一种去中心化的APP服务器IP获取技术实现方法技术

本发明专利技术属于智能终端设备应用程序安全防御领域，具体地说，是一种去中心化的APP服务器IP获取技术实现方法，在用户智能终端设备的APP客户端和源站服务器之间设置有安全盾网络，在用户智能终端设备的APP客户端原有代码基础上集成安全盾SDK与初始key，打包成新的APP端，当APP启动时，SDK解密key得到所有安全盾网关节点，并使用最优网络算法选择与该app客户端响应最快的网关，APP发起业务请求时，APP原有逻辑直接访问127.0.0.1:随机端口，该请求会被SDK响应并转发到安全盾网关，通过网关认证后，连接转发到代理节点，并由代理节点根据回源规则重构请求并对源站发起访问；当前网关如果故障时，SDK将识别并快速选择次优节点进行重连，实现故障自愈。实现故障自愈。实现故障自愈。

【技术实现步骤摘要】
一种去中心化的APP服务器IP获取技术实现方法


[0001]本专利技术属于智能终端设备应用程序安全防御领域，具体地说，是一种去中心化的APP服务器IP获取技术实现方法。

技术介绍

[0002]域名系统(Domain Name System，DNS)是Internet上解决网上机器命名的一种系统。Internet上当一台主机要访问另外一台主机时，必须首先获知其地址，TCP/IP中的IP地址是由四段以“.”分开的数字组成(此处以IPv4的地址为例，IPv6的地址同理)，记起来总是不如名字那么方便，所以，就采用了域名系统来管理名字和IP的对应关系。
[0003]HttpDNS是使用HTTP协议向DNS服务器的80端口进行请求，代替传统的DNS协议向DNS服务器的53端口进行请求，也就是使用Http协议去进行dns解析请求，将服务器返回的解析结果（域名对应的服务器IP），直接向该IP发起对应的API服务请求，代替使用域名。
[0004]APP客户端获取服务器ip的方式一般有两种，一种是直接用原生操作系统的dns解析功能找到服务器ip然后进行访问，另外一种是调用httpdns服务得到服务器ip，前者最通用和常见。第一种方式的弊端较为明显，存在dns污染、dns切换时间长、dns解析不准确、dns信息泄漏等问题；第二种方式虽然能解决上述问题，但是httpdns服务器本身是中心化的，一旦（因攻击或操作失误等）故障将导致app业务不可用。

技术实现思路

[0005]为了解决上述技术问题，本专利技术披露了一种去中心化的APP服务器IP获取技术实现方法，该方法采用加密key的方式取代传统dns和httpdns技术、客户端真实访问ip透传技术、sdk随机端口技术和App客户端基因报文技术，实现真正的攻击零漏防和零误防。
[0006]本专利技术采用的具体技术方案如下：一种去中心化的APP服务器IP获取技术实现方法，在用户智能终端设备的APP客户端和源站服务器之间设置有安全盾网络，安全盾网络包括不少于两个安全网关形成安全盾管理中心。
[0007]在上述技术方案中，在用户智能终端设备的APP客户端原有代码基础上集成安全盾SDK与初始key，打包成新的APP端。当APP启动时，SDK解密key得到所有安全盾网关节点，并使用最优网络算法选择与该app客户端响应最快的网关，APP发起业务请求时，APP原有逻辑直接访问127.0.0.1:随机端口，该请求会被SDK响应并转发到安全盾网关，通过网关认证后，连接转发到代理节点，并由代理节点根据回源规则重构请求并对源站发起访问；当前网关如果故障时，SDK将识别并快速选择次优节点进行重连，实现故障自愈。
[0008]在上述技术方案中，最优网络算法的具体流程为：终端设备同时并发的对所有安全盾网关节点发送tcp认证包，等待接受网关节点响应的认证包，同时每个网关节点存在健康检查功能，当网关节点的负载达到上限时，将自动禁用自身。后续APP的新业务将不会再选用该网关节点，而选用次级最优网关。当网关恢复正常后，将自动启用网关功能。
[0009]本专利技术的进一步改进，将安全盾key设置成一串加密字符串，将安全盾网关ip、端口、用户id、回源规则、sdk运行参数（超时时间、数据加密算法、key更新周期等）内容通过AES256加密算法或其他算法加密为一串字符串，当sdk运行时能解密并得到明文信息，整个过程不涉及任何DNS或HTTPDNS技术；当发生key变化时，sdk会定期访问最优网关节点的api接口获取更新内容；key由用户在用户平台设置转发规则和SDK参数，结合管理平台配置用户相关信息，用户绑定网关节点信息，设置的加密算法等，生成的一个加密密钥，后续平台对网关节点以及用户对规则的修改，都会导致key的更新；同时SDK支持在线热更，确保用户配置的新规则能在不升级APP的情况下，也能正常使用，减少用户开发APP的成本。
[0010]在上述技术方案中，当安全盾SDK运行后，会根据回源规则的端口按照随机算法（10000
‑
60000范围）转化为本地随机监听端口，以确保终端SDK百分之百可用，不会发生端口冲突问题；安全盾网关获取app客户端真实访问ip，并转发到网关，并由网关转发给源站服务器，这里分两种方案，如果业务是http(s)协议，网关和代理将在回源请求中新增XFF字段，如果业务是tcp/udp协议，网关和代理将在回源tcp连接中新增tcp/udp option字段，并在这些字段存储真实访问ip；安全盾SDK会携带特定的信息（用户id、终端硬件id、会话id）并加密发送到安全盾网关，确保只有集成了SDK的流量才能通过网关认证并转发到代理节点，实现了真正的攻击零漏防和零误防。
[0011]本专利技术的有益效果：在本专利技术中，app启动后不需要使用dns技术就连接上app服务器，从而规避dns的所有问题；当中间盾节点故障时，app客户端能够发现并自动切换可用节点，实现故障自愈；App客户端采用最优算法连接中间盾节点，不同客户端得到的服务节点不一样，实现了去中心化服务；中间盾节点可以将app客户端真实访问ip透传到源站，实现100%业务兼容；对DDoS和CC攻击实现零漏防和零误防效果。
附图说明
[0012]图1是本专利技术的结构示意图。
[0013]图2是本专利技术披露的方案具体运行示意图。
具体实施方式
[0014]为了加深对本专利技术的理解，下面将结合附图和实施例对本专利技术做进一步详细描述，该实施例仅用于解释本专利技术，并不对本专利技术的保护范围构成限定。
[0015]实施例：如图1所示，一种去中心化的APP服务器IP获取技术实现方法，在用户智能终端设备的APP客户端和源站服务器之间设置有安全盾网络，安全盾网络包括不少于两个安全网关形成安全盾管理中心。
[0016]如图2所示，在用户智能终端设备的APP客户端原有代码基础上集成安全盾SDK与初始key，打包成新的APP端，当APP启动时，SDK解密key得到所有安全盾网关节点，并使用最优网络算法选择与该app客户端响应最快的网关，APP发起业务请求时，APP原有逻辑直接访问127.0.0.1:随机端口，该请求会被SDK响应并转发到安全盾网关，通过网关认证后，连接转发到代理节点，并由代理节点根据回源规则重构请求并对源站发起访问；当前网关如果故障时，SDK将识别并快速选择次优节点进行重连，实现故障自愈。
[0017]将安全盾key设置成一串加密字符串，将安全盾网关ip、端口、用户id、回源规则、
sdk运行参数（超时时间、数据加密算法、key更新周期等）内容通过AES256加密算法或其他算法加密为一串字符串，当sdk运行时能解密并得到明文信息，整个过程不涉及任何DNS或HTTPDNS技术；当发生key变化时，sdk会定期访问最优网关节点的api接口获取更新内容。当安全盾SDK运行后，会根据回源规则的端口按照随机算法（10000
‑
60000范围）转化为本地随机监听端口，以本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种去中心化的APP服务器IP获取技术实现方法，其特征在于，在用户智能终端设备的APP客户端和源站服务器之间设置有安全盾网络，安全盾网络包括不少于两个安全网关、安全盾管理中心。2.根据权利要求1所述的去中心化的APP服务器IP获取技术实现方法，其特征在于，在用户智能终端设备的APP客户端原有代码基础上集成安全盾SDK与初始key，打包成新的APP端。3.根据权利要求2所述的去中心化的APP服务器IP获取技术实现方法，其特征在于，包括具体以下步骤：步骤一、启动APP，SDK解密key得到所有安全盾网关节点，并使用最优网络算法选择与该app客户端响应最快的网关，APP发起业务请求，被SDK响应并转发到安全盾网关，通过网关认证后，连接转发到代理节点，并由代理节点根据回源规则重构请求并对源站发起访问；步骤二、当前网关如果故障时，SDK将识别并快速选择次优节点进行重连，实现故障自愈。4.根据权利要求3所述的去中心化的APP服务器IP获取技术实现方法，其特征在于，所述最优网络算法的具体流程为终端设备同时并发的对所有安全盾网关节点发送tcp...

【专利技术属性】
技术研发人员：郭海骏，杨阳，
申请(专利权)人：深圳市智安网络有限公司，
类型：发明
国别省市：