(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111671733.4 (22)申请日 2021.12.31 (71)申请人 绿盟科技 集团股份有限公司 地址 100089 北京市海淀区北洼路4 号益泰 大厦5层 申请人 北京神州绿盟科技有限公司 (72)发明人 陈方义　梁文鹏　薛玲　刘晓霞　 (74)专利代理 机构 北京同达信恒知识产权代理 有限公司 1 1291 专利代理师 郭润湘 (51)Int.Cl. H04L 9/40(2022.01) H04L 69/326(2022.01) (54)发明名称 一种基于TLS的内网穿透方法及装置 (57)摘要 本申请涉及网络安全技术领域， 尤其涉及一 种基于TLS的内网穿透方法及装置。 用于解决已 有技术下传统内网穿透方案存在部署成本高昂、 安全性低下的问题， 该方法为： 外网服务端接收 内网客户端发送的TLS反向隧道创建请求， 并基 于TLS反向隧道创建请求， 建立TLS反向隧道， 然 后， 通过TLS反向隧道将内网访问请求对应的内 网访问数据发送至内网客户端， 以及通过TLS反 向隧道接收内网客户端发送的内网访问数据对 应的待访问内网应用的响应数据， 将待访问内网 应用的响应数据转发至目标终端； 这样， 在不增 加内网应用的资源暴露面的前提下， 实现外网服 务端侧的外网用户访问内网客户端的内网应用 的效果， 实现内网穿透， 增强网络安全。 权利要求书4页 说明书21页 附图5页 CN 114629678 A 2022.06.14 CN 114629678 A 1.一种基于传输层安全性协议TLS的内网穿透方法， 其特征在于， 应用于外网服务端， 所述方法包括： 接收内网客户端发送的TLS反向隧道创建请求， 并基于所述TLS反向隧道创建请求， 在 所述外网服务端和所述内网客户端之 间建立TLS反向隧道， 以及将所述TLS反向隧道创建成 功消息发送至所述内网客户端； 通过所述TLS反向隧道将内网访 问请求对应的内网访 问数据发送至所述内网客户端， 以及通过所述TLS反向隧道接收所述内网客户端发送的所述内网访问数据对应的待访问内 网应用的响应数据， 将所述待访问内网应用的响应数据转发至目标终端； 其中， 所述TLS反向隧道创建请求是在所述内网客户端接收到所述外网服务端返回的 TLS连接创建成功消 息后发送的， 所述TLS连接创建成功消 息是在确 定TLS连接请求通过身 份验证后发送的， 所述TLS连接请求是由所述内网客户端发送至所述外网服务端的， 所述 TLS连接请求包括密钥信息， 所述密钥信息是由内网用户导入到所述内网客户端的， 所述密 钥信息是所述外网服务端基于预设位数的随机数对秘钥进 行加密得到的， 所述秘钥是所述 外网服务端基于发起内网访问请求的外网用户的用户信息生成， 并由所述外网服务端发送 给所述内网用户的， 所述内网访问请求包含的所述待访问内网应用部署在所述内网客户端 所在网络中。 2.如权利要求1所述的方法， 其特征在于， 在接收内网客户端发送 的TLS反向隧道创建 请求之前， 还 包括： 接收所述内网客户端发送的TLS连接请求， 并基于所述预设位数的随机数， 对所述TLS 连接请求包含的所述密钥信息进 行解密， 以及基于所述秘钥对解密后的所述密钥信息进 行 身份验证； 在确定通过身份验证后， 在所述外网服务端和所述内网客户端之间建立TLS连接， 以及 将所述TLS连接创建成功消息发送至所述内网客户端。 3.如权利要求2所述的方法， 其特征在于， 通过执行如下操作， 在所述外网服务端和所 述内网客户端之间建立TLS连接： 基于所述TLS反向隧道创建请求分配所述待访 问内网应用对应的第一内网端口， 并基 于所述第一内网端口， 在本地部署所述内网客户端的传输控制协议TCP客户映射端； 基于所述第 一内网端口， 以及所述TLS反向隧道创建请求包含的第 二内网端口， 在所述 TCP客户映射端和所述内网客户端的TCP服 务映射端之间建立所述TLS反向隧道； 其中， 所述TCP服务映射端是所述内网客户端基于配置信息在本地部署的， 所述配置信 息是所述内网用户基于所述密钥 信息设置的。 4.如权利要求3所述的方法， 其特征在于， 所述通过所述TLS反向隧道将内网访 问请求 对应的内网访问数据发送至所述内网客户端， 包括： 通过所述TCP客户映射端将所述内网访问请求对应的所述内网访问数据发送至所述内 网客户端的所述TCP服 务映射端； 所述通过所述TLS反向隧道接收所述内网客户端发送的所述内网访问数据对应的待访 问内网应用的响应数据， 将所述待访问内网应用的响应数据转发至目标终端， 包括： 通过所述TCP客户映射端接收所述内网服务端的所述TCP服务映射端发送的， 所述内网 访问数据对应的所述待访问内网应用的响应数据， 并通过所述TCP客户映射端将所述待访权　利　要　求　书 1/4 页 2 CN 114629678 A 2问内网应用的响应数据转发至所述目标终端。 5.如权利要求1 ‑4任一项所述的方法， 其特征在于， 在所述将所述待访问内网应用的响 应数据转发至目标终端之后， 还 包括： 接收所述内网服务端发送的断开TLS连接指令， 并基于所述断开TLS连接指令， 断开所 述TLS连接请求对应的TLS连接， 所述断开TLS连接指令是所述内网客户端基于所述内网用 户的点击操作生成的； 接收外网用户发出的吊销密钥信息指令， 基于所述吊销密钥信 息指令， 断开所述TLS反 向隧道， 回收所述TLS反向隧道对应的第一内网端口， 并生 成断开TLS反向隧道指令， 以及将 所述断开TLS反向隧道指令发送至所述内网客户端。 6.如权利要求5所述的方法， 其特征在于， 所述外网服务端还包括网关模块， 所述网关 模块配置有公网地址， 所述方法包括： 基于所述公网地址与所述内网服务端进行TLS会话的数据传输， 其中， 所述TLS会话包 括所述TLS连接请求、 所述TLS反向隧道创建请求和通过所述TLS反向隧道传输的每个数据 中的任意 一个， 每个TLS会话均携带 所述密钥 信息。 7.如权利要求6所述的方法， 其特征在于， 所述基于所述公网地址与 所述内网服务端进 行TLS会话的数据传输， 包括： 通过所述网关模块采用预设特征提取算法， 提取所述TLS会话携带的所述密钥信息的 特征， 并将映射关系集合和所述密钥信息的特征进行比对， 基于比对结果判断所述密钥信 息的特征是否包含在所述映射关系集 合中； 若通过所述网关模块判定所述密钥信 息的特征不包含在所述映射关系集合中， 则将所 述TLS会话路由至所述外网服 务端的新分配的第一内网端口； 或者， 若通过所述网关模块判定所述密钥信 息的特征包含在所述映射关系集合中， 且确定所 述密钥信息的特征对应的TLS反向隧道的状态信息表征所述TLS反向隧道对应的TLS服务端 未处于存活状态， 则将所述TLS会话路由至所述外网服 务端的新分配的第一内网端口； 或者， 若通过所述网关模块判定所述密钥信 息的特征包含在所述映射关系集合中， 且确定所 述密钥信息的特征对应的TLS反向隧道的状态信息表征所述TLS反向隧道对应的TLS服务端 处于存活状态， 则将所述TLS会话路由至所述外网服 务端的历史记录的第一内网端口； 其中， 所述映射关系集合包括至少一个映射关系， 每个映射关系包括相应的外网用户 的用户信息、 所述相应的外网用户对应的密钥信息的特征， 以及所述相 应的外网用户关联 的第一内网端口和 第二内网端口， 所述第一内网端口是所述外网服务端为所述相应的外网 用户分配的端口， 所述第二内网端口是所述内网客户端基于所述相应的外网用户对应的密 钥信息， 为所述相应的外网用户设置的端口。 8.如权利要求6所述的方法， 其特 征在于， 所述方法还 包括： 通过所述网关模块判断所述心跳信息对应的TLS反向隧道的状态信息， 并基于所述状 态信息向所述内网客户端反馈所述心跳信息的回复信息 。 9.一种基于传输层安全协议TLS的内网穿透方法， 其特征在于， 应用于内网客户端， 所 述方法包括：权　利　要　求　书 2/4 页 3 CN 114629678 A 3