CN101277246B - 一种基于传输层vpn技术的安全通信方法 - Google Patents
一种基于传输层vpn技术的安全通信方法 Download PDFInfo
- Publication number
- CN101277246B CN101277246B CN2008101063214A CN200810106321A CN101277246B CN 101277246 B CN101277246 B CN 101277246B CN 2008101063214 A CN2008101063214 A CN 2008101063214A CN 200810106321 A CN200810106321 A CN 200810106321A CN 101277246 B CN101277246 B CN 101277246B
- Authority
- CN
- China
- Prior art keywords
- security agent
- agent equipment
- tsm security
- vpn
- proxy module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于传输层VPN技术的安全通信方法,其包括以下步骤:1)在安全代理设备的入口网页处嵌入一个客户端应用程序;2)客户端PC机通过浏览器访问安全代理设备,安全代理设备与企业内网之间进行连接,此时,页面上出现一个按钮,点击该按钮;3)浏览器就会自动下载客户端应用程序到客户端PC机中,客户端应用程序在客户端PC机中安装一个L4 VPN代理模块;4)经过标准的SSL密钥交换过程,L4 VPN代理模块和安全代理设备之间建立起一条SSL安全通道;5)安全代理设备为L4 VPN代理模块配置映射规则,L4 VPN代理模块根据映射规则建立监听;6)安全代理设备根据映射规则从相应的远程服务端获取所请求的数据。本发明方法具有操作简单,使用方便,无需手动安装,访问资源灵活的特点,它允许传输Web资源内容和非Web资源内容,同时不会对客户端的网络环境产生很大影响。
Description
技术领域
本发明涉及一种网络数据安全通信方法,特别是关于一种基于传输层VPN技术的安全通信方法。
背景技术
VPN(Virtual Private Network,虚拟私有网)技术是通过在远程客户端和被访问资源之间建立起虚拟安全通道的方法来保证安全网络访问。VPN技术为企业员工在外出差或在家中访问企业内网资源提供了极大的便捷。现有的VPN技术主要有下面两种:
1、IP-SEC VPN
网络层VPN,可传输的数据不受限制,但是配置复杂,对客户端的网络环境有很大影响。
2、SSL-VPN
应用层VPN,对客户端的网络环境影响很小,但是局限于浏览器访问方式,只能传输Web资源。
因此有必要开发一种允许传输Web资源内容和非Web资源内容,并且不会对客户端的网络环境产生很大影响的VPN技术,从而弥补上述两种VPN技术的缺陷。
发明内容
针对上述问题,本发明的目的是提出一种基于传输层VPN技术的安全通信方法,使得用户配置规则下允许的所有客户端应用可以通过同一条安全的网络通道来访问共享网络资源。
为实现上述目的,本发明采取以下技术方案:一种基于传输层VPN技术的安全通信方法,其包括以下步骤:1)在安全代理设备的入口网页处嵌入一个客户端应用程序;2)客户端PC机通过浏览器访问安全代理设备,安全代理设备与企业内网之间进行连接,此时,页面上出现一个按钮,点击该按钮;3)浏览器就会自动下载客户端应用程序到客户端PC机中,客户端应用程序在客户端PC机中安装一个L4VPN代理模块;4)在客户端PC机上点击运行L4VPN代理模块,首先L4VPN代理模块与安全代理设备之间建立TCP连接,并经过标准的SSL密钥交换过程,L4VPN代理模块和安全代理设备之间建立起一条SSL安全通道;5)安全代理设备通过SSL安全通道将配置在安全代理设备上的映射规则发送给L4VPN代理模块,L4VPN代理模块会根据映射规则建立监听;6)当L4VPN代理模块发现客户端PC机访问的数据在映射规则内时,L4VPN代理模块将访问请求通过SSL安全通道发送至安全代理设备,安全代理设备根据映射规则从相应的远程服务端获取所请求的数据,然后将获取的数据通过SSL安全通道返回至L4VPN代理模块,L4VPN代理模块再将数据直接转发到客户端PC机上的各个应用程序。
其中步骤1)中的客户端应用程序为一个ActiveX或JAVA程序,所述客户端应用程序根据Microsoft IE提供的标准接口进行编码嵌入至安全代理设备的入口网页处。
其中步骤3)中客户端应用程序具体的安装过程由浏览器来实现。
其中步骤4)中,标准的SSL密钥交换过程是:安全代理设备把它的数字证书与公共密钥一并发送给L4VPN代理模块,L4VPN代理模块随机生成会话密钥,用从安全代理设备得到的公共密钥对会话密钥进行加密,并把会话密钥传递给安全代理设备,而会话密钥只有在安全代理设备端用私人密钥才能解密。
其中步骤5)所述映射规则由安全代理设备的管理员来决定。
本发明由于采取以上技术方案,其具有以下优点:1、由于本发明在安全代理设备的入口网页处嵌入有一个小的客户端程序,该客户端程序是一个ActiveX或JAVA程序,小巧、灵活、便于网络传输,且可以通过被广泛使用的IE浏览器来下载并进行安装,这极大地方便了用户操作。2、由于该客户端程序会在客户端PC机上自动安装一个L4VPN代理模块,该代理模块与安全代理设备建立一条安全通道,所有允许的数据将通过此安全通道被转发至安全代理设备,再由安全代理设备进行下一步转发,因此保证了安全网络访问。综上可以看出,本发明方法具有操作简单,使用方便,无需手动安装,访问资源灵活的特点,它允许传输Web资源内容和非Web资源内容,同时不会对客户端的网络环境产生很大影响。
附图说明
图1是本发明的工作原理示意图
具体实施方式
本发明方法的基本原理如下:
1、在客户端与服务端之间提供了一条安全可靠的网络通道。
2、用户可以根据自己的需要配置一些规则,这些规则用来定义允许哪些数据通过安全通道,所有规则内允许的数据将通过此安全通道被转发至安全代理设备,再由安全代理设备进行下一步转发。
下面结合附图和实施例对本发明进行详细的描述。
如图1所示,本发明方法的工作流程如下:
1、在安全代理设备的入口网页处嵌入一个小的客户端应用程序,该客户端程序是一个ActiveX或JAVA程序,其是根据Microsoft IE提供的标准接口来进行编码嵌入的。
2、客户端PC机(即用户)通过浏览器(如Internet Explorer)访问安全代理设备,安全代理设备与企业内网之间进行连接。当用户登录到安全代理设备入口网页上时,页面上出现一个按钮“Start the Application Manager(应用程序管理器)”,点击该按钮,浏览器就会自动下载这个客户端应用程序到客户端PC机中。
3、该客户端应用程序在客户端PC机中安装一个L4VPN代理模块,具体的安装过程是由IE来实现的。
4、在客户端PC机上点击运行L4VPN代理模块,首先该代理模块与安全代理设备之间建立TCP(Transmission Control Protocol传输控制协议)连接,安全代理设备把它的数字证书与公共密钥一并发送给代理模块,代理模块随机生成会话密钥,用从安全代理设备得到的公共密钥对会话密钥进行加密,并把会话密钥传递给安全代理设备,而会话密钥只有在安全代理设备端用私人密钥才能解密。经过这个标准的SSL(Secure Socket Layer加密套接字协议层)密钥交换过程,L4VPN代理模块和安全代理设备之间就建立起了一条SSL安全通道。
5、安全代理设备通过该SSL安全通道将配置在安全代理设备上的映射规则发送给L4VPN代理模块,配置的映射规则发送给L4VPN代理模块后,该代理模块会根据映射规则建立监听。这些映射规则由安全代理设备的管理员来进行配置,用来定义允许客户端PC机上的哪些数据通过该SSL安全通道进行转发。配置的映射规则发送给L4VPN代理模块后,该代理模块会根据映射规则建立监听。
6、当发现客户端PC机访问的数据在映射规则内时,L4VPN代理模块将访问请求通过SSL安全通道发送至安全代理设备,安全代理设备根据映射规则从相应的服务端获取所请求的数据,然后将获取的数据通过SSL安全通道返回至L4VPN代理模块,L4VPN代理模块再将数据直接转发到客户端PC机上的各个应用程序。
Claims (7)
1.一种基于传输层VPN技术的安全通信方法,其包括以下步骤:
1)在安全代理设备的入口网页处嵌入一个客户端应用程序;
2)客户端PC机通过浏览器访问安全代理设备,安全代理设备与企业内网之间进行连接,此时,页面上出现一个按钮,点击该按钮;
3)浏览器就会自动下载客户端应用程序到客户端PC机中,客户端应用程序在客户端PC机中安装一个L4 VPN代理模块,其中VPN即虚拟私有网;
4)在客户端PC机上点击运行L4 VPN代理模块,首先L4 VPN代理模块与安全代理设备之间建立TCP连接,并经过标准的SSL密钥交换过程,L4 VPN代理模块和安全代理设备之间建立起一条SSL安全通道,其中SSL即加密套接字协议层;
5)安全代理设备通过SSL安全通道将配置在安全代理设备上的映射规则发送给L4 VPN代理模块,L4 VPN代理模块会根据映射规则建立监听;
6)当L4 VPN代理模块发现客户端PC机访问的数据在映射规则内时,L4 VPN代理模块将访问请求通过SSL安全通道发送至安全代理设备,安全代理设备根据映射规则从相应的远程服务端获取所请求的数据,然后将获取的数据通过SSL安全通道返回至L4 VPN代理模块,L4 VPN代理模块再将数据直接转发到客户端PC机上的各个应用程序。
2.如权利要求1所述一种基于传输层VPN技术的安全通信方法,其特征在于:其中步骤1)中的客户端应用程序为一个ActiveX或JAVA程序,所述客户端应用程序根据Microsoft IE提供的标准接口进行编码嵌入至安全代理设备的入口网页处。
3.如权利要求1所述一种基于传输层VPN技术的安全通信方法,其特征在于:其中步骤3)中客户端应用程序具体的安装过程由浏览器来实现。
4.如权利要求2所述一种基于传输层VPN技术的安全通信方法,其特征在于:其中步骤3)中客户端应用程序具体的安装过程由浏览器来实现。
5.如权利要求1或2或3或4所述一种基于传输层VPN技术的安全通信方法,其特征在于:其中步骤4)中,标准的SSL密钥交换过程是:安全代理设备把它的数字证书与公共密钥一并发送给L4 VPN代理模块,L4 VPN代理模块随机生成会话密钥,用从安全代理设备得到的公共密钥对会话密钥进行加密,并把会话密钥传递给安全代理设备,而会话密钥只有在安全代理设备端用私人密钥才能解密。
6.如权利要求1或2或3或4所述一种基于传输层VPN技术的安全通信方法,其特征在于:其中步骤5)所述映射规则由安全代理设备的管理员来决定。
7.如权利要求5所述一种基于传输层VPN技术的安全通信方法,其特征在于:其中步骤5)所述映射规则由安全代理设备的管理员来决定。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101063214A CN101277246B (zh) | 2008-05-12 | 2008-05-12 | 一种基于传输层vpn技术的安全通信方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101063214A CN101277246B (zh) | 2008-05-12 | 2008-05-12 | 一种基于传输层vpn技术的安全通信方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101277246A CN101277246A (zh) | 2008-10-01 |
| CN101277246B true CN101277246B (zh) | 2010-08-04 |
Family
ID=39996275
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101063214A Active CN101277246B (zh) | 2008-05-12 | 2008-05-12 | 一种基于传输层vpn技术的安全通信方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101277246B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107835151A (zh) * | 2017-09-21 | 2018-03-23 | 北京知道未来信息技术有限公司 | 一种即插即用式多协议链路自主切换的无痕上网浏览方法及装置 |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102843281B (zh) * | 2012-09-18 | 2014-12-10 | 汉柏科技有限公司 | 一种访问局域网的方法 |
| CN103873491B (zh) * | 2012-12-07 | 2017-07-21 | 华耀(中国)科技有限公司 | 一种vpn安全浏览器系统及设置方法 |
| CN104869043B (zh) * | 2015-06-04 | 2019-04-16 | 魅族科技(中国)有限公司 | 一种建立vpn连接的方法及终端 |
| CN108574573B (zh) * | 2017-12-14 | 2021-07-23 | 成都卫士通信息产业股份有限公司 | 为虚拟vpn提供密码服务的方法、密码设备及虚拟vpn服务系统 |
| CN110191031B (zh) * | 2019-05-10 | 2021-06-29 | 杭州迪普科技股份有限公司 | 网络资源访问方法、装置、电子设备 |
| CN112333141B (zh) * | 2020-09-06 | 2023-04-18 | 于奎 | 基于远程应用的提供互联网Web应用服务的方法、装置及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1558584A (zh) * | 2004-02-01 | 2004-12-29 | 中兴通讯股份有限公司 | 一种安全代理方法 |
| CN1645813A (zh) * | 2003-12-29 | 2005-07-27 | 诺基亚公司 | 利用继承的安全属性来管理安全网络中的代理请求的系统和方法 |
| CN1700638A (zh) * | 2004-05-18 | 2005-11-23 | 江苏省电力公司 | 借助安全认证网关的企业网安全接入方法 |
-
2008
- 2008-05-12 CN CN2008101063214A patent/CN101277246B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1645813A (zh) * | 2003-12-29 | 2005-07-27 | 诺基亚公司 | 利用继承的安全属性来管理安全网络中的代理请求的系统和方法 |
| CN1558584A (zh) * | 2004-02-01 | 2004-12-29 | 中兴通讯股份有限公司 | 一种安全代理方法 |
| CN1700638A (zh) * | 2004-05-18 | 2005-11-23 | 江苏省电力公司 | 借助安全认证网关的企业网安全接入方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107835151A (zh) * | 2017-09-21 | 2018-03-23 | 北京知道未来信息技术有限公司 | 一种即插即用式多协议链路自主切换的无痕上网浏览方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101277246A (zh) | 2008-10-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101277246B (zh) | 一种基于传输层vpn技术的安全通信方法 | |
| US10129033B2 (en) | Methods of accessing and providing access to a remote resource from a data processing device | |
| US6154843A (en) | Secure remote access computing system | |
| US20110131408A1 (en) | Document link security | |
| CN101964800B (zh) | 一种在ssl vpn中对数字证书用户认证的方法 | |
| WO2006010131A3 (en) | Distributed operating system management | |
| JP2012528411A (ja) | 非http通信プロトコルを用いてウエブアプリケーションの状態非依存型安全性管理を提供するシステム及び方法 | |
| CN104869099A (zh) | 一种基于指纹账户的多网络帐号登录方法及系统 | |
| JP2007200316A (ja) | ネットワーク通信システムおよびネットワーク・サーバとクライアント・デバイスの間に、コンピュータネットワークを通じてセキュアな通信リンクを確立する方法 | |
| JP2017513107A (ja) | セッション共有によるセッションの自動ログインおよびログアウト | |
| CN105306433B (zh) | 一种访问虚拟机服务器的方法和装置 | |
| CN105808990B (zh) | 基于ios系统控制url访问的方法和装置 | |
| JP2007509382A5 (zh) | ||
| CN102868704B (zh) | 一种单点登录的方法和系统 | |
| CN103168450B (zh) | 访问虚拟专用网络的方法、装置以及网关设备 | |
| JP2008065658A (ja) | 情報処理システム | |
| CN114389885B (zh) | 一种安全的开放私有云数据库到公有云方法 | |
| EP1605667A2 (en) | Controlled firewall penetration for management of discrete devices | |
| CN102202071A (zh) | 基于msn的网络视频监控方法及系统 | |
| US20220103714A1 (en) | Communication system, communication control device, communication control method, recording medium, and program | |
| CN112910903B (zh) | Ssl证书免部署的方法、装置和系统 | |
| CN111327634A (zh) | 网站访问监管方法、安全套接层代理装置、终端及系统 | |
| CN113645193B (zh) | 网络安全防护方法、业务管理系统及计算机可读存储介质 | |
| CN103237061A (zh) | 一种字符终端rlogin协议安全访问系统及方法 | |
| Zeilenga | Anonymous Simple Authentication and Security Layer (SASL) Mechanism |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: HUAYAO (CHINA) TECHNOLOGY CO., LTD. Free format text: FORMER NAME: ARRAY NETWORKS (BEIJING), INC. |
|
| CP03 | Change of name, title or address |
Address after: 100125 Beijing city Chaoyang District Liangmaqiao Road No. 40 building 10 room 1001-1017 twenty-first Century Patentee after: Array Networks (Beijing), Inc. Address before: 100016 Beijing city Chaoyang District No. 26 Xiaoyun Road, Eagle building, A2308 Patentee before: Array Networks (Beijing), Inc. |
|
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100125 Beijing city Chaoyang District Liangmaqiao Road No. 40 building 10 room 1001-1017 twenty-first Century Patentee after: Beijing Huayao Technology Co., Ltd Address before: 100125 Beijing city Chaoyang District Liangmaqiao Road No. 40 building 10 room 1001-1017 twenty-first Century Patentee before: Huayao (China) Technology Co., Ltd. |