一种数据访问方法及装置制造方法及图纸

本发明专利技术提出了一种数据访问方法及装置，涉及网络安全技术领域。方法包括：获取客户端的注册设备标识，并根据注册设备标识生成设备特征码；安全认证网关获取客户端发送的认证报文，并对认证报文进行合法性验证；在认证报文验证为合法后，安全认证网关向客户端发送生成的KEY值以及为客户端分配的代理网关的代理网关地址；客户端根据代理网关地址向代理网关发送UDP报文，UDP报文包括KEY值、设备特征码以及客户端的源地址；代理网关对KEY值以及设备特征码进行验证，并在验证通过后，将源地址写入信任名单，并根据信任名单对接收到的所有报文进行过滤，以使客户端进行数据访问，从而实现安全性高的数据的访问。

A data access method and device

【技术实现步骤摘要】
一种数据访问方法及装置
本专利技术涉及网络安全
，具体而言，涉及一种数据访问方法及装置。
技术介绍
随着网络的普及和飞速发展，引发网络用户和网络流量出现激增，使得潜在的网络问题日益严重，各类网络攻击层出不穷。尤其对于接入互联网的企业来说，内部网络的安全面临严重的考验，传统的网络代理服务也同样存在速度慢、获取账号便可以随意访问企业内部网络等等一系列的衍生问题，如何提高上网质量，提升网络性能，使得办公更加顺畅，同时保障企业内部网络安全显得尤为重要。但是现有的网络访问通过密码账号来确定是否有访问权限，在账号及密码丢失的情况下，则无法保证数据访问的安全性。
技术实现思路
本专利技术的目的在于提供一种数据访问方法及装置，用以改善现有技术中网络访问安全性不高的问题。第一方面，本申请实施例提供一种数据访问方法，方法包括：获取客户端的注册设备标识，并根据注册设备标识生成设备特征码；安全认证网关获取客户端发送的认证报文，并对认证报文进行合法性验证；在认证报文验证为合法后，安全认证网关向客户端发送生成的KEY值以及为客户端分配的代理网关的代理网关地址；客户端根据代理网关地址向代理网关发送UDP报文，UDP报文包括KEY值、设备特征码以及客户端的源地址；代理网关对KEY值以及设备特征码进行验证，并在验证通过后，将源地址写入信任名单，并根据信任名单对接收到的所有报文进行过滤，以使客户端进行数据访问。上述实现过程中，根据客户端获取唯一与其对应的设备特征码后，客户端向安全认证网关发送认证报文，以使安全认证网关根据认证报文对该客户端身份的合法性进行验证。安全认证网关向身份合法的客户端发送KEY值，同时为该客户端分配对应的代理网关。客户端再向代理网关发送UDP报文，在代理网关对该UDP报文进行验证后，可以根据UDP报文中的源地址对接收到的报文进行过滤，以使该客户端发送的报文能够被代理网关放行，实现安全性高的数据的访问。在本专利技术的一些实施例中，认证报文包括账号、密码以及注册设备标识，对认证报文进行合法性验证的步骤包括：安全认证网关在数据库中检索是否存在与账号、密码以及注册设备标识一致的数据。安全认证网关对用户名、密码和注册设备标识进行数据库检索，若在数据库中检索到一致的用户名、密码和注册设备标识，则可以认证该用户端为合法设备，从而可以保证能够继续进行后续的访问。在本专利技术的一些实施例中，安全认证网关向客户端发送生成的KEY值以及为客户端分配的代理网关的代理网关地址的步骤之后，客户端根据代理网关地址向代理网关发送UDP报文的步骤之前，方法包括：客户端根据KEY值进行鉴权认证以及单包认证。在本专利技术的一些实施例中，客户端根据代理网关地址向代理网关发送UDP报文的步骤包括：客户端分别将KEY以及设备特征码进行加密，以得到第一加密值以及第二加密值；客户端向代理网关发送UDP报文，UDP报文包括第一加密值、第二加密值以及客户端的源地址。在本专利技术的一些实施例中，代理网关对KEY值以及设备特征码进行验证的步骤包括：代理网关对第一加密值和第二加密值分别进行解密，以得到第一解密值以及第二解密值；代理网关将第一解密值发送至安全认证网关进行验证，并根据数据库对第二解密值进行验证。在本专利技术的一些实施例中，KEY值在预设时间段内有效，代理网关对KEY值以及设备特征码进行验证，并在验证通过后，将源地址写入信任名单，并根据信任名单对接收到的所有报文进行过滤，以使客户端进行数据访问的步骤之后，方法还包括：根据预设时间段判断KEY值是否失效；若KEY值失效，则将源地址从信任名单中删除。客户端发送的报文会被代理网关过滤掉，若想要代理网关再次将报文放行，则需要重新进行验证，从而可以保证数据访问的安全性。在本专利技术的一些实施例中，代理网关对KEY值以及设备特征码进行验证的步骤之后，方法还包括：在验证通过后，客户端与代理网关之间建立连接；代理网关获取客户端的端口，并将端口加入信任名单，其中信任名单中端口与源地址匹配；判断接收到的报文的源地址以及端口是否匹配且存在于信任名单中，若是，则放行报文。采用源地址与端口联合过滤的策略可以进一步的保证连接的安全性。在本专利技术的一些实施例中，客户端与代理网关之间建立连接的步骤之后，方法包括：代理网关从数据库中获取与客户端对应的访问策略控制列表；访问策略控制列表包括允许客户端访问的所有内部网络地址；代理网关将访问策略控制列表发送至客户端；客户端启用客户机的内核模块对访问地址为策略列表中内部网络地址的IP报文进行过滤；客户端将IP报文拷贝到用户态，并通过客户端与代理网关之间建立的链路将过滤后的IP报文发送至代理网关。上述实现过程中，代理网关可以向客户端发送访问策略控制列表，客户端可以根据该访问策略控制列表中的内部网络地址进行报文的过滤，避免发送错误的报文至代理网关后，代理网关将连接断开。从而在提高访问安全性的同时，还提高了访问效率。在本专利技术的一些实施例中，代理网关对KEY值以及设备特征码进行验证的步骤之后，方法还包括：在验证通过后，代理网关向客户端分配虚拟IP地址，以使客户端和代理网关之间建立连接；其中，不同的虚拟IP地址和不同的内部网络通信。在本专利技术的一些实施例中，代理网关向客户端分配虚拟IP地址的步骤之后，方法还包括：代理网关对客户端发送的数据报文进行完整性验证，并获取数据报文中的初始报文；代理网关将初始报文中的源地址转换为为客户端分配的虚拟网络地址；代理网关将转换后的报文写入对应的虚拟网卡，并从虚拟网卡中读取转换后的报文；获取转换后的报文的目的地址，并将目的地址转换为初始报文的客户端地址，以向客户端发送数据。第二方面，本申请实施例提供一种数据访问装置，装置包括：设备标识获取模块，用于获取客户端的注册设备标识，并根据注册设备标识生成设备特征码；报文认证模块，用于安全认证网关获取客户端发送的认证报文，并对认证报文进行合法性验证；代理网关分配模块，用于在认证报文验证为合法后，安全认证网关向客户端发送生成的KEY值以及为客户端分配的代理网关的代理网关地址；UDP报文发送模块，用于客户端根据代理网关地址向代理网关发送UDP报文，UDP报文包括KEY值、设备特征码以及客户端的源地址；报文过滤模块，用于代理网关对KEY值以及设备特征码进行验证，并在验证通过后，将源地址写入信任名单，并根据信任名单对接收到的所有报文进行过滤，以使客户端进行数据访问。在本专利技术的一些实施例中，认证报文包括账号、密码以及注册设备标识，报文认证模块包括：认证检索单元，用于安全认证网关在数据库中检索是否存在与账号、密码以及注册设备标识一致的数据。在本专利技术的一些实施例中，装置包括：KEY值认证模块，用于客户端根据KEY值进行鉴权认证以及单包认证。在本专利技术的一些实施例中，UDP报文发送模块包括：加密单元，用于客户端分别将KEY以及设备特征码进行加密，以得到第一加密值以及第二加密值；解密单元，用于客户端向代理网关发送UDP报文，UDP报文包括第一加密值、第二加密值以及客户端的源地址。在本专利技术本文档来自技高网...

【技术保护点】
1.一种数据访问方法，其特征在于，所述方法包括：/n获取客户端的注册设备标识，并根据所述注册设备标识生成设备特征码；/n安全认证网关获取所述客户端发送的认证报文，并对所述认证报文进行合法性验证；/n在所述认证报文验证为合法后，所述安全认证网关向所述客户端发送生成的KEY值以及为所述客户端分配的代理网关的代理网关地址；/n所述客户端根据所述代理网关地址向所述代理网关发送UDP报文，所述UDP报文包括所述KEY值、所述设备特征码以及所述客户端的源地址；/n所述代理网关对所述KEY值以及所述设备特征码进行验证，并在验证通过后，将所述源地址写入信任名单，并根据所述信任名单对接收到的所有报文进行过滤，以使所述客户端进行数据访问。/n

【技术特征摘要】
1.一种数据访问方法，其特征在于，所述方法包括：
获取客户端的注册设备标识，并根据所述注册设备标识生成设备特征码；
安全认证网关获取所述客户端发送的认证报文，并对所述认证报文进行合法性验证；
在所述认证报文验证为合法后，所述安全认证网关向所述客户端发送生成的KEY值以及为所述客户端分配的代理网关的代理网关地址；
所述客户端根据所述代理网关地址向所述代理网关发送UDP报文，所述UDP报文包括所述KEY值、所述设备特征码以及所述客户端的源地址；
所述代理网关对所述KEY值以及所述设备特征码进行验证，并在验证通过后，将所述源地址写入信任名单，并根据所述信任名单对接收到的所有报文进行过滤，以使所述客户端进行数据访问。


2.根据权利要求1所述的方法，其特征在于，认证报文包括账号、密码以及注册设备标识，对所述认证报文进行合法性验证的步骤包括：
所述安全认证网关在数据库中检索是否存在与所述账号、所述密码以及所述注册设备标识一致的数据。


3.根据权利要求1所述的方法，其特征在于，所述安全认证网关向所述客户端发送生成的KEY值以及为所述客户端分配的代理网关的代理网关地址的步骤之后，所述客户端根据所述代理网关地址向所述代理网关发送UDP报文的步骤之前，所述方法包括：
所述客户端根据所述KEY值进行鉴权认证以及单包认证。


4.根据权利要求1所述的方法，其特征在于，所述客户端根据所述代理网关地址向所述代理网关发送UDP报文的步骤包括：
所述客户端分别将KEY以及设备特征码进行加密，以得到第一加密值以及第二加密值；
所述客户端向所述代理网关发送UDP报文，所述UDP报文包括所述第一加密值、所述第二加密值以及所述客户端的源地址。


5.根据权利要求4所述的方法，其特征在于，所述代理网关对所述KEY值以及所述设备特征码进行验证的步骤包括：
所述代理网关对所述第一加密值和所述第二加密值分别进行解密，以得到第一解密值以及第二解密值；
所述代理网关将所述第一解密值发送至所述安全认证网关进行验证，并根据数据库对所述第二解密值进行验证。


6.根据权利要求1所述的方法，其特征在于，所述KEY值在预设时间段内有效，所述代理网关对所述KEY值以及所述设备特征码进行验证，并在验证通过后，将所述源地址写入信任名单，并根据所述信任名单对接收到的所有报文进行过滤，以使所述客户端进行数据访问的步骤之后，所述方法还包括：
根据预设时间段判断所述KEY值是否失效；
若所述KEY值失效，则将所述源地址从所述信任名单中删除。


7.根据权利要求1所述的方法，其特征在于，所述代理网关对所述KEY值以及所述设备特征码进行验证的步骤之后，所述方法还包括：
在验证通过后，所述客户端与所述代理网关之间建立连接；
所述代理网关获取所述客户端的端口，并将所述端口加入信任名单，其中所述信任名单中所述端口与所述源地...

【专利技术属性】
技术研发人员：赵熙，
申请(专利权)人：南京云信达科技有限公司，
类型：发明
国别省市：江苏;32