專利名稱:虛擬專用網(wǎng)的接入方法及虛擬專用網(wǎng)客戶端的制作方法
技術領域:
本發(fā)明涉及通信領域,尤其涉及一種虛擬專用網(wǎng)(Virtual Private Network,簡稱為VPN)的接入方法及VPN客戶端。
背景技術:
基于因特網(wǎng)協(xié)議層安全協(xié)議(Internet Protocol Security,簡稱為IPSec)的VPN 技術可以很好的實現(xiàn)用戶的網(wǎng)絡安全性�����,適用于在一些大型網(wǎng)絡中�,通過安全的VPN隧道實現(xiàn)用戶數(shù)據(jù)保護;同時通過VPN客戶端也能滿足移動用戶的接入安全�����。
雖然通過VPN客戶端用戶能夠更方便�����、更安全地訪問企業(yè)內(nèi)部資源,但由于VPN客戶端需要配置客戶端-網(wǎng)關協(xié)商參數(shù)����,具有一定的復雜性��,要求移動用戶具備相應的素能�。 不具備計算機專業(yè)技術的移動用戶配置VPN客戶端將面臨很大的難度����,同時也給網(wǎng)管人員帶來很多麻煩。
在相關技術中�,大部分的VPN客戶端仍然需要手動的繁瑣的配置。有小部分的VPN 客戶端的配置雖然允許自動配置�,但是,VPN客戶端自動配置的參數(shù)固定的�,這樣,一旦VPN 服務器的網(wǎng)關一端的參數(shù)(如IP地址)發(fā)生變化�,VPN客戶端將無法自動配置新的參數(shù),隧道建立就會失敗�。另外,不同的用戶對加密程度的要求應該也是不同的�,這也需要根據(jù)參數(shù)的不同���,對不同用戶的信息進行不同程度的加密����。
可見����,在相關技術中�,針對上述相關技術中VPN客戶端訪問企業(yè)內(nèi)部資源時手動配置復雜或自動配置受限的問題�����,目前尚未提出有效解決方案����。發(fā)明內(nèi)容
本發(fā)明的主要目的是提供一種VPN的接入方案,以至少解決相關技術中VPN客戶端訪問企業(yè)內(nèi)部資源時手動配置復雜或自動配置受限的問題��。
根據(jù)本發(fā)明的一個方面����,提供了一種VPN的接入方法,包括以下步驟VPN客戶端向認證服務器發(fā)送配置請求�����,其中���,所述VPN客戶端存儲于移動存儲器中���,所述VPN客戶端在所述移動存儲器連接到計算機設備之后自動運行���;所述VPN客戶端收到來自所述認證服務器的所述配置請求的響應信息后,根據(jù)所述響應信息中攜帶的協(xié)商參數(shù)信息與VPN網(wǎng)關進行通信���。
優(yōu)選地���,所述VPN客戶端向所述認證服務器發(fā)送所述配置請求包括所述VPN客戶端將所述配置請求用所述認證服務器的公鑰加密后,再用所述移動存儲器中存儲的所述 VPN客戶端的私鑰簽名�;所述VPN客戶端將簽名后的所述配置請求發(fā)送給所述認證服務器。
優(yōu)選地���,所述VPN客戶端向所述認證服務器發(fā)送所述配置請求之后�,所述方法還包括所述認證服務器對接收到所述配置請求中的用戶信息進行驗證�;在驗證通過的情況下,所述認證服務器向所述VPN客戶端返回所述響應信息���,其中����,所述響應信息中包括所述協(xié)商參數(shù)信息和所述VPN網(wǎng)關的地址信息�����。
優(yōu)選地�����,所述認證服務器對接收到所述配置請求中的用戶信息進行驗證包括所述認證服務器解密所述配置請求����,從解密后的所述配置請求中獲取與所述VPN客戶端對應的用戶信息;所述認證服務器驗證該用戶信息是否為所述認證服務器頒發(fā)的身份證書����。
優(yōu)選地,所述認證服務器向所述VPN客戶端返回所述響應信息包括所述認證服務器將所述協(xié)商參數(shù)信息和所述VPN網(wǎng)關的地址信息用所述VPN客戶端公鑰加密后�,再用自身私鑰簽名;所述認證服務器將簽名后的所述協(xié)商參數(shù)信息和所述VPN網(wǎng)關的地址信息攜帶在所述響應信息中發(fā)送給所述VPN客戶端�。
優(yōu)選地,所述移動存儲器中存儲以下信息所述移動存儲器的私鑰����、所述認證服務器頒發(fā)的身份證書和所述認證服務器的公鑰證書。
優(yōu)選地����,所述移動存儲器中存儲的信息還包括所述認證服務器的地址和/或所述認證服務器的域名�����。
根據(jù)本發(fā)明的另一方面���,提供了一種VPN客戶端,位于移動存儲器之中�,包括請求模塊,用于向認證服務器發(fā)送配置請求���,其中��,所述VPN客戶端在所述移動存儲器連接到計算機設備之后運行��;接入模塊�,用于在所述VPN客戶端收到來自所述認證服務器的所述配置請求的響應信息后���,根據(jù)所述響應信息中攜帶的協(xié)商參數(shù)信息與VPN網(wǎng)關進行通信��。
優(yōu)選地�����,所述請求模塊包括簽名模塊���,用于將所述配置請求用所述認證服務器的公鑰加密后,再用所述移動存儲器中存儲的所述VPN客戶端的私鑰簽名����;發(fā)送模塊,用于將所述簽名模塊簽名后的所述配置請求發(fā)送給所述認證服務器����。
優(yōu)選地,所述移動存儲器為通用串行總線密鑰(Ukey)�。
根據(jù)本發(fā)明的技術方案,采用存儲于移動存儲器中的VPN客戶端在移動存儲器連接到計算機設備之后���,向認證服務器發(fā)送配置請求�����;以及VPN客戶端在收到該配置請求的響應信息后�,根據(jù)該響應信息中攜帶的協(xié)商參數(shù)信息與VPN網(wǎng)關進行通信的方式���,解決了相關技術中VPN客戶端訪問企業(yè)內(nèi)部資源時手動配置復雜或自動配置受限的問題���,簡化了 VPN客戶端的配置過程�,使得在VPN網(wǎng)關參數(shù)變化的情況下VPN客戶端能夠自動修改設置�����, 從而不影響VPN客戶端的接入�,提高了系統(tǒng)的靈活性和兼容性。
說明書附圖用來提供對本發(fā)明的進一步理解��,構成本申請的一部分����,本發(fā)明的示意性實施例及其說明用于解釋本發(fā)明,并不構成對本發(fā)明的不當限定���。在附圖中
圖I是根據(jù)本發(fā)明實施例的VPN的接入方法的流程圖2是根據(jù)本發(fā)明實施例的VPN客戶端的結構框圖3是根據(jù)本發(fā)明優(yōu)選實施例的VPN客戶端的結構框圖4是根據(jù)本發(fā)明實施例一的VPN的接入系統(tǒng)的結構示意圖5是根據(jù)本發(fā)明實施例一的認證服務器處理VPN客戶端配置請求的方法的流程圖6是根據(jù)本發(fā)明實施例二的VPN的接入方法的流程圖�。
具體實施方式
需要說明的是��,在不沖突的情況下��,本申請中的實施例及實施例中的特征可以相互組合��。下面將參考附圖并結合實施例來詳細說明本發(fā)明���。5
根據(jù)本發(fā)明實施例��,提供了一種VPN的接入方法���。圖I是根據(jù)本發(fā)明實施例的VPN 的接入方法的流程圖�,如圖I所示��,該方法包括以下步驟
步驟S102���,VPN客戶端向認證服務器發(fā)送配置請求,其中��,VPN客戶端存儲于移動存儲器中����,VPN客戶端在該移動存儲器連接到計算機設備之后運行;
步驟S104�����,VPN客戶端收到來自證服務器的該配置請求的響應信息后�����,根據(jù)該響應信息中攜帶的協(xié)商參數(shù)信息與VPN網(wǎng)關進行通信�����。
通過上述步驟,采用存儲于移動存儲器中的VPN客戶端在移動存儲器連接到計算機設備之后�,向認證服務器發(fā)送配置請求;以及VPN客戶端在收到該配置請求的響應信息后��,根據(jù)該響應信息中攜帶的協(xié)商參數(shù)信息與VPN網(wǎng)關進行通信的方式�,解決了相關技術中VPN客戶端訪問企業(yè)內(nèi)部資源時手動配置復雜或自動配置受限的問題,簡化了 VPN客戶端的配置過程�����,使得在VPN網(wǎng)關參數(shù)變化的情況下VPN客戶端能夠自動修改設置���,從而不影響VPN客戶端的接入����,提高了系統(tǒng)的靈活性和兼容性�。
例如,當用戶想通過VPN客戶端接入VPN時����,只需要將能夠隨身攜帶的移動存儲器 (集成VPN客戶端)與計算機設備連接,即可以自動向認證服務器請求協(xié)商參數(shù)、自動配置參數(shù)及進行隧道協(xié)商建立通訊連接���,從而簡化了 VPN客戶端的配置過程��。并且�����,在認證服務器監(jiān)聽到VPN網(wǎng)關的參數(shù)信息發(fā)生了變化的情況后���,能夠根據(jù)VPN客戶端的配置請求����,發(fā)送最新的VPN網(wǎng)關參數(shù)信息給VPN客戶端,即����,在VPN網(wǎng)關參數(shù)變化的情況下VPN客戶端能夠自動修改設置,從而不影響VPN客戶端的正常接入�。
實施過程中,在步驟S102中�,VPN客戶端可以將配置請求用認證服務器的公鑰加密后,再用移動存儲器中存儲的VPN客戶端的私鑰簽名��;VPN客戶端將簽名后的配置請求發(fā)送給認證服務器。例如��,該方法可以使用公開密鑰基礎設施(Pub lie Key Infrastructure, 簡稱為PKI)技術����,這樣可以保障在VPN客戶端與認證服務器之間數(shù)據(jù)傳輸?shù)陌踩岣吡讼到y(tǒng)的安全性���。
優(yōu)選地����,步驟S102之后�����,認證服務器可以對接收到配置請求中的用戶信息進行驗證���;在驗證通過的情況下����,認證服務器向VPN客戶端返回響應信息����,其中,該響應信息中包括協(xié)商參數(shù)信息和VPN網(wǎng)關的地址信息。該方法采用認證服務器集中管理VPN客戶端相應身份的協(xié)商參數(shù)�,并根據(jù)身份返回協(xié)商參數(shù)和VPN網(wǎng)關的地址信息,進一步保障了系統(tǒng)的安全性�����,同時方便了管理員對VPN接入用戶的準入和權限管理�����。
優(yōu)選地����,上述認證服務器接收到來自VPN客戶端的配置請求后,對該配置請求中的用戶信息進行驗證可以包括認證服務器首先解密該配置請求��,從解密后的配置請求中獲取與VPN客戶端對應的用戶信息�����;然后��,認證服務器驗證該用戶信息是否為認證服務器頒發(fā)的身份證書���。該方法采用網(wǎng)絡身份驗證機制,認證服務器對頒發(fā)了身份證書的來自VPN 客戶端的配置請求進行響應,通過響應���,將訪問企業(yè)內(nèi)部資源的VPN網(wǎng)關的相關配置信息發(fā)送給VPN客戶端��,實現(xiàn)了多重的數(shù)據(jù)安全保障���,提高了系統(tǒng)的精確度和有效性。
在實施過程中����,認證服務器向VPN客戶端返回該配置請求的響應信息可以包括 認證服務器將協(xié)商參數(shù)信息和VPN網(wǎng)關的地址信息用VPN客戶端公鑰加密后,再用自身私鑰簽名�����;認證服務器將簽名后的協(xié)商參數(shù)信息和VPN網(wǎng)關的地址信息攜帶在響應信息中發(fā)送給VPN客戶端���。該方法可以采用PKI技術����,在認證服務器和VPN客戶端之間建立加密的數(shù)據(jù)傳輸�����,提高了系統(tǒng)的安全性。
優(yōu)選地��,在移動存儲器中可以存儲如下信息移動存儲器的私鑰����、認證服務器頒發(fā)的身份證書和認證服務器的公鑰證書。例如����,在存儲有VPN客戶端的移動存儲器出廠時,就根據(jù)認證服務器分配的身份信息寫入了相關證書�,且相關信息不易解讀和篡改,這樣�,在保障了安全性的同時,能夠?qū)Σ煌囊苿哟鎯ζ魉鶎挠脩羯矸菰O置不同的標識�,從而便于實現(xiàn)權限或業(yè)務管理。
優(yōu)選地�,在移動存儲器中存儲的信息還可以包括認證服務器的地址和/或認證服務器的域名。移動存儲器中不直接保存VPN網(wǎng)關地址��,而保存認證服務器的地址或域名�。通常認證服務器的地址或域名是相對穩(wěn)定的����,移動存儲器在每次請求時向上述地址請求VPN網(wǎng)關的地址����,保障了系統(tǒng)的穩(wěn)定性�����,同時采用該方法不必公開VPN網(wǎng)關的地址����,從而避免VPN網(wǎng)關地址暴露,增加了安全屏障���。
對應于上述方法���,本發(fā)明實施例還提供了一種VPN客戶端。圖2是根據(jù)本發(fā)明實施例的VPN客戶端的結構框圖����,如圖2所示,該裝置位于移動存儲器之中����,包括請求模塊 22和接入模塊24,其中����,請求模塊22����,用于向認證服務器發(fā)送配置請求���,其中���,VPN客戶端在移動存儲器連接到計算機設備之后運行;接入模塊24�,耦合至請求模塊22,用于在VPN客戶端收到來自認證服務器的配置請求的響應信息后���,根據(jù)該響應信息中攜帶的協(xié)商參數(shù)信息與VPN網(wǎng)關進行通信��。
通過上述裝置���,位于移動存儲器之中的VPN客戶端的請求模塊22在移動存儲器連接到計算機設備之后,向認證服務器發(fā)送配置請求���;接入模塊24在VPN客戶端收到該配置請求的響應信息后��,根據(jù)該響應信息中攜帶的協(xié)商參數(shù)信息與VPN網(wǎng)關進行通信��,解決了相關技術中VPN客戶端訪問企業(yè)內(nèi)部資源時手動配置復雜或自動配置受限的問題�����,簡化了 VPN客戶端的配置過程�,使得在VPN網(wǎng)關參數(shù)變化的情況下VPN客戶端能夠自動修改設置��, 從而不影響VPN客戶端的接入����,提高了系統(tǒng)的靈活性和兼容性。
圖3是根據(jù)本發(fā)明優(yōu)選實施例的VPN客戶端的結構框圖��,如圖3所示�,該裝置具有圖2所示裝置的全部模塊,其中上述請求模塊22包括簽名模塊32和發(fā)送模塊34�����,其中���,簽名模塊32����,用于將該配置請求用認證服務器的公鑰加密后,再用移動存儲器中存儲的VPN 客戶端的私鑰簽名���;發(fā)送模塊34����,耦合至簽名模塊32��,用于將簽名模塊32簽名后的配置請求發(fā)送給認證服務器�。
優(yōu)選地,存儲VPN客戶端的硬件設備為具有通用串行總線(Universal Serial Bus,簡稱為USB)接口的硬件存儲設備��,簡稱Ukey��,它內(nèi)置單片機或智能卡芯片����,有一定的存儲空間,可以存儲用戶的私鑰以及數(shù)字證書����,利用Ukey內(nèi)置的公鑰算法實現(xiàn)對用戶身份的認證。由于用戶私鑰保存在密碼鎖中����,理論上使用任何方式都無法讀取�,因此保證了用戶認證的安全性�。
下面結合優(yōu)選實施例和附圖對上述實施例的實現(xiàn)過程進行詳細說明�����。
實施例一
本實施例中涉及三個部分����,即,Ukey���、認證服務器和VPN網(wǎng)關�����。其中�,Ukey中包括 VPN客戶端�、用戶證書和默認配置(例如,認證服務器的域名/認證服務器的地址)等相關的內(nèi)容�;認證服務器相當于認證中心(Certificate Authority,簡稱為CA)服務器,負責對用戶證書及用戶身份的驗證,同時通過加密的方式下發(fā)VPN的相關配置(例如��,協(xié)商參數(shù),VPN 網(wǎng)關地址����,遠程保護子網(wǎng)信息)給VPN客戶端;VPN客戶端接收服務器發(fā)送的加密消息�,解密后獲得協(xié)商參數(shù)、VPN網(wǎng)關地址����,遠程保護子網(wǎng)信息等配置后,自動和VPN網(wǎng)關進行隧道協(xié)商���。其中���,涉及了客戶端自動運行技術、配置自動下發(fā)技術和公開密鑰基礎設施(Public KeyInfrastructure,簡稱為PKI)相關的技術����。
圖4是根據(jù)本發(fā)明實施例一的VPN的接入系統(tǒng)的結構示意圖,如圖4所示�,其中, 用戶所持有的Ukey內(nèi)置認證服務器的地址和/或認證服務器的域名����;除上述參數(shù)以外還內(nèi)置有自身的私鑰����、認證服務器頒發(fā)的證書及認證服務器的公鑰證書���。內(nèi)網(wǎng)服務器存儲的是客戶所需資源�?����?蛻舳伺c認證服務器之間傳輸?shù)氖羌用芎蟮膮f(xié)商參數(shù)��、VPN網(wǎng)關的地址或域名��、遠程保護子網(wǎng)等��。
圖5是根據(jù)本發(fā)明實施例一的認證服務器處理VPN客戶端配置請求的方法的流程圖�,如圖5所示����,其中,客戶端是VPN客戶端��,服務器是認證服務器�����,網(wǎng)關是VPN網(wǎng)關。該方法包括如下步驟
步驟S502�����,服務器監(jiān)聽到客戶端的配置請求���。
步驟S504���,服務器驗證客戶端身份。例如�����,驗證解密后的請求信息�、請求的身份證書是否是認證服務器所頒發(fā)的如果是,則進入步驟S506����,否則,進入步驟S510����。
步驟S506�,身份驗證通過后�,根據(jù)身份決定回復的配置和網(wǎng)關地址,使用客戶端公鑰對上述配置和配置的消息摘要算法第5版(Message-Digest algorithm version 5,簡稱為MD5)碼加密���,并使用自身私鑰簽名���。需要說明的是,這里的身份信息可以對應相應的安全級別或業(yè)務權限����。認證服務器可以使用相應的加密級別回復相應的配置和/或網(wǎng)關地址�;以及在隧道協(xié)商過程中,客戶端與網(wǎng)關之間可以根據(jù)該相應的配置建立相應安全級別的隧道通訊���;以及客戶端可以根據(jù)相應的配置信息在VPN中得到相應的權限或獲取相應的業(yè)務�����。
步驟S508��,向客戶端傳輸配置信息�。傳輸完配置信息后����,進入步驟S512����。
步驟S510����,丟棄認證信息。
步驟S512�����,服務器進入監(jiān)聽客戶端配置請求狀態(tài)�。監(jiān)聽到下一次配置請求時,進入步驟S502�����。
在實施過程中�����,本實施例中認證服務器可以根據(jù)Ukey中的證書身份�,向客戶端回復相應的配置及對方網(wǎng)關地址信息,隨后客戶端即可與網(wǎng)關進行協(xié)商��、通信?��?蛻舳双@得協(xié)商參數(shù)的過程可以使用公私鑰加解密和使用MD5或安全散列算法第I版(Secure Hash Algorithmversion I,簡稱為SHAl)等算法進行完整性檢查�����。
本實施例實現(xiàn)了 VPN移動用戶通過Ukey實現(xiàn)VPN功能的即插即用��,免去了移動用戶的復雜配置過程��,同時通過PKI等技術實現(xiàn)了身份認證���、數(shù)據(jù)加密等功能,以保護用戶數(shù)據(jù)的安全性��。其中����,實施時��,Ukey可以由管理員統(tǒng)一簽發(fā),每個Ukey有唯一的用戶證書��,同時Ukey中可以集成VPN客戶端軟件���。
實施例二
圖6是根據(jù)本發(fā)明實施例二的VPN的接入方法的流程圖�����,如圖6所示�,該方法包括
步驟S602,在客戶端側(cè)�����,首先�,Ukey進入準備就緒狀態(tài)。例如��,在任意可以接入因特網(wǎng)的PC客戶端上插入Ukey��。需要說明的是����,該PC客戶端無需手動安裝軟件,VPN客戶端在Ukey內(nèi)自動運行自身程序��。
步驟S604�����,Ukey中的VPN客戶端將要發(fā)送的配置請求用認證服務器的公鑰加密, 并用自身的私鑰簽名����。
步驟S606,向認證服務器發(fā)送簽名后的配置請求�。
步驟S608,認證服務器對接收到的來自Ukey中VPN客戶端的配置請求進行驗證��, 即判斷該配置請求是否通過驗證��。若該配置請求通過���,則進入步驟S610���,否則進入步驟 S614。
步驟S610�����,認證服務器向Ukey中VPN客戶端下發(fā)VPN網(wǎng)關的相關配置���。
步驟S612,Ukey中VPN客戶端接收到來自認證服務器根據(jù)該配置請求返回的VPN 網(wǎng)關的相關配置后���,與VPN網(wǎng)關進行隧道協(xié)商���。例如�,在實施過程中�����,Ukey中VPN客戶端可以將限定時間內(nèi)收到的該配置請求的響應信息作為有效的VPN網(wǎng)關的配置信息����,如果在限定時間外收到的返回信息,均認為無效的信息����,此時可以再次向認證服務器發(fā)送配置請求, 重新請求VPN網(wǎng)關的相關配置����。
步驟S614,提示請求失敗�����。
綜上所述,上述實施例提供了一種基于安全KEY的VPN客戶端零配置方法���,結合與 PKI相關的技術���,給只需每個用戶發(fā)放一個Ukey,當用戶需要建立VPN連接時��,只需將Ukey 插入電腦USB接口����,系統(tǒng)就能自動運行并自動連接到認證服務器,通過認證服務器實現(xiàn)用戶身份認證及VPN相關配置�����,然后VPN客戶端根據(jù)具體配置進行VPN自動連接�。
顯然,本領域的技術人員應該明白����,上述的本發(fā)明的各模塊或各步驟可以用通用的計算裝置來實現(xiàn),它們可以集中在單個的計算裝置上��,或者分布在多個計算裝置所組成的網(wǎng)絡上����,可選地,它們可以用計算裝置可執(zhí)行的程序代碼來實現(xiàn)�����,從而�����,可以將它們存儲在存儲裝置中由計算裝置來執(zhí)行����,或者將它們分別制作成各個集成電路模塊,或者將它們中的多個模塊或步驟制作成單個集成電路模塊來實現(xiàn)����。這樣,本發(fā)明不限制于任何特定的硬件和軟件結合�。
以上所述僅為本發(fā)明的優(yōu)選實施例而已,并不用于限制本發(fā)明���,對于本領域的技術人員來說�,本發(fā)明可以有各種更改和變化��。凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改�����、等同替換�、改進等,均應包含在本發(fā)明的保護范圍之內(nèi)�。
權利要求
1.一種虛擬專用網(wǎng)VPN的接入方法,其特征在于包括 VPN客戶端向認證服務器發(fā)送配置請求��,其中����,所述VPN客戶端存儲于移動存儲器中,所述VPN客戶端在所述移動存儲器連接到計算機設備之后自動運行���; 所述VPN客戶端收到來自所述認證服務器的所述配置請求的響應信息后���,根據(jù)所述響應信息中攜帶的協(xié)商參數(shù)信息與VPN網(wǎng)關進行通信。
2.根據(jù)權利要求I所述的方法�,其特征在于,所述VPN客戶端向所述認證服務器發(fā)送所述配置請求包括 所述VPN客戶端將所述配置請求用所述認證服務器的公鑰加密后����,再用所述移動存儲器中存儲的所述VPN客戶端的私鑰簽名�����; 所述VPN客戶端將簽名后的所述配置請求發(fā)送給所述認證服務器�����。
3.根據(jù)權利要求I所述的方法,其特征在于�,所述VPN客戶端向所述認證服務器發(fā)送所述配置請求之后,還包括 所述認證服務器對接收到所述配置請求中的用戶信息進行驗證����; 在驗證通過的情況下,所述認證服務器向所述VPN客戶端返回所述響應信息����,其中,所述響應信息中包括所述協(xié)商參數(shù)信息和所述VPN網(wǎng)關的地址信息��。
4.根據(jù)權利要求3所述的方法�,其特征在于,所述認證服務器對接收到所述配置請求中的用戶信息進行驗證包括 所述認證服務器解密所述配置請求��,從解密后的所述配置請求中獲取與所述VPN客戶端對應的用戶信息�����; 所述認證服務器驗證該用戶信息是否為所述認證服務器頒發(fā)的身份證書。
5.根據(jù)權利要求3所述的方法��,其特征在于����,所述認證服務器向所述VPN客戶端返回所述響應信息包括 所述認證服務器將所述協(xié)商參數(shù)信息和所述VPN網(wǎng)關的地址信息用所述VPN客戶端公鑰加密后,再用自身私鑰簽名�; 所述認證服務器將簽名后的所述協(xié)商參數(shù)信息和所述VPN網(wǎng)關的地址信息攜帶在所述響應信息中發(fā)送給所述VPN客戶端。
6.根據(jù)權利要求I至5中任一項所述的方法��,其特征在于��,所述移動存儲器中存儲以下信息 所述移動存儲器的私鑰����、所述認證服務器頒發(fā)的身份證書和所述認證服務器的公鑰證書。
7.根據(jù)權利要求6所述的方法���,其特征在于��,所述移動存儲器中存儲的信息還包括 所述認證服務器的地址和/或所述認證服務器的域名��。
8.—種虛擬專用網(wǎng)VPN客戶端�,位于移動存儲器之中,其特征在于包括 請求模塊�,用于向認證服務器發(fā)送配置請求,其中����,所述VPN客戶端在所述移動存儲器連接到計算機設備之后運行; 接入模塊�����,用于在所述VPN客戶端收到來自所述認證服務器的所述配置請求的響應信息后�,根據(jù)所述響應信息中攜帶的協(xié)商參數(shù)信息與VPN網(wǎng)關進行通信����。
9.根據(jù)權利要求8所述的客戶端,其特征在于��,所述請求模塊包括 簽名模塊���,用于將所述配置請求用所述認證服務器的公鑰加密后�,再用所述移動存儲器中存儲的所述VPN客戶端的私鑰簽名�����; 發(fā)送模塊,用于將所述簽名模塊簽名后的所述配置請求發(fā)送給所述認證服務器���。
10.根據(jù)權利要求8或9所述的客戶端���,其特征在于,所述移動存儲器為通用串行總線密鑰Ukey��。
全文摘要
本發(fā)明公開了一種虛擬專用網(wǎng)的接入方法及虛擬專用網(wǎng)客戶端�,其中,該方法包括虛擬專用網(wǎng)(VPN)客戶端向認證服務器發(fā)送配置請求�,其中,VPN客戶端存儲于移動存儲器中�,VPN客戶端在移動存儲器連接到計算機設備之后自動運行;VPN客戶端收到來自認證服務器的配置請求的響應信息后����,根據(jù)響應信息中攜帶的協(xié)商參數(shù)信息與VPN網(wǎng)關進行通信。通過本發(fā)明����,解決了相關技術中VPN客戶端訪問企業(yè)內(nèi)部資源時手動配置復雜或自動配置受限的問題,簡化了VPN客戶端的配置過程��,使得在VPN網(wǎng)關參數(shù)變化的情況下VPN客戶端能夠自動修改設置,從而不影響VPN客戶端的接入�,提高了系統(tǒng)的靈活性和兼容性。
文檔編號H04L9/32GK102984045SQ20121051686
公開日2013年3月20日 申請日期2012年12月5日 優(yōu)先權日2012年12月5日
發(fā)明者任獻永, 黎學森, 李紅光 申請人:網(wǎng)神信息技術(北京)股份有限公司, 網(wǎng)神科技(北京)有限公司