CN116668181A - 一种内网访问方法、电子设备及存储介质 - Google Patents
一种内网访问方法、电子设备及存储介质 Download PDFInfo
- Publication number
- CN116668181A CN116668181A CN202310820689.1A CN202310820689A CN116668181A CN 116668181 A CN116668181 A CN 116668181A CN 202310820689 A CN202310820689 A CN 202310820689A CN 116668181 A CN116668181 A CN 116668181A
- Authority
- CN
- China
- Prior art keywords
- access request
- server
- intranet
- access
- waf
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 78
- 238000004891 communication Methods 0.000 claims abstract description 36
- 230000004044 response Effects 0.000 claims description 9
- 238000004590 computer program Methods 0.000 claims description 6
- 238000012544 monitoring process Methods 0.000 claims description 6
- 230000002427 irreversible effect Effects 0.000 claims description 2
- 239000004973 liquid crystal related substance Substances 0.000 claims 2
- 238000013475 authorization Methods 0.000 abstract description 12
- 230000009286 beneficial effect Effects 0.000 abstract description 8
- 230000008569 process Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 229920006235 chlorinated polyethylene elastomer Polymers 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 235000014510 cooky Nutrition 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 238000000136 cloud-point extraction Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000004904 shortening Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例涉及通信技术领域,公开了一种内网访问方法、电子设备及存储介质。内网访问方法,应用于用户设备,所述方法包括:获取WAF节点的地址;根据所述WAF节点的地址,向所述WAF节点发送用于访问内网服务器的访问请求,供所述内网服务器在接收到经所述WAF节点转发的所述访问请求后,重定向至SSO服务器进行认证并对通过所述SSO服务器认证的所述访问请求进行响应。至少有利于在内网服务器要求可信认证授权的情况下通过单次认证实现单点登录。
Description
技术领域
本申请实施例涉及通信技术领域,特别涉及一种内网访问方法、电子设备及存储介质。
背景技术
在传统企业的内部服务器,例如轻量目录访问协议(Lightweight DirectoryAccess Protocol,LDAP)服务器,其保存着企业较敏感信息的特点的服务,都不能直接暴露到外网环境,通常需要进行可信认证授权后方可查看。
然而,在内网服务器要求可信认证授权的情况下,目前的内网访问方法还无法通过单次认证实现单点登录。
发明内容
本申请实施例提供了一种内网访问方法、电子设备及存储介质,至少有利于在内网服务器要求可信认证授权的情况下通过单次认证实现单点登录。
根据本申请一些实施例,本申请实施例一方面提供了一种内网访问方法,应用于用户设备,所述方法包括:获取WAF节点的地址;根据所述WAF节点的地址,向所述WAF节点发送用于访问内网服务器的访问请求,供所述内网服务器在接收到经所述WAF节点转发的所述访问请求后,重定向至SSO服务器进行认证并对通过所述SSO服务器认证的所述访问请求进行响应。
根据本申请一些实施例,本申请实施例另一方面还提供了一种内网访问方法,应用于内网服务器,所述方法包括:接收WAF节点发送的访问请求;将所述访问请求重定向至SSO服务器,供所述SSO服务器对所述访问请求进行认证;在所述访问请求通过所述SSO服务器的认证的情况下,对所述访问请求进行响应并经所述WAF节点向用户设备返回响应的结果。
根据本申请一些实施例,本申请实施例另一方面还提供了一种电子设备,包括:至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如上任一项所述的内网访问方法。
根据本申请一些实施例,本申请实施例另一方面还提供了一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时实现如上任一项所述的内网访问方法。
本申请实施例提供的技术方案,至少具有以下优点:
获取WAF节点的地址后,将用于访问内网服务器的访问请求发送给对应的WAF节点,再通过WAF节点将访问请求转发至内网服务器,使得用户设备和内网服务器之间不会直接通信,WAF节点作为用户设备和内网服务器之间的中间和安全认证节点,完成对访问请求的安全认证,在无需建立VPN隧道的情况下实现对内网服务器的安全访问和认证。这样,SSO服务器进行首次认证前,不再需要先进行VPN认证,能够直接在SSO服务器处进行首次认证,避免了两次认证才能在后续的访问过程中通过单点登录实现认证的问题。在内网服务器要求可信认证授权的情况下只需认证一次,就实现了单点登录。
附图说明
一个或多个实施例通过与之对应的附图中的图片进行示例性说明,这些示例性说明并不构成对实施例的限定,附图中具有相同参考数字标号的元件表示为类似的元件,除非有特别申明,附图中的图不构成比例限制。
图1是本申请一实施例中提供的内网访问方法的一种流程图;
图2是本申请一实施例中提供的包括请求WAF服务的域名步骤的内网访问方法的流程图;
图3是本申请一实施例中提供的包括添加加密策略步骤的内网访问方法的流程图;
图4是本申请一实施例中提供的包括请求资源步骤的内网访问方法的流程图;
图5是本申请一实施例中提供的包括监测步骤的内网访问方法的流程图;
图6是本申请一实施例中提供的包括重定向步骤的内网访问方法的流程图;
图7是本申请一实施例中提供的包括检测是否需要单点登录步骤的内网访问方法的流程图;
图8是本申请一实施例中提供的包括接收代理服务请求步骤的内网访问方法的流程图;
图9是本申请一实施例中提供的内网访问方法的交互流程图;
图10是图9所示的本申请一实施例中提供的内网访问方法涉及的通信系统结构图;
图11是本申请一实施例中提供的用户设备的结构示意图;
图12是本申请一实施例中提供的内网服务器的结构示意图;
图13是本申请一实施例中提供的电子设备的结构示意图。
具体实施方式
经分析发现,目前的访问内网网站的过程中,无法在内网服务器要求可信认证授权的情况下实现单点登录。
经分析发现,出现上述问题的原因之一在于:目前为了保障内网服务的安全性,需要用户设备先打通到内网服务器的虚拟专用网络(Virtual Private Network,VPN)隧道,然后基于该VPN隧道实现对内网服务器的访问。在这种实现方式下,虽然VPN隧道的建立会使用到用户信息进行登录认证,但是VPN隧道的登录并不依赖于浏览器实现,也就不会基于浏览器产生用户设备对应的cookie信息。而单点登录(Single Sign On,SSO)服务器实现单点登录依赖于已记录的cookie信息,因此,在建立VPN隧道后,若是需要发起对内网服务的访问,会由于VPN建立过程未基于用户信息产生对应的cookie信息,使得无法使用SSO服务器的单点登录服务,仍然需要用户设备提供相关的用户信息,才能通过内网服务器要求的可信认证授权。也就是说,在内网服务器要求可信认证授权的情况下,通过上述方式实现的对内网服务器的访问将会需要两次认证——VPN隧道建立过程中的认证以及在内网服务器处的可信授权认证,才能在后续通过单点登录的方式实现对内网服务器的再次访问。此外,目前由于不同的SSO系统之间或多或少存在一些差异,因此,VPN服务器无法直接与所有的SSO系统对接,除非开发中间服务兼容各个SSO系统之间的差异,以统一的接口的形式被提供给VPN服务器,以使得VPN认证能够直接通过SSO服务器提供的单点认证服务的形式实现。但这样,会影响VPN服务器,使其推广和适配度就会大大降低,且企业接入周期也较长。
为解决上述问题,本申请实施例提供了一种内网访问方法、电子设备及存储介质,获取WAF节点的地址后,将用于访问内网服务器的访问请求发送给对应的WAF节点,再通过WAF节点将访问请求转发至内网服务器,使得用户设备和内网服务器之间不会直接通信,WAF节点作为用户设备和内网服务器之间的中间和安全认证节点,完成对访问请求的安全认证,在无需建立VPN隧道的情况下实现对内网服务器的安全访问和认证,VPN认证不再是SSO服务器首次认证前所必须经过的认证,也就是说,避免了两次认证才能实现单点登录的问题,在内网服务器要求可信认证授权的情况下只需认证一次,就实现了单点登录,且不需要提供统一接口,降低了实现难度。
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合附图对本申请的各实施例进行详细的阐述。然而,本领域的普通技术人员可以理解,在本申请各实施例中,为了使读者更好地理解本申请而提出了许多技术细节。但是,即使没有这些技术细节和基于以下各实施例的种种变化和修改,也可以实现本申请所要求保护的技术方案。
以下各个实施例的划分是为了描述方便,不应对本申请的具体实现方式构成任何限定,各个实施例在不矛盾的前提下可以相互结合相互引用。
本申请实施例一方面提供了一种内网访问方法,应用于用户设备,该用户设备可以是个人电子设备,如手机、笔记本电脑、平板等,也可以综合电子设备,如服务器、控制中心设备等。内网访问方法的流程如图1所示,包括以下步骤:
步骤101,获取WAF节点的地址。
本申请实施例不对Web应用防护系统(Web Application Firewall,WAF)节点进行限定,其可以为特定的WAF节点,如专用于对需要访问的内网服务器的WAF节点;也可以是任一个当前可用的WAF节点等。
在一些实施例中,如图2所示,获取WAF节点的地址可以通过如下方式实现:
步骤1011,根据内网服务器的域名信息,向代理服务器请求WAF服务的域名。
本实施例中,WAF服务的域名可以为提供WAF服务的集群、服务器或设备等的域名。
在一些例子中,向代理服务器请求WAF服务的域名可以是通过访问代理服务器对外开放的应用程序编程接口(Application Programming Interface,API),从而通过调用该API以获取WAF服务的域名。
这样,通过API调用,简化对WAF服务的域名的请求,同时有利于统一不同的用户设备对WAF服务的域名的请求。特别的,对API的调用还可以设置认证,进一步保障安全性。
步骤1012,在接收到代理服务器返回的WAF服务的域名后,确定WAF服务的可访问地址,以得到WAF节点的地址。
本实施例不对确定WAF服务的可访问地址的策略进行限定,其可以是任何一种能够确定出WAF服务的可访问地址的策略。
在一些例子中,可以是将负载最小的提供WAF服务的节点、服务器、设备等的地址确定为WAF服务的可访问地址。
在一些例子中,还可以是将距离客户端最近的提供WAF服务的节点、服务器、设备等的地址WAF节点的地址作为WAF服务的可访问地址。
其中,距离、负载等的信息可以通过访问WAF服务的域名得到,或者,通过发送因特网包探索器(Packet Internet Groper,ping)进行探测实现,此处就不再一一赘述了。
也就是说,当用户设备确定出要访问的内网服务器的域名信息时,如用户点击用户设备的浏览器中呈现的内网服务器的访问链接,或者,用户输入内网服务器的访问链接等,用户设备将会利用代理服务器获取WAF节点的地址,以将对内网服务器的访问转换为先对WAF节点进行访问。
需要说明的是,代理服务器返回的WAF服务的域名可以是根据将要访问的内网服务器,查询预存的WAF服务的域名和内网服务器的关联关系得到的,也可以是动态下发,从而进一步保障安全性等。
还需要说明的是,本实施例主要是为了便于本领域技术人员更好地理解本申请实施例在涉及代理的场景下的实现而进行说明的,而不意味着只能应用在涉及代理的场景下。
可以理解的是,在涉及代理的场景下,利用代理服务器维护WAF服务的域名而不是其他服务器,能够减少参与交互的对象,更有利于保障安全性。
而在不涉及代理的场景下,上述实施例中的代理服务器还可以替换为其他服务器、设备等,如替换为域名系统(Domain Name System,DNS),从而能够与DNS已有的域名解析服务保持一致,仅需要增加内网服务器与相关的WAF服务域名等的关联关系,改动更小,实现难度更低等,此处就不再一一赘述了。
这样,在访问内网时,每次都通过由用户设备之外的外部服务器(如DNS服务器)下发WAF服务的域名,而不是用户设备首次获取到WAF服务的域名之后,由用户设备维护WAF服务的域名,使得能够通过维护外部服务器的安全性进一步提高安全性,而不是对更多的、不确定、不可控的用户设备进行维护,有利于降低安全维护的难度,降低实现难度并减少维护成本。同时,在由外部服务器下发WAF服务的域名的情况下,通过外部服务器还可以实现负载均衡,有利于WAF节点更高效地处理后续用户设备发起的访问请求,提高响应效率,进而提高用户体验。
在一些实施例中,获取WAF节点的地址还可以通过如下方式实现:从预存的信息中查找内网服务器对应的WAF节点的地址。
这样,通过内部预存的信息获取WAF节点的地址,有利于为不同的用户设备提供差异化服务,从而为不同的用户提供定制服务,更精准地为用户服务。
步骤102,根据WAF节点的地址,向WAF节点发送用于访问内网服务器的访问请求,供内网服务器在接收到经WAF节点转发的访问请求后,重定向至SSO服务器进行认证并对通过SSO服务器认证的访问请求进行响应。
本实施例中,访问请求从用户设备出发,经过WAF节点,发往内网服务器,并重定向至单点登录(Single Sign On,SSO)服务器进行认证,其中,WAF节点作为用户设备和内网服务器之间的中间和安全认证节点,完成对将要访问内网服务器的用户请求的认证检测,在无需VPN隧道的情况下实现了对内网服务器的安全访问和认证,进而避免了由于建立VPN隧道所需要的VPN认证导致需要认证两次的问题,在内网服务器要求可信认证授权的情况下只需认证一次,就实现了后续可以通过单点登录的方式实现对内网服务器的访问。
在一些实施例中,如图3所示,根据WAF节点的地址,向WAF节点发送用于访问内网服务器的访问请求之前,内网访问方法还包括:
步骤103,在访问请求的请求头中添加加密策略,加密策略包括以下信息中的至少一项:加密密钥、时间戳、不可逆算法。
本实施例通过添加加密策略,使得WAF节点在接收到访问请求后可以根据加密策略对访问请求进行检测认证,从而能够进一步保障用户设备侧的安全性,有利于保障访问请求的安全,从而能够更好地保障内网服务器的安全。
当然,以上仅为对加密策略的具体举例说明,在一些情况下加密策略还可以是其他能够用于对访问请求进行加密检测认证的内容,例如可以是访问请求的校验码等,此处就不再一一赘述了。
为便于本领域技术人员更好地理解上述加密策略的添加,以下将对其进行举例说明。
在一些例子中,在访问请求的请求头中添加加密策略,可以通过如下方式实现:对包含时间戳的请求参数进行排序,生成json串;将json串与获取到的加密密钥(key)进行组合并加密,生成token;在访问请求的请求头中添加token,供WAAF节点根据获取到的密钥对访问请求进行认证。
其中,在一些情况下,加密密钥可以是实时获取得到,这样,有利于更好地保障加密密钥的安全性,从而更好地保障内网服务器的安全。
相应地,WAF节点在接收到请求后也可以通过获取对应的加密密钥,以采用相应的加密算法进行匹配,以确定访问请求的加密策略是否一致,从而实现WAF节点对访问请求的认证。
在一些情况下,json串和加密密钥组合后的加密可以是通过指定次数的md5加密算法实现,并将该结果作为token。
当然,以上仅为具体的举例说明,在一些例子中还可以根据当前的需求对加密策略进行调整,此处就不再一一赘述了。
在一些实施例中,如图4所示,根据WAF节点的地址,向WAF节点发送用于访问内网服务器的访问请求之后,内网访问方法还包括:
步骤104,在访问请求通过认证后,根据访问请求对应的用户信息向代理服务器请求代理访问资源,以在代理服务器根据代理访问资源在用户设备与内网服务器之间建立专用通信通道后,通过专用通信通道访问内网服务器。
本实施例不对代理服务器及其对应的专用通信通道进行限定,代理服务器可以是VPN代理服务器,从而建立的专用通信通道可以为VPN隧道;代理服务器也可以是安全超文本传输协议(Secure Hypertext Transfer Protocol,HTTPS)代理服务器,从而建立的专用通信通道可以为基于HTTPS建立的通信通道等,此处就不再一一赘述了。
这样,在实现单点登录后,由于专用通信通道是通过认证的用户信息建立的,因此,内网服务器能够基于SSO服务器提供的单点认证服务实现专用通信信道建立所需要的认证,如VPN隧道的建立所需要的VPN认证。即一次认证后,后续将会通过单点登录自动实现认证,用户无感知,而不再需要针对不同的中间服务器开放统一的接口才能实现上述效果。有利于缩短接入周期,降低了在内网服务器和用户设备之间建立专用通信通道的实现难度,更加适用于基于不同的中间代理服务器为用户设备提供服务的场景。
在一些实施例中,如图5所示,根据WAF节点的地址,向WAF节点发送用于访问内网服务器的访问请求之后,内网访问方法还包括:
步骤105,对预设时长内是否发送关联访问请求进行监测,关联访问请求用于再次访问内网服务器或与内网服务器相互信任的其他服务器。
本实施例不对预设时长进行限定,其可以根据用户终端的可靠性、内网服务器对安全性的要求等确定。
在一些例子中,预设时长可以是由内网服务器下发,这样,由内网服务器决定监测的预设时长,使得对监测更有利于内网服务器的安全保障,更贴合内网服务器的需求。
在一些例子中,预设时长可以是由用户终端自主生成或用户指定,这样,监测的预设时长更贴合用户或用户终端的需求,有利于提高用户体验。
需要说明的是,本实施例中,关联访问请求可以是任一种用于再次访问内网服务器或与内网服务器相互信任的其他服务器的请求。例如,关联访问请求是向给用户设备授权的内网服务器所在域名下的各个子域名对应的服务器发起的访问请求,或者关联访问请求是向SSO服务器中给用户设备授权的内网服务器,以及,与给用户设备授权的内网服务器之间配置的允许单点登录的服务器发起的访问请求等,此处就不再一一赘述了。
步骤106,在预设时长内未监测到关联访问请求的发送的情况下,删除本地缓存的与访问请求相关的信息。
本实施例中,本地缓存的与访问请求相关的信息主要是关于已通过认证的访问请求对应的用户信息、认证信息等与SSO服务器、WAF节点等的认证相关的信息。
可以理解的是,在通过SSO服务器的认证后,用户终端仍然存在不确定性,例如是否安全不确定、使用用户不确定等。本实施例正是针对这一问题,对用户终端发起的访问请求进行监测,当其很长时间内不再产生与通过认证的访问请求关联的关联访问请求后,用户终端的风险将会增加,例如可能使用用户发送变化等,因此,对通过认证的访问请求相关的信息进行删除,能够避免在用户设备不安全的情况下,仍然能够通过已通过认证的信息进行认证的情况,有利于减少SSO服务器单点认证的认证错误,能够更好地保障内网服务器的安全性。
同时,上述对本地缓存的与访问请求相关的信息的删除,还有利于及时清理不再需要的信息,减少对存储的占用。
需要说明的是,本实施例不对在预设时长内监测到关联访问请求的发送的情况下需要执行的方案进行限定。在一些实施例中,在预设时长内监测到关联访问请求的发送的情况下,可以是向访问请求所经过的WAF节点再次发起关联访问请求。在一些实施例中,在预设时长内监测到关联访问请求的发送的情况下,还可以是再次执行获取WAF节点的地址的步骤。在一些实施例中,可以是从关联访问请求发送时刻起重新计算预设时长并继续监测。在一些实施例中,还可以是按照一定的策略对预设时长进行增长并继续监测等,此处就不再一一赘述了。
本申请实施例用户设备通过WAF节点将访问请求转发至内网服务器,用户设备不再通过代理服务器或直接连通内网服务器,能够保障内网服务器的安全。也就不会由于代理服务器在访问过程的参与而需要多次认证,只需要认证一次,实现单点登录。
本申请实施例一方面提供了一种内网访问方法,应用于内网服务器,该内网服务器可以是位于内网的服务器设备。内网访问方法的流程如图6所示,包括以下步骤:
步骤601,接收WAF节点发送的访问请求。
本实施例中,访问请求为用户设备经WAF节点发送过来的请求。
步骤602,将访问请求重定向至SSO服务器,供SSO服务器对访问请求进行认证。
在一些实施例中,如图7所示,接收WAF节点发送的访问请求之后,内网访问方法还包括:
步骤604,检测访问请求是否需要进行单点登录。若是,执行步骤602,若否,执行步骤604。
本实施例不对检测的方式进行限定,在一些情况下,可以通过检测该访问请求是否携带单点登录需要认证的信息来确定其是否需要进行单点登录;在一些情况下,还可以通过该访问请求所要访问资源是否为单点登录系统来确定其是否需要进行单点登录等,此处就不再一一赘述了。
步骤605,对访问请求进行认证,在访问请求通过认证后,对访问请求进行响应并经WAF节点向用户设备返回响应的结果。
也就是说,在接收到访问请求后,内网服务器先对确定该访问请求是否需要进行单点登录,然后针对不同的情况决定是否自身进行认证还是由SSO服务器进行认证。
这样,本实施例提供的内网访问方法与非单点登录的网站访问方式统一到一个方案中,有利于非单点登录的网站访问方式向兼容,降低了实现难度和实现成本。
步骤603,在访问请求通过SSO服务器的认证的情况下,对访问请求进行响应并经WAF节点向用户设备返回响应的结果。
在一些实施例中,如图8所示,内网访问方法还包括:
步骤606,在访问请求通过认证后,接收代理服务器根据访问请求对应的用户信息发起的访问并重定向至SSO服务器进行认证,以在通过SSO服务器的认证后,通过代理服务器与用户设备建立专用通信通道,供用户设备通过专用通信通道进行访问。
本实施例不对代理服务器及其对应的专用通信通道进行限定,代理服务器可以是VPN代理服务器,从而建立的专用通信通道可以为VPN隧道;代理服务器也可以是安全超文本传输协议(Secure Hypertext Transfer Protocol,HTTPS)代理服务器,从而建立的专用通信通道可以为基于HTTPS建立的通信通道等,此处就不再一一赘述了。
这样,在实现单点登录后,由于专用通信通道是通过认证的访问请求对应的用户信息建立的,因此,SSO服务器将通过单点登录认证代理服务器的访问,进而顺利建立起专用通信通道。也就是说,专用通信通道的建立仅与用户信息有关,用户设备和内网服务器之间的中间代理服务器的不同不会对专用通信通道的建立产生影响,无需针对不同的中间服务器开放统一的接口,有利于缩短接入周期,降低了在内网服务器和用户设备之间建立专用通信通道的实现难度,更加适用于基于不同的中间代理服务器为用户设备提供服务的场景。
这样,内网服务器不再通过代理服务器接收用户设备的访问请求,而是通过WAF节点接收用户设备用于访问内网服务器的访问请求,使得用户设备和内网服务器之间不会直接通信,WAF节点作为用户设备和内网服务器之间的中间和安全认证节点,完成对访问请求的安全认证,在无需代理服务器进行代理的情况下保障了内网服务器的安全,进而不再需要通过代理服务器的IP代理来保证内网服务器的安全性,进而不再会由于IP代理导致需要认证两次,也就是说,避免了两次认证无法单点登录的问题,在内网服务器要求可信认证授权的情况下只需认证一次,实现了单点登录。
为便于本领域技术人员更好地理解上述实施例提供的内网访问方法,以下将基于涉及VPN代理服务器的应用场景并结合图9和图10进行举例说明。如图9所示,内网访问方法包括:
步骤901,用户终端在接收用户指令后,向VPN代理服务器发送域名请求,以请求WAF服务的域名,用户指令用于指示向内网服务器发起访问。
步骤902,VPN代理服务器根据接收到的域名请求向用户设备返回WAF服务的域名。
步骤903,用户设备通过访问WAF服务的域名,以确定当前最空闲的WAF节点的地址。
步骤904,用户设备将内网服务器的域名修改为当前确定出来的WAF节点的地址,并以虚拟IP将请求头添加有加密策略的访问请求发往当前确定的WAF节点的地址,以发起对内网服务器的访问。
步骤905,WAF节点根据接受到的访问请求的请求头中的加密策略对接收到的访问请求进行认证。
步骤906,WAF节点将通过认证的访请求转发至中转服务器。
步骤907,中转服务器将接收到的访问请求转发至客户终端设备(CustomerPremise Equipment,CPE)。
步骤908,CPE将接收到的访问请求转发至内网服务器。
步骤909,内网服务器将接受到的访问请求重定向至SSO服务器。
步骤9010,SSO服务器对接收到的访问请求进行认证。
步骤9011,SSO服务器将通过认证的访问请求转发至内网服务器,供内网服务器对SSO服务器转发的访问请求进行响应后,将响应结果通过CPE、中转服务器、WAF节点返回给用户设备。
步骤9012,用户设备在访问请求已认证通过的情况下,根据访问请求对应的用户信息向VPN服务器发送资源请求,以与VPN服务器建立VPN通道。
步骤9013,VPN服务器根据资源请求和对应的用户信息向内网服务器发起访问请求,以请求建立VPN通道。
步骤9014,内网服务器将VPN服务器发起的访问请求重定向至SSO服务器,供SSO服务器进行认证。
步骤9015,SSO服务器将通过认证的VPN服务器发起的访问请求返回给内网服务器,供响应VPN服务器发起的访问请求,以与VPN服务器建立VPN通道。
其中,图10为图9所示的内网访问方法中所涉及的通信系统,点划线所示的方框即该通信系统中的位于内网的部分。
在一些情况下,该通信系统中可以设置至少两个中转服务器,从而基于keep live机制,在一个或一些中转服务器出现问题时,仍然存在至少一个中转服务器可用,保证了中转服务器的高可用性。
在一些情况下,中转服务器和CPE之间也可以是通过互联网安全协议(InternetProtocol Security,IPSec)隧道通信,使其通信更加安全。
在一些情况下,该通信系统中还可以配置多个CPE,使得能够更好地对中转服务器和内网服务器之间交互的信息更好地进行转发,避免过载、故障等影响通信效率的情况发生。
上面各种方法的步骤划分,只是为了描述清楚,实现时可以合并为一个步骤或者对某些步骤进行拆分,分解为多个步骤,只要包括相同的逻辑关系,都在本专利的保护范围内;对算法中或者流程中添加无关紧要的修改或者引入无关紧要的设计,但不改变其算法和流程的核心设计都在该专利的保护范围内。
本申请实施例另一方面还提供了一种用户设备,如图11所示,包括:
获取模块1101,用于获取WAF节点的地址。
发送模块1102,用于根据WAF节点的地址,向WAF节点发送用于访问内网服务器的访问请求,供内网服务器在接收到经WAF节点转发的访问请求后,重定向至SSO服务器进行认证并对通过SSO服务器认证的访问请求进行响应。
本申请实施例另一方面还提供了一种内网服务器,如图12所示,包括:
接收模块1201,用于接收WAF节点发送的访问请求。
重定向模块1202,用于将访问请求重定向至SSO服务器,供SSO服务器对访问请求进行认证。
响应模块1203,用于在访问请求通过SSO服务器的认证的情况下,对访问请求进行响应并经WAF节点向用户设备返回响应的结果。
不难发现,上述实施例为与方法实施例相对应的设备实施例,上述实施例可与方法实施例互相配合实施。方法实施例中提到的相关技术细节在上述实施例中依然有效,为了减少重复,这里不再赘述。相应地,上述实施例中提到的相关技术细节也可应用在方法实施例中。
值得一提的是,上述实施例中所涉及到的各模块均为逻辑模块,在实际应用中,一个逻辑单元可以是一个物理单元,也可以是一个物理单元的一部分,还可以以多个物理单元的组合实现。此外,为了突出本申请的创新部分,上述实施例中并没有将与解决本申请所提出的技术问题关系不太密切的单元引入,但这并不表明上述实施例中不存在其它的单元。
本申请实施例另一方面还提供了一种电子设备,如图13所示,包括:至少一个处理器1301;以及,与至少一个处理器1301通信连接的存储器1302;其中,存储器1302存储有可被至少一个处理器1301执行的指令,指令被至少一个处理器1301执行,以使至少一个处理器1301能够执行上述任一方法实施例所描述的内网访问方法。
其中,存储器1302和处理器1301采用总线方式连接,总线可以包括任意数量的互联的总线和桥,总线将一个或多个处理器1301和存储器1302的各种电路连接在一起。总线还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路连接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口在总线和收发机之间提供接口。收发机可以是一个元件,也可以是多个元件,比如多个接收器和发送器,提供用于在传输介质上与各种其他装置通信的单元。经处理器1301处理的数据通过天线在无线介质上进行传输,进一步,天线还接收数据并将数据传输给处理器1301。
处理器1301负责管理总线和通常的处理,还可以提供各种功能,包括定时,外围接口,电压调节、电源管理以及其他控制功能。而存储器1302可以被用于存储处理器1301在执行操作时所使用的数据。
本申请实施方式另一方面还提供了一种计算机可读存储介质,存储有计算机程序。计算机程序被处理器执行时实现上述方法实施例。
即,本领域技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序存储在一个存储介质中,包括若干指令用以使得一个设备(可以是单片机,芯片等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域的普通技术人员可以理解,上述各实施例是实现本申请的具体实施例,而在实际应用中,可以在形式上和细节上对其作各种改变,而不偏离本申请的精神和范围。
Claims (11)
1.一种内网访问方法,其特征在于,应用于用户设备,所述方法包括:
获取WAF节点的地址;
根据所述WAF节点的地址,向所述WAF节点发送用于访问内网服务器的访问请求,供所述内网服务器在接收到经所述WAF节点转发的所述访问请求后,重定向至SSO服务器进行认证并对通过所述SSO服务器认证的所述访问请求进行响应。
2.根据权利要求1所述的内网访问方法,其特征在于,所述根据所述WAF节点的地址,向所述WAF节点发送用于访问内网服务器的访问请求之后,所述方法还包括:
在所述访问请求通过认证后,根据所述访问请求对应的用户信息向代理服务器请求代理访问资源,以在所述代理服务器根据所述代理访问资源在所述用户设备与所述内网服务器之间建立专用通信通道后,通过所述专用通信通道访问所述内网服务器。
3.根据权利要求2所述的内网访问方法,其特征在于,所述获取WAF节点的地址,包括:
根据所述内网服务器的域名信息,向所述代理服务器请求WAF服务的域名;
在接收到所述代理服务器返回的所述WAF服务的域名后,确定所述WAF服务的可访问地址,以得到所述WAF节点的地址。
4.根据权利要求1至3中任一项所述的内网访问方法,其特征在于,所述根据所述WAF节点的地址,向所述WAF节点发送用于访问所述内网服务器的访问请求之后,所述方法还包括:
对预设时长内是否发送关联访问请求进行监测,所述关联访问请求用于再次访问所述内网服务器或与所述内网服务器相互信任的其他服务器;
在所述预设时长内未监测到所述关联访问请求的发送的情况下,删除本地缓存的与所述访问请求相关的信息。
5.根据权利要求1至3中任一项所述的内网访问方法,其特征在于,所述根据所述WAF节点的地址,向所述WAF节点发送用于访问所述内网服务器的访问请求之前,所述方法还包括:
在所述访问请求的请求头中添加加密策略,所述加密策略包括以下信息中的至少一项:加密密钥、时间戳、不可逆算法。
6.根据权利要求5所述的内网访问方法,其特征在于,所述在所述访问请求的请求头中添加加密策略,包括:
对包含时间戳的请求参数进行排序,生成json串;
将所述json串与获取到的加密密钥进行组合并加密,生成token;
在所述访问请求的请求头中添加所述token,供所述WAAF节点根据获取到的密钥对所述访问请求进行认证。
7.一种内网访问方法,其特征在于,应用于内网服务器,所述方法包括:
接收WAF节点发送的访问请求;
将所述访问请求重定向至SSO服务器,供所述SSO服务器对所述访问请求进行认证;
在所述访问请求通过所述SSO服务器的认证的情况下,对所述访问请求进行响应并经所述WAF节点向用户设备返回响应的结果。
8.根据权利要求7所述的内网访问方法,其特征在于,所述方法还包括:
在所述访问请求通过认证后,接收代理服务器根据所述访问请求对应的用户信息发起的访问并重定向至所述SSO服务器进行认证,以在通过所述SSO服务器的认证后,通过所述代理服务器与所述用户设备建立专用通信通道,供所述用户设备通过所述专用通信通道进行访问。
9.根据权利要求7或8所述的内网访问方法,其特征在于,所述接收WAF节点发送的访问请求之后,所述方法还包括:
检测所述访问请求是否需要进行单点登录;
所述将所述访问请求重定向至SSO服务器包括:
在所述访问请求需要进行单点登录的情况下,将所述访问请求重定向至SSO服务器;
所述方法还包括:
在所述访问请求不需要进行单点登录的情况下,对所述访问请求进行认证,在所述访问请求通过认证后,对所述访问请求进行响应并经所述WAF节点向用户设备返回响应的结果。
10.一种电子设备,其特征在于,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1至6中任一项所述的内网访问方法,或者,执行如权利要求7至9中任一项所述的内网访问方法。
11.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6中任一项所述的内网访问方法,或者,实现如权利要求7至9中任一项所述的内网访问方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310820689.1A CN116668181A (zh) | 2023-07-05 | 2023-07-05 | 一种内网访问方法、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310820689.1A CN116668181A (zh) | 2023-07-05 | 2023-07-05 | 一种内网访问方法、电子设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116668181A true CN116668181A (zh) | 2023-08-29 |
Family
ID=87728106
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310820689.1A Pending CN116668181A (zh) | 2023-07-05 | 2023-07-05 | 一种内网访问方法、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116668181A (zh) |
-
2023
- 2023-07-05 CN CN202310820689.1A patent/CN116668181A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113949573B (zh) | 一种零信任的业务访问控制系统及方法 | |
US9130935B2 (en) | System and method for providing access credentials | |
JP5933827B2 (ja) | 機器同士の間の通信セッション転送 | |
US7793342B1 (en) | Single sign-on with basic authentication for a transparent proxy | |
EP3120591B1 (en) | User identifier based device, identity and activity management system | |
EP2633667B1 (en) | System and method for on the fly protocol conversion in obtaining policy enforcement information | |
US10356153B2 (en) | Transferring session data between network applications accessible via different DNS domains | |
WO2018010146A1 (zh) | 一种虚拟网络计算认证中应答的方法、装置、系统和代理服务器 | |
WO2022247751A1 (zh) | 远程访问应用的方法、系统、装置、设备及存储介质 | |
US20100100950A1 (en) | Context-based adaptive authentication for data and services access in a network | |
US9246906B1 (en) | Methods for providing secure access to network resources and devices thereof | |
US7496949B2 (en) | Network system, proxy server, session management method, and program | |
US9032487B2 (en) | Method and system for providing service access to a user | |
US6742039B1 (en) | System and method for connecting to a device on a protected network | |
CN110830516B (zh) | 一种网络访问方法、装置、网络控制设备及存储介质 | |
US20240146728A1 (en) | Access control method, access control system, and related device | |
CN115603932A (zh) | 一种访问控制方法、访问控制系统及相关设备 | |
CN109495362B (zh) | 一种接入认证方法及装置 | |
CN110730189A (zh) | 一种通信认证方法、装置、设备及存储介质 | |
US11956217B2 (en) | Apparatus and method for secure communication over restricted network | |
CN116668181A (zh) | 一种内网访问方法、电子设备及存储介质 | |
CN114301967A (zh) | 窄带物联网控制方法、装置及设备 | |
US11799910B2 (en) | Network connection management | |
CN114979237A (zh) | 一种长连接验证方法、装置、设备及可读存储介质 | |
CN118057762A (zh) | 数据采集方法、装置、相关设备和程序产品 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |