CN117614751A - 内网访问方法及系统 - Google Patents
内网访问方法及系统 Download PDFInfo
- Publication number
- CN117614751A CN117614751A CN202410097669.0A CN202410097669A CN117614751A CN 117614751 A CN117614751 A CN 117614751A CN 202410097669 A CN202410097669 A CN 202410097669A CN 117614751 A CN117614751 A CN 117614751A
- Authority
- CN
- China
- Prior art keywords
- http
- service
- key
- encryption key
- symmetric encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 28
- 230000006854 communication Effects 0.000 claims abstract description 73
- 238000004891 communication Methods 0.000 claims abstract description 69
- 230000004044 response Effects 0.000 claims description 36
- 230000005540 biological transmission Effects 0.000 claims description 17
- 238000012544 monitoring process Methods 0.000 claims description 10
- 238000002955 isolation Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008092 positive effect Effects 0.000 description 1
- 230000008707 rearrangement Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Abstract
本发明实施例涉及安全通信技术领域,公开了一种内网访问方法及系统。该方法包括:每个部署于内网侧的HTTP代理服务以及部署于外网侧的HTTP转发服务基于预置的非对称密钥以及数据库的发布订阅模式协商得到各个HTTP代理服务与HTTP转发服务之间通信数据的对称加密密钥;每个HTTP代理服务预置有非对称密钥对中的私钥,HTTP转发服务预置有所有HTTP代理服务的私钥对应的公钥;HTTP转发服务与各个HTTP代理服务基于数据库的发布订阅模式以及对称加密密钥访问内网的HTTP服务,从而实现外部客户端能够安全地访问内网HTTP服务。
Description
技术领域
本发明实施例涉及安全通信技术领域,尤其涉及一种内网访问方法及系统。
背景技术
目前提供HTTP(Hypertext Transfer Protocol,超文本传输协议)访问的服务端使用公网IP对外暴露80/443端口,浏览器/客户端提出服务请求,服务端和客户端建立连接,则可以互相通信。由于安全限制或者无对外IP的条件,HTTP服务端无法对公网暴露80/443端口,导致外部无法调用内网HTTP服务。
发明内容
本发明实施例提供一种内网访问方法及系统,通过发布订阅模式,实现外部客户端能够安全地访问内网HTTP服务。
第一方面,本发明实施例提供了一种内网访问方法,应用于内网访问系统,所述内网访问系统包括:部署于内网的至少一HTTP代理服务、部署于外网的HTTP转发服务以及支持发布订阅模式的数据库,所述至少一HTTP代理服务以及所述HTTP转发服务均连接所述数据库;所述方法包括:
每个所述HTTP代理服务以及所述HTTP转发服务基于预置的非对称密钥以及所述数据库的发布订阅模式协商得到各个HTTP代理服务与所述HTTP转发服务之间通信数据的对称加密密钥;其中,每个所述HTTP代理服务预置有非对称密钥对中的私钥,所述HTTP转发服务预置有所有HTTP代理服务的私钥对应的公钥;
所述HTTP转发服务与各个所述HTTP代理服务基于所述数据库的发布订阅模式以及所述对称加密密钥访问所述内网的HTTP服务。
作为一个实施例,所述数据库为Redis,所述HTTP转发服务订阅Redis的对称密钥协商公共频道;
所述每个所述HTTP代理服务以及所述HTTP转发服务基于预置的非对称密钥以及所述数据库的发布订阅模式协商得到各个HTTP代理服务与所述HTTP转发服务之间通信数据的对称加密密钥,包括:
任一HTTP代理服务通知所述数据库生成用于接收协商对称密钥的临时频道,所述任一HTTP代理服务订阅所述用于接收协商对称密钥的临时频道并向所述对称密钥协商公共频道发送协商密钥请求;
所述HTTP转发服务监听所述对称密钥协商公共频道得到所述协商密钥请求后生成对称加密密钥,并采用所述任一HTTP代理服务的私钥对应的公钥对所述对称加密密钥加密,将加密的所述对称加密密钥发布至所述用于接收协商对称密钥的临时频道;
所述任一HTTP代理服务通过已经订阅的所述用于接收协商对称密钥的临时频道监听到加密的所述对称加密密钥后采用预置的私钥解密后得到所述任一HTTP代理服务与所述HTTP转发服务之间的对称加密密钥。
作为一个实施例,所述每个所述HTTP代理服务以及所述HTTP转发服务基于预置的非对称密钥以及所述数据库的发布订阅模式协商得到各个HTTP代理服务与所述HTTP转发服务之间通信数据的对称加密密钥,包括:每个所述HTTP代理服务按照预设更新周期进行协商得到对应的对称加密密钥。通信过程中定期使用非对称密钥协商对称加密密钥对,保证了数据传输的安全性。
作为一个实施例,所述每个所述HTTP代理服务以及所述HTTP转发服务基于预置的非对称密钥以及所述数据库的发布订阅模式协商得到各个HTTP代理服务与所述HTTP转发服务之间通信数据的对称加密密钥,包括:
每个所述HTTP代理服务根据所述HTTP代理服务与所述HTTP转发服务之间的通信频率确定密钥更新周期,并按照所述密钥更新周期进行协商得到对应的对称加密密钥。
作为一个实施例,所述HTTP转发服务以及所述HTTP代理服务基于所述数据库的发布订阅模式以及所述对称加密密钥访问所述内网的HTTP服务,包括:
所述HTTP转发服务接收到外网客户端的请求后,通知所述Redis生成临时通信频道,所述HTTP转发服务订阅所述临时通信频道并采用目标HTTP代理服务的对称加密密钥对所述请求的请求数据以及所述临时通信频道的信息加密得到加密访问请求,并将所述加密访问请求发布至所述Redis的数据传输专用频道;
所述目标HTTP代理服务监听订阅的数据传输专用频道得到所述加密访问请求后,采用对称加密密钥解密后得到所述请求的请求数据,将所述请求数据转发至所述内网的HTTP服务后得到响应结果,然后将所述响应结果采用对称加密密钥加密后发布至所述临时通信频道;
所述HTTP转发服务通过已经订阅的所述临时通信频道监听得到加密的所述响应结果后,采用所述目标HTTP代理服务的对称加密密钥解密,并将解密后的所述响应结果返回所述客户端。
第二方面,本发明实施例还提供了一种内网访问系统,包括:部署于内网的至少一HTTP代理服务、部署于外网的HTTP转发服务以及支持发布订阅模式的数据库,所述至少一HTTP代理服务以及所述HTTP转发服务均与所述数据库相连;
每个所述HTTP代理服务以及所述HTTP转发服务用于基于预置的非对称密钥以及所述数据库的发布订阅模式协商得到各个HTTP代理服务与所述HTTP转发服务之间通信数据的对称加密密钥;其中,每个所述HTTP代理服务预置有非对称密钥对中的私钥,所述HTTP转发服务预置有所有HTTP代理服务的私钥对应的公钥;
所述HTTP转发服务与各个所述HTTP代理服务用于基于所述数据库的发布订阅模式以及所述对称加密密钥访问所述内网的HTTP服务。
作为一个实施例,所述数据库为Redis,所述HTTP转发服务订阅Redis的对称密钥协商公共频道;
任一HTTP代理服务用于通知所述数据库生成用于接收协商对称密钥的临时频道,所述任一HTTP代理服务订阅所述用于接收协商对称密钥的临时频道并向所述对称密钥协商公共频道发送协商密钥请求;
所述HTTP转发服务用于监听所述对称密钥协商公共频道得到所述协商密钥请求后生成对称加密密钥,并采用所述任一HTTP代理服务的私钥对应的公钥对所述对称加密密钥加密,将加密的所述对称加密密钥发布至所述用于接收协商对称密钥的临时频道;
所述任一HTTP代理服务用于通过已经订阅的所述用于接收协商对称密钥的临时频道监听到加密的所述对称加密密钥后采用预置的私钥解密后得到所述任一HTTP代理服务与所述HTTP转发服务之间的对称加密密钥。
作为一个实施例,包括:
每个所述HTTP代理服务以及所述HTTP转发服务用于按照预设更新周期进行协商得到对应的对称加密密钥。
作为一个实施例,包括:每个所述HTTP代理服务用于根据所述HTTP代理服务与所述HTTP转发服务之间的通信频率确定密钥更新周期,并按照所述密钥更新周期进行协商得到对应的对称加密密钥。
作为一个实施例,包括:
所述HTTP转发服务用于接收到外网客户端的请求后,通知所述Redis生成临时通信频道,所述HTTP转发服务订阅所述临时通信频道并采用目标HTTP代理服务的对称加密密钥对所述请求的请求数据以及所述临时通信频道的信息加密得到加密访问请求,并将所述加密访问请求发布至所述Redis的数据传输专用频道;
所述目标HTTP代理服务还用于监听订阅的数据传输专用频道得到所述加密访问请求后,采用对称加密密钥解密后得到所述请求的请求数据,将所述请求数据转发至所述内网的HTTP服务后得到响应结果,然后将所述响应结果采用对称加密密钥加密后发布至所述临时通信频道;
所述HTTP转发服务还用于通过已经订阅的所述临时通信频道监听得到加密的所述响应结果后,采用所述目标HTTP代理服务的对称加密密钥解密,并将解密后的所述响应结果返回所述客户端。
本发明实施例提供的技术方案与现有技术相比至少具备以下积极效果:
本发明实施例在内网侧部署HTTP代理服务,在外网侧部署HTTP转发服务以及支持发布订阅模式的数据库的基础上,通过HTTP代理服务以及HTTP转发服务基于数据库的发布订阅模式以及预置的非对称密钥协商得到各个HTTP代理服务与HTTP转发服务之间通信数据的对称加密密钥;HTTP转发服务以及HTTP代理服务基于发布订阅模式以及对称加密密钥访问内网的HTTP服务,实现了内网HTTP无法对外暴露80/443端口的情况下的对外访问,且通信过程中通过对称密钥加解密数据,提高了网络的安全可靠性;同时各HTTP代理服务以及HTTP转发服务分别存储服务端与客户端的一对公私密钥证书,确保不同区域的内网HTTP服务安全隔离。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图做一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一提供的内网访问方法的流程示意图。
图2为本发明实施例一提供的内网访问方法的对称加密密钥协商流程示意图。
图3为本发明实施例一提供的内网访问方法的通信流程示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
图1为本发明实施例一提供的内网访问方法的流程示意图,适用于无公网IP的内网对外提供安全HTTP访问。该方法应用于内网访问系统,内网访问系统包括:部署于内网的至少一HTTP代理服务、部署于外网的HTTP转发服务以及支持发布-订阅模式的数据库,至少一HTTP代理服务以及HTTP转发服务均连接数据库。本发明实施例具体包括如下步骤:
步骤102:每个HTTP代理服务以及HTTP转发服务基于预置的非对称密钥以及数据库的发布订阅模式协商得到各个HTTP代理服务与HTTP转发服务之间通信数据的对称加密密钥。
其中,每个HTTP代理服务预置有非对称密钥对中的私钥,HTTP转发服务预置有所有HTTP代理服务的私钥对应的公钥。非对称公钥、非对称私钥用于HTTP转发服务和HTTP代理服务之间协商通信数据的对称加密密钥,可有效的防止数据在网络传输过程中被窃取和篡改。且每个HTTP代理服务具有独立的私钥,可确保不同区域的内网HTTP服务安全隔离。
HTTP代理服务和HTTP转发服务与数据库连接后基于数据库的发布订阅模式进行通信协商对称加密密钥,协商过程采用非对称密钥对协商得到的对称加密密钥进行加解密,确保对称加密密钥的安全性。可以理解的是,每个HTTP代理服务均预置有非对称密钥对中的私钥,而HTTP转发服务则预置所有HTTP代理服务的私钥对应的公钥。
步骤104:HTTP转发服务以及HTTP代理服务基于数据库的发布订阅模式以及对称加密密钥访问内网的HTTP服务。
对称加密密钥协商成功后,HTTP转发服务通知数据库生成临时通信频道并订阅该临时通信频道,HTTP转发服务通过数据库的数据传输专用频道发布客户端的请求,HTTP代理服务可以通过监听订阅的数据传输专用频道获悉客户端的请求以及临时通信频道的信息,然后将请求转发内网HTTP服务得到响应结果后发布至临时通信频道,使得HTTP转发服务可以监听到响应结果,并返回客户端,且HTTP转发服务和HTTP代理服务的通信数据均可采用对称加密密钥加密,保证内网访问的安全性。
如图2所示的协商对称加密密钥的流程图,内网的各个HTTP代理服务的任一HTTP代理服务以及HTTP转发服务基于预置的非对称密钥以及数据库的发布订阅模式协商得到该任一HTTP代理服务与HTTP转发服务之间通信数据的对称加密密钥包括如下操作:
步骤210:任一HTTP代理服务通知数据库生成用于接收协商对称密钥的临时频道,任一HTTP代理服务订阅用于接收协商对称密钥的临时频道并向对称密钥协商公共频道发送协商密钥请求。
每个HTTP代理服务启动后,与外网Redis建立连接,同时订阅数据传输专用频道(例如:ChannelHTTPServerA)。HTTP转发服务启动后,与外网Redis建立连接,订阅对称密钥协商公共频道,对称密钥协商公共频道(例如:ChannelNegotiateKey)。Redis创建频道的方法为公知技术,此处不再赘述。
HTTP代理服务发送的协商密钥请求的数据包结构体格式示例如下:
步骤220:HTTP转发服务监听对称密钥协商公共频道得到协商密钥请求后生成对称加密密钥,并采用任一HTTP代理服务的私钥对应的公钥对对称加密密钥加密,将加密的对称加密密钥发布至用于接收协商对称密钥的临时频道。
HTTP转发服务可生成AES对称加密密钥,采用PrivateKeyName对应的公钥对AES对称加密密钥加密后发布至用于接收协商对称密钥的临时频道,对称加密密钥数据包的数据格式示例如下:
步骤230:任一HTTP代理服务通过已经订阅的用于接收协商对称密钥的临时频道监听到加密的对称加密密钥后采用预置的私钥解密后得到任一HTTP代理服务与HTTP转发服务之间的对称加密密钥。
HTTP代理服务将采用本地存储的私钥解密后的对称加密密钥存储在内存中,用于后续通信数据的加、解密。
通过步骤210~230使得每个HTTP代理服务均与HTTP转发服务协商得到了对应的对称加密密钥。
为了进一步提高安全性,每个HTTP代理服务以及HTTP转发服务按照预设更新周期进行协商得到对应的对称加密密钥。即定期更新HTTP转发服务器和每个HTTP代理服务之间的对称加密密钥,防止密钥被盗造成的数据泄露风险。预设更新周期可以根据实际安全需求设定,例如可以为5分钟或者10分钟等,在此不做具体限制。
需要说明的是,每个HTTP代理服务还根据HTTP代理服务与HTTP转发服务之间的通信频率确定密钥更新周期,并按照密钥更新周期进行协商得到对应的对称加密密钥。HTTP代理服务可以统计其与HTTP转发服务之间的通信频率,并根据通信频率的高低确定密钥更新周期,通信频率越高,密钥更新周期越小,反之,通信频率越低,密钥更新周期越大,使得密钥更新频次与实际加密需求相适应。
如图3所示,HTTP转发服务与各个HTTP代理服务基于数据库的发布订阅模式以及对称加密密钥访问内网的HTTP服务具体可包括如下操作:
步骤310:HTTP转发服务接收到外网客户端的请求后,通知Redis生成临时通信频道,HTTP转发服务订阅临时通信频道并采用目标HTTP代理服务的对称加密密钥对请求的请求数据以及临时通信频道的信息加密得到加密访问请求,并将加密访问请求发布至数据传输专用频道。
HTTP代理服务可根据临时通信频道的信息将响应结果发送到对应的临时通信频道。
访问请求数据包的数据格式示例如下:
步骤320:目标HTTP代理服务监听订阅的数据传输专用频道得到加密访问请求后,采用对称加密密钥解密后得到请求的请求数据,将请求数据转发至内网的HTTP服务后得到响应结果,然后将响应结果采用对称加密密钥加密后发布至临时通信频道。
步骤330:HTTP转发服务通过已经订阅的临时通信频道监听得到加密的响应结果后,采用目标HTTP代理服务的对称加密密钥解密,并将解密后的响应结果返回客户端。响应结果数据包的数据格式示例如下:
通过步骤310~330实现了客户端对内网HTTP服务的访问。
本发明实施例的内网访问方法与现有技术相比,通过部署于内网侧的HTTP代理服务以及部署于外网侧的HTTP转发服务基于数据库的发布订阅模式以及预置的非对称密钥协商得到各个HTTP代理服务与HTTP转发服务之间通信数据的对称加密密钥;HTTP转发服务以及HTTP代理服务基于发布订阅模式以及对称加密密钥访问内网的HTTP服务,实现了内网HTTP无法对外暴露80/443端口的情况下的对外访问,且通信过程中通过对称密钥加解密数据,提高了网络的安全可靠性;同时各HTTP代理服务以及HTTP转发服务分别存储服务端与客户端的一对公私密钥证书,确保不同区域的内网HTTP服务安全隔离。
本发明实施例二提供一种内网访问系统。该内网访问系统包括:部署于内网的至少一HTTP代理服务、部署于外网的HTTP转发服务以及支持发布订阅模式的数据库,至少一HTTP代理服务以及HTTP转发服务均与数据库相连。
每个HTTP代理服务以及HTTP转发服务用于基于预置的非对称密钥以及数据库的发布订阅模式协商得到各个HTTP代理服务与HTTP转发服务之间通信数据的对称加密密钥;其中,每个HTTP代理服务预置有非对称密钥对中的私钥,HTTP转发服务预置有所有HTTP代理服务的私钥对应的公钥;HTTP转发服务与各个所述HTTP代理服务用于基于数据库的发布订阅模式以及对称加密密钥访问内网的HTTP服务。
可选地,数据库可以为Redis,HTTP转发服务订阅Redis的对称密钥协商公共频道;任一HTTP代理服务用于通知数据库生成用于接收协商对称密钥的临时频道,任一HTTP代理服务订阅用于接收协商对称密钥的临时频道并向对称密钥协商公共频道发送协商密钥请求;HTTP转发服务用于监听对称密钥协商公共频道得到协商密钥请求后生成对称加密密钥,并采用任一HTTP代理服务的私钥对应的公钥对对称加密密钥加密,将加密的对称加密密钥发布至用于接收协商对称密钥的临时频道;任一HTTP代理服务用于通过已经订阅的用于接收协商对称密钥的临时频道监听到加密的对称加密密钥后采用预置的私钥解密后得到任一HTTP代理服务与HTTP转发服务之间的对称加密密钥。
可选地,每个HTTP代理服务以及HTTP转发服务用于按照预设更新周期进行协商得到对应的对称加密密钥。
可选地,每个所述HTTP代理服务用于根据所述HTTP代理服务与所述HTTP转发服务之间的通信频率确定密钥更新周期,并按照所述密钥更新周期进行协商得到对应的对称加密密钥。
可选地,HTTP转发服务用于接收到外网客户端的请求后,通知Redis生成临时通信频道,HTTP转发服务订阅临时通信频道并采用目标HTTP代理服务的对称加密密钥对请求的请求数据以及临时通信频道的信息加密得到加密访问请求,并将加密访问请求发布至Redis的数据传输专用频道;目标HTTP代理服务还用于监听订阅的数据传输专用频道得到加密访问请求后,采用对称加密密钥解密后得到请求的请求数据,将请求数据转发至内网的HTTP服务后得到响应结果,然后将响应结果采用对称加密密钥加密后发布至临时通信频道;HTTP转发服务还用于通过已经订阅的临时通信频道监听得到加密的响应结果后,采用目标HTTP代理服务的对称加密密钥解密,并将解密后的响应结果返回客户端。
本发明实施例的内网访问系统与现有技术相比,通过部署于内网侧的HTTP代理服务以及部署于外网侧的HTTP转发服务基于数据库的发布订阅模式以及预置的非对称密钥协商得到各个HTTP代理服务与HTTP转发服务之间通信数据的对称加密密钥;HTTP转发服务以及HTTP代理服务基于发布订阅模式以及对称加密密钥访问内网的HTTP服务,实现了内网HTTP无法对外暴露80/443端口的情况下的对外访问,且通信过程中通过对称密钥加解密数据,提高了网络的安全可靠性;同时各HTTP代理服务以及HTTP转发服务分别存储服务端与客户端的一对公私密钥证书,确保不同区域的内网HTTP服务安全隔离。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网格设备等)执行本发明各个实施例所述的方法。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (10)
1.一种内网访问方法,其特征在于,应用于内网访问系统,所述内网访问系统包括:部署于内网的至少一HTTP代理服务、部署于外网的HTTP转发服务以及支持发布订阅模式的数据库,所述至少一HTTP代理服务以及所述HTTP转发服务均连接所述数据库;所述方法包括:
每个所述HTTP代理服务以及所述HTTP转发服务基于预置的非对称密钥以及所述数据库的发布订阅模式协商得到各个HTTP代理服务与所述HTTP转发服务之间通信数据的对称加密密钥;其中,每个所述HTTP代理服务预置有非对称密钥对中的私钥,所述HTTP转发服务预置有所有HTTP代理服务的私钥对应的公钥;
所述HTTP转发服务与各个所述HTTP代理服务基于所述数据库的发布订阅模式以及所述对称加密密钥访问所述内网的HTTP服务。
2.根据权利要求1所述的内网访问方法,其特征在于,所述数据库为Redis,所述HTTP转发服务订阅Redis的对称密钥协商公共频道;
所述每个所述HTTP代理服务以及所述HTTP转发服务基于预置的非对称密钥以及所述数据库的发布订阅模式协商得到各个HTTP代理服务与所述HTTP转发服务之间通信数据的对称加密密钥,包括:
任一HTTP代理服务通知所述数据库生成用于接收协商对称密钥的临时频道,所述任一HTTP代理服务订阅所述用于接收协商对称密钥的临时频道并向所述对称密钥协商公共频道发送协商密钥请求;
所述HTTP转发服务监听所述对称密钥协商公共频道得到所述协商密钥请求后生成对称加密密钥,并采用所述任一HTTP代理服务的私钥对应的公钥对所述对称加密密钥加密,将加密的所述对称加密密钥发布至所述用于接收协商对称密钥的临时频道;
所述任一HTTP代理服务通过已经订阅的所述用于接收协商对称密钥的临时频道监听到加密的所述对称加密密钥后采用预置的私钥解密后得到所述任一HTTP代理服务与所述HTTP转发服务之间的对称加密密钥。
3.根据权利要求2所述的内网访问方法,其特征在于,所述每个所述HTTP代理服务以及所述HTTP转发服务基于预置的非对称密钥以及所述数据库的发布订阅模式协商得到各个HTTP代理服务与所述HTTP转发服务之间通信数据的对称加密密钥,包括:
每个所述HTTP代理服务以及所述HTTP转发服务按照预设更新周期进行协商得到对应的对称加密密钥。
4.根据权利要求2所述的内网访问方法,其特征在于,所述每个所述HTTP代理服务以及所述HTTP转发服务基于预置的非对称密钥以及所述数据库的发布订阅模式协商得到各个HTTP代理服务与所述HTTP转发服务之间通信数据的对称加密密钥,包括:
每个所述HTTP代理服务根据所述HTTP代理服务与所述HTTP转发服务之间的通信频率确定密钥更新周期,并按照所述密钥更新周期进行协商得到对应的对称加密密钥。
5.根据权利要求2所述的内网访问方法,其特征在于,所述HTTP转发服务以及所述HTTP代理服务基于所述数据库的发布订阅模式以及所述对称加密密钥访问所述内网的HTTP服务,包括:
所述HTTP转发服务接收到外网客户端的请求后,通知所述Redis生成临时通信频道,所述HTTP转发服务订阅所述临时通信频道并采用目标HTTP代理服务的对称加密密钥对所述请求的请求数据以及所述临时通信频道的信息加密得到加密访问请求,并将所述加密访问请求发布至所述Redis的数据传输专用频道;
所述目标HTTP代理服务监听订阅的数据传输专用频道得到所述加密访问请求后,采用对称加密密钥解密后得到所述请求的请求数据,将所述请求数据转发至所述内网的HTTP服务后得到响应结果,然后将所述响应结果采用对称加密密钥加密后发布至所述临时通信频道;
所述HTTP转发服务通过已经订阅的所述临时通信频道监听得到加密的所述响应结果后,采用所述目标HTTP代理服务的对称加密密钥解密,并将解密后的所述响应结果返回所述客户端。
6.一种内网访问系统,其特征在于,包括:部署于内网的至少一HTTP代理服务、部署于外网的HTTP转发服务以及支持发布订阅模式的数据库,所述至少一HTTP代理服务以及所述HTTP转发服务均与所述数据库相连;
每个所述HTTP代理服务以及所述HTTP转发服务用于基于预置的非对称密钥以及所述数据库的发布订阅模式协商得到各个HTTP代理服务与所述HTTP转发服务之间通信数据的对称加密密钥;其中,每个所述HTTP代理服务预置有非对称密钥对中的私钥,所述HTTP转发服务预置有所有HTTP代理服务的私钥对应的公钥;
所述HTTP转发服务与各个所述HTTP代理服务用于基于所述数据库的发布订阅模式以及所述对称加密密钥访问所述内网的HTTP服务。
7.根据权利要求6所述的内网访问系统,其特征在于,所述数据库为Redis,所述HTTP转发服务订阅Redis的对称密钥协商公共频道;
任一HTTP代理服务用于通知所述数据库生成用于接收协商对称密钥的临时频道,所述任一HTTP代理服务订阅所述用于接收协商对称密钥的临时频道并向所述对称密钥协商公共频道发送协商密钥请求;
所述HTTP转发服务用于监听所述对称密钥协商公共频道得到所述协商密钥请求后生成对称加密密钥,并采用所述任一HTTP代理服务的私钥对应的公钥对所述对称加密密钥加密,将加密的所述对称加密密钥发布至所述用于接收协商对称密钥的临时频道;
所述任一HTTP代理服务用于通过已经订阅的所述用于接收协商对称密钥的临时频道监听到加密的所述对称加密密钥后采用预置的私钥解密后得到所述任一HTTP代理服务与所述HTTP转发服务之间的对称加密密钥。
8.根据权利要求7所述的内网访问系统,其特征在于,每个所述HTTP代理服务以及所述HTTP转发服务用于按照预设更新周期进行协商得到对应的对称加密密钥。
9.根据权利要求7所述的内网访问系统,其特征在于,每个所述HTTP代理服务用于根据所述HTTP代理服务与所述HTTP转发服务之间的通信频率确定密钥更新周期,并按照所述密钥更新周期进行协商得到对应的对称加密密钥。
10.根据权利要求7所述的内网访问系统,其特征在于,所述HTTP转发服务用于接收到外网客户端的请求后,通知所述Redis生成临时通信频道,所述HTTP转发服务订阅所述临时通信频道并采用目标HTTP代理服务的对称加密密钥对所述请求的请求数据以及所述临时通信频道的信息加密得到加密访问请求,并将所述加密访问请求发布至所述Redis的数据传输专用频道;
所述目标HTTP代理服务还用于监听订阅的数据传输专用频道得到所述加密访问请求后,采用对称加密密钥解密后得到所述请求的请求数据,将所述请求数据转发至所述内网的HTTP服务后得到响应结果,然后将所述响应结果采用对称加密密钥加密后发布至所述临时通信频道;
所述HTTP转发服务还用于通过已经订阅的所述临时通信频道监听得到加密的所述响应结果后,采用所述目标HTTP代理服务的对称加密密钥解密,并将解密后的所述响应结果返回所述客户端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410097669.0A CN117614751B (zh) | 2024-01-24 | 2024-01-24 | 内网访问方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410097669.0A CN117614751B (zh) | 2024-01-24 | 2024-01-24 | 内网访问方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117614751A true CN117614751A (zh) | 2024-02-27 |
| CN117614751B CN117614751B (zh) | 2024-04-02 |
Family
ID=89946622
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410097669.0A Active CN117614751B (zh) | 2024-01-24 | 2024-01-24 | 内网访问方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117614751B (zh) |
Citations (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6233618B1 (en) * | 1998-03-31 | 2001-05-15 | Content Advisor, Inc. | Access control of networked data |
| US20020078371A1 (en) * | 2000-08-17 | 2002-06-20 | Sun Microsystems, Inc. | User Access system using proxies for accessing a network |
| US20130227291A1 (en) * | 2012-02-26 | 2013-08-29 | Ali K. Ahmed | Methods and apparatuses for secure communication |
| US20140259094A1 (en) * | 2013-03-06 | 2014-09-11 | Netscope, Inc. | Security for network delivered services |
| CN107040369A (zh) * | 2016-10-26 | 2017-08-11 | 阿里巴巴集团控股有限公司 | 数据传输方法、装置及系统 |
| CN107800621A (zh) * | 2017-11-14 | 2018-03-13 | 宁波钧飞智能科技有限公司 | 一种支持多种接入协议的新型智能家居网关 |
| WO2018208787A1 (en) * | 2017-05-08 | 2018-11-15 | ZeroDB, Inc. | High-performance access management and data protection for distributed messaging applications |
| CN110543525A (zh) * | 2019-09-10 | 2019-12-06 | 腾讯科技(深圳)有限公司 | 区块链网络的管控方法、装置、设备及存储介质 |
| CN111600936A (zh) * | 2020-04-24 | 2020-08-28 | 国电南瑞科技股份有限公司 | 一种适用于泛在电力物联网边缘终端的基于多容器的非对称处理系统 |
| CN111865939A (zh) * | 2020-07-02 | 2020-10-30 | 上海缔安科技股份有限公司 | 一种点对点国密隧道建立方法及装置 |
| CN113810270A (zh) * | 2021-08-12 | 2021-12-17 | 宁波普瑞均胜汽车电子有限公司 | 一种实现车载控制器局域网soa化的方法及装置 |
| CN113992352A (zh) * | 2021-09-27 | 2022-01-28 | 青岛海尔科技有限公司 | 一种消息推送方法、装置、电子设备及存储介质 |
| CN114143082A (zh) * | 2021-11-30 | 2022-03-04 | 北京天融信网络安全技术有限公司 | 一种加密通信方法、系统及装置 |
| CN114978683A (zh) * | 2022-05-20 | 2022-08-30 | 深圳市艾迪思特信息技术有限公司 | 一种基于mqtt协议的反向代理系统 |
| CN115567251A (zh) * | 2022-09-01 | 2023-01-03 | 交控科技股份有限公司 | 用于微服务集群的多业务隔离方法及系统 |
| CN117319093A (zh) * | 2023-11-30 | 2023-12-29 | 国网江苏省电力有限公司 | 一种基于隔离装置的数据访问服务方法 |
| CN117395077A (zh) * | 2023-12-04 | 2024-01-12 | 中国建设银行股份有限公司 | 访问请求的加密处理方法、装置、计算机设备及存储介质 |
-
2024
- 2024-01-24 CN CN202410097669.0A patent/CN117614751B/zh active Active
Patent Citations (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6233618B1 (en) * | 1998-03-31 | 2001-05-15 | Content Advisor, Inc. | Access control of networked data |
| US20020078371A1 (en) * | 2000-08-17 | 2002-06-20 | Sun Microsystems, Inc. | User Access system using proxies for accessing a network |
| US20130227291A1 (en) * | 2012-02-26 | 2013-08-29 | Ali K. Ahmed | Methods and apparatuses for secure communication |
| US20140259094A1 (en) * | 2013-03-06 | 2014-09-11 | Netscope, Inc. | Security for network delivered services |
| CN107040369A (zh) * | 2016-10-26 | 2017-08-11 | 阿里巴巴集团控股有限公司 | 数据传输方法、装置及系统 |
| WO2018208787A1 (en) * | 2017-05-08 | 2018-11-15 | ZeroDB, Inc. | High-performance access management and data protection for distributed messaging applications |
| CN107800621A (zh) * | 2017-11-14 | 2018-03-13 | 宁波钧飞智能科技有限公司 | 一种支持多种接入协议的新型智能家居网关 |
| CN110543525A (zh) * | 2019-09-10 | 2019-12-06 | 腾讯科技(深圳)有限公司 | 区块链网络的管控方法、装置、设备及存储介质 |
| CN111600936A (zh) * | 2020-04-24 | 2020-08-28 | 国电南瑞科技股份有限公司 | 一种适用于泛在电力物联网边缘终端的基于多容器的非对称处理系统 |
| CN111865939A (zh) * | 2020-07-02 | 2020-10-30 | 上海缔安科技股份有限公司 | 一种点对点国密隧道建立方法及装置 |
| CN113810270A (zh) * | 2021-08-12 | 2021-12-17 | 宁波普瑞均胜汽车电子有限公司 | 一种实现车载控制器局域网soa化的方法及装置 |
| CN113992352A (zh) * | 2021-09-27 | 2022-01-28 | 青岛海尔科技有限公司 | 一种消息推送方法、装置、电子设备及存储介质 |
| CN114143082A (zh) * | 2021-11-30 | 2022-03-04 | 北京天融信网络安全技术有限公司 | 一种加密通信方法、系统及装置 |
| CN114978683A (zh) * | 2022-05-20 | 2022-08-30 | 深圳市艾迪思特信息技术有限公司 | 一种基于mqtt协议的反向代理系统 |
| CN115567251A (zh) * | 2022-09-01 | 2023-01-03 | 交控科技股份有限公司 | 用于微服务集群的多业务隔离方法及系统 |
| CN117319093A (zh) * | 2023-11-30 | 2023-12-29 | 国网江苏省电力有限公司 | 一种基于隔离装置的数据访问服务方法 |
| CN117395077A (zh) * | 2023-12-04 | 2024-01-12 | 中国建设银行股份有限公司 | 访问请求的加密处理方法、装置、计算机设备及存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| 薛建;曲守宁;: "互联网出口网关在校园网中的部署研究", 中国教育信息化, no. 13, 5 July 2015 (2015-07-05) * |
| 邹吉昌;段斌;李晶;: "基于内容的发布/订阅系统安全框架设计", 计算机工程与设计, no. 19, 16 October 2008 (2008-10-16) * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117614751B (zh) | 2024-04-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11477037B2 (en) | Providing forward secrecy in a terminating SSL/TLS connection proxy using ephemeral Diffie-Hellman key exchange | |
| JP5106682B2 (ja) | マシン・ツー・マシン通信のための方法及び装置 | |
| JP4959750B2 (ja) | トランスコーディング・プロキシでの複数の起点サーバへの動的接続 | |
| EP3432523B1 (en) | Method and system for connecting a terminal to a virtual private network | |
| EP1811744B1 (en) | Method, system and centre for authenticating in End-to-End communications based on a mobile network | |
| US20040161110A1 (en) | Server apparatus, key management apparatus, and encrypted communication method | |
| US20070074282A1 (en) | Distributed SSL processing | |
| WO2022111102A1 (zh) | 建立安全连接的方法、系统、装置、电子设备和机器可读存储介质 | |
| KR20130140873A (ko) | 공개키에 의존하는 키 관리를 위한 보안 연계의 발견 | |
| EP2269366B1 (en) | Home network controlling apparatus and method to obtain encryped control information | |
| CN114143050B (zh) | 一种视频数据加密系统 | |
| WO2016134631A1 (zh) | 一种OpenFlow报文的处理方法及网元 | |
| EP3216163A1 (en) | Providing forward secrecy in a terminating ssl/tls connection proxy using ephemeral diffie-hellman key exchange | |
| CN117614751B (zh) | 内网访问方法及系统 | |
| US20090136043A1 (en) | Method and apparatus for performing key management and key distribution in wireless networks | |
| CN116866090B (zh) | 工控网络的网络安全管理系统和网络安全管理方法 | |
| CN112653698B (zh) | 一种通信方法及装置 | |
| CN117254966A (zh) | 一种实现旁路解密https数据流量的方法 | |
| Yang et al. | An end-to-end authentication protocol in wireless application protocol | |
| CN117651059A (zh) | 一种按需启动的服务提供方法及系统 | |
| CN116566736A (zh) | 一种通信代理方法、装置、设备及存储介质 | |
| CN114386054A (zh) | 用于消息存储处理和安全认证的控制方法、系统和介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |