專利名稱:一種分布式ssl vpn系統(tǒng)及構(gòu)架方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種涉及計算機軟件和信息安全領(lǐng)域���,尤其涉及一種分布式SSL VPN系統(tǒng)及構(gòu)架方法�。
背景技術(shù):
網(wǎng)絡(luò)時代��,如何安全可靠地遠程訪問辦公室內(nèi)部網(wǎng)絡(luò)資源是各個公司一件大事���。目前市場中逐漸流行采用SSL VPN(安全套接層虛擬專網(wǎng))運營模式�����。所謂SSL是Secure SocketLayer Protocol的簡稱��,即安全套接層協(xié)議�����,它是一種加密傳輸技術(shù)協(xié)議��,通過給對稱加密技術(shù)約定對稱密鑰�,建立加密通道�,經(jīng)過這個通道的信息均被加密;所謂VPN是VirtualPrivate Network英文簡稱,被稱為虛擬專用網(wǎng)絡(luò)或虛擬私人網(wǎng)絡(luò),是一種常用于連接中�����、大型企業(yè)或團體與團體間的私人網(wǎng)絡(luò)的通訊方法��。虛擬私人網(wǎng)絡(luò)的訊息透過公用的網(wǎng)絡(luò)架構(gòu)(例如互聯(lián)網(wǎng))來傳送內(nèi)聯(lián)網(wǎng)的網(wǎng)絡(luò)訊息����。VPN沒有改變原有廣域網(wǎng)絡(luò)的一些特性,如多重協(xié)議的支持�����、高可靠性及高擴充度����,而是在更為符合成本效益的基礎(chǔ)上來達到這些特性。上述兩者結(jié)合而產(chǎn)生的所謂SSL VPN(安全套接層虛擬專網(wǎng))以其可大幅增強最終用戶的遠程接入��、端點安全性�����、易于使用和外聯(lián)網(wǎng)應(yīng)用的潛力而被有需要遠程訪問辦公室內(nèi)部網(wǎng)絡(luò)資源的各個公司所關(guān)注����。但目前SSL VPN均為集中式構(gòu)架系統(tǒng),如附圖5所示即通常運營商首先用VPDN�、專線或其它類型的VPN線路連通用戶的應(yīng)用系統(tǒng)(服務(wù)器),然后通過在數(shù)據(jù)中心(IDC)部署的一套大型SSL VPN設(shè)備將不同用戶的應(yīng)用分別發(fā)布出來����,供遠程用戶訪問。在這種模式下的用戶訪問流程如圖3所示��。只要用戶連上Internet網(wǎng)��,利用IE瀏覽器訪問SSL VPN設(shè)備�����,通過身份認證之后��,即可安全的使用機構(gòu)內(nèi)部的應(yīng)用資源了�����。但是��,這種運營模式的持續(xù)發(fā)展能力和可擴張性均很差�,隨著用戶量的不斷增加和SSL VPN產(chǎn)品的不斷普及,由于以下原因��,將很快步入維護困難的境地在這種模式下����,運營商需要維護所有用戶帳號及訪問策略�����,并且在業(yè)務(wù)開通時����,必須面對千差萬別且不斷變化的機構(gòu)/企業(yè)網(wǎng)絡(luò)�;并且不可避免的要為用戶開通連接IDC的線路,這就牽涉到對用戶內(nèi)部網(wǎng)絡(luò)及應(yīng)用系統(tǒng)的調(diào)整��,由此產(chǎn)生的工程及維護非常復雜�。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供一種分布式SSL VPN系統(tǒng)及構(gòu)架方法,可以解決SSL VPN的維護問題�。
