CN104025541B - 远程接入终端上业务报文的处理方法和远程接入终端 - Google Patents

远程接入终端上业务报文的处理方法和远程接入终端 Download PDF

Info

Publication number
CN104025541B
CN104025541B CN201280021589.2A CN201280021589A CN104025541B CN 104025541 B CN104025541 B CN 104025541B CN 201280021589 A CN201280021589 A CN 201280021589A CN 104025541 B CN104025541 B CN 104025541B
Authority
CN
China
Prior art keywords
service message
sslvpn
module
access terminal
vpn
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201280021589.2A
Other languages
English (en)
Other versions
CN104025541A (zh
Inventor
聂成蛟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of CN104025541A publication Critical patent/CN104025541A/zh
Application granted granted Critical
Publication of CN104025541B publication Critical patent/CN104025541B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种SSLVPN中远程接入终端上业务报文的处理方法和远程接入终端。所述方法包括:在转发来自于所述VPN客户端模块的业务报文之前,启动所述VPN客户端模块执行修改所述远程接入终端上的路由表的操作,接收所述VPN客户端模块发送来的所述业务报文;将所述业务报文转发给SSLVPN处理模块,以便所述SSLVPN处理模块对所述业务报文进行地址转换后发送至所述SSLVPN网关。采用本发明的方法或终端,可以避免现有技术中修改路由表时获取系统最高权限的步骤,降低建立连接过程的复杂程度和技术实现难度。

