远程接入方法、装置、终端、服务器及存储介质

技术领域

本申请涉及网络技术领域，尤其涉及一种远程接入方法、装置、终端、服务器及存储介质。

背景技术

相关技术中，网络层安全协议(IPsec，Internet Protocol Security)在TCP/IP的核心层，即IP层中实现，因此可以有效保护各种上层协议。基于IPsec实现的虚拟专用网络(VPN，Virtual Private Network)(即IPsec VPN)，存在配置复杂的问题，需要用户手动配置设备的网络密钥交换协议(IKE，Internet key exchange)安全关联(SA，SecurityAssociation)和IPsec SA的相关配置。

发明内容

有鉴于此，本申请实施例提供一种远程接入方法、装置、终端、服务器及存储介质，以至少解决相关技术中IPsec VPN配置复杂的问题。

本申请实施例的技术方案是这样实现的：

本申请实施例提供了一种远程接入方法，应用于终端，包括：

向VPN服务器发送第一信息；所述第一信息用于表征所述终端的身份；

接收来自所述VPN服务器的第二信息；所述第二信息是基于所述第一信息生成的配置信息；

根据所述第二信息配置VPN客户端；配置后的VPN客户端用于与所述VPN服务器建立VPN隧道连接。

其中，上述方案中，所述向VPN服务器发送第一信息包括：

访问所述VPN服务器提供的设定Web页面；

通过所述设定Web页面向所述VPN服务器发送所述第一信息。

上述方案中，接收来自所述VPN服务器的第二信息，包括：

接收来自Web网关转发的所述第二信息；所述第二信息由所述VPN服务器发送给所述Web网关。

上述方案中，所述根据所述第二信息配置VPN客户端之后，所述方法还包括：

在VPN客户端配置完成时，启动配置后的VPN客户端与所述VPN服务器建立VPN隧道连接。

上述方案中，所述根据所述第二信息配置VPN客户端，包括：

输出第三信息，所述第三信息用于提示用户是否配置VPN客户端；

当接收到关于所述第三信息的第一响应，根据所述第二信息配置VPN客户端；所述第一响应表征确认配置VPN客户端。

上述方案中，所述第一信息至少包括用户名、密码和特征码。

上述方案中，所述第二信息包括：

根据第一信息生成的认证信息和/或身份验证标识；

所述身份验证标识用于保证VPN认证过程中的身份连续性。

本申请实施例还提供了一种远程接入方法，应用于终端，其特征在于，所述方法包括：

响应于第一操作，显示VPN客户端用户界面；所述第一操作包括对链接的点击操作或VPN客户端的启动操作；

响应于第二操作，向VPN服务器发送第一信息；所述第二操作包括在VPN客户端用户界面输入用户的用户名及密码；所述第一信息至少包括用户名、密码和特征码；

接收来自所述VPN服务器发送的第二信息；所述第二信息包括根据所述第一信息生成的认证信息和/或身份验证标识；所述身份验证标识用于保证VPN认证过程中的身份连续性；

响应于第三操作，根据所述第二信息配置VPN客户端；所述第三操作表示确认配置所述VPN客户端；配置后的VPN客户端用于与所述VPN服务器建立VPN隧道连接。

本申请实施例还提供了一种远程接入方法，应用于VPN服务器，包括：

接收来自终端的第一信息；所述第一信息表征所述终端的身份；

在对终端认证通过的情况下，基于所述第一信息生成第二信息；

向所述终端发送所述第二信息；所述终端根据所述第二信息配置VPN客户端；配置后的VPN客户端用于与所述VPN服务器建立VPN隧道连接。

其中，上述方案中，所述接收来自终端的第一信息之前，所述方法还包括：

创建设定Web页面；其中，

所述终端访问所述设定Web页面并通过所述设定Web页面向所述VPN服务器发送所述第一信息。

上述方案中，所述向所述终端发送所述第二信息，包括：

向Web网关发送所述第二信息，所述Web网关向所述终端转发所述第二信息。

上述方案中，所述第一信息至少包括用户名、密码和特征码。

上述方案中，所述第二信息包括：

根据第一信息生成的认证信息和/或身份验证标识；

所述身份验证标识用于保证VPN认证过程中的身份连续性。

本申请实施例还提供了一种远程接入的装置，包括：

第一发送单元，用于向VPN服务器发送第一信息；所述第一信息用于表征所述终端的身份；

第一接收单元，用于接收来自所述VPN服务器的第二信息；所述第二信息是基于所述第一信息生成的配置信息；

第一配置单元，用于根据所述第二信息配置VPN客户端；配置后的VPN客户端用于与所述VPN服务器建立VPN隧道连接。

本申请实施例还提供了一种远程接入的装置，包括：

第二接收单元，用于接收来自终端的第一信息；所述第一信息表征所述终端的身份；

生成单元，用于在对终端认证通过的情况下，基于所述第一信息生成第二信息；

第二发送单元，用于向所述终端发送所述第二信息；所述终端根据所述第二信息配置VPN客户端；配置后的VPN客户端用于与所述VPN服务器建立VPN隧道连接。

本申请实施例还提供了一种终端，包括：

第一处理器和用于存储能够在处理器上运行的计算机程序的第一存储器，

其中，所述第一处理器用于运行所述计算机程序时，执行上述终端侧的任一远程接入方法的步骤。

本申请实施例还提供了一种VPN服务器，包括：第二处理器和用于存储能够在处理器上运行的计算机程序的第二存储器，

其中，所述第二处理器用于运行所述计算机程序时，执行上述VPN服务器侧的任一远程接入方法的步骤。

本申请实施例还提供了一种存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述终端侧的任一远程接入方法的步骤，或者，实现上述VPN服务器侧的任一远程接入方法的步骤。

本申请实施例的远程接入方法、装置、终端、服务器及存储介质，终端向VPN服务器发送表征终端身份的第一信息，VPN服务器对终端认证通过的情况下基于第一信息生成第二信息，向终端发送第二信息，终端接收后根据第二信息配置VPN客户端，配置后的VPN客户端用于与所述VPN服务器建立VPN隧道连接。相较于固定配置的认证方式，在本申请实施例中，在进行远程接入时基于第一信息生成第二信息用于认证，不需要用户手动配置，从而简化了VPN配置过程，提高VPN配置的效率。

附图说明

图1为本申请实施例提供的一种远程接入方法的流程示意图；

图2为本申请应用实施例提供的一种在终端展示第三信息的示意图；

图3为本申请实施例提供的另一种远程接入方法的流程示意图；

图4为本申请实施例提供的另一种远程接入方法的流程示意图；

图5为本申请应用实施例提供的一种远程接入方法的流程示意图；

图6为本申请实施例提供的一种远程接入的装置的结构示意图；

图7为本申请实施例提供的另一种远程接入的装置的结构示意图；

图8为本申请实施例提供的终端的结构示意图；

图9为本申请实施例提供的VPN服务器的结构示意图。

具体实施方式

随着互联网的普及，大多数人的生活和工作离不开网络，从而对网络的安全和质量要求逐步提高，提供安全和稳定的网络已经成为高质量生活的基本要求。网络层安全协议可以有效保护各种上层协议，基于IPsec实现的IPsec VPN承担着网络安全的责任，但配置过程复杂，需要完成IKE SA的相关配置和IPsec SA的相关配置，通过SA建立IPsec隧道的通信双方对隧道参数的约定，包括隧道两端的IP地址、隧道采用的认证方式、认证算法和密钥、加密算法和密钥等。

基于此，在本申请的各种实施例中，终端向VPN服务器发送表征终端身份的第一信息，VPN服务器对终端认证通过的情况下基于第一信息生成第二信息，向终端发送第二信息，终端接收后根据第二信息配置VPN客户端并通过配置后的VPN客户端与VPN服务器建立VPN隧道连接，从而简化了VPN配置过程，提高VPN配置的效率。

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

本申请实施例提供了一种远程接入方法，应用于终端，其中，终端包括但不限于手机、平板等电子设备。如图1所示，该方法包括：

步骤101：向VPN服务器发送第一信息。

其中，所述第一信息用于表征所述终端的身份。

在本实施例中，终端发送第一信息至VPN服务器，这里，VPN服务器可为IPsec VPN服务器，VPN服务器根据用于表征所述终端的身份的第一信息，对终端身份进行验证，通过认证第二信息对应的表征终端身份的第一信息，来验证终端身份是否合法。实际应用中，在接收到第一操作后，终端可以向Web网关请求，Web网关会返回设定Web页面，终端显示由VPN服务器创建设定Web页面，以便于用户在该页面输入信息，在接收到用户在设定Web页面输入终端用户的用户名及密码的第二操作后，向VPN服务器发送表征所述终端的身份的第一信息。

其中，在一实施例中，所述向VPN服务器发送第一信息包括：

访问所述VPN服务器提供的设定Web页面；

通过所述设定Web页面向所述VPN服务器发送所述第一信息。

这里，终端通过浏览器访问VPN服务器提供的设定Web页面，用户通过终端在设定Web页面进行字符输入操作和/或选择操作，设定Web页面将第一信息发送至VPN服务器。实际应用时，VPN服务器在创建Web页面的过程中，可以在Web页面设置需要填写的表单，表单中包含有各个需要终端填充的与第一信息相关的表项，终端在载入Web页面后，检测用户对表单的输入从而得到第一信息。在表单填充过程中，可以通过字符输入操作或者选择操作完成表项填充，可以由Web页面通过代码调用，获取终端的相关信息以实现表项的自动填充，也可以是输入选择和代码调用相结合，从而简化了VPN配置操作。

在一实施例中，所述第一信息至少包括用户名、密码和特征码。

第一信息表示设备的唯一身份，至少包括用户名、密码和特征码。这里，用户名、密码即用户输入的用户名和密码，特征码可以是硬件特征码和/或设备证书。硬件特征码是根据终端硬件的序列号生成的，用于VPN服务器确定终端的设备类型和/或操作系统，从而生成对应的用于承载第二信息的配置文件。这里，硬件包括主板、硬盘、网卡和/或中央处理器(CPU，Central Processing Unit)等。考虑到远程接入方法中终端的设备类型和/或操作系统是非固定的，硬件特征码可以表征终端的设备类型和/或操作系统，如果硬件特征码表征终端操作系统为IOS系统，VPN服务器生成对应的用于承载第二信息的配置文件格式为mobileconfig；如果硬件特征码表征终端操作系统为Android系统，VPN服务器生成对应的用于承载第二信息的配置文件格式为androidmanifest.xml。硬件特征码表征不同的设备类型和/或操作系统，由此可以反映出需要建立隧道连接的终端的特征，使VPN服务器可以根据终端的特征生成对应的承载有第二信息的配置文件，提升了VPN配置的智能性，提高了VPN配置的效率。

步骤102：接收来自VPN服务器的第二信息。

其中，所述第二信息是基于所述第一信息生成的配置信息。

VPN服务器对终端身份进行验证，在终端身份验证通过的情况下，VPN服务器基于表征终端身份的第一信息生成第二信息，并向终端发送第二信息，终端接收来自VPN服务器的第二信息。其中，VPN服务器在向终端发送第二信息时，可以对第二信息进行数字签名，并将第二信息承载于配置文件中，发送给第一终端。

在一实施例中，所述第二信息包括：

根据第一信息生成的认证信息和/或身份验证标识；

所述身份验证标识用于保证VPN认证过程中的身份连续性。

这里，用于对终端上安装的VPN客户端进行配置的第二信息，包括但不限于根据第一信息生成的认证信息和/或身份认证标识，所述根据第一信息生成的认证信息包括服务器地址、新用户的用户名及密码、认证机制、群组名称和/或动态密钥；这里，认证机制可以是用户鉴定机制；所述身份认证标识用于保证VPN认证过程中的身份连续性，是根据第一信息确定的。这里，身份验证标识可以是证书ID，证书ID是一种用于进行源信息认证的ID。利用认证信息和/或身份验证标识，终端通过VPN客户端与VPN服务器发起VPN协商，建立隧道连接。这里，认证信息和/或身份验证标识用于VPN服务器在收到终端的VPN协商时，确认终端的身份为发送第一信息的终端，从而完成VPN服务器和终端的对等体之间彼此验证。验证成功后，VPN服务器会交换VPN内网网段到终端。传统认证方式是固定配置的认证，如果盗取了固定配置的信息，就能假冒该终端的身份；而且在更新配置时，需要用户手动重新配置；在本申请实施例中，结合第一信息生成第二信息，以第二信息进行认证，即使用户原有输入的信息(例如网页输入的用户名、密码等)被盗用也不会被成功假冒。而且第二信息可以基于终端-服务器的交互实现自动更新，简化了用户重新配置的操作。

在一实施例中，所述接收来自所述VPN服务器的第二信息，包括：

接收来自Web网关转发的所述第二信息；所述第二信息由所述VPN服务器发送给所述Web网关。

这里，服务器将第二信息发送给Web网关，Web网关再将第二信息转发到终端。

步骤103：根据所述第二信息配置VPN客户端。

其中，配置后的VPN客户端用于与所述VPN服务器建立VPN隧道连接。

这里，在终端接收VPN服务器发送的承载有第二信息的配置文件之后，运行该配置文件，通过配置文件的运行完成VPN客户端的配置，完成了配置的VPN客户端能够支持与VPN服务器建立隧道连接。根据第二信息配置VPN客户端之后，在建立隧道连接时，终端会使用第二信息的认证信息和/或身份验证标识，通过配置后的VPN客户端与VPN服务器发起协商，这里，认证信息和/或身份验证标识用于VPN服务器收到终端的VPN协商时，确认终端的身份为发送第一信息的终端，从而完成VPN服务器和终端的对等体之间彼此验证；VPN服务器收到终端的协商，会对认证信息和/或身份验证标识进行认证，认证成功后VPN服务器会交换VPN内网网段到终端，终端建立VPN连接后，会自动生成到VPN服务器内网的路由，从而建立终端与VPN服务器的VPN隧道连接。实际应用中，IPsec VPN客户端可以内置于终端的操作系统中，也可以有其他实施方式，例如通过APP，小程序等，此处不进行限定。

