CN103168450B - 访问虚拟专用网络的方法、装置以及网关设备 - Google Patents
访问虚拟专用网络的方法、装置以及网关设备 Download PDFInfo
- Publication number
- CN103168450B CN103168450B CN201180002549.9A CN201180002549A CN103168450B CN 103168450 B CN103168450 B CN 103168450B CN 201180002549 A CN201180002549 A CN 201180002549A CN 103168450 B CN103168450 B CN 103168450B
- Authority
- CN
- China
- Prior art keywords
- private network
- virtual private
- http request
- vpn
- gateway device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种访问虚拟专用网络的方法、装置以及网关设备,其中方法包括:获取浏览器发送给虚拟专用网络的HTTP请求;对所述发送给虚拟专用网络的HTTP请求增加权限检查标识,并对增加权限检查标识后的HTTP请求进行安全封装得到隧道数据包;通过安全隧道向虚拟专用网络的网关设备发送所述隧道数据包。本发明实施例还提供了相应的装置以及网关设备。本发明的技术方案能够提高对访问权限的控制能力,实现网关设备对访问权限的控制达到URL级别。
Description
技术领域
本发明实施例涉及网络技术领域,尤其涉及一种访问虚拟专用网络的方法、装置以及网关设备。
背景技术
安全套接层(SecuritySocketLayer,以下简称:SSL)虚拟专用网络(VirtualPrivateNetwork,以下简称:VPN)技术是一种通过SSL协议或传输层安全(TransportLayerSecurity,以下简称:TLS)协议安全接入VPN网络的技术。SSLVPN技术是一种基于SSL层封装的隧道技术,属于应用层VPN。该技术可以通过浏览器直接访问VPN。
SSLVPN技术中的传输控制协议(TransmissionControlProtocol,,以下简称:TCP)转发功能的原理是,通过浏览器插件监控互联网用户使用的客户端的TCP端口,以监听该客户端的TCP通信,获取TCP报文的IP头中的目的IP地址,若上述的目的IP地址是虚拟专用网络的内部资源服务器的IP地址,则将该TC报文承载的超文本传输协议(HyperTextTransferProtocol,以下简称:HTTP)请求进行SSL封装,然后将封装得到的SSL隧道数据包通过SSL隧道发送给虚拟专用网络的网关设备。该网关设备也可称为是SSLVPN网关。SSLVPN网关会将接收到的数据去封装后发送给目的IP地址所指向的内部资源服务器。在互联网用户认证通过后,网关设备可以获取虚拟专用网络的内部各资源服务器的统一资源定位符(UniformResourceLocator,以下简称:URL)地址和IP地址的对应关系,形成资源服务器列表,然后将该资源服务器列表发送给浏览器插件。浏览器插件根据该资源服务器列表修改操作系统的host文件,以使得互联网用户使用客户端访问虚拟专用网络的内部资源服务器时,能够根据URL地址从host文件中获取到内部资源服务器的IP地址并携带的TCP报文的IP头中。
现有技术的上述技术方案,通过监控客户端的TCP端口方式为用户提供访问虚拟专用网络的能力,如果要对互联网用户进行访问权限控制,其访问权限控制粒度只能达到TCP端口级别,访问权限控制能力较低。
发明内容
本发明实施例提供一种访问虚拟专用网络的方法、装置以及网关设备,用于提高对访问权限的控制能力。
本发明实施例提供了一种访问虚拟专用网络的方法,包括:
获取浏览器发送给虚拟专用网络的HTTP请求;
对所述发送给虚拟专用网络的HTTP请求增加权限检查标识,并对增加权限检查标识后的HTTP请求进行安全封装得到隧道数据包;
通过安全隧道向虚拟专用网络的网关设备发送所述隧道数据包。
本发明实施例还提供了另一种访问虚拟专用网络的方法,包括:
接收浏览器插件通过安全隧道发送的隧道数据包;
获得所述隧道数据包中的发送给所述虚拟专用网络的HTTP请求;
若所述发送给虚拟专用网络的HTTP请求中携带权限检查标识,根据所述权限检查标识检查所述HTTP请求的用户访问权限,并在权限检查通过后,将所述HTTP请求转发给虚拟专用网络中的目的资源服务器。
本发明实施例还提供了一种访问虚拟专用网络的装置,包括:
第一获取模块,用于获取浏览器发送给虚拟专用网络的HTTP请求;
第一业务处理模块,用于对所述发送给虚拟专用网络的HTTP请求增加权限检查标识,并对增加权限检查标识后的HTTP请求进行安全封装得到隧道数据包;
第一发送模块,用于通过安全隧道向虚拟专用网络的网关设备发送所述隧道数据包。
本发明实施例还提供了一种网关设备,包括:
第一接收模块,用于接收浏览器插件通过安全隧道发送的隧道数据包;
第二获取模块,用于获得所述隧道数据包中的发送给所述虚拟专用网络的HTTP请求;
第二业务处理模块,用于获取所述发送给虚拟专用网络的HTTP请求中携带权限检查标识,根据所述权限检查标识检查所述HTTP请求的用户访问权限,并在权限检查通过后,将所述HTTP请求转发给虚拟专用网络中的目的资源服务器。
本发明上实施例提供的访问虚拟专用网络的方法、装置以及网关设备,可以通过在客户端设备上设置浏览器插件,该浏览器插件会对访问虚拟专用网络的HTTP请求增加权限检查标识,以指示网关设备在接收到该HTTP请求后进行权限检查,能够提高对访问权限的控制能力,实现网关设备对访问权限的控制达到URL级别。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明访问虚拟专用网络的方法实施例一的流程示意图;
图2为本发明访问虚拟专用网络的方法实施例二的流程示意图;
图3为本发明实施例的一种具体应用场景中用户认证阶段的流程示意图;
图4为本发明具体实施例中用户业务阶段的流程示意图;
图5为本发明访问虚拟专用网络的装置实施例的结构示意图;
图6为本发明网关设备实施例的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
针对现有技术中,在为用户提供访问虚拟专用网络能力时,对访问权限的控制能力低的缺陷,本发明实施例提供了一种技术方案,图1为本发明访问虚拟专用网络的方法实施例一的流程示意图,如图1所示,包括如下的步骤:
步骤101、浏览器插件获取浏览器发送给虚拟专用网络的HTTP请求。
步骤102、浏览器插件对所述发送给虚拟专用网络的HTTP请求增加权限检查标识,并对增加权限检查标识后的HTTP请求进行安全封装得到隧道数据包。该安全封装可以包括SSL协议的封装和TLS协议的封装。
步骤103、浏览器插件通过安全隧道向虚拟专用网络的网关设备发送所述隧道数据包。该安全隧道可以包括SSL协议的隧道和TLS协议的隧道。
本发明上述实施例中,可以通过在客户端设备上增加一个浏览器插件,该浏览器插件对访问虚拟专用网络的HTTP请求增加权限检查标识,以指示网关设备在接收到该HTTP请求后进行权限检查,能够提高对访问权限的控制能力,实现网关设备对访问权限的控制达到URL级别。
本发明上述实施例提供的技术方案,可以实现对任何访问虚拟专用网络的HTTP请求的权限控制达到URL级别。另外还有一种技术方案可以实现将HTTP请求的权限控制达到URL级别,即虚拟专用网的网关设备在接收浏览器发送的登录认证请求消息,所述虚拟专用网的网关设备对用户权限进行认证。认证完成后,所述虚拟专用网的网关设备向浏览器返回携带修改后的虚拟专用网内部资源服务器的URL地址的第一URL列表的登陆认证成功消息。浏览器接收上述虚拟专用网的网关设备发送的登陆认证成功消息,该登陆认证成功消息携带的第一URL列表中的URL地址被修改为指向所述虚拟专用网的网关设备的URL地址,并且该修改后的URL地址中包括原URL地址。例如一个虚拟专用网内的Web资源服务器的URL为http://www.MyOWA.com,所述虚拟专用网的网关设备可以将将该URL修改为“http://VPNGW/0/http//www.MyOWA.com”,其中VPNGW是网关设备的域名或IP地址。浏览器访问上述第一URL列表中的URL地址时,根据该修改后的指向所述虚拟专用网的网关设备的URL地址发起的用于建立传输HTTP请求的连接的TCP连接请求,若该TCP连接请求的目的IP地址是网关设备的IP地址,对应的HTTP请求会直接发送给网关设备。网关设备根据修改后的URL地址中包括的原URL地址做包括权限控制在内的进一步操作。上述的技术方案也能够将访问权限的控制达到URL级别。但是,嵌入在用户访问内容中的URL地址可能无法被虚拟专用网的网关设备修改,例如Flash动画内可以包括URL地址,该URL地址可能无法被虚拟专用网的网关设备修改。如果用户点击的没有被虚拟专用网的网关设备修改过的链接,则无法访问虚拟专用网内该URL地址对应的资源服务器。此时,可以将图1所示实施例的技术方案和上述修改URL地址的技术方案相结合,即在执行上述的步骤101之前,先判断HTTP请求是指向网关设备,还是指向虚拟专用网络内部资源服务器,指向网关设备的HTTP请求可以直接发送给网关设备进行处理,而指向虚拟专用网络内部的资源服务器的HTTP请求按照图1所示的实施例进行处理。
本发明实施例中的虚拟专用网络内部的资源服务器表示虚拟专用网络内所有类型的可访问资源,例如Web站点、文件服务器、数据库资源或个人计算机终端等。
具体的,在执行上述的步骤101之前,本发明的技术方案还可以进一步包括:
浏览器插件获取浏览器发送的TCP连接请求,并确定所述TCP连接请求的目的IP地址为虚拟专用网络的网关设备的IP地址还是虚拟专用网络内部资源服务器的IP地址;对于虚拟专用网络内部资源服务器的IP地址,可以是在用户认证阶段,由网关设备将虚拟专用网络内部资源服务器的URL地址和IP地址返回给浏览器插件,浏览器插件修改操作系统的host文件,在发起对虚拟专用网络内部资源服务器访问请求时,能够获取到对应的IP地址;
在所述TCP连接请求的目的IP地址为虚拟专用网络的网关设备的IP地址时,直接向虚拟专用网的网关设备发送HTTP请求;在所述TCP连接请求的目的IP地址为虚拟专用网络内部资源服务器的IP地址时,执行上述的步骤101~步骤103。通过上述的技术方案可以对访问虚拟专用网络的HTTP请求的权限控制达到URL级别。进一步的,在上述浏览器发起登陆认证请求消息后,所述虚拟专用网的网关设备同时向浏览器推送浏览器插件,该浏览器插件在安装完成后可以实现访问权限控制的功能,即可以对浏览器发起的TCP请求的目的IP地址进行判断,以及在该TCP请求的目的IP地址为虚拟专用网络内部资源服务器的IP地址时执行上述的步骤101~步骤103,在HTTP请求上增加权限检查标识,并进行封装后发送。
而上述步骤102中,对发送给虚拟专用网络的HTTP请求增加权限检查标识,具体的可以修改上述HTTP请求的头域(header),在HTTP头域中增加权限检查标识。或者,也可以对发送给虚拟专用网络的HTTP请求再次进行HTTP封装,即将上述原始的HTTP请求作为数据净荷,在外层封装的HTTP请求的头域中增加权限检查标识。
在本发明的具体实施例中,可以将权限检查标识携带在HTTP请求的头域中,以下以用户标识信息作为权限检查标识为例进行说明,如何将权限检查标识携带在HTTP请求的头域中,例如通常的HTTP请求的头域包括GET行、Accept行、Host行和Cookie行等,其中的GET行为首行,其包括URL地址,本实施例中,可以在GET行增加上述用户标识信息,例如通常的GET行为“GEThttp://www.MYSITE.com/HTTP/1.1”,可以将其修改为“GEThttp://www.MYSITE.com/userflag=XYZHTTP/1.1”,其中的“userflag=XYZ”即为用户标识信息;又可以在Cookie行增加用户标识信息,例如将“Cookie:MYSITEID=F9B8BD39D4408733B2081A92B5C35510:FG=1”修改为“Cookie:MYSITEID=F9B8BD39D4408733B2081A92B5C35510:FG=1;userflag=XYZ”;还可以在Cookie行后自定义行,利用该自定义行携带用户标识信息,例如在Cookie行后增加自定义的sslvpnflag行,即增加“sslvpnflag:userflag=XYZ”,其中userflag=XYZ”即为用户标识信息。上述用户标识信息可以是加密的,也可以是经过数字签名的。其他对称钥匙密码学(symmetric-keycryptography)或公开钥匙密码学(public-keycryptography)机制都可以用于保护用户标识信息。
与图1所示的实施例对应的,本发明实施例还提供了对应在网关设备中执行的方法,图2为本发明访问虚拟专用网络的方法实施例二的流程示意图,如图2所示,包括如下的步骤:
步骤201、网关设备接收浏览器插件通过安全隧道发送的隧道数据包;
步骤202、网关设备获得所述隧道数据包中的发送给所述虚拟专用网络的HTTP请求;
步骤203、若所述发送给虚拟专用网络的HTTP请求中携带权限检查标识,网关设备根据所述权限检查标识检查所述HTTP请求的用户访问权限,并在权限检查通过后,将所述HTTP请求转发给虚拟专用网络中的目的资源服务器。
进一步的,上述步骤203中可以是先清除掉上述HTTP请求中携带的权限检查标识,然后再将其转发给虚拟专用网中的目的资源服务器。本发明实施例中的虚拟专用网络内部的资源服务器表示虚拟专用网络内所有类型的可访问资源,例如Web站点、文件服务器、数据库资源或个人计算机终端等。
本发明实施例中,虚拟专用网络的网关设备在接收到通过SSL隧道传输的SSL隧道数据包后,对携带权限检查标识的HTTP请求不直接转发,而是进行用户访问权限检查,并在权限检查通过后,再将HTTP请求转发给虚拟专用网络中的目的资源服务器,能够提高对访问权限的控制能力,实现网关设备对访问权限的控制达到URL级别。
更进一步的,上述对HTTP请求进行用户访问权限检查可以是获取HTTP请求中携带的用户标识信息,根据所述用户标识信息,以及预先存储的访问权限列表,确定所述用户标识信息标识的用户是否具有访问目的资源服务器的权限。
图3为本发明实施例的一种具体应用场景中用户认证阶段的流程示意图,如图3所示,包括如下的步骤:
步骤301、用户通过浏览器发起登陆虚拟专用网的网关设备的请求,该网关设备可以是SSLVPN网关,浏览器向虚拟专用网的网关设备发送登陆认证请求消息;
步骤302、网关设备进行登陆认证,并在认证成功后向浏览器返回登陆认证成功消息,该消息中携带第一URL列表,该第一URL列表中包括了用户可以在虚拟专用网络中访问的资源服务器的URL地址,但上述URL地址已经被修改为指向网关设备,例如虚拟专用网内的资源服务器的URL为http://www.MyOWA.com,将被网关设备修改为“http://VPNGW/0/http//www.MyOWA.com”,其中VPNGW是网关设备的域名或IP地址;
步骤303、网关设备向浏览器推送浏览器插件,具体的该浏览器插件可以携带在登陆认证成功消息中;
步骤304、浏览器安装并启动浏览器插件;
步骤305、浏览器插件向网关设备请求用户访问权限,以及端口列表;
步骤306、网关设备向浏览器插件返回资源服务器列表,该资源服务器列表可以是授权用户访问的虚拟专用网络内部资源服务器的URL地址,及其对应的IP地址。同时还返回端口列表,该端口列表中的TCP端口信息可以是网关设备根据虚拟专用网络内的WEB资源服务器URL的配置情况自动生成的,例如网关设备配置一个Web资源服务器的URL是http://www.MySite.com,则自动生成80端口;配置了另一个Web资源服务器的URL是http://www.Mysite.com:8080,则自动生成8080端口;
步骤307、浏览器插件将在步骤306中获得的虚拟专用网络内部资源服务器的URL地址,及其对应的IP地址添加到操作系统的host文件中,该host文件可以使得用户在浏览器中输入指向虚拟专用网络内的资源服务器的URL地址时,自动提供对应的IP地址;
步骤308、可选的,浏览器插件向浏览器返回通知消息,通知浏览器插件已启动成功,此时浏览器插件可以开始监控浏览器发起的TCP连接请求。
在完成上述准备工作后,就可以使用浏览器插件进行访问控制,图4为本发明具体实施例中用户业务阶段的流程示意图,如图4所示,包括如下的步骤:
步骤401、用户点击虚拟专用网络内部资源服务器的URL地址,该URL地址可以是在上述步骤302中返回的第一URL列表中的URL地址,也可以是网页中嵌套的二进制内容中的URL地址,例如在Flash或视频中的URL链接的URL地址,浏览器根据host文件查询与上述URL地址对应的IP地址,准备发起针对上述IP地址的HTTP请求,首先,浏览器向浏览器插件发起对应的TCP连接请求,以建立TCP连接;
步骤402、浏览器插件接收浏览器发起的TCP连接请求,在确定该TCP连接请求的目的IP地址为网关设备时,即对应已经将URL地址修改为指向网关设备的情况,可以直接将上述TCP连接请求对应的HTTP请求发送给网关设备。而当TCP连接请求的IP地址对应虚拟专用网络内部的资源服务器时,例如根据上述步骤307中的端口列表,确定TCP连接请求要发送给端口列表中的TCP端口时,则需要对该TCP连接请求对应的HTTP请求进行代理,即需要将HTTP请求进行SSL封装后发送给网关设备,此时,浏览器插件向浏览器返回TCP连接建立消息;
步骤403、浏览器向浏览器插件发送HTTP请求,浏览器插件在接收到上述的HTTP请求中,会在HTTP请求中增加权限检查标识,以使网关设备根据该权限检查标识对用户的访问权限进行控制,如同上述实施例中所述的,增加权限检查标识的方式可以是直接修改HTTP请求的头域,在HTTP头域中增加权限检查标识,这可以利用目前HTTP请求的头域中的保留字段;或者还可以对发送给虚拟专用网络的HTTP请求再次进行HTTP封装,即上述原始的HTTP请求作为数据净荷,而在外层封装的HTTP请求的头域中增加权限检查标识。浏览器插件进一步将对增加权限检查标识的HTTP请求进行SSL协议的封装;
步骤404、浏览器插件将封装得到的SSL协议的隧道数据包发送给网关设备,具体的是通过SSL协议的隧道进行隧道数据包的传输;
步骤405、网关设备检测到HTTP请求中携带了权限检查标识,便会对其进行用户访问权限检查,获取HTTP请求中携带的用户标识信息,根据所述用户标识信息,以及预先存储的各个用户的访问权限列表,确定所述用户标识信息标识的用户是否具有访问目的资源服务器的权限。具体的,可以在HTTP请求的GET行的URL地址后携带用户标识信息,例如“www.site.com/?useflag=XXXX”,其中“useflag=XXXX”表示用户标识信息;或者是在cookie行携带用户标识信息,例如“cookie=useflag=XXXX”,其中“useflag=XXXX”表示用户标识信息。
步骤406、若在步骤405中权限检查失败,判断为用户无权访问,则会丢弃上述HTTP请求,或者在访问的资源不存在时,回应访问错误的HTTP响应,例如可以是“404filenotfound”。若权限检查成功,则会向虚拟专用网的虚拟资源服务器转发上述HTTP请求,由资源服务器查找并访问目的资源服务器。通过上述权限控制方法,可以实现对二进制内容中URL访问权限的细粒度控制;
步骤407、网关设备接收资源服务器返回的HTTP响应,将HTTP响应进行SSL协议的封装,并将封装后得到的SSL协议的隧道数据包发发送给浏览器插件;
步骤408、浏览器插件从接收到的隧道数据包中获得所述HTTP响应后,将其发送给浏览器。
本发明实施例提供了一种访问虚拟专用网络的装置,图5为本发明访问虚拟专用网络的装置实施例的结构示意图,如图5所示,包括第一获取模块11、第一业务处理模块12和第一发送模块13,其中第一获取模块11用于获取浏览器发送给虚拟专用网络的HTTP请求;第一业务处理模块12用于对所述发送给虚拟专用网络的HTTP请求增加权限检查标识,并对增加权限检查标识后的HTTP请求进行安全封装得到隧道数据包,上述的安全封装包括SSL协议的封装和TLS协议的封装;第一发送模块13用于通过安全隧道向虚拟专用网络的网关设备发送所述隧道数据包,该安全隧道包括SSL协议的隧道和TLS协议的隧道。
本发明上述实施例提供的访问虚拟专用网络的装置,该装置相当于上述实施例中的浏览器插件,通过在发送给虚拟专用网络的HTTP请求中增加权限检查标识,并进一步进行封装后通过安全隧道发送给网关设备,以由网关设备对增加了权限检查标识的HTTP请求进行权限检查,能够提高对访问权限的控制能力,实现网关设备对访问权限的控制达到URL级别。
本发明上述实施例提供的访问虚拟专用网络的装置可以是设置在客户端的浏览器插件,其可以与浏览器配合,为用户提供访问虚拟专用网的能力。
另外,本发明上述实施例中,还可以进一步设置确定模块14,该确定模块14用于接收浏览器发送的TCP连接请求,所述TCP连接请求用于建立传输所述HTTP请求的连接,并确定所述TCP连接请求的目的IP地址为虚拟专用网络的网关设备的IP地址或虚拟专用网络内部资源服务器的IP地址。具体的,是在所述TCP连接请求的目的IP地址为虚拟专用网络的网关设备的IP地址时,由浏览器直接向虚拟专用网的网关设备发送HTTP请求;上述的第一业务处理模块12具体用于在所述确定模块14确定TCP连接请求的目的IP地址为虚拟专用网络内部资源服务器的IP地址时,对所述发送给虚拟专用网络的HTTP请求增加权限检查标识,并对增加权限检查标识后的HTTP请求进行安全封装得到隧道数据包。第一发送模块通过安全隧道向虚拟专用网络的网关设备发送所述隧道数据包。
本发明上述实施例中,可以将权限检查标识携带在HTTP请求的头域中,即上述的第一业务处理模块可以具体用于修改所述发送给虚拟专用网络的HTTP请求的头域,在所述HTTP请求的头域中增加权限检查标识;或对所述发送给虚拟专用网络的HTTP请求再次进行HTTP封装,并在外层HTTP请求的头域中增加权限检查标识;以及用于对增加权限检查标识后的HTTP请求进行安全封装得到隧道数据包。
本发明上述实施例中的权限检查标识可以是用户标识信息。
本发明实施例还提供了一种网关设备,图6为本发明网关设备实施例的结构示意图,如图6所示,包括第一接收模块21、第二获取模块22和第二业务处理模块23,其中第一接收模块21用于接收浏览器插件通过安全隧道发送的隧道数据包;第二获取模块22用于获得所述隧道数据包中的发送给所述虚拟专用网络的HTTP请求;第二业务处理模块23用于获取所述发送给虚拟专用网络的HTTP请求中携带权限检查标识,根据所述权限检查标识检查所述HTTP请求的用户访问权限,并在权限检查通过后,将所述HTTP请求转发给虚拟专用网络中的目的资源服务器。
本发明上述实施例中,其中的权限检查标识可以为用户标识信息,此时网关设备的第二业务处理模块23具体用于获取所述发送给虚拟专用网络的HTTP请求中携带的用户标识信息,根据所述用户标识信息,以及预先存储的访问权限列表,确定所述用户标识信息标识的用户是否具有访问所述目的资源服务器的权限;以及用于在所述用户标识信息标识的用户具有访问目的资源服务器的权限后,将所述HTTP请求转发给虚拟专用网络内的目的资源服务器。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (12)
1.一种访问虚拟专用网络的方法,其特征在于,包括:
浏览器插件接收浏览器发送的TCP连接请求,所述TCP连接请求用于建立传输HTTP请求的连接;
当所述TCP连接请求的目的IP地址为虚拟专用网络内部资源服务器的IP地址时,所述浏览器插件获取所述浏览器发送给虚拟专用网络的HTTP请求;
所述浏览器插件对所述发送给虚拟专用网络的HTTP请求增加权限检查标识,并对增加权限检查标识后的HTTP请求进行安全封装得到隧道数据包;
所述浏览器插件通过安全隧道向虚拟专用网络的网关设备发送所述隧道数据包。
2.根据权利要求1所述的访问虚拟专用网络的方法,其特征在于,还包括:
浏览器向虚拟专用网的网关设备发送登录认证请求消息;
浏览器在所述虚拟专用网的网关设备对用户权限认证完成后,接收所述虚拟专用网的网关设备向浏览器返回的携带有修改后的虚拟专用网络内部资源服务器的URL地址的第一URL列表的登陆认证成功消息,所述第一URL列表中URL地址被修改为指向所述虚拟专用网的网关设备的URL地址,所述第一URL列表中的URL地址包括原虚拟专用网络内部资源服务器的URL地址。
3.根据权利要求1或2所述的访问虚拟专用网络的方法,其特征在于,所述浏览器插件对所述发送给虚拟专用网络的HTTP请求增加权限检查标识包括:
所述浏览器插件修改所述发送给虚拟专用网络的HTTP请求的头域,在所述HTTP请求的头域中增加权限检查标识;或
所述浏览器插件对所述发送给虚拟专用网络的HTTP请求再次进行HTTP封装,并在外层HTTP请求的头域中增加权限检查标识。
4.根据权利要求3所述的访问虚拟专用网络的方法,其特征在于,所述权限检查标识设置在所述HTTP请求的头域的GET行、Cookie行或自定义行中。
5.根据权利要求1至4任一项所述的访问虚拟专用网络的方法,其特征在于,所述权限检查标识为用户标识信息。
6.一种访问虚拟专用网络的方法,其特征在于,包括:
虚拟专用网的网关设备接收浏览器插件通过安全隧道发送的隧道数据包;
所述虚拟专用网的网关设备获得所述隧道数据包中的发送给虚拟专用网络的HTTP请求;
若所述发送给虚拟专用网络的HTTP请求中携带权限检查标识,所述虚拟专用网的网关设备根据所述权限检查标识检查所述HTTP请求的用户访问权限,并在权限检查通过后,将所述HTTP请求转发给虚拟专用网络中的目的资源服务器。
7.根据权利要求6所述的访问虚拟专用网络的方法,其特征在于,所述权限检查标识为用户标识信息,所述虚拟专用网的网关设备根据所述权限检查标识检查所述HTTP请求的用户访问权限包括:
所述虚拟专用网的网关设备获取所述HTTP请求中携带的用户标识信息,根据所述用户标识信息,以及预先存储的访问权限列表,确定所述用户标识信息标识的用户是否具有访问所述目的资源服务器的权限。
8.一种访问虚拟专用网络的装置,其特征在于,包括:
确定模块,用于接收浏览器发送的TCP连接请求,所述TCP连接请求用于建立传输HTTP请求的连接,并确定所述TCP连接请求的目的IP地址为虚拟专用网络的网关设备的IP地址或虚拟专用网络内部资源服务器的IP地址;
第一获取模块,用于获取浏览器发送给虚拟专用网络的HTTP请求;
第一业务处理模块,用于当所述确定模块确定所述TCP连接请求的目的IP地址为虚拟专用网络内部资源服务器的IP地址时,对所述发送给虚拟专用网络的HTTP请求增加权限检查标识,并对增加权限检查标识后的HTTP请求进行安全封装得到隧道数据包;
第一发送模块,用于通过安全隧道向虚拟专用网络的网关设备发送所述隧道数据包。
9.根据权利要求8所述的访问虚拟专用网络的装置,其特征在于,所述第一业务处理模块具体用于修改所述发送给虚拟专用网络的HTTP请求的头域,在所述HTTP请求的头域中增加权限检查标识;或对所述发送给虚拟专用网络的HTTP请求再次进行HTTP封装,并在外层HTTP请求的头域中增加权限检查标识;以及用于对增加权限检查标识后的HTTP请求进行安全封装得到隧道数据包。
10.根据权利要求8或9所述的访问虚拟专用网络的装置,其特征在于,所述权限检查标识为用户标识信息。
11.一种网关设备,其特征在于,包括:
第一接收模块,用于接收浏览器插件通过安全隧道发送的隧道数据包;
第二获取模块,用于获得所述隧道数据包中的发送给虚拟专用网络的HTTP请求;
第二业务处理模块,用于获取所述发送给虚拟专用网络的HTTP请求中携带权限检查标识,根据所述权限检查标识检查所述HTTP请求的用户访问权限,并在权限检查通过后,将所述HTTP请求转发给虚拟专用网络中的目的资源服务器。
12.根据权利要求11所述的网关设备,其特征在于,所述权限检查标识为用户标识信息,所述第二业务处理模块具体用于获取所述发送给虚拟专用网络的HTTP请求中携带的用户标识信息,根据所述用户标识信息,以及预先存储的访问权限列表,确定所述用户标识信息标识的用户是否具有访问所述目的资源服务器的权限;以及用于在所述用户标识信息标识的用户具有访问目的资源服务器的权限后,将所述HTTP请求转发给虚拟专用网络内的目的资源服务器。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2011/080791 WO2012163005A1 (zh) | 2011-10-14 | 2011-10-14 | 访问虚拟专用网络的方法、装置以及网关设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103168450A CN103168450A (zh) | 2013-06-19 |
| CN103168450B true CN103168450B (zh) | 2015-11-25 |
Family
ID=47258326
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201180002549.9A Active CN103168450B (zh) | 2011-10-14 | 2011-10-14 | 访问虚拟专用网络的方法、装置以及网关设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN103168450B (zh) |
| WO (1) | WO2012163005A1 (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9148408B1 (en) * | 2014-10-06 | 2015-09-29 | Cryptzone North America, Inc. | Systems and methods for protecting network devices |
| CN105978933B (zh) * | 2016-04-25 | 2019-09-17 | 青岛海信电器股份有限公司 | 一种网页请求及响应方法、终端、服务器和系统 |
| CN108574607B (zh) * | 2017-03-08 | 2022-09-20 | 中兴通讯股份有限公司 | 基于虚拟专用网络的共享上网检测方法及装置 |
| CN110071932B (zh) * | 2019-04-29 | 2021-10-08 | 云深互联(北京)科技有限公司 | 一种安全访问系统及方法 |
| CN110266715B (zh) * | 2019-06-28 | 2023-03-24 | 深圳前海微众银行股份有限公司 | 异地访问方法、装置、设备与计算机可读存储介质 |
| CN111182027A (zh) * | 2019-11-29 | 2020-05-19 | 云深互联(北京)科技有限公司 | 基于新型架构实现的流量数据分流方法和装置 |
| CN111193771A (zh) * | 2019-12-03 | 2020-05-22 | 云深互联(北京)科技有限公司 | 基于移动端企业浏览器的访问方法和装置 |
| CN112751742B (zh) * | 2020-12-30 | 2023-04-18 | 杭州迪普科技股份有限公司 | 本地应用的启动方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101119274A (zh) * | 2007-09-12 | 2008-02-06 | 杭州华三通信技术有限公司 | 一种提高ssl网关处理效率的方法及ssl网关 |
| CN101132420A (zh) * | 2007-10-16 | 2008-02-27 | 杭州华三通信技术有限公司 | 一种基于ssl vpn的链接改写方法和设备 |
| CN101523865A (zh) * | 2006-08-03 | 2009-09-02 | 思杰系统有限公司 | 用于使用http-察觉的客户端代理的系统和方法 |
-
2011
- 2011-10-14 CN CN201180002549.9A patent/CN103168450B/zh active Active
- 2011-10-14 WO PCT/CN2011/080791 patent/WO2012163005A1/zh active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101523865A (zh) * | 2006-08-03 | 2009-09-02 | 思杰系统有限公司 | 用于使用http-察觉的客户端代理的系统和方法 |
| CN101119274A (zh) * | 2007-09-12 | 2008-02-06 | 杭州华三通信技术有限公司 | 一种提高ssl网关处理效率的方法及ssl网关 |
| CN101132420A (zh) * | 2007-10-16 | 2008-02-27 | 杭州华三通信技术有限公司 | 一种基于ssl vpn的链接改写方法和设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2012163005A1 (zh) | 2012-12-06 |
| CN103168450A (zh) | 2013-06-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103168450B (zh) | 访问虚拟专用网络的方法、装置以及网关设备 | |
| US9100370B2 (en) | Strong SSL proxy authentication with forced SSL renegotiation against a target server | |
| CN102377629B (zh) | 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统 | |
| US7624438B2 (en) | System and method for providing a secure connection between networked computers | |
| CN102356620B (zh) | 网络应用访问 | |
| US11252071B2 (en) | Sandbox environment for testing integration between a content provider origin and a content delivery network | |
| CN101582856B (zh) | 一种门户服务器与宽带接入设备的会话建立方法及其系统 | |
| KR102379721B1 (ko) | Tcp 세션 제어에 기초하여 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 | |
| CN106209838B (zh) | Ssl vpn的ip接入方法及装置 | |
| WO2019062666A1 (zh) | 一种实现安全访问内部网络的系统、方法和装置 | |
| CN107016074B (zh) | 一种网页加载方法及装置 | |
| WO2022247751A1 (zh) | 远程访问应用的方法、系统、装置、设备及存储介质 | |
| CN101316219A (zh) | 用于控制虚拟网络连接的虚拟网络连接装置、系统和方法 | |
| CN101902482B (zh) | 基于IPv6自动配置实现终端安全准入控制的方法和系统 | |
| CN101989909A (zh) | 一种ssl vpn的访问链接改写方法 | |
| CN104168173A (zh) | 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统 | |
| CN113422768B (zh) | 零信任中的应用接入方法、装置及计算设备 | |
| CN112039905B (zh) | 基于反向连接的网络通信方法、装置及电子设备和介质 | |
| CN113938474B (zh) | 一种虚拟机访问方法、装置、电子设备和存储介质 | |
| CN110730189B (zh) | 一种通信认证方法、装置、设备及存储介质 | |
| CN109495362B (zh) | 一种接入认证方法及装置 | |
| CN101662357A (zh) | 一种安全网关客户端的访问方法 | |
| US20190068556A1 (en) | Method to avoid inspection bypass due to dns poisoning or http host header spoofing | |
| CN112491836A (zh) | 通信系统、方法、装置及电子设备 | |
| CN111371775A (zh) | 一种单点登录方法、装置、设备、系统及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |