[发明专利]基于设备身份预认证的数据安全传输方法及装置

说明书

本发明公开了基于设备身份预认证的数据安全传输方法及装置，所述方法包括：在用户工作区部署用于流量劫持的本地代理；用户发起访问请求时，本地代理向安全网关发起SPA请求，请求安全网关打开权限；安全网关打开权限之后，本地代理自动劫持目标流量，将目标流量重定向到安全网关，所述目标流量包括用户的访问请求以及用户访问目标应用的地址对应的路径；安全网关将流量发送到目标应用；安全网关收到目标应用返回的流量，将其发送给本地代理，本地代理将返回的流量的来源地址还原成目标应用的地址；本发明的优点在于：用户无感知的进行访问目标应用，使得用户体验好。

技术领域

本发明涉及加密连接领域，更具体涉及基于设备身份预认证的数据安全传输方法及装置。

背景技术

目前典型的用户访问企业应用场景的方式如图1所示，用户工作区有浏览器和客户端，浏览器直接与Web应用加密/非加密连接，客户端直接与非Web应用加密/非加密连接。这种访问企业应用的方式存在以下几个问题：

①企业信息化系统非常庞大，各种应用资产丰富，难免存在部分应用系统没有做到加密传输，很容易造成信息被窃听。

②在用户工作区缺乏严格的管控措施，攻击者在知晓应用地址的时候，很容易发起各种网络攻击。比如暴力破解、使用有安全漏洞的客户端或浏览器软件访问企业应用、使用API直接查询应用，绕过业务逻辑达到攻击目的。

③对用户工作区需要开发大量的应用访问端口，暴露了大量的应用资源，加剧了网络攻击的可能性。

针对上述问题，中国专利公开号CN110493192A，公开了一种基于数据网关的数据安全传输系统，包括通过数据网关设备进行数据双向传输的若干个PC终端和若干个业务系统服务器，各业务系统服务器中均安装有数据网关软件，通过PC终端访问业务系统服务器前须在PC终端中安装数据网关软件，数据网关设备对PC终端进行信任判断，并在确认为信任终端时将从PC终端接收的业务数据包增加私有协议数据头后传输给业务系统服务器，业务系统服务器解析并判断其是否经由数据网关设备上报，当判断结果为否时，业务系统服务器拦截数据包并返回无权限访问数据包；当判断结果为是时，业务系统服务器解析数据包并进行业务响应处理后返回响应数据包。使用网关代理所有企业应用，减少资产暴露面，做到对外只暴露网关的安全连接端口，企业资源对用户是完全隐身的；就算用户知晓应用地址，也没有办法直接访问，减少网络攻击的可能性，安全性高。但是其直接在PC终端中安装数据网关软件，数据网关设备对PC终端进行信任判断导致用户在进行访问时就被告知需要进行信任判断，使得用户体验不好。

发明内容

本发明所要解决的技术问题在于现有技术数据安全传输方法用户体验不好的问题。

本发明通过以下技术手段实现解决上述技术问题的：基于设备身份预认证的数据安全传输方法，所述方法包括：

步骤一：在用户工作区部署用于流量劫持的本地代理；

步骤二：用户发起访问请求时，本地代理向安全网关发起SPA请求，请求安全网关打开权限；

步骤三：安全网关打开权限之后，本地代理自动劫持目标流量，将目标流量重定向到安全网关，所述目标流量包括用户的访问请求以及用户访问目标应用的地址对应的路径；

步骤四：安全网关收到重定向流量，通过正向或反向代理后将流量发送到目标应用；

步骤五：安全网关收到目标应用返回的流量，将其发送给本地代理，本地代理将返回的流量的来源地址还原成目标应用的地址。