CN106713320B - 终端数据传输的方法和装置 - Google Patents
终端数据传输的方法和装置 Download PDFInfo
- Publication number
- CN106713320B CN106713320B CN201611209537.4A CN201611209537A CN106713320B CN 106713320 B CN106713320 B CN 106713320B CN 201611209537 A CN201611209537 A CN 201611209537A CN 106713320 B CN106713320 B CN 106713320B
- Authority
- CN
- China
- Prior art keywords
- data packet
- network
- target application
- vpn service
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/161—Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
- H04L69/162—Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields involving adaptations of sockets based mechanisms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种终端数据传输的方法和装置,包括:通过虚拟专用网络VPN服务在网络层拦截发送至虚拟网络接口的网络协议数据包,获取所述VPN服务对应的文件描述符;根据所述文件描述符读取所述网络协议数据包,将所述网络协议数据包转换为传输层协议数据包;将所述传输层协议数据包加密得到加密数据包,将所述加密数据包从传输层网络发送至中转服务器,以使所述中转服务器将所述加密数据包解密后转发至对应的目标服务器,不需要获取系统权限也能提高终端数据传输的安全性。
Description
技术领域
本发明涉及计算机技术领域,特别是涉及一种终端数据传输的方法和装置。
背景技术
随着计算机技术的发展,通过互联网获取信息,进行学习、工作越来越普遍。在用户联网的过程中,如果连接到不安全的网络,则不法分子可利用ARP(Address ResolutionProtocol,地址解析协议)攻击等手段来获取用户的帐号、密码等信息。
传统的网络数据传输时如果需要在终端加强传输的安全性,往往需要用户授予ROOT权限对终端的传输过程进行处理,获得ROOT权限之后就获得了系统的最高权限,可以对系统中的任何文件,包括系统文件执行操作,存在安全隐患。
发明内容
基于此,有必要针对上述技术问题,提供一种数据传输的方法和装置,不需要获取系统权限也能提高终端数据传输的安全性。
一种终端数据传输的方法,所述方法包括:
通过虚拟专用网络VPN服务在网络层拦截发送至虚拟网络接口的网络协议数据包,获取所述VPN服务对应的文件描述符;
根据所述文件描述符读取所述网络协议数据包,将所述网络协议数据包转换为传输层协议数据包;
将所述传输层协议数据包加密得到加密数据包,将所述加密数据包从传输层网络发送至中转服务器,以使所述中转服务器将所述加密数据包解密后转发至对应的目标服务器。
一种终端数据传输的装置,所述装置包括:
拦截模块,用于通过虚拟专用网络VPN服务在网络层拦截发送至虚拟网络接口的网络协议数据包,获取所述VPN服务对应的文件描述符;
转换模块,用于根据所述文件描述符读取所述网络协议数据包,将所述网络协议数据包转换为传输层协议数据包;
加密传输模块,用于将所述传输层协议数据包加密得到加密数据包,将所述加密数据包从传输层网络发送至中转服务器,以使所述中转服务器将所述加密数据包解密后转发至对应的目标服务器。
上述终端数据传输的方法和装置,通过虚拟专用网络VPN服务在网络层拦截发送至虚拟网络接口的网络协议数据包,获取VPN服务对应的文件描述符,根据文件描述符读取网络协议数据包,将网络协议数据包转换为传输层协议数据包,将传输层协议数据包加密得到加密数据包,将加密数据包从传输层网络发送至中转服务器,以使中转服务器将所述加密数据包解密后转发至对应的目标服务器,通过VPN服务建立虚拟网络接口,在网络层拦截发送至虚拟网络接口的网络协议数据包,再进行数据包格式的转换从而对数据包进行加密,而不是直接将传输层协议数据包进行加密,不需要获取系统权限也能对数据包进行加密后再传输,控制数据包在终端传输的具体方式,提高终端数据传输的安全性。
附图说明
图1为一个实施例中终端数据传输的方法的应用环境图;
图2为一个实施例中图1中终端的内部结构图;
