CN113301028B - 网关防护方法和数据打标签方法 - Google Patents
网关防护方法和数据打标签方法 Download PDFInfo
- Publication number
- CN113301028B CN113301028B CN202110521326.9A CN202110521326A CN113301028B CN 113301028 B CN113301028 B CN 113301028B CN 202110521326 A CN202110521326 A CN 202110521326A CN 113301028 B CN113301028 B CN 113301028B
- Authority
- CN
- China
- Prior art keywords
- domain name
- access request
- data packet
- request data
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
- H04L12/4645—Details on frame tagging
- H04L12/4666—Operational details on the addition or the stripping of a tag in a frame, e.g. at a provider edge node
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Technology Law (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种网关防护方法和数据打标签方法。该网关防护方法中,合法用户通过认证服务器的登录验证,认证服务器对用户终端发送的访问请求数据包打特定标签后并发送至安全网关服务器;域名解析服务器对访问请求数据包进行域名解析,发送解析后的域名信息至安全网关服务器,若解析失败时,则发送拦截通知至安全网关服务器。安全网关服务器工作时对接收的任意用户终端发送的访问请求数据包进行验证,对于访问请求数据包不存在特定标签或用户域名不合法的访问进行拦截。通过域名和身份标签的双重认证,只有含有特定标签且域名合法的访问请求数据包才能通过网关,提高网关防护可靠性。
Description
技术领域
本申请涉及网络安全防护技术领域,特别是涉及一种网关防护方法和数据打标签方法。
背景技术
移动应用的推广,满足了远程办公和现场作业时访问内部***的需求,为企业员工提供了极大的便利。但随着用户不断增多,移动端的安全问题也显得极为重要,VPN(Virtual Private Network,虚拟专用网络)的引入,为企业资源的安全访问提供了解决方案。VPN中应用了多项关键技术,网络数据包拦截是其中最重要的一项技术,它通过对数据包过滤拦截,实现了应用访问的加密保护,保证用户能够对企业内部***进行安全访问。
现有的数据包拦截方法是基于域名去进行拦截,即基于DNS(Domain NameServer,域名解析服务器)中保存的域名地址去判断访问是否有效,当用户进行访问时,安全网关就会对其访问的域名进行比对,从而拦截不合法或无效的域名。
但发明人在实施过程中发现,若攻击者一旦获取到正确的域名,甚至会绕过用户认证环节去对企业内部***进行非法访问,从而对数据安全造成威胁。
发明内容
基于此,有必要针对上述技术问题,提供一种能够提高非法访问拦截可靠性的网关防护方法和数据打标签方法。
本申请实施例一方面提供了一种网关防护方法,该方法包括:
用户终端发送访问请求数据包;
认证服务器对用户终端发送的访问请求数据包打特定标签,并将打标签后的访问请求数据包发送至安全网关服务器;
域名解析服务器对访问请求数据包进行域名解析;
域名解析服务器在解析成功时,发送域名信息至安全网关服务器;
域名解析服务器在解析失败时,发送拦截通知至安全网关服务器;
安全网关服务器接收任意用户终端发送的访问请求数据包,并验证访问请求数据包是否存在特定标签;
安全网关服务器在验证访问请求数据包不存在特定标签时,进行数据拦截;或在验证访问请求数据包存在特定标签,但根据域名信息验证用户域名不合法时,进行数据拦截;或在收到拦截通知时,进行数据拦截。
在其中一个实施例中,特定标签为包括企业信息的标签。
在其中一个实施例中,步骤“认证服务器对用户终端发送的访问请求数据包打特定标签”包括:
认证服务器在访问请求数据包的请求头加入特定标签。
在其中一个实施例中,网关防护方法还包括:
认证服务器定期更新特定标签的内容。
在其中一个实施例中,网关防护方法还包括:
安全网关服务器在验证访问请求数据包存在特定标签,且根据域名信息验证用户域名合法时,则允许发送访问请求数据包的用户终端进行访问。
另一方面,本申请实施例还提供了一种网关防护方法,应用于VPN和安全网关服务器组成的***中,该方法包括:
认证服务器对用户终端发送的访问请求数据包打特定标签,并将打标签后的访问请求数据包发送至安全网关服务器;
安全网关服务器接收任意用户终端发送的访问请求数据包,并验证访问请求数据包是否存在特定标签;
安全网关服务器在验证访问请求数据包不存在特定标签时,进行数据拦截;或在验证访问请求数据包存在特定标签,但根据域名信息验证用户域名不合法时,进行数据拦截;或在收到拦截通知时,进行数据拦截;
其中,域名信息为域名解析服务器对访问请求数据包进行域名解析后反馈的信息,拦截通知为域名解析服务器在解析失败时发送的信息。
此外,本申请实施例还提供了一种网关防护方法,应用于安全网关服务器,网关防护方法包括:
接收任意用户终端发送的访问请求数据包,并验证访问请求数据包是否存在特定标签;所述特定标签为用户在用户终端成功登陆认证服务器后,认证服务器对用户终端发送的访问请求数据包所打的特定标签;
若验证访问请求数据包不存在特定标签,则进行数据拦截;或,
若验证访问请求数据包存在特定标签,但根据域名信息验证用户域名不合法时,则进行数据拦截;域名信息为域名解析服务器对访问请求数据包进行域名解析后反馈的信息;或,
若接收到拦截通知,则进行数据拦截,拦截通知为域名解析服务器在解析失败时发送的信息。
在其中一个实施例中,网关防护方法还包括步骤:
若验证访问请求数据包存在特定标签,且根据域名信息验证用户域名合法,则允许发送访问请求数据包的用户终端进行访问。
另一方面,本申请实施例还提供了一种数据打标签方法,应用于认证服务器,方法包括:
对用户终端发送的访问请求数据包打特定标签,并将打标签后的访问请求数据包发送至安全网关服务器,使安全网关服务器在验证访问请求数据包不存在特定标签时,进行数据拦截;或在验证访问请求数据包存在特定标签,但根据域名信息验证用户域名不合法时,进行数据拦截;或在收到拦截通知时,进行数据拦截。
在其中一个实施例中,数据打标签方法还包括步骤:
定期更新特定标签的内容。
本申请一个或多个实施例在实施过程中至少具有以下有益效果:通过提供网关防护方法,用户可以通过登录认证服务器,登录成功后,认证服务器对用户终端发送的访问请求数据包打特定标签,并将打标签后的访问请求数据包发送至安全网关服务器;同时,域名解析服务器对访问请求数据包进行域名解析,并在解析成功时,发送域名信息至安全网关服务器,若解析失败时,则发送拦截通知至安全网关服务器。安全网关服务器接收任意用户终端发送的访问请求数据包,并验证访问请求数据包是否存在特定标签;并在验证访问请求数据包不存在特定标签时,或验证访问请求数据包存在特定标签但根据域名信息验证用户域名不合法时,或在收到拦截通知时,进行数据拦截。通过域名和身份标签的双重认证,防止那些非法访问企业等对象的内部***,只有含有特定标签且域名合法的访问请求数据包才能通过网关,从而成功访问***,例如,企业的内部***,提高了网关防护的可靠性,保证数据安全。
附图说明
图1为一个实施例中网关防护方法的应用环境图;
图2为一个实施例中应用于用户终端、认证服务器、安全网关服务器、域名解析服务器和***服务器所组成***架构下的网关防护方法的时序图;
图3为一个实施例中应用于用户终端、认证服务器、安全网关服务器、域名解析服务器和***服务器所组成***架构下的网关防护方法的流程示意图;
图4为一个实施例中网关防护方法的流程示意图;
图5为一个实施例中应用于用户终端、认证服务器、安全网关服务器、域名解析服务器和***服务器所组成***架构下的网关防护方法的流程示意图;
图6为一个实施例中应用于安全网关服务器的网关防护方法的流程示意图;
图7为一个实施例中应用于认证服务器的数据打标签方法的流程示意图;
图8为一个实施例中安全网关服务器的内部结构图;
图9为一个实施例中认证服务器主体的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请提供的网关防护方法和数据打标签方法,可以应用于如图1所示的应用环境中。其中,用户可以在用户终端102上进行认证服务器103登录认证。域名解析服务器106对于用户的访问请求可以进行域名解析。安全网关服务器104通过VPN103与用户终端102进行数据通信,可以对用户在用户终端102发起的访问请求进行域名合法性验证,保证被访问***的数据安全,在验证安全时,安全网关服务器104允许用户终端102发出的数据通过,进入***服务器105。其中,用户终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备,DNS服务器106和安全网关服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。用户终端102可以通过API网关与各服务器通信,使得服务对调用者透明,用户终端102与后端服务器的耦合度降低聚合后台服务,节省流量,提高性能,还能够实现提升用户体验提供安全、流控、过滤、缓存、计费、监控等API管理功能。
其中,该认证服务器103可以是VPN或者采用SDP(Software Defined Perimeter,软件定义边界)软件的服务器。VPN是指虚拟专用网络,通过在公用网络上建立专用网络,进行加密通讯。此处VPN的执行主体也可以是服务器、硬件或者虚拟软件的载体设备。
针对上述技术问题,本申请实施例一方面提供了一种网关防护方法,应用于如1中用户终端102、认证服务器103、域名解析服务器106、安全网关服务器104、***服务器105所组成的***架构中,如图2和图3所示,该方法包括:
S100:用户终端发送访问请求数据包;
S120:认证服务器对用户终端发送的访问请求数据包打特定标签,并将打标签后的访问请求数据包发送至安全网关服务器。
其中,特定标签是指要被访问的***所约定的具有身份识别作用的标签,例如包括企业信息的标签。
S130:域名解析服务器对访问请求数据包进行域名解析。
域名是Internet上某一台计算机或计算机组的名称,用于在数据传输时标识计算机的电子方位(有时也指地理位置)。而域名解析服务器(DNS,Domain Name Server)就是进行域名(domain name)和与之相对应的IP地址(IP address)转换的服务器,即将域名转换为电脑能够识别的IP地址。
S140:域名解析服务器在解析成功时,发送域名信息至安全网关服务器。
其中,域名信息是指与域名相关的信息,例如,可以包括域名证书,管理权、合法备案信息等。
S150:域名解析服务器在解析失败时,发送拦截通知至安全网关服务器。
域名信息在域名解析服务器解析不成功,则判断为无效的域名访问,将该访问请求数据包标记为非法数据包,并告知安全网关服务器进行拦截。
S160:安全网关服务器接收任意用户终端发送的访问请求数据包,并验证访问请求数据包是否存在特定标签。
任意用户在获知要访问的***的域名后,可以通过移动端、电脑端等不同的终端进行访问请求,这些请求数据包在安全网关服务器进行接收,由安全网关服务器进行合法性验证和非法访问的拦截。
S170:安全网关服务器在验证访问请求数据包不存在特定标签时,进行数据拦截;或在验证访问请求数据包存在特定标签,但根据域名信息验证用户域名不合法时,进行数据拦截;或在收到拦截通知时,进行数据拦截。
对于那些未经过认证服务器验证通过的用户访问,其发送的访问请求数据包未经过认证服务器打上特定标签,所以安全网关服务器可以通过验证访问请求数据包是否存在特定标签,若不存在,则说明该访问不合法,进行数据包拦截。对于用户经过认证服务器登录验证的访问,认证服务器在认证通过后,对访问请求数据打上特定标签后发送至安全网关服务器,此时,安全网关服务器对于访问请求数据包中存在特定标签的,为提高防护的可靠性,进一步验证其域名是否合法来决定是否允许该数据包通过网关访问***。对于域名解析服务器根据域名信息验证后判定为非法域名的,安全网关服务器也要进行拦截,例如,没有证书、没有管理权等情况下判定为非法域名。只有那些既包括特定签名,且域名合法的访问请求数据包安全网关服务器才允许其通过网关进入***服务器,访问数据。当然,对于那些DNS解析失败的,说明其为无效域名,此时,域名解析服务器将该访问请求数据包标记为非法数据包,并需要告知安全网关服务器拦截该访问请求数据包。
本申请实施例提供的网关防护方法,用户可以通过登录用户名和密码,认证服务器对该用户名和密码进行验证,验证通过后,即登录成功后,认证服务器对用户终端发送的访问请求数据包打特定标签,并将打标签后的访问请求数据包发送至安全网关服务器;同时,域名解析服务器(DNS服务器)对访问请求数据包进行域名解析,并在解析成功时,发送域名信息至安全网关服务器,若解析失败时,则发送拦截通知至安全网关服务器。安全网关服务器接收任意用户终端发送的访问请求数据包,并验证访问请求数据包是否存在特定标签;并在验证访问请求数据包不存在特定标签时,或验证访问请求数据包存在特定标签但根据域名信息验证用户域名不合法时,或在收到拦截通知时,进行数据拦截。通过域名和身份标签的双重认证,防止那些非法访问企业等对象的内部***,只有含有特定标签且域名合法的访问请求数据包才能通过网关,即安全网关服务器将访问请求数据包传送至***服务器,从而成功访问***,提高了网关防护的可靠性,保证数据安全。该***服务器可以是企业的内部***服务器。
在其中一个实施例中,该网关防护方法中,认证服务器为VPN,用户在用户终端需要进行账号、口令、手机令牌以及设备信息中的一个或多个进行VPN认证登陆。通过提高VPN登录认证的难度,防止外部人员登录VPN,可以保证只有企业内部员工才能登录成功,进而提高数据安全性。
在其中一个实施例中,为了保证数据访问的安全性,用户终端可以通过WAF(WebApplication Firewall,Web应用防护***)与认证服务器进行通信,WAF对用户终端发送的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。
在其中一个实施例中,特定标签为包括企业信息的标签。在企业应用场景中,企业的重要研究成果、财务等相关数据一旦泄露,则会对公司造成不可挽救的损失,所以对于企业来讲,其数据访问的安全性尤其关键。可以通过配置与企业信息相关的便签,例如包括企业缩写gz的“vpn_gz2020”特定标签,在用户成功登陆VPN之后,VPN对接收到的访问请求数据包加上该特定标签,并将加过特定标签的访问请求数据包发送至安全网关服务器,这样,企业的安全网关服务器可以在验证其有访问请求数据包中包括配置的特定标签,且其域名合法时,允许该访问请求数据包通过安全网关服务器,成功访问***服务器。
在其中一个实施例中,步骤“认证服务器对用户终端发送的访问请求数据包打特定标签”包括:
认证服务器在访问请求数据包的请求头加入特定标签。通过在数据包的请求头加入特定标签,例如“vpn_gz2020”,对访问请求数据包进行打标签。这就保证未通过登录认证服务器进行企业内部***访问的,即没有打特定标签的访问请求数据包,安全网关服务器由于验证其没有该特定标签,均会进行拦截,当然,对于那些域名不合法的访问也均会进行拦截。这就保证,就算攻击者获取到了正确的域名,单靠域名合法也无法通过安全网关服务器,从而提高网关防护可靠性。
在其中一个实施例中,网关防护方法还包括:
S110:认证服务器定期更新特定标签的内容。为了进一步提高网关防护的可靠性,特定标签的内容会定期更换,且不对外公开,以保证攻击者无法模仿合法访问请求数据包。认证服务器定期更新后的特定标签同步发送至安全网关服务器,使安全网关服务器可以根据最新的特定标签内容对访问请求数据包的合法性进行验证。例如,VPN修改特定标签后,可以发送包括该特定标签的数据包至安全网关服务器。
在其中一个实施例中,如图2和图3所示,网关防护方法还包括:
S180:安全网关服务器在验证访问请求数据包存在特定标签,且根据域名信息验证用户域名合法时,则允许发送访问请求数据包的用户终端进行访问。
安全网关服务器中接收到移动端、电脑端等不同终端的用户发送的访问请求数据包,并从域名解析服务器中获得域名信息。其中,这些用户中,合法用户通过认证服务器发起访问请求,用户成功登陆后(用户通过认证服务器的登录验证后),认证服务器会对其接收的访问请求数据包打特定标签,即认证服务器发送给安全网关服务器的数据包为打标签的访问请求数据包,而非法用户是绕过了认证服务器登陆,所以非法用户发送的访问请求数据包为未打标签的非法数据包。在访问过程中,域名解析服务器会对用户访问的域名解析,把域名信息返回给安全网关服务器,同时访问请求数据包会经过安全网关服务器。安全网关服务器根据访问请求数据包中的特定标签和域名合法性的双重验证结果,负责拦截非法访问请求。
具体的,安全网关服务器从访问请求数据包中判断是否存在特定标签(例如,要访问企业特定的标签),对无特定标签的数据包记为非法数据包,安全网关服务器拦截该非法的访问请求数据包,若验证数据包的请求头中含有特定标签(如,“vpn_gz2020”的企业标签),则域名解析服务器进行域名解析,若域名信息在域名解析服务器能解析不成功,则判断为无效的域名访问,域名解析服务器标记该数据包为非法数据包,并告知安全网关服务器进行数据包拦截。只有含有特定标签且域名合法的访问请求数据包才能通过安全网关服务器,从而成功访问企业内部***。通过双重验证,提高网关防护的可靠性。
为了更好地说明本申请提供的网关防护方法的实现过程,如图4所示,现以认证服务器为VPN103为例进行说明,但该处举例并不对本申请实际保护范围造成限定。合法用户在用户终端102进行VPN103登录认证,具体的通过WAF110与VPN103通信,待VPN103验证通过后,VPN103为该用户分配IP,用户终端102拿到VPN103分配的IP之后,发起访问,VPN103对该访问请求数据包打特定标签后发送给安全网关服务器104,安全网关服务器104和VPN103之间设置有防火墙120,以防止恶意入侵、恶意代码的传播。安全网关服务器104接收该区域内任意终端的访问,这之中可能包括某些非法用户的访问,例如,有些非法用户通过控制同一区域的某个服务器,企图通过网关服务器访问***服务器105(如,企业内部***)。为了避免非法用户的访问所导致的信息安全问题,安全网关服务器104进行特定标签和域名的双重认证(域名认证是根据域名解析服务器106反馈的域名信息进行的),只有访问请求数据包中包括VPN103打上的特定标签,且用户访问对应的域名合法(如域名有备案、用户具有权限等),才允许该访问通过网关进入***服务器105,进行内部数据访问。而对于那些非法用户的访问,由于其没有通过VPN103给访问请求数据包打上特定标签,所以,可以通过特定标签的验证拦截这些非法访问。而对于那些域名无法解析的或者域名非法的访问,为了数据安全,安全网关服务器104也对其对应的访问进行拦截。利用该网关防护方法,就算非法用户得到了正确的域名,也无法通过安全网关服务器104,大大提高了网关防护的可靠性。
另一方面,本申请实施例还提供了一种网关防护方法,应用于认证服务器和安全网关服务器组成的***中,如图5所示,该方法包括:
S220:认证服务器对用户终端发送的访问请求数据包打特定标签,并将打标签后的访问请求数据包发送至安全网关服务器;
S230:安全网关服务器接收任意用户终端发送的访问请求数据包,并验证访问请求数据包是否存在特定标签;
S240:安全网关服务器在验证访问请求数据包不存在特定标签时,进行数据拦截;在验证访问请求数据包存在特定标签,但根据域名信息验证用户域名不合法时,进行数据拦截;在收到拦截通知时,进行数据拦截;
其中,域名信息为域名解析服务器对访问请求数据包进行域名解析后反馈的信息,拦截通知为域名解析服务器在解析失败时发送的信息。
其中,关于特定标签等名词释义与上述实施例中相同,在此不做赘述。该网关防护方法,通过对认证服务器和安全网关服务器的程序进行改进,通过认证服务器对用户终端发送的访问请求数据包打特定标签,以便与那些非法访问用户发送的请求数据包进行区分,为安全网关服务器进行合法性验证提供重要的数据依据。安全网关服务器只允许包括特定标签且域名验证合法的访问请求数据包通过网关,访问内部***。安全网关服务器对于那些域名解析失败、请求数据包不存在特定标签、存在特定标签但域名非法的请求数据包均进行拦截。该网关防护方法,对于攻击者获取到正确域名下的非法访问也能够进行拦截,提高防护可靠性和数据安全性。
需要说明的是,应用于认证服务器和安全网关服务器组成的***中的网关防护方法,认证服务器还能够执行上面所述网关防护方法实施例中的其他步骤,并达到相应的有益效果,在此不做赘述。
此外,本申请实施例还提供了一种网关防护方法,如图6所示,应用于安全网关服务器,网关防护方法包括:
S310:接收任意用户终端发送的访问请求数据包,并验证访问请求数据包是否存在特定标签;所述特定标签为用户在用户终端成功通过认证服务器的登陆验证后,认证服务器对用户终端发送的访问请求数据包所打的特定标签;
S320:若验证访问请求数据包不存在特定标签,则进行数据拦截;或,若验证访问请求数据包存在特定标签,但根据域名信息验证用户域名不合法时,则进行数据拦截;域名信息为域名解析服务器对访问请求数据包进行域名解析后反馈的信息;或,若接收到拦截通知,则进行数据拦截,拦截通知为域名解析服务器在解析失败时发送的信息。
在其中一个实施例中,网关防护方法还包括步骤:
S330:若验证访问请求数据包存在特定标签,且根据域名信息验证用户域名合法,则允许发送访问请求数据包的用户终端进行访问。
其中,关于特定标签等释义与上述实施例中相同,在此不做赘述。具体的,该安全网关服务器上存储的程序在被执行时,可以对接收到的任意用户终端的访问请求数据包进行合法性验证,该验证包括特定标签和域名合法性的双重验证,只允许包括特定标签且域名合法的请求数据包通过网关,访问内部***。而对于那些不存在特定标签的数据包进行拦截。当验证访问请求数据包存在该特定标签后,再进一步验证域名的合法性,若验证域名非法,则也需要进行数据包拦截,避免内部遭受外部攻击和数据泄露。此外,对于域名解析服务器解析失败的访问,安全网关服务器在接收到域名解析服务器反馈的拦截通知后,也要对该访问请求数据包进行拦截。该网关防护方法,可以极大提高网关防护的可靠性。
另一方面,本申请实施例还提供了一种数据打标签方法,如图7所示,应用于认证服务器,方法包括:
S410:对用户终端发送的访问请求数据包打特定标签,并将打标签后的访问请求数据包发送至安全网关服务器,使安全网关服务器在验证访问请求数据包不存在特定标签时,进行数据拦截;或在验证访问请求数据包存在特定标签,但根据域名信息验证用户域名不合法时,进行数据拦截;或在收到拦截通知时,进行数据拦截。此处的用户终端是指已经成功通过认证服务器登录验证的用户终端。
本申请实施例提供的数据打标签方法,通过对认证服务器执行方法步骤的改进,通过设置特定标签的加载机制,对于成功通过认证服务器登陆验证的用户终端所发送的访问请求数据包打特定标签,为安全网关服务器进行数据安全验证提供多一个维度的验证依据,使其可以在域名验证的同时,还可以通过验证数据包是否包括特定标签来判断此次数据访问请求的合法性,提高网关安全防护的可靠性。
在其中一个实施例中,数据打标签方法还包括步骤:
S420:定期更新特定标签的内容。通过定期更新特定标签的内容,可以进一步避免由于标签内容泄露导致的数据安全风险。在定期更新特定标签后,可以发送包括该特定标签内容的数据包发送至安全网关服务器。执行该数据打标签方法的认证服务器还可以执行上述网关防护方法中的其他步骤,并达到相应的有益效果,在此不做赘述。
应该理解的是,虽然图2-7的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2-7中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
在其中一个实施例中,本申请还提供了一种网关防护***,包括:
用户终端,用于发送访问请求数据包;
认证服务器,用于对用户终端发送的访问请求数据包打特定标签,并将打标签后的访问请求数据包发送至安全网关服务器;
域名解析服务器,用于对所述访问请求数据包进行域名解析,在解析成功时,发送域名信息至安全网关服务器;且用于在解析失败时,发送拦截通知至所述安全网关服务器;
安全网关服务器,用于接收任意用户终端发送的访问请求数据包,并验证所述访问请求数据包是否存在所述特定标签;且用于在验证所述访问请求数据包不存在所述特定标签时,进行数据拦截;或在验证所述访问请求数据包存在所述特定标签,但根据所述域名信息验证用户域名不合法时,进行数据拦截;或在收到所述拦截通知时,进行数据拦截。
该网关防护***实现网关防护的实现过程见上述网关防护方法实施例中的描述,在此不做赘述。
在其中一个实施例中,安全网关服务器还用于在验证所述访问请求数据包存在所述特定标签,且根据所述域名信息验证用户域名合法时,则允许发送所述访问请求数据包的用户终端进行访问。安全网关服务器还可以执行上述网关防护方法实施例中的其他方法步骤,在此不做赘述。
在其中一个实施例中,本申请还提供了一种网关防护***,包括:
认证服务器,用于对用户终端发送的访问请求数据包打特定标签,并将打标签后的访问请求数据包发送至安全网关服务器;
安全网关服务器,用于接收任意用户终端发送的访问请求数据包,并验证访问请求数据包是否存在特定标签;用于在验证访问请求数据包不存在特定标签时,进行数据拦截;或在验证访问请求数据包存在特定标签,但根据域名信息验证用户域名不合法时,进行数据拦截;或在收到拦截通知时,进行数据拦截;
其中,域名信息为域名解析服务器对访问请求数据包进行域名解析后反馈的信息,拦截通知为域名解析服务器在解析失败时发送的信息。
在一个实施例中,提供了一种网关防护装置,应用于安全网关服务器,该装置包括:
数据包接收模块,用于接收任意用户终端发送的访问请求数据包,并验证所述访问请求数据包是否存在特定标签;所述特定标签为用户在用户终端成功通过认证服务器登陆验证后,认证服务器对用户终端发送的访问请求数据包所打的特定标签;
非法访问拦截执行模块,用于在验证访问请求数据包不存在特定标签时,进行数据拦截;或,在验证访问请求数据包存在特定标签,但根据域名信息验证用户域名不合法时,则进行数据拦截;域名信息为域名解析服务器对访问请求数据包进行域名解析后反馈的信息;或,在接收到拦截通知时,则进行数据拦截,拦截通知为域名解析服务器在解析失败时发送的信息。
关于网关防护装置的具体限定可以参见上文中对于网关防护方法的限定,在此不再赘述。上述网关防护装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种数据打标签装置,应用于认证服务器,该装置包括:
打标签执行模块,用于对用户终端发送的访问请求数据包打特定标签,并将打标签后的访问请求数据包发送至安全网关服务器,使所述安全网关服务器在验证所述访问请求数据包不存在所述特定标签时,进行数据拦截;或在验证所述访问请求数据包存在所述特定标签,但根据所述域名信息验证用户域名不合法时,进行数据拦截;或在收到所述拦截通知时,进行数据拦截。
关于数据打标签装置的具体限定可以参见上文中对于数据打标签方法的限定,在此不再赘述。上述数据打标签装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种安全网关服务器,其内部结构图可以如图7所示。该安全网关服务器包括通过***总线连接的处理器、存储器和网络接口。其中,该安全网关服务器的处理器用于提供计算和控制能力。该安全网关服务器的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作***、计算机程序和数据库。该内存储器为非易失性存储介质中的操作***和计算机程序的运行提供环境。该安全网关服务器的数据库用于存储特定标签数据。该安全网关服务器的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种网关防护方法。
本领域技术人员可以理解,图8中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的安全网关服务器的限定,具体的安全网关服务器可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种安全网关服务器,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:
接收任意用户终端发送的访问请求数据包,并验证所述访问请求数据包是否存在特定标签;所述特定标签为用户在用户终端成功通过认证服务器的登陆验证后,认证服务器对用户终端发送的访问请求数据包所打的特定标签;
若验证所述访问请求数据包不存在所述特定标签,则进行数据拦截;或,
若验证所述访问请求数据包存在所述特定标签,但根据域名信息验证用户域名不合法时,则进行数据拦截;所述域名信息为域名解析服务器对所述访问请求数据包进行域名解析后反馈的信息;或,
若接收到所述拦截通知,则进行数据拦截,所述拦截通知为所述域名解析服务器在解析失败时发送的信息。
在一个实施例中,处理器在执行计算机程序时,还可以执行步骤:
若验证所述访问请求数据包存在所述特定标签,且根据所述域名信息验证用户域名合法,则允许发送所述访问请求数据包的用户终端进行访问。
在一个实施例中,提供了一种认证服务器,该认证服务器的内部结构图可以如图8所示。该认证服务器包括通过***总线连接的处理器、存储器和网络接口。其中,该认证服务器的处理器用于提供计算和控制能力。该认证服务器的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作***、计算机程序和数据库。该内存储器为非易失性存储介质中的操作***和计算机程序的运行提供环境。该认证服务器的数据库用于存储特定标签数据。该认证服务器的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种数据打标签方法。
本领域技术人员可以理解,图9中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的认证服务器的限定,具体的安全网关服务器可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,处理器执行计算机程序时实现以下步骤:
对用户终端发送的访问请求数据包打特定标签,并将打标签后的访问请求数据包发送至安全网关服务器,使所述安全网关服务器在验证所述访问请求数据包不存在所述特定标签时,进行数据拦截;或在验证所述访问请求数据包存在所述特定标签,但根据所述域名信息验证用户域名不合法时,进行数据拦截;或在收到所述拦截通知时,进行数据拦截。
在一个实施例中,处理器执行计算机程序时还实现上述网关防护方法和数据打标签方法中认证服务器所执行的其他方法步骤。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述任意主体所执行的网络防护方法的步骤和/或数据打标签方法的步骤。并实现相应的有益效果。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic Random Access Memory,DRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种网关防护方法,其特征在于,所述方法包括:
用户终端发送访问请求数据包;
认证服务器对所述用户终端发送的访问请求数据包打特定标签,并将打标签后的访问请求数据包发送至安全网关服务器;所述特定标签是指要被访问的***所约定的具有身份识别作用的标签;
域名解析服务器对所述访问请求数据包进行域名解析;所述域名解析为将域名转换为能够识别的IP地址;
所述域名解析服务器在解析成功时,发送域名信息至安全网关服务器;
所述域名解析服务器在解析失败时,发送拦截通知至所述安全网关服务器;
所述安全网关服务器接收任意用户终端发送的访问请求数据包,并验证所述访问请求数据包是否存在所述特定标签;
所述安全网关服务器在验证所述访问请求数据包不存在所述特定标签时,进行数据拦截;或在验证所述访问请求数据包存在所述特定标签,但根据所述域名信息验证用户域名不合法时,进行数据拦截;或在收到所述拦截通知时,进行数据拦截。
2.根据权利要求1所述的方法,其特征在于,所述特定标签为包括企业信息的标签。
3.根据权利要求2所述的方法,其特征在于,步骤“认证服务器对用户终端发送的访问请求数据包打特定标签”包括:
认证服务器在所述访问请求数据包的请求头加入所述特定标签。
4.根据权利要求1所述的方法,其特征在于,还包括:
认证服务器定期更新所述特定标签的内容。
5.根据权利要求1-4中任一项所述的方法,其特征在于,还包括:
所述安全网关服务器在验证所述访问请求数据包存在所述特定标签,且根据所述域名信息验证用户域名合法时,则允许发送所述访问请求数据包的用户终端进行访问。
6.一种网关防护方法,其特征在于,所述方法包括:
认证服务器对用户终端发送的访问请求数据包打特定标签,并将打标签后的访问请求数据包发送至安全网关服务器;所述特定标签是指要被访问的***所约定的具有身份识别作用的标签;
所述安全网关服务器接收任意用户终端发送的访问请求数据包,并验证所述访问请求数据包是否存在所述特定标签;
所述安全网关服务器在验证所述访问请求数据包不存在所述特定标签时,进行数据拦截;或在验证所述访问请求数据包存在所述特定标签,但根据域名信息验证用户域名不合法时,进行数据拦截;或在收到拦截通知时,进行数据拦截;
其中,所述域名信息为域名解析服务器对所述访问请求数据包进行域名解析后反馈的信息,所述拦截通知为所述域名解析服务器在解析失败时发送的信息;所述域名解析为将域名转换为能够识别的IP地址。
7.一种网关防护方法,其特征在于,应用于安全网关服务器,所述网关防护方法包括:
接收任意用户终端发送的访问请求数据包,并验证所述访问请求数据包是否存在特定标签;所述特定标签为用户在用户终端成功登陆认证服务器后,认证服务器对用户终端发送的访问请求数据包所打的特定标签;所述特定标签是指要被访问的***所约定的具有身份识别作用的标签;
若验证所述访问请求数据包不存在所述特定标签,则进行数据拦截;或,
若验证所述访问请求数据包存在所述特定标签,但根据域名信息验证用户域名不合法时,则进行数据拦截;所述域名信息为域名解析服务器对所述访问请求数据包进行域名解析后反馈的信息;所述域名解析为将域名转换为能够识别的IP地址;或,
若接收到拦截通知,则进行数据拦截,所述拦截通知为所述域名解析服务器在解析失败时发送的信息。
8.根据权利要求7所述的方法,其特征在于,还包括步骤:
若验证所述访问请求数据包存在所述特定标签,且根据所述域名信息验证用户域名合法,则允许发送所述访问请求数据包的用户终端进行访问。
9.一种数据打标签方法,其特征在于,应用于认证服务器,所述方法包括:
对用户终端发送的访问请求数据包打特定标签,并将打标签后的访问请求数据包发送至安全网关服务器,使所述安全网关服务器在验证所述访问请求数据包不存在所述特定标签时,进行数据拦截;或在验证所述访问请求数据包存在所述特定标签,但根据域名信息验证用户域名不合法时,进行数据拦截;或在收到拦截通知时,进行数据拦截;
所述特定标签是指要被访问的***所约定的具有身份识别作用的标签;所述域名信息为域名解析服务器对所述访问请求数据包进行域名解析得到的;所述域名解析为将域名转换为能够识别的IP地址。
10.根据权利要求9所述的方法,其特征在于,还包括步骤:
定期更新所述特定标签的内容。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110521326.9A CN113301028B (zh) | 2021-05-13 | 2021-05-13 | 网关防护方法和数据打标签方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110521326.9A CN113301028B (zh) | 2021-05-13 | 2021-05-13 | 网关防护方法和数据打标签方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113301028A CN113301028A (zh) | 2021-08-24 |
| CN113301028B true CN113301028B (zh) | 2023-04-14 |
Family
ID=77321919
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110521326.9A Active CN113301028B (zh) | 2021-05-13 | 2021-05-13 | 网关防护方法和数据打标签方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113301028B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114157503A (zh) * | 2021-12-08 | 2022-03-08 | 北京天融信网络安全技术有限公司 | 访问请求的认证方法及装置、api网关设备、存储介质 |
| CN117411733B (zh) * | 2023-12-15 | 2024-03-01 | 北京从云科技有限公司 | 基于用户身份的内网访问保护*** |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019157333A1 (en) * | 2018-02-08 | 2019-08-15 | Nussbaum Jared | Peeirs:passive evaluation of endpoint identity and risk as a surrogate authentication factor |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101741817B (zh) * | 2008-11-21 | 2013-02-13 | ***通信集团安徽有限公司 | 一种多网络融合***、装置及方法 |
| CA2982007A1 (en) * | 2016-10-11 | 2018-04-11 | Canadian Internet Registration Authority | Registry domain name management |
| CN107277025A (zh) * | 2017-06-28 | 2017-10-20 | 维沃移动通信有限公司 | 一种网络安全访问方法、移动终端及计算机可读存储介质 |
| CN112039909B (zh) * | 2020-09-03 | 2022-07-12 | 平安科技(深圳)有限公司 | 基于统一网关的认证鉴权方法、装置、设备及存储介质 |
-
2021
- 2021-05-13 CN CN202110521326.9A patent/CN113301028B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019157333A1 (en) * | 2018-02-08 | 2019-08-15 | Nussbaum Jared | Peeirs:passive evaluation of endpoint identity and risk as a surrogate authentication factor |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113301028A (zh) | 2021-08-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9692743B2 (en) | Securing organizational computing assets over a network using virtual domains | |
| US9071600B2 (en) | Phishing and online fraud prevention | |
| US7234157B2 (en) | Remote authentication caching on a trusted client or gateway system | |
| US7793094B2 (en) | HTTP cookie protection by a network security device | |
| US20080028444A1 (en) | Secure web site authentication using web site characteristics, secure user credentials and private browser | |
| CN107634967B (zh) | 一种CSRF攻击的CSRFToken防御***和方法 | |
| US10284543B2 (en) | System and method for secure online authentication | |
| US20070113090A1 (en) | Access control system based on a hardware and software signature of a requesting device | |
| US20090319793A1 (en) | Portable device for use in establishing trust | |
| US9490986B2 (en) | Authenticating a node in a communication network | |
| CN113301028B (zh) | 网关防护方法和数据打标签方法 | |
| US10348701B2 (en) | Protecting clients from open redirect security vulnerabilities in web applications | |
| CN113536250B (zh) | 令牌生成方法、登录验证方法及相关设备 | |
| CN110943840A (zh) | 一种签名验证方法及*** | |
| CN114024751B (zh) | 一种应用访问控制方法、装置、计算机设备及存储介质 | |
| CN117155716B (zh) | 访问校验方法和装置、存储介质及电子设备 | |
| CN115696329B (zh) | 零信任认证方法及装置、零信任客户端设备和存储介质 | |
| US11356415B2 (en) | Filter for suspicious network activity attempting to mimic a web browser | |
| US20240054209A1 (en) | Identification of a computing device during authentication | |
| CN116232648A (zh) | 认证方法、装置、网关设备及计算机可读存储介质 | |
| CN115733674A (zh) | 安全加固的方法、装置、电子设备、可读存储介质 | |
| CN116192460A (zh) | 流量转发方法、装置、存储介质及电子设备 | |
| CN116743460A (zh) | 内外网的数据交换隔离方法、***、设备及存储介质 | |
| CN117061230A (zh) | 一种终端非法外联的检测方法、***及存储介质 | |
| CN118337519A (zh) | 认证方法、装置、服务器、介质及产品 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |