CN201657020U - 一种基于异地Socks5代理的移动SSL VPN系统 - Google Patents
一种基于异地Socks5代理的移动SSL VPN系统 Download PDFInfo
- Publication number
- CN201657020U CN201657020U CN2009202124395U CN200920212439U CN201657020U CN 201657020 U CN201657020 U CN 201657020U CN 2009202124395 U CN2009202124395 U CN 2009202124395U CN 200920212439 U CN200920212439 U CN 200920212439U CN 201657020 U CN201657020 U CN 201657020U
- Authority
- CN
- China
- Prior art keywords
- vpn
- mobile
- terminal
- ssl
- local side
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本实用新型公开了一种基于异地Socks5代理的移动SSL VPN系统。这种移动VPN系统包括移动SSL VPN局端系统和移动SSL VPN终端系统,局端系统位于处在企业内网DMZ的VPN服务器上,终端系统位于移动设备。该方法包括:采用在应用层级别上利用Socks5协议进行数据转发搭建安全接入VPN的方式;将客户端应用程序到局端应用的TCP连接利用Socks代理中继分为三段;Socks代理功能由异地的终端和局端共同实现。本实用新型改善了SSLVPN在无线网络中的连接性能,减小了无线网络速率极不稳定、易断线的缺点带来的连接性能影响。
Description
技术领域
本实用新型涉及一种基于SSL的无线接入系统,主要应用于GPRS/CDMA等公共移动网络环境。特别涉及一种基于异地Socks5代理的移动SSL VPN系统。
背景技术
目前,无线移动的安全接入一般借用IPSEC VPN或者SSL VPN技术,然而IPSEC VPN和SSLVPN技术最早都是针对固定网络的安全问题而提出的。因此,相对于固定网络,移动网络还有更多的问题需要解决。
由于信号的不稳定,移动网络的传输能力很不稳定,有时甚至会掉线,而且,移动终端在不同移动网路之间切换时,终端与局端之间的连接也会中断,从而影响传输性能和用户体验。同时,移动VPN还需要考虑移动IP的问题。
另外,移动终端设备本身CPU处理能力较弱,体积小易丢失,各个移动操作系统差别较大,有些移动操作系统如symbain甚至没有开放网络底层接口。
针对移动网络的这些问题,目前比较流行是采用IPSec与Mobile-IP相结合的方法,Mobile-IP隐藏了IP地址变化对IPSec的影响,然而这种方法要求传输层来实现数据流控制和会话恢复功能,增加了系统的复杂性,而且无法在不开放网络底层接口的移动终端系统上实现。
实用新型内容
为了克服现有的移动VPN系统无法容易实现移动网络中不间断的安全传输的不足,本实用新型提供一种新的移动VPN解决方案,使用高效简便的方法保证应用程序与应用服务器之间的不间断安全传输,而且能够方便的实现在不同的移动终端平台上。
本实用新型为解决其技术问题通过以下技术方案来实现:
首先,作为实现本实用新型方案的应用环境,它是一种基于异地Socks5代理的移动SSL
VPN系统,该系统总体由服务器端和客户端终端转发平台组成。该系统的总体框架示意图参见图1。
服务器端,包含Socks5代理与应用挂接单元、服务器端应用服务(后台应用服务)与VPN局端平台。其中,作为数据传输平台的VPN局端包含局端VPN单元和Socks5代理转发单元。
客户端终端,包含移动SSL VPN终端设备、客户端应用、Socks5数据转发单元。其中,移动SSL VPN终端设备包含终端VPN单元和Socks5代理单元,它是移动终端,采用在应用层级别上利用Socks5协议进行数据转发搭建安全接入VPN的方式。
服务器端与客户端终端建立SSL连接;通过建立SSL VPN通道实现连接通信。
另外,从客户端终端应用到服务器端应用被异地的Socks5代理中继分为三段TCP连接;Socks代理的逻辑和访问控制由局端来完成,终端代理只负责数据转发。这三段TCP连接分别为:
(1)终端应用程序到VPN终端;
(2)VPN终端到VPN局端;
(3)VPN局端到内网服务器。
其中,上述连接(1)和连接(3)均为固网连接,连接(2)包含移动网络连接。对连接(2)进行优化以适应无线网络环境的不稳定性。
针对上述连接(2),VPN终端到VPN局端的连接,利用队列缓存机制,在无线连接中断期间自动按顺序缓存用户数据,连接重新恢复后继续传输。
下面具体描述根据本实用新型所述系统所能实现的利用异地Socks5代理技术实现的改善移动SSL VPN性能的方法,该方法包括:
在移动客户端安装Socks5数据转发以及SSL VPN终端单元;在服务器端安装Socks5代理逻辑处理单元以及SSL VPN局端单元;终端单元和局端单元建立SSL(Secure SocketLayer)连接;配置移动终端代理设置,使其代理数据重定向到本地Socks5数据转发单元,数据由VPN通道传输;服务器端解析代理逻辑与后台应用挂接。
上述方案中,所述终端单元与局端单元建立SSL连接时,SSL VPN通道建立在无线环境中,连接建立后还需通过身份鉴权以获得可访问应用服务列表。
上述方案中,所述移动客户端安装Socks5数据转发单元以及SSLVPN终端单元时,转发单元对于客户端发起的包括Socks5代理请求、Socks5鉴权流程信息以及所需转发的应用数据在内的所有数据包全部通过SSL VPN通道进行转发。
上述方案中,所述服务器端安装Socks5代理逻辑处理单元以及SSL VPN局端单元时,代理逻辑处理单元对从SSL VPN通道接收到的Socks5代理请求进行解析以确定代理属性从而与对应后台应用服务通信。
上述方案中,所述VPN终端利用时间片轮询方式实现会话复用。
上述方案中,所述VPN局端利用多线程和匿名管道实现会话复用。
本实用新型的有益效果是,可以在不同类型的移动终端上,通过不同类型的公共移动网络,实现安全接入和不间断数据安全传输。工作在应用层,系统容易实现。
附图说明
图1为本实用新型方法应用时的系统总体框架示意图。
图2为本实用新型方法中局端与终端交互流程图。
图3为本实用新型方法中终端工作流程图。
图4为本实用新型方法中局端工作流程图。
具体实施方式
为了使本实用新型实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本实用新型。
本实用新型方法在具体应用时包括以下步骤:在终端安装终端代理程序以及VPN模块;局端安装局端代理以及VPN模块;启动局端程序;启动终端程序;局端和终端建立SSL VPN通道;移动终端启用客户应用;客户应用与终端建立连接并通过SSL VPN与局端协商;客户端与局端协商完成后局端与后台对应应用服务交互;最终移动客户端应用程序与局端后台应用服务建立通信。
如图2所示,本实用新型的具体过程是:通过将SSL技术与socks代理技术相结合,将应用程序的数据流转发给布置在同一移动终端的移动VPN终端,然后通过移动VPN终端与局端之间的安全隧道安全地传输数据给内网的应用服务器。代理中继的使用将网络连接分成三部分:应用程序到移动VPN终端,移动VPN终端到移动VPN局端,移动VPN局端到内网应用服务器。三个部分的连接相互独立,同时只有移动VPN终端到移动VPN局端之间的连接涉及无线环境,所以只要在移动VPN终端与局端之间实现会话快速恢复和数据流控制功能,就可以实现应用程序与内网服务器之间的不间断传输。
本方案所涉及的技术都工作在应用层,不需要操作系统提供底层的网络接口,所以可以方便的实现在不同的移动操作系统上。
根据上述流程,进一步说明以下两功能步骤的实现原理和过程:
(一)安全传输:
VPN终端与VPN局端之间使用SSL协议进行安全传输,给代理请求数据和应用数据提供一个安全的传输通道。VPN局端在特定端口上监听SSL连接请求。VPN终端首先与局端进行SSL握手,使用X509证书实现终端与局端的相互认证。建立好SSL通道后,终端与局端进行用户名/密码认证,从而实现多因子认证,提高安全性。然后终端与局端进行进一步协商,VPN终端提供本身相关信息如设备标识、操作系统、安全状态等给VPN局端,VPN局端根据这些信息实现访问控制,提供可访问的资源列表给终端。安全通道建立完之后,VPN终端与VPN局端就可以为移动应用程序提供安全传输功能。
(二)后台挂接:
VPN终端与局端共同实现socks5代理服务器的功能:VPN终端实现代理请求转发和传输数据的转发,VPN局端实现Socks5代理逻辑。VPN终端程序在移动设备上开启socks5监听端口,处于同一设备上的应用程序向该端口发起代理请求,VPN终端程序转发代理请求给VPN局端,VPN局端程序处理代理请求,与服务器建立连接。代理连接建立好之后,应用程序与服务器之间通过由VPN终端和VPN局端组成的代理服务器转发数据,实现数据的交互。Socks5代理支持TCP协议和UDP协议。
请参阅图3所示的终端具体工作流程,首先终端从用户界面读取的参数与VPN服务器协商建立SSL通道,此步骤完成后,用户将自身用户名和密码经过自定义的数据结构封装成数据包通过SSL通道传输给VPN服务器。自定义的数据结构除了用于在转发中指明数据包的性质(TCP、UDP还是控制信息)也以端口号来保持连接来回的一致性。这样传输的数据包除了本身需要传输的数据(该数据可以是socks代理请求及相关消息,也可以是用户应用数据),还主要包括了连接的端口号、IP地址以及数据包类型。通过认证之后,VPN服务器返回给客户端一个可访问的资源列表。此时的数据均是经过加密通过SSL Tunnel传输的。
客户端拿到资源列表之后,就在本机地址上监听Socks代理端口,每当有应用发起Socks连接请求,这个socket将被记录下来,以便接收将来从VPN服务器传送过来的发给该应用程序的数据包。此时,被监听的端口包括Socks代理bind端口,SSL连接端口,数个sockssocket连接端口。如果SSL连接端口收到数据,则将数据解密后,读取数据包头中端口号,从而传给相应的应用;如果socks连接收到数据,则将数据做好新的自定义封装,然后转交给SSL通道加密后传输;如果是socks代理bind监听端口收到连接请求,则建立新的socket连接并保存这个连接。
请参阅图4所示的局端具体工作流程,局端首先启动程序读取配置参数然后监听SSL端口,从客户端发来SSL请求后与之建立连接并进行用户名身份鉴权以发给相信的可访问后台资源列表。SSL VPN通道建立好之后,之后的数据传输通信均使用该通道进行安全传输。局端等待终端数据包。如果该数据包所使用端口号并未被记录则判定为新包,局端为此次客户端请求建立新的Socks5连接处理线程,此时的数据也可以为后台应用服务传送的数据包,连接处理线程解析数据格式进行对应代理转发。如果数据包头所含端口号已有记录则查找之前与之对应的Socks5处理线程,并将数据转发给该线程,该线程进行相应的代理转发处理,然后再次等待终端数据。
上述的对实施例的描述是为便于该技术领域的普通技术人员能理解和使用本实用新型。熟悉本领域技术的人员显然可以容易地对这些实施例做出各种修改,并把在此说明的一般原理应用到其他实施例中而不必经过创造性的劳动。因此,本实用新型不限于上述实施例,在不脱离本实用新型的范畴的情况下所做出的修改都在本实用新型的保护范围之内。
Claims (4)
1.一种移动SSLVPN系统,其特征在于:是基于异地Socks5代理的移动SSLVPN系统,由服务器端和客户端终端设备组成;
所述服务器端设备,具备Socks5代理与应用挂接功能、服务器端应用服务功能、VPN局端平台功能、局端VPN功能和Socks5代理转发功能;
所述客户端终端设备,具备客户端应用功能、终端VPN功能、Socks5数据转发功能和Socks5代理功能,客户端终端采用在应用层级别上利用Socks5协议进行数据转发以搭建安全接入VPN的方式;
所述服务器端与客户端终端建立SSL连接;通过建立SSL VPN通道实现连接通信。
2.根据权利要求1所述的移动SSL VPN系统,其特征在于:所述客户端终端应用到服务器端应用被异地的Socks5代理中继分为从终端应用程序到VPN终端、从VPN终端到VPN局端、从VPN局端到内网服务器三段TCP连接;Socks代理的逻辑和访问控制由服务器端来完成,终端代理只负责数据转发。
3.根据权利要求2所述的移动SSL VPN系统,其特征在于:所述从终端应用程序到VPN终端和从VPN局端到内网服务器的两段TCP连接均为固网连接。
4.根据权利要求2所述的移动SSL VPN系统,其特征在于:所述从VPN终端到VPN局端的TCP连接包含移动网络连接,利用队列缓存机制,在无线连接中断期间自动按顺序缓存用户数据,连接重新恢复后继续传输,并且通过进行优化以适应无线网络环境的不稳定性。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009202124395U CN201657020U (zh) | 2009-12-04 | 2009-12-04 | 一种基于异地Socks5代理的移动SSL VPN系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009202124395U CN201657020U (zh) | 2009-12-04 | 2009-12-04 | 一种基于异地Socks5代理的移动SSL VPN系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN201657020U true CN201657020U (zh) | 2010-11-24 |
Family
ID=43122248
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009202124395U Expired - Fee Related CN201657020U (zh) | 2009-12-04 | 2009-12-04 | 一种基于异地Socks5代理的移动SSL VPN系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN201657020U (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106131035A (zh) * | 2016-07-21 | 2016-11-16 | 成都火云网安科技有限公司 | 一种安全的私有云内服务器接受外部连接的方法 |
| CN106900077A (zh) * | 2015-12-18 | 2017-06-27 | 华耀(中国)科技有限公司 | 一种智能终端的vpn网络自动恢复系统及方法 |
| CN109347817A (zh) * | 2018-10-12 | 2019-02-15 | 厦门安胜网络科技有限公司 | 一种网络安全重定向的方法及装置 |
| CN113965577A (zh) * | 2021-08-31 | 2022-01-21 | 联通沃音乐文化有限公司 | 一种智能切换Socks5代理服务器节点的系统与方法 |
-
2009
- 2009-12-04 CN CN2009202124395U patent/CN201657020U/zh not_active Expired - Fee Related
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106900077A (zh) * | 2015-12-18 | 2017-06-27 | 华耀(中国)科技有限公司 | 一种智能终端的vpn网络自动恢复系统及方法 |
| CN106131035A (zh) * | 2016-07-21 | 2016-11-16 | 成都火云网安科技有限公司 | 一种安全的私有云内服务器接受外部连接的方法 |
| CN109347817A (zh) * | 2018-10-12 | 2019-02-15 | 厦门安胜网络科技有限公司 | 一种网络安全重定向的方法及装置 |
| CN109347817B (zh) * | 2018-10-12 | 2021-06-25 | 厦门安胜网络科技有限公司 | 一种网络安全重定向的方法及装置 |
| CN113965577A (zh) * | 2021-08-31 | 2022-01-21 | 联通沃音乐文化有限公司 | 一种智能切换Socks5代理服务器节点的系统与方法 |
| CN113965577B (zh) * | 2021-08-31 | 2024-02-27 | 联通沃音乐文化有限公司 | 一种智能切换Socks5代理服务器节点的系统与方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101729543B (zh) | 利用异地Socks5技术改善移动SSL VPN性能的方法 | |
| CN103765842B (zh) | 用于建立端到端的安全连接和用于安全地传送数据分组的方法、设备以及系统 | |
| US8020201B2 (en) | Selecting a security format conversion for wired and wireless devices | |
| CA2611776C (en) | Method and communication unit for communicating between communication apparatuses | |
| CN110753327B (zh) | 一种基于无线自组网和LoRa的终端物联接入系统 | |
| CN101938485B (zh) | 基于双向安全认证的点对点协议的IP Camera服务实现方法 | |
| CN106656960B (zh) | 一种基于Hilscher的可信数据采集系统和方法 | |
| CN102083023B (zh) | 一种远程控制设备重启的方法、系统和设备 | |
| CN103475655A (zh) | 一种实现IPSecVPN主备链路动态切换的方法 | |
| CN102404158B (zh) | 网络故障处理的方法、装置与系统 | |
| CN201657020U (zh) | 一种基于异地Socks5代理的移动SSL VPN系统 | |
| US20200120134A1 (en) | Synchronizing link and event detection mechanisms with a secure session associated with the link | |
| CN110022374A (zh) | 基于物联网的网络连接方法、装置、通信设备及存储介质 | |
| CN104426732A (zh) | 一种高速传输隧道的实现方法及系统 | |
| CN107528923B (zh) | 一种网络适配器的数据传输方法及网络适配器 | |
| CN211352206U (zh) | 基于量子密钥分发的IPSec VPN密码机 | |
| CN112822216A (zh) | 一种用于物联网子设备绑定的认证方法 | |
| CN113794715B (zh) | 一种虚拟点对点网络数据发送方法及其系统 | |
| CN100583891C (zh) | 一种通讯加密的方法与系统 | |
| Yan et al. | Design and Application of Security Gateway for Transmission Line Panoramic Monitoring Platform based on Microservice Architecture | |
| CN207869118U (zh) | 基于量子加密交换机装置的数据传输系统 | |
| CN112769926A (zh) | 一种物联网中心、系统和通信方法 | |
| CN112953937B (zh) | 一种电力可信计算平台通信端到端安全通信系统 | |
| WO2022012355A1 (zh) | 安全通信方法、相关装置及系统 | |
| CN117857226B (zh) | 基于工业互联网多边平台的安全通信方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101124 Termination date: 20131204 |