本发明专利技术公开了基于设备身份预认证的数据安全传输方法及装置,所述方法包括:在用户工作区部署用于流量劫持的本地代理;用户发起访问请求时,本地代理向安全网关发起SPA请求,请求安全网关打开权限;安全网关打开权限之后,本地代理自动劫持目标流量,将目标流量重定向到安全网关,所述目标流量包括用户的访问请求以及用户访问目标应用的地址对应的路径;安全网关将流量发送到目标应用;安全网关收到目标应用返回的流量,将其发送给本地代理,本地代理将返回的流量的来源地址还原成目标应用的地址;本发明专利技术的优点在于:用户无感知的进行访问目标应用,使得用户体验好。使得用户体验好。使得用户体验好。
【技术实现步骤摘要】
基于设备身份预认证的数据安全传输方法及装置
[0001]本专利技术涉及加密连接领域,更具体涉及基于设备身份预认证的数据安全传输方法及装置。
技术介绍
[0002]目前典型的用户访问企业应用场景的方式如图1所示,用户工作区有浏览器和客户端,浏览器直接与Web应用加密/非加密连接,客户端直接与非Web应用加密/非加密连接。这种访问企业应用的方式存在以下几个问题:
[0003]①
企业信息化系统非常庞大,各种应用资产丰富,难免存在部分应用系统没有做到加密传输,很容易造成信息被窃听。
[0004]②
在用户工作区缺乏严格的管控措施,攻击者在知晓应用地址的时候,很容易发起各种网络攻击。比如暴力破解、使用有安全漏洞的客户端或浏览器软件访问企业应用、使用API直接查询应用,绕过业务逻辑达到攻击目的。
[0005]③
对用户工作区需要开发大量的应用访问端口,暴露了大量的应用资源,加剧了网络攻击的可能性。
[0006]针对上述问题,中国专利公开号CN110493192A,公开了一种基于数据网关的数据安全传输系统,包括通过数据网关设备进行数据双向传输的若干个PC终端和若干个业务系统服务器,各业务系统服务器中均安装有数据网关软件,通过PC终端访问业务系统服务器前须在PC终端中安装数据网关软件,数据网关设备对PC终端进行信任判断,并在确认为信任终端时将从PC终端接收的业务数据包增加私有协议数据头后传输给业务系统服务器,业务系统服务器解析并判断其是否经由数据网关设备上报,当判断结果为否时,业务系统服务器拦截数据包并返回无权限访问数据包;当判断结果为是时,业务系统服务器解析数据包并进行业务响应处理后返回响应数据包。使用网关代理所有企业应用,减少资产暴露面,做到对外只暴露网关的安全连接端口,企业资源对用户是完全隐身的;就算用户知晓应用地址,也没有办法直接访问,减少网络攻击的可能性,安全性高。但是其直接在PC终端中安装数据网关软件,数据网关设备对PC终端进行信任判断导致用户在进行访问时就被告知需要进行信任判断,使得用户体验不好。
技术实现思路
[0007]本专利技术所要解决的技术问题在于现有技术数据安全传输方法用户体验不好的问题。
[0008]本专利技术通过以下技术手段实现解决上述技术问题的:基于设备身份预认证的数据安全传输方法,所述方法包括:
[0009]步骤一:在用户工作区部署用于流量劫持的本地代理;
[0010]步骤二:用户发起访问请求时,本地代理向安全网关发起SPA请求,请求安全网关打开权限;
[0011]步骤三:安全网关打开权限之后,本地代理自动劫持目标流量,将目标流量重定向到安全网关,所述目标流量包括用户的访问请求以及用户访问目标应用的地址对应的路径;
[0012]步骤四:安全网关收到重定向流量,通过正向或反向代理后将流量发送到目标应用;
[0013]步骤五:安全网关收到目标应用返回的流量,将其发送给本地代理,本地代理将返回的流量的来源地址还原成目标应用的地址。
[0014]本专利技术使用本地代理劫持目标流量,将目标流量重定向到安全网关,安全网关收到重定向流量,通过正向或反向代理后将流量发送到目标应用,安全网关收到目标应用返回的流量,将其发送给本地代理,本地代理将返回的流量的来源地址还原成目标应用的地址,用户在访问目标应用时会认为是直接访问的目标应用而不是中间经过了本地代理以及安全网关,让用户无感知的使用体验,自动加密非安全的连接,使得用户体验良好。
[0015]进一步地,所述步骤二中每一次本地代理向安全网关发起SPA请求时都生成一个新的SPA数据包,SPA数据包中包括设备ID、用户信息、时间戳以及网络地址信息。
[0016]更进一步地,所述本地代理与所述安全网关之间采用TLS协议进行通讯连接。
[0017]更进一步地,所述步骤二中请求安全网关打开权限的过程包括:每一次本地代理向安全网关发起SPA请求时都生成一个新的SPA数据包,将SPA数据包插入到TLS协议的ClientHello消息包扩展的extensions协议的数据段中,SPA数据包通过TLS协议的ClientHello消息包扩展的extensions协议发送到安全网关,安全网关接收到SPA数据包以后解析TLS协议,获取插入到extensions协议的数据段中的SPA数据包,根据SPA数据包中设备ID、用户信息对用户进行身份校验,校验通过的用户允许访问安全网关。
[0018]更进一步地,所述安全网关接收到SPA数据包的同时还接收SPA协议类型标识以及SPA数据包长度,所述安全网关对用户进行身份校验时,还对SPA协议类型标识进行校验,只有部署了SPA协议类型的本地代理才能打开安全网关。
[0019]进一步地,所述目标应用返回的流量中包括用户发起的访问请求对应的访问结果。
[0020]本专利技术还提供基于设备身份预认证的数据安全传输装置,所述装置包括:
[0021]本地代理部署模块,用于在用户工作区部署用于流量劫持的本地代理;
[0022]权限请求模块,用于用户发起访问请求时,本地代理向安全网关发起SPA请求,请求安全网关打开权限;
[0023]目标流量重定向模块,安全网关打开权限之后,本地代理自动劫持目标流量,将目标流量重定向到安全网关,所述目标流量包括用户的访问请求以及用户访问目标应用的地址对应的路径;
[0024]目标应用访问模块,用于安全网关收到重定向流量,通过正向或反向代理后将流量发送到目标应用;
[0025]信息反馈模块,用于安全网关收到目标应用返回的流量,将其发送给本地代理,本地代理将返回的流量的来源地址还原成目标应用的地址。
[0026]进一步地,所述权限请求模块中每一次本地代理向安全网关发起SPA请求时都生成一个新的SPA数据包,SPA数据包中包括设备ID、用户信息、时间戳以及网络地址信息。
[0027]更进一步地,所述本地代理与所述安全网关之间采用TLS协议进行通讯连接。
[0028]更进一步地,所述权限请求模块中请求安全网关打开权限的过程包括:每一次本地代理向安全网关发起SPA请求时都生成一个新的SPA数据包,将SPA数据包插入到TLS协议的ClientHello消息包扩展的extensions协议的数据段中,SPA数据包通过TLS协议的ClientHello消息包扩展的extensions协议发送到安全网关,安全网关接收到SPA数据包以后解析TLS协议,获取插入到extensions协议的数据段中的SPA数据包,根据SPA数据包中设备ID、用户信息对用户进行身份校验,校验通过的用户允许访问安全网关。
[0029]更进一步地,所述安全网关接收到SPA数据包的同时还接收SPA协议类型标识以及SPA数据包长度,所述安全网关对用户进行身份校验时,还对SPA协议类型标识进行校验,只有部署了SPA协议类型的本地代理才能打开安全网关。
[0030]进一步地,所述目标应用返本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.基于设备身份预认证的数据安全传输方法,其特征在于,所述方法包括:步骤一:在用户工作区部署用于流量劫持的本地代理;步骤二:用户发起访问请求时,本地代理向安全网关发起SPA请求,请求安全网关打开权限;步骤三:安全网关打开权限之后,本地代理自动劫持目标流量,将目标流量重定向到安全网关,所述目标流量包括用户的访问请求以及用户访问目标应用的地址对应的路径;步骤四:安全网关收到重定向流量,通过正向或反向代理将流量发送到目标应用;步骤五:安全网关收到目标应用返回的流量,将其发送给本地代理,本地代理将返回的流量的来源地址还原成目标应用的地址。2.根据权利要求1所述的基于设备身份预认证的数据安全传输方法,其特征在于,所述步骤二中每一次本地代理向安全网关发起SPA请求时都生成一个新的SPA数据包,SPA数据包中包括设备ID、用户信息、时间戳以及网络地址信息。3.根据权利要求2所述的基于设备身份预认证的数据安全传输方法,其特征在于,所述本地代理与所述安全网关之间采用TLS协议进行通讯连接。4.根据权利要求3所述的基于设备身份预认证的数据安全传输方法,其特征在于,所述步骤二中请求安全网关打开权限的过程包括:每一次本地代理向安全网关发起SPA请求时都生成一个新的SPA数据包,将SPA数据包插入到TLS协议的ClientHello消息包扩展的extensions协议的数据段中,SPA数据包通过TLS协议的ClientHello消息包扩展的extensions协议发送到安全网关,安全网关接收到SPA数据包以后解析TLS协议,获取插入到extensions协议的数据段中的SPA数据包,根据SPA数据包中设备ID、用户信息对用户进行身份校验,校验通过的用户允许访问安全网关。5.根据权利要求4所述的基于设备身份预认证的数据安全传输方法,其特征在于,所述安全网关接收到SPA数据包的同时还接收SPA协议类型标识以及SPA数据包长度,所述安全网关对用户进行身份校验时,还对SPA协议类型标识进行校验,只有部署了SPA协议类型的本地代理才能打...
【专利技术属性】
技术研发人员:唐笑于,胡绍勇,
申请(专利权)人:上海观安信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。