(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111369305.6 (22)申请日 2021.11.15 (71)申请人 江苏云涌电子科技股份有限公司 地址 225314 江苏省泰州市海陵区泰安路 16号 申请人 北京云涌科技发展 有限责任公司 (72)发明人 肖相生　李新顺　杨望星　李津　 戴向春　 (74)专利代理 机构 南京行高知识产权代理有限 公司 32404 专利代理师 李晓 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/02(2022.01) (54)发明名称 一种基于通用浏览器的零信任单包认证系 统及方法 (57)摘要 本发明公开了一种基于通用浏览器的零信 任单包认证系统， 包括通用浏览器、 单包认证代 理服务器及安全接入网关； 所述单包认证代理服 务器包括TCP代理服务模 块和UDP代理服务模块， 所述TCP代理服务模块用于支持发起与所述通用 浏览器直接连接， 所述UDP代理服务模块用于实 现TCP到UDP的协议转换。 通过本发明的技术方 案， 任何用户在通过单包认证前， 安全接入网关 的所有的业务服务端口不会接受TCP连接请求， 避免了TCP协议的各种握手攻击和TLS漏洞攻击， 各种端口嗅探和DOS攻击， 实现了先认证后连接 的高安全保护。 权利要求书2页 说明书4页 附图1页 CN 114640495 A 2022.06.17 CN 114640495 A 1.一种基于通用浏 览器的零信任单包认证系统， 其特征在于： 包括通用浏 览器、 单包认 证代理服 务器和安全接入网关； 所述单包认证代理服务器包括TCP代理服务模块和UDP代理服务模块， 所述TCP代理服 务模块用于支持发起与所述通用浏览器直接连接， 所述UDP代理服务模块用于实现TCP到 UDP的协议转换； 所述安全接入网关包含防火墙服务模块、 UDP单包认证端 口及TCP端 口； 所述防火墙服 务模块实现了动态防火墙， 无需运维手工配置规则， 根据单包认证的结果自动动态添加删 除更新规则； 所述UDP单包认证端口用于实现通过第一个数据包就能鉴权， 规避TCP协议需 要多次握手连接成功才能发送 认证数据的弱点； 所述TCP端口是业 务的真正 服务端口； 所述安全接入网关启动时， 默认所述TCP端 口拒绝访问， 只开放一个所述UDP单包认证 端口； 用户通过所述通用浏览器发起HTTPS请求到所述单包认证代理服务器， 所述HTTPS请求 包含认证所需要的数据信息； 所述单包认证代理服务器对所述数据信息进行解析后， 获取 所述数据信息和所述 通用浏览器源IP地址， 并通知所述 通用浏览器请求操作完毕； 所述单包认证代理服务器对所述数据信息和所述源IP地址加密后， 通过其所述UDP代 理服务模块使用UD P协议发送到所述UD P单包认证端口； 所述安全接入网关对所述UDP单包认证端口接收到的数据进行认证， 如果认证成功， 则 通知所述防火墙服务模块， 对于是所述源IP地址开放所述TCP端口， 所述通用浏览器通过 TCP协议连接访问所述安全接入网关的TCP端口， 由所述TCP端口路由到内部的业务服务； 如 果认证不成功， 则对应端口拒绝所述源IP地址的TCP连接 。 2.根据权利要求1所述的基于通用浏 览器的零信任单包认证系统， 其特征在于： 所述通 用浏览器是谷歌浏览器、 火狐浏览器、 IE浏览器、 360浏览器、 QQ浏览器、 搜狗浏览器中的任 意一种。 3.根据权利要求1所述的基于通用浏 览器的零信任单包认证系统， 其特征在于： 所述数 据信息包括用户名、 密码、 动态验证码、 令牌、 随机数证书签名中的任意 一个或者多个。 4.一种基于通用浏览器的零信任单包认证方法， 其特 征在于， 包括以下步骤： S1:安全接入网关从CA 获取一个p12证书， 所述p12证书包含非对称加密的公钥和 私钥， 并上传所述 公钥到单包认证代理服务器， 所述安全接入网关启动时， 默认其所有的TCP端口 全部拒绝访问， 只开 放其一个UDP单包认证端口； S2:用户通过浏览器向所述单包认证代理服务器发送HTTPS请求， 所述HTTPS请求包含 认证所需要的数据信息； S3:所述单包认证代理服务器解析所述数据信息， 获取所述数据信息和所述浏览器源 IP地址， 并通知所述浏览器请求完毕； S4:所述单包认证代理服务器加密所述数据信息和浏览器源IP地址， 使用UDP协议， 发 送到所述 安全接入网关的UD P单包认证端口； S5： 所述安全接入网关对所述UDP单包认证端口接收到的数据进行认证， 如果认证成 功， 则通知所述防火墙服务模块， 对所述浏览器源IP地址开放所述TCP端口， 所述浏览器通 过TCP协议连接访问所述安全接入网关的TCP端口， 由所述TCP端口路由到内部的业务服务； 如果认证不成功， 则对应端口拒绝所述浏览器源IP地址的TCP连接 。权　利　要　求　书 1/2 页 2 CN 114640495 A 25.根据权利要求4所述的基于通用浏 览器的零信任单包认证方法， 其特征在于： 所述步 骤S2中的数据信息是用户名、 密码、 动态验证码、 令牌、 随机数证书签名中的任意一个或者 多个。 6.根据权利要求4所述的基于通用浏 览器的零信任单包认证方法， 其特征在于： 所述步 骤S4的具体方法为： 所述单包认证代理服务器通过所述CA颁发的所述公钥加密所述数据信息和浏览器源 IP地址， 并用UD P协议发送到所述 安全接入网关的UD P单包认证端口。 7.根据权利要求4所述的基于通用浏 览器的零信任单包认证方法， 其特征在于： 所述步 骤S5安全接入网关对所述UD P单包认证端口接收到的数据进行认证的认证方法为： 所述安全接入网关使用所述单包认证代理服务器上传的私钥对接收到的加密数据进 行解密， 获取认证所需要的所述数据信息， 请求系统的认证服务器去认证， 如果认证成功， 则通知所述防火墙服务模块， 对所述浏览器源IP地址开放所述TCP端口， 所述浏览器通过 TCP协议连接访问所述安全接入网关的TCP端口， 由所述TCP端口路由到内部的业务服务； 如 果认证不成功， 则对应端口拒绝所述浏览器源IP地址的TCP连接 。 8.根据权利要求7所述的基于通用浏 览器的零信任单包认证方法， 其特征在于： 所述认 证服务器是AD/LDAP， 或是钉 钉， 或是微信， 或是第三方认证服 务。权　利　要　求　书 2/2 页 3 CN 114640495 A 3