【技术实现步骤摘要】
零信任体系访问B/S应用的代理方法和系统
[0001]本专利技术涉及
,尤其涉及一种零信任体系访问
B/S
应用的代理方法和装置
。
技术介绍
[0002]随着“云大物移”的不断兴起,企业
IT
架构正在从“有边界”向“无边界”转变,传统的安全边界逐渐瓦解
。
而以
5G、
工业互联网为代表的新基建的不断推进,更进一步加速了“无边界”的进化过程
。
与此同时,零信任安全逐渐进入人们的视野,成为解决新时代网络安全的新理念
、
新架构
、
新解决方案
。
零信任技术是一种网络安全防御模式,强调企业应该在内部和外部的网络环境中,对所有用户
、
设备和应用程序都持怀疑态度,不给予任何一方信任,从而可以在网络威胁增多的环境下提高安全性
。
零信任模式要求用户在访问企业资源时进行二次认证,只有在验证通过后才能使用企业资源
。
与传统的安全策略不同,零信任技术将重点放在网络流量监控和访问限制等措施上,从而达到更好的安全保护效果
。
[0003]零信任访问的应用主要分为
B/S
应用和
C/S
应用两种,零信任系统需对
B/S
应用和
C/S
应用的访问隧道进行分流
。
其中,
B/S
应用采用应用层代理隧道进行数据流量转发,
...
【技术保护点】
【技术特征摘要】
1.
一种零信任体系访问
B/S
应用的代理方法,用于零信任客户端中,其特征在于,包括以下步骤:基于获取的应用策略信息更新本地的
PAC
规则文件和网关连接信息,其中,所述应用策略信息为根据信任评估结果确定的用户可访问的多个应用信息及每个应用对应的零信任网关信息;与所述
PAC
规则文件包括的本地
socks
连接服务端监听地址对应的本地浏览器之间建立
socks
连接;对来自本地
socks
连接服务端监听地址的
socks
数据进行解析,提取出所述本地浏览器访问目标应用的原始访问数据;对提取出的原始访问数据进行加密封装,并将加密封装后的隧道加密数据根据所述应用策略信息转发到对应的零信任网关;将接收到的来自零信任网关的加密数据进行解密后经由
socks
连接发送至发起请求的本地浏览器,其中,所述来自零信任网关的加密数据为零信任网关对来自目标服务器的响应数据进行加密后的数据,所述响应数据为目标服务器对零信任网关的访问请求进行响应得到的数据,所述访问请求包含零信任网关对所述隧道加密数据进行解密后得到的原始访问数据
。2.
如权利要求1所述的方法,其特征在于,在基于获取的应用策略信息更新本地的
PAC
规则文件和网关连接信息的步骤之前,还包括:向零信任管理平台发起认证,获取所述应用策略信息
。3.
一种零信任体系访问
B/S
应用的代理方法,用于零信任网关中,其特征在于,包括以下步骤:对来自零信任客户端的隧道加密数据进行解密,得到原始访问数据,其中,来自零信任客户端的隧道加密数据为所述零信任客户端对来自本地
socks
连接服务端监听地址的
socks
数据进行解析后得到的原始访问数据进行加密封装产生的数据,所述原始访问数据为本地浏览器访问目标应用产生的数据;根据原始访问数据中的目标应用服务器地址,向目标应用服务器发起访问请求;以及将来自所述目标服务器的响应数据加密封装后转发至所述零信任客户端
。4.
如权利要求3所述的方法,其特征在于,对来自零信任客户端的隧道加密数据进行解密,得到原始访问数据的步骤之前还包括:接收来自零信任管理平台的放行通知,所述放行通知包括可放行的零信任客户端的源
IP。5.
一种零信任体系访问
B/S
应用的代理装置,用于零信任客户端中,其特征在于,包括:更新模块,用于基于获取的应用策略信息更新本地的
PAC
规则文件和网关连接信息,其中,所述应用策略信息为根据信任评估结果确定的用户可访问的多个应用信息及每个应用对应的零信任网关信息,所述
PAC
规则文件指定了本地
socks
连接服务端监听地址;
socks
连接建立模块,用于与本地
socks
连接服务端监听地址对应的本地浏览器之间建立
socks
连接;
socks
数据解析模块,用于对来自本地
socks
连接服务端监听地址的
socks
数据进行解析,提取出所述本地浏览器访问目标应用的原始访问数据;
第一数据加密模块,用于对提取出的原始访问数据进行加密封装,并将加密封装后的隧道加密数据根据所述应用策略信息转发到对应的零信...
【专利技术属性】
技术研发人员:王浩,黄瑞,吴界壁,朱伟,刘永强,沈智杰,景晓军,
申请(专利权)人:任子行网络技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。