CN107018155B - 一种外网终端安全访问内网特定数据的方法和系统 - Google Patents
一种外网终端安全访问内网特定数据的方法和系统 Download PDFInfo
- Publication number
- CN107018155B CN107018155B CN201710398601.6A CN201710398601A CN107018155B CN 107018155 B CN107018155 B CN 107018155B CN 201710398601 A CN201710398601 A CN 201710398601A CN 107018155 B CN107018155 B CN 107018155B
- Authority
- CN
- China
- Prior art keywords
- module
- application
- data
- client module
- extranet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种外网终端安全访问内网特定数据的方法和系统。该系统包括客户端模块、可信验证服务器、应用层路由器以及应用服务器。客户端模块和可信验证服务器位于外网。应用服务器位于内网。应用层路由器置于外网与内网之间,并连接外网与内网,包括外网模块和内网模块。该方法包括两个步骤:客户端模块与可信验证服务器之间的可信验证步骤和客户端模块与应用服务器之间的数据交互步骤。该方法使得与应用服务器交互的客户端模块是可信的,并且外网模块和内网模块之间相互隔离,交互基于应用层的路由,从而规避系统漏洞存在的安全风险。
Description
技术领域
本发明涉及外网与内网的安全交互技术,特别涉及内网安全保护技术。
背景技术
外网是面向大众开放的互联网,而内网是企业内部的专有私网。随着互联网和信息技术的发展和应用,特别是移动互联网高速发展的情况下,越来越多的企业用户要求在外网的终端能够访问企业内部的专有私网。这要求内网与外网互联。但内网与外网的互联面临严重的网络安全问题。现有技术下,内网与外网的互联通常通过NAT(Network AddressTranslation,网络地址转换)设备实现。互联网上的黑客容易攻击内网,造成企业用户的损失。通过NAT设备实现内网与外网互联方式,内网与外网之间的安全通过网络防火墙等软件实现。这种机制下无法防范蠕虫病毒的攻击和系统漏洞攻击。
发明内容
本发明所要解决的问题:外网与内网互联中内网的网络安全问题。
为解决上述问题,本发明采用的方案如下:
根据本发明的一种外网终端安全访问内网特定数据的方法,该方法涉及一种外网终端安全访问内网特定数据的系统;该系统包括客户端模块、可信验证服务器、应用层路由器以及应用服务器;客户端模块和可信验证服务器位于外网;应用服务器位于内网;应用层路由器置于外网与内网之间,并连接外网与内网,包括外网模块和内网模块;
方法包括以下步骤:
S1:客户端模块向可信验证服务器发送客户端模块特征信息以请求客户端模块的可信验证;
S2:可信验证服务器根据客户端模块特征信息对客户端模块进行可信验证,可信验证通过后,可信验证服务器向客户端模块发送授权访问信息;授权访问信息包含数据密钥;
S3:当客户端模块向应用服务器发送应用数据时,客户端模块将应用数据和授权访问信息相结合后发送给应用层路由器的外网模块;应用数据和授权访问信息相结合时,客户端模块对应用数据根据数据密钥进行加密;
S4:外网模块接收到客户端模块所发送的数据后,外网模块将所接收到的数据拆解成应用数据和授权访问信息,然后对授权访问信息进行验证,授权访问信息验证通过后将应用数据、应用ID和会话ID发送至内网模块;数据拆解成应用数据和授权访问信息时,外网模块对应用数据根据数据密钥进行解密;
S5:内网模块接收到外网模块所发送的应用数据、应用ID和会话ID后,根据应用ID找出相应的应用服务器的内网地址和端口,然后将应用数据发送至相应内网地址和端口的应用服务器;
S6:内网模块接收到应用服务器所发送的应用数据后,将应用数据和相应的会话ID发送至外网模块;
S7:外网模块接收到内网模块所发送的应用数据和会话ID后,根据会话ID找出相应的客户端模块的外网地址和端口,然后根据数据密钥对应用数据加密后发送给客户端模块。
进一步,根据本发明的外网终端安全访问内网特定数据的方法,步骤S1之前还包括:客户端模块向可信验证服务器进行注册的步骤S01;步骤S01用于将客户端特征信息绑定至用户ID和应用ID上,包括:
S001:客户端模块向可信验证服务器发送客户端模块特征信息以请求客户端模块的注册;
S002:可信验证服务器确认客户端模块的注册许可后,生成客户端模块的注册序列号,保存注册序列号与客户端模块特征信息的对应关系,再向客户端模块返回注册成功与否的结果;
客户端模块特征信息包括客户端特征信息、用户ID和应用ID。
进一步,根据本发明的外网终端安全访问内网特定数据的方法,授权访问信息还包括访问口令、外网模块的外网地址和端口;步骤S3中的应用数据和授权访问信息相结合时,客户端模块根据数据密钥对应用数据和访问口令进行加密;步骤S4中,数据拆解成应用数据和授权访问信息时,外网模块对应用数据根据数据密钥和访问口令进行解密;步骤S4中对授权访问信息进行验证时,判断访问口令是否正确。
进一步,根据本发明的外网终端安全访问内网特定数据的方法,步骤S2中可信验证服务器根据客户端模块特征信息对客户端模块进行可信验证时,可信验证服务器与外网模块进行交互生成数据密钥。
进一步,根据本发明的外网终端安全访问内网特定数据的方法,授权访问信息还包括外网模块的外网地址和端口。
根据本发明的一种外网终端安全访问内网特定数据的系统,包括客户端模块、可信验证服务器、应用层路由器以及应用服务器;客户端模块和可信验证服务器位于外网;应用服务器位于内网;应用层路由器置于外网与内网之间,并连接外网与内网,包括外网模块和内网模块;内网模块连接应用服务器;
客户端模块包括:
M1,用于:向可信验证服务器发送客户端模块特征信息以请求客户端模块的可信验证;
M3,用于:将应用数据和授权访问信息相结合后发送给应用层路由器的外网模块;应用数据和授权访问信息相结合时,对应用数据根据数据密钥进行加密;
可信验证服务器包括:
M2,用于:根据客户端模块特征信息对客户端模块进行可信验证,可信验证通过后,向客户端模块发送授权访问信息;授权访问信息包含数据密钥;
外网模块包括:
M4,用于:接收到客户端模块所发送的数据后,将所接收到的数据拆解成应用数据和授权访问信息,然后对授权访问信息进行验证,授权访问信息验证通过后将应用数据、应用ID和会话ID发送至内网模块;数据拆解成应用数据和授权访问信息时,外网模块对应用数据根据数据密钥进行解密;
M7,用于:接收到内网模块所发送的应用数据和会话ID后,根据会话ID找出相应的客户端模块的外网地址和端口,然后根据数据密钥对应用数据加密后发送给客户端模块;
内网模块包括:
M5,用于:接收到外网模块所发送的应用数据、应用ID和会话ID后,根据应用ID找出相应的应用服务器的内网地址和端口,然后将应用数据发送至相应内网地址和端口的应用服务器;
M6,用于:接收到应用服务器所发送的应用数据后,将应用数据和相应的会话ID发送至外网模块。
进一步,根据本发明的外网终端安全访问内网特定数据的系统,
客户端模块还包括:
M001,用于:向可信验证服务器发送客户端模块特征信息以请求客户端模块的注册;
可信验证服务器还包括:
M002,用于:确认客户端模块的注册许可后,生成客户端模块的注册序列号,保存注册序列号与客户端模块特征信息的对应关系,再向客户端模块返回注册成功与否的结果;
客户端模块特征信息包括客户端特征信息、用户ID和应用ID。
进一步,根据本发明的外网终端安全访问内网特定数据的系统,授权访问信息还包括访问口令、外网模块的外网地址和端口;模块M3中的应用数据和授权访问信息相结合时,客户端模块根据数据密钥对应用数据和访问口令进行加密;模块M4中,数据拆解成应用数据和授权访问信息时,外网模块对应用数据根据数据密钥和访问口令进行解密;模块M4中对授权访问信息进行验证时,判断访问口令是否正确。
进一步,根据本发明的外网终端安全访问内网特定数据的系统,模块M2中可信验证服务器根据客户端模块特征信息对客户端模块进行可信验证时,可信验证服务器与外网模块进行交互生成数据密钥。
进一步,根据本发明的外网终端安全访问内网特定数据的系统,授权访问信息还包括外网模块的外网地址和端口。
本发明的技术效果如下:本发明与应用服务器交互的客户端模块是可信的,并且外网模块和内网模块之间相互隔离,交互基于应用层的路由,从而规避系统漏洞存在的安全风险。
附图说明
图1是本发明实施例模块之间整体连接结构示意图。
图2是本发明配置过程中模块之间的连接结构示意图。
具体实施方式
下面结合附图对本发明做进一步详细说明。
如图1所示,一种外网终端安全访问内网特定数据的系统,包括应用服务器110、客户端模块120、应用层路由器130、可信验证服务器140以及配置终端150。应用服务器110位于内网,是与客户端模块120进行应用数据交互的服务器。客户端模块120是由客户端上所执行的应用程序模块所实现。客户端可以是位于外网的智能手机、掌上电脑等移动设备,也可以是位于外网的台式计算机或便携式计算机等设备。由于客户端位于外网,相应的客户端模块120也位于外网。可信验证服务器140可以由单独的一台服务器实现,也可以是多台服务器组成的服务器集群实现。可信验证服务器140位于外网,并通过网络与客户端模块120相连。可信验证服务器140用于对客户端模块120进行可信验证。应用层路由器130置于外网与内网之间,并连接外网与内网,包括外网模块132和内网模块131。其中,内网模块131连接内网,并通过内网网络连接内网的应用服务器110;外网模块132连接外网,并通过外网网络连接外网的客户端模块120和可信验证服务器140。内网模块131和外网模块132相连。应用层路由器130可以有多个,每个应用层路由器130对应于一个内网。每个内网内与内网模块131相连的应用服务器110可以有多个。每个外网模块132连接的客户端模块120可以有多个。配置终端150用于对内网模块131、外网模块132以及可信验证服务器140进行参数配置。
应用层路由器130的内网模块131和外网模块132可以由运行于同一计算机系统内的两个独立的程序模块实现,也可以由两个分别运行于相互独立的两个计算机系统内的程序模块实现。本发明中,应用层路由器130的内网模块131和外网模块132优选由两个分别运行于相互独立的两个计算机系统内的程序模块实现。在这优选的实施方式下,两个计算机系统分别各自拥有处理器、随机存储器、只读存储器、以太网接口和配置接口等部件。两个计算机系统的以太网接口分别连接内网和外网。两个计算机系统通过数据线相连。两个计算机系统数据线相连可以通过P-ATA接口、S-ATA接口、RS-485接口、USB接口以及双口RAM共享内存等方式。两个计算机系统的配置接口用于连接配置终端150。
基于上述的外网终端安全访问内网特定数据的系统,本实施例的外网终端安全访问内网特定数据的方法主要由以下两个步骤组成:可信验证步骤和数据交互步骤。可信验证步骤是指客户端模块与可信验证服务器进行可信验证的交互过程,也就是前述的步骤S1和S2。数据交互步骤是指客户端模块通过应用层路由器与应用服务器进行应用数据的交互过程,也就是前述的步骤S3、S4、S5、S6和S7。可信验证步骤的具体过程如下:
首先,发起可信验证请求,也就是前述步骤S1,客户端模块向可信验证服务器发送客户端模块特征信息以请求客户端模块的可信验证。然后,可信验证处理,也就是前述步骤S2,可信验证服务器根据客户端模块特征信息对客户端模块进行可信验证,可信验证通过后,可信验证服务器向客户端模块发送授权访问信息。最后客户端接收授权访问信息。其中,步骤S1由用户通过客户端程序发起,由客户端所执行。步骤S2由可信验证服务器所执行。
本实施例中,客户端模块特征信息包括客户端特征信息、用户ID和应用ID。
客户端特征信息用于标识客户端设备,是客户端设备的识别码,比如IP地址、MAC地址等。客户端特征信息最好是客户端设备的唯一识别码或者唯一识别码的散列值,比如硬盘序列号、CPU序列号、手机号码或MEID等唯一识别码或者由硬盘序列号、CPU序列号、手机号码或MEID等唯一识别码通过散列函数计算得到的散列值。
用户ID可以由用户登录名和登录密码组成,也可以是客户端模块通过步骤S1之前的用户登录可信验证服务器过程而获得的用户序列号,或者也可以是步骤S1之前的用户登录可信验证服务器过程而存于可信验证服务器的用户序列号或用户名。在前述第一种情形下,也就是用户ID由用户登录名和登录密码所组成的情形下,步骤S2中可信验证处理整合了用户登录过程的处理,而后两者情形下,则是首先进行用户登录过程的处理,然后才是步骤S1和S2。用户登录处理过程为本领域技术人员所熟悉的技术,且用户登录处理过程并非本发明所讨论的范畴,本说明书不再赘述。
应用ID是客户端模块的应用程序识别码。
可信验证服务器进行可信验证时,对客户端模块特征信息中的客户端特征信息、用户ID和应用ID与数据库中保存的信息进行匹配比较,以确定可信验证是否通过。可信验证服务器通过数据库预先保存了客户端特征信息、用户ID和应用ID的对应关系。可信验证服务器所保存的客户端特征信息、用户ID和应用ID的对应关系通过步骤S1之前所执行的注册过程实现。注册过程,也就是前述步骤S01,客户端模块向可信验证服务器进行注册,具体过程如下:
首先,请求注册步骤,也就是步骤S001,客户端模块向可信验证服务器发送客户端模块特征信息以请求客户端模块的注册。然后,注册许可处理,也就是步骤S002,可信验证服务器确认客户端模块的注册许可后,生成客户端模块的注册序列号,保存注册序列号与客户端模块特征信息的对应关系,再向客户端模块返回注册成功与否的结果。最后客户端模块接收注册成功与否的结果。其中,步骤S001由用户通过由用户通过客户端程序发起,由客户端所执行。步骤S002由可信验证服务器所执行。可信验证服务器确认客户端模块的注册许可,可以通过人工验证方式进行,也可以通过手机短信验证方式进行。
注册过程用于将客户端特征信息绑定至用户ID和应用ID上。在注册过程之前,用户ID所对应的用户信息以及应用ID所对应的应用程序信息已经保存在可信验证服务器的数据库中。因此,步骤S002通常还包括可信验证服务器查找用户ID和应用ID是否存在的步骤。假如相应的用户ID不存在或者用户ID不存在,则返回注册失败。可信验证服务器保存用户ID所对应的用户信息和应用ID所对应的应用程序信息,通过预先的配置处理过程实现配置。
本实施例中,授权访问信息包括外网模块的外网地址和端口、数据密钥、访问口令、授权许可码等信息。
外网模块的外网地址和端口,也就是外网的IP地址和端口,用于客户端模块和外网模块建立网络连接。外网模块的外网地址和端口通过可信验证服务器对用户ID、应用ID的匹配获得。可信验证服务器通过数据库保存了外网模块的外网地址和端口、用户ID和应用ID的对应关系。可信验证服务器保存外网模块的外网地址和端口、用户ID和应用ID的对应关系,通过预先的配置处理过程实现配置。
数据密钥用于客户端模块与外网模块通信交互时数据加解密。数据密钥依赖于客户端模块与外网模块通信交互时数据加解密所采用的加密算法。客户端模块与外网模块通信交互时数据加解密通常采用对称加密算法,比如AES、SM1或DES等对称加密算法。客户端模块与外网模块通信交互时数据加解密也可以采用乱码本有限变换加解密方法,数据密钥是动态随机生成的乱码本。乱码本有限变换加解密方法记载于专利文献CN 104579646 A,本说明书不再赘述。数据密钥可以是预先配置的静态数据,也可以由外网模块和可信验证服务器交互后动态生成。数据密钥为预先配置的静态数据方式下,可以通过预先的配置处理过程实现配置数据密钥。数据密钥动态生成的方式下,可信验证服务器与外网模块进行交互生成数据密钥。可信验证服务器与外网模块进行交互生成数据密钥过程中,数据密钥可以是由可信验证服务器通过随机方式生成,也可以由外网模块通过随机方式生成。需要指出的是,本领域技术人员理解,可信验证服务器与外网模块交互生成数据密钥还存在有更多方法,这些方法的细节并不是本发明所要讨论的范畴,本说明书不再赘述。
