本發(fā)明提供一種多級(jí)單包授權(quán)的系統(tǒng)，應(yīng)用于網(wǎng)關(guān)，包括：客戶(hù)端，用于用戶(hù)發(fā)送的訪(fǎng)問(wèn)服務(wù)端口的訪(fǎng)問(wèn)請(qǐng)求數(shù)據(jù)包；SPA代理中心，用于完成從客戶(hù)端接入用戶(hù)的鑒權(quán)，接收客戶(hù)端連接網(wǎng)關(guān)的訪(fǎng)問(wèn)請(qǐng)求數(shù)據(jù)包；網(wǎng)關(guān)，用于打開(kāi)客戶(hù)端到本服務(wù)端口的訪(fǎng)問(wèn)權(quán)限，允許客戶(hù)端接入連接；通過(guò)設(shè)立一個(gè)統(tǒng)一的單包授權(quán)代理中心，完成從客戶(hù)端接入用戶(hù)的鑒權(quán)，接收客戶(hù)端連接網(wǎng)關(guān)信息。網(wǎng)關(guān)與代理中心，建立內(nèi)部安全控制通道，通過(guò)該控制通道，將客戶(hù)端訪(fǎng)問(wèn)信息傳遞給網(wǎng)關(guān)；網(wǎng)關(guān)根據(jù)SPA代理中心傳遞的“代敲門(mén)”信息，設(shè)置安全規(guī)則，打開(kāi)客戶(hù)端到本服務(wù)端口的訪(fǎng)問(wèn)權(quán)限，允許客戶(hù)端接入連接，從而提升網(wǎng)絡(luò)交互的安全性。

技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，具體涉及一種多級(jí)單包授權(quán)的方法及系統(tǒng)。

背景技術(shù)

基于網(wǎng)絡(luò)安全體系架構(gòu)上，傳統(tǒng)企業(yè)除了部署物理防火墻外，也會(huì)部署安全網(wǎng)關(guān)或者軟件防火墻來(lái)進(jìn)行外網(wǎng)的訪(fǎng)問(wèn)控制；按照此部署，在防火墻上通過(guò)打開(kāi)指定端口對(duì)外提供必要服務(wù)，但也會(huì)帶來(lái)被攻擊的風(fēng)險(xiǎn)；相反如果關(guān)閉服務(wù)端所有公網(wǎng)端口確實(shí)能夠保障安全，但如何對(duì)外提供服務(wù)呢。兼顧應(yīng)用性和安全性，需要提供一種端口默認(rèn)關(guān)閉場(chǎng)景下保證內(nèi)部應(yīng)用能夠被可信終端安全訪(fǎng)問(wèn)的方案。

業(yè)界普遍采用單包授權(quán)(SPA)方法來(lái)實(shí)現(xiàn)：通過(guò)默認(rèn)關(guān)閉服務(wù)端口，實(shí)現(xiàn)服務(wù)端網(wǎng)絡(luò)隱身，從網(wǎng)絡(luò)上無(wú)法連接、無(wú)法掃描（參見(jiàn)圖1）。如果需要使用服務(wù)，則通過(guò)特定客戶(hù)端發(fā)送認(rèn)證報(bào)文信息給服務(wù)器，服務(wù)器認(rèn)證該報(bào)文后，對(duì)該客戶(hù)端打開(kāi)相關(guān)的服務(wù)，建立TCP連接（參見(jiàn)圖2）。然而，這樣的處理方式往往存在以下一些缺陷。

主要缺陷在于：

1. 用戶(hù)認(rèn)證信息承載在TCP/UDP報(bào)文之上，服務(wù)器端仍然需要打開(kāi)傳輸層的端口來(lái)接受外部的單包授權(quán)報(bào)文（SPA single packet authentication），擴(kuò)大了攻擊面，增加額外的安全風(fēng)險(xiǎn)。

2. 從組織外部訪(fǎng)問(wèn)組織內(nèi)部資源服務(wù)器時(shí)，需要在組織的邊界出口防火墻上給每一個(gè)網(wǎng)關(guān)都增加端口映射規(guī)則，這樣會(huì)增加運(yùn)維改造的難度。

3. 客戶(hù)端預(yù)認(rèn)證相關(guān)信息放到TCP選項(xiàng)中，需要客戶(hù)端協(xié)議棧的支持，會(huì)增加底層協(xié)議改造的難度。

為了解決上述問(wèn)題，一種多級(jí)單包授權(quán)的方法及系統(tǒng)。

發(fā)明內(nèi)容

本發(fā)明的目的是提供一種多級(jí)單包授權(quán)的方法及系統(tǒng)，以解決目前業(yè)界普遍采用單包授權(quán)方法仍存在諸多缺陷的問(wèn)題，從而提供一種端口默認(rèn)關(guān)閉場(chǎng)景下保證內(nèi)部應(yīng)用能夠被可信終端安全訪(fǎng)問(wèn)的方案。

本發(fā)明提供了如下的技術(shù)方案：

一種多級(jí)單包授權(quán)的方法及系統(tǒng)，應(yīng)用于網(wǎng)關(guān)，包括以下步驟：

S1、用戶(hù)通過(guò)客戶(hù)端發(fā)送訪(fǎng)問(wèn)請(qǐng)求數(shù)據(jù)包至SPA代理中心；S2、客戶(hù)端與SPA代理中心完成單包授權(quán)認(rèn)證；S3、SPA代理中心通過(guò)內(nèi)部控制通道將訪(fǎng)問(wèn)請(qǐng)求數(shù)據(jù)包傳遞至網(wǎng)關(guān)，SPA代理中心設(shè)置會(huì)話(huà)的老化時(shí)間；S4、網(wǎng)關(guān)接收訪(fǎng)問(wèn)請(qǐng)求數(shù)據(jù)包，設(shè)置安全規(guī)則，打開(kāi)該客戶(hù)端訪(fǎng)問(wèn)本網(wǎng)關(guān)的服務(wù)端口權(quán)限；S5、客戶(hù)端與網(wǎng)關(guān)建立連接，并建立業(yè)務(wù)會(huì)話(huà)，響應(yīng)訪(fǎng)問(wèn)請(qǐng)求數(shù)據(jù)包中的業(yè)務(wù)訪(fǎng)問(wèn)請(qǐng)求；S6、會(huì)話(huà)的老化時(shí)間超時(shí)后，SPA代理中心通過(guò)內(nèi)部控制通道發(fā)送關(guān)閉訪(fǎng)問(wèn)的請(qǐng)求至網(wǎng)關(guān)，并反饋客戶(hù)端重新進(jìn)行單包授權(quán)認(rèn)證。

優(yōu)選的，所述網(wǎng)關(guān)默認(rèn)丟棄一切用戶(hù)訪(fǎng)問(wèn)，以實(shí)現(xiàn)服務(wù)端口隱藏。

優(yōu)選的，所述訪(fǎng)問(wèn)請(qǐng)求數(shù)據(jù)包包括客戶(hù)端IP地址以及訪(fǎng)問(wèn)的服務(wù)端口號(hào)。

優(yōu)選的，所述網(wǎng)關(guān)和SPA代理中心之間采用注冊(cè)機(jī)制：SPA代理中心預(yù)置網(wǎng)關(guān)的信息，網(wǎng)關(guān)上電后傳遞本端信息，完成設(shè)備注冊(cè)并與SPA代理中心建立內(nèi)部控制通道，用于用于后續(xù)控制信息的交互。

優(yōu)選的，所述網(wǎng)關(guān)的信息包括網(wǎng)關(guān)的設(shè)備證書(shū)、網(wǎng)關(guān)的硬件特征碼以及網(wǎng)關(guān)IP地址。

優(yōu)選的，所述安全規(guī)則包括動(dòng)態(tài)ACL規(guī)則。