一种安全链路下沉方法与流程

1.本发明属于远程链接技术领域，特别是涉及一种安全链路下沉方法。


背景技术：

2.零信任是一次对传统安全模型假设的彻底颠覆，传统模型假设：组织网络内的所有事物都应受到信任，事实上，一旦进入网络，用户(包括威胁行为者和恶意内部人员)就可以自由地横向移动、访问甚至泄露他们权限之外的任何数据，这显然是个很大的漏洞，零信任网络访问则认为：不能信任出入网络的任何内容，应创建一种以数据为中心的全新边界，通过强身份验证技术保护数据，在目前全球疫情大背景下，远程办公越来越迫切，同时全新的工作模式，多种跨地域合作需求也越来越多，随着信息化建设的不断发展，对于全新数字化时代的工作方式也提出了更多的要求，除了以往多地子公司联合办公的需求外，在当前海量经济、民生、社会、个人应用的高速迭代的发展背景下，更多的远程联合办公要求被提出。
3.现有的远程协助软件或办公软件都存在很多明显不足，这些不足也限制的了远程办公软件的发展，首先就是安全性问题，容易造成数据泄露，其次是便捷性不足，大多数远程协助工具都是基于窗口式交互方式，操作人员通过自己的电脑上软件实现类似远程桌面的链接方式，再通过操作宿主机实现远程操作，这造成非常多的操作不便和效率极大降低，最后是性能低且不稳定，现在的远程方式往往需要一个公网的服务器进行对接，同时需要通过云端服务器进行后续操作链接的维持，这也造成远程操作的流畅性、性能稳定性不足。


技术实现要素：

4.本发明的目的在于提供一种安全链路下沉方法，解决了现有的远程协助软件或办公软件都存在很多明显不足，这些不足也限制的了远程办公软件的发展，首先就是安全性问题，容易造成数据泄露，其次是便捷性不足，大多数远程协助工具都是基于窗口式交互方式，操作人员通过自己的电脑上软件实现类似远程桌面的链接方式，再通过操作宿主机实现远程操作，这造成非常多的操作不便和效率极大降低，最后是性能低且不稳定，现在的远程方式往往需要一个公网的服务器进行对接，同时需要通过云端服务器进行后续操作链接的维持，这也造成远程操作的流畅性、性能稳定性不足的技术问题。
5.为达上述目的，本发明是通过以下技术方案实现的：
6.一种安全链路下沉方法，包括以下步骤：
7.启动公网服务器接收和监听内网与远程客户端链接请求；
8.进行权限验证和配对，在确认配对后通过源ip欺骗的方式，向两端发出模拟为对端的链接申请；
9.依赖安全连接交换验证机制实现内网与远端客户端的链接建立，在建立连接的同时通过keep live交互从服务器端获取本次链接对应的验证随机码；
10.通过验证随机码实现双向验证机制，并根据加密技术建立安全隧道。
11.可选的，启动公网服务器后，公网服务器使用监听服务，进行监听内部节点查询服务和监控客户端链接请求服务，内部节点查询服务由内部节点定时循环进行链接查询。
12.可选的，当某客户端发起对某内部节点链接请求，服务器接受到客户端链接请求，并进行用户确权，确权成功的链接请求，服务器会根据其请求查询所需要链接的内部节点是否在线，找到在线且可连接的内部节点后进行该用户与该内部节点链接权限确认，验证通过后服务器向两端发送链接申请指令。
13.可选的，客户端收到指令后，根据指令携带信息填充内部节点ip为目的ip的链接并发送，同时服务器发送接收链接申请给内部节点。
14.可选的，内部节点接收到接收链接申请的信息后进行针对客户端的回复信息，客户端收到回复信息后完成客户端与内部节点链接的建立，完成由公网服务网代理方式链接到点对点直接链接的链接下沉，根据两个之前接受到服务器内容中提取动态验证信息进行可信的双向验证。
15.可选的，验证成功后在已建立连接的基础上，基于可选加密算法建立安全隧道。
16.本发明的实施例具有以下有益效果：
17.本发明的一个实施例通过安全隧道实现基于tcp或udp的远程接入能力，同时具备高效性、安全性、稳定性，符合零信任架构的安全访问能力，从而在保证信息安全的前提下为企业提供高效、稳定的远程办公能力，在不降低信息化代理的办公便捷性和无地域区分的要求下，基于零信任的安全的可支持远程、便捷、高效的能力尤为重要，将为企业高效办公业务推进起到极大的推动作用，帮助企业更快的推进其相关业务。
18.当然，实施本发明的任一产品并不一定需要同时达到以上所述的所有优点。
附图说明
19.构成本技术的一部分的说明书附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：
20.图1为本发明一实施例的隧道建立工作示意图；
21.图2为本发明一实施例的建立方法示意图；
22.图3为本发明一实施例的流程步骤示意图。
具体实施方式
23.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本发明一部分实施例，而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本发明及其应用或使用的任何限制。
24.为了保持本发明实施例的以下说明清楚且简明，本发明省略了已知功能和已知部件的详细说明。
25.请参阅图1-3所示，在本实施例中提供了一种安全链路下沉方法，包括以下步骤：
26.启动公网服务器接收和监听内网与远程客户端链接请求；
27.进行权限验证和配对，在确认配对后通过源ip欺骗的方式，向两端发出模拟为对端的链接申请；
28.依赖安全连接交换验证机制实现内网与远端客户端的链接建立，在建立连接的同时通过keep live交互从服务器端获取本次链接对应的验证随机码；
29.通过验证随机码实现双向验证机制，并根据加密技术建立安全隧道。
30.本实施例一个方面的应用为：先通过公网服务器接收和监听内网与远程客户端链接请求，并通过公网服务器进行权限验证和配对，在确认配对后通过源ip欺骗的方式，向两端发出模拟为对端的链接申请，在依赖安全连接交换验证机制实现内网与远端客户端的链接建立，在建立连接的同时通过keep live交互从服务器端获取本次链接对应的验证随机码，通过该随机码实现双向验证机制，最后，根据加密技术建立安全隧道，实现远端客户端电脑与内网节点的安全链接隧道建立能力。
31.通过安全隧道实现基于tcp或udp的远程接入能力，同时具备高效性、安全性、稳定性，符合零信任架构的安全访问能力，从而在保证信息安全的前提下为企业提供高效、稳定的远程办公能力，在不降低信息化代理的办公便捷性和无地域区分的要求下，基于零信任安全的可支持远程、便捷、高效的能力尤为重要，将为企业高效办公业务推进起到极大的推动作用，帮助企业更快的推进其相关业务。
32.如图3所示，本实施例的启动公网服务器后，公网服务器使用监听服务，进行监听内部节点查询服务和监控客户端链接请求服务。内部节点查询服务由内部节点定时循环进行链接查询。当某客户端发起对某内部节点链接请求，服务器接受到客户端链接请求，并进行用户确权。确权成功的链接请求，服务器会根据其请求查询所需要链接的内部节点是否在线。找到在线且可连接的内部节点后进行该用户与该内部节点链接权限确认，验证通过后服务器向两端发送链接申请指令。客户端收到指令后，根据指令携带信息填充内部节点ip(伪ip)为目的ip的链接并发送，同时服务器发送接收链接申请给内部节点。内部节点接收到接收链接申请的信息后进行针对客户端的回复信息，客户端收到回复信息后完成客户端与内部节点链接的建立。完成由公网服务网代理方式链接到点对点直接链接的链接下沉，根据两个之前接受到服务器内容中提取动态验证信息进行可信的双向验证。验证成功后在已建立连接的基础上，基于可选加密算法(ssl等，通过ssl加密技术避免了服务器代理模式，也就避免了中间劫持数据的可能，从而实现安全能力)建立安全隧道，客户端通过该隧道实现对于内容应用的远程、高效、便捷、安全、直连的访问能力，区别与vpn的单一隧道方式，基于每次连接都是独立的隧道建立，远端电脑通过该隧道即可实现与内网的安全联通能力，从而实现远程访问，并且该方式是基于tcp及udp协议层的方式，该方式实现了对于应用层的透明能力，从而实现了不需要单独打开独立窗口，也不需要内网电脑配合即可实现远程电脑对于内网应用的直接访问，实现了远程电脑对内网应用访问与内网访问操作完全一致的使用方式，极大的提高了使用的便捷性，其次由于安全链路下沉方式，在链接建立后的交互均实现了点到点的直接交互，不在依赖公网服务器，因此使用性能也将不在受公网服务器(公网服务器仅负责链接点配对及链接权限确权工作)影响，稳定性和性能都得到了极大提高，在交互响应上基本和内网没有区别。
33.上述实施例可以相互结合。
34.需要说明的是，本技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本技术的实施方式能够以除了在这里图示
或描述的那些以外的顺序实施。
35.在本发明的描述中，需要理解的是，方位词如“前、后、上、下、左、右”、“横向、竖向、垂直、水平”和“顶、底”等所指示的方位或位置关系通常是基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，在未作相反说明的情况下，这些方位词并不指示和暗示所指的装置或元件必须具有特定的方位或者以特定的方位构造和操作，因此不能理解为对本发明保护范围的限制；方位词“内、外”是指相对于各部件本身的轮廓的内外。