一种基于授权策略的安全通讯方法及装置制造方法及图纸

本申请提供了一种基于授权策略的安全通讯方法及装置，该方法包括：移动端代理拦截移动端向云服务中心发送的数据获取请求；数据获取请求中包括移动端的用户标识和目标资源；移动端代理从云服务中心获取用户标识对应的第一管控策略，并根据第一管控策略确认数据获取请求中的目标资源是否可访问；若数据获取请求中的目标资源可访问，则移动端代理通过双层加密通道经由云服务中心将数据获取请求转发至内部接入网关；内部接入网关将数据获取请求解密后发送给该网关代理；网关代理根据请求携带的用户标识，并匹配该用户标识对应的第二管控策略；网关代理根据第二管控策略确认移动端可访问目标资源后，网关代理将数据获取请求发送至目标资源。至目标资源。至目标资源。

【技术实现步骤摘要】
一种基于授权策略的安全通讯方法及装置


[0001]本申请涉及数据通信领域，具体而言，涉及一种基于授权策略的安全通讯方法及装置。

技术介绍

[0002]目前，对于企业的内部数据资源获取多是通过VPN（Virtual Pravate Network，虚拟专用网络）来保证内部数据资源的安全的。VPN是基于网络边界概念的安全策略的一部分，可信的企业员工在网络内部，不可信的企业员工在网络外部。但是，这种模型不再适用于现代商业环境，因为在现代商业环境中，移动员工可以从各种内部或外部位置访问网络，并且企业内部数据资源不位于企业数据中心，而是位于多云环境中。
[0003]现有技术中，VPN无法解决内部攻击。如果攻击者窃取了员工的VPN凭据，就可以自由访问网络。另外，随着时间的推移，VPN变得越来越复杂且难以管理。

技术实现思路

[0004]有鉴于此，本申请的目的在于提供一种基于授权策略的安全通讯方法及装置，用于解决现有技术中移动设备对内部资源进行访问的管控难度大的问题。
[0005]第一方面，本申请实施例提供了一种基于授权策略的安全通讯方法，应用于云路由系统，该云路由系统包括移动端代理、云服务中心和内部接入网关，所述移动端代理与云服务中心之间、以及所述云服务中心与内部接入网关之间建立有双层加密通道，该方法包括：当移动端向云服务中心发送数据获取请求时，移动端代理拦截所述数据获取请求；所述数据获取请求中包括所述移动端的用户标识和目标资源；移动端代理从云服务中心获取用户标识对应的第一管控策略，并根据所述第一管控策略确认所述数据获取请求中的目标资源是否可访问；所述第一管控策略包括用户标识以及该用户标识对应的可访问资源；若所述数据获取请求中的目标资源可访问，则移动端代理通过双层加密通道将所述数据获取请求发送至云服务中心；云服务中心通过双层加密通道将所述数据获取请求转发至内部接入网关；内部接入网关在接收到所述数据获取请求后，将所述数据获取请求解密后发送给该网关代理；所述网关代理根据所述解密后的数据获取请求携带的用户标识，并匹配该用户标识对应的第二管控策略；所述第二管控策略包括用户标识以及 该用户标识对应的可访问资源；所述网关代理根据所述第二管控策略确认所述移动端是否可访问所述目标资源；若所述移动端可访问所述目标资源，则网关代理将所述数据获取请求发送至目标资源。
[0006]在一些实施例中，在移动端代理从云服务中心获取用户标识对应的第一管控策
略，并根据所述第一管控策略确认所述数据获取请求中的目标资源是否可访问，还包括：若所述数据获取请求中的目标资源不可访问，则移动端代理将所述数据获取请求转发给移动端本地网络进行处理。在一些实施例中，所述网关代理包括网关总代理和网关子代理；所述网关代理根据所述第二管控策略确认所述移动端是否可访问所述目标资源，包括：所述移动端对应的网关子代理接收所述内部接入网关发送的解密后的所述数据获取请求；所述网关子代理根据所述数据获取所述第二管控策略，确认所述目标资源是否在所述用户标识对应的可访问资源中；若所述目标资源在所述用户标识对应的可访问资源中，网关子代理将所述数据获取请求发送至网关总代理；所述网关总代理确认所述目标资源是否在所述第二管控策略对应的预设白名单中；若所述目标资源在所述第二管控策略对应的预设白名单中，则所述网关总代理确认所述目标资源是否在所述第二管控策略对应的预设黑名单中；若所述目标资源不在所述第二管控策略对应的预设黑名单中，则所述网关总代理确认所述移动端可访问所述目标资源。
[0007]在一些实施例中，在所述网关总代理确认所述目标资源是否在所述第二管控策略对应的预设白名单中之后，还包括：若所述目标资源不在所述第二管控策略对应的预设白名单中，则所述网关总代理终止所述数据获取请求。
[0008]在一些实施例中，在所述网关总代理确认所述目标资源是否在所述第二管控策略对应的预设黑名单中之后，还包括：若所述目标资源在所述第二管控策略对应的预设黑名单中，则所述网关总代理终止所述数据获取请求。
[0009]第二方面，本申请实施例还提供了一种基于授权策略的安全通讯装置，应用于云路由系统，该云路由系统包括移动端代理、云服务中心和内部接入网关，所述移动端代理与云服务中心之间、以及所述云服务中心与内部接入网关之间建立有双层加密通道，该装置包括：拦截模块，用于当移动端向云服务中心发送数据获取请求时，移动端代理拦截所述数据获取请求；所述数据获取请求中包括所述移动端的用户标识和目标资源；第一判断模块，用于移动端代理从云服务中心获取用户标识对应的第一管控策略，并根据所述第一管控策略确认所述数据获取请求中的目标资源是否可访问；所述第一管控策略包括用户标识以及该用户标识对应的可访问资源；若所述数据获取请求中的目标资源可访问，则移动端代理通过双层加密通道将所述数据获取请求发送至云服务中心；转发模块，用于云服务中心通过双层加密通道将所述数据获取请求转发至内部接入网关；发送模块，用于内部接入网关在接收到所述数据获取请求后，将所述数据获取请求解密后发送给该网关代理；
匹配模块，用于所述网关代理根据所述解密后的数据获取请求携带的用户标识，并匹配该用户标识对应的第二管控策略；所述第二管控策略包括用户标识以及该用户标识对应的可访问资源；第二判断模块，用于所述网关代理根据所述第二管控策略确认所述移动端是否可访问所述目标资源；若所述移动端可访问所述目标资源，则网关代理将所述数据获取请求发送至目标资源。
[0010]在一些实施例中，所述第一判断模块，还包括：退回单元，用于若所述数据获取请求中的目标资源不可访问，则移动端代理将所述数据获取请求转发给移动端本地网络进行处理。
[0011]在一些实施例中，所述第二判断模块，包括：接收单元，用于所述移动端对应的网关子代理接收所述内部接入网关发送的解密后的所述数据获取请求；第一确认单元，用于所述网关子代理根据所述数据获取请求携带的用户标识匹配该用户标识对应的所述第二管控策略，确认所述目标资源是否在所述用户标识对应的可访问资源中；若所述目标资源在所述用户标识对应的可访问资源中，网关子代理将所述数据获取请求发送至网关总代理；第二确认单元，用于所述网关总代理确认所述目标资源是否在所述第二管控策略对应的预设白名单中；第三确认单元，用于若所述目标资源在所述第二管控策略对应的预设白名单中，则所述网关总代理确认所述目标资源是否在所述第二管控策略对应的预设黑名单中；第四确认单元，用于若所述目标资源不在所述第二管控策略对应的预设黑名单中，则所述网关总代理确认所述移动端可访问所述目标资源。
[0012]第三方面，本申请实施例还提供了一种计算机设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述第一方面及其实施例中任一所述的方法的步骤。
[0013]第四方面，本申请实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器运行时执行上述第一方面及其实施例中本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于授权策略的安全通讯方法，其特征在于，应用于云路由系统，该云路由系统包括移动端代理、云服务中心和内部接入网关，所述移动端代理与云服务中心之间、以及所述云服务中心与内部接入网关之间建立有双层加密通道，该方法包括：当移动端向云服务中心发送数据获取请求时，移动端代理拦截所述数据获取请求；所述数据获取请求中包括所述移动端的用户标识和目标资源；移动端代理从云服务中心获取用户标识对应的第一管控策略，并根据所述第一管控策略确认所述数据获取请求中的目标资源是否可访问；所述第一管控策略包括用户标识以及该用户标识对应的可访问资源；若所述数据获取请求中的目标资源可访问，则移动端代理通过双层加密通道将所述数据获取请求发送至云服务中心；云服务中心通过双层加密通道将所述数据获取请求转发至内部接入网关；内部接入网关在接收到所述数据获取请求后，将所述数据获取请求解密后发送给网关代理；所述网关代理根据所述解密后的数据获取请求携带的用户标识，并匹配该用户标识对应的第二管控策略；所述第二管控策略包括用户标识以及 该用户标识对应的可访问资源；所述网关代理根据所述第二管控策略确认所述移动端是否可访问所述目标资源；若所述移动端可访问所述目标资源，则网关代理将所述数据获取请求发送至目标资源。2.如权利要求1所述的方法，其特征在于，在移动端代理从云服务中心获取用户标识对应的第一管控策略，并根据所述第一管控策略确认所述数据获取请求中的目标资源是否可访问之后，还包括：若所述数据获取请求中的目标资源不可访问，则移动端代理将所述数据获取请求转发给移动端本地网络进行处理。3.如权利要求1所述的方法，其特征在于，所述网关代理包括网关总代理和网关子代理；所述网关代理根据所述第二管控策略确认所述移动端是否可访问所述目标资源，包括：所述移动端对应的网关子代理接收所述内部接入网关发送的解密后的所述数据获取请求；所述网关子代理根据所述数据获取所述第二管控策略，确认所述目标资源是否在所述用户标识对应的可访问资源中；若所述目标资源在所述用户标识对应的可访问资源中，网关子代理将所述数据获取请求发送至网关总代理；所述网关总代理确认所述目标资源是否在所述第二管控策略对应的预设白名单中；若所述目标资源在所述第二管控策略对应的预设白名单中，则所述网关总代理确认所述目标资源是否在所述第二管控策略对应的预设黑名单中；若所述目标资源不在所述第二管控策略对应的预设黑名单中，则所述网关总代理确认所述移动端可访问所述目标资源。4.如权利要求3所述的方法，其特征在于，在所述网关总代理确认所述目标资源是否在所述第二管控策略对应的预设白名单中之后，还包括：若所述目标资源不在所述第二管控策略对应的预设白名单中，则所述网关总代理终止
所述数据获取请求。5.如权利要求3所述的方法，其特征在于，在所述网关总代理确认所述目标资源是否在所述第二管控策略对应的预设黑名单中之后，还包括：若所述目标资源在所述第二管控策略对应的预设黑名单中，则所述网关总代理终止所述数据获取请求。6....

【专利技术属性】
技术研发人员：赵伟，
申请(专利权)人：北京辰尧科技有限公司，
类型：发明
国别省市：