WO2012163005A1 - 访问虚拟专用网络的方法、装置以及网关设备 - Google Patents

Abstract

本发明实施例提供了一种访问虚拟专用网络的方法、装置以及网关设备，其中方法包括：获取浏览器发送给虚拟专用网络的HTTP请求；对所述发送给虚拟专用网络的HTTP请求增加权限检查标识，并对增加权限检查标识后的HTTP请求进行安全封装得到隧道数据包；通过安全隧道向虚拟专用网络的网关设备发送所述隧道数据包。本发明实施例还提供了相应的装置以及网关设备。本发明的技术方案能够提高对访问权限的控制能力，实现网关设备对访问权限的控制达到URL级别。

Description

访问虚拟专用网络的方法、 装置以及网关设备 技术领域

本发明实施例涉及网络技术领域， 尤其涉及一种访问虚拟专用网络的 方法、 装置以及网关设备。 背景技术

安全套接层 （ Security Socket Layer, 以下简称： SSL )虚拟专用网络 ( Virtual Private Network, 以下简称： VPN )技术是一种通过 SSL协议 或传输层安全 ( Transport Layer Security, 以下简称： TLS )协议安全接入 VPN网络的技术。 SSL VPN技术是一种基于 SSL层封装的隧道技术， 属 于应用层 VPN。 该技术可以通过浏览器直接访问 VPN 。

SSL VPN技术中的传输控制协议（Transmi s s ion Control Protoco l, , 以下简称： TCP)转发功能的原理是， 通过浏览器插件监控互联网用户使 用的客户端的 TCP端口， 以监听该客户端的 TCP通信， 获取 TCP报文的 IP头中的目的 IP地址， 若上述的目的 IP地址是虚拟专用网络的内部资源 服务器的 IP地址， 则将该 TC报文承载的超文本传输协议 （Hyper Text Transfer Protoco l , 以下简称： HTTP )请求进行 SSL封装， 然后将封装 得到的 SSL隧道数据包通过 SSL隧道发送给虚拟专用网络的网关设备。 该网关设备也可称为是 SSL VPN网关。 SSL VPN网关会将接收到的数据 去封装后发送给目的 IP地址所指向的内部资源服务器。 在互联网用户认 证通过后， 网关设备可以获取虚拟专用网络的内部各资源服务器的统一资 源定位符 ( Uni form Resource Locator , 以下简称： URL ) 地址和 IP地 址的对应关系， 形成资源服务器列表， 然后将该资源服务器列表发送给浏 览器插件。 浏览器插件根据该资源服务器列表修改操作系统的 host文件， 以使得互联网用户使用客户端访问虚拟专用网络的内部资源服务器时， 能 够根据 URL地址从 host文件中获取到内部资源服务器的 IP地址并携带的 TCP报文的 IP头中。

现有技术的上述技术方案，通过监控客户端的 TCP端口方式为用户提 供访问虚拟专用网络的能力， 如果要对互联网用户进行访问权限控制， 其 访问权限控制粒度只能达到 TCP端口级别， 访问权限控制能力较低。 发明内容

本发明实施例提供一种访问虚拟专用网络的方法、 装置以及网关设 备， 用于提高对访问权限的控制能力。 本发明实施例提供了一种访问虚拟专用网络的方法， 包括：

获取浏览器发送给虚拟专用网络的 HTTP请求；

对所述发送给虚拟专用网络的 HTTP请求增加权限检查标识， 并对增 加权限检查标识后的 HTTP请求进行安全封装得到隧道数据包； 通过安全隧道向虚拟专用网络的网关设备发送所述隧道数据包。 本发明实施例还提供了另一种访问虚拟专用网络的方法， 包括： 接收浏览器插件通过安全隧道发送的隧道数据包；

获得所述隧道数据包中的发送给所述虚拟专用网络的 HTTP请求； 若所述发送给虚拟专用网络的 HTTP请求中携带权限检查标识， 根据 所述权限检查标识检查所述 HTTP请求的用户访问权限， 并在权限检查通 过后， 将所述 HTTP请求转发给虚拟专用网络中的目的资源服务器。

本发明实施例还提供了一种访问虚拟专用网络的装置， 包括： 第一获取模块， 用于获取浏览器发送给虚拟专用网络的 HTTP请求； 第一业务处理模块， 用于对所述发送给虚拟专用网络的 HTTP请求增 加权限检查标识， 并对增加权限检查标识后的 HTTP请求进行安全封装得 到隧道数据包；

第一发送模块， 用于通过安全隧道向虚拟专用网络的网关设备发送所 述隧道数据包。

本发明实施例还提供了一种网关设备， 包括：

第一接收模块， 用于接收浏览器插件通过安全隧道发送的隧道数据 包；

第二获取模块， 用于获得所述隧道数据包中的发送给所述虚拟专用网 络的 HTTP请求；

第二业务处理模块， 用于获取所述发送给虚拟专用网络的 HTTP请求 中携带权限检查标识， 根据所述权限检查标识检查所述 HTTP请求的用户 访问权限， 并在权限检查通过后， 将所述 HTTP请求转发给虚拟专用网络 中的目的资源服务器。

本发明上实施例提供的访问虚拟专用网络的方法、 装置以及网关设 备， 可以通过在客户端设备上设置浏览器插件， 该浏览器插件会对访问虚 拟专用网络的 HTTP请求增加权限检查标识， 以指示网关设备在接收到该 HTTP请求后进行权限检查， 能够提高对访问权限的控制能力， 实现网关设 备对访问权限的控制达到 URL级别。 附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案， 下面将对实 施例或现有技术描述中所需要使用的附图作一简单地介绍， 显而易见地， 下 面描述中的附图是本发明的一些实施例， 对于本领域普通技术人员来讲， 在 不付出创造性劳动性的前提下， 还可以根据这些附图获得其他的附图。

图 1为本发明访问虚拟专用网络的方法实施例一的流程示意图； 图 2为本发明访问虚拟专用网络的方法实施例二的流程示意图； 图 3为本发明实施例的一种具体应用场景中用户认证阶段的流程示意 图；

图 4为本发明具体实施例中用户业务阶段的流程示意图；

图 5为本发明访问虚拟专用网络的装置实施例的结构示意图； 图 6为本发明网关设备实施例的结构示意图。 具体实施方式

为使本发明实施例的目的、 技术方案和优点更加清楚， 下面将结合本 发明实施例中的附图， 对本发明实施例中的技术方案进行清楚、 完整地描 述， 显然， 所描述的实施例是本发明一部分实施例， 而不是全部的实施例。 基于本发明中的实施例， 本领域普通技术人员在没有作出创造性劳动前提 下所获得的所有其他实施例， 都属于本发明保护的范围。

针对现有技术中， 在为用户提供访问虚拟专用网络能力时， 对访问权 限的控制能力低的缺陷， 本发明实施例提供了一种技术方案， 图 1为本发 明访问虚拟专用网络的方法实施例一的流程示意图， 如图 1所示， 包括如 下的步骤：

步骤 101、浏览器插件获取浏览器发送给虚拟专用网络的 HTTP请求。 步骤 102、 浏览器插件对所述发送给虚拟专用网络的 HTTP请求增加 权限检查标识， 并对增加权限检查标识后的 HTTP请求进行安全封装得到 隧道数据包。 该安全封装可以包括 SSL协议的封装和 TLS协议的封装。

步骤 103、 浏览器插件通过安全隧道向虚拟专用网络的网关设备发送 所述隧道数据包。 该安全隧道可以包括 SSL协议的隧道和 TLS协议的隧 道。

本发明上述实施例中， 可以通过在客户端设备上增加一个浏览器插 件， 该浏览器插件对访问虚拟专用网络的 HTTP请求增加权限检查标识， 以指示网关设备在接收到该 HTTP请求后进行权限检查， 能够提高对访问 权限的控制能力， 实现网关设备对访问权限的控制达到 URL级别。 本发明上述实施例提供的技术方案， 可以实现对任何访问虚拟专用网 络的 HTTP请求的权限控制达到 URL级别。 另外还有一种技术方案可以 实现将 HTTP请求的权限控制达到 URL级别， 即虚拟专用网的网关设备 在接收浏览器发送的登录认证请求消息， 所述虚拟专用网的网关设备对用 户权限进行认证。 认证完成后， 所述虚拟专用网的网关设备向浏览器返回 携带修改后的虚拟专用网内部资源服务器的 URL地址的第一 URL列表的 登陆认证成功消息。 浏览器接收上述虚拟专用网的网关设备发送的登陆认 证成功消息， 该登陆认证成功消息携带的第一 URL列表中的 URL地址被 修改为指向所述虚拟专用网的网关设备的 URL地址，并且该修改后的 URL 地址中包括原 URL地址。例如一个虚拟专用网内的 Web资源服务器的 URL 为 ht tp: //www. MyOWA. com, 所述虚拟专用网的网关设备可以将将该 URL 修改为 "ht tp：〃 VPNGW/0/hUp〃www. MyOWA. com" , 其中 VPNGW是网关设 备的域名或 IP地址。 浏览器访问上述第一 URL列表中的 URL地址时， 根据该修改后的指向所述虚拟专用网的网关设备的 URL地址发起的用于 建立传输 HTTP请求的连接的 TCP连接请求， 若该 TCP连接请求的目的 IP地址是网关设备的 IP地址， 对应的 HTTP请求会直接发送给网关设备。 内的进一步操作。 上述的技术方案也能够将访问权限的控制达到 URL级 另 但是， 嵌入在用户访问内容中的 URL地址可能无法被虚拟专用网的 网关设备修改 , 例如 Flash动画内可以包括 URL地址 , 该 URL地址可能 无法被虚拟专用网的网关设备修改。 如果用户点击的没有被虚拟专用网的 网关设备修改过的链接， 则无法访问虚拟专用网内该 URL地址对应的资 源服务器。 此时， 可以将图 1所示实施例的技术方案和上述修改 URL地 址的技术方案相结合， 即在执行上述的步骤 101之前， 先判断 HTTP请求 是指向网关设备， 还是指向虚拟专用网络内部资源服务器， 指向网关设备 的 HTTP请求可以直接发送给网关设备进行处理， 而指向虚拟专用网络内 部的资源服务器的 HTTP请求按照图 1所示的实施例进行处理。 本发明实施例中的虚拟专用网络内部的资源服务器表示虚拟专用网 络内所有类型的可访问资源， 例如 Web 站点、 文件服务器、 数据库资源 或个人计算机终端等。

具体的， 在执行上述的步骤 101之前， 本发明的技术方案还可以进一 步包括：

浏览器插件获取浏览器发送的 TCP连接请求， 并确定所述 TCP连接 请求的目的 IP地址为虚拟专用网络的网关设备的 IP地址还是虚拟专用网 络内部资源服务器的 IP地址； 对于虚拟专用网络内部资源服务器的 IP地 址， 可以是在用户认证阶段， 由网关设备将虚拟专用网络内部资源服务器 的 URL地址和 IP地址返回给浏览器插件，浏览器插件修改操作系统的 host 文件， 在发起对虚拟专用网络内部资源服务器访问请求时， 能够获取到对 应的 IP地址；

在所述 TCP连接请求的目的 IP地址为虚拟专用网络的网关设备的 IP 地址时， 直接向虚拟专用网的网关设备发送 HTTP请求； 在所述 TCP连接 请求的目的 IP地址为虚拟专用网络内部资源服务器的 IP地址时， 执行上 述的步骤 101〜步骤 103。 通过上述的技术方案可以对访问虚拟专用网络的 HTTP请求的权限控制达到 URL级别。 进一步的， 在上述浏览器发起登陆 认证请求消息后， 所述虚拟专用网的网关设备同时向浏览器推送浏览器插 件， 该浏览器插件在安装完成后可以实现访问权限控制的功能， 即可以对 浏览器发起的 TCP请求的目的 IP地址进行判断， 以及在该 TCP请求的目 的 IP 地址为虚拟专用网络内部资源服务器的 IP 地址时执行上述的步骤 101〜步骤 103 , 在 HTTP请求上增加权限检查标识， 并进行封装后发送。

而上述步骤 102中， 对发送给虚拟专用网络的 HTTP请求增加权限检 查标识， 具体的可以修改上述 HTTP请求的头域（ header ) , 在 HTTP头域 中增加权限检查标识。 或者， 也可以对发送给虚拟专用网络的 HTTP请求 再次进行 HTTP封装， 即将上述原始的 HTTP请求作为数据净荷， 在外层封 装的 HTTP请求的头域中增加权限检查标识。

在本发明的具体实施例中， 可以将权限检查标识携带在 HTTP请求的 头域中， 以下以用户标识信息作为权限检查标识为例进行说明， 如何将权 限检查标识携带在 HTTP请求的头域中， 例如通常的 HTTP请求的头域包 括 GET行、 Accept行、 Host行和 Cookie行等， 其中的 GET行为首行， 其包括 URL地址， 本实施例中， 可以在 GET行增加上述用户标识信息， 例如通常的 GET行为 "GET http://www.MYSITE.com/ HTTP/1.1" , 可以 将其爹改为 "GET http：〃 www.MYSITE.com/userflag=XYZHTTP/l .l" , 其 中的 "userflag=XYZ，， 即为用户标识信息； 又可以在 Cookie行增加用户标 识 信 息 ， 例 如 将 " Cookie:

MYSITEID=F9B8BD39D4408733B2081A92B5C35510:FG=1 " 修 改 为 " Cookie: MYSITEID=F9B8BD39D4408733B2081A92B5C35510:FG=1; userflag=XYZ" ； 还可以在 Cookie行后自定义行， 利用该自定义行携带用 户标识信息， 例如在 Cookie 行后增加自定义的 sslvpnflag 行， 即增加 " sslvpnflag:userflag=XYZ" , 其中 userflag=XYZ，， 即为用户标识信息。 上述用户标识信息可以是加密的， 也可以是经过数字签名的。 其他对称钥 匙密码学 ( symmetric-key cryptography ) 或公开钥匙密码学 ( ublic-key cryptography )机制都可以用于保护用户标识信息。

与图 1所示的实施例对应的， 本发明实施例还提供了对应在网关设备 中执行的方法， 图 2为本发明访问虚拟专用网络的方法实施例二的流程示 意图， 如图 2所示， 包括如下的步骤：

步骤 201、 网关设备接收浏览器插件通过安全隧道发送的隧道数据 包；

步骤 202、 网关设备获得所述隧道数据包中的发送给所述虚拟专用网 络的 HTTP请求； 步骤 203、 若所述发送给虚拟专用网络的 HTTP请求中携带权限检查 标识， 网关设备根据所述权限检查标识检查所述 HTTP请求的用户访问权 限， 并在权限检查通过后， 将所述 HTTP请求转发给虚拟专用网络中的目 的资源服务器。

进一步的， 上述步骤 203中可以是先清除掉上述 HTTP请求中携带的 权限检查标识， 然后再将其转发给虚拟专用网中的目的资源服务器。 本发 明实施例中的虚拟专用网络内部的资源服务器表示虚拟专用网络内所有 类型的可访问资源， 例如 Web 站点、 文件服务器、 数据库资源或个人计 算机终端等。

本发明实施例中，虚拟专用网络的网关设备在接收到通过 SSL隧道传 输的 SSL隧道数据包后， 对携带权限检查标识的 HTTP请求不直接转发， 而是进行用户访问权限检查， 并在权限检查通过后， 再将 HTTP请求转发 给虚拟专用网络中的目的资源服务器， 能够提高对访问权限的控制能力， 实现网关设备对访问权限的控制达到 URL级别。

更进一步的， 上述对 HTTP 请求进行用户访问权限检查可以是获取

HTTP请求中携带的用户标识信息， 根据所述用户标识信息， 以及预先存 储的访问权限列表， 确定所述用户标识信息标识的用户是否具有访问目的 资源服务器的权限。

图 3为本发明实施例的一种具体应用场景中用户认证阶段的流程示意 图， 如图 3所示， 包括如下的步骤：

步骤 301、 用户通过浏览器发起登陆虚拟专用网的网关设备的请求， 该网关设备可以是 SSL VPN网关， 浏览器向虚拟专用网的网关设备发送 登陆认证请求消息；

步骤 302、 网关设备进行登陆认证， 并在认证成功后向浏览器返回登 陆认证成功消息， 该消息中携带第一 URL列表， 该第一 URL列表中包括了 用户可以在虚拟专用网络中访问的资源服务器的 URL地址， 但上述 URL地 址已经被修改为指向网关设备， 例如虚拟专用网内的资源服务器的 URL为 ht t p: //www. MyOWA. com , 将 被 网 关 设 备 修 改 为 "ht t p: //VPNGW/0/ht t p//www. MyOWA. com" , 其中 VPNGW是网关设备的域 名或 IP地址；

步骤 303、 网关设备向浏览器推送浏览器插件， 具体的该浏览器插件 可以携带在登陆认证成功消息中；

步骤 304、 浏览器安装并启动浏览器插件；

步骤 305、 浏览器插件向网关设备请求用户访问权限， 以及端口列表； 步骤 306、 网关设备向浏览器插件返回资源服务器列表， 该资源服务 器列表可以是授权用户访问的虚拟专用网络内部资源服务器的 URL地址， 及其对应的 IP地址。 同时还返回端口列表， 该端口列表中的 TCP端口信 息可以是网关设备根据虚拟专用网络内的 WEB资源服务器 URL的配置情况 自动生成的， 例如网关设备配置一个 Web 资源服务器的 URL 是 ht t p: //www. MyS i te. com, 则自动生成 80端口； 配置了另一个 Web资源服 务器的 URL是 ht t p：〃 www. Mys i te. com: 8080，则自动生成 8080端口；

步骤 307、 浏览器插件将在步骤 306中获得的虚拟专用网络内部资源 服务器的 URL地址， 及其对应的 IP地址添加到操作系统的 host文件中， 该 host 文件可以使得用户在浏览器中输入指向虚拟专用网络内的资源服 务器的 URL地址时， 自动提供对应的 IP地址；

步骤 308、 可选的， 浏览器插件向浏览器返回通知消息， 通知浏览器 插件已启动成功 ,此时浏览器插件可以开始监控浏览器发起的 TCP连接请 求。

在完成上述准备工作后， 就可以使用浏览器插件进行访问控制， 图 4 为本发明具体实施例中用户业务阶段的流程示意图， 如图 4所示， 包括如 下的步骤：

步骤 401、 用户点击虚拟专用网络内部资源服务器的 URL地址， 该 URL地址可以是在上述步骤 302中返回的第一 URL列表中的 URL地址， 也可以是网页中嵌套的二进制内容中的 URL地址，例如在 Flash或视频中 的 URL链接的 URL地址， 浏览器根据 host文件查询与上述 URL地址对 应的 IP地址， 准备发起针对上述 IP地址的 HTTP请求， 首先， 浏览器向 浏览器插件发起对应的 TCP连接请求， 以建立 TCP连接；

步骤 402、 浏览器插件接收浏览器发起的 TCP 连接请求， 在确定该 TCP连接请求的目的 IP地址为网关设备时， 即对应已经将 URL地址修改 为指向网关设备的情况，可以直接将上述 TCP连接请求对应的 HTTP请求 发送给网关设备。 而当 TCP连接请求的 IP地址对应虚拟专用网络内部的 资源服务器时， 例如根据上述步骤 307中的端口列表，确定 TCP连接请求 要发送给端口列表中的 TCP 端口时， 则需要对该 TCP 连接请求对应的 HTTP请求进行代理， 即需要将 HTTP请求进行 SSL封装后发送给网关设 备， 此时， 浏览器插件向浏览器返回 TCP连接建立消息；

步骤 403、 浏览器向浏览器插件发送 HTTP请求， 浏览器插件在接收 到上述的 HTTP请求中， 会在 HTTP请求中增加权限检查标识， 以使网关 设备根据该权限检查标识对用户的访问权限进行控制， 如同上述实施例中 所述的， 增加权限检查标识的方式可以是直接修改 HTTP请求的头域， 在 HTTP头域中增加权限检查标识， 这可以利用目前 HTTP请求的头域中的 保留字段；或者还可以对发送给虚拟专用网络的 HTTP请求再次进行 HTTP 封装， 即上述原始的 HTTP请求作为数据净荷， 而在外层封装的 HTTP请 求的头域中增加权限检查标识。 浏览器插件进一步将对增加权限检查标识 的 HTTP请求进行 SSL协议的封装；

步骤 404、 浏览器插件将封装得到的 SSL协议的隧道数据包发送给网 关设备， 具体的是通过 SSL协议的隧道进行隧道数据包的传输；

步骤 405、 网关设备检测到 HTTP请求中携带了权限检查标识， 便会 对其进行用户访问权限检查， 获取 HTTP请求中携带的用户标识信息， 根 据所述用户标识信息， 以及预先存储的各个用户的访问权限列表， 确定所 述用户标识信息标识的用户是否具有访问目的资源服务器的权限。 具体 的， 可以在 HTTP请求的 GET行的 URL地址后携带用户标识信息， 例如 "www. s i te. com/?usef lag=XXXX" , 其中 "usef lag=XXXX" 表示用户标识 信息； 或者是在 cookie 行携带用户标识信息， 例如 " cookie = usef lag=XXXX" , 其中 "usef lag=XXXX" 表示用户标识信息。

步骤 406、 若在步骤 405中权限检查失败， 判断为用户无权访问， 则 会丟弃上述 HTTP 请求， 或者在访问的资源不存在时， 回应访问错误的 HTTP响应， 例如可以是 "404 f i le not found" 。 若权限检查成功， 则 会向虚拟专用网的虚拟资源服务器转发上述 HTTP请求， 由资源服务器查 找并访问目的资源服务器。 通过上述权限控制方法， 可以实现对二进制内 容中 URL访问权限的细粒度控制；

步骤 407、 网关设备接收资源服务器返回的 HTTP响应， 将 HTTP响 应进行 SSL协议的封装， 并将封装后得到的 SSL协议的隧道数据包发发 送给浏览器插件；

步骤 408、 浏览器插件从接收到的隧道数据包中获得所述 HTTP响应 后， 将其发送给浏览器。

本发明实施例提供了一种访问虚拟专用网络的装置， 图 5为本发明访 问虚拟专用网络的装置实施例的结构示意图， 如图 5所示， 包括第一获取 模块 11、 第一业务处理模块 12和第一发送模块 13 , 其中第一获取模块 11 用于获取浏览器发送给虚拟专用网络的 HTTP请求；第一业务处理模块 12 用于对所述发送给虚拟专用网络的 HTTP请求增加权限检查标识， 并对增 加权限检查标识后的 HTTP请求进行安全封装得到隧道数据包， 上述的安 全封装包括 SSL协议的封装和 TLS协议的封装； 第一发送模块 13用于通 过安全隧道向虚拟专用网络的网关设备发送所述隧道数据包， 该安全隧道 包括 SSL协议的隧道和 TLS协议的隧道。 本发明上述实施例提供的访问虚拟专用网络的装置， 该装置相当于上 述实施例中的浏览器插件， 通过在发送给虚拟专用网络的 HTTP请求中增 加权限检查标识， 并进一步进行封装后通过安全隧道发送给网关设备， 以 由网关设备对增加了权限检查标识的 HTTP请求进行权限检查， 能够提高 对访问权限的控制能力， 实现网关设备对访问权限的控制达到 URL级别。

本发明上述实施例提供的访问虚拟专用网络的装置可以是设置在客 户端的浏览器插件， 其可以与浏览器配合， 为用户提供访问虚拟专用网的 能力。

另外， 本发明上述实施例中， 还可以进一步设置确定模块 14, 该确定 模块 14用于接收浏览器发送的 TCP连接请求，所述 TCP连接请求用于建 立传输所述 HTTP请求的连接， 并确定所述 TCP连接请求的目的 IP地址 为虚拟专用网络的网关设备的 IP 地址或虚拟专用网络内部资源服务器的 IP地址。 具体的， 是在所述 TCP连接请求的目的 IP地址为虚拟专用网络 的网关设备的 IP 地址时， 由浏览器直接向虚拟专用网的网关设备发送 HTTP请求； 上述的第一业务处理模块 12具体用于在所述确定模块 14确 定 TCP连接请求的目的 IP地址为虚拟专用网络内部资源服务器的 IP地址 时， 对所述发送给虚拟专用网络的 HTTP请求增加权限检查标识， 并对增 加权限检查标识后的 HTTP请求进行安全封装得到隧道数据包。 第一发送 模块通过安全隧道向虚拟专用网络的网关设备发送所述隧道数据包。

本发明上述实施例中， 可以将权限检查标识携带在 HTTP请求的头域 中， 即上述的第一业务处理模块可以具体用于修改所述发送给虚拟专用网 络的 HTTP请求的头域， 在所述 HTTP请求的头域中增加权限检查标识； 或对所述发送给虚拟专用网络的 HTTP请求再次进行 HTTP封装， 并在外 层 HTTP请求的头域中增加权限检查标识； 以及用于对增加权限检查标识 后的 HTTP请求进行安全封装得到隧道数据包。

本发明上述实施例中的权限检查标识可以是用户标识信息。 本发明实施例还提供了一种网关设备， 图 6为本发明网关设备实施例 的结构示意图， 如图 6所示， 包括第一接收模块 21、 第二获取模块 22和 第二业务处理模块 23 , 其中第一接收模块 21用于接收浏览器插件通过安 全隧道发送的隧道数据包； 第二获取模块 22用于获得所述隧道数据包中 的发送给所述虚拟专用网络的 HTTP请求； 第二业务处理模块 23用于获 取所述发送给虚拟专用网络的 HTTP请求中携带权限检查标识， 根据所述 权限检查标识检查所述 HTTP请求的用户访问权限，并在权限检查通过后， 将所述 HTTP请求转发给虚拟专用网络中的目的资源服务器。

本发明上述实施例中， 其中的权限检查标识可以为用户标识信息， 此 时网关设备的第二业务处理模块 23 具体用于获取所述发送给虚拟专用网 络的 HTTP请求中携带的用户标识信息， 根据所述用户标识信息， 以及预 先存储的访问权限列表， 确定所述用户标识信息标识的用户是否具有访问 所述目的资源服务器的权限； 以及用于在所述用户标识信息标识的用户具 有访问目的资源服务器的权限后， 将所述 HTTP请求转发给虚拟专用网络 内的目的资源服务器。 本领域普通技术人员可以理解： 实现上述方法实施例的全部或部分步 骤可以通过程序指令相关的硬件来完成， 前述的程序可以存储于一计算机 可读取存储介质中， 该程序在执行时， 执行包括上述方法实施例的步骤； 而前述的存储介质包括： ROM、 RAM, 磁碟或者光盘等各种可以存储程 序代码的介质。 最后应说明的是： 以上实施例仅用以说明本发明的技术方案， 而非对 其限制； 尽管参照前述实施例对本发明进行了详细的说明， 本领域的普通 技术人员应当理解： 其依然可以对前述各实施例所记载的技术方案进行修 改， 或者对其中部分技术特征进行等同替换； 而这些修改或者替换， 并不 使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims

权 利 要 求 书

1、 一种访问虚拟专用网络的方法， 其特征在于， 包括：

获取浏览器发送给虚拟专用网络的 HTTP请求；

对所述发送给虚拟专用网络的 HTTP请求增加权限检查标识， 并对增 加权限检查标识后的 HTTP请求进行安全封装得到隧道数据包；

通过安全隧道向虚拟专用网络的网关设备发送所述隧道数据包。

2、 根据权利要求 1 所述的访问虚拟专用网络的方法， 其特征在于， 所述获取浏览器发送给虚拟专用网络的 HTTP请求之前还包括：

接收浏览器发送的 TCP连接请求， 所述 TCP连接请求用于建立传输 所述 HTTP请求的连接；

在所述 TCP连接请求的目的 IP地址为虚拟专用网络的网关设备的 IP 地址时， 直接向虚拟专用网络的网关设备发送 HTTP请求；

在所述 TCP连接请求的目的 IP地址为虚拟专用网络内部资源服务器 的 IP 地址时， 浏览器插件获取所述浏览器发送给虚拟专用网络的 HTTP 请求； 对所述发送给虚拟专用网络的 HTTP请求增加权限检查标识， 并对 增加权限检查标识后的 HTTP请求进行安全封装得到隧道数据包； 通过安 全隧道向虚拟专用网络的网关设备发送所述隧道数据包。

3、 根据权利要求 2所述的访问虚拟专用网络的方法， 其特征在于， 还包括：

浏览器向虚拟专用网的网关设备发送登录认证请求消息； 述虚拟专用网的网关设备向浏览器返回的携带有修改后的虚拟专用网络 内部资源服务器的 URL地址的第一 URL列表的登陆认证成功消息， 所述 第一 URL 列表中 URL地址被修改为指向所述虚拟专用网的网关设备的 URL地址，所述第一 URL列表中的 URL地址包括原虚拟专用网络内部资 源服务器的 URL地址。

4、 根据权利要求 1至 3任一项所述的访问虚拟专用网络的方法， 其 特征在于， 所述对发送给虚拟专用网络的 HTTP请求增加权限检查标识包 括：

修改所述发送给虚拟专用网络的 HTTP请求的头域， 在所述 HTTP请 求的头域中增加权限检查标识； 或

对所述发送给虚拟专用网络的 HTTP请求再次进行 HTTP封装， 并在 外层 HTTP请求的头域中增加权限检查标识。

5、 根据权利要求 4所述的访问虚拟专用网络的方法， 其特征在于， 所述权限检查标识设置在所述 HTTP请求的头域的 GET行、 Cookie行或 自定义行中。

6、 根据权利要求 1至 5任一项所述的访问虚拟专用网络的方法， 其 特征在于， 所述权限检查标识为用户标识信息。

7、 一种访问虚拟专用网络的方法， 其特征在于， 包括：

接收浏览器插件通过安全隧道发送的隧道数据包；

获得所述隧道数据包中的发送给所述虚拟专用网络的 HTTP请求； 若所述发送给虚拟专用网络的 HTTP请求中携带权限检查标识， 根据 所述权限检查标识检查所述 HTTP请求的用户访问权限， 并在权限检查通 过后， 将所述 HTTP请求转发给虚拟专用网络中的目的资源服务器。

8、 根据权利要求 7所述的访问虚拟专用网络的方法， 其特征在于， 所述权限检查标识为用户标识信息， 根据所述权限检查标识检查所述

HTTP请求的用户访问权限包括：

获取所述 HTTP请求中携带的用户标识信息 ,根据所述用户标识信息 , 以及预先存储的访问权限列表， 确定所述用户标识信息标识的用户是否具 有访问所述目的资源服务器的权限。

9、 一种访问虚拟专用网络的装置， 其特征在于， 包括：

第一获取模块， 用于获取浏览器发送给虚拟专用网络的 HTTP请求； 第一业务处理模块， 用于对所述发送给虚拟专用网络的 HTTP请求增 加权限检查标识， 并对增加权限检查标识后的 HTTP请求进行安全封装得 到隧道数据包；

第一发送模块， 用于通过安全隧道向虚拟专用网络的网关设备发送所 述隧道数据包。

10、 根据权利要求 9所述的访问虚拟专用网络的装置， 其特征在于， 所述访问虚拟专用网络的装置还包括确定模块， 其中，

所述确定模块， 用于接收浏览器发送的 TCP连接请求， 所述 TCP连 接请求用于建立传输所述 HTTP请求的连接，并确定所述 TCP连接请求的 目的 IP地址为虚拟专用网络的网关设备的 IP地址或虚拟专用网络内部资 源服务器的 IP地址；

所述第一业务处理模块具体用于在所述确定模块确定 TCP 连接请求 的目的 IP地址为虚拟专用网络内部资源服务器的 IP地址时， 对所述发送 给虚拟专用网络的 HTTP请求增加权限检查标识， 并对增加权限检查标识 后的 HTTP请求进行安全封装得到隧道数据包。

11、 根据权利要求 9或 10所述的访问虚拟专用网络的装置， 其特征 在于， 所述第一业务处理模块具体用于修改所述发送给虚拟专用网络的 HTTP请求的头域， 在所述 HTTP请求的头域中增加权限检查标识； 或对 所述发送给虚拟专用网络的 HTTP请求再次进行 HTTP封装， 并在外层 HTTP请求的头域中增加权限检查标识； 以及用于对增加权限检查标识后 的 HTTP请求进行安全封装得到隧道数据包。

12、 根据权利要求 9至 11任一项所述的访问虚拟专用网络的装置， 其特征在于， 所述权限检查标识为用户标识信息。

13、 一种网关设备， 其特征在于， 包括：

第一接收模块， 用于接收浏览器插件通过安全隧道发送的隧道数据 包； 第二获取模块， 用于获得所述隧道数据包中的发送给所述虚拟专用网 络的 HTTP请求；

第二业务处理模块， 用于获取所述发送给虚拟专用网络的 HTTP请求 中携带权限检查标识， 根据所述权限检查标识检查所述 HTTP请求的用户 访问权限， 并在权限检查通过后， 将所述 HTTP请求转发给虚拟专用网络 中的目的资源服务器。

14、 根据权利要求 13 所述的网关设备， 其特征在于， 所述权限检查 标识为用户标识信息， 所述第二业务处理模块具体用于获取所述发送给虚 拟专用网络的 HTTP请求中携带的用户标识信息 ,根据所述用户标识信息 , 以及预先存储的访问权限列表， 确定所述用户标识信息标识的用户是否具 有访问所述目的资源服务器的权限； 以及用于在所述用户标识信息标识的 用户具有访问目的资源服务器的权限后， 将所述 HTTP请求转发给虚拟专 用网络内的目的资源服务器。