CN106100963A - 一种基于全文意转换的软件vpn实现方法 - Google Patents

一种基于全文意转换的软件vpn实现方法 Download PDF

Info

Publication number
CN106100963A
CN106100963A CN201610674141.0A CN201610674141A CN106100963A CN 106100963 A CN106100963 A CN 106100963A CN 201610674141 A CN201610674141 A CN 201610674141A CN 106100963 A CN106100963 A CN 106100963A
Authority
CN
China
Prior art keywords
layer
user
vpn
full
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610674141.0A
Other languages
English (en)
Inventor
蒋溢
葛军
祝清意
熊安萍
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chongqing University of Post and Telecommunications
Original Assignee
Chongqing University of Post and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chongqing University of Post and Telecommunications filed Critical Chongqing University of Post and Telecommunications
Priority to CN201610674141.0A priority Critical patent/CN106100963A/zh
Publication of CN106100963A publication Critical patent/CN106100963A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明涉及一种基于全文意转换的软件VPN实现方法,属于网络数据安全通信技术领域。该方法的基本思想是建立一个用户访问权限和URL转换的规则库,实现VPN服务器中用户的访问控制以及保护内网资源的目的。与现有的VPN实现方案相比,本方法具有极强的可扩展性,网页内容的全文意转换使得本方法实现的软VPN具有极强的兼容性,能够快速部署于异构的多业务系统中,而无需对各业务系统进行任何修改。该方法应用于多业务系统,并具有处理能力强,能快速部署,可以灵活动态扩展,以及对用户访问权限可以进行有效控制等优点。

Description

一种基于全文意转换的软件VPN实现方法
技术领域
本发明属于网络数据安全通信技术领域,涉及一种基于全文意转换的软件VPN实现方法。
背景技术
虚拟专用网(Virtual Private Network,VPN)是在公用网络通过构建一个临时的私人专用网络,以保障远程通讯的安全性和可靠性。随着信息技术的快速发展,VPN作为一个安全的远程访问技术,在政府、电信、金融、高校等机构得到了广泛的应用。借助于VPN技术,分布在不同位置的远程用户、公司分支机构、商业伙伴等可以与公司内部网建立安全可信的连接,从而保障数据的安全传输和公司内部网网络的安全。
VPN技术主要有两种实现方式:硬件VPN和软件VPN。现有的VPN问题主要体现在以下几个方面:
1、接入能力和可扩展性。现有的软件VPN技术往往并发处理能力不够。而现有硬件VPN技术,往往投入大,维护成本高,接入能力受限于硬件VPN的性能,不便扩容。
2、多业务系统账号统一。大型公司由于种种原因往往同时存在多个异构的业务系统:如财务系统、人事系统等。为了用户方便地访问所有业务系统,需要实现账号的统一。
3、多业务系统的软件VPN部署问题。多个异构的业务系统孤立开发,软件VPN部署时往往很难保持兼容性。
在当今互联网环境下,大型公司、企事业单位、政府等机构业务系统复杂和庞杂,不论是从经济的角度,还是从性能的角度,抑或是从安全性的角度,目前都需要解决上述问题。
发明内容
有鉴于此,本发明的目的在于提供一种基于全文意转换的软件VPN实现方法,该方法应用于多业务系统,并具有处理能力强,能快速部署,可以灵活动态扩展,以及对用户访问权限可以进行有效控制等优点。
为达到上述目的,本发明提供如下技术方案:
一种基于全文意转换的软件VPN实现方法,该方法应用的系统主要包括三层:接入层、处理层和数据获取层,该方法包括以下步骤:S1:接入层接收用户请求;S2:处理层处理用户请求;S3:数据获取层获取内网服务器网络数据;S4:处理层解析网页数据;S5:接收层返回数据给用户端。
进一步,所述步骤S1具体包括:
S11:用户通过HTTP+OpenSSL访问VPN服务器,并通过VPN的登录验证;
S12:接入层负责创建与用户端的HTTPS短连接和Session;
S13:用户发送请求HTTP信息,接收层判断用户登录是否超时,超时,返回超时信息;否则,将该请求信息和用户信息转给处理层。
进一步,所述步骤S2具体包括:处理层根据HTTP请求类:Get和Post两种方式,对请求合法性进行验证;如合法,则转给数据获取层;否则,拒绝请求,并将拒绝信息返回给接收层;管理员能够通过灵活配置规则库实现用户的访问控制。
进一步,所述步骤S3具体包括:数据获取层建立与内网各服务器的HTTP长连接,接收到URL请求信息后,向对应的内网服务器发送数据请求,接收到内网服务器的反馈网页数据后,将其转给处理层。
进一步,所述步骤S4具体包括:处理层对获取的后台服务器网页内容进行全文意转换;根据网页涉及的具体内容,分别交由对应的HTTP解析模块、CSS解析模块或者JS解析模块处理,再根据规则库对网页中涉及原站点URL进行域名替换;最后将数据返回给接收层。URL加密替换有效保证了内网服务器的安全,同时当处理新的用户请求时,由于已经对网页的进行全文解析,只需更新部分内容,从而有效提升VPN服务器处理和响应性能;此外,通过全文意转换,本软件VPN可以对任意Web系统进行解析转换,因此能够直接部署于多业务系统环境。
进一步,所述步骤S5具体包括:接收层通过密钥对处理后的网页数据加密后,通过HTTPS发送给用户端。
本发明的有益效果在于:本发明的基本思想是建立一个用户访问权限和URL转换的规则库,实现VPN服务器中用户的访问控制以及保护内网资源的目的。相比与现有的VPN实现方案,本方法具有极强的可扩展性,网页内容的全文意转换使得本方法实现的软VPN具有极强的兼容性,能够快速部署于异构的多业务系统中,而无需对各业务系统进行任何修改。
附图说明
为了使本发明的目的、技术方案和有益效果更加清楚,本发明提供如下附图进行说明:
图1为本发明的一个具体应用系统示意图;
图2为本发明方法的实施过程示意图。
具体实施方式
下面将结合附图,对本发明的优选实施例进行详细的描述。
图1为本发明的一个具体应用系统示意图,该系统主要包括三层:接入层、处理层和数据获取层。
接入层:主要负责接收和返回远程用户的网络请求,监控与用户之间网络连接状态及其网络传输。具体而言:
1、前端消息组件负责与用户建立短连接,连接方式采用OpenSSL和HTTP组合实现以保证传输数据的安全性。
2、用户通过统一的账户和密码登录到VPN认证中心,根据业务需求持久化session,并支持session的转发,以保障各业务系统的单点登录。
3、监测用户的登录、注销、请求等,生成统一格式的日志文件。
处理层:负责处理用户的网络请求和后台服务器反馈数据,具体而言:
1、处理用户的网络请求,根据规则库对用户进行权限验证。
2、对后台服务器反馈数据进行处理,解析html\js\css,并按照规则库来进行域名替换。
3、通过URL的加密替换,保证后台业务系统的安全。针对后端页面中存在的业务url,进行按照给定的规则,进行转换。然后再把数据返回给用户进行访问。从而避免暴露后端业务系统真实URL,从减低被攻击的风险。
4、管理员可以根据实际情况,灵活地动态改变规则库,实现用户的权限管理和域名替换管理。
5、监测用户操作记录,生成统一格式的日志文件。
数据获取层:处理与后台业务系统的通信。具体来说,与各内部系统的服务器通过长连接方式进行数据交互。借以减少建立及关闭连接的次数,从而减少CPU和内存的使用,减少后续请求的响应时间,减少网络的阻塞。
具体实施例:
如图1所示,用户可利用手机、笔记本电脑、台式机等各种终端的浏览器对VPN服务器进行远程访问,终端和VPN服务器之间建立HTTPS的短连接。VPN服务器与内网的各业务系统的Web服务器建立基于HTTP的长连接,然后数据通过VPN在两端分别建立HTTPS和HTTTP连接实现转发,从而实现远程用户安全访问内网资源的需求。
图2为本发明方法的实施过程示意图,具体如下:
1、认证过程:
1)用户通过公网远程访问VPN服务器(如www.xxx.com.cn),输入用户名和密码(如用户名USER1,密码PSW1)进行登录验证。
2)VPN服务器端的接收层建立与用户浏览器端的基于HTTP和OpenSSL的短连接,接收用户的用户名和密码进行登录验证,验证失败,返回错误信息;反之,返回VPN服务资源页面。
2、Web资源请求过程:
1)用户登陆成功后,继续进行资源页面的Web资源访问,例如内网业务系统1的Web服务器。
2)VPN服务器接收到用户请求信息(如:www.xxx.com.cn/a/b/c.html),同时验证请求中的Cookie信息,如果用户登录超时,返回超时信息,否则,将该请求信息转到处理层。
3)HTTP的请求类型主要分为Get和Post两类。对于Get类HTTP请求,处理层访问规则库,将www.xxx.com.cn/a/b/c.html转换为:
www.vpn.com/proxy?sign=xxx&source=xxx&path=a/b/c的形式,再交由数据接收层接收后台服务器数据。对于Post类的HTTP请求,则处理层将sign,source,data等信息放入HTTP的包体中,再交由数据接收层接收后台服务器数据。同时,在HTTP的包头Header中的Tag项包含有用户的IP地址或MAC地址信息,通过验证IP地址或MAC地址信息和Source信息的内容判断用户是否具有访问权限。
3、Web资源返回过程:
1)数据接收层负责保持与后台各业务系统Web服务器的HTTP长连接,一旦有URL请求,立即向对应的服务器站点发送请求信息,并将获取到的网页数据转给处理层处理。
2)处理层对获取的网页数据进行全文意转换,并对不同页面中加载不同的类型文件,例如html、js、css、image、json等各个类型资源进行加密替换:
A、HTML的网页内容交由HTML解析模块处理,HTML解析模块处理按照HTML的标签和URL的格式等方式对网页内容进行解析。并根据规则库按照2.3的步骤,对网页包含的所有内网URL进行加密替换。通过加密替换,可以隐藏后台服务器资源的位置信息,保证其安全。
B、类似地,网页涉及的JS、CSS部分分别交由对应的解析模块处理。
3)接收层将最后处理完成的网页数据加密后,通过HTTTPS发送给用户端。
最后说明的是,以上优选实施例仅用以说明本发明的技术方案而非限制,尽管通过上述优选实施例已经对本发明进行了详细的描述,但本领域技术人员应当理解,可以在形式上和细节上对其作出各种各样的改变,而不偏离本发明权利要求书所限定的范围。

Claims (6)

1.一种基于全文意转换的软件VPN实现方法,该方法应用的系统主要包括三层:接入层、处理层和数据获取层,其特征在于:该方法包括以下步骤:
S1:接入层接收用户请求;
S2:处理层处理用户请求;
S3:数据获取层获取内网服务器网络数据;
S4:处理层解析网页数据;
S5:接收层返回数据给用户端。
2.根据权利要求1所述的一种基于全文意转换的软件VPN实现方法,其特征在于:所述步骤S1具体包括:
S11:用户通过HTTP+OpenSSL访问VPN服务器,并通过VPN的登录验证;
S12:接入层负责创建与用户端的HTTPS短连接和Session;
S13:用户发送请求HTTP信息,接收层判断用户登录是否超时,超时,返回超时信息;否则,将该请求信息和用户信息转给处理层。
3.根据权利要求1所述的一种基于全文意转换的软件VPN实现方法,其特征在于:所述步骤S2具体包括:处理层根据HTTP请求类:Get和Post两种方式,对请求合法性进行验证;如合法,则转给数据获取层;否则,拒绝请求,并将拒绝信息返回给接收层;管理员能够通过灵活配置规则库实现用户的访问控制。
4.根据权利要求1所述的一种基于全文意转换的软件VPN实现方法,其特征在于:所述步骤S3具体包括:数据获取层建立与内网各服务器的HTTP长连接,接收到URL请求信息后,向对应的内网服务器发送数据请求,接收到内网服务器的反馈网页数据后,将其转给处理层。
5.根据权利要求1所述的一种基于全文意转换的软件VPN实现方法,其特征在于:所述步骤S4具体包括:处理层对获取的后台服务器网页内容进行全文意转换;根据网页涉及的具体内容,分别交由对应的HTTP解析模块、CSS解析模块或者JS解析模块处理,再根据规则库对网页中涉及原站点URL进行域名替换;最后将数据返回给接收层。
6.根据权利要求1所述的一种基于全文意转换的软件VPN实现方法,其特征在于:所述步骤S5具体包括:接收层通过密钥对处理后的网页数据加密后,通过HTTPS发送给用户端。
CN201610674141.0A 2016-08-16 2016-08-16 一种基于全文意转换的软件vpn实现方法 Pending CN106100963A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610674141.0A CN106100963A (zh) 2016-08-16 2016-08-16 一种基于全文意转换的软件vpn实现方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610674141.0A CN106100963A (zh) 2016-08-16 2016-08-16 一种基于全文意转换的软件vpn实现方法

Publications (1)

Publication Number Publication Date
CN106100963A true CN106100963A (zh) 2016-11-09

Family

ID=58069660

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610674141.0A Pending CN106100963A (zh) 2016-08-16 2016-08-16 一种基于全文意转换的软件vpn实现方法

Country Status (1)

Country Link
CN (1) CN106100963A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106603728A (zh) * 2017-02-11 2017-04-26 网宿科技股份有限公司 Https加速方法和系统、数据中心、节点服务云端

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101534302A (zh) * 2009-04-16 2009-09-16 杭州华三通信技术有限公司 一种提供tcp服务的方法、系统和相关装置
CN101753606A (zh) * 2008-12-03 2010-06-23 北京天融信科技有限公司 一种实现web反向代理的方法
CN101977224A (zh) * 2010-10-28 2011-02-16 神州数码网络(北京)有限公司 一种基于SSL VPN设备的Web资源认证信息管理方法
CN103067417A (zh) * 2011-10-19 2013-04-24 华耀(中国)科技有限公司 VPN中安全代理的Web服务映射方法及其系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101753606A (zh) * 2008-12-03 2010-06-23 北京天融信科技有限公司 一种实现web反向代理的方法
CN101534302A (zh) * 2009-04-16 2009-09-16 杭州华三通信技术有限公司 一种提供tcp服务的方法、系统和相关装置
CN101977224A (zh) * 2010-10-28 2011-02-16 神州数码网络(北京)有限公司 一种基于SSL VPN设备的Web资源认证信息管理方法
CN103067417A (zh) * 2011-10-19 2013-04-24 华耀(中国)科技有限公司 VPN中安全代理的Web服务映射方法及其系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
张仁: "基于Web浏览器的SSL VPN网关系统的设计和实现", 《计算机工程与设计》 *
贺济美: "SSL VPN的分析与设计", 《中国优秀硕士学位论文全文数据库》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106603728A (zh) * 2017-02-11 2017-04-26 网宿科技股份有限公司 Https加速方法和系统、数据中心、节点服务云端
CN106603728B (zh) * 2017-02-11 2020-03-31 网宿科技股份有限公司 Https加速方法和系统、数据中心、节点服务云端

Similar Documents

Publication Publication Date Title
CN101075875B (zh) 在门户/系统之间实现单点登录的方法及其系统
CN100574193C (zh) 转接第三方登陆的方法、系统及第三方网站、业务服务器
US10356153B2 (en) Transferring session data between network applications accessible via different DNS domains
US10027556B2 (en) Delegated network management services
CN101741817B (zh) 一种多网络融合系统、装置及方法
CN104378382A (zh) 一种多商户无线认证系统及其认证方法
WO2022247751A1 (zh) 远程访问应用的方法、系统、装置、设备及存储介质
CN102984169A (zh) 单点登录方法、设备及系统
CN104348777A (zh) 一种移动终端对第三方服务器的访问控制方法及系统
CN104158824A (zh) 网络实名认证方法及系统
CN104335523A (zh) 一种权限控制方法、客户端及服务器
CN102739684B (zh) 一种基于虚拟IP地址的Portal认证方法及服务器
CN102843357A (zh) 访问网络的方法、应用服务器及系统
Maksutov et al. Detection and prevention of DNS spoofing attacks
US20110289575A1 (en) Directory authentication method for policy driven web filtering
CN101582856A (zh) 一种门户服务器与宽带接入设备的会话建立方法及其系统
CN104168304A (zh) Vdi环境下的单点登录系统及方法
CN103532912A (zh) 浏览器业务数据的处理方法和装置
CN103428211A (zh) 基于交换机的网络认证系统及其认证方法
CN101686245A (zh) 用于隔离超文本传输协议会话的方法和系统
CN103634111B (zh) 单点登录方法和系统及单点登录客户端
CN101557403A (zh) 一种登录网站的方法、装置和系统
CN105959278B (zh) 一种调用vpn的方法、设备和系统
CN113411324B (zh) 基于cas与第三方服务器实现登录认证的方法和系统
CA3040804C (en) Portal aggregation service mapping subscriber device identifiers to portal addresses to which connection and authentication requests are redirected and facilitating mass subscriber apparatus configuration

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20161109