本技術(shù)涉及網(wǎng)絡(luò)安全，特別是涉及一種匿名隧道的建立方法和裝置。

背景技術(shù)：

1、零信任訪問（zero?trust?access）是一種網(wǎng)絡(luò)安全模型，它假設(shè)網(wǎng)絡(luò)內(nèi)的每個(gè)設(shè)備或用戶都可能存在潛在風(fēng)險(xiǎn)，不自動(dòng)授予信任，始終要求任何形式的驗(yàn)證和授權(quán)才能訪問網(wǎng)絡(luò)資源。零信任訪問的兩個(gè)原則為最小權(quán)限原則和持續(xù)驗(yàn)證原則。

2、在相關(guān)技術(shù)中，用戶進(jìn)行零信任訪問需要先登錄安裝在終端設(shè)備上的零信任客戶端。為了最大限度地保證用戶服務(wù)和訪問的安全性，用戶的登錄認(rèn)證頁面或應(yīng)用程序編程接口（application?programming?interface，api）都不直接對公網(wǎng)暴露。用戶進(jìn)行登錄操作時(shí)，需要客戶端與零信任網(wǎng)關(guān)先建立一個(gè)匿名隧道，通過匿名隧道完成與內(nèi)網(wǎng)認(rèn)證服務(wù)的交互通信。建立匿名隧道是一種基本的鑒權(quán)操作，通常是在客戶端內(nèi)設(shè)置一個(gè)固定的鑒權(quán)憑證信息，例如：賬戶和賬戶密碼、或者ak/sk（access?key?id/secret?access?key，訪問密鑰）。當(dāng)啟動(dòng)客戶端時(shí)使用鑒權(quán)憑證信息向零信任網(wǎng)關(guān)建立匿名隧道，且零信任網(wǎng)關(guān)通道鑒權(quán)認(rèn)證之后，匿名隧道建立成功。

3、然而，相關(guān)技術(shù)中，鑒權(quán)憑證信息內(nèi)置客戶端中，如果客戶端被破解，鑒權(quán)憑證信息存在泄露風(fēng)險(xiǎn)，且當(dāng)鑒權(quán)憑證信息泄露時(shí)，無法及時(shí)對已泄露的鑒權(quán)憑證信息及時(shí)作廢和更新，提升了網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。

技術(shù)實(shí)現(xiàn)思路

1、基于此，有必要針對上述技術(shù)問題，提供一種能夠提升網(wǎng)絡(luò)的安全性能的匿名隧道的建立方法、裝置、計(jì)算機(jī)設(shè)備、可讀存儲(chǔ)介質(zhì)和程序產(chǎn)品。

2、第一方面，本技術(shù)提供了一種匿名隧道的建立方法，應(yīng)用于控制器，包括：

3、接收客戶端發(fā)送的公鑰請求，確定與所述客戶端對應(yīng)的公鑰和私鑰；并向客戶端返回所述公鑰，以使所述客戶端通過所述公鑰對目標(biāo)密鑰進(jìn)行加密，得到加密后的目標(biāo)密鑰；

4、接收所述客戶端發(fā)送的匿名隧道憑證請求以及所述加密后的目標(biāo)密鑰；基于所述私鑰對所述加密后的目標(biāo)密鑰進(jìn)行解密，得到解密后的目標(biāo)密鑰；

5、將攜帶所述解密后的目標(biāo)密鑰的匿名隧道憑證發(fā)送至所述客戶端，所述匿名隧道憑證用于建立所述客戶端與網(wǎng)關(guān)之間的匿名隧道。

6、在其中一個(gè)實(shí)施例中，所述向客戶端返回所述客戶端對應(yīng)的公鑰，包括：

7、接收所述客戶端發(fā)送的終端信息，基于預(yù)設(shè)合規(guī)策略對所述終端信息進(jìn)行合規(guī)檢測，得到所述客戶端的合規(guī)檢測結(jié)果；

8、如果所述合規(guī)檢測結(jié)果滿足預(yù)設(shè)合規(guī)條件，則向所述客戶端返回所述客戶端對應(yīng)的公鑰。

9、在其中一個(gè)實(shí)施例中，所述確定與所述客戶端對應(yīng)的公鑰和私鑰，包括：

10、當(dāng)滿足第一預(yù)設(shè)更新條件時(shí)，生成所述客戶端對應(yīng)的公鑰和私鑰，所述第一預(yù)設(shè)更新條件為達(dá)到第一更新時(shí)間間隔和/或接收到所述控制器的異常信號(hào)；

11、或者，在客戶端與公私鑰對的關(guān)系中，確定所述客戶端對應(yīng)的公鑰和私鑰。

12、在其中一個(gè)實(shí)施例中，所述方法還包括：

13、當(dāng)滿足所述第二預(yù)設(shè)更新條件時(shí)，生成所述客戶端對應(yīng)的所述匿名隧道憑證，所述第二預(yù)設(shè)更新條件為達(dá)到第二更新時(shí)間間隔和/或接收到所述控制器的異常信號(hào)；

14、或者，在客戶端與匿名隧道憑證的關(guān)系中，確定所述客戶端對應(yīng)的所述匿名隧道憑證。

15、第二方面，本技術(shù)提供了一種匿名隧道的建立方法，應(yīng)用于客戶端，包括：

16、向控制器發(fā)送公鑰請求；

17、接收所述客戶端對應(yīng)的公鑰，并通過所述公鑰對目標(biāo)密鑰進(jìn)行加密，得到加密后的目標(biāo)密鑰；

18、向所述控制器發(fā)送所述加密后的目標(biāo)密鑰和匿名隧道憑證請求，以使所述控制器將所述加密后的目標(biāo)密鑰進(jìn)行解密，得到解密后的目標(biāo)密鑰；

19、接收攜帶所述解密后的目標(biāo)密鑰的匿名隧道憑證，所述匿名隧道憑證用于建立所述客戶端與網(wǎng)關(guān)之間的匿名隧道。

20、在其中一個(gè)實(shí)施例中，所述方法還包括：

21、采用所述目標(biāo)密鑰對攜帶所述解密后的目標(biāo)密鑰的匿名隧道憑證進(jìn)行解密，得到所述匿名隧道憑證，并向所述網(wǎng)關(guān)發(fā)送所述匿名隧道憑證。

22、在其中一個(gè)實(shí)施例中，所述方法還包括：

23、向所述控制器發(fā)送終端信息，以使所述控制器基于所述終端信息進(jìn)行對所述客戶端進(jìn)行合規(guī)檢測，得到所述客戶端的合規(guī)檢測結(jié)果。

24、在其中一個(gè)實(shí)施例中，所述方法還包括：

25、在所述匿名隧道建立成功的情況下，響應(yīng)于登錄操作，通過所述匿名隧道，向所述網(wǎng)關(guān)發(fā)送登錄認(rèn)證請求，以使所述網(wǎng)關(guān)基于確定所述客戶端對應(yīng)的合規(guī)檢測結(jié)果，基于所述合規(guī)檢測結(jié)果向內(nèi)網(wǎng)認(rèn)證端發(fā)送所述登錄認(rèn)證請求，并接收所述登錄認(rèn)證請求對應(yīng)的認(rèn)證結(jié)果。

26、第三方面，本技術(shù)還提供了一種匿名隧道的建立裝置，應(yīng)用于控制器，包括：

27、第一確定模塊，用于接收客戶端發(fā)送的公鑰請求，確定與所述客戶端對應(yīng)的公鑰和私鑰；并向客戶端返回所述公鑰，以使所述客戶端通過所述公鑰對目標(biāo)密鑰進(jìn)行加密，得到加密后的目標(biāo)密鑰；

28、第一接收模塊，用于接收所述客戶端發(fā)送的匿名隧道憑證請求以及所述加密后的目標(biāo)密鑰；基于所述私鑰對所述加密后的目標(biāo)密鑰進(jìn)行解密，得到解密后的目標(biāo)密鑰；

29、第一發(fā)送模塊，用于將攜帶所述解密后的目標(biāo)密鑰的匿名隧道憑證發(fā)送至所述客戶端，所述匿名隧道憑證用于建立所述客戶端與網(wǎng)關(guān)之間的匿名隧道。

30、第四方面，本技術(shù)還提供了一種匿名隧道的建立裝置，應(yīng)用于客戶端，包括：

31、第二確定模塊，用于向控制器發(fā)送公鑰請求；接收所述客戶端對應(yīng)的公鑰，并通過所述公鑰對目標(biāo)密鑰進(jìn)行加密，得到加密后的目標(biāo)密鑰；

32、第二發(fā)送模塊，用于向所述控制器發(fā)送所述加密后的目標(biāo)密鑰和匿名隧道憑證請求，以使所述控制器將所述加密后的目標(biāo)密鑰進(jìn)行解密，得到解密后的目標(biāo)密鑰；

33、第二接收模塊，用于接收攜帶所述解密后的目標(biāo)密鑰的匿名隧道憑證，所述匿名隧道憑證用于建立所述客戶端與網(wǎng)關(guān)之間的匿名隧道。

34、第五方面，本技術(shù)還提供了一種計(jì)算機(jī)設(shè)備，包括存儲(chǔ)器和處理器，所述存儲(chǔ)器存儲(chǔ)有計(jì)算機(jī)程序，所述處理器執(zhí)行所述計(jì)算機(jī)程序時(shí)實(shí)現(xiàn)第一方面或第二方面中各方法實(shí)施例中的步驟。

35、第六方面，本技術(shù)還提供了一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，其上存儲(chǔ)有計(jì)算機(jī)程序，所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)第一方面或第二方面中各方法實(shí)施例中的步驟。

36、第七方面，本技術(shù)還提供了一種計(jì)算機(jī)程序產(chǎn)品，包括計(jì)算機(jī)程序，該計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)第一方面或第二方面中各方法實(shí)施例中的步驟。

37、上述匿名隧道的建立方法和裝置，通過確定與客戶端對應(yīng)的公鑰和私鑰，接收客戶端發(fā)送的匿名隧道憑證請求以及加密后的目標(biāo)密鑰，且確定客戶端對應(yīng)的匿名隧道憑證，通過匿名隧道憑證建立客戶端與網(wǎng)關(guān)之間的匿名隧道，實(shí)現(xiàn)了通過控制器生成匿名隧道憑證，提高客戶端和網(wǎng)關(guān)之間匿名隧道的可靠性和安全性，從而提升了網(wǎng)絡(luò)的安全性能。