一种基于VPN的安全访问数据的方法、设备和系统与流程
本发明涉及网络安全技术,尤其涉及一种基于虚拟专用网络(VPN,Virtual Private Network)的安全访问数据的方法、设备和系统。
背景技术:
随着移动通信技术和集成电路技术的发展,移动终端拥有越来越强大的处理能力,逐渐成为一个能够处理综合信息的便携性的处理平台。目前,移动终端也成为了进行移动办公的一种重要工具。
简要来说,移动办公就是用户可以通过自己的移动终端通过VPN访问公司的内部网络来进行远程的数据访问。在公司的内部网络中设置有VPN服务器,作为公司内部网络与外部互联网之间的接口,用户通过移动终端连接上互联网后,可以根据VPN服务器在公网的地址与VPN服务器进行连接;并且,在登录VPN服务器之后,用户则可以利用VPN服务器进入公司内网,进行相应的用户办公的数据访问。
但是,移动终端为用户进行远程办公带来方便的同时,也增加了泄露公司内部资料和机密数据的风险。特别是目前主流的智能终端操作系统,比如,安卓Android、苹果公司的移动操作系统IOS等,都频频爆发出病毒和木马。因此,当用户的移动终端感染上病毒或被植入木马后,用户在登录VPN服务器的过程中,很有可能会造成账号、密码被窃取,甚至还会在用户通过VPN进行远程数据访问的过程中,导致公司内部资料和机密的泄露,造成严重的损失。因此,当前需要针对移动终端基于VPN进行的远程数据访问的安全性进行重视。
技术实现要素:
为解决上述技术问题,本发明实施例期望提供一种基于VPN的安全访问数 据的方法、设备和系统,能够从硬件的底层方面,提高用户使用移动终端通过VPN进行数据访问的安全性。
本发明的技术方案是这样实现的:
第一方面,本发明实施例提供了一种基于VPN的安全访问数据的方法,所述方法包括:
移动终端在安全区域下获取待发送至VPN服务器的私密信息;
所述移动终端在所述安全区域下按照预设的加密策略对所述私密信息进行加密后,在非安全区域下将所述加密后的私密信息发送至VPN服务器;
所述移动终端在所述非安全区域下接收由所述VPN服务器发送的显示信息;
所述移动终端在所述安全区域下将所述显示信息按照预设的解密策略进行解密之后,将解密后的显示信息进行显示。
在上述方案中,所述移动终端在安全区域下获取待发送至VPN服务器的私密信息,具体包括:
所述移动终端在所述安全区域下启动并显示VPN登录界面,接收输入至所述VPN登录界面中的登录信息。
在上述方案中,所述移动终端在安全区域下按照预设的加密策略对所述私密信息进行加密后,在非安全区域下将所述加密后的私密信息发送至VPN服务器,具体包括:
所述移动终端在所述安全区域下按照预设的加密策略将所述登录信息进行加密,并切换至所述非安全区域;
所述移动终端在所述非安全区域下将加密后的登录信息传输至所述VPN服务器。
在上述方案中,所述移动终端登录所述VPN服务器之后,所述方法还包括:
所述移动终端在所述安全区域下调用生理特征采集装置获取并保存生理特征信息后,生成与所述生理特征信息对应的密钥对;
所述移动终端在所述非安全区域下将所述密钥对中的公钥传输至所述 VPN服务器。
在上述方案中,所述方法还包括:
所述移动终端在所述安全区域下启动并显示生理特征登录界面,并调用生理特征采集装置获取生理特征信息;
当获取得到的生理特征信息与存储的生理特征信息比对一致时,所述移动终端在安全区域下将用于指示比对一致的指示信息通过与所述存储的生理特征信息对应的私钥进行加密,得到加密后的指示信息;
所述移动终端在所述安全区域下按照预设的加密策略将所述加密后的指示信息进行加密后,在所述非安全区域下将所述二重加密的指示信息发送至所述VPN服务器。
在上述方案中,所述移动终端在所述安全区域下获取待发送至VPN服务器的私密信息,具体包括:所述移动终端在所述安全区域下通过输入设备接收输入的指令。
在上述方案中,所述移动终端在安全区域下按照预设的加密策略对所述私密信息进行加密后,在非安全区域下将所述加密后的私密信息发送至VPN服务器,具体包括:
所述移动终端在所述安全区域下按照预设的加密策略将所述输入的指令进行加密,并切换至所述非安全区域;
所述移动终端在所述非安全区域下将加密后的输入指令传输至所述VPN服务器。
在上述方案中,所述方法还包括:
所述移动终端在所述安全区域下按照预设的加密策略将注销请求进行加密,并切换至所述非安全区域;
所述移动终端在所述非安全区域下将加密后的注销请求传输至所述VPN服务器;
所述移动终端在所述非安全区域下接收所述VPN服务器发送的加密的注销成功指示,并切换至所述安全区域;
所述移动终端在所述安全区域下对所述加密的注销成功指示进行解密,并根据解密后的注销成功指示完成注销,并切换至所述非安全区域。
第二方面,本发明实施例提供了一种基于VPN的安全访问数据的方法,所述方法包括:
VPN服务器接收由移动终端发送的加密信息;
所述VPN服务器根据预设的与所述移动终端安全区域的加密策略相对应的解密策略对加密信息进行解密,并依据所述解密后的信息类型相应地对所述解密后的信息进行处理。
在上述方案中,所述加密信息包括加密后的登录信息,相应地,所述VPN服务器根据预设的与移动终端安全区域的加密策略相对应的解密策略对加密信息进行解密,并依据解密后的信息类型相应地对解密后的信息进行处理,具体包括:
所述VPN服务器按照预设的解密策略进行解密,并且对登录信息进行验证,并根据验证结果确定登陆是否成功:
当验证通过时,所述VPN服务器确定登录成功,所述VPN服务器建立与所述移动终端之间的连接;
当验证失败时,所述VPN服务器确认登录失败。
在上述方案中,在用户登陆之后,所述方法还包括:所述VPN服务器接收到存储的生理特征信息对应的公钥,并且将所述公钥与当前用户的登录信息进行绑定。
在上述方案中,所述加密信息包括移动终端在安全区域采集的生理特征信息与存储的生理特征信息进行比对之后二重加密的指示信息;
相应地,所述VPN服务器根据预设的与移动终端安全区域的加密策略相对应的解密策略对加密信息进行解密,并依据解密后的信息类型相应地对解密后的信息进行处理,具体包括:
所述VPN服务器按照预设的解密策略进行解密,获得通过存储的生理特征信息对应的私钥进行加密的指示信息;
所述VPN服务器根据所述存储的生理特征信息对应的公钥对加密的指示信息进行解密,并根据解密得到结果确认是否登陆成功:
当获得正确的指示信息时,所述VPN服务器确定通过生理特征信息登录成功,所述VPN服务器建立与移动终端之间的连接;
当没有获取正确的指示信息时,所述VPN服务器确认登录失败。
在上述方案中,所述加密信息包括由移动终端的安全区域进行加密的用户进行操作所输入的指令;
相应地,VPN服务器根据预设的与移动终端安全区域的加密策略相对应的解密策略对加密信息进行解密,并依据解密后的信息类型相应地对解密后的信息进行处理,具体包括:
所述VPN服务器根据预设的与移动终端安全区域的加密策略相对应的解密策略在将加密后的输入指令解密之后,发送至内网进行处理;
所述VPN服务器接收内网返回的针对所述输入指令的操作结果。
在上述方案中,所述加密信息包括由移动终端的安全区域进行加密的注销请求;
相应地,VPN服务器根据预设的与移动终端安全区域的加密策略相对应的解密策略对加密信息进行解密,并依据解密后的信息类型相应地对解密后的信息进行处理,具体包括:
所述VPN服务器对所述加密的注销请求进行解密后,可以依据所述注销请求完成注销操作,并将注销成功指示进行加密并返回至移动终端。
第三方面,本发明实施例提供了一种移动终端,所述移动终端中包括安全区域单元、非安全区域单元和安全监控单元;其中,
所述安全区域单元,用于获取待发送至VPN服务器的私密信息;
以及预设的加密策略对所述私密信息进行加密;
以及,触发所述安全监控单元;
所述安全监控单元,用于将所述安全区域单元切换至所述非安全区域单元;
所述非安全区域单元,用于将所述加密后的私密信息发送至VPN服务器;
以及,接收由所述VPN服务器发送的显示信息;
以及,触发所述安全监控单元;
所述安全监控单元,还用于将所述非安全区域单元切换至所述安全区域单元;
所述安全区域单元,还用于将所述显示信息按照预设的解密策略进行解密之后,将解密后的显示信息进行显示。
在上述方案中,所述安全区域单元,具体用于:启动并显示VPN登录界面,接收输入至所述VPN登录界面中的登录信息。
在上述方案中,所述安全区域单元,具体用于:按照预设的加密策略将所述登录信息进行加密;
所述非安全区域单元,具体用于:将加密后的登录信息传输至所述VPN服务器。
在上述方案中,所述安全区域单元,还用于调用生理特征采集装置获取并保存生理特征信息后,生成与所述生理特征信息对应的密钥对;
所述非安全区域单元,还用于将所述密钥对中的公钥传输至所述VPN服务器。
在上述方案中,所述安全区域单元,还用于启动并显示生理特征登录界面,并调用生理特征采集装置获取生理特征信息;
以及,当获取得到的生理特征信息与存储的生理特征信息比对一致时,将用于指示比对一致的指示信息通过与所述存储的生理特征信息对应的私钥进行加密,得到加密后的指示信息;
以及,按照预设的加密策略将所述加密后的指示信息进行加密,获得二重加密的指示信息;
所述非安全区域单元,还用于将所述二重加密的指示信息发送至所述VPN服务器。
在上述方案中,所述安全区域单元,具体用于通过输入设备接收输入的指令。
在上述方案中,所述安全区域单元,具体用于按照预设的加密策略将所述输入的指令进行加密;
所述非安全区域单元,具体用于将加密后的输入指令传输至所述VPN服务器。
在上述方案中,所述安全区域单元,还用于按照预设的加密策略将注销请求进行加密;
所述非安全区域单元,还用于将加密后的注销请求传输至所述VPN服务器;
以及,接收所述VPN服务器发送的加密的注销成功指示;
所述安全区域单元,还用于对所述加密的注销成功指示进行解密,并根据解密后的注销成功指示完成注销,并触发所述安全监控单元切换至所述非安全区域单元。
第四方面,本发明实施例提供了一种VPN服务器,所述VPN服务器包括接收单元和解密处理单元;其中,
所述接收单元,用于接收由移动终端发送的加密信息;
所述解密处理单元,用于根据预设的与所述移动终端安全区域的加密策略相对应的解密策略对加密信息进行解密,并依据所述解密后的信息类型相应地对所述解密后的信息进行处理。
在上述方案中,所述加密信息包括加密后的登录信息,相应地,所述解密处理单元,具体用于:
按照预设的解密策略进行解密,并且对登录信息进行验证,并根据验证结果确定登陆是否成功:
当验证通过时,确定登录成功,并建立与所述移动终端之间的连接;
当验证失败时,确认登录失败。
在上述方案中,所述接收单元,还用于接收到存储的生理特征信息对应的公钥,并且将所述公钥与当前用户的登录信息进行绑定。
在上述方案中,所述加密信息包括移动终端在安全区域采集的生理特征信息与存储的生理特征信息进行比对之后二重加密的指示信息;
相应地,所述解密处理单元,具体用于:
按照预设的解密策略进行解密,获得通过存储的生理特征信息对应的私钥进行加密的指示信息;
以及,根据所述存储的生理特征信息对应的公钥对加密的指示信息进行解密,并根据解密得到结果确认是否登陆成功:
以及,当获得正确的指示信息时,确定通过生理特征信息登录成功,并建立与移动终端之间的连接;
以及,当没有获取正确的指示信息时,确认登录失败。
在上述方案中,所述加密信息包括由移动终端的安全区域进行加密的用户进行操作所输入的指令;
相应地,所述解密处理单元,具体用于:
根据预设的与移动终端安全区域的加密策略相对应的解密策略在将加密后的输入指令解密之后,发送至内网进行处理;
以及,接收内网返回的针对所述输入指令的操作结果。
在上述方案中,所述加密信息包括由移动终端的安全区域进行加密的注销请求;
相应地,所述解密处理单元,具体用于:
对所述加密的注销请求进行解密后,可以依据所述注销请求完成注销操作,将注销成功指示进行加密并触发所述接收单元;
所述接收单元,还用于将加密后的注销成功指示返回至移动终端。
第五方面,本发明实施例提供了一种基于VPN的安全访问数据的系统,所述系统包括:移动终端和VPN服务器;
其中,所述移动终端,用于在安全区域下获取待发送至VPN服务器的私密信息;
以及,在所述安全区域下按照预设的加密策略对所述私密信息进行加密后,在非安全区域下将所述加密后的私密信息发送至所述VPN服务器;
以及,在所述非安全区域下接收由所述VPN服务器发送的显示信息;
以及,在所述安全区域下将所述显示信息按照预设的解密策略进行解密之后,将解密后的显示信息进行显示;
所述VPN服务器,用于接收由所述移动终端发送的加密信息;
以及,根据预设的与所述移动终端安全区域的加密策略相对应的解密策略对加密信息进行解密,并依据所述解密后的信息类型相应地对所述解密后的信息进行处理。
本发明实施例提供了一种基于VPN的安全访问数据的方法、设备和系统,通过利用目前移动终端处理器架构中对于安全性区域的划分,将移动终端需要与VPN服务器进行传输的机密性数据通过处理器架构中的安全区域进行执行,从而避免了当移动终端处理器架构中的非安全区域遭受到病毒感染或木马植入时,从硬件的底层方面,仍然能够提高用户使用移动终端通过VPN进行数据访问的安全性。
附图说明
图1为本发明实施例提供的一种基于VPN的安全访问数据的方法流程示意图;
图2为本发明实施例提供的一种注册过程示意图;
图3为本发明实施例提供的一种登录过程示意图;
图4为本发明实施例提供的一种注销过程示意图;
图5为本发明实施例提供的另一种基于VPN的安全访问数据的方法流程示意图;
图6为本发明实施例提供的一种移动终端的结构示意图;
图7为本发明实施例提供的一种VPN服务器的结构示意图;
图8为本发明实施例提供的一种基于VPN的安全访问数据的系统结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
本发明实施例的基本思想是:利用具有安全区域与非安全区域的处理器架构,例如支持Trust Zone的ARM处理器架构,将移动终端在远程访问数据时,安全级别较高的操作通过运行在处理器安全区域下的安全操作系统进行执行;而运行在处理器非安全区域下的非安全操作系统仅用于进行移动终端与VPN服务器之间的数据传输,使得在非安全操作系统中无法获取到用户在进行VPN远程数据访问时的操作数据,从而了操作数据的安全性。
基于上述基本思想,以下通过若干实施例对实现上述基本思想的技术方案进行说明。为了能够清楚地对本发明实施例的技术方案进行说明,后续实施例中的移动终端均以支持Trust Zone技术的ARM处理器架构,且运行安卓Android操作系统的移动终端为例进行说明,可以理解地,本领域技术人员可以将本发明实施例的技术方案应用于支持安全区域与非安全区域的其他处理器架构,且运行为其他移动终端操作系统的移动终端,本发明实施例对此不做具体赘述。
实施例一
参见图1,其示出了本发明实施例提供的一种基于VPN的安全访问数据的方法,该方法应用于兼具安全区域和非安全区域的移动终端中,该方法可以包括:
S101:移动终端在安全区域下获取待发送至VPN服务器的私密信息;
S102:移动终端在安全区域下按照预设的加密策略对所述私密信息进行加密后,在非安全区域下将所述加密后的私密信息发送至VPN服务器;
S103:移动终端在非安全区域下接收由VPN服务器发送的显示信息;
S104:移动终端在安全区域下将所述显示信息按照预设的解密策略进行解密之后,将解密后的显示信息进行显示。
需要说明的是,以支持Trust Zone技术的ARM处理器架构为例,Trust Zone技术分离了两个并行且隔离执行的环境:非安全的普通执行环境,也就是上述的非安全区域;以及安全可信任的安全环境,也就是上述的安全区域。安全区域与非安全区域之间转换的控制由通过安全监控器Monitor来实现。因此,对于兼具安全区域和非安全区域的移动终端来说,安全区域和非安全区域之间可以通过设定特殊的安全监控机制来实现,本发明实施例对此不做具体赘述。
由上述图1所示的方法流程可以得知,在本发明实施例中,移动终端在非安全区域下,仅仅只是完成自身与VPN服务器之间的数据传输功能,待发送信息的获取与加密以及从VPN服务器所接收到的接收信息的展示与解密,均是在移动终端的安全区域下完成。由于安全区域与非安全区域之间是并行且隔离的,因此,在非安全区域下移动终端所感染的病毒和植入的木马也同样被隔离在移动终端的安全区域之外,因此,图1所示的流程能够从硬件的底层方面,提高用户使用移动终端通过VPN进行数据访问的安全性。
示例性地,在图1所示的流程的基础上,需要说明的是,私密信息具体可以包括登录VPN的登录信息,因此,移动终端在安全区域下获取待发送至VPN服务器的私密信息,具体可以包括:
移动终端在安全区域下启动并显示VPN登录界面,接收输入至所述VPN登录界面中的登录信息,例如用户名和密码等。
相应地,移动终端在安全区域下按照预设的加密策略对所述私密信息进行加密后,在非安全区域下将所述加密后的私密信息发送至VPN服务器,具体包括:
移动终端在安全区域下按照预设的加密策略将所述登录信息进行加密,并切换至非安全区域;
以及,移动终端在非安全区域下将加密后的登录信息传输至VPN服务器。
可以理解地,VPN服务器在接收到加密后的登录信息后,按照预设的解密策略进行解密,并且对登录信息进行验证,并根据验证结果确定登陆是否成功:
当验证通过时,VPN服务器确定登录成功,VPN服务器建立移动终端与 VPN服务器之间的连接;
当验证失败时,VPN服务器确认登录失败。
进一步地,为了提升用户登录的安全性,还可以在通过常规的登录信息,如用户名及密码登陆VPN服务器成功之后,还可以针对用户的生理特征,例如用户的指纹和眼纹进行安全性增强的VPN登录。因此,在移动终端在通过常规的登录信息登录VPN服务器之后,还可以包括对用户的生理特征信息进行注册的过程,参见图2,具体可以包括:
S201:移动终端在安全区域下调用生理特征采集装置获取并保存生理特征信息后,生成与该生理特征信息对应的密钥对;
S202:移动终端在非安全区域下将所述密钥对中的公钥传输至VPN服务器。
具体地,移动终端可以在安全区域下启动摄像头获取用户的眼纹或指纹等生理特征信息;可以理解地,当VPN服务器接收到该生理特征信息对应的公钥后,可以将该公钥与当前用户的登录信息进行绑定,从而后续可以将该生理特征信息作为当前用户的安全性增强的登录信息。
进一步地,与对用户的生理特征信息进行注册相对应的,还可以包括通过用户的生理特征信息进行登录的过程,参见图3,具体可以包括:
S301:移动终端在安全区域下启动并显示生理特征登录界面,并调用生理特征采集装置获取生理特征信息;
S302:当获取得到的生理特征信息与存储的生理特征信息比对一致时,移动终端在安全区域下将用于指示比对一致的指示信息通过与存储的生理特征信息对应的私钥进行加密,得到加密后的指示信息;
S303:移动终端在安全区域下按照预设的加密策略将加密后的指示信息进行加密后,在非安全区域下将该二重加密的指示信息发送至VPN服务器。
具体地,移动终端可以在安全区域下启动摄像头获取用户的眼纹或指纹等生理特征信息;可以理解地,当VPN服务器接收到该二重加密的指示信息之后,可以对二重加密的指示信息通过解密获取加密后的指示信息,并将该加密后的指示信息通过与存储的生理特征信息对应的公钥进行解密,并根据解密得到结 果确认是否登陆成功:
当获得正确的指示信息时,VPN服务器确定通过生理特征信息登录成功,VPN服务器建立移动终端与VPN服务器之间的连接;
当没有获取正确的指示信息时,VPN服务器确认登录失败。
示例性地,通过上述方案完成移动终端与VPN服务器之间的注册和登录,当移动终端与VPN之间的连接建立完成后,就需要移动终端与VPN之间通过数据交互进行远程的数据访问,具体可以包括用户通过移动终端向VPN服务器发送用户输入的指令,VPN将输入的指令发送给内网完成指令相应的操作;随后,内网将需要在用户终端进行显示的操作结果发送给VPN,从而通过VPN将需要进行显示的操作结果返回至移动终端;此时,用户进行操作所输入的指令则是一种私密信息;而需要在移动终端显示的结果则是一种显示信息;相应的,通过VPN将需要进行显示的操作结果返回至移动终端的具体过程可以参照图1中的步骤S103至S104;但是,当用户进行操作所输入的指令则是一种私密信息时,移动终端在安全区域下获取待发送至VPN服务器的私密信息,具体包括:移动终端在安全区域下通过输入设备接收输入的指令;例如,移动终端在安全区域下可以调用触摸屏接收对用户的输入操作,并进行记录。
相应地,移动终端在安全区域下按照预设的加密策略对所述私密信息进行加密后,在非安全区域下将所述加密后的私密信息发送至VPN服务器,具体包括:
移动终端在安全区域下按照预设的加密策略将输入的指令进行加密,并切换至非安全区域;
以及,移动终端在非安全区域下将加密后的输入指令传输至VPN服务器。
可以理解地,VPN服务器在将加密后的输入指令解密之后,发送至内网进行处理,从而能够得到针对该输入指令的需要进行显示的操作结果。
示例性地,当移动终端远程数据访问完毕后,还需要对已登录的信息进行注销,参见图4,具体可以包括:
S401:移动终端在安全区域下按照预设的加密策略将注销请求进行加密, 并切换至非安全区域;
S402:移动终端在非安全区域下将加密后的注销请求传输至VPN服务器;可以理解地,当VPN服务器对加密的注销请求进行解密后,可以依据注销请求完成注销操作,并将注销成功指示进行加密。
S403:移动终端在非安全区域下接收VPN服务器发送的加密的注销成功指示,并切换至安全区域;
S404:移动终端在安全区域下对加密的注销成功指示进行解密,并根据解密后的注销成功指示完成注销,并切换至非安全区域。
本实施例提供了一种应用于移动终端侧的基于VPN的安全访问数据的方法,通过利用目前移动终端处理器架构中对于安全性区域的划分,将移动终端需要与VPN服务器进行传输的机密性数据通过处理器架构中的安全区域进行执行和处理,从而避免了当移动终端处理器架构中的非安全区域遭受到病毒感染或木马植入时,从硬件的底层方面,仍然能够提高用户使用移动终端通过VPN进行数据访问的安全性。
实施例二
基于前述实施例相同的技术构思,基于图5,其示出了本发明实施例提供的应用于VPN服务器侧的基于VPN的安全访问数据的方法,该方法可以包括:
S501:VPN服务器接收由移动终端发送的加密信息;
需要说明的是,该加密信息是由移动终端的安全区域进行加密,并通过移动终端的非加密区域发送的。
S502:VPN服务器根据预设的与移动终端安全区域的加密策略相对应的解密策略对加密信息进行解密,并依据解密后的信息类型相应地对解密后的信息进行处理。
需要说明的是,VPN服务器在整个实施例的技术方案中的作用就是建立移动终端与内网的连接,并且将移动终端所发送的信息进行相应的处理。
具体地,当用户通过移动终端登陆VPN时,加密信息可以包括移动终端在安全区域加密后的登录信息,例如用户名和密码等;相应地,VPN服务器根据 预设的与移动终端安全区域的加密策略相对应的解密策略对加密信息进行解密,并依据解密后的信息类型相应地对解密后的信息进行处理,具体可以包括:
VPN服务器在接收到加密后的登录信息后,按照预设的解密策略进行解密,并且对登录信息进行验证,并根据验证结果确定登陆是否成功:
以及,当验证通过时,VPN服务器确定登录成功,VPN服务器建立移动终端与VPN服务器之间的连接;
以及,当验证失败时,VPN服务器确认登录失败。
进一步地,为了提升用户登录的安全性,还可以在通过常规的登录信息,如用户名及密码登陆VPN服务器成功之后,还可以针对用户的生理特征,例如用户的指纹和眼纹进行安全性增强的VPN登录,因此,需要针对用户的生理特征进行额外的注册。此时,加密信息可以包括移动终端在安全区域采集的生理特征信息所对应的密钥对中的公钥。相应地,在用户登陆之后,VPN服务器接收到该生理特征信息对应的公钥,并且将该公钥与当前用户的登录信息进行绑定。从而后续可以将该生理特征信息作为当前用户的安全性增强的登录信息。
进一步地,对用户的生理特征信息进行注册之后,相对应的,还包括通过用户的生理特征信息进行登录的过程,此时,加密信息可以包括移动终端在安全区域采集的生理特征信息与存储的生理特征信息进行比对之后二重加密的指示信息,相应地,VPN服务器根据预设的与移动终端安全区域的加密策略相对应的解密策略对加密信息进行解密,并依据解密后的信息类型相应地对解密后的信息进行处理,具体可以包括:
VPN服务器按照预设的解密策略进行解密,获得通过存储的生理特征信息对应的私钥进行加密的指示信息;
以及,VPN服务器根据存储的生理特征信息对应的公钥对加密的指示信息进行解密,并根据解密得到结果确认是否登陆成功:
以及,当获得正确的指示信息时,VPN服务器确定通过生理特征信息登录成功,VPN服务器建立移动终端与VPN服务器之间的连接;
以及,当没有获取正确的指示信息时,VPN服务器确认登录失败。
示例性地,通过上述方案就能够完成移动终端与VPN服务器之间的注册和登录,当移动终端与VPN之间的连接建立完成后,就需要移动终端与VPN之间通过数据交互进行远程的数据访问,具体可以包括用户通过移动终端向VPN服务器发送用户输入的指令,VPN将输入的指令发送给内网完成指令相应的操作;随后,内网将需要在用户终端进行显示的操作结果发送给VPN,从而通过VPN将需要进行显示的操作结果返回至移动终端。
此时,加密信息可以包括由移动终端的安全区域进行加密的用户进行操作所输入的指令;相应地,VPN服务器根据预设的与移动终端安全区域的加密策略相对应的解密策略对加密信息进行解密,并依据解密后的信息类型相应地对解密后的信息进行处理,具体可以包括:
VPN服务器根据预设的与移动终端安全区域的加密策略相对应的解密策略在将加密后的输入指令解密之后,发送至内网进行处理;
接收内网返回的针对该输入指令的操作结果。
可以理解地,该操作结果由于需要在移动终端中进行显示,因此,VPN服务器会将操作结果进行加密后,将加密后的操作结果发送至移动终端。
示例性地,当移动终端远程数据访问完毕后,还需要对已登录的信息进行注销,此时,加密信息可以包括由移动终端的安全区域进行加密的注销请求;相应地,VPN服务器根据预设的与移动终端安全区域的加密策略相对应的解密策略对加密信息进行解密,并依据解密后的信息类型相应地对解密后的信息进行处理,具体可以包括:
VPN服务器对加密的注销请求进行解密后,可以依据注销请求完成注销操作,并将注销成功指示进行加密并返回至移动终端,从而使得移动终端对加密的注销成功指示进行解密后,根据解密后的注销成功指示完成注销。
实施例三
基于前述实施例相同的技术构思,参见图6,其示出了本发明实施例提供的一种移动终端60的结构,该移动终端60中包括:安全区域单元601、非安全区域单元602和安全监控单元603;其中,
所述安全区域单元601,用于获取待发送至VPN服务器的私密信息;
以及预设的加密策略对所述私密信息进行加密;
以及,触发所述安全监控单元603;
所述安全监控单元603,用于将所述安全区域单元601切换至所述非安全区域单元602;
所述非安全区域单元602,用于将所述加密后的私密信息发送至VPN服务器;
以及,接收由所述VPN服务器发送的显示信息;
以及,触发所述安全监控单元603;
所述安全监控单元603,还用于将所述非安全区域单元602切换至所述安全区域单元601;
所述安全区域单元601,还用于将所述显示信息按照预设的解密策略进行解密之后,将解密后的显示信息进行显示。
示例性地,所述安全区域单元601,具体用于:启动并显示VPN登录界面,接收输入至所述VPN登录界面中的登录信息。
进一步地,所述安全区域单元601,具体用于:按照预设的加密策略将所述登录信息进行加密;
所述非安全区域单元602,具体用于:将加密后的登录信息传输至所述VPN服务器。
进一步地,所述安全区域单元601,还用于调用生理特征采集装置获取并保存生理特征信息后,生成与所述生理特征信息对应的密钥对;
所述非安全区域单元,还用于将所述密钥对中的公钥传输至所述VPN服务器。
进一步地,所述安全区域单元601,还用于启动并显示生理特征登录界面,并调用生理特征采集装置获取生理特征信息;
以及,当获取得到的生理特征信息与存储的生理特征信息比对一致时,将用于指示比对一致的指示信息通过与所述存储的生理特征信息对应的私钥进行 加密,得到加密后的指示信息;
以及,按照预设的加密策略将所述加密后的指示信息进行加密,获得二重加密的指示信息;
所述非安全区域单元,还用于将所述二重加密的指示信息发送至所述VPN服务器。
示例性地,所述安全区域单元601,具体用于通过输入设备接收输入的指令。
进一步地,所述安全区域单元601,具体用于按照预设的加密策略将所述输入的指令进行加密;
所述非安全区域单元602,具体用于将加密后的输入指令传输至所述VPN服务器。
示例性地,所述安全区域单元601,还用于按照预设的加密策略将注销请求进行加密;
所述非安全区域单元602,还用于将加密后的注销请求传输至所述VPN服务器;
以及,接收所述VPN服务器发送的加密的注销成功指示;
所述安全区域单元601,还用于对所述加密的注销成功指示进行解密,并根据解密后的注销成功指示完成注销,并触发所述安全监控单元603切换至所述非安全区域单元602。
需要说明的是,在本发明实施例的具体实现过程中,安全区域单元601中运行有安全操作系统,能够通过设备安全驱动访问底层硬件,包括摄像头、触摸屏、显示屏。安全操作系统专门用来运行安全级别高的应用,如安全VPN应用、安全支付应用等。它是精简、稳定的操作系统,运行在其中的安全任务是串行执行的,调度策略是非抢占式的,提高了系统内部的安全性和稳定性。安全应用需经过安全认证才能安装到该系统中,保证了安全操作系统的外部安全性。本实施例中,安全区域单元601的具体功能通过运行在安全操作系统中的安全VPN应用来实现,具体可以包括VPN密码登录、眼纹注册、眼纹登录、 安全输入、安全显示和安全注销功能等。安全区域单元601中有独立的设备安全驱动(15),包括摄像头安全驱动、显示屏安全驱动、触摸屏安全驱动,只能被安全操作系统(12)调用。
非安全区域单元602中运行有非安全操作系统,例如运行在当前智能终端上的主流操作系统Android,可以满足用户在智能终端上多样的需求。由于该系统是开源、免费的,用户可以浏览网页、安装各种应用程序,所以系统的安全性不高,很可能受到病毒或木马的攻击;非安全区域单元602也设置有独立的非安全设备驱动(19),包括摄像头非安全驱动、显示屏非安全驱动、触摸屏非安全驱动,只能被非安全操作系统(16)调用。
安全监控单元603,负责安全区域单元601与非安全区域单元602之间的通信和切换。
可以理解地,摄像头、显示屏和触摸屏设备等硬件设备在安全区域单元601只能被安全操作系统(12)访问,在非安全区域单元602只能被非安全操作系统(16)访问,从硬件上实现了安全和非安全的隔离,保证了远程办公数据的安全性。
实施例四
基于前述实施例相同的技术构思,参见图7,其示出了本发明实施例提供的一种VPN服务器70的结构,该VPN服务器70包括:接收单元701和解密处理单元702;其中,
所述接收单元701,用于接收由移动终端发送的加密信息;
所述解密处理单元702,用于根据预设的与所述移动终端安全区域的加密策略相对应的解密策略对加密信息进行解密,并依据所述解密后的信息类型相应地对所述解密后的信息进行处理。
示例性地,所述加密信息包括加密后的登录信息,相应地,所述解密处理单元702,具体用于:
按照预设的解密策略进行解密,并且对登录信息进行验证,并根据验证结果确定登陆是否成功:
当验证通过时,确定登录成功,并建立与所述移动终端之间的连接;
当验证失败时,确认登录失败。
进一步地,所述接收单元701,还用于接收到存储的生理特征信息对应的公钥,并且将所述公钥与当前用户的登录信息进行绑定。
进一步地,所述加密信息包括移动终端在安全区域采集的生理特征信息与存储的生理特征信息进行比对之后二重加密的指示信息;
相应地,所述解密处理单元702,具体用于:
按照预设的解密策略进行解密,获得通过存储的生理特征信息对应的私钥进行加密的指示信息;
以及,根据所述存储的生理特征信息对应的公钥对加密的指示信息进行解密,并根据解密得到结果确认是否登陆成功:
以及,当获得正确的指示信息时,确定通过生理特征信息登录成功,并建立与移动终端之间的连接;
以及,当没有获取正确的指示信息时,确认登录失败。
示例性地,所述加密信息包括由移动终端的安全区域进行加密的用户进行操作所输入的指令;
相应地,所述解密处理单元702,具体用于:
根据预设的与移动终端安全区域的加密策略相对应的解密策略在将加密后的输入指令解密之后,发送至内网进行处理;
以及,接收内网返回的针对所述输入指令的操作结果。
示例性地,所述加密信息包括由移动终端的安全区域进行加密的注销请求;
相应地,所述解密处理单元702,具体用于:
对所述加密的注销请求进行解密后,可以依据所述注销请求完成注销操作,将注销成功指示进行加密并触发所述接收单元701;
所述接收单元701,还用于将加密后的注销成功指示返回至移动终端。
需要说明的是,VPN服务器70,能够完成密码登录认证、眼纹登录认证、眼纹公钥与用户的绑定、数据加解密、数据传输等功能。不仅能与互联网外网 相连,也能与公司内网相连,建立移动终端和公司内网的连接。
实施例五
基于前述实施例相同的技术构思,参见图8,其示出了基于VPN的安全访问数据的系统80结构,该系统80可以包括:移动终端60和VPN服务器70;
其中,所述移动终端60,用于在安全区域下获取待发送至VPN服务器70的私密信息;
以及,在所述安全区域下按照预设的加密策略对所述私密信息进行加密后,在非安全区域下将所述加密后的私密信息发送至所述VPN服务器70;
以及,在所述非安全区域下接收由所述VPN服务器70发送的显示信息;
以及,在所述安全区域下将所述显示信息按照预设的解密策略进行解密之后,将解密后的显示信息进行显示;
所述VPN服务器70,用于接收由所述移动终端60发送的加密信息;
以及,根据预设的与所述移动终端60安全区域的加密策略相对应的解密策略对加密信息进行解密,并依据所述解密后的信息类型相应地对所述解密后的信息进行处理。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
- 还没有人留言评论。精彩留言会获得点赞!