本公開(kāi)涉及網(wǎng)絡(luò)安全，尤其涉及一種網(wǎng)絡(luò)訪(fǎng)問(wèn)控制方法及系統(tǒng)。

背景技術(shù)：

1、在現(xiàn)代企業(yè)辦公環(huán)境中，網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)是至關(guān)重要的考慮因素。為實(shí)現(xiàn)辦公內(nèi)外網(wǎng)的嚴(yán)格分離，確保敏感信息的安全性，許多組織采用了特定的技術(shù)方案來(lái)管理網(wǎng)絡(luò)訪(fǎng)問(wèn)權(quán)限。這種方案在未開(kāi)啟虛擬私人網(wǎng)絡(luò)(virtual?private?network，vpn)的情況下，僅允許員工訪(fǎng)問(wèn)互聯(lián)網(wǎng)應(yīng)用，確保日常辦公所需的外部資源可被獲??；而在開(kāi)啟指定的vpn后，則限制用戶(hù)只能訪(fǎng)問(wèn)公司內(nèi)部網(wǎng)絡(luò)資源，從而形成一種隔離機(jī)制，有效防止了潛在的網(wǎng)絡(luò)安全威脅。這種方式雖然提高了安全性，但也帶來(lái)了不便之處，例如當(dāng)需要同時(shí)使用內(nèi)網(wǎng)資源與互聯(lián)網(wǎng)服務(wù)進(jìn)行溝通交流時(shí)，可能會(huì)遇到障礙，因?yàn)樵谶@種設(shè)置下無(wú)法直接訪(fǎng)問(wèn)到辦公內(nèi)網(wǎng)系統(tǒng)的相關(guān)內(nèi)容。

2、需要說(shuō)明的是，在上述背景技術(shù)部分公開(kāi)的信息僅用于加強(qiáng)對(duì)本公開(kāi)的背景的理解，因此可以包括不構(gòu)成對(duì)本領(lǐng)域普通技術(shù)人員已知的現(xiàn)有技術(shù)的信息。

技術(shù)實(shí)現(xiàn)思路

1、本公開(kāi)提供一種網(wǎng)絡(luò)訪(fǎng)問(wèn)控制方法及系統(tǒng)，至少在一定程度上克服相關(guān)技術(shù)中使用vpn后，無(wú)法同時(shí)使用內(nèi)網(wǎng)資源與互聯(lián)網(wǎng)服務(wù)的問(wèn)題。

2、本公開(kāi)的其他特性和優(yōu)點(diǎn)將通過(guò)下面的詳細(xì)描述變得顯然，或部分地通過(guò)本公開(kāi)的實(shí)踐而習(xí)得。

3、根據(jù)本公開(kāi)的一個(gè)方面，提供了一種網(wǎng)絡(luò)訪(fǎng)問(wèn)控制方法，應(yīng)用于終端，方法包括：

4、向憑證簽發(fā)系統(tǒng)發(fā)送第一請(qǐng)求消息，第一請(qǐng)求消息用于申請(qǐng)?jiān)L問(wèn)憑證，第一請(qǐng)求消息攜帶用戶(hù)標(biāo)識(shí)；

5、接收憑證簽發(fā)系統(tǒng)為用戶(hù)標(biāo)識(shí)對(duì)應(yīng)的用戶(hù)簽發(fā)的訪(fǎng)問(wèn)憑證，訪(fǎng)問(wèn)憑證包含用戶(hù)標(biāo)識(shí)、權(quán)限標(biāo)識(shí)、數(shù)字簽名；

6、啟動(dòng)vpn客戶(hù)端，并向vpn服務(wù)器發(fā)送網(wǎng)絡(luò)訪(fǎng)問(wèn)請(qǐng)求，網(wǎng)絡(luò)訪(fǎng)問(wèn)請(qǐng)求攜帶訪(fǎng)問(wèn)憑證，以使vpn服務(wù)器使用憑證簽發(fā)系統(tǒng)的公鑰對(duì)數(shù)字簽名進(jìn)行驗(yàn)證，并在驗(yàn)證通過(guò)的情況下，開(kāi)啟與權(quán)限標(biāo)識(shí)對(duì)應(yīng)的網(wǎng)絡(luò)訪(fǎng)問(wèn)通道。

7、在本公開(kāi)的一個(gè)實(shí)施例中，訪(fǎng)問(wèn)憑證為內(nèi)網(wǎng)憑證、外網(wǎng)憑證或綜合憑證中的一種，內(nèi)網(wǎng)憑證僅具備訪(fǎng)問(wèn)內(nèi)部網(wǎng)絡(luò)的權(quán)限，外網(wǎng)憑證僅具備訪(fǎng)問(wèn)外部網(wǎng)絡(luò)的權(quán)限，內(nèi)網(wǎng)憑證具備同時(shí)訪(fǎng)問(wèn)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的權(quán)限。

8、在本公開(kāi)的一個(gè)實(shí)施例中，訪(fǎng)問(wèn)憑證還包含有效期，有效期記載用戶(hù)憑證能夠正常使用的時(shí)間區(qū)間。

9、在本公開(kāi)的一個(gè)實(shí)施例中，有效期是根據(jù)用戶(hù)標(biāo)識(shí)對(duì)應(yīng)的用戶(hù)的合同期限、項(xiàng)目周期或者企業(yè)的安全策略中的一種或多種確定的。

10、在本公開(kāi)的一個(gè)實(shí)施例中，數(shù)字簽名為通過(guò)公鑰密碼算法，使用憑證簽發(fā)系統(tǒng)的私鑰對(duì)訪(fǎng)問(wèn)憑證中目標(biāo)信息進(jìn)行簽名得到的，其中，目標(biāo)信息為訪(fǎng)問(wèn)憑證中除數(shù)字簽名之外的信息。

11、根據(jù)本公開(kāi)的另一個(gè)方面，提供一種網(wǎng)絡(luò)訪(fǎng)問(wèn)控制方法，應(yīng)用于vpn服務(wù)器，方法包括：

12、接收并存儲(chǔ)權(quán)限標(biāo)識(shí)與權(quán)限的映射關(guān)系，權(quán)限關(guān)聯(lián)網(wǎng)絡(luò)訪(fǎng)問(wèn)通道；

13、存儲(chǔ)憑證簽發(fā)系統(tǒng)的公鑰；

14、接收終端啟動(dòng)vpn客戶(hù)端后發(fā)送的網(wǎng)絡(luò)訪(fǎng)問(wèn)請(qǐng)求，網(wǎng)絡(luò)訪(fǎng)問(wèn)請(qǐng)求攜帶訪(fǎng)問(wèn)憑證，訪(fǎng)問(wèn)憑證包含用戶(hù)標(biāo)識(shí)、權(quán)限標(biāo)識(shí)、數(shù)字簽名；

15、使用憑證簽發(fā)系統(tǒng)的公鑰對(duì)數(shù)字簽名進(jìn)行驗(yàn)證；

16、在驗(yàn)證通過(guò)的情況下，開(kāi)啟與權(quán)限標(biāo)識(shí)對(duì)應(yīng)的網(wǎng)絡(luò)訪(fǎng)問(wèn)通道；

17、其中，訪(fǎng)問(wèn)憑證是憑證簽發(fā)系統(tǒng)為用戶(hù)標(biāo)識(shí)對(duì)應(yīng)的用戶(hù)簽發(fā)的。

18、在本公開(kāi)的一個(gè)實(shí)施例中，使用憑證簽發(fā)系統(tǒng)的公鑰對(duì)數(shù)字簽名進(jìn)行驗(yàn)證，包括：

19、使用公鑰密碼算法和憑證簽發(fā)系統(tǒng)的公鑰解密數(shù)字簽名，得到解密信息；

20、比較解密信息與訪(fǎng)問(wèn)憑證中除數(shù)字簽名之外的信息是否相同；

21、如果相同，則驗(yàn)證通過(guò)。

22、根據(jù)本公開(kāi)的另一個(gè)方面，提供一種網(wǎng)絡(luò)訪(fǎng)問(wèn)控制方法，應(yīng)用于憑證簽發(fā)系統(tǒng)，方法包括：

23、將權(quán)限標(biāo)識(shí)與權(quán)限的映射關(guān)系發(fā)送至vpn服務(wù)器，權(quán)限關(guān)聯(lián)網(wǎng)絡(luò)訪(fǎng)問(wèn)通道；

24、將公鑰發(fā)送至vpn服務(wù)器；

25、接收終端發(fā)送的第一請(qǐng)求消息，第一請(qǐng)求消息用于申請(qǐng)?jiān)L問(wèn)憑證，第一請(qǐng)求消息攜帶用戶(hù)標(biāo)識(shí)；

26、為用戶(hù)標(biāo)識(shí)對(duì)應(yīng)的用戶(hù)簽發(fā)訪(fǎng)問(wèn)憑證；

27、將訪(fǎng)問(wèn)憑證發(fā)送至終端，訪(fǎng)問(wèn)憑證包含用戶(hù)標(biāo)識(shí)、權(quán)限標(biāo)識(shí)、數(shù)字簽名，以使終端啟動(dòng)vpn客戶(hù)端后向vpn服務(wù)器發(fā)送網(wǎng)絡(luò)訪(fǎng)問(wèn)請(qǐng)求，網(wǎng)絡(luò)訪(fǎng)問(wèn)請(qǐng)求攜帶訪(fǎng)問(wèn)憑證，vpn服務(wù)器使用憑證簽發(fā)系統(tǒng)的公鑰對(duì)數(shù)字簽名進(jìn)行驗(yàn)證，并在驗(yàn)證通過(guò)的情況下開(kāi)啟與權(quán)限標(biāo)識(shí)對(duì)應(yīng)的網(wǎng)絡(luò)訪(fǎng)問(wèn)通道。

28、在本公開(kāi)的一個(gè)實(shí)施例中，訪(fǎng)問(wèn)憑證還包含有效期，有效期記載用戶(hù)憑證能夠正常使用的時(shí)間區(qū)間。

29、在本公開(kāi)的一個(gè)實(shí)施例中，為用戶(hù)標(biāo)識(shí)對(duì)應(yīng)的用戶(hù)簽發(fā)訪(fǎng)問(wèn)憑證，包括：

30、基于用戶(hù)標(biāo)識(shí)，確定權(quán)限標(biāo)識(shí)和有效期；

31、通過(guò)公鑰密碼算法，使用憑證簽發(fā)系統(tǒng)的私鑰對(duì)用戶(hù)標(biāo)識(shí)、權(quán)限標(biāo)識(shí)和有效期進(jìn)行簽名，得到數(shù)字簽名；

32、基于用戶(hù)標(biāo)識(shí)、權(quán)限標(biāo)識(shí)、有效期和數(shù)字簽名，得到訪(fǎng)問(wèn)憑證。

33、根據(jù)本公開(kāi)的另一個(gè)方面，提供一種網(wǎng)絡(luò)訪(fǎng)問(wèn)控制系統(tǒng)，包括：

34、憑證簽發(fā)系統(tǒng)，用于將權(quán)限標(biāo)識(shí)與權(quán)限的映射關(guān)系發(fā)送至vpn服務(wù)器，權(quán)限關(guān)聯(lián)網(wǎng)絡(luò)訪(fǎng)問(wèn)通道，以及將公鑰發(fā)送至vpn服務(wù)器；

35、終端，用于向憑證簽發(fā)系統(tǒng)發(fā)送第一請(qǐng)求消息，第一請(qǐng)求消息用于申請(qǐng)?jiān)L問(wèn)憑證，第一請(qǐng)求消息攜帶用戶(hù)標(biāo)識(shí)；

36、憑證簽發(fā)系統(tǒng)，還用于為用戶(hù)標(biāo)識(shí)對(duì)應(yīng)的用戶(hù)簽發(fā)訪(fǎng)問(wèn)憑證，將訪(fǎng)問(wèn)憑證發(fā)送至終端，訪(fǎng)問(wèn)憑證包含用戶(hù)標(biāo)識(shí)、權(quán)限標(biāo)識(shí)、數(shù)字簽名；

37、終端，還用于啟動(dòng)vpn客戶(hù)端，并向vpn服務(wù)器發(fā)送網(wǎng)絡(luò)訪(fǎng)問(wèn)請(qǐng)求，網(wǎng)絡(luò)訪(fǎng)問(wèn)請(qǐng)求攜帶訪(fǎng)問(wèn)憑證；

38、vpn服務(wù)器，還使用憑證簽發(fā)系統(tǒng)的公鑰對(duì)數(shù)字簽名進(jìn)行驗(yàn)證，并在驗(yàn)證通過(guò)的情況下，開(kāi)啟與權(quán)限標(biāo)識(shí)對(duì)應(yīng)的網(wǎng)絡(luò)訪(fǎng)問(wèn)通道。

39、根據(jù)本公開(kāi)的又一個(gè)方面，提供一種電子設(shè)備，包括：存儲(chǔ)器，用于存儲(chǔ)指令；處理器，用于調(diào)用所述存儲(chǔ)器中存儲(chǔ)的指令，實(shí)現(xiàn)上述的網(wǎng)絡(luò)訪(fǎng)問(wèn)控制方法。

40、根據(jù)本公開(kāi)的又一個(gè)方面，提供一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，其上存儲(chǔ)有計(jì)算機(jī)指令，所述計(jì)算機(jī)指令被處理器執(zhí)行時(shí)實(shí)現(xiàn)上述的網(wǎng)絡(luò)訪(fǎng)問(wèn)控制方法。

41、根據(jù)本公開(kāi)的又一個(gè)方面，提供一種計(jì)算機(jī)程序產(chǎn)品，計(jì)算機(jī)程序產(chǎn)品存儲(chǔ)有指令，所述指令在由計(jì)算機(jī)執(zhí)行時(shí)，使得計(jì)算機(jī)實(shí)施上述的網(wǎng)絡(luò)訪(fǎng)問(wèn)控制方法。

42、根據(jù)本公開(kāi)的又一個(gè)方面，提供一種芯片，包括至少一個(gè)處理器和接口；

43、接口，用于為至少一個(gè)處理器提供程序指令或者數(shù)據(jù)；

44、至少一個(gè)處理器用于執(zhí)行程序指令，以實(shí)現(xiàn)上述的網(wǎng)絡(luò)訪(fǎng)問(wèn)控制方法。

45、本公開(kāi)實(shí)施例所提供的網(wǎng)絡(luò)訪(fǎng)問(wèn)控制方法及系統(tǒng)，當(dāng)終端嘗試通過(guò)vpn客戶(hù)端訪(fǎng)問(wèn)網(wǎng)絡(luò)時(shí)，會(huì)攜帶訪(fǎng)問(wèn)憑證發(fā)送網(wǎng)絡(luò)訪(fǎng)問(wèn)請(qǐng)求至vpn服務(wù)器。隨后，vpn服務(wù)器使用憑證簽發(fā)系統(tǒng)的公鑰對(duì)數(shù)字簽名進(jìn)行驗(yàn)證，這種方法利用非對(duì)稱(chēng)加密技術(shù)，確保只有經(jīng)過(guò)授權(quán)的憑證才能通過(guò)驗(yàn)證，進(jìn)一步加強(qiáng)了安全防護(hù)措施；一旦數(shù)字簽名驗(yàn)證成功，vpn服務(wù)器將根據(jù)訪(fǎng)問(wèn)憑證中的權(quán)限標(biāo)識(shí)開(kāi)啟相應(yīng)的網(wǎng)絡(luò)訪(fǎng)問(wèn)通道，這種方式允許企業(yè)根據(jù)實(shí)際需要靈活設(shè)置不同用戶(hù)的訪(fǎng)問(wèn)權(quán)限，既可以保護(hù)敏感資源不被未授權(quán)訪(fǎng)問(wèn)，又能滿(mǎn)足員工對(duì)內(nèi)外網(wǎng)資源的不同訪(fǎng)問(wèn)需求，例如，可以允許部分員工同時(shí)訪(fǎng)問(wèn)內(nèi)網(wǎng)和外網(wǎng)；本公開(kāi)實(shí)施例不僅提高了信息安全性，減少了潛在風(fēng)險(xiǎn)，同時(shí)也支持了企業(yè)內(nèi)部不同部門(mén)間差異化的網(wǎng)絡(luò)訪(fǎng)問(wèn)需求。

46、應(yīng)當(dāng)理解的是，以上的一般描述和后文的細(xì)節(jié)描述僅是示例性和解釋性的，并不能限制本公開(kāi)。