数据安全传输方法,数据安全设备及系统技术方案

本公开涉及一种用于数据安全设备数据安全传输方法，包括：接收客户端发送给服务器的第一数据，基于所述第一数据判断所述客户端是否有访问所述服务器的权限；当确定所述客户端不具有所述访问权限时，判断所述客户端是否是合法客户端；当判断所述客户端是合法客户端时，授予所述客户端所述访问权限。本公开实施例通过对客户端的访问权限和合法性进行判断，并授予访问权限，有效的阻挡泛洪攻击的同时，提升了防护的准确率，更具有普遍适用性。

【技术实现步骤摘要】
数据安全传输方法,数据安全设备及系统
本公开涉及一种数据安全传输方法，与该方法对应的数据安全设备以及数据安全系统。
技术介绍
在TCP/IP(TransmissionControlProtocol/InternetProtocol)协议中，TCP协议提供可靠的连接服务，采用三次握手建立一个连接。完成三次握手后，客户端与服务器可以开始传送数据。三次握手的建立连接机制可以保证数据的可靠传输，但是相应的，也给了攻击者以可乘之机。泛洪(SYNFlood)便是利用这一机制而广泛被攻击者采用的攻击方法之一。其攻击的核心思想就是短时间内向服务器发送大量TCP请求连接报文而不做后续回应，消耗服务器资源，从而没有资源响应正常用户对于该服务器的访问。目前的泛洪防护技术是在收到TCP-syn(TCPsynchronization)报文时，服务器回复一个syn-ack(synchronization-acknowledgement)报文，携带一个经由自己cookie计算出的确认号，客户端在收到服务器的这个syn-ack报文时检查确认号与已经发出的syn报文的序列号是否有关联，确认没有关联时则会回复一个重置(rst)报文关闭连接。通过检测这个rst响应报文来确认发起连接设备的合法性，用以甄别是否为攻击者伪造IP发起的访问。然而，有些合法客户端不支持异常关闭功能,无法回复rst报文。这就导致了该合法客户端在发起连接访问服务器时，无法通过验证而被错误的拒之门外。
技术实现思路
本公开实施例提供了一种数据安全传输方法,数据安全设备及数据安全系统，以解决上述技术问题。根据本公开至少一个实施例，提供了一种用于数据安全设备的数据安全传输方法，所述方法包括：接收客户端发送的访问服务器的第一数据，基于所述第一数据判断所述客户端是否有访问所述服务器的权限；当确定所述客户端不具有所述访问权限时，判断所述客户端是否是合法客户端；当判断所述客户端是合法客户端时，授予所述客户端所述访问权限。根据前述任一实施例的方法，例如，还包括：在判断所述客户端为合法客户端时，发送重置信息给所述合法客户端，以通知所述客户端重新进行数据发送。根据前述任一实施例的方法，例如，还包括：在确定所述客户端具有所述访问权限时，将所述客户端发送的数据转发给所述服务器。根据前述任一实施例的方法，例如，所述判断所述客户端是否是合法客户端包括：分别获取所述第一数据以及所述客户端再次发送的第二数据；基于所述第一数据和所述第二数据判定发送第一数据和第二数据的客户端是否是同一客户端，当所述两个客户端为同一客户端时，判断所述客户端为合法客户端。根据前述任一实施例的方法，例如，所述判断所述客户端是否是合法客户端包括：获取所述客户端发送的第一数据中的第一信息，根据所述第一信息计算获得第一数据验证码；将第一返回数据发送给所述客户端，所述第一返回数据包括所述第一数据验证码；再次接收所述客户端发送的第二数据，所述第二数据基于所述第一返回数据而生成；从所述第二数据中获取确认信息，所述确认信息是基于所述第一数据验证码生成的；获取所述第二数据中的第一信息；根据所述第二数据中的第一信息计算获得第二数据验证码；判断所述第二数据验证码是否与所述确认信息相关；当所述第二数据验证码与所述确认信息相关时，判定所述客户端为合法客户端。根据前述任一实施例的方法，例如，根据所述第一信息计算获得第一数据验证码或第二数据验证码包括：基于所述数据安全设备的第一秘钥对所述第一信息进行加密运算；基于加密运算结果生成所述第一数据验证码或第二数据验证码。根据前述任一实施例的方法，例如，还包括：当判断所述客户端为非法客户端时，丢弃所述第二数据。根据前述任一实施例的方法，例如，所述第一信息包括，所述客户端的源IP地址、目的IP地址、端口号以及目的服务器端口号中的至少一个。根据前述任一实施例的方法，例如，所述基于所述第一数据判断所述客户端是否有访问所述服务器的权限包括：基于所述第一数据获取所述客户端的至少一种信息；根据所述至少一种信息确定所述客户端是否记录在权限数据库中,所述数据库存储合法的客户端信息；当确定所述客户端记录在所述权限数据库中时，确定所述客户端具有所述访问权限。根据前述任一实施例的方法，例如，所述授予所述客户端所述访问权限包括：将判定为合法的客户端信息加入所述权限数据库中。根据前述任一实施例的方法，例如，还包括：周期性判断所述权限数据库所包括的客户端访问时间信息是否在预设时间范围内，当所述访问时间超过所述预设时间范围，将所述客户端的信息在所述数据库中删除。根据本公开至少一个实施例，还提供了一种数据安全设备，所述设备包括：接收单元，被配置为接收客户端发送的访问服务器的第一数据，权限判定单元，被配置为基于所述第一数据判断所述客户端是否有访问所述服务器的权限；合法判定单元，被配置为当确定所述客户端不具有所述访问权限时，判断所述客户端是否是合法客户端；权限授予单元，被配置为当判断所述客户端是合法客户端时，授予所述客户端所述访问权限。根据前述任一实施例的设备，例如，还包括：重置单元，被配置为，当判断所述客户端为合法客户端时，发送重置信息给所述客户端，以通知所述合法客户端重新进行数据发送。根据前述任一实施例的设备，例如，还包括：转发单元，被配置为在确定所述客户端具有所述访问权限时，将所述客户端发送的数据转发给所述服务器。根据前述任一实施例的设备，例如，所述合法判定单元进一步被配置为，分别获取所述第一数据以及所述客户端再次发送的第二数据；基于所述第一数据和所述第二数据判定发送第一数据和第二数据的客户端是否是同一客户端，当所述两个客户端为同一客户端时，判断所述客户端为合法客户端。根据前述任一实施例的设备，例如，所述合法判定单元进一步被配置为，获取所述客户端发送的第一数据中的第一信息，根据所述第一信息计算获得第一数据验证码；将第一返回数据发送给所述客户端，所述第一返回数据包括所述第一数据验证码；再次接收所述客户端发送的第二数据，所述第二数据基于所述第一返回数据而生成；从所述第二数据中获取确认信息，所述确认信息是基于所述第一数据验证码生成的；获取所述第二数据中的第一信息；根据所述第二数据中的第一信息计算获得第二数据验证码；判断所述第二数据验证码是否与所述确认信息相关；当所述第二数据验证码与所述确认信息相关时，判定所述客户端为合法客户端。根据前述任一实施例的设备，例如，根据所述第一信息计算获得第一数据验证码或第二数据验证码包括：基于所述数据安全设备的第一秘钥对所述第一信息进行加密运算；基于加密运算结果生成所述第一数据验证码或所述第二数据验证码。根据前述任一实施例的设备，例如，还包括：丢弃单元，被配置为，当判断所述客户端为非法客户端时，丢弃所述第二数据。根据前述任一实施例的设备，例如，所述第一信息包括，所述客户端的源IP地址、目的IP地址、端口号以及目的服务器端口号中的至少一个。根据前述任一实施例的设备，例如，所本文档来自技高网...

【技术保护点】
1.一种用于数据安全设备的数据安全传输方法，所述方法包括：/n接收客户端发送的访问服务器的第一数据，/n基于所述第一数据判断所述客户端是否有访问所述服务器的权限；/n当确定所述客户端不具有所述访问权限时，判断所述客户端是否是合法客户端；/n当判断所述客户端是合法客户端时，授予所述客户端所述访问权限。/n

【技术特征摘要】
1.一种用于数据安全设备的数据安全传输方法，所述方法包括：
接收客户端发送的访问服务器的第一数据，
基于所述第一数据判断所述客户端是否有访问所述服务器的权限；
当确定所述客户端不具有所述访问权限时，判断所述客户端是否是合法客户端；
当判断所述客户端是合法客户端时，授予所述客户端所述访问权限。


2.根据权利要求1所述的方法，还包括：
在判断所述客户端为合法客户端时，发送重置信息给所述合法客户端，以通知所述客户端重新进行数据发送。


3.根据权利要求1或2所述的方法，还包括：
在确定所述客户端具有所述访问权限时，将所述客户端发送的数据转发给所述服务器。


4.根据权利要求1所述的方法，其中，所述判断所述客户端是否是合法客户端包括：
分别获取所述第一数据以及所述客户端再次发送的第二数据；
基于所述第一数据和所述第二数据判定发送第一数据和第二数据的客户端是否是同一客户端，
当所述两个客户端为同一客户端时，判断所述客户端为合法客户端。


5.根据权利要求1所述的方法，其中，所述判断所述客户端是否是合法客户端包括：
获取所述客户端发送的第一数据中的第一信息，
根据所述第一信息计算获得第一数据验证码；
将第一返回数据发送给所述客户端，所述第一返回数据包括所述第一数据验证码；
再次接收所述客户端发送的第二数据，所述第二数据基于所述第一返回数据而生成；
从所述第二数据中获取确认信息，所述确认信息是基于所述第一数据验证码生成的；
获取所述第二数据中的第一信息；
根据所述第二数据中的第一信息计算获得第二数据验证码；
判断所述第二数据验证码是否与所述确认信息相关；
当所述第二数据验证码与所述确认信息相关时，判定所述客户端为合法客户端。


6.根据权利要求5所述的方法，其中，根据所述第一信息计算获得第一数据验证码或第二数据验证码包括：
基于所述数据安全设备的第一秘钥对所述第一信息进行加密运算；
基于加密运算结果生成所述第一数据验证码或第二数据验证码。


7.根据权利要求4，5中的任一所述的方法，还包括：
当判断所述客户端为非法客户端时，丢弃所述第二数据。


8.根据权利要求4或5所述的方法，其中，所述第一信息包括，所述客户端的源IP地址、目的IP地址、端口号以及目的服务器端口号中的至少一个。


9.根据权利要求1所述的方法，其中，所述基于所述第一数据判断所述客户端是否有访问所述服务器的权限包括：
基于所述第一数据获取所述客户端的至少一种信息；
根据所述至少一种信息确定所述客户端是否记录在权限数据库中,所述数据库存储合法的客户端信息；
当确定所述客户端记录在所述权限数据库中时，确定所述客户端具有所述访问权限。


10.根据权利要求9所述的方法，其中，所述授予所述客户端所述访问权限包括:
将判定为合法的客户端信息加入所述权限数据库中。


11.根据权利要求9或10所述的方法，其中，还包括：
周期性判断所述权限数据库所包括的客户端访问时间信息是否在预设时间范围内，
当所述访问时间超过所述预设时间范围，将所述客户端的信息在所述数据库中删除。


12.一种数据安全设备，所述设备包括：
接收单元，被配置为接收客户端发送的访问服务器的第一数据，
权限判定单元，被配置为基于所述第...

【专利技术属性】
技术研发人员：张涛，
申请(专利权)人：杭州迪普科技股份有限公司，
类型：发明
国别省市：浙江;33