CN110311785B - 一种内网访问方法及相关装置 - Google Patents

一种内网访问方法及相关装置 Download PDF

Info

Publication number
CN110311785B
CN110311785B CN201910503912.3A CN201910503912A CN110311785B CN 110311785 B CN110311785 B CN 110311785B CN 201910503912 A CN201910503912 A CN 201910503912A CN 110311785 B CN110311785 B CN 110311785B
Authority
CN
China
Prior art keywords
intranet
firewall
access equipment
mobile wireless
digital certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910503912.3A
Other languages
English (en)
Other versions
CN110311785A (zh
Inventor
王绪军
谢文
黄成尧
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ping An Technology Shenzhen Co Ltd
Original Assignee
Ping An Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ping An Technology Shenzhen Co Ltd filed Critical Ping An Technology Shenzhen Co Ltd
Priority to CN201910503912.3A priority Critical patent/CN110311785B/zh
Publication of CN110311785A publication Critical patent/CN110311785A/zh
Application granted granted Critical
Publication of CN110311785B publication Critical patent/CN110311785B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明实施例适用于安全防护中的访问控制,公开了一种内网访问方法及相关装置,所述方法包括:移动无线接入设备根据内网防火墙分配的第一内网防火墙的第一IP地址,向第一内网防火墙发送携带接入设备数字证书的防火墙连接请求,第一内网防火墙根据所述接入设备数字证书中携带的发布方信息,确定所述接入设备数字证书的证书发布方,并使用发布方公钥对所述接入设备数字证书中的数字签名进行解密得到证书指纹,使用指定的哈希算法对所述接入设备数字证书进行哈希计算得到数字证书哈希值,第一内网防火墙在确定计算得到的数字证书哈希值与接入设备证书指纹一致时建立与移动无线接入设备的连接。通过本发明可以提高针对目标内网的访问效率和安全性。

Description

一种内网访问方法及相关装置
技术领域
本申请涉及通信领域,尤其涉及一种内网访问方法及相关装置。
背景技术
随着全球经济的一体化,越来越多的企业在全球各地都开展了相关业务,这就需要企业的员工被派遣到全球各地去办公。在一些办公场景中,在外地的企业员工需要访问得到公司内网服务器的一些资源,例如访问企业内网网页、访问内网文件服务器中共享文件夹中存储的文件等。传统的方式中,通常通过VPN(Virtual Private Network,虚拟专用网络)实现,需要在公司内网建立VPN服务器,外地员工通过手机、电脑等在当地连上互联网后,通过互联网连接企业内网的VPN服务器,然后通过VPN服务器访问企业内网。在企业员工通过电脑等终端连接内网时,需要事先配置连接企业内网VPN的参数,例如内网VPN服务器的地址,用户的登录名和密码等,然后进行拨号并连接。用户操作较多且等待时间较长,较为影响连接效率。
发明内容
本申请提供一种内网访问方法及相关设备,通过本发明可以提高针对目标内网的访问效率和安全性。
本发明实施例第一方面提供了一种内网访问方法,包括:
移动无线接入设备向内网防火墙分配设备发送针对目标内网的内网连接请求,以使所述内网防火墙分配设备根据所述内网连接请求从针对所述目标内网部署的多个内网防火墙中,确定所述移动无线接入设备匹配的第一内网防火墙;
所述移动无线接入设备接收所述内网防火墙分配设备发送的所述第一内网防火墙的第一IP地址;
所述移动无线接入设备根据所述第一IP地址,向所述第一内网防火墙发送携带所述移动无线接入设备的接入设备数字证书的防火墙连接请求,以使所述第一内网防火墙根据所述接入设备数字证书中携带的所述接入设备数字证书的发布方信息,确定所述接入设备数字证书的证书发布方,所述第一内网防火墙获取所述证书发布方的发布方公钥,并使用所述发布方公钥对所述接入设备数字证书中的数字签名进行解密得到所述接入设备数字证书的证书指纹,所述第一内网防火墙使用指定的哈希算法对所述接入设备数字证书进行哈希计算得到数字证书哈希值,所述第一内网防火墙在确定所述第一内网防火墙进行哈希计算得到的数字证书哈希值与所述接入设备证书指纹一致时建立与所述移动无线接入设备的连接;
所述移动无线接入设备在接收到用户终端发送的针对所述目标内网的内网访问请求后,将所述内网访问请求发送给所述第一内网防火墙,以使所述第一内网防火墙将所述内网访问请求路由至所述目标内网的内网服务器;
所述移动无线接入设备在接收到所述第一内网防火墙发送的所述内网服务器响应所述内网访问请求返回的内网请求响应消息后,将所述内网请求响应消息发送至所述用户终端。
结合第一方面,在第一种可能的实现方式中,所述接入设备数字证书携带与所述移动无线接入设备持有的接入设备私钥相匹配的接入设备公钥,所述接入设备公钥用于解密通过所述接入设备私钥非对称加密的消息,所述接入设备私钥用于解密通过所述接入设备公钥非对称加密的消息;
所述方法还包括:
所述移动无线接入设备接收所述第一内网防火墙发送的身份测试随机消息;
所述移动无线接入设备通过所述接入设备私钥将所述身份测试随机消息进行非对称加密得到加密后测试消息;
所述移动无线接入设备将所述加密后测试消息发送给所述第一内网防火墙,以使所述第一内网防火墙通过所述接入设备公钥,对接收到的所述加密后测试消息进行解密得到解密后测试消息,所述第一内网防火墙还在确定所述解密后测试消息与所述身份测试随机消息一致后,建立与所述移动无线接入设备的连接。
结合第一方面,在第二种可能的实现方式中,所述接入设备公钥还被所述第一内网防火墙用于对消息传输密钥进行非对称加密后发送给所述移动无线接入设备,所述消息传输密钥为在所述第一内网防火墙与所述移动无线接入设备的连接建立后,对所述第一内网防火墙与所述移动无线接入设备之间传输的消息进行对称加密的密钥;
所述方法还包括:
所述移动无线接入设备接收所述第一内网防火墙发送的通过所述接入设备公钥进行非对称加密后的所述消息传输密钥;
所述移动无线接入设备通过所述接入设备私钥,对接收到的非对称加密后的所述消息传输密钥进行解密得到解密后的所述消息传输密钥;
所述移动无线接入设备将所述内网访问请求发送给所述第一内网防火墙,以使所述第一内网防火墙将所述内网访问请求路由至所述目标内网的内网服务器包括:
所述移动无线接入设备通过所述消息传输密钥对所述内网访问请求进行对称加密后,将对称加密后的内网访问请求发送给所述第一内网防火墙,以使所述第一内网防火墙通过所述消息传输密钥对接收到的对称加密后的内网访问请求进行解密后,发送给所述内网服务器;
所述移动无线接入设备将所述内网请求响应消息发送至所述用户终端包括:
所述移动无线接入设备通过所述消息传输密钥,对接收到的对称加密后的所述内网请求响应消息进行解密,所述移动无线接入设备接收到的所述内网请求响应消息为所述第一内网防火墙通过所述消息传输密钥进行对称加密后发送的;
所述移动无线接入设备将解密后的所述内网请求响应消息发送给所述用户终端。
结合第一方面,在一种可能的实现方式中,所述移动无线接入设备向内网防火墙分配设备发送针对目标内网的内网连接请求,以使所述内网防火墙分配设备根据所述内网连接请求从针对所述目标内网部署的多个内网防火墙中,确定所述移动无线接入设备匹配的第一内网防火墙包括:
所述移动无线接入设备向所述内网防火墙分配设备发送携带所述接入设备数字证书的针对所述目标内网的内网连接请求,以使所述内网防火墙分配设备根据所述接入设备数字证书中携带的所述接入设备数字证书的发布方信息,确定所述接入设备数字证书的证书发布方,所述内网防火墙分配在获取所述证书发布方的发布方公钥,对所述接入设备数字证书中的数字签名进行解密得到所述接入设备数字证书的接入设备证书指纹,所述内网防火墙分配在将所述接入设备数字证书进行哈希计算得到数字证书哈希值后,所述内网防火墙分配在确定所述内网防火墙分配设备哈希计算得到的数字证书哈希值与所述接入设备证书指纹一致时,从针对所述目标内网部署的多个内网防火墙中,确定所述移动无线接入设备匹配的第一内网防火墙。
本发明实施例第二方面提供了一种内网访问方法,包括:
第一内网防火墙接收移动无线接入设备发送的携带所述移动无线接入设备的接入设备数字证书的防火墙连接请求,所述第一内网防火墙为所述移动无线接入设备向内网防火墙分配设备发送针对目标内网的内网连接请求后,所述内网防火墙分配设备根据所述内网连接请求从针对所述目标内网部署的多个内网防火墙中,确定的所述移动无线接入设备匹配的防火墙,所述接入设备数字证书中包含所述接入设备数字证书的数字签名和所述接入设备数字证书的证书发布方的发布方信息,所述接入设备数字证书的数字签名为所述证书发布方在发布所述接入设备数字证书时,将所述接入设备数字证书进行哈希计算后,通过所述证书发布方的发布方私钥非对称加密后得到的;
所述第一内网防火墙根据所述接入设备数字证书中携带的发布方信息,获取所述证书发布方的发布方数字证书;
所述第一内网防火墙通过所述发布方数字证书中包含的发布方公钥,对所述接入设备数字证书中的数字签名进行解密得到所述接入设备数字证书的接入设备证书指纹;
所述第一内网防火墙在确定将所述接入设备数字证书进行哈希计算得到的数字证书哈希值,与所述接入设备证书指纹一致时,建立与所述移动无线接入设备的连接。
结合第二方面,在第一种可能的实现方式中,所述接入设备数字证书携带与所述移动无线接入设备持有的接入设备私钥相匹配的接入设备公钥,所述接入设备公钥用于解密通过所述接入设备私钥非对称加密的消息,所述接入设备私钥用于解密通过所述接入设备公钥非对称加密的消息;
所述第一内网防火墙建立与所述移动无线接入设备的连接之前,还包括:
所述第一内网防火墙向所述移动无线接入设备发送身份测试随机消息,以使所述移动无线接入设备通过所述接入设备私钥对所述身份测试随机消息进行非对称加密后得到的加密后测试消息,所述移动无线接入设备还将所述加密后测试消息发送给所述第一内网防火墙;
所述第一内网防火墙通过所述接入设备公钥,对接收到的所述移动无线接入设备发送的加密后测试消息进行解密得到解密后测试消息;
所述第一内网防火墙在确定所述解密后测试消息与所述身份测试随机消息一致时,执行建立与所述移动无线接入设备的连接。
结合第二方面,在第二种可能的实现方式中,所述第一内网防火墙建立与所述移动无线接入设备的连接包括:
所述第一内网防火墙通过所述接入设备公钥将消息传输密钥进行非对称加密后,发送给所述移动无线接入设备,以使所述移动无线接入设备通过所述接入设备私钥对非对称加密后的所述消息传输密钥进行解密后得到所述消息传输密钥,所述消息传输密钥为在所述第一内网防火墙与所述第一内网防火墙与所述移动无线接入设备的连接建立后,对所述第一内网防火墙与所述移动无线接入设备之间传输的消息进行对称加密的密钥;
所述消息传输密钥被所述移动无线接入设备用于对接收到的所述用户终端发送的针对所述目标内网的内网访问消息,在发送给所述第一内网防火墙之前进行对称加密,以使所述第一内网防火墙通过所述消息传输密钥对接收到的对称加密后的内网访问消息进行解密后,发送给所述内网服务器;
所述消息传输密钥还被所述移动无线接入设备用于对接收到的所述第一内网防火墙发送的对称加密后的内网请求响应消息,在发送给所述用户终端之前进行解密,所述第一内网防火墙发送的内网请求响应消息为所述第一内网防火墙在接收到所述内网服务器响应所述内网访问请求返回的内网请求响应消息后,通过所述消息传输密钥进行非对称加密后发送的。
本发明实施例第三方面提供了一种移动无线接入设备,包括:
请求发送单元,用于向内网防火墙分配设备发送针对目标内网的内网连接请求,以使所述内网防火墙分配设备根据所述内网连接请求从针对所述目标内网部署的多个内网防火墙中,确定所述移动无线接入设备匹配的第一内网防火墙;
地址接收单元,用于接收所述内网防火墙分配设备发送的所述第一内网防火墙的第一IP地址;
防火墙连接单元,用于根据所述第一IP地址,向所述第一内网防火墙发送携带所述移动无线接入设备的接入设备数字证书的防火墙连接请求,以使所述第一内网防火墙根据所述接入设备数字证书中携带的所述接入设备数字证书的发布方信息,确定所述接入设备数字证书的证书发布方,所述第一内网防火墙获取所述证书发布方的发布方公钥,并使用所述发布方公钥对所述接入设备数字证书中的数字签名进行解密得到所述接入设备数字证书的证书指纹,所述第一内网防火墙使用指定的哈希算法对所述接入设备数字证书进行哈希计算得到数字证书哈希值,所述第一内网防火墙在确定所述第一内网防火墙进行哈希计算得到的数字证书哈希值与所述接入设备证书指纹一致时建立与所述移动无线接入设备的连接;
消息传输单元,用于在接收到用户终端发送的针对所述目标内网的内网访问请求后,将所述内网访问请求发送给所述第一内网防火墙,以使所述第一内网防火墙将所述内网访问请求路由至所述目标内网的内网服务器;
所述消息传输单元,还用于在接收到所述第一内网防火墙发送的所述内网服务器响应所述内网访问请求返回的内网请求响应消息后,将所述内网请求响应消息发送至所述用户终端。
本发明实施例第四方面提供了一种移动无线接入设备,包括处理器、存储器以及通信接口,所述处理器、存储器和通信接口相互连接,其中,所述通信接口用于接收和发送数据,所述存储器用于存储程序代码,所述处理器用于调用所述程序代码,所述程序代码当被计算机执行时使所述计算机执行上述第一方面和第一方面各个可能的实现方式中的任意一种方法。
本发明实施例第五方面提供了一种计算机存储介质,所述计算机存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被计算机执行时使所述计算机执行上述第一方面和第一方面各个可能的实现方式,以及上述第二方面和第二方面各个可能的实现方式中的任意一种方法。
本发明实施例中,移动无线接入设备在向内网防火墙分配设备发送针对目标内网的内网连接请求后,所述内网防火墙分配设备从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第一内网防火墙,移动无线接入设备在接收到内网防火墙分配设备发送的第一内网防火墙的第一IP地址后,向第一内网防火墙发送携带接入设备数字证书的防火墙连接请求,第一内网防火墙在获取接入设备数字证书的证书发布方的发布方公钥后,使用发布方公钥对接入设备数字证书中的数字签名进行解密得到接入设备数字证书的证书指纹,第一内网防火墙使用指定的哈希算法对接入设备数字证书进行哈希计算得到数字证书哈希值后,在确定数字证书哈希值与接入设备证书指纹一致时建立与移动无线接入设备的连接,移动无线接入设备通过与第一内网防火墙的连接为用户终端提供访问内网的服务。第一内网防火墙通过验证接入设备数字证书完成了对移动无线接入设备的身份验证,无需用户输入用户名、密码等身份验证信息,减少目标内网访问前的人工干预,提高了针对目标内网的访问效率。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种内网访问系统的框架示意图;
图2为本发明实施例提供的一种内网访问方法的系统交互示意图;
图3为本发明实施例提供的另一种内网访问方法的系统交互示意图;
图4为本发明实施例提供的一种移动无线接入设备的结构示意图;
图5为本发明实施例提供的另一种移动无线接入设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例提供的一种内网访问系统的框架示意图,如图所示,在该内网访问系统框架中,内网防火墙1、内网防火墙2和内网防火墙3为针对目标内网部署的3个内网防火墙,移动无线接入设备1和移动无线接入设备2分别与内网防火墙1相连接,移动无线接入设备3与内网防火墙3相连接,用户终端1与移动无线接入设备2相连接,用户终端2与移动无线接入设备相连接。
这里,目标内网为将特定企业、特定机构、特定学校等的一个局部地理范围内的各种计算机、服务器和数据库等互相连接起来的局域通信网络。目标内网中的终端或服务器在于所述目标内网中的终端或服务器等进行通信时,通过数据链路层实现,通信消息无需经过路由器的路由;在于所述目标内网外的终端或服务器进行通信时,通过网络层实现,目标内网内的终端或服务器发送的通信消息需要经过路由器经过网络地址转换后,路由至所述目标内网外的终端或服务器,目标内网外的终端或服务器返回的通信消息需要路由器经过网络地址转换后,路由至目标内网的终端或服务器。
这里,针对目标内网部署的内网防火墙可以是部署在全球各地的针对进出目标内网的数据包进行过滤的防火墙,内网防火墙通过广域网与目标内网的路由器相连接,进而通过目标内网的路由器实现于目标内网的内网服务器的连接。
这里,移动无线接入设备为可移动的,能发射无线网络信号的,且有路由功能的无线接入设备。移动无线接入设备将通过插入SIM(Subscriber Identification Module,用户身份识别)卡接入数据网络,也可以通过插入网线的方式接入有线网络,还可以通过连接WIFI的方式接入无线网络。用户终端可以接入移动无线接入设备发射的无线网络与移动无线接入设备连接。
这里,内网防火墙分配装置可以是具有针对目标内网的域名解析功能的,且存储有针对目标内网部署的各个防火墙IP地址和部署位置的设备,如GTM(Global TrafficManager,全局流量管理)设备等。
这里,用户终端可以为包括笔记本电脑、手机、平板电脑等具有无线网络接收功能的终端设备。
参见图2,图2为本发明实施例提供的一种内网访问方法的系统交互示意图,如图所示,所述方法包括:
S201,移动无线接入设备向内网防火墙分配设备发送针对目标内网的内网连接请求。
具体的,所述移动无线接入设备可以是在被触发启动后,即向所述内网防火墙分配设备发送内网连接请求,也可以是在接收到用户发送的访问目标内网的功能启动指令后,向所述内网防火墙分配设备发送内网连接请求,还可以是在接收到所连接的用户终端发送的针对目标内网的内网访问请求时,向所述内网防火墙分配设备发送内网连接请求。所述内网连接请求可以携带所述目标内网的内网域名,以使所述内网防火墙分配设备对所述内网域名进行解析后,确定为针对目标内网的内网连接请求。
S202,所述内网防火墙分配设备根据所述内网连接请求从针对所述目标内网部署的多个内网防火墙中,确定所述移动无线接入设备匹配的第一内网防火墙。
具体的,一种实现方式中,所述内网防火墙分配设备根据所述内网连接请求获取所述移动无线接入设备的地理位置,所述内网防火墙分配设备根据所述地理位置和针对所述目标内网部署的各个内网防火墙的部署位置,将针对所述目标内网部署的多个内网防火墙中,与所述移动无线接入设备距离最近的内网防火墙确定为第一内网防火墙。
另一种实现方式中,所述内网防火墙分配设备根据所述内网连接请求获取所述移动无线接入设备的地理位置,并确定所述地理位置所在的针对所述目标内网的目标内网访问子区域,所述内网防火墙分配设备根据预设的内网访问子区域与所述目标内网的内网防火墙的对应关系,将与所述目标内网访问子区域对应的内网防火墙确定为所述第一内网防火墙。所述内网访问子区域可以为预先根据针对所述目标内网部署的各个内网防火墙的部署位置,将针对所述目标内网的全部访问区域划分成的多个分别与各个内网防火墙对应的内网访问子区域。一种情况下,在所述移动无线接入设备处于所述内网访问子区域的情况下,针对所述目标内网部署的多个防火墙中,所述移动无线接入设备与该内网访问子区域对应的内网防火墙的距离最近;另一种情况下,在所述移动无线接入设备处于所述内网访问子区域的情况下,针对所述目标内网部署的多个防火墙中,所述移动无线接入设备与该内网访问子区域对应的内网防火墙之间的网络延迟最小。
上述两种实现方式中,所述内网防火墙分配设备根据所述内网连接请求获取所述移动无线接入设备的地理位置的方法可以为:当所述内网连接请求中携带所述移动无线接入设备的地理位置时,所述内网防火墙分配设备从所述内网连接请求中提取所述地理位置;当所述内网连接请求中携带所述移动无线接入设备的定位信息时,所述内网防火墙从所述内网连接请求中提取所述定位信息,并根据所述定位信息通过定位技术确定所述移动无线接入设备的地理位置。
又一种实现方式中,所述内网防火墙分配设备在接收到所述内网连接请求后,触发所述移动无线接入设备与针对所述目标内网部署的各个内网防火墙之间的网络延迟测试,所述内网防火墙分配设备获取所述移动无线接入设备与针对所述目标内网部署的各个内网防火墙之间的网络延迟,所述内网防火墙分配设备将所述移动无线接入设备与针对所述目标内网部署的各个内网防火墙之间的网络延迟中最小的网络延迟对应的防火墙确定为第一内网防火墙。
S203,所述移动无线接入设备接收所述内网防火墙分配设备发送的所述第一内网防火墙的第一IP地址。
S204,所述移动无线接入设备根据所述第一IP地址,向所述第一内网防火墙发送携带所述移动无线接入设备的接入设备数字证书的防火墙连接请求。
具体的,所述接入设备数字证书中可以至少携带所述接入设备数字证书的发布方信息、所有者信息、有效期信息、接入设备公钥、接入设备证书指纹、指纹算法、数字签名及签名算法。所述移动无线接入设备持有与所述接入设备公钥相对应的接入设备私钥,所述接入设备公钥用于解密通过所述接入设备私钥非对称加密的消息,所述接入设备私钥用于解密通过所述接入设备公钥非对称加密的消息。所述接入设备数字证书中的接入设备证书指纹为所述接入设备数字证书的发布方在发布所述接入设备数字证书时,对所述接入设备数字证书通过所述指纹算法计算得到的。所述接入设备数字证书中的数字签名为所述接入设备数字证书的发布方在发布所述接入设备数字证书时,对所述接入设备证书指纹通过所述签名算法得到的。
S205,所述第一内网防火墙根据所述接入设备数字证书中携带的所述接入设备数字证书的发布方信息,确定所述接入设备数字证书的证书发布方。
这里,所述移动无线接入设备的接入设备数字证书的发布方可以是公认的权威发布机构,也可以是所述目标内网对应的目标企业。所述第一内网防火墙在判断所述证书发布方为预设的可信任发布方中的一个时,执行步骤S206。
S206,所述第一内网防火墙获取所述证书发布方的发布方公钥,并使用所述发布方公钥对所述接入设备数字证书中的数字签名进行解密得到所述接入设备数字证书的证书指纹。
具体的,所述第一内网防火墙获取所述证书发布方的发布方数字证书,并从所述证书发布方的发布方数字证书中获取所述证书发布方的发布方公钥。步骤S206之前,预设的可信任发布方的数字证书被预先设置在所述第一内网防火墙中,步骤S205中确定所述证书发布方为可信任发布方中的一个之后,步骤S206中,所述第一内网防火墙从预设的可信任发布方的数字证书中获取所述证书发布方的发布方数字证书。相应的,所述发布方数字证书中携带所述发布方公钥。
这里,所述第一内网防火墙获取所述证书发布方的发布方公钥后,提取所述接入设备数字证书中的签名算法,所述签名算法为一种加密算法,如RSA加密算法等,所述第一内网防火墙进而通过所述发布方公钥采用所述签名算法对应的解密算法对所述接入设备数字签名进行解密得到所述接入设备数字证书的证书指纹。
S207,所述第一内网防火墙使用指定的哈希算法对所述接入设备数字证书进行哈希计算得到数字证书哈希值。
这里,所述指定的哈希算法为所述接入设备数字证书中包含的指纹算法,所述接入设备数字证书中包含的指纹算法为哈希算法中的一种,例如SHA-1哈希算法、SHA-256哈希算法等。所述接入设备数字证书中的指纹算法通常通过所述证书发布方的发布方私钥加密后,以加密的形式存在,所述接入设备数字证书中携带对所述指纹算法进行加密的加密算法,以使所述第一内网防火墙通过所述发布方公钥采用上述加密算法对应的解密算法进行解密,获取所述指纹算法,进而通过所述指纹算法计算得到所述接入设备数字证书的数字证书哈希值。通过所述发布方私钥加密明文产生的密文,只有通过所述发布方私钥对应的发布方公钥解密上述密文,才能得到所述发布方私钥加密前的明文,否则解密得到的结果不为发布方私钥加密前的明文。
S208,所述第一内网防火墙在确定所述第一内网防火墙进行哈希计算得到的数字证书哈希值与所述接入设备证书指纹一致时建立与所述移动无线接入设备的连接。
这里,哈希算法是一种将任意长度的二进制值映射为较短的固定长度的二进制值的算法,如果哈希的一段明文中任意一个字符、字母或符号发生改变,所产生的哈希值都将会不同。由于哈希算法有上述特性,因此在所述第一内网防火墙确定步骤S206中获取的所述证书发布方在发布所述接入设备数字证书时,采用所述指纹算法得到的并设置在所述接入设备数字证书中的接入设备证书指纹与步骤S207中通过相同的所述指纹算法计算得到的接入设备证书指纹一致时,确定所述接入设备数字证书在从所述移动无线接入设备传输至所述第一内网防火墙的过程未被篡改。
否则,若在传输过程中所述接入设备数字证书若被篡改,而所述接入设备数字证书的数字签名未被篡改,则步骤S207中所述第一内网防火墙采用所述指纹算法对篡改后的接入设备数字证书计算得到的结果,与步骤S206中得到的所述证书发布方在发布所述接入设备数字证书时,设置在所述接入设备数字证书中的接入设备证书指纹将会不一致。或者,若在传输过程中所述接入设备数字证书若在被篡改,且所述接入设备数字证书的数字签名也被篡改,由于篡改方不拥有所述证书发布方的发布方私钥,因此只能采用篡改方私钥对篡改后的接入设备数字证书进通过指纹算法得到的指纹进行加密得到篡改后的接入设备数字证书的数字签名,则在步骤S206中所述第一内网防火墙通过所述发布方公钥而不是所述篡改方私钥对应的篡改方公钥进行解密时,因此将不能得到所述篡改方篡改所述接入设备数字证书后的指纹,步骤S207中计算得到的结果将于步骤S206中解密的结果不一致,即确定所述接入设备数字证书被篡改,所述第一内网防火墙不与所述移动无线接入设备建立连接。
所述第一内网防火墙在确定所述接入设备数字证书未被篡改后,进而对所述接入设备数字证书的持有者、有效期等进行验证。具体的,提取所述接入设备数字证书中的持有者信息和有效期信息,以验证所述接入设备数字证书的持有者是否为预设的可允许连接者的其中一个,以及当前系统时间是否在所述接入设备数字证书的有效期内,若上述验证结果均为是,可选的,所述第一内网防火墙进一步验证所述移动无线接入设备是否确实为所述接入设备数字证书的持有者。
具体的,所述移动无线接入设备接收所述第一内网防火墙发送的身份测试随机消息;所述移动无线接入设备通过所述接入设备私钥将所述身份测试随机消息进行非对称加密得到加密后测试消息;所述移动无线接入设备将所述加密后测试消息发送给所述第一内网防火墙,以使所述第一内网防火墙通过所述接入设备公钥,对接收到的所述加密后测试消息进行解密得到解密后测试消息,所述第一内网防火墙还在确定所述解密后测试消息与所述身份测试随机消息一致后,确认所述移动无线接入设备确实为所述接入设备数字证书的持有者,进而与所述移动无线接入设备建立连接。
其中,所述第一内网防火墙发起三次握手与所述移动无线接入设备建立基于TCP/IP协议的连接,具体步骤可以如下:所述第一内网防火墙向所述移动无线接入设备发送SYN(Synchronize Sequence Numbers,同步序列编号)数据包;所述移动无线接入设备接收到所述SYN数据包后,向所述第一内网防火墙发送SYN+ACK(ACKnowledge Character,确认字符)数据包;所述第一内网防火墙接收到所述SYN+ACK数据包后,向所述移动无线接入设备反馈ACK数据包;所述移动无线接入设备接收到所述第一内网防火墙反馈的ACK数据包后,所述第一内网防火墙与所述移动无线接入设备之间的连接建立完成。
S209,用户终端向所述移动无线接入设备发送针对所述目标内网的内网访问请求。
具体的,步骤S209之前,所述用户终端可以向所述移动无线接入设备发送无线网络连接请求,所述移动无线接入设备可以直接与所述用户终端建立连接,也可以通过所述无线网络连接请求携带的用户终端身份信息进行验证后,建立与所述用户终端的连接。所述用户终端身份信息可以为所述用户终端接收到的用户输入的接入所述移动无线接入设备建立的无线网络的用户名与密码,还可以为用户终端接收到的用户输入的生物特征信息,还可以为所述用户终端的终端设备标识信息。
可以理解的是,所述移动无线接入设备与所述用户终端建立连接后,步骤S209可以在步骤S210之前的任何时间执行。
S210,所述移动无线接入设备将所述内网访问请求发送给所述第一内网防火墙。
具体的,所述内网访问请求为针对目标内网中的服务器的访问请求,例如针对所述目标内网中Web服务器的访问请求、针对所述目标内网中FTP服务器的访问请求、针对所述目标内网中邮件服务器的访问请求等。
可选的,步骤S210之前,所述方法还包括所述第一内网防火墙与所述移动无线接入设备通过所述接入设备公钥和所述接入设备私钥,约定连接建立后与所述移动无线接入设备连接的用户终端访问所述目标内网的消息在所述移动无线接入设备与所述第一内网防火墙之间加密传输的消息传输密钥的步骤:所述移动无线接入设备接收所述第一内网防火墙发送的通过所述接入设备公钥进行非对称加密后的所述消息传输密钥;所述移动无线接入设备通过所述接入设备私钥,对接收到的非对称加密后的所述消息传输密钥进行解密得到解密后的所述消息传输密钥。
这里,所述消息传输密钥可以在步骤S210中被所述移动无线接入设备用于通过对称加密算法对所述内网访问请求进行加密,也可以在步骤S211中被所述第一内网防火墙用于通过所述加密对称算法对应的解密算法对加密后的内网访问请求进行解密后发送给所述内网服务器,也可以在步骤S213中被所述第一内网防火墙用于通过所述对称加密算法对所述内网访问请求响应消息进行加密,还可以在步骤S214中被所述移动无线接入设备通过所述对称加密算法对应的解密算法对加密后的所述内网访问请求消息进行解密后发送给所述用户终端。
S211,所述第一内网防火墙将所述内网访问请求路由至所述目标内网的内网服务器。
具体的,所述第一内网防火墙接收到所述移动无线接入设备发送的内网访问请求之后,通过外网将所述内网访问请求发送给所述目标内网的路由器,所述目标内网的路由器通过所述目标内网将所述内网访问请求路由至所述目标内网中对应的内网服务器。
S212,所述内网服务器向所述第一内网防火墙返回响应所述内网访问请求的内网请求响应消息。
具体的,所述内网服务器响应所述内网访问请求生成内网请求响应消息后,将所述内网请求响应消息通过所述目标内网发送给所述目标内网的路由器,所述目标内网的路由器通过外网将所述内网请求响应消息发送给所述第一内网防火墙。例如,若所述内网访问请求为请求获取目标内网中文件服务器中的某文件,则所述内网请求响应消息可以为文件服务器发送的该文件。
S213,所述第一内网防火墙将所述内网请求响应消息发送给所述移动无线接入设备。
S214,所述移动无线接入设备将所述内网请求响应消息发送给所述用户终端。
可选的,步骤S201中,所述移动无线接入设备发送的所述内网连接请求中携带所述移动无线接入设备的接入设备数字证书,所述内网防火墙分配设备根据所述接入设备数字证书中携带的所述接入设备数字证书的发布方信息,确定所述接入设备数字证书的证书发布方,并获取所述证书发布方的发布方公钥;所述内网防火墙分配设备对所述接入设备数字证书中的数字签名进行解密得到所述接入设备数字证书的接入设备证书指纹,并将所述接入设备数字证书进行哈希计算得到数字证书哈希值;所述内网防火墙分配在确定所述数字证书哈希值与所述接入设备证书指纹一致时,从针对所述目标内网部署的多个内网防火墙中,确定所述移动无线接入设备匹配的第一内网防火墙。所述内网防火墙分配设备根据所述接入设备数字证书对所述移动无线接入设备进行的验证,可参阅步骤S205-步骤S208中所述第一内网防火墙根据所述接入设备数字证书对所述移动无线接入设备进行验证的实现方式,此处不再赘述。
本发明实施例中,移动无线接入设备在向内网防火墙分配设备发送针对目标内网的内网连接请求后,所述内网防火墙分配设备从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第一内网防火墙,移动无线接入设备在接收到内网防火墙分配设备发送的第一内网防火墙的第一IP地址后,向第一内网防火墙发送携带接入设备数字证书的防火墙连接请求,第一内网防火墙在获取接入设备数字证书的证书发布方的发布方公钥后,使用发布方公钥对接入设备数字证书中的数字签名进行解密得到接入设备数字证书的证书指纹,第一内网防火墙使用指定的哈希算法对接入设备数字证书进行哈希计算得到数字证书哈希值后,在确定数字证书哈希值与接入设备证书指纹一致时建立与移动无线接入设备的连接,移动无线接入设备通过与第一内网防火墙的连接为用户终端提供访问内网的服务。第一内网防火墙通过验证接入设备数字证书完成了对移动无线接入设备的身份验证,无需用户输入用户名、密码等身份验证信息,减少目标内网访问前的人工干预,提高了针对目标内网的访问效率。
参见图3,图3为本发明实施例提供的另一种内网访问方法的系统交互示意图,在所述第一内网防火墙接收到所述防火墙连接请求之后,所述移动无线接入设备与所述第一内网防火墙建立连接之前,所述第一内网防火墙可以根据所述接入设备数字证书对所述移动无线接入设备的身份进行验证,验证通过后与所述移动无线接入设备建立连接,具体步骤如下:
S301,所述第一内网防火墙根据所述接入设备数字证书中携带的所述接入设备数字证书的发布方信息,确定所述接入设备数字证书的证书发布方。
S302,所述第一内网防火墙获取所述证书发布方的发布方证书。
S303,所述第一内网防火墙获取所述发布方证书中的发布方公钥。
S304,所述第一内网防火墙使用所述发布方公钥对所述接入设备数字证书中的数字签名进行解密得到所述接入设备数字证书的证书指纹,并使用指定的哈希算法对所述接入设备数字证书进行哈希计算得到数字证书哈希值。
S305,所述第一内网防火墙在确定所述第一内网防火墙进行哈希计算得到的数字证书哈希值与所述接入设备证书指纹一致时,确定所述接入设备数字证书未被篡改。
S306,所述第一内网防火墙确定所述接入设备数字证书未被篡改后,根据所述接入设备数字证书携带的持有者信息及有效期信息,对所述接入设备数字证书的持有者和有效性进行验证。
S307,所述第一内网防火墙对所述接入设备数字证书的持有者和有效性验证通过后,向所述移动无线接入设备发送身份测试随机消息。
S308,所述移动无线接入设备通过所述接入设备私钥对所述身份测试随机消息进行非对称加密后得到的加密后测试消息。
S309,所述移动无线接入设备,将所述加密后测试消息发送给所述第一内网防火墙。
S310,所述第一内网防火墙通过所述接入设备公钥,对接收到的所述移动无线接入设备发送的加密后测试消息进行解密得到解密后测试消息。
S311,所述第一内网防火墙在确定所述解密后测试消息与所述身份测试随机消息一致时,建立与所述移动无线接入设备的连接。
本发明实施例中,第一内网防火墙通过验证所述移动无线接入设备发送的接入设备数字证书在传输过程中未被篡改后,判断所述接入设备数字证书的持有者是否为允许访问者以及当前时间是否在接入设备数字证书的有限期内,若判断结果均为是的情况下,向移动无线接入设备发送身份测试随机消息,在对接收到所述移动无线接入设备发送的加密后测试消息进行解密得到解密后测试消息,与所述身份测试随机消息一致时,确定所述移动无线接入设备为所述接入设备数字证书的持有者,进而与所述移动无线接入设备建立连接。第一内网防火墙根据所述接入设备数字证书对所述移动无线接入设备进行的身份验证,防止无权限的移动无线接入设备连接所述目标内网,有效地保证了目标内网中资源的安全性。
参见图4,图4为本发明实施例提供的一种移动无线接入设备的结构示意图,如图所示,所述移动无线接入设备40可以至少包括请求发送单元401、地址接收单元402、防火墙连接单元403和消息传输单元404,其中:
请求发送单元401,用于向内网防火墙分配设备发送针对目标内网的内网连接请求,以使所述内网防火墙分配设备根据所述内网连接请求从针对所述目标内网部署的多个内网防火墙中,确定所述移动无线接入设备匹配的第一内网防火墙。
地址接收单元402,用于接收所述内网防火墙分配设备发送的所述第一内网防火墙的第一IP地址。
防火墙连接单元403,用于根据所述第一IP地址,向所述第一内网防火墙发送携带所述移动无线接入设备的接入设备数字证书的防火墙连接请求,以使所述第一内网防火墙根据所述接入设备数字证书中携带的所述接入设备数字证书的发布方信息,确定所述接入设备数字证书的证书发布方,所述第一内网防火墙获取所述证书发布方的发布方公钥,并使用所述发布方公钥对所述接入设备数字证书中的数字签名进行解密得到所述接入设备数字证书的证书指纹,所述第一内网防火墙使用指定的哈希算法对所述接入设备数字证书进行哈希计算得到数字证书哈希值,所述第一内网防火墙在确定所述第一内网防火墙进行哈希计算得到的数字证书哈希值与所述接入设备证书指纹一致时建立与所述防火墙连接单元403的连接。
消息传输单元404,用于在接收到用户终端发送的针对所述目标内网的内网访问请求后,将所述内网访问请求发送给所述第一内网防火墙,以使所述第一内网防火墙将所述内网访问请求路由至所述目标内网的内网服务器。
所述消息传输单元404,还用于在接收到所述第一内网防火墙发送的所述内网服务器响应所述内网访问请求返回的内网请求响应消息后,将所述内网请求响应消息发送至所述用户终端。
具体实现中,所述移动无线接入设备可以通过其内置的各个功能模块执行如图2-图3的内网访问方法中所述移动无线接入设备执行的各个步骤,具体实施细节可参阅图2-图3对应的实施例中各个步骤的实现细节,此处不再赘述。
本发明实施例中,请求发送单元在向内网防火墙分配设备发送针对目标内网的内网连接请求后,所述内网防火墙分配设备从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第一内网防火墙,地址接收单元在接收到内网防火墙分配设备发送的第一内网防火墙的第一IP地址后,向第一内网防火墙发送携带接入设备数字证书的防火墙连接请求,第一内网防火墙在获取接入设备数字证书的证书发布方的发布方公钥后,使用发布方公钥对接入设备数字证书中的数字签名进行解密得到接入设备数字证书的证书指纹,第一内网防火墙使用指定的哈希算法对接入设备数字证书进行哈希计算得到数字证书哈希值后,在确定数字证书哈希值与接入设备证书指纹一致时建立与防火墙连接单元的连接,进而通过消息传输单元为用户终端提供访问内网的服务。第一内网防火墙通过验证接入设备数字证书完成了对移动无线接入设备的身份验证,无需用户输入用户名、密码等身份验证信息,减少目标内网访问前的人工干预,提高了针对目标内网的访问效率。
参见图5,图5为本发明实施例提供的另一种移动无线接入设备的结构示意图,如图所示,所述移动无线接入设备50包括处理器501、存储器502以及通信接口503。处理器501连接到存储器502和通信接口503,例如处理器501可以通过总线连接到存储器502和通信接口503。
处理器501被配置为支持移动无线接入设备执行图2-图3所述的内网访问方法中移动无线接入设备相应的功能。该处理器501可以是中央处理器(Central ProcessingUnit,CPU),网络处理器(Network Processor,NP),硬件芯片或者其任意组合。上述硬件芯片可以是专用集成电路(Application-Specific Integrated Circuit,ASIC),可编程逻辑器件(Programmable Logic Device,PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(Complex Programmable Logic Device,CPLD),现场可编程逻辑门阵列(Field-Programmable Gate Array,FPGA),通用阵列逻辑(Generic Array Logic,GAL)或其任意组合。
存储器502用于存储程序代码等。存储器502包括内部存储器,内部存储器可以包括以下至少一项:易失性存储器(例如动态随机存取存储器(DRAM)、静态RAM(SRAM)、同步动态RAM(SDRAM)等)和非易失性存储器(例如一次性可编程只读存储器(OTPROM)、可编程ROM(PROM)、可擦除可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)。存储器502还可以包括外部存储器,外部存储器可以包括以下至少一项:硬盘(Hard Disk Drive,HDD)或固态硬盘(Solid-State Drive,SSD)、闪驱,例如高密度闪存(CF)、安全数字(SD)、微型SD、迷你型SD、极限数字(xD)、存储棒等。
所述通信接口503用于接收或发送数据。
处理器501可以调用所述程序代码以执行以下操作:
向内网防火墙分配设备发送针对目标内网的内网连接请求,以使所述内网防火墙分配设备根据所述内网连接请求从针对所述目标内网部署的多个内网防火墙中,确定所述移动无线接入设备匹配的第一内网防火墙;
接收所述内网防火墙分配设备发送的所述第一内网防火墙的第一IP地址;
根据所述第一IP地址,向所述第一内网防火墙发送携带所述移动无线接入设备的接入设备数字证书的防火墙连接请求,以使所述第一内网防火墙根据所述接入设备数字证书中携带的所述接入设备数字证书的发布方信息,确定所述接入设备数字证书的证书发布方,所述第一内网防火墙获取所述证书发布方的发布方公钥,并使用所述发布方公钥对所述接入设备数字证书中的数字签名进行解密得到所述接入设备数字证书的证书指纹,所述第一内网防火墙使用指定的哈希算法对所述接入设备数字证书进行哈希计算得到数字证书哈希值,所述第一内网防火墙在确定所述第一内网防火墙进行哈希计算得到的数字证书哈希值与所述接入设备证书指纹一致时建立与所述移动无线接入设备的连接;
在接收到用户终端发送的针对所述目标内网的内网访问请求后,将所述内网访问请求发送给所述第一内网防火墙,以使所述第一内网防火墙将所述内网访问请求路由至所述目标内网的内网服务器;
在接收到所述第一内网防火墙发送的所述内网服务器响应所述内网访问请求返回的内网请求响应消息后,将所述内网请求响应消息发送至所述用户终端。
需要说明的是,各个操作的实现还可以对应参照图2-图3所示的方法实施例的相应描述;所述处理器501还可以用于执行上述方法实施例中的其他操作。
本发明实施例还提供一种计算机存储介质,所述计算机存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被计算机执行时使所述计算机执行如前述实施例所述的方法,所述计算机可以为上述提到的移动无线接入设备或第一内网防火墙的一部分。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。

Claims (10)

1.一种内网访问方法,其特征在于,包括:
移动无线接入设备向内网防火墙分配设备发送针对目标内网的内网连接请求,以使所述内网防火墙分配设备根据所述内网连接请求从针对所述目标内网部署的多个内网防火墙中,确定所述移动无线接入设备匹配的第一内网防火墙;
所述移动无线接入设备接收所述内网防火墙分配设备发送的所述第一内网防火墙的第一IP地址;
所述移动无线接入设备根据所述第一IP地址,向所述第一内网防火墙发送携带所述移动无线接入设备的接入设备数字证书的防火墙连接请求,以使所述第一内网防火墙根据所述接入设备数字证书中携带的所述接入设备数字证书的发布方信息,确定所述接入设备数字证书的证书发布方,所述第一内网防火墙获取所述证书发布方的发布方公钥,并使用所述发布方公钥对所述接入设备数字证书中的数字签名进行解密得到所述接入设备数字证书的证书指纹,所述第一内网防火墙使用指定的哈希算法对所述接入设备数字证书进行哈希计算得到数字证书哈希值,所述第一内网防火墙在确定所述第一内网防火墙进行哈希计算得到的数字证书哈希值与接入设备证书指纹一致时建立与所述移动无线接入设备的连接;
所述移动无线接入设备在接收到用户终端发送的针对所述目标内网的内网访问请求后,将所述内网访问请求发送给所述第一内网防火墙,以使所述第一内网防火墙将所述内网访问请求路由至所述目标内网的内网服务器;
所述移动无线接入设备在接收到所述第一内网防火墙发送的所述内网服务器响应所述内网访问请求返回的内网请求响应消息后,将所述内网请求响应消息发送至所述用户终端。
2.如权利要求1所述的方法,其特征在于,所述接入设备数字证书携带与所述移动无线接入设备持有的接入设备私钥相匹配的接入设备公钥,所述接入设备公钥用于解密通过所述接入设备私钥非对称加密的消息,所述接入设备私钥用于解密通过所述接入设备公钥非对称加密的消息;
所述方法还包括:
所述移动无线接入设备接收所述第一内网防火墙发送的身份测试随机消息;
所述移动无线接入设备通过所述接入设备私钥将所述身份测试随机消息进行非对称加密得到加密后测试消息;
所述移动无线接入设备将所述加密后测试消息发送给所述第一内网防火墙,以使所述第一内网防火墙通过所述接入设备公钥,对接收到的所述加密后测试消息进行解密得到解密后测试消息,所述第一内网防火墙还在确定所述解密后测试消息与所述身份测试随机消息一致后,建立与所述移动无线接入设备的连接。
3.如权利要求2所述的方法,其特征在于,
所述接入设备公钥还被所述第一内网防火墙用于对消息传输密钥进行非对称加密后发送给所述移动无线接入设备,所述消息传输密钥为在所述第一内网防火墙与所述移动无线接入设备的连接建立后,对所述第一内网防火墙与所述移动无线接入设备之间传输的消息进行对称加密的密钥;
所述方法还包括:
所述移动无线接入设备接收所述第一内网防火墙发送的通过所述接入设备公钥进行非对称加密后的所述消息传输密钥;
所述移动无线接入设备通过所述接入设备私钥,对接收到的非对称加密后的所述消息传输密钥进行解密得到解密后的所述消息传输密钥;
所述移动无线接入设备将所述内网访问请求发送给所述第一内网防火墙,以使所述第一内网防火墙将所述内网访问请求路由至所述目标内网的内网服务器包括:
所述移动无线接入设备通过所述消息传输密钥对所述内网访问请求进行对称加密后,将对称加密后的内网访问请求发送给所述第一内网防火墙,以使所述第一内网防火墙通过所述消息传输密钥对接收到的对称加密后的内网访问请求进行解密后,发送给所述内网服务器;
所述移动无线接入设备将所述内网请求响应消息发送至所述用户终端包括:
所述移动无线接入设备通过所述消息传输密钥,对接收到的对称加密后的所述内网请求响应消息进行解密,所述移动无线接入设备接收到的所述内网请求响应消息为所述第一内网防火墙通过所述消息传输密钥进行对称加密后发送的;
所述移动无线接入设备将解密后的所述内网请求响应消息发送给所述用户终端。
4.如权利要求1所述的方法,其特征在于,所述移动无线接入设备向内网防火墙分配设备发送针对目标内网的内网连接请求,以使所述内网防火墙分配设备根据所述内网连接请求从针对所述目标内网部署的多个内网防火墙中,确定所述移动无线接入设备匹配的第一内网防火墙包括:
所述移动无线接入设备向所述内网防火墙分配设备发送携带所述接入设备数字证书的针对所述目标内网的内网连接请求,以使所述内网防火墙分配设备根据所述接入设备数字证书中携带的所述接入设备数字证书的发布方信息,确定所述接入设备数字证书的证书发布方,所述内网防火墙分配在获取所述证书发布方的发布方公钥,对所述接入设备数字证书中的数字签名进行解密得到所述接入设备数字证书的接入设备证书指纹,所述内网防火墙分配设备将所述接入设备数字证书进行哈希计算得到数字证书哈希值,所述内网防火墙分配在确定所述内网防火墙分配设备哈希计算得到的数字证书哈希值与所述接入设备证书指纹一致时,从针对所述目标内网部署的多个内网防火墙中,确定所述移动无线接入设备匹配的第一内网防火墙。
5.一种内网访问方法,其特征在于,包括:
第一内网防火墙接收移动无线接入设备发送的携带所述移动无线接入设备的接入设备数字证书的防火墙连接请求,所述第一内网防火墙为所述移动无线接入设备向内网防火墙分配设备发送针对目标内网的内网连接请求后,所述内网防火墙分配设备根据所述内网连接请求从针对所述目标内网部署的多个内网防火墙中,确定的所述移动无线接入设备匹配的防火墙,所述接入设备数字证书中包含所述接入设备数字证书的数字签名和所述接入设备数字证书的证书发布方的发布方信息,所述接入设备数字证书的数字签名为所述证书发布方在发布所述接入设备数字证书时,将所述接入设备数字证书进行哈希计算后,通过所述证书发布方的发布方私钥非对称加密后得到的;
所述第一内网防火墙根据所述接入设备数字证书中携带的发布方信息,获取所述证书发布方的发布方数字证书;
所述第一内网防火墙通过所述发布方数字证书中包含的发布方公钥,对所述接入设备数字证书中的数字签名进行解密得到所述接入设备数字证书的接入设备证书指纹;
所述第一内网防火墙在确定将所述接入设备数字证书进行哈希计算得到的数字证书哈希值,与所述接入设备证书指纹一致时,建立与所述移动无线接入设备的连接。
6.如权利要求5所述的方法,其特征在于,所述接入设备数字证书携带与所述移动无线接入设备持有的接入设备私钥相匹配的接入设备公钥,所述接入设备公钥用于解密通过所述接入设备私钥非对称加密的消息,所述接入设备私钥用于解密通过所述接入设备公钥非对称加密的消息;
所述第一内网防火墙建立与所述移动无线接入设备的连接之前,还包括:
所述第一内网防火墙向所述移动无线接入设备发送身份测试随机消息,以使所述移动无线接入设备通过所述接入设备私钥对所述身份测试随机消息进行非对称加密后得到的加密后测试消息,所述移动无线接入设备还将所述加密后测试消息发送给所述第一内网防火墙;
所述第一内网防火墙通过所述接入设备公钥,对接收到的所述移动无线接入设备发送的加密后测试消息进行解密得到解密后测试消息;
所述第一内网防火墙在确定所述解密后测试消息与所述身份测试随机消息一致时,执行建立与所述移动无线接入设备的连接。
7.如权利要求5所述的方法,其特征在于,
所述第一内网防火墙建立与所述移动无线接入设备的连接包括:
所述第一内网防火墙通过所述接入设备公钥将消息传输密钥进行非对称加密后,发送给所述移动无线接入设备,以使所述移动无线接入设备通过所述接入设备私钥对非对称加密后的所述消息传输密钥进行解密后得到所述消息传输密钥,所述消息传输密钥为在所述第一内网防火墙与所述移动无线接入设备的连接建立后,对所述第一内网防火墙与所述移动无线接入设备之间传输的消息进行对称加密的密钥;
所述消息传输密钥被所述移动无线接入设备用于对接收到的用户终端发送的针对所述目标内网的内网访问请求,在发送给所述第一内网防火墙之前进行对称加密,以使所述第一内网防火墙通过所述消息传输密钥对接收到的对称加密后的内网访问请求进行解密后,发送给所述目标内网的内网服务器;
所述消息传输密钥还被所述移动无线接入设备用于对接收到的所述第一内网防火墙发送的对称加密后的内网请求响应消息,在发送给所述用户终端之前进行解密,所述第一内网防火墙发送的内网请求响应消息为所述第一内网防火墙在接收到所述内网服务器响应所述内网访问请求返回的内网请求响应消息后,通过所述消息传输密钥进行非对称加密后发送的。
8.一种移动无线接入设备,其特征在于,包括:
请求发送单元,用于向内网防火墙分配设备发送针对目标内网的内网连接请求,以使所述内网防火墙分配设备根据所述内网连接请求从针对所述目标内网部署的多个内网防火墙中,确定所述移动无线接入设备匹配的第一内网防火墙;
地址接收单元,用于接收所述内网防火墙分配设备发送的所述第一内网防火墙的第一IP地址;
防火墙连接单元,用于根据所述第一IP地址,向所述第一内网防火墙发送携带所述移动无线接入设备的接入设备数字证书的防火墙连接请求,以使所述第一内网防火墙根据所述接入设备数字证书中携带的所述接入设备数字证书的发布方信息,确定所述接入设备数字证书的证书发布方,所述第一内网防火墙获取所述证书发布方的发布方公钥,并使用所述发布方公钥对所述接入设备数字证书中的数字签名进行解密得到所述接入设备数字证书的证书指纹,所述第一内网防火墙使用指定的哈希算法对所述接入设备数字证书进行哈希计算得到数字证书哈希值,所述第一内网防火墙在确定所述第一内网防火墙进行哈希计算得到的数字证书哈希值与所述接入设备证书指纹一致时建立与所述移动无线接入设备的连接;
消息传输单元,用于在接收到用户终端发送的针对所述目标内网的内网访问请求后,将所述内网访问请求发送给所述第一内网防火墙,以使所述第一内网防火墙将所述内网访问请求路由至所述目标内网的内网服务器;
所述消息传输单元,还用于在接收到所述第一内网防火墙发送的所述内网服务器响应所述内网访问请求返回的内网请求响应消息后,将所述内网请求响应消息发送至所述用户终端。
9.一种移动无线接入设备,其特征在于,包括处理器、存储器以及通信接口,所述处理器、存储器和通信接口相互连接,其中,所述通信接口用于接收和发送数据,所述存储器用于存储程序代码,所述处理器用于调用所述程序代码,执行如权利要求1-4任一项所述的方法。
10.一种计算机存储介质,其特征在于,所述计算机存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被处理器执行时使所述处理器执行如权利要求1-7任一项所述的方法。
CN201910503912.3A 2019-06-10 2019-06-10 一种内网访问方法及相关装置 Active CN110311785B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910503912.3A CN110311785B (zh) 2019-06-10 2019-06-10 一种内网访问方法及相关装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910503912.3A CN110311785B (zh) 2019-06-10 2019-06-10 一种内网访问方法及相关装置

Publications (2)

Publication Number Publication Date
CN110311785A CN110311785A (zh) 2019-10-08
CN110311785B true CN110311785B (zh) 2022-06-07

Family

ID=68077150

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910503912.3A Active CN110311785B (zh) 2019-06-10 2019-06-10 一种内网访问方法及相关装置

Country Status (1)

Country Link
CN (1) CN110311785B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114938297A (zh) * 2022-05-13 2022-08-23 杭州安恒信息技术股份有限公司 恶意信息处理方法、系统、电子装置和存储介质
CN115022066B (zh) * 2022-06-16 2024-05-10 浙江中烟工业有限责任公司 基于防火墙的关键数据保护方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7188365B2 (en) * 2002-04-04 2007-03-06 At&T Corp. Method and system for securely scanning network traffic
US7669229B2 (en) * 2002-11-13 2010-02-23 Intel Corporation Network protecting authentication proxy
CN100576793C (zh) * 2004-05-18 2009-12-30 江苏省电力公司 借助安全认证网关的企业网安全接入方法
US20080276309A1 (en) * 2006-07-06 2008-11-06 Edelman Lance F System and Method for Securing Software Applications

Also Published As

Publication number Publication date
CN110311785A (zh) 2019-10-08

Similar Documents

Publication Publication Date Title
US11870769B2 (en) System and method for identifying a browser instance in a browser session with a server
US10554420B2 (en) Wireless connections to a wireless access point
US8327143B2 (en) Techniques to provide access point authentication for wireless network
KR101904177B1 (ko) 데이터 처리 방법 및 장치
US8532620B2 (en) Trusted mobile device based security
WO2019218919A1 (zh) 区块链场景下的私钥管理方法、装置及系统
US20170118029A1 (en) Method and a system for verifying the authenticity of a certificate in a web browser using the ssl/tls protocol in an encrypted internet connection to an https website
CN112559993B (zh) 身份认证方法、装置、系统及电子设备
EP3633949A1 (en) Method and system for performing ssl handshake
US10516653B2 (en) Public key pinning for private networks
CN112688773A (zh) 一种令牌的生成和校验方法及装置
EP3643031A1 (en) Systems and methods for data encryption for cloud services
JP2015194879A (ja) 認証システム、方法、及び提供装置
CN110266674B (zh) 一种内网访问方法及相关装置
CN110311785B (zh) 一种内网访问方法及相关装置
CN116633582A (zh) 安全通信方法、装置、电子设备及存储介质
WO2020248368A1 (zh) 一种内网访问方法、系统及相关装置
CN108900595B (zh) 访问云存储服务器数据的方法、装置、设备及计算介质
CN110336793B (zh) 一种内网访问方法及相关装置
CN110324826B (zh) 一种内网访问方法及相关装置
US12120104B2 (en) Decentralized edge node authentication
US11792649B2 (en) Radio base station apparatus, non-transitory computer readable medium storing radio base station program, and radio communication system
US11171988B2 (en) Secure communication system and method for transmission of messages
CN114257437A (zh) 远程访问方法、装置、计算设备及存储介质
CN116366274A (zh) 处理访问控制的装置、方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant