專利名稱:一種利用ssl協(xié)議建立防火墻通道實(shí)現(xiàn)虛擬專用網(wǎng)的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)�����,特別涉及一種利用SSL(SecuritySocket Layer)協(xié)議建立防火墻通道實(shí)現(xiàn)虛擬專用網(wǎng)的方法。
背景技術(shù):
隨著信息技術(shù)的發(fā)展����,特別是互聯(lián)網(wǎng)的發(fā)展�,使全球各地的人們溝通越來越方便��,然而出于對(duì)個(gè)人信息保護(hù)的需要����,又不得不使用各種各樣的方法,其中使用防火墻來防止服務(wù)器及其個(gè)人信息受到非法攻擊是最常用的方法�����。
防火墻在保護(hù)個(gè)人信息���,防止黑客對(duì)電腦終端進(jìn)行未經(jīng)授權(quán)的訪問起到了作用����,但也存在拒絕合法用戶訪問的可能����。
為了使位于互聯(lián)網(wǎng)上個(gè)人用戶防火墻外部的用戶能夠訪問被訪問者防火墻內(nèi)部的信息資源,一般是采用IP-TUNNEL或HTTP-TUNNEL技術(shù)來建立虛擬專用網(wǎng)VPN(Virtual Private Network)���。
這些方案有以下缺點(diǎn)(1)防火墻內(nèi)部需要開放服務(wù)器的IP地址�����;(2)HTTP服務(wù)需要開放服務(wù)端口(如80端口)�����,容易使攻擊著借用該端口實(shí)現(xiàn)對(duì)服務(wù)器的控制�����;(3)數(shù)據(jù)在INTERNET網(wǎng)上沒有加密傳輸�,有被截獲而泄密的可能����。
發(fā)明內(nèi)容
本發(fā)明針對(duì)現(xiàn)有技術(shù)的缺點(diǎn),提供一種利用SSL協(xié)議建立防火墻通道實(shí)現(xiàn)虛擬專用網(wǎng)的方法�。
本發(fā)明是基于SSL建立的,實(shí)現(xiàn)方法包括以下步驟(1)防火墻通道由防火墻內(nèi)部的BE(BACK END)網(wǎng)關(guān)服務(wù)器和防火墻外部的FE(FRONT END)網(wǎng)關(guān)服務(wù)器組成����;(2)在建立防火墻通道時(shí),由防火墻內(nèi)部的BE(BACK END)網(wǎng)關(guān)服務(wù)器建立與防火墻外部的FE(FRONT END)網(wǎng)關(guān)服務(wù)器的SSL連接��;(3)當(dāng)客戶訪問端向電腦終端用戶發(fā)出訪問請(qǐng)求時(shí)��,這些訪問請(qǐng)求由FE的服務(wù)程序加密打包后通過SSL連接傳送到BE的服務(wù)程序�����,經(jīng)解包后提取客戶訪問端的請(qǐng)求發(fā)送給相應(yīng)服務(wù)程序�;(4)BE網(wǎng)關(guān)服務(wù)器把電腦終端用戶的服務(wù)程序發(fā)出的應(yīng)答信息加密打包����,通過SSL連接傳送給FE網(wǎng)關(guān)服務(wù)器��,經(jīng)解包后將服務(wù)程序的應(yīng)答信息返回客戶端�����。
本發(fā)明具有如下優(yōu)點(diǎn)(1)在TCP和IP層之下建立SOCKET通信��,不需要開放服務(wù)器IP地址�����,減少服務(wù)器被攻擊的可能性���;(2)數(shù)據(jù)加密傳輸��,滿足數(shù)據(jù)的私密性要求���。
圖1為本發(fā)明的流程示意圖。
具體實(shí)施例方式
以下結(jié)合附圖對(duì)本發(fā)明做進(jìn)一步說明�����。
如圖1所示,防火墻通道由內(nèi)部的BE網(wǎng)關(guān)服務(wù)器和外部的FE網(wǎng)關(guān)服務(wù)器通過SSL建立連接����。當(dāng)客戶訪問端向電腦終端用戶發(fā)出訪問請(qǐng)求時(shí),此請(qǐng)求信息先由FE網(wǎng)關(guān)服務(wù)器的服務(wù)程序加密打包�����,然后通過SSL連接傳送到BE網(wǎng)關(guān)服務(wù)器�,再經(jīng)BE網(wǎng)關(guān)服務(wù)器的服務(wù)程序解包后發(fā)給電腦終端用戶��。
電腦終端用戶在得到客戶訪問端的訪問信息后�����,將應(yīng)答信息通過BE網(wǎng)關(guān)服務(wù)器的服務(wù)程序加密打包�,然后SSL連接傳送到FE網(wǎng)關(guān)服務(wù)器,再經(jīng)FE網(wǎng)關(guān)服務(wù)器的服務(wù)程序解包后發(fā)給客戶訪問端��。這樣���,在不開放HTTP服務(wù)端口和IP地址的情況下實(shí)現(xiàn)了數(shù)據(jù)的傳輸���,減少了服務(wù)器被攻擊的可能性�,同時(shí)在傳輸信息時(shí)采取加密方式����,也保證了數(shù)據(jù)傳輸?shù)谋C苄浴?br>
權(quán)利要求
1.一種利用SSL協(xié)議建立防火墻通道實(shí)現(xiàn)虛擬專用網(wǎng)的方法,包括如下步驟1).防火墻通道由防火墻內(nèi)部的BE(BACK END)網(wǎng)關(guān)服務(wù)器和防火墻外部的FE(FRONT END)網(wǎng)關(guān)服務(wù)器組成����;2).在建立防火墻通道時(shí),由防火墻內(nèi)部的BE(BACK END)網(wǎng)關(guān)服務(wù)器建立與防火墻外部的FE(FRONT END)網(wǎng)關(guān)服務(wù)器的SSL連接��;3).當(dāng)客戶訪問端向電腦終端用戶發(fā)出訪問請(qǐng)求時(shí)�����,這些訪問請(qǐng)求由FE的服務(wù)程序加密打包后通過SSL連接傳送到BE的服務(wù)程序��,經(jīng)解包后提取客戶訪問端的請(qǐng)求發(fā)送給相應(yīng)服務(wù)程序��;4).BE網(wǎng)關(guān)服務(wù)器把電腦終端用戶的服務(wù)程序發(fā)出的應(yīng)答信息加密打包���,通過SSL連接傳送給FE網(wǎng)關(guān)服務(wù)器���,經(jīng)解包后將服務(wù)程序的應(yīng)答信息返回客戶端���。
全文摘要
一種利用SSL協(xié)議建立防火墻通道實(shí)現(xiàn)虛擬專用網(wǎng)的方法,其防火墻通道由內(nèi)部的BE網(wǎng)關(guān)服務(wù)器和外部的FE網(wǎng)關(guān)服務(wù)器通過SSL建立連接。當(dāng)客戶訪問端向電腦終端用戶發(fā)出訪問請(qǐng)求時(shí),此請(qǐng)求信息先由FE網(wǎng)關(guān)服務(wù)器的服務(wù)程序加密打包����,然后通過SSL連接傳送到BE網(wǎng)關(guān)服務(wù)器��,再經(jīng)BE網(wǎng)關(guān)服務(wù)器的服務(wù)程序解包后發(fā)給電腦終端用戶��。電腦終端用戶在得到客戶訪問端的訪問信息后�����,將應(yīng)答信息通過BE網(wǎng)關(guān)服務(wù)器的服務(wù)程序加密打包,然后SSL連接傳送到FE網(wǎng)關(guān)服務(wù)器��,再經(jīng)FE網(wǎng)關(guān)服務(wù)器的服務(wù)程序解包后發(fā)給客戶訪問端��。
文檔編號(hào)H04L29/06GK1697451SQ20051007070
公開日2005年11月16日 申請(qǐng)日期2005年5月17日 優(yōu)先權(quán)日2005年5月17日
發(fā)明者蔣光澤, 葛兵, 徐魯博, 張躍華 申請(qǐng)人:北京立通無限科技有限公司