技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，特別是涉及一種局域網(wǎng)內(nèi)網(wǎng)資源的訪問(wèn)控制方法、裝置及網(wǎng)關(guān)設(shè)備。

背景技術(shù)

SSL VPN指的是基于SSL(Security Socket Layer，安全套接層)協(xié)議建立遠(yuǎn)程安全訪問(wèn)通道的VPN(Virtual Private Network，虛擬專用網(wǎng)絡(luò))技術(shù)。SSL協(xié)議運(yùn)行在傳輸層，只對(duì)通信雙方所進(jìn)行的應(yīng)用通道進(jìn)行加密，而不是對(duì)從一個(gè)主機(jī)到另一主機(jī)的整個(gè)通道進(jìn)行加密。在使用SSL協(xié)議的通信中，每一個(gè)應(yīng)用是一個(gè)安全的獨(dú)立體，可在NAT(Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換)代理裝置上以透明模式工作。

服務(wù)器與客戶端一次SSL連接中，雙方可以進(jìn)行身份驗(yàn)證，通過(guò)非對(duì)稱密鑰算法實(shí)現(xiàn)數(shù)字簽名。由于通過(guò)私鑰加密后的數(shù)據(jù)只能利用對(duì)應(yīng)的公鑰進(jìn)行解密，因此根據(jù)解密是否成功，就可以判斷發(fā)送者的身份，SSL利用PKI(Public Key Infrastructure，公鑰基礎(chǔ)設(shè)施)提供的機(jī)制保證公鑰的真實(shí)性。在企業(yè)網(wǎng)應(yīng)用時(shí)可以通過(guò)OpenSSL(Open Security Socket Layer，開放式安全套接層)協(xié)議提供的工具建立本單位的證書體系，通過(guò)根證書創(chuàng)建服務(wù)器和多個(gè)客戶的私鑰及證書，在客戶端發(fā)起接入請(qǐng)求時(shí)確保了用戶的真實(shí)性和唯一性。

SSL VPN網(wǎng)絡(luò)擴(kuò)展是指運(yùn)用SSL協(xié)議將廣域網(wǎng)中分散的用戶通過(guò)構(gòu)建虛擬局域網(wǎng)聯(lián)系在一起。

如圖1所示，SSL VPN網(wǎng)絡(luò)擴(kuò)展用戶、網(wǎng)關(guān)設(shè)備和內(nèi)部資源的關(guān)系示意圖。用戶通過(guò)客戶端向網(wǎng)關(guān)設(shè)備發(fā)起請(qǐng)求加入局域網(wǎng)，在建立連接時(shí)網(wǎng)關(guān)設(shè)備作為服務(wù)器側(cè)對(duì)用戶進(jìn)行身份認(rèn)證，如果認(rèn)證成功就從地址池中獲取可用的虛擬局域網(wǎng)內(nèi)網(wǎng)地址給用戶；接著，用戶側(cè)通過(guò)運(yùn)行的客戶端程序?qū)⒎峙涞牡刂放渲玫奖镜氐奶摂M以太網(wǎng)設(shè)備(這里簡(jiǎn)稱TUN設(shè)備)中，同時(shí)網(wǎng)關(guān)設(shè)備會(huì)向 用戶推送內(nèi)網(wǎng)可訪問(wèn)的網(wǎng)絡(luò)路由；最后，客戶端在收到可訪問(wèn)的網(wǎng)絡(luò)路由后加入到本機(jī)路由表中，到此用戶成功加入虛擬局域網(wǎng)。

根據(jù)用戶訪問(wèn)不同的網(wǎng)絡(luò)找到對(duì)應(yīng)的路由條目。如果是訪問(wèn)虛擬局域網(wǎng)或網(wǎng)關(guān)設(shè)備內(nèi)部網(wǎng)絡(luò)資源，會(huì)通過(guò)TUN設(shè)備進(jìn)行發(fā)送；在數(shù)據(jù)發(fā)送給TUN設(shè)備后，客戶端將發(fā)送到TUN設(shè)備的數(shù)據(jù)進(jìn)行加密，加密完成后客戶端程序?qū)⒓用軘?shù)據(jù)封裝成指定端口號(hào)，如1194，的TCP(Transmission Control Protocol傳輸控制協(xié)議)或UDP(User Datagram Protocol，用戶數(shù)據(jù)報(bào)協(xié)議)報(bào)文從真實(shí)的物理網(wǎng)口發(fā)送給網(wǎng)關(guān)設(shè)備；網(wǎng)關(guān)設(shè)備收到數(shù)據(jù)后判斷TCP或UDP的端口號(hào)是否為1194；如果是，則將此端口號(hào)的數(shù)據(jù)包發(fā)送到網(wǎng)關(guān)設(shè)備的VPN模塊進(jìn)行解密，解密成功的數(shù)據(jù)再發(fā)送給網(wǎng)關(guān)設(shè)備的以太網(wǎng)TUN設(shè)備，此時(shí)發(fā)送到TUN設(shè)備的數(shù)據(jù)已是明文，如同發(fā)送給普通的以太網(wǎng)設(shè)備一樣收包隨后進(jìn)入?yún)f(xié)議棧處理。

在實(shí)際的應(yīng)用中，發(fā)現(xiàn)對(duì)于企業(yè)來(lái)說(shuō)內(nèi)部網(wǎng)絡(luò)的資源存在不同的秘密等級(jí)，需要對(duì)用戶進(jìn)行安全訪問(wèn)控制，特定的資源需要特定的權(quán)限才允許訪問(wèn)。而現(xiàn)有技術(shù)在進(jìn)行安全訪問(wèn)控制時(shí)，用戶發(fā)起對(duì)某一次資源訪問(wèn)后，獲取到訪問(wèn)權(quán)限等級(jí)，根據(jù)等級(jí)判斷是否具有訪問(wèn)權(quán)限。此方法訪問(wèn)資源效率低，且每次都需要向所請(qǐng)求的資源發(fā)起連接，浪費(fèi)內(nèi)部網(wǎng)絡(luò)資源。

另外，在用戶請(qǐng)求資源時(shí)，網(wǎng)關(guān)設(shè)備端檢查用戶訪問(wèn)資源的合法性時(shí)，網(wǎng)關(guān)設(shè)備需要根據(jù)用戶報(bào)文信息對(duì)發(fā)起資源請(qǐng)求的用戶進(jìn)行復(fù)雜的合法性檢查，而且一旦建立資源連接后，資源動(dòng)態(tài)變更權(quán)限等級(jí)時(shí)，已經(jīng)建立好的連接無(wú)法得到及時(shí)權(quán)限關(guān)系更新，存在安全隱患。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種局域網(wǎng)內(nèi)網(wǎng)資源的訪問(wèn)控制方法、裝置及網(wǎng)關(guān)設(shè)備，用于解決現(xiàn)有技術(shù)中用戶訪問(wèn)局域網(wǎng)內(nèi)部資源時(shí)，資源訪問(wèn)效率低且資源動(dòng)態(tài)變更權(quán)限時(shí)存在安全隱患的問(wèn)題。

為了實(shí)現(xiàn)上述目的，本發(fā)明實(shí)施例提供的一種局域網(wǎng)內(nèi)網(wǎng)資源的訪問(wèn)控制方法，包括：

獲取向網(wǎng)關(guān)設(shè)備發(fā)起資源連接請(qǐng)求消息的第一客戶端的用戶權(quán)限級(jí)別以 及資源權(quán)限等級(jí)；

在預(yù)設(shè)的用戶權(quán)限級(jí)別和資源權(quán)限等級(jí)的對(duì)應(yīng)關(guān)系表中，若查找到所述第一客戶端的用戶權(quán)限級(jí)別對(duì)應(yīng)的資源權(quán)限等級(jí)，向目標(biāo)服務(wù)器轉(zhuǎn)發(fā)所述第一客戶端的資源連接請(qǐng)求消息。

其中，獲取向網(wǎng)關(guān)設(shè)備發(fā)起資源連接請(qǐng)求消息的客戶端的第一用戶權(quán)限級(jí)別的步驟包括：

接收所述第一客戶端向網(wǎng)關(guān)設(shè)備發(fā)起的訪問(wèn)連接請(qǐng)求，并從所述訪問(wèn)連接請(qǐng)求中獲取所述第一客戶端的用戶權(quán)限級(jí)別。

其中，從所述訪問(wèn)連接請(qǐng)求中獲取所述第一客戶端的用戶權(quán)限級(jí)別的步驟包括：