基于移动终端的VPN接入方法及系统与流程

本发明实施例涉及互联网技术领域，尤其涉及一种基于移动终端的vpn接入方法及系统。

背景技术：

虚拟专用网(virtualprivatenetwork，vpn)是一种常用于连接中、大型企业或团体与团体间的私人网络的通讯方法。

目前，当移动终端接入vpn时，移动终端内的所有应用程序都可以使用接入任何应用程序都可以创建、使用系统的vpn，将所有流量路由到vpn服务器。利用这一点，尤其是有些应用程序会在用户未知的情况下使用vpn。对于限制流量的vpn来说，会造成vpn流量的浪费，而且，恶意应用程序可以在用户不知情的情况下窃取用户隐私，使用vpn，会产生安全隐患。

技术实现要素：

本发明实施例提供一种基于移动终端的vpn接入方法及系统，用以解决移动终端中的所有应用程序都可以创建、使用系统vpn，存在安全隐患的问题。

本发明实施例提供一种基于移动终端的vpn接入方法，所述方法包括：

当应用程序建立与vpn客户端的连接时，识别出所述应用程序与vpn客户端之间的连接的标识信息；

对与所述标识信息对应的应用程序进行验证；

若验证通过，则授权所述对应的应用程序通过所述vpn客户端中的流量接管接口创建虚拟网络接口，并将联网应用程序的数据流量路由到vpn服务器；

若验证未通过，则断开所述对应的应用程序与所述vpn客户端的连接。

相应地，本发明实施例还提供一种基于移动终端的vpn接入系统，所述系统包括：vpn客户端和vpn服务器，所述vpn客户端位于所述移动终端；其中，所述vpn客户端包括：

跨进程通信模块，用于建立应用程序与所述vpn客户端的连接；

验证模块，用于识别出所述应用程序与vpn客户端之间的连接对应的标识信息，并对与所述标识信息对应的应用程序进行验证；

虚拟网络管理模块，用于若验证通过，则授权所述对应的应用程序通过所述vpn客户端中的流量接管接口创建虚拟网络接口，并将联网应用程序的数据流量路由到vpn服务器；若验证未通过，则断开所述对应的应用程序与所述vpn客户端的连接。

本发明实施例提供的基于移动终端的vpn接入方法及系统，当移动终端中的应用程序建立与vpn客户端的连接时，识别出应用程序与vpn客户端之间的连接对应的标识信息，标识信息为应用程序在移动终端中的唯一标识，对与识别出的标识信息对应的应用程序进行验证，如果验证通过，则表示验证通过的应用程序为授权的应用程序，可以授权验证通过的应用程序通过vpn客户端中的流量接管接口创建虚拟网络接口，并将移动终端中联网的应用程序的数据流量路由到vpn服务器；如果验证未通过，则表示验证未通过的应用程序为未授权的应用程序，将验证未通过的应用程序与vpn客户端之间的连接断开。通过获取应用程序与vpn客户端之间的连接的标识信息，并对与标识信息对应的应用程序进行验证，只授权验证通过的应用程序创建虚拟网络接口，并将联网应用程序的数据流量路由到vpn服务器，避免所有应用程序均可以路由联网应用程序的数据流量到vpn服务器，提高了vpn接入的安全性。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例一中的一种基于移动终端的vpn接入方法的步骤流程图；

图2为本发明实施例一中的一种基于移动终端的vpn接入方法的设计框图；

图3为本发明实施例二中的一种基于移动终端的vpn接入系统的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例一

详细介绍本发明实施例一提出的一种基于移动终端的vpn接入方法，所述方法可以应用于移动终端，所述移动终端可以包括智能手机和平板电脑等。

参照图1，示出了本发明实施例一中的一种基于移动终端的vpn接入方法的步骤流程图。

步骤100，当应用程序建立与vpn客户端的连接时，识别出所述应用程序与vpn客户端之间的连接的标识信息。

所述应用程序为移动终端中安装的应用程序。所述vpn客户端安装在所述移动终端中，且提供流量接管接口。所述流量接管接口可以创建/删除/dev/tun网络接口。应用程序可以通过本地socket建立与vpn客户端的连接。 每个应用程序与vpn客户端的连接中包含该应用程序的标识。所述步骤100中，识别出所述应用程序与vpn客户端之间的连接的标识信息，具体可以为：从所述连接中获取uid，所述uid对应唯一一个应用程序。所述uid为应用程序安装到移动终端所在的操作系统时，操作系统为应用程序分配的唯一的标识。

步骤102，对与所述标识信息对应的应用程序进行验证，若验证通过，则执行步骤104；若验证未通过，则执行步骤106。

对应用程序进行验证的方式可以包括很多种，本发明实施例以app指纹验证为例进行说明。所述步骤102可以包括：

步骤1021，提取app的指纹信息。

任何app都有对应的数字签名证书，可以结合该数字签名证书提取app指纹信息。指纹信息可以为一个字符串。

步骤1022，将所述app指纹信息与app指纹数据库中的app指纹信息进行比对，若所述app指纹数据库中存在所述app指纹信息，则表示验证通过；若所述app指纹数据库中不存在所述app指纹信息，则表示验证未通过。

所述app指纹数据库可以位于所述vpn客户端，在app指纹数据库中可以存储多个app的指纹信息。

步骤104，授权所述对应的应用程序通过所述vpn客户端中的流量接管接口创建虚拟网络接口，并将联网应用程序的数据流量路由到vpn服务器。

只有通过验证的应用程序才能使用vpn客户端提供的服务。授权验证通过的应用程序通过虚拟网络管理模块创建虚拟网络接口，利用虚拟网络接口将移动终端中联网的应用程序的数据流量路由到vpn服务器。

步骤106，断开所述对应的应用程序与所述vpn客户端的连接。

禁止未通过验证的应用程序使用vpn客户端提供的服务。并可以生成提示信息，提示未通过验证的应用程序当前连接vpn的操作信息，如连接时间、验证结果等等。

综上所述，本发明实施例中的技术方案的设计框图如图2所示，对与vpn客户端连接的应用程序进行指纹验证，只对验证通过的应用程序授权通过虚拟网络管理模块创建虚拟网络接口，利用虚拟网络接口将联网应用程序的数据流量路由到vpn服务器。当移动终端中的应用程序建立与vpn客户端的连接时，识别出应用程序与vpn客户端之间的连接对应的标识信息，标识信息为应用程序在移动终端中的唯一标识，对与识别出的标识信息对应的应用程序进行验证，如果验证通过，则表示验证通过的应用程序为授权的应用程序，可以授权验证通过的应用程序通过vpn客户端中的流量接管接口创建虚拟网络接口，并将移动终端中联网的应用程序的数据流量路由到vpn服务器；如果验证未通过，则表示验证未通过的应用程序为未授权的应用程序，将验证未通过的应用程序与vpn客户端之间的连接断开。通过获取应用程序与vpn客户端之间的连接的标识信息，并对与标识信息对应的应用程序进行验证，只授权验证通过的应用程序创建虚拟网络接口，并将联网应用程序的数据流量路由到vpn服务器，避免所有应用程序均可以路由联网应用程序的数据流量到vpn服务器，提高了vpn接入的安全性。

实施例二

详细介绍本发明实施例二提出的一种基于移动终端的vpn接入系统，所述系统可以包括vpn客户端和vpn服务器，所述vpn客户端可以位于移动终端，所述移动终端可以包括智能手机和平板电脑等。

参照图3，示出了本发明实施例二中的一种基于移动终端的vpn接入系统的结构示意图。

所述vpn客户端可以包括：跨进程通信模块、验证模块和虚拟网络管理模块。

下面分别详细介绍各模块的功能以及各模块之间的关系。

跨进程通信模块，用于建立应用程序与所述vpn客户端的连接。所述应 用程序通过本地socket建立与vpn客户端的连接。

验证模块，用于识别出所述应用程序与vpn客户端之间的连接对应的标识信息，并对与所述标识信息对应的应用程序进行验证。所述验证模块包括：uid获取模块，用于从所述连接中获取uid，所述uid对应唯一一个应用程序。

所述验证模块还可以包括：app指纹提取模块，用于提取app的指纹信息；app指纹比对模块，用于将所述app指纹信息与app指纹数据库中的app指纹信息进行比对；确定模块，用于若所述app指纹数据库中存在所述app指纹信息，则确定验证通过；若所述app指纹数据库中不存在所述app指纹信息，则确定验证未通过。

虚拟网络管理模块，用于若验证通过，则授权所述对应的应用程序通过所述vpn客户端中的流量接管接口创建虚拟网络接口，并将联网应用程序的数据流量路由到vpn服务器；若验证未通过，则断开所述对应的应用程序与所述vpn客户端的连接。

综上所述，本发明实施例中的技术方案，当移动终端中的应用程序建立与vpn客户端的时，识别出应用程序与vpn客户端之间的连接对应的标识信息，标识信息为应用程序在移动终端中的唯一标识，对与识别出的标识信息对应的应用程序进行验证，如果验证通过，则表示验证通过的应用程序为授权的应用程序，可以授权验证通过的应用程序通过vpn客户端中的流量接管接口创建虚拟网络接口，并将移动终端中联网的应用程序的数据流量路由到vpn服务器；如果验证未通过，则表示验证未通过的应用程序为未授权的应用程序，将验证未通过的应用程序与vpn客户端之间的连接断开。通过获取应用程序与vpn客户端之间的连接的标识信息，并对与标识信息对应的应用程序进行验证，只授权验证通过的应用程序创建虚拟网络接口，并将联网应用程序的数据流量路由到vpn服务器，避免所有应用程序均可以路由联网应用程序的数据流量到vpn服务器，提高了vpn接入的安全性。

以上所描述的系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。