基于网络环境动态接入的安全访问控制方法及装置制造方法及图纸

本发明专利技术提出了一种基于网络环境动态接入的安全访问控制方法及装置，涉及计算机技术、金融科技领域，包括：构建不同网络环境对应的虚拟安全桌面；每个网络环境对应的虚拟安全桌面分别配置有虚拟安全域，虚拟安全域之间的数据保持逻辑隔离；对于每个网络环境对应的虚拟安全桌面，分别设置传输通道以及传输通道对应的安全接入网关；当获取到用户发起的第一虚拟安全桌面的访问请求时，识别用户终端的当前网络环境；根据当前网络环境及第一虚拟安全桌面自动选择访问链路，并分配安全接入网关的地址；对用户的访问权限进行校验，在用户的访问权限校验通过后，建立第一虚拟安全桌面与应用系统的通信连接，允许用户通过第一虚拟安全桌面访问应用系统。面访问应用系统。面访问应用系统。

【技术实现步骤摘要】
基于网络环境动态接入的安全访问控制方法及装置


[0001]本专利技术涉及计算机技术、金融科技领域，尤指一种基于网络环境动态接入的安全访问控制方法及装置。

技术介绍

[0002]本部分旨在为权利要求书中陈述的本专利技术实施例提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。
[0003]随着业务不断扩展，企业员工工作过程中在各环境之间切换使用的需求日趋强烈。为了保障员工在内外网环境各项工作均能正常有序开展，且保证用户在内外网访问同一环境时一致的使用体验，主要存在以下几个难点：
[0004]1、如何在同一终端上既能访问不同环境的目标系统，又能保证不同环境间的数据隔离，以及数据不外泄。
[0005]2、如何根据访问目标系统所处的环境不同，而动态选择网络接入链路，用户无需记忆各接入地址，减少手工操作。
[0006]3、如何保证用户通过不同网络接入时一致性的体验。
[0007]综上来看，亟需一种可以克服上述难点，能够确保用户在不同网络环境下稳定、安全、高效的访问不同应用系统的技术方案。

技术实现思路

[0008]为解决现有技术存在的问题，本专利技术提出了一种基于网络环境动态接入的安全访问控制方法及装置。本专利技术在用户终端上构建虚拟安全桌面，对不同虚拟安全桌面间的数据进行逻辑隔离，用户可以通过内网或外网登录时选择同一桌面，桌面内的数据一致，实现内外网接入的一致性体验，并有效确保数据安全。
[0009]在本专利技术实施例的第一方面，提出了一种基于网络环境动态接入的安全访问控制方法，包括：
[0010]构建不同网络环境对应的虚拟安全桌面；其中，每个网络环境对应的虚拟安全桌面分别配置有虚拟安全域，虚拟安全域之间的数据保持逻辑隔离；
[0011]对于每个网络环境对应的虚拟安全桌面，分别设置传输通道以及传输通道对应的安全接入网关；
[0012]当获取到用户发起的第一虚拟安全桌面的访问请求时，识别用户终端的当前网络环境；
[0013]根据当前网络环境及第一虚拟安全桌面自动选择访问链路，并分配安全接入网关的地址；
[0014]对用户的访问权限进行校验，在用户的访问权限校验通过后，建立第一虚拟安全桌面与应用系统的通信连接，允许用户通过第一虚拟安全桌面访问应用系统。
[0015]进一步的，构建不同网络环境对应的虚拟安全桌面，包括：
[0016]分别构建办公网络环境、互联网环境及开发测试网络环境对应的虚拟安全桌面。
[0017]进一步的，还包括：
[0018]在用户终端上建立虚拟安全域；每个虚拟安全桌面分别对应一个虚拟安全域；每个虚拟安全域分别设置有不同用户的访问权限；
[0019]将用户终端与虚拟安全域，以及多个虚拟安全域之间的数据进行逻辑隔离。
[0020]进一步的，还包括：
[0021]根据业务使用需求，进一步创建不同的虚拟安全域，用于用户在同一用户终端上访问不同应用系统场景。
[0022]进一步的，对于每个网络环境对应的虚拟安全桌面，分别设置传输通道以及传输通道对应的安全接入网关，包括：
[0023]虚拟安全桌面的访问流量全部经由安全接入网关进行转发；对于不同的虚拟安全桌面，配置不同的安全管控策略及应用系统的访问权限。
[0024]进一步的，所述安全管控策略的策略项包括以下至少一项或多项的组合：允许访问共享目录、允许数据写入USB设备、退出删除沙箱数据、客户端防截屏录屏、允许蓝牙传输、允许使用打印机、纯净桌面、禁止复制剪贴板数据到沙箱、网络无限制、全部走隧道、应用访问控制、导出数据控制、网络访问控制、时间访问控制、网络位置访问控制及导入数据控制。
[0025]进一步的，根据当前网络环境及第一虚拟安全桌面自动选择访问链路，并分配安全接入网关的地址，包括：
[0026]若所述当前网络环境与第一虚拟安全桌面的网络环境不相同，通过加密隧道动态接入第一虚拟安全桌面对应的安全接入网关；
[0027]若所述当前网络环境与第一虚拟安全桌面的网络环境相同，直接接入第一虚拟安全桌面对应的安全接入网关；
[0028]进一步的，若所述当前网络环境与第一虚拟安全桌面的网络环境不相同，通过加密隧道动态接入第一虚拟安全桌面对应的安全接入网关，包括：
[0029]网络流量由用户终端，经过VPN加密隧道及安全接入网关，到达应用系统；
[0030]若所述当前网络环境与第一虚拟安全桌面的网络环境相同，直接接入第一虚拟安全桌面对应的安全接入网关，包括：
[0031]网络流量由用户终端，经过安全接入网关，到达应用系统。
[0032]进一步的，对用户的访问权限进行校验，在用户的访问权限校验通过后，建立第一虚拟安全桌面与应用系统的通信连接，允许用户通过第一虚拟安全桌面访问应用系统，包括：
[0033]通过统一用户认证系统对用户账号进行管理，其中，所述统一用户认证系统具体用于对用户的终端安全策略、安全桌面接入点、远程办公接入点进行管理；
[0034]对于每个虚拟安全桌面，根据允许访问的用户角色和业务范围，添加不同目标应用系统的访问权限，保存至统一用户认证系统；
[0035]利用所述统一用户认证系统对用户账号及访问权限进行校验；
[0036]在用户的访问权限校验通过后，建立第一虚拟安全桌面与应用系统的通信连接；其中，在网络保持接入，访问应用资源时，通过TLS协议进行双向加密；并且应用服务隐藏在
网络后，对互联网不可见。
[0037]进一步的，还包括：
[0038]设置每个应用系统的安全访问级别；
[0039]感知用户终端的网络环境，持续进行信任评估；
[0040]根据对用户终端的信任评估结果，判断终端是否满足应用系统的最小安全等级；
[0041]如果满足，则允许访问应用系统；
[0042]如果不满足，则拒绝访问应用系统。
[0043]在本专利技术实施例的第二方面，提出了一种基于网络环境动态接入的安全访问控制装置，包括：
[0044]构建模块，用于构建不同网络环境对应的虚拟安全桌面；其中，每个网络环境对应的虚拟安全桌面分别配置有虚拟安全域，虚拟安全域之间的数据保持逻辑隔离；
[0045]设置模块，用于对于每个网络环境对应的虚拟安全桌面，分别设置传输通道以及传输通道对应的安全接入网关；
[0046]网络环境识别模块，用于当获取到用户发起的第一虚拟安全桌面的访问请求时，识别用户终端的当前网络环境；
[0047]动态接入模块，用于根据当前网络环境及第一虚拟安全桌面自动选择访问链路，并分配安全接入网关的地址；
[0048]安全访问控制模块，用于对用户的访问权限进行校验，在用户的访问权限校验通过后，建立第一虚拟安全桌面与应用系统的通信连接，允许用户通过第一虚拟安全桌面访问应用系统。
[0049]进一步的，构建模块具体用于：
[0050]分别构建办本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于网络环境动态接入的安全访问控制方法，其特征在于，包括：构建不同网络环境对应的虚拟安全桌面；其中，每个网络环境对应的虚拟安全桌面分别配置有虚拟安全域，虚拟安全域之间的数据保持逻辑隔离；对于每个网络环境对应的虚拟安全桌面，分别设置传输通道以及传输通道对应的安全接入网关；当获取到用户发起的第一虚拟安全桌面的访问请求时，识别用户终端的当前网络环境；根据当前网络环境及第一虚拟安全桌面自动选择访问链路，并分配安全接入网关的地址；对用户的访问权限进行校验，在用户的访问权限校验通过后，建立第一虚拟安全桌面与应用系统的通信连接，允许用户通过第一虚拟安全桌面访问应用系统。2.根据权利要求1所述的方法，其特征在于，构建不同网络环境对应的虚拟安全桌面，包括：分别构建办公网络环境、互联网环境及开发测试网络环境对应的虚拟安全桌面。3.根据权利要求2所述的方法，其特征在于，还包括：在用户终端上建立虚拟安全域；每个虚拟安全桌面分别对应一个虚拟安全域；每个虚拟安全域分别设置有不同用户的访问权限；将用户终端与虚拟安全域，以及多个虚拟安全域之间的数据进行逻辑隔离。4.根据权利要求3所述的方法，其特征在于，还包括：根据业务使用需求，进一步创建不同的虚拟安全域，用于用户在同一用户终端上访问不同应用系统场景。5.根据权利要求1所述的方法，其特征在于，对于每个网络环境对应的虚拟安全桌面，分别设置传输通道以及传输通道对应的安全接入网关，包括：虚拟安全桌面的访问流量全部经由安全接入网关进行转发；对于不同的虚拟安全桌面，配置不同的安全管控策略及应用系统的访问权限。6.根据权利要求5所述的方法，其特征在于，所述安全管控策略的策略项包括以下至少一项或多项的组合：允许访问共享目录、允许数据写入USB设备、退出删除沙箱数据、客户端防截屏录屏、允许蓝牙传输、允许使用打印机、纯净桌面、禁止复制剪贴板数据到沙箱、网络无限制、全部走隧道、应用访问控制、导出数据控制、网络访问控制、时间访问控制、网络位置访问控制及导入数据控制。7.根据权利要求1所述的方法，其特征在于，根据当前网络环境及第一虚拟安全桌面自动选择访问链路，并分配安全接入网关的地址，包括：若所述当前网络环境与第一虚拟安全桌面的网络环境不相同，通过加密隧道动态接入第一虚拟安全桌面对应的安全接入网关；若所述当前网络环境与第一虚拟安全桌面的网络环境相同，直接接入第一虚拟安全桌面对应的安全接入网关。8.根据权利要求7所述的方法，其特征在于，若所述当前网络环境与第一虚拟安全桌面的网络环境不相同，通过加密隧道动态接入第一虚拟安全桌面对应的安全接入网关，包括：网络流量由用户终端，经过VPN加密隧道及安全接入网关，到达应用系统；
若所述当前网络环境与第一虚拟安全桌面的网络环境相同，直接接入第一虚拟安全桌面对应的安全接入网关，包括：网络流量由用户终端，经过安全接入网关，到达应用系统。9.根据权利要求1所述的方法，其特征在于，对用户的访问权限进行校验，在用户的访问权限校验通过后，建立第一虚拟安全桌面与应用系统的通信连接，允许用户通过第一虚拟安全桌面访问应用系统，包括：通过统一用户认证系统对用户账号进行管理，其中，所述统一用户认证系统具体用于对用户的终端安全策略、安全桌面接入点、远程办公接入点进行管理；对于每个虚拟安全桌面，根据允许访问的用户角色和业务范围，添加不同目标应用系统的访问权限，保存至统一用户认证系统；利用所述统一用户认证系统对用户账号及访问权限进行校验；在用户的访问权限校验通过后，建立第一虚拟安全桌面与应用系统的通信连接；其中，在网络保持接入，访问应用资源时，通过TLS协议进行双向加密；并且应用服务隐藏在网络后，对互联网不可见。10.根据权利要求1所述的方法，其特征在于，还包括：设置每个应用系统的安全访问级别；感知用户终端的网络环境，持续进行信任评估；根据对用户终端的信任评估结果，判断终端是否满足应用系统的最小安全等级；如果满足，则允许访问应用系统；如果不满足，则拒绝访问应用系统。11.一种基于网络环境动态接入的安全访问控制装置，其特征在于，包括：构建模块，用于构建不同网络环境对应的虚拟安全桌面；其中，每个网络环境对应的虚拟安全桌面分别配置有虚拟安全域，虚...

【专利技术属性】
技术研发人员：周鑫磊，沙锋，李士锦，
申请(专利权)人：建信金融科技有限责任公司，
类型：发明
国别省市：