虚拟专用网络的会话控制方法、装置及设备与流程

1.本公开涉及通信技术领域，尤其涉及一种虚拟专用网络的会话控制方法、装置及设备。


背景技术：

2.随着网络的普及和电子商务、远程办公的兴起，虚拟专用网络被广泛使用。在安全套接层协议(security socket layer protocol，ssl)虚拟专用网(virtual private network，vpn)网络中，客户端通过sslvpn将受保护业务的报文传到内网。然而，随着客户端数量的增加，sslvpn服务器端性能消耗较为严重，而且内网资源存在一定的风险。
3.相关技术中，存在手动控制在线会话下线的方案，以及基于时间的sslvpn控制策略，然而，上述方案不够灵活，难以满足用户实际操作需求，如何提升sslvpn服务器性能、保护内网数据安全是一个亟待解决的问题。


技术实现要素：

4.为了解决上述技术问题或者至少部分地解决上述技术问题，本公开提供了一种虚拟专用网络的会话控制方法、装置及设备。
5.第一方面，本公开实施例提供了一种虚拟专用网络的会话控制方法，包括：
6.获取处于在线状态的会话，并确定所述会话是否处于预设的非活跃时间；
7.在所述会话处于所述非活跃时间的情况下，确定所述会话对应的客户端在所述非活跃时间内接收的空报文数量；
8.当检测所述空报文数量满足预设的触发条件，则控制所述会话断开。
9.在本公开的一个实施例中，所述确定所述会话对应的客户端在所述非活跃时间内接收的空报文数量，包括：当所述客户端在所述非活跃时间内接收到目标报文时，确定所述目标报文的类型；若所述目标报文为空报文，则控制计数加一；若所述目标报文为数据传输报文，则控制所述计数归零；
10.所述当检测所述空报文数量满足预设的触发条件，包括：当检测所述计数大于等于预设阈值，则确定满足所述触发条件。
11.在本公开的一个实施例中，在控制所述会话断开之后，还包括：记录所述会话的会话信息和时长信息，以生成所述会话的下线记录。
12.在本公开的一个实施例中，所述方法还包括：响应于用户登录请求，确定与所述用户登录请求对应的目标会话，并判断是否存在所述目标会话的下线记录；若存在所述目标会话的下线记录，则根据所述目标会话的下线记录中的时长信息确定所述目标会话是否满足预设的重连条件；在所述目标会话满足所述重连条件的情况下，向所述目标会话对应的客户端发送第一认证信息并接收输入的信息；若输入的信息与所述第一认证信息一致，则控制所述目标会话重连。
13.在本公开的一个实施例中，在判断是否存在所述目标会话的下线记录之后，还包
括：若不存在所述目标会话的下线记录，则根据预设的授权策略获取所述目标会话对应的客户端的第二认证信息；基于所述第二认证信息进行用户登录认证，以根据认证结果执行用户登录操作。
14.在本公开的一个实施例中，所述方法还包括：在所述目标会话不满足所述重连条件的情况下，则删除所述目标会话的下线记录。
15.第二方面，本公开实施例提供了一种虚拟专用网络的会话控制装置，包括：
16.获取模块，用于获取处于在线状态的会话，并确定所述会话是否处于预设的非活跃时间；
17.确定模块，用于在所述会话处于所述非活跃时间的情况下，确定所述会话对应的客户端在所述非活跃时间内接收的空报文数量；
18.控制模块，用于当检测所述空报文数量满足预设的触发条件，则控制所述会话断开。
19.第三方面，本公开实施例提供了一种电子设备，包括：处理器；用于存储所述处理器可执行指令的存储器；所述处理器，用于从所述存储器中读取所述可执行指令，并执行所述指令以实现上述第一方面所述的虚拟专用网络的会话控制方法。
20.第四方面，本公开实施例提供了一种计算机可读存储介质，所述存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述第一方面所述的虚拟专用网络的会话控制方法。
21.本公开实施例提供的技术方案与现有技术相比具有如下优点：通过获取处于在线状态的会话，并确定会话是否处于预设的非活跃时间，进而，在会话处于非活跃时间的情况下，确定客户端在非活跃时间内接收的空报文数量，当检测空报文数量满足预设的触发条件，则控制会话断开，由此，提供了一种根据用户活跃度时间以及状态更新会话的方法，能够及时断开没有数据传输的连接，减少网络设备需要维护的sslvpn连接数量，减少设备中央处理器、内存的消耗，提升sslvpn服务器的性能，保护内网数据安全，并达到灵活控制在线会话的效果。
附图说明
22.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。
23.为了更清楚地说明本公开实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
24.图1为本公开实施例所提供的一种虚拟专用网络的会话控制方法的流程示意图；
25.图2为本公开实施例所提供的另一种虚拟专用网络的会话控制方法的流程示意图；
26.图3为本公开实施例所提供的一种虚拟专用网络的会话控制装置的结构示意图；
27.图4为本公开实施例提供的一种电子设备的结构示意图。
具体实施方式
28.为了能够更清楚地理解本公开的上述目的、特征和优点，下面将对本公开的方案进行进一步描述。需要说明的是，在不冲突的情况下，本公开的实施例及实施例中的特征可以相互组合。
29.在下面的描述中阐述了很多具体细节以便于充分理解本公开，但本公开还可以采用其他不同于在此描述的方式来实施；显然，说明书中的实施例只是本公开的一部分实施例，而不是全部的实施例。
30.图1为本公开实施例所提供的一种虚拟专用网络的会话控制方法的流程示意图，本公开实施例可以适用于虚拟专用网通信场景下，基于用户活跃时间和状态优化会话控制。本公开实施例提供的方法可以由虚拟专用网络的会话控制装置来执行，该装置可以采用软件和/或硬件实现，并可集成在任意具有计算能力的电子设备上。
31.如图1所示，本公开实施例提供的虚拟专用网络的会话控制方法可包括：
32.步骤101，获取处于在线状态的会话，并确定会话是否处于预设的非活跃时间。
33.本公开实施例的方法，可以用于虚拟专用网络，例如安全套接层协议(security socket layer protocol，ssl)虚拟专用网络(virtual private network，vpn)。
34.在实际应用中，客户端可以与内网进行数据交互，具体的，会话处于在线状态时，客户端可通过sslvpn将受保护业务的报文传输到内网。然而，随着客户端数量的增加，sslvpn服务器端性能消耗增加，此外，当客户端未访问内网数据且会话处于在线状态时，对内网资源而言存在一定的风险。
35.因此，本公开实施例中，可以获取处于在线状态的会话，以在非活跃时间对处于在线状态的会话进行控制。
36.其中，非活跃时间可以是预先设置的，举例而言，可以设置用户工作时间段作为活跃时间，则用户工作时间段以外的其他时间段为非活跃时间。若当前时间属于非活跃时间，则确定会话处于非活跃时间。
37.步骤102，在会话处于非活跃时间的情况下，确定客户端在非活跃时间内接收的空报文数量。
38.本实施例中，在会话处于非活跃时间的情况下，对该会话对应的客户端接收的报文进行监控，以确定该客户端在非活跃时间内接收的空报文数量。
39.作为一种示例，确定客户端在非活跃时间内接收的空报文数量，包括：当客户端在非活跃时间内接收到目标报文时，确定目标报文的类型，其中，目标报文的类型分为空报文和数据传输报文，空报文定期发送，用于维持连接。进而，根据目标报文的类型进行计数，若目标报文为空报文，则控制计数加一，若目标报文为数据传输报文，则控制计数归零，由此，能够统计得到客户端连续接收到的空报文数量。
40.步骤103，当检测空报文数量满足预设的触发条件，则控制会话断开。
41.本公开实施例中，当检测空报文数量满足预设的触发条件，包括：当检测计数大于等于预设阈值，则确定满足触发条件。其中，预设阈值可以由大量实验数据确定，也可以根据实际需要进行设置。
42.对于在非活跃时间内的空报文计数少于预设阈值时，若客户端接收到非空报文，即认为用户存在使用需求，将空报文计数置0，重新计数，从而保证在非活跃时间有真正需
求的用户可以正常访问。若在非活跃时间内的空报文计数大于等于预设阈值，即认为用户不存在使用需求，控制会话断开。
43.举例而言，对于多个处于非活跃时间的在线状态的会话，确定客户端在非活跃时间内接收的空报文数量。若检测到多个会话中的会话一满足预设的触发条件，其他会话不满足触发条件，则控制会话一断开。
44.根据本公开实施例的技术方案，通过获取处于在线状态的会话，并确定会话是否处于预设的非活跃时间，进而，在会话处于非活跃时间的情况下，确定客户端在非活跃时间内接收的空报文数量，当检测空报文数量满足预设的触发条件，则控制会话断开，由此，提供了一种根据用户活跃度时间以及状态更新会话的方法，能够及时断开没有数据传输的连接，减少网络设备需要维护的sslvpn连接数量，减少设备中央处理器、内存的消耗，提升sslvpn服务器的性能，保护内网数据安全，并达到灵活控制在线会话的效果。
45.在实际应用中，为保证客户端与服务器的数据传输过程，通常会设置自动重连功能，然而，在设置自动重连功能的情况下，控制会话断开后可能因自动重连功能，自动重新连接。
46.基于上述实施例，图2为本公开实施例所提供的另一种虚拟专用网络的会话控制方法的流程示意图，如图2所示，该虚拟专用网络的会话控制方法还包括：
47.步骤201，响应于用户登录请求，确定与用户登录请求对应的目标会话，并判断是否存在目标会话的下线记录。
48.本公开实施例中，客户端在向内网进行数据访问时，可以发送用户登录请求，以根据用户登录请求进行登录。进而，响应于用户登录请求，可以确定与用户登录请求对应的目标会话，并根据在应用过程中生成的会话的下线记录进行匹配，以确定是否存在匹配的下线记录。
49.在本公开的一个实施例中，当检测空报文数量满足预设的触发条件，则控制会话断开之后，可以记录该会话的会话信息和时长信息，以生成会话的下线记录。其中，会话信息可包括标识信息，时长信息用于指示会话的持续时间。
50.步骤202，若存在目标会话的下线记录，则根据目标会话的下线记录中的时长信息确定目标会话是否满足预设的重连条件。
51.本公开实施例中，下线记录包括会话信息，在确定与用户登录请求对应的目标会话后，可以根据目标会话的会话信息与各下线记录中的会话信息比较匹配，并在匹配结果一致时，确定存在目标会话的下线记录。进而，根据匹配的下线记录中的时长信息确定目标会话是否满足预设的重连条件。
52.作为一种示例，根据时长信息确定目标会话是否满足预设的重连条件，包括：若目标会话的下线记录中的时长信息小于预设时间，则确定目标会话满足预设的重连条件，若时长信息大于等于预设时间，则确定目标会话不满足预设的重连条件、
53.在本公开的一个实施例中，在判断是否存在目标会话的下线记录之后，还包括：若不存在目标会话的下线记录，则根据预设的授权策略获取客户端的第二认证信息，基于第二认证信息进行用户登录认证，以根据认证结果执行用户登录操作。
54.本实施例中，在不存在匹配的下线记录的情况下，执行正常登录场景的用户授权认证流程，在满足预设授权策略的情况下，获取输入的第二认证信息，并验证预存信息是否
与第二认证信息一致，若预存信息与第二认证信息，则允许用户登录，否则，拒绝用户登录。其中，第二认证信息可以是预设的登录密码。
55.由此，通过生成断开会话的下线记录，并在接收到用户登录请求时，根据下线记录进行匹配，以确定执行重连的二次验证操作或授权登录操作。
56.步骤203，在目标会话满足重连条件的情况下，向客户端发送第一认证信息并接收输入的信息。
57.本公开实施例中，若时长信息小于预设时间，则向客户端发送第一认证信息，并获取输入的信息。其中，第一认证信息的实现方式可包括短信验证码、预先配置的验证内容等，用户可根据接收到的第一认证信息进行输入，以实现二次验证操作。
58.在本公开的一个实施例中，在目标会话不满足重连条件的情况下，则删除目标会话的下线记录。在删除下线记录后，若再次接收到相应的用户登录请求，则根据上述步骤201执行。
59.步骤204，若输入的信息与第一认证信息一致，则控制目标会话重连。
60.本公开实施例中，输入的信息与第一认证信息一致，则认为二次验证成功，控制目标会话重连。输入的信息与第一认证信息不一致，或者未接收到输入的信息，则认为二次验证失败，保持目标会话断开。
61.根据本公开实施例的技术方案，通过在用户登录时，判断是否存在目标会话的下线记录，并在存在目标会话的下线记录且目标会话满足重连条件的情况下，向客户端发送第一认证信息并接收输入的信息，若输入的信息与第一认证信息一致，则控制目标会话重连，由此，对重连用户进行二次验证，防止用户直接通过重新登录功能授权访问，保证自动断开会话控制的效果，进一步允许真正需求用户操作，从而达到根据用户实际需求进行会话维护的效果。
62.基于上述实施例，本公开还提出一种虚拟专用网络的会话控制装置。
63.图3为本公开实施例所提供的一种虚拟专用网络的会话控制装置的结构示意图，如图3所示，该虚拟专用网络的会话控制装置包括：获取模块31，确定模块32，控制模块33。
64.其中，获取模块31，用于获取处于在线状态的会话，并确定所述会话是否处于预设的非活跃时间。
65.确定模块32，用于在所述会话处于所述非活跃时间的情况下，确定所述会话对应的客户端在所述非活跃时间内接收的空报文数量。
66.控制模块33，用于当检测所述空报文数量满足预设的触发条件，则控制所述会话断开。
67.在本公开的一个实施例中，确定模块32具体用于：当所述客户端在所述非活跃时间内接收到目标报文时，确定所述目标报文的类型；若所述目标报文为空报文，则控制计数加一；若所述目标报文为数据传输报文，则控制所述计数归零。
68.其中，当检测所述空报文数量满足预设的触发条件，包括：当检测所述计数大于等于预设阈值，则确定满足所述触发条件。
69.在本公开的一个实施例中，该装置还包括：
70.记录模块，用于记录所述会话的会话信息和时长信息，以生成所述会话的下线记录。
71.在本公开的一个实施例中，该装置还包括：重连模块，用于响应于用户登录请求，确定与所述用户登录请求对应的目标会话，并判断是否存在所述目标会话的下线记录；若存在所述目标会话的下线记录，则根据所述目标会话的下线记录中的时长信息确定所述目标会话是否满足预设的重连条件；在所述目标会话满足所述重连条件的情况下，向所述目标会话对应的客户端发送第一认证信息并接收输入的信息；若输入的信息与所述第一认证信息一致，则控制所述目标会话重连。
72.在本公开的一个实施例中，该装置还包括：登录模块，用于若不存在所述目标会话的下线记录，则根据预设的授权策略获取所述目标会话对应的客户端的第二认证信息；基于所述第二认证信息进行用户登录认证，以根据认证结果执行用户登录操作。
73.在本公开的一个实施例中，该装置还包括：删除模块，用于在所述目标会话不满足所述重连条件的情况下，则删除所述目标会话的下线记录。
74.本公开实施例所提供的虚拟专用网络的会话控制装置可执行本公开实施例所提供的任意虚拟专用网络的会话控制方法，具备执行方法相应的功能模块和有益效果。本公开装置实施例中未详尽描述的内容可以参考本公开任意方法实施例中的描述。
75.图4为本公开实施例提供的一种电子设备的结构示意图。如图4所示，电子设备600包括一个或多个处理器601和存储器602。
76.处理器601可以是中央处理单元(cpu)或者具有数据处理能力和/或指令执行能力的其他形式的处理单元，并且可以控制电子设备600中的其他组件以执行期望的功能。
77.存储器602可以包括一个或多个计算机程序产品，计算机程序产品可以包括各种形式的计算机可读存储介质，例如易失性存储器和/或非易失性存储器。易失性存储器例如可以包括随机存取存储器(ram)和/或高速缓冲存储器(cache)等。非易失性存储器例如可以包括只读存储器(rom)、硬盘、闪存等。在计算机可读存储介质上可以存储一个或多个计算机程序指令，处理器601可以运行程序指令，以实现上文的本公开的实施例的方法以及/或者其他期望的功能。在计算机可读存储介质中还可以存储诸如输入信号、信号分量、噪声分量等各种内容。
78.在一个示例中，电子设备600还可以包括：输入装置603和输出装置604，这些组件通过总线系统和/或其他形式的连接机构(未示出)互连。此外，该输入装置603还可以包括例如键盘、鼠标等等。该输出装置604可以向外部输出各种信息，包括确定出的距离信息、方向信息等。该输出装置604可以包括例如显示器、扬声器、打印机、以及通信网络及其所连接的远程输出设备等等。
79.当然，为了简化，图4中仅示出了该电子设备600中与本公开有关的组件中的一些，省略了诸如总线、输入/输出接口等等的组件。除此之外，根据具体应用情况，电子设备600还可以包括任何其他适当的组件。
80.除了上述方法和设备以外，本公开的实施例还可以是计算机程序产品，其包括计算机程序指令，计算机程序指令在被处理器运行时使得处理器执行本公开实施例所提供的任意方法。
81.计算机程序产品可以以一种或多种程序设计语言的任意组合来编写用于执行本公开实施例操作的程序代码，程序设计语言包括面向对象的程序设计语言，诸如java、c 等，还包括常规的过程式程序设计语言，诸如“c”语言或类似的程序设计语言。程序代码可
以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。
82.此外，本公开的实施例还可以是计算机可读存储介质，其上存储有计算机程序指令，计算机程序指令在被处理器运行时使得处理器执行本公开实施例所提供的任意方法。
83.计算机可读存储介质可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以包括但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑盘只读存储器(cd
‑
rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。
84.需要说明的是，在本文中，诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
85.以上所述仅是本公开的具体实施方式，使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下，在其它实施例中实现。因此，本公开将不会被限制于本文所述的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。