CN114500041B - 一种软件定义边界的实现方法 - Google Patents

Abstract

本发明涉及一种软件定义边界的实现方法，该方法包括：本地终端对用户流量封包后形成socks5报文并转发给本地代理；本地代理接收socks5报文，本地代理通过协商加密通信协议与云上代理通信，接收响应报头，对socks5报文进行加密；云上代理接收加密socks5报文并进行解密，根据socks5报文创建本地终端到内网应用的网络连接。本发明采用协商加密通信协议，通过协商加密机制确定加密算法，进而对socks5报文进行加密传输，提升了通信的安全性；本发明不需要高成本的硬件设备，只需要安装部署相关的软件、配置必要的硬件、安排少量的运维人员即可。本发明解决了用户通过VPN访问单位内网的办公方式存在通信安全性差的问题。

Description

一种软件定义边界的实现方法

技术领域

本发明涉及计算机网络技术领域，具体涉及一种软件定义边界的实现方法。

背景技术

在互联网时代，人们的办公方式发生了天翻地覆的变化，远程办公，居家办公逐渐普及并成为主流。人们通过虚拟专用网络(Virtual Private Network，VPN)访问公司内网的服务、软件。VPN连通了公网与企业内部网络。企业部署VPN需要购买专门的软硬件以及配套专业的人员进行管理，而用户想要使用VPN连通到公司的内网则必须在其电脑中安装对应的VPN客户端，同时由专业的人员对其资质进行认证才能顺利访问。

由于VPN的种种局限，新的软件架构体系即软件定义边界(Software DefinedPerimeter，SDP)应运而生；SDP根据身份控制对资源的访问，每一个终端在连接服务器前必须进行验证，确保每台设备都是允许被接入的，其核心思想是通过软件定义边界架构隐藏核心网络资产和设施，使之不直接暴露在互联网下，使得网络资产与设施免受来自外界的安全危险。

SDP解决了VPN的种种局限，采用纯软件的形式定义用户的实际访问边界，用户的每一次请求都会经过复杂的安全评估与权限鉴定。

发明内容

本发明的目的在于提供一种软件定义边界的实现方法，解决用户通过VPN访问单位内网的办公方式存在通信安全性差的问题。

本发明提供一种软件定义边界的实现方法，包括：

本地终端对用户流量按照socks5协议进行第一次封包，形成socks5报文；

本地终端将socks5报文转发给本地代理，所述socks5报文包括socks5报头和socks5数据；

本地代理接收socks5报文，按照协商加密通信协议对socks5报头进行第二次封包，形成请求报头；

本地代理对请求报头进行加密，形成加密请求报头并发送至云上代理；

云上代理接收加密请求报头，对加密请求报头进行解密，获得请求报头；

云上代理按照协商加密通信协议对请求报头进行处理，形成响应报头并发送至本地代理；

本地代理接收响应报头，对socks5报文进行加密，形成加密socks5报文并发送至云上代理；

云上代理接收加密socks5报文，对加密socks5报文进行解密，获得socks5报文；

云上代理根据socks5报文获取用户的目标访问地址，创建本地终端到内网应用的网络连接。

优选地，

所述本地终端对用户流量按照socks5协议进行第一次封包，具体为：

本地终端上运行有操作系统或浏览器，操作系统或浏览器对用户流量按照socks5协议封包；

所述本地终端将socks5报文转发给本地代理，具体为：

本地终端上运行有操作系统或浏览器，操作系统或浏览器提供地址模式和pac模式，地址模式包括直接填写本地代理地址，pac模式包括通过pac脚本文件设置代理，操作系统或浏览器通过地址模式或pac模式将socks5报文转发给本地代理。

优选地，所述协商加密通信协议包括：

请求报头，响应报头，协商加密机制，鉴权机制；

所述请求报头由本地代理产生，包括：协议版本，加密方式长度，保留字段，加密方式，用户身份凭证长度，用户身份凭证；

所述响应报头由云上代理产生，包括：协议版本，加密方式长度，保留字段，加密方式，给本地代理的指令；

所述协商加密机制包括：本地代理向云上代理发送请求报头，若云上代理支持请求报头中的加密方式，则在响应报头中填写相同的加密方式，在鉴权通过后，向本地代理发送响应报头；

所述鉴权机制包括：云上代理从请求报头中获取用户身份凭证，采用规则引擎对用户身份凭证进行鉴权，鉴权结果包括通过、未通过、未知错误、无权操作，鉴权结果填入响应报头中的给本地代理的指令。

优选地，

所述请求报头包含第二加密算法名称；

所述响应报头包含第二加密算法名称。

优选地，所述规则引擎包括：

规则引擎的格式；

高级条件表达式的定义；

操作符优先级定义；

规则引擎的配置。

优选地，

所述本地代理对请求报头进行加密，具体为：

本地代理采用第一加密算法对请求报头进行加密；

所述对加密请求报头进行解密，具体为：

采用第一加密算法对加密请求报头进行解密；

所述第一加密算法，具体为：取256位不重复单字节字符为密钥，该密钥对应1个字节的256位，通过映射关系，将原始报文中的单字节映射为私钥中的对应位，加密只需要反转操作即可。

优选地，

所述对socks5报文进行加密，具体为：

采用第二加密算法对socks5报文进行加密；

所述对加密socks5报文进行解密，具体为：

采用第二加密算法对加密socks5报文进行解密；

所述第二加密算法，具体为：可采用AES对称加密，也可以用RSA非对称加密，具体可采用chacha20-poly1305算法。

优选地，所述云上代理根据socks5报文获取用户的目标访问地址，具体为：

云上代理从socks5报文中获取用户的目标访问域名，通过内网DNS服务根据用户的目标访问域名解析出用户的目标访问IP地址。

优选地，所述创建本地终端到内网应用的网络连接，具体为：

云上代理根据用户的目标访问IP地址，创建从本地终端到本地代理，经由云上代理，最后联通至内网应用的网络连接。

本发明的实施例提供的技术方案可以包括以下有益效果：

本地终端对用户流量封包后形成socks5报文并转发给本地代理；本地代理接收socks5报文，本地代理通过协商加密通信协议与云上代理通信，接收响应报头，对socks5报文进行加密；云上代理接收加密socks5报文并进行解密，根据socks5报文创建本地终端到内网应用的网络连接。

本发明采用协商加密通信协议，通过协商加密机制确定加密算法，进而对socks5报文进行加密传输，提升了通信的安全性；本发明不需要高成本的硬件设备，只需要安装部署相关的软件、配置必要的硬件、安排少量的运维人员即可。

本发明解决了用户通过VPN访问单位内网的办公方式存在通信安全性差的问题。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本发明。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本发明的实施例，并与说明书一起用于解释本发明的原理。

图1是根据一示例性实施例示出的一种软件定义边界的实现方法的示意流程图

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。

图1是根据一示例性实施例示出的一种软件定义边界的实现方法的示意流程图，如图1所示，该方法包括：

步骤S1，本地终端对用户流量按照socks5协议进行第一次封包，形成socks5报文；

步骤S2，本地终端将socks5报文转发给本地代理，所述socks5报文包括socks5报头和socks5数据；

步骤S3，本地代理接收socks5报文，按照协商加密通信协议对socks5报头进行第二次封包，形成请求报头；

步骤S4，本地代理对请求报头进行加密，形成加密请求报头并发送至云上代理；

步骤S5，云上代理接收加密请求报头，对加密请求报头进行解密，获得请求报头；

步骤S6，云上代理按照协商加密通信协议对请求报头进行处理，形成响应报头并发送至本地代理；

步骤S7，本地代理接收响应报头，对socks5报文进行加密，形成加密socks5报文并发送至云上代理；

步骤S8，云上代理接收加密socks5报文，对加密socks5报文进行解密，获得socks5报文；

步骤S9，云上代理根据socks5报文获取用户的目标访问地址，创建本地终端到内网应用的网络连接。

需要说明的是，本地终端包括个人PC、平板电脑等终端设备；本地代理是本实施例需要部署在本地终端上的代理程序(相当于客户端)；云上代理是需要部署在公司服务器上的代理程序(相当于服务器端)。

本实施例采用协商加密通信协议，通过协商加密机制确定加密算法，进而对socks5报文进行加密传输，提升了通信的安全性；本实施例不需要高成本的硬件设备，只需要安装部署相关的软件、配置必要的硬件、安排少量的运维人员即可。本实施例解决了用户通过VPN访问单位内网的办公方式存在通信安全性差的问题。

本地终端对用户流量按照socks5协议封包，需要由在本地终端上运行的软件来执行；本地终端将socks5报文转发给本地代理，需要在本地终端上运行的软件上对本地代理进行配置。

在具体实践中，

所述本地终端对用户流量按照socks5协议进行第一次封包，具体为：

本地终端上运行有操作系统或浏览器，操作系统或浏览器对用户流量按照socks5协议封包；

所述本地终端将socks5报文转发给本地代理，具体为：

本地终端上运行有操作系统或浏览器，操作系统或浏览器提供地址模式和pac模式，地址模式包括直接填写本地代理地址，pac模式包括通过pac脚本文件设置代理，操作系统或浏览器通过地址模式或pac模式将socks5报文转发给本地代理。

需要说明的是，socks5协议是一种开源代理协议。

需要说明的是，pac模式更加灵活，支持设置过滤规则，可实现较高级的功能。

协商加密通信协议需要包括本地代理产生的报头，云上代理产生的报头，本地代理和云上代理的交互方式，云上代理对本地代理的鉴权方式等。

在具体实践中，所述协商加密通信协议包括：

请求报头，响应报头，协商加密机制，鉴权机制；

所述请求报头由本地代理产生，包括：协议版本，加密方式长度，保留字段，加密方式，用户身份凭证长度，用户身份凭证；

所述响应报头由云上代理产生，包括：协议版本，加密方式长度，保留字段，加密方式，给本地代理的指令；

所述协商加密机制包括：本地代理向云上代理发送请求报头，若云上代理支持请求报头中的加密方式，则在响应报头中填写相同的加密方式，在鉴权通过后，向本地代理发送响应报头；

所述鉴权机制包括：云上代理从请求报头中获取用户身份凭证，采用规则引擎对用户身份凭证进行鉴权，鉴权结果包括通过、未通过、未知错误、无权操作，鉴权结果填入响应报头中的给本地代理的指令。

需要说明的是，请求报头中的协议版本为1个字节，加密方式长度为1个字节，保留字段为4个字节，加密方式为1至255字节，用户身份凭证长度为1个字节，用户身份凭证为1至255字节。

需要说明的是，响应报头中的协议版本为1个字节，加密方式长度为1个字节，保留字段为4个字节，加密方式为1至255字节，给本地代理的指令为2个字节；给本地代理的指令包括：0——通过、1——未通过、2——未知错误、3——无权操作。

需要说明的是，协商加密机制的作用在于，本地代理通过与云上代理进行协商，确定一种加密算法，此种加密算法用于对socks5报文进行加密。

需要说明的是，鉴权机制的作用在于确定与云上代理通信的本地代理是有权限的，鉴权通过，云上代理才会向本地代理发送响应报头。

可以理解的是，协商加密通信协议能够产生本地代理的报头，产生云上代理的报头，能够使本地代理和云上代理进行交互，能够使云上代理对本地代理进行鉴权。

请求报头和响应报头中的加密方式，需要指示一种对socks5报文进行加密的算法。

在具体实践中，

所述请求报头包含第二加密算法名称；

所述响应报头包含第二加密算法名称。

可以理解的是，第二加密算法名称能够指示一种对socks5报文进行加密的算法。

本方法能够对用户身份进行精细化鉴权，具体执行需要用到规则引擎。

在具体实践中，所述规则引擎包括：

规则引擎的格式；

高级条件表达式的定义；

操作符优先级定义；

规则引擎的配置。

需要说明的是，规则引擎采用形如func_name(params)的格式，其中：func_name是条件原语的名称；params是条件原语的参数，可能是0个或多个；返回值类型是bool。

高级条件表达式的定位为：ACE＝ACE&&ACE

|ACE||ACE

|(ACE)

|！ACE

|ConditionPrimitive

|ConditionVariable

操作符的优先级和结合律与C语言中类似：

第一优先级，括号(())，从左至右结合；

第二优先级，逻辑非(！)，从右至左结合；

第三优先级，逻辑与(&&)，从左至右结合；

第四优先级，逻辑或(||)，从左至右结合。

规则引擎配置样例为：

该配置代表当用户ID为11211的用户访问hello.world.com时，云上代理执行拦截操作。

第一加密算法的设计需要满足不会放大流量的要求。

在具体实践中，

所述本地代理对请求报头进行加密，具体为：

本地代理采用第一加密算法对请求报头进行加密；

所述对加密请求报头进行解密，具体为：

采用第一加密算法对加密请求报头进行解密；

所述第一加密算法，具体为：取256位不重复单字节字符为密钥，该密钥对应1个字节的256位，通过映射关系，将原始报文中的单字节映射为私钥中的对应位，加密只需要反转操作即可。

可以理解的是，该加密算法不会放大流量，强度一般，符合第一次报头加密安全要求；在一般场景也可用于二次加密场景。

第二加密算法需要对socks5报文进行加密以及对加密后的socks5报文进行解密。

在具体实践中，

所述对socks5报文进行加密，具体为：

采用第二加密算法对socks5报文进行加密；

所述对加密socks5报文进行解密，具体为：

采用第二加密算法对加密socks5报文进行解密；

所述第二加密算法，具体为：可采用AES对称加密，也可以用RSA非对称加密，具体可采用chacha20-poly1305算法。

需要说明的是，ChaCha20-Poly1305是由ChaCha20流密码和Poly1305消息认证码(MAC)结合的一种应用在互联网安全协议中的认证加密算法，由Google公司率先在Andriod移动平台中的Chrome中代替RC4使用。由于其算法精简、安全性强、兼容性强等特点，目前Google致力于全面将其在移动端推广。

ChaCha系列流密码，作为salsa密码的改良版，具有更强的抵抗密码分析攻击的特性，“20”表示该算法有20轮的加密计算。

由于是流密码，故以字节为单位进行加密，安全性的关键体现在密钥流生成的过程，即所依赖的伪随机数生成器(PRNG)的强度，加密过程即是将密钥流与明文逐字节异或得到密文，反之，解密是将密文再与密钥流做一次异或运算得到明文。

socks5报文中含有用户的目标访问域名，云上代理需要通过用户的目标访问域名，获取用户的目标访问地址。

在具体实践中，所述云上代理根据socks5报文获取用户的目标访问地址，具体为：

云上代理从socks5报文中获取用户的目标访问域名，通过内网DNS服务根据用户的目标访问域名解析出用户的目标访问IP地址。

需要说明的是，socks协议设计之初是为了让有权限的用户可以穿过防火墙的限制，使得高权限用户可以访问一般用户不能访问的外部资源。当时设计者考虑到几乎所有使用TCP/IP通信的应用软件都使用socket(套接字，实际上是一组应用程序接口)完成底层的数据通信。为了方便软件开发者使用该协议，协议设计者就刻意对应了几组socket编程最经典的操作，并且将协议定名为socks。

socks5是第五版，相对第四版作了大幅度的增强。首先，它增加了对UDP协议的支持；其次，它可以支持多种用户身份验证方式和通信加密方式；最后，修改了socks服务器进行域名解析的方法。socks5于1996年被IETF确认为标准通信协议，RFC编号为1928；经过10余年的时间，大量的网络应用程序都支持socks5代理。

从本地终端到内网应用的网络连接，需要经由本地代理和云上代理的组成的通信链路。

在具体实践中，所述创建本地终端到内网应用的网络连接，具体为：

云上代理根据用户的目标访问IP地址，创建从本地终端到本地代理，经由云上代理，最后联通至内网应用的网络连接。

需要说明的是，本地代理和云上代理通信时，云上代理必须要有一个确定的IP地址及端口号来标识自己；而本地代理需要知道云上代理的IP地址及端口号。

本地代理和云上代理之间通过TCP协议建立连接，TCP连接建立过程如下：

(1)发送端发送一个SYN报文段，SYN中包含TCP目的端口和发送端的初始序列号，同时携带着TCP选项数据；

(2)接收端收到发送端连接请求后，接收端发送自己SYN报文段，同时对发送端的SYN进行确认，如前所述，接收端发送的ACK是ISN(c)+1；此时ACK位与SYN位都被置位；接收端发送SYN+ACK到发送端；

(3)发送端接收到接收端的SYN+ACK数据后，对ISN(s)进行确认，发送ACK为ISN(s)+1的报文段给接收端。

可以理解的是，上述各实施例中相同或相似部分可以相互参考，在一些实施例中未详细说明的内容可以参见其他实施例中相同或相似的内容。

需要说明的是，在本发明的描述中，术语“第一”、“第二”等仅用于描述目的，而不能理解为指示或暗示相对重要性。此外，在本发明的描述中，除非另有说明，“多个”的含义是指至少两个。

流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本发明的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本发明的实施例所属技术领域的技术人员所理解。

本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括方法实施例的步骤之一或其组合。

此外，在本发明各个实施例中的各功能单元可以集成在一个处理模块中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。

上述提到的存储介质可以是只读存储器，磁盘或光盘等。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims (8)

1.一种软件定义边界的实现方法，其特征在于，包括：

本地终端对用户流量按照socks5协议进行第一次封包，形成socks5报文；

本地终端将socks5报文转发给本地代理，所述socks5报文包括socks5报头和socks5数据；

本地代理接收socks5报文，按照协商加密通信协议对socks5报头进行第二次封包，形成请求报头；

本地代理对请求报头进行加密，形成加密请求报头并发送至云上代理；

云上代理接收加密请求报头，对加密请求报头进行解密，获得请求报头；

云上代理按照协商加密通信协议对请求报头进行处理，形成响应报头并发送至本地代理；

本地代理接收响应报头，对socks5报文进行加密，形成加密socks5报文并发送至云上代理；

云上代理接收加密socks5报文，对加密socks5报文进行解密，获得socks5报文；

云上代理根据socks5报文获取用户的目标访问地址，创建本地终端到内网应用的网络连接；

其中，所述协商加密通信协议包括：

请求报头，响应报头，协商加密机制，鉴权机制；

所述请求报头由本地代理产生，包括：协议版本，加密方式长度，保留字段，加密方式，用户身份凭证长度，用户身份凭证；

所述响应报头由云上代理产生，包括：协议版本，加密方式长度，保留字段，加密方式，给本地代理的指令；

所述协商加密机制包括：本地代理向云上代理发送请求报头，若云上代理支持请求报头中的加密方式，则在响应报头中填写相同的加密方式，在鉴权通过后，向本地代理发送响应报头；

所述鉴权机制包括：云上代理从请求报头中获取用户身份凭证，采用规则引擎对用户身份凭证进行鉴权，鉴权结果包括通过、未通过、未知错误、无权操作，鉴权结果填入响应报头中的给本地代理的指令。

2.根据权利要求1所述的方法，其特征在于，

所述本地终端对用户流量按照socks5协议进行第一次封包，具体为：

本地终端上运行有操作系统或浏览器，操作系统或浏览器对用户流量按照socks5协议封包；

所述本地终端将socks5报文转发给本地代理，具体为：

本地终端上运行有操作系统或浏览器，操作系统或浏览器提供地址模式和pac模式，地址模式包括直接填写本地代理地址，pac模式包括通过pac脚本文件设置代理，操作系统或浏览器通过地址模式或pac模式将socks5报文转发给本地代理。

3.根据权利要求1所述的方法，其特征在于，

所述请求报头包含第二加密算法名称；

所述响应报头包含第二加密算法名称。

4.根据权利要求1所述的方法，其特征在于，所述规则引擎包括：

规则引擎的格式；

高级条件表达式的定义；

操作符优先级定义；

规则引擎的配置。

5.根据权利要求1所述的方法，其特征在于，

所述本地代理对请求报头进行加密，具体为：

本地代理采用第一加密算法对请求报头进行加密；

所述对加密请求报头进行解密，具体为：

采用第一加密算法对加密请求报头进行解密；

所述第一加密算法，具体为：取256位不重复单字节字符为密钥，该密钥对应1个字节的256位，通过映射关系，将原始报文中的单字节映射为私钥中的对应位，加密只需要反转操作即可。

6.根据权利要求3所述的方法，其特征在于，

所述对socks5报文进行加密，具体为：

采用第二加密算法对socks5报文进行加密；

所述对加密socks5报文进行解密，具体为：

采用第二加密算法对加密socks5报文进行解密；

所述第二加密算法，具体为：可采用AES对称加密，也可以用RSA非对称加密，具体可采用chacha20-poly1305算法。

7.根据权利要求6所述的方法，其特征在于，所述云上代理根据socks5报文获取用户的目标访问地址，具体为：

云上代理从socks5报文中获取用户的目标访问域名，通过内网DNS服务根据用户的目标访问域名解析出用户的目标访问IP地址。

8.根据权利要求7所述的方法，其特征在于，所述创建本地终端到内网应用的网络连接，具体为：

云上代理根据用户的目标访问IP地址，创建从本地终端到本地代理，经由云上代理，最后联通至内网应用的网络连接。