访问口令和授权许可码用于客户端模块与外网模块进行交互时,外网模块对客户端模块进行身份验证。访问口令和授权许可码均可以是静态数据或动态生成。访问口令为静态数据的情况下,访问口令由预先的配置处理过程实现配置。授权许可码为静态数据的情况下,授权许可码可以由预先的配置处理过程实现配置,也可以是前述注册过程中的注册序列号。访问口令和授权许可码为动态生成的方式下,访问口令和授权许可码可以是随机的字符串。
本发明中,可信验证服务器优选为与外网模块进行交互生成授权许可码、访问口令和数据密钥,具体过程为:首先由可信验证服务器生成授权许可码、访问口令和数据密钥后发送至外网模块。授权许可码优选为注册序列号,访问口令和数据密钥优选为由可信验证服务器通过随机方式生成。然后外网模块接收到授权许可码、访问口令和数据密钥后,在内存中保存授权许可码、访问口令、数据密钥及其对应关系。
在授权许可码、访问口令和数据密钥为静态数据的情况下,通过预先的配置处理过程的配置,在可信验证服务器和外网模块均保存了授权许可码、访问口令和数据密钥的对应关系。
数据交互步骤的具体过程如下:
S3:当客户端模块向应用服务器发送应用数据时,客户端模块将应用数据和授权访问信息相结合后发送给应用层路由器的外网模块。客户端模块和应用服务器的交互在外网也就是公网上进行,需要加密。客户端模块向应用服务器发送的数据由明文和密文所组成。明文是前述的授权许可码,密文是访问口令和应用数据根据数据密钥加密后的数据。上述将明文和密文打包成数据包的过程即为前述的应用数据和授权访问信息结合。
S4:外网模块接收到客户端模块所发送的数据后,外网模块将所接收到的数据拆解成应用数据和授权访问信息,然后对授权访问信息进行验证,授权访问信息验证通过后将应用数据、应用ID和会话ID发送至内网模块。将所接收到的数据拆解成应用数据和授权访问信息也就是通过步骤S2中的明文获得授权许可码和通过对步骤S2中的密文解密后获得应用数据和访问口令的过程。对授权访问信息进行验证是根据授权许可码和访问口令进行验证的过程,也就是比较数据报文拆解得到的授权许可码和访问口令是否与外网模块所保存的授权许可码和访问口令是否一致。本步骤中的应用ID是存于非易失性存储器中的信息,通过预先的配置处理过程实现配置。会话ID是外网模块和客户端模块建立连接时生成,用于标识网络连接套接字(socket)。
S5:内网模块接收到外网模块所发送的应用数据、应用ID和会话ID后,根据应用ID找出相应的应用服务器的内网地址和端口,然后将应用数据发送至相应内网地址和端口的应用服务器。内网模块通过非易失性存储器存储有应用服务器的内网地址和端口和应用ID的对应关系。 应用服务器的内网地址和端口和应用ID的对应关系由预先的配置处理过程实现配置。
S6:内网模块接收到应用服务器所发送的应用数据后,将应用数据和相应的会话ID发送至外网模块。本步骤之前还包括由应用服务器接收内网模块的应用数据后进行相应处理向内网模块返回的处理过程。该处理过程涉及客户端模块和应用服务器具体的应用,不是本发明所讨论的范畴,本说明书无需赘述。
S7:外网模块接收到内网模块所发送的应用数据和会话ID后,根据会话ID找出相应的客户端模块的外网地址和端口,然后根据数据密钥对应用数据加密后发送给客户端模块。实际处理过程中,根据会话ID找出相应的客户端模块的外网地址和端口,是根据会话ID找到相应网络连接套接字的过程。
由上述步骤S3、S4、S5、S6和S7可以看出,应用层路由器的内网模块和外网模块,并非直接对内网和外网的网络地址和端口进行映射转换,中间通过应用ID和会话ID的指代,因此是应用层面的路由器。显而易见地,本发明技术方案之下,应用层路由器仅仅对指定的应用程序进行数据报文的路由,而且内网模块和外网模块相互物理隔离,因此,对于应用服务器上非指定的应用程序或操作系统中所存在的系统漏洞,外网也无法进行攻击。
前述各步骤中涉及了配置处理过程。配置处理过程是上述系统的架构中配置终端150与内网模块131、外网模块132、可信验证服务器140进行交互的处理过程,如图2所示,它涉及应用层路由器130、可信验证服务器140和配置终端150。配置终端150通常由运行于便携电脑的程序模块实现。配置终端150通过配置接口分别连接内网模块131和外网模块132。配置处理过程中,配置终端150通过网络连接可信验证服务器140。配置终端150通过配置接口分别向内网模块131和外网模块132下发配置数据或更新程序软件。内网模块131和外网模块132则保存配置数据。本发明中,配置接口优选为USB接口。
内网模块的配置数据包括但不限于前述内网模块131中应用服务器的内网地址和端口和应用ID的对应关系。外网模块的配置数据包括但不限于:客户端模块与外网模块通信交互所用的数据密钥、访问口令和授权许可码为静态数据时的数据密钥、访问口令和授权许可码和应用ID的的对应关系,或者客户端模块与外网模块通信交互所用的数据密钥动态生成所需的与可信验证服务器进行交互的协议参数,外网模块的外网端口和应用ID的对应关系。配置终端150通过网络连接可信验证服务器140配置以下参数:用户ID与用户ID所对应的用户信息,应用ID和应用ID所对应的应用程序信息,外网模块的外网地址和端口、用户ID和应用ID的对应关系,客户端模块与外网模块通信交互所用的数据密钥、访问口令和授权许可码为静态数据时的数据密钥、访问口令和授权许可码和应用ID的的对应关系,或者客户端模块与外网模块通信交互所用的数据密钥动态生成所需的与外网模块进行交互的协议参数。
根据上述方法实施例,上述方法实施例所对应的外网终端安全访问内网特定数据的系统中,客户端模块包括以下模块:
M1,用于:向可信验证服务器发送客户端模块特征信息以请求客户端模块的可信验证;
M3,用于:将应用数据和授权访问信息相结合后发送给应用层路由器的外网模块;
M001,用于:向可信验证服务器发送客户端模块特征信息以请求客户端模块的注册。
可信验证服务器包括以下模块:
M2,用于:根据客户端模块特征信息对客户端模块进行可信验证,可信验证通过后,向客户端模块发送授权访问信息;
M002,用于:确认客户端模块的注册许可后,生成客户端模块的注册序列号,保存注册序列号与客户端模块特征信息的对应关系,再向客户端模块返回注册成功与否的结果;
以及,
用于接收配置终端的配置指令,并保存配置指令中配置数据的模块;
用于与外网模块进行交互生成授权许可码、访问口令和数据密钥,并并保存授权许可码、访问口令和数据密钥及其对应关系的模块。
外网模块包括以下模块:
M4,用于:接收到客户端模块所发送的数据后,将所接收到的数据拆解成应用数据和授权访问信息,然后对授权访问信息进行验证,授权访问信息验证通过后将应用数据、应用ID和会话ID发送至内网模块;
M7,用于:接收到内网模块所发送的应用数据和会话ID后,根据会话ID找出相应的客户端模块的外网地址和端口,然后根据数据密钥对应用数据加密后发送给客户端模块;
以及,
用于接收配置终端的配置指令,并保存配置指令中配置数据的模块;
用于与可信验证服务器进行交互生成授权许可码、访问口令和数据密钥,并保存授权许可码、访问口令和数据密钥及其对应关系的模块。
内网模块包括以下模块:
M5,用于:接收到外网模块所发送的应用数据、应用ID和会话ID后,根据应用ID找出相应的应用服务器的内网地址和端口,然后将应用数据发送至相应内网地址和端口的应用服务器;
M6,用于:接收到应用服务器所发送的应用数据后,将应用数据和相应的会话ID发送至外网模块;
以及用于接收配置终端的配置指令,并保存配置指令中配置数据的模块。
以上各个模块与前述方法的步骤对应一致,其具体实现细节可参考方法步骤的细节,本说明书不再赘述。
此外还需要说明的是,客户端模块与可信验证服务器进行的通信交互、外网模块与可信验证服务器进行的通信交互、配置终端与可信验证服务器进行的通信交互,均需要加密进行。客户端模块、外网模块以及配置终端与可信验证服务器所进行的通信交互中所采用的加密方法一般采用非对称加密技术,比如RSA、ECC等。非对称加密技术为本领域技术人员所熟悉,且并非本发明所讨论的范畴,本说明书不再赘述。
Claims (10)
1.一种外网终端安全访问内网特定数据的方法,其特征在于,该方法涉及一种外网终端安全访问内网特定数据的系统;该系统包括客户端模块、可信验证服务器、应用层路由器以及应用服务器;客户端模块和可信验证服务器位于外网;应用服务器位于内网;应用层路由器置于外网与内网之间,并连接外网与内网,包括外网模块和内网模块;
该方法包括以下步骤:
S1:客户端模块向可信验证服务器发送客户端模块特征信息以请求客户端模块的可信验证;
S2:可信验证服务器根据客户端模块特征信息对客户端模块进行可信验证,可信验证通过后,可信验证服务器向客户端模块发送授权访问信息;授权访问信息包含数据密钥;
S3:当客户端模块向应用服务器发送应用数据时,客户端模块将应用数据和授权访问信息相结合后发送给应用层路由器的外网模块;应用数据和授权访问信息相结合时,客户端模块对应用数据根据数据密钥进行加密;
S4:外网模块接收到客户端模块所发送的数据后,外网模块将所接收到的数据拆解成应用数据和授权访问信息,然后对授权访问信息进行验证,授权访问信息验证通过后将应用数据、应用ID和会话ID发送至内网模块;数据拆解成应用数据和授权访问信息时,外网模块对应用数据根据数据密钥进行解密;
S5:内网模块接收到外网模块所发送的应用数据、应用ID和会话ID后,根据应用ID找出相应的应用服务器的内网地址和端口,然后将应用数据发送至相应内网地址和端口的应用服务器;
S6:内网模块接收到应用服务器所发送的应用数据后,将应用数据和相应的会话ID发送至外网模块;
S7:外网模块接收到内网模块所发送的应用数据和会话ID后,根据会话ID找出相应的客户端模块的外网地址和端口,然后根据数据密钥对应用数据加密后发送给客户端模块。
2.如权利要求1的外网终端安全访问内网特定数据的方法,其特征在于,步骤S1之前还包括:客户端模块向可信验证服务器进行注册的步骤S01;步骤S01用于将客户端特征信息绑定至用户ID和应用ID上,包括:
S001:客户端模块向可信验证服务器发送客户端模块特征信息以请求客户端模块的注册;
S002:可信验证服务器确认客户端模块的注册许可后,生成客户端模块的注册序列号,保存注册序列号与客户端模块特征信息的对应关系,再向客户端模块返回注册成功与否的结果;
客户端模块特征信息包括客户端特征信息、用户ID和应用ID。
3.如权利要求1的外网终端安全访问内网特定数据的方法,其特征在于,授权访问信息还包括访问口令、外网模块的外网地址和端口;步骤S3中的应用数据和授权访问信息相结合时,客户端模块根据数据密钥对应用数据和访问口令进行加密;步骤S4中,数据拆解成应用数据和授权访问信息时,外网模块对应用数据根据数据密钥和访问口令进行解密;步骤S4中对授权访问信息进行验证时,判断访问口令是否正确。
4.如权利要求1的外网终端安全访问内网特定数据的方法,其特征在于,步骤S2中可信验证服务器根据客户端模块特征信息对客户端模块进行可信验证时,可信验证服务器与外网模块进行交互生成数据密钥。
5.如权利要求1的外网终端安全访问内网特定数据的方法,其特征在于,授权访问信息还包括外网模块的外网地址和端口。
6.一种外网终端安全访问内网特定数据的系统,其特征在于,包括客户端模块、可信验证服务器、应用层路由器以及应用服务器;客户端模块和可信验证服务器位于外网;应用服务器位于内网;应用层路由器置于外网与内网之间,并连接外网与内网,包括外网模块和内网模块;内网模块连接应用服务器;
客户端模块包括:
M1,用于:向可信验证服务器发送客户端模块特征信息以请求客户端模块的可信验证;
M3,用于:将应用数据和授权访问信息相结合后发送给应用层路由器的外网模块;应用数据和授权访问信息相结合时,对应用数据根据数据密钥进行加密;
可信验证服务器包括:
M2,用于:根据客户端模块特征信息对客户端模块进行可信验证,可信验证通过后,向客户端模块发送授权访问信息;授权访问信息包含数据密钥;
外网模块包括:
M4,用于:接收到客户端模块所发送的数据后,将所接收到的数据拆解成应用数据和授权访问信息,然后对授权访问信息进行验证,授权访问信息验证通过后将应用数据、应用ID和会话ID发送至内网模块;数据拆解成应用数据和授权访问信息时,对应用数据根据数据密钥进行解密;
M7,用于:接收到内网模块所发送的应用数据和会话ID后,根据会话ID找出相应的客户端模块的外网地址和端口,然后根据数据密钥对应用数据加密后发送给客户端模块;
内网模块包括:
M5,用于:接收到外网模块所发送的应用数据、应用ID和会话ID后,根据应用ID找出相应的应用服务器的内网地址和端口,然后将应用数据发送至相应内网地址和端口的应用服务器;
M6,用于:接收到应用服务器所发送的应用数据后,将应用数据和相应的会话ID发送至外网模块。
7.如权利要求6的外网终端安全访问内网特定数据的系统,其特征在于,
客户端模块还包括:
M001,用于:向可信验证服务器发送客户端模块特征信息以请求客户端模块的注册;
可信验证服务器还包括:
M002,用于:确认客户端模块的注册许可后,生成客户端模块的注册序列号,保存注册序列号与客户端模块特征信息的对应关系,再向客户端模块返回注册成功与否的结果;
客户端模块特征信息包括客户端特征信息、用户ID和应用ID。
8.如权利要求6的外网终端安全访问内网特定数据的系统,其特征在于,授权访问信息还包括访问口令、外网模块的外网地址和端口;模块M3中的应用数据和授权访问信息相结合时,客户端模块根据数据密钥对应用数据和访问口令进行加密;模块M4中,数据拆解成应用数据和授权访问信息时,外网模块对应用数据根据数据密钥和访问口令进行解密;模块M4中对授权访问信息进行验证时,判断访问口令是否正确。
9.如权利要求6的外网终端安全访问内网特定数据的系统,其特征在于,模块M2中可信验证服务器根据客户端模块特征信息对客户端模块进行可信验证时,可信验证服务器与外网模块进行交互生成数据密钥。
10.如权利要求6的外网终端安全访问内网特定数据的系统,其特征在于,授权访问信息还包括外网模块的外网地址和端口。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710398601.6A CN107018155B (zh) | 2017-05-31 | 2017-05-31 | 一种外网终端安全访问内网特定数据的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710398601.6A CN107018155B (zh) | 2017-05-31 | 2017-05-31 | 一种外网终端安全访问内网特定数据的方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107018155A CN107018155A (zh) | 2017-08-04 |
| CN107018155B true CN107018155B (zh) | 2020-06-19 |
Family
ID=59452016
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710398601.6A Active CN107018155B (zh) | 2017-05-31 | 2017-05-31 | 一种外网终端安全访问内网特定数据的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107018155B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108063772B (zh) * | 2018-01-18 | 2021-05-18 | 吉浦斯信息咨询(深圳)有限公司 | 一种基于服务侧的数据安全访问方法及系统 |
| CN109005189B (zh) * | 2018-08-27 | 2021-07-20 | 广东电网有限责任公司信息中心 | 一种适用于双网隔离的接入访问传输平台 |
| CN111212030A (zh) * | 2019-12-11 | 2020-05-29 | 远光软件股份有限公司 | 一种结算信息实时共享系统及方法 |
| CN112261055B (zh) * | 2020-10-26 | 2023-12-12 | 南京协宏软件技术有限公司 | 一种实时数据定向推送的方法、系统及其网关设备 |
| CN112367365B (zh) * | 2020-10-26 | 2024-06-25 | 南京燚麒智能科技有限公司 | 一种数据定向推送的方法和系统 |
| CN113724048A (zh) * | 2021-09-02 | 2021-11-30 | 国泰新点软件股份有限公司 | 专家抽取系统 |
| CN114338133B (zh) * | 2021-12-24 | 2023-07-07 | 中国联合网络通信集团有限公司 | 应用访问系统、方法、通信装置及存储介质 |
| CN114978709B (zh) * | 2022-05-24 | 2023-06-27 | 成都市第三人民医院 | 一种面向医疗应用的轻量级统一安全认证方法 |
| CN117014222A (zh) * | 2023-09-01 | 2023-11-07 | 四川绍泰锦网络科技有限公司 | 一种计算机网络信息安全事件处理方法 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101345640A (zh) * | 2006-10-18 | 2009-01-14 | 华为技术有限公司 | 多播广播业务的管理方法及系统 |
| CN101945255A (zh) * | 2010-09-20 | 2011-01-12 | 中国联合网络通信集团有限公司 | Iptv业务的实现方法、设备及系统 |
| CN103118147A (zh) * | 2013-01-24 | 2013-05-22 | 中国联合网络通信集团有限公司 | 内网服务器访问方法、设备和系统 |
| CN103701792A (zh) * | 2013-12-20 | 2014-04-02 | 中电长城网际系统应用有限公司 | 可信授权方法、系统、可信安全管理中心和服务器 |
| CN103905386A (zh) * | 2012-12-26 | 2014-07-02 | 中国电信股份有限公司 | Sip终端非注册接入的方法、边缘设备及网络 |
| US8832313B2 (en) * | 2010-03-25 | 2014-09-09 | Kabushiki Kaisha Toshiba | Terminal device |
| CN106412122A (zh) * | 2016-11-24 | 2017-02-15 | 美的智慧家居科技有限公司 | 物联网设备与服务器的安全链接方法和装置及无线路由器 |
| CN106682165A (zh) * | 2016-12-26 | 2017-05-17 | 深圳中兴网信科技有限公司 | 自动路由方法和自动路由系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7321970B2 (en) * | 2003-12-30 | 2008-01-22 | Nokia Siemens Networks Oy | Method and system for authentication using infrastructureless certificates |
-
2017
- 2017-05-31 CN CN201710398601.6A patent/CN107018155B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101345640A (zh) * | 2006-10-18 | 2009-01-14 | 华为技术有限公司 | 多播广播业务的管理方法及系统 |
| US8832313B2 (en) * | 2010-03-25 | 2014-09-09 | Kabushiki Kaisha Toshiba | Terminal device |
| CN101945255A (zh) * | 2010-09-20 | 2011-01-12 | 中国联合网络通信集团有限公司 | Iptv业务的实现方法、设备及系统 |
| CN103905386A (zh) * | 2012-12-26 | 2014-07-02 | 中国电信股份有限公司 | Sip终端非注册接入的方法、边缘设备及网络 |
| CN103118147A (zh) * | 2013-01-24 | 2013-05-22 | 中国联合网络通信集团有限公司 | 内网服务器访问方法、设备和系统 |
| CN103701792A (zh) * | 2013-12-20 | 2014-04-02 | 中电长城网际系统应用有限公司 | 可信授权方法、系统、可信安全管理中心和服务器 |
| CN106412122A (zh) * | 2016-11-24 | 2017-02-15 | 美的智慧家居科技有限公司 | 物联网设备与服务器的安全链接方法和装置及无线路由器 |
| CN106682165A (zh) * | 2016-12-26 | 2017-05-17 | 深圳中兴网信科技有限公司 | 自动路由方法和自动路由系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107018155A (zh) | 2017-08-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107018155B (zh) | 一种外网终端安全访问内网特定数据的方法和系统 | |
| US11792169B2 (en) | Cloud storage using encryption gateway with certificate authority identification | |
| CN107018154B (zh) | 一种基于应用层用于连接内网和外网的路由器和路由方法 | |
| US10423774B1 (en) | System and method for establishing secure communication channels between virtual machines | |
| US7992193B2 (en) | Method and apparatus to secure AAA protocol messages | |
| US9330245B2 (en) | Cloud-based data backup and sync with secure local storage of access keys | |
| CN107040513B (zh) | 一种可信访问认证处理方法、用户终端和服务端 | |
| CN111512608B (zh) | 基于可信执行环境的认证协议 | |
| US9491174B2 (en) | System and method for authenticating a user | |
| US20030204724A1 (en) | Methods for remotely changing a communications password | |
| US20100250921A1 (en) | Authorizing a Login Request of a Remote Device | |
| CN108809633B (zh) | 一种身份认证的方法、装置及系统 | |
| US7240202B1 (en) | Security context sharing | |
| WO2018231519A1 (en) | Cloud storage using encryption gateway with certificate authority identification | |
| US11968302B1 (en) | Method and system for pre-shared key (PSK) based secure communications with domain name system (DNS) authenticator | |
| CN103236931A (zh) | 一种基于tpm的身份验证方法及系统以及相关设备 | |
| US20140237627A1 (en) | Protecting data in a mobile environment | |
| US11765133B2 (en) | Authentication scheme in a virtual private network | |
| US20170295142A1 (en) | Three-Tiered Security and Computational Architecture | |
| EP4224792B1 (en) | System for dispersing access rights for routing devices in network | |
| WO2020009129A1 (ja) | 認証情報の設定を仲介するための装置及び方法 | |
| CN114553557B (zh) | 密钥调用方法、装置、计算机设备和存储介质 | |
| CN115987655A (zh) | 基于用户身份深度识别的远程接入访问方法、系统及设备 | |
| CN110890959B (zh) | 一种账户改密的方法、系统及装置 | |
| US12015721B1 (en) | System and method for dynamic retrieval of certificates with remote lifecycle management |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |