VPN服务的访问方法和访问系统、电子设备、存储介质转让专利
申请号 : CN202111551209.3
文献号 : CN113938327B
文献日 : 2022-05-24
发明人 : 刘作锋
申请人 : 亿次网联(杭州)科技有限公司
摘要 :
本发明涉及一种VPN服务的访问方法和访问系统、电子设备、存储介质,其中,所述访问方法包括:获取访问请求,并根据访问请求生成携带验证信息的访问页面;基于访问页面向代理模块发送携带验证信息的访问报文;接收代理模块从访问报文中提取的验证信息,并对代理模块提取的验证信息进行认证;在认证合法后向代理模块发送认证合法结果,以便代理模块根据认证合法结果通过VPN用户态协议栈进行VPN服务访问。本发明的访问方法,通过代理的方式增加了VPN服务数量,并且在访问入口设置访问权限,只有被授权访问者才能访问VPN服务,降低了安全隐患。
权利要求 :
1.一种VPN服务的访问方法,其特征在于,所述访问方法包括:
获取访问请求,并根据所述访问请求生成携带验证信息的访问页面;
基于所述访问页面向代理模块发送携带所述验证信息的访问报文;
接收所述代理模块从所述访问报文中提取的验证信息,并对所述代理模块提取的验证信息进行认证;
在认证合法后向所述代理模块发送认证合法结果,以便所述代理模块根据所述认证合法结果通过VPN用户态协议栈进行VPN服务访问;
其中,所述代理模块提供至少一路VPN访问的服务,每一路VPN访问服务对应一个TCP服务器和一个TCP客户端,TCP服务器监听前端的本地端口;
所述代理模块中的TCP服务器在接收到所述认证合法结果时将移除认证信息的访问报文转发给对应的TCP客户端,TCP客户端以VPN IP与后端VPN网络中真正的VPN服务提供者建立连接,TCP服务器与TCP客户端进行前端和后端之间的报文转发,以便对应的TCP客户端通过所述VPN用户态协议栈进行VPN服务访问。
2.根据权利要求1所述的VPN服务的访问方法,其特征在于,在所述访问页面被关闭之前,每次基于所述访问页面生成的访问报文均携带相同的验证信息。
3.根据权利要求1‑2中任一项所述的VPN服务的访问方法,其特征在于,所述验证信息包括token令牌。
4.一种VPN服务的访问方法,其特征在于,所述访问方法包括:
接收安全认证模块基于访问页面发送的访问报文,其中,所述访问报文携带验证信息,且由所述安全认证模块根据访问请求生成的携带所述验证信息的访问页面生成;
从所述访问报文中提取验证信息,并将提取的验证信息发送给所述安全认证模块;
在接收到所述安全认证模块对提取的验证信息进行合法认证的认证合法结果后,通过VPN用户态协议栈进行VPN服务访问;
其中,通过每个TCP服务器进行本地端口监听,以接收所述认证合法结果,并在接收到所述认证合法结果时将移除认证信息的访问报文转发给对应的TCP客户端,TCP客户端以VPN IP与后端VPN网络中真正的VPN服务提供者建立连接,TCP服务器与TCP客户端进行前端和后端之间的报文转发,以便对应的TCP客户端通过所述VPN用户态协议栈进行VPN服务访问。
5.根据权利要求4所述的VPN服务的访问方法,其特征在于,在所述访问页面被关闭之前,每次基于所述访问页面生成的访问报文均携带相同的验证信息。
6.根据权利要求4‑5中任一项所述的VPN服务的访问方法,其特征在于,所述验证信息包括token令牌。
7.一种计算机可读存储介质,其特征在于,其上存储有VPN服务的访问程序,该VPN服务的访问程序被处理器执行时实现根据权利要求1‑6中任一项所述的VPN服务的访问方法。
8.一种电子设备,其特征在于,包括存储器、处理器及存储在存储器上并可在处理器上运行的VPN服务的访问程序,所述处理器执行所述VPN服务的访问程序时,实现根据权利要求1‑6中任一项所述的VPN服务的访问方法。
9.一种VPN服务的访问系统,其特征在于,包括安全认证模块和代理模块,其中,所述安全认证模块用于,在接收到访问请求时根据所述访问请求生成携带验证信息的访问页面,并基于所述访问页面向所述代理模块发送携带所述验证信息的访问报文;
所述代理模块用于,从所述访问报文中提取验证信息,并将提取的验证信息发送给所述安全认证模块;
所述安全认证模块还用于,对所述代理模块提取的验证信息进行认证,并认证合法后向所述代理模块发送认证合法结果;
所述代理模块还用于,在接收到所述认证合法结果后,通过VPN用户态协议栈进行VPN服务访问;
所述代理模块提供至少一路VPN访问服务,每一路VPN访问服务对应一个TCP服务器与一个TCP客户端,TCP服务器监听前端的本地端口;
其中,所述代理模块中的TCP服务器在接收到所述认证合法结果时将移除认证信息的访问报文转发给对应的TCP客户端,TCP客户端以VPN IP与后端VPN网络中真正的VPN服务提供者建立连接,TCP服务器与TCP客户端进行前端和后端之间的报文转发,以便对应的TCP客户端通过所述VPN用户态协议栈进行VPN服务访问。
10.根据权利要求9所述的VPN服务的访问系统,其特征在于,在所述访问页面被关闭之前,每次基于所述访问页面生成的访问报文均携带相同的验证信息。
11.根据权利要求9‑10中任一项所述的VPN服务的访问系统,其特征在于,所述验证信息包括token令牌。
12.一种电子设备,其特征在于,包括根据权利要求9‑11中任一项所述的VPN服务的访问系统。
说明书 :
VPN服务的访问方法和访问系统、电子设备、存储介质
技术领域
[0001] 本发明涉及安全技术领域,尤其涉及一种VPN服务的访问方法和VPN服务的访问系统、电子设备和计算机可读存储介质。
背景技术
[0002] VPN(Virtual Private Network,虚拟专用网络)作为网络层的技术,目前向应用层提供服务的方式包括虚拟网卡模式和用户态协议栈模式。其中,虚拟网卡模式下,如图2所示,提供VPN服务的实体以守护进程的方式运行,该守护进程在操作系统内核建立虚拟网卡,虚拟网卡具有VPN IP并对所有应用可见,应用通过虚拟网卡的VPN IP就可以实现透明地访问VPN服务。用户态协议栈模式下,如图3所示,应用进程调用用户态协议栈启动VPN服务,VPN服务是该应用进程的一部分,对其它进程不可见。
[0003] 上述两种模式存在一些缺陷:其一,虚拟网卡模式的VPN服务把网络接口以虚拟网卡的方式完全暴露出来,使得对访问进行鉴权认证方面的安全控制变得不可能,任何应用包括恶意应用都可以透明访问VPN服务,具有极大的安全隐患,此外,在操作系统内核建立虚拟网卡需要具有超级用户权限,这也限制了其在手机或Cloud租户环境的适用范围。其二,用户态协议栈模式可以做到只让自己开发的业务使用VPN服务,对其它应用不可见,也不需要具有超级用户权限,但这是一种单体架构,VPN服务与使用它的应用耦合在一起并独占一个VPN IP,并且这种单体架构提供服务的方式与当前上层应用的微服务化存在技术上的代差,例如,如果手机上平均有10个应用需要使用VPN,那么一个255.255.255.0掩码的VPN网络就只能服务于25部手机。
发明内容
[0004] (一)要解决的技术问题
[0005] 鉴于现有技术的上述缺点、不足,本发明提供一种VPN服务的访问方法和访问系统、电子设备、存储介质,其通过代理的方式增加了VPN服务数量,并且在访问入口设置访问权限,只有被授权访问者才能访问VPN服务,降低了安全隐患。
[0006] (二)技术方案
[0007] 为了达到上述目的,本发明采用的主要技术方案包括:
[0008] 第一方面,本发明实施例提供一种VPN服务的访问方法,所述访问方法包括:获取访问请求,并根据访问请求生成携带验证信息的访问页面;基于访问页面向代理模块发送携带验证信息的访问报文;接收代理模块从访问报文中提取的验证信息,并对代理模块提取的验证信息进行认证;在认证合法后向代理模块发送认证合法结果,以便代理模块根据认证合法结果通过VPN用户态协议栈进行VPN服务访问。
[0009] 本发明实施例提出的VPN服务的访问方法,获取访问请求,并根据访问请求生成携带验证信息的访问页面,基于访问页面向代理模块发送携带验证信息的访问报文;接收代理模块从访问报文中提取的验证信息,并对代理模块提取的验证信息进行认证;在认证合法后向代理模块发送认证合法结果,以便代理模块根据认证合法结果通过VPN用户态协议栈进行VPN服务访问。由此,通过代理的方式增加了VPN服务数量,并且在访问入口设置访问权限,只有被授权访问者才能访问VPN服务,降低了安全隐患。
[0010] 可选地,在访问页面被关闭之前,每次基于访问页面生成的访问报文均携带相同的验证信息。
[0011] 可选地,代理模块提供至少一路VPN访问服务,每一路VPN访问服务对应一个TCP服务器与一个TCP客户端,其中,代理模块中的TCP服务器在接收到认证合法结果时将移除认证信息的访问报文转发给对应的TCP客户端,以便对应的TCP客户端通过VPN用户态协议栈进行VPN服务访问。
[0012] 可选地,验证信息包括token令牌。
[0013] 第二方面,本发明实施例提供了一种VPN服务的访问方法,所述访问方法包括:接收安全认证模块基于访问页面发送的访问报文,其中,访问报文携带验证信息,且由安全认证模块根据访问请求生成的携带验证信息的访问页面生成;从访问报文中提取验证信息,并将提取的验证信息发送给安全认证模块;在接收到安全认证模块对提取的验证信息进行合法认证的认证合法结果后,通过VPN用户态协议栈进行VPN服务访问。
[0014] 本发明实施例提出的VPN服务的访问方法,接收安全认证模块基于访问页面发送的访问报文,其中,访问报文携带验证信息,且由安全认证模块根据访问请求生成的携带验证信息的访问页面生成;从访问报文中提取验证信息,并将提取的验证信息发送给安全认证模块;在接收到安全认证模块对提取的验证信息进行合法认证的认证合法结果后,通过VPN用户态协议栈进行VPN服务访问。由此,通过代理的方式增加了VPN服务数量,并且在访问入口设置访问权限,只有被授权访问者才能访问VPN服务,降低了安全隐患。
[0015] 可选地,在访问页面被关闭之前,每次基于访问页面生成的访问报文均携带相同的验证信息。
[0016] 可选地,在接收到安全认证模块对提取的验证信息进行合法认证的认证合法结果后,通过VPN用户态协议栈进行VPN服务访问,包括:通过每个TCP服务器进行本地端口监听,以接收认证合法结果,并在接收到认证合法结果时将移除认证信息的访问报文转发给对应的TCP客户端,以便对应的TCP客户端通过VPN用户态协议栈进行VPN服务访问。
[0017] 可选地,验证信息包括token令牌。
[0018] 第三方面,本发明实施例提供一种计算机可读存储介质,其上存储有VPN服务的访问程序,该VPN服务的访问程序被处理器执行时实现上述的VPN服务的访问方法。
[0019] 本发明实施例提出的计算机可读存储介质,通过上述的VPN服务的访问方法,能够增加VPN服务数量,并且在访问入口设置访问权限,只有被授权访问者才能访问VPN服务,降低了安全隐患。
[0020] 第四方面,本发明实施例提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的VPN服务的访问程序,处理器执行电子设备的VPN服务的访问程序时,实现上述的VPN服务的访问方法。
[0021] 本发明实施例提出的电子设备,通过上述的VPN服务的访问方法,能够增加VPN服务数量,并且在访问入口设置访问权限,只有被授权访问者才能访问VPN服务,降低了安全隐患。
[0022] 第五方面,本发明实施例提供一种VPN服务的访问系统,包括安全认证模块和代理模块,其中,安全认证模块用于,在接收到访问请求时根据访问请求生成携带验证信息的访问页面,并基于访问页面向代理模块发送携带验证信息的访问报文;代理模块用于,从访问报文中提取验证信息,并将提取的验证信息发送给安全认证模块;安全认证模块还用于,对代理模块提取的验证信息进行认证,并认证合法后向代理模块发送认证合法结果;代理模块还用于,在接收到认证合法结果后,通过VPN用户态协议栈进行VPN服务访问。
[0023] 本发明实施例提出的VPN服务的访问系统,在接收到访问请求时,安全认证模块根据访问请求生成携带验证信息的访问页面,并基于访问页面向代理模块发送携带验证信息的访问报文,代理模块从访问报文中提取验证信息,并将提取的验证信息发送给安全认证模块;安全认证模块对代理模块提取的验证信息进行认证,并认证合法后向代理模块发送认证合法结果;代理模块在接收到认证合法结果后,通过VPN用户态协议栈进行VPN服务访问。由此,通过代理的方式增加了VPN服务数量,并且在访问入口设置访问权限,只有被授权访问者才能访问VPN服务,降低了安全隐患。
[0024] 可选地,在访问页面被关闭之前,每次基于访问页面生成的访问报文均携带相同的验证信息。
[0025] 可选地,代理模块提供至少一路VPN访问服务,每一路VPN访问服务对应一个TCP服务器与一个TCP客户端,其中,代理模块中的TCP服务器在接收到认证合法结果时将移除认证信息的访问报文转发给对应的TCP客户端,以便对应的TCP客户端通过VPN用户态协议栈进行VPN服务访问。
[0026] 可选地,验证信息包括token令牌。
[0027] 第六方面,本发明实施例提供一种电子设备,包括上述的VPN服务的访问系统。
[0028] 本发明实施例提出的电子设备,通过上述的VPN服务的访问系统,能够增加VPN服务数量,并且在访问入口设置访问权限,只有被授权访问者才能访问VPN服务,降低了安全隐患。
[0029] (三)有益效果
[0030] 本发明的有益效果是:本发明的VPN服务的访问方法和访问系统、电子设备、存储介质,在VPN用户态协议栈的基础上,增加了代理模块和安全认证模块,改进了常规用户态协议栈模式VPN与应用耦合在一起的单体架构,通过代理的方式做到了VPN的服务化,通过安全认证模块在访问入口生成token并在访问过程中校验token,做到了前端VPN访问的安全可控,保证了只让被授权者访问VPN服务,降低了安全隐患。
附图说明
[0031] 图1为根据本发明一个实施例的VPN服务的访问方法的流程图;
[0032] 图2和图3为相关技术中的VPN服务的访问示意图;
[0033] 图4为根据本发明一个具体实施例的VPN服务的访问方法的示意图;
[0034] 图5为根据本发明另一个实施例的VPN服务的访问方法的流程图;
[0035] 图6为根据本发明一个实施例的VPN服务的访问系统的方框图;
[0036] 图7为根据本发明一个实施例的电子设备的方框示意图。
具体实施方式
[0037] 为了更好的解释本发明,以便于理解,下面结合附图,通过具体实施方式,对本发明作详细描述。
[0038] 本发明实施例提出的VPN服务的访问方法和访问系统、电子设备、存储介质,获取访问请求,并根据访问请求生成携带验证信息的访问页面;基于访问页面向代理模块发送携带验证信息的访问报文;接收代理模块从访问报文中提取的验证信息,并对代理模块提取的验证信息进行认证;在认证合法后向代理模块发送认证合法结果,以便代理模块根据认证合法结果通过VPN用户态协议栈进行VPN服务访问。本发明的访问方法,通过代理的方式增加了VPN服务数量,并且在访问入口设置访问权限,只有被授权访问者才能访问VPN服务,降低了安全隐患。
[0039] 为了更好的理解上述技术方案,下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更清楚、透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
[0040] 图1为根据本发明一个实施例的VPN服务的访问方法的流程图。
[0041] 在本发明的一个实施例中,VPN服务的访问系统可包括安全认证模块和代理模块,图1所示的访问方法的执行主体为安全认证模块,如图1所示,该VPN服务的访问方法包括以下步骤:
[0042] S101,获取访问请求,并根据访问请求生成携带验证信息的访问页面。
[0043] S102,基于访问页面向代理模块发送携带验证信息的访问报文。
[0044] S103,接收代理模块从访问报文中提取的验证信息,并对代理模块提取的验证信息进行认证。
[0045] S104,在认证合法后向代理模块发送认证合法结果,以便代理模块根据认证合法结果通过VPN用户态协议栈进行VPN服务访问。
[0046] 具体而言,当需要进行VPN服务访问时,用户可通过点击访问页面对应的入口按钮,安全认证模块生成本次访问页面的验证信息,该验证信息中包含了表明用户身份的信息,例如,用户的手机号码等。安全认证模块在生成验证信息后,将该访问页面的验证信息发送给代理模块,代理模块从访问报文中提取验证信息,并将提取的验证信息再发送给安全认证模块。安全认证模块对该验证信息进行合法性认证,其中,当该验证信息与预设的验证信息是否一致,如果一致,则说明当前验证信息的认证结果为合法结果;如果不一致,则说明当前验证信息的认证结果为非法结果。当验证信息为合法结果时,安全认证模块将合法结果发送给代理模块,代理模块在接收到安全认证模块发送的合法结果后,通过VPN用户态协议栈进行VPN服务访问。当验证信息为非法结果时,安全认证模块不允许当前用户访问该页面。
[0047] 在本发明的一个实施例中,在访问页面被关闭之前,每次基于访问页面生成的访问报文均携带相同的验证信息。也就是说,只要该访问页面未关闭,用户可以一直访问该页面,访问报文携带的验证信息是相同的,因此,在对代理模块提取的验证信息进行认证时,还可以获取此前该访问页面成功进行VPN服务访问时生成的验证信息,将本次验证信息与此前生成的验证信息进行比较,如果相同,则认证为合法结果,如果不相同,则认证为非法结果。
[0048] 可选地,验证信息可包括token令牌,该token令牌中可以与用户的身份信息如手机号码进行绑定,便于合法性认证。
[0049] 根据本发明的一个实施例,代理模块提供至少一路VPN访问服务,每一路VPN访问服务对应一个TCP服务器与一个TCP客户端,其中,代理模块中的TCP服务器在接收到认证合法结果时将移除认证信息的访问报文转发给对应的TCP客户端,以便对应的TCP客户端通过VPN用户态协议栈进行VPN服务访问。
[0050] 具体而言,代理模块提供多路VPN访问的服务,每一路服务对应一个TCP服务器和一个TCP客户端,TCP服务器监听前端的本地端口,TCP客户端以VPN IP与后端VPN网络中真正的VPN服务提供者建立连接,TCP服务器与TCP客户端进行前端和后端之间的报文转发。
[0051] 举例而言,如图4所示,服务1的前端访问页面(127.0.0.1:xxxx)‑‑‑TCP服务器1(127.0.0.1:8963) 转发 TCP客户端1 (10.111.157.76:xxxx)‑‑‑后端VPN网络中真正的服务器提供的服务1 (10.111.157.76:80);服务2的前端访问页面(127.0.0.1:xxxx)‑‑‑TCP服务器2 (127.0.0.1:8964) 转发 TCP客户端2 (10.111.157.21576:xxxx)‑‑‑后端VPN网络中真正的服务器A提供的服务2 (10.111.157.76:81);服务3的前端访问页面(127.0.0.1:xxxx)‑‑‑TCP服务器3 (127.0.0.1:8965) 转发 TCP客户端3 (10.111.157.215:xxxx)‑‑‑后端VPN网络中真正的服务器B提供的服务3(10.111.157.252:
80);
80);
[0052] 安全认证模块为每一路VPN服务提供一个对应的入口按钮,对每一个点击请求(访问请求)生成一个token令牌,并弹出访问页面,访问页面带有token令牌。在服务访问过程中,安全认证模块对访问报文所携带的token令牌进行认证以判定是否合法,如果非法或者没有token令牌,则不允许访问。
[0053] 具体地,用户点击服务1的入口按钮,安全认证模块生成这次访问的token令牌,并弹出携带token的令牌服务1的访问页面。服务1的访问页面向127.0.0.1:8963发送TCP访问报文,正在监听8963端口的代理模块中的TCP服务器1接收到该访问报文,从报文的认证字段中提取出token令牌,并发给安全认证模块,以使安全认证模块判定该token令牌是否合法。安全认证模块判定这是合法的token令牌,并返回给代理模块(如果token令牌与此前安全认证模块产生的token令牌不一致,安全认证模块返回这是非法的token令牌)。TCP服务器1移除报文的认证字段的token令牌,把访问报文转发到TCP客户端1。TCP客户端1向后端VPN网络中真正的服务1提供者(10.111.157.76:80)转发报文。开始常规的TCP会话与报文转发流程。
[0054] 在服务1的这个访问页面被关闭之前,用户每一次在这个页面的点击所产生的报文都会携带相同的token令牌并发往127.0.0.1:8963,然后重复上述过程。如果用户不通过点击服务访问入口按钮打开页面,而是以其它方式打开页面试图直接访问127.0.0.1:8963,将会因缺少token令牌而被代理模块拒绝访问。
[0055] 综上,通过设置代理模块,提供了多路VPN访问服务,且每一路VPN访问服务对应一个TCP服务器与一个TCP客户端,而本地端口有六万多个,一台PC或手机可以为应用层提供六万多个VPN服务,并且,TCP服务器、TCP客户端与服务访问入口可以动态增删,从而可以做到VPN服务的动态加减。同时,通过设置安全认证模块,使得只有被授权者才能访问VPN服务,降低了安全隐患。
[0056] 综上所述,本发明实施例提出的VPN服务的访问方法,获取访问请求,并根据访问请求生成携带验证信息的访问页面,基于访问页面向代理模块发送携带验证信息的访问报文;接收代理模块从访问报文中提取的验证信息,并对代理模块提取的验证信息进行认证;在认证合法后向代理模块发送认证合法结果,以便代理模块根据认证合法结果通过VPN用户态协议栈进行VPN服务访问。由此,通过代理的方式增加了VPN服务数量,并且在访问入口设置访问权限,只有被授权访问者才能访问VPN服务,降低了安全隐患。
[0057] 图5为根据本发明另一个实施例的VPN服务的访问方法的流程图。在本发明的一个实施例中,VPN服务的访问系统可包括安全认证模块和代理模块,图5所示的访问方法的执行主体为代理模块,如图5所示,该VPN服务的访问方法包括以下步骤:
[0058] S301,接收安全认证模块基于访问页面发送的访问报文,其中,访问报文携带验证信息,且由安全认证模块根据访问请求生成的携带验证信息的访问页面生成。
[0059] S302,从访问报文中提取验证信息,并将提取的验证信息发送给安全认证模块。
[0060] S303,在接收到安全认证模块对提取的验证信息进行合法认证的认证合法结果后,通过VPN用户态协议栈进行VPN服务访问。
[0061] 可选地,在访问页面被关闭之前,每次基于访问页面生成的访问报文均携带相同的验证信息。
[0062] 可选地,在接收到安全认证模块对提取的验证信息进行合法认证的认证合法结果后,通过VPN用户态协议栈进行VPN服务访问,包括:通过每个TCP服务器进行本地端口监听,以接收认证合法结果,并在接收到认证合法结果时将移除认证信息的访问报文转发给对应的TCP客户端,以便对应的TCP客户端通过VPN用户态协议栈进行VPN服务访问。
[0063] 可选地,验证信息包括token令牌。
[0064] 需要说明的是,本发明实施例的VPN服务的访问方法中未披露的细节,请参照上述实施例的VPN服务的访问方法中所披露的细节,具体这里不再赘述。
[0065] 本发明实施例提出的VPN服务的访问方法,接收安全认证模块基于访问页面发送的访问报文,其中,访问报文携带验证信息,且由安全认证模块根据访问请求生成的携带验证信息的访问页面生成;从访问报文中提取验证信息,并将提取的验证信息发送给安全认证模块;在接收到安全认证模块对提取的验证信息进行合法认证的认证合法结果后,通过VPN用户态协议栈进行VPN服务访问。由此,通过代理的方式增加了VPN服务数量,并且在访问入口设置访问权限,只有被授权访问者才能访问VPN服务,降低了安全隐患。
[0066] 本发明实施例提供一种计算机可读存储介质,其上存储有VPN服务的访问程序,该VPN服务的访问程序被处理器执行时实现上述的VPN服务的访问方法。
[0067] 本发明实施例提出的计算机可读存储介质,通过上述的VPN服务的访问方法,能够增加VPN服务数量,并且在访问入口设置访问权限,只有被授权访问者才能访问VPN服务,降低了安全隐患。
[0068] 本发明实施例提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的VPN服务的访问程序,处理器执行电子设备的VPN服务的访问程序时,实现上述的VPN服务的访问方法。
[0069] 本发明实施例提出的电子设备,通过上述的VPN服务的访问方法,能够增加VPN服务数量,并且在访问入口设置访问权限,只有被授权访问者才能访问VPN服务,降低了安全隐患。
[0070] 图6为根据本发明一个实施例的VPN服务的访问系统的方框示意图,如图6所示,本发明实施例的VPN服务的访问系统可包括:安全认证模块10和代理模块20。
[0071] 其中,安全认证模块10用于在接收到访问请求时根据访问请求生成携带验证信息的访问页面,并基于访问页面向代理模块20发送携带验证信息的访问报文。代理模块20用于从访问报文中提取验证信息,并将提取的验证信息发送给安全认证模块10。安全认证模块10还用于对代理模块20提取的验证信息进行认证,并认证合法后向代理模块20发送认证合法结果;代理模块20还用于在接收到认证合法结果后,通过VPN用户态协议栈进行VPN服务访问。
[0072] 可选地,在访问页面被关闭之前,每次基于访问页面生成的访问报文均携带相同的验证信息。
[0073] 可选地,代理模块20提供至少一路VPN访问服务,每一路VPN访问服务对应一个TCP服务器与一个TCP客户端,其中,代理模块20中的TCP服务器在接收到认证合法结果时将移除认证信息的访问报文转发给对应的TCP客户端,以便对应的TCP客户端通过VPN用户态协议栈进行VPN服务访问。
[0074] 可选地,验证信息包括token令牌。
[0075] 需要说明的是,本发明实施例的VPN服务的访问系统中未披露的细节,请参照本发明实施例的VPN服务的访问方法中所披露的细节,具体这里不再赘述。
[0076] 本发明实施例提出的VPN服务的访问系统,在接收到访问请求时,安全认证模块根据访问请求生成携带验证信息的访问页面,并基于访问页面向代理模块发送携带验证信息的访问报文,代理模块从访问报文中提取验证信息,并将提取的验证信息发送给安全认证模块;安全认证模块对代理模块提取的验证信息进行认证,并认证合法后向代理模块发送认证合法结果;代理模块在接收到认证合法结果后,通过VPN用户态协议栈进行VPN服务访问。由此,通过代理的方式增加了VPN服务数量,并且在访问入口设置访问权限,只有被授权访问者才能访问VPN服务,降低了安全隐患。
[0077] 图7为根据本发明一个实施例的电子设备的方框示意图。如图7所示,本发明实施例提供一种电子设备100,包括上述的VPN服务的访问系统110。
[0078] 本发明实施例提出的电子设备,通过上述的VPN服务的访问系统,能够增加VPN服务数量,并且在访问入口设置访问权限,只有被授权访问者才能访问VPN服务,降低了安全隐患。
[0079] 在本发明的描述中,需要理解的是,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
[0080] 在本发明中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”、“固定”等术语应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或成一体;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连;可以是两个元件内部的连通或两个元件的相互作用关系。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
[0081] 在本发明中,除非另有明确的规定和限定,第一特征在第二特征 “上”或“下”,可以是第一和第二特征直接接触,或第一和第二特征通过中间媒介间接接触。而且,第一特征在第二特征“之上”、“上方”和“上面”,可以是第一特征在第二特征正上方或斜上方,或仅仅表示第一特征水平高度高于第二特征。第一特征在第二特征“之下”、“下方”和“下面”,可以是第一特征在第二特征正下方或斜下方,或仅仅表示第一特征水平高度低于第二特征。
[0082] 在本说明书的描述中,术语“一个实施例”、“一些实施例”、“实施例”、“示例”、“具体示例”或“一些示例”等的描述,是指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
[0083] 尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行改动、修改、替换和变型。