為解決上述技術(shù)問題,本發(fā)明提供了一種分布式SSL VPN系統(tǒng)�����,包括服務(wù)端�����;SSL VPN交換平臺�,含至少一布于運營商處的交換單元設(shè)備����;客戶端��,含SSL VPN設(shè)備��,SSL VPN設(shè)備具唯一標識��,可訪問Internet并可會自動在SSL VPN交換平臺注冊����;服務(wù)端���、SSL VPN交換平臺�����、客戶端通過INTERNET連接��。
為解決上述技術(shù)問題���,本發(fā)明還提供了一種分布式SSL VPN系統(tǒng)構(gòu)架方法,包括如下步驟安裝服務(wù)端��;在不同運營商處安裝交換單元設(shè)備并連接以構(gòu)成SSL VPN交換平臺;在客戶端安裝SSL VPN設(shè)備��,并為SSL VPN設(shè)備分配唯一標識����;為SSL VPN設(shè)備配置一個客戶端局域網(wǎng)內(nèi)部IP地址,使其可訪問Internet并在SSL VPN交換平臺上注冊�;客戶端利用圖形化配置向?qū)В瑒?chuàng)建帳號和訪問控制權(quán)限�����;進入SSL VPN使用工作流程���,完成數(shù)據(jù)的交互傳輸�����;其中�,該SSL VPN使用工作流程包括以下步驟a.開始�;b.服務(wù)端導入ID文件并嘗試連接SSL VPN交換平臺,如連接且注冊成功��,進入步驟c�;如無法注冊則繼續(xù)嘗試連接SSL VPN交換平臺����;c.SSL VPN交換平臺偵聽是否有外部請求�����,如有客戶端請求進入步驟d�;d.SSL VPN交換平臺查詢判斷是否客戶端已在SSL VPN交換平臺注冊���,如果已注冊�����,到步驟e�����;如果未注冊����,發(fā)送訪問失敗信息給客戶端并到步驟i�����;e.所述SSL VPN交換平臺上各交換單元設(shè)備首先分別測試其自身至客戶端和服務(wù)端的速度,然后選出其中訪問客戶端和服務(wù)端用時最少的交換單元設(shè)備��,再將數(shù)據(jù)傳輸路徑轉(zhuǎn)移至選出的用時最少的交換單元設(shè)備上�����,選出的用時最少的交換單元設(shè)備透明轉(zhuǎn)發(fā)客戶端請求�����;到步驟f�;f.服務(wù)端身份認證模塊檢查認證客戶端身份,如通過認證到步驟g��,如未通過認證發(fā)送認證失敗信息給客戶端并到步驟i����;g.服務(wù)端訪問控制檢查客戶端訪問權(quán)限,如不滿足訪問權(quán)項條件����,則發(fā)送拒絕服務(wù)信息給客戶端并到步驟i;如滿足訪問權(quán)項條件��,則進入步驟h����;h.SSL VPN交換平臺與客戶端建立SSL連接�����,然后解密數(shù)據(jù)�����,并發(fā)送至應(yīng)用服務(wù)器���,應(yīng)用服務(wù)器處理數(shù)據(jù)����,并返回響應(yīng),進入步驟i��;i.結(jié)束此次工作流程���。
本發(fā)明通過網(wǎng)絡(luò)分布式架構(gòu)及使用方法���,可以構(gòu)建維護簡單,可長期穩(wěn)定發(fā)展的SSL VPN���,解決了用戶為了SSL VPN服務(wù)還要租用額外鏈路的問題��。
圖1是傳統(tǒng)SSL VPN訪問流程圖��;圖2是本發(fā)明系統(tǒng)訪問流程圖�����;圖3是傳統(tǒng)的SSL VPN用戶訪問過程關(guān)系示意圖�;圖4是本發(fā)明系統(tǒng)用戶訪問過程關(guān)系示意圖;圖5是傳統(tǒng)SSL VPN系統(tǒng)構(gòu)架示意圖���;圖6是本發(fā)明系統(tǒng)構(gòu)架示意圖���。
具體實施例方式
下面結(jié)合附圖及具體實施例對本發(fā)明作進一步詳細的說明。
如圖5所示是傳統(tǒng)SSL VPN系統(tǒng)構(gòu)架示意圖�����,采用的是集中式的構(gòu)架分����;如圖6是本發(fā)明系統(tǒng)構(gòu)架示意圖,在圖6中,運營商首先按本發(fā)明組建分布在Internet各處的SSL VPN交換平臺����,不同的部門和企業(yè)租用SSLVPN服務(wù)后,按本發(fā)明應(yīng)在其內(nèi)部網(wǎng)絡(luò)中部署一臺安全門戶網(wǎng)關(guān)(SSL VPN設(shè)備)���,它可以利用用戶原有的各種Internet線路��,自動連接到交換平臺上注冊��。注冊成功后���,在全球各地的遠程用戶就可以通過各種Internet線路訪問SSL VPN交換平臺,再轉(zhuǎn)到相應(yīng)的門戶網(wǎng)關(guān)�����。
本發(fā)明的方法詳述如下首先安裝服務(wù)端并在運營商的IDC機房中部署專用交換單元設(shè)備��;為申請SSL VPN業(yè)務(wù)的用戶分配一個獨一無二的標識名稱�;在用戶的局域網(wǎng)中放置滿足用戶需求的SSL VPN設(shè)備(根據(jù)用戶訪問量來決定放置高����、中、低端型號產(chǎn)品);為SSL VPN設(shè)備配置一個用戶內(nèi)部網(wǎng)絡(luò)的私有IP地址���,讓設(shè)備能上Internet即可����,其會按程序自動到SSL VPN交換平臺上注冊�����;用戶利用圖形化配置向?qū)?����、?chuàng)建帳號和訪問控制權(quán)限后�,SSL VPN就可以使用了,即用戶可以通過SSL VPN�����,完成數(shù)據(jù)的交互傳輸���。具體的用戶使用流程����,如圖2所示a.開始;b.服務(wù)端導入ID文件并嘗試連接SSL VPN交換平臺���,如連接且注冊成功�,進入步驟c���;如無法注冊則繼續(xù)嘗試連接SSL VPN交換平臺��;c.SSL VPN交換平臺偵聽是否有外部請求����,如有客戶端請求進入步驟d����;d.SSL VPN交換平臺查詢判斷是否客戶端已在SSL VPN交換平臺注冊,如果已注冊�����,到步驟e���;如果未注冊,發(fā)送訪問失敗信息給客戶端并到步驟i��;e.所述SSL VPN交換平臺上各交換單元設(shè)備首先分別測試其自身至客戶端和服務(wù)端的速度,然后選出其中訪問客戶端和服務(wù)端用時最少的交換單元設(shè)備����,再將數(shù)據(jù)傳輸路徑轉(zhuǎn)移至選出的用時最少的交換單元設(shè)備上,選出的用時最少的交換單元設(shè)備透明轉(zhuǎn)發(fā)客戶端請求�����;到步驟f���;f.服務(wù)端身份認證模塊檢查認證客戶端身份���,如通過認證到步驟g,如未通過認證發(fā)送認證失敗信息給客戶端并到步驟i��;g.服務(wù)端訪問控制檢查客戶端訪問權(quán)限��,如不滿足訪問權(quán)項條件���,則發(fā)送拒絕服務(wù)信息給客戶端并到步驟i�;如滿足訪問權(quán)項條件����,則進入步驟h���;h.SSL VPN交換平臺與客戶端建立SSL連接,然后解密數(shù)據(jù)����,并發(fā)送至應(yīng)用服務(wù)器,應(yīng)用服務(wù)器處理數(shù)據(jù)����,并返回響應(yīng),進入步驟i����;i.結(jié)束此次工作流程。
圖1是傳統(tǒng)SSL VPN模式下訪問流程圖���,可作為本發(fā)明對比�����。另外圖4是本發(fā)明系統(tǒng)用戶訪問過程關(guān)系示意圖��,表明了訪問時的模塊調(diào)用關(guān)系�����,而圖3則是傳統(tǒng)的SSL VPN用戶訪問過程關(guān)系示意圖�,可對比����。
本發(fā)明的分布式模式改變了原有SSL VPN點式分布的格局,真正實現(xiàn)了SSL VPN的網(wǎng)絡(luò)化�。按本發(fā)明運營商構(gòu)建了SSL VPN交換網(wǎng)絡(luò)。此網(wǎng)絡(luò)的作用類似于我們今天所熟知的公共電話交換網(wǎng)(PSTN)����,區(qū)別在于本網(wǎng)絡(luò)是由分布在Internet上不同位置的專用交換單元設(shè)備組成的。SSL VPN交換網(wǎng)絡(luò)為網(wǎng)絡(luò)中的每個安全門戶網(wǎng)關(guān)(SSL VPN設(shè)備)分配一個獨一無二的標識名稱�,負責整個SSL VPN運營網(wǎng)絡(luò)的數(shù)據(jù)交換(只轉(zhuǎn)發(fā)數(shù)據(jù),不對數(shù)據(jù)進行加/解密)���,并控制每臺安全門戶網(wǎng)關(guān)(SSL VPN設(shè)備)上的用戶訪問數(shù)量�。而真正具體控制遠程訪問和數(shù)據(jù)加/解密的安全門戶網(wǎng)關(guān)(SSL VPN設(shè)備)被放置在用戶的內(nèi)部網(wǎng)絡(luò)中��,用戶可以通過各種Internet線路連接到SSL VPN交換網(wǎng)絡(luò)中�,根據(jù)用戶量的大小,選配不同性能的設(shè)備�����,用戶可以自己去管理帳號和對內(nèi)部網(wǎng)絡(luò)的訪問權(quán)限。
用戶在使用SSL VPN時��,首先訪問網(wǎng)絡(luò)交換平臺的域名或IP地址���,然后再通過設(shè)備標識名稱找到想連接的SSL VPN設(shè)備�����。這個過程類似于我們現(xiàn)在撥打電話的方式����,即區(qū)號代表網(wǎng)絡(luò)交換平臺的地址����,電話號碼代表具體要找的SSL VPN設(shè)備。
綜上所述����,本發(fā)明在技術(shù)及運營上的優(yōu)點是顯而易見的(1)運營商運營維護成本大大降低,沒有責任風險�。
在這種模式下,運營商不需要付出巨大的維護成本���,僅負責分配安全門戶網(wǎng)關(guān)(SSL VPN設(shè)備)的標識名稱(類似于分配電話號碼)和控制每臺SSL VPN設(shè)備上的并發(fā)用戶數(shù)����。SSL VPN上開什么樣的帳號、發(fā)布什么樣的應(yīng)用以及設(shè)置什么樣的訪問權(quán)限都可以由用戶自己靈活掌控�。這一方面大大減輕了運營商的維護壓力��,同時規(guī)避了帳號被盜用后����,責任無法界定的尷尬。
(2)本發(fā)明可做到跨網(wǎng)絡(luò)的訪問優(yōu)化和提速�。
由于SSL VPN的使用者通常是移動辦公人士,可能今天用電信的Internet鏈路�,明天用網(wǎng)通的,后天用聯(lián)通或是鐵通的���;但是SSL VPN的設(shè)備基本上只接一個運營商的線路����,那么在使用中就不可避免的存在跨網(wǎng)絡(luò)訪問的問題�����。因為運營商之間基本沒有優(yōu)化措施����,所以在跨網(wǎng)絡(luò)訪問時����,速度非常慢���,更不要說跨兩個以上網(wǎng)絡(luò)會是怎樣了��;再加之各種應(yīng)用系統(tǒng)對網(wǎng)絡(luò)時延都有要求�。所以�����,經(jīng)常造成連而不通����,通而無用的情況。這是用戶自建SSL VPN系統(tǒng)所不能解決的問題�����。但是�����,本發(fā)明具備跨網(wǎng)絡(luò)訪問優(yōu)化的功能,并且能夠構(gòu)成一個路由優(yōu)化的網(wǎng)絡(luò)體系�,它可以幫助用戶自動找到一條時延最小的網(wǎng)絡(luò)路徑,從而提高對內(nèi)部應(yīng)用系統(tǒng)的訪問速度����。
(3)可通過關(guān)閉所有In-Bond端口,提高系統(tǒng)安全防護能力的實施方式����。
目前����,Internet中黑客和蠕蟲病毒肆虐,它們通常會先掃描系統(tǒng)端口�,然后利用開放的端口進行惡意攻擊。目前����,所有的SSL VPN系統(tǒng)都要開放443端口,關(guān)閉了就無法提供訪問服務(wù)�。這就為黑客和蠕蟲病毒留下了可能侵入的途徑。而利用本發(fā)明運營商提供的交換平臺�,可以從根本上斷絕黑客和蠕蟲的攻擊途徑,用戶可以關(guān)閉所有開放的(In-Bond)端口,并且不會響應(yīng)正常的訪問�,做到了實體隔離。使SSL VPN業(yè)務(wù)不僅可以用于遠程安全訪問����,還能夠用于內(nèi)部網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全防護,可以替代現(xiàn)有局限性很大網(wǎng)閘系統(tǒng)�����。
(4)節(jié)省IP地址資源我們國家擁有的Internet合法IP地址資源本來就少���,隨著社會信息化水平的不斷提高��,Internet合法IP地址的需求量急劇擴大�;用戶租用IP地址的費用在不斷增加�。而用戶自建SSL VPN時,固定合法IP地址是必須的�,這就需要用戶再花錢租用地址。而利用本發(fā)明運營商的交換平臺�,用戶只需要有條能上Internet的鏈路就可以了,有沒有固定合法IP都無所謂�����。這使SSL VPN的門檻大大降低,配合低端產(chǎn)品�,可以實現(xiàn)的SSL VPN的快速普及。
(4)本發(fā)明客戶端無需租用專用線路�����。
在本發(fā)明的SSL VPN模式下�����,用戶根據(jù)自己實際的訪問量來租用相對應(yīng)的服務(wù)或設(shè)備�����,并且不必再租用一條線路連接到IDC�,完全可以利用現(xiàn)有的Internet線路就能夠使用����。這就使業(yè)務(wù)的適用群體可以囊獲各行各業(yè)的不同用戶,不在人為的把一部分用戶區(qū)隔掉��,即使已經(jīng)租用了別的運營商的線路��,照樣可以使用本發(fā)明的SSL VPN服務(wù)�����。這用以前的運營模式是不可能實現(xiàn)的。
權(quán)利要求
1.一種分布式SSL VPN系統(tǒng)�,其特征在于,包括服務(wù)端����;SSL VPN交換平臺,含至少一布于運營商處的交換單元設(shè)備��;客戶端���,含SSL VPN設(shè)備�����,所述SSL VPN設(shè)備具唯一標識�,可訪問Internet并可會自動在所述SSL VPN交換平臺注冊��;所述服務(wù)端�、SSL VPN交換平臺、客戶端通過INTERNET連接�����。
2.根據(jù)權(quán)利要求1的分布式SSL VPN系統(tǒng),其特征在于����,所述SSL VPN設(shè)備可為高端型或中端型或低端型。
3.一種分布式SSL VPN系統(tǒng)構(gòu)架方法�����,其特征在于�,包括如下步驟安裝服務(wù)端;在不同運營商處安裝交換單元設(shè)備并連接以構(gòu)成SSL VPN交換平臺����;在客戶端安裝SSL VPN設(shè)備,并為所述SSL VPN設(shè)備分配唯一標識����;為所述SSL VPN設(shè)備配置一個客戶端局域網(wǎng)內(nèi)部IP地址,使其可訪問Internet并在所述SSL VPN交換平臺上注冊����;客戶端利用圖形化配置向?qū)?����,?chuàng)建帳號和訪問控制權(quán)限;進入SSL VPN使用工作流程���,完成數(shù)據(jù)的交互傳輸�����;其中����,所述SSL VPN使用工作流程包括以下步驟a.開始��;b.所述服務(wù)端導入ID文件并嘗試連接所述SSL VPN交換平臺�����,如連接且注冊成功��,進入步驟c�;如無法注冊則繼續(xù)嘗試連接所述SSL VPN交換平臺;c.所述SSL VPN交換平臺偵聽是否有外部請求����,如有客戶端請求進入步驟d;d.所述SSL VPN交換平臺查詢判斷是否客戶端已在SSL VPN交換平臺注冊����,如果已注冊��,到步驟e��;如果未注冊�����,發(fā)送訪問失敗信息給客戶端并到步驟i����;e.所述SSL VPN交換平臺上各交換單元設(shè)備首先分別測試其自身至客戶端和服務(wù)端的速度����,然后選出其中訪問客戶端和服務(wù)端用時最少的交換單元設(shè)備,再將數(shù)據(jù)傳輸路徑轉(zhuǎn)移至選出的用時最少的交換單元設(shè)備上�,選出的用時最少的交換單元設(shè)備透明轉(zhuǎn)發(fā)客戶端請求;到步驟f��;f.所述服務(wù)端身份認證模塊檢查認證客戶端身份���,如通過認證到步驟g,如未通過認證發(fā)送認證失敗信息給客戶端并到步驟i����;g.所述服務(wù)端訪問控制檢查客戶端訪問權(quán)限�����,如不滿足訪問權(quán)項條件�����,則發(fā)送拒絕服務(wù)信息給客戶端并到步驟i����;如滿足訪問權(quán)項條件�����,則進入步驟h����;h.所述SSL VPN交換平臺與所述客戶端建立SSL連接,然后解密數(shù)據(jù)�����,并發(fā)送至應(yīng)用服務(wù)器,應(yīng)用服務(wù)器處理數(shù)據(jù)��,并返回響應(yīng)��,進入步驟i�����;i.結(jié)束此次工作流程��。
全文摘要
本發(fā)明公開了一種分布式SSL VPN系統(tǒng)及構(gòu)架方法����,該系統(tǒng)包括服務(wù)端;SSL VPN交換平臺���,含至少一布于運營商處的交換單元設(shè)備����;客戶端��,含SSL VPN設(shè)備�����,SSL VPN設(shè)備具唯一標識,可訪問Internet并可會自動在SSL VPN交換平臺注冊���;服務(wù)端、SSL VPN交換平臺�����、客戶端通過INTERNET連接����。該方法包括安裝服務(wù)端;在不同運營商處安裝交換單元設(shè)備并連接以構(gòu)成SSL VPN交換平臺�;在客戶端安裝SSL VPN設(shè)備,并為SSL VPN設(shè)備分配唯一標識���;為SSL VPN設(shè)備配置一個客戶端局域網(wǎng)內(nèi)部IP地址���,使其可訪問Internet并在SSL VPN交換平臺上注冊;客戶端利用圖形化配置向?qū)?����,?chuàng)建帳號和訪問控制權(quán)限��;進入SSL VPN使用工作流程,完成數(shù)據(jù)的交互傳輸�。本發(fā)明通過網(wǎng)絡(luò)分布式架構(gòu)及使用方法,解決了SSL VPN服務(wù)租用額外鏈路的問題�。
文檔編號H04L29/06GK101047599SQ200610025359
公開日2007年10月3日 申請日期2006年3月31日 優(yōu)先權(quán)日2006年3月31日
發(fā)明者袁初成 申請人:袁初成