技术简介:
本专利针对现有技术中用户访问业务系统需通过VPN隧道进行身份鉴别的问题,提出了一种无需虚拟网卡驱动的验证方法。通过抓包解析数据流量报文头,分别验证用户端与目标业务系统的资源数据,结合防火墙策略实现流量过滤与身份鉴别,解决了部署复杂、性能低下的技术难题,提升了验证效率。
关键词:数据流量验证,安全认证网关
本申请涉及数据安全领域,特别是涉及一种数据流量的验证方法及安全认证网关系统。
背景技术:
:1、用户对业务系统访问之前,一般需要对用户进行身份鉴别。现有技术一般采用虚拟专用网络(virtual private network,vpn)的隧道技术,在网络出口对网络数据进行再次封装,确保流量到主路网关,再解析报文,进行身份鉴别。这种技术有两个弊端:2、1)用户的电脑需要安装虚拟网卡驱动,给用户带来不便;3、2)对报文进行重组和解析,必然影响性能,效率低。4、针对相关技术中对访问业务系统的用户进行身份鉴别的方案存在部署复杂、效率低的问题,目前尚未提出有效的解决方案。技术实现思路1、本申请实施例提供的一种数据流量的验证方法及安全认证网关系统,至少解决对现有技术中对访问业务系统的用户进行身份鉴别的方案存在部署复杂、效率低的问题。2、根据本申请实施例的一个方面,提供了一种数据流量的验证方法,包括:对访问业务系统的数据流量抓包,获取数据流量的报文头;解析报文头,得到发起数据流量的用户端的第一资源数据以及数据流量需要访问的业务系统的第二资源数据;分别对第一资源数据和第二资源数据进行验证。3、可选地, 第一资源数据包括以下至少之一:用户端的ip地址以及mac地址;第二资源数据包括以下至少之一:数据流量需要访问的业务系统的ip地址、端口以及通信协议。4、可选地,对第二资源数据进行验证,包括:利用防火墙策略中包括的目标业务系统的资源数据与第二资源数据进行比对,其中,目标业务系统为需要被保护的业务系统;若目标业务系统的资源数据与第二资源数据相同,确定数据流量需要访问的业务系统为目标业务系统,对第一资源数据进行验证;若目标业务系统的资源数据与第二资源数据不同,确定数据流量需要访问的业务系统不是目标业务系统,放行数据流量。5、可选地,对第二资源数据进行验证之前,上述方法还包括:获取目标业务系统的资源数据,并基于目标业务系统的资源数据生成保护策略;通过iptables防火墙机制,将保护策略转化为防火墙策略。6、可选地,对第一资源数据进行验证,包括:判断用户端的ip地址和mac地址是否位于用户在线列表中;若用户端的ip地址和mac地址位于用户在线列表中,确定第一资源数据验证通过,放行数据流量;若用户端的ip地址和mac地址没有位于用户在线列表中,确定第一资源数据验证未通过,阻止数据流量,并跳转至网关认证页面,其中,网关认证页面用于用户端通过数字证书的认证方式进行验证。7、可选地,跳转至网关认证页面之后,上述方法还包括:获取用户端通过数字证书的认证方式进行验证的验证结果;若验证结果为验证失败,阻止所述数据流量;若验证结果为验证成功,将用户端的ip地址和mac地址更新至用户在线列表中,并判断用户端是否具备访问目标业务系统的权限;若用户端具备访问目标业务系统的权限,放行数据流量;若用户端不具备访问目标业务系统的权限,禁止数据流量访问目标业务系统。8、可选地,上述方法还包括:若用户端通过第一账户在预设时长内访问不具备权限的业务系统的访问次数超过预设次数,禁止用户端通过第一账户访问目标业务系统,并对用户端进行标记;若检测到被标记的用户端通过第二账户访问目标业务系统,禁止被标记的用户端通过第二账户访问目标业务系统,其中,第二账户是与第一账户不同的账户。9、可选地,在通过至少两种不同类型的验证方式对第一账户进行认证成功后,允许用户端通过第一账户访问目标业务系统,以及解除对用户端的标记,并允许用户端通过第二账户访问目标业务系统。10、根据本申请实施例的另一方面,还提供了一种安全认证网关系统,包括:第一交换机、第二交换机以及网关设备,其中,第一交换机,设置在网关设备和用户端之间,设置为实现用户端和网关设备之间的通信;第二交换机,设置在网关设备和业务系统之间,设置为实现网关设备和业务系统之间的通信;网关设备,设置为执行以上的方法。11、根据本申请实施例的另一方面,还提供了一种电子设备,包括:处理器,以及存储程序的存储器,其特征在于,程序包括指令,指令在由处理器执行时使处理器执行以上的方法。12、根据本申请实施例的再一方面,还提供了一种存储有计算机指令的非瞬时机器可读介质,计算机指令用于使计算机执行以上的方法。13、根据本申请实施例的再一方面,还提供了一种计算机程序产品,包括计算机程序,计算机程序在被计算机的处理器执行时用于使计算机执行以上的方法。14、本申请实施例的有益效果:15、在本申请实施例中,采用对访问业务系统的数据流量抓包,获取数据流量的报文头;解析报文头,得到发起数据流量的用户端的第一资源数据以及数据流量需要访问的业务系统的第二资源数据;分别对第一资源数据和第二资源数据进行验证的方式,通过防火墙策略对网络出口的流量进行引导和过滤,确保需要访问认证网关后面的业务系统的流量,都必须经过认证网关的过滤和身份鉴别后,才能流转到业务系统。从而实现了采用简单的部署即可实现对访问业务系统的用户进行身份鉴别,并且提高了处理效率的技术效果,进而解决了现有技术中对访问业务系统的用户进行身份鉴别的方案存在部署复杂、效率低的技术问题。16、本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。技术特征:1.一种数据流量的验证方法,其特征在于,包括:2.根据权利要求1所述的方法,其特征在于,3.根据权利要求2所述的方法,其特征在于,对所述第二资源数据进行验证,包括:4.根据权利要求3所述的方法,其特征在于,对所述第二资源数据进行验证之前,所述方法还包括:5.根据权利要求3所述的方法,其特征在于,对所述第一资源数据进行验证,包括:6.根据权利要求5所述的方法,其特征在于,跳转至网关认证页面之后,所述方法还包括:7.根据权利要求3所述的方法,其特征在于,所述方法还包括:8.根据权利要求7所述的方法,其特征在于,9.一种安全认证网关系统,其特征在于,包括:第一交换机、第二交换机以及网关设备,其中,10.一种电子设备,包括:处理器,以及存储程序的存储器,其特征在于,所述程序包括指令,所述指令在由所述处理器执行时使所述处理器执行根据权利要求1至8中任一项所述的方法。11.一种存储有计算机指令的非瞬时机器可读介质,其特征在于,所述计算机指令用于使所述计算机执行根据权利要求1至8中任一项所述的方法。12.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序在被计算机的处理器执行时用于使计算机执行权利要求1至8中任一项所述的方法。技术总结本申请涉及一种数据流量的验证方法及安全认证网关系统。其中,该方法包括:对访问业务系统的数据流量抓包,获取数据流量的报文头;解析报文头,得到发起数据流量的用户端的第一资源数据以及数据流量需要访问的业务系统的第二资源数据;分别对第一资源数据和第二资源数据进行验证。本申请解决了现有技术中对访问业务系统的用户进行身份鉴别的方案存在部署复杂、效率低的技术问题。技术研发人员:章勇,张斌,陈卓,李继国,常进受保护的技术使用者:北京时代亿信科技股份有限公司技术研发日:技术公布日:2024/11/28