CN107454050B - 一种访问网络资源的方法及装置 - Google Patents
一种访问网络资源的方法及装置 Download PDFInfo
- Publication number
- CN107454050B CN107454050B CN201610387143.1A CN201610387143A CN107454050B CN 107454050 B CN107454050 B CN 107454050B CN 201610387143 A CN201610387143 A CN 201610387143A CN 107454050 B CN107454050 B CN 107454050B
- Authority
- CN
- China
- Prior art keywords
- terminal
- network
- data server
- sensitivity level
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请实施例公开了一种访问网络资源的方法及装置,用于提高网络访问的安全性。本申请实施例方法包括:拦截所述终端发往数据服务器的对目标数据资源的访问请求,所述数据服务器所属的网络为可信任网络,所述数据服务器用于提供数据资源;对所述终端进行第一动态身份认证;若所述第一动态身份认证通过,则确定所述目标数据资源的敏感等级是否为目标敏感等级,若为目标敏感等级,则代理所述数据服务器向所述终端提供所述目标数据资源。
Description
技术领域
本申请涉及通信领域,特别涉及一种访问网络资源的方法及装置。
背景技术
网络的核心资产是数据,所有的网络建设都是为了满足数据的访问,而集中的、大型数据中心是整个网络建设的重点工作之一。网络的应用使得数据中心的重要性日益增大,而另一方面由于数据中心的数据非常重要,它也成为了网络窃取和攻击行为最感兴趣的部分。
传统的安全概念中,网络被人为的分为可信任网络和不可信任网络,一般只需要在网络的边界安装防护设备就可以构成一个可信任网络。其中,不可信任网络可以通过接入网络的方法访问可信任网络中的网络资源,但是随着网络技术的发展,攻击手段的更新,不可信任网络接入可信任网络的安全风险难以得到保障。例如,不可信任网络中的终端接入可信任网络,访问可信任网络中数据服务器的数据资源,终端通过网络边界的防火墙后,就能随意访问该数据服务器中的数据资源,因此对可信任网络中数据资源的网络安全造成了很大威胁。
发明内容
本申请实施例提供了一种访问网络资源的方法及装置,用于提高网络访问的安全性。
本申请实施例第一方面提供了一种访问网络资源的方法,应用于代理服务器和终端,所述代理服务器所属的网络为可信任网络,所述终端所属的网络为不可信任网络;该方法包括:
拦截所述终端发往数据服务器的对目标数据资源的访问请求,所述数据服务器所属的网络为可信任网络,所述数据服务器用于提供数据资源;
对所述终端进行第一动态身份认证;
若所述第一动态身份认证通过,则确定所述目标数据资源的敏感等级是否为目标敏感等级,若为目标敏感等级,则代理所述数据服务器向所述终端提供所述目标数据资源。
本申请实施例第二方面提供了一种访问网络资源的装置,所述装置所属的网络为可信任网络;该装置包括:
拦截单元,用于拦截所述终端发往数据服务器的对目标数据资源的访问请求,所述数据服务器所属的网络为可信任网络,所述终端所属的网络为不可信任网络,所述数据服务器用于提供数据资源;
认证单元,用于对所述终端进行第一动态身份认证;
执行单元,用于在所述第一动态身份认证通过时,确定所述目标数据资源的敏感等级是否为目标敏感等级,若为目标敏感等级,则代理所述数据服务器向所述终端提供所述目标数据资源。
从以上技术方案可以看出,本申请实施例具有以下优点:代理服务器通过拦截所述终端发往数据服务器的对目标数据资源的访问请求,并对所述终端进行第一动态身份认证;若所述第一动态身份认证通过,则确定所述目标数据资源的敏感等级是否为目标敏感等级,若为目标敏感等级,则代理所述数据服务器向所述终端提供所述目标数据资源。因此,通过对访问请求的拦截以及认证对不可信任网络的接入进行了控制,通过代理服务器代理所述数据服务器向所述终端提供所述目标数据资源,从而对可信任网络的路由以及运营进行了有效隔离,提高了网络访问的安全性。
附图说明
图1为本申请提供的一个系统组织结构示意图;
图2为本申请提供的服务器的一个组织结构示意图;
图3为本申请提供的访问网络资源的方法的一个流程示意图;
图4为本申请提供的访问网络资源的方法的另一流程示意图;
图5为本申请提供的访问网络资源的方法的另一流程示意图;
图6为本申请提供的一个系统部署方案示意图;
图7为本申请提供的访问网络资源的方法的另一流程示意图;
图8为本申请提供的访问网络资源的方法的另一流程示意图;
图9为本申请提供的一个界面效果示意图;
图10为本申请提供的访问网络资源的方法的另一流程示意图;
图11为本申请提供的访问网络资源的方法的另一流程示意图;
图12为本申请提供的另一界面效果示意图;
