The invention discloses a system, method and device for securely accessing an internal network, which comprises a network access requester, an intermediary and an internal network server; a network access requester for sending a first request message for realizing a network access request and receiving a response message; and a intermediary for monitoring and hijacking the network access request. The first request message of the requesting end is parsed and authentication information is added to the first request message to obtain the second request message; the second request message is then sent to the target network address of the first request message; and the response message to the second request message is received and forwarded to the client; and the intranet is described. A network server is used to receive the second request message, extract authentication information from it, and determine whether the network access request has access privileges; if so, it returns a response message. Through the technical scheme provided by the invention, it is possible to accurately know whether the client has the right to access the intranet, and avoid unauthorized access requests.
【技术实现步骤摘要】
一种实现安全访问内部网络的系统、方法和装置
本申请涉及网络访问领域,具体涉及一种实现安全访问内部网络的系统。本申请同时涉及一种用于安全访问内部网络的方法及装置、一种服务器接收访问的方法及装置、一种数据处理的方法及装置、以及一种数据响应的方法及装置。
技术介绍
在传统的企业网络配置中,要进行远程访问,方法是租用DDN(数字数据网)专线或帧中继,这样的通讯方案必然导致高昂的网络通讯和维护费用。对于移动用户(移动办公人员)与远端个人用户而言,一般会通过拨号线路(Internet)进入企业的局域网,但这样必然带来安全上的隐患。为了让外地员工访问到内网资源,现有技术下一般使用VPN解决;这种方法是在内网中架设一台VPN服务器,外地员工在当地连上互联网后,通过互联网连接VPN服务器,然后通过VPN服务器进入企业内网。为了保证数据安全,VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输,就如同专门架设了一个专用网络一样。但实际上VPN使用的是互联网上的公用链路,因此VPN称为虚拟专用网络,其实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了VPN技术,用户无论是在外地出差还是在家中办公,只要能上互联网就能利用VPN访问内网资源,使VPN在企业中得到了广泛的应用。但使用VPN访问内网资源也存在明显的问题。其中一个最主要的问题是,服务器不能准确的获取http/https请求发起的客户端来源,这样,就无法判断客户端是否真正具备访问内网的权限。
技术实现思路
本专利技术提供一种用于安全访问网络的系统,以解决服...
【技术保护点】
1.一种实现安全访问内部网络的系统,其特征在于,包括:网络访问请求端,中介端,内部网络服务器;所述网络访问请求端,用于发出用于实现网络访问请求的第一请求消息、以及接收响应消息;所述中介端,用于监听并劫持所述网络访问请求端的第一请求消息;解析所述第一请求消息,并在所述第一请求消息中添加认证信息,得到第二请求消息;继而向所述第一请求消息的目标网络地址发送所述第二请求消息;以及,接收对所述第二请求消息的响应消息,并将该响应消息转发到客户端;所述内部网络服务器,用于接收所述第二请求消息,从中提取认证信息,判断所述网络访问请求是否具有访问权限;若是,则返回响应消息。
【技术特征摘要】
1.一种实现安全访问内部网络的系统,其特征在于,包括:网络访问请求端,中介端,内部网络服务器;所述网络访问请求端,用于发出用于实现网络访问请求的第一请求消息、以及接收响应消息;所述中介端,用于监听并劫持所述网络访问请求端的第一请求消息;解析所述第一请求消息,并在所述第一请求消息中添加认证信息,得到第二请求消息;继而向所述第一请求消息的目标网络地址发送所述第二请求消息;以及,接收对所述第二请求消息的响应消息,并将该响应消息转发到客户端;所述内部网络服务器,用于接收所述第二请求消息,从中提取认证信息,判断所述网络访问请求是否具有访问权限;若是,则返回响应消息。2.根据权利要求1所述的用于安全访问内部网络的系统,其特征在于,所述中介端与所述网络访问请求端布置在同一个移动设备中。3.根据权利要求1所述的用于安全访问内部网络的系统,其特征在于,所述网络访问请求端发出的所述网络访问请求采用http协议,则所述中介端在接收所述第一请求消息之前,与所述网络访问请求端进行http握手,所述中介端在发出所述第二请求消息之前,与所述内部网络服务器进行http握手。4.根据权利要求1所述的用于安全访问内部网络的系统,其特征在于,所述网络访问请求端发出的所述网络访问请求采用https方式,则所述中介端在接收所述第一请求消息之前,与所述网络访问请求端进行SSL握手,继而,所述中介端根据所述SSL握手提供的server_name字段,与所述内部网络服务器发出SSL握手;所述中介端接收到所述内部网络服务器返回的握手成功讯息后,向所述网络访问请求端发出握手成功讯息。5.根据权利要求4所述的用于安全访问内部网络的系统,其特征在于,在进行网络访问请求之前,导入CA伪证书到所述网络访问请求端和中介端。6.根据权利要求1所述的用于安全访问内部网络的系统,其特征在于,所述认证信息包含如下信息的至少一种:网络访问请求端所在的终端设备的唯一识别信息;用户身份认证信息。7.根据权利要求1所述的用于安全访问内部网络的系统,其特征在于,所述认证信息经过非对称算法加密。8.根据权利要求1所述的用于安全访问内部网络的系统,其特征在于,采用DLL注入的方式,在所述网络访问请求端发起的网络访问请求中注入全局流量劫持进程,实现对所述第一请求消息的劫持。9.一种用于安全访问内部网络的方法,其特征在于,包括:劫持具有网络访问功能的应用发出的网络访问请求;所述网络访问请求称为第一请求消息;在所述第一请求消息中添加认证信息,形成第二请求消息;将所述第二请求消息转发到所述网络访问请求的目的服务器,即内部网络服务器;接收所述内部网络服务器返回的响应信息;将所述响应信息转发给发出所述网络访问请求的所述应用。10.根据权利要求9所述的用于安全访问内部网络的方法,其特征在于,所述劫持具有网络访问功能的应用发出的网络访问请求的步骤中,采用hook函数劫持所述网络访问请求;所述hook函数预先通过DLL注入方式注入所述网络访问请求进程中。11.根据权利要求9所述的用于安全访问内部网络的方法,其特征在于,所述第一请求消息采用http方式的情况下,在接收所述第一请求消息之前,包括与发出网络访问请求的应用进行http握手;在发出所述第二请求消息之前,与所述内部网络服务器进行http握手。12.根据权利要求9所述的用于安全访问内部网络的方法,其特征在于,所述网络访问请求采用https方式,在接收所述第一请求消息之前,与所述网络访问请求端进行SSL握手,继而,根据所述SSL握手提供的server_name字段,与所述内部网络服务器进行SSL握手;接收到所述内部网络服务器返回的握手成功讯息后,向发出所述网络访问请求的应用发出握手成功讯息。13.根据权利要求12所述的用于安全访问内部网络的方法,其特征在于,在劫持所述具有网络访问功能的应用发出的网络访问请求之前,导入CA伪证书。14.根据权利要求9所述的用于安全访...
【专利技术属性】
技术研发人员:李齐,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛,KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。