[发明专利]基于网络安全应急响应的网关突破安检白名单限制方法

说明书

本发明公开了基于网络安全应急响应的网关突破安检白名单限制方法，包括以下操作步骤：源网关对源服务器进行身份认证，包装源服务器报文发送给安全检测平台；安全检测平台对数据报文进行安全检测；目标网关解包安全检测平台发送过来的报文，将报文发送到真实提供服务的服务器；回送响应报文。通过抽离应用网关与安全检测平台对接的业务逻辑，上游应用服务器的数据报文通过网关流向下游安全检测平台，使报文既能利用安全检测平台的检测报文检测功能，同时也可水平拓展源服务器与访问目标地址服务器不受白名单限制，有利于服务的维护与业务的拓展，降低了升级成本和服务之间相互影响。

技术领域

本发明涉及网络通讯技术领域，具体为基于网络安全应急响应的网关突破安检白名单限制方法。

背景技术

目前，部分安全检测平台设置了源/目标地址的白名单限制，指定了发起请求的源与接收请求的目标地址的网段，而且对流经安全检测平台的报文格式提出了规范与要求。传统方式是将业务都堆积在持有白名单列表中IP的服务器上，将自身业务与平台对接的逻辑耦合在一起，程序代码的健壮性与可拓展性差，不利于服务的维护与业务的拓展，升级成本高，服务之间相互影响。

发明内容

为了克服现有技术方案的不足，本发明提供基于网络安全应急响应的网关突破安检白名单限制方法，能有效的解决背景技术提出的问题。

本发明解决其技术问题所采用的技术方案是：

基于网络安全应急响应的网关突破安检白名单限制方法，包括以下操作步骤：

步骤S1，源网关对源服务器进行身份认证，包装源服务器报文发送给安全检测平台，源服务器通过约定的签名算法生成签名并请求源网关获取具有一定有效时长的身份标识，源服务器将身份标识写入报文之中并将该报文发送到源网关，源网关对请求报文进行身份标识鉴定，鉴定后依据安全检测平台报文数据规范，将报文进行包装发送到安全检测平台；

步骤S2，安全检测平台对数据报文进行安全检测，安全检测平台主要检测报文的安全性，并将检测通过的报文发送至目标网关；

步骤S3，目标网关解包安全检测平台发送过来的报文，将报文发送到真实提供服务的服务器，当目标网关接收到报文后，按照约定规则还原报文的格式，并将还原后的报文发送至服务器；

步骤S4，回送响应报文，当目标网关接收到资源服务器响应，响应的结果由原链路内向返回。

进一步地，在步骤S1中，源服务器生成的签名，以非对称性加密公钥加密签名所需参数与签名的形式存在。

进一步地，在步骤S1中，源网关使用非对称私钥解密源服务器的报文，如果解密出来的结果一致，则返回唯一身份标识，否则需要重新请求。

进一步地，在步骤S3中，目标网关接收到安全检测平台的报文后并对其进行解包，去掉安全检测平台的数据包装，提取发往真实提供服务器的资源服务器报文。

进一步地，在步骤S4中，全过程在同步通讯的状态下进行。

与现有技术相比，本发明的有益效果是：

本发明通过抽离应用网关与安全检测平台对接的业务逻辑，上游应用服务器的数据报文通过网关流向下游安全检测平台，使报文既能利用安全检测平台的检测报文检测功能，同时也可水平拓展源服务器与访问目标地址服务器不受白名单限制，有利于服务的维护与业务的拓展，降低了升级成本和服务之间相互影响。