CN113422768A - 零信任中的应用接入方法、装置及计算设备 - Google Patents
零信任中的应用接入方法、装置及计算设备 Download PDFInfo
- Publication number
- CN113422768A CN113422768A CN202110684351.9A CN202110684351A CN113422768A CN 113422768 A CN113422768 A CN 113422768A CN 202110684351 A CN202110684351 A CN 202110684351A CN 113422768 A CN113422768 A CN 113422768A
- Authority
- CN
- China
- Prior art keywords
- application
- access
- access gateway
- terminal agent
- gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例涉及计算机网络技术领域,公开了一种零信任中的应用接入方法、应用接入网关及网关系统,该方法包括:用户发起访问时,应用接入网关发起穿透代理的网络连接到安全接入网关,建立网络通道;如果终端代理与应用接入网关不在同一网段,通过网络通道接收终端代理发送的访问请求以访问应用并将应用反馈请求通过网络通道传送给终端代理;如果在同一网段,根据同一网段信息通过安全接入网关进行终端代理与应用接入网关的直连,直接接收终端代理发送的访问请求以访问应用并将应用反馈请求直接反馈给终端代理。通过上述方式,本发明实施例能够在公有云私有云混搭状况下,进行应用部署,实现用户访问应用内外网体验一致性。
Description
技术领域
本发明实施例涉及计算机网络技术领域,具体涉及一种零信任中的应用接入方法、装置及计算设备。
背景技术
在移动办公环境中通常使用虚拟专用网络(Virtual Private Network,VPN)上网,VPN本身是基于网络安全的,一旦被突破将导致整个网络上的应用不安全,于是提出了基于应用安全的零信任网络,因为以最小权限运行,即使被攻破也不至于所有应用都处于高危,但是现有厂商的零信任网络架构对于复杂网络环境,比如说私有云和公有云混合部署有一定的局限性。
现有技术可以利用多因素认证(Multi-factor authentication,MFA)的认证策略模块和fwknop和open vpn和快速反向代理(Fast Reverse Proxy,Frp)技术实现一个大杂烩,用MFA来解决身份问题,用fwknop来解决单包验证问题,openvpn解决网络问题,frp解决内网穿透发布软件问题,这些都是有开源的软件。这种方法实际上融合现有开源资源,解决了部分问题。但是这种方式没有从整体设计解决零信任安全网络问题,使用复杂,配置繁琐,非常容易出现配置不当出现的安全漏洞,可能不仅没有起到应有的安全作用,反而增加了融合风险。fwknop实际上是基于IP放行机制的,这就给了攻击者空间,即攻击者可以利用这个进入VPN,同样能对VPN里的应用有威胁。使用open vpn把VPN的技术漏洞带进这个系统,VPN非常容易发生IP冲突,内外网需要手动切换,在内网不能使用VPN客户端,在外网需要,另外open vpn还有穿越代理问题。而且可能还有知识产权问题,开源并不意味着放弃知识产权,把它组合成发明专利,这些开源作者可能会有知识产权要求。
现有技术中的快速反向代理(Fast Reverse Proxy,Frp)技术也是一种内网应用接入方案,就是把内网应用通过代理转发到公网IP,提供给外部的使用者访问。这种方法没有持续的身份和权限验证,也没有可靠的准入机制,将会给应用带来安全风险,不符合零信任安全的要求,需要其他组件配合,才能安全的使用。
发明内容
鉴于上述问题,本发明实施例提供了一种零信任中的应用接入方法、装置及计算设备,克服了上述问题或者至少部分地解决了上述问题。
根据本发明实施例的一个方面,提供了一种零信任中的应用接入方法,所述方法包括:用户发起访问时,应用接入网关发起穿透代理的网络连接到安全接入网关,建立所述安全接入网关与所述应用接入网关之间的网络通道;如果终端代理与所述应用接入网关不在同一网段,通过所述网络通道接收所述终端代理发送的访问请求以访问应用并将应用反馈请求通过所述网络通道传送给所述终端代理;如果终端代理与所述应用接入网关在同一网段,根据同一网段信息通过所述安全接入网关进行所述终端代理与所述应用接入网关的直连,直接接收所述终端代理发送的访问请求以访问应用并将应用反馈请求直接反馈给所述终端代理。
在一种可选的方式中,所述应用接入网关发起穿透代理的网络连接到安全接入网关,建立所述安全接入网关与所述应用接入网关之间的网络通道,还包括:将所述网络信息保存到所述安全接入网关服务器。
在一种可选的方式中,所述通过所述网络通道接收所述终端代理发送的访问请求以访问应用并将应用反馈请求通过所述网络通道传送给所述终端代理,包括:通过所述网络通道接收通过安全接入网关传输的所述访问请求;对所述访问请求进行流量卸载封装,记录访问流量日志以及执行威胁访问策略;发起访问请求,将访问流量传入应用,接收应用反馈请求;对所述应用反馈请求进行封装加密通过所述网络通道传送至所述安全接入网关,以通过所述安全接入网关反馈给所述终端代理。
在一种可选的方式中,所述根据同一网段信息通过所述安全接入网关进行所述终端代理与所述应用接入网关的直连,包括:接收通过安全接入网关根据终端代理发送的应用路由查询请求发送的携带同一网段信息的终端可信请求;接收所述终端代理根据安全网关回应的应用网关直连指令发送的查询应用列表指令;改变应用代理状态,准备接收所述终端代理的访问请求;向所述终端代理发送应用列表信息,完成所述终端代理与所述应用接入网关的直连。
在一种可选的方式中,所述向所述终端代理发送应用列表信息之后,包括:如果重复多次所述终端代理未收到所述应用列表信息,接收所述安全接入网关的改变状态信息,恢复通过所述安全接入网关跳转的状态。
根据本发明实施例的另一个方面,提供了一种应用接入网关,包括:SAG网络连接管理模块,用于用户发起访问时,应用接入网关发起穿透代理的网络连接到安全接入网关,建立所述安全接入网关与所述应用接入网关之间的网络通道;访问策略执行模块,用于如果终端代理与所述应用接入网关不在同一网段,通过所述网络通道接收所述终端代理发送的访问请求以访问应用并将应用反馈请求通过所述网络通道传送给所述终端代理;直连网络管理模块,用于如果终端代理与所述应用接入网关在同一网段,根据同一网段信息通过所述安全接入网关进行所述终端代理与所述应用接入网关的直连,直接接收所述终端代理发送的访问请求以访问应用并将应用反馈请求直接反馈给所述终端代理。
根据本发明实施例的另一个方面,提供了一种零信任中的应用接入网关系统,包括:终端代理、与所述终端代理连接的安全接入网关、以及与所述安全接入网关连接和前述的应用接入网关。
在一种可选的方式中,所述应用接入网关系统还包括:通过SDP控制总线与所述安全接入网关连接的身份基础设施、策略评估引擎和决策执行引擎。
根据本发明实施例的另一方面,提供了一种计算设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行上述零信任中的应用接入方法的步骤。
根据本发明实施例的又一方面,提供了一种计算机存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使所述处理器执行上述零信任中的应用接入方法的步骤。
本发明实施例通过在用户发起访问时,应用接入网关发起穿透代理的网络连接到安全接入网关,建立所述安全接入网关与所述应用接入网关之间的网络通道;如果终端代理与所述应用接入网关不在同一网段,通过所述网络通道接收所述终端代理发送的访问请求以访问应用并将应用反馈请求通过所述网络通道传送给所述终端代理;如果终端代理与所述应用接入网关在同一网段,根据同一网段信息通过所述安全接入网关进行所述终端代理与所述应用接入网关的直连,直接接收所述终端代理发送的访问请求以访问应用并将应用反馈请求直接反馈给所述终端代理,能够在公有云私有云混搭状况下,进行应用部署,实现用户访问应用内外网体验一致性。
上述说明仅是本发明实施例技术方案的概述,为了能够更清楚了解本发明实施例的技术手段,而可依照说明书的内容予以实施,并且为了让本发明实施例的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例提供的零信任中的应用接入网关系统的结构示意图;
图2示出了本发明实施例提供的应用接入网关系统中终端代理与应用接入网关在同一网络的零信任中的应用接入方法示意图;
图3示出了本发明实施例提供的应用接入网关系统中终端代理与应用接入网关不在同一网络的零信任中的应用接入方法示意图;
图4示出了本发明实施例提供的零信任中的应用接入方法的流程示意图;
图5示出了本发明实施例提供的零信任中的应用接入网关的结构示意图;
图6示出了本发明实施例提供的又一零信任中的应用接入网关的结构示意图;
图7示出了本发明实施例提供的计算设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
图1示出了本发明实施例提供的零信任中的应用接入网关系统的结构示意图。如图1所示,零信任中的应用接入网关系统包括:终端代理、与所述终端代理连接的安全接入网关、以及与所述安全接入网关连接和应用接入网关。应用接入网关系统还包括:通过会话描述协议(Session Description Protocol,SDP)控制总线与所述安全接入网关连接的身份基础设施、策略评估引擎和决策执行引擎。其中,安全接入网关、身份基础设施、策略评估引擎和决策执行引擎构成安全接入网关集群。
终端代理(agent)提供应用流量区分、单包验证访问、使用者网络环境探测、访问安全接入网关集群功能。安全接入网关(SecurityAccessGateway,SAG)具有固定的公网IP,是应用接入网关的服务端,主要提供终端代理的安全访问,应用流量路径查找,向策略评估引擎发送访问行为日志记录和执行决策引擎安全决策行为以及提供应用对外访问出口。身份基础设施提供终端验证信息和身份验证信息,提供持续的可信计算和使用者身份计算,策略评估引擎主要是风险评估,主要基于用户的信息以及用户所处的位置、网络环境、终端环境等信息来评估用户风险,然后把结果输出到决策引擎,决策引擎主要用来实现零信任架构下的软件定义边界访问控制能力,它包含网络访问接入、业务访问鉴权、静态访问控制和动态访问控制四大能力。终端代理和安全接入网关集群是零信任网络基本组件,应用接入网关是配合它们使用的。应用接入网关的主要功能包括:A、应用访问定位;B、防火墙和代理穿透;C、数据安全;D、威胁防护功能;E、保证应用能在内网中也能受到保护而不必通过复杂的设置;F、能提供应用访问日志等合规需要的数据。
终端代理(agent)同应用接入网关不在同一网络时,如图2所示,应用接入网关(AAG)作为客户端主动发起网络连接到SAG,这个网络连接设计成能穿透代理的(socks5,http等),建立稳定网络通道之后,把应用的所有网络信息保存到SAG服务器上,为了便于理解假定将这个通道命名为cha。当用户(访问者)通过agent封装和加密访问请求(即访问流量)并向SAG发送该访问请求时,其中加密使用代理穿透,在SAG就可以把终端agent访问应用的网络数据封装成需要的格式,比如说加密,加密方式包括但不限于SSL。并通过通道cha发送到应用接入网关。应用网关收到访问流量之后,执行以下动作:A、流量卸载封装(解封装协议、解密),并记录访问流量日志,B、根据预先设定或动态生成的威胁特征阻断威胁流量、C、应用接入网关发起访问请求,把访问流量传入应用,同时把应用的反馈流量根据需要记录之后封装通过通道cha发送给SAG。
终端代理(agent)同应用接入网关在同一网络时,如图3所示,应用接入网关(AAG)作为客户端通过防火墙或代理主动发起网络连接到SAG,把应用的所有网络信息保存到SAG服务器。访问者发起访问,终端agent感知到终端网络发生变动,agent携带所有网络地址信息向SAG发送一个应用路由查询请求。SAG收到这个应用路由查询请求后对应用地址和agent地址做网段比较。如果发现有同一网段的,那么回应一个携带应用网络信息的agent同应用接入网关直连指令,同时发送一个携带二者具有同一网段信息的终端代理可信请求给应用网接入网关。如果没有同一网段,则向agent回应直连失败指令。当agent收到直连指令之后,将向应用接入网关发送查询应用列表指令,应用接入网关如果收到这个指令,则将向agent发送应用列表信息,并改变自己的应用代理状态,准备接收agent请求信息。如果agent收到应用列表信息,则表明agent同应用接入网关直连成功,agent向SAG报告这个直连状态以便接收应用接入网关发送过来的访问日志等相关信息。然后向应用接入网关直接发送封装过的访问请求,应用接入网关解封发送访问请求至应用,以访问应用,接收应用反馈请求并将应用反馈请求封装加密后直接传输至终端代理。如果agent在约定的时间内没有得到应用接入网关回应的应用列表信息,且重试3次仍然无应答,则将直连标记为不可用,不再直连,发送不能直连消息至SAG,SAG恢复需要SAG中转的状态,仍然走SAG网关到向应用网关发送访问请求,并通知应用接入网关改变状态。
本发明实施例的应用接入网关系统给应用提供了一个符合零信任安全要求的解决方案,符合如下标准:1、符合零信任安全标准,能和本地客户端代理(agent)、安全接入网关(SAG)、身份基础设施、策略评估引擎、决策管理引擎一起组网。2、应用访问定位,即能为私有云或公有云中没有固定访问IP的应用提供准确的访问地址;3、防火墙和代理穿透,即能让防火墙和代理之后的应用被外界应用访问。4、接入应用查看(深度可视化)。5、数据安全,即应用访问监控、警报、阻止、隔离、删除服务。6、威胁防护功能,能识别异常行为、威胁情报、网络沙箱以及恶意软件识别和缓解。7、提供使用者和应用在同一内部网中时取代安全接入网关直接接入客户端代理功能以保证内外网应用安全的一致性。8、合规支持,即可帮助组织机构证明,是组织机构在管理云服务的使用情况,提供信息来确定云风险偏好并确定云风险承受能力,通过各种可视化、控制和报告功能,有助于满足数据驻留和法律合规性要求。
图4示出了本发明实施例提供的零信任中的应用接入方法的流程示意图。该方法由应用接入网关执行。如图4所示,零信任中的应用接入方法包括:
步骤S11:用户发起访问时,应用接入网关发起穿透代理的网络连接到安全接入网关,建立所述安全接入网关与所述应用接入网关之间的网络通道。
在本发明实施例中,应用接入网关与安全接入网关之间的网络连接设计成能穿透代理的socks5,http等。该网络通道命名为cha,建立稳定网络通道之后,将所述网络信息保存到所述安全接入网关服务器。
步骤S12:如果终端代理与所述应用接入网关不在同一网段,通过所述网络通道接收所述终端代理发送的访问请求以访问应用并将应用反馈请求通过所述网络通道传送给所述终端代理。
如果终端代理与所述应用接入网关不在同一网段,访问者发起访问进,终端代理封装和加密访问请求,并将其发送到安全接入网关,安全接入网关将访问请求传输至应用接入网关。应用接入网关通过所述网络通道cha接收通过安全接入网关传输的所述访问请求;对所述访问请求进行流量卸载封装,记录访问流量日志以及执行威胁访问策略;发起访问请求,将访问流量传入应用,接收应用反馈请求;对所述应用反馈请求进行封装加密通过所述网络通道cha传送至所述安全接入网关,以通过所述安全接入网关反馈给所述终端代理。
步骤S13:如果终端代理与所述应用接入网关在同一网段,根据同一网段信息通过所述安全接入网关进行所述终端代理与所述应用接入网关的直连,直接接收所述终端代理发送的访问请求以访问应用并将应用反馈请求直接反馈给所述终端代理。
在本发明实施例中,如果终端代理与所述应用接入网关在同一网段,访问者发起访问时,终端代理感知到终端网络请求发生变动,携带所有网络地址信息发送一个应用路由查询请求到安全接入网关。接收通过安全接入网关根据终端代理发送的应用路由查询请求发送的携带同一网段信息的终端可信请求;同时接收所述终端代理根据安全接入网关回应的应用网关直连指令发送的查询应用列表指令;改变应用代理状态,准备接收所述终端代理的访问请求;向所述终端代理发送应用列表信息,完成所述终端代理与所述应用接入网关的直连。如果重复多次所述终端代理未收到所述应用列表信息,接收所述安全接入网关的改变状态信息,恢复通过所述安全接入网关跳转的状态。具体地,终端代理预设时间内未收到应用列表信息,且重复3次仍未收到,则发送不能直连消息至安全接入网关,恢复需要SAG中转状态,应用接入网关接收安全接入网关发送的改变状态信息,恢复通过所述安全接入网关跳转的状态。
本发明实施例通过在用户发起访问时,应用接入网关发起穿透代理的网络连接到安全接入网关,建立所述安全接入网关与所述应用接入网关之间的网络通道;如果终端代理与所述应用接入网关不在同一网段,通过所述网络通道接收所述终端代理发送的访问请求以访问应用并将应用反馈请求通过所述网络通道传送给所述终端代理;如果终端代理与所述应用接入网关在同一网段,根据同一网段信息通过所述安全接入网关进行所述终端代理与所述应用接入网关的直连,直接接收所述终端代理发送的访问请求以访问应用并将应用反馈请求直接反馈给所述终端代理,能够在公有云私有云混搭状况下,进行应用部署,实现用户访问应用内外网体验一致性。
图5示出了本发明实施例的应用接入网关的结构示意图。如图5所示,该应用接入网关包括:SAG网络连接管理模块501、访问策略执行模块502以及直连网络管理模块503。其中:
SAG网络连接管理模块501用于用户发起访问时,应用接入网关发起穿透代理的网络连接到安全接入网关,建立所述安全接入网关与所述应用接入网关之间的网络通道;访问策略执行模块502用于如果终端代理与所述应用接入网关不在同一网段,通过所述网络通道接收所述终端代理发送的访问请求以访问应用并将应用反馈请求通过所述网络通道传送给所述终端代理;直连网络管理模块503用于如果终端代理与所述应用接入网关在同一网段,根据同一网段信息通过所述安全接入网关进行所述终端代理与所述应用接入网关的直连,直接接收所述终端代理发送的访问请求以访问应用并将应用反馈请求直接反馈给所述终端代理。
在本发明实施例中,应用接入网关更具体的内部功能模块如图6所示,包括底层资源管理、中间层以及应用层。底层资源管理主要有网络资源管理和通用底层处理两个大的模块,前者是为了解决同安全接入网关(SAG)、应用和agent网络交互问题,后者是为了解决复杂任务管理、对外接口和本身配置问题。网络资源管理包括:SAG网络连接管理、应用网络连接管理、代理/防火墙透传、网络包协议封装/解封、网络包加解密管理、网络切换状态管理以及agent直连网络管理等功能模块。通用底层处理包括:多任务分发管理、内存结构数据处理、配置文件管理以及身份权限系统访问接口等功能模块。中间层主要解决网关的分析处理,日志处理和威胁处理、和访问策略执行问题。中间层具体包括:应用访问日志记录、威胁分析处理、访问流量分析、访问策略执行以及合规检查等功能模块。应用层主要提供报告输出和网关配置管理,同时提供接口和图形界面。应用层具体包括:应用配置管理、网络配置管理、合规配置、报告输出管理、基本参数配置管理以及威胁特征配置等功能模块。
在一种可选的方式中,SAG网络连接管理模块501用于:将所述网络信息保存到所述安全接入网关服务器。
在一种可选的方式中,访问策略执行模块502用于:通过所述网络通道接收通过安全接入网关传输的所述访问请求;
对所述访问请求进行流量卸载封装,记录访问流量日志以及执行威胁访问策略;
发起访问请求,将访问流量传入应用,接收应用反馈请求;
对所述应用反馈请求进行封装加密通过所述网络通道传送至所述安全接入网关,以通过所述安全接入网关反馈给所述终端代理。
在一种可选的方式中,直连网络管理模块503用于:接收通过安全接入网关根据终端代理发送的应用路由查询请求发送的携带同一网段信息的终端可信请求;
接收所述终端代理根据安全网关回应的应用网关直连指令发送的查询应用列表指令;
改变应用代理状态,准备接收所述终端代理的访问请求;
向所述终端代理发送应用列表信息,完成所述终端代理与所述应用接入网关的直连。
在一种可选的方式中,直连网络管理模块503用于:如果重复多次所述终端代理未收到所述应用列表信息,接收所述安全接入网关的改变状态信息,恢复通过所述安全接入网关跳转的状态。
本发明实施例通过在用户发起访问时,应用接入网关发起穿透代理的网络连接到安全接入网关,建立所述安全接入网关与所述应用接入网关之间的网络通道;如果终端代理与所述应用接入网关不在同一网段,通过所述网络通道接收所述终端代理发送的访问请求以访问应用并将应用反馈请求通过所述网络通道传送给所述终端代理;如果终端代理与所述应用接入网关在同一网段,根据同一网段信息通过所述安全接入网关进行所述终端代理与所述应用接入网关的直连,直接接收所述终端代理发送的访问请求以访问应用并将应用反馈请求直接反馈给所述终端代理,能够在公有云私有云混搭状况下,进行应用部署,实现用户访问应用内外网体验一致性。
本发明实施例提供了一种非易失性计算机存储介质,所述计算机存储介质存储有至少一可执行指令,该计算机可执行指令可执行上述任意方法实施例中的零信任中的应用接入方法。
可执行指令具体可以用于使得处理器执行以下操作:
用户发起访问时,应用接入网关发起穿透代理的网络连接到安全接入网关,建立所述安全接入网关与所述应用接入网关之间的网络通道;
如果终端代理与所述应用接入网关不在同一网段,通过所述网络通道接收所述终端代理发送的访问请求以访问应用并将应用反馈请求通过所述网络通道传送给所述终端代理;
如果终端代理与所述应用接入网关在同一网段,根据同一网段信息通过所述安全接入网关进行所述终端代理与所述应用接入网关的直连,直接接收所述终端代理发送的访问请求以访问应用并将应用反馈请求直接反馈给所述终端代理。
在一种可选的方式中,所述可执行指令使所述处理器执行以下操作:
将所述网络信息保存到所述安全接入网关服务器。
在一种可选的方式中,所述可执行指令使所述处理器执行以下操作:
通过所述网络通道接收通过安全接入网关传输的所述访问请求;
对所述访问请求进行流量卸载封装,记录访问流量日志以及执行威胁访问策略;
发起访问请求,将访问流量传入应用,接收应用反馈请求;
对所述应用反馈请求进行封装加密通过所述网络通道传送至所述安全接入网关,以通过所述安全接入网关反馈给所述终端代理。
在一种可选的方式中,所述可执行指令使所述处理器执行以下操作:
接收通过安全接入网关根据终端代理发送的应用路由查询请求发送的携带同一网段信息的终端可信请求;
接收所述终端代理根据安全网关回应的应用网关直连指令发送的查询应用列表指令;
改变应用代理状态,准备接收所述终端代理的访问请求;
向所述终端代理发送应用列表信息,完成所述终端代理与所述应用接入网关的直连。
在一种可选的方式中,所述可执行指令使所述处理器执行以下操作:
如果重复多次所述终端代理未收到所述应用列表信息,接收所述安全接入网关的改变状态信息,恢复通过所述安全接入网关跳转的状态。
本发明实施例通过在用户发起访问时,应用接入网关发起穿透代理的网络连接到安全接入网关,建立所述安全接入网关与所述应用接入网关之间的网络通道;如果终端代理与所述应用接入网关不在同一网段,通过所述网络通道接收所述终端代理发送的访问请求以访问应用并将应用反馈请求通过所述网络通道传送给所述终端代理;如果终端代理与所述应用接入网关在同一网段,根据同一网段信息通过所述安全接入网关进行所述终端代理与所述应用接入网关的直连,直接接收所述终端代理发送的访问请求以访问应用并将应用反馈请求直接反馈给所述终端代理,能够在公有云私有云混搭状况下,进行应用部署,实现用户访问应用内外网体验一致性。
本发明实施例提供了一种计算机程序,所述计算机程序可被处理器调用使基站设备执行上述任意方法实施例中的零信任中的应用接入方法。
本发明实施例提供了一种计算机程序产品,所述计算机程序产品包括存储在计算机存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,使所述计算机执行上述任意方法实施例中的零信任中的应用接入方法。
可执行指令具体可以用于使得处理器执行以下操作:
用户发起访问时,应用接入网关发起穿透代理的网络连接到安全接入网关,建立所述安全接入网关与所述应用接入网关之间的网络通道;
如果终端代理与所述应用接入网关不在同一网段,通过所述网络通道接收所述终端代理发送的访问请求以访问应用并将应用反馈请求通过所述网络通道传送给所述终端代理;
如果终端代理与所述应用接入网关在同一网段,根据同一网段信息通过所述安全接入网关进行所述终端代理与所述应用接入网关的直连,直接接收所述终端代理发送的访问请求以访问应用并将应用反馈请求直接反馈给所述终端代理。
在一种可选的方式中,所述可执行指令使所述处理器执行以下操作:
将所述网络信息保存到所述安全接入网关服务器。
在一种可选的方式中,所述可执行指令使所述处理器执行以下操作:
通过所述网络通道接收通过安全接入网关传输的所述访问请求;
对所述访问请求进行流量卸载封装,记录访问流量日志以及执行威胁访问策略;
发起访问请求,将访问流量传入应用,接收应用反馈请求;
对所述应用反馈请求进行封装加密通过所述网络通道传送至所述安全接入网关,以通过所述安全接入网关反馈给所述终端代理。
在一种可选的方式中,所述可执行指令使所述处理器执行以下操作:
接收通过安全接入网关根据终端代理发送的应用路由查询请求发送的携带同一网段信息的终端可信请求;
接收所述终端代理根据安全网关回应的应用网关直连指令发送的查询应用列表指令;
改变应用代理状态,准备接收所述终端代理的访问请求;
向所述终端代理发送应用列表信息,完成所述终端代理与所述应用接入网关的直连。
在一种可选的方式中,所述可执行指令使所述处理器执行以下操作:
如果重复多次所述终端代理未收到所述应用列表信息,接收所述安全接入网关的改变状态信息,恢复通过所述安全接入网关跳转的状态。
本发明实施例通过在用户发起访问时,应用接入网关发起穿透代理的网络连接到安全接入网关,建立所述安全接入网关与所述应用接入网关之间的网络通道;如果终端代理与所述应用接入网关不在同一网段,通过所述网络通道接收所述终端代理发送的访问请求以访问应用并将应用反馈请求通过所述网络通道传送给所述终端代理;如果终端代理与所述应用接入网关在同一网段,根据同一网段信息通过所述安全接入网关进行所述终端代理与所述应用接入网关的直连,直接接收所述终端代理发送的访问请求以访问应用并将应用反馈请求直接反馈给所述终端代理,能够在公有云私有云混搭状况下,进行应用部署,实现用户访问应用内外网体验一致性。
图7示出了本发明实施例提供的计算设备的结构示意图,本发明具体实施例并不对设备的具体实现做限定。
如图7所示,该计算设备可以包括:处理器(processor)702、通信接口(Communications Interface)704、存储器(memory)706、以及通信总线708。
其中:处理器702、通信接口704、以及存储器706通过通信总线708完成相互间的通信。通信接口704,用于与其它设备比如客户端或其它服务器等的网元通信。处理器702,用于执行程序710,具体可以执行上述零信任中的应用接入方法实施例中的相关步骤。
具体地,程序710可以包括程序代码,该程序代码包括计算机操作指令。
处理器702可能是中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或各个集成电路。设备包括的一个或各个处理器,可以是同一类型的处理器,如一个或各个CPU;也可以是不同类型的处理器,如一个或各个CPU以及一个或各个ASIC。
存储器706,用于存放程序710。存储器706可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
程序710具体可以用于使得处理器702执行以下操作:
用户发起访问时,应用接入网关发起穿透代理的网络连接到安全接入网关,建立所述安全接入网关与所述应用接入网关之间的网络通道;
如果终端代理与所述应用接入网关不在同一网段,通过所述网络通道接收所述终端代理发送的访问请求以访问应用并将应用反馈请求通过所述网络通道传送给所述终端代理;
如果终端代理与所述应用接入网关在同一网段,根据同一网段信息通过所述安全接入网关进行所述终端代理与所述应用接入网关的直连,直接接收所述终端代理发送的访问请求以访问应用并将应用反馈请求直接反馈给所述终端代理。
在一种可选的方式中,所述程序710使所述处理器执行以下操作:
将所述网络信息保存到所述安全接入网关服务器。
在一种可选的方式中,所述程序710使所述处理器执行以下操作:
通过所述网络通道接收通过安全接入网关传输的所述访问请求;
对所述访问请求进行流量卸载封装,记录访问流量日志以及执行威胁访问策略;
发起访问请求,将访问流量传入应用,接收应用反馈请求;
对所述应用反馈请求进行封装加密通过所述网络通道传送至所述安全接入网关,以通过所述安全接入网关反馈给所述终端代理。
在一种可选的方式中,所述程序710使所述处理器执行以下操作:
接收通过安全接入网关根据终端代理发送的应用路由查询请求发送的携带同一网段信息的终端可信请求;
接收所述终端代理根据安全网关回应的应用网关直连指令发送的查询应用列表指令;
改变应用代理状态,准备接收所述终端代理的访问请求;
向所述终端代理发送应用列表信息,完成所述终端代理与所述应用接入网关的直连。
在一种可选的方式中,所述程序710使所述处理器执行以下操作:
如果重复多次所述终端代理未收到所述应用列表信息,接收所述安全接入网关的改变状态信息,恢复通过所述安全接入网关跳转的状态。
本发明实施例通过在用户发起访问时,应用接入网关发起穿透代理的网络连接到安全接入网关,建立所述安全接入网关与所述应用接入网关之间的网络通道;如果终端代理与所述应用接入网关不在同一网段,通过所述网络通道接收所述终端代理发送的访问请求以访问应用并将应用反馈请求通过所述网络通道传送给所述终端代理;如果终端代理与所述应用接入网关在同一网段,根据同一网段信息通过所述安全接入网关进行所述终端代理与所述应用接入网关的直连,直接接收所述终端代理发送的访问请求以访问应用并将应用反馈请求直接反馈给所述终端代理,能够在公有云私有云混搭状况下,进行应用部署,实现用户访问应用内外网体验一致性。
在此提供的算法或显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明实施例也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本发明并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明实施例的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。
本领域技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。上述实施例中的步骤,除有特殊说明外,不应理解为对执行顺序的限定。
Claims (10)
1.一种零信任中的应用接入方法,其特征在于,所述方法包括:
用户发起访问时,应用接入网关发起穿透代理的网络连接到安全接入网关,建立所述安全接入网关与所述应用接入网关之间的网络通道;
如果终端代理与所述应用接入网关不在同一网段,通过所述网络通道接收所述终端代理发送的访问请求以访问应用并将应用反馈请求通过所述网络通道传送给所述终端代理;
如果终端代理与所述应用接入网关在同一网段,根据同一网段信息通过所述安全接入网关进行所述终端代理与所述应用接入网关的直连,直接接收所述终端代理发送的访问请求以访问应用并将应用反馈请求直接反馈给所述终端代理。
2.根据权利要求1所述的方法,其特征在于,所述应用接入网关发起穿透代理的网络连接到安全接入网关,建立所述安全接入网关与所述应用接入网关之间的网络通道,还包括:
将所述网络信息保存到所述安全接入网关服务器。
3.根据权利要求1所述的方法,其特征在于,所述通过所述网络通道接收所述终端代理发送的访问请求以访问应用并将应用反馈请求通过所述网络通道传送给所述终端代理,包括:
通过所述网络通道接收通过安全接入网关传输的所述访问请求;
对所述访问请求进行流量卸载封装,记录访问流量日志以及执行威胁访问策略;
发起访问请求,将访问流量传入应用,接收应用反馈请求;
对所述应用反馈请求进行封装加密通过所述网络通道传送至所述安全接入网关,以通过所述安全接入网关反馈给所述终端代理。
4.根据权利要求1所述的方法,其特征在于,所述根据同一网段信息通过所述安全接入网关进行所述终端代理与所述应用接入网关的直连,包括:
接收通过安全接入网关根据终端代理发送的应用路由查询请求发送的携带同一网段信息的终端可信请求;
接收所述终端代理根据安全网关回应的应用网关直连指令发送的查询应用列表指令;
改变应用代理状态,准备接收所述终端代理的访问请求;
向所述终端代理发送应用列表信息,完成所述终端代理与所述应用接入网关的直连。
5.根据权利要求4所述的方法,其特征在于,所述向所述终端代理发送应用列表信息之后,包括:
如果重复多次所述终端代理未收到所述应用列表信息,接收所述安全接入网关的改变状态信息,恢复通过所述安全接入网关跳转的状态。
6.一种应用接入网关,其特征在于,所述应用接入网关包括:
SAG网络连接管理模块,用于用户发起访问时,应用接入网关发起穿透代理的网络连接到安全接入网关,建立所述安全接入网关与所述应用接入网关之间的网络通道;
访问策略执行模块,用于如果终端代理与所述应用接入网关不在同一网段,通过所述网络通道接收所述终端代理发送的访问请求以访问应用并将应用反馈请求通过所述网络通道传送给所述终端代理;
直连网络管理模块,用于如果终端代理与所述应用接入网关在同一网段,根据同一网段信息通过所述安全接入网关进行所述终端代理与所述应用接入网关的直连,直接接收所述终端代理发送的访问请求以访问应用并将应用反馈请求直接反馈给所述终端代理。
7.一种零信任中的应用接入网关系统,其特征在于,所述应用接入网关系统包括:终端代理、与所述终端代理连接的安全接入网关、以及与所述安全接入网关连接和如权利要求6所述的应用接入网关。
8.根据权利要求7所述的应用接入网关系统,其特征在于,所述应用接入网关系统还包括:通过SDP控制总线与所述安全接入网关连接的身份基础设施、策略评估引擎和决策执行引擎。
9.一种计算设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行根据权利要求1-5任一项所述零信任中的应用接入方法的步骤。
10.一种计算机存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行根据权利要求1-5任一项所述零信任中的应用接入方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110684351.9A CN113422768B (zh) | 2021-06-21 | 2021-06-21 | 零信任中的应用接入方法、装置及计算设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110684351.9A CN113422768B (zh) | 2021-06-21 | 2021-06-21 | 零信任中的应用接入方法、装置及计算设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113422768A true CN113422768A (zh) | 2021-09-21 |
| CN113422768B CN113422768B (zh) | 2022-05-31 |
Family
ID=77789272
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110684351.9A Active CN113422768B (zh) | 2021-06-21 | 2021-06-21 | 零信任中的应用接入方法、装置及计算设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113422768B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114615328A (zh) * | 2022-01-26 | 2022-06-10 | 北京美亚柏科网络安全科技有限公司 | 一种安全访问控制系统和方法 |
| CN115134175A (zh) * | 2022-09-01 | 2022-09-30 | 北京辰尧科技有限公司 | 一种基于授权策略的安全通讯方法及装置 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9948612B1 (en) * | 2017-09-27 | 2018-04-17 | Citrix Systems, Inc. | Secure single sign on and conditional access for client applications |
| US20200186538A1 (en) * | 2018-12-06 | 2020-06-11 | ColorTokens, Inc. | Secure and seamless remote access to enterprise applications with zero user intervention |
| CN111490993A (zh) * | 2020-04-13 | 2020-08-04 | 江苏易安联网络技术有限公司 | 一种应用访问控制安全系统及方法 |
| CN111726366A (zh) * | 2020-06-30 | 2020-09-29 | 成都卫士通信息产业股份有限公司 | 设备通信方法、装置、系统、介质和电子设备 |
| US20200389437A1 (en) * | 2019-06-04 | 2020-12-10 | OPSWAT, Inc. | Methods and systems for establishing a connection between a first device and a second device across a software-defined perimeter |
| CN112073400A (zh) * | 2020-08-28 | 2020-12-11 | 腾讯科技(深圳)有限公司 | 一种访问控制方法、系统、装置及计算设备 |
| US20210026654A1 (en) * | 2019-07-26 | 2021-01-28 | Vmware, Inc. | User device compliance-profile-based access to virtual sessions and select virtual session capabilities |
| WO2021025881A1 (en) * | 2019-08-07 | 2021-02-11 | Cisco Technology, Inc. | Dynamically tailored trust for secure application-service networking in an enterprise |
| US20210091976A1 (en) * | 2019-09-24 | 2021-03-25 | Pribit Technology, Inc. | System For Controlling Network Access Of Terminal Based On Tunnel And Method Thereof |
| WO2021060858A1 (ko) * | 2019-09-24 | 2021-04-01 | 프라이빗테크놀로지 주식회사 | 터널 및 데이터 플로우에 기반하여 노드의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 |
-
2021
- 2021-06-21 CN CN202110684351.9A patent/CN113422768B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9948612B1 (en) * | 2017-09-27 | 2018-04-17 | Citrix Systems, Inc. | Secure single sign on and conditional access for client applications |
| US20200186538A1 (en) * | 2018-12-06 | 2020-06-11 | ColorTokens, Inc. | Secure and seamless remote access to enterprise applications with zero user intervention |
| US20200389437A1 (en) * | 2019-06-04 | 2020-12-10 | OPSWAT, Inc. | Methods and systems for establishing a connection between a first device and a second device across a software-defined perimeter |
| US20210026654A1 (en) * | 2019-07-26 | 2021-01-28 | Vmware, Inc. | User device compliance-profile-based access to virtual sessions and select virtual session capabilities |
| WO2021025881A1 (en) * | 2019-08-07 | 2021-02-11 | Cisco Technology, Inc. | Dynamically tailored trust for secure application-service networking in an enterprise |
| US20210091976A1 (en) * | 2019-09-24 | 2021-03-25 | Pribit Technology, Inc. | System For Controlling Network Access Of Terminal Based On Tunnel And Method Thereof |
| WO2021060858A1 (ko) * | 2019-09-24 | 2021-04-01 | 프라이빗테크놀로지 주식회사 | 터널 및 데이터 플로우에 기반하여 노드의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 |
| CN111490993A (zh) * | 2020-04-13 | 2020-08-04 | 江苏易安联网络技术有限公司 | 一种应用访问控制安全系统及方法 |
| CN111726366A (zh) * | 2020-06-30 | 2020-09-29 | 成都卫士通信息产业股份有限公司 | 设备通信方法、装置、系统、介质和电子设备 |
| CN112073400A (zh) * | 2020-08-28 | 2020-12-11 | 腾讯科技(深圳)有限公司 | 一种访问控制方法、系统、装置及计算设备 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114615328A (zh) * | 2022-01-26 | 2022-06-10 | 北京美亚柏科网络安全科技有限公司 | 一种安全访问控制系统和方法 |
| CN114615328B (zh) * | 2022-01-26 | 2024-03-12 | 北京美亚柏科网络安全科技有限公司 | 一种安全访问控制系统和方法 |
| CN115134175A (zh) * | 2022-09-01 | 2022-09-30 | 北京辰尧科技有限公司 | 一种基于授权策略的安全通讯方法及装置 |
| CN115134175B (zh) * | 2022-09-01 | 2022-11-15 | 北京辰尧科技有限公司 | 一种基于授权策略的安全通讯方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113422768B (zh) | 2022-05-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11949656B2 (en) | Network traffic inspection | |
| US9749292B2 (en) | Selectively performing man in the middle decryption | |
| US9294450B2 (en) | Selectively performing man in the middle decryption | |
| US10341357B2 (en) | Selectively performing man in the middle decryption | |
| US11457040B1 (en) | Reverse TCP/IP stack | |
| Oniga et al. | Analysis, design and implementation of secure LoRaWAN sensor networks | |
| CN113422768B (zh) | 零信任中的应用接入方法、装置及计算设备 | |
| Abbas et al. | Security Assessment and Evaluation of VPNs: A Comprehensive Survey | |
| US9178853B1 (en) | Securely determining internet connectivity | |
| US20230164119A1 (en) | Network device protection | |
| CN113872933B (zh) | 隐藏源站的方法、系统、装置、设备及存储介质 | |
| US11784973B2 (en) | Edge-based enterprise network security appliance and system | |
| Lao | Detection and Prevention of Cybersecurity Risks of Cloud-connected Machinery in Industrial Internet of Things System (IIoT) | |
| Mohammed | Research on Cybersecurity Threats and Solutions in Edge Computing | |
| CN114268499A (zh) | 数据传输方法、装置、系统、设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 518000 4001, Block D, Building 1, Chuangzhi Yuncheng Lot 1, Liuxian Avenue, Xili Community, Xili Street, Nanshan District, Shenzhen, Guangdong Patentee after: Shenzhen Zhuyun Technology Co.,Ltd. Address before: 518000 East, 3rd floor, incubation building, China Academy of science and technology, 009 Gaoxin South 1st Road, Nanshan District, Shenzhen City, Guangdong Province Patentee before: SHENZHEN BAMBOOCLOUD TECHNOLOGY CO.,LTD. |