本發(fā)明公開了一種安全鏈路下沉方法，涉及遠(yuǎn)程鏈接技術(shù)領(lǐng)域。本發(fā)明包括以下步驟：啟動公網(wǎng)服務(wù)器接收和監(jiān)聽內(nèi)網(wǎng)與遠(yuǎn)程客戶端鏈接請求；進(jìn)行權(quán)限驗(yàn)證和配對，在確認(rèn)配對后通過源IP欺騙的方式，向兩端發(fā)出模擬為對端的鏈接申請；依賴安全連接交換驗(yàn)證機(jī)制實(shí)現(xiàn)內(nèi)網(wǎng)與遠(yuǎn)端客戶端的鏈接建立。本發(fā)明通過安全隧道實(shí)現(xiàn)基于TCP或UDP的遠(yuǎn)程接入能力，同時(shí)具備高效性、安全性、穩(wěn)定性，符合零信任架構(gòu)的安全訪問能力，從而在保證信息安全的前提下為企業(yè)提供高效、穩(wěn)定的遠(yuǎn)程辦公能力，在不降低信息化代理的辦公便捷性和無地域區(qū)分的要求下，基于零信任的安全的可支持遠(yuǎn)程、便捷、高效的能力尤為重要。

技術(shù)領(lǐng)域

本發(fā)明屬于遠(yuǎn)程鏈接技術(shù)領(lǐng)域，特別是涉及一種安全鏈路下沉方法。

背景技術(shù)

零信任是一次對傳統(tǒng)安全模型假設(shè)的徹底顛覆，傳統(tǒng)模型假設(shè)：組織網(wǎng)絡(luò)內(nèi)的所有事物都應(yīng)受到信任，事實(shí)上，一旦進(jìn)入網(wǎng)絡(luò)，用戶(包括威脅行為者和惡意內(nèi)部人員)就可以自由地橫向移動、訪問甚至泄露他們權(quán)限之外的任何數(shù)據(jù)，這顯然是個很大的漏洞，零信任網(wǎng)絡(luò)訪問則認(rèn)為：不能信任出入網(wǎng)絡(luò)的任何內(nèi)容，應(yīng)創(chuàng)建一種以數(shù)據(jù)為中心的全新邊界，通過強(qiáng)身份驗(yàn)證技術(shù)保護(hù)數(shù)據(jù)，在目前全球疫情大背景下，遠(yuǎn)程辦公越來越迫切，同時(shí)全新的工作模式，多種跨地域合作需求也越來越多，隨著信息化建設(shè)的不斷發(fā)展，對于全新數(shù)字化時(shí)代的工作方式也提出了更多的要求，除了以往多地子公司聯(lián)合辦公的需求外，在當(dāng)前海量經(jīng)濟(jì)、民生、社會、個人應(yīng)用的高速迭代的發(fā)展背景下，更多的遠(yuǎn)程聯(lián)合辦公要求被提出。

現(xiàn)有的遠(yuǎn)程協(xié)助軟件或辦公軟件都存在很多明顯不足，這些不足也限制的了遠(yuǎn)程辦公軟件的發(fā)展，首先就是安全性問題，容易造成數(shù)據(jù)泄露，其次是便捷性不足，大多數(shù)遠(yuǎn)程協(xié)助工具都是基于窗口式交互方式，操作人員通過自己的電腦上軟件實(shí)現(xiàn)類似遠(yuǎn)程桌面的鏈接方式，再通過操作宿主機(jī)實(shí)現(xiàn)遠(yuǎn)程操作，這造成非常多的操作不便和效率極大降低，最后是性能低且不穩(wěn)定，現(xiàn)在的遠(yuǎn)程方式往往需要一個公網(wǎng)的服務(wù)器進(jìn)行對接，同時(shí)需要通過云端服務(wù)器進(jìn)行后續(xù)操作鏈接的維持，這也造成遠(yuǎn)程操作的流暢性、性能穩(wěn)定性不足。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種安全鏈路下沉方法，解決了現(xiàn)有的遠(yuǎn)程協(xié)助軟件或辦公軟件都存在很多明顯不足，這些不足也限制的了遠(yuǎn)程辦公軟件的發(fā)展，首先就是安全性問題，容易造成數(shù)據(jù)泄露，其次是便捷性不足，大多數(shù)遠(yuǎn)程協(xié)助工具都是基于窗口式交互方式，操作人員通過自己的電腦上軟件實(shí)現(xiàn)類似遠(yuǎn)程桌面的鏈接方式，再通過操作宿主機(jī)實(shí)現(xiàn)遠(yuǎn)程操作，這造成非常多的操作不便和效率極大降低，最后是性能低且不穩(wěn)定，現(xiàn)在的遠(yuǎn)程方式往往需要一個公網(wǎng)的服務(wù)器進(jìn)行對接，同時(shí)需要通過云端服務(wù)器進(jìn)行后續(xù)操作鏈接的維持，這也造成遠(yuǎn)程操作的流暢性、性能穩(wěn)定性不足的技術(shù)問題。

為達(dá)上述目的，本發(fā)明是通過以下技術(shù)方案實(shí)現(xiàn)的：

一種安全鏈路下沉方法，包括以下步驟：

啟動公網(wǎng)服務(wù)器接收和監(jiān)聽內(nèi)網(wǎng)與遠(yuǎn)程客戶端鏈接請求；

進(jìn)行權(quán)限驗(yàn)證和配對，在確認(rèn)配對后通過源IP欺騙的方式，向兩端發(fā)出模擬為對端的鏈接申請；

依賴安全連接交換驗(yàn)證機(jī)制實(shí)現(xiàn)內(nèi)網(wǎng)與遠(yuǎn)端客戶端的鏈接建立，在建立連接的同時(shí)通過keep live交互從服務(wù)器端獲取本次鏈接對應(yīng)的驗(yàn)證隨機(jī)碼；

通過驗(yàn)證隨機(jī)碼實(shí)現(xiàn)雙向驗(yàn)證機(jī)制，并根據(jù)加密技術(shù)建立安全隧道。

可選的，啟動公網(wǎng)服務(wù)器后，公網(wǎng)服務(wù)器使用監(jiān)聽服務(wù)，進(jìn)行監(jiān)聽內(nèi)部節(jié)點(diǎn)查詢服務(wù)和監(jiān)控客戶端鏈接請求服務(wù)，內(nèi)部節(jié)點(diǎn)查詢服務(wù)由內(nèi)部節(jié)點(diǎn)定時(shí)循環(huán)進(jìn)行鏈接查詢。

可選的，當(dāng)某客戶端發(fā)起對某內(nèi)部節(jié)點(diǎn)鏈接請求，服務(wù)器接受到客戶端鏈接請求，并進(jìn)行用戶確權(quán)，確權(quán)成功的鏈接請求，服務(wù)器會根據(jù)其請求查詢所需要鏈接的內(nèi)部節(jié)點(diǎn)是否在線，找到在線且可連接的內(nèi)部節(jié)點(diǎn)后進(jìn)行該用戶與該內(nèi)部節(jié)點(diǎn)鏈接權(quán)限確認(rèn)，驗(yàn)證通過后服務(wù)器向兩端發(fā)送鏈接申請指令。