Description

远程接入终端上业务报文的处理方法和远程接入终端
技术领域
本发明涉及数据安全领域,特别是涉及一种远程接入终端上业务报文的处理方法和远程接入终端。
背景技术
虚拟专用网络(Virtual Private Network,简称VPN)指的是在公用网络上建立专用网络的技术。基于安全套接层(Security Socket Layer,SSL)协议建立远程安全访问通道的VPN技术,简称为SSLVPN。SSLVPN是近年来兴起的VPN技术,其主要用于解决远程用户访问公司敏感数据的安全问题。
为了解决远程接入终端(例如手机)与服务器之间传输的报文在Internet上的传输安全问题,现有技术可以在远程接入终端与SSLVPN网关之间建立SSLVPN隧道,将传输的报文封装在SSLVPN隧道内,再在Internet上传输。
具体的,现有技术中,基于安全套接层协议的报文转发方法大致是:远程接入终端上的应用程序生成的报文,首先发送至虚拟网卡;虚拟网卡将接收到的报文发送至SSLVPN模块;SSLVPN模块将接收到的报文发送到SSLVPN网关。其中,虚拟网卡需要用户单独安装,安装完成之后还需要对虚拟网卡进行配置,例如设置网卡上的IP地址、设置网卡上的DNSServer的IP地址等操作。在转发报文之前,虚拟网卡还需要修改远程接入终端上的路由表信息,以便将发送给SSLVPN网关的报文路由到虚拟网卡上。
但是,现有技术中,虚拟网卡的安装需要最高的系统管理权限。在Android、iOS等智能手机终端操作系统中,虚拟网卡的安装过程非常复杂,并且由于涉及到操作系统的权限控制,SSLVPN客户端软件无法自动安装虚拟网卡,现有技术一般要求用户人工安装,而智能手机终端用户由于不具备所需的技能很难自主完成虚拟网卡的安装。此外,虚拟网卡的设置包括对虚拟网卡上IP地址、DNS Server的配置,这些操作也需要获取操作系统的最高管理权限。
同样,现有技术中,在windows、Linux、Android、iOS操作系统中,修改系统路由表也需要最高的系统管理权限,SSLVPN的客户端软件通常无法获得足够的权限来完成路由表的修改操作。
由上述可知,现有技术中,基于安全套接层协议的报文转发方法,由于需要获取操作系统的最高管理权限,导致安装过程复杂,技术实现难度大。
发明内容
本发明的目的是提供一种基于安全套接层协议的报文转发方法和系统,可以不必获取操作系统的最高管理权限,降低安装过程的复杂程度和技术实现难度。
为实现上述目的,本发明提供了如下方案:
第一方面,提供了一种SSLVPN中远程接入终端上业务报文的处理方法,所述远程接入终端包括VPN客户端模块、VPN服务器端模块、SSLVPN处理模块,所述远程接入终端通过网络与SSLVPN网关连接;所述方法包括:
所述VPN服务器端模块在转发来自于所述VPN客户端模块的业务报文之前,启动所述VPN客户端模块执行修改所述远程接入终端上的路由表的操作,以便所述远程接入终端中的应用软件将目的地址为SSLVPN网关的业务报文路由至所述VPN客户端模块;
接收所述VPN客户端模块发送来的所述业务报文;
将所述业务报文转发给SSLVPN处理模块,以便所述SSLVPN处理模块对所述业务报文进行地址转换后发送至所述SSLVPN网关。
在第一方面的第一种可能的实现方式中,路由至所述VPN客户端模块的业务报文,是所述应用程序按照所述路由表,将目的地址为SSLVPN网关的业务报文发送至所述VPN客户端模块的。
在第一方面的第二种可能的实现方式中,所述将所述业务报文转发给SSLVPN处理模块,以便所述SSLVPN处理模块对所述业务报文进行地址转换后发送至所述SSLVPN网关,包括:
所述VPN服务器端模块将所述业务报文发送至所述SSLVPN处理模块;
所述SSLVPN处理模块对所述业务报文按照SSL协议进行加密,并将所述SSLVPN网关的公网地址作为目的地址封装在所述业务报文中;
所述SSLVPN处理模块将加密封装得到的业务报文发送至所述SSLVPN网关。
在第一方面的第三种可能的实现方式中,所述VPN服务器端模块启动所述VPN客户端模块之前,还包括:
所述VPN服务器端模块与所述VPN客户端模块建立VPN连接;
所述接收所述VPN客户端模块发送来的所述业务报文,具体为:
通过所述VPN连接,接收所述VPN客户端模块发送来的所述业务报文。
在上述第一方面、或第一方面的任意一种可能的实现方式中,所述远程接入终端中的应用软件将目的地址为SSLVPN网关的业务报文路由至所述VPN客户端模块之前,还包括:
所述应用软件判断所述业务报文的目的地址是否为SSLVPN网关的地址;
如果是,则执行将所述业务报文路由至所述VPN客户端模块的步骤;
否则,将所述业务报文路由至所述远程接入终端的物理网卡,以便通过所述物理网卡将所述业务报文发送至公网中的服务器。
第二方面,提供一种远程接入终端,包括VPN客户端模块、VPN服务器端模块、SSLVPN处理模块,所述远程接入终端通过网络与SSLVPN网关连接;
所述VPN服务器端模块包括:
路由表修改单元,用于在转发来自于所述VPN客户端模块的业务报文之前,启动所述VPN客户端模块执行修改所述远程接入终端上的路由表的操作,以便所述远程接入终端中的应用软件将目的地址为SSLVPN网关的业务报文路由至所述VPN客户端模块;
接收单元,用于接收所述VPN客户端模块发送来的所述业务报文;
发送单元,用于将接收单元接收的所述业务报文转发给SSLVPN处理模块,以便所述SSLVPN处理模块对所述业务报文进行地址转换后发送至所述SSLVPN网关。
在第二方面的第一种可能的实现方式中,还包括:
应用程序控制模块,用于控制所述远程接入终端上的应用程序按照所述路由表,将目的地址为SSLVPN网关的业务报文发送至所述VPN客户端模块。
在第二方面的第二种可能的实现方式中,所述SSLVPN处理模块包括:
报文处理单元,用于对所述VPN服务器端模块发来的业务报文按照SSL协议进行加密,并将所述SSLVPN网关的公网地址作为目的地址封装在所述业务报文中;
发送单元,用于将报文处理单元加密封装得到的业务报文发送至所述SSLVPN网关。
在第二方面的第三种可能的实现方式中,所述SSLVPN处理模块包括:
第一指令发送单元,用于向所述VPN服务器端模块发起第一启动指令;
第二指令发送单元,用于向所述VPN客户端模块发起第二启动指令;
所述第一启动指令用于开启所述VPN服务器端模块,所述第二启动指令,用于控制所述VPN客户端模块开始创建VPN隧道。
在第二方面、或第二方面的任意一种可能的实现方式中,还包括:
路由控制模块,用于在所述远程接入终端中的应用软件将目的地址为SSLVPN网关的业务报文路由至所述VPN客户端模块之前,判断所述业务报文的目的地址是否为SSLVPN网关的地址;当所述报文目的地址判断单元的判断结果为是时,执行将所述业务报文路由至所述VPN客户端模块的步骤;
当所述报文目的地址判断单元的判断结果为否时,将所述业务报文路由至所述远程接入终端的物理网卡,以便通过所述物理网卡将所述业务报文发送至公网中的服务器。
第三方面,提供一种远程接入终端,包括存储器和处理器,其中:
所述存储器被配置存储代码;
所述处理器被配置读取所述存储器中存储的代码,执行本发明提供的第一方面、或第一方面的任意一种可能的实现方式所述的方法。
在本发明实施例提供的SSLVPN中远程接入终端上业务报文的处理方法,在远程接入终端安装VPN服务器端模块,通过VPN服务器端模块实现现有技术中虚拟网卡的接收远程接入终端发送的业务访问数据的功能,可以免去现有技术中安装虚拟网卡所需要的最高系统权限;并且,通过调用所述VPN客户端模块修改所述远程接入终端上的路由表,可以利用远程接入终端在出厂时预置的VPN客户端模块具有的系统最高权限,从而避免现有技术中修改路由表时获取系统最高权限的步骤,降低建立SSLVPN连接过程的复杂程度和技术实现难度。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的SSLVPN中远程接入终端上业务报文的处理方法实施例1的流程图;
图2为本发明的SSLVPN中远程接入终端上业务报文的处理方法实施例2的流程图;
图3为本发明的SSLVPN中远程接入终端上业务报文的处理方法实施例3的流程图;
图4为本发明实施例中,所述VPN服务器端模块与所述VPN客户端模块建立VPN连接SSLVPN中远程接入终端上业务报文的处理方法的流程图;
图5为本发明实施例中的业务报文通过图4建立的SSLVPN连接从应用软件客户端发送到应用服务器的流程图;
图6为本发明的远程接入终端实施例1的结构图;
图7为本发明的远程接入终端实施例2的结构图;
图8为本发明的远程接入终端实施例3的结构图;
图9为本发明提供的另一种远程接入终端的结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
本发明的SSLVPN中远程接入终端上业务报文的处理方法,应用于远程接入终端与服务器之间的通信。所述远程接入终端可以是手机,平板电脑或笔记本电脑。所述远程接入终端内置有VPN客户端模块。不同的远程接入终端的VPN客户端模块可以支持不同的VPN协议。所述VPN协议可以包括:点到点隧道协议(Point to Point Tunneling Protocol,PPTP)、第二层隧道协议(Layer 2Tunneling Protocol,L2TP)、Internet协议安全性(Internet Protocol Security,IPSec)协议或L2TP over IPSec(在IPSec协议的基础上承载L2TP协议,是两种协议的联合应用)协议等等。本发明实施例提供的方法,预先在所述远程接入终端安装VPN服务器端模块,所述VPN服务器端模块至少支持所述VPN客户端模块的VPN协议。
所述VPN服务器端模块的作用在于接收应用软件生成的业务访问数据。所述远程接入终端可以安装多个应用软件。当所述应用软件产生的业务访问数据需要以安全的方式传输时,就可以采用本发明实施例的方法建立的虚拟专用网络连接传输数据。
本发明实施例中的所述远程接入终端包括VPN客户端模块、VPN服务器端模块、SSLVPN处理模块,所述远程接入终端通过网络与SSLVPN网关连接。
图1为本发明的SSLVPN中远程接入终端上业务报文的处理方法实施例1的流程图。如图1所示,所述方法包括:
步骤101:所述VPN服务器端模块在转发来自于所述VPN客户端模块的业务报文之前,启动所述VPN客户端模块执行修改所述远程接入终端上的路由表的操作,以便所述远程接入终端中的应用软件将目的地址为SSLVPN网关的业务报文路由至所述VPN客户端模块;
VPN客户端模块通常是在出厂之前就安装在所述远程接入终端中的。VPN客户端模块具有预先设定好的行为逻辑。该行为逻辑包括:当VPN客户端模块启动时,对所述远程接入终端上的路由表进行修改,以使应用软件将特定的目的地址的业务报文路由至所述VPN客户端模块。在本发明实施例中,应用软件可以将目的地址为SSLVPN网关的业务报文路由至所述VPN客户端模块。由于VPN客户端模块的行为逻辑是预先设定好的,VPN客户端模块本身就具有足够的系统管理权限,所以调用VPN客户端模块修改路由表,无需提供额外的权限。
需要说明的是,步骤101相当于一个预处理步骤,可以在转发业务报文之前,修改所述远程接入终端上的路由表。通常,所述VPN客户端模块的地址为127.0.0.1,因此可以将所述路由表中将目的地址为SSLVPN网关的业务报文的路由的第一跳修改为127.0.0.1。
步骤102:所述VPN服务器端模块接收所述VPN客户端模块发送来的所述业务报文;
所述VPN客户端模块发送来的所述业务报文,是所述远程接入终端上的应用程序按照所述路由表,将目的地址为SSLVPN网关的业务报文发送至所述VPN客户端模块的。
因为通常公网中的内容是不需要经过SSLVPN这种安全访问技术处理的,所以,本发明实施例的方法在所述远程接入终端中的应用软件将目的地址为SSLVPN网关的业务报文路由至所述VPN客户端模块之前,还可以包括:
判断所述业务报文的目的地址是否为SSLVPN网关的地址;
如果是,则执行将所述业务报文路由至所述VPN客户端模块的步骤;
否则,将所述业务报文路由至所述远程接入终端的物理网卡,以便通过所述物理网卡将所述业务报文发送至公网中的服务器。
步骤103:所述VPN服务器端模块将所述业务报文转发给SSLVPN处理模块,以便所述SSLVPN处理模块对所述业务报文进行地址转换后发送至所述SSLVPN网关。
实际应用中,SSLVPN处理模块与SSLVPN网关之间可以建立SSL连接。所述地址转换是指,将所述SSLVPN网关的公网地址添加在所述业务报文的相应字段中。因为对于SSLVPN处理模块与VPN服务器端模块而言,VPN服务器端模块会根据业务报文中的虚拟地址将业务报文发送至SSLVPN处理模块。所述虚拟地址是由SSLVPN网关分配给SSLVPN处理模块的。所以,SSLVPN处理模块需要将所述SSLVPN网关的公网地址添加在所述业务报文的相应字段中,以便将所述业务报文发送至所述SSLVPN网关。
综上所述,本实施例中,在远程接入终端安装VPN服务器端模块,通过VPN服务器端模块实现现有技术中虚拟网卡的接收远程接入终端发送的业务访问数据的功能,可以免去现有技术中安装虚拟网卡所需要的最高系统权限;并且,通过调用所述VPN客户端模块修改所述远程接入终端上的路由表,可以利用远程接入终端在出厂时预置的VPN客户端模块具有的系统最高权限,从而避免现有技术中修改路由表时获取系统最高权限的步骤,降低建立SSLVPN连接过程的复杂程度和技术实现难度。
图2为本发明的SSLVPN中远程接入终端上业务报文的处理方法实施例2的流程图。如图2所示,所述方法包括:
步骤201:所述VPN服务器端模块在转发来自于所述VPN客户端模块的业务报文之前,启动所述VPN客户端模块执行修改所述远程接入终端上的路由表的操作,以便所述远程接入终端中的应用软件将目的地址为SSLVPN网关的业务报文路由至所述VPN客户端模块;
步骤202:所述远程接入终端上的应用程序按照所述路由表,将目的地址为SSLVPN网关的业务报文发送至所述VPN客户端模块;
步骤203:所述VPN服务器端模块接收所述VPN客户端模块发送来的所述业务报文;
步骤204:所述VPN服务器端模块将所述业务报文发送至所述SSLVPN处理模块;
步骤205:所述SSLVPN处理模块对所述业务报文按照SSL协议进行加密,并将所述SSLVPN网关的公网地址作为目的地址封装在所述业务报文中;
步骤206:所述SSLVPN处理模块将加密封装得到的业务报文发送至所述SSLVPN网关。
图3为本发明的SSLVPN中远程接入终端上业务报文的处理方法实施例3的流程图。如图3所示,所述方法包括:
步骤301:所述VPN服务器端模块与所述VPN客户端模块建立VPN连接;
步骤302:所述VPN服务器端模块在转发来自于所述VPN客户端模块的业务报文之前,启动所述VPN客户端模块执行修改所述远程接入终端上的路由表的操作,以便所述远程接入终端中的应用软件将目的地址为SSLVPN网关的业务报文路由至所述VPN客户端模块;
步骤303:所述远程接入终端上的应用程序按照所述路由表,判断所述业务报文的目的地址是否为SSLVPN网关的地址;如果是,执行步骤304,否则,执行步骤305;
步骤304:将目的地址为SSLVPN网关的业务报文发送至所述VPN客户端模块;
步骤305:将所述业务报文路由至所述远程接入终端的物理网卡,以便通过所述物理网卡将所述业务报文发送至公网中的服务器。
步骤306:所述VPN服务器端模块接收所述VPN客户端模块发送来的所述业务报文;
步骤307:所述VPN服务器端模块将所述业务报文发送至所述SSLVPN处理模块;
步骤308:所述SSLVPN处理模块对所述业务报文按照SSL协议进行加密,并将所述SSLVPN网关的公网地址作为目的地址封装在所述业务报文中;
步骤309:所述SSLVPN处理模块将加密封装得到的业务报文发送至所述SSLVPN网关。
可选地,上述实施例中,所述VPN服务器端模块与所述VPN客户端模块建立VPN连接,可以包括:
所述SSLVPN处理模块向所述VPN服务器端模块发起第一启动指令;
向所述VPN服务器端模块发起的第一启动指令可以包括一个开启VPN服务器端模块功能的指令,以及所述SSLVPN处理模块的虚拟IP地址;
所述虚拟IP地址的作用是,使VPN服务器端模块在接收到VPN客户端模块发送来的业务报文后,按照所述虚拟IP地址将所述业务报文发送至SSLVPN处理模块。
所述SSLVPN处理模块向所述VPN客户端模块发起第二启动指令;
向所述VPN客户端模块发起的第二启动指令,用于控制所述VPN客户端模块开始创建VPN连接,例如L2TP隧道。
根据所述第一启动指令和所述第二启动指令,在所述VPN服务器端模块与所述VPN客户端模块之间建立VPN连接。VPN客户端模块可以遵循协议指定的VPN协议规范定义的步骤发起建立VPN隧道的请求报文。VPN服务器端模块可以按照VPN协议规范定义的步骤响应VPN客户端模块的请求。
图4为本发明实施例中,所述VPN服务器端模块与所述VPN客户端模块建立VPN连接的流程图。本实施例中,所述VPN客户端支持的协议为L2TP协议。当VPN客户端支持的协议为PPTP协议、IPSec协议或L2TP over IPSec协议时,其流程相似。如图4所示,所述方法包括:
步骤401:SSLVPN处理模块和SSLVPN网关建立SSL连接。建立SSL连接的过程为RFC4346定义的标准流程,此处不再赘述。RFC4346为传输层安全协议的1.1版本(TheTransport Layer Security Protocol Version1.1)。
步骤402:SSLVPN处理模块向SSLVPN网关发起请求,请求获得由SSLVPN网关分配的虚拟IP地址。
步骤403:SSLVPN网关从虚拟IP地址池中分配一个虚拟IP地址并返回给SSLVPN处理模块。
步骤404:SSLVPN处理模块向VPN服务器端模块发起第一启动指令,并将虚拟IP地址作为参数传递给VPN服务器端模块。
所述虚拟IP地址的作用是,使VPN服务器端模块在接收到VPN客户端模块发送来的业务报文后,按照所述虚拟IP地址将所述业务报文发送至SSLVPN处理模块。
步骤405:SSLVPN处理模块向内置的支持L2TP协议的VPN客户端模块发起第二启动指令。
步骤406:VPN客户端模块和VPN服务器端模块之间建立L2TP隧道。建立L2TP隧道的过程为RFC标准流程,此处不再赘述。当L2TP隧道建立后,内置的VPN客户端模块将在远程接入终端上修改其路由表,将远程接入终端上的默认路由网关设置为VPN客户端模块。
上述步骤完成之后,远程接入终端和SSLVPN网关之间的SSLVPN连接已经建立完成。
图5为本发明的中的业务报文通过图4建立的SSLVPN连接从应用软件客户端发送到应用服务器的的流程图。所述流程包括:
步骤501:当应用软件客户端访问应用服务器时,应用软件客户端发出的业务访问报文将发送到内置的VPN客户端模块。
步骤502:内置的VPN客户端模块将业务访问报文封装成L2TP格式,并通过L2TP隧道发送给VPN服务器端模块。
步骤503:VPN服务器端模块将业务访问报文从L2TP隧道中读取出来,并通过VPN服务器端模块与SSLVPN处理模块之间的数据传递通道传递给SSLVPN处理模块。
步骤504:SSLVPN处理模块将业务访问报文进行SSL协议处理,封装成SSLVPN格式后,发送至SSLVPN网关上。
步骤505:SSLVPN网关将业务访问数据从SSLVPN隧道中读取出来并发送到应用服务器上。
上述流程描述了业务访问报文从应用软件客户端发送到应用服务器的处理过程。应用服务器返回给应用软件客户端的业务访问报文处理过程与上述流程刚好相反,此处不再赘述。
本发明还公开了一种远程接入终端。所述远程接入终端包括VPN客户端模块、VPN服务器端模块、SSLVPN处理模块,所述远程接入终端通过网络与SSLVPN网关连接。所述远程接入终端内置有VPN客户端模块,所述远程接入终端预先安装有VPN服务器端模块,所述VPN服务器端模块至少支持所述VPN客户端模块的VPN协议。
图6为本发明的远程接入终端实施例1的结构图。如图6所示,所述远程接入终端包括:
VPN客户端模块601、VPN服务器端模块602和SSLVPN处理模块603。
所述VPN服务器端模块602,用于在转发来自于所述VPN客户端模块601的业务报文之前,启动所述VPN客户端模块601执行修改所述远程接入终端上的路由表的操作,以便所述远程接入终端中的应用软件将目的地址为SSLVPN网关的业务报文路由至所述VPN客户端模块601;
接收所述VPN客户端模块601发送来的所述业务报文;
将所述业务报文转发给SSLVPN处理模块603,以便所述SSLVPN处理模块603对所述业务报文进行地址转换后发送至所述SSLVPN网关。
具体的,所述VPN服务器端模块602可以包括:
路由表修改单元,用于在转发来自于所述VPN客户端模块601的业务报文之前,启动所述VPN客户端模块601执行修改所述远程接入终端上的路由表的操作,以便所述远程接入终端中的应用软件将目的地址为SSLVPN网关的业务报文路由至所述VPN客户端模块601;
接收单元,用于接收所述VPN客户端模块601发送来的所述业务报文;
发送单元,用于将接收单元接收的所述业务报文转发给SSLVPN处理模块603,以便所述SSLVPN处理模块603对所述业务报文进行地址转换后发送至所述SSLVPN网关。
综上所述,本实施例中,在远程接入终端安装VPN服务器端模块,通过VPN服务器端模块实现现有技术中虚拟网卡的接收远程接入终端发送的业务访问数据的功能,可以免去现有技术中安装虚拟网卡所需要的最高系统权限;并且,通过调用所述VPN客户端模块修改所述远程接入终端上的路由表,可以利用远程接入终端在出厂时预置的VPN客户端模块具有的系统最高权限,从而避免现有技术中修改路由表时获取系统最高权限的步骤,降低建立SSLVPN连接过程的复杂程度和技术实现难度。
图7为本发明的远程接入终端实施例2的结构图。如图7所示,可选地,所述远程接入终端还包括:
应用程序控制模块701,用于控制所述远程接入终端上的应用程序按照所述路由表,将目的地址为SSLVPN网关的业务报文发送至所述VPN客户端模块。
所述SSLVPN处理模块603包括:
报文处理单元702,用于对所述VPN服务器端模块发来的业务报文按照SSL协议进行加密,并将所述SSLVPN网关的公网地址作为目的地址封装在所述业务报文中;
发送单元703,用于将报文处理单元702加密封装得到的业务报文发送至所述SSLVPN网关。
图8为本发明的远程接入终端实施例3的结构图。如图8所示,所述远程接入终端还包括:
路由控制模块801,用于在所述远程接入终端中的应用软件将目的地址为SSLVPN网关的业务报文路由至所述VPN客户端模块之前,判断所述业务报文的目的地址是否为SSLVPN网关的地址;
当所述报文目的地址判断单元的判断结果为是时,执行将所述业务报文路由至所述VPN客户端模块的步骤;
当所述报文目的地址判断单元的判断结果为否时,将所述业务报文路由至所述远程接入终端的物理网卡,以便通过所述物理网卡将所述业务报文发送至公网中的服务器。
图9为本发明提供的另一种远程接入终端的结构图。如图9所示,所述远程接入终端900包括:包括存储器901和处理器902,其中:
所述存储器901被配置存储代码903;
所述处理器902被配置读取所述存储器901中存储的代码,执行本发明所提供的SSLVPN中远程接入终端上业务报文的处理方法。
处理器902,通信接口905,存储器901通过总线904完成相互间的通信。
具体地,所述代码包括计算机操作指令。
处理器902可能是一个中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。
存储器901,可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
所述代码被执行后可以实现:
VPN客户端模块601、VPN服务器端模块602和SSLVPN处理模块603。
所述VPN服务器端模块602,用于在转发来自于所述VPN客户端模块601的业务报文之前,启动所述VPN客户端模块601执行修改所述远程接入终端上的路由表的操作,以便所述远程接入终端中的应用软件将目的地址为SSLVPN网关的业务报文路由至所述VPN客户端模块601;
接收所述VPN客户端模块601发送来的所述业务报文;
将所述业务报文转发给SSLVPN处理模块603,以便所述SSLVPN处理模块603对所述业务报文进行地址转换后发送至所述SSLVPN网关。
代码中各单元的具体实现参见图6-图8所示实施例中的相应单元,在此不赘述。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的硬件平台的方式来实现,当然也可以全部通过硬件来实施,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案对背景技术做出贡献的全部或者部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的终端而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。

Claims (11)

1.一种SSLVPN中远程接入终端上业务报文的处理方法,其特征在于,所述远程接入终端包括VPN客户端模块、VPN服务器端模块、SSLVPN处理模块,所述远程接入终端通过网络与SSLVPN网关连接;所述方法包括:
所述VPN服务器端模块在转发来自于所述VPN客户端模块的业务报文之前,启动所述VPN客户端模块执行修改所述远程接入终端上的路由表的操作,以便所述远程接入终端中的应用软件将目的地址为所述SSLVPN网关的业务报文路由至所述VPN客户端模块;
所述VPN服务器端模块接收所述VPN客户端模块发送来的所述业务报文;
所述VPN服务器端模块将所述业务报文转发给所述SSLVPN处理模块,以便所述SSLVPN处理模块对所述业务报文进行地址转换后发送至所述SSLVPN网关。
2.根据权利要求1所述的方法,其特征在于,路由至所述VPN客户端模块的业务报文,是所述应用程序按照所述路由表,将目的地址为SSLVPN网关的业务报文发送至所述VPN客户端模块的。
3.根据权利要求1所述的方法,其特征在于,所述将所述业务报文转发给SSLVPN处理模块,以便所述SSLVPN处理模块对所述业务报文进行地址转换后发送至所述SSLVPN网关,包括:
所述VPN服务器端模块将所述业务报文发送至所述SSLVPN处理模块;
所述SSLVPN处理模块对所述业务报文按照SSL协议进行加密,并将所述SSLVPN网关的公网地址作为目的地址封装在所述业务报文中;
所述SSLVPN处理模块将加密封装得到的业务报文发送至所述SSLVPN网关。
4.根据权利要求1所述的方法,其特征在于,所述VPN服务器端模块启动所述VPN客户端模块之前,还包括:
所述VPN服务器端模块与所述VPN客户端模块建立VPN连接;
所述接收所述VPN客户端模块发送来的所述业务报文,具体为:
通过所述VPN连接,接收所述VPN客户端模块发送来的所述业务报文。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述远程接入终端中的应用软件将目的地址为SSLVPN网关的业务报文路由至所述VPN客户端模块之前,还包括:
所述应用软件判断所述业务报文的目的地址是否为SSLVPN网关的地址;
如果是,则执行将所述业务报文路由至所述VPN客户端模块的步骤;
否则,将所述业务报文路由至所述远程接入终端的物理网卡,以便通过所述物理网卡将所述业务报文发送至公网中的服务器。
6.一种远程接入终端,其特征在于,包括VPN客户端模块、VPN服务器端模块、SSLVPN处理模块,所述远程接入终端通过网络与SSLVPN网关连接;
所述VPN服务器端模块包括:
路由表修改单元,用于在转发来自于所述VPN客户端模块的业务报文之前,启动所述VPN客户端模块执行修改所述远程接入终端上的路由表的操作,以便所述远程接入终端中的应用软件将目的地址为所述SSLVPN网关的业务报文路由至所述VPN客户端模块;
接收单元,用于接收所述VPN客户端模块发送来的所述业务报文;
发送单元,用于将接收单元接收的所述业务报文转发给所述SSLVPN处理模块,以便所述SSLVPN处理模块对所述业务报文进行地址转换后发送至所述SSLVPN网关。
7.根据权利要求6所述的终端,其特征在于,还包括:
应用程序控制模块,用于控制所述远程接入终端上的应用程序按照所述路由表,将目的地址为SSLVPN网关的业务报文发送至所述VPN客户端模块。
8.根据权利要求6所述的终端,其特征在于,所述SSLVPN处理模块包括:
报文处理单元,用于对所述VPN服务器端模块发来的业务报文按照SSL协议进行加密,并将所述SSLVPN网关的公网地址作为目的地址封装在所述业务报文中;
发送单元,用于将报文处理单元加密封装得到的业务报文发送至所述SSLVPN网关。
9.根据权利要求6所述的终端,其特征在于,
所述SSLVPN处理模块包括:
第一指令发送单元,用于向所述VPN服务器端模块发起第一启动指令;
第二指令发送单元,用于向所述VPN客户端模块发起第二启动指令;
所述第一启动指令用于开启所述VPN服务器端模块,所述第二启动指令,用于控制所述VPN客户端模块开始创建VPN连接;
所述VPN服务器模块通过创建的所述VPN连接,接收所述VPN客户端模块发送来的所述业务报文。
10.根据权利要求6至9任一项所述的终端,其特征在于,还包括:
路由控制模块,用于在所述远程接入终端中的应用软件将目的地址为SSLVPN网关的业务报文路由至所述VPN客户端模块之前,判断所述业务报文的目的地址是否为SSLVPN网关的地址;当所述报文目的地址判断单元的判断结果为是时,执行将所述业务报文路由至所述VPN客户端模块的步骤;
当所述报文目的地址判断单元的判断结果为否时,将所述业务报文路由至所述远程接入终端的物理网卡,以便通过所述物理网卡将所述业务报文发送至公网中的服务器。
11.一种远程接入终端,其特征在于,包括存储器和处理器,其中:
所述存储器被配置存储代码;
所述处理器被配置读取所述存储器中存储的代码,执行如权利要求1-5任一项所述的方法。
CN201280021589.2A 2012-10-26 2012-10-26 远程接入终端上业务报文的处理方法和远程接入终端 Active CN104025541B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2012/083596 WO2014063357A1 (zh) 2012-10-26 2012-10-26 远程接入终端上业务报文的处理方法和远程接入终端

Publications (2)

Publication Number Publication Date
CN104025541A CN104025541A (zh) 2014-09-03
CN104025541B true CN104025541B (zh) 2016-12-28

Family

ID=50543902

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201280021589.2A Active CN104025541B (zh) 2012-10-26 2012-10-26 远程接入终端上业务报文的处理方法和远程接入终端

Country Status (2)

Country Link
CN (1) CN104025541B (zh)
WO (1) WO2014063357A1 (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111490924A (zh) * 2020-04-24 2020-08-04 上海裕日软件有限公司 一种便捷式远程网络路由系统及其建立方法
CN113177195A (zh) * 2021-04-29 2021-07-27 杭州迪普科技股份有限公司 客户端接入方法、登陆服务模块、客户端及系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101729543A (zh) * 2009-12-04 2010-06-09 同济大学 利用异地Socks5技术改善移动SSL VPN性能的方法
CN102149133A (zh) * 2010-02-10 2011-08-10 广州科讯技术有限公司 一种移动通信网络业务接入系统及方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101729543A (zh) * 2009-12-04 2010-06-09 同济大学 利用异地Socks5技术改善移动SSL VPN性能的方法
CN102149133A (zh) * 2010-02-10 2011-08-10 广州科讯技术有限公司 一种移动通信网络业务接入系统及方法

Also Published As

Publication number Publication date
WO2014063357A1 (zh) 2014-05-01
CN104025541A (zh) 2014-09-03

Similar Documents

Publication Publication Date Title
CN103621046B (zh) 网络通信方法和装置
CN103023898B (zh) 一种访问vpn服务端内网资源的方法及装置
CN102257760B (zh) 安全远程接入公共通信环境
CN110535653A (zh) 一种安全的配电终端及其通讯方法
CN105100095A (zh) 移动终端应用程序安全交互方法及装置
US8762725B2 (en) Secure machine-to-machine communication protocol
CN106209838A (zh) Ssl vpn的ip接入方法及装置
CN109922160A (zh) 一种基于电力物联网的终端安全接入方法、装置及系统
CN103168458B (zh) 用于防操纵的密钥管理的方法和装置
CN111245699B (zh) 远程通信服务控制方法、服务器及客户端
CN102884761A (zh) 用于云计算的虚拟交换覆盖
CN105610675A (zh) 一种虚拟vpn网关的创建方法及装置
CN1949705B (zh) 一种用于安全访问专用局域网的动态隧道构建方法及用于该方法的装置
KR20150086529A (ko) Ip 패킷 처리 방법 및 장치, 및 네트워크 시스템
CN102348210A (zh) 一种安全性移动办公的方法和移动安全设备
CN104980924A (zh) 无线网络的基于硬件的许可
CN104025541B (zh) 远程接入终端上业务报文的处理方法和远程接入终端
CN106341815A (zh) 一种无线连接方法、终端及ap
CN104468519B (zh) 一种嵌入式电力安全防护终端加密装置
CN104954339B (zh) 一种电力应急抢修远程通信方法及系统
US20180262502A1 (en) Method for operating an industrial network and industrial network
CN104426735B (zh) 一种建立虚拟专用网络连接的方法及装置
CN102917081A (zh) Vpn客户端ip地址的分配方法、报文传输方法及vpn服务器
CN110519729A (zh) 一种网络权限的控制方法、系统、计算机设备和存储介质
CN101540946A (zh) 金融网点终端无线远程自动上下线系统及方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant