【技術實現(xiàn)步驟摘要】
本申請涉及通信,具體而言,涉及一種基于瀏覽器的ssl?vpn通信方法和系統(tǒng)。
技術介紹
1、隨著互聯(lián)網(wǎng)的飛速發(fā)展,越來越多的企業(yè)、政府單位、社會機構都接入到了互聯(lián)網(wǎng)中;同時為了保障信息安全,都建設了相對隔離的內(nèi)部信息網(wǎng)絡。一般情況下,正常的辦公信息、企業(yè)的生產(chǎn)管理信息都在內(nèi)部網(wǎng)絡的信息系統(tǒng)中。近些年,遠程作業(yè)、遠程辦公在如今大多數(shù)企事業(yè)單位中都成為了常態(tài),遠程接入企事業(yè)單位的內(nèi)網(wǎng),既需要保證通信連接,又要保證數(shù)據(jù)傳輸?shù)陌踩浴S捎赽/s模式的web系統(tǒng)更便于部署和維護,因此企事業(yè)單位中存在大量能夠通過瀏覽器訪問的web系統(tǒng)。與之對應地,能夠解決這種應用需求的基于瀏覽器的ssl?vpn技術應運而生。
2、ssl?vpn技術是指在公共的網(wǎng)絡設施上,基于ssl協(xié)議對網(wǎng)絡傳輸?shù)臄?shù)據(jù)包進行加密封裝的隧道技術;該技術采用加密、認證、訪問控制等手段,能夠實現(xiàn)安全虛擬專用網(wǎng)絡。通過該技術,用戶可以在外部公共網(wǎng)絡中訪問內(nèi)網(wǎng)中的各web系統(tǒng)的功能,并且能夠保證客戶端和服務器之間數(shù)據(jù)傳輸?shù)陌踩?/p>
3、圖1是現(xiàn)有的基于瀏覽器的ssl?vpn技術的實現(xiàn)框架及流程圖。在web模式下,瀏覽器兼顧了ssl?vpn系統(tǒng)中“客戶端”的功能,ssl?vpn服務器會維護一個web站點,用戶登陸ssl?vpn服務器后,就能在web站點首頁看到內(nèi)部網(wǎng)絡中其他web站點的鏈接。例如內(nèi)部財務系統(tǒng)、內(nèi)部oa系統(tǒng)、內(nèi)部crm系統(tǒng)等,內(nèi)部web站點都在ssl?vpn服務器上,將內(nèi)部站點的私有url中協(xié)議頭字段進行替換,即http替換成https,瀏覽器與ss
4、在實現(xiàn)本申請過程中專利技術人發(fā)現(xiàn),現(xiàn)有基于瀏覽器的ssl?vpn技術方案,至少存在如下一些缺點:
5、(1)現(xiàn)實的內(nèi)網(wǎng)環(huán)境中既有http類型的web網(wǎng)頁系統(tǒng),還有大量的https類型的web網(wǎng)頁系統(tǒng),以及還有很多其他服務類型的網(wǎng)絡服務,例如:ftp、ssh、nfs、smb、cifs服務等,顯然僅支持http類型網(wǎng)絡請求的現(xiàn)有的ssl?vpn技術已無法滿足現(xiàn)實中遠程訪問內(nèi)網(wǎng)環(huán)境的需求。
6、(2)現(xiàn)實中ssl協(xié)議依賴的加密技術,需要支持兩類加解密標準:通用密碼標準、國密標準。但是現(xiàn)有的ssl?vpn技術架構中,對國密標準的支持不夠完善,沒有實現(xiàn)對國密雙密碼證書的管理。
7、(3)用戶在外網(wǎng)環(huán)境中,對內(nèi)網(wǎng)環(huán)境的訪問,需要及時識別出用戶的不安全訪問的行為,并記錄和上報到監(jiān)控服務器中。但是現(xiàn)有的ssl?vpn技術未能詳細識別出用戶操作內(nèi)網(wǎng)資源的行為數(shù)據(jù)。
技術實現(xiàn)思路
1、本申請的目的在于提出一種基于瀏覽器的ssl?vpn通信方法和系統(tǒng),以解決上述提及的一個或多個問題。
2、依據(jù)本申請的第一方面,提出了一種基于瀏覽器的ssl?vpn通信方法,包括:
3、瀏覽器與ssl?vpn服務器之間建立ssl連接通道;
4、在用戶登錄信息驗證通過后,ssl?vpn服務器向瀏覽器返回該用戶有權限訪問的內(nèi)網(wǎng)服務列表,所述內(nèi)網(wǎng)服務列表中標明了每個內(nèi)網(wǎng)服務的服務類型和端口地址;
5、響應于用戶選擇的內(nèi)網(wǎng)服務,瀏覽器通過ssl會話向ssl?vpn服務器發(fā)送請求報文,所述請求報文中攜帶用戶選擇的內(nèi)網(wǎng)服務的服務類型和端口地址以及用戶操作網(wǎng)頁的交互數(shù)據(jù);
6、ssl?vpn服務器對收到的請求報文進行解密處理,進一步解析出所述請求報文的攜帶內(nèi)容,然后根據(jù)端口地址與對應的內(nèi)網(wǎng)服務建立數(shù)據(jù)交互連接,并根據(jù)服務類型在瀏覽器和內(nèi)網(wǎng)服務間做交互數(shù)據(jù)的協(xié)議轉換和轉發(fā)處理,轉換為對方對應協(xié)議類型的數(shù)據(jù);
7、ssl?vpn服務器通過ssl會話向瀏覽器返回應答報文,所述應答報文中攜帶的內(nèi)網(wǎng)服務返回的交互數(shù)據(jù)為瀏覽器能夠識別的協(xié)議類型,實現(xiàn)用戶遠程訪問各種服務類型的內(nèi)網(wǎng)服務。
8、根據(jù)本申請一些實施方式,瀏覽器與ssl?vpn服務器之間建立的是國密ssl連接通道;所述方法還包括:
9、瀏覽器在啟動時自動加載用戶已經(jīng)導入成功的國密密碼雙證書,并配合ssl?vpn服務器的配置策略進行用戶登錄信息驗證過程:如果ssl?vpn服務器選擇國密雙向驗證的通信模式,則瀏覽器把本地管理的用戶國密雙證書信息發(fā)送給ssl?vpn服務器進行驗證;如果ssl?vpn服務器選擇國密單向驗證的通信模式,則瀏覽器將用戶名和密碼信息發(fā)送給sslvpn服務器進行驗證。
10、根據(jù)本申請一些實施方式,所述ssl?vpn服務器根據(jù)服務類型在瀏覽器和內(nèi)網(wǎng)服務間做交互數(shù)據(jù)的協(xié)議轉換和轉發(fā)處理,轉換為對方能夠識別的對應協(xié)議類型的數(shù)據(jù),包括:
11、http類型的內(nèi)網(wǎng)服務,ssl?vpn服務器將用戶操作網(wǎng)頁的交互數(shù)據(jù)直接轉發(fā)給內(nèi)網(wǎng)服務,把內(nèi)網(wǎng)服務返回的交互數(shù)據(jù)直接采用國密標準加密后,轉發(fā)給瀏覽器;
12、https類型的內(nèi)網(wǎng)服務,ssl?vpn服務器先與內(nèi)網(wǎng)服務建立加密握手連接,將用戶操作網(wǎng)頁的交互數(shù)據(jù)加密后再轉發(fā)給內(nèi)網(wǎng)服務,對內(nèi)網(wǎng)服務返回的交互數(shù)據(jù)先進行解密,再對解密后的交互數(shù)據(jù)采用國密標準加密后,轉發(fā)給瀏覽器;
13、其他協(xié)議類型的內(nèi)網(wǎng)服務,其他協(xié)議類型包括但不限于ftp、ssh、nfs、smb、cifs,ssl?vpn服務器將用戶操作網(wǎng)頁的交互數(shù)據(jù)先轉換成與內(nèi)網(wǎng)服務的服務類型對應的數(shù)據(jù)后再轉發(fā)給內(nèi)網(wǎng)服務,對內(nèi)網(wǎng)服務返回的交互數(shù)據(jù)先轉換成瀏覽器能夠識別的http協(xié)議的數(shù)據(jù),再對協(xié)議轉換后的交互數(shù)據(jù)采用國密標準加密后,轉發(fā)給瀏覽器。
14、根據(jù)本申請一些實施方式,所述方法還包括:
15、瀏覽器識別并記錄用戶訪問內(nèi)網(wǎng)服務的各種操作行為的交互數(shù)據(jù),根據(jù)監(jiān)控服務器下發(fā)的用戶過濾規(guī)則和數(shù)據(jù)上報規(guī)則對所有用戶的交互數(shù)據(jù)進行解析、分類和統(tǒng)計,過濾出需要上報的用戶操作數(shù)據(jù)上報給監(jiān)控服務器。
16、根據(jù)本申請一些實施方式,所述方法還包括:
17、監(jiān)控服務器在接收到瀏覽器上報的用戶操作數(shù)據(jù)后,對用戶的操作行為進行用戶畫像,根據(jù)后臺配置的異常行為識別和預警規(guī)則,識別用戶的越權訪問和違規(guī)操作行為。。
18、依據(jù)本申請的第二方面,提出了一種基于瀏覽器的ssl?vpn通信系統(tǒng),包括:瀏覽器和ssl?vpn服務器;所述瀏覽器與所述ssl?vpn服務器之間建立ssl連接通道;
19、所述ssl?vpn服務器,用于在用戶登錄信息驗證通過后,向所述瀏覽器返回該用戶有權限訪問的內(nèi)網(wǎng)服務列表,所述內(nèi)網(wǎng)服務列表中標明了每個內(nèi)網(wǎng)服務的服務類型和端口地址;
20、所述瀏覽器,用于響應于用戶選擇的內(nèi)網(wǎng)服務,本文檔來自技高網(wǎng)...
【技術保護點】
1.一種基于瀏覽器的SSL?VPN通信方法,其特征在于,包括:
2.根據(jù)權利要求1所述的方法,其特征在于,瀏覽器與SSL?VPN服務器之間建立的是國密SSL連接通道;所述方法還包括:
3.根據(jù)權利要求2所述的方法,其特征在于,所述SSL?VPN服務器根據(jù)服務類型在瀏覽器和內(nèi)網(wǎng)服務間做交互數(shù)據(jù)的協(xié)議轉換和轉發(fā)處理,轉換為對方能夠識別的對應協(xié)議類型的數(shù)據(jù),包括:
4.根據(jù)權利要求1至3任一項所述的方法,其特征在于,所述方法還包括:
5.根據(jù)權利要求4所述的方法,其特征在于,所述方法還包括:
6.一種基于瀏覽器的SSL?VPN通信系統(tǒng),其特征在于,包括:瀏覽器和SSL?VPN服務器;所述瀏覽器與所述SSL?VPN服務器之間建立SSL連接通道;
7.根據(jù)權利要求6所述的系統(tǒng),其特征在于,所述瀏覽器與所述SSL?VPN服務器之間建立的是國密SSL連接通道;
8.根據(jù)權利要求7所述的系統(tǒng),其特征在于,所述SSL?VPN服務器根據(jù)服務類型在瀏覽器和內(nèi)網(wǎng)服務間做交互數(shù)據(jù)的協(xié)議轉換和轉發(fā)處理,轉換為對方能夠識別的對
9.根據(jù)權利要求6至8任一項所述的系統(tǒng),其特征在于,
10.根據(jù)權利要求9所述的系統(tǒng),其特征在于,所述系統(tǒng)還包括:
...【技術特征摘要】
1.一種基于瀏覽器的ssl?vpn通信方法,其特征在于,包括:
2.根據(jù)權利要求1所述的方法,其特征在于,瀏覽器與ssl?vpn服務器之間建立的是國密ssl連接通道;所述方法還包括:
3.根據(jù)權利要求2所述的方法,其特征在于,所述ssl?vpn服務器根據(jù)服務類型在瀏覽器和內(nèi)網(wǎng)服務間做交互數(shù)據(jù)的協(xié)議轉換和轉發(fā)處理,轉換為對方能夠識別的對應協(xié)議類型的數(shù)據(jù),包括:
4.根據(jù)權利要求1至3任一項所述的方法,其特征在于,所述方法還包括:
5.根據(jù)權利要求4所述的方法,其特征在于,所述方法還包括:
6.一種基于瀏覽器的ssl?...
【專利技術屬性】
技術研發(fā)人員:應玉龍,王元濤,張虎,韓丹,王雪,
申請(專利權)人:中國郵政儲蓄銀行股份有限公司,
類型:發(fā)明
國別省市:
還沒有人留言評論。發(fā)表了對其他瀏覽者有用的留言會獲得科技券。