一种实现远程接入的方法、装置及系统的制作方法
【技术领域】
[0001]本发明涉及通信领域,尤其是涉及一种实现远程接入的方法、装置及系统。
【背景技术】
[0002]虚拟专用网(Virtual Private Network, VPN)在企业网络中广泛应用,通过在公用网络上建立专用网络进行加密通信。VPN利用已加密的通道协议(Tunneling Protocol,TP)来达到保密、发送端认证、消息准确性等私人消息安全效果,可以用不安全的网络(例如:互联网)来发送可靠、安全的消息。
[0003]例如,某公司员工出差到外地,需要接入企业总部内网中的服务器资源,这种接入就属于远程接入。通过在内网中架设一台VPN网关,外地员工在当地连上互联网后,通过互联网连接VPN网关,然后通过VPN网关进入企业内网,使得外地员工可以访问到内网资源,为了保证数据安全,VPN网关和外地员工使用的客户端之间的通讯数据都进行加密处理。
[0004]IPSec (Internet Protocol Security) VPN 即指米用 IPSec 协议来实现远程接入的一种VPN技术,是由互联网工程任务组(Internet Engineering Task Force,IETF)定义的安全标准框架,用以提供公用和专用网络的端对端加密和验证服务。IPSec VPN公开了Site-to-Site场景(即站点到站点或者网关到网关):例如,某公司的总部与分支机构分布在互联网的两个不同的地方,各使用一个VPN网关建立VPN隧道,实现安全互联。但是,这种方式的前提是需要在各自的VPN网关上按照约定好的参数进行配置,并且预先协商确定加密算法、密钥和子网等等,配置及协商方式复杂。
【发明内容】
[0005]本发明的目的在于提供一种实现远程接入的方法、装置及系统,以解决现有IPSecVPN技术中VPN网关配置及协商方式复杂的问题。
[0006]第一方面,本发明实施例提供了一种实现用户终端远程接入专用网络的方法,所述方法应用于远程接入系统,所述远程接入系统包括VPN服务器和专用网络中的VPN网关,所述VPN服务器中配置有所述VPN网关的公网IP地址,所述方法包括:
[0007]所述VPN服务器生成验证码报文,将所述验证码报文发送给所述VPN网关,所述验证码报文包括所述VPN服务器的标识;
[0008]所述VPN服务器接收所述VPN网关返回的私网IP地址段和加密密钥,所述私网IP地址段和加密密钥具体为所述VPN网关在对所述VPN服务器的标识进行校验通过后为所述VPN服务器分配的;
[0009]所述VPN服务器根据所述私网IP地址段和加密密钥进行系统配置;
[0010]所述VPN服务器接收用户终端发送的登陆请求,在所述私网IP地址段内为所述用户终端分配IP地址,使用所述加密密钥向所述VPN网关传输所述用户终端发送的数据。
[0011]结合第一方面,在第一方面第一种可能的实施方式中,所述VPN服务器中还配置有RSA私钥,相应地,所述VPN网关中配置有所述RSA私钥对应的公钥,
[0012]所述VPN服务器生成验证码报文,将所述验证码报文发送给所述VPN网关包括:
[0013]所述VPN服务器使用所述RSA私钥对所述验证码报文进行加密,将加密后的所述验证码报文发送给所述VPN网关,以使得所述VPN网关使用所述RSA私钥对应的公钥对所述验证码报文进行解密,获取并校验所述VPN服务器的标识。
[0014]结合第一方面第一种可能的实现方式,在第二种可能的实现方式中,在所述VPN服务器将所述验证码报文发送给所述VPN网关前,所述方法还包括:
[0015]所述VPN服务器接收配置指令,存储所述RSA私钥以及所述VPN网关的公网IP地址。
[0016]结合第一方面、第一方面第一种可能的实现方式或第一方面第二种可能的实现方式,在第三种可能的实现方式中,所述VPN服务器中还设置有激活口令,在所述VPN服务器生成验证码报文之前,所述方法还包括:
[0017]所述VPN服务器接收用户终端发送的激活请求,所述激活请求中携带所述激活口令;
[0018]所述VPN服务器验证所述激活请求中携带的所述激活口令。
[0019]结合第一方面、第一方面第一种可能的实现方式或第一方面第二种可能的实现方式,在第四种可能的实现方式中,,所述VPN服务器中设置有过滤规则,以限定所述VPN服务器上开放的端口为进行VPN数据传输使用的端口、开放的地址为所述VPN网关的公网IP地址。
[0020]结合第一方面,在第五种可能的实现方式中,所述VPN服务器的标识为所述所述VPN服务器的设备序列号。
[0021]结合第一方面第三种可能的实现方式,在第六种可能的实现方式中,所述激活口令包括密码、指纹、掌纹或虹膜中的至少一个。
[0022]第二方面,本发明实施例提供了另一种实现用户终端远程接入专用网络的方法,应用于远程接入系统,所述远程接入系统包括VPN服务器、第三方认证中心以及专用网络中的VPN网关,所述VPN服务器中配置有所述VPN网关的公网IP地址,所述方法包括:
[0023]所述VPN服务器生成验证码报文,将所述验证码报文发送给所述第三方认证中心,所述验证码报文包括所述VPN服务器的标识;
[0024]所述VPN服务器接收所述VPN网关返回私网IP地址段和加密密钥,所述私网IP地址段和加密密钥具体为所述第三方认证中心在对所述VPN服务器的标识进行校验通过后请求所述VPN网关为所述VPN服务器分配的;
[0025]所述VPN服务器根据所述私网IP地址段和加密密钥进行系统配置;
[0026]所述VPN服务器接收用户终端发送的登陆请求,在所述私网IP地址段内为所述用户终端分配IP地址,使用所述加密密钥向所述VPN网关传输所述用户终端发送的数据。
[0027]结合第二方面,在第二方面第一种可能的实现方式中,所述VPN服务器中还配置有RSA私钥,相应地,所述第三方认证中心中配置有所述RSA私钥对应的公钥,
[0028]所述VPN服务器生成验证码报文,将所述验证码报文发送给所述第三方认证中心包括:
[0029]所述VPN服务器使用所述RSA私钥对所述验证码报文进行加密,将加密后的所述验证码报文发送给所述第三方认证中心,以使得所述第三方认证中心使用所述RSA私钥对应的公钥对所述验证码报文进行解密,获取并校验所述VPN服务器的标识。
[0030]结合第二方面或第二方面第一种可能的实现方式,在第二方面第二种可能的实现方式中,所述VPN服务器中设置有过滤规则,以限定所述VPN服务器上开放的端口为进行VPN数据传输使用的端口以及与所述第三方认证中心交互的端口、开放的地址为所述第三方认证中心的IP地址以及所述VPN网关的公网IP地址。
[0031]第三方面,本发明实施例提供了一种实现用户终端远程接入专用网络的系统,所述远程接入系统包括VPN服务器和专用网络中的VPN网关,所述VPN服务器中配置有所述VPN网关的公网IP地址,
[0032]所述VPN服务器,用于生成验证码报文,将所述验证码报文发送给所述VPN网关,所述验证码报文包括所述VPN服务器的标识;
[0033]所述VPN网关,用于在对所述VPN服务器的标识进行校验通过后,为所述VPN服务器分配私网IP地址段和加密密钥,并将所述私网IP地址段和加密密钥发送给所述VPN服务器;
[0034]所述VPN服务器,还用于接收所述VPN网关返回的私网IP地址段和加密密钥,并根据所述私网IP地址段和加密密钥进行系统配置;
[0035]所述VPN服务器,还用于接收用户终端发送的登陆请求,在所述私网IP地址段内为所述用户终端分配IP地址,使用所述加密密钥向所述VPN网关传输所述用户终端发送的数据。
[0036]结合第三方面,在第三方面第一种可能的实施方式中,,所述VPN服务器中还配置有RSA私钥,相应地,所述VPN网关中配置有所述RSA私钥对应的公钥,
[0037]所述VPN服务器,具体用于使用所述RSA私钥对所述验证码报文进行加密,将加密后的所述验证码报文发送给所述VPN网关;
[0038]所述VPN网关,具体用于使用所述RSA私钥对应的公钥对所述验证码报文进行解密,获取并校验所述VPN服务器的标识。
[0039]结合第三方面第一种可能的实现方式,在第三方面第二种可能的实现方式中,所述VPN服务器接收还用于配置指令,存储所述RSA私钥以及所述VPN网关的公网IP地址。
[0040]结合第三方面、第三方面第一种可能的实现方式或第三方面第二种可能的实现方式,在第三方面第三种可能的实现方式中,所述VPN服务器中还设置有激活口令,
[0041]所述VPN服务器,还用于接收并验证用户终端发送的激活请求,所述激活请求中携带激活口令。
[0042]结合第三方面、第三方面第一种可能的实现方式或第三方面第二种可能的实现方式,在第三方面第四种可能的实现方式中,所述VPN服务器中设置有过滤规则,以限定所述VPN服务器上开放的端口为进行VPN数据传输使用的端口、开放的地址为所述VPN网关的公网IP地址。
[0043]第四方面,本发明实施例还提供了一种实现用户终端远程接入专用网络的系统,所述系统包括VPN服务器以及专用网络中的VPN网关,所述VPN服务器中配置有所述VPN网关的公网IP地址,
[0044]所述VPN服务器,用于生成验证码报文,将所述验证码报文发送给所述第三方认证中心,所述验证码报文包括所述VPN服务器的标识;
[0045]所述VPN网关,用于接收第三方认证中心在对所述VPN服务器的标识校验通过后发送的通知消息,所述通知消息中携带所述VPN服务器的标识;
[0046]所述VPN网关,还用于为所述VPN服务器分配私网IP地址段和加密密钥,并经所述私网IP地址段和加密密钥发送给所述VPN服务器;
[0047]所述VPN服务器,还用于接收所述VPN网关返回的私网IP地址段和加密密钥,并根据所述私网IP地址段和加密密钥进行系统配置;
[0048]所述VPN服务器,还用于接收用户终端发送的登陆请求,在所述私网IP地址段内为所述用户终端分配IP地址,使用所述加密密钥向所述VPN网关传输所述用户终端发送的数据。
[0049]结合第四方面,在第四方面第一种可能的实现方式中,所述系统还包括第三方认证中心,
[0050]所述第三方认证中心,用于对所述VPN服务器的标识进行校验。
[0051]结合第四方面第一种可能的实现方式,在第四方面第二