CN110768988B - 一种建立ssl vpn隧道的方法及装置 - Google Patents
一种建立ssl vpn隧道的方法及装置 Download PDFInfo
- Publication number
- CN110768988B CN110768988B CN201911031451.0A CN201911031451A CN110768988B CN 110768988 B CN110768988 B CN 110768988B CN 201911031451 A CN201911031451 A CN 201911031451A CN 110768988 B CN110768988 B CN 110768988B
- Authority
- CN
- China
- Prior art keywords
- ssl
- ssl vpn
- message
- protocol
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 107
- 230000008569 process Effects 0.000 claims description 48
- 238000004891 communication Methods 0.000 claims description 11
- 238000010586 diagram Methods 0.000 description 10
- 230000003993 interaction Effects 0.000 description 6
- 238000004590 computer program Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 230000006855 networking Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000004904 shortening Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种建立SSL VPN隧道的方法及装置,该方法可以包括:客户端向SSL VPN网关设备发送第一报文;接收所述SSL VPN网关设备发送的包含提示信息的第二报文,所述提示信息表征所述SSL VPN网关设备是否支持使用国密SSL协议建立SSL VPN隧道;在第二报文中包含的所述提示信息表征所述SSL VPN网关设备支持使用国密SSL协议建立SSL VPN隧道的情况下,使用国密SSL协议与所述SSL VPN网关设备建立SSL VPN隧道。通过本申请的技术方案,客户端能够获知SSL VPN网关设备是否支持国密SSL协议,并在支持的情况下直接按照国密SSL进行握手以建立SSL VPN隧道,既缩短了建立隧道的时间,又提高了所建立隧道的安全性。
Description
技术领域
本申请涉及网络通信技术领域,尤其涉及一种建立SSL VPN隧道的方法及装置。
背景技术
为了在公用网络上建立专用网络以进行加密通信,通常需要在客户端和网关设备之间建立VPN(Virtual Private Network,虚拟专用网络)隧道。现阶段国内用户可以选择使用国密SSL(Secure Sockets Layer,安全套接层)协议或标准SSL协议建立SSL VPN隧道,而国密SSL协议与标准SSL协议的多个版本都不兼容,通常认为在国内网络环境下国密SSL协议的安全性更高。
按照所支持的协议划分,SSL VPN网关设备一般包括三类:仅支持国密SSL协议、仅支持标准SSL协议的某个版本、同时支持国密SSL协议和标准SSL协议的多个版本。在相关技术中,通常以轮询方式依次采用标准SSL协议的各个版本和国密SSL协议与SSL VPN网关设备握手,尝试建立SSL VPN隧道。
然而,一方面,由于SSL VPN网关设备支持的标准SSL版本可能较低,因此采用轮询方式可能要尝试握手多次才能成功建立SSL VPN隧道,使得建立隧道耗时较长;另一方面,当SSL VPN网关设备同时支持多种协议时,采用轮询方式最终成功建立隧道的可能是标准SSL协议,导致所建立隧道的安全性较低。
发明内容
有鉴于此,本申请提供一种建立SSL VPN隧道的方法及装置,通过在第二报文中携带能够表征SSL VPN网关设备是否支持国密SSL协议的提示信息,使得在SSL VPN网关设备支持国密SSL协议的情况下,更快的建立SSL VPN隧道,并提高所建立隧道的安全性。
为实现上述目的,本申请提供技术方案如下:
根据本申请的第一方面,提出了一种建立SSL VPN隧道的方法,应用于客户端,所述方法包括:
向SSL VPN网关设备发送第一报文;
接收所述SSL VPN网关设备发送的包含提示信息的第二报文,所述提示信息表征所述SSL VPN网关设备是否支持使用国密SSL协议建立SSL VPN隧道;
在第二报文中包含的所述提示信息表征所述SSL VPN网关设备支持使用国密SSL协议建立SSL VPN隧道的情况下,使用国密SSL协议与所述SSL VPN网关设备建立SSL VPN隧道。
根据本申请的第二方面,提出了一种建立SSL VPN隧道的方法,应用于SSL VPN网关设备,所述方法包括:
接收客户端发送的第一报文;
向所属客户端发送包含提示信息的第二报文,所述提示信息表征所述SSL VPN网关设备是否支持使用国密SSL协议建立SSL VPN隧道;
在所述第二报文中包含的所述提示信息表征所述SSL VPN网关设备支持使用国密SSL协议建立SSL VPN隧道的情况下,与所述客户端配合建立SSL VPN隧道。
根据本申请的第三方面,提出了一种建立SSL VPN隧道的装置,应用于客户端,包括:
第一发送单元,用于向SSL VPN网关设备发送第一报文;
第二接收单元,用于接收所述SSL VPN网关设备发送的包含提示信息的第二报文,所述提示信息表征所述SSL VPN网关设备是否支持使用国密SSL协议建立SSL VPN隧道;
国密建立单元,用于在第二报文中包含的所述提示信息表征所述SSL VPN网关设备支持使用国密SSL协议建立SSL VPN隧道的情况下,使用国密SSL协议与所述SSL VPN网关设备建立SSL VPN隧道。
根据本申请的第四方面,提出了一种建立SSL VPN隧道的装置,应用于SSL VPN网关设备,包括:
第一接收单元,用于接收客户端发送的第一报文;
第二发送单元,用于向所属客户端发送包含提示信息的第二报文,所述提示信息表征所述SSL VPN网关设备是否支持使用国密SSL协议建立SSL VPN隧道;
国密配合单元,用于在所述第二报文中包含的所述提示信息表征所述SSL VPN网关设备支持使用国密SSL协议建立SSL VPN隧道的情况下,与所述客户端配合建立SSL VPN隧道。
根据本申请的第五方面,提出了一种电子设备,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为实现如上述第一方面方案中任一项所述方法的步骤。
根据本申请的第六方面,提出了一种计算机可读存储介质,其上存储有计算机指令,该指令被处理器执行时实现如上述第一方面方案中任一项所述方法的步骤。
根据本申请的第七方面,提出了一种电子设备,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为实现如上述第二方面方案中任一项所述方法的步骤。
根据本申请的第八方面,提出了一种计算机可读存储介质,其上存储有计算机指令,该指令被处理器执行时实现如上述第二方面方案中任一项所述方法的步骤。
由以上技术方案可见,本申请通过在第二报文中携带能够表征SSL VPN网关设备是否支持国密SSL协议的提示信息,使得客户端在每次握手前或握手的初始阶段就获知SSLVPN网关设备是否支持国密SSL协议。因此在SSL VPN网关设备支持国密SSL的情况下,一方面,客户端能够直接使用国密SSL建立SSL VPN隧道,相对于轮询方式,减少了客户端的握手尝试次数,从而缩短了建立SSL VPN隧道所需的时间;另一方面,客户端能够优先使用安全性更高的国密SSL协议与SSL VPN网关设备之间建立SSL VPN隧道,充分利用设备功能,提高了SSL VPN隧道的安全性。
附图说明
为了更清楚地说明本申请实施例或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是客户端与SSL VPN网关设备之间建立SSL VPN隧道的示意图。
图2是相关技术采用轮询方式建立SSL VPN隧道的过程中客户端与SSL VPN网关设备之间的交互流程图。
图3是本申请一示例性实施例示出的一种建立SSL VPN隧道的方法的流程图。
图4是本申请一示例性实施例示出的一种建立SSL VPN隧道的方法对应过程中客户端与SSL VPN网关设备之间的交互流程图。
图5是本申请一示例性实施例示出的另一种建立SSL VPN隧道的方法对应过程中客户端与SSL VPN网关设备之间的交互流程图。
图6是本申请一示例性实施例示出的另一种建立SSL VPN隧道的方法的流程图。
图7是本申请一示例性实施例示出的一种电子设备的结构示意图。
图8是本申请一示例性实施例示出的一种建立SSL VPN隧道的装置的框图。
图9是本申请一示例性实施例示出的另一种电子设备的结构示意图。
图10是本申请一示例性实施例示出的另一种建立SSL VPN隧道的装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”、“上述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一报文也可以被称为第二报文,类似地,第二报文也可以被称为第一报文。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
在互联网的商业化运营中,网上银行、在线支付系统等很多安全性要求较高的内部系统需要以专用网络进行加密通信才能访问,常用的加密通信方式是在客户端和内部系统的网关设备之间通过SSL VPN服务建立隧道。现阶段建立SSL VPN隧道时普遍使用的网络协议是标准SSL协议或其升级版TLS(Transport Layer Security,传输层安全)协议,二者均具有多个版本,统称为标准SSL协议。为保障重要经济系统的密码应用安全,国家密码管理局与2014年颁布了国标GM/T 0024-2014,SSL VPN技术规范,该规范中定义了新的SSL协议,该协议简称国密SSL协议。国密SSL协议与标准SSL协议并不兼容,业界通常认为在国内的网络环境下,国密SSL的安全性高于标准SSL的安全性,因此在设备支持使用国密SSL协议的情况下,通常优先使用国密SSL协议建立SSL VPN隧道。
图1客户端与SSL VPN网关设备之间建立SSL VPN隧道的示意图。按照所支持的协议划分,SSL VPN网关设备一般包括三类:仅支持国密SSL协议、仅支持标准SSL协议的某个版本、同时支持国密SSL协议和标准SSL协议的多个版本;而客户端一般为网络设备上的Web浏览器,客户端通常能够同时支持标准SSL协议和国密SSL协议。因此客户端与SSL VPN网关设备之间建立的SSL VPN隧道类型主要由SSL VPN网关设备支持的SSL协议类型所决定。如图1所示,对于仅支持标准SSL协议或仅支持国密SSL协议的SSL VPN网关设备,相应的仅能够与客户端建立标准SSL VPN隧道或国密SSL VPN隧道;而对于既支持标准SSL VPN协议又支持SSL VPN协议的SSL VPN网关设备,则与客户端之间既能够建立标准SSL VPN隧道,又能够建立国密SSL VPN隧道。需要说明的是,虽然一台客户端可以同时与多台SSL VPN网关设备建立SSL VPN隧道,但本申请方法仅关注一台客户端与一台SSL VPN网关设备之间如何建立SSL VPN隧道。
客户端与SSL VPN网关设备之间建立SSL VPN隧道的过程又称为SSL握手过程。图2是相关技术采用轮询方式建立SSL VPN隧道的过程中客户端与SSL VPN网关设备之间的交互流程图。通常在SSL握手过程开始之前,客户端并不清楚SSL VPN网关设备支持的SSL协议类型及具体版本,因此如图2所示,相关技术中采用轮询的方式依次使用标准SSL协议的各个版本及国密SSL协议进行尝试,当采用某一版本的SSL协议握手失败,即未能成功建立SSLVPN隧道时,再使用其他版本的SSL协议重新尝试,直到成功建立SSL VPN隧道或全部尝试失败。
然而,由于采用轮询方式进行握手时,标准SSL协议各版本的尝试顺序通常由高到低,因此当SSL VPN网关设备支持的标准SSL版本较低时,采用轮询方式可能要尝试多次才能握手成功,使得建立SSL VPN隧道耗时较长。另外,当SSL VPN网关设备同时支持标准SSL协议和国密SSL协议时,采用轮询方式最终成功建立的可能是标准SSL隧道,而非安全性较高的国密SSL隧道,导致最终建立的SSL VPN隧道安全性较低。
因此,本申请提出在客户端与SSL VPN网关设备进行握手之前或握手的初始阶段,就由SSL VPN网关设备主动告知客户端己方是否支持国密SSL协议,以解决相关技术中存在的上述不足。为对本申请进行进一步说明,提供下列实施例。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员所获得的所有其他实施例,都应当属于本申请保护的范围。
为便于简洁明了的描述本申请的技术方案,下文解释性文字中的“SSL VPN网关设备”统一简称为“网关设备”;“SSL VPN隧道”统一简称为“隧道”;“SSL握手过程”统一简称为“握手”。另外需要说明的是,本申请对于涉及到的网关设备类型并无限制,可以是上述三种网关设备的任一种。下面结合实施例对本申请的技术方案进行说明。
图3是本申请一示例性实施例示出的一种建立SSL VPN隧道的方法的流程图。如图3所示,该方法应用于客户端,可以包括以下步骤:
步骤301,向SSL VPN网关设备发送第一报文。
建立隧道的握手由客户端主动发起。建立隧道的常规握手过程需要客户端与网关设备之间发送若干报文,这些报文被称为握手报文。客户端首先向网关设备发送第一报文,根据第一报文是否属于握手报文,该第一报文中包含的信息也有所不同。
在一实施例中,上述第一报文属于握手报文,则该第一报文中可以包含有标准SSL协议的任一版本标识,用于告知网关设备该次握手所使用的标准SSL协议的版本。其中,上述版本标识可以是该版本标准SSL协议的版本号、版本发布时间或能够将该版本标准SSL协议与其他版本标准SSL协议有效区分的其他标志信息,本申请对此并不进行限制。
在另一实施例中,上述第一报文不属于握手报文,该第一报文中可以包含询问信息,该询问信息用于向网关设备询问其是否支持使用国密SSL协议进行握手。
步骤302,接收所述SSL VPN网关设备发送的包含提示信息的第二报文,所述提示信息表征所述SSL VPN网关设备是否支持使用国密SSL协议建立SSL VPN隧道。
在一实施例中,客户端向网关设备发送第一报文后,接收网关设备发送来的包含提示信息的第二报文,该提示信息用于表征网关设备是否支持使用国密SSL协议进行握手。因为发送第一报文之前,客户端尚不清楚网关设备是否支持使用国密SSL协议进行握手,因此需要由网关设备在发送给客户端的第二报文中携带提示信息,以告知客户端,网关设备是否支持使用国密SSL协议进行握手,而且,网关设备所发送的第二报文的类型(是否属于握手报文)必然与其接收到的第一报文的类型相一致。
在另一实施例中,上述第一报文和第二报文属于握手报文,则上述提示信息可以位于第二报文的特定位置中,该特定位置可以包括第二报文的标准SSL协议HelloExtension扩展中的自定义字段、第二报文的标准SSL协议的Extensions扩展中的自定义字段或者其他能够携带上述提示信息的特定位置,本申请对此并不进行限制。
步骤303,在第二报文中包含的所述提示信息表征所述SSL VPN网关设备支持使用国密SSL协议建立SSL VPN隧道的情况下,使用国密SSL协议与所述SSL VPN网关设备建立SSL VPN隧道。
客户端接收到第二报文后,根据第二报文包含的提示信息判断网关设备是否支持使用国密SSL协议建立隧道。在上述判断结果为是的情况下,使用国密SSL协议与上述网关设备握手;否则,在上述判断结果为否的情况下,使用标准SSL协议与上述网关设备。
在一实施例中,在上述第一报文和第二报文属于隧道建立过程中的握手报文的情况下,使用上述任一版本标识对应版本的标准SSL协议执行建立隧道的后续操作。在执行建立隧道的后续操作成功的情况下,使用建立的隧道与网关设备进行通信业务;否则,在执行建立隧道的后续操作失败的情况下,按照标准SSL协议的预设版本顺序,使用上述任一版本标识对应版本的后续版本标准SSL协议与上述网关设备建立隧道,直至成功建立隧道。
在另一实施例中,在上述第一报文和第二报文不属于隧道建立过程中的握手报文的情况下,按照标准SSL协议的预设版本顺序,依次使用各个版本的标准SSL协议与上述网关设备建立隧道,直至成功建立隧道。
在一实施例中,上述任一版本标识的标准SSL协议包括:按照预设版本顺序从所有标准SSL协议中选取的首个标准SSL协议;或者上述客户端上预设的特定版本的标准SSL协议。
在另一实施例中,在发送上述第一报文之前,获取客户端的IP地址和网关设备的IP地址;在上述客户端的IP地址和上述网关设备的IP地址都归属于中国的情况下,使用国密SSL协议与该网关设备尝试建立隧道;否则,发送上述第一报文。
由上述技术方案可见,本申请中网关设备在接收到客户端发送的第一报文后,向客户端回复包含提示信息的第二报文。因为该第二报文中包含的提示信息能够表征网关设备是否支持使用国密SSL协议与客户端握手,所以客户端在接收到第二报文后即可获知是使用标准SSL协议还是使用国密SSL协议与网关设备建立隧道。因此在网关设备支持使用国密SSL协议的情况下,能够直接使用国密SSL协议进行握手,相对于相关技术的轮询方式,减少了客户端与网关设备之间使用各个版本的标准SSL协议进行握手尝试的次数,从而缩短了建立隧道所需的时间;而且在网关设备支持使用国密SSL协议的情况下,能够优先使用国密SSL协议进行握手,充分利用了设备功能,提高了所建立隧道的安全性。
为了便于理解,下面结合附图对本申请的技术方案进行进一步说明。因为第一报文和第二报文可能属于握手报文,也可能不属于握手报文,因此下文分别结合图4和图5对两种可能的实施例进行示例性说明。值得说明的是,图4和图5的示例性实施例中,标准SSL协议的预设版本顺序为:TLS1.2、TLS1.1、TLS 1.0、SSL3.0,但本领域技术人员能够理解的是,本申请所涉及的标准SSL的预设版本顺序并不仅限于上述特定顺序,也可以为SSL3.0、TLS 1.0、TLS1.1、TLS1.2或其他顺序,如按照发布时间由后至前、安全性由高到低或其他预设顺序对标准SSL协议的多个版本进行排序,对于具体的排序依据及排序方式,本申请并不进行限制。
图4是本申请一示例性实施例示出的一种建立SSL VPN隧道的方法对应过程中客户端与SSL VPN网关设备之间的交互流程图。在该示例性实施例中,客户端发送的第一报文及网关设备发送的第二报文都属于握手报文。如图4所示,该方法可以包括以下步骤:
步骤401,客户端向网关设备发送包含标准SSL协议的预设版本顺序中首个标准SSL协议的版本标识的第一报文。
在该实施例中,标准SSL协议的预设版本顺序中首个标准SSL协议的版本即为TLS1.2,因此客户端首先使用该版本的标准SSL协议尝试进行握手。
在另一实施例中,客户端发送的第一报文还可以包含其他第一握手信息,包括但不限于加密算法的种类、客户端产生的随机数或者握手所需要的其他必要信息等。
在另一实施例中,客户端发送的第一报文中包含的版本标识可以不是标准SSL协议的预设版本顺序中首个标准SSL协议的版本标识,而是客户端上预设的特定版本的标准SSL协议的版本标识,此时发送的第一报文中包含客户端上预设的特定版本的标准SSL协议的版本标识。
在另一实施例中,在客户端向网关设备发送第一报文之前,可以先检查客户端上预设的特定版本的SSL协议,若该特定版本的SSL协议是标准SSL协议,则按照前一实施例描述的方式确定第一报文中包含的版本标识;若该特定版本的SSL协议是国密SSL协议,则先使用国密SSL与网关设备进行握手,在使用国密SSL与网关设备握手失败后,转入步骤401。
上述实施例使用客户端预设的特定SSL协议类型进行握手,当客户端有预设的特定版本的SSL协议时,很可能已经说明客户端用户已经知晓网关设备支持的SSL协议类型,此时直接使用客户端预设的特定SSL协议类型进行握手能够大大缩短隧道的建立时间。
在一实施例中,在发送第一报文之前,分别获取客户端和网关设备的IP地址;在客户端的和网关设备的IP地址都归属于中国的情况下,直接使用国密SSL协议与网关设备进行握手;否则,在客户端的或网关设备的IP地址不归属于中国的情况下,转入步骤401。
该实施例在发送第一报文之前按照客户端与网关设备的IP地址归属地是否属于中国,决定是否直接采用国密SSL协议进行握手,在二者都归属于中国的情况下,免除了第一报文和第二报文的发送与接收工作,实现了更快的决定是否优先使用国密SSL协议进行握手,实际上进一步缩短了建立隧道的所需的时间。
步骤402,接收网关设备发送的包含提示信息的第二报文,该提示信息用于表征网关设备是否支持使用国密SSL协议进行握手。
在一实施例中,网关设备接收到第一报文后,根据自身对于国密SSL协议的支持情况确定提示信息的内容,并将上述提示信息封装在发送给客户端的第二报文中。该提示信息用于表征网关设备是否支持使用国密SSL协议进行握手。该提示信息可以位于第二报文的特定位置中,具体的,可以位于第二报文的标准SSL协议HelloExtension扩展中的自定义字段中、第二报文的标准SSL协议的Extensions扩展中的自定义字段中或者其他能够携带上述提示信息的特定位置中。
在另一实施例中,网关设备发送的第二报文还可以包含其他第二握手信息,包括但不限于加密算法的种类、网关设备产生的随机数、包含网关设备公钥的证书或者握手所需要的其他必要信息等。
客户端接收到第二报文后,解析报文中包含的提示信息,以判断网关设备是否支持使用国密SSL协议进行握手。若判断网关设备支持使用国密SSL协议进行握手,则转入步骤405;否则,若判断网关设备不支持使用国密SSL协议进行握手,则转入步骤403。
步骤403,使用标准SSL协议的预设版本顺序中首个标准SSL协议与网关设备进行后续握手。
因为在该示例性实施例中,客户端发送的第一报文及网关设备发送的第二报文都属于握手报文,所以实际上握手已经开始,因此在网关设备不支持使用国密SSL协议进行握手的情况下,继续使用第一报文中包含的版本标识对应的TLS 1.2版本的标准SSL协议进行后续握手过程。具体的后续握手过程本申请并不进行限制,详见相关技术公开的内容。
本领域技术人员能够理解的是,因为后续握手过程包括多个步骤,因此使用TLS1.2版本的标准SSL协议进行的后续握手过程可能握手成功,也可能握手失败。若后续握手成功,则转入步骤407;否则,若后续握手失败,则转入步骤404。
步骤404,按照标准SSL协议的预设版本顺序,使用首个标准SSL协议版本的后续版本标准SSL协议与网关设备握手。
在图4对应的示例性实施例中,按照后续版本TLS1.1、TLS 1.0、SSL3.0的顺序依次进行握手尝试,其中使用任一版本的标准SSL协议进行握手成功的情况下,转入步骤407,使用任一版本的标准SSL协议进行握手失败的情况下,顺序使用下一版本的标准SSL协议继续进行握手,直到预设版本顺序中的最后一个版本仍握手失败时,转入步骤405。其中,使用任一版本的标准SSL协议进行握手的具体过程本申请并不进行限制,详见相关技术公开的内容。
步骤405,使用国密SSL协议与网关设备握手。
在第二报文表明网关设备支持使用国密SSL协议进行握手或者步骤404中预设版本顺序中的最后一个版本仍握手失败的情况下,使用国密SSL协议与网关设备握手。其中,使用国密SSL协议与网关设备握手的具体过程本申请并不进行限制,详见相关技术公开的内容。
在使用国密SSL协议与网关设备握手成功的情况下,转入步骤407;否则,在使用国密SSL协议与网关设备握手失败的情况下,转入步骤406。
在一实施例中,在使用国密SSL协议与网关设备握手失败的情况下,转入步骤404,继续使用标准SSL协议的各个版本依次进行握手尝试。当步骤404中所有预设版本的标准SSL协议均握手失败后,转入步骤406。
步骤406,提示错误并退出握手过程。
上述握手失败表明客户端与网关设备之间并未成功建立隧道,因此客户端上提示错误并退出所有握手,结束隧道的家里过程。
在一个实施例中,上述提示错误可以采用多种形式,如客户端界面提醒或客户端设备的系统提醒等,上述客户端可以为安装在设备上的应用程序,如Web浏览器或其他可联网应用程序,也可以为客户端设备系统中内嵌的联网组件或应用程序的内嵌联网组件等,本申请对此并不进行限制。
在另一个实施例中,也可以不进行错误提示,而将上述握手失败的相关信息,如失败原因、失败对应的SSL协议版本、失败时间和/或累计失败次数等记录在客户端日志中,以便于客户端维护或问题查找。
在另一个实施例中,在握手失败并退出握手过程后,可以等待或开始响应客户端的下一隧道建立请求。
步骤407,使用成功建立的隧道进行业务。
上述握手成功表明客户端与网关设备之间已经成功建立隧道,因此可以使用成功建立的隧道进行通信业务。
值得说明的是,虽然图4中步骤406和步骤407具有相对的上下位置关系,但因为两步骤分别是握手失败和握手成功时执行的,因此在一个完整的握手过程中两步骤仅可能择一执行,实际上二者并不具有先后时序关系,不应理解为客户端执行完步骤406后继续执行步骤407,下图5的步骤505及步骤506与此相同,下文不再进行说明。
在一实施例中,执行完某次握手过程的步骤406或步骤407后,根据第二报文中所包含的提示信息,将上述网关设备的唯一标识信息与该网关设备是否支持使用国密SSL协议进行握手对应记录,以便于下次与同一网关设备进行握手时,不需要在第二报文中携带提示信息,而直接根据上述记录信息确定与该网关设备之间进行握手时使用的SSL协议,以进一步缩短本次握手之后再次建立隧道的握手时间。其中,上述网关设备的唯一标识信息可以包括:该网关设备的MAC地址、IP地址、设备型号标识和/或其他能够唯一区分该网关设备的信息。
结合图4的上述分析可知,在第一报文和第二报文属于握手报文的情况下,网关设备将自身是否支持国密SSL协议的信息包含在第二报文中发送给客户端,以告知后者是否可以采用国密SSL协议进行握手,在使用标准SSL协议握手的初始阶段就可能停止使用标准SSL协议进行的握手,而直接采用国密SSL协议进行握手,使得隧道建立的速度更快。
图5是本申请一示例性实施例示出的另一种建立SSL VPN隧道的方法对应过程中客户端与SSL VPN网关设备之间的交互流程图。在该示例性实施例中,客户端发送的第一报文及网关设备发送的第二报文都不属于握手报文。如图5所示,该方法可以包括以下步骤:
步骤501,客户端向网关设备发送第一报文。
在一个实施例中,上述第一报文中可以包含询问信息,该询问信息用于向网关设备询问其是否支持国密SSL协议进行握手。因为该第一报文并非属于握手报文,因此该第一报文中可以不包含握手所需的上述其他第一握手信息。
步骤502,接收网关设备发送的包含提示信息的第二报文,该提示信息用于表征网关设备是否支持使用国密SSL协议进行握手。
客户端接收到上述第二报文后,解析其中包含的提示信息,判断网关设备是否支持使用国密SSL协议进行握手。若上述网关设备支持使用国密SSL协议进行握手,则转入步骤504;否则,若上述网关设备不支持使用国密SSL协议进行握手,则转入步骤503;
步骤503,按照标准SSL协议的预设版本顺序,使用各版本标准SSL协议与网关设备进行握手。
与图4实施例不同的是,本实施例中从预设版本顺序的首个版本(TLS 1.2)开始尝试握手,这是因为本实施例中第一报文和第二报文均不属于握手报文,而只是为了确认网关设备是否支持使用国密SSL协议进行握手的确认报文,步骤503结束后,实际握手尚未开始。对于使用各版本标准SSL协议与网关设备进行握手的具体过程本申请并不进行限制,详见相关技术公开的内容。
步骤504,使用国密SSL协议与网关设备握手。
步骤505,提示错误并退出握手过程。
步骤506,使用成功建立的隧道进行业务。
上述步骤504、步骤505和步骤506分别与前述步骤405、步骤406和步骤407完全相同,此处不再赘述。
在一实施例中,执行完某次握手过程的步骤505或步骤506后,根据第二报文中所包含的提示信息,将上述网关设备的唯一标识信息与该网关设备是否支持使用国密SSL协议进行握手对应记录,以便于下次与同一网关设备进行握手之前,不再需要客户端与网关设备之间发送第一报文和第二报文,以进一步缩短本次握手之后再次建立隧道的握手时间。其中,上述网关设备的唯一标识信息可以包括:该网关设备的MAC地址、IP地址、设备型号标识和/或其他能够唯一区分该网关设备的信息。
采用图5所述的技术方案,在正式握手之前发送不属于握手报文的第一报文和第二报文,二者实际上独立于握手过程,只是使得客户端获知网关设备是否支持使用国密SSL进行握手,因而方案既提高了获知效率,又在一定程度上避免了使用低版本标准SSL协议尝试握手带来的安全隐患。
为了更清楚地说明本申请的SSL VPN隧道建立方案,下面再从网关设备的角度对本申请中建立隧道的过程进行说明。图6是本申请一示例性实施例示出的另一种建立SSLVPN隧道的方法的流程图。如图6所示,该方法应用于SSL VPN网关设备,可以包括以下步骤:
步骤601,接收客户端发送的第一报文。
建立隧道的握手由客户端主动发起。建立隧道的常规握手过程需要客户端与网关设备之间发送若干报文,这些报文被称为握手报文。客户端首先向网关设备发送第一报文,根据第一报文是否属于握手报文,该第一报文中包含的信息也有所不同。
在一实施例中,上述第一报文属于握手报文,则该第一报文中可以包含有标准SSL协议的任一版本标识,用于告知网关设备该次握手所使用的标准SSL协议的版本。其中,上述版本标识可以是该版本标准SSL协议的版本号、版本发布时间或能够将该版本标准SSL协议与其他版本标准SSL协议有效区分的其他标志信息,本申请对此并不进行限制。
在另一实施例中,上述第一报文不属于握手报文,该第一报文中可以包含询问信息,该询问信息用于向网关设备询问其是否支持使用国密SSL协议进行握手。
网关设备接收客户端发送来的第一报文。当接收到上述第一报文后,网关设备会对该第一报文进行解析,以获知该第一报文是否携带询问信息,从而确定该第一报文是否属于握手报文。具体的,在解析出该第一报文不包含询问信息的情况下,确定该第一报文属于握手报文;否则,当在解析出该第一报文包含询问信息的情况下,确定该第一报文不属于握手报文。
步骤602,向所属客户端发送包含提示信息的第二报文,所述提示信息表征所述SSL VPN网关设备是否支持使用国密SSL协议建立SSL VPN隧道。
网关设备接收到第一报文后,根据自身对于国密SSL协议的支持情况确定提示信息的内容,该提示信息用于表征网关设备是否支持使用国密SSL协议进行握手,然后将上述提示信息封装第二报文中并发送给客户端。
上述第二报文与接收到的第一报文相对应:在接收到的第一报文属于握手报文的情况下,向客户端发送的第二报文也属于握手报文,此时第二报文中除包含提示信息外,还可以包含其他第二握手信息,如加密算法的种类、网关设备产生的随机数、包含网关设备公钥的证书或者握手所需要的其他必要信息等,以便于高效顺利的进行后续握手过程;在接收到的第一报文不属于握手报文的情况下,向客户端发送的第二报文也不属于握手报文,此时第二报文中可以仅包含上述提示信息,以缩小第二报文携带的信息量,从而缩短第二报文长度以减轻通讯负荷。
在一实施例中,上述第一报文和第二报文属于握手报文,则上述提示信息可以位于第二报文的特定位置中,该特定位置可以包括第二报文的标准SSL协议HelloExtension扩展中的自定义字段、第二报文的标准SSL协议的Extensions扩展中的自定义字段或者其他能够携带上述提示信息的特定位置,本申请对此并不进行限制。
步骤603,在所述第二报文中包含的所述提示信息表征所述SSL VPN网关设备支持使用国密SSL协议建立SSL VPN隧道的情况下,与所述客户端配合建立SSL VPN隧道。
使用国密SSL协议与客户端配合握手的具体过程本申请并不进行限制,详见相关技术公开的内容。
在其他相应实施例中与客户端配合进行握手的详细过程,参见上述实施例的客户端侧描述,此处不再赘述。
图7是本申请一示例性实施例示出的一种电子设备的结构示意图。请参考图7,在硬件层面,该电子设备包括处理器701、内部总线702、网络接口703、内存704以及非易失性存储器705,当然还可能包括其他业务所需要的硬件。处理器701从非易失性存储器705中读取对应的计算机程序到内存704中并运行,在逻辑层面上形成建立SSL VPN隧道的装置。当然,除了软件实现方式之外,本申请并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
图8示出了本申请一示例性实施例示出的一种建立SSL VPN隧道的装置的框图。请参见图8,在软件实施方式中,该建立SSL VPN隧道的装置应用于客户端,可以包括第一发送单元801、第二接收单元802和国密建立单元803。其中:
第一发送单元801,用于向SSL VPN网关设备发送第一报文;
第二接收单元802,用于接收所述SSL VPN网关设备发送的包含提示信息的第二报文,所述提示信息表征所述SSL VPN网关设备是否支持使用国密SSL协议建立SSL VPN隧道;
国密建立单元803,用于在第二报文中包含的所述提示信息表征所述SSL VPN网关设备支持使用国密SSL协议建立SSL VPN隧道的情况下,使用国密SSL协议与所述SSL VPN网关设备建立SSL VPN隧道。
可选的,所述建立SSL VPN隧道的装置还包括:
标准建立单元804,用于在所述提示信息表征所述SSL VPN网关设备不支持使用国密SSL协议建立SSL VPN隧道的情况下,使用标准SSL协议与所述SSL VPN网关设备建立SSLVPN隧道。
可选的,在所述第一报文和第二报文属于SSL VPN隧道建立过程中的握手报文的情况下,所述第一报文中包含标准SSL协议的任一版本标识,所述标准建立单元804具体用于:
使用所述任一版本标识对应版本的标准SSL协议执行建立SSL VPN隧道的后续操作。
可选的,所述装置还包括:
隧道通信单元8041,用于在执行建立SSL VPN隧道的后续操作成功的情况下,使用建立的SSL VPN隧道与SSL VPN网关设备进行通信业务;
后续版本建立单元8042,用于在执行建立SSL VPN隧道的后续操作失败的情况下,按照标准SSL协议的预设版本顺序,使用所述任一版本标识对应版本的后续版本标准SSL协议与所述SSL VPN网关设备建立SSL VPN隧道,直至成功建立SSL VPN隧道。
可选的,在所述第一报文和第二报文不属于SSL VPN隧道建立过程中的握手报文的情况下,所述标准建立单元804具体用于:
按照标准SSL协议的预设版本顺序,依次使用各个版本的标准SSL协议与所述SSLVPN网关设备建立SSL VPN隧道,直至成功建立SSL VPN隧道。
在一实施例中,还提供了一种包括指令的非临时性计算机可读存储介质,例如包括指令的存储器,上述指令可由建立SSL VPN隧道的装置的处理器执行以完成上述方法,该方法可以包括:
向SSL VPN网关设备发送第一报文;
接收所述SSL VPN网关设备发送的包含提示信息的第二报文,所述提示信息表征所述SSL VPN网关设备是否支持使用国密SSL协议建立SSL VPN隧道;
在第二报文中包含的所述提示信息表征所述SSL VPN网关设备支持使用国密SSL协议建立SSL VPN隧道的情况下,使用国密SSL协议与所述SSL VPN网关设备建立SSL VPN隧道。
可选的,还包括:
在所述提示信息表征所述SSL VPN网关设备不支持使用国密SSL协议建立SSL VPN隧道的情况下,使用标准SSL协议与所述SSL VPN网关设备建立SSL VPN隧道。
可选的,在所述第一报文和第二报文属于SSL VPN隧道建立过程中的握手报文的情况下,所述第一报文中包含标准SSL协议的任一版本标识,所述使用标准SSL协议与所述SSL VPN网关设备建立SSL VPN隧道,包括:
使用所述任一版本标识对应版本的标准SSL协议执行建立SSL VPN隧道的后续操作。
可选的,使用所述任一版本标识对应版本的标准SSL协议执行建立SSL VPN隧道的后续操作后,还包括:
在执行建立SSL VPN隧道的后续操作成功的情况下,使用建立的SSL VPN隧道与SSL VPN网关设备进行通信业务;否则,
在执行建立SSL VPN隧道的后续操作失败的情况下,按照标准SSL协议的预设版本顺序,使用所述任一版本标识对应版本的后续版本标准SSL协议与所述SSL VPN网关设备建立SSL VPN隧道,直至成功建立SSL VPN隧道。
可选的,所述任一版本标识的标准SSL协议,包括:
按照预设版本顺序从所有标准SSL协议中选取的首个标准SSL协议;或者,
所述客户端上预设的特定版本的标准SSL协议。
可选的,在所述第一报文和第二报文不属于SSL VPN隧道建立过程中的握手报文的情况下,还包括:
按照标准SSL协议的预设版本顺序,依次使用各个版本的标准SSL协议与所述SSLVPN网关设备建立SSL VPN隧道,直至成功建立SSL VPN隧道。
可选的,还包括:
在发送所述第一报文之前,获取所述客户端的IP地址和所述SSL VPN网关设备的IP地址;
在所述客户端的IP地址和SSL VPN网关设备的IP地址都归属于中国的情况下,使用国密SSL协议与所述SSL VPN网关设备尝试建立SSL VPN隧道;否则,发送所述第一报文:
可选的,在所述第二报文属于SSL VPN隧道建立过程中的握手报文的情况下,还包括:
所述提示信息位于所述第二报文的HelloExtension扩展中的自定义字段中。图9是本申请一示例性实施例示出的另一种电子设备的结构示意图。请参考图9,在硬件层面,该电子设备包括处理器901、内部总线902、网络接口903、内存904以及非易失性存储器905,当然还可能包括其他业务所需要的硬件。处理器901从非易失性存储器905中读取对应的计算机程序到内存904中并运行,在逻辑层面上形成建立SSL VPN隧道的装置。当然,除了软件实现方式之外,本申请并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
图10示出了本申请一示例性实施例示出的一种建立SSL VPN隧道的装置的框图。请参见图8,在软件实施方式中,该建立SSL VPN隧道的装置应用于客户端,可以包括第一发送单元1001、第二接收单元1002和国密建立单元1003。其中:
第一发送单元1001,用于向SSL VPN网关设备发送第一报文;
第二接收单元1002,用于接收所述SSL VPN网关设备发送的包含提示信息的第二报文,所述提示信息表征所述SSL VPN网关设备是否支持使用国密SSL协议建立SSL VPN隧道;
国密建立单元1003,用于在第二报文中包含的所述提示信息表征所述SSL VPN网关设备支持使用国密SSL协议建立SSL VPN隧道的情况下,使用国密SSL协议与所述SSL VPN网关设备建立SSL VPN隧道。
在一实施例中,还提供了一种包括指令的非临时性计算机可读存储介质,例如包括指令的存储器,上述指令可由建立SSL VPN隧道的装置的处理器执行以完成上述方法,该方法可以包括:
向SSL VPN网关设备发送第一报文;
接收所述SSL VPN网关设备发送的包含提示信息的第二报文,所述提示信息表征所述SSL VPN网关设备是否支持使用国密SSL协议建立SSL VPN隧道;
在第二报文中包含的所述提示信息表征所述SSL VPN网关设备支持使用国密SSL协议建立SSL VPN隧道的情况下,使用国密SSL协议与所述SSL VPN网关设备建立SSL VPN隧道。
上述装置中各个单元的功能和作用的实现过程详见上述方法中对应步骤的实现过程,在此不再赘述。
对于上述装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
上述图8和图10实施例中的所述非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等,本申请并不对此进行限制。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (13)
1.一种建立SSL VPN隧道的方法,其特征在于,应用于客户端,所述方法包括:
在SSL握手过程中,向SSL VPN网关设备发送第一报文;
接收所述SSL VPN网关设备发送的包含提示信息的第二报文,所述提示信息表征所述SSL VPN网关设备是否支持使用国密SSL协议建立SSL VPN隧道;
在第二报文中包含的所述提示信息表征所述SSL VPN网关设备支持使用国密SSL协议建立SSL VPN隧道的情况下,使用国密SSL协议与所述SSL VPN网关设备建立SSL VPN隧道;
在发送所述第一报文之前,获取所述客户端的IP地址和所述SSL VPN网关设备的IP地址;
在所述客户端的IP地址和SSL VPN网关设备的IP地址都归属于中国的情况下,使用国密SSL协议与所述SSL VPN网关设备尝试建立SSL VPN隧道;否则,发送所述第一报文;
其中,所述第一报文和第二报文属于SSL VPN隧道建立过程中的握手报文。
2.根据权利要求1所述的方法,其特征在于,还包括:
在所述提示信息表征所述SSL VPN网关设备不支持使用国密SSL协议建立SSL VPN隧道的情况下,使用标准SSL协议与所述SSL VPN网关设备建立SSL VPN隧道。
3.根据权利要求2所述的方法,其特征在于,所述第一报文中包含标准SSL协议的任一版本标识,所述使用标准SSL协议与所述SSL VPN网关设备建立SSL VPN隧道,包括:
使用所述任一版本标识对应版本的标准SSL协议执行建立SSL VPN隧道的后续操作。
4.根据权利要求3所述的方法,其特征在于,还包括:
在执行建立SSL VPN隧道的后续操作成功的情况下,使用建立的SSL VPN隧道与SSLVPN网关设备进行通信业务;否则,
在执行建立SSL VPN隧道的后续操作失败的情况下,按照标准SSL协议的预设版本顺序,使用所述任一版本标识对应版本的后续版本标准SSL协议与所述SSL VPN网关设备建立SSL VPN隧道,直至成功建立SSL VPN隧道。
5.根据权利要求3所述的方法,其特征在于,所述任一版本标识的标准SSL协议包括:
按照预设版本顺序从所有标准SSL协议中选取的首个标准SSL协议;或者,
所述客户端上预设的特定版本的标准SSL协议。
6.根据权利要求1所述的方法,其特征在于,所述提示信息位于所述第二报文的HelloExtension扩展中的自定义字段中。
7.一种建立SSL VPN隧道的方法,其特征在于,应用于SSL VPN网关设备,所述方法包括:
在SSL握手过程中,接收客户端发送的第一报文;
向所述客户端发送包含提示信息的第二报文,所述提示信息表征所述SSL VPN网关设备是否支持使用国密SSL协议建立SSL VPN隧道;
在所述第二报文中包含的所述提示信息表征所述SSL VPN网关设备支持使用国密SSL协议建立SSL VPN隧道的情况下,与所述客户端配合建立SSL VPN隧道;
若所述客户端在发送所述第一报文之前,获取所述客户端的IP地址和所述SSL VPN网关设备的IP地址,并在所述客户端的IP地址和SSL VPN网关设备的IP地址都归属于中国的情况下,使用国密SSL协议与所述SSL VPN网关设备尝试建立SSL VPN隧道,则使用国密SSL协议配合所述客户端建立SSL VPN隧道;
其中,所述第一报文和第二报文属于SSL VPN隧道建立过程中的握手报文。
8.一种建立SSL VPN隧道的装置,其特征在于,应用于客户端,包括:
第一发送单元,用于在SSL握手过程中,向SSL VPN网关设备发送第一报文;
第二接收单元,用于接收所述SSL VPN网关设备发送的包含提示信息的第二报文,所述提示信息表征所述SSL VPN网关设备是否支持使用国密SSL协议建立SSL VPN隧道;
国密建立单元,用于在第二报文中包含的所述提示信息表征所述SSL VPN网关设备支持使用国密SSL协议建立SSL VPN隧道的情况下,使用国密SSL协议与所述SSL VPN网关设备建立SSL VPN隧道;
获取单元,用于在发送所述第一报文之前,获取所述客户端的IP地址和所述SSL VPN网关设备的IP地址;
建立单元,用于在所述客户端的IP地址和SSL VPN网关设备的IP地址都归属于中国的情况下,使用国密SSL协议与所述SSL VPN网关设备尝试建立SSL VPN隧道;否则,发送所述第一报文;
其中,所述第一报文和第二报文属于SSL VPN隧道建立过程中的握手报文。
9.一种建立SSL VPN隧道的装置,其特征在于,应用于SSL VPN网关设备,包括:
第一接收单元,用于在SSL握手过程中,接收客户端发送的第一报文;
第二发送单元,用于向所述客户端发送包含提示信息的第二报文,所述提示信息表征所述SSL VPN网关设备是否支持使用国密SSL协议建立SSL VPN隧道;
国密配合单元,用于在所述第二报文中包含的所述提示信息表征所述SSL VPN网关设备支持使用国密SSL协议建立SSL VPN隧道的情况下,与所述客户端配合建立SSL VPN隧道;
配合单元,用于若所述客户端在发送所述第一报文之前,获取所述客户端的IP地址和所述SSL VPN网关设备的IP地址,并在所述客户端的IP地址和SSL VPN网关设备的IP地址都归属于中国的情况下,使用国密SSL协议与所述SSL VPN网关设备尝试建立SSL VPN隧道,则使用国密SSL协议配合所述客户端建立SSL VPN隧道;
其中,所述第一报文和第二报文属于SSL VPN隧道建立过程中的握手报文。
10.一种电子设备,其特征在于,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为实现如权利要求1-6中任一项所述的方法。
11.一种计算机可读存储介质,其上存储有计算机指令,其特征在于,该指令被处理器执行时实现如权利要求1-6中任一项所述方法的步骤。
12.一种电子设备,其特征在于,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为实现如权利要求7所述的方法。
13.一种计算机可读存储介质,其上存储有计算机指令,其特征在于,该指令被处理器执行时实现如权利要求7所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911031451.0A CN110768988B (zh) | 2019-10-28 | 2019-10-28 | 一种建立ssl vpn隧道的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911031451.0A CN110768988B (zh) | 2019-10-28 | 2019-10-28 | 一种建立ssl vpn隧道的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110768988A CN110768988A (zh) | 2020-02-07 |
CN110768988B true CN110768988B (zh) | 2022-09-30 |
Family
ID=69334247
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911031451.0A Active CN110768988B (zh) | 2019-10-28 | 2019-10-28 | 一种建立ssl vpn隧道的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110768988B (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111988319B (zh) * | 2020-08-21 | 2023-05-26 | 杭州迪普科技股份有限公司 | 访问控制方法及装置 |
CN112714053B (zh) * | 2020-12-25 | 2022-09-16 | 北京天融信网络安全技术有限公司 | 通信连接方法及装置 |
CN113660341A (zh) * | 2021-08-18 | 2021-11-16 | 中电科航空电子有限公司 | 一种机载cmu与无线电通信电台之间的通信方法 |
CN114024745A (zh) * | 2021-11-04 | 2022-02-08 | 格尔软件股份有限公司 | 安全传输层协议检测方法、装置、计算机设备和存储介质 |
CN114553957B (zh) * | 2022-01-10 | 2024-05-24 | 网宿科技股份有限公司 | 兼容国密和国际https传输的业务系统和方法 |
CN114531272B (zh) * | 2022-01-10 | 2024-02-23 | 网宿科技股份有限公司 | 基于国密和国际算法的https请求的处理方法和装置 |
CN114978576A (zh) * | 2022-04-06 | 2022-08-30 | 黄子琦 | 一种国密/IPSec VPN共存的通信方法及其系统 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070074283A1 (en) * | 2005-09-26 | 2007-03-29 | Marian Croak | Method and apparatus for activating alternative virtual private network protocols |
CN101567880A (zh) * | 2008-04-21 | 2009-10-28 | 成都市华为赛门铁克科技有限公司 | 加密套件选择方法、装置和系统 |
US9537899B2 (en) * | 2012-02-29 | 2017-01-03 | Microsoft Technology Licensing, Llc | Dynamic selection of security protocol |
CN105306454A (zh) * | 2015-09-30 | 2016-02-03 | 北京奇虎科技有限公司 | 一种传输数据的方法及终端设备 |
CN108566361B (zh) * | 2018-01-05 | 2020-08-21 | 武汉信安珞珈科技有限公司 | 一种基于ssl/tls协议的安全参数协商方法和系统 |
-
2019
- 2019-10-28 CN CN201911031451.0A patent/CN110768988B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN110768988A (zh) | 2020-02-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110768988B (zh) | 一种建立ssl vpn隧道的方法及装置 | |
CN107623698B (zh) | 远程调试网络设备方法和装置 | |
CN104580553B (zh) | 网络地址转换设备的识别方法和装置 | |
TW201706901A (zh) | 用戶端登錄伺服器端的鑑別方法、裝置、系統及電子設備 | |
CN112671763B (zh) | 组网环境下的数据同步方法、装置、计算机设备及存储介质 | |
CN105791235B (zh) | 一种配置信息下载方法和设备 | |
CN109561054B (zh) | 一种数据传输方法、控制器及接入设备 | |
CN111565181A (zh) | 单一设备登录方法、服务端及客户端 | |
CN107294910B (zh) | 一种登录方法和服务器 | |
CN110619022B (zh) | 基于区块链网络的节点检测方法、装置、设备及存储介质 | |
CN106941418B (zh) | Ssl vpn配置信息的同步方法和装置 | |
CN113938474B (zh) | 一种虚拟机访问方法、装置、电子设备和存储介质 | |
CN108600225B (zh) | 一种认证方法及装置 | |
CN105991370B (zh) | 一种udp通道探测方法及装置 | |
US20160294558A1 (en) | Information collection system and a connection control method in the information collection system | |
US20160261719A1 (en) | Information processing system, control program, and control method | |
CN111030914A (zh) | 一种数据传输方法及数据传输系统 | |
CN115987660A (zh) | Vpn设备通信方法、装置、设备及存储介质 | |
CN112104513B (zh) | 可视化软件负载方法、装置、设备及存储介质 | |
CN105959251B (zh) | 一种防止nat穿越认证的方法及装置 | |
CN114491328A (zh) | 网站访问方法、设备、存储介质及装置 | |
CN113099511B (zh) | 网络配置方法、装置、设备和系统 | |
CN106936798B (zh) | 一种业务认证方法及装置 | |
CN109862012B (zh) | 一种设备接入的方法和设备 | |
WO2015070422A1 (zh) | 一种建立数据业务链路的方法和设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |