CN115603994A - 一种可信通信方法、装置、设备及存储介质 - Google Patents

一种可信通信方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN115603994A
CN115603994A CN202211231234.8A CN202211231234A CN115603994A CN 115603994 A CN115603994 A CN 115603994A CN 202211231234 A CN202211231234 A CN 202211231234A CN 115603994 A CN115603994 A CN 115603994A
Authority
CN
China
Prior art keywords
packet
data packet
target connection
authorization data
authorization
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211231234.8A
Other languages
English (en)
Inventor
文曦畅
原磊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN202211231234.8A priority Critical patent/CN115603994A/zh
Publication of CN115603994A publication Critical patent/CN115603994A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种可信通信方法、装置、设备及存储介质。该方法包括:若获取到客户端发送的目标连接的通信网络包,则构建所述目标连接对应的授权数据包;将授权数据包发送至网络中间设备,以便网络中间设备根据授权数据包中所包含的五元组信息以及身份认证信息,生成针对五元组对应的目标连接的放通策略。以便网络中间设备在接收到该目标连接的各个通信网络包后,网络中间设备利用放通策略对各个通信网络包进行认证,并在认证通过后各个通信网络包转发给服务器,以使客户端与服务器之间进行可信通信。实现在不修改系统的基础上,解决内网因受中间设备能力的限制,无法建立隧道实现可信通信的问题。

Description

一种可信通信方法、装置、设备及存储介质
技术领域
本发明涉及计算机技术领域,特别涉及一种可信通信方法、装置、设备及存储介质。
背景技术
目前,为了实现可信通信,通常采用如下方式:
一是通过http(Hyper Text Transfer Protocol,超文本传输协议)协议固有的cookie属性,通过在数据包中携带cookie将身份信息传递出去,但是,http这类方案需要修改业务系统,但业务系统众多且分属于不同企业开发,因此增加了连接可信实现的复杂度且可行性不高;
二是vpn(Virtual Private Netwo,虚拟专用网络)封装,即采用建立加密隧道的方法,将身份信息嵌入到VPN隧道的方式传递出去,隧道类的方案虽然不用修改系统,但是构建隧道,且隧道涉及复杂的加解密操作,会消耗大量cpu计算量,普通的网关设备难以支撑。
三是直接采用报文头部的标准Option字段,但是报头有长度限制,往往会遇到Option字段不足以嵌入身份信息的情况;
四是在网络报文中额外添加一些非标准的Option(在本领域往往被称为实验性选项或者自定义选项),这些非标准的Option选项不是通信标准原本定义的字段,因此经常会被通信过程中经过的交换机或路由器丢弃,也无法实现身份传递。
发明内容
有鉴于此,本发明的目的在于提供一种可信通信方法、装置、设备及介质,能够解决以上存在的各个技术问题。其具体方案如下:
一方面,本申请公开了一种可信通信方法,应用在局域网网络架构的代理,包括:
若获取到客户端发送的目标连接的通信网络包,则构建所述目标连接对应的授权数据包;所述授权数据包中包含所述通信网络包的五元组信息以及所述目标连接的身份认证信息;
将所述授权数据包发送至网络中间设备,以便所述网络中间设备根据所述授权数据包中所包含的所述五元组信息以及所述身份认证信息,生成针对所述五元组对应的所述目标连接的放通策略。
该技术方案通过“额外创建一个用于传递身份的授权数据包”实现向外部传递身份。无需修改业务系统、无需构建VPN隧道、没有用到标准Option选项也无需额外增加非标准的Option,因此解决了现有技术中传递身份时遇到的很多难题。
可选的,所述若获取到客户端发送的目标连接的通信网络包,则构建所述目标连接对应的授权数据包,包括:
若获取到客户端发送的目标连接的首个通信网络包,则构建所述目标连接对应的授权数据包;
在所述将所述授权数据包发送至网络中间设备之后,包括:
将所述目标连接的各个通信网络包转发至所述网络中间设备。
该技术方案,会拦截目标连接的首包,并在转发首包之前,将授权数据包先发送出去,保证授权数据包先发送到网络中间设备,该方案可以起到敲门的作用,即授权数据包类似敲门包,先敲门,再敲门通过之后,网络中间设备才会处理敲门包后续的报文。这样一方面保证尽可能早地将身份信息进行传递,保证网络中间设备尽可能快地对目标连接进行处理;另一方面,提前敲门的方案可以提高网络安全性,能够实现端口隐藏的技术效果。
可选的,所述目标连接具体为TCP连接,所述首个通信网络包具体为SYN握手包;
相应地,所述将所述目标连接的各个通信网络包转发至所述网络中间设备,包括:
将所述TCP连接的SYN握手包转发至所述网络中间设备;
在接收到反馈的“SYN+ACK”报文之前,对所述授权数据包执行重传操作直至接收到反馈的“SYN+ACK”报文,或者,获取到“SYN重传报文”,以避免授权数据包丢失。
该技术方案中,由于授权数据包可能会出现丢包的情况,因此,在接收到反馈的TCP握手第二包之前,对授权数据包进行重传,重传次数不限定,可以多次重传,比如每间隔5ms重传1次。
此外,如果TCP握手第二包超时未到达,则会触发SYN数据包重传,则如果遇到SYN重传时,也终止授权数据包的重传操作。此外,本领域技术人员可以理解,SYN重传时,必然也会带出授权数据包的发送。
该技术方案采用重传机制避免授权数据包的丢包,该方案的创新点不在于“重传”,而是在于无需专门为授权数据包配置响应报文,也就是不是通过响应报文的接收来确定是否要重传授权数据包,而是在接收到TCP握手的第二包之前,直接执行重传操作,如果接收到TCP握手的第二包,则必然说明授权数据包已发送成功,无需再重传,如果TCP握手第二包超时未到,则必然会触发SYN握手包重传,也必然会带出来授权数据包。
所以,该技术方案的重传机制细节是非常简单的,一是无需为授权数据包设置响应报文,二是授权数据包发送完紧接着发送SYN包,对于目标连接来说,通信延时方面也不会太大。
可选的,所述授权数据包的目的IP和目的端口为所述通信网络包的目的IP和目的端口,以保证所述授权数据包能够和所述通信网络包均被发送至同一网络中间设备。
由于负载均衡的原因,网络中间设备会有很多个,那么有可能出现的情况是,目标连接的通信网络包和授权数据包可能被分发到不同的网络中间设备,也就是“分叉”现象,那么可能会导致接收到通信网络包的网络中间设备却没有接收到授权数据包,无法对通信网络包进行处理,所以在该技术方案中,申请人发现当设置目的地址和目的端口相同时,可以在一定程度上避免这种“分叉”的情况。
可选的,所述构建所述目标连接对应的授权数据包,包括:
利用密钥对所述通信网络包的五元组信息以及所述身份认证信息进行加密;
并将加密后的信息作为载荷部分构造授权数据包以得到加密后授权包。
该技术方案可保证身份认证信息的安全性。
可选的,所述构建所述目标连接对应的授权数据包,包括:
利用目标传输协议对所述五元组信息和所述身份认证信息进行封装,得到授权数据包。
该技术方案通过一些已知的传输协议封装五元组以及身份认证信息,可以尽量避免授权数据包在传输过程中被丢弃。
可选的,所述构建所述目标连接对应的授权数据包,包括:
根据配置参数和预设配置列表,判断所述目标连接是否符合授权条件;
若所述目标连接符合授权条件,则根据所述通信网络包构建所述客户端对应的授权数据包。
该技术方案仅仅只对某些符合条件的执行本申请的操作,可以在一定程度上减轻终端上代理的资源消耗,减轻终端运行负担。
又一方面,本申请公开了一种可信通信方法,应用在局域网网络架构中的网络中间设备,包括:
识别接收到的报文是否为授权数据包;
从识别到的所述授权数据包中解析所包含的五元组信息以及身份认证信息;
根据所述身份认证信息,确定对所述五元组信息对应目标连接的放通策略;
若接收的所述目标连接的通信网络包,则基于所述放通策略实现访问管控。
又一方面,本申请公开了一种可信通信代理,应用在局域网网络架构的终端设备,包括:
授权数据包构建模块,用于若获取到客户端发送的目标连接的通信网络包,则构建所述目标连接对应的授权数据包;所述授权数据包中包含所述通信网络包的五元组信息以及所述目标连接的身份认证信息;
授权数据包发送模块,用于将所述授权数据包发送至网络中间设备,以便所述网络中间设备根据所述授权数据包中所包含的所述五元组信息以及所述身份认证信息,生成针对所述五元组对应的所述目标连接的放通策略。
又一方面,本申请公开了一种可信通信装置,应用在局域网网络架构中的网络中间设备,包括:
授权数据包识别模块,用于识别接收到的报文是否为授权数据包;
数据包解析模块,用于从识别到的所述授权数据包中解析所包含的五元组信息以及身份认证信息;
放通策略确定模块,用于根据所述身份认证信息,确定对所述五元组信息对应目标连接的放通策略;
访问管控模块,用于若接收的所述目标连接的通信网络包,则基于所述放通策略实现访问管控。
又一方面,本申请公开了一种电子设备,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序,以实现前述的可信通信方法。
又一方面,本申请公开了一种计算机可读存储介质,用于存储计算机程序;其中计算机程序被处理器执行时实现前述的可信通信方法。
本申请中,若获取到客户端发送的目标连接的通信网络包,则构建所述目标连接对应的授权数据包;所述授权数据包中包含所述通信网络包的五元组信息以及所述目标连接的身份认证信息;将所述授权数据包发送至网络中间设备,以便所述网络中间设备根据所述授权数据包中所包含的所述五元组信息以及所述身份认证信息,生成针对所述五元组对应的所述目标连接的放通策略。本申请提供的身份传递方法,通过重新构建授权数据包的方式解决了传统身份传递遇到的问题,无需修改业务系统,无需创建VPN隧道,无需采用标准Option字段,也无需添加一些非标准的Option字段,解决了传统身份传递的问题,此外,本申请限定的方案针对每条连接都传输了身份认证信息,可以便于后续细粒度地做进程级管控。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请提供的一种可信通信方法流程图;
图2为本申请提供的一种可信通信建立时序图;
图3为本申请提供的一种具体的可信通信方法流程图;
图4为本申请提供的一种可信通信方法流程图;
图5为本申请提供的一种应用在代理的可信通信装置结构示意图;
图6为本申请提供的一种应用在网络中间设备的可信通信装置结构示意图;
图7为本申请提供的一种电子设备结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
现有技术中,为了实现可信通信,http协议通过在数据包中携带cookie,vpn采用建立加密隧道的方法,但是,http这类方案需要修改业务系统,增加了连接可信实现的复杂度,隧道类的方案虽然不用修改系统,但是隧道构建以及加解密操作,会消耗大量cpu计算量,普通的网关设备难以支撑。此外还有采用标准Option字段面临可用字段长度不足,以及非标准Option字段时面临的丢包问题,为克服上述技术问题,本申请提出一种可信通信方法,能够解决身份传递过程中遇到的技术问题。
本申请实施例公开了一种可信通信方法,应用在局域网网络架构的代理,参见图1所示,该方法可以包括以下步骤:
步骤S11:若获取到客户端发送的目标连接的通信网络包,则构建所述目标连接对应的授权数据包;所述授权数据包中包含所述通信网络包的五元组信息以及所述目标连接的身份认证信息。
本实施例中,首先获取客户端向服务器发送的目标连接的通信网络包,然后根据该通信网络包构建目标连接对应的授权数据包。
在该步骤S11中,目标连接的通信网络包可以是通信首包,也可以是通信的第二个网络包,还可以是任意目标连接中的任意一个数据包。当然,本领域技术人员容易理解,未来便于对目标连接作出快速的处理,应该是目标连接发送的前几个通信网络包时,就触发授权数据包的发送,比如,在目标连接发送连接首包时,就触发授权数据包的发送。
在本申请实施例中,代理可以对通信网络包进行拦截,也可以不拦截,本申请对此不作限定。
下面以代理设备拦截通信网络包,且在第二个通信网络包时触发授权数据包为例,描述更为详细的实现方式:如果在目标连接的第二个网络包才触发授权数据包的话,那么在接收到首个通信网络包时,可以在发送授权数据包之前,先转发首个网络包,当然也可以等到发送完授权数据包之后,再转发首个通信网络包,具体实现不做限定。此外,在发送授权包之前如果先转发了通信网络包,那么网络中间设备可以对接收到的通信网络包先做存储,然后再转发首个通信网络包。当然“第二个网络包才触发授权的包的方式”不算是优选方案,因为会导致目标连接访问网络的延时。
在一具体实现方案中,授权数据包是首包触发的,且代理具备拦截目标连接数据包的功能,以此实现对目标连接的快速响应以及敲门功能。具体实现方式如下:
所述若获取到客户端发送的目标连接的通信网络包,则构建所述目标连接对应的授权数据包,包括:
若获取到客户端发送的目标连接的首个通信网络包,则构建所述目标连接对应的授权数据包;
在所述将所述授权数据包发送至网络中间设备之后,包括:
将所述目标连接的各个通信网络包转发至所述网络中间设备。
也就是说,连接的首包触发授权数据包,且代理在发送授权数据包之后再转发连接首保,以此不仅能够尽量避免目标连接访问网络的时延,而且授权数据包具备敲门功能,还实现了“端口隐藏”的功能,也能够提高被访问资源的防护能力。
在另一具体实现方案中,本申请还提供了一种更便于实现的防止授权数据包丢包的方案,在该方案中,目标连接为TCP连接,为首个通信网络包也就是SYN包触发授权数据包的发送。
本申请提供的方案中,每当SYN来临的时候,都会触发授权数据包的发送,但是授权数据包是否真的到底了网络中间设备呢,这个很难知晓,比较常规的方案是,让网络中间设备针对授权数据包发送一个响应,根据是否收到该响应决定是否重发授权数据包,然后再确定收到授权数据包的时候,再将SYN报文转发出去。这个是比较容易想到的方案,但是这个方案,一是由于需要中间网络设备回报文,显然中间网络设备资源消耗大,二是由于确定收到授权数据包响应之后才会转发SYN,所以,目标连接的网络访问延时也会比较大。因此,亟待需要提出一种解决以上问题的新方案。
本申请提供的方案是:
首先,拦截到SYN包之后,首先发送授权数据包;
其次,发送完授权数据包之后紧接着发送SYN包;
然后,在接收到反馈的“SYN+ACK”报文之前,对所述授权数据包执行重传操作直至接收到反馈的“SYN+ACK”报文,或者,获取到“SYN重传报文”,以避免授权数据包丢失。
本方案利用了SYN的回包“SYN+ACK”报文来确定授权数据包是否已经成功被接收,而没有重新设置针对授权数据包的响应报文,无需中间网络设备回复,因此资源消耗有所减轻,此外,发送完授权数据包之后,紧着发送SYN报文,通信延时方面也会有所改善。
此处的重传操作可以重传1次,也可以重传多次,比如每间隔5ms重传1次,在该方案中,授权数据包具体可以为UDP数据包。
上述“授权数据包”是否发送成功的发明构思在于:
对目标连接的X网络包进行拦截,并构造授权数据包,其中该授权数据包要体现目标连接的身份认证信息并且要体现目标连接的五元组信息(其中,如果是NAT场景,授权数据包的五元组应该与目标连接的五元组一致,如果是局域网场景,没有这种要求);
将授权数据包发送至网络中间设备,以便于网络中间设备获取目标连接的身份认证信息;
在发送完授权数据包之后,转发拦截的所述X网络包;
在接收到对“所述X网络包或X网络包后续的某个报文”的确认报文之前,对所述授权数据包执行重传操作,直至接收到反馈的确认报文,或者,获取到“重传的X网络包”,以避免授权数据包丢失。
其中,被拦截的所述X网络包可以是连接任意一个数据包,但尽量应是发送的前几个网络包,目的是便于网络中间设备尽可能早地获取到身份认证信息,尽可能早地对目标连接作出合适的放通策略。
此外,上述X网络包可以选择为TCP连接的首包,即SYN握手包,如此,一方面可以让网络中间设备尽可能早地作出合适的放通策略,另一方面,当在SYN握手包之前发送授权数据包时,可以在认为无权限访问时,不转发SYN+ACK报文,如此可以起到更为安全的数据防护效果,有防止恶意端口扫描的优点。
可以理解的是,例如图2所示,本实施例可以应用在代理端(agent),代理用于构造授权数据包,该代理端可以与上述客户端(client)在同一台设备上,也可以在不同的设备上,但必须能够监控到客户端的外发流量。具体的,启动对客户端的外发流量监测后,检测监测到流量是否是连接首包,即用于建立连接的首个数据包,若是,则表征客户端需要与服务器(sever)建立一个新的连接,因此对该连接的通信网络包进行拦截(当然是否具体真的执行拦截操作,可以根据实际情况而定),以得到客户端的通信网络包。
其中,授权数据包中包含所述通信网络包的五元组信息以及所述目标连接的身份认证信息,即获取通信网络包对应的五元组信息;五元组包括源主机IP、源主机端口、目标主机IP、目标主机端口、传输协议类型;以及目标连接的身份认证信息,也即客户端的用户身份信息,身份认证信息包括用户名、进程ID、进程名、进程文件路径等用于标识用户身份的信息。即为了让网络中间设备授权,需要将客户端信息以及连接相关的信息作为授权数据包发送给网络中间设备,其中,身份认证信息具体可以由代理主动读取的,若待代理与客户端在同一台设备上,本地直接读取即可。网络中间设备为防火墙(firewall)、网关、路由、交换机或网桥等设备。
步骤S12:将所述授权数据包发送至网络中间设备,以便所述网络中间设备根据所述授权数据包中所包含的所述五元组信息以及所述身份认证信息,生成针对所述五元组对应的所述目标连接的放通策略。
本实施例中,授权数据包生成后发送给网络中间设备,网络中间设备收到后,根据授权数据包在本地生成针对该客户端的目标连接的放通策略,即检测到授权包解析数据包里面的五元组信息及用户身份信息,如果授权成功,生成针对五元组的放通策略。
本实施例中,所述授权数据包的目的IP和目的端口为所述通信网络包的目的IP和目的端口,以保证所述授权数据包能够和所述通信网络包均被发送至同一网络中间设备。也就是说,授权数据包内的目的IP与通信网络包中的目的IP是相同的,授权数据包内的目的端口与通信网络包中的目的端口是相同的,这样才能保证网络中间设备根据授权数据包认证通信网络包。
本实施例中,所述构建所述目标连接对应的授权数据包,可以包括:利用密钥对所述通信网络包的五元组信息以及所述身份认证信息进行加密;并将加密后的信息作为载荷部分构造授权数据包以得到加密后授权包。另外上述密钥可以由代理或控制台通过安全通道发送给网络中间设备。即为了提高安全性,可以通过将用户身份信息及五元组信息加密后再发送。
本实施例中,所述构建所述目标连接对应的授权数据包,可以包括:利用目标传输协议对所述五元组信息和所述身份认证信息进行封装,得到授权数据包;将所述授权数据包发送给所述网络中间设备。即为减小被中间设备拦截的可能,可以将授权数据包伪装成dtls(Datagram Transport Layer Security、即数据包传输层安全性协议)数据包,也可通过其它类型的数据包格式如:icmp(Internet Control Message Protocol,Internet控制报文协议)、dns(Domain Name System、域名系统)等封装的授权数据包。
如果代理具备拦截功能,则代理将所述目标连接的各个通信网络包转发至所述网络中间设备,以便所述网络中间设备利用所述放通策略对所述各个通信网络包进行认证,并在认证通过后各个通信网络包转发给服务器,以使所述客户端与所述服务器之间进行可信通信。
即代理监控到通信网络包后,先构造该目标连接的授权数据包发出,再转发该目标连接对应的各个通信网络包,若这些通信网络包命中放通策略会被中间设备转发,服务器收到请求后,建立客户端与服务器之间的可信通信,从而进行可靠数据传输。
由上可见,本实施例中通过若获取到客户端发送的目标连接的通信网络包,则构建所述目标连接对应的授权数据包;所述授权数据包中包含所述通信网络包的五元组信息以及所述目标连接的身份认证信息;将所述授权数据包发送至网络中间设备,以便所述网络中间设备根据所述授权数据包中所包含的所述五元组信息以及所述身份认证信息,生成针对所述五元组对应的所述目标连接的放通策略;将所述目标连接的各个通信网络包转发至所述网络中间设备,以便所述网络中间设备利用所述放通策略对所述各个通信网络包进行认证,并在认证通过后各个通信网络包转发给服务器,以使所述客户端与所述服务器之间进行可信通信。可见,针对每个目标连接通过新增对应的认证授权包,在网络中间设备进行授权,授权后实现客户端与服务器的可信通信,可以在对用户业务无修改的前提下,针对大流量依旧可以标记可信连接,解决了内网场景下大流量因为受网络中间设备能力的限制,无法通过建立隧道实现可信通信的问题,且无需采用标准Option或者非标准Option字段,也克服了相应的缺陷。
本申请实施例公开了一种具体的可信通信方法,应用在局域网网络架构的代理,参见图3所示,该方法可以包括以下步骤:
步骤S21:获取客户端发送的目标连接的通信网络包。
步骤S22:根据配置参数和预设配置列表,判断所述目标连接是否符合授权条件。
本实施例中,收到通信网络包后,首先判断该通信网络包对应的目标连接是否符合授权条件,即判断新的连接请求是否应该授权,具体的可以根据通信网络包的配置参数和预设配置列表判断,即根据请求配置的应用判断是否需要授权,例如,从通信网络包的配置参数中提取出对应的URL(统一资源定位符,Uniform Resource Locator),若预设配置列表中包含该URL,则表征该流量为需要代理的流量符合授权条件。由此管理员通过自定义上述预设配置列表,可以管理应用可信连接的授权范围。
步骤S23:若所述目标连接符合授权条件,则根据所述通信网络包构建所述客户端对应的授权数据包。
若目标连接符合授权条件,则根据通信网络包构建客户端对应的授权数据包。本实施例中,所述判断所述目标连接是否符合授权条件之后,还可以包括:若所述目标连接不符合授权条件,则直接将所述通信网络包转发至所述网络中间设备;即若不符合授权条件,则不生成授权数据包,也不再执行后续操作,直接将应用请求转发给网络中间设备即可。
步骤S24:将所述授权数据包发送至网络中间设备,以便所述网络中间设备根据所述授权数据包中所包含的所述五元组信息以及所述身份认证信息,生成针对所述五元组对应的所述目标连接的放通策略。
步骤S25:将所述目标连接的各个通信网络包转发至所述网络中间设备,以便所述网络中间设备利用所述放通策略对所述各个通信网络包进行认证,并在认证通过后各个通信网络包转发给服务器,以使所述客户端与所述服务器之间进行可信通信。
其中,关于上述步骤S21、S24、S25的具体过程可以参考前述实施例公开的相应内容,在此不再进行赘述。
由上可见,本实施例中获取客户端发送的通信网络包;根据配置参数和预设配置列表,判断所述目标连接是否符合授权条件;若所述目标连接符合授权条件,则根据所述通信网络包构建所述客户端对应的授权数据包;若所述目标连接不符合授权条件,则直接将所述通信网络包转发至所述网络中间设备。由此管理员通过自定义上述预设配置列表,可以管理应用可信连接的授权范围。
本申请实施例公开了一种可信通信方法,参见图4所示,应用在局域网网络架构中的网络中间设备,该方法可以包括以下步骤:
步骤S31:识别接收到的报文是否为授权数据包。
本实施例中,网络中间设备接收局域网网络架构的代理发送的报文,并识别该报文是否为授权数据包。所述授权数据包为代理根据通信网络包构建目标连接对应的授权数据包;所述授权数据包中包含所述通信网络包的五元组信息以及所述目标连接的身份认证信息;所述通信网络包为所述代理获取到客户端发送的目标连接的通信网络包。
本实施例中,所述授权数据包还可以是,所述代理利用密钥对所述通信网络包的五元组信息以及所述身份认证信息进行加密;将加密后的信息作为载荷部分构造授权数据包以得到加密后授权包。
本实施例中,所述授权数据包还可以是,所述代理利用目标传输协议对所述五元组信息和所述身份认证信息进行封装,得到授权数据包。
本实施例中,所述授权数据包还可以是,所述代理根据配置参数和预设配置列表,判断所述目标连接是否符合授权条件;当所述目标连接符合授权条件,根据所述通信网络包构建所述客户端对应的授权数据包。
步骤S32:从识别到的所述授权数据包中解析所包含的五元组信息以及身份认证信息。
步骤S33:根据所述身份认证信息,确定对所述五元组信息对应目标连接的放通策略。
步骤S34:若接收的所述目标连接的通信网络包,则基于所述放通策略实现访问管控。
本实施例中,网络中间设备利用所述放通策略对所述通信网络包进行认证,并在认证通过后将所述通信网络包转发给服务器,以使客户端与服务器之间进行可信通信。
本实施例中,所述授权数据包的目的IP和目的端口为所述通信网络包的目的IP和目的端口,以保证所述授权数据包能够和所述通信网络包被同一个网络中间设备接收。
由上可见,本实施例中识别接收到的报文是否为授权数据包;从识别到的所述授权数据包中解析所包含的五元组信息以及身份认证信息;根据所述身份认证信息,确定对所述五元组信息对应目标连接的放通策略;若接收的所述目标连接的通信网络包,则基于所述放通策略实现访问管控。可见,针对每个目标连接通过新增对应的认证授权包,在网络中间设备进行授权,授权后实现客户端与服务器的可信通信,可以在对用户业务无修改的前提下,针对大流量依旧可以标记可信连接,解决了内网场景下大流量因为受网络中间设备能力的限制,无法通过建立隧道实现可信通信的问题。
相应的,本申请实施例还公开了一种可信通信代理,参见图5所示,应用在局域网网络架构的代理,该装置包括:
授权数据包构建模块11,用于若获取到客户端发送的目标连接的通信网络包,则构建所述目标连接对应的授权数据包;所述授权数据包中包含所述通信网络包的五元组信息以及所述目标连接的身份认证信息;
授权数据包发送模块12,用于将所述授权数据包发送至网络中间设备,以便所述网络中间设备根据所述授权数据包中所包含的所述五元组信息以及所述身份认证信息,生成针对所述五元组对应的所述目标连接的放通策略。
如果该代理具备拦截功能,则还可以进一步包括:
请求转发模块13,用于将所述目标连接的各个通信网络包转发至所述网络中间设备,以便所述网络中间设备利用所述放通策略对所述各个通信网络包进行认证,并在认证通过后各个通信网络包转发给服务器,以使所述客户端与所述服务器之间进行可信通信。
由上可见,本实施例中通过若获取到客户端发送的目标连接的通信网络包,则构建所述目标连接对应的授权数据包;所述授权数据包中包含所述通信网络包的五元组信息以及所述目标连接的身份认证信息;将所述授权数据包发送至网络中间设备,以便所述网络中间设备根据所述授权数据包中所包含的所述五元组信息以及所述身份认证信息,生成针对所述五元组对应的所述目标连接的放通策略。可见,针对每个目标连接通过新增对应的认证授权包,在网络中间设备进行授权,授权后实现客户端与服务器的可信通信,可以在对用户业务无修改的前提下,针对大流量依旧可以标记可信连接,解决了内网场景下大流量因为受网络中间设备能力的限制,无法通过建立隧道实现可信通信的问题,且无需标准Option字段以及非标准Option标准。
在一些具体实施例中,授权数据包构建模块11具体用于若获取到客户端发送的目标连接的首个通信网络包,则构建所述目标连接对应的授权数据包。
在一些具体实施例中,所述目标连接具体为TCP连接,所述首个通信网络包具体为SYN握手包;
相应地,所述转发模块13包括:
SYN转发单元,用于将所述TCP连接的SYN握手包转发至所述网络中间设备;
授权包重传单元,用于在接收到反馈的“SYN+ACK”报文之前,对所述授权数据包执行重传操作直至接收到反馈的“SYN+ACK”报文,或者,获取到“SYN重传报文”,以避免授权数据包丢失。
在一些具体实施例中,所述授权数据包的目的IP和目的端口为所述通信网络包的目的IP和目的端口,以保证所述授权数据包能够和所述通信网络包均被发送至同一网络中间设备。
在一些具体实施例中,所述授权数据包构建模块11具体可以包括:
加密单元,用于利用密钥对所述通信网络包的五元组信息以及所述身份认证信息进行加密;
构造单元,用于将加密后的信息作为载荷部分构造授权数据包以得到加密后授权包。
在一些具体实施例中,所述授权数据包构建模块11具体可以包括:
封装单元,用于利用目标传输协议对所述五元组信息和所述身份认证信息进行封装,得到授权数据包。
在一些具体实施例中,所述授权数据包构建模块11具体可以包括:
判断单元,用于根据配置参数和预设配置列表,判断所述目标连接是否符合授权条件;
构建单元,用于若所述目标连接符合授权条件,则根据所述通信网络包构建所述客户端对应的授权数据包。
相应的,本申请实施例还公开了一种可信通信装置,参见图6所示,应用在局域网网络架构中的网络中间设备,该装置包括:
授权数据包识别模块21,用于识别接收到的报文是否为授权数据包;
数据包解析模块22,用于从识别到的所述授权数据包中解析所包含的五元组信息以及身份认证信息;
放通策略确定模块23,用于根据所述身份认证信息,确定对所述五元组信息对应目标连接的放通策略;
访问管控模块24,用于若接收的所述目标连接的通信网络包,则基于所述放通策略实现访问管控。
由上可见,本实施例中识别接收到的报文是否为授权数据包;从识别到的所述授权数据包中解析所包含的五元组信息以及身份认证信息;根据所述身份认证信息,确定对所述五元组信息对应目标连接的放通策略;若接收的所述目标连接的通信网络包,则基于所述放通策略实现访问管控。针对每个目标连接请求通过新增对应的认证授权包,在网络中间设备进行授权,授权后实现客户端与服务器的可信通信连接,可以在对用户业务无修改的前提下,针对大流量依旧可以标记可信连接,解决了内网场景下大流量因为受网络中间设备能力的限制,无法通过建立隧道构造可信连接的问题实现可信通信的问题。
进一步的,本申请实施例还公开了一种电子设备,参见图7所示,图中的内容不能被认为是对本申请的使用范围的任何限制。
图7为本申请实施例提供的一种电子设备20的结构示意图。该电子设备20,具体可以包括:至少一个处理器21、至少一个存储器22、电源23、通信接口24、输入输出接口25和通信总线26。其中,所述存储器22用于存储计算机程序,所述计算机程序由所述处理器21加载并执行,以实现前述任一实施例公开的可信通信方法中的相关步骤。
本实施例中,电源23用于为电子设备20上的各硬件设备提供工作电压;通信接口24能够为电子设备20创建与外界设备之间的数据传输通道,其所遵循的通信协议是能够适用于本申请技术方案的任意通信协议,在此不对其进行具体限定;输入输出接口25,用于获取外界输入数据或向外界输出数据,其具体的接口类型可以根据具体应用需要进行选取,在此不进行具体限定。
另外,存储器22作为资源存储的载体,可以是只读存储器、随机存储器、磁盘或者光盘等,其上所存储的资源包括操作系统221、计算机程序222及包括授权数据包在内的数据223等,存储方式可以是短暂存储或者永久存储。
其中,操作系统221用于管理与控制电子设备20上的各硬件设备以及计算机程序222,以实现处理器21对存储器22中海量数据223的运算与处理,其可以是Windows Server、Netware、Unix、Linux等。计算机程序222除了包括能够用于完成前述任一实施例公开的由电子设备20执行的可信通信方法的计算机程序之外,还可以进一步包括能够用于完成其他特定工作的计算机程序。
进一步的,本申请实施例还公开了一种计算机存储介质,所述计算机存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现前述任一实施例公开的可信通信方法步骤。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本发明所提供的一种可信通信方法、装置、设备及介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (11)

1.一种可信通信方法,其特征在于,应用在局域网网络架构的代理,所述方法包括:
若获取到客户端发送的目标连接的通信网络包,则构建所述目标连接对应的授权数据包;所述授权数据包中包含所述通信网络包的五元组信息以及所述目标连接的身份认证信息;
将所述授权数据包发送至网络中间设备,以便所述网络中间设备根据所述授权数据包中所包含的所述五元组信息以及所述身份认证信息,生成针对所述五元组对应的所述目标连接的放通策略。
2.根据权利要求1所述的可信通信方法,其特征在于,所述若获取到客户端发送的目标连接的通信网络包,则构建所述目标连接对应的授权数据包,包括:
若获取到客户端发送的目标连接的首个通信网络包,则构建所述目标连接对应的授权数据包;
在所述将所述授权数据包发送至网络中间设备之后,包括:
将所述目标连接的各个通信网络包转发至所述网络中间设备。
3.根据权利要求2所述的可信通信方法,其特征在于,所述目标连接具体为TCP连接,所述首个通信网络包具体为SYN握手包;
相应地,所述将所述目标连接的各个通信网络包转发至所述网络中间设备,包括:
将所述TCP连接的SYN握手包转发至所述网络中间设备;
在接收到反馈的“SYN+ACK”报文之前,对所述授权数据包执行重传操作直至接收到反馈的“SYN+ACK”报文,或者,获取到“SYN重传报文”,以避免授权数据包丢失。
4.根据权利要求1所述的可信通信方法,其特征在于,所述授权数据包的目的IP和目的端口为所述通信网络包的目的IP和目的端口,以保证所述授权数据包能够和所述通信网络包均被发送至同一网络中间设备。
5.根据权利要求1所述的可信通信方法,其特征在于,所述构建所述目标连接对应的授权数据包,包括:
利用目标传输协议对所述五元组信息和所述身份认证信息进行封装,得到授权数据包。
6.根据权利要求1至5任一项所述的可信通信方法,其特征在于,所述构建所述目标连接对应的授权数据包,包括:
根据配置参数和预设配置列表,判断所述目标连接是否符合授权条件;
若所述目标连接符合授权条件,则根据所述通信网络包构建所述客户端对应的授权数据包。
7.一种可信通信方法,其特征在于,应用在局域网网络架构中的网络中间设备,所述方法包括:
识别接收到的报文是否为授权数据包;
从识别到的所述授权数据包中解析所包含的五元组信息以及身份认证信息;
根据所述身份认证信息,确定对所述五元组信息对应目标连接的放通策略;
若接收的所述目标连接的通信网络包,则基于所述放通策略实现访问管控。
8.一种可信通信代理,其特征在于,应用在局域网网络架构的终端设备,包括:
授权数据包构建模块,用于若获取到客户端发送的目标连接的通信网络包,则构建所述目标连接对应的授权数据包;所述授权数据包中包含所述通信网络包的五元组信息以及所述目标连接的身份认证信息;
授权数据包发送模块,用于将所述授权数据包发送至网络中间设备,以便所述网络中间设备根据所述授权数据包中所包含的所述五元组信息以及所述身份认证信息,生成针对所述五元组对应的所述目标连接的放通策略。
9.一种可信通信装置,其特征在于,应用在局域网网络架构中的网络中间设备,包括:
授权数据包识别模块,用于识别接收到的报文是否为授权数据包;
数据包解析模块,用于从识别到的所述授权数据包中解析所包含的五元组信息以及身份认证信息;
放通策略确定模块,用于根据所述身份认证信息,确定对所述五元组信息对应目标连接的放通策略;
访问管控模块,用于若接收的所述目标连接的通信网络包,则基于所述放通策略实现访问管控。
10.一种电子设备,其特征在于,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序,以实现如权利要求1至7任一项所述的可信通信方法。
11.一种计算机可读存储介质,其特征在于,用于存储计算机程序;其中计算机程序被处理器执行时实现如权利要求1至7任一项所述的可信通信方法。
CN202211231234.8A 2022-09-30 2022-09-30 一种可信通信方法、装置、设备及存储介质 Pending CN115603994A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211231234.8A CN115603994A (zh) 2022-09-30 2022-09-30 一种可信通信方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211231234.8A CN115603994A (zh) 2022-09-30 2022-09-30 一种可信通信方法、装置、设备及存储介质

Publications (1)

Publication Number Publication Date
CN115603994A true CN115603994A (zh) 2023-01-13

Family

ID=84846030

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211231234.8A Pending CN115603994A (zh) 2022-09-30 2022-09-30 一种可信通信方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN115603994A (zh)

Similar Documents

Publication Publication Date Title
Eggert et al. Unicast UDP usage guidelines for application designers
Schulzrinne et al. GIST: general internet signalling transport
US10313397B2 (en) Methods and devices for access control of data flows in software defined networking system
US9356909B2 (en) System and method for redirected firewall discovery in a network environment
US8296437B2 (en) Server-mediated setup and maintenance of peer-to-peer client computer communications
US9319439B2 (en) Secured wireless session initiate framework
US9413727B2 (en) Method and apparatus for content filtering on SPDY connections
US9350711B2 (en) Data transmission method, system, and apparatus
Eggert et al. Tcp user timeout option
Cao et al. 0-rtt attack and defense of quic protocol
Taylor et al. Validating security protocols with cloud-based middleboxes
US11038994B2 (en) Technique for transport protocol selection and setup of a connection between a client and a server
Kimura et al. Disruption-tolerant sessions for seamless mobility
CN115603994A (zh) 一种可信通信方法、装置、设备及存储介质
Seggelmann Sctp: Strategies to secure end-to-end communication
US10079857B2 (en) Method of slowing down a communication in a network
Riaz Extending the functionality of the realm gateway
van Oorschot et al. Firewalls and tunnels
US20230262033A1 (en) Apparatus, Device, Method, and Computer Program for a Network Element
Huang et al. A programmable network address translator: design, implementation, and performance
WO2017207026A1 (en) Technique for enhancing transport protocol initiation
Aguilar-Melchor et al. TurboTLS: TLS connection establishment with 1 less round trip
Kühlewind et al. RFC 9312: Manageability of the QUIC Transport Protocol
Patil et al. RFC 8782: Distributed Denial-of-Service Open Threat Signaling (DOTS) Signal Channel Specification
Gundavelli et al. RFC 8803: 0-RTT TCP Convert Protocol

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination