CN112822308B - 一种高速安全虚拟网络代理的方法及其系统 - Google Patents

Abstract

本发明公开了一种高速安全虚拟网络代理的方法及其系统，包括虚拟网卡、对流经虚拟网卡数据处理的客户端虚拟网卡处理模块；其特征在于：包括以下步骤：S10、客户端将流经虚拟网卡的请求数据转换、封装发送至网关；S20、所述网关接受到步骤S10中的数据包，并把此数据包解封后由代理连接发至应用系统；S30、所述应用系统将步骤S20中的数据包由代理连接返回网关；S40、所述网关将步骤S30中的数据包封装，返回客户端。本发明的高速安全虚拟网络代理的方法及其系统，能够高效率地解决数据报文封装和转发问题。

Description

一种高速安全虚拟网络代理的方法及其系统

技术领域

本发明属于网络代理技术领域，具体涉及高速安全虚拟网络代理的方法及其系统。

背景技术

随着Internet技术高速发展，5G、物联网时代的到来，企业不断被迫重构安全边界，软件定义边界（SoftwareDefined Perimeter）是一个能够为OSI七层协议栈提供安全防护的网络安全架构，SDP 可实现资产隐藏，并在允许连接到隐藏资产之前使用单个数据包通过单独的控制和数据平面建立信任连接，使用 SDP 实现的零信任网络使组织能够防御旧攻击方法的新变种，这些新变种攻击方法不断出现在现有的以网络和基础设施边界为中心的网络模型中；

SDP架构体系中，网关承担着接入（Access）、认证（Authority）、审计（Audit）等重要功能，保证客户端与网关之间网络传输的安全性与高效性，是研发与实施SDP标准的重要课题；

现有的加密传输技术主要分两种，一是以OpenVPN为代表的基于SSL/TLS的虚拟网隧道传输技术，二是以IPsec为代表的互联网安全协议传输技术；

OpenVPN是一个开源的加密隧道构建工具，基于OpenSSL的SSL/TLS协议，可以在互联网中实现点对点的VPN安全连接；OpenVPN提供两种类型的虚拟网络接口，分别用于建立IP隧道及以太网桥接；除了对传输与控制数据的加密使用了OpenSSL库支持的所有算法，OpenVPN还提供了多种身份验证方式，用于确认参与连接双方的身份，包括：预享私钥、基于PKI的第三方证书，及用户名/密码组合；

IPsec协议工作在OSI模型的第三层，使其在单独使用时适于保护基于TCP或UDP的协议；这就意味着，与传输层或更高层的协议相比，IPsec协议必须处理可靠性和分片的问题，这同时也增加了它的复杂性和处理开销；相对而言，SSL/TLS依靠更高层的TCP（OSI的第四层）来管理可靠性和分片；IPsec协议提供了完整的安全协议，包括AH（AuthenticationHeader）、ESP（Encapsulated Security Payload），有效防止了非法入侵，确保了通信不被篡改。密钥管理协议（ISAKMP）提供共享安全信息，包括密钥及密钥有效期、转码方式、密钥交换等；

类似OpenVPN这种基于SSL/TLS的虚拟网技术是通过虚拟网络接口将操作系统协议栈中传输的数据传递至用户层，进行SSL/TLS加密，且外层用TCP或UDP封装后，再次投递入操作系统协议栈进行传输的技术；这种技术存在4个缺点，一是协议封装的过程会造成性能损失较大，协议有效载荷占比降低；二是虚拟网络接口技术的应用造成频繁用户态与内核态的切换与内存拷贝，在服务端的影响尤甚，极大影响数据吞吐量；三是数据报文的加密和解密占用了大量处理能力，造成处理时延增大；四是协议封装处理逻辑需随业务传输协议调整，TCP报文需以UDP协议封装，UDP报文需以TCP协议封装，否则会造成数据重传风暴或数据丢失，这种不统一会在实际部署应用时增加复杂度；

IPsec工作在网络层，任何基于IP的协议都能够通过它进行传输，IPsec中与应用程序无关的设计也是它的弱点，虽然它提供了认证、授权和加密，同时还基本上把公司网络拓展到任何远程用户，但是它没有能在一定粒度级别上限制对资源的访问；一旦隧道建立，远程用户通常可以访问公司的任何资源，就像他们是直接连接到公司网络一样，另外，IPsec也需要更多的维护，除了需要建立终止通道的设备，还需要额外的配置和维护来支持远程用户群，在公司使用网络地址解析（NAT）的情况下，还需要特殊的配置确保IPsec与NAT设置充分协调；

目前主流VPN代理软件基本是基于两种技术，一是基于OpenVPN这种X协议封装Y协议的方式，另一种是基于IPSec的方式，现有技术存在的主要问题是效率不高，由于必须将三、四层协议封装造成大量的协议转换、校验和计算，还可能造成多余的数据包重传，另外OpenVPN必须借助到虚拟网络接口的直接读写二层网络数据能力，在大数据量并发的情况下虚拟网络接口设备效率不佳，成为系统性能瓶颈。

发明内容

本发明的目的在于提供一种高速安全虚拟网络代理的方法及其系统，以解决大数据量并发的情况下虚拟网络接口设备效率不佳的问题。

为实现上述目的，本发明提供如下技术方案：本发明的一种高速安全虚拟网络代理的方法，包括以下步骤：

S10、客户端将流经虚拟网卡的请求数据通过客户端虚拟网卡处理模块进行转换、封装，发送至网关；

S20、所述网关接收到步骤S10中的数据包，并把此数据包解封后由代理连接发至应用系统；

S30、所述应用系统服务端将步骤S20中的数据包由代理连接返回网关；

S40、所述网关将步骤S30中的数据包封装，返回客户端。

本发明能够高效率地解决数据报文封装和转发问题，对于TCP和UDP协议的应用，摈弃效率低下的虚拟网络接口方式，传输效率得以得到极大提升；协议头精简，封装与解封效率高；底层传输采用TCP，无需像OpenVPN那样需要根据传输数据调整底层传输协议；网关无需虚拟网络接口，避免虚拟网络接口设备并发效率不足及大量内核态与用户态转换造成的效率瓶颈，与IPSec相比，本发明是纯软件实现的安全隧道传输技术，无需额外配置或专用网络设备投资。

上述所述S10中转换包括以下步骤：

S11、所述客户端预先绑定虚拟网卡IP，并把应用系统IP添加到路由信息中，在指定端口启动监听；

S12、客户端发起请求，所述客户端从虚拟网卡读取到数据包；

S13、所述客户端虚拟网卡处理模块将数据包中的源IP与目的IP交换，并将目的IP的端口修改为指定端口，写回虚拟网卡；

S14、写回所述虚拟网卡的数据包被监听端口接收，创建新socket连接；并使用所述新socket连接接收数据。

步骤S12中，发起请求的数据包中包含源IP、源端口、目的IP、目的端口。

步骤S14中，数据包为三层数据包，包括IP头、TCP头以及payload。

步骤S14中，数据包通过GT协议封装，所述GT协议中携带发起请求的源端口，并发送至网关。

步骤S40中，具体包括以下步骤：

S41、所述网关返回GT协议封装的数据包；

S42、根据步骤S41数据包中的源端口匹配客户端监听创建的连接会话socket，剥离GT协议头，将数据写回会话socket。

步骤S40中，还包括以下步骤：

S43、根据步骤S11中预先添加的路由信息，所述步骤S42中的数据包流经虚拟网卡；

S44、所述客户端虚拟网卡处理模块读取到步骤S43中的数据包；并将此数据包中的源IP与目的IP交换,写回虚拟网卡；

S45、所述步骤S44中的数据包通过操作系统协议栈返回客户端程序；

上述GT协议格式包括：

GT协议头定长64bit，其中：Package_Type、Package_Length、Control_Type/Proxy_Id、Data_Length各占用16bit；

Package_Type枚举值：CONTROL、IP、TCP、UDP,

Package_Type=CONTROL时，Control_Type/Proxy_Id填充Control_Type，

Control_Type枚举值：KEEPALIVE、PREPARE、CONFIRM、NETCONF、PROXYOPEN、PROXYCLOSE、PROXYREADY、SESSIONCLOSE、PASSTHROUTH。

上述Package_Type!=CONTROL时，客户端操作系统分配给应用程序的随机端口号的唯一映射号；

若Data在Package_Type为CONTROL时，Data以json格式字串表示控制请求；

在Package_Type为非CONTROL时，Data保存二进制的数据段。

本发明的一种高速安全虚拟网络代理系统，包括网络接口、存储器和处理器；所述网络接口，用于在与其他外部网元之间进行收发信息过程中，信号的接收和发送；所述存储器，用于存储能够在所述处理器上运行的计算机程序；所述处理器，用于在运行所述计算机程序时，执行高速安全虚拟网络代理的方法的步骤。

本发明有如下优点：

1、代理连接的打开，由客户端向目标主机发送的第一个SYN包触发，网关通过判断客户端权限规则确定是否与目标主机建立代理连接，网关建立好代理连接后，数据交互不再进行权限判断，大幅提升数据交互效率；

2、客户端转换与封装过程的创新之处是，将虚拟网卡的读写与端口监听结合起来，将数据封装于GT协议中，代理连接id置为客户端应用程序唯一映射号，完成数据转发过程；由于采用该代理转发机制，使得服务端在传输TCP和UDP数据时无需配置虚拟网络接口设备，避免了由于虚拟网络接口设备的频繁读写造成的性能损失；

3、GT协议头的创新之处在于对于本代理转发场景，协议头只有8个字节，复用了第3个字节，可以实现控制消息请求功能和IP、TCP或UDP数据转发，效率高于OpenVPN等软件。

附图说明

图1为本发明的流程图；

图2为本发明客户端转换与封装流程图；

图3为本发明tcp/udp收包流程图；

图4为本发明网关转发流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明提供了如图1中所示的一种高速安全虚拟网络代理的方法，包括以下流程步骤：

（1） 客户端向网关发起连接；

（2） 连接成功后客户端向网关发起代理打开请求；

（3） 网关接收代理打开请求，向应用系统发起连接；

（4） 连接成功，则网关向客户端返回代理打开成功通知；

（5） 客户端接收到代理打开成功通知，向网关传输以GT协议封装后的数据；

（6） 网关接收到客户端的数据，解封GT协议头，将此数据转发至应用系统；

（7） 应用系统返回数据至网关；

（8） 网关将此数据进行GT协议封装，转发客户端；

（9） 数据传输完毕，网关关闭代理，并将代理关闭请求发至客户端；

（10）客户端关闭本次代理连接；

客户端转换与封装过程：

本实施例中，客户端虚拟网卡绑定ip为172.16.0.5，应用系统ip为10.10.10.10，事先添加路由route add -host 10.10.10.10 gw 172.16.0.5 ，并在端口33333上启动监听，本实施例中，应用为浏览器，浏览器访问位于10.10.10.10的网页。

参见图2-图3，转换与封装过程如下：

tcp/udp发包：

（1） 浏览器发起HTTP请求，数据包源ip:port是172.16.0.5：54321，目的ip:port是10.10.10.10:80；

（2） 客户端从虚拟网卡读取数据包；

（3） 客户端将源ip与目的ip交换，且将目的ip的port修改为33333，写回虚拟网卡；

（4） 写回虚拟网卡的数据包会被监听端口accept，创建socket连接；

（5） 数据由该socket接收；

（6） 客户连接网关服务以GT协议封装该数据包，GT协议中携带发起请求的源端口54321的唯一映射号，发送至网关；

tcp/udp收包：

（1） 网关返回GT协议封装的数据包，GT协议Package_Type为TCP或UDP，Proxy_ID为54321的唯一映射号；

（2） 根据Proxy_ID=54321的唯一映射号找到客户端监听创建的连接会话socket，剥离GT协议头，将数据写回该会话socket；

（3）根据预先添加的路由信息，该数据包流经虚拟网卡，此时数据包的源地址为172.16.0.5:54321，目的地址为172.16.0.5:33333；

（4） 步骤3的数据包被客户端虚拟网卡处理模块读取；

（5） 客户端虚拟网卡处理模块改写源地址为10.10.10.10:80，目的地址为172.16.0.5:54321,写回虚拟网卡；

（6） 数据包通过操作系统协议栈返回浏览器；

参见图4，网关转发过程：

（1）客户端将GT协议封装的数据报文发至网关；

（2）网关接收数据包，解封后经由代理连接发至应用系统；

（3）应用系统将数据包经由代理连接返回网关；

（4）网关将数据包以GT协议封装，返回客户端；

（5 ）GT协议格式：

GT协议头定长64bit，其中：Package_Type、Package_Length、Control_Type/Proxy_Id、Data_Length各占用16bit；

Package_Type枚举值：CONTROL、IP、TCP、UDP,

Package_Type=CONTROL时，Control_Type/Proxy_Id填充Control_Type，

Control_Type枚举值：KEEPALIVE、PREPARE、CONFIRM、NETCONF、PROXYOPEN、PROXYCLOSE、PROXYREADY、SESSIONCLOSE、PASSTHROUTH。

描述如下：

KEEPALIVE：保活流程

PREPARE：预处理流程

CONFIRM：确认流程

NETCONF：客户端网络配置

PROXYOPEN：代理打开

PROXYCLOSE：代理关闭

PROXYREADY：代理准备完成

SESSIONCLOSE：会话关闭

PASSTHROUTH：透传流程

Package_Type!=CONTROL时，Control_Type/Proxy_Id填充Proxy_Id，即客户端操作系统分配给应用的随机端口号的唯一映射号。

Data在Package_Type为CONTROL时，Data以json格式字串表示控制请求；在Package_Type为非CONTROL时，Data保存二进制的数据段，用于数据转发。

一种高速安全虚拟网络代理的装置，所述装置包括：

虚拟网卡模块；

客户端虚拟网卡处理模块：用于对流经虚拟网卡模块的数据进行转换、封装、解析。

最后应说明的是：以上所述仅为本发明的优选实施例而已，并不用于限制本发明，尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换,凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (6)

1.一种高速安全虚拟网络代理的方法，其特征在于：包括以下步骤：

S10、客户端将流经虚拟网卡的请求数据通过客户端虚拟网卡处理模块进行转换、封装，发送至网关；

S20、所述网关接收到步骤S10中的数据包，并把此数据包解封后由代理连接发至应用系统；

S30、所述应用系统将步骤S20中的数据包由代理连接返回网关；

S40、所述网关将步骤S30中的数据包封装，返回客户端；所述S10中转换包括以下步骤：

S11、所述客户端预先绑定虚拟网卡IP，并把应用系统IP添加到路由信息中，在指定端口启动监听；

S12、客户端发起请求，所述客户端从虚拟网卡读取到数据包；

S13、所述客户端虚拟网卡处理模块将数据包中的源IP与目的IP交换，并将目的IP的端口修改为指定端口，写回虚拟网卡；

S14、写回所述虚拟网卡的数据包被监听端口接收，创建新socket连接；并使用所述新socket连接接收数据；步骤S14中，数据包为三层数据包，包括IP头、TCP头以及payload；步骤S14中，数据包通过GT协议封装，所述GT协议中携带发起请求的源端口，并发送至网关；步骤S40中，具体包括以下步骤：

S41、所述网关返回GT协议封装的数据包；

S42、根据步骤S41数据包中的源端口匹配客户端监听创建的连接会话socket，剥离GT协议头，将数据写回会话socket。

2.根据权利要求1所述的一种高速安全虚拟网络代理的方法，其特征在于：步骤S12中，发起请求的数据包中包含源IP、源端口、目的IP、目的端口。

3.根据权利要求1所述的一种高速安全虚拟网络代理的方法，其特征在于：步骤S40中，还包括以下步骤：

S43、根据步骤S11中预先添加的路由信息，所述步骤S42中的数据包流经虚拟网卡；

S44、所述客户端虚拟网卡处理模块读取到步骤S43中的数据包；并将此数据包中的源IP与目的IP交换,写回虚拟网卡；

S45、所述步骤S44中的数据包通过操作系统协议栈返回客户端程序。

4.根据权利要求1所述的一种高速安全虚拟网络代理的方法，其特征在于：所述GT协议格式包括：

GT协议头定长64bit，其中：Package_Type、Package_Length、Control_Type/Proxy_Id、Data_Length各占用16bit；

Package_Type枚举值：CONTROL、IP、TCP、UDP,

Package_Type=CONTROL时，Control_Type/Proxy_Id填充Control_Type，

Control_Type枚举值：KEEPALIVE、PREPARE、CONFIRM、NETCONF、PROXYOPEN、PROXYCLOSE、PROXYREADY、SESSIONCLOSE、PASSTHROUTH。

5.根据权利要求4所述的一种高速安全虚拟网络代理的方法，其特征在于：所述Package_Type!=CONTROL时，客户端操作系统分配给应用程序的随机端口号的唯一映射号；

若Data在Package_Type为CONTROL时，Data以json格式字串表示控制请求；

在Package_Type为非CONTROL时，Data保存二进制的数据段。

6. 一种高速安全虚拟网络代理系统，其特征在于，包括网络接口、存储器和处理器；所述网络接口，用于在与其他外部网元之间进行收发信息过程中，信号的接收和发送；所述存储器，用于存储能够在所述处理器上运行的计算机程序；所述处理器，用于在运行所述计算机程序时，执行权利要求1至5 任一项所述高速安全虚拟网络代理的方法的步骤。

Images