CN114726652A - 一种基于l7代理的安全设备管理方法及*** - Google Patents

一种基于l7代理的安全设备管理方法及*** Download PDF

Info

Publication number
CN114726652A
CN114726652A CN202210546417.2A CN202210546417A CN114726652A CN 114726652 A CN114726652 A CN 114726652A CN 202210546417 A CN202210546417 A CN 202210546417A CN 114726652 A CN114726652 A CN 114726652A
Authority
CN
China
Prior art keywords
management platform
reverse proxy
security
request
public key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210546417.2A
Other languages
English (en)
Other versions
CN114726652B (zh
Inventor
任帅
靳涛
于慧超
石永杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Wangteng Technology Co ltd
Original Assignee
Beijing Wangteng Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Wangteng Technology Co ltd filed Critical Beijing Wangteng Technology Co ltd
Priority to CN202210546417.2A priority Critical patent/CN114726652B/zh
Publication of CN114726652A publication Critical patent/CN114726652A/zh
Application granted granted Critical
Publication of CN114726652B publication Critical patent/CN114726652B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/2895Intermediate processing functionally located close to the data provider application, e.g. reverse proxies
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种基于L7代理的安全设备管理方法及***,该方法包括:安全设备启动SSDP服务,通过Search方法搜索指定特征码,探测目标安全管理平台服务器;在搜寻到所述安全管理平台服务器后,所述安全设备发起认证和注册请求,并在注册成功后获取公钥;所述安全管理平台定期检查所述安全设备健康状态;所述安全设备启动Http反向代理服务,对Http请求进行解密、解析和鉴权处理后,转发到所述安全设备,并通过所述公钥对报文进行加密处理,返回到所述安全管理平台;本发明所提供的一种基于L7代理的安全设备管理方法及***能够利用自定义插件扩展的支持,以适配和兼容不同设备应用程序,避免代理程序和应用程序因兼容性问题导致的二次开发。

Description

一种基于L7代理的安全设备管理方法及***
技术领域
本发明涉及网络安全设备管理技术领域,具体涉及一种基于L7代理的安全设备管理方法及***。
背景技术
现代企业为了保障生产过程的关键信息安全,通常会部署一些网络安全设备,比如防火墙、网闸、安全审计***、主机卫士等。随着安全设施规模的增加,维护大量设备难度陡增,集中管控成为企业切实的需求,基于此诞生了安全管理平台这类产品。
然而传统的安全管理平台存在着诸多的缺陷,在接入受控设备时,安全设备端不仅自身需要实现网络化以接收平台端指令,还要把控制指令迁移到平台端。因此在实施过程中,由于受控设备厂商的不同、开发语言和架构的差异,传统解决方案会造成实施难度大、工期长、扩展性不佳、受支持设备局限等问题。为了避免每个受控设备都需要实现一套与安管平台通信的语义功能,需要一种统一的、无关语言、无关框架的通信层,让研发人员能够专注于业务,节约工程时间,更加高效的交付健壮且完备的产品。
发明内容
本发明提供的一种基于L7代理的安全设备管理方法,能够解决上述过程中的技术问题。
本发明解决上述技术问题的技术方案如下:
第一方面,本发明提供了基于L7代理的安全设备管理方法,包括:包括以下步骤:
S1:安全设备启动SSDP服务,通过Search方法搜索指定特征码,探测目标安全管理平台服务器;
S2:在搜寻到所述安全管理平台服务器后,所述安全设备发起认证和注册请求,并在注册成功后获取公钥;
S3:所述安全设备启动健康监测服务,供所述安全管理平台定期检查所述安全设备健康状态;
S4:所述安全设备启动Http反向代理服务,接管来自所述安全管理平台的流量,对Http请求进行解密、解析和鉴权处理后,转发到所述安全设备,并通过所述公钥对报文进行加密处理,返回到所述安全管理平台。
在一些实施例中,所述步骤S2还包括:
S21:安全设备向安全管理平台发送请求获取验证码,随后将设备信息连同验证码封装后发送给所述安全管理平台进行校验,若校验通过,则返回公钥;
S22:安全设备使用所述公钥将设备信息加密后再次请求所述安全管理平台进行验证,验证通过后返回注册成功;
S23:安全设备把所述安全管理平台IP地址加入受信任主机中,保存公钥,此时所述安全设备进入上线状态,准备接收和处理所述安全管理平台的指令。
在一些实施例中,所述步骤S4中“所述安全设备启动Http反向代理服务”前还需进行以下操作:
安全设备加载插件资源包,然后使用yaegi解释器对插件源代码进行解释,并将所有插件都装载到钩子总线中,所述钩子总线由插件管理器管理。
在一些实施例中,所述步骤S4还包括以下步骤:
S41:创建反向代理处理器;
S42:安全设备启动Http服务,注册forward路由指向所述反向代理处理器;
S43:在forward路由中加入中间件,所述中间件在所述forward路由请求进入所述反向代理处理器前以及所述反向代理处理器返回响应后进行工作。
在一些实施例中,所述步骤S43中“所述中间件在所述forward路由请求进入所述反向代理处理器前以及所述反向代理处理器返回响应后进行工作”还包括:
S431:在所述forward路由请求进入所述反向代理处理器前,对所要请求的客户端IP地址进行校验,如不是所述受信任主机,则进行拦截,并返回错误信息;若通过校验,则根据请求头中的加密类型字段,使用所述公钥解密,将解密后的数据写入请求体中,交由所述反向代理处理器处理;
S432:所述反向代理处理器返回数据后,根据加密类型使用所述公钥对数据进行加密,并返回给所述安全管理平台。
第二方面,本发明提供了一种基于L7代理的安全设备管理***,包括:
服务器搜寻模块,用于启动SSDP服务,通过Search方法搜索指定特征码,探测目标安全管理平台服务器;
认证注册模块,用于在搜寻到所述安全管理平台服务器后,所述安全设备发起认证和注册请求,并在注册成功后获取公钥;
健康监测模块,用于启动健康监测服务,供所述安全管理平台定期检查所述安全设备健康状态;
