本申请公开了一种可信通信方法、装置、设备及存储介质。该方法包括:若获取到客户端发送的目标连接的通信网络包,则构建所述目标连接对应的授权数据包;将授权数据包发送至网络中间设备,以便网络中间设备根据授权数据包中所包含的五元组信息以及身份认证信息,生成针对五元组对应的目标连接的放通策略。以便网络中间设备在接收到该目标连接的各个通信网络包后,网络中间设备利用放通策略对各个通信网络包进行认证,并在认证通过后各个通信网络包转发给服务器,以使客户端与服务器之间进行可信通信。实现在不修改系统的基础上,解决内网因受中间设备能力的限制,无法建立隧道实现可信通信的问题。信通信的问题。信通信的问题。
【技术实现步骤摘要】
一种可信通信方法、装置、设备及存储介质
[0001]本专利技术涉及计算机
,特别涉及一种可信通信方法、装置、设备及存储介质。
技术介绍
[0002]目前,为了实现可信通信,通常采用如下方式:
[0003]一是通过http(Hyper Text Transfer Protocol,超文本传输协议)协议固有的cookie属性,通过在数据包中携带cookie将身份信息传递出去,但是,http这类方案需要修改业务系统,但业务系统众多且分属于不同企业开发,因此增加了连接可信实现的复杂度且可行性不高;
[0004]二是vpn(Virtual Private Netwo,虚拟专用网络)封装,即采用建立加密隧道的方法,将身份信息嵌入到VPN隧道的方式传递出去,隧道类的方案虽然不用修改系统,但是构建隧道,且隧道涉及复杂的加解密操作,会消耗大量cpu计算量,普通的网关设备难以支撑。
[0005]三是直接采用报文头部的标准Option字段,但是报头有长度限制,往往会遇到Option字段不足以嵌入身份信息的情况;
[0006]四是在网络报文中额外添加一些非标准的Option(在本领域往往被称为实验性选项或者自定义选项),这些非标准的Option选项不是通信标准原本定义的字段,因此经常会被通信过程中经过的交换机或路由器丢弃,也无法实现身份传递。
技术实现思路
[0007]有鉴于此,本专利技术的目的在于提供一种可信通信方法、装置、设备及介质,能够解决以上存在的各个技术问题。其具体方案如下:<br/>[0008]一方面,本申请公开了一种可信通信方法,应用在局域网网络架构的代理,包括:
[0009]若获取到客户端发送的目标连接的通信网络包,则构建所述目标连接对应的授权数据包;所述授权数据包中包含所述通信网络包的五元组信息以及所述目标连接的身份认证信息;
[0010]将所述授权数据包发送至网络中间设备,以便所述网络中间设备根据所述授权数据包中所包含的所述五元组信息以及所述身份认证信息,生成针对所述五元组对应的所述目标连接的放通策略。
[0011]该技术方案通过“额外创建一个用于传递身份的授权数据包”实现向外部传递身份。无需修改业务系统、无需构建VPN隧道、没有用到标准Option选项也无需额外增加非标准的Option,因此解决了现有技术中传递身份时遇到的很多难题。
[0012]可选的,所述若获取到客户端发送的目标连接的通信网络包,则构建所述目标连接对应的授权数据包,包括:
[0013]若获取到客户端发送的目标连接的首个通信网络包,则构建所述目标连接对应的
授权数据包;
[0014]在所述将所述授权数据包发送至网络中间设备之后,包括:
[0015]将所述目标连接的各个通信网络包转发至所述网络中间设备。
[0016]该技术方案,会拦截目标连接的首包,并在转发首包之前,将授权数据包先发送出去,保证授权数据包先发送到网络中间设备,该方案可以起到敲门的作用,即授权数据包类似敲门包,先敲门,再敲门通过之后,网络中间设备才会处理敲门包后续的报文。这样一方面保证尽可能早地将身份信息进行传递,保证网络中间设备尽可能快地对目标连接进行处理;另一方面,提前敲门的方案可以提高网络安全性,能够实现端口隐藏的技术效果。
[0017]可选的,所述目标连接具体为TCP连接,所述首个通信网络包具体为SYN握手包;
[0018]相应地,所述将所述目标连接的各个通信网络包转发至所述网络中间设备,包括:
[0019]将所述TCP连接的SYN握手包转发至所述网络中间设备;
[0020]在接收到反馈的“SYN+ACK”报文之前,对所述授权数据包执行重传操作直至接收到反馈的“SYN+ACK”报文,或者,获取到“SYN重传报文”,以避免授权数据包丢失。
[0021]该技术方案中,由于授权数据包可能会出现丢包的情况,因此,在接收到反馈的TCP握手第二包之前,对授权数据包进行重传,重传次数不限定,可以多次重传,比如每间隔5ms重传1次。
[0022]此外,如果TCP握手第二包超时未到达,则会触发SYN数据包重传,则如果遇到SYN重传时,也终止授权数据包的重传操作。此外,本领域技术人员可以理解,SYN重传时,必然也会带出授权数据包的发送。
[0023]该技术方案采用重传机制避免授权数据包的丢包,该方案的创新点不在于“重传”,而是在于无需专门为授权数据包配置响应报文,也就是不是通过响应报文的接收来确定是否要重传授权数据包,而是在接收到TCP握手的第二包之前,直接执行重传操作,如果接收到TCP握手的第二包,则必然说明授权数据包已发送成功,无需再重传,如果TCP握手第二包超时未到,则必然会触发SYN握手包重传,也必然会带出来授权数据包。
[0024]所以,该技术方案的重传机制细节是非常简单的,一是无需为授权数据包设置响应报文,二是授权数据包发送完紧接着发送SYN包,对于目标连接来说,通信延时方面也不会太大。
[0025]可选的,所述授权数据包的目的IP和目的端口为所述通信网络包的目的IP和目的端口,以保证所述授权数据包能够和所述通信网络包均被发送至同一网络中间设备。
[0026]由于负载均衡的原因,网络中间设备会有很多个,那么有可能出现的情况是,目标连接的通信网络包和授权数据包可能被分发到不同的网络中间设备,也就是“分叉”现象,那么可能会导致接收到通信网络包的网络中间设备却没有接收到授权数据包,无法对通信网络包进行处理,所以在该技术方案中,申请人发现当设置目的地址和目的端口相同时,可以在一定程度上避免这种“分叉”的情况。
[0027]可选的,所述构建所述目标连接对应的授权数据包,包括:
[0028]利用密钥对所述通信网络包的五元组信息以及所述身份认证信息进行加密;
[0029]并将加密后的信息作为载荷部分构造授权数据包以得到加密后授权包。
[0030]该技术方案可保证身份认证信息的安全性。
[0031]可选的,所述构建所述目标连接对应的授权数据包,包括:
[0032]利用目标传输协议对所述五元组信息和所述身份认证信息进行封装,得到授权数据包。
[0033]该技术方案通过一些已知的传输协议封装五元组以及身份认证信息,可以尽量避免授权数据包在传输过程中被丢弃。
[0034]可选的,所述构建所述目标连接对应的授权数据包,包括:
[0035]根据配置参数和预设配置列表,判断所述目标连接是否符合授权条件;
[0036]若所述目标连接符合授权条件,则根据所述通信网络包构建所述客户端对应的授权数据包。
[0037]该技术方案仅仅只对某些符合条件的执行本申请的操作,可以在一定程度上减轻终端上代理的资源消耗,减轻终端运行负担。
[0038]又一方面,本申请公开了一种可信通信方法,应用在局域网网络架构中的网络中间设备,包括:
[0039]识别接收到的报文是否为授权本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种可信通信方法,其特征在于,应用在局域网网络架构的代理,所述方法包括:若获取到客户端发送的目标连接的通信网络包,则构建所述目标连接对应的授权数据包;所述授权数据包中包含所述通信网络包的五元组信息以及所述目标连接的身份认证信息;将所述授权数据包发送至网络中间设备,以便所述网络中间设备根据所述授权数据包中所包含的所述五元组信息以及所述身份认证信息,生成针对所述五元组对应的所述目标连接的放通策略。2.根据权利要求1所述的可信通信方法,其特征在于,所述若获取到客户端发送的目标连接的通信网络包,则构建所述目标连接对应的授权数据包,包括:若获取到客户端发送的目标连接的首个通信网络包,则构建所述目标连接对应的授权数据包;在所述将所述授权数据包发送至网络中间设备之后,包括:将所述目标连接的各个通信网络包转发至所述网络中间设备。3.根据权利要求2所述的可信通信方法,其特征在于,所述目标连接具体为TCP连接,所述首个通信网络包具体为SYN握手包;相应地,所述将所述目标连接的各个通信网络包转发至所述网络中间设备,包括:将所述TCP连接的SYN握手包转发至所述网络中间设备;在接收到反馈的“SYN+ACK”报文之前,对所述授权数据包执行重传操作直至接收到反馈的“SYN+ACK”报文,或者,获取到“SYN重传报文”,以避免授权数据包丢失。4.根据权利要求1所述的可信通信方法,其特征在于,所述授权数据包的目的IP和目的端口为所述通信网络包的目的IP和目的端口,以保证所述授权数据包能够和所述通信网络包均被发送至同一网络中间设备。5.根据权利要求1所述的可信通信方法,其特征在于,所述构建所述目标连接对应的授权数据包,包括:利用目标传输协议对所述五元组信息和所述身份认证信息进行封装,得到授权数据包。6.根据权利要求1至5任一项所述的可信通信方法,其特征在于,所述构建所述目标连接对应的授权数据包,包括:根据...
【专利技术属性】
技术研发人员:文曦畅,原磊,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。