CN112532702B - 云服务平台和用户端的安全通信方法和云隔离安全系统 - Google Patents
云服务平台和用户端的安全通信方法和云隔离安全系统 Download PDFInfo
- Publication number
- CN112532702B CN112532702B CN202011305284.7A CN202011305284A CN112532702B CN 112532702 B CN112532702 B CN 112532702B CN 202011305284 A CN202011305284 A CN 202011305284A CN 112532702 B CN112532702 B CN 112532702B
- Authority
- CN
- China
- Prior art keywords
- server
- data
- service platform
- external
- cloud service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请涉及一种云服务平台和用户端的安全通信方法和云隔离安全系统,其包括:建立步骤,在云服务平台和用户端之间建立包括外服务器和内服务器的隔离系统;接收步骤,外服务器接收初始请求报文;检查步骤,对初始请求报文进行安全检查;外剥离步骤,剥离初始请求报文并重组为请求数据;摆渡上传步骤,将请求数据经由摆渡端口上传至内服务器;内重组步骤,将请求数据转化为中间请求报文并发送至云服务平台;内剥离步骤,接收中间响应报文并剥离重组为响应数据;摆渡下载步骤,将响应数据下载至外服务器;外重组步骤,将响应数据转化为最终响应报文;发送步骤,将最终响应报文发送到用户端。本申请具有降低云服务平台被用户端攻击的风险的效果。
Description
技术领域
本申请涉及云服务的领域,尤其是涉及一种云服务平台和用户端的安全通信方法和云隔离安全系统。
背景技术
随着云服务的普及,有大量的企业和组织会将数据和软件服务搭载云服务平台上。用户可以通过访问云服务平台的IP地址以获取自己需要的数据或服务,提升了便捷性。但是,随着云服务的不断普及,安全问题已成为制约其发展的重要因素。
比如,云服务平台中包括有云数据服务,其通常用于搭载用于需要云存储的数据。而若云服务平台的IP地址能够被用户直接获取,那么当黑客获取到用户权限后,可以通过云服务平台的IP地址入侵云服务平台,从而盗取存储于云服务平台内的机密文件,或对云服务平台进行网络攻击。
发明内容
为了降低云服务平台被用户端攻击的风险,本申请提供一种云服务平台和用户端的安全通信方法和云隔离安全系统。
第一方面,本申请提供的一种云服务平台和用户端的安全通信方法,采用如下的技术方案:
一种云服务平台和用户端的安全通信方法,包括:
建立步骤,在云服务平台和用户端之间建立隔离系统,其中隔离系统和云服务平台均位于云端,隔离系统包括外服务器和内服务器,外服务器的地址供用户端获取,内服务器开放的端口为摆渡端口和交换端口,摆渡端口用于内服务器和外服务器进行通信,交换端口用于内服务器与云服务平台进行通信;
接收步骤,外服务器接收用户端的初始请求报文;
检查步骤,外服务器对初始请求报文进行安全检查并预处理;
外剥离步骤,外服务器剥离出初始请求报文内的应用层数据,并重组为请求数据,其中请求数据为文件格式数据;
摆渡上传步骤,外服务器将请求数据经由摆渡端口上传至内服务器;
内重组步骤,内服务器将请求数据转化为中间请求报文,并通过交换端口将中间请求报文发送至云服务平台;
内剥离步骤,内服务器接收云服务平台发出的中间响应报文,剥离出中间响应报文内的应用层数据,并重组为响应数据,其中中间响应报文为云服务平台对中间请求报文的应答,响应数据为文件格式数据;
摆渡下载步骤,内服务器将响应数据经由摆渡端口下载至外服务器;
外重组步骤,外服务器将响应数据转化为最终响应报文;
发送步骤,外服务器将最终响应报文发送到用户端。
通过采用上述技术方案,隔离系统将云服务平台和用户端分隔,其中,与用户端进行通信的外服务器中无法与云服务平台进行直接通讯,也就是说,外服务器中无法获取也未存储有云服务平台的IP地址。而内服务器只开放与外服务器和云服务平台通信的端口,也就是说,内服务器无法与用户端进行通信,用户端即使拥有外网服务器的合法权限,也无法获得内服务器中存储的云服务平台的IP地址。隔离系统部署于云服务平台提供商的云端服务器上,而非设置在用户本地或服务提供商本地,隔离系统与用户之间产生物理隔离,避免用户直接对隔离系统进行物理操作而获取云服务平台IP地址的风险。综上,隔离系统降低了用户直接获取云服务平台IP地址以攻击云服务平台的风险。
此外,隔离系统所在的云端服务器与搭载云服务平台的云端服务器可以位于同一区域,比如隔离系统所在的云端服务器与搭载云服务平台的云端服务器位于同一台服务器设备上,或者隔离系统所在的云端服务器与搭载云服务平台的云端服务器位于同一局域网内,以使得隔离系统与云服务平台的通讯更为高效。
在检查步骤中,外服务器对初始请求报文进行安全检查,甄别用户的初始请求报文中是否合规安全,若合规安全则进入下一步骤,否则终止该次通信。比如在用户的初始请求报文中,包含网络攻击行为,比如syn flooding、icmp flooding、udp flooding、ping ofdeath,则判断该初始请求报文不合规并终止该次通信。
在外剥离步骤中,去除初始请求报文中网络报头等无用信息,剥离出应用层信息并重新整合为请求数据,使得请求数据脱离原有的网络协议,实现更加安全的通讯。再将请求数据通过摆渡端口上传至内服务器。由于摆渡端口仅对内服务器开放,其可以对应有专门的密钥进行加密,从而防止请求数据泄密,起到了部分真实网闸专用交换硬件安全性能。
在内服务器接收到请求数据后,将该请求数据恢复为中间请求报文,并经由交换端口将中间请求报文上传到云服务平台,云服务平台接收到信息后产生交互操作,交互动作的类型视中间请求报文的内容而定,比如提供云数据服务等。
云服务平台基于交互操作产生中间响应报文,以对用户端的请求作出应答。在内剥离步骤中,内服务器接收云服务平台发出的中间响应报文,并除去报文中网络报头等信息,剥离出应用层信息并重新整合为响应数据,在这过程中,蕴含云服务平台IP地址的网络报头等被去除,不会传输到外服务器中,从而实现含云服务平台IP地址的保密,降低了用户直接获取云服务平台IP地址以攻击云服务平台的风险。
优选的,所述接收步骤包括:
接收用户端的连接请求;
获取用户端的地址,并将用户端的地址与黑名单进行对比,若用户端的地址在黑名单上,则拒绝该用户端的连接请求并结束;若否,则与用户端建立连接并进行下一步骤;其中,黑名单存储于外服务器;
外服务器接收用户端的初始请求报文。
通过采用上述技术方案,判断用户端是否处于黑名单中,从而预判断该用户的请求蕴含网络攻击行为的风险。通过筛除高风险用户的请求,降低外服务器受到的安全风险。
优选的,所述检查步骤包括:
对初始请求报文进行解码并生成解码数据包;
将解码数据包传送到预处理器中进行处理,其中预处理器设置于外服务器中;
将解码数据包传送至检测引擎,检测引擎检索规则文件中的选项以匹配解码数据包的特征和信息;若匹配成功则断开与用户端的连接,并将解码数据包对应初始请求报文的源地址添加入所述黑名单;若检索结束后仍未匹配则进入下一步;其中,检测引擎位于外服务器中,规则文件预录入于外服务器中。
优选的,解码数据包对应初始请求报文的源地址被添加入所述黑名单后,经过预设定时间间隔后从黑名单中删除。
通过采用上述技术方案,不同选项规则文件中的每个关键字选项对应于检测引擎插件,能够提供不同的检测功能,以来对每个解码数据包的特征和信息进行单一、简单的检测,规则文件的键字选项可以为网络攻击行为特征,比如syn flooding、icmp flooding、udp flooding、ping of death等攻击行为的特征。检测引擎插件对解码数据包提供额外的检测功能,判断解码数据包是否安全合规。若合规安全则进入下一步骤,否则终止该次通信。
此外,将蕴含网络攻击行为特征的初始报文网络源地址添加入黑名单中,可以缓解预处理器和检测引擎的处理压力,提高处理效率。
优选的,所述外剥离步骤和摆渡上传步骤之间还包括外加密步骤,外加密步骤对请求数据进行加密处理;所述摆渡上传步骤和内重组步骤之间还包括内解密步骤,所述内解密步骤对请求数据进行解密处理;所述内剥离步骤和摆渡下载步骤之间还包括内加密步骤,所述内加密步骤对响应数据进行加密处理;所述摆渡下载步骤和外重组步骤还包括外解密步骤,所述外解密步骤对响应数据进行解密处理。
通过采用上述技术方案,外加密步骤相应于内解密步骤,内加密步骤相应于内解密步骤,均采用对称加解密算法。对比真实网闸,真实网闸使用了物理隔离交换专用硬件设备进行数据交换,而隔离系统通过加密来达到部分真实网闸专用交换硬件安全性能。
第二方面,本申请提供的一种云隔离安全系统,采用如下的技术方案:
一种云隔离安全系统,用于上述的云服务平台和用户端的安全通信方法,包括外服务器和内服务器,外服务器的地址供用户端获取,内服务器开放的端口为摆渡端口和交换端口,摆渡端口用于内服务器和外服务器进行通信,交换端口用于内服务器与云服务平台进行通信;
所述外服务器包括:
外接收模块,用于接收用户端的初始请求报文;
检查模块,用于对初始请求报文进行安全检查并预处理;
外剥离模块,用于剥离出初始请求报文内的应用层数据,并重组为请求数据,其中请求数据为文件格式数据;
摆渡上传模块,将请求数据经由摆渡端口上传至内服务器;
所述内服务器包括:
内重组模块,用于将请求数据转化为中间请求报文,并通过交换端口将中间请求报文发送至云服务平台;
内剥离模块,用于接收云服务平台的中间响应报文,剥离出中间响应报文内的应用层数据,并重组为响应数据,其中中间响应报文对应于中间请求报文,响应数据为文件格式数据;
摆渡下载步骤,用于将响应数据经由摆渡端口下载至外服务器;
所述外服务器还包括:
外重组模块,用于将响应数据转化为最终响应报文;
发送模块,用于将最终响应报文发送到用户端。
通过采用上述技术方案,隔离系统将云服务平台和用户端分隔,其中,与用户端进行通信的外服务器中无法与云服务平台进行直接通讯也就是说,外服务器中无法获取也未存储有云服务平台的IP地址。而内服务器只开放与外服务器和云服务平台通信的端口,也就是说,内服务器无法与用户端进行通信,用户端即使拥有外网服务器合法权限,也无法获得内服务器中存储的云服务平台的IP地址。综上,降低了用户直接获取云服务平台IP地址以攻击云服务平台的风险。
外服务器的检查模块对初始请求报文进行安全检查,甄别用户的初始请求报文中是否合规安全,比如是否包含网络攻击行为,若不合规则对该初始请求报文进行预处理,比如终止通信,将该初始请求报文的源地址添加入黑名单等。外剥离模块去除初始请求报文中网络报头等无用信息,剥离出应用层信息并重新整合为请求数据,请求数据为文件格式数据,使得请求数据脱离原有的网络协议,实现更加安全的通讯。再将请求数据通过摆渡端口上传至内服务器。由于摆渡端口仅对内服务器开放,其可以对应有专门的密钥进行加密,从而防止请求数据泄密,起到了部分真实网闸专用交换硬件安全性能。
内服务器的内重组模块接收到请求数据后,将该请求数据恢复为中间请求报文,并经由交换端口将中间请求报文上传到云服务平台,云服务平台接收到信息后产生交互操作,交互动作的类型视中间请求报文的内容而定,比如提供云数据服务等。
云服务平台基于交互操作产生中间响应报文,以对用户端的请求作出应答。内剥离模块接收云服务平台发出的中间响应报文,并除去报文中网络报头等信息,剥离出应用层信息并重新整合为响应数据,在这过程中,蕴含云服务平台IP地址的网络报头等被去除,不会传输到外服务器中,从而实现含云服务平台IP地址的保密,降低了用户直接获取云服务平台IP地址以攻击云服务平台的风险。
内剥离模块将响应数据经由摆渡端口传输至外重组模块,外重组模块再将响应数据添加上网络报头等信息,恢复为最终响应报文,发送模块将最终响应报文发送到用户端,从而完成对客户初始请求报文的一次应答过程。
优选的,检查模块包括解码单元、预处理器和检测引擎,
所述解码单元用于对初始请求报文进行解码并生成解码数据包;
所述预处理器用于接收解码数据包并进行处理;
所述检测引擎用于接收预处理器处理后的解码数据包并匹配规则文件中的选项和解码数据包的特征和信息,并将匹配成功的数据解码包对应初始请求报文的源地址添加入所述黑名单。
通过采用上述技术方案,不同选项规则文件中的每个关键字选项对应于检测引擎插件,能够提供不同的检测功能,以来对每个解码数据包的特征和信息进行单一、简单的检测,规则文件的键字选项可以为网络攻击行为特征,比如syn flooding、icmp flooding、udp flooding、ping of death等攻击行为的特征。检测引擎插件对解码数据包提供额外的检测功能,判断解码数据包是否安全合规。若合规安全则进入下一步骤,否则终止该次通信。此外,将蕴含网络攻击行为特征的初始报文网络源地址添加入黑名单中,缓解了预处理器和检测引擎的处理压力,提高处理效率。
优选的,所述外接收模块内设置有黑名单,所述外接收模块用于将用户端的地址与黑名单进行对比,并在初始请求报文和对比信息的特征相同时将用户端的地址添加进黑名单。
通过采用上述技术方案,接收模块判断用户端是否处于黑名单中,从而预判断该用户的请求蕴含网络攻击行为的风险。通过筛除高风险用户的请求,降低外服务器受到的安全风险。
优选的,所述外服务器还包括外加密模块,所述外加密模块对请求数据进行加密处理;所述内服务器还包括内解密模块和内加密模块,所述内解密模块用于对请求数据进行解密处理,所述内加密模块用于对响应数据进行加密处理;所述外服务器还包括外解密模块,所述外解密模块用于对响应数据进行解密处理。
通过采用上述技术方案,加密模块和解密模块采用的是对称加解密算法。对比真实网闸,真实网闸使用了物理隔离交换专用硬件设备进行数据交换,而隔离系统通过加密来达到部分真实网闸专用交换硬件安全性能。
附图说明
图1是本申请实施例中一种云服务平台和用户端的安全通信方法的程序框图;
图2是本申请实施例中接收步骤的程序框图;
图3是本申请实施例中检查步骤的程序框图;
图4是本申请实施例中一种云隔离安全系统的结构示意图。
具体实施方式
以下结合附图1-4,对本申请作进一步详细说明。
云服务平台用于提供硬件资源和软件资源的服务,其能够提供计算、网络和存储能力。云服务平台上通常搭载有多种软件,用户只需使用网络接口便可访问应用软件。举个例子,云服务平台提供的云数据库,使得人们能够实现数据在线存储,而无需购买实体存储器。用户端通常指连入网络的计算机,其接受网络服务器的控制和管理,具有确定的IP地址。
本申请实施例公开一种云服务平台和用户端的安全通信方法,通过将云服务平台和用户端进行隔离,以起到一部分真实网闸的效果,降低用户端对云服务平台进行网络攻击的风险。参照图1,该安全通信方法包括:
S1.建立步骤,在云服务平台和用户端之间建立隔离系统,其中隔离系统和云服务平台均位于云端,隔离系统包括外服务器和内服务器,外服务器的地址供用户端获取,内服务器开放的端口为摆渡端口和交换端口,摆渡端口用于内服务器和外服务器进行通信,交换端口用于内服务器与云服务平台进行通信。
云端上的云服务平台搭载有多云服务,比如设备共享服务,制造任务协同加工服务、工艺优化服务、设备网络化继承服务、远程维修维护服务、智能生产线构建服务等。而隔离系统将云服务平台和用户端分隔,其中外服务器和内服务器可以是物理隔离的,也可以是同一装置中虚拟建立而成的。外服务器朝向外部网络环境开放端口,外部网络环境中的用户端可以通过访问DNS服务器以获取外服务器的IP地址,从而与外服务器进行通信。外服务器必须通过内服务器才能与云服务平台进行通信,且该通信方式为间接通信,也就是说,外服务器中只会存储有用户端的IP地址和内服务器的IP地址,不存储有云服务平台的IP地址。外服务器在设置时对行为进行规范,禁止外服务器从内服务器中获取云服务平台的IP地址。因此,即使用户拥有外服务器的合法权限,也至多从外服务器中获取到内服务器的IP地址,而无法获取云服务平台的IP地址,无法与云服务平台建立直接通信,从而无法对云服务平台进行直接的网络攻击。对于云服务平台来说,破坏、揭露、修改、使平台服务失去功能、在没有得到授权的情况下偷取或访问云服务平台上存储的数据,都会被视为对云服务平台的攻击。
S2.接收步骤,外服务器接收用户端的初始请求报文。
通常而言,外服务器通过三次握手与用户端建立通信,并接收用户端的初始请求报文。在握手时,需要对用户端进行甄别,以降低收到网络攻击的风险。
参照图2,S2可细分为以下步骤:
S21.接收用户端的连接请求;
S22.获取用户端的地址,并将用户端的地址与黑名单进行对比,若用户端的地址在黑名单上,则拒绝该用户端的连接请求并结束;若否,则与用户端建立连接并进行下一步骤;其中,黑名单存储于外服务器;
S23.外服务器接收用户端的初始请求报文。
外服务器与用户端的三次握手分别为客户端请求与服务器端建立连接、服务器端针对客户端进行确认应答并请求与客户端建立连接、客户端对服务器端进行确认应答并建立连接。在客户端请求与服务器端建立连接时,外服务器对黑名单中存储的IP地址进行检查,对比用户端的IP地址是否处于黑名单中。黑名单是用于存储高风险用户端的IP地址的列表,举个例子,高风险用户端可以是曾经攻击过外服务器的用户端。通过判断用户端是否处于黑名单中,以预判断该用户的请求蕴含网络攻击行为的风险。通过筛除高风险用户的请求,降低了外服务器受到的安全风险。
此外,外服务器采用防火墙白名单技术,外服务器的初始状态预先设置只允许包括页面配置管理口、工业协议业务需要通信的端口、目的地址的通信,除此之外的全部通讯全部拦截。同时,限制外服务器接收到的通信协议,比如只允许UDP、TCP、ICMP等协议对应的通讯端口接入。
S3.检查步骤,外服务器对初始请求报文进行安全检查。
外服务器对初始请求报文进行安全检查,甄别用户的初始请求报文中是否合规安全,若合规安全则进入下一步骤,否则终止该次通信。
参照图3,S3可细分为以下步骤:
S31.对初始请求报文进行解码并生成解码数据包。
举个例子,对于允许通讯的数据,利用libpcap从网卡捕获网络上的初始请求报文,然后初始请求报文经过解码引擎填入到链路层协议的包结构体中,以便对高层次的协议进行解码,如TCP和UDP端口。
S32.将解码数据包传送到预处理器中进行处理,其中预处理器设置于外服务器中。
预处理器具有多个,且为不同的类型。数据包被送到各种各样的预处理器中,在检测引擎处理之前进行检查和操作,每个预处理器在检查数据包判断是否应该注意或者修改解码数据包,或者进行报警。举个例子,
S33.将解码数据包传送至检测引擎,检测引擎检索规则文件中的选项以匹配解码数据包的特征和信息;若匹配成功则断开与用户端的连接,并将解码数据包对应初始请求报文的源地址添加入所述黑名单;若检索结束后仍未匹配则进入下一步;其中,检测引擎位于外服务器中,规则文件预录入于外服务器中。
可选的,解码数据包对应初始请求报文的源地址被添加入所述黑名单后,经过预设定时间间隔后从黑名单中删除。
不同选项规则文件中的每个关键字选项对应于检测引擎插件,能够提供不同的检测功能,以来对每个解码数据包的特征和信息进行单一、简单的连续数据包上下文检测,规则文件的关键字选项可以为网络攻击行为特征,比如syn flooding、icmp flooding、udpflooding、ping of death等攻击行为的特征。检测引擎插件对解码数据包提供额外的检测功能,判断解码数据包是否安全合规。若合规安全则进入下一步骤,否则终止该次通信,并将解码数据包对应初始请求报文的源地址添加入黑名单。将蕴含网络攻击行为特征的初始报文网络源地址添加入黑名单中,可以缓解预处理器和检测引擎的处理压力,提高处理效率。
举个例子,设置了SYN标记的数据报文进入预处理器,会被关注做初步记录,在一定时间段内同一个源地址发过来的SYN请求会记录次数,在检测引擎里面会判断这个一定时间段内来自同一个客户端IP地址的半连接请求次数达到一定阈值就判断这个IP地址的数据报文存在SYN Flooding的攻击行为,会通过iptables拦截来自该客户端IP地址的数据报文,并记录告警日志。待一段老化时间后如果没有SYN请求报文过来,就会把这个拦截释放掉。
S4.外剥离步骤,外服务器剥离出初始请求报文内的应用层数据,并重组为请求数据,其中请求数据为文件格式数据。
初始请求报文包括应用层数据、IP报文头、TCP报文头等,其中应用层数据为包含用户请求内容的数据。
S5.摆渡上传步骤,外服务器将请求数据经由摆渡端口上传至内服务器。
S6.内重组步骤,内服务器将请求数据转化为中间请求报文,并通过交换端口将中间请求报文发送至云服务平台。
可选的,在S4和S5之间设置外加密步骤,外加密步骤中外服务器请求数据进行加密处理;在S5和S6之间设置内解密步骤,内解密步骤中内服务器对被加密的请求数据进行解密。举个例子,在外服务器和内服务器中可以存储有同样的密钥,通过对称加密算法对请求数据进行加解密。
初始请求报文的类型决定了云服务平台提供的服务,产生的交互也不相同,比如云服务平台根据初始请求报文向用户端提供云数据服务。
S7.内剥离步骤,内服务器接收云服务平台发出的中间响应报文,剥离出中间响应报文内的应用层数据,并重组为响应数据,其中中间响应报文为云服务平台对中间请求报文的应答,响应数据为文件格式数据。
云服务平台基于交互操作产生中间响应报文,以对用户端的请求作出应答。在内剥离步骤中,内服务器接收云服务平台发出的中间响应报文,并除去报文中网络报头等信息,剥离出应用层信息并重新整合为响应数据,在这过程中,蕴含云服务平台IP地址的网络报头等被去除,不会传输到外服务器中,从而实现含云服务平台IP地址的保密,降低了用户直接获取云服务平台IP地址以攻击云服务平台的风险。
S8. 摆渡下载步骤,内服务器将响应数据经由摆渡端口下载至外服务器。
S9. 外重组步骤,外服务器将响应数据转化为最终响应报文。
响应数据经由摆渡端口被下载至外服务器,外服务器再经过将响应数据添加上网络报头等信息。
可选的,在S7和S8之间设置内加密步骤,内加密步骤中内服务器响应数据进行加密处理;在S8和S9之间设置外解密步骤,外解密步骤中外服务器对被加密的响应数据进行解密。
S10. 发送步骤,外服务器将最终响应报文发送到用户端。
从步骤S1-S10,即完成了云服务平台对用户端初始请求报文的一次应答过程。
本申请实施例还公开一种云隔离安全系统。参照图4,云隔离安全系统包括外服务器和内服务器,外服务器的地址供用户端获取,内服务器开放的端口为摆渡端口和交换端口,摆渡端口用于内服务器和外服务器进行通信,交换端口用于内服务器与云服务平台进行通信;
外服务器包括用于接收用户端的初始请求报文的外接收模块、用于对初始请求报文进行安全检查并预处理的检查模块、用于剥离出初始请求报文内的应用层数据并重组为请求数据的外剥离模块、用于对请求数据进行加密的外加密模块、用于将响应数据进行解密的外解密模块、以及用于将请求数据经由摆渡端口上传至内服务器的摆渡上传模块。
其中,外接收模块内设置有黑名单,外接收模块用于将用户端的地址与黑名单进行对比,并在初始请求报文和对比信息的特征相同时将用户端的地址添加进黑名单。
检查模块包括解码单元、预处理器和检测引擎,解码单元用于对初始请求报文进行解码并生成解码数据包,预处理器用于接收解码数据包并进行处理,检测引擎用于接收预处理器处理后的解码数据包并匹配规则文件中的选项和解码数据包的特征和信息,并将匹配成功的数据解码包对应初始请求报文的源地址添加入黑名单。
内服务器包括用于将请求数据转化为中间请求报文并通过交换端口将中间请求报文发送至云服务平台的内重组模块、用于对请求数据进行解密的内解密模块、用于接收云服务平台的中间响应报文并剥离出中间响应报文内的应用层数据以重组为响应数据的内剥离模块、用于对响应数据进行加密的内加密模块、以及用于将响应数据经由摆渡端口下载至外服务器的摆渡下载模块。
以上均为本申请的较佳实施例,并非依此限制本申请的保护范围,故:凡依本申请的结构、形状、原理所做的等效变化,均应涵盖于本申请的保护范围之内。
Claims (7)
1.一种云服务平台和用户端的安全通信方法,其特征在于,包括:
建立步骤,在云服务平台和用户端之间建立隔离系统,其中隔离系统和云服务平台均位于云端,隔离系统包括外服务器和内服务器,外服务器的地址供用户端获取,内服务器开放的端口为摆渡端口和交换端口,摆渡端口用于内服务器和外服务器进行通信,交换端口用于内服务器与云服务平台进行通信;
接收步骤,外服务器接收用户端的初始请求报文;
检查步骤,外服务器对初始请求报文进行安全检查并预处理;所述检查步骤包括:
对初始请求报文进行解码并生成解码数据包;
将解码数据包传送到预处理器中进行处理,其中预处理器设置于外服务器中;
将解码数据包传送至检测引擎,检测引擎检索规则文件中的选项以匹配解码数据包的特征和信息;若匹配成功则断开与用户端的连接,并将解码数据包对应初始请求报文的源地址添加入黑名单;若检索结束后仍未匹配则进入下一步;其中,检测引擎位于外服务器中,规则文件预录入于外服务器中;
外剥离步骤,外服务器剥离出初始请求报文内的应用层数据,并重组为请求数据,其中请求数据为文件格式数据;
摆渡上传步骤,外服务器将请求数据经由摆渡端口上传至内服务器;
内重组步骤,内服务器将请求数据转化为中间请求报文,并通过交换端口将中间请求报文发送至云服务平台;
内剥离步骤,内服务器接收云服务平台发出的中间响应报文,剥离出中间响应报文内的应用层数据,并重组为响应数据,其中中间响应报文为云服务平台对中间请求报文的应答,响应数据为文件格式数据;
摆渡下载步骤,内服务器将响应数据经由摆渡端口下载至外服务器;
外重组步骤,外服务器将响应数据转化为最终响应报文;
发送步骤,外服务器将最终响应报文发送到用户端。
2.根据权利要求1所述的云服务平台和用户端的安全通信方法,其特征在于,所述接收步骤包括:
接收用户端的连接请求;
获取用户端的地址,并将用户端的地址与黑名单进行对比,若用户端的地址在黑名单上,则拒绝该用户端的连接请求并结束;若否,则与用户端建立连接并进行下一步骤;其中,黑名单存储于外服务器;
外服务器接收用户端的初始请求报文。
3.根据权利要求1所述的云服务平台和用户端的安全通信方法,其特征在于,
外剥离步骤和摆渡上传步骤之间还包括外加密步骤,外加密步骤中外服务器对请求数据进行加密处理;
摆渡上传步骤和内重组步骤之间还包括内解密步骤,内解密步骤中内服务器对请求数据进行解密处理;
内剥离步骤和摆渡下载步骤之间还包括内加密步骤,内加密步骤中内服务器对响应数据进行加密处理;
所述摆渡下载步骤和外重组步骤还包括外解密步骤,外解密步骤中外服务器对响应数据进行解密处理。
4.一种云隔离安全系统,其特征在于,用于权利要求1~3任意一项所述的云服务平台和用户端的安全通信方法,包括外服务器和内服务器,外服务器的地址供用户端获取,内服务器开放的端口为摆渡端口和交换端口,摆渡端口用于内服务器和外服务器进行通信,交换端口用于内服务器与云服务平台进行通信;
所述外服务器包括:
外接收模块,用于接收用户端的初始请求报文;
检查模块,用于对初始请求报文进行安全检查并预处理;
外剥离模块,用于剥离出初始请求报文内的应用层数据,并重组为请求数据,其中请求数据为文件格式数据;
摆渡上传模块,将请求数据经由摆渡端口上传至内服务器;
所述内服务器包括:
内重组模块,用于将请求数据转化为中间请求报文,并通过交换端口将中间请求报文发送至云服务平台;
内剥离模块,用于接收云服务平台的中间响应报文,剥离出中间响应报文内的应用层数据,并重组为响应数据,其中中间响应报文对应于中间请求报文,响应数据为文件格式数据;
摆渡下载步骤,用于将响应数据经由摆渡端口下载至外服务器;
所述外服务器还包括:
外重组模块,用于将响应数据转化为最终响应报文;
发送模块,用于将最终响应报文发送到用户端。
5.根据权利要求4所述的云隔离安全系统,其特征在于,检查模块包括解码单元、预处理器和检测引擎,
所述解码单元用于对初始请求报文进行解码并生成解码数据包;
所述预处理器用于接收解码数据包并进行处理;
所述检测引擎用于接收预处理器处理后的解码数据包并匹配规则文件中的选项和解码数据包的特征和信息,并将匹配成功的数据解码包对应初始请求报文的源地址添加入所述黑名单。
6.根据权利要求4所述的云隔离安全系统,其特征在于,所述外接收模块内设置有黑名单,所述外接收模块用于将用户端的地址与黑名单进行对比,并在初始请求报文和对比信息的特征相同时将用户端的地址添加进黑名单。
7.根据权利要求4所述的云隔离安全系统,其特征在于,所述外服务器还包括外加密模块,所述外加密模块对请求数据进行加密处理;所述内服务器还包括内解密模块和内加密模块,所述内解密模块用于对请求数据进行解密处理,所述内加密模块用于对响应数据进行加密处理;所述外服务器还包括外解密模块,所述外解密模块用于对响应数据进行解密处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011305284.7A CN112532702B (zh) | 2020-11-19 | 2020-11-19 | 云服务平台和用户端的安全通信方法和云隔离安全系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011305284.7A CN112532702B (zh) | 2020-11-19 | 2020-11-19 | 云服务平台和用户端的安全通信方法和云隔离安全系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112532702A CN112532702A (zh) | 2021-03-19 |
| CN112532702B true CN112532702B (zh) | 2023-07-28 |
Family
ID=74982609
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011305284.7A Active CN112532702B (zh) | 2020-11-19 | 2020-11-19 | 云服务平台和用户端的安全通信方法和云隔离安全系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112532702B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101247261A (zh) * | 2007-07-18 | 2008-08-20 | 北京高信达网络科技有限公司 | 一种防止DDos攻击的方法及设备 |
| CN105827646A (zh) * | 2016-05-17 | 2016-08-03 | 浙江宇视科技有限公司 | Syn攻击防护的方法及装置 |
| CN109088878A (zh) * | 2018-09-03 | 2018-12-25 | 中新网络信息安全股份有限公司 | 一种抗拒绝云防护系统的报文处理方法 |
-
2020
- 2020-11-19 CN CN202011305284.7A patent/CN112532702B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101247261A (zh) * | 2007-07-18 | 2008-08-20 | 北京高信达网络科技有限公司 | 一种防止DDos攻击的方法及设备 |
| CN105827646A (zh) * | 2016-05-17 | 2016-08-03 | 浙江宇视科技有限公司 | Syn攻击防护的方法及装置 |
| CN109088878A (zh) * | 2018-09-03 | 2018-12-25 | 中新网络信息安全股份有限公司 | 一种抗拒绝云防护系统的报文处理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112532702A (zh) | 2021-03-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8413248B2 (en) | Method for secure single-packet remote authorization | |
| EP1632862B1 (en) | Address conversion method, access control method, and device using these methods | |
| US7552323B2 (en) | System, apparatuses, methods, and computer-readable media using identification data in packet communications | |
| US7370354B2 (en) | Method of remotely managing a firewall | |
| CN112468518B (zh) | 访问数据处理方法、装置、存储介质及计算机设备 | |
| CN104322001A (zh) | 使用服务名称识别的传输层安全流量控制 | |
| CN111988289B (zh) | Epa工业控制网络安全测试系统及方法 | |
| CN114143068B (zh) | 电力物联网网关设备容器安全防护系统及其方法 | |
| CN108712364B (zh) | 一种sdn网络的安全防御系统及方法 | |
| CA2506418C (en) | Systems and apparatuses using identification data in network communication | |
| CN114938312B (zh) | 一种数据传输方法和装置 | |
| CN110691097A (zh) | 一种基于hpfeeds协议的工控蜜罐的系统及其工作方法 | |
| CN113904826B (zh) | 数据传输方法、装置、设备和存储介质 | |
| CN114390049A (zh) | 一种应用数据获取方法及装置 | |
| CN112532702B (zh) | 云服务平台和用户端的安全通信方法和云隔离安全系统 | |
| CN116346421A (zh) | 一种船岸信息通信方法及装置 | |
| CN112688948B (zh) | 一种对象处理方法及装置 | |
| US10079857B2 (en) | Method of slowing down a communication in a network | |
| CN118300899B (zh) | 授权通信方法、装置、计算机设备及存储介质 | |
| CN117955735B (zh) | 一种数据安全访问控制方法、系统及存储介质 | |
| US20120131169A1 (en) | System and method for controlling an un-addressable network appliance | |
| CN116684119A (zh) | 流量数据处理方法、装置、存储介质及安全设备 | |
| CN116405346A (zh) | 一种vpn通道建立方法、装置、设备及介质 | |
| CN115766151A (zh) | 鉴于两重身份的多方通信方法及系统 | |
| CN118802381A (zh) | 远程控制指令的执行方法、设备、服务器及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |