CN117914505A - 控制终端安全访问互联网和内网的方法及设备 - Google Patents
控制终端安全访问互联网和内网的方法及设备 Download PDFInfo
- Publication number
- CN117914505A CN117914505A CN202211244545.8A CN202211244545A CN117914505A CN 117914505 A CN117914505 A CN 117914505A CN 202211244545 A CN202211244545 A CN 202211244545A CN 117914505 A CN117914505 A CN 117914505A
- Authority
- CN
- China
- Prior art keywords
- access
- access control
- terminal
- user
- control policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 65
- 238000011217 control strategy Methods 0.000 claims description 50
- 238000012545 processing Methods 0.000 claims description 9
- 238000004590 computer program Methods 0.000 claims description 6
- 238000004891 communication Methods 0.000 description 27
- 230000006870 function Effects 0.000 description 17
- 238000010586 diagram Methods 0.000 description 15
- 238000013461 design Methods 0.000 description 8
- 230000008878 coupling Effects 0.000 description 7
- 238000010168 coupling process Methods 0.000 description 7
- 238000005859 coupling reaction Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 230000001360 synchronised effect Effects 0.000 description 4
- 238000002955 isolation Methods 0.000 description 3
- 230000003068 static effect Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种控制终端安全访问互联网和内网的方法及设备。该方法包括:控制器从终端接收用户认证请求,包括终端的设备信息和第一用户的用户信息;在针对用户认证请求认证通过后,向终端发送用户标识,以及与终端上的第一用户的权限相对应的内网模式下的访问应用列表;向代理网关发送可信资产列表以及默认访问控制策略;访问应用列表包括至少一个应用的应用标识,可信资产列表包括终端的网络协议IP地址、与访问应用列表对应的端口列表、用户标识;默认访问控制策略为仅允许终端上的第一用户访问互联网的第一访问控制策略,或者,仅允许终端上的第一用户访问内网的第二访问控制策略。能够提升安全性。
Description
技术领域
本申请涉及通信领域,尤其涉及控制终端安全访问互联网和内网的方法及设备。
背景技术
当终端同时连接互联网和内网时,容易通过互联网中病毒后,被黑客利用,作为跳板,攻击内网的业务系统,因此需要实现终端不能同时访问互联网和内网,从而保障终端安全访问互联网和内网。
现有技术中,通常是在终端上通过软件层面控制能否访问内网和互联网,安全性不够。因此需要提供一种控制终端安全访问互联网和内网的方法,以提升安全性。
发明内容
本申请实施例提供了一种控制终端安全访问互联网和内网的方法及设备,能够提升安全性。
第一方面,提供了一种控制终端安全访问互联网和内网的方法。控制器从终端接收用户认证请求,所述用户认证请求中包括所述终端的设备信息和第一用户的用户信息;所述控制器在针对所述用户认证请求认证通过后,向所述终端发送用户标识,以及与所述终端上的所述第一用户的权限相对应的内网模式下的访问应用列表;向代理网关发送可信资产列表以及默认访问控制策略;其中,所述访问应用列表包括至少一个应用的应用标识,所述可信资产列表包括所述终端的网络协议(internet protocol,IP)地址、与所述访问应用列表对应的端口列表、所述用户标识;所述默认访问控制策略为仅允许所述终端上的所述第一用户访问互联网的第一访问控制策略,或者,仅允许所述终端上的所述第一用户访问内网的第二访问控制策略。
本申请实施例,控制器在针对用户认证请求认证通过后,不仅向终端发送用户标识,以及与所述终端上的所述第一用户的权限相对应的内网模式下的访问应用列表,还向代理网关发送可信资产列表以及默认访问控制策略,由代理网关根据默认访问控制策略进行互联网和内网的路由层面控制,相对于通常的在终端上通过软件层面控制能否访问内网和互联网,能够提升安全性。
在一种可能的实施方式中,所述默认访问控制策略对应于所述终端的默认访问模式,所述默认访问模式为互联网模式时,所述默认访问控制策略为所述第一访问控制策略;所述默认访问模式为内网模式时,所述默认访问控制策略为所述第二访问控制策略。根据该实施方式,控制器根据终端的默认访问模式,向代理网关发送与默认访问模式相适应的默认访问控制策略,从而实现终端和代理网关二者对访问内网和互联网控制的一致性。
进一步地,所述控制器向代理网关发送可信资产列表以及默认访问控制策略之后,所述控制器从所述终端接收用于指示终端从互联网模式切换到内网模式的第一通知,所述第一通知中携带所述用户标识;所述控制器向所述代理网关发送针对所述用户标识的所述第二访问控制策略,以使所述代理网关将所述第二访问控制策略作为当前访问控制策略。根据该实施方式,当终端从互联网模式切换到内网模式时,与终端上的模式切换相适应,代理网关相应的更新其上的访问控制策略,以使终端和代理网关二者始终保持访问内网和互联网控制的一致性。
进一步地,所述控制器向代理网关发送可信资产列表以及默认访问控制策略之后,所述控制器从所述终端接收指示终端从内网模式切换到互联网模式的第二通知,所述第二通知中携带所述用户标识;所述控制器向所述代理网关发送针对所述用户标识的所述第一访问控制策略,以使所述代理网关将所述第一访问控制策略作为当前访问控制策略。根据该实施方式,当终端从内网模式切换到互联网模式时,与终端上的模式切换相适应,代理网关相应的更新其上的访问控制策略,以使终端和代理网关二者始终保持访问内网和互联网控制的一致性。
第二方面,提供了一种控制终端安全访问互联网和内网的方法。代理网关从控制器接收可信资产列表以及默认访问控制策略;其中,所述可信资产列表包括终端的网络协议 IP地址、内网模式下的可访问端口列表、用户标识;所述默认访问控制策略为仅允许所述用户标识对应的所述终端上的第一用户访问互联网的第一访问控制策略,或者,仅允许所述终端上的所述第一用户访问内网的第二访问控制策略;所述代理网关从所述终端接收第一访问请求,所述第一访问请求中携带互联网的应用的端口和所述用户标识;所述代理网关根据所述用户标识查找到所述第一访问控制策略,基于所述第一访问控制策略确定转发所述第一访问请求;或者,所述代理网关从所述终端接收第二访问请求,所述第二访问请求中携带内网的应用的端口和所述用户标识;所述代理网关根据所述用户标识查找到所述第二访问控制策略和所述可信资产列表,并根据所述第二访问控制策略和所述可信资产列表确定转发所述第二访问请求。
本申请实施例,代理网关从控制器接收可信资产列表以及默认访问控制策略,由代理网关根据默认访问控制策略进行互联网和内网的路由层面控制,相对于通常的在终端上通过软件层面控制能否访问内网和互联网,能够提升安全性。
在一种可能的实施方式中,所述代理网关从所述终端接收所述第二访问请求,所述代理网关根据所述用户标识查找到所述第一访问控制策略,基于所述第一访问控制策略拒绝转发所述第二访问请求。根据该实施方式,第二访问请求用于所述用户标识对应的所述终端上的第一用户请求访问内网,第一访问控制策略仅允许所述用户标识对应的所述终端上的第一用户访问互联网,代理网关对于从终端接收的不符合当前访问控制策略的访问请求,拒绝转发该访问请求,实现互联网和内网的路由层面控制。
在一种可能的实施方式中,所述代理网关从所述终端接收所述第一访问请求,所述代理网关根据所述用户标识查找到所述第二访问控制策略,基于所述第二访问控制策略拒绝转发所述第一访问请求。该实施方式中,代理网关对于从终端接收的不符合当前访问控制策略的访问请求,拒绝转发该访问请求,实现互联网和内网的路由层面控制。根据该实施方式,第一访问请求用于所述用户标识对应的所述终端上的第一用户请求访问互联网,第二访问控制策略仅允许所述用户标识对应的所述终端上的第一用户访问内网,代理网关对于从终端接收的不符合当前访问控制策略的访问请求,拒绝转发该访问请求,实现互联网和内网的路由层面控制。
在一种可能的实施方式中,所述默认访问控制策略对应于所述终端的默认访问模式,所述默认访问模式为互联网模式时,所述默认访问控制策略为所述第一访问控制策略;所述默认访问模式为内网模式时,所述默认访问控制策略为所述第二访问控制策略。根据该实施方式,代理网关会从控制器接收到与终端的默认访问模式相适应的默认访问控制策略,从而实现终端和代理网关二者对访问内网和互联网控制的一致性。
进一步地,所述代理网关从控制器接收可信资产列表以及默认访问控制策略之后,所述代理网关从所述控制器接收当前访问控制策略,所述当前访问控制策略为所述第一访问控制策略或所述第二访问控制策略;将所述默认访问控制策略更新为所述当前访问控制策略。根据该实施方式,能够实现代理网关上的访问控制策略的更新,以使终端和代理网关二者始终保持对访问内网和互联网控制的一致性。
第三方面,本申请实施例提供了一种控制器,该控制器可以实现上述第一方面方法设计中所执行的功能,所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。
在一个可能的设计中,该控制器的结构中包括处理器,该处理器被配置为支持该控制器执行上述第一方面方法中相应的功能。该控制器还可以包括存储器,该存储器用于与处理器耦合,其保存该控制器必要的程序指令和数据。该控制器还可以包括通信接口,该通信接口用于发送或接收信息等。
第四方面,本申请实施例提供了一种代理网关,该代理网关可以实现上述第二方面方法设计中所执行的功能,所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。
在一个可能的设计中,该代理网关的结构中包括处理器,该处理器被配置为支持该代理网关执行上述第二方面方法中相应的功能。该代理网关还可以包括存储器,该存储器用于与处理器耦合,其保存该代理网关必要的程序指令和数据。该代理网关还可以包括通信接口,该通信接口用于发送或接收信息等。
第五方面,本申请实施例提供了一种通信装置,该通信装置可以例如是芯片,该通信装置可以设置于上述第三方面的控制器中,该通信装置包括处理器和接口。该处理器被配置为支持该通信装置执行上述第一方面方法中相应的功能。该接口用于支持该通信装置与其他通信装置或其他网元之间的通信。该通信装置还可以包括存储器,该存储器用于与处理器耦合,其保存该通信装置必要的程序指令和数据。
第六方面,本申请实施例提供了一种通信装置,该通信装置可以例如是芯片,该通信装置可以设置于上述第四方面的代理网关中,该通信装置包括处理器和接口。该处理器被配置为支持该通信装置执行上述第二方面方法中相应的功能。该接口用于支持该通信装置与其他通信装置或其他网元之间的通信。该通信装置还可以包括存储器,该存储器用于与处理器耦合,其保存该通信装置必要的程序指令和数据。
第七方面,本申请实施例提供了一种计算机存储介质,所述计算机存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述各方面或各方面的任意一种可能的设计中所述的方法。
第八方面,本申请实施例提供了一种计算机程序产品,其包含指令,当所述程序被计算机所执行时,该指令使得计算机执行上述各方面或各方面的任意一种可能的设计中所述的方法。
第九方面,本申请实施例提供了一种计算机程序,其包含指令,当所述程序被计算机所执行时,该指令使得计算机执行上述各方面或各方面的任意一种可能的设计中所述的方法。
附图说明
图1为本申请实施例提供的一种应用场景示意图;
图2为本申请实施例提供的一种单网通的实现方式示意图;
图3为本申请实施例提供的一种控制终端安全访问互联网和内网的方案示意图;
图4为本申请实施例提供的另一种控制终端安全访问互联网和内网的方案示意图;
图5为本申请实施例提供的一种控制终端安全访问互联网和内网的方法通信示意图;
图6为本申请实施例提供的一种控制器的示意性框图;
图7为本申请实施例提供的另一种控制器的示意性框图;
图8为本申请实施例提供的一种代理网关的示意性框图;
图9为本申请实施例提供的另一种代理网关的示意性框图。
具体实施方式
下面将结合附图,对本申请中的技术方案进行描述。
图1为本申请实施例提供的一种应用场景示意图。该应用场景涉及控制终端安全访问互联网和内网,需要实现终端既能够访问互联网,也能够访问内网,但是终端不能够同时访问互联网和内网,以确保内网的业务系统的安全。通常地,基于零信任软件定义边界(software defined perimeter,SDP)架构来实现控制终端安全访问互联网和内网。如图1所示,互联网出口对应于互联网或互联网资源,业务系统区对应于内网或内网资源。零信任SDP架构,部署有SDP零信任客户端11、安全接入代理网关12、SDP控制器13。其中,SDP零信任客户端11:简称零信任客户端,部署于终端上,该终端既能够访问互联网,也能够访问内网,常称为一机两用终端,实现接入认证及入网安全检查、网络隔离、数据安全隔离。安全接入代理网关12:简称代理网关,部署在各级政务部门业务前,也就是说,相对于内网的业务系统区前置,主要实现接入鉴别、访问控制和网络隐身等,通过将业务隐藏在安全接入代理网关之后,可以有效收敛各级政务部门业务暴露面,减少被入侵的风险。SDP控制器13:简称控制器,实现SDP零信任的认证,与SDP零信任客户端11及安全接入代理网关12配和实现SDP准入功能,SDP控制器可以自己提供认证功能,也可以与现网身份认证系统对接,支持应用管理,对应用进行发布和管理。
图2为本申请实施例提供的一种单网通的实现方式示意图,其可以基于图1所示的应用场景。参照图2,终端侧安装SDP零信任客户端,也称为代理(agent),用户通过代理(agent)触发SDP控制器进行认证,在通过认证之后,将该用户可以访问的内网模式下应用列表下发到终端的代理(agent),终端默认是互联网模式时,可以访问互联网资源,不能访问内网资源。需要访问内网资源时,用户可以手动切换到内网模式,此时用户仅能访问该内网模式下应用列表内资源,对于不在此应用列表内的应用禁止访问。用户访问内网或者互联网时,通过终端的代理(agent)进行访问权限控制来实现单网通的能力。当用户访问互联网时,根据路由进行报文转发,当用户访问内网时,采用应用级加密隧道进行报文转发。
图3为本申请实施例提供的一种控制终端安全访问互联网和内网的方案示意图,其可以基于图1所示的应用场景,实现图2所示的单网通,也就是说,控制终端不能同时访问互联网和内网。参照图3,SDP零信任客户端向SDP控制器触发用户认证;SDP控制器向身份认证系统触发用户身份校验,在获得认证通过的结果后,根据终端和用户信息生成用户标识(device_ID),将该用户的用户标识,以及该用户可以访问的内网模式下应用列表下发到SDP零信任客户端,并向代理网关下发可信资产列表,该可信资产列表包括源网络协议IP地址、可访问的端口列表、用户标识。用户终端默认是互联网模式时,可以访问互联网资源,不能访问内网资源。互联网流量由于不做代理,流量不经过代理网关,不携带用户标识。终端到互联网和政务外网的路由需提前打通,在终端上切换访问模式时,路由层面不做变化。可以理解的是,政务外网即内网。需要访问内网时,客户需要手动切换到内网模式,此时用户仅能访问该内网模式下应用列表内资源,对于不在此应用资源列表内的应用禁止访问。用户访问内网时,通过终端发出的报文将携带用户标识,代理网关根据该用户标识和可信资产列表进行校验用户身份的合法性,校验通过后放通访问。该方案属于通常的处理方案,只在零信任客户端上通过软件层面控制能否访问内网和互联网,但是从网络路由层面仍然是互通的,没有做单网通的访问控制,仅针对用户的身份进行了合法性的检测,安全性不够;此外,安全接入代理网关做反向代理时,需要发布自身代理路由到接入路由器给终端用户,因此在端到端虚拟专用网络(virtual private network,VPN) 场景中,代理网关无法部署在中间节点设备,只能部署在接入侧,由于需要在所有接入路由器上挂接安全接入代理网关,成本高。
针对上述问题,本申请实施例,通过在零信任SDP架构下,解决终端在网络层面隔离,从而提升安全性;将代理网关和接入路由器角色合并,从而降低成本;在零信任SDP 架构下,可根据用户访问网络权限,在代理网关上控制用户可以访问的互联网VPN或内网VPN。
图4为本申请实施例提供的另一种控制终端安全访问互联网和内网的方案示意图,其在图1所示的应用场景基础上进行了改进,将代理网关和接入路由器角色合并,可选地,合并为代理网关,代理网关可以为防火墙,基于此实现图2所示的单网通,也就是说,控制终端不能同时访问互联网和内网。参照图4,SDP零信任客户端向SDP控制器触发用户认证;SDP控制器向身份认证系统触发用户身份校验,在获得认证通过的结果后,根据终端和用户信息生成用户标识(device_ID),将该用户的用户标识,以及该用户可以访问的内网模式下应用列表下发到SDP零信任客户端,并向代理网关下发可信资产列表以及访问控制策略,该可信资产列表包括源网络协议IP地址、可访问的端口列表、用户标识。其中,当SDP零信任客户端默认是互联网模式时,SDP控制器根据用户标识(device_ID)向代理网关下发访问控制策略,将该用户报文强制只允许进入互联网VPN或者访问互联网路由,实现终端和内网网络层面隔离;当SDP零信任客户端默认是内网模式时,SDP控制器根据用户标识(device_ID)向代理网关下发访问控制策略,将该用户报文强制只允许进入内网VPN或者访问内网路由,实现终端和互联网网络层面隔离;SDP零信任客户端由互联网模式切换到内网模式时,客户端通知SDP控制器根据用户标识(device_ID)下发访问控制策略到代理网关,只允许该用户访问内网VPN或者路由,实现终端和互联网网络层面隔离;SDP零信任客户端由内网模式切换到互联网模式时,客户端通知SDP控制器根据用户标识(device_ID)下发访问控制策略到代理网关,只允许该用户访问互联网VPN 或者访问互联网路由,实现终端和内网网络层面隔离;用户通过SDP零信任客户端访问内网或互联网时,报文都要携带用户标识;用户通过SDP零信任客户端访问互联网应用时,代理网关首先要查看是否满足访问控制策略,如果满足则方通访问;用户通过SDP零信任客户端访问内网应用时,代理网关首先要查看是否满足访问控制策略,如果满足则根据可信资产列表进行校验用户身份的合法性,校验通过后放通访问。
图5为本申请实施例提供的一种控制终端安全访问互联网和内网的方法通信示意图。该实施例可以对应于图4所示的方案,即在图1所示的应用场景基础上进行了改进,将代理网关和接入路由器角色合并,在代理网关上控制用户可以访问的互联网VPN或内网 VPN,该方法可以包括如下操作流程。
本说明书实施例,可以划分为两个阶段,步骤501至步骤503为认证阶段,步骤504至步骤507为访问阶段。
首先在步骤501,终端向控制器发送用户认证请求,所述用户认证请求中包括所述终端的设备信息和第一用户的用户信息。
可选地,所述终端的设备信息包括终端的媒体接入控制(media access control,MAC) 地址等信息,第一用户的用户信息包括用户的账号、密码等信息。
在一个示例中,终端上配置有SDP零信任客户端,通过SDP零信任客户端向控制器发送前述用户认证请求。
可以理解的是,第一用户可以为终端上的任一用户。不同的用户通常具有不同的用户信息和访问权限,上述访问权限包括对内网或互联网的访问权限,对VPN的访问权限,或对应用的访问权限。
可以理解的是,与步骤501相适应,控制器从终端接收所述用户认证请求。
然后在步骤502,控制器在针对所述用户认证请求认证通过后,向所述终端发送用户标识,以及与所述终端上的所述第一用户的权限相对应的内网模式下的访问应用列表。
本说明书实施例,针对所述用户认证请求的认证过程可以采取通常的认证方式进行认证,例如,对用户信息中包括的账号和密码的核对,若核对结果为正确则认证通过,否则认证失败。对于认证失败的用户通常无法访问内网的应用。
可以理解的是,所述用户标识用于标识所述终端上的所述第一用户,后续所述终端上的所述第一用户的访问请求中可以携带该用户标识。
其中,所述访问应用列表包括至少一个应用的应用标识。可以理解的是,访问应用列表中的应用是允许所述终端上的所述第一用户访问的应用,其属于内网的应用,或者说是内网VPN的应用。
接着在步骤503,控制器向代理网关发送可信资产列表以及默认访问控制策略。
可以理解的是,步骤503是控制器在针对所述用户认证请求认证通过后执行的,其与步骤502可以是先后执行的,也可以是并行执行的,例如,先执行步骤502,再执行步骤503,或者,先执行步骤503,再执行步骤502,或者,同时执行步骤502和步骤503。
其中,所述可信资产列表包括所述终端的网络协议IP地址、与所述访问应用列表对应的端口列表、所述用户标识;所述默认访问控制策略为仅允许所述终端上的所述第一用户访问互联网的第一访问控制策略,或者,仅允许所述终端上的所述第一用户访问内网的第二访问控制策略。
在一个示例中,所述默认访问控制策略对应于所述终端的默认访问模式,所述默认访问模式为互联网模式时,所述默认访问控制策略为所述第一访问控制策略;所述默认访问模式为内网模式时,所述默认访问控制策略为所述第二访问控制策略。
可选地,终端的访问模式是可以切换的,例如,其默认访问模式为互联网模式,后续切换到内网模式,或者,其默认访问模式为内网模式,后续切换到互联网模式。可以理解的是,终端会对用户的访问进行控制,在互联网模式下,只可以访问互联网,在内网模式下,只可以访问访问应用列表中的应用。
进一步地,所述控制器向代理网关发送可信资产列表以及默认访问控制策略之后,所述方法还包括:
所述控制器从所述终端接收用于指示终端从互联网模式切换到内网模式的第一通知,所述第一通知中携带所述用户标识;
所述控制器向所述代理网关发送针对所述用户标识的所述第二访问控制策略,以使所述代理网关将所述第二访问控制策略作为当前访问控制策略。
进一步地,所述控制器向代理网关发送可信资产列表以及默认访问控制策略之后,所述方法还包括:
所述控制器从所述终端接收指示终端从内网模式切换到互联网模式的第二通知,所述第二通知中携带所述用户标识;
所述控制器向所述代理网关发送针对所述用户标识的所述第一访问控制策略,以使所述代理网关将所述第一访问控制策略作为当前访问控制策略。
可以理解的是,代理网关会根据当前访问控制策略进行访问控制。
可以理解的是,与步骤503相适应,代理网关从控制器接收可信资产列表以及默认访问控制策略。
再在步骤504,终端向代理网关发送第一访问请求,所述第一访问请求中携带互联网的应用的端口和所述用户标识。
通常地,终端在互联网模式下发送上述第一访问请求,但是也不排除终端在内网模式下发送上述第一访问请求。
可以理解的是,第一访问请求对应于终端上的第一用户访问互联网的应用的请求。
可以理解的是,与步骤504相适应,所述代理网关从所述终端接收第一访问请求。
接着在步骤505,代理网关根据所述用户标识查找到所述第一访问控制策略,基于所述第一访问控制策略确定转发所述第一访问请求。
可以理解的是,第一访问控制策略仅允许所述终端上的所述第一用户访问互联网,而第一访问请求对应于终端上的第一用户访问互联网的应用的请求,第一访问请求满足第一访问控制策略,因此代理网关会对第一访问请求放通访问。
再在步骤506,终端向代理网关发送第二访问请求,所述第二访问请求中携带内网的应用的端口和所述用户标识。
通常地,终端在内网模式下发送上述第二访问请求,并且根据之前控制器下发的访问应用列表访问相应的内网的应用,但是也不排除终端在互联网模式下发送上述第二访问请求,或者,访问了访问应用列表中不包括的内网的应用。
可以理解的是,第二访问请求对应于终端上的第一用户访问内网的应用的请求。
可以理解的是,与步骤506相适应,所述代理网关从所述终端接收第二访问请求。
接着在步骤507,代理网关根据所述用户标识查找到所述第二访问控制策略和所述可信资产列表,并根据所述第二访问控制策略和所述可信资产列表确定转发所述第二访问请求。
可以理解的是,第二访问控制策略仅允许所述终端上的所述第一用户访问内网,而第二访问请求对应于终端上的第一用户访问内网的应用的请求,第二访问请求满足第二访问控制策略,因此代理网关会对第二访问请求放通访问。
本说明书实施例,代理网关除了核对第二访问请求是否满足第二访问控制策略之外,还需要核对第二访问请求是否满足所述可信资产列表,也就是说,根据第二访问请求的用户标识查找到相应的可信资产列表,核对第二访问请求的源IP地址是否与所述可信资产列表包括的所述终端的IP地址一致,所述第二访问请求携带的内网的应用的端口是否与所述可信资产列表包括的端口列表相一致。
本说明书实施例,代理网关是根据针对所述用户标识的当前访问控制策略对相应的访问请求进行访问控制的,当前访问控制策略可能为第一访问控制策略或第二访问控制策略,可能出现的情况是步骤504、步骤505,或者步骤506、步骤507。
在一个示例中,所述方法还包括:
所述代理网关从所述终端接收所述第二访问请求,所述代理网关根据所述用户标识查找到所述第一访问控制策略,基于所述第一访问控制策略拒绝转发所述第二访问请求。
可以理解的是,第一访问控制策略仅允许所述终端上的所述第一用户访问互联网,而第二访问请求对应于终端上的第一用户访问内网的应用的请求,第二访问请求不满足第一访问控制策略,因此代理网关会对第二访问请求拒绝访问。
在一个示例中,所述方法还包括:
所述代理网关从所述终端接收所述第一访问请求,所述代理网关根据所述用户标识查找到所述第二访问控制策略,基于所述第二访问控制策略拒绝转发所述第一访问请求。
可以理解的是,第二访问控制策略仅允许所述终端上的所述第一用户访问内网,而第一访问请求对应于终端上的第一用户访问互联网的应用的请求,第一访问请求不满足第二访问控制策略,因此代理网关会对第一访问请求拒绝访问。
在一个示例中,所述默认访问控制策略对应于所述终端的默认访问模式,所述默认访问模式为互联网模式时,所述默认访问控制策略为所述第一访问控制策略;所述默认访问模式为内网模式时,所述默认访问控制策略为所述第二访问控制策略。
进一步地,所述代理网关从控制器接收可信资产列表以及默认访问控制策略之后,所述方法还包括:
所述代理网关从所述控制器接收当前访问控制策略,所述当前访问控制策略为所述第一访问控制策略或所述第二访问控制策略;
将所述默认访问控制策略更新为所述当前访问控制策略。
可选地,当前访问控制策略对应于终端的当前访问模式,控制器在获知终端发生了模式切换后向代理网关发送该当前访问控制策略。
本申请实施例,控制器在针对用户认证请求认证通过后,不仅向终端发送用户标识,以及与所述终端上的所述第一用户的权限相对应的内网模式下的访问应用列表,还向代理网关发送可信资产列表以及默认访问控制策略,由代理网关根据默认访问控制策略进行互联网和内网的路由层面控制,相对于通常的在终端上通过软件层面控制能否访问内网和互联网,能够提升安全性。
上文描述了本申请实施例提供的控制终端安全访问互联网和内网的方法,下文将描述本申请实施例提供的控制器和代理网关。
图6为本申请实施例提供的控制器600的示意性框图,控制器600包括:
接收模块61,用于从终端接收用户认证请求,所述用户认证请求中包括所述终端的设备信息和第一用户的用户信息;
发送模块62,用于在针对所述接收模块61接收的用户认证请求认证通过后,向所述终端发送用户标识,以及与所述终端上的所述第一用户的权限相对应的内网模式下的访问应用列表;向代理网关发送可信资产列表以及默认访问控制策略;其中,所述访问应用列表包括至少一个应用的应用标识,所述可信资产列表包括所述终端的网络协议IP地址、与所述访问应用列表对应的端口列表、所述用户标识;所述默认访问控制策略为仅允许所述终端上的所述第一用户访问互联网的第一访问控制策略,或者,仅允许所述终端上的所述第一用户访问内网的第二访问控制策略。
本申请实施例,接收模块61从终端接收用户认证请求,发送模块62在针对用户认证请求认证通过后,不仅向终端发送用户标识,以及与所述终端上的所述第一用户的权限相对应的内网模式下的访问应用列表,还向代理网关发送可信资产列表以及默认访问控制策略,由代理网关根据默认访问控制策略进行互联网和内网的路由层面控制,相对于通常的在终端上通过软件层面控制能否访问内网和互联网,能够提升安全性。
应理解,本申请实施例中的接收模块61和发送模块62可以由收发器或收发器相关电路组件实现。
如图7所示,本申请实施例还提供一种控制器700,该控制器700包括处理器710,存储器720与收发器730,其中,存储器720中存储指令或程序,处理器710用于执行存储器720中存储的指令或程序。存储器720中存储的指令或程序被执行时,该处理器710 用于执行上述实施例中针对用户认证请求的认证操作,收发器730用于执行上述实施例中接收模块61和发送模块62执行的操作。
应理解,根据本申请实施例的控制器600或控制器700可对应于本申请实施例的图5 对应的方法中的控制器,并且控制器600或控制器700中的各个模块的操作和/或功能分别为了实现图5中的方法的相应流程,为了简洁,在此不再赘述。
图8为本申请实施例提供的代理网关800的示意性框图,该代理网关800包括:
第一接收模块81,用于从控制器接收可信资产列表以及默认访问控制策略;其中,所述可信资产列表包括终端的网络协议IP地址、内网模式下的可访问端口列表、用户标识;所述默认访问控制策略为仅允许所述用户标识对应的所述终端上的第一用户访问互联网的第一访问控制策略,或者,仅允许所述终端上的所述第一用户访问内网的第二访问控制策略;
第二接收模块82,用于从所述终端接收第一访问请求,所述第一访问请求中携带互联网的应用的端口和所述用户标识;或者,从所述终端接收第二访问请求,所述第二访问请求中携带内网的应用的端口和所述用户标识;
处理模块83,用于根据所述第二接收模块82接收的用户标识查找到所述第一访问控制策略,基于所述第一访问控制策略确定转发所述第一访问请求;或者,根据所述第二接收模块82接收的用户标识查找到所述第二访问控制策略和所述第一接收模块81接收的可信资产列表,并根据所述第二访问控制策略和所述可信资产列表确定转发所述第二访问请求。
本申请实施例,第一接收模块81从控制器接收可信资产列表以及默认访问控制策略,第二接收模块82从终端接收第一访问请求,由处理模块83根据默认访问控制策略进行互联网和内网的路由层面控制,相对于通常的在终端上通过软件层面控制能否访问内网和互联网,能够提升安全性。
应理解,本申请实施例中的处理模块83可以由处理器或处理器相关电路组件实现,第一接收模块81和第二接收模块82可以由收发器或收发器相关电路组件实现。
如图9所示,本申请实施例还提供一种代理网关900,该代理网关900包括处理器910,存储器920与收发器930,其中,存储器920中存储指令或程序,处理器910用于执行存储器920中存储的指令或程序。存储器920中存储的指令或程序被执行时,该处理器 910用于执行上述实施例中处理模块83执行的操作,收发器930用于执行上述实施例中第一接收模块81和第二接收模块82执行的操作。
应理解,根据本申请实施例的代理网关800或代理网关900可对应于本申请实施例的图5对应的方法中的代理网关,并且代理网关800或代理网关900中的各个模块的操作和/或功能分别为了实现图5中的方法的相应流程,为了简洁,在此不再赘述。
本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时可以实现上述方法实施例提供的方法中与控制器相关的流程。
本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时可以实现上述方法实施例提供的方法中与代理网关相关的流程。
本申请实施例还提供一种通信装置,该通信装置可以是设备也可以是电路。该通信装置可以用于执行上述方法实施例中由控制器或代理网关所执行的动作。
作为本实施例的另一种形式,提供一种包含指令的计算机程序产品,该指令被执行时执行上述方法实施例中由控制器或代理网关所执行的动作。
应理解,本发明实施例中提及的处理器可以是中央处理单元(CentralProcessing Unit, CPU),还可以是其他通用处理器、数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
还应理解,本发明实施例中提及的存储器可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(Read-Only Memory,ROM)、可编程只读存储器(Programmable ROM,PROM)、可擦除可编程只读存储器(Erasable PROM,EPROM)、电可擦除可编程只读存储器 (Electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(Static RAM,SRAM)、动态随机存取存储器 (Dynamic RAM,DRAM)、同步动态随机存取存储器(Synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(DoubleData Rate SDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM,DR RAM)。
需要说明的是,当处理器为通用处理器、DSP、ASIC、FPGA或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件时,存储器(存储模块)集成在处理器中。
应注意,本文描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
还应理解,本文中涉及的第一、第二、第三、第四以及各种数字编号仅为描述方便进行的区分,并不用来限制本申请的范围。
应理解,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B 这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
Claims (13)
1.一种控制终端安全访问互联网和内网的方法,其特征在于,所述方法包括:
控制器从终端接收用户认证请求,所述用户认证请求中包括所述终端的设备信息和第一用户的用户信息;
所述控制器在针对所述用户认证请求认证通过后,向所述终端发送用户标识,以及与所述终端上的所述第一用户的权限相对应的内网模式下的访问应用列表;向代理网关发送可信资产列表以及默认访问控制策略;其中,所述访问应用列表包括至少一个应用的应用标识,所述可信资产列表包括所述终端的网络协议IP地址、与所述访问应用列表对应的端口列表、所述用户标识;所述默认访问控制策略为仅允许所述终端上的所述第一用户访问互联网的第一访问控制策略,或者,仅允许所述终端上的所述第一用户访问内网的第二访问控制策略。
2.如权利要求1所述的方法,其特征在于,所述默认访问控制策略对应于所述终端的默认访问模式,所述默认访问模式为互联网模式时,所述默认访问控制策略为所述第一访问控制策略;所述默认访问模式为内网模式时,所述默认访问控制策略为所述第二访问控制策略。
3.如权利要求2所述的方法,其特征在于,所述控制器向代理网关发送可信资产列表以及默认访问控制策略之后,所述方法还包括:
所述控制器从所述终端接收用于指示终端从互联网模式切换到内网模式的第一通知,所述第一通知中携带所述用户标识;
所述控制器向所述代理网关发送针对所述用户标识的所述第二访问控制策略,以使所述代理网关将所述第二访问控制策略作为当前访问控制策略。
4.如权利要求2所述的方法,其特征在于,所述控制器向代理网关发送可信资产列表以及默认访问控制策略之后,所述方法还包括:
所述控制器从所述终端接收指示终端从内网模式切换到互联网模式的第二通知,所述第二通知中携带所述用户标识;
所述控制器向所述代理网关发送针对所述用户标识的所述第一访问控制策略,以使所述代理网关将所述第一访问控制策略作为当前访问控制策略。
5.一种控制终端安全访问互联网和内网的方法,其特征在于,所述方法包括:
代理网关从控制器接收可信资产列表以及默认访问控制策略;其中,所述可信资产列表包括终端的网络协议IP地址、内网模式下的可访问端口列表、用户标识;所述默认访问控制策略为仅允许所述用户标识对应的所述终端上的第一用户访问互联网的第一访问控制策略,或者,仅允许所述终端上的所述第一用户访问内网的第二访问控制策略;
所述代理网关从所述终端接收第一访问请求,所述第一访问请求中携带互联网的应用的端口和所述用户标识;所述代理网关根据所述用户标识查找到所述第一访问控制策略,基于所述第一访问控制策略确定转发所述第一访问请求;或者,
所述代理网关从所述终端接收第二访问请求,所述第二访问请求中携带内网的应用的端口和所述用户标识;所述代理网关根据所述用户标识查找到所述第二访问控制策略和所述可信资产列表,并根据所述第二访问控制策略和所述可信资产列表确定转发所述第二访问请求。
6.如权利要求5所述的方法,其特征在于,所述方法还包括:
所述代理网关从所述终端接收所述第二访问请求,所述代理网关根据所述用户标识查找到所述第一访问控制策略,基于所述第一访问控制策略拒绝转发所述第二访问请求。
7.如权利要求5所述的方法,其特征在于,所述方法还包括:
所述代理网关从所述终端接收所述第一访问请求,所述代理网关根据所述用户标识查找到所述第二访问控制策略,基于所述第二访问控制策略拒绝转发所述第一访问请求。
8.如权利要求5所述的方法,其特征在于,所述默认访问控制策略对应于所述终端的默认访问模式,所述默认访问模式为互联网模式时,所述默认访问控制策略为所述第一访问控制策略;所述默认访问模式为内网模式时,所述默认访问控制策略为所述第二访问控制策略。
9.如权利要求8所述的方法,其特征在于,所述代理网关从控制器接收可信资产列表以及默认访问控制策略之后,所述方法还包括:
所述代理网关从所述控制器接收当前访问控制策略,所述当前访问控制策略为所述第一访问控制策略或所述第二访问控制策略;
将所述默认访问控制策略更新为所述当前访问控制策略。
10.一种控制器,其特征在于,所述控制器包括:
接收模块,用于从终端接收用户认证请求,所述用户认证请求中包括所述终端的设备信息和第一用户的用户信息;
发送模块,用于在针对所述用户认证请求认证通过后,向所述终端发送用户标识,以及与所述终端上的所述第一用户的权限相对应的内网模式下的访问应用列表;向代理网关发送可信资产列表以及默认访问控制策略;其中,所述访问应用列表包括至少一个应用的应用标识,所述可信资产列表包括所述终端的网络协议IP地址、与所述访问应用列表对应的端口列表、所述用户标识;所述默认访问控制策略为仅允许所述终端上的所述第一用户访问互联网的第一访问控制策略,或者,仅允许所述终端上的所述第一用户访问内网的第二访问控制策略。
11.一种代理网关,其特征在于,所述代理网关包括:
第一接收模块,用于从控制器接收可信资产列表以及默认访问控制策略;其中,所述可信资产列表包括终端的网络协议IP地址、内网模式下的可访问端口列表、用户标识;所述默认访问控制策略为仅允许所述用户标识对应的所述终端上的第一用户访问互联网的第一访问控制策略,或者,仅允许所述终端上的所述第一用户访问内网的第二访问控制策略;
第二接收模块,用于从所述终端接收第一访问请求,所述第一访问请求中携带互联网的应用的端口和所述用户标识;或者,从所述终端接收第二访问请求,所述第二访问请求中携带内网的应用的端口和所述用户标识;
处理模块,用于根据所述第二接收模块接收的用户标识查找到所述第一访问控制策略,基于所述第一访问控制策略确定转发所述第一访问请求;或者,根据所述第二接收模块接收的用户标识查找到所述第二访问控制策略和所述可信资产列表,并根据所述第二访问控制策略和所述可信资产列表确定转发所述第二访问请求。
12.一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行权利要求1-9中任一项的所述的方法。
13.一种计算设备,包括存储器和处理器,所述存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现权利要求1-9中任一项的所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211244545.8A CN117914505A (zh) | 2022-10-12 | 2022-10-12 | 控制终端安全访问互联网和内网的方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211244545.8A CN117914505A (zh) | 2022-10-12 | 2022-10-12 | 控制终端安全访问互联网和内网的方法及设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117914505A true CN117914505A (zh) | 2024-04-19 |
Family
ID=90682504
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211244545.8A Pending CN117914505A (zh) | 2022-10-12 | 2022-10-12 | 控制终端安全访问互联网和内网的方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117914505A (zh) |
-
2022
- 2022-10-12 CN CN202211244545.8A patent/CN117914505A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20230035336A1 (en) | Systems and methods for mitigating and/or preventing distributed denial-of-service attacks | |
| US10630725B2 (en) | Identity-based internet protocol networking | |
| US11349881B2 (en) | Security-on-demand architecture | |
| US9723019B1 (en) | Infected endpoint containment using aggregated security status information | |
| CN103875226B (zh) | 用于网络环境中主机发起的防火墙发现的系统和方法 | |
| US7886335B1 (en) | Reconciliation of multiple sets of network access control policies | |
| US8185933B1 (en) | Local caching of endpoint security information | |
| US20170366558A1 (en) | Verification method, apparatus, and system used for network application access | |
| US7792990B2 (en) | Remote client remediation | |
| WO2018098000A1 (en) | Network security based on device identifiers and network addresses | |
| US20140223178A1 (en) | Securing Communication over a Network Using User Identity Verification | |
| US20130219035A1 (en) | Dynamic group creation and traffic flow registration under a group in a group key infrastructure | |
| US9154475B1 (en) | User authentication and authorization in distributed security system | |
| US11595385B2 (en) | Secure controlled access to protected resources | |
| US20040158643A1 (en) | Network control method and equipment | |
| CN112771833B (zh) | 标识符的分配方法、记录方法、设备、客户端节点、服务器和介质 | |
| CN108418776B (zh) | 用于提供安全业务的方法和设备 | |
| CN106411852B (zh) | 一种分布式终端准入控制方法和装置 | |
| JP2022539435A (ja) | 端末のネットワーク接続を認証及び制御するためのシステム及びそれに関する方法 | |
| US20020078215A1 (en) | Community access control in a multi-community node | |
| EP1836559B1 (en) | Apparatus and method for traversing gateway device using a plurality of batons | |
| CN113852697B (zh) | 一种sdp终端流量代理方法、装置、设备及存储介质 | |
| CN117914505A (zh) | 控制终端安全访问互联网和内网的方法及设备 | |
| KR102545160B1 (ko) | 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 | |
| WO2022219551A1 (en) | Computer-implemented methods and systems for establishing and/or controlling network connectivity |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication |