本公開提供一種用于實現安全接入的方法、裝置和系統，涉及信息安全領域。其中控制裝置在對用戶終端發送的認證信息認證成功時，指示接入裝置與用戶終端建立VPN隧道；向接入裝置發送與用戶權限相對應的授權信息，以便接入裝置為所述用戶終端分配虛擬網絡標簽和NAT地址；利用用戶權限編排訪問控制策略并發送給接入裝置，以便接入裝置進行相應的訪問控制策略配置，通過對用戶終端的業務數據流進行審計，以便對業務數據流進行相應的安全接入控制。本公開通過認證與訪問控制策略的結合，實現對用戶細粒度的訪問權限分配與靈活變更，從而將安全控制機制從底層設備處理層面獨立出來，解決在同一網絡基礎設施上支持彼此隔離的多VPN服務的問題。

技術領域

本公開涉及信息安全領域，特別涉及一種用于實現安全接入的方法、裝置和系統。

背景技術

在企業網向云中遷移的過程中，帶來了用戶遠程接入云資源池的需求。目前VPN(Virtual Private Network，虛擬專用網)為遠程接入的主要方法。

通過VPN方式遠程接入云資源池存在兩方面的問題：首先，訪問控制粒度不夠細，對訪問范圍內的所有資源訪問只能全允許或全拒絕，無法根據用戶識別來設置不同的訪問權限，也無法對用戶行為進行追溯；此外，承載的每個虛擬私有云均需獨立配套VPN設備，建設成本較高，且要求固定網絡拓撲，難以靈活部署。

發明內容

本公開的實施例解決的一個技術問題是：無法實現用戶細粒度的訪問權限分配與靈活變更，無法解決在同一網絡基礎設施上支持彼此隔離的多VPN服務的問題。

根據本公開的一個或多個實施例的一個方面，提供一種用于實現安全接入的方法，包括：

在接收到用戶終端發送的認證信息后，對認證信息進行認證；

在認證成功的情況下，向接入裝置發送認證成功信息，以便接入裝置與用戶終端建立虛擬專用網VPN隧道；

向接入裝置發送與用戶權限相對應的授權信息，以便接入裝置根據授權信息為用戶終端分配虛擬網絡標簽和網絡地址轉換NAT地址；

利用用戶權限編排訪問控制策略；

將訪問控制策略發送給接入裝置，以便接入裝置進行相應的訪問控制策略配置；

在接收到所述接入裝置發送的告警信息后，將所述告警信息記錄到日志數據庫中，并對所述用戶終端的業務數據流進行審計檢測；

根據審計檢測結果對所述用戶終端的業務數據流進行相應的安全接入控制。

可選地，若審計檢測結果不滿足訪問控制策略，則向接入裝置發送拒絕接入信息，以便接入裝置斷開與用戶終端的VPN隧道、刪除相應的訪問控制策略。

可選地，若審計檢測結果滿足訪問控制策略，則向接入裝置發送同意接入信息，以便接入裝置為業務數據包的包頭添加虛擬網絡標簽，并利用NAT地址進行轉發。

可選地，在認證失敗的情況下，向接入裝置發送認證失敗信息，以便接入裝置斷開與用戶終端的連接。

可選地，在接收到接入裝置發送的用戶接入請求后，向用戶終端發送認證要求信息，以便用戶終端發送認證信息。

根據本公開的一個或多個實施例的另一個方面，提供一種用于實現安全接入的方法，包括：

在接收到控制裝置發送的認證成功信息后，與相應的用戶終端建立VPN隧道；

在接收到控制裝置發送的授權信息后，根據授權信息為用戶分配虛擬網絡標簽和NAT地址；

在接收到控制裝置發送的訪問控制策略后，根據訪問控制策略進行相應的訪問控制策略配置；

在接收到所述用戶終端發送的業務數據包后，將所述業務數據包的源IP地址替換為授權的IP地址；