CN112039905B

CN112039905B - 基于反向连接的网络通信方法、装置及电子设备和介质

Info

Publication number: CN112039905B
Application number: CN202010916008.8A
Authority: CN
Inventors: 陆波; 范渊
Original assignee: DBAPPSecurity Co Ltd
Current assignee: DBAPPSecurity Co Ltd
Priority date: 2020-09-03
Filing date: 2020-09-03
Publication date: 2023-04-28
Anticipated expiration: 2040-09-03
Also published as: CN112039905A

Abstract

本申请公开了一种基于反向连接的网络通信方法、装置及电子设备和存储介质，该方法应用于内网主机，包括：根据IP地址和端口向外网主机发起包括TCP/IP或UDP的连接请求；所述外网主机预先启动用于建立虚拟网络连接的服务，并通过端口监听连接请求；在成功建立TCP/IP或UDP连接后，向外网主机发起虚拟网络连接请求，与外网主机建立虚拟网络连接；当虚拟网络连接成功建立并获取到外网主机发送的访问请求后，对访问请求进行响应或利用预设数据包转发策略对访问请求进行封装转发。本申请由内网主机向外网主机发起连接请求，以建立与外网主机间的虚拟网络连接，无需内网主机建立专门的VPN服务，避免了开放固定端口引发的安全风险。

Description

基于反向连接的网络通信方法、装置及电子设备和介质

技术领域

本申请涉及组网技术领域，更具体地说，涉及一种基于反向连接的网络通信方法、装置及一种电子设备和一种计算机可读存储介质。

背景技术

VPN(Virtual Private Network，虚拟专用网络)，可以通过特殊的加密通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路。虚拟专用网络的功能是，在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。

目前市面上的VPN服务均需要在内网出口网关处开放一个或多个端口用于接收和响应来自VPN客户端的连接，然而，这些端口很容易被扫描侦测到，若VPN服务器出现安全漏洞，则整个内部网络将面临重大安全威胁。

因此，如何解决上述问题是本领域技术人员需要重点关注的。

发明内容

本申请的目的在于提供一种基于反向连接的网络通信方法、装置及一种电子设备和一种计算机可读存储介质，避免了内网开放固定端口引发的安全风险。

为实现上述目的，本申请提供了一种基于反向连接的网络通信方法，应用于内网主机，所述方法包括：

根据外网主机的IP地址和端口向所述外网主机发起连接请求；其中，所述外网主机预先启动用于建立虚拟网络连接的服务，并通过端口监听连接请求，所述连接请求包括TCP/IP或UDP连接请求；

在成功建立TCP/IP或UDP连接之后，向所述外网主机发起虚拟网络连接请求，与所述外网主机建立虚拟网络连接；

当所述虚拟网络连接成功建立，并获取到所述外网主机发送的访问请求后，对所述访问请求进行响应或利用预设数据包转发策略对所述访问请求进行封装转发。

可选的，所述在成功建立TCP/IP或UDP连接之后，向所述外网主机发起虚拟网络连接请求，与所述外网主机建立虚拟网络连接，包括：

在成功建立TCP/IP或UDP连接之后，向所述外网主机发起虚拟网络连接请求；

获取所述外网主机在接收到所述连接请求后发送的验证请求，并根据所述验证请求上传对应的身份凭据；

若所述外网主机对所述身份凭据的验证通过，则允许继续建立所述虚拟网络连接；

若所述外网主机对所述身份凭据的验证未通过，则接收所述外网主机返回的告警提示信息。

可选的，在所述根据外网主机的IP地址和端口向所述外网主机发起连接请求之前，还包括：

若所述外网主机的IP地址和端口未知，则通过DNS寻址方式或第三方接口查询所需连接的外网主机对应的IP地址和端口。

可选的，还包括：

向所述外网主机发送用于结束网络连接的请求，以便断开所述内网主机与所述外网主机之间的TCP/IP或UDP连接、以及虚拟网络连接。

可选的，所述获取到所述外网主机发送的访问请求后，对所述访问请求进行响应或利用预设数据包转发策略对所述访问请求进行封装转发，包括：

当获取到所述外网主机发送的访问请求后，解析得到所述访问请求对应目的地址；

若所述目的地址为当前所述内网主机的地址，则直接对所述访问请求进行响应；

若所述目的地址为其他内网主机的地址，则对所述访问请求对应的IP数据包进行动态地址转换，将转换后数据包转发至对应的内网主机上。

可选的，所述访问请求包括：所述外网主机自身发起的请求，或由所述外网主机所处网段的其他外网主机发起的请求。

为实现上述目的，本申请提供了一种基于反向连接的网络通信装置，应用于内网主机，所述装置包括：

请求发起模块，用于根据外网主机的IP地址和端口向所述外网主机发起连接请求；其中，所述外网主机预先启动用于建立虚拟网络连接的服务，并通过端口监听连接请求，所述连接请求包括TCP/IP或UDP连接请求；

连接建立模块，用于在成功建立TCP/IP或UDP连接之后，向所述外网主机发起虚拟网络连接请求，与所述外网主机建立虚拟网络连接；

数据转发模块，用于当所述虚拟网络连接成功建立，并获取到所述外网主机发送的访问请求后，对所述访问请求进行响应或利用预设数据包转发策略对所述访问请求进行封装转发。

可选的，还包括：

地址获取模块，用于在所述根据外网主机的IP地址和端口向所述外网主机发起连接请求之前，若所述外网主机的IP地址和端口未知，则通过DNS寻址方式或第三方接口查询所需连接的外网主机对应的IP地址和端口。

为实现上述目的，本申请提供了一种电子设备，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现前述公开的任一种基于反向连接的网络通信方法的步骤。

为实现上述目的，本申请提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现前述公开的任一种基于反向连接的网络通信方法的步骤。

通过以上方案可知，本申请提供的一种基于反向连接的网络通信方法，应用于内网主机，所述方法包括：根据外网主机的IP地址和端口向所述外网主机发起连接请求；其中，所述外网主机预先启动用于建立虚拟网络连接的服务，并通过端口监听连接请求，所述连接请求包括TCP/IP或UDP连接请求；在成功建立TCP/IP或UDP连接之后，向所述外网主机发起虚拟网络连接请求，与所述外网主机建立虚拟网络连接；当所述虚拟网络连接成功建立，并获取到所述外网主机发送的访问请求后，对所述访问请求进行响应或利用预设数据包转发策略对所述访问请求进行封装转发。由上可知，本申请由内网主机根据外网主机的IP地址和端口向外网主机发起连接请求，在与外网主机成功建立TCP/IP或UDP连接之后，进一步建立起与外网主机间的虚拟网络连接，无需内网主机建立专门的VPN服务，避免了内网开放固定端口引发的安全风险。

本申请还公开了一种基于反向连接的网络通信装置及一种电子设备和一种计算机可读存储介质，同样能实现上述技术效果。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性的，并不能限制本申请。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例公开的一种基于反向连接的网络通信系统的架构图；

图2为本申请实施例公开的一种基于反向连接的网络通信方法的流程图；

图3为本申请实施例公开的另一种基于反向连接的网络通信方法的流程图；

图4为本申请实施例公开的一种基于反向连接的网络通信装置的结构图；

图5为本申请实施例公开的一种电子设备的结构图；

图6为本申请实施例公开的另一种电子设备的结构图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

在传统技术中，VPN服务均需要在内网出口网关处开放一个或多个端口用于接收和响应来自VPN客户端的连接，然而，这些端口很容易被扫描侦测到，若VPN服务器出现安全漏洞，则整个内部网络将面临重大安全威胁。

因此，本申请实施例公开了一种基于反向连接的网络通信方法，避免了内网开放固定端口引发的安全风险。

为了便于理解本申请实施例提供的基于反向连接的网络通信方法，首先对该方法对应的系统架构进行介绍。参见图1所示，可通过内网主机主动连接到外网主机的反向组网方式进行网络连接，避免开放固定端口引发的安全风险。若外网主机为网关，则网关内其他外网主机均可通过该主机向连接的内网主机发送访问请求，该访问请求可以针对已连接的内网主机，也可针对内网其他主机，由该内网主机进行访问请求的转发。

参见图2所示，本申请实施例公开了一种基于反向连接的网络通信方法，该方法应用于内网主机，具体包括：

S101：根据外网主机的IP地址和端口向所述外网主机发起连接请求；其中，所述外网主机预先启动用于建立虚拟网络连接的服务，并通过端口监听连接请求，所述连接请求包括TCP/IP或UDP连接请求；

本申请实施例中，外网主机预先启动了用于建立虚拟网络连接的服务，该服务可作为外网和内网之间数据传输的载体，可支持多种实现方式，如VPN服务、SSH服务等，同时通过相应的端口监听来自内网主机的连接请求。内网主机可以根据外网主机的IP地址和端口向对应的外网主机发起连接请求，具体地，该连接请求可以为TCP/IP连接请求或UDP连接请求。

可以理解的是，本申请实施例在内网主机向外网主机发起连接请求时，若已知外网主机的IP地址和端口，则可直接向外网主机发起连接请求；若未知外网主机的IP地址和端口，则可通过DNS寻址方式或第三方接口查询所需连接的外网主机对应的IP地址和端口，进而可根据IP地址和端口向对应的外网主机发起连接请求。

S102：在成功建立TCP/IP或UDP连接之后，向所述外网主机发起虚拟网络连接请求，与所述外网主机建立虚拟网络连接；

当外网主机和内网主机成功建立起TCP/IP连接或UDP连接之后，内网主机即可基于建立起的TCP/IP连接或UDP连接向外网主机发起虚拟网络连接请求，以便与外网主机之间建立虚拟网络连接。

S103：当所述虚拟网络连接成功建立，并获取到所述外网主机发送的访问请求后，对所述访问请求进行响应或利用预设数据包转发策略对所述访问请求进行封装转发。

在本步骤中，当内网主机与外网主机之间建立虚拟网络连接后，外网主机即可通过虚拟网络连接向内网主机发送访问请求。当接收到外网主机发送的访问请求后，可对访问请求进行响应，或利用预设数据包转发策略对访问请求进行封装转发。

在具体实施中，上述获取到外网主机发送的访问请求后，对访问请求进行响应或利用预设数据包转发策略对访问请求进行封装转发的过程可以具体包括：当获取到外网主机发送的访问请求后，解析得到访问请求对应目的地址；若目的地址为当前内网主机的地址，则直接对访问请求进行响应；若目的地址为其他内网主机的地址，则对访问请求对应的IP数据包进行动态地址转换，将转换后数据包转发至对应的内网主机上。也即，外网主机可以向已连接成功的内网主机发送访问请求，所述访问请求可以为对该内网主机进行访问的请求，也可以为对其他内网主机进行访问的请求。若访问请求为对该内网主机进行访问的请求，则内网主机可直接对其进行响应；若访问请求为对其他内网主机进行访问的请求，则内网主机可对当前访问请求对应的IP数据包进行动态地址转换，改写为内网主机的请求转发到其他主机上。

在linux系统中，上述对访问请求对应的IP数据包进行动态地址转换的过程可由三句命令行指令完成。以VPN方式的虚拟网络连接为例，假设内网主机获取到由外网主机提供的VPN服务分配的IP地址为172.16.7.2，且外网主机所在网段为192.168.1.0/24，则在内网主机上执行的命令行指令如下：

echo 1>/proc/sys/net/ipv4/ip_forward //开启路由转发功能；

iptables-t nat-A POSTROUTING-s 172.16.7.0/24-j MASQUERADE //为172.16.7.0/24网段的所有IP数据包开启动态源地址转换，其中172.16.7.0/24是外网主机和内网主机建立虚拟网络连接之后产生的虚拟网络；

iptables-t nat-A POSTROUTING-s 192.168.1.0/24-j MASQUERADE //为192.168.1.0/24网段的所有IP数据包开启动态源地址转换，其中192.168.1.0/24是外网主机所在的网段。

需要说明的是，上述外网主机发起的访问请求可以具体包括：外网主机自身发起的请求，或由外网主机所处网段的其他外网主机发起的请求。也即，若外网主机本身为网关，或外网主机需要代理自身网段中其他主机的访问请求到内网主机，则外网主机也需要开启数据包转发策略，并且需要设置相应的路由策略使得访问内网相应主机的数据包能通过虚拟网络连接服务正确转发到内网进行代理转发。

在linux系统中，上述利用外网主机进行数据包转发的过程可由两句命令行指令完成。以VPN方式的虚拟网络连接为例，假设内网主机获取到由外网主机提供的VPN服务分配的IP地址为172.16.7.2，且内网主机所在网段为192.168.2.0/24，则在外网主机上执行的命令行指令如下：

echo 1>/proc/sys/net/ipv4/ip_forward//开启路由转发功能；

ip route add 192.168.2.0/24 via 172.16.7.2 //将172.17.7.2作为访问192.168.2.0/24的下一跳路由地址。

也即，若外网主机所在网段的其它主机要访问内网其它主机时，只需要设置内网网段的路由下一跳网关地址为外网主机即可。

作为一种具体的实施方式，本申请实施例中内网主机还可在无需进行网络连接时，向外网主机发送用于结束网络连接的请求，以便断开内网主机与外网主机之间的TCP/IP或UDP连接、以及虚拟网络连接。由此，组网请求由内网主机发起，也由内网主机结束，在一些需要临时发起远程网络连接的场景下非常适用，比如内网设备的远程巡检、远程故障排查等，节省了购买和维护专业VPN设备的成本，也避免了长期开设VPN服务带来的潜在安全风险。

本申请实施例公开了另一种基于反向连接的网络通信方法，相对于上一实施例，本实施例对技术方案作了进一步的说明和优化。参见图3所示，具体的：

S201：根据外网主机的IP地址和端口向所述外网主机发起连接请求；其中，所述外网主机预先启动用于建立虚拟网络连接的服务，并通过端口监听连接请求，所述连接请求包括TCP/IP或UDP连接请求；

S202：在成功建立TCP/IP或UDP连接之后，向所述外网主机发起虚拟网络连接请求；

S203：获取所述外网主机在接收到所述连接请求后发送的验证请求，并根据所述验证请求上传对应的身份凭据；

S204：若所述外网主机对所述身份凭据的验证未通过，则接收所述外网主机返回的告警提示信息；

S205：若所述外网主机对所述身份凭据的验证通过，则允许继续建立所述虚拟网络连接；

需要指出的是，传统技术中VPN服务在对客户端进行身份认证时，通常选用账号密码或公私钥证书的方式，倘若某账号密码或证书信息泄露，必然造成敏感资源被非法访问。

考虑到上述问题，本申请实施例在内网主机向外网主机发起虚拟网络连接请求之后，由外网主机向内网主机发送验证请求，以验证内网主机的身份凭据，若针对身份凭据的验证通过，则允许继续建立虚拟网络连接；若针对身份凭据的验证未通过，则接收外网主机返回的告警提示信息。由此，内网主机的身份凭据不可能外泄，从而解决了常规VPN服务认证凭据时泄露数据造成的内部网络数据窃取问题。

S206：当所述虚拟网络连接成功建立，并获取到所述外网主机发送的访问请求后，对所述访问请求进行响应或利用预设数据包转发策略对所述访问请求进行封装转发。

下面对本申请实施例提供的一种基于反向连接的网络通信装置进行介绍，下文描述的一种网络通信装置与上文描述的一种基于反向连接的网络通信方法可以相互参照。

参见图4所示，本申请实施例提供了一种基于反向连接的网络通信装置，应用于内网主机，所述装置包括：

请求发起模块301，用于根据外网主机的IP地址和端口向所述外网主机发起连接请求；其中，所述外网主机预先启动用于建立虚拟网络连接的服务，并通过端口监听连接请求，所述连接请求包括TCP/IP或UDP连接请求；

连接建立模块302，用于在成功建立TCP/IP或UDP连接之后，向所述外网主机发起虚拟网络连接请求，与所述外网主机建立虚拟网络连接；

数据转发模块303，用于当所述虚拟网络连接成功建立，并获取到所述外网主机发送的访问请求后，对所述访问请求进行响应或利用预设数据包转发策略对所述访问请求进行封装转发。

关于上述模块301至303的具体实施过程可参考前述实施例公开的相应内容，在此不再进行赘述。

在上述实施例的基础上，作为一种优选实施方式，本申请实施例还可以进一步包括：

本申请还提供了一种电子设备，参见图5所示，本申请实施例提供的一种电子设备包括：

存储器100，用于存储计算机程序；

处理器200，用于执行所述计算机程序时可以实现上述实施例所提供的步骤。

具体的，存储器100包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机可读指令，该内存储器为非易失性存储介质中的操作系统和计算机可读指令的运行提供环境。处理器200在一些实施例中可以是一中央处理器(CentralProcessing Unit，CPU)、控制器、微控制器、微处理器或其他数据处理芯片，为电子设备提供计算和控制能力，执行所述存储器100中保存的计算机程序时，可以实现前述任一实施例公开的基于反向连接的网络通信方法。

在上述实施例的基础上，作为优选实施方式，参见图6所示，所述电子设备还包括：

输入接口300，与处理器200相连，用于获取外部导入的计算机程序、参数和指令，经处理器200控制保存至存储器100中。该输入接口300可以与输入装置相连，接收用户手动输入的参数或指令。该输入装置可以是显示屏上覆盖的触摸层，也可以是终端外壳上设置的按键、轨迹球或触控板，也可以是键盘、触控板或鼠标等。

显示单元400，与处理器200相连，用于显示处理器200处理的数据以及用于显示可视化的用户界面。该显示单元400可以为LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode，有机发光二极管)触摸器等。

网络端口500，与处理器200相连，用于与外部各终端设备进行通信连接。该通信连接所采用的通信技术可以为有线通信技术或无线通信技术，如移动高清链接技术(MHL)、通用串行总线(USB)、高清多媒体接口(HDMI)、无线保真技术(WiFi)、蓝牙通信技术、低功耗蓝牙通信技术、基于IEEE802.11s的通信技术等。

图6仅示出了具有组件100-500的电子设备，本领域技术人员可以理解的是，图6示出的结构并不构成对电子设备的限定，可以包括比图示更少或者更多的部件，或者组合某些部件，或者不同的部件布置。

本申请还提供了一种计算机可读存储介质，该存储介质可以包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。该存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现前述任一实施例公开的基于反向连接的网络通信方法。

本申请由内网主机根据外网主机的IP地址和端口向外网主机发起连接请求，在与外网主机成功建立TCP/IP或UDP连接之后，进一步建立起与外网主机间的虚拟网络连接，无需内网主机建立专门的VPN服务，避免了内网开放固定端口引发的安全风险。

说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以对本申请进行若干改进和修饰，这些改进和修饰也落入本申请权利要求的保护范围内。

还需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims

1.一种基于反向连接的网络通信方法，其特征在于，应用于内网主机，所述方法包括：

当所述虚拟网络连接成功建立，并获取到所述外网主机发送的访问请求后，对所述访问请求进行响应或利用预设数据包转发策略对所述访问请求进行封装转发；

所述在成功建立TCP/IP或UDP连接之后，向所述外网主机发起虚拟网络连接请求，与所述外网主机建立虚拟网络连接，包括：

2.根据权利要求1所述的网络通信方法，其特征在于，在所述根据外网主机的IP地址和端口向所述外网主机发起连接请求之前，还包括：

3.根据权利要求1所述的网络通信方法，其特征在于，还包括：

4.根据权利要求1至3任一项所述的网络通信方法，其特征在于，所述获取到所述外网主机发送的访问请求后，对所述访问请求进行响应或利用预设数据包转发策略对所述访问请求进行封装转发，包括：

5.根据权利要求4所述的网络通信方法，其特征在于，所述访问请求包括：所述外网主机自身发起的请求，或由所述外网主机所处网段的其他外网主机发起的请求。

6.一种基于反向连接的网络通信装置，其特征在于，应用于内网主机，所述装置包括：

数据转发模块，用于当所述虚拟网络连接成功建立，并获取到所述外网主机发送的访问请求后，对所述访问请求进行响应或利用预设数据包转发策略对所述访问请求进行封装转发；

7.根据权利要求6所述的网络通信装置，其特征在于，还包括：

8.一种电子设备，其特征在于，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如权利要求1至5任一项所述基于反向连接的网络通信方法的步骤。

9.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至5任一项所述基于反向连接的网络通信方法的步骤。