SSL VPN的IP接入方法及装置制造方法及图纸

本申请提供一种SSL VPN的IP接入方法，包括：向终端设备上的SSL VPN客户端发送隧道配置信息，以使所述SSL VPN客户端将所述隧道配置信息更新至终端设备上的内置VPN客户端；接收所述SSL VPN客户端发送的所述内置VPN客户端的私网IP地址，储存所述私网IP地址和与所述SSL VPN客户端对应的资源列表的映射关系；接收所述内置VPN客户端发送的针对与所述SSL VPN客户端对应的资源访问报文；判断待访问资源的IP地址是否在所述资源列表中，当所述待访问资源的IP地址在所述资源列表中，向所述内置VPN客户端返回经过本地封装的数据报文。应用本发明专利技术实施例，可以实现在安全性较高的系统中，终端设备以SSL VPN的IP接入方式访问资源。

【技术实现步骤摘要】

本申请涉及网络通信
，尤其涉及SSL VPN的IP接入方法及装置。
技术介绍
SSL VPN是一种采用SSL(Security Socket Layer，安全套接字层)协议来实现远程接入的一种新型VPN(Virtual Private Network，虚拟专用网)技术。它是以HTTPS(Secure Hyper Text Transfer Protocol，安全超文本传输协议，即支持SSL的HTTP协议)为基础，利用SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制，来实现远程访问内网资源。通常情况下，SSL VPN有三种常用的接入方式，分别为Web接入方式，TCP接入方式以及IP接入方式。然而，在一些系统中，由于权限问题，终端设备不能以SSL VPN的IP接入的方式访问内网资源，为用户访问公司内网资源造成了不便。
技术实现思路
有鉴于此，本申请提供一种SSL VPN的IP接入方法及装置，用以实现在安全性较高的系统中，终端设备以SSL VPN的IP接入方式访问资源。具体地，本申请是通过如下技术方案实现的：根据本专利技术实施例的第一方面，提供一种SSL VPN的IP接入的方法，所述方法应用于SSL VPN服务端，包括：向终端设备上的SSL VPN客户端发送隧道配置信息，以使所述SSL VPN客户端将所述隧道配置信息更新至终端设备上的内置VPN客户端，由所述内置VPN客户端基于所述隧道配置信息与本地建立隧道；接收所述SSL VPN客户端发送的所述内置VPN客户端的私网IP地址，并储存所述私网IP地址和与所述SSL VPN客户端对应的资源列表的映射关系，其中，所述资源列表记录了所述终端设备可访问资源的IP地址；接收所述内置VPN客户端发送的针对与所述SSL VPN客户端对应的资源访问报文，其中，所述资源访问报文携带有待访问资源的IP地址；判断待访问资源的IP地址是否在所述资源列表中，当所述待访问资源的IP地址在所述资源列表中，向所述内置VPN客户端返回经过本地封装的数据报文，以使所述VPN客户端通过对所述数据报文解封装，获取所述数据报文中携带的待访问资源。根据本专利技术实施例的第二方面，提供一种SSL VPN的IP接入的方法，所述方法应用于终端设备，其中，所述终端设备包括SSL VPN客户端和内置VPN客户端，所述方法包括：所述SSL VPN客户端接收所述SSL VPN服务端发送的隧道配置信息，将所述隧道配置信息更新至所述内置VPN客户端，由所述内置VPN客户端基于所述隧道配置信息，与所述SSL VPN服务端建立隧道；所述SSL VPN客户端获取所述内置VPN客户端的私网IP地址，向SSL VPN服务端发送所述私网IP地址，以使所述SSL VPN服务端储存所述私网IP地址和与所述SSL VPN客户端对应的资源列表的映射，其中，所述资源列表记录了所述终端设备可访问资源的IP地址；所述内置VPN客户端向所述SSL VPN服务端发送资源访问报文，其中所述资源访问报文携带有待访问资源的IP地址；当所述SSL VPN服务端确认所述待访问资源的IP地址在所述资源列表时，所述内置VPN客户端接收所述SSL VPN服务端返回的数据报文，并通过对所述数据报文解封装，获取所述数据报文中携带的所述待访问资源。根据本专利技术实施例的第三方面，提供一种SSL VPN的IP接入装置，所述装置应用于服务端，所述装置包括：发送单元，用于向终端设备上的SSL VPN客户端发送隧道配置信息，以 使所述SSL VPN客户端将所述隧道配置信息更新至终端设备上的内置VPN客户端，由所述内置VPN客户端基于所述隧道配置信息与本地建立隧道；第一接收单元，用于接收所述SSL VPN客户端发送的所述内置VPN客户端的私网IP地址，并储存所述私网IP地址和与所述SSL VPN客户端对应的资源列表的映射关系，其中，所述资源列表记录了所述终端设备可访问资源的IP地址；第二接收单元，用于接收所述内置VPN客户端发送的针对与所述SSL VPN客户端对应的资源访问报文，其中，所述资源访问报文携带有待访问资源的IP地址；判断单元，判断待访问资源的IP地址是否在所述资源列表中，当所述待访问资源的IP地址在所述资源列表中，向所述内置VPN客户端返回经过本地封装的数据报文，以使所述VPN客户端通过对所述数据报文解封装，获取所述数据报文中携带的待访问资源。根据本专利技术实施例的第四方面，提供一种SSL VPN的IP接入装置，所述装置应用于终端设备，其中，所述终端设备包括SSL VPN客户端和内置VPN客户端，所述装置包括：第一接收单元，用于所述SSL VPN客户端接收所述SSL VPN服务端发送的隧道配置信息，将所述隧道配置信息更新至所述内置VPN客户端，由所述内置VPN客户端基于所述隧道配置信息，与所述SSL VPN服务端建立隧道；获取单元，用于所述SSL VPN客户端获取所述内置VPN客户端的私网IP地址，向SSL VPN服务端发送所述私网IP地址，以使所述SSL VPN服务端储存所述私网IP地址和与所述SSL VPN客户端对应的资源列表的映射，其中，所述资源列表记录了所述终端设备可访问资源的IP地址；发送单元，用于所述内置VPN客户端向所述SSL VPN服务端发送资源访问报文，其中所述资源访问报文携带有待访问资源的IP地址；第二接收单元，用于当所述SSL VPN服务端确认所述待访问资源的IP地址在所述资源列表时，所述内置VPN客户端接收所述SSL VPN服务端返回的数 据报文，并通过对所述数据报文解封装，获取所述数据报文中携带的所述待访问资源。SSL VPN客户端以IP接入方式访问所需IP资源时，SSL VPN客户端需要在终端设备上建立虚拟网卡，该虚拟网卡可以将目的地址为可访问资源的IP地址的报文转发给SSL VPN客户端，以使得SSL VPN客户端将报文封装后，再发送给SSL VPN服务端，从而实现以IP接入方式来访问内网资源。然而，在一些安全性较高的系统中，例如iOS系统，SSL VPN客户端通常无法取得在终端设备上安装虚拟网卡的权限，一方面，由于没有虚拟网卡，所以上述SSL VPN客户端无法捕获到上述资源访问报文，因此无法实现对该资源访问报文的封装；另一方面，由于缺乏上述以虚拟网卡为出接口的路由信息，因此无法控制终端设备访问内网资源的权限；所以，基于上述两方面的原因，无法实现利用SSL VPN技术以IP接入的方式访问内网资源。本专利技术实施例提出一种新的SSL VPN的IP接入方法，通过对现有的VPN报文传输过程的改进，SSL VPN客户端可以使终端设备上的内置VPN客户端与SSL VPN服务端建立隧道，SSL VPN服务端可以通过接收终端设备上的内置VPN客户端发送的经其封装后的资源访问报文，并可以判断待访问资源的IP地址是否在与上述SSL VPN客户端对应的资源列表中，当待访问资源的IP地址在上述资源列表中时，SSL VPN服务端可以将从资源服务端接收的数据报文封装，并返回给上述内置VPN客户端。一方面，由于SSL VPN服务端可以判断待访问资源的IP地址是否在与上述SSL VPN客户端对应的资源列表中，来控制终端设备对资源的访问权限；另一方面，由于本文档来自技高网...

【技术保护点】
一种SSL VPN的IP接入方法，其特征在于，所述方法应用于SSL VPN服务端，包括：向终端设备上的SSL VPN客户端发送隧道配置信息，以使所述SSL VPN客户端将所述隧道配置信息更新至终端设备上的内置VPN客户端，由所述内置VPN客户端基于所述隧道配置信息与本地建立隧道；接收所述SSL VPN客户端发送的所述内置VPN客户端的私网IP地址，并储存所述私网IP地址和与所述SSL VPN客户端对应的资源列表的映射关系，其中，所述资源列表记录了所述终端设备可访问资源的IP地址；接收所述内置VPN客户端发送的针对与所述SSL VPN客户端对应的资源访问报文，其中，所述资源访问报文携带有待访问资源的IP地址；判断待访问资源的IP地址是否在所述资源列表中，当所述待访问资源的IP地址在所述资源列表中，向所述内置VPN客户端返回经过本地封装的数据报文，以使所述VPN客户端通过对所述数据报文解封装，获取所述数据报文中携带的待访问资源。

【技术特征摘要】
1.一种SSL VPN的IP接入方法，其特征在于，所述方法应用于SSL VPN服务端，包括：向终端设备上的SSL VPN客户端发送隧道配置信息，以使所述SSL VPN客户端将所述隧道配置信息更新至终端设备上的内置VPN客户端，由所述内置VPN客户端基于所述隧道配置信息与本地建立隧道；接收所述SSL VPN客户端发送的所述内置VPN客户端的私网IP地址，并储存所述私网IP地址和与所述SSL VPN客户端对应的资源列表的映射关系，其中，所述资源列表记录了所述终端设备可访问资源的IP地址；接收所述内置VPN客户端发送的针对与所述SSL VPN客户端对应的资源访问报文，其中，所述资源访问报文携带有待访问资源的IP地址；判断待访问资源的IP地址是否在所述资源列表中，当所述待访问资源的IP地址在所述资源列表中，向所述内置VPN客户端返回经过本地封装的数据报文，以使所述VPN客户端通过对所述数据报文解封装，获取所述数据报文中携带的待访问资源。2.根据权利要求1所述的方法，其特征在于，所述判断待访问资源的IP地址是否在所述资源列表中，包括：将所述资源访问报文解封装；将解封装后的所述资源访问报文转发给所述资源服务端，以使所述资源服务端查找与所述资源访问报文对应的待访问资源；接收所述资源服务端返回的携带查找到的所述待访问资源的数据报文；判断所述数据报文的源IP地址是否在所述资源列表中；当所述待访问资源的IP地址在所述资源列表中，向所述内置VPN客户端返回经过本地封装的数据报文，包括：当所述数据报文的源IP地址在所述资源列表中，将从所述资源服务端接收的所述数据报文封装；将封装后的所述数据报文返回给所述内置VPN客户端。3.根据权利要求1所述的方法，其特征在于，所述判断待访问资源的IP地址是否在所述资源列表中，包括：将所述资源访问报文解封装；判断所述资源访问报文的目的IP地址是否在所述资源列表中；所述当待访问资源的IP地址在所述资源列表中，向所述内置VPN客户端返回经过本地封装的数据报文，包括：当所述资源访问报文的目的IP地址在所述资源列表中，向所述资源服务端转发解封装后的资源访问报文，以使所述资源服务端基于所述解封装后的资源访问报文，查找与之对应的所述待访问资源；接收所述资源服务端返回的携带查找到的所述待访问资源的数据报文；对所述数据报文进行封装；将所述封装后的数据报文返回所述内置VPN客户端。4.一种SSL VPN的IP接入方法，其特征在于，所述方法应用于终端设备，其中，所述终端设备包括SSL VPN客户端和内置VPN客户端，所述方法包括：所述SSL VPN客户端接收所述SSL VPN服务端发送的隧道配置信息，将所述隧道配置信息更新至所述内置VPN客户端，由所述内置VPN客户端基于所述隧道配置信息，与所述SSL VPN服务端建立隧道；所述SSL VPN客户端获取所述内置VPN客户端的私网IP地址，向SSL VPN服务端发送所述私网IP地址，以使所述SSL VPN服务端储存所述私网IP地址和与所述SSL VPN客户端对应的资源列表的映射，其中，所述资源列表记录了所述终端设备可访问资源的IP地址；所述内置VPN客户端向所述SSL VPN服务端发送资源访问报文，其中所述资源访问报文携带有待访问资源的IP地址；当所述SSL VPN服务端确认所述待访问资源的IP地址在所述资源列表时，所述内置VPN客户端接收所述SSL VPN服务端返回的数据报文，并通过对所述数据报文解封装，获取所述数据报文中携带的所述待访问资源。5.根据权利要求4所述的方法，其特征在于，所述内置VPN客户端，包括IKEv2VPN客户端、IPSec VPN客户端、L2TP VPN客户端和PPTP VPN客户端中的任一。6.一种SSL VP...

【专利技术属性】
技术研发人员：王永亮，任亚茹，
申请(专利权)人：杭州迪普科技有限公司，
类型：发明
国别省市：浙江;33