一种基于授权策略的安全通讯方法及装置与流程

1.本技术涉及数据通信领域，具体而言，涉及一种基于授权策略的安全通讯方法及装置。


背景技术：

2.目前，对于企业的内部数据资源获取多是通过vpn（virtual pravate network，虚拟专用网络）来保证内部数据资源的安全的。vpn是基于网络边界概念的安全策略的一部分，可信的企业员工在网络内部，不可信的企业员工在网络外部。但是，这种模型不再适用于现代商业环境，因为在现代商业环境中，移动员工可以从各种内部或外部位置访问网络，并且企业内部数据资源不位于企业数据中心，而是位于多云环境中。
3.现有技术中，vpn无法解决内部攻击。如果攻击者窃取了员工的vpn凭据，就可以自由访问网络。另外，随着时间的推移，vpn变得越来越复杂且难以管理。


技术实现要素：

4.有鉴于此，本技术的目的在于提供一种基于授权策略的安全通讯方法及装置，用于解决现有技术中移动设备对内部资源进行访问的管控难度大的问题。
5.第一方面，本技术实施例提供了一种基于授权策略的安全通讯方法，应用于云路由系统，该云路由系统包括移动端代理、云服务中心和内部接入网关，所述移动端代理与云服务中心之间、以及所述云服务中心与内部接入网关之间建立有双层加密通道，该方法包括：当移动端向云服务中心发送数据获取请求时，移动端代理拦截所述数据获取请求；所述数据获取请求中包括所述移动端的用户标识和目标资源；移动端代理从云服务中心获取用户标识对应的第一管控策略，并根据所述第一管控策略确认所述数据获取请求中的目标资源是否可访问；所述第一管控策略包括用户标识以及该用户标识对应的可访问资源；若所述数据获取请求中的目标资源可访问，则移动端代理通过双层加密通道将所述数据获取请求发送至云服务中心；云服务中心通过双层加密通道将所述数据获取请求转发至内部接入网关；内部接入网关在接收到所述数据获取请求后，将所述数据获取请求解密后发送给该网关代理；所述网关代理根据所述解密后的数据获取请求携带的用户标识，并匹配该用户标识对应的第二管控策略；所述第二管控策略包括用户标识以及 该用户标识对应的可访问资源；所述网关代理根据所述第二管控策略确认所述移动端是否可访问所述目标资源；若所述移动端可访问所述目标资源，则网关代理将所述数据获取请求发送至目标资源。
6.在一些实施例中，在移动端代理从云服务中心获取用户标识对应的第一管控策
略，并根据所述第一管控策略确认所述数据获取请求中的目标资源是否可访问，还包括：若所述数据获取请求中的目标资源不可访问，则移动端代理将所述数据获取请求转发给移动端本地网络进行处理。在一些实施例中，所述网关代理包括网关总代理和网关子代理；所述网关代理根据所述第二管控策略确认所述移动端是否可访问所述目标资源，包括：所述移动端对应的网关子代理接收所述内部接入网关发送的解密后的所述数据获取请求；所述网关子代理根据所述数据获取所述第二管控策略，确认所述目标资源是否在所述用户标识对应的可访问资源中；若所述目标资源在所述用户标识对应的可访问资源中，网关子代理将所述数据获取请求发送至网关总代理；所述网关总代理确认所述目标资源是否在所述第二管控策略对应的预设白名单中；若所述目标资源在所述第二管控策略对应的预设白名单中，则所述网关总代理确认所述目标资源是否在所述第二管控策略对应的预设黑名单中；若所述目标资源不在所述第二管控策略对应的预设黑名单中，则所述网关总代理确认所述移动端可访问所述目标资源。
7.在一些实施例中，在所述网关总代理确认所述目标资源是否在所述第二管控策略对应的预设白名单中之后，还包括：若所述目标资源不在所述第二管控策略对应的预设白名单中，则所述网关总代理终止所述数据获取请求。
8.在一些实施例中，在所述网关总代理确认所述目标资源是否在所述第二管控策略对应的预设黑名单中之后，还包括：若所述目标资源在所述第二管控策略对应的预设黑名单中，则所述网关总代理终止所述数据获取请求。
9.第二方面，本技术实施例还提供了一种基于授权策略的安全通讯装置，应用于云路由系统，该云路由系统包括移动端代理、云服务中心和内部接入网关，所述移动端代理与云服务中心之间、以及所述云服务中心与内部接入网关之间建立有双层加密通道，该装置包括：拦截模块，用于当移动端向云服务中心发送数据获取请求时，移动端代理拦截所述数据获取请求；所述数据获取请求中包括所述移动端的用户标识和目标资源；第一判断模块，用于移动端代理从云服务中心获取用户标识对应的第一管控策略，并根据所述第一管控策略确认所述数据获取请求中的目标资源是否可访问；所述第一管控策略包括用户标识以及该用户标识对应的可访问资源；若所述数据获取请求中的目标资源可访问，则移动端代理通过双层加密通道将所述数据获取请求发送至云服务中心；转发模块，用于云服务中心通过双层加密通道将所述数据获取请求转发至内部接入网关；发送模块，用于内部接入网关在接收到所述数据获取请求后，将所述数据获取请求解密后发送给该网关代理；
匹配模块，用于所述网关代理根据所述解密后的数据获取请求携带的用户标识，并匹配该用户标识对应的第二管控策略；所述第二管控策略包括用户标识以及该用户标识对应的可访问资源；第二判断模块，用于所述网关代理根据所述第二管控策略确认所述移动端是否可访问所述目标资源；若所述移动端可访问所述目标资源，则网关代理将所述数据获取请求发送至目标资源。
10.在一些实施例中，所述第一判断模块，还包括：退回单元，用于若所述数据获取请求中的目标资源不可访问，则移动端代理将所述数据获取请求转发给移动端本地网络进行处理。
11.在一些实施例中，所述第二判断模块，包括：接收单元，用于所述移动端对应的网关子代理接收所述内部接入网关发送的解密后的所述数据获取请求；第一确认单元，用于所述网关子代理根据所述数据获取请求携带的用户标识匹配该用户标识对应的所述第二管控策略，确认所述目标资源是否在所述用户标识对应的可访问资源中；若所述目标资源在所述用户标识对应的可访问资源中，网关子代理将所述数据获取请求发送至网关总代理；第二确认单元，用于所述网关总代理确认所述目标资源是否在所述第二管控策略对应的预设白名单中；第三确认单元，用于若所述目标资源在所述第二管控策略对应的预设白名单中，则所述网关总代理确认所述目标资源是否在所述第二管控策略对应的预设黑名单中；第四确认单元，用于若所述目标资源不在所述第二管控策略对应的预设黑名单中，则所述网关总代理确认所述移动端可访问所述目标资源。
12.第三方面，本技术实施例还提供了一种计算机设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述第一方面及其实施例中任一所述的方法的步骤。
13.第四方面，本技术实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器运行时执行上述第一方面及其实施例中任一所述的方法的步骤。
14.本技术实施例提出的一种基于授权策略的安全通讯方法，通过结合vpn的安全策略和零信任的安全概念，在移动端向云服务中心发送数据获取请求时，移动端代理将数据获取请求进行拦截，在确认该移动端的用户标识在云路由系统的准入设备标识列表中后，再通过双层加密通道将该数据获取请求发送至云路由中心，云路由中心用过双层加密通道将该数据获取请求转发至内部接入网关，内部接入网关在对该数据获取请求进行解密后，将解密后的数据获取请求下发给网关代理进行基于管控策略的访问权限确认，在确认数据获取请求所要获取的目标资源对移动端用户是可访问的之后，才将数据获取请求发送至目标资源。本技术实施例所提出的基于授权策略的安全通讯方法加强了移动设备访问内部资源的权限管控，提高了内部资源的安全性。
15.为使本技术的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。
附图说明
16.为了更清楚地说明本技术实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
17.图1为本技术实施例提供的一种云路由系统的结构示意图；图2为本技术实施例提供的一种基于授权策略的安全通讯方法的流程示意图；图3为本技术实施例提供的又一种基于授权策略的安全通讯方法的流程示意图；图4为本技术实施例提供的一种基于授权策略的安全通讯装置的结构示意图；图5为本技术实施例提供的一种计算机设备的结构示意图。
具体实施方式
18.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本技术实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本技术的实施例的详细描述并非旨在限制要求保护的本技术的范围，而是仅仅表示本技术的选定实施例。基于本技术的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本技术保护的范围。
19.零信任是一个安全概念，中心思想是企业不应自动信任内部或外部的任何人、事或物，应在授权前对任何试图接入企业系统的人、事或物进行验证。零信任不是一个全新的概念，零信任框架已经存在了许多年，并已产生相当多的利益。目前在sdp（software defined perimeter，软件定义边界）中被广泛使用。
20.与vpn不同的是，vpn是以网络为中心的安全方式，零信任是以身份为中心的安全方式。
21.那么，将vpn与零信任相结合，来解决vpn中的授权管理困难的问题，就成为了改善vpn对于移动设备访问内部资源时的授权管控的一个新方式。
22.本技术实施例提供了一种基于授权策略的安全通讯方法，应用于云路由系统，如图1所示，该云路由系统包括移动端代理、云服务中心和内部接入网关，上述移动端代理与云服务中心之间、以及上述云服务中心与内部接入网关之间建立有双层加密通道，如图2所示，该方法包括以下步骤：步骤s101、当移动端向云服务中心发送数据获取请求时，移动端代理拦截上述数据获取请求；上述数据获取请求中包括上述移动端的用户标识和目标资源；步骤s102、移动端代理从云服务中心获取用户标识对应的第一管控策略，并根据上述第一管控策略确认上述数据获取请求中的目标资源是否可访问；上述第一管控策略包括用户标识以及该用户标识对应的可访问资源；步骤s103、若上述数据获取请求中的目标资源可访问，则移动端代理通过双层加密通道将上述数据获取请求发送至云服务中心；步骤s104、云服务中心通过双层加密通道将上述数据获取请求转发至内部接入网
关；步骤s105、内部接入网关在接收到上述数据获取请求后，将上述数据获取请求解密后发送给该网关代理；步骤s106、上述网关代理根据上述解密后的数据获取请求携带的用户标识，并匹配该用户标识对应的第二管控策略；上述第二管控策略包括用户标识以及 该用户标识对应的可访问资源；步骤s107、上述网关代理根据上述第二管控策略确认上述移动端是否可访问上述目标资源；步骤s108、若上述移动端可访问上述目标资源，则网关代理将上述数据获取请求发送至目标资源。
23.具体地，上述云路由系统是一种vpn系统，该系统基于vpn的安全策略，通过在移动端代理与云服务中心之间、以及云服务中心与内部接入网关之间建立双层加密通道来保证数据传输的安全，该双层加密通道中第一层传输的数据是云路由中心可见的用户标识等非机密数据，第二层传输的数据是云路由中心不可见的数据获取请求所携带的目标资源的地址，以及目标资源向移动端提供的内部数据等机密数据。
24.每台移动端都会分配一个移动端代理，该移动端代理在移动端上是不可修改的。移动端在向云服务中心发送数据获取请求时，移动端代理会先将该数据获取请求进行拦截，进行移动端的访问权限的核验，也就是移动端代理通过向云服务中心获取用户标识对应的第一管控策略，查询上述移动端所要访问的目标资源是否在该第一管控策略中该用户可访问的资源中。
25.当移动端代理确认该移动端具备访问权限后，移动端代理将拦截的数据获取请求通过双层加密通道发送至云服务中心，云服务中心通过双层加密通道将该数据获取请求转发给内部接入网关。
26.内部接入网关在接收到数据获取请求后，对该数据获取请求进行解密，得到数据获取请求中的目标资源的地址，并将解密后的数据获取请求下发给网关代理，网关代理遵循零信任的安全概念，根据系统管理员预先设定的第二管控策略和数据获取请求所携带的用户标识，对上述移动端是否具有目标资源的访问权限进行核验。第二管控策略和第一管控策略的内容是相同的，但由于网管代理遵循零信任的安全概念，对于移动端代理的判断不信任，因此对上述移动端的访问权限再次进行确认。
27.网关代理在确认上述移动端具备目标资源的访问权限后，将数据获取请求发送至目标资源，目标资源就可通过移动端代理与云服务中心之间、以及云服务中心与内部接入网关之间的双层加密通道为移动端提供相应的数据服务。
28.在一些实施例中，在上述步骤s102之后，还包括：步骤1021、若上述数据获取请求中的目标资源不可访问，则移动端代理将上述数据获取请求退回给移动端。
29.具体地，在移动端代理确认到移动端的用户标识不在预设准入用户标识列表中，也就是，移动端不具备访问权限时，移动端代理会将数据获取请求回退给移动端，由移动端本地网络进行处理。
30.在一些实施例中，上述网关代理包括网关总代理和网关子代理，步骤s107，如图3
所示，包括：步骤s201、上述移动端对应的网关子代理接收上述内部接入网关发送的解密后的上述数据获取请求；步骤s202、上述网关子代理根据上述第二管控策略，确认上述目标资源是否在上述用户标识对应的可访问资源中；步骤s203、若上述目标资源在上述用户标识对应的可访问资源中，网关子代理将上述数据获取请求发送至网关总代理；步骤s204、上述网关总代理确认上述目标资源是否在上述第二管控策略对应的预设白名单中；步骤s205、若上述目标资源在上述第二管控策略对应的预设白名单中，则上述网关总代理确认上述目标资源是否在上述第二管控策略对应的预设黑名单中；步骤s206、若上述目标资源不在上述第二管控策略对应的预设黑名单中，则上述网关总代理确认上述移动端可访问上述目标资源。
31.具体地，内部接入网关在接收到数据获取请求后，会建立一个移动端对应的网关子代理。该网关子代理在接受到内部接入网关发送的解密后的数据获取请求后，网关子代理确认该数据获取请求携带的用户标识对应的第二管控策略中是否有数据获取请求中所要访问的目标资源的访问权限。
32.当网关子代理确认上述第二管控策略中具有上述目标资源的访问权限时，网关子代理将数据获取请求发送给网关总代理，该网关总代理在内部接入网关中全局唯一。
33.网关总代理查询上述第二管控策略下的预设白名单中是否存在目标资源，如果预设白名单中存在目标资源，则网关总代理再查询上述第二管控策略下的预设黑名单中是否存在目标资源，如果预设黑名单中未存在目标资源，则网关总代理才能确认移动端具有目标资源的访问权限。
34.在一些实施例中，在上述步骤s204之后，还包括：步骤s207、若上述目标资源不在上述第二管控策略对应的预设白名单中，则上述网关总代理终止上述数据获取请求。
35.具体地，当网关总代理在查询上述第二管控策略对应的预设白名单后，未查询到目标资源，则说明上述移动端不具有目标资源的访问权限，立即丢弃上述数据获取请求，结束该处理进程。
36.在一些实施例中，在上述步骤s205之后，还包括：若上述目标资源在上述第二管控策略对应的预设黑名单中，则上述网关总代理终止上述数据获取请求。
37.具体地，当网关总代理在查询上述第二管控策略对应的预设黑名单后，查询到目标资源，则说明上述移动端不具有目标资源的访问权限，立即丢弃上述数据获取请求，结束该处理进程。
38.本技术实施例还提供了一种基于授权策略的安全通讯装置，应用于云路由系统，该云路由系统包括移动端代理、云服务中心和内部接入网关，上述移动端代理与云服务中心之间、以及上述云服务中心与内部接入网关之间建立有双层加密通道，如图4所示，该装置包括：
拦截模块30，用于当移动端向云服务中心发送数据获取请求时，移动端代理拦截上述数据获取请求；上述数据获取请求中包括上述移动端的用户标识和目标资源；第一判断模块31，用于移动端代理从云服务中心获取用户标识对应的第一管控策略，并根据上述第一管控策略确认上述数据获取请求中的目标资源是否可访问；上述第一管控策略包括用户标识以及该用户标识对应的可访问资源；若上述数据获取请求中的目标资源可访问，则移动端代理通过双层加密通道将上述数据获取请求发送至云服务中心；转发模块32，用于云服务中心通过双层加密通道将上述数据获取请求转发至内部接入网关；发送模块33，用于内部接入网关在接收到上述数据获取请求后，将上述数据获取请求解密后发送给该网关代理；匹配模块34，用于上述网关代理根据上述解密后的数据获取请求携带的用户标识，并匹配该用户标识对应的第二管控策略；上述第二管控策略包括用户标识以及 该用户标识对应的可访问资源；第二判断模块35，用于上述网关代理根据上述第二管控策略确认上述移动端是否可访问上述目标资源；若上述移动端可访问上述目标资源，则网关代理将上述数据获取请求发送至目标资源。
39.在一些实施例中，上述第一判断模块31，还包括：退回单元311，用于若上述数据获取请求中的目标资源不可访问，则移动端代理将上述数据获取请求转发给移动端本地网络进行处理。
40.在一些实施例中，上述第二判断模块35，包括：接收单元351，用于上述移动端对应的网关子代理接收上述内部接入网关发送的解密后的上述数据获取请求；第一确认单元352，用于上述网关子代理根据上述数据获取请求携带的用户标识匹配该用户标识对应的上述第二管控策略，确认上述目标资源是否在上述用户标识对应的可访问资源中；若上述目标资源在上述用户标识对应的可访问资源中，网关子代理将上述数据获取请求发送至网关总代理；第二确认单元353，用于上述网关总代理确认上述目标资源是否在上述第二管控策略对应的预设白名单中；第三确认单元354，用于若上述目标资源在上述第二管控策略对应的预设白名单中，则上述网关总代理确认上述目标资源是否在上述第二管控策略对应的预设黑名单中；第四确认单元355，用于若上述目标资源不在上述第二管控策略对应的预设黑名单中，则上述网关总代理确认上述移动端可访问上述目标资源。
41.对应于图1中的基于授权策略的安全通讯方法，本技术实施例还提供了一种计算机设备400，如图5所示，该设备包括存储器401、处理器402及存储在该存储器401上并可在该处理器402上运行的计算机程序，其中，上述处理器402执行上述计算机程序时实现上述基于授权策略的安全通讯方法。
42.具体地，上述存储器401和处理器402能够为通用的存储器和处理器，这里不做具体限定，当处理器402运行存储器401存储的计算机程序时，能够执行上述基于授权策略的安全通讯方法，解决了现有技术中移动设备对内部资源进行访问的管控难度大的问题。
43.对应于图2中的基于授权策略的安全通讯方法，本技术实施例还提供了一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序，该计算机程序被处理器运行时执行上述基于授权策略的安全通讯方法的步骤。
44.具体地，该存储介质能够为通用的存储介质，如移动磁盘、硬盘等，该存储介质上的计算机程序被运行时，能够执行上述基于授权策略的安全通讯方法，解决了现有技术中移动设备对内部资源进行访问的管控难度大的问题，本技术实施例提出的一种基于授权策略的安全通讯方法，通过结合vpn的安全策略和零信任的安全概念，在移动端向云服务中心发送数据获取请求时，移动端代理将数据获取请求进行拦截，在确认该移动端的用户标识在云路由系统的准入设备标识列表中后，再通过双层加密通道将该数据获取请求发送至云路由中心，云路由中心用过双层加密通道将该数据获取请求转发至内部接入网关，内部接入网关在对该数据获取请求进行解密后，将解密后的数据获取请求下发给网关代理进行基于管控策略的访问权限确认，在确认数据获取请求所要获取的目标资源对移动端用户是可访问的之后，才将数据获取请求发送至目标资源。本技术实施例所提出的基于授权策略的安全通讯方法加强了移动设备访问内部资源的权限管控，提高了内部资源的安全性。
45.在本技术所提供的实施例中，应该理解到，所揭露方法和装置，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
46.所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
47.另外，在本技术提供的实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。
48.所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器（rom，read-only memory）、随机存取存储器（ram，random access memory）、磁碟或者光盘等各种可以存储程序代码的介质。
49.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释，此外，术语“第一”、“第二”、“第三”等仅用于区分描述，而不能理解为指示或暗示相对重要性。
50.最后应说明的是：以上所述实施例，仅为本技术的具体实施方式，用以说明本技术的技术方案，而非对其限制，本技术的保护范围并不局限于此，尽管参照前述实施例对本技术进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员
在本技术揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本技术实施例技术方案的精神和范围。都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应所述以权利要求的保护范围为准。