[发明专利]移动端SSLVPN安全隧道配置系统及配置方法

说明书

本发明公开了移动端SSLVPN安全隧道配置系统及方法，包括终端和服务器端，所述终端包括用户模块、SSLVPN处理模块、TCP/IP协议栈模块、虚拟网卡模块和物理网卡模块，所述平台端包括VPN网关以及Tun/Tap设备；本发明在保证SSL VPN用户数据传输稳定情况下，通过国密GM SSL加密算法库对传输的数据进行加密封装等处理，从而保证了SSL VPN数据传输的安全性。

技术领域

本发明涉及SSLVPN技术领域，具体涉及移动端SSLVPN安全隧道配置系统及配置方法。

背景技术

目前SSL VPN应用程序,通常数据处理模块进行封装等处理，再由该模块把处理好的数据包重新发送至TCP/IP协议栈，TCP/IP协议栈处理后发送至物理网卡，从而进入物理链路。到达SSLVPN网关后，来自物理网卡的数据包通过Socket通信传递给SSLVPN网关相应的处理模块，但是SSL VPN的数据传输并不安全。

发明内容

本发明的目的是提供移动端SSLVPN安全隧道配置系统及配置方法，以解决现有技术中的上述不足之处。

为了实现上述目的，本发明提供如下技术方案：一种移动端SSLVPN安全隧道配置系统，包括终端和服务器端，所述终端包括用户模块、SSLVPN处理模块、TCP/IP协议栈模块、虚拟网卡模块和物理网卡模块，所述平台端包括VPN网关以及Tun/Tap设备，其中：

所述用户模块，用于产生数据包并发送给TCP/IP协议栈模块；

所述TCP/IP协议栈模块，用于对用户模块发送数据包进行封装形成并发送给虚拟网卡模块；还用于将处理加密封装完的数据包发送至物理网卡模块；

所述虚拟网卡模块，用于将数据包发送到文件驱动；

所述SSLVPN处理模块，用于对数据包进行加密封装处理，并将处理加密封装完的数据包将发送至TCP/IP协议栈模块；

所述物理网卡模块，用于将数据包发送到VPN网关；

所述VPN网关，用于将接收到数据包进行还原处理，并将还原后的数据包发送到字符设备文件；

所述Tun/Tap设备，用于从字符设备文件获取还原处理后的数据包，再转发出去。

进一步的，所述SSLVPN处理模块包括加解密模块，所述加解密模块通过底层调用国密GMSSL加密算法库实现数据的加密和解密处理，并对加密算法进行维护，所述加解密模块支持SM2、SM3、SM4和SM9加密算法，所述加解密模块上设有可扩展接口。

本发明还提供了一种移动端SSLVPN安全隧道配置方法，基于前述系统，包括以下步骤：

S1、用户模块将相应的数据包发给TCP/IP协议栈模块；

S2、TCP/IP协议栈模块对数据包根据数据包的目的IP地址，匹配本地路由规则，并将数据包发送到虚拟网卡模块中；

S3、虚拟网卡模块将数据包发送到文件驱动，SSLVPN处理模块读取到文件驱动内的数据包后，对数据包进行加密封装处理，并将处理加密封装完的数据包将发送至TCP/IP协议栈模块；

S4、TCP/IP协议栈模块将数据包发送至物理网卡模块，物理网卡模块通过物理网络将数据包发送到VPN网关。

S5、VPN网关接收到所述数据包后进行还原处理，并将还原处理后的数据包发送到字符设备文件；

S6、所述Tun/Tap设备从字符设备文件获取还原处理后的数据包，并将数据包转发。