流量转发方法、装置、存储介质及电子设备与流程

本发明涉及计算机，具体而言，涉及一种流量转发方法、装置、存储介质及电子设备。

背景技术：

1、运营商网络庞大且复杂，包含大量不同功能、不同业务域的业务系统。业务系统在运营过程中会面临0day攻击、高级持续性威胁(advanced persistent threat，apt)、社会工程攻击等网络安全风险。

2、目前，运营商普遍采用vpn技术与白名单技术相结合的方式，对企业资产(例如，业务系统)进行脆弱性防护，以抵御上述网络安全风险。然而，在使用传统vpn技术的过程中，会存在其他的网络安全风险问题。例如，由于vpn客户端是通用的，攻击者可以使用通用客户端进行密码爆破攻击；由于vpn服务器端的tcp端口长期处于监听状态，容易遭受tls漏洞、ddos漏洞攻击；由于vpn虚拟网卡捕获所有进程的流量，黑客工具生成的流量也可以通过vpn隧道攻击业务系统。因此，相关技术中采用vpn技术进行流量转发，存在对企业资产的防护安全程度较低的问题。

3、针对上述的问题，目前尚未提出有效的解决方案。

技术实现思路

1、本发明实施例提供了一种流量转发方法、装置、存储介质及电子设备，以至少解决现有技术中采用vpn技术进行流量转发存在对企业资产的防护安全程度较低的技术问题。

2、根据本发明实施例的一个方面，提供了一种流量转发方法，包括：接收目标对象发起的第一访问请求，其中，第一访问请求至少包括目标对象的账户信息；确定第一访问请求的来源是否为目标浏览器，在第一访问请求的来源为目标浏览器的情况下，对账户信息进行校验；在账户信息通过校验的情况下，从多个转发器中确定目标转发器，并将目标转发器的地址信息发送至目标浏览器，以使目标转发器接收目标浏览器发送的业务请求流量，并在业务请求流量满足预设条件的情况下，将业务请求流量转发至目标业务系统。

3、进一步地，流量转发方法还包括：检测第一访问请求中是否包含目标浏览器的标识；在第一访问请求中包含目标浏览器的标识的情况下，确定第一访问请求的来源为目标浏览器。

4、进一步地，流量转发方法还包括：将账户信息与身份管理系统的数据库中的账户信息进行比对，得到比对结果，其中，身份管理系统用于管理访问目标业务系统的多个账户，比对结果用于表征账户信息是否通过校验。

5、进一步地，流量转发方法还包括：获取多个转发器的运行信息，其中，运行信息表征多个转发器的性能情况；根据运行信息，从多个转发器中确定目标转发器。

6、进一步地，流量转发方法还包括：在账户信息通过校验的情况下，获取账户信息对应的权限信息和目标密钥，其中，权限信息用于表征是否允许目标对象访问目标业务系统，目标密钥用于对业务请求流量进行加密处理；将权限信息和目标密钥发送至目标转发器。

7、进一步地，流量转发方法还包括：在将目标转发器的地址信息发送至目标浏览器之前，接收身份管理系统发送的第一短信验证信息；接收目标对象发起的第二访问请求，其中，第二访问请求至少包括第二短信验证信息；比对第一短信验证信息与第二短信验证信息是否一致，并在第一短信验证信息与第二短信验证信息一致的情况下，将目标转发器的地址信息发送至目标浏览器。

8、进一步地，流量转发方法还包括：在将目标转发器的地址信息发送至目标浏览器之后，目标转发器接收目标业务系统发送的业务响应流量，并将业务响应流量转发至目标浏览器。

9、根据本发明实施例的另一方面，还提供了一种流量转发装置，包括：接收模块，用于接收目标对象发起的第一访问请求，其中，第一访问请求至少包括目标对象的账户信息；确定模块，用于确定第一访问请求的来源是否为目标浏览器，在第一访问请求的来源为目标浏览器的情况下，对账户信息进行校验；发送模块，用于在账户信息通过校验的情况下，从多个转发器中确定目标转发器，并将目标转发器的地址信息发送至目标浏览器，以使目标转发器接收目标浏览器发送的业务请求流量，并在业务请求流量满足预设条件的情况下，将业务请求流量转发至目标业务系统。

10、根据本发明实施例的另一方面，还提供了一种计算机可读存储介质，该计算机可读存储介质中存储有计算机程序，其中，计算机程序被设置为运行时执行上述的流量转发方法。

11、根据本发明实施例的另一方面，还提供了一种电子设备，该电子设备包括一个或多个处理器；存储器，用于存储一个或多个程序，当一个或多个程序被一个或多个处理器执行时，使得一个或多个处理器实现用于运行程序，其中，程序被设置为运行时执行上述的流量转发方法。

12、在本发明实施例中，采用专用浏览器进行信任协商并通过中继转发器转发流量的方式，首先接收目标对象发起的第一访问请求，然后确定第一访问请求的来源是否为目标浏览器，在第一访问请求的来源为目标浏览器的情况下，对账户信息进行校验，在账户信息通过校验的情况下，从多个转发器中确定目标转发器，并将目标转发器的地址信息发送至目标浏览器，以使目标转发器接收目标浏览器发送的业务请求流量，并在业务请求流量满足预设条件的情况下，将业务请求流量转发至目标业务系统。其中，第一访问请求至少包括目标对象的账户信息。

13、在上述过程中，通过接收目标对象发起的第一访问请求，为后续确定第一访问请求的来源提供了数据基础；通过确定第一访问请求的来源是否为目标浏览器，实现了对浏览器的合法性校验，校验通过后才会允许tcp协议的远程连接，与现有技术中vpn服务器端的tcp端口长期处于监听状态相比，能够规避tls漏洞、ddos漏洞攻击等远程网络攻击风险；在第一访问请求的来源为目标浏览器的情况下，对账户信息进行校验，实现了采用专用浏览器信任协商安全中继转发，与现有技术相比，攻击者无法使用通用客户端进行密码爆破攻击；在账户信息通过校验的情况下，从多个转发器中确定目标转发器，并将目标转发器的地址信息发送至目标浏览器，可以使目标转发器接收目标浏览器发送的业务请求流量，并在业务请求流量满足预设条件的情况下，将业务请求流量转发至目标业务系统，实现了将资产暴露面收缩到安全的中继转发通道上，减小了企业资产的暴露面，提高了对企业资产的防护安全程度，具有更好的安全防护效果。

14、由此可见，通过本发明的技术方案，达到了通过专用浏览器进行信任协商并通过中继转发器转发流量，实现对企业资产的全面脆弱性防护的目的，从而实现了提高对企业资产的防护安全程度的技术效果，进而解决了现有技术中采用vpn技术进行流量转发存在对企业资产的防护安全程度较低的技术问题。

技术特征：

1.一种流量转发方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，确定所述第一访问请求的来源是否为目标浏览器，包括：

3.根据权利要求1所述的方法，其特征在于，对所述账户信息进行校验，包括：

4.根据权利要求1所述的方法，其特征在于，从多个转发器中确定目标转发器，包括：

5.根据权利要求1所述的方法，其特征在于，所述方法还包括：

6.根据权利要求1所述的方法，其特征在于，在将所述目标转发器的地址信息发送至所述目标浏览器之前，所述方法还包括：

7.根据权利要求1所述的方法，其特征在于，在将所述目标转发器的地址信息发送至所述目标浏览器之后，所述方法还包括：

8.一种流量转发装置，其特征在于，包括：

9.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有计算机程序，其中，所述计算机程序被设置为运行时执行所述权利要求1至7任一项中所述的流量转发方法。

10.一种电子设备，其特征在于，所述电子设备包括一个或多个处理器；存储器，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现用于运行程序，其中，所述程序被设置为运行时执行所述权利要求1至7任一项中所述的流量转发方法。

技术总结
本发明公开了一种流量转发方法、装置、存储介质及电子设备。其中，该方法包括：接收目标对象发起的第一访问请求，其中，第一访问请求至少包括目标对象的账户信息；确定第一访问请求的来源是否为目标浏览器，在第一访问请求的来源为目标浏览器的情况下，对账户信息进行校验；在账户信息通过校验的情况下，从多个转发器中确定目标转发器，并将目标转发器的地址信息发送至目标浏览器，以使目标转发器接收目标浏览器发送的业务请求流量，并在业务请求流量满足预设条件的情况下，将业务请求流量转发至目标业务系统。本发明解决了现有技术中采用VPN技术进行流量转发存在对企业资产的防护安全程度较低的技术问题。

技术研发人员：韦明豪,蒙斌
受保护的技术使用者：中国电信股份有限公司
技术研发日：
技术公布日：2024/1/12