CN101778045B - 报文传输方法、装置及网络系统 - Google Patents
报文传输方法、装置及网络系统 Download PDFInfo
- Publication number
- CN101778045B CN101778045B CN2010101043241A CN201010104324A CN101778045B CN 101778045 B CN101778045 B CN 101778045B CN 2010101043241 A CN2010101043241 A CN 2010101043241A CN 201010104324 A CN201010104324 A CN 201010104324A CN 101778045 B CN101778045 B CN 101778045B
- Authority
- CN
- China
- Prior art keywords
- message
- address
- sent
- control strategy
- port numbers
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种报文传输方法、装置及网络系统,其中,报文传输方法包括:通过VPN隧道接收客户端发送的加密报文,所述加密报文是客户端根据预设的控制策略判断所述控制策略中包含有与待发送报文的目的IP地址和目的端口号相同的IP地址和端口号后对待发送的报文加密后发送的,所述控制策略中包含有能够与安全套接层协议虚拟专用网SSL VPN服务器进行报文交互的内网服务器的IP地址和端口号信息;对所述加密报文进行解密;将解密后的报文发送给相应的内网服务器,所述解密后的报文的源IP地址是外网IP地址。使用本发明实施例提供的技术方案,可以在不改变内网拓扑结构的情况下通过SSL VPN传递外网与内网间的报文。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种报文传输方法、装置及网络系统。
背景技术
在安全套接层协议(Security Socket Layer Protocol,SSL)虚拟专用网(Virtual Private Network,VPN)网络中,客户端登陆SSL VPN后能通过网络扩展功能访问内网,因此,对于一些公开业务的报文,客户端可以直接传输到内网,对于一些受保护业务的报文,客户端需要通过SSL VPN将受保护业务的报文传到内网。
现有技术提供的网络拓扑结构如图1所示,客户端在登陆SSL VPN之后,客户端软件对不需要通过SSL VPN传输的报文(即公开业务的报文)不加隧道IP地址,不走VPN隧道直接向内网服务器发送,该报文的源IP地址为外网的IP地址(例如图1中PortB发出的报文,外网的IP地址为50.1.1.1);对需要通过SSL VPN传输给内网的报文(受保护业务的报文)加入隧道IP地址后通过VPN隧道发送,此时发出的报文的源IP地址为外网的IP地址(例如图1中PortA发出的报文,外网的IP地址为50.1.1.1),防火墙根据该隧道IP地址将该报文发送到SSL VPN,SSL VPN为该客户端分配一个虚拟IP地址(例如图1中的192.168.0.X),将报文中的源IP地址(即外网IP地址,例如图1中的50.1.1.1)改为该虚拟IP地址(如图1中的192.168.0.X),以便实现外网与内网通信,相应的,对应该虚拟IP地址在内网上划分出一块私有网段专用于通过SSL VPN与外网进行通信。
发明人在实现本发明的过程中发现。现有技术中由于需要在内网上划出私有网段专用于通过SSL VPN与外网通信,所以内网的拓扑结构会发生改变,同时,由于内网上划分了私有网络,所以内网的管理策略等也会发生变化。尤其在多个客户端需要通过SSL VPN访问内网时,还需要分配大量的虚拟IP地址,同时需要在内网上划分出多个私有网络,从而会改变内网的拓扑结构。
发明内容
本发明实施例提供一种报文传输方法、装置及网络系统,可以在不改变内网拓扑结构的情况下通过SSL VPN传递外网与内网间的报文。
根据本发明实施例的一个方面,本发明实施例提供一种方法:
一种报文传输方法,包括:
通过VPN隧道接收客户端发送的加密报文,所述加密报文是客户端根据预设的控制策略判断所述控制策略中包含有与待发送报文的目的IP地址和目的端口号相同的IP地址和端口号后对待发送的报文加密后发送的,所述控制策略中包含有能够与安全套接层协议虚拟专用网SSL VPN服务器进行报文交互的内网服务器的IP地址和端口号信息;
对所述加密报文进行解密;
将解密后的报文发送给相应的内网服务器,所述解密后的报文的源IP地址是外网IP地址。
一种报文传输方法,包括:
判断预设的控制策略中是否包含有与待发送报文的目的IP地址和目的端口号相同的IP地址和端口号,所述预设的控制策略中包含有能够与SSL VPN服务器进行报文交互的内网服务器的IP地址和端口号信息;
当所述预设的控制策略中包含有与所述待发送报文的目的地址和目的端口号相同的IP地址和端口号时,将所述待发送报文加密后通过VPN隧道发出;
当所述预设的控制策略中不包含与所述待发送报文的目的地址和目的端口号相同的IP地址和端口号时,将所述待发送报文发送出去,所述待发送报文没有通过VPN隧道进行发送。
一种SSL VPN服务器,包括:
第一接收单元,用于通过VPN隧道接收客户端发送的加密报文,所述加密报文是客户端根据预设的控制策略判断所述控制策略中包含有与待发送报文的目的IP地址和目的端口号相同的IP地址和端口号后对待发送的报文加密后发出的,所述控制策略中包含有能够与安全套接层协议虚拟专用网SSLVPN服务器进行报文交互的内网服务器的IP地址和端口号信息;
解密单元,用于对所述加密报文进行解密;
第一发送单元,用于将解密后的报文发送给相应的内网服务器,所述解密后的报文的源IP地址是外网IP地址。
一种客户端,包括:
判断单元,用于判断预设的控制策略中是否包含有与待发送报文的目的IP地址和目的端口号相同的IP地址和端口号,所述预设的控制策略中包含有能够与SSL VPN服务器进行报文交互的内网服务器的IP地址和端口号信息;
加密单元,用于在判断单元的判断结果为所述预设的控制策略中包含有与待发送报文的目的IP地址和目的端口号相同的IP地址和端口号时,对所述待发送报文进行加密;
发送单元,用于在判断单元的判断结果为预设的控制策略中包含有与待发送报文的目的IP地址和目的端口号相同的IP地址和端口号时,将加密单元加密后的报文通过VPN隧道发出;在判断单元的判断结果为预设的控制策略中没有包含与待发送报文的目的IP地址和目的端口号相同的IP地址和端口号时,直接将所述待发送报文发出,所述待发送报文没有通过VPN隧道进行发送。
一种网络系统,包括:上述SSLVPN服务器以及客户端。
本发明实施例中控制策略中的IP地址和端口号是对应SSL VPN的内网服务器的IP地址和端口号,SSL VPN服务器从VPN隧道接收的客户端的报文是客户端判断控制策略中包含有与待发送报文的目的IP地址和目的端口号相同的IP地址和端口号后对待发送的报文加密后发出的,由于SSL VPN服务器可以根据该报文的目的IP地址和目的端口号获知处理该报文(此时该报文是受保护业务的报文)的内网服务器的网段,因此不需要分配虚拟IP地址,而是保持该报文的源IP地址不变,即该报文的源IP地址依然为外网IP地址,因而不需要内网服务器上再划出私有网段专用于通过SSL VPN与外网进行通信了,所以不用改变网络拓扑。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是现有技术提供的报文传输示意图;
图2是本发明实施例提供的报文传输方法流程图;
图3是本发明另一实施例提供的报文传输方法流程图;
图4A是本发明又一实施例提供的报文传输方法流程图;
图4B是本发明又一实施例提供的报文传输示意图;
图5A是本发明又一实施例提供的报文传输方法流程图;
图5B是本发明又一实施例提供的报文传输示意图;
图6A是本发明实施例提供的一种SSL VPN服务器结构图;
图6B是本发明实施例提供的另一种SSL VPN服务器结构图;
图7是本发明实施例提供的客户端结构图;
图8A是本发明实施例提供的网络系统结构图;
图8B是本发明另一实施例提供的网络系统结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参阅图2,图2为本发明实施例提供一种报文传输方法的流程图,该方法包括:
201、通过VPN隧道接收客户端发送的加密报文。
其中,加密报文是客户端根据预设的控制策略判断所述控制策略中包含有与待发送报文的目的IP地址和目的端口号相同的IP地址和端口号后对待发送的报文加密后发送的,所述控制策略中包含有能够与安全套接层协议虚拟专用网SSL VPN服务器进行报文交互的内网服务器的IP地址和端口号信息,内网服务器的IP地址和端口号能够标识内网服务器的一个具体的网段。
202、对所述加密报文进行解密。
203、将解密后的报文发送给相应的内网服务器。
其中,所述解密后的报文包括目的IP地址和目的端口号,所述解密后的报文的源IP地址是外网IP地址。
该方法各步骤的执行主体可以是SSL VPN服务器。
本发明实施例中SSLVPN服务器可以分别与路由设备和内网服务器连接,或者,SSL VPN服务器仅与路由设备连接,不与内网服务器连接。其中,路由设备可以是防火墙或者路由器。
当SSL VPN服务器分别与路由设备和内网服务器连接时,客户端发送的报文(包括客户端通过VPN隧道发出的报文和不通过VPN隧道直接发出的报文)被路由设备拦截,路由设备将所拦截的报文透传给SSL VPN服务器,SSLVPN服务器将所接收的客户端不是通过VPN隧道发出的报文透传输出到相应的内网服务器。而且,该SSL VPN服务器还可以接收到来自内网服务器的响应报文;当预设的控制策略中包含有与所述响应报文的源IP地址和源端口号相同的IP地址和端口号时,将所述响应报文加密后通过VPN隧道向客户端发送;当预设的控制策略中没有包含与所述响应报文的源IP地址和源端口号相同的IP地址和端口号时,将所述响应报文透传输出到客户端。
当SSL VPN服务器仅与路由设备连接,不与内网服务器连接时,SSL VPN服务器将解密后的报文向内网服务器发出后被路由设备拦截,路由设备将所拦截的报文发送到内网服务器。该SSL VPN服务器还接收经由路由设备转发的内网服务器的响应报文,并将所述响应报文加密后通过VPN隧道向客户端发送,其中,该响应报文是路由设备判断控制策略中包含有与响应报文的源IP地址和源端口号相同的IP地址和端口号后转发给SSL VPN服务器的。
本发明实施例中控制策略中的IP地址和端口号是对应SSL VPN的内网服务器的IP地址和端口号,SSL VPN服务器从VPN隧道接收的客户端的报文是客户端判断控制策略中包含有与待发送报文的目的IP地址和目的端口号相同的IP地址和端口号后对待发送的报文加密后发出的,由于SSL VPN服务器可以根据该报文的目的IP地址和目的端口号获知处理该报文(此时该报文是受保护业务的报文)的内网服务器的网段,因此不需要分配虚拟IP地址,而是保持该报文的源IP地址不变,即该报文的源IP地址依然为外网IP地址,因而不需要内网服务器上再划出私有网段专用于通过SSL VPN与外网进行通信了,所以不用改变网络拓扑。
参阅图3,本发明实施例提供一种报文传输方法,该方法包括:
301、判断预设的控制策略中是否包含有与待发送报文的目的IP地址和目的端口号相同的IP地址和端口号,所述预设的控制策略中包含有能够与SSLVPN服务器进行报文交互的内网服务器的IP地址和端口号信息;当所述预设的控制策略中包含有与所述待发送报文的目的地址和目的端口号相同的IP地址和端口号时,执行302;当所述预设的控制策略中不包含与所述待发送报文的目的地址和目的端口号相同的IP地址和端口号时,执行303。
其中,本发明实施例各步骤的执行主体可以是客户端,客户端上的控制策略是客户端登陆SSL VPN时从SSL VPN服务器下载的,本发明实施例及后续实施例中的控制策略中包含有能够与SSL VPN服务器进行报文交互的内网服务器的IP地址和端口号信息,其中,内网服务器的IP地址和端口号能够标识内网服务器的一个具体的网段。
302、将所述待发送报文加密后通过VPN隧道发出,结束本流程。
303、将所述待发送报文发送出去,所述待发送报文没有通过VPN隧道进行发送。
其中,客户端判断预设的控制策略中是否包含有与待发送报文的目的IP地址和目的端口号相同的IP地址和端口号,由于控制策略中的IP地址和端口号是能够与SSL VPN服务器进行报文交互的内网服务器的IP地址和端口号,所以如果判断结果为否,则表示该待发送报文为公开业务的报文,对于这些公开业务的报文不需要通过SSL VPN传送,可以直接将该报文发出,此时报文不走VPN隧道;如果判断结果为是,则表示该待发送报文为受保护业务的报文,对于这些受保护业务的报文需要通过SSL VPN传送,所以将待发送报文加密并封装隧道IP地址后通过VPN隧道发出。
本发明实施例中控制策略中的IP地址和端口号是对应SSL VPN的内网服务器的IP地址和端口号,客户端判断控制策略中包含有与待发送报文的目的IP地址和目的端口号相同的IP地址和端口号后对待发送的报文加密后通过VPN隧道发出,使SSL VPN服务器可以根据该报文的目的IP地址和目的端口号获知处理该报文的内网服务器的网段,因此不需要分配虚拟IP地址,而是保持该报文的源IP地址不变,即该报文的源IP地址依然为外网IP地址,因而不需要内网服务器上再划出私有网段专用于通过SSL VPN与外网进行通信了,所以不用 改变网络拓扑。
为了使本发明提供的技术方案更加清楚明白,如下两个实施例对本发明提供的技术方案进行详细介绍。
参阅图4A和图4B,本发明一实施例提供一种报文传输方法,该实施例中SSL VPN分别与路由设备和内网服务器连接,该实施例中路由设备为防火墙,该报文传输方法包括:
401A、客户端判断预设的控制策略中是否包含有与待发送报文的目的IP地址和目的端口号相同的IP地址和端口号,如果否,不通过VPN隧道而直接向内网服务器发送该报文(见图4B中从PortB口发出的报文);如果是,对该待发送报文(见图4B中从PortA口发出的报文)进行加密并封装隧道IP地址后通过VPN隧道向SSL VPN服务器发送。
需要说明的是,在该步骤之前,客户端登陆SSL VPN时,需要从SSL VPN服务器下载控制策略。
402A、防火墙拦截来自客户端的报文,将所拦截的报文向SSL VPN服务器发送。
403A、SSL VPN服务器将从VPN隧道接收的报文解密,向内网服务器发送解密后的报文,其中,该解密后的报文的源IP地址是外网IP地址,并保存该解密后的报文的目的IP地址、目的端口号以及与VPN隧道(该VPN隧道是上述接收报文的VPN隧道)的对应关系;将不是从VPN隧道接收的报文直接透传输出到内网服务器。
404A、内网服务器接收SSL VPN服务器输出的报文,并对所接收的报文返回响应报文,该响应报文的源IP地址、源端口号分别为所接收报文的目的IP地址和目的端口号。
405A、SSL VPN服务器接收来自内网服务器的响应报文,判断预设的控制策略中是否包含有与响应报文的源IP地址和源端口号相同的IP地址和端口号,如果是,根据步骤403A中保存的对应关系,确定源IP地址、源端口号所对应的VPN隧道,将响应报文(如图4B中Port1发出的报文)加密后通过VPN隧道向客户端发送;如果否,直接将响应报文(如图4B中Port2发出的报文)透传输出。
该步骤中SSL VPN服务器预设的控制策略中是否包含有与响应报文的源IP地址和源端口号相同的IP地址和端口号,如果预设的控制策略中没有包含与响应报文的源IP地址和源端口号相同的IP地址和端口号,则表示该响应报文为公开业务的报文,对于这些公开业务的报文不需要通过SSL VPN传送,可以直接将该报文透传输出,此时直接将响应报文透传输出;如果预设的控制策略中包含有与响应报文的源IP地址和源端口号相同的IP地址和端口号,则表示该响应报文为受保护业务的报文,对于这些受保护业务的报文需要通过VPN隧道传送,需要将受保护业务的报文加密并封装隧道IP地址后通过VPN隧道发出。
406A、防火墙拦截来自SSL VPN服务器的报文,将所拦截的报文发送给客户端。
本发明实施例中客户端通过判断控制策略中是否包含有与待发送报文的目的IP地址和目的端口号相同的IP地址和端口号来确定该待发送报文是否经由VPN隧道发送,SSL VPN服务器通过判断控制策略中是否包含有与响应报文的源IP地址和源端口号相同的IP地址和端口号来确定该响应报文是否经由VPN隧道发送,由于待发送报文和响应报文中都含有内网服务器的IP地址和端口号,使SSL VPN服务器能知道与自己交互报文的内网服务器的网段,因而在客户端通过SSL VPN访问内网服务器时SSL VPN服务器不用转换IP地址,在不改变内网服务器的网络拓扑的同时实现对某些业务提供SSL VPN访问保护功能。
参阅图5A和图5B,本发明又一实施例提供一种报文传输方法,该实施例中,SSL VPN仅与路由设备连接,不与内网服务器连接,该实施例中路由设备为防火墙,该报文传输方法具体包括:
501A、客户端判断预设的控制策略中是否包含有与待发送报文的目的IP地址和目的端口号相同的IP地址和端口号,如果否,不通过VPN隧道而直接向内网服务器发送该报文(见图5B中从PortB口发出的报文);如果是,对该待发送报文(见图5B中从PortA口发出的报文)进行加密并封装隧道IP地址后通过VPN隧道向SSL VPN服务器发送,进入502A。
需要说明的是,在该步骤之前,客户端登陆SSL VPN时,需要从SSL VPN 服务器下载控制策略。
502A、防火墙拦截客户端的报文,当确定所拦截的报文封装了隧道IP地址(即所拦截的客户端的报文是客户端通过VPN隧道发出的报文)时,进入503A;当确定所拦截的报文没有封装隧道IP地址(即所拦截的客户端的报文不是经由VPN隧道的报文)时,进入506A。
503A、防火墙将所拦截的报文向SSLVPN服务器发送,进入504A。
504A、SSL VPN服务器将从VPN隧道接收的报文解密后发出,该解密后的报文的源IP地址为外网IP地址,并保存该解密后的报文中的目的IP地址、目的端口号两者与VPN隧道(该VPN隧道是上述接收报文的VPN隧道)的对应关系,进入505A。
505A、防火墙拦截SSL VPN服务器发出的报文并向内网服务器发送,进入507A。
506A、防火墙将所拦截的报文直接向内网服务器发送,进入507A。
507A、内网服务器接收客户端的报文,并对所接收的报文发出响应报文,该响应报文的源IP地址、源端口号分别为所接收报文的目的IP地址和目的端口号,进入508A。
508A、防火墙拦截来自内网服务器的响应报文,判断预设的控制策略中是否包含有与响应报文的源IP地址和源端口号相同的IP地址和端口号,如果是,进入509A,如果否,进入512A。
509A、防火墙将响应报文向SSLVPN服务器发送,进入510A。
具体可参见如图5B中Port1发出的报文。
510A、SSL VPN服务器根据响应报文中的源IP地址、源端口号及保存的对应关系,确定源IP地址、源端口号两者所对应的VPN隧道,将响应报文加密并封装隧道IP地址后通过所确定的VPN隧道向客户端发出,进入511A。
511A、防火墙拦截SSL VPN服务器所发出的加密后的响应报文,将所拦截的报文发送到客户端,结束本流程。
512A、防火墙将来自内网服务器的响应报文透传输出到客户端。
具体可参见如图5B中Port2发出的报文。
本发明实施例中客户端通过判断控制策略中是否包含有与待发送报文的目的IP地址和目的端口号相同的IP地址和端口号来确定该待发送报文是否经由VPN隧道发送,防火墙通过判断控制策略中是否包含有与响应报文的源IP地址和源端口号相同的IP地址和端口号来确定该响应报文是否经由VPN隧道发送,由于待发送报文和响应报文中都含有内网服务器的IP地址和端口号,使SSL VPN服务器能知道与自己交互报文的内网服务器的网段,因而在客户端通过SSL VPN访问内网服务器时不用转换IP地址,在不改变内网服务器的网络拓扑的同时实现对某些业务提供SSL VPN访问保护功能;进一步,该方法中在防火墙之后旁路布置SSL VPN服务器,使SSL VPN服务器出现异常时,防火墙仍然能将公开业务的报文直接发送给内网服务器,使这些公开业务不会中断。
参阅图6A和图6B,本发明实施例提供一种SSL VPN服务器,其中,SSLVPN服务器可以包括:
第一接收单元601,用于通过VPN隧道接收客户端发出的加密报文;
其中,所述加密报文是客户端根据预设的控制策略判断所述控制策略中包含有与待发送报文的目的IP地址和目的端口号相同的IP地址和端口号后对待发送的报文加密后发出的,所述控制策略中包含有能够与安全套接层协议虚拟专用网SSL VPN服务器进行报文交互的内网服务器的IP地址和端口号信息。
解密单元602,用于对所述加密报文进行解密;
第一发送单元603,用于将解密后的报文发送给相应的内网服务器,所述解密后的报文的源IP地址是外网IP地址。
具体的,第一接收单元601还用于不通过VPN隧道接收客户端发出的报文;第一发送单元603还用于将不通过VPN隧道接收的报文透传输出到相应的内网服务器。
进一步的,在一种情况下,参阅图6A,本发明实施例所示SSL VPN服务器还可以包括:
第二接收单元604,用于接收来自内网服务器的响应报文;
判断单元605,用于判断预设的控制策略中是否包含有与所述响应报文的源IP地址和源端口号相同的IP地址和端口号;
第一加密单元606,用于当判断单元605的判断结果为是时,对所述响应报文进行加密;
第二发送单元607,用于当判断单元605的判断结果为否时,将所述响应报文透传输出到客户端;当判断单元605的判断结果为是时,将第一加密单元606加密后的响应报文向客户端发送。
进一步的,本发明实施例还可以包括:
保存单元608,用于保存解密后的报文中目的IP地址、目的端口号与所述VPN隧道的对应关系。
具体的,第二发送单元607在判断单元605的判断结果为是时,根据保存单元608所保存的对应关系,经由与源IP地址、源端口号对应的VPN隧道向客户端发送第一加密单元606加密后的响应报文。
进一步的,在另一种情况下,参阅图6B,本发明实施例所示的SSL VPN服务器还可以包括:
保存单元608,用于保存解密后的报文中目的IP地址、目的端口号与所述VPN隧道的对应关系;
第三接收单元609,用于接收经由路由设备转发的内网服务器的响应报文;所述响应报文是所述路由设备根据预设的控制策略判断所述控制策略中包含有与所述响应报文的源IP地址和源端口号相同的IP地址和端口号后转发给SSL VPN服务器的;
第二加密单元610,用于对所述响应报文进行加密;
第三发送单元611,用于将所述第二加密单元610加密后的响应报文向客户端发送。
具体的,第三发送单元611可以根据保存单元608保存的对应关系,经由与源IP地址、源端口号对应的VPN隧道向客户端发送第二加密单元610加密后的响应报文。
本发明实施例中控制策略中的IP地址和端口号是对应SSL VPN的内网服 务器的IP地址和端口号,SSL VPN服务器从VPN隧道接收的客户端的报文是客户端判断控制策略中包含有与待发送报文的目的IP地址和目的端口号相同的IP地址和端口号后对待发送的报文加密后发出的,由于SSL VPN服务器可以根据该报文的目的IP地址和目的端口号获知处理该报文(此时该报文是受保护业务的报文)的内网服务器的网段,因此不需要分配虚拟IP地址,而是保持该报文的源IP地址不变,即该报文的源IP地址依然为外网IP地址,因而不需要内网服务器上再划出私有网段专用于通过SSL VPN与外网进行通信了,所以不用改变网络拓扑。
参阅图7,本发明实施例提供一种客户端,包括:
判断单元701,用于判断预设的控制策略中是否包含有与待发送报文的目的IP地址和目的端口号相同的IP地址和端口号,所述预设的控制策略中包含有能够与SSL VPN服务器进行报文交互的内网服务器的IP地址和端口号信息;
加密单元702,用于在判断单元701的判断结果为预设的控制策略中包含有与待发送报文的目的IP地址和目的端口号相同的IP地址和端口号时,对所述待发送报文进行加密;
发送单元703,用于将加密单元702加密后的报文通过VPN隧道发出;或在判断单元701的判断结果为预设的控制策略中没有包含与待发送报文的目的IP地址和目的端口号相同的IP地址和端口号时,直接将所述待发送报文发出,所述待发送报文没有通过VPN隧道进行发送。
其中,客户端判断预设的控制策略中是否包含有与待发送报文的目的IP地址和目的端口号相同的IP地址和端口号,由于控制策略中的IP地址和端口号是能够与SSL VPN服务器进行报文交互的内网服务器的IP地址和端口号,所以如果判断结果为否,则表示该待发送报文为公开业务的报文,对于这些公开业务的报文不需要通过SSL VPN传送,可以直接将该报文发出,此时报文不走VPN隧道;如果判断结果为是,则表示该待发送报文为受保护业务的报文,对于这些受保护业务的报文需要通过SSL VPN传送,所以将待发送报文加密并封装隧道IP地址后通过VPN隧道发出。
本发明实施例中控制策略中的IP地址和端口号是对应SSL VPN的内网服务器的IP地址和端口号,客户端判断控制策略中包含有与待发送报文的目的IP 地址和目的端口号相同的IP地址和端口号后对待发送的报文加密后通过VPN隧道发出,使SSL VPN服务器可以根据该报文的目的IP地址和目的端口号获知处理该报文的内网服务器的网段,因此不需要分配虚拟IP地址,而是保持该报文的源IP地址不变,即该报文的源IP地址依然为外网IP地址,因而不需要内网服务器上再划出私有网段专用于通过SSL VPN与外网进行通信了,所以不用改变网络拓扑。
参阅图8A和图8B,本发明实施例提供一种网络系统,其包括:客户端81、SSL VPN服务器82;
客户端81,用于判断预设的控制策略中是否包含有与待发送报文的目的IP地址和目的端口号相同的IP地址和端口号,所述预设的控制策略中包含有能够与SSLVPN服务器进行报文交互的内网服务器的IP地址和端口号信息;当所述预设的控制策略中包含有与所述待发送报文的目的地址和目的端口号相同的IP地址和端口号时,将所述待发送报文加密后通过VPN隧道发出;当所述预设的控制策略中不包含与所述待发送报文的目的地址和目的端口号相同的IP地址和端口号时,直接将所述待发送报文发出,所述直接发出的待发送报文不通过VPN隧道;
SSL VPN服务器82,用于通过VPN隧道接收客户端发出的加密报文,所述加密报文是客户端根据预设的控制策略判断所述控制策略中包含有与待发送报文的目的IP地址和目的端口号相同的IP地址和端口号后对待发送的报文加密后发出的,所述控制策略中包含有能够与安全套接层协议虚拟专用网SSL
VPN服务器进行报文交互的内网服务器的IP地址和端口号信息;对所述加密报文进行解密;将解密后的报文发送给相应的内网服务器,所述解密后的报文包括目的IP地址和目的端口号,所述解密后的报文的源IP地址是外网IP地址;不通过VPN隧道接收客户端发出的报文;将不通过VPN隧道接收的报文透传输出到相应的内网服务器。
参阅图8A,该网络系统还包括内网服务器83和路由设备84,此时SSL VPN服务器82直路部署于路由设备84与内网服务器83之间;
路由设备84可以用于拦截客户端的报文,将所拦截的报文向SSL VPN服务器72发送;
其中所拦截的报文包括客户端81通过VPN隧道发出的报文以及不通过VPN隧道发出的报文。
SSL VPN服务器82,还用于接收来自内网服务器83的响应报文;当预设的控制策略中包含有与所述响应报文的源IP地址和源端口号相同的IP地址和端口号时,将所述响应报文加密后通过VPN隧道向客户端发送;当预设的控制策略中没有包含与所述响应报文的源IP地址和源端口号相同的IP地址和端口号时,将所述响应报文透传输出到客户端。
或者,参阅图8B,该网络系统还包括:内网服务器93和路由设备94,此时,SSL VPN服务器82仅与路由设备94连接,不与内网服务器93连接。
路由设备94,用于拦截客户端的报文,当所拦截的报文是客户端通过VPN隧道发出的报文时,将所拦截的报文向SSL VPN服务器发送;拦截SSL VPN服务器发出的解密后的报文并向内网服务器发送。
路由设备94,还用于拦截内网服务器的响应报文,判断预设的控制策略中是否包含有与响应报文的源IP地址和源端口号相同的IP地址和端口号,如果是,将响应报文转发到SSL VPN服务器上;如果否,将响应报文透传到客户端;
SSL VPN服务器,还用于接收由路由设备转发的内网服务器的响应报文,将响应报文加密后通过VPN隧道向客户端发送。
其中,该实施例中的路由设备可以是防火墙或者路由器。
本发明实施例中客户端通过判断控制策略中是否包含有与待发送报文的目的IP地址和目的端口号相同的IP地址和端口号来确定该待发送报文是否经由VPN隧道发送,SSL VPN服务器或者路由设备通过判断控制策略中是否包含有与响应报文的源IP地址和源端口号相同的IP地址和端口号来确定该响应报文是否经由VPN隧道发送,由于待发送报文和响应报文中都含有内网服务器的IP地址和端口号,使SSL VPN服务器能知道与自己交互报文的内网服务器的网段,因而在客户端通过SSL VPN访问内网服务器时不用转换IP地址,在不改变内网服务器的网络拓扑的同时实现对某些业务提供SSL VPN访问保护功能;进一步,该方法中在防火墙之后旁路布置SSL VPN服务器,使SSL VPN服务器出现异常时,防火墙仍然能将公开业务的报文直接发送给内网服务器, 使这些公开业务不会中断。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,例如只读存储器,磁盘或光盘等。
以上对本发明实施例所提供的报文传输方法、装置及网络系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (13)
1.一种报文传输方法,其特征在于,包括:
通过虚拟专用网VPN隧道接收客户端发送的加密报文,所述加密报文是客户端根据预设的控制策略判断所述控制策略中包含有与待发送报文的目的IP地址和目的端口号相同的IP地址和端口号后对待发送的报文加密后发送的,控制策略中的IP地址和端口号是能够与安全套接层协议虚拟专用网SSL VPN服务器进行报文交互的内网服务器的IP地址和端口号;
对所述加密报文进行解密;
将解密后的报文发送给相应的内网服务器,所述解密后的报文的源IP地址是外网IP地址。
2.根据权利要求1所述的方法,其特征在于,还包括:
不通过VPN隧道接收客户端发送的报文;
将不通过VPN隧道接收的报文透传输出到相应的内网服务器。
3.根据权利要求1所述的方法,其特征在于,还包括:
接收来自内网服务器的响应报文;
当预设的控制策略中包含有与所述响应报文的源IP地址和源端口号相同的IP地址和端口号时,将所述响应报文加密后通过VPN隧道向客户端发送;
当预设的控制策略中没有包含与所述响应报文的源IP地址和源端口号相同的IP地址和端口号时,将所述响应报文透传输出到客户端。
4.根据权利要求1所述的方法,其特征在于,还包括:
接收经由路由设备转发的内网服务器的响应报文,所述响应报文是所述路由设备根据预设的控制策略判断所述控制策略中包含有与所述响应报文的源IP地址和源端口号相同的IP地址和端口号后转发给SSL VPN服务器的;
将所述响应报文加密后通过VPN隧道向客户端发送。
5.根据权利要求3或者4所述的方法,其特征在于,还包括:
保存解密后的报文中目的IP地址、目的端口号与所述VPN隧道的对应关系;
将所述响应报文加密后通过VPN隧道向客户端发送包括:
根据所述响应报文中的源IP地址、源端口号以及保存的所述对应关系,将所述响应报文加密后经由与所述源IP地址、源端口号对应的VPN隧道向客户端发送。
6.一种报文传输方法,其特征在于,包括:
判断预设的控制策略中是否包含有与待发送报文的目的IP地址和目的端口号相同的IP地址和端口号,控制策略中的IP地址和端口号是能够与安全套接层协议虚拟专用网SSL VPN服务器进行报文交互的内网服务器的IP地址和端口号;
当所述预设的控制策略中包含有与所述待发送报文的目的地址和目的端口号相同的IP地址和端口号时,将所述待发送报文加密后通过VPN隧道发出;
当所述预设的控制策略中不包含与所述待发送报文的目的地址和目的端口号相同的IP地址和端口号时,将所述待发送报文发送出去,所述待发送报文没有通过VPN隧道进行发送。
7.一种SSL VPN服务器,其特征在于,包括:
第一接收单元,用于通过VPN隧道接收客户端发送的加密报文,所述加密报文是客户端根据预设的控制策略判断所述控制策略中包含有与待发送报文的目的IP地址和目的端口号相同的IP地址和端口号后对待发送的报文加密后发出的,控制策略中的IP地址和端口号是能够与安全套接层协议虚拟专用网SSL VPN服务器进行报文交互的内网服务器的IP地址和端口号;
解密单元,用于对所述加密报文进行解密;
第一发送单元,用于将解密后的报文发送给相应的内网服务器,所述解密后的报文的源IP地址是外网IP地址。
8.根据权利要求7所述的SSL VPN服务器,其特征在于:
所述第一接收单元,还用于不通过VPN隧道接收客户端发送的报文;
所述第一发送单元,还用于将不通过VPN隧道接收的报文透传输出到相应的内网服务器。
9.根据权利要求7所述的SSL VPN服务器,其特征在于,还包括:
第二接收单元,用于接收来自内网服务器的响应报文;
判断单元,用于判断预设的控制策略中是否包含有与所述响应报文的源IP地址和源端口号相同的IP地址和端口号;
第一加密单元,用于当判断单元的判断结果为预设的控制策略中包含有与所述响应报文的源IP地址和源端口号相同的IP地址和端口号时,对所述响应报文进行加密;
第二发送单元,用于当判断单元的判断结果为预设的控制策略中没有包含与所述响应报文的源IP地址和源端口号相同的IP地址和端口号时,将所述响应报文透传输出到客户端;当判断单元的判断结果为预设的控制策略中包含有与所述响应报文的源IP地址和源端口号相同的IP地址和端口号时,将所述第一加密单元加密后的响应报文向客户端发送。
10.根据权利要求7所述的SSL VPN服务器,其特征在于,还包括:
第三接收单元,还用于接收经由路由设备转发的内网服务器的响应报文,所述响应报文是所述路由设备根据预设的控制策略判断所述控制策略中包含有与所述响应报文的源IP地址和源端口号相同的IP地址和端口号后转发给SSL VPN服务器的;
第二加密单元,用于对所述响应报文进行加密;
第三发送单元,用于将所述第二加密单元加密后的响应报文向客户端发送。
11.根据权利要求9或者10所述的SSL VPN服务器,其特征在于,还包括:
保存单元,用于保存所述解密单元解密后的报文中目的IP地址、目的端口号与所述VPN隧道的对应关系;
所述加密后的响应报文是根据保存单元所保存的对应关系,经由与所述加密后的响应报文的源IP地址、源端口号对应的VPN隧道向客户端发送的。
12.一种客户端,其特征在于,包括:
判断单元,用于判断预设的控制策略中是否包含有与待发送报文的目的IP地址和目的端口号相同的IP地址和端口号,控制策略中的IP地址和端口号是能够与安全套接层协议虚拟专用网SSL VPN服务器进行报文交互的内网服务器的IP地址和端口号;
加密单元,用于在判断单元的判断结果为所述预设的控制策略中包含有与待发送报文的目的IP地址和目的端口号相同的IP地址和端口号时,对所述待发送报文进行加密;
发送单元,用于在判断单元的判断结果为预设的控制策略中包含有与待发送报文的目的IP地址和目的端口号相同的IP地址和端口号时,将加密单元加密后的报文通过VPN隧道发出;在判断单元的判断结果为预设的控制策略中没有包含与待发送报文的目的IP地址和目的端口号相同的IP地址和端口号时,直接将所述待发送报文发出,所述待发送报文没有通过VPN隧道进行发送。
13.一种网络系统,其特征在于,包括:权利要求7-11任意一项所述的SSLVPN服务器以及权利要求12所述的客户端。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010101043241A CN101778045B (zh) | 2010-01-27 | 2010-01-27 | 报文传输方法、装置及网络系统 |
| EP10844465.4A EP2530883B1 (en) | 2010-01-27 | 2010-12-09 | Method, device and network system for transmitting datagram |
| ES10844465.4T ES2626251T3 (es) | 2010-01-27 | 2010-12-09 | Método, dispositivo y sistema de red para transmitir datagrama |
| PCT/CN2010/079593 WO2011091688A1 (zh) | 2010-01-27 | 2010-12-09 | 报文传输方法、装置及网络系统 |
| US13/560,511 US8713305B2 (en) | 2010-01-27 | 2012-07-27 | Packet transmission method, apparatus, and network system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010101043241A CN101778045B (zh) | 2010-01-27 | 2010-01-27 | 报文传输方法、装置及网络系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101778045A CN101778045A (zh) | 2010-07-14 |
| CN101778045B true CN101778045B (zh) | 2012-07-04 |
Family
ID=42514376
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010101043241A Active CN101778045B (zh) | 2010-01-27 | 2010-01-27 | 报文传输方法、装置及网络系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8713305B2 (zh) |
| EP (1) | EP2530883B1 (zh) |
| CN (1) | CN101778045B (zh) |
| ES (1) | ES2626251T3 (zh) |
| WO (1) | WO2011091688A1 (zh) |
Families Citing this family (49)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101778045B (zh) * | 2010-01-27 | 2012-07-04 | 成都市华为赛门铁克科技有限公司 | 报文传输方法、装置及网络系统 |
| CN104168173B (zh) * | 2010-08-20 | 2018-01-16 | 华为技术有限公司 | 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统 |
| CN102377629B (zh) * | 2010-08-20 | 2014-08-20 | 华为技术有限公司 | 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统 |
| CN101951378B (zh) * | 2010-09-26 | 2013-09-18 | 北京品源亚安科技有限公司 | 用于ssl vpn的协议栈系统及数据处理方法 |
| US9137210B1 (en) * | 2012-02-21 | 2015-09-15 | Amazon Technologies, Inc. | Remote browsing session management |
| CN104145467B (zh) * | 2012-03-07 | 2017-09-19 | 谷歌技术控股有限责任公司 | 使用所需节点路径和加密签名的安全分组传输的策略 |
| CN102664896A (zh) * | 2012-04-28 | 2012-09-12 | 郑州信大捷安信息技术股份有限公司 | 基于硬件加密的安全网络传输系统及传输方法 |
| CN102904867A (zh) * | 2012-05-12 | 2013-01-30 | 杭州迪普科技有限公司 | 一种vpn权限控制方法及装置 |
| CN102917081B (zh) * | 2012-09-27 | 2016-02-17 | 汉柏科技有限公司 | Vpn客户端ip地址的分配方法、报文传输方法及vpn服务器 |
| CN103067282B (zh) * | 2012-12-28 | 2017-07-07 | 华为技术有限公司 | 数据备份方法、装置及系统 |
| US8848726B1 (en) | 2013-01-24 | 2014-09-30 | The Intellisis Corporation | I/O data interface for packet processors |
| US9350656B2 (en) * | 2013-01-24 | 2016-05-24 | Knuedge Incorporated | Systems and methods for packet routing |
| CN104811507B (zh) * | 2014-01-26 | 2018-05-01 | 中国移动通信集团湖南有限公司 | 一种ip地址获取方法及装置 |
| CN105337831B (zh) * | 2014-08-08 | 2018-10-09 | 华为技术有限公司 | 虚拟专用网络的实现方法及客户端设备 |
| CN104184646B (zh) * | 2014-09-05 | 2017-12-22 | 深信服网络科技(深圳)有限公司 | Vpn网络数据交互方法和系统及其网络数据交互设备 |
| US20160226815A1 (en) * | 2015-01-30 | 2016-08-04 | Huawei Technologies Co., Ltd. | System and method for communicating in an ssl vpn |
| CN105991442B (zh) * | 2015-04-30 | 2019-10-11 | 杭州迪普科技股份有限公司 | 报文转发方法及装置 |
| CN106797308A (zh) * | 2015-06-23 | 2017-05-31 | 华为技术有限公司 | 一种数据传输方法、设备及系统 |
| CN105979202B (zh) * | 2016-04-22 | 2020-01-14 | 浙江宇视科技有限公司 | 一种数据传输方法及装置 |
| CN106101007B (zh) * | 2016-05-24 | 2019-05-07 | 杭州迪普科技股份有限公司 | 处理报文的方法及装置 |
| CN107517150B (zh) * | 2016-06-17 | 2020-08-04 | 深圳市信锐网科技术有限公司 | 基于虚拟专用网络vpn的内网资源访问方法及装置 |
| CN105933221A (zh) * | 2016-07-01 | 2016-09-07 | 北京汉格尚华科技发展有限公司 | 互联网反向路由控制器 |
| CN106230870B (zh) * | 2016-10-13 | 2019-04-09 | 成都东方盛行电子有限责任公司 | 私有协议文件传输系统与方法 |
| CN106549849B (zh) * | 2016-10-27 | 2019-08-06 | 杭州迪普科技股份有限公司 | 报文的处理方法及装置 |
| CN106878133B (zh) * | 2016-12-15 | 2019-11-08 | 新华三技术有限公司 | 报文转发方法及装置 |
| US10657580B2 (en) | 2017-01-27 | 2020-05-19 | Walmart Apollo, Llc | System for improving in-store picking performance and experience by optimizing tote-fill and order batching of items in retail store and method of using same |
| US10572932B2 (en) | 2017-01-27 | 2020-02-25 | Walmart Apollo, Llc | System for providing optimal shopping routes in retail store and method of using same |
| CN108718268B (zh) * | 2017-04-07 | 2022-01-28 | 格尔软件股份有限公司 | 一种提高vpn服务端并发处理性能的方法 |
| US10796357B2 (en) | 2017-04-17 | 2020-10-06 | Walmart Apollo, Llc | Systems to fulfill a picked sales order and related methods therefor |
| US10846645B2 (en) | 2017-04-28 | 2020-11-24 | Walmart Apollo, Llc | Systems and methods for real-time order delay management |
| US10810542B2 (en) | 2017-05-11 | 2020-10-20 | Walmart Apollo, Llc | Systems and methods for fulfilment design and optimization |
| US11126953B2 (en) | 2017-06-14 | 2021-09-21 | Walmart Apollo, Llc | Systems and methods for automatically invoking a delivery request for an in-progress order |
| CN107547509B (zh) * | 2017-06-27 | 2020-10-13 | 新华三技术有限公司 | 一种报文转发方法及装置 |
| US11126954B2 (en) | 2017-06-28 | 2021-09-21 | Walmart Apollo, Llc | Systems and methods for automatically requesting delivery drivers for online orders |
| US10909612B2 (en) | 2017-07-13 | 2021-02-02 | Walmart Apollo Llc | Systems and methods for determining an order collection start time |
| US10764284B2 (en) * | 2017-09-07 | 2020-09-01 | Verizon Patent And Licensing Inc. | Method and system for dynamic data flow enforcement |
| US11095617B2 (en) * | 2017-12-04 | 2021-08-17 | Nicira, Inc. | Scaling gateway to gateway traffic using flow hash |
| CN108109625B (zh) * | 2017-12-21 | 2021-07-20 | 北京华夏电通科技股份有限公司 | 手机语音识别内外网传输系统及方法 |
| CN109525478B (zh) * | 2018-12-17 | 2021-08-24 | 杭州迪普科技股份有限公司 | 一种ssl vpn连接方法及装置 |
| US10581865B1 (en) * | 2019-02-20 | 2020-03-03 | Xage Security, Inc. | Inline filtering to secure access and data between user and application to device and between device to device |
| CN110808975B (zh) * | 2019-10-31 | 2021-11-19 | 广州润铂晟信息技术有限公司 | 敏感数据传输方法、装置、计算机设备和存储介质 |
| US10805069B1 (en) | 2019-11-12 | 2020-10-13 | Xage Security, Inc. | Multi-layer ledgers for multi-party secure data governance |
| US11868958B2 (en) | 2020-01-31 | 2024-01-09 | Walmart Apollo, Llc | Systems and methods for optimization of pick walks |
| US11657347B2 (en) | 2020-01-31 | 2023-05-23 | Walmart Apollo, Llc | Systems and methods for optimization of pick walks |
| CN111405018B (zh) * | 2020-03-10 | 2023-04-07 | 创新奇智(上海)科技有限公司 | 一种文件传输方法、装置、电子设备及存储介质 |
| US11902264B2 (en) | 2020-06-22 | 2024-02-13 | Vmware, Inc. | Path selection for data packets encrypted based on an IPSEC protocol |
| CN112953808B (zh) * | 2021-03-05 | 2022-07-08 | 网宿科技股份有限公司 | Vpn数据传输方法、装置及服务器 |
| US11863514B2 (en) | 2022-01-14 | 2024-01-02 | Vmware, Inc. | Performance improvement of IPsec traffic using SA-groups and mixed-mode SAs |
| US11956213B2 (en) | 2022-05-18 | 2024-04-09 | VMware LLC | Using firewall policies to map data messages to secure tunnels |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1180583C (zh) * | 2001-09-03 | 2004-12-15 | 华为技术有限公司 | 一种宽带网络虚拟专用网的实现方法 |
| US20030140142A1 (en) * | 2002-01-18 | 2003-07-24 | David Marples | Initiating connections through firewalls and network address translators |
| WO2005022838A1 (en) * | 2003-08-29 | 2005-03-10 | Nokia Corporation | Personal remote firewall |
| US20070008924A1 (en) * | 2004-01-15 | 2007-01-11 | Padraig Moran | Device to facilitate the deployment of mobile virtual private networks for medium/large corporate networks |
| CN1561040A (zh) | 2004-02-24 | 2005-01-05 | 武汉虹信通信技术有限责任公司 | 基于gprs/cdma2000 1x的通用无线透明vpn网桥系统传输方法 |
| ATE535078T1 (de) * | 2004-07-23 | 2011-12-15 | Citrix Systems Inc | Verfahren und system zur sicherung von zugriff aus der ferne auf private netze |
| US20070248085A1 (en) * | 2005-11-12 | 2007-10-25 | Cranite Systems | Method and apparatus for managing hardware address resolution |
| US7840701B2 (en) * | 2007-02-21 | 2010-11-23 | Array Networks, Inc. | Dynamic system and method for virtual private network (VPN) packet level routing using dual-NAT method |
| US8661524B2 (en) * | 2007-12-14 | 2014-02-25 | Novell, Inc. | Selective desktop control of virtual private networks (VPN's) in a multiuser environment |
| CN101572643B (zh) * | 2008-04-30 | 2011-06-22 | 成都市华为赛门铁克科技有限公司 | 实现私网之间转发数据的方法和系统 |
| CN101778045B (zh) * | 2010-01-27 | 2012-07-04 | 成都市华为赛门铁克科技有限公司 | 报文传输方法、装置及网络系统 |
-
2010
- 2010-01-27 CN CN2010101043241A patent/CN101778045B/zh active Active
- 2010-12-09 ES ES10844465.4T patent/ES2626251T3/es active Active
- 2010-12-09 WO PCT/CN2010/079593 patent/WO2011091688A1/zh active Application Filing
- 2010-12-09 EP EP10844465.4A patent/EP2530883B1/en active Active
-
2012
- 2012-07-27 US US13/560,511 patent/US8713305B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US8713305B2 (en) | 2014-04-29 |
| EP2530883A1 (en) | 2012-12-05 |
| EP2530883A4 (en) | 2013-03-27 |
| US20120303949A1 (en) | 2012-11-29 |
| WO2011091688A1 (zh) | 2011-08-04 |
| ES2626251T3 (es) | 2017-07-24 |
| CN101778045A (zh) | 2010-07-14 |
| EP2530883B1 (en) | 2017-04-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101778045B (zh) | 报文传输方法、装置及网络系统 | |
| EP3758305B1 (en) | Gre tunneling with reduced packet encryption at intermediate routers | |
| CN106330434B (zh) | 第一量子节点、第二量子节点、安全通信架构系统及方法 | |
| US9871766B2 (en) | Secure path determination between devices | |
| US8037303B2 (en) | System and method for providing secure multicasting across virtual private networks | |
| US7548556B1 (en) | Secure communication through a network fabric | |
| CN114402574A (zh) | 用于提供多租户软件定义的广域网(sd-wan)节点的方法、系统和计算机可读介质 | |
| CN110290093A (zh) | Sd-wan网络架构及组网方法、报文转发方法 | |
| US10205706B2 (en) | System and method for programmable network based encryption in software defined networks | |
| CN107682370B (zh) | 创建用于嵌入的第二层数据包协议标头的方法和系统 | |
| EP3869746B1 (en) | Transmitting multiple copies of an encrypted packet via multiple tunnels between a transmitting network device and a receiving network device | |
| US7567562B2 (en) | Content based secure rendezvous chaotic routing system for ultra high speed mobile communications in ad hoc network environment | |
| CN101300806A (zh) | 用于处理安全传输的系统和方法 | |
| CN103905180A (zh) | 经典应用接入量子通信网络的方法 | |
| US20220278970A1 (en) | Anonymous communication over virtual, modular and distributed satellite communications network | |
| CN102904867A (zh) | 一种vpn权限控制方法及装置 | |
| CN104184646B (zh) | Vpn网络数据交互方法和系统及其网络数据交互设备 | |
| CN105471827A (zh) | 一种报文传输方法及装置 | |
| CN107819685A (zh) | 一种数据处理的方法以及网络设备 | |
| CN102859928A (zh) | 使用ibe的高效nemo安全 | |
| US11575653B2 (en) | Efficient encryption and decryption of duplicate packets communicated via a virtual private network | |
| US20230127468A1 (en) | Efficient encryption and decryption of duplicate packets communicated via a virtual private network | |
| US20170346932A1 (en) | In-band path-to-path signals using tcp retransmission | |
| US20180262473A1 (en) | Encrypted data packet | |
| US11153276B1 (en) | Secure data routing and randomization |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. Free format text: FORMER NAME: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee after: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee before: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220831 Address after: No. 1899 Xiyuan Avenue, high tech Zone (West District), Chengdu, Sichuan 610041 Patentee after: Chengdu Huawei Technologies Co.,Ltd. Address before: 611731 Qingshui River District, Chengdu hi tech Zone, Sichuan, China Patentee before: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. |