访问控制方法、装置、终端、连接器及存储介质与流程

1.本技术涉及网络技术领域，尤其涉及一种访问控制方法、装置、终端、连接器及存储介质。


背景技术：

2.相关技术中，基于防火墙的物理边界进行网络安全防御，前提是假设企业所有的办公设备和数据资源都在内网，并且内网是完全可信的。随着远程办公的普及，外部终端通过虚拟专用网络(vpn，virtual private network)接入内网后，拥有内网的所有的访问权限，存在数据泄漏的安全性问题。


技术实现要素：

3.有鉴于此，本技术实施例提供一种访问控制方法、装置、终端、连接器及存储介质，以至少解决相关技术中数据泄漏的安全性问题。
4.本技术实施例的技术方案是这样实现的：
5.本技术实施例提供了一种访问控制方法，应用于终端，所述方法包括：
6.基于第一信息加密生成第一标识；
7.当第一请求对应的应用属于第一应用集合时，在所述第一请求中添加所述第一标识；
8.向网关发送添加了所述第一标识的第一请求；其中，
9.所述第一信息表征终端和/或用户的身份；所述第一请求用于请求对对应的应用进行访问；所述第一应用集合表征基于所述第一信息确定的允许访问的应用的集合。
10.其中，上述方案中，所述向网关发送添加了所述第一标识的第一请求，包括：
11.通过vpn隧道向所述网关发送添加了所述第一标识的第一请求。
12.上述方案中，所述方法还包括：
13.每隔设定周期向控制器上报第二信息；所述第二信息用于确定所述终端的安全状态。
14.上述方案中，所述方法还包括：
15.向控制器发送所述第一信息；
16.接收所述控制器发送的第一应用集合；所述第一应用集合由所述控制器基于所述第一信息确定。
17.本技术实施例还提供了一种访问控制方法，应用于连接器，所述方法包括：
18.接收网关转发的第一终端的第一请求；所述第一请求用于请求对对应的应用进行访问；
19.当卸载所述第一请求得到的卸载结果中包含第一标识时，向所述第一请求对应的应用的服务器发送所述第一请求；其中，
20.所述第一标识由所述第一终端基于第一信息生成；所述第一信息表征终端和/或
用户的身份。
21.上述方案中，所述方法还包括：
22.当所述卸载结果中不包含第一标识时，丢弃所述第一请求。
23.上述方案中，所述方法还包括：
24.向控制器发送第三信息；所述第三信息表征所述卸载结果；
25.接收所述控制器发送的关于所述卸载结果的验证结果；所述验证结果表征所述卸载结果中是否包含第一标识。
26.本技术实施例还提供了一种访问控制装置，包括：
27.加密单元，用于基于第一信息加密生成第一标识；
28.添加单元，用于当第一请求对应的应用属于第一应用集合时，在所述第一请求中添加所述第一标识；
29.第一发送单元，用于向网关发送添加了所述第一标识的第一请求；其中，
30.所述第一信息表征终端和/或用户的身份；所述第一请求用于请求对对应的应用进行访问；所述第一应用集合表征基于所述第一信息确定的允许访问的应用的集合。
31.本技术实施例还提供了一种访问控制装置，包括：
32.第一接收单元，用于接收网关转发的第一终端的第一请求；所述第一请求用于请求对对应的应用进行访问；
33.第二发送单元，用于当卸载所述第一请求得到的卸载结果中包含第一标识时，向所述第一请求对应的应用的服务器发送所述第一请求；其中，
34.所述第一标识由所述第一终端基于第一信息生成；所述第一信息表征终端和/或用户的身份。
35.本技术实施例还提供了一种终端，包括：第一处理器和用于存储能够在处理器上运行的计算机程序的第一存储器，
36.其中，所述第一处理器用于运行所述计算机程序时，执行上述终端侧的任一访问控制方法的步骤。
37.本技术实施例还提供了一种连接器，包括：第二处理器和用于存储能够在处理器上运行的计算机程序的第二存储器，
38.其中，所述第二处理器用于运行所述计算机程序时，执行上述连接器侧的任一访问控制方法的步骤。
39.本技术实施例还提供了一种存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述终端侧的任一访问控制方法的步骤，或者，实现上述控制器侧的任一访问控制方法的步骤。
40.本技术实施例的访问控制方法、装置、终端、连接器及存储介质，基于终端和/或用户的身份确定允许访问的第一应用集合，当终端的第一请求所请求访问的应用属于第一应用集合时，终端在第一请求中添加第一标识，并向网关发送添加了第一标识的第一请求。连接器接收到网关转发的第一请求，卸载第一请求判断终端是否包含第一标识，从而确定是否向对应的应用的服务器发送第一请求。相较于基于防火墙的物理边界进行网络安全防御的访问控制方式，在本技术实施例中，在终端进行应用访问时，基于终端和/或用户的身份确定允许访问的应用集合，将允许访问的应用的请求转发到对应的服务器，从而实现应用
级的细粒度的访问控制。
附图说明
41.图1为本技术实施例提供的一种终端侧访问控制方法的流程示意图；
42.图2为本技术实施例提供的一种连接器侧访问控制方法的流程示意图；
43.图3为本技术应用实施例提供的访问控制方法的流程示意图；
44.图4为本技术应用实施例提供的一种网络系统示意图；
45.图5为本技术应用实施例提供的一种网络系统架构图；
46.图6为本技术应用实施例提供的一种网络流程示意图；
47.图7为本技术实施例提供的一种访问控制装置的结构示意图；
48.图8为本技术实施例提供的另一种访问控制装置的结构示意图；
49.图9为本技术实施例提供的终端的结构示意图；
50.图10为本技术实施例提供的连接器的结构示意图。
具体实施方式
51.相关技术中，基于防火墙的物理边界进行网络安全防御，前提是假设企业所有的办公设备和数据资源都在内网，并且内网是完全可信的。随着用户网络环境多样化(公司内网办公、家庭网络办公)，远程办公逐渐普及，外部终端通过vpn接入内网后，拥有内网的所有的访问权限，存在数据泄漏的安全性问题。
52.基于此，在本技术的各种实施例中，基于终端和/或用户的身份确定允许访问的第一应用集合，当终端的第一请求所请求访问的应用属于第一应用集合时，终端在第一请求中添加第一标识，并向网关发送添加了第一标识的第一请求。连接器接收到网关转发的第一请求，卸载第一请求判断终端是否包含第一标识，从而确定是否向对应的应用的服务器发送第一请求。相较于基于防火墙的物理边界进行网络安全防御的访问控制方式，在本技术实施例中，在终端进行应用访问时，基于终端和/或用户的身份确定允许访问的应用集合，将允许访问的应用的请求转发到对应的服务器，从而实现应用级的细粒度的访问控制。
53.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。
54.本技术实施例提供了一种访问控制方法，应用于终端，其中，终端包括但不限于手机、平板等电子设备。如图1所示，该方法包括：
55.步骤101：基于第一信息加密生成第一标识。
56.其中，所述第一信息表征终端和/或用户的身份。
57.在本实施例中，终端加密第一信息，生成第一标识。这里，终端对第一信息的加密，可以利用控制器对终端的身份验证信息通过后下发的安全证书进行加密。第一信息表征终端和/或用户的身份，可以包括用户身份标识如用户通用唯一识别码(uuid，universally unique identifier)、终端设备uuid、硬件标识中的一个或多个。第一标识是一个字符串标识。
58.步骤102：当第一请求对应的应用属于第一应用集合时，在所述第一请求中添加所
述第一标识。
59.其中，所述第一请求用于请求对对应的应用进行访问；所述第一应用集合表征基于所述第一信息确定的允许访问的应用的集合。
60.终端通过客户端劫持所有数据，判断待发送的第一请求对应的应用是否属于第一应用集合，当第一请求对应的应用属于第一应用集合时，在第一请求中添加第一标识。这里，第一请求用于请求对对应的应用服务器进行访问，可以是超文本传输协议(http，hypertext transfer protocol)或超文本传输安全协议(https，hyper text transfer protocol over securesocket layer)请求。第一应用集合是基于第一信息确定的允许终端访问的应用集合，第一应用集合包括允许访问的应用信息，如应用授权码。可以通过在第一请求的请求头中添加第一标识，实现在第一请求中添加第一标识。
61.步骤103：向网关发送添加了所述第一标识的第一请求。
62.在第一请求添加了第一标识之后，向网关发送添加了第一标识的第一请求。这里，对应的应用不属于第一应用集合时，则第一请求不添加第一标识。终端不会向网关发送未添加第一标识的第一请求。
63.这样，相较于基于防火墙的物理边界进行网络安全防御的访问控制方式，在本技术实施例中，在终端进行应用访问时，基于终端和/或用户的身份确定允许访问的应用集合，在允许访问的应用的对应的第一请求中添加第一标识，基于携带的第一标识，授权允许访问的应用对应的第一请求可以被转发到对应的应用服务器，从而实现应用级的细粒度访问控制。
64.在一实施例中，所述方法还包括：
65.向控制器发送所述第一信息；
66.接收所述控制器发送的第一应用集合；所述第一应用集合由所述控制器基于所述第一信息确定。
67.终端在向网关发送添加了第一标识的第一请求之前，接收控制器发送的基于第一信息确定的第一应用集合。这样，在终端进行应用访问时，控制器基于终端和/或用户的身份确定访问策略，将允许访问的第一应用集合下发给对应的终端，终端基于授权访问的应用集合，判断是否在用于请求访问应用的第一请求中添加第一标识，这样，基于携带的第一标识，授权访问的应用对应的第一请求可以被转发到对应的应用服务器，从而实现应用级的细粒度访问控制。同时，基于第一应用集合实现终端对第一请求的筛选，对应于未授权应用的请求将不会发出，从而降低网关压力。
68.在一实施例中，所述向网关发送添加了所述第一标识的第一请求，包括：
69.通过vpn隧道向所述网关发送添加了所述第一标识的第一请求。
70.在终端向网关发送添加了第一标识的第一请求之前，终端先与控制器进行用户信息认证，控制器验证用户uuid、终端设备uuid、证书和秘钥等信息，在认证通过后向终端下发用于建立vpn隧道的安全证书，并对网关设置策略进行配置，终端与网关建立vpn隧道。在终端在第一请求中添加了第一标识之后，通过vpn隧道向网关发送添加了第一标识的第一请求。这里，网关是对外隐身的，对外不开放任何固定端口，使业务服务器仅对授权的电子设备可见，只有控制器对网关设置策略后，终端才可访问网关，同时，只有对网关设置的策略允许该终端访问对应的应用的网关网际互连协议(ip，internet protocol)，网关才会进
一步做权限验证，否则直接丢弃第一请求。
71.这样，终端通过与网关建立vpn隧道，使应用服务器仅对授权的终端可见，从而保障企业服务的隐身性，实现请求信息在终端与应用服务器之间的安全传输。
72.在一实施例中，所述方法还包括：
73.每隔设定周期向控制器上报第二信息；所述第二信息用于确定所述终端的安全状态。
74.终端每隔设定周期向控制器上报用于确定终端的安全状态的第二信息。这里，终端向控制器上报第二信息可以是在终端与网关的vpn隧道建立之后。当控制器超过两个设定周期未接收到终端上报的第二信息，或基于上报的第二信息检测出终端存在异常，则通知网关注销vpn隧道。终端的安全风险可以是未通过基线检查，如检测到可疑进程等。
75.这样，可以提高终端与应用服务器之间的信息传输的实时安全性。
76.本技术实施例提供了一种访问控制方法，应用于连接器。如图2所示，该方法包括：
77.步骤201：接收网关转发的第一终端的第一请求。
78.其中，所述第一请求用于请求对对应的应用进行访问。
79.连接器接收网关转发的第一终端发送的第一请求。这里，第一终端发送的第一请求用于第一终端请求对对应的应用服务器进行访问。第一请求用于请求对对应的应用服务器进行访问，可以是http或https请求。
80.步骤202：当卸载所述第一请求得到的卸载结果中包含第一标识时，向所述第一请求对应的应用的服务器发送所述第一请求。
81.其中，所述第一标识由所述第一终端基于第一信息生成；所述第一信息表征终端和/或用户的身份。
82.连接器对接收到的第一请求进行卸载，得到第一请求对应的卸载结果，并判断卸载结果中是否包含第一标识，当连接器确定卸载结果中包含有第一标识时，向第一请求对应的应用服务器转发第一请求。这里，第一标识由终端基于表征终端和/或用户的身份的第一信息生成。判断卸载结果中是否包含第一标识，卸载结果可以是对第一请求卸载得到的第一请求头，判断第一请求头中是否包含第一标识。
83.这样，连接器基于第一请求对应的卸载结果进行校验，基于卸载结果是否包含第一标识，可以确定发送第一请求的终端是否获授权访问应用，当确定发送第一请求的终端包含第一标识，则转发第一请求给对应的应用服务器，从而实现应用级的细粒度的访问控制。
84.在一实施例中，所述方法还包括：
85.当所述卸载结果中不包含第一标识时，丢弃所述第一请求。
86.当连接器确定卸载得到的卸载结果中不包含有第一标识时，丢弃第一请求，不向第一请求对应的应用服务器转发第一请求。这里，卸载结果中不包含有第一标识的情况，可以是卸载结果中没有基于第一信息生成的标识，也可以是对第一标识的校验失败，如卸载结果包含的标识并不是第一终端对应的第一标识。这样，通过丢弃不包含第一标识的第一请求，未授权访问应用的终端发起的请求将不能被转发到对应的应用服务器，从而减少应用服务器的压力，实现细粒度的访问控制。
87.在一实施例中，所述方法还包括：
88.向控制器发送第三信息；所述第三信息表征所述卸载结果；
89.接收所述控制器发送的关于所述卸载结果的验证结果；所述验证结果表征所述卸载结果中是否包含第一标识。
90.在得到对应的卸载结果之后，连接器向控制器发送表征卸载结果的第三信息。控制器基于第一信息和安全证书对卸载结果中是否包含第一标识进行验证，并向连接器发送验证结果。连接器接收控制器发送的关于卸载结果中是否包含第一标识的验证结果，并基于接收到的验证结果确定卸载结果中是否包含第一标识。这里，连接器向控制器发送包含有卸载结果的第三信息，控制器可以是在确定第一应用集合时得到的第一信息，安全证书可以是由策略服务器下发的。
91.这样，通过确定卸载结果中是否包含对应的第一标识，判断第一请求是否可以发送到对应的应用服务器，从而实现应用级的细粒度的访问控制。
92.下面结合应用实施例对本技术再作进一步的详细描述。
93.结合图3，对应的访问控制方法，包括以下步骤：
94.步骤1：基线检查。
95.终端的客户端启动后，通过客户端进行基线检查，包括检测上报操作系统信息、硬件基础信息、系统补丁、杀毒软件检测、病毒库检测、非法软件检测、注册表检查项、账号安全检测、访问控制检测、安全配置检测、资源控制检测、安全审计。需要修复未通过检测项之后，才能使用其他功能。在基线检查通过后，进入步骤2。
96.步骤2：信息认证。
97.终端通过客户端与控制器进行控制指令交互，将表征终端和/或用户的身份的第一信息上传至控制器。
98.步骤3：认证反馈。
99.控制器基于接收到的第一信息，验证是否为可信用户、可信设备，下发给终端的客户端策略信息(第一应用集合)用于控制器设置终端的客户端策略，同时下发安全证书和ip、秘钥等，以便终端与网关建立隧道。
100.步骤4：设置dns、策略，启动虚拟网卡。
101.终端通过客户端设置dns，基于获取的客户端策略信息配置客户端。获取的客户端策略信息包括终端可以访问的应用信息，如应用授权码。
102.客户端策略信息，可以描述允许通过隧道发送的第一请求的特征。例如，可以将客户端策略信息设置为域名为www.abcd.com或ip为172.10.10/24ip段的请求。
103.步骤5：建立vpn隧道。
104.终端通过客户端与网关建立vpn隧道，在网关对用户uuid、终端设备uuid、证书、秘钥验证通过后，建立终端与网关之间的vpn隧道。
105.步骤6：建立传输层安全性协议(tls，transport layer security)长连接。
106.在安全隧道建立成功后，终端与控制器建立tls长连接，实时上报安全状态。控制器会通过tls长连接监测终端状态，监测到异常后，则控制器通知安全网关，注销安全隧道。
107.控制器会通过tls长连接监测终端状态，如终端上是否有可疑进程、是否有安全的杀毒软件等。在控制器监测到两个设定周期未接收到上报信息，或者tls长连接异常，控制器向网关下发注销客户端的隧道的指令，并在网关上清除客户端的网络策略配置信息，从
而实现实时安全检测的一层保障。
108.为检测tls长连接是否正常工作，可以向终端定时发送心跳包，当收到终端对于心跳包的回复则说明在正常工作。
109.步骤7：设置网络权限策略。
110.控制器在与终端的客户端交互后，在网关设置应用级别的网络策略。
111.控制器对有潜在风险的会话，向网关下发注销客户端的隧道的指令，并在网关上清除客户端的网络策略配置信息。由于安全网关对外隐身，只有满足控制器设置的策略并鉴权通过的终端才可访问。
112.步骤8：劫持第一请求，添加第一标识。
113.终端通过客户端劫持终端上的所有网络流量，并对网络流量进行过滤：
114.对于不需要保护的网络资源流量，如非企业内外网资源，则不通过隧道传输，降低网关压力。
115.对于需要保护的应用资源，根据协议类型进行不同的处理：对于非http，如用户数据报协议(udp，user datagram protocol)、传输控制协议(tcp，transmission control protocol)或网络控制报文协议(icmp，internet control message protocol)的请求，不进行处理直接走隧道。
116.对于http或https的请求，判断请求对应的应用是否在授权的应用集合内，若判断在授权的应用集合内则在请求头添加第一标识，并通过隧道发送添加了第一标识的请求。
117.第一标识用于应用鉴权。第一标识是一个字符串标识，用从控制器获得的加密证书加密终端ip、本地用户信息、硬件标识等终端信息获得。
118.步骤9：发送数据。
119.终端通过隧道发送tcp、udp、icmp等协议的数据。
120.步骤10：判断是否为cname项数据。
121.网关利用dns判断请求是否为cname规范名字项数据：
122.若数据是cname数据(http或https)，将数据重定向到连接器的http或https的校验、代理模块，由连接器的校验、代理模块对http或https进行卸载并解析第一请求头，从而实现用户授权校验，具体地，连接器把数据来源ip、第一请求头发送给控制器，由控制器进行校验。对于校验不通过的请求数据，连接器直接丢弃。
123.若数据不是cname项数据，校验数据来源ip是否合法，对应的用户是否合法及应用是否授权，校验通过后连接器将数据转发至应用服务器。
124.步骤11：应用授权校验。
125.数据资源即需要保护的内网、外网应用服务器。这里，应用服务器可以进一步验证第一标识，将数据来源ip、第一请求头发送给控制器，由控制器进行校验。
126.在退出时，断开终端的客户端与控制器之间的tls长连接，控制器向网关下发注销客户端的隧道的指令，并在网关上清除客户端的网络策略配置信息。
127.在本应用实施例中，可以在不改动现有的数据资源(应用、服务系统)的基础上；通过对用户、终端的最小授权，解决用户在非公司内网，如家庭网络的远程办公的问题，实现便捷地接入公司内网系统的效果。并且，数据资源的应用、服务系统可以对请求进一步验证。这样，可以解决数据泄漏、内部人员恶意威胁等安全性问题，同时做到更细粒度的访问
控制，并简化终端用户的访问操作。
128.为实现本技术实施例的方法，本技术实施例还提供了一种网络系统示意图，如图4所示，包括终端，业务节点，数据资源(部署于公有云服务和私有云服务)。
129.终端，即安装了设定客户端的终端设备，包括windows/macos电脑、智能手机、平板等。设定客户端可以是软件定义边界(sdp，software defined perimeter)客户端。
130.业务节点，即系统的服务器相关系统，包括控制器、网关、dns、策略服务器、管理端、连接器。
131.数据资源，即用户的部署在公有云或者私有云/内部网络的服务、数据资源。
132.本技术实施例还提供了一种网络系统架构图，如图5所示，包括客户端、通讯层、服务层、连接器、数据资源、全链路跟踪。
133.客户端包括基线检查、流量过滤/劫持、多因子验证、应用授权、持续安全检测模块，与安全网关建立安全隧道。根据配置策略，可在http请求头添加第一标识。
134.客户端的基线检查，包括检测上报操作系统信息、硬件基础信息、系统补丁、杀毒软件检测、病毒库检测、非法软件检测、注册表检查项、账号安全检测、访问控制检测、安全配置检测、资源控制检测、安全审计。当存在检测项未通过的情况，需要在修复成功后才能使用其他功能。
135.客户端的流量劫持，包括流量分析、流量过滤、流量转发功能。根据客户端策略信息描述的特征，对于需要保护的应用资源，根据协议类型进行不同的处理：对于非http，如udp、tcp，不进行处理直接走隧道，对于http或https的请求，判断请求对应的应用是否在授权的应用集合内，若判断在授权的应用集合内则在请求头添加第一标识，并通过隧道发送添加了第一标识的请求。
136.对于不需要保护的网络资源流量，如非企业内外网资源，则不通过隧道传输，降低网关压力。
137.客户端的多因子验证，对用户uuid、设备uuid、证书、秘钥等信息进行验证，并建立隧道。
138.客户端的应用授权，客户端获取客户端策略信息，其中包括终端可以访问的应用，及应用授权码。不在授权的应用集合内的，不允许访问。在授权应用集合内的http/https的应用，在http请求头添加第一标识。
139.客户端的持续安全检测，在建立隧道前及建立隧道后，持续检测终端、用户的安全状态，出现安全风险时，禁止访问内网资源。同时，支持对终端设备的远程控制。对终端设备的远程控制可以由超级管理员可以通过远程桌面、远程shell指令远程控制可疑电脑。
140.客户端的远程控制，在终端设备出现安全风险时，管理员可在管理端对终端设备进行远程控制。
141.通讯层包括负载均衡、tls隧道、套接字socket、tcp/udp、http/https等协议支持。
142.服务层包括控制器、网关、策略服务器、安全管理、web管理端。
143.连接器提供https卸载服务，http/https的应用授权检测，及非http的tcp/udp协议的安全检测，并通过控制器校验http请求头中是否有第一标识。
144.数据资源，即用户的部署在公有云或者私有云/内部网络的服务、数据资源。用户无需改造原有的业务系统。这里，用户可以在业务系统中进一步验证数据来源，如http请求
是否包含第一标识，从而进一步保护数据资源。
145.全链路跟踪提供行为感知、事后的行为审计、风险评估、预警等服务。
146.本技术实施例还提供了一种网络流程示意图，如图6所示。
147.客户端启动后，首先进行基线检查，基线检查通过后，客户端与控制器进行控制指令交互，获取客户端策略信息、证书、秘钥，与网关建立安全隧道。
148.客户端劫持、过滤终端上的所有网络流量，对于不需要保护的网络资源流量，如非企业内外网资源，则不通过隧道传输，降低网关压力。对于需要保护的应用资源，根据协议类型进行不同的处理：http/https请求，基于判断应用对应添加第一标识；非http协议的数据，直接走隧道。客户端基于网络驱动，建立虚拟网络。这里，第一标识可以是x
‑
sdp
‑
token属性。
149.客户端的隧道建立成功后，与控制器建立tls长连接，实时上报安全状态；两个设定周期未上报或者tls长连接异常，则会被终止内网网络请求。
150.控制器与网关，控制器在与客户端协议交互后，在网关设置应用级别的网络策略。
151.控制器验证是否是可信用户、可信设备。
152.控制器的证书服务，为客户端所在终端颁发证书，用于建立隧道。
153.控制器的应用授权服务，对应用生成授权码，对于不同用户有不同的授权码。
154.控制器的权限策略服务，给客户端、网关下发网络策略。对产生安全风险的客户端，控制器直接向网关下发注销该客户端的加密隧道指令，并在网关上清除该客户端的网络策略配置信息。
155.网关对外隐身，即只对鉴权通过后的终端可见，对于其他终端设备不可见。
156.网关的权限管控，对鉴权通过的终端，设置可放行的网络策略。这里，可动态添加、删除用户策略，并立即生效；还支持应用级权限验证。
157.策略服务的用户管理，管理可信的用户信息。策略服务的设备管理，管理可信的设备信息。策略服务的策略管理，配置策略组，策略组里控制的颗粒度为应用，包括要放行的域名、ip。策略服务的策略下发，即把策略下发给终端设备、网关。
158.自建dns，配置需要保护的内网域名，对http/https请求，重定向到连接器的http/https模块。
159.连接器位于网关和内网服务之间，代理所有的访问内网的数据。包括http/https数据，及非http数据如tcp、udp协议数据。连接器。连接器在这一层进一步进行应用授权验证：https请求，进行https卸载，解析http请求头中是否有正确的第一标识；非http请求，校验数据来源ip是否合法，对应的用户是否合法及应用是否授权。
160.全链路跟踪，记录业务数据在整个流向中的轨迹和行为表现。实时分析异常行为、服务器状态、风险评估，并可提供事后的行为审计、流量统计、日志查询等操作。
161.公有云、内网资源，用户需要保护及需要在外网通过sdp访问的数据资源和服务，用户不需要改造业务系统；同时，可以设置将数据来源ip、http请求头发送给控制器，由控制器进行校验，从而进一步验证数据来源是否合法，校验用户、设备是否可信。
162.这样，部署在终端设备的网络劫持、过滤、修改模块，根据客户端策略决定请求是否需要走网关的隧道，对于不需要保护的外网数据，则不需要走网关的隧道，从而降低网关的压力。同时，对终端发起的http/https请求，在请求的http请求头添加第一标识，供连接
器及用户应用验证请求是否合法，没有第一标识的请求或者标识校验失败的请求，直接丢弃。
163.并且，通过搭建内部dns，将http/https重定向到连接器的校验、代理模块，从而进行进一步地卸载处理；非http请求，则直接校验、转发。
164.在本技术各实施例中，对以下名词进行解释：
165.(1)sdp客户端：在终端设备上运行，用于与控制器通信以请求连接，并向控制器发送设备或软件信息等数据。sdp客户端实时地对终端设备进行app安全、网络安全及系统安全检测以及多重用户身份验证，以确保用户身份和终端设备可信。sdp客户端与网关建立隧道，劫持、过滤终端设备的所有网络数据。
166.(2)控制器：控制器可对所有访问请求进行认证和动态授权。控制器可对所有的访问请求进行权限判定，且不再是基于简单的静态规则，而是基于上下文属性、信任等级和安全策略进行动态判定。控制器动态权限判定依据企业身份库、安全策略库、设备信誉库等数据，这些数据来源于sdp安全管控平台。
167.控制器具有负载均衡的作用，根据服务器压力情况，调度终端设备访问不同的网关。
168.(3)网关：即隐身网关，可对访问请求进行验证和过滤，还可以对已授权的访问连接进行监视、记录和报告。隐身网关对外不开放任何固定端口，使应用服务器仅对授权的电子设备可见，从而保障企业服务的隐身性。
169.(4)连接器：在应用服务器和网关之间，提供经过身份验证的安全接口。校验访问数据是否授权，支持用户、设备维度的应用授权校验。
170.连接器可以部署至私有云环境或公共云环境中。
171.(5)sdp安全管控平台：管理员可以通过sdp安全管控平台对所有的sdp客户端和应用服务器进行管理，创建并定义安全策略，为不同用户或用户组设置权限级别。
172.(6)策略服务器：存储、分析、下发管理员配置的策略，包括网络权限策略、白名单策略、应用授权策略、证书管理、秘钥管理等。
173.(7)全链路数据分析平台：持续接收访问控制的日志信息，结合身份库、策略库及数据，基于大数据和人工智能技术，对身份进行持续画像，并对访问行为和信任等级进行持续评估，最终生成和维护信任库，为控制器及网关提供决策依据。
174.全链路数据分析平台汇聚各个隐身网关以及所有sdp客户端发送过来的日志及审计信息，对汇聚信息进行大数据智能统计分析，以满足企业运维及安全需求。
175.全链路数据分析平台也可以接收外部安全分析平台的分析结果，包括：终端可信环境感知、持续威胁检测等安全分析平台，这些外部风险源可以很好的补充身份分析所需的场景数据，从而进行更精准的风险识别和信任评估。
176.(8)数据资源：客户部署在公共云、私有云的服务、数据。
177.为实现本技术实施例的方法，本技术实施例还提供了一种访问控制装置，如图7所示，该装置包括：
178.加密单元701，用于基于第一信息加密生成第一标识；
179.添加单元702，用于当第一请求对应的应用属于第一应用集合时，在所述第一请求中添加所述第一标识；
180.第一发送单元703，用于向网关发送添加了所述第一标识的第一请求；其中，
181.所述第一信息表征终端和/或用户的身份；所述第一请求用于请求对对应的应用进行访问；所述第一应用集合表征基于所述第一信息确定的允许访问的应用的集合。
182.在一个实施例中，所述第一发送单元703，用于：
183.通过vpn隧道向所述网关发送添加了所述第一标识的第一请求。
184.在一个实施例中，所述装置还包括：
185.上报单元，用于每隔设定周期向控制器上报第二信息；所述第二信息用于确定所述终端的安全状态。
186.在一个实施例中，所述装置还包括：
187.第三发送单元，用于向控制器发送所述第一信息；
188.第二接收单元，用于接收所述控制器发送的第一应用集合；所述第一应用集合由所述控制器基于所述第一信息确定。
189.实际应用时，所述加密单元701、添加单元702可由基于访问控制装置中的处理器实现，所述第一发送单元703、上报单元、第三发送单元、第二接收单元可由基于访问控制装置中的通信接口实现。
190.需要说明的是：上述实施例提供的访问控制装置在进行访问控制时，仅以上述各程序模块的划分进行举例说明，实际应用中，可以根据需要而将上述处理分配由不同的程序模块完成，即将装置的内部结构划分成不同的程序模块，以完成以上描述的全部或者部分处理。另外，上述实施例提供的访问控制装置与访问控制方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。
191.为实现本技术实施例的方法，本技术实施例还提供了一种访问控制装置，如图8所示，该装置包括：
192.第一接收单元801，用于接收网关转发的第一终端的第一请求；所述第一请求用于请求对对应的应用进行访问；
193.第二发送单元802，用于当卸载所述第一请求得到的卸载结果中包含第一标识时，向所述第一请求对应的应用的服务器发送所述第一请求；其中，
194.所述第一标识由所述第一终端基于第一信息生成；所述第一信息表征终端和/或用户的身份。
195.在一个实施例中，所述装置还包括：
196.处理单元，用于当所述卸载结果中不包含第一标识时，丢弃所述第一请求。
197.在一个实施例中，所述装置还包括：
198.第四发送单元，用于向控制器发送第三信息；所述第三信息表征所述卸载结果；
199.第三接收单元，用于接收所述控制器发送的关于所述卸载结果的验证结果；所述验证结果表征所述卸载结果中是否包含第一标识。
200.实际应用时，所述处理单元可由基于访问控制装置中的处理器实现，所述第一接收单元801、第四发送单元、第三接收单元可由基于访问控制装置中的通信接口实现，所述第二发送单元802可由基于访问控制装置中的处理器结合通信接口实现。
201.需要说明的是：上述实施例提供的访问控制装置在进行访问控制时，仅以上述各程序模块的划分进行举例说明，实际应用中，可以根据需要而将上述处理分配由不同的程
序模块完成，即将装置的内部结构划分成不同的程序模块，以完成以上描述的全部或者部分处理。另外，上述实施例提供的访问控制装置与访问控制方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。
202.基于上述程序模块的硬件实现，且为了实现本技术实施例终端侧访问控制方法，本技术实施例还提供了一种终端，如图9所示，该终端900包括：
203.第一通信接口910，能够与其它设备比如网络设备等进行信息交互；
204.第一处理器920，与所述第一通信接口910连接，以实现与其它设备进行信息交互，用于运行计算机程序时，执行上述终端侧一个或多个技术方案提供的方法。而所述计算机程序存储在第一存储器930上。
205.当然，实际应用时，终端900中的各个组件通过第一总线系统940耦合在一起。可理解，第一总线系统940用于实现这些组件之间的连接通信。第一总线系统940除包括第一数据总线之外，还包括第一电源总线、第一控制总线和第一状态信号总线。但是为了清楚说明起见，在图9中将各种总线都标为第一总线系统940。
206.本技术实施例中的第一存储器930用于存储各种类型的数据以支持终端900的操作。这些数据的示例包括：用于在终端900上操作的任何计算机程序。
207.可以理解，第一存储器930可以是易失性存储器或非易失性存储器，也可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(rom，read only memory)、可编程只读存储器(prom，programmable read
‑
only memory)、可擦除可编程只读存储器(eprom，erasable programmable read
‑
only memory)、电可擦除可编程只读存储器(eeprom，electrically erasable programmable read
‑
only memory)、磁性随机存取存储器(fram，ferromagnetic random access memory)、快闪存储器(flash memory)、磁表面存储器、光盘、或只读光盘(cd
‑
rom，compact disc read
‑
only memory)；磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(ram，random access memory)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的ram可用，例如静态随机存取存储器(sram，static random access memory)、同步静态随机存取存储器(ssram，synchronous static random access memory)、动态随机存取存储器(dram，dynamic random access memory)、同步动态随机存取存储器(sdram，synchronous dynamic random access memory)、双倍数据速率同步动态随机存取存储器(ddrsdram，double data rate synchronous dynamic random access memory)、增强型同步动态随机存取存储器(esdram，enhanced synchronous dynamic random access memory)、同步连接动态随机存取存储器(sldram，synclink dynamic random access memory)、直接内存总线随机存取存储器(drram，direct rambus random access memory)。本技术实施例描述的第一存储器930旨在包括但不限于这些和任意其它适合类型的存储器。
208.上述本技术实施例揭示的方法可以应用于第一处理器920中，或者由第一处理器920实现。第一处理器920可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过第一处理器920中的硬件的集成逻辑电路或者软件形式的指令完成。上述的第一处理器920可以是通用处理器、dsp，或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。第一处理器920可以实现或者执行本技术实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结
合本技术实施例所公开的方法的步骤，可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中，该存储介质位于第一存储器930，第一处理器920读取第一存储器930中的程序，结合其硬件完成前述方法的步骤。
209.可选地，所述第一处理器920执行所述程序时实现本技术实施例的各个方法中由终端实现的相应流程，为了简洁，在此不再赘述。
210.基于上述程序模块的硬件实现，且为了实现本技术实施例连接器侧访问控制方法，本技术实施例还提供了一种连接器，如图10所示，该连接器1000包括：
211.第二通信接口1010，能够与其它设备比如网络设备等进行信息交互；
212.第二处理器1020，与所述第二通信接口1010连接，以实现与其它设备进行信息交互，用于运行计算机程序时，执行上述连接器侧一个或多个技术方案提供的方法。而所述计算机程序存储在第二存储器1030上。
213.当然，实际应用时，连接器1000中的各个组件通过第二总线系统1040耦合在一起。可理解，第二总线系统1040用于实现这些组件之间的连接通信。第二总线系统1040除包括第二数据总线之外，还包括第二电源总线、第二控制总线和第二状态信号总线。但是为了清楚说明起见，在图10中将各种总线都标为第二总线系统1040。
214.本技术实施例中的第二存储器1030用于存储各种类型的数据以支持连接器1000的操作。这些数据的示例包括：用于在连接器1000上操作的任何计算机程序。
215.可以理解，第二存储器1030可以是易失性存储器或非易失性存储器，也可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是rom、prom、eprom、eeprom、fram、flash memory、磁表面存储器、光盘、或cd
‑
rom；磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是ram，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的ram可用，例如sram、ssram、dram、sdram、ddrsdram、esdram、sldram、drram。本技术实施例描述的第二存储器1030旨在包括但不限于这些和任意其它适合类型的存储器。
216.上述本技术实施例揭示的方法可以应用于第二处理器1020中，或者由第二处理器1020实现。第二处理器1020可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过第二处理器1020中的硬件的集成逻辑电路或者软件形式的指令完成。上述的第二处理器1020可以是通用处理器、dsp，或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。第二处理器1020可以实现或者执行本技术实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本技术实施例所公开的方法的步骤，可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中，该存储介质位于第二存储器1030，第二处理器1020读取第二存储器1030中的程序，结合其硬件完成前述方法的步骤。
217.可选地，所述第二处理器1020执行所述程序时实现本技术实施例的各个方法中由连接器实现的相应流程，为了简洁，在此不再赘述。
218.在示例性实施例中，本技术实施例还提供了一种存储介质，即计算机存储介质，具体为计算机可读存储介质，例如包括存储计算机程序的第一存储器930、第二存储器1030，上述计算机程序可分别由电子设备的第一处理器920、第二处理器1020执行，以完成前述访
问控制方法所述步骤。计算机可读存储介质可以是fram、rom、prom、eprom、eeprom、flash memory、磁表面存储器、光盘、或cd
‑
rom等存储器。
219.在本技术所提供的几个实施例中，应该理解到，所揭露的装置、电子设备和方法，可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，如：多个单元或组件可以结合，或可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性的、机械的或其它形式的。
220.上述作为分离部件说明的单元可以是、或也可以不是物理上分开的，作为单元显示的部件可以是、或也可以不是物理单元，即可以位于一个地方，也可以分布到多个网络单元上；可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
221.另外，在本技术各实施例中的各功能单元可以全部集成在一个处理单元中，也可以是各单元分别单独作为一个单元，也可以两个或两个以上单元集成在一个单元中；上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。
222.本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。
223.或者，本技术上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本技术各个实施例所述方法的全部或部分。而前述的存储介质包括：移动存储设备、rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。
224.需要说明的是，本技术实施例所记载的技术方案之间，在不冲突的情况下，可以任意组合。除非另有说明和限定，术语“连接”应做广义理解，例如，可以是电连接，也可以是两个元件内部的连通，可以是直接相连，也可以通过中间媒介间接相连，对于本领域的普通技术人员而言，可以根据具体情况理解上述术语的具体含义。
225.另外，在本技术实例中，“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解“第一\第二\第三”区分的对象在适当情况下可以互换，以使这里描述的本技术的实施例可以除了在这里图示或描述的那些以外的顺序实施。
226.以上所述，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应以所述权利要求的保护范围为准。
227.在具体实施方式中所描述的各个实施例中的各个具体技术特征，在不矛盾的情况下，可以进行各种组合，例如通过不同的具体技术特征的组合可以形成不同的实施方式，为了避免不必要的重复，本技术中各个具体技术特征的各种可能的组合方式不再另行说明。