WO2011091688A1 - 报文传输方法、装置及网络系统 - Google Patents
报文传输方法、装置及网络系统 Download PDFInfo
- Publication number
- WO2011091688A1 WO2011091688A1 PCT/CN2010/079593 CN2010079593W WO2011091688A1 WO 2011091688 A1 WO2011091688 A1 WO 2011091688A1 CN 2010079593 W CN2010079593 W CN 2010079593W WO 2011091688 A1 WO2011091688 A1 WO 2011091688A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- address
- packet
- port number
- sent
- control policy
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
Description
本申请要求于 2010 年 1 月 27 日提交中国专利局, 申请号为 201010104324.1 , 发明名称为 "报文传输方法、 装置及网络系统" 的中国专 利申请的优先权, 其全部内容通过引用结合在本申请中。 技术领域
本发明涉及通信技术领域, 特别涉及一种报文传输方法、 装置及网络系 统。 背景技术
在安全套接层协议 ( Security Socket Layer Protocol, SSL )虚拟专用网 ( Virtual Private Network, VPN ) 网络中, 客户端登陆 SSL VPN后能通过网 络扩展功能访问内网, 因此, 对于一些公开业务的报文, 客户端可以直接传 输到内网,对于一些受保护业务的报文,客户端需要通过 SSL VPN将受保护 业务的报文传到内网。
现有技术提供的网络拓朴结构如图 1所示,客户端在登陆 SSL VPN之后, 客户端软件对不需要通过 SSL VPN传输的报文 (即公开业务的报文 )不加隧 道 IP地址, 不走 VPN隧道直接向内网服务器发送, 该报文的源 IP地址为外 网的 IP地址 (例如图 1 中 PortB发出的报文, 外网的 IP地址为 50.1.1.1 ); 对需要通过 SSL VPN传输给内网的报文 (受保护业务的报文 )加入隧道 IP 地址后通过 VPN P遂道发送,此时发出的 4艮文的源 IP地址为外网的 IP地址(例 如图 1中 PortA发出的报文, 外网的 IP地址为 50.1.1.1 ), 防火墙根据该隧道 IP地址将该报文发送到 SSL VPN, SSL VPN为该客户端分配一个虚拟 IP地 址(例如图 1中的 192.168.0.X ), 将报文中的源 IP地址(即外网 IP地址, 例 如图 1中的 50.1.1.1 ) 改为该虚拟 IP地址(如图 1中的 192.168.0.X ), 以便 实现外网与内网通信,相应的,对应该虚拟 IP地址在内网上划分出一块私有 网段专用于通过 SSL VPN与外网进行通信。
发明人在实现本发明的过程中发现。 现有技术中由于需要在内网上划出
私有网段专用于通过 SSL VPN与外网通信, 所以内网的拓朴结构会发生改 变, 同时, 由于内网上划分了私有网络, 所以内网的管理策略等也会发生变 化。尤其在多个客户端需要通过 SSL VPN访问内网时,还需要分配大量的虚 拟 IP地址, 同时需要在内网上划分出多个私有网络,从而会改变内网的拓朴 结构。 发明内容
本发明实施例提供一种报文传输方法、 装置及网络系统, 可以在不改变 根据本发明实施例的一个方面, 本发明实施例提供一种方法:
一种报文传输方法, 包括:
通过 VPN隧道接收客户端发送的加密报文, 所述加密报文是客户端根据 预设的控制策略判断所述控制策略中包含有与待发送报文的目的 IP地址和目 的端口号相同的 IP地址和端口号后对待发送的报文加密后发送的,所述控制策 略中包含有能够与安全套接层协议虚拟专用网 SSL VPN服务器进行报文交互 的内网服务器的 IP地址和端口号信息;
对所述加密报文进行解密;
将解密后的报文发送给相应的内网服务器,所述解密后的报文的源 IP地址 是外网 IP地址。
一种报文传输方法, 包括:
判断预设的控制策略中是否包含有与待发送报文的目的 IP地址和目的端 口号相同的 IP地址和端口号, 所述预设的控制策略中包含有能够与 SSL VPN 服务器进行报文交互的内网服务器的 IP地址和端口号信息;
当所述预设的控制策略中包含有与所述待发送报文的目的地址和目的端 口号相同的 IP地址和端口号时, 将所述待发送报文加密后通过 VPN隧道发出; 当所述预设的控制策略中不包含与所述待发送报文的目的地址和目的端 口号相同的 IP地址和端口号时,将所述待发送报文发送出去,所述待发送报文 没有通过 VPN隧道进行发送。
一种 SSL VPN服务器, 包括:
第一接收单元, 用于通过 VPN隧道接收客户端发送的加密报文, 所述加 密报文是客户端根据预设的控制策略判断所述控制策略中包含有与待发送报 文的目的 IP地址和目的端口号相同的 IP地址和端口号后对待发送的^艮文加密 后发出的, 所述控制策略中包含有能够与安全套接层协议虚拟专用网 SSL VPN服务器进行报文交互的内网服务器的 IP地址和端口号信息;
解密单元, 用于对所述加密报文进行解密;
第一发送单元, 用于将解密后的报文发送给相应的内网服务器, 所述解 密后的报文的源 IP地址是外网 IP地址。
一种客户端, 包括:
判断单元,用于判断预设的控制策略中是否包含有与待发送报文的目的 IP 地址和目的端口号相同的 IP地址和端口号 ,所述预设的控制策略中包含有能够 与 SSL VPN服务器进行报文交互的内网服务器的 IP地址和端口号信息;
加密单元, 用于在判断单元的判断结果为所述预设的控制策略中包含有 与待发送报文的目的 IP地址和目的端口号相同的 IP地址和端口号时,对所述待 发送报文进行加密;
发送单元, 用于在判断单元的判断结果为预设的控制策略中包含有与待 发送 文的目的 IP地址和目的端口号相同的 IP地址和端口号时,将加密单元加 密后的报文通过 VPN隧道发出; 在判断单元的判断结果为预设的控制策略中 没有包含与待发送报文的目的 IP地址和目的端口号相同的 IP地址和端口号时, 直接将所述待发送报文发出, 所述待发送报文没有通过 VPN隧道进行发送。
一种网络系统, 包括: 上述 SSL VPN服务器以及客户端。
本发明实施例中控制策略中的 IP地址和端口号是对应 SSL VPN的内网服 务器的 IP地址和端口号, SSL VPN服务器从 VPN隧道接收的客户端的报文是客 户端判断控制策略中包含有与待发送报文的目的 IP地址和目的端口号相同的 IP地址和端口号后对待发送的报文加密后发出的,由于 SSL VPN服务器可以根 据该报文的目的 IP地址和目的端口号获知处理该报文(此时该报文是受保护业 务的报文)的内网服务器的网段, 因此不需要分配虚拟 IP地址, 而是保持该报 文的源 IP地址不变, 即该报文的源 IP地址依然为外网 IP地址, 因而不需要内网 服务器上再划出私有网段专用于通过 SSL VPN与外网进行通信了, 所以不用
改变网络拓朴。 附图说明
为了更清楚地说明本发明实施例的技术方案, 下面将对实施例中所需要 使用的附图作简单地介绍, 显而易见地, 下面描述中的附图仅仅是本发明的 一些实施例, 对于本领域普通技术人员来讲, 在不付出创造性劳动的前提下, 还可以根据这些附图获得其他的附图。
图 1是现有技术提供的报文传输示意图;
图 2是本发明实施例提供的报文传输方法流程图;
图 3是本发明另一实施例提供的报文传输方法流程图;
图 4 A是本发明又一实施例提供的报文传输方法流程图;
图 4B是本发明又一实施例提供的报文传输示意图;
图 5A是本发明又一实施例提供的报文传输方法流程图;
图 5B是本发明又一实施例提供的报文传输示意图;
图 6A是本发明实施例提供的一种 SSL VPN服务器结构图;
图 6B是本发明实施例提供的另一种 SSL VPN服务器结构图;
图 7是本发明实施例提供的客户端结构图;
图 8A是本发明实施例提供的网络系统结构图;
图 8B是本发明另一实施例提供的网络系统结构图。 具体实施方式
下面将结合本发明实施例中的附图, 对本发明实施例中的技术方案进行 清楚、 完整地描述, 显然, 所描述的实施例仅仅是本发明一部分实施例, 而 不是全部的实施例。 基于本发明中的实施例, 本领域普通技术人员在没有做 出创造性劳动前提下所获得的所有其他实施例, 都属于本发明保护的范围。
参阅图 2, 图 2为本发明实施例提供一种报文传输方法的流程图, 该方 法包括:
201、 通过 VPN隧道接收客户端发送的加密报文。
其中, 加密报文是客户端根据预设的控制策略判断所述控制策略中包含
有与待发送 文的目的 IP地址和目的端口号相同的 IP地址和端口号后对待发 送的报文加密后发送的, 所述控制策略中包含有能够与安全套接层协议虚拟 专用网 SSL VPN服务器进行报文交互的内网服务器的 IP地址和端口号信息,内 网服务器的 IP地址和端口号能够标识内网服务器的一个具体的网段。
202、 对所述加密报文进行解密。
203、 将解密后的报文发送给相应的内网服务器。
其中,所述解密后的报文包括目的 IP地址和目的端口号,所述解密后的报 文的源 IP地址是外网 IP地址。
该方法各步骤的执行主体可以是 SSL VPN服务器。
本发明实施例中 SSL VPN服务器可以分别与路由设备和内网服务器连接, 或者, SSL VPN服务器仅与路由设备连接, 不与内网服务器连接。 其中, 路 由设备可以是防火墙或者路由器。
当 SSL VPN服务器分别与路由设备和内网服务器连接时, 客户端发送的 报文 (包括客户端通过 VPN隧道发出的报文和不通过 VPN隧道直接发出的报 文)被路由设备拉截, 路由设备将所拦截的报文透传给 SSL VPN服务器, SSL VPN服务器将所接收的客户端不是通过 VPN隧道发出的报文透传输出到相应 的内网服务器。 而且, 该 SSL VPN服务器还可以接收到来自内网服务器的响 应 ·艮文;当预设的控制策略中包含有与所述响应 文的源 IP地址和源端口号相 同的 IP地址和端口号时, 将所述响应报文加密后通过 VPN隧道向客户端发送; 当预设的控制策略中没有包含与所述响应报文的源 IP地址和源端口号相同的 IP地址和端口号时, 将所述响应 ^艮文透传输出到客户端。
当 SSL VPN服务器仅与路由设备连接, 不与内网服务器连接时, SSL VPN 服务器将解密后的报文向内网服务器发出后被路由设备拦截, 路由设备将所 拦截的报文发送到内网服务器。 该 SSL VPN服务器还接收经由路由设备转发 的内网服务器的响应报文, 并将所述响应报文加密后通过 VPN隧道向客户端 发送,其中,该响应报文是路由设备判断控制策略中包含有与响应报文的源 IP 地址和源端口号相同的 IP地址和端口号后转发给 SSL VPN服务器的。
本发明实施例中控制策略中的 IP地址和端口号是对应 SSL VPN的内网服 务器的 IP地址和端口号, SSL VPN服务器从 VPN隧道接收的客户端的报文是客
户端判断控制策略中包含有与待发送报文的目的 IP地址和目的端口号相同的 IP地址和端口号后对待发送的报文加密后发出的,由于 SSL VPN服务器可以根 据该报文的目的 IP地址和目的端口号获知处理该报文(此时该报文是受保护业 务的报文)的内网服务器的网段, 因此不需要分配虚拟 IP地址, 而是保持该报 文的源 IP地址不变, 即该报文的源 IP地址依然为外网 IP地址, 因而不需要内网 服务器上再划出私有网段专用于通过 SSL VPN与外网进行通信了, 所以不用 改变网络拓朴。
参阅图 3 , 本发明实施例提供一种报文传输方法, 该方法包括:
301、 判断预设的控制策略中是否包含有与待发送报文的目的 IP地址和目 的端口号相同的 IP地址和端口号, 所述预设的控制策略中包含有能够与 SSL VPN服务器进行报文交互的内网服务器的 IP地址和端口号信息;当所述预设的 控制策略中包含有与所述待发送报文的目的地址和目的端口号相同的 IP地址 和端口号时, 执行 302; 当所述预设的控制策略中不包含与所述待发送报文的 目的地址和目的端口号相同的 IP地址和端口号时, 执行 303。
其中, 本发明实施例各步骤的执行主体可以是客户端, 客户端上的控制 策略是客户端登陆 SSL VPN时从 SSL VPN服务器下载的,本发明实施例及后续 实施例中的控制策略中包含有能够与 SSL VPN服务器进行报文交互的内网服 务器的 IP地址和端口号信息, 其中, 内网服务器的 IP地址和端口号能够标识内 网服务器的一个具体的网段。
302、 将所述待发送报文加密后通过 VPN隧道发出, 结束本流程。
303、 将所述待发送报文发送出去, 所述待发送报文没有通过 VPN隧道进 行发送。
其中, 客户端判断预设的控制策略中是否包含有与待发送报文的目的 IP 地址和目的端口号相同的 IP地址和端口号,由于控制策略中的 IP地址和端口号 是能够与 SSL VPN服务器进行报文交互的内网服务器的 IP地址和端口号,所以 如果判断结果为否, 则表示该待发送报文为公开业务的报文, 对于这些公开 业务的报文不需要通过 SSL VPN传送, 可以直接将该报文发出, 此时报文不 走 VPN隧道; 如果判断结果为是, 则表示该待发送报文为受保护业务的报文, 对于这些受保护业务的报文需要通过 SSL VPN传送, 所以将待发送报文加密
并封装隧道 IP地址后通过 VPN隧道发出。
本发明实施例中控制策略中的 IP地址和端口号是对应 SSL VPN的内网服 务器的 IP地址和端口号,客户端判断控制策略中包含有与待发送报文的目的 IP 地址和目的端口号相同的 IP地址和端口号后对待发送的^艮文加密后通过 VPN 隧道发出,使 SSL VPN服务器可以根据该报文的目的 IP地址和目的端口号获知 处理该报文的内网服务器的网段, 因此不需要分配虚拟 IP地址, 而是保持该报 文的源 IP地址不变, 即该报文的源 IP地址依然为外网 IP地址, 因而不需要内网 服务器上再划出私有网段专用于通过 SSL VPN与外网进行通信了, 所以不用 改变网络拓朴。
为了使本发明提供的技术方案更加清楚明白, 如下两个实施例对本发明 提供的技术方案进行详细介绍。
参阅图 4A和图 4B, 本发明一实施例提供一种报文传输方法, 该实施例 中 SSL VPN分别与路由设备和内网服务器连接,该实施例中路由设备为防火 墙, 该 4艮文传输方法包括:
401A、 客户端判断预设的控制策略中是否包含有与待发送报文的目的 IP 地址和目的端口号相同的 IP地址和端口号,如果否,不通过 VPN隧道而直接向 内网服务器发送该报文(见图 4B中从 PortB口发出的报文); 如果是, 对该待 发送报文(见图 4B中从 PortA口发出的报文)进行加密并封装隧道 IP地址后通 过 VPN隧道向 SSL VPN服务器发送。
需要说明的是, 在该步骤之前, 客户端登陆 SSL VPN时, 需要从 SSL VPN 服务器下载控制策略。
402A、 防火墙拦截来自客户端的报文, 将所拦截的报文向 SSL VPN服务 器发送。
403A、 SSL VPN服务器将从 VPN隧道接收的报文解密, 向内网服务器发 送解密后的报文, 其中, 该解密后的报文的源 IP地址是外网 IP地址, 并保存该 解密后的报文的目的 IP地址、 目的端口号以及与 VPN隧道(该 VPN隧道是上述 接收报文的 VPN隧道 ) 的对应关系; 将不是从 VPN隧道接收的报文直接透传 输出到内网服务器。
404A、 内网服务器接收 SSL VPN服务器输出的报文, 并对所接收的报
文返回响应报文, 该响应报文的源 IP地址、 源端口号分别为所接收报文的目 的 IP地址和目的端口号。
405A、 SSL VPN服务器接收来自内网服务器的响应报文, 判断预设的控 制策略中是否包含有与响应 4艮文的源 IP地址和源端口号相同的 IP地址和端口 号, 如果是, 根据步骤 403 A中保存的对应关系, 确定源 IP地址、 源端口号所 对应的 VPN隧道, 将响应报文(如图 4B中 Portl发出的报文)加密后通过 VPN 隧道向客户端发送; 如果否, 直接将响应报文(如图 4B中 Port2发出的报文) 透传输出。
