CN101047599B - 一种分布式ssl vpn系统构架方法 - Google Patents
一种分布式ssl vpn系统构架方法 Download PDFInfo
- Publication number
- CN101047599B CN101047599B CN200610025359XA CN200610025359A CN101047599B CN 101047599 B CN101047599 B CN 101047599B CN 200610025359X A CN200610025359X A CN 200610025359XA CN 200610025359 A CN200610025359 A CN 200610025359A CN 101047599 B CN101047599 B CN 101047599B
- Authority
- CN
- China
- Prior art keywords
- ssl vpn
- client
- switching plane
- service end
- switch unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明公开了一种分布式SSL VPN系统构架方法,该方法包括:安装服务端;在不同运营商处安装交换单元设备并连接以构成SSL VPN交换平台;在客户端安装SSL VPN设备,并为SSL VPN设备分配唯一标识;为SSL VPN设备配置一个客户端局域网内部IP地址,使其可访问Internet并在SSL VPN交换平台上注册;客户端利用图形化配置向导,创建帐号和访问控制权限;进入SSL VPN使用工作流程,完成数据的交互传输。本发明通过网络分布式架构及使用方法,解决了SSL VPN服务租用额外链路的问题。
Description
技术领域
本发明涉及一种涉及计算机软件和信息安全领域,尤其涉及一种分布式SSL VPN系统及构架方法。
背景技术
网络时代,如何安全可靠地远程访问办公室内部网络资源是各个公司一件大事。目前市场中逐渐流行采用SSL VPN(安全套接层虚拟专网)运营模式。所谓SSL是Secure SocketLayer Protocol的简称,即安全套接层协议,它是一种加密传输技术协议,通过给对称加密技术约定对称密钥,建立加密通道,经过这个通道的信息均被加密;所谓VPN是Virtual PrivateNetwork英文简称,被称为虚拟专用网络或虚拟私人网络,是一种常用于连接中、大型企业或团体与团体问的私人网络的通讯方法。虚拟私人网络的讯息透过公用的网络架构(例如:互联网)来传送内联网的网络讯息。VPN没有改变原有广域网络的一些特性,如多重协议的支持、高可靠性及高扩充度,而是在更为符合成本效益的基础上来达到这些特性。上述两者结合而产生的所谓SSL VPN(安全套接层虚拟专网)以其可大幅增强最终用户的远程接入、端点安全性、易于使用和外联网应用的潜力而被有需要远程访问办公室内部网络资源的各个公司所关注。但目前SSL VPN均为集中式构架系统,如附图5所示:即通常运营商首先用VPDN、专线或其它类型的VPN线路连通用户的应用系统(服务器),然后通过在数据中心(IDC)部署的一套大型SSL VPN设备将不同用户的应用分别发布出来,供远程用户访问。在这种模式下的用户访问流程如图3所示。只要用户连上Internet网,利用IE浏览器访问SSL VPN设备,通过身份认证之后,即可安全的使用机构内部的应用资源了。但是,这种运营模式的持续发展能力和可扩张性均很差,随着用户量的不断增加和SSL VPN产品的不断普及,由于以下原因,将很快步入维护困难的境地:在这种模式下,运营商需要维护所有用户帐号及访问策略,并且在业务开通时,必须面对千差万别且不断变化的机构/企业网络;并且不可避免的要为用户开通连接IDC的线路,这就牵涉到对用户内部网络及应用系统的调整,由此产生的工程及维护非常复杂。
发明内容
本发明要解决的技术问题是提供一种分布式SSL VPN系统构架方法,可以解决SSL VPN的维护问题。
为解决上述技术问题,本发明提供了一种分布式SSL VPN系统,包括:服务端;SSL VPN交换平台,含至少一布于运营商处的交换单元设备;客户端,含SSL VPN设备,SSL VPN设备具唯一标识,可访问工nterrlet并可会自动在SSL VPN交换平台注册;服务端、SSL VPN交换平台、客户端通过INTERNET连接。
为解决上述技术问题,本发明还提供了一种分布式SSL VPN系统构架方法,包括如下步骤:安装服务端;在不同运营商处安装交换单元设备并连接以构成SSL VPN交换平台;在客户端安装SSL VPN设备,并为SSL VPN设备分配唯一标识;为SSL VPN设备配置一个客户端局域网内部IP地址,使其可访问Internet并在SSL VPN交换平台上注册;客户端利用图形化配置向导,创建帐号和访问控制权限;进入SSL VPN使用工作流程,完成数据的交互传输;其中,该SSL VPN使用工作流程包括以下步骤:
a.开始;b.服务端导入ID文件并尝试连接SSL VPN交换平台,如连接且注册成功,进入步骤c;如无法注册则继续尝试连接SSL VPN交换平台;c.SSL VPN交换平台侦听是否有外部请求,如有客户端请求进入步骤d;d.SSL VPN交换平台查询判断是否客户端已在SSL VPN交换平台注册,如果已注册,到步骤e;如果未注册,发送访问失败信息给客户端并到步骤i;e.所述SSL VPN交换平台上各交换单元设备首先分别测试其自身至客户端和服务端的速度,然后选出其中访问客户端和服务端用时最少的交换单元设备,再将数据传输路径转移至选出的用时最少的交换单元设备上,选出的用时最少的交换单元设备透明转发客户端请求;到步骤f;f.服务端身份认证模块检查认证客户端身份,如通过认证到步骤g,如未通过认证发送认证失败信息给客户端并到步骤i;g.服务端访问控制检查客户端访问权限,如不满足访问权限条件,则发送拒绝服务信息给客户端并到步骤i;如满足访问权限条件,则进入步骤h;h.SSL VPN交换平台与客户端建立SSL连接,然后解密数据,并发送至应用服务器,应用服务器处理数据,并返回响应,进入步骤i;i.结束此次工作流程。
本发明通过网络分布式架构及使用方法,可以构建维护简单,可长期稳定发展的SSL VPN,解决了用户为了SSL VPN服务还要租用额外链路的问题。
附图说明
图1是传统SSL VPN访问流程图;
图2是本发明系统访问流程图;
图3是传统的SSL VPN用户访问过程关系示意图;
图4是本发明系统用户访问过程关系示意图;
图5是传统SSL VPN系统构架示意图;
图6是本发明系统构架示意图。
具体实施方式
下面结合附图及具体实施例对本发明作进一步详细的说明。
如图5所示是传统SSL VPN系统构架示意图,采用的是集中式的构架分;如图6是本发明系统构架示意图,在图6中,运营商首先按本发明组建分布在Internet各处的SSL VPN交换平台,不同的部门和企业租用SSLVPN服务后,按本发明应在其内部网络中部署一台安全门户网关(SSL VPN设备),它可以利用用户原有的各种Internet线路,自动连接到交换平台上注册。注册成功后,在全球各地的远程用户就可以通过各种Internet线路访问SSL VPN交换平台,再转到相应的门户网关。
本发明的方法详述如下:
首先安装服务端并在运营商的IDC机房中部署专用交换单元设备;为申请SSL VPN业务的用户分配一个独一无二的标识名称;在用户的局域网中放置满足用户需求的SSL VPN设备(根据用户访问量来决定放置高、中、低端型号产品);为SSL VPN设备配置一个用户内部网络的私有IP地址,让设备能上Internet即可,其会按程序自动到SSL VPN交换平台上注册;用户利用图形化配置向导、创建帐号和访问控制权限后,SSL VPN就可以使用了,即用户可以通过SSL VPN,完成数据的交互传输。具体的用户使用流程,如图2所示:
a.开始;
b.服务端导入ID文件并尝试连接SSL VPN交换平台,如连接且注册成功,进入步骤c;如无法注册则继续尝试连接SSL VPN交换平台;
c.SSL VPN交换平台侦听是否有外部请求,如有客户端请求进入步骤d;
d.SSL VPN交换平台查询判断是否客户端已在SSL VPN交换平台注册,如果已注册,到步骤e;如果未注册,发送访问失败信息给客户端并到步骤i;
e.所述SSL VPN交换平台上各交换单元设备首先分别测试其自身至客户端和服务端的速度,然后选出其中访问客户端和服务端用时最少的交换单元设备,再将数据传输路径转移至选出的用时最少的交换单元设备上,选出的用时最少的交换单元设备透明转发客户端请求;到步骤f;
f.服务端身份认证模块检查认证客户端身份,如通过认证到步骤g,如未通过认证发送认证失败信息给客户端并到步骤i;
g.服务端访问控制检查客户端访问权限,如不满足访问权限条件,则发送拒绝服务信息给客户端并到步骤i;如满足访问权限条件,则进入步骤h;
h.SSL VPN交换平台与客户端建立SSL连接,然后解密数据,并发送至应用服务器,应用服务器处理数据,并返回响应,进入步骤i;
i.结束此次工作流程。
图1是传统SSL VPN模式下访问流程图,可作为本发明对比。另外图4是本发明系统用户访问过程关系示意图,表明了访问时的模块调用关系,而图3则是传统的SSL VPN用户访问过程关系示意图,可对比。
本发明的分布式模式改变了原有SSL VPN点式分布的格局,真正实现了SSL VPN的网络化。按本发明运营商构建了SSL VPN交换网络。此网络的作用类似于我们今天所熟知的公共电话交换网(PSTN),区别在于本网络是由分布在Internet上不同位置的专用交换单元设备组成的。SSL VPN交换网络为网络中的每个安全门户网关(SSL VPN设备)分配一个独一无二的标识名称,负责整个SSL VPN运营网络的数据交换(只转发数据,不对数据进行加/解密),并控制每台安全门户网关(SSL VPN设备)上的用户访问数量。而真正具体控制远程访问和数据加/解密的安全门户网关(SSL VPN设备)被放置在用户的内部网络中,用户可以通过各种Internet线路连接到SSLVPN交换网络中,根据用户量的大小,选配不同性能的设备,用户可以自己去管理帐号和对内部网络的访问权限。
用户在使用SSL VPN时,首先访问网络交换平台的域名或IP地址,然后再通过设备标识名称找到想连接的SSL VPN设备。这个过程类似于我们现在拨打电话的方式,即区号代表网络交换平台的地址,电话号码代表具体要找的SSL VPN设备。
综上所述,本发明在技术及运营上的优点是显而易见的:
(1)运营商运营维护成本大大降低,没有责任风险。
在这种模式下,运营商不需要付出巨大的维护成本,仅负责分配安全门户网关(SSL VPN设备)的标识名称(类似于分配电话号码)和控制每台SSLVPN设备上的并发用户数。SSL VPN上开什么样的帐号、发布什么样的应用以及设置什么样的访问权限都可以由用户自己灵活掌控。这一方面大大减轻了运营商的维护压力,同时规避了帐号被盗用后,责任无法界定的尴尬。
(2)本发明可做到跨网络的访问优化和提速。
由于SSL VPN的使用者通常是移动办公人士,可能今天用电信的Internet链路,明天用网通的,后天用联通或是铁通的;但是SSL VPN的设备基本上只接一个运营商的线路,那么在使用中就不可避免的存在跨网络访问的问题。因为运营商之间基本没有优化措施,所以在跨网络访问时,速度非常慢,更不要说跨两个以上网络会是怎样了;再加之各种应用系统对网络时延都有要求。所以,经常造成连而不通,通而无用的情况。这是用户自建SSL VPN系统所不能解决的问题。但是,本发明具备跨网络访问优化的功能,并且能够构成一个路由优化的网络体系,它可以帮助用户自动找到一条时延最小的网络路径,从而提高对内部应用系统的访问速度。
(3)可通过关闭所有In-Bond端口,提高系统安全防护能力的实施方式。
目前,Internet中黑客和蠕虫病毒肆虐,它们通常会先扫描系统端口,然后利用开放的端口进行恶意攻击。目前,所有的SSL VPN系统都要开放443端口,关闭了就无法提供访问服务。这就为黑客和蠕虫病毒留下了可能侵入的途径。而利用本发明运营商提供的交换平台,可以从根本上断绝黑客和蠕虫的攻击途径,用户可以关闭所有开放的(In-Bond)端口,并且不会响应正常的访问,做到了实体隔离。使SSL VPN业务不仅可以用于远程安全访问,还能够用于内部网络应用系统的安全防护,可以替代现有局限性很大网闸系统。
(4)节省IP地址资源
我们国家拥有的Internet合法IP地址资源本来就少,随着社会信息化水平的不断提高,Internet合法IP地址的需求量急剧扩大;用户租用IP地址的费用在不断增加。而用户自建SSL VPN时,固定合法IP地址是必须的,这就需要用户再花钱租用地址。而利用本发明运营商的交换平台,用户只需要有条能上Internet的链路就可以了,有没有固定合法IP都无所谓。这使SSL VPN的门槛大大降低,配合低端产品,可以实现的SSL VPN的快速普及。
(4)本发明客户端无需租用专用线路。
在本发明的SSL VPN模式下,用户根据自己实际的访问量来租用相对应的服务或设备,并且不必再租用一条线路连接到IDC,完全可以利用现有的Internet线路就能够使用。这就使业务的适用群体可以囊获各行各业的不同用户,不在人为的把一部分用户区隔掉,即使已经租用了别的运营商的线路,照样可以使用本发明的SSL VPN服务。这用以前的运营模式是不可能实现的。
Claims (1)
1.一种分布式SSL VPN系统构架方法,其特征在于,包括如下步骤:
安装服务端;在不同运营商处安装交换单元设备并连接以构成SSL VPN交换平台;在客户端安装SSL VPN设备,并为所述SSL VPN设备分配唯一标识;为所述SSL VPN设备配置一个客户端局域网内部IP地址,使其可访问Internet并在所述SSL VPN交换平台上注册;客户端利用图形化配置向导,创建帐号和访问控制权限;进入SSL VPN使用工作流程,完成数据的交互传输;
其中,所述SSL VPN使用工作流程包括以下步骤:
a.开始;
b.所述服务端导入ID文件并尝试连接所述SSL VPN交换平台,如连接且注册成功,进入步骤c;如无法注册则继续尝试连接所述SSL VPN交换平台;
c.所述SSL VPN交换平台侦听是否有外部请求,如有客户端请求进入步骤d;
d.所述SSL VPN交换平台查询判断是否客户端已在SSL VPN交换平台注册,如果已注册,到步骤e;如果未注册,发送访问失败信息给客户端并到步骤i;
e.所述SSL VPN交换平台上各交换单元设备首先分别测试其自身至客户端和服务端的速度,然后选出其中访问客户端和服务端用时最少的交换单元设备,再将数据传输路径转移至选出的用时最少的交换单元设备上,选出的用时最少的交换单元设备透明转发客户端请求;到步骤f;
f.服务端身份认证模块检查认证客户端身份,如通过认证到步骤g,如未通过认证发送认证失败信息给客户端并到步骤i;
g.所述服务端访问控制检查客户端访问权限,如不满足访问权限条件,则发送拒绝服务信息给客户端并到步骤i;如满足访问权限条件,则进入步骤h;
h.所述SSL VPN交换平台与所述客户端建立SSL连接,然后解密数据,并发送至应用服务器,应用服务器处理数据,并返回响应,进入步骤i;
i.结束此次工作流程。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610025359XA CN101047599B (zh) | 2006-03-31 | 2006-03-31 | 一种分布式ssl vpn系统构架方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610025359XA CN101047599B (zh) | 2006-03-31 | 2006-03-31 | 一种分布式ssl vpn系统构架方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101047599A CN101047599A (zh) | 2007-10-03 |
| CN101047599B true CN101047599B (zh) | 2011-09-07 |
Family
ID=38771841
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200610025359XA Active CN101047599B (zh) | 2006-03-31 | 2006-03-31 | 一种分布式ssl vpn系统构架方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101047599B (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101132420B (zh) * | 2007-10-16 | 2012-03-14 | 杭州华三通信技术有限公司 | 一种基于ssl vpn的链接改写方法和设备 |
| CN101136834B (zh) * | 2007-10-19 | 2010-06-02 | 杭州华三通信技术有限公司 | 一种基于ssl vpn的链接改写方法和设备 |
| JP5212913B2 (ja) * | 2009-03-02 | 2013-06-19 | 日本電気株式会社 | Vpn接続システム、及びvpn接続方法 |
| CN101989974A (zh) * | 2009-08-04 | 2011-03-23 | 西安交大捷普网络科技有限公司 | 一种ssl vpn的内网web访问的安全控制方法 |
| US8914421B2 (en) * | 2010-02-11 | 2014-12-16 | Telefonaktiebolaget L M Ericsson (Publ) | Data management at a directory database |
| CN103684958B (zh) * | 2012-09-14 | 2017-04-19 | 中国电信股份有限公司 | 提供弹性vpn服务的方法、系统和vpn服务中心 |
| CN102970276B (zh) * | 2012-09-28 | 2016-05-25 | 中国电力科学研究院 | 基于隔离技术的电力专用移动终端安全工作的实现方法 |
| CN105939308B (zh) * | 2015-07-27 | 2018-11-27 | 杭州迪普科技股份有限公司 | 报文的处理方法和装置 |
| CN109379383B (zh) * | 2018-12-10 | 2021-01-26 | 杭州迪普科技股份有限公司 | 一种虚拟私有网络vpn客户端及实现方法 |
| CN110650065A (zh) * | 2019-09-24 | 2020-01-03 | 中国人民解放军战略支援部队信息工程大学 | 面向互联网的网络设备众测系统及测试方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1719813A (zh) * | 2004-07-09 | 2006-01-11 | 威达电股份有限公司 | 具ssl保护功能的安全网关及方法 |
-
2006
- 2006-03-31 CN CN200610025359XA patent/CN101047599B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1719813A (zh) * | 2004-07-09 | 2006-01-11 | 威达电股份有限公司 | 具ssl保护功能的安全网关及方法 |
Non-Patent Citations (2)
| Title |
|---|
| 刘敬轩等.基于SSL的VPN网关的设计与实现.《计算机应用》.2005,第25卷140-142. * |
| 李跃.基于SSL的VPN的研究与实现.《信息安全与通信保密》.2005,(第2期),103-105. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101047599A (zh) | 2007-10-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101047599B (zh) | 一种分布式ssl vpn系统构架方法 | |
| CN109918878B (zh) | 一种基于区块链的工业物联网设备身份认证及安全交互方法 | |
| CN102469078B (zh) | 一种参与校园网运营的实现方法及系统 | |
| CN101399671B (zh) | 一种跨域认证方法及其系统 | |
| CN100401706C (zh) | 一种虚拟专网客户端的接入方法及系统 | |
| US6237037B1 (en) | Method and arrangement relating to communications systems | |
| CN103619020B (zh) | 无线数据专网物理隔离互联网的移动支付安全系统 | |
| CN1874223B (zh) | 实现网络设备mac和ip绑定的接入控制方法 | |
| CN107800713A (zh) | 一种网间数据的安全交换方法及系统 | |
| CN101350814A (zh) | 一种安全远程接入技术及其网关 | |
| CN102882828A (zh) | 一种内网与外网间的信息安全传输控制方法及其网关 | |
| CN105306483B (zh) | 一种安全快速的匿名网络通信方法及系统 | |
| WO2006095438A1 (ja) | アクセス制御方法、アクセス制御システムおよびパケット通信装置 | |
| CN102006276A (zh) | 经由次级或经分割信令通信路径的许可证发放和证书分发 | |
| JP5972995B2 (ja) | 多数の中継サーバを有する保安管理システム及び保安管理方法 | |
| CN110855707A (zh) | 物联网通信管道安全控制系统和方法 | |
| CN106888191A (zh) | 等级保护多级安全互联系统及其互联方法 | |
| CN101511086A (zh) | 金融网点终端无线安全组网系统及方法 | |
| CN201846357U (zh) | 非现场行业安全网络构架 | |
| CN100499649C (zh) | 一种实现安全联盟备份和切换的方法 | |
| KR101703491B1 (ko) | 클라우드 시스템의 보안 서비스 제공방법 및 그 클라우드 시스템 | |
| KR100736205B1 (ko) | 인터넷을 통한 원격 웹 애플리케이션서비스 보안시스템 및인터넷 상에서의 보안시스템 서비스 제공방법 | |
| WO2017165948A1 (en) | Data storage and access platform with jurisdictional control | |
| CN100466599C (zh) | 一种专用局域网的安全访问方法及用于该方法的装置 | |
| CN100362804C (zh) | 一种在下一代网络中进行区域管理的方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: SHANGHAI DI'AN SOFTWARE TECHNOLOGY CO., LTD. Free format text: FORMER OWNER: YUAN CHUCHENG Effective date: 20140612 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 201206 PUDONG NEW AREA, SHANGHAI TO: 200040 JING'AN, SHANGHAI |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20140612 Address after: 200040, 13 floor, No. 1399 West Beijing Road, Shanghai, Jingan District BCD Patentee after: Shanghai one software technology Co., Ltd. Address before: 201206 Shanghai city Pudong New Area High School Road, Lane 58 Building No. 7 Room 202 Patentee before: Yuan Chucheng |
|
| C56 | Change in the name or address of the patentee | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 200040, 13 floor, No. 1399 West Beijing Road, Shanghai, Jingan District BCD Patentee after: SHANGHAI DI'AN TECHNOLOGY CO., LTD. Address before: 200040, 13 floor, No. 1399 West Beijing Road, Shanghai, Jingan District BCD Patentee before: Shanghai one software technology Co., Ltd. |
|
| CP02 | Change in the address of a patent holder |
Address after: 200050 T2-603, 1717 Tianshan Road, Changning District, Shanghai Patentee after: SHANGHAI DI'AN TECHNOLOGY CO., LTD. Address before: 200040 BCD, 13/F, 1399 Beijing West Road, Jing'an District, Shanghai Patentee before: SHANGHAI DI'AN TECHNOLOGY CO., LTD. |
|
| CP02 | Change in the address of a patent holder |