报文传输方法、SSLVPN代理服务器、电子设备以及存储介质
技术领域
本公开涉及网络安全技术领域,尤其涉及一种报文传输方法、SSLVPN代理服务器、电子设备以及存储介质。
背景技术
SSLVPN是基于安全套接层协议建立远程安全访问通道的一种VPN技术。它具有网络访问、网上应用程序、应用程序访问等众多功能,其中网络访问是SSLVPN最为重要和标志性的功能。在网络访问中,页面中的链接部分,对URL进行替换,转换成能解析到SSLVPN代理服务器的域名请求,以此完成后续用户界面访问依旧处于SSLVPN代理环境下。
在通过SSLVPN访问内网资源时,现有的报文传输方案存在安全隐患,因此,如何提高通过SSLVPN访问内网资源时报文传输的安全性,是目前亟待解决的问题。
发明内容
为了解决上述技术问题或者至少部分地解决上述技术问题,本公开提供了一种报文传输方法、SSLVPN代理服务器、电子设备以及存储介质。
第一方面,本公开实施例提出一种报文传输方法,所述报文传输方法适用于SSLVPN代理服务器,所述报文传输方法包括:
获取来自Web服务器的第一报文;
若所述第一报文中包括显性的WEB服务器的域名信息和/或IP信息,对所述第一报文进行编码,得到将WEB服务器的域名信息和/或IP信息隐藏的第二报文;
将所述第二报文转发至客户端。
进一步地,所述第一报文中包括显性的WEB服务器的域名信息和/或IP信息,包括:
所述第一报文的包体中包括绝对路径的超链接;和/或,
所述第一报文的包头中包括重定向URL。
进一步地,对所述第一报文进行编码,得到将WEB服务器的域名信息和/或IP信息隐藏的第二报文,包括:
对所述第一报文中包括显性的WEB服务器的域名信息和/或IP信息的网页地址进行编码,得到编码后的网页地址;
利用所述编码后的网页地址替换所述第一报文中的网页地址,得到将WEB服务器的域名信息和/或IP信息隐藏的第二报文。
进一步地,所述对所述第一报文中包括显性的WEB服务器的域名信息和/或IP信息的网页地址进行编码,得到编码后的网页地址,包括:
识别所述第一报文中包括WEB服务器的域名信息和/或IP信息的网页地址中的标记源字段以及请求路径,所述标记源字段包括协议标识和端口信息,所述标记源字段还包括WEB服务器的域名信息或IP信息;
将标记源字段进行编码,得到标记目的字段;
基于所述标记目的字段和所述请求路径,得到编码后的网页地址。
进一步地,基于所述标记目的字段和所述请求路径,得到编码后的网页地址,包括:
在所述标记目的字段之前添加协议标识,在所述标记目的字段之后,添加SSLVPN代理服务器域名和请求路径,得到编码后的网页地址。
进一步地,在所述标记目的字段之前添加协议标识,在所述标记目的字段之后添加SSLVPN代理服务器域名和请求路径,得到编码后的网页地址,还包括:
在所述标记目的字段之前添加协议标识和编码标识,在所述标记目的字段之后,添加SSLVPN代理服务器域名和请求路径,得到编码后的网页地址。
进一步地,还包括:
获取来自客户端的第三报文,所述第三报文包括被隐藏的WEB服务器的域名信息和IP信息;
对第三报文进行解码,得到包括显性的WEB服务器的域名信息和/或IP信息的第四报文;所述解码的过程为所述编码的过程的逆过程;
将所述第四报文转发至客户端。
第二方面,本公开实施例还提出一种SSLVPN代理服务器,包括:
第一报文获取模块,用于获取来自Web服务器的第一报文;
编码模块,用于若所述第一报文中包括显性的WEB服务器的域名信息和/或IP信息,对所述第一报文进行编码,得到将WEB服务器的域名信息和/或IP信息隐藏的第二报文;
转发模块,用于将所述第二报文转发至客户端。
第三方面,本公开实施例还提出一种电子设备,包括:处理器和存储器;
处理器通过调用存储器存储的程序或指令,用于执行上述任一方法的步骤。
第四方面,本公开实施例还提出一种计算机可读存储介质,计算机可读存储介质存储程序或指令,程序或指令使计算机执行上述任一方法的步骤。
本公开实施例提供的技术方案与现有技术相比具有如下优点:
本公开实施例中提供的技术方案中,若第一报文中包括显性的WEB服务器的域名信息和/或IP信息,对第一报文进行编码,得到将WEB服务器的域名信息和/或IP信息隐藏的第二报文;后续将第二报文转发至客户端。这样他人无法从客户端的URL知道WEB服务器的真实域名信息和/或IP信息。解决了在通过SSLVPN访问内网资源时,现有的报文传输方案存在安全隐患的问题,达到了可以提高通过SSLVPN访问内网资源时报文传输的安全性,避免他人从客户端的URL知道WEB服务器的真实域名信息和/或IP信息的效果。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本公开实施例提供的一种报文传输方法的流程图;
图2是本公开实施例提供的一种报文传输过程的交互图;
图3是本公开实施例提供的另一种报文传输方法的流程图;
图4是本公开实施例提供的一种SSLVPN代理服务器的结构框图;
图5为本公开实施例提供的电子设备的硬件结构示意图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
如背景技术,目前,在通过SSLVPN访问内网资源时,现有的报文传输方案存在安全隐患。申请人对该问题进行充分研究后发现,造成现有的报文传输方案存在安全隐患的一个重要原因是现有方案的URL请求格式会泄露后台WEB服务器的域名信息或IP信息,致使他人很容易读取到后台WEB服务器的访问信息。
具体而言,现有技术方案为,SSLVPN代理服务器接收客户端发送的请求报文,解析该请求报文,获得该请求报文的包头和包体,根据预设的上行替换规则对该请求报文的包头和包体进行URL替换,得到目标请求报文,并将该目标请求报文发送给WEB服务器,示例:
请求报文为:ck-login-web-com.vpn.test.com/...;
目标请求报文为:login.web.com/...。
SSLVPN代理服务器接收WEB服务器发送的响应报文,解析该响应报文,获得响应报文的包头和包体,根据预设的下行替换规则对报文的包头和包体进行URL替换,得到目标响应报文,示例:
响应报文为:*.web.com/...;
目标响应报文为:ck-*-web-com.vpn.test.com/...。
从上述内容可以发现,在目标请求报文和目标响应报文中WEB服务器域名信息显式可见,他人可以从客户端直接读取到后台WEB服务器的真实URL(例如:login.web.com)。即现有方案的URL请求格式会泄露后台WEB服务器的域名信息或IP信息。
针对于此,图1是本公开实施例提供的一种报文传输方法的流程图。该报文传输方法适用于SSLVPN代理服务器。参见图1,该报文传输方法包括:
S110、获取来自Web服务器的第一报文。
S120、若第一报文中包括显性的WEB服务器的域名信息和/或IP信息,对第一报文进行编码,得到将WEB服务器的域名信息和/或IP信息隐藏的第二报文。
其中,显性的WEB服务器的域名信息和/或IP信息是指可以直观地、不加处理(如解码处理)地得到的WEB服务器的域名信息和/或IP信息。例如前文示例中响应报文中直接包括WEB服务器的域名信息的字符串(web.com),为显性的WEB服务器的域名信息。
本步骤的具体实现方法有多种,本公开对此不作限制。示例性地,首先,判断第一报文中是否包括显性的WEB服务器的域名信息和IP信息。若经判断第一报文中包括显性的WEB服务器的域名信息,或者第一报文中包括显性的WEB服务器的IP信息,或者第一报文中同时包括显性的WEB服务器的域名信息和IP信息,对第一报文进行编码,得到将WEB服务器的域名信息和/或IP信息隐藏的第二报文。即第二报文即不包括显性的WEB服务器的域名信息,也不包括显性的WEB服务器的IP信息。
进一步地,考虑到在实际中,通常绝对路径的超链接和重定向URL中会包括显性的WEB服务器的域名信息和/或IP信息。因此,可选地,第一报文中包括WEB服务器的域名信息和/IP信息,包括:第一报文的包体中包括绝对路径的超链接;和/或,第一报文的包头中包括重定向URL。这样设置可以简化WEB服务器的域名信息和/或IP信息的识别策略。
进一步地,“对第一报文进行编码,得到将WEB服务器的域名信息和/或IP信息隐藏的第二报文”的实现方法有多种,本公开对此不作限制。可选地,对第一报文中包括显性的WEB服务器的域名信息和/或IP信息的网页地址进行编码,得到编码后的网页地址;利用编码后的网页地址替换第一报文中的网页地址,得到将WEB服务器的域名信息和/或IP信息隐藏的第二报文。这样设置的实质是,仅对第一报文中包括显性的WEB服务器的域名信息和/或IP信息的网页地址进行替换,使得该WEB服务器的域名信息和/或IP信息被隐藏,而其他数据保持不变,这样设置可以确保最终在客户端所显示的页面数据完整。
S130、将第二报文转发至客户端。
上述技术方案中,若第一报文中包括显性的WEB服务器的域名信息和/或IP信息,对第一报文进行编码,得到将WEB服务器的域名信息和IP信息隐藏的第二报文;后续将第二报文转发至客户端。这样他人无法从客户端的URL知道WEB服务器的真实域名信息和/或IP信息。解决了在通过SSLVPN访问内网资源时,现有的报文传输方案存在安全隐患的问题,达到了可以提高通过SSLVPN访问内网资源时报文传输的安全性,避免他人从客户端的URL知道WEB服务器的真实域名信息和/或IP信息的效果。
在上述方案的基础上,在S120中,“对第一报文中包括WEB服务器的域名信息和/或IP信息的网页地址进行编码,得到将WEB服务器的域名信息和/或IP信息隐藏的第二报文”的实现方法有多种,本公开对此不作限制。可选地,识别第一报文中包括WEB服务器的域名信息和/或IP信息的网页地址中的标记源字段以及请求路径,标记源字段包括协议标识和端口信息,标记源字段还包括WEB服务器的域名信息或IP信息;将标记源字段进行编码,得到标记目的字段;基于标记目的字段和请求路径,得到编码后的网页地址。
示例性地,第一报文包体中的URL为http://test.web.com:81/path_1。
SSLVPN代理服务器将该第一报文包体中的URL替换为:
https://nt-xhozlcfzrw63j2hayqnb2hi4b2f4xxizltoq.vpn.com/path_1。
其中,第一报文包体中的URL中“http://”为协议标识,“test.web.com”为WEB服务器的域名信息,“81”为端口信息,“path_1”为请求路径。“http://test.web.com:81”共同构成标记源字段。将该标记源字段进行编码,得到标记目的字段。标记目的字段为“xhozlcfzrw63j2hayqnb2hi4b2f4xxizltoq”。基于标记目的字段“xhozlcfzrw63j2hayqnb2hi4b2f4xxizltoq”和请求路径“path_1”,得到编码后的网页地址(即https://nt-xhozlcfzrw63j2hayqnb2hi4b2f4xxizltoq.vpn.com/path_1)。利用https://nt-xhozlcfzrw63j2hayqnb2hi4b2f4xxizltoq.vpn.com/path_1替换第一报文包体中http://test.web.com:81/path_1。
可选地,在识别第一报文中包括WEB服务器的域名信息和/或IP信息的网页地址中的标记源字段以及请求路径时,可以基于正则规则进行识别。将标记源字段进行编码,可以根据预先设定的编码规则进行编码。而具体的编码规则如何设置,本公开对此不作限制。
上述技术方案的实质是SSLVPN代理服务器在域名隐藏过程中,通过对WEB服务器响应报文包体中URL的协议、域名信息(或IP信息)以及端口三种信息进行正则规则提取为标记源字段,并对提取出的标记源字段进行编码得到标记目的字段,再将编码后的标记目的字段作为登录SSLVPN域名的二级域名,实现了页面链接部分的URL信息转换为域名并隐藏,生成新的URL。替换后的URL传回客户端并展现,这样用户无法从浏览器的URL知道WEB服务器的域名信息和/或IP信息。
可选地,在基于标记目的字段和请求路径,得到编码后的网页地址,包括:在标记目的字段之前添加协议标识,在标记目的字段之后,添加SSLVPN代理服务器域名和请求路径,得到编码后的网页地址。其中,在此步骤中,协议标识是指SSLVPN代理服务器与客户端数据交换时所需要遵循的协议的标识。
可选地,在标记目的字段之前添加协议标识,在标记目的字段之后,添加SSLVPN代理服务器域名和请求路径,得到编码后的网页地址,还包括:在标记目的字段之前添加协议标识和编码标识,在标记目的字段之后,添加SSLVPN代理服务器域名和请求路径,得到编码后的网页地址。编码标识的作用是为了表示该URL已编码完毕,以在后续工作中明确该URL的编码状态。
可选地,该报文传输方法还包括:获取来自客户端的第三报文,第三报文包括被隐藏的WEB服务器的域名信息和IP信息;对第三报文进行解码,得到包括显性的WEB服务器的域名信息和/或IP信息的第四报文;解码的过程为编码的过程的逆过程;将第四报文转发至客户端。
示例性地,第三报文包体中的URL为:
https://nt-s453fmixgg33nhi4tsoinb2hi4b2f4xxizltoqy.vpn.com;
第四报文包体中的URL为:http://test1.web.com:999
解码的过程为,识别第三报文包体中URL的标记目的字段。第三报文中标记目的字段为s453fmixgg33nhi4tsoinb2hi4b2f4xxizltoqy。基于编码规则的逆运算对该标记目的字段进行解码,得到http://test1.web.com:999,利用http://test1.web.com:999替换第三报文包体中URL。
图2是本公开实施例提供的一种报文传输过程的交互图。图3是本公开实施例提供的另一种报文传输方法的流程图。下面结合图2和图3,对该报文传输方法进行详细说明。
参见图2和图3,该报文传输方法包括:
S210、客户端中的用户浏览器发起HTTPS请求,请求报文(即第三报文)中URL格式为:https://编码标识-标记目的字段.SSLVPN地址/WEB服务器请求路径。
图2中,示例性地,编码标识是“nt-”,标记目的字段是“xhozlcfzrw63j2hayqnb2hi4b2f4xxizltoq”,SSLVPN地址是“vpn.com”,WEB服务器请求路径是“path_1”。
S220、SSLVPN代理服务器对请求报文标记目的字段进行解码解析,得到要代理的WEB服务器真实地址,进而得到目标请求报文(即第四报文)。
S230、SSLVPN代理服务器向WEB服务器发送目标请求报文(即第四报文)。
S240、SSLVPN代理服务器收到WEB服务器发送的响应报文(即第一报文)。
S250、SSLVPN代理服务器对响应报文(即第一报文)的包体中绝对路径的超链接进行提取并编码隐藏,得到目标响应报文(即第二报文)。另外,如果响应报文(即第一报文)包头存在重定向URL,对响应报文(即第一报文)包头重定向URL进行相同规则的编码隐藏。
S260、SSLVPN代理服务器将目标响应报文(即第二报文)发给客户端的用户浏览器。
S270、客户端的用户浏览器再次响应用户点击操作,重复步骤S210-S260。
在上述技术方案中,域名编码实现方法如下:
SSLVPN代理服务器初始化,开启泛域名监听,建立统一的正则规则以及替换规则。
编码步骤一:将响应报文中所有具有跳转能力的域名(或IP)链接(即上文URL)中协议、域名(IP)、端口信息进行匹配获取,记为字段src(标记源字段),并保留请求路径,记为路径uri;
编码步骤二:对字段src进行编码,生成字段dst(标记目的字段);
编码步骤三:设置域名尾部标识,即监听的泛域名去掉“*.”,新的请求协议为“https://”,以及域名编码标识“nt-”;
编码步骤四:得到新链接,新链接=新请求协议(编码步骤三中得到)+编码标识(编码步骤三中得到)+字段dst(编码步骤二中得到)+”.”+域名尾部(编码步骤三中得到)+路径uri(编码步骤一中得到)。此链接可被sslvpn代理服务器以泛域名形式监听;
编码步骤五:返回包括新链接的目标响应报文给用户浏览器。这样用户浏览器收到的内容已完成域名转换。
域名解码实现步骤如下:
SSLVPN代理服务器接收到用户浏览器发起的请求报文,对请求头的主机信息进行解码,解码规则是编码规则的逆运算。
解码步骤一:去掉与监听泛域名匹配的域名尾部,此为标记性信息,舍弃掉;
解码步骤二:获取编码标识以及已编码字段dst;
解码步骤三:对已编码字段dst进行解码,获取WEB服务器的协议、域名和端口信息;
解码步骤四:还原请求信息。WEB服务器原地址=原协议(解码步骤三中得到)+原有域名(解码步骤三中得到)+端口信息(解码步骤三中得到)+uri(不做处理);
解码步骤五:向解析后的WEB服务器发起请求,完成SSLVPN代理功能。
图4是本公开实施例提供的一种SSLVPN代理服务器的结构框图。参见图4,该SSLVPN代理服务器包括:
第一报文获取模块310,用于获取来自Web服务器的第一报文;
编码模块320,用于若所述第一报文中包括显性的WEB服务器的域名信息和/或IP信息,对所述第一报文进行编码,得到将WEB服务器的域名信息和/或IP信息隐藏的第二报文;
转发模块330,用于将所述第二报文转发至客户端。
进一步地,所述第一报文中包括显性的WEB服务器的域名信息和/或IP信息,包括:
所述第一报文的包体中包括绝对路径的超链接;和/或,
所述第一报文的包头中包括重定向URL。
进一步地,编码模块320,在执行对所述第一报文进行编码,得到将WEB服务器的域名信息和/或IP信息隐藏的第二报文时包括:
对所述第一报文中包括显性的WEB服务器的域名信息和/或IP信息的网页地址进行编码,得到编码后的网页地址;
利用所述编码后的网页地址替换所述第一报文中的网页地址,得到将WEB服务器的域名信息和/或IP信息隐藏的第二报文。
进一步地,编码模块320,在执行所述对所述第一报文中包括显性的WEB服务器的域名信息和/或IP信息的网页地址进行编码,得到编码后的网页地址时,包括:
识别所述第一报文中包括WEB服务器的域名信息和/或IP信息的网页地址中的标记源字段以及请求路径,所述标记源字段包括协议标识和端口信息,所述标记源字段还包括WEB服务器的域名信息或IP信息;
将标记源字段进行编码,得到标记目的字段;
基于所述标记目的字段和所述请求路径,得到编码后的网页地址。
进一步地,编码模块320在执行基于所述标记目的字段和所述请求路径,得到编码后的网页地址时,包括:
在所述标记目的字段之前添加协议标识,在所述标记目的字段之后,添加SSLVPN代理服务器域名和请求路径,得到编码后的网页地址。
进一步地,编码模块320在执行在所述标记目的字段之前添加协议标识,在所述标记目的字段之后,添加SSLVPN代理服务器域名和请求路径,得到编码后的网页地址,还包括:
在所述标记目的字段之前添加协议标识和编码标识,在所述标记目的字段之后,添加SSLVPN代理服务器域名和请求路径,得到编码后的网页地址。
进一步地,该SSLVPN代理服务器还包括:
第三报文获取模块,用于获取来自客户端的第三报文,所述第三报文包括被隐藏的WEB服务器的域名信息和IP信息;
解码模块,用于对第三报文进行解码,得到包括显性的WEB服务器的域名信息和IP信息的第四报文;所述解码的过程为所述编码的过程的逆过程;
转发模块,还用于将所述第四报文转发至客户端。
以上实施例公开的装置能够实现以上各方法实施例公开的方法的流程,具有相同或相应的有益效果,为避免重复,在此不再赘述。
图5为本公开实施例提供的电子设备的硬件结构示意图,如图5所示,该电子设备包括:
一个或多个处理器301,图5中以一个处理器301为例;
存储器302;
所述电子设备还可以包括:输入装置303和输出装置304。
所述电子设备中的处理器301、存储器302、输入装置303和输出装置304可以通过总线或者其他方式连接,图5中以通过总线连接为例。
存储器302作为一种非暂态计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本公开实施例中的报文传输方法对应的程序指令/模块(例如,附图4所示的第一报文获取模块310、编码模块320和转发模块330)。处理器301通过运行存储在存储器302中的软件程序、指令以及模块,从而执行服务器的各种功能应用以及数据处理,即实现上述方法实施例的报文传输方法。
存储器302可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据电子设备的使用所创建的数据等。此外,存储器302可以包括高速随机存取存储器,还可以包括非暂态性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态性固态存储器件。在一些实施例中,存储器302可选包括相对于处理器301远程设置的存储器,这些远程存储器可以通过网络连接至终端设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置303可用于接收输入的数字或字符信息,以及产生与电子设备的用户设置以及功能控制有关的键信号输入。输出装置304可包括显示屏等显示设备。
本公开实施例还提供一种包含计算机可读存储介质,该计算机可读存储介质存储程序或指令,该程序或指令使计算机执行行时用于执行一种报文传输方法,该方法包括:
获取来自Web服务器的第一报文;
若所述第一报文中包括显性的WEB服务器的域名信息和/或IP信息,对所述第一报文进行编码,得到将WEB服务器的域名信息和/或IP信息隐藏的第二报文;
将所述第二报文转发至客户端。
可选的,该计算机可执行指令在由计算机处理器执行时还可以用于执行本公开任意实施例所提供的报文传输方法的技术方案。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本公开可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本公开的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本公开各个实施例所述的方法。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
