專利名稱:虛擬域名解析代理方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機通信技術(shù)���,特別涉及基于TCP或者SSL協(xié)議的(安全)應(yīng)用代理技術(shù)�。
背景技術(shù):
在應(yīng)用代理中���,用戶的被代理服務(wù)器(受保護資源)放在應(yīng)用代理服務(wù)器(Proxy Server)的后面�,內(nèi)部的地址資源是需要保密的����。為了訪問被保護的WEB服務(wù)器,應(yīng)用代理可以通過端口映射的方式���,在不泄露內(nèi)部地址資源的情況下進行代理或者安全代理�。但是當(dāng)所保護的資源有不止一臺WEB服務(wù)器,并且各服務(wù)器之間存在相互鏈接的情況下����,無法通過端口轉(zhuǎn)換����,透明的實現(xiàn)代理。
現(xiàn)有的(安全)應(yīng)用代理解決方法��,一種是要求用戶修改WEB服務(wù)器中相關(guān)頁面上的鏈接�����,要求鏈接指向代理服務(wù)器或者代理終端的某一個為這個WEB服務(wù)器打開的特定的端口���,以實現(xiàn)端口與服務(wù)器之間的映射關(guān)系��。
第二種方法是要求用戶修改WEB服務(wù)器中相關(guān)頁面上的鏈接���,要求鏈接指向服務(wù)器的某一個特定的IP地址,以實現(xiàn)該地址與被代理保護的WEB服務(wù)器之間的映射關(guān)系�。
上述的兩種方法都要求用戶修改WEB服務(wù)器的頁面,不能對應(yīng)用透明����,兩種方案會要求用戶將內(nèi)部安全代理服務(wù)器具有多個IP或者打開多個端口��,尤其是要求具有多個IP�,在實際IP資源緊張的環(huán)境下��,其實用性會受到一定影響�����。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是�,提供一種透明的安全代理方法,能夠?qū)崿F(xiàn)在不修改用戶WEB服務(wù)器頁面的情況下�,對服務(wù)器提供保護。
本發(fā)明解決所述技術(shù)問題所采用的技術(shù)方案是���,提供一種虛擬域名解析代理方法����,在具有服務(wù)器的內(nèi)網(wǎng)與遠程終端之間通過外網(wǎng)連接�,終端與內(nèi)網(wǎng)之間通過應(yīng)用代理系統(tǒng)連接,所述應(yīng)用代理系統(tǒng)包括代理服務(wù)器和代理客戶端����,所述代理服務(wù)器連接內(nèi)網(wǎng)與外網(wǎng)��,所述代理客戶端通過外網(wǎng)與代理服務(wù)器連接���,終端對內(nèi)網(wǎng)服務(wù)器訪問的數(shù)據(jù)包由代理客戶端標(biāo)注其目的服務(wù)器,在代理服務(wù)器解析后發(fā)送到目的服務(wù)器�。
所述代理服務(wù)器和代理客戶端內(nèi)存儲有內(nèi)網(wǎng)服務(wù)器地址——內(nèi)網(wǎng)服務(wù)器別名的映射表,所述代理客戶端以內(nèi)網(wǎng)服務(wù)器的IP地址或者別名標(biāo)注來自終端的數(shù)據(jù)包的目的服務(wù)器����。所述代理服務(wù)器根據(jù)內(nèi)網(wǎng)服務(wù)器地址——內(nèi)網(wǎng)服務(wù)器別名的映射表對訪問進行解釋�,并將相關(guān)數(shù)據(jù)傳送到對應(yīng)的內(nèi)網(wǎng)服務(wù)器。代理客戶端根據(jù)內(nèi)網(wǎng)服務(wù)器打開相應(yīng)數(shù)量的本地端口�����,并建立內(nèi)網(wǎng)服務(wù)器——本地端口的映射關(guān)系���。代理客戶端將所述映射關(guān)系注入PAC腳本�。所述代理客戶端從代理服務(wù)器下載取得內(nèi)網(wǎng)服務(wù)器地址——內(nèi)網(wǎng)服務(wù)器別名的映射表����。
本發(fā)明還提供一種虛擬域名解析代理系統(tǒng),包括代理服務(wù)器和代理客戶端�����,所述代理服務(wù)器與代理客戶端通過公網(wǎng)連接,所述代理服務(wù)器連接內(nèi)網(wǎng)與公網(wǎng)��,所述內(nèi)網(wǎng)中至少有一臺具有內(nèi)網(wǎng)地址的服務(wù)器����;所述代理客戶端內(nèi)存儲有內(nèi)網(wǎng)服務(wù)器地址——內(nèi)網(wǎng)服務(wù)器別名的映射表,終端向內(nèi)網(wǎng)服務(wù)器發(fā)送的數(shù)據(jù)在代理客戶端內(nèi)按內(nèi)網(wǎng)服務(wù)器別名標(biāo)注其目的����;所述代理服務(wù)器內(nèi)存儲有內(nèi)網(wǎng)服務(wù)器地址——內(nèi)網(wǎng)服務(wù)器別名的映射表,來自代理客戶端的數(shù)據(jù)在代理服務(wù)器內(nèi)按內(nèi)網(wǎng)服務(wù)器地址標(biāo)注其目的�����。
本發(fā)明的有益效果是(1)保護了用戶的內(nèi)部地址資源�、DNS資源;(2)達到了在外網(wǎng)可以安全訪問內(nèi)部資源的目的����;(3)在(安全)應(yīng)用代理中,實現(xiàn)了既能單獨訪問某臺WEB服務(wù)器��,也可以通過鏈接直接訪問多臺WEB服務(wù)器。
本發(fā)明使用了虛擬服務(wù)器及DNS的方法��,在既能不暴露用戶的內(nèi)部網(wǎng)絡(luò)����,保護用戶的內(nèi)部資源的同時,又可以透明的在外部訪問到這些資源���。
以下結(jié)合說明書附圖和具體實施方式
對本發(fā)明作進一步的說明��。
圖1是本發(fā)明的方法流程圖����。
圖2是本發(fā)明一個實施例的網(wǎng)絡(luò)結(jié)構(gòu)示意圖�。
具體實施例方式
在本具體實施方式
的網(wǎng)絡(luò)環(huán)境中�,具有內(nèi)網(wǎng)地址的服務(wù)器稱為內(nèi)網(wǎng)服務(wù)器,或稱內(nèi)部服務(wù)器����。以下涉及到的WEB服務(wù)器即是一種內(nèi)網(wǎng)服務(wù)器。
本發(fā)明為所保護的每臺WEB服務(wù)器設(shè)置一個別名�����,并建立各服務(wù)器IP與別名的對應(yīng)關(guān)系。在代理客戶端提出對某臺WEB服務(wù)器的訪問時�����,由代理服務(wù)器來負責(zé)對其進行解釋�,即由代理服務(wù)器充當(dāng)一個虛擬的DNS服務(wù)器。如圖1所示�����,其步驟如下(1)代理客戶端代理IE等終端的連接請求��,并實現(xiàn)端口與內(nèi)部服務(wù)器的映射�。
(2)代理服務(wù)器提供WEB服務(wù)器信息的配置功能,由用戶設(shè)置WEB服務(wù)器的IP以及別名等信息����,相當(dāng)于實現(xiàn)DNS中IP與域名的映射關(guān)系。
(3)代理客戶端負責(zé)與代理服務(wù)器建立一個或者多個邏輯信道�����。
(4)代理客戶端建立通信信道后�����,從代理服務(wù)器自動下載服務(wù)器對WEB服務(wù)器的信息,包括WEB服務(wù)器的IP���,別名等的對應(yīng)關(guān)系��。
(5)代理客戶端通過下載到的內(nèi)部信息�����,自動選擇打開相應(yīng)數(shù)量的本地端口���,并將這些端口與WEB服務(wù)器自動做映射,由代理客戶端維護映射表��。
(6)代理客戶端在本地采用PAC腳本�,將該表的映射關(guān)系(服務(wù)器地址與本地端口的映射關(guān)系)注入到PAC腳本中,以便IE等能夠根據(jù)相應(yīng)的配置��,向代理客戶端的不同端口發(fā)送連接請求����,這是實現(xiàn)虛擬DNS解析的重要步驟之一�。
(7)代理客戶端在本地打開相應(yīng)的監(jiān)聽端口,截獲終端的訪問請求���,并根據(jù)映射表的關(guān)系����,重組數(shù)據(jù)報文,并通過已經(jīng)建立的邏輯信道傳輸數(shù)據(jù)��。
(8)代理服務(wù)器根據(jù)協(xié)議還原收到的代理客戶端傳輸來的數(shù)據(jù)���,并根據(jù)同一張內(nèi)部服務(wù)器的映射關(guān)系表���,由代理服務(wù)器對訪問進行解釋,并將相關(guān)的數(shù)據(jù)傳輸?shù)较鄳?yīng)的服務(wù)器��,從而實現(xiàn)了虛擬的DNS功能���。
如上所述步驟(2)中��,在代理服務(wù)器端通過配置����,生成被保護的WEB服務(wù)器中的服務(wù)器的IP與別名等的映射關(guān)系���,代理客戶端是內(nèi)部服務(wù)器的訪問數(shù)據(jù)流目標(biāo)地址解析的重要組成����,是虛擬DNS解析的執(zhí)行端。所述步驟(3)所有的連接請求由代理客戶端發(fā)起�,在代理終端與代理服務(wù)器之間,建立一個或者多個邏輯信道��,以便能夠進行數(shù)據(jù)的交換����。所述步驟(4)中WEB服務(wù)器信息是由代理終端自動下載到本地終端。所述步驟(5)中代理客戶端根據(jù)內(nèi)部服務(wù)器的數(shù)量��,自動在本地打開相應(yīng)數(shù)量的端口�,并監(jiān)聽這些端口,同時維護端口與對應(yīng)內(nèi)部服務(wù)器的對應(yīng)關(guān)系表�����。所述步驟(6)中代理客戶端根據(jù)從服務(wù)器下載取得的內(nèi)部服務(wù)器的映射表��,自動生成PAC腳本���,以便能夠區(qū)分不同的訪問請求,并定向到不同的本地打開的端口上�。所述步驟(7)中代理客戶端根據(jù)從服務(wù)器下載取得的內(nèi)部服務(wù)器的映射表在本地打開�����,監(jiān)聽相應(yīng)的端口��,截獲終端的訪問請求���,并根據(jù)映射表的關(guān)系,重組數(shù)據(jù)報文��,并通過已經(jīng)建立的邏輯信道傳輸數(shù)據(jù)����。代理服務(wù)器根據(jù)協(xié)議還原收到的代理客戶端傳輸來的數(shù)據(jù),并根據(jù)同一張內(nèi)部服務(wù)器的映射關(guān)系表�,由代理服務(wù)器對訪問進行解釋,并將相關(guān)的數(shù)據(jù)傳輸?shù)较鄳?yīng)的內(nèi)網(wǎng)服務(wù)器���,從而實現(xiàn)了虛擬的DNS���。
本發(fā)明所述“別名”可以是各種類型的字符,包括字母�、符號、數(shù)字等���,或者其組合�。
如圖2,更具體的實施例如下��。
在被保護內(nèi)網(wǎng)與外網(wǎng)之間�,布署代理服務(wù)器12,其外網(wǎng)接口地址為202.115.72.23�����,內(nèi)部網(wǎng)接口地址192.168.0.1�����;在代理服務(wù)器上配置被保護對象的信息���,包括其內(nèi)部的IP與別名對應(yīng)關(guān)系���,以及通信協(xié)議中約定的內(nèi)部服務(wù)器的標(biāo)識等信息,對應(yīng)關(guān)系表如下IP地址 別名192.168.0.23——mis192.168.0.25——erp192.168.0.27——mrp在終端上安裝�����、布署代理客戶端,通過撥號等方式取得IP地址����,本實施例子中����,代理客戶端的IP地址為202.115.2.4,由于所述的邏輯信道由代理客戶端發(fā)起����,因此要求代理客戶端能夠通過公共網(wǎng)絡(luò)(即外網(wǎng))訪問到代理服務(wù)器。在代理客戶端配置服務(wù)器端外網(wǎng)的IP地址���,本實施例中��,代理服務(wù)器端外網(wǎng)的IP為202.115.72.23���。
代理客戶端通過公共網(wǎng)絡(luò)與代理服務(wù)器建立邏輯信道,并從服務(wù)器端下載配置信息�,如被保護的內(nèi)部服務(wù)器的地址——域名映射表等信息。代理客戶端打開監(jiān)聽端口�,并生成PAC腳本,這些腳本匹配用戶應(yīng)用層的訪問數(shù)據(jù)流��,將不同的用戶請求發(fā)重新定向到本地代理客戶端的不同端口上,本實施例中�����,被保護的服務(wù)器總共有三臺���,因此代理客戶端打開三個端口�����,3330�����,3331��,3332��,并將對三臺不同的WEB服務(wù)器的訪問請求映射到這三個端口上���,即,將對192.168.0.23或者mis(在瀏覽器url上輸入http//192.168.0.23或者http//mis)的訪問請求重新定向到本地3330端口上�,將192.168.0.25或者erp的訪問定位到本地端口3331上,將192.168.0.27或者mrp的訪問請求重新定向到本地3332端口上�����。代理客戶端接收到來自不同端口的請求,將請求數(shù)據(jù)格式化成事先約定的通信協(xié)議的格式�,并通過邏輯信道發(fā)送到代理服務(wù)器。代理服務(wù)器根據(jù)接收到的請求數(shù)據(jù)�����,解釋本次訪問的目的WEB服務(wù)器���,連接對應(yīng)的WEB服務(wù)器,實現(xiàn)通信中繼�,完成虛擬服務(wù)器及DNS解析的功能。
權(quán)利要求
1.虛擬域名解析代理方法�,在具有服務(wù)器的內(nèi)網(wǎng)與遠程終端之間通過外網(wǎng)連接,其特征在于�,終端與內(nèi)網(wǎng)之間通過應(yīng)用代理系統(tǒng)連接,所述應(yīng)用代理系統(tǒng)包括代理服務(wù)器和代理客戶端�����,所述代理服務(wù)器連接內(nèi)網(wǎng)與外網(wǎng)����,所述代理客戶端通過外網(wǎng)與代理服務(wù)器連接,終端對內(nèi)網(wǎng)服務(wù)器訪問的數(shù)據(jù)包由代理客戶端標(biāo)注其目的服務(wù)器,在代理服務(wù)器解析后發(fā)送到目的服務(wù)器���。
2.如權(quán)利要求1所述的虛擬域名解析代理方法����,其特征在于��,所述代理服務(wù)器和代理客戶端內(nèi)存儲有內(nèi)網(wǎng)服務(wù)器地址——內(nèi)網(wǎng)服務(wù)器別名的映射表����,所述代理客戶端以內(nèi)網(wǎng)服務(wù)器的IP地址或者別名標(biāo)注來自終端的數(shù)據(jù)包的目的服務(wù)器。
3.如權(quán)利要求2所述的虛擬域名解析代理方法�����,其特征在于��,所述代理服務(wù)器根據(jù)內(nèi)網(wǎng)服務(wù)器地址——內(nèi)網(wǎng)服務(wù)器別名的映射表對訪問進行解釋��,并將相關(guān)數(shù)據(jù)傳送到對應(yīng)的內(nèi)網(wǎng)服務(wù)器��。
4.如權(quán)利要求2所述的虛擬域名解析代理方法��,其特征在于�,代理客戶端根據(jù)內(nèi)網(wǎng)服務(wù)器打開相應(yīng)數(shù)量的本地端口���,并建立內(nèi)網(wǎng)服務(wù)器——本地端口的映射關(guān)系。
5.如權(quán)利要求4所述的虛擬域名解析代理方法���,其特征在于���,代理客戶端將所述映射關(guān)系注入PAC腳本。
6.如以上任一權(quán)利要求所述的虛擬域名解析代理方法����,其特征在于�����,所述代理客戶端從代理服務(wù)器下載取得內(nèi)網(wǎng)服務(wù)器地址——內(nèi)網(wǎng)服務(wù)器別名的映射表��。
7.虛擬域名解析代理系統(tǒng)���,其特征在于�����,包括代理服務(wù)器和代理客戶端��,所述代理服務(wù)器與代理客戶端通過公網(wǎng)連接���,所述代理服務(wù)器連接內(nèi)網(wǎng)與公網(wǎng)����,所述內(nèi)網(wǎng)中至少有一臺具有內(nèi)網(wǎng)地址的服務(wù)器�����;所述代理客戶端內(nèi)存儲有內(nèi)網(wǎng)服務(wù)器地址——內(nèi)網(wǎng)服務(wù)器別名的映射表�����,終端向內(nèi)網(wǎng)服務(wù)器發(fā)送的數(shù)據(jù)在代理客戶端內(nèi)按內(nèi)網(wǎng)服務(wù)器別名標(biāo)注其目的�;所述代理服務(wù)器內(nèi)存儲有內(nèi)網(wǎng)服務(wù)器地址——內(nèi)網(wǎng)服務(wù)器別名的映射表,來自代理客戶端的數(shù)據(jù)在代理服務(wù)器內(nèi)按內(nèi)網(wǎng)服務(wù)器地址標(biāo)注其目的�����。
全文摘要
虛擬域名解析代理方法�����,涉及計算機通信技術(shù)���,特別涉及基于TCP或者SSL協(xié)議的(安全)應(yīng)用代理技術(shù)��。本發(fā)明在具有服務(wù)器的內(nèi)網(wǎng)與遠程終端之間通過外網(wǎng)連接����,終端與內(nèi)網(wǎng)之間通過應(yīng)用代理系統(tǒng)連接,所述應(yīng)用代理系統(tǒng)包括代理服務(wù)器和代理客戶端����,所述代理服務(wù)器連接內(nèi)網(wǎng)與外網(wǎng),所述代理客戶端通過外網(wǎng)與代理服務(wù)器連接����,終端對內(nèi)網(wǎng)服務(wù)器訪問的數(shù)據(jù)包由代理客戶端標(biāo)注其目的服務(wù)器���,在代理服務(wù)器解析后發(fā)送到目的服務(wù)器�����。本發(fā)明的有益效果是保護了用戶的內(nèi)部地址資源�、DNS資源�����;達到了在外網(wǎng)可以安全訪問內(nèi)部資源的目的;在(安全)應(yīng)用代理中����,實現(xiàn)了既能單獨訪問某臺WEB服務(wù)器,也可以通過鏈接直接訪問多臺WEB服務(wù)器��。
文檔編號H04L12/66GK1700682SQ20041002257
公開日2005年11月23日 申請日期2004年5月21日 優(yōu)先權(quán)日2004年5月21日
發(fā)明者孟春雷, 丁滿義, 杜勇 申請人:邁普(四川)通信技術(shù)有限公司