CN115174262A - 安全访问内部网络的方法、装置及电子设备 - Google Patents
安全访问内部网络的方法、装置及电子设备 Download PDFInfo
- Publication number
- CN115174262A CN115174262A CN202210924986.6A CN202210924986A CN115174262A CN 115174262 A CN115174262 A CN 115174262A CN 202210924986 A CN202210924986 A CN 202210924986A CN 115174262 A CN115174262 A CN 115174262A
- Authority
- CN
- China
- Prior art keywords
- internal network
- control end
- application
- controlled
- control terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 84
- 230000006854 communication Effects 0.000 claims abstract description 49
- 238000004891 communication Methods 0.000 claims abstract description 45
- 238000013475 authorization Methods 0.000 claims abstract description 21
- 238000012795 verification Methods 0.000 claims abstract description 10
- 238000013507 mapping Methods 0.000 claims description 21
- 238000012544 monitoring process Methods 0.000 claims description 21
- 230000006870 function Effects 0.000 claims description 18
- 230000008569 process Effects 0.000 claims description 16
- 230000002159 abnormal effect Effects 0.000 claims description 14
- 238000007726 management method Methods 0.000 description 31
- 238000010586 diagram Methods 0.000 description 11
- 238000012545 processing Methods 0.000 description 11
- 239000003795 chemical substances by application Substances 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 9
- 230000005540 biological transmission Effects 0.000 description 7
- 230000035515 penetration Effects 0.000 description 7
- 238000004458 analytical method Methods 0.000 description 6
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 238000012550 audit Methods 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000000149 penetrating effect Effects 0.000 description 2
- 230000003542 behavioural effect Effects 0.000 description 1
- 238000009960 carding Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000001788 irregular Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011897 real-time detection Methods 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 230000004083 survival effect Effects 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种安全访问内部网络的方法、装置及电子设备。其中,该方法包括:控制端接收受控端发送的UDP报文信息,其中,UDP报文信息中包括控制端分发的授权码和控制端的目标端口号,控制端与外部网络连接,受控端与内部网络连接;在UDP报文信息验证通过后,控制端接收受控端发送的连接请求,其中,连接请求用于与控制端的目标端口号建立连接;在连接请求验证通过后,控制端通过应用标识访问内部网络的应用;控制端接收受控端加密后的通信报文数据,并将通信报文数据发送给与控制端连接的客户端设备。本申请解决了现有的互联网访问内网应用仅解决了网络的连通性,并未解决安全性的技术问题。
Description
技术领域
本申请涉及网络安全领域,具体而言,涉及一种安全访问内部网络的方法、装置及电子设备。
背景技术
基于网络安全的现实需求,以及IPV4地址有限的现实情况,企业等组织机构中有大量的IT设施位于内网中,暴露在互联网上的资产数量仅为内网资产的很少一部分,这部分的内网资产往往具备很高的价值。这部分内网资产在实际的网络环境下,一般在企业的防火墙的管理下,往往只能在企业办公网或者需要拨VPN到企业内网才能访问。要从外网访问到内网,这种方式叫做内网穿透,在传统意义上往往被认为是不合规、不安全的访问方式。
随着远程办公或者远程代运维等工作越来越普遍,传统的物理意义上的网络区域的划分,已经很难解决这种分布式的网络访问需求,急需一种安全便捷的网络接入方式解决这种“纯内网”应用的管理和访问。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种安全访问内部网络的方法、装置及电子设备,以至少解决现有的互联网访问内网应用仅解决了网络的连通性,并未解决安全性的技术问题。
根据本申请实施例的一个方面,提供了一种安全访问内部网络的方法,包括:控制端接收受控端发送的UDP报文信息,其中,UDP报文信息中包括控制端分发的授权码和控制端的目标端口号,控制端与外部网络连接,受控端与内部网络连接;在UDP报文信息验证通过后,控制端接收受控端发送的连接请求,其中,连接请求用于与控制端的目标端口号建立连接;在连接请求验证通过后,控制端通过应用标识访问内部网络的应用,其中,应用标识由管理内部网络资源的资源模块进行分配;控制端接收受控端加密后的通信报文数据,并将通信报文数据发送给与控制端连接的客户端设备。
可选地,控制端通过应用标识访问内部网络的应用之前,方法还包括:验证与控制端连接的客户端设备的访问权限,其中,访问权限表示与应用标识对应的内部网络的应用的访问权限;在访问权限通过验证的情况下,客户端设备经过控制端,并通过应用标识访问内部网络的应用。
可选地,控制端接收受控端加密后的报文数据之前,方法还包括:获取所有敏感关键词,得到敏感关键词集合;将敏感关键词集合中的敏感关键词转换成不包含敏感字段的关键词,得到关键词集合;识别待发送报文中与敏感关键词集合中的敏感关键词对应的敏感字段;将敏感字段替换为关键词集合中对应的关键词,并对关键词进行加密处理。
可选地,方法还包括:监测客户端设备的访问操作,其中,访问操作包括以下至少之一:客户端设备的IP地址、请求报文、上传的文件内容、访问频率;在访问操作存在异常的情况下,控制端发出异常警报并关闭目标端口号的连接权限。
可选地,资源模块集成在控制端和受控端中,受控端和控制端均维护一张映射表,映射表包括内部网络的资源的统一资源定位符和应用标识的映射关系,控制端的资源模块根据映射表确定资源的上线或下线,其中,上线的资源可被拥有访问权限的客户端设备访问,下线的资源无法被访问。
可选地,方法还包括:控制端维护多张数据表,其中,数据表包括以下至少之一:IP黑名单、IP白名单、恶意文件样本和恶意通信报文样本;依据多张数据表,确定客户端设备访问内部网络应用的安全性。
可选地,方法还包括:在客户端设备使用完内部网络的应用后,控制端或受控端断开连接,且控制端关闭目标端口号的连接权限。
根据本申请实施例的又一方面,还提供了一种安全访问内部网络的方法,包括:受控端向控制端发送UDP报文信息,其中,UDP报文信息中包括控制端分发的授权码和控制端的目标端口号,控制端与外部网络连接,受控端与内部网络连接;在UDP报文信息验证通过后,受控端向控制端发送连接请求,其中,连接请求用于与控制端的目标端口号建立连接;在连接请求验证通过后,受控端接收控制端通过应用标识访问内部网络的应用的访问请求,其中,应用标识由管理内部网络资源的资源模块进行分配;依据访问请求,受控端将加密后的通信报文数据发送给控制端。
根据本申请实施例的又一方面,还提供了一种安全访问内部网络的装置,包括:代理模块、资源管理模块、风险监控模块、权限管理模块、情报管理模块和加解密模块,其中,代理模块,包括控制端和受控端,控制端接收受控端发送的UDP报文信息,其中,UDP报文信息中包括控制端分发的授权码和控制端的目标端口号,控制端与外部网络连接,受控端与内部网络连接;在UDP报文信息验证通过后,控制端接收受控端发送的连接请求,其中,连接请求用于与控制端的目标端口号建立连接;在连接请求通过验证后,与控制端连接的客户端设备通过应用标识访问内部网络的应用,其中,应用标识由管理内部网络资源的资源模块进行分配;控制端接收受控端加密后的通信报文数据,并将通信报文数据发送给与客户端设备;资源模块,集成在控制端和受控端中,受控端和控制端均维护一张映射表,映射表包括内部网络的资源的统一资源定位符和应用标识的映射关系,控制端的资源模块根据映射表确定资源的上线或下线,其中,上线的资源可被拥有访问权限的客户端设备访问,下线的资源无法被访问;风险监控模块,用于监测网络连接过程中的异常,其中,异常至少包括以下之一:网络连接频率是否大于预设阈值,网络通信过程中的应用报文是否存在异常;权限管理模块,用于管理客户端设备对上线的资产的访问权限;情报管理模块,至少用于维护多张数据表,其中,数据表包括以下至少之一:IP黑名单、IP白名单、恶意文件样本和恶意通信报文样本;加解密模块,用于对通信报文数据中的敏感字段进行加密和解密。
根据本申请实施例的再一方面,还提供了一种电子设备,包括:存储器,用于存储程序指令;处理器,与存储器连接,用于执行实现以下功能的程序指令:控制端接收受控端发送的UDP报文信息,其中,UDP报文信息中包括控制端分发的授权码和控制端的目标端口号,控制端与外部网络连接,受控端与内部网络连接;在UDP报文信息验证通过后,控制端接收受控端发送的连接请求,其中,连接请求用于与控制端的目标端口号建立连接;在连接请求验证通过后,控制端通过应用标识访问内部网络的应用,其中,应用标识由管理内部网络资源的资源模块进行分配;控制端接收受控端加密后的通信报文数据,并将通信报文数据发送给与控制端连接的客户端设备。
根据本申请实施例的再一方面,还提供了一种非易失性存储介质,该非易失性存储介质包括存储的程序,其中,在程序运行时控制该非易失性存储介质所在设备执行上述安全访问内部网络的方法。
