一种高速安全虚拟网络代理的方法及其系统技术方案

本发明专利技术公开了一种高速安全虚拟网络代理的方法及其系统，包括虚拟网卡、对流经虚拟网卡数据处理的客户端虚拟网卡处理模块；其特征在于：包括以下步骤：S10、客户端将流经虚拟网卡的请求数据转换、封装发送至网关；S20、所述网关接受到步骤S10中的数据包，并把此数据包解封后由代理连接发至应用系统；S30、所述应用系统将步骤S20中的数据包由代理连接返回网关；S40、所述网关将步骤S30中的数据包封装，返回客户端。本发明专利技术的高速安全虚拟网络代理的方法及其系统，能够高效率地解决数据报文封装和转发问题。转发问题。转发问题。

【技术实现步骤摘要】
一种高速安全虚拟网络代理的方法及其系统


[0001]本专利技术属于网络代理
，具体涉及高速安全虚拟网络代理的方法及其系统。

技术介绍

[0002]随着Internet技术高速发展，5G、物联网时代的到来，企业不断被迫重构安全边界，软件定义边界（SoftwareDefined Perimeter）是一个能够为OSI七层协议栈提供安全防护的网络安全架构，SDP 可实现资产隐藏，并在允许连接到隐藏资产之前使用单个数据包通过单独的控制和数据平面建立信任连接，使用 SDP 实现的零信任网络使组织能够防御旧攻击方法的新变种，这些新变种攻击方法不断出现在现有的以网络和基础设施边界为中心的网络模型中；SDP架构体系中，网关承担着接入（Access）、认证（Authority）、审计（Audit）等重要功能，保证客户端与网关之间网络传输的安全性与高效性，是研发与实施SDP标准的重要课题；现有的加密传输技术主要分两种，一是以OpenVPN为代表的基于SSL/TLS的虚拟网隧道传输技术，二是以IPsec为代表的互联网安全协议传输技术；OpenVPN是一个开源的加密隧道构建工具，基于OpenSSL的SSL/TLS协议，可以在互联网中实现点对点的VPN安全连接；OpenVPN提供两种类型的虚拟网络接口，分别用于建立IP隧道及以太网桥接；除了对传输与控制数据的加密使用了OpenSSL库支持的所有算法，OpenVPN还提供了多种身份验证方式，用于确认参与连接双方的身份，包括：预享私钥、基于PKI的第三方证书，及用户名/密码组合；IPsec协议工作在OSI模型的第三层，使其在单独使用时适于保护基于TCP或UDP的协议；这就意味着，与传输层或更高层的协议相比，IPsec协议必须处理可靠性和分片的问题，这同时也增加了它的复杂性和处理开销；相对而言，SSL/TLS依靠更高层的TCP（OSI的第四层）来管理可靠性和分片；IPsec协议提供了完整的安全协议，包括AH（Authentication Header）、ESP（Encapsulated Security Payload），有效防止了非法入侵，确保了通信不被篡改。密钥管理协议（ISAKMP）提供共享安全信息，包括密钥及密钥有效期、转码方式、密钥交换等；类似OpenVPN这种基于SSL/TLS的虚拟网技术是通过虚拟网络接口将操作系统协议栈中传输的数据传递至用户层，进行SSL/TLS加密，且外层用TCP或UDP封装后，再次投递入操作系统协议栈进行传输的技术；这种技术存在4个缺点，一是协议封装的过程会造成性能损失较大，协议有效载荷占比降低；二是虚拟网络接口技术的应用造成频繁用户态与内核态的切换与内存拷贝，在服务端的影响尤甚，极大影响数据吞吐量；三是数据报文的加密和解密占用了大量处理能力，造成处理时延增大；四是协议封装处理逻辑需随业务传输协议调整，TCP报文需以UDP协议封装，UDP报文需以TCP协议封装，否则会造成数据重传风暴或数据丢失，这种不统一会在实际部署应用时增加复杂度；
IPsec工作在网络层，任何基于IP的协议都能够通过它进行传输，IPsec中与应用程序无关的设计也是它的弱点，虽然它提供了认证、授权和加密，同时还基本上把公司网络拓展到任何远程用户，但是它没有能在一定粒度级别上限制对资源的访问；一旦隧道建立，远程用户通常可以访问公司的任何资源，就像他们是直接连接到公司网络一样，另外，IPsec也需要更多的维护，除了需要建立终止通道的设备，还需要额外的配置和维护来支持远程用户群，在公司使用网络地址解析（NAT）的情况下，还需要特殊的配置确保IPsec与NAT设置充分协调；目前主流VPN代理软件基本是基于两种技术，一是基于OpenVPN这种X协议封装Y协议的方式，另一种是基于IPSec的方式，现有技术存在的主要问题是效率不高，由于必须将三、四层协议封装造成大量的协议转换、校验和计算，还可能造成多余的数据包重传，另外OpenVPN必须借助到虚拟网络接口的直接读写二层网络数据能力，在大数据量并发的情况下虚拟网络接口设备效率不佳，成为系统性能瓶颈。

技术实现思路

[0003]本专利技术的目的在于提供一种高速安全虚拟网络代理的方法及其系统，以解决大数据量并发的情况下虚拟网络接口设备效率不佳的问题。
[0004]为实现上述目的，本专利技术提供如下技术方案：本专利技术的一种高速安全虚拟网络代理的方法，包括虚拟网卡、对流经虚拟网卡数据处理的客户端虚拟网卡处理模块；包括以下步骤：S10、客户端将流经虚拟网卡的请求数据转换、封装发送至网关；S20、所述网关接受到步骤S10中的数据包，并把此数据包解封后由代理连接发至应用系统；S30、所述应用系统将步骤S20中的数据包由代理连接返回网关；S40、所述网关将步骤S30中的数据包封装，返回客户端。
[0005]本专利技术能够高效率地解决数据报文封装和转发问题，对于TCP和UDP协议的应用，摈弃效率低下的虚拟网络接口方式，传输效率得以得到极大提升；协议头精简，封装与解封效率高；底层传输采用TCP，无需像OpenVPN那样需要根据传输数据调整底层传输协议；网关无需虚拟网络接口，避免虚拟网络接口设备并发效率不足及大量内核态与用户态转换造成的效率瓶颈，与IPSec相比，本专利技术是纯软件实现的安全隧道传输技术，无需额外配置或专用网络设备投资。
[0006]上述数据转换包括以下步骤：S11、所述客户端预先绑定虚拟网卡IP，并把应用系统IP添加到路由信息中，在指定端口启动监听；S12、应用发起请求，所述客户端从虚拟网卡读取到数据包；S13、所述客户端虚拟网卡处理模块将数据包中的源IP与目的IP交换，并将目的IP的端口修改为指定端口，写回虚拟网卡；S14、写回所述虚拟网卡的数据包被监听端口接收，创建新socket连接；并使用所述新socket连接接收数据。
[0007]步骤S12中，发起请求的数据包中包含源IP、源端口、目的IP、目的端口。
[0008]步骤S14中，数据包为三层数据包，包括IP头、TCP头以及payload。
[0009]步骤S14中，数据包通过GT协议封装，所述GT协议中携带发起请求的源端口，并发送至网关。
[0010]步骤S40中，具体包括以下步骤：S41、所述网关返回GT协议封装的数据包；S42、根据步骤S41数据包中的源端口匹配客户端监听创建的连接会话socket，剥离GT协议头，将数据写回会话socket。
[0011]步骤S40中，还包括以下步骤：S43、根据步骤S11中预先添加的路由信息，所述步骤S42中的数据包流经虚拟网卡；S44、所述客户端虚拟网卡处理模块读取到步骤S43中的数据包；并将此数据包中的源IP与目的IP交换,写回虚拟网卡；S45、所述步骤S44中的数据包通过操作系统协议栈返回应用程序。
[0012]上述GT协议格式包括：GT协议头定长64bit，其中：Package_Type、Package_Length、Control_Type/Proxy_Id、Data_Length各占用16bit；Packa本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种高速安全虚拟网络代理的方法，包括虚拟网卡、对流经虚拟网卡数据处理的客户端虚拟网卡处理模块；其特征在于：包括以下步骤：S10、客户端将流经虚拟网卡的请求数据转换、封装发送至网关；S20、所述网关接受到步骤S10中的数据包，并把此数据包解封后由代理连接发至应用系统；S30、所述应用系统将步骤S20中的数据包由代理连接返回网关；S40、所述网关将步骤S30中的数据包封装，返回客户端。2.根据权利要求1所述的一种高速安全虚拟网络代理的方法，其特征在于：所述数据转换包括以下步骤：S11、所述客户端预先绑定虚拟网卡IP，并把应用系统IP添加到路由信息中，在指定端口启动监听；S12、应用发起请求，所述客户端从虚拟网卡读取到数据包；S13、所述客户端虚拟网卡处理模块将数据包中的源IP与目的IP交换，并将目的IP的端口修改为指定端口，写回虚拟网卡；S14、写回所述虚拟网卡的数据包被监听端口接收，创建新socket连接；并使用所述新socket连接接收数据。3.根据权利要求2所述的一种高速安全虚拟网络代理的方法，其特征在于：步骤S12中，发起请求的数据包中包含源IP、源端口、目的IP、目的端口。4.根据权利要求2所述的一种高速安全虚拟网络代理的方法，其特征在于：步骤S14中，数据包为三层数据包，包括IP头、TCP头以及payload。5.根据权利要求4所述的一种高速安全虚拟网络代理的方法，其特征在于：步骤S14中，数据包通过GT协议封装，所述GT协议中携带发起请求的源端口，并发送至网关。6.根据权利要求2所述的一种高速安全虚拟网络代理的方法，其特征在于：步骤S40中，具体包括以下步骤：S41、所述网关返回GT协议封装的数据包；S42、根据步骤S41数据包中的源端口匹配客户端监听创建的连接会话socket，剥离GT协议头，将数据写回会话socket。7.根据权利要求6所述的一种高速安全虚拟网络代理的方法，其特征在于：步...

【专利技术属性】
技术研发人员：陈玮，孙刚，康自清，
申请(专利权)人：德思信息科技南京有限公司，
类型：发明
国别省市：