專利名稱:協(xié)同工作的實(shí)現(xiàn)方法及其系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)據(jù)網(wǎng)絡(luò)通信領(lǐng)域的虛擬專用網(wǎng)(VPN, Virtual Private Network)實(shí)現(xiàn)技術(shù),尤其涉及一種遠(yuǎn)程接入條件下協(xié)同工 作的實(shí)現(xiàn)方法及其系統(tǒng)����。
背景技術(shù):
在企事業(yè)單位內(nèi)部,利用計(jì)算機(jī)支持來(lái)實(shí)現(xiàn)多部門或多用戶的協(xié) 同工作(CSCW�, Computer Supported Cooperative Work)已成為 大勢(shì)所趨。同時(shí)����,對(duì)于具有較多分支機(jī)構(gòu)或外派員工較多的企事業(yè)單 位,實(shí)現(xiàn)遠(yuǎn)程接入安全地訪問企事業(yè)單位內(nèi)部公共信息和與同事協(xié)同 工作成為這些單位的主要需求����。
目前,為實(shí)現(xiàn)協(xié)同遠(yuǎn)程接入條件下的協(xié)同工作�����,目前的實(shí)現(xiàn)方案 中大致有三種方式采用私有協(xié)議����,部署中繼服務(wù)器或借助第三方設(shè) 備來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換-穿越(NAT-T , Network Address Translation- Traversal) /防火墻的穿越。大多數(shù)企事業(yè)單位通過(guò)部署 各自的私有專屬網(wǎng)絡(luò)的方式實(shí)現(xiàn)遠(yuǎn)程接入條件下的CSCW工作����,這
種方式大大提高了工作效率。由于提供CSCW解決方案的廠家通常 提供綜合/集成度較高的解決方案��,甚至使用私有協(xié)議實(shí)現(xiàn)����,這樣, 這些企事業(yè)單位就需對(duì)原有信息技術(shù)系統(tǒng)進(jìn)行大規(guī)模改造甚至重新部 署�,獨(dú)立組網(wǎng)的成本較高,而且不利于保護(hù)企事業(yè)單位的已有投資����。 部署中繼服務(wù)器的方式,不僅會(huì)增加投資�,而且會(huì)形成通信交互的瓶 頸;借助第三方設(shè)備的實(shí)現(xiàn)方式,通?;趯?duì)等網(wǎng)絡(luò)(P2P, Peer to Peer)實(shí)現(xiàn)��,節(jié)點(diǎn)選擇具有隨意性�,存在較大的安全隱患,且當(dāng) VPN網(wǎng)絡(luò)內(nèi)的公有IP地址節(jié)點(diǎn)不多時(shí)�����,存在可靠性問題�����。
當(dāng)今,在互聯(lián)網(wǎng)上普遍使用即時(shí)通信軟件進(jìn)行對(duì)話交流���,包括使
5用QQ���、 MSN Messenger、 Jabber����、 ICQ、 Google Talk或百度hi 等�。考慮到即時(shí)通信(IM, Instant Message)可進(jìn)行點(diǎn)對(duì)點(diǎn)��、點(diǎn)對(duì) 多���、多對(duì)多等多種方式的通信�。而且隨著互聯(lián)網(wǎng)的普及�,越來(lái)越多的 上班族選擇通過(guò)IM方式與同事、合作伙伴或客戶等進(jìn)行交流溝通和 信息共享等���。IM已經(jīng)成為僅次于語(yǔ)音電話�����、電子郵件等傳統(tǒng)溝通方 式之下的重要選擇�。電信運(yùn)營(yíng)商是否能夠利用IM技術(shù)即時(shí)通信的便 捷特性�,為多分支的企事業(yè)單位提供一種通用性強(qiáng)、組網(wǎng)簡(jiǎn)單����、解決 穿越實(shí)現(xiàn)IM交互的難題且接入安全的CSCW工作方式成為當(dāng)前亟 待解決的技術(shù)問題。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種遠(yuǎn)程接入條件下協(xié)同工作的方法及其系 統(tǒng)����,繞開了 IM系統(tǒng)為實(shí)現(xiàn)穿越而借助中繼服務(wù)器/第三方實(shí)現(xiàn)IM交互 的難題,降低了 IM系統(tǒng)實(shí)現(xiàn)的復(fù)雜性���,最大限度利用了企事業(yè)單位的 已有網(wǎng)絡(luò)資源�����,為具有多分支機(jī)構(gòu)的企事業(yè)單位提供"遠(yuǎn)程接入和協(xié)同 辦公"的實(shí)現(xiàn)方式���。本發(fā)明提供如下技術(shù)方案
本發(fā)明的一個(gè)方面提供了 一種遠(yuǎn)程接入條件下協(xié)同工作的實(shí)現(xiàn)方 法,該實(shí)現(xiàn)方法包括IPSec網(wǎng)關(guān)接收來(lái)自客戶端的用戶的認(rèn)證請(qǐng)求���, 并將用戶的認(rèn)證信息轉(zhuǎn)發(fā)到AAA服務(wù)器進(jìn)行認(rèn)證�����;IPSec網(wǎng)關(guān)接收到 AAA服務(wù)器的授權(quán)信息后�����,建立與客戶端之間的IPSec隧道�����;IPSec網(wǎng) 關(guān)通過(guò)IPSec隧道接^戶端的用戶的IM登陸請(qǐng)求���,并將用戶的IM 登陸信息轉(zhuǎn)發(fā)到IM服務(wù)器以使客戶端與另外至少一個(gè)客戶端建立即時(shí) 通信聯(lián)系�。
本發(fā)明提供的遠(yuǎn)程接入條件下協(xié)同工作的實(shí)現(xiàn)方法的一個(gè)實(shí)施例 中�����,該實(shí)現(xiàn)方法包括在IPSec網(wǎng)關(guān)接收客戶端的用戶的認(rèn)證請(qǐng)求之 前�����,客戶端向IPSec網(wǎng)關(guān)發(fā)送認(rèn)證請(qǐng)求�����,并請(qǐng)求建立IPSec隧道;其中 認(rèn)證請(qǐng)求包含用戶的i人證信息�。
本發(fā)明提供的遠(yuǎn)程接入條件下協(xié)同工作的實(shí)現(xiàn)方法的一個(gè)實(shí)施例 中,該實(shí)現(xiàn)方法還包括AAA服務(wù)器接收IPSec網(wǎng)關(guān)轉(zhuǎn)發(fā)的用戶的認(rèn)證倌息后對(duì)用戶進(jìn)行認(rèn)證��;如果AAA服務(wù)器未通過(guò)對(duì)用戶的認(rèn)證信息 的認(rèn)證��,貝'J AAA服務(wù)器向IPSec網(wǎng)關(guān)發(fā)送指令��,拒絕用戶遠(yuǎn)程接入����; 以及如果AAA服務(wù)器通過(guò)對(duì)用戶的認(rèn)證信息的認(rèn)證���,則AAA服務(wù)器 向IPSec網(wǎng)關(guān)發(fā)送允許用戶遠(yuǎn)程接入的授權(quán)信息��。
本發(fā)明提供的遠(yuǎn)程接入條件下協(xié)同工作的實(shí)現(xiàn)方法的一個(gè)實(shí)施例 中�,授權(quán)信息包括用戶訪問內(nèi)部網(wǎng)絡(luò)的權(quán)限�����、訪問的速率和是否可使 用IM功能中的至少一個(gè)��。
本發(fā)明提供的遠(yuǎn)程接入條件下協(xié)同工作的實(shí)現(xiàn)方法的一個(gè)實(shí)施例 中,該實(shí)現(xiàn)方法還包括IPSec網(wǎng)關(guān)將用戶的IM登陸信息轉(zhuǎn)發(fā)到IM 服務(wù)器后��,IM服務(wù)器從用戶數(shù)據(jù)庫(kù)中讀取用戶的已審核信息����;通過(guò)將 IM服務(wù)器接收到的用戶的IM登陸倌息與用戶的已審核信息進(jìn)行比對(duì) 來(lái)驗(yàn)證用戶身份;如果用戶通過(guò)身份驗(yàn)證�����,則IM服務(wù)器記錄用戶登陸 的客戶端信息后�,返回用戶登錄成功的標(biāo)識(shí);以及如果用戶未通過(guò)身份 �����,則IM服務(wù)器拒絕用戶登陸�����。
本發(fā)明提供的遠(yuǎn)程接入條件下協(xié)同工作的實(shí)現(xiàn)方法的一個(gè)實(shí)施例 中���,用戶登陸的客戶端信息包括用戶登陸的IP地址和/或客戶端的 TCP/UDP端口號(hào)�。
本發(fā)明提供的遠(yuǎn)程接入條件下協(xié)同工作的實(shí)現(xiàn)方法的一個(gè)實(shí)施例 中,該實(shí)現(xiàn)方法還包括在客戶端與另外至少一個(gè)客戶端建立即時(shí)通信 聯(lián)系后���,根據(jù)用戶存儲(chǔ)在IM服務(wù)器上的好友列表�����,IM服務(wù)器將用戶 在線的相關(guān)信息發(fā)送給用戶在線的IM好友����。
本發(fā)明提供的遠(yuǎn)程接入條件下協(xié)同工作的實(shí)現(xiàn)方法的一個(gè)實(shí)施例 中�,用戶在線的相關(guān)信息包括用戶的在線狀態(tài)�、IP地址和客戶端的 TCP/UDP端口號(hào)中的至少 一個(gè),
本發(fā)明另一個(gè)方面提供了一種遠(yuǎn)程接入條件下實(shí)現(xiàn)協(xié)同工作的 IPSec網(wǎng)關(guān)�����,該IPSec網(wǎng)關(guān)包括認(rèn)證模塊�����,用于接收來(lái)自客戶端的用 戶的認(rèn)證請(qǐng)求�����,并將用戶的認(rèn)證信息轉(zhuǎn)發(fā)到AAA服務(wù)器進(jìn)行認(rèn)證; IPSec隧道建立模塊���,用于接收到AAA服務(wù)器的授權(quán)信息后��,建立與 客戶端之間的IPSec隧道�;IM聯(lián)系建立模塊����,用于通過(guò)IPSec隧道接收客戶端的用戶的IM登陸請(qǐng)求,并將用戶的IM登陸信息轉(zhuǎn)發(fā)到IM 服務(wù)器以使客戶端與另外至少一個(gè)客戶端建立即時(shí)通信聯(lián)系���。
本發(fā)明另一個(gè)方面提供了一種遠(yuǎn)程接入條件下實(shí)現(xiàn)協(xié)同工作的 IPSec網(wǎng)關(guān)���,其中認(rèn)證請(qǐng)求包含用戶的認(rèn)證信息,IM登陸請(qǐng)求包含用 戶的IM登陸信息�����。
本發(fā)明另一個(gè)方面提供了一種具有IPSec網(wǎng)關(guān)的遠(yuǎn)程接入條件下協(xié) 同工作的實(shí)現(xiàn)系統(tǒng)����,該實(shí)現(xiàn)系統(tǒng)還包括AAA服務(wù)器,用于接收IPSec 網(wǎng)關(guān)��,轉(zhuǎn)發(fā)的用戶的認(rèn)證信息,并對(duì)用戶的認(rèn)證信息進(jìn)行認(rèn)證����;通過(guò)對(duì) 用戶的認(rèn)證信息的認(rèn)證后,向IPSec網(wǎng)關(guān)���,發(fā)送授權(quán)信息��;以及IM服 務(wù)器����,用于接M戶端經(jīng)由IPSec隧道發(fā)送的用戶的IM登陸請(qǐng)求����;驗(yàn) 證用戶的身份���;通過(guò)身份驗(yàn)證后��,向IPSec網(wǎng)關(guān)發(fā)送用戶登陸IM服務(wù) 器成功的標(biāo)識(shí)���,并記錄用戶登陸的客戶端信息。
本發(fā)明提供的遠(yuǎn)程接入條件下協(xié)同工作的實(shí)現(xiàn)系統(tǒng)的一個(gè)實(shí)施例 中����,該實(shí)現(xiàn)系統(tǒng)還包括用戶數(shù)據(jù)庫(kù)���,用于保存用戶的已審核信息,并 在IM服務(wù)器!HiE用戶的身份時(shí)��,提供用戶的已審核信息作為發(fā)汪的基 準(zhǔn)�����。
本發(fā)明提供的遠(yuǎn)程接入條件下協(xié)同工作的實(shí)現(xiàn)系統(tǒng)的一個(gè)實(shí)施例 中���,該實(shí)現(xiàn)系統(tǒng)還包括內(nèi)部公共資源服務(wù)器�,其包括辦公自動(dòng)化服務(wù) 器����、電子郵件服務(wù)器和/或文件共享服務(wù)器。
本發(fā)明提供的在遠(yuǎn)程接入條件下協(xié)同工作的實(shí)現(xiàn)方法和系統(tǒng)中����, 其利用IPSec網(wǎng)關(guān)的NAT-T功能,繞開了 IM系統(tǒng)為實(shí)現(xiàn)穿越而借助中 繼服務(wù)器/第三方實(shí)現(xiàn)IM交互的難題�����;將IPSec技術(shù)、IM技術(shù)和AAA 技術(shù)集成在一起����,降低了 IM系統(tǒng)實(shí)現(xiàn)的復(fù)雜性,最大限度利用了企事 業(yè)單位的已有網(wǎng)絡(luò)資源���;這樣可以大大減少為實(shí)現(xiàn)協(xié)同工作而進(jìn)行軟 硬件開發(fā)的投資成本���,還能減輕企事業(yè)單位對(duì)于龐大的網(wǎng)路的維護(hù)成 本。
圖1示出根據(jù)本發(fā)明的遠(yuǎn)程接入條件下協(xié)同工作的實(shí)現(xiàn)方法的一個(gè)
8實(shí)施例的流程圖2示出根據(jù)本發(fā)明的遠(yuǎn)程接入a下協(xié)同工作的實(shí)現(xiàn)方法的一個(gè) 實(shí)施例的流程圖3示出根據(jù)本發(fā)明的遠(yuǎn)程接入條件下實(shí)現(xiàn)協(xié)同工作的IPSec網(wǎng)關(guān) 的一個(gè)實(shí)施例的結(jié)構(gòu)示意圖4示出根據(jù)本發(fā)明的遠(yuǎn)程接入a下協(xié)同工作的實(shí)現(xiàn)系統(tǒng)的一個(gè) 實(shí)施例的結(jié)構(gòu)示意圖5示出根據(jù)本發(fā)明的遠(yuǎn)程接入條件下協(xié)同工作的實(shí)現(xiàn)方法的一個(gè) 具體應(yīng)用例的流程示意圖�����。
具體實(shí)施例方式
下面參照附圖對(duì)本發(fā)明進(jìn)行更全面的描述��,其中說(shuō)明本發(fā)明的示例 性實(shí)施例��。
圖1示出根據(jù)本發(fā)明的遠(yuǎn)程接入條件下協(xié)同工作的實(shí)現(xiàn)方法的一個(gè) 實(shí)施例的流程圖����。
如圖1所示��,步驟102,互聯(lián)網(wǎng)協(xié)議安全制式(IPSec�, Internet Protocol Security)網(wǎng)關(guān)將用戶認(rèn)證信息轉(zhuǎn)發(fā)到認(rèn)證/授W計(jì)費(fèi)(AAA, Authorization, Authentication & Accounting)月良務(wù)器����。本發(fā)明中的客戶 端集成有IM工具軟件�����,可以提供即時(shí)通信的功能��;本發(fā)明中提及的客 戶端指的都是集成有IM工具軟件的IPSec客戶端��,簡(jiǎn)稱為"IPSec集成 客戶端"�。該IPSec集成客戶端主要用于實(shí)現(xiàn)遠(yuǎn)程接入用戶與其它用戶 開展協(xié)同工作;其中�����,IM工具主要用于實(shí)現(xiàn)包含文本���、音頻和視頻等 信息的交互���。在本發(fā)明的一個(gè)實(shí)施例中,用戶通it^戶端向IPSec網(wǎng)關(guān) 發(fā)送遠(yuǎn)程接入請(qǐng)求�,IPSec網(wǎng)關(guān)接收到來(lái)自客戶端的用戶的認(rèn)證請(qǐng)求 后,IPSec網(wǎng)關(guān)將把IPSec集成客戶端輸入的用戶認(rèn)證信息(如用于遠(yuǎn) 程接入認(rèn)證的用戶名和登陸密碼等身份信息)轉(zhuǎn)發(fā)到AAA服務(wù)器進(jìn)行 認(rèn)證0
步驟104���, IPSec網(wǎng)關(guān)建立與客戶端之間的IPSec隧道�。例如, IPSec網(wǎng)關(guān)接收到AAA服務(wù)器發(fā)送的認(rèn)證通過(guò)的授權(quán)信息后�,IPSec網(wǎng)關(guān)建立與該客戶端之間的IPSec隧道。由于IPSec網(wǎng)關(guān)和IPSec集成客 戶端都是設(shè)置在NAT/防火墻之后�����,所以通過(guò)在IPSec網(wǎng)關(guān)和IPSec集 成客戶端之間建立IPSec隧道后實(shí)現(xiàn)了 IPSec隧道的NAT/防火墻的穿 越�。在IPSec隧道建立后,客戶端能夠經(jīng)由IPSec隧道����、依照相應(yīng)權(quán)限 對(duì)內(nèi)部公共/共享資源進(jìn)^H方問。本發(fā)明中采用的IPSec網(wǎng)關(guān)和IPSec集 成客戶端都具有NAT-T功能����,稍后對(duì)NAT/防火墻穿越技術(shù)進(jìn)行簡(jiǎn)要介 紹。
步驟106��,通過(guò)IPSec隧道將用戶的IM登陸信息轉(zhuǎn)發(fā)到IM服務(wù) 器�。例如,IPSec網(wǎng)關(guān)通過(guò)IPSec隧道接收來(lái)自客戶端的用戶的IM登 陸請(qǐng)求�,并將該用戶的IM登陸信息(如用戶名和登陸密碼等身份信 息)轉(zhuǎn)發(fā)到IM服務(wù)器進(jìn)行用戶身份驗(yàn)證。步驟108�, IM服務(wù)器記錄用 戶登陸的客戶端信息以使IM客戶端與另外至少一個(gè)客戶端建立IM聯(lián) 系。例如��,當(dāng)用戶通過(guò)IM服務(wù)器的身份JiHiE后�,IM服務(wù)器將記錄用 戶登陸的客戶端信息,如客戶端的IP地址和/或客戶端的TCP/UDP端 口 (port)號(hào)等信息���。當(dāng)用戶存在協(xié)同工作需求時(shí)���,請(qǐng)求建立協(xié)同工作 的用戶可以根據(jù)IM服務(wù)器中記錄的另外至少一個(gè)用戶的客戶端信息, 直接與其它用戶的客戶端建立IPSec連接��,并在IPSec隧道的基礎(chǔ)上建 立與其它用戶的IM聯(lián)系����,從而實(shí)現(xiàn)遠(yuǎn)程登陸的不同用戶之間開展協(xié)同 工作?�;贗M的協(xié)同工作使得建立IM聯(lián)系的參與各方都能通過(guò)IM 軟件實(shí)現(xiàn)溝通(如MSN的商談工作事宜等),此外�,還應(yīng)能實(shí)現(xiàn)文檔共 享、流程共享和代碼共享等功能�。例如,在利用MSN實(shí)現(xiàn)協(xié)同工作 中���,其"共享文件夾���,����,功能可以實(shí)現(xiàn)多方共同編輯文檔的功能�。
本發(fā)明中提及"NAT/防火墻穿越,��,技術(shù)指的是對(duì)NAT以及防火墻的 穿越�����。為解決互聯(lián)網(wǎng)協(xié)議第四版(IPv4����, Internet Protocol Version 4) 公有地址不足的問題,很多單位采取在網(wǎng)絡(luò)出口放置NAT設(shè)備的技術(shù) 方案���。另外����,為了信息安全����,很多單位會(huì)在網(wǎng)絡(luò)出口設(shè)置防火墻�����,防火 墻通常也具備NAT功能。NAT-T是IETF提出的基于標(biāo)準(zhǔn)的IPsec over UDP方案��,屬于IEFT標(biāo)準(zhǔn)�����。本發(fā)明利用該技術(shù)實(shí)現(xiàn)IPSec隧道的 NAT/防火墻穿越�。NAT-T技術(shù)可探測(cè)IPSEC隧道經(jīng)過(guò)路徑是否存在
10NAT,并能穿越NAT。 "NAT/防火墻穿越"是指對(duì)NAT和防火墻的穿 越�,IPSec隨道穿越NAT/防火墻的實(shí)現(xiàn)手段相同。
本發(fā)明提供的遠(yuǎn)程接入條件下協(xié)同工作的實(shí)現(xiàn)方法的一個(gè)實(shí)施例 中��,該實(shí)現(xiàn)方法還可以包括在步驟102之前����,客戶端向IPSec網(wǎng)關(guān)發(fā) 送認(rèn)證請(qǐng)求,并請(qǐng)求建立IPSec隧道��;其中認(rèn)證請(qǐng)求包含該用戶的認(rèn)證 信息���。
本發(fā)明提供的遠(yuǎn)程接入條件下協(xié)同工作的實(shí)現(xiàn)方法的一個(gè)實(shí)施例 中��,該實(shí)現(xiàn)方法還包括在步驟102之后��、步驟106之前����,AAA服務(wù) 器接收IPSec網(wǎng)關(guān)轉(zhuǎn)發(fā)的用戶的認(rèn)證信息后對(duì)該用戶進(jìn)行認(rèn)證;如果 AAA服務(wù)器未通過(guò)對(duì)該用戶的認(rèn)證信息的認(rèn)證�,則AAA服務(wù)器向 IPSec網(wǎng)關(guān)發(fā)送指令,IPSec網(wǎng)關(guān)拒絕提供服務(wù)(拒絕該用戶遠(yuǎn)程接 入)�;以及如果AAA服務(wù)器通過(guò)對(duì)該用戶的認(rèn)證信息的認(rèn)證,貝'J AAA 服務(wù)器向IPSec網(wǎng)關(guān)發(fā)送允許該用戶遠(yuǎn)程接入的授權(quán)信息(如用戶訪問 內(nèi)部網(wǎng)絡(luò)的權(quán)限��、訪問的速率�,以及是否可4吏用IM功能等中的至少一個(gè))。
本發(fā)明提供的遠(yuǎn)程接入條件下協(xié)同工作的實(shí)現(xiàn)方法的一個(gè)實(shí)施例 中����,該實(shí)現(xiàn)方法還包括在步驟106中,IM服務(wù)器收到用戶的IM登 陸請(qǐng)求后��,IM服務(wù)器從用戶數(shù)據(jù)庫(kù)中讀取該用戶的已審核信息�;通過(guò) 將IM服務(wù)器接收到的用戶的IM登陸信息與該用戶的已審核信息進(jìn)行 比對(duì)來(lái)驗(yàn)證用戶身份;如果該用戶通過(guò)身份!HiE����,則IM服務(wù)器記錄用 戶登陸的客戶端信息后���,返回用戶登錄成功的標(biāo)識(shí);以及如果該用戶未 通過(guò)身份驗(yàn)證�����,則IM服務(wù)器拒絕用戶登陸�����。
本發(fā)明提供的遠(yuǎn)程接入條件下協(xié)同工作的實(shí)現(xiàn)方法的一個(gè)實(shí)施例 中����,該實(shí)現(xiàn)方法還包括在步驟108中�,根據(jù)用戶存儲(chǔ)在IM服務(wù)器上 的好友列表,IM服務(wù)器將該用戶在線的相關(guān)信息發(fā)送給在線的IM好 友���。其中����,該用戶在線的相關(guān)信息包括在線狀態(tài)�、客戶端的IP地址�����, 以;^:戶端的TCP/UDP端口號(hào)等中的至少一個(gè)����。
本發(fā)明提供的遠(yuǎn)程接入條件下協(xié)同工作的實(shí)現(xiàn)方法集成了 IPSec技 術(shù)���、IM技術(shù)和AAA技術(shù)����,為具有遠(yuǎn)程接入和協(xié)同辦公需求的企事業(yè)單
ii位提供了一種安全���、快捷且低成本的協(xié)同工作方式��,最大限度保護(hù)企事 業(yè)單位的已有投資����。
圖2示出根據(jù)本發(fā)明的遠(yuǎn)程接入條件下協(xié)同工作的實(shí)現(xiàn)方法的一個(gè) 實(shí)施例的流程圖����。
如圖2所示,步驟202��, IPSec網(wǎng)關(guān)將用戶的認(rèn)證信息轉(zhuǎn)發(fā)到AAA 服務(wù)器進(jìn)行認(rèn)證。例如�����,用戶通it^戶端向IPSec網(wǎng)關(guān)發(fā)送遠(yuǎn)程接入請(qǐng) 求��,IPSec網(wǎng)關(guān)接收到來(lái)自客戶端的用戶的認(rèn)證請(qǐng)求后�����,IPSec網(wǎng)關(guān)將 IPSec集成客戶端輸入的用戶認(rèn)證信息(如用于遠(yuǎn)程接入認(rèn)證的用戶名 和密碼等身份信息)轉(zhuǎn)發(fā)到AAA服務(wù)器���,AAA服務(wù)器收到用戶認(rèn)證信 息后對(duì)該用戶進(jìn)行身份認(rèn)證。如果AAA服務(wù)器通過(guò)對(duì)該用戶認(rèn)證信息 的認(rèn)證后��,則執(zhí)行步驟204;否則���,執(zhí)行步驟212���。
步驟204, IPSec網(wǎng)關(guān)建立與客戶端之間的IPSec隧道�����。例如, IPSec網(wǎng)關(guān)收到AAA服務(wù)器發(fā)送的認(rèn)證通過(guò)的授權(quán)信息后����,IPSec網(wǎng)關(guān) 建立與客戶端之間的IPSec隧道。在IPSec隧道建立后�����,客戶端能夠經(jīng) 由IPSec隧道�����、依照相應(yīng)權(quán)限對(duì)內(nèi)部公共/共享資源進(jìn)行訪問�����。本發(fā)明中 IPSec網(wǎng)關(guān)和客戶端支持NAT-T功能��。
步驟206���, IPSec隧道將用戶的IM登陸信息轉(zhuǎn)發(fā)到IM服務(wù)器進(jìn)行 驗(yàn)證�����。例如�,IPSec網(wǎng)關(guān)通過(guò)IPSec隧道將用戶的IM登陸信息(如用 戶登陸IM工具軟件的用戶名和密碼等身份信息)轉(zhuǎn)發(fā)到IM服務(wù)器, IM服務(wù)器將客戶端輸入的用戶的IM登陸信息與已審核信息進(jìn)行比對(duì) 來(lái)發(fā)汪用戶身份���,如果IM服務(wù)器通過(guò)對(duì)該用戶的身份!Hi����,則執(zhí)行步 驟208;否則���,執(zhí)行步驟214��。
步驟208����, IM服務(wù)器記錄用戶登陸的客戶端信息�����。例如����,用戶通 過(guò)IM服務(wù)器的身份驗(yàn)證后��,IM服務(wù)器將記錄用戶登陸的客戶端信息 (如客戶端的IP地址和/或客戶端的TCP/UDP端口號(hào)等信息)����。
步驟210�,客戶端與另外至少一個(gè)客戶端建立IM聯(lián)系��。例如���,當(dāng) 用戶存在協(xié)同工作需求時(shí)�,請(qǐng)求建立協(xié)同工作的用戶根據(jù)IM服務(wù)器中 記錄的另外至少一個(gè)用戶的客戶端信息���,與其它用戶的客戶端建立 IPSec連接�����,并在IPSec隧道的基礎(chǔ)上建立IM聯(lián)系���,從而實(shí)現(xiàn)遠(yuǎn)程登陸的不同用戶之間開展協(xié)同工作。
步驟212����, IPSec網(wǎng)關(guān)拒絕用戶遠(yuǎn)程接入。例如����,AAA服務(wù)器指示 IPSec網(wǎng)關(guān)拒絕提供服務(wù)��,用戶無(wú)法通過(guò)IPSec集成客戶端遠(yuǎn)程接入?yún)f(xié) 同工作系統(tǒng)中�����,該用戶被拒絕訪問企業(yè)或單位的內(nèi)部共享資源��。
步驟214��, IM服務(wù)器拒絕用戶登陸�����。用戶可以具有訪問企業(yè)或單 位的內(nèi)部共享資源的權(quán)限�����,但無(wú)法通過(guò)IM服務(wù)器與其它用戶建立協(xié)同 工作的聯(lián)系���。
本發(fā)明提供的遠(yuǎn)程接入條件下協(xié)同工作的實(shí)現(xiàn)方法的一個(gè)實(shí)施例 中,該實(shí)現(xiàn)方法還包括在步驟202之前���,用戶通過(guò)客戶端向IPSec網(wǎng) 關(guān)發(fā)送認(rèn)證請(qǐng)求,并請(qǐng)求建立IPSec隧道���;其中認(rèn)證請(qǐng)求包含該用戶的 認(rèn)證信息����。
本發(fā)明提供的遠(yuǎn)程接入條件下協(xié)同工作的實(shí)現(xiàn)方法的一個(gè)實(shí)施例 中,該實(shí)現(xiàn)方法還包括在步驟202中���,AAA服務(wù)器通過(guò)對(duì)該用戶的 認(rèn)證信息的認(rèn)證之后��,AAA服務(wù)器向IPSec網(wǎng)關(guān)發(fā)送授權(quán)信息��。其 中��,授權(quán)信息可以包括用戶訪問內(nèi)部網(wǎng)絡(luò)的權(quán)限���、訪問的速率,以及 是否可使用IM功能等中的至少一個(gè)����。
本發(fā)明提供的遠(yuǎn)程接入條件下協(xié)同工作的實(shí)現(xiàn)方法的一個(gè)實(shí)施例 中,該實(shí)現(xiàn)方法還包括在步驟206中��,IM月良務(wù)器收到用戶的IM登 陸請(qǐng)求后�����,該IM服務(wù)器從用戶數(shù)據(jù)庫(kù)中讀取用戶的已審核信息;通過(guò) 將IM服務(wù)器接收到的用戶的IM登陸信息與用戶的已審核信息進(jìn)行比 對(duì)來(lái)驗(yàn)證用戶身份����;如果用戶通過(guò)身份mt,則IM服務(wù)器記錄用戶登 陸的客戶端信息后�����,返回用戶登錄成功的標(biāo)識(shí)����;以及如果用戶未通過(guò)身 份驗(yàn)證,則IM服務(wù)器拒絕用戶登陸��。
本發(fā)明提供的遠(yuǎn)程接入條件下協(xié)同工作的實(shí)現(xiàn)方法的一個(gè)實(shí)施例 中�����,該實(shí)現(xiàn)方法還包括在步驟208中�,根據(jù)用戶存儲(chǔ)在IM服務(wù)器上 的好友列表,IM服務(wù)器將用戶在線的相關(guān)信息發(fā)送給該用戶在線的IM 好友�。其中,用戶在線的相關(guān)信息包括在線狀態(tài)���、IP地址和客戶端的 TCP/UDP端口號(hào)中的至少一個(gè)�����。
本發(fā)明提供的遠(yuǎn)程接入條件下協(xié)同工作的實(shí)現(xiàn)方法�����,在IPSec網(wǎng)關(guān)和IPSec集成客戶端之間建立IPSec隧道����,利用IPSec隧道的NAT-T功能��,實(shí)現(xiàn)NAT/防火墻的穿越��,繞開了 IM系統(tǒng)為實(shí)現(xiàn)穿越而借 助中繼服務(wù)器/第三方實(shí)現(xiàn)IM交互的難題����,降低了 IM系統(tǒng)實(shí)現(xiàn)的復(fù) 雜性。企事業(yè)單位可在原有網(wǎng)絡(luò)設(shè)施的基礎(chǔ)上���,通過(guò)業(yè)務(wù)外包外包/ 合作開發(fā)的方式使用外部資源(如AAA服務(wù)器��、IPSec網(wǎng)關(guān)�,以及 IM服務(wù)器等相關(guān)設(shè)施),這樣可以極大提升大大減少為實(shí)現(xiàn)協(xié)同工 作而進(jìn)行軟硬件開發(fā)的投資成本���,還能減輕企事業(yè)單位對(duì)于龐大的網(wǎng) 路的維護(hù)成本�����。
圖3示出根據(jù)本發(fā)明的遠(yuǎn)程接入條件下實(shí)現(xiàn)協(xié)同工作的IPSec網(wǎng)關(guān) 的一個(gè)實(shí)施例的結(jié)構(gòu)示意圖��。如圖3所示�����,遠(yuǎn)程接入條件下實(shí)現(xiàn)協(xié)同工 作的IPSec網(wǎng)關(guān)300包括認(rèn)證模塊3002���、 IPSec隧道建立模塊3004 和IM聯(lián)系建立模塊3006。
其中認(rèn)佐漠塊3002���,用于接收來(lái)自客戶端318的用戶的認(rèn)證請(qǐng)求���, 并將用戶的認(rèn)證信息轉(zhuǎn)發(fā)到AAA服務(wù)器302進(jìn)行認(rèn)證;
IPSec隧道建立模塊3004����,用于接收到AAA服務(wù)器302的授權(quán)信 息后�,建立與客戶端318之間的IPSec隧道�;
IM聯(lián)系建立模塊3006,用于通過(guò)IPSec隧道接^戶端318的用 戶的IM登陸請(qǐng)求,并將用戶的IM登陸信息轉(zhuǎn)發(fā)到IM服務(wù)器306以 使客戶端與另外至少一個(gè)客戶端318建立即時(shí)通信聯(lián)系����。
本發(fā)明提供的遠(yuǎn)程接入條件下實(shí)現(xiàn)協(xié)同工作的IPSec網(wǎng)關(guān)的一個(gè)實(shí) 施例中���,認(rèn)證請(qǐng)求包含用戶的認(rèn)證信息��,IM登陸請(qǐng)求包含用戶的IM 登陸信息��。
本發(fā)明提供的遠(yuǎn)程接入條件下實(shí)現(xiàn)協(xié)同工作的IPSec網(wǎng)關(guān)的一個(gè)實(shí) 施例中�����,IPSec網(wǎng)關(guān)300還可以連接有內(nèi)部公共資源服務(wù)器(包括辦公 自動(dòng)化服務(wù)器312����、電子郵件服務(wù)器314和/或文件共享服務(wù)器316)����, 用于向遠(yuǎn)程接入的用戶提供企事業(yè)單位內(nèi)部共享的公共資源。本發(fā)明 中����,IPSec網(wǎng)關(guān)300�、 IM服務(wù)器306���、內(nèi)部公共資源服務(wù)器310和 IPSec集成客戶端318等共同構(gòu)成VPN����。 IPSec隧道保證了 IPSec集成 客戶端318之間以及IPSec客戶端318到內(nèi)部公共資源服務(wù)器310的訪問是安全可靠的�,IPSec客戶端與內(nèi)部公共資源服務(wù)器、IM登錄服務(wù) 器等共同組成VPN����。
圖4示出根據(jù)本發(fā)明的遠(yuǎn)程接入M下協(xié)同工作的實(shí)現(xiàn)系統(tǒng)的一個(gè) 實(shí)施例的結(jié)構(gòu)示意圖。如圖4所示����,遠(yuǎn)程接入條件下協(xié)同工作的實(shí)現(xiàn)系 統(tǒng)400包括AAA服務(wù)器402、 IPSec網(wǎng)關(guān)404和IM服務(wù)器406�����。
其中AAA服務(wù)器402���,用于接收IPSec網(wǎng)關(guān)404轉(zhuǎn)發(fā)的用戶的認(rèn) 證信息����,并對(duì)用戶的認(rèn)證信息進(jìn)行認(rèn)證;通過(guò)對(duì)用戶的認(rèn)證信息的認(rèn)證 后�,向IPSec網(wǎng)關(guān)404發(fā)送授權(quán)信息。
IPSec網(wǎng)關(guān)404�����,用于接收來(lái)自客戶端418的用戶發(fā)送的認(rèn)證請(qǐng) 求���,并將該用戶的認(rèn)證信息轉(zhuǎn)發(fā)到AAA服務(wù)器402進(jìn)行認(rèn)證;收到 AAA服務(wù)器402發(fā)送的授權(quán)信息后����,IPSec網(wǎng)關(guān)404建立與客戶端418 之間的IPSec隧道;IPSec網(wǎng)關(guān)通過(guò)IPSec隧道接4t^戶端的用戶的IM 登陸請(qǐng)求����,并將該用戶的IM登陸信息轉(zhuǎn)發(fā)到IM服務(wù)器406;收到用 戶登陸IM服務(wù)器406成功的標(biāo)識(shí)后,在IPSec隧道的^sfe上建立與另 外至少一個(gè)客戶端的IM聯(lián)系���;其中����,授權(quán)信息包括用戶訪問內(nèi)部網(wǎng) 絡(luò)的權(quán)限、訪問的速率���,以及是否可使用IM功能等中的至少一個(gè)����。
IM服務(wù)器406�,用于接M戶端418經(jīng)由IPSec隧道發(fā)送的用戶 的IM登陸請(qǐng)求;驗(yàn)證用戶的IM登陸信息�;通過(guò)身份驗(yàn)證后,向 IPSec網(wǎng)關(guān)發(fā)送用戶登陸IM服務(wù)器成功的標(biāo)識(shí)��,并記錄該用戶登陸的 客戶端信息��。其中����,用戶的登陸信息包括用戶使用的IP地址和/或客 戶端的TCP/UDP端口號(hào)。
本發(fā)明提供的遠(yuǎn)程接入條件下協(xié)同工作的實(shí)現(xiàn)系統(tǒng)的一個(gè)實(shí)施例 中����,該實(shí)現(xiàn)系統(tǒng)400還包括用戶數(shù)據(jù)庫(kù)408,其與IM服務(wù)器406連 接�,用于保存用戶的已審核信息(如用戶名、密碼和/或校驗(yàn)碼等),并 在IM服務(wù)器406 !Hit用戶身份時(shí)�,提供用戶的已審核信息作為臉汪用 戶身份的基準(zhǔn)。
本發(fā)明提供的遠(yuǎn)程接入條件下協(xié)同工作的實(shí)現(xiàn)系統(tǒng)的一個(gè)實(shí)施例 中�,該實(shí)現(xiàn)系統(tǒng)400還包括與IPSec網(wǎng)關(guān)404連接的內(nèi)部^^共資源服務(wù) 器410,其包括辦公自動(dòng)化服務(wù)器412�����、電子郵件服務(wù)器414和/或文件
15共享服務(wù)器416���,用于向遠(yuǎn)程接入的用戶提供企事業(yè)單位內(nèi)部共享的公 共資源�����。本發(fā)明中,IPSec網(wǎng)關(guān)404����、 IM服務(wù)器406、內(nèi)部公共資源服 務(wù)器410和IPSec集成客戶端418等共同構(gòu)成VPN�����。 IPSec隧道保證了 IPSec集成客戶端418之間以及IPSec客戶端418到內(nèi)部公共資源服務(wù) 器410的訪問是安全可靠的�,由IPSec客戶端與內(nèi)部公共資源服務(wù)器、 IM登錄服務(wù)器等共同組成VPN。
本發(fā)明提供的遠(yuǎn)程接入條件下協(xié)同工作的實(shí)現(xiàn)系統(tǒng)的一個(gè)實(shí)施例 中�����,如果AAA服務(wù)器402未通過(guò)對(duì)用戶認(rèn)證信息的認(rèn)證����,則該AAA 服務(wù)器402向IPSec網(wǎng)關(guān)404發(fā)送指令,指示IPSec網(wǎng)關(guān)404拒絕提供 向該用戶遠(yuǎn)程接入服務(wù)�����。
本發(fā)明提供的遠(yuǎn)程接入條件下協(xié)同工作的實(shí)現(xiàn)系統(tǒng)的一個(gè)實(shí)施例 中����,在IPSec隧道建立后,客戶端418能夠經(jīng)由IPSec隧道�����、依照相 應(yīng)權(quán)限對(duì)內(nèi)部公共資源服務(wù)器410進(jìn)行訪問�。
本發(fā)明提供的遠(yuǎn)程接入條件下協(xié)同工作的實(shí)現(xiàn)系統(tǒng)的一個(gè)實(shí)施例 中,IM服務(wù)器406根據(jù)用戶存儲(chǔ)在其上的好友列表����,可以將該用戶 在線的相關(guān)信息發(fā)送給該用戶在線的IM好友;其中,該用戶在線的 相關(guān)信息包括在線狀態(tài)���、IP地址和客戶端的TCP/UDP端口號(hào)中的至 少一個(gè)�。
本發(fā)明提供的遠(yuǎn)程接入條件下協(xié)同工作的實(shí)現(xiàn)系統(tǒng)的一個(gè)實(shí)施例 中���,IPSec網(wǎng)關(guān)404和客戶端418支持NAT-T功能�����。
本發(fā)明提供的遠(yuǎn)程接入條件下協(xié)同工作的實(shí)現(xiàn)方法及其系統(tǒng)只需 對(duì)有需求的企事業(yè)單位(如具有分支機(jī)構(gòu)或駐外辦事處等)進(jìn)行內(nèi)部 部署��,具體來(lái)說(shuō)就是改造IM服務(wù)器以及部署IPSec網(wǎng)關(guān)等工作���;因 此,實(shí)現(xiàn)起來(lái)較為簡(jiǎn)單���,易于部署,并且改造成本較少����。而且, IPSec網(wǎng)關(guān)與IM服務(wù)器以及客戶端之間執(zhí)行標(biāo)準(zhǔn)的IPSec協(xié)議����, IPSec網(wǎng)關(guān)與AAA服務(wù)器采用遠(yuǎn)程認(rèn)證撥號(hào)用戶業(yè)務(wù)(RADIUS) / 終端接入控制者接入控制系統(tǒng)協(xié)議(TACACS+, TACACS的升級(jí)協(xié) 議����,也是一種AAA協(xié)議)���。由于本發(fā)明在標(biāo)準(zhǔn)協(xié)議的框架下構(gòu)建��, 因而其標(biāo)準(zhǔn)化的協(xié)議接口更有利于第三方實(shí)施集成開發(fā)�����,同時(shí)能夠最 16大限度保護(hù)原有網(wǎng)絡(luò)資源和固有投資�。
圖5示出根據(jù)本發(fā)明的遠(yuǎn)程接入條件下協(xié)同工作的實(shí)現(xiàn)方法的一個(gè) 具體應(yīng)用例的流程示意圖��。以某企業(yè)為例�,其擁有大量分支機(jī)構(gòu),各分 支機(jī)構(gòu)之間存在協(xié)同工作需求����。為最大限度保護(hù)原有投資,該企業(yè)與電 信運(yùn)營(yíng)商合作��,在原有設(shè)備基礎(chǔ)上�,由電信運(yùn)營(yíng)商為其提供IPSec網(wǎng) 關(guān)�、AAA認(rèn)證功能�����、IPSec集成客戶端及IM服務(wù)器等服務(wù)��,共同實(shí)現(xiàn) 遠(yuǎn)程接入條件下的協(xié)同工作�����。
如圖5所示����,步驟502,用戶請(qǐng)求建立IPSec隧道�。本發(fā)明的一個(gè) 實(shí)施例中,用戶通過(guò)IPSec集成客戶端向IPSec網(wǎng)關(guān)發(fā)送遠(yuǎn)程接入請(qǐng) 求���,并請(qǐng)求建立IPSec隧道��。遠(yuǎn)程接入請(qǐng)求包含該客戶端用戶的遠(yuǎn)程接 入認(rèn)證信息���。本發(fā)明中IPSec網(wǎng)關(guān)和客戶端支持NAT-T功能�。
步驟504��, IPSec網(wǎng)關(guān)將客戶端輸入的用戶認(rèn)證信息轉(zhuǎn)發(fā)到AAA服 務(wù)器�。例如���,IPSec網(wǎng)關(guān)將IPSec集成客戶端輸入的用戶認(rèn)證信息(如 用于遠(yuǎn)程接入認(rèn)證的用戶名和密碼等身份信息)轉(zhuǎn)發(fā)到AAA服務(wù)器進(jìn) 行認(rèn)證0
步驟506����, AAA服務(wù)器對(duì)用戶的認(rèn)證信息進(jìn)行認(rèn)證�。如果AAA服 務(wù)器通過(guò)對(duì)該用戶認(rèn)證信息的認(rèn)證,則執(zhí)行步驟508;否則��,執(zhí)行步驟 522�。
步驟508, AAA服務(wù)器向IPSec網(wǎng)關(guān)發(fā)送授權(quán)信息���。例如�,在步驟 506中AAA服務(wù)器通過(guò)對(duì)用戶認(rèn)證信息的認(rèn)證���,則AAA服務(wù)器向 IPSec網(wǎng)關(guān)發(fā)送授權(quán)信息��。其中��,授權(quán)信息包括用戶訪問內(nèi)部網(wǎng)絡(luò)的權(quán) 限�、訪問的速率,以及是否可使用IM功能中的至少一個(gè)���。
步驟510�, IPSec網(wǎng)關(guān)建立與客戶端之間的IPSec隧道��。例如���, IPSec網(wǎng)關(guān)收到AAA服務(wù)器發(fā)送的認(rèn)證通過(guò)的授權(quán)信息后�,IPSec網(wǎng) 關(guān)建立與IPSec集成客戶端之間的IPSec隧道��。在IPSec隧道建立后�����, 客戶端能夠經(jīng)由IPSec隧道��、依照相應(yīng)權(quán)P艮對(duì)內(nèi)部公共/共享資源進(jìn)行訪 問��;同時(shí)該用戶還可以經(jīng)由所建立的IPSec隧itX起對(duì)IM服務(wù)器進(jìn)行 訪問�。
步驟512, IPSec網(wǎng)關(guān)將用戶IM登錄信息轉(zhuǎn)發(fā)給IM服務(wù)器�����。例如,通過(guò)步驟510建立的IPSec隧道��,IPSec網(wǎng)關(guān)將通it^戶端輸入的 用戶IM登錄信息(如登錄IM服務(wù)器的用戶名和密碼等身份信息)轉(zhuǎn) 發(fā)到IM服務(wù)器進(jìn)行身份驗(yàn)證��。
步驟514, IM服務(wù)器對(duì)用戶的IM登錄信息進(jìn)行驗(yàn)證����。例如��,IM 服務(wù)器從用戶數(shù)據(jù)庫(kù)中讀取用戶的已審核信息����,通過(guò)將收到的用戶IM 登陸信息與用戶的已審核信息進(jìn)行比對(duì)來(lái)驗(yàn)證用戶身份。如果IM服務(wù) 器通過(guò)對(duì)用戶身份信息的驗(yàn)證��,則執(zhí)行步驟516;否則�����,執(zhí)行步驟 524��。
步驟516���, IM服務(wù)器記錄用戶登陸的信息�。例如,在步驟514 中�����,用戶通過(guò)AAA服務(wù)器對(duì)其身份的驗(yàn)證��,則IM服務(wù)器記錄該用戶 登陸的客戶端信息(如客戶端的IP地址和/或客戶端的TCP/UDP端口 號(hào)等信息)后���,返回用戶登錄成功的標(biāo)識(shí)��。
步驟518, IM服務(wù)器將用戶在線的相關(guān)信息發(fā)送給在線的IM好 友�。例如�����,根據(jù)用戶存儲(chǔ)在IM服務(wù)器上的好友列表���,IM服務(wù)器將用 戶在線的相關(guān)信息發(fā)送給在線的IM好友�����。其中����,用戶在線的相關(guān)信息 包括在線狀態(tài)、IP地址和客戶端的TCP/UDP端口號(hào)等中的至少一個(gè)��。
步驟520�����,客戶端與另外至少一個(gè)客戶端建立IM聯(lián)系��。例如�����,遠(yuǎn) 程接入的用戶存在協(xié)同工作需求��,則請(qǐng)求建立協(xié)同工作的用戶可以根據(jù) IM服務(wù)器中記錄的其它用戶的客戶端信息��,與其它用戶的客戶端建立 IPSec連接����,并在IPSec隧道的基礎(chǔ)上建立IM聯(lián)系��,從而實(shí)現(xiàn)遠(yuǎn)程登 陸的用戶與該企事業(yè)單位其它分支機(jī)構(gòu)的員工之間開展合作����、協(xié)同工 作�����。在本發(fā)明的一個(gè)實(shí)施例中�����,其它客戶端可以是一個(gè)����、兩個(gè)或多個(gè)客 戶端��。
步驟522��, IPSec網(wǎng)關(guān)拒絕用戶遠(yuǎn)程接入�����。例如���,在步驟506中���, 用戶的IM登錄信息未通過(guò)AAA服務(wù)器的驗(yàn)證�,那么AAA服務(wù)器指示 IPSec網(wǎng)關(guān)拒絕提供服務(wù)���,用戶無(wú)法通過(guò)IPSec集成客戶端遠(yuǎn)程接入?yún)f(xié) 同工作系統(tǒng)中����,該用戶3皮拒絕訪問企業(yè)或單位的內(nèi)部共享資源��。
步驟524���, IM服務(wù)器拒絕用戶登陸。例如��,在步驟514中�,用戶 身份未通過(guò)IM服務(wù)器的驗(yàn)證,那么用戶仍然具有訪問企業(yè)或單位的內(nèi)部共享資源的權(quán)限��,但無(wú)法通過(guò)IM服務(wù)器與其它用戶建立協(xié)同工作的 聯(lián)系�。
本發(fā)明提供的遠(yuǎn)程接入條件下協(xié)同工作的實(shí)現(xiàn)方法及其系統(tǒng),利用 IPSec網(wǎng)關(guān)的NAT-T功能���,繞開了 IM系統(tǒng)為實(shí)現(xiàn)穿越需要借助中繼服 務(wù)器/第三方執(zhí)行IM交互時(shí)出現(xiàn)的技術(shù)難題���;而且本發(fā)明將IPSec技 術(shù)、IM技術(shù)和AAA技術(shù)有機(jī)地結(jié)合在一起,降低了遠(yuǎn)程接入條件下協(xié) 同工作的實(shí)現(xiàn)系統(tǒng)組網(wǎng)的復(fù)雜性�����;同時(shí)還最大限度利用了企事業(yè)單位的 已有網(wǎng)絡(luò)資源�,為具有多分支機(jī)構(gòu)的企事業(yè)單位提供"遠(yuǎn)程接入,��,和"協(xié) 同辦公��,����,的工作模式。參考前述本發(fā)明示例性的描述��,本領(lǐng)域技術(shù)人員 可以清楚的知曉本發(fā)明具有以下優(yōu)點(diǎn)
1��、 實(shí)現(xiàn)簡(jiǎn)單�����,易于部署實(shí)施���。
如果采用通用的協(xié)同工作軟件����,通常需要將其與原有辦公網(wǎng)絡(luò)資源 (如Email、 OA等辦公軟件服務(wù)器)緊密結(jié)合����、集成在一個(gè)系統(tǒng)中; 因此�����,需要對(duì)原有辦公網(wǎng)絡(luò)實(shí)施大規(guī)模改造�,甚至要重新部署。本發(fā)明 提供的遠(yuǎn)程接入條件下協(xié)同辦公的實(shí)現(xiàn)方法及其系統(tǒng)利用在IPSec網(wǎng)關(guān) 與客戶端之間形成的IPSec隧道的NAT-T功能�,繞開了 IM系統(tǒng)為實(shí)現(xiàn) 穿越而借助中繼服務(wù)器/第三方實(shí)現(xiàn)IM交互的難題,只需對(duì)有協(xié)同工作 需求的企事業(yè)單位(如具有分支機(jī)構(gòu)或駐外辦事處等)進(jìn)行內(nèi)部部署����, 具體來(lái)說(shuō)����,就是改造IM服務(wù)器以及部署IPSec網(wǎng)關(guān)等工作;因此��,實(shí) 現(xiàn)起來(lái)較為簡(jiǎn)單�����,易于部署,并且改造成本較少�����。
2�����、 采用標(biāo)準(zhǔn)化的協(xié)議接口����,易于擴(kuò)展和集成,有利于保護(hù)原有投資����。
本發(fā)明提供的遠(yuǎn)程接入條件下協(xié)同工作的實(shí)現(xiàn)方法及其系統(tǒng)中, IPSec網(wǎng)關(guān)與IM服務(wù)器以a戶端之間執(zhí)行標(biāo)準(zhǔn)的IPSec協(xié)議���,IPSec 網(wǎng)關(guān)與AAA服務(wù)器采用遠(yuǎn)程認(rèn)證撥號(hào)用戶業(yè)務(wù)(RADIUS) /終端接入 控制者接入控制系統(tǒng)協(xié)議(TACACS+ )�����。由于本發(fā)明在標(biāo)準(zhǔn)協(xié)議的框架 下構(gòu)建�,因而其標(biāo)準(zhǔn)化的協(xié)議接口更有利于第三方實(shí)施集成開發(fā),同時(shí) 能夠最大限度保護(hù)原有網(wǎng)絡(luò)資源和固有投資�����。
3��、 企事業(yè)單位可以通過(guò)合作/外包方式實(shí)現(xiàn)遠(yuǎn)程接入條件下的協(xié)同工作���。
本發(fā)明提供的遠(yuǎn)程接入條件下協(xié)同工作的實(shí)現(xiàn)方法及其系統(tǒng)中���,企 事業(yè)單位可在原有網(wǎng)絡(luò)設(shè)施的基礎(chǔ)上,通過(guò)將相關(guān)業(yè)務(wù)外包或與網(wǎng)絡(luò)設(shè)
備商開展合作開發(fā)的方式使用外部資源(如由電信運(yùn)營(yíng)商來(lái)提供AAA 服務(wù)器����、IPSee網(wǎng)關(guān),以及IM服務(wù)器等相關(guān)設(shè)施)���;將IPSec技術(shù)����、 IM技術(shù)和AAA技術(shù)集成在一起��,降低了 IM系統(tǒng)實(shí)現(xiàn)的復(fù)雜性����,最大 限度利用了企事業(yè)單位的已有網(wǎng)絡(luò)資源。這樣有利于利用現(xiàn)有網(wǎng)絡(luò)技術(shù) 及其提供的通用網(wǎng)絡(luò)資源�,而且可以大大減少為實(shí)現(xiàn)協(xié)同工作而進(jìn)行軟 硬件開發(fā)的投資成本,還能減輕企事業(yè)單位對(duì)于龐大的網(wǎng)路的維護(hù)成 本����。
本發(fā)明的實(shí)施例是為了示例和描述起見而給出的,而并不是無(wú)遺漏 的或者將本發(fā)明限于所公開的形式��。很多修改和變化對(duì)于本領(lǐng)域的普通
技術(shù)人員而言是顯而易見的�����。選擇和描述實(shí)施例是為了更好說(shuō)明本發(fā)明 的原理和實(shí)際應(yīng)用��,并且使本領(lǐng)域的普通技術(shù)人員能夠理解本發(fā)明從而 設(shè)計(jì)適于特定用途的帶有各種修改的各種實(shí)施例�。
權(quán)利要求
1.一種遠(yuǎn)程接入條件下協(xié)同工作的實(shí)現(xiàn)方法,其特征在于所述實(shí)現(xiàn)方法包括IPSec網(wǎng)關(guān)接收來(lái)自客戶端的用戶的認(rèn)證請(qǐng)求����,并將所述用戶的認(rèn)證信息轉(zhuǎn)發(fā)到AAA服務(wù)器進(jìn)行認(rèn)證;所述IPSec網(wǎng)關(guān)接收到所述AAA服務(wù)器的授權(quán)信息后���,建立與所述客戶端之間的IPSec隧道�;所述IPSec網(wǎng)關(guān)通過(guò)所述IPSec隧道接收所述客戶端的用戶的IM登陸請(qǐng)求,并將所述用戶的IM登陸信息轉(zhuǎn)發(fā)到IM服務(wù)器以使所述客戶端與另外至少一個(gè)客戶端建立即時(shí)通信聯(lián)系��。
2. 根據(jù)權(quán)利要求l所述的實(shí)現(xiàn)方法����,其特征在于,所述實(shí)現(xiàn)方法包 括在所述IPSec網(wǎng)關(guān)接^戶端的用戶的認(rèn)證請(qǐng)求之前���,所^戶端 向所述IPSec網(wǎng)關(guān)發(fā)送認(rèn)證請(qǐng)求��,并請(qǐng)求建立所述IPSec隧道��;其中所 迷認(rèn)證請(qǐng)求包含所迷用戶的認(rèn)證信息�����。
3. 根據(jù)權(quán)利要求l所述的實(shí)現(xiàn)方法����,其特征在于�,所述實(shí)現(xiàn)方法還 包括所述AAA服務(wù)器接收所述IPSec網(wǎng)關(guān)轉(zhuǎn)發(fā)的所迷用戶的認(rèn)證信 息后對(duì)所述用戶進(jìn)行i人證;如果所述AAA服務(wù)器未通過(guò)對(duì)所述用戶的認(rèn)證信息的認(rèn)證�,則所 述AAA服務(wù)器向所述IPSec網(wǎng)關(guān)發(fā)送指令�,拒絕所述用戶遠(yuǎn)程接入����; 以及如果所述AAA服務(wù)器通過(guò)對(duì)所述用戶的認(rèn)證信息的認(rèn)證���,則所述 AAA服務(wù)器向所述IPSec網(wǎng)關(guān)發(fā)送允許用戶遠(yuǎn)程接入的授權(quán)信息�。
4. 根據(jù)權(quán)利要求3所述的實(shí)現(xiàn)方法���,其特征在于��,所述授權(quán)信息包 括所迷用戶訪問內(nèi)部網(wǎng)絡(luò)的權(quán)限���、訪問的速率和是否可使用IM功能 中的至少一個(gè)。
5. 根據(jù)權(quán)利要求l所述的實(shí)現(xiàn)方法�����,其特征在于����,所述實(shí)現(xiàn)方法還 包括所迷IPSec網(wǎng)關(guān)將所述用戶的IM登陸信息轉(zhuǎn)發(fā)到所述IM服務(wù)器后,所述IM服務(wù)器從用戶數(shù)據(jù)庫(kù)中讀取所述用戶的已審核信息�����;通過(guò)將所述IM服務(wù)器接收到的所述用戶的IM登陸信息與所述用戶的已審核信息進(jìn)行比對(duì)來(lái)mit所述用戶身份;如果所述用戶通過(guò)身份驗(yàn)證��,則所述IM服務(wù)器記錄所述用戶登陸的客戶端信息后�����,返回用戶登錄成功的標(biāo)識(shí)����;以及如果所述用戶未通過(guò)身份驗(yàn)證,則所述IM服務(wù)器拒絕所述用戶登陸�。
6. 根據(jù)權(quán)利要求5所述的實(shí)現(xiàn)方法,其特征在于�����,所述用戶登陸的 客戶端信息包括所述用戶登陸的IP地址和/或所述客戶端的 TCP/UDP端口號(hào)���。
7. 根據(jù)權(quán)利要求l所述的實(shí)現(xiàn)方法���,其特征在于,所述實(shí)現(xiàn)方法還 包括在所述客戶端與另外至少一個(gè)客戶端建立即時(shí)通信聯(lián)系后�,根據(jù) 所述用戶存儲(chǔ)在所述IM服務(wù)器上的好友列表����,所述IM服務(wù)器將所述 用戶在線的相關(guān)信息發(fā)送給所述用戶在線的IM好友���。
8. 根據(jù)權(quán)利要求7所述的實(shí)現(xiàn)方法,其特征在于��,所述用戶在線的 相關(guān)信息包括所述用戶的在線狀態(tài)�、IP地址和所述客戶端的 TCP/UDP端口號(hào)中的至少 一個(gè)。
9. 一種遠(yuǎn)程接入條件下實(shí)現(xiàn)協(xié)同工作的IPSec網(wǎng)關(guān)�,其特征在于, 所述IPSec網(wǎng)關(guān)(300)包括認(rèn)證模塊(3002)�����,用于接收來(lái)自客戶端(318)的用戶的認(rèn)證請(qǐng)求�,并 將所述用戶的認(rèn)證信息轉(zhuǎn)發(fā)到AAA服務(wù)器(302)進(jìn)行i人證;IPSec隧道建立模塊(3004)����,用于接收到所述AAA服務(wù)器(302)的授 權(quán)信息后,建立與所^戶端(318)之間的IPSec隧道��;IM聯(lián)系建立才莫塊(3006)�����,用于通過(guò)所述IPSec隧道接收所述客戶端 (302)的用戶的IM登陸請(qǐng)求,并將所述用戶的IM登陸信息轉(zhuǎn)發(fā)到IM 服務(wù)器(306)以使所述客戶端與另外至少一個(gè)客戶端(318)建立即時(shí)通信 聯(lián)系���。
10. 根據(jù)權(quán)利要求9所述的IPSec網(wǎng)關(guān)��,其特征在于�,所述認(rèn)證請(qǐng) 求包含所述用戶的認(rèn)證信息�,所述IM登陸請(qǐng)求包含所述用戶的IM登陸信息。
11. 一種具有如權(quán)利要求9所述的IPSec網(wǎng)關(guān)的遠(yuǎn)程接入條件下協(xié) 同工作的實(shí)現(xiàn)系統(tǒng)����,其特征在于,所述實(shí)現(xiàn)系統(tǒng)(400)還包括AAA服務(wù)器(402)�����,用于接收所述IPSec網(wǎng)關(guān)(300���, 404)轉(zhuǎn)發(fā)的所迷 用戶的認(rèn)證信息����,并對(duì)所述用戶的認(rèn)證信息進(jìn)行認(rèn)證��;通過(guò)對(duì)所述用戶 的認(rèn)證信息的認(rèn)證后,向所述IPSec網(wǎng)關(guān)(300����, 404)發(fā)送所述授權(quán)信 息;以及IM服務(wù)器(406)�,用于接收所述客戶端(418)經(jīng)由所述IPSec隧道發(fā) 送的所述用戶的IM登陸請(qǐng)求;驗(yàn)證所述用戶的身份����;通過(guò)身份驗(yàn)證 后�,向所述IPSec網(wǎng)關(guān)發(fā)送所述用戶登陸IM服務(wù)器成功的標(biāo)識(shí),并記 錄所述用戶登陸的客戶端信息�。
12. 根據(jù)權(quán)利要求ll所述的實(shí)現(xiàn)系統(tǒng),其特征在于�����,所述實(shí)現(xiàn)系統(tǒng) (400)還包括用戶數(shù)據(jù)庫(kù)(408)����,用于保存所述用戶的已審核信息,并 在所述IM服務(wù)器(406)lHi所述用戶的身份時(shí)�,提供所述用戶的已審核 信息作為驗(yàn)證的基準(zhǔn)。
13. 根據(jù)權(quán)利要求ll所述的實(shí)現(xiàn)系統(tǒng)��,其特征在于,所述實(shí)現(xiàn)系統(tǒng) (400)還包括內(nèi)部公共資源服務(wù)器(410)�����,其包括辦公自動(dòng)化服務(wù)器 (412)����、電子郵件服務(wù)器(414)和/或文件共享服務(wù)器(416)。
全文摘要
本發(fā)明公開一種遠(yuǎn)程接入條件下協(xié)同工作的實(shí)現(xiàn)方法及其系統(tǒng)�,所述方法包括IPSec網(wǎng)關(guān)接收來(lái)自客戶端的用戶的認(rèn)證請(qǐng)求,并將用戶的認(rèn)證信息轉(zhuǎn)發(fā)到AAA服務(wù)器進(jìn)行認(rèn)證�����;IPSec網(wǎng)關(guān)接收到AAA服務(wù)器的授權(quán)信息后�����,建立與客戶端之間的IPSec隧道�����;IPSec網(wǎng)關(guān)通過(guò)IPSec隧道接收客戶端的用戶的IM登陸請(qǐng)求����,并將用戶的IM登陸信息轉(zhuǎn)發(fā)到IM服務(wù)器以使客戶端與另外至少一個(gè)客戶端建立即時(shí)通信聯(lián)系�。本發(fā)明利用IPSec網(wǎng)關(guān)的NAT-T功能��,繞開了系統(tǒng)為實(shí)現(xiàn)穿越而借助中繼服務(wù)器/第三方發(fā)生的IM交互難題���,將IPSec技術(shù)���、IM技術(shù)和AAA技術(shù)結(jié)合起來(lái),降低了系統(tǒng)實(shí)現(xiàn)的復(fù)雜性���,為具有多分支機(jī)構(gòu)的企事業(yè)單位提供“遠(yuǎn)程接入”和“協(xié)同辦公”的實(shí)現(xiàn)方式����。
文檔編號(hào)H04L9/32GK101667918SQ20091020487
公開日2010年3月10日 申請(qǐng)日期2009年10月15日 優(yōu)先權(quán)日2009年10月15日
發(fā)明者宏 唐, 朱永慶, 潔 鄒 申請(qǐng)人:中國(guó)電信股份有限公司