CN113347072A - Vpn资源访问方法、装置、电子设备和介质 - Google Patents

Vpn资源访问方法、装置、电子设备和介质 Download PDF

Info

Publication number
CN113347072A
CN113347072A CN202110696519.8A CN202110696519A CN113347072A CN 113347072 A CN113347072 A CN 113347072A CN 202110696519 A CN202110696519 A CN 202110696519A CN 113347072 A CN113347072 A CN 113347072A
Authority
CN
China
Prior art keywords
target
resource
vpn
acl
resource access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110696519.8A
Other languages
English (en)
Other versions
CN113347072B (zh
Inventor
张国兴
张中鑫
王京烁
范雪俭
孙峰
鲍晓玲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202110696519.8A priority Critical patent/CN113347072B/zh
Publication of CN113347072A publication Critical patent/CN113347072A/zh
Application granted granted Critical
Publication of CN113347072B publication Critical patent/CN113347072B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开涉及一种VPN资源访问方法、装置、电子设备和介质;其中,该方法包括:接收虚拟专用网络VPN客户端发送的VPN隧道建立请求,对目标账户进行身份认证及授权,根据目标账户的授权结果确定目标访问控制列表ACL,目标ACL包括目标账户被授权的目标资源信息和目标资源信息所在服务器的IP地址;向VPN客户端发送隧道建立请求的响应信息和目标ACL,建立VPN隧道后根据目标ACL中的IP地址配置VPN客户端所在终端设备的路由表,使所述终端设备将资源访问请求发送至VPN客户端,并由VPN客户端根据目标ACL中的目标资源信息过滤目标账户未被授权的资源访问请求。本公开实施例能够有效降低内网资源IP的暴露风险以及规避非法资源访问请求进入VPN隧道,提高了VPN隧道的有效利用率。

Description

VPN资源访问方法、装置、电子设备和介质
技术领域
本公开涉及网络通信领域,尤其涉及一种VPN资源访问方法、装置、电子设备和介质。
背景技术
随着互联网的普及人们不再满足于本地通信,移动办公已经成为一种普遍的需求。而公司内部资源往往是非加密的,因此为了保护内部资源的安全,会将公司内部网络置于边界网关内,即内网,因此外网中的移动办公用户便无法访问内部资源了。虚拟专用网络(VPN)技术用以解决外网访问内网资源的问题,VPN技术一般在内网的边界架设一台VPN网关。外网员工在连上互联网后,通过VPN客户端经由互联网与VPN网关建立VPN隧道,然后再通过VPN网关进入企业内网。同时为了保证数据安全,VPN网关和VPN客户端之间的通讯进行了加密处理。
现有的VPN资源访问技术中,VPN隧道在建立时,VPN网关会将公司内网所有的资源网络协议(Internet Protocol,IP)地址发送至移动办公用户的VPN客户端,用于为移动办公用户所在终端(如PC)配置访问公司内网资源的正确路由,以使移动办公用户所在终端具备访问公司内网资源的基础条件,在移动办公用户登录账户后,VPN网关根据登录账户的权限,决定移动办公用户具体可以访问内网的哪些资源。
现有技术中,公司内网资源IP将体现在移动办公用户所在终端设备的路由表中,存在泄露公司内网资源服务器IP信息的风险,同时,对于一些越权的访问,网关虽然已经拒绝,但越权访问是通过VPN隧道发送至网关的,已经占用到了VPN隧道的资源。
发明内容
为了解决上述技术问题或者至少部分地解决上述技术问题,本公开提供了一种VPN资源访问方法、装置、电子设备和介质。
第一方面,本公开提供了一种VPN资源访问方法,包括:
接收虚拟专用网络VPN客户端发送的VPN隧道建立请求;其中,所述VPN隧道建立请求是基于所述VPN客户端接收到的目标账户的登录请求生成;
对所述目标账户进行身份认证及身份授权,并根据所述目标账户的身份授权的结果确定所述目标账户的目标访问控制列表ACL,所述目标ACL至少包括目标账户被授权的目标资源信息和所述目标资源信息所在服务器的IP地址;
向所述VPN客户端发送所述隧道建立请求的响应信息和所述目标ACL,使所述VPN客户端完成VPN隧道建立,并根据所述目标ACL中的IP地址配置VPN客户端所在终端设备的路由表,以使所述终端设备根据所述路由表将资源访问请求发送至所述VPN客户端,并由所述VPN客户端根据所述目标ACL中的目标资源信息过滤掉所述VPN客户端接收到的目标账户未被授权的资源访问请求。
可选的,所述根据所述目标账户的身份授权结果确定所述目标账户的目标访问控制列表ACL,包括:
根据所述目标账户的身份授权结果确定所述目标账户的授权资源;
从预先确定出的候选访问控制列表ACL中,确定与所述授权资源关联的候选ACL作为所述目标账户的目标ACL。
可选的,所述从预先确定出的候选访问控制列表ACL中,确定与所述授权资源关联的候选ACL作为所述目标账户的目标ACL之前,所述方法还包括:
在配置任一内网资源时,根据所述任一内网资源的网络协议IP地址和所述任一内网资源的统一资源定位符URL信息,确定所述任一内网资源的访问控制列表ACL,得到候选ACL。
第二方面,本公开提供了一种VPN资源访问方法,包括:
向VPN网关发送隧道建立请求;其中,所述隧道建立请求是基于接收到的目标账户的登录请求生成;
接收所述VPN网关发送的所述隧道建立请求的响应信息和目标ACL,所述目标ACL至少包括目标账户被授权的目标资源信息和所述目标资源信息所在服务器的IP地址;
响应于接收到的所述隧道建立请求的响应信息,完成VPN隧道建立;并根据所述目标ACL中的IP地址配置所在终端设备的路由表;
接收所述终端设备发送的资源访问请求,根据所述目标ACL中的目标资源信息过滤掉所述目标账户未被授权的资源访问请求。
可选的,所述目标资源信息包括目标资源的URL;
所述根据所述目标ACL中的目标资源信息过滤掉所述目标账户未被授权的资源访问请求,包括:
从所述资源访问请求中阻断未命中所述目标资源的URL的资源访问请求,得到目标资源访问请求。
可选的,所述方法还包括:
向终端设备发送所述资源访问请求的响应信息;其中,所述资源访问请求的响应信息包括被过滤的资源访问请求的标识。
可选的,所述根据所述目标ACL中的目标资源信息过滤掉所述目标账户未被授权的资源访问请求,包括:
在所述终端设备网卡驱动层获取所述资源访问请求的数据包;
将所述资源访问请求的数据包解析为应用层格式的资源访问请求;
使用所述应用层格式的资源访问请求匹配所述目标ACL中的目标资源信息;
阻断所述应用层格式的资源访问请求中未命中所述目标ACL中的目标资源信息的资源访问请求;
将命中所述目标ACL中的目标资源信息的资源访问请求封装为网卡驱动层的数据包,经由网卡发送至所述VPN网关。
第三方面,本公开提供了一种VPN资源访问装置,包括:
接收模块,用于接收虚拟专用网络VPN客户端发送的VPN隧道建立请求;其中,所述VPN隧道建立请求是基于所述VPN客户端接收到的目标账户的登录请求生成;
确定模块,用于对所述目标账户进行身份认证及身份授权,并根据所述目标账户的身份授权的结果确定所述目标账户的目标访问控制列表ACL,所述目标ACL至少包括目标账户被授权的目标资源信息和所述目标资源信息所在服务器的IP地址;
发送模块,用于向所述VPN客户端发送所述隧道建立请求的响应信息和所述目标ACL,使所述VPN客户端完成VPN隧道建立,并根据所述目标ACL中的IP地址配置VPN客户端所在终端设备的路由表,以使所述终端设备根据所述路由表将资源访问请求发送至所述VPN客户端,并由所述VPN客户端根据所述目标ACL中的目标资源信息过滤掉所述VPN客户端接收到的目标账户未被授权的资源访问请求。
可选的,确定模块,具体用于:
根据所述目标账户的身份授权结果确定所述目标账户的授权资源;
从预先确定出的候选访问控制列表ACL中,确定与所述授权资源关联的候选ACL作为所述目标账户的目标ACL。
可选的,确定模块,还用于在配置任一内网资源时,根据所述任一内网资源的网络协议IP地址和所述任一内网资源的统一资源定位符URL信息,确定所述任一内网资源的访问控制列表ACL,得到候选ACL。
第四方面,本公开提供了一种VPN资源访问装置,包括:
发送模块,用于向VPN网关发送隧道建立请求;其中,所述隧道建立请求是基于接收到的目标账户的登录请求生成;
接收模块,用于接收所述VPN网关发送的所述隧道建立请求的响应信息和目标ACL,所述目标ACL至少包括目标账户被授权的目标资源信息和所述目标资源信息所在服务器的IP地址;
配置模块,用于响应于接收到的所述隧道建立请求的响应信息,完成VPN隧道建立;并根据所述目标ACL中的IP地址配置所在终端设备的路由表;
过滤模块,用于接收所述终端设备发送的资源访问请求,根据所述目标ACL中的目标资源信息过滤掉所述目标账户未被授权的资源访问请求。
可选的,所述目标资源信息包括目标资源的URL;
过滤模块,具体用于:
从所述资源访问请求中阻断未命中所述目标资源的URL的资源访问请求,得到目标资源访问请求。
可选的,发送模块,还用于向终端设备发送所述资源访问请求的响应信息;其中,所述资源访问请求的响应信息包括被过滤的资源访问请求的标识。
可选的,过滤模块,具体用于:
在所述终端设备网卡驱动层获取所述资源访问请求的数据包;
将所述资源访问请求的数据包解析为应用层格式的资源访问请求;
使用所述应用层格式的资源访问请求匹配所述目标ACL中的目标资源信息;
阻断所述应用层格式的资源访问请求中未命中所述目标ACL中的目标资源信息的资源访问请求;
将命中所述目标ACL中的目标资源信息的资源访问请求封装为网卡驱动层的数据包,经由网卡发送至所述VPN网关。
第五方面,本公开还提供了一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现本发明实施例中的任一种所述的VPN资源访问方法。
第六方面,本公开还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本发明实施例中的任一种所述的VPN资源访问方法。
本公开实施例提供的技术方案与现有技术相比具有如下优点:VPN网关为每个内网资源预先建立包含其所在内网资源服务器IP的ACL(Access Control Lists,访问控制列表),并向VPN客户端推送登录账户所授权的资源所对应的ACL,让VPN客户端仅得到了登陆账户被授权资源的资源服务器IP,从而降低了内网资源服务器IP信息泄露的风险,同时也借助ACL的推送,使得越权或非法的VPN资源访问请求在客户端侧就得到了访问过滤,不必再占用VPN隧道在VPN网关侧过滤,提高了VPN隧道资源的有效利用率。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本公开实施例提供的一种VPN资源访问方法的流程示意图;
图2是本公开实施例提供的另一种VPN资源访问方法的流程示意图;
图3是本公开实施例提供的数据交互示意图;
图4是本公开实施例提供的一种VPN资源访问装置的流程示意图;
图5是本公开实施例提供的另一种VPN资源访问装置的流程示意图;
图6是本公开实施例提供的一种电子设备的结构示意图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
图1是本公开实施例提供的一种VPN资源访问方法的流程示意图。本实施例可适用于向VPN客户端提供登录账户的资源访问列表的情况。本实施例方法可由VPN资源访问装置来执行,该装置可采用硬件/或软件的方式来实现,并可配置于电子设备中;其中,电子设备可包括VPN网关。可实现本申请任意实施例所述的VPN资源访问方法。如图1所示,该方法具体包括如下:
S110、接收虚拟专用网络VPN客户端发送的隧道建立请求;其中,隧道建立请求是基于VPN客户端接收到的目标账户的登录请求生成。
其中,用户可在VPN客户端上填入登录信息登录自己的账户,来进行内网资源的访问,登录信息可包括登录账户名和账户密码。
VPN客户端在接收到用户的登录请求后,即表示该用户有访问资源的意愿,此时,VPN客户端可向VPN网关发起隧道建立请求,来保证用户可通过建立的隧道对内网资源进行访问。其中提及的隧道可为SSLVPN隧道。
S120、对目标账户进行身份认证及身份授权,并根据目标账户的身份授权的结果确定目标账户的目标访问控制列表ACL,目标ACL包括目标账户被授权的目标资源信息和目标资源信息所在服务器的IP地址。
在本实施例中,VPN网关对在接收到VPN客户端发送的隧道建立请求时,需要对登录VPN客户端的目标账户进行身份认证,即需要了解到该目标客户的身份信息,根据身份信息确定该用户的身份授权结果,从而能够为其查找到与其对应的访问控制列表(AccessControl Lists,ACL)。
其中,VPN网关会预先根据每个登录账户的权限为其进行身份授权(如分配权限角色),来区分登录账户的授权资源。具体的,可将身份授权结果与授权资源进行关联存储。
S130、向VPN客户端发送隧道建立请求的响应信息和目标ACL,使VPN客户端完成VPN隧道建立,并根据目标ACL中的IP地址配置VPN客户端所在终端设备的路由表,以使终端设备根据路由表将资源访问请求至VPN客户端,并由VPN客户端根据目标ACL中的目标资源信息过滤VPN客户端接收到的资源访问请求。
在本实施例中,区别于现有技术,VPN网关为每个内网资源预先建立包含其所在内网资源服务器IP的ACL(Access Control Lists,访问控制列表),并向VPN客户端推送登录账户所授权的资源所对应的ACL,让VPN客户端仅得到了登陆账户被授权资源的资源服务器IP,从而降低了内网资源服务器IP信息泄露的风险,同时也借助ACL的推送,使得越权或非法的VPN资源访问请求在客户端侧就得到了访问过滤,不必再占用VPN隧道在VPN网关侧过滤,提高了VPN隧道资源的有效利用率。
在本实施例中,可选的,根据目标账户的身份授权结果确定目标账户的目标访问控制列表ACL,包括:
根据目标账户的身份授权结果确定目标账户的授权资源;
从预先确定出的候选访问控制列表ACL中,确定与授权资源关联的候选ACL作为目标账户的目标ACL。
其中,目标账户的身份授权结果可以是根据该目标账户的授权角色(如部门经理、普通员工等)。目标账户的授权资源为该目标账户可访问的内网资源。
VPN网关可以预先将目标账户与一个或多个授权资源建立关联关系,并为每一授权资源预先配置包含其所在内网资源服务器IP访问控制列表ACL。从而,可以根据目标账户直接快速准确的查找出与其关联存储的授权资源以及所述关联资源的ACL。
需要说明的是,目标账户对应的授权资源可为一条,也可为多条,所以,所述目标账户对应的目标ACL可为一条,也可为多条。
在本实施例中,可选的,从预先确定出的候选访问控制列表ACL中,确定与授权资源关联的候选ACL作为目标账户的目标ACL之前,本实施例方法还包括:
在配置任一内网资源时,根据任一内网资源的网络协议IP地址和任一内网资源的统一资源定位符URL信息,确定任一内网资源的访问控制列表ACL,得到候选ACL。
本实施例中,VPN网关会为每条内网资源配置ACL,从而,将每一条内网资源的资源管理进行明确划分。
其中,内网资源的统一资源定位符URL信息为该内网资源在服务器中的存储路径。
需要说明的是,每一条内网资源对应一个访问控制列表。从而,实现内网资源的独立划分,降低资源冗余存储的问题。
本实施例中,VPN客户端在与VPN网关建立VPN隧道后,可通过该隧道进行数据交互。本实施例方法还可以包括:
接收VPN客户端发送的第一资源访问请求;其中,第一资源访问请求是VPN客户端根据资源路由表对接收到的资源访问请求进行匹配后得到的;
向服务器发送第一资源访问请求,服务器发送的第一资源访问请求的响应信息;其中,第一资源访问请求的响应信息包括第一内网资源;
向VPN客户端发送第一内网资源。
本实施例中,用户需要通过外网网络访问其公司的内网资源时,可通过登录VPN客户端发送内网资源的资源访问请求,由VPN客户端将该资源访问请求发送给服务器,将服务器返回的内网资源发送给VPN客户端,由VPN客户端向用户进行展示。
本实施例中VPN网关接收到的VPN客户端发送的第一资源访问请求是VPN客户端的登录账户能够访问的内网资源的资源访问请求。其中,第一资源访问请求可由VPN客户端对接收到的资源访问请求进行信息匹配挑选出。
需要说明的是,VPN客户端可向VPN网关发送加密后的第一资源访问请求,VPN网关对接收到的加密的第一资源访问请求进行解密,将解密后的第一资源访问请求转发给服务器,根据服务器的响应信息得到待访问的第一内网资源。
相应的,VPN网关在接收到服务器发送的第一内网资源后,可将第一内网资源进行加密通过VPN隧道发送给VPN客户端。从而,增加内网资源的传输安全性。
图2是本公开实施例提供的一种VPN资源访问方法的流程示意图。本实施例可适用于根据VPN客户端提供的登录账户的资源访问列表对接收到的资源访问请求进行过滤的情况。本实施例方法可由VPN资源访问装置来执行,该装置可采用硬件/或软件的方式来实现,并可配置于电子设备中;其中,电子设备可包括VPN客户端。可实现本申请任意实施例所述的VPN资源访问方法。如图1所示,该方法具体包括如下:
S210、向VPN网关发送隧道建立请求;其中,隧道建立请求是基于接收到的目标账户的登录请求生成。
在本实施例中,VPN客户端在确定目标账户登录成功后,向VPN网关发送隧道建立请求,指示VPN网关建立与VPN客户端之间的隧道,其中提及的隧道可包括VPN隧道。
S220、接收VPN网关发送的隧道建立请求的响应信息和目标ACL。
在本实施例中,VPN客户端可通过与VPN网关之间的通信连接进行数据交互,从而接收VPN网关发送的隧道建立请求的响应信息,确定出VPN网关已经建立好VPN网关与VPN客户端之间的隧道。
其中,目标ACL为目标账户对应的内网资源的ACL,内网资源的ACL由VPN网关预先为每一内网资源配置,至少包括内网资源的标识、该内网资源所在服务器的IP地址,以及该内网资源的URL信息。
S230、响应于接收到的隧道建立请求的响应信息,完成VPN隧道建立;并根据目标ACL中的IP地址配置所在终端设备的路由表。
在本实施例中,VPN客户端接收到VPN网关发送回来的隧道建立请求的响应信息后,表示VPN网关同意与VPN客户端建立数据传输通道,此时,VPN客户端可进行与VPN网关之间的隧道建立操作。
其中,VPN客户端根据接收到的VPN网关发送的目标ACL,为目标账户配置所在终端的路由表,从而确保VPN客户端所在终端能够有效访问到路由表中记录的内网资源。
S240、接收终端设备发送的资源访问请求,根据目标ACL中的目标资源信息过滤资源访问请求。
VPN网关为每个内网资源预先建立包含其所在内网资源服务器IP的访问控制列表ACL,并向VPN客户端推送登录账户所授权的资源所对应的ACL,让VPN客户端仅得到了登陆账户被授权资源的资源服务器IP,从而降低了内网资源服务器IP信息泄露的风险,同时也借助ACL的推送,使得越权或非法的VPN资源访问请求在客户端侧就得到了访问过滤,不必再占用VPN隧道在VPN网关侧过滤,提高了VPN隧道资源的有效利用率。
在本实施例中,可选的,目标资源信息包括目标资源的URL;根据目标ACL中的目标资源信息过滤资源访问请求,包括:
从资源访问请求中阻断未命中所述目标资源的URL的资源访问请求,得到目标资源访问请求。
本实施例中,VPN客户端可根据资源访问请求的标识(如名称)与目标ACL中记录的URL关联的资源访问请求的标识(如名称)进行比对,若比对成功,则确定该资源访问请求为有效的资源访问请求。若比对失败,则过滤该资源访问请求。从而,便于VPN客户端有效快速的对接收到的多个资源访问请求的有效性进行判定。
在本实施例中,可选的,本实施例方法还包括:
向终端设备发送资源访问请求的响应信息;其中,资源访问请求的响应信息包括被过滤的资源访问请求的标识。
本实施例中,VPN客户端在对接收到的终端设备上触发的资源访问请求后,对多个资源访问请求进行过滤,得到资源访问请求的响应新。VPN客户端会向终端设备反馈过滤结果,从而,使得终端设备上的登录者能够及时了解到发送的资源访问请求的审核信息。
在本实施例中,可选的,根据目标ACL中的目标资源信息过滤资源访问请求,包括:
在终端设备网卡驱动层获取资源访问请求的数据包;
将资源访问请求的数据包解析为应用层格式的资源访问请求;
使用应用层格式的资源访问请求匹配目标ACL中的目标资源信息;
阻断应用层格式的资源访问请求中未命中目标ACL中的目标资源信息的资源访问请求;
将命中目标ACL中的目标资源信息的资源访问请求封装为网卡驱动层的数据包,经由网卡发送至VPN网关。
在此可选实施方式中,VPN客户端在对资源访问请求进行过滤时,在终端设备网卡驱动层实现,在驱动层进行资源访问请求的获取、解析、匹配以及阻断,过滤出未命中目标ACL中的目标资源信息的资源访问请求,得到命中目标ACL中的目标资源信息的资源访问请求,并将其进行封装发送给VPN网关。避免了黑客用户在应用层执行绕过过滤操作进而访问越权资源等问题,进一步提升了安全性。
本实施例还提供了VPN客户端、VPN网关和内网资源服务器之间数据交互的示意图,具体可参见图3所示。
其中,VPN客户端验证登录用户的身份信息,在验证成功后,向VPN网关发起VPN隧道建立请求。
VPN网关会预先为每个内网资源配置ACL,在接收到VPN客户端发送的VPN隧道建立请求后,对登录用户的身份信息进行授权认证,认证成功后,根据授权认证结果确定授权资源,以确定出登录账户对应的目标ACL,并建立VPN隧道,将目标ACL发送给VPN客户端。
VPN客户端根据接收到的目标ACL中的IP地址,配置所在终端设备的路由表,在接收到登录用户的资源访问请求时,过滤不符合IP地址及URL信息的资源访问请求,将过滤得到的资源访问请求加密通过VPN隧道发送给VPN网关。
VPN网关将解密得到的资源访问请求发送给服务器,接收服务器返回的内网资源,并将内网资源加密通过VPN隧道返回给VPN客户端,使得VPN客户端对加密后的内网资源进行解密反馈给终端设备。
图4是本公开实施例提供的一种VPN资源访问装置的结构示意图;该装置配置于电子设备中,可实现本申请任意实施例所述的VPN资源访问方法。该装置具体包括如下:
接收模块410,用于接收虚拟专用网络VPN客户端发送的VPN隧道建立请求;其中,所述VPN隧道建立请求是基于所述VPN客户端接收到的目标账户的登录请求生成;
确定模块420,用于对所述目标账户进行身份认证及身份授权,并根据所述目标账户的身份授权的结果确定所述目标账户的目标访问控制列表ACL,所述目标ACL至少包括目标账户被授权的目标资源信息和所述目标资源信息所在服务器的IP地址;
发送模块430,用于向所述VPN客户端发送所述隧道建立请求的响应信息和所述目标ACL,使所述VPN客户端完成VPN隧道建立,并根据所述目标ACL中的IP地址配置VPN客户端所在终端设备的路由表,以使所述终端设备根据所述路由表将资源访问请求发送至所述VPN客户端,并由所述VPN客户端根据所述目标ACL中的目标资源信息过滤掉所述VPN客户端接收到的目标账户未被授权的资源访问请求。
在本实施例中,可选的,确定模块420,具体用于:
根据所述目标账户的身份授权结果确定所述目标账户的授权资源;
从预先确定出的候选访问控制列表ACL中,确定与所述授权资源关联的候选ACL作为所述目标账户的目标ACL。
在本实施例中,可选的,确定模块420,还用于在配置任一内网资源时,根据所述任一内网资源的网络协议IP地址和所述任一内网资源的统一资源定位符URL信息,确定所述任一内网资源的访问控制列表ACL,得到候选ACL。
通过本发明实施例的VPN资源访问装置,VPN网关为每个内网资源预先建立包含其所在内网资源服务器IP的访问控制列表ACL,并向VPN客户端推送登录账户所授权的资源所对应的ACL,让VPN客户端仅得到了登陆账户被授权资源的资源服务器IP,从而降低了内网资源服务器IP信息泄露的风险,同时也借助ACL的推送,使得越权或非法的VPN资源访问请求在客户端侧就得到了访问过滤,不必再占用VPN隧道在VPN网关侧过滤,提高了VPN隧道资源的有效利用率。
本发明实施例所提供的VPN资源访问装置可执行本发明任意实施例所提供的VPN资源访问方法,具备执行方法相应的功能模块和有益效果。
图5是本公开实施例提供的一种VPN资源访问装置的结构示意图;该装置配置于电子设备中,可实现本申请任意实施例所述的VPN资源访问方法。该装置具体包括如下:
发送模块510,用于向VPN网关发送隧道建立请求;其中,所述隧道建立请求是基于接收到的目标账户的登录请求生成;
接收模块520,用于接收所述VPN网关发送的所述隧道建立请求的响应信息和目标ACL,所述目标ACL至少包括目标账户被授权的目标资源信息和所述目标资源信息所在服务器的IP地址;
配置模块530,用于响应于接收到的所述隧道建立请求的响应信息,完成VPN隧道建立;并根据所述目标ACL中的IP地址配置所在终端设备的路由表;
过滤模块540,用于接收所述终端设备发送的资源访问请求,根据所述目标ACL中的目标资源信息过滤掉所述目标账户未被授权的资源访问请求。
在本实施例中,可选的,所述目标资源信息包括目标资源的URL;
过滤模块540,具体用于:
从所述资源访问请求中阻断未命中所述目标资源的URL的资源访问请求,得到目标资源访问请求。
在本实施例中,可选的,发送模块510,还用于向终端设备发送所述资源访问请求的响应信息;其中,所述资源访问请求的响应信息包括被过滤的资源访问请求的标识。
在本实施例中,可选的,过滤模块540,具体用于:
在所述终端设备网卡驱动层获取所述资源访问请求的数据包;
将所述资源访问请求的数据包解析为应用层格式的资源访问请求;
使用所述应用层格式的资源访问请求匹配所述目标ACL中的目标资源信息;
阻断所述应用层格式的资源访问请求中未命中所述目标ACL中的目标资源信息的资源访问请求;
将命中所述目标ACL中的目标资源信息的资源访问请求封装为网卡驱动层的数据包,经由网卡发送至所述VPN网关。
通过本发明实施例的VPN资源访问装置,VPN网关为每个内网资源预先建立包含其所在内网资源服务器IP的访问控制列表ACL,并向VPN客户端推送登录账户所授权的资源所对应的ACL,让VPN客户端仅得到了登陆账户被授权资源的资源服务器IP,从而降低了内网资源服务器IP信息泄露的风险,同时也借助ACL的推送,使得越权或非法的VPN资源访问请求在客户端侧就得到了访问过滤,不必再占用VPN隧道在VPN网关侧过滤,提高了VPN隧道资源的有效利用率。
本发明实施例所提供的VPN资源访问装置可执行本发明任意实施例所提供的VPN资源访问方法,具备执行方法相应的功能模块和有益效果。
图6是本公开实施例提供的一种电子设备的结构示意图。如图6所示,该电子设备包括处理器610、存储器620、输入装置630和输出装置640;电子设备中处理器610的数量可以是一个或多个,图6中以一个处理器610为例;电子设备中的处理器610、存储器620、输入装置630和输出装置640可以通过总线或其他方式连接,图6中以通过总线连接为例。
存储器620作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本发明实施例中的VPN资源访问方法对应的程序指令/模块。处理器610通过运行存储在存储器620中的软件程序、指令以及模块,从而执行电子设备的各种功能应用以及数据处理,即实现本发明实施例所提供的VPN资源访问方法。
存储器620可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器620可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器620可进一步包括相对于处理器610远程设置的存储器,这些远程存储器可以通过网络连接至电子设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置630可用于接收输入的数字或字符信息,以及产生与电子设备的用户设置以及功能控制有关的键信号输入,可以包括键盘、鼠标等。输出装置640可包括显示屏等显示设备。
本公开实施例还提供了一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于实现本发明实施例所提供的VPN资源访问方法。
当然,本发明实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上所述的方法操作,还可以执行本发明任意实施例所提供的VPN资源访问方法中的相关操作。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
值得注意的是,上述搜索装置的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (11)

1.一种VPN资源访问方法,其特征在于,所述方法包括:
接收虚拟专用网络VPN客户端发送的VPN隧道建立请求;其中,所述VPN隧道建立请求是基于所述VPN客户端接收到的目标账户的登录请求生成;
对所述目标账户进行身份认证及身份授权,并根据所述目标账户的身份授权的结果确定所述目标账户的目标访问控制列表ACL,所述目标ACL至少包括目标账户被授权的目标资源信息和所述目标资源信息所在服务器的IP地址;
向所述VPN客户端发送所述隧道建立请求的响应信息和所述目标ACL,使所述VPN客户端完成VPN隧道建立,并根据所述目标ACL中的IP地址配置VPN客户端所在终端设备的路由表,以使所述终端设备根据所述路由表将资源访问请求发送至所述VPN客户端,并由所述VPN客户端根据所述目标ACL中的目标资源信息过滤掉所述VPN客户端接收到的目标账户未被授权的资源访问请求。
2.根据权利要求1所述的方法,其特征在于,所述根据所述目标账户的身份授权结果确定所述目标账户的目标访问控制列表ACL,包括:
根据所述目标账户的身份授权结果确定所述目标账户的授权资源;
从预先确定出的候选访问控制列表ACL中,确定与所述授权资源关联的候选ACL作为所述目标账户的目标ACL。
3.根据权利要求2所述的方法,其特征在于,所述从预先确定出的候选访问控制列表ACL中,确定与所述授权资源关联的候选ACL作为所述目标账户的目标ACL之前,所述方法还包括:
在配置任一内网资源时,根据所述任一内网资源的网络协议IP地址和所述任一内网资源的统一资源定位符URL信息,确定所述任一内网资源的访问控制列表ACL,得到候选ACL。
4.一种VPN资源访问方法,其特征在于,所述方法包括:
向VPN网关发送隧道建立请求;其中,所述隧道建立请求是基于接收到的目标账户的登录请求生成;
接收所述VPN网关发送的所述隧道建立请求的响应信息和目标ACL,所述目标ACL至少包括目标账户被授权的目标资源信息和所述目标资源信息所在服务器的IP地址;
响应于接收到的所述隧道建立请求的响应信息,完成VPN隧道建立;并根据所述目标ACL中的IP地址配置所在终端设备的路由表;
接收所述终端设备发送的资源访问请求,根据所述目标ACL中的目标资源信息过滤掉所述目标账户未被授权的资源访问请求。
5.根据权利要求4所述的方法,其特征在于,所述目标资源信息包括目标资源的URL;
所述根据所述目标ACL中的目标资源信息过滤掉所述目标账户未被授权的资源访问请求,包括:
从所述资源访问请求中阻断未命中所述目标资源的URL的资源访问请求,得到目标资源访问请求。
6.根据权利要求4所述的方法,其特征在于,所述方法还包括:
向终端设备发送所述资源访问请求的响应信息;其中,所述资源访问请求的响应信息包括被过滤的资源访问请求的标识。
7.根据权利要求4所述的方法,其特征在于,所述根据所述目标ACL中的目标资源信息过滤掉所述目标账户未被授权的资源访问请求,包括:
在所述终端设备网卡驱动层获取所述资源访问请求的数据包;
将所述资源访问请求的数据包解析为应用层格式的资源访问请求;
使用所述应用层格式的资源访问请求匹配所述目标ACL中的目标资源信息;
阻断所述应用层格式的资源访问请求中未命中所述目标ACL中的目标资源信息的资源访问请求;
将命中所述目标ACL中的目标资源信息的资源访问请求封装为网卡驱动层的数据包,经由网卡发送至所述VPN网关。
8.一种VPN资源访问装置,其特征在于,所述装置包括:
接收模块,用于接收虚拟专用网络VPN客户端发送的VPN隧道建立请求;其中,所述VPN隧道建立请求是基于所述VPN客户端接收到的目标账户的登录请求生成;
确定模块,用于对所述目标账户进行身份认证及身份授权,并根据所述目标账户的身份授权的结果确定所述目标账户的目标访问控制列表ACL,所述目标ACL至少包括目标账户被授权的目标资源信息和所述目标资源信息所在服务器的IP地址;
发送模块,用于向所述VPN客户端发送所述隧道建立请求的响应信息和所述目标ACL,使所述VPN客户端完成VPN隧道建立,并根据所述目标ACL中的IP地址配置VPN客户端所在终端设备的路由表,以使所述终端设备根据所述路由表将资源访问请求发送至所述VPN客户端,并由所述VPN客户端根据所述目标ACL中的目标资源信息过滤掉所述VPN客户端接收到的目标账户未被授权的资源访问请求。
9.一种VPN资源访问装置,其特征在于,所述装置包括:
发送模块,用于向VPN网关发送隧道建立请求;其中,所述隧道建立请求是基于接收到的目标账户的登录请求生成;
接收模块,用于接收所述VPN网关发送的所述隧道建立请求的响应信息和目标ACL,所述目标ACL至少包括目标账户被授权的目标资源信息和所述目标资源信息所在服务器的IP地址;
配置模块,用于响应于接收到的所述隧道建立请求的响应信息,完成VPN隧道建立;并根据所述目标ACL中的IP地址配置所在终端设备的路由表;
过滤模块,用于接收所述终端设备发送的资源访问请求,根据所述目标ACL中的目标资源信息过滤掉所述目标账户未被授权的资源访问请求。
10.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1~3中任一所述的VPN资源访问方法,或者实现如权利要求4~7中任一所述的VPN资源访问方法。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1~3中任一所述的VPN资源访问方法,或者实现如权利要求4~7中任一所述的VPN资源访问方法。
CN202110696519.8A 2021-06-23 2021-06-23 Vpn资源访问方法、装置、电子设备和介质 Active CN113347072B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110696519.8A CN113347072B (zh) 2021-06-23 2021-06-23 Vpn资源访问方法、装置、电子设备和介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110696519.8A CN113347072B (zh) 2021-06-23 2021-06-23 Vpn资源访问方法、装置、电子设备和介质

Publications (2)

Publication Number Publication Date
CN113347072A true CN113347072A (zh) 2021-09-03
CN113347072B CN113347072B (zh) 2022-12-13

Family

ID=77478100

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110696519.8A Active CN113347072B (zh) 2021-06-23 2021-06-23 Vpn资源访问方法、装置、电子设备和介质

Country Status (1)

Country Link
CN (1) CN113347072B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113992387A (zh) * 2021-10-25 2022-01-28 北京天融信网络安全技术有限公司 资源管理方法、装置、系统、电子设备和可读存储介质
CN115037573A (zh) * 2022-05-25 2022-09-09 天翼云科技有限公司 一种网络互联方法、装置、设备及存储介质
CN115834529A (zh) * 2022-11-23 2023-03-21 浪潮智慧科技有限公司 一种边缘设备远程监测方法及系统
CN116233215A (zh) * 2023-05-06 2023-06-06 杭州筋斗腾云科技有限公司 安全访问的处理方法及电子设备

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101072108A (zh) * 2007-07-17 2007-11-14 杭州华三通信技术有限公司 一种ssl vpn客户端安全检查方法、系统及其装置
CN101212374A (zh) * 2006-12-29 2008-07-02 北大方正集团有限公司 实现校园网资源远程访问的方法和系统
CN102255920A (zh) * 2011-08-24 2011-11-23 杭州华三通信技术有限公司 一种vpn配置信息的发送方法和设备
CN102271132A (zh) * 2011-07-26 2011-12-07 北京星网锐捷网络技术有限公司 一种访问网络权限的控制方法、系统及客户端
CN107231336A (zh) * 2016-03-25 2017-10-03 中兴通讯股份有限公司 一种局域网内网资源的访问控制方法、装置及网关设备
US20200028838A1 (en) * 2017-09-14 2020-01-23 Tencent Technology (Shenzhen) Company Ltd Account authentication method for cloud storage, and server
CN111355741A (zh) * 2020-03-09 2020-06-30 北京字节跳动网络技术有限公司 网络资源访问控制方法、网关、可读介质及电子设备

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101212374A (zh) * 2006-12-29 2008-07-02 北大方正集团有限公司 实现校园网资源远程访问的方法和系统
CN101072108A (zh) * 2007-07-17 2007-11-14 杭州华三通信技术有限公司 一种ssl vpn客户端安全检查方法、系统及其装置
CN102271132A (zh) * 2011-07-26 2011-12-07 北京星网锐捷网络技术有限公司 一种访问网络权限的控制方法、系统及客户端
CN102255920A (zh) * 2011-08-24 2011-11-23 杭州华三通信技术有限公司 一种vpn配置信息的发送方法和设备
CN107231336A (zh) * 2016-03-25 2017-10-03 中兴通讯股份有限公司 一种局域网内网资源的访问控制方法、装置及网关设备
US20200028838A1 (en) * 2017-09-14 2020-01-23 Tencent Technology (Shenzhen) Company Ltd Account authentication method for cloud storage, and server
CN111355741A (zh) * 2020-03-09 2020-06-30 北京字节跳动网络技术有限公司 网络资源访问控制方法、网关、可读介质及电子设备

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113992387A (zh) * 2021-10-25 2022-01-28 北京天融信网络安全技术有限公司 资源管理方法、装置、系统、电子设备和可读存储介质
CN113992387B (zh) * 2021-10-25 2022-09-16 北京天融信网络安全技术有限公司 资源管理方法、装置、系统、电子设备和可读存储介质
CN115037573A (zh) * 2022-05-25 2022-09-09 天翼云科技有限公司 一种网络互联方法、装置、设备及存储介质
CN115037573B (zh) * 2022-05-25 2023-08-08 天翼云科技有限公司 一种网络互联方法、装置、设备及存储介质
CN115834529A (zh) * 2022-11-23 2023-03-21 浪潮智慧科技有限公司 一种边缘设备远程监测方法及系统
CN115834529B (zh) * 2022-11-23 2023-08-08 浪潮智慧科技有限公司 一种边缘设备远程监测方法及系统
CN116233215A (zh) * 2023-05-06 2023-06-06 杭州筋斗腾云科技有限公司 安全访问的处理方法及电子设备
CN116233215B (zh) * 2023-05-06 2023-08-08 杭州筋斗腾云科技有限公司 安全访问的处理方法及电子设备

Also Published As

Publication number Publication date
CN113347072B (zh) 2022-12-13

Similar Documents

Publication Publication Date Title
US11882109B2 (en) Authenticated name resolution
US20200186573A1 (en) Distributed cloud-based security systems and methods
US10701056B2 (en) Intercept-based multifactor authentication enrollment of clients as a network service
US20200213289A1 (en) Time-based network authentication challenges
CN113347072B (zh) Vpn资源访问方法、装置、电子设备和介质
US8990356B2 (en) Adaptive name resolution
CN109964196B (zh) 多因素认证作为网络服务
CN106657014B (zh) 访问数据的方法、装置及系统
CN111885604B (zh) 一种基于天地一体化网络的认证鉴权方法、装置及系统
WO2016188335A1 (zh) 用户数据的访问控制方法、装置及系统
CN113364800A (zh) 资源访问控制方法、装置、电子设备和介质
EP2311218B1 (en) Http authentication and authorization management
US8656462B2 (en) HTTP authentication and authorization management
EP4274192A1 (en) Access control method and apparatus, and network-side device, terminal and blockchain node
CN114697963A (zh) 终端的身份认证方法、装置、计算机设备和存储介质
EP2920912B1 (en) Electronic rendezvous-based two stage access control for private networks
US20140259105A1 (en) System and method for securely accessing data through web applications
CN109587134B (zh) 接口总线的安全认证的方法、装置、设备和介质
CN106576050B (zh) 三层安全和计算架构
KR20210068832A (ko) 웹 기반 sql 툴을 이용한 접근 제어 시스템 및 방법
CN111711612B (zh) 通信控制方法、对通信请求进行处理的方法及其装置
CN117061140A (zh) 一种渗透防御方法和相关装置
CN112398789A (zh) 远程登录的控制方法及装置、系统、存储介质、电子装置
JP2021165977A (ja) サーバ装置およびネットワークシステム
CN116192460A (zh) 流量转发方法、装置、存储介质及电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant