远程接入认证方法、装置、设备及存储介质与流程

1.本公开涉及信息安全领域和金融科技领域，尤其涉及一种远程接入认证方法、装置、设备、介质和程序产品。


背景技术：

2.ssl-vpn表示利用安全套接层(security socket layer，ssl)/传输层安全(transport layer security，tls)协议来实现远程接入的一种轻量级虚拟专用网络(virtual private network，vpn)技术。并且在企业远程办公场景中，普遍使用ssl-vpn协议实现企业终端跨互联网接入。
3.黑客组织对主流厂商的vpn服务技术进行了广泛研究，出现了大量通用的已知或未知的安全漏洞，对于企业来说，一旦被黑客利用安全漏洞远控部署在互联网和企业内网边界的sslvpn网关，企业的内网将直接暴露给入侵者，潜在危害和安全风险极大。
4.在实现本公开构思的过程中发明人发现：对于虚拟专业网络服务技术中存在的安全漏洞，相关技术中的解决方案存在有增加成本以及对漏洞无法及时进行防护的问题。


技术实现要素：

5.鉴于上述问题，本公开提供了远程接入认证方法、装置、设备、介质和程序产品。
6.根据本公开的第一个方面，提供了一种远程接入认证方法，应用于虚拟专用网络网关，上述方法包括：接收来自客户端的目标协商报文，其中，上述目标协商报文是由上述客户端响应于远程接入任务请求对原始协商报文中添加包含用户标识以及第一哈希值的扩展字段得到的，上述原始协商报文表征在上述目标网络协议握手阶段客户端对虚拟专用网络网关发送的报文；基于上述目标协商报文对上述客户端进行认证，得到认证结果。
7.根据本公开的实施例，上述基于上述目标协商报文对上述客户端进行认证，得到认证结果包括：基于上述目标协商报文中包括的用户网络协议地址，对上述客户端进行认证，得到第一认证结果。
8.根据本公开的实施例，上述基于上述目标协商报文中包括的用户网络协议地址，对上述客户端进行认证，得到第一认证结果，包括：从上述目标协商报文携带的目标协商信息中，确定上述用户网络协议地址；基于上述用户网络协议地址的标识信息，在预设白名单数据库中查询上述标识信息，得到查询结果信息，其中，上述预设白名单数据库中包括认证通过的网络协议地址信息；基于上述查询结果信息，得到上述第一认证结果。
9.根据本公开的实施例，上述基于上述查询结果信息，得到上述第一认证结果，包括：在上述查询结果信息中含有查找成功标识的情况下，确定上述第一认证结果为认证通过；在上述查询结果信息中含有查找失败标识的情况下，确定上述第一认证结果为认证未通过。
10.根据本公开的实施例，在上述白名单数据库中包括的网络协议地址的认证通过时长超过的预设时间阈值的情况下，将上述网络协议地址在上述白名单数据库中删除。
11.根据本公开的实施例，在上述第一认证结果为认证未通过的情况下，基于上述第二哈希值，对上述客户端进行认证，得到第二认证结果，其中，上述第二哈希值为上述虚拟专用网络网关进行哈希计算的到的哈希值。
12.根据本公开的实施例，上述在上述第一认证结果为认证未通过的情况下，基于上述第二哈希值，对上述客户端进行认证，得到第二认证结果，包括：将上述目标协商报文进行解析，得到随机数值、上述用户标识以及第一哈希值；基于上述用户标识，从本地数据库或目标服务器中获取上述用户标识对应的用户密码；基于上述用户标识，从预设目标系统中获取上述用户标识对应的物理机地址值；将上述用户标识、上述随机数值、上述物理机地址值以及上述用户密码进行哈希计算，得到第二哈希值；将上述第一哈希值和上述第二哈希值进行比对，得到第二认证结果。
13.根据本公开的实施例，上述将上述第一哈希值和上述第二哈希值进行比对，得到第二认证结果，包括：将上述第一哈希值和上述第二哈希值进行比对，得到比对结果；响应于上述比对结果表征第一哈希值与上述第二哈希值相同，确定上述第二认证结果为认证通过；响应于上述比对结果表征第一哈希值和上述第二哈希值不同，确定上述第二认证结果为认证未通过。
14.根据本公开的实施例，在上述第二认证结果为认证通过的情况下，确定将上述目标协商报文中包括的用户网络协议地址加入白名单数据库中。
15.根据本公开的实施例，在上述认证结果为认证通过的情况下，发送响应报文至上述客户端，以便上述客户端确定已认证成功，其中，上述认证结果为认证通过包括上述第一认证结果为认证通过或上述第二认证结果为认证通过。
16.本公开的第二方面提供了一种远程接入认证方法，应用于客户端，上述方法包括：响应于远程接入任务请求，在原始协商报文中添加包含用户标识以及第一哈希值的扩展字段，得到目标协商报文，其中，上述原始协商报文表征在目标网络协议握手阶段由客户端对虚拟专用网络网关发送的报文；向上述虚拟专用网络网关发送上述目标协商报文，以使得上述虚拟专用网络网关基于上述目标协商报文对上述客户端进行认证。
17.根据本公开的实施例，上述在原始协商报文中添加包含用户标识以及第一哈希值的扩展字段，得到目标协商报文，包括：基于上述原始协商报文中包括的原始协商信息，确定随机数值；将上述随机数、上述用户标识、上述用户标识对应的密码及上述客户端的物理机地址值进行哈希计算，得到上述第一哈希值；基于上述用户标识，得到第一扩展字段；基于上述第一哈希值，得到第二扩展字段；将上述第一扩展字段和上述第二扩展字段封装至上述原始协商报文中，得到上述目标协商报文。
18.本公开的第三方面提供了一种远程接入认证装置，应用于虚拟专用网络网关，上述装置包括：报文接收模块，用于接收来自客户端的目标协商报文，其中，上述目标协商报文是由上述客户端响应于远程接入任务请求对原始协商报文中添加包含用户标识以及第一哈希值的扩展字段得到的，上述原始协商报文表征在上述目标网络协议握手阶段客户端对虚拟专用网络网关发送的报文；客户端认证模块，用于基于上述目标协商报文对上述客户端进行认证，得到认证结果。
19.本公开的第四方面提供了一种远程接入认证装置，应用于客户端，上述装置包括：报文获取模块，用于响应于远程接入任务请求，在原始协商报文中添加包含用户标识以及
第一哈希值的扩展字段，得到目标协商报文，其中，上述原始协商报文表征在目标网络协议握手阶段由客户端对虚拟专用网络网关发送的报文；报文发送模块，用于向上述虚拟专用网络网关发送上述目标协商报文，以使得上述虚拟专用网络网关基于上述目标协商报文对上述客户端进行认证。
20.本公开的第五方面提供了一种电子设备，包括：一个或多个处理器；存储器，用于存储一个或多个程序，其中，当上述一个或多个程序被上述一个或多个处理器执行时，使得一个或多个处理器执行上述方法。
21.本公开的第六方面还提供了一种计算机可读存储介质，其上存储有可执行指令，该指令被处理器执行时使处理器执行上述方法。
22.本公开的第七方面还提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现上述方法。
23.根据本公开提供的远程接入认证方法，通过接收来自客户端的目标协商报文，再基于该目标协商报文对该客户端进行认证，其中，目标协商报文是由客户端响应于远程接入任务请求对原始协商报文中添加包含用户标识以及第一哈希值的扩展字段得到的，原始协商报文表征在所述目标网络协议握手阶段客户端对虚拟专用网络网关发送的报文。由于目标协商报文为客户端于目标网络协议握手阶段在原始协商报文中添加包含用户标识和第一哈希值的扩展字段得到的拥有私有化扩展的报文，目标协商报文与客户端可以存在一一对应的关系，通过接收到的目标协商报文可以对客户端进行认证，并基于第一哈希值的保密性和安全性，增加了认证的可靠度，并且仅对认证通过的客户端进行响应，认证不通过的客户端将无法连接到虚拟专用网络网关。因此，至少部分的解决了相关技术中存在的成本增加以及对漏洞无法及时防护的问题，实现了在不增加成本的情况下，从网络层防范安全漏洞，增强对漏洞的抵御能力，提高了使用虚拟专用网络技术进行远程接入的安全性。
附图说明
24.通过以下参照附图对本公开实施例的描述，本公开的上述内容以及其他目的、特征和优点将更为清楚，在附图中：
25.图1示意性示出了相关技术中的应用虚拟专用网络技术远程接入网络协议地址的示意图；
26.图2示意性示出了根据本公开实施例的远程接入认证方法、装置、设备、介质和程序产品的应用场景图；
27.图3示意性示出了根据本公开实施例的应用于虚拟专用网络网关的远程接入认证方法的流程图；
28.图4示意性示出了根据本公开实施例的确定第一认证结果的流程图；
29.图5示意性示出了根据本公开实施例的确定第二认证结果的流程图；
30.图6示意性示出了根据本公开另一实施例的应用于虚拟专用网络网关的远程接入认证方法的流程图；
31.图7示意性示出了根据本公开的应用于客户端的远程接入认证方法的流程图；
32.图8示意性示出了根据本公开实施例的应用于虚拟专用网络网关的远程接入认证装置的结构框图；
33.图9示意性示出了根据本公开实施例的应用于客户端的远程接入认证装置的结构框图；以及
34.图10示意性示出了根据本公开实施例的适于实现远程接入认证方法的电子设备的方框图。
具体实施方式
35.以下，将参照附图来描述本公开的实施例。但是应该理解，这些描述只是示例性的，而并非要限制本公开的范围。在下面的详细描述中，为便于解释，阐述了许多具体的细节以提供对本公开实施例的全面理解。然而，明显地，一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本公开的概念。
36.在此使用的术语仅仅是为了描述具体实施例，而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在，但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
37.在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义，除非另外定义。应注意，这里使用的术语应解释为具有与本说明书的上下文相一致的含义，而不应以理想化或过于刻板的方式来解释。
38.在使用类似于“a、b和c等中至少一个”这样的表述的情况下，一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如，“具有a、b和c中至少一个的系统”应包括但不限于单独具有a、单独具有b、单独具有c、具有a和b、具有a和c、具有b和c、和/或具有a、b、c的系统等)。
39.在本公开的技术方案中，所涉及的数据(如包括但不限于用户个人信息)的收集、存储、使用、加工、传输、提供、公开和应用等处理，均符合相关法律法规的规定，采取了必要保密措施，且不违背公序良俗。
40.在本公开构思过程中发现，在企业远程办公场景中，普遍使用ssl-vpn协议实现企业终端跨互联网接入，远程办公用户通过互联网，使用内嵌ssl/tls协议的ssl-vpn客户端拨号软件与远端的web服务器建立安全的连接，访问内部资源。企业或机构可通过ssl vpn来为移动用户或者外部客户提供访问内部资源的服务并保证安全性。
41.图1示意性示出了相关技术中的应用虚拟专用网络技术远程接入网络协议地址的示意图。
42.如图1所示，用户在客户端上安装sslvpn客户端拨号软件后，启动该软件并登录。sslvpn网关102可以为客户端的虚拟网卡101分配网络协议地址(internetprotocol，ip)地址，并将该客户端的ip接入资源即路由表项后，发送给客户端。客户端为虚拟网卡101设置ip地址，并添加路由表项，路由的出接口为虚拟网卡101。用户在客户端上访问企业内网服务器104时，访问请求报文匹配添加的路由表项，该报文将进行ssl封装，并通过虚拟网卡101发送给sslvpn网关102。sslvpn网关102对ssl报文进行解封装，并将ip报文转发给内网服务器104。内网服务器104将应答报文通过网络103发送给sslvpn网关102。sslvpn网关102对报文进行ssl封装后，将其发送给客户端。
43.大部分企业在远程办公场景均使用sslvpn实现，因此，黑客组织对主流厂商的
sslvpn技术进行广泛研究，出现大量通用ssl vpn服务的n-day或0-day安全漏洞，对于企业来说，一旦被黑客利用安全漏洞远控部署在互联网和企业内网边界的sslvpn网关，企业的内网将直接暴露给入侵者，潜在危害和安全风险极大，其中，n-day表示已经被黑客公布n天的漏洞；0-day未公布的漏洞。
44.由于sslvpn协议的工作机制，需要将sslvpn网关的服务统一资源定位符地址或公网ip+端口始终对互联网暴露，在远程办公场景中，目前企业解决上述sslvpn的安全隐患的方式主要有以下两种：
45.可以为企业通过购买软件定义边界(software defined perimeter，sdp)解决方案替换现有sslvpn，解决大量通用vpn服务安全漏洞的安全隐患，但存在采购和人员成本高的缺陷：一是现有sslvpn服务端设备、sslvpn客户端设备等将都被废弃，二是使用sdp解决方案替换，重新部署、新方案使用均带来了新的人员成本。
46.或者企业继续沿用ssl-vpn，对于n-day已知漏洞需要尽快完成补丁升级，要求时效性高；对于未公开的0-day安全漏洞，企业无法通过补丁方式解决。
47.有鉴于此，本公开的实施例提供了一种远程接入认证方法，应用于虚拟专用网络网关，方法包括：接收来自客户端的目标协商报文，其中，目标协商报文是由客户端响应于远程接入任务请求对原始协商报文中添加包含用户标识以及第一哈希值的扩展字段得到的，原始协商报文表征在目标网络协议握手阶段客户端对虚拟专用网络网关发送的报文；基于目标协商报文对客户端进行认证，得到认证结果。
48.图2示意性示出了根据本公开实施例的应用于虚拟专用网络网关远程接入认证方法、装置、设备、介质和程序产品的应用场景图。
49.如图2所示，根据该实施例的应用场景200可以包括第一终端设备201、第二终端设备202、第三终端设备203、网络204、虚拟专用网络网关205、企业内网206以及内网服务器207。网络204用以在第一终端设备201、第二终端设备202、第三终端设备203和虚拟专用网网关205之间提供通信链路的介质。企业内网206用以在虚拟专用网络网关205和内网服务器207之间提供通信连接的介质，网络204和内网服务器207可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。
50.用户可以使用第一终端设备201、第二终端设备202、第三终端设备203中的至少一个通过网络204与虚拟专用网络网关205交互，以接收或发送消息等。第一终端设备201、第二终端设备202、第三终端设备203上可以安装有各种通讯客户端应用，例如客户端拨号应用、购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。
51.第一终端设备201、第二终端设备202、第三终端设备203可以是具有显示屏并且支持网页浏览的各种电子设备，包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
52.虚拟专用网络网关205可以是部署在企业内网边206边界，实现终端设备与内网服务器207连接的设备。例如对用户利用第一终端设备201、第二终端设备202、第三终端设备203将报文发送至虚拟专用网网关205后，虚拟专用网络网关205转发该报文至内网服务器207。同样，虚拟专用网络网关205也可以转发内网服务器207发送的报文给第一终端设备201、第二终端设备202、第三终端设备203。
53.需要说明的是，本公开实施例所提供的远程接入认证方法一般可以由虚拟专用网络网关205执行。相应地，本公开实施例所提供的远程接入认证装置一般可以设置于虚拟专用网络网关205中。本公开实施例所提供的远程接入认证方法也可以由不同于虚拟专用网络网关205且能够与第一终端设备201、第二终端设备202、第三终端设备203和/或虚拟专用网络网关205通信的虚拟专用网网关或虚拟专用网网关集群执行。应该理解，图2中的终端设备、网络和虚拟专用网网关的数目仅仅是示意性的。根据实现需要，可以具有任意数目的终端设备、网络和虚拟专用网网关。
54.以下将基于图2描述的场景，通过图3～图6对公开实施例的远程接入认证方法进行详细描述。
55.图3示意性示出了根据本公开实施例的应用于虚拟专用网络网关的远程接入认证方法的流程图。
56.如图3所示，该实施例的远程接入认证方法，应用于虚拟专用网络网关包括操作s301～操作s302。
57.在操作s301，接收来自客户端的目标协商报文，其中，目标协商报文是由客户端响应于远程接入任务请求对原始协商报文中添加包含用户标识以及第一哈希值的扩展字段得到的，原始协商报文表征在目标网络协议握手阶段客户端对虚拟专用网络网关发送的报文。
58.根据本公开的实施例，虚拟专用网络网关接收来自客户端的目标协商报文，该目标协商报文包括经过私有化扩展的原始协商报文，其中，私有化扩展主要包括在原始协商报文中添加包含用户标识和第一哈希值的扩展字段。
59.根据本公开的实施例，对目标网络协议不进行限定，可以为ssl vpn协议。
60.根据本公开的实施例，虚拟专用网络网关可以为sslvpn网关。
61.根据本公开的实施例，原始协商报文可以看做在目标网络协议握手阶段客户端对虚拟专用网络网关发送的协商报文，例如：tls client hello报文，报文中可以包括客户端支持的协议版本、随机数；支持的加密方法以及支持的压缩方法等等。
62.根据本公开的实施例，第一哈希值可以为利用用户标识、用户密码、客户端物理机值、原始协商报文中携带的随机数进行哈希计算得到。
63.根据本公开的实施例，原始协商报文可以利用客户端中内嵌ssl/tls协议的ssl-vpn客户端拨号软件生成，接着还可以利用ssl-vpn客户端拨号软件在原始协商报文中添加扩展字段，得到目标协商报文，并转发给虚拟专用网络网关。
64.根据本公开的实施例，在目标网络协议的握手阶段，虚拟专用网络网关接收到由客户端发送的目标协商报文，其目标协商报文中包括有用户标识和第一哈希值的扩展字段，因此，该目标协商报文可以看作为经过了私有化的报文，通过该目标协商报文可以确认该客户端对应的信息，进而可以实现通过该目标协商报文对客户端实现认证。
65.在操作s302，基于目标协商报文客户端进行认证，得到认证结果。
66.根据本公开的实施例，基于目标协商报文对客户端进行认证，得到对客户端的认证结果，其中，如果该客户端的认证结果为认证通过，可以进行后续的协商流程，如果该客户端的认证结果为认证不通过，可以将该目标协商报文丢弃，不进行任何回应，则该客户端将无法在网络层连接至虚拟专用网络网关，使得虚拟专用网络网关即使存在安全漏洞也无
法被利用，进而大幅度提高利用虚拟专用网络网关进行远程办公的安全性。
67.根据本公开的实施例，对于目标协商报文的接收和对客户端的认证过程可以利用虚拟专用网络网关的应用程序来实现。
68.根据本公开的实施例，可以仍通过客户端以及虚拟专用网络网关，实现在网络层防护应用层的安全漏洞，无需增加硬件设备或者更换全套的远程办公解决方案，进而实现了在提升安全性的同时，更好的节省了人力和物力资源，同时也减少了防护成本，其中，可以通过对客户端的客户端拨号软件以及虚拟专用网络网关的应用程序进行功能扩展，来实现在网络层防护应用层的安全漏洞。
69.根据本公开的实施例，对基于目标协商报文来对客户端的认证方法不进行限定，可以采用多种单独或者组合的认证方法进行认证。
70.根据本公开提供的远程接入认证方法，通过接收来自客户端的目标协商报文，再基于该目标协商报文对该客户端进行认证，其中，目标协商报文是由客户端响应于远程接入任务请求对原始协商报文中添加包含用户标识以及第一哈希值的扩展字段得到的，原始协商报文表征在所述目标网络协议握手阶段客户端对虚拟专用网络网关发送的报文。由于目标协商报文为客户端于目标网络协议握手阶段在原始协商报文中添加包含用户标识和第一哈希值的扩展字段得到的拥有私有化扩展的报文，目标协商报文与客户端可以存在一一对应的关系，通过接收到的目标协商报文可以对客户端进行认证，并基于第一哈希值的保密性和安全性，增加了认证的可靠度，并且仅对认证通过的客户端进行响应，认证不通过的客户端将无法连接到虚拟专用网络网关。因此，至少部分的解决了相关技术中存在的成本增加以及对漏洞无法及时防护的问题，实现了在不增加成本的情况下，从网络层防范安全漏洞，增强对漏洞的抵御能力，提高了使用虚拟专用网络技术进行远程接入的安全性。
71.根据本公开的实施例，基于目标协商报文对客户端进行认证，得到认证结果包括：基于目标协商报文中包括的用户网络协议地址，对客户端进行认证，得到第一认证结果。
72.根据本公开的实施例，可以基于目标协商报文，确定目标协商报文中包括的用户网络协议地址即ip地址，再基于该ip地址来判断该客户端是否属于可通过认证的客户端。
73.根据本公开的实施例，如果该客户端曾经没有认证成功过或者不属于可通过认证的客户端，则认为本次认证的第一认证结果为认证未通过。
74.根据本公开的实施例，在第一认证结果为认证通过的情况下，可以发送响应报文至客户端。在第一认证结果为认证为通过的情况下，可以将该目标协商报文丢弃，则该客户端将无法与虚拟专用网络网关建立连接。
75.根据本公开的实施例，如果该客户端曾经认证成功过或者为可通过认证的客户端，则可以认为本次认证也可以直接通过，即可以得到第一认证结果为认证通过，从而提高了对客户端的认证速率，同时节省了计算资源。
76.图4示意性示出了根据本公开实施例的确定第一认证结果的流程图。
77.如图4所示，确定第一认证结果包括操作s401～操作s403。
78.在操作s401，从目标协商报文携带的目标协商信息中，确定用户网络协议地址。
79.在操作s402，基于用户网络协议地址的标识信息，在预设白名单数据库中查询标识信息，得到查询结果信息，其中，预设白名单数据库中包括认证通过的网络协议地址信息。
80.在操作s403，基于查询结果信息，得到第一认证结果。
81.根据本公开的实施例，目标协商报文中携带的目标协商信息除了添加的用户标识以及第一哈希值的扩展字段，还可以包括原始协商报文中携带的客户端支持的协议版本、随机数；支持的加密方法以及支持的压缩方法、用户网络协议地址等等。
82.根据本公开的实施例，预设白名单数据库中可以包括认为合法的网络协议地址信息，例如：曾经认证通过的网络协议地址信息。
83.根据本公开的实施例，基于目标协商报文中携带的用户网络协议地址的标识信息，在预设白名单数据库中进行查询，如果在预设白名单数据库中查找到该用户网络协议地址，则可以认为该客户端为合法用户，从而无需再进行后续的认证，直接通过该客户端的认证，节省了该客户端的认证时间。
84.根据本公开的实施例，基于查询结果信息，得到第一认证结果，包括以下操作。
85.在查询结果信息中含有查找成功标识的情况下，确定第一认证结果为认证通过；在查询结果信息中含有查找失败标识的情况下，确定第一认证结果为认证未通过。
86.根据本公开的实施例，在查询结果信息中含有查找成功标识时，可以确定该用户网络协议地址被包含于预设白名单数据库中，该客户端的用户为合法用户，该客户端的第一认证结果为认证通过，反之，则该客户端的第一认证结果为认证未通过。
87.根据本公开的实施例，对查询结果信息不进行限定，可以由能够表征查询成功或查询失败的任何信息构成。例如：直接反馈的查找成功标识或者查找失败标识，或者基于用户网络协议地址的标识信息可以查询到该用户网络协议，则可以认为该查询结果信息中含有查找成功标识。
88.根据本公开的实施例，在白名单数据库中包括的网络协议地址的认证通过时长超过的预设时间阈值的情况下，将网络协议地址在白名单数据库中删除。
89.根据本公开的实施例，对于白名单数据库中包括的多个网络协议地址，可以记录每个网络协议地址从录入白名单数据库到任意时刻的认证通过时长，如果该认证通过时长超过预设时间阈值，则可以将该网络协议地址在白名单数据库中删除，从而防止客户端一次通过认证永远通过认证的情况，避免若该客户端已不符合认证通过条件，仍能够通过认证的情况，已不符合认证通过条件可以由具体情况决定，例如：该客户端用户已退出企业等情况。
90.根据本公开的实施例，在第一认证结果为认证未通过的情况下，基于第二哈希值，对客户端进行认证，得到第二认证结果，其中，第二哈希值为虚拟专用网服务端进行哈希计算的到的哈希值。
91.根据本公开的实施例，如果在第一认证结果为认证为未通过的情况下，可以计算第二哈希值，基于第二哈希值与目标协商报文中携带的的第一哈希值进行比对，得到第二认证结果。
92.根据本公开的实施例，通过利用第二哈希值与第一哈希值进行比对，从而对客户端进行针对客户端自身特征的第二次认证，当第二次认证通过时，再使得虚拟专用网络网关对客户端进行响应。
93.图5示意性示出了根据本公开实施例的确定第二认证结果的流程图。
94.如图5所示，确定第二认证结果包括操作s501～操作s505。
95.在操作s501，将目标协商报文进行解析，得到随机数值、用户标识以及第一哈希值。
96.在操作s502，基于用户标识，从本地数据库或目标服务器中获取用户标识对应的用户密码。
97.在操作s503，基于用户标识，从预设目标系统中获取用户标识对应的物理机地址值。
98.在操作s504，将用户标识、随机数值、物理机地址值以及用户密码进行哈希计算，得到第二哈希值。
99.在操作s505，将第一哈希值和第二哈希值进行比对，得到第二认证结果。
100.根据本公开的实施例，将目标协商报文进行解析，可以提取到客户端的随机数值，以及两个扩展字段即用户标识和第一哈希值，接着基于用户标识，可以在本地数据库或者目标服务器中找到预置的该用户标识对应的用户密码。其中，目标服务器可以为aaa服务器，aaa服务器是认证服务器、授权服务器和计费服务器的统称，可以负责集中管理用户信息，而具体使用aaa服务器中的哪一个服务器可以由使用的认证类型决定，例如：可以使用radius服务器。
101.根据本公开的实施例，对预设目标系统不进行限定，预设目标系统可以为可以查询客户端设备物理机地址值的任意系统，例如：企业台账系统等。
102.根据本公开的实施例，可以将用户标识、随机数值、物理机地址值以及用户密码进行哈希计算，其中，对使用的哈希计算方法不进行限定，可以为使用与客户端在计算第一哈希值时使用的哈希计算方法一致的方法，即可以根据具体需求对客户端和虚拟专用网络网关使用的哈希计算方法进行设置。
103.根据本公开的实施例，通过目标协商报文扩展字段中的用户名，在虚拟专用网络网关本地通过调用本地设备确定该用户标识对应的物理机地址值以及用户密码等，又通过调用本地设备确定的物理机地址值以及解析目标协商报文得到的随机数值计算第二哈希值，从而更好的保证了第二哈希值的可靠性，如果该第二哈希值与第一哈希值进行比对，发现二者之间存在区别，则可以认为该客户端没有连接权限，因此，更好的保证了没有连接权限的客户端无法通过认证，采用了先身份认证，后网络连接的方式，即实现了在网络层先进行客户端身份认证在客户端身份认证通过的情况下，再进行后续的连接，即使虚拟专用网络网关存在漏洞，也无法利用漏洞来远控虚拟专用网络网关，更好的保障了远程接入的安全性，以及更大程度的避免了企业内网的暴露问题。
104.根据本公开的实施例，在第二认证结果为认证通过的情况下，确定将目标协商报文中包括的用户网络协议地址加入白名单数据库中。
105.根据本公开的实施例，在第二认证结果为认证通过的情况下，可以将该目标协商报文中包括的用户网络协议地址加入白名单数据库中，从而当该用户网络协议地址对应的客户端再访问虚拟专用网络网关时可以直接通过认证，可以避免多次重复认证造成的计算资源浪费。
106.根据本公开的实施例，在认证结果为认证通过的情况下，发送响应报文至客户端，以便客户端确定已认证成功，其中，认证结果为认证通过包括第一认证结果为认证通过或第二认证结果为认证通过。
107.根据本公开的实施例，第一认证结果为认证通过时，则该认证结果为认证通过。在第二认证结果为认证通过时，该认证结果同样为认证通过。可以预见的是当第一认证结果为认证通过，则可以不进行第二次认证过程。
108.图6示意性示出了根据本公开另一实施例的应用于虚拟专用网络网关的远程接入认证方法的流程图。
109.如图6所示，本公开另一实施例的应用于虚拟专用网络网关的远程接入认证方法包括操作s601～操作s607。
110.在操作s601，接收来自客户端的目标协商报文，其中，目标协商报文是由客户端响应于远程接入任务请求对原始协商报文中添加包含用户标识以及第一哈希值的扩展字段得到的，原始协商报文表征在目标网络协议握手阶段客户端对虚拟专用网络网关发送的报文。
111.在操作s602，基于目标协商报文中包括的用户网络协议地址，对客户端进行认证，得到第一认证结果。
112.在操作s603，判断第一认证结果是否为认证通过。在第一认证结果为认证通过的情况下，确定在操作s606发送响应报文。
113.在操作s604，在第一认证结果为认证未通过的情况下，基于第二哈希值，对客户端进行认证，得到第二认证结果，其中，第二哈希值为虚拟专用网络网关进行哈希计算的到的哈希值。
114.在操作s605，判断第二认证结果是否为认证通过。在第二认证结果为认证通过的情况下，确定进行操作s606。
115.在操作s606，发送响应报文至客户端。
116.在操作s607，在第二认证结果为认证未通过的情况下，确定不对目标协商报文进行响应。
117.图7示意性示出了根据本公开的应用于客户端的远程接入认证方法的流程图。
118.如图7所示，本公开实施例的远程接入认证方法，应用于客户端，方法包括操作s701～操作s702。
119.在操作s701，响应于远程接入任务请求，在原始协商报文中添加包含用户标识以及第一哈希值的扩展字段，得到目标协商报文，其中，原始协商报文表征在目标网络协议握手阶段由客户端对虚拟专用网络网关发送的报文。
120.在操作s702，向虚拟专用网络网关发送目标协商报文，以使得虚拟专用网络网关基于目标协商报文对客户端进行认证。
121.根据本公开的实施例，可以在原始协商报文中添加包含用户标识以及第一哈希值的扩展字段，得到目标协商报文。再将目标协商报文发送至虚拟专用网络网关，使得虚拟专用网络网关可以基于目标协商报文对客户端进行认证。
122.根据本公开的实施例，通过在目标网络协议的握手阶段生成的原始协商报文中添加包含用户标识和第一哈希值的扩展字段，可以实现对该原始协商报文的私有化扩展，通过私有化扩展得到的目标协商报文，可以使得虚拟专用网络网关实现对客户端的认证，从而在网络层就对客户端进行了身份认证，认证通过的客户端才可以通过虚拟专用网络网关连入与企业内网服务器获取资源，使得对于不符合条件的客户端都无法建立与虚拟专用服
务端的连接，进而保障了企业内网的安全。
123.根据本公开的实施例，在原始协商报文中添加包含用户标识以及第一哈希值的扩展字段，得到目标协商报文，包括以下操作。
124.基于原始协商报文中包括的原始协商信息，确定随机数值；将随机数、用户标识、用户标识对应的密码及客户端的物理机地址值进行哈希计算，得到第一哈希值；基于用户标识，得到第一扩展字段；基于第一哈希值，得到第二扩展字段；将第一扩展字段和第二扩展字段封装至原始协商报文中，得到目标协商报文。
125.根据本公开的实施例，随机数可以为复用原始协商报文中的随机数；客户端物理机地址可以通过客户端拨号软件从设备系统中读取。
126.根据本公开的实施例，对于扩展字段的具体类型和字段编号不进行限定，可以将第一扩展字段定义为type 500，第二字段定义为type501。
127.根据本公开的实施例，对哈希计算的类型不进行限定，可以为信息-摘要算法5(message-digestalgorithm 5，md5)、安全散列算法1(secure hashalgorithm 1，sha1)、安全散列算法256(secure hash algorithm 1，sha256)等等。
128.根据本公开的实施例，通过利用携带信息包括用户标识的第一扩展字段，以及利用携带信息包括基于随机数、用户标识、用户标识对应的密码及客户端的物理机地址值得到得第一哈希值的第二扩展字段，可以实现一个目标协商报文和客户端的一一对应，进而实现了利用目标协商报文可以对客户端进行认证。
129.基于上述远程接入认证方法，本公开还提供了一种应用于虚拟专用网络网关的远程接入认证装置。以下将结合图8对该装置进行详细描述。
130.图8示意性示出了根据本公开实施例的应用于虚拟专用网络网关的远程接入认证装置的结构框图。
131.如图8所示，该实施例的远程接入认证装置800包括报文接收模块810和客户端认证模块820。
132.报文接收模块810，用于接收来自客户端的目标协商报文，其中，目标协商报文是由客户端响应于远程接入任务请求对原始协商报文中添加包含用户标识以及第一哈希值的扩展字段得到的，原始协商报文表征在目标网络协议握手阶段客户端对虚拟专用网络网关发送的报文。
133.客户端认证模块820，用于基于目标协商报文对客户端进行认证，得到认证结果。
134.根据本公开的实施例，客户端认证模块820可以包括第一客户端认证子模块。
135.第一客户端认证子模块，基于目标协商报文中包括的用户网络协议地址，对客户端进行认证，得到第一认证结果。
136.根据本公开的实施例，第一客户端认证子模块可以包括：用户网络协议地址确定单元、查询单元及第一认证结果确定单元。
137.用户网络协议地址确定单元，用于从目标协商报文携带的目标协商信息中，确定用户网络协议地址。
138.查询单元，用于基于用户网络协议地址的标识信息，在预设白名单数据库中查询标识信息，得到查询结果信息，其中，预设白名单数据库中包括认证通过的网络协议地址信息。
139.第一认证结果确定单元，用于基于查询结果信息，得到第一认证结果。
140.根据本公开的实施例，第一认证结果确定单元可以包括：认证通过确定子单元和认证未通过确定子单元。
141.认证通过确定子单元，用于在查询结果信息中含有查找成功标识的情况下，确定第一认证结果为认证通过。
142.认证未通过确定子单元，在查询结果信息中含有查找失败标识的情况下，确定第一认证结果为认证未通过。
143.根据本公开的实施例，远程接入认证装置800还可以包括：网络协议地址处理模块。
144.网络协议地址处理模块，用于在白名单数据库中包括的网络协议地址的认证通过时长超过的预设时间阈值的情况下，将网络协议地址在白名单数据库中删除。
145.根据本公开的实施例，客户端认证模块820还可以包括：第二认证子模块。
146.第二认证子模块，用于在第一认证结果为认证未通过的情况下，基于第二哈希值，对客户端进行认证，得到第二认证结果，其中，第二哈希值为虚拟专用网络网关进行哈希计算的到的哈希值。
147.根据本公开的实施例，第二认证子模块可以包括：目标协商报文解析单元、用户密码获取单元、物理机地址值获取单元、第二哈希计算单元及第二认证单元。
148.目标协商报文解析单元，用于将目标协商报文进行解析，得到随机数值、用户标识以及第一哈希值。
149.用户密码获取单元，用于基于用户标识，从本地数据库或目标服务器中获取用户标识对应的用户密码。
150.物理机地址值获取单元，用于基于用户标识，从预设目标系统中获取用户标识对应的物理机地址值。
151.第二哈希计算单元，用于将用户标识、随机数值、物理机地址值以及用户密码进行哈希计算，得到第二哈希值。
152.第二认证单元，用于将第一哈希值和第二哈希值进行比对，得到第二认证结果。
153.根据本公开的实施例，第二认证单元可以包括：比对子单元、认证通过确定子单元及认证未通过确定子单元。
154.比对子单元，用于将第一哈希值和第二哈希值进行比对，得到比对结果。
155.认证通过确定子单元，用于响应于比对结果表征第一哈希值与第二哈希值相同，确定第二认证结果为认证通过。
156.认证未通过确定子单元，用于响应于比对结果表征第一哈希值和第二哈希值不同，确定第二认证结果为认证未通过。
157.根据本公开的实施例，第二认证子模块还可以包括：白名单加入单元。
158.白名单加入单元，用于在第二认证结果为认证通过的情况下，确定将目标协商报文中包括的用户网络协议地址加入白名单数据库中。
159.根据本公开的实施例，第二认证子模块还可以包括：响应报文发送单元。
160.响应报文发送单元，用于在认证结果为认证通过的情况下，发送响应报文至客户端，以便客户端确定已认证成功，其中，认证结果为认证通过包括第一认证结果为认证通过
或第二认证结果为认证通过。
161.根据本公开的实施例，报文接收模块810和客户端认证模块820中的任意多个模块可以合并在一个模块中实现，或者其中的任意一个模块可以被拆分成多个模块。或者，这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合，并在一个模块中实现。根据本公开的实施例，报文接收模块810和客户端认证模块820中的至少一个可以至少被部分地实现为硬件电路，例如现场可编程门阵列(fpga)、可编程逻辑阵列(pla)、片上系统、基板上的系统、封装上的系统、专用集成电路(asic)，或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现，或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者，报文接收模块810和客户端认证模块820中的至少一个可以至少被部分地实现为计算机程序模块，当该计算机程序模块被运行时，可以执行相应的功能。
162.基于上述的另一远程接入认证方法，本公开还提供了一种应用于客户端的远程接入认证装置。以下将结合图9对该装置进行详细描述。
163.图9示意性示出了根据本公开实施例的应用于客户端的远程接入认证装置的结构框图。
164.如图9所示，该实施例的远程接入认证装置900应用于客户端，装置包括：报文获取模块910、报文发送模块920。
165.报文获取模块910，用于响应于远程接入任务请求，在原始协商报文中添加包含用户标识以及第一哈希值的扩展字段，得到目标协商报文，其中，原始协商报文表征在目标网络协议握手阶段由客户端对虚拟专用网络网关发送的报文。
166.报文发送模块920，用于向虚拟专用网络网关发送目标协商报文，以使得虚拟专用网络网关基于目标协商报文对客户端进行认证。
167.根据本公开的实施例，报文获取模块910可以包括：随机数值确定子模块、第一哈希计算子模块、第一扩展字段确定子模块、第二扩展字段确定子模块及字段封装子模块。
168.随机数值确定子模块，用于基于原始协商报文中包括的原始协商信息，确定随机数值。
169.第一哈希计算子模块，用于将随机数、用户标识、用户标识对应的密码及客户端的物理机地址值进行哈希计算，得到第一哈希值。
170.第一扩展字段确定子模块，用于基于用户标识，得到第一扩展字段。
171.第二扩展字段确定子模块，用于基于第一哈希值，得到第二扩展字段。
172.字段封装子模块，用于将第一扩展字段和第二扩展字段封装至原始协商报文中，得到目标协商报文。
173.根据本公开的实施例，报文获取模块910、报文发送模块920中的任意多个模块可以合并在一个模块中实现，或者其中的任意一个模块可以被拆分成多个模块。或者，这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合，并在一个模块中实现。根据本公开的实施例，报文获取模块910、报文发送模块920中的至少一个可以至少被部分地实现为硬件电路，例如现场可编程门阵列(fpga)、可编程逻辑阵列(pla)、片上系统、基板上的系统、封装上的系统、专用集成电路(asic)，或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现，或以软件、硬件以及固件三种实现方
式中任意一种或以其中任意几种的适当组合来实现。或者，报文获取模块910、报文发送模块920中的至少一个可以至少被部分地实现为计算机程序模块，当该计算机程序模块被运行时，可以执行相应的功能。
174.图10示意性示出了根据本公开实施例的适于实现远程接入认证方法的电子设备的方框图。
175.如图10所示，根据本公开实施例的电子设备1000包括处理器1001，其可以根据存储在只读存储器(rom)1002中的程序或者从存储部分1008加载到随机访问存储器(ram)1003中的程序而执行各种适当的动作和处理。处理器1001例如可以包括通用微处理器(例如cpu)、指令集处理器和/或相关芯片组和/或专用微处理器(例如，专用集成电路(asic))等等。处理器1001还可以包括用于缓存用途的板载存储器。处理器1001可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
176.在ram 1003中，存储有电子设备1000操作所需的各种程序和数据。处理器1001、rom 1002以及ram 1003通过总线1004彼此相连。处理器1001通过执行rom 1002和/或ram 1003中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意，程序也可以存储在除rom 1002和ram 1003以外的一个或多个存储器中。处理器1001也可以通过执行存储在一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。
177.根据本公开的实施例，电子设备1000还可以包括输入/输出(i/o)接口1005，输入/输出(i/o)接口1005也连接至总线1004。电子设备1000还可以包括连接至输入/输出(i/o)接口1005的以下部件中的一项或多项：包括键盘、鼠标等的输入部分1006；包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分1007；包括硬盘等的存储部分1008；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分1009。通信部分1009经由诸如因特网的网络执行通信处理。驱动器1010也根据需要连接至输入/输出(i/o)接口1005。可拆卸介质1011，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器1010上，以便于从其上读出的计算机程序根据需要被安装入存储部分1008。
178.本公开还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的；也可以是单独存在，而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序，当上述一个或者多个程序被执行时，实现根据本公开实施例的方法。
179.根据本公开的实施例，计算机可读存储介质可以是非易失性的计算机可读存储介质，例如可以包括但不限于：便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。例如，根据本公开的实施例，计算机可读存储介质可以包括上文描述的rom 1002和/或ram 1003和/或rom 1002和ram 1003以外的一个或多个存储器。
180.本公开的实施例还包括一种计算机程序产品，其包括计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。当计算机程序产品在计算机系统中运行时，该程序代码用于使计算机系统实现本公开实施例所提供的远程接入认证方法。
181.在该计算机程序被处理器1001执行时执行本公开实施例的系统/装置中限定的上
述功能。根据本公开的实施例，上文描述的系统、装置、模块、单元等可以通过计算机程序模块来实现。
182.在一种实施例中，该计算机程序可以依托于光存储器件、磁存储器件等有形存储介质。在另一种实施例中，该计算机程序也可以在网络介质上以信号的形式进行传输、分发，并通过通信部分1009被下载和安装，和/或从可拆卸介质1011被安装。该计算机程序包含的程序代码可以用任何适当的网络介质传输，包括但不限于：无线、有线等等，或者上述的任意合适的组合。
183.在这样的实施例中，该计算机程序可以通过通信部分1009从网络上被下载和安装，和/或从可拆卸介质1011被安装。在该计算机程序被处理器1001执行时，执行本公开实施例的系统中限定的上述功能。根据本公开的实施例，上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。
184.根据本公开的实施例，可以以一种或多种程序设计语言的任意组合来编写用于执行本公开实施例提供的计算机程序的程序代码，具体地，可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。程序设计语言包括但不限于诸如java，c++，python，“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(lan)或广域网(wan)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
185.附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
186.本领域技术人员可以理解，本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合或/或结合，即使这样的组合或结合没有明确记载于本公开中。特别地，在不脱离本公开精神和教导的情况下，本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。
187.以上对本公开的实施例进行了描述。但是，这些实施例仅仅是为了说明的目的，而并非为了限制本公开的范围。尽管在以上分别描述了各实施例，但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围，本领域技术人员可以做出多种替代和修改，这些替代和修改都应落在本公开的范围之内。

技术特征：
1.一种远程接入认证方法，应用于虚拟专用网络网关，所述方法包括：接收来自客户端的目标协商报文，其中，所述目标协商报文是由所述客户端响应于远程接入任务请求对原始协商报文中添加包含用户标识以及第一哈希值的扩展字段得到的，所述原始协商报文表征在所述目标网络协议握手阶段客户端对虚拟专用网络网关发送的报文；基于所述目标协商报文对所述客户端进行认证，得到认证结果。2.根据权利要求1所述的方法，其中，所述基于所述目标协商报文对所述客户端进行认证，得到认证结果包括：基于所述目标协商报文中包括的用户网络协议地址，对所述客户端进行认证，得到第一认证结果。3.根据权利要求2所述的方法，其中，所述基于所述目标协商报文中包括的用户网络协议地址，对所述客户端进行认证，得到第一认证结果，包括：从所述目标协商报文携带的目标协商信息中，确定所述用户网络协议地址；基于所述用户网络协议地址的标识信息，在预设白名单数据库中查询所述标识信息，得到查询结果信息，其中，所述预设白名单数据库中包括认证通过的网络协议地址信息；基于所述查询结果信息，得到所述第一认证结果。4.根据权利要求3所述的方法，其中，所述基于所述查询结果信息，得到所述第一认证结果，包括：在所述查询结果信息中含有查找成功标识的情况下，确定所述第一认证结果为认证通过；在所述查询结果信息中含有查找失败标识的情况下，确定所述第一认证结果为认证未通过。5.根据权利要求3所述的方法，还包括：在所述白名单数据库中包括的网络协议地址的认证通过时长超过的预设时间阈值的情况下，将所述网络协议地址在所述白名单数据库中删除。6.根据权利要求2所述的方法，还包括：在所述第一认证结果为认证未通过的情况下，基于所述第二哈希值，对所述客户端进行认证，得到第二认证结果，其中，所述第二哈希值为所述虚拟专用网络网关进行哈希计算的到的哈希值。7.根据权利要求6所述的方法，其中，所述在所述第一认证结果为认证未通过的情况下，基于所述第二哈希值，对所述客户端进行认证，得到第二认证结果，包括：将所述目标协商报文进行解析，得到随机数值、所述用户标识以及第一哈希值；基于所述用户标识，从本地数据库或目标服务器中获取所述用户标识对应的用户密码；基于所述用户标识，从预设目标系统中获取所述用户标识对应的物理机地址值；将所述用户标识、所述随机数值、所述物理机地址值以及所述用户密码进行哈希计算，得到第二哈希值；将所述第一哈希值和所述第二哈希值进行比对，得到第二认证结果。8.根据权利要求7所述的方法，其中，所述将所述第一哈希值和所述第二哈希值进行比
对，得到第二认证结果，包括：将所述第一哈希值和所述第二哈希值进行比对，得到比对结果；响应于所述比对结果表征第一哈希值与所述第二哈希值相同，确定所述第二认证结果为认证通过；响应于所述比对结果表征第一哈希值和所述第二哈希值不同，确定所述第二认证结果为认证未通过。9.根据权利要求6所述的方法，还包括：在所述第二认证结果为认证通过的情况下，确定将所述目标协商报文中包括的用户网络协议地址加入白名单数据库中。10.根据权利要求6所述的方法，还包括：在所述认证结果为认证通过的情况下，发送响应报文至所述客户端，以便所述客户端确定已认证成功，其中，所述认证结果为认证通过包括所述第一认证结果为认证通过或所述第二认证结果为认证通过。11.一种远程接入认证方法，应用于客户端，所述方法包括：响应于远程接入任务请求，在原始协商报文中添加包含用户标识以及第一哈希值的扩展字段，得到目标协商报文，其中，所述原始协商报文表征在目标网络协议握手阶段由客户端对虚拟专用网络网关发送的报文；向所述虚拟专用网络网关发送所述目标协商报文，以使得所述虚拟专用网络网关基于所述目标协商报文对所述客户端进行认证。12.根据权利要求11所述的方法，其中，所述在原始协商报文中添加包含用户标识以及第一哈希值的扩展字段，得到目标协商报文，包括：基于所述原始协商报文中包括的原始协商信息，确定随机数值；将所述随机数、所述用户标识、所述用户标识对应的密码及所述客户端的物理机地址值进行哈希计算，得到所述第一哈希值；基于所述用户标识，得到第一扩展字段；基于所述第一哈希值，得到第二扩展字段；将所述第一扩展字段和所述第二扩展字段封装至所述原始协商报文中，得到所述目标协商报文。13.一种远程接入认证装置，应用于虚拟专用网络网关，所述装置包括：报文接收模块，用于接收来自客户端的目标协商报文，其中，所述目标协商报文是由所述客户端响应于远程接入任务请求对原始协商报文中添加包含用户标识以及第一哈希值的扩展字段得到的，所述原始协商报文表征在所述目标网络协议握手阶段客户端对虚拟专用网络网关发送的报文；客户端认证模块，用于基于所述目标协商报文对所述客户端进行认证，得到认证结果。14.一种远程接入认证装置，应用于客户端，所述装置包括：报文获取模块，用于响应于远程接入任务请求，在原始协商报文中添加包含用户标识以及第一哈希值的扩展字段，得到目标协商报文，其中，所述原始协商报文表征在目标网络协议握手阶段由客户端对虚拟专用网络网关发送的报文；报文发送模块，用于向所述虚拟专用网络网关发送所述目标协商报文，以使得所述虚
拟专用网络网关基于所述目标协商报文对所述客户端进行认证。15.一种电子设备，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器执行根据权利要求1～12中任一项所述的方法。16.一种计算机可读存储介质，其上存储有可执行指令，该指令被处理器执行时使处理器执行根据权利要求1～12中任一项所述的方法。17.一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现根据权利要求1～12中任一项所述的方法。

技术总结
本公开提供了一种远程接入认证方法、装置、设备及存储介质，可以应用于信息安全领域和金融科技领域。该方法应用于虚拟专用网络网关，包括：接收来自客户端的目标协商报文，其中，目标协商报文是由客户端响应于远程接入任务请求对原始协商报文中添加包含用户标识以及第一哈希值的扩展字段得到的，原始协商报文表征在目标网络协议握手阶段客户端对虚拟专用网络网关发送的报文；基于目标协商报文对客户端进行认证，得到认证结果。得到认证结果。得到认证结果。


技术研发人员：丁炎 高铭剑 贾紫倩 孙源
受保护的技术使用者：中国工商银行股份有限公司
技术研发日：2023.05.31
技术公布日：2023/8/13