專利名稱:協(xié)同工作的實現(xiàn)方法及其系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)據(jù)網(wǎng)絡通信領(lǐng)域的虛擬專用網(wǎng)(VPN, Virtual Private Network)實現(xiàn)技術(shù),尤其涉及一種遠程接入條件下協(xié)同工 作的實現(xiàn)方法及其系統(tǒng)�����。
背景技術(shù):
在企事業(yè)單位內(nèi)部�����,利用計算機支持來實現(xiàn)多部門或多用戶的協(xié) 同工作(CSCW�����, Computer Supported Cooperative Work)已成為 大勢所趨���。同時�,對于具有較多分支機構(gòu)或外派員工較多的企事業(yè)單 位,實現(xiàn)遠程接入安全地訪問企事業(yè)單位內(nèi)部公共信息和與同事協(xié)同 工作成為這些單位的主要需求�����。
目前���,為實現(xiàn)協(xié)同遠程接入條件下的協(xié)同工作��,目前的實現(xiàn)方案 中大致有三種方式采用私有協(xié)議�����,部署中繼服務器或借助第三方設 備來實現(xiàn)網(wǎng)絡地址轉(zhuǎn)換-穿越(NAT-T , Network Address Translation- Traversal) /防火墻的穿越�����。大多數(shù)企事業(yè)單位通過部署 各自的私有專屬網(wǎng)絡的方式實現(xiàn)遠程接入條件下的CSCW工作����,這
種方式大大提高了工作效率�����。由于提供CSCW解決方案的廠家通常 提供綜合/集成度較高的解決方案,甚至使用私有協(xié)議實現(xiàn)�,這樣, 這些企事業(yè)單位就需對原有信息技術(shù)系統(tǒng)進行大規(guī)模改造甚至重新部 署�����,獨立組網(wǎng)的成本較高�,而且不利于保護企事業(yè)單位的已有投資。 部署中繼服務器的方式�,不僅會增加投資,而且會形成通信交互的瓶 頸;借助第三方設備的實現(xiàn)方式�,通?��;趯Φ染W(wǎng)絡(P2P�, Peer to Peer)實現(xiàn)����,節(jié)點選擇具有隨意性,存在較大的安全隱患�����,且當 VPN網(wǎng)絡內(nèi)的公有IP地址節(jié)點不多時�����,存在可靠性問題。
當今����,在互聯(lián)網(wǎng)上普遍使用即時通信軟件進行對話交流,包括使
5用QQ���、 MSN Messenger�����、 Jabber��、 ICQ���、 Google Talk或百度hi 等??紤]到即時通信(IM, Instant Message)可進行點對點、點對 多�����、多對多等多種方式的通信���。而且隨著互聯(lián)網(wǎng)的普及��,越來越多的 上班族選擇通過IM方式與同事����、合作伙伴或客戶等進行交流溝通和 信息共享等。IM已經(jīng)成為僅次于語音電話��、電子郵件等傳統(tǒng)溝通方 式之下的重要選擇����。電信運營商是否能夠利用IM技術(shù)即時通信的便 捷特性,為多分支的企事業(yè)單位提供一種通用性強�、組網(wǎng)簡單、解決 穿越實現(xiàn)IM交互的難題且接入安全的CSCW工作方式成為當前亟 待解決的技術(shù)問題�����。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種遠程接入條件下協(xié)同工作的方法及其系 統(tǒng)����,繞開了 IM系統(tǒng)為實現(xiàn)穿越而借助中繼服務器/第三方實現(xiàn)IM交互 的難題�,降低了 IM系統(tǒng)實現(xiàn)的復雜性,最大限度利用了企事業(yè)單位的 已有網(wǎng)絡資源����,為具有多分支機構(gòu)的企事業(yè)單位提供"遠程接入和協(xié)同 辦公"的實現(xiàn)方式����。本發(fā)明提供如下技術(shù)方案
本發(fā)明的一個方面提供了 一種遠程接入條件下協(xié)同工作的實現(xiàn)方 法�����,該實現(xiàn)方法包括IPSec網(wǎng)關(guān)接收來自客戶端的用戶的認證請求��, 并將用戶的認證信息轉(zhuǎn)發(fā)到AAA服務器進行認證�����;IPSec網(wǎng)關(guān)接收到 AAA服務器的授權(quán)信息后���,建立與客戶端之間的IPSec隧道��;IPSec網(wǎng) 關(guān)通過IPSec隧道接^戶端的用戶的IM登陸請求���,并將用戶的IM 登陸信息轉(zhuǎn)發(fā)到IM服務器以使客戶端與另外至少一個客戶端建立即時 通信聯(lián)系。
本發(fā)明提供的遠程接入條件下協(xié)同工作的實現(xiàn)方法的一個實施例 中���,該實現(xiàn)方法包括在IPSec網(wǎng)關(guān)接收客戶端的用戶的認證請求之 前���,客戶端向IPSec網(wǎng)關(guān)發(fā)送認證請求��,并請求建立IPSec隧道���;其中 認證請求包含用戶的i人證信息。
本發(fā)明提供的遠程接入條件下協(xié)同工作的實現(xiàn)方法的一個實施例 中�����,該實現(xiàn)方法還包括AAA服務器接收IPSec網(wǎng)關(guān)轉(zhuǎn)發(fā)的用戶的認證倌息后對用戶進行認證���;如果AAA服務器未通過對用戶的認證信息 的認證��,貝'J AAA服務器向IPSec網(wǎng)關(guān)發(fā)送指令����,拒絕用戶遠程接入��; 以及如果AAA服務器通過對用戶的認證信息的認證�,則AAA服務器 向IPSec網(wǎng)關(guān)發(fā)送允許用戶遠程接入的授權(quán)信息�����。
本發(fā)明提供的遠程接入條件下協(xié)同工作的實現(xiàn)方法的一個實施例 中,授權(quán)信息包括用戶訪問內(nèi)部網(wǎng)絡的權(quán)限��、訪問的速率和是否可使 用IM功能中的至少一個���。
本發(fā)明提供的遠程接入條件下協(xié)同工作的實現(xiàn)方法的一個實施例 中����,該實現(xiàn)方法還包括IPSec網(wǎng)關(guān)將用戶的IM登陸信息轉(zhuǎn)發(fā)到IM 服務器后���,IM服務器從用戶數(shù)據(jù)庫中讀取用戶的已審核信息�����;通過將 IM服務器接收到的用戶的IM登陸倌息與用戶的已審核信息進行比對 來驗證用戶身份��;如果用戶通過身份驗證���,則IM服務器記錄用戶登陸 的客戶端信息后,返回用戶登錄成功的標識���;以及如果用戶未通過身份 �,則IM服務器拒絕用戶登陸。
本發(fā)明提供的遠程接入條件下協(xié)同工作的實現(xiàn)方法的一個實施例 中���,用戶登陸的客戶端信息包括用戶登陸的IP地址和/或客戶端的 TCP/UDP端口號��。
本發(fā)明提供的遠程接入條件下協(xié)同工作的實現(xiàn)方法的一個實施例 中�,該實現(xiàn)方法還包括在客戶端與另外至少一個客戶端建立即時通信 聯(lián)系后����,根據(jù)用戶存儲在IM服務器上的好友列表,IM服務器將用戶 在線的相關(guān)信息發(fā)送給用戶在線的IM好友���。
本發(fā)明提供的遠程接入條件下協(xié)同工作的實現(xiàn)方法的一個實施例 中�����,用戶在線的相關(guān)信息包括用戶的在線狀態(tài)����、IP地址和客戶端的 TCP/UDP端口號中的至少 一個��,
本發(fā)明另一個方面提供了一種遠程接入條件下實現(xiàn)協(xié)同工作的 IPSec網(wǎng)關(guān)����,該IPSec網(wǎng)關(guān)包括認證模塊��,用于接收來自客戶端的用 戶的認證請求,并將用戶的認證信息轉(zhuǎn)發(fā)到AAA服務器進行認證���; IPSec隧道建立模塊��,用于接收到AAA服務器的授權(quán)信息后���,建立與 客戶端之間的IPSec隧道;IM聯(lián)系建立模塊�,用于通過IPSec隧道接收客戶端的用戶的IM登陸請求,并將用戶的IM登陸信息轉(zhuǎn)發(fā)到IM 服務器以使客戶端與另外至少一個客戶端建立即時通信聯(lián)系���。
本發(fā)明另一個方面提供了一種遠程接入條件下實現(xiàn)協(xié)同工作的 IPSec網(wǎng)關(guān)���,其中認證請求包含用戶的認證信息,IM登陸請求包含用 戶的IM登陸信息�����。
本發(fā)明另一個方面提供了一種具有IPSec網(wǎng)關(guān)的遠程接入條件下協(xié) 同工作的實現(xiàn)系統(tǒng)��,該實現(xiàn)系統(tǒng)還包括AAA服務器��,用于接收IPSec 網(wǎng)關(guān),轉(zhuǎn)發(fā)的用戶的認證信息�,并對用戶的認證信息進行認證;通過對 用戶的認證信息的認證后�����,向IPSec網(wǎng)關(guān)����,發(fā)送授權(quán)信息;以及IM服 務器����,用于接M戶端經(jīng)由IPSec隧道發(fā)送的用戶的IM登陸請求;驗 證用戶的身份�����;通過身份驗證后���,向IPSec網(wǎng)關(guān)發(fā)送用戶登陸IM服務 器成功的標識��,并記錄用戶登陸的客戶端信息����。
本發(fā)明提供的遠程接入條件下協(xié)同工作的實現(xiàn)系統(tǒng)的一個實施例 中,該實現(xiàn)系統(tǒng)還包括用戶數(shù)據(jù)庫�,用于保存用戶的已審核信息,并 在IM服務器!HiE用戶的身份時���,提供用戶的已審核信息作為發(fā)汪的基 準。
本發(fā)明提供的遠程接入條件下協(xié)同工作的實現(xiàn)系統(tǒng)的一個實施例 中���,該實現(xiàn)系統(tǒng)還包括內(nèi)部公共資源服務器��,其包括辦公自動化服務 器����、電子郵件服務器和/或文件共享服務器�。
本發(fā)明提供的在遠程接入條件下協(xié)同工作的實現(xiàn)方法和系統(tǒng)中, 其利用IPSec網(wǎng)關(guān)的NAT-T功能��,繞開了 IM系統(tǒng)為實現(xiàn)穿越而借助中 繼服務器/第三方實現(xiàn)IM交互的難題�;將IPSec技術(shù)、IM技術(shù)和AAA 技術(shù)集成在一起�����,降低了 IM系統(tǒng)實現(xiàn)的復雜性��,最大限度利用了企事 業(yè)單位的已有網(wǎng)絡資源;這樣可以大大減少為實現(xiàn)協(xié)同工作而進行軟 硬件開發(fā)的投資成本�,還能減輕企事業(yè)單位對于龐大的網(wǎng)路的維護成 本。
圖1示出根據(jù)本發(fā)明的遠程接入條件下協(xié)同工作的實現(xiàn)方法的一個
8實施例的流程圖2示出根據(jù)本發(fā)明的遠程接入a下協(xié)同工作的實現(xiàn)方法的一個 實施例的流程圖3示出根據(jù)本發(fā)明的遠程接入條件下實現(xiàn)協(xié)同工作的IPSec網(wǎng)關(guān) 的一個實施例的結(jié)構(gòu)示意圖4示出根據(jù)本發(fā)明的遠程接入a下協(xié)同工作的實現(xiàn)系統(tǒng)的一個 實施例的結(jié)構(gòu)示意圖5示出根據(jù)本發(fā)明的遠程接入條件下協(xié)同工作的實現(xiàn)方法的一個 具體應用例的流程示意圖���。
具體實施例方式
下面參照附圖對本發(fā)明進行更全面的描述��,其中說明本發(fā)明的示例 性實施例�����。
圖1示出根據(jù)本發(fā)明的遠程接入條件下協(xié)同工作的實現(xiàn)方法的一個 實施例的流程圖��。
如圖1所示��,步驟102,互聯(lián)網(wǎng)協(xié)議安全制式(IPSec��, Internet Protocol Security)網(wǎng)關(guān)將用戶認證信息轉(zhuǎn)發(fā)到認證/授W計費(AAA, Authorization, Authentication & Accounting)月良務器���。本發(fā)明中的客戶 端集成有IM工具軟件,可以提供即時通信的功能�;本發(fā)明中提及的客 戶端指的都是集成有IM工具軟件的IPSec客戶端,簡稱為"IPSec集成 客戶端"�����。該IPSec集成客戶端主要用于實現(xiàn)遠程接入用戶與其它用戶 開展協(xié)同工作;其中��,IM工具主要用于實現(xiàn)包含文本����、音頻和視頻等 信息的交互。在本發(fā)明的一個實施例中����,用戶通it^戶端向IPSec網(wǎng)關(guān) 發(fā)送遠程接入請求�,IPSec網(wǎng)關(guān)接收到來自客戶端的用戶的認證請求 后,IPSec網(wǎng)關(guān)將把IPSec集成客戶端輸入的用戶認證信息(如用于遠 程接入認證的用戶名和登陸密碼等身份信息)轉(zhuǎn)發(fā)到AAA服務器進行 認證0
步驟104�����, IPSec網(wǎng)關(guān)建立與客戶端之間的IPSec隧道�����。例如����, IPSec網(wǎng)關(guān)接收到AAA服務器發(fā)送的認證通過的授權(quán)信息后,IPSec網(wǎng)關(guān)建立與該客戶端之間的IPSec隧道����。由于IPSec網(wǎng)關(guān)和IPSec集成客 戶端都是設置在NAT/防火墻之后����,所以通過在IPSec網(wǎng)關(guān)和IPSec集 成客戶端之間建立IPSec隧道后實現(xiàn)了 IPSec隧道的NAT/防火墻的穿 越��。在IPSec隧道建立后�,客戶端能夠經(jīng)由IPSec隧道、依照相應權(quán)限 對內(nèi)部公共/共享資源進^H方問���。本發(fā)明中采用的IPSec網(wǎng)關(guān)和IPSec集 成客戶端都具有NAT-T功能���,稍后對NAT/防火墻穿越技術(shù)進行簡要介 紹。
步驟106�����,通過IPSec隧道將用戶的IM登陸信息轉(zhuǎn)發(fā)到IM服務 器���。例如����,IPSec網(wǎng)關(guān)通過IPSec隧道接收來自客戶端的用戶的IM登 陸請求�,并將該用戶的IM登陸信息(如用戶名和登陸密碼等身份信 息)轉(zhuǎn)發(fā)到IM服務器進行用戶身份驗證���。步驟108, IM服務器記錄用 戶登陸的客戶端信息以使IM客戶端與另外至少一個客戶端建立IM聯(lián) 系�。例如,當用戶通過IM服務器的身份JiHiE后�����,IM服務器將記錄用 戶登陸的客戶端信息�,如客戶端的IP地址和/或客戶端的TCP/UDP端 口 (port)號等信息。當用戶存在協(xié)同工作需求時����,請求建立協(xié)同工作 的用戶可以根據(jù)IM服務器中記錄的另外至少一個用戶的客戶端信息��, 直接與其它用戶的客戶端建立IPSec連接���,并在IPSec隧道的基礎上建 立與其它用戶的IM聯(lián)系����,從而實現(xiàn)遠程登陸的不同用戶之間開展協(xié)同 工作���?����;贗M的協(xié)同工作使得建立IM聯(lián)系的參與各方都能通過IM 軟件實現(xiàn)溝通(如MSN的商談工作事宜等),此外�����,還應能實現(xiàn)文檔共 享���、流程共享和代碼共享等功能��。例如�����,在利用MSN實現(xiàn)協(xié)同工作 中��,其"共享文件夾��,�����,功能可以實現(xiàn)多方共同編輯文檔的功能����。
本發(fā)明中提及"NAT/防火墻穿越,��,技術(shù)指的是對NAT以及防火墻的 穿越���。為解決互聯(lián)網(wǎng)協(xié)議第四版(IPv4����, Internet Protocol Version 4) 公有地址不足的問題��,很多單位采取在網(wǎng)絡出口放置NAT設備的技術(shù) 方案��。另外���,為了信息安全����,很多單位會在網(wǎng)絡出口設置防火墻�,防火 墻通常也具備NAT功能�。NAT-T是IETF提出的基于標準的IPsec over UDP方案,屬于IEFT標準�。本發(fā)明利用該技術(shù)實現(xiàn)IPSec隧道的 NAT/防火墻穿越。NAT-T技術(shù)可探測IPSEC隧道經(jīng)過路徑是否存在
10NAT,并能穿越NAT。 "NAT/防火墻穿越"是指對NAT和防火墻的穿 越�����,IPSec隨道穿越NAT/防火墻的實現(xiàn)手段相同�。
本發(fā)明提供的遠程接入條件下協(xié)同工作的實現(xiàn)方法的一個實施例 中,該實現(xiàn)方法還可以包括在步驟102之前�,客戶端向IPSec網(wǎng)關(guān)發(fā) 送認證請求,并請求建立IPSec隧道���;其中認證請求包含該用戶的認證 信息���。
本發(fā)明提供的遠程接入條件下協(xié)同工作的實現(xiàn)方法的一個實施例 中,該實現(xiàn)方法還包括在步驟102之后�����、步驟106之前�����,AAA服務 器接收IPSec網(wǎng)關(guān)轉(zhuǎn)發(fā)的用戶的認證信息后對該用戶進行認證��;如果 AAA服務器未通過對該用戶的認證信息的認證����,則AAA服務器向 IPSec網(wǎng)關(guān)發(fā)送指令��,IPSec網(wǎng)關(guān)拒絕提供服務(拒絕該用戶遠程接 入)����;以及如果AAA服務器通過對該用戶的認證信息的認證����,貝'J AAA 服務器向IPSec網(wǎng)關(guān)發(fā)送允許該用戶遠程接入的授權(quán)信息(如用戶訪問 內(nèi)部網(wǎng)絡的權(quán)限、訪問的速率�,以及是否可4吏用IM功能等中的至少一個)。
本發(fā)明提供的遠程接入條件下協(xié)同工作的實現(xiàn)方法的一個實施例 中��,該實現(xiàn)方法還包括在步驟106中��,IM服務器收到用戶的IM登 陸請求后���,IM服務器從用戶數(shù)據(jù)庫中讀取該用戶的已審核信息�����;通過 將IM服務器接收到的用戶的IM登陸信息與該用戶的已審核信息進行 比對來驗證用戶身份;如果該用戶通過身份!HiE���,則IM服務器記錄用 戶登陸的客戶端信息后�,返回用戶登錄成功的標識;以及如果該用戶未 通過身份驗證����,則IM服務器拒絕用戶登陸。
本發(fā)明提供的遠程接入條件下協(xié)同工作的實現(xiàn)方法的一個實施例 中���,該實現(xiàn)方法還包括在步驟108中�,根據(jù)用戶存儲在IM服務器上 的好友列表���,IM服務器將該用戶在線的相關(guān)信息發(fā)送給在線的IM好 友�。其中����,該用戶在線的相關(guān)信息包括在線狀態(tài)、客戶端的IP地址����, 以;^:戶端的TCP/UDP端口號等中的至少一個。
本發(fā)明提供的遠程接入條件下協(xié)同工作的實現(xiàn)方法集成了 IPSec技 術(shù)��、IM技術(shù)和AAA技術(shù)���,為具有遠程接入和協(xié)同辦公需求的企事業(yè)單
ii位提供了一種安全�����、快捷且低成本的協(xié)同工作方式�,最大限度保護企事 業(yè)單位的已有投資。
圖2示出根據(jù)本發(fā)明的遠程接入條件下協(xié)同工作的實現(xiàn)方法的一個 實施例的流程圖����。
如圖2所示,步驟202�, IPSec網(wǎng)關(guān)將用戶的認證信息轉(zhuǎn)發(fā)到AAA 服務器進行認證。例如�,用戶通it^戶端向IPSec網(wǎng)關(guān)發(fā)送遠程接入請 求,IPSec網(wǎng)關(guān)接收到來自客戶端的用戶的認證請求后��,IPSec網(wǎng)關(guān)將 IPSec集成客戶端輸入的用戶認證信息(如用于遠程接入認證的用戶名 和密碼等身份信息)轉(zhuǎn)發(fā)到AAA服務器�,AAA服務器收到用戶認證信 息后對該用戶進行身份認證。如果AAA服務器通過對該用戶認證信息 的認證后��,則執(zhí)行步驟204;否則����,執(zhí)行步驟212。
步驟204����, IPSec網(wǎng)關(guān)建立與客戶端之間的IPSec隧道。例如�, IPSec網(wǎng)關(guān)收到AAA服務器發(fā)送的認證通過的授權(quán)信息后,IPSec網(wǎng)關(guān) 建立與客戶端之間的IPSec隧道�。在IPSec隧道建立后,客戶端能夠經(jīng) 由IPSec隧道�����、依照相應權(quán)限對內(nèi)部公共/共享資源進行訪問�。本發(fā)明中 IPSec網(wǎng)關(guān)和客戶端支持NAT-T功能。
步驟206�����, IPSec隧道將用戶的IM登陸信息轉(zhuǎn)發(fā)到IM服務器進行 驗證�。例如,IPSec網(wǎng)關(guān)通過IPSec隧道將用戶的IM登陸信息(如用 戶登陸IM工具軟件的用戶名和密碼等身份信息)轉(zhuǎn)發(fā)到IM服務器��, IM服務器將客戶端輸入的用戶的IM登陸信息與已審核信息進行比對 來發(fā)汪用戶身份�����,如果IM服務器通過對該用戶的身份!Hi���,則執(zhí)行步 驟208;否則�,執(zhí)行步驟214。
步驟208��, IM服務器記錄用戶登陸的客戶端信息����。例如,用戶通 過IM服務器的身份驗證后�����,IM服務器將記錄用戶登陸的客戶端信息 (如客戶端的IP地址和/或客戶端的TCP/UDP端口號等信息)���。
步驟210����,客戶端與另外至少一個客戶端建立IM聯(lián)系�����。例如��,當 用戶存在協(xié)同工作需求時,請求建立協(xié)同工作的用戶根據(jù)IM服務器中 記錄的另外至少一個用戶的客戶端信息���,與其它用戶的客戶端建立 IPSec連接���,并在IPSec隧道的基礎上建立IM聯(lián)系,從而實現(xiàn)遠程登陸的不同用戶之間開展協(xié)同工作�。
步驟212�, IPSec網(wǎng)關(guān)拒絕用戶遠程接入。例如��,AAA服務器指示 IPSec網(wǎng)關(guān)拒絕提供服務�����,用戶無法通過IPSec集成客戶端遠程接入?yún)f(xié) 同工作系統(tǒng)中���,該用戶被拒絕訪問企業(yè)或單位的內(nèi)部共享資源���。
步驟214, IM服務器拒絕用戶登陸�����。用戶可以具有訪問企業(yè)或單 位的內(nèi)部共享資源的權(quán)限�����,但無法通過IM服務器與其它用戶建立協(xié)同 工作的聯(lián)系。
本發(fā)明提供的遠程接入條件下協(xié)同工作的實現(xiàn)方法的一個實施例 中�,該實現(xiàn)方法還包括在步驟202之前,用戶通過客戶端向IPSec網(wǎng) 關(guān)發(fā)送認證請求��,并請求建立IPSec隧道��;其中認證請求包含該用戶的 認證信息���。
本發(fā)明提供的遠程接入條件下協(xié)同工作的實現(xiàn)方法的一個實施例 中����,該實現(xiàn)方法還包括在步驟202中�,AAA服務器通過對該用戶的 認證信息的認證之后,AAA服務器向IPSec網(wǎng)關(guān)發(fā)送授權(quán)信息�。其 中,授權(quán)信息可以包括用戶訪問內(nèi)部網(wǎng)絡的權(quán)限��、訪問的速率���,以及 是否可使用IM功能等中的至少一個����。
本發(fā)明提供的遠程接入條件下協(xié)同工作的實現(xiàn)方法的一個實施例 中,該實現(xiàn)方法還包括在步驟206中�,IM月良務器收到用戶的IM登 陸請求后,該IM服務器從用戶數(shù)據(jù)庫中讀取用戶的已審核信息���;通過 將IM服務器接收到的用戶的IM登陸信息與用戶的已審核信息進行比 對來驗證用戶身份����;如果用戶通過身份mt�,則IM服務器記錄用戶登 陸的客戶端信息后�,返回用戶登錄成功的標識;以及如果用戶未通過身 份驗證����,則IM服務器拒絕用戶登陸。
本發(fā)明提供的遠程接入條件下協(xié)同工作的實現(xiàn)方法的一個實施例 中���,該實現(xiàn)方法還包括在步驟208中����,根據(jù)用戶存儲在IM服務器上 的好友列表�,IM服務器將用戶在線的相關(guān)信息發(fā)送給該用戶在線的IM 好友。其中,用戶在線的相關(guān)信息包括在線狀態(tài)�、IP地址和客戶端的 TCP/UDP端口號中的至少一個。
本發(fā)明提供的遠程接入條件下協(xié)同工作的實現(xiàn)方法�����,在IPSec網(wǎng)關(guān)和IPSec集成客戶端之間建立IPSec隧道����,利用IPSec隧道的NAT-T功能,實現(xiàn)NAT/防火墻的穿越����,繞開了 IM系統(tǒng)為實現(xiàn)穿越而借 助中繼服務器/第三方實現(xiàn)IM交互的難題,降低了 IM系統(tǒng)實現(xiàn)的復 雜性��。企事業(yè)單位可在原有網(wǎng)絡設施的基礎上���,通過業(yè)務外包外包/ 合作開發(fā)的方式使用外部資源(如AAA服務器���、IPSec網(wǎng)關(guān),以及 IM服務器等相關(guān)設施)��,這樣可以極大提升大大減少為實現(xiàn)協(xié)同工 作而進行軟硬件開發(fā)的投資成本��,還能減輕企事業(yè)單位對于龐大的網(wǎng) 路的維護成本。
圖3示出根據(jù)本發(fā)明的遠程接入條件下實現(xiàn)協(xié)同工作的IPSec網(wǎng)關(guān) 的一個實施例的結(jié)構(gòu)示意圖���。如圖3所示��,遠程接入條件下實現(xiàn)協(xié)同工 作的IPSec網(wǎng)關(guān)300包括認證模塊3002��、 IPSec隧道建立模塊3004 和IM聯(lián)系建立模塊3006�����。
其中認佐漠塊3002����,用于接收來自客戶端318的用戶的認證請求�, 并將用戶的認證信息轉(zhuǎn)發(fā)到AAA服務器302進行認證����;
IPSec隧道建立模塊3004,用于接收到AAA服務器302的授權(quán)信 息后�,建立與客戶端318之間的IPSec隧道;
IM聯(lián)系建立模塊3006,用于通過IPSec隧道接^戶端318的用 戶的IM登陸請求����,并將用戶的IM登陸信息轉(zhuǎn)發(fā)到IM服務器306以 使客戶端與另外至少一個客戶端318建立即時通信聯(lián)系����。
本發(fā)明提供的遠程接入條件下實現(xiàn)協(xié)同工作的IPSec網(wǎng)關(guān)的一個實 施例中�����,認證請求包含用戶的認證信息�����,IM登陸請求包含用戶的IM 登陸信息����。
本發(fā)明提供的遠程接入條件下實現(xiàn)協(xié)同工作的IPSec網(wǎng)關(guān)的一個實 施例中,IPSec網(wǎng)關(guān)300還可以連接有內(nèi)部公共資源服務器(包括辦公 自動化服務器312���、電子郵件服務器314和/或文件共享服務器316)�, 用于向遠程接入的用戶提供企事業(yè)單位內(nèi)部共享的公共資源�。本發(fā)明 中,IPSec網(wǎng)關(guān)300��、 IM服務器306���、內(nèi)部公共資源服務器310和 IPSec集成客戶端318等共同構(gòu)成VPN�。 IPSec隧道保證了 IPSec集成 客戶端318之間以及IPSec客戶端318到內(nèi)部公共資源服務器310的訪問是安全可靠的,IPSec客戶端與內(nèi)部公共資源服務器�、IM登錄服務 器等共同組成VPN。
圖4示出根據(jù)本發(fā)明的遠程接入M下協(xié)同工作的實現(xiàn)系統(tǒng)的一個 實施例的結(jié)構(gòu)示意圖��。如圖4所示����,遠程接入條件下協(xié)同工作的實現(xiàn)系 統(tǒng)400包括AAA服務器402、 IPSec網(wǎng)關(guān)404和IM服務器406�。
其中AAA服務器402,用于接收IPSec網(wǎng)關(guān)404轉(zhuǎn)發(fā)的用戶的認 證信息����,并對用戶的認證信息進行認證;通過對用戶的認證信息的認證 后����,向IPSec網(wǎng)關(guān)404發(fā)送授權(quán)信息。
IPSec網(wǎng)關(guān)404�����,用于接收來自客戶端418的用戶發(fā)送的認證請 求��,并將該用戶的認證信息轉(zhuǎn)發(fā)到AAA服務器402進行認證�;收到 AAA服務器402發(fā)送的授權(quán)信息后,IPSec網(wǎng)關(guān)404建立與客戶端418 之間的IPSec隧道����;IPSec網(wǎng)關(guān)通過IPSec隧道接4t^戶端的用戶的IM 登陸請求,并將該用戶的IM登陸信息轉(zhuǎn)發(fā)到IM服務器406;收到用 戶登陸IM服務器406成功的標識后����,在IPSec隧道的^sfe上建立與另 外至少一個客戶端的IM聯(lián)系;其中�,授權(quán)信息包括用戶訪問內(nèi)部網(wǎng) 絡的權(quán)限、訪問的速率����,以及是否可使用IM功能等中的至少一個。
IM服務器406��,用于接M戶端418經(jīng)由IPSec隧道發(fā)送的用戶 的IM登陸請求�;驗證用戶的IM登陸信息;通過身份驗證后����,向 IPSec網(wǎng)關(guān)發(fā)送用戶登陸IM服務器成功的標識,并記錄該用戶登陸的 客戶端信息�。其中,用戶的登陸信息包括用戶使用的IP地址和/或客 戶端的TCP/UDP端口號���。
本發(fā)明提供的遠程接入條件下協(xié)同工作的實現(xiàn)系統(tǒng)的一個實施例 中�����,該實現(xiàn)系統(tǒng)400還包括用戶數(shù)據(jù)庫408�����,其與IM服務器406連 接��,用于保存用戶的已審核信息(如用戶名���、密碼和/或校驗碼等)����,并 在IM服務器406 !Hit用戶身份時����,提供用戶的已審核信息作為臉汪用 戶身份的基準。
本發(fā)明提供的遠程接入條件下協(xié)同工作的實現(xiàn)系統(tǒng)的一個實施例 中����,該實現(xiàn)系統(tǒng)400還包括與IPSec網(wǎng)關(guān)404連接的內(nèi)部^^共資源服務 器410��,其包括辦公自動化服務器412、電子郵件服務器414和/或文件
15共享服務器416����,用于向遠程接入的用戶提供企事業(yè)單位內(nèi)部共享的公 共資源。本發(fā)明中�,IPSec網(wǎng)關(guān)404、 IM服務器406�、內(nèi)部公共資源服 務器410和IPSec集成客戶端418等共同構(gòu)成VPN。 IPSec隧道保證了 IPSec集成客戶端418之間以及IPSec客戶端418到內(nèi)部公共資源服務 器410的訪問是安全可靠的�,由IPSec客戶端與內(nèi)部公共資源服務器、 IM登錄服務器等共同組成VPN����。
本發(fā)明提供的遠程接入條件下協(xié)同工作的實現(xiàn)系統(tǒng)的一個實施例 中,如果AAA服務器402未通過對用戶認證信息的認證��,則該AAA 服務器402向IPSec網(wǎng)關(guān)404發(fā)送指令���,指示IPSec網(wǎng)關(guān)404拒絕提供 向該用戶遠程接入服務�����。
本發(fā)明提供的遠程接入條件下協(xié)同工作的實現(xiàn)系統(tǒng)的一個實施例 中��,在IPSec隧道建立后�����,客戶端418能夠經(jīng)由IPSec隧道���、依照相 應權(quán)限對內(nèi)部公共資源服務器410進行訪問�����。
本發(fā)明提供的遠程接入條件下協(xié)同工作的實現(xiàn)系統(tǒng)的一個實施例 中��,IM服務器406根據(jù)用戶存儲在其上的好友列表����,可以將該用戶 在線的相關(guān)信息發(fā)送給該用戶在線的IM好友�;其中,該用戶在線的 相關(guān)信息包括在線狀態(tài)��、IP地址和客戶端的TCP/UDP端口號中的至 少一個�。
本發(fā)明提供的遠程接入條件下協(xié)同工作的實現(xiàn)系統(tǒng)的一個實施例 中,IPSec網(wǎng)關(guān)404和客戶端418支持NAT-T功能���。
本發(fā)明提供的遠程接入條件下協(xié)同工作的實現(xiàn)方法及其系統(tǒng)只需 對有需求的企事業(yè)單位(如具有分支機構(gòu)或駐外辦事處等)進行內(nèi)部 部署����,具體來說就是改造IM服務器以及部署IPSec網(wǎng)關(guān)等工作;因 此����,實現(xiàn)起來較為簡單���,易于部署���,并且改造成本較少。而且����, IPSec網(wǎng)關(guān)與IM服務器以及客戶端之間執(zhí)行標準的IPSec協(xié)議, IPSec網(wǎng)關(guān)與AAA服務器采用遠程認證撥號用戶業(yè)務(RADIUS) / 終端接入控制者接入控制系統(tǒng)協(xié)議(TACACS+, TACACS的升級協(xié) 議���,也是一種AAA協(xié)議)��。由于本發(fā)明在標準協(xié)議的框架下構(gòu)建��, 因而其標準化的協(xié)議接口更有利于第三方實施集成開發(fā)�,同時能夠最 16大限度保護原有網(wǎng)絡資源和固有投資����。
圖5示出根據(jù)本發(fā)明的遠程接入條件下協(xié)同工作的實現(xiàn)方法的一個 具體應用例的流程示意圖���。以某企業(yè)為例,其擁有大量分支機構(gòu)�����,各分 支機構(gòu)之間存在協(xié)同工作需求���。為最大限度保護原有投資��,該企業(yè)與電 信運營商合作,在原有設備基礎上����,由電信運營商為其提供IPSec網(wǎng) 關(guān)���、AAA認證功能���、IPSec集成客戶端及IM服務器等服務,共同實現(xiàn) 遠程接入條件下的協(xié)同工作�����。
如圖5所示,步驟502����,用戶請求建立IPSec隧道。本發(fā)明的一個 實施例中��,用戶通過IPSec集成客戶端向IPSec網(wǎng)關(guān)發(fā)送遠程接入請 求�,并請求建立IPSec隧道�。遠程接入請求包含該客戶端用戶的遠程接 入認證信息。本發(fā)明中IPSec網(wǎng)關(guān)和客戶端支持NAT-T功能��。
步驟504�, IPSec網(wǎng)關(guān)將客戶端輸入的用戶認證信息轉(zhuǎn)發(fā)到AAA服 務器。例如����,IPSec網(wǎng)關(guān)將IPSec集成客戶端輸入的用戶認證信息(如 用于遠程接入認證的用戶名和密碼等身份信息)轉(zhuǎn)發(fā)到AAA服務器進 行認證0
步驟506, AAA服務器對用戶的認證信息進行認證��。如果AAA服 務器通過對該用戶認證信息的認證���,則執(zhí)行步驟508;否則�����,執(zhí)行步驟 522�。
步驟508, AAA服務器向IPSec網(wǎng)關(guān)發(fā)送授權(quán)信息�����。例如��,在步驟 506中AAA服務器通過對用戶認證信息的認證���,則AAA服務器向 IPSec網(wǎng)關(guān)發(fā)送授權(quán)信息���。其中,授權(quán)信息包括用戶訪問內(nèi)部網(wǎng)絡的權(quán) 限��、訪問的速率�����,以及是否可使用IM功能中的至少一個���。
步驟510���, IPSec網(wǎng)關(guān)建立與客戶端之間的IPSec隧道�����。例如�, IPSec網(wǎng)關(guān)收到AAA服務器發(fā)送的認證通過的授權(quán)信息后�,IPSec網(wǎng) 關(guān)建立與IPSec集成客戶端之間的IPSec隧道。在IPSec隧道建立后����, 客戶端能夠經(jīng)由IPSec隧道、依照相應權(quán)P艮對內(nèi)部公共/共享資源進行訪 問����;同時該用戶還可以經(jīng)由所建立的IPSec隧itX起對IM服務器進行 訪問�����。
步驟512�����, IPSec網(wǎng)關(guān)將用戶IM登錄信息轉(zhuǎn)發(fā)給IM服務器�。例如,通過步驟510建立的IPSec隧道����,IPSec網(wǎng)關(guān)將通it^戶端輸入的 用戶IM登錄信息(如登錄IM服務器的用戶名和密碼等身份信息)轉(zhuǎn) 發(fā)到IM服務器進行身份驗證��。
步驟514, IM服務器對用戶的IM登錄信息進行驗證��。例如��,IM 服務器從用戶數(shù)據(jù)庫中讀取用戶的已審核信息��,通過將收到的用戶IM 登陸信息與用戶的已審核信息進行比對來驗證用戶身份�。如果IM服務 器通過對用戶身份信息的驗證�,則執(zhí)行步驟516;否則,執(zhí)行步驟 524����。
步驟516, IM服務器記錄用戶登陸的信息�����。例如���,在步驟514 中���,用戶通過AAA服務器對其身份的驗證���,則IM服務器記錄該用戶 登陸的客戶端信息(如客戶端的IP地址和/或客戶端的TCP/UDP端口 號等信息)后,返回用戶登錄成功的標識��。
步驟518, IM服務器將用戶在線的相關(guān)信息發(fā)送給在線的IM好 友��。例如���,根據(jù)用戶存儲在IM服務器上的好友列表����,IM服務器將用 戶在線的相關(guān)信息發(fā)送給在線的IM好友����。其中�����,用戶在線的相關(guān)信息 包括在線狀態(tài)�����、IP地址和客戶端的TCP/UDP端口號等中的至少一個���。
步驟520���,客戶端與另外至少一個客戶端建立IM聯(lián)系�����。例如�,遠 程接入的用戶存在協(xié)同工作需求���,則請求建立協(xié)同工作的用戶可以根據(jù) IM服務器中記錄的其它用戶的客戶端信息����,與其它用戶的客戶端建立 IPSec連接����,并在IPSec隧道的基礎上建立IM聯(lián)系,從而實現(xiàn)遠程登 陸的用戶與該企事業(yè)單位其它分支機構(gòu)的員工之間開展合作�����、協(xié)同工 作���。在本發(fā)明的一個實施例中�,其它客戶端可以是一個、兩個或多個客 戶端����。
步驟522, IPSec網(wǎng)關(guān)拒絕用戶遠程接入���。例如�,在步驟506中����, 用戶的IM登錄信息未通過AAA服務器的驗證,那么AAA服務器指示 IPSec網(wǎng)關(guān)拒絕提供服務�,用戶無法通過IPSec集成客戶端遠程接入?yún)f(xié) 同工作系統(tǒng)中,該用戶3皮拒絕訪問企業(yè)或單位的內(nèi)部共享資源����。
步驟524, IM服務器拒絕用戶登陸��。例如����,在步驟514中,用戶 身份未通過IM服務器的驗證���,那么用戶仍然具有訪問企業(yè)或單位的內(nèi)部共享資源的權(quán)限��,但無法通過IM服務器與其它用戶建立協(xié)同工作的 聯(lián)系�����。
本發(fā)明提供的遠程接入條件下協(xié)同工作的實現(xiàn)方法及其系統(tǒng)����,利用 IPSec網(wǎng)關(guān)的NAT-T功能�,繞開了 IM系統(tǒng)為實現(xiàn)穿越需要借助中繼服 務器/第三方執(zhí)行IM交互時出現(xiàn)的技術(shù)難題;而且本發(fā)明將IPSec技 術(shù)����、IM技術(shù)和AAA技術(shù)有機地結(jié)合在一起,降低了遠程接入條件下協(xié) 同工作的實現(xiàn)系統(tǒng)組網(wǎng)的復雜性�����;同時還最大限度利用了企事業(yè)單位的 已有網(wǎng)絡資源�,為具有多分支機構(gòu)的企事業(yè)單位提供"遠程接入,����,和"協(xié) 同辦公���,,的工作模式����。參考前述本發(fā)明示例性的描述,本領(lǐng)域技術(shù)人員 可以清楚的知曉本發(fā)明具有以下優(yōu)點
1����、 實現(xiàn)簡單,易于部署實施����。
如果采用通用的協(xié)同工作軟件,通常需要將其與原有辦公網(wǎng)絡資源 (如Email���、 OA等辦公軟件服務器)緊密結(jié)合���、集成在一個系統(tǒng)中; 因此�����,需要對原有辦公網(wǎng)絡實施大規(guī)模改造��,甚至要重新部署���。本發(fā)明 提供的遠程接入條件下協(xié)同辦公的實現(xiàn)方法及其系統(tǒng)利用在IPSec網(wǎng)關(guān) 與客戶端之間形成的IPSec隧道的NAT-T功能����,繞開了 IM系統(tǒng)為實現(xiàn) 穿越而借助中繼服務器/第三方實現(xiàn)IM交互的難題����,只需對有協(xié)同工作 需求的企事業(yè)單位(如具有分支機構(gòu)或駐外辦事處等)進行內(nèi)部部署, 具體來說��,就是改造IM服務器以及部署IPSec網(wǎng)關(guān)等工作����;因此,實 現(xiàn)起來較為簡單��,易于部署�����,并且改造成本較少����。
2����、 采用標準化的協(xié)議接口����,易于擴展和集成,有利于保護原有投資���。
本發(fā)明提供的遠程接入條件下協(xié)同工作的實現(xiàn)方法及其系統(tǒng)中��, IPSec網(wǎng)關(guān)與IM服務器以a戶端之間執(zhí)行標準的IPSec協(xié)議��,IPSec 網(wǎng)關(guān)與AAA服務器采用遠程認證撥號用戶業(yè)務(RADIUS) /終端接入 控制者接入控制系統(tǒng)協(xié)議(TACACS+ )���。由于本發(fā)明在標準協(xié)議的框架 下構(gòu)建,因而其標準化的協(xié)議接口更有利于第三方實施集成開發(fā)��,同時 能夠最大限度保護原有網(wǎng)絡資源和固有投資�。
3、 企事業(yè)單位可以通過合作/外包方式實現(xiàn)遠程接入條件下的協(xié)同工作����。
本發(fā)明提供的遠程接入條件下協(xié)同工作的實現(xiàn)方法及其系統(tǒng)中����,企 事業(yè)單位可在原有網(wǎng)絡設施的基礎上�����,通過將相關(guān)業(yè)務外包或與網(wǎng)絡設
備商開展合作開發(fā)的方式使用外部資源(如由電信運營商來提供AAA 服務器��、IPSee網(wǎng)關(guān)�,以及IM服務器等相關(guān)設施)��;將IPSec技術(shù)����、 IM技術(shù)和AAA技術(shù)集成在一起,降低了 IM系統(tǒng)實現(xiàn)的復雜性����,最大 限度利用了企事業(yè)單位的已有網(wǎng)絡資源。這樣有利于利用現(xiàn)有網(wǎng)絡技術(shù) 及其提供的通用網(wǎng)絡資源��,而且可以大大減少為實現(xiàn)協(xié)同工作而進行軟 硬件開發(fā)的投資成本���,還能減輕企事業(yè)單位對于龐大的網(wǎng)路的維護成 本����。
本發(fā)明的實施例是為了示例和描述起見而給出的,而并不是無遺漏 的或者將本發(fā)明限于所公開的形式�。很多修改和變化對于本領(lǐng)域的普通
技術(shù)人員而言是顯而易見的。選擇和描述實施例是為了更好說明本發(fā)明 的原理和實際應用����,并且使本領(lǐng)域的普通技術(shù)人員能夠理解本發(fā)明從而 設計適于特定用途的帶有各種修改的各種實施例。
權(quán)利要求
1.一種遠程接入條件下協(xié)同工作的實現(xiàn)方法����,其特征在于所述實現(xiàn)方法包括IPSec網(wǎng)關(guān)接收來自客戶端的用戶的認證請求,并將所述用戶的認證信息轉(zhuǎn)發(fā)到AAA服務器進行認證��;所述IPSec網(wǎng)關(guān)接收到所述AAA服務器的授權(quán)信息后���,建立與所述客戶端之間的IPSec隧道��;所述IPSec網(wǎng)關(guān)通過所述IPSec隧道接收所述客戶端的用戶的IM登陸請求����,并將所述用戶的IM登陸信息轉(zhuǎn)發(fā)到IM服務器以使所述客戶端與另外至少一個客戶端建立即時通信聯(lián)系�����。
2. 根據(jù)權(quán)利要求l所述的實現(xiàn)方法,其特征在于��,所述實現(xiàn)方法包 括在所述IPSec網(wǎng)關(guān)接^戶端的用戶的認證請求之前�����,所^戶端 向所述IPSec網(wǎng)關(guān)發(fā)送認證請求����,并請求建立所述IPSec隧道���;其中所 迷認證請求包含所迷用戶的認證信息�。
3. 根據(jù)權(quán)利要求l所述的實現(xiàn)方法�����,其特征在于�����,所述實現(xiàn)方法還 包括所述AAA服務器接收所述IPSec網(wǎng)關(guān)轉(zhuǎn)發(fā)的所迷用戶的認證信 息后對所述用戶進行i人證�����;如果所述AAA服務器未通過對所述用戶的認證信息的認證,則所 述AAA服務器向所述IPSec網(wǎng)關(guān)發(fā)送指令��,拒絕所述用戶遠程接入�����; 以及如果所述AAA服務器通過對所述用戶的認證信息的認證���,則所述 AAA服務器向所述IPSec網(wǎng)關(guān)發(fā)送允許用戶遠程接入的授權(quán)信息�����。
4. 根據(jù)權(quán)利要求3所述的實現(xiàn)方法���,其特征在于,所述授權(quán)信息包 括所迷用戶訪問內(nèi)部網(wǎng)絡的權(quán)限����、訪問的速率和是否可使用IM功能 中的至少一個。
5. 根據(jù)權(quán)利要求l所述的實現(xiàn)方法�����,其特征在于,所述實現(xiàn)方法還 包括所迷IPSec網(wǎng)關(guān)將所述用戶的IM登陸信息轉(zhuǎn)發(fā)到所述IM服務器后����,所述IM服務器從用戶數(shù)據(jù)庫中讀取所述用戶的已審核信息;通過將所述IM服務器接收到的所述用戶的IM登陸信息與所述用戶的已審核信息進行比對來mit所述用戶身份�����;如果所述用戶通過身份驗證�����,則所述IM服務器記錄所述用戶登陸的客戶端信息后�����,返回用戶登錄成功的標識�����;以及如果所述用戶未通過身份驗證����,則所述IM服務器拒絕所述用戶登陸���。
6. 根據(jù)權(quán)利要求5所述的實現(xiàn)方法�����,其特征在于��,所述用戶登陸的 客戶端信息包括所述用戶登陸的IP地址和/或所述客戶端的 TCP/UDP端口號��。
7. 根據(jù)權(quán)利要求l所述的實現(xiàn)方法�,其特征在于,所述實現(xiàn)方法還 包括在所述客戶端與另外至少一個客戶端建立即時通信聯(lián)系后�,根據(jù) 所述用戶存儲在所述IM服務器上的好友列表,所述IM服務器將所述 用戶在線的相關(guān)信息發(fā)送給所述用戶在線的IM好友���。
8. 根據(jù)權(quán)利要求7所述的實現(xiàn)方法����,其特征在于�����,所述用戶在線的 相關(guān)信息包括所述用戶的在線狀態(tài)���、IP地址和所述客戶端的 TCP/UDP端口號中的至少 一個�����。
9. 一種遠程接入條件下實現(xiàn)協(xié)同工作的IPSec網(wǎng)關(guān)���,其特征在于��, 所述IPSec網(wǎng)關(guān)(300)包括認證模塊(3002)��,用于接收來自客戶端(318)的用戶的認證請求�����,并 將所述用戶的認證信息轉(zhuǎn)發(fā)到AAA服務器(302)進行i人證�����;IPSec隧道建立模塊(3004)�,用于接收到所述AAA服務器(302)的授 權(quán)信息后��,建立與所^戶端(318)之間的IPSec隧道�;IM聯(lián)系建立才莫塊(3006)��,用于通過所述IPSec隧道接收所述客戶端 (302)的用戶的IM登陸請求��,并將所述用戶的IM登陸信息轉(zhuǎn)發(fā)到IM 服務器(306)以使所述客戶端與另外至少一個客戶端(318)建立即時通信 聯(lián)系。
10. 根據(jù)權(quán)利要求9所述的IPSec網(wǎng)關(guān)��,其特征在于�����,所述認證請 求包含所述用戶的認證信息�,所述IM登陸請求包含所述用戶的IM登陸信息。
11. 一種具有如權(quán)利要求9所述的IPSec網(wǎng)關(guān)的遠程接入條件下協(xié) 同工作的實現(xiàn)系統(tǒng)����,其特征在于,所述實現(xiàn)系統(tǒng)(400)還包括AAA服務器(402)��,用于接收所述IPSec網(wǎng)關(guān)(300�, 404)轉(zhuǎn)發(fā)的所迷 用戶的認證信息,并對所述用戶的認證信息進行認證�����;通過對所述用戶 的認證信息的認證后��,向所述IPSec網(wǎng)關(guān)(300�, 404)發(fā)送所述授權(quán)信 息;以及IM服務器(406)���,用于接收所述客戶端(418)經(jīng)由所述IPSec隧道發(fā) 送的所述用戶的IM登陸請求�;驗證所述用戶的身份;通過身份驗證 后�����,向所述IPSec網(wǎng)關(guān)發(fā)送所述用戶登陸IM服務器成功的標識����,并記 錄所述用戶登陸的客戶端信息。
12. 根據(jù)權(quán)利要求ll所述的實現(xiàn)系統(tǒng)����,其特征在于,所述實現(xiàn)系統(tǒng) (400)還包括用戶數(shù)據(jù)庫(408)�����,用于保存所述用戶的已審核信息����,并 在所述IM服務器(406)lHi所述用戶的身份時,提供所述用戶的已審核 信息作為驗證的基準��。
13. 根據(jù)權(quán)利要求ll所述的實現(xiàn)系統(tǒng)���,其特征在于�,所述實現(xiàn)系統(tǒng) (400)還包括內(nèi)部公共資源服務器(410)��,其包括辦公自動化服務器 (412)�、電子郵件服務器(414)和/或文件共享服務器(416)。
全文摘要
本發(fā)明公開一種遠程接入條件下協(xié)同工作的實現(xiàn)方法及其系統(tǒng)�,所述方法包括IPSec網(wǎng)關(guān)接收來自客戶端的用戶的認證請求,并將用戶的認證信息轉(zhuǎn)發(fā)到AAA服務器進行認證����;IPSec網(wǎng)關(guān)接收到AAA服務器的授權(quán)信息后,建立與客戶端之間的IPSec隧道����;IPSec網(wǎng)關(guān)通過IPSec隧道接收客戶端的用戶的IM登陸請求,并將用戶的IM登陸信息轉(zhuǎn)發(fā)到IM服務器以使客戶端與另外至少一個客戶端建立即時通信聯(lián)系�����。本發(fā)明利用IPSec網(wǎng)關(guān)的NAT-T功能����,繞開了系統(tǒng)為實現(xiàn)穿越而借助中繼服務器/第三方發(fā)生的IM交互難題,將IPSec技術(shù)�����、IM技術(shù)和AAA技術(shù)結(jié)合起來,降低了系統(tǒng)實現(xiàn)的復雜性�,為具有多分支機構(gòu)的企事業(yè)單位提供“遠程接入”和“協(xié)同辦公”的實現(xiàn)方式。
文檔編號H04L9/32GK101667918SQ20091020487
公開日2010年3月10日 申請日期2009年10月15日 優(yōu)先權(quán)日2009年10月15日
發(fā)明者宏 唐, 朱永慶, 潔 鄒 申請人:中國電信股份有限公司