CN101132420A - 一种基于ssl vpn的链接改写方法和设备 - Google Patents
一种基于ssl vpn的链接改写方法和设备 Download PDFInfo
- Publication number
- CN101132420A CN101132420A CNA2007101640359A CN200710164035A CN101132420A CN 101132420 A CN101132420 A CN 101132420A CN A2007101640359 A CNA2007101640359 A CN A2007101640359A CN 200710164035 A CN200710164035 A CN 200710164035A CN 101132420 A CN101132420 A CN 101132420A
- Authority
- CN
- China
- Prior art keywords
- link
- ssl vpn
- gateway
- resource
- virtual route
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于SSL VPN的链接改写方法,包括以下步骤:SSL VPN网关接收到内网服务器向远程主机发送的链接;所述SSL VPN网关根据本地配置的内网服务器资源地址与以资源标识表示的网关虚拟路径的对应关系,对所述链接进行改写;所述SSL VPN网关将所述改写后的链接向所述远程主机发送。本发明还公开了一种SSL VPN网关设备。通过使用本发明,在网关虚拟路径中采用资源ID替换对应的真实网路路径,从而使得网关可以直接从请求中获取资源ID,根据ID提取表项索引,加快了表项的查找速度;同时,采用包含资源ID的虚拟路径可以有效缩短链接长度;另外,对“完全链接”所对应表项的查找仅在用户访问时才执行,避免了在页面改写时浪费时间。
Description
技术领域
本发明涉及网络技术领域,尤其涉及一种基于SSL VPN的链接改写方法和设备。
背景技术
SSL VPN是一种采用SSL(Security Socket Layer,安全套接层)加密连接实现远程访问的VPN(Virtual Private Network,虚拟专用网络)技术。SSLVPN的功能如图1所示。其中,远程主机与SSL VPN网关之间建立SSL连接,以加密方式在Internet上传送报文;而SSL VPN网关终结了SSL连接,与内网的服务器之间建立TCP(Transmission Control Protocol,传输控制协议)连接,以明文方式传送远程主机发来的请求,并将服务器的应答通过SSL连接发给远程主机。
页面中URL链接类型包括:
(1)完全链接。
完全链接是指链接中包含协议、主机名和路径的链接,例如:
<a href=″http://www.h3c.com/tech/index.htm″>
该语句表示:传输协议为http,主机为www.h3c.com,路径和页面为/tech/index.htm。
通过该完全链接包含了所要访问的主机地址,点击这样的链接,浏览器将会与指定的主机www.h3c.com建立新的连接,并向主机请求相应的页面。
(2)不完全的绝对链接。
不完全的绝对链接是指链接中不包含传输协议和主机地址,只包含相对于本网站根目录的绝对路径。
例如:<a href=″/portal/Home/Login″>
注:路径开头的“/”表示根目录。
不完全的绝对链接中没有指定传输协议,浏览器就默认为使用当前网页的传输协议。如果当前网页使用http协议,则访问该链接还使用http协议;如果当前网页使用https协议,则访问该链接还使用https协议。
另外,不完全的绝对链接也没有指定目的主机,浏览器就默认为使用当前页面的源主机。对此链接的访问,将向当前页面的源主机发起连接。链接中只说明了所要访问的目录和页面,为“/portal/Home/Login”。
(3)不完全的相对链接。
不完全的相对链接与上述不完全的绝对链接类似,链接中不包含传输协议和主机地址,区别在于所包含的路径不是网站的根目录,而是相对于当前网页的路径。
例如:<a href=″../Login″>
注:路径开头的“..”表示当前页面的父目录。
此例中,如果当前页面的路径为“/portal/Home/index.htm”,则“../Login”表示的路径就是“/portal/Home/Login”。
当所访问的内网服务器是Web服务器时,SSL VPN可以采用Web代理的方式实现远程主机对内网Web站点的访问。其过程如图2所示。其中,图中的方框表示返回的报文;WS1表示Web server1的IP地址;在SSL VPN网关上,假设将所有的连接都映射到“/svpn/”目录下。
如图2所示,以Web代理方式访问内网Web站点的过程如下:
步骤s201、SSL VPN网关将每个可以访问的内网web资源地址映射为一条SSL VPN网关上的虚拟路径。由SSL VPN网关维护着类似如下形式的映射表:
/svpn/web1/http://www.abc.com/xyz/
/svpn/web2/http://www.efg.com/xyz/uvw/
/svpn/web3/http://www.abc.com/hij/rst/
该表以下简称为“虚实路径映射表”。
步骤s202、用户通过Web浏览器,使用https协议登录SSL VPN网关,获得一张可以访问的web站点的列表。
列表中的链接都指向该资源所对应的SSL VPN网关虚拟路径。例如:
<a href=″/svpn/web1/″>
<a href=″/svpn/web2/″>
<a href=″/svpn/web3/″>
步骤s203、用户点击这些链接,远程主机将与SSL VPN网关建立SSL链接,并发出一个指向虚拟路径的Http请求,例如:
GET/svpn/web1/HTTP/1.1
Host:X.X.X.X
其中“X.X.X.X”是SSL VPN网关的地址或域名,GET后面跟的是Web页面所在的路径。“HTTP/1.1”是协议的版本。Http请求中的其它字段与SSL VPN网关的工作过程无关,在此不进行介绍。
远程主机只能发请求给SSL VPN网关,因为只有该设备有公网地址,内网服务器没有公网地址,远程主机无法直接访问。
步骤s204、SSL VPN网关终结SSL连接,转换Http请求,
SSL VPN网关根据虚实路径映射表,可找到虚拟路径所对应的真实URL,修改http请求中相关的字段,再进行转发。例如将步骤s203中的请求修改为:
GET/xyz/HTTP/1.1
Host:www.abc.com
转换过的请求将发往服务器“www.abc.com”,请求“/xyz/”目录下的页面。
步骤s205、Web Server1向SSL VPN网关返回应答的页面。
页面中包含着如下形式的链接:(html页面中表示链接的形式有很多,以下仅以href字段为例)
a)<a href=″http://www.abc.com/xyz/123/a.htm″>
b)<a href=″http://www.efg.com/xyz/uvw/456/b.htm″>
c)<a href=″http://www.abc.com/hij/rs/″>
d)<a href=″/abc/789.htm″>
e)<a href=″/abc/efg/lmn.htm″>
f)<a href=″../uvw/opq.htm″>
链接a)、b)和c)为“完全链接”,指向的都是内网服务器地址,这样的链接在外网无法访问。
链接d)和e)为“不完全的绝对链接”,指向的是原服务器上的一个固定目录。这些目录不是SSL VPN网关上的虚拟目录,如果用户直接向网关请求这样路径,SSL VPN网关无法找到对应的内网资源,因而不能正确处理。
链接f)为“不完全的相对链接”,不用改写,该链接指向的是相对于当前网页的相对路径。如果当前路径是正确的SSL VPN网关上的虚拟路径,则该路径指向的仍然是一条SSL VPN网关上的虚拟路径。
步骤s206、根据映射表,SSL VPN网关对内网返回的页面进行URL改写,使得原来的http链接变成https链接,使得原来指向内网服务器的链接都映射为SSL VPN网关上的路径。步骤s205中所述页面的链接应该被改写成以下形式:
a)<a href=″/svpn/web1/123/a.htm″>
b)<a href=″/svpn/web2/456/b.htm″>
c)<a href=″/svpn/web3/″>
d)<a href=″/svpn/web1/abc/789.htm″>
e)<a href=″/svpn/web1/abc/efg/lmn.htm″>
f)<a href=″../uvw/opq.htm″>
链接a)、b)、c)根据“虚实路径映射表”将链接对应的目录替换为SSL VPN网关上的虚拟路径。这里将原来的“完全链接”改写“不完全链接”,使得该链接继承了当前页面的传输协议类型,从而实现了由http向https的转变。
链接d)、e)则是根据内网服务器的地址,确定其对应的虚拟路径根目录为“/svpn/web1/”而进行的改写。
链接f)没有修改。
步骤s207、SSL VPN网关将改写后的页面返回给远程主机。
在上述实现过程中,步骤s206的URL改写是关键的。SSL VPN网关必须要将内网返回页面中的URL链接进行改写,使其指向SSL VPN网关,并且将传输协议由http变为https。否则在外网的用户无法通过SSL VPN网关获取内网的页面。实现URL改写的方法可以有多种。不同的改写方式,将会对系统的处理难度和复杂度带来不同的影响。
现有技术中提出了一种方法,该将原URL转化为某种格式的路径,该路径包含了原链接的全部信息,包括:原传输协议、原服务器地址、原服务器的端口号、要访问的目录和网页,使得网关通过分析路径后,可以确定要访问的目的网页;同时由于不同的网站用不同的路径来表示,保证了cookie的正常使用。具体的转化方法为:
(1)对于完全链接,将传输协议、端口号、内网服务器地址等一起转化为路径,在前面再加上网关地址作为链接的主机地址、加上https作为传输协议。
例如:对于完全链接:http://www.h3c.com/path1/index1.htm,转化后的结果为:https://www.gateway.com/http/0/www.h3c.com/path1/index1.htm,其中www.gateway.com为网关地址,0表示默认端口号。
(2)对于不完全绝对链接,将传输协议、端口号、内网服务器地址等一起转化为路径,不用再加上网关的地址。
例如:对于不完全绝对链接:/path1/index.htm,转化后的结果为:/http/0/www.h3c.com/path1/index.htm,其中www.h3c.com为当前网页源自的主机。
使用该方法时存在的问题在于:在改写的时候需要对原链接进行分析,剥离出该链接中的协议类型、端口号以及主机名,然后改写为特定的形式,影响处理效率;且转换后的链接较长,访问该地址时始终携带此长路径,降低了传输效率。
发明内容
本发明提供一种基于SSL VPN的链接改写方法和设备,以实现对从内网服务器接收到的向远程主机返回的页面中的链接进行改写。
为达到上述目的,本发明提供一种基于SSL VPN的链接改写方法,包括以下步骤:
SSL VPN网关接收到内网服务器向远程主机发送的链接;
所述SSL VPN网关根据本地配置的内网服务器资源地址与以资源标识表示的网关虚拟路径的对应关系,资源标识对所述链接进行改写;
所述SSL VPN网关将所述改写后的链接向所述远程主机发送。
其中,所述SSLVPN网关接收到内网服务器向远程主机发送的链接的步骤前,还包括:
所述SSL VPN网关为与其连接的内网服务器中的资源地址分配资源标识,建立内网服务器中的资源地址与以所述资源标识表示的网关虚拟路径的对应关系。
其中,所述资源标识至少包括随机数部分和资源索引部分。
其中,所述SSL VPN网关根据本地配置的内网服务器资源地址与以资源标识表示的网关虚拟路径的对应关系,根据本地存储的资源标识对所述链接进行改写的步骤具体为:
所述链接为不完全绝对链接或完全链接时,所述SSL VPN网关根据所述对应关系,将所述链接中的内网服务器中的资源地址替换为以所述资源标识表示的网关虚拟路径。
其中,所述SSL VPN网关根据本地配置的内网服务器资源地址与以资源标识表示的网关虚拟路径的对应关系,根据本地存储的资源标识对所述链接进行改写的步骤具体为:
所述链接为完全链接时,所述SSL VPN网关处理所述完全链接得到重定向参数,将所述链接替换为包括所述重定向参数的重定向链接页面。
其中,所述SSL VPN网关处理所述完全链接得到重定向参数的步骤具体为:
所述SSL VPN网关对所述完全链接进行编码或加密,得到重定向参数。
其中,所述链接为完全链接时,所述SSL VPN网关将所述改写后的链接向所述远程主机发送后还包括步骤:
所述SSL VPN网关接收远程主机发送的访问所述重定向链接页面的请求;
所述SSL VPN网关根据所述重定向链接页面以及所述本地配置的资源标识本地配置的内网服务器资源地址与以资源标识表示的网关虚拟路径的对应关系,获得网关虚拟路径;
所述SSL VPN网关向所述远程主机发送包括所述网关虚拟路径的重定向报文。
其中,所述SSL VPN网关根据所述重定向链接页面以及所述本地配置的资源标识本地配置的内网服务器资源地址与以资源标识表示的网关虚拟路径的对应关系,获得网关虚拟路径的步骤具体为:
所述SSL VPN网关根据所述重定向链接页面获取完全链接;
所述SSL VPN网关将所述完全链接中的内网服务器中的资源地址替换为以所述本地配置的资源标识表示的网关虚拟路径。
本发明还提供一种SSL VPN网关设备,用于对从内网服务器接收到的向远程主机返回的页面中的链接进行改写,包括:
内网服务器接口,用于将从内网服务器接收到的向远程主机返回的页面中的链接发送到链接改写单元;
链接改写单元,用于根据本地配置的内网服务器资源地址与以资源标识表示的网关虚拟路径的对应关系根据本地配置的资源标识,对从所述内网服务器接口接收到的内网服务器向远程主机返回的页面中的链接进行改写,并将改写后的链接向远程主机接口发送;
远程主机接口,用于将所述链接改写单元改写后的链接向所述远程主机发送。
其中,还包括:
资源配置单元,用于建立内网服务器中的资源地址与以资源标识表示的网关虚拟路径的对应关系,以供所述链接改写单元进行链接改写。
其中,所述链接改写单元进一步包括:
判断子单元,用于对从所述内网服务器接口接收到的内网服务器向远程主机返回的页面中的链接类型进行判断,对于不完全绝对链接,发送到不完全绝对链接改写子单元;对于完全链接,发送到完全链接改写子单元处理;
不完全绝对链接改写子单元,用于接收到所述判断子单元发送的不完全绝对链接时,根据所述资源配置单元提供的对应关系,将所述链接中的内网服务器中的资源地址替换为以所述资源标识表示的网关虚拟路径;
完全链接改写子单元,用于接收到所述判断子单元发送的完全链接时,根据所述资源配置单元提供的对应关系,将所述链接中的内网服务器中的资源地址替换为以所述资源标识表示的网关虚拟路径;或处理所述完全链接得到重定向参数,将所述链接替换为包括所述重定向参数的重定向链接页面。
其中,还包括:
重定向报文生成单元,用于接收到用户访问改写后的完全链接中的重定向链接页面的请求时,根据所述重定向链接页面获得网关虚拟路径;并向所述远程主机发送包括所述网关虚拟路径的重定向报文。
与现有技术相比,本发明具有以下优点:
在网关虚拟路径中采用资源ID替换对应的真实网络路径,从而使得网关可以直接从请求中获取资源ID,根据ID提取表项索引,加快了表项的查找速度;同时,采用包含资源ID的虚拟路径可以有效缩短链接长度,并隐藏了真实的网址;另外,对“完全链接”所对应表项的查找仅在用户访问时才执行,避免了在页面改写时浪费时间。
附图说明
图1是现有技术中SSL VPN的功能示意图;
图2是现有技术中Web代理与URL改写的示意图;
图3是本发明中基于SSL VPN的链接改写方法的流程图;
图4是本发明的应用场景中基于SSL VPN的链接改写方法的流程图;
图5是本发明中一种SSL VPN网关设备的结构示意图。
具体实施方式
本发明的核心思想在于,在SSL VPN网关设备上为内网服务器中的资源地址分配资源标识,建立内网服务器中的资源地址与以该资源标识表示的网关虚拟路径的对应关系。在对链接进行改写时,采用资源标识替换对应的真实网络路径,以缩短链接长度、加快表项查找速度。另外,对完全链接可以在进行编码后直接发送,链接所对应表项的查找仅在访问该链接时才执行,避免了在页面改写时浪费时间。
本发明一种基于SSL VPN的链接改写方法如图3所示,包括以下步骤:
步骤s301、SSL VPN网关接收到内网服务器向远程主机发送的链接。
步骤s302、SSL VPN网关根据本地配置的内网服务器资源地址与以资源标识表示的网关虚拟路径的对应关系,对链接进行改写。
该资源标识是预先在SSL VPN网关本地配置的,SSL VPN网关还建立了内网服务器中的资源地址与以该资源标识表示的网关虚拟路径的对应关系;根据该对应关系,对链接中的内网服务器资源地址进行改写。该该链接包括“完全链接”和“不完全绝对链接”。
步骤s303、SSL VPN网关将改写后的链接向远程主机发送。
以下结合实施例和具体的应用场景,对本发明的实施方式做进一步的说明。本发明一种基于SSL VPN的链接改写方法如图4所示,包括如下步骤:
步骤s401、SSL VPN网关为每个web资源分配一资源ID。
以资源ID为32bit为例,资源ID的编码格式如下:
ResID(32bit)=Random(20bit)+Index(12bit)
其中,ResID为资源ID,Random为随机数,Index为映射表索引。根据表项索引,通过某种算法可以很快得到映射表表项。
在虚拟路径中的ResID为十进制数字字符串,32位的二进制数对应的十进制数最长为10位(0~4294967295)。其中,Random可以用来识别原先已经失效的资源ID。新添加的表项很可能占用的是原来一个已经删除表项的映射表索引,这时虽然Index相同,由于Index前面的Random不同,所以组成的ResID不同,系统可以识别出原来的资源ID已经失效。用户所访问的某一Web资源通过相应的资源ID来唯一标识。网关对于每一个请求报文的处理都会通过对应的资源ID来检查其合法性,一旦发现资源ID不存在则拒绝用户请求。如果不引入随机数机制,假设用户在访问资源的过程中,该资源被删除,新创建资源的索引和被删除资源的索引相同,在没有随机数时,资源ID将相同,那么用户依然可以访问原来的Web资源。
步骤s402、SSL VPN网关建立以资源ID为标识的“虚实路径映射表”。
“虚实路径映射表”的格式可以如表1所示,其中包括资源索引、资源ID、网关虚拟路径以及Web资源的URL。
表1:
资源索引 | 资源ID | 网关虚拟路径 | Web资源的URL |
1001 | 1099498473 | /svpn/1099498473/ | http://www.abc.com/xyz/ |
1002 | 1465975786 | /svpn/1465975786/ | http://www.efg.com/xyz/uvw/ |
1003 | 2187789291 | /svpn/2187789291/ | http://www.abc.com/hij/rst/ |
步骤s403、SSL VPN网关接收到需要进行改写的URL时,对URL的类型进行判断,为“不完全绝对链接”时进行步骤s404,为“完全链接”时进行步骤s406,为“不完全的相对链接”时不进行处理直接发送。
步骤s404、SSL VPN网关对接收到的“不完全绝对链接”进行改写。
“不完全绝对链接”都是相对于当前访问网站的路径。而SSL VPN网关可以根据当前会话(保存着通讯站点信息)确定当前网站所对应的资源ID,进而替换掉链接中与之对应的路径。
例如表1所示的“虚实路径映射表”中存在这样的映射表项:
/svpn/1099498473/http://ww.abc.com/xyz/。
则若接收到的“不完全绝对链接”为“/xyz/path/page.htm”时,采用“/svpn/1099498473/”替换了原路径中的“/xyz/”,则改写后的结果为:/xyz/path/page.htm/svpn/1099498473/path/page.htm
步骤s405、SSL VPN网关将改写后的“不完全绝对链接”向远程主机发送并结束。
远程主机的用户如果点击了改写后的“不完全绝对链接”,则在SSL VPN网关收到的浏览器发来的URL请求应该形如:“/svpn/ResID/path/page.htm”,SSL VPN网关可以通过获取资源ID,快速找到“虚实路径映射表”中对应的表项。从而简化了SSL VPN网关对虚拟路径的分析,提高了处理效率。
步骤s406、SSL VPN网关对接收到的“完全链接”进行改写。
SSL VPN网关在分析页面遇到“完全链接”的时候,可以按照上述处理“不完全绝对链接”的方法,直接查找链接对应的资源ID并对链接进行改写,该处理方式与上述步骤s404中“不完全绝对链接”的处理方式相同,在此不做重复介绍。
考虑到进行直接查找链接对应的资源ID,可能会降低了页面处理效率,因此本步骤采用另外一种处理方式:在此直接将原链接作为CGI(CommonGateway Interface,公共网关界面)的参数,不做任何分析和修改。由于用户不一定会访问页面上被改写的完全链接,因而没有必要在转换链接时花费太多的时间。
例如完全链接为:“http://www.domain.com/dir/path/page.htm?param”,则改写后的重定向链接为:“/svpn/redirect.cgi?url=link_path”。
其中,“/svpn/redirect.cgi”是SSL VPN网关上专门处理“完全链接”改写的CGI页面;link_path为对原链接的编码或加密,即:
link_path=encode(http://www.domain.com/dir/path/page.htm?params)
该编码可以采用常用的base64编码,即link_path=base64(http://www.domain.com/dir/path/page.htm?params)。base64编码方式产生的字符为文字字符(字母、数字、+、/),不会影响http请求的解析,且编码后长度增大不超过原字符长度1/3。
步骤s407、SSL VPN网关将改写后的“完全链接”向远程主机发送。
步骤s408、SSL VPN网关接收到远程主机发送的访问改写后的“完全链接”的请求。
远程主机的用户如果点击了改写后的完全链接,则会向SSL VPN网关发出请求,请求访问改写后的“完全链接”中的redirect.cgi。
步骤s409、SSL VPN网关向远程主机发送重定向报文并结束。
SSL VPN网关处理redirect.cgi时,从url参数link_path中解码出原来的“页面请求”。在“虚拟路径映射表”中查询所请求的路径是否存在。如果不存在,则拒绝请求;否则,使用表项中的虚拟路径替换请求中对应的真实路径部分,形成有效的“网关虚拟路径”。该过程与步骤s404中对接收到的“不完全绝对链接”进行改写的方法相同,在此不进行重复描述。
最后,返回重定向报文,引导浏览器访问正确的“网关虚拟路径”。之所以采用重定向,而不是直接转发给内网服务器,是为了使浏览器得到一个前后一致的路径,从而正确地使用cookie。
实现重定向的方法有多种,以下仅举一例,说明重定向的实现方法,其所使用的重定向报文内容为:
HTTP/1.1307Temporary Redirect
Server:SSL VPN PROXY
Location:https://192.168.111.88/svpn/web1/images/ed word.gif
Pragma:no-cache
Cache-Control:no-cache
Content-Type:text/html
Content-Length:278
<HTML>
<HEAD><META HTTP-EQUIV=″REFRESH″CONTENT=″0;URL=
https://192.168.111.88/svpn/web1/images/ed word.gif″>
<TITLE>SSL VPN PROXY</TITLE>
</HEAD>
<BODY><A href=″https://192.168.111.88/svpn/web1/images/ed_word.gif
″>url moved</A></BODY>
</HTML>
在上述报文中,采用Http协议的307号应答报文进行重定向,并且附加了一个html重定向页面,其中使用META元素的HTTP-EQUIV属性的refresh方法,要求浏览器按照指定的地址刷新页面,从而保证了在客户端浏览器不支持307号报文时,也能进行重定向。重定向报文中所包括的重定向的结果为:https://192.168.111.88/svpn/web1/images/ed_word.gif,其中假设192.168.111.88为SSL VPN网关的IP地址。
通过使用本发明的实施例提供的上述方法,在网关虚拟路径中采用资源ID替换对应的真实网路路径,从而使得网关可以直接从请求中获取资源ID,根据ID提取表项索引,加快了表项的查找速度;同时,采用包含资源ID的虚拟路径可以有效缩短链接长度,并隐藏了真实的网址;另外,对“完全链接”所对应表项的查找仅在用户访问时才执行,避免了在页面改写时浪费时间。
本发明还提供了一种SSL VPN网关设备,用于对从内网服务器接收到的向远程主机返回的页面中的链接进行改写。该SSL VPN网关设备的结构如图5所示,包括:
内网服务器接口10,用于与内网服务器和链接改写单元30连接,将从内网服务器接收到的向远程主机返回的页面中的URL发送到链接改写单元30。
资源配置单元20,与链接改写单元30以及重定向报文生成单元50连接。用于建立以资源ID为标识的“虚实路径映射表”,即建立内网服务器中的资源地址与以资源ID表示的网关虚拟路径的对应关系,其中包括资源索引、资源ID、网关虚拟路径以及Web资源的URL,以供链接改写单元30进行链接改写以及重定向报文生成单元50生成重定向报文时使用。
链接改写单元30,与内网服务器接口10、资源配置单元20以及远程主机接口40连接,用于根据资源配置单元20的配置,对从内网服务器接口10接收到的内网服务器向远程主机返回的页面中的链接进行改写,并将改写后的链接向远程主机接口40发送。
远程主机接口40,与链接改写单元30以及重定向报文生成单元50连接。用于将链接改写单元30改写后的链接、以及重定向报文生成单元50生成的重定向报文向远程主机发送。
重定向报文生成单元50,与远程主机接口40连接。用于接收到用户访问改写后完全链接中的重定向页面请求时,对改写后的完全链接进行解码,并使用表项中的虚拟路径替换请求中对应的真实路径部分,形成有效的“网关虚拟路径”,并将该有效的“网关虚拟路径”添加在重定向报文中向远程主机接口40发送。
其中,链接改写单元30进一步包括:
判断子单元31,用于对从内网服务器接口10接收到的内网服务器向远程主机返回的页面中的URL的类型进行判断,对于不完全绝对链接,发送到不完全绝对链接改写子单元32处理;对于完全链接,发送到完全链接改写子单元33处理。
不完全绝对链接改写子单元32,用于接收到判断子单元31发送的不完全绝对链接时,根据资源配置单元20提供的“虚实路径映射表”,确定不完全绝对链接中的当前网站所对应的资源ID,进而替换掉链接中与之对应的路径。并将改写后的链接向远程主机接口40发送。
完全链接改写子单元33,用于接收到判断子单元31发送的完全链接时,对完全链接进行改写,并向远程主机接口40发送。改写方式可以包括:根据资源配置单元20提供的对应关系,将链接中的内网服务器中的资源地址替换为以资源ID表示的网关虚拟路径;或处理完全链接得到重定向参数,将链接替换为包括该重定向参数的重定向页面,该处理可以为编码或加密。
通过使用本发明的实施例提供的上述SSL VPN网关设备,在网关虚拟路径中采用资源ID替换对应的真实网路路径,从而使得网关可以直接从请求中获取资源ID,根据ID提取表项索引,加快了表项的查找速度;同时,采用包含资源ID的虚拟路径可以有效缩短链接长度,并隐藏了真实的网址;另外,对“完全链接”所对应表项的查找仅在用户访问时才执行,避免了在页面改写时浪费时间。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (12)
1.一种基于SSL VPN的链接改写方法,其特征在于,包括以下步骤:
SSL VPN网关接收到内网服务器向远程主机发送的链接;
所述SSL VPN网关根据本地配置的内网服务器资源地址与以资源标识表示的网关虚拟路径的对应关系,对所述链接进行改写;
所述SSL VPN网关将所述改写后的链接向所述远程主机发送。
2.如权利要求1所述基于SSL VPN的链接改写方法,其特征在于,所述SSL VPN网关接收到内网服务器向远程主机发送的链接的步骤前,还包括:
所述SSL VPN网关为与其连接的内网服务器中的资源地址分配资源标识,建立内网服务器中的资源地址与以所述资源标识表示的网关虚拟路径的对应关系。
3.如权利要求2所述基于SSL VPN的链接改写方法,其特征在于,所述资源标识至少包括随机数部分和资源索引部分。
4.如权利要求1或2所述基于SSL VPN的链接改写方法,其特征在于,所述SSL VPN网关根据本地配置的内网服务器资源地址与以资源标识表示的网关虚拟路径的对应关系,对所述链接进行改写的步骤具体为:
所述链接为不完全绝对链接或完全链接时,所述SSL VPN网关根据所述对应关系,将所述链接中的内网服务器中的资源地址替换为以所述资源标识表示的网关虚拟路径。
5.如权利要求1或2所述基于SSL VPN的链接改写方法,其特征在于,所述SSL VPN网关根据本地配置的内网服务器资源地址与以资源标识表示的网关虚拟路径的对应关系,对所述链接进行改写的步骤具体为:
所述链接为完全链接时,所述SSL VPN网关处理所述完全链接得到重定向参数,将所述链接替换为包括所述重定向参数的重定向链接。
6.如权利要求5所述基于SSL VPN的链接改写方法,其特征在于,所述SSL VPN网关处理所述完全链接得到重定向参数的步骤具体为:
所述SSL VPN网关对所述完全链接进行编码或加密,得到重定向参数。
7.如权利要求5所述基于SSL VPN的链接改写方法,其特征在于,所述链接为完全链接时,所述SSL VPN网关将所述改写后的链接向所述远程主机发送后还包括步骤:
所述SSL VPN网关接收远程主机发送的访问所述重定向链接的请求;
所述SSL VPN网关根据所述重定向链接以及所述本地配置的内网服务器资源地址与以资源标识表示的网关虚拟路径的对应关系,获得网关虚拟路径;
所述SSL VPN网关向所述远程主机发送包括所述网关虚拟路径的重定向报文。
8.如权利要求7所述基于SSL VPN的链接改写方法,其特征在于,所述SSL VPN网关根据所述重定向链接以及所述本地配置的内网服务器资源地址与以资源标识表示的网关虚拟路径的对应关系,获得网关虚拟路径的步骤具体为:
所述SSL VPN网关根据所述重定向链接获取完全链接;
所述SSL VPN网关将所述完全链接中的内网服务器中的资源地址替换为以所述本地配置的资源标识表示的网关虚拟路径。
9.一种SSL VPN网关设备,用于对从内网服务器接收到的向远程主机返回的页面中的链接进行改写,其特征在于,包括:
内网服务器接口,用于将从内网服务器接收到的向远程主机返回的页面中的链接发送到链接改写单元;
链接改写单元,用于根据本地配置的内网服务器资源地址与以资源标识表示的网关虚拟路径的对应关系,对从所述内网服务器接口接收到的内网服务器向远程主机返回的页面中的链接进行改写,并将改写后的链接向远程主机接口发送;
远程主机接口,用于将所述链接改写单元改写后的链接向所述远程主机发送。
10.如权利要求9所述SSL VPN网关设备,其特征在于,还包括:
资源配置单元,用于建立内网服务器中的资源地址与以资源标识表示的网关虚拟路径的对应关系,以供所述链接改写单元进行链接改写。
11.如权利要求9或10所述SSL VPN网关设备,其特征在于,所述链接改写单元进一步包括:
判断子单元,用于对从所述内网服务器接口接收到的内网服务器向远程主机返回的页面中的链接类型进行判断,对于不完全绝对链接,发送到不完全绝对链接改写子单元;对于完全链接,发送到完全链接改写子单元处理;
不完全绝对链接改写子单元,用于接收到所述判断子单元发送的不完全绝对链接时,根据所述资源配置单元提供的对应关系,将所述链接中的内网服务器中的资源地址替换为以所述资源标识表示的网关虚拟路径;
完全链接改写子单元,用于接收到所述判断子单元发送的完全链接时,根据所述资源配置单元提供的对应关系,将所述链接中的内网服务器中的资源地址替换为以所述资源标识表示的网关虚拟路径;或处理所述完全链接得到重定向参数,将所述链接替换为包括所述重定向参数的重定向链接。
12.如权利要求11所述SSL VPN网关设备,其特征在于,还包括:
重定向报文生成单元,用于接收到用户访问改写后的完全链接中的重定向链接的请求时,根据所述重定向链接获得网关虚拟路径;并向所述远程主机发送包括所述网关虚拟路径的重定向报文。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2007101640359A CN101132420B (zh) | 2007-10-16 | 2007-10-16 | 一种基于ssl vpn的链接改写方法和设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2007101640359A CN101132420B (zh) | 2007-10-16 | 2007-10-16 | 一种基于ssl vpn的链接改写方法和设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101132420A true CN101132420A (zh) | 2008-02-27 |
CN101132420B CN101132420B (zh) | 2012-03-14 |
Family
ID=39129542
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2007101640359A Active CN101132420B (zh) | 2007-10-16 | 2007-10-16 | 一种基于ssl vpn的链接改写方法和设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101132420B (zh) |
Cited By (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009132594A1 (zh) * | 2008-04-30 | 2009-11-05 | 成都市华为赛门铁克科技有限公司 | 实现私网之间转发数据的方法和系统 |
CN101242336B (zh) * | 2008-03-13 | 2010-12-01 | 杭州华三通信技术有限公司 | 远程访问内网Web服务器的方法及Web代理服务器 |
CN101964799A (zh) * | 2010-10-21 | 2011-02-02 | 神州数码网络(北京)有限公司 | 点到网隧道方式下地址冲突的解决方法 |
CN101729543B (zh) * | 2009-12-04 | 2012-10-03 | 同济大学 | 利用异地Socks5技术改善移动SSL VPN性能的方法 |
CN102752267A (zh) * | 2011-04-20 | 2012-10-24 | 阿里巴巴集团控股有限公司 | 网址信息提供方法及装置 |
CN102801769A (zh) * | 2012-03-01 | 2012-11-28 | 盛乐信息技术(上海)有限公司 | 短链接生成方法及系统 |
CN102810089A (zh) * | 2011-05-30 | 2012-12-05 | 盛乐信息技术(上海)有限公司 | 基于内容的短链接系统及实现方法 |
WO2012163005A1 (zh) * | 2011-10-14 | 2012-12-06 | 华为技术有限公司 | 访问虚拟专用网络的方法、装置以及网关设备 |
CN105634904A (zh) * | 2016-01-19 | 2016-06-01 | 深圳前海达闼云端智能科技有限公司 | 一种sslvpn的代理方法、服务器以及客户端及其处理方法 |
CN106027354A (zh) * | 2016-05-19 | 2016-10-12 | 杭州迪普科技有限公司 | Vpn客户端的回流方法及装置 |
CN107317845A (zh) * | 2017-06-07 | 2017-11-03 | 北京星网锐捷网络技术有限公司 | 基于Web代理的数据获取方法及装置 |
CN107430614A (zh) * | 2015-08-25 | 2017-12-01 | 谷歌公司 | 到对应资源的应用局部深度链接 |
CN109525478A (zh) * | 2018-12-17 | 2019-03-26 | 杭州迪普科技股份有限公司 | 一种ssl vpn连接方法及装置 |
CN112260988A (zh) * | 2020-09-16 | 2021-01-22 | 厦门网宿有限公司 | 一种异常请求处理方法和装置 |
CN112307369A (zh) * | 2019-07-31 | 2021-02-02 | 腾讯科技(深圳)有限公司 | 一种短链接处理方法、装置、终端及存储介质 |
CN113179251A (zh) * | 2021-03-29 | 2021-07-27 | 新华三信息安全技术有限公司 | 一种前端文件处理方法、装置、设备及机器可读存储介质 |
WO2021253244A1 (zh) * | 2020-06-16 | 2021-12-23 | Oppo广东移动通信有限公司 | 资源发布方法、装置、网关、云平台及计算机存储介质 |
CN114157485A (zh) * | 2021-12-03 | 2022-03-08 | 北京天融信网络安全技术有限公司 | 一种资源访问方法、装置和电子设备 |
CN114979119A (zh) * | 2022-05-23 | 2022-08-30 | 深圳市云语科技有限公司 | 一种在文件传输系统通过虚拟路径支持多存储的方法 |
CN115913690A (zh) * | 2022-11-09 | 2023-04-04 | 中国联合网络通信集团有限公司 | 内网上网配置方法、装置、设备及介质 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7536382B2 (en) * | 2004-03-31 | 2009-05-19 | Google Inc. | Query rewriting with entity detection |
JP4777028B2 (ja) * | 2005-09-15 | 2011-09-21 | 株式会社東芝 | 読影支援装置、読影支援システム、読影レポートデータ授受方法および読影支援プログラム |
CN101047599B (zh) * | 2006-03-31 | 2011-09-07 | 袁初成 | 一种分布式ssl vpn系统构架方法 |
-
2007
- 2007-10-16 CN CN2007101640359A patent/CN101132420B/zh active Active
Cited By (35)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101242336B (zh) * | 2008-03-13 | 2010-12-01 | 杭州华三通信技术有限公司 | 远程访问内网Web服务器的方法及Web代理服务器 |
US8549286B2 (en) | 2008-04-30 | 2013-10-01 | Chengdu Huawei Symantec Technologies Co., Ltd. | Method and system for forwarding data between private networks |
CN101572643B (zh) * | 2008-04-30 | 2011-06-22 | 成都市华为赛门铁克科技有限公司 | 实现私网之间转发数据的方法和系统 |
WO2009132594A1 (zh) * | 2008-04-30 | 2009-11-05 | 成都市华为赛门铁克科技有限公司 | 实现私网之间转发数据的方法和系统 |
CN101729543B (zh) * | 2009-12-04 | 2012-10-03 | 同济大学 | 利用异地Socks5技术改善移动SSL VPN性能的方法 |
CN101964799A (zh) * | 2010-10-21 | 2011-02-02 | 神州数码网络(北京)有限公司 | 点到网隧道方式下地址冲突的解决方法 |
CN101964799B (zh) * | 2010-10-21 | 2014-06-04 | 神州数码网络(北京)有限公司 | 点到网隧道方式下地址冲突的解决方法 |
CN102752267A (zh) * | 2011-04-20 | 2012-10-24 | 阿里巴巴集团控股有限公司 | 网址信息提供方法及装置 |
CN102752267B (zh) * | 2011-04-20 | 2016-08-03 | 阿里巴巴集团控股有限公司 | 网址信息提供方法及装置 |
CN102810089A (zh) * | 2011-05-30 | 2012-12-05 | 盛乐信息技术(上海)有限公司 | 基于内容的短链接系统及实现方法 |
WO2012163005A1 (zh) * | 2011-10-14 | 2012-12-06 | 华为技术有限公司 | 访问虚拟专用网络的方法、装置以及网关设备 |
CN103168450A (zh) * | 2011-10-14 | 2013-06-19 | 华为技术有限公司 | 访问虚拟专用网络的方法、装置以及网关设备 |
CN103168450B (zh) * | 2011-10-14 | 2015-11-25 | 华为技术有限公司 | 访问虚拟专用网络的方法、装置以及网关设备 |
CN102801769A (zh) * | 2012-03-01 | 2012-11-28 | 盛乐信息技术(上海)有限公司 | 短链接生成方法及系统 |
CN107430614B (zh) * | 2015-08-25 | 2021-01-22 | 谷歌有限责任公司 | 到对应资源的应用局部深度链接 |
CN107430614A (zh) * | 2015-08-25 | 2017-12-01 | 谷歌公司 | 到对应资源的应用局部深度链接 |
CN105634904A (zh) * | 2016-01-19 | 2016-06-01 | 深圳前海达闼云端智能科技有限公司 | 一种sslvpn的代理方法、服务器以及客户端及其处理方法 |
CN105634904B (zh) * | 2016-01-19 | 2019-02-19 | 深圳前海达闼云端智能科技有限公司 | 一种sslvpn的代理方法、服务器以及客户端及其处理方法 |
CN106027354A (zh) * | 2016-05-19 | 2016-10-12 | 杭州迪普科技有限公司 | Vpn客户端的回流方法及装置 |
CN106027354B (zh) * | 2016-05-19 | 2019-03-15 | 杭州迪普科技股份有限公司 | Vpn客户端的回流方法及装置 |
CN107317845A (zh) * | 2017-06-07 | 2017-11-03 | 北京星网锐捷网络技术有限公司 | 基于Web代理的数据获取方法及装置 |
CN109525478A (zh) * | 2018-12-17 | 2019-03-26 | 杭州迪普科技股份有限公司 | 一种ssl vpn连接方法及装置 |
CN109525478B (zh) * | 2018-12-17 | 2021-08-24 | 杭州迪普科技股份有限公司 | 一种ssl vpn连接方法及装置 |
CN112307369A (zh) * | 2019-07-31 | 2021-02-02 | 腾讯科技(深圳)有限公司 | 一种短链接处理方法、装置、终端及存储介质 |
CN115834582A (zh) * | 2020-06-16 | 2023-03-21 | Oppo广东移动通信有限公司 | 资源发布方法、装置、网关、云平台及计算机存储介质 |
WO2021253244A1 (zh) * | 2020-06-16 | 2021-12-23 | Oppo广东移动通信有限公司 | 资源发布方法、装置、网关、云平台及计算机存储介质 |
US11750716B2 (en) | 2020-06-16 | 2023-09-05 | Guangdong Oppo Mobile Telecommunications Corp., Ltd. | Methods for publishing resource, and gateway |
CN112260988A (zh) * | 2020-09-16 | 2021-01-22 | 厦门网宿有限公司 | 一种异常请求处理方法和装置 |
CN112260988B (zh) * | 2020-09-16 | 2021-09-24 | 厦门网宿有限公司 | 一种异常请求处理方法和装置 |
CN113179251A (zh) * | 2021-03-29 | 2021-07-27 | 新华三信息安全技术有限公司 | 一种前端文件处理方法、装置、设备及机器可读存储介质 |
CN113179251B (zh) * | 2021-03-29 | 2022-05-27 | 新华三信息安全技术有限公司 | 一种前端文件处理方法、装置、设备及机器可读存储介质 |
CN114157485A (zh) * | 2021-12-03 | 2022-03-08 | 北京天融信网络安全技术有限公司 | 一种资源访问方法、装置和电子设备 |
CN114979119A (zh) * | 2022-05-23 | 2022-08-30 | 深圳市云语科技有限公司 | 一种在文件传输系统通过虚拟路径支持多存储的方法 |
CN115913690A (zh) * | 2022-11-09 | 2023-04-04 | 中国联合网络通信集团有限公司 | 内网上网配置方法、装置、设备及介质 |
CN115913690B (zh) * | 2022-11-09 | 2024-03-12 | 中国联合网络通信集团有限公司 | 内网上网配置方法、装置、设备及介质 |
Also Published As
Publication number | Publication date |
---|---|
CN101132420B (zh) | 2012-03-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101132420B (zh) | 一种基于ssl vpn的链接改写方法和设备 | |
CN101242336B (zh) | 远程访问内网Web服务器的方法及Web代理服务器 | |
CN102783119B (zh) | 访问控制方法、系统及接入终端 | |
JP3807961B2 (ja) | セッション管理方法、セッション管理システムおよびプログラム | |
US8930544B2 (en) | Network resource identification | |
CN103503419B (zh) | 使用网页代理服务器访问具有分配的网络地址的设备的系统和方法 | |
CN101582856B (zh) | 一种门户服务器与宽带接入设备的会话建立方法及其系统 | |
EP2266064B1 (en) | Request routing | |
US7584500B2 (en) | Pre-fetching secure content using proxy architecture | |
CN112272158A (zh) | 一种数据代理方法、系统及代理服务器 | |
CN102769618B (zh) | Web访问处理方法、网络设备及通信系统 | |
CN105812351A (zh) | 实现会话共享的方法和系统 | |
EP3149889B1 (en) | Tokenizing network appliance and method | |
US8655946B2 (en) | Authenticating method, conversion device, and relay device | |
CN101977224A (zh) | 一种基于SSL VPN设备的Web资源认证信息管理方法 | |
EP2751978B1 (en) | A method and server for monitoring users during their browsing within a communications network | |
JP2013522736A (ja) | ユニバーサルリソースロケータを含むメッセージを提供するための方法およびシステム | |
CN102882974A (zh) | 一种通过网站识别版本号节省网站访问资源的方法 | |
CN101136834B (zh) | 一种基于ssl vpn的链接改写方法和设备 | |
CN105357212A (zh) | 一种保证安全和隐私的dns端到端解析方法 | |
CN108011888A (zh) | 一种实现证书重构的方法、装置及存储介质、程序产品 | |
CN103581361A (zh) | 一种域名解析代理方法、设备及系统 | |
WO2017097092A1 (zh) | 缓存集群服务的处理方法及系统 | |
CN106453399B (zh) | 一种面向用户隐私保护的域名解析服务方法和系统 | |
JP4031516B2 (ja) | サーバ側プロキシ装置、クライアント側プロキシ装置、データ転送方法及びプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
CP03 | Change of name, title or address |