一種適用于vpn的按需連接方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù),具體涉及虛擬專用網(wǎng)絡(luò)的隧道連接建立方式。
【背景技術(shù)】
[0002]現(xiàn)有的多種VPN 實(shí)現(xiàn)方式,如 SSL VPN、IPSec VPN、MPLS VPN、L2TP VPN,PPTP VPN,用戶獲得虛擬專用網(wǎng)絡(luò)中的服務(wù)之前,均需要手動(dòng)打開VPN客戶端,輸入VPN服務(wù)端IP地址、端口等信息才能進(jìn)行專有數(shù)據(jù)傳輸。隧道的第一次連接建立過程需要用戶參與,費(fèi)時(shí)、復(fù)雜,用戶的目的為了進(jìn)行穩(wěn)定、安全、快速的數(shù)據(jù)傳輸,繁瑣的連接建立過程,降低了用戶體驗(yàn)。
[0003]包括SSL VPN在內(nèi)的其他VPN實(shí)現(xiàn)方式,支持在一段時(shí)間內(nèi)沒有數(shù)據(jù)包傳輸隧道自動(dòng)斷開,但并不能在隧道斷開后,需要傳輸數(shù)據(jù)時(shí)進(jìn)行隧道的自動(dòng)建立。連接斷開后的第二次及以后的連接建立,IPSec VPN已經(jīng)實(shí)現(xiàn)了按需連接,但其修改協(xié)議棧的實(shí)現(xiàn)方式給系統(tǒng)的穩(wěn)定性、安全性帶來了風(fēng)險(xiǎn)。L2TP、PPTP等撥號(hào)VPN也支持按需連接功能。
[0004]為了保證數(shù)據(jù)業(yè)務(wù)流在虛擬專用網(wǎng)中的傳輸實(shí)時(shí)性,一般會(huì)使得已經(jīng)建立的連接在閑時(shí)也不斷開,即保持長(zhǎng)連接。為了維系長(zhǎng)連接,VPN的心跳保持機(jī)制會(huì)不斷發(fā)送控制報(bào)文,對(duì)于帶寬緊張、資源稀缺的網(wǎng)絡(luò)環(huán)境如2G、3G,心跳報(bào)文會(huì)占用可觀的資源,在沒有實(shí)際數(shù)據(jù)傳輸?shù)那闆r下,不斷發(fā)送的心跳報(bào)文對(duì)于資源有限的嵌入式終端的網(wǎng)絡(luò)流量、耗電量都造成了很大的壓力。
【發(fā)明內(nèi)容】
[0005]本發(fā)明針對(duì)現(xiàn)有VPN技術(shù)中用戶需主動(dòng)打開VPN客戶端建立連接的繁瑣性、維持長(zhǎng)連接的心跳報(bào)文帶來的嵌入式終端網(wǎng)絡(luò)流量、耗電量浪費(fèi)的問題,提出一種適用于VPN的按需連接方法,該方法可以在有數(shù)據(jù)傳輸需要時(shí),自動(dòng)喚醒VPN客戶端,隧道連接斷開后,再次有數(shù)據(jù)傳輸發(fā)起時(shí),自動(dòng)創(chuàng)建新的隧道連接,進(jìn)行新的數(shù)據(jù)傳輸,實(shí)現(xiàn)完整的按需連接。
[0006]為了達(dá)到上述目的,本發(fā)明采用如下的技術(shù)方案:
[0007]—種適用于VPN的按需連接方法,該方法包括如下步驟:
[0008](I)終端建立識(shí)別規(guī)則,匹配需要通過VPN加密傳輸?shù)臄?shù)據(jù);
[0009](2)若匹配識(shí)別規(guī)則且識(shí)別規(guī)則有效,則將敏感數(shù)據(jù)包置入隊(duì)列,發(fā)送至用戶空間并阻塞,等待處理;若匹配識(shí)別規(guī)則而識(shí)別規(guī)則無效,則直接將數(shù)據(jù)包投遞至隧道;若不匹配識(shí)別規(guī)則,則放行;
[0010](3)將敏感數(shù)據(jù)包置入隊(duì)列后,建立隧道,添加路由規(guī)則,將存于用戶空間的數(shù)據(jù)包返回至內(nèi)核,最終通過隧道傳送至VPN服務(wù)端;
[0011](4)建立隧道后,失效識(shí)別規(guī)則,使后續(xù)的敏感數(shù)據(jù)包直接使用隧道傳輸,不再進(jìn)入隊(duì)列處理;
[0012](5)—段時(shí)間無數(shù)據(jù)包傳輸后,隧道連接斷開,恢復(fù)識(shí)別規(guī)則,重新匹配加密數(shù)據(jù),準(zhǔn)備下一次按需連接的處理。
[0013]在具體實(shí)現(xiàn)時(shí),本發(fā)明中的終端設(shè)備可以采用電腦、手機(jī)、平板電腦或PDA,但不限于此。
[0014]本發(fā)明中的VPN技術(shù)實(shí)現(xiàn)方式可以采用SSL VPN,IPSEC VPN、MPLS VPN、L2TP VPN、PPTP VPN等,但不限于此。
[0015]根據(jù)上述方案得到的本發(fā)明與現(xiàn)有技術(shù)相比具有以下優(yōu)勢(shì):
[0016]1.有數(shù)據(jù)連接需要時(shí),終端能根據(jù)已有設(shè)置自動(dòng)喚醒VPN客戶端,進(jìn)行連接,且在連接斷開后又能自動(dòng)按需建立連接,取消了用戶主動(dòng)打開VPN客戶端的繁瑣過程,極大的改善了用戶體驗(yàn);
[0017]2.按需連接取代了長(zhǎng)連接,可以減輕VPN維持長(zhǎng)連接需要的心跳報(bào)文傳輸帶來的不必要的網(wǎng)絡(luò)負(fù)載,還可以減少資源有限的嵌入式終端的網(wǎng)絡(luò)流量、耗電量等,改善用戶體驗(yàn)。
[0018]3.對(duì)于資源有限的嵌入式終端,按需進(jìn)行隧道連接,節(jié)省了嵌入式終端的網(wǎng)絡(luò)流量、耗電量,緩解了網(wǎng)絡(luò)帶寬壓力。
[0019]4.相較于IPSec VPN等其它VPN實(shí)現(xiàn)方式,本發(fā)明方案應(yīng)用范圍之廣,進(jìn)一步完善其按需連接的功能顯得極為重要。
【附圖說明】
[0020]以下結(jié)合附圖和【具體實(shí)施方式】來進(jìn)一步說明本發(fā)明。
[0021]圖1為VPN按需連接網(wǎng)絡(luò)拓?fù)鋱D;
[0022]圖2為VPN按需連接數(shù)據(jù)包處理路徑圖。
【具體實(shí)施方式】
[0023]為了使本發(fā)明實(shí)現(xiàn)的技術(shù)手段、創(chuàng)作特征、達(dá)成目的與功效易于明白了解,下面結(jié)合具體圖示,進(jìn)一步闡述本發(fā)明。
[0024]參見圖1,其所示為一種可實(shí)現(xiàn)VPN按需連接的網(wǎng)絡(luò)拓?fù)鋱D。整個(gè)網(wǎng)絡(luò)主要包括終端(安裝有VPN客戶端軟件,即VPN客戶端)、無線AP、2G/3G基站、VPN服務(wù)器這幾部分,其中終端使用無線AP或2G/3G基站提供的無線WiFi/有線以太網(wǎng)或者2G/3G數(shù)據(jù)網(wǎng)絡(luò)接入因特網(wǎng),再通過連因特網(wǎng)訪問至VPN服務(wù)器。
[0025]對(duì)于其中的終端可以采用安裝相關(guān)VPN客戶端的電腦、手機(jī)、平板電腦或PDAJM不限于此。
[0026]同時(shí),對(duì)于終端與VPN服務(wù)器之間的VPN技術(shù)的實(shí)現(xiàn)方式可以采用SSL VPN、IPSECVPN、MPLS VPN、L2TP VPN、PPTP VPN 等,但不限于此。
[0027]針對(duì)上述方案形成的VPN網(wǎng)絡(luò),其進(jìn)行按需連接的過程如下(參見圖2):
[0028](I)在終端上打開用戶態(tài)隊(duì)列進(jìn)程,根據(jù)需要加密數(shù)據(jù)包特征,配置并建立識(shí)別規(guī)貝U,匹配需要通過VPN加密傳輸?shù)臄?shù)據(jù);
[0029](2)終端發(fā)起數(shù)據(jù)請(qǐng)求,數(shù)據(jù)包發(fā)出之前流入識(shí)別規(guī)則并進(jìn)行判斷,若匹配規(guī)則并且規(guī)則有效,則將敏感數(shù)據(jù)包置入隊(duì)列,發(fā)送至用戶空間進(jìn)程并阻塞,等待處理;若匹配規(guī)則而規(guī)則無效,則表明VPN隧道已經(jīng)建立,則直接將數(shù)據(jù)包放行,通過路由模塊發(fā)送至隧道;若不匹配規(guī)則,則為與VPN無關(guān)數(shù)據(jù)包,直接放行;
[0030](3)若匹配規(guī)則并且規(guī)則有效,則表示VPN連接已斷開,建立VPN隧道,添加路由規(guī)貝U,將存于用戶空間的數(shù)據(jù)包重新返回至內(nèi)核,通過路由規(guī)則發(fā)送至隧道并最終傳送至VPN服務(wù)端(即VPN服務(wù)器);
[0031](4)建立VPN隧道后,失效識(shí)別規(guī)則(即使得識(shí)別規(guī)則無效),使后續(xù)的敏感數(shù)據(jù)包直接投遞至隧道,不再進(jìn)入隊(duì)列處理;
[0032](5)—段時(shí)間無數(shù)據(jù)包傳輸后,隧道連接斷開,恢復(fù)識(shí)別規(guī)則(即使得識(shí)別規(guī)則有效),重新匹配加密數(shù)據(jù),準(zhǔn)備下一次按需連接的處理。
[0033]對(duì)于該步驟中在一段時(shí)間內(nèi)無數(shù)據(jù)包傳輸后,隧道連接斷開,其的具體時(shí)間值可根據(jù)實(shí)際需求而