WO2019062666A1 - 一种实现安全访问内部网络的***、方法和装置 - Google Patents

Abstract

本发明公开了一种实现安全访问内部网络的***、方法和装置，所述***包括：网络访问请求端，中介端，内部网络服务器；所述网络访问请求端，用于发出用于实现网络访问请求的第一请求消息、以及接收响应消息；所述中介端，用于监听并劫持所述网络访问请求端的第一请求消息；解析所述第一请求消息，并在所述第一请求消息中添加认证信息，得到第二请求消息；继而向所述第一请求消息的目标网络地址发送所述第二请求消息；以及，接收对所述第二请求消息的响应消息，并将该响应消息转发到客户端；所述内部网络服务器，用于接收所述第二请求消息，从中提取认证信息，判断所述网络访问请求是否具有访问权限；若是，则返回响应消息。通过本发明所提供的技术方案，可以准确获知客户端是否具有访问内网的权限，避免无权限的访问请求。

Description

一种实现安全访问内部网络的***、方法和装置

本申请要求2017年9月29日递交的申请号为201710905297.X、发明名称为“一种实现安全访问内部网络的***、方法和装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及网络访问领域，具体涉及一种实现安全访问内部网络的***。本申请同时涉及一种用于安全访问内部网络的方法及装置、一种服务器接收访问的方法及装置、一种数据处理的方法及装置、以及一种数据响应的方法及装置。

背景技术

在传统的企业网络配置中，要进行远程访问，方法是租用DDN(数字数据网)专线或帧中继，这样的通讯方案必然导致高昂的网络通讯和维护费用。对于移动用户(移动办公人员)与远端个人用户而言，一般会通过拨号线路(Internet)进入企业的局域网，但这样必然带来安全上的隐患。

为了让外地员工访问到内网资源，现有技术下一般使用VPN解决；这种方法是在内网中架设一台VPN服务器，外地员工在当地连上互联网后，通过互联网连接VPN服务器，然后通过VPN服务器进入企业内网。

为了保证数据安全，VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密，就可以认为数据是在一条专用的数据链路上进行安全传输，就如同专门架设了一个专用网络一样。但实际上VPN使用的是互联网上的公用链路，因此VPN称为虚拟专用网络，其实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了VPN技术，用户无论是在外地出差还是在家中办公，只要能上互联网就能利用VPN访问内网资源，使VPN在企业中得到了广泛的应用。

但使用VPN访问内网资源也存在明显的问题。其中一个最主要的问题是，服务器不能准确的获取http/https请求发起的客户端来源，这样，就无法判断客户端是否真正具备访问内网的权限。

发明内容

本发明提供一种用于安全访问网络的***，以解决服务器不能准确的获取 http/https请求发起的客户端来源的问题。本发明另外提供一种用于安全访问内部网络的方法及装置、以及一种服务器接收访问的方法及装置。本发明还提供一种数据处理的方法及装置、以及一种数据响应的方法及装置。

本发明提供一种实现安全访问内部网络的***，包括：网络访问请求端，中介端，内部网络服务器；

所述网络访问请求端，用于发出用于实现网络访问请求的第一请求消息、以及接收响应消息；

所述中介端，用于监听并劫持所述网络访问请求端的第一请求消息；解析所述第一请求消息，并在所述第一请求消息中添加认证信息，得到第二请求消息；继而向所述第一请求消息的目标网络地址发送所述第二请求消息；以及，接收对所述第二请求消息的响应消息，并将该响应消息转发到客户端；

所述内部网络服务器，用于接收所述第二请求消息，从中提取认证信息，判断所述网络访问请求是否具有访问权限；若是，则返回响应消息。

可选的，所述中介端与所述网络访问请求端布置在同一个移动设备中。

可选的，所述网络访问请求端发出的所述网络访问请求采用http协议，则所述中介端在接收所述第一请求消息之前，与所述网络访问请求端进行http握手，所述中介端在发出所述第二请求消息之前，与所述内部网络服务器进行http握手。

可选的，所述网络访问请求端发出的所述网络访问请求采用https方式，则所述中介端在接收所述第一请求消息之前，与所述网络访问请求端进行SSL握手，继而，所述中介端根据所述SSL握手提供的server_name字段，与所述内部网络服务器发出SSL握手；所述中介端接收到所述内部网络服务器返回的握手成功讯息后，向所述网络访问请求端发出握手成功讯息。

可选的，在进行网络访问请求之前，导入CA伪证书到所述网络访问请求端和中介端。

可选的，所述认证信息包含如下信息的至少一种：网络访问请求端所在的终端设备的唯一识别信息；用户身份认证信息。

可选的，所述认证信息经过非对称算法加密。

可选的，采用DLL注入的方式，在所述网络访问请求端发起的网络访问请求中注入全局流量劫持进程，实现对所述第一请求消息的劫持。

本发明还提供一种用于安全访问内部网络的方法，包括：

劫持具有网络访问功能的应用发出的网络访问请求；所述网络访问请求称为第一请求消息；

在所述第一请求消息中添加认证信息，形成第二请求消息；

将所述第二请求消息转发到所述网络访问请求的目的服务器，即内部网络服务器；

接收所述内部网络服务器返回的响应信息；

将所述响应信息转发给发出所述网络访问请求的所述应用。

可选的，所述劫持具有网络访问功能的应用发出的网络访问请求的步骤中，采用hook函数劫持所述网络访问请求；所述hook函数预先通过DLL注入方式注入所述网络访问请求进程中。

可选的，所述第一请求消息采用http方式的情况下，在接收所述第一请求消息之前，包括与发出网络访问请求的应用进行http握手；在发出所述第二请求消息之前，与所述内部网络服务器进行http握手。

可选的，所述网络访问请求采用https方式，在接收所述第一请求消息之前，与所述网络访问请求端进行SSL握手，继而，根据所述SSL握手提供的server_name字段，与所述内部网络服务器进行SSL握手；接收到所述内部网络服务器返回的握手成功讯息后，向发出所述网络访问请求的应用发出握手成功讯息。

可选的，在劫持所述具有网络访问功能的应用发出的网络访问请求之前，导入CA伪证书。

可选的，所述认证信息包含如下信息的至少一种：终端设备的唯一识别信息；用户身份认证信息。

可选的，所述认证信息使用非对称加密算法加密。

本发明还提供一种服务器接收访问的方法，包括：

获取包含认证信息的访问请求，该访问请求称为第二请求消息；

提取所述认证信息；

根据所述认证信息，判断所述访问请求是否合法；

若是，返回响应消息。

可选的，所述认证信息采用非对称加密算法加密，所述根据所述认证信息，判断所述访问请求是否合法，包括：

解密所述认证信息，所述认证信息中包含如下信息的至少一种：终端设备的唯一识别信息，用户身份认证信息；

根据解密后的所述认证信息，验证所述访问请求的合法性。

可选的，所述根据解密后的所述认证信息，验证所述访问请求的合法性，包括以下方式的至少一种：

根据所述解密后的所述认证信息中包含的终端设备的唯一识别信息与所述服务器自身存储的允许访问的终端设备列表对比，判断发出访问请求的所述终端设备是否在该列表中；

根据所述解密后的所述用户身份认证信息与所述服务器自身存储的允许访问的用户列表对比，判断发出访问请求的所述用户是否在该列表中。

本发明还提供一种数据处理方法，包括：

拦截第一网络访问请求，其中，所述第一网络访问请求包括源地址、目标地址；

在所述第一网络访问请求中添加认证信息，得到第二网络访问请求；

将所述第二网络访问请求发送到所述目标地址对应的计算设备；

接收所述目标地址对应的计算设备返回的响应信息；

将所述响应信息发送到所述源地址对应的计算设备。

可选的，所述认证信息包含如下信息的至少一种：所述源地址对应的计算设备的唯一识别信息；用户身份认证信息。

本发明还提供一种数据响应方法，包括：

获取包含认证信息的网络访问请求；

从所述网络访问请求中提取所述认证信息；

根据所述认证信息，判断所述网络访问请求是否合法；

若是，返回响应信息。

本发明还提供一种用于安全访问内部网络的装置，包括：

第一请求消息劫持单元，用于劫持具有网络访问功能的应用发出的网络访问请求；所述网络访问请求称为第一请求消息；

认证信息添加单元，用于在所述第一请求消息中添加认证信息，形成第二请求消息；

第二请求消息转发单元，用于将所述第二请求消息转发到所述网络访问请求的目的服务器，即内部网络服务器；

响应信息接收单元，用于接收所述内部网络服务器返回的响应信息；

响应信息转发单元，用于将所述响应信息转发给发出所述网络访问请求的所述应用。

本发明还提供一种服务器接收访问的装置，包括：

访问请求获取单元，用于获取包含认证信息的访问请求，该访问请求称为第二请求消息；

认证信息提取单元，用于提取所述认证信息；

访问请求合法性判断单元，用于根据所述认证信息，判断所述访问请求是否合法；

响应消息返回单元，当上述单元的判断结果为是时，用于返回响应消息。

本发明还提供一种数据处理的装置，包括：

第一网络访问请求拦截单元，用于拦截第一网络访问请求，其中，所述第一网络访问请求包括源地址、目标地址；

认证信息添加单元，用于在所述第一网络访问请求中添加认证信息，得到第二网络访问请求；

第二网络访问请求发送单元，用于将所述第二网络访问请求发送到所述目标地址对应的计算设备；

响应信息接收单元，用于接收所述目标地址对应的计算设备返回的响应信息；

响应信息发送单元，用于将所述响应信息发送到所述源地址对应的计算设备。

本发明还提供一种数据响应装置，包括：

网络访问请求获取单元，用于获取包含认证信息的网络访问请求；

认证信息提取单元，用于从所述网络访问请求中提取所述认证信息；

网络访问请求合法性判断单元，用于根据所述认证信息，判断所述网络访问请求是否合法；

响应信息返回单元，当上述单元的判断结果为是时，用于返回响应消息。

本发明还提供一种电子设备，包括：

处理器；以及

存储器，用于存储一种用于安全访问内部网络的程序，该设备通电并通过所述处理器运行所述用于安全访问内部网络的程序后，执行下述步骤：

劫持具有网络访问功能的应用发出的网络访问请求；所述网络访问请求称为第一请求消息；

在所述第一请求消息中添加认证信息，形成第二请求消息；

将所述第二请求消息转发到所述网络访问请求的目的服务器，即内部网络服务器；

接收所述内部网络服务器返回的响应信息；

将所述响应信息转发给发出所述网络访问请求的所述应用。

本发明还提供一种电子设备，包括：

处理器；以及

存储器，用于存储一种服务器接收访问的程序，该设备通电并通过所述处理器运行所述服务器接收访问的程序后，执行下述步骤：

获取包含认证信息的访问请求，该访问请求称为第二请求消息；

提取所述认证信息；

根据所述认证信息，判断所述访问请求是否合法；

若是，返回响应消息。

本发明还提供一种电子设备，包括：

处理器；以及

存储器，用于存储一种数据处理的程序，该设备通电并通过所述处理器运行所述数据处理的程序后，执行下述步骤：

拦截第一网络访问请求，其中，所述第一网络访问请求包括源地址、目标地址；

在所述第一网络访问请求中添加认证信息，得到第二网络访问请求；

将所述第二网络访问请求发送到所述目标地址对应的计算设备；

接收所述目标地址对应的计算设备返回的响应信息；

将所述响应信息发送到所述源地址对应的计算设备。

本发明还提供一种电子设备，包括：

处理器；以及

存储器，用于存储一种数据响应的程序，该设备通电并通过所述处理器运行所述数据响应的程序后，执行下述步骤：

获取包含认证信息的网络访问请求；

从所述网络访问请求中提取所述认证信息；

根据所述认证信息，判断所述网络访问请求是否合法；

若是，返回响应信息。

本申请提供的用于安全访问内部网络的***以及对应的方法、装置，由客户端发起访问请求，并将请求消息劫持到中介端；中介端通过解析明文信息，加入加密信息后，将请求消息发送到服务器。

与现有技术相比，根据本申请一个实施例，优点包括：

服务器通过提取加密信息，准确获取http/https请求发起的客户端来源，从而可以准确获知客户端是否具有访问内网的权限，避免无权限的访问请求。

根据本申请一个实施例，本申请提供的技术方案还具有如下优点：由于无需使用VPN服务，舍去了手动接入和断开操作，且不需要输入密码实现验证；能够获得更佳的用户体验。

根据本申请一个实施例，本申请提供的技术方案还具有如下优点：能够直接连接内网服务器，提高访问速度。

附图说明

图1是本申请第一实施例提供的用于实现安全访问内部网络的***示意图；

图2是本申请第一实施例提供的采用http协议实现访问网络请求的示意图；

图3是本申请第一实施例提供的采用https协议实现访问网络请求的示意图；

图4是本申请第二实施例提供的用于安全访问内部网络的方法的流程图；

图5是本申请第三实施例提供的服务器接收访问的方法的流程图；

图6是本申请第四实施例提供的数据处理方法的流程图；

图7是本申请第五实施例提供的数据响应方法的流程图；

图8是本申请第六实施例提供的用于安全访问内部网络的装置示意图；

图9是本申请第七实施例提供的服务器接收访问的装置示意图；

图10是本申请第八实施例提供的数据处理的装置示意图；

图11是本申请第九实施例提供的数据响应的装置示意图；

图12是本申请第十实施例提供的电子设备的示意图；

图13是本申请第十一实施例提供的电子设备的示意图；

图14是本申请第十二实施例提供的电子设备的示意图；

图15是本申请第十三实施例提供的电子设备的示意图。

具体实施方式

在下面的描述中阐述了很多具体细节以便于充分理解本发明。但是本发明能够以很多不同于在此描述的其它方式来实施，本领域技术人员可以在不违背本发明内涵的情况下做类似推广，因此本发明不受下面公开的具体实施的限制。

本申请提供一种用于安全访问内部网络的***、一种用于安全访问内部网络的方 法、以及一种服务器接收访问的方法，以下提供实施例对所述***和方法展开详细说明。所述***和方法主要针对于访问公司内网资源而设计，但所述***和方法可以使用在有同样需求的所有网络***中，这里不做具体限定。

以下对本申请中使用的关键术语进行说明。

网络访问请求端，在本申请中，特指能够发出网络访问请求的应用软件，如浏览器或者APP；该应用软件安装在计算机、手机等硬件设备的软件平台中。

中介端，在本申请，特指在被启动后，监听所述网络访问请求端发出的访问请求(本申请中称为第一请求消息)，在该访问请求指向预定的网络地址时，劫持该访问请求，并对其加入认证信息后再向预定的网络地址发出访问请求(本申请中称为第二请求消息)的应用软件模块。该应用软件模块一般与所述网络访问请求端布置在同一个终端设备上，但也不排除主体被设置在另外一个终端设备上，在所述网络访问请求端仅仅设置实现监听、劫持所述第一请求信息的程序的情况。

内部网络服务器，在本申请中，指能够通过网络接收网络访问请求，并作为进入特定的内部网络的入口的服务器。

本申请第一实施例提供一种用于安全访问内部网络的***，请参考图1理解该实施例，图1为本申请第一实施例提供的用于安全访问内部网络的***示意图。以下结合图1对所述用于安全访问内部网络的***进行详细描述。以下描述所涉及的实施例是用来解释说明***原理，不是实际使用的限定。

一种用于安全访问内部网络的***，包括：网络访问请求端101，中介端102，内部网络服务器103。

所述网络访问请求端101用于发出用于实现网络访问请求的第一请求消息、以及接收响应消息。

以下对上述网络访问请求端101的详细工作过程进行说明。

所述网络访问请求端101是布置在特定终端设备上的软件程序，其表现形式可以是APP应用，或者浏览器；所述网络访问请求端101能够发出网络访问请求，该网络访问请求主要采用http协议或者https协议。在本申请中，将所述网络访问请求端101发出的网络访问请求称为第一请求消息。

所述http协议或者https协议是目前实现网络访问的两种主要的网络应用层协议；后者是在前者基础上结合了SSL协议，实现对访问过程的保密。

针对使用https协议的情况，在进行网络访问请求之前，需要导入CA伪证书到所 述网络访问请求端101和中介端102，该CA伪证书在所述网络访问请求端101和所述中介端102之间建立https连接使用。其中，所述中介端102作为服务器端使用所述CA伪证书。

此外，还需要采用DLL注入的方式，在所述网络访问请求端101发起的网络访问请求中注入全局流量劫持进程，实现对所述第一请求消息的监听和劫持。实现劫持的进程可以视为所述中介端102的一部分，仅仅是将其部署在所述网络访问请求端101发出的网络访问请求中。具体的实现方式可以使用hook函数实现。所谓hook函数是一种特殊的应用程序接口(即API)，使用hook函数可以改变一个***API的原有功能，其基本的方法就是通过hook函数“接触”到需要修改的API函数入口点，改变它的地址指向新的自定义的函数。

在本实施例中，采用全局DLL注入的方式，将hook函数注入到http访问进程或者https访问进程中；所谓DLL注入，是将一个DLL文件放进某个进程的地址空间里，让它成为该进程的一部分；许多应用程序并不是一个完整的可执行文件，而是被分割成一些相对独立的动态链接库，即DLL文件，放置于***中。当执行某一个程序时，相应的DLL文件就会被调用。本实施例中，即是通过全局DLL注入方式将hook函数放入所述网络访问请求端101发起的每一个http访问进程或者https访问进程中。

所述中介端102，用于监听并劫持所述网络访问请求端的第一请求消息；解析所述第一请求消息，并在所述第一请求消息中添加认证信息，得到第二请求消息；继而向所述第一请求消息的目标网络地址发送所述第二请求消息；以及，接收对所述第二请求消息的响应消息，并将该响应消息转发到所述网络访问请求端101。

所述中介端102，在本申请提供的技术方案中作为实现网络访问请求的中间转发的单元，其实体一般为一个软件程序，并一般布置在所述网络访问请求端101的APP应用或者浏览器所在的终端设备上；当然，不排除在一些情况下，被布置在专门的设备上或者某个远程服务器上，此时，仍然需要在所述网络访问请求端101上布置负责监听和劫持的程序。

在本实施例提供的***中，所述中介端102实现了如下功能：

首先，所述中介端102是被当做所述网络访问请求端的服务器使用；所述网络访问请求端101发出的任何网络访问请求(本实施例中称为第一请求消息)，均通过劫持方式劫持到该中介端102，由所述中介端102作为服务器对所述第一请求消息进行应答；必然的，为了实现这个过程中，所述网络访问请求端101与所述中介端102之间还首先 需要有进行握手的环节。

其次，由该中介端102在所述第一请求消息中添加认证信息后获得第二请求消息，并由该中介端102作为请求方，向作为目标服务器的内部网络服务器103发出；在接收到所述内部网络服务器103的响应消息后，再将所述响应消息转发到所述网络访问请求端101；必然的，为了实现这个过程中，所述中介端102与所述内部网络服务器103之间还首先需要有进行握手的环节。

可以看出，所述中介端102实现上述功能的前提是，实现对所述网络访问请求端101发出的网络访问请求的监听和劫持。所述监听并劫持所述网络访问请求端的第一请求消息的具体实现方式可以有多种；一种最可能的方式就是前述已经说明的将hook函数使用全局DLL注入方式注入到所述网络访问请求端的http进程以及https进程中，通过hook函数实现对所述网络访问请求端101发出的网络访问请求——即第一请求消息——进行监听和劫持。为实现上述监听并劫持而预先以全局DLL注入方式在网络访问请求端的http进程以及https进程中布置的hook函数应当视为所述中介端102的一部分。Hook函数实现监听和劫持的过程属于本技术领域常用的技术手段，在此不予详细介绍。

所述第一请求消息被劫持后，该网络访问请求(即第一请求消息)将无法直接访问其目标网址的服务器，而是由所述中介端102获得所述第一请求消息，并在所述第一请求消息中添加认证信息，得到第二请求消息。

所述认证信息，用于证明发出访问请求的用户或者终端具有对待访问的内部网络服务器103的访问权限的信息。所述认证信息可以采用如下信息：网络访问请求端所在的终端设备的唯一识别信息；用户身份认证信息。上述两种认证信息可以分别采用，也可以同时采用。在对所述认证信息进行添加前，需通过非对称加密算法对所述认证信息进行加密。

所述访问请求端101所在终端设备的唯一识别信息，是指布置所述访问请求端101的终端设备——如手提电脑或者手机、平板电脑等——的识别信息，例如设备的硬件序列号或者IMEI标识等与终端设备唯一对应的标志码；由于移动终端设备目前是主流，这些设备与个人身份直接关联，因此，对内网的访问权限往往可以直接关联到某个设备，例如，可以设定某台手机或者某个iPad具有对某个内部网络的访问权限，因此，采用终端设备的唯一识别信息，无论是硬件序列号还是IMEI标识，都可以用于判断访问请求是否具有访问权限，将这些信息加入所述网络访问请求中，即可以作为内部网络服务器判断所述网络访问请求是否具备访问权限的依据。由于所述中介端102一般与所述网 络访问请求端101位于同一个硬件设备，因此，可以由中介端102直接读取其所在的硬件设备的硬件序列号或者IMEI标识获得；具体读取方式与具体设备的硬件环境和***环境相关，本领域技术人员能够方便的获得相关技术手段。另外，如果所述中介端102并未与所述网络访问请求端101布置在同一个硬件设备上，也可以从外部读取布置了所述网络访问请求端101的硬件设备的硬件序列号或者IMEI标识并对应于网络访问请求端101的标识记录在所述中介端102中，在截取到来自所述网络访问请求端101的网络访问请求的情况下，就可以直接使用对应所述网络访问请求端101的终端设备的唯一识别信息作为认证信息。

所述用户身份认证信息，是直接对应于具体访问者的认证信息，例如，为某个访问者提供的访问某个内部网络的身份ID；这些信息由所述内部网络服务器103管理和颁发，所述中介端102存储该与访问者的身份直接相关的用户身份认证信息，并将其加入所述第一请求消息，就可以作为所述内部网络服务器103判别发出网络请求的一方是否有所述内部网络服务器103管理的内部网络的访问权限的依据。

具体在所述第一请求消息中添加认证信息的方式可以采取多种可能方式，一种主要可能采用的方式是在第一请求消息的头部信息中添加所述认证信息，具体可以采用如下步骤：解析所述第一请求消息，获取其原始头部信息；将所述认证信息按预设格式添加到所述头部信息，获得添加了认证信息的处理后头部信息；将所述处理后头部信息作为新的头部信息，替换所述第一请求消息中的原始头部信息，得到所述第二请求信息。所述第二请求消息就可以用于作为向所述第一请求消息的目标网络地址发送的网络请求；自然地，所述第二请求消息的目标网络地址指向的就是所述内部网络服务器103。

当所述中介端102向所述内部网络服务器103发送第二请求消息后，如果认证通过，则会接收到所述内部网络服务器103返回的响应消息；所述中介端102需要解析该响应消息，获知该响应消息是对哪一个网络访问请求端的请求的回应，然后将该响应消息发送到相应的网络访问请求端。

在此需要进一步说明的是，所述中介端102先作为服务器的替身，与所述网络访问请求端101之间建立http通讯或者https通讯的过程，然后作为客户端的替身，与所述内部网络服务器建立http通讯或者https通讯，上述过程中，均需要分别依据相应协议的通讯规则进行，包括初次通讯的握手过程；针对上述不同的网络协议，上述两个步骤的具体执行过程是不同的，以下分别予以说明。

采用http协议实现上述过程的方式可以参考图2，以下结合图2具体说明。

若所述网络访问请求端发出的所述网络访问请求采用http协议，则所述中介端102在接收所述第一请求消息时，首先接收到连接请求1，中介端2与所述网络访问请求端进行握手2，建立TCP连接；当接收到所述第一请求消息的http请求3(http协议执行过程中的一个具体请求)时，则所述中介端102根据其存储的host字段或者发起DNS请求等方式，获取所述网络访问请求指向的内部网络服务器的IP地址，并请求与所要访问的所述内部网络服务器103建立连接关系4；所述内部网络服务器103会与所述中介端102之间实现握手5，待中介端102接收到握手成功的消息后，就可将在http请求3步骤中获得的第一请求消息中添加了认证信息后获得的第二请求消息6转发到所述内部网络服务器103；所述内部网络服务器103验证后响应http请求7；所述中介端102将接收的响应消息转发8给所述网络访问请求端101，实现一次完整的访问-响应过程；当然，一次连接过程可能包含若干次http请求和响应过程，前述握手环节可以只进行一次即可。

采用https协议实现上述过程的方式可以参考图3，以下结合图3具体说明。

若所述网络访问请求端发出的所述网络访问请求采用https协议，则所述中介端102在接收所述第一请求消息之前的连接过程中，与所述网络访问请求端进行SSL握手1’，继而，所述中介端根据所述SSL握手提供的server_name字段，与所述内部网络服务器进行SSL握手2’；所述server_name字段是服务器名的含义，这是由于对应同一个IP地址可能指向不同的服务器，对应每个服务器需要对应的CA证书，所以需要使用server_name字段确定采用哪一种CA证书。

当所述中介端102接收到信号握手成功3’后，所述中介端102向所述网络访问请求端101发出信号握手成功4’；此后，所述网络访问请求端101可以向所述中介端102发起https请求，即第一请求消息5’；所述中介端102在其中添加认证信息形成第二请求消息后，转发第二请求消息6’到所述内部网络服务器103，所述内部网络服务器103验证后返回响应消息7’，中介端102将所述响应消息转发8’给所述网络访问请求端101，该次连接的后续https请求消息以及响应消息，仍然由所述中介端102转发。

总体而言，无论是http请求还是https请求，均是将所述中介端102作为一个中转用的服务器，中介端102分别与所述网络访问请求端101和所述内部网络服务器103握手和连接，并在转发的开始，向第一请求消息中添加认证信息，认证成功后，即可以继续向一方转发来自另外一方的消息。

所述内部网络服务器103，用于接收所述第二请求消息，从中提取认证信息，判断 所述网络访问请求是否具有访问权限；若是，则返回响应消息。

在本申请中，所述内部网络服务器103指能够通过网络，接收网络访问请求，并作为进入特定的内部网络的入口的服务器。在本实施例中，所述内部网络服务器103为上述网络访问请求端101和所述中介端102的目标网络地址，其目的在于接收网络访问请求信息并根据所述网络访问请求信息提供响应信息。

上述通过中介端102为所述网络访问请求端101的所述第一请求消息添加认证信息以形成第二请求消息，对所述第二请求消息进行转发，并且所述内部网络服务器103与所述中阶端102握手成功而建立连接关系后，所述内部网络服务器103接收所述包含认证信息的第二请求消息，并对其进行分析，判断其合法性，即是否为具有访问权限的访问请求。

本实施例中，判断所述第二请求消息合法性的过程可通过分析所述第二请求消息的头部信息而实现，在上述对所述中介端102的描述中，所述第二请求消息的头部信息为添加了所述认证信息的处理后头部信息，从该头部信息中提取出经加密的所述认证信息，通过与非对称加密算法相对应的解密方法对所述经加密的认证信息进行解密，即可获得认证信息，所述认证信息为终端设备的唯一识别信息和用户身份认证信息中的至少一种，由于所述认证信息是由所述内部网络服务器103预先设定和管理的，所述内部网络服务器103预先存储有允许对其访问的终端设备列表和用户列表，因此，判断所述网络访问请求是否具有访问权限的过程实质为对所述认证信息进行识别匹配的过程，具体匹配的过程包括如下中的至少一种：根据所述解密后的所述认证信息中包含的终端设备的唯一识别信息与所述服务器自身存储的允许访问的终端设备列表对比，判断发出访问请求的所述终端设备是否在该列表中；根据所述解密后的所述用户身份认证信息与所述服务器自身存储的允许访问的用户列表对比，判断发出访问请求的所述用户是否在该列表中。若匹配结果相符，则表明所述访问请求具有访问权限，所述内部网络服务器103立即根据所述第二请求消息的消息内容(第一请求消息)生成相应的响应信息，并指向所述中介端102发送所述响应信息。

有关所述内部网络服务器103返回响应信息的过程，在上述对所述中介端102的相关描述中已做说明，在此不再赘述。

本申请第二实施例提供一种用于安全访问内部网络的方法，请参考图4理解该实施例，图4为所述用于安全访问内部网络的方法的流程图。

本实施例所提供的方法与上述第一实施例所提供的***具有相同的技术内容，其主 要为将上述实施例中的中介端作为本方法的实施主体进行说明，有关本实施例中的技术细节请参考上述第一实施例的相关内容，在此不再赘述。

如图4所示，所述用于安全访问内部网络的方法，包括如下步骤：

S101，劫持具有网络访问功能的应用发出的网络访问请求；所述网络访问请求称为第一请求消息。

本步骤的作用在于接收原始访问请求信息。所述原始访问请求信息为第一请求消息，是由APP应用或者浏览器等网络访问请求端采用http协议或者https协议发送给网络访问的目的服务器的。

所述劫持具有网络访问功能的应用发出的网络访问请求，指的是对原本发送给目的服务器的所述网络访问请求进行监听和劫持，以率先接收所述网络访问请求。本实施例中，所述劫持的过程为：采用全局DLL注入的方式，将hook函数注入到http访问进程或者https访问进程中。

在劫持所述第一请求消息时，若所述第一请求消息是采用http协议发送的，则在接收所述第一请求消息之前需与所述第一请求消息的发送方进行http握手，握手成功后所述第一请求消息的发送方才可发送所述第一请求消息；若所述第一请求信息是采用https协议发送的，则在劫持所述第一请求消息之前需导入CA伪证书，且在接收所述第一请求消息之前，需分别与所述第一请求消息的发送方和后续的目的服务器进行SSL握手，待一系列SSL握手成功后，所述第一请求消息的发送方才可发送所述第一请求消息。

S102，在所述第一请求消息中添加认证信息，形成第二请求消息。

上述步骤完成对所述第一请求消息进行劫持，本步骤的作用在于在所述第一请求消息中添加认证信息，以形成第二请求消息，用于证明发出所述第一请求消息的网络访问请求端具有待访问的目的服务器的访问权限。所述认证信息可以采用如下信息：网络访问请求端所处的终端设备的唯一识别信息；用户身份认证信息，上述两种认证信息可以分别采用，也可以同时采用。所述认证信息经过非对称加密算法进行加密后，被添加在所述第一请求消息的头部信息中。

S103，将所述第二请求消息转发到所述网络访问请求的目的服务器，即内部网络服务器。

本步骤的作用在于将上述步骤形成的第二请求消息转发至网络访问的目的服务器，本申请中所述目的服务器为内部网络服务器。

在将所述第二请求消息转发到所述内部网络服务器之前，需首先与所述内部网络服 务器建立联系，具体为：若采用http协议发送，则与所述内部网络服务器进行http握手；若采用https协议发送，则在所述步骤S101中已完成了与所述第一请求消息的发送方和所述内部网络服务器的SSL握手，该过程为：在接收所述第一请求消息之前的连接过程中，与所述网络访问请求端进行SSL握手，继而，根据所述SSL握手提供的server_name字段，与所述内部网络服务器进行SSL握手。

所述第二请求消息包括认证信息和所述第一请求消息，所述内部网络服务器从所述第二请求消息中提取所述认证信息，通过非对称加密算法的相应解密方法对所述认证信息进行解密，并且根据所述认证信息判断所述网络访问请求是否具有访问权限；若是，则返回响应消息。

S104，接收所述内部网络服务器返回的响应信息。

当上述步骤的判断结果为所述网络访问请求具有访问权限、且所述内部网络服务器返回响应信息后，本步骤用于接收所述返回的响应信息。

S105，将所述响应信息转发给发出所述网络访问请求的所述应用。

本步骤用于将所述接收的响应信息转发给发出所述网络访问请求的所述应用。该过程需要对所述响应信息进行解析，获知该响应消息是对哪一个网络应用的网络访问请求的回应，然后将该响应消息发送到相应的网络应用。

本申请第三实施例提供一种服务器接收访问的方法，请参考图5理解该实施例，图5为所述服务器接收访问的方法的流程图。

本实施例所提供的方法与上述第一实施例所提供的***具有相同的技术内容，其主要为将上述实施例中的内部网络服务器作为本方法的实施主体进行说明，且本实施例与上述第二实施例的方法实施例相对应，有关本实施例中的技术细节请参考上述第一实施例和第二实施例的相关内容，在此不再赘述。

如图5所示，所述服务器接收访问的方法，包括如下步骤：

S201，获取包含认证信息的访问请求，该访问请求称为第二请求消息。

本步骤的作用在于接收访问请求。

所述包含认证信息的访问请求指的是上述第二实施例中的步骤S103所转发的第二请求消息。

S202，提取所述认证信息。

本步骤的作用在于对所述第二请求消息中的认证信息进行提取，通过所述认证信息即可判断发出所述访问请求的用户或者终端是否具有访问权限。

S203，根据所述认证信息，判断所述访问请求是否合法。

本步骤用于对所述认证信息进行解密，并以此验证所述访问请求的合法性。

所述认证信息是采用非对称加密算法进行加密的，因此，本实施例采用非对称加密算法所对应的解密方法对所述认证信息进行解密，解密后的认证信息包括如下信息的至少一种：终端设备的唯一识别信息，用户身份认证信息；对应的，验证所述访问请求的合法性的方式包括如下方式的至少一种：根据所述解密后的所述认证信息中包含的终端设备的唯一识别信息与所述服务器自身存储的允许访问的终端设备列表对比，判断发出访问请求的所述终端设备是否在该列表中；根据所述解密后的所述用户身份认证信息与所述服务器自身存储的允许访问的用户列表对比，判断发出访问请求的所述用户是否在该列表中。

S204，若是，返回响应消息。

本步骤用于根据上述步骤的判断结果作出相应回应，如果上述判断结果证明所述访问请求具有合法性，则根据所述访问请求返回相应的响应信息。

本申请第四实施例提供一种数据处理方法，请参考图6理解该实施例，图6为所述服务器接收访问的方法的流程图。

如图6所述，所述数据处理的方法包括如下步骤：

S301，拦截第一网络访问请求，其中，所述第一网络访问请求包括源地址、目标地址。

S302，在所述第一网络访问请求中添加认证信息，得到第二网络访问请求。

所述认证信息包含如下信息的至少一种：所述源地址对应的计算设备的唯一识别信息；用户身份认证信息。

S303，将所述第二网络访问请求发送到所述目标地址对应的计算设备。

S304，接收所述目标地址对应的计算设备返回的响应信息。

S305，将所述响应信息发送到所述源地址对应的计算设备。

本实施例提供的一种数据处理的方法，其实质与上述第一实施例提供的***及第二实施例所提供的用于安全访问内部网络的方法为相同技术内容，仅在表述上有所调整。本实施例的实施主体为所述第一实施例中的中介端，本实施例中的所述源地址对应的计算设备代表所述第一实施例中的网络访问请求端，本实施例中的所述目标地址对应的计算设备代表所述第一实施例中的内部网络服务器；所述第一网络访问请求代表第二实施例中的第一请求消息，所述第二网络访问请求代表所述第二实施例中的第二请求消息； 相关内容请参阅本申请第一实施例和第二实施例，在此不再赘述。

本申请第五实施例提供一种数据响应方法，请参考图7理解该实施例，图7为所述数据响应方法的流程图。

如图7所述，所述数据响应的方法包括如下步骤：

S401，获取包含认证信息的网络访问请求。

S402，从所述网络访问请求中提取所述认证信息。

S403，根据所述认证信息，判断所述网络访问请求是否合法。

S404，若是，返回响应信息。

本实施例提供的一种数据响应的方法，其实质与上述第一实施例提供的***及第三实施例所提供的服务器接收访问的方法为相同技术内容，仅在表述上有所调整。本实施例的实施主体为所述第一实施例中的内部网络服务器。相关内容请参阅本申请第一实施例和第三实施例，在此不再赘述。

本申请第六实施例提供一种用于安全访问内部网络的装置，请参考图8理解该实施例，图8为本实施例提供的用于安全访问内部网络的装置示意图。

如图8所示，所述用于安全访问内部网络的装置包括：

第一请求消息劫持单元201，用于劫持具有网络访问功能的应用发出的网络访问请求；所述网络访问请求称为第一请求消息；

认证信息添加单元202，用于在所述第一请求消息中添加认证信息，形成第二请求消息；

第二请求消息转发单元203，用于将所述第二请求消息转发到所述网络访问请求的目的服务器，即内部网络服务器；

响应信息接收单元204，用于接收所述内部网络服务器返回的响应信息；

响应信息转发单元205，用于将所述响应信息转发给发出所述网络访问请求的所述应用。

可选的，所述劫持具有网络访问功能的应用发出的网络访问请求的步骤中，采用hook函数劫持所述网络访问请求；所述hook函数预先通过DLL注入方式注入所述网络访问请求进程中。

可选的，所述第一请求消息采用http方式的情况下，在接收所述第一请求消息之前，包括与发出网络访问请求的应用进行http握手；在发出所述第二请求消息之前，与所述内部网络服务器进行http握手。

可选的，所述网络访问请求采用https方式，在接收所述第一请求消息之前，与所述网络访问请求端进行SSL握手，继而，根据所述SSL握手提供的server_name字段，与所述内部网络服务器进行SSL握手；接收到所述内部网络服务器返回的握手成功讯息后，向发出所述网络访问请求的应用发出握手成功讯息。

可选的，在劫持所述具有网络访问功能的应用发出的网络访问请求之前，导入CA伪证书。

可选的，所述认证信息包含如下信息的至少一种：终端设备的唯一识别信息；用户身份认证信息。

可选的，所述认证信息使用非对称加密算法加密。

本申请第七实施例提供一种服务器接收访问的装置，请参考图9理解该实施例，图9为本实施例提供的服务器接收访问的装置示意图。

如图9所示，所述服务器接收访问的装置包括：

访问请求获取单元301，用于获取包含认证信息的访问请求，该访问请求称为第二请求消息；

认证信息提取单元302，用于提取所述认证信息；

访问请求合法性判断单元303，用于根据所述认证信息，判断所述访问请求是否合法；

响应消息返回单元304，当上述单元的判断结果为是时，用于返回响应消息。

可选的，所述认证信息采用非对称加密算法加密，所述根据所述认证信息，判断所述访问请求是否合法，包括：

解密所述认证信息，所述认证信息中包含如下信息的至少一种：终端设备的唯一识别信息，用户身份认证信息；

根据解密后的所述认证信息，验证所述访问请求的合法性。

可选的，所述根据解密后的所述认证信息，验证所述访问请求的合法性，包括以下方式的至少一种：

根据所述解密后的所述认证信息中包含的终端设备的唯一识别信息与所述服务器自身存储的允许访问的终端设备列表对比，判断发出访问请求的所述终端设备是否在该列表中；

根据所述解密后的所述用户身份认证信息与所述服务器自身存储的允许访问的用户列表对比，判断发出访问请求的所述用户是否在该列表中。

本申请第八实施例提供一种数据处理的装置，请参考图10理解该实施例，图10为本实施例提供的数据处理的装置示意图。

如图10所示，所述数据处理的装置包括：

第一网络访问请求拦截单元401，用于拦截第一网络访问请求，其中，所述第一网络访问请求包括源地址、目标地址；

认证信息添加单元402，用于在所述第一网络访问请求中添加认证信息，得到第二网络访问请求；

第二网络访问请求发送单元403，用于将所述第二网络访问请求发送到所述目标地址对应的计算设备；

响应信息接收单元404，用于接收所述目标地址对应的计算设备返回的响应信息；

响应信息发送单元405，用于将所述响应信息发送到所述源地址对应的计算设备。

优选的，所述认证信息包含如下信息的至少一种：所述源地址对应的计算设备的唯一识别信息；用户身份认证信息。

本申请第九实施例提供一种数据响应的装置，请参考图11理解该实施例，图11为本实施例提供的数据响应的装置示意图。

如图11所示，所述数据响应的装置包括：

网络访问请求获取单元501，用于获取包含认证信息的网络访问请求；

认证信息提取单元502，用于从所述网络访问请求中提取所述认证信息；

网络访问请求合法性判断单元503，用于根据所述认证信息，判断所述网络访问请求是否合法；

响应信息返回单元504，当上述单元的判断结果为是时，用于返回响应消息。

本申请第十实施例提供一种电子设备，请参看图12，该图为该设备实施例的示意图。由于设备实施例基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。下述描述的设备实施例仅仅是示意性的。

所述电子设备，包括：处理器601；存储器602。所述存储器602用于存储一种用于安全访问内部网络的程序，该设备通电并通过所述处理器601运行所述用于安全访问内部网络的程序后，执行下述步骤：

劫持具有网络访问功能的应用发出的网络访问请求；所述网络访问请求称为第一请求消息；在所述第一请求消息中添加认证信息，形成第二请求消息；将所述第二请求消息转发到所述网络访问请求的目的服务器，即内部网络服务器；接收所述内部网络服务 器返回的响应信息；将所述响应信息转发给发出所述网络访问请求的所述应用。

本申请第十一实施例提供一种电子设备，请参看图13，该图为该设备实施例的示意图。由于设备实施例基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。下述描述的设备实施例仅仅是示意性的。

所述电子设备，包括：处理器701；存储器702。所述存储器702用于存储一种服务器接收访问的程序，该设备通电并通过所述处理器701运行所述服务器接收访问的程序后，执行下述步骤：

获取包含认证信息的访问请求，该访问请求称为第二请求消息；提取所述认证信息；根据所述认证信息，判断所述访问请求是否合法；若是，返回响应消息。

本申请第十二实施例提供一种电子设备，请参看图14，该图为该设备实施例的示意图。由于设备实施例基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。下述描述的设备实施例仅仅是示意性的。

所述电子设备，包括：处理器801；存储器802。所述存储器802用于存储一种数据处理的程序，该设备通电并通过所述处理器801运行所述数据处理的程序后，执行下述步骤：

拦截第一网络访问请求，其中，所述第一网络访问请求包括源地址、目标地址；在所述第一网络访问请求中添加认证信息，得到第二网络访问请求；将所述第二网络访问请求发送到所述目标地址对应的计算设备；接收所述目标地址对应的计算设备返回的响应信息；将所述响应信息发送到所述源地址对应的计算设备。

本申请第十三实施例提供一种电子设备，请参看图15，该图为该设备实施例的示意图。由于设备实施例基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。下述描述的设备实施例仅仅是示意性的。

所述电子设备，包括：处理器901；存储器902。所述存储器902用于存储一种数据响应的程序，该设备通电并通过所述处理器901运行所述数据响应的程序后，执行下述步骤：

获取包含认证信息的网络访问请求；从所述网络访问请求中提取所述认证信息；根据所述认证信息，判断所述网络访问请求是否合法；若是，返回响应信息。

本发明虽然以较佳实施例公开如上，但其并不是用来限定本发明，任何本领域技术人员在不脱离本发明的精神和范围内，都可以做出可能的变动和修改，因此本发明的保护范围应当以本发明权利要求所界定的范围为准。

本申请虽然以较佳实施例公开如上，但其并不是用来限定本申请，任何本领域技术人员在不脱离本申请的精神和范围内，都可以做出可能的变动和修改，因此本申请的保护范围应当以本申请权利要求所界定的范围为准。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。

1、计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括非暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

2、本领域技术人员应明白，本申请的实施例可提供为方法、***或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

Claims (25)

1. 一种实现安全访问内部网络的***，其特征在于，包括：网络访问请求端，中介端，内部网络服务器；

   所述网络访问请求端，用于发出用于实现网络访问请求的第一请求消息、以及接收响应消息；

   所述中介端，用于监听并劫持所述网络访问请求端的第一请求消息；解析所述第一请求消息，并在所述第一请求消息中添加认证信息，得到第二请求消息；继而向所述第一请求消息的目标网络地址发送所述第二请求消息；以及，接收对所述第二请求消息的响应消息，并将该响应消息转发到客户端；

   所述内部网络服务器，用于接收所述第二请求消息，从中提取认证信息，判断所述网络访问请求是否具有访问权限；若是，则返回响应消息。
2. 根据权利要求1所述***，其特征在于，所述中介端与所述网络访问请求端布置在同一个移动设备中。
3. 根据权利要求1所述***，其特征在于，所述网络访问请求端发出的所述网络访问请求采用http协议，则所述中介端在接收所述第一请求消息之前，与所述网络访问请求端进行http握手，所述中介端在发出所述第二请求消息之前，与所述内部网络服务器进行http握手。
4. 根据权利要求1所述***，其特征在于，所述网络访问请求端发出的所述网络访问请求采用https方式，则所述中介端在接收所述第一请求消息之前，与所述网络访问请求端进行SSL握手，继而，所述中介端根据所述SSL握手提供的server_name字段，与所述内部网络服务器发出SSL握手；所述中介端接收到所述内部网络服务器返回的握手成功讯息后，向所述网络访问请求端发出握手成功讯息。
5. 根据权利要求4所述***，其特征在于，在进行网络访问请求之前，导入CA伪证书到所述网络访问请求端和中介端。
6. 根据权利要求1所述***，其特征在于，所述认证信息包含如下信息的至少一种：网络访问请求端所在的终端设备的唯一识别信息；用户身份认证信息。
7. 根据权利要求1所述***，其特征在于，所述认证信息经过非对称算法加密。
8. 根据权利要求1所述***，其特征在于，采用DLL注入的方式，在所述网络访问请求端发起的网络访问请求中注入全局流量劫持进程，实现对所述第一请求消息的劫持。
9. 一种用于安全访问内部网络的方法，其特征在于，包括：

   劫持具有网络访问功能的应用发出的网络访问请求；所述网络访问请求称为第一请求消息；

   在所述第一请求消息中添加认证信息，形成第二请求消息；

   将所述第二请求消息转发到所述网络访问请求的目的服务器，即内部网络服务器；

   接收所述内部网络服务器返回的响应信息；

   将所述响应信息转发给发出所述网络访问请求的所述应用。
10. 根据权利要求9所述的用于安全访问内部网络的方法，其特征在于，所述劫持具有网络访问功能的应用发出的网络访问请求的步骤中，采用hook函数劫持所述网络访问请求；所述hook函数预先通过DLL注入方式注入所述网络访问请求进程中。
11. 根据权利要求9所述的用于安全访问内部网络的方法，其特征在于，所述第一请求消息采用http方式的情况下，在接收所述第一请求消息之前，包括与发出网络访问请求的应用进行http握手；在发出所述第二请求消息之前，与所述内部网络服务器进行http握手。
12. 根据权利要求9所述的用于安全访问内部网络的方法，其特征在于，所述网络访问请求采用https方式，在接收所述第一请求消息之前，与所述网络访问请求端进行SSL握手，继而，根据所述SSL握手提供的server_name字段，与所述内部网络服务器进行SSL握手；接收到所述内部网络服务器返回的握手成功讯息后，向发出所述网络访问请求的应用发出握手成功讯息。
13. 根据权利要求12所述的用于安全访问内部网络的方法，其特征在于，在劫持所述具有网络访问功能的应用发出的网络访问请求之前，导入CA伪证书。
14. 根据权利要求9所述的用于安全访问内部网络的方法，其特征在于，所述认证信息包含如下信息的至少一种：终端设备的唯一识别信息；用户身份认证信息。
15. 根据权利要求9所述的用于安全访问内部网络的方法，其特征在于，所述认证信息使用非对称加密算法加密。
16. 一种服务器接收访问的方法，其特征在于，包括：

    获取包含认证信息的访问请求，该访问请求称为第二请求消息；

    提取所述认证信息；

    根据所述认证信息，判断所述访问请求是否合法；

    若是，返回响应消息。
17. 根据权利要求16所述方法，其特征在于，所述认证信息采用非对称加密算法加密，所述根据所述认证信息，判断所述访问请求是否合法，包括：

    解密所述认证信息，所述认证信息中包含如下信息的至少一种：终端设备的唯一识别信息，用户身份认证信息；

    根据解密后的所述认证信息，验证所述访问请求的合法性。
18. 根据权利要求17所述方法，其特征在于，所述根据解密后的所述认证信息，验证所述访问请求的合法性，包括以下方式的至少一种：

    根据所述解密后的所述认证信息中包含的终端设备的唯一识别信息与所述服务器自身存储的允许访问的终端设备列表对比，判断发出访问请求的所述终端设备是否在该列表中；

    根据所述解密后的所述用户身份认证信息与所述服务器自身存储的允许访问的用户列表对比，判断发出访问请求的所述用户是否在该列表中。
19. 一种数据处理方法，其特征在于，包括：

    拦截第一网络访问请求，其中，所述第一网络访问请求包括源地址、目标地址；

    在所述第一网络访问请求中添加认证信息，得到第二网络访问请求；

    将所述第二网络访问请求发送到所述目标地址对应的计算设备；

    接收所述目标地址对应的计算设备返回的响应信息；

    将所述响应信息发送到所述源地址对应的计算设备。
20. 根据权利要求19所述方法，其特征在于，所述认证信息包含如下信息的至少一种：所述源地址对应的计算设备的唯一识别信息；用户身份认证信息。
21. 一种数据响应方法，其特征在于，包括：

    获取包含认证信息的网络访问请求；

    从所述网络访问请求中提取所述认证信息；

    根据所述认证信息，判断所述网络访问请求是否合法；

    若是，返回响应信息。
22. 一种电子设备，其特征在于，包括：

    处理器；以及

    存储器，用于存储一种用于安全访问内部网络的程序，该设备通电并通过所述处理器运行所述用于安全访问内部网络的程序后，执行下述步骤：

    劫持具有网络访问功能的应用发出的网络访问请求；所述网络访问请求称为第一请 求消息；

    在所述第一请求消息中添加认证信息，形成第二请求消息；

    将所述第二请求消息转发到所述网络访问请求的目的服务器，即内部网络服务器；

    接收所述内部网络服务器返回的响应信息；

    将所述响应信息转发给发出所述网络访问请求的所述应用。
23. 一种电子设备，其特征在于，包括：

    处理器；以及

    存储器，用于存储一种服务器接收访问的程序，该设备通电并通过所述处理器运行所述服务器接收访问的程序后，执行下述步骤：

    获取包含认证信息的访问请求，该访问请求称为第二请求消息；

    提取所述认证信息；

    根据所述认证信息，判断所述访问请求是否合法；

    若是，返回响应消息。
24. 一种电子设备，其特征在于，包括：

    处理器；以及

    存储器，用于存储一种数据处理的程序，该设备通电并通过所述处理器运行所述数据处理的程序后，执行下述步骤：

    拦截第一网络访问请求，其中，所述第一网络访问请求包括源地址、目标地址；

    在所述第一网络访问请求中添加认证信息，得到第二网络访问请求；

    将所述第二网络访问请求发送到所述目标地址对应的计算设备；

    接收所述目标地址对应的计算设备返回的响应信息；

    将所述响应信息发送到所述源地址对应的计算设备。
25. 一种电子设备，其特征在于，包括：

    处理器；以及

    存储器，用于存储一种数据响应的程序，该设备通电并通过所述处理器运行所述数据响应的程序后，执行下述步骤：

    获取包含认证信息的网络访问请求；

    从所述网络访问请求中提取所述认证信息；

    根据所述认证信息，判断所述网络访问请求是否合法；

    若是，返回响应信息。

Images