在本申请实施例中,控制端接收受控端发送的UDP报文信息,其中,UDP报文信息中包括控制端分发的授权码和控制端的目标端口号,控制端与外部网络连接,受控端与内部网络连接;在UDP报文信息验证通过后,控制端接收受控端发送的连接请求,其中,连接请求用于与控制端的目标端口号建立连接;在连接请求验证通过后,控制端通过应用标识访问内部网络的应用,其中,应用标识由管理内部网络资源的资源模块进行分配;控制端接收受控端加密后的通信报文数据,并将通信报文数据发送给与控制端连接的客户端设备,达到了根据UDP报文内容开启对应端口的访问权限的目的,从而实现了减少被互联网测绘技术标记的风险的技术效果,进而解决了现有的互联网访问内网应用仅解决了网络的连通性,并未解决安全性的技术问题。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的一种用于实现安全访问内部网络的方法的计算机终端(或电子设备)的硬件结构框图;
图2是根据本申请实施例的一种安全访问内部网络的方法的流程图;
图3a是根据本申请实施例的一种端口敲门的过程示意图;
图3b是根据本申请实施例的一种包含加解密插件的示意图;
图3c是根据本申请实施例的一种异常监测的示意图;
图4是根据本申请实施例的另一种安全访问内部网络的方法的流程图;
图5是根据本申请实施例的一种安全访问内部网络的装置的结构图;
图6是根据本申请实施例的一种安全访问内部网络的系统的结构图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
首先,在对本申请实施例进行描述的过程中出现的部分名词适用于如下解释:
代理:客户端和服务端不直接通信,而是基于代理服务器的转发,代理服务器并按照配置结果将请求转发到对应的位置。
远程控制:远程控制分为服务端和客户端,客户端向服务端注册上线,服务端识别到上线的客户端,并通过下发指令,控制客户端操作。
透明传输:网络请求的客户端和服务端之间添加透明代理,透明代理负责流量的加密和解密处理,但是客户端和服务端没有感知,只需要和没有代理之前一样的方式通信即可。
流量检测:检查OSI模型中的四层以及七层网络流量的请求频率及请求内容,识别其中异常的亲求。
访问控制:管理员可以基于五元组识别某个网络连接,并进行限制网络速率,限制网络访问等管理控制。
端口敲门:通常情况下端口是关闭状态的,通过特定的端口敲门顺序后,打开对应的端口。
内网穿透:通过内网主动对外部控制端注册,使得外部服务端可以向内网建立连接,从而可以直接从外部访问到内部。
相关技术中,防火墙的代理托管方式的应用发布在实际的操作流程中比较繁琐,并且发布出去的应用无法做更细力度的权限管控,且内网穿透的方式也存在安全性问题。内网穿透的安全性问题主要有三点:1)内网穿透一般是黑客的攻击手法,对于网络的管理方容易造成管理上的盲区;2)权限问题,现存的内网穿透方法没有做权限管控和隔离,只做了网络的连通;3)合规性问题,因为内网穿透大多是黑客手段,容易被监管单位识别为攻击。
在特定场景下的互联网访问内网应用的需求,仅解决了网络的连通性,并未解决其安全性上的问题,反而因为新增了暴露点而增加了企业的网络风险。传统的方案一般是再用VPN或者云桌面的方式,这种方式往往存在和安全性过高便捷性不够的问题。如外部供应商代运维某个系统,则需要在防火墙上进行对应的安全配置,并配置业务隔离,不具备标准化的处理手段。
为解决企业内网接入的便捷性和安全性问题,尤其是敏感数据泄露的问题,本申请实施例提供了相应的解决方案,以下详细说明。
本申请实施例所提供的安全访问内部网络的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。图1示出了一种用于实现安全访问内部网络的方法的计算机终端(或电子设备)的硬件结构框图。如图1所示,计算机终端10(或电子设备10)可以包括一个或多个(图中采用102a、102b,……,102n来示出)处理器(处理器可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输模块106。除此以外,还可以包括:显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为I/O接口的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机终端10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
应当注意到的是上述一个或多个处理器和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外,数据处理电路可为单个独立的处理模块,或全部或部分的结合到计算机终端10(或电子设备)中的其他元件中的任意一个内。如本申请实施例中所涉及到的,该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。
存储器104可用于存储应用软件的软件程序以及模块,如本申请实施例中的安全访问内部网络的方法对应的程序指令/数据存储装置,处理器通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的安全访问内部网络的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输模块106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
显示器可以例如触摸屏式的液晶显示器(LCD),该液晶显示器可使得用户能够与计算机终端10(或电子设备)的用户界面进行交互。
此处需要说明的是,在一些可选实施例中,上述图1所示的计算机设备(或电子设备)可以包括硬件元件(包括电路)、软件元件(包括存储在计算机可读介质上的计算机代码)、或硬件元件和软件元件两者的结合。应当指出的是,图1仅为特定具体实例的一个实例,并且旨在示出可存在于上述计算机设备(或电子设备)中的部件的类型。
在上述运行环境下,本申请实施例提供了一种安全访问内部网络的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图2是根据本申请实施例的一种安全访问内部网络的方法的流程图,如图2所示,该方法包括如下步骤:
步骤S202,控制端接收受控端发送的UDP报文信息,其中,UDP报文信息中包括控制端分发的授权码和控制端的目标端口号,控制端与外部网络连接,受控端与内部网络连接;
步骤S204,在UDP报文信息验证通过后,控制端接收受控端发送的连接请求,其中,连接请求用于与控制端的目标端口号建立连接;
步骤S206,在连接请求验证通过后,控制端通过应用标识访问内部网络的应用,其中,应用标识由管理内部网络资源的资源模块进行分配;
步骤S208,控制端接收受控端加密后的通信报文数据,并将通信报文数据发送给与控制端连接的客户端设备。
在上述步骤S202至步骤S208中,控制端和受控端均属于代理模块,主要负责网络的建联,主要功能如下:控制端分发授权码给受控端;受控端携带授权码给控制端的M号端口,1000<M<65535,由受控端发送UDP报文敲门,指定N号端口开放,M≠N,且1000<N<65535,UDP报文中携带的消息如下【授权码、N】;控制端识别并验证敲门报文中的授权码,通过给受控端的出口IP开放N号端口的连接权限;受控端连续尝试连接控制端的N号端口,待控制端验证通过后,双方建立连接,受控端与控制端的代理通信,需要带上对应的应用标识,应用标识号通过资产管理模块(也可理解为资源模块)分配,通信报文数据可如:【应用标识,请求报文体】。在报文传输的过程中,若控制端检查到异常,控制端可以主动断开连接,关闭出口IP的N号端口的连接权限;当用户使用完毕,控制端和受控端均可主动断开连接,关闭出口IP的N号端口的连接权限。
在上述过程中,关键技术为端口敲门技术,如图3a所示的端口敲门的过程示意图,受控端向控制端的M号端口发送UDP报文指定敲门端口号为N号端口,控制端验证受控端的代理身份后,如果验证通过则开放N号端口的连接权限给代理客户端,受控端与控制端的N号端口建立TCP连接,连接成功后,控制端转发该连接,从而使得拥有对应权限的用户可使用该连接访问对应的应用。
在上述安全访问内部网络的方法中的步骤S206中,控制端通过应用标识访问内部网络的应用之前,方法还包括如下步骤:验证与控制端连接的客户端设备的访问权限,其中,访问权限表示与应用标识对应的内部网络的应用的访问权限;在访问权限通过验证的情况下,客户端设备经过控制端,并通过应用标识访问内部网络的应用。
在上述步骤中,用户的访问权限可通过权限管理模块进行限定,该权限管理模块限定了对于内网上线的资产哪些用户可以访问,该模块的主要功能包括:(1)角色定义,该角色可通过用户所属的部门、用户的职责等进行划分;(2)权限定义,该权限指对内网应用的访问权限;(3)角色与权限关联,即对应角色拥有了对该对应应用的访问权限;(4)用户录入,用户与角色关联,拥有了对应角色的用户,即拥有了对应系统的访问权限;(5)用户权限验证,验证用户是否有对应资产的访问权限。
在上述安全访问内部网络的方法中的步骤S208中,控制端接收受控端加密后的报文数据之前,方法还包括如下步骤:获取所有敏感关键词,得到敏感关键词集合;将敏感关键词集合中的敏感关键词转换成不包含敏感字段的关键词,得到关键词集合;识别待发送报文中与敏感关键词集合中的敏感关键词对应的敏感字段;将敏感字段替换为关键词集合中对应的关键词,并对关键词进行加密处理。
在上述过程中,对关键词进行加密处理的过程例如可通过加解密模块实现,加解密模块主要解决第三方接入的情况,防止数据泄露给第三方,如使用微信小程序访问内网,如果应用数据不加密,那么有可能被微信的云平台截获泄露。
该加解密模块使用的一种透明的代理模式,客户端集成该模块(可以是浏览器插件,或者app集成),受控端的代理上集成该模块即可,不需要内网应用做开发改造;该加解密模块的功能如下:
(1)密钥管理:对应受控端,及应用的加解密密钥的管理及更新;
(2)报文解析,及敏感字段识别,报文解析及敏感字段识别是该模块的核心技术,报文解析支持常见的JSON报文,WWW表单,XML表单;敏感字段采用预设字典,识别其中的姓名、手机号、密码、职务、邮箱等字段。
(3)字段加密,对于报文解析中识别到的敏感字段的值加密;
(4)字段解密,对于报文解析中识别到的敏感字段的值解密;
(5)自适应敏感字段识别;一个系统所包含的api是非常复杂的,如果需要使用方在使用加解密模块之前提前将每一个api和关键字段配置进来,那么工程量巨大,且由于人的参与可能导致使用效果不好。基于机器算法辅助的敏感字段自动识别,可以在一定程度上减少人工配置的工作量,并且减少人工梳理造成的遗漏,使用者只需要在机器的识别结果基础上修订机器的识别结果即可。算法如下:
①定义敏感字段;基于PCI或者等级保护等规定以及常见自定义的关键词梳理常见的敏感关键词,得到基于自然语言的敏感关键词集合M{key1、key2、key3……km}。
②基于现有的github、汉译英,汉字转拼英、汉语拼音缩写,英文首字母缩写等手段,将自然语言的敏感关键词集合M转换成英文-数字标识符组成的常见api中的关键词集合N{k1、k2、k3、k4……kn},其中n>m。
③接入系统,并模拟请求一段时间,使之充分调用系统所有功能,基于解密模块第二步功能,可以将该系统所有api的所有字段清单获取Q{field1、field2、field3、field4……};
④将Q中的所有元素与N中的所有元素匹配,若fieldi≈kj,那么fieldi所对应的字段内容将在通信过程中被加密。
⑤对于④中所标注的≈,可以采用字符串包含算法模糊匹配实现。
图3b是根据本申请实施例的一种包含加解密插件的示意图,在图3b中,在使用微信等第三方通信时,需要在客户端设备设置加解密插件,同时在内网受控端设置加解密插件,在内网使用加解密插件对数据进行加密,在外网客户端通过加解密插件进行解密,从而实现数据的安全传输。
在上述安全访问内部网络的方法中,方法还包括:监测客户端设备的访问操作,其中,访问操作包括以下至少之一:客户端设备的IP地址、请求报文、上传的文件内容、访问频率;在访问操作存在异常的情况下,控制端发出异常警报并关闭目标端口号的连接权限。
上述监测客户端设备的访问操作可通过风险监测模块实现,该风险监测模块主要功能是监测网络连接过程中的异常,包括但不限于,网络建连过程中的连接频率是否超过阈值;网络通信过程中的应用报文是否存在异常,如果存在,则上报风险。
图3c是根据本申请的一种异常监测的示意图,在图3c中,客户端设备通过外网控制端访问受控端以及内部网络的应用,在访问过程中,通过对控制端进行网络控制,以及对访问报文、访问频次的监测,实现安全的网络通信。
在上述安全访问内部网络的方法中,资源模块集成在控制端和受控端中,受控端和控制端均维护一张映射表,映射表包括内部网络的资源的统一资源定位符和应用标识的映射关系,控制端的资源模块根据映射表确定资源的上线或下线,其中,上线的资源可被拥有访问权限的客户端设备访问,下线的资源无法被访问。
在本申请实施例中,资源模块负责资源(也可指资产)的上线和下线管理,主要功能如下:(1)受控端负责资产的收集,内网存活的资产清单,资产的网络可用性,上报给控制端;受控端和控制端均维护一张映射表【资产URL,应用标识】。(2)控制端可以筛选对应资产上线,或者对应资产下线,上线的资产拥有权限的用户可以访问,下线的资产无法访问。
在上述安全访问内部网络的方法中,方法还包括如下步骤:控制端维护多张数据表,其中,数据表包括以下至少之一:IP黑名单、IP白名单、恶意文件样本和恶意通信报文样本;依据多张数据表,确定客户端设备访问内部网络应用的安全性。
在本申请实施例中,上述多张数据表的维护例如可通过情报管理模块实现,该模块的功能有:(1)情报输入:这里的情报是一个泛指,包括并不限于,IP黑名单,IP白名单,恶意文件样本,恶意通信报文样本;(2)情报输出:当前的连接状态,当前的受控设备的连接状态,将该信息输出给其他管理设备,用于统一边界管理。
在上述安全访问内部网络的方法中,方法还包括如下步骤:在客户端设备使用完内部网络的应用后,控制端或受控端断开连接,且控制端关闭目标端口号的连接权限。
本申请实施例提供的安全访问内部网络的方法具有如下功能:1.使用端口敲门技术,采用的是先接收客户端UDP报文,再根据UPD的报文内容,服务端再开启TCP对应端口的访问权限,可以减少被互联网测绘技术发现并标记的风险,以及减少被网络扫描器发现并攻击的风险;2.使用透明代理保护核心资产数据安全,内网核心资产通过本装置,不管嵌入到何种平台中,均可以通过透明加密代理,解决用户的核心数据不被平台方获取,仅可被数据的拥有者和使用方能解密查看;3.安全的内网穿透,内网资产的远程访问是现实需求,本申请解决解决了传统的内穿穿透的不安全问题,能够让内网资产所有者能够安心的将资产服务通过本装置暴露给对应权限使用方,零信任的安全连接,从网络连接到连接结束,实时检测,全程审计,保障安全;4.合规的内网穿透,除了从设计上保证内网穿透的网络安全性,同时也从合规性上考虑,可以通过接入第三方的数据成为安全管理中心,或者将数据输出到日志审计、或者防火墙等其他的安全管理平台上,从合规性上满足安全性;5.自适应敏感字段识别技术,通过自适应的敏感字段识别技术,可以在系统正式接入前,自动识别敏感字段,减少人工梳理的复杂度和工作量。
图4是根据本申请实施例的另一种安全访问内部网络的方法的流程图,如图4所示,该方法包括如下步骤:
步骤S402,受控端向控制端发送UDP报文信息,其中,UDP报文信息中包括控制端分发的授权码和控制端的目标端口号,控制端与外部网络连接,受控端与内部网络连接;
步骤S404,在UDP报文信息验证通过后,受控端向控制端发送连接请求,其中,连接请求用于与控制端的目标端口号建立连接;
步骤S406,在连接请求验证通过后,受控端接收控制端通过应用标识访问内部网络的应用的访问请求,其中,应用标识由管理内部网络资源的资源模块进行分配;
步骤S408,依据访问请求,受控端将加密后的通信报文数据发送给控制端。
需要说明的是,图4所示的安全访问内部网络的方法与图2所示的方法的执行过程相同,仅表现为执行主体不同,具体地,图3所示的执行主体为受控端,图2所示的执行主体为控制端,通过两种不同的角度描述了安全访问内部网络的过程,因此图2中的安全访问内部网络的方法中的相关解释说明也适用于图4,此处不再赘述。
图5是根据本申请实施例的一种安全访问内部网络的装置的结构图,如图5所示,该装置包括:
代理模块501、资源管理模块502、风险监控模块503、权限管理模块504、情报管理模块505和加解密模块506,其中,代理模块,包括控制端和受控端,控制端接收受控端发送的UDP报文信息,其中,UDP报文信息中包括控制端分发的授权码和控制端的目标端口号,控制端与外部网络连接,受控端与内部网络连接;在UDP报文信息验证通过后,控制端接收受控端发送的连接请求,其中,连接请求用于与控制端的目标端口号建立连接;在连接请求通过验证后,与控制端连接的客户端设备通过应用标识访问内部网络的应用,其中,应用标识由管理内部网络资源的资源模块进行分配;控制端接收受控端加密后的通信报文数据,并将通信报文数据发送给与客户端设备;资源模块,集成在控制端和受控端中,受控端和控制端均维护一张映射表,映射表包括内部网络的资源的统一资源定位符和应用标识的映射关系,控制端的资源模块根据映射表确定资源的上线或下线,其中,上线的资源可被拥有访问权限的客户端设备访问,下线的资源无法被访问;风险监控模块,用于监测网络连接过程中的异常,其中,异常至少包括以下之一:网络连接频率是否大于预设阈值,网络通信过程中的应用报文是否存在异常;权限管理模块,用于管理客户端设备对上线的资产的访问权限;情报管理模块,至少用于维护多张数据表,其中,数据表包括以下至少之一:IP黑名单、IP白名单、恶意文件样本和恶意通信报文样本;加解密模块,用于对通信报文数据中的敏感字段进行加密和解密。
在上述安全访问内部网络的装置中,企业仅需要安装该装置后,便可以自动识别应用,并选择发布,外部访问者只能针对性的访问指定应用,既安全,又减少了一系列的繁琐的配置工作,同时支持网络连接的监控和管理,基于零信任的持续监控,发现异常立即阻断和审计,使得企业可以放心内网核心资产的远程访问。
本申请实施例中的装置的描述以安全专家带运营内网安全设备为例,介绍装置的组成与关键技术。客户A购买了厂家B的安全设备,该设备在内网,外网无法直接访问,现有安全问题需要厂家排查,厂家与客户通过本装置打通网络,并尝试解决问题,解决完毕,客户断开网络。
本装置主要的功能是将内网的资产发布给外网的授权用户访问,且数据除拥有方和授权方不会被其他第三方所解密发现。所以本装置的主要功能如下:(1)网络连通与管理,保障外网用户能够访问内网资产,异常连接能够被阻断;(2)资产上线与下线,保障资产的上线与下线可管理;(3)数据加密与解密,保障机密数据不被泄露;(4)用户授权管理,保障应用的访问权限,只有授权用户才能访问。
在安全性能方面,本装置具有如下功能:(1)端口隐藏,防止被互联网测试,防止网络攻击;(2)入侵检测,检测已认证的用户和客户端的异常操作,包括与情报碰撞所检测到的异常,以及行为异常;(3)流量与日志审计,保留关键日志,用于安全审计;(4)情报配置接入与转发(统一安全管理中心),接入其他产品(防火墙)的情报来源,并将当前装置的配置以及流量情况推送给防火墙等其他设备,便于边界的统一管理。
在该装置中,常见的情报碰撞如:(1)请求连接的受控端或者用户位于IP黑名单中,则拒绝对应的连接请求;(2)请求报文解析,如果报文内容包含恶意特征,则阻断该请求,并断开连接,发出警报;(3)上传文件检测,根据分发的文件的hash,如果该hash存在于恶意文件库中,则阻断该请求,并断开连接,发出警报。
需要说明的是,图5所示的安全访问内部网络的装置用于执行图2所示的安全访问内部网络的方法,因此上述安全访问内部网络的方法中的相关解释说明也适用于该安全访问内部网络的装置,此处不再赘述。
图6是根据本申请实施例的一种安全访问内部网络的系统的结构图,如图6所示,该系统包括内网受控端、外网控制端和客户端设备三个部分,内网受控端:客户内部网络可以访问外网,而外网无法直接访问内网,需要由内网的受控客户端主动与外网控制端携带外网控制端发送的授权码,并敲门后建立TCP连接,才能打通网络通道。同时为了方便应用的发布,该内网受控端还具备资产的发现功能,管理员可以快速的基于自动发现的资产,选择对应的资产上线,包含代理模块,资产模块(或资源模块),加解密模块,以及在内网中的多个应用,如应用A、应用B、应用C等。外网控制端:外网控制端是工作核心,它需要通过代理模块实现授权码发放和终端注册验证等功能,以验证受控端,保证是可信终端,同时通过资产模块支持资产的上线、下线操作;通过风险监控模块实现网络状态监控、报文分析和异常处置,能够基于连接5元组信息阻断对应的异常连接,能够基于报文中的异常信息检测,发现异常操作;通过权限管理模块实现用户角色管理、权限关联等功能,保障应用只能被授权用户所访问,同时通过情报管理模块实现情报录入和情报推送,情报一般是白IP和黑IP,实现用户网络的授权接入和拒绝;对于当前的网络状态以及发现的网络安全事件需要向外部传输,特别是与防火墙联动,组成统一的边界完全管理,满足合规上的需求,包含代理模块、资产模块、风险监测模块、权限管理模块、情报管理模块。客户端设备:通常情况下只包含加解密模块,控制端授予对应的访问权限之后,只需要按照控制端的指引,访问对应的应用即可,用户端一般配置加解密插件,用于应用的数据加解密。
本申请实施例还提供了一种非易失性存储介质,该非易失性存储介质包括存储的程序,其中,在程序运行时控制该非易失性存储介质所在设备执行以下安全访问内部网络的方法:控制端接收受控端发送的UDP报文信息,其中,UDP报文信息中包括控制端分发的授权码和控制端的目标端口号,控制端与外部网络连接,受控端与内部网络连接;在UDP报文信息验证通过后,控制端接收受控端发送的连接请求,其中,连接请求用于与控制端的目标端口号建立连接;在连接请求验证通过后,控制端通过应用标识访问内部网络的应用,其中,应用标识由管理内部网络资源的资源模块进行分配;控制端接收受控端加密后的通信报文数据,并将通信报文数据发送给与控制端连接的客户端设备。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
Claims (11)
1.一种安全访问内部网络的方法,其特征在于,包括:
控制端接收受控端发送的UDP报文信息,其中,所述UDP报文信息中包括所述控制端分发的授权码和所述控制端的目标端口号,所述控制端与外部网络连接,所述受控端与内部网络连接;
在所述UDP报文信息验证通过后,所述控制端接收所述受控端发送的连接请求,其中,所述连接请求用于与所述控制端的目标端口号建立连接;
在所述连接请求验证通过后,所述控制端通过应用标识访问所述内部网络的应用,其中,所述应用标识由管理内部网络资源的资源模块进行分配;
所述控制端接收所述受控端加密后的通信报文数据,并将所述通信报文数据发送给与所述控制端连接的客户端设备。
2.根据权利要求1所述的方法,其特征在于,所述控制端通过应用标识访问所述内部网络的应用之前,所述方法还包括:
验证与所述控制端连接的所述客户端设备的访问权限,其中,所述访问权限表示与所述应用标识对应的所述内部网络的应用的访问权限;
在所述访问权限通过验证的情况下,所述客户端设备经过所述控制端,并通过所述应用标识访问所述内部网络的应用。
3.根据权利要求1所述的方法,其特征在于,所述控制端接收所述受控端加密后的报文数据之前,所述方法还包括:
获取所有敏感关键词,得到敏感关键词集合;
将所述敏感关键词集合中的敏感关键词转换成不包含敏感字段的关键词,得到关键词集合;
识别待发送报文中与所述敏感关键词集合中的敏感关键词对应的敏感字段;
将所述敏感字段替换为所述关键词集合中对应的关键词,并对所述关键词进行加密处理。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
监测所述客户端设备的访问操作,其中,所述访问操作包括以下至少之一:所述客户端设备的IP地址、请求报文、上传的文件内容、访问频率;
在所述访问操作存在异常的情况下,所述控制端发出异常警报并关闭所述目标端口号的连接权限。
5.根据权利要求1所述的方法,其特征在于,所述资源模块集成在所述控制端和所述受控端中,所述受控端和所述控制端均维护一张映射表,所述映射表包括所述内部网络的资源的统一资源定位符和所述应用标识的映射关系,所述控制端的资源模块根据所述映射表确定资源的上线或下线,其中,上线的资源可被拥有访问权限的所述客户端设备访问,下线的资源无法被访问。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述控制端维护多张数据表,其中,所述数据表包括以下至少之一:IP黑名单、IP白名单、恶意文件样本和恶意通信报文样本;
依据所述多张数据表,确定所述客户端设备访问所述内部网络应用的安全性。
7.根据权利要求1至6中任意一项所述的方法,其特征在于,所述方法还包括:在所述客户端设备使用完所述内部网络的应用后,所述控制端或所述受控端断开连接,且所述控制端关闭所述目标端口号的连接权限。
8.一种安全访问内部网络的方法,其特征在于,包括:
受控端向控制端发送UDP报文信息,其中,所述UDP报文信息中包括所述控制端分发的授权码和所述控制端的目标端口号,所述控制端与外部网络连接,所述受控端与内部网络连接;
在所述UDP报文信息验证通过后,所述受控端向所述控制端发送连接请求,其中,所述连接请求用于与所述控制端的目标端口号建立连接;
在所述连接请求验证通过后,所述受控端接收所述控制端通过应用标识访问所述内部网络的应用的访问请求,其中,所述应用标识由管理内部网络资源的资源模块进行分配;
依据所述访问请求,所述受控端将加密后的通信报文数据发送给所述控制端。
9.一种安全访问内部网络的装置,其特征在于,至少包括:代理模块、资源管理模块、风险监控模块、权限管理模块、情报管理模块和加解密模块,其中,
所述代理模块,包括控制端和受控端,所述控制端接收所述受控端发送的UDP报文信息,其中,所述UDP报文信息中包括所述控制端分发的授权码和所述控制端的目标端口号,所述控制端与外部网络连接,所述受控端与内部网络连接;在所述UDP报文信息验证通过后,所述控制端接收所述受控端发送的连接请求,其中,所述连接请求用于与所述控制端的目标端口号建立连接;在所述连接请求通过验证后,与所述控制端连接的客户端设备通过应用标识访问所述内部网络的应用,其中,所述应用标识由管理内部网络资源的资源模块进行分配;所述控制端接收所述受控端加密后的通信报文数据,并将所述通信报文数据发送给与所述客户端设备;
所述资源模块,集成在所述控制端和所述受控端中,所述受控端和所述控制端均维护一张映射表,所述映射表包括所述内部网络的资源的统一资源定位符和所述应用标识的映射关系,所述控制端的资源模块根据所述映射表确定资源的上线或下线,其中,上线的资源可被拥有访问权限的所述客户端设备访问,下线的资源无法被访问;
所述风险监控模块,用于监测网络连接过程中的异常,其中,所述异常至少包括以下之一:网络连接频率是否大于预设阈值,网络通信过程中的应用报文是否存在异常;
所述权限管理模块,用于管理所述客户端设备对上线的资产的访问权限;
所述情报管理模块,至少用于维护多张数据表,其中,所述数据表包括以下至少之一:IP黑名单、IP白名单、恶意文件样本和恶意通信报文样本;
所述加解密模块,用于对所述通信报文数据中的敏感字段进行加密和解密。
10.一种电子设备,其特征在于,包括:
存储器,用于存储程序指令;
处理器,与所述存储器连接,用于执行实现以下功能的程序指令:控制端接收受控端发送的UDP报文信息,其中,所述UDP报文信息中包括所述控制端分发的授权码和所述控制端的目标端口号,所述控制端与外部网络连接,所述受控端与内部网络连接;在所述UDP报文信息验证通过后,所述控制端接收所述受控端发送的连接请求,其中,所述连接请求用于与所述控制端的目标端口号建立连接;在所述连接请求验证通过后,所述控制端通过应用标识访问所述内部网络的应用,其中,所述应用标识由管理内部网络资源的资源模块进行分配;所述控制端接收所述受控端加密后的通信报文数据,并将所述通信报文数据发送给与所述控制端连接的客户端设备。
11.一种非易失性存储介质,其特征在于,所述非易失性存储介质包括存储的程序,其中,在所述程序运行时控制所述非易失性存储介质所在设备执行权利要求1至7中任意一项所述安全访问内部网络的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210924986.6A CN115174262A (zh) | 2022-08-02 | 2022-08-02 | 安全访问内部网络的方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210924986.6A CN115174262A (zh) | 2022-08-02 | 2022-08-02 | 安全访问内部网络的方法、装置及电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115174262A true CN115174262A (zh) | 2022-10-11 |
Family
ID=83476709
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210924986.6A Pending CN115174262A (zh) | 2022-08-02 | 2022-08-02 | 安全访问内部网络的方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115174262A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116545706A (zh) * | 2023-05-15 | 2023-08-04 | 合芯科技(苏州)有限公司 | 一种数据安全传输控制系统、方法、装置及电子设备 |
-
2022
- 2022-08-02 CN CN202210924986.6A patent/CN115174262A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116545706A (zh) * | 2023-05-15 | 2023-08-04 | 合芯科技(苏州)有限公司 | 一种数据安全传输控制系统、方法、装置及电子设备 |
| CN116545706B (zh) * | 2023-05-15 | 2024-01-23 | 合芯科技(苏州)有限公司 | 一种数据安全传输控制系统、方法、装置及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10298610B2 (en) | Efficient and secure user credential store for credentials enforcement using a firewall | |
| Scarfone et al. | Guide to intrusion detection and prevention systems (idps) | |
| US20180309721A1 (en) | Credentials enforcement using a firewall | |
| CN115486105A (zh) | Iot设备发现和标识 | |
| KR101992976B1 (ko) | Ssh 인증키를 보안 관리하는 ssh 프로토콜 기반 서버 원격 접근 시스템 | |
| CN114598540A (zh) | 访问控制系统、方法、装置及存储介质 | |
| Scarfone et al. | Sp 800-94. guide to intrusion detection and prevention systems (idps) | |
| US11799858B2 (en) | Network entity ID AAA | |
| CN111181831B (zh) | 通信数据处理方法和装置、存储介质及电子装置 | |
| Mahadewa et al. | HOMESCAN: Scrutinizing implementations of smart home integrations | |
| CN115174262A (zh) | 安全访问内部网络的方法、装置及电子设备 | |
| Howlett | Open source security tools | |
| KHVOSTOV et al. | Security threats to personal data in the implementation of distance educational services using mobile technologies | |
| Jadhav et al. | Detection and mitigation of arp spoofing attack | |
| Guo et al. | Simulation Implementation and Verification of a Security Framework for ICS Based on SPD | |
| KR101992985B1 (ko) | 서버간 보안 강화를 위한 하드코딩된 패스워드 및 명령어 통제 기반 접근통제 시스템 | |
| Raja et al. | Threat Modeling and IoT Attack Surfaces | |
| KR20210068832A (ko) | 웹 기반 sql 툴을 이용한 접근 제어 시스템 및 방법 | |
| Yang | Network attack and Countermeasures Based on telnet connection in the era of Internet of Things | |
| Rudraraju et al. | Dynamic design and implementation of security intelligence for industry | |
| Yutanto | Security Intelligence For Industry 4.0.: Design and Implementation | |
| Koujalagi | Network Security Intelligence for Small and Medium Scale Industry 4.0: Design and Implementation | |
| US12107826B2 (en) | Cobalt Strike Beacon HTTP C2 heuristic detection | |
| US20240154986A1 (en) | Providing identity protection | |
| Achkoudir et al. | Ethical Hacking of a Smart Plug |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Country or region after: China Address after: No. 309 Liuhe Road, Binjiang District, Hangzhou City, Zhejiang Province (High tech Zone) Applicant after: Zhongkong Technology Co.,Ltd. Address before: No. six, No. 309, Binjiang District Road, Hangzhou, Zhejiang Applicant before: ZHEJIANG SUPCON TECHNOLOGY Co.,Ltd. Country or region before: China |
|
| CB02 | Change of applicant information |