應用於虛擬專用網絡架構下的身份識別系統與方法

2023-10-19 12:26:32

專利名稱：應用於虛擬專用網絡架構下的身份識別系統與方法
技術領域：
本發明涉及一種遠程網絡存取系統與方法，更詳而言之，涉及一 種應用於虛擬專用網絡架構下的身份識別系統與方法。
背景技術：
從人類歷史轉入二十一世紀，網絡使用越來越大眾化，隨著網絡 的蓬勃發展，網絡的建構及擴展已漸漸地改變企業經營的模式，傳統 的工作環境及上下遊廠商的關係將隨著網際網路的普及而有所更動，尤
其在虛擬專用網絡(Virtual Private Network, VPN)的架設之下，更有革 命性的變化。企業員工不再受限於固定的上班場所，而是只要能連結 上企業網絡的地方均可辦公。同時，商場競爭的壓力也會迫使相當多 的產業尋求與其上下遊廠商相結合，以類似一個大企業體系網絡的方 式運作，來增加其競爭優勢。
上述的改變將會使企業的營運更加快速，產生更大的產值，而在 此同時，卻也意味著傳統固接式的企業網絡連結架構將不敷所需。在 外出差的員工及配合廠商都將期待通過網際網路的途徑來存取企業內部 的信息，企業廣域網絡架構也是必需將虛擬專用網絡的功能納入其中。
過去企業的網絡架構，多以封閉式的專線連結為主；其主要考慮 即是在於數據傳輸的"安全性"。若在安全性不能被保障的狀況下，一 旦企業重要數據被黑客或有心人士竊取，將對企業造成難以彌補的傷 害及損失。所以在虛擬專用網絡架構中的各項安全機制便成為虛擬專 用網絡技術中最為重要的一環。
所謂安全機制必需具備下列兩項功能私密性，為了確保數據能 保持私密和機密性，以及防止可能擁有網絡監視軟體的竊聽者檢視數 據，通常以加密方式提供私密性。完整性，必須能確保數據受到保護， 以防止在傳輸時遭到意外或蓄意的修改。通常使用"信息驗證程序代碼 (message Authentication Code)"來提供完整性。一般常用的安全傳輸技術如保密封包層(SSL)技術，為網頁伺服器 和瀏覽器之間以加解密方式溝通的安全技術標準，這個溝通過程確保 了所有在伺服器與瀏覽器之間通過的數據的私密性與完整性，而為了
使用SSL技術作安全連結， 一個網頁伺服器需要一張憑證。
當在網頁伺服器上啟動SSL時，該網頁伺服器將建立兩把密鑰， 一把私鑰和一把公鑰。私鑰用來維持私密性與安全性的，而公鑰則不 需去作保密並且還置放在憑證需求文件(Certificate Signing Request)裡， 它是一個包含用戶詳細數據的文件，您必須將此CSR傳送給認證中心， 通過SSL憑證申請程序，發證中心(CertificationAuthority)將驗證用戶 詳細數據然後核發一個憑證給用戶，使該網頁伺服器能在伺服器與用 戶的瀏覽器之間建立一個加密連結。將此SSL技術運用在VPN系統， 使外部用戶可隨時利用瀏覽器通過虛擬專用網絡網關所建立的加密的 安全聯機信道與該VPN系統進行連結。
當使用SSL虛擬專用網絡聯機時，用戶僅需通過可支持SSL加密 協議的瀏覽器，就可以存取虛擬專用網絡上的資源及程序，可以有效 突破如防火牆等網絡安全設備的聯機限制，而且能夠支持如個人數字 助理(PDA)、 GPRS手機等設備，使用上相當具有彈性，基本上只要能 夠順利讀取網頁，就可以順利的讀取到內部網絡的開放資源，可以隨 時隨地取得想要的數據。
