(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111350053.2 (22)申请日 2021.11.15 (71)申请人 酒泉钢铁 （集团） 有限责任公司 地址 735100 甘肃省嘉峪关 市雄关东路十 二号 (72)发明人 王洋　 (74)专利代理 机构 兰州嘉诺知识产权代理事务 所(普通合伙) 62202 代理人 吴迪 (51)Int.Cl. H04L 9/40(2022.01) G06F 21/56(2013.01) (54)发明名称 一种基于VPN环境实现企业局域网统一认证 的方法 (57)摘要 本发明涉及网络通信技术领域， 具体为一种 基于VPN环境实现企业局域网统一认证的方法， 包括有多个VPN用户和RADIUS认证服务器； 将源 地址为VPN用户的IP地址 下一跳指向新增的认证 交换机； 将认证交换机流量全部引流至现有的企 业内网SDN统一认证服务器； 对所有VPN用户的流 量先去RADIUS认 证服务器进行认 证， 在认证前不 允许VPN用户访问； 若RADIUS认证服务器验证到 VPN用户的终端不 符合认证规定， 则禁止 该VPN用 户访问企业内网资源， 反之则允许该VPN用户访 问企业内网资源， 本发明利用网络路由的原理， 保证未认证或认证不通过之前VPN用户无法访问 企业内网， 但是不限制VPN用户访问其他互联网 资源， 使用灵活方便， 成本低效率高， 大大提高了 企业内网安全性， 便 于企业对VPN用户进行监管。 权利要求书1页 说明书3页 附图2页 CN 114143045 A 2022.03.04 CN 114143045 A 1.一种基于VPN环境实现企业局域网统一认证的方法， 其特征在于： 包括有多个VPN用 户和RADIUS认证服 务器， 包括有如下步骤： S1. RADIUS认证服务器对所有的VPN用户发下用户名和密码， RADIUS认证服务器要求 所有VPN用户的终端安装认证软件， S2. 在企业已有的互联网边界交换机下级新增认证交换机， 将源地址为VPN用户的IP 地址下一跳指向新增的认证交换机； S3.将认证交换机流量全部引流至现有的企业内网SDN统一认证服务器； 对所有VPN用 户的流量先去RADIUS认证服 务器进行认证， 在认证前不允许VPN用户访问； S4.RADIUS认证服务器对访问企业内网资源的VPN用户进行安全准入认证， RADIUS认证 服务器验证VPN用户的终端 是否安装了步骤S1 中要求的认证软件， 认证软件检测VPN用户的 终端是否安装安全软件或VPN用户的终端安装有违规软件； S4.1.若RADIUS认证服务器验证到VPN用户的终端未安装认证软件或认证软件检测到 VPN用户终端未安全软件或认证软件检测到VPN用户终端安装有违规软件， 则禁止该VPN用 户访问企业内网资源， 此VPN用户访问其 他互联网资源不受限制； S4.2.若RADIUS认证服务器验证到VPN用户的终端安装了认证软件且认证软件检测到 VPN用户终端安装了安全软件且认证软件检测到VPN用户终端未安装违规软件， 则允许该 VPN用户访问企业内网资源。 2.根据权利要求1所述的一种基于VPN环境实现企业局域网统一认证的方法， 其特征在 于： 所述的步骤1 中， RADIUS认证服务器绑定VPN用户的终端用户名、 计算机名、 MAC地址和IP 地址。 3.根据权利要求2所述的一种基于VPN环境实现企业局域网统一认证的方法， 其特征在 于： 所述的步骤S4中， RADIUS认证服务器绑定VPN用户的终端用户名、 计算机名、 MAC地址和 IP地址。权　利　要　求　书 1/1 页 2 CN 114143045 A 2一种基于VPN环境 实现企业局域网统一认证的方 法 技术领域 [0001]本发明涉及网络通信技术领域， 具体为一种基于VPN环境实现企业局域网统一认 证的方法。 背景技术 [0002]VPN网络的特点是基于互联 网所建立的虚拟隧道， VPN网络用户可以同时访问企业 内网资源和互联网资源， 访问企业内网资源时无任何安全防护。 所以企业信息化管理人员 对于VPN网络下终端缺乏管理手段， 同时使得企业内网的安全性无法得到保障。 [0003]VPN技术目前在企业网络中进行广泛应用， 一般大中型企业的骨干网由有线网络、 无线网络、 GPON网络和VPN网络等组成。 但是因为VPN网络的特点是基于互联网所建立的虚 拟隧道， VPN网络用户可以同时访问企业内网资源和互联网资源， 多家VPN网络下用户数量、 用户操作行为、 用户是否安装安全软件全部无法得知， 所以企业对于VPN网络下的用户无法 进行管理， 更无法保证VPN终端的网络安全性。 根据木桶效应， VPN网络成为 企业最薄弱的环 节， 所以急需找到一种怎样运用企业现有的网络安全手段保证VPN终端的安全性的方法。 发明内容 [0004]本发明的的目的在于提供一种基于VPN环境实现企业局域网统一认证 的方法， 利 用网络路由的原理， 将VPN网络下 的终端访问企业内网的流量全部引导至企业有线网络的 RADIUS认证服 务器， 由RADIUS认证服 务器对VPN用户进行 管理， 确保企业内网的安全性。 [0005]为解决上述技术问题， 本 发明一种基于VPN环境实现企业局域网统一认证的方法， 包括有多个VPN用户和RADIUS认证服 务器， 包括有如下步骤： S1. RADIUS认证服务器对所有的VPN用户发下用户名 和密码， RADIUS认证服务器 要求所有VPN用户的终端安装认证软件， S2. 在企业已有的互联网边界交换机下级新增认证交换机， 将源地址为VPN用户 的IP地址下一跳指向新增的认证交换机； S3.将认证交换机流量全部引流至现有的企业内网SDN统一认证服务器； 对所有 VPN用户的流 量先去RADIUS认证服 务器进行认证， 在认证前不允许VPN用户访问； S4.RADIUS认证服务器对访问企业内网资源的VPN用户进行安全准入认证， RADIUS 认证服务器验证VPN用户的终端 是否安装了步骤S1 中要求的认证软件， 认证软件检测VPN用 户的终端是否安装安全软件或VPN用户的终端安装有违规软件； S4.1.若RADIUS认证服务器验证到VPN用户的终端未安装认证软件或认证软件检 测到VPN用户终端未安全软件或认证软件检测到VPN用户终端安装有违规软件， 则禁止该 VPN用户访问企业内网资源， 此VPN用户访问其 他互联网资源不受限制 S4.2.若RADIUS认证服务器验证到VPN用户的终端安装了认证软件且认证软件检 测到VPN用户终端安装了安全 软件且认证软件检测到VPN用户终端 未安装违规软件， 则允许 该VPN用户访问企业内网资源。说　明　书 1/3 页 3 CN 114143045 A 3