基于虚拟专用网络的单点登录方法及装置制造方法及图纸

本发明专利技术提供一种基于虚拟专用网络的单点登录方法及装置，其中的方法包括：VPN服务器检测到VPN登录账号输入时，向认证服务器发送所述VPN登录账号；所述认证服务器对所述VPN登录账号进行认证，并将认证结果返回至所述VPN服务器；其中，认证成功时的认证结果包括用作单点登录认证凭据的令牌；当所述VPN服务器接收到的所述认证结果表示认证成功时，如果接收到用于获取单点登录资源的资源请求，则向资源服务器的单点登录认证中心发送所述令牌；其中，所述资源服务器包括单点登录认证中心和资源系统；所述单点登录认证中心对所述令牌进行校验，并根据校验结果执行对应操作。由此本发明专利技术实施例具有配置简单、账号安全性高和登录快捷的优点。

Single Sign-on Method and Device Based on Virtual Private Network

The invention provides a single sign-on method and device based on virtual private network, which includes: when the VPN server detects the input of VPN login account, it sends the VPN login account to the authentication server; the authentication server authenticates the VPN login account and returns the authentication result to the VPN server; and the authentication result package when the authentication is successful. Includes a token used as a single sign-on authentication credential; when the authentication result received by the VPN server indicates that the authentication is successful, if a resource request for obtaining a single sign-on resource is received, the token is sent to the single sign-on authentication center of the resource server, where the resource server includes a single sign-on authentication center and a resource system; and the single sign-on system. The authentication center verifies the token and performs corresponding operations according to the verification results. The embodiment of the invention has the advantages of simple configuration, high account security and fast login.

【技术实现步骤摘要】
基于虚拟专用网络的单点登录方法及装置
本专利技术涉及网络安全
，尤其涉及一种基于虚拟专用网络(VPN，VirtualPrivateNetwork)的单点登录方法及装置。
技术介绍
VPN是一种在公用网络建立专用网络，进行加密通讯的技术，其广泛应用于企业网络中。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。因此，在使用VPN时，用户必须通过账号和密码登录，并被认证成功后才有权限访问VPN中的资源。然而，当VPN用户数量较多或需要满足特定的用户需求时，需要应用到不同的认证方式。故为方便用户使用和提高VPN产品的易用性，目前VPN网关一般都支持多种第三方认证服务器，如RADIUS认证服务器、LDAP认证服务器、4A认证服务器等，以利用第三方认证服务器完成简单的账户登录认证流程，此为一次认证。其中，在一个多系统共存的复杂环境下，往往会在VPN产品中应用单点登录(SSO，SingleSignOn)，以实现用户成功登录VPN后，在访问需要通过单点登录的资源(简称单点登录资源)时，经过一次成功的单点登录操作就可以访问所有需要单点登录认证、且相互信任应用系统，此为二次认证。虽然利用单点登录能够避免用户在VPN中请求单点登录资源时的重复登录，但是，用户需要经过两次认证操作才能访问资源，影响资源获取效率；并由于用户在使用VPN时所用到的登录账号、和在成功登录VPN后请求单点登录资源时所用的登录账号是相互独立的，则在开发VPN产品时，不仅需要预先配置用于登录VPN网关的一次认证账号信息，而且还需要预先配置用于单点登录的二次认证账号信息，导致所需配置的账号信息较多。
技术实现思路
为克服相关技术中存在的问题，本专利技术提供了基于虚拟专用网络的单点登录方法及装置。根据本专利技术实施例的第一方面，提供一种基于虚拟专用网络的单点登录方法，所述方法包括：VPN服务器检测到VPN登录账号输入时，向认证服务器发送所述VPN登录账号；所述认证服务器对所述VPN登录账号进行认证，并将认证结果返回至所述VPN服务器；其中，认证成功时的认证结果包括用作单点登录认证凭据的令牌；当所述VPN服务器接收到的所述认证结果表示认证成功时，如果接收到用于获取单点登录资源的资源请求，则向资源服务器的单点登录认证中心发送所述令牌；其中，所述资源服务器包括单点登录认证中心和资源系统；所述单点登录认证中心对所述令牌进行校验，并根据校验结果执行对应操作。根据本专利技术实施例的第二方面，提供一种应用于VPN服务器的基于虚拟专用网络的单点登录方法，所述方法包括：检测到VPN登录账号输入时，向认证服务器发送所述VPN登录账号；所述认证服务器用于对所述VPN登录账号进行认证，并将认证结果返回至所述VPN服务器，其中，认证成功时的认证结果包括用作单点登录认证凭据的令牌；当接收到所述认证服务器返回的所述认证结果表示认证成功时，如果接收到用于获取单点登录资源的资源请求，则向资源服务器的单点登录认证中心发送所述令牌；其中，所述单点登录认证中心用于对所述令牌进行校验，并根据校验结果执行对应操作；所述资源服务器包括单点登录认证中心和资源系统。根据本专利技术实施例的第三方面，提供一种基于虚拟专用网络的单点登录装置，所述装置包括VPN服务器、认证服务器和资源服务器：所述资源服务器包括单点登录认证中心和资源系统；所述VPN服务器检测到VPN登录账号输入时，向所述认证服务器发送所述VPN登录账号；所述认证服务器对所述VPN登录账号进行认证，并将认证结果返回至所述VPN服务器；其中，认证成功时的认证结果包括用作单点登录认证凭据的令牌；当所述VPN服务器接收到的所述认证结果表示认证成功时，如果接收到用于获取单点登录资源的资源请求，则向所述单点登录认证中心发送所述令牌；所述单点登录认证中心对所述令牌进行校验，并根据校验结果执行对应操作。根据本专利技术实施例的第四方面，提供一种应用于VPN服务器的基于虚拟专用网络的单点登装置，所述装置包括检测模块、第一收发模块和第二收发模块：所述检测模块，用于检测是否有VPN登录账号输入；所述第一收发模块，用于在所述检测模块检测到VPN登录账号输入时，向认证服务器发送所述VPN登录账号，以使所述认证服务器对所述VPN登录账号进行认证，并将认证结果返回至所述第二收发模块，其中，认证成功时的认证结果包括用作单点登录认证凭据的令牌；所述第二收发模块，用于在收到的所述认证结果表示认证成功时，如果接收到用于获取单点登录资源的资源请求，则向资源服务器的单点登录认证中心发送所述令牌；其中，所述单点登录认证中心用于对所述令牌进行校验，并根据校验结果执行对应操作；所述资源服务器包括单点登录认证中心和资源系统。由此，本专利技术实施例至少可以产生以下有益技术效果：相对于相关技术中VPN登录流程和单点登录流程互不相干的认证方式，本专利技术实施例通过将用于认证VPN登录账号的认证服务器和需要进行二次认证的单点登录的系统相互结合，即只需利用VPN服务器的登录账号就能实现单点登录，从而只需预先关联VPN登录的账号信息即可，而不需要预先为用户配置单点登录的账号信息，由此简化了账号信息的配置和用户的登录操作，提高资源获取效率；并且，直接利用令牌作为单点登录的凭据，能够提高用户账号安全性。故本专利技术具有配置简单、账户安全性高和登录快捷等优点。附图说明图1是本专利技术根据一示例性实施例示出的一种基于虚拟专用网络的单点登录方法的应用场景示意图；图2是本专利技术根据一示例性实施例示出的一种基于虚拟专用网络的单点登录方法的流程图；图3是本公开根据一示例性实施例提出的一种应用于VPN服务器的单点登录方法的流程图；图4是本专利技术根据一示例性实施例示出的一种基于虚拟专用网络的单点登录装置的结构框图；图5是本专利技术根据一示例性实施例示出的一种应用于VPN服务器的单点登录装置的结构框图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本专利技术相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本专利技术的一些方面相一致的装置和方法的例子。在本专利技术使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本专利技术。在本专利技术和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解，尽管在本专利技术可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本专利技术范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。在VPN资源访问
中，相关技术需要用户通过VPN账号登录到VPN，才有权限访问VPN中的资源；其中，当需要访问作为VPN中的一个服务模块的单点登录资源时，用户还需要另外通过单点登录账号登录到单点登录资源系统。由此可知，相关技术中的VPN本文档来自技高网...

【技术保护点】
1.一种基于虚拟专用网络的单点登录方法，其特征在于，所述方法包括：VPN服务器检测到VPN登录账号输入时，向认证服务器发送所述VPN登录账号；所述认证服务器对所述VPN登录账号进行认证，并将认证结果返回至所述VPN服务器；其中，认证成功时的认证结果包括用作单点登录认证凭据的令牌；当所述VPN服务器接收到的所述认证结果表示认证成功时，如果接收到用于获取单点登录资源的资源请求，则向资源服务器的单点登录认证中心发送所述令牌；其中，所述资源服务器包括单点登录认证中心和资源系统；所述单点登录认证中心对所述令牌进行校验，并根据校验结果执行对应操作。

【技术特征摘要】
1.一种基于虚拟专用网络的单点登录方法，其特征在于，所述方法包括：VPN服务器检测到VPN登录账号输入时，向认证服务器发送所述VPN登录账号；所述认证服务器对所述VPN登录账号进行认证，并将认证结果返回至所述VPN服务器；其中，认证成功时的认证结果包括用作单点登录认证凭据的令牌；当所述VPN服务器接收到的所述认证结果表示认证成功时，如果接收到用于获取单点登录资源的资源请求，则向资源服务器的单点登录认证中心发送所述令牌；其中，所述资源服务器包括单点登录认证中心和资源系统；所述单点登录认证中心对所述令牌进行校验，并根据校验结果执行对应操作。2.根据权利要求1所述的基于虚拟专用网络的单点登录方法，其特征在于，所述认证服务器将认证结果返回至所述VPN服务器之前，还包括：所述认证服务器对所述VPN登录账号认证成功时，基于所述VPN登录账号所关联的用户信息生成所述令牌；其中，所述用户信息包括以下至少之一：账号名称、账号密码、登录时间、用户权限。3.根据权利要求1所述的基于虚拟专用网络的单点登录方法，其特征在于，所述单点登录认证中心对所述令牌进行校验，并根据校验结果执行对应操作，包括：当所述校验结果表示校验成功时，登录与所述资源请求关联的目标资源系统，并通过VPN服务器向VPN客户端返回所述目标资源系统的用户界面。4.根据权利要求3所述的基于虚拟专用网络的单点登录方法，其特征在于，所述单点登录系统对所述令牌进行校验，并根据校验结果执行对应操作，还包括：当所述校验结果表示校验失败时，通过VPN服务器向VPN客户端返回校验失败信息和单点登录认证界面。5.根据权利要求1所述的基于虚拟专用网络的单点登录方法，其特征在于，还包括：当所述VPN服务器接收到的所述认证结果表示认证失败时，向VPN客户端返回认证失败信息，并更新当前VPN登录账号的认证失败次数；所述VPN服务器根据所述认证失败次数确定是否执行防护操作；所述防护操作包括以下至少之一：锁定当前VPN登录账号、发出报警信息。6.一种基于虚拟专用网络的单点登录方法，其特征在于，应用于VPN服务器，所述方法包括：检测到VPN登录账号输入时，向认证服务器发送所述VPN登录账号；所述认证服务器用于对所述VPN登录账号进行认证，并将认证结果返回至所述VPN服务器，其中，认证成功时的认证结果包括用作单点登录认证凭据的令牌；当接收到所述认证服务器返回的所述认证结果表示认证成功时，如果接收到用于获取单点登...

【专利技术属性】
技术研发人员：陈立，
申请(专利权)人：杭州迪普科技股份有限公司，
类型：发明
国别省市：浙江,33