CN115720171A - 一种安全智能网关***、数据传输方法 - Google Patents
一种安全智能网关***、数据传输方法 Download PDFInfo
- Publication number
- CN115720171A CN115720171A CN202211515168.7A CN202211515168A CN115720171A CN 115720171 A CN115720171 A CN 115720171A CN 202211515168 A CN202211515168 A CN 202211515168A CN 115720171 A CN115720171 A CN 115720171A
- Authority
- CN
- China
- Prior art keywords
- gateway
- user
- access
- service
- realizing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 21
- 230000005540 biological transmission Effects 0.000 title claims abstract description 11
- 238000001514 detection method Methods 0.000 claims abstract description 33
- 238000012795 verification Methods 0.000 claims abstract description 15
- 230000006870 function Effects 0.000 claims abstract description 14
- 230000000903 blocking effect Effects 0.000 claims abstract description 8
- 238000012545 processing Methods 0.000 claims abstract description 8
- 235000014510 cooky Nutrition 0.000 claims description 25
- 230000004044 response Effects 0.000 claims description 7
- 210000001503 joint Anatomy 0.000 claims description 3
- 238000004891 communication Methods 0.000 claims description 2
- 230000008447 perception Effects 0.000 claims description 2
- 235000012907 honey Nutrition 0.000 claims 1
- 238000003032 molecular docking Methods 0.000 abstract description 9
- 230000009545 invasion Effects 0.000 abstract 1
- 230000006399 behavior Effects 0.000 description 5
- 238000007726 management method Methods 0.000 description 5
- 230000009191 jumping Effects 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 238000012550 audit Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种安全智能网关***、数据传输方法,包括:业务***、蜜罐、统一身份认证平台对接***,网关接入模块,用于实现业务***的接入操作,通过接入业务***实现公司业务***流量管控,基于业务自身的转发和处理逻辑实现业务访问请求的转发、阻断与引流;实现流量选择性校验和基于控制网关检测结果的定向流量转发功能;网关控制模块,用于实现以登录状态检测和身份实名认证为基础的安全检测功能;实现IP校验,根据现有第三方威胁感知平台黑名单统计结果构建情报IP数据库,开放接口对接控制网关,控制网关基于威胁情报IP数据库对请求进行研判,并将研判结果返回网关接入模块。本发明有助于提高远程业务办理的安全性,有效防止非法入侵。
Description
技术领域
本发明涉及网络安全技术领域,尤其是涉及一种安全智能网关***、数据传输方法。
背景技术
随着云计算、大数据、物联网等新兴技术的不断兴起,企业IT架构正在从“有边界”向“无边界”转变,同时公司数字化发展,新业务、新场景不断涌现,网络链条不断延伸,业务暴露面持续扩大,更多的员工愿意使用自己的设备办公。当越来越多的业务访问都是从互联网环境发起,其业务***的网络安全保护就显得更为重要。
中国发明专利名称:一种远程办公***、方法、智能终端及存储介质,专利号:CN114826704A,提供了一种远程办公***、方法、智能终端及存储介质,旨在解决现有技术在远程办公用户使用办公***进行远程办公时,传输的过程中企业内部的私密数据容易受到拦截和干扰,导致企业信息的安全性降低的问题,其技术方案是一种远程办公***,基于用户端以及企业端实现,包括用户登录模块,用于获取用户输入信息,以鉴别用户身份;用户应用模块,用于实现用户的办公需求;用户网关模块,用于向企业端发送数据接入请求;信息认证模块以及企业网关模块,用于验证并与用户网关模块构建通讯连接;企业应用模块,用于实现企业端数据的管理和调度,本申请具有提高远程办公的过程中,私密数据的安全性的效果。该发明通过设置多次验证信息保护公司信息,并未在信息传输等过程中进行进一步的加密保护,保密程度不高;若发生非法入侵,也无法及时获取入侵路径。
发明内容
针对现有技术中存在的问题,本发明提供了一种安全智能网关***、数据传输方法,安全智能网关***主要包括网关接入模块和网关控制模块,网关接入模块实现公司业务***应用通过“接入网关***”的发布,业务应用的暴露面收敛、访问准入和安全审计能力;网关控制模块实现以登录状态检测和身份实名认证为基础的安全检测能力。
本发明采用的技术方案为:
一种安全智能网关***,包括:业务***、蜜罐、统一身份认证平台对接***,网关接入模块,用于实现业务***的接入操作,通过接入业务***实现公司业务***流量管控,基于业务自身的转发和处理逻辑实现业务访问请求的转发、阻断与引流;实现流量选择性校验和基于控制网关检测结果的定向流量转发功能;
网关控制模块,用于实现以登录状态检测和身份实名认证为基础的安全检测功能;实现IP校验,根据现有第三方威胁感知平台黑名单统计结果构建情报IP 数据库,开放接口对接控制网关,控制网关基于威胁情报IP数据库对请求进行研判,并将研判结果返回网关接入模块。
一种安全智能网关***数据传输方法,所述方法适用于所述的安全智能网关***,包括如下步骤:
将公司外部业务应用统一接入到安全智能网关的网关接入模块,通过网关接入模块实现业务***一发布,并基于自身的转发和处理逻辑实现业务访问请求的转发、阻断与引流;
通过接入的流量汇入到网关控制模块,实现访问请求检测工作,实现登录状态检测和身份实名认证功能;
判断是否为攻击者,如果是,则对于恶意攻击的ip地址将无感引流到公司蜜罐中,方便后续溯源反制工作;如果否,则跳转至统一身份认证平台对接***,进行身份认证后跳转至业务***。
本发明的有益效果为:本发明通过设置用户信息存储单元、实名认证校验单元用于验证用户身份,同时本发明设置有登录状态管理单元,通过控制网关对 cookie中加密的登录状态和会话信息进行解密,判断用户是否登录,安全性更高;本发明设置有非法访问用户鉴别单元,用于对Cookie解密结果进行合规验证,网关接入模块对于不合规请求转发至蜜罐服务进行溯源,可以及时提醒用户非法路径来源,防止非法路径探测。
附图说明
参考所附附图,以更加充分的描述本发明的实施例。然而,所附附图仅用于说明和阐述,并不构成对本发明范围的限制。
图1为本发明安全智能网关的结构图;
图2为本发明安全智能网关数据传输方法流程图;
具体实施方式
下面结合附图与实施例对本发明做进一步说明:为能清楚说明本方案的技术特点,下面通过具体实施方式,并结合其附图,对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开,下文中对特定例子的部件和设置进行描述。此外,本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的,其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意,在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。
如图1所示,本发明提供一种安全智能网关***,包括:业务***、蜜罐、统一身份认证平台对接***,网关接入模块和网关控制模块;
网关接入模块,用于实现业务***的接入操作,通过接入业务***实现公司业务***流量管控,基于业务自身的转发和处理逻辑实现业务访问请求的转发、阻断与引流;实现流量选择性校验和基于控制网关检测结果的定向流量转发功能;网关接入模块包括:触发和等待组件、响应和处置组件两部分。触发等待组件。基于用户角色、业务***标签、重大保障时间、源IP、目的IP、请求内容关键词6项参数,决定是否将访问请求转发至控制网关s1检测,并针对不同类型的业务触发不同的检测规则,实现基于不同业务场景策略灵活启停。响应和处置组件根据网关控制模块的分析检测结果,通过持续监测流量中的行为,对身份进行动态的授权,放行“信誉合格”的网络行为,做到“正常访问”与“黑客攻击”的精细度区分,当信誉评分低于设定阈值时,自动触发相关操作,如异常登录地址或违规攻击操作会发短信或邮件提醒、信誉度过低需要进行二次认证或人工确认、恶意用户登录后无感知引流至蜜罐等。将流量分别向三个方向转发,分别为正常转发、阻断访问和定向引流至蜜罐***,并生成安全日志。三种转发状态可通过配置源IP、目的IP、业务***标签三个参数进行启停。
网关控制模块,用于实现以登录状态检测和身份实名认证为基础的安全检测功能;实现IP校验,根据现有第三方威胁感知平台黑名单统计结果构建情报IP 数据库,开放接口对接控制网关,控制网关基于威胁情报IP数据库对请求进行研判,并将研判结果返回网关接入模块响应和处置模块,对于恶意攻击的ip引流至蜜罐中,方便对黑客进行溯源操作,对于正常登录用户访问正常的业务***。
网关控制模块配置登录状态检测单元,对用户请求的cookie信息进行抓取和检测,从用户是否登录、登录状态是否超时、同一cookie是否来自同一源IP 三个方面进行判定,并将登录状态检测结果返回网关接入模块的响应和处置组件。
网关控制模块配置实名认证校验单元,借助接入网关动态抓取用户访问来源、登录目标***的应用ID,统一身份认证平台对接***对接,统一身份认证平台对接***用于保存用户身份认证信息,用于对接控制模块,实现互联网用户访问的实名认证。
网关控制模块设置有用户信息存储单元,用户登录验证后,使用cookie对用户ID,登录状态,会话状态等信息进行加密存储,确保身份统一管控。
网关控制模块配置登陆状态管理单元,通过控制网关对cookie中加密的登录状态和会话信息进行解密,判断用户是否登录。用户在会话有效期内的访问无需再次登录,提高用户体验度。
网关控制模块设置非法访问用户鉴别单元,控制网关对Cookie解密结果进行合规验证,接入网关对于不合规请求转发至蜜罐服务进行溯源,杜绝非法路径探测。
网关控制模块配置实名认证单元,让登陆更安全,通过抓取用户cookie信息来判断是否已实名认证,若未认证,则自动跳转至公司实名认证的页面,并将用户认证信息通过redis缓存记录,并设定好失效时间,用户在有效期内的第二次访问则无需再次认证,提高检测业务效率。控制网关可以实现对恶意访问的实名认证信息进行收集,辅助攻击行为分析,提高溯源反制效率。
实施例一
本发明实施例一提出了一种安全智能网关***,图1给出了本发明实施例一一种安全智能网关的结构图。基于智能网关控制模块我们提出一种网关控制模块页面业务配置***,网关控制模块根据不同的业务配置统一的web配置界面,具体包括:
a.支持导入白名单功能,允许白名单的ip访问业务***;
b.新增用户信息功能,包括业务***cookie名称、业务***名称、业务***url等功能;
c.捕获业务***用户名并记录,配置业务***名称、业务***url、业务***cookie;
d.用户请求cookie中用户登录状态的抓取和对比,判定用户是否已经完成了对应***的登录,登录状态是否超时(可统一配置),cookie状态是否与上次访问一致。网关控制模块实现抓取cookie信息,由其判断判断是否有历史登录状态,并决定是否授予页面访问权限。
根据配置的界面,查询cookie中的登录状态、会话信息、访问源IP等,通过返回的登录状态是否有效,cookie信息是否有异常。设置cookie超时时间,***未响应时间,自动定向到相应的登录界面,重新登录。
实施例二
本发明实施例二提出了一种统一身份认证平台***,对接智能网关,以用户登录***时提交的用户名、生成的cookie及登录时的IP地址为主键,定位用户当前***身份,建立基于***内置用户的身份鉴权中心。其次是建立***身份监测。对接安全告警***,将用户登录数据与相应IP地址攻击事件相关联,建立***身份监测***,重点关注有权限查看更多***暴露面的授权用户,深入判断用户访问逻辑和不同用户间访问页面的显示情况,解决横行越权问题。建立实名管控登录用户。在智能网关侧,由身份鉴权中心完成用户实名身份校验,实名管控所有对外业务***用户,可根据身份监测***,对网络空间中的各类真实用户访问行为进行“信誉度”评估,感知用户行为可信性。最后是实现身份数据的统一治理。根据身份鉴权中心数据,以账号、密码、登录时间为纬度进行数据分析,删除长期未用账号,解决弱口令、空口令、过期口令、默认口令等问题,进一步降低账号口令风险。
如图2所示,本发明提供了安全智能网关的数据传输方法,具体包括:
将公司外部业务应用统一接入到安全智能网关的网关接入模块,通过网关接入模块实现业务***一发布,并基于自身的转发和处理逻辑实现业务访问请求的转发、阻断与引流;
通过接入的流量汇入到网关控制模块,实现访问请求检测工作,实现登录状态检测和身份实名认证功能;
判断是否为攻击者,如果是,则对于恶意攻击的ip地址将无感引流到公司蜜罐中,方便后续溯源反制工作;如果否,则跳转至统一身份认证平台对接***,进行身份认证后跳转至业务***。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范围的任何修改或者等同替换,其均应涵盖在本发明的权利要求保护范围之内。
Claims (10)
1.一种安全智能网关***,包括:业务***、蜜罐***、统一身份认证平台对接***,其特征在于,包括:
网关接入模块,用于实现业务***的接入操作,通过接入业务***实现公司业务***流量管控,基于业务自身的转发和处理逻辑实现业务访问请求的转发、阻断与引流;实现流量选择性校验和基于控制网关检测结果的定向流量转发功能;
网关控制模块,用于实现以登录状态检测和身份实名认证为基础的安全检测功能;对抓取用户的登录IP情报数据库进行比对;数据库包含第三方威胁感知平台黑名单IP地址和手动录入的高危IP地址数据,与网关控制模块进行比对;将用户登录的IP地址与数据库中IP地址进行研判,将研判的结果返回到网关接入模块,根据网关控制模块的研判结果返回到网关接入模块中实现IP地址的放行;
网关接入模块接收到控制模块返回的匹配结果,决定***的访问权限,同时与公司统一身份认证平台对接***,核对用户的身份信息;对于满足登录条件的用户,直接访问业务***,对于恶意网络攻击用户引入到公司蜜罐区,保证只有公司员工登录;对登录用户通过缓存记录,并设定失效时间,若用户在有效期内再次访问登录页面,则无需再次认证。
2.如权利要求1所述的安全智能网关***,其特征在于,网关接入模块包括触发和等待组件、响应和处置组件;
触发和等待组件,根据用户角色、业务***标签、重大保障时间、源IP、目的IP、请求内容关键词,决定是否将访问请求转发至网关控制模块检测;
响应和处置组件,响应和处置组件根据网关控制模块分析检测结果,转发流量并生成安全日志。
3.如权利要求1所述的安全智能网关***,其特征在于,网关控制模块配置有登录状态检测单元,对用户请求的cookie信息进行抓取和检测,判定用于是否登录、登录状态是否超时、同一cookie是否来自同一源IP,将登录状态检测结果返回网关接入模块。
4.如权利要求3所述的安全智能网关***,其特征在于,网关控制模块配置有实名认证校验单元,借助接入网关动态抓取用户访问来源、登录目标***的应用IP;与统一身份认证***通信连接,用于保存用户身份认证信息,实现互联网用户访问实名认证功能。
5.如权利要求4所述的安全智能网关***,其特征在于,通过抓取用户Cookie信息来判断是否已实名认证,若未认证,则自动跳转至公司实名认证的页面,将用户认证信息通过redis缓存记录,并设定失效时间,若用户在有效期内再次访问登录页面,则无需再次认证。
6.如权利要求5所述的安全智能网关***,其特征在于,网关控制模块配置有非法访问用户鉴别单元,用于对Cookie解密结果进行合规验证,网关接入模块对于不合规请求转发至蜜罐服务进行溯源,防止非法路径探测。
7.如权利要求6所述的安全智能网关***,其特征在于,网关控制模块配置有用户信息存储单元,用户登录验证后,使用Cookie对用户信息进行加密存储,用于身份统一管控;所述用户信息包括:用户信息ID编号、登录状态、会话状态信息。
8.如权利要求7所述的安全智能网关***,其特征在于,网关控制模块配置有登录状态管理单元,通过抓取获得用户的流量包,通过控制网关对cookie中加密的登录状态和会话信息进行解密,判断cookie属性中是否存在已登录属性,同时在网关的控制模块设置Cookie过期时间为60s,在登录后的1分钟内正常执行业务接口的,超过1分钟则重新登录判断用户是否登录。
9.如权利要求2所述的安全智能网关***,其特征在于,响应和处置组件转发流量具体包括:正常转发、阻断访问、定向引流至蜜罐***,并生成安全日志,三种转发状态通过配置源IP、目的IP、业务***标签的三个参数进行启停。
10.一种安全智能网关***数据传输方法,所述方法适用于权利要求1-9任一项所述的安全智能网关***,其特征在于,包括如下步骤:
将公司外部业务应用统一接入到安全智能网关的网关接入模块,通过网关接入模块实现业务***统一发布,并基于自身的转发和处理逻辑实现业务访问请求的转发、阻断与引流;
通过接入的流量汇入到网关控制模块,实现访问请求检测工作,实现登录状态检测和身份实名认证功能;
判断是否为攻击者,如果是,则对于恶意攻击的ip地址将无感引流到公司蜜罐中,方便后续溯源反制工作;如果否,则跳转至统一身份认证***,进行身份认证后跳转至业务***。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211515168.7A CN115720171A (zh) | 2022-11-30 | 2022-11-30 | 一种安全智能网关***、数据传输方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211515168.7A CN115720171A (zh) | 2022-11-30 | 2022-11-30 | 一种安全智能网关***、数据传输方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115720171A true CN115720171A (zh) | 2023-02-28 |
Family
ID=85257020
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211515168.7A Pending CN115720171A (zh) | 2022-11-30 | 2022-11-30 | 一种安全智能网关***、数据传输方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115720171A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117202193A (zh) * | 2023-11-08 | 2023-12-08 | 中国电子科技集团公司第三十研究所 | 基于宿主终端连接鉴权的通信模组安全防护方法及组件 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150013006A1 (en) * | 2013-07-02 | 2015-01-08 | Imperva Inc. | Compromised insider honey pots using reverse honey tokens |
| CN110958237A (zh) * | 2019-11-26 | 2020-04-03 | 苏州思必驰信息科技有限公司 | 一种权限校验的方法和装置 |
| CN111510453A (zh) * | 2020-04-15 | 2020-08-07 | 深信服科技股份有限公司 | 业务***访问方法、装置、***及介质 |
| CN115022077A (zh) * | 2022-06-30 | 2022-09-06 | 绿盟科技集团股份有限公司 | 网络威胁防护方法、***及计算机可读存储介质 |
-
2022
- 2022-11-30 CN CN202211515168.7A patent/CN115720171A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150013006A1 (en) * | 2013-07-02 | 2015-01-08 | Imperva Inc. | Compromised insider honey pots using reverse honey tokens |
| CN110958237A (zh) * | 2019-11-26 | 2020-04-03 | 苏州思必驰信息科技有限公司 | 一种权限校验的方法和装置 |
| CN111510453A (zh) * | 2020-04-15 | 2020-08-07 | 深信服科技股份有限公司 | 业务***访问方法、装置、***及介质 |
| CN115022077A (zh) * | 2022-06-30 | 2022-09-06 | 绿盟科技集团股份有限公司 | 网络威胁防护方法、***及计算机可读存储介质 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117202193A (zh) * | 2023-11-08 | 2023-12-08 | 中国电子科技集团公司第三十研究所 | 基于宿主终端连接鉴权的通信模组安全防护方法及组件 |
| CN117202193B (zh) * | 2023-11-08 | 2024-01-05 | 中国电子科技集团公司第三十研究所 | 基于宿主终端连接鉴权的通信模组安全防护方法及组件 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11652812B2 (en) | Network security dynamic access control and policy | |
| CN110324287A (zh) | 接入认证方法、装置及服务器 | |
| CN106027463B (zh) | 一种数据传输的方法 | |
| US11792008B2 (en) | Actively monitoring encrypted traffic by inspecting logs | |
| CN105991647B (zh) | 一种数据传输的方法 | |
| US20180083958A1 (en) | System and method for network user's authentication and registration by way of third party computing device | |
| CN103455763A (zh) | 一种保护用户个人隐私的上网日志记录***及方法 | |
| CN106027466B (zh) | 一种身份证云认证***及读卡*** | |
| CN106027476B (zh) | 一种身份证云认证***及读卡*** | |
| US20110023088A1 (en) | Flow-based dynamic access control system and method | |
| Sathish Babu et al. | A dynamic authentication scheme for mobile transactions | |
| CN117040741A (zh) | 一种基于fttr组网方式数据安全传输的方法及装置 | |
| CN115720171A (zh) | 一种安全智能网关***、数据传输方法 | |
| CN109600395A (zh) | 一种终端网络接入控制***的装置及实现方法 | |
| CN116192497B (zh) | 一种基于零信任体系的网络准入和用户认证的安全交互方法 | |
| TWI676115B (zh) | 用以管控與雲端服務系統認證之系統及方法 | |
| CN116248405A (zh) | 一种基于零信任的网络安全访问控制方法及采用该方法的网关***、存储介质 | |
| CN115941252A (zh) | 一种基于信任计算的mqtt动态访问控制方法 | |
| Chauhan et al. | Computer Security and Encryption: An Introduction | |
| CN108093078B (zh) | 一种文档的安全流转方法 | |
| Choi | IoT (Internet of Things) based Solution Trend Identification and Analysis Research | |
| Phan et al. | Threat detection and mitigation with MonB5G components in the aLTEr scenario | |
| Mahlous | Threat model and risk management for a smart home iot system | |
| Tang et al. | Research on security protection countermeasures of internet of things | |
| KR102362320B1 (ko) | 능동형 네트워크 보안용 주소변이 접속 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |