一种基于单包授权技术增强网络安全的方法和系统

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于单包授权技术增强网络安全的方法和系统。

背景技术

客户端是作为信息收集的主要终端，其传输到服务端的数据都是不可以直接信任的，需要经过有效性验证、权限验证等后才能使用，并且认为这些数据只是用户操作的意图，而不是代表当前数据的状态。此外，未进行加密的网络传输会造成数据泄露，会严重威胁到用户的隐私安全。在信息化水平不断提高的大数据时代，数据需要借助网络服务、传输协议、加密技术等处理，通过网络防火墙的安全评估后才能在网络中安全传输。网关在网络层以上实现网络互连，既可以用于广域网互连，也可以用于局域网互连，是最复杂的网络互连设备，是一种充当转换重任的计算机系统或设备。但是，传统的网络互连系统通常采用的是被动防御模式，检测到的所有数据包都会先接受后检测，当服务器未进行过隐藏处理时，只要提供服务就会面临着大量的网络攻击，病毒检测过程不仅占用了大量网络资源还存在着严重的安全隐患。

基于单包授权(Single Packet Authorization，SPA)的零信任机制，克服了传统互联网传输协议开放和不安全的特性，通过“先认证，后连接的”的方式来实现零信任的安全理念。SPA是通过配置默认的丢弃策略对资源进行保护，以此实现服务的隐身。但是，在相关技术中，SPA服务通过直接从网卡获取数据包，所有经过网卡的数据包无论是否为SPA认证包都会被SPA服务进行解析，这将造成服务资源的浪费，且在网卡流量很大的情况下，容易造成网络堵塞。

发明内容

为了解决上述问题，本发明提出一种基于单包授权技术增强网络安全的方法和系统，无需进行业务系统和终端改造，通过控制中心对客户端进行信任评估，保持客户端可信，不仅能够实现业务隐藏，还建立mTLS安全通道，实现消息传输加密保护，降低网络攻击风险。

本发明采用的技术方案如下：

一种基于单包授权技术增强网络安全的方法，包括以下步骤：

步骤1：在单包认证控制中心登记服务端的相关信息，所述相关信息包括服务标识ID、服务名称以及说明；

步骤2：单包认证服务端模块构建单包认证请求报文，向单包认证控制中心发起单包认证请求，并注册服务信息，所述服务信息包括服务IP地址、端口；

步骤3：单包认证控制中心对单包认证服务端模块的单包认证请求进行验证；

步骤4：单包认证客户端模块构建单包认证请求报文，向单包认证控制中心发起单包认证请求，并查询所述服务信息；

步骤5：单包认证控制中心对单包认证客户端模块的单包认证请求进行验证；

步骤6：单包认证服务端模块收到单包认证控制中心下发的客户端认证结果报文，生成临时防火墙规则并启用，允许该客户端访问服务；

步骤7：单包认证客户端模块收到单包认证控制中心下发的单包认证请求响应报文，首先验证报文有效性，验证通过后，从报文中解析出所述服务信息；

步骤8：客户端应用与服务端业务系统通过单包认证客户端模块与单包认证服务端模块建立安全的加密通道进行交互。

进一步地，所述步骤3包括以下子步骤：

步骤3.1：单包认证控制中心检测到单包认证服务端模块发送的报文，对报文进行解析和验证；

步骤3.2：如果单包认证控制中心解析报文成功，则单包认证控制中心记录单包认证服务端模块的服务信息，随后构建响应报文并发送至单包认证服务端模块；

步骤3.3：如果解析报文不通过，则不进行任何回复并结束流程。

进一步地，所述步骤5包括以下子步骤：

步骤5.1：单包认证控制中心检测到单包认证客户端模块发送的报文，对报文进行解析和验证，并对客户端的信任度进行评估；

步骤5.2：如果单包认证客户端模块信任度超过信任阈值，则由单包认证控制中心将单包认证客户端模块的认证结果下发至单包认证服务端模块，并通知单包认证服务端模块启用客户端的访问策略，随后构建单包响应报文并发送至单包认证客户端模块；

步骤5.3：如果信任度不达标，则构建报文警示客户端进行自检，并通知单包认证服务端模块清除客户端访问策略并关闭客户端相关访问端口。

进一步地，所述步骤7包括以下子步骤：

步骤7.1：单包认证客户端模块收到单包认证控制中心下发的请求响应报文并解析；

步骤7.2：若单包认证客户端模块解析报文成功，对其内容完整性进行验证后，从报文中解析出所述服务信息。

进一步地，所述步骤8包括以下子步骤：

步骤8.1：客户端应用根据报文获得的服务IP和端口信息，通过单包认证客户端模块向服务端发送连接请求；

步骤8.2：服务端通过单包认证服务端模块对请求报文进行解析和验证；

步骤8.3：验证通过后，通过单包认证客户端模块与单包认证服务端模块建立安全的加密通道进行交互。

一种基于单包授权技术增强网络安全的系统，包括单包认证客户端模块、单包认证服务端模块和单包认证控制中心，其中：

单包认证客户端模块，用于支持发起与单包认证控制中心的单包认证，向单包认证控制中心定时上报终端实时状态信息；单包认证通过后，客户端与服务端建立安全加密通道，客户端应用与服务端业务系统之间进行安全数据传输安全。

单包认证服务端模块，用于支持发起与单包认证控制中心的单包认证；并用于实现动态防火墙，默认拒绝所有网络服务访问，仅根据单包认证控制中心下发的客户端单包认证结果以及客户端信任度动态评估结果自动添加、删除或更新访问规则，与防火墙允许的客户端建立安全加密通道。

单包认证控制中心，用于接收单包认证服务端模块的单包认证请求，认证通过后记录服务端业务系统的IP地址和端口信息，实现服务注册与上线，再生成认证响应报文并回复给单包认证服务端模块；并用于接收单包认证客户端模块的单包认证请求，认证通过后将客户端的IP地址信息下发给单包认证服务端模块，由单包认证服务端模块生成并启用临时允许访问规则，再生成认证响应报文并回复给单包认证客户端模块；以及用于持续接收单包认证客户端模块上报的终端实时状态信息，动态评估终端的可信度，当终端可信度低于设定阈值时，通知单包认证服务端模块停用并删除该终端的访问规则。

进一步地，所述单包认证服务端模块的认证请求报文包括：协议版本号、服务标识ID、服务IP地址、服务端口、签名值与服务端证书。

进一步地，所述单包认证控制中心回复给单包认证服务端模块的认证响应报文包括：协议版本号、服务标识ID、认证过期时间、签名值与认证中心证书。

进一步地，所述单包认证客户端模块的认证请求报文包括：协议版本号、终端标识ID、服务标识ID、终端IP地址、签名值与客户端证书。

进一步地，所述单包认证控制中心回复给单包认证客户端模块的认证响应报文包括：协议版本号、终端标识ID、服务IP地址、服务端口、认证过期时间、签名值与控制中心证书。

本发明的有益效果在于：

本发明中单包认证服务端模块默认隐藏并关闭所有端口，在需要单包认证服务端模块时，单包认证客户端模块先向单包认证控制中心发送授权请求报文，由单包认证控制中心对报文验证通过后，再向单包认证服务端模块发送单包授权请求，并下发客户端访问策略；单包认证服务端模块对单包认证控制中心发送的单包授权进行验证，验证通过后放开客户端访问通道；单包认证客户端模块向单包认证服务端模块发送连接请求，建立双向的TLS安全传输通道。单包认证服务端模块的端口借助于单包认证控制中心达到完全隐藏，避免了绝大多数的网络攻击，并且建立了双向的TLS安全传输通道，不仅解决了现有技术中服务器端口暴露的问题，还进一步地保障了传输数据的安全性。

附图说明

图1本发明实施例1的总体方案流程图。

图2本发明实施例1的服务端单包认证流程图。

图3本发明实施例1的客户端单包认证流程图。

图4本发明实施例2的系统架构示意图。

具体实施方式

为了对本发明的技术特征、目的和效果有更加清楚的理解，现说明本发明的具体实施方式。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明，即所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例1

本实施例提供了一种基于单包授权技术增强网络安全的方法，包括单包认证服务端模块(SPA-SM)向单包认证控制中心(SPA-CC)的服务注册与上线，单包认证客户端模块(SPA-CM)到单包认证控制中心的动态评估信任度和单包授权认证，访问策略下发和安全通道建立。如图1所示，具体包括以下步骤：

步骤1：在单包认证控制中心登记服务端的相关信息，其中相关信息包括服务标识ID、服务名称以及说明；

步骤2：单包认证服务端模块构建单包认证请求报文，向单包认证控制中心发起单包认证请求，并注册服务信息，其中服务信息包括服务IP地址、端口；

步骤3：单包认证控制中心对单包认证服务端模块的单包认证请求进行验证；

步骤4：单包认证客户端模块构建单包认证请求报文，向单包认证控制中心发起单包认证请求，并查询服务信息；

步骤5：单包认证控制中心对单包认证客户端模块的单包认证请求进行验证；

步骤6：单包认证服务端模块收到单包认证控制中心下发的客户端认证结果报文，生成临时防火墙规则并启用，允许该客户端访问服务；

步骤7：单包认证客户端模块收到单包认证控制中心下发的单包认证请求响应报文，首先验证报文有效性，验证通过后，从报文中解析出服务信息；

步骤8：客户端应用与服务端业务系统通过单包认证客户端模块与单包认证服务端模块建立安全的加密通道进行交互。

其中，步骤1～步骤3为单包认证服务端模块向单包认证控制中心的服务注册与上线，如图2所示；步骤4和步骤5为单包认证客户端模块到单包认证控制中心的动态评估信任度和单包授权认证，如图3所示；步骤6～步骤8为访问策略下发和安全通道建立。

优选地，步骤2包括以下子步骤：

步骤2.1：单包认证服务端模块通过服务端的私钥将服务ID、服务IP、服务端口、随机数、时间戳等信息进行签名运算；

步骤2.2：单包认证服务端模块通过协议版本号、服务标识ID、服务IP地址、服务端口、签名值、以及服务证书等字段信息构建认证请求报文，并发送至单包认证控制中心。

优选地，步骤3包括以下子步骤：

步骤3.1：单包认证控制中心检测到认证请求报文，对其进行解析；

步骤3.2：解析成功后，单包认证控制中心对服务端进行身份认证，若身份认证通过，则登记业务服务端信息，反之则丢弃报文；

步骤3.3：单包认证控制中心构建注册响应报文并发送给单包认证服务端模块；

步骤3.4：单包认证服务端模块接收并解析响应报文，对报文进行完整性验证，所述完整性验证，即采用中心证书的公钥对签名值进行验证；单包认证服务端模块在认证过期后需要重新发起单包认证；至此，完成服务注册与上线。

更优选地，步骤3.2包括以下子步骤：

步骤3.2.1：单包认证控制中心从解析报文中获得服务端信息、信息签名值、服务证书；

步骤3.2.2：单包认证控制中心根据服务证书中的公钥对服务端信息的签名值进行验证；

步骤3.2.3：若签名验证通过，单包认证控制中心则登记业务服务端的服务标识ID、服务IP地址、服务端口、服务名称以及说明等信息；

步骤3.2.4：若验证不通过，则不进行任何回复并结束流程。

更优选地，步骤3.3包括以下子步骤：

步骤3.3.1：单包认证控制中心利用服务证书的公钥对回话密钥进行加密；

步骤3.3.2：单包认证控制中心将服务ID、会话密钥密文、过期时间、时间戳等根据中心证书的私钥进行签名运算；

步骤3.3.3：单包认证控制中心根据协议版本号、服务标识ID、认证过期时间、签名值与认证中心证书等字段信息构建响应报文并发送至单包认证服务端模块。

优选地，步骤4包括以下子步骤：

步骤4.1：单包认证客户端模块采用终端的私钥将协议版本号、终端标识ID、源IP、随机数、时间戳、服务标识ID、终端IP地址等字段信息进行数字签名；

步骤4.2：单包认证客户端模块将步骤4.1的字段信息、数字签名值和客户端证书等信息构造认证请求报文，并将报文发送给单包认证控制中心。

优选地，步骤5包括以下子步骤：

步骤5.1：单包认证控制中心检测到单包认证客户端模块发送的报文，对报文进行解析和验证，并对客户端的信任度进行评估；

步骤5.2：如果单包认证客户端模块信任度超过信任限值，则由单包认证控制中心采用终端证书的公钥签名值进行验证，验证接收消息的完整性；

步骤5.3：若终端消息通过验证，则分别生成响应报文并发送给单包认证客户端模块和单包认证服务端模块；反之，则不进行任何回复并结束流程；

步骤5.4：如果信任度不达标，则构建响应报文警示客户端进行自检；并通知单包认证服务端模块清除客户端访问策略并关闭客户端相关访问端口。

更优选地，步骤5.1包括以下子步骤：

步骤5.1.1：单包认证客户端模块与单包认证控制中心使用三次握手协议建立连接，并共享密钥K；

步骤5.1.2：单包认证客户端模块采用共享密钥K将客户端ID、客户端的类型、是否开启防火墙等信息，以及时间戳等字段信息计算出消息验证码；

步骤5.1.3：单包认证客户端模块将字段信息，以及消息验证码构建状态上报报文，并发送给单包认证控制中心；

步骤5.1.4：单包认证控制中心检测状态上报报文，并进行解析和认证。

更优选地，步骤5.1.4包括以下子步骤：

步骤5.1.4.1：若状态报文解析成功，则采用共享密钥K对收到的消息进行计算；

步骤5.1.4.2：若计算得出的消息认证码与收到的消息认证码一致，则认定客户端信任度为可信的，执行步骤5.2；反之，则认为是不可信的，执行步骤5.3。

更优选地，步骤5.3包括以下子步骤：

步骤5.3.1：由单包认证控制中心为客户端生成终端策略，并根据客户端ID、终端策略、时间戳等字段信息计算出消息认证码；

步骤5.3.2：单包认证控制中心采用控制中心私钥对协议版本号、终端标识ID、服务端ID、服务IP地址、服务端口、认证过期时间、时间戳等字段信息计算数字签名值，随后将字段信息、签名值、控制中心证书等信息构建认证响应报文，并发送给单包认证客户端模块；

步骤5.3.3：单包认证控制中心采用共享密钥对协议版本号、服务ID、客户端ID、终端IP访问策略、时间戳等字段信息计算消息认证码，随后根据字段消息、消息认证码构建策略下发报文，并发送至单包认证服务端模块，通知单包认证服务端模块启用终端的访问策略。

优选地，步骤6包括以下子步骤：

步骤6.1：单包认证服务端模块检测到单包认证控制中心下发的报文并进行解析；

步骤6.2：单包认证服务端模块解析报文得到客户端ID，为此客户端ID生成临时防火墙规则并启用，以便于接收到客户端的访问服务。

优选地，步骤7包括以下子步骤：

步骤7.1：单包认证客户端模块收到单包认证控制中心下发的请求响应报文并解析；

步骤7.2：单包认证客户端模块首先利用中心证书的公钥对签名值进行完整性验证，以此验证报文的有效性；

步骤7.3：若报文验证通过后，则单包认证客户端模块对报文进行解析，并从报文中解析出服务端的服务IP和端口信息；反之，则不进行任何回复并结束流程。

优选地，步骤8包括以下子步骤：

步骤8.1：客户端应用根据报文获得的服务IP和端口信息，通过单包认证客户端模块向服务端发送密文业务请求；

步骤8.2：服务端通过单包认证服务端模块对请求报文进行解析和验证；

步骤8.3：验证通过后，单包认证服务端模块对业务进行处理，并构建业务密文响应报文；

步骤8.4：单包认证服务端模块将密文响应报文发送给单包认证客户端模块，至此建立单包认证客户端模块与单包认证服务端模块的安全加密通道，保证数据传输安全。

实施例2

本实施例在实施例1的基础上：

如图4所示，本实施例提供了一种基于单包授权技术增强网络安全的系统，包括单包认证客户端模块(SPA-CM)、单包认证服务端模块(SPA-SM)和单包认证控制中心(SPA-CC)，其中：

单包认证客户端模块，用于支持发起与单包认证控制中心的单包认证，向单包认证控制中心定时上报终端实时状态信息；单包认证通过后，客户端与服务端建立安全加密通道，客户端应用与服务端业务系统之间进行安全数据传输安全。

单包认证服务端模块，用于支持发起与单包认证控制中心的单包认证；并用于实现动态防火墙，默认拒绝所有网络服务访问，仅根据单包认证控制中心下发的客户端单包认证结果以及客户端信任度动态评估结果自动添加、删除或更新访问规则，与防火墙允许的客户端建立安全加密通道。

单包认证控制中心，用于接收单包认证服务端模块的单包认证请求，认证通过后记录服务端业务系统的IP地址和端口信息，实现服务注册与上线，再生成认证响应报文并回复给单包认证服务端模块；并用于接收单包认证客户端模块的单包认证请求，认证通过后将客户端的IP地址信息下发给单包认证服务端模块，由单包认证服务端模块生成并启用临时允许访问规则，再生成认证响应报文并回复给单包认证客户端模块；以及用于持续接收单包认证客户端模块上报的终端实时状态信息，动态评估终端的可信度，当终端可信度低于设定阈值时，通知单包认证服务端模块停用并删除该终端的访问规则。

优选地，单包认证服务端模块的认证请求报文包括：协议版本号、服务标识ID、服务IP地址、服务端口、签名值与服务端证书。

优选地，单包认证控制中心回复给单包认证服务端模块的认证响应报文包括：协议版本号、服务标识ID、认证过期时间、签名值与认证中心证书。

优选地，单包认证客户端模块的认证请求报文包括：协议版本号、终端标识ID、服务标识ID、终端IP地址、签名值与客户端证书。

优选地，单包认证控制中心回复给单包认证客户端模块的认证响应报文包括：协议版本号、终端标识ID、服务IP地址、服务端口、认证过期时间、签名值与控制中心证书。

由上述实施例1和2可知，本发明提供的一种基于单包授权技术增强网络安全的方法和系统，具有如下创新点与优点：单包认证服务端模块采用硬件加密装置提供密码运算能力，实现服务端高性能数据加解密；服务端默认隐藏并关闭所有端口，单包认证客户端模块收集客户端的实时状态信息定时上报单包认证控制中心，单包认证控制中心对客户端进行信任评估，保证客户端可信；客户端通过单包认证客户端模块与单包认证控制中心进行单包认证，单包认证客户端模块先向单包认证控制中心发送授权请求报文，由单包认证控制中心对报文验证通过后，再向单包认证服务端模块发送单包授权请求，通知单包认证服务端模块放开该客户端的访问策略，实现业务服务隐藏，降低网络攻击风险；单包认证客户端模块和单包认证服务端模块建立mTLS安全通道，实现消息传输加密保护；系统部署可以附加在原有系统之中，无需业务系统和终端进行改造。单包认证控制中心帮助单包认证服务端模块的端口达到完全隐藏，避免了绝大多数的网络攻击，建立了双向的TLS安全传输通道，不仅解决了现有技术中服务器端口暴露的问题，还进一步地保障了传输数据的安全性以及原系统的可用性。

需要说明的是，对于前述的方法实施例，为了简便描述，故将其表述为一系列的动作组合，但是本领域技术人员应该知悉，本申请并不受所描述的动作顺序的限制，因为依据本申请，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本申请所必须的。