CN109728989B - 用于实现安全接入的方法、装置和系统 - Google Patents
用于实现安全接入的方法、装置和系统 Download PDFInfo
- Publication number
- CN109728989B CN109728989B CN201711045256.4A CN201711045256A CN109728989B CN 109728989 B CN109728989 B CN 109728989B CN 201711045256 A CN201711045256 A CN 201711045256A CN 109728989 B CN109728989 B CN 109728989B
- Authority
- CN
- China
- Prior art keywords
- access
- user terminal
- information
- service data
- access device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供一种用于实现安全接入的方法、装置和系统,涉及信息安全领域。其中控制装置在对用户终端发送的认证信息认证成功时,指示接入装置与用户终端建立VPN隧道;向接入装置发送与用户权限相对应的授权信息,以便接入装置为所述用户终端分配虚拟网络标签和NAT地址;利用用户权限编排访问控制策略并发送给接入装置,以便接入装置进行相应的访问控制策略配置,通过对用户终端的业务数据流进行审计,以便对业务数据流进行相应的安全接入控制。本公开通过认证与访问控制策略的结合,实现对用户细粒度的访问权限分配与灵活变更,从而将安全控制机制从底层设备处理层面独立出来,解决在同一网络基础设施上支持彼此隔离的多VPN服务的问题。
Description
技术领域
本公开涉及信息安全领域,特别涉及一种用于实现安全接入的方法、装置和系统。
背景技术
在企业网向云中迁移的过程中,带来了用户远程接入云资源池的需求。目前VPN(Virtual Private Network,虚拟专用网)为远程接入的主要方法。
通过VPN方式远程接入云资源池存在两方面的问题:首先,访问控制粒度不够细,对访问范围内的所有资源访问只能全允许或全拒绝,无法根据用户识别来设置不同的访问权限,也无法对用户行为进行追溯;此外,承载的每个虚拟私有云均需独立配套VPN设备,建设成本较高,且要求固定网络拓扑,难以灵活部署。
发明内容
本公开的实施例解决的一个技术问题是:无法实现用户细粒度的访问权限分配与灵活变更,无法解决在同一网络基础设施上支持彼此隔离的多VPN服务的问题。
根据本公开的一个或多个实施例的一个方面,提供一种用于实现安全接入的方法,包括:
在接收到用户终端发送的认证信息后,对认证信息进行认证;
在认证成功的情况下,向接入装置发送认证成功信息,以便接入装置与用户终端建立虚拟专用网VPN隧道;
向接入装置发送与用户权限相对应的授权信息,以便接入装置根据授权信息为用户终端分配虚拟网络标签和网络地址转换NAT地址;
利用用户权限编排访问控制策略;
将访问控制策略发送给接入装置,以便接入装置进行相应的访问控制策略配置;
在接收到所述接入装置发送的告警信息后,将所述告警信息记录到日志数据库中,并对所述用户终端的业务数据流进行审计检测;
根据审计检测结果对所述用户终端的业务数据流进行相应的安全接入控制。
可选地,若审计检测结果不满足访问控制策略,则向接入装置发送拒绝接入信息,以便接入装置断开与用户终端的VPN隧道、删除相应的访问控制策略。
可选地,若审计检测结果满足访问控制策略,则向接入装置发送同意接入信息,以便接入装置为业务数据包的包头添加虚拟网络标签,并利用NAT地址进行转发。
可选地,在认证失败的情况下,向接入装置发送认证失败信息,以便接入装置断开与用户终端的连接。
可选地,在接收到接入装置发送的用户接入请求后,向用户终端发送认证要求信息,以便用户终端发送认证信息。
根据本公开的一个或多个实施例的另一个方面,提供一种用于实现安全接入的方法,包括:
在接收到控制装置发送的认证成功信息后,与相应的用户终端建立VPN隧道;
在接收到控制装置发送的授权信息后,根据授权信息为用户分配虚拟网络标签和NAT地址;
在接收到控制装置发送的访问控制策略后,根据访问控制策略进行相应的访问控制策略配置;
在接收到所述用户终端发送的业务数据包后,将所述业务数据包的源IP地址替换为授权的IP地址;
利用所述访问控制策略对所述业务数据包进行检测;
若检测结果不满足所述访问控制策略,则向所述控制装置发送告警信息,以便所述控制装置对所述用户终端的业务数据流进行审计检测,并根据审计检测结果对所述用户终端的业务数据流进行相应的安全接入控制。
可选地,在接收到控制装置发送的拒绝接入信息后,断开与用户终端的虚拟专用网隧道连接、删除相应的访问控制策略。
可选地,若接收到控制装置发送的同意接入信息,则为业务数据包的包头添加虚拟网络标签并进行转发。
可选地,在接收到控制装置发送的认证失败信息后,断开与用户终端的连接。
可选地,在接收到用户终端发送的用户接入请求后,将用户接入请求转发给控制装置。
根据本公开的一个或多个实施例的一个方面,提供一种用于实现安全接入的控制装置,包括:
认证模块,被配置为在接收到用户终端发送的认证信息后,对认证信息进行认证;在认证成功的情况下,向接入装置发送认证成功信息,以便接入装置与用户终端建立虚拟专用网VPN隧道;
授权模块,被配置为向接入装置发送与用户权限相对应的授权信息,以便接入装置根据授权信息为用户终端分配虚拟网络标签和网络地址转换NAT地址;
安全策略编排模块,被配置为利用用户权限编排访问控制策略,将访问控制策略发送给接入装置,以便接入装置进行相应的访问控制策略配置;
审计模块,被配置为在接收到所述接入装置发送的告警信息后,将所述告警信息记录到日志数据库中,并对所述用户终端的业务数据流进行审计检测;根据审计检测结果对所述用户终端的业务数据流进行相应的安全接入控制。
可选地,审计模块还被配置为若审计检测结果不满足访问控制策略,则向接入装置发送拒绝接入信息,以便接入装置断开与用户终端的VPN隧道、删除相应的访问控制策略。
可选地,审计模块还被配置为若审计检测结果满足访问控制策略,则向接入装置发送同意接入信息,以便接入装置为业务数据包的包头添加虚拟网络标签,并利用NAT地址进行转发。
可选地,认证模块还被配置为在认证失败的情况下,向接入装置发送认证失败信息,以便接入装置断开与用户终端的连接。
可选地,认证模块还被配置为在接收到接入装置发送的用户接入请求后,向用户终端发送认证要求信息,以便用户终端发送认证信息。
根据本公开的一个或多个实施例的一个方面,提供一种用于实现安全接入的接入装置,包括:
隧道建立模块,被配置为在接收到控制装置发送的认证成功信息后,与相应的用户终端建立VPN隧道;
信息分配模块,被配置为在接收到控制装置发送的授权信息后,根据授权信息为用户分配虚拟网络标签和NAT地址;
策略配置模块,被配置为在接收到控制装置发送的访问控制策略后,根据访问控制策略进行相应的访问控制策略配置;
地址替换模块,被配置为在接收到所述用户终端发送的业务数据包后,将所述业务数据包的源IP地址替换为授权的IP地址;
业务检测模块,被配置为利用所述访问控制策略对所述业务数据包进行检测;
接入管理模块,被配置为若检测结果不满足所述访问控制策略,则向所述控制装置发送告警信息,以便所述控制装置对所述用户终端的业务数据流进行审计检测,并根据审计检测结果对所述用户终端的业务数据流进行相应的安全接入控制。
可选地,接入管理模块还被配置为若检测结果不满足所述访问控制策略,则向所述控制装置发送告警信息,在接收到所述控制装置发送的拒绝接入信息后,断开与所述用户终端的虚拟专用网隧道连接、删除相应的访问控制策略。
可选地,接入管理模块还被配置为若接收到控制装置发送的同意接入信息,则为业务数据包的包头添加虚拟网络标签并进行转发。
可选地,上述接入装置还包括:
网络连接模块,被配置为在接收到控制装置发送的认证失败信息后,断开与用户终端的连接。
可选地,上述接入装置还包括:
请求转发模块,被配置为在接收到用户终端发送的用户接入请求后,将用户接入请求转发给控制装置。
根据本公开的一个或多个实施例的一个方面,提供一种用于实现安全接入的接入装置,包括:
存储器,被配置为存储指令;
处理器,耦合到存储器,处理器被配置为基于存储器存储的指令执行实现如上述任一实施例涉及的方法。
根据本公开的一个或多个实施例的一个方面,提供一种安全接入系统,包括:
如上述任一实施例涉及的接入装置;
如上述任一实施例涉及的控制装置。
根据本公开的一个或多个实施例的一个方面,提供一种计算机可读存储介质,其中,计算机可读存储介质存储有计算机指令,指令被处理器执行时实现如上述任一实施例涉及的方法。
通过以下参照附图对本公开的示例性实施例的详细描述,本公开的其它特征及其优点将会变得清楚。
附图说明
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本公开一个实施例的用于实现安全接入的方法的示例性流程图。
图2为本公开另一实施例的用于实现安全接入的方法的示例性流程图。
图3为本公开又一实施例的用于实现安全接入的方法的示例性流程图。
图4为本公开又一实施例的用于实现安全接入的方法的示例性流程图。
图5为本公开一个实施例的用于实现安全接入的控制装置的示例性框图。
图6为本公开另一实施例的用于实现安全接入的控制装置的示例性框图。
图7为本公开一个实施例的用于实现安全接入的接入装置的示例性框图。
图8为本公开另一实施例的用于实现安全接入的接入装置的示例性框图。
图9为本公开又一实施例的用于实现安全接入的接入装置的示例性框图。
图10为本公开一个实施例的安全接入系统的示例性框图。
图11为本公开一个实施例的安全接入控制的示例性流程图。
图12为本公开另一实施例的安全接入控制的示例性流程图。
图13为本公开又一实施例的安全接入控制的示例性流程图。
具体实施方式
下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
图1为本公开一个实施例的用于实现安全接入的方法的示例性流程图。可选地,本实施例涉及的方法步骤可由控制装置执行。其中:
步骤101,在接收到用户终端发送的认证信息后,对认证信息进行认证。
可选地,可在接收到接入装置发送的用户接入请求后,向用户终端发送认证要求信息,以便用户终端发送认证信息。
步骤102,在认证成功的情况下,向接入装置发送认证成功信息,以便接入装置与用户终端建立VPN隧道。
可选地,在认证失败的情况下,向接入装置发送认证失败信息,以便接入装置断开与用户终端的连接。
步骤103,向接入装置发送与用户权限相对应的授权信息,以便接入装置根据授权信息为用户终端分配虚拟网络标签和NAT(Network Address Translation,网络地址转换)地址。
可选地,可在用户数据块中查找相应用户的相关信息。其中,用户数据库中包括以下数据信息:用户ID、用户私钥HASH、用户权限等。用户权限包括:接入范围、标识地址池、授权访问目标、授权访问时间、授权访问业务等。
可选地,控制装置也可直接为用户终端分配虚拟网络标签和NAT地址。
步骤104,利用用户权限编排访问控制策略。
例如,所编排访问控制策略可包括:源虚拟网络标签、源地址、目标地址、目标业务、接入时间范围等。
步骤105,将访问控制策略发送给接入装置,以便接入装置进行相应的访问控制策略配置。
步骤106,在接收到接入装置发送的告警信息后,将告警信息记录到日志数据库中。
步骤107,对用户终端的业务数据流进行审计检测,根据审计检测结果对所述用户终端的业务数据流进行相应的安全接入控制。
基于本公开上述实施例提供的用于实现安全接入的方法,通过认证与访问控制策略的结合,实现对用户细粒度的访问权限分配与灵活变更,从而将安全控制机制从底层设备处理层面独立出来,解决在同一网络基础设施上支持彼此隔离的多VPN服务的问题。
图2为本公开另一实施例的用于实现安全接入的方法的示例性流程图。可选地,本实施例涉及的方法步骤可由控制装置执行。其中:
步骤201,在接收到接入装置发送的告警信息后,将告警信息记录到日志数据库中。
步骤202,对用户终端的业务数据流进行审计检测。
步骤203,判断审计检测结果是否满足访问控制策略。
若审计检测结果不满足访问控制策略,则执行步骤204;若审计检测结果满足访问控制策略,则执行步骤205。
步骤204,向接入装置发送拒绝接入信息,以便接入装置断开与用户终端的VPN隧道、删除相应的访问控制策略。
步骤205,向接入装置发送同意接入信息,以便接入装置为业务数据包的包头添加虚拟网络标签,并利用NAT地址进行转发。
图3为本公开又一实施例的用于实现安全接入的方法的示例性流程图。可选地,本实施例涉及的方法步骤可由接入装置执行。其中:
步骤301,在接收到控制装置发送的认证成功信息后,与相应的用户终端建立VPN隧道。
其中,在接收到用户终端发送的用户接入请求后,将用户接入请求转发给控制装置,以便控制装置对用户进行认证。
可选地,在接收到控制装置发送的认证失败信息后,断开与用户终端的连接。
步骤302,在接收到控制装置发送的授权信息后,根据授权信息为用户分配虚拟网络标签和NAT地址。
步骤303,在接收到控制装置发送的访问控制策略后,根据访问控制策略进行相应的访问控制策略配置。
步骤304,在接收到所述用户终端发送的业务数据包后,将所述业务数据包的源IP地址替换为授权的IP地址。
步骤305,利用所述访问控制策略对所述业务数据包进行检测。
步骤306,若检测结果不满足所述访问控制策略,则向所述控制装置发送告警信息,以便所述控制装置对所述用户终端的业务数据流进行审计检测,并根据审计检测结果对所述用户终端的业务数据流进行相应的安全接入控制。
基于本公开上述实施例提供的用于实现安全接入的方法,通过认证与访问控制策略的结合,实现对用户细粒度的访问权限分配与灵活变更,从而将安全控制机制从底层设备处理层面独立出来,解决在同一网络基础设施上支持彼此隔离的多VPN服务的问题。
图4为本公开又一实施例的用于实现安全接入的方法的示例性流程图。可选地,本实施例涉及的方法步骤可由接入装置执行。其中:
步骤401,在接收到所述用户终端发送的业务数据包后,将所述业务数据包的源IP地址替换为授权的IP地址;
步骤402,利用所述访问控制策略对所述业务数据包进行检测。
步骤403,判断检测结果是否满足访问控制策略。
若检测结果不满足访问控制策略,则执行步骤404;若检测结果满足访问控制策略,则执行步骤407。
步骤404,向控制装置发送告警信息,以便控制装置进行审计。
步骤405,判断是否接收到控制装置发送的拒绝接入信息。
若接收到控制装置发送的拒绝接入信息,则执行步骤406;若接收到控制装置发送的同意接入信息,则执行步骤407。
步骤406,断开与用户终端的虚拟专用网隧道连接、删除相应的访问控制策略。
步骤407,为业务数据包的包头添加虚拟网络标签并转发。
从而,在用户操作违规时,可拒绝用户接入。
图5为本公开一个实施例的用于实现安全接入的控制装置的示例性框图。如图5所示,控制装置包括认证模块51、授权模块52、安全策略编排模块53和审计模块54。其中:
认证模块51被配置为在接收到用户终端发送的认证信息后,对认证信息进行认证;在认证成功的情况下,向接入装置发送认证成功信息,以便接入装置与用户终端建立VPN隧道。
可选地,认证模块51还被配置为在认证失败的情况下,向接入装置发送认证失败信息,以便接入装置断开与用户终端的连接。
可选地,认证模块51还被配置为在接收到接入装置发送的用户接入请求后,向用户终端发送认证要求信息,以便用户终端发送认证信息。
授权模块52被配置为向接入装置发送与用户权限相对应的授权信息,以便接入装置根据授权信息为用户终端分配虚拟网络标签和NAT地址。
安全策略编排模块53被配置为利用用户权限编排访问控制策略,将访问控制策略发送给接入装置,以便接入装置进行相应的访问控制策略配置;
审计模块54被配置为在接收到所述接入装置发送的告警信息后,将所述告警信息记录到日志数据库中,并对所述用户终端的业务数据流进行审计检测;根据审计检测结果对所述用户终端的业务数据流进行相应的安全接入控制。
基于本公开上述实施例提供的用于实现安全接入的控制装置,通过认证与访问控制策略的结合,实现对用户细粒度的访问权限分配与灵活变更,从而将安全控制机制从底层设备处理层面独立出来,解决在同一网络基础设施上支持彼此隔离的多VPN服务的问题。
可选地,审计模块54被配置为若审计检测结果不满足访问控制策略,则向接入装置发送拒绝接入信息,以便接入装置断开与用户终端的VPN隧道、删除相应的访问控制策略。
可选地,审计模块54还被配置为若审计检测结果满足访问控制策略,则向接入装置发送同意接入信息,以便接入装置为业务数据包的包头添加虚拟网络标签并进行转发。
图6为本公开又一实施例的用于实现安全接入的控制装置的示例性框图。如图6所示,该控制装置包括存储器61和处理器62。其中:
存储器61用于存储指令,处理器62耦合到存储器61,处理器62被配置为基于存储器存储的指令执行实现如图1或图2中任一实施例涉及的方法。
如图6所示,该控制装置还包括通信接口63,用于与其它设备进行信息交互。同时,该装置还包括总线64,处理器62、通信接口63、以及存储器61通过总线64完成相互间的通信。
存储器61可以包含高速RAM存储器,也可还包括非易失性存储器(non-volatilememory),例如至少一个磁盘存储器。存储器61也可以是存储器阵列。存储器61还可能被分块,并且块可按一定的规则组合成虚拟卷。
此外,处理器62可以是一个中央处理器CPU,或者可以是专用集成电路ASIC,或者是被配置成实施本公开实施例的一个或多个集成电路。
图7为本公开一个实施例的用于实现安全接入的接入装置的示例性框图。如图7所示,接入装置包括隧道建立模块71、信息分配模块72、策略配置模块73、地址替换模块74、业务检测模块75和接入管理模块76。其中:
隧道建立模块71被配置为在接收到控制装置发送的认证成功信息后,与相应的用户终端建立VPN隧道。
信息分配模块72被配置为在接收到控制装置发送的授权信息后,根据授权信息为用户分配虚拟网络标签和NAT地址。
策略配置模块73被配置为在接收到控制装置发送的访问控制策略后,根据访问控制策略进行相应的访问控制策略配置。
地址替换模块74被配置为在接收到所述用户终端发送的业务数据包后,将所述业务数据包的源IP地址替换为授权的IP地址;
业务检测模块75被配置为利用所述访问控制策略对所述业务数据包进行检测;
接入管理模块76被配置为若检测结果不满足所述访问控制策略,则向所述控制装置发送告警信息,以便所述控制装置对所述用户终端的业务数据流进行审计检测,并根据审计检测结果对所述用户终端的业务数据流进行相应的安全接入控制。
可选地,接入管理模块76被配置为在接收到控制装置发送的拒绝接入信息后,断开与用户终端的虚拟专用网隧道连接、删除相应的访问控制策略。
可选地,接入管理模块76还被配置为若接收到控制装置发送的同意接入信息,则为业务数据包的包头添加虚拟网络标签,并利用NAT地址进行转发。
图8为本公开一个实施例的用于实现安全接入的接入装置的示例性框图。如图8所示,接入装置除包括隧道建立模块81、信息分配模块82、策略配置模块83、地址替换模块84、业务检测模块85和接入管理模块86之外,还包括网络连接模块87和请求转发模块88。其中:
网络连接模块87被配置为在接收到控制装置发送的认证失败信息后,断开与用户终端的连接。
可选地,请求转发模块88被配置为在接收到用户终端发送的用户接入请求后,将用户接入请求转发给控制装置。
图9为本公开又一实施例的用于实现安全接入的接入装置的示例性框图。与图6所示实施例相似,如图9所示,该接入装置包括存储器91和处理器92。其中:
存储器91用于存储指令,处理器92耦合到存储器91,处理器92被配置为基于存储器存储的指令执行实现如图3或图4中任一实施例涉及的方法。
如图9所示,该接入装置还包括通信接口93,用于与其它设备进行信息交互。同时,该装置还包括总线94,处理器92、通信接口93、以及存储器91通过总线94完成相互间的通信。
图10为本公开一个实施例的安全接入系统的示例性框图。如图10所示,该安全接入系统包括接入装置1001和控制装置1002。其中,接入装置1001为图7-9中任一项所述的接入装置,控制装置1002为图5-6中任一项所述的控制装置。
可选地,在上面所描述的功能单元模块可以实现为用于执行本公开所描述功能的通用处理器、可编程逻辑控制器(Programmable Logic Controller,简称:PLC)、数字信号处理器(Digital Signal Processor,简称:DSP)、专用集成电路(Application SpecificIntegrated Circuit,简称:ASIC)、现场可编程门阵列(Field-Programmable Gate Array,简称:FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件或者其任意适当组合。
本公开同时还涉及一种计算机可读存储介质,其中计算机可读存储介质存储有计算机指令,指令被处理器执行时实现如图1-图4中任一实施例涉及的方法。
下面通过具体示例对本公开进行说明。
(一)接入配置
如图11所示,相应的接入配置如下:
步骤1101,用户终端向接入装置发送接入请求。
步骤1102,接入装置将接入请求转发给控制装置。
步骤1103,控制装置给用户终端发送认证要求。
步骤1104,用户终端将认证信息(例如:账号、密码等)发送给控制装置。
步骤1105,控制装置对认证信息进行认证。
步骤1106a,在认证失败的情况下,向接入装置发送拒绝接入信息。
步骤1107a,接入装置根据拒绝接入信息,断开与用户终端的连接。
步骤1106b,在认证成功的情况下,向接入装置发送同意接入信息。
步骤1107b,接入装置与用户终端建立虚拟专用网VPN隧道。
步骤1108,控制装置根据用户权限生成相应的授权信息。
步骤1109,控制装置将授权信息发送给接入装置。
步骤1110,接入装置根据授权信息,为用户终端分配虚拟网络标签和NAT地址。
步骤1111,控制装置利用用户权限编排访问控制策略。
步骤1112,控制装置将编排的策略发送给接入装置。
步骤1113,接入装置进行相应的访问控制策略配置。
由此,可为用户终端进行了个性化的配置。
(二)接入控制
如图12所示,相应的接入控制流程如下:
步骤1201,用户终端将业务数据包发送给接入装置。
步骤1202,接入装置将业务数据包的源IP地址替换为授权的IP地址。
步骤1203,接入装置利用访问控制策略对业务数据包进行检测。
步骤1204,若检测结果不满足访问控制策略,则向控制装置发送告警信息。
步骤1205,控制装置在接收到告警信息后,将告警信息记录到日志数据库中,并对用户终端的业务数据流进行审计。
步骤1206,若审计结果不满足访问控制策略,则向接入装置发送拒绝接入信息。
步骤1207,接入装置断开与用户终端的VPN隧道。
步骤1208,接入装置删除相应的访问控制策略。
在上述实施中,由于接入装置的检测结果不符合访问控制策略,因此需要控制装置进行审计。若接入装置的检测结果符合访问控制策略,则执行如图13所示的流程。
步骤1301,用户终端将业务数据包发送给接入装置。
步骤1302,接入装置将业务数据包的源IP地址替换为授权的IP地址。
步骤1303,接入装置利用访问控制策略对业务数据包进行检测。
步骤1304,若检测结果满足访问控制策略,则为业务数据包的包头添加虚拟网络标签。
步骤1305,将业务数据包进行转发。
当然,在图12所示实施例中,若控制装置的审计结果符合访问控制策略,则接入装置也可按照图13的方式继续处理业务数据包并进行转发。
通过实施本公开,能够得到以下有益效果:
1、可有效解决企业网迁移入云中后,在远程安全接入时实现对用户制定个性化的访问权限,且不影响虚拟资源的云特性。
2、可实现设备服用,降低了建设成本。
3、可提供灵活的安全接入服务,实现业务弹性,降低安全接入管理的复杂度,提高了运营效率。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
本公开的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本公开限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本公开的原理和实际应用,并且使本领域的普通技术人员能够理解本公开从而设计适于特定用途的带有各种修改的各种实施例。
Claims (16)
1.一种用于实现安全接入的方法,包括:
在接收到用户终端发送的认证信息后,对所述认证信息进行认证;
在认证成功的情况下,向接入装置发送认证成功信息,以便所述接入装置与所述用户终端建立虚拟专用网VPN隧道;
向所述接入装置发送与用户权限相对应的授权信息,以便所述接入装置根据所述授权信息为所述用户终端分配虚拟网络标签和网络地址转换NAT地址;
利用所述用户权限编排访问控制策略;
将所述访问控制策略发送给所述接入装置,以便所述接入装置进行相应的访问控制策略配置;
在接收到所述接入装置发送的告警信息后,将所述告警信息记录到日志数据库中,并对所述用户终端的业务数据流进行审计检测;
根据审计检测结果对所述用户终端的业务数据流进行相应的安全接入控制;
若审计检测结果不满足访问控制策略,则向所述接入装置发送拒绝接入信息,以便所述接入装置断开与所述用户终端的VPN隧道、删除相应的访问控制策略;
若审计检测结果满足访问控制策略,则向所述接入装置发送同意接入信息,以便所述接入装置为所述业务数据包的包头添加所述虚拟网络标签,并利用所述NAT地址进行转发。
2.根据权利要求1所述的方法,还包括:
在认证失败的情况下,向所述接入装置发送认证失败信息,以便所述接入装置断开与所述用户终端的连接。
3.根据权利要求1-2中任一项所述的方法,还包括:
在接收到所述接入装置发送的用户接入请求后,向所述用户终端发送认证要求信息,以便所述用户终端发送所述认证信息。
4.一种用于实现安全接入的方法,包括:
在接收到控制装置发送的认证成功信息后,与相应的用户终端建立VPN隧道;
在接收到控制装置发送的授权信息后,根据所述授权信息为用户分配虚拟网络标签和NAT地址;
在接收到控制装置发送的访问控制策略后,根据所述访问控制策略进行相应的访问控制策略配置;
在接收到所述用户终端发送的业务数据包后,将所述业务数据包的源IP地址替换为授权的IP地址;
利用所述访问控制策略对所述业务数据包进行检测;
若检测结果不满足所述访问控制策略,则向所述控制装置发送告警信息,以便所述控制装置对所述用户终端的业务数据流进行审计检测,并根据审计检测结果对所述用户终端的业务数据流进行相应的安全接入控制;
在接收到所述控制装置发送的拒绝接入信息后,断开与所述用户终端的虚拟专用网隧道连接、删除相应的访问控制策略;
若接收到所述控制装置发送的同意接入信息,则为所述业务数据包的包头添加所述虚拟网络标签并进行转发。
5.根据权利要求4所述的方法,还包括:
在接收到控制装置发送的认证失败信息后,断开与所述用户终端的连接。
6.根据权利要求4-5中任一项所述的方法,还包括:
在接收到所述用户终端发送的用户接入请求后,将所述用户接入请求转发给所述控制装置。
7.一种用于实现安全接入的控制装置,包括:
认证模块,被配置为在接收到用户终端发送的认证信息后,对所述认证信息进行认证;在认证成功的情况下,向接入装置发送认证成功信息,以便所述接入装置与所述用户终端建立虚拟专用网VPN隧道;
授权模块,被配置为向所述接入装置发送与用户权限相对应的授权信息,以便所述接入装置根据所述授权信息为所述用户终端分配虚拟网络标签和网络地址转换NAT地址;
安全策略编排模块,被配置为利用所述用户权限编排访问控制策略,将所述访问控制策略发送给所述接入装置,以便所述接入装置进行相应的访问控制策略配置;
审计模块,被配置为在接收到所述接入装置发送的告警信息后,将所述告警信息记录到日志数据库中,并对所述用户终端的业务数据流进行审计检测;根据审计检测结果对所述用户终端的业务数据流进行相应的安全接入控制,若审计检测结果不满足访问控制策略,则向所述接入装置发送拒绝接入信息,以便所述接入装置断开与所述用户终端的VPN隧道、删除相应的访问控制策略,若审计检测结果满足访问控制策略,则向所述接入装置发送同意接入信息,以便所述接入装置为所述业务数据包的包头添加所述虚拟网络标签,并利用所述NAT地址进行转发。
8.根据权利要求7所述的控制装置,其中:
认证模块还被配置为在认证失败的情况下,向所述接入装置发送认证失败信息,以便所述接入装置断开与所述用户终端的连接。
9.根据权利要求7-8中任一项所述的控制装置,其中:
认证模块还被配置为在接收到所述接入装置发送的用户接入请求后,向所述用户终端发送认证要求信息,以便所述用户终端发送所述认证信息。
10.一种用于实现安全接入的控制装置,包括:
存储器,被配置为存储指令;
处理器,耦合到存储器,处理器被配置为基于存储器存储的指令执行实现如权利要求1-3中任一项的方法。
11.一种用于实现安全接入的接入装置,包括:
隧道建立模块,被配置为在接收到控制装置发送的认证成功信息后,与相应的用户终端建立VPN隧道;
信息分配模块,被配置为在接收到控制装置发送的授权信息后,根据所述授权信息为用户分配虚拟网络标签和NAT地址;
策略配置模块,被配置为在接收到控制装置发送的访问控制策略后,根据所述访问控制策略进行相应的访问控制策略配置;
地址替换模块,被配置为在接收到所述用户终端发送的业务数据包后,将所述业务数据包的源IP地址替换为授权的IP地址;
业务检测模块,被配置为利用所述访问控制策略对所述业务数据包进行检测;
接入管理模块,被配置为若检测结果不满足所述访问控制策略,则向所述控制装置发送告警信息,以便所述控制装置对所述用户终端的业务数据流进行审计检测,并根据审计检测结果对所述用户终端的业务数据流进行相应的安全接入控制,若检测结果不满足所述访问控制策略,则向所述控制装置发送告警信息,在接收到所述控制装置发送的拒绝接入信息后,断开与所述用户终端的虚拟专用网隧道连接、删除相应的访问控制策略,若接收到所述控制装置发送的同意接入信息,则为所述业务数据包的包头添加所述虚拟网络标签并进行转发。
12.根据权利要求11所述的接入装置,还包括:
网络连接模块,被配置为在接收到控制装置发送的认证失败信息后,断开与所述用户终端的连接。
13.根据权利要求11-12中任一项所述的接入装置,还包括:
请求转发模块,被配置为在接收到所述用户终端发送的用户接入请求后,将所述用户接入请求转发给所述控制装置。
14.一种用于实现安全接入的接入装置,包括:
存储器,被配置为存储指令;
处理器,耦合到存储器,处理器被配置为基于存储器存储的指令执行实现如权利要求4-6中任一项的方法。
15.一种安全接入系统,包括:
如权利要求7-10中任一项所述的接入装置;
如权利要求11-14中任一项所述的控制装置。
16.一种计算机可读存储介质,其中,计算机可读存储介质存储有计算机指令,指令被处理器执行时实现如权利要求1-3或权利要求4-6中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711045256.4A CN109728989B (zh) | 2017-10-31 | 2017-10-31 | 用于实现安全接入的方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711045256.4A CN109728989B (zh) | 2017-10-31 | 2017-10-31 | 用于实现安全接入的方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109728989A CN109728989A (zh) | 2019-05-07 |
| CN109728989B true CN109728989B (zh) | 2021-06-11 |
Family
ID=66292935
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711045256.4A Active CN109728989B (zh) | 2017-10-31 | 2017-10-31 | 用于实现安全接入的方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109728989B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110430117B (zh) * | 2019-08-13 | 2020-05-19 | 广州竞远安全技术股份有限公司 | 一种连接云端网络与用户内网的高并发隧道系统及方法 |
| CN111193698B (zh) * | 2019-08-22 | 2021-09-28 | 腾讯科技(深圳)有限公司 | 数据处理方法、装置、终端及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1643691A4 (en) * | 2003-07-04 | 2007-02-14 | Nippon Telegraph & Telephone | MEDIATION METHOD IN REMOTE ACCESS VPN AND MEDIATION DEVICE |
| CN101068183A (zh) * | 2007-06-28 | 2007-11-07 | 杭州华三通信技术有限公司 | 网络准入控制方法及网络准入控制系统 |
| CN101667918A (zh) * | 2009-10-15 | 2010-03-10 | 中国电信股份有限公司 | 协同工作的实现方法及其系统 |
| CN102594818A (zh) * | 2012-02-15 | 2012-07-18 | 北京星网锐捷网络技术有限公司 | 网络访问权限控制方法、装置及相关设备 |
| CN102857486A (zh) * | 2012-04-01 | 2013-01-02 | 深信服网络科技(深圳)有限公司 | 下一代应用防火墙系统及防御方法 |
-
2017
- 2017-10-31 CN CN201711045256.4A patent/CN109728989B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1643691A4 (en) * | 2003-07-04 | 2007-02-14 | Nippon Telegraph & Telephone | MEDIATION METHOD IN REMOTE ACCESS VPN AND MEDIATION DEVICE |
| CN101068183A (zh) * | 2007-06-28 | 2007-11-07 | 杭州华三通信技术有限公司 | 网络准入控制方法及网络准入控制系统 |
| CN101667918A (zh) * | 2009-10-15 | 2010-03-10 | 中国电信股份有限公司 | 协同工作的实现方法及其系统 |
| CN102594818A (zh) * | 2012-02-15 | 2012-07-18 | 北京星网锐捷网络技术有限公司 | 网络访问权限控制方法、装置及相关设备 |
| CN102857486A (zh) * | 2012-04-01 | 2013-01-02 | 深信服网络科技(深圳)有限公司 | 下一代应用防火墙系统及防御方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109728989A (zh) | 2019-05-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10986133B1 (en) | Cloud over IP session layer network | |
| KR102036758B1 (ko) | 빠른 스마트 카드 로그온 및 연합된 풀 도메인 로그온 | |
| US10382401B1 (en) | Cloud over IP for enterprise hybrid cloud network and security | |
| CN109565500B (zh) | 按需安全性架构 | |
| CN102947797B (zh) | 使用横向扩展目录特征的在线服务访问控制 | |
| US9537835B2 (en) | Secure mobile app connection bus | |
| US9948619B2 (en) | System and method for encryption key management in a mixed infrastructure stream processing framework | |
| US10021143B2 (en) | Method and apparatus for multi-tenancy secrets management in multiple data security jurisdiction zones | |
| RU2707717C2 (ru) | Мобильная аутентификация в мобильной виртуальной сети | |
| CN107579958B (zh) | 数据管理方法、装置及系统 | |
| EP3138035B1 (en) | Method and apparatus for multi-tenancy secrets management | |
| US11847249B2 (en) | Privacy-preserving mobility as a service supported by blockchain | |
| CA2955066C (en) | Method and system for providing a virtual asset perimeter | |
| US20080141333A1 (en) | Method and system for object-based multi-level security in a service oriented architecture | |
| CN101540755B (zh) | 一种修复数据的方法、系统和装置 | |
| CN109219949B (zh) | 在网络功能虚拟化基础结构中配置安全域的方法和设备 | |
| CN112948842A (zh) | 一种鉴权方法及相关设备 | |
| CN109728989B (zh) | 用于实现安全接入的方法、装置和系统 | |
| CN102333099B (zh) | 一种安全控制方法和设备 | |
| CN101599977A (zh) | 网络业务的管理方法和系统 | |
| CN108809631B (zh) | 一种量子密钥服务管理系统及方法 | |
| CN102316119B (zh) | 一种安全控制方法和设备 | |
| CN112350982B (zh) | 一种资源鉴权方法和装置 | |
| CN107959584B (zh) | 信息配置方法及装置 | |
| WO2016165443A1 (zh) | 一种保护机器类通信设备的方法、网络实体及mtc设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20190507 Assignee: Dbappsecurity Co.,Ltd. Assignor: CHINA TELECOM Corp.,Ltd. Contract record no.: X2023110000022 Denomination of invention: Method, device and system for realizing secure access Granted publication date: 20210611 License type: Common License Record date: 20230220 |