本發明公開了一種SSL VPN多服務地址共享系統及共享方法，包括設置有SNI設置模塊的SSL VPN客戶端、設置有SNI代理模塊且與SSL VPN客戶端連接的SSL VPN服務端、分別與SNI代理模塊連接的瀏覽器和HTTPS服務；所述SNI設置模塊與SNI代理模塊連接。其地址共享方法為：一種SSL VPN多服務地址共享方法，瀏覽器客戶端或SSL VPN客戶端與SSL VPN服務端建立連接，SNI代理模塊選擇要使用的服務端證書及服務；SSL VPN服務端通過SNI代理模塊實現基于SNI字段的TCP連接分發，從而實現多個SSL VPN服務之間、SSL VPN服務與HTTPS服務之間的端口共享、瀏覽器與HTTPS服務之間的連接。本發明的有益效果是：本發明有效的實現了HTTPS和SSL VPN使用同一個TCP端口進行通信，極少占用網絡地址資源，降低管理難度，降低應用部署的復雜度。

技術領域

本發明涉及計算機網絡技術領域，具體的說，是一種SSL VPN多服務地址共享系統及共享方法。

背景技術

在網絡環境中，IP地址和TCP端口是重要的資源。針對不同的端口，通常需要配置不同的防火墻安全策略及路由策略。在安全要求嚴格的網絡環境中，甚至不允許開放知名端口(如443)外的其它端口。服務端口的稀缺使得不同網絡應用有共享端口的需求。具體到SSL VPN，不同的組織可能使用不同的TLS證書，卻需要使用同一個IP地址和TCP端口作為Internet外網接入地址。即使對于同一個組織，也可能希望HTTPS和SSL VPN使用同一個TCP端口。

HTTPS使用SNI區分不同站點：

目前的主流HTTPS服務和瀏覽器均支持SNI技術。客戶端瀏覽器在進行TLS握手時，會將訪問的域名信息填入TLS報文的SNI字段。在服務端，用戶可以在同一個端口上使用多個證書配置多個站點，但需要確保不同站點的域名不同。HTTPS服務收到TLS報文時，先檢查其SNI字段，以此確定使用哪個證書進行TLS握手。連接建立完成后，服務同樣根據報文中的SNI字段確定用戶訪問的是哪個站點。

多地址提供多個SSL VPN服務：

服務啟動多個完全獨立的進程，每個進程監聽一個“IP+端口”。利用網絡協議棧區分發往不同進程的流量。客戶端訪問不同的SSL VPN服務時，使用的目的地址不同；服務收到客戶端的SSL報文時，根據不同地址將報文上送到不同的服務進程。

HTTPS使用SNI技術在同一個端口上提供多個站點服務。這是SNI技術的最常規用法。但是，瀏覽器不能作為SSL VPN的客戶端，SSL VPN服務也不同于HTTPS站點。瀏覽器將域名直接寫入SNI字段，區分HTTPS站點需要注冊過的真實域名，多站點需要占用多個寶貴的域名資源。而SSL VPN服務可以使用自簽名的證書，也不需要使用真實的域名區分不同服務，客戶端可以填寫自定義的SNI字段。總之，SNI技術在HTTPS多站點中的應用方式不適用于SSL VPN。

在地址上提供多個SSL VPN服務。這種做法缺點是多占用了網絡地址資源。對于不同的IP或端口，服務所在的網絡要設置不同的防火墻規則，可能還需要設置不同的NAT規則和路由轉發規則。這些規則的設置大大提高了應用部署的復雜度，增加了管理難度。

術語介紹：

SSL：Secure Sockets Layer為網絡通信提供安全及數據完整性的一種安全協議；

TLS：Transport Layer Security SSL協議的較新版本；

SNI:Server Name Indication SSL協議的一種擴展，參考RFC6066

發明內容

本發明的目的在于提供一種SSL VPN多服務地址共享系統及共享方法，有效的實現了HTTPS和SSL VPN使用同一個TCP端口進行通信，減少了占用網絡地址資源，有效的降低管理難度，降低了應用部署的復雜度。