[发明专利]一种基于通用浏览器的零信任单包认证系统及方法

说明书

本发明公开了一种基于通用浏览器的零信任单包认证系统，包括通用浏览器、单包认证代理服务器及安全接入网关；所述单包认证代理服务器包括TCP代理服务模块和UDP代理服务模块，所述TCP代理服务模块用于支持发起与所述通用浏览器直接连接，所述UDP代理服务模块用于实现TCP到UDP的协议转换。通过本发明的技术方案，任何用户在通过单包认证前，安全接入网关的所有的业务服务端口不会接受TCP连接请求，避免了TCP协议的各种握手攻击和TLS漏洞攻击，各种端口嗅探和DOS攻击，实现了先认证后连接的高安全保护。

技术领域

本发明涉及零信任技术领域，具体是一种基于通用浏览器的零信任单包认证系统及方法。

背景技术

零信任的网络接入是一种先进的网络安全理念。零信任技术实现中，先认证再连接，是对传统的TCP协议先连接后认证的重大技术改进，先认证后连接能使受保护的服务对未授权用户及设备完全不可见，无法通过端口扫描发现服务。这些服务默认在互联网实现“隐藏”，要实现严格的终端单包认证机制，由于TCP协议发送认证数据包前，必须通过三次握手。为了达到这个目地，只能通过编写特定的应用通过UDP协议，在第一个包中包含所有的认证信息。但是通用浏览器不支持直接发送UDP包，所以通常零信任产品提供商会开发一个专门的客户端APP软件,或者通过开发定制专用的浏览器来实现。比如中国专利公开了一种基于企业浏览器的代理访问方法和装置，申请号为201911222759.3，其技术方案就是采用开发定制专用的浏览器来实现。采用专用的APP要企业的管理员或用户额外安装程序，产品的分发和管理成本大，用户体验差。采用定制专用的浏览器除了产品的分发和管理成本大缺点外，还无法满足业务需求，因为有的业务程序只兼容某个通用的浏览器，企业开发的专用的浏览器可能导致某些功能失。

发明内容

本发明的目的在于克服以上存在的技术问题，提供一种基于通用浏览器的零信任单包认证系统。

一种基于通用浏览器的零信任单包认证系统，其特征在于：包括通用浏览器、单包认证代理服务器及安全接入网关；

所述单包认证代理服务器包括TCP代理服务模块和UDP代理服务模块，所述TCP代理服务模块用于支持发起与所述通用浏览器直接连接，所述UDP代理服务模块用于实现TCP到UDP的协议转换；

所述安全接入网关包含防火墙服务模块、UDP单包认证端口及TCP端口；所述防火墙服务模块实现了动态防火墙，无需运维手工配置规则，根据单包认证的结果自动动态添加删除更新规则；所述UDP单包认证端口用于实现通过第一个数据包就能鉴权，规避TCP协议需要多次握手连接成功才能发送认证数据的弱点；所述TCP端口是业务的真正服务端口；

所述安全接入网关启动时，默认所述TCP端口拒绝访问，只开放一个所述UDP单包认证端口；

用户通过所述通用浏览器发起HTTPS请求到所述单包认证代理服务器，所述HTTPS请求包含认证所需要的数据信息；所述单包认证代理服务器对所述数据信息进行解析后，获取所述数据信息和所述通用浏览器源IP地址，并通知所述通用浏览器请求操作完毕；

所述单包认证代理服务器对所述数据信息和所述源IP地址加密后，通过其所述UDP代理服务模块使用UDP协议发送到所述UDP单包认证端口；

所述安全接入网关对所述UDP单包认证端口接收到的数据进行认证，如果认证成功，则通知所述防火墙服务模块，对于是所述源IP地址开放TCP端口，所述通用浏览器通过TCP协议连接访问所述安全接入网关的TCP端口，由所述TCP端口路由到内部的业务服务；如果认证不成功，则对应端口拒绝所述源IP地址的TCP连接。

进一步地，浏览器是谷歌浏览器、火狐浏览器、IE浏览器、360浏览器、QQ浏览器、搜狗浏览器中的任意一种。

进一步地，所述数据信息包括用户名、密码、动态验证码、令牌、随机数证书签名中的任意一个或者多个。