远程接入认证方法、装置、设备及存储介质制造方法及图纸

本公开提供了一种远程接入认证方法、装置、设备及存储介质，可以应用于信息安全领域和金融科技领域。该方法应用于虚拟专用网络网关，包括：接收来自客户端的目标协商报文，其中，目标协商报文是由客户端响应于远程接入任务请求对原始协商报文中添加包含用户标识以及第一哈希值的扩展字段得到的，原始协商报文表征在目标网络协议握手阶段客户端对虚拟专用网络网关发送的报文；基于目标协商报文对客户端进行认证，得到认证结果。得到认证结果。得到认证结果。

【技术实现步骤摘要】
远程接入认证方法、装置、设备及存储介质


[0001]本公开涉及信息安全领域和金融科技领域，尤其涉及一种远程接入认证方法、装置、设备、介质和程序产品。

技术介绍

[0002]SSL
‑
VPN表示利用安全套接层(Security Socket Layer，SSL)/传输层安全(Transport Layer security，TLS)协议来实现远程接入的一种轻量级虚拟专用网络(Virtual Private Network，VPN)技术。并且在企业远程办公场景中，普遍使用SSL
‑
VPN协议实现企业终端跨互联网接入。
[0003]黑客组织对主流厂商的VPN服务技术进行了广泛研究，出现了大量通用的已知或未知的安全漏洞，对于企业来说，一旦被黑客利用安全漏洞远控部署在互联网和企业内网边界的SSLVPN网关，企业的内网将直接暴露给入侵者，潜在危害和安全风险极大。
[0004]在实现本公开构思的过程中专利技术人发现：对于虚拟专业网络服务技术中存在的安全漏洞，相关技术中的解决方案存在有增加成本以及对漏洞无法及时进行防护的问题。

技术实现思路

[0005]鉴于上述问题，本公开提供了远程接入认证方法、装置、设备、介质和程序产品。
[0006]根据本公开的第一个方面，提供了一种远程接入认证方法，应用于虚拟专用网络网关，上述方法包括：接收来自客户端的目标协商报文，其中，上述目标协商报文是由上述客户端响应于远程接入任务请求对原始协商报文中添加包含用户标识以及第一哈希值的扩展字段得到的，上述原始协商报文表征在上述目标网络协议握手阶段客户端对虚拟专用网络网关发送的报文；基于上述目标协商报文对上述客户端进行认证，得到认证结果。
[0007]根据本公开的实施例，上述基于上述目标协商报文对上述客户端进行认证，得到认证结果包括：基于上述目标协商报文中包括的用户网络协议地址，对上述客户端进行认证，得到第一认证结果。
[0008]根据本公开的实施例，上述基于上述目标协商报文中包括的用户网络协议地址，对上述客户端进行认证，得到第一认证结果，包括：从上述目标协商报文携带的目标协商信息中，确定上述用户网络协议地址；基于上述用户网络协议地址的标识信息，在预设白名单数据库中查询上述标识信息，得到查询结果信息，其中，上述预设白名单数据库中包括认证通过的网络协议地址信息；基于上述查询结果信息，得到上述第一认证结果。
[0009]根据本公开的实施例，上述基于上述查询结果信息，得到上述第一认证结果，包括：在上述查询结果信息中含有查找成功标识的情况下，确定上述第一认证结果为认证通过；在上述查询结果信息中含有查找失败标识的情况下，确定上述第一认证结果为认证未通过。
[0010]根据本公开的实施例，在上述白名单数据库中包括的网络协议地址的认证通过时长超过的预设时间阈值的情况下，将上述网络协议地址在上述白名单数据库中删除。
[0011]根据本公开的实施例，在上述第一认证结果为认证未通过的情况下，基于上述第二哈希值，对上述客户端进行认证，得到第二认证结果，其中，上述第二哈希值为上述虚拟专用网络网关进行哈希计算的到的哈希值。
[0012]根据本公开的实施例，上述在上述第一认证结果为认证未通过的情况下，基于上述第二哈希值，对上述客户端进行认证，得到第二认证结果，包括：将上述目标协商报文进行解析，得到随机数值、上述用户标识以及第一哈希值；基于上述用户标识，从本地数据库或目标服务器中获取上述用户标识对应的用户密码；基于上述用户标识，从预设目标系统中获取上述用户标识对应的物理机地址值；将上述用户标识、上述随机数值、上述物理机地址值以及上述用户密码进行哈希计算，得到第二哈希值；将上述第一哈希值和上述第二哈希值进行比对，得到第二认证结果。
[0013]根据本公开的实施例，上述将上述第一哈希值和上述第二哈希值进行比对，得到第二认证结果，包括：将上述第一哈希值和上述第二哈希值进行比对，得到比对结果；响应于上述比对结果表征第一哈希值与上述第二哈希值相同，确定上述第二认证结果为认证通过；响应于上述比对结果表征第一哈希值和上述第二哈希值不同，确定上述第二认证结果为认证未通过。
[0014]根据本公开的实施例，在上述第二认证结果为认证通过的情况下，确定将上述目标协商报文中包括的用户网络协议地址加入白名单数据库中。
[0015]根据本公开的实施例，在上述认证结果为认证通过的情况下，发送响应报文至上述客户端，以便上述客户端确定已认证成功，其中，上述认证结果为认证通过包括上述第一认证结果为认证通过或上述第二认证结果为认证通过。
[0016]本公开的第二方面提供了一种远程接入认证方法，应用于客户端，上述方法包括：响应于远程接入任务请求，在原始协商报文中添加包含用户标识以及第一哈希值的扩展字段，得到目标协商报文，其中，上述原始协商报文表征在目标网络协议握手阶段由客户端对虚拟专用网络网关发送的报文；向上述虚拟专用网络网关发送上述目标协商报文，以使得上述虚拟专用网络网关基于上述目标协商报文对上述客户端进行认证。
[0017]根据本公开的实施例，上述在原始协商报文中添加包含用户标识以及第一哈希值的扩展字段，得到目标协商报文，包括：基于上述原始协商报文中包括的原始协商信息，确定随机数值；将上述随机数、上述用户标识、上述用户标识对应的密码及上述客户端的物理机地址值进行哈希计算，得到上述第一哈希值；基于上述用户标识，得到第一扩展字段；基于上述第一哈希值，得到第二扩展字段；将上述第一扩展字段和上述第二扩展字段封装至上述原始协商报文中，得到上述目标协商报文。
[0018]本公开的第三方面提供了一种远程接入认证装置，应用于虚拟专用网络网关，上述装置包括：报文接收模块，用于接收来自客户端的目标协商报文，其中，上述目标协商报文是由上述客户端响应于远程接入任务请求对原始协商报文中添加包含用户标识以及第一哈希值的扩展字段得到的，上述原始协商报文表征在上述目标网络协议握手阶段客户端对虚拟专用网络网关发送的报文；客户端认证模块，用于基于上述目标协商报文对上述客户端进行认证，得到认证结果。
[0019]本公开的第四方面提供了一种远程接入认证装置，应用于客户端，上述装置包括：报文获取模块，用于响应于远程接入任务请求，在原始协商报文中添加包含用户标识以及
第一哈希值的扩展字段，得到目标协商报文，其中，上述原始协商报文表征在目标网络协议握手阶段由客户端对虚拟专用网络网关发送的报文；报文发送模块，用于向上述虚拟专用网络网关发送上述目标协商报文，以使得上述虚拟专用网络网关基于上述目标协商报文对上述客户端进行认证。
[0020]本公开的第五方面提供了一种电子设备，包括：一个或多个处理器；存储器，用于存储一个或多个程序，其中，当上述一个或多个程序被上述一个或多个处理器执行时，使得一个或多个处理器执行上述方法。
[0021]本公开的第六方面还提供了一种计算机可读存储介质，其上存储有可执行指令，该指令被处本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种远程接入认证方法，应用于虚拟专用网络网关，所述方法包括：接收来自客户端的目标协商报文，其中，所述目标协商报文是由所述客户端响应于远程接入任务请求对原始协商报文中添加包含用户标识以及第一哈希值的扩展字段得到的，所述原始协商报文表征在所述目标网络协议握手阶段客户端对虚拟专用网络网关发送的报文；基于所述目标协商报文对所述客户端进行认证，得到认证结果。2.根据权利要求1所述的方法，其中，所述基于所述目标协商报文对所述客户端进行认证，得到认证结果包括：基于所述目标协商报文中包括的用户网络协议地址，对所述客户端进行认证，得到第一认证结果。3.根据权利要求2所述的方法，其中，所述基于所述目标协商报文中包括的用户网络协议地址，对所述客户端进行认证，得到第一认证结果，包括：从所述目标协商报文携带的目标协商信息中，确定所述用户网络协议地址；基于所述用户网络协议地址的标识信息，在预设白名单数据库中查询所述标识信息，得到查询结果信息，其中，所述预设白名单数据库中包括认证通过的网络协议地址信息；基于所述查询结果信息，得到所述第一认证结果。4.根据权利要求3所述的方法，其中，所述基于所述查询结果信息，得到所述第一认证结果，包括：在所述查询结果信息中含有查找成功标识的情况下，确定所述第一认证结果为认证通过；在所述查询结果信息中含有查找失败标识的情况下，确定所述第一认证结果为认证未通过。5.根据权利要求3所述的方法，还包括：在所述白名单数据库中包括的网络协议地址的认证通过时长超过的预设时间阈值的情况下，将所述网络协议地址在所述白名单数据库中删除。6.根据权利要求2所述的方法，还包括：在所述第一认证结果为认证未通过的情况下，基于所述第二哈希值，对所述客户端进行认证，得到第二认证结果，其中，所述第二哈希值为所述虚拟专用网络网关进行哈希计算的到的哈希值。7.根据权利要求6所述的方法，其中，所述在所述第一认证结果为认证未通过的情况下，基于所述第二哈希值，对所述客户端进行认证，得到第二认证结果，包括：将所述目标协商报文进行解析，得到随机数值、所述用户标识以及第一哈希值；基于所述用户标识，从本地数据库或目标服务器中获取所述用户标识对应的用户密码；基于所述用户标识，从预设目标系统中获取所述用户标识对应的物理机地址值；将所述用户标识、所述随机数值、所述物理机地址值以及所述用户密码进行哈希计算，得到第二哈希值；将所述第一哈希值和所述第二哈希值进行比对，得到第二认证结果。8.根据权利要求7所述的方法，其中，所述将所述第一哈希值和所述第二哈希值进行比
对，得到第二认证结果，包括：将所述第一哈希值和所述第二哈希值进行比对，得到比对结果；响应于所述比对结果表征第一哈希值与所述第二哈希值相同，确定所述第二认证结果为认证通过；响应于所述比对结果表征第一哈希值和所述第二哈希值不同，确定所述第二认证结果为认证未通过。...

【专利技术属性】
技术研发人员：丁炎，高铭剑，贾紫倩，孙源，
申请(专利权)人：中国工商银行股份有限公司，
类型：发明
国别省市：