一种多级单包授权的方法及系统

摘要

本发明提供一种多级单包授权的系统，应用于网关，包括：客户端，用于用户发送的访问服务端口的访问请求数据包；SPA代理中心，用于完成从客户端接入用户的鉴权，接收客户端连接网关的访问请求数据包；网关，用于打开客户端到本服务端口的访问权限，允许客户端接入连接；通过设立一个统一的单包授权代理中心，完成从客户端接入用户的鉴权，接收客户端连接网关信息。网关与代理中心，建立内部安全控制通道，通过该控制通道，将客户端访问信息传递给网关；网关根据SPA代理中心传递的“代敲门”信息，设置安全规则，打开客户端到本服务端口的访问权限，允许客户端接入连接，从而提升网络交互的安全性。

说明书

技术领域

本发明属于网络安全技术领域，具体涉及一种多级单包授权的方法及系统。

背景技术

基于网络安全体系架构上，传统企业除了部署物理防火墙外，也会部署安全网关或者软件防火墙来进行外网的访问控制；按照此部署，在防火墙上通过打开指定端口对外提供必要服务，但也会带来被攻击的风险；相反如果关闭服务端所有公网端口确实能够保障安全，但如何对外提供服务呢。兼顾应用性和安全性，需要提供一种端口默认关闭场景下保证内部应用能够被可信终端安全访问的方案。

业界普遍采用单包授权(SPA)方法来实现：通过默认关闭服务端口，实现服务端网络隐身，从网络上无法连接、无法扫描（参见图1）。如果需要使用服务，则通过特定客户端发送认证报文信息给服务器，服务器认证该报文后，对该客户端打开相关的服务，建立TCP连接（参见图2）。然而，这样的处理方式往往存在以下一些缺陷。

主要缺陷在于：

1. 用户认证信息承载在TCP/UDP报文之上，服务器端仍然需要打开传输层的端口来接受外部的单包授权报文（SPA single packet authentication），扩大了攻击面，增加额外的安全风险。

2. 从组织外部访问组织内部资源服务器时，需要在组织的边界出口防火墙上给每一个网关都增加端口映射规则，这样会增加运维改造的难度。

3. 客户端预认证相关信息放到TCP选项中，需要客户端协议栈的支持，会增加底层协议改造的难度。

为了解决上述问题，一种多级单包授权的方法及系统。

发明内容

本发明的目的是提供一种多级单包授权的方法及系统，以解决目前业界普遍采用单包授权方法仍存在诸多缺陷的问题，从而提供一种端口默认关闭场景下保证内部应用能够被可信终端安全访问的方案。

本发明提供了如下的技术方案：

一种多级单包授权的方法及系统，应用于网关，包括以下步骤：

S1、用户通过客户端发送访问请求数据包至SPA代理中心；S2、客户端与SPA代理中心完成单包授权认证；S3、SPA代理中心通过内部控制通道将访问请求数据包传递至网关，SPA代理中心设置会话的老化时间；S4、网关接收访问请求数据包，设置安全规则，打开该客户端访问本网关的服务端口权限；S5、客户端与网关建立连接，并建立业务会话，响应访问请求数据包中的业务访问请求；S6、会话的老化时间超时后，SPA代理中心通过内部控制通道发送关闭访问的请求至网关，并反馈客户端重新进行单包授权认证。

优选的，所述网关默认丢弃一切用户访问，以实现服务端口隐藏。

优选的，所述访问请求数据包包括客户端IP地址以及访问的服务端口号。

优选的，所述网关和SPA代理中心之间采用注册机制：SPA代理中心预置网关的信息，网关上电后传递本端信息，完成设备注册并与SPA代理中心建立内部控制通道，用于用于后续控制信息的交互。

优选的，所述网关的信息包括网关的设备证书、网关的硬件特征码以及网关IP地址。

优选的，所述安全规则包括动态ACL规则。

一种多级单包授权的系统，应用于网关，包括：客户端，用于用户发送的访问服务端口的访问请求数据包；SPA代理中心，用于完成从客户端接入用户的鉴权，接收客户端连接网关的访问请求数据包；网关，用于打开客户端到本服务端口的访问权限，允许客户端接入连接。

优选的，所述客户端、SPA代理中心和网关上均部署SPA模块。

优选的，所述网关上部署SPA模块。

本发明的有益效果是：

本发明的一种多级单包授权的方法及系统，设立一个统一的单包授权代理（SPA代理中心），代理在完成用户身份鉴权之后，统一向网关发送控制报文，网关收到该控制报文后，打开客户端访问服务端口的权限。这个流程，定义为“代敲门”流程。SPA代理和网关之间通过内部控制通道进行数据通信，避免网关端口直接对外暴露。通过这种方式，可以极大减少边界防火墙上打开的端口，避免客户端与网关直接的SPA流程，减少业务交互的同时，安全性没有降低。同时，统一的认证和鉴权中心，方便安全防护和用户跟踪审计。

附图说明

附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。在附图中：

图1是未做SPA静默丢弃访问请求示意图；

图2是SPA预认证业务访问流程示意图；

图3是本发明基于SPA代理的“代敲门”流程示意图；

图4是实施例1的SPA代理交互协作示意图；

图5是实施例2的SPA代理交互协作示意图；

图6是本发明基于SPA代理的方法流程示意图。

具体实施方式

实施例1

如图3所示，该多级单包授权的系统，可以在客户端，SPA代理中心，网关侧均部署SPA模块。客户端，用于用户发送的访问服务端口的访问请求数据包；SPA代理中心，用于完成从客户端接入用户的鉴权，接收客户端连接网关的访问请求数据包；网关，用于打开客户端到本服务端口的访问权限，允许客户端接入连接。

如图4所示，该多级单包授权的方法，具体实施措施如下：

1) 网关默认丢弃一切用户访问，以实现服务端口隐藏。

2) 用户触发业务访问，与SPA代理中心完成身份验证。

3) 客户端与SPA代理中心之间建立会话前，需要先进行SPA。

4) SPA代理中心完成用户认证，将客户端信息通过内部控制通道传递给网关。该信息包括客户端IP地址，访问的服务端口号。SPA代理设置会话的老化时间。

5) 网关和SPA代理中心之间，采用注册机制：SPA代理中心预置网关的信息，如网关的设备证书，网关的硬件特征码，网关IP地址等。网关上电后，传递本端信息，完成设备注册，建立内部控制通道，用于后续控制信息的交互。

6) 网关收到SPA代理传递过来的客户端访问信息，设置安全规则，打开该客户端访问本网关服务端口的权限（比如可以增加一条动态ACL规则）。

7) 客户端与网关建立连接，并建立业务会话，响应业务访问请求。

8) SPA代理在会话老化时间超时之后，通过内部通道发送关闭访问的请求，并反馈客户端重新验证授权。

上述多级单包授权的方法及装置，保证了网关以一个黑盒方式隐身网络中；保证了大部分网络攻击在此部署面前无计可施，通过端口扫描等工具也无法探知具体端口状态。

相比较传统的SPA方法，本发明可极大减小内部网络暴露面。通过该方法，无论是内部的接入代理网关或者服务器，都可以最大限度减小遭受外部安全风险。

实施例2

相比实施1，本实施例仅在网关上部署SPA模块，SPA代理中心开放用户认证和鉴权端口。这会牺牲一部分安全性能，但能减少维护工作量。SPA代理中心服务端口，作为唯一静态打开的端口，安全性集中管理，可以规避一些风险。

如图5-6所示，该多级单包授权的方法，具体实施措施如下：

S1、用户通过客户端发送访问请求数据包至SPA代理中心；

S2、客户端与SPA代理中心完成单包授权认证；

S3、SPA代理中心通过内部控制通道将访问请求数据包传递至网关，SPA代理中心设置会话的老化时间；

S4、网关接收访问请求数据包，设置安全规则，打开该客户端访问本网关的服务端口权限；

S5、客户端与网关建立连接，并建立业务会话，响应访问请求数据包中的业务访问请求；

S6、会话的老化时间超时后，SPA代理中心通过内部控制通道发送关闭访问的请求至网关，并反馈客户端重新进行单包授权认证。

上述多级单包授权的方法及装置，仅暴露SPA代理的服务端口，实现安全保护集中化管理，实现安全和运维的协调统一。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。