[发明专利]基于设备身份预认证的数据安全传输方法及装置

权利要求书

1.基于设备身份预认证的数据安全传输方法，其特征在于，所述方法包括：

步骤一：在用户工作区部署用于流量劫持的本地代理；

步骤二：用户发起访问请求时，本地代理向安全网关发起SPA请求，请求安全网关打开权限；请求安全网关打开权限的过程包括：每一次本地代理向安全网关发起SPA请求时都生成一个新的SPA数据包，将SPA数据包插入到TLS协议的ClientHello消息包扩展的extensions协议的数据段中，SPA数据包通过TLS协议的ClientHello消息包扩展的extensions协议发送到安全网关，安全网关接收到SPA数据包以后解析TLS协议，获取插入到extensions协议的数据段中的SPA数据包，根据SPA数据包中设备ID、用户信息对用户进行身份校验，校验通过的用户允许访问安全网关；所述安全网关接收到SPA数据包的同时还接收SPA协议类型标识以及SPA数据包长度，所述安全网关对用户进行身份校验时，还对SPA协议类型标识进行校验，只有部署了SPA协议类型的本地代理才能打开安全网关；

步骤三：安全网关打开权限之后，本地代理自动劫持目标流量，将目标流量重定向到安全网关，所述目标流量包括用户的访问请求以及用户访问目标应用的地址对应的路径；

步骤四：安全网关收到重定向流量，通过正向或反向代理将流量发送到目标应用；

步骤五：安全网关收到目标应用返回的流量，将其发送给本地代理，本地代理将返回的流量的来源地址还原成目标应用的地址。

2.根据权利要求1所述的基于设备身份预认证的数据安全传输方法，其特征在于，所述步骤二中每一次本地代理向安全网关发起SPA请求时都生成一个新的SPA数据包，SPA数据包中包括设备ID、用户信息、时间戳以及网络地址信息。

3.根据权利要求2所述的基于设备身份预认证的数据安全传输方法，其特征在于，所述本地代理与所述安全网关之间采用TLS协议进行通讯连接。

4.根据权利要求1所述的基于设备身份预认证的数据安全传输方法，其特征在于，所述目标应用返回的流量中包括用户发起的访问请求对应的访问结果。

5.基于设备身份预认证的数据安全传输装置，其特征在于，所述装置包括：

本地代理部署模块，用于在用户工作区部署用于流量劫持的本地代理；

权限请求模块，用于用户发起访问请求时，本地代理向安全网关发起SPA请求，请求安全网关打开权限；请求安全网关打开权限的过程包括：每一次本地代理向安全网关发起SPA请求时都生成一个新的SPA数据包，将SPA数据包插入到TLS协议的ClientHello消息包扩展的extensions协议的数据段中，SPA数据包通过TLS协议的ClientHello消息包扩展的extensions协议发送到安全网关，安全网关接收到SPA数据包以后解析TLS协议，获取插入到extensions协议的数据段中的SPA数据包，根据SPA数据包中设备ID、用户信息对用户进行身份校验，校验通过的用户允许访问安全网关；所述安全网关接收到SPA数据包的同时还接收SPA协议类型标识以及SPA数据包长度，所述安全网关对用户进行身份校验时，还对SPA协议类型标识进行校验，只有部署了SPA协议类型的本地代理才能打开安全网关；

目标流量重定向模块，用于在安全网关打开权限之后，由本地代理自动劫持目标流量，并将目标流量重定向到安全网关，所述目标流量包括用户的访问请求以及用户访问目标应用的地址对应的路径；

目标应用访问模块，用于安全网关收到重定向流量，通过正向或反向代理后将流量发送到目标应用；

信息反馈模块，用于安全网关收到目标应用返回的流量，将其发送给本地代理，本地代理将返回的流量的来源地址还原成目标应用的地址。

6.根据权利要求5所述的基于设备身份预认证的数据安全传输装置，其特征在于，所述权限请求模块中每一次本地代理向安全网关发起SPA请求时都生成一个新的SPA数据包，SPA数据包中包括设备ID、用户信息、时间戳以及网络地址信息。

7.根据权利要求6所述的基于设备身份预认证的数据安全传输装置，其特征在于，所述本地代理与所述安全网关之间采用TLS协议进行通讯连接。