CN114389841A - 数据传输方法、ssl vpn网关设备及用户端 - Google Patents

数据传输方法、ssl vpn网关设备及用户端 Download PDF

Info

Publication number
CN114389841A
CN114389841A CN202111510158.XA CN202111510158A CN114389841A CN 114389841 A CN114389841 A CN 114389841A CN 202111510158 A CN202111510158 A CN 202111510158A CN 114389841 A CN114389841 A CN 114389841A
Authority
CN
China
Prior art keywords
data
target
encrypted
user side
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111510158.XA
Other languages
English (en)
Inventor
赵艳梅
张立利
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhongke Hengyun Co ltd
Original Assignee
Zhongke Hengyun Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhongke Hengyun Co ltd filed Critical Zhongke Hengyun Co ltd
Publication of CN114389841A publication Critical patent/CN114389841A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明适用于通信技术领域,提供了数据传输方法、SSL VPN网关设备及用户端,其中,数据传输方法,应用于SSL VPN网关设备,包括:接收目标用户端发送的第一报文;根据第一报文判断目标数据是否需要加密传输,并向目标用户端发送包括加密结果标识的第二报文;在目标数据需要加密传输时,接收目标用户端发送的包括请求安全参数协商的第三报文;根据第三报文确定安全参数,并根据安全参数对目标数据进行加密;向目标用户端发送包括安全参数和加密后数据的第四报文;在目标数据不需要加密传输时,向目标用户端发送目标数据。本发明可以降低数据通信过程中网络资源的消耗。

Description

数据传输方法、SSL VPN网关设备及用户端
技术领域
本发明属于通信技术领域,尤其涉及数据传输方法、SSL VPN网关设备及用户端。
背景技术
随着计算机网络技术的发展,大数据技术在社会各领域得到了广泛的应用。例如,民政数据涉及种类繁多,包括养老、低保、婚姻及殡葬等大项独立类别,各大项独立类别又包含种类繁多的小类别。一般情况下,所有民政数据会存储在云端服务器,不同用户会通过用户端向云端服务器发送请求获取需要的数据。
现有利用SSL VPN(Security Socket Layer Virtual Private Network,安全套接字层虚拟专用网)技术实现信息加密传输,可以保证数据传输的安全性。如所有民政数据存储在SSL VPN网关设备中,SSL VPN网关设备为各个用户端分配VPN账号。
各个用户端通过已有VPN账号实现SSL VPN认证,建立虚拟传输通道,进行数据获取。然而,采用SSL VPN加密传输数据虽然保证了安全性,但会大量消耗网络资源,延长用户获取数据的时间。
发明内容
有鉴于此,本发明实施例提供了数据传输方法、SSL VPN网关设备及用户端,以解决现有技术中数据采用SSL VPN加密传输会导致大量消耗网络资源的问题。
本发明实施例的第一方面提供了一种数据传输方法,应用于SSL VPN网关设备,该包括:
接收目标用户端发送的包括目标用户端的用户标识和目标数据标识的第一报文;目标数据为SSL VPN网关设备中的数据;目标用户端为SSL VPN网关设备分配VPN账号的用户端;
根据第一报文判断目标数据是否需要加密传输,并向目标用户端发送包括加密结果标识的第二报文;
在目标数据需要加密传输时,接收目标用户端发送的包括请求安全参数协商的第三报文;根据第三报文确定安全参数,并根据安全参数对目标数据进行加密;向目标用户端发送包括安全参数和加密后数据的第四报文;
在目标数据不需要加密传输时,向目标用户端发送目标数据。
本发明实施例的第二方面提供了一种数据传输方法,应用于目标客户端,目标客户端为SSL VPN网关设备分配VPN账号的用户端,该方法包括:
向SSL VPN网关设备发送包括目标用户端的用户标识和目标数据标识的第一报文;目标数据为SSL VPN网关设备中的数据;
接收SSL VPN网关设备发送的包括加密结果标识的第二报文;
根据第二报文判断目标数据是否需要加密传输;
在目标数据需要加密传输时,向SSL VPN网关设备发送包括请求安全参数协商的第三报文;接收SSL VPN网关设备发送的包括安全参数和加密后数据的第四报文;
在目标数据不需要加密时,接收SSL VPN网关设备发送的目标数据。
本发明实施例的第三方面提供了一种SSL VPN网关设备,包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序,处理器执行计算机程序时实现如上第一方面数据传输方法的步骤。
本发明实施例的第四方面提供了一种用户端,包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序,处理器执行计算机程序时实现如上第二方面数据传输方法的步骤。
本发明实施例的第五方面提供了一种数据传输系统,包括如上第三方面的SSLVPN网关设备和如上第四方面的用户端。
本发明实施例的第六方面提供了一种计算机可读存储,计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时实现如上第一方面数据传输方法的步骤。
本发明实施例的第七方面提供了一种计算机可读存储,计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时实现如上第二方面数据传输方法的步骤。
本发明实施例与现有技术相比存在的有益效果是:
本发明通过接收目标用户端发送的包括目标用户端的用户标识和目标数据标识的第一报文,并根据第一报文判断目标数据是否需要加密传输;将加密结果发送至目标客户端,让目标客户端可以根据加密结果采用不同的动作;在目标数据需要加密传输时,接收目标用户端发送的包括请求安全参数协商的第三报文;根据第三报文确定安全参数,并根据安全参数对目标数据进行加密;向目标用户端发送包括安全参数和加密后数据的第四报文;在目标数据不需要加密传输时,向目标用户端发送目标数据。对传输的数据进行分类,对不同类的数据采用选择性加密的手段,既提高了数据传输的效率,还可以避免网络资源的消耗。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种数据传输方法的实现流程示意图;
图2是本发明实施例提供的另一种数据传输方法的实现流程示意图;
图3是本发明实施例提供的数据传输方法的交互流程示意图;
图4是本发明实施例提供的一种数据传输装置的示意图;
图5是本发明实施例提供的另一种数据传输装置的示意图;
图6是本发明实施例提供的SSL VPN网关设备的示意图;
图7是本发明实施例提供的用户端的示意图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本发明实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本发明。在其它情况中,省略对众所周知的系统、装置、电路以及方法的详细说明,以免不必要的细节妨碍本发明的描述。
为了说明本发明的技术方案,下面通过具体实施例来进行说明。
参见图1,其示出了本发明实施例提供的一种数据传输方法的实现流程示意图。如图1所示,一种数据传输方法,应用于SSL VPN网关设备,方法可以包括:
S101,接收目标用户端发送的包括目标用户端的用户标识和目标数据标识的第一报文;目标数据为SSL VPN网关设备中的数据;目标用户端为SSL VPN网关设备分配VPN账号的用户端。
可选的,每个用户端都对应一个标识,该标识表明该用户端的身份。目标数据标识用于表征想要获取的数据。
具体的,用户标识可以包括用户的姓名、身份证号、手机号、行政区划编码、邮箱、安全级别等中的一个或多个。SSL VPN网关设备中可以存储有所有民政数据。
S102,根据第一报文判断目标数据是否需要加密传输,并向目标用户端发送包括加密结果标识的第二报文。
可选的,SSL VPN网关设备预先存储有对应目标用户端的相关信息和目标数据的相关信息。
示例性的,预先存储的目标用户端的相关信息可以包括目标用户端的信用等级、身份等级或者地区等级等。预先存储的目标数据的相关信息可以包括安全等级等。
S103,在目标数据需要加密传输时,接收目标用户端发送的包括请求安全参数协商的第三报文;根据第三报文确定安全参数,并根据安全参数对目标数据进行加密;向目标用户端发送包括安全参数和加密后数据的第四报文。
可选的,安全参数可以包括加密方式和密钥,用于保证数据加密传输,提高安全性。
S104,在目标数据不需要加密传输时,向目标用户端发送目标数据。
本发明实施例为保证数据传输的高效性,对于没有必要加密的数据可以直接明文传输,避免加密消耗网络资源。通过对数据进行划分,分为需要加密传输和不需要加密传输,可以在多个用户端请求获取数据的时候,加快数据传输的效率,既避免网络资源的大量消耗,还减少了用户获取数据的时间。
在本发明的一些实施例中,上述S103中“根据第一报文判断目标数据是否需要加密传输”,可以包括:
根据用户标识确定目标用户端的信用等级;
根据目标数据标识确定目标数据的安全等级;
根据信用等级和安全等级判断目标数据是否需要加密传输。
可选的,根据用户端的信用等级、目标数据的安全等级与预先存储在SSL VPN网关设备中的参数进行比较,可以判断目标数据是否需要加密传输。
在本发明的一些实施例中,根据第一报文判断目标数据是否需要加密传输,还可以包括:
根据用户标识确定目标用户端的信用等级;
根据目标数据标识确定目标数据的目标权重;
根据目标权重和信用等级确定目标传输等级;
若目标传输等级不低于预设传输等级,则判定目标数据需要加密传输;
若目标传输等级低于预设传输等级,则判定目标数据不需要加密传输。
在本发明的一些实施例中,根据信用等级和安全等级判断目标数据是否需要加密传输,可以包括:
若信用等级不低于预设信用等级,和/或,安全等级不低于预设安全等级,则判定目标数据是需要加密传输;
若信用等级低于预设信用等级,且安全等级低于预设安全等级,则判定目标数据不需要加密传输。
可选的,可以将信用等级和安全等级比值作为目标加密等级。若目标加密等级不低于预设加密等级,则判定目标数据需要加密传输;若目标加密等级低于预设加密等级,则判定目标数据不需要加密传输。
在本发明的一些实施例中,数据传输方法还还包括:
在向目标用户端发送目标数据或者向目标用户端发送包括安全参数和加密后数据的第四报文后,接收目标用户端发送的数据确认报文并记录。
可选的,记录目标用户端获取的目标数据,有助于更准确的进行大数据分析。如对于民政数据,通过记录各个用户端获取的民政数据,进行大数据分析,有利于更加合理地分配各项社会资源,提高分配效率,缩短分配时间。
参见图2,其示出了本发明实施例提供的另一种数据传输方法的实现流程示意图。如图2所示,一种数据传输方法,应用于目标客户端,目标客户端为SSL VPN网关设备分配VPN账号的用户端,该方法包括:
S201,向SSL VPN网关设备发送包括目标用户端的用户标识和目标数据标识的第一报文;目标数据为SSL VPN网关设备中的数据;
S202,接收SSL VPN网关设备发送的包括加密结果标识的第二报文;
S203,根据第二报文判断目标数据是否需要加密传输;
可选的,目标用户端可以直接识别第二报文,得到目标数据是否需要加密传输。目标用户端判断目标数据是否需要加密传输的目的是为了根据是否加密采用不同的动作,降低数据传输造成的网络资源的消耗。
S205,在目标数据需要加密传输时,向SSL VPN网关设备发送包括请求安全参数协商的第三报文;接收SSL VPN网关设备发送的包括安全参数和加密后数据的第四报文;
可选的,目标用户端可以已根据安全参数得到加密数据对应的解密方式,进而对加密数据进行解密,获取目标数据。
S206,在目标数据不需要加密时,接收SSL VPN网关设备发送的目标数据。
在本发明的一个实施例中,该方法还包括:
在接收SSL VPN网关设备发送的包括安全参数和加密后数据的第四报文或者接收SSL VPN网关设备发送的目标数据后,向SSL VPN网关设备发送数据确认报文。
可选的,数据确认报文用于表征目标用户端已收到目标数据,有利于SSL VPN网关设备进行记录并进行大数据分析,合理分配资源。
示例性的,参见图3,其示出了本发明实施例提供的数据传输方法的交互流程示意图。结合图3对数据传输过程进行说明,过程如下:
S301,目标用户端向SSL VPN网关设备发送包括目标用户端的用户标识和目标数据标识的第一报文;目标数据为SSL VPN网关设备中的数据;目标用户端为SSL VPN网关设备分配VPN账号的用户端。
S302,SSL VPN网关设备根据第一报文判断目标数据是否需要加密传输。
S303,SSL VPN网关设备向目标用户端发送包括加密结果标识的第二报文。
S304,目标用户端根据第二报文判断目标数据是否需要加密传输。
S3051,目标用户端在需要加密时,向SSL VPN网关设备发送包括请求安全参数协商的第三报文。
S3052,SSL VPN网关设备根据第三报文确定安全参数,并根据安全参数对目标数据进行加密。
S3053,SSL VPN网关设备向目标用户端发送包括安全参数和加密后数据的第四报文。
S306,SSL VPN网关设备在目标数据不需要加密传输时,向目标用户端发送目标数据。
S307,目标用户端在需要加密时,接收SSL VPN网关设备发送的包括安全参数和加密后数据的第四报文,并根据第四报文获取目标数据;在不需要加密时,接收SSL VPN网关设备发送的目标数据。
S308,目标用户端在接收SSL VPN网关设备发送的包括安全参数和加密后数据的第四报文或者接收SSL VPN网关设备发送的目标数据后,向SSL VPN网关设备发送数据确认报文。
S309,SSL VPN网关设备接收目标用户端发送的数据确认报文并记录。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
对应于上述数据传输方法,本发明实施例还提供了两种数据传输装置,和数据传输方法具有同样的有益效果。
参见图4,其示出了本发明实施例提供的一种数据传输装置40的示意图。如图4所示,一种数据传输装置40,应用于SSL VPN网关设备,该装置40可以包括第一接收模块401、第一判断模块402、第一传输模块403和第二传输模块404;
第一接收模块401,用于接收目标用户端发送的包括目标用户端的用户标识和目标数据标识的第一报文;目标数据为SSL VPN网关设备中的数据;目标用户端为SSL VPN网关设备分配VPN账号的用户端;
第一判断模块402,用于根据第一报文判断目标数据是否需要加密传输,并向目标用户端发送包括加密结果标识的第二报文;
第一传输模块403,用于在目标数据需要加密传输时,接收目标用户端发送的包括请求安全参数协商的第三报文;根据第三报文确定安全参数,并根据安全参数对目标数据进行加密;向目标用户端发送包括安全参数和加密后数据的第四报文;
第二传输模块404,用于在目标数据不需要加密传输时,向目标用户端发送目标数据。
在本发明的一些实施例中,第一判断模块402可以包括第一确定单元、第二确定单元和第一判断单元;
第一确定单元,用于根据用户标识确定目标用户端的信用等级;
第二确定单元,用于根据目标数据标识确定目标数据的安全等级;
第一判断单元,用于根据信用等级和安全等级判断目标数据是否需要加密传输。
在本发明的一些实施例中,第一判断模块还可以包括第三确定单元、第四确定单元、第五确定单元、第二判断单元和第三判断单元;
第三确定单元,用于根据用户标识确定目标用户端的信用等级;
第四确定单元,用于根据目标数据标识确定目标数据的目标权重;
第五确定单元,用于根据目标权重和信用等级确定目标传输等级;
第二判断单元,用于若目标传输等级不低于预设传输等级,则判定目标数据需要加密传输;
第三判断单元,用于若目标传输等级低于预设传输等级,则判定目标数据不需要加密传输。
在本发明的一些实施例中,第一判断单元可以包括第一判定子单元和第二判定子单元;
第一判定子单元,用于若信用等级不低于预设信用等级,和/或,安全等级不低于预设安全等级,则判定目标数据是需要加密传输;
第二判定子单元,用于若信用等级低于预设信用等级,且安全等级低于预设安全等级,则判定目标数据不需要加密传输。
在本发明的一些实施例中,第一判断单元还可以包括第三判定子单元;
第三判定子单元,用于将信用等级和安全等级比值作为目标加密等级;若目标加密等级不低于预设加密等级,则判定目标数据需要加密传输;若目标加密等级低于预设加密等级,则判定目标数据不需要加密传输。
在本发明的一些实施例中,数据传输装置40还可以包括第二接收模块;
第二接收模块,用于在向目标用户端发送目标数据或者向目标用户端发送包括安全参数和加密后数据的第四报文后,接收目标用户端发送的数据确认报文并记录。
参见图5,其示出了本发明实施例提供的另一种数据传输装置的示意图。如图5所示,一种数据传输装置50,应用于目标客户端,目标客户端为SSL VPN网关设备分配VPN账号的用户端,该装置50可以包括第一发送模块501、第三接收模块502、第二判断模块503、第三传输模块504和第四传输模块505;
第一发送模块501,用于向SSL VPN网关设备发送包括目标用户端的用户标识和目标数据标识的第一报文;目标数据为SSL VPN网关设备中的数据;
第三接收模块502,用于接收SSL VPN网关设备发送的包括加密结果标识的第二报文;
第二判断模块503,用于根据第二报文判断目标数据是否需要加密传输;
第三传输模块504,用于在目标数据需要加密传输时,向SSL VPN网关设备发送包括请求安全参数协商的第三报文;接收SSL VPN网关设备发送的包括安全参数和加密后数据的第四报文;
第四传输模块505,用于在目标数据不需要加密时,接收SSL VPN网关设备发送的目标数据。
在本发明的一些实施例中,数据传输装置50,还可以包括第二发送模块;
第二发送模块,用于在接收SSL VPN网关设备发送的包括安全参数和加密后数据的第四报文或者接收SSL VPN网关设备发送的目标数据后,向SSL VPN网关设备发送数据确认报文。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将SSL VPN网关设备或用户端的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述装置中单元、模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
图6是本发明一实施例提供的SSL VPN网关设备的示意图。如图6所示,该实施例的SSL VPN网关设备60包括:一个或多个处理器600、存储器601以及存储在存储器601中并可在处理器600上运行的计算机程序602。处理器600执行计算机程序602时实现上述部分数据传输方法实施例中的步骤,例如图1所示的S101至S104。或者,处理器600执行计算机程序602时实现上述部分数据传输装置实施例中各模块/单元的功能,例如图4所示模块401至404的功能。
示例性地,计算机程序602可以被分割成一个或多个模块/单元,一个或者多个模块/单元被存储在存储器601中,并由处理器600执行,以完成本申请。一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述计算机程序602在SSL VPN网关设备60中的执行过程。例如,计算机程序602可以被分割成第一接收模块401、第一判断模块402、第一传输模块403和第二传输模块404;
第一接收模块401,用于接收目标用户端发送的包括目标用户端的用户标识和目标数据标识的第一报文;目标数据为SSL VPN网关设备中的数据;目标用户端为SSL VPN网关设备分配VPN账号的用户端;
第一判断模块402,用于根据第一报文判断目标数据是否需要加密传输,并向目标用户端发送包括加密结果标识的第二报文;
第一传输模块403,用于在目标数据需要加密传输时,接收目标用户端发送的包括请求安全参数协商的第三报文;根据第三报文确定安全参数,并根据安全参数对目标数据进行加密;向目标用户端发送包括安全参数和加密后数据的第四报文;
第二传输模块404,用于在目标数据不需要加密传输时,向目标用户端发送目标数据。
SSL VPN网关设备60包括但不仅限于处理器600和存储器601。本领域技术人员可以理解,图6仅仅是一个示例,并不构成对SSL VPN网关设备60的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如SSL VPN网关设备60还可以包括输入设备、输出设备、网络接入设备、总线等。
SSL VPN网关设备60包括但不仅限于处理器600和存储器601。本领域技术人员可以理解,图6仅仅是一个示例,并不构成对SSL VPN网关设备60的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如SSL VPN网关设备60还可以包括输入设备、输出设备、网络接入设备、总线等。
处理器600可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器601可以是SSL VPN网关设备的内部存储单元,例如SSL VPN网关设备的硬盘或内存。存储器601也可以是SSL VPN网关设备的外部存储设备,例如SSL VPN网关设备上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,存储器601还可以既包括SSL VPN网关设备的内部存储单元也包括外部存储设备。存储器601用于存储计算机程序602以及SSL VPN网关设备所需的其他程序和数据。存储器601还可以用于暂时地存储已经输出或者将要输出的数据。
其它模块或者单元可参照图4所示的实施例中的描述,在此不再赘述。
图7是本发明一实施例提供的用户终端的示意图。如图7所示,该实施例的用户终端70包括:一个或多个处理器700、存储器701以及存储在存储器701中并可在处理器700上运行的计算机程序702。处理器700执行计算机程序702时实现上述部分数据传输方法实施例中的步骤,例如图2所示的S201至S205。或者,处理器700执行计算机程序702时实现上述部分数据传输装置实施例中各模块/单元的功能,例如图5所示模块501至505的功能。
示例性地,计算机程序702可以被分割成一个或多个模块/单元,一个或者多个模块/单元被存储在存储器701中,并由处理器700执行,以完成本申请。一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述计算机程序702在用户端70中的执行过程。例如,计算机程序702可以被分割第一发送模块501、第三接收模块502、第二判断模块503、第三传输模块504和第四传输模块505;
第一发送模块501,用于向SSL VPN网关设备发送包括目标用户端的用户标识和目标数据标识的第一报文;目标数据为SSL VPN网关设备中的数据;
第三接收模块502,用于接收SSL VPN网关设备发送的包括加密结果标识的第二报文;
第二判断模块503,用于根据第二报文判断目标数据是否需要加密传输;
第三传输模块504,用于在目标数据需要加密传输时,向SSL VPN网关设备发送包括请求安全参数协商的第三报文;接收SSL VPN网关设备发送的包括安全参数和加密后数据的第四报文;
第四传输模块505,用于在目标数据不需要加密时,接收SSL VPN网关设备发送的目标数据。
其它模块或者单元可参照图5所示的实施例中的描述,在此不再赘述。
用户端70包括但不仅限于处理器700和存储器701。本领域技术人员可以理解,图7仅仅是一个示例,并不构成对用户端70的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如用户端70还可以包括输入设备、输出设备、网络接入设备、总线等。
处理器700可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器701可以是用户端的内部存储单元,例如用户端的硬盘或内存。存储器701也可以是用户端的外部存储设备,例如用户端上配备的插接式硬盘,智能存储卡(SmartMedia Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,存储器701还可以既包括用户端的内部存储单元也包括外部存储设备。存储器701用于存储计算机程序702以及用户端所需的其他程序和数据。存储器701还可以用于暂时地存储已经输出或者将要输出的数据。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请所提供的实施例中,应该理解到,所揭露的SSL VPN网关设备或用户端和方法,可以通过其它的方式实现。例如,以上所描述的SSL VPN网关设备或用户端实施例仅仅是示意性的,例如,模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或单元的间接耦合或通讯连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,计算机程序包括计算机程序代码,计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。计算机可读介质可以包括:能够携带计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括是电载波信号和电信信号。
以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。

Claims (10)

1.一种数据传输方法,其特征在于,应用于SSL VPN网关设备,所述方法包括:
接收目标用户端发送的包括所述目标用户端的用户标识和目标数据标识的第一报文;所述目标数据为所述SSL VPN网关设备中的数据;所述目标用户端为所述SSL VPN网关设备分配VPN账号的用户端;
根据所述第一报文判断所述目标数据是否需要加密传输,并向所述目标用户端发送包括加密结果标识的第二报文;
在所述目标数据需要加密传输时,接收所述目标用户端发送的包括请求安全参数协商的第三报文;根据所述第三报文确定安全参数,并根据所述安全参数对所述目标数据进行加密;向所述目标用户端发送包括所述安全参数和加密后数据的第四报文;
在所述目标数据不需要加密传输时,向所述目标用户端发送所述目标数据。
2.如权利要求1所述的数据传输方法,其特征在于,所述根据所述第一报文判断所述目标数据是否需要加密传输,包括:
根据所述用户标识确定所述目标用户端的信用等级;
根据所述目标数据标识确定所述目标数据的安全等级;
根据所述信用等级和所述安全等级判断所述目标数据是否需要加密传输。
3.如权利要求2所述的数据传输方法,其特征在于,所述根据所述信用等级和所述安全等级判断所述目标数据是否需要加密传输,包括:
若所述信用等级不低于预设信用等级,和/或,所述安全等级不低于预设安全等级,则判定所述目标数据是需要加密传输;
若所述信用等级低于所述预设信用等级,且所述安全等级低于所述预设安全等级,则判定所述目标数据不需要加密传输。
4.如权利要求1至3任一项所述的数据传输方法,其特征在于,所述方法还包括:
在向所述目标用户端发送所述目标数据或者向所述目标用户端发送包括所述安全参数和加密后数据的第四报文后,接收所述目标用户端发送的数据确认报文并记录。
5.一种数据传输方法,其特征在于,应用于目标客户端,所述目标客户端为SSL VPN网关设备分配VPN账号的用户端,所述方法包括:
向所述SSL VPN网关设备发送包括所述目标用户端的用户标识和目标数据标识的第一报文;所述目标数据为所述SSL VPN网关设备中的数据;
接收所述SSL VPN网关设备发送的包括加密结果标识的第二报文;
根据所述第二报文判断所述目标数据是否需要加密传输;
在所述目标数据需要加密传输时,向所述SSL VPN网关设备发送包括请求安全参数协商的第三报文;接收所述SSL VPN网关设备发送的包括所述安全参数和加密后数据的第四报文;
在所述目标数据不需要加密时,接收所述SSL VPN网关设备发送的所述目标数据。
6.如权利要求5所述的数据传输方法,其特征在于,所述方法还包括:
在接收所述SSL VPN网关设备发送的包括所述安全参数和加密后数据的第四报文或者接收所述SSL VPN网关设备发送的所述目标数据后,向所述SSL VPN网关设备发送数据确认报文。
7.一种SSL VPN网关设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至4任一项所述数据传输方法的步骤。
8.一种用户端,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求5或6所述数据传输方法的步骤。
9.一种数据传输系统,其特征在于,包括如权利要求7所述的SSL VPN网关设备和如权利要求8所述的用户端。
10.一种计算机可读存储,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至4任一项所述数据传输方法的步骤或者实现如权利要求5或6所述数据传输方法的步骤。
CN202111510158.XA 2021-05-28 2021-12-10 数据传输方法、ssl vpn网关设备及用户端 Pending CN114389841A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN202110594612 2021-05-28
CN2021105946128 2021-05-28

Publications (1)

Publication Number Publication Date
CN114389841A true CN114389841A (zh) 2022-04-22

Family

ID=81196528

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111510158.XA Pending CN114389841A (zh) 2021-05-28 2021-12-10 数据传输方法、ssl vpn网关设备及用户端

Country Status (1)

Country Link
CN (1) CN114389841A (zh)

Similar Documents

Publication Publication Date Title
CN106789841B (zh) 业务处理方法、终端、服务器以及系统
CN112823503B (zh) 一种数据访问方法、数据访问装置及移动终端
CN106254323A (zh) 一种ta和se的交互方法、ta、se及tsm平台
CN110598429B (zh) 数据加密存储和读取的方法、终端设备及存储介质
WO2021120924A1 (zh) 一种证书申请方法及设备
CN110266653B (zh) 一种鉴权方法、系统及终端设备
CN101917700B (zh) 一种使用业务应用的方法及用户识别模块
CN116028486A (zh) 一种数据存储和数据查询的方法和装置
CN107395350B (zh) 密钥及密钥句柄的生成方法、系统及智能密钥安全设备
CN114095277A (zh) 配电网安全通信方法、安全接入设备及可读存储介质
CN107480980A (zh) 一种虚拟资源分配的方法、服务器及系统
CN110572476B (zh) 一种远程控制方法、装置及设备
CN111901335A (zh) 基于中台的区块链数据传输管理方法及系统
CN106487761B (zh) 一种消息传输方法和网络设备
CN113141333A (zh) 入网设备的通信方法、设备、服务器、系统及存储介质
CN111064752A (zh) 一种基于公网的预置密钥共享系统及方法
CN115567297A (zh) 跨站请求数据处理方法及装置
CN105678542A (zh) 支付业务交互方法、支付终端和支付云端
CN115952484A (zh) 一种基于可信执行环境的数据流通方法、装置和系统
CN113645025A (zh) 数据加密存储方法、存储设备、用户设备及存储介质
CN114389841A (zh) 数据传输方法、ssl vpn网关设备及用户端
CN110572352A (zh) 一种智能配网安全接入平台及其实现方法
CN111885510B (zh) 一种考勤方法、考勤客户端和考勤系统
CN112785299B (zh) 一种基于区块链漫游交易的方法、装置
CN114549206A (zh) 一种交易抗抵赖的方法、系统、电子设备及可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination