一种基于传输层VPN技术的安全通信方法

摘要

本发明涉及一种基于传输层VPN技术的安全通信方法，其包括以下步骤：1)在安全代理设备的入口网页处嵌入一个客户端应用程序；2)客户端PC机通过浏览器访问安全代理设备，安全代理设备与企业内网之间进行连接，此时，页面上出现一个按钮，点击该按钮；3)浏览器就会自动下载客户端应用程序到客户端PC机中，客户端应用程序在客户端PC机中安装一个L4 VPN代理模块；4)经过标准的SSL密钥交换过程，L4 VPN代理模块和安全代理设备之间建立起一条SSL安全通道；5)安全代理设备为L4 VPN代理模块配置映射规则，L4 VPN代理模块根据映射规则建立监听；6)安全代理设备根据映射规则从相应的远程服务端获取所请求的数据。本发明方法具有操作简单，使用方便，无需手动安装，访问资源灵活的特点，它允许传输Web资源内容和非Web资源内容，同时不会对客户端的网络环境产生很大影响。

说明书

技术领域

本发明涉及一种网络数据安全通信方法，特别是关于一种基于传输层VPN技术的安全通信方法。

背景技术

VPN(Virtual Private Network，虚拟私有网)技术是通过在远程客户端和被访问资源之间建立起虚拟安全通道的方法来保证安全网络访问。VPN技术为企业员工在外出差或在家中访问企业内网资源提供了极大的便捷。现有的VPN技术主要有下面两种：

1、IP-SEC VPN

网络层VPN，可传输的数据不受限制，但是配置复杂，对客户端的网络环境有很大影响。

2、SSL-VPN

应用层VPN，对客户端的网络环境影响很小，但是局限于浏览器访问方式，只能传输Web资源。

因此有必要开发一种允许传输Web资源内容和非Web资源内容，并且不会对客户端的网络环境产生很大影响的VPN技术，从而弥补上述两种VPN技术的缺陷。

发明内容

针对上述问题，本发明的目的是提出一种基于传输层VPN技术的安全通信方法，使得用户配置规则下允许的所有客户端应用可以通过同一条安全的网络通道来访问共享网络资源。

为实现上述目的，本发明采取以下技术方案：一种基于传输层VPN技术的安全通信方法，其包括以下步骤：1)在安全代理设备的入口网页处嵌入一个客户端应用程序；2)客户端PC机通过浏览器访问安全代理设备，安全代理设备与企业内网之间进行连接，此时，页面上出现一个按钮，点击该按钮；3)浏览器就会自动下载客户端应用程序到客户端PC机中，客户端应用程序在客户端PC机中安装一个L4VPN代理模块；4)在客户端PC机上点击运行L4 VPN代理模块，首先L4 VPN代理模块与安全代理设备之间建立TCP连接，并经过标准的SSL密钥交换过程，L4 VPN代理模块和安全代理设备之间建立起一条SSL安全通道；5)安全代理设备通过SSL安全通道将配置在安全代理设备上的映射规则发送给L4 VPN代理模块，L4 VPN代理模块会根据映射规则建立监听；6)当L4 VPN代理模块发现客户端PC机访问的数据在映射规则内时，L4 VPN代理模块将访问请求通过SSL安全通道发送至安全代理设备，安全代理设备根据映射规则从相应的远程服务端获取所请求的数据，然后将获取的数据通过SSL安全通道返回至L4 VPN代理模块，L4 VPN代理模块再将数据直接转发到客户端PC机上的各个应用程序。

其中步骤1)中的客户端应用程序为一个ActiveX或JAVA程序，所述客户端应用程序根据Microsoft IE提供的标准接口进行编码嵌入至安全代理设备的入口网页处。

其中步骤3)中客户端应用程序具体的安装过程由浏览器来实现。

其中步骤4)中，标准的SSL密钥交换过程是：安全代理设备把它的数字证书与公共密钥一并发送给L4 VPN代理模块，L4 VPN代理模块随机生成会话密钥，用从安全代理设备得到的公共密钥对会话密钥进行加密，并把会话密钥传递给安全代理设备，而会话密钥只有在安全代理设备端用私人密钥才能解密。

其中步骤5)所述映射规则由安全代理设备的管理员来决定。

本发明由于采取以上技术方案，其具有以下优点：1、由于本发明在安全代理设备的入口网页处嵌入有一个小的客户端程序，该客户端程序是一个ActiveX或JAVA程序，小巧、灵活、便于网络传输，且可以通过被广泛使用的IE浏览器来下载并进行安装，这极大地方便了用户操作。2、由于该客户端程序会在客户端PC机上自动安装一个L4 VPN代理模块，该代理模块与安全代理设备建立一条安全通道，所有允许的数据将通过此安全通道被转发至安全代理设备，再由安全代理设备进行下一步转发，因此保证了安全网络访问。综上可以看出，本发明方法具有操作简单，使用方便，无需手动安装，访问资源灵活的特点，它允许传输Web资源内容和非Web资源内容，同时不会对客户端的网络环境产生很大影响。

附图说明

图1是本发明的工作原理示意图

具体实施方式

本发明方法的基本原理如下：

1、在客户端与服务端之间提供了一条安全可靠的网络通道。

2、用户可以根据自己的需要配置一些规则，这些规则用来定义允许哪些数据通过安全通道，所有规则内允许的数据将通过此安全通道被转发至安全代理设备，再由安全代理设备进行下一步转发。

下面结合附图和实施例对本发明进行详细的描述。

如图1所示，本发明方法的工作流程如下：

1、在安全代理设备的入口网页处嵌入一个小的客户端应用程序，该客户端程序是一个ActiveX或JAVA程序，其是根据Microsoft IE提供的标准接口来进行编码嵌入的。

2、客户端PC机(即用户)通过浏览器(如Internet Explorer)访问安全代理设备，安全代理设备与企业内网之间进行连接。当用户登录到安全代理设备入口网页上时，页面上出现一个按钮“Start the Application Manager(应用程序管理器)”，点击该按钮，浏览器就会自动下载这个客户端应用程序到客户端PC机中。

3、该客户端应用程序在客户端PC机中安装一个L4 VPN代理模块，具体的安装过程是由IE来实现的。

4、在客户端PC机上点击运行L4 VPN代理模块，首先该代理模块与安全代理设备之间建立TCP(Transmission Control Protocol传输控制协议)连接，安全代理设备把它的数字证书与公共密钥一并发送给代理模块，代理模块随机生成会话密钥，用从安全代理设备得到的公共密钥对会话密钥进行加密，并把会话密钥传递给安全代理设备，而会话密钥只有在安全代理设备端用私人密钥才能解密。经过这个标准的SSL(Secure Socket Layer加密套接字协议层)密钥交换过程，L4 VPN代理模块和安全代理设备之间就建立起了一条SSL安全通道。

5、安全代理设备通过该SSL安全通道将配置在安全代理设备上的映射规则发送给L4 VPN代理模块，配置的映射规则发送给L4 VPN代理模块后，该代理模块会根据映射规则建立监听。这些映射规则由安全代理设备的管理员来进行配置，用来定义允许客户端PC机上的哪些数据通过该SSL安全通道进行转发。配置的映射规则发送给L4 VPN代理模块后，该代理模块会根据映射规则建立监听。

6、当发现客户端PC机访问的数据在映射规则内时，L4 VPN代理模块将访问请求通过SSL安全通道发送至安全代理设备，安全代理设备根据映射规则从相应的服务端获取所请求的数据，然后将获取的数据通过SSL安全通道返回至L4 VPN代理模块，L4 VPN代理模块再将数据直接转发到客户端PC机上的各个应用程序。