由于IPsec VPN是基于IP层的安全隧道，在VPN隧道建立连接之后，终端可以访问VPN服务器的内网，当终端需要再次接入的时候，只需要启动VPN客户端。本申请实施例虽然以IPsec VPN为例进行描述，但具体实现中并不局限于IPsec VPN场景，也可应用于SSL VPN等场景。

考虑到终端接收VPN服务器发送的第二信息之后，终端当前状态不一定合适根据第二信息配置VPN客户端。例如，终端用户希望在终端的操作系统升级完成之后再配置VPN客户端，或者，终端正在运行不可间断的程序时，终端的状态不适合进行VPN客户端的配置。通过终端输出提示信息并由用户确认配置，用户可以控制终端配置VPN客户端的时间，因而可以在终端处于适合状态时根据第二信息配置VPN客户端，因此，在一实施例中，所述接收VPN服务器发送的第二信息，所述方法包括：

在一实施例中，所述根据所述第二信息配置VPN客户端，所述方法包括：

输出第三信息，所述第三信息用于提示用户是否配置VPN客户端；

当接收到关于所述第三信息的第一响应，根据所述第二信息配置VPN客户端；所述第一响应表征确认配置VPN客户端。

这里，终端接收VPN服务器发送的第二信息，输出用于提示用户是否配置VPN客户端的第三信息，当终端接收到用于确认配置VPN客户端的第一响应，根据第二信息配置VPN客户端。

例如，参照图2，在运行配置文件之前，弹出安装提示，若“忽略”按钮被选择，代表用户取消对VPN客户端的配置，若“允许”按钮被选择，代表用户确认配置VPN客户端，终端接收到用户确认配置VPN客户端的指令，根据接收到的配置文件配置VPN客户端。

考虑到VPN客户端配置完成时，用户仍需要启动VPN客户端，从而建立终端与VPN服务器的VPN隧道连接，因此，

在一实施例中，所述根据所述第二信息配置VPN客户端之后，所述方法包括：

在VPN客户端配置完成时，启动配置后的VPN客户端与所述VPN服务器建立VPN隧道连接。

这里，在终端运行承载有第二信息的配置文件，完成VPN客户端的配置时，配置文件在检测到配置完成之后，会自动调用VPN客户端启动指令，这样，在VPN客户端配置完成时会自动地启动VPN客户端，并通过配置后的VPN客户端与VPN服务器发起协商，从而建立终端与VPN服务器的VPN隧道连接。上述过程无需用户输入VPN客户端的启动指令，从而简化了VPN配置过程，提高VPN配置的效率。

本申请实施例提供了一种远程接入方法，应用于终端，如图3所示，所述方法包括：

响应于第一操作，显示VPN客户端用户界面；所述第一操作包括对链接的点击操作或VPN客户端的启动操作；

响应于第二操作，向VPN服务器发送第一信息；所述第二操作包括在VPN客户端用户界面输入用户的用户名及密码；所述第一信息至少包括用户名、密码和特征码；

接收来自所述VPN服务器发送的第二信息；所述第二信息包括根据所述第一信息生成的认证信息和/或身份验证标识；所述身份验证标识用于保证VPN认证过程中的身份连续性；

响应于第三操作，根据所述第二信息配置VPN客户端；所述第三操作表示确认配置所述VPN客户端；配置后的VPN客户端用于与所述VPN服务器建立VPN隧道连接。

这里，终端响应于用户对链接的点击操作或VPN客户端的启动操作的第一操作，显示VPN客户端用户界面，这里，链接在实现层面可以是网址、文字、图片等，此处不做限定；用户在VPN客户端用户界面输入用户的用户名及密码，终端响应于用户输入的用户名及密码的第二操作，向VPN服务器发送用于表征终端身份的第一信息，第一信息包括用户名、密码和特征码，用户名、密码即用户输入的用户名和密码，特征码可以是硬件特征码和/或设备证书；服务器接收到终端发送的第一信息，根据所述第一信息生成第二信息并向终端发送，终端接收来自VPN服务器的第二信息，第二信息包括根据所述第一信息生成的认证信息和/或用于保证VPN认证过程中的身份连续性的身份验证标识；终端响应于确认配置VPN客户端的第三操作，根据第二信息配置VPN客户端，配置后的VPN客户端用于与所述VPN服务器建立VPN隧道连接，这里，第三操作可以是用户对提示的响应，表示用户确认进行VPN客户端的配置，也可以是其它表示确认配置的操作。

相较于固定配置的认证方式，在本申请实施例中，结合第一信息生成第二信息，以第二信息进行认证，即使用户原有输入的信息被盗用也不会被成功假冒；并且，在进行远程接入时可以基于第一信息生成第二信息用于认证，不需要用户手动配置，从而简化了VPN配置过程，提高VPN配置的效率。本申请实施例提供了一种远程接入方法，应用于VPN服务器，如图4所示，该方法包括：

步骤401：接收来自终端的第一信息；所述第一信息表征所述终端的身份。

在本实施例中，终端发送第一信息至VPN服务器，VPN服务器接收表征终端的身份的第一信息，这里，VPN服务器可为IPsec VPN服务器。

其中，在一实施例中，所述接收来自终端的第一信息之前，所述方法还包括：

创建设定Web页面；其中，

所述终端访问所述设定Web页面并通过所述设定Web页面向所述VPN服务器发送所述第一信息。

这里，终端通过浏览器访问VPN服务器提供的设定Web页面，用户通过终端在设定Web页面进行字符输入操作和/或选择操作，设定Web页面将第一信息发送至VPN服务器。实际应用时，VPN服务器在创建Web页面的过程中，可以在Web页面设置需要填写的表单，表单中包含有各个需要终端填充的与第一信息相关的表项，终端在载入Web页面后，检测用户对表单的输入从而得到第一信息。在表单填充过程中，可以通过字符输入操作或者选择操作完成表项填充，可以由Web页面通过代码调用，获取终端的相关信息以实现表项的自动填充，也可以是输入选择和代码调用相结合，从而简化了VPN配置操作。

在一实施例中，所述第一信息至少包括用户名、密码和特征码。

第一信息表示设备的唯一身份，至少包括用户名、密码和特征码。这里，用户名、密码即用户输入的用户名和密码，特征码可以是硬件特征码和/或设备证书。硬件特征码是根据终端硬件的序列号生成的，用于VPN服务器确定终端的设备类型和/或操作系统，从而生成对应的用于承载第二信息的配置文件。这里，硬件包括主板、硬盘、网卡和/或CPU等。考虑到远程接入方法中终端的设备类型和/或操作系统是非固定的，硬件特征码可以表征终端的设备类型和/或操作系统，如果硬件特征码表征终端操作系统为IOS系统，VPN服务器生成对应的用于承载第二信息的配置文件格式为mobileconfig；如果硬件特征码表征终端操作系统为Android系统，VPN服务器生成对应的用于承载第二信息的配置文件格式为androidmanifest.xml。硬件特征码表征不同的设备类型和/或操作系统，由此可以反映出需要建立隧道连接的终端的特征，使VPN服务器可以根据终端的特征生成对应的承载有第二信息的配置文件，提升了VPN配置的智能性，提高了VPN配置的效率。

步骤402：在对终端认证通过的情况下，基于所述第一信息生成第二信息。

其中，所述第二信息供所述终端对安装的VPN客户端进行配置；所述第一信息表征所述终端的身份。

在本实施例中，VPN服务器根据第一信息，对终端身份进行验证，在终端身份验证通过的情况下，VPN服务器基于表征终端身份的第一信息生成第二信息。这里，用于对终端上安装的VPN客户端进行配置的第二信息，包括但不限于根据第一信息生成的认证信息和/或身份验证标识。利用认证信息和/或身份验证标识，终端通过VPN客户端与VPN服务器发起VPN协商，建立隧道连接。这里，认证信息和/或身份验证标识用于VPN服务器在收到终端的VPN协商时，确认终端的身份为发送第一信息的终端，从而完成VPN服务器和终端的对等体之间彼此验证。验证成功后，VPN服务器会交换VPN内网网段到终端。

在一实施例中，所述第二信息包括：

根据第一信息生成的认证信息和/或身份验证标识；

所述身份验证标识用于保证VPN认证过程中的身份连续性。

这里，用于对终端上安装的VPN客户端进行配置的第二信息，包括但不限于根据第一信息生成的认证信息和/或身份认证标识，所述根据第一信息生成的认证信息包括服务器地址、新用户的用户名及密码、认证机制、群组名称和/或动态密钥；这里，认证机制可以是用户鉴定机制；所述身份认证标识用于保证VPN认证过程中的身份连续性，是根据第一信息确定的。这里，身份验证标识可以是证书ID，证书ID是一种用于进行源信息认证的ID。利用认证信息和/或身份验证标识，终端通过VPN客户端与VPN服务器发起VPN协商，建立隧道连接。这里，认证信息和/或身份验证标识用于VPN服务器在收到终端的VPN协商时，确认终端的身份为发送第一信息的终端，从而完成VPN服务器和终端的对等体之间彼此验证。验证成功后，VPN服务器会交换VPN内网网段到终端。以传统认证方式是固定配置的认证，如果盗取了固定配置的信息，就能假冒该终端的身份；而且在更新配置时，需要用户手动重新配置；在本实施例中，以第二信息进行认证，结合第一信息生成第二信息，即使用户原有输入的信息被盗用也不会被成功假冒。而且第二信息可以基于终端-服务器的交互实现自动更新，简化了用户重新配置的操作。

步骤403：向所述终端发送所述第二信息。

其中，所述终端根据所述第二信息配置VPN客户端；配置后的VPN客户端用于与所述VPN服务器建立VPN隧道连接。

VPN服务器基于表征终端身份的第一信息生成第二信息，并向终端发送第二信息。其中，VPN服务器在向终端发送第二信息时，可以对第二信息进行数字签名，并将第二信息承载于配置文件中，发送给第一终端。

这里，根据第二信息配置VPN客户端之后，终端会使用第二信息中的用于建立隧道连接的身份验证标识和/或认证信息，通过配置后的VPN客户端与VPN服务器发起协商，VPN服务器收到终端的协商，会对身份验证标识和/或认证信息进行认证，认证成功后VPN服务器会交换VPN内网网段到终端，终端建立VPN连接后，会自动生成到VPN服务器内网的路由，从而建立终端与VPN服务器的VPN隧道连接。

由于IPsec VPN是基于IP层的安全隧道，在VPN隧道建立连接之后，终端可以访问VPN服务器的内网，当终端需要再次接入的时候，只需要启动VPN客户端。本申请实施例虽然以IPsec VPN为例进行描述，但具体实现中并不局限于IPsec VPN场景，也可应用于SSL VPN等场景。

在一实施例中，所述向所述终端发送所述第二信息，包括：

向Web网关发送所述第二信息，所述Web网关向所述终端转发所述第二信息。

这里，服务器将第二信息发送给Web网关，Web网关再将第二信息转发到终端。

下面结合应用实施例对本申请再作进一步的详细描述。

结合图5，对应的远程接入方法，包括以下步骤：

步骤1：终端访问设定Web页面。

步骤2：Web网关返回设定Web页面。

步骤3：终端上报第一信息至Web网关。

步骤4：Web网关利用第一信息向VPN服务器发起认证。

步骤5：VPN服务器认证第一信息并生成第二信息。

步骤6：VPN服务器将生成的第二信息下发至Web网关。

步骤7：Web网关向终端下发第二信息。

步骤8：终端使用第二信息对终端的VPN客户端进行配置。

步骤9：终端通过VPN客户端与VPN服务器发起协商，建立VPN隧道。

步骤10：VPN服务器交换VPN内网网段到终端，终端建立好VPN连接后会生成到VPN服务器内网的路由，从而建立终端与VPN服务器的VPN隧道连接。

本应用实施例的远程接入方法，终端访问设定Web页面，由Web网关返回设定Web页面，终端接收到用户在设定Web页面输入的用户名及密码，向Web网关上报用于表征终端身份的第一信息，Web网关利用第一信息向VPN服务器发起认证，VPN服务器认证第一信息并基于第一信息生成第二信息，VPN服务器将生成的第二信息下发至Web网关，Web网关向终端下发第二信息，终端使用第二信息对VPN客户端进行配置，配置后的VPN客户端与VPN服务器发起协商建立VPN隧道，VPN服务器交换VPN内网网段到终端，终端建立好VPN连接后会生成到VPN服务器内网的路由，从而建立终端与VPN服务器的VPN隧道连接。在本申请实施例中，结合第一信息生成第二信息，以第二信息进行认证，即使用户原有输入的信息被盗用也不会被成功假冒；相较于固定配置的认证方式，每次需要更新时需要用户重新配置，本申请可以实现自动更新，不需要用户参与，用户体验提升；并且，在进行远程接入时可以基于第一信息生成第二信息用于认证，不需要用户手动配置，从而简化了VPN配置过程，提高VPN配置的效率。

并且，在进行远程接入时可以基于第一信息生成第二信息用于认证，不需要用户手动配置，从而简化了VPN配置过程，提高VPN配置的效率。

为实现本申请实施例的方法，本申请实施例还提供了一种远程接入的装置，如图6所示，该装置包括：

第一发送单元601，用于向VPN服务器发送第一信息；所述第一信息用于表征所述终端的身份；

第一接收单元602，接收来自所述VPN服务器的第二信息；所述第二信息是基于所述第一信息生成的配置信息；

第一配置单元603，用于根据所述第二信息配置VPN客户端；配置后的VPN客户端用于与所述VPN服务器建立VPN隧道连接。

在一个实施例中，所述装置还包括：

访问单元，用于访问所述VPN服务器提供的设定Web页面；

第一发送单元，用于通过所述设定Web页面向所述VPN服务器发送所述第一信息。

其中，在一个实施例中，所述第一接收单元602，用于：

接收来自Web网关转发的所述第二信息；所述第二信息由所述VPN服务器发送给所述Web网关。

在一个实施例中，所述第一配置单元603，用于：

在VPN客户端配置完成时，启动配置后的VPN客户端与所述VPN服务器建立VPN隧道连接。

在一个实施例中，所述第一配置单元603，用于：

输出第三信息，所述第三信息用于提示用户是否配置VPN客户端；

当接收到关于所述第三信息的第一响应，根据所述第二信息配置VPN客户端；所述第一响应表征确认配置VPN客户端。

在一个实施例中，所述第一信息至少包括用户名、密码和特征码。

在一个实施例中，所述第二信息包括：

根据第一信息生成的认证信息和/或身份验证标识；

所述身份验证标识用于保证VPN认证过程中的身份连续性。

实际应用时，所述第一发送单元601、第一接收单元602、所述访问单元可由基于远程接入装置中的通信接口实现，所述第一配置单元603可由基于远程接入装置中的处理器结合通信接口实现。

需要说明的是：上述实施例提供的远程接入的装置在进行远程接入时，仅以上述各程序模块的划分进行举例说明，实际应用中，可以根据需要而将上述处理分配由不同的程序模块完成，即将装置的内部结构划分成不同的程序模块，以完成以上描述的全部或者部分处理。另外，上述实施例提供的远程接入的装置与远程接入方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

为实现本申请实施例的方法，本申请实施例还提供了一种远程接入的装置，如图7所示，该装置包括：

第二接收单元701，用于接收来自终端的第一信息；所述第一信息表征所述终端的身份；

生成单元702，用于在对终端认证通过的情况下，基于所述第一信息生成第二信息；

第二发送单元703，用于向所述终端发送所述第二信息；所述终端根据所述第二信息配置VPN客户端；配置后的VPN客户端用于与所述VPN服务器建立VPN隧道连接。

在一个实施例中，所述装置还包括：

创建单元，用于创建设定Web页面；其中，

所述终端访问所述设定Web页面并通过所述设定Web页面向所述VPN服务器发送所述第一信息。

在一个实施例中，所述第二发送单元703，用于：

向Web网关发送所述第二信息，所述Web网关向所述终端转发所述第二信息。

在一个实施例中，所述第一信息至少包括用户名、密码和特征码。

在一个实施例中，所述第二信息包括：

根据第一信息生成的认证信息和/或身份验证标识；

所述身份验证标识用于保证VPN认证过程中的身份连续性。

实际应用时，所述第二接收单元701、第二发送单元703可由基于远程接入装置中的通信接口实现，所述生成单元702、创建单元可由基于远程接入装置中的处理器实现。

需要说明的是：上述实施例提供的远程接入的装置在进行远程接入时，仅以上述各程序模块的划分进行举例说明，实际应用中，可以根据需要而将上述处理分配由不同的程序模块完成，即将装置的内部结构划分成不同的程序模块，以完成以上描述的全部或者部分处理。另外，上述实施例提供的远程接入的装置与远程接入的方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

基于上述程序模块的硬件实现，且为了实现本申请实施例终端侧远程接入方法，本申请实施例还提供了一种终端，如图8所示，该终端800包括：

第一通信接口810，能够与其它设备比如网络设备等进行信息交互；

第一处理器820，与所述第一通信接口810连接，以实现与其它设备进行信息交互，用于运行计算机程序时，执行上述终端侧一个或多个技术方案提供的方法。而所述计算机程序存储在第一存储器830上。

当然，实际应用时，终端800中的各个组件通过第一总线系统840耦合在一起。可理解，第一总线系统840用于实现这些组件之间的连接通信。第一总线系统840除包括第一数据总线之外，还包括第一电源总线、第一控制总线和第一状态信号总线。但是为了清楚说明起见，在图8中将各种总线都标为第一总线系统840。

本申请实施例中的第一存储器830用于存储各种类型的数据以支持终端800的操作。这些数据的示例包括：用于在终端800上操作的任何计算机程序。

可以理解，第一存储器830可以是易失性存储器或非易失性存储器，也可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(ROM，Read OnlyMemory)、可编程只读存储器(PROM，Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM，Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM，Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM，ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM，Compact Disc Read-Only Memory)；磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM，Random AccessMemory)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(SRAM，Static Random Access Memory)、同步静态随机存取存储器(SSRAM，Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM，Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM，SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM，Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM，Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM，SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM，Direct Rambus Random Access Memory)。本申请实施例描述的第一存储器830旨在包括但不限于这些和任意其它适合类型的存储器。

