[发明专利]虚拟专用网络的实现方法及客户端设备

权利要求书

1.一种虚拟专用网络的实现方法，所述方法应用于基于安全套接层协议的虚拟专用网络SSL VPN中，所述SSL VPN包括：客户端设备、网关和所述SSL VPN的内网服务器，所述客户端设备通过网关与所述内网服务器通信，所述客户端设备包括传输层驱动接口TDI驱动、网络驱动接口规范NDIS协议驱动、网络驱动接口规范NDIS中间层驱动、网络驱动接口规范NDIS网卡驱动和客户端，其特征在于，所述方法包括：

所述NDIS中间层驱动捕获应用程序向所述内网服务器发送的报文，根据所述报文对应的进程标识号PID，判断是否允许所述报文对应的进程使用所述SSL VPN；

若允许使用，则所述NDIS中间层驱动建立新报文，将所述新报文的目的地址设置为所述应用程序所在的客户端设备的本机地址，将所述新报文的目的端口号设置为客户端接收所述报文的端口号，将原所述报文的源网络互连协议IP地址修改为虚拟网络互连协议IP地址，并将原所述报文作为所述新报文的载荷，将所述新报文提交给NDIS网卡驱动；所述虚拟网络互连协议IP地址为所述客户端与所述网关建立安全套接层协议SSL隧道后，从所述网关获取到的虚拟网络互连协议IP地址；

所述NDIS网卡驱动将所述新报文发送到所述客户端，由所述客户端向所述内网服务器发送所述新报文；

其中，所述NDIS中间层驱动捕获应用程序向所述内网服务器发送的报文之前，还包括：

所述TDI驱动获取发送报文的报文流的信息，所述信息包括协议类型、端口号和进程标识号PID，将所述信息通知所述NDIS中间层驱动，所述NDIS中间层驱动存储所述信息的映射关系。

2.根据权利要求1所述的方法，其特征在于，所述根据所述报文对应的进程标识号PID，判断是否允许所述报文对应的进程使用所述SSL VPN，包括：

获取所述报文的协议类型和端口号，根据协议类型、端口号和进程标识号PID的映射关系确定所述报文对应的PID，根据所述PID判断是否允许所述PID对应的进程使用所述SSLVPN。

3.根据权利要求1所述的方法，其特征在于，所述根据所述报文对应的进程标识号PID，判断是否允许所述报文对应的进程使用所述SSL VPN之前，还包括：

所述客户端在所述NDIS中间层驱动中设置是否允许所述报文对应的进程使用所述SSLVPN的进程标识号PID。

4.根据权利要求1-3任一项所述的方法，其特征在于，还包括：

所述客户端接收到所述网关转发的所述内网服务器的报文，将所述报文的目的地址改为所述客户端所在客户端设备的本机地址，通过原始套接字Raw Socket接口发送所述报文到NDIS协议驱动，由所述NDIS协议驱动转发到对应的应用程序。

5.一种客户端设备，应用于基于安全套接层协议的虚拟专用网络SSL VPN中，所述SSLVPN包括：客户端设备、网关和所述SSL VPN的内网服务器，所述客户端设备通过网关与所述内网服务器通信，所述客户端设备包括传输层驱动接口TDI驱动、网络驱动接口规范NDIS协议驱动、网络驱动接口规范NDIS中间层驱动、网络驱动接口规范NDIS网卡驱动和客户端，其特征在于，

所述NDIS中间层驱动，用于捕获应用程序向所述内网服务器发送的报文，根据所述报文对应的进程标识号PID，判断是否允许所述报文对应的进程使用所述SSL VPN；

若允许使用，则建立新报文，将所述新报文的目的地址设置为所述应用程序所在的客户端设备的本机地址，将所述新报文的目的端口号设置为客户端接收所述报文的端口号，将原所述报文的源网络互连协议IP地址修改为虚拟网络互连协议IP地址，并将原所述报文作为所述新报文的载荷，将所述新报文提交给NDIS网卡驱动；所述虚拟网络互连协议IP地址为所述客户端与所述网关建立安全套接层协议SSL隧道后，从所述网关获取到的虚拟网络互连协议IP地址；

所述NDIS网卡驱动，用于将所述新报文发送到所述客户端，由所述客户端向所述内网服务器发送所述新报文；

其中，所述TDI驱动，还用于获取发送报文的报文流的信息，所述信息包括协议类型、端口号和进程标识号PID，将所述信息通知所述NDIS中间层驱动，所述NDIS中间层驱动存储所述信息的映射关系。