一种非法外联处理方法及系统与流程

本申请涉及通信技术领域，尤其涉及一种非法外联处理方法及系统。

背景技术：

当前一些具有较高安全性要求的机构单位(如政府机构、军事机构)，为了保证内部资源的安全，常常采用物理隔离的方法。物理隔离确保了外部网络和内部网络之间不存在任何可能的物理链路，切断了内部资源外泄的可能性。

但事实恰恰相反，由于管理制度的不健全或者缺乏有效的终端监控技术，内部网络中个别用户利用电话拨号、即插即用的互联网接入设备，连接外部网络进行私人操作，物理隔离环境被破坏，这样外部网络与内部网络之间出现了新的连接通道，外部黑客攻击或者病毒就能够绕过内部网络与外部网络之间的防护屏障，顺利侵入非法外联的终端，盗窃内部网络的敏感信息和机密数据，甚至利用该终端作为跳板，攻击、传染内部网络的其它终端，导致整个内部网络瘫痪。由此可以看出，非法外联是影响内部资源安全的重要方面，有效防范非法外联，对确定内部资源安全意义重大。因此需要及时检测出非法外联行为，以及针对非法外联行为作出相应的处理。

技术实现要素：

有鉴于此，本申请提供一种非法外联处理方法及系统。

具体地，本申请是通过如下技术方案实现的：

一种非法外联处理方法，其特征在于，多个终端与portal认证设备建立连接，所述方法包括：

对于任一终端上的浏览器客户端，执行以下步骤：

按照预设的第一时间段，周期性地访问预设的url；

监测是否接收到所述预设的url的响应；

在接收到所述预设的url的响应的情况下，确定所述终端存在非法外联，将所述终端的标识发送给portal认证设备，以告知portal认证设备所述终端存在非法外联；

portal认证设备接收终端的标识，根据终端的标识确定存在非法外联的终端，禁止存在非法外联的终端访问内网资源。

一种非法外联处理系统，其特征在于，所述系统包括：多个终端、portal认证设备，其中多个终端与portal认证设备建立连接：

对于任一终端上的浏览器客户端，执行以下步骤：

按照预设的第一时间段，周期性地访问预设的url；

监测是否接收到所述预设的url的响应；

在接收到所述预设的url的响应的情况下，确定所述终端存在非法外联，将所述终端的标识发送给portal认证设备，以告知portal认证设备所述终端存在非法外联；

portal认证设备接收终端的标识，根据终端的标识确定存在非法外联的终端，禁止存在非法外联的终端访问内网资源。

本申请终端上的浏览器客户端周期性地访问预设的url，监测是否接收到所述预设的url的响应，以此来判断终端是否存在非法外联，其中对于存在非法外联的终端，portal认证设备禁止其访问内网资源。如此可以有效地检测出非法外联行为，确保内网资源的安全。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对实施例描述中所需要的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。

图1是本申请一示例性实施例示出的一种多个终端与portal认证设备的连接示意图；

图2是本申请一示例性实施例示出的一种终端与portal认证设备的交互流程示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

如图1所示，多个终端与portal认证设备建立连接，任一终端均可通过portal认证设备访问内网资源。由于管理制度的不健全或者缺乏有效的终端监控技术，内部网络中个别用户利用电话拨号、即插即用的互联网接入设备，连接外部网络进行私人操作，物理隔离环境被破坏，这样外部网络与内部网络之间出现了新的连接通道，外部黑客攻击或者病毒就能够绕过内部网络与外部网络之间的防护屏障，顺利侵入非法外联的终端，盗窃内部网络的敏感信息和机密数据，甚至利用该终端作为跳板，攻击、传染内部网络的其它终端，导致整个内部网络瘫痪。由此可以看出，非法外联是影响内部资源安全的重要方面，有效防范非法外联，对确定内部资源安全意义重大。因此需要及时检测出非法外联行为，以及针对非法外联行为作出相应的处理。

针对上述技术问题，本申请提出一种技术方案，对于任一终端上的浏览器客户端(可以是当前任意浏览器客户端)，按照预设的第一时间段，周期性地访问预设的url，监测是否接收到该预设的url的响应，在接收到该预设的url的响应的情况下，确定终端存在非法外联，将此终端的标识告知portal认证设备，以告知此终端存在非法外联，在portal认证设备这一侧，接收终端的标识，可以确定存在非法外联的终端，并禁止其访问内网资源。如此可以有效地检测出非法外联行为，确保内网资源的安全。为了对本申请进一步说明，提供下列实施例：

如图2所示，为本申请实施例提供的一种非法外联处理方法的交互流程示意图，该方法具体可以包括以下步骤：

对于任一终端上的浏览器客户端，执行以下步骤：

s201，按照预设的第一时间段，周期性地访问预设的url；

在本申请中，终端与portal认证设备建立连接，并通过portal认证登录至portal认证设备(这里登录portal认证设备，其目的是为了通过portal认证设备访问内网资源，意味着内网资源只有通过portal认证设备才可以访问)，在portal认证设备这一侧，记录该终端的状态为登录状态，终端上的浏览器客户端提示登录成功。

在终端登录成功portal认证设备之后，浏览器客户端按照预设的第一时间段，周期性地访问预设的url，其中预设的第一时间段、预设的url可以根据实际需求设置，预设的url为可访问的url，例如https://www.baidu,com。例如浏览器客户端每秒都访问https://www.baidu,com。

s202，监测是否接收到所述预设的url的响应；

针对s201中预设的url(可以称为探测url)，浏览器客户端监测是否接收到探测url的响应。假设用户通过无线网卡或者其它方式连接外网，浏览器客户端会接收到探测url的响应，否则不会接收到，以此可以探测出该终端是否存在非法外联。

s203，在接收到所述预设的url的响应的情况下，确定所述终端存在非法外联，将所述终端的标识发送给portal认证设备，以告知portal认证设备所述终端存在非法外联；

在接收到所述预设的url的响应的情况下，确定所述终端存在非法外联，表明用户私自连接了外网，浏览器客户端将该终端的标识发送给portal认证设备，以告知portal认证设备该终端存在非法外联。其中终端的标识可以是终端id、终端的mac地址、终端的ip地址等等。

s204，portal认证设备接收终端的标识，根据终端的标识确定存在非法外联的终端，禁止存在非法外联的终端访问内网资源。

对于任一终端上的浏览器客户端，portal认证设备接收其发送的终端的标识，根据该终端的标识可以确定存在非法外联的终端，禁止存在非法外联的终端访问内网资源，并将其状态强制调整为下线状态(对应于登录状态)。

另外，portal认证设备还需要生成非法外联日志，用于记录存在非法外联的终端。

再者，portal认证设备将禁止访问内网资源的事件返回给存在非法外联的终端，提示用户存在非法外联的行为，并且立即终止非法外联的行为。由此用户知道自身非法外联的行为已被检测到，且自身所使用的终端已无法访问内网资源，可以有效保证内网资源的安全。

优选的，本申请实施例还包括以下步骤：

任一终端终端上的浏览器客户端按照预设的第二时间段，周期性地向portal认证设备发送心跳报文；

portal认证设备按照预设的第三时间段，周期性地判断是否收到心跳报文；

在未收到心跳报文的情况下，禁止未发出心跳报文的浏览器客户端对应的终端访问内网资源。

其中，心跳报文的格式以及内容无固定形式，例如：可以通过ajax发送httpget请求。

例如，浏览器客户端每秒向portal认证设备发送心跳报文，portal认证设备每10秒判断一次是否接收到浏览器客户端发送的心跳报文，若未收到浏览器客户端发送的心跳报文，则表明用户已关闭浏览器，且可能存在非法外联行为，portal认证设备则禁止未发出心跳报文的浏览器客户端对应的终端访问内网资源，并将其状态强制调整为下线状态(对应于登录状态)，意味着只用用户关闭浏览器客户端，portal认证设备禁止未发出心跳报文的浏览器客户端对应的终端访问内网资源。

其中在本申请中，上述预设的第一时间段、预设的第二时间段、预设的第三时间段可以彼此相同，也可以彼此不同。

由以上对本申请提供的技术方案的描述，对于任一终端上的浏览器客户端(可以是当前任意浏览器客户端)，按照预设的第一时间段，周期性地访问预设的url，监测是否接收到该预设的url的响应，在接收到该预设的url的响应的情况下，确定终端存在非法外联，将此终端的标识告知portal认证设备，以告知此终端存在非法外联，portal认证设备接收终端的标识，可以确定存在非法外联的终端，并禁止其访问内网资源。如此可以有效地检测出非法外联行为，确保内网资源的安全。

相对于上述方法实施例，本申请还提供一种非法外联处理系统：

一种非法外联处理系统，其特征在于，所述系统包括：多个终端、portal认证设备，其中多个终端与portal认证设备建立连接：

对于任一终端上的浏览器客户端，执行以下步骤：

按照预设的第一时间段，周期性地访问预设的url；

监测是否接收到所述预设的url的响应；

在接收到所述预设的url的响应的情况下，确定所述终端存在非法外联，将所述终端的标识发送给portal认证设备，以告知portal认证设备所述终端存在非法外联；

portal认证设备接收终端的标识，根据终端的标识确定存在非法外联的终端，禁止存在非法外联的终端访问内网资源。

上述系统中各个单元的作用实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

由以上对本申请提供的技术方案的描述，对于任一终端上的浏览器客户端(可以是当前任意浏览器客户端)，按照预设的第一时间段，周期性地访问预设的url，监测是否接收到该预设的url的响应，在接收到该预设的url的响应的情况下，确定终端存在非法外联，将此终端的标识告知portal认证设备，以告知此终端存在非法外联，portal认证设备接收终端的标识，可以确定存在非法外联的终端，并禁止其访问内网资源。如此可以有效地检测出非法外联行为，确保内网资源的安全。

对于系统实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

本发明可以在由计算机执行的计算值可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本发明，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。

以上所述仅是本发明的具体实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。