上述現有的SSL虛擬專用網絡固然可以讓客戶端能彈性地通過瀏 覽器存取虛擬專用網絡上的資源及程序，但仍存有以下缺點需要改進。
首先， 一般用戶登入SSL虛擬專用網絡時僅通過單一密碼認證方 式，優良的密碼安全機制是抵擋入侵的第一線，最常見的網絡入侵方 法是竊取用戶帳號密碼，或直接竊取機密數據。 一般的靜態單一密碼 系統，簡單易記的密碼容易被猜測出來，而複雜的不易記憶。而一旦 用戶登入SSL虛擬專用網絡的帳號密碼遭盜用時，盜用者即可任意存 取虛擬專用網絡內的重要數據。
其次，遠程網絡存取系統欲整合於多個虛擬專用網絡下，為避免 各個虛擬專用網絡IP位址相同而衝突的問題，常須以NAT方式轉換 IP位址，IP位址的管理不易且複雜度高。
綜上所述，如何能提供一種具有高安全性的遠程網絡存取系統與方法，並整合於虛擬專用網絡系統中，遂成為目前亟待解決的課題。

發明內容
為解決前述現有技術的缺失，本發明提供一種應用於虛擬專用網 絡架構下的身份識別系統，搭接於虛擬專用網絡網關，該應用於虛擬 專用網絡架構下的身份識別系統包括網絡存取伺服器，連接至該虛 擬專用網絡網關；以及驗證伺服器，與該網絡存取伺服器連接，用以
在該虛擬專用網絡網關接收到針對虛擬專用網絡的存取要求時，通過 該網絡存取伺服器執行身份識別與動態密碼驗證，並在該存取要求通 過身份識別與動態密碼驗證後，授權該存取要求針對相應的該虛擬專 用網絡進行存取。
在本發明的另一種型態中，還包括防火牆，與該虛擬專用網絡網 關連接。且該防火牆連接於該虛擬專用網絡網關、該網絡存取伺服器 與該虛擬專用網絡之間和/或連接於該虛擬專用網絡網關與網絡之間。
在本發明的另一種型態中，該虛擬專用網絡是由多個虛擬專用網 絡系統所組成。較佳者，該存取要求包括通過虛擬專用網絡網關加入 的虛擬區域網路巻標，且該虛擬專用網絡包括虛擬區域網路巻標識別 裝置，用以依據該虛擬區域網路巻標，識別該存取要求所對應的欲存 取的該虛擬專用網絡系統，以令該存取要求進入該對應的虛擬專用網 絡系統進行存取。
在本發明的另一種型態中，該網絡存取伺服器為遠程用戶撥入驗
i正(Remote Authentication Dial In User Service, Radius)月艮務器，通過 帳號與密碼執行身份識別的驗證。
在本發明的再一種型態中，還包含密碼產生器，用以提供驗證密 碼給該網絡終端裝置。且該驗證伺服器為一次性密碼(One Time Password,OTP)驗證伺服器。
本發明還提供一種應用於虛擬專用網絡架構下的身份識別方法， 搭接於虛擬專用網絡網關，該虛擬專用網絡網關通過網絡存取伺服器 與驗證伺服器連接，包括，首先，通過該虛擬專用網絡網關接收來自 網絡的存取要求。其次，該驗證伺服器通過該網絡存取伺服器針對該 存取要求執行身份識別與動態密碼驗證，若未通過該驗證，則拒絕該存取要求；若通過該驗證，則授權該存取要求針對相應的該虛擬專用 網絡進行存取。
在本發明的另一種型態中，包括該存取要求通過虛擬專用網絡網 關加入虛擬區域網路巻標，且如果通過該驗證，則在授權該存取要求 針對相應的該虛擬專用網絡進行存取後，還包括依據該虛擬區域網路 巻標，識別該存取要求所對應的欲存取的該虛擬專用網絡系統，以令 該存取要求進入該對應的虛擬專用網絡系統進行存取。
與現有的遠程網絡存取裝置相比，在本發明的應用於虛擬專用網
絡架構下的身份識別系統與方法中，利用OTP動態密碼技術結合虛擬
專用網絡網關的技術，來驗證對虛擬專用網絡所發出存取要求的客戶 端身份。由於該動態密碼最大優點是使用隨機數產生的密碼，根據時 間或事件每次產生不同的密碼，而且該密碼只能使用一次。故未經授 權的他人即使攔截到這一次的密碼，也無法應用到下一次的登入。因 此，該應用於虛擬專用網絡架構下的身份識別系統與方法，能有效的 提高遠程網絡存取的安全性以及提升客戶端聯機的便利性。


圖la為本發明的應用於虛擬專用網絡架構下的身份識別系統的第 一實施例的系統架構示意圖lb為本發明的應用於虛擬專用網絡架構下的身份識別方法第一 實施例的流程圖2a為本發明的應用於虛擬專用網絡架構下的身份識別系統的第 二實施例的系統架構示意圖2b為本發明的應用於虛擬專用網絡架構下的身份識別方法第二 實施例的流程圖；以及
圖3為本發明的應用於虛擬專用網絡架構下的身份識別系統的第 三實施例的系統架構示意圖。
主要組件符號說明
I 柳月白 1 :,蹄鄉勾下鵬郷麟
II 網絡存取伺服器 12 驗證伺服器20 虛擬專用網絡
20a、 20b、 20c虛擬專用網絡系統
21 虛擬專用網絡網關 22a、 22b防火牆
30 網絡
40 網絡終端裝置
41 密碼產生器 S1 S5 步驟
具體實施例方式
以下通過特定的具體實施例說明本發明的實施方式，本領域技術 人員可由本說明書所揭示的內容輕易地了解本發明的其它優點與功 效。本發明也可通過其它不同的具體實施例加以施行或應用。
第一實施例
請參閱圖la，其為本發明的應用於虛擬專用網絡架構下的身份識 別系統第一實施例的系統架構示意圖。如圖所示，本發明的應用於虛 擬專用網絡架構下的身份識別系統1，可應用於虛擬專用網絡20中， 該虛擬專用網絡20通過虛擬專用網絡網關21與外部的網絡30連接， 而網絡30則可與網絡終端裝置40連接，網絡終端裝置40搭配密碼產 生器41。本發明的應用於虛擬專用網絡架構下的身份識別系統1則搭 接至虛擬專用網絡網關21。
虛擬專用網絡20用以提供虛擬專用網絡的服務。對於建立虛擬專 用網絡的大型企業，團體，政府機關或類似單位，不但具有私有網絡 內部傳輸的安全性及封閉性，也具備外部連結存取數據的方便性。在 本實施例中，該虛擬專用網絡20可選擇性地採用硬體式虛擬專用網絡 與/或軟體式虛擬專用網絡。其中，硬體式虛擬專用網絡設備可為虛擬 專用網絡加密路由器(VPNRouter)，這種設備將加解密的鑰匙儲存在內 存中，較不易被損壞，同時加解密的速度也較快。軟體式的虛擬專用 網絡產品架設於伺服器及作業平臺之上，可依據目的地址或通訊協議 來建立虛擬專用網絡信道。
在本實施例中，應用安全套階層(Secure Sockets Layer, SSL)於網絡30。網絡終端裝置40搭配密碼產生器41發出存取要求，該存取要
求則通過網絡30連結至虛擬專用網絡網關21，並通過虛擬專用網絡網 關21與本發明的應用於虛擬專用網絡架構下的身份識別系統1之間的 認證，以進入虛擬專用網絡20中執行包括瀏覽網頁、傳輸或接收數據 在內的存取要求。由於採用SSL架構的虛擬專用網絡30，因此可運用 包括保密封包層加密技術的SSL技術來建立加密傳輸通道，並有較現 有的IPSec技術方式更高的數據傳輸安全性。在本實施例中，密碼產生 器41可例如為動態密碼產生器，較佳地，用以產生一次性密碼(OTP) 的動態密碼產生器。
網絡30可例如為網際網路(Intemet)、組織內網絡系統(intranet)、組 織間網絡系統(extranet)、區域網路系統(Local Area Network, LAN)、廣 域網絡系統(Wide Area Network, WAN)或虛擬私人網絡系統(Virtual Private Network, VPN)。當然，也可以為上述該些網絡種類間的組合。
網絡終端裝置40可例如為工作站、伺服器、個人計算機、筆記型 計算機、平板計算機、掌上型計算機、智能型行動電話、行動電話、 或個人數字助理(PDA)，上述所列的終端具備網絡瀏覽器接口。
另一方面，網絡30可例如為有線或無線網絡系統，也可為有線與 無線網絡系統的組合。承前所述，只要是能用如瀏覽器等接口與SSL 虛擬專用網絡網關21進行聯機，即可作為網絡終端裝置40。
本發明的應用於虛擬專用網絡架構下的身份識別系統包括網絡 存取伺服器11與驗證伺服器12。
網絡存取伺服器11連接至虛擬專用網絡網關21，並通過虛擬專用 網絡網關21與虛擬專用網絡20以及網絡30連接。在本實施例中，網 絡存取伺服器11可為遠程用戶撥入(Radius)驗證伺服器，採用RADIUS 協議。而驗證伺服器12可為一次性密碼(OTP)驗證伺服器。
OTP驗證伺服器12與Radius驗證伺服器11連接，用以在虛擬專 用網絡網關21接收到針對虛擬專用網絡20的存取要求時，通過Radius 驗證伺服器11執行身份識別與動態密碼驗證，並在存取要求通過身份 識別與動態密碼驗證後，授權該存取要求針對相應的該虛擬專用網絡 進行存取。
具體言之，OTP驗證伺服器12用以對要針對虛擬專用網絡20發出存取要求而連結至虛擬專用網絡網關21的網絡終端裝置40的客戶 端進行身份認證。動態密碼最大特點是使用隨機數產生的密碼，根據
時間或事件每次產生不同的密碼，並且該密碼只能使用一次。OTP驗 證伺服器12可利用很多方式來驗證網絡終端裝置40的客戶端身份， 舉例來說，網絡終端裝置40可利用密碼產生器41所產生的一次性密 碼，而OTP驗證伺服器12則具有對應該密碼產生器41的鑰匙(KEY) 算法，當網絡終端裝置40輸入由該密碼產生器41產生的隨機數密碼 時，OTP驗證伺服器12即可通過算法得出鑰匙值，即可確認該鑰匙對 應的網絡終端裝置40的客戶端身份。
請參閱圖lb，其為本發明的應用於虛擬專用網絡架構下的身份識 別方法第一實施例的流程圖。如圖所示，在步驟S1中，通過虛擬專用 網絡網關接收來自網絡的存取要求。接著進至歩驟S2。承前所述，當 客戶端要通過網絡終端裝置40並經由網絡30聯機登入虛擬專用網絡 20時，首先會與虛擬專用網絡網關21連接，並由虛擬專用網絡網關 21接收來自網絡30的網絡終端裝置40的存取要求。
在步驟S2中，通過驗證伺服器經由網絡存取伺服器針對存取要求 執行身份識別與動態密碼驗證，並判斷是否通過驗證，若否，則進至 步驟S3;若是則進至步驟S4。承前所述，當客戶端欲通過網絡終端裝 置40連接至虛擬專用網絡20，並針對虛擬專用網絡20發出存取要求 時，需通過瀏覽器接口進行登入，此時網絡終端裝置40與虛擬專用網 絡20間會建立加密的數據傳輸信道，此時，客戶端在通過網絡終端裝 置40登入虛擬專用網絡20時，除須輸入帳號與密碼外，復須輸入一 組動態密碼。接著，通過網絡存取伺服器11將此組動態密碼傳送至驗 證伺服器12進行分析演算，若確認網絡終端裝置40的客戶端為合法 身份，進至步驟S4;反之，則進至步驟S3。
在步驟S3中，網絡終端裝置40的客戶端不具有存取虛擬專用網 絡20的權限，故拒絕存取要求。
在步驟S4中，驗證伺服器12會通知網絡存取伺服器11授予網絡 終端裝置40的客戶端存取虛擬專用網絡20的權限，即，授權存取要 求針對相應的虛擬專用網絡進行存取。
第二實施例虛擬專用網絡架構下的身份識 別系統第二實施例的系統架構示意圖。如圖所示，本實施例與第一實
施例的架構與構件大致相同，其差異僅在於虛擬專用網絡20是由三個 虛擬專用網絡系統20a、 20b與20c所組成。在實際實施的情況下，虛 擬專用網絡系統的數量並不受限。
具體言之，不同的虛擬專用網絡系統20a、 20b與20c可能屬於不 同的企業、學校甚至個人所有。而虛擬專用網絡20本身則可由如網絡 服務供應者(ISP)所建構。
承前所述，由於虛擬專用網絡20包括三個不同的虛擬專用網絡系 統20a、 20b與20c。為確認網絡終端裝置40通過網絡30所發出的存 取要求對象為虛擬專用網絡系統20a、 20b或20c，因此可選擇性地在 存取要求中加入虛擬區域網路巻標，而虛擬專用網絡20則還包括虛擬 區域網路巻標識別裝置，由此來依據存取要求中的虛擬區域網路巻標， 識別存取要求所對應的欲存取的虛擬專用網絡系統為20a、 20b或20c， 從而令存取要求進入對應的虛擬專用網絡系統20a、 20b或20c進行存 取。
請參閱圖2b,其為本發明的應用於虛擬專用網絡架構下的身份識 別方法第二實施例的流程圖。如圖所示，在步驟S1中，通過虛擬專用 網絡網關接收來自網絡的存取要求。接著進至歩驟S2。
在步驟S2中，通過驗證伺服器經由網絡存取伺服器針對存取要求 執行身份識別與動態密碼驗證，並判斷是否通過驗證，若否，則進至 步驟S3;若是則進至步驟S4。
在步驟S3中，拒絕存取要求。
在步驟S4中，授權存取要求針對相應的虛擬專用網絡進行存取。 接著進至歩驟S5。
在步驟S5中，依據存取要求的虛擬區域網路巻標，識別存取要求 所對應的欲存取的該虛擬專用網絡系統，以令存取要求進入對應的虛 擬專用網絡系統進行存取。
第三實施例
請參閱圖3，其為本發明的應用於虛擬專用網絡架構下的身份識別 系統第三實施例的系統架構示意圖。如圖所示，本實施例可與第一或第二實施例相結合，以下以第二實施例的系統架構為例提出說明。
在本實施例中，本發明的應用於虛擬專用網絡架構下的身份識別
系統還可選擇性地包括防火牆22a和/或22b，防火牆22a和/或22b均 與虛擬專用網絡網關21連接。
更具體言之，防火牆22a可選擇性地連接於該虛擬專用網絡網關 21與網絡30之間。另一方面，防火牆22b也可選擇性地連接於該虛擬 專用網絡網關21 、該Radius驗證伺服器11與該虛擬專用網絡20之間。
按防火牆22a和/或22b為用來分隔兩個不同網絡的安全裝置(在 本實施例中用以分隔虛擬專用網絡20與網絡30)。其可使合法用戶端 正常的取得虛擬專用網絡20上的數據，防止非法用戶蓄意破壞以及保 護虛擬專用網絡20的數據。防火牆22a和/或22b可為軟體或硬體，用 以阻擋試圖通過網絡30進入虛擬專用網絡20的黑客或計算機病毒。
防火牆22a和域22b的功能可包括但不限於封包過濾、代理服務 器(Proxy Server)與狀態檢測。其中，封包過濾是一種簡單的防火牆機 制。這種防火牆會檢查封包的目的地和來源的IP位址、TCP/UDP埠 ， 並根據管理者設定的簡單規則來決定是否接受或拒絕封包。通過管理 者所設定的規則去進行過濾，檢查是否允許封包傳送或是拒傳送。
代理伺服器位於應用層的代理程序，為防火牆22a和/或22b上執 行的一種軟體，能夠仿真網絡30聯機的來源和目的地兩端。用戶間的 網絡傳輸都必須通過此代理伺服器，進行數據檢查並檢查聯機的合法 性，如此一來在檢査數據的過程中，能夠有效地將受信任的虛擬專用 網絡20和網絡30隔離開來。代理伺服器的程序會檢査客戶端送過來 的數據，並判斷是否為合法的數據要轉送出去或是為非法的數據直接 丟棄。
狀態檢測防火牆以封包過濾類似的方法來控制網絡傳輸，但會進 一步檢査數據封包流的內容，而不只是單純地過濾封包而已。狀態檢 視封包防火牆22a和/或22b根據封包的來源和目的地IP位址及所要 求的服務來作判斷過濾。
需補充說明的是，防火牆22a和/或22b的功能與型態有多種，只 要能與本發明的應用於虛擬專用網絡架構下的身份識別系統與方法相 結合者，均不超出本發明的權利要求書表示的範圍。第四實施例
在本實施例中本發明的應用於虛擬專用網絡架構下的身份識別系 統可與第一、第二或第三實施例相結合。具體言之，Radius驗證服務 器11以及OTP驗證伺服器12可選擇性地整合在單一服務裝置中，由 於將Radius驗證伺服器11以及OTP驗證伺服器12整合於單一服務裝 置非本發明的主要技術特徵所在，而僅為一種實施例態樣，因此不另 為圖文描述。
總而言之，通過本發明的應用於虛擬專用網絡架構下的身份識別 系統與方法所提供的雙因素認證機制更加強了整個虛擬專用網絡的安 全性，且其簡易的架構也節省了建制虛擬專用網絡安全系統的成本。 能有效的提升遠程網絡存取的安全性及提升客戶端聯機的便利性。
此外，結合本發明的應用於虛擬專用網絡架構下的身份識別系統 與方法的SSL虛擬專用網絡架構，其可獲得的優點包括簡化客戶端， 只用瀏覽器就可連結到虛擬專用網絡的內部網絡且對客戶端的操作系 統沒有任何限制；使用方便，只要配置SSL虛擬專用網絡網關就可以 立刻執行遠程訪問；以及簡化身份認證方式。
因此，本發明的應用於虛擬專用網絡架構下的身份識別系統與方 法，不但能有效地提升遠程網絡存取的安全性及提升客戶端聯機的便 利性，且可減少虛擬專用網絡用戶的設備建製成本。
上述實施例僅例示性地說明本發明的原理及其功效，而非用於限 制本發明。任何本領域技術人員均可在不違背本發明的精神及範疇下， 對上述實施例進行修飾與變化。因此，本發明的權利保護範圍，應以 權利要求書的範圍為依據。
權利要求
1、一種應用於虛擬專用網絡架構下的身份識別系統，搭接於虛擬專用網絡網關，其特徵在於，該應用於虛擬專用網絡架構下的身份識別系統包括網絡存取伺服器，連接至該虛擬專用網絡網關；以及驗證伺服器，與該網絡存取伺服器連接，用以在該虛擬專用網絡網關接收到針對虛擬專用網絡的存取要求時，通過該網絡存取伺服器執行身份識別與動態密碼驗證，並在該存取要求通過身份識別與動態密碼驗證後，授權該存取要求針對相應的該虛擬專用網絡進行存取。
2、 根據權利要求1所述的應用於虛擬專用網絡架構下的身份識別 系統，其特徵在於，還包括防火牆，其與該虛擬專用網絡網關連接。
3、 根據權利要求2所述的應用於虛擬專用網絡架構下的身份識別 系統，其特徵在於，該防火牆連接於該虛擬專用網絡網關、該網絡存 取伺服器與該虛擬專用網絡之間。
4、 根據權利要求2所述的應用於虛擬專用網絡架構下的身份識別 系統，其特徵在於，該防火牆連接於該虛擬專用網絡網關與網絡之間。
5、 根據權利要求4所述的應用於虛擬專用網絡架構下的身份識別 系統，其特徵在於，該網絡為網際網路、組織內網絡系統、組織間網絡 系統、區域網路系統 廣域網絡系統和/或虛擬私人網絡系統。
6、 根據權利要求4所述的應用於虛擬專用網絡架構下的身份識別 系統，其特徵在於，該網絡為有線和/或無線網絡系統。
7、 根據權利要求4所述的應用於虛擬專用網絡架構下的身份識別 系統，其特徵在於，該網絡與網絡終端裝置連接。
8、 根據權利要求7所述的應用於虛擬專用網絡架構下的身份識別系統，其特徵在於，該網絡終端裝置為工作站、伺服器、個人計算機、 筆記型計算機、平板計算機、掌上型計算機、智能型行動電話、行動 電話、個人數字助理。
9、 根據權利要求7所述的應用於虛擬專用網絡架構下的身份識別 系統，其特徵在於，還包含密碼產生器，用以提供驗證密碼給該網絡 終端裝置。
10、 根據權利要求7所述的應用於虛擬專用網絡架構下的身份識 別系統，其特徵在於，該密碼產生器為動態密碼產生器。
11、 根據權利要求1所述的應用於虛擬專用網絡架構下的身份識 別系統，其特徵在於，該虛擬專用網絡是由多個虛擬專用網絡系統所 組成。
12、 根據權利要求11所述的應用於虛擬專用網絡架構下的身份識 別系統，其特徵在於，該存取要求包括虛擬區域網路巻標，且該虛擬 專用網絡包括虛擬區域網路巻標識別裝置，用以依據該虛擬區域網路 巻標，識別該存取要求所對應的欲存取的該虛擬專用網絡系統，以令 該存取要求進入對應的虛擬專用網絡系統進行存取。
13、 根據權利要求1所述的應用於虛擬專用網絡架構下的身份識 別系統，其特徵在於，該虛擬專用網絡為硬體式虛擬專用網絡和/或軟 件式虛擬專用網絡。
14、 根據權利要求1所述的應用於虛擬專用網絡架構下的身份識 別系統，其特徵在於，該網絡存取伺服器通過帳號與密碼執行身份識 別的驗證。
15、 根據權利要求14所述的應用於虛擬專用網絡架構下的身份識 別系統，其特徵在於，該網絡存取伺服器為遠程用戶撥入驗證伺服器。
16、 根據權利要求1所述的應用於虛擬專用網絡架構下的身份識 別系統，其特徵在於，該驗證伺服器為一次性密碼驗證伺服器。
17、 根據權利要求1所述的應用於虛擬專用網絡架構下的身份識 別系統，其特徵在於，該網絡存取伺服器以及該驗證伺服器整合於單 一服務裝置中。
18、 一種應用於虛擬專用網絡架構下的身份識別方法，搭接於虛擬專用網絡網關，該虛擬專用網絡網關通過網絡存取伺服器與驗證服 務器連接，其特徵在於，該應用於虛擬專用網絡架構下的身份識別方法包括(1) 通過該虛擬專用網絡網關接收來自網絡的存取要求；(2) 該驗證伺服器通過該網絡存取伺服器針對該存取要求執行身份 識別與動態密碼驗證，若未通過該驗證則進至步驟(3)，若通過該驗 證則進至步驟(4);(3) 拒絕該存取要求；以及(4) 授權該存取要求針對相應的該虛擬專用網絡進行存取。
19、 根據權利要求18所述的應用於虛擬專用網絡架構下的身份識別方法，其特徵在於，該存取要求包括虛擬區域網路巻標，且在步驟(4)後還包括(5)依據該虛擬區域網路巻標，識別該存取要求所對應的欲存取的該虛擬專用網絡系統，以令該存取要求進入對應的虛擬專用網絡系 統進行存取。
20、 根據權利要求18所述的應用於虛擬專用網絡架構下的身份識 別方法，其特徵在於，該虛擬專用網絡網關與防火牆連接。
21、 根據權利要求20所述的應用於虛擬專用網絡架構下的身份識 別方法，其特徵在於，該防火牆連接於該虛擬專用網絡網關、該網絡 存取伺服器與該虛擬專用網絡之間。
22、 根據權利要求20所述的應用於虛擬專用網絡架構下的身份識 別方法，其特徵在於，該防火牆連接於該虛擬專用網絡網關與該網絡 之間。
23、 根據權利要求18所述的應用於虛擬專用網絡架構下的身份識 別方法，其特徵在於，該網絡為網際網路、組織內網絡系統、組織間網 絡系統、區域網路系統、廣域網絡系統和/或虛擬私人網絡系統。
24、 根據權利要求18所述的應用於虛擬專用網絡架構下的身份識 別方法，其特徵在於，該網絡為有線和/或無線網絡系統。
25、 根據權利要求18所述的應用於虛擬專用網絡架構下的身份識 別方法，其特徵在於，該網絡與網絡終端裝置連接。
26、 根據權利要求25所述的應用於虛擬專用網絡架構下的身份識 別方法，其特徵在於，該網絡終端裝置為工作站、伺服器、個人計算 機、筆記型計算機、平板計算機、掌上型計算機、智能型行動電話、 行動電話、或個人數字助理。
27、 根據權利要求18所述的應用於虛擬專用網絡架構下的身份識 別方法，其特徵在於，該虛擬專用網絡是由多個虛擬專用網絡系統所 組成。
28、 根據權利要求18所述的應用於虛擬專用網絡架構下的身份識 別方法，其特徵在於，該虛擬專用網絡為硬體式虛擬專用網絡和/或軟 件式虛擬專用網絡。
29、 根據權利要求18所述的應用於虛擬專用網絡架構下的身份識 別方法，其特徵在於，該網絡存取伺服器通過帳號與密碼執行身份識 別的驗證。
30、 根據權利要求18所述的應用於虛擬專用網絡架構下的身份識別方法，其特徵在於，該網絡存取伺服器為遠程用戶撥入驗證伺服器。
31、 根據權利要求18所述的應用於虛擬專用網絡架構下的身份識 別方法，其特徵在於，該驗證伺服器為一次性密碼驗證伺服器。
全文摘要
本發明涉及一種應用於虛擬專用網絡架構下的身份識別系統與方法，搭接於虛擬專用網絡網關，該虛擬專用網絡網關通過存取伺服器與驗證伺服器連接，其主要通過該虛擬專用網絡網關接收來自網絡的存取要求，經該驗證伺服器及該網絡存取伺服器針對該存取要求執行身份識別與動態密碼驗證，若未通過該驗證，則拒絕該存取要求，若通過該驗證，則授權該存取要求針對相應的該虛擬專用網絡進行存取。據此，能增加虛擬專用網絡存取的安全性。
文檔編號H04L29/06GK101621503SQ20081012726
公開日2010年1月6日 申請日期2008年6月30日 優先權日2008年6月30日
發明者簡哲民 申請人:中華電信股份有限公司