一种VPN代理网关动态授权访问资源的控制方法及系统技术方案

本发明专利技术公开了一种VPN代理网关动态授权访问资源的控制方法及系统，对用户、网关以及资源的基本信息进行初始化，建立用户信息、网关信息以及资源信息；基于用户信息、网关信息以及资源信息，建立用户访问资源的初始权限模型；当用户初次登录系统时，基于初始权限模型，获取用户对资源访问的初始访问信任度，基于初始访问信任度获取初始资源的访问权限；当检测到用户提交访问VPN代理网关代理的资源访问请求时，动态计算用户对资源访问的访问信任度，判断计算出的访问信任度是否高于资源的访问信任度阈值，当计算出的访问信任度高于资源的访问信任度阈值时，用户获取动态资源的访问权限；当用户访问结束后，基于用户的访问记录更新用户的访问信任度。新用户的访问信任度。新用户的访问信任度。

【技术实现步骤摘要】
一种VPN代理网关动态授权访问资源的控制方法及系统


[0001]本专利技术涉及网络安全通信
，更具体地，涉及一种VPN代理网关动态授权访问资源的控制方法及系统。

技术介绍

[0002]VPN代理网关为互联网用户提供安全访问组织内部网络资源的途径。当前，VPN代理网关访问通过两种方式提供互联网用户访问用户的授权：一是通过静态控制互联网用户能够访问资源的路由,决定用户所在网络是否能够访问组织内的网络资源；二是通过互联网用户和组织内资源一一映射，进行静态授权，决定用户是否能够访问组织内的网络资源。这两种静态的授权分别提供了粗粒度级别和细粒度级别的资源访问授权。静态的授权方式使用简单、易用、好实现，也存在缺陷，主要是灵活度不足，在用户发生改变时，不能及时调整用户资源访问权限。
[0003]现有技术1，(公开号CN101636998A)提供一种用于SSL_VPN业务的基于应用的拦截和授权的系统和方法；现有技术2(公开号CN108011759A)提供一种VPN管理方法、装置及系统。然而，现有技术有明显的缺陷，现有技术1的着重点在于通过白名单控制用户访问，通过白名单中许可的客户端IP地址作为控制，并未直接对资源进行授权控制。现有技术2强调在用户访问资源时，通过获取用户信息和应用信息进行授权控制，未明显指出如何授权控制。
[0004]因此，需要一种技术，以实现一种VPN代理网关动态授权访问资源的控制。

技术实现思路

[0005]本专利技术技术方案提供一种VPN代理网关动态授权访问资源的控制方法及系统，以解决如何对VPN代理网关动态授权访问资源进行控制的问题。
[0006]为了解决上述问题，本专利技术提供了一种VPN代理网关动态授权访问资源的控制方法，所述方法包括：
[0007]对用户、网关以及资源的基本信息进行初始化，建立用户信息、网关信息以及资源信息；
[0008]基于所述用户信息、网关信息以及资源信息，建立用户访问资源的初始权限模型；
[0009]当用户初次登录系统时，基于所述初始权限模型，获取用户对资源访问的初始访问信任度，基于所述初始访问信任度获取初始资源的访问权限；
[0010]当检测到用户提交访问VPN代理网关代理的资源访问请求时，动态计算用户对资源访问的访问信任度，判断计算出的访问信任度是否高于资源的访问信任度阈值，当计算出的访问信任度高于资源的访问信任度阈值时，用户获取动态资源的访问权限；
[0011]当用户访问结束后，基于用户的访问记录更新用户的访问信任度。
[0012]优选地，所述对用户、网关以及资源的基本信息进行初始化，包括：
[0013]设置资源的访问信任度阈值。
[0014]优选地，所述基于所述用户信息、网关信息以及资源信息，建立用户访问资源的初
始权限模型，包括：
[0015]建立网关、用户以及资源的关系；
[0016]按照用户所属的树形组织机构，分层建立网关、用户以及资源的关系；
[0017]所述树形组织机构中的根机构拥有的网关和资源的访问权限，树形组织机构中的根机构的下层机构用户继承；下层机构用户包括继承的网关和资源的访问权限，以及各自独立的网关和资源的访问权限。
[0018]优选地，还包括：
[0019]当检测到用户再次提交访问VPN代理网关代理的资源访问请求时，查询用户的访问记录；
[0020]当用户的访问记录中记录的访问时间小于设定阈值时，并且用户的用户信息未发生变化，不重新计算用户的访问信任度，基于记录的用户的访问信任度获取资源的访问权限；
[0021]当用户的访问记录中记录的访问时间大于设定阈值时，重新计算用户的访问信任度，基于重新计算的用户的访问信任度获取资源的访问权限。
[0022]优选地，还包括：
[0023]判断用户的用户信息是否发生改变；
[0024]当用户的用户信息发生改变时，重新计算用户的访问信任度，基于重新计算的用户的访问信任度获取资源的访问权限。
[0025]基于本专利技术的另一方面，本专利技术提供一种VPN代理网关动态授权访问资源的控制系统，所述系统包括：
[0026]初始单元，用于对用户、网关以及资源的基本信息进行初始化，建立用户信息、网关信息以及资源信息；
[0027]建立单元，用于基于所述用户信息、网关信息以及资源信息，建立用户访问资源的初始权限模型；
[0028]静态访问单元，用于当用户初次登录系统时，基于所述初始权限模型，获取用户对资源访问的初始访问信任度，基于所述初始访问信任度获取初始资源的访问权限；
[0029]动态访问单元，用于当检测到用户提交访问VPN代理网关代理的资源访问请求时，动态计算用户对资源访问的访问信任度，判断计算出的访问信任度是否高于资源的访问信任度阈值，当计算出的访问信任度高于资源的访问信任度阈值时，用户获取动态资源的访问权限；
[0030]记录单元，用于当用户访问结束后，基于用户的访问记录更新用户的访问信任度。
[0031]优选地，所述初始单元，用于对用户、网关以及资源的基本信息进行初始化，包括：
[0032]设置资源的访问信任度阈值。
[0033]优选地，所述初始单元，用于基于所述用户信息、网关信息以及资源信息，建立用户访问资源的初始权限模型，包括：
[0034]建立网关、用户以及资源的关系；
[0035]按照用户所属的树形组织机构，分层建立网关、用户以及资源的关系；
[0036]所述树形组织机构中的根机构拥有的网关和资源的访问权限，树形组织机构中的根机构的下层机构用户继承；下层机构用户包括继承的网关和资源的访问权限，以及各自
独立的网关和资源的访问权限。
[0037]优选地，所述动态访问单元，还用于：
[0038]当检测到用户再次提交访问VPN代理网关代理的资源访问请求时，查询用户的访问记录；
[0039]当用户的访问记录中记录的访问时间小于设定阈值时，并且用户的用户信息未发生变化，不重新计算用户的访问信任度，基于记录的用户的访问信任度获取资源的访问权限；
[0040]当用户的访问记录中记录的访问时间大于设定阈值时，重新计算用户的访问信任度，基于重新计算的用户的访问信任度获取资源的访问权限。
[0041]优选地，所述动态访问单元，还用于：
[0042]判断用户的用户信息是否发生改变；
[0043]当用户的用户信息发生改变时，重新计算用户的访问信任度，基于重新计算的用户的访问信任度获取资源的访问权限。
[0044]本专利技术技术方案提供了一种VPN代理网关动态授权访问资源的控制方法及系统，其中方法包括：对用户、网关以及资源的基本信息进行初始化，建立用户信息、网关信息以及资源信息；基于用户信息、网关信息以及资源信息，建立用户访问资源的初始权限模型；当用户初次登录系统时，基于初始权限模型，获取用户对资源访问的初始访问信任度，基于初始访问本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种VPN代理网关动态授权访问资源的控制方法，所述方法包括：对用户、网关以及资源的基本信息进行初始化，建立用户信息、网关信息以及资源信息；基于所述用户信息、网关信息以及资源信息，建立用户访问资源的初始权限模型；当用户初次登录系统时，基于所述初始权限模型，获取用户对资源访问的初始访问信任度，基于所述初始访问信任度获取初始资源的访问权限；当检测到用户提交访问VPN代理网关代理的资源访问请求时，动态计算用户对资源访问的访问信任度，判断计算出的访问信任度是否高于资源的访问信任度阈值，当计算出的访问信任度高于资源的访问信任度阈值时，用户获取动态资源的访问权限；当用户访问结束后，基于用户的访问记录更新用户的访问信任度。2.根据权利要求1所述的方法，所述对用户、网关以及资源的基本信息进行初始化，包括：设置资源的访问信任度阈值。3.根据权利要求1所述的方法，所述基于所述用户信息、网关信息以及资源信息，建立用户访问资源的初始权限模型，包括：建立网关、用户以及资源的关系；按照用户所属的树形组织机构，分层建立网关、用户以及资源的关系；所述树形组织机构中的根机构拥有的网关和资源的访问权限，树形组织机构中的根机构的下层机构用户继承；下层机构用户包括继承的网关和资源的访问权限，以及各自独立的网关和资源的访问权限。4.根据权利要求1所述的方法，还包括：当检测到用户再次提交访问VPN代理网关代理的资源访问请求时，查询用户的访问记录；当用户的访问记录中记录的访问时间小于设定阈值时，并且用户的用户信息未发生变化，不重新计算用户的访问信任度，基于记录的用户的访问信任度获取资源的访问权限；当用户的访问记录中记录的访问时间大于设定阈值时，重新计算用户的访问信任度，基于重新计算的用户的访问信任度获取资源的访问权限。5.根据权利要求1所述的方法，还包括：判断用户的用户信息是否发生改变；当用户的用户信息发生改变时，重新计算用户的访问信任度，基于重新计算的用户的访问信任度获取资源的访问权限。6.一种VPN代理网关动态授权访问资源的控制系统，所述系统包括：初始单元，用于对用户、...

【专利技术属性】
技术研发人员：魏国，宁红宙，
申请(专利权)人：航天信息股份有限公司，
类型：发明
国别省市：