[发明专利]VPN服务的访问方法和访问系统、电子设备、存储介质

说明书

本发明涉及一种VPN服务的访问方法和访问系统、电子设备、存储介质，其中，所述访问方法包括：获取访问请求，并根据访问请求生成携带验证信息的访问页面；基于访问页面向代理模块发送携带验证信息的访问报文；接收代理模块从访问报文中提取的验证信息，并对代理模块提取的验证信息进行认证；在认证合法后向代理模块发送认证合法结果，以便代理模块根据认证合法结果通过VPN用户态协议栈进行VPN服务访问。本发明的访问方法，通过代理的方式增加了VPN服务数量，并且在访问入口设置访问权限，只有被授权访问者才能访问VPN服务，降低了安全隐患。

技术领域

本发明涉及安全技术领域，尤其涉及一种VPN服务的访问方法和VPN服务的访问系统、电子设备和计算机可读存储介质。

背景技术

VPN（Virtual Private Network，虚拟专用网络）作为网络层的技术，目前向应用层提供服务的方式包括虚拟网卡模式和用户态协议栈模式。其中，虚拟网卡模式下，如图2所示，提供VPN服务的实体以守护进程的方式运行，该守护进程在操作系统内核建立虚拟网卡，虚拟网卡具有VPN IP并对所有应用可见，应用通过虚拟网卡的VPN IP就可以实现透明地访问VPN服务。用户态协议栈模式下，如图3所示，应用进程调用用户态协议栈启动VPN服务，VPN服务是该应用进程的一部分，对其它进程不可见。

上述两种模式存在一些缺陷：其一，虚拟网卡模式的VPN服务把网络接口以虚拟网卡的方式完全暴露出来，使得对访问进行鉴权认证方面的安全控制变得不可能，任何应用包括恶意应用都可以透明访问VPN服务，具有极大的安全隐患，此外，在操作系统内核建立虚拟网卡需要具有超级用户权限，这也限制了其在手机或Cloud租户环境的适用范围。其二，用户态协议栈模式可以做到只让自己开发的业务使用VPN服务，对其它应用不可见，也不需要具有超级用户权限，但这是一种单体架构，VPN服务与使用它的应用耦合在一起并独占一个VPN IP，并且这种单体架构提供服务的方式与当前上层应用的微服务化存在技术上的代差，例如，如果手机上平均有10个应用需要使用VPN，那么一个255.255.255.0掩码的VPN网络就只能服务于25部手机。

发明内容

（一）要解决的技术问题

鉴于现有技术的上述缺点、不足，本发明提供一种VPN服务的访问方法和访问系统、电子设备、存储介质，其通过代理的方式增加了VPN服务数量，并且在访问入口设置访问权限，只有被授权访问者才能访问VPN服务，降低了安全隐患。

（二）技术方案

为了达到上述目的，本发明采用的主要技术方案包括：

第一方面，本发明实施例提供一种VPN服务的访问方法，所述访问方法包括：获取访问请求，并根据访问请求生成携带验证信息的访问页面；基于访问页面向代理模块发送携带验证信息的访问报文；接收代理模块从访问报文中提取的验证信息，并对代理模块提取的验证信息进行认证；在认证合法后向代理模块发送认证合法结果，以便代理模块根据认证合法结果通过VPN用户态协议栈进行VPN服务访问。

本发明实施例提出的VPN服务的访问方法，获取访问请求，并根据访问请求生成携带验证信息的访问页面，基于访问页面向代理模块发送携带验证信息的访问报文；接收代理模块从访问报文中提取的验证信息，并对代理模块提取的验证信息进行认证；在认证合法后向代理模块发送认证合法结果，以便代理模块根据认证合法结果通过VPN用户态协议栈进行VPN服务访问。由此，通过代理的方式增加了VPN服务数量，并且在访问入口设置访问权限，只有被授权访问者才能访问VPN服务，降低了安全隐患。

可选地，在访问页面被关闭之前，每次基于访问页面生成的访问报文均携带相同的验证信息。

可选地，代理模块提供至少一路VPN访问服务，每一路VPN访问服务对应一个TCP服务器与一个TCP客户端，其中，代理模块中的TCP服务器在接收到认证合法结果时将移除认证信息的访问报文转发给对应的TCP客户端，以便对应的TCP客户端通过VPN用户态协议栈进行VPN服务访问。