图3为一个实施例中终端数据传输的方法的流程图;
图4为一个实施例中网络7层协议示意图;
图5为一个实施例中终端数据传输的方法的数据流向示意图;
图6为一个实施例中加密数据包的流程图;
图7为一个实施例中终端数据传输的装置的结构框图;
图8为另一个实施例中终端数据传输的装置的结构框图;
图9为再一个实施例中终端数据传输的装置的结构框图;
图10为又一个实施例中终端数据传输的装置的结构框图;
图11为一个具体的实施例中终端数据传输具体过程示意图。
具体实施方式
图1为一个数据传输的方法运行的应用环境图。如图1所示,该应用环境包括终端110、中转服务器120、第一服务器130,其中终端110、中转服务器120和第一服务器130通过网络进行通信。
终端110,可为智能手机、平板电脑、笔记本电脑、台式计算机等,但并不局限于此。终端110通过VPN服务将从虚拟网络接口发送的网络协议IP数据包转换为传输层协议数据包并加密后从传输层网络发送至中转服务器120,中转服务器120解密后发送至第一服务器130,通过VPN服务拦截IP数据包再转换为传输层协议数据包,不需要ROOT权限就可加密数据包并从传输层网络发送至中转服务器,提高终端数据传输的安全性。
在一个实施例中,图1中的终端110的内部结构如图2所示,该终端110包括通过系统总线连接的处理器、图形处理单元、存储介质、内存、网络接口、显示屏幕和输入设备。其中,终端110的存储介质存储有操作系统,还包括终端数据传输的装置,该装置用于实现一种适用于终端的终端数据传输的方法。该处理器用于提供计算和控制能力,支撑整个终端110的运行。终端110中的图形处理单元用于至少提供显示界面的绘制能力,内存为存储介质中的终端数据传输的装置的运行提供环境,网络接口用于与中转服务器120进行网络通信,如向中转服务器120发送数据包等。显示屏幕用于显示应用界面等,输入设备用于接收用户输入的命令或数据等。对于带触摸屏的终端110,显示屏幕和输入设备可为触摸屏。图2中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的终端的限定,具体的终端可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
如图3所示,在一个实施例中,提供了一种终端数据传输的方法,以应用于上述应用环境中的终端来举例说明,结合图4网络7层协议结构,包括如下步骤:
步骤S210,通过虚拟专用网络VPN服务在网络层拦截发送至虚拟网络接口的网络协议数据包,获取VPN服务对应的文件描述符。
具体的,VPN(Virtual Private Network,虚拟专用网络)服务帮助在终端上建立VPN连接,如果是Android系统,则可通过Android系统支付的VpnService接口API实现VPN服务。使用这个VpnService接口使得应用程序启动自己的VPN而不需要终端本身获得ROOT权限。网络层是OSI参考模型中的第三层,介于传输层和数据链路层之间,它在数据链路层提供的两个相邻端点之间的数据帧的传送功能上,进一步管理网络中的数据通信,将数据设法从源端经过若干个中间节点传送到目的端,从而向传输层提供最基本的端到端的数据传送服务。可根据需要只将预设应用对应的网络协议数据包发送至虚拟网络接口,从而从虚拟网络接口拦截到的网络协议数据包是目标应用发出,达到拦截的可配置性,而其余应用对应的网络协议数据包可直接从网络层发送至目标服务器。VPN服务创建一个虚拟网络接口,配置接口的IP地址,路由规则,需要拦截的数据包都会发送至这个虚拟网络接口,由于虚拟网络接口运行在IP(Internet Protocol,网络协议)层,所以每个数据包都是网络协议IP数据包。文件描述符在形式上是一个非负整数,是一个索引值,指向内核为每一个进程所维护的该进程打开文件的记录表,当程序打开一个现有文件或者创建一个新文件时,内核向进程返回一个文件描述符。VPN服务有对应的文件描述符,此文件描述符相当于文件路径,此文件路径对应了一个文件,通过文件描述符可以读取由虚拟网络接口转发的数据包,同时也可以向文件描述符对应的文件中写入数据包。
步骤S220,根据文件描述符读取网络协议数据包,将网络协议数据包转换为传输层协议数据包。
具体的,从虚拟网络接口转发数据包都写入了文件描述符对应的文件,从而可根据文件描述符得到对应的文件,从文件中读取网络协议IP数据包,解析IP数据包,再重新打包成传输层协议如TCP或UDP协议的数据包。
步骤S230,将传输层协议数据包加密得到加密数据包,将加密数据包从传输层网络发送至中转服务器,以使中转服务器将加密数据包解密后转发至对应的目标服务器。
具体的,加密的算法可根据需要自定义,可采用动态密钥的算法进行加密,中转服务器与终端约定了加密解密算法,从而中转服务器可对加密的数据包进行解密得到原始数据包,将原始数据包转发至目标服务器。将加密数据包从传输层网络发送至中转服务器时,可采用不同的传输层协议,如使用SOCKS代理与中转服务器通信,目标服务器返回的数据包经中转服务器再通过原来的SOCKS代理通道发送回终端。传输层(Transport Layer)是ISOOSI协议的第四层协议,实现端到端的数据传输。该层是两台计算机经过网络进行数据通信时,第一个端到端的层次,具有缓冲作用。当网络层服务质量不能满足要求时,它将服务加以提高,以满足高层的要求;当网络层服务质量较好时,它只用很少的工作。传输层还可进行复用,即在一个网络连接上创建多个逻辑连接。传输层在终端用户之间提供透明的数据传输,向上层提供可靠的数据传输服务。一些协议是面向链接的,传输层能保持对分段的跟踪,并且重传失败的分段。socks代理是指采用socks协议的代理服务器,即SOCKS服务器,是一种通用的代理服务器,支持多种协议,包括http、ftp请求及其它类型的请求,分socks 4和socks 5两种类型,socks 4只支持TCP协议而socks 5支持TCP/UDP协议,还支持各种身份验证机制等。
本实施例中,通过虚拟专用网络VPN服务在网络层拦截发送至虚拟网络接口的网络协议数据包,获取所述VPN服务对应的文件描述符,根据文件描述符读取网络协议数据包,将网络协议数据包转换为传输层协议数据包,将传输层协议数据包加密得到加密数据包,将加密数据包从传输层网络发送至中转服务器,以使中转服务器将所述加密数据包解密后转发至对应的目标服务器,通过VPN服务建立虚拟网络接口,在网络层拦截发送至虚拟网络接口的网络协议数据包,再进行数据包格式的转换从而对数据包进行加密,而不是直接将传输层协议数据包进行加密,不需要获取系统权限也能对数据包进行加密后再传输,控制数据包在终端传输的具体方式,提高终端数据传输的安全性。
在一个实施例中,步骤S210之前,还包括:获取VPN服务开启指令,VPN服务开启指令携带目标应用信息,根据VPN服务开启指令创建虚拟网络接口,向所述目标应用信息对应的目标应用返回文件描述符。
具体的,目标应用信息用于确定目标应用,只有目标应用的流量才会被拦截,可通过对预设虚拟按键的操作获取VPN服务开启指令,可在专门管理流量的应用中生成VPN服务开启指令,而目标应用是被管理流量,保证传输安全性的应用。VPN服务开启指令创建虚拟网络接口,开启VPN服务,并为VPN服务分配对应的文件描述符,从而后续将拦截网络协议数据包写入文件描述符对应的文件。
步骤S210包括:通过VPN服务在网络层拦截目标应用发送至虚拟网络接口的网络协议数据包。
具体的,只有目标应用对应的网络协议数据包才会发送至虚拟网络接口,从而在网络层被拦截,通过后续的步骤转换为加密的传输层协议数据包并从传输层网络发送至中转服务器,而非目标应用则仍然从网络层直接将网络协议数据包发送至中转服务器,如图5所示为一个具体的实施例中目标应用和非目标应用数据传输示意图,终端中包括自定义的非目标应用111和目标应用112,非目标应用111发送的IP数据包直接通过网络层发送至目标服务器130,目标应用112发送的IP数据包发送至虚拟网络接口通过虚拟专用网络VPN服务在网络层拦截,将IP数据包转换为TCP/UDP数据包后通过加密SOCKS协议发送至中转服务器120,中转服务器120解码得以原始数据包再发送至目标服务器130。用户可以自己定义想要保护的应用,提高传输的安全性,避免了因为使用全局VPN,服务器承受用户所有应用的流量,导致服务器资源浪费。
在一个实施例中,步骤S210之前还包括:配置目标应用信息,根据所述目标应用信息生成VPN服务开启指令。
具体的,可根据需要自行配置目标应用信息,可在候选保护列表中选择需要保护的目标应用,也可自行添加候选保护列表中不存在的目标应用,达到配置的灵活方便性,生成对应的携带目标应用信息的VPN服务开启指令。可避免目标保护应用不在候选保护列表且不能添加导致用户存在应用不能受到保护的情形。在一个实施例中,判断VPN服务开启指令是否为首次生成,如果是,则获取默认目标应用信息,根据所述默认目标应用信息生成VPN服务开启指令,如果不是,则生成并展示应用信息配置界面,接收对应用信息配置界面的操作获取目标应用信息,根据目标应用信息生成VPN服务开启指令。
在一个实施例中,配置目标应用信息之前还包括:检测网络的安全指数,如果安全指数达到预设条件,则生成VPN服务关闭指令,否则进入配置目标应用信息的步骤。
具体的,可通过检测网络层的数据包是否加密来检测网络的安全指数,如果没有加密,则网络安全指数低,如果没有达到安全指数阈值,则需要生成VPN服务开启指令,以提高数据传输的安全性。如果达到安全指数阈值,则不需要VPN服务,可直接传输数据。可为不同的应用设置不同的安全指数阈值,从而根据当前安全指数与安全指数阈值自动开启或关闭VPN服务,提高数据传输安全保障的智能性。
在一个实施例中,配置目标应用信息,根据目标应用信息生成VPN服务开启指令的步骤包括:通过作用于管理应用的界面的操作选择待开启VPN服务的目标应用,获取目标应用对应的目标应用信息生成VPN服务开启指令。
具体的,管理应用可为安全管理应用、流量管理应用等,管理应用用于专门管理其它应用,可在管理应用的界面显示当前终端已安装的所有应用,从而从所有应用中选择待开启VPN服务的目标应用。可通过选择框的形式,获取作用于选择框的操作,当选择框为选择状态时表示此选择框对应的应用被选取,为需要开启VPN服务的应用。通过管理应用统一开启各个应用的VPN服务,可一次性开启或关闭多个应用对应的VPN服务,简单方便。
在一个实施例中,如图6所示,步骤S230中将传输层协议数据包加密得到加密数据包的步骤包括:
步骤S231,判断密钥是否过期,如果过期,则进入步骤S232,否则直接采用密钥加密得到加密数据包。
具体的,终端存储的密钥存在有效期限,如果过期,则需要重新向服务器申请新的密钥,保证密钥随时间动态变化,通过动态密钥,避免黑客攻破其中一个密钥的情况下对终端传输的数据进行连续的窃取,进一步加强了数据传输的安全性。
步骤S232,向服务器发送密钥申请请求,接收服务器返回的更新密钥,将传输层协议数据包采用更新密钥加密得到加密数据包。
具体的,发送密钥申请请求前,可随机产生一个随机数key,采用公钥加密这个key,发送携带加密key的密钥申请请求,服务器根据密钥申请请求并根据key返回加密后的更新密钥,终端解密得以原始更新密钥,从而终端根据更新密钥加密传输层协议数据包得到加密数据包,采用随机生成的key发送密钥申请请求,使得更新密钥的生成更具随机性,进一步加强密钥的加密安全性。
在一个实施例中,步骤S230包括:通过VPN服务的保护方法,从预设socket发送加密数据包至网络层。
具体的,socket是建立网络通信连接至少需要的一对端口号,通过VPN服务的保护方法,使得加密数据包通过预设socket发送至网络层,保护方法约定了此预设socket发送的数据包不会再次被拦截。在一个实施例中,VPN服务的保护方法由系统接口提供,如Android系统的VpnService接口提供的protect方法。
步骤S210包括:判断网络协议数据包是否从预设socket发送,如果是,则不进行拦截。
具体的,如果网络协议数据包是从预设socket发送,则此网络协议数据不会被拦截,从而可以避免加密后的数据包再次在网络层被拦截又发送至虚拟网络接口造成无限循环。
在一个实施例中,方法还包括:接收中转服务器转发的由目标服务器返回的响应数据包,终端将再把响应数据包解析并还原成IP数据包的格式写入文件描述符对应的文件,从而完成整个通讯过程。
在一个具体的实施例中,结合图11,终端数据传输的方法的具体过程如下:
1、终端连接WIFI网络,拦截从终端发出的数据包;
2、检测数据包是否加密,如果是加密数据包,则网络的安全指数达到预设条件,生成VPN服务关闭指令,进入步骤11。
3、如果数据包没有加密,则显示提示界面,提示界面提示用户是否需要开启VPN服务。
4、接收作用于提示界面的操作判断是否开启VPN服务,如果不开启,则生成VPN服务关闭指令,进入步骤11。
5、如果开启VPN服务,则判断VPN服务是否是首次开启,如果不是首次开启,则采用上一次的默认配置信息确定目标应用,生成携带目标应用信息的VPN服务开启指令。
6、如果是首次开启,则弹出管理应用界面,管理应用界面显示当前终端已安装的应用,通过作用于管理应用的界面的操作选择待开启VPN服务的目标应用,获取目标应用对应的目标应用信息生成VPN服务开启指令。
7、根据VPN服务开启指令创建一个虚拟网络接口,目标应用信息对应的目标应用的网络协议数据包发送至虚拟网络接口,通过虚拟专用网络VPN服务在网络层拦截发送至虚拟网络接口的网络协议数据包,获取VPN服务对应的文件描述符,拦截的网络协议数据包都写入了文件描述符对应的文件。
8、从文件描述符对应的文件中读取网络协议IP数据包,解析IP数据包,再重新打包成TCP或UDP协议的数据包。
9、将TCP或UDP协议的数据包加密得到加密数据包,将加密数据包从传输层网络发送至中转服务器。
10、中转服务器将加密数据包解密后转发至对应的目标服务器。
11、终端发出的数据包直接从网络层发送至目标服务器。
在一个实施例中,如图7所示,提供了一种终端数据传输的装置,包括:
拦截模块310,用于通过虚拟专用网络VPN服务在网络层拦截发送至虚拟网络接口的网络协议数据包,获取VPN服务对应的文件描述符。
转换模块320,用于根据文件描述符读取所述网络协议数据包,将网络协议数据包转换为传输层协议数据包。
加密传输模块330,用于将传输层协议数据包加密得到加密数据包,将加密数据包从传输层网络发送至中转服务器,以使中转服务器将所述加密数据包解密后转发至对应的目标服务器。
在一个实施例中,如图8所示,装置还包括:
VPN服务开启模块340,用于获取VPN服务开启指令,VPN服务开启指令携带目标应用信息,根据VPN服务开启指令创建虚拟网络接口,向目标应用信息对应的目标应用返回文件描述符。
拦截模块310还用于通过VPN服务在网络层拦截目标应用发送至虚拟网络接口的网络协议数据包。
在一个实施例中,如图9所示,装置还包括:
配置模块350,用于配置目标应用信息,根据目标应用信息生成VPN服务开启指令。
在一个实施例中,如图10所示,装置还包括:
判断模块360,用于检测网络的安全指数,如果安全指数达到预设条件,则生成VPN服务关闭指令,否则进入配置模块350。
在一个实施例中,配置模块350还用于通过作用于管理应用的界面的操作选择待开启VPN服务的目标应用,获取目标应用对应的目标应用信息生成VPN服务开启指令。
在一个实施例中,加密传输模块330还用于判断密钥是否过期,如果过期则向服务器发送密钥申请请求,接收服务器返回的更新密钥,将传输层协议数据包采用更新密钥加密得到加密数据包。
在一个实施例中,加密传输模块330还用于通过VPN服务的保护方法,从预设socket发送加密数据包至网络层。
拦截模块310还用于判断网络协议数据包是否从预设socket发送,如果是,则不进行拦截。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述程序可存储于一计算机可读取存储介质中,如本发明实施例中,该程序可存储于计算机系统的存储介质中,并被该计算机系统中的至少一个处理器执行,以实现包括如上述各方法的实施例的流程。其中,所述存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (14)
1.一种终端数据传输的方法,所述方法包括:
获取VPN服务开启指令,所述VPN服务开启指令携带目标应用信息;
根据所述VPN服务开启指令创建虚拟网络接口,向所述目标应用信息对应的目标应用返回文件描述符;
通过所述VPN服务在网络层拦截所述目标应用发送至所述虚拟网络接口的网络协议数据包,获取所述文件描述符;
根据所述文件描述符读取所述网络协议数据包,将所述网络协议数据包转换为传输层协议数据包;
将所述传输层协议数据包加密得到加密数据包,通过VPN服务的保护方法,从预设socket将所述加密数据包从传输层网络发送至中转服务器,以使所述中转服务器将所述加密数据包解密后转发至对应的目标服务器,所述VPN保护方法是用于约定从所述预设socket发送的所述加密数据包不会被所述虚拟网络接口拦截。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收所述中转服务器转发的由所述目标服务器返回的响应数据包;
对所述响应数据包进行解析,得到所述响应数据包对应的网络协议数据包;
将所述响应数据包对应的网络协议数据包写入所述文件描述符对应的文件。
3.根据权利要求1所述的方法,其特征在于,所述获取VPN服务开启指令的步骤之前,还包括:
配置目标应用信息,根据所述目标应用信息生成VPN服务开启指令。
4.根据权利要求3所述的方法,其特征在于,所述配置目标应用信息的步骤之前,还包括:
检测网络的安全指数,如果安全指数达到预设条件,则生成VPN服务关闭指令,否则进入所述配置目标应用信息的步骤。
5.根据权利要求3所述的方法,其特征在于,所述配置目标应用信息,根据所述目标应用信息生成VPN服务开启指令的步骤包括:
通过作用于管理应用的界面的操作选择待开启VPN服务的目标应用;
获取所述目标应用对应的目标应用信息生成VPN服务开启指令。
6.根据权利要求1所述的方法,其特征在于,所述将所述传输层协议数据包加密得到加密数据包的步骤包括:
判断密钥是否过期,如果过期则向服务器发送密钥申请请求;
接收所述服务器返回的更新密钥,将所述传输层协议数据包采用所述更新密钥加密得到加密数据包。
7.根据权利要求1所述的方法,其特征在于,所述通过虚拟专用网络VPN服务在网络层拦截发送至虚拟网络接口的网络协议数据包的步骤包括:
判断所述网络协议数据包是否从所述预设socket发送,如果是,则不进行拦截。
8.一种终端数据传输的装置,其特征在于,所述装置包括:
VPN服务开启模块,用于获取VPN服务开启指令,所述VPN服务开启指令携带目标应用信息;根据所述VPN服务开启指令创建虚拟网络接口,向所述目标应用信息对应的目标应用返回文件描述符;
拦截模块,用于通过所述虚拟专用网络VPN服务在网络层拦截目标应用发送至所述虚拟网络接口的网络协议数据包,获取所述文件描述符;
转换模块,用于根据所述文件描述符读取所述网络协议数据包,将所述网络协议数据包转换为传输层协议数据包;
加密传输模块,用于将所述传输层协议数据包加密得到加密数据包,通过VPN服务的保护方法,从预设socket将所述加密数据包从传输层网络发送至中转服务器,以使所述中转服务器将所述加密数据包解密后转发至对应的目标服务器,所述VPN保护方法是用于约定从所述预设socket发送的所述加密数据包不会被所述虚拟网络接口拦截。
9.根据权利要求8所述的装置,其特征在于,所述加密传输模块还用于接收所述中转服务器转发的由所述目标服务器返回的响应数据包;对所述响应数据包进行解析,得到所述响应数据包对应的网络协议数据包;将所述响应数据包对应的网络协议数据包写入所述文件描述符对应的文件。
10.根据权利要求8所述的装置,其特征在于,所述装置还包括:
配置模块,用于配置目标应用信息,根据所述目标应用信息生成VPN服务开启指令。
11.根据权利要求10所述的装置,其特征在于,所述装置还包括:
判断模块,用于检测网络的安全指数,如果安全指数达到预设条件,则生成VPN服务关闭指令,否则进入所述配置模块。
12.根据权利要求10所述的装置,其特征在于,所述配置模块还用于通过作用于管理应用的界面的操作选择待开启VPN服务的目标应用,获取所述目标应用对应的目标应用信息生成VPN服务开启指令。
13.根据权利要求8所述的装置,其特征在于,所述加密传输模块还用于判断密钥是否过期,如果过期则向服务器发送密钥申请请求,接收所述服务器返回的更新密钥,将所述传输层协议数据包采用所述更新密钥加密得到加密数据包。
14.根据权利要求8所述的装置,其特征在于,所述拦截模块还用于判断所述网络协议数据包是否从所述预设socket发送,如果是,则不进行拦截。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611209537.4A CN106713320B (zh) | 2016-12-23 | 2016-12-23 | 终端数据传输的方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611209537.4A CN106713320B (zh) | 2016-12-23 | 2016-12-23 | 终端数据传输的方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106713320A CN106713320A (zh) | 2017-05-24 |
CN106713320B true CN106713320B (zh) | 2020-07-03 |
Family
ID=58895748
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611209537.4A Active CN106713320B (zh) | 2016-12-23 | 2016-12-23 | 终端数据传输的方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106713320B (zh) |
Families Citing this family (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109951575B (zh) * | 2017-12-20 | 2022-06-10 | 新智数字科技有限公司 | 拦截指定域名的方法和系统 |
CN109120696A (zh) * | 2018-08-17 | 2019-01-01 | 百度在线网络技术(北京)有限公司 | 用于发送数据的方法和装置 |
CN109379345B (zh) * | 2018-09-28 | 2021-02-19 | 创新先进技术有限公司 | 敏感信息传输方法及系统 |
CN110971498B (zh) * | 2018-09-30 | 2022-09-30 | 北京京东尚科信息技术有限公司 | 通信方法、通信装置、电子设备及存储介质 |
CN111224874B (zh) | 2018-11-27 | 2022-06-14 | 中兴通讯股份有限公司 | 一种路径构建的方法及相关设备 |
CN111355695B (zh) * | 2018-12-24 | 2022-07-01 | 中移(杭州)信息技术有限公司 | 一种安全代理方法和装置 |
CN109547490B (zh) * | 2019-01-03 | 2023-04-07 | 深圳壹账通智能科技有限公司 | 监护方法、装置和存储介质 |
CN110545256A (zh) * | 2019-07-15 | 2019-12-06 | 中移(杭州)信息技术有限公司 | 数据传输方法、系统、电子设备、中转服务器及存储介质 |
CN110891008A (zh) * | 2019-11-21 | 2020-03-17 | 成都云智天下科技股份有限公司 | 一种基于l2tp/ipsec的ip代理方法 |
CN111083009B (zh) * | 2019-11-29 | 2021-08-24 | 北京云测信息技术有限公司 | 一种抓包方法、装置和移动终端 |
CN111132138B (zh) * | 2019-12-06 | 2023-04-18 | 中国电子科技集团公司电子科学研究院 | 一种移动应用程序透明通信保护方法与装置 |
CN111049844B (zh) * | 2019-12-18 | 2022-02-22 | 深信服科技股份有限公司 | 基于Socks代理的上网行为管理方法、装置、设备及存储介质 |
CN111614645A (zh) * | 2020-05-14 | 2020-09-01 | 江苏耐思捷智慧信息服务有限公司 | 一种用于系统协作的大数据转发方法及装置 |
CN111901354B (zh) * | 2020-08-03 | 2022-09-30 | 北京指掌易科技有限公司 | 数据处理方法、装置及电子终端 |
CN112532734B (zh) * | 2020-12-02 | 2023-11-21 | 建信金融科技有限责任公司 | 报文敏感信息检测方法和装置 |
CN112667359B (zh) * | 2020-12-30 | 2024-01-30 | 深圳市科思科技股份有限公司 | 数据透传方法、电子设备及存储介质 |
CN112631788B (zh) * | 2021-01-06 | 2023-11-28 | 上海哔哩哔哩科技有限公司 | 数据传输方法及数据传输服务器 |
CN112910725B (zh) * | 2021-01-18 | 2022-12-06 | 卓望数码技术(深圳)有限公司 | 一种网络流量检测方法及装置、计算机可读存储介质 |
CN113438215B (zh) * | 2021-06-11 | 2023-06-30 | 郑州阿帕斯数云信息科技有限公司 | 数据传输方法、装置、设备和存储介质 |
CN113315787B (zh) * | 2021-07-28 | 2021-11-23 | 橙色云互联网设计有限公司 | 加密保护方法、装置及存储介质 |
CN113938289B (zh) * | 2021-08-31 | 2024-03-01 | 联通沃音乐文化有限公司 | 一种代理客户端预防拦截机制被滥用和攻击的系统和方法 |
CN113938531B (zh) * | 2021-09-23 | 2023-10-31 | 北京车和家信息技术有限公司 | 数据传输方法、装置、设备及介质 |
CN115086441B (zh) * | 2022-06-09 | 2024-03-19 | 北京百度网讯科技有限公司 | 信息传输方法、装置、电子设备及存储介质 |
CN115499345B (zh) * | 2022-09-22 | 2024-05-17 | 北京沃东天骏信息技术有限公司 | 数据测试方法、装置及存储介质、计算机产品 |
CN116418863B (zh) * | 2023-06-09 | 2023-09-15 | 安徽华云安科技有限公司 | 基于socks5透明代理的通信方法和装置 |
CN116781428B (zh) * | 2023-08-24 | 2023-11-07 | 湖南马栏山视频先进技术研究院有限公司 | 一种基于虚拟专用网络vpn流量的转发系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103916394A (zh) * | 2014-03-31 | 2014-07-09 | 魏强 | 公共wifi环境下的数据传输方法及系统 |
CN105227569A (zh) * | 2015-10-16 | 2016-01-06 | 百度在线网络技术(北京)有限公司 | 应用的数据包传输方法及装置 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101986666B (zh) * | 2010-11-05 | 2013-07-24 | 清华大学 | 基于虚拟网络接口和反向地址转换的网络数据传输方法 |
US20160335447A1 (en) * | 2015-05-15 | 2016-11-17 | Alcatel-Lucent Usa, Inc. | Secure enterprise cdn framework |
CN106101015B (zh) * | 2016-07-19 | 2020-08-14 | 广东药科大学 | 一种移动互联网流量类别标记方法和系统 |
-
2016
- 2016-12-23 CN CN201611209537.4A patent/CN106713320B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103916394A (zh) * | 2014-03-31 | 2014-07-09 | 魏强 | 公共wifi环境下的数据传输方法及系统 |
CN105227569A (zh) * | 2015-10-16 | 2016-01-06 | 百度在线网络技术(北京)有限公司 | 应用的数据包传输方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN106713320A (zh) | 2017-05-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106713320B (zh) | 终端数据传输的方法和装置 | |
CN110199508B (zh) | 敏感数据跨内容分发网络的安全数据分配 | |
US9838434B2 (en) | Creating and managing a network security tag | |
US10341357B2 (en) | Selectively performing man in the middle decryption | |
US9219709B2 (en) | Multi-wrapped virtual private network | |
CN106412024B (zh) | 一种页面获取方法和装置 | |
JP2020502644A (ja) | ネットワークを介した機密データの安全なデータエグレス | |
JP2020502668A (ja) | ネットワークを介した機密データの安全なデータ取得 | |
US20130332724A1 (en) | User-Space Enabled Virtual Private Network | |
US11470060B2 (en) | Private exchange of encrypted data over a computer network | |
US11616763B2 (en) | Secure anonymous communications methods and apparatus | |
US20200162245A1 (en) | Method and system for performing ssl handshake | |
CN111726366A (zh) | 设备通信方法、装置、系统、介质和电子设备 | |
US9577988B2 (en) | Data encryption, transport, and storage service for carrier-grade networks | |
US20180375648A1 (en) | Systems and methods for data encryption for cloud services | |
US20160226831A1 (en) | Apparatus and method for protecting user data in cloud computing environment | |
CN111614683A (zh) | 一种数据处理方法、装置、系统及一种网卡 | |
US10158610B2 (en) | Secure application communication system | |
CN110995730B (zh) | 数据传输方法、装置、代理服务器和代理服务器集群 | |
CN111181831B (zh) | 通信数据处理方法和装置、存储介质及电子装置 | |
CN113992734A (zh) | 会话连接方法及装置、设备 | |
JP6718466B2 (ja) | 動的データ暗号化方法、及び復号権を制御する関連方法 | |
CN111970281B (zh) | 基于验证服务器的路由设备远程控制方法、系统及电子设备 | |
JP6167598B2 (ja) | 情報処理装置、情報処理方法、および、コンピュータ・プログラム | |
US11539755B1 (en) | Decryption of encrypted network traffic using an inline network traffic monitor |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |