专利名称:一种基于传输层vpn技术的安全通信方法
技术领域:
本发明涉及一种网络数据安全通信方法,特别是关于一种基于传输层VPN技术 的安全通信方法。
技术背景VPN (Virtual Private Network,虚拟私有网)技术是通过在远程客户端和被 访问资源之间建立起虚拟安全通道的方法来保证安全网络访问。VPN技术为企业员 工在外出差或在家中访问企业内网资源提供了极大的便捷。现有的VPN技术主要有下面两种1、 IP-SEC VPN网络层VPN,可传输的数据不受限制,但是配置复杂,对客户端的网络环境有 很大影响。2、 SSL-VPN应用层VPN,对客户端的网络环境影响很小,但是局限于浏览器访问方式,只 能传输Web资源。因此有必要开发一种允许传输Web资源内容和非Web资源内容,并且不会对客 户端的网络环境产生很大影响的VPN技术,从而弥补上述两种VPN技术的缺陷。 发明内容针对上述问题,本发明的目的是提出一种基于传输层VPN技术的安全通信方法,使得用户配置规则下允许的所有客户端应用可以通过同一条安全的网络通道来访 问共享网络资源。为实现上述目的,本发明采取以下技术方案 一种基于传输层VPN技术的安全 通信方法,其包括以下步骤1)在安全代理设备的入口网页处嵌入一个客户端应 用程序;2)客户端PC机通过浏览器访问安全代理设备,安全代理设备与企业内网 之间进行连接,此时,页面上出现一个按钮,点击该按钮;3)浏览器就会自动下 载客户端应用程序到客户端PC机中,客户端应用程序在客户端PC机中安装一个L4 VPN代理模块;4)在客户端PC机上点击运行L4VPN代理模块,首先L4 VPN代理模 块与安全代理设备之间建立TCP连接,并经过标准的SSL密钥交换过程,L4 VPN代 理模块和安全代理设备之间建立起一条SSL安全通道;5)安全代理设备通过SSL 安全通道将配置在安全代理设备上的映射规则发送给L4 VPN代理模块,L4 VPN代理模块会根据映射规则建立监听;6)当L4 VPN代理模块发现客户端PC机访问的 数据在映射规则内时,L4 VPN代理模块将访问请求通过SSL安全通道发送至安全代 理设备,安全代理设备根据映射规则从相应的远程服务端获取所请求的数据,然后 将获取的数据通过SSL安全通道返回至L4 VPN代理模块,L4 VPN代理模块再将数据直接转发到客户端PC机上的各个应用程序。其中步骤l)中的客户端应用程序为一个ActiveX或JAVA程序,所述客户端应 用程序根据Microsoft IE提供的标准接口进行编码嵌入至安全代理设备的入口网 页处。其中步骤3)中客户端应用程序具体的安装过程由浏览器来实现。 其中步骤4)中,标准的SSL密钥交换过程是安全代理设备把它的数字证书 与公共密钥一并发送给L4 VPN代理模块,L4 VPN代理模块随机生成会话密钥,用 从安全代理设备得到的公共密钥对会话密钥进行加密,并把会话密钥传递给安全代 理设备,而会话密钥只有在安全代理设备端用私人密钥才能解密。 其中步骤5)所述映射规则由安全代理设备的管理员来决定。 本发明由于采取以上技术方案,其具有以下优点1、由于本发明在安全代理 设备的入口网页处嵌入有一个小的客户端程序,该客户端程序是一个ActiveX或JAVA程序,小巧、灵活、便于网络传输,且可以通过被广泛使用的IE浏览器来下 载并进行安装,这极大地方便了用户操作。2、由于该客户端程序会在客户端PC机 上自动安装一个L4 VPN代理模块,该代理模块与安全代理设备建立一条安全通道, 所有允许的数据将通过此安全通道被转发至安全代理设备,再由安全代理设备进行 下一步转发,因此保证了安全网络访问。综上可以看出,本发明方法具有操作简单, 使用方便,无需手动安装,访问资源灵活的特点,它允许传输Web资源内容和非Web 资源内容,同时不会对客户端的网络环境产生很大影响。
图1是本发明的工作原理示意图具体实施方式
本发明方法的基本原理如下1、 在客户端与服务端之间提供了一条安全可靠的网络通道。2、 用户可以根据自己的需要配置一些规则,这些规则用来定义允许哪些数据 通过安全通道,所有规则内允许的数据将通过此安全通道被转发至安全代理设备, 再由安全代理设备进行下一步转发。下面结合附图和实施例对本发明进行详细的描述。如图1所示,本发明方法的工作流程如下1、 在安全代理设备的入口网页处嵌入一个小的客户端应用程序,该客户端程 序是一个ActiveX或JAVA程序,其是根据Microsoft IE提供的标准接口来进行编码嵌入的。2、 客户端PC机(即用户)通过浏览器(如Internet Explorer)访问安全代 理设备,安全代理设备与企业内网之间进行连接。当用户登录到安全代理设备入口 网页上时,页面上出现一个按钮"Start the Application Manager(应用程序管理 器)",点击该按钮,浏览器就会自动下载这个客户端应用程序到客户端PC机中。3、 该客户端应用程序在客户端PC机中安装一个L4 VPN代理模块,具体的安 装过程是由IE来实现的。4、 在客户端PC机上点击运行L4 VPN代理模块,首先该代理模块与安全代理设 备之间建立TCP (Transmission Control Protocol传输控制协议)连接,安全代 理设备把它的数字证书与公共密钥一并发送给代理模块,代理模块随机生成会话密 钥,用从安全代理设备得到的公共密钥对会话密钥进行加密,并把会话密钥传递给 安全代理设备,而会话密钥只有在安全代理设备端用私人密钥才能解密。经过这个 标准的SSL (Secure Socket Layer加密套接字协议层)密钥交换过程,L4 VPN代 理模块和安全代理设备之间就建立起了一条SSL安全通道。5、安全代理设备通过该SSL安全通道将配置在安全代理设备上的映射规则发送给 L4VPN代理模块,配置的映射规则发送给L4 VPN代理模块后,该代理模块会根据 映射规则建立监听。这些映射规则由安全代理设备的管理员来进行配置,用来定义 允许客户端PC机上的哪些数据通过该SSL安全通道进行转发。配置的映射规则发 送给L4 VPN代理模块后,该代理模块会根据映射规则建立监听。6、当发现客户端PC机访问的数据在映射规则内时,L4VPN代理模块将访问请 求通过SSL安全通道发送至安全代理设备,安全代理设备根据映射规则从相应的服 务端获取所请求的数据,然后将获取的数据通过SSL安全通道返回至L4 VPN代理 模块,L4 VPN代理模块再将数据直接转发到客户端PC机上的各个应用程序。
权利要求
1. 一种基于传输层VPN技术的安全通信方法,其包括以下步骤1)在安全代理设备的入口网页处嵌入一个客户端应用程序;2)客户端PC机通过浏览器访问安全代理设备,安全代理设备与企业内网之间进行连接,此时,页面上出现一个按钮,点击该按钮;3)浏览器就会自动下载客户端应用程序到客户端PC机中,客户端应用程序在客户端PC机中安装一个L4VPN代理模块;4)在客户端PC机上点击运行L4VPN代理模块,首先L4VPN代理模块与安全代理设备之间建立TCP连接,并经过标准的SSL密钥交换过程,L4VPN代理模块和安全代理设备之间建立起一条SSL安全通道;5)安全代理设备通过SSL安全通道将配置在安全代理设备上的映射规则发送给L4VPN代理模块,L4VPN代理模块会根据映射规则建立监听;6)当L4VPN代理模块发现客户端PC机访问的数据在映射规则内时,L4VPN代理模块将访问请求通过SSL安全通道发送至安全代理设备,安全代理设备根据映射规则从相应的远程服务端获取所请求的数据,然后将获取的数据通过SSL安全通道返回至L4VPN代理模块,L4VPN代理模块再将数据直接转发到客户端PC机上的各个应用程序。
2、 如权利要求1所述一种基于传输层VPN技术的安全通信方法,其特征在于 其中步骤l)中的客户端应用程序为一个ActiveX或JAVA程序,所述客户端应用程 序根据Microsoft IE提供的标准接口进行编码嵌入至安全代理设备的入口网页处。
3、 如权利要求1所述一种基于传输层VPN技术的安全通信方法,其特征在于 其中步骤3)中客户端应用程序具体的安装过程由浏览器来实现。
4、 如权利要求1所述一种基于传输层VPN技术的安全通信方法,其特征在于 其中步骤3)中客户端应用程序具体的安装过程由浏览器来实现。
5、 如权利要求1或2或3或4所述一种基于传输层VPN技术的安全通信方法, 其特征在于其中步骤4)中,标准的SSL密钥交换过程是安全代理设备把它的 数字证书与公共密钥一并发送给L4 VPN代理模块,L4 VPN代理模块随机生成会话 密钥,用从安全代理设备得到的公共密钥对会话密钥进行加密,并把会话密钥传递 给安全代理设备,而会话密钥只有在安全代理设备端用私人密钥才能解密。
6、 如权利要求1或2或3或4所述一种基于传输层VPN技术的安全通信方法, 其特征在于其中步骤5)所述映射规则由安全代理设备的管理员来决定。
7、如权利要求5所述一种基于传输层VPN技术的安全通信方法,其特征在于 其中步骤5)所述映射规则由安全代理设备的管理员来决定。
全文摘要
本发明涉及一种基于传输层VPN技术的安全通信方法,其包括以下步骤1)在安全代理设备的入口网页处嵌入一个客户端应用程序;2)客户端PC机通过浏览器访问安全代理设备,安全代理设备与企业内网之间进行连接,此时,页面上出现一个按钮,点击该按钮;3)浏览器就会自动下载客户端应用程序到客户端PC机中,客户端应用程序在客户端PC机中安装一个L4 VPN代理模块;4)经过标准的SSL密钥交换过程,L4 VPN代理模块和安全代理设备之间建立起一条SSL安全通道;5)安全代理设备为L4 VPN代理模块配置映射规则,L4 VPN代理模块根据映射规则建立监听;6)安全代理设备根据映射规则从相应的远程服务端获取所请求的数据。本发明方法具有操作简单,使用方便,无需手动安装,访问资源灵活的特点,它允许传输Web资源内容和非Web资源内容,同时不会对客户端的网络环境产生很大影响。
文档编号H04L29/06GK101277246SQ20081010632
公开日2008年10月1日 申请日期2008年5月12日 优先权日2008年5月12日
发明者胡延锐, 磊 苗 申请人:华耀环宇科技(北京)有限公司