公共wifi环境下的数据传输方法及系统的制作方法
【专利摘要】本发明提供了一种公共wifi环境下的数据传输方法,包括:移动终端拦截应用程序外发的请求数据包,获取与安全服务器的连接,对所述拦截的请求数据包加密后通过所述连接将其发送至所述安全服务器;安全服务器对接收到的数据包进行解密还原得到所述请求数据包,并转发所述请求数据包至其对应的应用服务器;安全服务器接收应用服务器返回的响应数据包,获取与对应所述响应数据包的移动终端之间的连接,对所述响应数据包进行加密后将其通过所述连接返回给所述移动终端;所述移动终端对接收到的数据包解密后得到所述响应数据包,并将所述响应数据包分配给相应的应用程序。上述公共wifi环境下的数据传输方法能够提高安全性。
【专利说明】公共Wifi环境下的数据传输方法及系统
【技术领域】
[0001]本发明涉及网络安全【技术领域】,特别是涉及一种公共wifi环境下的数据传输方法及系统。
【背景技术】
[0002]现有的商场、酒店、游乐城等公共场所为了方便场所内的用户能够方便地上网,通常设置有无线接入点,用户可使用移动终端通过wifi连接接入该无线接入点,从而畅游互联网。
[0003]然而,公共wifi的无线接入点作为网关转发移动终端接收和发送的数据时,存在安全隐患。不法分子可私自架设免费的公共wifi诱使用户与其连接,在作为网关转发用户与互联网中的其他终端之间传输的数据包时,可截获数据包,窃取或篡改数据包中的内容,或者在数据包中附加病毒,从而造成用户的隐私数据被窃取,使得公共Wifi下数据传输的安全性不足。
【发明内容】
[0004]基于此,有必要提供一种能够提高安全性的公共wifi环境下的数据传输方法。
[0005]一种公共wifi环境下的数据传输方法,包括:
[0006]移动终端拦截应用程序外发的请求数据包,获取与安全服务器的连接,对所述拦截的请求数据包加密后通过所述连接将其发送至所述安全服务器;
[0007]安全服务器对接收到的数据包进行解密还原得到所述请求数据包,并转发所述请求数据包至其对应的应用服务器;
[0008]安全服务器接收应用服务器返回的响应数据包,获取与对应所述响应数据包的移动终端之间的连接,对所述响应数据包进行加密后将其通过所述连接返回给所述移动终端;
[0009]所述移动终端对接收到的数据包解密后得到所述响应数据包,并将所述响应数据包分配给相应的应用程序。
[0010]在其中一个实施例中,所述方法还包括:
[0011 ] 所述移动终端与所述安全服务器创建https连接;
[0012]所述移动终端获取与安全服务器的连接的步骤为:
[0013]所述移动终端获取与安全服务器之间的https连接。
[0014]在其中一个实施例中,所述移动终端拦截所述请求数据包的步骤还包括:
[0015]获取所述请求数据包对应的应用的端口 ;
[0016]所述移动终端将所述响应数据包分配给相应的应用程序的步骤为:
[0017]获取所述响应数据包的端口信息,将所述响应数据包分配给符合所述端口信息的应用程序。
[0018]在其中一个实施例中,所述方法还包括:[0019]安全服务器通过所述连接向所述移动终端发送附带校验码的测试数据包;
[0020]所述移动终端接收所述测试数据包,并根据所述校验码对所述测试数据包进行校验,若校验失败,贝1J关闭wifi连接。
[0021]在其中一个实施例中,所述移动终端拦截应用程序外发的请求数据包的步骤之前还包括:
[0022]判断所述发送请求数据包的应用程序是否为需加密应用程序,若是,则执行所述拦截应用程序外发的请求数据包的步骤。
[0023]此外,还有必要提供一种能够提高安全性的公共wifi环境下的数据传输系统。
[0024]一种公共wifi环境下的数据传输系统,包括移动终端和安全服务器,所述移动终端用于拦截应用程序外发的请求数据包,获取与安全服务器的连接,对所述拦截的请求数据包加密后通过所述连接将其发送至所述安全服务器;
[0025]安全服务器用于对接收到的数据包进行解密还原得到所述请求数据包,并转发所述请求数据包至其对应的应用服务器;
[0026]安全服务器还用于接收应用服务器返回的响应数据包,获取与对应所述响应数据包的移动终端之间的连接,对所述响应数据包进行加密后将其通过所述连接返回给所述移动终端;
[0027]所述移动终端还用于对接收到的数据包解密后得到所述响应数据包,并将所述响应数据包分配给相应的应用程序。
[0028]在其中一个实施例中,所述移动终端还用于与所述安全服务器创建https连接;
[0029]所述移动终端还用于获取与安全服务器之间的https连接。
[0030]在其中一个实施例中,所述移动终端还用于获取所述请求数据包对应的应用的端Π ;
[0031]所述移动终端还用于获取所述响应数据包的端口信息,将所述响应数据包分配给符合所述端口信息的应用程序。
[0032]在其中一个实施例中,所述安全服务器还用于通过所述连接向所述移动终端发送附带校验码的测试数据包;
[0033]所述移动终端还用于接收所述测试数据包,并根据所述校验码对所述测试数据包进行校验,若校验失败,贝1J关闭wifi连接。
[0034]在其中一个实施例中,所述移动终端还用于判断所述发送请求数据包的应用程序是否为需加密应用程序,若是,则拦截应用程序外发的请求数据包。
[0035]上述公共wifi环境下的数据传输方法及系统在进行数据传输时,由于并没有通过原有的链路传输原始的请求数据包,而是将请求数据包加密后通过安全服务器转发。因此,即使公共wifi的网关对数据包进行窃取,也无法知晓请求数据包的具体内容,从而保护了用户的个人隐私,提高了安全性。
【专利附图】
【附图说明】
[0036]图1为一个实施例中公共wifi环境下的数据传输方法的流程图;
[0037]图2为一个实施例中加密生成的数据包的结构示意图;
[0038]图3为一个实施例中https协议交互示意图;[0039]图4为一个实施例中配置应用程序的界面示意图;
[0040]图5为一个实施例中公共wifi环境下的数据传输系统的结构示意图。
【具体实施方式】
[0041]为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
[0042]除非上下文另有特定清楚的描述,本发明中的元件和组件,数量既可以单个的形式存在,也可以多个的形式存在,本发明并不对此进行限定。本发明中的步骤虽然用标号进行了排列,但并不用于限定步骤的先后次序,除非明确说明了步骤的次序或者某步骤的执行需要其他步骤作为基础,否则步骤的相对次序是可以调整的。可以理解,本文中所使用的术语“和/或”涉及且涵盖相关联的所列项目中的一者或一者以上的任何和所有可能的组
口 ο
[0043]在传统技术中,如前所述,若用户使用手机支付、网上银行转账等互联网金融工具时,若其在公共wif i环境下进行操作,则其账号密码很有可能被私自架设该公共wif i的不法分子窃取,从而给用户造成财产损失。
[0044]为解决上述公共wifi环境下数据传输安全性不高的问题,提出了一种公共wifi环境下的数据传输方法。在本实施例中,如图1所示,该方法可依赖于计算机程序,能够运行于基于冯洛伊曼体系的计算机系统上。该计算机系统可包括移动终端和安全服务器两部分,其中,移动终端可以是智能手机、笔记本电脑、平板电脑等设备,该方法运行依赖的计算机程序则可以是该移动终端上安装的软件。安全服务器则可以是具有CA (CertificateAuthority)证书或与移动终端上运行的本方法所依赖的计算机程序对应的具有安全保障的第三方服务器。
[0045]在本实施例中,如图1所示,该方法包括:
[0046]步骤S102,移动终端拦截应用程序外发的请求数据包,获取与安全服务器的连接,对拦截的请求数据包加密后通过连接将其发送至安全服务器。
[0047]步骤S104,安全服务器对接收到的数据包进行解密还原得到请求数据包,并转发请求数据包至其对应的应用服务器。
[0048]移动终端上安装有操作系统,应用程序可通过调用操作系统提供的socket接口函数或其他数据包发送接口函数向外发送请求数据包。移动终端生产商、移动终端操作系统生产商或者第三方系统开发人员可通过预先在操作系统的socket接口函数或其他数据包发送接口函数中添加相应的代码拦截应用程序发送的请求数据包。
[0049]也就是说,本方法的运行可基于系统级应用程序。该系统级应用程序可与安全服务器建立有状态连接(一直保持连接状态)或无状态连接(无需持续保持连接状态),对请求数据包加密后即可将其发送至安全服务器。由于请求数据包已被加密,因此即使在发送至安全服务器的过程中可能会被网关窃取,不法分子窃取的数据也是已加密过的数据,不会造成隐私数据的遗失。
[0050]对数据包加密的方法可以是对称加密算法也可以是非对称加密算法。例如,可使用 DES (Data Encryption Standard)、3DES (Triple DES)> IDEA (International DataEncryption Algorithm)、AES (Advanced Encryption Standard)或 RC2/4 等对称加密算法。也可以使用RSA等非对称算法。
[0051]如图2所示,在本实施例中,可将请求数据包整个进行加密,并生成新的数据包,而不是取出请求数据包的正文部分进行加密,在根据包头部分重新封装数据包。
[0052]安全服务器接收到数据包之后,则可先根据与移动终端进行加密时使用的加密密钥对应的解密密钥对其进行解密,解密后即可得到完整的请求数据包。请求数据包中的目标IP地址即对应移动终端上的应用程序作为发送目标的应用服务器,可将请求数据包发送至该应用服务器。
[0053]在一个实施例中,移动终端还可与安全服务器创建https连接。移动终端获取与安全服务器的连接的步骤可具体为:移动终端获取与安全服务器之间的https连接。也就是说,移动终端可以httprequest的方式将加密的请求数据包通过https连接发送给安全服务器。
[0054]https (全称:Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的http通道,简单讲是http的安全版。即http下加入SSL (Secure SocketsLayer,安全套接层)层,https的安全基础是SSL,因此加密的详细内容就需要SSL。它是一个URI scheme (抽象标识符体系),句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了 http,但https存在不同于http的默认端口及一个加密/身份验证层(在http与TCP之间)。
[0055]如图3所示,基于https连接的客户端与服务器交互的过程如下:
[0056]1.服务器在接受到客户端发起https连接请求后,将返回该网站的证书(根证书
信息等。
[0057]2.客户端将校验网站证书的合法性。
[0058]3.验证通过后,客户端产生随机的对称密钥。
[0059]4.客户端使用网站证书的公钥加密对称密钥,并发送给服务器端。
[0060]5.服务器端收到对称密钥后,利用对称密钥的密文通信了。
[0061]其中,安全服务器需要向证书颁发机构(CA)申请一个网站证书,这个证书实际是非对称加密的公钥密钥对,利用非对称加密算法的特殊性,可以在理论上避免第三方窃听。
[0062]通过https连接传输加密的请求数据包,不仅可防止数据被窃取,而且https连接也是一种无状态连接,无需与安全服务器保持持续地连接状态,从而可减少安全服务器的负载压力。
[0063]步骤S106,安全服务器接收应用服务器返回的响应数据包,获取与对应响应数据包的移动终端之间的连接,对响应数据包进行加密后将其通过连接返回给移动终端。
[0064]步骤S108,移动终端对接收到的数据包解密后得到响应数据包,并将响应数据包分配给相应的应用程序。
[0065]如前所述,安全服务器对于应用服务器返回的响应数据包也可通过前述的https连接以httpresponse的方式返回给相应的移动终端。安全服务器为与移动终端之间的连接创建有会话,为与应用服务器的连接也创建有会话,可根据会话的对应关系获取与对应响应数据包的移动终端之间的连接。即先获取接收到响应数据包的连接对应的会话(与应用服务器的会话),再根据会话的对应关系找到对应的与移动终端的会话,再从该会话中获取连接(与移动终端的连接)。
[0066]在本实施例中,移动终端拦截请求数据包的步骤还包括:获取请求数据包对应的应用的端口。
[0067]移动终端将响应数据包分配给相应的应用程序的步骤可具体为:获取响应数据包的端口信息,将响应数据包分配给符合端口信息的应用程序。
[0068]也就是说,应用程序调用移动终端的操作系统底层的socket接口函数或其他数据包发送接口函数时,会被分配相应的端口(通常为进程号)。若移动终端上有多个应用程序向外发送请求数据包,则可根据其各自对应的应用程序的端口信息将返回的响应数据包分别分配给对应的应用程序进行处理。
[0069]在一个实施例中,安全服务器还可通过连接向移动终端发送附带校验码的测试数据包。
[0070]移动终端接收测试数据包,并根据校验码对测试数据包进行校验,若校验失败,则关闭wifi连接。
[0071]例如,在未使用https连接的应用场景中(也适用使用https连接的应用场景,再此仅为方便说明突出效果),安全服务器可定期向移动终端发送附带校验码的测试数据包,若移动终端接收到测试数据包并校验失败,则表明该测试数据包在经过网关转发时,内容已被篡改,可能被植入了病毒或木马程序,因此,需要提示用户该公共wifi存在安全风险,并将wifi连接关闭。用户也可根据提示信息检测公共wifi的是否安全。从而为用户感知公共wifi的安全性提供了便利。
[0072]在一个实施例中,移动终端拦截应用程序外发的请求数据包的步骤之前还包括:
[0073]判断发送请求数据包的应用程序是否为需加密应用程序,若是,则执行拦截应用程序外发的请求数据包的步骤。
[0074]如图4所示,可预先配置那些应用程序为需加密应用程序。可在移动终端的桌面上展示一块区域,若用户将桌面上其他区域的应用程序的图标拖到该区域中,则表示将该图标对应的应用程序配置为需加密应用程序;相应的,若用户将该区域中的图标拖到桌面上其他区域时,则表示将该图标对应的应用程序配置为不需加密得应用程序。上述拖动操作进行的配置可写入配置文件中,在判断发送请求数据包的应用程序是否为需加密应用程序时,则可根据该配置文件进行判断。
[0075]上述公共wifi环境下的数据传输方法在进行数据传输时,由于并没有通过原有的链路传输原始的请求数据包,而是将请求数据包加密后通过安全服务器转发。因此,即使公共wifi的网关对数据包进行窃取,也无法知晓请求数据包的具体内容,从而保护了用户的个人隐私,提高了安全性。对于使用移动终端进行网络支付的用户而言,其在支付时输入的用户名和密码也不会被架设公共wifi的不法分子所窃取,从而保护了用户的财产安全。
[0076]在一个实施例中,如图5所示,一种公共wifi环境下的数据传输系统,包括移动终端10和安全服务器20,其中:
[0077]移动终端10用于拦截应用程序外发的请求数据包,获取与安全服务器的连接,对拦截的请求数据包加密后通过连接将其发送至安全服务器。
[0078]安全服务器20用于对接收到的数据包进行解密还原得到请求数据包,并转发请求数据包至其对应的应用服务器。[0079]安全服务器20还用于接收应用服务器返回的响应数据包,获取与对应响应数据包的移动终端之间的连接,对响应数据包进行加密后将其通过连接返回给移动终端。
[0080]移动终端10还用于对接收到的数据包解密后得到响应数据包,并将响应数据包分配给相应的应用程序。
[0081]在一个实施例中,移动终端10还用于与安全服务器20创建https连接;
[0082]移动终端10还用于获取与安全服务器20之间的https连接。
[0083]在一个实施例中,移动终端10还用于获取请求数据包对应的应用的端口 ;
[0084]移动终端10还用于获取响应数据包的端口信息,将响应数据包分配给符合端口信息的应用程序。
[0085]在一个实施例中,安全服务器20还用于通过连接向移动终端10发送附带校验码的测试数据包;
[0086]移动终端10还用于接收测试数据包,并根据校验码对测试数据包进行校验,若校验失败,贝1J关闭wifi连接。
[0087]在一个实施例中,移动终端10还用于判断发送请求数据包的应用程序是否为需加密应用程序,若是,则拦截应用程序外发的请求数据包。
[0088]上述公共wifi环境下的数据传输方法及系统在进行数据传输时,由于并没有通过原有的链路传输原始的请求数据包,而是将请求数据包加密后通过安全服务器转发。因此,即使公共wifi的网关对数据包进行窃取,也无法知晓请求数据包的具体内容,从而保护了用户的个人隐私,提高了安全性。
[0089]本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory, ROM)或随机存储记忆体(Random AccessMemory, RAM)等。
[0090]以上实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
【权利要求】
1.一种公共wifi环境下的数据传输方法,包括: 移动终端拦截应用程序外发的请求数据包,获取与安全服务器的连接,对所述拦截的请求数据包加密后通过所述连接将其发送至所述安全服务器; 安全服务器对接收到的数据包进行解密还原得到所述请求数据包,并转发所述请求数据包至其对应的应用服务器; 安全服务器接收应用服务器返回的响应数据包,获取与对应所述响应数据包的移动终端之间的连接,对所述响应数据包进行加密后将其通过所述连接返回给所述移动终端;所述移动终端对接收到的数据包解密后得到所述响应数据包,并将所述响应数据包分配给相应的应用程序。
2.根据权利要求1所述的公共wifi环境下的数据传输方法,其特征在于,所述方法还包括: 所述移动终端与所述安全服务器创建https连接; 所述移动终端获取与安全服务器的连接的步骤为: 所述移动终端获取与安全服务器之间的https连接。
3.根据权利要求1所述的公共wifi环境下的数据传输方法,其特征在于,所述移动终端拦截所述请求数据包的步骤还包括: 获取所述请求数据包对应的应用的端口; 所述移动终端将所述响应数据包分配给相应的应用程序的步骤为: 获取所述响应数据包的端口信息,将所述响应数据包分配给符合所述端口信息的应用程序。
4.根据权利要求1所述的公共wifi环境下的数据传输方法,其特征在于,所述方法还包括: 安全服务器通过所述连接向所述移动终端发送附带校验码的测试数据包; 所述移动终端接收所述测试数据包,并根据所述校验码对所述测试数据包进行校验,若校验失败,贝1J关闭wifi连接。
5.根据权利要求1所述的公共wifi环境下的数据传输方法,其特征在于,所述移动终端拦截应用程序外发的请求数据包的步骤之前还包括: 判断所述发送请求数据包的应用程序是否为需加密应用程序,若是,则执行所述拦截应用程序外发的请求数据包的步骤。
6.一种公共wifi环境下的数据传输系统,包括移动终端和安全服务器,其特征在于,所述移动终端用于拦截应用程序外发的请求数据包,获取与安全服务器的连接,对所述拦截的请求数据包加密后通过所述连接将其发送至所述安全服务器; 安全服务器用于对接收到的数据包进行解密还原得到所述请求数据包,并转发所述请求数据包至其对应的应用服务器; 安全服务器还用于接收应用服务器返回的响应数据包,获取与对应所述响应数据包的移动终端之间的连接,对所述响应数据包进行加密后将其通过所述连接返回给所述移动终端; 所述移动终端还用于对接收到的数据包解密后得到所述响应数据包,并将所述响应数据包分配给相应的应用程序。
7.根据权利要求6所述的公共wifi环境下的数据传输系统,其特征在于,所述移动终端还用于与所述安全服务器创建https连接; 所述移动终端还用于获取与安全服务器之间的https连接。
8.根据权利要求6所述的公共wifi环境下的数据传输系统,其特征在于,所述移动终端还用于获取所述请求数据包对应的应用的端口; 所述移动终端还用于获取所述响应数据包的端口信息,将所述响应数据包分配给符合所述端口信息的应用程序。
9.根据权利要求6所述的公共wifi环境下的数据传输系统,其特征在于,所述安全服务器还用于通过所述连接向所述移动终端发送附带校验码的测试数据包; 所述移动终端还用于接收所述测试数据包,并根据所述校验码对所述测试数据包进行校验,若校验失败,贝1J关闭wifi连接。
10.根据权利要求6所述的公共wifi环境下的数据传输系统,其特征在于,所述移动终端还用于判断所述发送请求数据包的应用程序是否为需加密应用程序,若是,则拦截应用程序外发的请求数据包。
【文档编号】H04L29/06GK103916394SQ201410128187
【公开日】2014年7月9日 申请日期:2014年3月31日 优先权日:2014年3月31日
【发明者】魏强 申请人:魏强