该步骤中 SSL VPN服务器预设的控制策略中是否包含有与响应报文的源 IP地址和源端口号相同的 IP地址和端口号,如果预设的控制策略中没有包含与 响应 文的源 IP地址和源端口号相同的 IP地址和端口号,则表示该响应 文为 公开业务的报文, 对于这些公开业务的报文不需要通过 SSL VPN传送, 可以 直接将该报文透传输出, 此时直接将响应报文透传输出; 如果预设的控制策 略中包含有与响应报文的源 IP地址和源端口号相同的 IP地址和端口号,则表示 该响应报文为受保护业务的报文, 对于这些受保护业务的报文需要通过 VPN 隧道传送,需要将受保护业务的报文加密并封装隧道 IP地址后通过 VPN隧道发 出。
406A、 防火墙拦截来自 SSL VPN服务器的报文, 将所拦截的报文发送给 客户端。
本发明实施例中客户端通过判断控制策略中是否包含有与待发送报文的 目的 IP地址和目的端口号相同的 IP地址和端口号来确定该待发送 ^艮文是否经 由 VPN隧道发送, SSL VPN服务器通过判断控制策略中是否包含有与响应报 文的源 IP地址和源端口号相同的 IP地址和端口号来确定该响应 4艮文是否经由 VPN隧道发送,由于待发送报文和响应报文中都含有内网服务器的 IP地址和端 口号, 使 SSL VPN服务器能知道与自己交互报文的内网服务器的网段, 因而 在客户端通过 SSL VPN访问内网服务器时 SSL VPN服务器不用转换 IP地址,在 不改变内网服务器的网络拓朴的同时实现对某些业务提供 SSL VPN访问保护 功能。
参阅图 5A和图 5B, 本发明又一实施例提供一种报文传输方法, 该实施例
中, SSL VPN仅与路由设备连接, 不与内网服务器连接, 该实施例中路由设 备为防火墙, 该报文传输方法具体包括:
501A、 客户端判断预设的控制策略中是否包含有与待发送报文的目的 IP 地址和目的端口号相同的 IP地址和端口号,如果否,不通过 VPN隧道而直接向 内网服务器发送该报文(见图 5B中从 PortB口发出的报文); 如果是, 对该待 发送报文(见图 5B中从 PortA口发出的报文)进行加密并封装隧道 IP地址后通 过 VPN隧道向 SSL VPN服务器发送, 进入 502A。
需要说明的是, 在该步骤之前, 客户端登陆 SSL VPN时, 需要从 SSL VPN 服务器下载控制策略。
502A、 防火墙拦截客户端的报文, 当确定所拦截的报文封装了隧道 IP 地址 (即所拦截的客户端的报文是客户端通过 VPN隧道发出的报文)时, 进 入 503A; 当确定所拦截的报文没有封装隧道 IP地址 (即所拦截的客户端的 报文不是经由 VPN隧道的报文 ) 时, 进入 506A。
503A、 防火墙将所拦截的报文向 SSL VPN服务器发送, 进入 504 A。
504A、 SSL VPN服务器将从 VPN隧道接收的报文解密后发出, 该解密 后的报文的源 IP地址为外网 IP地址, 并保存该解密后的报文中的目的 IP地 址、目的端口号两者与 VPN隧道(该 VPN隧道是上述接收报文的 VPN隧道 ) 的对应关系, 进入 505 A。
505A、 防火墙拦截 SSL VPN服务器发出的报文并向内网服务器发送, 进入 507A。
506A、 防火墙将所拦截的报文直接向内网服务器发送, 进入 507A。
507A、内网服务器接收客户端的报文,并对所接收的报文发出响应报文, 该响应 文的源 IP地址、 源端口号分别为所接收^艮文的目的 IP地址和目的 端口号, 进入 508A。
508A、 防火墙拦截来自内网服务器的响应报文, 判断预设的控制策略中 是否包含有与响应报文的源 IP地址和源端口号相同的 IP地址和端口号, 如 果是, 进入 509A, 如果否, 进入 512A。
509A、 防火墙将响应报文向 SSL VPN服务器发送, 进入 510A。
具体可参见如图 5B中 Portl发出的报文。
510A、 SSL VPN服务器根据响应报文中的源 IP地址、 源端口号及保存 的对应关系 , 确定源 IP地址、 源端口号两者所对应的 VPN隧道 , 将响应才艮 文加密并封装隧道 IP地址后通过所确定的 VPN 隧道向客户端发出, 进入 511A。
511A、 防火墙拦截 SSL VPN服务器所发出的加密后的响应报文, 将所 拦截的报文发送到客户端, 结束本流程。
512A、 防火墙将来自内网服务器的响应报文透传输出到客户端。
具体可参见如图 5B中 Port2发出的报文。
本发明实施例中客户端通过判断控制策略中是否包含有与待发送报文的 目的 IP地址和目的端口号相同的 IP地址和端口号来确定该待发送 ^艮文是否经 由 VPN隧道发送, 防火墙通过判断控制策略中是否包含有与响应报文的源 IP 地址和源端口号相同的 IP地址和端口号来确定该响应报文是否经由 VPN隧道 发送, 由于待发送报文和响应报文中都含有内网服务器的 IP地址和端口号,使 SSL VPN服务器能知道与自己交互报文的内网服务器的网段, 因而在客户端 通过 SSL VPN访问内网服务器时不用转换 IP地址,在不改变内网服务器的网络 拓朴的同时实现对某些业务提供 SSL VPN访问保护功能; 进一步, 该方法中 在防火墙之后旁路布置 SSL VPN服务器,使 SSL VPN服务器出现异常时, 防火 墙仍然能将公开业务的报文直接发送给内网服务器, 使这些公开业务不会中 断。
参阅图 6A和图 6B, 本发明实施例提供一种 SSL VPN服务器, 其中, SSL VPN服务器可以包括:
第一接收单元 601 , 用于通过 VPN隧道接收客户端发出的加密报文; 其中, 所述加密报文是客户端根据预设的控制策略判断所述控制策略中 包含有与待发送报文的目的 IP地址和目的端口号相同的 IP地址和端口号后对 待发送的报文加密后发出的, 所述控制策略中包含有能够与安全套接层协议 虚拟专用网 SSL VPN服务器进行报文交互的内网服务器的 IP地址和端口号信 息。
解密单元 602, 用于对所述加密报文进行解密;
第一发送单元 603 , 用于将解密后的报文发送给相应的内网服务器, 所述 解密后的报文的源 IP地址是外网 IP地址。
具体的, 第一接收单元 601还用于不通过 VPN隧道接收客户端发出的报 文; 第一发送单元 603还用于将不通过 VPN隧道接收的报文透传输出到相应的 内网服务器。
进一步的, 在一种情况下, 参阅图 6A, 本发明实施例所示 SSL VPN服务 器还可以包括:
第二接收单元 604, 用于接收来自内网服务器的响应报文;
判断单元 605, 用于判断预设的控制策略中是否包含有与所述响应报文的 源 IP地址和源端口号相同的 IP地址和端口号;
第一加密单元 606, 用于当判断单元 605的判断结果为是时, 对所述响应 报文进行加密;
第二发送单元 607, 用于当判断单元 605的判断结果为否时, 将所述响应 报文透传输出到客户端; 当判断单元 605的判断结果为是时, 将第一加密单元 606加密后的响应报文向客户端发送。
进一步的, 本发明实施例还可以包括:
保存单元 608, 用于保存解密后的报文中目的 IP地址、 目的端口号与所述 VPN隧道的对应关系。
具体的, 第二发送单元 607在判断单元 605的判断结果为是时, 根据保存 单元 608所保存的对应关系, 经由与源 IP地址、 源端口号对应的 VPN隧道向客 户端发送第一加密单元 606加密后的响应 4艮文。
进一步的, 在另一种情况下, 参阅图 6B, 本发明实施例所示的 SSL VPN 服务器还可以包括:
保存单元 608, 用于保存解密后的报文中目的 IP地址、 目的端口号与所述 VPN隧道的对应关系;
第三接收单元 609, 用于接收经由路由设备转发的内网服务器的响应报 文; 所述响应报文是所述路由设备根据预设的控制策略判断所述控制策略中 包含有与所述响应 文的源 IP地址和源端口号相同的 IP地址和端口号后转发
给 SSL VPN服务器的;
第二加密单元 610, 用于对所述响应^艮文进行加密;
第三发送单元 611 , 用于将所述第二加密单元 610加密后的响应报文向客 户端发送。 与源 IP地址、 源端口号对应的 VPN隧道向客户端发送第二加密单元 610加密后 的响应 4艮文。
本发明实施例中控制策略中的 IP地址和端口号是对应 SSL VPN的内网服 务器的 IP地址和端口号, SSL VPN服务器从 VPN隧道接收的客户端的报文是客 户端判断控制策略中包含有与待发送报文的目的 IP地址和目的端口号相同的 IP地址和端口号后对待发送的报文加密后发出的,由于 SSL VPN服务器可以根 据该报文的目的 IP地址和目的端口号获知处理该报文(此时该报文是受保护业 务的报文)的内网服务器的网段, 因此不需要分配虚拟 IP地址, 而是保持该报 文的源 IP地址不变, 即该报文的源 IP地址依然为外网 IP地址, 因而不需要内网 服务器上再划出私有网段专用于通过 SSL VPN与外网进行通信了, 所以不用 改变网络拓朴。
参阅图 7, 本发明实施例提供一种客户端, 包括:
判断单元 701 , 用于判断预设的控制策略中是否包含有与待发送报文的目 的 IP地址和目的端口号相同的 IP地址和端口号 ,所述预设的控制策略中包含有 能够与 SSL VPN服务器进行报文交互的内网服务器的 IP地址和端口号信息; 加密单元 702, 用于在判断单元 701的判断结果为预设的控制策略中包含 有与待发送报文的目的 IP地址和目的端口号相同的 IP地址和端口号时,对所述 待发送报文进行加密;
发送单元 703 , 用于将加密单元 702加密后的报文通过 VPN隧道发出; 或 在判断单元 701的判断结果为预设的控制策略中没有包含与待发送报文的目 的 IP地址和目的端口号相同的 IP地址和端口号时, 直接将所述待发送 文发 出, 所述待发送报文没有通过 VPN隧道进行发送。
其中, 客户端判断预设的控制策略中是否包含有与待发送报文的目的 IP 地址和目的端口号相同的 IP地址和端口号,由于控制策略中的 IP地址和端口号
是能够与 SSL VPN服务器进行报文交互的内网服务器的 IP地址和端口号,所以 如果判断结果为否, 则表示该待发送报文为公开业务的报文, 对于这些公开 业务的报文不需要通过 SSL VPN传送, 可以直接将该报文发出, 此时报文不 走 VPN隧道; 如果判断结果为是, 则表示该待发送报文为受保护业务的报文, 对于这些受保护业务的报文需要通过 SSL VPN传送, 所以将待发送报文加密 并封装隧道 IP地址后通过 VPN隧道发出。
本发明实施例中控制策略中的 IP地址和端口号是对应 SSL VPN的内网服 务器的 IP地址和端口号,客户端判断控制策略中包含有与待发送报文的目的 IP 地址和目的端口号相同的 IP地址和端口号后对待发送的^艮文加密后通过 VPN 隧道发出,使 SSL VPN服务器可以根据该报文的目的 IP地址和目的端口号获知 处理该报文的内网服务器的网段, 因此不需要分配虚拟 IP地址, 而是保持该报 文的源 IP地址不变, 即该报文的源 IP地址依然为外网 IP地址, 因而不需要内网 服务器上再划出私有网段专用于通过 SSL VPN与外网进行通信了, 所以不用 改变网络拓朴。
参阅图 8A和图 8B, 本发明实施例提供一种网络系统, 其包括: 客户端 81、 SSL VPN服务器 82;
客户端 81 ,用于判断预设的控制策略中是否包含有与待发送报文的目的 IP 地址和目的端口号相同的 IP地址和端口号 ,所述预设的控制策略中包含有能够 与 SSL VPN服务器进行报文交互的内网服务器的 IP地址和端口号信息;当所述 预设的控制策略中包含有与所述待发送报文的目的地址和目的端口号相同的 IP地址和端口号时,将所述待发送报文加密后通过 VPN隧道发出; 当所述预设 的控制策略中不包含与所述待发送报文的目的地址和目的端口号相同的 IP地 址和端口号时, 直接将所述待发送报文发出, 所述直接发出的待发送报文不 通过 VPN隧道;
SSL VPN服务器 82,用于通过 VPN隧道接收客户端发出的加密报文,所述 加密报文是客户端根据预设的控制策略判断所述控制策略中包含有与待发送 才艮文的目的 IP地址和目的端口号相同的 IP地址和端口号后对待发送的^艮文加 密后发出的, 所述控制策略中包含有能够与安全套接层协议虚拟专用网 SSL VPN服务器进行报文交互的内网服务器的 IP地址和端口号信息;对所述加密报
文进行解密; 将解密后的报文发送给相应的内网服务器, 所述解密后的报文 包括目的 IP地址和目的端口号, 所述解密后的报文的源 IP地址是外网 IP地址; 不通过 VPN隧道接收客户端发出的报文; 将不通过 VPN隧道接收的报文透传 输出到相应的内网服务器。
参阅图 8A ,该网络系统还包括内网服务器 83和路由设备 84,此时 S SL VPN 服务器 82直路部署于路由设备 84与内网服务器 83之间;
路由设备 84可以用于拦截客户端的报文, 将所拦截的报文向 SSL VPN服 务器 72发送;
其中所拦截的报文包括客户端 81通过 VPN隧道发出的报文以及不通过 VPN隧道发出的报文。
SSL VPN服务器 82, 还用于接收来自内网服务器 83的响应报文; 当预设 的控制策略中包含有与所述响应报文的源 IP地址和源端口号相同的 IP地址和 端口号时, 将所述响应报文加密后通过 VPN隧道向客户端发送; 当预设的控 制策略中没有包含与所述响应 4艮文的源 IP地址和源端口号相同的 IP地址和端 口号时, 将所述响应报文透传输出到客户端。
或者, 参阅图 8B, 该网络系统还包括: 内网服务器 93和路由设备 94, 此 时, SSL VPN服务器 82仅与路由设备 94连接, 不与内网服务器 93连接。
路由设备 94,用于拦截客户端的报文, 当所拦截的报文是客户端通过 VPN 隧道发出的报文时, 将所拦截的报文向 SSL VPN服务器发送; 拦截 SSL VPN 服务器发出的解密后的报文并向内网服务器发送。
路由设备 94, 还用于拦截内网服务器的响应报文, 判断预设的控制策略 中是否包含有与响应报文的源 IP地址和源端口号相同的 IP地址和端口号,如果 是, 将响应报文转发到 SSL VPN服务器上; 如果否, 将响应报文透传到客户 端;
SSL VPN服务器, 还用于接收由路由设备转发的内网服务器的响应报文, 将响应报文加密后通过 VPN隧道向客户端发送。
其中, 该实施例中的路由设备可以是防火墙或者路由器。
本发明实施例中客户端通过判断控制策略中是否包含有与待发送报文的 目的 IP地址和目的端口号相同的 IP地址和端口号来确定该待发送 ^艮文是否经
由 VPN隧道发送, SSL VPN服务器或者路由设备通过判断控制策略中是否包 含有与响应 文的源 IP地址和源端口号相同的 IP地址和端口号来确定该响应 报文是否经由 VPN隧道发送, 由于待发送报文和响应报文中都含有内网服务 器的 IP地址和端口号,使 SSL VPN服务器能知道与自己交互报文的内网服务器 的网段, 因而在客户端通过 SSL VPN访问内网服务器时不用转换 IP地址,在不 改变内网服务器的网络拓朴的同时实现对某些业务提供 SSL VPN访问保护功 能; 进一步, 该方法中在防火墙之后旁路布置 SSL VPN服务器, 使 SSL VPN 服务器出现异常时, 防火墙仍然能将公开业务的报文直接发送给内网服务器, 使这些公开业务不会中断。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤 是可以通过程序来指令相关的硬件完成, 所述的程序可以存储于一种计算机 可读存储介质中, 例如只读存储器, 磁盘或光盘等。
以上对本发明实施例所提供的报文传输方法、 装置及网络系统进行了详 上实施例的说明只是用于帮助理解本发明的方法及其核心思想; 同时, 对于 本领域的一般技术人员, 依据本发明的思想, 在具体实施方式及应用范围上 均会有改变之处, 综上所述, 本说明书内容不应理解为对本发明的限制。
Claims
1、 一种报文传输方法, 其特征在于, 包括:
通过 VPN隧道接收客户端发送的加密报文, 所述加密报文是客户端根据 预设的控制策略判断所述控制策略中包含有与待发送报文的目的 IP地址和目 的端口号相同的 IP地址和端口号后对待发送的报文加密后发送的,所述控制策 略中包含有能够与安全套接层协议虚拟专用网 SSL VPN服务器进行报文交互 的内网服务器的 IP地址和端口号信息;
对所述加密报文进行解密;
将解密后的报文发送给相应的内网服务器,所述解密后的报文的源 IP地址 是外网 IP地址。
2、 根据权利要求 1所述的方法, 其特征在于, 还包括:
不通过 VPN隧道接收客户端发送的报文;
将不通过 VPN隧道接收的报文透传输出到相应的内网服务器。
3、 根据权利要求 1所述的方法, 其特征在于, 还包括:
接收来自内网服务器的响应报文;
当预设的控制策略中包含有与所述响应 文的源 IP地址和源端口号相同 的 IP地址和端口号时, 将所述响应报文加密后通过 VPN隧道向客户端发送; 当预设的控制策略中没有包含与所述响应报文的源 IP地址和源端口号相 同的 IP地址和端口号时, 将所述响应报文透传输出到客户端。
4、 根据权利要求 1所述的方法, 其特征在于, 还包括:
接收经由路由设备转发的内网服务器的响应报文, 所述响应报文是所述 路由设备根据预设的控制策略判断所述控制策略中包含有与所述响应报文的 源 IP地址和源端口号相同的 IP地址和端口号后转发给 SSL VPN服务器的; 将所述响应报文加密后通过 VPN隧道向客户端发送。
5、 根据权利要求 3或者 4所述的方法, 其特征在于, 还包括:
保存解密后的 文中目的 IP地址、 目的端口号与所述 VPN隧道的对应关 系;
将所述响应报文加密后通过 VPN隧道向客户端发送包括: 根据所述响应报文中的源 IP地址、源端口号以及保存的所述对应关系,将 所述响应报文加密后经由与所述源 IP地址、源端口号对应的 VPN隧道向客户端 发送。
6、 一种 SSL VPN服务器, 其特征在于, 包括:
第一接收单元, 用于通过 VPN隧道接收客户端发送的加密报文, 所述加 密报文是客户端根据预设的控制策略判断所述控制策略中包含有与待发送报 文的目的 IP地址和目的端口号相同的 IP地址和端口号后对待发送的^艮文加密 后发出的, 所述控制策略中包含有能够与安全套接层协议虚拟专用网 SSL VPN服务器进行报文交互的内网服务器的 IP地址和端口号信息;
解密单元, 用于对所述加密报文进行解密;
第一发送单元, 用于将解密后的报文发送给相应的内网服务器, 所述解 密后的报文的源 IP地址是外网 IP地址。
7、 根据权利要求 6所述的 SSL VPN服务器, 其特征在于:
所述第一接收单元, 还用于不通过 VPN隧道接收客户端发送的报文; 所述第一发送单元, 还用于将不通过 VPN隧道接收的报文透传输出到相 应的内网服务器。
8、 根据权利要求 6所述的 SSL VPN服务器, 其特征在于, 还包括: 第二接收单元, 用于接收来自内网服务器的响应报文;
判断单元,用于判断预设的控制策略中是否包含有与所述响应报文的源 IP 地址和源端口号相同的 IP地址和端口号;
第一加密单元, 用于当判断单元的判断结果为预设的控制策略中包含有 与所述响应 文的源 IP地址和源端口号相同的 IP地址和端口号时,对所述响应 报文进行加密;
第二发送单元, 用于当判断单元的判断结果为预设的控制策略中没有包 含与所述响应报文的源 IP地址和源端口号相同的 IP地址和端口号时,将所述响 应报文透传输出到客户端; 当判断单元的判断结果为预设的控制策略中包含 有与所述响应 文的源 IP地址和源端口号相同的 IP地址和端口号时,将所述第 一加密单元加密后的响应报文向客户端发送。
9、 根据权利要求 6所述的 SSL VPN服务器, 其特征在于, 还包括: 第三接收单元, 还用于接收经由路由设备转发的内网服务器的响应报文, 所述响应报文是所述路由设备根据预设的控制策略判断所述控制策略中包含 有与所述响应 文的源 IP地址和源端口号相同的 IP地址和端口号后转发给 SSL VPN服务器的;
第二加密单元, 用于对所述响应>¾文进行加密;
第三发送单元, 用于将所述第二加密单元加密后的响应报文向客户端发 送。
10、 根据权利要求 8或者 9所述的 SSL VPN服务器, 其特征在于, 还包括: 保存单元,用于保存所述解密单元解密后的报文中目的 IP地址、 目的端口 号与所述 VPN隧道的对应关系;
所述加密后的响应报文是根据保存单元所保存的对应关系, 经由与所述 加密后的响应报文的源 IP地址、 源端口号对应的 VPN隧道向客户端发送的。
11、 一种 文传输方法, 其特征在于, 包括:
判断预设的控制策略中是否包含有与待发送报文的目的 IP地址和目的端 口号相同的 IP地址和端口号, 所述预设的控制策略中包含有能够与 SSL VPN 服务器进行报文交互的内网服务器的 IP地址和端口号信息;
当所述预设的控制策略中包含有与所述待发送报文的目的地址和目的端 口号相同的 IP地址和端口号时, 将所述待发送报文加密后通过 VPN隧道发出; 当所述预设的控制策略中不包含与所述待发送报文的目的地址和目的端 口号相同的 IP地址和端口号时,将所述待发送报文发送出去,所述待发送报文 没有通过 VPN隧道进行发送。
12、 根据权利要求 11所述的报文传输方法, 其特征在于, 还包括: 登陆 SSL VPN时, 从 SSL VPN服务器下载控制策略。
13、 一种客户端, 其特征在于, 包括:
判断单元,用于判断预设的控制策略中是否包含有与待发送报文的目的 IP 地址和目的端口号相同的 IP地址和端口号 ,所述预设的控制策略中包含有能够 与 SSL VPN服务器进行报文交互的内网服务器的 IP地址和端口号信息;
加密单元, 用于在判断单元的判断结果为所述预设的控制策略中包含有 与待发送报文的目的 IP地址和目的端口号相同的 IP地址和端口号时,对所述待 发送报文进行加密;
发送单元, 用于在判断单元的判断结果为预设的控制策略中包含有与待 发送 文的目的 IP地址和目的端口号相同的 IP地址和端口号时,将加密单元加 密后的报文通过 VPN隧道发出; 在判断单元的判断结果为预设的控制策略中 没有包含与待发送报文的目的 IP地址和目的端口号相同的 IP地址和端口号时, 直接将所述待发送报文发出, 所述待发送报文没有通过 VPN隧道进行发送。
14、一种网络系统,其特征在于, 包括:权利要求 6-10任意一项所述的 SSL VPN服务器以及权利要求 13所述的客户端。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP10844465.4A EP2530883B1 (en) | 2010-01-27 | 2010-12-09 | Method, device and network system for transmitting datagram |
| ES10844465.4T ES2626251T3 (es) | 2010-01-27 | 2010-12-09 | Método, dispositivo y sistema de red para transmitir datagrama |
| US13/560,511 US8713305B2 (en) | 2010-01-27 | 2012-07-27 | Packet transmission method, apparatus, and network system |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010101043241A CN101778045B (zh) | 2010-01-27 | 2010-01-27 | 报文传输方法、装置及网络系统 |
| CN201010104324.1 | 2010-01-27 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| US13/560,511 Continuation US8713305B2 (en) | 2010-01-27 | 2012-07-27 | Packet transmission method, apparatus, and network system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2011091688A1 true WO2011091688A1 (zh) | 2011-08-04 |
Family
ID=42514376
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/CN2010/079593 WO2011091688A1 (zh) | 2010-01-27 | 2010-12-09 | 报文传输方法、装置及网络系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8713305B2 (zh) |
| EP (1) | EP2530883B1 (zh) |
| CN (1) | CN101778045B (zh) |
| ES (1) | ES2626251T3 (zh) |
| WO (1) | WO2011091688A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102917081A (zh) * | 2012-09-27 | 2013-02-06 | 汉柏科技有限公司 | Vpn客户端ip地址的分配方法、报文传输方法及vpn服务器 |
| CN105933221A (zh) * | 2016-07-01 | 2016-09-07 | 北京汉格尚华科技发展有限公司 | 互联网反向路由控制器 |
Families Citing this family (47)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101778045B (zh) * | 2010-01-27 | 2012-07-04 | 成都市华为赛门铁克科技有限公司 | 报文传输方法、装置及网络系统 |
| CN102377629B (zh) * | 2010-08-20 | 2014-08-20 | 华为技术有限公司 | 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统 |
| CN104168173B (zh) * | 2010-08-20 | 2018-01-16 | 华为技术有限公司 | 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统 |
| CN101951378B (zh) * | 2010-09-26 | 2013-09-18 | 北京品源亚安科技有限公司 | 用于ssl vpn的协议栈系统及数据处理方法 |
| US9137210B1 (en) * | 2012-02-21 | 2015-09-15 | Amazon Technologies, Inc. | Remote browsing session management |
| US9053332B2 (en) * | 2012-03-07 | 2015-06-09 | Google Technology Holdings LLC | Policy for secure packet transmission using required node paths and cryptographic signatures |
| CN102664896A (zh) * | 2012-04-28 | 2012-09-12 | 郑州信大捷安信息技术股份有限公司 | 基于硬件加密的安全网络传输系统及传输方法 |
| CN102904867A (zh) * | 2012-05-12 | 2013-01-30 | 杭州迪普科技有限公司 | 一种vpn权限控制方法及装置 |
| CN103067282B (zh) * | 2012-12-28 | 2017-07-07 | 华为技术有限公司 | 数据备份方法、装置及系统 |
| US9350656B2 (en) * | 2013-01-24 | 2016-05-24 | Knuedge Incorporated | Systems and methods for packet routing |
| US8848726B1 (en) | 2013-01-24 | 2014-09-30 | The Intellisis Corporation | I/O data interface for packet processors |
| CN104811507B (zh) * | 2014-01-26 | 2018-05-01 | 中国移动通信集团湖南有限公司 | 一种ip地址获取方法及装置 |
| CN105337831B (zh) * | 2014-08-08 | 2018-10-09 | 华为技术有限公司 | 虚拟专用网络的实现方法及客户端设备 |
| CN104184646B (zh) * | 2014-09-05 | 2017-12-22 | 深信服网络科技(深圳)有限公司 | Vpn网络数据交互方法和系统及其网络数据交互设备 |
| US20160226815A1 (en) * | 2015-01-30 | 2016-08-04 | Huawei Technologies Co., Ltd. | System and method for communicating in an ssl vpn |
| CN105991442B (zh) * | 2015-04-30 | 2019-10-11 | 杭州迪普科技股份有限公司 | 报文转发方法及装置 |
| WO2016205998A1 (zh) * | 2015-06-23 | 2016-12-29 | 华为技术有限公司 | 一种数据传输方法、设备及系统 |
| CN105979202B (zh) * | 2016-04-22 | 2020-01-14 | 浙江宇视科技有限公司 | 一种数据传输方法及装置 |
| CN106101007B (zh) * | 2016-05-24 | 2019-05-07 | 杭州迪普科技股份有限公司 | 处理报文的方法及装置 |
| CN107517150B (zh) * | 2016-06-17 | 2020-08-04 | 深圳市信锐网科技术有限公司 | 基于虚拟专用网络vpn的内网资源访问方法及装置 |
| CN106230870B (zh) * | 2016-10-13 | 2019-04-09 | 成都东方盛行电子有限责任公司 | 私有协议文件传输系统与方法 |
| CN106549849B (zh) * | 2016-10-27 | 2019-08-06 | 杭州迪普科技股份有限公司 | 报文的处理方法及装置 |
| CN106878133B (zh) * | 2016-12-15 | 2019-11-08 | 新华三技术有限公司 | 报文转发方法及装置 |
| US10572932B2 (en) | 2017-01-27 | 2020-02-25 | Walmart Apollo, Llc | System for providing optimal shopping routes in retail store and method of using same |
| US10657580B2 (en) | 2017-01-27 | 2020-05-19 | Walmart Apollo, Llc | System for improving in-store picking performance and experience by optimizing tote-fill and order batching of items in retail store and method of using same |
| CN108718268B (zh) * | 2017-04-07 | 2022-01-28 | 格尔软件股份有限公司 | 一种提高vpn服务端并发处理性能的方法 |
| US10796357B2 (en) | 2017-04-17 | 2020-10-06 | Walmart Apollo, Llc | Systems to fulfill a picked sales order and related methods therefor |
| US10846645B2 (en) | 2017-04-28 | 2020-11-24 | Walmart Apollo, Llc | Systems and methods for real-time order delay management |
| US10810542B2 (en) | 2017-05-11 | 2020-10-20 | Walmart Apollo, Llc | Systems and methods for fulfilment design and optimization |
| US11126953B2 (en) | 2017-06-14 | 2021-09-21 | Walmart Apollo, Llc | Systems and methods for automatically invoking a delivery request for an in-progress order |
| CN107547509B (zh) * | 2017-06-27 | 2020-10-13 | 新华三技术有限公司 | 一种报文转发方法及装置 |
| US11126954B2 (en) | 2017-06-28 | 2021-09-21 | Walmart Apollo, Llc | Systems and methods for automatically requesting delivery drivers for online orders |
| US10909612B2 (en) | 2017-07-13 | 2021-02-02 | Walmart Apollo Llc | Systems and methods for determining an order collection start time |
| US10764284B2 (en) * | 2017-09-07 | 2020-09-01 | Verizon Patent And Licensing Inc. | Method and system for dynamic data flow enforcement |
| US11095617B2 (en) * | 2017-12-04 | 2021-08-17 | Nicira, Inc. | Scaling gateway to gateway traffic using flow hash |
| CN108109625B (zh) * | 2017-12-21 | 2021-07-20 | 北京华夏电通科技股份有限公司 | 手机语音识别内外网传输系统及方法 |
| CN109525478B (zh) * | 2018-12-17 | 2021-08-24 | 杭州迪普科技股份有限公司 | 一种ssl vpn连接方法及装置 |
| US10581865B1 (en) * | 2019-02-20 | 2020-03-03 | Xage Security, Inc. | Inline filtering to secure access and data between user and application to device and between device to device |
| CN110808975B (zh) * | 2019-10-31 | 2021-11-19 | 广州润铂晟信息技术有限公司 | 敏感数据传输方法、装置、计算机设备和存储介质 |
| US10805069B1 (en) | 2019-11-12 | 2020-10-13 | Xage Security, Inc. | Multi-layer ledgers for multi-party secure data governance |
| US11657347B2 (en) | 2020-01-31 | 2023-05-23 | Walmart Apollo, Llc | Systems and methods for optimization of pick walks |
| US11868958B2 (en) | 2020-01-31 | 2024-01-09 | Walmart Apollo, Llc | Systems and methods for optimization of pick walks |
| CN111405018B (zh) * | 2020-03-10 | 2023-04-07 | 创新奇智(上海)科技有限公司 | 一种文件传输方法、装置、电子设备及存储介质 |
| US11902264B2 (en) | 2020-06-22 | 2024-02-13 | Vmware, Inc. | Path selection for data packets encrypted based on an IPSEC protocol |
| CN112953808B (zh) * | 2021-03-05 | 2022-07-08 | 网宿科技股份有限公司 | Vpn数据传输方法、装置及服务器 |
| US11863514B2 (en) | 2022-01-14 | 2024-01-02 | Vmware, Inc. | Performance improvement of IPsec traffic using SA-groups and mixed-mode SAs |
| US11956213B2 (en) | 2022-05-18 | 2024-04-09 | VMware LLC | Using firewall policies to map data messages to secure tunnels |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1404263A (zh) * | 2001-09-03 | 2003-03-19 | 华为技术有限公司 | 一种宽带网络虚拟专用网的实现方法及其系统 |
| US20070008924A1 (en) * | 2004-01-15 | 2007-01-11 | Padraig Moran | Device to facilitate the deployment of mobile virtual private networks for medium/large corporate networks |
| CN101252509A (zh) * | 2007-02-21 | 2008-08-27 | 华耀环宇科技有限公司 | 使用双-nat方法的虚拟专用网络(vpn)信息包级路由的动态系统和方法 |
| CN101572643A (zh) * | 2008-04-30 | 2009-11-04 | 成都市华为赛门铁克科技有限公司 | 实现私网之间转发数据的方法和系统 |
| CN101778045A (zh) * | 2010-01-27 | 2010-07-14 | 成都市华为赛门铁克科技有限公司 | 报文传输方法、装置及网络系统 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030140142A1 (en) * | 2002-01-18 | 2003-07-24 | David Marples | Initiating connections through firewalls and network address translators |
| ES2308048T3 (es) * | 2003-08-29 | 2008-12-01 | Nokia Corporation | Cortafuegos personal remoto. |
| CN1561040A (zh) | 2004-02-24 | 2005-01-05 | 武汉虹信通信技术有限责任公司 | 基于gprs/cdma2000 1x的通用无线透明vpn网桥系统传输方法 |
| ATE535078T1 (de) * | 2004-07-23 | 2011-12-15 | Citrix Systems Inc | Verfahren und system zur sicherung von zugriff aus der ferne auf private netze |
| US20070248085A1 (en) * | 2005-11-12 | 2007-10-25 | Cranite Systems | Method and apparatus for managing hardware address resolution |
| US8661524B2 (en) * | 2007-12-14 | 2014-02-25 | Novell, Inc. | Selective desktop control of virtual private networks (VPN's) in a multiuser environment |
-
2010
- 2010-01-27 CN CN2010101043241A patent/CN101778045B/zh active Active
- 2010-12-09 WO PCT/CN2010/079593 patent/WO2011091688A1/zh active Application Filing
- 2010-12-09 ES ES10844465.4T patent/ES2626251T3/es active Active
- 2010-12-09 EP EP10844465.4A patent/EP2530883B1/en active Active
-
2012
- 2012-07-27 US US13/560,511 patent/US8713305B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1404263A (zh) * | 2001-09-03 | 2003-03-19 | 华为技术有限公司 | 一种宽带网络虚拟专用网的实现方法及其系统 |
| US20070008924A1 (en) * | 2004-01-15 | 2007-01-11 | Padraig Moran | Device to facilitate the deployment of mobile virtual private networks for medium/large corporate networks |
| CN101252509A (zh) * | 2007-02-21 | 2008-08-27 | 华耀环宇科技有限公司 | 使用双-nat方法的虚拟专用网络(vpn)信息包级路由的动态系统和方法 |
| CN101572643A (zh) * | 2008-04-30 | 2009-11-04 | 成都市华为赛门铁克科技有限公司 | 实现私网之间转发数据的方法和系统 |
| CN101778045A (zh) * | 2010-01-27 | 2010-07-14 | 成都市华为赛门铁克科技有限公司 | 报文传输方法、装置及网络系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102917081A (zh) * | 2012-09-27 | 2013-02-06 | 汉柏科技有限公司 | Vpn客户端ip地址的分配方法、报文传输方法及vpn服务器 |
| CN105933221A (zh) * | 2016-07-01 | 2016-09-07 | 北京汉格尚华科技发展有限公司 | 互联网反向路由控制器 |
Also Published As
| Publication number | Publication date |
|---|---|
| ES2626251T3 (es) | 2017-07-24 |
| CN101778045A (zh) | 2010-07-14 |
| EP2530883A1 (en) | 2012-12-05 |
| US8713305B2 (en) | 2014-04-29 |
| CN101778045B (zh) | 2012-07-04 |
| EP2530883B1 (en) | 2017-04-19 |
| EP2530883A4 (en) | 2013-03-27 |
| US20120303949A1 (en) | 2012-11-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2011091688A1 (zh) | 报文传输方法、装置及网络系统 | |
| US11411995B2 (en) | Infrastructure level LAN security | |
| US10708245B2 (en) | MACsec for encrypting tunnel data packets | |
| CN109150688B (zh) | IPSec VPN数据传输方法及装置 | |
| CA2870048C (en) | Multi-tunnel virtual private network | |
| ES2596177T3 (es) | Método, equipo y sistema de red para hacer comunicar un terminal con un servidor de infraestructura de un subsistema multimedia IP (IMS) atravesando una red privada | |
| JP3343064B2 (ja) | フレームを捕獲、カプセル化及び暗号化するための擬似ネットワークアダプタ | |
| JP4081724B1 (ja) | クライアント端末、中継サーバ、通信システム、及び通信方法 | |
| US11902264B2 (en) | Path selection for data packets encrypted based on an IPSEC protocol | |
| US8104082B2 (en) | Virtual security interface | |
| US8547874B2 (en) | Method and system for learning network information | |
| US11831607B2 (en) | Secure private traffic exchange in a unified network service | |
| WO2010020151A1 (zh) | 报文处理方法、装置和系统 | |
| CN114500176B (zh) | 用于vpn的多流负载均衡方法、装置、系统及存储介质 | |
| JP2011176395A (ja) | IPsec通信方法およびIPsec通信システム | |
| JP6990647B2 (ja) | ReNAT通信環境を提供するシステム及び方法 | |
| TW201116012A (en) | Integrated firewall / VPN system and integrated circuit thereof | |
| Janbeglou et al. | Overudp: Tunneling transport layer protocols in udp for p2p application of ipv4 | |
| US20230388118A1 (en) | Enhanced dual layer encryption for carrier networks | |
| US20230379150A1 (en) | Methods and apparatuses for providing communication between a server and a client device via a proxy node | |
| KR101594897B1 (ko) | 사물 인터넷에서 경량 사물간 보안 통신 세션 개설 방법 및 보안 통신 시스템 | |
| Song et al. | One new research about IPSec communication based on HTTP tunnel |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 10844465 Country of ref document: EP Kind code of ref document: A1 |
|
| NENP | Non-entry into the national phase |
Ref country code: DE |
|
| REEP | Request for entry into the european phase |
Ref document number: 2010844465 Country of ref document: EP |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 2010844465 Country of ref document: EP |