本发明涉及网络安全领域,具体涉及一种基于单包授权和反向连接的远程服务访问方法。
背景技术:
1、在现有的网络通信中,通常是客户端主动发起与服务器的连接请求,这种模式下,服务器需要监听一个固定的端口,等待客户端的连接。然而,这种方式容易受到各种形式的网络攻击如漏洞扫描、分布式拒绝服务(ddos)攻击。此外,在某些情况下,由于网络防火墙的存在,直接从外部访问内部资源变得困难。在内网环境下,一般采用反向连接的方式,即服务器和客户端通过同时连接一个他们可以共同访问的、公网上的服务器,客户端发送请求给中间服务器,中间服务器利用应用服务器建立的反向连接来向服务器中转请求,但反向连接一旦建立,则在中间服务器的端口和应用服务器端口之间建立了对应关系。访问中间服务器的端口就可以直接访问应用服务器的对应端口,同样降低了安全性。
2、目前为了解决上述问题,现有技术主要采用的是基于端口序列端口敲门技术和单包授权技术来解决,基于端口序列的端口敲门技术要求客户端在连接真正的服务器端口之前先向双方预先定义好的一个端口序列发起请求,侦测到有客户端按预先定义的顺序请求了这些端口之后,服务器判定该客户端是应该被授权的客户端,服务器会向该客户端的ip地址开放相应的服务端口进行服务;单包授权技术中客户端向服务器特定端口发送单个数据包进行访问申请,客户端将所有必要信息集成在单个数据包内,以简化敲门流程。服务器在开放端口之前会验证设备和用户身份,以此达到“网络隐身”,使攻击者无法端口。
3、然而这两种方案中,都是客户端主动连接服务器,当验证成功后,服务器仍然需要向客户端暴露端口,当多个客户端使用一个ip地址时,仍然存在被恶意攻击的可能性。并且,当服务器不具有公网ip时,暴露端口存在一定的困难。
技术实现思路
1、针对现有技术中提到的问题,本发明提出一种基于单包授权和反向连接的远程服务访问方法,可以解决当服务器不愿暴露端口或服务器在防火墙之后,无法暴露端口时,客户端与服务器之间如何通过单包授权建立可信连接的问题。
2、为了实现上述目的,本发明采用如下技术方案:
3、本发明一种基于单包授权和反向连接的远程服务访问方法,该方法涉及一种基于单包授权和反向连接的远程服务访问系统,系统包括客户端、中间服务器以及服务器,其中客户端和服务器位于内网,中间服务器位于外网,该方法包括以下步骤:
4、s1、服务器通过第一端口向中间服务器发送spa数据包,服务器防火墙会根据第一端口映射一个新端口发出spa数据包,中间服务器对spa数据包进行解密验证,验证成功后,更新对应服务器的地址和端口;
5、s2、客户端通过第二端口向中间服务器发送spa数据包,客户端防火墙会根据第二端口映射一个新端口发出spa数据包,中间服务器对来自客户端的spa数据包进行解密验证,验证成功后,更新对应客户端的地址和端口,并将该spa数据包转发给服务器;
6、s3、服务器对来自客户端的spa数据包进行解密验证,验证通过后,服务器通过第三端口向中间服务器重新发送spa数据包,服务器防火墙会根据第三端口映射一个新端口发出spa数据包;
7、s4、中间服务器转发来自服务器的spa数据包至客户端,客户端对spa数据包进行解密验证,验证通过后,客户端通过第四端口向中间服务器发送业务请求,客户端防火墙会根据第四端口映射一个新的指定端口发出业务请求;
8、s5、中间服务器转发来自客户端的业务请求至服务器,服务器通过第三特定端口获取应用数据后发出响应至中间服务器,中间服务器转发响应至客户端,实现客户端与服务器建立可信连接。
9、作为本发明进一步改进,spa数据包加密发送,其中spa数据包括版本号、请求类型、用户身份信息、客户端id、服务器id、时间戳以及签名中的一种或多种。
10、作为本发明进一步改进,所述用户身份信息包括用户的用户名或id。
11、作为本发明进一步改进,所述签名由预共享秘钥和随机数生成。
12、作为本发明进一步改进,步骤s3中服务器防火墙会根据第一端口映射一个新端口接受spa数据包并通过第一端口转发给服务器。
13、作为本发明进一步改进,步骤s4中客户端防火墙根据第二端口映射一个新端口会接收来自中间服务器的spa数据包并通过第二端口转发给客户端。
14、作为本发明进一步改进,步骤s5中服务器防火墙根据第三端口映射一个新端口会接收来自客户端的业务请求并通过第三端口转发给服务器;
15、中间服务器转发响应给客户端防火墙,客户端防火墙根据第四端口映射一个新的指定端口转发给客户端。
16、作为本发明进一步改进,服务器的第三端口与客户端的第四端口建立了连接。
17、作为本发明进一步改进,步骤s1中的中间服务器会建立服务器列表,服务器列表会记录服务器防火墙地址、服务器防火墙根据第一端口映射一个新端口与对应服务器id的地址和第一端口。
18、作为本发明进一步改进,步骤s3中的中间服务器会建立服务器列表,服务器列表会记录客户端防火墙地址、客户端防火墙根据第二端口映射一个新端口与对应客户端id的地址和第二端口。
19、本发明相对于现有技术,取得了以下的技术效果:
20、本发明提出一种基于单包授权和反向连接的远程服务访问方法,不仅实现了服务器端完全的端口隐藏,从而增强了系统的安全性,而且适用于服务器位于防火墙之后、无法或不宜直接暴露端口的高安全需求场景。
21、本方法在防火墙保护下,服务器也能安全地建立反向连接,无需开放任何端口给外部网络,有效规避了潜在的网络攻击和未经授权的访问风险,不仅提升了反向连接服务器访问的安全性,还进一步扩充了服务器在复杂网络环境下的隐蔽性和灵活性,为需要高度保密和稳定通信的应用场景提供了支撑。
1.一种基于单包授权和反向连接的远程服务访问方法,其特征在于,该方法涉及一种基于单包授权和反向连接的远程服务访问系统,系统包括客户端、中间服务器以及服务器,其中客户端和服务器位于内网,中间服务器位于外网,该方法包括以下步骤:
2.根据权利要求1所述一种基于单包授权和反向连接的远程服务访问方法,其特征在于,spa数据包加密发送,其中spa数据包括版本号、请求类型、用户身份信息、客户端id、服务器id、时间戳以及签名中的一种或多种。
3.根据权利要求2所述一种基于单包授权和反向连接的远程服务访问方法,其特征在于,所述用户身份信息包括用户的用户名或id。
4.根据权利要求2所述一种基于单包授权和反向连接的远程服务访问方法,其特征在于,所述签名由预共享秘钥和随机数生成。
5.根据权利要求1所述一种基于单包授权和反向连接的远程服务访问方法,其特征在于,步骤s3中服务器防火墙会根据第一端口映射一个新端口接受spa数据包并通过第一端口转发给服务器。
6.根据权利要求1所述一种基于单包授权和反向连接的远程服务访问方法,其特征在于,步骤s4中客户端防火墙根据第二端口映射一个新端口会接收来自中间服务器的spa数据包并通过第二端口转发给客户端。
7.根据权利要求1所述一种基于单包授权和反向连接的远程服务访问方法,其特征在于,步骤s5中服务器防火墙根据第三端口映射一个新端口会接收来自客户端的业务请求并通过第三端口转发给服务器;
8.根据权利要求1所述一种基于单包授权和反向连接的远程服务访问方法,其特征在于,服务器的第三端口与客户端的第四端口建立了连接。
9.根据权利要求1所述一种基于单包授权和反向连接的远程服务访问方法,其特征在于,步骤s1中的中间服务器会建立服务器列表,服务器列表会记录服务器防火墙地址、服务器防火墙根据第一端口映射一个新端口与对应服务器id的地址和第一端口。
10.根据权利要求1所述一种基于单包授权和反向连接的远程服务访问方法,其特征在于,步骤s3中的中间服务器会建立服务器列表,服务器列表会记录客户端防火墙地址、客户端防火墙根据第二端口映射一个新端口与对应客户端id的地址和第二端口。