图13为本申请提供的访问网络资源的方法的另一流程示意图;
图14为本申请提供的lvs流量自动分配方式的一个流程示意图;
图15为本申请提供的访问网络资源的装置的一个组织结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
如图1所示,为本申请实施例的一个系统架构示意图。该系统中属于不可信任网络的部分包括图示中的外部公司网络,例如在外部公司网络中的办公电脑个人计算机(Personal Computer,PC)或者办公便携本(NoteBook,NB)等终端设备。该系统中属于可信任网络的部分包括图示中代理服务器侧的内网接入点和托管区域、以及数据服务器侧的办公自动化(Office Automation,OA)区域和互联网数据中心(Internet Data Center,IDC)区域,该IDC区域用于向外部公司提供数据资源。外部公司网络与内网之间通过配置站点到站点(site to site)的虚拟专用网络(Virtual Private Network,VPN)连接进行互联网(Internet)通信。
其中,内网接入点与外部公司网络的网络边界一般安装有防火墙。该内网接入点中包括传输控制协议(Transmission Control Protocol,TCP)代理,该TCP代理用于实现接入控制和路由隔离,例如对外部公司网络接入内部网络的访问权限进行控制。通过TCP代理向外部公司网络中的终端提供能够代理的数据资源,例如邮件、版本控制系统(Subversion,SVN)和腾讯通(Real Time eXpert,RTX)等。对于TCP不能直接代理的数据资源,提供虚拟应用登录系统的托管服务,该虚拟应用登录系统使用citrix控制接入,能够实现主机安全。例如外部公司网络中的终端要访问内网中IDC区域的主机,在通过TCP代理的权限认证后,还需要通过虚拟应用登录系统的静态认证,通过登录虚拟应用登录系统后,选择终端仿真程序secureCRT登录IDC区域的主机,该IDC区域的主机可以是Unix或Linux服务器主机,通常为了保障服务器主机的安全,在服务器主机的前端通常安装有集团域的跳板机。然而,对于虚拟应用登录系统不能提供的服务,例如IDC区域以及OA区域中的WEB应用,则进一步提供总线中转实现登陆认证和系统隔离。例如外部公司网络中的终端要访问OA区域中的WEB应用,在登陆虚拟应用登录系统后,选择虚拟应用IE浏览器后由总线前端进行接收处理,通过权限验证以及目的WEB应用的匹配认证后,由后端将该访问请求转发至对应的目的WEB应用,从而实现向外部网络中的终端提供WEB应用的访问服务。
图1中的代理服务器可以通过部署在图2中的服务器200实现相应的功能,该服务器200的组织结构示意图如图2所示,包括处理器202和存储器204,还可以包括总线208和通信接口206。
其中,处理器202、存储器204和通信接口206可以通过总线208实现彼此之间的通信连接,也可以通过无线传输等其他手段实现通信。
存储器204可以包括易失性存储器(英文:volatile memory),例如随机存取存储器(英文:random-access memory,缩写:RAM);存储器204也可以包括非易失性存储器(英文:non-volatile memory),例如只读存储器(英文:read-only memory,缩写:ROM),快闪存储器(英文:flash memory),硬盘(英文:hard disk drive,缩写:HDD)或固态硬盘(英文:solid state drive,缩写:SSD);存储器204还可以包括上述种类的存储器的组合。在通过软件来实现本申请提供的技术方案时,用于实现本申请图3提供的访问网络资源的方法中服务器侧执行的程序代码保存在存储器204中,并由处理器202来执行。
服务器200通过通信接口206与外部网络进行通信。
处理器202可以为中央处理器CPU。
该处理器202用于执行如下操作:
拦截所述终端发往数据服务器的对目标数据资源的访问请求,所述数据服务器所属的网络为可信任网络,所述数据服务器用于提供数据资源;
对所述终端进行第一动态身份认证;
若所述第一动态身份认证通过,则确定所述目标数据资源的敏感等级是否为目标敏感等级,若为目标敏感等级,则代理所述数据服务器向所述终端提供所述目标数据资源。
本申请实施例中,处理器202通过拦截所述终端发往数据服务器的对目标数据资源的访问请求,并对所述终端进行第一动态身份认证;若所述第一动态身份认证通过,则确定所述目标数据资源的敏感等级是否为目标敏感等级,若为目标敏感等级,则代理所述数据服务器向所述终端提供所述目标数据资源。因此,通过对访问请求的拦截以及认证对不可信任网络的接入进行了控制,通过代理所述数据服务器向所述终端提供所述目标数据资源,从而对可信任网络的路由以及运营进行了有效隔离,提高了网络访问的安全性。
可选的,该处理器202还用于执行如下操作:
若所述目标数据资源的敏感等级不为目标敏感等级,则向所述终端提供虚拟应用登录系统进行静态身份认证;
若所述静态身份认证通过,则向所述终端提供服务项,并根据用户在所述终端上选择的服务项提供相应的服务。
可选的,该处理器202用于根据用户在所述终端上选择的服务项提供相应的服务,包括:
该处理器202,用于在用户在所述终端上选择终端仿真程序secureCRT的服务项时,通过所述虚拟应用登录系统代理所述数据服务器向所述终端提供目的服务器的访问服务;
该处理器202,用于在用户在所述终端上选择万维网WEB浏览器的服务项时,通过总线模块拦截并代理所述数据服务器向所述终端提供WEB服务。
可选的,该处理器202用于通过总线模块拦截并代理所述数据服务器向所述终端提供WEB服务,包括:
该处理器202,用于通过总线模块对所述终端进行第二动态身份认证;
若所述第二动态身份认证通过,则通过所述总线模块代理所述数据服务器向所述终端提供WEB服务。
可选的,所述总线模块代理所述数据服务器向所述终端提供WEB服务时前端采用虚拟服务器lvs流量自动分配。
可选的,所述第一动态身份认证和所述第二动态身份认证的内容均为用户标识和动态密码;所述静态身份认证的内容为用户标识和静态密码。
可选的,所述目标敏感等级对应的目标数据资源包括邮件客户端、版本控制系统客户端或即时通讯客户端。
本申请还提供了一种访问网络资源的方法,应用于代理服务器和终端,所述代理服务器所属的网络为可信任网络,所述终端所属的网络为不可信任网络;图1中的代理服务器以及图2中的服务器200运行时执行该方法,其流程示意图如图3所示。
301、拦截所述终端发往数据服务器的对目标数据资源的访问请求,所述数据服务器所属的网络为可信任网络,所述数据服务器用于提供数据资源;
302、对所述终端进行第一动态身份认证;若所述第一动态身份认证通过,则执行303;若所述第一动态身份认证不通过,则执行304;
303、确定所述目标数据资源的敏感等级是否为目标敏感等级,若为目标敏感等级,则执行305;若不为目标敏感等级,则执行304;
304、向终端反馈访问失败;
305、代理所述数据服务器向所述终端提供所述目标数据资源。
本申请实施例中,代理服务器通过拦截所述终端发往数据服务器的对目标数据资源的访问请求,并对所述终端进行第一动态身份认证;若所述第一动态身份认证通过,则确定所述目标数据资源的敏感等级是否为目标敏感等级,若为目标敏感等级,则代理所述数据服务器向所述终端提供所述目标数据资源。因此,通过对访问请求的拦截以及认证对不可信任网络的接入进行了控制,通过代理服务器代理所述数据服务器向所述终端提供所述目标数据资源,从而对可信任网络的路由以及运营进行了有效隔离,提高了网络访问的安全性。
可选的,基于图3所示实施例方案,本申请还提供了虚拟应用登录系统的认证方案向终端提供数据资源的访问,其流程示意图如图4所示。
401、拦截所述终端发往数据服务器的对目标数据资源的访问请求,所述数据服务器所属的网络为可信任网络,所述数据服务器用于提供数据资源;
402、对所述终端进行第一动态身份认证;若所述第一动态身份认证通过,则执行403;若所述第一动态身份认证不通过,则执行404;
403、确定所述目标数据资源的敏感等级是否为目标敏感等级,若为目标敏感等级,则执行405;若不为目标敏感等级,则执行406;
404、向终端反馈访问失败;
405、代理所述数据服务器向所述终端提供所述目标数据资源;
406、向所述终端提供虚拟应用登录系统进行静态身份认证;若所述静态身份认证通过,则执行407;若所述静态身份认证不通过,则执行404;
407、向所述终端提供服务项,并根据用户在所述终端上选择的服务项提供相应的服务。
本申请实施例中,代理服务器在确定所述目标数据资源的敏感等级不为目标敏感等级时,向所述终端提供虚拟应用登录系统的托管服务进行静态身份认证;从而实现虚拟应用登录系统的控制接入,提高了网络访问的安全隔离性,降低了网络风险。
可选的,基于图4所示实施例方案,本申请还提供了总线中转的认证方案向终端提供数据资源的访问,其流程示意图如图5所示。
501、拦截所述终端发往数据服务器的对目标数据资源的访问请求,所述数据服务器所属的网络为可信任网络,所述数据服务器用于提供数据资源;
502、对所述终端进行第一动态身份认证;若所述第一动态身份认证通过,则执行503;若所述第一动态身份认证不通过,则执行504;
503、确定所述目标数据资源的敏感等级是否为目标敏感等级,若为目标敏感等级,则执行505;若不为目标敏感等级,则执行506;
504、向终端反馈访问失败;
505、代理所述数据服务器向所述终端提供所述目标数据资源;
506、向所述终端提供虚拟应用登录系统进行静态身份认证;若所述静态身份认证通过,则执行507;若所述静态身份认证不通过,则执行504;
507、向所述终端提供服务项,并根据用户在所述终端上选择的服务项提供相应的服务。
可选的,所述根据用户在所述终端上选择的服务项提供相应的服务包括:
5071、当用户在所述终端上选择终端仿真程序secureCRT的服务项时,通过所述虚拟应用登录系统代理所述数据服务器向所述终端提供目的服务器的访问服务;
5072、当用户在所述终端上选择万维网WEB浏览器的服务项时,通过总线模块拦截并代理所述数据服务器向所述终端提供WEB服务。
可选的,所述通过总线模块拦截并代理所述数据服务器向所述终端提供WEB服务,包括:
508、通过总线模块对所述终端进行第二动态身份认证;若所述第二动态身份认证通过,则执行509;若所述第二动态身份认证不通过,则执行504;
509、通过所述总线模块代理所述数据服务器向所述终端提供WEB服务。
本申请实施例中,代理服务器向所述终端提供服务项,并根据用户在所述终端上选择的服务项提供相应的服务;当用户在所述终端上选择终端仿真程序secureCRT的服务项时,通过所述虚拟应用登录系统代理所述数据服务器向所述终端提供目的服务器的访问服务;当用户在所述终端上选择万维网WEB浏览器的服务项时,通过总线模块拦截并代理所述数据服务器向所述终端提供WEB服务。从而总线中转的控制接入,提高了网络访问的安全隔离性,降低了网络风险。
可选的,上述方法实施例中,所述总线模块代理所述数据服务器向所述终端提供WEB服务时前端采用虚拟服务器lvs流量自动分配。
可选的,上述方法实施例中,所述第一动态身份认证和所述第二动态身份认证的内容均为用户标识和动态密码;所述静态身份认证的内容为用户标识和静态密码。
可选的,上述方法实施例中,所述目标敏感等级对应的目标数据资源包括邮件客户端、版本控制系统客户端或即时通讯客户端。
下面以一具体应用场景对本申请提供的方法加以说明。
如图6所示,为本申请基于该应用场景提供的系统架构的部署示意图。下面结合图7所示流程示意图,对本申请提供的访问网络资源的方法进行说明。
图7中,外部用户需要访问内网的数据资源,通过对应的终端(例如图6中的多台便携电脑)连接公共网络,并通过图6中的路由器将外部用户的访问请求定向到对应的接入点(即TCP代理),该TCP代理部署于图6所示的代理服务器中,根据代理的业务可以部署在多台代理服务器上,为了保障运营,还可另外部署备用代理服务器。图6中部署了两个代理服务器,其中一个与Web服务器连接,以提供Web应用;另一个连接实时通信服务器,提供含ctrix的网页的链路服务,另外还部署了一个备用代理服务器。图6中管理服务器负责各代理服务器中防火墙的管理。TCP代理拦截该访问请求并通过域名系统DNS(图6中部署的DNS服务器)解析外部用户需要访问的接入点。该TCP代理向外部用户所使用的终端进行权限验证,譬如请求外部用户输入账号以及密码,该账号以及密码可以是用户通过注册鉴权的形式所申请的账号及静态密码,也可以是由用户提供的工号/手机号码以及根据工号/手机号码生成的动态密码。在权限验证通过后,如果外部用户所访问的数据资源TCP能够直接代理,则直接由TCP代理数据服务器向外部用户对应的终端提供该数据资源,该数据资源包括但不限于邮件、SVN或者RTX。如果外部用户所访问的数据资源TCP不能够直接代理,则提供虚拟应用登录系统,外部用户通过该登录系统的认证系统进行权限验证,譬如请求外部用户再次输入账号以及密码,该账号以及密码可以是用户通过注册鉴权的形式所申请的账号及静态密码,也可以是由用户提供的工号/手机号码以及根据工号/手机号码生成的动态密码。优选的,为提高网络安全性,TCP代理和虚拟应用登录系统的权限验证所使用的账号及密码可以不相同。在权限验证通过后,外部用户可以选择对应的虚拟应用获取相应的服务。例如外部用户通过使用secureCRT访问目的服务器,且虚拟应用登录系统能够直接提供该服务,虚拟应用登录系统与数据服务器连接,并向外部用户对应的终端提供目的服务器的访问服务。进一步的,如果外部用户通过使用浏览器IE访问数据服务器的WEB应用,而虚拟应用登录系统不能够直接提供该服务,则将访问请求转发给总线模块,通过总线模块进行中转后向外部用户对应的终端提供WEB应用的访问服务。例如,总线模块通过前端接收外部用户的访问请求,对外部用户再次进行权限验证,譬如请求外部用户再次输入账号以及密码,该账号以及密码可以是用户通过注册鉴权的形式所申请的账号及静态密码,也可以是由用户提供的工号/手机号码以及根据工号/手机号码生成的动态密码。考虑到网络安全性,TCP代理、虚拟应用登录系统以及总线模块的权限验证所使用的账号及密码可以不相同。在权限验证通过后,外部用户可以输入目的URL访问目的WEB应用,同时,总线模块对外部用户输入的目的URL进行匹配,若存在对应的WEB应用,则由总线模块的后端转发访问请求到数据服务器,并向外部用户对应的终端提供WEB应用的访问服务。
下面对图7所示流程示意图的各部分进行详细说明。
第一部分:不可信任网络侧重定向请求到接入点
如图8所示,外部用户需要访问内网的数据资源,通过对应的终端连接公共网络,并通过路由网关将外部用户的访问请求定向到对应的接入点(即TCP代理)。其中,不可信任网络侧(外部用户)可以通过修改DNS、本地host或者本地浏览器代理pac脚本等多种方式把需要访问内网的数据资源的访问请求定向到接入点(TCP代理)。例如,如图9所示,不可信任网络侧(外部用户)通过www.oa.com访问腾讯内网资源,该访问请求被重定向到接入点(TCP代理)。
第二部分:TCP代理实现接入控制和路由隔离
如图10所示,来自不可信任网络侧(外部用户)的数据资源的访问请求定向至接入点(TCP代理节点),首先DNS解析需要访问的TCP代理的IP地址,向访问请求指向该IP地址,此时,请求外部用户输入账号和密码,对该访问请求进行账号和密码的认证,确认外部用户是否有权限访问,如无则拒绝访问,如有则继续访问。根据外部用户的访问请求,判断该访问请求的性质,如属于TCP代理可直接代理的数据资源,则直接提供给外部用户进行访问,如不属于TCP代理可直接代理的数据资源,则提供虚拟应用登录系统,将该访问请求发送给虚拟应用登录系统。
第三部分:虚拟应用登陆系统控制接入主机安全
如图11所示,外部用户输入账号和密码登陆虚拟应用登录系统citrix,虚拟应用登录系统对该账号和密码进行权限验证,如果验证通过,则向允许外部用户打开虚拟应用界面,向外部用户对应的终端提供虚拟应用,供用户选择相应的服务。如果验证不通过,则无法继续。如图12所示,为虚拟应用界面示意图,虚拟应用界面提供的虚拟应用包括但不限于secureCRT、IE浏览器、QQ浏览器等。如果外部用户选择secureCRT,虚拟应用登录系统与数据服务器连接,并向外部用户对应的终端提供目的服务器的访问服务。如果外部用户选择浏览器IE,则将访问请求转发给总线模块,通过总线模块进行中转。以上通过虚拟应用登陆系统与数据服务器连接,可防止外部用户对应的终端存在风险威胁内网服务。
第四部分:总线模块实现登陆认证和系统隔离
如图13所示,用户使用虚拟应用界面提供的IE浏览器应用请求访问web服务,此访问请求由总线模块的前端接收并拦截。外部用户通过对应的账号和动态密码进行权限认证,如果确认用户有权限访问,则继续访问,如果确认用户无权限访问则拒绝访问。外部用户输入对应的目的URL进行继续访问,总线模块对该目的URL进行匹配,若匹配成功,则连通至后端,由后端转发访问请求到数据服务器,并向外部用户对应的终端提供访问web应用的服务;若匹配不成功,则访问失败。以上通过总线模块的中转,外部用户和前端不直接接触数据服务器的数据资源,从而有效的隔离内网的资源。如图14所示,通过总线前端接收并拦截后,前端可以采用lvs流量自动分配方式,防止过大流量造成服务器压力,实现验证和规则,并将验证通过的访问请求转发到后端。后端访问实际需要访问的数据资源,并返回给前端。
本申请实施例还提供了访问网络资源的装置600,该访问网络资源的装置600可以通过图2所示的服务器200实现,还可以通过专用集成电路(英文:application-specificintegrated circuit,缩写:ASIC)实现,或可编程逻辑器件(英文:programmable logicdevice,缩写:PLD)实现。上述PLD可以是复杂可编程逻辑器件(英文:complexprogrammable logic device,缩写:CPLD),FPGA,通用阵列逻辑(英文:generic arraylogic,缩写:GAL)或其任意组合。该访问网络资源的装置600用于实现图3所示的访问网络资源的方法中服务器侧执行的方法。通过软件实现图3所示的访问网络资源的方法时,该访问网络资源的装置600也可以为软件模块。
访问网络资源的装置600的组织结构示意图如图15所示,包括:
拦截单元601,用于拦截所述终端发往数据服务器的对目标数据资源的访问请求,所述数据服务器所属的网络为可信任网络,所述终端所属的网络为不可信任网络,所述数据服务器用于提供数据资源;
认证单元602,用于对所述终端进行第一动态身份认证;
执行单元603,用于在所述第一动态身份认证通过时,确定所述目标数据资源的敏感等级是否为目标敏感等级,若为目标敏感等级,则代理所述数据服务器向所述终端提供所述目标数据资源。
本申请实施例中,拦截单元601拦截所述终端发往数据服务器的对目标数据资源的访问请求,所述数据服务器所属的网络为可信任网络,所述终端所属的网络为不可信任网络,所述数据服务器用于提供数据资源;
认证单元602对所述终端进行第一动态身份认证;
在所述第一动态身份认证通过时,执行单元603确定所述目标数据资源的敏感等级是否为目标敏感等级,若为目标敏感等级,则代理所述数据服务器向所述终端提供所述目标数据资源。因此,通过对访问请求的拦截以及认证对不可信任网络的接入进行了控制,通过代理所述数据服务器向所述终端提供所述目标数据资源,从而对可信任网络的路由以及运营进行了有效隔离,提高了网络访问的安全性。
可选的,所述执行单元603,还用于在所述目标数据资源的敏感等级不为目标敏感等级时,向所述终端提供虚拟应用登录系统进行静态身份认证;若所述静态身份认证通过,则向所述终端提供服务项,并根据用户在所述终端上选择的服务项提供相应的服务。
可选的,所述执行单元603用于根据用户在所述终端上选择的服务项提供相应的服务,包括:
所述执行单元603,用于在用户在所述终端上选择终端仿真程序secureCRT的服务项时,通过所述虚拟应用登录系统代理所述数据服务器向所述终端提供目的服务器的访问服务;
所述执行单元603,用于在用户在所述终端上选择万维网WEB浏览器的服务项时,通过总线模块拦截并代理所述数据服务器向所述终端提供WEB服务。
可选的,所述执行单元603用于通过总线模块拦截并代理所述数据服务器向所述终端提供WEB服务,包括:
所述执行单元603,用于通过总线模块对所述终端进行第二动态身份认证;
若所述第二动态身份认证通过,则通过所述总线模块代理所述数据服务器向所述终端提供WEB服务。
可选的,所述总线模块代理所述数据服务器向所述终端提供WEB服务时前端采用虚拟服务器lvs流量自动分配。
可选的,所述第一动态身份认证和所述第二动态身份认证的内容均为用户标识和动态密码;所述静态身份认证的内容为用户标识和静态密码。
可选的,所述目标敏感等级对应的目标数据资源包括邮件客户端、版本控制系统客户端或即时通讯客户端。
上述装置的相关描述可以对应参阅方法实施例部分的相关描述和效果进行理解,本处不做过多赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
Claims (13)
1.一种访问网络资源的方法,应用于代理服务器和终端,其特征在于,所述代理服务器所属的网络为可信任网络,所述终端所属的网络为不可信任网络;所述方法包括:
所述代理服务器拦截所述终端发往数据服务器的对目标数据资源的访问请求,所述数据服务器所属的网络为可信任网络,所述数据服务器用于提供至少包括所述目标数据资源的数据资源;
所述代理服务器对所述终端进行第一动态身份认证;所述第一动态身份认证的内容为用户标识和动态密码;
若所述第一动态身份认证通过,则所述代理服务器确定所述目标数据资源的敏感等级是否为目标敏感等级,若为目标敏感等级,则代理所述数据服务器向所述终端提供所述目标数据资源;所述目标敏感等级的资源为可直接代理资源;
若所述目标数据资源的敏感等级不为目标敏感等级,则所述代理服务器向所述终端提供虚拟应用登录系统进行静态身份认证;所述静态身份认证的内容为用户标识和静态密码;
若所述静态身份认证通过,则所述代理服务器向所述终端提供服务项,并根据所述终端反馈的服务项提供相应的服务。
2.根据权利要求1所述的方法,其特征在于,所述根据所述终端反馈的服务项提供相应的服务,包括:
当所述终端反馈终端仿真程序secureCRT的服务项时,通过所述虚拟应用登录系统代理所述数据服务器向所述终端提供所述数据服务器的访问服务;
当所述终端反馈万维网WEB浏览器的服务项时,通过总线模块拦截并代理所述数据服务器向所述终端提供WEB服务。
3.根据权利要求2所述的方法,其特征在于,所述通过总线模块拦截并代理所述数据服务器向所述终端提供WEB服务,包括:
通过总线模块对所述终端进行第二动态身份认证;
若所述第二动态身份认证通过,则通过所述总线模块代理所述数据服务器向所述终端提供WEB服务。
4.根据权利要求3所述的方法,其特征在于,所述总线模块代理所述数据服务器向所述终端提供WEB服务时,总线前端将流量分配给两个虚拟服务器进行处理。
5.根据权利要求3或4所述的方法,其特征在于,所述第二动态身份认证的内容为用户标识和动态密码。
6.根据权利要求1至4任一项所述的方法,其特征在于,所述目标敏感等级对应的目标数据资源包括邮件客户端、版本控制系统客户端或即时通讯客户端。
7.一种访问网络资源的装置,其特征在于,所述装置所属的网络为可信任网络;所述装置包括:
拦截单元,用于拦截终端发往数据服务器的对目标数据资源的访问请求,所述数据服务器所属的网络为可信任网络,所述终端所属的网络为不可信任网络,所述数据服务器用于提供至少包括所述目标数据资源的数据资源;
认证单元,用于对所述终端进行第一动态身份认证;所述第一动态身份认证的内容为用户标识和动态密码;
执行单元,用于在所述第一动态身份认证通过时,确定所述目标数据资源的敏感等级是否为目标敏感等级,若为目标敏感等级,则代理所述数据服务器向所述终端提供所述目标数据资源;若所述目标数据资源的敏感等级不为目标敏感等级,则向所述终端提供虚拟应用登录系统进行静态身份认证;若所述静态身份认证通过,则向所述终端提供服务项,并根据所述终端反馈的服务项提供相应的服务;所述目标敏感等级的资源为可直接代理资源。
8.根据权利要求7所述的装置,其特征在于,所述执行单元用于根据所述终端反馈的服务项提供相应的服务,包括:
所述执行单元,用于在所述终端反馈终端仿真程序secureCRT的服务项时,通过所述虚拟应用登录系统代理所述数据服务器向所述终端提供所述数据服务器的访问服务;
所述执行单元,用于在所述终端反馈选择万维网WEB浏览器的服务项时,通过总线模块拦截并代理所述数据服务器向所述终端提供WEB服务。
9.根据权利要求8所述的装置,其特征在于,所述执行单元用于通过总线模块拦截并代理所述数据服务器向所述终端提供WEB服务,包括:
所述执行单元,用于通过总线模块对所述终端进行第二动态身份认证;
若所述第二动态身份认证通过,则通过所述总线模块代理所述数据服务器向所述终端提供WEB服务。
10.根据权利要求9所述的装置,其特征在于,所述总线模块代理所述数据服务器向所述终端提供WEB服务时,总线前端将流量分配给两个虚拟服务器进行处理。
11.根据权利要求9或10所述的装置,其特征在于,所述第二动态身份认证的内容为用户标识和动态密码。
12.根据权利要求7至10任一项所述的装置,其特征在于,所述目标敏感等级对应的目标数据资源包括邮件客户端、版本控制系统客户端或即时通讯客户端。
13.一种可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现如权利要求1-6中任一项所述的访问网络资源的方法的各个步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610387143.1A CN107454050B (zh) | 2016-06-01 | 2016-06-01 | 一种访问网络资源的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610387143.1A CN107454050B (zh) | 2016-06-01 | 2016-06-01 | 一种访问网络资源的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107454050A CN107454050A (zh) | 2017-12-08 |
| CN107454050B true CN107454050B (zh) | 2020-03-03 |
Family
ID=60485316
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610387143.1A Active CN107454050B (zh) | 2016-06-01 | 2016-06-01 | 一种访问网络资源的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107454050B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109347855B (zh) * | 2018-11-09 | 2020-06-05 | 南京医渡云医学技术有限公司 | 数据访问方法、装置、系统、电子设计及计算机可读介质 |
| CN111614494B (zh) * | 2020-05-08 | 2023-04-07 | 北京百度网讯科技有限公司 | 网络资源的仿真方法、装置、电子设备和计算机可读存储介质 |
| CN115189960A (zh) * | 2022-07-18 | 2022-10-14 | 西安热工研究院有限公司 | 一种将静态密码与动态口令相结合的认证方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101827115A (zh) * | 2009-12-31 | 2010-09-08 | 厦门市美亚柏科信息股份有限公司 | 一种全息式企业服务总线 |
| CN103944890A (zh) * | 2014-04-08 | 2014-07-23 | 山东乾云启创信息科技有限公司 | 基于客户端/服务器模式的虚拟交互系统及方法 |
| CN104717249A (zh) * | 2013-12-12 | 2015-06-17 | 北京神州泰岳软件股份有限公司 | 远程操作应用发布的方法、代理服务器和系统 |
| CN105187430A (zh) * | 2015-09-18 | 2015-12-23 | 浪潮通用软件有限公司 | 一种反向代理服务器、反向代理系统和方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102857537B (zh) * | 2011-07-01 | 2016-01-20 | 中国移动通信集团辽宁有限公司 | 一种远程调用方法、装置和系统 |
| US9065856B2 (en) * | 2013-02-01 | 2015-06-23 | Vidder, Inc. | Securing communication over a network using client system authorization and dynamically assigned proxy servers |
-
2016
- 2016-06-01 CN CN201610387143.1A patent/CN107454050B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101827115A (zh) * | 2009-12-31 | 2010-09-08 | 厦门市美亚柏科信息股份有限公司 | 一种全息式企业服务总线 |
| CN104717249A (zh) * | 2013-12-12 | 2015-06-17 | 北京神州泰岳软件股份有限公司 | 远程操作应用发布的方法、代理服务器和系统 |
| CN103944890A (zh) * | 2014-04-08 | 2014-07-23 | 山东乾云启创信息科技有限公司 | 基于客户端/服务器模式的虚拟交互系统及方法 |
| CN105187430A (zh) * | 2015-09-18 | 2015-12-23 | 浪潮通用软件有限公司 | 一种反向代理服务器、反向代理系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107454050A (zh) | 2017-12-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12034854B2 (en) | Providing single sign-on (SSO) in disjoint networks with non-overlapping authentication protocols | |
| US10193860B2 (en) | Secure application delivery system with dial out and associated method | |
| US10826872B2 (en) | Security policy for browser extensions | |
| US10382401B1 (en) | Cloud over IP for enterprise hybrid cloud network and security | |
| US9712624B2 (en) | Secure virtual network platform for enterprise hybrid cloud computing environments | |
| US10382436B2 (en) | Network security based on device identifiers and network addresses | |
| US10542006B2 (en) | Network security based on redirection of questionable network access | |
| EP3952255B1 (en) | Localization at scale for a cloud-based security service | |
| US20170170973A1 (en) | Uniquely identifying and securely communicating with an appliance in an uncontrolled network | |
| Schoo et al. | Challenges for cloud networking security | |
| US10404747B1 (en) | Detecting malicious activity by using endemic network hosts as decoys | |
| US12015592B2 (en) | Zero trust approach to secure sensitive mobile applications and prevent distributed denial of service attacks | |
| KR101342592B1 (ko) | 클라우드 시스템에서의 웹 방화벽 서비스 장치 및 방법 | |
| CN107454050B (zh) | 一种访问网络资源的方法及装置 | |
| CN111818081A (zh) | 虚拟加密机管理方法、装置、计算机设备和存储介质 | |
| CN102255979A (zh) | 一种接入服务器的方法和系统 | |
| CN112953932B (zh) | 基于ca证书的身份认证网关集成设计方法及集成系统 | |
| CN107172038B (zh) | 一种用于提供安全服务的信息处理方法、平台、组件及系统 | |
| Zhang et al. | Ephemeral exit bridges for tor | |
| EP3501156B1 (en) | Providing single sign-on (sso) in disjoint networks with non-overlapping authentication protocols | |
| EP3381171B1 (en) | Uniquely identifying and securely communicating with an appliance in an uncontrolled network | |
| WO2016192765A1 (en) | Authentication and authorization based on credentials and ticket |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |