用于实现安全接入的方法、装置和系统制造方法及图纸

本公开提供一种用于实现安全接入的方法、装置和系统，涉及信息安全领域。其中控制装置在对用户终端发送的认证信息认证成功时，指示接入装置与用户终端建立VPN隧道；向接入装置发送与用户权限相对应的授权信息，以便接入装置为所述用户终端分配虚拟网络标签和NAT地址；利用用户权限编排访问控制策略并发送给接入装置，以便接入装置进行相应的访问控制策略配置，通过对用户终端的业务数据流进行审计，以便对业务数据流进行相应的安全接入控制。本公开通过认证与访问控制策略的结合，实现对用户细粒度的访问权限分配与灵活变更，从而将安全控制机制从底层设备处理层面独立出来，解决在同一网络基础设施上支持彼此隔离的多VPN服务的问题。

【技术实现步骤摘要】
用于实现安全接入的方法、装置和系统
本公开涉及信息安全领域，特别涉及一种用于实现安全接入的方法、装置和系统。
技术介绍
在企业网向云中迁移的过程中，带来了用户远程接入云资源池的需求。目前VPN(VirtualPrivateNetwork，虚拟专用网)为远程接入的主要方法。通过VPN方式远程接入云资源池存在两方面的问题：首先，访问控制粒度不够细，对访问范围内的所有资源访问只能全允许或全拒绝，无法根据用户识别来设置不同的访问权限，也无法对用户行为进行追溯；此外，承载的每个虚拟私有云均需独立配套VPN设备，建设成本较高，且要求固定网络拓扑，难以灵活部署。
技术实现思路
本公开的实施例解决的一个技术问题是：无法实现用户细粒度的访问权限分配与灵活变更，无法解决在同一网络基础设施上支持彼此隔离的多VPN服务的问题。根据本公开的一个或多个实施例的一个方面，提供一种用于实现安全接入的方法，包括：在接收到用户终端发送的认证信息后，对认证信息进行认证；在认证成功的情况下，向接入装置发送认证成功信息，以便接入装置与用户终端建立虚拟专用网VPN隧道；向接入装置发送与用户权限相对应的授权信息，以便接入装置根据授权本文档来自技高网...

【技术保护点】
1.一种用于实现安全接入的方法，包括：在接收到用户终端发送的认证信息后，对所述认证信息进行认证；在认证成功的情况下，向接入装置发送认证成功信息，以便所述接入装置与所述用户终端建立虚拟专用网VPN隧道；向所述接入装置发送与用户权限相对应的授权信息，以便所述接入装置根据所述授权信息为所述用户终端分配虚拟网络标签和网络地址转换NAT地址；利用所述用户权限编排访问控制策略；将所述访问控制策略发送给所述接入装置，以便所述接入装置进行相应的访问控制策略配置；在接收到所述接入装置发送的告警信息后，将所述告警信息记录到日志数据库中，并对所述用户终端的业务数据流进行审计检测；根据审计检测结果对所述用户终端的业务...

【技术特征摘要】
1.一种用于实现安全接入的方法，包括：在接收到用户终端发送的认证信息后，对所述认证信息进行认证；在认证成功的情况下，向接入装置发送认证成功信息，以便所述接入装置与所述用户终端建立虚拟专用网VPN隧道；向所述接入装置发送与用户权限相对应的授权信息，以便所述接入装置根据所述授权信息为所述用户终端分配虚拟网络标签和网络地址转换NAT地址；利用所述用户权限编排访问控制策略；将所述访问控制策略发送给所述接入装置，以便所述接入装置进行相应的访问控制策略配置；在接收到所述接入装置发送的告警信息后，将所述告警信息记录到日志数据库中，并对所述用户终端的业务数据流进行审计检测；根据审计检测结果对所述用户终端的业务数据流进行相应的安全接入控制。2.根据权利要求1所述的方法，其中：若审计检测结果不满足访问控制策略，则向所述接入装置发送拒绝接入信息，以便所述接入装置断开与所述用户终端的VPN隧道、删除相应的访问控制策略。3.根据权利要求2所述的方法，还包括：若审计检测结果满足访问控制策略，则向所述接入装置发送同意接入信息，以便所述接入装置为所述业务数据包的包头添加所述虚拟网络标签，并利用所述NAT地址进行转发。4.根据权利要求1所述的方法，还包括：在认证失败的情况下，向所述接入装置发送认证失败信息，以便所述接入装置断开与所述用户终端的连接。5.根据权利要求1-4中任一项所述的方法，还包括：在接收到所述接入装置发送的用户接入请求后，向所述用户终端发送认证要求信息，以便所述用户终端发送所述认证信息。6.一种用于实现安全接入的方法，包括：在接收到控制装置发送的认证成功信息后，与相应的用户终端建立VPN隧道；在接收到控制装置发送的授权信息后，根据所述授权信息为用户分配虚拟网络标签和NAT地址；在接收到控制装置发送的访问控制策略后，根据所述访问控制策略进行相应的访问控制策略配置；在接收到所述用户终端发送的业务数据包后，将所述业务数据包的源IP地址替换为授权的IP地址；利用所述访问控制策略对所述业务数据包进行检测；若检测结果不满足所述访问控制策略，则向所述控制装置发送告警信息，以便所述控制装置对所述用户终端的业务数据流进行审计检测，并根据审计检测结果对所述用户终端的业务数据流进行相应的安全接入控制。7.根据权利要求6所述的方法，其中：在接收到所述控制装置发送的拒绝接入信息后，断开与所述用户终端的虚拟专用网隧道连接、删除相应的访问控制策略。8.根据权利要求7所述的方法，其中：若接收到所述控制装置发送的同意接入信息，则为所述业务数据包的包头添加所述虚拟网络标签并进行转发。9.根据权利要求6所述的方法，还包括：在接收到控制装置发送的认证失败信息后，断开与所述用户终端的连接。10.根据权利要求6-9中任一项所述的方法，还包括：在接收到所述用户终端发送的用户接入请求后，将所述用户接入请求转发给所述控制装置。11.一种用于实现安全接入的控制装置，包括：认证模块，被配置为在接收到用户终端发送的认证信息后，对所述认证信息进行认证；在认证成功的情况下，向接入装置发送认证成功信息，以便所述接入装置与所述用户终端建立虚拟专用网VPN隧道；授权模块，被配置为向所述接入装置发送与用户权限相对应的授权信息，以便所述接入装置根据所述授权信息为所述用户终端分配虚拟网络标签和网络地址转换NAT地址；安全策略编排模块，被配置为利用所述用户权限编排访问控制策略，将所述访问控制策略发送给所述接入装置，以便所述接入装置进行相应的访问控制策略配置；审计模块，被配置为在接收到所述接入装...

【专利技术属性】
技术研发人员：樊宁，何明，沈军，金华敏，
申请(专利权)人：中国电信股份有限公司，
类型：发明
国别省市：北京,11