报文传输方法、装置及存储介质与流程

1.本技术涉及通信领域，尤其涉及一种报文传输方法、装置及存储介质。


背景技术：

2.双系统终端包括安全系统和非安全系统，安全系统用于与专有的企业服务器连接，以提高传输信息的安全性；非安全系统是开放系统，用于满足用户日常的生活娱乐对用户终端的需求。双系统终端中安全系统和非安全系统之间设置有安全芯片，这样，可以防止非安全系统非法获取安全系统中的信息。
3.然而，在安全系统与专有的企业服务器通信的过程中，安全系统发送的报文需要经过非安全系统和公网，这样存在非安全系统和公网非法盗取报文的风险，给安全系统与专有的企业服务器通信造成安全风险。因此，如何保证安全系统与专有服务器之间数据的安全性是仍待解决的问题。


技术实现要素：

4.本技术提供了一种报文传输方法、装置及存储介质。用于保证安全系统与专有服务器之间数据的安全性。
5.为达到上述目的，本技术采用如下技术方案：
6.第一方面，本技术提供了一种报文传输方法，应用于安全接入终端模块，安全接入终端模块为用户终端的第一系统中的模块，用户终端包括第一系统和第二系统；第一系统为根据安全接入终端模块加密的系统，第二系统为未加密的系统，第一系统和第二系统通过安全芯片连接；方法包括：安全接入终端模块建立安全接入终端模块与安全接入网关之间的传输通道；其中，安全接入网关为用户终端接入的企业内网中的接入网关；传输通道通过安全芯片和第二系统连接安全接入终端模块与安全接入网关；安全接入终端模块通过传输通道与安全接入网关协商密钥，确定会话主密钥；安全接入终端模块根据会话主密钥加密待传输数据报文，确定第一加密报文；安全接入终端模块通过传输通道向安全接入网关发送第一加密报文。
7.结合上述第一方面，在一种可能的实现方式中，该方法还包括：获取待传输数据报文；向外部加密模块发送第一指示信息；第一指示信息用于指示外部加密模块上报会话主密钥；接收来自外部加密模块的会话主密钥。
8.结合上述第一方面，在一种可能的实现方式中，该方法还包括：外部加密模块为外接于用户终端的加密模块，外部加密模块通过国密openvpn与用户终端通信。
9.结合上述第一方面，在一种可能的实现方式中，该方法还包括：向外部加密模块发送第二指示信息，第二指示信息用于指示外部加密模块根据预制证书、预主密钥，生成会话主密钥；其中，预主密钥由外部加密模块生成，外部加密模块存储有预制证书。
10.结合上述第一方面，在一种可能的实现方式中，该方法还包括：在握手阶段，确定安全接入网关选择的安全参数；安全参数包括以下至少之一：会话标识、预制证书、压缩算
法、密码规格、会话主密钥、重用标识；根据安全参数加密待传输数据报文，确定第一加密报文。
11.第二方面，本技术实施例提供了一种报文传输装置，该装置包括：通信单元和处理单元：处理单元，用于建立安全接入终端模块与安全接入网关之间的传输通道；其中，安全接入网关为用户终端接入的企业内网中的接入网关；传输通道通过安全芯片和第二系统连接安全接入终端模块与安全接入网关；处理单元，还用于通过传输通道与安全接入网关协商密钥，确定会话主密钥；处理单元，还用于根据会话主密钥加密待传输数据报文，确定第一加密报文；通信单元，用于通过传输通道向安全接入网关发送第一加密报文。
12.结合上述第二方面，在一种可能的实现方式中，处理单元，还用于获取待传输数据报文；通信单元，还用于向外部加密模块发送第一指示信息；第一指示信息用于指示外部加密模块上报会话主密钥；通信单元，还用于接收来自外部加密模块的会话主密钥。
13.结合上述第二方面，在一种可能的实现方式中，外部加密模块为外接于用户终端的加密模块，外部加密模块通过国密openvpn与用户终端通信。
14.结合上述第二方面，在一种可能的实现方式中，通信单元，还用于向外部加密模块发送第二指示信息，第二指示信息用于指示外部加密模块根据预制证书、预主密钥，生成会话主密钥；其中，预主密钥由外部加密模块生成，外部加密模块存储有预制证书。
15.结合上述第二方面，在一种可能的实现方式中，处理单元，还用于在握手阶段，确定安全接入网关选择的安全参数；安全参数包括以下至少之一：会话标识、预制证书、压缩算法、密码规格、会话主密钥、重用标识；处理单元，还用于根据安全参数加密待传输数据报文，确定第一加密报文。
16.第三方面，本技术实施例提供了一种报文传输装置，该报文传输装置包括：处理器以及存储器；其中，存储器用于存储计算机执行指令，当报文传输装置运行时，处理器执行存储器存储的计算机执行指令，以使报文传输装置执行如第一方面任一种可能的实现方式中描述的报文传输方法。
17.第四方面，本技术实施例提供了一种计算机可读存储介质，计算机可读存储介质中存储有指令，当计算机可读存储介质中的指令由报文传输装置的处理器执行时，使得报文传输装置能够执行如第一方面任一种可能的实现方式中描述的报文传输方法。
18.本技术的这些方面或其他方面在以下的描述中会更加简明易懂。
19.上述方案至少带来以下有益效果：本技术实施例中，在安全接入终端模块与安全接入网关通信的过程中，安全接入终端模块通过传输通道与安全接入网关协商密钥，确定会话主密钥。安全接入端可以通过会话主密钥加密报文，得到第一加密报文。由于，会话主密钥是安全接入终端模块与安全接入网关协商得到的，因此，安全接入终端模块与安全接入网关使用相同的会话主密钥。这样，安全接入网关可以对接收到的第一加密报文解密。第二系统(非安全系统)和公网即使获取到第一加密报文，由于无法获得会话主密钥，也无法获取第一加密报文中的信息。因此，本技术可以保证第一系统(安全系统)与专有服务器之间数据的安全性。
附图说明
20.为了更清楚地说明本技术实施例中的技术方案，下面将对实施例描述中所需要使
用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
21.图1为本技术实施例提供的一种报文传输装置的结构示意图；
22.图2为本技术实施例提供的一种报文传输装置的结构示意图；
23.图3为本技术实施例提供的一种报文传输方法的流程图；
24.图4为本技术实施例提供的又一种报文传输方法的流程图；
25.图5为本技术实施例提供的一种专用虚拟网卡与物理网卡比较的示意图；
26.图6为本技术实施例提供的一种报文传输装置的结构示意图；
27.图7为本技术实施例提供的一种报文传输方法的流程图；
28.图8为本技术实施例提供的另一种报文传输方法的流程图；
29.图9为本技术实施例提供的又一种报文传输装置的结构示意图。
具体实施方式
30.本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。
31.本技术的说明书以及附图中的术语“第一”和“第二”等是用于区别不同的对象，或者用于区别对同一对象的不同处理，而不是用于描述对象的特定顺序。
32.此外，本技术的描述中所提到的术语“包括”和“具有”以及它们的任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可选的还包括其他没有列出的步骤或单元，或可选的还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
33.需要说明的是，本技术实施例中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本技术实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
34.在本技术的描述中，除非另有说明，“多个”的含义是指两个或两个以上。
35.本技术实施例的技术方案可用于各种通信系统，该通信系统可以为第三代合作伙伴计划(third generation partnership project，3gpp)通信系统，例如，长期演进(long term evolution，lte)系统，又可以为5g移动通信系统、nr系统、新空口车联网(vehicle to everything，nr v2x)系统，还可以应用于lte和5g混合组网的系统中，或者设备到设备(device-to-device，d2d)通信系统、机器到机器(machine to machine，m2m)通信系统、物联网(internet of things，iot)，以及其他下一代通信系统，也可以为非3gpp通信系统，不予限制。
36.本技术实施例的技术方案可以应用于各种通信场景，例如可以应用于以下通信场景中的一种或多种：增强移动宽带(enhanced mobile broadband，embb)、超可靠低时延通信(ultra reliable low latency communication，urllc)、机器类型通信(machine type communication，mtc)、大规模机器类型通信(massive machine type communications，mmtc)、sa、d2d、v2x、和iot等通信场景。
erasable programmable read-only memory，eeprom)、只读光盘(compact disc read-only memory，cd-rom)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于包括或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。
45.一种可能的设计中，存储器103可以独立于处理器101存在，即存储器103可以为处理器101外部的存储器，此时，存储器103可以通过通信线路102与处理器101相连接，用于存储执行指令或者应用程序代码，并由处理器101来控制执行，实现本技术下述实施例提供的报文传输方法。又一种可能的设计中，存储器103也可以和处理器101集成在一起，即存储器103可以为处理器101的内部存储器，例如，该存储器103为高速缓存，可以用于暂存一些数据和指令信息等。
46.作为一种可能的实现方式，处理器101可以包括一个或多个cpu，例如图1中的cpu0和cpu1。作为另一种可实现方式，报文传输装置100可以包括多个处理器，例如图1中的处理器101和处理器107。作为再一种可实现方式，报文传输装置100还可以包括输出设备105和输入设备106。
47.现有技术中，在双系统终端中的安全系统与专有的企业服务器通信的过程中，由于安全系统发送的报文需要经过双系统终端中的非安全系统和公网，这样存在非安全系统和公网非法盗取报文的风险，给安全系统与专有的企业服务器通信造成安全风险。
48.为了解决相关技术中存在的技术问题，本技术实施例中，在安全接入终端模块与安全接入网关通信的过程中，安全接入终端模块通过传输通道与安全接入网关协商密钥，确定会话主密钥。这样一来，安全接入端可以通过会话主密钥加密报文，得到第一加密报文。由于，会话主密钥是安全接入终端模块与安全接入网关协商得到的，因此，安全接入终端模块与安全接入网关使用相同的会话主密钥。这样，安全接入网关可以对接收到的第一加密报文进行解密。非安全系统和公网即使获取到第一加密报文，由于无法获得会话主密钥，也无法获取第一加密报文中的信息。因此，本技术保证安全系统与专有服务器之间数据的安全性。
49.以下，结合附图2对本技术实施例提供的一种报文传输系统进行详细说明，如图2所示，该报文传输系统包括：第一系统201、第二系统202安全芯片203以及企业内网204。
50.第一系统201为根据安全接入终端模块加密的系统，用于与企业内网204建立加密连接；第二系统202为未加密的系统，用于满足用户日常的生活、娱乐对用户终端的需求；企业内网204用于保障企业员工之间的通信。
51.其中，第一系统201包括：应用模块2011、专用虚拟网卡模块2012、安全接入终端模块2013、密码守护进程模块2014、外部加密模块2015以及传输服务模块2016。
52.应用模块2011，被配置为：接收用户的操作指令，根据用户的操作指令生成第三指示信息，第三指示信息用于指示专用虚拟网卡模块2012生成待传输数据报文。应用模块2011包括万维网(world wide web，web)应用、行业应用；第三指示信息包括因特网包探索器(packet internet groper，ping)指令。
53.专用虚拟网卡模块2012，被配置为：接收应用模块2011的第三指示信息，根据第三指示信息生成待待传输数据报文。专用虚拟网卡模块2012用于实现第一系统201与应用模块2011之间的无缝衔接，无需对应用模块2011、第一系统201的内核以及网络协议栈进行修
改，减少工作人员的工作。
54.安全接入终端模块2013，被配置为：根据接收到的会话主密钥加密待传输数据报文，确定第一加密报文；并向传输服务模块2016发送第一加密报文。
55.密码守护进程模块2014，被配置为：连接安全接入终端模块2013和外部加密模块2015。
56.外部加密模块2015，被配置为：接收安全接入终端模块2013发送的第二指示信息，第二指示信息用于指示外部加密模块根据预制证书、预主密钥，生成会话主密钥。外部加密模块2015包括国密sd卡。
57.第二系统202，包括：传输服务模块2021。
58.传输服务模块2021，被配置为：通过安全芯片203接收第一系统201中的传输服务模块2016发送的第一加密报文，将第一加密报文转发至企业内网204。
59.安全芯片203，被配置为：配置在第一系统201和第二系统202之间，用于隔离第一系统201和第二系统202的通信数据。
60.企业内网204包括：安全接入网关2041。
61.安全接入网关2041，被配置为：与安全接入终端模块2013建立传输通道，并协商、计算会话主密钥；接收并解密第一加密报文。
62.企业内网204还包括：企业通讯录模块2042、企业内部视频及会议模块2043、远程移动办公应用2044、其他网络应用2045。其中，企业通讯录模块2042用于保存各个企业员工的联系方式；企业内部视频及会议模块2043用于满足企业员工在内网中传输内部视频信息以及召开网络会议；远程移动办公应用2044用于满足企业员工通过终端与安全接入网关2041建立远程无线连接；其他网络应用2045用于满足企业员工的其他网络需求。
63.本技术实施例提供了一种报文传输方法，可以应用于如图2所示的报文传输系统中。如图3所示，该报文传输方法包括：
64.s301、安全接入终端模块建立安全接入终端模块与安全接入网关之间的传输通道。
65.其中，安全接入终端模块为用户终端的第一系统中的模块，用户终端包括第一系统和第二系统；第一系统为根据安全接入终端模块加密的系统，第二系统为未加密的系统，第一系统和第二系统通过安全芯片连接。
66.可选的，第二系统为开放系统。
67.示例性的，第二系统为android系统。
68.s302、安全接入终端模块通过传输通道与安全接入网关协商密钥，确定会话主密钥。
69.可选的，在s302之前，安全接入终端模块与安全接入网关之前可以先互相进行身份验证，并在身份验证通过之后协商确定会话主密钥。
70.安全接入终端模块与安全接入网关之前可以先互相进行身份验证的过程包括：安全接入终端模块向安全接入网关发送安全接入终端模块的证书，安全接入网关验证安全接入终端模块的身份。安全接入网关向安全接入终端模块发送安全接入网关的证书，安全接入终端模块验证安全接入网关的身份。
71.s303、安全接入终端模块根据会话主密钥加密待传输数据报文，确定第一加密报
文。
72.一种可能的实现方式中，安全接入终端模块根据会话主密钥加密待传输数据报文以及与安全接入网关协商的密码规格(密码算法)，确定第一加密报文。
73.s304、安全接入终端模块通过传输通道向安全接入网关发送第一加密报文。
74.一种可能的实现方式中，安全接入终端模块通过传输通道向安全接入网关发送第一加密报文，以使得安全接入网关根据会话主密钥，解密第一加密报文。
75.上述方案至少带来以下有益效果：本技术实施例中，在安全接入终端模块与安全接入网关通信的过程中，安全接入终端模块通过传输通道与安全接入网关协商密钥，确定会话主密钥。这样一来，安全接入端可以通过会话主密钥加密报文，得到第一加密报文。由于，会话主密钥是安全接入终端模块与安全接入网关协商得到的，因此，安全接入终端模块与安全接入网关使用相同的会话主密钥。这样，安全接入网关可以对接收到的第一加密报文解密。第二系统和公网即使获取到第一加密报文，由于无法获得会话主密钥，也无法获取第一加密报文中的信息。因此，本技术可以保证第一系统与专有服务器之间数据的安全性。
76.一种可能的实现方式中，在上述s303之前，安全接入终端模块获取待传输数据报文和会话主密钥。以下，对安全接入终端模块获取待传输数据报文和会话主密钥的过程进行介绍。
77.结合图3，如图4所示，上述安全接入终端模块获取待传输数据报文和会话主密钥的过程具体可以通过以下s401-s403实现。
78.s401、安全接入终端模块获取待传输数据报文。
79.一种可能的实现方式中，安全接入终端模块从专用虚拟网卡中获取待传输数据报文。
80.可选的，专用虚拟网卡为第一系统中的内核态程序，用于连接终端中的应用程序(application，app)和第一系统中的安全接入终端模块，使得用户通过app向第一系统中的安全接入终端模块发送待传输数据报文。由于第一系统包括虚拟网卡，终端中的app可以通过第一系统终端中的虚拟网卡直接与安全接入网关通信，无需对用户终端上的app和第一系统底层通信模块做适应性改造，节约了资源。
81.需要说明的是，结合图4，如图5所示，内核态的物理网卡通过网络协议栈(network protocol stack)接收用户态的app的第三指示信息，并根据第三指示信息生成待传输数据报文，将待传输数据报文转发至物理网络。内核态的虚拟网卡通过网络协议栈接收用户态的app的第三指示信息，并根据第三指示信息生成待传输数据报文，将待传输数据报文转发至应用程序。由于第一系统不存在物理网卡，因此，在第一系统中设置虚拟网卡以实现物理网卡的功能。示例性的，虚拟网卡驱动应用程序与网络协议通信。
82.s402、安全接入终端模块向外部加密模块发送第一指示信息。
83.其中，第一指示信息用于指示外部加密模块上报会话主密钥。外部加密模块为外接于用户终端的加密模块，外部加密模块通过国密虚拟专用通道(openvpn，opn)与用户终端通信。
84.可选的，外部加密模块为国密安全数字存储卡(secure digital memory card，sd)，外部加密模块可以为安全接入终端模块提供密码相关能力。
85.一种可能的实现方式中，安全接入终端模块通过密码守护进程模块向外部加密模
块发送第一指示信息，以使得外部加密模块根据相关信息计算出会话主密钥。
86.可选的，密码守护进程模块为接口，用于与外部加密模块的对接。s403、安全接入终端模块接收来自外部加密模块的会话主密钥。
87.一种可能的实现方式中，安全接入终端模块保存会话主密钥，以便对后续的待传输数据报文加密。
88.另一种可能的实现方式中，结合图4，如图6所示，安全接入模块包括国密ssl协议模块和通信模块。国密ssl协议用于建立传输信道以及协商会话主密钥。安全接入模块接收虚拟网卡发送的待传输数据报文；安全接入模块通过密码守护进程模块接收国密sd卡的会话主密钥。从而安全接入模块根据会话主密钥加密待传输数据报文，确定第一加密报文，并通过通信模块将第一加密报文发送至传输服务模块。传输服务模块用于传输安全接入模块与安全接入网关之间的信息。
89.上述方案至少带来以下有益效果：本技术实施例中，安全接入终端模块从外部加密模块调用会话主密钥，避免由于安全接入终端模块需要计算会话主密钥，造成的资源浪费。且本技术实施例中，对外部加密模块进行改造，改造简单，拆卸方便，无需对终端内部进行改造。
90.结合图3，如图7所示，上述安全接入终端模块通过传输通道与安全接入网关协商密钥，确定会话主密钥的过程具体可以通过以下s701实现。
91.s701、安全接入终端模块向外部加密模块发送第二指示信息。
92.第二指示信息用于指示外部加密模块根据预制证书、预主密钥，生成会话主密钥。
93.其中，预主密钥由外部加密模块生成，外部加密模块存储有预制证书。
94.需要说明的是，安全接入终端模块接收安全接入网关发送的server key exchange消息之后，向外部加密模块发送请求消息。请求消息用于请求预主密钥和预制证书，server key exchange消息用于请求预主密钥。安全接入终端模块将预主密钥和预制证书发送给安全接入网关，以使得安全接入网关根据预制证书、预主密钥，生成解密会话主密钥。由于安全接入网关与外部加密模块使得相同的参数(预制证书、预主密钥)，因此，外部加密模块生成会话主密钥与安全接入网关生成解密会话主密钥相同，从而安全接入网关可以根据解密会话主密钥解密第一加密报文。可选的，预制证书包括认证证书(certification authority，ca)。外部加密模块从ca系统中下载ca证书。
95.需要指出的是，外部加密模块根据第二指示信息生成会话主密钥后，可以响应于安全接入终端模块的第一指示信息，向安全接入终端模块上报会话主密钥；外部加密模块也可以主动向安全接入终端模块上报会话主密钥。
96.上述方案至少带来以下有益效果：本技术实施例中，由于安全接入终端模块向外部加密模块发送第二指示信息，这样一来，外部加密模块可以根据第二指示信息生成会话主密钥，从而避免安全接入终端模块自身计算会话主密钥造成的计算资源的浪费。
97.结合图3，如图8所示，上述根据会话主密钥加密待传输数据报文，确定第一加密报文的过程具体可以通过以下s801-s802实现。
98.s801、在握手阶段，安全接入终端模块确定安全接入网关选择的安全参数。
99.其中，安全参数包括以下至少之一：会话标识、预制证书、压缩算法、密码规格、会话主密钥、重用标识。
100.需要说明的是，会话标识是安全接入网关选取的随意的字节序列，用于识别活跃或可恢复的会话；重用标识用于标明能否用该会话发起一个新连接的标识。
101.可选的，在握手阶段，安全接入终端模块向安全接入网关发送通过client hello消息。client hello消息包括：会话标识、压缩算法、密码规格。安全接入网关向安全接入终端模块回复server hello消息，server hello消息包括：会话标识、压缩算法、密码规格。
102.一种可能的实现方式中，安全接入终端模块向安全接入网关发送至少一个压缩算法和/或至少一个密码规格；安全接入网关根据自身支持的选择算法从至少一个压缩算法和/或至少一个密码规格中选择第一目标压缩算法和/或第一目标密码规格，并向安全接入终端模块发送第一响应消息，第一响应消息包括第一目标算法和/或第一目标密码规格。
103.示例性的，第一目标算法为server hello消息中的压缩算法，第一目标密码规格为server hello消息中的密码规格。
104.另一种可能的实现方式中，安全接入终端模块向安全接入网关发送至少一个压缩算法和/或至少一个密码规格，至少一个压缩算法和/或至少一个密码规格按照优先级顺序排列；安全接入网关根据自身支持的选择算法从至少一个压缩算法中选择优先级最高的第二目标压缩算法，从至少一个密码规格中选择优先级最高的第二目标密码规格，并向安全接入终端模块发送第二响应消息，第二响应消息包括第二目标算法和/或第二目标密码规格。
105.示例性的，第二目标算法为server hello消息中的压缩算法，第二目标密码规格为server hello消息中的密码规格。
106.可选的，安全接入终端模块向外部加密模块发送安全参数。
107.s802、安全接入终端模块根据安全参数加密待传输数据报文，确定第一加密报文。
108.一种可能的实现方式中，安全接入终端模块对待传输数据报文进行数据分段处理，得到多个子报文；然后使用压缩算法分别对每个子报文进行压缩，得到压缩后的子报文；根据密码规格和会话主密钥对每个压缩后的子报文进行压缩，得到第一加密报文。
109.上述方案至少带来以下有益效果：本技术实施例中，安全接入终端模块与向安全接入网关进行密钥协商，得到安全参数。安全接入端可以通过安全参数加密报文，得到第一加密报文。由于，会话主密钥是安全接入终端模块与安全接入网关协商得到的，因此，安全接入终端模块与安全接入网关使用相同的安全参数。这样，安全接入网关可以对接收到的第一加密报文解密。第二系统(非安全系统)和公网即使获取到第一加密报文，由于无法获得安全参数，也无法获取第一加密报文中的信息。因此，本技术可以保证第一系统(安全系统)与专有服务器之间数据的安全性。
110.可以看出，上述主要从方法的角度对本技术实施例提供的技术方案进行了介绍。为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的模块及算法步骤，本技术实施例能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。
111.本技术实施例可以根据上述方法示例对报文传输装置进行功能模块的划分，例
如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。可选的，本技术实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。
112.如图9所示，为本技术实施例提供的一种报文传输装置90的结构示意图。该报文传输装置90包括：处理单元901和通信单元902。
113.处理单元901，用于建立安全接入终端模块与安全接入网关之间的传输通道；其中，安全接入网关为用户终端接入的企业内网中的接入网关；传输通道通过安全芯片和第二系统连接安全接入终端模块与安全接入网关；处理单元901，还用于通过传输通道与安全接入网关协商密钥，确定会话主密钥；处理单元901，还用于根据会话主密钥加密待传输数据报文，确定第一加密报文；通信单元902，用于通过传输通道向安全接入网关发送第一加密报文。
114.可选的，处理单元901，还用于获取待传输数据报文；通信单元902，还用于向外部加密模块发送第一指示信息；第一指示信息用于指示外部加密模块上报会话主密钥；通信单元902，还用于接收来自外部加密模块的会话主密钥。
115.可选的，外部加密模块为外接于用户终端的加密模块，外部加密模块通过国密openvpn与用户终端通信。
116.可选的，通信单元902，还用于向外部加密模块发送第二指示信息，第二指示信息用于指示外部加密模块根据预制证书、预主密钥，生成会话主密钥；其中，预主密钥由外部加密模块生成，外部加密模块存储有预制证书。
117.可选的，处理单元901，还用于在握手阶段，确定安全接入网关选择的安全参数；安全参数包括以下至少之一：会话标识、预制证书、压缩算法、密码规格、会话主密钥、重用标识；处理单元901，还用于根据安全参数加密待传输数据报文，确定第一加密报文。
118.其中，处理单元901可以是处理器或控制器。其可以实现或执行结合本技术公开内容所描述的各种示例性的逻辑方框，模块和电路。处理器也可以是实现计算功能的组合，例如包括一个或多个微处理器组合，dsp和微处理器的组合等等。通信单元902可以是收发电路或通信接口等。存储模块可以是存储器。当处理单元901为处理器，通信单元902为通信接口，存储模块为存储器时，本技术实施例所涉及的报文传输装置可以为图1所示报文传输装置。
119.通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将网络节点的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。上述描述的系统，模块和网络节点的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
120.本技术实施例还提供一种计算机可读存储介质，计算机可读存储介质中存储有指令，当计算机执行该指令时，该计算机执行上述方法实施例所示的方法流程中的各个步骤。
121.本技术实施例还提供一种芯片，芯片包括处理器和通信接口，通信接口和处理器耦合，处理器用于运行计算机程序或指令，以实现上述方法实施例中的报文传输方法。
122.本技术的实施例提供一种包含指令的计算机程序产品，当指令在计算机上运行
时，使得计算机执行上述方法实施例中的报文传输方法。
123.其中，计算机可读存储介质，例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘。随机存取存储器(random access memory，ram)、只读存储器(read-only memory，rom)、可擦式可编程只读存储器(erasable programmable read only memory，eprom)、寄存器、硬盘、光纤、便携式紧凑磁盘只读存储器(compact disc read-only memory，cd-rom)、光存储器件、磁存储器件、或者上述的人以合适的组合、或者本领域数值的任何其他形式的计算机可读存储介质。一种示例性的存储介质耦合至处理器，从而使处理器能够从该存储介质读取信息，且可向该存储介质写入信息。当然，存储介质也可以是处理器的组成部分。处理器和存储介质可以位于特定用途集成电路(application specific integrated circuit，asic)中。在本发明实施例中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
124.由于本发明的实施例中的装置、设备、计算机可读存储介质、计算机程序产品可以应用于上述方法，因此，其所能获得的技术效果也可参考上述方法实施例，本技术实施例在此不再赘述。
125.以上，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何在本技术揭露的技术范围内的变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应该以权利要求的保护范围为准。