CN104025541A - 远程接入终端上业务报文的处理方法和远程接入终端 - Google Patents
远程接入终端上业务报文的处理方法和远程接入终端 Download PDFInfo
- Publication number
- CN104025541A CN104025541A CN201280021589.2A CN201280021589A CN104025541A CN 104025541 A CN104025541 A CN 104025541A CN 201280021589 A CN201280021589 A CN 201280021589A CN 104025541 A CN104025541 A CN 104025541A
- Authority
- CN
- China
- Prior art keywords
- sslvpn
- service message
- vpn
- client module
- access terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种SSLVPN中远程接入终端上业务报文的处理方法和远程接入终端。所述方法包括:在转发来自于所述VPN客户端模块的业务报文之前,启动所述VPN客户端模块执行修改所述远程接入终端上的路由表的操作,接收所述VPN客户端模块发送来的所述业务报文;将所述业务报文转发给SSLVPN处理模块,以便所述SSLVPN处理模块对所述业务报文进行地址转换后发送至所述SSLVPN网关。采用本发明的方法或终端,可以避免现有技术中修改路由表时获取***最高权限的步骤,降低建立连接过程的复杂程度和技术实现难度。
Description
远程接入终端上业务 文的处理方法和远程接入终端 技术领域
本发明涉及数据安全领域,特别是涉及一种远程接入终端上业务报文的处 理方法和远程接入终端。 背景技术
虚拟专用网络( Virtual Private Network , 简称 VPN )指的是在公用网络 上建立专用网络的技术。 基于安全套接层( Security Socket Layer, SSL )协议 建立远程安全访问通道的 VPN技术, 简称为 SSLVPN。 SSLVPN是近年来兴 起的 VPN技术, 其主要用于解决远程用户访问公司敏感数据的安全问题。
为了解决远程接入终端 (例如手机)与服务器之间传输的报文在 Internet 上的传输安全问题, 现有技术可以在远程接入终端与 SSLVPN 网关之间建立 SSLVPN隧道, 将传输的报文封装在 SSLVPN隧道内, 再在 Internet上传输。
具体的, 现有技术中, 基于安全套接层协议的报文转发方法大致是: 远程 接入终端上的应用程序生成的报文, 首先发送至虚拟网卡; 虚拟网卡将接收到 的报文发送至 SSLVPN模块; SSLVPN模块将接收到的报文发送到 SSLVPN 网 关。 其中, 虚拟网卡需要用户单独安装, 安装完成之后还需要对虚拟网卡进行 配置, 例如设置网卡上的 IP地址、 设置网卡上的 DNS Server的 IP地址等操 作。 在转发报文之前, 虚拟网卡还需要修改远程接入终端上的路由表信息, 以 便将发送给 SSLVPN 网关的报文路由到虚拟网卡上。
但是,现有技术中,虚拟网卡的安装需要最高的***管理权限。在 Android, iOS等智能手机终端操作***中, 虚拟网卡的安装过程非常复杂, 并且由于涉 及到操作***的权限控制, SSLVPN客户端软件无法自动安装虚拟网卡, 现有 技术一般要求用户人工安装,而智能手机终端用户由于不具备所需的技能很难 自主完成虚拟网卡的安装。 此外, 虚拟网卡的设置包括对虚拟网卡上 IP地址、 DNS Server的配置, 这些操作也需要获取操作***的最高管理权限。
同样, 现有技术中, 在 windows, Linux、 Android, iOS操作***中, 修 改***路由表也需要最高的***管理权限, SSLVPN的客户端软件通常无法获
得足够的权限来完成路由表的修改操作。
由上述可知, 现有技术中, 基于安全套接层协议的>¾文转发方法, 由于需 要获取操作***的最高管理权限, 导致安装过程复杂, 技术实现难度大。 发明内容
本发明的目的是提供一种基于安全套接层协议的报文转发方法和***,可 以不必获取操作***的最高管理权限,降低安装过程的复杂程度和技术实现难 度。
为实现上述目的, 本发明提供了如下方案:
第一方面, 提供了一种 SSLVPN中远程接入终端上业务报文的处理方法, 所述远程接入终端包括 VPN客户端模块、 VPN服务器端模块、 SSLVPN处理 模块, 所述远程接入终端通过网络与 SSLVPN网关连接; 所述方法包括: 所述 VPN服务器端模块在转发来自于所述 VPN客户端模块的业务报文之 前,启动所述 VPN客户端模块执行修改所述远程接入终端上的路由表的操作, 以便所述远程接入终端中的应用软件将目的地址为 SSLVPN 网关的业务报文 路由至所述 VPN客户端模块;
接收所述 VPN客户端模块发送来的所述业务报文;
将所述业务报文转发给 SSLVPN处理模块, 以便所述 SSLVPN处理模块 对所述业务报文进行地址转换后发送至所述 SSLVPN网关。
在第一方面的第一种可能的实现方式中, 路由至所述 VPN客户端模块的 业务报文, 是所述应用程序按照所述路由表, 将目的地址为 SSLVPN 网关的 业务报文发送至所述 VPN客户端模块的。
在第一方面的第二种可能的实现方式中, 所述将所述业务报文转发给 SSLVPN处理模块,以便所述 SSLVPN处理模块对所述业务报文进行地址转换 后发送至所述 SSLVPN网关, 包括:
所述 VPN服务器端模块将所述业务报文发送至所述 SSLVPN处理模块; 所述 SSLVPN处理模块对所述业务报文按照 SSL协议进行加密, 并将所 述 SSLVPN网关的公网地址作为目的地址封装在所述业务报文中;
所述 SSLVPN处理模块将加密封装得到的业务报文发送至所述 SSLVPN 网关。
在第一方面的第三种可能的实现方式中, 所述 VPN服务器端模块启动所 述 VPN客户端模块之前, 还包括:
所述 VPN服务器端模块与所述 VPN客户端模块建立 VPN连接; 所述接收所述 VPN客户端模块发送来的所述业务报文, 具体为: 通过所述 VPN连接, 接收所述 VPN客户端模块发送来的所述业务报文。 在上述第一方面、或第一方面的任意一种可能的实现方式中, 所述远程接 入终端中的应用软件将目的地址为 SSLVPN网关的业务^艮文路由至所述 VPN 客户端模块之前, 还包括:
所述应用软件判断所述业务报文的目的地址是否为 SSLVPN网关的地址; 如果是, 则执行将所述业务报文路由至所述 VPN客户端模块的步骤; 否则,将所述业务报文路由至所述远程接入终端的物理网卡, 以便通过所 述物理网卡将所述业务报文发送至公网中的服务器。
第二方面, 提供一种远程接入终端, 包括 VPN客户端模块、 VPN服务器 端模块、 SSLVPN处理模块,所述远程接入终端通过网络与 SSLVPN网关连接; 所述 VPN服务器端模块包括:
路由表修改单元, 用于在转发来自于所述 VPN客户端模块的业务报文之 前, 启动所述 VPN客户端模块执行修改所述远程接入终端上的路由表的操 作, 以便所述远程接入终端中的应用软件将目的地址为 SSLVPN 网关的业务 报文路由至所述 VPN客户端模块;
接收单元, 用于接收所述 VPN客户端模块发送来的所述业务报文; 发送单元, 用于将接收单元接收的所述业务报文转发给 SSLVPN处理模 块, 以便所述 SSLVPN处理模块对所述业务报文进行地址转换后发送至所述 SSLVPN网关。
在第二方面的第一种可能的实现方式中, 还包括:
应用程序控制模块,用于控制所述远程接入终端上的应用程序按照所述路
由表, 将目的地址为 SSLVPN网关的业务报文发送至所述 VPN客户端模块。 在第二方面的第二种可能的实现方式中, 所述 SSLVPN处理模块包括: 报文处理单元, 用于对所述 VPN服务器端模块发来的业务报文按照 SSL 协议进行加密, 并将所述 SSLVPN 网关的公网地址作为目的地址封装在所述 业务报文中;
发送单元, 用于将报文处理单元加密封装得到的业务报文发送至所述 SSLVPN网关。
在第二方面的第三种可能的实现方式中, 所述 SSLVPN处理模块包括: 第一指令发送单元, 用于向所述 VPN服务器端模块发起第一启动指令; 第二指令发送单元, 用于向所述 VPN客户端模块发起第二启动指令; 所述第一启动指令用于开启所述 VPN服务器端模块,所述第二启动指令, 用于控制所述 VPN客户端模块开始创建 VPN隧道。
在第二方面、 或第二方面的任意一种可能的实现方式中, 还包括: 路由控制模块, 用于在所述远程接入终端中的应用软件将目的地址为 SSLVPN网关的业务报文路由至所述 VPN客户端模块之前, 判断所述业务报 文的目的地址是否为 SSLVPN 网关的地址; 当所述 ·艮文目的地址判断单元的 判断结果为是时, 执行将所述业务报文路由至所述 VPN客户端模块的步骤; 当所述报文目的地址判断单元的判断结果为否时,将所述业务报文路由至所述 远程接入终端的物理网卡,以便通过所述物理网卡将所述业务报文发送至公网 中的服务器。
第三方面, 提供一种远程接入终端, 包括存储器和处理器, 其中: 所述存储器被配置存储代码;
所述处理器被配置读取所述存储器中存储的代码,执行本发明提供的第一 方面、 或第一方面的任意一种可能的实现方式所述的方法。
在本发明实施例提供的 SSLVPN中远程接入终端上业务报文的处理方法, 在远程接入终端安装 VPN服务器端模块,通过 VPN服务器端模块实现现有技 术中虚拟网卡的接收远程接入终端发送的业务访问数据的功能,可以免去现有
技术中安装虚拟网卡所需要的最高***权限; 并且, 通过调用所述 VPN客户 端模块修改所述远程接入终端上的路由表,可以利用远程接入终端在出厂时预 置的 VPN客户端模块具有的***最高权限, 从而避免现有技术中修改路由表 时获取***最高权限的步骤, 降低建立 SSLVPN连接过程的复杂程度和技术 实现难度。 附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施 例中所需要使用的附图作简单地介绍, 显而易见地, 下面描述中的附图仅仅是 本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性 的前提下, 还可以根据这些附图获得其他的附图。
图 1为本发明的 SSLVPN中远程接入终端上业务报文的处理方法实施例 1 的流程图;
图 2为本发明的 SSLVPN中远程接入终端上业务报文的处理方法实施例 2 的流程图;
图 3为本发明的 SSLVPN中远程接入终端上业务报文的处理方法实施例 3 的流程图;
图 4为本发明实施例中,所述 VPN服务器端模块与所述 VPN客户端模块 建立 VPN连接 SSLVPN中远程接入终端上业务报文的处理方法的流程图; 图 5为本发明实施例中的业务报文通过图 4建立的 SSLVPN连接从应用 软件客户端发送到应用服务器的流程图;
图 6为本发明的远程接入终端实施例 1的结构图;
图 7为本发明的远程接入终端实施例 2的结构图;
图 8为本发明的远程接入终端实施例 3的结构图;
图 9为本发明提供的另一种远程接入终端的结构图。 具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清 楚、 完整地描述, 显然, 所描述的实施例仅仅是本发明一部分实施例, 而不是 全部的实施例。基于本发明中的实施例, 本领域普通技术人员在没有做出创造
性劳动前提下所获得的所有其他实施例, 都属于本发明保护的范围。 为使本发明的上述目的、特征和优点能够更加明显易懂, 下面结合附图和 具体实施方式对本发明作进一步详细的说明。
本发明的 SSLVPN 中远程接入终端上业务报文的处理方法, 应用于远程 接入终端与服务器之间的通信。 所述远程接入终端可以是手机, 平板电脑或笔 记本电脑。 所述远程接入终端内置有 VPN客户端模块。 不同的远程接入终端 的 VPN客户端模块可以支持不同的 VPN协议。 所述 VPN协议可以包括: 点 到点隧道协议( Point to Point Tunneling Protocol, PPTP )、第二层隧道协议( Layer 2 Tunneling Protocol, L2TP )、 Internet十办议安全性 ( Internet Protocol Security, IPSec )协议或 L2TP over IPSec (在 IPSec协议的基石出上承载 L2TP协议, 是两 种协议的联合应用)协议等等。 本发明实施例提供的方法, 预先在所述远程接 入终端安装 VPN服务器端模块, 所述 VPN服务器端模块至少支持所述 VPN 客户端模块的 VPN协议。
所述 VPN服务器端模块的作用在于接收应用软件生成的业务访问数据。 所述远程接入终端可以安装多个应用软件。当所述应用软件产生的业务访问数 据需要以安全的方式传输时,就可以采用本发明实施例的方法建立的虚拟专用 网络连接传输数据。
本发明实施例中的所述远程接入终端包括 VPN客户端模块、 VPN服务器 端模块、 SSLVPN处理模块,所述远程接入终端通过网络与 SSLVPN网关连接。
图 1为本发明的 SSLVPN中远程接入终端上业务"¾文的处理方法实施例 1 的流程图。 如图 1所示, 所述方法包括:
步骤 101 : 所述 VPN服务器端模块在转发来自于所述 VPN客户端模块的 业务报文之前, 启动所述 VPN客户端模块执行修改所述远程接入终端上的路 由表的操作, 以便所述远程接入终端中的应用软件将目的地址为 SSLVPN 网 关的业务报文路由至所述 VPN客户端模块;
VPN客户端模块通常是在出厂之前就安装在所述远程接入终端中的。 VPN客户端模块具有预先设定好的行为逻辑。 该行为逻辑包括: 当 VPN客户 端模块启动时,对所述远程接入终端上的路由表进行修改, 以使应用软件将特
定的目的地址的业务报文路由至所述 VPN客户端模块。 在本发明实施例中, 应用软件可以将目的地址为 SSLVPN网关的业务报文路由至所述 VPN客户端 模块。 由于 VPN客户端模块的行为逻辑是预先设定好的, VPN客户端模块本 身就具有足够的***管理权限, 所以调用 VPN客户端模块修改路由表, 无需 提供额外的权限。
需要说明的是, 步骤 101相当于一个预处理步骤, 可以在转发业务报文之 前, 修改所述远程接入终端上的路由表。 通常, 所述 VPN客户端模块的地址 为 127.0.0.1 , 因此可以将所述路由表中将目的地址为 SSLVPN 网关的业务报 文的路由的第一跳修改为 127.0.0.1。
步骤 102: 所述 VPN服务器端模块接收所述 VPN客户端模块发送来的所 述业务报文;
所述 VPN客户端模块发送来的所述业务报文, 是所述远程接入终端上的 应用程序按照所述路由表, 将目的地址为 SSLVPN 网关的业务报文发送至所 述 VPN客户端模块的。
因为通常公网中的内容是不需要经过 SSLVPN这种安全访问技术处理的, 所以, 本发明实施例的方法在所述远程接入终端中的应用软件将目的地址为 SSLVPN网关的业务报文路由至所述 VPN客户端模块之前, 还可以包括: 判断所述业务报文的目的地址是否为 SSLVPN网关的地址;
如果是, 则执行将所述业务报文路由至所述 VPN客户端模块的步骤; 否则,将所述业务报文路由至所述远程接入终端的物理网卡, 以便通过所 述物理网卡将所述业务报文发送至公网中的服务器。
步骤 103: 所述 VPN服务器端模块将所述业务报文转发给 SSLVPN处理 模块, 以便所述 SSLVPN处理模块对所述业务报文进行地址转换后发送至所 述 SSLVPN网关。
实际应用中, SSLVPN处理模块与 SSLVPN网关之间可以建立 SSL连接。 所述地址转换是指, 将所述 SSLVPN 网关的公网地址添加在所述业务报文的 相应字段中。 因为对于 SSLVPN处理模块与 VPN服务器端模块而言, VPN服 务器端模块会根据业务报文中的虚拟地址将业务报文发送至 SSLVPN处理模
块。 所述虚拟地址是由 SSLVPN 网关分配给 SSLVPN 处理模块的。 所以, SSLVPN处理模块需要将所述 SSLVPN 网关的公网地址添加在所述业务报文 的相应字段中, 以便将所述业务报文发送至所述 SSLVPN网关。
综上所述, 本实施例中, 在远程接入终端安装 VPN服务器端模块, 通过 VPN服务器端模块实现现有技术中虚拟网卡的接收远程接入终端发送的业务 访问数据的功能, 可以免去现有技术中安装虚拟网卡所需要的最高***权限; 并且, 通过调用所述 VPN客户端模块修改所述远程接入终端上的路由表, 可 以利用远程接入终端在出厂时预置的 VPN客户端模块具有的***最高权限, 从而避免现有技术中修改路由表时获取***最高权限的步骤, 降低建立 SSLVPN连接过程的复杂程度和技术实现难度。
图 2为本发明的 SSLVPN中远程接入终端上业务报文的处理方法实施例 2 的流程图。 如图 2所示, 所述方法包括:
步骤 201: 所述 VPN服务器端模块在转发来自于所述 VPN客户端模块的 业务报文之前, 启动所述 VPN客户端模块执行修改所述远程接入终端上的路 由表的操作, 以便所述远程接入终端中的应用软件将目的地址为 SSLVPN 网 关的业务报文路由至所述 VPN客户端模块;
步骤 202: 所述远程接入终端上的应用程序按照所述路由表, 将目的地址 为 SSLVPN网关的业务报文发送至所述 VPN客户端模块;
步骤 203: 所述 VPN服务器端模块接收所述 VPN客户端模块发送来的所 述业务报文;
步骤 204: 所述 VPN服务器端模块将所述业务报文发送至所述 SSLVPN 处理模块;
步骤 205:所述 SSLVPN处理模块对所述业务报文按照 SSL协议进行加密, 并将所述 SSLVPN网关的公网地址作为目的地址封装在所述业务报文中; 步骤 206: 所述 SSLVPN处理模块将加密封装得到的业务报文发送至所述
SSLVPN网关。
图 3为本发明的 SSLVPN中远程接入终端上业务报文的处理方法实施例 3 的流程图。 如图 3所示, 所述方法包括:
步骤 301: 所述 VPN服务器端模块与所述 VPN客户端模块建立 VPN连 接;
步骤 302: 所述 VPN服务器端模块在转发来自于所述 VPN客户端模块的 业务报文之前, 启动所述 VPN客户端模块执行修改所述远程接入终端上的路 由表的操作, 以便所述远程接入终端中的应用软件将目的地址为 SSLVPN 网 关的业务报文路由至所述 VPN客户端模块;
步骤 303: 所述远程接入终端上的应用程序按照所述路由表, 判断所述业 务报文的目的地址是否为 SSLVPN网关的地址;如果是,执行步骤 304,否则, 执行步骤 305;
步骤 304: 将目的地址为 SSLVPN网关的业务报文发送至所述 VPN客户 端模块;
步骤 305: 将所述业务报文路由至所述远程接入终端的物理网卡, 以便通 过所述物理网卡将所述业务报文发送至公网中的服务器。
步骤 306: 所述 VPN服务器端模块接收所述 VPN客户端模块发送来的所 述业务报文;
步骤 307: 所述 VPN服务器端模块将所述业务报文发送至所述 SSLVPN 处理模块;
步骤 308:所述 SSLVPN处理模块对所述业务报文按照 SSL协议进行加密, 并将所述 SSLVPN网关的公网地址作为目的地址封装在所述业务报文中; 步骤 309: 所述 SSLVPN处理模块将加密封装得到的业务报文发送至所述
SSLVPN网关。
可选地, 上述实施例中, 所述 VPN服务器端模块与所述 VPN客户端模块 建立 VPN连接, 可以包括:
所述 SSLVPN处理模块向所述 VPN服务器端模块发起第一启动指令; 向所述 VPN服务器端模块发起的第一启动指令可以包括一个开启 VPN服 务器端模块功能的指令, 以及所述 SSLVPN处理模块的虚拟 IP地址;
所述虚拟 IP地址的作用是, 使 VPN服务器端模块在接收到 VPN客户端 模块发送来的业务报文后, 按照所述虚拟 IP 地址将所述业务报文发送至
SSLVPN处理模块。
所述 SSLVPN处理模块向所述 VPN客户端模块发起第二启动指令; 向所述 VPN客户端模块发起的第二启动指令,用于控制所述 VPN客户端 模块开始创建 VPN连接, 例如 L2TP隧道。
根据所述第一启动指令和所述第二启动指令, 在所述 VPN服务器端模块 与所述 VPN客户端模块之间建立 VPN连接。 VPN客户端模块可以遵循协议 指定的 VPN协议规范定义的步骤发起建立 VPN隧道的请求报文。 VPN服务 器端模块可以按照 VPN协议规范定义的步骤响应 VPN客户端模块的请求。
图 4为本发明实施例中,所述 VPN服务器端模块与所述 VPN客户端模块 建立 VPN连接的流程图。 本实施例中, 所述 VPN客户端支持的协议为 L2TP 协议。 当 VPN客户端支持的协议为 PPTP协议、 IPSec协议或 L2TP over IPSec 协议时, 其流程相似。 如图 4所示, 所述方法包括:
步骤 401 : SSLVPN处理模块和 SSLVPN网关建立 SSL连接。 建立 SSL 连接的过程为 RFC4346定义的标准流程, 此处不再贅述。 RFC4346为传输层 安全十办议的 1.1版本 ( The Transport Layer Security Protocol Version 1.1 )。
步骤 402: SSLVPN 处理模块向 SSLVPN 网关发起请求, 请求获得由 SSLVPN网关分配的虚拟 IP地址。
步骤 403: SSLVPN网关从虚拟 IP地址池中分配一个虚拟 IP地址并返回 给 SSLVPN处理模块。
步骤 404: SSLVPN处理模块向 VPN服务器端模块发起第一启动指令, 并将虚拟 IP地址作为参数传递给 VPN服务器端模块。
所述虚拟 IP地址的作用是, 使 VPN服务器端模块在接收到 VPN客户端 模块发送来的业务报文后, 按照所述虚拟 IP 地址将所述业务报文发送至 SSLVPN处理模块。
步骤 405: SSLVPN处理模块向内置的支持 L2TP协议的 VPN客户端模块 发起第二启动指令。
步骤 406: VPN客户端模块和 VPN服务器端模块之间建立 L2TP隧道。 建立 L2TP隧道的过程为 RFC标准流程,此处不再贅述。当 L2TP隧道建立后,
内置的 VPN客户端模块将在远程接入终端上修改其路由表, 将远程接入终端 上的默认路由网关设置为 VPN客户端模块。
上述步骤完成之后, 远程接入终端和 SSLVPN网关之间的 SSLVPN连接 已经建立完成。
图 5为本发明的中的业务报文通过图 4建立的 SSLVPN连接从应用软件客 户端发送到应用服务器的的流程图。 所述流程包括:
步骤 501 : 当应用软件客户端访问应用服务器时, 应用软件客户端发出的 业务访问报文将发送到内置的 VPN客户端模块。
步骤 502: 内置的 VPN客户端模块将业务访问报文封装成 L2TP格式, 并 通过 L2TP隧道发送给 VPN服务器端模块。
步骤 503: VPN服务器端模块将业务访问报文从 L2TP隧道中读取出来, 并通过 VPN服务器端模块与 SSLVPN处理模块之间的数据传递通道传递给 SSLVPN处理模块。
步骤 504: SSLVPN处理模块将业务访问报文进行 SSL协议处理, 封装成 SSLVPN格式后, 发送至 SSLVPN网关上。
步骤 505: SSLVPN网关将业务访问数据从 SSLVPN隧道中读取出来并发 送到应用服务器上。
上述流程描述了业务访问报文从应用软件客户端发送到应用服务器的处 理过程。应用服务器返回给应用软件客户端的业务访问报文处理过程与上述流 程刚好相反, 此处不再贅述。
本发明还公开了一种远程接入终端。 所述远程接入终端包括 VPN客户端 模块、 VPN服务器端模块、 SSLVPN处理模块, 所述远程接入终端通过网络 与 SSLVPN网关连接。 所述远程接入终端内置有 VPN客户端模块, 所述远程 接入终端预先安装有 VPN服务器端模块,所述 VPN服务器端模块至少支持所 述 VPN客户端模块的 VPN协议。
图 6为本发明的远程接入终端实施例 1的结构图。如图 6所示, 所述远程 接入终端包括:
VPN客户端模块 601、 VPN服务器端模块 602和 SSLVPN处理模块 603。 所述 VPN服务器端模块 602,用于在转发来自于所述 VPN客户端模块 601 的业务报文之前, 启动所述 VPN客户端模块 601执行修改所述远程接入终端 上的路由表的操作, 以便所述远程接入终端中的应用软件将目的地址为 SSLVPN网关的业务报文路由至所述 VPN客户端模块 601 ;
接收所述 VPN客户端模块 601发送来的所述业务报文;
将所述业务报文转发给 SSLVPN处理模块 603 ,以便所述 SSLVPN处理模 块 603对所述业务报文进行地址转换后发送至所述 SSLVPN网关。
具体的, 所述 VPN服务器端模块 602可以包括:
路由表修改单元, 用于在转发来自于所述 VPN客户端模块 601的业务报 文之前, 启动所述 VPN客户端模块 601执行修改所述远程接入终端上的路由 表的操作, 以便所述远程接入终端中的应用软件将目的地址为 SSLVPN 网关 的业务报文路由至所述 VPN客户端模块 601 ;
接收单元, 用于接收所述 VPN客户端模块 601发送来的所述业务报文; 发送单元, 用于将接收单元接收的所述业务报文转发给 SSLVPN处理模 块 603 , 以便所述 SSLVPN处理模块 603对所述业务报文进行地址转换后发送 至所述 SSLVPN网关。
综上所述, 本实施例中, 在远程接入终端安装 VPN服务器端模块, 通过 VPN服务器端模块实现现有技术中虚拟网卡的接收远程接入终端发送的业务 访问数据的功能, 可以免去现有技术中安装虚拟网卡所需要的最高***权限; 并且, 通过调用所述 VPN客户端模块修改所述远程接入终端上的路由表, 可 以利用远程接入终端在出厂时预置的 VPN客户端模块具有的***最高权限, 从而避免现有技术中修改路由表时获取***最高权限的步骤, 降低建立 SSLVPN连接过程的复杂程度和技术实现难度。
图 7为本发明的远程接入终端实施例 2的结构图。 如图 7所示, 可选地, 所述远程接入终端还包括:
应用程序控制模块 701 , 用于控制所述远程接入终端上的应用程序按照所 述路由表, 将目的地址为 SSLVPN网关的业务报文发送至所述 VPN客户端模
块。
所述 SSLVPN处理模块 603包括:
报文处理单元 702, 用于对所述 VPN服务器端模块发来的业务报文按照 SSL协议进行加密,并将所述 SSLVPN网关的公网地址作为目的地址封装在所 述业务报文中;
发送单元 703 , 用于将报文处理单元 702加密封装得到的业务报文发送至 所述 SSLVPN网关。
图 8为本发明的远程接入终端实施例 3的结构图。如图 8所示, 所述远程 接入终端还包括:
路由控制模块 801 , 用于在所述远程接入终端中的应用软件将目的地址为
SSLVPN网关的业务报文路由至所述 VPN客户端模块之前, 判断所述业务报 文的目的地址是否为 SSLVPN网关的地址;
当所述报文目的地址判断单元的判断结果为是时,执行将所述业务报文路 由至所述 VPN客户端模块的步骤;
当所述报文目的地址判断单元的判断结果为否时,将所述业务报文路由至 所述远程接入终端的物理网卡,以便通过所述物理网卡将所述业务报文发送至 公网中的服务器。
图 9为本发明提供的另一种远程接入终端的结构图。如图 9所示, 所述远 程接入终端 900包括: 包括存储器 901和处理器 902, 其中:
所述存储器 901被配置存储代码 903;
所述处理器 902被配置读取所述存储器 901中存储的代码,执行本发明所 提供的 SSLVPN中远程接入终端上业务报文的处理方法。
处理器 902,通信接口 905,存储器 901通过总线 904完成相互间的通信。 具体地, 所述代码包括计算机操作指令。
处理器 902 可能是一个中央处理器 CPU, 或者是特定集成电路 ASIC
( Application Specific Integrated Circuit ),或者是被配置成实施本发明实施例的 一个或多个集成电路。
存储器 901 , 可能包含高速 RAM存储器, 也可能还包括非易失性存储器 ( non-volatile memory ), 例 口至少一个磁盘存 4诸器。
所述代码被执行后可以实现:
VPN客户端模块 601、 VPN服务器端模块 602和 SSLVPN处理模块 603。 所述 VPN服务器端模块 602,用于在转发来自于所述 VPN客户端模块 601 的业务报文之前, 启动所述 VPN客户端模块 601执行修改所述远程接入终端 上的路由表的操作, 以便所述远程接入终端中的应用软件将目的地址为 SSLVPN网关的业务报文路由至所述 VPN客户端模块 601 ;
接收所述 VPN客户端模块 601发送来的所述业务报文;
将所述业务报文转发给 SSLVPN处理模块 603 ,以便所述 SSLVPN处理模 块 603对所述业务报文进行地址转换后发送至所述 SSLVPN网关。
代码中各单元的具体实现参见图 6-图 8所示实施例中的相应单元,在此不 贅述。
最后, 还需要说明的是, 在本文中, 诸如第一和第二等之类的关系术语仅 仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者 暗示这些实体或操作之间存在任何这种实际的关系或者顺序。 而且, 术语 "包 括"、 "包含"或者其任何其他变体意在涵盖非排他性的包含, 从而使得包括一 系列要素的过程、 方法、 物品或者设备不仅包括那些要素, 而且还包括没有明 确列出的其他要素, 或者是还包括为这种过程、 方法、 物品或者设备所固有的 要素。 在没有更多限制的情况下, 由语句 "包括一个 ... ... " 限定的要素, 并不 排除在包括所述要素的过程、 方法、 物品或者设备中还存在另外的相同要素。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明 可借助软件加必需的硬件平台的方式来实现, 当然也可以全部通过硬件来实 施, 但很多情况下前者是更佳的实施方式。基于这样的理解, 本发明的技术方 案对背景技术做出贡献的全部或者部分可以以软件产品的形式体现出来,该计 算机软件产品可以存储在存储介质中, 如 ROM/RAM、 磁碟、 光盘等, 包括若 干指令用以使得一台计算机设备(可以是个人计算机, 服务器, 或者网络设备
等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是 与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于 实施例公开的终端而言, 由于其与实施例公开的方法相对应, 所以描述的比较 简单, 相关之处参见方法部分说明即可。 例的说明只是用于帮助理解本发明的方法及其核心思想; 同时,对于本领域的 一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变 之处。 综上所述, 本说明书内容不应理解为对本发明的限制。
Claims (1)
- 权 利 要 求1、 一种 SSLVPN中远程接入终端上业务报文的处理方法, 其特征在于, 所述远程接入终端包括 VPN客户端模块、 VPN服务器端模块、 SSLVPN处理 模块, 所述远程接入终端通过网络与 SSLVPN网关连接; 所述方法包括: 所述 VPN服务器端模块在转发来自于所述 VPN客户端模块的业务报文之 前,启动所述 VPN客户端模块执行修改所述远程接入终端上的路由表的操作, 以便所述远程接入终端中的应用软件将目的地址为 SSLVPN 网关的业务报文 路由至所述 VPN客户端模块;接收所述 VPN客户端模块发送来的所述业务报文;将所述业务报文转发给 SSLVPN处理模块, 以便所述 SSLVPN处理模块 对所述业务报文进行地址转换后发送至所述 SSLVPN网关。2、根据权利要求 1所述的方法, 其特征在于, 路由至所述 VPN客户端模 块的业务报文, 是所述应用程序按照所述路由表, 将目的地址为 SSLVPN 网 关的业务报文发送至所述 VPN客户端模块的。3、 根据权利要求 1所述的方法, 其特征在于, 所述将所述业务报文转发 给 SSLVPN处理模块, 以便所述 SSLVPN处理模块对所述业务报文进行地址 转换后发送至所述 SSLVPN网关, 包括:所述 VPN服务器端模块将所述业务报文发送至所述 SSLVPN处理模块; 所述 SSLVPN处理模块对所述业务报文按照 SSL协议进行加密, 并将所 述 SSLVPN网关的公网地址作为目的地址封装在所述业务报文中;所述 SSLVPN处理模块将加密封装得到的业务报文发送至所述 SSLVPN 网关。4、根据权利要求 1所述的方法, 其特征在于, 所述 VPN服务器端模块启 动所述 VPN客户端模块之前, 还包括:所述 VPN服务器端模块与所述 VPN客户端模块建立 VPN连接; 所述接收所述 VPN客户端模块发送来的所述业务报文, 具体为: 通过所述 VPN连接, 接收所述 VPN客户端模块发送来的所述业务报文。 5、 根据权利要求 1-4任一项所述的方法, 其特征在于, 所述远程接入终 端中的应用软件将目的地址为 SSLVPN网关的业务报文路由至所述 VPN客户 端模块之前, 还包括:所述应用软件判断所述业务报文的目的地址是否为 SSLVPN网关的地址; 如果是, 则执行将所述业务报文路由至所述 VPN客户端模块的步骤; 否则,将所述业务报文路由至所述远程接入终端的物理网卡, 以便通过所 述物理网卡将所述业务报文发送至公网中的服务器。6、 一种远程接入终端, 其特征在于, 包括 VPN客户端模块、 VPN服务 器端模块、 SSLVPN处理模块, 所述远程接入终端通过网络与 SSLVPN网关连 接;所述 VPN服务器端模块包括:路由表修改单元, 用于在转发来自于所述 VPN客户端模块的业务报文之 前, 启动所述 VPN客户端模块执行修改所述远程接入终端上的路由表的操 作, 以便所述远程接入终端中的应用软件将目的地址为 SSLVPN 网关的业务 报文路由至所述 VPN客户端模块;接收单元, 用于接收所述 VPN客户端模块发送来的所述业务报文; 发送单元, 用于将接收单元接收的所述业务报文转发给 SSLVPN处理模 块, 以便所述 SSLVPN处理模块对所述业务报文进行地址转换后发送至所述 SSLVPN网关。7、 根据权利要求 6所述的终端, 其特征在于, 还包括:应用程序控制模块,用于控制所述远程接入终端上的应用程序按照所述路 由表, 将目的地址为 SSLVPN网关的业务报文发送至所述 VPN客户端模块。8、 根据权利要求 6所述的终端, 其特征在于, 所述 SSLVPN处理模块包 括:报文处理单元, 用于对所述 VPN服务器端模块发来的业务报文按照 SSL 协议进行加密, 并将所述 SSLVPN 网关的公网地址作为目的地址封装在所述 业务报文中; 发送单元, 用于将报文处理单元加密封装得到的业务报文发送至所述 SSLVPN网关。9、 根据权利要求 6所述的终端, 其特征在于,所述 SSLVPN处理模块包括:第一指令发送单元, 用于向所述 VPN服务器端模块发起第一启动指令; 第二指令发送单元, 用于向所述 VPN客户端模块发起第二启动指令; 所述第一启动指令用于开启所述 VPN服务器端模块,所述第二启动指令, 用于控制所述 VPN客户端模块开始创建 VPN连接;所述 VPN服务器模块通过创建的所述 VPN连接, 接收所述 VPN客户端 模块发送来的所述业务报文。10、 根据权利要求 6至 9任一项所述的终端, 其特征在于, 还包括: 路由控制模块, 用于在所述远程接入终端中的应用软件将目的地址为 SSLVPN网关的业务报文路由至所述 VPN客户端模块之前, 判断所述业务报 文的目的地址是否为 SSLVPN 网关的地址; 当所述 ·艮文目的地址判断单元的 判断结果为是时, 执行将所述业务报文路由至所述 VPN客户端模块的步骤; 当所述报文目的地址判断单元的判断结果为否时,将所述业务报文路由至所述 远程接入终端的物理网卡,以便通过所述物理网卡将所述业务报文发送至公网 中的服务器。11、 一种远程接入终端, 其特征在于, 包括存储器和处理器, 其中: 所述存储器被配置存储代码;所述处理器被配置读取所述存储器中存储的代码,执行如权利要求 1-5任 一项所述的方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2012/083596 WO2014063357A1 (zh) | 2012-10-26 | 2012-10-26 | 远程接入终端上业务报文的处理方法和远程接入终端 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104025541A true CN104025541A (zh) | 2014-09-03 |
| CN104025541B CN104025541B (zh) | 2016-12-28 |
Family
ID=50543902
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280021589.2A Active CN104025541B (zh) | 2012-10-26 | 2012-10-26 | 远程接入终端上业务报文的处理方法和远程接入终端 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN104025541B (zh) |
| WO (1) | WO2014063357A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111490924A (zh) * | 2020-04-24 | 2020-08-04 | 上海裕日软件有限公司 | 一种便捷式远程网络路由***及其建立方法 |
| CN113177195A (zh) * | 2021-04-29 | 2021-07-27 | 杭州迪普科技股份有限公司 | 客户端接入方法、登陆服务模块、客户端及*** |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101729543A (zh) * | 2009-12-04 | 2010-06-09 | 同济大学 | 利用异地Socks5技术改善移动SSL VPN性能的方法 |
| CN102149133A (zh) * | 2010-02-10 | 2011-08-10 | 广州科讯技术有限公司 | 一种移动通信网络业务接入***及方法 |
-
2012
- 2012-10-26 WO PCT/CN2012/083596 patent/WO2014063357A1/zh active Application Filing
- 2012-10-26 CN CN201280021589.2A patent/CN104025541B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101729543A (zh) * | 2009-12-04 | 2010-06-09 | 同济大学 | 利用异地Socks5技术改善移动SSL VPN性能的方法 |
| CN102149133A (zh) * | 2010-02-10 | 2011-08-10 | 广州科讯技术有限公司 | 一种移动通信网络业务接入***及方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111490924A (zh) * | 2020-04-24 | 2020-08-04 | 上海裕日软件有限公司 | 一种便捷式远程网络路由***及其建立方法 |
| CN113177195A (zh) * | 2021-04-29 | 2021-07-27 | 杭州迪普科技股份有限公司 | 客户端接入方法、登陆服务模块、客户端及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104025541B (zh) | 2016-12-28 |
| WO2014063357A1 (zh) | 2014-05-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104243210B (zh) | 远程访问路由器管理页面的方法和*** | |
| US9231918B2 (en) | Use of virtual network interfaces and a websocket based transport mechanism to realize secure node-to-site and site-to-site virtual private network solutions | |
| CN106878133B (zh) | 报文转发方法及装置 | |
| CN103621046A (zh) | 网络通信方法和装置 | |
| CN104506670A (zh) | 建立网游连接的方法、设备及*** | |
| CN102158350A (zh) | 一种移动宽带设备及管理移动宽带设备的方法 | |
| CN101621527B (zh) | VPN中基于Portal的安全认证的实现方法、***和设备 | |
| CN102737177A (zh) | 用于包过滤的基于soc的装置及其包过滤方法 | |
| CN104967985A (zh) | 一种基站自启动方法和设备 | |
| CN103391234A (zh) | 一种实现多用户固定端口映射的方法及pptp vpn服务端 | |
| CN102724767A (zh) | 一种移动用户的虚拟专用网接入方法及其装置 | |
| CN104205764A (zh) | 基于以太网类型的帧传送 | |
| CN111464334A (zh) | 软件定义广域网***下实现终端设备管理的***、方法、及服务器 | |
| CN100490393C (zh) | 一种访问客户网络管理平台的方法 | |
| CN102694814B (zh) | 兼具无线上网功能和无线接入点功能的高清视频播放器 | |
| CN110474922A (zh) | 一种通信方法、pc***及接入控制路由器 | |
| WO2019187204A1 (ja) | 制御装置、車両内通信システム、通信制御方法及びプログラム | |
| CN104025541A (zh) | 远程接入终端上业务报文的处理方法和远程接入终端 | |
| CN1947455B (zh) | 支持无线台站之后的网络 | |
| CN104426735B (zh) | 一种建立虚拟专用网络连接的方法及装置 | |
| CN107113333A (zh) | 服务器设备的配置 | |
| CN106597873A (zh) | 用于对自动化设备进行远程维护的方法、装置和*** | |
| CN106899542B (zh) | 安全接入方法、装置及*** | |
| CN104469772A (zh) | 一种网点设备认证方法、装置及认证*** | |
| CN103036901A (zh) | 一种ets远程编程方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |