CN110719265B - 一种实现网络安全通信的方法、装置及设备 - Google Patents

一种实现网络安全通信的方法、装置及设备 Download PDF

Info

Publication number
CN110719265B
CN110719265B CN201910897595.8A CN201910897595A CN110719265B CN 110719265 B CN110719265 B CN 110719265B CN 201910897595 A CN201910897595 A CN 201910897595A CN 110719265 B CN110719265 B CN 110719265B
Authority
CN
China
Prior art keywords
service access
service
request
party
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910897595.8A
Other languages
English (en)
Other versions
CN110719265A (zh
Inventor
赖俊凡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN201910897595.8A priority Critical patent/CN110719265B/zh
Publication of CN110719265A publication Critical patent/CN110719265A/zh
Application granted granted Critical
Publication of CN110719265B publication Critical patent/CN110719265B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Telephonic Communication Services (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请涉及一种实现网络安全通信的方法、装置及设备,所述方法包括:接收业务访问请求,所述业务访问请求包括:业务访问方的标识、业务访问方的网络信息、业务访问信息和会话信息;基于所述业务访问方的网络信息,对所述业务访问请求进行第一次鉴权;当第一次鉴权成功时,基于所述业务访问方的标识,确定与业务访问方对应的业务访问方加密算法;基于所述业务访问方加密算法、所述业务访问信息以及所述会话信息,对所述业务访问请求进行第二次鉴权;当第二次鉴权成功时,基于所述业务访问请求获取相应的业务数据,向所述业务访问方返回所述业务数据。本申请能够提高系统以及后台数据的安全性,降低了业务系统被攻击的风险。

Description

一种实现网络安全通信的方法、装置及设备
技术领域
本申请涉及通信技术领域,尤其涉及一种实现网络安全通信的方法、装置及设备。
背景技术
网络通信安全是保障信息在传输形式中实现的可用性、完整性、可靠性以及具有较大的保密性。当今社会已经步入了信息化时代,先进的互联网技术是当今社会的引领者,发达的通信技术也成为当今社会的重要沟通渠道,通信技术的影响表现在社会的方方面面,然而,先进的通信技术在方便生活和生产的同时也带来了一系列的安全问题。
例如,各种软件在很大程度上便利了人们的生活,特别是在智能手机与计算机高度普及的今天,通信系统使用的软件极具公开化,并且软件都不可避免、或多或少地存在安全漏洞,这就直接加剧了通信的不安全性。为此,需要一种实现网络安全通信的方法,来提高网络通信的安全性和可靠性。
发明内容
本申请所要解决的技术问题在于,提供一种实现网络安全通信的方法、装置及设备,通过对访问请求的两次鉴权,能够提高系统以及后台数据的安全性,降低了业务系统被攻击的风险。
为了解决上述技术问题,一方面,本申请提供了一种实现网络安全通信的方法,所述方法包括:
接收业务访问请求,所述业务访问请求包括:业务访问方的标识、业务访问方的网络信息、业务访问信息和会话信息;
基于所述业务访问方的网络信息,对所述业务访问请求进行第一次鉴权;
当第一次鉴权成功时,基于所述业务访问方的标识,确定与业务访问方对应的业务访问方加密算法;
基于所述业务访问方加密算法、所述业务访问信息以及所述会话信息,对所述业务访问请求进行第二次鉴权;
当第二次鉴权成功时,基于所述业务访问请求获取相应的业务数据,向所述业务访问方返回所述业务数据。
另一方面,本申请提供了一种实现网络安全通信的装置,所述装置包括:
业务访问请求接收模块,用于接收业务访问请求,所述业务访问请求包括:业务访问方的标识、业务访问方的网络信息、业务访问信息和会话信息;
第一鉴权模块,用于基于所述业务访问方的网络信息,对所述业务访问请求进行第一次鉴权;
加密算法确定模块,用于当第一次鉴权成功时,基于所述业务访问方的标识,确定与业务访问方对应的业务访问方加密算法;
第二鉴权模块,用于基于所述业务访问方加密算法、所述业务访问信息以及所述会话信息,对所述业务访问请求进行第二次鉴权;
业务数据返回模块,用于当第二次鉴权成功时,基于所述业务访问请求获取相应的业务数据,向所述业务访问方返回所述业务数据。
另一方面,本申请提供了一种设备,所述设备包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如上述的实现网络安全通信的方法。
另一方面,本申请提供了一种计算机存储介质,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、至少一段程序、代码集或指令集由处理器加载并执行如上述的实现网络安全通信的方法。
实施本申请实施例,具有如下有益效果:
本申请基于业务访问请求中的业务访问方的网络信息,对所述业务访问请求进行第一次鉴权;当第一次鉴权成功时,基于业务访问请求中的业务访问方的标识,确定与业务访问方对应的业务访问方加密算法;基于业务访问方加密算法以及业务访问请求中的业务访问信息和所述会话信息,岁所述业务访问请求进行第二次鉴权;当第二次鉴权成功时,基于所述业务访问请求获取相应的业务数据,向所述业务访问方返回所述业务数据。本申请通过对业务访问请求进行两次鉴权,第一次鉴权是对访问方的网络来源进行鉴权,第二次鉴权是对业务访问请求的内容进行鉴权,当两次鉴权成功时,才会向访问方返回业务数据,从而提高了整个系统的安全性和高效性,降低了业务系统被攻击的风险。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案和优点,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它附图。
图1是本申请实施例提供的应用场景示意图;
图2是本申请实施例提供的一种实现网络安全通信的方法流程图;
图3是本申请实施例提供的第一次鉴权方法流程图;
图4是本申请实施例提供的第二次鉴权方法流程图;
图5是本申请实施例提供的一种业务访问请求处理方法流程图;
图6是本申请实施例提供的一种业务数据的获取方法流程图;
图7是本申请实施例提供的一种访问请求接入方法流程图;
图8是本申请实施例提供的一种访问请求转换方法流程图;
图9是本申请实施例提供的一种安全网络通信系统示意图;
图10是本申请实施例提供的安全通信系统的请求流程示意图;
图11是本申请实施例提供的一种实现网络安全通信的装置示意图;
图12是本申请实施例提供的第一鉴权模块示意图;
图13是本申请实施例提供的第二鉴权模块示意图;
图14是本申请实施例提供的业务数据返回模块示意图;
图15是本申请实施例提供的用户信息解密模块示意图;
图16是本申请实施例提供的访问请求接入模块示意图;
图17是本申请实施例提供的格式转换模块示意图;
图18是本申请实施例提供的一种设备结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作进一步地详细描述。显然,所描述的实施例仅仅是本申请的一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或服务器不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
请参见图1,其示出本申请实施例提供的应用场景示意图,该应用场景包括:至少一个业务访问请求发送端110和业务访问请求处理端120,所述业务访问请求发送端110和所述业务访问请求处理端120可通过网络进行数据通信。具体地,所述业务访问请求处理端120在接收到业务访问请求发送端110发送的业务访问请求时,对所述业务访问请求的网络信息进行第一次鉴权;当第一次鉴权成功时,对所述业务访问请求的具体请求内容进行鉴权;当第二次鉴权成功时,向访问方返回相应的业务数据。
所述业务访问请求发送端110可以基于浏览器/服务器模式(Browser/Server,B/S)或客户端/服务器模式(Client/Server,C/S)与业务访问请求处理端120进行通信。所述业务访问请求发送端110可以包括:智能手机、平板电脑、笔记本电脑、数字助理、智能可穿戴设备、车载终端、服务器等类型的实体设备,也可以包括运行于实体设备中的软体,例如应用程序等。本申请实施例中的业务访问请求发送端110上运行的操作系统可以包括但不限于安卓系统、IOS系统、linux、windows等。
所述业务访问请求处理端120与业务访问请求发送端110可以通过有线或者无线建立通信连接,所述业务访问请求处理端120可以包括一个独立运行的服务器,或者分布式服务器,或者由多个服务器组成的服务器集群,其中服务器可以是云端服务器。
为了提高网络通信的安全性和可靠性,本申请实施例提供了一种实现网络安全通信的方法,具体请参见图2,可以图中所述的业务访问请求处理端为执行主体,所述方法包括:
S210.接收业务访问请求,所述业务访问请求包括:业务访问方的标识、业务访问方的网络信息、业务访问信息和会话信息。
本实施例中的业务访问方的标识是用来唯一标识每个业务访问方的,可以由数字、字母、文字中的一种或者几种组合而成;业务访问方的网络信息可以是指业务访问方的网络协议地址(IP地址)或者是网关等相关的网络来源信息;业务访问信息时指本次访问所携带的一系列参数;所述会话信息是由业务访问请求发送端采用预设的加密算法对所述业务访问方的标识以及业务访问信息进行加密之后得到的,该会话信息在后续进行鉴权的过程中作为比对验证信息。
S220.基于所述业务访问方的网络信息,对所述业务访问请求进行第一次鉴权。
这里的第一次鉴权主要是过滤一些非法来源的业务访问请求,只保留合法来源的业务访问请求,具体地第一次鉴权的过程可参见图3,所述方法包括:
S310.获取预设的合法名单列表,其中所述合法名单列表中包括至少一项网络协议地址或网关。
S320.在所述合法名单列表中查找所述业务访问方的网络协议地址或所述业务访问方的网关。
S330.判断在所述合法名单列表中是否查找到所述业务访问方的网络协议地址或所述业务访问方的网关。
S340.当在所述合法名单列表中查找到所述业务访问方的网络协议地址或所述业务访问方的网关时,判定对所述业务访问请求的第一次鉴权成功。
S350.当在所述合法名单列表中没有查找到所述业务访问方的网络协议地址以及所述业务访问方的网关时,判定对所述业务访问请求的第一次鉴权失败。
本申请实施例中的第一次鉴权主要是通过设置访问白名单实现的,白名单中可以指定网络协议地址或者网关中的一项信息,具体地,白名单的设置方法如下:
1.白名单信息为指定网络协议地址
iptables-I INPUT 3-s 111.112.139.173-p udp--dport 44100-j ACCEPT
指定接收来自IP为111.112.139.173,目的端口为44100的请求,其他来源的请求将会被丢弃。
2.白名单信息为指定网关
route add–net 131.87.111.201netmask 255.255.255.255gw 9.21.128.1 deveth1
指定本机具体的网关为9.21.128.1,只接收来自该网关的请求,其它网关的请求将会被丢弃。
S230.当第一次鉴权成功时,基于所述业务访问方的标识,确定与业务访问方对应的业务访问方加密算法。
业务访问请求处理端存储有各业务访问方的加密算法和解密算法,各业务访问方的加解密算法可以相同,也可以不同。业务访问请求处理端在获知了业务访问方的标识之后,可从存储的加解密算法中确定出当前业务访问方的加密算法,具体地,这里的加解密算法可以包括对称加密算法和非对称加密算法。本实施例中,以对称加密算法为例进行说明,对称加密算法是指加密和解密使用同一个密钥的加密方式,其优点是加密计算量小,速度快,适用对大量数据和实时性要求较高的进行加密的场景;本实施例中具体采用的是AES加密算法(Advanced Encryption Standard,高级加密标准),是对称加密算法中比较常见的加密算法之一。
S240.基于所述业务访问方加密算法、所述业务访问信息以及所述会话信息,对所述业务访问请求进行第二次鉴权。
本实施例中的业务访问信息具体可以包括:业务访问请求时间戳和访问随机数,这两个参数均是在业务访问请求发送端在发送业务访问请求时所产生的,标识了本次请求的相关信息,具体地,第二次鉴权的具体过程可参见图4,所述方法包括:
S410.确定与所述业务访问方加密算法对应的加密密钥。
S420.基于所述业务访问方的标识、所述业务访问请求时间戳以及所述访问随机数,构建明文信息。
S430.采用所述业务访问方加密算法以及所述加密密钥,对所述明文信息进行加密,得到访问信息加密结果。
S440.将所述访问信息加密结果与所述会话信息进行比对。
S450.判断所述访问信息加密结果与所述会话信息比对结果是否一致。
S460.当所述访问信息加密结果与所述会话信息比对结果一致时,判定对所述业务访问请求的第二次鉴权成功。
S470.当所述访问信息加密结果与所述会话信息比对结果不一致时,判定对所述业务访问请求的第二次鉴权失败。
第二次鉴权主要是基于请求中的相关字段内容信息进行鉴权,以一具体示例来说明二次鉴权的具体实施过程:
1.业务访问请求中包括:业务访问请求时间戳time=1544755323,访问随机数rand=100000,业务访问方的标识appid=101,会话信息sessid=6dcf23f4ef18073f1154a7d。
2.根据访问方的标识appid取出由系统分配的AES算法加密的key和iv,其中key和iv分别是加密秘钥和初始向量,在加解密过程中都会用到。这都是在业务接入时由系统分配,同时保存在业务访问请求发送端和业务访问请求处理端。
假如对应的iv="wwxibsoxZ!Hcurrr",key="zKmnzBvP%FRJssss",那么第二次鉴权的验证过程为:
string raw=appid+time+rand;
string sessidTest=encrypt(raw);
判断sessidTest是否与业务访问请求中的sessid相同,如果相同,则认为业务访问请求为合法请求,如果不同,则业务访问请求是非法请求。
其中涉及的encrypt函数,使用CryptoPP::AES库,详细加密过程如下:
Figure BDA0002210785980000081
Figure BDA0002210785980000091
S250.当第二次鉴权成功时,基于所述业务访问请求获取相应的业务数据,向所述业务访问方返回所述业务数据。
在第二次鉴权成功之后,可以基于业务访问请求获取相应的业务数据,本实施例中的所述业务访问请求还包括业务访问类型,相应地,请参见图5,其示出了一种业务访问请求处理方法,所述方法包括:
S510.基于所述业务访问方的标识,生成访问服务类型列表;其中所述访问服务类型列表中包括所述业务访问方有权访问的业务类型。
根据业务访问方的标识,确定当前业务访问方可以访问的服务有哪些,比如对于业务访问方的标识appid=101的业务访问方,可以访问的服务包括:RiskService欺诈服务,LostRepair失联修复服务,Longloan多头服务。
S520.在所述访问服务类型列表中查找所述业务访问类型。
所述业务访问请求中包括的业务访问类型为qry=Longloan。
S530.判断在所述访问服务类型列表中是否查找到所述业务访问类型。
S540.当在所述访问服务类型列表中查找到所述业务访问类型时,根据所述业务访问请求获取相应的目标资源数据,采用所述业务访问方加密算法对所述目标资源数据进行加密,并将加密结果返回给所述业务访问方。
Longloan存在于appid=101的业务访问方可访问的服务类型列表中,故访问Longloan多头服务相关的业务资源。
S550.当在所述访问服务类型列表中没有查找到所述业务访问类型时,向所述业务访问方返回无权访问的信息。
若Longloan不存在于appid=101的业务访问方可访问的服务类型列表中,则向业务访问方返回无权访问的信息。
上述的业务访问请求中还包括请求数据加密信息,所述请求数据加密信息是业务访问请求发送端采用预设的加密算法对用户敏感数据进行加密之后得到的,用户信息属于比较隐私和重要的数据,比如身份证信息、电话信息等,为了防止泄露,在发送请求时需要对其进行加密,相应地,对于具体的业务数据的获取方法可参见图6,所述方法包括:
S610.基于所述业务访问方的标识,确定与业务访问方对应的业务访问方解密算法以及解密密钥。
基于与上述确定加密算法类似的方法,确定与业务访问方对应的解密算法以及相应的解密密钥。
S620.基于所述业务访问方解密算法以及所述解密密钥,对所述请求数据加密信息进行解密,得到请求用户信息。
这里的请求用户信息可以包括用户姓名、身份证信息、电话信息等,基于这些用户信息,可从业务数据中确定与该用户对应的目标资源数据。
对于来自不同业务方的业务访问请求,其相应的请求格式并不一定相同,本实施例在具体实施过程中需要将各业务方的业务请求信息转换为统一的目标格式的请求进行接入,具体地,请参见图7,其示出了一种访问请求接入方法,所述方法包括:
S710.确定所述业务访问请求的请求格式。
S720.当所述业务访问请求的请求格式不是目标格式时,将所述业务访问请求转换为所述目标格式的访问请求。
请参见图8,其示出了一种具体的访问请求转换方法,所述方法包括:
S810.对所述业务访问请求进行解析,提取所述业务访问请求中的请求字段以及与每个请求字段对应的内容信息。
S820.基于各请求字段以及各请求字段对应的内容信息,生成所述目标格式的访问请求。
S730.对所述目标格式的访问请求进行接入。
具体地,比如业务方1使用http get接入格式,首先使用parseHttpGet(url)解析出get请求中所请求的具体内容,然后再使用packNormalContent(content)将get请求统一转换为post请求,本申请实施例中统一使用http post方式。比如一条查询多头信息的请求如下:
url=https://www.xxx.com/s?appid=1001&rand=23&time=1598324234&sessid=0xasdf23s23234234&phoneidcard=20acdxxxxxx&qry=longloan,通过如下操作:
content=parseHttpGet(url)
body=packNormalContent(content)
最后得到一个新的http post请求,其中post的body主体内容如下:
{
“appid”:1001
“rand”:23
“time”:1598324234
“sessid”:“0xasdf23s23234234”,
“phoneidcard”:“20acdxxxxxx”,
“qry”:“longloan”
}
其中,phoneidcard是采用业务方的加密算法对用户的手机号码和身份证信息进行加密之后得到的请求数据加密信息。
对于其他的请求格式,例如udp接入方式,可使用与上述过程相类似的方法,将请求内容转化为post形式。
现有的很多对外输出的数据安全通信系统在安全方面往往通过第三方手段保证,不同业务方接入成本和代价较高,对不同业务很难做到统一接入。而且由于不同业务之间在数据的处理和保护手段上面都各不相同,导致在数据安全通信业务中会出现很多定制化的需求。在实时系统中,过多的定制化需求会导致系统维护难度升高,安全性降低。以上种种情况都将影响整个业务的发展,这也是数据通信中在对外提供实时服务时都将面临的问题。
因此,请参见图9,其示出了本申请实施例提供的一种安全网络通信系统,具体又可包括ECN(External Connecting Network,外部互联网络)和业务系统,主要从安全性的角度出发,对数据通信业务中业务接入的安全性提供可靠保障,包括通过设置防火墙过滤非法请求,使用代理服务实现负载均衡和资源保护,对整条链路上的所有数据进行加密传输保证敏感数据的安全性,所述安全网络通信系统包括:
防火墙910:是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。防火墙是系统的第一道防线,其作用是防止非法用户的进入,对所有的访问请求进行第一次鉴权,阻止非法访问。
适配层920:在接入层中对不同接入方式进行适配,以适应各个不同业务的接入需求。
代理服务器930:代理服务一种特殊的网络服务,允许一个网络终端通过这个服务与另一个网络终端进行非直接的连接。通过代理服务器的配置,有利于保障网络终端的隐私和安全,防止攻击;同时通过配置代理,也可以实现负载均衡的目的。作为反向代理服务器,根据不同机器的负载情况动态调整代理机器,实现负载均衡,同时保障后台系统的隐私和安全,防止攻击。
业务接口层940:对访问请求进行解密,同时第二次鉴权,判断此次请求的数据和资源是否被限制。如果请求资源被限制,将在此直接返回,不再进入下一层。
业务逻辑层950:根据业务请求内容,向数据层请求资源;对数据层返回的资源进行逻辑计算,将处理结果使用业务方的密钥加密。
业务数据层960:向逻辑层返回请求的资源。
整个安全通信系统的请求流程请参见图10,包括:
a.防火墙作为整个系统的第一层防护,直接将非法请求丢掉。具体过程可参阅图3所示的方法。
b.对于防火墙通过的合法请求方的请求,适配层首先根据不同的业务接入方式,对具体请求的内容进行适配为一套协议。
c.代理服务器根据后台机器的负载情况,选择一台合适的机器将请求转发过去。代理服务器一般都是nginx搭建的。Nginx代理配置方式如下:
Figure BDA0002210785980000121
Figure BDA0002210785980000131
这会将80端口上接收到的所有请求转发到由upstream指定的三个代理服务器上面以实现负载均衡。
d.业务接口层接收到请求后,首先使用业务方的密钥对请求进行解密,取出具体的请求内容后,进行第二次鉴权,判断该业务是否有权限访问所请求的资源和数据。如果没有权限,则将该请求驳回或者丢弃。图中虚线表示接口层判断无权后,将请求驳回。具体鉴权过程可参见图4所示的方法。
e.业务逻辑层根据请求内容向数据层请求资源。
f.数据层接收业务逻辑层发送的请求。
g.数据层返回所需的资源给逻辑层。
h.逻辑层对数据层返回所需的资源数据进行逻辑计算,得到请求结果,对请求结果加密后返回给上一层业务接口层。
i,j,k,l表示将加密后的请求结果通过原链路返回给业务请求方。
至此,完成一次完整的请求,在整个请求过程中进行了两次鉴权,一次在防火墙对访问业务方进行鉴权,如果是非法访问方,将直接被阻止。第二次在业务系统的接口层,对业务请求的资源进行第二次鉴权,判断请求内容是否合法。两次鉴权,分别从请求方和请求内容上进行检查判断,极大的提高了整个系统的安全性和高效性。
上述的基于ECN网络安全和AES加密算法的安全网络通信系统,通过ECN网络对外提供服务,在ECN网络中最前端部署防火墙,对所有的访问用户进行第一次鉴权,阻止非法访问;通过配置代理服务器对后端服务进行反向代理,实现负载均衡的同时,隔离后台资源与系统;进入业务系统,在业务系统的接口层,对访问请求进行第二次鉴权,主要鉴定访问业务方此次请求的数据和资源是否被限制;如果该业务方没有权利访问该资源或者数据,将在接口层直接驳回此次请求,如果请求合法进入系统的逻辑层,在逻辑层中进行两个操作,一是数据请求,二是逻辑处理;根据业务方请求的具体内容,向数据层请求资源,逻辑层得到数据后进行逻辑处理,逻辑处理完成后将请求结果加密返回。
本申请在通用ECN网络中,提出了使用接入层-防火墙-代理服务器的部署方案,在接入层适配不同业务的接入方式,随后按照统一处理方式进行处理,在防火墙和代理服务的双重保证下,极大的降低了业务系统被攻击的风险;同时使用防火墙和会话鉴权的方式,对请求方和请求内容同时进行权限鉴定,极大的提高了整个系统以及后台数据的安全性。
需要说明的是,在具体实施过程中,可将防火墙置前,首先阻止掉一部分非法请求,再进入接入层;在接入层进行解密,将两次鉴权都放在ECN网络中完成;可使用其他的对称加密算法和非对称加密算法,替换本申请实施例中的AES算法。
本申请通过对业务访问请求进行两次鉴权,第一次鉴权是对访问方的网络来源进行鉴权,第二次鉴权是对业务访问请求的内容进行鉴权,当两次鉴权成功时,才会向访问方返回业务数据,从而提高了整个系统的安全性和高效性,降低了业务系统被攻击的风险;可以应用于对数据和通信安全具有严格要求的相关领域,例如金融业务场景,比如多头借贷,失联修复和反欺诈等金融风控的实时系统中,都需要对系统安全和数据安全进行有力保证。
本实施例还提供了一种实现网络安全通信的装置,请参阅图11,所述装置包括:
业务访问请求接收模块1110,用于接收业务访问请求,所述业务访问请求包括:业务访问方的标识、业务访问方的网络信息、业务访问信息和会话信息;
第一鉴权模块1120,用于基于所述业务访问方的网络信息,对所述业务访问请求进行第一次鉴权;
加密算法确定模块1130,用于当第一次鉴权成功时,基于所述业务访问方的标识,确定与业务访问方对应的业务访问方加密算法;
第二鉴权模块1140,用于基于所述业务访问方加密算法、所述业务访问信息以及所述会话信息,对所述业务访问请求进行第二次鉴权;
业务数据返回模块1150,用于当第二次鉴权成功时,基于所述业务访问请求获取相应的业务数据,向所述业务访问方返回所述业务数据。
所述业务访问方的网络信息包括:业务访问方的网络协议地址或业务访问方的网关,相应地,请参阅图12,所述第一鉴权模块1120包括:
合法名单列表获取模块1210,用于获取预设的合法名单列表,其中所述合法名单列表中包括至少一项网络协议地址或网关;
第一查找模块1220,用于在所述合法名单列表中查找所述业务访问方的网络协议地址或所述业务访问方的网关;
第一判定模块1230,用于当在所述合法名单列表中查找到所述业务访问方的网络协议地址或所述业务访问方的网关时,判定对所述业务访问请求的第一次鉴权成功;
第二判定模块1240,用于当在所述合法名单列表中没有查找到所述业务访问方的网络协议地址以及所述业务访问方的网关时,判定对所述业务访问请求的第一次鉴权失败。
所述业务访问信息包括:业务访问请求时间戳以及访问随机数,相应地,请参阅图13,所述第二鉴权模块1140包括:
加密密钥确定模块1310,用于确定与所述业务访问方加密算法对应的加密密钥;
明文构建模块1320,用于基于所述业务访问方的标识、所述业务访问请求时间戳以及所述访问随机数,构建明文信息;
第一加密模块1330,用于采用所述业务访问方加密算法以及所述加密密钥,对所述明文信息进行加密,得到访问信息加密结果;
比对模块1340,用于将所述访问信息加密结果与所述会话信息进行比对;
第三判定模块1350,用于当所述访问信息加密结果与所述会话信息比对结果一致时,判定对所述业务访问请求的第二次鉴权成功;
第四判定模块1360,用于当所述访问信息加密结果与所述会话信息比对结果不一致时,判定对所述业务访问请求的第二次鉴权失败。
所述业务访问请求还包括业务访问类型,相应地,请参阅图14,所述业务数据返回模块1150包括:
服务类型列表生成模块1410,用于基于所述业务访问方的标识,生成访问服务类型列表;其中所述访问服务类型列表中包括所述业务访问方有权访问的业务类型;
第二查找模块1420,用于在所述访问服务类型列表中查找所述业务访问类型;
加密结果返回模块1430,用于当在所述访问服务类型列表中查找到所述业务访问类型时,根据所述业务访问请求获取相应的目标资源数据,采用所述业务访问方加密算法对所述目标资源数据进行加密,并将加密结果返回给所述业务访问方。
所述业务访问请求中还包括请求数据加密信息,相应地,请参阅图15,所述装置还包括用户信息解密模块1500:
解密算法确定模块1510,用于基于所述业务访问方的标识,确定与业务访问方对应的业务访问方解密算法以及解密密钥;
第一解密模块1520,用于基于所述业务访问方解密算法以及所述解密密钥,对所述请求数据加密信息进行解密,得到请求用户信息。
请参阅图16,所述装置还包括访问请求接入模块1600:
请求格式确定模块1610,用于确定所述业务访问请求的请求格式;
格式转换模块1620,用于当所述业务访问请求的请求格式不是目标格式时,将所述业务访问请求转换为所述目标格式的访问请求;
第一接入模块1630,用于对所述目标格式的访问请求进行接入。
请参阅图17,所述格式转换模块1620包括:
解析模块1710,用于对所述业务访问请求进行解析,提取所述业务访问请求中的请求字段以及与每个请求字段对应的内容信息;
生成模块1720,用于基于各请求字段以及各请求字段对应的内容信息,生成所述目标格式的访问请求。
上述实施例中提供的装置可执行本申请任意实施例所提供方法,具备执行该方法相应的功能模块和有益效果。未在上述实施例中详尽描述的技术细节,可参见本申请任意实施例所提供的方法。
本实施例还提供了一种计算机可读存储介质,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、至少一段程序、代码集或指令集由处理器加载并执行如本实施例上述任一方法。
本实施例还提供了一种设备,其结构图请参见图18,该设备1800可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器(central processingunits,CPU)1822(例如,一个或一个以上处理器)和存储器1832,一个或一个以上存储应用程序1842或数据1844的存储介质1830(例如一个或一个以上海量存储设备)。其中,存储器1832和存储介质1830可以是短暂存储或持久存储。存储在存储介质1830的程序可以包括一个或一个以上模块(图示未示出),每个模块可以包括对设备中的一系列指令操作。更进一步地,中央处理器1822可以设置为与存储介质1830通信,在设备1800上执行存储介质1830中的一系列指令操作。设备1800还可以包括一个或一个以上电源1826,一个或一个以上有线或无线网络接口1850,一个或一个以上输入输出接口1858,和/或,一个或一个以上操作系统1841,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。本实施例上述的任一方法均可基于图18所示的设备进行实施。
本说明书提供了如实施例或流程图所述的方法操作步骤,但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤和顺序仅仅为众多步骤执行顺序中的一种方式,不代表唯一的执行顺序。在实际中的系统或中断产品执行时,可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境)。
本实施例中所示出的结构,仅仅是与本申请方案相关的部分结构,并不构成对本申请方案所应用于其上的设备的限定,具体的设备可以包括比示出的更多或更少的部件,或者组合某些部件,或者具有不同的部件的布置。应当理解到,本实施例中所揭露的方法、装置等,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分仅仅为一种逻辑功能的划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元模块的间接耦合或通信连接。
基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,RandomAccess Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域技术人员还可以进一步意识到,结合本说明书所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但这种实现不应认为超出本申请的范围。
以上所述,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。

Claims (10)

1.一种实现网络安全通信的方法,其特征在于,包括:
接收业务访问请求,所述业务访问请求包括:业务访问方的标识、业务访问方的网络信息、业务访问信息和会话信息;
基于所述业务访问方的网络信息,对所述业务访问请求进行第一次鉴权;通过所述第一次鉴权过滤非法来源的业务访问请求,保留合法来源的业务访问请求;所述第一次鉴权通过设置访问白名单实现;
当第一次鉴权成功时,基于所述业务访问方的标识,确定与业务访问方对应的业务访问方加密算法;
基于所述业务访问方加密算法、所述业务访问信息以及所述会话信息,对所述业务访问请求进行第二次鉴权;
当第二次鉴权成功时,基于所述业务访问请求获取相应的业务数据,向所述业务访问方返回所述业务数据。
2.根据权利要求1所述的实现网络安全通信的方法,其特征在于,所述业务访问方的网络信息包括:业务访问方的网络协议地址或业务访问方的网关;
相应地,所述基于所述业务访问方的网络信息,对所述业务访问请求进行第一次鉴权包括:
获取预设的合法名单列表,其中所述合法名单列表中包括至少一项网络协议地址或网关;
在所述合法名单列表中查找所述业务访问方的网络协议地址或所述业务访问方的网关;
当在所述合法名单列表中查找到所述业务访问方的网络协议地址或所述业务访问方的网关时,判定对所述业务访问请求的第一次鉴权成功;
当在所述合法名单列表中没有查找到所述业务访问方的网络协议地址以及所述业务访问方的网关时,判定对所述业务访问请求的第一次鉴权失败。
3.根据权利要求1所述的实现网络安全通信的方法,其特征在于,所述业务访问信息包括:业务访问请求时间戳以及访问随机数;
相应地,所述基于所述业务访问方加密算法、所述业务访问信息以及所述会话信息,对所述业务访问请求进行第二次鉴权包括:
确定与所述业务访问方加密算法对应的加密密钥;
基于所述业务访问方的标识、所述业务访问请求时间戳以及所述访问随机数,构建明文信息;
采用所述业务访问方加密算法以及所述加密密钥,对所述明文信息进行加密,得到访问信息加密结果;
将所述访问信息加密结果与所述会话信息进行比对;
当所述访问信息加密结果与所述会话信息比对结果一致时,判定对所述业务访问请求的第二次鉴权成功;
当所述访问信息加密结果与所述会话信息比对结果不一致时,判定对所述业务访问请求的第二次鉴权失败。
4.根据权利要求1所述的实现网络安全通信的方法,其特征在于,所述业务访问请求还包括业务访问类型;
相应地,所述基于所述业务访问请求获取相应的业务数据,向所述业务访问方返回所述业务数据包括:
基于所述业务访问方的标识,生成访问服务类型列表;其中所述访问服务类型列表中包括所述业务访问方有权访问的业务类型;
在所述访问服务类型列表中查找所述业务访问类型;
当在所述访问服务类型列表中查找到所述业务访问类型时,根据所述业务访问请求获取相应的目标资源数据,采用所述业务访问方加密算法对所述目标资源数据进行加密,并将加密结果返回给所述业务访问方。
5.根据权利要求4所述的实现网络安全通信的方法,其特征在于,所述业务访问请求中还包括请求数据加密信息;
相应地,所述方法还包括:
基于所述业务访问方的标识,确定与业务访问方对应的业务访问方解密算法以及解密密钥;
基于所述业务访问方解密算法以及所述解密密钥,对所述请求数据加密信息进行解密,得到请求用户信息。
6.根据权利要求5所述的实现网络安全通信的方法,其特征在于,所述根据所述业务访问请求获取相应的目标资源数据包括:
根据所述请求用户信息,获取与所述请求用户信息对应的所述目标资源数据。
7.根据权利要求1所述的实现网络安全通信的方法,其特征在于,所述方法还包括:
确定所述业务访问请求的请求格式;
当所述业务访问请求的请求格式不是目标格式时,将所述业务访问请求转换为所述目标格式的访问请求;
对所述目标格式的访问请求进行接入。
8.根据权利要求7所述的实现网络安全通信的方法,其特征在于,所述将所述业务访问请求转换为所述目标格式的访问请求包括:
对所述业务访问请求进行解析,提取所述业务访问请求中的请求字段以及与每个请求字段对应的内容信息;
基于各请求字段以及各请求字段对应的内容信息,生成所述目标格式的访问请求。
9.一种实现网络安全通信的装置,其特征在于,包括:
业务访问请求接收模块,用于接收业务访问请求,所述业务访问请求包括:业务访问方的标识、业务访问方的网络信息、业务访问信息和会话信息;
第一鉴权模块,用于基于所述业务访问方的网络信息,对所述业务访问请求进行第一次鉴权;通过所述第一次鉴权过滤非法来源的业务访问请求,保留合法来源的业务访问请求;所述第一次鉴权通过设置访问白名单实现;
加密算法确定模块,用于当第一次鉴权成功时,基于所述业务访问方的标识,确定与业务访问方对应的业务访问方加密算法;
第二鉴权模块,用于基于所述业务访问方加密算法、所述业务访问信息以及所述会话信息,对所述业务访问请求进行第二次鉴权;
业务数据返回模块,用于当第二次鉴权成功时,基于所述业务访问请求获取相应的业务数据,向所述业务访问方返回所述业务数据。
10.一种实现网络安全通信的设备,其特征在于,所述设备包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如权利要求1至8任一项所述实现网络安全通信的方法。
CN201910897595.8A 2019-09-23 2019-09-23 一种实现网络安全通信的方法、装置及设备 Active CN110719265B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910897595.8A CN110719265B (zh) 2019-09-23 2019-09-23 一种实现网络安全通信的方法、装置及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910897595.8A CN110719265B (zh) 2019-09-23 2019-09-23 一种实现网络安全通信的方法、装置及设备

Publications (2)

Publication Number Publication Date
CN110719265A CN110719265A (zh) 2020-01-21
CN110719265B true CN110719265B (zh) 2021-08-17

Family

ID=69210680

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910897595.8A Active CN110719265B (zh) 2019-09-23 2019-09-23 一种实现网络安全通信的方法、装置及设备

Country Status (1)

Country Link
CN (1) CN110719265B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113472831B (zh) * 2020-03-31 2022-12-06 北京金山云网络技术有限公司 一种服务访问方法、装置、网关设备及存储介质
CN111488598B (zh) * 2020-04-09 2023-04-07 腾讯科技(深圳)有限公司 访问控制方法、装置、计算机设备和存储介质
CN112367347B (zh) * 2020-09-18 2022-08-23 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) 加密设备访问方法、装置和计算机可读存储介质
CN112866226B (zh) * 2021-01-12 2023-03-10 中国工商银行股份有限公司 网络安全防护方法和装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101977379A (zh) * 2010-10-28 2011-02-16 中兴通讯股份有限公司 移动终端的鉴权方法及装置
CN105635039B (zh) * 2014-10-27 2019-01-04 阿里巴巴集团控股有限公司 一种网络安全通信方法及通信装置
CN106998316B (zh) * 2016-01-22 2020-02-07 中国移动通信集团公司 一种鉴权方法、应用客户端及网关设备
CN108737338B (zh) * 2017-04-19 2021-06-04 阿里巴巴集团控股有限公司 一种认证方法及系统

Also Published As

Publication number Publication date
CN110719265A (zh) 2020-01-21

Similar Documents

Publication Publication Date Title
CN110719265B (zh) 一种实现网络安全通信的方法、装置及设备
US10904240B2 (en) System and method of verifying network communication paths between applications and services
US20200274812A1 (en) Traffic analysis method, common service traffic attribution method, and corresponding computer system
US10523678B2 (en) System and method for architecture initiated network access control
US7660980B2 (en) Establishing secure TCP/IP communications using embedded IDs
EP2850770B1 (en) Transport layer security traffic control using service name identification
CN107483383B (zh) 一种数据处理方法、终端、后台服务器及存储介质
US12028378B2 (en) Secure communication session resumption in a service function chain preliminary class
WO2019178942A1 (zh) 一种进行ssl握手的方法和系统
US20190058594A1 (en) Secure inter-service communications in a cloud computing system
US20180375648A1 (en) Systems and methods for data encryption for cloud services
US9531542B2 (en) Secure remote password
CN112235266B (zh) 一种数据处理方法、装置、设备及存储介质
US11057373B2 (en) System for authentication using channel dependent one-time passwords
CN111131416A (zh) 业务服务的提供方法和装置、存储介质、电子装置
CN114844730A (zh) 一种基于可信隧道技术构建的网络系统
CN109614789A (zh) 一种终端设备的验证方法及设备
US11611541B2 (en) Secure method to replicate on-premise secrets in a cloud environment
US10931662B1 (en) Methods for ephemeral authentication screening and devices thereof
WO2016000473A1 (zh) 一种业务访问方法、系统及装置
CN106537962B (zh) 无线网络配置、接入和访问方法、装置及设备
CN109450849A (zh) 一种基于区块链的云服务器组网方法
CN115865384A (zh) 中台微服务授权方法、装置、电子设备及存储介质
CN116074028A (zh) 加密流量的访问控制方法、装置及系统
CN115442061A (zh) 安全认证方法、可读介质和电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40021047

Country of ref document: HK

SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant