VPN客户端连接校验方法及其系统与流程

本发明涉及数字信息的传输，具体地，涉及vpn客户端连接校验方法及其系统。

背景技术：

1、远程接入技术在企业网中(即企业内部网)中很常见。目前，远程接入企业网主要通过虚拟专用网络(virtual private network，vpn)完成。vpn通常使用公网(如互联网)将远程分支机构或员工连接至企业网。vpn使用虚拟或逻辑连接，通过互联网，从企业网连接至远程分支机构中的设备或员工设备。

2、在信息安全攻防中，现有技术客户端使用vpn官方提供的选项，如openvpn push_peer_info选项上传网卡mac地址或随机生成的uuid(通用唯一标识符)，即上传的客户端设备相关数据仅限于网卡mac地址或随机生成的uuid，信息维度相对较为单一。由于数据单一且较为简单，容易被攻击者伪造，从而影响了对客户端的有效校验。攻击者通过窃取目标vpn配置文件后，对内网地址扫描，然后绕过服务端正常的安全防护措施，以窃取到的网卡mac地址或uuid来欺骗vpn服务端，使其认为连接请求来自合法的客户端，导致vpn的滥用和共享。因此，如何提高vpn使用的网络安全性变得非常重要。

技术实现思路

1、本发明提供了一种vpn客户端连接校验方法及其系统，开启多维度的客户端设备数据校验，未授权的客户端设备将无法连接vpn，能在一定程度上阻碍攻击方盗取vpn，同时能更容易地跟踪和审计用户的网络活动，限制vpn滥用和共享，提高vpn使用与网络安全性。

2、第一方面，本发明提供了一种vpn客户端连接校验方法，其特征在于，所述方法包括：

3、接收来自客户端请求连接时自动获取和上传的用户信息和客户端设备数据，所述客户端设备数据包括原始或加密后的两个以上设备部件信息和/或该设备序列号；

4、校验是否存储有所述用户信息：若否，则拒绝连接，若是，则判断是否存储有客户端设备数据；

5、判断是否存储有客户端设备数据：若否，则存储所述客户端设备数据并允许连接，若是，则校验来自所述客户端的所述客户端设备数据与所存储的对应数据是否一致；

6、校验来自所述客户端的所述客户端设备数据与所存储的对应数据是否一致：若是，则允许连接，若否，则拒绝连接。

7、第二方面，本发明还提供了一种vpn客户端连接校验系统，其特征在于，所述系统包括服务端和客户端；所述服务端包括：

8、接收装置，其用于接收来自所述客户端请求连接时自动获取和上传的用户信息和客户端设备数据，所述客户端设备数据包括原始或加密后的两个以上设备部件信息和/或该设备序列号；

9、第一校验装置，其用于校验是否存储有所述用户信息：若否，则拒绝连接，若是，则判断是否存储有客户端设备数据；

10、第二校验装置，其用于判断是否存储有客户端设备数据：若否，则存储所述客户端设备数据并允许连接，若是，则校验来自所述客户端的所述客户端设备数据与所存储的对应数据是否一致；

11、第三校验装置，其用于校验来自所述客户端的所述客户端设备数据与所存储的对应数据是否一致：若是，则允许连接，若否，则拒绝连接。

12、本发明提供的vpn客户端连接校验方法及其系统，自定义获取函数，可以根据需要添加多个自定义参数，如磁盘序列号、设备序列号和cpu信息等相关参数，提供了定制化的多维度校验规则，增强了对客户端设备的细致验证，能够阻碍攻击者获取vpn配置后进行扫描；通过使用vpn提供的client-connect选项，可以在每个客户端连接时执行自定义的校验操作，以确保连接的合法性和安全性；记录客户端请求连接时上传的用户信息、客户端设备数据、请求时间和校验结果，提供了审计和追踪功能，有助于监控网络活动、检测异常行为以及满足合规性要求。

技术特征：

1.一种vpn客户端连接校验方法，其特征在于，所述方法包括：

2.根据权利要求1所述的vpn客户端连接校验方法，其特征在于，当所述客户端设备数据为原始的两个以上设备部件信息和/或该设备序列号时，所述客户端请求连接时自动获取和上传客户端设备数据的步骤具体包括：

3.根据权利要求1所述的vpn客户端连接校验方法，其特征在于，当所述客户端设备数据为加密后的两个以上设备部件信息和/或该设备序列号时，所述客户端请求连接时自动获取和上传客户端设备数据的步骤具体包括：

4.根据权利要求2或3中所述的vpn客户端连接校验方法，其特征在于，所述自定义参数为所述设备部件信息对应的参数。

5.根据权利要求1-3中任一项所述的vpn客户端连接校验方法，其特征在于，设备部件信息包括系统磁盘序列号、gpu信息和cpu信息。

6.根据权利要求1-3中任一项所述的vpn客户端连接校验方法，其特征在于，所述用户信息和所述客户端设备数据存在对应关系。

7.根据权利要求1-3中任一项所述的vpn客户端连接校验方法，其特征在于，所述用户信息包括用户名和客户端ip。

8.根据权利要求1-3中任一项所述的vpn客户端连接校验方法，其特征在于，所述用户信息和所述客户端设备数据存储于服务端的配置文件中。

9.根据权利要求1-3中任一项所述的vpn客户端连接校验方法，其特征在于，对所述用户信息和所述客户端设备数据的校验由vpn提供的client-connect选项执行。

10.一种vpn客户端连接校验系统，其特征在于，所述系统包括服务端和客户端；所述服务端包括：

技术总结
本发明提供了一种VPN客户端连接校验方法及其系统。其中所述方法包括：接收来自客户端请求连接时自动获取和上传的用户信息和客户端设备数据，所述客户端设备数据包括原始或加密后的两个以上设备部件信息和/或该设备序列号；校验是否存储有所述用户信息：若否，则拒绝连接，若是，则判断是否存储有客户端设备数据；判断是否存储有客户端设备数据：若否，则存储所述客户端设备数据并允许连接，若是，则校验来自所述客户端的所述客户端设备数据与所存储的对应数据是否一致；校验来自所述客户端的所述客户端设备数据与所存储的对应数据是否一致：若是，则允许连接，若否，则拒绝连接。本发明的VPN客户端连接校验方法开启多维度的客户端设备数据校验，提高VPN使用与网络安全性。

技术研发人员：史昆仑,赵兴国
受保护的技术使用者：上海赛连信息科技有限公司
技术研发日：
技术公布日：2024/3/27