CN108964880A - 一种数据传输方法及装置 - Google Patents
一种数据传输方法及装置 Download PDFInfo
- Publication number
- CN108964880A CN108964880A CN201811178418.6A CN201811178418A CN108964880A CN 108964880 A CN108964880 A CN 108964880A CN 201811178418 A CN201811178418 A CN 201811178418A CN 108964880 A CN108964880 A CN 108964880A
- Authority
- CN
- China
- Prior art keywords
- data
- vpn
- outbound
- microsoft loopback
- loopback adapter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/06—Notations for structuring of protocol data, e.g. abstract syntax notation one [ASN.1]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
Abstract
本发明公开了一种数据传输方法,应用于网关,网关中配置有至少两种类型的虚拟网卡,不同类型的虚拟网卡对应不同类型的VPN数据处理单元,每种类型的VPN数据处理单元均预先建立有多条VPN隧道,该方法包括:将出站数据路由到第一类型虚拟网卡;通过第一VPN数据处理单元从第一类型虚拟网卡读取出站数据,并对出站数据进行封装处理;将进行封装处理后的出站数据通过对应的VPN隧道传送出去。应用本发明实施例所提供的技术方案,使得在一台网关设备上稳定高效运行至少两套VPN系统,不同VPN系统可以进行优势互补,在实现多个网络之间的安全互连的同时可以减少维护成本。本发明还公开了一种数据传输装置,具有相应技术效果。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种数据传输方法及装置。
背景技术
随着互联网技术的快速发展,各企事业单位对网络安全的关注程度越来越高,虚拟专用网络VPN应运而生,常见的如IPSec VPN和SSLVPN。
IPSec VPN是利用IPSec协议在公用网络的两个实体之间建立安全的数据通信隧道,使两个实体的内网之间像局域网一样通信,通信数据在穿过公网时经过加密传输。
SSLVPN是利用SSL协议在远程用户和组织之间建立一条穿过混乱的公用网络的安全、稳定的隧道,通信数据在穿过公网时经过加密传输。最大的好处之一就是远程用户可以随时随地地从任何浏览器上安全接入到内部网络,安全地访问应用程序,无需手动安装或设置客户端软件,降低了企业的维护成本。
目前,一台网关设备通常采用一种VPN系统,存在一定的局限性,如传统的IPSecVPN在部署时,往往需要在每个远程接入的终端都安装相应的IPSec客户端,并需要做复杂的配置,如果企业的远程接入和移动办公数量增多,企业的维护成本也将增加;而SSLVPN无法实现多个网络之间的安全互连。
发明内容
本发明的目的是提供一种数据传输方法及装置,以在实现多个网络之间的安全互连的同时减少维护成本。
为解决上述技术问题,本发明提供如下技术方案:
一种数据传输方法,应用于部署在网络出入口的网关,所述网关中配置有至少两种类型的虚拟网卡,不同类型的虚拟网卡对应不同类型的VPN数据处理单元,每种类型的VPN数据处理单元均预先建立有多条VPN隧道,所述方法包括:
在接收到出站数据时,根据所述出站数据的内网源IP和内网目的IP,将所述出站数据路由到第一类型虚拟网卡;
通过第一VPN数据处理单元从所述第一类型虚拟网卡读取所述出站数据,并对所述出站数据进行封装处理,所述第一VPN数据处理单元与所述第一类型虚拟网卡对应;
将进行封装处理后的所述出站数据通过对应的VPN隧道传送出去。
在本发明的一种具体实施方式中,所述对所述出站数据进行封装处理,包括:
基于所述出站数据,封装所述第一类型虚拟网卡对应的第一类型报文的载荷;
在所述载荷上添加所述第一类型报文的报文头及新IP头,所述新IP头至少包含外网源IP和外网目的IP。
在本发明的一种具体实施方式中,所述基于所述出站数据,封装所述第一类型虚拟网卡对应的第一类型报文的载荷,包括:
调用加密卡抽象接口计算所述出站数据的哈希消息认证码HMAC,并对所述出站数据进行加密处理;
将加密处理后的所述出站数据和所述HMAC封装成所述第一类型虚拟网卡对应的第一类型报文的载荷。
在本发明的一种具体实施方式中,所述加密卡抽象接口基于预设规范进行定义。
在本发明的一种具体实施方式中,在所述通过第一VPN数据处理单元从所述第一类型虚拟网卡读取所述出站数据之后,还包括:
根据所述出站数据的内网源IP和内网目的IP,确定是否可匹配到所述第一VPN数据处理单元预先建立的至少一条VPN隧道;
如果是,则继续执行所述对所述出站数据进行封装处理的步骤。
在本发明的一种具体实施方式中,还包括:
在接收到经过封装处理的入站数据时,通过对所述入站数据进行协议解析,确定所述入站数据所属的第二类型报文;
通过所述第二类型报文对应的第二数据处理单元对所述入站数据进行解封装处理;
将进行解封装处理后的所述入站数据转发给相应的内网设备。
在本发明的一种具体实施方式中,所述网关中还部署有广域网优化控制器WOC,所述WOC包括WOC数据处理单元,所述第一类型虚拟网卡为IPSec虚拟网卡,在所述将所述出站数据路由到第一类型虚拟网卡之前,还包括:
通过所述WOC数据处理单元对所述出站数据进行优化处理。
在本发明的一种具体实施方式中,所述第二类型报文为ESP报文,在所述将进行解封装处理后的所述入站数据转发给相应的内网设备之前,还包括:
通过所述WOC数据处理单元对进行解封装后的所述入站数据进行优化处理。
在本发明的一种具体实施方式中,所述WOC还包括WOC TCP协议代理,所述第二类型报文为SSL报文,在所述通过所述第二类型报文对应的第二数据处理单元对所述入站数据进行解封装处理之前,还包括:
通过所述WOC TCP协议代理对所述入站数据进行优化处理。
一种数据传输装置,应用于部署在网络出入口的网关,所述网关中配置有至少两种类型的虚拟网卡,不同类型的虚拟网卡对应不同类型的VPN数据处理单元,每种类型的VPN数据处理单元均预先建立有多条VPN隧道,所述装置包括:
数据路由模块,用于在接收到出站数据时,根据所述出站数据的内网源IP和内网目的IP,将所述出站数据路由到第一类型虚拟网卡;
数据封装模块,用于通过第一VPN数据处理单元从所述第一类型虚拟网卡读取所述出站数据,并对所述出站数据进行封装处理,所述第一VPN数据处理单元与所述第一类型虚拟网卡对应;
数据传送模块,用于将进行封装处理后的所述出站数据通过对应的VPN隧道传送出去。
在本发明的一种具体实施方式中,所述数据封装模块,具体用于:
基于所述出站数据,封装所述第一类型虚拟网卡对应的第一类型报文的载荷;
在所述载荷上添加所述第一类型报文的报文头及新IP头,所述新IP头至少包含外网源IP和外网目的IP。
在本发明的一种具体实施方式中,所述数据封装模块,具体用于:
调用加密卡抽象接口计算所述出站数据的哈希消息认证码HMAC,并对所述出站数据进行加密处理;
将加密处理后的所述出站数据和所述HMAC封装成所述第一类型虚拟网卡对应的第一类型报文的载荷。
在本发明的一种具体实施方式中,所述数据封装模块,还用于:
在所述通过第一VPN数据处理单元从所述第一类型虚拟网卡读取所述出站数据之后,根据所述出站数据的内网源IP和内网目的IP,确定是否可匹配到所述第一VPN数据处理单元预先建立的至少一条VPN隧道;
如果是,则继续执行所述对所述出站数据进行封装处理的步骤。
在本发明的一种具体实施方式中,还包括:
报文类型确定模块,用于在接收到经过封装处理的入站数据时,通过对所述入站数据进行协议解析,确定所述入站数据所属的第二类型报文;
数据解封装模块,用于通过所述第二类型报文对应的第二数据处理单元对所述入站数据进行解封装处理;
数据转发模块,用于将进行解封装处理后的所述入站数据转发给相应的内网设备。
在本发明的一种具体实施方式中,所述网关中还部署有广域网优化控制器WOC,所述WOC包括WOC数据处理单元,所述第一类型虚拟网卡为IPSec虚拟网卡,还包括:优化处理模块,用于:
在所述将所述出站数据路由到第一类型虚拟网卡之前,通过所述WOC数据处理单元对所述出站数据进行优化处理。
在本发明的一种具体实施方式中,所述第二类型报文为ESP报文,所述优化处理模块,还用于:
在所述将进行解封装处理后的所述入站数据转发给相应的内网设备之前,通过所述WOC数据处理单元对进行解封装后的所述入站数据进行优化处理。
在本发明的一种具体实施方式中,所述WOC还包括WOC TCP协议代理,所述第二类型报文为SSL报文,所述优化处理模块,还用于:
在所述通过所述第二类型报文对应的第二数据处理单元对所述入站数据进行解封装处理之前,通过所述WOC TCP协议代理对所述入站数据进行优化处理。
应用本发明实施例所提供的技术方案,部署在网络出入口的网关中配置有至少两种类型的虚拟网卡,不同类型的虚拟网卡对应不同类型的VPN数据处理单元,每种类型的VPN数据处理单元均预先建立有多条VPN隧道,网关在接收到出站数据时,根据出站数据的内网源IP和内网目的IP,将出站数据路由到第一类型虚拟网卡,通过第一VPN数据处理单元从第一类型虚拟网卡读取出站数据,并对出站数据进行封装处理,将进行封装处理后的出站数据通过对应的VPN隧道传送出去。使得在一台网关设备上稳定高效运行至少两套VPN系统,不同VPN系统可以进行优势互补,避免使用单一VPN系统存在的不足,在实现多个网络之间的安全互连的同时可以减少维护成本。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中数据传输方法的一种实施流程图;
图2为本发明实施例中数据封装前后示意图;
图3为本发明实施例中数据传输方法的另一种实施流程图;
图4为本发明实施例中数据传输方法的另一种实施流程图;
图5为本发明实施例中网关系统一种整体结构示意图;
图6为本发明实施例中网关系统另一种整体结构示意图;
图7为本发明实施例中数据传输方法的另一种实施流程图;
图8为本发明实施例中数据传输方法的另一种实施流程图;
图9为本发明实施例中一种数据传输装置的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的核心是提供一种数据传输方法,该方法应用于部署在网络出入口的网关,网关中配置有至少两种类型的虚拟网卡,不同类型的虚拟网卡对应不同类型的VPN数据处理单元,每种类型的VPN数据处理单元均预先建立有多条VPN隧道。VPN数据处理单元对于VPN隧道的建立过程可以遵循相关技术规范,本发明实施在此不再赘述。
在本发明实施例中,网关中可配置多种类型的虚拟网卡,如IPSec虚拟网卡、SSL虚拟网卡等。本发明实施例主要将以上述两种类型的虚拟网卡为例进行技术方案的说明,当然网关中还可以包含其他类型的虚拟网卡,如PPTP(Point to Point TunnelingProtocol,点对点隧道协议)虚拟网卡、L2TP(Layer2Tunneling Protocol,一种Internet隧道协议),实施过程可参考IPSec虚拟网卡。
其中,IPSec虚拟网卡对应IPSec数据处理单元,IPSec数据处理单元预先建立多条VPN隧道,SSL虚拟网卡对应SSL数据处理单元,SSL数据处理单元预先建立多条VPN隧道。
在VPN隧道建立成功后,在网关的内存中可以记录SSL远程客户端的虚拟IP、公网IP、证书、用户名等信息,以及IPSec远程对端的内网网段、公网IP、证书、身份ID等信息。客户端虚拟IP、对端内网网段这些信息可以用于出站数据的路由选择和隧道匹配,证书、用户名、身份ID等信息可以用于入站数据的隧道匹配。
参见图1所示,为本发明实施例所提供的一种数据传输方法的实施流程图,该方法可以包括以下步骤:
S110:在接收到出站数据时,根据出站数据的内网源IP和内网目的IP,将出站数据路由到第一类型虚拟网卡。
在实际应用中,网关部署在网络出入口,可以通过内网网卡接收出站数据,通过外网网卡接收入站数据。
在接收到出站数据时,可以根据出站数据的内网源IP和内网目的IP,查询VPN隧道建立时记录的信息,确定出站数据要经过哪一类型的虚拟网卡,如果确定出站数据要经过第一类型虚拟网卡,则可以将出站数据路由到第一类型虚拟网卡。第一类型虚拟网卡是网关中配置的多种类型的虚拟网卡中的一个。
比如,如果出站数据的内网目的IP匹配客户端虚拟IP,则可以将出站数据路由到SSL虚拟网卡;如果出站数据的内网源IP、内网目的IP匹配到本端内网IP和对端内网IP,则可以将出站数据路由到IPSec虚拟网卡;如果出站数据的内网源IP、内网目的IP均未匹配到客户端虚拟IP、本端内网IP和对端内网IP,则可以对出站数据按照普通数据包处理流程进行处理后传输。
S120:通过第一VPN数据处理单元从第一类型虚拟网卡读取出站数据,并对出站数据进行封装处理。
第一VPN数据处理单元与第一类型虚拟网卡相对应。
将出站数据路由到第一类型虚拟网卡后,可以通过第一VPN数据处理单元从第一类型虚拟网卡读取出站数据,即读取到原始IP报文,然后对出站数据进行封装处理。
在本发明的一种具体实施方式中,可以通过以下步骤对出站数据进行封装处理:
步骤一:基于出站数据,封装第一类型虚拟网卡对应的第一类型报文的载荷;
步骤二:在载荷上添加第一类型报文的报文头及新IP头,新IP头至少包含外网源IP和外网目的IP。
为便于描述,将上述两个步骤结合起来进行说明。
在本发明实施例中,不同类型的虚拟网卡可以对应不同类型报文。如IPSec虚拟网卡对应ESP报文,SSL虚拟网卡对应SSL报文。
通过第一VPN数据处理单元从第一类型虚拟网卡读取出站数据后,可以基于该出站数据,封装第一类型虚拟网卡对应的第一类型报文的载荷。
在本发明的一种具体实施方式中,可以直接将该出站数据封装成第一类型虚拟网卡对应的第一类型报文的载荷。
在本发明的另一种具体实施方式中,可以调用加密卡抽象接口计算出站数据的哈希消息认证码HMAC,并对出站数据进行加密处理;将加密处理后的出站数据和HMAC封装成第一类型虚拟网卡对应的第一类型报文的载荷。
在本发明实施例中,加密卡抽象接口可以基于预设规范进行定义。加密卡抽象接口可以对应多种加解密算法、哈希算法等接口,如图5所示的对称加解密算法SM1/SM4算法接口、椭圆曲线公钥密码算法SM2算法接口、哈希算法SM3算法接口等。这些算法由加密卡提供,对加密卡提供的各种算法进行封装得到算法so库文件,在VPN系统程序启动时可以通过dlopen加载算法接口,需要使用时直接调用这些接口即可。这些算法so库文件是按照标准的商密算法接口去调用加密卡的接口so库文件,每种加密卡都有自己单独的接口so库文件,而每种算法的算法so库文件都是统一不变的一套接口,这样可以实现多种VPN系统复用一套商密算法库,并且能兼容多种加密卡,可保证底层加密卡的实现对VPN系统是透明的,在上层业务系统不做任何变更的情况下可以支持多种加密卡。加密卡的接口可以为PCIE(peripheral component interconnect express,高速串行计算机扩展总线标准)、USB或者其他类型接口。
第一VPN数据处理单元读取到出站数据,即获得了原始IP报文,可以调用加密卡抽象接口使用相应算法计算出站数据的HMAC(Hash-based Message Authentication Code,哈希消息认证码),并对出站数据进行加密处理。具体的,可以调用SM3算法计算原始IP报文的HMAC,调用SM1/SM4算法对整个原始IP报文进行加密处理。
可以将加密后的出站数据和HMAC封装成第一类型虚拟网卡对应的第一类型报文的载荷。
封装载荷后,在载荷上添加第一类型报文的报文头及新IP头,新IP头至少包含外网源IP和外网目的IP。如在载荷上添加ESP头或者添加端口为443的TCP头。
如图2所示,出站数据的原始IP报文包括内网源IP、内网目的IP、IP头其他字段及IP报文数据,内网源IP、内网目的IP、IP头其他字段构成原IP头,IP报文数据构成原IP数据,对原始IP报文进行加密并计算HMAC后可封装得到SSL报文的载荷SSL数据或者ESP报文的载荷ESP数据,在载荷上添加TCP头及新IP头或者ESP头及新IP头,分别构成SSL封装后的IP报文和ESP封装后的IP报文。
S130:将进行封装处理后的出站数据通过对应的VPN隧道传送出去。
每种类型的VPN数据处理单元均预先建立有多条VPN隧道。根据网关内存中记录的VPN隧道对应的客户端虚拟IP、对端内网网段等信息可以进行隧道匹配,确定出站数据对应的VPN隧道,对出站数据进行封装处理后,可以通过外网网卡将封装处理后的出站数据通过对应的VPN隧道传送出去。
在本发明的一个实施例中,在步骤S120通过第一VPN数据处理单元从第一类型虚拟网卡读取出站数据之后,该方法还可以包括以下步骤:
根据出站数据的内网源IP和内网目的IP,确定是否可匹配到第一VPN数据处理单元预先建立的至少一条VPN隧道;如果是,则继续执行对出站数据进行封装处理的步骤。
在本发明实施例中,将出站数据路由到第一类型虚拟网卡之后,通过第一VPN数据处理单元可以从第一类型虚拟网卡读取出站数据,获得出站数据的内网源IP和内网目的IP。将出站数据的内网源IP和内网目的IP与网关内存中记录的VPN隧道对应的客户端虚拟IP、对端内网网段等信息进行匹配,确定是否可以匹配到第一VPN数据处理单元预先建立的至少一条VPN隧道,如果可以,则继续执行对出站数据进行封装处理的步骤,如果没有匹配到任何一条VPN隧道,则表明该出站数据可能有误,可对该出站数据做丢弃处理。
为便于理解,以网关内运行IPSec VPN和SSLVPN为例进行说明,如图3所示:
S1:通过内网网卡接收出站数据;
S2:确定出站数据的内网目的IP是否匹配客户端虚拟IP,如果是,则执行S13,否则执行S3;
S3:确定出站数据的内网源IP、内网目的IP是否匹配本端和对端内网IP,如果是,则执行S4,否则,执行S23;
S4:路由到IPSec虚拟网卡;
S5:IPSec数据处理单元从IPSec虚拟网卡读取出站数据的原始IP报文;
S6:根据出站数据的内网源IP和内网目的IP,确定是否可匹配到一条VPN隧道,如果是,则执行S7,否则执行S22;
S7:调用SM3算法计算原始IP报文的HMAC;
S8:调用SM1/SM4算法对整个原始IP报文进行加密处理;
S9:将加密后的密文和HMAC封装成ESP报文的载荷;
S10:添加ESP头;
S11:以本端公网IP和对端公网IP为源、目的IP添加IP头;
S12:封装后新的IP报文从网关外网口发出去;
S13-S21步骤与上述S4-S12步骤操作相似,不再赘述;
S22:丢弃数据包;
S23:走普通数据包处理流程。
应用本发明实施例所提供的方法,部署在网络出入口的网关中配置有至少两种类型的虚拟网卡,不同类型的虚拟网卡对应不同类型的VPN数据处理单元,每种类型的VPN数据处理单元均预先建立有多条VPN隧道,网关在接收到出站数据时,根据出站数据的内网源IP和内网目的IP,将出站数据路由到第一类型虚拟网卡,通过第一VPN数据处理单元从第一类型虚拟网卡读取出站数据,并对出站数据进行封装处理,将进行封装处理后的出站数据通过对应的VPN隧道传送出去。使得在一台网关设备上稳定高效运行至少两套VPN系统,不同VPN系统可以进行优势互补,避免使用单一VPN系统存在的不足,在实现多个网络之间的安全互连的同时可以减少维护成本。
在本发明的一个实施例中,该方法还可以包括以下步骤:
步骤一:在接收到经过封装处理的入站数据时,通过对入站数据进行协议解析,确定入站数据所属的第二类型报文;
步骤二:通过第二类型报文对应的第二数据处理单元对入站数据进行解封装处理;
步骤三:将进行解封装处理后的入站数据转发给相应的内网设备。
为便于描述,将上述三个步骤结合起来进行说明。
在本发明实施例中,网关部署在网络出入口,可以通过外网网卡接收入站数据。在接收到经过封装处理的入站数据时,可以对入站数据进行协议解析,确定入站数据所属的第二类型报文,通过第二类型报文对应的第二数据处理单元对入站数据进行解封装处理。解封装的过程与封装的过程流程相反。
对入站数据进行解封装处理后,将解封装处理后的入站数据转发给相应的内网设备。具体的,从外网接收到经过封装处理的入站数据后,可以去掉封装的头部并解密出原始的IP报文,通过操作系统的路由模块从内网接口把原始IP报文转发给内网设备。
为便于理解,以网关内运行IPSec VPN和SSLVPN为例进行说明,如图4所示:
S24:通过外网网卡接收入站数据,入站数据为经过图3所示的封装处理后的数据;
S25:对入站数据的数据包进行协议解析,确定是否为ESP数据包,如果是,则执行S35,否则执行S26;
S26:确定是否为TCP 443端口数据包,如果是,则执行S27,否则执行S44;
S27:按照SSL报文解析数据包;
S28:根据公网IP、用户名等信息查找隧道信息;
S29:确定是否查找成功,如果是,则执行S30,否则执行S43;
S30:调用SM3算法计算HMAC;
S31:校验原始数据包的HMAC,确定是否校验成功,如果是,则执行S32,否则,执行S43;
S32:调用SM1/SM4算法解密原始IP报文;
S33:原始IP报文交给SSL虚拟网卡路由转发;
S34:从内网口转发给内网设备;
S35-S42步骤与上述S27-S34步骤操作相似,不再赘述;
S43:丢弃数据包;
S44:走普通数据包处理流程。
参见图5所示,为网关整体结构示意图,网关中包含各种软硬件实体,如外网物理网卡、内网物理网卡、网卡驱动、物理总线接口、总线驱动、加密卡驱动、内核/应用层接口、公共接口库等,在网关内同时运行IPSec VPN和SSLVPN。
在接收到入站数据时,根据入站数据的报文协议类型确定通过哪个VPN隧道进来;在接收到出站数据时,利用操作系统提供的路由功能结合虚拟网卡技术路由到不同的虚拟网卡从而确定走哪种VPN隧道出去。
两种VPN数据处理单元分别监听ESP协议和TCP的443端口的入站数据,物理网卡接收网络数据后利用Linux操作系统的通用网络协议栈解析数据包并根据数据包的协议以及端口确定将该入站数据传递到哪个VPN数据处理单元进行数据解封装处理。
对出站数据,物理网卡接收网络数据后利用Linux操作系统的通用网络协议栈解析数据包并根据数据包的目的地址确定该出站数据传递到IPsec数据处理单元还是SSL数据处理单元进行数据封装处理。
对于企业或者事业单位的分支网络,可以使用IPSec VPN实现安全互连,对于内部员工、合作伙伴、移动人员可利用SSLVPN的易用性实现安全接入。可以最大限度发挥IPSecVPN和SSLVPN的优点,节约管理成本和投入成本。
另外,通过各种抽象和分层等设计以及虚拟网卡技术,将商密模块与VPN协议相结合,为VPN隧道提供认证、完整性校验、加密等保障。
此外,在本发明实施例中,基于开源的Linux操作系统进行裁剪和扩展,去掉不必要的模块和功能,并增加虚拟网卡等模块支持网络收发包前后的隧道封装和转发。操作系统用于提供基础的网络收发包、任务调度执行、硬件驱动等底层功能;除加密卡硬件实体以外,其他所有模块都工作在操作系统内。
在本发明的一个实施例中,如图6所示,网关中还可以部署WOC(WAN OptimizationController,广域网优化控制器),WOC包括WOC数据处理单元,第一类型虚拟网卡为IPSec虚拟网卡,在步骤S110将出站数据路由到第一类型虚拟网卡之前,该方法还可以包括以下步骤:
通过WOC数据处理单元对出站数据进行优化处理。
在接收到出站数据时,根据出站数据的内网源IP和内网目的IP,查询VPN隧道建立时记录的信息,确定出站数据要经过哪一类型的虚拟网卡,如果确定出站数据要经过第一类型虚拟网卡,且第一类型虚拟网卡为IPSec虚拟网卡,则可以先通过WOC数据处理单元对出站数据进行优化处理后,再将优化后的出站数据路由到第一类型虚拟网卡。
如图7所示,在步骤S3确定出站数据的内网源IP、内网目的IP匹配本端和对端内网IP时,先执行S45通过WOC数据处理单元对出站数据进行优化,再执行S4。
WOC数据处理单元对出站数据进行优化处理过程主要有:对应用层协议进行优化、对数据进行动态缓存优化、对数据进行流式去重。以解决广域网中数据传输受多因素的影响,如丢包、延时、有限的带宽容量、网络拥塞、应用程序及TCP协议缺陷等,导致传输效率低的问题。
在本发明的一个实施例中,在接收到经过封装处理的入站数据时,通过对入站数据进行协议解析,确定入站数据所属的第二类型报文为ESP报文,在将进行解封装处理后的入站数据转发给相应的内网设备之前,该方法还可以包括以下步骤:
通过WOC数据处理单元对进行解封装后的入站数据进行优化处理。
在接收到经过封装处理的入站数据时,可以通过对入站数据进行协议解析,确定入站数据所属的第二类型报文。如果第二类型报文为ESP报文,则在通过第二类型报文对应的第二数据处理单元对入站数据进行解封装处理后,先通过WOC数据处理单元对进行解封装后的入站数据进行优化处理,再将经过优化处理的解封装后的入站数据转发给相应的内网设备。
如图8所示,在步骤S41将原始IP报文交给IPSec虚拟网卡路由转发之后,执行S47通过WOC数据处理单元进行优化后,再执行S42。
在本发明的一个实施例中,WOC还可以包括WOC TCP协议代理,第二类型报文为SSL报文,在通过第二类型报文对应的第二数据处理单元对入站数据进行解封装处理之前,还包括:
通过WOC TCP协议代理对入站数据进行优化处理。
在接收到经过封装处理的入站数据时,可以通过对入站数据进行协议解析,确定入站数据所属的第二类型报文。如果第二类型报文为SSL报文,则可以先通过WOC TCP协议代理对入站数据进行优化处理,具体的,可以代理SSLVPN公网层的连接,从TCP协议层进行协议优化,然后再通过第二类型报文对应的第二数据处理单元对优化后的入站数据进行解封装处理。
如图8所示,在S26确定入站数据为TCP 443端口数据包后,先执行S46通过WOC TCP协议代理进行优化,再执行S27。
相应于上面的方法实施例,本发明实施例还提供了一种数据传输装置,应用于部署在网络出入口的网关,网关中配置有至少两种类型的虚拟网卡,不同类型的虚拟网卡对应不同类型的VPN数据处理单元,每种类型的VPN数据处理单元均预先建立有多条VPN隧道,下文描述的一种数据传输装置与上文描述的一种数据传输方法可相互对应参照。
参见图9所示,该装置包括:
数据路由模块610,用于在接收到出站数据时,根据出站数据的内网源IP和内网目的IP,将出站数据路由到第一类型虚拟网卡;
数据封装模块620,用于通过第一VPN数据处理单元从第一类型虚拟网卡读取出站数据,并对出站数据进行封装处理,第一VPN数据处理单元与第一类型虚拟网卡对应;
数据传送模块630,用于将进行封装处理后的出站数据通过对应的VPN隧道传送出去。
应用本发明实施例所提供的装置,部署在网络出入口的网关中配置有至少两种类型的虚拟网卡,不同类型的虚拟网卡对应不同类型的VPN数据处理单元,每种类型的VPN数据处理单元均预先建立有多条VPN隧道,网关在接收到出站数据时,根据出站数据的内网源IP和内网目的IP,将出站数据路由到第一类型虚拟网卡,通过第一VPN数据处理单元从第一类型虚拟网卡读取出站数据,并对出站数据进行封装处理,将进行封装处理后的出站数据通过对应的VPN隧道传送出去。使得在一台网关设备上稳定高效运行至少两套VPN系统,不同VPN系统可以进行优势互补,避免使用单一VPN系统存在的不足,在实现多个网络之间的安全互连的同时可以减少维护成本。
在本发明的一种具体实施方式中,数据封装模块620,具体用于:
基于出站数据,封装第一类型虚拟网卡对应的第一类型报文的载荷;
在载荷上添加第一类型报文的报文头及新IP头,新IP头至少包含外网源IP和外网目的IP。
在本发明的一种具体实施方式中,数据封装模块620,具体用于:
调用加密卡抽象接口计算出站数据的哈希消息认证码HMAC,并对出站数据进行加密处理;
将加密处理后的出站数据和HMAC封装成第一类型虚拟网卡对应的第一类型报文的载荷。
在本发明的一种具体实施方式中,数据封装模块620,还用于:
在通过第一VPN数据处理单元从第一类型虚拟网卡读取出站数据之后,根据出站数据的内网源IP和内网目的IP,确定是否可匹配到第一VPN数据处理单元预先建立的至少一条VPN隧道;
如果是,则继续执行对出站数据进行封装处理的步骤。
在本发明的一种具体实施方式中,还包括:
报文类型确定模块,用于在接收到经过封装处理的入站数据时,通过对入站数据进行协议解析,确定入站数据所属的第二类型报文;
数据解封装模块,用于通过第二类型报文对应的第二数据处理单元对入站数据进行解封装处理;
数据转发模块,用于将进行解封装处理后的入站数据转发给相应的内网设备。
在本发明的一种具体实施方式中,网关中还部署有广域网优化控制器WOC,WOC包括WOC数据处理单元,第一类型虚拟网卡为IPSec虚拟网卡,还包括:优化处理模块,用于:
在将出站数据路由到第一类型虚拟网卡之前,通过WOC数据处理单元对出站数据进行优化处理。
在本发明的一种具体实施方式中,第二类型报文为ESP报文,优化处理模块,还用于:
在将进行解封装处理后的入站数据转发给相应的内网设备之前,通过WOC数据处理单元对进行解封装后的入站数据进行优化处理。
在本发明的一种具体实施方式中,WOC还包括WOC TCP协议代理,第二类型报文为SSL报文,优化处理模块,还用于:
在通过第二类型报文对应的第二数据处理单元对入站数据进行解封装处理之前,通过WOC TCP协议代理对入站数据进行优化处理。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的技术方案及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
Claims (17)
1.一种数据传输方法,其特征在于,应用于部署在网络出入口的网关,所述网关中配置有至少两种类型的虚拟网卡,不同类型的虚拟网卡对应不同类型的VPN数据处理单元,每种类型的VPN数据处理单元均预先建立有多条VPN隧道,所述方法包括:
在接收到出站数据时,根据所述出站数据的内网源IP和内网目的IP,将所述出站数据路由到第一类型虚拟网卡;
通过第一VPN数据处理单元从所述第一类型虚拟网卡读取所述出站数据,并对所述出站数据进行封装处理,所述第一VPN数据处理单元与所述第一类型虚拟网卡对应;
将进行封装处理后的所述出站数据通过对应的VPN隧道传送出去。
2.根据权利要求1所述的数据传输方法,其特征在于,所述对所述出站数据进行封装处理,包括:
基于所述出站数据,封装所述第一类型虚拟网卡对应的第一类型报文的载荷;
在所述载荷上添加所述第一类型报文的报文头及新IP头,所述新IP头至少包含外网源IP和外网目的IP。
3.根据权利要求2所述的数据传输方法,其特征在于,所述基于所述出站数据,封装所述第一类型虚拟网卡对应的第一类型报文的载荷,包括:
调用加密卡抽象接口计算所述出站数据的哈希消息认证码HMAC,并对所述出站数据进行加密处理;
将加密处理后的所述出站数据和所述HMAC封装成所述第一类型虚拟网卡对应的第一类型报文的载荷。
4.根据权利要求3所述的数据传输方法,其特征在于,所述加密卡抽象接口基于预设规范进行定义。
5.根据权利要求1所述的数据传输方法,其特征在于,在所述通过第一VPN数据处理单元从所述第一类型虚拟网卡读取所述出站数据之后,还包括:
根据所述出站数据的内网源IP和内网目的IP,确定是否可匹配到所述第一VPN数据处理单元预先建立的至少一条VPN隧道;
如果是,则继续执行所述对所述出站数据进行封装处理的步骤。
6.根据权利要求1至5之中任一项所述的数据传输方法,其特征在于,还包括:
在接收到经过封装处理的入站数据时,通过对所述入站数据进行协议解析,确定所述入站数据所属的第二类型报文;
通过所述第二类型报文对应的第二数据处理单元对所述入站数据进行解封装处理;
将进行解封装处理后的所述入站数据转发给相应的内网设备。
7.根据权利要求6所述的数据传输方法,其特征在于,所述网关中还部署有广域网优化控制器WOC,所述WOC包括WOC数据处理单元,所述第一类型虚拟网卡为IPSec虚拟网卡,在所述将所述出站数据路由到第一类型虚拟网卡之前,还包括:
通过所述WOC数据处理单元对所述出站数据进行优化处理。
8.根据权利要求7所述的数据传输方法,其特征在于,所述第二类型报文为ESP报文,在所述将进行解封装处理后的所述入站数据转发给相应的内网设备之前,还包括:
通过所述WOC数据处理单元对进行解封装后的所述入站数据进行优化处理。
9.根据权利要求7所述的数据传输方法,其特征在于,所述WOC还包括WOC TCP协议代理,所述第二类型报文为SSL报文,在所述通过所述第二类型报文对应的第二数据处理单元对所述入站数据进行解封装处理之前,还包括:
通过所述WOC TCP协议代理对所述入站数据进行优化处理。
10.一种数据传输装置,其特征在于,应用于部署在网络出入口的网关,所述网关中配置有至少两种类型的虚拟网卡,不同类型的虚拟网卡对应不同类型的VPN数据处理单元,每种类型的VPN数据处理单元均预先建立有多条VPN隧道,所述装置包括:
数据路由模块,用于在接收到出站数据时,根据所述出站数据的内网源IP和内网目的IP,将所述出站数据路由到第一类型虚拟网卡;
数据封装模块,用于通过第一VPN数据处理单元从所述第一类型虚拟网卡读取所述出站数据,并对所述出站数据进行封装处理,所述第一VPN数据处理单元与所述第一类型虚拟网卡对应;
数据传送模块,用于将进行封装处理后的所述出站数据通过对应的VPN隧道传送出去。
11.根据权利要求10所述的数据传输装置,其特征在于,所述数据封装模块,具体用于:
基于所述出站数据,封装所述第一类型虚拟网卡对应的第一类型报文的载荷;
在所述载荷上添加所述第一类型报文的报文头及新IP头,所述新IP头至少包含外网源IP和外网目的IP。
12.根据权利要求11所述的数据传输装置,其特征在于,所述数据封装模块,具体用于:
调用加密卡抽象接口计算所述出站数据的哈希消息认证码HMAC,并对所述出站数据进行加密处理;
将加密处理后的所述出站数据和所述HMAC封装成所述第一类型虚拟网卡对应的第一类型报文的载荷。
13.根据权利要求10所述的数据传输装置,其特征在于,所述数据封装模块,还用于:
在所述通过第一VPN数据处理单元从所述第一类型虚拟网卡读取所述出站数据之后,根据所述出站数据的内网源IP和内网目的IP,确定是否可匹配到所述第一VPN数据处理单元预先建立的至少一条VPN隧道;
如果是,则继续执行所述对所述出站数据进行封装处理的步骤。
14.根据权利要求10至13之中任一项所述的数据传输装置,其特征在于,还包括:
报文类型确定模块,用于在接收到经过封装处理的入站数据时,通过对所述入站数据进行协议解析,确定所述入站数据所属的第二类型报文;
数据解封装模块,用于通过所述第二类型报文对应的第二数据处理单元对所述入站数据进行解封装处理;
数据转发模块,用于将进行解封装处理后的所述入站数据转发给相应的内网设备。
15.根据权利要求14所述的数据传输装置,其特征在于,所述网关中还部署有广域网优化控制器WOC,所述WOC包括WOC数据处理单元,所述第一类型虚拟网卡为IPSec虚拟网卡,还包括:优化处理模块,用于:
在所述将所述出站数据路由到第一类型虚拟网卡之前,通过所述WOC数据处理单元对所述出站数据进行优化处理。
16.根据权利要求15所述的数据传输装置,其特征在于,所述第二类型报文为ESP报文,所述优化处理模块,还用于:
在所述将进行解封装处理后的所述入站数据转发给相应的内网设备之前,通过所述WOC数据处理单元对进行解封装后的所述入站数据进行优化处理。
17.根据权利要求15所述的数据传输装置,其特征在于,所述WOC还包括WOC TCP协议代理,所述第二类型报文为SSL报文,所述优化处理模块,还用于:
在所述通过所述第二类型报文对应的第二数据处理单元对所述入站数据进行解封装处理之前,通过所述WOC TCP协议代理对所述入站数据进行优化处理。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811178418.6A CN108964880A (zh) | 2018-10-10 | 2018-10-10 | 一种数据传输方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811178418.6A CN108964880A (zh) | 2018-10-10 | 2018-10-10 | 一种数据传输方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108964880A true CN108964880A (zh) | 2018-12-07 |
Family
ID=64480750
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811178418.6A Pending CN108964880A (zh) | 2018-10-10 | 2018-10-10 | 一种数据传输方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108964880A (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111614691A (zh) * | 2020-05-28 | 2020-09-01 | 广东纬德信息科技股份有限公司 | 一种基于电力网关的出站报文处理方法及装置 |
CN111786869A (zh) * | 2019-04-04 | 2020-10-16 | 厦门网宿有限公司 | 一种服务器之间的数据传输方法及服务器 |
CN111786989A (zh) * | 2020-06-29 | 2020-10-16 | 联想(北京)有限公司 | 通信处理方法、装置及电子设备 |
CN111786872A (zh) * | 2020-06-29 | 2020-10-16 | 北京天融信网络安全技术有限公司 | 一种用于vpn设备的数据处理方法及装置 |
CN112422396A (zh) * | 2020-11-04 | 2021-02-26 | 郑州信大捷安信息技术股份有限公司 | 一种基于sslvpn通道的tcp网络传输加速方法和系统 |
CN115001977A (zh) * | 2022-04-11 | 2022-09-02 | 北京华耀科技有限公司 | 建立虚拟专网的方法、系统及虚拟专网客户端设备 |
CN116016529A (zh) * | 2022-12-27 | 2023-04-25 | 南方电网数字电网研究院有限公司 | IPSec VPN设备负载均衡管理方法和装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102761483A (zh) * | 2012-06-29 | 2012-10-31 | 成都卫士通信息产业股份有限公司 | 一种不占用ip地址的隧道实现方法、系统及设备 |
CN102801695A (zh) * | 2011-05-27 | 2012-11-28 | 华耀(中国)科技有限公司 | 虚拟专用网通信设备及其数据包传输方法 |
US9148414B1 (en) * | 2012-11-14 | 2015-09-29 | Amazon Technologies, Inc. | Credential management in a multi-tenant environment |
-
2018
- 2018-10-10 CN CN201811178418.6A patent/CN108964880A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102801695A (zh) * | 2011-05-27 | 2012-11-28 | 华耀(中国)科技有限公司 | 虚拟专用网通信设备及其数据包传输方法 |
CN102761483A (zh) * | 2012-06-29 | 2012-10-31 | 成都卫士通信息产业股份有限公司 | 一种不占用ip地址的隧道实现方法、系统及设备 |
US9148414B1 (en) * | 2012-11-14 | 2015-09-29 | Amazon Technologies, Inc. | Credential management in a multi-tenant environment |
Non-Patent Citations (1)
Title |
---|
深信服科技有限公司: "深信服科技 SSL VPN 产品白皮书", 《HTTPS://DOWNLOAD.SANGFOR.COM.CN/UPLOADS/FILE/SSL/%E6%B7%B1%E4%BF%A1%E6%9C%8DSSL%20VPN%E4%BA%A7%E5%93%81%E6%8A%80%E6%9C%AF%E7%99%BD%E7%9A%AE%E4%B9%A6.PDF》 * |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111786869A (zh) * | 2019-04-04 | 2020-10-16 | 厦门网宿有限公司 | 一种服务器之间的数据传输方法及服务器 |
CN111786869B (zh) * | 2019-04-04 | 2022-04-22 | 厦门网宿有限公司 | 一种服务器之间的数据传输方法及服务器 |
CN111614691A (zh) * | 2020-05-28 | 2020-09-01 | 广东纬德信息科技股份有限公司 | 一种基于电力网关的出站报文处理方法及装置 |
CN111614691B (zh) * | 2020-05-28 | 2021-06-22 | 广东纬德信息科技股份有限公司 | 一种基于电力网关的出站报文处理方法及装置 |
CN111786989A (zh) * | 2020-06-29 | 2020-10-16 | 联想(北京)有限公司 | 通信处理方法、装置及电子设备 |
CN111786872A (zh) * | 2020-06-29 | 2020-10-16 | 北京天融信网络安全技术有限公司 | 一种用于vpn设备的数据处理方法及装置 |
CN111786989B (zh) * | 2020-06-29 | 2021-08-17 | 联想(北京)有限公司 | 通信处理方法、装置及电子设备 |
CN112422396A (zh) * | 2020-11-04 | 2021-02-26 | 郑州信大捷安信息技术股份有限公司 | 一种基于sslvpn通道的tcp网络传输加速方法和系统 |
CN112422396B (zh) * | 2020-11-04 | 2022-04-19 | 郑州信大捷安信息技术股份有限公司 | 一种基于sslvpn通道的tcp网络传输加速方法和系统 |
CN115001977A (zh) * | 2022-04-11 | 2022-09-02 | 北京华耀科技有限公司 | 建立虚拟专网的方法、系统及虚拟专网客户端设备 |
CN115001977B (zh) * | 2022-04-11 | 2024-02-13 | 北京华耀科技有限公司 | 建立虚拟专网的方法、系统及虚拟专网客户端设备 |
CN116016529A (zh) * | 2022-12-27 | 2023-04-25 | 南方电网数字电网研究院有限公司 | IPSec VPN设备负载均衡管理方法和装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108964880A (zh) | 一种数据传输方法及装置 | |
CN202206418U (zh) | 流量管理设备、系统和处理器 | |
US9565167B2 (en) | Load balancing internet protocol security tunnels | |
US20020191604A1 (en) | Application-specific information-processing method, system, and apparatus | |
CN106209838B (zh) | Ssl vpn的ip接入方法及装置 | |
US9350711B2 (en) | Data transmission method, system, and apparatus | |
US11729042B2 (en) | IPSec acceleration method, apparatus, and system | |
CN108881158A (zh) | 数据交互系统和方法 | |
JP2004524768A (ja) | ネットワークアプリケーション用に保護処理機能を分配するシステム及び方法 | |
CN103023898A (zh) | 一种访问vpn服务端内网资源的方法及装置 | |
US10498529B1 (en) | Scalable node for secure tunnel communications | |
CN104993993B (zh) | 一种报文处理方法、设备和系统 | |
CN104067562A (zh) | 用于第二层多网络链路隧道的协议 | |
CN110324227A (zh) | 一种vpn服务器中的数据传输方法及vpn服务器 | |
CN110011892A (zh) | 一种虚拟专用网络的通信方法及相关装置 | |
CN109906625A (zh) | 无线局域网上的安全链路层连接的方法 | |
JP2023543831A (ja) | マイクロサービスベースのサービスメッシュシステムおよびサービス指向アーキテクチャ管理方法 | |
CN101483594A (zh) | 一种基于虚拟专用网隧道的报文发送方法及客户端 | |
CN104426864B (zh) | 跨域远程命令的实现方法及系统 | |
CN108924157B (zh) | 一种基于IPSec VPN的报文转发方法及装置 | |
CN117254976B (zh) | 基于VPP的国标IPsec VPN实现方法、装置、系统及电子设备 | |
CN107135190A (zh) | 基于传输层安全连接的数据流量归属识别方法及装置 | |
CN110324365A (zh) | 无密钥前端集群系统、应用方法、存储介质、电子装置 | |
CN106027387B (zh) | 一种语音业务的处理方法、网关设备及系统 | |
CN114629678B (zh) | 一种基于tls的内网穿透方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181207 |