本发明涉及特权访问领域,特别涉及一种隐匿特权访问真实网络和协议的方法及装置。
背景技术:
访问端与目标端直接进行特权访问时,目标端创建会话使用的真实协议能被探查,导致目标类型有泄漏的风险。访问端与目标端建立会话过程中,协议也有可能被恶意劫持。劫持者通过协议的流向,甚至能知道目标端的架构。这些风险的存在会埋下极大的安全隐患。图1为传统访问端与目标端直接进行特权访问的流程图,这种特权访问的方式存在如下风险:通过探查真实协议,可知目标端的类型;协议可被劫持;通过协议流向,可知目标端的架构。
技术实现要素:
本发明要解决的技术问题在于,针对现有技术的上述缺陷,提供一种能大大降低真实协议被劫持和目标端类型架构被探查的风险,增加访问端和目标端进行特权访问的安全性的隐匿特权访问真实网络和协议的方法及装置。
本发明解决其技术问题所采用的技术方案是:构造一种隐匿特权访问真实网络和协议的方法,包括如下步骤:
a)目标端使用真实协议进行会话创建,创建的会话经由资源连接及协议转换引擎进行处理;
b)所述资源连接及协议转换引擎对来自所述目标端的会话进行协议转换,并将协议转换后的会话转发至访问代理引擎;
c)所述访问代理引擎对所述协议转换后的会话进行二次协议封装后,转发至访问端;
d)所述访问端接收经过二次协议封装的信息。
在本发明所述的隐匿特权访问真实网络和协议的方法中,在所述步骤a)之前还包括:
a01)所述访问端将请求访问发送给所述访问代理引擎;
a02)所述访问代理引擎将所述请求访问转发给所述资源连接及协议转换引擎;
a03)所述资源连接及协议转换引擎将所述请求访问发送给所述目标端。
在本发明所述的隐匿特权访问真实网络和协议的方法中,所述二次协议封装采用的封装协议为overhttps。
本发明还涉及一种实现上述隐匿特权访问真实网络和协议的方法的装置,包括:
会话创建单元:用于目标端使用真实协议进行会话创建,创建的会话经由资源连接及协议转换引擎进行处理;
会话转发单元:用于所述资源连接及协议转换引擎对来自所述目标端的会话进行协议转换,并将协议转换后的会话转发至访问代理引擎;
协议封装单元:所述访问代理引擎对所述协议转换后的会话进行二次协议封装后,转发至访问端;
信息接收单元:用于所述访问端接收经过二次协议封装的信息。
在本发明所述的装置中,还包括:
第一请求访问发送单元:用于所述访问端将请求访问发送给所述访问代理引擎;
请求访问转发单元:用于所述访问代理引擎将所述请求访问转发给所述资源连接及协议转换引擎;
第二请求访问发送单元:用于所述资源连接及协议转换引擎将所述请求访问发送给所述目标端。
在本发明所述的装置中,所述二次协议封装采用的封装协议为overhttps。
实施本发明的隐匿特权访问真实网络和协议的方法及装置,具有以下有益效果:由于目标端使用真实协议进行会话创建,创建的会话经由资源连接及协议转换引擎进行处理;资源连接及协议转换引擎对来自目标端的会话进行协议转换,并将协议转换后的会话转发至访问代理引擎;访问代理引擎对协议转换后的会话进行二次协议封装后,转发至访问端;访问端接收经过二次协议封装的信息;本发明能大大降低真实协议被劫持和目标端类型架构被探查的风险,增加访问端和目标端进行特权访问的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为传统访问端与目标端直接进行特权访问的流程图;
图2为本发明隐匿特权访问真实网络和协议的方法及装置一个实施例中的流程图;
图3为所述实施例中隐匿特权访问真实网络和协议的方法的流程框图;
图4为所述实施例中装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明隐匿特权访问真实网络和协议的方法及装置实施例中,其隐匿特权访问真实网络和协议的方法的流程图如图2所示。该隐匿特权访问真实网络和协议的方法的流程框图如图3所示。图2中,该隐匿特权访问真实网络和协议的方法包括如下步骤:
步骤s01目标端使用真实协议进行会话创建,创建的会话经由资源连接及协议转换引擎进行处理:本步骤中,目标端使用真实协议进行会话创建,创建的会话经由资源连接及协议转换引擎进行处理。
步骤s02资源连接及协议转换引擎对来自目标端的会话进行协议转换,并将协议转换后的会话转发至访问代理引擎:本步骤中,资源连接及协议转换引擎对来自目标端的会话进行协议转换,并将协议转换后的会话转发至访问代理引擎做进一步封装。
步骤s03访问代理引擎对协议转换后的会话进行二次协议封装后,转发至访问端:本步骤中,访问代理引擎对协议转换后的会话进行二次协议封装,并将二次封装后的会话转发至访问端。二次协议封装采用的封装协议为overhttps。
步骤s04访问端接收经过二次协议封装的信息:本步骤中,访问端接收经过二次协议封装的信息。
本发明的隐匿特权访问真实网络和协议的方法采用在访问端与目标端之间加入协议转换和协议封装的方法,隐匿特权访问过程中的真实网络和协议。具体是在访问端与目标端之间加入资源连接及协议转换引擎和访问代理引擎,将来自目标端的真实协议进行协议转换和协议封装。对比传统技术中访问端直接对目标端进行特权访问,本发明的隐匿特权访问真实网络和协议的方法在两者间加入资源连接及协议转换引擎和访问代理引擎,将创建会话使用的真实协议经过转换和封装,实现隐匿特权访问真实网络和协议的目的,其能大大降低真实协议被劫持和目标端类型架构被探查的风险,增加访问端和目标端进行特权访问的安全性。
值得一提的是,本实施例中,在步骤s01之前还包括如下步骤:
步骤s001访问端将请求访问发送给访问代理引擎:本步骤中,访问端将请求访问发送给访问代理引擎。
步骤s002访问代理引擎将请求访问转发给资源连接及协议转换引擎:本步骤中,访问代理引擎将请求访问转发给资源连接及协议转换引擎。
步骤s003资源连接及协议转换引擎将请求访问发送给目标端:本步骤中,资源连接及协议转换引擎将请求访问发送给目标端。
本实施例还涉及一种实现上述隐匿特权访问真实网络和协议的方法的装置,该装置的结构示意图如图3所示。图3中,该装置包括会话创建单元1、会话转发单元2、协议封装单元3和信息接收单元4;其中,会话创建单元1用于目标端使用真实协议进行会话创建,创建的会话经由资源连接及协议转换引擎进行处理;会话转发单元2用于资源连接及协议转换引擎对来自目标端的会话进行协议转换,并将协议转换后的会话转发至访问代理引擎;协议封装单元3访问代理引擎对协议转换后的会话进行二次协议封装后,转发至访问端;二次协议封装采用的封装协议为overhttps。信息接收单元4用于访问端接收经过二次协议封装的信息。
本发明的装置采用在访问端与目标端之间加入协议转换和协议封装的方法,隐匿特权访问过程中的真实网络和协议。具体是在访问端与目标端之间加入资源连接及协议转换引擎和访问代理引擎,将来自目标端的真实协议进行协议转换和协议封装。对比传统技术中访问端直接对目标端进行特权访问,本发明的装置在两者间加入资源连接及协议转换引擎和访问代理引擎,将创建会话使用的真实协议经过转换和封装,实现隐匿特权访问真实网络和协议的目的,其能大大降低真实协议被劫持和目标端类型架构被探查的风险,增加访问端和目标端进行特权访问的安全性。
本实施例中,该装置还包括第一请求访问发送单元5、请求访问转发单元6和第二请求访问发送单元7;第一请求访问发送单元5用于访问端将请求访问发送给访问代理引擎;请求访问转发单元6用于访问代理引擎将请求访问转发给资源连接及协议转换引擎;第二请求访问发送单元7用于资源连接及协议转换引擎将请求访问发送给目标端。
总之,本实施例中,为降低传统技术中存在的风险,在访问端与目标端之间加入协议转换和协议封装,实现隐匿特权访问过程中的真实网络和协议,增加进行特权访问的安全性。本发明能大大降低真实协议被劫持和目标端类型架构被探查的风险,增加访问端和目标端进行特权访问的安全性。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。