实现防端口扫描的零信任架构及服务端口访问方法和设备技术

本申请涉及一种实现防端口扫描的零信任架构，包括集中式管理节点；集中式管理节点配置有请求接收模块、鉴权模块、服务器选取模块、端口监听模块和信息发送模块；请求接收模块，被配置为接收连接请求；鉴权模块，被配置为对客户端的端口进行鉴权；服务器选取模块，被配置为选取当前空闲的服务器；端口监听模块，被配置为与当前空闲服务器进行监听端口协商；信息发送模块，被配置为将客户端的端口地址发送至当前空闲服务器；信息发送模块，还被配置为将当前空闲服务器的信息发送至客户端，以使客户端与当前空闲服务器进行连接。其只需要公开集中式管理节点的地址信息和固定端口即可，这就有效提高了客户端与服务端之间的数据通讯的安全性。

【技术实现步骤摘要】
实现防端口扫描的零信任架构及服务端口访问方法和设备
本申请涉及网络安全
，尤其涉及一种实现防端口扫描的零信任架构及服务端口访问方法和设备。
技术介绍
随着微服务理念的普及，一个系统会存在十几甚至几十个服务，分布在不同的IP地址上。由此，每个服务都需要一个鉴权模块以阻止未经授权者的访问。其中，在传统服务的鉴权中，存在两个特性：一、鉴权与服务是同一个地址，同一个端口；二、鉴权及提供服务的端口是固定不变且不长期开放的。但是，随着近年来安全需求的提升，尤其是零信任架构的重要性越发凸显的趋势下，鉴权及提供服务的端口固定不变通常会使得端口被扫描的风险提高，包括但不限于系统漏洞与字典档暴力破解等手段，因此，传统服务的鉴权模式在提高数据访问安全性方面，存在一定的劣势，这就使得端口访问的安全性较低。
技术实现思路
有鉴于此，本申请提出了一种实现防端口扫描的零信任架构，可以有效提高端口访问的安全性。根据本申请的一方面，提供了一种实现防端口扫描的零信任架构，包括集中式管理节点；其中，所述集中式管理节点配置有请求接收模块、鉴权模块、服务器选取模块、端口监听模块和信息发送模块；所述请求接收模块，被配置为接收客户端发送的连接请求；所述鉴权模块，被配置为在所述请求接收模块接收到客户端发送的连接请求后，对所述客户端的端口进行鉴权；所述服务器选取模块，被配置为在所述客户端的端口鉴权通过时，由连接的服务器中选取当前空闲的服务器；所述端口监听模块，被配置为在所述服务器选取模块由连接的服务器中选取出当前空闲的服务器后，与选取的所述当前空闲服务器进行监听端口协商；所述信息发送模块，被配置为在所述监听端口协商通过之后，将所述客户端的端口地址发送至所述当前空闲服务器；所述信息发送模块，还被配置为在接收到所述当前空闲服务器发送的允许连接指令后，将所述当前空闲服务器的信息发送至所述客户端，以使所述客户端根据接收到的所述当前空闲服务器的信息，与所述当前空闲服务器进行连接。在一种可能的实现方式中，所述集中式管理节点还包括鉴权指令发送模块；所述鉴权指令发送模块，被配置为在所述客户端的端口鉴权通过时，发送鉴权通过指令至所述客户端；其中，所述服务器选取模块，被配置为在所述鉴权指令发送模块接收到所述客户端发送的要求分配服务器的请求后，检测连接的各服务器的当前状态，并由连接各服务器中选取其中一个当前状态为空闲的服务器作为当前空闲服务器。在一种可能的实现方式中，所述服务器配置有白名单更新模块；所述白名单更新模块，被配置为在接收到所述客户端的端口地址后，将所述客户端的端口信息记录到当前白名单中，并发送允许连接指令至所述集中式管理节点。在一种可能的实现方式中，所述白名单更新模块，还被配置为在所述客户端与所述当前空闲服务器连完成业务请求并断开连接后，将所述客户端的端口信息由所述白名单中删除，并关闭所述当前空闲服务器的端口。根据本申请的另一方面，还提供了一种服务端口访问方法，基于前面任一所述的实现防端口扫描的零信任架构进行，包括：在接收到客户端发送的连接请求后，对所述客户端的端口进行鉴权；在所述客户端的端口鉴权通过时，由连接的服务器中选取当前空闲的服务器，并与选取的所述当前空闲服务器进行监听端口协商；在所述监听端口协商通过之后，将所述客户端的端口地址发送至所述当前空闲服务器，并在接收到所述当前空闲服务器发送的允许连接指令后，将所述当前空闲服务器的信息发送至所述客户端，以使所述客户端根据接收到的所述当前空闲服务器的信息，与所述当前空闲服务器进行连接。在一种可能的实现方式中，在所述客户端的端口鉴权通过时，由连接的服务器中选取当前空闲的服务器时，包括：在所述客户端的端口鉴权通过时，发送鉴权通过指令至所述客户端，并等待接收所述客户端发送的要求分配服务器的请求；在接收到所述客户端发送的要求分配服务器的请求后，检测连接的各服务器的当前状态，并由连接各服务器中选取其中一个当前状态为空闲的服务器作为当前空闲服务器。在一种可能的实现方式中，在所述监听端口协商通过之后，将所述客户端的端口地址发送至所述当前空闲服务器后，等待接收所述当前空闲服务器发送的允许连接指令时，所述允许连接指令通过所述当前空闲服务器更新访问白名单，将所述客户端的端口信息记录到当前白名单中实现。在一种可能的实现方式中，在所述客户端与所述当前空闲服务器连完成业务请求并断开连接后，还包括：将所述客户端的端口信息由所述白名单中删除，并关闭端口的操作。在一种可能的实现方式中，在所述客户端与所述当前空闲服务完成业务请求断开连接后，还包括：接收所述当前空闲服务器发送的确认业务完成指令，并释放资源的操作。根据本申请的另一方面，还提供了一种服务端口访问设备，包括：处理器；用于存储处理器可执行指令的存储器；其中，所述处理器被配置为执行所述可执行指令时实现前面任一所述的方法。通过在客户端与服务器端之间配置集中式管理节点，在客户端进行服务器的访问时，先由集中使管理节点对客户端的端口进行鉴权，并在鉴权通过之后再由集中式管理节点由服务器端选取相适应的端口发送给客户端。这就使得客户端在进行服务器端口的访问时，先要通过集中式管理节点的鉴权，而不是由服务器对客户端的端口进行鉴权。因而，这就只需要在系统中仅公开集中式管理节点的地址信息和固定端口即可，其他所有服务的地址和端口均不需要公开，全部时随机的，临时的，不可预测的，这就实现了完全遵照“零信任”的架构。并且，在集中式管理节点鉴权通过客户端的端口后，与服务器端还通过监听端口协商来实现对服务器端的端口的监听，从而也就更进一步的保证了客户端与服务器端之间的数据通讯的安全性。根据下面参考附图对示例性实施例的详细说明，本申请的其它特征及方面将变得清楚。附图说明包含在说明书中并且构成说明书的一部分的附图与说明书一起示出了本申请的示例性实施例、特征和方面，并且用于解释本申请的原理。图1示出本申请一实施例的实现防端口扫描的零信任架构的结构及数据流程图；图2示出本申请一实施例的服务端口访问方法的流程图；图3示出本申请一实施例的服务端口访问设备的结构框图。具体实施方式以下将参考附图详细说明本申请的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面，但是除非特别指出，不必按比例绘制附图。在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。另外，为了更好的说明本申请，在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解，没有某些具体细节，本申请同样可以实施。在一些实例中，对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述，以便于凸显本申请的主旨。图1示出根据本本文档来自技高网...

【技术保护点】
1.一种实现防端口扫描的零信任架构，其特征在于，包括集中式管理节点；其中，所述集中式管理节点配置有请求接收模块、鉴权模块、服务器选取模块、端口监听模块和信息发送模块；/n所述请求接收模块，被配置为接收客户端发送的连接请求；/n所述鉴权模块，被配置为在所述请求接收模块接收到客户端发送的连接请求后，对所述客户端的端口进行鉴权；/n所述服务器选取模块，被配置为在所述客户端的端口鉴权通过时，由连接的服务器中选取当前空闲的服务器；/n所述端口监听模块，被配置为在所述服务器选取模块由连接的服务器中选取出当前空闲的服务器后，与选取的所述当前空闲服务器进行监听端口协商；/n所述信息发送模块，被配置为在所述监听端口协商通过之后，将所述客户端的端口地址发送至所述当前空闲服务器；/n所述信息发送模块，还被配置为在接收到所述当前空闲服务器发送的允许连接指令后，将所述当前空闲服务器的信息发送至所述客户端，以使所述客户端根据接收到的所述当前空闲服务器的信息，与所述当前空闲服务器进行连接。/n

【技术特征摘要】
1.一种实现防端口扫描的零信任架构，其特征在于，包括集中式管理节点；其中，所述集中式管理节点配置有请求接收模块、鉴权模块、服务器选取模块、端口监听模块和信息发送模块；
所述请求接收模块，被配置为接收客户端发送的连接请求；
所述鉴权模块，被配置为在所述请求接收模块接收到客户端发送的连接请求后，对所述客户端的端口进行鉴权；
所述服务器选取模块，被配置为在所述客户端的端口鉴权通过时，由连接的服务器中选取当前空闲的服务器；
所述端口监听模块，被配置为在所述服务器选取模块由连接的服务器中选取出当前空闲的服务器后，与选取的所述当前空闲服务器进行监听端口协商；
所述信息发送模块，被配置为在所述监听端口协商通过之后，将所述客户端的端口地址发送至所述当前空闲服务器；
所述信息发送模块，还被配置为在接收到所述当前空闲服务器发送的允许连接指令后，将所述当前空闲服务器的信息发送至所述客户端，以使所述客户端根据接收到的所述当前空闲服务器的信息，与所述当前空闲服务器进行连接。


2.根据权利要求1所述的实现防端口扫描的零信任架构，其特征在于，所述集中式管理节点还包括鉴权指令发送模块；
所述鉴权指令发送模块，被配置为在所述客户端的端口鉴权通过时，发送鉴权通过指令至所述客户端；
其中，所述服务器选取模块，被配置为在所述鉴权指令发送模块接收到所述客户端发送的要求分配服务器的请求后，检测连接的各服务器的当前状态，并由连接各服务器中选取其中一个当前状态为空闲的服务器作为当前空闲服务器。


3.根据权利要求1所述的实现防端口扫描的零信任架构，其特征在于，所述服务器配置有白名单更新模块；
所述白名单更新模块，被配置为在接收到所述客户端的端口地址后，将所述客户端的端口信息记录到当前白名单中，并发送允许连接指令至所述集中式管理节点。


4.根据权利要求3所述的实现防端口扫描的零信任架构，其特征在于，所述白名单更新模块，还被配置为在所述客户端与所述当前空闲服务器连完成业务请求并断开连接后，将所述客户端的端口信息由所述白名单中删除，并关闭所述当前空闲服务器的端口。


5...

【专利技术属性】
技术研发人员：宋长友，陈睿彧，杨谦谦，
申请(专利权)人：北京天维信通科技有限公司，
类型：发明
国别省市：北京;11