The invention provides a single sign-on method and device based on virtual private network, which includes: when the VPN server detects the input of VPN login account, it sends the VPN login account to the authentication server; the authentication server authenticates the VPN login account and returns the authentication result to the VPN server; and the authentication result package when the authentication is successful. Includes a token used as a single sign-on authentication credential; when the authentication result received by the VPN server indicates that the authentication is successful, if a resource request for obtaining a single sign-on resource is received, the token is sent to the single sign-on authentication center of the resource server, where the resource server includes a single sign-on authentication center and a resource system; and the single sign-on system. The authentication center verifies the token and performs corresponding operations according to the verification results. The embodiment of the invention has the advantages of simple configuration, high account security and fast login.
【技术实现步骤摘要】
基于虚拟专用网络的单点登录方法及装置
本专利技术涉及网络安全
,尤其涉及一种基于虚拟专用网络(VPN,VirtualPrivateNetwork)的单点登录方法及装置。
技术介绍
VPN是一种在公用网络建立专用网络,进行加密通讯的技术,其广泛应用于企业网络中。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。因此,在使用VPN时,用户必须通过账号和密码登录,并被认证成功后才有权限访问VPN中的资源。然而,当VPN用户数量较多或需要满足特定的用户需求时,需要应用到不同的认证方式。故为方便用户使用和提高VPN产品的易用性,目前VPN网关一般都支持多种第三方认证服务器,如RADIUS认证服务器、LDAP认证服务器、4A认证服务器等,以利用第三方认证服务器完成简单的账户登录认证流程,此为一次认证。其中,在一个多系统共存的复杂环境下,往往会在VPN产品中应用单点登录(SSO,SingleSignOn),以实现用户成功登录VPN后,在访问需要通过单点登录的资源(简称单点登录资源)时,经过一次成功的单点登录操作就可以访问所有需要单点登录认证、且相互信任应用系统,此为二次认证。虽然利用单点登录能够避免用户在VPN中请求单点登录资源时的重复登录,但是,用户需要经过两次认证操作才能访问资源,影响资源获取效率;并由于用户在使用VPN时所用到的登录账号、和在成功登录VPN后请求单点登录资源时所用的登录账号是相互独立的,则在开发VPN产品时,不仅需要预先配置用于登录VPN网关的一次认证账号信息,而且还需要预先配置用于单点登录的二次认证账号信息,导致所需配置的账号 ...
【技术保护点】
1.一种基于虚拟专用网络的单点登录方法,其特征在于,所述方法包括:VPN服务器检测到VPN登录账号输入时,向认证服务器发送所述VPN登录账号;所述认证服务器对所述VPN登录账号进行认证,并将认证结果返回至所述VPN服务器;其中,认证成功时的认证结果包括用作单点登录认证凭据的令牌;当所述VPN服务器接收到的所述认证结果表示认证成功时,如果接收到用于获取单点登录资源的资源请求,则向资源服务器的单点登录认证中心发送所述令牌;其中,所述资源服务器包括单点登录认证中心和资源系统;所述单点登录认证中心对所述令牌进行校验,并根据校验结果执行对应操作。
【技术特征摘要】
1.一种基于虚拟专用网络的单点登录方法,其特征在于,所述方法包括:VPN服务器检测到VPN登录账号输入时,向认证服务器发送所述VPN登录账号;所述认证服务器对所述VPN登录账号进行认证,并将认证结果返回至所述VPN服务器;其中,认证成功时的认证结果包括用作单点登录认证凭据的令牌;当所述VPN服务器接收到的所述认证结果表示认证成功时,如果接收到用于获取单点登录资源的资源请求,则向资源服务器的单点登录认证中心发送所述令牌;其中,所述资源服务器包括单点登录认证中心和资源系统;所述单点登录认证中心对所述令牌进行校验,并根据校验结果执行对应操作。2.根据权利要求1所述的基于虚拟专用网络的单点登录方法,其特征在于,所述认证服务器将认证结果返回至所述VPN服务器之前,还包括:所述认证服务器对所述VPN登录账号认证成功时,基于所述VPN登录账号所关联的用户信息生成所述令牌;其中,所述用户信息包括以下至少之一:账号名称、账号密码、登录时间、用户权限。3.根据权利要求1所述的基于虚拟专用网络的单点登录方法,其特征在于,所述单点登录认证中心对所述令牌进行校验,并根据校验结果执行对应操作,包括:当所述校验结果表示校验成功时,登录与所述资源请求关联的目标资源系统,并通过VPN服务器向VPN客户端返回所述目标资源系统的用户界面。4.根据权利要求3所述的基于虚拟专用网络的单点登录方法,其特征在于,所述单点登录系统对所述令牌进行校验,并根据校验结果执行对应操作,还包括:当所述校验结果表示校验失败时,通过VPN服务器向VPN客户端返回校验失败信息和单点登录认证界面。5.根据权利要求1所述的基于虚拟专用网络的单点登录方法,其特征在于,还包括:当所述VPN服务器接收到的所述认证结果表示认证失败时,向VPN客户端返回认证失败信息,并更新当前VPN登录账号的认证失败次数;所述VPN服务器根据所述认证失败次数确定是否执行防护操作;所述防护操作包括以下至少之一:锁定当前VPN登录账号、发出报警信息。6.一种基于虚拟专用网络的单点登录方法,其特征在于,应用于VPN服务器,所述方法包括:检测到VPN登录账号输入时,向认证服务器发送所述VPN登录账号;所述认证服务器用于对所述VPN登录账号进行认证,并将认证结果返回至所述VPN服务器,其中,认证成功时的认证结果包括用作单点登录认证凭据的令牌;当接收到所述认证服务器返回的所述认证结果表示认证成功时,如果接收到用于获取单点登...
【专利技术属性】
技术研发人员:陈立,
申请(专利权)人:杭州迪普科技股份有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。