[发明专利]虚拟专用网络接入方法和系统

说明书

本公开提出一种虚拟专用网络接入方法和系统，涉及网络安全领域。VPN控制器响应VPN客户端发送的接入VPN网关的请求，对客户端的身份和接入请求的内容的完整性进行验证，如果验证通过，将VPN网关的信息发送给VPN客户端，将VPN客户端的信息发送给VPN网关；VPN网关对VPN控制器的身份和VPN控制器发送的信息的完整性进行验证，如果验证通过，向VPN网关的网络边界安全设备发送打开针对VPN客户端的连接通道的指示，以使得VPN客户端基于打开的连接通道与VPN网关建立连接。从而，降低VPN接入过程中存在的安全风险。

技术领域

本公开涉及网络安全领域，特别涉及一种虚拟专用网络接入方法和系统。

背景技术

在一些业务场景中，例如，移动办公或居家办公场景，利用虚拟专用网络(VirtualPrivate Net，VPN)技术，客户端可以接入企业的内部网络。

一种开放端口的VPN接入模式，其在内部网络部署提供服务的VPN网关，VPN网关的防火墙开放对外服务的端口，任何客户端可以连接该开放端口，在与VPN网关建立连接后，通过认证后获得内部网络的地址，该客户端与VPN网关就可以进行通信。

发明人发现，上述VPN接入模式，需要在内部网络的边界开放端口，任何人包括黑客都可以自由连接该开放端口，之后利用密码爆破、已知漏洞等技术，就可以进入VPN网关，从而带来安全风险。因此，该开放端口就成为带来安全风险的暴露面。

发明内容

本公开实施例所要解决的一个技术问题是：降低VPN接入过程中存在的安全风险。

本公开实施例，VPN控制器对通过验证的接入请求才进行回应，VPN控制器没有带来安全风险的暴露面；VPN网关接收到VPN控制器发送的请求接入且通过验证的VPN客户端的信息后，指示网络边界安全设备针对该VPN客户端打开连接通道，使得有接入需要且通过验证的该VPN客户端基于打开的连接通道与VPN网关建立连接，其他VPN客户端无法基于打开的连接通道与VPN网关建立连接，VPN网关没有带来安全风险的暴露面；可见，VPN控制器和VPN网关均没有带来安全风险的暴露面，因此，降低了VPN接入过程中存在的安全风险。

本公开的一些实施例提出一种虚拟专用网络VPN接入方法，包括：VPN控制器响应VPN客户端发送的接入VPN网关的请求，对客户端的身份和接入请求的内容的完整性进行验证，如果验证通过，将VPN网关的信息发送给VPN客户端，将VPN客户端的信息发送给VPN网关；VPN网关对VPN控制器的身份和VPN控制器发送的信息的完整性进行验证，如果验证通过，向VPN网关的网络边界安全设备发送打开针对VPN客户端的连接通道的指示，以使得VPN客户端基于打开的连接通道与VPN网关建立连接。

在一些实施例中，VPN控制器接收VPN网关和VPN客户端发送的注册信息，对VPN网关的身份和注册信息的完整性进行验证，如果验证通过，判定VPN网关注册成功，对VPN客户端的身份和注册信息的完整性进行验证，如果验证通过，判定VPN客户端注册成功，以便对注册成功的VPN客户端发送的接入注册成功的VPN网关的请求进行响应。

在一些实施例中，VPN控制器在接收VPN网关和VPN客户端发送的注册信息之后，对VPN网关和VPN客户端不回应任何信息。

在一些实施例中，如果对VPN网关的身份和注册信息的完整性的验证通过，且VPN网关的注册信息携带的时间戳在有效期内，VPN控制器判定VPN网关注册成功；如果对VPN客户端的身份和注册信息的完整性的验证通过，且VPN客户端的注册信息携带的时间戳在有效期内，VPN控制器判定VPN客户端注册成功。

在一些实施例中，如果对客户端的身份和接入请求的内容的完整性的验证通过，且接入请求携带的时间戳在有效期内，VPN控制器再执行将VPN网关的信息发送给VPN客户端和将VPN客户端的信息发送给VPN网关的步骤。