[发明专利]一种VPN权限控制方法及装置

说明书

技术领域

本发明涉及网络通信中的权限控制技术，尤其VPN隧道中的权限控制方法及装置。

背景技术

基于B/S模式的SSL VPN技术（也可称为web代理技术）最大的优点是可以免客户端安装，用户可以直接以浏览器访问VPN内网的web资源。随着信息安全从单纯关注网络安全转变为重点关注以业务为核心的应用安全，远程安全接入的重要性日益明显，SSL VPN以无需安装客户端软件，保护具体应用，细粒度的访问控制，详细的审计等特性，在易用性、安全性和管理性方面更胜一筹。SSL VPN与其他VPN相比，还有一个突出的亮点功能在于权限控制。SSL VPN可以支持基于用户的权限控制，通过把不同用户配置归属于不同的用户组，不同用户组可访问不同的资源组，于是不同的用户登录认证后，就只能访问不同的内网资源了。

但是，SSL VPN技术无法访问内网的其他C/S应用，如远程桌面，邮件系统，文件共享，FTP，数据库，ERP等，而且，甚至有通过客户端访问整个子网的需求存在。因此，实际商用中，SSL VPN仍需要通过安装客户端控件的方式来实现远程安全传输其他C/S应用。其中最关键技术是网络连接（Network Connection,NC），其原理是SSL VPN客户端连接服务器端认证后，由服务器端分配虚拟IP地址给客户端，以虚拟IP地址来访问内网资源，并被外层SSL安全隧道加密传输。网络连接技术的客户端具体实现，就是每个用户登录认证成功后，SSL VPN客户端以SSL协议连接服务器端，创建安装隧道，发送控制报文，请求分配虚拟IP地址和可访问的内网IP网段资源，可由分配到彼此不相同的虚拟IP地址，在客户端所在的操作系统中启用一块虚拟网卡，设置虚拟网卡地址为分配得到的虚拟IP地址；对内网IP网段资源在操作系统中添加路由，设置目的IP在该网段内的数据引入到虚拟网卡中来。

请参考图1，当用户访问SSL VPN网关保护的内网IP网段时，如FTP，远程桌面等访问内网IP资源，其数据流在客户端操作系统中查找路由走到虚拟网卡中，SSL VPN客户端从虚拟网卡中读取出这些需保护的内网访问数据,此时的数据其实是一个个IP报文，其源IP是虚拟网卡上的IP地址，目的IP是具体应用(如FTP)的目的IP地址，把数据从SSL安全隧道中发送出去。但是，结合权限控制的时候，往往是在SSL VPN网关（即服务器端）收到客户端从SSL隧道传输过来的报文，并在解除外层封装和解密后得到内层IP数据，获取该内层IP头的源IP和目的IP，根据源IP查询这个IP地址在之前是分配给了哪个用户，属于哪个用户组，能访问哪些资源组；查询目的IP是否在该用户可访问的资源组范围内。如果是在合法范围内，则把该内层IP报文向内网中转发，如果不在该合法范围内，则丢弃该内层IP报文。对于SSL VPN网关来说，每一个报文都要经过这样的流程，这严重消耗了服务端的性能。服务端可以通过一定的算法如HASH表方式，加快速度确定该报文的合法性，但这对性能消耗的改善并不明显，因为这些算法本身也要消耗资源等。而且当众多用户想越权访问内网服务器时，那么有大量的不合法报文到达服务器端，服务器需耗费许多性能去解密报文然后判断权限，最后再丢弃报文，性能浪费十分严重。

发明内容

本发明提供一种VPN权限控制装置，应用于用户主机上，该装置包括：

VPN处理单元，用于使用主机自身IP地址与VPN服务端建立隧道连接，并用于将用户报文封装为隧道报文通过隧道发送至VPN服务端或将来自VPN服务端的隧道报文还原为用户报文；

IP处理单元，用于通过隧道从VPN服务端获取内网IP地址，并将用户报文发送至所述VPN连接单元或从所处VPN连接单元获得还原后的用户报文；

权限控制单元，用于通过隧道从VPN服务端获取权限控制列表，并根据所述权限控制列表将判断是否允许用户报文通过，如果允许则将用户报文发送给VPN处理单元，否则将该用户报文丢弃。

本发明还提供一种VPN权限控制方法，应用于用户主机上，该方法包括：

A、使用主机自身IP地址与VPN服务端建立隧道连接；

B、通过隧道从VPN服务端获取内网IP地址；

C、通过隧道从VPN服务端获取权限控制列表；

D、根据所述权限控制列表将判断是否允许用户报文通过，如果是则用户报文通过，否则将该用户报文丢弃；

E、将用户报文封装为隧道报文通过隧道发送至VPN服务端或将来自VPN服务端的隧道报文还原为用户报文。