CN109347864A - 基于虚拟专用网络的单点登录方法及装置 - Google Patents

Abstract

本发明提供一种基于虚拟专用网络的单点登录方法及装置，其中的方法包括：VPN服务器检测到VPN登录账号输入时，向认证服务器发送所述VPN登录账号；所述认证服务器对所述VPN登录账号进行认证，并将认证结果返回至所述VPN服务器；其中，认证成功时的认证结果包括用作单点登录认证凭据的令牌；当所述VPN服务器接收到的所述认证结果表示认证成功时，如果接收到用于获取单点登录资源的资源请求，则向资源服务器的单点登录认证中心发送所述令牌；其中，所述资源服务器包括单点登录认证中心和资源***；所述单点登录认证中心对所述令牌进行校验，并根据校验结果执行对应操作。由此本发明实施例具有配置简单、账号安全性高和登录快捷的优点。

Description

基于虚拟专用网络的单点登录方法及装置

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于虚拟专用网络(VPN，VirtualPrivate Network)的单点登录方法及装置。

背景技术

VPN是一种在公用网络建立专用网络，进行加密通讯的技术，其广泛应用于企业网络中。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。因此，在使用VPN时，用户必须通过账号和密码登录，并被认证成功后才有权限访问VPN中的资源。

然而，当VPN用户数量较多或需要满足特定的用户需求时，需要应用到不同的认证方式。故为方便用户使用和提高VPN产品的易用性，目前VPN网关一般都支持多种第三方认证服务器，如RADIUS认证服务器、LDAP认证服务器、4A认证服务器等，以利用第三方认证服务器完成简单的账户登录认证流程，此为一次认证。

其中，在一个多***共存的复杂环境下，往往会在VPN产品中应用单点登录(SSO，Single Sign On)，以实现用户成功登录VPN后，在访问需要通过单点登录的资源(简称单点登录资源)时，经过一次成功的单点登录操作就可以访问所有需要单点登录认证、且相互信任应用***，此为二次认证。

虽然利用单点登录能够避免用户在VPN中请求单点登录资源时的重复登录，但是，用户需要经过两次认证操作才能访问资源，影响资源获取效率；并由于用户在使用VPN时所用到的登录账号、和在成功登录VPN后请求单点登录资源时所用的登录账号是相互独立的，则在开发VPN产品时，不仅需要预先配置用于登录VPN网关的一次认证账号信息，而且还需要预先配置用于单点登录的二次认证账号信息，导致所需配置的账号信息较多。

发明内容

为克服相关技术中存在的问题，本发明提供了基于虚拟专用网络的单点登录方法及装置。

根据本发明实施例的第一方面，提供一种基于虚拟专用网络的单点登录方法，所述方法包括：

VPN服务器检测到VPN登录账号输入时，向认证服务器发送所述VPN登录账号；

所述认证服务器对所述VPN登录账号进行认证，并将认证结果返回至所述VPN服务器；其中，认证成功时的认证结果包括用作单点登录认证凭据的令牌；

当所述VPN服务器接收到的所述认证结果表示认证成功时，如果接收到用于获取单点登录资源的资源请求，则向资源服务器的单点登录认证中心发送所述令牌；其中，所述资源服务器包括单点登录认证中心和资源***；

所述单点登录认证中心对所述令牌进行校验，并根据校验结果执行对应操作。

根据本发明实施例的第二方面，提供一种应用于VPN服务器的基于虚拟专用网络的单点登录方法，所述方法包括：

检测到VPN登录账号输入时，向认证服务器发送所述VPN登录账号；所述认证服务器用于对所述VPN登录账号进行认证，并将认证结果返回至所述VPN服务器，其中，认证成功时的认证结果包括用作单点登录认证凭据的令牌；

当接收到所述认证服务器返回的所述认证结果表示认证成功时，如果接收到用于获取单点登录资源的资源请求，则向资源服务器的单点登录认证中心发送所述令牌；其中，所述单点登录认证中心用于对所述令牌进行校验，并根据校验结果执行对应操作；所述资源服务器包括单点登录认证中心和资源***。

根据本发明实施例的第三方面，提供一种基于虚拟专用网络的单点登录装置，所述装置包括VPN服务器、认证服务器和资源服务器：所述资源服务器包括单点登录认证中心和资源***；

所述VPN服务器检测到VPN登录账号输入时，向所述认证服务器发送所述VPN登录账号；

所述认证服务器对所述VPN登录账号进行认证，并将认证结果返回至所述VPN服务器；其中，认证成功时的认证结果包括用作单点登录认证凭据的令牌；

当所述VPN服务器接收到的所述认证结果表示认证成功时，如果接收到用于获取单点登录资源的资源请求，则向所述单点登录认证中心发送所述令牌；

所述单点登录认证中心对所述令牌进行校验，并根据校验结果执行对应操作。

根据本发明实施例的第四方面，提供一种应用于VPN服务器的基于虚拟专用网络的单点登装置，所述装置包括检测模块、第一收发模块和第二收发模块：

所述检测模块，用于检测是否有VPN登录账号输入；

所述第一收发模块，用于在所述检测模块检测到VPN登录账号输入时，向认证服务器发送所述VPN登录账号，以使所述认证服务器对所述VPN登录账号进行认证，并将认证结果返回至所述第二收发模块，其中，认证成功时的认证结果包括用作单点登录认证凭据的令牌；

所述第二收发模块，用于在收到的所述认证结果表示认证成功时，如果接收到用于获取单点登录资源的资源请求，则向资源服务器的单点登录认证中心发送所述令牌；其中，所述单点登录认证中心用于对所述令牌进行校验，并根据校验结果执行对应操作；所述资源服务器包括单点登录认证中心和资源***。

由此，本发明实施例至少可以产生以下有益技术效果：

相对于相关技术中VPN登录流程和单点登录流程互不相干的认证方式，本发明实施例通过将用于认证VPN登录账号的认证服务器和需要进行二次认证的单点登录的***相互结合，即只需利用VPN服务器的登录账号就能实现单点登录，从而只需预先关联VPN登录的账号信息即可，而不需要预先为用户配置单点登录的账号信息，由此简化了账号信息的配置和用户的登录操作，提高资源获取效率；并且，直接利用令牌作为单点登录的凭据，能够提高用户账号安全性。故本发明具有配置简单、账户安全性高和登录快捷等优点。

附图说明

图1是本发明根据一示例性实施例示出的一种基于虚拟专用网络的单点登录方法的应用场景示意图；

图2是本发明根据一示例性实施例示出的一种基于虚拟专用网络的单点登录方法的流程图；

图3是本公开根据一示例性实施例提出的一种应用于VPN服务器的单点登录方法的流程图；

图4是本发明根据一示例性实施例示出的一种基于虚拟专用网络的单点登录装置的结构框图；

图5是本发明根据一示例性实施例示出的一种应用于VPN服务器的单点登录装置的结构框图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。

在本发明使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本发明。在本发明和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本发明可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本发明范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

在VPN资源访问技术领域中，相关技术需要用户通过VPN账号登录到VPN，才有权限访问VPN中的资源；其中，当需要访问作为VPN中的一个服务模块的单点登录资源时，用户还需要另外通过单点登录账号登录到单点登录资源***。由此可知，相关技术中的VPN登录流程和单点登录流程是两个完全不相干的部分，为实现这两个登录流程，相关技术需要预先配置用户两次登录用的账号等相关信息，导致所需配置的账号信息较多。并由于单点登录账号等相关信息的配置较为繁琐，会对单点登录资源的使用造成一定的障碍。

基于此，本发明实施例提供了一种基于虚拟专用网络的单点登录方法，相对于相关技术中VPN登录流程和单点登录流程互不相干的认证方式，本发明实施例通过将用于认证VPN登录账号的认证服务器和需要进行二次认证的单点登录的***相互结合，即只需利用VPN服务器的登录账号就能实现单点登录，从而只需预先关联VPN登录的账号信息即可，而不需要预先为用户配置单点登录的账号信息，由此简化了账号信息的配置和用户的登录操作，提高资源获取效率；并且，直接利用令牌作为单点登录的凭据，能够提高用户账号安全性。故本发明具有配置简单、账户安全性高和登录快捷等优点。

本发明实施例中，如图1所示，图1是本发明根据一示例性实施例示出的一种基于虚拟专用网络的单点登录方法的应用场景示意图。所述单点登录方法可以应用于VPN***，以使所述VPN***可以根据用户输入的VPN登录账号实现用户对VPN资源和VPN资源中的单点登录资源的访问。所述VPN***包括VPN服务器100、认证服务器102和资源服务器；所述资源服务器包括单点登录验证中心1031和资源***1032。

接下来，对本发明实施例所提供的单点登录方法进行说明。

如图2所示，图2是本发明根据一示例性实施例示出的一种基于虚拟专用网络的单点登录方法的流程图；本实施例单点登录方法包括：

步骤S021，VPN服务器检测到VPN登录账号输入时，向认证服务器发送所述VPN登录账号；

步骤S022，所述认证服务器对所述VPN登录账号进行认证，并将认证结果返回至所述VPN服务器；其中，认证成功时的认证结果包括用作单点登录认证凭据的令牌；

步骤S023，当所述VPN服务器接收到的所述认证结果表示认证成功时，如果接收到用于获取单点登录资源的资源请求，则向资源服务器的单点登录认证中心发送所述令牌；其中，所述资源服务器包括单点登录认证中心和资源***；

步骤S024，所述单点登录认证中心对所述令牌进行校验，并根据校验结果执行对应操作。

由此，在用户需要登录VPN服务器时，用户可以通过启动用户端设备上安装的VPN客户端或通过在用户端设备的网页上输入VPN地址的方式向VPN服务器发送资源访问请求。

所述VPN服务器在接收到用户端设备发送的资源访问请求后，可以将用户登录界面返回至VPN客户端，以使VPN客户端显示所述用户登录界面，从而提示用户输入VPN登录账号并向VPN服务器发送。所述VPN登录账号所关联的用户信息包括以下至少之一：账号名称、账号密码、登录时间和用户权限。但为保证VPN登录的安全性，本实施例中，所述VPN登录账号至少包括账号名称和账号密码。

所述VPN服务器在接收到VPN登录账号时，可以视为VPN服务器检测到VPN登陆账号输入。此时，VPN服务器会向所述认证服务器发送所述VPN登录账号。其中，VPN服务器可以以http请求报文的方式将所述VPN登录账号发送给所述认证服务器。

所述认证服务器接收到所述VPN登录账号后，对所述VPN登录账号进行认证，并将认证结果返回至所述VPN服务器。

其中，如果认证成功，则所述认证服务器还进一步根据所述VPN登录账号生成用于作为单点登录认证凭据的令牌，以使向所述VPN服务器返回的认证结果包括所述令牌。基于此，在一实施例中，所述方法还可以包括：步骤S0220，当所述认证服务器对所述VPN登录账号认证成功时，基于所述VPN登录账号所关联的用户信息生成所述令牌。其中，可以基于所述用户信息中的账号名称、账号密码、登录时间和用户权限共同生成用于保证登录安全和具有唯一性的令牌。至于如何基于所述用户信息生成所述令牌，可基于本发明实施例相关内容和相关技术得知，在此不赘述。如果认证失败，则所述认证服务器直接将表示认证失败的认证结果返回给所述VPN服务器，以使所述VPN服务器向所述VPN客户端返回登录失败信息和用于提示用户重新登录的登录界面。

在认证成功的情况下，所述VPN服务器接收到的认证结果是包括表示认证成功的信息和所述令牌的，且所述VPN服务器会向所述VPN客户端返回登录成功的信息，并允许用户通过VPN客户端访问VPN资源。

在VPN登录账号认证成功之后，如果所述VPN服务器接收到用于获取单点登录资源的资源请求，则所述VPN服务器向所述单点登录认证中心发送所述令牌。

所述单点登录认证中心接受到所述令牌后，对所述令牌进行校验，并根据校验结果执行对应操作。在一实施例中，所述单点登录认证中心根据校验结果执行的对应操作可以包括：

步骤S0241，当所述校验结果表示校验成功时，所述单点登录认证中心登录与所述资源请求关联的目标资源***，并通过所述VPN服务器向所述VPN客户端返回所述目标资源***的用户界面。

步骤S0242，当所述校验结果表示校验失败时，所述单点登录认证中心通过所述VPN服务器向所述VPN客户端返回校验失败信息和单点登录认证界面。

其中，所述目标资源***隶属于所述资源***。

由上述可知，在校验成功时，所述VPN服务器和所述目标资源***之间可以通过所述单点登录认证中心建立连接，所述VPN客户端和所述目标资源***之间可以通过所述VPN服务器和所述单点登录认证中心建立连接。由此，用户可以通过VPN客户端所显示的目标资源***的用户界面实现对目标单点登录资源的访问。然而，在校验失败时，所述单点登录认证中心通过所述VPN服务器向所述VPN客户端返回单点登录校验失败信息和单点登录认证界面，以提醒用户进行登录验证。其中，用户可以通过在所述单点登录认证界面输入所述VPN登录账号实现登录到目标资源***。

由此，本发明实施例通过将用于认证VPN登录账号的认证服务器和需要进行二次认证的单点登录的***相互结合，即只需利用VPN服务器的登录账号就能实现单点登录，从而只需预先关联VPN登录的账号信息即可，而不需要预先为用户配置单点登录的账号信息，由此简化了账号信息的配置和用户的登录操作，提高资源获取效率；并且，直接利用令牌作为单点登录的凭据，能够提高用户账号安全性。故本发明具有配置简单、账户安全性高和登录快捷等优点。

在一实施例中，所述VPN服务器可以为SSL VPN服务器，或其他支持单点登录功能的VPN服务器。

在一实施例中，所述认证服务器可以为第三方认证服务器，例如，RADIUS认证服务器、LDAP认证服务器、或4A认证服务器。

在一实施例中，所述资源服务器中的资源***包括单点登录资源***和非单点登录资源***。所述单点登录资源***和所述VPN服务器之间通过所述单点登录认证中心连接，所述非单点登录资源***可以直接与所述VPN服务器连接。

为进一步提高VPN登录的安全性，在一实施例中，在认证失败的情况下，本发明实施例所提供的单点登录方法还可以包括：

步骤S025，当所述VPN服务器接收到的所述认证结果表示认证失败时，向所述VPN客户端返回认证失败信息，并更新当前VPN登录账号的认证失败次数；

步骤S026，所述VPN服务器根据所述认证失败次数确定是否执行防护操作；所述防护操作包括以下至少之一：锁定当前VPN登录账号、发出报警信息。

其中，所述认证失败信息可以包括认证失败的原因。

在一个例子中，如果在预设时段内认证失败的次数达到预设阈值，则所述VPN服务器可以执行所述防护操作。执行的防护操作除了锁定当前VPN登录账号之外，还可以根据所述VPN登录账号所绑定的用户联系方式以短信或电话的方式向用户发出报警信息。

另外，为进一步增强VPN登录的安全性，所述认证失败信息还可以包括每次认证失败的时间、IP地址、端设备标识和地理位置，以使用户可以更加清楚地了解认证失败的情况，并及时采取防护措施，进一步提高VPN登录的安全性。

基于上述方法，在一实施例中，可以从所述VPN服务器的角度提出一种应用于VPN服务器的单点登录方法，如图3所示，图3是本公开根据一示例性实施例提出的一种应用于VPN服务器的单点登录方法的流程图，所述方法包括：

步骤S031，检测到VPN登录账号输入时，向认证服务器发送所述VPN登录账号；

步骤S032，当接收到所述认证服务器对所述VPN登录账号进行认证后所返回的认证结果表示认证成功时，如果接收到用于获取单点登录资源的资源请求，则向资源服务器的单点登录认证中心发送令牌；

步骤S033，当接收到所述单点登录认证中心对所述令牌进行校验后所返回的校验结果表示校验成功时，向VPN客户端返回所述资源请求所关联的目标资源***的用户界面；

步骤S034，当接收到所述单点登录认证中心对所述令牌进行校验后所返回的校验结果表示校验失败时，向VPN客户端返回单点登录校验失败信息和/或单点登录认证界面。

对步骤S031～S034的理解请参见前述相关记载，在此不赘述。

为进一步增强VPN登录的安全性，在一实施例中，所述应用于VPN服务器的单点登录方法还可以包括：

S036，当接收到的所述认证结果表示认证失败时，向VPN客户端返回认证失败信息，并更新当前VPN登录账号的认证失败次数；

S037，根据所述认证失败次数确定是否执行防护操作；所述防护操作包括以下至少之一：锁定当前VPN登录账号，发出报警信息。

对步骤S036～S037的理解请参见前述相关记载，在此不赘述。

与前述应用于VPN***的单点登录方法的实施例相对应，本发明实施例还提供了一种基于虚拟专用网络的单点登录装置，如图4所示，图4是本发明根据一示例性实施例示出的一种基于虚拟专用网络的单点登录装置的结构框图，所述装置400包括VPN服务器401、认证服务器402和资源服务器403：所述资源服务器403包括单点登录认证中心4031和资源***4032。

所述VPN服务器401检测到VPN登录账号输入时，向所述认证服务器402发送所述VPN登录账号；

所述认证服务器402对所述VPN登录账号进行认证，并将认证结果返回至所述VPN服务器401；其中，认证成功时的认证结果包括用作单点登录认证凭据的令牌；

当所述VPN服务器401接收到的所述认证结果表示认证成功时，如果接收到用于获取单点登录资源的资源请求，则向所述单点登录认证中心4031发送所述令牌；

所述单点登录认证中心4031对所述令牌进行校验，并根据校验结果执行对应操作。

在一实施例中，在对所述VPN登录账号进行认证的认证结果为认证成功时，所述认证服务器402基于所述VPN登录账号所关联的用户信息生成所述令牌。

在一实施例中，所述单点登录认证中心4031对所述令牌进行校验后，根据校验结果执行的对应操作可以包括：

当所述校验结果表示校验成功时，登录与所述资源请求关联的目标资源***4032，并通过VPN服务器401向VPN客户端返回所述目标资源***4032的用户界面；

当所述校验结果表示校验失败时，通过VPN服务器401向VPN客户端返回校验失败信息和单点登录认证界面。

在一实施例中，为提高VPN登录的安全性，所述VPN服务器401还可以用于：

在接收到的所述认证结果表示认证失败时，向VPN客户端返回认证失败信息，并更新当前VPN登录账号的认证失败次数；

所述VPN服务器401根据所述认证失败次数确定是否执行防护操作；所述防护操作包括以下至少之一：锁定当前VPN登录账号、发出报警信息。

与前述应用于VPN服务器的单点登录方法的实施例相对应，本发明实施例还提供了一种应用于VPN服务器的单点登录装置，如图5所示，图5是本发明根据一示例性实施例示出的一种应用于VPN服务器的单点登录装置的结构框图，所述装置500包括检测模块501、第一收发模块502和第二收发模块503：

所述检测模块501，用于检测是否有VPN登录账号输入；

所述第一收发模块502，用于在所述检测模块501检测到VPN登录账号输入时，向认证服务器发送所述VPN登录账号，以使所述认证服务器对所述VPN登录账号进行认证，并将认证结果返回至所述第二收发模块503，其中，认证成功时的认证结果包括用作单点登录认证凭据的令牌；

所述第二收发模块503，用于在收到的所述认证结果表示认证成功时，如果接收到用于获取单点登录资源的资源请求，则向资源服务器的单点登录认证中心发送所述令牌；其中，所述单点登录认证中心用于对所述令牌进行校验，并根据校验结果执行对应操作；所述资源服务器包括单点登录认证中心和资源***。

在一实施例中，所述装置500还可以包括：

更新模块，用于在所述第二收发模块503收到的认证结果表示认证失败时，向VPN客户端返回认证失败信息，并更新当前VPN登录账号的认证失败次数；

防护模块，用于根据所述认证失败次数确定是否执行防护操作；所述防护操作包括以下至少之一：锁定当前VPN登录账号、发出报警信息。

上述任一实施例中的装置中各个器件或各个模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现，在此不赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的。可以根据实际的需要选择其中的部分或者全部模块来实现本公开方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

与前述单点登录方法的任一实施例对应，在一示例性实施例中，本发明还提供了一种非临时性计算机可读存储介质，其上存储有计算机程序。所述计算机程序被处理器执行时实现前述任一实施例中的单点登录方法的步骤。

在本发明实施例中，可采用在一个或多个其中包含有程序代码的存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。计算机可用存储介质包括永久性和非永久性、可移动和非可移动媒体，可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括但不限于：相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。

Claims (10)

1.一种基于虚拟专用网络的单点登录方法，其特征在于，所述方法包括：

VPN服务器检测到VPN登录账号输入时，向认证服务器发送所述VPN登录账号；

所述认证服务器对所述VPN登录账号进行认证，并将认证结果返回至所述VPN服务器；其中，认证成功时的认证结果包括用作单点登录认证凭据的令牌；

当所述VPN服务器接收到的所述认证结果表示认证成功时，如果接收到用于获取单点登录资源的资源请求，则向资源服务器的单点登录认证中心发送所述令牌；其中，所述资源服务器包括单点登录认证中心和资源***；

所述单点登录认证中心对所述令牌进行校验，并根据校验结果执行对应操作。

2.根据权利要求1所述的基于虚拟专用网络的单点登录方法，其特征在于，所述认证服务器将认证结果返回至所述VPN服务器之前，还包括：

所述认证服务器对所述VPN登录账号认证成功时，基于所述VPN登录账号所关联的用户信息生成所述令牌；其中，所述用户信息包括以下至少之一：账号名称、账号密码、登录时间、用户权限。

3.根据权利要求1所述的基于虚拟专用网络的单点登录方法，其特征在于，所述单点登录认证中心对所述令牌进行校验，并根据校验结果执行对应操作，包括：

当所述校验结果表示校验成功时，登录与所述资源请求关联的目标资源***，并通过VPN服务器向VPN客户端返回所述目标资源***的用户界面。

4.根据权利要求3所述的基于虚拟专用网络的单点登录方法，其特征在于，所述单点登录***对所述令牌进行校验，并根据校验结果执行对应操作，还包括：

当所述校验结果表示校验失败时，通过VPN服务器向VPN客户端返回校验失败信息和单点登录认证界面。

5.根据权利要求1所述的基于虚拟专用网络的单点登录方法，其特征在于，还包括：

当所述VPN服务器接收到的所述认证结果表示认证失败时，向VPN客户端返回认证失败信息，并更新当前VPN登录账号的认证失败次数；

所述VPN服务器根据所述认证失败次数确定是否执行防护操作；所述防护操作包括以下至少之一：锁定当前VPN登录账号、发出报警信息。

6.一种基于虚拟专用网络的单点登录方法，其特征在于，应用于VPN服务器，所述方法包括：

检测到VPN登录账号输入时，向认证服务器发送所述VPN登录账号；所述认证服务器用于对所述VPN登录账号进行认证，并将认证结果返回至所述VPN服务器，其中，认证成功时的认证结果包括用作单点登录认证凭据的令牌；

当接收到所述认证服务器返回的所述认证结果表示认证成功时，如果接收到用于获取单点登录资源的资源请求，则向资源服务器的单点登录认证中心发送所述令牌；其中，所述单点登录认证中心用于对所述令牌进行校验，并根据校验结果执行对应操作；所述资源服务器包括单点登录认证中心和资源***。

7.根据权利要求6所述的基于虚拟专用网络的单点登录方法，其特征在于，还包括：

当接收到的所述认证结果表示认证失败时，向VPN客户端返回认证失败信息，并更新当前VPN登录账号的认证失败次数；

根据所述认证失败次数确定是否执行防护操作；所述防护操作包括以下至少之一：锁定当前VPN登录账号、发出报警信息。

8.一种基于虚拟专用网络的单点登录装置，其特征在于，所述装置包括VPN服务器、认证服务器和资源服务器：所述资源服务器包括单点登录认证中心和资源***；

所述VPN服务器检测到VPN登录账号输入时，向所述认证服务器发送所述VPN登录账号；

所述认证服务器对所述VPN登录账号进行认证，并将认证结果返回至所述VPN服务器；其中，认证成功时的认证结果包括用作单点登录认证凭据的令牌；

当所述VPN服务器接收到的所述认证结果表示认证成功时，如果接收到用于获取单点登录资源的资源请求，则向所述单点登录认证中心发送所述令牌；

所述单点登录认证中心对所述令牌进行校验，并根据校验结果执行对应操作。

9.一种基于虚拟专用网络的单点登装置，其特征在于，应用于VPN服务器，所述装置包括检测模块、第一收发模块和第二收发模块：

所述检测模块，用于检测是否有VPN登录账号输入；

所述第一收发模块，用于在所述检测模块检测到VPN登录账号输入时，向认证服务器发送所述VPN登录账号，以使所述认证服务器对所述VPN登录账号进行认证，并将认证结果返回至所述第二收发模块，其中，认证成功时的认证结果包括用作单点登录认证凭据的令牌；

所述第二收发模块，用于在收到的所述认证结果表示认证成功时，如果接收到用于获取单点登录资源的资源请求，则向资源服务器的单点登录认证中心发送所述令牌；其中，所述单点登录认证中心用于对所述令牌进行校验，并根据校验结果执行对应操作；所述资源服务器包括单点登录认证中心和资源***。

10.根据权利要求9所述的装置，其特征在于，所述装置还包括：

更新模块，用于在所述第二收发模块收到的认证结果表示认证失败时，向VPN客户端返回认证失败信息，并更新当前VPN登录账号的认证失败次数；

防护模块，用于根据所述认证失败次数确定是否执行防护操作；所述防护操作包括以下至少之一：锁定当前VPN登录账号、发出报警信息。