上述本申请实施例揭示的方法可以应用于第一处理器820中，或者由第一处理器820实现。第一处理器820可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过第一处理器820中的硬件的集成逻辑电路或者软件形式的指令完成。上述的第一处理器820可以是通用处理器、DSP，或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。第一处理器820可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤，可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中，该存储介质位于第一存储器830，第一处理器820读取第一存储器830中的程序，结合其硬件完成前述方法的步骤。

可选地，所述第一处理器820执行所述程序时实现本申请实施例的各个方法中由终端实现的相应流程，为了简洁，在此不再赘述。

基于上述程序模块的硬件实现，且为了实现本申请实施例VPN服务器侧远程接入方法，本申请实施例还提供了一种VPN服务器，如图9所示，该VPN服务器900包括：

第二通信接口910，能够与其它设备比如网络设备等进行信息交互；

第二处理器920，与所述第二通信接口910连接，以实现与其它设备进行信息交互，用于运行计算机程序时，执行上述VPN服务器侧一个或多个技术方案提供的方法。而所述计算机程序存储在第二存储器930上。

当然，实际应用时，VPN服务器900中的各个组件通过第二总线系统940耦合在一起。可理解，第二总线系统940用于实现这些组件之间的连接通信。第二总线系统940除包括第二数据总线之外，还包括第二电源总线、第二控制总线和第二状态信号总线。但是为了清楚说明起见，在图9中将各种总线都标为第二总线系统940。

本申请实施例中的第二存储器930用于存储各种类型的数据以支持VPN服务器900的操作。这些数据的示例包括：用于在VPN服务器900上操作的任何计算机程序。

可以理解，第二存储器930可以是易失性存储器或非易失性存储器，也可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是ROM、PROM、EPROM、EEPROM、FRAM、Flash Memory、磁表面存储器、光盘、或CD-ROM；磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是RAM，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如SRAM、SSRAM、DRAM、SDRAM、DDRSDRAM、ESDRAM、SLDRAM、DRRAM。本申请实施例描述的第二存储器930旨在包括但不限于这些和任意其它适合类型的存储器。

上述本申请实施例揭示的方法可以应用于第二处理器920中，或者由第二处理器920实现。第二处理器920可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过第二处理器920中的硬件的集成逻辑电路或者软件形式的指令完成。上述的第二处理器920可以是通用处理器、DSP，或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。第二处理器920可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤，可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中，该存储介质位于第二存储器930，第二处理器920读取第二存储器930中的程序，结合其硬件完成前述方法的步骤。

可选地，所述第二处理器920执行所述程序时实现本申请实施例的各个方法中由VPN服务器实现的相应流程，为了简洁，在此不再赘述。

在示例性实施例中，本申请实施例还提供了一种存储介质，即计算机存储介质，具体为计算机可读存储介质，例如包括存储计算机程序的第一存储器830、第二存储器930，上述计算机程序可分别由电子设备的第一处理器820、第二处理器920执行，以完成前述远程接入方法所述步骤。计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、FlashMemory、磁表面存储器、光盘、或CD-ROM等存储器。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置、电子设备和方法，可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，如：多个单元或组件可以结合，或可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性的、机械的或其它形式的。

上述作为分离部件说明的单元可以是、或也可以不是物理上分开的，作为单元显示的部件可以是、或也可以不是物理单元，即可以位于一个地方，也可以分布到多个网络单元上；可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。

另外，在本申请各实施例中的各功能单元可以全部集成在一个处理单元中，也可以是各单元分别单独作为一个单元，也可以两个或两个以上单元集成在一个单元中；上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

或者，本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括：移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

需要说明的是，本申请实施例所记载的技术方案之间，在不冲突的情况下，可以任意组合。除非另有说明和限定，术语“连接”应做广义理解，例如，可以是电连接，也可以是两个元件内部的连通，可以是直接相连，也可以通过中间媒介间接相连，对于本领域的普通技术人员而言，可以根据具体情况理解上述术语的具体含义。

另外，在本申请实例中，“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解“第一\第二\第三”区分的对象在适当情况下可以互换，以使这里描述的本申请的实施例可以除了在这里图示或描述的那些以外的顺序实施。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

在具体实施方式中所描述的各个实施例中的各个具体技术特征，在不矛盾的情况下，可以进行各种组合，例如通过不同的具体技术特征的组合可以形成不同的实施方式，为了避免不必要的重复，本申请中各个具体技术特征的各种可能的组合方式不再另行说明。