[发明专利]一种基于可信服务代理的数据通信方法

说明书

本发明公开了一种基于可信服务代理的数据通信方法，包括以下步骤：S1、在服务端部署通信控制组件M1，通过通信控制组件M1向可信代理组件M2进行服务注册，得到注册内容；S2、在客户端部署通信请求组件M3，通过通信请求组件M3自动向可信代理组件M2发起访问申请；S3、在可信代理组件M2接收访问申请后，通过可信代理组件M2对通信请求组件M3进行身份认证，得到认证信息；S4、根据认证信息，对通信请求组件M3的访问进行监控，并基于注册内容，通过通信请求组件M3对服务端提供的服务进行访问，完成数据通信；本发明解决了敏感服务在网络中长期暴露，容易被网络攻击者探测，进而进行攻击的问题，提升了业务系统安全。

技术领域

本发明涉及网络通信安全领域，具体涉及一种基于可信服务代理的数据通信方法。

背景技术

在现代网络环境中，服务提供者一般以固定公网地址及知名协议端口号的方式对外提供服务。如WEB服务，一般工作在TCP80端口或443端口，FTP服务，一般工作在TCP 21、22端口。服务提供者网络地址及协议端口长期直接暴露在公共环境中，容易被网络攻击者探测到，进而发起网络攻击。部分服务提供者支持以动态网络地址的方式对外提供服务，但大多是通过DNS域名动态解析的方式实现。攻击者可轻易得到服务提供者真实的网络地址，进而发起网络攻击。为保护敏感服务，网络管理者一般采用在服务提供者和服务请求者网络路径中间加设防火墙的方式提供安全防护。防火墙一般通过IP地址、协议、端口、时间段进行访问控制，其对访问请求者通过IP地址进行标识，该标识很容易在网络中进行伪造，无法细粒度的对终端进行访问控制。

在现在网络安全中，如何对服务进行细粒度的防护，降低服务访问地址在网络中的过度暴露，有效保护敏感服务，防止敏感服务的非授权访问是网络安全研究者持续关注的方向。

发明内容

针对现有技术中的上述不足，本发明提供的一种基于可信服务代理的数据通信方法解决了敏感服务在网络中长期暴露，容易被网络攻击者探测，进而进行攻击的问题，提升了业务系统安全。

为了达到上述发明目的，本发明采用的技术方案为：一种基于可信服务代理的数据通信方法，包括以下步骤：

S1、在服务端部署通信控制组件M1，通过通信控制组件M1向可信代理组件M2进行服务注册，得到注册内容；

S2、在客户端部署通信请求组件M3，通过通信请求组件M3自动向可信代理组件M2发起访问申请；

S3、在可信代理组件M2接收访问申请后，通过可信代理组件M2对通信请求组件M3进行身份认证，得到认证信息；

S4、根据认证信息，对通信请求组件M3的访问进行监控，并基于注册内容，通过通信请求组件M3对服务端提供的服务进行访问，完成数据通信。

进一步地，所述步骤S1中注册内容包括：服务端提供的服务的IP地址、网络协议和服务端口。

进一步地，所述步骤S2包括以下分步骤：

S21、在客户端部署通信请求组件M3；

S22、在客户端发起服务访问时，通过通信请求组件M3截获客户端的服务访问请求；

S23、在通信请求组件M3截获服务访问请求后，自动向可信代理组件M2发起访问申请。

进一步地，所述步骤S2中访问申请的内容包括：访问的IP地址、访问的网络协议、访问的服务端口和访问时间段。

上述进一步方案的有益效果是：在本发明中，部署在访问客户端上的通信请求组件M3自动向可信代理组件M2发起网络访问申请，无需用户干预。无需对原有的访问请求端进行改造。

进一步地，步骤S3中进行身份认证的方式为：