反向代理模块,用于启动Http反向代理服务,接管来自所述安全管理平台的流量,对Http请求进行解密、解析和鉴权处理后,转发到所述安全设备,并通过所述公钥对报文进行加密处理,返回到所述安全管理平台。
在一些实施例中,所述认证注册模块包括:
请求校验子模块,用于向安全管理平台发送请求获取验证码,随后将设备信息连同验证码封装后发送给所述安全管理平台进行校验,若校验通过,则返回公钥;
注册子模块,用于使用所述公钥将设备信息加密后再次请求所述安全管理平台进行验证,验证通过后返回注册成功;
状态维持子模块,用于使安全设备把所述安全管理平台IP地址加入受信任主机中,保存公钥,此时所述安全设备进入上线状态,准备接收和处理所述安全管理平台的指令。
在一些实施例中,还包括:
插件配置模块,用于使安全设备加载插件资源包,然后使用yaegi解释器对插件源代码进行解释,并将所有插件都装载到钩子总线中,所述钩子总线由插件管理器管理。
在一些实施例中,所述反向代理模块包括:
处理器创建子模块,用于创建反向代理处理器;
Http服务子模块,用于启动Http服务,注册forward路由指向所述反向代理处理器;
中间件子模块,用于在forward路由中加入中间件,所述中间件在所述forward路由请求进入所述反向代理处理器前以及所述反向代理处理器返回响应后进行工作。
在一些实施例中,所述中间件子模块包括:
验证处理单元,用于在所述forward路由请求进入所述反向代理处理器前,对所要请求的客户端IP地址进行校验,如不是所述受信任主机,则进行拦截,并返回错误信息;若通过校验,则根据请求头中的加密类型字段,使用所述公钥解密,将解密后的数据写入请求体中,交由所述反向代理处理器处理;
加密单元,用于在所述反向代理处理器返回数据后,根据加密类型使用所述公钥对数据进行加密,并返回给所述安全管理平台。
本申请的有益效果是:
本申请提供一种基于L7代理的安全设备管理方法及***,它将平台和受控设备的通信抽象为单独一层,在这一层中实现服务发现、认证授权、健康监测、流量控制、插件扩展等功能,作为一个独立于设备应用程序的轻量级代理服务,和设备应用程序部署在一起,接管来自平台的流量,通过代理通信间接完成平台和设备通信请求。并提供了自定义插件扩展的支持,以适配和兼容不同设备应用程序,避免代理程序和应用程序因兼容性问题导致的二次开发。
附图说明
图1为本申请的基于L7代理的安全设备管理方法流程图;
图2为本申请步骤S2的子流程图;
图3为本申请步骤S4的子流程图;
图4为本申请步骤S43的子流程图;
图5为本申请安全设备认证流程图;
图6为本申请反向代理流程图。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
为了能够更清楚地理解本申请的上述目的、特征和优点,下面结合附图和实施例对本公开作进一步的详细说明。可以理解的是,所描述的实施例是本公开的一部分实施例,而不是全部的实施例。此处所描述的具体实施例仅仅用于解释本公开,而非对本申请的限定。基于所描述的本申请的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本申请保护的范围。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
图1为本申请的基于L7代理的安全设备管理方法流程图。
一种基于L7代理的安全设备管理方法,结合图1,包括以下步骤:
S1:安全设备启动SSDP服务,通过Search方法搜索指定特征码,探测目标安全管理平台服务器;
具体的,本方法通过一个独立程序,伴随目标安全设备主体服务运行,首先程序运行SSDP(即简单服务发现协议)服务,通过Search方法搜索指定特征码(即对应安全管理平台的特征码),搜寻到安全管理平台服务器。
S2:在搜寻到所述安全管理平台服务器后,所述安全设备发起认证和注册请求,并在注册成功后获取公钥;
在一些实施例中,结合图2以及图5,所述步骤S2还包括:
S21:安全设备向安全管理平台发送请求获取验证码,随后将设备信息连同验证码封装后发送给所述安全管理平台进行校验,若校验通过,则返回公钥;
S22:安全设备使用所述公钥将设备信息加密后再次请求所述安全管理平台进行验证,验证通过后返回注册成功;
S23:安全设备把所述安全管理平台IP地址加入受信任主机中,保存公钥,此时所述安全设备进入上线状态,准备接收和处理所述安全管理平台的指令。
具体的,程序在探测到安全管理平台后,向安全管理平台发送请求获取验证码,随后将安全设备的设备信息(设备信息包含有:设备唯一标识、mac码、ip地址等信息)连同验证码封装后发送给安全管理平台进行校验,若安全管理平台校验通过,则返回公钥,程序使用该公钥将安全设备信息加密后再次请求平台端进行验证,验证通过后返回注册成功。
S3:所述安全设备启动健康监测服务,供所述安全管理平台定期检查所述安全设备健康状态;
具体的,程序启动健康监测服务,供安全管理平台定期探测安全设备的健康状态,并预设一个时间阈值,例如本申请可设置定期探测时间为2秒,时间阈值为5秒,如在设置的时间阈值内(即5秒内)未正常返回健康状态,则进入离线状态,离线状态不能接受平台端指令,直至再次被平台探测到。
S4:所述安全设备启动Http反向代理服务,接管来自所述安全管理平台的流量,对Http请求进行解密、解析和鉴权处理后,转发到所述安全设备,并通过所述公钥对报文进行加密处理,返回到所述安全管理平台;
在一些实施例中,所述步骤S4中“所述安全设备启动Http反向代理服务”前还需进行以下操作:
安全设备加载插件资源包,然后使用yaegi解释器对插件源代码进行解释,并将所有插件都装载到钩子总线中,所述钩子总线由插件管理器管理。
具体的,程序在启动时根据配置去加载指定的自定义插件资源包文件,资源包为golang语言编写的源代码。程序会把插件包中的mainfest文件和源代码文件解析成结构化数据,持久化到数据库中。随后进行插件管理器的初始化过程,此过程会先初始化内置插件(和程序共同编译的默认函数),然后使用yaegi解释器对自定义插件源代码进行解释,yaegi 直接将源代码中定义的函数,解释后向程序直接暴露成同一结构的函数,自定义插件会覆盖同名的默认内置插件。所有的插件都被装载到钩子总线中,钩子总线***件管理器管理,插件管理器会在钩子触发时从钩子总线中查找对应的钩子函数,构造worker协程执行钩子函数。
在一些实施例中,结合图3以及图6,所述步骤S4还包括以下步骤:
S41:创建反向代理处理器;
具体的,程序创建反向代理处理器,该处理器的工作原理为接收上游的request请求,对request header(请求头)进行处理,通过连接池(若无连接池则初始化)获取下游数据写入缓冲区,删除Connection中的消息头,把下游返回的响应头数据拷贝到上游响应头中,定期从缓冲区把数据拷贝到response对象中,并刷新缓冲区。除此之外,处理器中还加入钩子程序,通过内置插件或者自定义插件对请求进行预处理。
S42:安全设备启动Http服务,注册forward路由指向所述反向代理处理器;
S43:在forward路由中加入中间件,所述中间件在所述forward路由请求进入所述反向代理处理器前以及所述反向代理处理器返回响应后进行工作。
在一些实施例中,结合图4,所述步骤S43中“所述中间件在所述forward路由请求进入所述反向代理处理器前以及所述反向代理处理器返回响应后进行工作”还包括:
S431:在所述forward路由请求进入所述反向代理处理器前,对所要请求的客户端IP地址进行校验,如不是所述受信任主机,则进行拦截,并返回错误信息;若通过校验,则根据请求头中的加密类型字段,使用所述公钥解密,将解密后的数据写入请求体中,交由所述反向代理处理器处理;
S432:所述反向代理处理器返回数据后,根据加密类型使用所述公钥对数据进行加密,并返回给所述安全管理平台。
具体的,程序启动Http服务,注册forward路由指向步骤S41中创建的反向代理处理器,forward路由可处理多种请求方法,包括GET、POST、PUT、DELETE等。在forward路由中加入中间件(middleware),中间件会在请求进入处理器前和处理器返回响应后进行工作,相当于处理器的前置的和后置步骤。在前置步骤中,会对请求的客户端IP地址进行校验,如不是步骤S23中受信任的主机(注册的安全管理平台),则进行拦截,并返回错误信息,若通过校验,则根据请求头中的加密类型字段,使用步骤S23中保存的公钥解密,将解密后的数据写入请求体中,交由反向代理处理器处理,代理处理器处理返回数据后,后置步骤会根据加密类型使用公钥对数据进行加密,并返回给上游即安全管理平台,至此完成了整个安全设备管理流程。
本发明第二方面还提供了一种基于L7代理的安全设备管理***,包括:
服务器搜寻模块,用于启动SSDP服务,通过Search方法搜索指定特征码,探测目标安全管理平台服务器;
认证注册模块,用于在搜寻到所述安全管理平台服务器后,所述安全设备发起认证和注册请求,并在注册成功后获取公钥;
健康监测模块,用于启动健康监测服务,供所述安全管理平台定期检查所述安全设备健康状态;
反向代理模块,用于启动Http反向代理服务,接管来自所述安全管理平台的流量,对Http请求进行解密、解析和鉴权处理后,转发到所述安全设备,并通过所述公钥对报文进行加密处理,返回到所述安全管理平台。
在一些实施例中,所述认证注册模块包括:
请求校验子模块,用于向安全管理平台发送请求获取验证码,随后将设备信息连同验证码封装后发送给所述安全管理平台进行校验,若校验通过,则返回公钥;
注册子模块,用于使用所述公钥将设备信息加密后再次请求所述安全管理平台进行验证,验证通过后返回注册成功;
状态维持子模块,用于使安全设备把所述安全管理平台IP地址加入受信任主机中,保存公钥,此时所述安全设备进入上线状态,准备接收和处理所述安全管理平台的指令。
在一些实施例中,一种基于L7代理的安全设备管理***还包括:
插件配置模块,用于使安全设备加载插件资源包,然后使用yaegi解释器对插件源代码进行解释,并将所有插件都装载到钩子总线中,所述钩子总线由插件管理器管理。
在一些实施例中,所述反向代理模块包括:
处理器创建子模块,用于创建反向代理处理器;
Http服务子模块,用于启动Http服务,注册forward路由指向所述反向代理处理器;
中间件子模块,用于在forward路由中加入中间件,所述中间件在所述forward路由请求进入所述反向代理处理器前以及所述反向代理处理器返回响应后进行工作。
在一些实施例中,所述中间件子模块包括:
验证处理单元,用于在所述forward路由请求进入所述反向代理处理器前,对所要请求的客户端IP地址进行校验,如不是所述受信任主机,则进行拦截,并返回错误信息;若通过校验,则根据请求头中的加密类型字段,使用所述公钥解密,将解密后的数据写入请求体中,交由所述反向代理处理器处理;
加密单元,用于在所述反向代理处理器返回数据后,根据加密类型使用所述公钥对数据进行加密,并返回给所述安全管理平台。
本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本申请的范围之内并且形成不同的实施例。
本领域的技术人员能够理解,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
虽然结合附图描述了本申请的实施方式,但是本领域技术人员可以在不脱离本申请的精神和范围的情况下做出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内以上,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
以上,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (10)

1.一种基于L7代理的安全设备管理方法,其特征在于,包括以下步骤:
S1:安全设备启动SSDP服务,通过Search方法搜索指定特征码,探测目标安全管理平台服务器;
S2:在搜寻到所述安全管理平台服务器后,所述安全设备发起认证和注册请求,并在注册成功后获取公钥;
S3:所述安全设备启动健康监测服务,供所述安全管理平台定期检查所述安全设备健康状态;
S4:所述安全设备启动Http反向代理服务,接管来自所述安全管理平台的流量,对Http请求进行解密、解析和鉴权处理后,转发到所述安全设备,并通过所述公钥对报文进行加密处理,返回到所述安全管理平台。
2.根据权利要求1所述的一种基于L7代理的安全设备管理方法,其特征在于,所述步骤S2还包括:
S21:安全设备向安全管理平台发送请求获取验证码,随后将设备信息连同验证码封装后发送给所述安全管理平台进行校验,若校验通过,则返回公钥;
S22:安全设备使用所述公钥将设备信息加密后再次请求所述安全管理平台进行验证,验证通过后返回注册成功;
S23:安全设备把所述安全管理平台IP地址加入受信任主机中,保存公钥,此时所述安全设备进入上线状态,准备接收和处理所述安全管理平台的指令。
3.根据权利要求2所述的一种基于L7代理的安全设备管理方法,其特征在于,所述步骤S4中“所述安全设备启动Http反向代理服务”前还需进行以下操作:
安全设备加载插件资源包,然后使用yaegi解释器对插件源代码进行解释,并将所有插件都装载到钩子总线中,所述钩子总线由插件管理器管理。
4.根据权利要求3所述的一种基于L7代理的安全设备管理方法,其特征在于,所述步骤S4还包括以下步骤:
S41:创建反向代理处理器;
S42:安全设备启动Http服务,注册forward路由指向所述反向代理处理器;
S43:在forward路由中加入中间件,所述中间件在所述forward路由请求进入所述反向代理处理器前以及所述反向代理处理器返回响应后进行工作。
5.根据权利要求4所述的一种基于L7代理的安全设备管理方法,其特征在于,所述步骤S43中“所述中间件在所述forward路由请求进入所述反向代理处理器前以及所述反向代理处理器返回响应后进行工作”还包括:
S431:在所述forward路由请求进入所述反向代理处理器前,对所要请求的客户端IP地址进行校验,如不是所述受信任主机,则进行拦截,并返回错误信息;若通过校验,则根据请求头中的加密类型字段,使用所述公钥解密,将解密后的数据写入请求体中,交由所述反向代理处理器处理;
S432:所述反向代理处理器返回数据后,根据加密类型使用所述公钥对数据进行加密,并返回给所述安全管理平台。
6.一种基于L7代理的安全设备管理***,其特征在于,包括:
服务器搜寻模块,用于启动SSDP服务,通过Search方法搜索指定特征码,探测目标安全管理平台服务器;
认证注册模块,用于在搜寻到所述安全管理平台服务器后,所述安全设备发起认证和注册请求,并在注册成功后获取公钥;
健康监测模块,用于启动健康监测服务,供所述安全管理平台定期检查所述安全设备健康状态;
反向代理模块,用于启动Http反向代理服务,接管来自所述安全管理平台的流量,对Http请求进行解密、解析和鉴权处理后,转发到所述安全设备,并通过所述公钥对报文进行加密处理,返回到所述安全管理平台。
7.根据权利要求6所述的一种基于L7代理的安全设备管理***,其特征在于,所述认证注册模块包括:
请求校验子模块,用于向安全管理平台发送请求获取验证码,随后将设备信息连同验证码封装后发送给所述安全管理平台进行校验,若校验通过,则返回公钥;
注册子模块,用于使用所述公钥将设备信息加密后再次请求所述安全管理平台进行验证,验证通过后返回注册成功;
状态维持子模块,用于使安全设备把所述安全管理平台IP地址加入受信任主机中,保存公钥,此时所述安全设备进入上线状态,准备接收和处理所述安全管理平台的指令。
8.根据权利要求7所述的一种基于L7代理的安全设备管理***,其特征在于,还包括:
插件配置模块,用于使安全设备加载插件资源包,然后使用yaegi解释器对插件源代码进行解释,并将所有插件都装载到钩子总线中,所述钩子总线由插件管理器管理。
9.根据权利要求8所述的一种基于L7代理的安全设备管理***,其特征在于,所述反向代理模块包括:
处理器创建子模块,用于创建反向代理处理器;
Http服务子模块,用于启动Http服务,注册forward路由指向所述反向代理处理器;
中间件子模块,用于在forward路由中加入中间件,所述中间件在所述forward路由请求进入所述反向代理处理器前以及所述反向代理处理器返回响应后进行工作。
10.根据权利要求9所述的一种基于L7代理的安全设备管理***,其特征在于,所述中间件子模块包括:
验证处理单元,用于在所述forward路由请求进入所述反向代理处理器前,对所要请求的客户端IP地址进行校验,如不是所述受信任主机,则进行拦截,并返回错误信息;若通过校验,则根据请求头中的加密类型字段,使用所述公钥解密,将解密后的数据写入请求体中,交由所述反向代理处理器处理;
加密单元,用于在所述反向代理处理器返回数据后,根据加密类型使用所述公钥对数据进行加密,并返回给所述安全管理平台。
CN202210546417.2A 2022-05-20 2022-05-20 一种基于l7代理的安全设备管理方法及*** Active CN114726652B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210546417.2A CN114726652B (zh) 2022-05-20 2022-05-20 一种基于l7代理的安全设备管理方法及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210546417.2A CN114726652B (zh) 2022-05-20 2022-05-20 一种基于l7代理的安全设备管理方法及***

Publications (2)

Publication Number Publication Date
CN114726652A true CN114726652A (zh) 2022-07-08
CN114726652B CN114726652B (zh) 2022-08-30

Family

ID=82231476

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210546417.2A Active CN114726652B (zh) 2022-05-20 2022-05-20 一种基于l7代理的安全设备管理方法及***

Country Status (1)

Country Link
CN (1) CN114726652B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180270066A1 (en) * 2015-09-25 2018-09-20 Genetec Inc. Secure enrolment of security device for communication with security server
CN110138779A (zh) * 2019-05-16 2019-08-16 全知科技(杭州)有限责任公司 一种基于多协议反向代理的Hadoop平台安全管控方法
CN111193720A (zh) * 2019-12-16 2020-05-22 中国电子科技集团公司第三十研究所 一种基于安全代理的信任服务适配方法
CN111770092A (zh) * 2020-06-29 2020-10-13 华中科技大学 一种数控***网络安全架构和安全通信方法及***
CN114499989A (zh) * 2021-12-30 2022-05-13 奇安信科技集团股份有限公司 安全设备管理方法及装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180270066A1 (en) * 2015-09-25 2018-09-20 Genetec Inc. Secure enrolment of security device for communication with security server
CN110138779A (zh) * 2019-05-16 2019-08-16 全知科技(杭州)有限责任公司 一种基于多协议反向代理的Hadoop平台安全管控方法
CN111193720A (zh) * 2019-12-16 2020-05-22 中国电子科技集团公司第三十研究所 一种基于安全代理的信任服务适配方法
CN111770092A (zh) * 2020-06-29 2020-10-13 华中科技大学 一种数控***网络安全架构和安全通信方法及***
CN114499989A (zh) * 2021-12-30 2022-05-13 奇安信科技集团股份有限公司 安全设备管理方法及装置

Also Published As

Publication number Publication date
CN114726652B (zh) 2022-08-30

Similar Documents

Publication Publication Date Title
EP3937424B1 (en) Blockchain data processing methods and apparatuses based on cloud computing
US11088903B2 (en) Hybrid cloud network configuration management
JP5635978B2 (ja) 人間が介入しないアプリケーションのための認証されたデータベース接続
KR102429633B1 (ko) 다수의 웹사이트들 간의 자동 로그인 방법 및 장치
CN110009494B (zh) 一种监控区块链中的交易内容的方法及装置
US20180020008A1 (en) Secure asynchronous communications
US20230259386A1 (en) Data processing method based on container engine and related device
CN102638454A (zh) 一种面向http身份鉴别协议的插件式单点登录集成方法
CN110826049B (zh) 基于智慧企业门户的单点登录实现***
WO2005114946A1 (en) An apparatus, computer-readable memory and method for authenticating and authorizing a service request sent from a service client to a service provider
US11663318B2 (en) Decentralized password vault
CN113742676A (zh) 一种登录管理方法、装置、服务器、***及存储介质
US20230261882A1 (en) Image Management Method and Apparatus
CN115412269A (zh) 业务处理方法、装置、服务器及存储介质
CN114157693A (zh) 通信设备的上电认证方法、通信模块和服务器
CN114125027A (zh) 一种通信建立方法、装置、电子设备及存储介质
CN110830493B (zh) 基于智慧企业门户的单点登录实现方法
CN114726652B (zh) 一种基于l7代理的安全设备管理方法及***
US20100250607A1 (en) Personal information management apparatus and personal information management method
CN115334150B (zh) 一种数据转发的方法、装置、***、电子设备及介质
CN112751800A (zh) 一种认证方法及装置
US20150082026A1 (en) Systems and methods for locking an application to device without storing device information on server
KR102632546B1 (ko) 소스 네트워크로부터 타겟 네트워크로 소프트웨어 아티팩트를 전송하기 위한 방법 및 시스템
CN114861144A (zh) 基于区块链的数据权限处理方法
CN114553570B (zh) 生成令牌的方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant