本申请实施例提供了一种报文处理方法、堡垒机及终端设备,其中,应用于堡垒机的报文处理方法包括:接收终端设备发送的待处理报文;获取待处理报文的第一特征信息;基于特征信息与密钥标识的第一对应关系,获取第一特征信息对应的第一密钥标识;使用第一密钥标识表示的密钥,对待处理报文进行解密;对解密后的待处理报文进行处理。通过对客户端和堡垒机之间的待处理报文进行加密处理,加强了堡垒机的安全性,实现了堡垒机自身的安全加固,进而有效地降低了中间人劫持攻击的风险。
【技术实现步骤摘要】
一种报文处理方法、堡垒机及终端设备
本申请涉及通信
,特别是涉及一种报文处理方法、堡垒机及终端设备。
技术介绍
在网络中,堡垒机分别连接终端和服务器,这样,堡垒机切断了终端和服务器的直接连接,也就切断了终端对服务器的直接访问,终端通过堡垒机才能对服务器进行访问。堡垒机采用协议代理的方式,代理终端向服务器发起访问。以堡垒机代理访问服务器的方式,可以有效地拦截来自终端的非法访问和恶意攻击。不仅加强了运维管理,而且提高了对服务器的访问安全。基于堡垒机在终端对服务器的访问中所起的作用,堡垒机可以认为是重要的安全管控枢纽。堡垒机分别针对各终端设置对应的访问权限,以提高终端访问服务器的安全性。然而,一旦堡垒机自身被攻破,堡垒机所防护的服务器也会暴露,进而使得服务器受到攻击。因此,针对堡垒机自身的安全加固是亟待解决的问题。
技术实现思路
本申请实施例的目的在于提供一种报文处理方法、堡垒机及终端设备,以实现堡垒机自身的安全加固,降低中间人劫持攻击的风险。具体技术方案如下:第一方面,本申请实施例提供了一种报文处理方法,应用于堡垒机,所述方法包括:接收终端设备发送的待处理报文,所述待处理报文为:所述终端设备使用自身的密钥进行加密的报文;获取所述待处理报文的第一特征信息;基于特征信息与密钥标识的第一对应关系,获取所述第一特征信息对应的第一密钥标识,所述第一对应关系是:基于特征信息与终端设备的对应关系、终端设备与密钥标识的对应关系得到的;使用所述第一密钥标识表示的密钥,对所述待处理报文进行解密;对解密后的所述待处理报文进行处理。第二方面,本申请实施例提供了一种报文处理方法,应用于终端设备,所述方法包括:获取所述终端设备的密钥和堡垒机的外部端口号,所述外部端口号为非知名端口的端口号;根据所获取的密钥和待处理报文的报文信息,生成针对所述待处理报文的加密密钥;利用所述加密密钥,对所述待处理报文进行加密;以所述外部端口号表示的端口作为目的端口,将加密后的所述待处理报文发送至所述堡垒机。第三方面,本申请实施例提供了一种报文处理装置,应用于堡垒机,所述装置包括:接收模块,用于接收终端设备发送的待处理报文,所述待处理报文为:所述终端设备使用自身的密钥进行加密的报文;第一获取模块,用于获取所述待处理报文的第一特征信息;第二获取模块,用于基于特征信息与密钥标识的第一对应关系,获取所述第一特征信息对应的第一密钥标识,所述第一对应关系是:基于特征信息与终端设备的对应关系、终端设备与密钥标识的对应关系得到的;解密模块,用于使用所述第一密钥标识表示的密钥,对所述待处理报文进行解密;处理模块,用于对解密后的所述待处理报文进行处理。第四方面,本申请实施例提供了一种报文处理装置,应用于终端设备,所述装置包括:获取模块,用于获取所述终端设备的密钥和堡垒机的外部端口号,所述外部端口号为非知名端口的端口号;生成模块,用于根据所获取的密钥和待处理报文的报文信息,生成针对所述待处理报文的加密密钥;加密模块,用于利用所述加密密钥,对所述待处理报文进行加密;发送模块,用于以所述外部端口号表示的端口作为目的端口,将加密后的所述待处理报文发送至所述堡垒机。第五方面,本申请实施例提供了一种堡垒机,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现上述第一方面中任一所述的报文处理方法步骤。第六方面,本申请实施例提供了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器:实现上述第一方面中任一所述的报文处理方法步骤。第七方面,本申请实施例提供了一种终端设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现上述第二方面中任一所述的报文处理方法步骤。第八方面,本申请实施例提供了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器:实现上述第二方面中任一所述的报文处理方法步骤。本申请实施例提供的技术方案中,客户端对发送至堡垒机的待处理报文进行加密,堡垒机接收到客户端发送的待处理报文后,根据待处理报文的第一特征信息对应的第一密钥标识,对待处理报文进行解密,进而得到解密后的待处理报文。通过对客户端和堡垒机之间的待处理报文进行加密处理,加强了堡垒机的安全性,实现了堡垒机自身的安全加固,进而有效地降低了中间人劫持攻击的风险。附图说明为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本申请实施例提供了报文处理方法的第一种流程图;图2为本申请实施例提供了报文处理方法的第二种流程图;图3为本申请实施例提供了报文处理方法的第三种流程图;图4为本申请实施例提供了报文处理方法的信令图;图5为本申请实施例提供了报文处理装置的第一种结构示意图;图6为本申请实施例提供了报文处理装置的第二种结构示意图;图7为本申请实施例提供了堡垒机的一种结构示意图。具体实施方式下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。为了实现堡垒机自身的安全加固,进而降低中间人劫持攻击的风险,本申请实施例提供了一种报文处理方法、堡垒机及终端设备,应用于堡垒机,其中,报文处理方法包括:接收终端设备发送的待处理报文,该待处理报文为:终端设备使用自身的密钥进行加密的报文;获取待处理报文的第一特征信息;基于特征信息与密钥标识的第一对应关系,获取第一特征信息对应的第一密钥标识,第一对应关系是:基于特征信息与终端设备的对应关系、终端设备与密钥标识的对应关系得到的;使用第一密钥标识表示的密钥,对待处理报文进行解密;对解密后的待处理报文进行处理。本申请实施例提供的技术方案中,客户端对发送至堡垒机的待处理报文进行加密,堡垒机接收到客户端发送的待处理报文后,根据待处理报文的第一特征信息对应的第一密钥标识,对待处理报文进行解密,进而得到解密后的待处理报文。通过对客户端和堡垒机之间的待处理报文进行加密处理,加强了堡垒机的安全性,实现了堡垒机自身的安全加固,进而有效地降低了中间人劫持攻击的风险。下面首先对本申请实施例提供的一种报文处理方法进行介绍,本申请实施例提供的报文处理方法应用于堡垒机,该报文处理方法包括如下步骤。S101,接收终端设备发送的待处理报文。待处理报文为:终端设备使用自身的密钥进行加密的报文。其中,待处理报文可以为TCP(TransmissionControlProtocol,传输控制协议)报文、IP(InternetProtocol,互联网协议)报文、UDP(UserDatagramProtocol,用户数据报协议)报文等中的任一种,下面以待处理报文为T本文档来自技高网...
【技术保护点】
1.一种报文处理方法,其特征在于,应用于堡垒机,所述方法包括:接收终端设备发送的待处理报文,所述待处理报文为:所述终端设备使用自身的密钥进行加密的报文;获取所述待处理报文的第一特征信息;基于特征信息与密钥标识的第一对应关系,获取所述第一特征信息对应的第一密钥标识,所述第一对应关系是:基于特征信息与终端设备的对应关系、终端设备与密钥标识的对应关系得到的;使用所述第一密钥标识表示的密钥,对所述待处理报文进行解密;对解密后的所述待处理报文进行处理。
【技术特征摘要】
1.一种报文处理方法,其特征在于,应用于堡垒机,所述方法包括:接收终端设备发送的待处理报文,所述待处理报文为:所述终端设备使用自身的密钥进行加密的报文;获取所述待处理报文的第一特征信息;基于特征信息与密钥标识的第一对应关系,获取所述第一特征信息对应的第一密钥标识,所述第一对应关系是:基于特征信息与终端设备的对应关系、终端设备与密钥标识的对应关系得到的;使用所述第一密钥标识表示的密钥,对所述待处理报文进行解密;对解密后的所述待处理报文进行处理。2.根据权利要求1所述的方法,其特征在于,所述使用所述第一密钥标识表示的密钥,对所述待处理报文进行解密的步骤之后,还包括:从解密后的待处理报文中获取所述待处理报文的载荷,并将所获取的载荷划分为预设数量的子载荷;从所划分的各子载荷中,分别提取子载荷各自包含的所述终端设备的媒体访问控制MAC地址的数组。3.根据权利要求1或2所述的方法,其特征在于,所述待处理报文中携带有所述终端设备的MAC地址;所述对解密后的所述待处理报文进行处理的步骤,包括:基于特征信息与MAC地址的第二对应关系,确定所述第一特征信息对应的目标MAC地址;判断所述待处理报文携带的MAC地址与所述目标MAC地址是否匹配;如果是,对解密后的所述待处理报文进行处理。4.根据权利要求1所述的方法,其特征在于,所述对解密后的所述待处理报文进行处理的步骤,包括:基于特征信息与内部端口号的第三对应关系,获取所述第一特征信息对应的目标内部端口号,所述内部端口号为知名端口的端口号;利用所述目标内部端口号对应的协议,对解密后的所述待处理报文进行处理。5.根据权利要求1所述的方法,其特征在于,所述使用所述第一密钥标识表示的密钥,对所述待处理报文进行解密的步骤,包括:从预设的密钥表项中,获取所述第一密钥标识表示的密钥;根据所获取的密钥和所述待处理报文的报文信息,生成针对所述待处理报文的解密密钥;利用所述解密密钥,对所述待处理报文进行解密。6.根据权利要求1所述的方法,其特征在于,所述方法还包括:获得所述待处理报文对应的响应报文;基于所述第一对应...
【专利技术属性】
技术研发人员:岳炳词,
申请(专利权)人:新华三信息安全技术有限公司,
类型:发明
国别省市:安徽,34
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。