[发明专利]一种局域网内网资源的访问控制方法、装置及网关设备

说明书

技术领域

本发明涉及网络安全技术领域，特别是涉及一种局域网内网资源的访问控制方法、装置及网关设备。

背景技术

SSL VPN指的是基于SSL(Security Socket Layer，安全套接层)协议建立远程安全访问通道的VPN(Virtual Private Network，虚拟专用网络)技术。SSL协议运行在传输层，只对通信双方所进行的应用通道进行加密，而不是对从一个主机到另一主机的整个通道进行加密。在使用SSL协议的通信中，每一个应用是一个安全的独立体，可在NAT(Network Address Translation，网络地址转换)代理装置上以透明模式工作。

服务器与客户端一次SSL连接中，双方可以进行身份验证，通过非对称密钥算法实现数字签名。由于通过私钥加密后的数据只能利用对应的公钥进行解密，因此根据解密是否成功，就可以判断发送者的身份，SSL利用PKI(Public Key Infrastructure，公钥基础设施)提供的机制保证公钥的真实性。在企业网应用时可以通过OpenSSL(Open Security Socket Layer，开放式安全套接层)协议提供的工具建立本单位的证书体系，通过根证书创建服务器和多个客户的私钥及证书，在客户端发起接入请求时确保了用户的真实性和唯一性。

SSL VPN网络扩展是指运用SSL协议将广域网中分散的用户通过构建虚拟局域网联系在一起。

如图1所示，SSL VPN网络扩展用户、网关设备和内部资源的关系示意图。用户通过客户端向网关设备发起请求加入局域网，在建立连接时网关设备作为服务器侧对用户进行身份认证，如果认证成功就从地址池中获取可用的虚拟局域网内网地址给用户；接着，用户侧通过运行的客户端程序将分配的地址配置到本地的虚拟以太网设备(这里简称TUN设备)中，同时网关设备会向 用户推送内网可访问的网络路由；最后，客户端在收到可访问的网络路由后加入到本机路由表中，到此用户成功加入虚拟局域网。

根据用户访问不同的网络找到对应的路由条目。如果是访问虚拟局域网或网关设备内部网络资源，会通过TUN设备进行发送；在数据发送给TUN设备后，客户端将发送到TUN设备的数据进行加密，加密完成后客户端程序将加密数据封装成指定端口号，如1194，的TCP(Transmission Control Protocol传输控制协议)或UDP(User Datagram Protocol，用户数据报协议)报文从真实的物理网口发送给网关设备；网关设备收到数据后判断TCP或UDP的端口号是否为1194；如果是，则将此端口号的数据包发送到网关设备的VPN模块进行解密，解密成功的数据再发送给网关设备的以太网TUN设备，此时发送到TUN设备的数据已是明文，如同发送给普通的以太网设备一样收包随后进入协议栈处理。

在实际的应用中，发现对于企业来说内部网络的资源存在不同的秘密等级，需要对用户进行安全访问控制，特定的资源需要特定的权限才允许访问。而现有技术在进行安全访问控制时，用户发起对某一次资源访问后，获取到访问权限等级，根据等级判断是否具有访问权限。此方法访问资源效率低，且每次都需要向所请求的资源发起连接，浪费内部网络资源。

另外，在用户请求资源时，网关设备端检查用户访问资源的合法性时，网关设备需要根据用户报文信息对发起资源请求的用户进行复杂的合法性检查，而且一旦建立资源连接后，资源动态变更权限等级时，已经建立好的连接无法得到及时权限关系更新，存在安全隐患。

发明内容

本发明的目的在于提供一种局域网内网资源的访问控制方法、装置及网关设备，用于解决现有技术中用户访问局域网内部资源时，资源访问效率低且资源动态变更权限时存在安全隐患的问题。

为了实现上述目的，本发明实施例提供的一种局域网内网资源的访问控制方法，包括：

获取向网关设备发起资源连接请求消息的第一客户端的用户权限级别以 及资源权限等级；

在预设的用户权限级别和资源权限等级的对应关系表中，若查找到所述第一客户端的用户权限级别对应的资源权限等级，向目标服务器转发所述第一客户端的资源连接请求消息。

其中，获取向网关设备发起资源连接请求消息的客户端的第一用户权限级别的步骤包括：

接收所述第一客户端向网关设备发起的访问连接请求，并从所述访问连接请求中获取所述第一客户端的用户权限级别。

其中，从所述访问连接请求中获取所述第一客户端的用户权限级别的步骤包括：