CN114244569A - Ssl vpn远程访问方法、系统和计算机设备 - Google Patents

Ssl vpn远程访问方法、系统和计算机设备 Download PDF

Info

Publication number
CN114244569A
CN114244569A CN202111367560.7A CN202111367560A CN114244569A CN 114244569 A CN114244569 A CN 114244569A CN 202111367560 A CN202111367560 A CN 202111367560A CN 114244569 A CN114244569 A CN 114244569A
Authority
CN
China
Prior art keywords
server
terminal
preset
digital certificate
public key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111367560.7A
Other languages
English (en)
Other versions
CN114244569B (zh
Inventor
卢建刚
黄浩
李格格
梅发茂
吴勤勤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong Power Grid Co Ltd
Electric Power Dispatch Control Center of Guangdong Power Grid Co Ltd
Original Assignee
Guangdong Power Grid Co Ltd
Electric Power Dispatch Control Center of Guangdong Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangdong Power Grid Co Ltd, Electric Power Dispatch Control Center of Guangdong Power Grid Co Ltd filed Critical Guangdong Power Grid Co Ltd
Priority to CN202111367560.7A priority Critical patent/CN114244569B/zh
Publication of CN114244569A publication Critical patent/CN114244569A/zh
Application granted granted Critical
Publication of CN114244569B publication Critical patent/CN114244569B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/08Randomization, e.g. dummy operations or using noise
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/72Signcrypting, i.e. digital signing and encrypting simultaneously
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/062Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying encryption of the keys

Abstract

本申请涉及一种SSL VPN远程访问方法、系统、装置、计算机设备和存储介质。通过向服务器发送访问申请信息,令服务器向终端返回包括安全套接字协议、预设加密算法以及预设压缩算法的响应消息以及包括服务器的第二公钥的数字证书;通过终端验证数字证书有效后,根据安全套接字协议确定与服务器的通信策略,并基于通信策略、预设加密算法以及预设压缩算法,访问服务器中的目标数据。相较于传统的通过Web服务器的登录机制实现的远程访问,本方案利用基于安全套接字协议确定的通信协议以及数字证书实现访问端和被访问端间的数据访问,提高了数据访问的安全性。

Description

SSL VPN远程访问方法、系统和计算机设备
技术领域
本申请涉及网络通信技术领域,特别是涉及一种SSL VPN远程访问方法、系统、装置、计算机设备和存储介质。
背景技术
随着网络通信技术的发展,目前已经有大批企业构建了支持远程访问的网络系统,远程安全访问是未来业务趋势,尤其在网络安全问题日益突出的情况下,具有高性价比的远程安全访问解决方案是有关政府、金融行业和企业都迫切需要。当随着企业的网络化水平不断提升,企业和分支机构、以及远程用户之间的安全访问的需求会日渐显著,为使用户之间远程访问更安全和便捷,需要使用高水平的远程访问方式,目前的远程访问登录方式通常是通过Web服务器的登录机制实现的,然而通过Web服务器的登录机制存在安全隐患。
因此,目前的远程登录访问方式存在安全性较低的缺陷。
发明内容
基于此,有必要针对上述技术问题,提供一种能够提高安全性的SSL VPN远程访问方法、系统、装置、计算机设备和存储介质。
一种SSL VPN远程访问方法,应用于终端,所述方法包括:
向服务器发送访问申请信息;所述访问申请信息包括所述终端对应的第一公钥以及预设随机数;所述服务器用于向所述终端返回针对所述访问申请信息的响应消息以及包括所述服务器的第二公钥的数字证书;所述响应消息包括安全套接字协议、预设加密算法以及预设压缩算法;所述预设加密算法以及所述预设压缩算法基于所述预设随机数以及所述第一公钥得到;
对所述数字证书进行验证,若验证所述数字证书有效,根据所述安全套接字协议确定与所述服务器的通信策略;
基于所述通信策略、所述预设加密算法以及所述预设压缩算法,访问所述服务器中的目标数据。
在其中一个实施例中,所述对所述数字证书进行验证,包括:
验证所述数字证书中的签名的是否真实;若是,确定所述数字证书有效;若否,确定所述数字证书无效。
在其中一个实施例中,所述根据所述安全套接字协议确定与所述服务器的通信策略,包括:
获取所述安全套接字协议对应的嵌入式VPN,根据所述嵌入式VPN确定与所述服务器的通信策略。
在其中一个实施例中,所述基于所述通信策略、所述预设加密算法以及所述预设压缩算法,访问所述服务器中的目标数据,包括:
获取所述服务器基于目标端口发送的加密数据;所述目标端口根据所述通信策略确定;
根据所述预设加密算法对所述加密数据进行解密,并根据所述预设压缩算法,获取解密后的数据对应的媒体存取控制位址;
将所述媒体存储控制位址与所述服务器的真实媒体存储控制位址对比,若一致,将所述解密后的数据作为所述目标数据。
一种SSL VPN远程访问方法,应用于服务器,所述方法包括:
获取终端发送的访问申请信息;所述访问申请信息包括所述终端对应的第一公钥以及预设随机数;
获取所述服务器对应的第二公钥、安全套接字协议以及获取所述终端对应的数字证书;
根据所述第一公钥以及所述预设随机数,确定对应的预设加密算法以及预设压缩算法;
向所述终端发送包括所述安全套接字协议、预设加密算法以及预设压缩算法的响应消息以及包括所述第二公钥的数字证书;所述终端用于根据所述数字证书确定与所述服务器的通信策略,并基于所述通信策略、所述预设加密算法以及所述预设压缩算法,访问所述服务器中的目标数据。
在其中一个实施例中,所述访问申请信息还包括:所述终端对应的用户信息;所述数字证书包括多个安全等级;所述安全等级与所述用户信息对应;
所述获取所述终端对应的数字证书,包括:
根据所述用户信息查询预设用户表,若所述预设用户表中包括所述用户信息,获取与所述用户信息对应安全等级的数字证书,作为所述终端对应的数字证书;所述预设用户表包括多个用户对应的用户信息。
在其中一个实施例中,所述向所述终端发送包括所述安全套接字协议、预设加密算法以及预设压缩算法的响应消息以及包括所述第二公钥的数字证书之后,还包括:
获取所述终端针对目标数据发送的数据请求,并获取所述目标数据;
根据所述预设压缩算法,压缩所述目标数据,得到压缩目标数据;
根据预设散列算法,获取所述压缩目标数据对应的真实媒体存取控制位址;
根据所述预设加密算法,加密所述压缩目标数据以及所述真实媒体存取控制位址,得到加密数据,并将所述加密数据发送至所述终端。
一种SSL VPN远程访问系统,所述系统包括:终端以及服务器;
所述终端,用于向服务器发送访问申请信息;所述访问申请信息包括所述终端对应的第一公钥以及预设随机数;
所述服务器,用于获取终端发送的访问申请信息,获取所述服务器对应的第二公钥、安全套接字协议以及与所述终端对应的数字证书,根据所述第一公钥以及所述预设随机数,确定对应的预设加密算法以及预设压缩算法,向所述终端发送包括所述安全套接字协议、预设加密算法以及预设压缩算法的响应消息以及包括所述第二公钥的数字证书;
所述终端,用于对所述数字证书进行验证,若验证所述数字证书有效,根据所述安全套接字协议确定与所述服务器的通信策略;基于所述通信策略、所述预设加密算法以及所述预设压缩算法,访问所述服务器中的目标数据。
一种SSL VPN远程访问装置,应用于终端,所述装置包括:
申请模块,用于向服务器发送访问申请信息;所述访问申请信息包括所述终端对应的第一公钥以及预设随机数;所述服务器用于向所述终端返回针对所述访问申请信息的响应消息以及包括所述服务器的第二公钥的数字证书;所述响应消息包括安全套接字协议、预设加密算法以及预设压缩算法;所述预设加密算法以及所述预设压缩算法基于所述预设随机数以及所述第一公钥得到;
验证模块,用于对所述数字证书进行验证,若验证所述数字证书有效,根据所述安全套接字协议确定与所述服务器的通信策略;
访问模块,用于基于所述通信策略、所述预设加密算法以及所述预设压缩算法,访问所述服务器中的目标数据。
一种SSL VPN远程访问装置,应用于服务器,所述装置包括:
第一获取模块,用于获取终端发送的访问申请信息;所述访问申请信息包括所述终端对应的第一公钥以及预设随机数;
第二获取模块,用于获取所述服务器对应的第二公钥、安全套接字协议以及获取所述终端对应的数字证书;
确定模块,用于根据所述第一公钥以及所述预设随机数,确定对应的预设加密算法以及预设压缩算法;
连接模块,用于向所述终端发送包括所述安全套接字协议、预设加密算法以及预设压缩算法的响应消息以及包括所述第二公钥的数字证书;所述终端用于根据所述数字证书确定与所述服务器的通信策略,并基于所述通信策略、所述预设加密算法以及所述预设压缩算法,访问所述服务器中的目标数据。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述的方法的步骤。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述的方法的步骤。
上述SSL VPN远程访问方法、系统、装置、计算机设备和存储介质,通过向服务器发送访问申请信息,令服务器向终端返回包括安全套接字协议、预设加密算法以及预设压缩算法的响应消息以及包括服务器的第二公钥的数字证书;通过终端验证数字证书有效后,根据安全套接字协议确定与服务器的通信策略,并基于通信策略、预设加密算法以及预设压缩算法,访问服务器中的目标数据。相较于传统的通过Web服务器的登录机制实现的远程访问,本方案利用基于安全套接字协议确定的通信协议以及数字证书实现访问端和被访问端间的数据访问,提高了数据访问的安全性。
附图说明
图1为一个实施例中SSL VPN远程访问方法的应用环境图;
图2为一个实施例中SSL VPN远程访问方法的流程示意图;
图3为另一个实施例中SSL VPN远程访问方法的流程示意图;
图4为又一个实施例中SSL VPN远程访问方法的流程示意图;
图5为一个实施例中SSL VPN远程访问装置的结构框图;
图6为另一个实施例中SSL VPN远程访问装置的结构框图;
图7为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请提供的SSL VPN远程访问方法,可以应用于如图1所示的应用环境中。其中,终端102通过网络与服务器104进行通信。终端102可以向服务器发送访问申请信息,服务器104基于访问申请信息向终端102返回对应的响应信息以及数字证书,终端102可以对服务器104发送的数字证书进行验证,验证为有效后,终端102可以基于安全套接字协议确定与服务器104的通信策略,并基于该通信策略、预设加密算法以及预设压缩算法访问服务器104中的目标数据。其中,终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机和平板电脑,服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图2所示,提供了一种SSL VPN远程访问方法,以该方法应用于图1中的终端为例进行说明,包括以下步骤:
步骤S202,向服务器104发送访问申请信息;访问申请信息包括终端对应的第一公钥以及预设随机数;服务器104用于向终端102返回针对访问申请信息的响应消息以及包括服务器104的第二公钥的数字证书;响应消息包括安全套接字协议、预设加密算法以及预设压缩算法;预设加密算法以及预设压缩算法基于预设随机数以及第一公钥得到。
其中,终端102可以与服务器104建立连接,从而终端102可以访问服务器104中的数据,其中服务器104可以是不能直接访问的服务器,需要终端102通过特定介质与服务器104建立连接后,终端102才可以访问服务器104中的数据。终端102可以首先向服务器104发送访问申请信息。其中,访问申请信息中包括终端102对应的第一公钥和预设随机数,第一公钥可以是终端102生成的公钥,预设随机数可以是终端102随机生成的数字。服务器104可以接收终端102发送的访问申请信息,并基于访问申请信息返回对应的响应消息和数字证书。例如,服务器104可以基于终端102发送的预设随机数和第一公钥确定在进行数据访问时对数据使用的预设加密算法和预设压缩算法,以及将安全套接字协议、预设加密算法和预设压缩算法打包为响应消息,连同包含第二公钥的数字证书一同返回给终端102。其中,第二公钥为服务器104对应的公钥。
具体地,在终端102需要访问服务器104时,用户可以通过终端102生成一对公钥和私钥,并将公钥以及相关的申请信息发送给服务器104进行验证,以获取服务器104发送的数字证书,例如,终端102可以生成包含密码套件和random(随机)信息的clienthello消息,连同上述公钥和相关申请信息形成上述的访问申请信息,并将访问申请信息发送至服务器104,使得服务器104可以响应clienthello消息,并向终端102发送对应的serverhello消息。其中,clienthello消息和serverhello消息可以是基于SSL(Secure Sockets Layer,安全套接字协议)进行传输的消息,终端102可以通过上述clienthello消息和serverhello消息与服务器104建立加密通讯的通路。其中,服务器104返回的serverhello消息中可以包含使用的SSL协议版本、选择的加密算法、选择的压缩算法和服务器104产生的random消息。密码套件可以是基于SSL的概念,密码套件是TLS(Transport Layer Security,安全传输层协议)/安全套接字层(SSL)网络协议中的一个概念。密码套件的名称是以协商安全设置时使用的身份验证、加密、消息认证码(MAC)和密钥交换算法组成,密码条件用于协商加密和HMAC算法、描述机器支持的算法的结构,以便两台机器决定使用哪些算法来保护它们的连接;上述密码套件中可以包括终端102的公钥,还可以包括密钥交换算法、批量加密算法、消息认证码算法和伪随机函数等。上述random消息可以是随机生成的数,例如,上述随机数一共可以有32字节,其中前4个字节使用系统当前时间,后28字节使用伪随机函数生成的随机数。4个字节以Unix时间格式记录了终端102或服务器104的协调世界时间(UTC)。协调世界时间是从1970年1月1日开始到当前时刻所经历的秒数,由于时间是不断的上涨的,通过前4字节填写时间方式,有效的避免了周期性的出现一样的随机数。使得“随机”更加“随机”。上述random消息可以用来生成对称密钥,属于混淆的一部分。
步骤S204,对数字证书进行验证,若验证数字证书有效,根据安全套接字协议确定与服务器104的通信策略。
其中,数字证书可以是服务器104基于访问申请信息返回的服务器104对应的数字证书。并且服务器104返回的信息还可以包括选择的加密算法和压缩算法等信息。例如,服务器104可以在接收到终端102的访问申请信息后,向终端102发送证书链进行密钥交换,并根据列表的内容选择加密算法,连同一份包含服务器公钥的数字证书发送至终端102。从而终端102可以对接收到的数字证书进行验证,并在确定数字证书有效时,利用服务器104返回的安全套接字协议确定与服务器104的通信策略。例如,终端102可以对服务器104发送的数字证书进行验证,并抽取其中的服务器104的公钥进行密钥计算,从而使用协商好的密钥进行加密通信。在一个实施例中,对数字证书进行验证,包括:验证数字证书中的签名的是否真实;若是,确定数字证书有效;若否,确定数字证书无效。本实施例中,终端102可以对服务器104的数字证书进行验证,例如,终端102可以通过验证数字证书中的数字签名的真实性,若为真实,则终端102可以确定数字证书有效,否则确定数字证书为无效。其中,在连接建立过程和数据传输过程中,终端102和服务器104均可以对对方的数字证书进行验证。具体地,若发送方为终端102,接收方为服务器104,则当用户需要发送信息时,首先要得到接收方公开的密钥,即公钥,然后采用该公钥将数据进行加密;用户通过终端102将加密信息连同自己的数字证书的拷贝和其他信息一起发送给接收者,例如服务器104;接收者收到信息后,先验证对方的数字证书上CA的签名的真实性,检查此证书是否有效,若证书有效,接收者可以信任该用户发送的信息,用自己的私钥进行解密,否则,接收者可以丢弃该信息。若发送方为服务器104,接收方为终端102,则服务器104发送信息前可以首先取得终端102公开的密钥,采用该公钥将数据进行加密,服务器104将加密信息连同自己的数字证书的拷贝和其他信息一起发送给终端102,终端102接收到信息后,先验证对方的数字证书上CA的签名的真实性,检查此证书是否有效,若证书有效,终端102可以信任服务器104发送的信息,用自己的私钥进行解密,否则,接收者可以丢弃该信息。从而终端102和服务器104之间可以利用数字证书进行通信连接。
步骤S206,基于通信策略、预设加密算法以及预设压缩算法,访问服务器104中的目标数据。
其中,通信策略可以是基于上述SSL协议的策略,例如可以是一种SSL VPN,即终端102可以基于SSL VPN、预设加密算法和预设压缩算法,访问服务器104中的目标数据。例如,终端102可以在于服务器104建立连接关系后,自动下载SSL VPN并运行,从而终端102基于SSL VPN的安全策略或终端102中的自定义策略,访问SSL VPN的特定端口,实现对服务器104中被保护的资源的访问。
上述SSL VPN远程访问方法中,通过向服务器发送访问申请信息,令服务器向终端返回包括安全套接字协议、预设加密算法以及预设压缩算法的响应消息以及包括服务器的第二公钥的数字证书;通过终端验证数字证书有效后,根据安全套接字协议确定与服务器的通信策略,并基于通信策略、预设加密算法以及预设压缩算法,访问服务器中的目标数据。相较于传统的通过Web服务器的登录机制实现的远程访问,本方案利用基于安全套接字协议确定的通信协议以及数字证书实现访问端和被访问端间的数据访问,提高了数据访问的安全性。
在一个实施例中,根据安全套接字协议确定与服务器104的通信策略,包括:获取安全套接字协议对应的嵌入式VPN,根据嵌入式VPN确定与服务器104的通信策略。
本实施例中,终端102可以通过向服务器104发送访问申请信息以及对服务器104的数字证书的验证建立与服务器104的连接关系。终端102可以在于服务器104建立连接后,基于服务器104发送的安全套接字协议的版本,即SSL协议版本,确定终端102与服务器104之间的通信策略。例如,终端102与服务器104建立连接后,可以获取上述安全套接字协议对应的嵌入式VPN,并根据该嵌入式VPN确定与服务器104之间的通信策略。具体地,终端102可以抽取服务器104的公钥进行密钥计算,进而可以使用协商好的密钥进行加密通信。终端102成功建立SSL连接后,可以按照Java Applet的形式下载SSL VPN的客户端软件并自动运行,并根据SSL VPN的安全策略或用户自定义策略,访问该VPN客户端的特定端口,实现访问服务器104中被保护的资源。其中,Java Applet可以是一种Java形式的小形应用程序。
通过本实施例,终端102可以利用SSL VPN的通信策略与服务器104进行加密通信,从而提高了远程访问的安全性。
在一个实施例中,基于通信策略、预设加密算法以及预设压缩算法,访问服务器中的目标数据,包括:获取服务器104基于目标端口发送的加密数据;目标端口根据所述通信策略确定;根据预设加密算法对加密数据进行解密,并根据预设压缩算法,获取解密后的数据对应的媒体存取控制位址;将媒体存储控制位址与服务器104的真实媒体存储控制位址对比,若一致,将解密后的数据作为目标数据。
本实施例中,预设加密算法和预设压缩算法均可以是终端102与服务器104协商好的在数据传输时使用的算法。终端102可以基于上述的SSL VPN确定与服务器104的通信策略,并基于该通信策略、预设加密算法和预设压缩算法访问服务器104中的数据。例如,终端102可以对目标数据发起访问请求,则服务器104可以通过SSL VPN的目标端口向终端102发送加密后的目标数据,终端102可以获取服务器104通过目标端口发送的加密数据,并根据与服务器104协商的预设加密算法对加密数据进行解密,解密后通过协商好的预设压缩算法获取解密后的数据对应的MAC(Media Access Control Address,媒体存取控制位址)值,终端102还可以将该MAC值与服务器104的真实MAC值进行对比,若为一致,则终端102可以确定该解密后的数据是服务器104发送的数据,并将该解密后的数据作为目标数据。其中,服务器104的真实MAC值可以通过服务器104预先发送至终端102进行保存,或连同加密数据一同发送至终端102中。
具体地,服务器104接收到终端102针对目标数据的访问申请信息并建立与终端102的连接后,可以将目标数据加密后发送至终端102,终端102接收到加密数据的密文后,可以用协商好的算法以及密钥解密上述密文,并用预设压缩算法,例如与服务器104相同的散列算法,根据压缩的数据计算出MAC值,终端102可以将计算出的MAC值与接收到的MAC值进行比较,若两个MAC相等,则终端102可以将收到的数据解压后交给上层,否则将数据丢弃,并向发送该数据的一方发送警告信息,至此数据传输完成。
通过本实施例,终端102可以利用基于SSL VPN的端口与服务器104进行数据传输,且终端102可以基于MAC值的比较确定数据的来源,提高了远程访问中数据的安全性。
在一个实施例中,如图3所示,提供了一种SSL VPN远程访问方法,以该方法应用于图1中的服务器为例进行说明,包括以下步骤:
步骤S302,获取终端102发送的访问申请信息;访问申请信息包括终端对应的第一公钥以及预设随机数。
其中,终端102可以与服务器104建立连接,从而终端102可以访问服务器104中的数据,其中服务器104可以是不能直接访问的服务器,需要终端102通过特定介质与服务器104建立连接后,终端102才可以访问服务器104中的数据。终端102可以首先向服务器104发送访问申请信息。其中,访问申请信息中包括终端102对应的第一公钥和预设随机数,第一公钥可以是终端102生成的公钥,预设随机数可以是终端102随机生成的数字。服务器104可以接收终端102发送的访问申请信息,该访问申请信息可以用于与终端102建立连接关系。例如,在终端102需要访问服务器104时,用户可以通过终端102生成一对公钥和私钥,并将公钥以及相关的申请信息发送给服务器104进行验证,以获取服务器104发送的数字证书。
步骤S304,获取服务器104对应的第二公钥、安全套接字协议以及获取终端102对应的数字证书。
其中,第二公钥可以是服务器104对应的公钥,安全套接字协议可以是服务器104中的相应版本的SSL协议。服务器104可以在接收到终端102发送的访问申请信息后,获取上述第二公钥、SSL协议以及服务器104的数字证书。服务器104可以基于上述第二公钥、SSL协议以及服务器104的数字证书形成需要发送至终端102的信息。
步骤S306,根据第一公钥以及预设随机数,确定对应的预设加密算法以及预设压缩算法。
其中,第一公钥以及预设随机数均可以是终端102发送的信息,服务器104可以基于终端102的第一公钥和预设随机数确定数据传输中需要使用的预设加密算法和预设压缩算法。例如,服务器104根据第一公钥和预设随机数,确定证书链,并从包含多个加密算法的列表以及包含多个压缩算法的列表中分别选择预设加密算法和预设压缩算法。服务器104可以基于上述预设加密算法以及预设压缩算法形成需要发送至终端102的信息。
步骤S308,向终端102发送包括安全套接字协议、预设加密算法以及预设压缩算法的响应消息以及包括第二公钥的数字证书;终端102用于根据数字证书确定与服务器104的通信策略,并基于通信策略、预设加密算法以及预设压缩算法,访问服务器104中的目标数据。
其中,服务器104可以回应终端102发送的访问申请信息,并基于该访问申请信息形成对应响应消息返回至终端102,其中响应消息中可以包括上述安全套接字协议、预设加密算法以及预设压缩算法,并且服务器104返回至终端102的信息还可以包括含有服务器104的第二公钥的数字证书。例如,服务器104可以基于终端102发送的预设随机数和第一公钥确定在进行数据访问时对数据使用的预设加密算法和预设压缩算法,以及将安全套接字协议、预设加密算法和预设压缩算法打包为响应消息,连同包含第二公钥的数字证书一同返回给终端102。
具体地,终端102可以生成包含密码套件和random(随机)信息的clienthello消息,连同上述公钥和相关申请信息形成上述的访问申请信息,并将访问申请信息发送至服务器104,使得服务器104可以响应clienthello消息,并向终端102发送对应的serverhello消息。其中,clienthello消息和serverhello消息可以是基于SSL(Secure Sockets Layer,安全套接字协议)进行传输的消息,终端102可以通过上述clienthello消息和serverhello消息与服务器104建立加密通讯的通路。其中,服务器104返回的serverhello消息中可以包含使用的SSL协议版本、选择的加密算法、选择的压缩算法和服务器104产生的random消息。
上述SSL VPN远程访问方法中,通过向服务器发送访问申请信息,令服务器向终端返回包括安全套接字协议、预设加密算法以及预设压缩算法的响应消息以及包括服务器的第二公钥的数字证书;通过终端验证数字证书有效后,根据安全套接字协议确定与服务器的通信策略,并基于通信策略、预设加密算法以及预设压缩算法,访问服务器中的目标数据。相较于传统的通过Web服务器的登录机制实现的远程访问,本方案利用基于安全套接字协议确定的通信协议以及数字证书实现访问端和被访问端间的数据访问,提高了数据访问的安全性。
在一个实施例中,获取终端102对应的数字证书,包括:根据用户信息查询预设用户表,若预设用户表中包括用户信息,获取与用户信息对应安全等级的数字证书,作为终端102对应的数字证书;预设用户表包括多个用户对应的用户信息。
本实施例中,上述终端102向服务器104发送的访问申请信息中还可以包括有该终端102对应的用户信息,上述数字证书可以包括多个安全等级的证书,且安全等级与用户信息对应。服务器104可以利用上述访问申请信息中的用户信息查询包括多个用户对应的用户信息的预设用户表,若服务器104在预设用户表中查询到上述用户信息,则服务器104可以获取与该用于信息对应的安全等级的数字证书,作为上述终端102对应的数字证书。例如,终端102可以生成自己的一对公钥和私钥,并将公钥及相关的申请信息发送给服务器获取验证,服务器核实申请信息和用户身份,确信请求来自用户后,服务器颁发给用户数字证书;并且,服务器颁发的数字证书各不相同的,它能够发布不同安全级别的证书,例如基于用户的用户信息进行安全等级的确定,用户依据证书的授权范围进行相应的各种操作。
通过本实施例,服务器104可以对终端102发送的访问申请信息进行用户身份的验证以及安全等级的确定,从而提高了远程访问中数据的安全性。并且,数字证书绑定了公钥和用户的身份信息,其作用与现实生活中的身份证件相似,最主要的区别在于数字证书是数字化的证件,它是一组包含了用户身份信息并由认证中心鉴定后颁发的电子数据,而且用户不必了解数字证书相关的知识,就可以轻松掌握使用方法,这种便捷灵活的运用方式使其在网络领域的推广十分迅速。同时数字证书还具有唯一性,且不可被复制,即使用户的信息被他人窃取或者通信的内容被截获,仍能确保用户的账户和资金安全。
在一个实施例中,向终端发送包括安全套接字协议、预设加密算法以及预设压缩算法的响应消息以及包括第二公钥的数字证书之后,还包括:获取终端102针对目标数据发送的数据请求,并获取目标数据;根据预设压缩算法,压缩目标数据,得到压缩目标数据;根据预设散列算法,获取压缩目标数据对应的真实媒体存取控制位址;根据预设加密算法,加密压缩目标数据以及真实媒体存取控制位址,得到加密数据,并将加密数据发送至所述终端102。
本实施例中,终端102与服务器104建立连接后,终端102可以获取服务器104中的相关数据。终端102可以向服务器104发送针对目标数据的数据请求,服务器104接收到数据请求后,可以获取目标数据,并利用预设压缩算法,压缩目标数据,得到压缩目标数据,并利用预设散列算法,获取压缩目标数据对应的真实媒体存储控制位址,即上述MAC值,服务器104还可以利用预设加密算法,加密压缩目标数据以及上述真实媒体存储控制位址,得到加密数据,并将加密数据发送至终端102。例如,服务器104可以通过SSL VPN进行数据的传输,若服务器104为数据发送方,则服务器04可以对需要传送的目标数据做如处理,用协商好的压缩算法来压缩数据;用已确定的散列算法算出压缩后数据的MAC;将压缩数据及MAC加密,服务器104对目标数据处理完成后,把密文传送给接收方,例如通过SSL VPN发送至上述终端102。
其中,对于上述SSL VPN,终端102至SSL VPN建立了一条隧道,SSL VPN主要做了端口转发的工作,C/S应用也使用该方法实现,对于Web的安全访问,使用HTTPS安全URL替换的方式将页面中的URL指向SSLVPN。之后由SSLVPN担任Web代理服务器的角色,对于每一个页面均进行URL重写。上述服务器104为SSL VPN服务器,当服务器104端接收到终端102的请求时,可以交由控制协议模块处理,用户认证模块和角色属性验证模块负责处理终端102的身份认证和角色验证,实现安全接入;然后根据用户的角色信息,提供给用户相应的访问控制列表,用户通过终端102选择应用服务;并通过上层应用服务引擎与内部网应用服务器104的数据交换,建立穿越公网的安全稳定的隧道。
通过本实施例,服务器104可以通过预设的加密算法和压缩算法对数据进行加密,并利用SSL VPN进行数据的传输,从而提高了远程访问中数据的安全性。
在一个实施例中,如图4所示,图4为又一个实施例中SSL VPN远程访问方法的流程示意图。包括以下流程:S1:用户通过客户端,例如上述终端102,生成一对公钥和私钥,并将公钥及相关的申请信息发送给服务器获取验证,进而获取数字证书。S2:由客户端发送包含密码套件以及random信息的clientello消息,待服务器104响应clienthello消息后,发送serverhello消息。S3:服务器104发送证书链进行密钥交换,并根据列表的内容从中选择加密算法,连同一份包含服务器104公用密钥的证书发回给客户端。S4:客户端对服务器104的证书进行验证,并抽取服务器104的公用密钥进行密钥计算,进而用协商好的密钥进行加密通信。S5:用户访问SSL VPN,成功建立SSL连接后,以Java Applet的形式下载客户端软件自动运行。S6:最后根据SSL VPN的安全策略或用户自定义策略,访问客户端的特定端口,实现访问被保护的资源。
以下提供一个应用实施例:本实施例提供一种SSL VPN网关与远程主机之间的功能模块,建立SSL VPN网络连接所需的大部分软硬件资源都集中在SSL VPN网关上,因此SSLVPN网关是建立SSL VPN所需的唯一至关重要的网络设备资源;管理员可以在SSL VPN网关上对用户和企业网内资源的信息进行安全方面的维护;用户通过SSL VPN网关可以随时访问一些企业内部重要的信息资源。此外,SSL VPN网关与远程主机之间还建立了SSL连接使得数据传输更加安全可靠。其包括的功能模块网主要有以下四个:
TCP接入模块:它的主要功能是负责接收客户端发来的SSL连接并使之与资源服务器间建立TCP连接,此外它还对用户的访问权限进行了严格的限制,这样就使其能在客户端和服务器之间方便安全的转发TCP数据。
IP接入模块:它的主要功能是负责接收客户端发来的SSL连接并检查用户的访问权限,然后对收到的IP报文进行数据包的安全转发。
用户登录管理模块:它的主要功能是对用户登录会话进行管理并生成用户的动态有效授权信息。
Web接入模块:它的主要功能是负责接收客户端发来的SSL连接使之与资源服务器间建立有效的TCP连接,此外它还对用户的访问权限进行了有效检验,当远程代理主机向资源服务器发出访问请求时它可对服务器返回的应答做出相应的响应令其可生成合理有效的Web页面。
通过上述实施例,可以利用基于安全套接字协议确定的通信协议以及数字证书实现访问端和被访问端间的数据访问,提高了数据访问的安全性。并且本发明SSL VPN的部署容易,使用方便,用户只要通过浏览器就可以访问企业内网资源;提供多种身份认证方式,确保用户信息,不泄露、不假冒;兼容性好,适用于大多数操作系统和终端设备,特别适合远程用户接入;资源控制能力强,为更好地管理和维护VPN提供了有效手段。
应该理解的是,虽然图2-图4的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2-图4中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,提供了一种SSL VPN远程访问系统,包括:终端102以及服务器104;其中:
终端102,用于向服务器104发送访问申请信息;访问申请信息包括终端102对应的第一公钥以及预设随机数;
服务器104,用于获取终端102发送的访问申请信息,获取服务器104对应的第二公钥、安全套接字协议以及与终端102对应的数字证书,根据第一公钥以及预设随机数,确定对应的预设加密算法以及预设压缩算法,向终端102发送包括安全套接字协议、预设加密算法以及预设压缩算法的响应消息以及包括第二公钥的数字证书;
终端102,用于对数字证书进行验证,若验证数字证书有效,根据安全套接字协议确定与服务器104的通信策略;基于通信策略、预设加密算法以及预设压缩算法,访问服务器104中的目标数据。
关于SSL VPN远程访问系统的具体限定可以参见上文中对于各个SSL VPN远程访问方法的限定,在此不再赘述。
在一个实施例中,如图5所示,提供了一种SSL VPN远程访问装置,包括:申请模块500、验证模块502和访问模块504,其中:
申请模块500,用于向服务器104发送访问申请信息;访问申请信息包括终端对应的第一公钥以及预设随机数;服务器104用于向终端102返回针对访问申请信息的响应消息以及包括服务器104的第二公钥的数字证书;响应消息包括安全套接字协议、预设加密算法以及预设压缩算法;预设加密算法以及预设压缩算法基于预设随机数以及第一公钥得到。
验证模块502,用于对数字证书进行验证,若验证数字证书有效,根据安全套接字协议确定与服务器104的通信策略。
访问模块504,用于基于通信策略、预设加密算法以及预设压缩算法,访问服务器104中的目标数据。
在一个实施例中,上述验证模块502,具体用于验证数字证书中的签名的是否真实;若是,确定数字证书有效;若否,确定数字证书无效。
在一个实施例中,上述验证模块502,具体用于获取安全套接字协议对应的嵌入式VPN,根据嵌入式VPN确定与服务器104的通信策略。
在一个实施例中,上述访问模块504,具体用于获取服务器104基于目标端口发送的加密数据;目标端口根据所述通信策略确定;根据预设加密算法对加密数据进行解密,并根据预设压缩算法,获取解密后的数据对应的媒体存取控制位址;将媒体存储控制位址与服务器104的真实媒体存储控制位址对比,若一致,将解密后的数据作为目标数据。
在一个实施例中,如图6所示,提供了另一种SSL VPN远程访问装置,包括:第一获取模块600、第二获取模块602、确定模块604和连接模块606,其中:
第一获取模块600,用于获取终端102发送的访问申请信息;访问申请信息包括终端对应的第一公钥以及预设随机数。
第二获取模块602,用于获取服务器104对应的第二公钥、安全套接字协议以及获取终端102对应的数字证书。
确定模块604,用于根据第一公钥以及预设随机数,确定对应的预设加密算法以及预设压缩算法。
连接模块606,用于向终端102发送包括安全套接字协议、预设加密算法以及预设压缩算法的响应消息以及包括第二公钥的数字证书;终端102用于根据数字证书确定与服务器104的通信策略,并基于通信策略、预设加密算法以及预设压缩算法,访问服务器104中的目标数据。
在一个实施例中,上述第二获取模块602,具体用于根据用户信息查询预设用户表,若预设用户表中包括用户信息,获取与用户信息对应安全等级的数字证书,作为终端102对应的数字证书;预设用户表包括多个用户对应的用户信息。
在一个实施例中,上述装置还包括:处理模块,用于获取终端102针对目标数据发送的数据请求,并获取目标数据;根据预设压缩算法,压缩目标数据,得到压缩目标数据;根据预设散列算法,获取压缩目标数据对应的真实媒体存取控制位址;根据预设加密算法,加密压缩目标数据以及真实媒体存取控制位址,得到加密数据,并将加密数据发送至所述终端102。
关于上述各个SSL VPN远程访问装置的具体限定可以参见上文中对于相应SSLVPN远程访问方法的限定,在此不再赘述。上述各个SSL VPN远程访问装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图7所示。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、运营商网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种SSL VPN远程访问方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图7中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述的SSL VPN远程访问方法。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述的SSL VPN远程访问方法。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic Random Access Memory,DRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种SSL VPN远程访问方法,其特征在于,应用于终端,所述方法包括:
向服务器发送访问申请信息;所述访问申请信息包括所述终端对应的第一公钥以及预设随机数;所述服务器用于向所述终端返回针对所述访问申请信息的响应消息以及包括所述服务器的第二公钥的数字证书;所述响应消息包括安全套接字协议、预设加密算法以及预设压缩算法;所述预设加密算法以及所述预设压缩算法基于所述预设随机数以及所述第一公钥得到;
对所述数字证书进行验证,若验证所述数字证书有效,根据所述安全套接字协议确定与所述服务器的通信策略;
基于所述通信策略、所述预设加密算法以及所述预设压缩算法,访问所述服务器中的目标数据。
2.根据权利要求1所述的方法,其特征在于,所述对所述数字证书进行验证,包括:
验证所述数字证书中的签名的是否真实;若是,确定所述数字证书有效;若否,确定所述数字证书无效。
3.根据权利要求1所述的方法,其特征在于,所述根据所述安全套接字协议确定与所述服务器的通信策略,包括:
获取所述安全套接字协议对应的嵌入式VPN,根据所述嵌入式VPN确定与所述服务器的通信策略。
4.根据权利要求1所述的方法,其特征在于,所述基于所述通信策略、所述预设加密算法以及所述预设压缩算法,访问所述服务器中的目标数据,包括:
获取所述服务器基于目标端口发送的加密数据;所述目标端口根据所述通信策略确定;
根据所述预设加密算法对所述加密数据进行解密,并根据所述预设压缩算法,获取解密后的数据对应的媒体存取控制位址;
将所述媒体存储控制位址与所述服务器的真实媒体存储控制位址对比,若一致,将所述解密后的数据作为所述目标数据。
5.一种SSL VPN远程访问方法,其特征在于,应用于服务器,所述方法包括:
获取终端发送的访问申请信息;所述访问申请信息包括所述终端对应的第一公钥以及预设随机数;
获取所述服务器对应的第二公钥、安全套接字协议以及获取所述终端对应的数字证书;
根据所述第一公钥以及所述预设随机数,确定对应的预设加密算法以及预设压缩算法;
向所述终端发送包括所述安全套接字协议、预设加密算法以及预设压缩算法的响应消息以及包括所述第二公钥的数字证书;所述终端用于根据所述数字证书确定与所述服务器的通信策略,并基于所述通信策略、所述预设加密算法以及所述预设压缩算法,访问所述服务器中的目标数据。
6.根据权利要求5所述的方法,其特征在于,所述访问申请信息还包括:所述终端对应的用户信息;所述数字证书包括多个安全等级;所述安全等级与所述用户信息对应;
所述获取所述终端对应的数字证书,包括:
根据所述用户信息查询预设用户表,若所述预设用户表中包括所述用户信息,获取与所述用户信息对应安全等级的数字证书,作为所述终端对应的数字证书;所述预设用户表包括多个用户对应的用户信息。
7.根据权利要求5所述的方法,其特征在于,所述向所述终端发送包括所述安全套接字协议、预设加密算法以及预设压缩算法的响应消息以及包括所述第二公钥的数字证书之后,还包括:
获取所述终端针对目标数据发送的数据请求,并获取所述目标数据;
根据所述预设压缩算法,压缩所述目标数据,得到压缩目标数据;
根据预设散列算法,获取所述压缩目标数据对应的真实媒体存取控制位址;
根据所述预设加密算法,加密所述压缩目标数据以及所述真实媒体存取控制位址,得到加密数据,并将所述加密数据发送至所述终端。
8.一种SSL VPN远程访问系统,其特征在于,所述系统包括:终端以及服务器;
所述终端,用于向服务器发送访问申请信息;所述访问申请信息包括所述终端对应的第一公钥以及预设随机数;
所述服务器,用于获取终端发送的访问申请信息,获取所述服务器对应的第二公钥、安全套接字协议以及与所述终端对应的数字证书,根据所述第一公钥以及所述预设随机数,确定对应的预设加密算法以及预设压缩算法,向所述终端发送包括所述安全套接字协议、预设加密算法以及预设压缩算法的响应消息以及包括所述第二公钥的数字证书;
所述终端,用于对所述数字证书进行验证,若验证所述数字证书有效,根据所述安全套接字协议确定与所述服务器的通信策略;基于所述通信策略、所述预设加密算法以及所述预设压缩算法,访问所述服务器中的目标数据。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
CN202111367560.7A 2021-11-18 2021-11-18 Ssl vpn远程访问方法、系统和计算机设备 Active CN114244569B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111367560.7A CN114244569B (zh) 2021-11-18 2021-11-18 Ssl vpn远程访问方法、系统和计算机设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111367560.7A CN114244569B (zh) 2021-11-18 2021-11-18 Ssl vpn远程访问方法、系统和计算机设备

Publications (2)

Publication Number Publication Date
CN114244569A true CN114244569A (zh) 2022-03-25
CN114244569B CN114244569B (zh) 2024-04-09

Family

ID=80750143

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111367560.7A Active CN114244569B (zh) 2021-11-18 2021-11-18 Ssl vpn远程访问方法、系统和计算机设备

Country Status (1)

Country Link
CN (1) CN114244569B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102065125A (zh) * 2010-11-18 2011-05-18 广州致远电子有限公司 一种嵌入式ssl vpn的实现方法
US20160330245A1 (en) * 2015-05-08 2016-11-10 Citrix Systems, Inc. Systems and methods for performing targeted scanning of a target range of ip addresses to verify security certificates
CN107231336A (zh) * 2016-03-25 2017-10-03 中兴通讯股份有限公司 一种局域网内网资源的访问控制方法、装置及网关设备
CN109889422A (zh) * 2019-03-07 2019-06-14 江苏省人民医院 结合虚拟化桌面与ssl vpn实现远程放疗计划的方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102065125A (zh) * 2010-11-18 2011-05-18 广州致远电子有限公司 一种嵌入式ssl vpn的实现方法
US20160330245A1 (en) * 2015-05-08 2016-11-10 Citrix Systems, Inc. Systems and methods for performing targeted scanning of a target range of ip addresses to verify security certificates
CN107231336A (zh) * 2016-03-25 2017-10-03 中兴通讯股份有限公司 一种局域网内网资源的访问控制方法、装置及网关设备
CN109889422A (zh) * 2019-03-07 2019-06-14 江苏省人民医院 结合虚拟化桌面与ssl vpn实现远程放疗计划的方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
饶兴: "基于SSL协议的安全代理的设计", 《中国优秀硕士学位论文全文数据库 信息技术辑》, no. 9, pages 2 - 3 *

Also Published As

Publication number Publication date
CN114244569B (zh) 2024-04-09

Similar Documents

Publication Publication Date Title
JP6612358B2 (ja) ネットワークアクセスデバイスをワイヤレスネットワークアクセスポイントにアクセスさせるための方法、ネットワークアクセスデバイス、アプリケーションサーバ、および不揮発性コンピュータ可読記憶媒体
CN109088889B (zh) 一种ssl加解密方法、系统及计算机可读存储介质
US11303431B2 (en) Method and system for performing SSL handshake
CN100581097C (zh) 在两计算机间传输数据的系统和方法
CN109413201B (zh) Ssl通信方法、装置及存储介质
US9137017B2 (en) Key recovery mechanism
CN107040513B (zh) 一种可信访问认证处理方法、用户终端和服务端
CN109413076B (zh) 域名解析方法及装置
US20120284506A1 (en) Methods and apparatus for preventing crimeware attacks
KR19990072733A (ko) 데이터네트워크상의박형의클라이언트장치와서버장치사이에암호-발효프로세스를실행시키기위한방법및장치
CN108243176B (zh) 数据传输方法和装置
CN112714053B (zh) 通信连接方法及装置
CN111901355A (zh) 一种认证方法及装置
CN114244508B (zh) 数据加密方法、装置、设备及存储介质
US20170317836A1 (en) Service Processing Method and Apparatus
CN111818196A (zh) 域名解析方法、装置、计算机设备和存储介质
CN113225352A (zh) 一种数据传输方法、装置、电子设备及存储介质
EP4096160A1 (en) Shared secret implementation of proxied cryptographic keys
CN113411187A (zh) 身份认证方法和系统、存储介质及处理器
CN112839062B (zh) 夹杂鉴权信号的端口隐藏方法和装置、设备
CN113922974B (zh) 一种信息处理方法及系统、前端、服务端、存储介质
CN113904767A (zh) 一种基于ssl建立通信的系统
CN115766119A (zh) 通信方法、装置、通信系统及存储介质
CN114244569B (zh) Ssl vpn远程访问方法、系统和计算机设备
WO2017024588A1 (zh) 业务处理方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant