CN109525478B - 一种ssl vpn连接方法及装置 - Google Patents
一种ssl vpn连接方法及装置 Download PDFInfo
- Publication number
- CN109525478B CN109525478B CN201811540412.9A CN201811540412A CN109525478B CN 109525478 B CN109525478 B CN 109525478B CN 201811540412 A CN201811540412 A CN 201811540412A CN 109525478 B CN109525478 B CN 109525478B
- Authority
- CN
- China
- Prior art keywords
- address
- target
- port number
- ssl vpn
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/604—Address structures or formats
Abstract
本申请提供一种SSL VPN连接方法及装置,包括:获取SSL VPN网关的目标IP地址和目标端口号;对获取到的目标IP地址和目标端口号进行合法性校验若确定该目标IP地址和目标端口号均合法,则依据所述客户端当前版本对应的拼接模板,对该目标IP地址和目标端口号进行拼接形成SSL VPN连接地址,利用所述SSL VPN连接地址进行SSL VPN连接。使用本申请提供的方法,可以实现SSL VPN连接。
Description
技术领域
本申请涉及计算机通信领域,尤其涉及一种SSL VPN连接方法及装置。
背景技术
SSL VPN是一种采用SSL(Security Socket Layer,安全套接字层)协议来实现远程接入的一种新型VPN(Virtual Private Network,虚拟专用网)技术。它是以HTTPS(Secure Hyper Text Transfer Protocol,安全超文本传输协议,即支持SSL的HTTP协议)为基础,利用SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,来实现远程访问内网资源。
通常情况下,SSL VPN接入方式可包括IP接入方式,用户终端可从SSL VPN网关上下载SSL VPN客户端。用户可在SSL VPN客户端上输入SSL VPN网关的IP(InternetProtocol,互联网协议)地址和端口号进行SSL VPN连接。在VPN连接成功后,SSL VPN客户端可生成包含有该SSL VPN网关的IP地址和端口号的连接记录进行储存。当用户下一次发起SSL VPN连接操作时,客户端可识别该连接记录中的IP地址和端口号进行SSL VPN连接。
发明内容
有鉴于此,本申请提供一种SSL VPN连接方法及装置,用以实现SSL VPN的连接。
具体地,本申请是通过如下技术方案实现的:
根据本申请的第一方面,提供一种SSL VPN连接方法,所述方法应用于SSLVPN客户端,包括:
获取SSL VPN网关的目标IP地址和目标端口号;
对获取到的目标IP地址和目标端口号进行合法性校验;
若确定该目标IP地址和目标端口号均合法,则依据所述客户端当前版本对应的拼接模板,对该目标IP地址和目标端口号进行拼接形成SSL VPN连接地址,利用所述SSL VPN连接地址进行SSL VPN连接。
可选的,所述获取SSL VPN网关的目标IP地址和目标端口号,包括:
在检测到本客户端被启动后,检测本客户端是否缓存有上一次SSL VPN连接的连接记录;
若否,则等待用户输入SSL VPN连接的配置信息,并获取所述配置信息中携带的IP地址和端口号;若能获取到配置信息中携带的IP地址和端口号,则将该配置信息携带的IP地址和端口号分别作为目标IP地址和目标端口号;
若是,则调用所述上一次SSL VPN连接的连接记录,并获取所述连接记录携带的IP地址和端口号;若能获取到连接记录携带的IP地址和端口号,则将该链接记录携带的IP地址和端口号作为目标IP地址和目标端口号。
可选的,所述方法还包括:
若在所述配置信息中获取到IP地址、且未获取到端口号,则将获取到的IP地址作为目标IP地址,将预设的端口号作为目标端口号;
若在所述连接记录中获取到IP地址、且未获取到端口号,则将获取到的IP地址作为目标IP地址,将预设的端口号作为目标端口号。
可选的,对该目标IP地址进行合法性校验,包括:
校验所述目标IP地址是否符合正常IP地址格式;
若所述目标IP地址不符合正常IP地址格式,则确定该目标IP地址非法;
若所述目标IP地址符合正常IP地址格式,则进一步检测所述目标IP地址是否为特定IP地址;若所述目标IP地址不是特定IP地址,则确定所述目标IP地址合法;若所述目标IP地址是特定IP地址,则确定所述目标IP地址非法。
可选的,所述校验所述目标IP地址是否符合正常IP地址格式,包括:
识别所述目标IP地址中的至少一个指定字符;
依据识别出的至少一个指定字符,将所述目标IP地址拆分成N个字符组;
若N的取值为4并且每一个字符组表示一个小于或等于255的十进制数字,则确定所述目标IP地址符合正常IP地址格式。
可选的,所述检测所述目标IP地址是否为特定IP地址,包括:
检测所述目标IP地址是否命中预设的特定IP地址库、以及检测所述目标IP地址的第一字符组所表示的十进制数字的取值;所述特定IP地址库记录了预设的部分特定IP地址;
若所述目标IP地址命中预设的特定IP地址库、或者所述目标IP地址的第一字符组所表示的十进制数字的取值在预设范围内,则确定该目标IP地址为特定IP地址;
若所述目标IP地址命中预设的特定IP地址库、并且所述目标IP地址的第一字符组所表示的十进制数字的取值不在预设范围内,则确定所述IP地址不是特定IP地址。
可选的,对目标端口号进行合法性校验包括:
检测目标端口号是否在预设的端口号范围内;
若是,确定该目标端口号合法;
若否,确定该目标端口号非法。
根据本申请的第二方面,提供一种SSL VPN连接装置,所述装置应用于SSL VPN客户端,包括:
获取单元,用于获取SSL VPN网关的目标IP地址和目标端口号;
校验单元,用于对获取到的目标IP地址和目标端口号进行合法性校验;
连接单元,用于若确定该目标IP地址和目标端口号均合法,则依据所述客户端当前版本对应的拼接模板,对该目标IP地址和目标端口号进行拼接形成SSL VPN连接地址,利用所述SSL VPN连接地址进行SSL VPN连接。
可选的,所述获取单元,具体用于在检测到本客户端被启动后,检测本客户端是否缓存有上一次SSL VPN连接的连接记录;若否,则等待用户输入SSL VPN连接的配置信息,并获取所述配置信息中携带的IP地址和端口号;若能获取到配置信息中携带的IP地址和端口号,则将该配置信息携带的IP地址和端口号分别作为目标IP地址和目标端口号;若是,则调用所述上一次SSL VPN连接的连接记录,并获取所述连接记录携带的IP地址和端口号;若能获取到连接记录携带的IP地址和端口号,则将该链接记录携带的IP地址和端口号作为目标IP地址和目标端口号。
可选的,所述检验单元,在对该目标IP地址进行合法性校验时,具体用于校验所述目标IP地址是否符合正常IP地址格式;若所述目标IP地址不符合正常IP地址格式,则确定该目标IP地址非法;若所述目标IP地址符合正常IP地址格式,则进一步检测所述目标IP地址是否为特定IP地址;若所述目标IP地址不是特定IP地址,则确定所述目标IP地址合法;若所述目标IP地址是特定IP地址,则确定所述目标IP地址非法。
由上述描述可知,由于SSL VPN客户端在用户输入SSL VPN连接的配置信息进行SSL VPN登录连接时,以及每次进行SSL VPN连接前从缓存中调出连接记录后,都会对该配置信息或者连接记录中的目标IP地址和目标端口号进行合法性校验,所以可以有效地防止使用不合法的目标IP地址和目标端口号而无法进行SSL VPN连接的问题。
此外,由于本申请在客户端版本升级后,仍然可以调用升级前缓存的连接记录,识别连接记录中的目标IP地址和目标端口号,并在确定目标IP地址和目标端口号合法后,采用当前客户端版本(即升级后的客户端版本)对应的拼接格式对目标IP地址和目标端口号进行拼接,形成SSL VPN连接地址进行SSL VPN连接,所以可以有效地解决客户端跨版本的SSL VPN连接地址不兼容的问题。
附图说明
图1是本申请一示例性实施例示出的一种SSL VPN连接方法的流程图;
图2是本申请一示例性实施例示出的一种SSL VPN连接装置的框图;
图3是本申请一示例性实施例示出的一种SSL VPN客户端所在终端设备的硬件结构图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
SSL VPN是一种采用SSL(Security Socket Layer,安全套接字层)协议来实现远程接入的一种新型VPN(Virtual Private Network,虚拟专用网)技术。它是以HTTPS(Secure Hyper Text Transfer Protocol,安全超文本传输协议,即支持SSL的HTTP协议)为基础,利用SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,来实现远程访问内网资源。
通常情况下,SSL VPN接入方式可包括IP接入方式,用户终端可从SSL VPN网关上下载SSL VPN客户端。用户可在SSL VPN客户端上输入SSL VPN网关的IP地址和端口号进行VPN连接。在VPN连接成功后,SSL VPN客户端可生成包含有该SSL VPN网关的IP地址和端口号的连接记录进行储存。当用户下一次发起VPN连接操作时,客户端可识别该连接记录中的IP地址和端口号进行登录。
但是,若SSL VPN客户端进行SSL VPN连接时使用的IP地址和端口号错误,则无法进行SSL VPN连接。
例如,当用户输入的IP地址或者端口号错误时,SSL VPN客户端采用该错误的IP地址或者端口就无法进行SSL VPN连接。
再例如,当客户端版本升级后,客户端识别出的升级前的客户端中保存的连接记录中的SSL VPN网关的IP地址和端口号错误,则无法进行SSL VPN连接。
有鉴于此,本申请提出一种SSL VPN连接方法,SSL VPN客户端在确定出SSL VPN网关的目标IP地址和目标端口号后,都会进行目标IP地址和目标端口号的合法性检测,在确定IP地址和端口号均合法后,SSL VPN客户端可采用将该IP地址和端口号拼接成SSL VPN连接地址,采用该SSL VPN连接地址进行SSL VPN连接。
由于SSL VPN客户端在确定出SSL VPN网关的目标IP地址和目标端口号后会对目标IP地址和目标端口号进行合法性检测,在目标IP地址和目标端口号合法后才进行SSLVPN连接,所以可以防止因为SSL VPN客户端确定出的SSL VPN网关的IP地址和端口号不合法而造成的SSL VPN无法连接的问题。
下面为了方便叙述,将SSL VPN客户端简称为客户端,将SSL VPN网关的IP地址和端口号称之为目的IP地址和目的端口号。
参见图1,图1是本申请实施例示出的一种SSL VPN连接方法及装置,该方法可应用在SSL VPN客户端上,可包括如下所示步骤。
步骤101:客户端可确定SSL VPN网关的目标IP地址和目标端口号。
客户端在检测到本客户端启动后,可以检测本客户端是否缓存有上一次SSL VPN连接的连接记录。
其中,上一次SSL VPN连接的连接记录,可以是该客户端在升级前(即该客户端上一个版本)进行SSL VPN连接的连接记录,也可以是客户端在当前版本下上一次进行SSLVPN连接的连接记录。这里不进行具体地限定。
1)若本客户端未缓存上一次SSL VPN连接的连接记录
步骤1:若本客户端未缓存上一次SSL VPN连接的连接记录,则等待用户输入SSLVPN连接的配置信息。客户端获取该配置信息中携带的IP地址和端口号。
例如,客户端上显示用于输入SSL VPN连接的配置信息的区域,用户可在这些区域中输入VPN网关的配置信息。
比如该配置区域包括:VPN网关IP地址栏、VPN网关端口号栏、用户名栏和密码栏。
用户可以在VPN网关IP地址栏输入VPN网关的IP地址,在VPN网关端口号栏输入VPN网关端口号,在用户名栏输入用户名,在密码栏输入密码。
客户端可以读取VPN网关IP地址栏输入的字符串,作为SSL VPN网关的目标IP地址。客户端还可读取VPN网关端口号栏输入的字符串作为SSL VPN网关的目标端口号。
再例如,上述配置区域包括VPN网关IP地址和端口栏、用户名栏和密码栏。
用户可以在VPN网关IP地址和端口栏输入VPN网关的IP地址和端口号,在用户名栏输入用户名,在密码栏输入密码。
客户端可以读取VPN网关IP地址和端口栏输入的字符串,然后识别出IP地址和端口号。
在一种可选的识别方式中,客户端可依据字符串中的指定字符对该字符串进行分割,形成两个子字符串,将指定的一个字符串作为SSL VPN网关的目标IP地址,将另一个指定的子字符串作为SSL VPN网关的目的端口号。
例如,客户端从VPN网关IP地址和端口栏中读取的字符串为:192.168.1.1:1000。指定字符为“:”。
客户端可先在该字符串中识别出“:”,然后使用“:”将该字符串划分为两个子字符串,分别为192.168.1.1和1000。获取“:”前的子字符串(即192.168.1.1)作为SSL VPN网关的IP地址,获取“:”后的子字符串(即1000)作为SSL VPN网关的端口号。
上述只是对客户端如何从用户输入的配置信息中识别SSL VPN网关的IP地址和端口号的示例性说明,当然还可采用本领域技术人员熟知的方式进行识别,这里不对该识别方法进行具体地限定。
需要说明的是,该配置信息除了包括SSL VPN网关的端口号和IP地址,还可包括用户名、密码等用于SSL VPN连接的配置信息,这里只是对配置信息进行示例性地说明,不进行具体地限定。
步骤2:若客户端可以从用户输入的配置信息中获取到该配置信息携带的IP地址和端口号,则客户端可将该配置信息携带的IP地址和端口号作为目标IP地址和目标端口号。
步骤3:若客户端在该配置信息中获取到IP地址、但未获取到端口号,则客户端将该配置信息中的IP地址作为目标IP地址、将预设端口号作为目标端口号。
例如,假设,客户端获取到的IP地址为192.168.1.1,客户端未获取到端口号,预设端口号为6443。
客户端可确定目标IP地址为192.168.1.1,目标端口号为6443。
步骤4:若客户端在该配置信息中未获取到IP地址、且无论是否获取到端口号,客户端均显示SSL VPN连接为空连接,并不进行SSL VPN连接。
:2)若本客户端缓存有上一次SSL VPN连接的连接记录
步骤1:若本客户端缓存有上一次SSL VPN连接的连接记录,客户端可调用所述上一次SSL VPN连接的连接记录,并获取所述连接记录携带的IP地址和端口号。
具体地,客户端可从连接记录中识别出指定字符,并依据指定字符对该连接记录进行分割,形成两个子字符串,将指定的一个字符串作为SSL VPN网关的目标IP地址,将另一个指定的子字符串作为SSL VPN网关的目的端口号。
例如,假设连接记录为:192.168.1.1:1000。
客户端可在该连接记录中识别出指定字符串“:”,然后使用“:”将该连接记录划分为两个子字符串,分别为192.168.1.1和1000。获取“:”前的子字符串(即192.168.1.1)作为SSL VPN网关的IP地址,获取“:”后的子字符串(即1000)作为SSL VPN网关的端口号。
步骤2:若客户端可以从连接记录中获取到该连接记录携带的IP地址和端口号,则客户端可将该连接记录携带的IP地址和端口号分别作为目标IP地址和目标端口号。
步骤3:若客户端在该连接记录中获取到IP地址、但未获取到端口号,则客户端将该配置信息中的IP地址作为目标IP地址、将预设端口号作为目标端口号。
步骤4:若客户端在该连接记录中未获取到IP地址、且无论是否获取到端口号,客户端均显示SSL VPN连接为空连接,并不进行SSL VPN连接。
步骤102:客户端可对该目标IP地址和目标端口号进行合法性校验。
1)对目标IP地址进行合法性校验。
步骤1:客户端可校验所述目标IP地址是否符合正常IP地址格式。
具体地,通常正常IP地址格式是由四段不超过255的十进制数字通过“.”进行连接而形成的。比如,正常IP地址格式为192.168.2.3。
因此,客户端在校验时,客户端可识别所述目标IP地址中的至少一个指定字符,并依据识别出的至少一个指定字符,将所述目标IP地址拆分成N个字符组。
若N的取值为4并且每一个字符组表示一个小于或等于255的十进制数字,则确定所述目标IP地址符合正常IP地址格式。
若不符合N的取值为4并且每一个字符组表示一个小于或等于255的十进制数字这个条件,则确定该目标IP地址不符合正常IP地址格式,该IP地址为非法IP地址。
例如,假设获取到的目标IP地址是192.168.1.1.1,上述指定字符串可以是“.”,客户端可在目标IP地址中识别出“.”,然后依据识别出的“.”将目标IP地址划分为5段,由于5段大于4段,所以该目标IP地址不符合正常IP地址格式,该目标IP地址非法。
再例如,假设获取到的目标IP地址是192.168.1.1,上述指定字符串可以是“.”,客户端可在目标IP地址中识别出3个“.”,然后依据识别出的3个“.”将目标IP地址划分为4段,并且每一段均是十进制数字且不超过255,所以客户端可确定该目标IP地址符合正常IP地址格式。
步骤2:若目标IP地址不符合正常IP地址格式,则确定该目标IP地址为非法IP地址。
步骤3:若该目标IP地址符合正常IP地址格式,客户端可进一步检测该目标IP地址是否为特定IP地址。
其中,该特定IP地址是指具有特殊用途的IP地址,比如该特定IP地址包括广播报文的目的地址255.255.255.255、DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)获取过程中的源地址0.0.0.0、以及用于TCP/IP(Transmission ControlProtocol/Internet Protocol,传输控制协议/互联网协议)协议栈的可用性测试地址127.0.0.1、组播地址和保留地址等。
在本申请中,为了提高目标IP地址是否为特定IP地址的识别速率,本申请将没有特定规律的单个IP地址保存在特定IP地址库中,即IP地址库中保存了部分特定IP地址。比如可将特定IP地址255.255.255.255、0.0.0.0和127.0.0.1保存在特定IP地址库中。
客户端通过命中特定IP地址库的方式来检查该目标IP地址是否为这类型特定IP地址。
此外,由于组播地址和保留地址具有明显的特征,比如组播地址的第一段地址的范围为224-239,保留地址的第一段地址范围为240-255。所以本申请采用了通过检测目标IP地址的第一段地址(即第一个字符组)的取值的方式来检测该目标IP地址是否为组播地址和保留地址等。
具体地,在确定该目标IP地址是否为特定IP地址时,客户端检测所述目标IP地址是否命中预设的特定IP地址库、以及检测所述目标IP地址的第一字符组所表示的十进制数字的取值;所述特定IP地址库记录了部分特定IP地址。
若所述目标IP地址命中预设的特定IP地址库、或者所述目标IP地址的第一字符组所表示的十进制数字的取值在预设范围,则确定该目标IP地址为特定IP地址;
若所述目标IP地址命中预设的特定IP地址库、并且所述目标IP地址的第一字符组所表示的十进制数字的取值不在预设范围内,则确定所述IP地址不是特定IP地址。
需要说明的是,检测目标IP地址的第一字符组所表示的十进制数字的取值是否在预设范围内,是为了检查该目标IP地址是否为保留IP地址、组播IP地址等特殊功用的IP地址。
其中该预设范围可以是连续的范围,比如预设范围可以是224-239。
当然,该预设范围还可以由不连续的多个预设子范围构成。当目标IP地址的第一字符组所表示的十进制数字的取值均不在所有的子范围内,则确定该目标IP地址的第一字符组所表示的十进制数字的取值不在预设范围内。当目标IP地址的第一字符组所表示的十进制数字的取值在任一的子范围内,则确定该目标IP地址的第一字符组所表示的十进制数字的取值在预设范围内。
例如,该预设范围可以由第一预设子范围和第二预设子范围构成。
第一预设子范围为224-239,因为224-239中的任一数字作为IP地址中的第一段地址表示该IP地址是组播地址。比如224.0.0.1是组播地址。
第二预设子范围为240-255,因为240-255中的任一数字作为IP地址中的第一段地址表示该IP地址是保留IP地址。比如240.1.2.3是保留地址。
在检测目标IP地址的第一段字符组所表示的十进制数字的取值是否在预设范围内,客户端可检测目标IP地址的第一段字符组所表示的十进制数字的取值是否在第一预设子范围(即224-239)和第二预设子范围内(即240-255);
若目标IP地址的第一段字符组所表示的十进制数字的取值均不在第一预设子范围和第二预设子范围内,则确定该取值不在预设范围内。
若该目标IP地址第一段字符组所表示的十进制数字的取值在第一预设范围内或者第二预设范围内,确定该取值在该预设范围内。
步骤4:若该目标IP地址是特定IP地址,则确定该目标IP地址非法。
步骤5:若该目标IP不是特定IP地址,则确定该目标IP地址合法。
2)对目标端口号进行合法性校验
客户端可检测目标端口号是否在预设的端口号范围内。
若该目标端口号在预设的端口号范围内,客户端则可确定该目标端口号合法。
若该目标端口号不在预设的端口号范围内,客户端则可确定该目标端口号非法。
步骤103:若确定该目标IP地址和目标端口号均合法,客户端则可依据所述客户端当前版本对应的拼接模板,对该目标IP地址和目标端口号进行拼接形成SSL VPN连接地址,利用所述SSL VPN连接地址进行SSL VPN连接。
需要说明的是,每一个版本的客户端对应有一个拼接模板。该拼接模板主要用于对合法的IP地址和端口号进行拼接,形成SSL VPN连接地址。
比如,升级前的客户端版本对应的拼接模板为:IP地址:端口号;
升级后的客户端对应的拼接模板为:http://IP地址:端口号。
这里只是对拼接模板进行示例性地说明,并不进行具体地限定。
在本申请实施例中,若客户端确定目标IP地址和目标端口号均合法,客户端可依据当前版本对应的拼接模板,对该目标IP地址和目标端口号进行拼接形成SSL VPN连接地址,利用所述SSL VPN连接地址进行SSL VPN连接。客户端还可显示该SSL VPN连接地址。
例如,假设当前客户端版本对应的拼接模板为:http://IP地址:端口号。假设合法的目标IP地址为192.168.1.1,合法的目标端口号为1000。
客户端可将该目标IP地址写入该拼接模板对应的IP地址处,将目标端口号写入该拼接模板对应的端口号处,生成SSL VPN连接地址http://192.168.1.1:1000。
客户端可利用该SSL VPN连接地址http://192.168.1.1:1000进行SSL VPN连接。
步骤104:若确定该目标IP地址或者目标端口号非法,客户端则可显示SSL VPN连接地址为空连接,并不进行SSL VPN连接。
由于SSL VPN客户端在用户输入SSL VPN连接的配置信息进行SSL VPN登录连接时,以及每次进行SSL VPN连接前从缓存中调出连接记录后,都会对该配置信息或者连接记录中的目标IP地址和目标端口号进行合法性校验,所以可以有效地防止使用不合法的目标IP地址和目标端口号而无法进行SSL VPN连接的问题。
此外,由于本申请在客户端版本升级后,仍然可以调用升级前缓存的连接记录,识别连接记录中的目标IP地址和目标端口号,并在确定目标IP地址和目标端口号合法后,采用当前客户端版本(即升级后的客户端版本)对应的拼接格式对目标IP地址和目标端口号进行拼接,形成SSL VPN连接地址进行SSL VPN连接,所以可以有效地解决客户端跨版本的SSL VPN连接地址不兼容的问题。
本申请还提供了与上述SSL VPN连接方法对应的SSL VPN连接装置。
参见图2,图2是本申请一示例性实施例示出的一种SSL VPN连接装置的框图。该SSL VPN连接装置可应用在SSL VPN客户端上,可包括如下所示单元。
获取单元201,用于获取SSL VPN网关的目标IP地址和目标端口号;
校验单元202,用于对获取到的目标IP地址和目标端口号进行合法性校验;
连接单元203,用于若确定该目标IP地址和目标端口号均合法,则依据所述客户端当前版本对应的拼接模板,对该目标IP地址和目标端口号进行拼接形成SSL VPN连接地址,利用所述SSL VPN连接地址进行SSL VPN连接。
可选的,所述获取单元201,具体用于在检测到本客户端被启动后,检测本客户端是否缓存有上一次SSL VPN连接的连接记录;若否,则等待用户输入SSL VPN连接的配置信息,并获取所述配置信息中携带的IP地址和端口号;若能获取到配置信息中携带的IP地址和端口号,则将该配置信息携带的IP地址和端口号分别作为目标IP地址和目标端口号;若是,则调用所述上一次SSL VPN连接的连接记录,并获取所述连接记录携带的IP地址和端口号;若能获取到连接记录携带的IP地址和端口号,则将该链接记录携带的IP地址和端口号作为目标IP地址和目标端口号。
可选的,所述获取单元201,还具体用于若在所述配置信息中获取到IP地址、且未获取到端口号,则将获取到的IP地址作为目标IP地址,将预设的端口号作为目标端口号;若在所述连接记录中获取到IP地址、且未获取到端口号,则将获取到的IP地址作为目标IP地址,将预设的端口号作为目标端口号。
可选的,所述校验单元202,在对该目标IP地址进行合法性校验时,具体用于校验所述目标IP地址是否符合正常IP地址格式;若所述目标IP地址不符合正常IP地址格式,则确定该目标IP地址非法;若所述目标IP地址符合正常IP地址格式,则进一步检测所述目标IP地址是否为特定IP地址;若所述目标IP地址不是特定IP地址,则确定所述目标IP地址合法;若所述目标IP地址是特定IP地址,则确定所述目标IP地址非法。
可选的,所述校验单元202,在校验所述目标IP地址是否符合正常IP地址格式时,具体用于识别所述目标IP地址中的至少一个指定字符;依据识别出的至少一个指定字符,将所述目标IP地址拆分成N个字符组;若N的取值为4并且每一个字符组表示一个小于或等于255的十进制数字,则确定所述目标IP地址符合正常IP地址格式。
可选的,所述校验单元202,在检测所述目标IP地址是否为特定IP地址时,具体用于检测所述目标IP地址是否命中预设的特定IP地址库、以及检测所述目标IP地址的第一字符组所表示的十进制数字的取值;所述特定IP地址库记录了预设的部分特定IP地址;若所述目标IP地址命中预设的特定IP地址库、或者所述目标IP地址的第一字符组所表示的十进制数字的取值在预设范围内,则确定该目标IP地址为特定IP地址;若所述目标IP地址命中预设的特定IP地址库、并且所述目标IP地址的第一字符组所表示的十进制数字的取值不在预设范围内,则确定所述IP地址不是特定IP地址。
可选的,所述校验单元202,在对目标端口号进行合法性校验时,具体用于检测目标端口号是否在预设的端口号范围内;若是,确定该目标端口号合法;若否,确定该目标端口号非法。
对应的,本申请还提供了与上述SSL VPN连接装置对应的SSL VPN客户端所在终端设备的硬件结构图。
参见图3,图3是本申请一示例性实施例示出的一种SSL VPN客户端所在终端设备的硬件结构图。
该终端设备包括:通信接口301、处理器302、机器可读存储介质303和总线304;其中,通信接口301、处理器302和机器可读存储介质303通过总线304完成相互间的通信。处理器302通过读取并执行机器可读存储介质303中与SSL VPN连接控制逻辑对应的机器可执行指令,可执行上文描述的SSL VPN连接方法。
本文中提到的机器可读存储介质303可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:易失存储器、非易失性存储器或者类似的存储介质。具体地,机器可读存储介质303可以是RAM(Radom Access Memory,随机存取存储器)、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、DVD等),或者类似的存储介质,或者它们的组合。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (8)
1.一种SSL VPN连接方法,其特征在于,所述方法应用于安全套接字层虚拟专用网SSLVPN客户端,包括:
获取SSL VPN网关的目标IP地址和目标端口号;
对获取到的目标IP地址和目标端口号进行合法性校验;
若确定该目标IP地址和目标端口号均合法,则依据所述客户端当前版本对应的拼接模板,对该目标IP地址和目标端口号进行拼接形成SSL VPN连接地址,利用所述SSL VPN连接地址进行SSL VPN连接;
所述获取SSL VPN网关的目标IP地址和目标端口号,包括:
在检测到本客户端被启动后,检测本客户端是否缓存有上一次SSL VPN连接的连接记录;
若否,则等待用户输入SSL VPN连接的配置信息,并获取所述配置信息中携带的IP地址和端口号;若能获取到配置信息中携带的IP地址和端口号,则将该配置信息携带的IP地址和端口号分别作为目标IP地址和目标端口号;
若是,则调用所述上一次SSL VPN连接的连接记录,并获取所述连接记录携带的IP地址和端口号;若能获取到连接记录携带的IP地址和端口号,则将该连接记录携带的IP地址和端口号作为目标IP地址和目标端口号。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若在所述配置信息中获取到IP地址、且未获取到端口号,则将获取到的IP地址作为目标IP地址,将预设的端口号作为目标端口号;
若在所述连接记录中获取到IP地址、且未获取到端口号,则将获取到的IP地址作为目标IP地址,将预设的端口号作为目标端口号。
3.根据权利要求1所述的方法,其特征在于,对该目标IP地址进行合法性校验,包括:
校验所述目标IP地址是否符合正常IP地址格式;
若所述目标IP地址不符合正常IP地址格式,则确定该目标IP地址非法;
若所述目标IP地址符合正常IP地址格式,则进一步检测所述目标IP地址是否为特定IP地址;若所述目标IP地址不是特定IP地址,则确定所述目标IP地址合法;若所述目标IP地址是特定IP地址,则确定所述目标IP地址非法。
4.根据权利要求3所述的方法,其特征在于,所述校验所述目标IP地址是否符合正常IP地址格式,包括:
识别所述目标IP地址中的至少一个指定字符;
依据识别出的至少一个指定字符,将所述目标IP地址拆分成N个字符组;
若N的取值为4并且每一个字符组表示一个小于或等于255的十进制数字,则确定所述目标IP地址符合正常IP地址格式。
5.根据权利要求4所述的方法,其特征在于,所述检测所述目标IP地址是否为特定IP地址,包括:
检测所述目标IP地址是否命中预设的特定IP地址库、以及检测所述目标IP地址的第一字符组所表示的十进制数字的取值;所述特定IP地址库记录了预设的部分特定IP地址;
若所述目标IP地址命中预设的特定IP地址库、或者所述目标IP地址的第一字符组所表示的十进制数字的取值在预设范围内,则确定该目标IP地址为特定IP地址;
若所述目标IP地址命中预设的特定IP地址库、并且所述目标IP地址的第一字符组所表示的十进制数字的取值不在预设范围内,则确定所述IP地址不是特定IP地址。
6.根据权利要求1所述的方法,其特征在于,对目标端口号进行合法性校验包括:
检测目标端口号是否在预设的端口号范围内;
若是,确定该目标端口号合法;
若否,确定该目标端口号非法。
7.一种SSL VPN连接装置,其特征在于,所述装置应用于SSL VPN客户端,包括:
获取单元,用于获取SSL VPN网关的目标IP地址和目标端口号;
校验单元,用于对获取到的目标IP地址和目标端口号进行合法性校验;
连接单元,用于若确定该目标IP地址和目标端口号均合法,则依据所述客户端当前版本对应的拼接模板,对该目标IP地址和目标端口号进行拼接形成SSL VPN连接地址,利用所述SSL VPN连接地址进行SSL VPN连接;
所述获取单元,具体用于在检测到本客户端被启动后,检测本客户端是否缓存有上一次SSL VPN连接的连接记录;若否,则等待用户输入SSL VPN连接的配置信息,并获取所述配置信息中携带的IP地址和端口号;若能获取到配置信息中携带的IP地址和端口号,则将该配置信息携带的IP地址和端口号分别作为目标IP地址和目标端口号;若是,则调用所述上一次SSL VPN连接的连接记录,并获取所述连接记录携带的IP地址和端口号;若能获取到连接记录携带的IP地址和端口号,则将该连接记录携带的IP地址和端口号作为目标IP地址和目标端口号。
8.根据权利要求7所述的装置,其特征在于,所述校验单元,在对该目标IP地址进行合法性校验时,具体用于校验所述目标IP地址是否符合正常IP地址格式;若所述目标IP地址不符合正常IP地址格式,则确定该目标IP地址非法;若所述目标IP地址符合正常IP地址格式,则进一步检测所述目标IP地址是否为特定IP地址;若所述目标IP地址不是特定IP地址,则确定所述目标IP地址合法;若所述目标IP地址是特定IP地址,则确定所述目标IP地址非法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811540412.9A CN109525478B (zh) | 2018-12-17 | 2018-12-17 | 一种ssl vpn连接方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811540412.9A CN109525478B (zh) | 2018-12-17 | 2018-12-17 | 一种ssl vpn连接方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109525478A CN109525478A (zh) | 2019-03-26 |
| CN109525478B true CN109525478B (zh) | 2021-08-24 |
Family
ID=65795912
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811540412.9A Active CN109525478B (zh) | 2018-12-17 | 2018-12-17 | 一种ssl vpn连接方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109525478B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110290129A (zh) * | 2019-06-20 | 2019-09-27 | 深圳前海微众银行股份有限公司 | 一种Web漏洞检测的方法及装置 |
| CN111865618B (zh) * | 2020-09-21 | 2020-12-11 | 四川新网银行股份有限公司 | 一种联动防火墙实现ssl vpn登录保护的方法 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101132420A (zh) * | 2007-10-16 | 2008-02-27 | 杭州华三通信技术有限公司 | 一种基于ssl vpn的链接改写方法和设备 |
| CN101778045A (zh) * | 2010-01-27 | 2010-07-14 | 成都市华为赛门铁克科技有限公司 | 报文传输方法、装置及网络系统 |
| CN102088438A (zh) * | 2009-12-03 | 2011-06-08 | 中兴通讯股份有限公司 | 一种解决IPSec Client地址冲突的方法及IPSec Client |
| CN103220441A (zh) * | 2011-08-31 | 2013-07-24 | 佳能株式会社 | 信息处理设备及其控制方法 |
| US8566452B1 (en) * | 2006-08-03 | 2013-10-22 | F5 Networks, Inc. | Intelligent HTTP based load-balancing, persistence, and application traffic management of SSL VPN tunnels |
| CN104065660A (zh) * | 2014-06-27 | 2014-09-24 | 蓝盾信息安全技术有限公司 | 一种远程主机接入的控制方法 |
| US8984621B2 (en) * | 2010-02-27 | 2015-03-17 | Novell, Inc. | Techniques for secure access management in virtual environments |
| CN105119934A (zh) * | 2015-09-11 | 2015-12-02 | 北京星网锐捷网络技术有限公司 | 虚拟专用网分支的部署方法、总部设备和分支设备 |
| CN105867975A (zh) * | 2016-04-01 | 2016-08-17 | 浪潮电子信息产业股份有限公司 | 一种基于linux平台的批量刷新bmc的方法 |
| CN105959197A (zh) * | 2015-07-30 | 2016-09-21 | 杭州迪普科技有限公司 | 一种ssl vpn用户界面定制方法及装置 |
| CN106209838A (zh) * | 2016-07-08 | 2016-12-07 | 杭州迪普科技有限公司 | Ssl vpn的ip接入方法及装置 |
| CN106789535A (zh) * | 2016-12-29 | 2017-05-31 | 杭州迪普科技股份有限公司 | Ssl vpn的ip接入方法及装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102769618B (zh) * | 2012-07-18 | 2015-03-11 | 北京星网锐捷网络技术有限公司 | Web访问处理方法、网络设备及通信系统 |
| CN107229492A (zh) * | 2017-05-17 | 2017-10-03 | 东软集团股份有限公司 | 服务器系统的安装方法、装置、系统、存储介质及设备 |
-
2018
- 2018-12-17 CN CN201811540412.9A patent/CN109525478B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8566452B1 (en) * | 2006-08-03 | 2013-10-22 | F5 Networks, Inc. | Intelligent HTTP based load-balancing, persistence, and application traffic management of SSL VPN tunnels |
| CN101132420A (zh) * | 2007-10-16 | 2008-02-27 | 杭州华三通信技术有限公司 | 一种基于ssl vpn的链接改写方法和设备 |
| CN102088438A (zh) * | 2009-12-03 | 2011-06-08 | 中兴通讯股份有限公司 | 一种解决IPSec Client地址冲突的方法及IPSec Client |
| CN101778045A (zh) * | 2010-01-27 | 2010-07-14 | 成都市华为赛门铁克科技有限公司 | 报文传输方法、装置及网络系统 |
| US8984621B2 (en) * | 2010-02-27 | 2015-03-17 | Novell, Inc. | Techniques for secure access management in virtual environments |
| CN103220441A (zh) * | 2011-08-31 | 2013-07-24 | 佳能株式会社 | 信息处理设备及其控制方法 |
| CN104065660A (zh) * | 2014-06-27 | 2014-09-24 | 蓝盾信息安全技术有限公司 | 一种远程主机接入的控制方法 |
| CN105959197A (zh) * | 2015-07-30 | 2016-09-21 | 杭州迪普科技有限公司 | 一种ssl vpn用户界面定制方法及装置 |
| CN105119934A (zh) * | 2015-09-11 | 2015-12-02 | 北京星网锐捷网络技术有限公司 | 虚拟专用网分支的部署方法、总部设备和分支设备 |
| CN105867975A (zh) * | 2016-04-01 | 2016-08-17 | 浪潮电子信息产业股份有限公司 | 一种基于linux平台的批量刷新bmc的方法 |
| CN106209838A (zh) * | 2016-07-08 | 2016-12-07 | 杭州迪普科技有限公司 | Ssl vpn的ip接入方法及装置 |
| CN106789535A (zh) * | 2016-12-29 | 2017-05-31 | 杭州迪普科技股份有限公司 | Ssl vpn的ip接入方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109525478A (zh) | 2019-03-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5704518B2 (ja) | 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム | |
| US20100107240A1 (en) | Network location determination for direct access networks | |
| US20190166112A1 (en) | Protecting against malicious discovery of account existence | |
| CN107124431A (zh) | 鉴权方法、装置、计算机可读存储介质和鉴权系统 | |
| EP4161012A1 (en) | Authentication method and apparatus, electronic device, server, program, and storage medium | |
| JP6880055B2 (ja) | メッセージ偽造防止実施方法及びデバイス | |
| US9973525B1 (en) | Systems and methods for determining the risk of information leaks from cloud-based services | |
| US8667268B2 (en) | Scalable distributed web-based authentication | |
| CN110365701B (zh) | 客户终端设备的管理方法、装置、计算设备及存储介质 | |
| CN111431753A (zh) | 一种资产信息更新方法、装置、设备及存储介质 | |
| CN109525478B (zh) | 一种ssl vpn连接方法及装置 | |
| CN104580112A (zh) | 一种业务认证方法、系统及服务器 | |
| US20220182388A1 (en) | Transfer of trust between authentication devices | |
| CN105592083A (zh) | 终端利用令牌访问服务器的方法和装置 | |
| CN108600259B (zh) | 设备的认证和绑定方法及计算机存储介质、服务器 | |
| WO2017215650A1 (zh) | 微端的自动登录方法、装置、程序及介质 | |
| CN111447226A (zh) | 用于检测dns劫持的方法和设备 | |
| CN111209029A (zh) | 一种代码修改确定方法、装置、电子设备及存储介质 | |
| CN108737338A (zh) | 一种认证方法及系统 | |
| CN111225038B (zh) | 服务器访问方法及装置 | |
| US20080271156A1 (en) | Methods and systems for searching protected digital content and non-protected digital content | |
| US11729246B2 (en) | Apparatus and method for determining types of uniform resource locator | |
| EP4037278A1 (en) | System for controlling network access of node on basis of tunnel and data flow, and method therefor | |
| CN111447080B (zh) | 私有网络去中心化控制方法、装置及计算机可读存储介质 | |
| JP5053756B2 (ja) | 証明書検証サーバ、証明書検証方法、および証明書検証プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |