一种软件定义边界的实现方法技术

本发明专利技术涉及一种软件定义边界的实现方法，该方法包括：本地终端对用户流量封包后形成socks5报文并转发给本地代理；本地代理接收socks5报文，本地代理通过协商加密通信协议与云上代理通信，接收响应报头，对socks5报文进行加密；云上代理接收加密socks5报文并进行解密，根据socks5报文创建本地终端到内网应用的网络连接。本发明专利技术采用协商加密通信协议，通过协商加密机制确定加密算法，进而对socks5报文进行加密传输，提升了通信的安全性；本发明专利技术不需要高成本的硬件设备，只需要安装部署相关的软件、配置必要的硬件、安排少量的运维人员即可。本发明专利技术解决了用户通过VPN访问单位内网的办公方式存在通信安全性差的问题。办公方式存在通信安全性差的问题。办公方式存在通信安全性差的问题。

【技术实现步骤摘要】
一种软件定义边界的实现方法


[0001]本专利技术涉及计算机网络
，具体涉及一种软件定义边界的实现方法。

技术介绍

[0002]在互联网时代，人们的办公方式发生了天翻地覆的变化，远程办公，居家办公逐渐普及并成为主流。人们通过虚拟专用网络(Virtual Private Network，VPN)访问公司内网的服务、软件。VPN连通了公网与企业内部网络。企业部署VPN需要购买专门的软硬件以及配套专业的人员进行管理，而用户想要使用VPN连通到公司的内网则必须在其电脑中安装对应的VPN客户端，同时由专业的人员对其资质进行认证才能顺利访问。
[0003]由于VPN的种种局限，新的软件架构体系即软件定义边界(Software Defined Perimeter，SDP)应运而生；SDP根据身份控制对资源的访问，每一个终端在连接服务器前必须进行验证，确保每台设备都是允许被接入的，其核心思想是通过软件定义边界架构隐藏核心网络资产和设施，使之不直接暴露在互联网下，使得网络资产与设施免受来自外界的安全危险。
[0004]SDP解决了VPN的种种局限，采用纯软件的形式定义用户的实际访问边界，用户的每一次请求都会经过复杂的安全评估与权限鉴定。

技术实现思路

[0005]本专利技术的目的在于提供一种软件定义边界的实现方法，解决用户通过VPN访问单位内网的办公方式存在通信安全性差的问题。
[0006]本专利技术提供一种软件定义边界的实现方法，包括：
[0007]本地终端对用户流量按照socks5协议进行第一次封包，形成socks5报文；
[0008]本地终端将socks5报文转发给本地代理，所述socks5报文包括socks5报头和socks5数据；
[0009]本地代理接收socks5报文，按照协商加密通信协议对socks5报头进行第二次封包，形成请求报头；
[0010]本地代理对请求报头进行加密，形成加密请求报头并发送至云上代理；
[0011]云上代理接收加密请求报头，对加密请求报头进行解密，获得请求报头；
[0012]云上代理按照协商加密通信协议对请求报头进行处理，形成响应报头并发送至本地代理；
[0013]本地代理接收响应报头，对socks5报文进行加密，形成加密socks5报文并发送至云上代理；
[0014]云上代理接收加密socks5报文，对加密socks5报文进行解密，获得socks5报文；
[0015]云上代理根据socks5报文获取用户的目标访问地址，创建本地终端到内网应用的网络连接。
[0016]优选地，
[0017]所述本地终端对用户流量按照socks5协议进行第一次封包，具体为：
[0018]本地终端上运行有操作系统或浏览器，操作系统或浏览器对用户流量按照socks5协议封包；
[0019]所述本地终端将socks5报文转发给本地代理，具体为：
[0020]本地终端上运行有操作系统或浏览器，操作系统或浏览器提供地址模式和pac模式，地址模式包括直接填写本地代理地址，pac模式包括通过pac脚本文件设置代理，操作系统或浏览器通过地址模式或pac模式将socks5报文转发给本地代理。
[0021]优选地，所述协商加密通信协议包括：
[0022]请求报头，响应报头，协商加密机制，鉴权机制；
[0023]所述请求报头由本地代理产生，包括：协议版本，加密方式长度，保留字段，加密方式，用户身份凭证长度，用户身份凭证；
[0024]所述响应报头由云上代理产生，包括：协议版本，加密方式长度，保留字段，加密方式，给本地代理的指令；
[0025]所述协商加密机制包括：本地代理向云上代理发送请求报头，若云上代理支持请求报头中的加密方式，则在响应报头中填写相同的加密方式，在鉴权通过后，向本地代理发送响应报头；
[0026]所述鉴权机制包括：云上代理从请求报头中获取用户身份凭证，采用规则引擎对用户身份凭证进行鉴权，鉴权结果包括通过、未通过、未知错误、无权操作，鉴权结果填入响应报头中的给本地代理的指令。
[0027]优选地，
[0028]所述请求报头包含第二加密算法名称；
[0029]所述响应报头包含第二加密算法名称。
[0030]优选地，所述规则引擎包括：
[0031]规则引擎的格式；
[0032]高级条件表达式的定义；
[0033]操作符优先级定义；
[0034]规则引擎的配置。
[0035]优选地，
[0036]所述本地代理对请求报头进行加密，具体为：
[0037]本地代理采用第一加密算法对请求报头进行加密；
[0038]所述对加密请求报头进行解密，具体为：
[0039]采用第一加密算法对加密请求报头进行解密；
[0040]所述第一加密算法，具体为：取256位不重复单字节字符为密钥，该密钥对应1个字节的256位，通过映射关系，将原始报文中的单字节映射为私钥中的对应位，加密只需要反转操作即可。
[0041]优选地，
[0042]所述对socks5报文进行加密，具体为：
[0043]采用第二加密算法对socks5报文进行加密；
[0044]所述对加密socks5报文进行解密，具体为：
[0045]采用第二加密算法对加密socks5报文进行解密；
[0046]所述第二加密算法，具体为：可采用AES对称加密，也可以用RSA非对称加密，具体可采用chacha20
‑
poly1305算法。
[0047]优选地，所述云上代理根据socks5报文获取用户的目标访问地址，具体为：
[0048]云上代理从socks5报文中获取用户的目标访问域名，通过内网DNS服务根据用户的目标访问域名解析出用户的目标访问IP地址。
[0049]优选地，所述创建本地终端到内网应用的网络连接，具体为：
[0050]云上代理根据用户的目标访问IP地址，创建从本地终端到本地代理，经由云上代理，最后联通至内网应用的网络连接。
[0051]本专利技术的实施例提供的技术方案可以包括以下有益效果：
[0052]本地终端对用户流量封包后形成socks5报文并转发给本地代理；本地代理接收socks5报文，本地代理通过协商加密通信协议与云上代理通信，接收响应报头，对socks5报文进行加密；云上代理接收加密socks5报文并进行解密，根据socks5报文创建本地终端到内网应用的网络连接。
[0053]本专利技术采用协商加密通信协议，通过协商加密机制确定加密算法，进而对socks5报文进行加密传输，提升了通信的安全性；本专利技术不需要高成本的硬件设备，只需要安装部署相关的软件、配置必要的硬件、安排少量的运维人员即可。
[0054]本专利技术解决了用户通过VPN访问单位内网的办公方式存在通信安全性差的问题。
[00本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种软件定义边界的实现方法，其特征在于，包括：本地终端对用户流量按照socks5协议进行第一次封包，形成socks5报文；本地终端将socks5报文转发给本地代理，所述socks5报文包括socks5报头和socks5数据；本地代理接收socks5报文，按照协商加密通信协议对socks5报头进行第二次封包，形成请求报头；本地代理对请求报头进行加密，形成加密请求报头并发送至云上代理；云上代理接收加密请求报头，对加密请求报头进行解密，获得请求报头；云上代理按照协商加密通信协议对请求报头进行处理，形成响应报头并发送至本地代理；本地代理接收响应报头，对socks5报文进行加密，形成加密socks5报文并发送至云上代理；云上代理接收加密socks5报文，对加密socks5报文进行解密，获得socks5报文；云上代理根据socks5报文获取用户的目标访问地址，创建本地终端到内网应用的网络连接。2.根据权利要求1所述的方法，其特征在于，所述本地终端对用户流量按照socks5协议进行第一次封包，具体为：本地终端上运行有操作系统或浏览器，操作系统或浏览器对用户流量按照socks5协议封包；所述本地终端将socks5报文转发给本地代理，具体为：本地终端上运行有操作系统或浏览器，操作系统或浏览器提供地址模式和pac模式，地址模式包括直接填写本地代理地址，pac模式包括通过pac脚本文件设置代理，操作系统或浏览器通过地址模式或pac模式将socks5报文转发给本地代理。3.根据权利要求1所述的方法，其特征在于，所述协商加密通信协议包括：请求报头，响应报头，协商加密机制，鉴权机制；所述请求报头由本地代理产生，包括：协议版本，加密方式长度，保留字段，加密方式，用户身份凭证长度，用户身份凭证；所述响应报头由云上代理产生，包括：协议版本，加密方式长度，保留字段，加密方式，给本地代理的指令；所述协商加密机制包括：本地代理向云上代理发送请求报头，若云上代理支持请求报头中的加密方式，则在...

【专利技术属性】
技术研发人员：王佳君，
申请(专利权)人：上海中通吉网络技术有限公司，
类型：发明
国别省市：