一种基于可信服务代理的数据通信方法技术

本发明专利技术公开了一种基于可信服务代理的数据通信方法，包括以下步骤：S1、在服务端部署通信控制组件M1，通过通信控制组件M1向可信代理组件M2进行服务注册，得到注册内容；S2、在客户端部署通信请求组件M3，通过通信请求组件M3自动向可信代理组件M2发起访问申请；S3、在可信代理组件M2接收访问申请后，通过可信代理组件M2对通信请求组件M3进行身份认证，得到认证信息；S4、根据认证信息，对通信请求组件M3的访问进行监控，并基于注册内容，通过通信请求组件M3对服务端提供的服务进行访问，完成数据通信；本发明专利技术解决了敏感服务在网络中长期暴露，容易被网络攻击者探测，进而进行攻击的问题，提升了业务系统安全。提升了业务系统安全。提升了业务系统安全。

【技术实现步骤摘要】
一种基于可信服务代理的数据通信方法


[0001]本专利技术涉及网络通信安全领域，具体涉及一种基于可信服务代理的数据通信方法。

技术介绍

[0002]在现代网络环境中，服务提供者一般以固定公网地址及知名协议端口号的方式对外提供服务。如WEB服务，一般工作在TCP80端口或443端口，FTP服务，一般工作在TCP 21、22端口。服务提供者网络地址及协议端口长期直接暴露在公共环境中，容易被网络攻击者探测到，进而发起网络攻击。部分服务提供者支持以动态网络地址的方式对外提供服务，但大多是通过DNS域名动态解析的方式实现。攻击者可轻易得到服务提供者真实的网络地址，进而发起网络攻击。为保护敏感服务，网络管理者一般采用在服务提供者和服务请求者网络路径中间加设防火墙的方式提供安全防护。防火墙一般通过IP地址、协议、端口、时间段进行访问控制，其对访问请求者通过IP地址进行标识，该标识很容易在网络中进行伪造，无法细粒度的对终端进行访问控制。
[0003]在现在网络安全中，如何对服务进行细粒度的防护，降低服务访问地址在网络中的过度暴露，有效保护敏感服务，防止敏感服务的非授权访问是网络安全研究者持续关注的方向。

技术实现思路

[0004]针对现有技术中的上述不足，本专利技术提供的一种基于可信服务代理的数据通信方法解决了敏感服务在网络中长期暴露，容易被网络攻击者探测，进而进行攻击的问题，提升了业务系统安全。
[0005]为了达到上述专利技术目的，本专利技术采用的技术方案为：一种基于可信服务代理的数据通信方法，包括以下步骤：
[0006]S1、在服务端部署通信控制组件M1，通过通信控制组件M1向可信代理组件M2进行服务注册，得到注册内容；
[0007]S2、在客户端部署通信请求组件M3，通过通信请求组件M3自动向可信代理组件M2发起访问申请；
[0008]S3、在可信代理组件M2接收访问申请后，通过可信代理组件M2对通信请求组件M3进行身份认证，得到认证信息；
[0009]S4、根据认证信息，对通信请求组件M3的访问进行监控，并基于注册内容，通过通信请求组件M3对服务端提供的服务进行访问，完成数据通信。
[0010]进一步地，所述步骤S1中注册内容包括：服务端提供的服务的IP地址、网络协议和服务端口。
[0011]进一步地，所述步骤S2包括以下分步骤：
[0012]S21、在客户端部署通信请求组件M3；
[0013]S22、在客户端发起服务访问时，通过通信请求组件M3截获客户端的服务访问请求；
[0014]S23、在通信请求组件M3截获服务访问请求后，自动向可信代理组件M2发起访问申请。
[0015]进一步地，所述步骤S2中访问申请的内容包括：访问的IP地址、访问的网络协议、访问的服务端口和访问时间段。
[0016]上述进一步方案的有益效果是：在本专利技术中，部署在访问客户端上的通信请求组件M3自动向可信代理组件M2发起网络访问申请，无需用户干预。无需对原有的访问请求端进行改造。
[0017]进一步地，步骤S3中进行身份认证的方式为：
[0018]由管理员在可信代理组件M2上进行配置，配置的认证方式类型包括：基于MD5的身份认证、基于数字证书的身份认证、基于USB KEY的身份认证和基于PEAP的身份认证。
[0019]进一步地，所述步骤S4包括以下分步骤：
[0020]S41、若认证信息为认证通过，通过通信控制组件M1向可信代理组件M2发送第一访问控制策略；
[0021]S42、根据第一访问控制策略，通过可信代理组件M2对通信请求组件M3的访问进行放行；
[0022]S43、在可信代理组件M2对通信请求组件M3的访问进行放行后，通过可信代理组件M2向通信控制组件M1发送第二访问控制策略；
[0023]S44、根据第二访问控制策略，通过通信控制组件M1对通信请求组件M3的访问进行监控，并基于注册内容，通过通信请求组件M3对服务端提供的服务进行访问，完成数据通信；
[0024]S45、若认证信息为认证未通过，通过可信代理组件M2禁止通信请求组件M3的访问，并通知通信控制组件M1对通信请求组件M3的访问进行禁止，无法对服务端提供的服务进行访问。
[0025]进一步地，所述步骤S41中第一访问控制策略包括：默认放行、通信请求组件M3使用在可信代理组件M2上注册的用户名和口令、指定时间段内放行、以及管理员审批。
[0026]上述进一步方案的有益效果是：默认放行，可以确保大多数未经访问策略配置的服务能够默认被访问到，确保服务可用性；
[0027]使通信请求组件M3使用在可信代理组件M2上注册的用户名、口令进行认证，可以对访问端进行基于口令的身份认证，确保访问客户端经过认证，身份受信；
[0028]可信代理组件M2控制客户端的访问限制在一定的时间段内。仅在该时间段内的访问被允许，非该时间段的访问被禁止。能够确保敏感服务仅在可控的时间段范围内对特定访问客户端提供服务；
[0029]对于高度敏感的服务，可以选择仅由特定管理员主动进行审批，在管理员明确对访问客户端进行授权后，方可进行访问。
[0030]进一步地，所述步骤S43中第二访问控制策略包括：放行时间段、放行的通信请求组件M3的MAC地址、放行的通信请求组件M3的IP地址、放行的通信请求组件M3的网络协议和放行的通信请求组件M3的端口号。
[0031]上述进一步方案的有益效果是：通信控制组件M1根据得到的放行时间段，对服务进行控制；
[0032]通信控制组件M1对通信请求组件M3的MAC地址、IP地址、协议和端口号进行检查，确保通信客户端为已授权客户端；
[0033]进一步地，所述步骤S4中对服务端提供的服务进行访问期间，通信请求组件M3和可信代理组件M2需定期进行保活；所述通信请求组件M3和可信代理组件M2间定期保活的方法为：可信代理组件M2定时向通信请求组件M3发起保活请求，在规定时间内通信请求组件M3未响应或者响应中通信请求组件M3的MAC地址、IP地址、网络协议和端口存在错误或者通信请求组件M3的访问超时，则可信代理组件M2通知通信控制组件M1对通信请求组件M3的访问进行禁止；
[0034]对服务端提供的服务进行访问期间，可信代理组件M2与通信控制组件M1需定期保活，所述可信代理组件M2与通信控制组件M1间定期保活的方法为：通信控制组件M1向可信代理组件M2发送保活请求，在规定时间内，可信代理组件M2未响应，则通信控制组件M1禁止通信请求组件M3的访问。
[0035]上述进一步方案的有益效果是：在通信允许的时间段范围内，对通信客户端进行定时核查，要求定期重认证。确保认证客户端为授权客户端，未在客户端申请授权后被仿冒。
[0036]进一步地，所述步骤S4中对服务端提供的服务进行访问期间，通信请求组件M3的访问主动终止，通信请求组件M3通知可信代理组件M2访问终止，可信代理组件本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于可信服务代理的数据通信方法，其特征在于，包括以下步骤：S1、在服务端部署通信控制组件M1，通过通信控制组件M1向可信代理组件M2进行服务注册，得到注册内容；S2、在客户端部署通信请求组件M3，通过通信请求组件M3自动向可信代理组件M2发起访问申请；S3、在可信代理组件M2接收访问申请后，通过可信代理组件M2对通信请求组件M3进行身份认证，得到认证信息；S4、根据认证信息，对通信请求组件M3的访问进行监控，并基于注册内容，通过通信请求组件M3对服务端提供的服务进行访问，完成数据通信。2.根据权利要求1所述的基于可信服务代理的数据通信方法，其特征在于，所述步骤S1中注册内容包括：服务端提供的服务的IP地址、网络协议和服务端口。3.根据权利要求1所述的基于可信服务代理的数据通信方法，其特征在于，所述步骤S2包括以下分步骤：S21、在客户端部署通信请求组件M3；S22、在客户端发起服务访问时，通过通信请求组件M3截获客户端的服务访问请求；S23、在通信请求组件M3截获服务访问请求后，自动向可信代理组件M2发起访问申请。4.根据权利要求1所述的基于可信服务代理的数据通信方法，其特征在于，所述步骤S2中访问申请的内容包括：访问的IP地址、访问的网络协议、访问的服务端口和访问时间段。5.根据权利要求1所述的基于可信服务代理的数据通信方法，其特征在于，所述步骤S3中进行身份认证的方式为：由管理员在可信代理组件M2上进行配置，配置的认证方式类型包括：基于MD5的身份认证、基于数字证书的身份认证、基于USB KEY的身份认证和基于PEAP的身份认证。6.根据权利要求1所述的基于可信服务代理的数据通信方法，其特征在于，所述步骤S4包括以下分步骤：S41、若认证信息为认证通过，通过通信控制组件M1向可信代理组件M2发送第一访问控制策略；S42、根据第一访问控制策略，通过可信代理组件M2对通信请求组件M3的访问进行放行；S43、在可信代理组件M2对通信请求组件M3的访问进行放行后，通过可信代理组件M2向通信控制组件M1发送第二访问控制策略；S44、根据第二访问控制策略，...

【专利技术属性】
技术研发人员：张晋，陈世伟，詹晋川，芦伟，张帆，
申请(专利权)人：深圳市风云实业有限公司，
类型：发明
国别省市：