一种SSLVPN中远程接入终端上业务报文的处理方法和远程接入终端。所述方法包括:在转发来自于所述VPN客户端模块的业务报文之前,启动所述VPN客户端模块执行修改所述远程接入终端上的路由表的操作,接收所述VPN客户端模块发送来的所述业务报文;将所述业务报文转发给SSLVPN处理模块,以便所述SSLVPN处理模块对所述业务报文进行地址转换后发送至所述SSLVPN网关。采用本发明专利技术的方法或终端,可以避免现有技术中修改路由表时获取系统最高权限的步骤,降低建立连接过程的复杂程度和技术实现难度。
【技术实现步骤摘要】
【国外来华专利技术】远程接入终端上业务报文的处理方法和远程接入终端
本专利技术涉及数据安全领域,特别是涉及一种远程接入终端上业务报文的处理方法和远程接入终端。
技术介绍
虚拟专用网络(VirtualPrivateNetwork,简称VPN)指的是在公用网络上建立专用网络的技术。基于安全套接层(SecuritySocketLayer,SSL)协议建立远程安全访问通道的VPN技术,简称为SSLVPN。SSLVPN是近年来兴起的VPN技术,其主要用于解决远程用户访问公司敏感数据的安全问题。为了解决远程接入终端(例如手机)与服务器之间传输的报文在Internet上的传输安全问题,现有技术可以在远程接入终端与SSLVPN网关之间建立SSLVPN隧道,将传输的报文封装在SSLVPN隧道内,再在Internet上传输。具体的,现有技术中,基于安全套接层协议的报文转发方法大致是:远程接入终端上的应用程序生成的报文,首先发送至虚拟网卡;虚拟网卡将接收到的报文发送至SSLVPN模块;SSLVPN模块将接收到的报文发送到SSLVPN网关。其中,虚拟网卡需要用户单独安装,安装完成之后还需要对虚拟网卡进行配置,例如设置网卡上的IP地址、设置网卡上的DNSServer的IP地址等操作。在转发报文之前,虚拟网卡还需要修改远程接入终端上的路由表信息,以便将发送给SSLVPN网关的报文路由到虚拟网卡上。但是,现有技术中,虚拟网卡的安装需要最高的系统管理权限。在Android、iOS等智能手机终端操作系统中,虚拟网卡的安装过程非常复杂,并且由于涉及到操作系统的权限控制,SSLVPN客户端软件无法自动安装虚拟网卡,现有技术一般要求用户人工安装,而智能手机终端用户由于不具备所需的技能很难自主完成虚拟网卡的安装。此外,虚拟网卡的设置包括对虚拟网卡上IP地址、DNSServer的配置,这些操作也需要获取操作系统的最高管理权限。同样,现有技术中,在windows、Linux、Android、iOS操作系统中,修改系统路由表也需要最高的系统管理权限,SSLVPN的客户端软件通常无法获得足够的权限来完成路由表的修改操作。由上述可知,现有技术中,基于安全套接层协议的报文转发方法,由于需要获取操作系统的最高管理权限,导致安装过程复杂,技术实现难度大。
技术实现思路
本专利技术的目的是提供一种基于安全套接层协议的报文转发方法和系统,可以不必获取操作系统的最高管理权限,降低安装过程的复杂程度和技术实现难度。为实现上述目的,本专利技术提供了如下方案:第一方面,提供了一种SSLVPN中远程接入终端上业务报文的处理方法,所述远程接入终端包括VPN客户端模块、VPN服务器端模块、SSLVPN处理模块,所述远程接入终端通过网络与SSLVPN网关连接;所述方法包括:所述VPN服务器端模块在转发来自于所述VPN客户端模块的业务报文之前,启动所述VPN客户端模块执行修改所述远程接入终端上的路由表的操作,以便所述远程接入终端中的应用软件将目的地址为SSLVPN网关的业务报文路由至所述VPN客户端模块;接收所述VPN客户端模块发送来的所述业务报文;将所述业务报文转发给SSLVPN处理模块,以便所述SSLVPN处理模块对所述业务报文进行地址转换后发送至所述SSLVPN网关。在第一方面的第一种可能的实现方式中,路由至所述VPN客户端模块的业务报文,是所述应用程序按照所述路由表,将目的地址为SSLVPN网关的业务报文发送至所述VPN客户端模块的。在第一方面的第二种可能的实现方式中,所述将所述业务报文转发给SSLVPN处理模块,以便所述SSLVPN处理模块对所述业务报文进行地址转换后发送至所述SSLVPN网关,包括:所述VPN服务器端模块将所述业务报文发送至所述SSLVPN处理模块;所述SSLVPN处理模块对所述业务报文按照SSL协议进行加密,并将所述SSLVPN网关的公网地址作为目的地址封装在所述业务报文中;所述SSLVPN处理模块将加密封装得到的业务报文发送至所述SSLVPN网关。在第一方面的第三种可能的实现方式中,所述VPN服务器端模块启动所述VPN客户端模块之前,还包括:所述VPN服务器端模块与所述VPN客户端模块建立VPN连接;所述接收所述VPN客户端模块发送来的所述业务报文,具体为:通过所述VPN连接,接收所述VPN客户端模块发送来的所述业务报文。在上述第一方面、或第一方面的任意一种可能的实现方式中,所述远程接入终端中的应用软件将目的地址为SSLVPN网关的业务报文路由至所述VPN客户端模块之前,还包括:所述应用软件判断所述业务报文的目的地址是否为SSLVPN网关的地址;如果是,则执行将所述业务报文路由至所述VPN客户端模块的步骤;否则,将所述业务报文路由至所述远程接入终端的物理网卡,以便通过所述物理网卡将所述业务报文发送至公网中的服务器。第二方面,提供一种远程接入终端,包括VPN客户端模块、VPN服务器端模块、SSLVPN处理模块,所述远程接入终端通过网络与SSLVPN网关连接;所述VPN服务器端模块包括:路由表修改单元,用于在转发来自于所述VPN客户端模块的业务报文之前,启动所述VPN客户端模块执行修改所述远程接入终端上的路由表的操作,以便所述远程接入终端中的应用软件将目的地址为SSLVPN网关的业务报文路由至所述VPN客户端模块;接收单元,用于接收所述VPN客户端模块发送来的所述业务报文;发送单元,用于将接收单元接收的所述业务报文转发给SSLVPN处理模块,以便所述SSLVPN处理模块对所述业务报文进行地址转换后发送至所述SSLVPN网关。在第二方面的第一种可能的实现方式中,还包括:应用程序控制模块,用于控制所述远程接入终端上的应用程序按照所述路由表,将目的地址为SSLVPN网关的业务报文发送至所述VPN客户端模块。在第二方面的第二种可能的实现方式中,所述SSLVPN处理模块包括:报文处理单元,用于对所述VPN服务器端模块发来的业务报文按照SSL协议进行加密,并将所述SSLVPN网关的公网地址作为目的地址封装在所述业务报文中;发送单元,用于将报文处理单元加密封装得到的业务报文发送至所述SSLVPN网关。在第二方面的第三种可能的实现方式中,所述SSLVPN处理模块包括:第一指令发送单元,用于向所述VPN服务器端模块发起第一启动指令;第二指令发送单元,用于向所述VPN客户端模块发起第二启动指令;所述第一启动指令用于开启所述VPN服务器端模块,所述第二启动指令,用于控制所述VPN客户端模块开始创建VPN隧道。在第二方面、或第二方面的任意一种可能的实现方式中,还包括:路由控制模块,用于在所述远程接入终端中的应用软件将目的地址为SSLVPN网关的业务报文路由至所述VPN客户端模块之前,判断所述业务报文的目的地址是否为SSLVPN网关的地址;当所述报文目的地址判断单元的判断结果为是时,执行将所述业务报文路由至所述VPN客户端模块的步骤;当所述报文目的地址判断单元的判断结果为否时,将所述业务报文路由至所述远程接入终端的物理网卡,以便通过所述物理网卡将所述业务报文发送至公网中的服务器。第三方面,提供一种远程接入终端,包括存储器和处理器,其中:所述存储器被配置存储代码;所述处理器被配置读取所述存储器中存储的本文档来自技高网...
【技术保护点】
PCT国内申请,权利要求书已公开。
【技术特征摘要】
【国外来华专利技术】1.一种SSLVPN中远程接入终端上业务报文的处理方法,其特征在于,所述远程接入终端包括VPN客户端模块、VPN服务器端模块、SSLVPN处理模块,所述远程接入终端通过网络与SSLVPN网关连接;所述方法包括:所述VPN服务器端模块在转发来自于所述VPN客户端模块的业务报文之前,启动所述VPN客户端模块执行修改所述远程接入终端上的路由表的操作,以便所述远程接入终端中的应用软件将目的地址为所述SSLVPN网关的业务报文路由至所述VPN客户端模块;所述VPN服务器端模块接收所述VPN客户端模块发送来的所述业务报文;所述VPN服务器端模块将所述业务报文转发给所述SSLVPN处理模块,以便所述SSLVPN处理模块对所述业务报文进行地址转换后发送至所述SSLVPN网关。2.根据权利要求1所述的方法,其特征在于,路由至所述VPN客户端模块的业务报文,是所述应用程序按照所述路由表,将目的地址为SSLVPN网关的业务报文发送至所述VPN客户端模块的。3.根据权利要求1所述的方法,其特征在于,所述将所述业务报文转发给SSLVPN处理模块,以便所述SSLVPN处理模块对所述业务报文进行地址转换后发送至所述SSLVPN网关,包括:所述VPN服务器端模块将所述业务报文发送至所述SSLVPN处理模块;所述SSLVPN处理模块对所述业务报文按照SSL协议进行加密,并将所述SSLVPN网关的公网地址作为目的地址封装在所述业务报文中;所述SSLVPN处理模块将加密封装得到的业务报文发送至所述SSLVPN网关。4.根据权利要求1所述的方法,其特征在于,所述VPN服务器端模块启动所述VPN客户端模块之前,还包括:所述VPN服务器端模块与所述VPN客户端模块建立VPN连接;所述接收所述VPN客户端模块发送来的所述业务报文,具体为:通过所述VPN连接,接收所述VPN客户端模块发送来的所述业务报文。5.根据权利要求1-4任一项所述的方法,其特征在于,所述远程接入终端中的应用软件将目的地址为SSLVPN网关的业务报文路由至所述VPN客户端模块之前,还包括:所述应用软件判断所述业务报文的目的地址是否为SSLVPN网关的地址;如果是,则执行将所述业务报文路由至所述VPN客户端模块的步骤;否则,将所述业务报文路由至所述远程接入终端的物理网卡,以便通过所述物理网卡将所述业务报文发送至公网中的服务器。6.一种远程接入终端,其特征在于,包括VPN客户端模块、VPN服务器端模块、SSLVPN处理...
【专利技术属性】
技术研发人员:聂成蛟,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。