VPN资源访问方法、装置、电子设备和介质制造方法及图纸

本公开涉及一种VPN资源访问方法、装置、电子设备和介质；其中，该方法包括：接收虚拟专用网络VPN客户端发送的VPN隧道建立请求，对目标账户进行身份认证及授权，根据目标账户的授权结果确定目标访问控制列表ACL，目标ACL包括目标账户被授权的目标资源信息和目标资源信息所在服务器的IP地址；向VPN客户端发送隧道建立请求的响应信息和目标ACL，建立VPN隧道后根据目标ACL中的IP地址配置VPN客户端所在终端设备的路由表，使所述终端设备将资源访问请求发送至VPN客户端，并由VPN客户端根据目标ACL中的目标资源信息过滤目标账户未被授权的资源访问请求。本公开实施例能够有效降低内网资源IP的暴露风险以及规避非法资源访问请求进入VPN隧道，提高了VPN隧道的有效利用率。提高了VPN隧道的有效利用率。提高了VPN隧道的有效利用率。

【技术实现步骤摘要】
VPN资源访问方法、装置、电子设备和介质


[0001]本公开涉及网络通信领域，尤其涉及一种VPN资源访问方法、装置、电子设备和介质。

技术介绍

[0002]随着互联网的普及人们不再满足于本地通信，移动办公已经成为一种普遍的需求。而公司内部资源往往是非加密的，因此为了保护内部资源的安全，会将公司内部网络置于边界网关内，即内网，因此外网中的移动办公用户便无法访问内部资源了。虚拟专用网络(VPN)技术用以解决外网访问内网资源的问题，VPN技术一般在内网的边界架设一台VPN网关。外网员工在连上互联网后，通过VPN客户端经由互联网与VPN网关建立VPN隧道，然后再通过VPN网关进入企业内网。同时为了保证数据安全，VPN网关和VPN客户端之间的通讯进行了加密处理。
[0003]现有的VPN资源访问技术中，VPN隧道在建立时，VPN网关会将公司内网所有的资源网络协议(Internet Protocol，IP)地址发送至移动办公用户的VPN客户端，用于为移动办公用户所在终端(如PC)配置访问公司内网资源的正确路由，以使移动办公用户所在终端具备访问公司内网资源的基础条件，在移动办公用户登录账户后，VPN网关根据登录账户的权限，决定移动办公用户具体可以访问内网的哪些资源。
[0004]现有技术中，公司内网资源IP将体现在移动办公用户所在终端设备的路由表中，存在泄露公司内网资源服务器IP信息的风险，同时，对于一些越权的访问，网关虽然已经拒绝，但越权访问是通过VPN隧道发送至网关的，已经占用到了VPN隧道的资源。
专利
技术实现思路

[0005]为了解决上述技术问题或者至少部分地解决上述技术问题，本公开提供了一种VPN资源访问方法、装置、电子设备和介质。
[0006]第一方面，本公开提供了一种VPN资源访问方法，包括：
[0007]接收虚拟专用网络VPN客户端发送的VPN隧道建立请求；其中，所述VPN隧道建立请求是基于所述VPN客户端接收到的目标账户的登录请求生成；
[0008]对所述目标账户进行身份认证及身份授权，并根据所述目标账户的身份授权的结果确定所述目标账户的目标访问控制列表ACL，所述目标ACL至少包括目标账户被授权的目标资源信息和所述目标资源信息所在服务器的IP地址；
[0009]向所述VPN客户端发送所述隧道建立请求的响应信息和所述目标ACL，使所述VPN客户端完成VPN隧道建立，并根据所述目标ACL中的IP地址配置VPN客户端所在终端设备的路由表，以使所述终端设备根据所述路由表将资源访问请求发送至所述VPN客户端，并由所述VPN客户端根据所述目标ACL中的目标资源信息过滤掉所述VPN客户端接收到的目标账户未被授权的资源访问请求。
[0010]可选的，所述根据所述目标账户的身份授权结果确定所述目标账户的目标访问控
制列表ACL，包括：
[0011]根据所述目标账户的身份授权结果确定所述目标账户的授权资源；
[0012]从预先确定出的候选访问控制列表ACL中，确定与所述授权资源关联的候选ACL作为所述目标账户的目标ACL。
[0013]可选的，所述从预先确定出的候选访问控制列表ACL中，确定与所述授权资源关联的候选ACL作为所述目标账户的目标ACL之前，所述方法还包括：
[0014]在配置任一内网资源时，根据所述任一内网资源的网络协议IP地址和所述任一内网资源的统一资源定位符URL信息，确定所述任一内网资源的访问控制列表ACL，得到候选ACL。
[0015]第二方面，本公开提供了一种VPN资源访问方法，包括：
[0016]向VPN网关发送隧道建立请求；其中，所述隧道建立请求是基于接收到的目标账户的登录请求生成；
[0017]接收所述VPN网关发送的所述隧道建立请求的响应信息和目标ACL，所述目标ACL至少包括目标账户被授权的目标资源信息和所述目标资源信息所在服务器的IP地址；
[0018]响应于接收到的所述隧道建立请求的响应信息，完成VPN隧道建立；并根据所述目标ACL中的IP地址配置所在终端设备的路由表；
[0019]接收所述终端设备发送的资源访问请求，根据所述目标ACL中的目标资源信息过滤掉所述目标账户未被授权的资源访问请求。
[0020]可选的，所述目标资源信息包括目标资源的URL；
[0021]所述根据所述目标ACL中的目标资源信息过滤掉所述目标账户未被授权的资源访问请求，包括：
[0022]从所述资源访问请求中阻断未命中所述目标资源的URL的资源访问请求，得到目标资源访问请求。
[0023]可选的，所述方法还包括：
[0024]向终端设备发送所述资源访问请求的响应信息；其中，所述资源访问请求的响应信息包括被过滤的资源访问请求的标识。
[0025]可选的，所述根据所述目标ACL中的目标资源信息过滤掉所述目标账户未被授权的资源访问请求，包括：
[0026]在所述终端设备网卡驱动层获取所述资源访问请求的数据包；
[0027]将所述资源访问请求的数据包解析为应用层格式的资源访问请求；
[0028]使用所述应用层格式的资源访问请求匹配所述目标ACL中的目标资源信息；
[0029]阻断所述应用层格式的资源访问请求中未命中所述目标ACL中的目标资源信息的资源访问请求；
[0030]将命中所述目标ACL中的目标资源信息的资源访问请求封装为网卡驱动层的数据包，经由网卡发送至所述VPN网关。
[0031]第三方面，本公开提供了一种VPN资源访问装置，包括：
[0032]接收模块，用于接收虚拟专用网络VPN客户端发送的VPN隧道建立请求；其中，所述VPN隧道建立请求是基于所述VPN客户端接收到的目标账户的登录请求生成；
[0033]确定模块，用于对所述目标账户进行身份认证及身份授权，并根据所述目标账户
的身份授权的结果确定所述目标账户的目标访问控制列表ACL，所述目标ACL至少包括目标账户被授权的目标资源信息和所述目标资源信息所在服务器的IP地址；
[0034]发送模块，用于向所述VPN客户端发送所述隧道建立请求的响应信息和所述目标ACL，使所述VPN客户端完成VPN隧道建立，并根据所述目标ACL中的IP地址配置VPN客户端所在终端设备的路由表，以使所述终端设备根据所述路由表将资源访问请求发送至所述VPN客户端，并由所述VPN客户端根据所述目标ACL中的目标资源信息过滤掉所述VPN客户端接收到的目标账户未被授权的资源访问请求。
[0035]可选的，确定模块，具体用于：
[0036]根据所述目标账户的身份授权结果确定所述目标账户的授权资源；
[0037]从预先确定出的候选访问控制列表ACL中，确定与所述授权资源关联的候选ACL作为所述目标账户的目标ACL。
[0038]可选的，确定模块，还用于在配置任一内网资源时，根据所述任一内网资源的网络协议IP地址和所述任一内网资源的统本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种VPN资源访问方法，其特征在于，所述方法包括：接收虚拟专用网络VPN客户端发送的VPN隧道建立请求；其中，所述VPN隧道建立请求是基于所述VPN客户端接收到的目标账户的登录请求生成；对所述目标账户进行身份认证及身份授权，并根据所述目标账户的身份授权的结果确定所述目标账户的目标访问控制列表ACL，所述目标ACL至少包括目标账户被授权的目标资源信息和所述目标资源信息所在服务器的IP地址；向所述VPN客户端发送所述隧道建立请求的响应信息和所述目标ACL，使所述VPN客户端完成VPN隧道建立，并根据所述目标ACL中的IP地址配置VPN客户端所在终端设备的路由表，以使所述终端设备根据所述路由表将资源访问请求发送至所述VPN客户端，并由所述VPN客户端根据所述目标ACL中的目标资源信息过滤掉所述VPN客户端接收到的目标账户未被授权的资源访问请求。2.根据权利要求1所述的方法，其特征在于，所述根据所述目标账户的身份授权结果确定所述目标账户的目标访问控制列表ACL，包括：根据所述目标账户的身份授权结果确定所述目标账户的授权资源；从预先确定出的候选访问控制列表ACL中，确定与所述授权资源关联的候选ACL作为所述目标账户的目标ACL。3.根据权利要求2所述的方法，其特征在于，所述从预先确定出的候选访问控制列表ACL中，确定与所述授权资源关联的候选ACL作为所述目标账户的目标ACL之前，所述方法还包括：在配置任一内网资源时，根据所述任一内网资源的网络协议IP地址和所述任一内网资源的统一资源定位符URL信息，确定所述任一内网资源的访问控制列表ACL，得到候选ACL。4.一种VPN资源访问方法，其特征在于，所述方法包括：向VPN网关发送隧道建立请求；其中，所述隧道建立请求是基于接收到的目标账户的登录请求生成；接收所述VPN网关发送的所述隧道建立请求的响应信息和目标ACL，所述目标ACL至少包括目标账户被授权的目标资源信息和所述目标资源信息所在服务器的IP地址；响应于接收到的所述隧道建立请求的响应信息，完成VPN隧道建立；并根据所述目标ACL中的IP地址配置所在终端设备的路由表；接收所述终端设备发送的资源访问请求，根据所述目标ACL中的目标资源信息过滤掉所述目标账户未被授权的资源访问请求。5.根据权利要求4所述的方法，其特征在于，所述目标资源信息包括目标资源的URL；所述根据所述目标ACL中的目标资源信息过滤掉所述目标账户未被授权的资源访问请求，包括：从所述资源访问请求中阻断未命中所述目标资源的URL的资源访问请求，得到目标资源访问请求。6.根据权利要求4所述的方法，其特征在于，所述方法还包括：向终端设备发送所述资源访问请求的响应信息；其中，所述资源访问请求的响应信息包括被过滤的资源访问请求的标识。7.根据权利要求4所述的...

【专利技术属性】
技术研发人员：张国兴，张中鑫，王京烁，范雪俭，孙峰，鲍晓玲，
申请(专利权)人：北京天融信科技有限公司北京天融信软件有限公司，
类型：发明
国别省市：