数据访问控制方法和装置的制造方法
【技术领域】
[0001]本发明涉及计算机技术领域,特别是涉及一种数据访问控制方法和装置。
【背景技术】
[0002]VPN (Virtual Private Network)是虚拟专用网络,其功能是在公用网络上建立专用网络,进行加密通讯。VPN虚拟专线是指用户通过互联网访问VPN,再通过VPN建立与专用网络,比如与企业内网之间的通信隧道。在建立通信隧道之后只允许用户访问企业内网,不允许访问其它网络。
[0003]传统技术中,当终端通过VPN接入企业内网后,就不允许访问互联网,从而防止黑客通过互联网远程控制用户的终端设备来入侵企业内网。然而,如果在接入企业内网前用户的终端设备已经中了病毒,那么病毒仍可以访问企业内网,从而攻击和感染企业内网,最后可能导致整个企业内网瘫痪。因此,传统的数据访问控制方法其安全性并不高。
【发明内容】
[0004]基于此,有必要针对上述技术问题,提供一种更安全的数据访问控制方法和装置。
[0005]—种数据访问控制方法,包括:
[0006]接收终端应用发送的数据包;
[0007]接收终端应用发送的数据包;
[0008]判断所述数据包是否存在预设的应用标识;
[0009]若判断为是,则将所述数据包发送至专用网络,否则丢弃所述数据包。
[0010]在其中一个实施例中,所述判断所述数据包是否存在预设的应用标识的步骤之前,还包括:
[0011]判断所述数据包访问的目标地址是否是专用网络地址;
[0012]若判断为是,则判断所述数据包是否存在预设的应用标识。
[0013]在其中一个实施例中,所述判断是否能从接收到的所述数据包是否存在中获取到预设的应用标识的步骤包括:
[0014]提取所述数据包中预设位置处的固定长度的数据;
[0015]判断所述固定长度的数据是否成功解密;
[0016]若判断为是,则确定所述固定长度的数据为所述预设的应用标识。
[0017]在其中一个实施例中,所述固定长度的数据是在所述终端应用发送数据包之前通过挂钩技术在数据包中预设位置处增加的加密的应用标识。
[0018]在其中一个实施例中,所述将所述数据包发送至专用网络的步骤包括:
[0019]删除所述数据包中的所述预设的应用标识,以获得原始数据包;
[0020]加密所述原始数据包,以获得加密数据包;
[0021 ] 发送所述加密数据包至专用网络。
[0022]—种数据访问控制装置,包括:
[0023]接收模块,用于接收终端应用发送的数据包;
[0024]处理模块,用于判断所述数据包是否存在预设的应用标识,如果存在所述预设的应用标识,则将所述数据包发送至专用网络,如果不能从接收到的数据包中获取到预设的应用标识,则丢弃所述数据包。
[0025]在其中一个实施例中,所述处理模块还用于判断所述数据包访问的目标地址是否是专用网络地址,若是,则再判断所述数据包是否存在预设的应用标识。
[0026]在其中一个实施例中,所述处理模块包括:
[0027]提取单元,用于提取所述数据包中预设位置处的固定长度的数据;
[0028]处理单元,用于判断所述固定长度的数据是否成功解密,若判断为是,则确定所述固定长度的数据为所述预设的应用标识。
[0029]在其中一个实施例中,所述固定长度的数据是在所述终端应用发送数据包之前通过挂钩技术在数据包中预设位置处增加的加密的应用标识。
[0030]在其中一个实施例中,所述处理单元还用于
[0031]删除所述数据包中的所述预设的应用标识,以获得原始数据包;
[0032]加密所述原始数据包,以获得加密数据包;
[0033]发送所述加密数据包至专用网络。
[0034]上述数据访问控制方法和装置,在接收终端应用发送的数据包时,判断所述数据包是否存在预设的应用标识,确保了只有预先设置的可信任的应用才能发送数据包到专用网络,确保了访问专用网络的应用是可信任的应用,避免了可能携带病毒或木马的应用访问专用网络从而给专用网络带来安全风险,因此,上述数据访问控制方法和装置能提高数据访问的安全性。
【附图说明】
[0035]图1为一个实施例数据访问控制方法的应用环境图;
[0036]图2为一个实施例中数据访问控制方法的流程图;
[0037]图3为另一个实施例中数据访问控制方法的流程图;
[0038]图4为再一个实施例中数据访问控制方法的流程图;
[0039]图5为一个实施例中数据访问控制装置的结构框图;
[0040]图6为一个实施例中处理模块的结构框图。
【具体实施方式】
[0041]本发明实施例所提供的数据访问控制方法可应用于如图1所示的系统中,参考图1所示,数据访问控制装置接收各个终端发送的数据包,这些数据包包括带加密的应用标识的数据包和不带加密的应用标识的数据包,发送带加密的应用标识的数据包的应用为预先设置的可信任的应用,而发送不带加密的应用标识的数据包的应用则认为是病毒程序或非法程序。预先在数据访问控制装置中设置有可信任的应用列表,该应用列表中包含了可信任的应用对应的应用标识。应用标识用于唯一标识一个应用,可以是应用名称或者是为应用所分配的标识号码等。数据访问控制装置中运行一种数据访问控制方法,数据访问控制装置接收到数据包,对数据包进行处理以判断是否能从其中获取到对应的应用标识,如果能获取到则认定该数据包是可信任的应用发送的,即是合法数据包,否则认定为是病毒程序或非法程序发送的。进一步的,数据访问控制装置对可信任的应用发送的数据包加密后传送给VPN,VPN对数据包进行解密后发送到企业内网,实现可信任的应用对企业内网的访问。
[0042]如图2所示,在一个实施例中,提供了一种数据访问控制方法,该方法可应用于如图1所示的数据访问控制装置中,具体包括以下步骤:
[0043]步骤202,接收终端应用发送的数据包。
[0044]本实施例中,终端上运行各种应用,这些应用访问专用网络(如企业内网)时,需通过VPN进行访问。在终端和VPN之间设有数据访问控制装置,接收终端应用发送的数据包,用于访问专用网络。
[0045]步骤204,判断所述数据包是否存在预设的应用标识,若是,则进入步骤206,否则进入步骤208。
[0046]本实施例中,预先存储可信任应用的应用标识,对应这些应用标识的应用被认为是可信任的,也就是可以接入和访问专用网络。如果从接收到的数据包中能获取到预先设置好的的应用标识,则认为是可信任的应用发送来的数据包,否则认为是病毒程序或非法程序所发送来的数据包。具体的,可在应用发送数据包之前通过挂钩技术在数据包的内容中嵌入对应的应用标识,以便数据访问控制装置可以从数据包中获取到对应的应用标识。
[0047]步骤206,若判断为是,则将数据包发送到专用网络。
[0048]本实施例中,如果从接收到的数据包中能获取到预设的应用标识,则删除掉数据包中的该应用标识,再将数据包发送到专用网络。具体的,可将数据包先发送至VPN,由VPN转发至专用网络。进一步的,可对数据包进行加密后再发送到专用网络,进一步提高数据传输的安全性,具体的,对数据包进行加密的算法可以为非对称算法、对称算法等。
[0049]步骤208,否则,则丢弃所述数据包。
[0050]本实施例中,如果从接收到的数据包中获取不到对应的应用标识,则认为是病毒程序或非法程序发送来的数据包,丢弃所述数据包,不允许访问专用网络。当然,在其它实施例中,还可以对所述数据包的合法性进行进一步的检测。
[0051]本实施例中,在接收终端应用发送的数据包时,判断是否能从接收到的数据包获取到预设的应用标识,确保了只有预先设置的可信任的应用才能发送数据包到专用网络,确保了访问专用网络的应用是可信任的应用,避免了可能携带病毒或木马的应用访问专用网络从而给专用网络带来安全风险,因此,上述数据访问控制方法能提高数据访问的安全性。
[0052]如图3所示,在一个实施例中,提供了一种数据访问控制方法,该方法可应用于如图1所示的数据访问控制装置中,具体包括:
[0053]步骤302,接收终端应用发送的数据包。
[0054]本实施例中,终端上运行各种应用,这些应用访问专用网络(如企业内网)时,需通过VPN进行访问。在终端和VPN之间设有数据访问控制装置,接收终端应用发送的数据包,用于访问专用网络。
[0055]步骤304,提取所述数据包中的预设位置处的固定长度的数据。
[0056]本实施例中,终端应用发送的数据包的预设位置处增加了加密的应用标识,所述预设位置处优选为数据包中的最前面的预设字节。
[0057]在一个实施例中,固定长度的数据是终端应用发送数据包之前通过挂钩技术在数据包中预设位置处增加的加密的应用标识。
[0058]挂钩技术,也称为API Η00Κ,是一种用于改变API执行结果的技术,通过APIΗ00Κ,可以改变API的原有功能,基本的方法是通过HOOK “接触”到需要修改的API函数入口点,改变它的地址指向新的自定义的函数。
[0059]本实施例中,预先提供一个SDK包,SDK包合入可信任的应用中,该SDK包实现的功能是对应用发送的数据包进行挂钩,修改数据包的内容,在数