CN113037758A - 安全漏洞扫描方法、装置以及计算机可读介质 - Google Patents

安全漏洞扫描方法、装置以及计算机可读介质 Download PDF

Info

Publication number
CN113037758A
CN113037758A CN202110270769.5A CN202110270769A CN113037758A CN 113037758 A CN113037758 A CN 113037758A CN 202110270769 A CN202110270769 A CN 202110270769A CN 113037758 A CN113037758 A CN 113037758A
Authority
CN
China
Prior art keywords
node
security vulnerability
target tenant
engine
management node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110270769.5A
Other languages
English (en)
Other versions
CN113037758B (zh
Inventor
刘爱辉
杨晓琴
丁海虹
刘云鹏
沈呈
杨国艳
曹凯
张文童
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Construction Bank Corp
Original Assignee
China Construction Bank Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Construction Bank Corp filed Critical China Construction Bank Corp
Priority to CN202110270769.5A priority Critical patent/CN113037758B/zh
Publication of CN113037758A publication Critical patent/CN113037758A/zh
Application granted granted Critical
Publication of CN113037758B publication Critical patent/CN113037758B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请实施例公开了一种安全漏洞扫描方法、装置以及计算机可读介质,该方法应用于管理节点,管理节点部署于underlay网络环境,管理节点向部署于overlay网络环境的引擎节点发送漏洞扫描控制命令,接收引擎节点发送的每一个目标租户端的安全漏洞信息,其中目标租户端部署于overlay网络环境。由于引擎节点与管理节点之间处于保持通信连接不中断状态,保持通信连接不中断状态由引擎节点主动链接管理节点,并建立引擎节点与管理节点之间的长连接构建得到,因此在保障overlay网络环境的租户的隐私的条件下,能够让underlay环境中的管理节点实现统一控制获取多个目标租户端的安全漏洞信息,满足了公有云供应商想要保障公有云环境安全的需求。

Description

安全漏洞扫描方法、装置以及计算机可读介质
技术领域
本申请涉及计算机技术领域,尤其涉及一种安全漏洞扫描方法、装置以及计算机可读介质。
背景技术
公有云指第三方提供商为租户提供的能够使用的云。现有技术中,在公有云环境下,为了保障租户的隐私安全,通常会将公有云环境下的租户部署在overlay网络环境内,而公有云可为租户提供的统一服务则部署在underlay网络环境内。租户所在的overlay网络环境可主动调用部署在underlay网络环境的基础服务,但是公有云平台的underlay服务无法主动访问租户端,无法获取租户个人的隐私内容,进而保障了租户的隐私安全。
然而,随着公有云应用越来越广泛,公有云的供应商为了提高对租户的安全保障,想要统一监测租户的安全漏洞情况,以保障公有云环境的安全。但现有的公有云环境,出于对租户隐私的考虑,只能由overlay网络环境的租户主动访问underlay环境的公有云平台,underlay环境的公有云平台无法主动统一获取租户端的安全漏洞情况,无法实现统一监测各租户的安全漏洞情况,不能够满足公有云供应商想要保障公有云环境安全的需求。
发明内容
基于上述现有技术的不足,本申请提出了一种安全漏洞扫描方法、装置以及计算机可读介质,以实现统一监控管理公有云租户的安全漏洞情况。
为解决上述问题,现提出的方案如下:
本申请第一方面公开了一种安全漏洞扫描方法,应用于管理节点,所述管理节点部署于underlay网络环境,所述安全漏洞扫描方法包括:
向部署于overlay网络环境的引擎节点发送漏洞扫描控制命令;其中,所述引擎节点与所述管理节点之间处于保持通信连接不中断状态;所述保持通信连接不中断状态由所述引擎节点主动链接所述管理节点,并建立所述引擎节点与所述管理节点之间的长连接构建得到;所述漏洞扫描控制命令用于控制所述引擎节点获取多个目标租户端的安全漏洞信息;
接收所述引擎节点发送的每一个所述目标租户端的安全漏洞信息;其中,所述目标租户端部署于overlay网络环境;所述目标租户端的安全漏洞信息由所述引擎节点向所述目标租户端进行漏洞扫描得到。
可选地,在上述安全漏洞扫描方法中,所述向部署于overlay网络环境的引擎节点发送漏洞扫描控制命令,包括:
通过OpenVPN内置的控制通道向部署于overlay网络环境的引擎节点发送漏洞扫描控制命令;其中,所述保持通信连接不中断状态由所述引擎节点主动链接所述管理节点,并通过所述OpenVPN建立引擎节点与所述管理节点之间的长连接构建得到;
所述接收所述引擎节点发送的每一个所述目标租户端的安全漏洞信息,包括:
通过所述OpenVPN内置的数据通道接收所述引擎节点发送的每一个所述目标租户端的安全漏洞信息。
可选地,在上述安全漏洞扫描方法中,所述通过所述OpenVPN内置的数据通道接收所述引擎节点发送的每一个所述目标租户端的安全漏洞信息,包括:
通过所述OpenVPN内置的数据通道,接收所述引擎节点通过用户数据报协议或者传输控制协议所传输的每一个所述目标租户端的安全漏洞信息。
本申请第二方面公开了一种安全漏洞扫描方法,应用于引擎节点,所述引擎节点部署于overlay网络环境,所述安全漏洞扫描方法包括:
接收部署于underlay网络环境的管理节点发送的漏洞扫描控制命令;其中,所述引擎节点与所述管理节点之间处于保持通信连接不中断状态;所述保持通信连接不中断状态由所述引擎节点主动链接所述管理节点,并建立所述引擎节点与所述管理节点之间的长连接构建得到;所述漏洞扫描控制命令用于控制所述引擎节点获取多个目标租户端的安全漏洞信息;
分别向每一个所述目标租户端进行安全漏洞扫描,得到每一个所述目标租户端的安全漏洞信息;其中,所述目标租户端部署于overlay网络环境;
将每一个所述目标租户端的安全漏洞信息发送至所述管理节点。
可选地,在上述安全漏洞扫描方法中,所述引擎节点与所述管理节点之间的保持通信连接不中断状态的构建方法,包括:
主动链接所述管理节点;
通过OpenVPN构建与所述管理节点之间的长连接,使得所述引擎节点与所述管理节点之间处于保持通信连接不中断状态。
可选地,在上述安全漏洞扫描方法中,所述分别向每一个所述目标租户端进行安全漏洞扫描,得到每一个所述目标租户端的安全漏洞信息,包括:
向每一个所述目标租户端发送漏洞探测包:
接收每一个所述目标租户端响应所述漏洞探测包所得到的安全漏洞信息。
可选地,在上述安全漏洞扫描方法中,所述接收部署于underlay网络环境的管理节点发送的漏洞扫描控制命令,包括:
通过OpenVPN内置的控制通道接收部署于underlay网络环境的管理节点发送的漏洞扫描控制命令;
所述将每一个所述目标租户端的安全漏洞信息发送至所述管理节点,包括:
通过OpenVPN内置的数据通道将每一个所述目标租户端的安全漏洞信息发送至所述管理节点。
本申请第三方面公开了一种安全漏洞扫描装置,应用于管理节点,所述管理节点部署于underlay网络环境,所述安全漏洞扫描装置包括:
第一控制单元,用于向部署于overlay网络环境的引擎节点发送漏洞扫描控制命令;其中,所述引擎节点与所述管理节点之间处于保持通信连接不中断状态;所述保持通信连接不中断状态由所述引擎节点主动链接所述管理节点,并建立所述引擎节点与所述管理节点之间的长连接构建得到;所述漏洞扫描控制命令用于控制所述引擎节点获取多个目标租户端的安全漏洞信息;
第一接收单元,用于接收所述引擎节点发送的每一个所述目标租户端的安全漏洞信息;其中,所述目标租户端部署于overlay网络环境;所述目标租户端的安全漏洞信息由所述引擎节点向所述目标租户端进行漏洞扫描得到。
可选地,在上述安全漏洞扫描装置中,所述第一控制单元,包括:
第一控制子单元,用于通过OpenVPN内置的控制通道向部署于overlay网络环境的引擎节点发送漏洞扫描控制命令;其中,所述保持通信连接不中断状态由所述引擎节点主动链接所述管理节点,并通过所述OpenVPN建立引擎节点与所述管理节点之间的长连接构建得到;
所述第一接收单元,包括:
第一接收子单元,用于通过所述OpenVPN内置的数据通道接收所述引擎节点发送的每一个所述目标租户端的安全漏洞信息。
可选地,在上述安全漏洞扫描装置中,所述第一接收子单元,包括:
第二接收子单元,用于通过所述OpenVPN内置的数据通道,接收所述引擎节点通过用户数据报协议或者传输控制协议所传输的每一个所述目标租户端的安全漏洞信息。
本申请第四方面公开了一种安全漏洞扫描装置,应用于引擎节点,所述引擎节点部署于overlay网络环境,所述安全漏洞扫描装置包括:
接收单元,用于接收部署于underlay网络环境的管理节点发送的漏洞扫描控制命令;其中,所述引擎节点与所述管理节点之间处于保持通信连接不中断状态;所述保持通信连接不中断状态由所述引擎节点主动链接所述管理节点,并建立所述引擎节点与所述管理节点之间的长连接构建得到;所述漏洞扫描控制命令用于控制所述引擎节点获取多个目标租户端的安全漏洞信息;
扫描单元,用于分别向每一个所述目标租户端进行安全漏洞扫描,得到每一个所述目标租户端的安全漏洞信息;其中,所述目标租户端部署于overlay网络环境;
第一发送单元,用于将每一个所述目标租户端的安全漏洞信息发送至所述管理节点。
可选地,在上述安全漏洞扫描装置,还包括:
链接单元,用于主动链接所述管理节点;
构建单元,用于通过OpenVPN构建与所述管理节点之间的长连接,使得所述引擎节点与所述管理节点之间处于保持通信连接不中断状态。
可选地,在上述安全漏洞扫描装置,所述扫描单元,包括:
第一发送子单元,用于向每一个所述目标租户端发送漏洞探测包:
第三接收子单元,用于接收每一个所述目标租户端响应所述漏洞探测包所得到的安全漏洞信息。
可选地,在上述安全漏洞扫描装置,所述接收单元,包括:
第二发送子单元,用于通过OpenVPN内置的控制通道接收部署于underlay网络环境的管理节点发送的漏洞扫描控制命令;
所述第一发送单元,包括:
第三发送子单元,用于通过OpenVPN内置的数据通道将每一个所述目标租户端的安全漏洞信息发送至所述管理节点。
本申请第五方面公开了一种计算机可读介质,其上存储有计算机程序,其中,所述程序被处理器执行时实现如上述第一方面中任一所述的方法,或者,如上述第二方面中任一所述的方法。
本申请第六方面公开了一种设备,包括:
一个或多个处理器;
存储装置,其上存储有一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如上述第一方面中任一所述的方法,或者,如上述第二方面中任一所述的方法。
从上述技术方案可以看出,本申请实施例提出的安全漏洞扫描方法应用于管理节点,该管理节点部署于underlay网络环境,由于引擎节点与管理节点之间处于保持通信连接不中断状态,保持通信连接不中断状态由引擎节点主动链接管理节点,并建立引擎节点与管理节点之间的长连接构建得到,因此管理节点能够向部署于overlay网络环境的引擎节点发送漏洞扫描控制命令,漏洞扫描控制命令用于控制引擎节点获取多个目标租户端的安全漏洞信息。进而能够接收到引擎节点发送的每一个目标租户端的安全漏洞信息,目标租户端部署于overlay网络环境,因此目标租户端的安全漏洞信息可由引擎节点向目标租户端进行漏洞扫描得到。本申请在保障overlay网络环境的租户的隐私的条件下,通过使overlay网络环境的引擎节点与underlay环境管理节点之间处于保持通信连接不中断状态的方式,让underlay环境中的管理节点实现能够统一控制获取多个目标租户端的安全漏洞信息,满足了公有云供应商想要保障公有云环境安全的需求。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提出的一种安全漏洞扫描系统的结构示意图;
图2为本申请实施例提出的一种安全漏洞扫描方法的流程示意图;
图3为本申请实施例提出的一种保持通信连接不中断状态的构建方法的流程示意图;
图4为本申请实施例提出的一种安全漏洞信息的获取方法的流程示意图;
图5为本申请实施例提出的一种安全漏洞扫描装置的结构示意图;
图6为本申请实施例提出的另一种安全漏洞扫描装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参阅图1,本申请实施例公开了一种安全漏洞扫描系统,包括:管理节点101、引擎节点102、以及多个目标租户端103。
在公有云环境中的管理节点101和引擎节点102之间处于保持通信连接不中断状态,保持通信连接不中断状态由引擎节点102主动链接管理节点101,并建立引擎节点102与管理节点101之间的长连接构建得到。由于管理节点101和引擎节点102之间处于保持通信连接不中断状态,因此部署于underlay网络环境的管理节点101能够向部署于overlay网络环境的引擎节点102发送漏洞扫描控制命令。其中,漏洞扫描控制命令用于控制引擎节点102获取多个目标租户端103的安全漏洞信息。引擎节点102接收到管理节点101发送的漏洞扫描控制命令之后,分别向每一个部署于overlay网络环境的目标租户端103进行安全漏洞扫描,得到每一个目标租户端103的安全漏洞信息。其中目标租户端103部署于overlay网络环境。引擎节点102将每一个目标租户端103的安全漏洞信息发送至管理节点101。
需要说明的是,目标租户端103可以是公有云环境中overlay网络环境的任一租户端,管理节点101所发送的漏洞扫描控制命令可以是控制获取所有overlay网络环境的租户端的安全漏洞信息,也可以是仅控制获取overlay网络环境的部分租户端的安全漏洞信息。例如,在公有云环境中部署多个管理节点,每一个管理节点分别管理部分租户端的安全漏洞信息,因此管理节点发送的漏洞扫描控制命令只控制引擎节点获取该管理节点所管理的租户端的安全漏洞信息。
本申请实施例的安全漏洞扫描系统中,由于引擎节点102与管理节点101之间处于保持通信连接不中断状态,保持通信连接不中断状态由引擎节点102主动链接管理节点101,并建立引擎节点102与管理节点101之间的长连接构建得到,因此管理节点101能够向部署于overlay网络环境的引擎节点102发送漏洞扫描控制命令,进而引擎节点102能够分别向每一个目标租户端103进行安全漏洞扫描,然后发送的每一个目标租户端103的安全漏洞信息给管理节点101。因此本申请在保障overlay网络环境的租户的隐私的条件下,通过使overlay网络环境的引擎节点102与underlay环境的管理节点101之间处于保持通信连接不中断状态的方式,让underlay环境中的管理节点101实现能够统一控制获取多个目标租户端103的安全漏洞信息,满足了公有云供应商想要保障公有云环境安全的需求。
基于上述本申请实施例公开的安全漏洞扫描系统,下面通过几个安全漏洞扫描方法的实施例具体描述安全漏洞扫描系统中的安全漏洞扫描过程。
参阅图2,基于上述本申请实施例公开的安全漏洞扫描系统,本申请实施例公开了一种安全漏洞扫描方法,包括:
S201、管理节点向部署于overlay网络环境的引擎节点发送漏洞扫描控制命令。
其中,管理节点部署于underlay网络环境。引擎节点与管理节点之间处于保持通信连接不中断状态,保持通信连接不中断状态由引擎节点主动链接管理节点,并建立引擎节点与管理节点之间的长连接构建得到。漏洞扫描控制命令用于控制引擎节点获取多个目标租户端的安全漏洞信息。
公有云为租户提供的基础服务也部署于underlay网络环境中。为了保障租户的隐私,公有云提供的服务不能主动访问overlay网络环境的租户,租户需要公有云提供基础服务时,需要主动访问部署于underlay网络环境的基础服务。而本申请实施例中,由于引擎节点与管理节点之间处于保持通信连接不中断状态。在保持通信连接不中断状态下,部署于overlay网络环境的引擎节点与部署于underlay网络环境管理节点之间可以互相通信,打破了原本只能从overlay网络环境到underlay网络环境的单向访问的局限。保持通信连接不中断状态是由引擎节点主动链接管理节点,并建立引擎节点与管理节点之间的长连接构建得到的。虽然管理节点和引擎节点之间能够双向通信,但是部署在underlay网络环境内的公有云基础服务依然不能主动访问租户端,因此管理节点和引擎节点之间的保持通信连接不中断状态,并不会对租户的隐私造成影响。
目标租户端指的是管理节点所需获取其安全漏洞信息的租户端。租户端是公有云资源池中的虚拟服务器,供租户使用。目标租户端可以是公有云环境中overlay网络环境的任一租户端,管理节点所发送的漏洞扫描控制命令可以是控制获取所有overlay网络环境的租户端的安全漏洞信息,也可以是仅控制获取overlay网络环境的部分租户端的安全漏洞信息。例如,在公有云环境中部署多个管理节点,每一个管理节点分别管理部分租户端的安全漏洞信息,因此管理节点发送的漏洞扫描控制命令只控制引擎节点获取该管理节点所管理的部分租户端的安全漏洞信息。
需要说明的是,漏洞扫描控制命令中写有有目标租户端的标识信息,例如目标租户端的租户编号、目标租户端的网络地址等。
可选地,参阅图3,在本申请一具体实施例中,引擎节点与管理节点之间的保持通信连接不中断状态的构建方法,包括:
S301、引擎节点主动链接管理节点。
由于overlay网络环境与underlay网络环境仅能够从overlay网络环境主动单向访问underlay网络环境,因此需由部署于overlay网络环境的引擎节点主动链接部署于underlay网络环境的管理节点。
S302、引擎节点通过OpenVPN构建与管理节点之间的长连接,使得引擎节点与管理节点之间处于保持通信连接不中断状态。
OpenVPN是一种虚拟专用网络(Virtual Private Network,VPN)开源软件,OpenVPN可以通过使用安全套接字协议(Secure Sockets Layer,SSL)与管理节点握手,构建引擎节点与管理节点之间的长连接,使得引擎节点与管理节点之间处于保持通信连接不中断状态。在引擎节点与管理节点之间处于保持通信连接不中断状态时,引擎节点与管理节点之间可进行双向通信。因此管理节点在需要获取各个目标租户端的安全漏洞信息时,只需主动向引擎节点发送漏洞扫描控制命令,引擎节点就会将安全漏洞信息发送给管理节点。
需要说明的是,引擎节点和管理节点之间的保持通信连接不中断状态只要未中止,则可以在任意时刻执行图2示出的实施例,不需要每一次执行图2示出的实施例之前均重新构建一次引擎节点和管理节点之间的保持通信连接不中断状态。
可选地,还可构建引擎节点与管理节点之间的保活机制,即定期检查引擎节点与管理节点的通信连接状态,如断开将自动重连。
可选地,在本申请一具体实施例中,执行步骤S201的一种实施方式,包括:
管理节点通过OpenVPN内置的控制通道向部署于overlay网络环境的引擎节点发送漏洞扫描控制命令。
其中,保持通信连接不中断状态通过图3示出的实施例构建得到。通过OpenVPN软件成功构建引擎节点和管理节点之间的长连接后,引擎节点与管理节点保持通信连接不中断状态。引擎节点和管理节点之间使用OpenVPN内置的SSL握手协议构建长连接之后,会最终确定的一条加密通道(即控制通道),其上的数据完全受SSL握手协商的安全密钥保护。该控制通道用于传输控制命令,管理节点通过该控制通道即可向部署于overlay网络环境的引擎节点发送漏洞扫描控制命令。
S202、引擎节点分别向每一个目标租户端进行安全漏洞扫描,得到每一个目标租户端的安全漏洞信息。
引擎节点接收到漏洞扫描控制命令之后,可以从漏洞扫描控制命令中确定出需要进行扫描的目标租户端有哪些,进而分别向漏洞扫描控制命令所指示的目标租户端进行安全漏洞扫描。由于目标租户端和引擎节点均在overlay网络环境中,因此引擎节点可以主动访问通信目标租户端,不受网络环境限制。
可选地,参阅图4,在本申请一具体实施例中,执行步骤S202的一种实施方式,包括:
S401、引擎节点向每一个目标租户端发送漏洞探测包。
漏洞探测包具有攻击目标租户端,但不会对目标租户端造成实际破坏的功能。引擎节点向每一个目标租户端均发送漏洞探测包,以探测每一个目标租户端的安全漏洞情况。
S402、引擎节点接收每一个目标租户端响应漏洞探测包所得到的安全漏洞信息。
目标租户端受到漏洞探测包的攻击后,会产生响应漏洞探测包所得到的安全漏洞信息。然后将这些安全漏洞信息返回给引擎节点。
需要说明的是,执行步骤S202的方式有很多,包括但不限于本申请实施例所提出的内容。
S203、引擎节点将每一个目标租户端的安全漏洞信息发送至管理节点。
引擎节点通过步骤S202获取到每一个目标租户端的安全漏洞信息后,将每一个目标租户端的安全漏洞信息发送至管理节点。管理节点由此实现统一管理多个目标租户端的安全漏洞信息,管理节点可根据多个目标租户端的安全漏洞信息,分析公有云环境可能存在的安全隐患,保障公有云环境的安全性。
可选地,在本申请一具体实施例中,若采用图3示出的实施例构建引擎节点与管理节点之间的保持通信连接不中断状态,则执行步骤S203时,包括:
引擎节点通过OpenVPN内置的数据通道将每一个目标租户端的安全漏洞信息发送至管理节点。
在引擎节点和管理节点通过OpenVPN内置的SSL协议完成了握手的同时,虚拟网卡开始初始化,虚拟网卡初始化完毕后,引擎节点和管理节点之间的数据通道也就随即准备好,用于在引擎节点和管理节点之间传输数据。用于传输数据的数据通道与用于传输控制命令的控制通道之间相互独立,互不影响。引擎节点获取到每一个目标租户端的安全漏洞信息后,即可通过数据通道安全地将每一个目标租户端的安全漏洞信息发送至管理节点。
可选地,在本申请一具体实施例中,引擎节点通过OpenVPN内置的数据通道,可以使用用户数据报协议(UserDatagramProtocol,UDP)或者传输控制协议(TransmissionControl Protocol,TCP)传输每一个目标租户端的安全漏洞信息至管理节点。
OpenVPN支持TCP、UDP这两种传输方式,其中选择UDP传输时,可以对于UDP传输的数据,通过上层协议封装类似确认字符机制来保证可靠传输。
本申请实施例提出的安全漏洞扫描方法,管理节点部署于underlay网络环境,引擎节点部署于overlay网络环境,由于引擎节点与管理节点之间处于保持通信连接不中断状态,保持通信连接不中断状态由引擎节点主动链接管理节点,并建立引擎节点与管理节点之间的长连接构建得到,因此管理节点能够向部署于overlay网络环境的引擎节点发送漏洞扫描控制命令,漏洞扫描控制命令用于控制引擎节点获取多个目标租户端的安全漏洞信息。进而引擎节点能够分别向每一个目标租户端进行安全漏洞扫描,得到每一个目标租户端的安全漏洞信息,并发送每一个目标租户端的安全漏洞信息至管理节点。目标租户端部署于overlay网络环境,因此目标租户端的安全漏洞信息可由引擎节点向目标租户端进行漏洞扫描得到。本申请在保障overlay网络环境的租户的隐私的条件下,通过使overlay网络环境的引擎节点与underlay环境管理节点之间处于保持通信连接不中断状态的方式,让underlay环境中的管理节点实现能够统一控制获取多个目标租户端的安全漏洞信息,满足了公有云供应商想要保障公有云环境安全的需求。
参阅图5,基于上述本申请实施例提出的安全漏洞扫描方法,本申请实施例对应公开了一种安全漏洞扫描装置500,应用于管理节点,该管理节点部署于underlay网络环境,安全漏洞扫描装置500包括:第一控制单元501和第一接收单元502。
第一控制单元501,用于向部署于overlay网络环境的引擎节点发送漏洞扫描控制命令。其中,引擎节点与管理节点之间处于保持通信连接不中断状态,保持通信连接不中断状态由引擎节点主动链接管理节点,并建立引擎节点与管理节点之间的长连接构建得到,漏洞扫描控制命令用于控制引擎节点获取多个目标租户端的安全漏洞信息。
可选地,在本申请一具体实施例中,第一控制单元501,包括:
第一控制子单元,用于通过OpenVPN内置的控制通道向部署于overlay网络环境的引擎节点发送漏洞扫描控制命令。其中,保持通信连接不中断状态由引擎节点主动链接管理节点,并通过OpenVPN建立引擎节点与管理节点之间的长连接构建得到。第一接收单元502,包括:第一接收子单元,用于通过OpenVPN内置的数据通道接收引擎节点发送的每一个目标租户端的安全漏洞信息。
可选地,在本申请一具体实施例中,第一接收子单元,包括:
第二接收子单元,用于通过OpenVPN内置的数据通道,接收引擎节点通过用户数据报协议或者传输控制协议所传输的每一个目标租户端的安全漏洞信息。
第一接收单元502,用于接收引擎节点发送的每一个目标租户端的安全漏洞信息。其中,目标租户端部署于overlay网络环境,目标租户端的安全漏洞信息由引擎节点向目标租户端进行漏洞扫描得到。
上述本申请实施例公开的安全漏洞扫描装置中的各个单元具体的原理和执行过程,与上述本申请实施例公开的安全漏洞扫描方法相同,可参见上述本申请实施例公开的安全漏洞扫描方法中相应的部分,这里不再进行赘述。
本申请实施例提出的安全漏洞扫描装置应用于管理节点,该管理节点部署于underlay网络环境,由于引擎节点与管理节点之间处于保持通信连接不中断状态,保持通信连接不中断状态由引擎节点主动链接管理节点,并建立引擎节点与管理节点之间的长连接构建得到,因此第一控制单元501能够向部署于overlay网络环境的引擎节点发送漏洞扫描控制命令,漏洞扫描控制命令用于控制引擎节点获取多个目标租户端的安全漏洞信息。进而第一接收单元502能够接收到引擎节点发送的每一个目标租户端的安全漏洞信息,目标租户端部署于overlay网络环境,因此目标租户端的安全漏洞信息可由引擎节点向目标租户端进行漏洞扫描得到。本申请在保障overlay网络环境的租户的隐私的条件下,通过使overlay网络环境的引擎节点与underlay环境管理节点之间处于保持通信连接不中断状态的方式,让underlay环境中的管理节点实现能够统一控制获取多个目标租户端的安全漏洞信息,满足了公有云供应商想要保障公有云环境安全的需求。
参阅图6,基于上述本申请实施例提出的安全漏洞扫描方法,本申请实施例对应公开了另一种安全漏洞扫描装置600,应用于引擎节点,引擎节点部署于overlay网络环境,安全漏洞扫描装置600包括:接收单元601、扫描单元602以及第一发送单元603。
接收单元601,用于接收部署于underlay网络环境的管理节点发送的漏洞扫描控制命令。其中,引擎节点与管理节点之间处于保持通信连接不中断状态,保持通信连接不中断状态由引擎节点主动链接管理节点,并建立引擎节点与管理节点之间的长连接构建得到,漏洞扫描控制命令用于控制引擎节点获取多个目标租户端的安全漏洞信息。
可选地,在本申请一具体实施例中,接收单元601,包括:
第二发送子单元,用于通过OpenVPN内置的控制通道接收部署于underlay网络环境的管理节点发送的漏洞扫描控制命令。其中第一发送单元603,包括:第三发送子单元,用于通过OpenVPN内置的数据通道将每一个目标租户端的安全漏洞信息发送至所述管理节点。
扫描单元602,用于分别向每一个目标租户端进行安全漏洞扫描,得到每一个目标租户端的安全漏洞信息。其中,目标租户端部署于overlay网络环境。
可选地,在本申请一具体实施例中,扫描单元,包括:第一发送子单元和第二接收子单元。
第一发送子单元,用于向每一个目标租户端发送漏洞探测包。
第三接收子单元,用于接收每一个目标租户端响应漏洞探测包所得到的安全漏洞信息。
第一发送单元603,用于将每一个目标租户端的安全漏洞信息发送至管理节点。
可选地,在本申请一具体实施例中,还包括:链接单元和构建单元。
链接单元,用于主动链接管理节点。
构建单元,用于通过OpenVPN构建与管理节点之间的长连接,使得引擎节点与管理节点之间处于保持通信连接不中断状态。
上述本申请实施例公开的安全漏洞扫描装置中的各个单元具体的原理和执行过程,与上述本申请实施例公开的安全漏洞扫描方法相同,可参见上述本申请实施例公开的安全漏洞扫描方法中相应的部分,这里不再进行赘述。
本申请实施例提出的安全漏洞扫描装置应用于引擎节点,该引擎节点部署于overlay网络环境,由于引擎节点与管理节点之间处于保持通信连接不中断状态,保持通信连接不中断状态由引擎节点主动链接管理节点,并建立引擎节点与所述管理节点之间的长连接构建得到,因此接收单元601能够接收部署于underlay网络环境的管理节点发送的漏洞扫描控制命令,然后扫描单元602分别向每一个目标租户端进行安全漏洞扫描,得到每一个部署于overlay网络环境的目标租户端的安全漏洞信息。第一发送单元603将每一个目标租户端的安全漏洞信息发送至管理节点。本申请在保障overlay网络环境的租户的隐私的条件下,通过使overlay网络环境的引擎节点与underlay环境管理节点之间处于保持通信连接不中断状态的方式,让underlay环境中的管理节点实现能够统一控制获取多个目标租户端的安全漏洞信息,满足了公有云供应商想要保障公有云环境安全的需求。
本申请实施例公开了一种计算机可读介质,其上存储有计算机程序,其中,程序被处理器执行时实现如上述各实施所述的任一安全漏洞扫描方法。
本申请实施例还公开了一种设备,包括:一个或多个处理器,存储装置,其上存储有一个或多个程序,当一个或多个程序被一个或多个处理器执行时,使得一个或多个处理器实现如上述各实施所述的任一安全漏洞扫描方法。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims (10)

1.一种安全漏洞扫描方法,其特征在于,应用于管理节点,所述管理节点部署于underlay网络环境,所述安全漏洞扫描方法包括:
向部署于overlay网络环境的引擎节点发送漏洞扫描控制命令;其中,所述引擎节点与所述管理节点之间处于保持通信连接不中断状态;所述保持通信连接不中断状态由所述引擎节点主动链接所述管理节点,并建立所述引擎节点与所述管理节点之间的长连接构建得到;所述漏洞扫描控制命令用于控制所述引擎节点获取多个目标租户端的安全漏洞信息;
接收所述引擎节点发送的每一个所述目标租户端的安全漏洞信息;其中,所述目标租户端部署于overlay网络环境;所述目标租户端的安全漏洞信息由所述引擎节点向所述目标租户端进行漏洞扫描得到。
2.根据权利要求1所述的方法,其特征在于,所述向部署于overlay网络环境的引擎节点发送漏洞扫描控制命令,包括:
通过OpenVPN内置的控制通道向部署于overlay网络环境的引擎节点发送漏洞扫描控制命令;其中,所述保持通信连接不中断状态由所述引擎节点主动链接所述管理节点,并通过所述OpenVPN建立引擎节点与所述管理节点之间的长连接构建得到;
所述接收所述引擎节点发送的每一个所述目标租户端的安全漏洞信息,包括:
通过所述OpenVPN内置的数据通道接收所述引擎节点发送的每一个所述目标租户端的安全漏洞信息。
3.根据权利要求2所述的方法,其特征在于,所述通过所述OpenVPN内置的数据通道接收所述引擎节点发送的每一个所述目标租户端的安全漏洞信息,包括:
通过所述OpenVPN内置的数据通道,接收所述引擎节点通过用户数据报协议或者传输控制协议所传输的每一个所述目标租户端的安全漏洞信息。
4.一种安全漏洞扫描方法,其特征在于,应用于引擎节点,所述引擎节点部署于overlay网络环境,所述安全漏洞扫描方法包括:
接收部署于underlay网络环境的管理节点发送的漏洞扫描控制命令;其中,所述引擎节点与所述管理节点之间处于保持通信连接不中断状态;所述保持通信连接不中断状态由所述引擎节点主动链接所述管理节点,并建立所述引擎节点与所述管理节点之间的长连接构建得到;所述漏洞扫描控制命令用于控制所述引擎节点获取多个目标租户端的安全漏洞信息;
分别向每一个所述目标租户端进行安全漏洞扫描,得到每一个所述目标租户端的安全漏洞信息;其中,所述目标租户端部署于overlay网络环境;
将每一个所述目标租户端的安全漏洞信息发送至所述管理节点。
5.根据权利要求4所述的方法,其特征在于,所述引擎节点与所述管理节点之间的保持通信连接不中断状态的构建方法,包括:
主动链接所述管理节点;
通过OpenVPN构建与所述管理节点之间的长连接,使得所述引擎节点与所述管理节点之间处于保持通信连接不中断状态。
6.根据权利要求4所述的方法,其特征在于,所述分别向每一个所述目标租户端进行安全漏洞扫描,得到每一个所述目标租户端的安全漏洞信息,包括:
向每一个所述目标租户端发送漏洞探测包:
接收每一个所述目标租户端响应所述漏洞探测包所得到的安全漏洞信息。
7.根据权利要求5所述的方法,其特征在于,所述接收部署于underlay网络环境的管理节点发送的漏洞扫描控制命令,包括:
通过OpenVPN内置的控制通道接收部署于underlay网络环境的管理节点发送的漏洞扫描控制命令;
所述将每一个所述目标租户端的安全漏洞信息发送至所述管理节点,包括:
通过OpenVPN内置的数据通道将每一个所述目标租户端的安全漏洞信息发送至所述管理节点。
8.一种安全漏洞扫描装置,其特征在于,应用于管理节点,所述管理节点部署于underlay网络环境,所述安全漏洞扫描装置包括:
第一控制单元,用于向部署于overlay网络环境的引擎节点发送漏洞扫描控制命令;其中,所述引擎节点与所述管理节点之间处于保持通信连接不中断状态;所述保持通信连接不中断状态由所述引擎节点主动链接所述管理节点,并建立所述引擎节点与所述管理节点之间的长连接构建得到;所述漏洞扫描控制命令用于控制所述引擎节点获取多个目标租户端的安全漏洞信息;
第一接收单元,用于接收所述引擎节点发送的每一个所述目标租户端的安全漏洞信息;其中,所述目标租户端部署于overlay网络环境;所述目标租户端的安全漏洞信息由所述引擎节点向所述目标租户端进行漏洞扫描得到。
9.一种安全漏洞扫描装置,其特征在于,应用于引擎节点,所述引擎节点部署于overlay网络环境,所述安全漏洞扫描装置包括:
接收单元,用于接收部署于underlay网络环境的管理节点发送的漏洞扫描控制命令;其中,所述引擎节点与所述管理节点之间处于保持通信连接不中断状态;所述保持通信连接不中断状态由所述引擎节点主动链接所述管理节点,并建立所述引擎节点与所述管理节点之间的长连接构建得到;所述漏洞扫描控制命令用于控制所述引擎节点获取多个目标租户端的安全漏洞信息;
扫描单元,用于分别向每一个所述目标租户端进行安全漏洞扫描,得到每一个所述目标租户端的安全漏洞信息;其中,所述目标租户端部署于overlay网络环境;
第一发送单元,用于将每一个所述目标租户端的安全漏洞信息发送至所述管理节点。
10.一种计算机可读介质,其特征在于,其上存储有计算机程序,其中,所述程序被处理器执行时实现如权利要求1至3中任一所述的方法,或者,如权利要求4至7中任一所述的方法。
CN202110270769.5A 2021-03-12 2021-03-12 安全漏洞扫描方法、装置以及计算机可读介质 Active CN113037758B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110270769.5A CN113037758B (zh) 2021-03-12 2021-03-12 安全漏洞扫描方法、装置以及计算机可读介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110270769.5A CN113037758B (zh) 2021-03-12 2021-03-12 安全漏洞扫描方法、装置以及计算机可读介质

Publications (2)

Publication Number Publication Date
CN113037758A true CN113037758A (zh) 2021-06-25
CN113037758B CN113037758B (zh) 2023-04-07

Family

ID=76470249

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110270769.5A Active CN113037758B (zh) 2021-03-12 2021-03-12 安全漏洞扫描方法、装置以及计算机可读介质

Country Status (1)

Country Link
CN (1) CN113037758B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116599687A (zh) * 2023-03-15 2023-08-15 中国人民解放军61660部队 一种低通信时延的级联漏洞扫描探针部署方法、系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102457476A (zh) * 2010-10-15 2012-05-16 中兴通讯股份有限公司 对等网络安全防御方法及系统
CN103825891A (zh) * 2014-02-19 2014-05-28 曙光云计算技术有限公司 云网络环境下的安全漏洞扫描系统
CN107959654A (zh) * 2016-10-14 2018-04-24 北京金山云网络技术有限公司 一种数据传输方法、装置及混合云系统
CN109861994A (zh) * 2019-01-17 2019-06-07 安徽云探索网络科技有限公司 云侵的漏洞扫描方法及其扫描装置
CN111262839A (zh) * 2020-01-09 2020-06-09 深信服科技股份有限公司 一种漏洞扫描方法、管理设备、节点和存储介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102457476A (zh) * 2010-10-15 2012-05-16 中兴通讯股份有限公司 对等网络安全防御方法及系统
CN103825891A (zh) * 2014-02-19 2014-05-28 曙光云计算技术有限公司 云网络环境下的安全漏洞扫描系统
CN107959654A (zh) * 2016-10-14 2018-04-24 北京金山云网络技术有限公司 一种数据传输方法、装置及混合云系统
CN109861994A (zh) * 2019-01-17 2019-06-07 安徽云探索网络科技有限公司 云侵的漏洞扫描方法及其扫描装置
CN111262839A (zh) * 2020-01-09 2020-06-09 深信服科技股份有限公司 一种漏洞扫描方法、管理设备、节点和存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116599687A (zh) * 2023-03-15 2023-08-15 中国人民解放军61660部队 一种低通信时延的级联漏洞扫描探针部署方法、系统
CN116599687B (zh) * 2023-03-15 2023-11-24 中国人民解放军61660部队 一种低通信时延的级联漏洞扫描探针部署方法、系统

Also Published As

Publication number Publication date
CN113037758B (zh) 2023-04-07

Similar Documents

Publication Publication Date Title
US9240977B2 (en) Techniques for protecting mobile applications
US20120185563A1 (en) Network system, virtual private connection forming method, static nat forming device, reverse proxy server and virtual connection control device
CN107113319B (zh) 一种虚拟网络计算认证中应答的方法、装置、系统和代理服务器
US8065402B2 (en) Network management using short message service
KR20160043044A (ko) 대량의 vpn 접속들을 종료시키는 게이트웨이 디바이스
JP2013210896A (ja) プロキシサーバ装置、クライアント端末装置、リモートアクセスシステム、転送制御方法及びプログラム、並びにアクセス方法及びプログラム
US20150163168A1 (en) Seamless push system and method for same
JP2008158903A (ja) 認証システム、および主端末
CN107733890B (zh) 基于web协议的跨网通讯方法、电子设备、存储介质、系统
CN113037758B (zh) 安全漏洞扫描方法、装置以及计算机可读介质
WO2009093308A1 (ja) 接続制御方法、接続制御サーバ装置、接続制御クライアント装置、及びプログラム
CN108235083B (zh) 电视日志信息获取方法及装置
CN105518693A (zh) 一种安全防护方法,及装置
CN112217840B (zh) 分布式网络资源安全访问管理系统及用户端口
CN109218381B (zh) 远程通信控制系统和会话中继系统
JP2006277752A (ja) コンピュータ遠隔管理方法
US11979405B2 (en) Method and system for processing network resource access requests, and computer device
CN113810427B (zh) 一种渗透测试方法、终端设备及存储介质
CN114254352A (zh) 一种数据安全传输系统、方法和装置
WO2007094059A1 (ja) データの送受信方法
CN111953742A (zh) 一种页面重定向方法、终端设备、中间设备及服务器
CN111885101A (zh) 一种数据存储方法
JP2010050750A (ja) 通信端末、通信制御方法、通信制御プログラム及び通信システム
WO2018010561A1 (zh) 一种接入核心网的控制方法及装置
JP7146124B1 (ja) 端末装置、方法およびプログラム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant