CN114666186B - Ssl vpn资源访问方法及装置 - Google Patents
Ssl vpn资源访问方法及装置 Download PDFInfo
- Publication number
- CN114666186B CN114666186B CN202210295792.4A CN202210295792A CN114666186B CN 114666186 B CN114666186 B CN 114666186B CN 202210295792 A CN202210295792 A CN 202210295792A CN 114666186 B CN114666186 B CN 114666186B
- Authority
- CN
- China
- Prior art keywords
- vpn
- address
- ipv4
- ipv6
- network card
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/741—Routing in networks with a plurality of addressing schemes, e.g. with both IPv4 and IPv6
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及一种SSL VPN资源访问方法和装置,该方法包括:在VPN客户端处创建IPv4虚拟网卡和IPv6虚拟网卡;VPN客户端基于与其认证连接的VPN服务器向其下发的IPv4地址和IPv6地址以及IPv4类和IPv6类的VPN资源路由信息,分别对应地为虚拟网卡进行配置;VPN客户端基于所接收到VPN资源请求的类型形成IPv4类或IPv6类数据请求,并将所述IPv4类或IPv6类数据请求向VPN服务器进行发送;VPN客户端接收并解密和解包VPN服务器发送的针对IPv4类或IPv6类数据请求的响应报文,以便IPv4虚拟网卡采用针对IPv4类数据请求的响应报文中包含的响应数据对用户的请求进行响应,以及IPv6虚拟网卡采用针对IPv6类数据请求的响应报文中包含的响应数据对用户的请求进行响应。
Description
技术领域
本公开涉及VPN技术领域,具体而言,涉及一种SSL VPN资源访问方法及装置。
背景技术
VPN属于远程访问技术,简单地说就是利用公用网络架设专用网络。目前常用的主要有PPTP,L2TP,IPSEC,SSL等几种VPN技术。
VPN是一种在公共网络上构建临时的、安全的逻辑网络的技术,利用 VPN技术可以实现远程访问,由于其利用了现有的公共网络资源,从而节省了企业租用运营商跨省、跨海专线的费用。具体而言,企业分支机构处的网络通过VPN接入企业总部的网络后,如同与总部网络处于同一个局域网内,可以访问总部网络所能访问的各项资源;此外,VPN技术还可以通过对数据进行加密传送以保证企业内部数据不在网络(尤其是公共网络)上被窃取。SSL VPN就是一种基于安全套接层协议建立远程安全访问通道的VPN技术。
IPv4作为第一个被广泛使用的互联网协议,是构成现今互联网技术的基础的协议,但随着互联网的快速发展,IPv4地址已接近枯竭,IPv6的应用将会越来越宽泛。这使得VPN技术需要同时支持IPv4和IPv6两种方式进行业务访问。
当采用单一方式(IPv4或者IPv6)来连接SSL VPN服务器以实现单一的 IPv4或者IPv6业务访问时,用户通过IPv4方式连接登录SSL VPN成功后只能访问IPv4业务;同理,使用IPv6方式连接登录VPN成功后只能访问IPv6 业务,无法实现同时访问IPv4和IPv6业务。
此外,若在一个虚拟网卡上同时配置IPv4地址和IPv6地址、DNS等信息来实现IPv4和IPv6业务,由于只使用了一个虚拟网卡,只能相应地采用一个进程或者线程从虚拟网卡读取报文进行加密,此种方式的加密性能低。
因此,需要一种无需进行连接切换即可实现IPv4和IPv6两种类型资源访问的SSLVPN资源访问方法及装置。
发明内容
有鉴于此,本公开提供一种SSL VPN资源访问方法及装置。根据本公开的一方面,提出一种SSL VPN资源访问方法,该方法包括:在VPN客户端处创建IPv4虚拟网卡和IPv6虚拟网卡;VPN客户端基于与其认证连接的VPN 服务器向其下发的IPv4地址和IPv6地址,分别对应地为所述IPv4虚拟网卡配置IPv4地址和DNS地址和为所述IPv6虚拟网卡配置IPv6地址和DNS地址;VPN客户端基于所述VPN服务器向其下发的IPv4类和IPv6类的VPN 资源的类别,将所接收到的IPv4类VPN资源所包含的IPv4虚拟地址、DNS 地址及其VPN资源路由信息下发到所述IPv4虚拟网卡以及将所接收到的 IPv6类VPN资源所包含的IPv6虚拟地址、DNS地址及其VPN资源路由信息下发到所述IPv6虚拟网卡;VPN客户端判断从用户接收到的VPN资源请求的类型,并在所述VPN资源请求为IPv4业务时,则通过IPv4虚拟网卡采用其IPv4地址及其VPN资源路由信息对所述VPN资源请求进行重新组包和加密形成IPv4类数据请求报文并经由VPN客户端添加包含VPN客户端的物理IP地址作为源IP地址以及VPN服务器的地址作为目的地IP的包头,以及在所述VPN资源请求为IPv6业务时,则通过IPv6虚拟网卡采用其IPv6地址及其VPN资源路由信息对所述VPN资源请求进行重新组包和加密形成IPv6 类数据请求报文并经由VPN客户端添加包含VPN客户端的物理IP地址作为源IP地址以及VPN服务器的地址作为目的地IP的包头,从而发送到VPN 服务器;VPN客户端接收并解密和解包VPN服务器发送的针对IPv4类数据请求报文或IPv6类数据请求报文的数据响应报文,以便IPv4虚拟网卡采用针对IPv4类数据请求报文的数据响应报文中包含的响应数据对用户的请求进行响应,以及IPv6虚拟网卡采用针对IPv6类数据请求报文的数据响应报文中包含的响应数据对用户的请求进行响应。
根据本公开的SSL VPN资源访问方法,其还包括:在VPN服务器与VPN 客户端进行认证连接后,当VPN侧用户地址池中配置IPv4地址和IPv6地址时,则向VPN客户端下发IPv4虚拟地址、DNS地址及IPv4类VPN资源路由信息以及IPv6虚拟地址、DNS地址及IPv6类VPN资源路由信息;当VPN 侧用户地址池中仅配置IPv4地址时,则仅向VPN客户端下发IPv4虚拟地址、 DNS地址及IPv4类VPN资源路由信息;当VPN侧用户地址池中仅配置IPv6 地址时,则仅向VPN客户端下发IPv6虚拟地址、DNS地址及IPv6类VPN 资源路由信息。
根据本公开的SSL VPN资源访问方法,其还包括:VPN服务器接收并解密和解包VPN客户端发送的IPv4类数据请求报文或IPv6类数据请求报文,将所述IPv4类数据请求报文或IPv6类数据请求报文包含的VPN资源请求转发至VPN资源服务器;VPN服务器接收并加密所述VPN资源服务器返回的针对VPN资源请求的响应数据形成数据响应报文,并经由VPN服务器的物理网卡添加包含VPN服务器的IP地址作为源IP地址以及VPN客户端的物理IP地址作为目的地IP的包头,从而发送到VPN客户端。
根据本公开的SSL VPN资源访问方法,其还包括:VPN客户端为所述 IPv4虚拟网卡和所述IPv6虚拟网卡绑定不同的CPU内核。
根据本公开的SSL VPN资源访问方法,其还包括:在VPN客户端退出时,删除所述IPv4虚拟网卡和所述IPv6虚拟网卡中的虚拟地址、DNS地址及VPN资源路由信息。
根据本公开的另一方面,提出一种SSL VPN资源访问装置,该装置包括: VPN客户端虚拟网卡创建组件,用于在VPN客户端处创建IPv4虚拟网卡和 IPv6虚拟网卡;VPN客户端虚拟网卡配置组件,用于在VPN客户端基于与其认证连接的VPN服务器向其下发的IPv4地址和IPv6地址后,分别对应地为所述IPv4虚拟网卡配置IPv4地址和DNS地址和为所述IPv6虚拟网卡配置 IPv6地址和DNS地址;VPN客户端资源路由信息下发组件,用于VPN客户端基于所述VPN服务器向其下发的IPv4类和IPv6类的VPN资源的类别,将所接收到的IPv4类VPN资源所包含的IPv4虚拟地址、DNS地址及其VPN 资源路由信息下发到所述IPv4虚拟网卡以及将所接收到的IPv6类VPN资源所包含的IPv6虚拟地址、DNS地址及其VPN资源路由信息下发到所述IPv6 虚拟网卡;VPN客户端资源请求组件,用于VPN客户端判断从用户接收到的VPN资源请求的类型,并在所述VPN资源请求为IPv4业务时,则通过IPv4 虚拟网卡采用其IPv4地址及其VPN资源路由信息对所述VPN资源请求进行重新组包和加密形成IPv4类数据请求报文并经由VPN客户端添加包含VPN 客户端的物理IP地址作为源IP地址以及VPN服务器的地址作为目的地IP 的包头,以及在所述VPN资源请求为IPv6业务时,则通过IPv6虚拟网卡采用其IPv6地址及其VPN资源路由信息对所述VPN资源请求进行重新组包和加密形成IPv6类数据请求报文并经由VPN客户端添加包含VPN客户端的物理IP地址作为源IP地址以及VPN服务器的地址作为目的地IP的包头,从而发送到VPN服务器;VPN客户端资源请求响应组件,用于VPN客户端接收并解密和解包VPN服务器发送的针对IPv4类数据请求报文或IPv6类数据请求报文的数据响应报文,以便IPv4虚拟网卡采用针对IPv4类数据请求报文的数据响应报文中包含响应数据对用户的请求进行响应,以及IPv6虚拟网卡采用针对IPv6类数据请求报文的数据响应报文中包含的响应数据对用户的请求进行响应。
根据本公开的SSL VPN资源访问装置,其还包括:VPN服务器虚拟地址及VPN资源路由信息下发组件,用于在VPN服务器与VPN客户端进行认证连接后:当VPN侧用户地址池中配置IPv4地址和IPv6地址时,则向VPN 客户端下发IPv4虚拟地址、DNS地址及IPv4类VPN资源路由信息以及IPv6 虚拟地址、DNS地址及IPv6类VPN资源路由信息;当VPN侧用户地址池中仅配置IPv4地址时,则仅向VPN客户端下发IPv4虚拟地址、DNS地址及IPv4 类VPN资源路由信息;当VPN侧用户地址池中仅配置IPv6地址时,则仅向 VPN客户端下发IPv6虚拟地址、DNS地址及IPv6类VPN资源路由信息。
根据本公开的SSL VPN资源访问装置,其还包括:VPN服务器数据请求报文处理组件,用于VPN服务器接收并解密和解包VPN客户端发送的IPv4 类数据请求报文或IPv6类数据请求报文,将所述IPv4类数据请求报文或IPv6 类数据请求报文包含的VPN资源请求转发至VPN资源服务器;VPN服务器数据响应报文形成组件,用于VPN服务器接收并加密所述VPN资源服务器返回的针对VPN资源请求的响应数据形成数据响应报文,并经由VPN服务器的物理网卡添加包含VPN服务器的IP地址作为源IP地址以及VPN客户端的物理IP地址作为目的地IP的包头,从而发送到VPN客户端。
根据本公开的SSL VPN资源访问装置,其VPN客户端虚拟网卡创建组件还用于:VPN客户端为所述IPv4虚拟网卡和所述IPv4虚拟网卡绑定不同的CPU内核。
根据本公开的SSL VPN资源访问装置,其VPN客户端虚拟网卡配置组件,还用于:在VPN客户端退出时,删除所述IPv4虚拟网卡和所述IPv6虚拟网卡中的虚拟地址、DNS地址及VPN资源路由信息。
综上所述,采用本公开的SSL VPN资源访问方法及装置,VPN服务器支持双栈地址池和资源配置,能够根据用户资源配置下发对应资源。VPN客户端创建两个分别用于IPv4业务和IPv6业务的虚拟网卡,通过下发IPv4虚拟地址给IPv4虚拟网卡以及IPv6虚拟地址给IPv6虚拟网卡,对两类报文分别进行加密封装处理,在公共网络只支持IPv4或者IPv6的其中一种单一方式时,用户无需进行连接方式的切换,通过服务端的资源配置即可以实现双栈业务的访问。具体而言,IPv4类VPN资源请求通过IPv4虚拟网卡进行访问, IPv6类VPN资源请求通过IPv6虚拟网卡进行访问,由于采用两个进程或者线程分别读取IPv4虚拟网卡报文和IPv6虚拟网卡报文进行加密发送到VPN 服务器,两个线程或者进程绑定不同的CPU,还提升了读取报文性能和加密性能。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本公开。
附图说明
通过参照附图详细描述其示例实施例,本公开的上述和其它目标、特征及优点将变得更加显而易见。下面描述的附图仅仅是本公开的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1所示的是根据本公开实施例的SSL VPN资源访问方法的流程示意图。
图2所示的是根据本公开实施例的SSL VPN资源访问方法中的VPN客户端处理资源访问请求的流程示意图。
图3所示的是根据本公开实施例的SSL VPN资源访问方法中的VPN客户端处理资源访问响应的流程示意图。
图4所示的是根据本公开实施例的SSL VPN资源方法中的VPN服务器下发虚拟地址的流程示意图。
图5所示的是根据本公开实施例的SSL VPN资源访问方法中的VPN服务器向VPN客户端下发VPN资源的流程示意图。
图6所示的是根据本公开实施例的SSL VPN资源访问方法中的VPN服务器处理资源访问请求的流程示意图。
图7所示的是本公开实施例的SSL VPN资源访问装置中的VPN客户端的原理示意图。
图8所示的是本公开实施例的SSL VPN资源访问装置中的VPN服务器的原理示意图。
具体实施方式
现在将参考附图更全面地描述示例实施例。然而,示例实施例能够以多种形式实施,且不应被理解为限于在此阐述的实施例;相反,提供这些实施例使得本公开将全面和完整,并将示例实施例的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。
此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中,提供许多具体细节从而给出对本公开的实施例的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而没有特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知方法、系统、实现或者操作以避免模糊本公开的各方面。
附图中所示的方框图仅仅是功能实体,不一定必须与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和操作/ 步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解,而有的操作/步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
本领域技术人员可以理解,附图只是示例实施例的示意图,附图中的模块或流程并不一定是实施本公开所必须的,因此不能用于限制本公开的保护范围。
图1所示的是根据本公开实施例的SSL VPN资源访问方法的流程示意图。
如图1所示,在步骤S102中,在VPN客户端处创建IPv4虚拟网卡和IPv6 虚拟网卡。所述IPv4虚拟网卡用于IPv4类VPN资源的业务访问,所述IPv6 虚拟网卡用于IPv6类VPN资源的业务访问。
在步骤S104中,VPN客户端基于与其认证连接的VPN服务器向其下发的IPv4地址和IPv6地址,分别对应地为所述IPv4虚拟网卡配置IPv4地址和 DNS地址和为所述IPv6虚拟网卡配置IPv6地址和DNS地址。
更具体的,本公开实施例的SSL VPN资源访问方法支持用户通过浏览器使用IPv4或者IPv6地址中的任意一种连接方式进行VPN用户认证登录。登录时先进行加密协议和算法协商,然后进行用户认证。用户认证登录成功后, VPN服务器根据用户地址池资源配置情况进行IP地址的下发。
在步骤S106中,VPN客户端基于所述VPN服务器向其下发的IPv4类和 IPv6类的VPN资源的类别,将所接收到的IPv4类VPN资源所包含的IPv4 虚拟地址、DNS地址及其VPN资源路由信息下发到所述IPv4虚拟网卡以及将所接收到的IPv6类VPN资源所包含的IPv6虚拟地址、DNS地址及其VPN 资源路由信息下发到所述IPv6虚拟网卡。
在步骤S108中,VPN客户端判断从用户接收到的VPN资源请求的类型,并在所述VPN资源请求为IPv4业务时,则通过IPv4虚拟网卡采用其IPv4 地址及其VPN资源路由信息对所述VPN资源请求进行重新组包和加密形成 IPv4类数据请求报文并经由VPN客户端添加包含VPN客户端的物理IP地址作为源IP地址以及VPN服务器的地址作为目的地IP的包头,以及在所述 VPN资源请求为IPv6业务时,则通过IPv6虚拟网卡采用其IPv6地址及其 VPN资源路由信息对所述VPN资源请求进行重新组包和加密形成IPv6类数据请求报文并经由VPN客户端添加包含VPN客户端的物理IP地址作为源IP 地址以及VPN服务器的地址作为目的地IP的包头,从而发送到VPN服务器。
在步骤S110中,VPN客户端接收并解密和解包VPN服务器发送的针对 IPv4类数据请求报文或IPv6类数据请求报文的数据响应报文,以便IPv4虚拟网卡采用针对IPv4类数据请求报文的数据响应报文中包含的响应数据对用户的请求进行响应,以及IPv6虚拟网卡采用针对IPv6类数据请求报文的数据响应报文中包含的响应数据对用户的请求进行响应。
图2所示的是根据本公开实施例的SSL VPN资源访问方法中的VPN客户端处理资源访问请求的流程示意图,图3所示的是根据本公开实施例的SSL VPN资源访问方法中的VPN客户端处理资源访问响应的流程示意图。图2 和图3所示的流程图是对图1的详细描述。
在本公开实施例的SSL VPN资源访问方法中,VPN判断从用户接收到的VPN资源请求的类型,如果访问的是IPv4资源,则使用IPv4虚拟网卡的IPv4 地址进行请求;如果访问的是IPv6资源,则使用IPv6虚拟网卡的IPv6地址进行请求,该数据包称之为原始IP包。
用户在对目的地IP所指向的网络资源进行访问时,会首先查找本地路由,当在本地路由中发现目的地IP网络资源的路由指向虚拟网卡时,报文会先上送到VPN客户端进行加密处理。其中,对原始IP包经过加密算法进行加密后的新数据为有效载荷(payload),加密完成后VPN客户端再对payload进行IP头封装,源IP为物理网卡IP地址(用户认证登录时使用的IP),目的地IP为VPN服务器的IP地址,目的端口为VPN服务器业务连接规定的端口,封装完成后由物理网卡发出。
如图2所示,在步骤S202中,虚拟网卡接收到原始IP包。
在步骤S204中,判断报文是否为IPv4虚拟网卡所接收,在判断报文是否为IPv4虚拟网卡所接收的结果为“是”时,进入步骤S206。在步骤S206 中,根据加密协议对原始IP包加密处理,得到有效载荷(payload)。更具体的,VPN客户端通过IPv4虚拟网卡接收到报文后,解析所述报文后形成原始 IP包,其中所述原始IP包的源IP为IPv4虚拟地址,所述原始IP包的目的地 IP为所述报文中的目的地IP。之后,对所述原始IP包经过加密算法加密后得到有效载荷。在步骤S208中,对有效载荷用新的IP头封装,发往VPN服务器。更具体的,对有效载荷进行封装时,新的IP头中的源IP为物理网卡IP 地址(用户认证时使用的IP),目的地IP为VPN服务器的IP地址,目的端口为VPN服务器业务连接规定的端口,封装完成后由物理网卡向VPN服务器进行发送。
在步骤S204中判断报文是否为IPv4虚拟网卡所接收的结果为“否”时,进入步骤S210。在步骤S210中,根据加密协议对原始IP包加密处理,得到有效载荷。更具体的,由于在步骤S204中判断报文是否为IPv4虚拟网卡所接收的结果为“否”,即报文为通过IPv6虚拟网卡所接收,解析所述报文后形成原始IP包时,所述原始IP包的源IP则为IPv6虚拟地址,所述原始IP 包的目的地IP为所述报文中的目的地IP。之后,对所述原始IP包经过加密算法加密后得到有效载荷。在步骤S212中,对有效载荷用新的IP头封装,发往VPN服务器。更具体的,对有效载荷进行封装时,新的IP头中的源IP为物理网卡IP地址(用户认证时使用的IP),目的地IP为VPN服务器的IP地址,目的端口为VPN服务器业务连接规定的端口,封装完成后由物理网卡向 VPN服务器进行发送。
VPN客户端侧的物理网卡收到VPN服务器返回的响应报文后,将所述响应报文发送到VPN客户端进行处理。VPN客户端去掉所述响应报文的头部信息,得到有效荷载(VPN服务器加密后的数据),然后VPN客户端进行解密处理。解密完成后的数据包含了VPN资源服务器返回的响应数据,将所述响应数据进行上送处理。
如图3所示,在步骤S302中,VPN客户端接收到响应报文后,剥离新 IP头得到有效载荷(VPN服务端加密后的数据)。在步骤S304中,VPN客户端根据加密协议对有效载荷进行解密处理,得到原始IP包。在步骤S306中,虚拟网卡基于所述原始IP包将响应数据进行上送处理。更具体的,当用户的主机的物理网卡收到VPN服务器发送过来的数据响应报文后,将所述数据响应报文转发到VPN客户端进行处理,VPN客户端去掉所述数据响应报文中的报文头部信息,得到有效荷载(VPN服务器端加密后的数据),然后VPN 客户端根据加密协议进行解密处理,解密完成后得到VPN资源服务器针对用户发起的VPN资源访问请求所形成的原始IP包,所述原始IP包中包含VPN 资源服务器所返回的响应数据,其中,VPN客户端根据所述原始IP包中的目的IP为IPv4虚拟地址或者IPv6虚拟地址将所述原始IP包转发至相应的虚拟网卡,虚拟网卡进行上送处理。
根据本公开实施例的SSL VPN资源请求方法,VPN服务器支持双栈地址池和资源配置,能够根据用户资源配置下发对应资源。具体而言,VPN服务器根据用户的地址池资源配置情况进行虚拟地址的分配,以及向VPN客户端下发其被分配到的虚拟地址,并且VPN服务器根据用户IPv4类VPN资源和 IPv6类VPN资源的地址池配置情况进行相应的VPN资源下发。
更具体的,在本公开实施例的SSL VPN资源请求方法中,VPN服务器与 VPN客户端进行认证连接后:当VPN侧用户地址池中配置IPv4地址和IPv6 地址时,则向VPN客户端下发IPv4虚拟地址、DNS地址及IPv4类VPN资源路由信息以及IPv6虚拟地址、DNS地址及IPv6类VPN资源路由信息;当 VPN侧用户地址池中仅配置IPv4地址时,则仅向VPN客户端下发IPv4虚拟地址、DNS地址及IPv4类VPN资源路由信息;当VPN侧用户地址池中仅配置IPv6地址时,则仅向VPN客户端下发IPv6虚拟地址、DNS地址及IPv6 类VPN资源路由信息。
图4所示的是根据本公开实施例的SSL VPN资源方法中的VPN服务器下发虚拟地址的流程示意图。
如图4所示,在步骤S402中,VPN服务器接收用户以IPv4或者IPv6方式发起的认证登录请求。根据本公开实施例的SSL VPN资源访问方法,用户可通过浏览器使用IPv4或者IPv6地址进行VPN用户认证登陆,即不需要考虑公共网络的连接方式,VPN服务器同时支持IPv4和IPv6两种业务方式。
在步骤S404中,协商加密协议及加密算法。VPN服务器与用户请求认证登录所使用的浏览器之间进行加密协议与加密算法的协商。在步骤S406中, VPN服务器判断是否通过用户认证,在判断是否通过用户认证的结果为“是”时,进入步骤S408。在步骤S408中,判断是否配置IPv4地址池,在判断是否配置IPv4地址池的结果为“是”时进入步骤S410。在步骤S410中从IPv4 地址池中向VPN客户端下发一个IPv4地址。具体而言,VPN服务器根据用户的地址池配置判断其是否配置IPv4地址池,若配置了IPv4地址池,则从其中向VPN客户端下发一个IPv4地址。在步骤S412中,判断VPN是否配置IPv6地址池,在判断是否配置IPv6地址池的结果为“是”时进入步骤S414。在步骤S114中从IPv6地址池中向VPN客户端下发一个IPv6地址。更具体的,VPN服务器根据用户的地址池配置首先判断其是否配置IPv4地址池,若已配置IPv4地址池,则从IPv4地址池中分配一个IPv4虚拟地址,并将所述 IPv4虚拟地址向VPN客户端进行下发;然后根据用户的地址池配置判断其是否配置IPv6地址池,若已配置IPv6地址池,则从IPv6地址池中分配一个IPv6 虚拟地址,并将所述IPv6虚拟地址向VPN客户端进行下发。
在步骤S408中判断是否配置IPv4地址池的结果为“否”时进入步骤S416。在步骤S416中,判断VPN是否配置IPv6地址池,在判断是否配置IPv6地址池的结果为“是”时进入步骤S414。在步骤S414中从IPv6地址池中向 VPN客户端下发一个IPv6地址。具体而言,VPN服务器根据用户的地址池配置首先判断其是否配置IPv4地址池,若未配置IPv4地址池,则根据用户的地址池配置判断其是否配置IPv6地址池,若已配置IPv6地址池,则从IPv6 地址池中分配一个IPv6虚拟地址,并将所述IPv6虚拟地址向VPN客户端进行下发。
在步骤S416中判断是否配置IPv6地址池的结果为“否”时进入步骤S418。在步骤S418中,提示地址池已用尽。具体而言,VPN服务器根据用户的地址池配置判断其是否配置IPv4地址池和IPv6地址池,若均未配置,则提示地址池已用尽。
图5所示的是根据本公开实施例的SSL VPN资源访问方法中的VPN服务器向VPN客户端下发VPN资源的流程示意图。如图5所示,在步骤S502 中,判断是否配置VPN资源,在判断是否配置VPN资源的结果为“是”时进入步骤S504。在步骤504中,判断是否配置IPv4类VPN资源。在判断是否配置IPv4类VPN资源的结果为“是”时进入步骤S506,VPN服务器向 VPN客户端下发相对应的IPv4类VPN资源。在步骤S508中,判断是否配置 IPv6类VPN资源,在判断是否配置IPv6类VPN资源的结果为“是”时进入步骤S510。在步骤S510中VPN服务器向VPN客户端下发相对应的IPv6类 VPN资源。具体而言,VPN服务器根据用户的地址池配置首先判断其是否配置IPv4类VPN资源,若已配置IPv4类VPN资源,则向VPN客户端下发相对应的IPv4类VPN资源;然后判断其是否配置IPv6类VPN资源,若已配置IPv6类VPN资源,则向VPN客户端下发相对应的IPv6类VPN资源。
在步骤504中判断是否配置IPv4类VPN资源的结果为“否”时进入步骤S512。在步骤S512中,判断是否配置IPv6类VPN资源,在判断是否配置IPv6类VPN资源的结果为“是”时进入步骤S510。在步骤S510中VPN 服务器向VPN客户端下发相对应的IPv6类VPN资源。具体而言,VPN服务器根据用户的地址池配置首先判断是否配置IPv4类VPN资源,若未配置IPv4 类VPN资源,则判断是否配置IPv6类VPN资源,若已配置IPv6类VPN资源,则向VPN客户端下发相对应的IPv6类VPN资源。
在步骤S512中,判断是否配置IPv6类VPN资源的结果为“否”时进入步骤S514。在步骤S514中,VPN服务器提示用户资源类型不匹配。具体而言,VPN服务器根据用户的地址池配置进行判断,若未配置IPv4类VPN资源和IPv6类VPN资源,则提示用户资源类型不匹配,即VPN客户端未被配置可以访问的IPv4类VPN资源和IPv6类VPN资源。
在步骤S502中,判断是否配置VPN资源的结果为“否”时进入步骤S516。在步骤516中,提示无资源分配,即用户未配置用户可申请访问的VPN资源。
VPN客户端在接收到VPN服务器下发的虚拟IP地址和VPN资源后,首先判断所分配到的虚拟IP地址中是否包含IPv4虚拟地址,若包含IPv4虚拟地址,则将所述IPv4虚拟地址、DNS地址及相关的IPv4类VPN资源的路由下发到IPv4虚拟网卡;之后,VPN客户端判断所分配到的虚拟IP地址中是否包含IPv6虚拟地址,若包含IPv6虚拟地址,则将所述IPv6虚拟地址、DNS 地址及相关的IPv6类VPN资源的路由下发到IPv6虚拟网卡。
在本公开实施例的SSL VPN资源请求方法中,VPN服务器接收到VPN 资源请求业务报文后,查看报文头部信息后确认为VPN业务报文后,去掉报文头部信息,从而得到有效载荷(VPN客户端加密后的数据),VPN服务器通过协商的算法进行解密处理,解密后得到的数据报文即为VPN客户端的原始IP包,VPN服务器查找路由后将所述原始IP包转发到目的地IP地址所对应的VPN资源服务器上。
根据本公开实施例的SSL VPN资源访问方法,VPN服务器接收并解密和解包VPN客户端发送的IPv4类数据请求报文或IPv6类数据请求报文,将所述IPv4类数据请求报文或IPv6类数据请求报文包含的VPN资源请求转发至 VPN资源服务器;VPN服务器接收并加密所述VPN资源服务器返回的针对 VPN资源请求的响应数据形成数据响应报文,并经由VPN服务器的物理网卡添加包含VPN服务器的IP地址作为源IP地址以及VPN客户端的物理IP 地址作为目的地IP的包头,从而发送到VPN客户端。
图6所示的是根据本公开实施例的SSL VPN资源访问方法中的VPN服务器处理资源访问请求的流程示意图。
如图6所示,在步骤S602中,VPN服务器接收业务报文后,剥离新IP 头。在步骤S604中,VPN服务器将内部的有效载荷按照加密协议,进行解密处理。更具体的,VPN服务器接收到VPN客户端发送过来的业务报文后,查看所述业务报文的报文头部信息后确认为VPN业务报文后,去掉报文头部信息,从而得到有效载荷(VPN客户端加密后的数据)。在步骤S606中,VPN 服务器根据加密协议对有效载荷解密,得到原始IP包,所述原始IP包中的源IP为VPN客户端的虚拟网卡IP地址,所述原始IP包中的目的地IP为VPN 资源服务器的IP地址。在步骤S608中,VPN设备查路由转发处理。更具体的,VPN服务器基于解密后得到原始IP包中目的地IP查找路由后将所述原始IP包转发到目的地IP所对应的VPN资源服务器。
在步骤S460中,VPN资源服务器形成返回给VPN客户端的原始IP包,并将所述原始IP包发送到VPN设备。更具体的,所述原始响应IP包中包含针对VPN客户端所发送的VPN资源访问请求的响应数据,所述原始IP包的目的IP为VPN客户端的IPv4虚拟地址或者IPv6虚拟地址,以便VPN客户端可以基于所述原始IP包的目的IP将所述原始IP包中的响应数据转发至所述目的IP所对应的虚拟网卡。
在步骤S612中,VPN设备查路由,发现目的IP路由指向VPN服务器。更具体的,VPN资源服务器将包含针对其的资源访问请求的响应数据的原始 IP响应包发送到VPN设备后,VPN设备进行路由查询,当查询到目的网段路由指向VPN服务接口后,将所述原始IP包转发至VPN服务器进行处理。
在步骤S614中,VPN服务器根据加密协议对原始IP包加密处理,得到有效载荷。在步骤S616中,VPN服务器再对所述有效载荷用新的IP头封装,发往VPN客户端。更具体的,VPN服务器对所述原始IP包进行加密处理后获得有效载荷,并对所述有效载荷进行IP头封装时,源IP为VPN服务器IP 地址,目的IP为VPN客户端侧的物理网卡IP,然后向VPN客户端进行发送。
根据本公开实施例的SSL VPN资源访问方法,VPN客户端为IPv4虚拟网卡和IPv6虚拟网卡绑定不同的CPU内核。具体而言,用于在进行VPN资源访问时,IPv4类VPN资源通过IPv4虚拟网卡访问,IPv6类VPN资源通过IPv6虚拟网卡访问,采用两个进程或者线程分别读取IPv4虚拟网卡和 IPv6虚拟网卡报文,而不是一个虚拟网卡读取IPv4和IPv6报文。每个线程或者进程绑定CPU进行加密发送到VPN服务器,提升了读取报文性能和加密性能。
根据本公开实施例的SSL VPN资源访问方法,在VPN客户端退出时,删除所述IPv4虚拟网卡和所述IPv6虚拟网卡中的虚拟地址、DNS地址及VPN 资源路由信息。
图7和图8所示的是根据本公开实施例的SSL VPN资源访问装置的原理示意图,其中图7所示的是本公开实施例的SSL VPN资源访问装置中的VPN 客户端的原理示意图,图8所示的是本公开实施例的SSL VPN资源访问装置中的VPN服务器的原理示意图。
如图7所示,根据本公开实施例的SSL VPN资源访问装置,其包括:虚拟网卡创建组件702、虚拟网卡配置组件704、资源路由信息下发组件706、资源请求组件708和资源请求响应组件710。其中,虚拟网卡创建组件702,用于在VPN客户端处创建IPv4虚拟网卡和IPv6虚拟网卡。虚拟网卡配置组件704,用于在VPN客户端基于与其认证连接的VPN服务器向其下发的IPv4 地址和IPv6地址后,分别对应地为所述IPv4虚拟网卡配置IPv4地址和DNS 地址和为所述IPv6虚拟网卡配置IPv6地址和DNS地址。资源路由信息下发组件706,用于VPN客户端基于所述VPN服务器向其下发的IPv4类和IPv6 类的VPN资源的类别,将所接收到的IPv4类VPN资源所包含的IPv4虚拟地址、DNS地址及其VPN资源路由信息下发到所述IPv4虚拟网卡以及将所接收到的IPv6类VPN资源所包含的IPv6虚拟地址、DNS地址及其VPN资源路由信息下发到所述IPv6虚拟网卡。资源请求组件708,用于VPN客户端判断从用户接收到的VPN资源请求的类型,并在所述VPN资源请求为IPv4 业务时,则通过IPv4虚拟网卡采用其IPv4地址及其VPN资源路由信息对所述VPN资源请求进行重新组包和加密形成IPv4类数据请求报文并经由VPN 客户端的物理网卡添加包含VPN客户端作为源IP地址以及VPN服务器的地址作为目的地IP的包头,以及在所述VPN资源请求为IPv6业务时,则通过 IPv6虚拟网卡采用其IPv6地址及其VPN资源路由信息对所述VPN资源请求进行重新组包和加密形成IPv6类数据请求报文并经由VPN客户端添加包含 VPN客户端的物理IP地址作为源IP地址以及VPN服务器的地址作为目的地 IP的包头,从而发送到VPN服务器。资源请求响应组件710,用于VPN客户端接收并解密和解包VPN服务器发送的针对IPv4类数据请求报文或IPv6 类数据请求报文的数据响应报文,以便IPv4虚拟网卡采用针对IPv4类数据请求报文的数据响应报文中包含的响应数据对用户的请求进行响应,以及 IPv6虚拟网卡采用针对IPv6类数据请求报文的数据响应报文中包含的响应数据对用户的请求进行响应。
如图8所示,根据本公开实施例的SSL VPN资源访问装置中的VPN服务器包括:虚拟地址及VPN资源路由信息下发组件802、数据请求报文处理组件804和数据响应报文形成组件806。
根据本公开实施例的SSL VPN资源访问装置,虚拟地址及VPN资源路由信息下发组件802,用于在VPN服务器与VPN客户端进行认证连接后:当VPN侧用户地址池中配置IPv4地址和IPv6地址时,则向VPN客户端下发IPv4虚拟地址、DNS地址及IPv4类VPN资源路由信息以及IPv6虚拟地址、DNS地址及IPv6类VPN资源路由信息;当VPN侧用户地址池中仅配置 IPv4地址时,则仅向VPN客户端下发IPv4虚拟地址、DNS地址及IPv4类VPN资源路由信息;当VPN侧用户地址池中仅配置IPv6地址时,则仅向VPN 客户端下发IPv6虚拟地址、DNS地址及IPv6类VPN资源路由信息。
根据本公开实施例的SSL VPN资源访问装置,数据请求报文处理组件 804,用于VPN服务器接收并解密和解包VPN客户端发送的IPv4类数据请求报文或IPv6类数据请求报文,将所述IPv4类数据请求报文或IPv6类数据请求报文包含的VPN资源请求转发至VPN资源服务器。数据响应报文形成组件806,用于VPN服务器接收并加密所述VPN资源服务器返回的针对VPN 资源请求的响应数据形成数据响应报文,并经由VPN服务器的物理网卡添加包含VPN服务器的IP地址作为源IP地址以及VPN客户端的物理IP地址作为目的地IP的包头,从而发送到VPN客户端。
根据本公开实施例的SSL VPN资源访问装置,其中,虚拟网卡创建组件 702,还用于:VPN客户端为所述IPv4虚拟网卡和所述IPv6虚拟网卡绑定不同的CPU内核。
根据本公开实施例的SSL VPN资源访问装置,其中,虚拟网卡配置组件 704,还用于:在VPN客户端退出时,删除所述IPv4虚拟网卡和所述IPv6 虚拟网卡中的虚拟地址、DNS地址及VPN资源路由信息。
综上所述,采用本公开的SSL VPN资源访问方法及装置,VPN服务器支持双栈地址池和资源配置,能够根据用户资源配置下发对应资源。VPN客户端创建两个分别用于IPv4业务和IPv6业务的虚拟网卡,通过下发IPv4虚拟地址给IPv4虚拟网卡以及IPv6虚拟地址给IPv6虚拟网卡,对两类报文分别进行加密封装处理,在公共网络只支持IPv4或者IPv6的其中一种单一方式时,用户无需进行连接方式的切换,通过服务端的资源配置即可以实现双栈业务的访问。具体而言,IPv4类VPN资源请求通过IPv4虚拟网卡进行访问, IPv6类VPN资源请求通过IPv6虚拟网卡进行访问,由于采用两个进程或者线程分别读取IPv4虚拟网卡报文和IPv6虚拟网卡报文进行加密发送到VPN 服务器,两个线程或者进程绑定不同的CPU,还提升了读取报文性能和加密性能。
总体而言,本公开通过客户端创建两个虚拟网卡,分别用于IPV4业务和 IPV6业务,IPV4业务通过IPV4虚拟网卡访问,IPV6业务通过IPV6虚拟网卡访问。支持IPv4和IPv6两种或者任意一种连接登录。SSL VPN服务端地址池配置处需要同时支持IPv4和IPv6两种地址配置及下发,同时支持IPv4 和IPv6两种IP资源类型配置及下发。具体而言,用户认证登录:用户通过浏览器,使用IPv4或者IPv6地址进行VPN用户认证登录。登录时先进行加密协议和算法协商,然后进行用户认证。用户地址池资源下发:用户认证登录成功后,服务端根据用户的地址池资源配置情况进行IP地址下发。服务端根据用户地址池资源配置进行IP地址下发。如果配置有IPv4和IPv6两种地址池时,则从地址池中给客户端同时下发一个IPv4地址和一个IPv6地址。如果配置有IPv4或者IPv6地址池时,则从地址池中给客户端下发一个对应类型的IP地址;否则提示地址池资源用尽。客户端收到下发的IP地址后,根据下发的地址类型,分别设置IPV4虚拟网卡IP和DNS地址、IPV6虚拟网卡IP和DNS地址。用户VPN资源下发。根据服务端用户地址池配置进行相应的资源下发(参考下图)。在用户同时配置两种地址池资源的情况下, IPv4和IPv6两种资源都会下发,如果只有IPv4或者IPv6资源时,只下发已有VPN资源;用户只配置有IPv4或者IPv6一种地址池时,只下发和地址池类型相对应的VPN资源,无对应VPN资源时提示用户资源类型不匹配;用户未配置VPN资源时,提示无资源分配。资源下发后客户端根据资源下发对应的资源路由到虚拟网卡。资源访问。如果访问的是IPv4业务,则使用IPV4 虚拟网卡的IPv4地址请求,如果访问的是IPv6业务,则使用IPV6虚拟网卡的IPv6地址请求,该数据包称之为原始IP包。用户访问目标IP时,会首先查找本地路由,发现路由指向虚拟网卡时,报文会先上送到客户端进行加密处理。经过加密算法进行加密后的新数据为有效载荷(payload),加密完成后客户端再对payload进行IP头封装,源IP为物理网卡IP地址(用户认证登录时使用的IP),目的IP为VPN服务器地址,目的端口为VPN服务器业务连接规定的端口,封装完成后由物理网卡发出。VPN服务器接收到业务报文后,查看报文头部信息后确认为VPN业务报文后,去掉报文头部信息,从而得到有效载荷(客户端加密后的数据),VPN服务通过协商的算法进行解密处理,解密后得到的数据报文即为客户端的原始IP包。原始数据包在VPN 服务器上查找路由转发到目的地址。资源服务器返回资源数据包到VPN设备后,查询目的网段路由指向VPN服务接口后,会转由VPNServer进行处理。对该IP包进行加密处理,并对payload进行IP头封装,源IP为VPN服务器地址,目的地址为用户所使用的物理网卡IP,发给用户。物理网卡收到VPN 服务器回来的报文后,送到VPN客户端进行处理,去掉报文的头部信息,得到有效荷载(服务端加密后的数据),然后客户端进行解密处理。机密完成后的数据即为资源服务器返回的数据报文,上送处理。
以上结合具体实施例描述了本公开的基本原理,但是,需要指出的是,对本领域的普通技术人员而言,能够理解本公开的方法和装置的全部或者任何步骤或者部件,可以在任何计算装置(包括处理器、存储介质等)或者计算装置的网络中,以硬件、固件、软件或者它们的组合加以实现,这是本领域普通技术人员在阅读了本公开的说明的情况下运用他们的基本编程技能就能实现的。
因此,本公开的目的还可以通过在任何计算装置上运行一个程序或者一组程序来实现。所述计算装置可以是公知的通用装置。因此,本公开的目的也可以仅仅通过提供包含实现所述方法或者装置的程序代码的程序产品来实现。也就是说,这样的程序产品也构成本公开,并且存储有这样的程序产品的存储介质也构成本公开。显然,所述存储介质可以是任何公知的存储介质或者将来所开发出来的任何存储介质。
还需要指出的是,在本公开的装置和方法中,显然,各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本公开的等效方案。并且,执行上述系列处理的步骤可以自然地按照说明的顺序按时间顺序执行,但是并不需要一定按照时间顺序执行。某些步骤可以并行或彼此独立地执行。
上述具体实施方式,并不构成对本公开保护范围的限制。本领域技术人员应该明白的是,取决于设计要求和其他因素,可以发生各种各样的修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等,均应包含在本公开保护范围之内。
Claims (10)
1.一种SSL VPN资源访问方法,其包括:
在VPN客户端处创建IPv4虚拟网卡和IPv6虚拟网卡;
VPN客户端基于与其认证连接的VPN服务器向其下发的IPv4地址和IPv6地址,分别对应地为所述IPv4虚拟网卡配置IPv4地址和DNS地址和为所述IPv6虚拟网卡配置IPv6地址和DNS地址;
VPN客户端基于所述VPN服务器向其下发的IPv4类和IPv6类的VPN资源的类别,将所接收到的IPv4类VPN资源所包含的IPv4虚拟地址、DNS地址及其VPN资源路由信息下发到所述IPv4虚拟网卡以及将所接收到的IPv6类VPN资源所包含的IPv6虚拟地址、DNS地址及其VPN资源路由信息下发到所述IPv6虚拟网卡;
VPN客户端判断从用户接收到的VPN资源请求的类型,并在所述VPN资源请求为IPv4业务时,则通过IPv4虚拟网卡采用其IPv4地址及其VPN资源路由信息对所述VPN资源请求进行重新组包和加密形成IPv4类数据请求报文并经由VPN客户端添加包含VPN客户端的物理IP地址作为源IP地址以及VPN服务器的地址作为目的地IP的包头,以及在所述VPN资源请求为IPv6业务时,则通过IPv6虚拟网卡采用其IPv6地址及其VPN资源路由信息对所述VPN资源请求进行重新组包和加密形成IPv6类数据请求报文并经由VPN客户端添加包含VPN客户端的物理IP地址作为源IP地址以及VPN服务器的地址作为目的地IP的包头,从而发送到VPN服务器;
VPN客户端接收并解密和解包VPN服务器发送的针对IPv4类数据请求报文或IPv6类数据请求报文的数据响应报文,以便IPv4虚拟网卡采用针对IPv4类数据请求报文的数据响应报文中包含的响应数据对用户的请求进行响应,以及IPv6虚拟网卡采用针对IPv6类数据请求报文的数据响应报文中包含的响应数据对用户的请求进行响应。
2.如权利要求1所述的SSL VPN资源访问方法,其还包括,
VPN服务器与VPN客户端进行认证连接后:
当VPN侧用户地址池中配置IPv4地址和IPv6地址时,则向VPN客户端下发IPv4虚拟地址、DNS地址及IPv4类VPN资源路由信息以及IPv6虚拟地址、DNS地址及IPv6类VPN资源路由信息;
当VPN侧用户地址池中仅配置IPv4地址时,则仅向VPN客户端下发IPv4虚拟地址、DNS地址及IPv4类VPN资源路由信息;
当VPN侧用户地址池中仅配置IPv6地址时,则仅向VPN客户端下发IPv6虚拟地址、DNS地址及IPv6类VPN资源路由信息。
3.如权利要求1所述的SSL VPN资源访问方法,其还包括:
VPN服务器接收并解密和解包VPN客户端发送的IPv4类数据请求报文或IPv6类数据请求报文,将所述IPv4类数据请求报文或IPv6类数据请求报文包含的VPN资源请求转发至VPN资源服务器;
VPN服务器接收并加密所述VPN资源服务器返回的针对VPN资源请求的响应数据形成数据响应报文,并经由VPN服务器的物理网卡添加包含VPN服务器的IP地址作为源IP地址以及VPN客户端的物理IP地址作为目的地IP的包头,从而发送到VPN客户端。
4.如权利要求1所述的SSL VPN资源访问方法,其还包括:
VPN客户端为IPv4虚拟网卡和IPv6虚拟网卡绑定不同的CPU内核。
5.如权利要求1所述的SSL VPN资源访问方法,其还包括:
在VPN客户端退出时,删除所述IPv4虚拟网卡和所述IPv6虚拟网卡中的虚拟地址、DNS地址及VPN资源路由信息。
6.一种SSL VPN资源访问装置,其包括:
VPN客户端虚拟网卡创建组件,用于在VPN客户端处创建IPv4虚拟网卡和IPv6虚拟网卡;
VPN客户端虚拟网卡配置组件,用于在VPN客户端基于与其认证连接的VPN服务器向其下发的IPv4地址和IPv6地址后,分别对应地为所述IPv4虚拟网卡配置IPv4地址和DNS地址和为所述IPv6虚拟网卡配置IPv6地址和DNS地址;
VPN客户端资源路由信息下发组件,用于VPN客户端基于所述VPN服务器向其下发的IPv4类和IPv6类的VPN资源的类别,将所接收到的IPv4类VPN资源所包含的IPv4虚拟地址、DNS地址及其VPN资源路由信息下发到所述IPv4虚拟网卡以及将所接收到的IPv6类VPN资源所包含的IPv6虚拟地址、DNS地址及其VPN资源路由信息下发到所述IPv6虚拟网卡;
VPN客户端资源请求组件,用于VPN客户端判断从用户接收到的VPN资源请求的类型,并在所述VPN资源请求为IPv4业务时,则通过IPv4虚拟网卡采用其IPv4地址及其VPN资源路由信息对所述VPN资源请求进行重新组包和加密形成IPv4类数据请求报文并经由VPN客户端的物理网卡添加包含VPN客户端作为源IP地址以及VPN服务器的地址作为目的地IP的包头,以及在所述VPN资源请求为IPv6业务时,则通过IPv6虚拟网卡采用其IPv6地址及其VPN资源路由信息对所述VPN资源请求进行重新组包和加密形成IPv6类数据请求报文并经由VPN客户端添加包含VPN客户端的物理IP地址作为源IP地址以及VPN服务器的地址作为目的地IP的包头,从而发送到VPN服务器;
VPN客户端资源请求响应组件,用于VPN客户端接收并解密和解包VPN服务器发送的针对IPv4类数据请求报文或IPv6类数据请求报文的数据响应报文,以便IPv4虚拟网卡采用针对IPv4类数据请求报文的数据响应报文中包含的响应数据对用户的请求进行响应,以及IPv6虚拟网卡采用针对IPv6类数据请求报文的数据响应报文中包含的响应数据对用户的请求进行响应。
7.如权利要求6所述的SSL VPN资源访问装置,其还包括VPN服务器虚拟地址及VPN资源路由信息下发组件,用于在VPN服务器与VPN客户端进行认证连接后:
当VPN侧用户地址池中配置IPv4地址和IPv6地址时,则向VPN客户端下发IPv4虚拟地址、DNS地址及IPv4类VPN资源路由信息以及IPv6虚拟地址、DNS地址及IPv6类VPN资源路由信息;
当VPN侧用户地址池中仅配置IPv4地址时,则仅向VPN客户端下发IPv4虚拟地址、DNS地址及IPv4类VPN资源路由信息;
当VPN侧用户地址池中仅配置IPv6地址时,则仅向VPN客户端下发IPv6虚拟地址、DNS地址及IPv6类VPN资源路由信息。
8.如权利要求6所述的SSL VPN资源访问装置,其还包括:
VPN服务器数据请求报文处理组件,用于VPN服务器接收并解密和解包VPN客户端发送的IPv4类数据请求报文或IPv6类数据请求报文,将所述IPv4类数据请求报文或IPv6类数据请求报文包含的VPN资源请求转发至VPN资源服务器;
VPN服务器数据响应报文形成组件,用于VPN服务器接收并加密所述VPN资源服务器返回的针对VPN资源请求的响应数据形成数据响应报文,并经由VPN服务器的物理网卡添加包含VPN服务器的IP地址作为源IP地址以及VPN客户端的物理IP地址作为目的地IP的包头,从而发送到VPN客户端。
9.如权利要求6所述的SSL VPN资源访问装置,其VPN客户端虚拟网卡创建组件,还用于:
VPN客户端为所述IPv4虚拟网卡和所述IPv6虚拟网卡绑定不同的CPU内核。
10.如权利要求6所述的SSL VPN资源访问装置,其VPN客户端虚拟网卡配置组件,还用于:
在VPN客户端退出时,删除所述IPv4虚拟网卡和所述IPv6虚拟网卡中的虚拟地址、DNS地址及VPN资源路由信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210295792.4A CN114666186B (zh) | 2022-03-23 | 2022-03-23 | Ssl vpn资源访问方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210295792.4A CN114666186B (zh) | 2022-03-23 | 2022-03-23 | Ssl vpn资源访问方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114666186A CN114666186A (zh) | 2022-06-24 |
| CN114666186B true CN114666186B (zh) | 2023-04-18 |
Family
ID=82031258
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210295792.4A Active CN114666186B (zh) | 2022-03-23 | 2022-03-23 | Ssl vpn资源访问方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114666186B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115314558A (zh) * | 2022-08-09 | 2022-11-08 | 中国电信股份有限公司 | 算力网络中的资源分配方法及装置、存储介质、电子设备 |
| CN115664807B (zh) * | 2022-10-25 | 2023-05-23 | 渔翁信息技术股份有限公司 | 一种ssl vpn转发方法、装置、系统及存储介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102771089A (zh) * | 2009-12-23 | 2012-11-07 | 思杰系统有限公司 | 用于通过虚拟服务器混合模式处理IPv6和IPv4流量的系统和方法 |
| CN102938795A (zh) * | 2012-11-16 | 2013-02-20 | 赛尔网络有限公司 | 通过隧道和地址转换实现IPv6地址访问IPv4资源的方法 |
| CN103001844A (zh) * | 2011-09-09 | 2013-03-27 | 华耀(中国)科技有限公司 | IPv6网络系统及其数据传输方法 |
| CN103023898A (zh) * | 2012-12-03 | 2013-04-03 | 杭州迪普科技有限公司 | 一种访问vpn服务端内网资源的方法及装置 |
| CN103812868A (zh) * | 2014-02-20 | 2014-05-21 | 北京极科极客科技有限公司 | 基于IPv4/IPv6转换实现免费上网的方法及其系统 |
| CN106209838A (zh) * | 2016-07-08 | 2016-12-07 | 杭州迪普科技有限公司 | Ssl vpn的ip接入方法及装置 |
| CN106506718A (zh) * | 2016-10-27 | 2017-03-15 | 赛尔网络有限公司 | 基于多重NAT纯IPv6网络的IVI过渡方法及网络系统 |
| CN110191031A (zh) * | 2019-05-10 | 2019-08-30 | 杭州迪普科技股份有限公司 | 网络资源访问方法、装置、电子设备 |
| CN110799944A (zh) * | 2017-06-28 | 2020-02-14 | 亚马逊科技公司 | 虚拟专用网络服务端点 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7743155B2 (en) * | 2007-04-20 | 2010-06-22 | Array Networks, Inc. | Active-active operation for a cluster of SSL virtual private network (VPN) devices with load distribution |
-
2022
- 2022-03-23 CN CN202210295792.4A patent/CN114666186B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102771089A (zh) * | 2009-12-23 | 2012-11-07 | 思杰系统有限公司 | 用于通过虚拟服务器混合模式处理IPv6和IPv4流量的系统和方法 |
| CN103001844A (zh) * | 2011-09-09 | 2013-03-27 | 华耀(中国)科技有限公司 | IPv6网络系统及其数据传输方法 |
| CN102938795A (zh) * | 2012-11-16 | 2013-02-20 | 赛尔网络有限公司 | 通过隧道和地址转换实现IPv6地址访问IPv4资源的方法 |
| CN103023898A (zh) * | 2012-12-03 | 2013-04-03 | 杭州迪普科技有限公司 | 一种访问vpn服务端内网资源的方法及装置 |
| CN103812868A (zh) * | 2014-02-20 | 2014-05-21 | 北京极科极客科技有限公司 | 基于IPv4/IPv6转换实现免费上网的方法及其系统 |
| CN106209838A (zh) * | 2016-07-08 | 2016-12-07 | 杭州迪普科技有限公司 | Ssl vpn的ip接入方法及装置 |
| CN106506718A (zh) * | 2016-10-27 | 2017-03-15 | 赛尔网络有限公司 | 基于多重NAT纯IPv6网络的IVI过渡方法及网络系统 |
| CN110799944A (zh) * | 2017-06-28 | 2020-02-14 | 亚马逊科技公司 | 虚拟专用网络服务端点 |
| CN110191031A (zh) * | 2019-05-10 | 2019-08-30 | 杭州迪普科技股份有限公司 | 网络资源访问方法、装置、电子设备 |
Non-Patent Citations (2)
| Title |
|---|
| 朱彦军."具有IPv4和IPv6转换功能的SSL VPN系统".《技术研究》.2012,全文. * |
| 李迎 ; 潘飞 ; .基于Linux的高校图书馆SSL VPN系统搭建.情报探索.2013,(第10期),全文. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114666186A (zh) | 2022-06-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107959654B (zh) | 一种数据传输方法、装置及混合云系统 | |
| CN114666186B (zh) | Ssl vpn资源访问方法及装置 | |
| US6798782B1 (en) | Truly anonymous communications using supernets, with the provision of topology hiding | |
| KR101680955B1 (ko) | 다중 터널 가상 사설 네트워크 | |
| US7685309B2 (en) | System and method for separating addresses from the delivery scheme in a virtual private network | |
| CN110650076B (zh) | Vxlan的实现方法,网络设备和通信系统 | |
| KR101097548B1 (ko) | 디지털 오브젝트 타이틀 인증 | |
| US20060182103A1 (en) | System and method for routing network messages | |
| US10187356B2 (en) | Connectivity between cloud-hosted systems and on-premises enterprise resources | |
| US10454880B2 (en) | IP packet processing method and apparatus, and network system | |
| CN103580980A (zh) | 虚拟网络自动发现和自动配置的方法及其装置 | |
| US7336790B1 (en) | Decoupling access control from key management in a network | |
| EP3272090A1 (en) | Converting mobile traffic between ip vpn and transport level vpn | |
| US6870842B1 (en) | Using multicasting to provide ethernet-like communication behavior to selected peers on a network | |
| KR101743559B1 (ko) | 가상 사설 네트워크 시스템, 그를 이용하는 pc방 네트워크, 및 그를 위한 매니저 장치 | |
| US7765581B1 (en) | System and method for enabling scalable security in a virtual private network | |
| CN116633701B (zh) | 信息传输方法、装置、计算机设备和存储介质 | |
| US20180302378A1 (en) | Context specific keys | |
| CN111786869B (zh) | 一种服务器之间的数据传输方法及服务器 | |
| US6977929B1 (en) | Method and system for facilitating relocation of devices on a network | |
| US20020154635A1 (en) | System and method for extending private networks onto public infrastructure using supernets | |
| CN112217769B (zh) | 基于隧道的数据解密方法、加密方法、装置、设备和介质 | |
| JP2011188448A (ja) | ゲートウェイ装置、通信方法および通信用プログラム | |
| WO2016082363A1 (zh) | 用户数据管理方法及装置 | |
| CN102598621B (zh) | 用于提供用于加密分组数据的安全关联的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |