CN116938603A - 基于隐身网关的流量传输方法、装置、设备及存储介质 - Google Patents

基于隐身网关的流量传输方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN116938603A
CN116938603A CN202311192288.2A CN202311192288A CN116938603A CN 116938603 A CN116938603 A CN 116938603A CN 202311192288 A CN202311192288 A CN 202311192288A CN 116938603 A CN116938603 A CN 116938603A
Authority
CN
China
Prior art keywords
data
user terminal
verification
gateway
traffic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202311192288.2A
Other languages
English (en)
Other versions
CN116938603B (zh
Inventor
刘威
王泰星
理翰文
赵国强
方庆红
刘莹
倪山登
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DBAPPSecurity Co Ltd
Original Assignee
DBAPPSecurity Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DBAPPSecurity Co Ltd filed Critical DBAPPSecurity Co Ltd
Priority to CN202311192288.2A priority Critical patent/CN116938603B/zh
Publication of CN116938603A publication Critical patent/CN116938603A/zh
Application granted granted Critical
Publication of CN116938603B publication Critical patent/CN116938603B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种基于隐身网关的流量传输方法、装置、设备及存储介质,涉及网络安全领域,包括:判断是否接收到用户端发送的验证数据包,若是,则对验证数据包进行验证,以生成表征用户端是否具有目标业务***的访问资格的验证结果;若用户端具有访问资格,则接收用户端发送的凭证数据,并基于凭证数据建立与用户端的反向传输控制协议通道;基于反向传输控制协议通道接收用户端发送的加密流量数据,并对加密流量数据进行解密,得到解密流量数据;将解密流量数据发送至目标业务***,以便用户端在目标业务***接收到解密流量数据后完成对目标业务***的访问。这样一来,可以实现网关端口的零暴露,有效提高了网络安全,降低了被网络攻击的难度。

Description

基于隐身网关的流量传输方法、装置、设备及存储介质
技术领域
本发明涉及网络安全领域,特别涉及一种基于隐身网关的流量传输方法、装置、设备及存储介质。
背景技术
随着科技的不断发展,立法层面对数据安全的要求越来越高,而且零信任技术也受到越来越广泛的认可,并且通过零信任SDP(Software Defined Perimeter,软件定义边界)终端进行远程办公的场景也越来越多。但在传统零信任SDP***中,用户在外部网络访问内部网络的业务***时,流量需要通过安全隧道转发到零信任SDP网关的一个端口,然后再由零信任SDP网关转发到内部网络的业务***,也因此零信任SDP网关需要提供固定的端口用来转发流量。虽然零信任SDP网关自身也可以通过端口隐身和SPA(single page webapplication,单包授权认证)单包认证技术实现端口有限放开,但这样一来零信任SDP网关会成为外部访问的统一入口,因此需要对方提供访问端口,从而使SDP网关因端口暴露而成为外部风险源攻击的目标。
发明内容
有鉴于此,本发明的目的在于提供一种基于隐身网关的流量传输方法、装置、设备及存储介质,可以通过反向隧道代理技术,让零信任SDP网关不用开放任何入站端口从而从根本上解决零信任安全网关存在的因端口暴露带来的外部攻击风险。其具体方案如下:
第一方面,本申请公开了一种基于隐身网关的流量传输方法,应用于网络安全网关,包括:
判断是否接收到用户端发送的验证数据包,若是,则对所述验证数据包进行验证,以生成表征所述用户端是否具有目标业务***的访问资格的验证结果;
若所述验证结果表征所述用户端具有所述访问资格,则接收所述用户端发送的凭证数据,并基于所述凭证数据建立与所述用户端的反向传输控制协议通道;所述反向传输控制协议通道为通过所述网络安全网关主动连接所述用户端的端口的方式建立的数据传输通道;
基于所述反向传输控制协议通道接收所述用户端发送的加密流量数据,并对所述加密流量数据进行解密,得到解密流量数据;
将所述解密流量数据发送至所述目标业务***,以便所述用户端在所述目标业务***接收到所述解密流量数据后完成对所述目标业务***的访问。
可选的,所述判断是否接收到用户端发送的验证数据包,若是,则对所述验证数据包进行验证,以生成表征所述用户端是否具有目标业务***的访问资格的验证结果之前,还包括:
基于预设信息报过滤***关闭本地入站端口,以禁止所述入站端口接收流量数据。
可选的,所述判断是否接收到用户端发送的验证数据包,若是,则对所述验证数据包进行验证,以生成表征所述用户端是否具有目标业务***的访问资格的验证结果,包括:
判断是否接收到用户端发送的验证数据包,若接收到所述验证数据包,则验证所述验证数据包中的用户端签名;
若所述用户端签名通过验证,则生成表征所述用户端具有目标业务***的访问资格的验证结果。
可选的,所述接收所述用户端发送的凭证数据,并基于所述凭证数据建立与所述用户端的反向传输控制协议通道,包括:
接收用户端发送的随机数以及加密凭证摘要,以通过所述随机数、所述加密凭证摘要以及所述验证数据包确定预设种子秘钥;
基于所述预设种子秘钥生成动态口令,并将所述动态口令发送至所述用户端,以便所述用户端接收到所述动态口令后,建立与所述用户端之间的反向传输控制协议通道。
可选的,所述建立与所述用户端之间的反向传输控制协议通道,包括:
判断是否接收到用户端发送的鉴权通知,若是,则连接所述用户端的端口,以建立与所述用户端之间的反向传输控制协议通道;所述鉴权通知为表征所述用户端通过所述动态口令的鉴权验证的通知。
可选的,所述基于所述反向传输控制协议通道接收所述用户端发送的加密流量数据,并对所述加密流量数据进行解密,得到解密流量数据,包括:
通过所述反向传输控制协议通道接收所述用户端发送的基于所述预设种子秘钥进行加密的加密流量数据,并判断所述加密流量数据是否伴随所述动态口令;
若所述加密流量数据伴随所述动态口令,则基于所述预设种子秘钥对所述加密流量数据进行解密,以得到解密流量数据。
可选的,所述验证数据包为单包授权认证数据包;所述网络安全网关为软件定义边界网关。
第二方面,本申请公开了一种基于隐身网关的流量传输装置,应用于网络安全网关,包括:
资格验证模块,用于判断是否接收到用户端发送的验证数据包,若是,则对所述验证数据包进行验证,以生成表征所述用户端是否具有目标业务***的访问资格的验证结果;
通道建立模块,用于如果所述验证结果表征所述用户端具有所述访问资格,则接收所述用户端发送的凭证数据,并基于所述凭证数据建立与所述用户端的反向传输控制协议通道;所述反向传输控制协议通道为通过所述网络安全网关主动连接所述用户端的端口的方式建立的数据传输通道;
流量解密模块,用于基于所述反向传输控制协议通道接收所述用户端发送的加密流量数据,并对所述加密流量数据进行解密,得到解密流量数据;
流量转发模块,用于将所述解密流量数据发送至所述目标业务***,以便所述用户端在所述目标业务***接收到所述解密流量数据后完成对所述目标业务***的访问。
第三方面,本申请公开了一种电子设备,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序以实现前述的基于隐身网关的流量传输方法。
第四方面,本申请公开了一种计算机可读存储介质,用于保存计算机程序,所述计算机程序被处理器执行时实现前述的基于隐身网关的流量传输方法。
本申请中,首先判断是否接收到用户端发送的验证数据包,若是,则对所述验证数据包进行验证,以生成表征所述用户端是否具有目标业务***的访问资格的验证结果,如果所述验证结果表征所述用户端具有所述访问资格,则接收所述用户端发送的凭证数据,并基于所述凭证数据建立与所述用户端的反向传输控制协议通道;所述反向传输控制协议通道为通过所述网络安全网关主动连接所述用户端的端口的方式建立的数据传输通道,然后基于所述反向传输控制协议通道接收所述用户端发送的加密流量数据,并对所述加密流量数据进行解密,得到解密流量数据,最后将所述解密流量数据发送至所述目标业务***,以便所述用户端在所述目标业务***接收到所述解密流量数据后完成对所述目标业务***的访问。由此可见,通过本申请所述基于隐身网关的流量传输方法可以在接收到用户端发送的验证数据包之后,基于验证数据包验证用户端对于业务***的访问资格,如果确定用户端通过验证,则可以接收用户端的凭证数据,以基于凭证数据创建网络安全网关对于用户端的反向传输协议通道,并基于所述反向传输协议通道实现流量传输,进而实现用户端对业务***的访问。这样一来,可以实现网关端口的零暴露,有效提高了网络安全,增加了网络攻击的难度,并且通过反向隧道代理技术,让零信任SDP网关不用开放任何入站端口从而从根本上解决零信任安全网关存在的因端口暴露带来的外部攻击风险。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的一种基于隐身网关的流量传输方法流程图;
图2为本申请公开的一种用户端至业务***流量传输时序图;
图3为本申请公开的一种用户端至业务***流量传输具体流程图;
图4为本申请公开的一种基于隐身网关的流量传输装置结构示意图;
图5为本申请公开的一种电子设备结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
现有技术中,如果利用传统零信任SDP***,用户在外部网络访问内部网络的业务***时,流量需要通过安全隧道转发到零信任SDP网关的一个端口,然后再由零信任SDP网关转发到内部网络的业务***,也因此零信任SDP网关需要提供固定的端口用来转发流量。虽然零信任SDP网关自身也可以通过端口隐身和SPA单包认证技术实现端口有限放开,但这样一来零信任SDP网关会成为外部访问的统一入口,因此需要对方提供访问端口,从而使SDP网关因端口暴露而成为外部风险源攻击的目标。
为了克服上述问题,本申请公开了一种基于隐身网关的流量传输方法、装置、设备及存储介质,可以通过反向隧道代理技术,让零信任SDP网关不用开放任何入站端口从而从根本上解决零信任安全网关存在的因端口暴露带来的外部攻击风险。
参见图1所示,本发明实施例公开了一种基于隐身网关的流量传输方法,应用于网络安全网关,包括:
步骤S11、判断是否接收到用户端发送的验证数据包,若是,则对所述验证数据包进行验证,以生成表征所述用户端是否具有目标业务***的访问资格的验证结果。
本实施例中,判断是否接收到用户端发送的验证数据包,若是,则对所述验证数据包进行验证,以生成表征所述用户端是否具有目标业务***的访问资格的验证结果之前,还包括:基于预设信息报过滤***关闭本地入站端口,以禁止所述入站端口接收流量数据。也即,在为了实现SDP网关隐身,做到网关的不暴露,需要在与用户端交互之前关闭SDP网关的入站端口,并且通过随机的端口出站,并通过iptables禁止一切入站的流量,需要进行说明的是,网关的隐身是指避免暴露网关端口,从而避免网关端口成为被可以攻击的对象。
进一步的,判断是否接收到用户端发送的验证数据包,若是,则对所述验证数据包进行验证,以生成表征所述用户端是否具有目标业务***的访问资格的验证结果,包括:判断是否接收到用户端发送的验证数据包,若接收到所述验证数据包,则验证所述验证数据包中的用户端签名;若所述用户端签名通过验证,则生成表征所述用户端具有目标业务***的访问资格的验证结果。也即,在SDP网关关闭了自身的入站端口之后,可以与用户端进行交互,首先用户端可以向SDP网关的随机端口发起SPA单包敲门,也即发送验证数据包,在SDP网关接收到用户端发送的验证数据包之后,并不对数据包进行响应,且SDP网关对所有SPA敲门数据包都不响应,从而做到端口隐身。需要进行说明的是,SPA单包数据采用自定义的TCP(Transmission Control Protocol,传输控制协议)首次握手的数据包,对于SDP网关来说,通过禁止入站流量之后不影响SPA单包数据的接收。并且,验证数据包中携带了用户端签名,在SDP接收到验证数据包之后,可以通过验证数据包中的用户端签名对用户端进行验证,以确定用户端的合法性,并生成相应的验证结果。
步骤S12、如果所述验证结果表征所述用户端具有所述访问资格,则接收所述用户端发送的凭证数据,并基于所述凭证数据建立与所述用户端的反向传输控制协议通道;所述反向传输控制协议通道为通过所述网络安全网关主动连接所述用户端的端口的方式建立的数据传输通道。
本实施例中,如果生成的验证结果表征用户端合法,则用户端具有访问业务***的资格,可以接收用户端再次发送的凭证数据包,具体的接收所述用户端发送的凭证数据,并基于所述凭证数据建立与所述用户端的反向传输控制协议通道,包括:接收用户端发送的随机数以及加密凭证摘要,以通过所述随机数、所述加密凭证摘要以及所述验证数据包确定预设种子秘钥;基于所述预设种子秘钥生成动态口令,并将所述动态口令发送至所述用户端,以便所述用户端接收到所述动态口令后,建立与所述用户端之间的反向传输控制协议通道。也即,可以接收用户端再次发送的SPA凭证数据包,且凭证数据包中包括加密凭证摘要以及用于进行验证的随机数,在SDP网关接收到凭证数据包之后,可以根据凭证数据包中的加密凭证摘要、随机数以及验证数据包中的签名计算出预设种子密钥,也即otp(OneTime Password,一次性密码)种子秘钥,然后通过otp种子密钥生成otp动态口令,并携带otp动态口令向客户端发起反向TCP隧道连接,具体的,可以将动态口令发送至客户端,当客户端接收到动态口令之后,基于动态口令确认客户端身份,并发起反向TCP隧道连接。
需要进行说明的是,建立与所述用户端之间的反向传输控制协议通道,包括:判断是否接收到用户端发送的鉴权通知,若是,则连接所述用户端的端口,以建立与所述用户端之间的反向传输控制协议通道;所述鉴权通知为表征所述用户端通过所述动态口令的鉴权验证的通知。也即,在建立与用户端的反向TCP隧道连接之前,为了确认用户端的身份,可以等待接收用户端发送的鉴权通知,如果接收到用户端发送的鉴权通知,则表征可以确认用户端的身份,可以与用户端建立反向TCP隧道连接。这样一来,有效提高了本申请基于隐身网关的流量传输方法的安全性。
步骤S13、基于所述反向传输控制协议通道接收所述用户端发送的加密流量数据,并对所述加密流量数据进行解密,得到解密流量数据。
本实施例中,基于所述反向传输控制协议通道接收所述用户端发送的加密流量数据,并对所述加密流量数据进行解密,得到解密流量数据,包括:通过所述反向传输控制协议通道接收所述用户端发送的基于所述预设种子秘钥进行加密的加密流量数据,并判断所述加密流量数据是否伴随所述动态口令;若所述加密流量数据伴随所述动态口令,则基于所述预设种子秘钥对所述加密流量数据进行解密,以得到解密流量数据。也即,用户端在访问业务***时会对流量进行加密,并通过与SDP网关之间的反向TCP隧道连接将加密后的流量转发至SDP网关的TCP端口,进一步需要强调的是,因为SDP网关禁用了入站流量,所以此刻SDP网关的TCP端口可以接收来自客户端的数据包,但是无法和该端口直接进行连接因此实现了零信任隧道端口隐身。TCP端口在接收到加密流量数据后,需要通过预设种子秘钥对所述加密流量数据进行解密,以得到解密流量数据。
步骤S14、将所述解密流量数据发送至所述目标业务***,以便所述用户端在所述目标业务***接收到所述解密流量数据后完成对所述目标业务***的访问。
本实施例中,在TCP网关对加密流量数据完成解密之后,需要将通过TCP网关鉴权以及解密的合法解密流量数据转发到内部网络的业务***上,从而实现用户端对内部网络业务***的访问。
由此可见,本实施例中首先判断是否接收到用户端发送的验证数据包,若是,则对所述验证数据包进行验证,以生成表征所述用户端是否具有目标业务***的访问资格的验证结果,如果所述验证结果表征所述用户端具有所述访问资格,则接收所述用户端发送的凭证数据,并基于所述凭证数据建立与所述用户端的反向传输控制协议通道;所述反向传输控制协议通道为通过所述网络安全网关主动连接所述用户端的端口的方式建立的数据传输通道,然后基于所述反向传输控制协议通道接收所述用户端发送的加密流量数据,并对所述加密流量数据进行解密,得到解密流量数据,最后将所述解密流量数据发送至所述目标业务***,以便所述用户端在所述目标业务***接收到所述解密流量数据后完成对所述目标业务***的访问。由此可见,通过本申请所述基于隐身网关的流量传输方法可以在接收到用户端发送的验证数据包之后,基于验证数据包验证用户端对于业务***的访问资格,如果确定用户端通过验证,则可以接收用户端的凭证数据,以基于凭证数据创建网络安全网关对于用户端的反向传输协议通道,并基于所述反向传输协议通道实现流量传输,进而实现用户端对业务***的访问。这样一来,一方面,不需要响应SPA敲门数据包,并且提前关闭网关的入站端口,可以实现网关端口的零暴露;另一方面,本申请中SDP网关使用随机的端口出站,有效提高了网络安全,增加了网络攻击的难度;再一方面,本申请通过建立与用户端的反向TCP隧道连接,让零信任SDP网关不用开放任何入站端口从而从根本上解决零信任安全网关存在的因端口暴露带来的外部攻击风险。
参见图2及图3所示,本发明实施例公开了一种基于隐身网关的流量传输方法,包括:
本实施例中,如图2所示为通过隐身的SDP网关实现用户端至业务***流量传输的时序图,如图3所示为通过隐身的SDP网关实现用户端至业务***流量传输的流程图,首先用户端向SDP网关发起SPA单包敲门,具体的,SPA数据包中携带用户端签名,SDP网关在接收到SPA数据包之后,不对SPA数据包进行响应,通过验证数据包中的用户端签名对用户端进行验证,以确定用户端的合法性。如图3所示,如果用户端通过验证,则用户端向SDP网关发送SPA凭证数据包,且凭证数据包中包括加密凭证摘要以及用于进行验证的随机数,SDP网管接收到SPA凭证数据包之后,可以根据凭证数据包中的加密凭证摘要、随机数以及验证数据包中的签名计算出otp种子密钥,然后通过otp种子密钥生成otp动态口令,随后如图2所示,与用户端建立反向TCP隧道连接。用户端通过反向TCP隧道连接返回鉴权通知,并对访问流量进行加密,并通过与SDP网关之间的反向TCP隧道连接将加密后的流量转发至SDP网关,网关在接收到加密流量之后对流量进行解密,并将解密流量发送至业务***,以实现用户端对业务***的访问。
参见图4所示,本发明实施例公开了一种基于隐身网关的流量传输装置,应用于网络安全网关,包括:
资格验证模块11,用于判断是否接收到用户端发送的验证数据包,若是,则对所述验证数据包进行验证,以生成表征所述用户端是否具有目标业务***的访问资格的验证结果;
通道建立模块12,用于如果所述验证结果表征所述用户端具有所述访问资格,则接收所述用户端发送的凭证数据,并基于所述凭证数据建立与所述用户端的反向传输控制协议通道;所述反向传输控制协议通道为通过所述网络安全网关主动连接所述用户端的端口的方式建立的数据传输通道;
流量解密模块13,用于基于所述反向传输控制协议通道接收所述用户端发送的加密流量数据,并对所述加密流量数据进行解密,得到解密流量数据;
流量转发模块14,用于将所述解密流量数据发送至所述目标业务***,以便所述用户端在所述目标业务***接收到所述解密流量数据后完成对所述目标业务***的访问。
由此可见,本实施例中首先判断是否接收到用户端发送的验证数据包,若是,则对所述验证数据包进行验证,以生成表征所述用户端是否具有目标业务***的访问资格的验证结果,如果所述验证结果表征所述用户端具有所述访问资格,则接收所述用户端发送的凭证数据,并基于所述凭证数据建立与所述用户端的反向传输控制协议通道;所述反向传输控制协议通道为通过所述网络安全网关主动连接所述用户端的端口的方式建立的数据传输通道,然后基于所述反向传输控制协议通道接收所述用户端发送的加密流量数据,并对所述加密流量数据进行解密,得到解密流量数据,最后将所述解密流量数据发送至所述目标业务***,以便所述用户端在所述目标业务***接收到所述解密流量数据后完成对所述目标业务***的访问。由此可见,通过本申请所述基于隐身网关的流量传输方法可以在接收到用户端发送的验证数据包之后,基于验证数据包验证用户端对于业务***的访问资格,如果确定用户端通过验证,则可以接收用户端的凭证数据,以基于凭证数据创建网络安全网关对于用户端的反向传输协议通道,并基于所述反向传输协议通道实现流量传输,进而实现用户端对业务***的访问。这样一来,可以实现网关端口的零暴露,有效提高了网络安全,增加了网络攻击的难度,并且通过反向隧道代理技术,让零信任SDP网关不用开放任何入站端口从而从根本上解决零信任安全网关存在的因端口暴露带来的外部攻击风险。
在一些实施例中,所述基于隐身网关的流量传输装置,还可以包括:
端口关闭单元,用于基于预设信息报过滤***关闭本地入站端口,以禁止所述入站端口接收流量数据。
在一些实施例中,所述资格验证模块11,具体可以包括:
数据验证单元,用于判断是否接收到用户端发送的验证数据包,若接收到所述验证数据包,则验证所述验证数据包中的用户端签名;
资格确认单元,用于如果所述用户端签名通过验证,则生成表征所述用户端具有目标业务***的访问资格的验证结果。
在一些实施例中,所述通道建立模块12,具体可以包括:
数据接收子模块,用于接收用户端发送的随机数以及加密凭证摘要,以通过所述随机数、所述加密凭证摘要以及所述验证数据包确定预设种子秘钥;
通道建立子模块,用于基于所述预设种子秘钥生成动态口令,并将所述动态口令发送至所述用户端,以便所述用户端接收到所述动态口令后,建立与所述用户端之间的反向传输控制协议通道。
在一些实施例中,所述通道建立子模块,具体可以包括:
通道建立单元,用于判断是否接收到用户端发送的鉴权通知,若是,则连接所述用户端的端口,以建立与所述用户端之间的反向传输控制协议通道;所述鉴权通知为表征所述用户端通过所述动态口令的鉴权验证的通知。
在一些实施例中,所述流量解密模块13,具体可以包括:
流量接收单元,用于通过所述反向传输控制协议通道接收所述用户端发送的基于所述预设种子秘钥进行加密的加密流量数据,并判断所述加密流量数据是否伴随所述动态口令;
流量解密单元,用于如果所述加密流量数据伴随所述动态口令,则基于所述预设种子秘钥对所述加密流量数据进行解密,以得到解密流量数据。
进一步的,本申请实施例还公开了一种电子设备,图5是根据一示例性实施例示出的电子设备20结构图,图中的内容不能认为是对本申请的使用范围的任何限制。
图5为本申请实施例提供的一种电子设备20的结构示意图。该电子设备 20,具体可以包括:至少一个处理器21、至少一个存储器22、电源23、通信接口24、输入输出接口25和通信总线26。其中,所述存储器22用于存储计算机程序,所述计算机程序由所述处理器21加载并执行,以实现前述任一实施例公开的基于隐身网关的流量传输方法中的相关步骤。另外,本实施例中的电子设备20具体可以为电子计算机。
本实施例中,电源23用于为电子设备20上的各硬件设备提供工作电压;通信接口24能够为电子设备20创建与外界设备之间的数据传输通道,其所遵 循的通信协议是能够适用于本申请技术方案的任意通信协议,在此不对其进 行具体限定;输入输出接口25,用于获取外界输入数据或向外界输出数据,其具体的接口类型可以根据具体应用需要进行选取,在此不进行具体限定。
另外,存储器22作为资源存储的载体,可以是只读存储器、随机存储器、 磁盘或者光盘等,其上所存储的资源可以包括操作***221、计算机程序222 等,存储方式可以是短暂存储或者永久存储。
其中,操作***221用于管理与控制电子设备20上的各硬件设备以及计算 机程序222,其可以是Windows Server、Netware、Unix、Linux等。计算机程序222除了包括能够用于完成前述任一实施例公开的由电子设备20执行的基于隐身网关的流量传输方法的计算机程序之外,还可以进一步包括能够用于完成其他特定工作的计算机程序。
进一步的,本申请还公开了一种计算机可读存储介质,用于存储计算机程序;其中,所述计算机程序被处理器执行时实现前述公开的基于隐身网关的流量传输方法。关于该方法的具体步骤可以参考前述实施例中公开的相应内容,在此不再进行赘述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本申请所提供的技术方案进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。

Claims (10)

1.一种基于隐身网关的流量传输方法,其特征在于,应用于网络安全网关,包括:
判断是否接收到用户端发送的验证数据包,若是,则对所述验证数据包进行验证,以生成表征所述用户端是否具有目标业务***的访问资格的验证结果;
若所述验证结果表征所述用户端具有所述访问资格,则接收所述用户端发送的凭证数据,并基于所述凭证数据建立与所述用户端的反向传输控制协议通道;所述反向传输控制协议通道为通过所述网络安全网关主动连接所述用户端的端口的方式建立的数据传输通道;
基于所述反向传输控制协议通道接收所述用户端发送的加密流量数据,并对所述加密流量数据进行解密,得到解密流量数据;
将所述解密流量数据发送至所述目标业务***,以便所述用户端在所述目标业务***接收到所述解密流量数据后完成对所述目标业务***的访问。
2.根据权利要求1所述的基于隐身网关的流量传输方法,其特征在于,所述判断是否接收到用户端发送的验证数据包,若是,则对所述验证数据包进行验证,以生成表征所述用户端是否具有目标业务***的访问资格的验证结果之前,还包括:
基于预设信息报过滤***关闭本地入站端口,以禁止所述入站端口接收流量数据。
3.根据权利要求1所述的基于隐身网关的流量传输方法,其特征在于,所述判断是否接收到用户端发送的验证数据包,若是,则对所述验证数据包进行验证,以生成表征所述用户端是否具有目标业务***的访问资格的验证结果,包括:
判断是否接收到用户端发送的验证数据包,若接收到所述验证数据包,则验证所述验证数据包中的用户端签名;
若所述用户端签名通过验证,则生成表征所述用户端具有目标业务***的访问资格的验证结果。
4.根据权利要求1所述的基于隐身网关的流量传输方法,其特征在于,所述接收所述用户端发送的凭证数据,并基于所述凭证数据建立与所述用户端的反向传输控制协议通道,包括:
接收用户端发送的随机数以及加密凭证摘要,以通过所述随机数、所述加密凭证摘要以及所述验证数据包确定预设种子秘钥;
基于所述预设种子秘钥生成动态口令,并将所述动态口令发送至所述用户端,以便所述用户端接收到所述动态口令后,建立与所述用户端之间的反向传输控制协议通道。
5.根据权利要求4所述的基于隐身网关的流量传输方法,其特征在于,所述建立与所述用户端之间的反向传输控制协议通道,包括:
判断是否接收到用户端发送的鉴权通知,若是,则连接所述用户端的端口,以建立与所述用户端之间的反向传输控制协议通道;所述鉴权通知为表征所述用户端通过所述动态口令的鉴权验证的通知。
6.根据权利要求4所述的基于隐身网关的流量传输方法,其特征在于,所述基于所述反向传输控制协议通道接收所述用户端发送的加密流量数据,并对所述加密流量数据进行解密,得到解密流量数据,包括:
通过所述反向传输控制协议通道接收所述用户端发送的基于所述预设种子秘钥进行加密的加密流量数据,并判断所述加密流量数据是否伴随所述动态口令;
若所述加密流量数据伴随所述动态口令,则基于所述预设种子秘钥对所述加密流量数据进行解密,以得到解密流量数据。
7.根据权利要求1至6任一项所述的基于隐身网关的流量传输方法,其特征在于,所述验证数据包为单包授权认证数据包;所述网络安全网关为软件定义边界网关。
8.一种基于隐身网关的流量传输装置,其特征在于,应用于网络安全网关,包括:
资格验证模块,用于判断是否接收到用户端发送的验证数据包,若是,则对所述验证数据包进行验证,以生成表征所述用户端是否具有目标业务***的访问资格的验证结果;
通道建立模块,用于如果所述验证结果表征所述用户端具有所述访问资格,则接收所述用户端发送的凭证数据,并基于所述凭证数据建立与所述用户端的反向传输控制协议通道;所述反向传输控制协议通道为通过所述网络安全网关主动连接所述用户端的端口的方式建立的数据传输通道;
流量解密模块,用于基于所述反向传输控制协议通道接收所述用户端发送的加密流量数据,并对所述加密流量数据进行解密,得到解密流量数据;
流量转发模块,用于将所述解密流量数据发送至所述目标业务***,以便所述用户端在所述目标业务***接收到所述解密流量数据后完成对所述目标业务***的访问。
9.一种电子设备,其特征在于,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序以实现如权利要求1至7任一项所述的基于隐身网关的流量传输方法。
10.一种计算机可读存储介质,其特征在于,用于保存计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的基于隐身网关的流量传输方法。
CN202311192288.2A 2023-09-15 2023-09-15 基于隐身网关的流量传输方法、装置、设备及存储介质 Active CN116938603B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311192288.2A CN116938603B (zh) 2023-09-15 2023-09-15 基于隐身网关的流量传输方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311192288.2A CN116938603B (zh) 2023-09-15 2023-09-15 基于隐身网关的流量传输方法、装置、设备及存储介质

Publications (2)

Publication Number Publication Date
CN116938603A true CN116938603A (zh) 2023-10-24
CN116938603B CN116938603B (zh) 2023-12-05

Family

ID=88386485

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311192288.2A Active CN116938603B (zh) 2023-09-15 2023-09-15 基于隐身网关的流量传输方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN116938603B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150281122A1 (en) * 2014-03-31 2015-10-01 Byron L. Hoffman Method and Apparatus for Facilitating Accessing Home Surveillance Data by Remote Devices
CN111490993A (zh) * 2020-04-13 2020-08-04 江苏易安联网络技术有限公司 一种应用访问控制安全***及方法
WO2021196915A1 (zh) * 2020-04-02 2021-10-07 深圳壹账通智能科技有限公司 基于加密、解密操作的数据传输方法、***和计算机设备
CN114553568A (zh) * 2022-02-25 2022-05-27 重庆邮电大学 一种基于零信任单包认证与授权的资源访问控制方法
CN114629692A (zh) * 2022-02-25 2022-06-14 国家电网有限公司 一种基于sdp的电力物联网的访问认证方法及***
CN115694960A (zh) * 2022-10-26 2023-02-03 杭州安恒信息技术股份有限公司 一种应用代理方法、装置、设备及可读存储介质
CN115811510A (zh) * 2022-11-30 2023-03-17 中国电信股份有限公司 对讲业务的实现方法及装置、对讲服务***

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150281122A1 (en) * 2014-03-31 2015-10-01 Byron L. Hoffman Method and Apparatus for Facilitating Accessing Home Surveillance Data by Remote Devices
WO2021196915A1 (zh) * 2020-04-02 2021-10-07 深圳壹账通智能科技有限公司 基于加密、解密操作的数据传输方法、***和计算机设备
CN111490993A (zh) * 2020-04-13 2020-08-04 江苏易安联网络技术有限公司 一种应用访问控制安全***及方法
CN114553568A (zh) * 2022-02-25 2022-05-27 重庆邮电大学 一种基于零信任单包认证与授权的资源访问控制方法
CN114629692A (zh) * 2022-02-25 2022-06-14 国家电网有限公司 一种基于sdp的电力物联网的访问认证方法及***
CN115694960A (zh) * 2022-10-26 2023-02-03 杭州安恒信息技术股份有限公司 一种应用代理方法、装置、设备及可读存储介质
CN115811510A (zh) * 2022-11-30 2023-03-17 中国电信股份有限公司 对讲业务的实现方法及装置、对讲服务***

Also Published As

Publication number Publication date
CN116938603B (zh) 2023-12-05

Similar Documents

Publication Publication Date Title
Aboba et al. RADIUS (remote authentication dial in user service) support for extensible authentication protocol (EAP)
US7661131B1 (en) Authentication of tunneled connections
US8689301B2 (en) SIP signaling without constant re-authentication
US8201233B2 (en) Secure extended authentication bypass
US6643774B1 (en) Authentication method to enable servers using public key authentication to obtain user-delegated tickets
US20160072787A1 (en) Method for creating secure subnetworks on a general purpose network
Jeong et al. Integrated OTP-based user authentication scheme using smart cards in home networks
US20060259759A1 (en) Method and apparatus for securely extending a protected network through secure intermediation of AAA information
US20070283430A1 (en) Negotiating vpn tunnel establishment parameters on user's interaction
EP3711274B1 (en) Message queuing telemetry transport (mqtt) data transmission method, apparatus, and system
KR20050071359A (ko) 인프라구조없는 인증서를 사용한 인증을 위한 방법 및시스템
US20080137859A1 (en) Public key passing
EP1775903A2 (en) A dynamic tunnel construction method for secure access to a private LAN and apparatus therefor
US20150249639A1 (en) Method and devices for registering a client to a server
KR100819024B1 (ko) 아이디/패스워드를 이용한 사용자 인증 방법
CN116938603B (zh) 基于隐身网关的流量传输方法、装置、设备及存储介质
CN111416824A (zh) 一种网络接入认证控制***
EP1836559B1 (en) Apparatus and method for traversing gateway device using a plurality of batons
CA2595191C (en) Negotiating vpn tunnel establishment parameters on user's interaction
KR100759813B1 (ko) 생체정보를 이용한 사용자 인증 방법
Eronen et al. An Extension for EAP-Only Authentication in IKEv2
Aboba et al. RFC3579: RADIUS (Remote Authentication Dial In User Service) Support For Extensible Authentication Protocol (EAP)
Yang et al. mVoIP for P2P service based authentication system using AA authentication server
Kim A survey of Kerberos V and public-key Kerberos security
CN116827885A (zh) 资源访问方法、装置、***、电子设备及可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant