CN101399838B - 报文处理方法、装置和系统 - Google Patents
报文处理方法、装置和系统 Download PDFInfo
- Publication number
- CN101399838B CN101399838B CN2008101730294A CN200810173029A CN101399838B CN 101399838 B CN101399838 B CN 101399838B CN 2008101730294 A CN2008101730294 A CN 2008101730294A CN 200810173029 A CN200810173029 A CN 200810173029A CN 101399838 B CN101399838 B CN 101399838B
- Authority
- CN
- China
- Prior art keywords
- client
- data message
- address
- address information
- proxy gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 28
- 238000012545 processing Methods 0.000 title claims description 26
- 238000004891 communication Methods 0.000 claims abstract description 57
- 238000003672 processing method Methods 0.000 claims abstract description 15
- 230000005540 biological transmission Effects 0.000 claims description 11
- 238000005538 encapsulation Methods 0.000 claims description 10
- 230000000295 complement effect Effects 0.000 claims description 8
- 230000003993 interaction Effects 0.000 claims description 8
- 230000004044 response Effects 0.000 claims description 6
- 230000008569 process Effects 0.000 abstract description 14
- 230000006870 function Effects 0.000 description 10
- 108010022579 ATP dependent 26S protease Proteins 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 101000666730 Homo sapiens T-complex protein 1 subunit alpha Proteins 0.000 description 3
- 102100038410 T-complex protein 1 subunit alpha Human genes 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000012217 deletion Methods 0.000 description 3
- 230000037430 deletion Effects 0.000 description 3
- 101100206195 Arabidopsis thaliana TCP2 gene Proteins 0.000 description 2
- 101100536570 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) CCT2 gene Proteins 0.000 description 2
- 238000013475 authorization Methods 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 2
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 2
- 101100400452 Caenorhabditis elegans map-2 gene Proteins 0.000 description 1
- 101150064138 MAP1 gene Proteins 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 239000012467 final product Substances 0.000 description 1
- 238000005111 flow chemistry technique Methods 0.000 description 1
- 239000006249 magnetic particle Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种报文处理方法,包括:接收客户端通过预先建立的安全通道发送的认证请求;当认证通过时,通过所述安全通道向所述客户端返回对应的安全策略;接收该客户端针对所述第一安全策略、通过所述安全通道发送的数据报文,该数据报文以安全代理网关地址为当前目的地址,并携带有客户端地址信息和应用服务器地址信息;发送原始数据报文,使得应用服务器根据与所述原始数据报文中客户端地址信息相匹配的安全策略进行处理。本发明实施例还公开了安全代理网关、客户端及通信系统。本发明实施例中,安全代理网关发送的数据报文中包含了客户端地址,应用服务器能够根据客户端地址设定安全策略对数据报文进行处理。
Description
技术领域
本发明涉及网络技术领域,更具体地说,涉及一种报文处理方法、装置和系统。
背景技术
当前存在多种安全代理技术,远程的用户端可以通过安全代理访问内网应用服务器。
例如,一种端口转发技术,一般应用于SSL(Secure Sockets Layer,安全套接层)VPN(虚拟专用网)网关(为了方便描述,下文统称为安全代理网关)中,其工作过程如下:
安装有Web浏览器的客户端上,当浏览器要与远端Web服务器建立安全连接时,向安全代理网关发出请求,由安全代理网关负责与远端Web服务器建立连接。连接建立后,客户端与服务器之间的数据传输是经过安全代理网关转发完成的。
SSL VPN网关无需在客户端安装和设置任何软件,只要会使用浏览器上网浏览就可以毫无障碍的使用SSL VPN。
但是在实现本发明过程中,发明人发现目前这种转发技术至少存在如下问题:
安全代理网关在接收到客户端发送的数据报文后,删除数据报文中的源地址信息,而仅将数据报文的内容部分封装上安全代理网关的IP后提供给应用服务器。则对于服务器来说,其由于无法获得所述数据报文的源地址信息,从而导致其自身的安全策略无法应用。
发明内容
本发明实施例提供一种报文处理方法、装置和系统,以解决现有技术由于无法获得数据报文的源地址信息而无法实现自身安全策略的问题。
本发明实施例是这样实现的:
一种报文处理方法,包括:
安全代理网关接收客户端通过所述安全代理网关与所述客户端之间预先建立的安全通道发送的认证请求;
当认证通过时,所述安全代理网关通过所述安全通道向所述客户端返回对应的第一安全策略;并接收该客户端针对所述第一安全策略、通过所述安全通道发送的数据报文,该数据报文以安全代理网关地址为当前目的地址,并携带有作为源地址的客户端地址信息和作为终点目的地址的应用服务器地址信息;
安全代理网关发送携带有客户端地址信息和应用服务器地址信息的原始数据报文,使得接收到该原始数据报文的应用服务器根据与所述原始数据报文中客户端地址信息相匹配的第二安全策略,对该原始数据报文进行处理。
本发明实施例还公开了另一种报文处理方法,包括:
客户端通过所述客户端与安全代理网关之间预先建立的安全通道向安全代理网关发送认证请求;
客户端接收所述安全代理网关针对该认证请求返回的第一安全策略;
客户端根据所述第一安全策略,将封装有作为当前目的地址的安全代理网关地址信息、作为终点目的地址的应用服务器地址信息和作为源地址的客户端地址信息的数据报文通过所述安全通道发送;
其中:所述根据所述第一安全策略,将封装有作为当前目的地址的安全代理网关地址信息、作为终点目的地址的应用服务器地址信息和作为源地址的客户端地址信息的数据报文通过所述安全通道发送包括:
截获第一协议层和第二协议层之间的数据报文,该数据报文携带有客户端地址信息和应用服务器地址信息;
当确定所述数据报文符合所述第一安全策略时,在该数据报文中封装私有协议头,并将以安全代理网关地址为当前目的地址重新封装后的数据报文通过所述安全通道发送给安全代理网关,所述私有协议用于指示所述安全代理网关发送客户端原始数据报文,该原始数据报文中携带有客户端地址信息。
本发明实施例还同时公开了一种安全代理网关,包括:
第一通信单元,用于与客户端进行信息交互,其接收到的该客户端发送的数据报文以安全代理网关地址为当前目的地址,并携带有作为源地址的客户端地址信息和作为终点目的地址的应用服务器地址信息;
认证单元,用于当所述第一通信单元接收到客户端通过预先建立的安全通道发送的认证请求时,对该客户端进行认证;
第一处理单元,用于在所述认证单元针对该客户端的认证通过时,将与该客户端对应的第一安全策略由所述第一通信单元通过所述安全通道发送给该客户端;
第二通信单元,用于与应用服务器进行信息交互,发送携带有客户端地址信息和应用服务器地址信息的原始数据报文,使得接收到该原始数据报文的应用服务器根据与所述原始数据报文中客户端地址信息相匹配的第二安全策略,对该原始数据报文进行处理。
本发明实施例同时还提供了一种客户端,包括:
认证请求单元,用于通过预先建立的安全通道向安全代理网关发送认证请求,并接收所述安全代理网关通过所述安全通道返回的对应的第一安全策略;
处理与通信单元,用于根据所述第一安全策略,将携带有作为当前目的地址的安全代理网关地址信息、作为终点目的地址的应用服务器地址信息和作为源地址的客户端地址信息的数据报文通过所述安全通道发送。
此外,本发明实施例还公开了一种通信系统,包括客户端、安全代理网关和应用服务器,其中:
所述客户端,用于通过预先建立的安全通道发送携带有作为当前目的地址的安全代理网关地址信息、作为终点目的地址的应用服务器地址信息和作为源地址的客户端地址信息的数据报文;
所述安全代理网关,用于接收所述客户端通过所述安全通道发送过来的数据报文,并发送携带有为源地址的客户端地址信息和为目的地址的应用服务器地址信息的原始数据报文;
所述应用服务器,用于接收所述安全代理网关发送的原始数据报文,根据与所述原始数据报文中客户端地址信息相匹配的第二安全策略,对该原始数据报文进行处理。
从上述的技术方案可以看出,与现有技术相比,本发明实施例由于从安全代理网关发送过来的数据报文中包含了来自客户端的原始数据:包括数据内容(DATA)及客户端的源地址信息,从而使得应用服务器能够根据客户端的源地址信息所匹配的第二安全策略,对由安全代理网关转发的来自客户端的数据报文进行处理。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种报文处理方法的流程图;
图2为本发明实施例提供的另一种报文处理方法的流程图;
图3为本发明实施例提供的另一种报文处理方法的流程图;
图4为本发明实施例提供的另一种报文处理方法的流程图;
图5为数据报文格式示意图1;
图6为数据报文格式示意图2;
图7为本发明实施例提供的一种报文处理装置的结构示意图;
图8为本发明实施例提供的另一种报文处理装置的结构示意图;
图9为本发明实施例提供的另一种报文处理装置的结构示意图;
图10为本发明实施例提供的另一种报文处理装置的结构示意图;
图11为本发明实施例提供的另一种报文处理装置的结构示意图;
图12为本发明实施例提供的一种通信系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供了报文处理方法和装置,用于在数据转发的过程中让应用服务器能够获得完整的来自客户端的原始数据,即包含客户端地址信息的原始数据报文,从而使得所述应用服务器能够根据自身的访问策略对应用访问进行控制,换句话说,即使得应用服务器能够根据客户端的源地址信息所匹配的第二安全策略,对由安全代理网关转发的来自客户端的原始数据报文进行处理,需要说明的是:这里的原始数据报文为类似于客户端直接发给内网应用服务器的报文,即不经安全代理网关的代理直接发给内网应用服务器的报文。
请参考图1,为本发明实施例提供的一种报文处理方法的流程图。
本实施例为安全代理网关侧处理报文的流程,包括以下步骤:
步骤S101、接收客户端通过预先建立的安全通道发送的认证请求;
步骤S102、当认证通过时,通过所述安全通道向所述客户端返回对应的第一安全策略;
步骤S103、接收客户端针对所述第一安全策略、通过所述安全通道发送的数据报文。
所述数据报文携带作为源地址的客户端地址信息和和作为终点目的地址的应用服务器地址信息,并以安全代理网关地址为当前目的地址。
步骤S104、发送携带有客户端地址信息和应用服务器地址信息的原始数据报文;应当理解的是:由于原始数据报文中携带有作为目的地址的应用服务器地址信息,网络会将该原始数据报文转发到目的应用服务器的。
所述客户端原始数据报文的格式与客户端直接发送给应用服务器(不经过安全代理网关代理)的数据报文格式相类似,携带有作为源地址的客户端地址信息和作为目的地址的应用服务器地址信息及数据信息。
经过步骤S104之后,所述应用服务器地址对应的目标应用服务器接收到所述数据报文,则可依据预先设置的、与客户端地址匹配的安全策略对发送自安全代理网关的客户端原始数据报文进行处理。
需要说明的是,客户端发送的数据报文可以是匹配其预先获取的安全策略的数据报文(为了清楚起见,下文将该安全策略称为第一安全策略,将应用服务器对原始数据报文进行处理所根据的安全策略称为第二安全策略)。
所述第一安全策略包含授权信息和访问控制信息,所述授权信息表示用户能访问的内网应用资源,所述访问控制信息表示对某资源的操作权限,用于在用户启动应用程序访问内网服务器时利用所述访问控制信息进行控制。
所述第二安全策略可以是禁止或者允许某些客户端访问操作,例如:所述第二安全策略是禁止源地址是158.16.58.100的客户端访问,则当应用服务器接收到安全代理网关发送过来的数据报文后,获取其中的客户端IP地址,当该客户端IP地址为158.16.58.100时,拒绝该客户端访问,否则,允许该客户端访问。
可以看出,本发明实施例中,安全代理网关在接收到客户端的数据报文后,不是按照现有处理方式将客户端地址删除且取而代之地携带安全代理网关的地址信息,而是保留客户端地址。在一些实施例中,安全代理网关一旦接收到客户端发送的数据报文后,即按照步骤S104进行处理,当客户端发送的数据报文均属于同一类的数据时,这种方式是适用的。但是,实际工作中,安全代理网关有可能同时处理各种业务的数据报文,其处理的数据报文中,有些数据报文需要进行上述图1所示流程,有些数据报文则按照现有的处理方式进行即可,于是,安全代理网关需要与客户端约定一种方式,以使安全代理网关可以确定客户端发送的哪些数据报文需要根据上述图1所示流程处理,哪些数据报文需要按照现有的正常流程处理。
在另外一个实施例中,安全代理网关接收到来自客户端的数据报文后,判断是否解析得到预先约定的标识(该标识可以由私有协议头表示,下文统称为私有协议头),若是,则可进行步骤S104处理,否则,按照现有的处理方式进行。现有的处理方式即:删除客户端发送过来的报文中的当前目的地址和客户端地址,然后以其中的应用服务器地址为目的地址,以本安全代理网关地址为源地址进行发送。具体流程属于现有技术,在此不详细描述。
可见,本发明实施例由于从安全代理网关发送过来的数据报文中包含了来自客户端的原始数据:包括数据内容(DATA)及客户端的源地址信息,从而使得应用服务器能够根据客户端的源地址信息所匹配的第二安全策略,对由安全代理网关转发的来自客户端的数据报文进行处理。
请参阅图2为本发明一个实施例的报文处理方法,应用于客户端,包括:
步骤S201、通过预先建立的安全通道向安全代理网关发送认证请求,该认证请求中包含认证信息;
步骤S202、接收所述安全代理网关针对该认证请求返回的第一安全策略;
步骤S203、根据所述第一安全策略,将封装有作为当前目的地址的安全代理网关地址信息、作为终点目的地址的应用服务器地址信息和作为源地址的客户端地址信息的数据报文通过所述安全通道发送。
请参考图3,为本发明另一实施例的客户端侧封装并发送报文的流程图,包括以下步骤:
步骤S301、截获第一协议层和第二协议层之间的数据报文;
该数据报文携带客户端地址信息和应用服务器地址信息。
步骤S302、在该数据报文中封装预设标识;
在一种实现下,当确定所述数据报文符合第一安全策略时,可以在该数据报文中封装私有协议头。
其中,获取该数据报文的目的地址;当该数据报文的目的地址为预设内网资源的地址时,确定该数据报文符合所述第一安全策略。
步骤S303、以安全代理网关地址为目的地址,将所述封装有预设标识的数据报文进行发送。
在一种实现下,将以安全代理网关地址为当前目的地址重新封装后的数据报文通过所述安全通道发送给安全代理网关,所述私有协议头用于指示所述安全代理网关发送客户端原始数据报文,该原始数据报文中携带有客户端地址信息。
所述客户端和安全代理网关之间传输的数据报文可以承载于预先建立的安全通道上,所述安全代理网关接收客户端通过所述安全通道发送的认证请求,利用该认证请求对该客户端进行认证,并在认证通过时,与所述客户端进行通信。
所述第一安全策略可以是在所述安全代理网关对所述客户端进行认证成功后,由所述安全代理网关发送给客户端的。
下面通过一个实施例,对客户端和安全代理网关的报文处理过程进行详细说明,具体交互过程如图4所示,包括以下步骤:
步骤S401、安全代理网关接收客户端通过预先建立的安全通道发送的认证信息。
客户端通过所述安全通道发送的认证信息包括客户端的用户名、密码和证书。
步骤S402、安全代理网关利用该认证信息对该客户端进行认证。
安全代理网关根据认证信息的源地址,查询预先存储的参考信息,获取与该源地址相对应的加密方式,利用相应的解密方式对该认证信息进行解密,获取其中的用户名、密码和证书,并与参考信息进行比较,当认证信息中的用户名、密码和证书和参考信息中的用户名、密码和证书和参考信息一致时,确定认证通过,否则,确定认证失败。
步骤S403、认证通过时,安全代理网关将对应的第一安全策略发送给客户端。
步骤S404、客户端接收所述第一安全策略,进行存储。
步骤S405、客户端截获数据报文。
在用户进行操作时,截获第一协议层和第二协议层之间的数据报文。所述第一协议层和第二协议层可以指的是应用层、传输层、互联层和网络接口层中的任意两个,本发明实施例中,所述第一协议层为IP层,所述第二协议层为MAC层。
在用户在客户端上进行操作时(例如访问操作),客户端截获IP层和MAC层之间的数据报文。
步骤S406、当该数据报文符合所述第一安全策略时,客户端将该数据报文封装预设标识。
客户端判断该数据报文是否符合所述第一安全策略,若是,则在所述数据报文中封装上预设信息,否则,发出警告或者不做任何响应。
所述预设标识的具体形式可以是私有协议头。
客户端从IP层和MAC层之间截获的数据报文格式如图5所示,其中,IP1头包含:访问内网应用服务器的IP地址(目的IP地址)、网关分配给客户端的IP地址(客户端IP地址);TCP1头包含客户端TCP地址(客户端TCP地址)和内网应用服务器的TCP地址(目的TCP地址)及其他相关信息;DATA为数据内容。
客户端判断所述数据报文是否符合所述第一安全策略具体为:判断所述数据报文的目的地址所对应的内网应用服务器是否是授权及允许访问的,若是,则确定该数据报文符合所述第一安全策略,否则,则确定该数据报文不符合所述第一安全策略。例如:规定IP地址为172.16.12.0/24的内网资源是授权并且可以被访问,如果报文的目的IP地址为172.16.12.0/24,则该报文符合所述第一安全策略,否则,则该报文不符合所述第一安全策略。
当所述数据报文符合所述第一安全策略时,将所述数据报文作为应用层数据封装,封装后的数据报文格式如图6所示,其中,IP1头、TCP1头和DATA与图5所示相同,IP2头包含安全代理网关的IP地址(当前目的IP地址),TCP2头包含安全代理网关的端口(目的端口);私有协议头包含一些自定义信息。
步骤S407、客户端将封装后的数据报文通过所述安全通道发送给所述安全代理网关。
步骤S408、安全代理网关接收客户端发送的数据报文,当解析得出预设标识时,将客户端原始数据报文发送给目的应用服务器。
安全代理网关接收到所述数据报文后,删除图5中的IP2头和TCP2头,当解析得到私有协议头时,可以删除图5中私有协议头,并发送与图4相同的数据报文;应当理解的是:也可以发送包含私有协议头、IP1头、TCP1头及DATA的数据报文。
步骤S409、应用服务器接收到安全代理网关发送的数据报文后,依据第二安全策略对数据报文进行处理。
由于安全代理网关发送过来的数据报文为客户端原始报文:包括数据内容(DATA)及客户端的IP地址。则应用服务器在接收到所述安全代理网关发送过来的数据报文后,依据与客户端地址匹配的安全策略对该数据报文进行处理。
所述第一安全策略和第二安全策略可以根据用户需求或者网络实际运行情况而设定。
步骤S410-步骤S411、在允许该客户端访问时,应用服务器根据报文请求的内容,发送响应结果报文给安全代理网关,并由所述安全代理网关通过所述安全通道返回给所述客户端。
在一些实施例中,在数据报文的私有协议头中的信息可以包含用户ID,所述安全代理网关接收到来自客户端的数据报文后,从其中的私有协议头获取用户ID,记录该用户ID对应的网络流量,便于网管查看各在线用户的流量情况。应当理解的是:该私有协议头中还可以包含其他信息,可以根据实际应用来确定。
本发明实施例中,由于从安全代理网关发送过来的数据报文中包含了来自客户端的原始数据:包括数据内容(DATA)及客户端的源地址信息,从而使得应用服务器能够根据客户端的源地址信息所匹配的访问控制策略(即第二安全策略),对由所述安全代理网关转送的来自客户端的数据报文进行进一步的处理。并且,客户端和所述安全代理网关之间传输的数据报文承载于安全通道中,保证了通信的安全性。
需要说明的是,所述客户端和所述安全代理网关之间数据报文所承载的安全通道建立方式可以如下:
客户端发送安全信道建立请求。该安全信道建立请求是按照预定的加密方式进行加密的,所述预定的加密方式是客户端预先与安全代理网关协商后确定的。所述加密方式也可以是由客户端单方面确定的,则该通信请求中设置有用于指示该加密方式的信息。
在一种实现下,客户端在安全通道建立请求中设置用户名、密码和证书;
安全代理网关接收到该安全通道建立请求后,获取该安全通道建立请求的源地址信息,并记录该源地址信息、用户名、密码、证书和安全通道之间的对应关系,将该对应关系确定为参考信息,并返回确认信息,以确认安全信道的建立。
所述安全信道建立请求和确认信息可以是以SSL/TLS协议进行发送和接收的。
针对上述方法实施例,本发明实施例还公开了一种安全代理网关,请参考图7,为该安全代理网关的结构示意图。
报文处理装置包括:第一通信单元71、认证单元72、第一处理单元73和第二通信单元74。
其中:
第一通信单元71,用于与客户端进行信息交互,其接收到的发自客户端的数据报文以安全代理网关地址为目的地址,并携带作为源地址的客户端地址和作为终点目的地址的应用服务器地址。
认证单元72,用于当第一通信单元71接收到客户端发送的认证请求,利用该认证请求对客户端进行认证。
所述认证请求可以承载于预先建立的安全通道上。
第一处理单元73,用于在认证单元72针对该客户端的认证通过时,将与该客户端对应的第一安全策略由第一通信单元71通过所述安全通道发送给该客户端。
第二通信单元74,用于与应用服务器进行信息交互,发送客户端原始数据报文,所述客户端原始数据报文携带有客户端地址信息和应用服务器地址信息,使得接收到该原始数据报文的应用服务器可以根据与所述原始数据报文中客户端地址信息相匹配的第二安全策略,对该原始数据报文进行处理。
第一安全策略可以是用户自定义的,其可以是:允许所述客户端访问某些内网资源,例如允许所述客户端访问IP地址为172.16.12.0/24的内网资源。于是,所述客户端截获到数据报文后,获取该数据报文的目的IP地址,当该数据报文的目的地址为172.16.12.0/24时,确认该数据报文符合所述第一安全策略,否则,确定该数据报文不符合第一安全策略。在另外的实施例中,所述第一安全策略还可以是:允许客户端对预定IP地址的内网资源进行操作,例如信息写入操作和信息拷贝操作。于是,客户端截获到数据报文后,如果该数据报文的目的地址为所述预定IP地址,并且该数据报文指示进行信息写入操作,则确认该数据报文符合所述第一安全策略,否则,确定该数据报文不符合所述第一安全策略。
所述第二安全策略也可以是内网应用服务器的维护人员自定义的,其可以对客户端的访问和操作进行控制。该第二安全策略针对最初发送数据报文的客户端IP地址(也即数据报文原始地址)进行设置的,例如,该第二安全策略为:允许IP地址为预设IP地址客户端的访问操作。于是,当接收到安全代理网关发送过来的数据报文后,获取其原始地址,判断该原始地址是否为所述预设IP,若是,则将相应响应结果发送给安全代理网关,并由所述安全代理网关提供给客户端,否则,发送指示访问出错的信息给所述安全代理网关,并由所述安全代理网关提供给所述客户端,或者对该数据报文进行忽略,即不反馈任何信息。
需要说明的是,在另外实施例公开的安全代理网关还可以进一步包括用于建立安全通道的功能单元,该安全代理网关的结构如图8所示,包括:第一通信单元81、认证单元82、第一处理单元83、第二通信单元84和安全通道建立单元85。
其中:第一通信单元81、认证单元82、第一处理单元83、第二通信单元84的功能分别与第一通信单元71、认证单元72、第一处理单元73、第二通信单元74相类似;而安全通道建立单元85,用于在第一通信单元81接收到客户端发送的安全通道建立请求时,从该请求中获得客户端IP地址、用户名、密码和加密方式指示信息,保存所述客户端IP地址、用户名、密码和加密方式之间的对应关系,作为参考信息,并通过第一通信单元81向客户端返回对应的安全通道建立响应信息,确认安全通道建立。
本发明实施例还公开了另一种安全代理网关,其在接收到客户端的数据报文后,在解析得出预设标识时,发送所述客户端原始数据报文给相应服务器,也就是说,第二通信单元发送客户端原始数据报文是有条件的,该条件就是:客户端发送的数据报文中封装有私有协议头。如果解析客户端发送的数据报文中没有封装私有协议头,则将该数据报文按照现有处理方式进行处理。请参考图9,为另外实施例公开的安全代理网关结构示意图,包括:第一通信单元91、认证单元92、第一处理单元93、第二通信单元94、安全通道建立单元95和解析单元96。
其中:第一通信单元91、认证单元92、第一处理单元93、第二通信单元94和安全通道建立单元95的功能,与第一通信单元81、认证单元82、第一处理单元83、第二通信单元84和安全通道建立单元85相类似;解析单元96用于从第一通信单元91接收的数据报文中解析出私有协议头,在去除所述私有协议头后,由第二通信单元94发送携带有作为源地址的客户端地址信息和作为目的地址的应用服务器地址信息的原始数据报文。
本发明实施例同时还提供了另一种客户端,其结构如图10所示,包括:认证请求单元101和处理与通信单元102;
认证请求单元101,用于通过预先建立的安全通道向安全代理网关发送认证请求,并接收所述安全代理网关通过所述安全通道返回的对应的第一安全策略。
处理与通信单元102,用于根据所述第一安全策略,将携带有作为当前目的地址的安全代理网关地址信息、作为终点目的地址的应用服务器地址信息和作为源地址的客户端地址信息的数据报文通过所述安全通道发送。
图11示出了另外实施例公开的客户端的结构,该客户端包括:认证请求单元111和处理与通信单元112,其中,认证请求单元111的功能与认证请求单元101相类似,处理与通信单元112包括:截获单元1121、第三通信单元1122和第二处理单元1123;
其中:
截获单元1121,用于截获第一协议层和第二协议层之间的数据报文,该数据报文携带有客户端地址信息和应用服务器地址信息。
在用户进行操作时,截获第一协议层和第二协议层之间的数据报文。所述第一协议层和第二协议层可以指的是应用层、传输层、互联层和网络接口层中的任意两个,本发明实施例中,所述第一协议层为IP层,所述第二协议层为MAC层。
第三通信单元1122,用于与安全代理网关进行信息交互。
第二处理单元1123,用于在确定该数据报文符合所述第一安全策略时,在截获单元1121所截获的所述数据报文中封装私有协议头,由所述第三通信单元1122将以安全代理网关地址为当前目的地址重新封装后的数据报文通过所述安全通道发送给安全代理网关,所述私有协议头用于指示所述安全代理网关发送客户端原始数据报文,该原始数据报文中携带有客户端地址信息。
在另外的实施例中,第二处理单元1123也可以用于在确定该数据报文符合所述第一安全策略时,不封装私有协议头,而直接由所述第三通信单元将携带有作为当前目的地址的安全代理网关地址信息、作为终点目的地址的应用服务器地址信息和作为源地址的客户端地址信息的数据报文通过所述安全通道发送。
在另外实施例中,还可以进一步包括用于建立安全通道的功能单元,用于配合上述安全通道建立单元建立客户端和安全代理网关之间的安全通道。
所述私有协议头中设置的信息一般是用户自定义的信息(例如用户名信息),这些自定义信息可以用于各种应用,例如,同一个客户端有可能由多个不同的用户使用,统计各个用户的访问流量或者访问资源的一些历史信息可能是有用的。于是,网关在获取报文后,可以根据所述用户名信息统计相应的访问流量。
另外,本发明实施例还提供一种通信系统,请参考图12,该通信系统包括客户端10、安全代理网关20和应用服务器30;
客户端10用于通过预先建立的安全通道发送携带有作为当前目的地址的安全代理网关地址信息、作为终点目的地址的应用服务器地址信息和作为源地址的客户端地址信息的数据报文。
安全代理网关20用于接收所述客户端通过所述安全通道发送过来的数据报文,并发送携带有为源地址的客户端地址信息和为目的地址的应用服务器地址信息的原始数据报文。
应用服务器30用于接收所述安全代理网关发送的原始数据报文,根据与所述原始数据报文中客户端地址信息相匹配的第二安全策略,对该原始数据报文进行处理,应当理解的是,应用服务器30可以为内网应用服务器。
客户端10的结构和功能可以如上述图10所示,安全代理网关20的结构和功能可以如上述图7所示。
在另外实施例中,客户端10的结构和功能可以与上述图11所示的客户端相同,安全代理网关20的结构和功能可以与上述图8或图9所示的安全代理网关相同。
本领域技术人员可以理解,可以使用许多不同的工艺和技术中的任意一种来表示信息、消息和信号。例如,上述说明中提到过的消息、信息都可以表示为电压、电流、电磁波、磁场或磁性粒子、光场或以上任意组合。
专业人员还可以进一步应能意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (14)
1.一种报文处理方法,其特征在于,包括:
安全代理网关接收客户端通过所述安全代理网关与所述客户端之间预先建立的安全通道发送的认证请求;
当认证通过时,所述安全代理网关通过所述安全通道向所述客户端返回对应的第一安全策略;并接收该客户端针对所述第一安全策略、通过所述安全通道发送的数据报文,该数据报文以安全代理网关地址为当前目的地址,并携带有作为源地址的客户端地址信息和作为终点目的地址的应用服务器地址信息;
安全代理网关发送携带有客户端地址信息和应用服务器地址信息的原始数据报文,使得接收到该原始数据报文的应用服务器根据与所述原始数据报文中客户端地址信息相匹配的第二安全策略,对该原始数据报文进行处理。
2.如权利要求1所述的方法,其特征在于,所述发送携带有客户端地址信息和应用服务器地址信息的原始数据报文包括:
当对所述客户端针对所述第一安全策略、通过所述安全通道发送的数据报文解析得出私有协议头时,去除所述私有协议头,发送携带有客户端地址信息和应用服务器地址信息的原始数据报文。
3.如权利要求1所述的方法,所述安全通道通过如下步骤建立:
接收客户端发送的安全通道建立请求,该请求携带客户端IP地址、用户名、密码和加密方式指示信息;
记录所述客户端IP地址、用户名、密码和加密方式之间的对应关系,作为参考信息,并向客户端反馈响应信息,确认安全通道建立。
4.如权利要求3所述的方法,其特征在于,所述对客户端进行认证包括:根据所述参考信息对所述认证请求中的用户名和密码进行验证,如果所述认证请求中的用户名和密码与参考信息中的用户名和密码一致,确定认证通过。
5.如权利要求2所述的方法,其特征在于,如果所述私有协议头中携带有用户名信息,则所述方法还包括:计算并记录该用户名信息对应的用户的访问流量。
6.一种报文处理方法,其特征在于,包括:
客户端通过所述客户端与安全代理网关之间预先建立的安全通道向安全代理网关发送认证请求;
客户端接收所述安全代理网关针对该认证请求返回的第一安全策略;
客户端根据所述第一安全策略,将封装有作为当前目的地址的安全代理网关地址信息、作为终点目的地址的应用服务器地址信息和作为源地址的客户端地址信息的数据报文通过所述安全通道发送;
其中:所述根据所述第一安全策略,将封装有作为当前目的地址的安全代理网关地址信息、作为终点目的地址的应用服务器地址信息和作为源地址的客户端地址信息的数据报文通过所述安全通道发送包括:
截获第一协议层和第二协议层之间的数据报文,该数据报文携带有客户端地址信息和应用服务器地址信息;
当确定所述数据报文符合所述第一安全策略时,在该数据报文中封装私有协议头,并将以安全代理网关地址为当前目的地址重新封装后的数据报文通过所述安全通道发送给安全代理网关,所述私有协议用于指示所述安全代理网关发送客户端原始数据报文,该原始数据报文中携带有客户端地址信息。
7.如权利要求6所述的方法,其特征在于,所述确定该数据报文符合所述第一安全策略包括:
获取该数据报文的目的地址;当该数据报文的目的地址为预设内网资源的地址时,确定该数据报文符合所述第一安全策略。
8.如权利要求要求6所述的方法,其特征在于,所述第一协议层为IP层,所述第二协议层为MAC层。
9.一种安全代理网关,其特征在于,包括:
第一通信单元,用于与客户端进行信息交互,其接收到的该客户端发送的数据报文以安全代理网关地址为当前目的地址,并携带有作为源地址的客户端地址信息和作为终点目的地址的应用服务器地址信息;
认证单元,用于当所述第一通信单元接收到客户端通过预先建立的安全通道发送的认证请求时,对该客户端进行认证;
第一处理单元,用于在所述认证单元针对该客户端的认证通过时,将与该客户端对应的第一安全策略由所述第一通信单元通过所述安全通道发送给该客户端;
第二通信单元,用于与应用服务器进行信息交互,发送携带有客户端地址信息和应用服务器地址信息的原始数据报文,使得接收到该原始数据报文的应用服务器根据与所述原始数据报文中客户端地址信息相匹配的第二安全策略,对该原始数据报文进行处理。
10.如权利要求9所述的安全代理网关,其特征在于,还包括:
安全通道建立单元,用于在所述第一通信单元接收到客户端发送的安全通道建立请求时,从该请求中获得客户端IP地址、用户名、密码和加密方式指示信息,保存所述客户端IP地址、用户名、密码和加密方式之间的对应关系,作为参考信息,由所述第一通信单元向客户端返回对应的安全通道建立响应信息,确认安全通道建立。
11.如权利要求9或10所述的安全代理网关,其特征在于,还包括:解析单元,用于从所述第一通信单元接收的数据报文中解析出私有协议头,在去除所述私有协议头后,由所述第二通信单元发送携带有为源地址的客户端地址信息和为目的地址的应用服务器地址信息的原始数据报文。
12.一种客户端,其特征在于,包括:
认证请求单元,用于通过预先建立的安全通道向安全代理网关发送认证请求,并接收所述安全代理网关通过所述安全通道返回的对应的第一安全策略;
处理与通信单元,用于根据所述第一安全策略,将携带有作为当前目的地址的安全代理网关地址信息、作为终点目的地址的应用服务器地址信息和作为源地址的客户端地址信息的数据报文通过所述安全通道发送。
13.如权利要求12所述的客户端,其特征在于,所述处理与通信单元包括:
截获单元,用于截获第一协议层和第二协议层之间的数据报文,该数据报文携带有客户端地址信息和应用服务器地址信息;
第三通信单元,用于与安全代理网关进行信息交互;
第二处理单元,用于在确定该数据报文符合所述第一安全策略时,在所述截获单元所截获的所述数据报文中封装私有协议头,由所述第三通信单元将以安全代理网关地址为当前目的地址重新封装后的数据报文通过所述安全通道发送给安全代理网关,所述私有协议头用于指示所述安全代理网关发送客户端原始数据报文,该原始数据报文中携带有客户端地址信息;
或者,用于在确定该数据报文符合所述第一安全策略时,由所述第三通信单元将携带有作为当前目的地址的安全代理网关地址信息、作为终点目的地址的应用服务器地址信息和作为源地址的客户端地址信息的数据报文通过所述安全通道发送。
14.一种通信系统,其特征在于,包括客户端、安全代理网关和应用服务器,其中:
所述客户端,用于通过预先建立的安全通道发送携带有作为当前目的地址的安全代理网关地址信息、作为终点目的地址的应用服务器地址信息和作为源地址的客户端地址信息的数据报文;
所述安全代理网关,用于接收所述客户端通过所述安全通道发送过来的数据报文,并发送携带有为源地址的客户端地址信息和为目的地址的应用服务器地址信息的原始数据报文;
所述应用服务器,用于接收所述安全代理网关发送的原始数据报文,根据与所述原始数据报文中客户端地址信息相匹配的第二安全策略,对该原始数据报文进行处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101730294A CN101399838B (zh) | 2008-10-29 | 2008-10-29 | 报文处理方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101730294A CN101399838B (zh) | 2008-10-29 | 2008-10-29 | 报文处理方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101399838A CN101399838A (zh) | 2009-04-01 |
| CN101399838B true CN101399838B (zh) | 2012-01-25 |
Family
ID=40518086
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101730294A Expired - Fee Related CN101399838B (zh) | 2008-10-29 | 2008-10-29 | 报文处理方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101399838B (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103209086B (zh) * | 2012-01-16 | 2015-11-18 | 深圳市腾讯计算机系统有限公司 | 穿透中转机实现服务器维护的方法、系统及中转机 |
| CN103905331B (zh) * | 2012-12-26 | 2017-05-03 | 中国移动通信集团公司 | 一种实时媒体数据传输方法、装置及系统 |
| CN103916485A (zh) * | 2012-12-31 | 2014-07-09 | 北京新媒传信科技有限公司 | Nat穿越方法以及服务器 |
| KR101538762B1 (ko) * | 2013-06-12 | 2015-07-24 | 서정환 | 캡슐화 프로토콜을 이용하여 클라이언트의 ip 주소를 서버로 전송하는 중계 시스템 및 방법 |
| CN104753857B (zh) | 2013-12-26 | 2018-03-09 | 华为技术有限公司 | 网络流量控制设备及其安全策略配置方法及装置 |
| CN104486292B (zh) * | 2014-11-24 | 2018-01-23 | 东软集团股份有限公司 | 一种企业资源安全访问的控制方法、装置及系统 |
| CN105471866A (zh) * | 2015-11-23 | 2016-04-06 | 深圳市联软科技有限公司 | 一种移动应用的保护方法和装置 |
| CN105554084B (zh) * | 2015-12-10 | 2018-12-07 | 杭州古北电子科技有限公司 | 生成一次性资源地址并与真实资源地址映射的方法 |
| CN108270567B (zh) * | 2016-12-30 | 2021-09-28 | 阿里巴巴集团控股有限公司 | 消息来源验证方法、装置和系统以及消息发送方法和装置 |
| CN110688369B (zh) * | 2019-09-30 | 2022-07-12 | 北京天融信网络安全技术有限公司 | 解析db2报文的方法、装置、存储介质及电子设备 |
| CN112039801B (zh) * | 2020-07-20 | 2022-12-20 | 厦门网宿有限公司 | 设置ip信息的方法、系统和代理服务器 |
| CN113312649A (zh) * | 2021-06-23 | 2021-08-27 | 中国农业银行股份有限公司 | 报文处理方法、装置、设备、系统及存储介质 |
| CN116347428A (zh) * | 2021-12-24 | 2023-06-27 | 华为技术有限公司 | 一种通信方法及装置 |
| CN114465848B (zh) * | 2022-04-13 | 2022-09-13 | 北京全路通信信号研究设计院集团有限公司 | 一种基于密文的数据传输方法及其系统 |
| CN116055184B (zh) * | 2023-01-28 | 2023-06-13 | 鹏城实验室 | 基于网络协议的通道连接方法、设备及介质 |
| CN115801469B (zh) * | 2023-02-09 | 2023-04-28 | 北京易智时代数字科技有限公司 | 一种数据传输方法、代理服务器及设备 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101043411A (zh) * | 2006-03-24 | 2007-09-26 | 华为技术有限公司 | 混合网络中实现移动vpn的方法及系统 |
-
2008
- 2008-10-29 CN CN2008101730294A patent/CN101399838B/zh not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101043411A (zh) * | 2006-03-24 | 2007-09-26 | 华为技术有限公司 | 混合网络中实现移动vpn的方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101399838A (zh) | 2009-04-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101399838B (zh) | 报文处理方法、装置和系统 | |
| US11165604B2 (en) | Method and system used by terminal to connect to virtual private network, and related device | |
| US7028337B2 (en) | Method of virtual private network communication in security gateway apparatus and security gateway apparatus using the same | |
| US7774837B2 (en) | Securing network traffic by distributing policies in a hierarchy over secure tunnels | |
| JP3343064B2 (ja) | フレームを捕獲、カプセル化及び暗号化するための擬似ネットワークアダプタ | |
| EP1255395B1 (en) | External access to protected device on private network | |
| US8095786B1 (en) | Application-specific network-layer virtual private network connections | |
| JP3492865B2 (ja) | 移動計算機装置及びパケット暗号化認証方法 | |
| US20080075096A1 (en) | Remote access to secure network devices | |
| US20080276297A1 (en) | System And Method For Intrusion Prevention In A Communications Network | |
| EP3125502A1 (en) | Method for providing access to a web server | |
| US7984293B2 (en) | Secure host network address configuration | |
| KR20190052541A (ko) | 서비스 서버와 사용자 단말간의 네트워크 경로 제공 방법 및 장치 | |
| US20040243837A1 (en) | Process and communication equipment for encrypting e-mail traffic between mail domains of the internet | |
| CN100391197C (zh) | 网络接入系统 | |
| CN114143788A (zh) | 一种基于msisdn实现5g专网认证控制的方法和系统 | |
| US20080104693A1 (en) | Transporting keys between security protocols | |
| US20050086533A1 (en) | Method and apparatus for providing secure communication | |
| CN110086806B (zh) | 一种厂站设备系统漏洞的扫描系统 | |
| CN110351308B (zh) | 一种虚拟专用网络通信方法和虚拟专用网络设备 | |
| JP4380945B2 (ja) | 中継サーバ | |
| US20080222693A1 (en) | Multiple security groups with common keys on distributed networks | |
| US20080059788A1 (en) | Secure electronic communications pathway | |
| JP2006352710A (ja) | パケット中継装置及びプログラム | |
| JPH1132088A (ja) | ネットワークシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. Free format text: FORMER NAME: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee after: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee before: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220902 Address after: No. 1899 Xiyuan Avenue, high tech Zone (West District), Chengdu, Sichuan 610041 Patentee after: Chengdu Huawei Technologies Co.,Ltd. Address before: 611731 Qingshui River District, Chengdu hi tech Zone, Sichuan, China Patentee before: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120125 |