CN109462589A - 应用程序网络访问控制的方法、装置及设备 - Google Patents
应用程序网络访问控制的方法、装置及设备 Download PDFInfo
- Publication number
- CN109462589A CN109462589A CN201811348603.5A CN201811348603A CN109462589A CN 109462589 A CN109462589 A CN 109462589A CN 201811348603 A CN201811348603 A CN 201811348603A CN 109462589 A CN109462589 A CN 109462589A
- Authority
- CN
- China
- Prior art keywords
- application program
- flow
- information
- vpn
- vpn resource
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2475—Traffic characterised by specific attributes, e.g. priority or QoS for supporting traffic characterised by the type of applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种应用程序网络访问控制的方法、装置及设备,其中,一种应用程序网络访问控制的方法,包括:获取VPN资源及所述VPN资源对应的控制访问列表;获取接收的流量报文中的报文信息;将所述报文信息与所述VPN资源进行匹配;获取所述应用程序的信息和所述应用程序的网络连接信息;将所述应用程序的信息和所述网络连接信息与所述控制访问列表进行匹配,从而确认所述应用程序访问的所述VPN资源;根据所述控制访问列表对访问所述VPN资源的应用程序的流量进行控制。解决了不能对访问网络的流量进行精度控制的问题。取得了增加流量控制精度的积极的技术效果。
Description
技术领域
本发明涉及移动网络安全领域,尤其涉及一种应用程序网络访问控制的方法、装置及设备。
背景技术
VPN技术的发展,可以使用户安全、廉价地使用远程访问服务。当VPN客户端与VPN服务器创建连接、建立隧道后,数据信息可以通过隧道安全地访问目的网络。然而,隧道的终端依然存在安全隐患。终端程序可通过VPN隧道向内部网络发起网络攻击。
目前,企业APP发起网络请求之后,将会把这些请求导入本地VPN服务,然后将会对VPN服务获取到的网络请求进行类型鉴别,然后对鉴别出的违规请求进行拦截处理。
现有技术中,是对所有访问客户端VPN服务的流量进行过滤,而不能区分APP所访问的VPN资源,并根据具体VPN资源做相应的控制,不精确。无法满足一些精确性较高的应用场景,例如:服务于安全监测的访问控制。
发明内容
本发明实施例提供一种应用程序网络访问控制的方法、装置及设备,用以解决现有技术中存在不能对访问网络的流量进行精度控制的问题。
第一方面,本发明实施例提供一种应用程序网络访问控制的方法,包括:
获取VPN资源及所述VPN资源对应的控制访问列表;
获取接收的流量报文中的报文信息;
将所述报文信息与所述VPN资源进行匹配;
获取所述应用程序的信息和所述应用程序的网络连接信息;
将所述应用程序的信息和所述网络连接信息与所述控制访问列表进行匹配,从而确认所述应用程序访问的所述VPN资源;
根据所述控制访问列表对访问所述VPN资源的应用程序的流量进行控制。
作为本发明实施例的一种具体实现方式,所述获取VPN资源及所述VPN资源对应的控制访问列表的步骤之后,还包括:
存储所述VPN资源及所述VPN资源对应的控制访问列表。
作为本发明实施例的一种具体实现方式,所述获取接收的流量报文中的报文信息,包括:
接收流量;
解析所述流量的流量报文,从而获取报文信息。
作为本发明实施例的一种具体实现方式,所述获取所述应用程序的网络连接信息,包括:
在所述报文信息内获取报文使用的协议类型;
在所述协议类型内获取第一网络连接信息;
将所述报文信息与所述第一网络连接信息对比,从而获取所述应用程序的网络连接信息。
作为本发明实施例的一种具体实现方式,所述根据所述控制访问列表对访问所述VPN资源的应用程序的流量进行控制,包括:
获取所述控制访问列表中的流量控制策略;
根据所述流量控制策略对访问所述VPN资源的应用程序的流量进行控制。
第二方面,本发明实施例提供一种应用程序网络访问控制的装置,包括:
列表获取模块:用于获取VPN资源及所述VPN资源对应的控制访问列表;
报文信息获取模块:用于获取接收的流量报文中的报文信息;
匹配模块:用于将所述报文信息与所述VPN资源进行匹配;
信息获取模块:用于获取所述应用程序的信息和所述应用程序的网络连接信息;
确认模块:用于将所述应用程序的信息和所述网络连接信息与所述控制访问列表进行匹配,从而确认所述应用程序访问的所述VPN资源;
控制模块:用于根据所述控制访问列表对访问所述VPN资源的应用程序的流量进行控制。
作为本发明实施例的一种具体实现方式,还包括:
存储模块:用于存储所述VPN资源及所述VPN资源对应的控制访问列表。
作为本发明实施例的一种具体实现方式,所述报文信息获取模块,包括:
接收模块:用于接收流量;
解析模块:用于解析所述流量的流量报文,从而获取报文信息。
作为本发明实施例的一种具体实现方式,所述控制模块,包括:
控制策略模块:用于获取所述控制访问列表中的流量控制策略;
流量控制模块:用于根据所述流量控制策略对访问所述VPN资源的应用程序的流量进行控制。
第三方面,本发明实施例提供一种电子设备,所述电子设备,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如第一方面所述的方法的步骤。
本发明实施例通过设置控制访问列表,并通过获取应用程序的信息和网络连接信息,并将应用程序的信息和网络连接信息与控制访问列表进行匹配,从而确认应用程序访问的所述VPN资源,依据控制访问列表对访问VPN资源的应用程序的流量进行控制,从而解决了不能对访问网络的流量进行精度控制的问题。取得了增加流量控制精度的积极的技术效果。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为本发明实施例一所述的应用程序网络访问控制的方法的流程图;
图2为本发明实施例一所述的获取接收的流量报文中的报文信息的流程图;
图3为本发明实施例一所述的根据控制访问列表对访问VPN资源的应用程序的流量进行控制的流程图;
图4为本发明实施例二所述的应用程序网络访问控制的方法具体应用的流程图;
图5为本发明实施例三所述的应用程序网络访问控制的装置的原理框图;
图6为本发明实施例三所述的报文信息获取模块的原理框图;
图7为本发明实施例三所述的信息获取模块的原理框图;
图8为本发明实施例三所述的控制模块的原理框图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
实施例一:
本发明第一实施例提供一种应用程序网络访问控制的方法,如图1所示,包括:
步骤S101:获取VPN资源及所述VPN资源对应的控制访问列表;
控制访问列表是VPN服务器根据VPN资源设置的,本发明实施例的一个具体的应用场景为,应用程序(APP),通过VPN客户端连接VPN服务器,然后通过VPN进行网络访问,VPN服务器上的控制访问列表设置完成后,VPN客户端获取VPN服务器上的控制访问列表。
步骤S102:获取接收的流量报文中的报文信息;
应用程序发送流量给VPN客户端,VPN客户端接收到流量后,在流量中获取响应的报文信息。其中VPN客户端可以是安装在终端上的具体应用程序。
步骤S103:将所述报文信息与所述VPN资源进行匹配;
VPN客户端获取上报文信息后,将报文信息与从VPN服务器获取的VPN资源相匹配,从而确定哪些流量可以使用哪些VPN资源,因需要使用VPN资源的应用程序不是一个,可能是多个应用程序通过VPN服务器访问网络,因此需要确定每个应用程序具体可以使用哪些VPN资源。
步骤S104:获取所述应用程序的信息和所述应用程序的网络连接信息;
在一个具体的应用场景中,获取应用程序的信息可以是获取应用程序的进程启动信息和应用程序的进程ID,从而将应用程序与进程启动信息对应起来,而应用程序的网络连接信息包括,如IP、端口、协议类型等。
步骤S105:将所述应用程序的信息和所述网络连接信息与所述控制访问列表进行匹配,从而确认所述应用程序访问的所述VPN资源;
VPN客户端根据获取的应用程序的信息和网络连接信息与控制访问列表内的信息进行匹配,从而根据控制访问列表内的信息,确定应用程序具体访问的VPN资源,如VPN资源包括多个VPN隧道,当有多个应用程序通过VPN访问网络时,需要对每个应用程序都分别一个具体的VPN隧道,通过控制访问列表将应用程序的信息和VPN资源的信息对应起来,从而为每个应用程序分配一个VPN隧道,即为确认所述应用程序访问的VPN资源。
步骤S106:根据所述控制访问列表对访问所述VPN资源的应用程序的流量进行控制。
在上文确认了应用程序访问的VPN资源后,需要根据控制访问列表确定该应用程序发送的流量是否通过VPN客户端,具体根据控制访问列表对相应应用程序的控制策略控制,如控制访问列表允许流量通过,则流量通过,如不允许流量通过,则流量被截留。
作为本发明的一种具体实现方式,所述获取VPN资源及所述VPN资源对应的控制访问列表的步骤之后,还包括:
存储所述VPN资源及所述VPN资源对应的控制访问列表。
VPN客户端从VPN服务器获取到VPN资源及控制访问列表后,将接收到的VPN资源信息对应的控制访问列表保存到VPN客户端上,从而在将所述应用程序的信息和所述网络连接信息与所述控制访问列表进行匹配,从而确认所述应用程序访问的所述VPN资源的步骤时,不用在访问VPN服务器,直接从VPN客户端获取信息即可。从而减少了VPN客户端对VPN服务器访问的过程,减少了占用的VPN资源,并提高了对比的效率。
作为本发明的一种具体实现方式,步骤S102:所述获取接收的流量报文中的报文信息,包括:
步骤S201:接收流量;
VPN客户端需要接收应用程序发送的流量,在一个具体的应用场景中VPN客户端和需要访问VPN客户端的应用程序设置在一个终端上,当应用程序需要通过VPN访问网络时,应用程序首先需要将流量发送给VPN客户端。
步骤S202:解析所述流量的流量报文,从而获取报文信息。
VPN客户端接收到流量后,对流量中的流量报文进行解析,从而得到报文信息。报文信息包含,报文使用的协议类型;协议类型,包括TCP、UDP、ICMP等协议。在协议类型内包含网络连接信息。
作为本发明的一种具体实现方式,所述获取所述应用程序的网络连接信息,包括:
在所述报文信息内获取报文使用的协议类型;
在所述协议类型内获取第一网络连接信息;
将所述报文信息与所述第一网络连接信息对比,从而获取所述应用程序的网络连接信息。具体同下文中的应用程序网络访问感知的方法相同,在此不再赘述。
作为本发明的一种具体实现方式,步骤S106根据所述控制访问列表对访问所述VPN资源的应用程序的流量进行控制,如图3所示,包括:
步骤S301:获取所述控制访问列表中的流量控制策略;
流量控制策略即对应用程序发送给VPN客户端的流量是否通过VPN客户端,如流量控制策略采用白名单策略时,与控制访问列表匹配成功的应用程序的流量则通过,匹配失败则流量不通过。即在白名单内的应用程序的流量可以通过VPN客户端发送出去,而不在白名单内的应用程序的流量则不可以通过VPN客户端发送出去。如果策略为黑名单策略,那么匹配成功流量不通过,匹配失败则流量通过。即在黑名单内的应用程序的流量不可以通过VPN客户端发送出去,而不在黑名单内的应用程序的流量则可以通过VPN客户端发送出去。
步骤S302:根据所述流量控制策略对访问所述VPN资源的应用程序的流量进行控制。
根据上文的控制策略,如黑白名单策略,确定是否发送应用程序的流量。
实施例二:
本发明实施例是应用程序网络访问控制的方法的一个具体应用如图4所示。
步骤1:VPN服务器根据VPN资源设置的控制访问列表。
步骤2:VPN客户端登录服务。
步骤3:VPN客户端服务获取步骤1中服务器设置的VPN资源及其对应的控制访问列表。
步骤4:存储步骤3中获取的资源及其对应的控制访问列表。
步骤5:某APP向VPN的某个资源发送流量。
步骤6:解析由步骤5中APP发出的流量报文,获取报文中的相关信息。
步骤7:根据步骤6中解析的报文信息与步骤3中获取的VPN资源匹配。
步骤8:使用应用程序网络访问感知方法获取具体APP信息及其网络连接信息。
步骤9:根据步骤8中获取的APP信息及其网络连接信息,与步骤4中存储的控制访问列表匹配。确认具体APP访问的具体VPN资源。
步骤10:根据控制访问列表的策略对步骤5中的APP向指定VPN资源流量进行控制。
对于应用程序网络访问感知的方法具体如下:
获取VPN资源列表;
VPN客户端从VPN服务器获取资源列表。
依据接收的来自应用程序的流量的报文信息在所述VPN资源列表内获取所述流量链接的VPN资源;
当VPN客户端获取到资源列表后,应用程序发送流量给VPN客户端,VPN客户端接收到流量后对流量进行解析后获取到流量链接的VPN资源。
在具体的应用场景中应用程序可以为APP。且APP可以与VPN客户端设置在一个终端上。在使用VPN时,同时会有多个app向VPN客户端发送流量,VPN客户端对所有的流量后,根据对流量的分析,并根据获取的VPN资源,为每个流量都分配一个具体的VPN资源,从而确认此流量具体链接的VPN资源。
获取所述应用程序的进程配对信息;
在应用程序运行时,每个应用程序都有对应的进程启动信息,因此在应用程序运行的终端上,会运行多个进程启动信息,而每个应用程序都有对应的进程ID,通过将进程ID和进程启动信息配对,从而确定每个进程启动信息对应的应用程序。
获取所述流量发送至所述VPN资源的网络连接信息;
将应用程序的发送的流量通过VPN客户端发送至VPN服务器,不同的流量需要的网络连接信息不同,网络连接信息包括,如IP、端口、协议类型等。
依据所述进程配对信息和所述网络连接信息确定所述应用程序链接的VPN资源隧道。
在获取到应用程序对应的进行程配对信息和网络连接信息后,根据进行程配对信息和网络连接信息确定应用程序发送的流量具体采用的VPN资源隧道,及对每个应用程序发送的流量进行区分,不同的应用程序使用不同的VPN资源隧道发送流量。
依据接收的来自应用程序的流量的报文信息在所述VPN资源列表内获取所述流量链接的VPN资源,包括:
接收来自应用程序的流量;
VPN客户端和应用程序设置在一个终端上,如在Android设备上为不同的应用,需要使用VPN的应用程序会发送流量给VPN的应用,VPN的应用接收应用程序发送的流量。
在所述流量中获取流量报文;
VPN解析到流量后,获取流量中的流量报文。
解析所述流量报文,从而得到流量报文中的报文信息;
依据所述报文信息在所述VPN资源列表内获取所述流量链接的VPN资源。
所述获取所述应用程序的进程配对信息,包括:
获取应用程序的进程启动信息;
检查proc文件系统中正在运行的所有进程,获取每个进程的进程启动信息。具体使用的是proc文件系统中进程相关的功能。proc文件系统是linux系统下的一个目录。
将所述进程启动信息与所述应用程序的进程ID进行配对,从而得到所述进程配对信息。
获取所述流量发送至所述VPN资源的网络连接信息,包括:
在所述报文信息内获取报文使用的协议类型;
协议类型,包括TCP、UDP、ICMP等协议。
在所述协议类型内获取第一网络连接信息;
根据协议类型,在系统文件中获取此协议的所有网络连接信息。这里的系统文件是linux系统中存储具体协议(比如说TCP)网络链接内容的文件。此文件在proc文件系统目录内。
将所述报文信息与所述第一网络连接信息对比,从而获取所述流量发送至所述VPN资源的网络连接信息。
依据所述进程配对信息和所述网络连接信息确定所述应用程序链接的VPN资源隧道,包括:
在所述流量发送至所述VPN资源的网络连接信息中获取文件描述符信息;
依据所述进程配对信息和所述文件描述符信息确定所述应用程序链接的VPN资源隧道。
每个进程可能会有多个网络连接,每个网络连接都会生成一个网络连接描述文件。网络连接描述文件内包含文件描述符信息。
实施例三:
如图5所示,本发明实施例提供一种应用程序网络访问控制的装置,包括:
列表获取模块501:用于获取VPN资源及所述VPN资源对应的控制访问列表;
报文信息获取模块502:用于获取接收的流量报文中的报文信息;
匹配模块503:用于将所述报文信息与所述VPN资源进行匹配;
信息获取模块504:用于获取所述应用程序的信息和所述应用程序的网络连接信息;
确认模块505:用于将所述应用程序的信息和所述网络连接信息与所述控制访问列表进行匹配,从而确认所述应用程序访问的所述VPN资源;
控制模块506:用于根据所述控制访问列表对访问所述VPN资源的应用程序的流量进行控制。
作为本发明的一种具体实现方式,装置还包括:存储模块:用于存储所述VPN资源及所述VPN资源对应的控制访问列表。
作为本发明的一种具体实现方式,如图6所示,所述报文信息获取模块502,包括:
接收模块601:用于接收流量;
解析模块602:用于解析所述流量的流量报文,从而获取报文信息。
作为本发明的一种具体实现方式,如图7所示,信息获取模块504,包括:
协议模块701:用于在所述报文信息内获取报文使用的协议类型;
连接信息获取模块702:用于在所述协议类型内获取第一网络连接信息;
对比模块703:用于将所述报文信息与所述第一网络连接信息对比,从而获取所述应用程序的网络连接信息。
作为本发明的一种具体实现方式,如图8所示,所述控制模块506,包括:
控制策略模块801:用于获取所述控制访问列表中的流量控制策略;
流量控制模块802:用于根据所述流量控制策略对访问所述VPN资源的应用程序的流量进行控制。
本技术方案的具体的实施方式在实施例一中已详细说明,在此不再赘述。
实施例四:
本发明实施例提供一种电子设备,所述电子设备,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现实施例一的方法步骤。
处理器可以是通用处理器,例如中央处理器(Central Processing Unit,CPU),还可以是数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(ApplicationSpecific Integrated Circuit,ASIC),或者是被配置成实施本发明实施例的一个或多个集成电路。其中,存储器用于存储所述处理器的可执行指令;存储器,用于存储程序代码,并将该程序代码传输给处理器。存储器可以包括易失性存储器(Volatile Memory),例如随机存取存储器(Random Access Memory,RAM);也可以包括非易失性存储器(Non-VolatileMemory),例如只读存储器(Read-Only Memory,ROM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,HDD)或固态硬盘(Solid-State Drive,SSD);还可以包括上述种类的存储器的组合。
本发明实施例还提供一种提供计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现实施例一的方法步骤。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,这些均属于本发明的保护之内。
Claims (10)
1.一种应用程序网络访问控制的方法,其特征在于,包括:
获取VPN资源及所述VPN资源对应的控制访问列表;
获取接收的流量报文中的报文信息;
将所述报文信息与所述VPN资源进行匹配;
获取所述应用程序的信息和所述应用程序的网络连接信息;
将所述应用程序的信息和所述网络连接信息与所述控制访问列表进行匹配,从而确认所述应用程序访问的所述VPN资源;
根据所述控制访问列表对访问所述VPN资源的应用程序的流量进行控制。
2.如权利要求1所述的应用程序网络访问控制的方法,其特征在于,所述获取VPN资源及所述VPN资源对应的控制访问列表的步骤之后,还包括:
存储所述VPN资源及所述VPN资源对应的控制访问列表。
3.如权利要求1所述的应用程序网络访问控制的方法,其特征在于,所述获取接收的流量报文中的报文信息,包括:
接收流量;
解析所述流量的流量报文,从而获取报文信息。
4.如权利要求1所述的应用程序网络访问控制的方法,其特征在于,所述获取所述应用程序的网络连接信息,包括:
在所述报文信息内获取报文使用的协议类型;
在所述协议类型内获取第一网络连接信息;
将所述报文信息与所述第一网络连接信息对比,从而获取所述应用程序的网络连接信息。
5.如权利要求1所述的应用程序网络访问控制的方法,其特征在于,所述根据所述控制访问列表对访问所述VPN资源的应用程序的流量进行控制,包括:
获取所述控制访问列表中的流量控制策略;
根据所述流量控制策略对访问所述VPN资源的应用程序的流量进行控制。
6.一种应用程序网络访问控制的装置,其特征在于,包括:
列表获取模块:用于获取VPN资源及所述VPN资源对应的控制访问列表;
报文信息获取模块:用于获取接收的流量报文中的报文信息;
匹配模块:用于将所述报文信息与所述VPN资源进行匹配;
信息获取模块:用于获取所述应用程序的信息和所述应用程序的网络连接信息;
确认模块:用于将所述应用程序的信息和所述网络连接信息与所述控制访问列表进行匹配,从而确认所述应用程序访问的所述VPN资源;
控制模块:用于根据所述控制访问列表对访问所述VPN资源的应用程序的流量进行控制。
7.如权利要求6所述的应用程序网络访问控制的装置,其特征在于,还包括:
存储模块:用于存储所述VPN资源及所述VPN资源对应的控制访问列表。
8.如权利要求6所述的应用程序网络访问控制的装置,其特征在于,所述报文信息获取模块,包括:
接收模块:用于接收流量;
解析模块:用于解析所述流量的流量报文,从而获取报文信息。
9.如权利要求6所述的应用程序网络访问控制的装置,其特征在于,所述控制模块,包括:
控制策略模块:用于获取所述控制访问列表中的流量控制策略;
流量控制模块:用于根据所述流量控制策略对访问所述VPN资源的应用程序的流量进行控制。
10.一种电子设备,其特征在于,所述电子设备,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至5任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811348603.5A CN109462589B (zh) | 2018-11-13 | 2018-11-13 | 应用程序网络访问控制的方法、装置及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811348603.5A CN109462589B (zh) | 2018-11-13 | 2018-11-13 | 应用程序网络访问控制的方法、装置及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109462589A true CN109462589A (zh) | 2019-03-12 |
| CN109462589B CN109462589B (zh) | 2021-08-24 |
Family
ID=65610241
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811348603.5A Active CN109462589B (zh) | 2018-11-13 | 2018-11-13 | 应用程序网络访问控制的方法、装置及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109462589B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114915598A (zh) * | 2021-02-08 | 2022-08-16 | 腾讯科技(深圳)有限公司 | 应用程序的网络加速方法、装置以及电子设备 |
| CN117336101A (zh) * | 2023-11-29 | 2024-01-02 | 南京中孚信息技术有限公司 | 一种细粒度网络接入控制方法、系统、设备及介质 |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101212374A (zh) * | 2006-12-29 | 2008-07-02 | 北大方正集团有限公司 | 实现校园网资源远程访问的方法和系统 |
| CN101483594A (zh) * | 2009-02-11 | 2009-07-15 | 成都市华为赛门铁克科技有限公司 | 一种基于虚拟专用网隧道的报文发送方法及客户端 |
| CN101729543A (zh) * | 2009-12-04 | 2010-06-09 | 同济大学 | 利用异地Socks5技术改善移动SSL VPN性能的方法 |
| CN101989974A (zh) * | 2009-08-04 | 2011-03-23 | 西安交大捷普网络科技有限公司 | 一种ssl vpn的内网web访问的安全控制方法 |
| CN102006588A (zh) * | 2010-12-28 | 2011-04-06 | 北京安天电子设备有限公司 | 智能手机网络行为监控的方法和系统 |
| CN102118398A (zh) * | 2011-03-31 | 2011-07-06 | 北京星网锐捷网络技术有限公司 | 访问控制方法、装置及系统 |
| CN104363247A (zh) * | 2014-11-28 | 2015-02-18 | 北京奇虎科技有限公司 | 一种具有免节省应用的节省流量方法及装置 |
| CN104468269A (zh) * | 2014-12-01 | 2015-03-25 | 郭丹 | 一种基于Android终端设备的定向流量监管方法 |
| US9083703B2 (en) * | 2012-03-29 | 2015-07-14 | Lockheed Martin Corporation | Mobile enterprise smartcard authentication |
| CN105592105A (zh) * | 2016-02-26 | 2016-05-18 | 北京奇虎科技有限公司 | 保证安全的异步式网络访问方法及装置 |
| CN105635178A (zh) * | 2016-02-26 | 2016-06-01 | 北京奇虎科技有限公司 | 保证安全的阻塞式网络访问方法及装置 |
| CN105847312A (zh) * | 2015-01-14 | 2016-08-10 | 华为技术有限公司 | 一种资源访问方法及用户终端 |
| CN106992933A (zh) * | 2016-01-21 | 2017-07-28 | 中兴通讯股份有限公司 | 策略路由处理、报文转发方法及装置 |
| CN107317816A (zh) * | 2017-07-05 | 2017-11-03 | 北京信息职业技术学院 | 一种基于客户端应用程序鉴别的网络访问控制方法 |
-
2018
- 2018-11-13 CN CN201811348603.5A patent/CN109462589B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101212374A (zh) * | 2006-12-29 | 2008-07-02 | 北大方正集团有限公司 | 实现校园网资源远程访问的方法和系统 |
| CN101483594A (zh) * | 2009-02-11 | 2009-07-15 | 成都市华为赛门铁克科技有限公司 | 一种基于虚拟专用网隧道的报文发送方法及客户端 |
| CN101989974A (zh) * | 2009-08-04 | 2011-03-23 | 西安交大捷普网络科技有限公司 | 一种ssl vpn的内网web访问的安全控制方法 |
| CN101729543A (zh) * | 2009-12-04 | 2010-06-09 | 同济大学 | 利用异地Socks5技术改善移动SSL VPN性能的方法 |
| CN102006588A (zh) * | 2010-12-28 | 2011-04-06 | 北京安天电子设备有限公司 | 智能手机网络行为监控的方法和系统 |
| CN102118398A (zh) * | 2011-03-31 | 2011-07-06 | 北京星网锐捷网络技术有限公司 | 访问控制方法、装置及系统 |
| US9083703B2 (en) * | 2012-03-29 | 2015-07-14 | Lockheed Martin Corporation | Mobile enterprise smartcard authentication |
| CN104363247A (zh) * | 2014-11-28 | 2015-02-18 | 北京奇虎科技有限公司 | 一种具有免节省应用的节省流量方法及装置 |
| CN104468269A (zh) * | 2014-12-01 | 2015-03-25 | 郭丹 | 一种基于Android终端设备的定向流量监管方法 |
| CN105847312A (zh) * | 2015-01-14 | 2016-08-10 | 华为技术有限公司 | 一种资源访问方法及用户终端 |
| CN106992933A (zh) * | 2016-01-21 | 2017-07-28 | 中兴通讯股份有限公司 | 策略路由处理、报文转发方法及装置 |
| CN105592105A (zh) * | 2016-02-26 | 2016-05-18 | 北京奇虎科技有限公司 | 保证安全的异步式网络访问方法及装置 |
| CN105635178A (zh) * | 2016-02-26 | 2016-06-01 | 北京奇虎科技有限公司 | 保证安全的阻塞式网络访问方法及装置 |
| CN107317816A (zh) * | 2017-07-05 | 2017-11-03 | 北京信息职业技术学院 | 一种基于客户端应用程序鉴别的网络访问控制方法 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114915598A (zh) * | 2021-02-08 | 2022-08-16 | 腾讯科技(深圳)有限公司 | 应用程序的网络加速方法、装置以及电子设备 |
| CN114915598B (zh) * | 2021-02-08 | 2023-10-20 | 腾讯科技(深圳)有限公司 | 应用程序的网络加速方法、装置以及电子设备 |
| CN117336101A (zh) * | 2023-11-29 | 2024-01-02 | 南京中孚信息技术有限公司 | 一种细粒度网络接入控制方法、系统、设备及介质 |
| CN117336101B (zh) * | 2023-11-29 | 2024-02-23 | 南京中孚信息技术有限公司 | 一种细粒度网络接入控制方法、系统、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109462589B (zh) | 2021-08-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3494682B1 (en) | Security-on-demand architecture | |
| US9843926B2 (en) | System and method for preventing an attack on a networked vehicle | |
| EP3127035B1 (en) | Mobile device traffic splitter | |
| CN103607385A (zh) | 基于浏览器进行安全检测的方法和装置 | |
| US10070343B2 (en) | Mobile device traffic management | |
| CN109716805A (zh) | 一种签约数据集的安装方法、终端及服务器 | |
| CN112953745B (zh) | 服务调用方法、系统、计算机设备和存储介质 | |
| CN110493184A (zh) | 在客户端中登录页面的处理方法、装置、电子装置 | |
| US20190110298A1 (en) | Delegating policy through manufacturer usage descriptions | |
| CN109587142B (zh) | 一种面向业务流的数据安全接入模块和设备 | |
| CN105591967B (zh) | 一种数据传输方法和装置 | |
| CN109462589A (zh) | 应用程序网络访问控制的方法、装置及设备 | |
| CN104363234A (zh) | 基于公网ip地址拨号上网的防护方法及装置及系统 | |
| AU2018208696B2 (en) | Microkernel gateway server | |
| US20160315867A1 (en) | Method of controlling data exchange between a mobile communication network and a data provider | |
| CN113056759A (zh) | 供网络设备用来获得分布式账本技术网络的状态的可信状态表示的方法和系统 | |
| US20220150686A1 (en) | Method for providing subscription profiles, subscriber identity module and subscription server | |
| CN104917742B (zh) | 一种信息传送方法及装置 | |
| US9723436B2 (en) | Mobile device location | |
| CN108123917A (zh) | 一种物联网终端的认证凭证更新的方法及设备 | |
| EP3078167B1 (en) | Method, secure element and system for monitoring controller area network devices | |
| CN113472545B (zh) | 设备入网方法、装置、设备、存储介质和通信系统 | |
| CN113973093B (zh) | 数据传输方法及装置、电子设备、可读存储介质 | |
| CN113993129A (zh) | 一种pdu会话建立方法、终端及计算机可读存储介质 | |
| CN112217770B (zh) | 一种安全检测方法、装置、计算机设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |