CN116707955A - 一种单包认证的方法及相关装置 - Google Patents

一种单包认证的方法及相关装置 Download PDF

Info

Publication number
CN116707955A
CN116707955A CN202310786308.2A CN202310786308A CN116707955A CN 116707955 A CN116707955 A CN 116707955A CN 202310786308 A CN202310786308 A CN 202310786308A CN 116707955 A CN116707955 A CN 116707955A
Authority
CN
China
Prior art keywords
zero
trust
client
gateway
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310786308.2A
Other languages
English (en)
Inventor
殷伟
郭炳梁
余敏文
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Shenxinfu Information Security Co ltd
Original Assignee
Shenzhen Shenxinfu Information Security Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Shenxinfu Information Security Co ltd filed Critical Shenzhen Shenxinfu Information Security Co ltd
Priority to CN202310786308.2A priority Critical patent/CN116707955A/zh
Publication of CN116707955A publication Critical patent/CN116707955A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Abstract

本发明实施例提供了一种单包认证的方法及相关装置,用于提升了获取零信任客户端和SPA敲门密钥的便捷性。本发明实施例方法包括:通过浏览器接收用户输入的零信任服务端的接入地址;根据零信任服务端的接入地址的指向地址和零信任客户端的下载信息,向用户显示零信任客户端的下载安装页面;若用户安装零信任客户端,则接收零信任客户端发送的敲门密钥获取请求,其中,敲门密钥获取请求中携带有采用不可逆算法加密后的敲门密钥标识;对敲门密钥获取请求进行校验;若对敲门密钥获取请求的校验通过,则根据零信任服务端接入地址的IP地址将敲门密钥获取请求转发至零信任服务端,以使得零信任服务端调用消息网关向零信任客户端发送敲门密钥。

Description

一种单包认证的方法及相关装置
技术领域
本发明涉及网络通信技术领域,尤其涉及一种单包认证的方法及相关装置。
背景技术
软件定义边界(SDP),也被称为“黑云(BlackCloud)”,是一种新的计算机安全方法,它是由2007年左右DISA在全球信息网格(GIG)网络倡议下所做的工作内容演变而来,后来被云安全联盟(CloudsecurityAlliance)采纳并用于联盟成员。
SDP要求在获得对受保护服务器的网络访问之前,先对端点进行身份验证和授权。然后,在请求系统和应用程序基础设施之间实时创建加密连接。SDP将用户的数据和基础设施等关键IT资产隐藏在用户自己的黑云里,使得这些关键IT资产对外是不可见的。而要实现对隐藏资产的访问,需要通过SPA(SinglePacketAuthorization,单包授权)来建立端点和服务器之间的信任连接。
而现有的端点和服务器之间建立信任连接的流程如下:
1、管理员人工通知服务端启用SPA单包授权,并发布服务端接入地址、客户端下载和SPA敲门密钥获取的第三方系统地址;
2、用户访问第三方系统;
3、用户在第三方系统下载、安装标准客户端;
4、用户在第三方系统申请SPA敲门密钥,该系统调用服务端的SPA敲门密钥获取API,服务端向用户发送SPA敲门密钥;
5、用户将SPA敲门密钥配置到客户端,进行SPA单包授权认证
而上述流程在引导SPA单包授权认证通过前的用户时,需要管理员人工通知以上信息,并独立建设客户端下载和SPA敲门密钥获取的第三方系统,极大地增加了运维复杂度,降低了用户体验性。
发明内容
本发明实施例提供了一种单包认证的方法及相关装置,用于通过单向摆渡网关向用户提供零信任客户端下载信息和SPA敲门密钥,从而一方面提升了获取零信任客户端和SPA敲门密钥的便捷性,另一方面因为单向摆渡网关在敲门密钥获取请求的校验通过,直接将敲门密钥获取请求转发至零信任服务端,而不对敲门密钥获取请求执行本地存储,从而避免了单向摆渡网关被攻击后所造成的安全隐患,也即提升了单包认证过程的安全性。
本申请实施例第一方面提供了一种单包认证的方法,应用于单向摆渡网关,单向摆渡网关为单向非控制型网关,且所述单向摆渡网关配置有零信任服务端接入地址的IP地址、敲门密钥的获取方式和零信任客户端的下载信息,所述方法包括:
通过浏览器接收用户输入的零信任服务端的接入地址;
根据所述零信任服务端的接入地址的指向地址和所述零信任客户端的下载信息,通过所述浏览器向所述用户显示零信任客户端的下载安装页面;
若所述用户根据所述零信任客户端的下载安装页面,安装所述零信任客户端,则接收所述零信任客户端根据所述用户输入的敲门密钥标识,按照所述敲门密钥的获取方式所发送的敲门密钥获取请求,其中,所述敲门密钥获取请求中携带有采用不可逆算法加密后的敲门密钥标识;
对所述敲门密钥获取请求进行校验;
若对所述敲门密钥获取请求的校验通过,则根据所述零信任服务端接入地址的IP地址将所述敲门密钥获取请求转发至零信任服务端,以使得所述零信任服务端调用消息网关向所述零信任客户端发送所述敲门密钥。
优选的,所述零信任服务端的接入地址通过CNAME指向所述单向摆渡网关的域名;
根据所述零信任服务端的接入地址的指向地址和所述零信任客户端的下载信息,通过所述浏览器向所述用户显示零信任客户端的下载安装页面,包括:
根据所述零信任服务端的接入地址和CNAME指向关系,获取所述零信任服务端的接入地址的指向地址,其中,所述指向地址包括所述单向摆渡网关的域名;
根据所述单向摆渡网关的域名和所述零信任客户端的下载信息,通过所述浏览器向所述用户显示零信任客户端的下载安装页面。
优选的,在通过所述浏览器向所述用户显示零信任客户端的下载安装页面时,所述方法还包括:
将零信任服务端接入地址的IP地址嵌入至零信任客户端的安装包,使得所述用户安装所述零信任客户端后,所述零信任客户端自动填写所述零信任服务端的接入地址和所述零信任服务端接入地址的IP地址。
优选的,所述单向摆渡网关还配置有零信任服务端的认证方式,在通过所述浏览器向所述用户显示零信任客户端的下载安装页面之前,所述方法还包括:
根据所述零信任服务端的认证方式向所述用户显示接入提示,其中,所述接入提示用于向所述用户提示所述零信任服务端的接入地址已开启单包认证。
优选的,对所述敲门密钥获取请求进行验证,包括:
对所述敲门密钥获取请求的报文执行限流限频计算和格式校验,所述格式校验包括报文格式校验、报文长度校验和报文内容校验中的至少一项。
优选的,所述单向摆渡网关设置于云端或设置于本地网络,所述单向摆渡网关为所述零信任服务端的白名单。
优选的,所述敲门密钥标识包括终端识别码、邮箱识别码或二维码识别码。
本申请实施例第二方面提供了一种单包认证的方法,应用于零信任服务端,所述方法包括:
接收单向摆渡网关发送的敲门密钥获取请求,其中,所述敲门密钥获取请求中携带有采用不可逆算法加密后的敲门密钥标识;
对所述敲门密钥获取请求进行报文校验;
若对所述敲门密钥获取请求的报文校验通过,则根据数据库预先存储的所述加密后的敲门密钥标识和用户账号之间的对应关系,校验所述用户账号是否存在网络安全事件;
若所述用户账号不存在网络安全事件,则调用消息网关向零信任客户端发送敲门密钥;
接收所述零信任客户端发送的单包授权认证请求,其中,所述单包授权认证请求中至少包括采用所述敲门密钥和预设算法所加密的零信任客户端标识码和用户标识码;
对所述单包授权认证请求执行合法性校验;
若对所述单包授权认证请求的校验通过,则发送零信任服务端端口和/或业务服务至所述零信任客户端,使得所述用户通过所述零信任客户端访问所述零信任服务端端口和/或业务服务。
优选的,所述对所述单包授权认证请求执行合法性校验,包括:
对所述单包授权认证请求执行重放校验、伪造校验、用户标识码校验和客户端标识码校验中的至少一项。
本申请实施例第三方面提供了一种单向摆渡网关,其特征在于,所述单向摆渡网关为单向非控制型网关,且所述单向摆渡网关配置有零信任服务端接入地址的IP地址、敲门密钥的获取方式和零信任客户端的下载信息,所述单向摆渡网关包括:
第一接收单元,用于通过浏览器接收用户输入的零信任服务端的接入地址;
显示单元,用于根据所述零信任服务端的接入地址和所述零信任客户端的下载信息,通过所述浏览器向所述用户显示零信任客户端的下载安装页面;
所述第一接收单元,还用于若所述用户根据所述零信任客户端的下载安装页面,安装所述零信任客户端,则接收所述零信任客户端根据所述用户输入的敲门密钥标识,按照所述敲门密钥的获取方式所发送的敲门密钥获取请求,其中,所述敲门密钥获取请求中携带有采用不可逆算法加密后的敲门密钥标识;
第一校验单元,用于对所述敲门密钥获取请求进行校验;
转发单元,用于若对所述敲门密钥获取请求的校验通过,则根据所述零信任服务端接入地址的IP地址将所述敲门密钥获取请求转发至零信任服务端,以使得所述零信任服务端调用消息网关向所述零信任客户端发送所述敲门密钥。
本申请实施例第四方面提供了一种零信任服务端,所述零信任服务端包括:
第二接收单元,用于接收单向摆渡网关发送的敲门密钥获取请求,其中,所述敲门密钥获取请求中携带有采用不可逆算法加密后的敲门密钥标识;
第二校验单元,用于对所述敲门密钥获取请求进行报文格式校验;
所述第二校验单元,还用于若对所述敲门密钥获取请求的格式校验通过,则根据数据库预先存储的所述加密后的敲门密钥标识和用户账号之间的对应关系,校验所述用户账号是否存在网络安全事件;
调用单元,用于若所述用户账号不存在网络安全事件,则调用消息网关向零信任客户端发送敲门密钥;
所述第二接收单元,还用于接收所述零信任客户端发送的单包授权认证请求,其中,所述单包授权认证请求中至少包括采用所述敲门密钥和预设算法所加密的零信任客户端标识码和用户标识码;
所述第二校验单元,还用于对所述单包授权认证请求执行合法性校验;
发送单元,用于若对所述单包授权认证请求的校验通过,则发送零信任服务端端口和/或业务服务至所述零信任客户端,使得所述用户通过所述零信任客户端访问所述零信任服务端端口和/或业务服务。
本申请实施例第五方面提供了一种单包认证系统,包括:
浏览器、零信任客户端、消息网关,及本申请实施例第三方面提供的单向摆渡网关和如本申请实施例第四方面提供的零信任服务端。
本申请实施例第六方面提供了一种计算机装置,包括处理器,所述处理器在执行存储于存储器上的计算机程序时,用于实现本申请实施例第一方面或第二方面提供的单包认证的方法。
本申请实施例第七方面提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,用于实现用于实现本申请实施例第一方面或第二方面提供的单包认证的方法。
从以上技术方案可以看出,本发明实施例具有以下优点:
本申请实施例中,通过引入单向摆渡网关,其中,该单向摆渡网关仅能向零信任服务端的发送预设格式的请求,且服务端不会回包,也即服务端对单向摆渡网关零响应,从而避免了攻击者通过单向摆渡网关攻击服务端,也即单向摆渡网关不改变服务端单包授权认证的安全性;另外,零信任客户端向单向摆渡网关发送的敲门密钥获取请求为经过不可逆算法加密的,故单向摆渡网关属于最小化、零泄露的无数据残留网关,进一步保证了单向摆渡网关的安全性。
附图说明
图1为本申请实施例中单包认证的方法的一个实施例示意图;
图2为本申请实施例中以敲门密钥标识来获取敲门密钥的客户端示意图;
图3为本申请实施例中单包认证的方法的另一个实施例示意图;
图4为本申请实施例中单向摆渡网关的一个实施例示意图;
图5为本申请实施例中零信任服务端的一个实施例示意图;
图6为本申请实施例中单包认证系统的一个实施例示意图。
具体实施方式
本发明实施例提供了一种单包认证的方法及相关装置,用于通过单向摆渡网关向用户提供零信任客户端下载信息和SPA敲门密钥,从而一方面提升了获取零信任客户端和SPA敲门密钥的便捷性,另一方面因为单向摆渡网关在敲门密钥获取请求的校验通过,直接将敲门密钥获取请求转发至零信任服务端,而不对敲门密钥获取请求执行本地存储,从而避免了单向摆渡网关被攻击后所造成的安全隐患,也即提升了单包认证过程的安全性。
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为方便理解,下面对先对本申请实施例中的专业术语进行描述:
1、零信任:一种“永不信任,总是验证”的安全理念,并发展出“以身份为中心、持续信任评估、动态访问控制”的安全框架,主流技术实现有SDP软件定义边界、IAM统一身份管理、MSG微隔离三种,本发明方案中的“零信任”概念均特指SDP软件定义边界类产品。
2、SDP软件定义边界:访问被隐藏的资产之前,需要通过SPA单包授权来建立信任连接,并采用最小授权策略实现对用户的访问控制。由三大组件构成:SDP控制中心和代理网关(以下称“服务端”)、SDP连接发起主机(以下称“客户端”)。
3、SPA单包授权:客户端通过单一数据包携带认证鉴别信息向服务端发起认证请求,认证通过前不能或仅能建立TCP连接,从而无法访问服务端提供的服务,认证通过后才允许和服务端相关服务建立连接。
4、SPA敲门密钥:SPA单包授权过程中的认证鉴别信息。
5、身份认证:通常是指通过某种或多种方式完成对用户身份的确认。本发明方案中的“身份认证”概念均特指通过SPA单包授权认证后,才允许访问的服务端认证服务,即SPA单包授权不属于本发明方案所指的的身份认证服务。
6、单向摆渡网关:在客户端和服务端之间交换和传递数据的中间Sever服务器。
7、消息网关:服务端向用户传递SPA敲门密钥的消息服务器,用于实现密钥的带外管理。
下面接着以交互的角度对本申请实施例中单包认证的方法进行描述,请参阅图1,本申请实施例中的单包认证系统至少包括:浏览器、单向摆渡网关、零信任客户端和零信任服务端,其中,本申请实施例中的单向摆渡网管为单向非控制型网关,且管理员预先在单向摆渡网关上注册有零信任服务端接入地址的IP地址、敲门密钥的获取方式和零信任客户端的下载信息,其中,敲门密钥的获取方式可以是浏览器携带敲门密钥标识向单向摆渡网关发送敲门密钥的获取请求,或浏览器携带终端识别码、邮箱识别码向单向摆渡网关发送敲门密钥的获取请求,或浏览器通过终端扫描二维码的方式向单向摆渡网关发送敲门密钥的获取请求等,此处对敲门密钥的获取方式不做具体限制,而零信任客户端的下载信息至少包括零信任客户端的下载方式,以方便用户下载和安装零信任客户端。
其中,本申请实施例中单包授权认证的一个实施例,包括:
101、通过浏览器接收用户输入的零信任服务端的接入地址;
若用户要访问网络资源,一般是通过网络域名来访问对应的网络资源,如访问搜索服务器,则可以在浏览器中输入“www.baidu.com”,而要访问淘宝,则可以在浏览器中输入“www.tmall.com”,本申请实施例若要访问零信任服务端,则可以在浏览器中输入零信任服务端的接入地址,其中,该接入地址包括零信任服务端的域名。
102、单向摆渡网关根据所述零信任服务端的接入地址的指向地址和所述零信任客户端的下载信息,通过所述浏览器向所述用户显示零信任客户端的下载安装页面;
在接入零信任服务端之前,一般需要用户通过零信任客户端以单一数据包的形式携带认证鉴别信息向零信任服务端发起认证请求,认证通过前不能或者仅能建立TCP连接,从而无法访问零信任服务端提供的服务,只有认证通过后才允许和零信任服务端服务建立连接。
区别于现有技术,需要通过第三方系统获取零信任客户端和敲门密钥的方式,本申请实施例设置了单向摆渡网关,并将零信任服务端的接入地址通过CNAME指向单向摆渡网关的域名,故本申请实施例在用户通过浏览器输入零信任服务端的接入地址后,通过DNS服务器对零信任服务端的接入地址进行分析,以获取零信任服务端接入地址的指向地址,也即单向摆渡网关的域名。
当单向摆渡网关接收到用户的访问请求时,则根据预先注册的零信任客户端的下载信息,通过浏览器向用户显示零信任客户端的下载安装页面。
103、下载并安装客户端;
当浏览器向用户显示零信任客户端的下载安装页面后,用户则根据下载安装页面中零信任客户端的下载信息,对零信任客户端进行下载安装,其中,零信任客户端的下载信息包括不同版本的零信任客户端的下载地址、不同版本零信任客户端的标识等,只要用户可以根据零信任客户端的下载信息完成零信任客户端的下载安装即可,此处对零信任客户端下载安装页面中的内容不做具体限制。
104、零信任客户端根据所述用户输入的敲门密钥标识,按照所述敲门密钥的获取方式向单向摆渡网关发送敲门密钥获取请求,其中,所述敲门密钥获取请求中携带有采用不可逆算法加密后的敲门密钥标识;
具体的,当完成零信任客户端的下载安装后,用户可以在客户端的页面中输入零信任服务端的接入地址,并按照在单向摆渡网关上预设的获取敲门密钥的获取方式,获取敲门密钥。进一步,为了提升用户操作的便捷性,本申请实施例中的零信任客户端还可以在用户下载安装零信任客户端以后,自动在零信任客户端页面中填充敲门密钥标识。
如若单向摆渡网关上配置的是通过敲门密钥标识来获取敲门密钥,则需要用户在客户端中输入敲门密钥标识,然后通过点击获取敲门密钥的按钮,来获取敲门密钥,为方便理解,图2给出了以敲门密钥标识来获取敲门密钥的客户端示意图。
进一步,为了实现单向摆渡网关传输信息的最小化和匿名化,本申请实施例中在零信任客户端发送敲门密钥的获取请求时,对该获取请求中的敲门密钥标识采用不可逆算法进行加密,如采用哈希算法进行加密,而这种最小化和匿名化的传输信息,可以防止单向摆渡网关被攻击者控制后越权访问服务端或者发送非法数据攻击服务端。
105、单向摆渡网关对所述敲门密钥获取请求进行校验;
单向摆渡网关接收到零信任客户端发送的敲门密钥获取请求以后,则对该获取请求进行校验。
具体的,单向摆渡网关在对该敲门密钥获取请求进行校验时,可以是进行限流限频计算和格式校验,其中,该格式校验包括但不限于获取请求的报文格式、报文内容和报文长度。
如单向摆渡网关获取到该获取请求后,先检验该报文的报文头部和报文尾部是否与预先设置的要求一致,也即对报文格式进行校验,而对报文内容的校验,可以是校验报文中的预设位置是否包含随时数,而对报文长度的校验则是根据预先设置,如报文长度为24个字符,则根据预先设置的24个字符对报文的长度进行校验。
进一步,限流计算是指单向摆渡网关单次只接受预设个数(如30个)敲门密钥的获取请求,而对于超出30个敲门密钥获取请求,则不做任何响应,而限频计算是指单向摆渡网关单位时间所接收的敲门密钥获取请求的个数(如15个),当向单向摆渡网关单位时间内发送的敲门密钥获取请求的个数超出15个时,则单向摆渡网关对超出第15个的敲门密钥获取请求则不做任何响应,从而进一步保证了单向摆渡网关被攻击的可能性,也即进一步提升了单向摆渡网关的安全性。
106、若对所述敲门密钥获取请求的校验通过,则单向摆渡网关根据零信任服务端接入地址的IP地址将敲门密钥获取请求转发至零信任服务端;
若单向摆渡网关对零信任客户端所发送的敲门密钥获取请求校验通过,则单向摆渡网关根据零信任服务端接入地址的IP地址将敲门密钥获取请求转发至零信任服务端,以使得零信任服务端与零信任客户端之间进行交互。
因为单向摆渡网关直接将敲门密钥获取请求转发至零信任服务端,而不将敲门密钥获取请求执行本地存储,故进一步防止了单向摆渡网关被攻击者控制后所造成的信息泄露。
107、零信任服务端对敲门密钥获取请求进行报文校验;
零信任服务端接收到单向摆渡网关发送的敲门密钥获取请求后,则对敲门密钥的报文进行校验,其中,对报文的校验包括对报文格式、报文内容和报文长度的校验。
而对报文格式、报文内容和报文长度的校验过程,与步骤105中描述的类似,此处不再赘述。
108、若报文校验通过,零信任服务端根据数据库预先存储的所述加密后的敲门密钥标识和用户账号之间的对应关系,校验所述用户账号是否存在网络安全事件;
零信任服务端若对敲门密钥获取请求的报文校验通过,进一步根据数据库中预先存储的加密后的敲门密钥标识和用户账号之间的对应关系,校验用户账号是否存在网络安全事件,也即校验用户账号的所有者是否对零信任服务端发起过网络攻击,或者是否对零信任服务端造成了安全事故。
容易理解的是,数据库中预先存储了用户账号、加密后的敲门密钥标识、敲门密钥和用户账号之间的对应关系,且用户账号、加密后的敲门密钥标识、敲门密钥和用户账号之间一般为一一对应关系。
109、若所述用户账号不存在网络安全事件,则调用消息网关向零信任客户端发送敲门密钥;
若零信任服务端校验用户账号不存在网络安全事件,做进一步调用消息网关向零信任客户端发送敲门密钥,此处的消息网关为零信任服务端向零信任客户端发送敲门密钥的消息服务器,用于实现敲门密钥的带外管理。
110、零信任客户端向零信任服务端发送单包授权认证请求,其中,单包授权认证请求中至少包括采用敲门密钥和预测算法加密后的零信任客户端标识码和用户标识码;
零信任客户端接收到消息网关所发送的敲门密钥后,采用消息密钥和预测算法(如国密算法)对零信任客户端标识码和用户标识码进行加密,然后将加密后的零信任客户端标识码和用户标识码发送至零信任服务端,进行单包授权认证,其中该单包授权认证用于请求在应用层上建立和零信任服务端之间的通信连接。
111、零信任服务端对单包授权认证请求执行合法性校验;
零信任服务端接收到零信任客户端所发送的单包授权认证请求后,对该担保授权认证请求的合法性进行校验,其中,合法性校验包括重放校验、伪造校验、用户标识码校验和客户端标识码校验中的至少一项。
具体的,重放校验是校验该单包授权认证请求是否为零信任服务端已经接收到的,其他零信任客户端所发送过的单包授权认证请求,伪造校验是校验单包授权认证请求是否被篡改过,用户标识码校验和客户端标识码校验分别是校验用户标识码和客户端标识码在在数据库中是否存在。
112、若对单包授权认证请求的校验通过,则发送零信任服务端端口和/或业务服务至所述零信任客户端。
若零信任服务端对单包授权认证请求的校验通过,则发送零信任服务端端口和/或业务服务至所述零信任客户端,使得用户通过所述零信任客户端访问所述零信任服务端端口和/或业务服务,也即使得零信任客户端和零信任服务端之间在应用层上建立通信连接。
本申请实施例中,通过引入单向摆渡网关,其中,该单向摆渡网关仅能向零信任服务端的发送预设格式的请求,且服务端不会回包,也即服务端对单向摆渡网关零响应,从而避免了攻击者通过单向摆渡网关攻击服务端,也即单向摆渡网关不改变服务端单包授权认证的安全性;另外,零信任客户端向单向摆渡网关发送的敲门密钥获取请求为经过不可逆算法加密的,故单向摆渡网关属于最小化、零泄露的无数据残留网关,进一步保证了单向摆渡网关的安全性。
基于图1所述的实施例,为了进一步优化用户体验,还可以在单向摆渡网关配置零信任服务端的认证方式(如零信任服务端为单包授权认证),以使得单向摆渡网关通过浏览器向用户显示零信任客户端的下载安装页面之前,单向摆渡网关先向用户显示接入提示,其中,该接入提示用于向用户提示零信任服务端开启单包认证,以引导用户通过零信任客户端的下载安装页面下载和安装零信任客户端,从而提升用户对零信任服务端服务的使用体验。
进一步,为了加快单向摆渡网关和零信任服务端之间的通信过程,还可以将单向摆渡网关设置为零信任服务端的白名单,而本申请实施例的单向摆渡网关既可以为设置于云端,也可以设置于本地网络,此处对单向摆渡网关的设置环境不做具体限制。
基于图1所述的实施例,下面接着对本申请实施例中的单包授权认证方法进行描述,请参阅图3,本申请实施例中单包认证方法的另一个实施例,包括:
301、通过浏览器接收用户输入的零信任服务端的接入地址;
302、单向摆渡网关根据所述零信任服务端的接入地址的指向地址和所述零信任客户端的下载信息,通过所述浏览器向所述用户显示零信任客户端的下载安装页面;
303、下载并安装客户端;
当浏览器向用户显示零信任客户端的下载安装页面后,用户则根据下载安装页面中零信任客户端的下载信息,对零信任客户端进行下载安装,其中,零信任客户端的下载信息包括不同版本的零信任客户端的下载地址、不同版本零信任客户端的标识等,只要用户可以根据零信任客户端的下载信息完成零信任客户端的下载安装即可,此处对零信任客户端下载安装页面中的内容不做具体限制。
304、零信任客户端根据所述用户输入的敲门密钥标识,按照所述敲门密钥的获取方式向单向摆渡网关发送敲门密钥获取请求,其中,所述敲门密钥获取请求中携带有采用不可逆算法加密后的敲门密钥标识;
305、单向摆渡网关对所述敲门密钥获取请求进行校验;
306、若对所述敲门密钥获取请求的校验通过,则单向摆渡网关根据零信任服务端接入地址的IP地址将敲门密钥获取请求转发至零信任服务端;
307、零信任服务端对敲门密钥获取请求进行报文校验;
308、若报文校验通过,零信任服务端根据数据库预先存储的所述加密后的敲门密钥标识和用户账号之间的对应关系,校验所述用户账号是否存在网络安全事件;
309、若所述用户账号不存在网络安全事件,则调用消息网关向零信任客户端发送敲门密钥;
310、零信任客户端向零信任服务端发送单包授权认证请求,其中,单包授权认证请求中至少包括采用敲门密钥和预测算法加密后的零信任客户端标识码和用户标识码;
311、零信任服务端对单包授权认证请求执行合法性校验;
312、若对单包授权认证请求的校验通过,则零信任服务端发送零信任服务端端口和/或业务服务至所述零信任客户端。
需要说明的是,上述步骤301至312与图1实施例中的步骤101至112的描述类似,此处不再赘述。
313、零信任客户端向零信任服务端发送身份认证请求;
区别于图1所述的实施例,零信任服务端完成对零信任客户端的单包授权认证后,直接与零信任客户端建立应用层的通信连接。
本申请实施例中,零信任服务端完成对零信任客户端的单包授权认证后,继续对零信任客户端进行身份认证,也即零信任服务端接收由零信任客户端发送的身份认证请求。
其中,该身份认证请求可以是用户名和密码的校验,也可以是终端动态口令的认证(如通过手机发送动态验证码)等,此处对身份认证请求的过程不做具体限制。
314、零信任服务端对身份认证请求进行校验,若校验通过,则发送固定的敲门密钥至零信任客户端;
零信任服务端对客户端的身份认证请求进行校验,若校验通过,则发送固定的敲门密钥至零信任客户端。
315、零信任客户端采用固定的敲门密钥与零信任服务端进行单包授权认证。
零信任客户端在接收到该固定的敲门密钥后,在本地对该敲门密钥执行持久化存储,并将该固定的敲门密钥与零信任客户端的特征码(如识别码)进行绑定,从而提升用户接下来通过零信任客户端与零信任服务端之间单包授权认证过程的便捷性。
本申请实施例中,为了进一步提升零信任客户端和零信任服务端之间通信的安全性,本申请实施例通过零信任服务端完成对零信任客户端的单包授权认证后,进一步对零信任客户端进行身份认证,并在对零信任客户端的身份认证通过后,发送固定的敲门密钥至零信任客户端,从而提升了零信任客户端和零信任服务端之间接下来单包授权认证过程的便捷性。
上面对本申请实施例中的单包认证的方法做了详细描述,下面接着对本申请实施例中的单向摆渡网关进行描述,其中,该单向摆渡网关为单向非控制型网关,且单向摆渡网关配置有零信任服务端接入地址的IP地址、敲门密钥的获取方式和零信任客户端的下载信息,请参阅图4,本申请实施例中单向摆渡网关的一个实施例,包括:
第一接收单元401,用于通过浏览器接收用户输入的零信任服务端的接入地址;
显示单元402,用于根据所述零信任服务端的接入地址和所述零信任客户端的下载信息,通过所述浏览器向所述用户显示零信任客户端的下载安装页面;
所述第一接收单元401,还用于若所述用户根据所述零信任客户端的下载安装页面,安装所述零信任客户端,则接收所述零信任客户端根据所述用户输入的敲门密钥标识,按照所述敲门密钥的获取方式所发送的敲门密钥获取请求,其中,所述敲门密钥获取请求中携带有采用不可逆算法加密后的敲门密钥标识;
第一校验单元403,用于对所述敲门密钥获取请求进行校验;
转发单元404,用于若对所述敲门密钥获取请求的校验通过,则根据所述零信任服务端接入地址的IP地址将所述敲门密钥获取请求转发至零信任服务端,以使得所述零信任服务端调用消息网关向所述零信任客户端发送所述敲门密钥。
优选的,所述零信任服务端的接入地址通过CNAME指向所述单向摆渡网关的域名,显示单元402具体用于:
根据所述零信任服务端的接入地址和CNAME指向关系,获取所述零信任服务端的接入地址的指向地址,其中,所述指向地址包括所述单向摆渡网关的域名;
根据所述单向摆渡网关的域名和所述零信任客户端的下载信息,通过所述浏览器向所述用户显示零信任客户端的下载安装页面。
优选的,单向摆渡网关还包括嵌入单元405,用于:
将零信任服务端接入地址的IP地址嵌入至零信任客户端的安装包,使得所述用户安装所述零信任客户端后,所述零信任客户端自动填写所述零信任服务端的接入地址和所述零信任服务端接入地址的IP地址。
优选的,单向摆渡网关还配置有零信任服务端的认证方式,显示单元402还用于:
根据所述零信任服务端的认证方式向所述用户显示接入提示,其中,所述接入提示用于向所述用户提示所述零信任服务端的接入地址已开启单包认证。
优选的,第一校验单元403具体用于:
对所述敲门密钥获取请求的报文执行限流限频计算和格式校验,所述格式校验包括报文格式校验、报文长度校验和报文内容校验中的至少一项。
优选的,单向摆渡网关设置于云端或设置于本地网络,所述单向摆渡网关为所述零信任服务端的白名单。
优选的,敲门密钥标识包括终端识别码、邮箱识别码或二维码识别码。
需要说明的是,上述各单元的作用与图1至图2实施例中描述的类似,此处不再赘述。
本申请实施例中,通过引入单向摆渡网关,其中,该单向摆渡网关的转发单元404仅能向零信任服务端的发送预设格式的请求,且服务端不会回包,也即服务端对单向摆渡网关零响应,从而避免了攻击者通过单向摆渡网关攻击服务端,也即单向摆渡网关不改变服务端单包授权认证的安全性;另外,零信任客户端向单向摆渡网关发送的敲门密钥获取请求为经过不可逆算法加密的,故单向摆渡网关属于最小化、零泄露的无数据残留网关,进一步保证了单向摆渡网关的安全性。
下面接着对本申请实施例中的零信任服务端进行描述,请参与图5,本申请实施例中零信任服务端的一个实施例,包括:
第二接收单501,用于接收单向摆渡网关发送的敲门密钥获取请求,其中,所述敲门密钥获取请求中携带有采用不可逆算法加密后的敲门密钥标识;
第二校验单元502,用于对所述敲门密钥获取请求进行报文格式校验;
所述第二校验单元502,还用于若对所述敲门密钥获取请求的格式校验通过,则根据数据库预先存储的所述加密后的敲门密钥标识和用户账号之间的对应关系,校验所述用户账号是否存在网络安全事件;
调用单元503,用于若所述用户账号不存在网络安全事件,则调用消息网关向零信任客户端发送敲门密钥;
所述第二接收单元501,还用于接收所述零信任客户端发送的单包授权认证请求,其中,所述单包授权认证请求中至少包括采用所述敲门密钥和预设算法所加密的零信任客户端标识码和用户标识码;
所述第二校验单元502,还用于对所述单包授权认证请求执行合法性校验;
发送单元504,用于若对所述单包授权认证请求的校验通过,则发送零信任服务端端口和/或业务服务至所述零信任客户端,使得所述用户通过所述零信任客户端访问所述零信任服务端端口和/或业务服务。
优选的,所述第二校验单元502具体用于:
对所述单包授权认证请求执行重放校验、伪造校验、用户标识码校验和客户端标识码校验中的至少一项。
下面接着对本申请实施例中的单包认证系统进行描述,请参阅图6,本申请实施例中的单包认证系统包括:
浏览器、零信任客户端、消息网关、单向摆渡网关和零信任服务端,其中,浏览器、零信任客户端、消息网关、单向摆渡网关和零信任服务端之间的交互流程,及各部件的作用与图1至图3中描述的类似,此处不再赘述。
上面从模块化功能实体的角度对本发明实施例中的单向摆渡网关和零信任服务端进行了描述,下面从硬件处理的角度对本发明实施例中的计算机装置进行描述:
该计算机装置用于实现单向摆渡网关一侧的功能,本发明实施例中计算机装置一个实施例包括:
处理器以及存储器;
存储器用于存储计算机程序,处理器用于执行存储器中存储的计算机程序时,可以实现如下步骤:
通过浏览器接收用户输入的零信任服务端的接入地址;
根据所述零信任服务端的接入地址的指向地址和所述零信任客户端的下载信息,通过所述浏览器向所述用户显示零信任客户端的下载安装页面;
若所述用户根据所述零信任客户端的下载安装页面,安装所述零信任客户端,则接收所述零信任客户端根据所述用户输入的敲门密钥标识,按照所述敲门密钥的获取方式所发送的敲门密钥获取请求,其中,所述敲门密钥获取请求中携带有采用不可逆算法加密后的敲门密钥标识;
对所述敲门密钥获取请求进行校验;
若对所述敲门密钥获取请求的校验通过,则根据所述零信任服务端接入地址的IP地址将所述敲门密钥获取请求转发至零信任服务端,以使得所述零信任服务端调用消息网关向所述零信任客户端发送所述敲门密钥。
在本发明的一些实施例中,所述零信任服务端的接入地址通过CNAME指向所述单向摆渡网关的域名,处理器,还可以用于实现如下步骤:
根据所述零信任服务端的接入地址和CNAME指向关系,获取所述零信任服务端的接入地址的指向地址,其中,所述指向地址包括所述单向摆渡网关的域名;
根据所述单向摆渡网关的域名和所述零信任客户端的下载信息,通过所述浏览器向所述用户显示零信任客户端的下载安装页面。
在本发明的一些实施例中,处理器,还可以用于实现如下步骤:
将零信任服务端接入地址的IP地址嵌入至零信任客户端的安装包,使得所述用户安装所述零信任客户端后,所述零信任客户端自动填写所述零信任服务端的接入地址和所述零信任服务端接入地址的IP地址。
在本发明的一些实施例中,所述单向摆渡网关还配置有零信任服务端的认证方式,在通过所述浏览器向所述用户显示零信任客户端的下载安装页面之前,处理器,还可以用于实现如下步骤:
根据所述零信任服务端的认证方式向所述用户显示接入提示,其中,所述接入提示用于向所述用户提示所述零信任服务端的接入地址已开启单包认证。
在本发明的一些实施例中,处理器,还可以用于实现如下步骤:
对所述敲门密钥获取请求的报文执行限流限频计算和格式校验,所述格式校验包括报文格式校验、报文长度校验和报文内容校验中的至少一项。
在本发明的一些实施例中,单向摆渡网关设置于云端或设置于本地网络,单向摆渡网关为所述零信任服务端的白名单。
在本发明的一些实施例中,敲门密钥标识包括终端识别码、邮箱识别码或二维码识别码。
该计算机装置还用于实现零信任服务端一侧的功能,本发明实施例中计算机装置一个实施例包括:
处理器以及存储器;
存储器用于存储计算机程序,处理器用于执行存储器中存储的计算机程序时,可以实现如下步骤:
接收单向摆渡网关发送的敲门密钥获取请求,其中,所述敲门密钥获取请求中携带有采用不可逆算法加密后的敲门密钥标识;
对所述敲门密钥获取请求进行报文校验;
若对所述敲门密钥获取请求的报文校验通过,则根据数据库预先存储的所述加密后的敲门密钥标识和用户账号之间的对应关系,校验所述用户账号是否存在网络安全事件;
若所述用户账号不存在网络安全事件,则调用消息网关向零信任客户端发送敲门密钥;
接收所述零信任客户端发送的单包授权认证请求,其中,所述单包授权认证请求中至少包括采用所述敲门密钥和预设算法所加密的零信任客户端标识码和用户标识码;
对所述单包授权认证请求执行合法性校验;
若对所述单包授权认证请求的校验通过,则发送零信任服务端端口和/或业务服务至所述零信任客户端,使得所述用户通过所述零信任客户端访问所述零信任服务端端口和/或业务服务。
在本发明的一些实施例中,处理器,还可以用于实现如下步骤:
对所述单包授权认证请求执行重放校验、伪造校验、用户标识码校验和客户端标识码校验中的至少一项。
可以理解的是,上述说明的计算机装置中的处理器执行所述计算机程序时,也可以实现上述对应的各装置实施例中各单元的功能,此处不再赘述。示例性的,所述计算机程序可以被分割成一个或多个模块/单元,所述一个或者多个模块/单元被存储在所述存储器中,并由所述处理器执行,以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序在所述单向摆渡网关/零信任服务端中的执行过程。例如,所述计算机程序可以被分割成上述单向摆渡网关中的各单元,各单元可以实现如上述相应单向摆渡网关说明的具体功能。
所述计算机装置可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述计算机装置可包括但不仅限于处理器、存储器。本领域技术人员可以理解,处理器、存储器仅仅是计算机装置的示例,并不构成对计算机装置的限定,可以包括更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述计算机装置还可以包括输入输出设备、网络接入设备、总线等。
所述处理器可以是中央处理单元(CentralProcessingUnit,CPU),还可以是其他通用处理器、数字信号处理器(DigitalSignalProcessor,DSP)、专用集成电路(ApplicationSpecificIntegratedCircuit,ASIC)、现成可编程门阵列(Field-ProgrammableGateArray,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,所述处理器是所述计算机装置的控制中心,利用各种接口和线路连接整个计算机装置的各个部分。
所述存储器可用于存储所述计算机程序和/或模块,所述处理器通过运行或执行存储在所述存储器内的计算机程序和/或模块,以及调用存储在存储器内的数据,实现所述计算机装置的各种功能。所述存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序等;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(SmartMediaCard,SMC),安全数字(SecureDigital,SD)卡,闪存卡(FlashCard)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
本发明还提供了一种计算机可读存储介质,该计算机可读存储介质用于实现单向摆渡网关一侧的功能,其上存储有计算机程序,计算机程序被处理器执行时,处理器,可以用于执行如下步骤:
通过浏览器接收用户输入的零信任服务端的接入地址;
根据所述零信任服务端的接入地址的指向地址和所述零信任客户端的下载信息,通过所述浏览器向所述用户显示零信任客户端的下载安装页面;
若所述用户根据所述零信任客户端的下载安装页面,安装所述零信任客户端,则接收所述零信任客户端根据所述用户输入的敲门密钥标识,按照所述敲门密钥的获取方式所发送的敲门密钥获取请求,其中,所述敲门密钥获取请求中携带有采用不可逆算法加密后的敲门密钥标识;
对所述敲门密钥获取请求进行校验;
若对所述敲门密钥获取请求的校验通过,则根据所述零信任服务端接入地址的IP地址将所述敲门密钥获取请求转发至零信任服务端,以使得所述零信任服务端调用消息网关向所述零信任客户端发送所述敲门密钥。
在本发明的一些实施例中,所述零信任服务端的接入地址通过CNAME指向所述单向摆渡网关的域名,计算机程序被处理器执行时,处理器,还可以用于实现如下步骤:
根据所述零信任服务端的接入地址和CNAME指向关系,获取所述零信任服务端的接入地址的指向地址,其中,所述指向地址包括所述单向摆渡网关的域名;
根据所述单向摆渡网关的域名和所述零信任客户端的下载信息,通过所述浏览器向所述用户显示零信任客户端的下载安装页面。
在本发明的一些实施例中,计算机程序被处理器执行时,处理器,还可以用于实现如下步骤:
将零信任服务端接入地址的IP地址嵌入至零信任客户端的安装包,使得所述用户安装所述零信任客户端后,所述零信任客户端自动填写所述零信任服务端的接入地址和所述零信任服务端接入地址的IP地址。
在本发明的一些实施例中,所述单向摆渡网关还配置有零信任服务端的认证方式,在通过所述浏览器向所述用户显示零信任客户端的下载安装页面之前,计算机程序被处理器执行时,处理器,还可以用于实现如下步骤:
根据所述零信任服务端的认证方式向所述用户显示接入提示,其中,所述接入提示用于向所述用户提示所述零信任服务端的接入地址已开启单包认证。
在本发明的一些实施例中,计算机程序被处理器执行时,处理器,还可以用于实现如下步骤:
对所述敲门密钥获取请求的报文执行限流限频计算和格式校验,所述格式校验包括报文格式校验、报文长度校验和报文内容校验中的至少一项。
在本发明的一些实施例中,单向摆渡网关设置于云端或设置于本地网络,单向摆渡网关为所述零信任服务端的白名单。
在本发明的一些实施例中,敲门密钥标识包括终端识别码、邮箱识别码或二维码识别码。
本发明还提供了另一种计算机可读存储介质,该计算机可读存储介质用于实现零信任服务端一侧的功能,其上存储有计算机程序,计算机程序被处理器执行时,处理器,可以用于执行如下步骤:
接收单向摆渡网关发送的敲门密钥获取请求,其中,所述敲门密钥获取请求中携带有采用不可逆算法加密后的敲门密钥标识;
对所述敲门密钥获取请求进行报文校验;
若对所述敲门密钥获取请求的报文校验通过,则根据数据库预先存储的所述加密后的敲门密钥标识和用户账号之间的对应关系,校验所述用户账号是否存在网络安全事件;
若所述用户账号不存在网络安全事件,则调用消息网关向零信任客户端发送敲门密钥;
接收所述零信任客户端发送的单包授权认证请求,其中,所述单包授权认证请求中至少包括采用所述敲门密钥和预设算法所加密的零信任客户端标识码和用户标识码;
对所述单包授权认证请求执行合法性校验;
若对所述单包授权认证请求的校验通过,则发送零信任服务端端口和/或业务服务至所述零信任客户端,使得所述用户通过所述零信任客户端访问所述零信任服务端端口和/或业务服务。
在本发明的一些实施例中,计算机程序被处理器执行时,处理器,还可以用于实现如下步骤:
对所述单包授权认证请求执行重放校验、伪造校验、用户标识码校验和客户端标识码校验中的至少一项。
可以理解的是,所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在相应的一个计算机可读取存储介质中。基于这样的理解,本发明实现上述相应的实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random AccessMemory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (14)

1.一种单包认证的方法,其特征在于,应用于单向摆渡网关,所述单向摆渡网关为单向非控制型网关,且所述单向摆渡网关配置有零信任服务端接入地址的IP地址、敲门密钥的获取方式和零信任客户端的下载信息,所述方法包括:
通过浏览器接收用户输入的零信任服务端的接入地址;
根据所述零信任服务端的接入地址的指向地址和所述零信任客户端的下载信息,通过所述浏览器向所述用户显示零信任客户端的下载安装页面;
若所述用户根据所述零信任客户端的下载安装页面,安装所述零信任客户端,则接收所述零信任客户端根据所述用户输入的敲门密钥标识,按照所述敲门密钥的获取方式所发送的敲门密钥获取请求,其中,所述敲门密钥获取请求中携带有采用不可逆算法加密后的敲门密钥标识;
对所述敲门密钥获取请求进行校验;
若对所述敲门密钥获取请求的校验通过,则根据所述零信任服务端接入地址的IP地址将所述敲门密钥获取请求转发至零信任服务端,以使得所述零信任服务端调用消息网关向所述零信任客户端发送所述敲门密钥。
2.根据权利要求1所述的方法,其特征在于,所述零信任服务端的接入地址通过CNAME指向所述单向摆渡网关的域名;
根据所述零信任服务端的接入地址的指向地址和所述零信任客户端的下载信息,通过所述浏览器向所述用户显示零信任客户端的下载安装页面,包括:
根据所述零信任服务端的接入地址和CNAME指向关系,获取所述零信任服务端的接入地址的指向地址,其中,所述指向地址包括所述单向摆渡网关的域名;
根据所述单向摆渡网关的域名和所述零信任客户端的下载信息,通过所述浏览器向所述用户显示零信任客户端的下载安装页面。
3.根据权利要求1所述的方法,其特征在于,在通过所述浏览器向所述用户显示零信任客户端的下载安装页面时,所述方法还包括:
将零信任服务端接入地址的IP地址嵌入至零信任客户端的安装包,使得所述用户安装所述零信任客户端后,所述零信任客户端自动填写所述零信任服务端的接入地址和所述零信任服务端接入地址的IP地址。
4.根据权利要求1所述的方法,其特征在于,所述单向摆渡网关还配置有零信任服务端的认证方式,在通过所述浏览器向所述用户显示零信任客户端的下载安装页面之前,所述方法还包括:
根据所述零信任服务端的认证方式向所述用户显示接入提示,其中,所述接入提示用于向所述用户提示所述零信任服务端的接入地址已开启单包认证。
5.根据权利要求1所述的方法,其特征在于,对所述敲门密钥获取请求进行验证,包括:
对所述敲门密钥获取请求的报文执行限流限频计算和格式校验,所述格式校验包括报文格式校验、报文长度校验和报文内容校验中的至少一项。
6.根据权利要求1所述的方法,其特征在于,所述单向摆渡网关设置于云端或设置于本地网络,所述单向摆渡网关为所述零信任服务端的白名单。
7.根据权利要求1所述的方法,其特征在于,所述敲门密钥标识包括终端识别码、邮箱识别码或二维码识别码。
8.一种单包认证的方法,其特征在于,应用于零信任服务端,所述方法包括:
接收单向摆渡网关发送的敲门密钥获取请求,其中,所述敲门密钥获取请求中携带有采用不可逆算法加密后的敲门密钥标识;
对所述敲门密钥获取请求进行报文校验;
若对所述敲门密钥获取请求的报文校验通过,则根据数据库预先存储的所述加密后的敲门密钥标识和用户账号之间的对应关系,校验所述用户账号是否存在网络安全事件;
若所述用户账号不存在网络安全事件,则调用消息网关向零信任客户端发送敲门密钥;
接收所述零信任客户端发送的单包授权认证请求,其中,所述单包授权认证请求中至少包括采用所述敲门密钥和预设算法所加密的零信任客户端标识码和用户标识码;
对所述单包授权认证请求执行合法性校验;
若对所述单包授权认证请求的校验通过,则发送零信任服务端端口和/或业务服务至所述零信任客户端,使得所述用户通过所述零信任客户端访问所述零信任服务端端口和/或业务服务。
9.根据权利要求8所述的方法,其特征在于,所述对所述单包授权认证请求执行合法性校验,包括:
对所述单包授权认证请求执行重放校验、伪造校验、用户标识码校验和客户端标识码校验中的至少一项。
10.一种单向摆渡网关,其特征在于,所述单向摆渡网关为单向非控制型网关,且所述单向摆渡网关配置有零信任服务端接入地址的IP地址、敲门密钥的获取方式和零信任客户端的下载信息,所述单向摆渡网关包括:
第一接收单元,用于通过浏览器接收用户输入的零信任服务端的接入地址;
显示单元,用于根据所述零信任服务端的接入地址和所述零信任客户端的下载信息,通过所述浏览器向所述用户显示零信任客户端的下载安装页面;
所述第一接收单元,还用于若所述用户根据所述零信任客户端的下载安装页面,安装所述零信任客户端,则接收所述零信任客户端根据所述用户输入的敲门密钥标识,按照所述敲门密钥的获取方式所发送的敲门密钥获取请求,其中,所述敲门密钥获取请求中携带有采用不可逆算法加密后的敲门密钥标识;
第一校验单元,用于对所述敲门密钥获取请求进行校验;
转发单元,用于若对所述敲门密钥获取请求的校验通过,则根据所述零信任服务端接入地址的IP地址将所述敲门密钥获取请求转发至零信任服务端,以使得所述零信任服务端调用消息网关向所述零信任客户端发送所述敲门密钥。
11.一种零信任服务端,其特征在于,所述零信任服务端包括:
第二接收单元,用于接收单向摆渡网关发送的敲门密钥获取请求,其中,所述敲门密钥获取请求中携带有采用不可逆算法加密后的敲门密钥标识;
第二校验单元,用于对所述敲门密钥获取请求进行报文格式校验;
所述第二校验单元,还用于若对所述敲门密钥获取请求的格式校验通过,则根据数据库预先存储的所述加密后的敲门密钥标识和用户账号之间的对应关系,校验所述用户账号是否存在网络安全事件;
调用单元,用于若所述用户账号不存在网络安全事件,则调用消息网关向零信任客户端发送敲门密钥;
所述第二接收单元,还用于接收所述零信任客户端发送的单包授权认证请求,其中,所述单包授权认证请求中至少包括采用所述敲门密钥和预设算法所加密的零信任客户端标识码和用户标识码;
所述第二校验单元,还用于对所述单包授权认证请求执行合法性校验;
发送单元,用于若对所述单包授权认证请求的校验通过,则发送零信任服务端端口和/或业务服务至所述零信任客户端,使得所述用户通过所述零信任客户端访问所述零信任服务端端口和/或业务服务。
12.一种单包认证系统,其特征在于,包括:
浏览器、零信任客户端、消息网关,及如权利要求10所述的单向摆渡网关和如权利要求11所述的零信任服务端。
13.一种计算机装置,包括处理器,其特征在于,所述处理器在执行存储于存储器上的计算机程序时,用于实现如权利要求1至7中任一项,或权利要求8至9中任一项所述的单包认证的方法。
14.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,用于实现如权利要求1至7中任一项,或权利要求8至9中任一项所述的单包认证的方法。
CN202310786308.2A 2023-06-29 2023-06-29 一种单包认证的方法及相关装置 Pending CN116707955A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310786308.2A CN116707955A (zh) 2023-06-29 2023-06-29 一种单包认证的方法及相关装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310786308.2A CN116707955A (zh) 2023-06-29 2023-06-29 一种单包认证的方法及相关装置

Publications (1)

Publication Number Publication Date
CN116707955A true CN116707955A (zh) 2023-09-05

Family

ID=87845005

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310786308.2A Pending CN116707955A (zh) 2023-06-29 2023-06-29 一种单包认证的方法及相关装置

Country Status (1)

Country Link
CN (1) CN116707955A (zh)

Similar Documents

Publication Publication Date Title
US9992176B2 (en) Systems and methods for encrypted communication in a secure network
WO2016188256A1 (zh) 一种应用接入鉴权的方法、系统、装置及终端
US11841959B1 (en) Systems and methods for requiring cryptographic data protection as a precondition of system access
US11741466B2 (en) Transient transaction server DNS strategy
CN110933484A (zh) 一种无线投屏设备的管理方法及装置
CN101986598B (zh) 认证方法、服务器及系统
CN113992346B (zh) 一种基于国密加固的安全云桌面的实现方法
US20200244690A1 (en) Transient Transaction Server
Kravets et al. Mobile security solution for enterprise network
WO2016188335A1 (zh) 用户数据的访问控制方法、装置及系统
US11451517B2 (en) Secure and auditable proxy technology using trusted execution environments
CN115037552A (zh) 鉴权方法、装置、设备及存储介质
CN112311769A (zh) 安全认证的方法、系统、电子设备及介质
CN110138558B (zh) 会话密钥的传输方法、设备及计算机可读存储介质
CN110807210B (zh) 一种信息处理方法、平台、系统及计算机存储介质
CN115134175B (zh) 一种基于授权策略的安全通讯方法及装置
CN115473655B (zh) 接入网络的终端认证方法、装置及存储介质
KR101619928B1 (ko) 이동단말기의 원격제어시스템
CN115941217B (zh) 用于安全通信的方法和其相关产品
CN116707955A (zh) 一种单包认证的方法及相关装置
KR20020083551A (ko) 멀티에이전트 기반 다단계 사용자 인증 시스템 개발과운용 방법
CN116781761B (zh) 一种应用程序的调用方法及装置
US11977620B2 (en) Attestation of application identity for inter-app communications
CN116633674A (zh) 一种单包认证的方法及相关装置
US20230368203A1 (en) Transient Transaction Server DNS Strategy

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination