本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，特別是涉及一種局域網(wǎng)內(nèi)網(wǎng)資源的訪問控制方法、裝置及網(wǎng)關(guān)設(shè)備。

背景技術(shù)：

sslvpn指的是基于ssl(securitysocketlayer，安全套接層)協(xié)議建立遠程安全訪問通道的vpn(virtualprivatenetwork，虛擬專用網(wǎng)絡(luò))技術(shù)。ssl協(xié)議運行在傳輸層，只對通信雙方所進行的應(yīng)用通道進行加密，而不是對從一個主機到另一主機的整個通道進行加密。在使用ssl協(xié)議的通信中，每一個應(yīng)用是一個安全的獨立體，可在nat(networkaddresstranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換)代理裝置上以透明模式工作。

服務(wù)器與客戶端一次ssl連接中，雙方可以進行身份驗證，通過非對稱密鑰算法實現(xiàn)數(shù)字簽名。由于通過私鑰加密后的數(shù)據(jù)只能利用對應(yīng)的公鑰進行解密，因此根據(jù)解密是否成功，就可以判斷發(fā)送者的身份，ssl利用pki(publickeyinfrastructure，公鑰基礎(chǔ)設(shè)施)提供的機制保證公鑰的真實性。在企業(yè)網(wǎng)應(yīng)用時可以通過openssl(opensecuritysocketlayer，開放式安全套接層)協(xié)議提供的工具建立本單位的證書體系，通過根證書創(chuàng)建服務(wù)器和多個客戶的私鑰及證書，在客戶端發(fā)起接入請求時確保了用戶的真實性和唯一性。

sslvpn網(wǎng)絡(luò)擴展是指運用ssl協(xié)議將廣域網(wǎng)中分散的用戶通過構(gòu)建虛擬局域網(wǎng)聯(lián)系在一起。

如圖1所示，sslvpn網(wǎng)絡(luò)擴展用戶、網(wǎng)關(guān)設(shè)備和內(nèi)部資源的關(guān)系示意圖。用戶通過客戶端向網(wǎng)關(guān)設(shè)備發(fā)起請求加入局域網(wǎng)，在建立連接時網(wǎng)關(guān)設(shè)備作為服務(wù)器側(cè)對用戶進行身份認證，如果認證成功就從地址池中獲取可用的虛擬局域網(wǎng)內(nèi)網(wǎng)地址給用戶；接著，用戶側(cè)通過運行的客戶端程序?qū)⒎峙涞牡刂放渲玫奖镜氐奶摂M以太網(wǎng)設(shè)備(這里簡稱tun設(shè)備)中，同時網(wǎng)關(guān)設(shè)備會向 用戶推送內(nèi)網(wǎng)可訪問的網(wǎng)絡(luò)路由；最后，客戶端在收到可訪問的網(wǎng)絡(luò)路由后加入到本機路由表中，到此用戶成功加入虛擬局域網(wǎng)。

根據(jù)用戶訪問不同的網(wǎng)絡(luò)找到對應(yīng)的路由條目。如果是訪問虛擬局域網(wǎng)或網(wǎng)關(guān)設(shè)備內(nèi)部網(wǎng)絡(luò)資源，會通過tun設(shè)備進行發(fā)送；在數(shù)據(jù)發(fā)送給tun設(shè)備后，客戶端將發(fā)送到tun設(shè)備的數(shù)據(jù)進行加密，加密完成后客戶端程序?qū)⒓用軘?shù)據(jù)封裝成指定端口號，如1194，的tcp(transmissioncontrolprotocol傳輸控制協(xié)議)或udp(userdatagramprotocol，用戶數(shù)據(jù)報協(xié)議)報文從真實的物理網(wǎng)口發(fā)送給網(wǎng)關(guān)設(shè)備；網(wǎng)關(guān)設(shè)備收到數(shù)據(jù)后判斷tcp或udp的端口號是否為1194；如果是，則將此端口號的數(shù)據(jù)包發(fā)送到網(wǎng)關(guān)設(shè)備的vpn模塊進行解密，解密成功的數(shù)據(jù)再發(fā)送給網(wǎng)關(guān)設(shè)備的以太網(wǎng)tun設(shè)備，此時發(fā)送到tun設(shè)備的數(shù)據(jù)已是明文，如同發(fā)送給普通的以太網(wǎng)設(shè)備一樣收包隨后進入?yún)f(xié)議棧處理。

在實際的應(yīng)用中，發(fā)現(xiàn)對于企業(yè)來說內(nèi)部網(wǎng)絡(luò)的資源存在不同的秘密等級，需要對用戶進行安全訪問控制，特定的資源需要特定的權(quán)限才允許訪問。而現(xiàn)有技術(shù)在進行安全訪問控制時，用戶發(fā)起對某一次資源訪問后，獲取到訪問權(quán)限等級，根據(jù)等級判斷是否具有訪問權(quán)限。此方法訪問資源效率低，且每次都需要向所請求的資源發(fā)起連接，浪費內(nèi)部網(wǎng)絡(luò)資源。

另外，在用戶請求資源時，網(wǎng)關(guān)設(shè)備端檢查用戶訪問資源的合法性時，網(wǎng)關(guān)設(shè)備需要根據(jù)用戶報文信息對發(fā)起資源請求的用戶進行復(fù)雜的合法性檢查，而且一旦建立資源連接后，資源動態(tài)變更權(quán)限等級時，已經(jīng)建立好的連接無法得到及時權(quán)限關(guān)系更新，存在安全隱患。

技術(shù)實現(xiàn)要素：

本發(fā)明的目的在于提供一種局域網(wǎng)內(nèi)網(wǎng)資源的訪問控制方法、裝置及網(wǎng)關(guān)設(shè)備，用于解決現(xiàn)有技術(shù)中用戶訪問局域網(wǎng)內(nèi)部資源時，資源訪問效率低且資源動態(tài)變更權(quán)限時存在安全隱患的問題。

為了實現(xiàn)上述目的，本發(fā)明實施例提供的一種局域網(wǎng)內(nèi)網(wǎng)資源的訪問控制方法，包括：

獲取向網(wǎng)關(guān)設(shè)備發(fā)起資源連接請求消息的第一客戶端的用戶權(quán)限級別以 及資源權(quán)限等級；

在預(yù)設(shè)的用戶權(quán)限級別和資源權(quán)限等級的對應(yīng)關(guān)系表中，若查找到所述第一客戶端的用戶權(quán)限級別對應(yīng)的資源權(quán)限等級，向目標服務(wù)器轉(zhuǎn)發(fā)所述第一客戶端的資源連接請求消息。

其中，獲取向網(wǎng)關(guān)設(shè)備發(fā)起資源連接請求消息的客戶端的第一用戶權(quán)限級別的步驟包括：

接收所述第一客戶端向網(wǎng)關(guān)設(shè)備發(fā)起的訪問連接請求，并從所述訪問連接請求中獲取所述第一客戶端的用戶權(quán)限級別。

其中，從所述訪問連接請求中獲取所述第一客戶端的用戶權(quán)限級別的步驟包括：

通過安全套接層協(xié)議ssl的身份驗證機制獲取所述第一客戶端的用戶通用名，并根據(jù)所述用戶通用名對應(yīng)的數(shù)字證書對所述第一客戶端進行身份驗證；

在所述第一客戶端的身份驗證通過時，將內(nèi)網(wǎng)ip地址分配給所述第一客戶端，完成與所述第一客戶端的訪問連接；

根據(jù)所述訪問連接請求中所述用戶通用名，查找用戶權(quán)限列表獲取所述第一客戶端的用戶權(quán)限級別。

其中，獲取向網(wǎng)關(guān)設(shè)備發(fā)起資源連接請求消息的第一客戶端的資源權(quán)限等級的步驟包括：

獲取所述第一客戶端通過安全套接協(xié)議虛擬專用網(wǎng)絡(luò)sslvpn發(fā)送的資源連接請求消息；

根據(jù)所述資源連接請求消息，獲取所述資源連接請求消息對應(yīng)的資源權(quán)限等級。

其中，根據(jù)所述資源連接請求消息，獲取所述資源連接請求消息對應(yīng)的資源權(quán)限等級的步驟包括：

解析所述資源連接請求消息中的報文內(nèi)容，獲取待連接的資源為第一資源；

查找資源權(quán)限列表獲取所述第一資源對應(yīng)的資源權(quán)限等級。

其中，向目標服務(wù)器轉(zhuǎn)發(fā)所述第一客戶端的資源連接請求消息的步驟后，還包括：

在所述第一客戶端根據(jù)所述資源連接請求消息，連接到所述目標服務(wù)器為 所述資源權(quán)限等級分配的第一資源時，將所述第一客戶端的屬性信息保存到第一資源的用戶訪問列表中。

其中，還包括：

在所述第一客戶端斷開與所述第一資源的連接后，將所述第一客戶端的屬性信息從所述第一資源的用戶訪問列表中刪除。

其中，所述方法還包括：

根據(jù)所述資源權(quán)限等級或所述用戶權(quán)限級別的變更，進行用戶訪問列表更新。

其中，根據(jù)所述資源權(quán)限等級的變更，進行用戶訪問列表更新的步驟，包括：

在所述資源權(quán)限等級變更后，查找已被變更資源權(quán)限等級的資源的用戶訪問列表，獲取正在訪問所述已被變更資源權(quán)限等級的資源的客戶端的屬性信息；

在所述預(yù)設(shè)的用戶權(quán)限級別和資源權(quán)限等級的對應(yīng)關(guān)系表中，若查找到所述客戶端的用戶權(quán)限級別與變更后的資源權(quán)限等級不對應(yīng)時，向所述客戶端發(fā)送第一重置消息，并將所述客戶端的屬性信息從所述用戶訪問列表中刪除。

其中，根據(jù)所述用戶權(quán)限級別的變更，進行用戶訪問列表更新的步驟，包括：

在所述用戶權(quán)限級別降低后，若所已被降低用戶權(quán)限級別的客戶端的屬性信息位于用戶權(quán)限級別降低前對應(yīng)的資源的用戶訪問列表中，向所述已被降低用戶權(quán)限級別的客戶端發(fā)送第二重置消息，并將所述已被降低用戶權(quán)限級別客戶端的屬性信息從所述用戶訪問列表中刪除。

本發(fā)明實施例還提供一種局域網(wǎng)內(nèi)網(wǎng)資源的訪問控制裝置，包括：

獲取模塊，用于獲取向網(wǎng)關(guān)設(shè)備發(fā)起資源連接請求消息的第一客戶端的用戶權(quán)限級別以及資源權(quán)限等級；

執(zhí)行處理模塊，用于在預(yù)設(shè)的用戶權(quán)限級別和資源權(quán)限等級的對應(yīng)關(guān)系表中，若查找到所述第一客戶端的用戶權(quán)限級別對應(yīng)的資源權(quán)限等級，向目標服務(wù)器轉(zhuǎn)發(fā)所述第一客戶端的資源連接請求消息。

本發(fā)明實施例還提供一種網(wǎng)關(guān)設(shè)備，包括：如上述實施例所述的局域網(wǎng)內(nèi)網(wǎng)資源的訪問控制裝置。

本發(fā)明的上述技術(shù)方案的有益效果如下：

本發(fā)明的上述方案中，通過直接在網(wǎng)關(guān)設(shè)備上根據(jù)用戶權(quán)限級別對應(yīng)的資源權(quán)限等級對訪問局域網(wǎng)內(nèi)部資源的客戶端進行資源訪問權(quán)限的判斷，并在該客戶端具有資源訪問權(quán)限時，將資源連接請求轉(zhuǎn)發(fā)至目標服務(wù)器，提高了用戶訪問局域網(wǎng)內(nèi)部資源的資源訪問效率，且減輕目標服務(wù)器的處理負擔，節(jié)省了內(nèi)部網(wǎng)絡(luò)資源；而且通過對權(quán)限變更的用戶或資源的資源連接的立即復(fù)位，保證了資源動態(tài)變更權(quán)限時，局域網(wǎng)內(nèi)部網(wǎng)絡(luò)資源的數(shù)據(jù)安全。

附圖說明

圖1為本發(fā)明實施例的sslvpn網(wǎng)絡(luò)擴展用戶、網(wǎng)關(guān)設(shè)備和內(nèi)部資源的關(guān)系示意圖；

圖2為本發(fā)明實施例的局域網(wǎng)內(nèi)網(wǎng)資源的訪問控制方法的基本步驟示意圖；

圖3為本發(fā)明實施例的局域網(wǎng)內(nèi)網(wǎng)資源的訪問控制裝置的組成結(jié)構(gòu)示意圖；

圖4為本發(fā)明實施例的局域網(wǎng)內(nèi)網(wǎng)資源的訪問控制方法的具體流程示意圖。

具體實施方式

為使本發(fā)明要解決的技術(shù)問題、技術(shù)方案和優(yōu)點更加清楚，下面將結(jié)合附圖及具體實施例進行詳細描述。

本發(fā)明針對現(xiàn)有技術(shù)中用戶訪問局域網(wǎng)內(nèi)部資源時，資源訪問效率低且資源動態(tài)變更權(quán)限時存在安全隱患的問題，提供一種局域網(wǎng)內(nèi)網(wǎng)資源的訪問控制方法，提高了用戶訪問局域網(wǎng)內(nèi)部資源的資源訪問效率，且減輕目標服務(wù)器的處理負擔，節(jié)省了內(nèi)部網(wǎng)絡(luò)資源而且保證了資源動態(tài)變更權(quán)限時，局域網(wǎng)內(nèi)部網(wǎng)絡(luò)資源的數(shù)據(jù)安全。

第一實施例

如圖2所示，本發(fā)明實施例提供一種局域網(wǎng)內(nèi)網(wǎng)資源的訪問控制方法，包括：

步驟11，獲取向網(wǎng)關(guān)設(shè)備發(fā)起資源連接請求消息的第一客戶端的用戶權(quán)限級別以及資源權(quán)限等級；

這里需要說明的是，用戶權(quán)限級別為操作客戶端的用戶的權(quán)限級別，一個用戶對應(yīng)一個客戶端。

步驟12，在預(yù)設(shè)的用戶權(quán)限級別和資源權(quán)限等級的對應(yīng)關(guān)系表中，若查找到所述第一客戶端的用戶權(quán)限級別對應(yīng)的資源權(quán)限等級，向目標服務(wù)器轉(zhuǎn)發(fā)所述第一客戶端的資源連接請求消息。

本發(fā)明實施例的局域網(wǎng)內(nèi)網(wǎng)資源的訪問控制方法，通過直接在網(wǎng)關(guān)設(shè)備上根據(jù)用戶權(quán)限級別對應(yīng)的資源權(quán)限等級對訪問局域網(wǎng)內(nèi)部資源的客戶端進行資源訪問權(quán)限的判斷，并在該客戶端具有資源訪問權(quán)限時，將資源連接請求轉(zhuǎn)發(fā)至目標服務(wù)器，提高了用戶訪問局域網(wǎng)內(nèi)部資源的資源訪問效率，且減輕目標服務(wù)器的處理負擔，節(jié)省了內(nèi)部網(wǎng)絡(luò)資源。

優(yōu)選地，本發(fā)明實施例所述步驟11中獲取向網(wǎng)關(guān)設(shè)備發(fā)起資源連接請求消息的第一客戶端的用戶權(quán)限級別的步驟，可進一步包括：

步驟111，接收所述第一客戶端向網(wǎng)關(guān)設(shè)備發(fā)起的訪問連接請求，并從所述訪問連接請求中獲取所述第一客戶端的用戶權(quán)限級別。

這里需要說明的是，第一客戶端可為sslvpn網(wǎng)絡(luò)擴展客戶端，網(wǎng)關(guān)設(shè)備可為虛擬專用網(wǎng)絡(luò)vpn網(wǎng)關(guān)設(shè)備。

這里，所述步驟111還可更進一步包括：

步驟1111，通過安全套接層ssl協(xié)議的身份驗證機制獲取所述第一客戶端的用戶通用名，并根據(jù)所述用戶通用名對應(yīng)的數(shù)字證書對所述第一客戶端進行身份驗證；

這里需要說明的是，用戶通用名是客戶端在向網(wǎng)關(guān)設(shè)備管理員申請賬號時唯一標識該客戶端的用戶標識。

用戶通用名對應(yīng)的數(shù)字證書可通過開放式安全套接層協(xié)議openssl提供的方法獲取，當然該用戶通用名對應(yīng)的私鑰也可通過此方法獲取，這里數(shù)字證書中包括有客戶端的個人身份信息。

步驟1112，在所述第一客戶端的身份驗證通過時，將內(nèi)網(wǎng)ip地址分配給所述第一客戶端，完成與所述第一客戶端的訪問連接；

這里，在所述第一客戶端的身份驗證通過時，將內(nèi)網(wǎng)ip地址分配給所述第一客戶端后，網(wǎng)關(guān)設(shè)備會將用戶通用名存儲于數(shù)據(jù)區(qū)。

需說明的是，若第一客戶端的身份驗證未通過，則網(wǎng)關(guān)設(shè)備直接拒絕該第一客戶端發(fā)起的訪問連接。這樣，無需目標服務(wù)器額外處理對待訪問的客戶端的身份驗證，節(jié)省了內(nèi)部網(wǎng)絡(luò)資源，也降低了非法客戶端獲取服務(wù)器內(nèi)部數(shù)據(jù)的可能性。

步驟1113，根據(jù)所述訪問連接請求中所述用戶通用名，查找用戶權(quán)限列表獲取所述第一客戶端的用戶權(quán)限級別。

這里需說明的是，用戶權(quán)限列表預(yù)先存儲于網(wǎng)關(guān)設(shè)備中，其中存儲有可訪問內(nèi)網(wǎng)資源的不同用戶的用戶權(quán)限級別。

優(yōu)選地，本發(fā)明實施例所述步驟11中獲取向網(wǎng)關(guān)設(shè)備發(fā)起資源連接請求消息的第一客戶端的資源權(quán)限等級的步驟，可進一步包括：

步驟112，獲取所述第一客戶端通過安全套接協(xié)議虛擬專用網(wǎng)絡(luò)sslvpn發(fā)送的資源連接請求消息；

需說明的是，網(wǎng)關(guān)設(shè)備在獲取資源連接請求之前，已完成與第一客戶端的訪問連接。

步驟113，根據(jù)所述資源連接請求消息，獲取所述資源連接請求消息對應(yīng)的資源權(quán)限等級。

這里需要說明的是，若網(wǎng)關(guān)設(shè)備根據(jù)所述資源連接請求消息，獲取不到與所述資源連接請求消息對應(yīng)的資源權(quán)限等級，則表示客戶端所要訪問的資源未在資源權(quán)限列表中，也就是該資源未設(shè)置資源權(quán)限等級，無需訪問權(quán)限，所有通過身份驗證的客戶端均可訪問局域網(wǎng)內(nèi)部的該資源。

這里，所述步驟113還可更進一步包括：

步驟1131，解析所述資源連接請求消息中的報文內(nèi)容，獲取待連接的資源為第一資源；

步驟1132，查找資源權(quán)限列表獲取所述第一資源對應(yīng)的資源權(quán)限等級。

這里需說明的是，資源權(quán)限列表預(yù)先存儲于網(wǎng)關(guān)設(shè)備中，其中存儲有不同資源對應(yīng)的不同資源權(quán)限等級。

進一步地，本發(fā)明實施例中所述局域網(wǎng)內(nèi)網(wǎng)資源的訪問控制方法，還可包 括：

步驟13，向目標服務(wù)器轉(zhuǎn)發(fā)所述第一客戶端的資源連接請求消息之后，在所述第一客戶端根據(jù)所述資源連接請求消息，連接到所述目標服務(wù)器為所述資源權(quán)限等級分配的第一資源時，將所述第一客戶端的屬性信息保存到第一資源的用戶訪問列表中。

這里需要說明的是，第一資源的用戶訪問列表中存儲著當前正在訪問第一資源的客戶端。

進一步地，本發(fā)明實施例中所述局域網(wǎng)內(nèi)網(wǎng)資源的訪問控制方法，還可包括：

步驟14，在所述第一客戶端斷開與所述第一資源的連接后，將所述第一客戶端的屬性信息從所述第一資源的用戶訪問列表中刪除。

這里需要說明的是，將所述第一客戶端的屬性信息從所述第一資源的用戶訪問列表中刪除，也就是，該第一客戶端與目標服務(wù)器的連接立即斷開，可防止后續(xù)若用戶權(quán)限級別或資源權(quán)限等級變更后，內(nèi)網(wǎng)數(shù)據(jù)泄露，保證內(nèi)網(wǎng)數(shù)據(jù)資源的安全性。

進一步地，本發(fā)明實施例中所述局域網(wǎng)內(nèi)網(wǎng)資源的訪問控制方法，還可包括：

步驟15，根據(jù)所述資源權(quán)限等級或所述用戶權(quán)限級別的變更，進行用戶訪問列表更新。

這里，所述步驟15中根據(jù)所述資源權(quán)限等級的變更，進行用戶訪問列表更新的步驟，還可進一步包括：

步驟151，在所述資源權(quán)限等級變更后，查找已被變更資源權(quán)限等級的資源的用戶訪問列表，獲取正在訪問所述已被變更資源權(quán)限等級的資源的客戶端的屬性信息；

步驟152，在所述預(yù)設(shè)的用戶權(quán)限級別和資源權(quán)限等級的對應(yīng)關(guān)系表中，若查找到所述客戶端的用戶權(quán)限級別與變更后的資源權(quán)限等級不對應(yīng)時，向所述客戶端發(fā)送第一重置消息，并將所述客戶端的屬性信息從所述用戶訪問列表中刪除。

這里需要說明的是，預(yù)設(shè)的用戶權(quán)限級別和資源權(quán)限等級的對應(yīng)關(guān)系表是 可預(yù)先由網(wǎng)關(guān)設(shè)備管理員根據(jù)用戶權(quán)限級別分配指定的資源權(quán)限等級存儲于網(wǎng)關(guān)設(shè)備中。

上述兩分步驟表明在資源權(quán)限等級變更時，通過將用戶權(quán)限級別不夠的客戶端從資源的用戶訪問列表中刪除，實現(xiàn)用戶訪問列表的及時更新，保證了內(nèi)網(wǎng)資源數(shù)據(jù)的安全，有效防止資源數(shù)據(jù)的泄露。

這里，所述步驟15中根據(jù)所述用戶權(quán)限級別的變更，進行用戶訪問列表更新的步驟，還可進一步包括：

步驟153，在所述用戶權(quán)限級別降低后，若已被降低用戶權(quán)限級別的客戶端的屬性信息位于用戶權(quán)限級別降低前對應(yīng)的資源的用戶訪問列表中，向所述已被降低用戶權(quán)限級別的客戶端發(fā)送第二重置消息，并將所述已被降低用戶權(quán)限級別客戶端的屬性信息從所述用戶訪問列表中刪除。

需說明的是，步驟153在所用戶權(quán)限級別降低后，已被降低用戶權(quán)限級別客戶端則不再具有訪問用戶權(quán)限級別降低前對應(yīng)的資源的權(quán)限，通過將已被降低用戶權(quán)限級別客戶端的屬性信息從用戶權(quán)限級別降低前對應(yīng)的資源的訪問列表中刪除，實現(xiàn)了用戶訪問列表的及時更新，保證了內(nèi)網(wǎng)資源數(shù)據(jù)的安全，有效防止資源數(shù)據(jù)的泄露。

本發(fā)明實施例的局域網(wǎng)內(nèi)網(wǎng)資源的訪問控制方法，通過直接在網(wǎng)關(guān)設(shè)備上根據(jù)用戶權(quán)限級別對應(yīng)的資源權(quán)限等級對訪問局域網(wǎng)內(nèi)部資源的客戶端進行資源訪問權(quán)限的判斷，并在該客戶端具有資源訪問權(quán)限時，將資源連接請求轉(zhuǎn)發(fā)至目標服務(wù)器，提高了用戶訪問局域網(wǎng)內(nèi)部資源的資源訪問效率，且減輕目標服務(wù)器的處理負擔，節(jié)省了內(nèi)部網(wǎng)絡(luò)資源；而且通過對權(quán)限變更的用戶或資源的資源連接的立即復(fù)位，保證了資源動態(tài)變更權(quán)限時，局域網(wǎng)內(nèi)部網(wǎng)絡(luò)資源的數(shù)據(jù)安全。

第二實施例

如圖3所示，本發(fā)明實施例還提供一種局域網(wǎng)內(nèi)網(wǎng)資源的訪問控制裝置，包括：

獲取模塊21，用于獲取向網(wǎng)關(guān)設(shè)備發(fā)起資源連接請求消息的第一客戶端的用戶權(quán)限級別以及資源權(quán)限等級；

這里需要說明的是，用戶權(quán)限級別為操作客戶端的用戶的權(quán)限級別，一個 用戶對應(yīng)一個客戶端。

執(zhí)行處理模塊22，用于在預(yù)設(shè)的用戶權(quán)限級別和資源權(quán)限等級的對應(yīng)關(guān)系表中，若查找到所述客戶端的第一用戶權(quán)限級別對應(yīng)的資源權(quán)限等級，向目標服務(wù)器轉(zhuǎn)發(fā)所述第一客戶端的資源連接請求消息。

具體地，本發(fā)明實施例中所述獲取模塊21可具體包括：

第一獲取子模塊，用于接收所述第一客戶端向網(wǎng)關(guān)設(shè)備發(fā)起的訪問連接請求，并從所述訪問連接請求中獲取所述第一客戶端的用戶權(quán)限級別。

這里需要說明的是，第一客戶端可為sslvpn網(wǎng)絡(luò)擴展客戶端，網(wǎng)關(guān)設(shè)備可為虛擬專用網(wǎng)絡(luò)vpn網(wǎng)關(guān)設(shè)備。

更具體地，所述第一獲取子模塊可包括：

身份驗證單元，用于通過安全套接層協(xié)議ssl的身份驗證機制獲取所述第一客戶端的用戶通用名，并根據(jù)所述用戶通用名對應(yīng)的數(shù)字證書對所述第一客戶端進行身份驗證；

這里需要說明的是，用戶通用名是客戶端在向網(wǎng)關(guān)設(shè)備管理員申請賬號時唯一標識該客戶端的用戶標識。

用戶通用名對應(yīng)的數(shù)字證書可通過開放式安全套接層協(xié)議openssl提供的方法獲取，當然該用戶通用名對應(yīng)的私鑰也可通過此方法獲取，這里數(shù)字證書中包括有客戶端的個人身份信息。

訪問連接單元，用于在所述第一客戶端的身份驗證通過時，將內(nèi)網(wǎng)ip地址分配給所述第一客戶端，完成與所述第一客戶端的訪問連接；

這里，在所述第一客戶端的身份驗證通過時，將內(nèi)網(wǎng)ip地址分配給所述第一客戶端后，網(wǎng)關(guān)設(shè)備會將第一用戶通用名存儲于數(shù)據(jù)區(qū)。

需說明的是，若第一客戶端的身份驗證未通過，則網(wǎng)關(guān)設(shè)備直接拒絕該第一客戶端發(fā)起的訪問連接。這樣，無需目標服務(wù)器額外處理對待訪問的客戶端的身份驗證，節(jié)省了內(nèi)部網(wǎng)絡(luò)資源，也降低了非法客戶端獲取服務(wù)器內(nèi)部數(shù)據(jù)的可能性。

用戶權(quán)限級別獲取單元，用于根據(jù)所述訪問連接請求中所述用戶通用名，查找用戶權(quán)限列表獲取所述第一客戶端的用戶權(quán)限級別。

這里需說明的是，用戶權(quán)限列表預(yù)先存儲于網(wǎng)關(guān)設(shè)備中，其中存儲有可訪 問內(nèi)網(wǎng)資源的不同用戶的用戶權(quán)限級別。

這里，本發(fā)明實施例中所述獲取模塊21還可具體包括：

第二獲取子模塊，用于獲取所述第一客戶端通過安全套接協(xié)議虛擬專用網(wǎng)絡(luò)sslvpn發(fā)送的資源連接請求消息；

需說明的是，網(wǎng)關(guān)設(shè)備在獲取資源連接請求之前，已完成與第一客戶端的訪問連接。

第三獲取子模塊，用于根據(jù)所述資源連接請求消息，獲取所述資源連接請求消息對應(yīng)的資源權(quán)限等級。

這里需要說明的是，若網(wǎng)關(guān)設(shè)備根據(jù)所述資源連接請求消息，獲取不到與所述資源連接請求消息對應(yīng)的第一資源權(quán)限等級，則表示客戶端所要訪問的資源未在資源權(quán)限列表中，也就是該資源未設(shè)置資源權(quán)限等級，無需訪問權(quán)限，所有通過身份驗證的客戶端均可訪問局域網(wǎng)內(nèi)部的該資源。

這里，所述第三獲取子模塊可包括：

解析處理單元，用于解析所述資源連接請求消息中的報文內(nèi)容，獲取待連接的資源為第一資源；

資源權(quán)限等級獲取單元，用于查找資源權(quán)限列表獲取所述第一資源對應(yīng)的資源權(quán)限等級。

這里需說明的是，資源權(quán)限列表預(yù)先存儲于網(wǎng)關(guān)設(shè)備中，其中存儲有不同資源對應(yīng)的不同資源權(quán)限等級。

具體地，本發(fā)明實施例中所述局域網(wǎng)內(nèi)網(wǎng)資源的訪問控制裝置，還可包括：

第一處理模塊23，用于向目標服務(wù)器轉(zhuǎn)發(fā)所述第一客戶端的資源連接請求消息之后，在所述第一客戶端根據(jù)所述資源連接請求消息，連接到所述目標服務(wù)器為所述資源權(quán)限等級分配的第一資源時，將所述第一客戶端的屬性信息保存到第一資源的用戶訪問列表中。

這里需要說明的是，第一資源的用戶訪問列表中存儲著當前正在訪問第一資源的客戶端。

具體地，本發(fā)明實施例中所述局域網(wǎng)內(nèi)網(wǎng)資源的訪問控制裝置，還可包括：

第二處理模塊24，用于在所述第一客戶端斷開與所述第一資源的連接后，將所述第一客戶端的屬性信息從所述第一資源的用戶訪問列表中刪除。

這里需要說明的是，將所述第一客戶端的屬性信息從所述第一資源的用戶訪問列表中刪除，也就是，該第一客戶端與目標服務(wù)器的連接立即斷開，可防止后續(xù)若用戶權(quán)限級別或資源權(quán)限等級變更后，內(nèi)網(wǎng)數(shù)據(jù)泄露，保證內(nèi)網(wǎng)數(shù)據(jù)資源的安全性。

具體地，本發(fā)明實施例所述局域網(wǎng)內(nèi)網(wǎng)資源的訪問控制裝置，還可包括：

訪問列表更新模塊25，用于根據(jù)所述資源權(quán)限等級或所述用戶權(quán)限級別的變更，進行用戶訪問列表更新。

這里，所述訪問列表更新模塊25可具體包括：

第四獲取子模塊，用于在所述資源權(quán)限等級變更后，查找已被變更資源權(quán)限等級的資源的用戶訪問列表，獲取正在訪問所述已被變更資源權(quán)限等級的資源的客戶端的屬性信息；

第一更新處理子模塊，用于在所述預(yù)設(shè)的用戶權(quán)限級別和資源權(quán)限等級的對應(yīng)關(guān)系表中，若查找到所述客戶端的用戶權(quán)限級別與變更后的資源權(quán)限等級不對應(yīng)時，向所述客戶端發(fā)送第一重置消息，并將所述客戶端的屬性信息從所述用戶訪問列表中刪除。

這里需要說明的是，預(yù)設(shè)的用戶權(quán)限級別和資源權(quán)限等級的對應(yīng)關(guān)系表是可預(yù)先由網(wǎng)關(guān)設(shè)備管理員根據(jù)用戶權(quán)限級別分配指定的資源權(quán)限等級存儲于網(wǎng)關(guān)設(shè)備中。

這里，上述獲取子模塊以及第一更新處理子模塊的執(zhí)行處理表明在資源權(quán)限等級變更時，通過將用戶權(quán)限級別不夠的客戶端從資源的用戶訪問列表中刪除，實現(xiàn)用戶訪問列表的及時更新，保證了內(nèi)網(wǎng)資源數(shù)據(jù)的安全，有效防止資源數(shù)據(jù)的泄露。

這里，所述訪問列表更新模塊25還可具體包括：

第二更新處理子模塊，用于在所述用戶權(quán)限級別降低后，若所述已被降低用戶權(quán)限級別的客戶端的屬性信息位于用戶權(quán)限級別降低前對應(yīng)的資源的用戶訪問列表中，向所述已被降低用戶權(quán)限級別的客戶端發(fā)送第二重置消息，并將所述已被降低用戶權(quán)限級別客戶端的屬性信息從所述用戶訪問列表中刪除。

需說明的是，所述第二更新處理子模塊在所述用戶權(quán)限級別降低后，已被降低用戶權(quán)限級別客戶端則不再具有訪問用戶權(quán)限級別降低前對應(yīng)的資源的 權(quán)限，通過將已被降低用戶權(quán)限級別客戶端的屬性信息從用戶權(quán)限級別降低前對應(yīng)的資源的訪問列表中刪除，實現(xiàn)了用戶訪問列表的及時更新，保證了內(nèi)網(wǎng)資源數(shù)據(jù)的安全，有效防止資源數(shù)據(jù)的泄露。

本發(fā)明實施例還提供一種網(wǎng)關(guān)設(shè)備，包括第二實施例中所述的局域網(wǎng)內(nèi)網(wǎng)資源的訪問控制裝置。

本發(fā)明實施例的局域網(wǎng)內(nèi)網(wǎng)資源的訪問控制裝置，通過直接在網(wǎng)關(guān)設(shè)備中的執(zhí)行處理模塊上根據(jù)用戶權(quán)限級別對應(yīng)的資源權(quán)限等級對訪問局域網(wǎng)內(nèi)部資源的客戶端進行資源訪問權(quán)限的判斷，并在該客戶端具有資源訪問權(quán)限時，將資源連接請求轉(zhuǎn)發(fā)至目標服務(wù)器，提高了用戶訪問局域網(wǎng)內(nèi)部資源的資源訪問效率，且減輕目標服務(wù)器的處理負擔，節(jié)省了內(nèi)部網(wǎng)絡(luò)資源；而且網(wǎng)關(guān)設(shè)備中的訪問列表更新模塊通過對權(quán)限變更的用戶或資源的資源連接的立即復(fù)位，保證了資源動態(tài)變更權(quán)限時，局域網(wǎng)內(nèi)部網(wǎng)絡(luò)資源的數(shù)據(jù)安全。

第三實施例

如圖4所示，為本發(fā)明實施例的局域網(wǎng)內(nèi)網(wǎng)資源的訪問控制方法的具體流程示意圖，下面就該圖具體說明用戶端訪問局域網(wǎng)內(nèi)網(wǎng)資源的實施過程。

這里，用戶端也就是第一實施例及第二實施例中所述的客戶端。

步驟301，網(wǎng)關(guān)設(shè)備接收一用戶的訪問連接請求；

這里，用戶的訪問連接請求消息通過ssl協(xié)議建立加密隧道發(fā)送至網(wǎng)關(guān)設(shè)備。

步驟302，網(wǎng)關(guān)設(shè)備驗證用戶身份是否合法；

若是，則執(zhí)行步驟303；若否，則結(jié)束流程，訪問連接斷開。

這里需要說明的是，用戶身份的合法性驗證可通過ssl協(xié)議的身份驗證機制獲取該用戶的用戶通用名，通過網(wǎng)關(guān)設(shè)備中該用戶通用名對應(yīng)的數(shù)字證書對該用戶進行身份驗證。

當驗證通過后，將內(nèi)網(wǎng)ip地址分配給該用戶，完成該訪問連接請求，這就意味著該用戶可訪問局域網(wǎng)的內(nèi)部資源。

步驟303，記錄該用戶通用名并獲取用戶權(quán)限級別。

這里，可通過該用戶通用名從網(wǎng)關(guān)設(shè)備中用戶權(quán)限列表中獲取該用戶的用戶權(quán)限級別。

步驟304，網(wǎng)關(guān)設(shè)備獲取該用戶所訪問資源的資源權(quán)限等級；

這里，首先網(wǎng)關(guān)設(shè)備接收該用戶發(fā)送的資源連接請求，根據(jù)該資源連接請求中獲取該用戶要訪問的資源，通過網(wǎng)關(guān)設(shè)備中的資源權(quán)限列表獲取該用戶要訪問的資源的權(quán)限等級。

步驟305，網(wǎng)關(guān)設(shè)備判斷該用戶是否具有權(quán)限訪問該資源；

若是，則執(zhí)行步驟306；若否，則結(jié)束流程。

這里需說明的是，本步驟網(wǎng)關(guān)設(shè)備判斷該用戶的用戶權(quán)限級別對應(yīng)的資源權(quán)限等級是否高于或等于該用戶所要訪問資源的資源權(quán)限等級，若是，則該用戶具有權(quán)限訪問該資源。

步驟306，網(wǎng)關(guān)設(shè)備向目標服務(wù)器轉(zhuǎn)發(fā)該用戶的資源連接請求；

這里，通過直接在網(wǎng)關(guān)設(shè)備上對用戶的資源訪問權(quán)限進行判斷，提高了用戶訪問局域網(wǎng)內(nèi)部資源的資源訪問效率，且減輕目標服務(wù)器的處理負擔，節(jié)省了內(nèi)部網(wǎng)絡(luò)資源。

步驟307，用戶連接并獲取所要訪問的資源；

步驟308，網(wǎng)關(guān)設(shè)備斷開連接，并將該用戶的訪問記錄從該資源的用戶訪問列表中刪除。

這里需要說明的是，將該用戶的訪問記錄從該資源的用戶訪問列表中刪除可防止后續(xù)若用戶權(quán)限級別或資源權(quán)限等級變更后，內(nèi)網(wǎng)數(shù)據(jù)泄露，保證內(nèi)網(wǎng)數(shù)據(jù)資源的安全性，同時也便于用戶權(quán)限級別或資源權(quán)限等級變更時，用戶訪問列表的及時更新。

本發(fā)明實施例的局域網(wǎng)內(nèi)網(wǎng)資源的訪問控制方法，通過直接在網(wǎng)關(guān)設(shè)備上根據(jù)用戶權(quán)限級別對應(yīng)的資源權(quán)限等級對訪問局域網(wǎng)內(nèi)部資源的客戶端進行資源訪問權(quán)限的判斷，并在該客戶端具有資源訪問權(quán)限時，將資源連接請求轉(zhuǎn)發(fā)至目標服務(wù)器，提高了用戶訪問局域網(wǎng)內(nèi)部資源的資源訪問效率，且減輕目標服務(wù)器的處理負擔，節(jié)省了內(nèi)部網(wǎng)絡(luò)資源；而且通過對權(quán)限變更的用戶或資源的資源連接的立即復(fù)位，保證了資源動態(tài)變更權(quán)限時，局域網(wǎng)內(nèi)部網(wǎng)絡(luò)資源的數(shù)據(jù)安全。

以上所述是本發(fā)明的優(yōu)選實施方式，應(yīng)當指出，對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說，在不脫離本發(fā)明所述原理的前提下，還可以作出若干改進和潤飾， 這些改進和潤飾也應(yīng)視為本發(fā)明的保護范圍。