CN107306214A - 终端连接虚拟专用网的方法、系统及相关设备 - Google Patents
终端连接虚拟专用网的方法、系统及相关设备 Download PDFInfo
- Publication number
- CN107306214A CN107306214A CN201610242556.0A CN201610242556A CN107306214A CN 107306214 A CN107306214 A CN 107306214A CN 201610242556 A CN201610242556 A CN 201610242556A CN 107306214 A CN107306214 A CN 107306214A
- Authority
- CN
- China
- Prior art keywords
- terminal
- vpn
- gateway
- address
- session
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
Abstract
一种终端连接虚拟专用网(VPN)的方法、系统及相关设备,用以解决目前为终端配置VPN网关的IP地址的工作量大且易出错的问题。方法为:VPN控制设备接收路由网关发送的第一握手报文,第一握手报文为所述路由网关在接收终端发送的用于向VPN控制设备发起第一SSL会话的协商过程的第二握手报文后发送,根据第一握手报文与终端协商确定第一SSL会话的会话参数,并通过第一SSL会话认证终端;在终端认证通过后,确定允许终端接入的第一VPN网关的IP地址;通知终端第一VPN网关的IP地址。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种终端连接虚拟专用网(英文:virtual private network,VPN)的方法、系统及相关设备。
背景技术
网际协议(英文:Internet Protocol,IP)摄像机(英文:IP camera,IPC)终端分布广。为了防止IPC终端向网络传输的视频流被恶意监听,以及为了防止网络向IPC终端传输的控制信令在传输过程中被恶意篡改,将安全套接层(英文:Secure Sockets Layer,SSL)VPN技术应用到IPC终端,使得IPC终端与网络之间加密传输视频流和控制信令。
SSL VPN技术,是指远程用户利用Web浏览器连接SSL VPN服务器。其中,远程用户与SSL VPN服务器之间,采用SSL协议或传输层安全(英文:Transport Layer Security,TLS)协议(SSL协议的后继者)对传输的数据包加密。以下将SSL协议和TLS协议都称为“SSL”或“SSL协议”。
IPC终端中预先设置有安全连接客户端。IPC终端中预先配置VPN网关的IP地址。安全连接客户端发起认证。在认证成功后,在IPC终端与VPN网关间建立SSL会话。SSL会话可加密传输数据流(例如视频流)和信令流。
户外的IPC终端无人值守,存在终端安全问题。为了防止IPC终端被恶意操作后,由于向网络传输的恶意数据受到VPN的加密保护,难以被发现,因此,为了解决IPC安全接入网络的问题,VPN网关不宜部署在核心网周边,一般将VPN网关部署在路由网关处。
VPN网关以旁挂方式部署在路由网关的位置,所谓旁挂是指VPN网关与路由网关用网线直连,由VPN网关和路由网关组成单独的子网。VPN网关负责所管辖区域内的IPC终端的接入认证和SSL会话建立,并转发数据流和信令流到视频专网,其中视频专网是指路由网关、视频监控设备(英文为:Videosurveillance equipment)等组成的上层网络。每个VPN网关的IP地址不相同,且每个VPN网关负责管辖不同的区域。不允许IPC终端跨VPN网关接入网络并建立SSL会话。IPC终端必须与该IPC终端所在管辖区域的VPN网关配合才能正常使用。IPC终端被配置的VPN网关的IP地址只能是其所在管辖范围的VPN网关的IP地址。IPC终端数量大,一般在几千到上万级别,位于不同管辖区域的IPC终端被配置的VPN网关的IP地址不同。因此,为IPC终端配置VPN网关的IP地址工作量大,且易出错。
发明内容
本申请提供一种终端连接虚拟专用网的方法、系统及相关设备,用以解决目前为终端配置VPN网关的IP地址工作量大且易出错的问题。
第一方面,提供了一种终端连接虚拟专用网VPN的方法,包括:
VPN控制设备接收路由网关发送的第一握手报文,所述第一握手报文为所述路由网关在接收终端发送的第二握手报文后发送,所述第二握手报文用于向所述VPN控制设备发起第一安全套接层SSL会话的协商过程;
所述VPN控制设备根据所述第一握手报文与所述终端协商确定所述第一SSL会话的会话参数,并通过所述第一SSL会话认证所述终端;
所述VPN控制设备在所述终端认证通过后,确定允许所述终端接入的第一VPN网关的IP地址;
所述VPN控制设备通知所述终端所述第一VPN网关的IP地址。
该方面中,由VPN控制设备负责终端的接入认证,并为终端确定允许接入的VPN网关,系统中所有的终端均配置VPN控制设备的IP地址即可满足终端的安全认证,尤其在终端数量庞大的情况下,能够大大降低终端配置的工作量,提升配置效率。
可选的实现中,所述第一握手报文中携带所述路由网关的直连路由表项,所述直连路由表项中包括所述路由网关旁挂的VPN网关的子网前缀;
所述VPN控制设备确定第一VPN网关的IP地址,包括:
所述VPN控制设备获取配置的所有VPN网关的IP地址列表中,属于所述直连路由表项中包含的VPN网关的子网前缀的VPN网关的IP地址,将获取的所述VPN网关的IP地址确定为所述第一VPN网关的IP地址。
该实现中,由VPN控制设备为终端确定允许接入的VPN网关,避免了终端与VPN控制设备绑定,提高终端接入的灵活性。
可选的实现中,所述方法还包括:
所述VPN控制设备将所述终端的IP地址以及所述第一SSL会话的会话参数通知给所述第一VPN网关,由所述第一VPN网关保存所述终端的IP地址以及所述第一SSL会话的会话参数,所述会话参数包括会话密钥、会话标识以及加密算法。
可选的实现中,所述方法还包括:
所述终端向所述第一VPN网关发送第三握手报文,所述第三握手报文用于向所述第一VPN网关发起第二SSL会话的协商过程,所述第三握手报文中携带所述会话标识以及密文,所述密文为采用所述会话密钥以及所述加密算法对所述终端的IP地址进行加密后生成。
该实现中,使得终端与VPN网关建立的第二SSL会话直接复用终端与VPN控制设备建立的第一SSL会话的会话参数。
可选的实现中,所述VPN控制设备通过所述第一SSL会话认证所述终端,包括:
所述VPN控制设备通过所述第一SSL会话接收所述终端发送的认证消息,所述认证消息中携带所述会话标识以及认证数据,所述认证数据为采用所述加密算法以及所述会话密钥对所述终端的标识加密后获得;
所述VPN控制设备解析所述认证消息,获得所述认证消息中携带的会话标识以及所述认证数据,确定存储有所述会话标识后,采用所述会话密钥和所述加密算法对所述认证数据解密获得所述终端的标识,将所述终端的标识发送给认证服务器;
所述VPN控制设备若接收到所述认证服务器返回的认证成功消息,则确定所述终端接入合法,所述认证成功消息由所述认证服务器确定存在所述终端的标识后返回;否则,确定所述终端接入不合法。
可选的实现中,所述方法还包括:
所述第一VPN网关接收所述第三握手报文,解析所述第三握手报文获得所述会话标识和所述密文;
所述第一VPN网关若确定本地保存有所述会话标识,且采用本地保存的所述会话密钥以及所述加密算法对所述密文进行解密后,确定解密获得的结果为所述终端的IP地址,则与所述终端建立第二SSL会话,并将所述第一SSL会话的会话参数作为所述第二SSL会话的会话参数。
第二方面,提供了一种终端连接虚拟专用网VPN的系统,包括:
终端,用于向路由网关发送第二握手报文,所述第二握手报文用于向VPN控制设备发起第一安全套接层SSL会话的协商过程;
路由网关,用于接收所述终端发送的所述第二握手报文后向所述VPN控制设备发送第一握手报文;
VPN控制设备,用于接收所述路由网关发送的所述第一握手报文,根据所述第一握手报文与所述终端协商确定所述第一SSL会话的会话参数,并通过所述第一SSL会话认证所述终端;以及在所述终端认证通过后,确定允许所述终端接入的第一VPN网关的IP地址,通知所述终端所述第一VPN网关的IP地址。
可选的实现中,所述路由网关具体用于:
将直连路由表项携带在所述第二握手报文中得到所述第一握手报文,所述直连路由表项中包含所述路由网关旁挂的VPN网关的子网前缀;
所述VPN控制设备具体用于:
获取配置的所有VPN网关的IP地址列表中,属于所述直连路由表项中包含的VPN网关的子网前缀的VPN网关的IP地址,将获取的所述VPN网关的IP地址确定为所述第一VPN网关的IP地址。
可选的实现中,所述VPN控制设备还用于:
将所述终端的IP地址以及所述第一SSL会话的会话参数通知给所述第一VPN网关;
所述第一VPN网关具体用于:
保存所述终端的IP地址以及所述第一SSL会话的会话参数,所述会话参数包括会话密钥、会话标识以及加密算法。
可选的实现中,所述终端还用于:
向所述第一VPN网关发送第三握手报文,所述第三握手报文用于向所述第一VPN网关发起第二SSL会话的协商过程,所述第三握手报文中携带所述会话标识以及密文,所述密文为采用所述会话密钥以及所述加密算法对所述终端的IP地址进行加密后生成。
可选的实现中,所述终端具体用于:
通过所述第一SSL会话向所述VPN控制设备发送认证消息,所述认证消息中携带所述会话标识以及认证数据,所述认证数据为采用所述加密算法以及所述会话密钥对所述终端的标识加密后获得;
所述VPN控制设备具体用于:
通过所述第一SSL会话接收所述终端发送的所述认证消息,解析所述认证消息,获得所述认证消息中携带的会话标识以及所述认证数据,确定存储有所述会话标识后,采用所述会话密钥和所述加密算法对所述认证数据解密获得所述终端的标识,将所述终端的标识发送给认证服务器;
所述认证服务器具体用于:
接收所述VPN控制设备发送的所述终端的标识,若确定存储有所述终端的标识,向所述VPN控制设备返回认证成功消息;否则,向所述VPN控制设备返回认证失败消息;
所述VPN控制设备具体用于:
若接收到所述认证服务器返回的认证成功消息,确定所述终端接入合法;若接收到所述认证服务器返回的认证失败消息,确定所述终端接入不合法。
可选的实现中,所述第一VPN网关具体用于:
接收所述第三握手报文,解析所述第三握手报文获得所述会话标识和所述密文;
若确定保存有所述会话标识,且采用保存的所述会话密钥以及所述加密算法对所述密文进行解密后,确定解密获得的结果为所述终端的IP地址,则与所述终端建立第二SSL会话,并将所述第一SSL会话的会话参数作为所述第二SSL会话的会话参数。
第三方面,提供了一种虚拟专用网VPN控制设备,包括:
接收模块,用于接收路由网关发送的第一握手报文,所述第一握手报文为所述路由网关在接收终端发送的第二握手报文后发送,所述第二握手报文用于向所述VPN控制设备发起第一安全套接层SSL会话的协商过程;
认证模块,用于根据所述第一握手报文与所述终端协商确定所述第一SSL会话的会话参数,并通过所述第一SSL会话认证所述终端;
确定模块,用于在所述终端认证通过后,确定允许所述终端接入的第一VPN网关的IP地址;
通知模块,用于通知所述终端所述第一VPN网关的IP地址。
可选的实现中,所述第一握手报文中携带所述路由网关的直连路由表项,所述直连路由表项中包含所述路由网关旁挂的VPN网关的子网前缀;
所述确定模块具体用于:
获取配置的所有VPN网关的IP地址列表中,属于所述直连路由表项中包含的VPN网关的子网前缀的VPN网关的IP地址,将获取的所述VPN网关的IP地址确定为所述第一VPN网关的IP地址。
可选的实现中,所述通知模块还用于:
将所述终端的IP地址以及所述第一SSL会话的会话参数通知给所述第一VPN网关,由所述第一VPN网关存储所述终端的IP地址以及所述第一SSL会话的会话参数,所述会话参数包括会话密钥、会话标识以及加密算法。
可选的实现中,所述接收模块具体用于:
通过所述第一SSL会话接收所述终端发送的认证消息,所述认证消息中携带所述会话密钥以及认证数据,所述认证数据为采用所述加密算法以及所述会话密钥对所述终端的标识加密后获得;
所述认证模块具体用于:
解析所述认证消息,获得所述认证消息中携带的会话标识以及所述认证数据,确定本地保存有所述会话标识后,采用所述会话密钥和所述加密算法对所述认证数据解密获得所述终端的标识,将所述终端的标识发送给认证服务器;若通过所述接收模块接收到所述认证服务器返回的认证成功消息,则确定所述终端接入合法,所述认证成功消息由所述认证服务器确定存在所述终端的标识后返回;否则,确定所述终端接入不合法。
第四方面,提供了一种VPN控制设备,包括处理器和通信接口;
所述处理器用于:通过所述通信接口接收路由网关发送的第一握手报文,所述第一握手报文为所述路由网关在接收终端发送的第二握手报文后发送,所述第二握手报文用于向所述VPN控制设备发起第一安全套接层SSL会话的协商过程;根据所述第一握手报文与所述终端协商确定所述第一SSL会话的会话参数,并通过所述第一SSL会话认证所述终端;在所述终端认证通过后,确定允许所述终端接入的第一VPN网关的IP地址;通过所述通信接口通知所述终端所述第一VPN网关的IP地址。
可选的实现中,所述第一握手报文中携带所述路由网关的直连路由表项,所述直连路由表项中包含所述路由网关旁挂的VPN网关的子网前缀;
所述处理器具体用于:
获取配置的所有VPN网关的IP地址列表中,属于所述直连路由表项中包含的VPN网关的子网前缀的VPN网关的IP地址,将获取的所述VPN网关的IP地址确定为所述第一VPN网关的IP地址。
可选的实现中,所述处理器还用于:通过所述通信接口将所述终端的IP地址以及所述第一SSL会话的会话参数通知给所述第一VPN网关,由所述第一VPN网关存储所述终端的IP地址以及所述第一SSL会话的会话参数,所述会话参数包括会话密钥、会话标识以及加密算法。
第五方面,提供了一种路由网关,包括处理器和通信接口;
所述处理器用于:通过通信接口接收终端发送的第二握手报文,所述第二握手报文用于向所述VPN控制设备发起第一SSL会话的协商过程;根据所述第二握手报文生成第一握手报文;通过所述通信接口向VPN控制设备发送所述第一握手报文。
第六方面,还提供了一种终端,包括处理器和通信接口;
所述处理器用于:通过所述通信接口向路由网关发送第二握手报文,所述第二握手报文用于向VPN控制设备发起第一SSL会话的协商过程,由所述路由网关在接收所述第二握手报文后向所述VPN控制设备发送第一握手报文;根据所述第二握手报文与所述VPN控制设备协商确定所述第一SSL会话的会话参数,并通过所述第一SSL会话请求所述VPN控制设备认证所述终端;通过所述通信接口接收所述VPN控制设备通知的允许所述终端接入的第一VPN网关的IP地址,所述第一VPN网关的IP地址由所述VPN控制设备在所述终端认证通过后确定。
附图说明
图1为本发明实施例中终端连接VPN的系统架构示意图;
图2为本发明实施例中终端连接VPN的方法流程示意图;
图3为本发明实施例中ClientHello报文的扩展选项携带直连路由表项的结构示意图;
图4为本发明实施例中VPN控制设备确定第一VPN网关的IP地址的过程示意图;
图5为本发明实施例中第一VPN网关与终端建立SSL会话的过程示意图;
图6为本发明实施例中终端接入认证以及SSL会话建立的功能逻辑示意图;
图7为本发明实施例中终端接入认证以及SSL会话建立的方法流程示意图;
图8为本发明实施例中终端接入认证以及SSL会话建立工作时序示意图;
图9为本发明实施例中VPN控制设备的结构示意图;
图10为本发明实施例中路由网关的结构示意图;
图11为本发明实施例中终端的结构示意图;
图12为本发明实施例中另一VPN控制设备的结构示意图;
图13为本发明实施例中另一路由网关的结构示意图;
图14为本发明实施例中另一终端的结构示意图。
具体实施方式
本发明实施例中,终端连接VPN的系统架构如图1所示,主要包括终端101、VPN网关102、路由网关103、VPN控制设备104和认证服务器105,具体如下:
终端101可以是IPC等支持IP协议栈的终端。终端101上安装客户端软件。终端发起认证。例如终端可以是手机、个人计算机(如笔记本电脑、台式机)、打印机、IP电话、投影仪等。
VPN网关102用于与终端建立SSL会话。VPN网关102对通过该SSL会话发送的业务流和信令流进行隧道封装,以及对通过该SSL会话接收的业务流和信令流进行解封装,并转发业务流至下一跳。
路由网关103设置在二层网络设备和三层网络设备之间,用于与二层网络设备之间进行二层接入和二层转发,连接的三层网络设备为VPN网关及VPN控制设备,路由网关103与三层网络设备之间进行路由转发。
VPN控制设备104为系统中所有终端101的认证点,与认证服务器105通信以完成对终端的认证。VPN控制设备104向终端101发送认证结果及VPN网关的地址。VPN控制设备106向VPN网关104发送认证成功的终端101的标识。
认证服务器105用于认证终端101。
VPN控制设备为一个独立工作的网关设备,或者VPN控制设备的功能由多个网关设备协作完成。
VPN网关为一个独立工作的网关设备,或者VPN网关的多个功能由多个网关设备协作完成。
以终端101为IPC终端为例,该系统中还可能包括视频监控设备106。视频监控设备106用于对VPN网关102所管辖区域内的终端101发送信令。视频监控设备106可以显示终端101发送的视频,可选地,也可以保存终端101发送的视频。
VPN控制设备和认证服务器可以集成在一个设备中。
基于以上系统架构,本发明实施例中,终端连接VPN的详细过程如图2所示,具体如下:
步骤201:VPN控制设备接收路由网关发送的第一握手报文,所述第一握手报文为所述路由网关在接收终端发送的第二握手报文后发送,所述第二握手报文用于向所述VPN控制设备发起第一SSL会话的协商过程。
在终端发送第二握手报文之前,需要为终端配置VPN控制设备的IP地址。在VPN控制设备中配置系统所有VPN网关的IP地址。路由网关中配置直连路由表项,该直连路由表项中包括该路由网关旁挂的VPN网关的子网前缀,或者,该直连路由表项中包括该路由网关旁挂的VPN网关的子网前缀和掩码。所谓旁挂是指路由网关与VPN网关采用网线连接,路由网关与旁挂的VPN网关属于同一个子网。
其中,VPN控制设备中配置系统所有VPN网关的IP地址,或者配置系统所有VPN网关的IP地址以及掩码。VPN控制设备中所配置的每个VPN网关的IP地址不相同,每个VPN网关的子网前缀也不相同,以确保VPN网关的全局唯一性。
路由网关在接收终端的第二握手报文后,向VPN控制设备发送第一握手报文之前,在第二握手报文中添加该路由网关的直连路由表项,以得到第一握手报文。
步骤202:VPN控制设备根据所述第一握手报文与所述终端协商,以确定所述第一SSL会话的会话参数,并通过所述第一SSL会话认证所述终端。
第一SSL的会话参数包括会话密钥、会话标识以及加密算法,终端与VPN控制设备各自保存第一SSL会话的会话参数。
VPN控制设备通过所述第一SSL会话接收所述终端发送的认证消息,所述认证消息中携带所述会话标识以及认证数据,所述认证数据为采用所述加密算法以及所述会话密钥对所述终端的标识加密后获得。
VPN控制设备获得所述认证消息中携带的会话标识以及所述认证数据,确定VPN控制设备保存有所述会话标识后,采用所述会话密钥和所述加密算法对所述认证数据解密,以获得所述终端的标识,将所述终端的标识发送给认证服务器。
VPN控制设备若接收到所述认证服务器返回的认证成功消息,则确定所述终端认证成功。否则,确定所述终端认证失败。
VPN控制设备确定所述终端接入不合法后,拆除所述第一SSL会话。
步骤203:VPN控制设备在所述终端认证通过后,确定允许所述终端接入的第一VPN网关的IP地址。
VPN控制设备在终端认证通过后,根据发送第一握手报文的路由网关的直连路由表项确定允许所述终端接入的第一VPN网关。
例如,终端根据配置的VPN控制设备的IP地址向VPN控制设备发起第一SSL会话的协商过程,即终端以VPN控制设备的IP地址为目的地址发送第二握手报文,即ClientHello报文;路由网关接收终端发送的ClientHello报文,在ClientHello报文的未被占用的扩展选项中添加该路由网关的直连路由表项,以得到第一握手报文。具体地,ClientHello报文的扩展选项的结构如图3所示,其中类型60对应的选项(option)字段中携带的为该路由网关的直连路由表项。其中,ClientHello报文扩展选项的扩展类型可以是36-65280范围内未被占用的任意一个值。
VPN控制设备确定第一VPN网关的IP地址的过程如图4所示。VPN控制设备获取配置的系统所有VPN网关的IP地址列表中,属于第一握手报文中携带的直连路由表项中包含的VPN网关的子网前缀的VPN网关的IP地址,将获取的所述VPN网关的IP地址确定为所述第一VPN网关的IP地址。如果获取的属于第一握手报文中携带的直连路由表项中包含的VPN网关的子网前缀的VPN网关的IP地址,大于一个,则从获得的符合条件的IP地址中随机选择一个作为第一VPN网关的IP地址。
或者,按照以下步骤确定第一VPN网关的IP地址:步骤a,VPN控制设备获取第一握手报文中携带的直连路由表项中的VPN网关的子网前缀M和掩码N,将该VPN网关的子网前缀M和掩码N进行与操作获得X;步骤b,对于VPN控制设备中配置的一个VPN网关的IP地址A和该IP地址A对应的掩码B,将IP地址A和掩码B进行与操作获得Y;步骤c,比对X与Y是否相等,如果相等,则IP地址A即为第一VPN网关的IP地址,否则获取VPN控制设备中配置的下一个VPN网关的IP地址以及对应的掩码,重复步骤b和步骤c,直至遍历完VPN控制设备配置的系统所有VPN网关的IP地址列表。
其中,VPN控制设备根据直连路由表项查找系统所有VPN网关的IP地址列表,例如,直连路由表项中每项表示为VPN网关的子网前缀,采用该VPN网关的子网前缀查询系统所有VPN网关的IP地址列表,将属于该VPN网关的子网前缀的VPN网关的IP地址,确定为该终端应该接入的第一VPN网关。
步骤204:VPN控制设备通知所述终端所述第一VPN网关的IP地址。
VPN控制设备将终端的IP地址以及第一SSL会话的会话参数通知给所述第一VPN网关,由所述第一VPN网关保存所述终端的IP地址以及所述第一SSL会话的会话参数。
终端与第一VPN网关之间复用第一SSL会话的会话参数建立第二SSL会话,终端与第一VPN网关之间建立第二SSL会话的过程如下:
终端采用所述第一SSL会话的会话密钥以及加密算法对所述终端的IP地址进行加密后生成密文,将所述第一SSL会话的会话标识以及所述密文携带在第三握手报文中,并向所述第一VPN网关发送第三握手报文,所述第三握手报文用于向所述第一VPN网关发起第二SSL会话的协商过程。
具体地,第三握手报文为ClientHello报文,采用所述会话密钥以及所述加密算法对所述终端的IP地址进行加密后生成的密文A,将密文A携带在ClientHello报文的扩展选项中,ClientHello报文扩展选项的类型可以是36-65280范围内未被使用的任意一个值,类型61表示该扩展选项的option字段中携带的为密文A。
第一VPN网关接收所述第三握手报文,获得第三握手报文中携带的所述会话标识和所述密文;若确定本地保存有所述会话标识,且采用本地保存的所述会话密钥以及所述加密算法对所述密文进行解密后,确定解密获得的结果为所述终端的IP地址,则与所述终端建立第二SSL会话,并将所述第一SSL会话的会话参数作为所述第二SSL会话的会话参数。
具体地,第一VPN网关根据会话标识、第三握手报文中携带的密文,与终端建立第二SSL会话的过程如图5所示,具体为:
第一VPN网关本地存储允许接入的终端的IP地址,以及存储第一SSL会话的会话标识、会话密钥以及加密算法。第一VPN网关解析终端发送的ClientHello报文,获取该ClientHello报文中携带的会话标识,并根据该ClientHello报文的扩展选项61提取出密文A。第一VPN网关判断该ClientHello报文中携带的会话标识是否与本地缓存的会话标识相同,若不相同,拒绝建立第二SSL会话,若相同,第一VPN网关采用本地保存的第一SSL会话的加密算法以及会话密钥对密文A进行解密后得到值X。第一VPN网关判断值X是否与发起请求的终端的IP地址相同,若不相同,拒绝建立第二SSL会话,若相同,进一步判断发起请求的终端的IP地址是否属于本地保存的允许接入的终端的IP地址,若不是,拒绝建立第二SSL会话,若是,第一VPN网关与该终端之间的第二SSL会话建立成功,并且复用第一SSL会话的会话标识、会话密钥以及加密算法。
以下通过一个具体实施例对终端接入认证以及用于业务流传输的SSL会话建立的过程进行详细说明。
图6所示为该具体实施例中终端接入认证以及SSL会话建立的功能逻辑示意图,图7所示为该具体实施例中终端接入认证以及SSL会话建立的方法流程示意图,图8所示为该具体实施例中终端接入认证以及SSL会话建立工作时序示意图。
具体过程如下:
第一,预备阶段
步骤1:配置VPN控制设备、路由网关以及终端这三个网元,具体地,为VPN控制设备加载系统所有VPN网关的IP地址列表,为路由网关配置直连路由表项,为终端配置VPN控制设备的IP地址。
第二,认证阶段
步骤2:终端根据配置的VPN控制设备的IP地址向VPN控制设备发起第一SSL会话的协商过程,具体终端以VPN控制设备的IP地址为目的地址发送ClientHello报文,该ClientHello报文路由至路由网关;
步骤3:路由网关提取ClientHello报文,在ClientHello报文的扩展选项中携带直连路由表项后发送给VPN控制设备;
步骤4:VPN控制设备接收路由网关发送的ClientHello报文,获取ClientHello报文中携带的直连路由表项并在本地保存;
步骤5:VPN控制设备根据标准SSL协议与终端进行后续的第一SSL会话的协商过程,生成第一SSL会话的会话密钥、会话标识以及加密算法,成功建立第一SSL会话,终端以及VPN控制设备两侧各自保存该会话密钥、会话标识以及加密算法,后续通过该第一SSL会话传输的报文均采用该会话密钥以及加密算法加密并携带该会话标识;
步骤6:终端向VPN控制设备发送认证请求,该认证请求中携带终端的标识;
步骤7:VPN控制设备转发该终端的标识发送给认证服务器,由认证服务器检查本地是否存在该终端的标识,若存在,向VPN控制设备反馈认证成功,若不存在,向VPN控制设备反馈认证失败,若认证失败执行步骤8,若认证成功执行步骤9;
步骤8:VPN控制设备确定该终端接入认证失败,拒绝该终端接入,并拆除VPN控制设备与该终端建立的第一SSL会话;
步骤9:VPN控制设备确定该终端接入认证成功,VPN控制设备确定允许该终端接入的第一VPN网关的IP地址,将该第一VPN网关的IP地址告知该终端;
步骤10:VPN控制设备告知第一VPN网关以下内容:允许建立第二SSL会话的终端的IP地址,第一SSL会话的会话密钥、加密算法以及会话标识;
步骤11:VPN网关接收VPN控制设备通知的:允许建立第二SSL会话的终端的IP地址,以及第一SSL会话的会话密钥、加密算法以及会话标识,并存储;
第三,用于业务流转发的SSL会话建立阶段
步骤12:终端使用存储的第一SSL会话的会话密钥以及加密算法对终端的IP地址进行加密生成密文A,表示为:A=Encrypt(会话密钥,终端的IP地址);
步骤13:终端向VPN网关发起第二SSL会话的协商过程,具体地,终端向VPN网关发送ClientHello报文,该ClientHello报文中携带第一SSL会话的会话标识和密文A,其中,密文A携带在ClientHello报文的扩展选项中;
步骤14:VPN网关解析ClientHello报文,提取ClientHello报文中的会话标识和密文A;
步骤15:VPN网关判断是否允许该终端建立第二SSL会话,判断条件为以下两条:第一,VPN网关判断是否存储有该ClientHello报文中携带的会话标识,若是,执行第二个判断条件,若不是,则不允许该终端建立第二SSL会话,执行步骤16;第二,VPN网关使用存储的第一SSL会话的会话密钥以及加密算法,对接收到密文进行解密后得到值X,判断该值X是否与终端的IP地址相同或者否在存储的终端IP地址列表中,若是,则允许该终端建立第二SSL会话,执行步骤17,否则,不允许该终端建立第二SSL会话,执行步骤16;
步骤16:终端与VPN网关之间尝试建立第二SSL会话;
步骤17:终端VPN网关之间建立第二SSL会话成功,直接复用终端与VPN控制设备之间建立的第一SSL会话的会话标识、会话密钥以及加密算法;
步骤18:终端与VPN网关之间通过建立的第二SSL会话进行业务封装转发。
本申请实施例提供了一种VPN控制设备,该VPN控制设备的具体实施可参见上述方法实施例部分的描述,重复之处不再赘述,如图9所示,该VPN控制设备主要包括处理器901和通信接口902,具体如下:
通过通信接口接收路由网关发送的第一握手报文,所述第一握手报文为所述路由网关在接收终端发送的第二握手报文后发送,所述第二握手报文用于向所述VPN控制设备发起第一SSL会话的协商过程;
根据所述第一握手报文与所述终端协商确定所述第一SSL会话的会话参数,并通过所述第一SSL会话认证所述终端;
在所述终端认证通过后,确定允许所述终端接入的第一VPN网关的IP地址;
通过通信接口通知所述终端所述第一VPN网关的IP地址。
本申请实施例还提供了一种路由网关,该路由网关的具体实施可参见上述方法实施例部分的描述,重复之处不再赘述,如图10所示,该路由网关包括处理器1001和通信接口1002,按照该程序执行以下过程:
通过通信接口接收终端发送的第二握手报文,所述第二握手报文用于向所述VPN控制设备发起第一SSL会话的协商过程;
根据所述第二握手报文生成第一握手报文;
通过通信接口向VPN控制设备发送所述第一握手报文。
本发明实施例还提供了一种终端,该终端的具体实施可参见上述方法实施例部分的描述,重复之处不再赘述,如图11所示,该终端包括处理器1101和通信接口1102,具体地:
通过通信接口向路由网关发送第二握手报文,所述第二握手报文用于向VPN控制设备发起第一SSL会话的协商过程,由所述路由网关在接收所述第二握手报文后向所述VPN控制设备发送第一握手报文;
根据所述第二握手报文与所述VPN控制设备协商确定所述第一SSL会话的会话参数,并通过所述第一SSL会话请求所述VPN控制设备认证所述终端;
通过通信接口接收所述VPN控制设备通知的允许所述终端接入的第一VPN网关的IP地址,所述第一VPN网关的IP地址由所述VPN控制设备在所述终端认证通过后确定。
若为IPC终端,该终端还包括视频采集模块。
本申请实施例提供了一种VPN控制设备,该VPN控制设备的具体实施可参见上述方法实施例部分的描述,重复之处不再赘述,如图12所示,该VPN控制设备包括:
接收模块1201,用于接收路由网关发送的第一握手报文,所述第一握手报文为所述路由网关在接收终端发送的第二握手报文后发送,所述第二握手报文用于向所述VPN控制设备发起第一SSL会话的协商过程;
认证模块1202,用于根据所述第一握手报文与所述终端协商确定所述第一SSL会话的会话参数,并通过所述第一SSL会话认证所述终端;
确定模块1203,用于在所述终端认证通过后,确定允许所述终端接入的第一VPN网关的IP地址;
通知模块1204,用于通知所述终端所述第一VPN网关的IP地址。
具体地,接收模块1201和通知模块1204的功能可由VPN控制设备的通信接口902实现,认证模块1202和确定模块1203的功能可由VPN控制设备的处理器901实现。
本申请实施例提供了一种路由网关,该路由网关的具体实施可参见上述方法实施例部分的描述,重复之处不再赘述,如图13所示,该路由网关包括:
接收模块1301,用于接收终端发送的第二握手报文,所述第二握手报文用于向所述VPN控制设备发起第一SSL会话的协商过程;
处理模块1302,用于根据所述第二握手报文生成第一握手报文;
发送模块1303,用于向VPN控制设备发送所述第一握手报文。
具体地,接收模块1301和发送模块1303的功能由路由网关的通信接口1002实现,处理模块1302的功能由路由网关的处理器1001实现。
本申请实施例中提供了一种终端,该终端的具体实施可参见上述方法实施例部分的描述,重复之处不再赘述,如图14所示,该终端包括:
发送模块1401,用于向路由网关发送第二握手报文,所述第二握手报文用于向VPN控制设备发起第一SSL会话的协商过程,由所述路由网关在接收所述第二握手报文后向所述VPN控制设备发送第一握手报文;
处理模块1402,用于根据所述第二握手报文与所述VPN控制设备协商确定所述第一SSL会话的会话参数,并通过所述第一SSL会话请求所述VPN控制设备认证所述终端;
接收模块1403,用于接收所述VPN控制设备通知的允许所述终端接入的第一VPN网关的IP地址,所述第一VPN网关的IP地址由所述VPN控制设备在所述终端认证通过后确定。
具体地,发送模块1401和接收模块1403的功能由终端的通信接口1102实现,处理模块1402的功能由终端的处理器1101实现。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (16)
1.一种终端连接虚拟专用网VPN的方法,其特征在于,包括:
VPN控制设备接收路由网关发送的第一握手报文,所述第一握手报文为所述路由网关在接收终端发送的第二握手报文后发送,所述第二握手报文用于向所述VPN控制设备发起第一安全套接层SSL会话的协商过程;
所述VPN控制设备根据所述第一握手报文与所述终端协商确定所述第一SSL会话的会话参数,并通过所述第一SSL会话认证所述终端;
所述VPN控制设备在所述终端认证通过后,确定允许所述终端接入的第一VPN网关的IP地址;
所述VPN控制设备通知所述终端所述第一VPN网关的IP地址。
2.如权利要求1所述的方法,其特征在于,所述第一握手报文中携带所述路由网关的直连路由表项,所述直连路由表项中包括所述路由网关旁挂的VPN网关的子网前缀;
所述VPN控制设备确定第一VPN网关的IP地址,包括:
所述VPN控制设备获取配置的所有VPN网关的IP地址列表中,属于所述直连路由表项中包含的VPN网关的子网前缀的VPN网关的IP地址,将获取的所述VPN网关的IP地址确定为所述第一VPN网关的IP地址。
3.如权利要求1或2所述的方法,其特征在于,所述方法还包括:
所述VPN控制设备将所述终端的IP地址以及所述第一SSL会话的会话参数通知给所述第一VPN网关,由所述第一VPN网关保存所述终端的IP地址以及所述第一SSL会话的会话参数,所述会话参数包括会话密钥、会话标识以及加密算法。
4.如权利要求1-3任一项所述的方法,其特征在于,所述方法还包括:
所述终端向所述第一VPN网关发送第三握手报文,所述第三握手报文用于向所述第一VPN网关发起第二SSL会话的协商过程,所述第三握手报文中携带所述会话标识以及密文,所述密文为采用所述会话密钥以及所述加密算法对所述终端的IP地址进行加密后生成。
5.如权利要求1-4任一项所述的方法,其特征在于,所述VPN控制设备通过所述第一SSL会话认证所述终端,包括:
所述VPN控制设备通过所述第一SSL会话接收所述终端发送的认证消息,所述认证消息中携带所述会话标识以及认证数据,所述认证数据为采用所述加密算法以及所述会话密钥对所述终端的标识加密后获得;
所述VPN控制设备解析所述认证消息,获得所述认证消息中携带的会话标识以及所述认证数据,确定存储有所述会话标识后,采用所述会话密钥和所述加密算法对所述认证数据解密获得所述终端的标识,将所述终端的标识发送给认证服务器;
所述VPN控制设备若接收到所述认证服务器返回的认证成功消息,则确定所述终端接入合法,所述认证成功消息由所述认证服务器确定存在所述终端的标识后返回;否则,确定所述终端接入不合法。
6.一种终端连接虚拟专用网VPN的系统,其特征在于,包括:
终端,用于向路由网关发送第二握手报文,所述第二握手报文用于向VPN控制设备发起第一安全套接层SSL会话的协商过程;
路由网关,用于接收所述终端发送的所述第二握手报文后向所述VPN控制设备发送第一握手报文;
VPN控制设备,用于接收所述路由网关发送的所述第一握手报文,根据所述第一握手报文与所述终端协商确定所述第一SSL会话的会话参数,并通过所述第一SSL会话认证所述终端;以及在所述终端认证通过后,确定允许所述终端接入的第一VPN网关的IP地址,通知所述终端所述第一VPN网关的IP地址。
7.如权利要求6所述的系统,其特征在于,所述路由网关具体用于:
将直连路由表项携带在所述第二握手报文中得到所述第一握手报文,所述直连路由表项中包含所述路由网关旁挂的VPN网关的子网前缀;
所述VPN控制设备具体用于:
获取配置的所有VPN网关的IP地址列表中,属于所述直连路由表项中包含的VPN网关的子网前缀的VPN网关的IP地址,将获取的所述VPN网关的IP地址确定为所述第一VPN网关的IP地址。
8.如权利要求6或7所述的系统,其特征在于,所述VPN控制设备还用于:
将所述终端的IP地址以及所述第一SSL会话的会话参数通知给所述第一VPN网关;
所述第一VPN网关具体用于:
保存所述终端的IP地址以及所述第一SSL会话的会话参数,所述会话参数包括会话密钥、会话标识以及加密算法。
9.如权利要求6-8任一项所述的系统,其特征在于,所述终端还用于:
向所述第一VPN网关发送第三握手报文,所述第三握手报文用于向所述第一VPN网关发起第二SSL会话的协商过程,所述第三握手报文中携带所述会话标识以及密文,所述密文为采用所述会话密钥以及所述加密算法对所述终端的IP地址进行加密后生成。
10.如权利要求6-9任一项所述的系统,其特征在于,所述终端具体用于:
通过所述第一SSL会话向所述VPN控制设备发送认证消息,所述认证消息中携带所述会话标识以及认证数据,所述认证数据为采用所述加密算法以及所述会话密钥对所述终端的标识加密后获得;
所述VPN控制设备具体用于:
通过所述第一SSL会话接收所述终端发送的所述认证消息,解析所述认证消息,获得所述认证消息中携带的会话标识以及所述认证数据,确定存储有所述会话标识后,采用所述会话密钥和所述加密算法对所述认证数据解密获得所述终端的标识,将所述终端的标识发送给认证服务器;
所述认证服务器具体用于:
接收所述VPN控制设备发送的所述终端的标识,若确定存储有所述终端的标识,向所述VPN控制设备返回认证成功消息;否则,向所述VPN控制设备返回认证失败消息;
所述VPN控制设备具体用于:
若接收到所述认证服务器返回的认证成功消息,确定所述终端接入合法;若接收到所述认证服务器返回的认证失败消息,确定所述终端接入不合法。
11.一种虚拟专用网VPN控制设备,其特征在于,包括:
接收模块,用于接收路由网关发送的第一握手报文,所述第一握手报文为所述路由网关在接收终端发送的第二握手报文后发送,所述第二握手报文用于向所述VPN控制设备发起第一安全套接层SSL会话的协商过程;
认证模块,用于根据所述第一握手报文与所述终端协商确定所述第一SSL会话的会话参数,并通过所述第一SSL会话认证所述终端;
确定模块,用于在所述终端认证通过后,确定允许所述终端接入的第一VPN网关的IP地址;
通知模块,用于通知所述终端所述第一VPN网关的IP地址。
12.如权利要求11所述的VPN控制设备,其特征在于,所述第一握手报文中携带所述路由网关的直连路由表项,所述直连路由表项中包含所述路由网关旁挂的VPN网关的子网前缀;
所述确定模块具体用于:
获取配置的所有VPN网关的IP地址列表中,属于所述直连路由表项中包含的VPN网关的子网前缀的VPN网关的IP地址,将获取的所述VPN网关的IP地址确定为所述第一VPN网关的IP地址。
13.如权利要求11或12所述的VPN控制设备,其特征在于,所述通知模块还用于:
将所述终端的IP地址以及所述第一SSL会话的会话参数通知给所述第一VPN网关,由所述第一VPN网关存储所述终端的IP地址以及所述第一SSL会话的会话参数,所述会话参数包括会话密钥、会话标识以及加密算法。
14.一种VPN控制设备,其特征在于,包括处理器和通信接口;
所述处理器用于:通过所述通信接口接收路由网关发送的第一握手报文,所述第一握手报文为所述路由网关在接收终端发送的第二握手报文后发送,所述第二握手报文用于向所述VPN控制设备发起第一安全套接层SSL会话的协商过程;根据所述第一握手报文与所述终端协商确定所述第一SSL会话的会话参数,并通过所述第一SSL会话认证所述终端;在所述终端认证通过后,确定允许所述终端接入的第一VPN网关的IP地址;通过所述通信接口通知所述终端所述第一VPN网关的IP地址。
15.如权利要求14所述的VPN控制设备,其特征在于,所述第一握手报文中携带所述路由网关的直连路由表项,所述直连路由表项中包含所述路由网关旁挂的VPN网关的子网前缀;
所述处理器具体用于:
获取配置的所有VPN网关的IP地址列表中,属于所述直连路由表项中包含的VPN网关的子网前缀的VPN网关的IP地址,将获取的所述VPN网关的IP地址确定为所述第一VPN网关的IP地址。
16.如权利要求14或15所述的VPN控制设备,其特征在于,所述处理器还用于:通过所述通信接口将所述终端的IP地址以及所述第一SSL会话的会话参数通知给所述第一VPN网关,由所述第一VPN网关存储所述终端的IP地址以及所述第一SSL会话的会话参数,所述会话参数包括会话密钥、会话标识以及加密算法。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610242556.0A CN107306214B (zh) | 2016-04-18 | 2016-04-18 | 终端连接虚拟专用网的方法、系统及相关设备 |
| PCT/CN2017/080310 WO2017181894A1 (zh) | 2016-04-18 | 2017-04-12 | 终端连接虚拟专用网的方法、系统及相关设备 |
| EP17785379.3A EP3432523B1 (en) | 2016-04-18 | 2017-04-12 | Method and system for connecting a terminal to a virtual private network |
| US16/164,249 US11165604B2 (en) | 2016-04-18 | 2018-10-18 | Method and system used by terminal to connect to virtual private network, and related device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610242556.0A CN107306214B (zh) | 2016-04-18 | 2016-04-18 | 终端连接虚拟专用网的方法、系统及相关设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107306214A true CN107306214A (zh) | 2017-10-31 |
| CN107306214B CN107306214B (zh) | 2020-04-03 |
Family
ID=60116556
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610242556.0A Active CN107306214B (zh) | 2016-04-18 | 2016-04-18 | 终端连接虚拟专用网的方法、系统及相关设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11165604B2 (zh) |
| EP (1) | EP3432523B1 (zh) |
| CN (1) | CN107306214B (zh) |
| WO (1) | WO2017181894A1 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110784390A (zh) * | 2019-10-31 | 2020-02-11 | 北京天融信网络安全技术有限公司 | 一种ssl vpn客户端快速分配虚地址的方法、装置及网关 |
| CN110858834A (zh) * | 2018-08-23 | 2020-03-03 | 中国电信股份有限公司 | 用户信息传输方法、装置、系统和计算机可读存储介质 |
| CN112714053A (zh) * | 2020-12-25 | 2021-04-27 | 北京天融信网络安全技术有限公司 | 通信连接方法及装置 |
| CN112769807A (zh) * | 2020-12-31 | 2021-05-07 | 世纪龙信息网络有限责任公司 | 一种https认证数据处理方法、装置和设备 |
| CN112995230A (zh) * | 2021-05-18 | 2021-06-18 | 杭州海康威视数字技术股份有限公司 | 加密数据处理方法、装置和系统 |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10897388B2 (en) | 2017-12-08 | 2021-01-19 | Panasonic Intellectual Property Corporation Of America | Transmitter, receiver, transmission method, and reception method |
| CN108123957B (zh) * | 2017-12-29 | 2020-10-13 | 飞天诚信科技股份有限公司 | 一种登录虚拟专用网络服务器的多方式认证的方法及装置 |
| CN108880885B (zh) * | 2018-06-19 | 2021-09-21 | 杭州迪普科技股份有限公司 | 一种报文处理方法及装置 |
| US11190521B2 (en) * | 2019-01-18 | 2021-11-30 | Vmware, Inc. | TLS policy enforcement at a tunnel gateway |
| US11265301B1 (en) * | 2019-12-09 | 2022-03-01 | Amazon Technologies, Inc. | Distribution of security keys |
| US11936522B2 (en) * | 2020-10-14 | 2024-03-19 | Connectify, Inc. | Selecting and operating an optimal virtual private network among multiple virtual private networks |
| US20230185645A1 (en) * | 2021-12-10 | 2023-06-15 | Citrix Systems, Inc. | Intelligent api consumption |
| US11665141B1 (en) * | 2022-03-04 | 2023-05-30 | Oversec, Uab | Virtual private network connection status detection |
| US11647084B1 (en) | 2022-03-04 | 2023-05-09 | Oversec, Uab | Virtual private network connection management with echo packets |
| US11627191B1 (en) | 2022-03-04 | 2023-04-11 | Oversec, Uab | Network connection management |
| US11558469B1 (en) | 2022-03-04 | 2023-01-17 | Oversec, Uab | Virtual private network connection status detection |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101442565A (zh) * | 2008-12-18 | 2009-05-27 | 成都市华为赛门铁克科技有限公司 | 一种固定虚拟网络地址的分配方法和网关 |
| CN102065125A (zh) * | 2010-11-18 | 2011-05-18 | 广州致远电子有限公司 | 一种嵌入式ssl vpn的实现方法 |
| CN105187380A (zh) * | 2015-08-05 | 2015-12-23 | 全球鹰(福建)网络科技有限公司 | 一种安全访问方法及系统 |
| US20160087941A1 (en) * | 2014-09-24 | 2016-03-24 | Microsoft Corporation | Techniques for providing services to multiple tenants via a shared end-point |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6954790B2 (en) * | 2000-12-05 | 2005-10-11 | Interactive People Unplugged Ab | Network-based mobile workgroup system |
| US7181360B1 (en) * | 2004-01-30 | 2007-02-20 | Spirent Communications | Methods and systems for generating test plans for communication devices |
| US20080037557A1 (en) * | 2004-10-19 | 2008-02-14 | Nec Corporation | Vpn Getaway Device and Hosting System |
| CN101217575B (zh) * | 2008-01-18 | 2010-07-28 | 杭州华三通信技术有限公司 | 一种在用户终端认证过程中分配ip地址的方法及装置 |
| CN101715179B (zh) * | 2009-11-06 | 2012-08-22 | 江苏科技大学 | 一种移动ip的安全系统和安全机制建立方法 |
| US8549300B1 (en) * | 2010-02-23 | 2013-10-01 | Juniper Networks, Inc. | Virtual single sign-on for certificate-protected resources |
| CN101902400A (zh) * | 2010-07-21 | 2010-12-01 | 成都市华为赛门铁克科技有限公司 | 网关负载均衡方法、系统和客户端设备 |
| CN102223365B (zh) * | 2011-06-03 | 2014-02-12 | 杭州华三通信技术有限公司 | 基于ssl vpn网关集群的用户接入方法及其装置 |
| EP2826210B1 (en) * | 2012-03-14 | 2016-06-29 | Telefonaktiebolaget LM Ericsson (publ) | Method for providing a qos prioritized data traffic |
| US9300762B2 (en) * | 2013-05-03 | 2016-03-29 | Dell Products L.P. | Virtual desktop accelerator with support for multiple cryptographic contexts |
| US9009461B2 (en) * | 2013-08-14 | 2015-04-14 | Iboss, Inc. | Selectively performing man in the middle decryption |
-
2016
- 2016-04-18 CN CN201610242556.0A patent/CN107306214B/zh active Active
-
2017
- 2017-04-12 EP EP17785379.3A patent/EP3432523B1/en active Active
- 2017-04-12 WO PCT/CN2017/080310 patent/WO2017181894A1/zh active Application Filing
-
2018
- 2018-10-18 US US16/164,249 patent/US11165604B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101442565A (zh) * | 2008-12-18 | 2009-05-27 | 成都市华为赛门铁克科技有限公司 | 一种固定虚拟网络地址的分配方法和网关 |
| CN102065125A (zh) * | 2010-11-18 | 2011-05-18 | 广州致远电子有限公司 | 一种嵌入式ssl vpn的实现方法 |
| US20160087941A1 (en) * | 2014-09-24 | 2016-03-24 | Microsoft Corporation | Techniques for providing services to multiple tenants via a shared end-point |
| CN105187380A (zh) * | 2015-08-05 | 2015-12-23 | 全球鹰(福建)网络科技有限公司 | 一种安全访问方法及系统 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110858834A (zh) * | 2018-08-23 | 2020-03-03 | 中国电信股份有限公司 | 用户信息传输方法、装置、系统和计算机可读存储介质 |
| CN110858834B (zh) * | 2018-08-23 | 2022-02-08 | 中国电信股份有限公司 | 用户信息传输方法、装置、系统和计算机可读存储介质 |
| CN110784390A (zh) * | 2019-10-31 | 2020-02-11 | 北京天融信网络安全技术有限公司 | 一种ssl vpn客户端快速分配虚地址的方法、装置及网关 |
| CN110784390B (zh) * | 2019-10-31 | 2021-10-15 | 北京天融信网络安全技术有限公司 | 一种ssl vpn客户端快速分配虚地址的方法、装置及网关 |
| CN112714053A (zh) * | 2020-12-25 | 2021-04-27 | 北京天融信网络安全技术有限公司 | 通信连接方法及装置 |
| CN112769807A (zh) * | 2020-12-31 | 2021-05-07 | 世纪龙信息网络有限责任公司 | 一种https认证数据处理方法、装置和设备 |
| CN112995230A (zh) * | 2021-05-18 | 2021-06-18 | 杭州海康威视数字技术股份有限公司 | 加密数据处理方法、装置和系统 |
| CN112995230B (zh) * | 2021-05-18 | 2021-08-24 | 杭州海康威视数字技术股份有限公司 | 加密数据处理方法、装置和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3432523A4 (en) | 2019-01-23 |
| CN107306214B (zh) | 2020-04-03 |
| WO2017181894A1 (zh) | 2017-10-26 |
| EP3432523B1 (en) | 2020-09-09 |
| US11165604B2 (en) | 2021-11-02 |
| US20190052482A1 (en) | 2019-02-14 |
| EP3432523A1 (en) | 2019-01-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107306214A (zh) | 终端连接虚拟专用网的方法、系统及相关设备 | |
| CN102377629B (zh) | 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统 | |
| CN103748908B (zh) | 在使用端到端加密的通信系统中基于策略路由的合法截取 | |
| CN104935593B (zh) | 数据报文的传输方法及装置 | |
| CN202206418U (zh) | 流量管理设备、系统和处理器 | |
| JP3890398B2 (ja) | ピアツーピア型匿名プロキシにおける安全性の高い匿名通信路の検証及び構築する方法 | |
| CN104168173B (zh) | 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统 | |
| US8375421B1 (en) | Enabling a virtual meeting room through a firewall on a network | |
| CN107534665A (zh) | 利用ssl会话票证扩展的可扩缩中间网络设备 | |
| CN102833253A (zh) | 建立客户端与服务器安全连接的方法及服务器 | |
| CN101711031B (zh) | 一种本地转发中的Portal认证方法和接入控制器 | |
| CN107426339A (zh) | 一种数据连接通道的接入方法、装置及系统 | |
| CN107566397A (zh) | 视频会议信息传输方法、终端设备、服务器及存储介质 | |
| CN107819685A (zh) | 一种数据处理的方法以及网络设备 | |
| CN108964880A (zh) | 一种数据传输方法及装置 | |
| CN110191052A (zh) | 一种跨协议网络传输方法及系统 | |
| CN105812322B (zh) | 因特网安全协议安全联盟的建立方法及装置 | |
| CN105794171A (zh) | 用于握手期间中间节点发现的方法和装置 | |
| CN105306483A (zh) | 一种安全快速的匿名网络通信方法及系统 | |
| CN106209401B (zh) | 一种传输方法及装置 | |
| CN100561909C (zh) | 一种基于tls的ip多媒体子系统接入安全保护方法 | |
| CN114844730A (zh) | 一种基于可信隧道技术构建的网络系统 | |
| CN104168565A (zh) | 一种非可信无线网络环境下智能终端安全通讯的控制方法 | |
| CN107294968A (zh) | 一种音视频数据的监控方法和系统 | |
| CN107819888A (zh) | 一种分配中继地址的方法、装置以及网元 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |