安全通信方法、装置及边界网关与流程

本发明涉及通信技术领域，尤其是涉及一种安全通信方法、装置及边界网关。

背景技术：

网关(Gateway)又称网间连接器、协议转换器。网关在网络层以上实现网络互连，是最复杂的网络互连设备，仅用于两个高层协议不同的网络互连。网关既可以用于广域网互连，也可以用于局域网互连。网关是一种充当转换重任的计算机系统或设备。使用在不同的通信协议、数据格式或语言，甚至体系结构完全不同的两种系统之间，网关是一个翻译器。与网桥只是简单地传达信息不同，网关对收到的信息要重新打包，以适应目的系统的需求。

防火墙(Firewall)，也称防护墙，是一种位于内部网络与外部网络之间的网络安全系统，依照特定的规则，允许或是限制传输的数据通过。

目前，不同网络之间一般采用网关进行隔离，对不同网络之间的通信一般采用防火墙的方式进行保护。防火墙一般采用客户端的IP、端口等信息进行报文过滤，然而这些信息极易伪造，所以无法保证网络之间的安全通信。

技术实现要素：

有鉴于此，本发明的目的在于提供一种安全通信方法、装置及边界网关，以保护不同网络之间的通信安全，提高流经网关的数据的可靠性。

第一方面，本发明实施例提供了一种安全通信方法，应用于边界网关，所述方法包括：

当获取到客户端向其他网络的通信设备发送的连接请求时，拦截所述连接请求，并向所述客户端发起身份认证请求；

当接收到所述客户端返回的身份认证信息时，验证所述身份认证信息是否有效；

如果验证结果为是，将所述连接请求继续发送至所述通信设备，以使所述客户端与所述通信设备正常通信。

结合第一方面，本发明实施例提供了第一方面的第一种可能的实施方式，其中，所述方法还包括：

当捕获到客户端向其他网络的通信设备发送的网络报文时，确定获取到所述客户端向所述通信设备发送的连接请求。

结合第一方面的第一种可能的实施方式，本发明实施例提供了第一方面的第二种可能的实施方式，其中，所述向所述客户端发起身份认证请求，包括：

通过解析所述网络报文，获取所述客户端的IP地址；

向所述IP地址发送身份认证请求。

结合第一方面的第一种可能的实施方式，本发明实施例提供了第一方面的第三种可能的实施方式，其中，所述边界网关存储有所述客户端的证书，所述身份认证信息包括原始摘要信息和数字签名，所述验证所述身份认证信息是否有效包括：

使用所述证书内的公钥对所述数字签名进行解密，得到解密摘要信息；

判断所述解密摘要信息与所述原始摘要信息是否一致；

如果是，确定所述数字签名有效。

结合第一方面的第一种可能的实施方式，本发明实施例提供了第一方面的第四种可能的实施方式，其中，所述方法还包括：

如果所述验证结果为否，丢弃所述网络报文，并阻挡所述客户端发送的其他报文。

第二方面，本发明实施例还提供一种安全通信装置，应用于边界网关，所述装置包括：

认证请求发送模块，用于当获取到客户端向其他网络的通信设备发送的连接请求时，拦截所述连接请求，并向所述客户端发起身份认证请求；

身份验证模块，用于当接收到所述客户端返回的身份认证信息时，验证所述身份认证信息是否有效；

继续发送模块，用于当所述身份验证模块的验证结果为是时，将所述连接请求继续发送至所述通信设备，以使所述客户端与所述通信设备正常通信。

结合第二方面，本发明实施例提供了第二方面的第一种可能的实施方式，其中，所述装置还包括：

请求获取确定模块，用于当捕获到客户端向其他网络的通信设备发送的网络报文时，确定获取到所述客户端向所述通信设备发送的连接请求。

结合第二方面的第一种可能的实施方式，本发明实施例提供了第二方面的第二种可能的实施方式，其中，所述认证请求发送模块具体用于：

通过解析所述网络报文，获取所述客户端的IP地址；

向所述IP地址发送身份认证请求。

结合第二方面的第一种可能的实施方式，本发明实施例提供了第二方面的第三种可能的实施方式，其中，所述装置还包括：

报文阻挡模块，用于当所述身份验证模块的验证结果为否时，丢弃所述网络报文，并阻挡所述客户端发送的其他报文。

第三方面，本发明实施例还提供一种边界网关，所述边界网关包括存储器以及处理器，所述存储器用于存储支持所述处理器执行第一方面及其任一种可能的实施方式所述方法的程序，所述处理器被配置为用于执行所述存储器中存储的程序。

本发明实施例带来了以下有益效果：

本发明实施例中，当边界网关获取到客户端向其他网络的通信设备发送的连接请求时，拦截该连接请求，并向客户端发起身份认证请求；当接收到客户端返回的身份认证信息时，验证该身份认证信息是否有效；如果验证结果为是，将连接请求继续发送至通信设备，以使客户端与通信设备正常通信。这样当客户端与其他网络的通信设备进行通信连接时，边界网关能够捕获客户端发送的连接请求，并对客户端进行身份认证，只有身份认证通过后才允许客户端与通信设备进行通信连接，因此可以保证通过边界网关的数据是安全可靠的，也即，保护了不同网络之间的通信安全，提高了流经网关的数据的可靠性。

本发明的其他特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种安全通信方法的流程示意图；

图2为本发明实施例提供的一种安全通信方法的交互流程图；

图3为本发明实施例提供的一种安全通信装置的结构示意图；

图4为本发明实施例提供的一种边界网关的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

目前防火墙一般采用客户端的IP、端口等信息进行报文过滤，然而这些信息极易伪造，所以无法保证网络之间的安全通信。基于此，本发明实施例提供的一种安全通信方法、装置及边界网关，可以保护不同网络之间的通信安全，提高流经网关的数据的可靠性。

为便于对本实施例进行理解，首先对本发明实施例所公开的一种安全通信方法进行详细介绍。

实施例一：

图1为本发明实施例提供的一种安全通信方法的流程示意图，该方法应用于边界网关，如图1所示，该方法包括以下几个步骤：

步骤S102，当获取到客户端向其他网络的通信设备发送的连接请求时，拦截该连接请求，并向客户端发起身份认证请求。

在边界网关上可以配置允许连接的多个客户端，客户端可以为手机、电脑等能够连接网络进行通信的电子设备。当客户端访问其他网络的通信设备时，客户端会发送访问报文，该报文会被边界网关拦截并捕获，无法继续发送。当边界网关捕获到客户端向其他网络的通信设备发送的网络报文时，确定获取到客户端向通信设备发送的连接请求。为了保护网络之间的通信安全，防止未知客户端对本地的通信设备造成破坏，此时需要先拦截该网络报文，并对客户端进行身份认证。

上述网络报文内携带有客户端信息，包括客户端的IP(Internet Protocol，网络协议)地址，因此为了对客户端进行身份认证，边界网关需要先通过解析该网络报文，获取客户端的IP地址，再向该IP地址发送身份认证请求。身份认证方式可以为数字证书(数字签名)、用户名/密码、动态口令、Ukey认证中的一种或多种，这里对具体的身份认证方式不做限定。

步骤S104，当接收到客户端返回的身份认证信息时，验证该身份认证信息是否有效。

客户端收到身份认证请求后，会向边界网关返回身份认证信息。以验证数字签名为例，身份认证信息包括原始摘要信息和数字签名，该数字签名为客户端用自己的私人密钥(私钥)对原始摘要信息进行签名获得的。

边界网关存储有客户端的证书，在验证数字签名是否有效时，需要使用证书内的公钥(公用密钥)对该数字签名进行解密，得到解密摘要信息；然后通过判断该解密摘要信息与原始摘要信息是否一致，来确定该数字签名是否有效。如果一致，则确定该数字签名有效；反之，则确定该数字签名无效。

步骤S106，如果验证结果为是，将连接请求继续发送至通信设备，以使客户端与通信设备正常通信。

当步骤S104的验证结果为是时，说明上述客户端是安全的，允许其与边界网关的通信设备连接，即此种情况下边界网关将上述连接请求继续发送至通信设备，后续客户端与通信设备即可正常通信。

当步骤S104的验证结果为否时，说明上述客户端不安全，禁止其与其他网络的通信设备连接，即此种情况下边界网关将丢弃上述网络报文，并阻挡该客户端发送的其他报文。

本发明实施例中，当边界网关获取到客户端向其他网络的通信设备发送的连接请求时，拦截该连接请求，并向客户端发起身份认证请求；当接收到客户端返回的身份认证信息时，验证该身份认证信息是否有效；如果验证结果为是，将连接请求继续发送至通信设备，以使客户端与通信设备正常通信。这样当客户端与其他网络的通信设备进行通信连接时，边界网关能够捕获客户端发送的连接请求，并对客户端进行身份认证，只有身份认证通过后才允许客户端与通信设备进行通信连接，因此可以保证通过边界网关的数据是安全可靠的，也即，保护了不同网络之间的通信安全，提高了流经网关的数据的可靠性。

为了便于理解，本实施例还提供了一种安全通信方法的交互流程图，如图2所示，以验证数字签名为例，该方法包括以下几个步骤：

步骤S202，客户端向其他网络的通信设备发起连接请求。

步骤S204，边界网关捕获网络报文，根据该网络报文获取客户端信息。

步骤S206，边界网关向客户端发起身份认证请求。

步骤S208，客户端将自身密钥(私钥)签名的数据发送给边界网关。

步骤S210，边界网关认证客户端的数字签名是否有效。

步骤S212，当认证数字签名有效时，边界网关将之前捕获的网络报文继续发送给通信设备。

步骤S214，客户端与通信设备正常通信。

本实施例提供的安全通信方法，通过拦截未知客户端发送的连接请求，并对客户端进行身份认证，保护了网络之间的通信安全，提高了流经边界网关的数据可靠性。

实施例二：

对应上述实施例一的方法，本实施例还提供了一种安全通信装置，该装置也应用于边界网关，如图3所示，该装置包括：

认证请求发送模块32，用于当获取到客户端向其他网络的通信设备发送的连接请求时，拦截该连接请求，并向客户端发起身份认证请求；

身份验证模块34，用于当接收到客户端返回的身份认证信息时，验证该身份认证信息是否有效；

继续发送模块36，用于当上述身份验证模块34的验证结果为是时，将上述连接请求继续发送至通信设备，以使客户端与通信设备正常通信。

上述装置还包括：

请求获取确定模块，与上述认证请求发送模块32连接，用于当捕获到客户端向其他网络的通信设备发送的网络报文时，确定获取到客户端向该通信设备发送的连接请求。

上述认证请求发送模块32具体用于：

通过解析上述网络报文，获取客户端的IP地址；向该IP地址发送身份认证请求。

上述装置还包括：

报文阻挡模块，与上述身份验证模块34连接，用于当身份验证模块34的验证结果为否时，丢弃上述网络报文，并阻挡该客户端发送的其他报文。

本发明实施例中，当边界网关获取到客户端向其他网络的通信设备发送的连接请求时，拦截该连接请求，并向客户端发起身份认证请求；当接收到客户端返回的身份认证信息时，验证该身份认证信息是否有效；如果验证结果为是，将连接请求继续发送至通信设备，以使客户端与通信设备正常通信。这样当客户端与其他网络的通信设备进行通信连接时，边界网关能够捕获客户端发送的连接请求，并对客户端进行身份认证，只有身份认证通过后才允许客户端与通信设备进行通信连接，因此可以保证通过边界网关的数据是安全可靠的，也即，保护了不同网络之间的通信安全，提高了流经网关的数据的可靠性。

实施例三：

参见图4，本发明实施例还提供一种边界网关100，包括：处理器40，存储器41，总线42和通信接口43，所述处理器40、通信接口43和存储器41通过总线42连接；处理器40用于执行存储器41中存储的可执行模块，例如计算机程序。

其中，存储器41可能包含高速随机存取存储器(RAM，Random Access Memory)，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。通过至少一个通信接口43(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接，可以使用互联网，广域网，本地网，城域网等。

总线42可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图4中仅用一个双向箭头表示，但并不表示仅有一根总线或一种类型的总线。

其中，存储器41用于存储程序，所述处理器40在接收到执行指令后，执行所述程序，前述本发明实施例任一实施例揭示的流过程定义的装置所执行的方法可以应用于处理器40中，或者由处理器40实现。

处理器40可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器40中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器40可以是通用处理器，包括中央处理器(Central Processing Unit，简称CPU)、网络处理器(Network Processor，简称NP)等；还可以是数字信号处理器(Digital Signal Processing，简称DSP)、专用集成电路(Application Specific Integrated Circuit，简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array，简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器41，处理器40读取存储器41中的信息，结合其硬件完成上述方法的步骤。

本发明实施例提供的安全通信装置及边界网关，与上述实施例提供的安全通信方法具有相同的技术特征，所以也能解决相同的技术问题，达到相同的技术效果。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的安全通信装置及边界网关的具体工作过程，可以参考前述安全通信方法实施例中的对应过程，在此不再赘述。

本发明实施例所提供的进行安全通信方法的计算机程序产品，包括存储了处理器可执行的非易失的程序代码的计算机可读存储介质，所述程序代码包括的指令可用于执行前面方法实施例中所述的方法，具体实现可参见方法实施例，在此不再赘述。

附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。