一种应用访问方法及装置与流程

本申请涉及通信，尤其涉及一种应用访问方法及装置。

背景技术：

1、随着云计算、物联网、移动办公等互联网技术的兴起，企业资源已不再局限于企业内部，企业员工随时随地接入企业内网的需求越来越普遍，传统的网络防护边界变得越来越模糊，传统的基于网络边界的安全防护手段越来越难以满足需求。为了解决以上问题，提供了一种软件定义边界(software defined perimeter，sdp)零信任功能，该功能中，网络设备作为sdp网关与sdp控制器联动，对访问零信任网络中指定应用或api的用户进行身份认证和鉴权，以实现对用户身份和访问权限的集中控制，防止非法用户访问。

2、基于零信任网络中资源进行访问时，终端设备可以基于内置的零信任客户端通过ssl vpn隧道实现零信任网络中的非web应用的访问，也可以基于零信任客户端来访问零信任网络中的web应用。而在基于零信任客户端访问web应用时，用户通过零信任客户端打开web浏览器，该web浏览器显示可访问的web应用的应用导航页面，用户基于该应用导航界面选择所要访问的web应用，以触发web访问请求，此时该web访问请求的业务报文会发送到零信任网络中的sdp网关中，该sdp网关会对用户的身份进行验证，在验证通过后，sdp网关作为web代理，基于自身的地址向web应用的资源服务器发送该业务报文。也就是说，当较多用户在零信任客户端模式下访问web应用时，sdp网关转发的各业务报文的源ip地址均是sdp网关的，这样就会存在如下问题：当零信任网络中配置有审计、日志分析功能时，在基于web应用访问过程中产生的日志进行风险识别发现存在安全风险时，就无法获知是哪个用户访问了资源服务器上的应用而导致的无法溯源的问题。

技术实现思路

1、有鉴于此，本申请提供一种应用访问方法及装置，用以在基于零信任客户端访问web应用时，解决因转发到web应用的资源服务器上的报文具有相同的源ip地址而导致的风险识别时无法溯源的问题。

2、具体地，本申请是通过如下技术方案实现的：

3、根据本申请的第一方面，提供一种应用访问方法，应用于零信任网络中的网关设备中，所述方法，包括：

4、接收终端设备通过零信任客户端发送的用于访问web应用的第一业务报文；

5、根据所述第一业务报文中的用户token，获取所述用户token对应的虚拟ip地址，所述虚拟ip地址为零信任网络中的控制器在所述终端设备上线成功后为所述终端设备分配并下发给所述网关设备的；

6、将所述第一业务报文中的源ip地址替换为所述虚拟ip地址，将所述第一业务报文的目的ip地址替换为所述web应用的资源服务器的ip地址，得到第二业务报文；

7、将所述第二业务报文转发给所述web应用的资源服务器。

8、根据本申请的第二方面，提供一种应用访问装置，应用于零信任网络中的网关设备中，所述装置，包括：

9、接收单元，用于接收终端设备通过零信任客户端发送的用于访问web应用的第一业务报文；

10、获取单元，用于根据所述第一业务报文中的用户token，获取所述用户token对应的虚拟ip地址，所述虚拟ip地址为零信任网络中的控制器在所述终端设备上线成功后为所述终端设备分配并下发给所述网关设备的；

11、替换单元，用于将所述第一业务报文中的源ip地址替换为所述虚拟ip地址，将所述第一业务报文的目的ip地址替换为所述web应用的资源服务器的ip地址，得到第二业务报文；

12、发送单元，用于将所述第二业务报文转发给所述web应用的资源服务器。

13、根据本申请的第三方面，提供一种电子设备，包括处理器和机器可读存储介质，机器可读存储介质存储有能够被处理器执行的计算机程序，处理器被计算机程序促使执行本申请实施例第一方面所提供的方法。

14、根据本申请的第四方面，提供一种机器可读存储介质，机器可读存储介质存储有计算机程序，在被处理器调用和执行时，计算机程序促使处理器执行本申请实施例第一方面所提供的方法。

15、本申请实施例的有益效果：

16、本申请实施例提供的应用访问方法及装置中，零信任网络中的网关设备接收终端设备通过零信任客户端发送的用于访问web应用的第一业务报文；根据所述第一业务报文中的用户token，获取所述用户token对应的虚拟ip地址，将所述第一业务报文的目的ip地址替换为所述web应用的资源服务器的ip地址，所述虚拟ip地址为零信任网络中的控制器在所述终端设备上线成功后为所述终端设备分配并下发给所述网关设备的；将所述第一业务报文中的源ip地址替换为所述虚拟ip地址，得到第二业务报文；将所述第二业务报文转发给所述web应用的资源服务器。由此，在基于零信任客户端实现访问web应用的基础上，由于到达资源服务器的业务报文的源ip地址为终端设备所属用户的唯一用户token对应的虚拟ip地址，且不同的用户token对应的虚拟ip地址不同，因此，也就解决了到达资源服务器的报文因源ip地址为网关设备的ip地址而导致的风险识别时无法溯源的问题。

技术特征：

1.一种应用访问方法，其特征在于，应用于零信任网络中的网关设备中，所述方法，包括：

2.根据权利要求1所述的方法，其特征在于，还包括：

3.根据权利要求2所述的方法，其特征在于，在将所述第二业务报文转发给所述web应用的资源服务器之后，所述方法，还包括：

4.根据权利要求3所述的方法，其特征在于，将所述第一响应报文中的目的ip地址替换为所述第一业务报文中的源ip地址，包括：

5.根据权利要求4所述的方法，其特征在于，所述第一会话对应第一会话表项，所述第一会话表项包括终端设备的ip地址和网关设备的ip地址之间的对应关系；所述第二会话对应第二会话表项，所述第二会话表项包括所述虚拟ip地址与所述资源服务器的ip地址；

6.一种应用访问装置，其特征在于，应用于零信任网络中的网关设备中，所述装置，包括：

7.根据权利要求6所述的装置，其特征在于，

8.根据权利要求7所述的装置，其特征在于，还包括：

9.根据权利要求8所述的装置，其特征在于，

10.根据权利要求9所述的装置，其特征在于，所述第一会话对应第一会话表项，所述第一会话表项包括终端设备的ip地址和网关设备的ip地址之间的对应关系；所述第二会话对应第二会话表项，所述第二会话表项包括所述虚拟ip地址与所述资源服务器的ip地址；

技术总结
本申请提供了一种应用访问方法及装置，涉及通信技术领域。该方法应用于零信任网络中的网关设备中，接收终端设备通过零信任客户端发送的用于访问web应用的第一业务报文；根据所述第一业务报文中的用户token，获取所述用户token对应的虚拟IP地址，所述虚拟IP地址为零信任网络中的控制器在所述终端设备上线成功后为所述终端设备分配并下发给所述网关设备的；将所述第一业务报文中的源IP地址替换为所述虚拟IP地址，得到第二业务报文；将所述第二业务报文转发给所述web应用的资源服务器。

技术研发人员：王国利
受保护的技术使用者：新华三信息安全技术有限公司
技术研发日：
技术公布日：2024/12/30