技术特征:
1.一种基于授权策略的安全通讯方法,其特征在于,应用于云路由系统,该云路由系统包括移动端代理、云服务中心和内部接入网关,所述移动端代理与云服务中心之间、以及所述云服务中心与内部接入网关之间建立有双层加密通道,该方法包括:当移动端向云服务中心发送数据获取请求时,移动端代理拦截所述数据获取请求;所述数据获取请求中包括所述移动端的用户标识和目标资源;移动端代理从云服务中心获取用户标识对应的第一管控策略,并根据所述第一管控策略确认所述数据获取请求中的目标资源是否可访问;所述第一管控策略包括用户标识以及该用户标识对应的可访问资源;若所述数据获取请求中的目标资源可访问,则移动端代理通过双层加密通道将所述数据获取请求发送至云服务中心;云服务中心通过双层加密通道将所述数据获取请求转发至内部接入网关;内部接入网关在接收到所述数据获取请求后,将所述数据获取请求解密后发送给网关代理;所述网关代理根据所述解密后的数据获取请求携带的用户标识,并匹配该用户标识对应的第二管控策略;所述第二管控策略包括用户标识以及 该用户标识对应的可访问资源;所述网关代理根据所述第二管控策略确认所述移动端是否可访问所述目标资源;若所述移动端可访问所述目标资源,则网关代理将所述数据获取请求发送至目标资源。2.如权利要求1所述的方法,其特征在于,在移动端代理从云服务中心获取用户标识对应的第一管控策略,并根据所述第一管控策略确认所述数据获取请求中的目标资源是否可访问之后,还包括:若所述数据获取请求中的目标资源不可访问,则移动端代理将所述数据获取请求转发给移动端本地网络进行处理。3.如权利要求1所述的方法,其特征在于,所述网关代理包括网关总代理和网关子代理;所述网关代理根据所述第二管控策略确认所述移动端是否可访问所述目标资源,包括:所述移动端对应的网关子代理接收所述内部接入网关发送的解密后的所述数据获取请求;所述网关子代理根据所述数据获取所述第二管控策略,确认所述目标资源是否在所述用户标识对应的可访问资源中;若所述目标资源在所述用户标识对应的可访问资源中,网关子代理将所述数据获取请求发送至网关总代理;所述网关总代理确认所述目标资源是否在所述第二管控策略对应的预设白名单中;若所述目标资源在所述第二管控策略对应的预设白名单中,则所述网关总代理确认所述目标资源是否在所述第二管控策略对应的预设黑名单中;若所述目标资源不在所述第二管控策略对应的预设黑名单中,则所述网关总代理确认所述移动端可访问所述目标资源。4.如权利要求3所述的方法,其特征在于,在所述网关总代理确认所述目标资源是否在所述第二管控策略对应的预设白名单中之后,还包括:若所述目标资源不在所述第二管控策略对应的预设白名单中,则所述网关总代理终止
所述数据获取请求。5.如权利要求3所述的方法,其特征在于,在所述网关总代理确认所述目标资源是否在所述第二管控策略对应的预设黑名单中之后,还包括:若所述目标资源在所述第二管控策略对应的预设黑名单中,则所述网关总代理终止所述数据获取请求。6.一种基于授权策略的安全通讯装置,其特征在于,应用于云路由系统,该云路由系统包括移动端代理、云服务中心和内部接入网关,所述移动端代理与云服务中心之间、以及所述云服务中心与内部接入网关之间建立有双层加密通道,该装置包括:拦截模块,用于当移动端向云服务中心发送数据获取请求时,移动端代理拦截所述数据获取请求;所述数据获取请求中包括所述移动端的用户标识和目标资源;第一判断模块,用于移动端代理从云服务中心获取用户标识对应的第一管控策略,并根据所述第一管控策略确认所述数据获取请求中的目标资源是否可访问;所述第一管控策略包括用户标识以及该用户标识对应的可访问资源;若所述数据获取请求中的目标资源可访问,则移动端代理通过双层加密通道将所述数据获取请求发送至云服务中心;转发模块,用于云服务中心通过双层加密通道将所述数据获取请求转发至内部接入网关;发送模块,用于内部接入网关在接收到所述数据获取请求后,将所述数据获取请求解密后发送给网关代理;匹配模块,用于所述网关代理根据所述解密后的数据获取请求携带的用户标识,并匹配该用户标识对应的第二管控策略;所述第二管控策略包括用户标识以及 该用户标识对应的可访问资源;第二判断模块,用于所述网关代理根据所述第二管控策略确认所述移动端是否可访问所述目标资源;若所述移动端可访问所述目标资源,则网关代理将所述数据获取请求发送至目标资源。7.如权利要求6所述的装置,其特征在于,所述第一判断模块,还包括:退回单元,用于若所述数据获取请求中的目标资源不可访问则移动端代理将所述数据获取请求转发给移动端本地网络进行处理。8.如权利要求6所述的装置,其特征在于,所述第二判断模块,包括:接收单元,用于所述移动端对应的网关子代理接收所述内部接入网关发送的解密后的所述数据获取请求;第一确认单元,用于所述网关子代理根据所述数据获取请求携带的用户标识匹配该用户标识对应的所述第二管控策略,确认所述目标资源是否在所述用户标识对应的可访问资源中;若所述目标资源在所述用户标识对应的可访问资源中,网关子代理将所述数据获取请求发送至网关总代理;第二确认单元,用于所述网关总代理确认所述目标资源是否在所述第二管控策略对应的预设白名单中;第三确认单元,用于若所述目标资源在所述第二管控策略对应的预设白名单中,则所述网关总代理确认所述目标资源是否在所述第二管控策略对应的预设黑名单中;第四确认单元,用于若所述目标资源不在所述第二管控策略对应的预设黑名单中,则
所述网关总代理确认所述移动端可访问所述目标资源。9.一种计算机设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现上述权利要求1-5中任一项所述的方法的步骤。10.一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,其特征在于,所述计算机程序被处理器运行时执行上述权利要求1-5中任一项所述的方法的步骤。
技术总结
本申请提供了一种基于授权策略的安全通讯方法及装置,该方法包括:移动端代理拦截移动端向云服务中心发送的数据获取请求;数据获取请求中包括移动端的用户标识和目标资源;移动端代理从云服务中心获取用户标识对应的第一管控策略,并根据第一管控策略确认数据获取请求中的目标资源是否可访问;若数据获取请求中的目标资源可访问,则移动端代理通过双层加密通道经由云服务中心将数据获取请求转发至内部接入网关;内部接入网关将数据获取请求解密后发送给该网关代理;网关代理根据请求携带的用户标识,并匹配该用户标识对应的第二管控策略;网关代理根据第二管控策略确认移动端可访问目标资源后,网关代理将数据获取请求发送至目标资源。至目标资源。至目标资源。
技术研发人员:赵伟
受保护的技术使用者:北京辰尧科技有限公司
技术研发日:2022.09.01
技术公布日:2022/9/30