CN116846605A - 一种服务访问方法、装置及设备和介质 - Google Patents

一种服务访问方法、装置及设备和介质 Download PDF

Info

Publication number
CN116846605A
CN116846605A CN202310708717.0A CN202310708717A CN116846605A CN 116846605 A CN116846605 A CN 116846605A CN 202310708717 A CN202310708717 A CN 202310708717A CN 116846605 A CN116846605 A CN 116846605A
Authority
CN
China
Prior art keywords
address
server
client
connection information
sending
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310708717.0A
Other languages
English (en)
Inventor
杨曦
浦若鹏
钱正强
黄翼
杨阳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN202310708717.0A priority Critical patent/CN116846605A/zh
Publication of CN116846605A publication Critical patent/CN116846605A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供了一种服务访问方法、装置及设备和介质,旨在提升服务访问的安全性。所述方法包括:确定所述客户端的第一地址,所述第一地址为用于所述客户端访问互联网的IP地址;将包含所述第一地址的连接信息发送至服务端,以触发所述服务端向所述客户端发送反向连接请求;根据所述反向连接请求,建立所述客户端与所述服务端之间的通信通道;通过所述通信通道,访问所述服务端所提供的信息服务。

Description

一种服务访问方法、装置及设备和介质
技术领域
本申请涉及通信技术领域,特别是涉及一种服务访问方法、装置及设备和介质。
背景技术
现网部署复杂端口映射以实现服务端主动向互联网提供信息服务的方式,增加了管理难度和安全风险,特别是针对小型企业、个人用户在没有部署安全防护设备的基础上,向互联网主动提供信息服务存在较大的安全风险。
发明内容
鉴于上述问题,本申请实施例提供了一种服务访问方法、装置及设备和介质,以便克服上述问题或者至少部分地解决上述问题。
本申请实施例的第一方面,提供了一种服务访问方法,应用于客户端,所述方法包括:
确定所述客户端的第一地址,所述第一地址为用于所述客户端访问互联网的IP地址;
将包含所述第一地址的连接信息发送至服务端,以触发所述服务端向所述客户端发送反向连接请求;
根据所述反向连接请求,建立所述客户端与所述服务端之间的通信通道;
通过所述通信通道,访问所述服务端所提供的信息服务。
本申请实施例的第二方面,提供了一种服务访问方法,应用于服务端,所述方法包括:
获取包含第一地址的连接信息,所述第一地址为用于客户端访问互联网的IP地址;
根据所述连接信息,向所述客户端发送反向连接请求,以使所述客户端根据所述反向连接请求,建立所述客户端与所述服务端之间的通信通道,并通过所述通信通道,访问所述服务端所提供的信息服务。
本申请实施例的第三方面,提供了一种服务访问装置,应用于客户端,所述装置包括:
第一处理模块,用于确定所述客户端的第一地址,所述第一地址为用于所述客户端访问互联网的IP地址;
第一发送模块,用于将包含所述第一地址的连接信息发送至服务端,以触发所述服务端向所述客户端发送反向连接请求;
第一建立模块,用于根据所述反向连接请求,建立所述客户端与所述服务端之间的通信通道;
第一访问模块,用于通过所述通信通道,访问所述服务端所提供的信息服务。
本申请实施例的第四方面,提供了一种服务访问装置,应用于服务端,所述装置包括:
第一获取模块,用于获取包含第一地址的连接信息,所述第一地址为用于客户端访问互联网的IP地址;
第一请求模块,用于根据所述连接信息,向所述客户端发送反向连接请求,以使所述客户端根据所述反向连接请求,建立所述客户端与所述服务端之间的通信通道,并通过所述通信通道,访问所述服务端所提供的信息服务。
本申请实施例的第五方面,提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现第一方面所述的服务访问方法的步骤或者实现第二方面所述的服务访问方法的步骤。
本申请实施例的第六方面,提供了一种计算机可读存储介质,其上存储有计算机程序/指令,该计算机程序/指令被处理器执行时实现如第一方面所述的服务访问方法的步骤,或者,该计算机程序/指令被处理器执行时实现如第二方面所述的服务访问方法的步骤。
本申请实施例包括以下优点:客户端通过触发服务端向该客户端发起反向连接以建立通信通道,从而将服务端主动对外提供信息服务的方式转换为被动对外提供信息服务的方式,服务端仅对触发了通信通道建立的客户端提供服务,无需主动对互联网开放自身的远程接入能力,可以大幅提升安全性,且可以降低对互联网暴露面进行安全防护所需的资金投入。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例的描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例的一种服务访问方法的实施流程图;
图2是本申请实施例的一种在IPv6网络环境下构建安全便捷的访问信息服务的方法的示意图;
图3是本申请实施例中另一种服务访问方法的示意图;
图4是本申请实施例的一种服务访问装置的结构示意图;
图5是本申请实施例的另一种服务访问装置的结构示意图;
图6是本申请实施例中一种电子设备的示意图。
具体实施方式
为使本申请的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本申请作进一步详细的说明。
随着信息技术发展,互联网和云应用范围逐步扩大,各行业以及个人都逐步建立企业、行业甚至个人的云或应用,以快捷便利地接入云主机、内部或家庭网络,进行各种管理或应用访问。IPv4地址因总量有限且规划分配不匀,导致IPv4地址严重不足,包括运营商在内各行业均通过动态地址分配或用于实现IPv4私网地址到公网地址的地址转换的网络地址转换(NAT,Network Address Translation)技术(即NAT44技术)来实现IPv4地址的复用,从而在有限的地址资源下满足更多的终端接入网络需求,但目前互联网信息服务和维护管理仍存在以下问题:
(1)难以便捷访问企业、家庭内部网络云、终端资源。
资源部署于企业、家庭内部网络,IPv4地址做过多级NAT44映射,而且存在地址动态获取不固定的问题,无法方便的进行服务访问。
(2)对公网开放远程接入能力的安全风险。
开放远程服务存在互联网暴露面问题,涉及需要备案及考虑被漏洞或暴力破解等影响存在的安全风险。
(3)缺少加密虚拟专用网络(VPN,Virtual Private Network)设备或安全设备维护问题。
部署安全VPN等设备需要增加大量投资,而且安全设备需要进行后续维护,而中小企业和家庭用户,往往存在投资成本和维护能力不足的问题。
(4)IPv4环境下建立加密通道部署困难。
现网存在IPv4多级NAT44,以及地址浮动共享方式,导致个人及中小企业实现对内部资源库或远程接入内网场景非常困难:需要在各级防火墙和运营商级地址转换(CGN,Carrier-grade NAT)设备上部署端口映射以解决NAT44问题;针对动态IP还需要利用动态域名服务(DDNS,Dynamic Domain Name Server)等方式实现IP的获取;还面临开启服务后被互联网恶意扫描、探测及暴力破解等风险。以致对相关维护人员提出了非常高的技术和安全能力要求。
故使用动态地址分配以及NAT44技术虽然能满足更多的终端接入互联网的需求,但是通过地址动态复用和划小可用端口块方式破坏了IP网端到端的业务模型,且利用复杂端口映射主动向互联网提供服务更增加了管理难度和安全风险,特别是针对小型企业、个人用户在没有部署安全防护设备的基础上,向互联网提供信息服务存在较大的安全风险。
针对上述相关技术中存在的问题,本申请实施例提出一种安全便捷的反向远程接入访问信息服务的方法,使得服务端无需向互联网开放端口,可以大幅提升安全性,并降低对互联网暴露面进行安全防护所需的资金投入,且能够在IPv6规模部署后的网络互通架构进行实现,从而利用IPv6地址环境降低部署复杂性。
下面结合附图,通过一些实施例及其应用场景对本申请实施例提供的一种服务访问方法、装置及设备和介质进行详细地说明。
第一方面,参照图1所示,为本申请实施例所提供的一种服务访问方法的实施流程图,应用于客户端,该方法可以包括以下步骤:
步骤S11:确定所述客户端的第一地址,所述第一地址为用于所述客户端访问互联网的IP地址。
在具体实施时,客户端可能被分配了多个IP地址(如公网或私网的IPv4地址、IPv6地址等),客户端可以根据当前所需进行服务访问的应用所支持的IP地址环境(如IPv4地址环境、IPv6地址环境),选择可正常访问互联网的对应IP地址环境下的IP地址作为该客户端的第一地址,以便后续与服务端在对应的IP地址环境下正常建立通信通道(即隧道)。
可选地,上述第一地址可以为IPv6地址。
可以理解的是,考虑到在IPv4地址环境下,因地址资源枯竭,网络接入环境大多使用动态地址或进行NAT44后提升地址复用。由于动态地址和NAT44的结构,导致大量中小企业和个人客户无法在现有网络环境下方便地构建对外服务。且使用DDNS和端口映射等方式实现服务对外提供,使得各类应用服务对外部署复杂,常常因DDNS设置或映射策略部署错误导致网络不通,原因排查困难。
故本申请实施例利用IPv6地址资源丰富的特点,结合目前IPv6已经规模部署的前提,采用客户端访问互联网的IPv6地址,以在IPv6地址环境中进行服务端与客户端之间的通信通道建立,不需要固定IP地址即可实现服务提供,便于后续加密通道的部署,同时避免了DDNS和端口映射策略的部署复杂导致的网络不通问题,且利用IPv6地址的海量可用地址特点,可以避免被扫描探测的风险,天然提升了服务端和客户端的网络安全。
作为一种可能的实施方式,客户端获取自身分配到的各个IPv6地址,通过互联网确认方式,从所述各个IPv6地址中确定用于所述客户端访问互联网的第二地址,根据所述第二地址,确定所述客户端的第一地址。
可以理解的是,考虑到客户端获取IPv6地址的方式存在多样化,有手动配置、无状态自动地址分配、有状态自动地址分配等分配方式。在不同的分配方式下,客户端获得的IPv6地址及前缀结果不同,为验证终端获得的各个IPv6地址在互联网上的可达性,客户端可以通过互联网确认方式以实现本机IPv6网络互通地址的确认。
在具体实施时,客户端可以访问互联网中的测试网站,该测试网站会告知客户端访问互联网所使用的IPv6地址,从而通过互联网确认方式知晓用于客户端访问互联网的IPv6地址(即第二地址)。在第二地址只有一个的情况下,客户端可将该第二地址作为自身的第一地址,在第二地址有多个的情况下,客户端可将任一第二地址作为自身的第一地址。
可选地,客户端可以利用多个测试网站获取自身访问互联网所使用的IPv6地址,并对比从该多个测试网站获取到的访问互联网所使用的IPv6地址是否一致,在获取到的IPv6地址一致的情况下,将该一致的IPv6地址确定为第一地址。
步骤S12:将包含所述第一地址的连接信息发送至服务端,以触发所述服务端向所述客户端发送反向连接请求。
其中,该连接信息还可以包含协议、端口等建立通信通道所需的客户端相关信息。
在具体实施时,服务端与客户端也可以预先约定建立通信通道所需的相关信息,此时具备服务访问需求的客户端可以将自身的第一地址直接作为连接信息发送至服务端,以触发服务端向该客户端发起反向连接。
作为一种可能的实施方式,客户端可以通过以下任一消息载体将包含所述第一地址的连接信息发送至所述服务端:邮件;静默用户数据报协议UDP消息;即时通信消息;云资源。
在具体实施时,客户端可以将连接信息作为邮件内容发送至服务端,也可以通过静默用户数据报协议(UDP,User Datagram Protocol)携带该连接信息,其中,静默UDP消息中的“静默”是指:服务端对该静默UDP消息不做回应,仅对消息做校验、解密和提取连接信息;客户端还可以通过即时通信消息(如短信、微信消息、QQ消息等)或云主机的云资源等消息载体将连接信息发送至服务端。客户端可以基于上述消息载体所实现的多种触发方式,触发服务端向该客户端主动发送反向连接请求,以便客户端根据该反向连接请求与该服务端建立通信通道,从而实现服务端不用向互联网开放服务端口而能向互联网上的客户端提供信息服务的能力。
步骤S13:根据所述反向连接请求,建立所述客户端与所述服务端之间的通信通道。
在具体实施时,服务端根据上述连接信息向客户端发起反向连接,并建立远程端口和本地端口的转发映射,客户端接受该服务端发起的远程反向连接,并映射本地端口至该服务端的端口,从而建立客户端与服务端之间的通信通道。
步骤S14:通过所述通信通道,访问所述服务端所提供的信息服务。
在具体实施时,客户端与服务端之间的通信通道完成建立后,客户端即可通过访问映射后的本地端口,直接访问服务端相应服务或转发至对应内部网络应用端口,从而在客户端与服务端之间实现了一种基于反向远程接入的安全便捷访问信息服务的方法。
可以理解的是,传统的服务器端需要向互联网开放服务端口,才能使客户端通过互联网访问信息服务;或者需要开放安全接入内网能力(VPN等方式)通过互联网接入内网后,才能访问内部网络资源。上述方式均需要服务端有固定IP,且需要向互联网开放服务端口接受来自互联网的接入访问请求,再进行鉴权处理,存在被互联网攻击的安全风险。而本申请实现了由客户端触发服务器主动连接该客户端以建立反向连接通道,服务端只向该客户端(即内网)提供信息服务,即仅提供接入互联网的访问能力(如IPv6访问能力)即可,不需要向互联网开放任何服务端口以供任意客户端访问,可以大幅降低互联网接入的安全风险。
针对面向互联网的服务安全保障要求,为提升服务端互联网暴露的安全,传统的服务访问方法需要投入大量的资金部署安全检测和防护设备,同时需要人员持续进行管控维护,以及时发现来自互联网的攻击并进行处置,对服务端口程序存在的漏洞进行修补,避免被攻击利用。而本申请由于不需要服务端向互联网开放服务端口(该服务端仅需向有服务访问需求的客户端临时开放服务端口),故无需投入大量资金部署安全检测防护设备,可以降低安全投入资金。
采用本申请实施例的技术方案,客户端通过触发服务端向该客户端发起反向连接以建立通信通道,从而将服务端主动对外提供信息服务的方式转换为被动对外提供信息服务的方式,服务端仅对触发了通信通道建立的客户端提供服务,无需主动对互联网开放自身的远程接入能力,可以大幅提升安全性,且可以降低对互联网暴露面进行安全防护所需的资金投入。
可选地,在一个实施例中,为提高服务访问的安全性,可以利用安全外壳(SSH,Secure SHell)在客户端与服务端之间建立加密通道。此时客户端将安装并开启自身的SSH服务,并根据接收到的反向连接请求,通过该SSH服务建立该客户端与服务端之间的加密通道,以支持各类应用通过该加密通道安全便捷地访问服务端或内网资源。
可选地,在一个实施例中,客户端在将上述连接信息发送至服务端之前,先获取该服务端的IP地址,部署用于允许该服务端的IP地址接入的安全策略,以在保证客户端的接入安全性的同时,保证被连接信息触发的服务端能够正常连接客户端。
可以理解的是,在服务端的IP地址固定的情况下,客户端仅需获取一次服务端的IP地址;在服务端的IP地址为动态地址(如家庭终端或企业的拨号接入)的情况下,由于服务端的IP地址是动态变化的,服务端可以将自身每次变更后的IP地址发送至所述客户端,和/或,客户端在每次与该服务端建立通信通道前先获取一次该服务端的IP地址,以部署用于允许最近一次获取到的服务端的IP地址接入的安全策略,从而与该服务端正常建立通信通道。
可选地,在一个实施例中,客户端可以将连接信息发送至目标平台,以使服务端从该目标平台中获取连接信息(如服务端可以定期从该目标平台中获取不同客户端的连接信息)。
在具体实施时,可以基于邮箱、即时通信服务(如QQ、微信或短信服务等)和云主机等方式搭建安全的信息沟通平台(即目标平台)以解决客户端与服务端之间为建立反向连接的信息沟通问题。
作为一种可能的实施方式,服务端将自身的IP地址发送至目标平台,以使客户端从目标平台中获取该服务端的IP地址。
其中,服务端可以通过以下任一消息载体将所述服务端的IP地址发送至所述客户端:邮件;静默用户数据报协议UDP消息;即时通信消息;云资源。
以基于邮箱搭建的目标平台为例,服务端会将携带自身的IP地址的邮件发送至目标平台,客户端在需要与服务端建立通信通道时,会先从目标平台中爬取携带了该服务端的IP地址的邮件,并向该目标平台发送携带连接信息的邮件,服务端再定期从目标平台中爬取待建立通信通道的各个客户端的连接信息,并根据该各个连接信息向各个客户端发送反向连接请求。
在该实施例中,目标平台可以用于客户端与服务端之间传递连接信息和服务端的IP地址等沟通信息。该目标平台可以根据实际需要,基于现有网络公用的信息服务平台(如邮箱、微信、QQ或短信)或者云主机进行搭建;也可以根据实际场景进行架构简化,如在服务端的IP地址固定的情况下,目标平台和该服务端可合设,客户端在自身的部分应用(如安全要求较高的应用)存在服务访问需求时,将连接信息直接发送至该服务端以触发通信通道的建立。
可以理解的是,在未搭建独立的目标平台的情况下,服务端与客户端之间也可以利用邮箱或即时通信软件实现相关沟通信息的传递。
作为一种可能的实施方式,为保证服务端与客户端之间传递的沟通信息的安全性,客户端和服务端可以对沟通信息进行加密传输。
例如,客户端可以将连接信息加密后(即加密连接信息)发送至目标平台进行存储,服务端定期从该目标平台中获取加密连接信息,并在解密该加密连接信息后,根据得到的连接信息向对应的客户端发起反向连接。服务端也可以将自身的IP地址加密后(即加密IP地址)发送至该目标平台进行存储,以便客户端在需要与该服务端建立通信通道时,从目标平台中获取该加密IP地址,并解密该加密地址以得到服务端的IP地址。
可以理解的是,本申请对上述沟通信息的加密方式不作限制,客户端和服务端可以灵活选择对称加密方式或非对称加密方式对上述连接信息或服务端的IP地址进行加密。
以下结合图2,对上述技术方案作进一步说明。如图2所示,本申请实施例提供了一种在IPv6网络环境下构建安全便捷的访问信息服务的方法,包括:
(1)准备阶段:客户端准备发起连接触发,从安全平台(即目标平台)获取服务器端可用的IPv6地址。
在具体实施时,服务端向安全平台上报自身的加密IPv6地址,客户端从安全平台中获取并解密得到服务端的IPv6地址。
可以理解的是,在服务端的IPv6地址固定的情况下,客户端通常已知服务端的IPv6地址,上述对服务端的IPv6地址的上报步骤和获取步骤可省略。
(2)触发阶段:客户端开启SSH服务,并部署安全策略仅允许服务器IPv6地址接入,客户端生成反向连接信息串(即连接信息)并加密发送至安全平台,服务器从安全平台中获取并解密得到反向连接信息串。
在具体实施时,客户端在确定服务端的IPv6地址之后,可以通过短信、安全邮箱、即时通信消息或云主机等上报方式向安全平台上报客户端加密后的IP地址、协议、开放端口等连接信息。服务端从安全平台中循坏采集加密连接信息,以检测需要进行反向连接的客户端的IPv6地址等连接信息。
(3)连接阶段:服务端在获取到连接信息后,即向客户端主动发起反向连接以建立加密通道。
在具体实施时,服务端根据连接信息向客户端发起反向SSH连接,建立SSH同时建立远程和本地端口转发映射。客户端接受服务器端的远程反向连接,并映射本地端口至服务器端口。
(4)访问阶段:客户端由加密通道访问服务器或内网资源。
在具体实施时,客户端通过访问映射后的本地端口,直接访问服务端的相应服务或转发至对应内部网络应用端口。
基于本申请实施例所提供的服务访问访问,可以实现在4G、5G无线接入,家庭宽带拨号接入,内部地址通过统一公网出口等多种场景下对服务器或内部网络的互通。
例如,针对现有网络维护管理安全要求,网管服务器及设备关闭了互联网接入并且严格限制了远程访问的范围。但是为应对极端情况下需要快速访问网管或网络设备的需求,仍需要利用互联网实现快速接入。而利用本申请实施例提供的基于IPv6建立反向加密通道的方法,可以安全便捷地实现远程维护管理应急通道。
本申请实施例所提供的服务访问方案成功试点于数据网络维护管理所使用的可信堡垒机上,解决了堡垒机需要向互联网暴露存在以实现远程接入的风险问题。堡垒机所在服务端采用了两种安全触发机制:一种是通过静默UDP消息触发;一种是定期刷新特定邮箱,通过邮件触发。
通过静默UDP消息触发:服务端接收到互联网发送的UDP消息,不做回应仅对消息做校验、解密、提取客户端地址信息,并主动发起向客户端的连接请求,客户端接收消息后建立加密通道以及本地端口映射,供各类应用通过本地端口接入,通过加密通道至服务端,实现远程访问。
通过邮件触发:利用Python脚本,服务器定期登陆邮件服务器刷新邮件,获取新邮件后进行邮件内容字符串的校验解密,之后的步骤与上述通过静默UDP消息触发的方式类似,服务端解密出客户端地址后,主动发起连接,同客户端建立加密通道并进行本地隧道端口映射,从而实现远程的加密访问。
在上述实施例中,本申请无需服务端向互联网开放端口,可以大幅提升安全性,降低对互联网暴露面进行安全防护所需资金投入,且采用IPv6地址环境可以天然提升安全性,不需要固定IPv4地址,部署更方便;可以结合SSH服务,利用python、C++等编程语言快速调用现成的各类插件,实现在IPv6网络下准备阶段信息的收集,触发阶段的多种方式的信息传递和验证,以及连接阶段的连接建立,使得编程及部署实现简单,应用灵活,同时利用SSH建立加密通道后,可承载各类应用信息的传递,对各类应用都有较好的承载适配性;考虑到相关技术一般使用DDNS方式实现服务器端的位置确定,需要申请域名实现动态地址的DNS解析,实现较为复杂,而本申请基于安全平台的选取,利用现有互联网邮件、即时消息平台等方式均可实现消息的互传,通过调用复杂的安全加密算法,可以根据自身应用需求,灵活的选取便捷隐蔽的方式构建安全平台,亦可实现多种平台的共存确保对服务端或内部访问的容灾保护,从而无需固定域名,实现灵活且可以提升稳定性和便捷性。
中小企业或行业应用服务可根据情况选用不同场景的安全平台,解决从互联网访问内部应用的安全风险,因为没有应用或服务端口向互联网暴露,不用向相关部门进行报备,提升了应用服务部署便捷。个人、家庭也可以搭建自己的私人保密信息服务,方便自己在全世界互联网范围内通过IPv6建立安全的访问通道,不用担心自己的服务器或应用被攻击或暴力破解。
第二方面,如图3所示,本申请实施例还提供了另一种服务访问方法,应用于服务端,该方法包括以下步骤:
步骤S21:获取包含第一地址的连接信息,所述第一地址为用于客户端访问互联网的IP地址;
步骤S22:根据所述连接信息,向所述客户端发送反向连接请求,以使所述客户端根据所述反向连接请求,建立所述客户端与所述服务端之间的通信通道,并通过所述通信通道,访问所述服务端所提供的信息服务。
采用本申请实施例的技术方案,客户端通过触发服务端向该客户端发起反向连接以建立通信通道,从而将服务端主动对外提供信息服务的方式转换为被动对外提供信息服务的方式,服务端仅对触发了通信通道建立的客户端提供服务,无需主动对互联网开放自身的远程接入能力,可以大幅提升安全性,且可以降低对互联网暴露面进行安全防护所需的资金投入。
作为一种可能的实施方式,根据所述连接信息,向所述客户端发送反向连接请求,包括:
向所述客户端发送反向安全外壳SSH连接请求,以使所述客户端根据所述反向安全外壳SSH连接请求,通过所述客户端的安全外壳SSH服务建立所述客户端与所述服务端之间的加密通道。
作为一种可能的实施方式,获取包含第一地址的连接信息,包括:
定期从目标平台中获取目标客户端的包含第一地址的连接信息,所述目标客户端为需要与所述服务端建立通信通道的客户端。
作为一种可能的实施方式,获取包含第一地址的连接信息,包括:
从目标平台中获取加密连接信息;
解密所述加密连接信息,得到所述包含第一地址的连接信息。
作为一种可能的实施方式,所述方法还包括:
将所述服务端的IP地址发送至所述客户端,以使所述客户端部署用于允许所述服务端的IP地址接入的安全策略。
作为一种可能的实施方式,通过以下任一消息载体将所述服务端的IP地址发送至所述客户端:
邮件;
静默用户数据报协议UDP消息;
即时通信消息;
云资源。
作为一种可能的实施方式,将所述服务端的IP地址发送至所述客户端,包括:
在所述服务端的IP地址为动态地址的情况下,将所述服务端每次变更后的IP地址发送至所述客户端。
作为一种可能的实施方式,将所述服务端每次变更后的IP地址发送至所述客户端,包括:
将所述服务端每次变更后的IP地址发送至目标平台,以使所述客户端从所述目标平台中获取所述服务端每次变更后的IP地址。
作为一种可能的实施方式,将所述服务端每次变更后的IP地址发送至目标平台,包括:
加密所述服务端每次变更后的IP地址;
将加密后的所述服务端每次变更后的IP地址发送至所述目标平台,以使所述客户端从所述目标平台中获取加密后的所述服务端每次变更后的IP地址。
对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请实施例并不受所描述的动作顺序的限制,因为依据本申请实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本申请实施例所必须的。
第三方面,图4是本申请实施例的一种服务访问装置的结构示意图,所述装置应用于客户端,包括:
第一处理模块,用于确定所述客户端的第一地址,所述第一地址为用于所述客户端访问互联网的IP地址;
第一发送模块,用于将包含所述第一地址的连接信息发送至服务端,以触发所述服务端向所述客户端发送反向连接请求;
第一建立模块,用于根据所述反向连接请求,建立所述客户端与所述服务端之间的通信通道;
第一访问模块,用于通过所述通信通道,访问所述服务端所提供的信息服务。
采用本申请实施例的技术方案,客户端通过触发服务端向该客户端发起反向连接以建立通信通道,从而将服务端主动对外提供信息服务的方式转换为被动对外提供信息服务的方式,服务端仅对触发了通信通道建立的客户端提供服务,无需主动对互联网开放自身的远程接入能力,可以大幅提升安全性,且可以降低对互联网暴露面进行安全防护所需的资金投入。
可选地,所述装置还包括:
第一开启模块,用于开启所述客户端的安全外壳SSH服务;
所述第一建立模块包括:
第一建立子模块,用于根据所述反向连接请求,通过所述安全外壳SSH服务建立所述客户端与所述服务端之间的加密通道。
可选地,所述第一发送模块包括:
第一发送子模块,用于通过以下任一消息载体将包含所述第一地址的连接信息发送至所述服务端:
邮件;
静默用户数据报协议UDP消息;
即时通信消息;
云资源。
可选地,所述第一发送模块包括:
第二发送子模块,用于将所述连接信息发送至目标平台,以使所述服务端从所述目标平台中获取所述连接信息。
可选地,所述第二发送子模块包括:
第一加密模块,用于加密所述连接信息;
第三发送子模块,用于将加密后的所述连接信息发送至所述目标平台,以使所述服务端从所述目标平台中获取加密后的所述连接信息。
可选地,所述装置还包括:
第一地址获取模块,用于获取所述服务端的IP地址;
第一策略部署模块,用于部署用于允许所述服务端的IP地址接入的安全策略。
可选地,所述第一地址获取模块包括:
第一地址获取子模块,用于在所述服务端的IP地址为动态地址的情况下,获取所述服务端的IP地址;
所述第一策略部署模块包括:
第一策略部署子模块,用于部署用于允许最近一次获取到的所述服务端的IP地址接入的安全策略。
可选地,所述第一地址获取子模块包括:
第二地址获取子模块,用于从目标平台中获取所述服务端的IP地址。
可选地,所述第二地址获取子模块包括:
第三地址获取子模块,从所述目标平台中获取所述服务端的加密IP地址;
第一解密模块,用于解密所述加密IP地址,得到所述服务端的IP地址。
可选地,所述第一处理模块包括:
第一处理子模块,用于获取所述客户端分配到的各个IPv6地址;
第二处理子模块,用于通过互联网确认方式,从所述各个IPv6地址中确定用于所述客户端访问互联网的第二地址;
第三处理子模块,用于根据所述第二地址,确定所述客户端的第一地址。
第四方面,图5是本申请实施例的另一种服务访问装置的结构示意图,所述装置应用于服务端,包括:
第一获取模块,用于获取包含第一地址的连接信息,所述第一地址为用于客户端访问互联网的IP地址;
第一请求模块,用于根据所述连接信息,向所述客户端发送反向连接请求,以使所述客户端根据所述反向连接请求,建立所述客户端与所述服务端之间的通信通道,并通过所述通信通道,访问所述服务端所提供的信息服务。
采用本申请实施例的技术方案,客户端通过触发服务端向该客户端发起反向连接以建立通信通道,从而将服务端主动对外提供信息服务的方式转换为被动对外提供信息服务的方式,服务端仅对触发了通信通道建立的客户端提供服务,无需主动对互联网开放自身的远程接入能力,可以大幅提升安全性,且可以降低对互联网暴露面进行安全防护所需的资金投入。
可选地,所述第一请求模块包括:
第一请求子模块,用于向所述客户端发送反向安全外壳SSH连接请求,以使所述客户端根据所述反向安全外壳SSH连接请求,通过所述客户端的安全外壳SSH服务建立所述客户端与所述服务端之间的加密通道。
可选地,所述第一获取模块包括:
第一获取子模块,用于定期从目标平台中获取目标客户端的包含第一地址的连接信息,所述目标客户端为需要与所述服务端建立通信通道的客户端。
可选地,所述第一获取模块包括:
第二获取子模块,用于从目标平台中获取加密连接信息;
第二解密模块,用于解密所述加密连接信息,得到所述包含第一地址的连接信息。
可选地,所述装置还包括:
第一地址发送模块,用于将所述服务端的IP地址发送至所述客户端,以使所述客户端部署用于允许所述服务端的IP地址接入的安全策略。
可选地,所述第一地址发送模块包括:
第一地址发送子模块,用于通过以下任一消息载体将所述服务端的IP地址发送至所述客户端:
邮件;
静默用户数据报协议UDP消息;
即时通信消息;
云资源。
可选地,所述第一地址发送模块包括:
第二地址发送子模块,用于在所述服务端的IP地址为动态地址的情况下,将所述服务端每次变更后的IP地址发送至所述客户端。
可选地,所述第二地址发送子模块包括:
第三地址发送子模块,用于将所述服务端每次变更后的IP地址发送至目标平台,以使所述客户端从所述目标平台中获取所述服务端每次变更后的IP地址。
可选地,所述第三地址发送子模块包括:
第二加密模块,用于加密所述服务端每次变更后的IP地址;
第四地址发送子模块,用于将加密后的所述服务端每次变更后的IP地址发送至所述目标平台,以使所述客户端从所述目标平台中获取加密后的所述服务端每次变更后的IP地址。
需要说明的是,装置实施例与方法实施例相近,故描述的较为简单,相关之处参见方法实施例即可。
本申请实施例还提供了一种电子设备,参照图6,图6是本申请实施例提出的电子设备的示意图。如图6所示,电子设备100包括:存储器110和处理器120,存储器110与处理器120之间通过总线通信连接,存储器110中存储有计算机程序,该计算机程序可在处理器120上运行,进而实现本申请实施例公开的服务访问方法中的步骤。
本申请实施例还提供了一种计算机可读存储介质,其上存储有计算机程序/指令,该计算机程序/指令被处理器执行时实现如本申请实施例公开的所述服务访问方法。
本申请实施例还提供了一种计算机程序产品,包括计算机程序/指令,该计算机程序/指令被处理器执行时实现如本申请实施例公开的所述服务访问方法。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本申请实施例的实施例可提供为方法、装置或计算机程序产品。因此,本申请实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请实施例是参照根据本申请实施例的方法、系统、设备、存储介质及程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
以上对本申请所提供的一种服务访问方法、装置及设备和介质,进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。

Claims (23)

1.一种服务访问方法,其特征在于,应用于客户端,所述方法包括:
确定所述客户端的第一地址,所述第一地址为用于所述客户端访问互联网的IP地址;
将包含所述第一地址的连接信息发送至服务端,以触发所述服务端向所述客户端发送反向连接请求;
根据所述反向连接请求,建立所述客户端与所述服务端之间的通信通道;
通过所述通信通道,访问所述服务端所提供的信息服务。
2.根据权利要求1所述的方法,其特征在于,将包含所述第一地址的连接信息发送至服务端之前,所述方法还包括:
开启所述客户端的安全外壳SSH服务;
根据所述反向连接请求,建立所述客户端与所述服务端之间的通信通道,包括:
根据所述反向连接请求,通过所述安全外壳SSH服务建立所述客户端与所述服务端之间的加密通道。
3.根据权利要求1所述的方法,其特征在于,通过以下任一消息载体将包含所述第一地址的连接信息发送至所述服务端:
邮件;
静默用户数据报协议UDP消息;
即时通信消息;
云资源。
4.根据权利要求1所述的方法,其特征在于,将包含所述第一地址的连接信息发送至服务端,包括:
将所述连接信息发送至目标平台,以使所述服务端从所述目标平台中获取所述连接信息。
5.根据权利要求4所述的方法,其特征在于,将所述连接信息发送至目标平台,包括:
加密所述连接信息;
将加密后的所述连接信息发送至所述目标平台,以使所述服务端从所述目标平台中获取加密后的所述连接信息。
6.根据权利要求1所述的方法,其特征在于,将包含所述第一地址的连接信息发送至服务端之前,所述方法还包括:
获取所述服务端的IP地址;
部署用于允许所述服务端的IP地址接入的安全策略。
7.根据权利要求6所述的方法,其特征在于,获取所述服务端的IP地址,包括:
在所述服务端的IP地址为动态地址的情况下,获取所述服务端的IP地址;
部署用于允许所述服务端的IP地址接入的安全策略,包括:
部署用于允许最近一次获取到的所述服务端的IP地址接入的安全策略。
8.根据权利要求7所述的方法,其特征在于,获取所述服务端的IP地址,包括:
从目标平台中获取所述服务端的IP地址。
9.根据权利要求8所述的方法,其特征在于,从目标平台中获取所述服务端的IP地址,包括:
从所述目标平台中获取所述服务端的加密IP地址;
解密所述加密IP地址,得到所述服务端的IP地址。
10.根据权利要求1-9任一所述的方法,其特征在于,确定所述客户端的第一地址,包括:
获取所述客户端分配到的各个IPv6地址;
通过互联网确认方式,从所述各个IPv6地址中确定用于所述客户端访问互联网的第二地址;
根据所述第二地址,确定所述客户端的第一地址。
11.一种服务访问方法,其特征在于,应用于服务端,所述方法包括:
获取包含第一地址的连接信息,所述第一地址为用于客户端访问互联网的IP地址;
根据所述连接信息,向所述客户端发送反向连接请求,以使所述客户端根据所述反向连接请求,建立所述客户端与所述服务端之间的通信通道,并通过所述通信通道,访问所述服务端所提供的信息服务。
12.根据权利要求11所述的方法,其特征在于,根据所述连接信息,向所述客户端发送反向连接请求,包括:
向所述客户端发送反向安全外壳SSH连接请求,以使所述客户端根据所述反向安全外壳SSH连接请求,通过所述客户端的安全外壳SSH服务建立所述客户端与所述服务端之间的加密通道。
13.根据权利要求11所述的方法,其特征在于,获取包含第一地址的连接信息,包括:
定期从目标平台中获取目标客户端的包含第一地址的连接信息,所述目标客户端为需要与所述服务端建立通信通道的客户端。
14.根据权利要求11所述的方法,其特征在于,获取包含第一地址的连接信息,包括:
从目标平台中获取加密连接信息;
解密所述加密连接信息,得到所述包含第一地址的连接信息。
15.根据权利要求11-14任一所述的方法,其特征在于,所述方法还包括:
将所述服务端的IP地址发送至所述客户端,以使所述客户端部署用于允许所述服务端的IP地址接入的安全策略。
16.根据权利要求15所述的方法,其特征在于,通过以下任一消息载体将所述服务端的IP地址发送至所述客户端:
邮件;
静默用户数据报协议UDP消息;
即时通信消息;
云资源。
17.根据权利要求15所述的方法,其特征在于,将所述服务端的IP地址发送至所述客户端,包括:
在所述服务端的IP地址为动态地址的情况下,将所述服务端每次变更后的IP地址发送至所述客户端。
18.根据权利要求17所述的方法,其特征在于,将所述服务端每次变更后的IP地址发送至所述客户端,包括:
将所述服务端每次变更后的IP地址发送至目标平台,以使所述客户端从所述目标平台中获取所述服务端每次变更后的IP地址。
19.根据权利要求18所述的方法,其特征在于,将所述服务端每次变更后的IP地址发送至目标平台,包括:
加密所述服务端每次变更后的IP地址;
将加密后的所述服务端每次变更后的IP地址发送至所述目标平台,以使所述客户端从所述目标平台中获取加密后的所述服务端每次变更后的IP地址。
20.一种服务访问装置,其特征在于,应用于客户端,所述装置包括:
第一处理模块,用于确定所述客户端的第一地址,所述第一地址为用于所述客户端访问互联网的IP地址;
第一发送模块,用于将包含所述第一地址的连接信息发送至服务端,以触发所述服务端向所述客户端发送反向连接请求;
第一建立模块,用于根据所述反向连接请求,建立所述客户端与所述服务端之间的通信通道;
第一访问模块,用于通过所述通信通道,访问所述服务端所提供的信息服务。
21.一种服务访问装置,其特征在于,应用于服务端,所述装置包括:
第一获取模块,用于获取包含第一地址的连接信息,所述第一地址为用于客户端访问互联网的IP地址;
第一请求模块,用于根据所述连接信息,向所述客户端发送反向连接请求,以使所述客户端根据所述反向连接请求,建立所述客户端与所述服务端之间的通信通道,并通过所述通信通道,访问所述服务端所提供的信息服务。
22.一种电子设备,包括存储器、处理器及存储在所述存储器上的计算机程序,其特征在于,所述处理器执行所述计算机程序以实现如权利要求1至10中任一项所述的服务访问方法,或者,所述处理器执行所述计算机程序以实现如权利要求11至19中任一项所述的服务访问方法。
23.一种计算机可读存储介质,其上存储有计算机程序/指令,其特征在于,该计算机程序/指令被处理器执行时实现如权利要求1至10中任一项所述的服务访问方法,或者,该计算机程序/指令被处理器执行时实现如权利要求11至19中任一项所述的服务访问方法。
CN202310708717.0A 2023-06-14 2023-06-14 一种服务访问方法、装置及设备和介质 Pending CN116846605A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310708717.0A CN116846605A (zh) 2023-06-14 2023-06-14 一种服务访问方法、装置及设备和介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310708717.0A CN116846605A (zh) 2023-06-14 2023-06-14 一种服务访问方法、装置及设备和介质

Publications (1)

Publication Number Publication Date
CN116846605A true CN116846605A (zh) 2023-10-03

Family

ID=88164511

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310708717.0A Pending CN116846605A (zh) 2023-06-14 2023-06-14 一种服务访问方法、装置及设备和介质

Country Status (1)

Country Link
CN (1) CN116846605A (zh)

Similar Documents

Publication Publication Date Title
US11647003B2 (en) Concealing internal applications that are accessed over a network
EP2790387B1 (en) Method and system for providing connectivity for an ssl/tls server behind a restrictive firewall or nat
US20200389437A1 (en) Methods and systems for establishing a connection between a first device and a second device across a software-defined perimeter
US9203807B2 (en) Private cloud server and client architecture without utilizing a routing server
US20140359704A1 (en) Private cloud routing server, private network service and smart device client architecture without utilizing a public cloud based routing server
US9781087B2 (en) Private and secure communication architecture without utilizing a public cloud based routing server
US20180375841A1 (en) Systems and methods for enterprise communications
MX2012015175A (es) Sistema y metodo para mensajeria segura en una red hibrida entre iguales.
WO2022247751A1 (zh) 远程访问应用的方法、系统、装置、设备及存储介质
CA2572401A1 (en) A method and systems for securing remote access to private networks
CN112997463A (zh) 用于跨公用互联网的服务器集群网络通信的系统和方法
CN113595847B (zh) 远程接入方法、系统、设备和介质
US9100369B1 (en) Secure reverse connectivity to private network servers
JP5864598B2 (ja) ユーザにサービスアクセスを提供する方法およびシステム
US10333977B1 (en) Deceiving an attacker who is harvesting credentials
CN110855700A (zh) 一种跨公网实现多云管控的安全认证方法
WO2019167057A1 (en) Relaying media content via a relay server system without decryption
CN112437100A (zh) 漏洞扫描方法及相关设备
WO2023020606A1 (zh) 一种隐藏源站的方法、系统、装置、设备及存储介质
CN111131448A (zh) ADSL Nat的运维管理的边缘管理方法及相关产品
CN105518693A (zh) 一种安全防护方法,及装置
CN113014680B (zh) 一种宽带接入的方法、装置、设备和存储介质
GB2528997A (en) Private cloud routing server, private network service and smart device client architecture without utilizing a public cloud based routing server
GB2496380A (en) Private cloud server and client architecture using e-mail/SMS to establish communication
CN116846605A (zh) 一种服务访问方法、装置及设备和介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination