CN114995214A - 远程访问应用的方法、系统、装置、设备及存储介质 - Google Patents
远程访问应用的方法、系统、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN114995214A CN114995214A CN202210459819.9A CN202210459819A CN114995214A CN 114995214 A CN114995214 A CN 114995214A CN 202210459819 A CN202210459819 A CN 202210459819A CN 114995214 A CN114995214 A CN 114995214A
- Authority
- CN
- China
- Prior art keywords
- server
- connection
- application
- target
- edge
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0423—Input/output
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/23—Pc programming
- G05B2219/23051—Remote control, enter program remote, detachable programmer
Abstract
本申请提出一种远程访问应用的方法、系统、装置、设备及存储介质,该方法包括:接收由目标终端发送的针对目标应用的访问请求,访问请求包含目标应用的域名;根据目标应用的域名,确定与目标应用的域名对应的边缘安全服务器的地址信息;根据边缘安全服务器的地址信息,转发访问请求至边缘安全服务器。本申请不使用VPN,解决了VPN不稳定且难以维护的问题。且由边缘加速服务器认证用户身份及访问权限,消除恶意攻击风险,保证了目标应用的安全性。
Description
技术领域
本申请属于网络安全技术领域,具体涉及一种远程访问应用的方法、系统、装置、设备及存储介质。
背景技术
过去企业员工访问企业应用时,大多需要使用VPN(Virtual Private Network,虚拟专用网络)进行访问,其由安全部门为员工分配VPN凭证,员工登陆VPN并输入VPN凭证即可访问到应用。
而随着云计算技术的发展,企业的基础设施发生了重大变革,企业的应用可广泛分布于公有云、私有云和混合云中,随之改变的是,企业员工对企业应用的访问需求也呈现出新的变化,如移动化、远程办公、第三方合作伙伴的访问等等。企业需要为日益多样化、分布广泛的用户提供服务,也需要保证应用的安全性。
但基于传统的VPN方案难以胜任这种新的变化。首先,企业在多分支机构和多云环境下部署VPN面临着成本高、管理复杂的问题;其次,传统的VPN体验较差,因网络波动容易导致访问延迟或者服务不稳定等问题,影响工作效率;再者,传统VPN主要通过不受信任的网络连接企业的基础设施,本身就会在防火墙上形成漏洞。一旦VPN凭证被黑客利用,黑客即可通过VPN访问到企业网络并在内部横向移动以访问应用程序和数据,这给企业带来巨大的安全风险。
发明内容
本申请提出一种远程访问应用的方法、系统、装置、设备及存储介质,进而至少可以在一定程度上既可以避免VPN不稳定且难以维护的问题,还可以保证目标应用的安全性。
本申请第一方面实施例提出了一种远程访问应用的方法,应用于连接服务器,所述连接服务器与至少一个目标应用相关联,包括:
获取与所述连接服务器对应的至少一个边缘安全服务器的地址信息;
根据所述至少一个边缘安全服务器的地址信息,建立与所述至少一个边缘安全服务器之间的会话连接,所述会话连接为由所述连接服务器至所述至少一个边缘安全服务器的出站连接;
基于所述会话连接,若接收到由边缘安全服务器转发的针对目标应用的访问请求,将所述访问请求发送至所述目标应用;
将接收到的请求响应信息向所述边缘安全服务器进行发送,所述请求响应信息由所述目标应用根据所述访问请求进行反馈。
本申请第二方面的实施例提供了一种远程访问应用的方法,应用于边缘安全服务器,包括:
接收由至少一个连接服务器发送的连接请求;
根据所述连接请求,建立与所述至少一个连接服务器之间的会话连接;
接收由边缘加速服务器转发的针对目标应用的访问请求,确定与所述目标应用对应的目标连接服务器;
根据与所述目标连接服务器对应的会话连接,转发所述访问请求至所述目标连接服务器。
本申请第三方面的实施例提供了一种远程访问应用的方法,应用于边缘加速服务器,包括:
接收由目标终端发送的针对目标应用的访问请求,所述访问请求包含所述目标应用的域名;
根据所述目标应用的域名,确定与所述目标应用的域名对应的边缘安全服务器的地址信息;
根据所述边缘安全服务器的地址信息,转发所述访问请求至所述边缘安全服务器。
本申请第四方面的实施例提供了一种远程访问应用的方法,应用于管理平台,包括:
生成连接服务器对应的服务器配置信息,所述服务器配置信息至少包括连接服务器的标识信息和与连接服务器对应的边缘安全服务器的地址信息;
生成目标应用对应的应用配置信息,所述应用配置信息包括目标应用的域名、回源地址、相关联的连接服务器的标识信息、身份认证策略以及访问权限控制策略中的至少一种;
发送所述连接服务器所需的服务器配置信息;
发送边缘加速服务器所需的所述目标应用的应用配置信息以及与所述目标应用相关联的连接服务器的服务器配置信息。
本申请第五方面的实施例提供了一种远程访问应用的系统,包括:管理平台、边缘加速服务器、边缘安全服务器和连接服务器;
管理平台,用于生成目标应用的应用配置信息,以及生成连接服务器对应的服务器配置信息;发送边缘加速服务器所需的所述目标应用的应用配置信息以及与所述目标应用相关联的连接服务器的服务器配置信息,并发送所述连接服务器所需的服务器配置信息;
边缘加速服务器,用于接收目标终端发送的针对目标应用的访问请求;并根据所述访问请求包含的目标应用的域名,将所述访问请求向对应的边缘安全服务器进行发送;
边缘安全服务器,用于接收所述边缘加速服务器发送的所述访问请求;根据在先建立的与连接服务器的会话连接,将所述访问请求转发至对应的连接服务器;
连接服务器,用于接收所述边缘安全服务器发送的所述访问请求,并将所述访问请求转发至对应的目标应用。
本申请第六方面的实施例提供了一种远程访问应用的装置,应用于连接服务器,包括:
获取模块,用于获取与所述连接服务器对应的至少一个边缘安全服务器的地址信息;
建立会话模块,用于根据所述至少一个边缘安全服务器的地址信息,建立与所述至少一个边缘安全服务器之间的会话连接,所述会话连接为由所述连接服务器至所述至少一个边缘安全服务器的出站连接;
发送模块,用于基于所述会话连接,若接收到由边缘安全服务器转发的针对目标应用的访问请求,将所述访问请求发送至所述目标应用;将接收到的请求响应信息向所述边缘安全服务器进行发送,所述请求响应信息由所述目标应用根据所述访问请求进行反馈。
本申请第七方面的实施例提供了一种远程访问应用的装置,应用于边缘安全服务器,包括:
接收模块,用于接收由至少一个连接服务器发送的连接请求;
建立会话模块,用于根据所述连接请求,建立与所述至少一个连接服务器之间的会话连接;
所述接收模块,用于接收由边缘加速服务器转发的针对目标应用的访问请求;
确定模块,用于确定与所述目标应用对应的目标连接服务器;
发送模块,用于根据与所述目标连接服务器对应的会话连接,转发所述访问请求至所述目标连接服务器。
本申请第八方面的实施例提供了一种远程访问应用的装置,应用于边缘加速服务器,包括:
接收模块,用于接收由目标终端发送的针对目标应用的访问请求,所述访问请求包含所述目标应用的域名;
确定模块,用于根据所述目标应用的域名,确定与所述目标应用的域名对应的边缘安全服务器的地址信息;
发送模块,用于根据所述边缘安全服务器的地址信息,转发所述访问请求至所述边缘安全服务器。
本申请第九方面的实施例提供了一种远程访问应用的装置,应用于管理平台,包括:
生成模块,用于生成连接服务器对应的服务器配置信息,所述服务器配置信息至少包括连接服务器的标识信息和与连接服务器对应的边缘安全服务器的地址信息;生成目标应用对应的应用配置信息,所述应用配置信息包括目标应用的域名、回源地址、相关联的连接服务器的标识信息、身份认证策略以及访问权限控制策略中的至少一种;
发送模块,用于发送所述连接服务器所需的服务器配置信息;发送边缘加速服务器所需的所述目标应用的应用配置信息以及与所述目标应用相关联的连接服务器的服务器配置信息。
本申请第十方面的实施例提供了一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器运行所述计算机程序以实现上述第一至第四方面中任一方面所述的方法。
本申请第十一方面的实施例提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行实现上述第一至第四方面中任一方面所述的方法。
本申请实施例中提供的技术方案,至少具有如下技术效果或优点:
在本申请实施例中,通过连接服务器的设置并建立连接服务器与边缘安全服务器之间的会话连接,该会话连接为连接服务器至边缘安全服务器之间的出站连接,使得用户不需要使用VPN服务器即可实现目标终端远程访问目标应用,解决了VPN服务器不稳定且难以维护的问题。同时,基于该会话连接,接收由边缘安全服务器转发的针对目标应用的访问请求,可以避免由其他服务器主动向连接服务器发送信息或者建立连接的情况发生,降低了遭受恶意攻击的风险,保证了目标应用的安全性。
本申请附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变的明显,或通过本申请的实践了解到。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本申请的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了可以应用本申请实施例的技术方案的示例性系统架构的示意图;
图2示出了本申请一实施例所提供的一种远程访问应用的方法的信令交互图;
图3示出了本申请一实施例所提供的目标应用的应用配置信息及连接器的模板参数信息的示意图;
图4示出了本申请一实施例所提供的连接服务器与边缘安全服务器建立会话连接的过程示意图;
图5示出了本申请一实施例所提供的边缘安全服务器建立连接服务器的标识信息与会话的映射关系的示意图;
图6示出了本申请一实施例所提供的一种远程访问应用的方法的流程图;
图7示出了本申请一实施例所提供的一种远程访问应用的方法的另一流程图;
图8示出了本申请一实施例所提供的一种远程访问应用的方法中连接服务器的操作流程图;
图9示出了本申请一实施例所提供的一种远程访问应用的方法中边缘安全服务器的操作流程图;
图10示出了本申请一实施例所提供的一种远程访问应用的方法中边缘加速服务器的操作流程图;
图11示出了本申请一实施例所提供的一种远程访问应用的方法中管理平台的操作流程图;
图12示出了本申请一实施例所提供的一种应用于连接服务器的远程访问应用的装置的结构示意图;
图13示出了本申请一实施例所提供的一种应用于边缘安全服务器的远程访问应用的装置的结构示意图;
图14示出了本申请一实施例所提供的一种应用于边缘加速服务器的远程访问应用的装置的结构示意图;
图15示出了本申请一实施例所提供的一种应用于管理平台的远程访问应用的装置的结构示意图;
图16示出了本申请一实施例所提供的一种电子设备的结构示意图;
图17示出了本申请一实施例所提供的一种存储介质的示意图。
具体实施方式
下面将参照附图更详细地描述本申请的示例性实施方式。虽然附图中显示了本申请的示例性实施方式,然而应当理解,可以以各种形式实现本申请而不应被这里阐述的实施方式所限制。相反,提供这些实施方式是为了能够更透彻地理解本申请,并且能够将本申请的范围完整的传达给本领域的技术人员。
需要注意的是,除非另有说明,本申请使用的技术术语或者科学术语应当为本申请所属领域技术人员所理解的通常意义。
下面结合附图来描述根据本申请实施例提出的一种远程访问应用的方法、系统、装置、设备及存储介质。
本申请实施例提供了一种远程访问应用的方法,参见图1,该方法所基于的网络系统架构包括连接服务器、边缘安全服务器、边缘加速服务器、管理平台和目标终端。其中,连接服务器可以采用VPC(Virtual Private Cloud,专有网络)/NAT(Network AddressTranslation,网络地址转换),配置有一个或多个连接器的服务器称为连接服务器,连接器可以为用于进行网络通信的软件程序,连接服务器可以通过其自身所配置的连接器与至少一个目标应用相关联。具体地,连接服务器中的每个连接器均可以与一个或多个目标应用通信连接,目标应用可以为内网中的内部应用,也可以为公网中的应用,例如源站等。
图1中仅示意性地画出了连接服务器包括一个连接器,该连接器与内网中的一个目标应用通信连接。连接服务器通过连接器与边缘安全服务器建立会话连接,该会话连接为出向的通信连接,该会话连接可以为TCP(Transmission Control Protocol,传输控制协议)连接或HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer,超文本传输安全协议)连接或SSL/TLS连接等。边缘加速服务器与边缘安全服务器和目标终端通信,管理平台与边缘加速服务器通信连接。
如图1所示,该网络系统架构中还可以通过边缘加速节点对目标终端的用户执行认证策略,以保证只有通过该认证策略的目标终端才可以进行目标应用的访问,保证目标应用的安全性。在一示例中,边缘加速节点可以通过认证中心获取目标用户的身份信息,以针对该身份信息执行认证策略。其中,该认证中心可以为设置于边缘加速服务器中的认证组件或者为独立于边缘加速服务器的认证设备,该认证中心与边缘加速服务器相连接。在一示例中,该认证中心可以与第三方身份认证系统相连接,以从第三方身份认证系统中获取目标用户的身份信息;在另一示例中,该认证中心也可以通过边缘加速服务器、边缘安全服务器和连接服务器从内部身份认证系统中获取目标用户的身份信息。由此,认证中心可以根据用户所选择的认证方式,从第三方身份认证系统或内部身份认证系统中获取目标用户的身份信息,等等。本领域技术人员可以根据实际实现需要,确定对应的身份信息获取方式,本申请对此不作特殊限定。
需要说明的是,当无需第三方身份认证系统提供身份信息或者进行身份信息的验证时,边缘加速服务器也可以通过边缘安全服务器和连接服务器从内部身份认证系统中获取身份信息或者进行身份信息验证,而无需认证中心的参与,即在该网络系统架构中,认证中心并不是一定存在的,本领域技术人员可以根据实际实现需要进行配置,本申请对此不作特殊限定。
需要说明的,该目标终端可以包括智能手机、平板电脑、便携式电脑或者台式计算机中的一种或者多种。应该理解的,图1中的目标终端、边缘加速服务器、认证中心、管理平台、边缘安全服务器以及连接服务器的数目仅仅是示意性的,根据实现需要,可以具有任意数目的目标终端、边缘加速服务器、认证中心、管理平台、边缘安全服务器以及连接服务器。例如,该网络架构中可以包括一个或多个边缘加速服务器以及一个或多个边缘安全服务器,图1中仅示意性地画出了一个边缘加速服务器和一个边缘安全服务器。
值得注意的是,本申请实施例提到的边缘加速服务器和边缘安全服务器,是两个逻辑概念,分开提出来是为了帮助理解,实践中可以分开部署,也可以部署在同一台服务器设备上,本申请对此不作特殊限定。
基于上述网络架构,不需要使用VPN服务器即可实现目标终端访问内网中的目标应用,解决了VPN服务器不稳定且难以维护的问题。直接将内网的目标应用发布到公网上,由边缘加速服务器对用户身份及访问权限进行认证,消除了恶意攻击的风险。不需要对原有的网络拓扑进行修改即可将内网中的目标应用SaaS(Software-as-a-Service,软件即服务)化。且通过增加边缘加速服务器和边缘安全服务器的数量,能够很方便地进行扩容,能够适应目标用户数量很大的应用场景。
以下对本申请实施例的技术方案的实现细节进行详细阐述:
图2示出了本申请一实施例所提供的的一种远程访问应用的方法的信令交互图。参照图2所示,该方法至少包括步骤101至步骤113,详细介绍如下:
步骤101:管理平台生成连接服务器对应的服务器配置信息,该服务器配置信息至少包括连接服务器的标识信息和与连接服务器对应的边缘安全服务器的地址信息。
其中,管理平台可以为云计算平台,如私有云或公有云等。该管理平台可以为企事业单位或社会组织等团体的连接服务器提供服务器配置信息。该服务器配置信息至少包括连接服务器的标识信息和与连接服务器对应的边缘安全服务器的地址信息。其中,标识信息可以用于唯一标识连接服务器,可以为连接服务器的IP地址、MAC(Media AccessControl Address,硬件地址)地址或人为设定或自动生成的能够唯一标识该连接服务器的字符序列等。
连接服务器可以是安装有连接器的服务器,连接器为用于进行网络通信的软件程序,将连接器安装在企事业单位或社会组织等团体的连接服务器上,使得连接服务器能够通过连接器与外部网络建立会话连接,通过建立的会话连接实现内部网络的远程访问。
边缘安全服务器可以是能够与连接服务器进行通信的服务器,其可以与连接服务器之间建立用以传输信息的会话连接。应该理解的,边缘安全服务器的地址信息可以包括域名和/IP地址,若为域名,则根据该域名可以解析到一个或多个边缘安全服务器的IP地址。需要说明的是,一个边缘安全服务器可以与一个或者多个连接服务器进行通信,一个连接服务器也可以与一个或者多个边缘安全服务器进行连接,本申请对此不作特殊限定。
在本申请一示例性实施例中,在通过连接服务器实现远程访问前,首先在管理平台上生成连接服务器对应的服务器配置信息,该服务器配置信息可以作为连接服务器对应的启动参数,以在根据该服务器配置信息对连接服务器进行配置之后启用该连接服务器。
作为一种实现方式,客户可以自行配置该服务器配置信息,具体地,管理平台可以支持客户的配置操作,接收客户配置的服务器配置信息。其也可以由客户将应用服务器的相关配置信息提供给服务提供方,再由服务提供方在管理平台上配置该客户的应用服务器对应的服务器配置信息。
作为另一种实现方式,管理平台也可以自动生成连接服务器对应的服务器配置信息,具体地,管理平台可以为连接服务器分配用于唯一标识该连接服务器的标识信息,以及根据整个网络系统架构中包括的所有边缘安全服务器的配置信息,分配与该连接服务器对应的边缘安全服务器。其中,边缘安全服务器的配置信息中可以包括但不限于边缘安全服务器的地址信息、已关联的连接器的数目、能关联的连接器数目的上限值等。管理平台为该连接服务器分配标识信息及相关联的边缘安全服务器后,将该标识信息及该连接服务器对应的边缘安全服务器的地址信息等确定为该连接服务器对应的服务器配置信息。
在本申请一示例性实施例中,连接器可以是在管理平台上创建的,管理平台可以为服务提供方提供用于创建连接器的接口。连接器可以运行在多种平台上,如VMware的虚拟机、Docker(应用容器引擎)、公有云云主机等。服务提供方利用管理平台提供的接口创建运行在不同平台上的连接器。在创建出连接器后,还生成连接器对应的安装包和配置信息,该配置信息中包括连接器的唯一标识、连接器对应的边缘安全服务器的地址信息等,该边缘安全服务器的地址信息可以包括边缘安全服务器的域名和/或IP地址。
需要说明的,管理平台上可以创建一个连接器,也可以创建多个连接器,且在各连接器对应的配置信息中可以包括该连接器所对应的一个或多个边缘安全服务器的地址信息,以便连接服务器安装并启动连接器之后,该连接器可以与图1所示系统架构中的一个或多个边缘安全服务器建立会话连接。
例如,图3中示出了一个连接器的配置信息,该配置信息中包括连接器的唯一标识“连接器id:12345”,以及连接器对应的边缘安全服务器的域名“companyA.connector.com”。
另外,在一示例性实施例中,为了实现访问的高可用,边缘安全服务器的地址信息包括的域名至少会解析到两个边缘安全服务器的IP地址。由此,连接服务器可以根据解析到的多个边缘安全服务器的IP地址,分别建立与多个边缘安全服务器之间的会话连接,从而在某一会话连接失效或者故障时,可以通过其他的会话连接进行信息传输。应该理解的,根据该多个边缘安全服务器所建立的会话连接可以是用于传输相同信息的会话连接,换言之,多个会话连接中有的可以作为主会话连接,其他的作为副会话连接,以在主会话连接失效时,可以通过副会话连接所传输的信息进行处理,以保证访问的稳定性。
步骤102:管理平台生成目标应用对应的应用配置信息,该应用配置信息包括目标应用的域名、回源地址、相关联的连接服务器的标识信息、身份认证策略以及访问权限控制策略中的至少一种。
其中,目标应用可以为企事业单位或社会组织等团体的内网中的应用,如OA系统、Web(网站)、SSH(Secure Shell,安全外壳协议)、VNC(Virtual Network Console,虚拟网络控制台)、RDP(Remote Desktop Protocol,远程桌面协议)、内部IAM(Identity and AccessManagement,身份识别与访问管理)等。目标应用也可以为公网中的应用程序。
在本申请一示例性实施例中,在访问目标应用之前,由管理平台生成目标应用对应的应用配置信息。具体地,管理平台可以支持用户的配置操作,用户依据自身需求确定允许远程访问的目标应用,然后在管理平台上配置这些目标应用对应的应用配置信息,管理平台可以接收并存储用户所配置的应用配置信息,并将该应用配置信息与对应的目标应用相关联。
在一示例性实施例中,该应用配置信息可以包括回源地址、目标应用的域名、身份认证策略、访问权限控制策略以及与该目标应用相关联的连接服务器的标识信息等多种信息中的一种或多种的组合。其中,回源地址可以包括目标应用所在设备的IP地址及目标应用所在设备对外开放的端口号等。身份认证策略用于规定目标用户的身份认证方式,访问权限控制策略用于规定对该目标应用具有访问权限的用户身份。
例如,图3中示出的目标应用对应的应用配置信息中的回源地址为172.16.1.100:433,其中172.16.1.100为目标应用所在设备的IP地址,433表示目标应用所在设备对外开放的端口仅为433端口(即网页浏览端口)。图3中应用配置信息包括的目标应用的域名为“oa.companyA.com”,回源负载均衡策略为“轮询”,身份认证方式为“企业微信”,访问权限控制策略为“允许财务人员访问”,与该目标应用相关联的连接服务器的唯一标识为“绑定连接器:12345”。
通过步骤101和102的操作,在管理平台上生成连接服务器对应的服务器配置信息及目标应用对应的应用配置信息,通过在应用配置信息中设置相关联的连接服务器的标识信息将该目标应用与连接服务器关联起来。
需要说明的,目标应用与连接服务器可以处于同一网络,例如均属于内部网络、均属于公共网络或者属于同一C段网络等,目标应用与连接服务器也可以处于不同网络,例如一个在公网、另一个在内部网络等,本申请对此不作特殊限定,只需目标应用与连接服务器之间可以通信即可。
步骤103:管理平台发送连接服务器所需的服务器配置信息。
在本申请一示例性实施例中,连接服务器可以直接从管理平台中下载连接器的安装包,依据下载的安装包在连接服务器本地安装连接器。具体地,连接服务器发送连接器获取请求给管理平台,管理平台根据接收到的连接服务器的连接器获取请求,将连接器的安装包发送给该连接服务器。连接服务器从管理平台下载连接器的安装包后,根据该安装包在连接服务器中安装该连接器。
或者,连接服务器的云主机中可以预先安装有连接器。或者,还可以是连接服务器从管理平台中下载完整的连接器镜像文件进行安装,等等。本申请实施例对连接服务器如何安装连接器的方式不作特殊限定。
在连接服务器安装连接器后,可以从管理平台请求服务器配置信息。管理平台响应连接服务器的请求,发送服务器配置信息给连接服务器。连接服务器安装连接器并从管理平台获得服务器配置信息后,以服务器配置信息来启动此连接器。在一示例中,连接服务器向管理平台请求服务器发送配置信息获取请求,该配置信息获取请求中可以包含该连接服务器的标识信息(即连接器的标识信息),管理平台可以根据该标识信息,将对应的服务器配置信息向连接服务器进行反馈。
在本申请实施例中,同一连接服务器可以部署一个或多个连接器。在部署多个连接器的应用场景中,多个连接器可以与相同的目标应用关联,对于该相同的目标应用来说,其关联的多个连接器可以划分为主用连接器和备用连接器,以便在主用连接器故障时采用备用连接器进行通信,提高远程访问应用的网络稳定性。
需要说明的,当一个连接服务器中部署多个连接器时,多个连接器的标识信息均可以作为该连接服务器的标识信息,例如在连接服务器A中包含两个连接器,两个连接器的标识信息分别为123456和234567,那么,该连接服务器A的标识信息可以为两个即123456和234567,等等。又或者,当一个连接服务器中部署多个连接器时,可以为该连接服务器配置一个标识信息,该标识信息则可以与多个连接器的标识信息存在映射关系。本领域技术人员可以根据实际实现需要确定对应的实现方式,本申请对此不作特殊限定。
步骤104:连接服务器获取与连接服务器对应的至少一个边缘安全服务器的地址信息。
在本申请一示例性实施例中,连接服务器由管理平台中获取连接服务器对应的服务器配置信息。可选的,连接服务器可以直接从管理平台中获取服务器配置信息。或者,连接服务器也可以通过中间媒介间接从管理平台获取服务器配置信息,例如管理平台将该连接服务器的服务器配置信息下发至配置中心,连接服务器再从配置中心获取该服务器配置信息。连接服务器在获得服务器配置信息后,从该服务器配置信息中获取与连接服务器对应的至少一个边缘安全服务器的地址信息。该地址信息包括边缘安全服务器的IP地址和/或域名。
步骤105:连接服务器根据至少一个边缘安全服务器的地址信息,建立与至少一个边缘安全服务器之间的会话连接,该会话连接为由连接服务器至所述至少一个边缘安全服务器的出站连接。
在本申请一示例性实施例中,在连接服务器中安装连接器,且连接器运行正常之后,连接服务器需要通过连接器建立与该连接服务器对应的至少一个边缘安全服务器之间的会话连接。若至少一个边缘安全服务器的地址信息中包括边缘安全服务器的IP地址,则根据至少一个边缘安全服务器的IP地址,直接建立该连接服务器与至少一个边缘安全服务器之间的会话连接。
若至少一个边缘安全服务器的地址信息中仅包括边缘安全服务器的域名,则连接服务器发送该至少一个边缘安全服务器的域名解析请求给域名服务器。域名服务器对每个域名进行域名解析,得到每个域名对应的IP地址,然后将每个域名对应的IP地址发送给连接服务器。连接服务器接收域名服务器返回的每个域名对应的IP地址,根据每个IP地址,分别发送连接请求给每个IP地址对应的边缘安全服务器,该连接请求包括该连接服务器的标识信息,以建立并唯一标识该连接服务器与其对应的至少一个边缘安全服务器之间的会话连接。
在本申请实施例中,该会话连接为由连接服务器至所述至少一个边缘安全服务器的出站连接,这些会话连接是连接服务器主动向外的通信连接。连接服务器禁止入向的连接,具体地,可以在连接服务器的防火墙中配置禁止入向的连接请求,从而使连接服务器能够通过防火墙禁止除上述建立的会话连接以外的所有入向请求。如此能够确保连接服务器只能通过建立的会话连接接收入向的信息,通过建立的会话连接实现对目标应用程序的远程访问,同时能够避免其他入向访问,确保目标应用程序的安全性。在目标应用为内网的应用时,能够极大地提高内网的安全性。
步骤106:边缘安全服务器接收由至少一个连接服务器发送的连接请求,根据连接请求,建立与至少一个连接服务器之间的会话连接。
步骤105中连接服务器建立与边缘安全服务器之间的会话连接之前,发送连接请求给边缘安全服务器,该连接请求中包括该连接服务器的标识信息。由于一个边缘安全服务器可以与至少一个连接服务器建立会话连接,因此边缘安全服务器能接收到至少一个连接服务器发送的连接请求,根据接收的连接请求包括的标识信息,建立与这至少一个连接服务器之间的会话连接,进一步地,该会话连接是边缘安全服务器与连接服务器中安装的连接器之间的会话连接。
在本申请实施例中,边缘安全服务器接收到的连接请求的数量可以为多个,连接请求中包含对应的连接服务器的标识信息。边缘安全服务器根据多个连接请求,分别建立与至少一个连接服务器之间的会话连接,并将各连接请求包括的标识信息与对应的会话连接相关联。具体地,边缘安全服务器将连接请求包括的标识信息与对应的会话存储在连接服务器的标识信息与会话的映射关系中。
在本申请实施例中,连接服务器中的一个连接器可以与一个或多个边缘安全服务器建立会话连接,一个边缘安全服务器可以与一个或多个连接服务器连接,即一个边缘安全服务器可以与一个连接服务器中的一个或多个连接器建立会话连接,如此能够避免某个连接器、某个连接服务器或某个边缘安全服务器出现故障导致远程访问中断的情况。
在本申请实施例中,连接服务器与边缘安全服务器之间的会话连接是建立在443端口(即网页浏览端口)上,在该会话连接上实现应用层的连接复用,并在该会话连接的回路上实现请求回源。为了实现连接器的高可用,连接器可以与多个边缘安全服务器建立持久的会话连接。对于连接服务器来说,因为连接器对应的会话连接是出向的,目标应用的回源访问只依赖于该会话连接,不需要建立任何入向的连接,因此内网防火墙或者VPC(Virtual Private Cloud,虚拟私有云)的安全策略里不需要设置很复杂的网络策略,只需要开放出向443端口并且阻断一切的入向连接即可。
为了便于理解连接服务器与边缘安全服务器之间的会话连接的建立过程,下面结合附图进行说明。如图4所示,假设连接服务器的服务器配置信息中包括的边缘安全服务器的域名为“abc.yundun-tunnel.com”,连接服务器将该域名“abc.yundun-tunnel.com”的解析请求发送给域名服务器。域名服务器对该域名解析后将解析得到的IP地址发送给连接服务器。连接服务器根据该IP地址建立与边缘安全服务器之间的会话连接,该会话连接是建立在443端口上的。连接服务器基于超文本传输协议http2通过该会话与边缘安全服务器进行数据通信。连接服务器的防火墙只需要开放443端口并阻断所有入向连接即可。
如图5所示,边缘安全服务器上维护连接服务器的标识信息与会话之间的映射关系。图5中IP地址为“1.1.1.1”的边缘安全服务器分别与连接服务器1、2和3中的一个连接器建立了会话连接。因此边缘安全服务器上维护的映射关系中包括连接器12345:会话1、连接器34567:会话2以及连接器45678:会话3。
管理平台上创建了连接器及设置好目标应用对应的应用配置信息,以及连接服务器中安装连接器,且连接器与边缘安全服务器建立会话连接,并将允许进行远程访问的所有目标应用的域名均解析到边缘加速服务器的IP地址上,从而将这些目标应用直接发布在公网中。之后远程终端即可通过本申请实施例提供的方法来访问目标应用。
步骤107:边缘加速服务器接收目标终端发送的针对目标应用的访问请求,该访问请求包括目标应用的域名。
边缘加速服务器上提供了DDoS(Distributed Denial of Service,分布式拒绝服务)清洗、缓存加速、WAF(Web Application Firewall,Web应用防护系统)、负载均衡等功能,同时还作为边缘安全网关提供身份认证、权限管理、访问控制等功能。目标用户在访问目标应用时,先访问到边缘加速服务器。
在一具体应用场景中,在家办公或出差的员工需要访问公司内网中的目标应用时,通过目标终端查看公司在公网上发布的多个目标应用,从中选择自己需要访问的目标应用,例如可以通过点击的方式进行选择。目标终端监测到某个目标应用被点击时,获取被点击的目标应用的域名,发送针对该目标应用的域名的解析请求给域名服务器。域名服务器对该目标应用的域名进行解析,由于之前将发布到公网上的所有目标应用的域名均解析到了边缘加速服务器的IP地址上,因此域名服务器对当前的目标应用的域名进行解析能够得到对应的边缘加速服务器的IP地址。域名服务器将域名解析得到的IP地址返回给该目标终端。目标终端根据该IP地址,发送访问请求给对应的边缘加速服务器,该访问请求中包括目标用户需要访问的目标应用的域名。
在本申请的另一些实施例中,边缘加速服务器还可以记录目标用户的访问行为日志,该访问行为日志中可以包括访问时间、访问对象、身份信息等,这些信息可以便于企业的安全管理人员对用户的行为进行审计和管控。
步骤108:边缘加速服务器根据目标应用的域名,确定与目标应用的域名对应的边缘安全服务器的地址信息。
在本申请一示例性实施例中,边缘加速服务器可以预先从管理平台中获取各目标应用对应的应用配置信息以及连接服务器的服务器配置信息。需要说明的,边缘加速服务器可以直接从管理平台中获取,也可以从配置中心等中间媒介获取该信息,本申请对此不作特殊限定。
当边缘加速服务器接收到针对目标应用的访问请求之后,可以获取该访问请求中所包含的目标应用的域名,根据该目标应用的域名,确定其对应的应用配置信息,再根据该应用配置信息确定与该目标应用相关联的连接服务器的标识信息。基于所确定的连接服务器的标识信息,确定对应的服务器配置信息,由此,可以从该服务器配置信息中获取与该连接服务器相关联的边缘安全服务器的地址信息。
应该理解的,该地址信息可以包括域名和/或IP地址,若该地址信息为域名,则边缘加速服务器可以将该边缘安全服务器的域名解析请求发送至域名服务器中进行解析,以使域名服务器反馈对应的边缘安全服务器的IP地址。
需要说明的,边缘安全服务器的地址信息可以是一个也可以是多个,例如具有多个边缘安全服务器的IP地址,或者域名服务器反馈的域名对应的IP地址为一个或者多个,等等。多个地址信息所对应的边缘安全服务器,有的可以作为主用的边缘安全服务器,其他的则可以作为备用的边缘安全服务器。
在本申请另一示例性实施例中,边缘加速服务器向管理平台请求或接受管理平台关于目标应用的应用配置信息的推送。管理平台根据边缘加速服务器发送的包含该目标应用的域名的查询请求,查询该目标应用的应用配置信息,从该应用配置信息中获取与该目标应用相关联的连接服务器的标识信息,然后根据该标识信息获取该连接服务器的服务器配置信息,从该服务器配置信息中获取与该连接服务器关联的边缘安全服务器的地址信息,发送该边缘安全服务器的地址信息给边缘加速服务器。
在本申请一示例性实施例中,在确定与目标应用的域名对应的边缘安全服务器的地址信息之前,边缘加速服务器可以对用户的身份信息执行认证策略,该认证策略可以包括身份认证策略和/或访问权限认证策略。
具体地,在对用户的身份信息执行身份认证策略时,边缘加速服务器可以在接收到访问请求后,检测该访问请求中是否携带目标用户的身份信息,因为该用户在首次访问时访问请求中是不会携带有身份信息的。若边缘加速服务器检测到访问请求中不包括用户身份信息,则触发身份认证操作。需要说明的,图1所示的认证中心可以是设置于边缘加速服务器中的认证组件,或者独立于边缘加速服务器的认证设备,该认证中心可以与第三方身份认证系统或内网中的内部身份认证系统进行数据交互。
其中,第三方身份认证系统通过互联网即可访问,内网中的内部身份认证系统则需要通过边缘加速服务器、边缘安全服务器和连接服务器来访问。在一示例中,通过互联网访问第三方身份认证系统,或通过边缘加速服务器和边缘安全服务器访问内网中的内部身份认证系统,第三方身份认证系统或内网中的内部身份认证系统可以向认证中心返回目标用户的身份信息。需要说明的,若认证中心接收到返回的身份信息,则可以认定该身份信息已经通过身份认证,可以进行后续步骤。
在其他示例中,认证中心也可以向边缘加速服务器发送一个身份认证页面。边缘加速服务器可以将该身份认证页面发送给目标终端,目标终端显示该身份认证页面,该身份认证页面中包括至少一个身份认证选项。例如,该身份认证页面中可以包括但不限于微信认证、企业微信认证、手机号认证等多个身份认证选项,用户可以选择对应的身份认证选项,从而确定对应的身份认证策略。例如,用户选择了微信认证这一选项,则可以通过该用户的微信号、微信密码等信息对该用户进行身份认证,等等。当目标用户选择对应的身份认证选项后,该身份认证页面则可以对应获取目标用户与该身份认证选项相对应的待验证身份信息,例如用户选择了微信认证,则获取对应的微信号和微信密码,等等。认证中心可以将身份认证页面所接收到的待验证身份信息向对应的第三方身份认证系统或者内部身份认证系统进行认证,由第三方身份认证系统或内部身份认证系统反馈验证结果,即是否通过身份认证。
通过身份认证后,边缘加速服务器会为此次身份认证所基于的用户身份信息设置有效期,存储该用户身份信息及其对应的有效期,并指示后续该目标终端每次请求访问目标应用时都会在访问请求中携带该用户身份信息。
若检测结果为该访问请求中包含用户身份信息,则通过对应的认证策略包括的身份认证策略来对该用户身份信息进行认证。具体地,获取该用户身份信息对应的有效期,若确定其有效期未到达,则表明该用户身份信息之前已通过身份认证且尚在有效期内,无需再次进行身份认证,则直接确定当前用户身份认证通过。
若该检测结果为该访问请求包括用户身份信息,但该用户身份信息的有效期已到达,则根据边缘加速服务器中配置的身份认证策略对目标用户重新进行身份认证。
在本申请一示例性实施例中,在重新认证时,边缘加速服务器可以通过认证中心将该访问请求包括的目标用户的标识信息(例如用户账号等)发送给第三方身份认证系统。第三方身份认证系统根据该目标用户的标识信息获取目标用户的身份信息,并将该目标用户的身份信息反馈给认证中心。边缘加速服务器通过认证中心获得目标用户的身份信息后,根据预先配置的认证策略对该用户身份信息进行身份认证和/或访问权限认证。
在本申请一示例性实施例中,当认证中心需要从内部身份认证系统中获取目标用户的身份信息时,可以将目标用户的标识信息通过边缘加速服务器、边缘安全服务器和连接服务器发送给内网中的内部身份认证系统,以从内部身份认证系统获取目标用户的身份信息。具体地,在一示例中,边缘加速服务器可以发送该目标应用的域名给管理平台,管理平台从与该目标应用相关联的连接服务器对应的服务器配置信息中获取与该连接服务器对应的边缘安全服务器的地址信息,发送该边缘安全服务器的地址信息给边缘加速服务器。若该地址信息包括边缘安全服务器的IP地址,则边缘加速服务器根据该IP地址,建立与该边缘安全服务器之间的通信连接,并发送访问请求包括的目标用户的标识信息及目标应用的域名给该边缘安全服务器。若该地址信息中仅包括边缘安全服务器的域名,则边缘加速服务器发送该边缘安全服务器的域名的解析请求给域名服务器。域名服务器对边缘安全服务器的域名进行域名解析,得到边缘安全服务器的IP地址,发送该IP地址给边缘加速服务器。边缘加速服务器根据该IP地址建立与该边缘安全服务器之间的通信连接,发送携带访问请求包括的目标用户的标识信息及目标应用的域名给该边缘安全服务器。
边缘安全服务器可以发送包含该目标应用的域名的查询目标应用相关联的连接服务器的请求给管理平台。管理平台根据该域名从该目标应用对应的应用配置信息中获取与该目标应用相关联的连接服务器的标识信息,发送该连接服务器的标识信息给边缘安全服务器。边缘安全服务器根据该连接服务器的标识信息,从连接服务器的标识信息与会话连接的映射关系中获取该连接服务器对应的会话连接,通过该会话连接将目标用户的标识信息发送给该连接服务器。连接服务器接收到该目标用户的标识信息后,将该目标用户的标识信息转发给该目标应用所属的内网中的内部身份认证系统,内部身份认证系统根据该目标用户的标识信息获取该目标用户的身份信息,并将目标用户的身份信息依次经过该连接服务器、上述边缘安全服务器原路返回给上述边缘加速服务器对应的认证中心。
在另一示例中,边缘安全服务器也可以不向管理平台查询对应的连接服务器的标识信息,而是由边缘加速服务器根据目标应用的域名从管理平台获取该目标应用对应的应用配置信息,并将用户身份信息及该应用配置信息一并发送给边缘安全服务器。边缘安全服务器从该应用配置信息中查询目标应用关联的连接服务器的标识信息,进而依据该标识信息,通过与该连接服务器之间的会话连接将目标用户的标识信息转发至对应的内网中的内部身份认证系统。该内部身份认证系统根据该目标用户的标识信息获取该目标用户的身份信息,并将目标用户的身份信息通过原路返回给边缘加速服务器对应的认证中心。
在本申请的另一些实施例中,也可以不通过首次认证后设置用户身份信息的有效期的方式,而是可以在每次访问时都由边缘加速服务器指示目标终端显示上述身份认证页面,用户对身份认证页面包括的每个身份认证选项进行选择后,目标终端根据用户选择的每个选项信息确定对应的用户身份信息,例如以该用户在该选项对应的应用的登录信息作为用户身份信息,在发送访问请求给边缘加速服务器时,在该访问请求中携带该用户身份信息。然后边缘加速服务器通过认证中心将该用户身份信息转发给第三方身份认证系统或内网中的内部身份认证系统对该用户身份信息进行认证,并将认证结果反馈给认证中心。
通过上述任一方式对访问请求包括的用户身份信息进行身份认证,若认证未通过,则发送错误提示信息给目标终端,该错误提示信息用于提示用户身份认证失败。若身份认证通过,且边缘加速服务器中部署的认证策略中仅包括身份认证策略,则确定对该目标用户认证通过。若认证策略中还包括访问权限认证策略,则还需要根据访问权限控制策略判断用户是否具有目标应用的访问权限。访问权限控制策略中可以规定能够访问该目标应用的用户身份,比如一些财务相关的目标应用可能只允许财务人员访问,一些人事管理相关的目标应用可能只允许人力资源部门的人员访问,等等。或者,访问权限控制策略中可以规定该目标应用的访问口令,访问口令可以为一个字符串构成的密码,或者为约定好的一句话等。
边缘加速服务器对目标用户进行访问权限认证,可以指示目标终端显示权限认证界面,该权限认证界面中包括一个或多个权限认证选项。例如,权限认证选项可以包括工号、姓名、联系方式、身份证号、访问口令等选项中的一个或多个。用户在该权限认证界面中提交认证选项信息后,目标终端将该认证选项信息发送给边缘加速服务器。边缘加速服务器可以发送目标应用的域名给管理服务器,管理服务器根据目标应用的域名,从该目标应用的应用配置信息中获取该目标应用的访问权限的相关配置信息,该访问权限的相关配置信息中可以包括能够访问该目标应用的用户的工号、姓名、联系方式、身份证号等用户信息,和/或,该访问权限的相关配置信息中还可以包括该目标应用的访问口令。管理平台将该访问权限的相关配置信息发送给边缘加速服务器。边缘加速服务器根据该访问权限的相关配置信息和用户提交的认证选项信息,来判断该目标用户是否具有访问该目标应用的权限。
或者,管理平台也可以直接将该目标应用的应用配置信息发送给边缘加速服务器。边缘加速服务器从该应用配置信息中获取访问权限的相关配置信息,并据此判断该目标用户是否具有访问权限。例如,在应用配置信息中可以包括允许访问该目标应用的岗位名称,例如某一应用可以由财务、经理进行访问,等等。而用户的身份信息可以包括该用户的岗位名称,边缘加速服务器可以将用户的岗位名称与目标应用对应的岗位名称进行比对,若用户的岗位名称与该目标应用对应的岗位名称相匹配,即该用户的岗位名称是允许访问该目标应用的岗位名称之一,则表示该用户通过访问权限认证策略,反之则未通过。
或者,边缘加速服务器也可以不从管理平台获取访问权限的相关配置信息或该目标应用的应用配置信息。而是确定与该目标应用关联的连接服务器,及与该连接服务器管理的边缘安全服务器,然后将该目标用户的认证选项信息依次经过该边缘安全服务器和连接服务器转发给内网中的内部身份认证系统,以对目标用户的认证选项信息进行权限认证,并将认证结果原路返回给边缘加速服务器。
因通过上述任一方式对目标用户进行访问权限认证,实现了在边缘加速服务器通过访问权限控制策略进行细粒度的访问权限控制,能够有效消除恶意分子对目标应用恶意攻击的风险。
请继续参照图2,步骤109:边缘加速服务器根据边缘安全服务器的地址信息,转发该访问请求至边缘安全服务器。
在本申请一示例性实施例中,若边缘安全服务器的地址信息包括边缘安全服务器的IP地址,则边缘加速服务器根据该IP地址,直接将该访问请求转发给边缘安全服务器。若该地址信息中仅包括边缘安全服务器的域名,则边缘加速服务器发送该边缘安全服务器的域名解析请求给域名服务器。域名服务器对边缘加速服务器发送的域名进行域名解析,得到对应的每个边缘安全服务器的IP地址,将得到的每个IP地址组成IP列表,返回该IP列表给边缘加速服务器,该IP列表中包括一个或多个边缘安全服务器的IP地址。
边缘加速服务器接收域名服务器返回的IP列表,从该IP列表中选择一个IP地址。具体地,若该IP列表中仅包括一个IP地址,则直接选择该IP地址。若该IP列表中包括多个IP地址,则从这多个IP地址中选择一个主用的边缘安全服务器的IP地址。边缘加速服务器根据选择的IP地址,建立与选择的IP地址对应的边缘安全服务器之间的通信连接,然后发送该访问请求给该边缘安全服务器。
在本申请的另一些实施例中,在发送该访问请求给边缘安全服务器之前,边缘加速服务器还可以与边缘安全服务器进行双向认证,进一步确保目标应用访问的安全性。例如,边缘加速服务器发送自身的第一证书给边缘安全服务器。该边缘安全服务器接收边缘加速服务器的第一证书,并对第一证书进行验证,验证第一证书是否由自己新来的CA中心所签发,若是则表示验证通过,若不是,则可以向边缘加速服务器返回一个警告信息,警告边缘加速服务器这个第一证书不是可以信赖的。验证通过后,边缘安全服务器可以比较证书里的信息,例如域名和公钥,若该域名或公钥符合预先设定的信息传输规则,则认可该边缘加速服务器的合法身份
边缘加速服务器也可以要求边缘安全服务器发送其自身的第二证书,收到该第二证书之后,边缘加速服务器可以对该第二证书进行验证,若没有通过验证,则拒绝连接,若通过验证,则二者之间可以进行信息传输。
在本申请实施例中,边缘加速服务器与边缘安全服务器之间通过上述方式进行双向认证,第一证书和第二证书中只要有一个认证不通过,边缘加速服务器就不会将访问请求发送给边缘安全服务器,大大提高了内网访问的安全性。进一步地,边缘加速服务器还可以先对访问请求进行加密,将加密后的数据发送给边缘安全服务器,以提高数据传输的安全性。
步骤110:边缘安全服务器接收由边缘加速服务器转发的针对目标应用的访问请求,确定与目标应用对应的目标连接服务器。
在本申请一示例性实施例中,边缘安全服务器是一个中转媒介,可以实现边缘加速服务器与目标应用的打通,进一步地,当目标应用位于内网,可以实现边缘加速服务器与内网应用的打通。边缘安全服务器启动后,等待边缘加速服务器和连接服务器中连接器的连接并转发来自边缘加速服务器的访问请求。
边缘安全服务器接收到边缘加速服务器转发的目标终端对目标应用的访问请求后,将该访问请求中包括的目标应用的域名发送给管理平台。管理平台根据该目标应用的域名,获取该目标应用的应用配置信息,从该应用配置信息中查询与该目标应用相关联的连接服务器的标识信息,与该目标应用相关联的连接服务器即为目标连接服务器,管理平台将该目标连接服务器的标识信息发送给边缘安全服务器。边缘安全服务器接收该目标连接服务器的标识信息。
在本申请的另一些实施例中,也可以由边缘加速服务器在对目标用户进行认证的阶段从管理平台获取目标应用的应用配置信息及与该目标应用相关联的连接服务器的服务器配置信息,并由边缘加速服务器将访问请求及应用配置信息一并转发给边缘安全服务器。如此边缘安全服务器可以在本地从应用配置信息中获取与该目标应用相关联的连接服务器的标识信息,并确定该标识信息即为目标连接服务器的标识信息。
在本申请再一示例性实施例中,边缘加速服务器在向边缘安全服务器转发该访问请求时,可以将该访问请求对应的目标应用的应用配置信息一起向边缘安全服务器进行发送。由此,边缘安全服务器可以根据该应用配置信息中所包括的与该目标应用相关联的连接服务器的标识信息,确定目标连接服务器。应该理解的,边缘安全服务器确定出的目标连接服务器的数量可以为一个或多个。
若目标连接器的数量为多个即两个或者两个以上的任意数量,则其中一个目标连接服务器可以作为主目标连接服务器,除主目标连接服务器之外的为副目标连接服务器,从而在主目标连接服务器失效或者故障时,可以通过副目标连接服务器进行访问目标应用。
应该理解的,主目标连接服务器和副目标连接服务器二者相关联的目标应用应是相同的,或者主目标连接服务器所关联的目标应用被包含于副目标连接服务器所关联的目标应用中,又或者主目标连接服务器与副目标连接服务器之间具有部分相同的相关联的目标应用,等等。
步骤111:边缘安全服务器根据与目标连接服务器对应的会话连接,转发访问请求至目标连接服务器。
在本申请一示例性实施例中,边缘安全服务器根据确定出的每个目标连接服务器的标识信息,从本地存储的连接服务器的标识信息与会话之间的映射关系中,分别获取每个连接服务器对应的会话连接。通过每个连接服务器对应的会话连接,将该访问请求转发给每个目标连接服务器。
在本申请一示例性实施例中,边缘安全服务器在将访问请求转发给目标连接服务器前,还可以通过与连接服务器对应的会话连接获取连接服务器的健康状态信息,该健康状态信息包括连接服务器的负载状态信息、网络状态信息、系统状态信息、磁盘状态信息中的一种或多种。具体地,边缘安全服务器通过与每个连接服务器对应的会话连接发送健康检查请求给每个连接服务器。连接服务器中的连接器接收到该健康检查请求后获取自身的健康状态信息,通过与该边缘安全服务器之间的会话连接将健康状态信息发送给该边缘安全服务器。
边缘安全服务器根据每个连接服务器的健康状态信息,从每个连接服务器中选择一个满足预设健康条件的连接服务器,预设健康条件可以包括负载量小于预设阈值,网络状态、系统状态和磁盘状态无异常,预设健康条件中可以列举出网络状态、系统状态和磁盘状态的一些异常情况,如网络中断、系统资源占用率超过预设比例、磁盘剩余存储空间小于预设值等。若边缘安全服务器确定出多个满足预设健康条件的连接服务器,则可从中随机选取或者依次选取以确定一个目标连接服务器。在确定目标连接服务器之后,边缘安全服务器可以根据该目标连接服务器的标识信息对应的会话连接,将该访问请求转发至该目标连接服务器中的连接器。
在本申请的另一些实施例中,边缘安全服务器还可以通过轮询的方式来将访问请求转发给连接服务器中的连接器。具体地,边缘安全服务器中配置了预设轮询规则,预设轮询规则中规定了该目标应用关联的每个目标连接服务器的轮询顺序,根据该轮询顺序从与该目标应用关联的每个目标连接服务器中选择一个目标连接服务器。根据选择的目标连接服务器的标识信息,从标识信息与会话的映射关系中获取选择的目标连接服务器对应的会话连接,通过获取的会话连接将该访问请求转发给该目标连接服务器。
为了便于理解目标终端的访问请求发送至目标连接服务器的流程,下面结合附图进行说明。如图6所示,远程终端发送访问请求给边缘加速服务器,该访问请求包括待访问的目标应用的域名“oa.companyA.com”。边缘加速服务器根据该域名,从管理平台获取域名“oa.companyA.com”对应的应用配置信息,该应用配置信息中绑定的连接器的唯一标识为“12345”,也从管理平台获取连接器12345的服务器配置信息。边缘加速服务器获得该应用配置信息和服务器配置信息后,发送服务器配置信息包括的边缘安全服务器的域名“companyA.connector.com”的解析请求给域名服务器,接收域名服务器返回的该边缘安全服务器的IP地址“1.1.1.1”。边缘加速服务器根据该IP地址“1.1.1.1”建立与该边缘安全服务器之间的通信连接,将访问请求及应用配置信息发送给该边缘安全服务器。IP地址为“1.1.1.1”的边缘安全服务器根据应用配置信息中包括的连接器的唯一标识“12345”,从预存的映射关系中获得该连接器对应的会话连接,通过该会话连接将该访问请求发送给企业A的连接服务器1中的连接器12345。
步骤112:连接服务器基于与边缘安全服务器之间的会话连接,若接收到由边缘安全服务器转发的针对目标应用的访问请求,将该访问请求发送至目标应用。
在本申请实施例中,连接服务器中可以配置有与其关联的每个目标应用的域名与回源地址的映射关系。或者管理平台可以将每个目标应用的回源地址或应用配置信息下发给连接服务器。连接服务器若接收到边缘安全服务器通过二者之间的会话连接发送的针对目标应用的访问请求,则连接服务器根据该访问请求包括的目标应用的域名,在本地查询目标应用的回源地址,根据该回源地址,将该访问请求转发给对应的目标应用。
在本申请的另一些实施例中,连接服务器中也可以不配置相关联的目标应用的域名与回源地址的映射关系。而是由边缘安全服务器从管理平台或者边缘加速服务器处获得该目标应用对应的应用配置信息,该应用配置信息中包括目标应用对应的回源地址,边缘安全服务器在将该访问请求转发给目标连接服务器中对应的连接器时还可以将该回源地址发送给连接器。连接器根据该回源地址,将该访问请求转发给对应的目标应用。目标应用对该访问请求进行响应,将生成的响应消息传输给与该目标应用关联的连接服务器。
步骤113:连接服务器将接收到的请求响应信息向边缘安全服务器进行发送,该请求响应信息由目标应用根据访问请求进行反馈。
在本申请一示例性实施例中,目标应用根据访问请求进行反馈生成请求响应信息,发送该请求响应信息给该连接服务器。该连接服务器再通过自身与边缘安全服务器之间的会话连接将该请求响应信息发送给边缘安全服务器。边缘安全服务器将该请求响应信息发送给边缘加速服务器,边缘加速服务器再将该请求响应信息发送给该目标终端。
在本申请实施例中,连接服务器与边缘安全服务器之间的会话连接的传输协议可以为加密传输协议,连接服务器与边缘安全服务器之间的数据都是加密传输,以确保传输过程中的数据安全性。
在本申请实施例中,多个连接服务器可以与相同的目标应用关联,对于该相同的目标应用来说,其关联的多个连接服务器可以包括主用连接服务器和备用连接服务器,在主用连接服务器故障时,可以通过备用连接服务器对应的会话连接接收目标终端对目标应用的访问请求,或通过备用连接服务器对应的会话连接发送目标应用对访问请求进行响应而产生的请求响应信息。一个连接服务器中也可以包括多个连接器,分成主连接器和副连接器,在主连接器故障或者达到负载上限后,由副连接器来进行数据传输。
另外,连接服务器还可以每隔预设时间段(例如2min、0.5h或者1h等)发送自身的健康状态信息及每个连接器的健康状态信息给管理平台,管理平台根据连接服务器的健康状态信息及每个连接器的健康状态信息判断连接服务器及连接器是否出现异常,若有异常则及时向管理人员发出告警信息。
为了便于理解本申请实施例提供的应用访问过程,下面结合附图进行说明。如图7所示,连接服务器A中的连接器1和2,以及连接服务器B中的连接器3和4均根据各自的配置信息中的边缘安全服务器的域名,从域名服务器获取对应的边缘安全服务器的IP地址,然后依据获取的IP地址建立与边缘安全服务器之间的会话连接。
远程用户发送访问请求给边缘加速服务器,该访问请求包括目标应用的域名。边缘加速服务器确定访问请求中是否包括尚在有效期内的用户身份信息,如果是,则确定身份认证通过。如果否,则边缘加速服务器重定向至身份认证页面,获得当前用户的用户身份信息。边缘加速服务器从管理平台获取待访问的目标应用的应用配置信息和与该目标应用关联的连接服务器的服务器配置信息。边缘加速服务器根据该应用配置信息包括的身份认证策略对获得的用户身份信息进行身份认证。身份认证通过后,边缘加速服务器将服务器配置信息包括的边缘安全服务器的域名的域名解析请求发送给域名服务器,根据域名服务器返回的边缘安全服务器的IP地址,将访问请求和应用配置信息发送到边缘安全服务器中。如图7所示,域名“A.yundun-tunnel.com”对应于IP地址分别为“1.1.1.1”和“2.2.2.2”的两个边缘安全服务器,IP地址为“1.1.1.1”的边缘安全服务器为主用的边缘安全服务器,IP地址为“2.2.2.2”的边缘安全服务器为备用的边缘安全服务器。域名“B.yundun-tunnel.com”对应于IP地址分别为“3.3.3.3”和“4.4.4.4”的两个边缘安全服务器,IP地址为“3.3.3.3”的边缘安全服务器为主用的边缘安全服务器,IP地址为“4.4.4.4”的边缘安全服务器为备用的边缘安全服务器。
假设访问请求是对连接服务器A中的目标应用的访问,则边缘加速服务器可以将访问请求及应用配置信息发送到IP地址为“1.1.1.1”的边缘安全服务器。边缘安全服务器再通过与连接器1或连接器2之间的会话连接将访问请求发送给连接服务器A。
在本申请实施例中,不需要使用VPN服务器即可实现目标终端访问连内网中的目标应用,解决了VPN服务器不稳定且难以维护的问题。直接将目标应用发布到公网上,用户访问体验更好。由边缘加速服务器对用户身份及访问权限进行认证,消除了恶意攻击的风险。不需要对原有的网络拓扑进行修改即可将内网中的目标应用SaaS化。且通过增加边缘加速服务器和边缘安全服务器的数量,能够很方便地进行扩容,能够适应目标用户数量很大的应用场景。
本申请的另一些实施例提供了一种远程访问应用的方法,该方法应用于连接服务器。参见图8,该方法具体包括以下步骤:
步骤201:连接服务器获取与连接服务器对应的至少一个边缘安全服务器的地址信息。
在本申请一示例性实施例中,连接服务器由管理平台中获取连接服务器对应的服务器配置信息。在一示例中,连接服务器可以直接从管理平台中获取服务器配置信息。在另一示例中,连接服务器也可以通过中间媒介间接从管理平台获取服务器配置信息,例如管理平台将该连接服务器的服务器配置信息下发至配置中心,连接服务器再从配置中心获取该服务器配置信息。连接服务器获得服务器配置信息后,从该服务器配置信息中获取与连接服务器对应的至少一个边缘安全服务器的地址信息。该地址信息包括边缘安全服务器的IP地址和/或域名。
步骤202:连接服务器根据至少一个边缘安全服务器的地址信息,建立与至少一个边缘安全服务器之间的会话连接,所述会话连接为由连接服务器至所述至少一个边缘安全服务器的出站连接。
在本申请一示例性实施例中,若边缘安全服务器的地址信息中仅包括IP地址,则连接服务器根据至少一个边缘安全服务器的IP地址,建立与这至少一个边缘安全服务器之间的会话连接。若边缘安全服务器的地址信息中仅包括边缘安全服务器的域名,则连接服务器发送这至少一个边缘安全服务器的域名给域名服务器;接收域名服务器返回的每个域名对应的IP地址;根据每个IP地址,分别发送连接请求给一个或多个边缘安全服务器,连接请求包括连接服务器的标识信息,以建立连接服务器与一个或多个边缘安全服务器之间的会话连接。
值得注意的是,该会话连接为连接服务器到边缘安全服务器之间的出站连接,其是连接服务器主动向外的通信连接,该连接服务器禁止任何入向的连接请求,从而可以避免遭受他人的恶意攻击,保证目标应用的安全性。在一示例中,可以在连接服务器中配置禁止入向的连接请求,从而使连接服务器能够通过防火墙禁止除上述建立的会话连接以外的所有入向的请求。
在一示例中,该会话连接的传输协议为加密传输协议,即通过该会话连接进行传输的数据均通过加密后以密文的形式进行传输,以提高数据传输的安全性。
步骤203:连接服务器基于建立的会话连接,若接收到由边缘安全服务器转发的针对目标应用的访问请求,将访问请求发送至目标应用。
步骤204:连接服务器将接收到的请求响应信息向边缘安全服务器进行发送,该请求响应信息由目标应用根据访问请求进行反馈。
在本申请实施例中,连接服务器可以包括主连接服务器和副连接服务器,在主连接服务器故障时使用副连接服务器。连接服务器中可以部署多个连接器,多个连接器中包括主用连接器和备用连接器,主用连接器和备用连接器与相同的目标应用关联;在主用连接器故障时,通过备用连接器对应的会话连接接收目标终端对目标应用的访问请求。
连接服务器还每隔预设时间段发送连接器的健康状态信息给管理平台,健康状态信息包括连接器的负载状态信息、网络状态信息、系统状态信息、磁盘状态信息中的一种或多种。
连接服务器还可以通过连接器对应的会话连接接收边缘安全服务器发送的健康检查请求,通过该会话连接发送连接器的健康状态信息给边缘安全服务器。
在本申请实施例中,连接服务器的具体操作细节均可参考上述任一实施例中连接服务器的操作,在此不再赘述。
在本申请实施例中,连接服务器通过连接器建立与边缘安全服务器之间的会话连接,通过该会话连接实现目标终端对目标应用的访问。不需要使用VPN服务器,解决了VPN服务器不稳定且难以维护的问题。直接将目标应用发布到公网上,用户访问体验更好。不需要对原有的网络拓扑进行修改即可将内网中的目标应用SaaS化。
本申请的一些实施例提供了一种远程访问应用的方法,该方法应用于边缘安全服务器,参见图9,该方法具体包括以下步骤:
步骤301:边缘安全服务器接收由至少一个连接服务器发送的连接请求。
在一示例中,连接请求的数量可以为多个,连接请求中包含对应的连接服务器的标识信息。
步骤302:边缘安全服务器根据连接请求,建立与至少一个连接服务器之间的会话连接。
在一示例中,边缘安全服务器根据多个连接请求,分别建立与至少一个连接服务器之间的会话连接,并将各连接服务器的标识信息与对应的会话连接相关联。
步骤303:边缘安全服务器接收由边缘加速服务器转发的针对目标应用的访问请求,确定与目标应用对应的目标连接服务器。
步骤304:边缘安全服务器根据与目标连接服务器对应的会话连接,转发访问请求至目标连接服务器。
在一示例中,目标连接服务器的数量可以为多个,边缘安全服务器根据与多个目标连接服务器的标识信息相关联的会话连接,转发访问请求至每个目标连接服务器。
具体地,边缘安全服务器从应用配置信息中提取出与目标应用关联的每个连接服务器的标识信息;根据每个连接服务器的标识信息,从映射关系中分别获取每个连接服务器对应的会话连接;通过每个连接服务器对应的会话连接分别获取每个连接服务器的健康状态信息;根据每个连接服务器的健康状态信息,从每个连接服务器中选择一个满足预设健康条件的目标连接服务器,通过选择的目标连接服务器对应的会话连接将访问请求转发给目标连接服务器。
在本申请的另一些实施例中,边缘安全服务器还可以轮询的机制来转发访问请求。具体地,从应用配置信息中提取出与目标应用关联的每个连接服务器的标识信息;根据预设轮询规则,从每个连接服务器中选择一个目标连接服务器;根据选择的目标连接服务器的标识信息,从映射关系中获取选择的目标连接服务器对应的会话连接;通过获取的会话连接将访问请求转发给目标连接服务器。
边缘安全服务器的具体操作细节均可参考上述任一实施例中边缘安全服务器的操作,在此不再赘述。
在本申请实施例中,边缘安全服务器建立了与连接服务器中的连接器之间的会话连接,通过该会话连接将来自目标终端的访问请求转发给连接服务器,不使用VPN服务器就能实现目标终端对目标应用的访问,解决了VPN服务器不稳定且难以维护的问题。不需要对原有的网络拓扑进行修改即可将内网中的目标应用SaaS化。且通过增加边缘安全服务器的数量,能够很方便地进行扩容,能够适应目标用户数量很大的应用场景。
本申请的一些实施例提供了一种远程访问应用的方法,该方法应用于边缘加速服务器,参见图10,该方法具体包括以下步骤:
步骤401:边缘加速服务器接收由目标终端发送的针对目标应用的访问请求,访问请求包含目标应用的域名。
步骤402:边缘加速服务器根据目标应用的域名,确定与目标应用的域名对应的边缘安全服务器的地址信息。
在本申请一示例性实施例中,在确定与目标应用的域名对应的边缘安全服务器的地址信息之前,边缘加速服务器还可以检测访问请求中是否携带目标用户的身份信息;根据检测结果,对目标用户的身份信息执行与所述检测结果对应的认证策略,认证策略包括身份认证策略和/或访问权限认证策略;若目标用户的身份信息通过认证策略的认证,则根据目标应用的域名,确定与目标应用的域名对应的边缘安全服务器的地址信息。
步骤403:边缘加速服务器根据边缘安全服务器的地址信息,转发访问请求至边缘安全服务器。
边缘加速服务器的具体操作细节均可参考上述任一实施例中边缘加速服务器的操作,在此不再赘述。
在本申请实施例中,边缘加速服务器对用户身份及访问权限进行认证,消除了恶意攻击的风险。边缘加速服务器将访问请求及应用配置信息转发给边缘安全服务器,再通过边缘安全服务器将访问请求转发给连接服务器,不需要使用VPN服务器即可实现目标终端访问连接服务器中的目标应用,解决了VPN服务器不稳定且难以维护的问题。直接将目标应用发布到公网上,用户访问体验更好。不需要对原有的网络拓扑进行修改即可将内网中的目标应用SaaS化。且通过增加边缘加速服务器和边缘安全服务器的数量,能够很方便地进行扩容,能够适应目标用户数量很大的应用场景。
本申请的一些实施例提供了一种远程访问应用的方法,该方法应用于管理平台,参见图11,该方法具体包括以下步骤:
步骤501:管理平台生成连接服务器对应的服务器配置信息,服务器配置信息至少包括连接服务器的标识信息和与连接服务器对应的边缘安全服务器的地址信息。
步骤502:管理平台生成目标应用对应的应用配置信息,应用配置信息包括目标应用的域名、回源地址、相关联的连接服务器的标识信息、身份认证策略以及访问权限控制策略中的至少一种。
步骤503:管理平台发送连接服务器所需的服务器配置信息。
步骤504:管理平台发送边缘加速服务器所需的目标应用的应用配置信息以及与目标应用相关联的连接服务器的服务器配置信息。
管理平台的具体操作细节均可参考上述任一实施例中管理平台的操作,在此不再赘述。
在本申请实施例中,管理平台中生成了连接服务器的服务器配置信息,以及生成了目标应用的应用配置信息,将目标应用与连接服务器相关联。并通过管理平台发送服务器配置信息给连接服务器。再发送边缘加速服务器所需的目标应用的应用配置信息以及与目标应用相关联的连接服务器的服务器配置信息。不需要使用VPN服务器即可实现目标终端访问连接服务器中的目标应用,解决了VPN服务器不稳定且难以维护的问题。不需要对原有的网络拓扑进行修改即可将内网中的目标应用SaaS化,能够很方便地进行扩容,能够适应目标用户数量很大的应用场景。
本申请实施例提供了一种远程访问应用的系统,参见图1,该系统包括:边缘加速服务器、边缘安全服务器、管理平台和连接服务器;
管理平台,用于生成目标应用的应用配置信息,以及生成连接服务器对应的服务器配置信息;发送边缘加速服务器所需的目标应用的应用配置信息以及与目标应用相关联的连接服务器的服务器配置信息,并发送连接服务器所需的服务器配置信息;
边缘加速服务器,用于接收目标终端发送的针对目标应用的访问请求;并根据访问请求包含的目标应用的域名,将访问请求向对应的边缘安全服务器进行发送;
边缘安全服务器,用于接收边缘加速服务器发送的访问请求;根据在先建立的与连接服务器的会话连接,将访问请求转发至对应的连接服务器;
连接服务器,用于接收边缘安全服务器发送的访问请求,并将访问请求转发至对应的目标应用。
在一示例性实施例中,会话连接为连接服务器至边缘安全服务器的出站连接。
在一示例性实施例中,该系统还包括:认证中心,用于根据访问请求携带的目标用户的身份信息,对目标用户的身份信息执行认证策略,认证策略包括身份认证策略和/或访问权限认证策略。
本申请的上述实施例提供的远程访问应用的系统与本申请实施例提供的远程访问应用的方法出于相同的发明构思,具有与其存储的应用程序所采用、运行或实现的方法相同的有益效果。
本申请实施例还提供一种远程访问应用的装置,该装置用于执行上述任一实施例提供的远程访问应用的方法中连接服务器的操作。参见图12,该装置包括:
获取模块601,用于获取与连接服务器对应的至少一个边缘安全服务器的地址信息;
第一建立会话模块602,用于根据至少一个边缘安全服务器的地址信息,建立与至少一个边缘安全服务器之间的会话连接,会话连接为由连接服务器至至少一个边缘安全服务器的出站连接;
第一发送模块603,用于基于会话连接,若接收到由边缘安全服务器转发的针对目标应用的访问请求,将访问请求发送至目标应用;将接收到的请求响应信息向边缘安全服务器进行发送,请求响应信息由目标应用根据访问请求进行反馈。
上述地址信息为域名,第一建立会话模块602,用于向域名服务器发送至少一个边缘安全服务器的域名;接收由域名服务器发送的至少一个边缘安全服务器的域名对应的IP地址;根据各IP地址,分别向至少一个边缘安全服务器发送连接请求,以建立连接服务器与至少一个边缘安全服务器之间的会话连接,连接请求包含连接服务器的标识信息,以使至少一个边缘安全服务器将标识信息与对应的会话连接相关联。
获取模块601,用于由管理平台中获取连接服务器对应的服务器配置信息;从服务器配置信息中获取与连接服务器对应的至少一个边缘安全服务器的地址信息。
上述会话连接的传输协议为加密传输协议。
本申请的上述实施例提供的远程访问应用的装置与本申请实施例提供的远程访问应用的方法出于相同的发明构思,具有与其存储的应用程序所采用、运行或实现的方法相同的有益效果。
本申请实施例还提供一种远程访问应用的装置,该装置用于执行上述任一实施例提供的远程访问应用的方法中边缘安全服务器的操作。参见图13,该装置包括:
第一接收模块701,用于接收由至少一个连接服务器发送的连接请求;
第二建立会话模块702,用于根据连接请求,建立与至少一个连接服务器之间的会话连接;
第一接收模块701,还用于接收由边缘加速服务器转发的针对目标应用的访问请求;
第一确定模块703,用于确定与目标应用对应的目标连接服务器;
第二发送模块704,用于根据与目标连接服务器对应的会话连接,转发访问请求至目标连接服务器。
上述连接请求的数量为多个,连接请求中包含对应的连接服务器的标识信息;
第二建立会话模块702,还用于根据多个连接请求,分别建立与至少一个连接服务器之间的会话连接,并将各标识信息与对应的会话连接相关联。
目标连接服务器的数量为多个;第二发送模块704,用于根据与多个目标连接服务器的标识信息相关联的会话连接,转发访问请求至目标连接服务器。
本申请的上述实施例提供的远程访问应用的装置与本申请实施例提供的远程访问应用的方法出于相同的发明构思,具有与其存储的应用程序所采用、运行或实现的方法相同的有益效果。
本申请实施例还提供一种远程访问应用的装置,该装置用于执行上述任一实施例提供的远程访问应用的方法中边缘加速服务器的操作。参见图14,该装置包括:
第二接收模块801,用于接收由目标终端发送的针对目标应用的访问请求,访问请求包含目标应用的域名;
第二确定模块802,用于根据目标应用的域名,确定与目标应用的域名对应的边缘安全服务器的地址信息;
第三发送模块803,用于根据边缘安全服务器的地址信息,转发访问请求至边缘安全服务器。
第二确定模块802,还用于检测访问请求中是否携带目标用户的身份信息;根据检测结果,对目标用户的身份信息执行认证策略;若目标用户的身份信息通过认证策略的认证,则根据目标应用的域名,确定与目标应用的域名对应的边缘安全服务器的地址信息。上述认证策略包括身份认证策略和/或访问权限认证策略。
本申请的上述实施例提供的远程访问应用的装置与本申请实施例提供的远程访问应用的方法出于相同的发明构思,具有与其存储的应用程序所采用、运行或实现的方法相同的有益效果。
本申请实施例还提供一种远程访问应用的装置,该装置用于执行上述任一实施例提供的远程访问应用的方法中管理平台的操作。参见图15,该装置包括:
生成模块901,用于生成连接服务器对应的服务器配置信息,服务器配置信息至少包括连接服务器的标识信息和与连接服务器对应的边缘安全服务器的地址信息;生成目标应用对应的应用配置信息,应用配置信息包括目标应用的域名、回源地址、相关联的连接服务器的标识信息、身份认证策略以及访问权限控制策略中的至少一种;
第四发送模块902,用于发送连接服务器所需的服务器配置信息;发送边缘加速服务器所需的目标应用的应用配置信息以及与目标应用相关联的连接服务器的服务器配置信息。
本申请的上述实施例提供的远程访问应用的装置与本申请实施例提供的远程访问应用的方法出于相同的发明构思,具有与其存储的应用程序所采用、运行或实现的方法相同的有益效果。
本申请实施方式还提供一种电子设备,以执行上述远程访问应用的方法。请参考图16,其示出了本申请的一些实施方式所提供的一种电子设备的示意图。如图16所示,电子设备10包括:处理器1000,存储器1001,总线1002和通信接口1003,所述处理器1000、通信接口1003和存储器1001通过总线1002连接;所述存储器1001中存储有可在所述处理器1000上运行的计算机程序,所述处理器1000运行所述计算机程序时执行本申请前述任一实施方式所提供的远程访问应用的方法。
其中,存储器1001可能包含高速随机存取存储器(RAM:Random Access Memory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口1003(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网、广域网、本地网、城域网等。
总线1002可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。其中,存储器1001用于存储程序,所述处理器1000在接收到执行指令后,执行所述程序,前述本申请实施例任一实施方式揭示的所述远程访问应用的方法可以应用于处理器1000中,或者由处理器1000实现。
处理器1000可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器1000中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器1000可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器1001,处理器1000读取存储器1001中的信息,结合其硬件完成上述方法的步骤。
本申请实施例提供的电子设备与本申请实施例提供的远程访问应用的方法出于相同的发明构思,具有与其采用、运行或实现的方法相同的有益效果。
本申请实施方式还提供一种与前述实施方式所提供的远程访问应用的方法对应的计算机可读存储介质,请参考图17,其示出的计算机可读存储介质为光盘30,其上存储有计算机程序(即程序产品),所述计算机程序在被处理器运行时,会执行前述任意实施方式所提供的远程访问应用的方法。
需要说明的是,所述计算机可读存储介质的例子还可以包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他光学、磁性存储介质,在此不再一一赘述。
本申请的上述实施例提供的计算机可读存储介质与本申请实施例提供的远程访问应用的方法出于相同的发明构思,具有与其存储的应用程序所采用、运行或实现的方法相同的有益效果。
需要说明的是:
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本申请的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本申请并帮助理解各个发明方面中的一个或多个,在上面对本申请的示例性实施例的描述中,本申请的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下示意图:即所要求保护的本申请要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本申请的单独实施例。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本申请的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
以上所述,仅为本申请较佳的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (8)
1.一种远程访问应用的方法,其特征在于,应用于边缘加速服务器,包括:
接收由目标终端发送的针对目标应用的访问请求,所述访问请求包含所述目标应用的域名;
根据所述目标应用的域名,确定与所述目标应用的域名对应的边缘安全服务器的地址信息;
根据所述边缘安全服务器的地址信息,转发所述访问请求至所述边缘安全服务器。
2.根据权利要求1所述的方法,其特征在于,所述根据所述目标应用的域名,确定与所述目标应用的域名对应的边缘安全服务器的地址信息,包括:
检测所述访问请求中是否携带目标用户的身份信息;
根据检测结果,对所述目标用户的身份信息执行与所述检测结果对应的认证策略;
若所述目标用户的身份信息通过所述认证策略的认证,则根据所述目标应用的域名,确定与所述目标应用的域名对应的边缘安全服务器的地址信息。
3.根据权利要求2所述的方法,其特征在于,所述认证策略包括身份认证策略和/或访问权限认证策略。
4.一种远程访问应用的方法,其特征在于,应用于管理平台,包括:
生成连接服务器对应的服务器配置信息,所述服务器配置信息至少包括连接服务器的标识信息和与连接服务器对应的边缘安全服务器的地址信息;
生成目标应用对应的应用配置信息,所述应用配置信息包括目标应用的域名、回源地址、相关联的连接服务器的标识信息、身份认证策略以及访问权限控制策略中的至少一种;
发送所述连接服务器所需的服务器配置信息;
发送边缘加速服务器所需的所述目标应用的应用配置信息以及与所述目标应用相关联的连接服务器的服务器配置信息。
5.一种远程访问应用的装置,其特征在于,应用于边缘加速服务器,包括:
接收模块,用于接收由目标终端发送的针对目标应用的访问请求,所述访问请求包含所述目标应用的域名;
确定模块,用于根据所述目标应用的域名,确定与所述目标应用的域名对应的边缘安全服务器的地址信息;
发送模块,用于根据所述边缘安全服务器的地址信息,转发所述访问请求至所述边缘安全服务器。
6.一种远程访问应用的装置,其特征在于,应用于管理平台,包括:
生成模块,用于生成连接服务器对应的服务器配置信息,所述服务器配置信息至少包括连接服务器的标识信息和与连接服务器对应的边缘安全服务器的地址信息;生成目标应用对应的应用配置信息,所述应用配置信息包括目标应用的域名、回源地址、相关联的连接服务器的标识信息、身份认证策略以及访问权限控制策略中的至少一种;
发送模块,用于发送所述连接服务器所需的服务器配置信息;发送边缘加速服务器所需的所述目标应用的应用配置信息以及与所述目标应用相关联的连接服务器的服务器配置信息。
7.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器运行所述计算机程序以实现如权利要求1-3或4中任一项所述的方法。
8.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行实现如权利要求1-3或4中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210459819.9A CN114995214A (zh) | 2021-05-28 | 2021-05-28 | 远程访问应用的方法、系统、装置、设备及存储介质 |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210459819.9A CN114995214A (zh) | 2021-05-28 | 2021-05-28 | 远程访问应用的方法、系统、装置、设备及存储介质 |
CN202110595342.2A CN113341798A (zh) | 2021-05-28 | 2021-05-28 | 远程访问应用的方法、系统、装置、设备及存储介质 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110595342.2A Division CN113341798A (zh) | 2021-05-28 | 2021-05-28 | 远程访问应用的方法、系统、装置、设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114995214A true CN114995214A (zh) | 2022-09-02 |
Family
ID=77472088
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210459819.9A Pending CN114995214A (zh) | 2021-05-28 | 2021-05-28 | 远程访问应用的方法、系统、装置、设备及存储介质 |
CN202110595342.2A Pending CN113341798A (zh) | 2021-05-28 | 2021-05-28 | 远程访问应用的方法、系统、装置、设备及存储介质 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110595342.2A Pending CN113341798A (zh) | 2021-05-28 | 2021-05-28 | 远程访问应用的方法、系统、装置、设备及存储介质 |
Country Status (2)
Country | Link |
---|---|
CN (2) | CN114995214A (zh) |
WO (1) | WO2022247751A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115834513A (zh) * | 2022-11-23 | 2023-03-21 | 中国联合网络通信集团有限公司 | 一种远程访问方法、装置及存储介质 |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114995214A (zh) * | 2021-05-28 | 2022-09-02 | 上海云盾信息技术有限公司 | 远程访问应用的方法、系统、装置、设备及存储介质 |
CN113872933B (zh) * | 2021-08-20 | 2023-05-26 | 上海云盾信息技术有限公司 | 隐藏源站的方法、系统、装置、设备及存储介质 |
CN115297179B (zh) * | 2022-07-25 | 2024-03-08 | 天翼云科技有限公司 | 一种数据传输方法及装置 |
CN115065559B (zh) * | 2022-08-15 | 2022-12-27 | 浙江毫微米科技有限公司 | 一种身份认证系统、方法、装置、电子设备及存储介质 |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101488945B (zh) * | 2008-01-14 | 2012-09-19 | 北京大唐高鸿数据网络技术有限公司 | 一种面向会话初始化协议的鉴权方法 |
US9614870B2 (en) * | 2014-06-04 | 2017-04-04 | Aaa Internet Publishing Inc. | Method of DDoS and hacking protection for internet-based servers using a private network of internet servers by executing computer-executable instructions stored on a non-transitory computer-readable medium |
US9160809B2 (en) * | 2012-11-26 | 2015-10-13 | Go Daddy Operating Company, LLC | DNS overriding-based methods of accelerating content delivery |
CN103117907B (zh) * | 2013-03-11 | 2016-09-28 | 星云融创(北京)科技有限公司 | 网速测试方法和系统、选择加速服务器的方法和系统 |
KR20180135446A (ko) * | 2016-04-15 | 2018-12-20 | 퀄컴 인코포레이티드 | 콘텐츠 전달 네트워크에서 보안 콘텐츠 송신들을 관리하는 기법들 |
CN106302512B (zh) * | 2016-09-05 | 2020-10-20 | 上海云盾信息技术有限公司 | 一种用于控制访问的方法、设备与系统 |
CN110392073B (zh) * | 2018-04-19 | 2022-02-18 | 贵州白山云科技股份有限公司 | 一种基于动态加速的调度方法及装置 |
CN109151512A (zh) * | 2018-09-12 | 2019-01-04 | 中国联合网络通信集团有限公司 | Cdn网络中获取内容的方法及装置 |
CN110677683B (zh) * | 2019-09-30 | 2022-03-04 | 北京奇艺世纪科技有限公司 | 视频存储、视频访问方法及分布式存储、视频访问系统 |
CN112256308A (zh) * | 2020-11-12 | 2021-01-22 | 腾讯科技(深圳)有限公司 | 一种目标应用更新方法及装置 |
CN114995214A (zh) * | 2021-05-28 | 2022-09-02 | 上海云盾信息技术有限公司 | 远程访问应用的方法、系统、装置、设备及存储介质 |
-
2021
- 2021-05-28 CN CN202210459819.9A patent/CN114995214A/zh active Pending
- 2021-05-28 CN CN202110595342.2A patent/CN113341798A/zh active Pending
-
2022
- 2022-05-20 WO PCT/CN2022/094195 patent/WO2022247751A1/zh unknown
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115834513A (zh) * | 2022-11-23 | 2023-03-21 | 中国联合网络通信集团有限公司 | 一种远程访问方法、装置及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
WO2022247751A1 (zh) | 2022-12-01 |
CN113341798A (zh) | 2021-09-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11936786B2 (en) | Secure enrolment of security device for communication with security server | |
US11190493B2 (en) | Concealing internal applications that are accessed over a network | |
WO2022247751A1 (zh) | 远程访问应用的方法、系统、装置、设备及存储介质 | |
US10356612B2 (en) | Method of authenticating a terminal by a gateway of an internal network protected by an access security entity providing secure access | |
US20150188779A1 (en) | Split-application infrastructure | |
US9204345B1 (en) | Socially-aware cloud control of network devices | |
US20160261576A1 (en) | Method, an apparatus, a computer program product and a server for secure access to an information management system | |
US20210083881A1 (en) | Dynamically analyzing third-party application website certificates across users to detect malicious activity | |
CN112437100A (zh) | 漏洞扫描方法及相关设备 | |
US20230006988A1 (en) | Method for selectively executing a container, and network arrangement | |
CN111726328B (zh) | 用于对第一设备进行远程访问的方法、系统以及相关设备 | |
US20180331886A1 (en) | Systems and methods for maintaining communication links | |
CN113194099B (zh) | 一种数据代理方法及代理服务器 | |
US11784993B2 (en) | Cross site request forgery (CSRF) protection for web browsers | |
US9904791B1 (en) | Processing device having secure container for accessing enterprise data over a network | |
WO2023020606A1 (zh) | 一种隐藏源站的方法、系统、装置、设备及存储介质 | |
EP3738012B1 (en) | Asserting user, app, and device binding in an unmanaged mobile device | |
KR20140116422A (ko) | 서버 애플리케이션을 인증 제공자와 통합하는 기법 | |
CN112929388B (zh) | 网络身份跨设备应用快速认证方法和系统、用户代理设备 | |
CN113992387A (zh) | 资源管理方法、装置、系统、电子设备和可读存储介质 | |
KR102150484B1 (ko) | 보안 강화를 위한 일회성 비밀번호 기반 접속 인증 시스템 | |
CN116418539A (zh) | 身份认证方法、系统、装置、设备及存储介质 | |
Liu | Residential Network Security: Using Software-defined Networking to Inspect and Label Traffic | |
CN117834246A (zh) | 流量身份标识方法、装置、零信任控制中心和存储介质 | |
JP2023095286A (ja) | ネットワークシステムおよびアクセス制御方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |