专利名称:一种利用ssl协议建立防火墙通道实现虚拟专用网的方法
技术领域:
本发明涉及计算机网络技术,特别涉及一种利用SSL(SecuritySocket Layer)协议建立防火墙通道实现虚拟专用网的方法。
背景技术:
随着信息技术的发展,特别是互联网的发展,使全球各地的人们沟通越来越方便,然而出于对个人信息保护的需要,又不得不使用各种各样的方法,其中使用防火墙来防止服务器及其个人信息受到非法攻击是最常用的方法。
防火墙在保护个人信息,防止黑客对电脑终端进行未经授权的访问起到了作用,但也存在拒绝合法用户访问的可能。
为了使位于互联网上个人用户防火墙外部的用户能够访问被访问者防火墙内部的信息资源,一般是采用IP-TUNNEL或HTTP-TUNNEL技术来建立虚拟专用网VPN(Virtual Private Network)。
这些方案有以下缺点(1)防火墙内部需要开放服务器的IP地址;(2)HTTP服务需要开放服务端口(如80端口),容易使攻击着借用该端口实现对服务器的控制;(3)数据在INTERNET网上没有加密传输,有被截获而泄密的可能。
发明内容
本发明针对现有技术的缺点,提供一种利用SSL协议建立防火墙通道实现虚拟专用网的方法。
本发明是基于SSL建立的,实现方法包括以下步骤(1)防火墙通道由防火墙内部的BE(BACK END)网关服务器和防火墙外部的FE(FRONT END)网关服务器组成;(2)在建立防火墙通道时,由防火墙内部的BE(BACK END)网关服务器建立与防火墙外部的FE(FRONT END)网关服务器的SSL连接;(3)当客户访问端向电脑终端用户发出访问请求时,这些访问请求由FE的服务程序加密打包后通过SSL连接传送到BE的服务程序,经解包后提取客户访问端的请求发送给相应服务程序;(4)BE网关服务器把电脑终端用户的服务程序发出的应答信息加密打包,通过SSL连接传送给FE网关服务器,经解包后将服务程序的应答信息返回客户端。
本发明具有如下优点(1)在TCP和IP层之下建立SOCKET通信,不需要开放服务器IP地址,减少服务器被攻击的可能性;(2)数据加密传输,满足数据的私密性要求。
图1为本发明的流程示意图。
具体实施例方式
以下结合附图对本发明做进一步说明。
如图1所示,防火墙通道由内部的BE网关服务器和外部的FE网关服务器通过SSL建立连接。当客户访问端向电脑终端用户发出访问请求时,此请求信息先由FE网关服务器的服务程序加密打包,然后通过SSL连接传送到BE网关服务器,再经BE网关服务器的服务程序解包后发给电脑终端用户。
电脑终端用户在得到客户访问端的访问信息后,将应答信息通过BE网关服务器的服务程序加密打包,然后SSL连接传送到FE网关服务器,再经FE网关服务器的服务程序解包后发给客户访问端。这样,在不开放HTTP服务端口和IP地址的情况下实现了数据的传输,减少了服务器被攻击的可能性,同时在传输信息时采取加密方式,也保证了数据传输的保密性。
权利要求
1.一种利用SSL协议建立防火墙通道实现虚拟专用网的方法,包括如下步骤1).防火墙通道由防火墙内部的BE(BACK END)网关服务器和防火墙外部的FE(FRONT END)网关服务器组成;2).在建立防火墙通道时,由防火墙内部的BE(BACK END)网关服务器建立与防火墙外部的FE(FRONT END)网关服务器的SSL连接;3).当客户访问端向电脑终端用户发出访问请求时,这些访问请求由FE的服务程序加密打包后通过SSL连接传送到BE的服务程序,经解包后提取客户访问端的请求发送给相应服务程序;4).BE网关服务器把电脑终端用户的服务程序发出的应答信息加密打包,通过SSL连接传送给FE网关服务器,经解包后将服务程序的应答信息返回客户端。
全文摘要
一种利用SSL协议建立防火墙通道实现虚拟专用网的方法,其防火墙通道由内部的BE网关服务器和外部的FE网关服务器通过SSL建立连接。当客户访问端向电脑终端用户发出访问请求时,此请求信息先由FE网关服务器的服务程序加密打包,然后通过SSL连接传送到BE网关服务器,再经BE网关服务器的服务程序解包后发给电脑终端用户。电脑终端用户在得到客户访问端的访问信息后,将应答信息通过BE网关服务器的服务程序加密打包,然后SSL连接传送到FE网关服务器,再经FE网关服务器的服务程序解包后发给客户访问端。
文档编号H04L29/06GK1697451SQ20051007070
公开日2005年11月16日 申请日期2005年5月17日 优先权日2005年5月17日
发明者蒋光泽, 葛兵, 徐鲁博, 张跃华 申请人:北京立通无限科技有限公司