所需资源。客户端与认证服务器之间传输的是加密后的协商参数、VPN网关的地址或域名、远程保护子网等。
图5是根据本发明实施例一的认证服务器处理VPN客户端配置请求的方法的流程图,如图5所示,其中,客户端是VPN客户端,服务器是认证服务器,网关是VPN网关。该方法包括如下步骤
步骤S502,服务器监听到客户端的配置请求。
步骤S504,服务器验证客户端身份。例如,验证解密后的请求信息、请求的身份证书是否是认证服务器所颁发的如果是,则进入步骤S506,否则,进入步骤S510。
步骤S506,身份验证通过后,根据身份决定回复的配置和网关地址,使用客户端公钥对上述配置和配置的消息摘要算法第5版(Message-Digest algorithm version 5,简称为MD5)码加密,并使用自身私钥签名。需要说明的是,这里的身份信息可以对应相应的安全级别或业务权限。认证服务器可以使用相应的加密级别回复相应的配置和/或网关地址;以及在隧道协商过程中,客户端与网关之间可以根据该相应的配置建立相应安全级别的隧道通讯;以及客户端可以根据相应的配置信息在VPN中得到相应的权限或获取相应的业务。
步骤S508,向客户端传输配置信息。传输完配置信息后,进入步骤S512。
步骤S510,丢弃认证信息。
步骤S512,服务器进入监听客户端配置请求状态。监听到下一次配置请求时,进入步骤S502。
在实施过程中,本实施例中认证服务器可以根据Ukey中的证书身份,向客户端回复相应的配置及对方网关地址信息,随后客户端即可与网关进行协商、通信。客户端获得协商参数的过程可以使用公私钥加解密和使用MD5或安全散列算法第I版(Secure Hash Algorithmversion I,简称为SHAl)等算法进行完整性检查。
本实施例实现了 VPN移动用户通过Ukey实现VPN功能的即插即用,免去了移动用户的复杂配置过程,同时通过PKI等技术实现了身份认证、数据加密等功能,以保护用户数据的安全性。其中,实施时,Ukey可以由管理员统一签发,每个Ukey有唯一的用户证书,同时Ukey中可以集成VPN客户端软件。
实施例二
图6是根据本发明实施例二的VPN的接入方法的流程图,如图6所示,该方法包括
步骤S602,在客户端侧,首先,Ukey进入准备就绪状态。例如,在任意可以接入因特网的PC客户端上插入Ukey。需要说明的是,该PC客户端无需手动安装软件,VPN客户端在Ukey内自动运行自身程序。
步骤S604,Ukey中的VPN客户端将要发送的配置请求用认证服务器的公钥加密, 并用自身的私钥签名。
步骤S606,向认证服务器发送签名后的配置请求。
步骤S608,认证服务器对接收到的来自Ukey中VPN客户端的配置请求进行验证, 即判断该配置请求是否通过验证。若该配置请求通过,则进入步骤S610,否则进入步骤 S614。
步骤S610,认证服务器向Ukey中VPN客户端下发VPN网关的相关配置。
步骤S612,Ukey中VPN客户端接收到来自认证服务器根据该配置请求返回的VPN 网关的相关配置后,与VPN网关进行隧道协商。例如,在实施过程中,Ukey中VPN客户端可以将限定时间内收到的该配置请求的响应信息作为有效的VPN网关的配置信息,如果在限定时间外收到的返回信息,均认为无效的信息,此时可以再次向认证服务器发送配置请求, 重新请求VPN网关的相关配置。
步骤S614,提示请求失败。
综上所述,上述实施例提供了一种基于安全KEY的VPN客户端零配置方法,结合与 PKI相关的技术,给只需每个用户发放一个Ukey,当用户需要建立VPN连接时,只需将Ukey 插入电脑USB接口,系统就能自动运行并自动连接到认证服务器,通过认证服务器实现用户身份认证及VPN相关配置,然后VPN客户端根据具体配置进行VPN自动连接。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种虚拟专用网VPN的接入方法,其特征在于包括 VPN客户端向认证服务器发送配置请求,其中,所述VPN客户端存储于移动存储器中,所述VPN客户端在所述移动存储器连接到计算机设备之后自动运行; 所述VPN客户端收到来自所述认证服务器的所述配置请求的响应信息后,根据所述响应信息中携带的协商参数信息与VPN网关进行通信。
2.根据权利要求I所述的方法,其特征在于,所述VPN客户端向所述认证服务器发送所述配置请求包括 所述VPN客户端将所述配置请求用所述认证服务器的公钥加密后,再用所述移动存储器中存储的所述VPN客户端的私钥签名; 所述VPN客户端将签名后的所述配置请求发送给所述认证服务器。
3.根据权利要求I所述的方法,其特征在于,所述VPN客户端向所述认证服务器发送所述配置请求之后,还包括 所述认证服务器对接收到所述配置请求中的用户信息进行验证; 在验证通过的情况下,所述认证服务器向所述VPN客户端返回所述响应信息,其中,所述响应信息中包括所述协商参数信息和所述VPN网关的地址信息。
4.根据权利要求3所述的方法,其特征在于,所述认证服务器对接收到所述配置请求中的用户信息进行验证包括 所述认证服务器解密所述配置请求,从解密后的所述配置请求中获取与所述VPN客户端对应的用户信息; 所述认证服务器验证该用户信息是否为所述认证服务器颁发的身份证书。
5.根据权利要求3所述的方法,其特征在于,所述认证服务器向所述VPN客户端返回所述响应信息包括 所述认证服务器将所述协商参数信息和所述VPN网关的地址信息用所述VPN客户端公钥加密后,再用自身私钥签名; 所述认证服务器将签名后的所述协商参数信息和所述VPN网关的地址信息携带在所述响应信息中发送给所述VPN客户端。
6.根据权利要求I至5中任一项所述的方法,其特征在于,所述移动存储器中存储以下信息 所述移动存储器的私钥、所述认证服务器颁发的身份证书和所述认证服务器的公钥证书。
7.根据权利要求6所述的方法,其特征在于,所述移动存储器中存储的信息还包括 所述认证服务器的地址和/或所述认证服务器的域名。
8.—种虚拟专用网VPN客户端,位于移动存储器之中,其特征在于包括 请求模块,用于向认证服务器发送配置请求,其中,所述VPN客户端在所述移动存储器连接到计算机设备之后运行; 接入模块,用于在所述VPN客户端收到来自所述认证服务器的所述配置请求的响应信息后,根据所述响应信息中携带的协商参数信息与VPN网关进行通信。
9.根据权利要求8所述的客户端,其特征在于,所述请求模块包括 签名模块,用于将所述配置请求用所述认证服务器的公钥加密后,再用所述移动存储器中存储的所述VPN客户端的私钥签名; 发送模块,用于将所述签名模块签名后的所述配置请求发送给所述认证服务器。
10.根据权利要求8或9所述的客户端,其特征在于,所述移动存储器为通用串行总线密钥Ukey。
全文摘要
本发明公开了一种虚拟专用网的接入方法及虚拟专用网客户端,其中,该方法包括虚拟专用网(VPN)客户端向认证服务器发送配置请求,其中,VPN客户端存储于移动存储器中,VPN客户端在移动存储器连接到计算机设备之后自动运行;VPN客户端收到来自认证服务器的配置请求的响应信息后,根据响应信息中携带的协商参数信息与VPN网关进行通信。通过本发明,解决了相关技术中VPN客户端访问企业内部资源时手动配置复杂或自动配置受限的问题,简化了VPN客户端的配置过程,使得在VPN网关参数变化的情况下VPN客户端能够自动修改设置,从而不影响VPN客户端的接入,提高了系统的灵活性和兼容性。
文档编号H04L9/32GK102984045SQ20121051686
公开日2013年3月20日 申请日期2012年12月5日 优先权日2012年12月5日
发明者任献永, 黎学森, 李红光 申请人:网神信息技术(北京)股份有限公司, 网神科技(北京)有限公司