一種認證方法和裝置與流程

文檔序號：12729141閱讀：377來源：國知局

本申請涉及網(wǎng)絡通信技術，特別涉及一種認證方法和裝置。

背景技術：

安全套接層協(xié)議(SSL：Secure Sockets Layer)虛擬專用網(wǎng)絡(VPN：Virtual Private Network)短信認證為接入用戶提供了安全可靠地訪問公司內部資源的方式。

但是，目前的SSLVPN短信認證依賴于現(xiàn)有的AAA認證，只有當AAA認證成功后才由AAA認證服務器通知SSLVPN客戶端需要進行SSLVPN短信認證以及觸發(fā)短信服務器發(fā)送短信請求開始執(zhí)行SSLVPN短信認證。

而SSLVPN短信認證依賴AAA認證，會限制SSLVPN短信認證的應用。

技術實現(xiàn)要素：

本申請?zhí)峁┝艘环N認證方法和裝置，以實現(xiàn)AAA認證和SSLVPN短信認證分離。

本申請?zhí)峁┑募夹g方案包括：

一種認證方法，該方法應用于安全套接層協(xié)議SSL虛擬專用網(wǎng)絡VPN接入設備，包括：

通過本設備與SSLVPN客戶端之間的SSL安全通道接收SSLVPN客戶端發(fā)送的認證請求；

從所述認證請求中解析出用于驗證、授權和記費AAA認證的第一認證參數(shù)，將所述第一認證參數(shù)攜帶在AAA認證請求中發(fā)送給AAA認證服務器；

從所述認證請求中解析出用于SSLVPN短信認證的第二認證參數(shù)，將所述第二認證參數(shù)攜帶在短信認證請求中發(fā)送給短信服務器；

依據(jù)AAA認證結果和SSLVPN短信認證結果確定SSLVPN客戶端是否通過認證，所述AAA認證結果為AAA認證服務器對所述第一認證參數(shù)進行認證的結果，所述SSLVPN短信認證結果為短信服務器對所述第二認證參數(shù)進行認證的結果。

一種認證方法，該方法應用于安全套接層協(xié)議SSL虛擬專用網(wǎng)絡VPN客戶端，包括：

獲取認證參數(shù)，所述認證參數(shù)中包含用于驗證、授權和記費AAA認證的第一認證參數(shù)，以及用于SSLVPN短信認證的第二認證參數(shù)；

通過本SSLVPN客戶端與SSLVPN接入設備之間的SSL安全通道發(fā)送認證請求，所述認證請求攜帶了所述認證參數(shù)。

一種認證裝置，該裝置應用于安全套接層協(xié)議SSL虛擬專用網(wǎng)絡VPN接入設備，包括：

認證請求接收單元，用于通過本設備與SSLVPN客戶端之間的SSL安全通道接收SSLVPN客戶端發(fā)送的認證請求；

AAA認證請求單元，用于從所述認證請求中解析出用于驗證、授權和記費AAA認證的第一認證參數(shù)，將所述第一認證參數(shù)攜帶在AAA認證請求中發(fā)送給AAA認證服務器；

SSLVPN短信認證請求單元，用于從所述認證請求中解析出用于SSLVPN短信認證的第二認證參數(shù)，將所述第二認證參數(shù)攜帶在短信認證請求中發(fā)送給短信服務器；

確定單元，用于依據(jù)AAA認證結果和SSLVPN短信認證結果確定SSLVPN客戶端是否通過認證，所述AAA認證結果為AAA認證服務器對所述第一認證參數(shù)進行認證的結果，所述SSLVPN短信認證結果為短信服務器對所述第二認證參數(shù)進行認證的結果。

一種認證裝置，該裝置應用于安全套接層協(xié)議SSL虛擬專用網(wǎng)絡VPN客戶端，包括：

獲取單元，用于獲取認證參數(shù)，所述認證參數(shù)中包含用于驗證、授權和記費AAA認證的第一認證參數(shù)，以及用于SSLVPN短信認證的第二認證參數(shù)；

認證請求單元，用于通過本SSLVPN客戶端與SSLVPN接入設備之間的SSL安全通道發(fā)送認證請求，所述認證請求攜帶了所述認證參數(shù)。

由以上技術方案可以看出，本申請中，AAA認證和SSLVPN短信認證相互分離，而非現(xiàn)有技術中SSLVPN短信認證依賴于AAA認證，相比于現(xiàn)有技術，本申請能夠使得SSLVPN短信認證可以天然支持任何認證方式的配合；

再進一步地，在本申請中，SSLVPN接入設備與SSLVPN客戶端之間的交互都是在SSL安全通道中進行，這會保證SSLVPN客戶端認證的安全。

附圖說明

此處的附圖被并入說明書中并構成本說明書的一部分，示出了符合本公開的實施例，并與說明書一起用于解釋本公開的原理。

圖1為本申請?zhí)峁┑姆椒鞒虉D；

圖2為本申請中SSLVPN客戶端動態(tài)獲取短信驗證碼的流程圖；

圖3為本申請?zhí)峁┑膶嵤├鞒虉D；

圖4為本申請?zhí)峁┑难b置結構示意圖；

圖5為本申請?zhí)峁┑牧硪谎b置結構示意圖。

具體實施方式

本申請?zhí)峁┑姆椒ㄖ?，AAA認證和SSLVPN短信認證相互分離，而非現(xiàn)有技術中SSLVPN短信認證依賴于AAA認證，相比于現(xiàn)有技術，本申請能夠使得SSLVPN短信認證可以天然支持任何認證方式的配合。

為了使本申請的目的、技術方案和優(yōu)點更加清楚，下面結合附圖和具體實施例對本申請進行詳細描述。

參見圖1，圖1為本申請?zhí)峁┑姆椒鞒虉D。如圖1所示，該流程可包括以下步驟：

步驟101，SSLVPN客戶端獲取認證參數(shù)，通過本SSLVPN客戶端與SSLVPN接入設備之間的SSL安全通道發(fā)送認證請求，認證請求攜帶了所述認證參數(shù)。

在本申請中，SSLVPN客戶端獲取的該認證參數(shù)既包含了用于AAA認證的第一認證參數(shù)比如用戶名、密碼，又包含了用于SSLVPN短信認證的第二認證參數(shù)比如用戶名、短信驗證碼。下文均以第二認證參數(shù)至少包含短信驗證碼為例描述。

在其中一個實施方式中，短信驗證碼是SSLVPN客戶端動態(tài)獲取的，下文圖2所示流程重點描述了SSLVPN客戶端如何動態(tài)獲取短信驗證碼，這里暫不贅述。

在另外一個實施方式中，短信驗證碼也可由SSLVPN客戶端與短信服務器預先協(xié)商并存儲在SSLVPN客戶端本地。

本步驟101中，SSLVPN客戶端通過與SSLVPN接入設備之間的SSL安全通道發(fā)送攜帶上述認證參數(shù)的認證請求，能夠通過一次認證請求觸發(fā)AAA認證和SSLVPN短信認證兩個相互獨立的認證(具體見步驟102至步驟104)，這防止SSLVPN客戶端針對AAA認證和SSLVPN短信認證分別發(fā)送認證請求，節(jié)省資源，提高認證效率，更能避免SSLVPN短信認證依賴于AAA認證，以使本申請?zhí)峁┑腟SLVPN短信認證可以天然支持任何認證方式的配合。

步驟102，SSLVPN接入設備通過本設備與SSLVPN客戶端之間的SSL安全通道接收SSLVPN客戶端發(fā)送的認證請求，從認證請求中解析出用于AAA認證的第一認證參數(shù)，將所述第一認證參數(shù)攜帶在AAA認證請求中發(fā)送給AAA認證服務器，以及，從認證請求中解析出用于SSLVPN短信認證的第二認證參數(shù)，將所述第二認證參數(shù)攜帶在短信認證請求中發(fā)送給短信服務器。

假如認證參數(shù)包含用戶名、密碼、短信驗證碼，則以第一認證參數(shù)為用戶名、密碼為例，步驟102中從認證請求中解析出用于AAA認證的第一認證參數(shù)，將所述第一認證參數(shù)攜帶在AAA認證請求中發(fā)送給AAA認證服務器具體為：

從認證請求攜帶的用戶名、密碼、短信驗證碼中獲得用戶名、密碼，將用戶名、密碼攜帶在AAA認證請求中發(fā)送給AAA認證服務器。這里的AAA認證請求類似現(xiàn)有AAA認證中的AAA認證請求，不再贅述。

再假如認證參數(shù)包含用戶名、密碼、短信驗證碼，則以第二認證參數(shù)為用戶名、短信驗證碼為例，其中，第二認證參數(shù)中的用戶名與第一認證參數(shù)中的用戶名相同，在此，僅僅是為了表述方便，因而將包含有用戶名和密碼的認證參數(shù)命名為第一認證參數(shù)，包含有用戶名和短信驗證碼的認證參數(shù)命名為第二認證參數(shù)。則，步驟102中，從認證請求中解析出用于SSLVPN短信認證的第二認證參數(shù)，將所述第二認證參數(shù)攜帶在短信認證請求中發(fā)送給短信服務器具體為：

從認證請求攜帶的用戶名、密碼、短信驗證碼中獲得用戶名、短信驗證碼，將用戶名、短信驗證碼攜帶在短信認證請求中發(fā)送給短信服務器。這里的短信認證請求類似現(xiàn)有短信認證中的短信認證請求，不再贅述。

需要說明的是，步驟102中從認證請求中解析出用于AAA認證的第一認證參數(shù)，將所述第一認證參數(shù)攜帶在AAA認證請求中發(fā)送給AAA認證服務器，與步驟102中從認證請求中解析出用于SSLVPN短信認證的第二認證參數(shù)，將所述第二認證參數(shù)攜帶在短信認證請求中發(fā)送給短信服務器并沒有固定的時間先后順序。

步驟103，SSLVPN接入設備依據(jù)AAA認證結果和SSLVPN短信認證結果確定SSLVPN客戶端是否通過認證，AAA認證結果為AAA認證服務器對所述第一認證參數(shù)進行認證的結果，SSLVPN短信認證結果為短信服務器對所述第二認證參數(shù)進行認證的結果。

其中，SSLVPN接入設備接收AAA認證結果和SSLVPN短信認證結果的先后順序并不加以限定。當然，一種優(yōu)選的實施方式中，SSLVPN接入設備同時接收AAA認證結果和SSLVPN短信認證結果。

作為一個實施方式，步驟103中，SSLVPN接入設備依據(jù)AAA認證結果和SSLVPN短信認證結果確定SSLVPN客戶端是否通過認證具體包括：

對所述AAA認證結果和所述SSLVPN短信認證結果進行判斷，在判斷所述AAA認證結果和所述SSLVPN短信認證結果均為通過認證時，確定SSLVPN客戶端通過認證，否則，確定SSLVPN客戶端未通過認證。

作為一個實施方式，當SSLVPN接入設備確定SSLVPN客戶端通過認證時，SSLVPN接入設備可進一步向SSLVPN客戶端發(fā)送認證成功的通知，并對SSLVPN客戶端進行后續(xù)的授權、計費等操作。

通過圖1所示流程步驟101至步驟103可以看出，在本申請中，AAA認證和SSLVPN短信認證相互分離，而非現(xiàn)有技術中SSLVPN短信認證依賴于AAA認證，相比于現(xiàn)有技術，本申請能夠使得SSLVPN短信認證可以天然支持任何認證方式的配合；

進一步地，在本申請中，短信服務器并不和AAA認證服務器通信，而是與SSL VPN接入設備通信，這是實現(xiàn)AAA認證和SSLVPN短信認證相互分離的前提，避免現(xiàn)有AAA認證服務器在AAA認證成功后觸發(fā)短信服務器發(fā)送短信請求開始執(zhí)行SSLVPN短信認證的操作。再進一步地，在本申請中，SSLVPN接入設備與SSLVPN客戶端之間的交互都是在SSL安全通道中進行，這會保證SSLVPN客戶端認證的安全。

至此，完成圖1所示流程。

下面對本申請中SSLVPN客戶端如何動態(tài)獲取短信驗證碼進行描述：

參見圖2，圖2為本申請中SSLVPN客戶端動態(tài)獲取短信驗證碼的流程圖。如圖2所示，該流程可包括以下步驟：

步驟201，SSLVPN客戶端通過本客戶端與SSLVPN接入設備之間的SSL安全通道向SSLVPN接入設備發(fā)送短信驗證碼請求。

在本申請中，SSLVPN客戶端發(fā)送之所以向SSLVPN接入設備發(fā)送短信驗證碼請求，其目的是使SSLVPN接入設備將所述短信驗證碼請求轉發(fā)給短信服務器，以觸發(fā)短信服務器基于所述短信驗證碼請求為SSLVPN客戶端分配短信驗證碼。

在本申請中，作為一個實施例，短信驗證碼請求攜帶了用戶名。

步驟202，SSLVPN接入設備通過本設備與SSLVPN客戶端之間的SSL安全通道接收SSLVPN客戶端發(fā)送的短信驗證碼請求，按照本設備與所述短信服務器協(xié)商的報文格式重設所述短信驗證碼請求，將得到的符合所述報文格式的短信驗證碼請求發(fā)送給短信服務器。

在本申請中，SSLVPN接入設備之所以按照本設備與所述短信服務器協(xié)商的報文格式重設短信驗證碼請求，其目的是便于短信服務器正確識別短信驗證碼請求，以方便為SSLVPN客戶端分配短信驗證碼?？蛇x的，SSLVPN接入設備與短信服務器協(xié)商的報文格式可以為超文本傳輸協(xié)議HTTP(HyperText Transfer Protocol，簡稱HTTP)格式的短信驗證碼請求。

步驟203，短信服務器接收SSLVPN接入設備發(fā)送的短信驗證碼請求，基于接收的短信驗證碼請求返回一個短信驗證碼給SSLVPN客戶端。

如上描述，短信驗證碼請求攜帶了用戶名，作為一個實施例，本步驟203中基于接收的短信驗證碼請求返回一個短信驗證碼給SSLVPN客戶端具體為：

步驟a1，短信服務器從接收的短信驗證碼請求中解析出用戶名；

步驟a2，短信服務器生成一個短信驗證碼，并根據(jù)預先存儲的用戶名與用戶終端標識之間的對應關系確定解析出的用戶名對應的用戶終端，將生成的短信驗證碼發(fā)送給確定出的用戶終端。

作為一個實施方式，步驟a2中，短信服務器可隨機生成一個短信驗證碼，也可按照設定的規(guī)則生成一個短信驗證碼。設定的規(guī)則可根據(jù)需求設置，比如根據(jù)用戶名進行相應計算生成一個短信驗證碼等，本申請并不具體限定。

作為一個實施方式，這里的用戶終端標識舉例可為手機號等，本申請并不具體限定。

步驟a3，用戶終端接收短信服務器發(fā)送的短信驗證碼，并發(fā)送給SSLVPN客戶端。

通過步驟a1至步驟a3最終實現(xiàn)了步驟203中短信服務器基于接收的短信驗證碼請求返回短信驗證碼給SSLVPN客戶端的操作。

至此，完成圖2所示的流程。

下面通過一個實施例對圖1和圖2所示流程進行描述：

參見圖3，圖3為本申請?zhí)峁┑膶嵤├鞒虉D。在實施例之前，如圖3所示，SSLVPN客戶端與SSLVPN接入設備之間已建立了SSL安全通道，以確保后續(xù)認證的安全。

如圖3所示，該流程可包括：

步驟301，SSLVPN客戶端通過與SSLVPN接入設備之間的SSL安全通道向SSLVPN接入設備發(fā)送短信驗證碼請求。

步驟302，SSLVPN接入設備通過本設備與SSLVPN客戶端之間的SSL安全通道接收SSLVPN客戶端發(fā)送的短信驗證碼請求。

步驟303，SSLVPN接入設備按照本設備與所述短信服務器協(xié)商的報文格式重設所述短信驗證碼請求，將得到的符合所述報文格式的短信驗證碼請求發(fā)送給短信服務器。

可選的，SSLVPN接入設備與短信服務器協(xié)商的報文格式可以為超文本傳輸協(xié)議HTTP(HyperText Transfer Protocol，簡稱HTTP)格式的短信驗證碼請求，基于此，SSLVPN接入設備將接收的短信驗證碼請求重設為HTTP的短信驗證碼請求，并發(fā)送給短信服務器。

步驟304，短信服務器接收SSLVPN接入設備發(fā)送的短信驗證碼請求，基于接收的短信驗證碼請求返回一個短信驗證碼給SSLVPN客戶端。

本步驟304中短信服務器基于接收的短信驗證碼請求返回一個短信驗證碼給SSLVPN客戶端具體如上步驟a1至步驟a3所述。

通過步驟301至步驟304實現(xiàn)了短信服務器動態(tài)獲取短信驗證碼。

下面以用于AAA認證的第一認證參數(shù)為用戶名、密碼，用于SSLVPN短信認證的第二認證參數(shù)為用戶名、短信驗證碼為例，描述AAA認證和SSLVPN短信認證。

步驟305，SSLVPN客戶端通過與SSLVPN接入設備之間的SSL安全通道發(fā)送攜帶了用戶名、密碼、短信驗證碼的認證請求。

步驟306，SSLVPN接入設備通過本設備與SSLVPN客戶端之間的SSL安全通道接收SSLVPN客戶端發(fā)送的認證請求。

步驟307，SSLVPN接入設備將認證請求中的用戶名、密碼攜帶在AAA認證請求中發(fā)送給AAA認證服務器，以及將認證請求中的用戶名、短信驗證碼攜帶在短信認證請求中發(fā)送給短信服務器。

步驟308，AAA認證服務器接收AAA認證請求，對AAA認證請求中的用戶名、密碼進行認證，返回AAA認證結果給SSLVPN接入設備。

步驟309，短信服務器接收短信認證請求，對短信認證請求中的用戶名、短信驗證碼進行認證，返回SSLVPN短信認證結果給SSLVPN接入設備。

步驟308、步驟309并沒有固定的時間先后順序，只是為便于描述進行的命名而已，不用于限定本申請。

步驟310，SSLVPN接入設備接收AAA認證結果和SSLVPN短信認證結果，對接收的AAA認證結果和SSLVPN短信認證結果進行判斷，當AAA認證結果和所述SSLVPN短信認證結果均為通過認證時，確定SSLVPN客戶端通過認證，否則，確定SSLVPN客戶端未通過認證。

SSLVPN接入設備接收AAA認證結果和SSLVPN短信認證結果的順序并不限定，可同時接收，也可先后接收，本申請并不具體限定。

作為一個實施例，當SSLVPN接入設備確定SSLVPN客戶端未通過認證時，SSLVPN接入設備發(fā)送認證失敗的通知給SSLVPN客戶端，以觸發(fā)SSLVPN客戶端重新發(fā)起如步驟301描述的短信驗證碼請求。

作為一個實施例，當SSLVPN客戶端接收認證成功的通知后，則可發(fā)送認證成功的通知給SSLVPN客戶端，并對SSLVPN客戶端進行后續(xù)的授權、計費等操作。

至此，完成圖3所示流程。

需要說明的是，在本申請中，短信驗證碼具有對應的生存時間，當短信驗證碼對應的生存時間到達時，短信驗證碼無效。

在本申請中，當AAA認證服務器可以根據(jù)需求進行切換，而AAA認證服務器的切換，僅需要將切換后的AAA認證服務器與SSLVPN接入設備進行綁定，則在綁定之后，SSLVPN接入設備檢測到AAA認證服務器發(fā)生切換，觸發(fā)SSLVPN客戶端重新發(fā)送認證請求，不需要進行其他特殊處理(例如，無需將切換后的AAA認證服務器與短信服務器進行綁定)來支持本申請中的SSLVPN短信認證。這樣，由于短信服務器不和AAA認證服務器綁定，因而當AAA認證服務器同時支持多種認證，即AAA認證服務器包括多個認證服務器時，例如包括遠程用戶撥號認證系統(tǒng)RADIUS(Remote Authentication Dial In User Service，簡稱RADIUS)服務器、輕量目錄訪問協(xié)議LDAP(Lightweight Directory Access Protocol，簡稱LDAP)認證服務器中的任意多個。則多個服務器無需分別同短信服務器進行關聯(lián)綁定，而僅需要SSLVPN接入設備與短信服務器之間進行關聯(lián)綁定即可。

當然，SSLVPN接入設備還可以支持活動目錄AD(Active Directory，簡稱AD)認證、本地認證等，同樣僅需SSLVPN接入設備與短信服務器之間進行關聯(lián)綁定即可，在此不一一列舉。

而對于SSLVPN客戶端，當接收到SSLVPN接入設備觸發(fā)的重新發(fā)送認證請求時，檢測所述短信驗證碼對應的生存時間是否到達，

如果否，返回執(zhí)行步驟101中通過本SSLVPN客戶端與SSLVPN接入設備之間的SSL安全通道發(fā)送攜帶了所述認證參數(shù)的認證請求的操作；

如果是，重新執(zhí)行獲取短信驗證碼的步驟(具體見圖2所示的流程)，在獲取短信驗證碼后繼續(xù)執(zhí)行通過本SSLVPN客戶端與SSLVPN接入設備之間的SSL安全通道發(fā)送認證請求的操作。

以上對本申請?zhí)峁┑姆椒ㄟM行描述。

下面對本申請?zhí)峁┑难b置進行描述：

參見圖4，圖4為本申請?zhí)峁┑难b置結構圖。該裝置應用于安全套接層協(xié)議SSL虛擬專用網(wǎng)絡VPN接入設備，包括：

認證請求接收單元，用于通過本設備與SSLVPN客戶端之間的SSL安全通道接收SSLVPN客戶端發(fā)送的認證請求；

優(yōu)選地，所述確定單元依據(jù)AAA認證結果和SSLVPN短信認證結果確定SSLVPN客戶端是否通過認證包括：

對所述AAA認證結果和所述SSLVPN短信認證結果進行判斷，在判斷出所述AAA認證結果和所述SSLVPN短信認證結果均為通過認證時，確定SSLVPN客戶端通過認證，否則，確定SSLVPN客戶端未通過認證。

優(yōu)選地，第二認證參數(shù)至少包含短信驗證碼；所述裝置進一步包括：

短信驗證碼請求單元，用于通過本設備與SSLVPN客戶端之間的SSL安全通道接收SSLVPN客戶端發(fā)送的短信驗證碼請求，按照本設備與所述短信服務器協(xié)商的報文格式重設所述短信驗證碼請求，將得到的符合所述報文格式的短信驗證碼請求發(fā)送給短信服務器，以觸使所述短信服務器發(fā)送為所述SSL VPN客戶端分配的短信驗證碼。

優(yōu)選地，其特征在于，該裝置進一步包括：

檢測單元，用于當檢測所述AAA認證服務器發(fā)生切換時，與切換后的AAA認證服務器建立連接，并觸發(fā)所述SSLVPN客戶端重新發(fā)送認證請求。

至此，完成圖4所示裝置的結構圖。

參見圖5，圖5為本申請?zhí)峁┑牧硪谎b置結構圖。該裝置應用于安全套接層協(xié)議SSL虛擬專用網(wǎng)絡VPN客戶端，包括：

認證請求單元，用于通過本SSLVPN客戶端與SSLVPN接入設備之間的SSL安全通道發(fā)送認證請求，所述認證請求攜帶了所述認證參數(shù)。

優(yōu)選地，所述第二認證參數(shù)至少包含短信驗證碼；

所述獲取單元通過以下步驟獲取短信驗證碼：

通過本SSLVPN客戶端與SSLVPN接入設備之間的SSL安全通道向SSLVPN接入設備發(fā)送短信驗證碼請求，以使SSLVPN接入設備將所述短信驗證碼請求轉發(fā)給短信服務器；

接收短信服務器基于所述短信驗證碼請求返回的短信驗證碼。

優(yōu)選地，所述短信驗證碼具有對應的生存時間，當短信驗證碼對應的生存時間到達時，所述短信驗證碼無效；

如圖5所示，該裝置進一步包括：

接收單元，用于當接收到SSLVPN接入設備觸發(fā)的重新發(fā)送認證請求時，檢查所述短信驗證碼對應的生存時間是否到達，所述SSLVPN接入設備是在檢測到AAA認證服務器發(fā)生切換時觸發(fā)SSLVPN客戶端重新發(fā)送認證請求；