專利名稱:基于vpn安全訪問應(yīng)用服務(wù)器方法和網(wǎng)絡(luò)設(shè)備及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信應(yīng)用領(lǐng)域,尤其涉及一種基于VPN安全訪問應(yīng)用服務(wù)器方法和網(wǎng) 絡(luò)設(shè)備及系統(tǒng)�。
背景技術(shù):
虛擬專用網(wǎng)絡(luò)(Virtual Private Network,VPN)是通過特殊的加密的通訊協(xié)議在 連接在hternet上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線 路���,VPN的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)��。VPN被定義為通過一個公用網(wǎng)絡(luò)(通 常是因特網(wǎng))建立一個臨時的���、安全的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全��、穩(wěn)定的隧 道�。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶�����、公司分支機(jī)構(gòu)�����、商 業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接�����,并保證數(shù)據(jù)的安全傳輸��。虛擬專用 網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入���,以實現(xiàn)安全連接����;可用于實現(xiàn)企業(yè)網(wǎng)站 之間安全通信的虛擬專用線路�����,用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬 專用網(wǎng)。隨著軟件行業(yè)的不斷發(fā)展�,用戶選擇登錄的方式越來越多,如通過應(yīng)用情況下����,可 以提供不多方式的客戶端以供用戶對應(yīng)用服務(wù)器進(jìn)行訪問,這些客戶端可以是官方發(fā)布 的���,也可以是非官方發(fā)布的�����,這些都存在著一些危險代碼的客戶端�����,而現(xiàn)有的VPN登錄過程 只是對用戶的登錄進(jìn)行認(rèn)證����,并沒有對用戶所登錄的方式采取一定的安全控制策略���,而這 些不受限制的訪問機(jī)制會給整個VPN帶來一定的安全隱患�����,也可能造成VPN使用的效率���,比 如用戶使用惡意的客戶端訪問應(yīng)用服務(wù)器時,會對整個VPN或者系統(tǒng)造成一定損害��,而對 用戶不受限制的訪問��,為用戶提供大流量的訪問或者下載�����,會造成VPN使用體驗效果差�����。
發(fā)明內(nèi)容
本發(fā)明實施例在于提供一種基于VPN安全訪問應(yīng)用服務(wù)器方法和網(wǎng)絡(luò)設(shè)備及系 統(tǒng)���,解決了現(xiàn)有VPN無法識別用戶登錄VPN制式�,而無法安全控制用戶利用VPN隧道訪問內(nèi) 部應(yīng)服務(wù)器的問題��。為了達(dá)到上述技術(shù)效果��,本發(fā)明實施例提出了一種基于VPN安全訪問應(yīng)用服務(wù)器 方法�����,包括檢測是否有用戶登錄虛擬專用網(wǎng)絡(luò),在檢測到有用戶登錄虛擬專用網(wǎng)絡(luò)時��,查詢 預(yù)先設(shè)置的安全訪問策略�����,并獲取所述用戶訪問應(yīng)用服務(wù)器的訪問方式���;判斷所述用戶訪問應(yīng)用服務(wù)器的訪問方式是否符合預(yù)先設(shè)置的安全訪問策略��,如 果符合預(yù)先設(shè)置的安全訪問策略���,則允許用戶使用虛擬專用網(wǎng)絡(luò)隧道訪問應(yīng)用服務(wù)器。相應(yīng)的��,本發(fā)明實施例還提出了一種網(wǎng)絡(luò)設(shè)備����,所述網(wǎng)絡(luò)設(shè)備包括檢測單元,用于檢測是否有用戶登錄虛擬專用網(wǎng)絡(luò)�;查詢單元,用于查詢預(yù)先設(shè)置的安全訪問策略�����;獲取單元,用于獲取所述用戶訪問應(yīng)用服務(wù)器的訪問方式��;
判斷單元���,用于判斷所述用戶訪問應(yīng)用服務(wù)器的訪問方式是否符合預(yù)先設(shè)置的安 全訪問策略;授權(quán)單元�����,用于判斷單元判斷出所述用戶訪問應(yīng)用服務(wù)器的訪問方式符合預(yù)先設(shè) 置的安全訪問策略時���,允許用戶使用虛擬專用網(wǎng)絡(luò)隧道訪問應(yīng)用服務(wù)器�����。相應(yīng)的�����,本發(fā)明實施例還提供了一種網(wǎng)絡(luò)系統(tǒng)��,包括至少一個應(yīng)用服務(wù)器���、至少一 個的檢測節(jié)點����、至少一個安全控制節(jié)點�����,其中所述至少一個檢測節(jié)點用于檢測是否有用戶登錄虛擬專用網(wǎng)絡(luò)���;所述安全控制節(jié)點用于在所述至少一個檢測節(jié)點檢測到有用戶登錄虛擬專用網(wǎng) 絡(luò)時����,查詢預(yù)先設(shè)置的安全訪問策略�����,并獲取所述用戶訪問應(yīng)用服務(wù)器的訪問方式�����;判斷所 述用戶訪問應(yīng)用服務(wù)器的訪問方式是否符合預(yù)先設(shè)置的安全訪問策略�����,如果符合預(yù)先設(shè)置 的安全訪問策略,則允許用戶使用虛擬專用網(wǎng)絡(luò)隧道訪問應(yīng)用服務(wù)器��。實施本發(fā)明實施例���,在用戶使用VPN登錄內(nèi)部服務(wù)器時�����,可以查詢到用戶登錄VPN 的方式���,并根據(jù)該登錄方式是否授權(quán)用戶利用VPN隧道來訪問應(yīng)用服務(wù)器����,通過這種安全 登錄方式保證了 VPN的安全性,保證用戶登錄VPN的穩(wěn)定性�����。
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案�,下面將對實施例或現(xiàn) 有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地�,下面描述中的附圖僅僅是本 發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講��,在不付出創(chuàng)造性勞動性的前提下,還可 以根據(jù)這些附圖獲得其他的附圖�。圖1是本發(fā)明實施例中基于VPN安全訪問應(yīng)用服務(wù)器方法流程圖;圖2是本發(fā)明實施例中網(wǎng)絡(luò)系統(tǒng)架構(gòu)圖��;圖3是本發(fā)明實施例中網(wǎng)絡(luò)設(shè)備結(jié)構(gòu)示意圖����。
具體實施例方式為了使本發(fā)明所要解決的技術(shù)問題、技術(shù)方案及有益效果更加清楚明白�,以下結(jié) 合附圖及實施例,對本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明�。本發(fā)明實施例提供了一種基于VPN安全訪問應(yīng)用服務(wù)器方法,主要是通過檢測是 否有用戶登錄虛擬專用網(wǎng)絡(luò)����,在檢測到有用戶登錄虛擬專用網(wǎng)絡(luò)時,查詢預(yù)先設(shè)置的安全 訪問策略����,并獲取所述用戶訪問應(yīng)用服務(wù)器的訪問方式;判斷所述用戶訪問應(yīng)用服務(wù)器的 訪問方式是否符合預(yù)先設(shè)置的安全訪問策略����,如果符合預(yù)先設(shè)置的安全訪問策略,則允許 用戶使用虛擬專用網(wǎng)絡(luò)隧道訪問應(yīng)用服務(wù)器���。下面結(jié)合圖1來詳細(xì)說明本發(fā)明實施例中的基于VPN安全訪問應(yīng)用服務(wù)器方法流 程����,具體包括如下步驟SlOl 用戶登錄 VPN;S102 對用戶進(jìn)行登錄認(rèn)證;該登錄認(rèn)證是為了驗證用戶合法性�����,是否是屬于VPN用戶����,只有在登錄認(rèn)證完成 之后,才進(jìn)行S103�����。S103 用戶啟動應(yīng)用程序訪問應(yīng)用服務(wù)器����;
S104 查詢預(yù)先設(shè)置的安全訪問策略���,并獲取用戶訪問應(yīng)用服務(wù)器的訪問方式���;需要說明的是�,這里安全訪問策略是預(yù)先進(jìn)行設(shè)置的���,可以根據(jù)用戶等級進(jìn)行劃 分�����,比如存在甲���、乙、丙三個用戶�����,對于應(yīng)用服務(wù)器訪問的方式可以存在IE瀏覽器訪問�����、火 狐瀏覽器訪問���、多線程下載訪問等等時��,用戶甲的安全訪問策略可以是只允許IE瀏覽器訪 問�,用戶乙的安全訪問策略可以是允許IE瀏覽器訪問和火狐瀏覽器訪問,丙用戶可以是使 用上述三種的應(yīng)用程序進(jìn)行訪問的安全訪問策略����;當(dāng)然這里也可以根據(jù)應(yīng)用服務(wù)器不同設(shè) 置相應(yīng)的安全訪問策略,如存在A服務(wù)器���、B服務(wù)器�、C服務(wù)器時�����,對于A服務(wù)器進(jìn)行訪問的 安全訪問策略可以是只允許IE瀏覽器訪問����,對于B服務(wù)器進(jìn)行訪問的安全訪問策略可以是 允許IE瀏覽器訪問和火狐瀏覽器訪問,對于C服務(wù)器進(jìn)行訪問的安全訪問策略可以是使用 上述三種的應(yīng)用程序進(jìn)行訪問����。S105 判斷訪問方式是否符合預(yù)先設(shè)置的安全訪問策略,如果是��,則進(jìn)行S106����,否 則進(jìn)行S107 ;S106 允許用戶使用虛擬專用網(wǎng)絡(luò)隧道訪問應(yīng)用服務(wù)器�����;S107:日志記錄�。當(dāng)該訪問方式不符合預(yù)先設(shè)置的安全訪問策略,則不允許用戶使用網(wǎng)絡(luò)隧道訪問 應(yīng)用服務(wù)器�,并記錄下此次訪問的日志信息,以備管理員查閱并進(jìn)行管理等等�����。因此通過上述方案的實現(xiàn)����,可以在用戶登錄VPN時,對客戶端進(jìn)行認(rèn)證授權(quán)�����,使?jié)M 足安全訪問策略的用戶端程序通過VPN隧道訪問應(yīng)用服務(wù)器�,從而增加了用戶端訪問應(yīng)用 服務(wù)器的安全性,保證了系統(tǒng)的穩(wěn)定性����。相應(yīng)的����,圖2示出了本發(fā)明實施例中的網(wǎng)絡(luò)系統(tǒng)����,該網(wǎng)絡(luò)系統(tǒng)基于VPN網(wǎng)絡(luò)基礎(chǔ) 上,包括至少一個應(yīng)用服務(wù)器����,至少一個的檢測檢點和至少一個的安全控制節(jié)點,其中這 里的檢測節(jié)點用于檢測是否有用戶登錄虛擬專用網(wǎng)絡(luò)�;安全控制節(jié)點用于在檢測節(jié)點檢測 到有用戶登錄虛擬專用網(wǎng)絡(luò)時,查詢預(yù)先設(shè)置的安全訪問策略�,并獲取用戶訪問應(yīng)用服務(wù) 器的訪問方式,判斷用戶訪問應(yīng)用服務(wù)器的訪問方式是否符合預(yù)先設(shè)置的安全訪問策略���, 如果符合預(yù)先設(shè)置的安全訪問策略���,則允許用戶使用虛擬專用網(wǎng)絡(luò)隧道訪問應(yīng)用服務(wù)器。圖2中示出了應(yīng)用服務(wù)器A�����、應(yīng)用服務(wù)器B���、應(yīng)用服務(wù)器C以及用戶甲��、用戶乙�����、用 戶丙等等���,這里可以根據(jù)不同的應(yīng)用服務(wù)器來設(shè)置相應(yīng)的安全控制策略,也可以根據(jù)用戶 等級不同設(shè)置相應(yīng)的安全控制策略�。若這里的用戶甲的安全訪問策略可以是只允許IE瀏 覽器訪問,用戶乙的安全訪問策略可以是允許IE瀏覽器訪問和火狐瀏覽器訪問��,丙用戶可 以是使用上述三種的應(yīng)用程序進(jìn)行訪問的安全訪問策略��;對于A服務(wù)器進(jìn)行訪問的安全訪 問策略可以是只允許IE瀏覽器訪問�����,對于B服務(wù)器進(jìn)行訪問的安全訪問策略可以是允許IE 瀏覽器訪問和火狐瀏覽器訪問��,對于C服務(wù)器進(jìn)行訪問的安全訪問策略可以是使用上述三 種的應(yīng)用程序進(jìn)行訪問����。本發(fā)明實施例中用戶甲只能通過IE瀏覽器訪問到應(yīng)用服務(wù)器A�、 或者應(yīng)用服務(wù)器B�、或者應(yīng)用服務(wù)器C;用戶乙只能通過IE瀏覽器訪問到應(yīng)用服務(wù)器A,但 可以通過IE瀏覽器或者火狐瀏覽器訪問到應(yīng)用服務(wù)器B��、或者可以通過IE瀏覽器或者火 狐瀏覽器訪問到應(yīng)用服務(wù)器C;用戶乙只能通過IE瀏覽器訪問到應(yīng)用服務(wù)器A����,但可以通過 IE瀏覽器或者火狐瀏覽器訪問到應(yīng)用服務(wù)器B,或者通過三種方式訪問到應(yīng)用服務(wù)器C��。相應(yīng)的����,圖3示出了本發(fā)明實施例中的網(wǎng)絡(luò)設(shè)備結(jié)構(gòu)示意圖,該網(wǎng)絡(luò)設(shè)備基于VPN 網(wǎng)絡(luò)中��,包括
5
檢測單元301��,用于檢測是否有用戶登錄虛擬專用網(wǎng)絡(luò)���;查詢單元302�,用于查詢預(yù)先設(shè)置的安全訪問策略��;獲取單元303��,用于獲取用戶訪問應(yīng)用服務(wù)器的訪問方式;判斷單元304��,用于判斷用戶訪問應(yīng)用服務(wù)器的訪問方式是否符合預(yù)先設(shè)置的安 全訪問策略���;授權(quán)單元305,用于在判斷單元304判斷出用戶訪問應(yīng)用服務(wù)器的訪問方式符合 預(yù)先設(shè)置的安全訪問策略時��,允許用戶使用虛擬專用網(wǎng)絡(luò)隧道訪問應(yīng)用服務(wù)器�。相應(yīng)的,該網(wǎng)絡(luò)設(shè)備還包括設(shè)置單元306�,用于預(yù)先設(shè)置用戶登錄虛擬專用網(wǎng)絡(luò)的安全訪問策略;需要說明的是��,這里的設(shè)置單元306可以對用戶等級劃分����,對不同等級用戶設(shè)置 不同的安全訪問策略;或者設(shè)置單元307根據(jù)應(yīng)用服務(wù)器設(shè)置不同的安全訪問策略�����。存儲單元307�,用于存儲用戶登錄虛擬專用網(wǎng)絡(luò)的安全訪問策略。認(rèn)證單元308���,用于在檢測單元檢測到有用戶登錄虛擬專用網(wǎng)絡(luò)時�����,對用戶進(jìn)行登 錄認(rèn)證���。綜上所述��,通過實施本發(fā)明實施例�����,可以在用戶登錄VPN時�����,對客戶端進(jìn)行認(rèn)證授 權(quán)���,使?jié)M足安全訪問策略的用戶端程序通過VPN隧道訪問應(yīng)用服務(wù)器,從而增加了用戶端 訪問應(yīng)用服務(wù)器的安全性�����,保證了系統(tǒng)的穩(wěn)定性。以上所揭露的僅為本發(fā)明一種較佳實施例而已�����,當(dāng)然不能以此來限定本發(fā)明之權(quán) 利范圍���,因此依本發(fā)明權(quán)利要求所作的等同變化����,仍屬本發(fā)明所涵蓋的范圍��。通過以上的實施方式的描述����,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助 軟件加必需的硬件平臺的方式來實現(xiàn)�����,當(dāng)然也可以全部通過硬件來實施�。基于這樣的理解�, 本發(fā)明的技術(shù)方案對背景技術(shù)做出貢獻(xiàn)的全部或者部分可以以軟件產(chǎn)品的形式體現(xiàn)出來, 該計算機(jī)軟件產(chǎn)品可以存儲在存儲介質(zhì)中���,如ROM/RAM�����、磁碟�、光盤等,包括若干指令用以使 得一臺計算機(jī)設(shè)備(可以是個人計算機(jī)�,服務(wù)器,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個實施例 或者實施例的某些部分所述的方法���。
權(quán)利要求
1.一種基于VPN安全訪問應(yīng)用服務(wù)器方法�����,其特征在于���,包括檢測是否有用戶登錄虛擬專用網(wǎng)絡(luò),在檢測到有用戶登錄虛擬專用網(wǎng)絡(luò)時��,查詢預(yù)先 設(shè)置的安全訪問策略���,并獲取所述用戶訪問應(yīng)用服務(wù)器的訪問方式�����;判斷所述用戶訪問應(yīng)用服務(wù)器的訪問方式是否符合預(yù)先設(shè)置的安全訪問策略�,如果符 合預(yù)先設(shè)置的安全訪問策略,則允許用戶使用虛擬專用網(wǎng)絡(luò)隧道訪問應(yīng)用服務(wù)器�。
2.如權(quán)利要求1所述的方法,其特征在于�����,所述方法還包括預(yù)先設(shè)置用戶登錄虛擬專用網(wǎng)絡(luò)的安全訪問策略��,并將所述安全訪問策略存儲����。
3.如權(quán)利要求2所述的方法�����,其特征在于�,所述預(yù)先設(shè)置用戶登錄虛擬專用網(wǎng)絡(luò)的安 全訪問策略方法包括對所述用戶進(jìn)行等級劃分,對不同等級用戶設(shè)置不同的安全訪問策略����; 或者根據(jù)應(yīng)用服務(wù)器設(shè)置不同的安全訪問策略。
4.如權(quán)利要求1至3任一項所述的方法���,其特征在于���,所述方法還包括 當(dāng)檢測到有用戶登錄虛擬專用網(wǎng)絡(luò)時�����,對所述用戶進(jìn)行登錄認(rèn)證����。
5.一種網(wǎng)絡(luò)設(shè)備�,其特征在于,所述網(wǎng)絡(luò)設(shè)備包括 檢測單元�,用于檢測是否有用戶登錄虛擬專用網(wǎng)絡(luò); 查詢單元��,用于查詢預(yù)先設(shè)置的安全訪問策略����;獲取單元,用于獲取所述用戶訪問應(yīng)用服務(wù)器的訪問方式�;判斷單元,用于判斷所述用戶訪問應(yīng)用服務(wù)器的訪問方式是否符合預(yù)先設(shè)置的安全訪 問策略�����;授權(quán)單元,用于判斷單元判斷出所述用戶訪問應(yīng)用服務(wù)器的訪問方式符合預(yù)先設(shè)置的 安全訪問策略時�,允許用戶使用虛擬專用網(wǎng)絡(luò)隧道訪問應(yīng)用服務(wù)器。
6.如權(quán)利要求5所述的網(wǎng)絡(luò)設(shè)備�,其特征在于,所述網(wǎng)絡(luò)設(shè)備還包括 設(shè)置單元�,用于預(yù)先設(shè)置用戶登錄虛擬專用網(wǎng)絡(luò)的安全訪問策略; 存儲單元�,用于存儲所述用戶登錄虛擬專用網(wǎng)絡(luò)的安全訪問策略。
7.如權(quán)利要求6所述的網(wǎng)絡(luò)設(shè)備�����,其特征在于����,所述設(shè)置單元對所述用戶進(jìn)行等級劃 分,對不同等級用戶設(shè)置不同的安全訪問策略�;或者所述設(shè)置單元根據(jù)應(yīng)用服務(wù)器設(shè)置不 同的安全訪問策略�。
8.如權(quán)利要求5至7任一項所述的網(wǎng)絡(luò)設(shè)備,其特征在于���,所述網(wǎng)絡(luò)設(shè)備還包括認(rèn)證單元����,用于當(dāng)檢測單元檢測到有用戶登錄虛擬專用網(wǎng)絡(luò)時,對所述用戶進(jìn)行登錄 認(rèn)證�。
9.一種網(wǎng)絡(luò)系統(tǒng),其特征在于��,包括至少一個應(yīng)用服務(wù)器����、至少一個的檢測節(jié)點、至少 一個安全控制節(jié)點�,其中所述至少一個檢測節(jié)點用于檢測是否有用戶登錄虛擬專用網(wǎng)絡(luò); 所述安全控制節(jié)點用于在所述至少一個檢測節(jié)點檢測到有用戶登錄虛擬專用網(wǎng)絡(luò)時��, 查詢預(yù)先設(shè)置的安全訪問策略����,并獲取所述用戶訪問應(yīng)用服務(wù)器的訪問方式;判斷所述用 戶訪問應(yīng)用服務(wù)器的訪問方式是否符合預(yù)先設(shè)置的安全訪問策略����,如果符合預(yù)先設(shè)置的安 全訪問策略,則允許用戶使用虛擬專用網(wǎng)絡(luò)隧道訪問應(yīng)用服務(wù)器�����。
全文摘要
本發(fā)明實施例公開了一種檢測是否有用戶登錄虛擬專用網(wǎng)絡(luò)�����,在檢測到有用戶登錄虛擬專用網(wǎng)絡(luò)時,查詢預(yù)先設(shè)置的安全訪問策略���,并獲取所述用戶訪問應(yīng)用服務(wù)器的訪問方式���;判斷所述用戶訪問應(yīng)用服務(wù)器的訪問方式是否符合預(yù)先設(shè)置的安全訪問策略,如果符合預(yù)先設(shè)置的安全訪問策略�����,則允許用戶使用虛擬專用網(wǎng)絡(luò)隧道訪問應(yīng)用服務(wù)器�。相應(yīng)的,本發(fā)明實施例還公開了一種網(wǎng)絡(luò)設(shè)備和系統(tǒng)�����,通過實施本發(fā)明實施例���,增加了用戶端訪問應(yīng)用服務(wù)器的安全性�����,保證了系統(tǒng)的穩(wěn)定性�����。
文檔編號H04L12/46GK102082663SQ200910188439
公開日2011年6月1日 申請日期2009年11月27日 優(yōu)先權(quán)日2009年11月27日
發(fā)明者曾建發(fā), 李星 申請人:深圳市深信服電子科技有限公司