本发明涉及网络安全通信,更具体地,涉及一种vpn代理网关动态授权访问资源的控制方法及系统。
背景技术:
1、vpn代理网关为互联网用户提供安全访问组织内部网络资源的途径。当前,vpn代理网关访问通过两种方式提供互联网用户访问用户的授权:一是通过静态控制互联网用户能够访问资源的路由,决定用户所在网络是否能够访问组织内的网络资源;二是通过互联网用户和组织内资源一一映射,进行静态授权,决定用户是否能够访问组织内的网络资源。这两种静态的授权分别提供了粗粒度级别和细粒度级别的资源访问授权。静态的授权方式使用简单、易用、好实现,也存在缺陷,主要是灵活度不足,在用户发生改变时,不能及时调整用户资源访问权限。
2、现有技术1,(公开号cn101636998a)提供一种用于ssl_vpn业务的基于应用的拦截和授权的系统和方法;现有技术2(公开号cn108011759a)提供一种vpn管理方法、装置及系统。然而,现有技术有明显的缺陷,现有技术1的着重点在于通过白名单控制用户访问,通过白名单中许可的客户端ip地址作为控制,并未直接对资源进行授权控制。现有技术2强调在用户访问资源时,通过获取用户信息和应用信息进行授权控制,未明显指出如何授权控制。
3、因此,需要一种技术,以实现一种vpn代理网关动态授权访问资源的控制。
技术实现思路
1、本发明技术方案提供一种vpn代理网关动态授权访问资源的控制方法及系统,以解决如何对vpn代理网关动态授权访问资源进行控制的问题。
2、为了解决上述问题,本发明提供了一种vpn代理网关动态授权访问资源的控制方法,所述方法包括:
3、对用户、网关以及资源的基本信息进行初始化,建立用户信息、网关信息以及资源信息;
4、基于所述用户信息、网关信息以及资源信息,建立用户访问资源的初始权限模型;
5、当用户初次登录系统时,基于所述初始权限模型,获取用户对资源访问的初始访问信任度,基于所述初始访问信任度获取初始资源的访问权限;
6、当检测到用户提交访问vpn代理网关代理的资源访问请求时,动态计算用户对资源访问的访问信任度,判断计算出的访问信任度是否高于资源的访问信任度阈值,当计算出的访问信任度高于资源的访问信任度阈值时,用户获取动态资源的访问权限;
7、当用户访问结束后,基于用户的访问记录更新用户的访问信任度。
8、优选地,所述对用户、网关以及资源的基本信息进行初始化,包括:
9、设置资源的访问信任度阈值。
10、优选地,所述基于所述用户信息、网关信息以及资源信息,建立用户访问资源的初始权限模型,包括:
11、建立网关、用户以及资源的关系;
12、按照用户所属的树形组织机构,分层建立网关、用户以及资源的关系;
13、所述树形组织机构中的根机构拥有的网关和资源的访问权限,树形组织机构中的根机构的下层机构用户继承;下层机构用户包括继承的网关和资源的访问权限,以及各自独立的网关和资源的访问权限。
14、优选地,还包括:
15、当检测到用户再次提交访问vpn代理网关代理的资源访问请求时,查询用户的访问记录;
16、当用户的访问记录中记录的访问时间小于设定阈值时,并且用户的用户信息未发生变化,不重新计算用户的访问信任度,基于记录的用户的访问信任度获取资源的访问权限;
17、当用户的访问记录中记录的访问时间大于设定阈值时,重新计算用户的访问信任度,基于重新计算的用户的访问信任度获取资源的访问权限。
18、优选地,还包括:
19、判断用户的用户信息是否发生改变;
20、当用户的用户信息发生改变时,重新计算用户的访问信任度,基于重新计算的用户的访问信任度获取资源的访问权限。
21、基于本发明的另一方面,本发明提供一种vpn代理网关动态授权访问资源的控制系统,所述系统包括:
22、初始单元,用于对用户、网关以及资源的基本信息进行初始化,建立用户信息、网关信息以及资源信息;
23、建立单元,用于基于所述用户信息、网关信息以及资源信息,建立用户访问资源的初始权限模型;
24、静态访问单元,用于当用户初次登录系统时,基于所述初始权限模型,获取用户对资源访问的初始访问信任度,基于所述初始访问信任度获取初始资源的访问权限;
25、动态访问单元,用于当检测到用户提交访问vpn代理网关代理的资源访问请求时,动态计算用户对资源访问的访问信任度,判断计算出的访问信任度是否高于资源的访问信任度阈值,当计算出的访问信任度高于资源的访问信任度阈值时,用户获取动态资源的访问权限;
26、记录单元,用于当用户访问结束后,基于用户的访问记录更新用户的访问信任度。
27、优选地,所述初始单元,用于对用户、网关以及资源的基本信息进行初始化,包括:
28、设置资源的访问信任度阈值。
29、优选地,所述初始单元,用于基于所述用户信息、网关信息以及资源信息,建立用户访问资源的初始权限模型,包括:
30、建立网关、用户以及资源的关系;
31、按照用户所属的树形组织机构,分层建立网关、用户以及资源的关系;
32、所述树形组织机构中的根机构拥有的网关和资源的访问权限,树形组织机构中的根机构的下层机构用户继承;下层机构用户包括继承的网关和资源的访问权限,以及各自独立的网关和资源的访问权限。
33、优选地,所述动态访问单元,还用于:
34、当检测到用户再次提交访问vpn代理网关代理的资源访问请求时,查询用户的访问记录;
35、当用户的访问记录中记录的访问时间小于设定阈值时,并且用户的用户信息未发生变化,不重新计算用户的访问信任度,基于记录的用户的访问信任度获取资源的访问权限;
36、当用户的访问记录中记录的访问时间大于设定阈值时,重新计算用户的访问信任度,基于重新计算的用户的访问信任度获取资源的访问权限。
37、优选地,所述动态访问单元,还用于:
38、判断用户的用户信息是否发生改变;
39、当用户的用户信息发生改变时,重新计算用户的访问信任度,基于重新计算的用户的访问信任度获取资源的访问权限。
40、本发明技术方案提供了一种vpn代理网关动态授权访问资源的控制方法及系统,其中方法包括:对用户、网关以及资源的基本信息进行初始化,建立用户信息、网关信息以及资源信息;基于用户信息、网关信息以及资源信息,建立用户访问资源的初始权限模型;当用户初次登录系统时,基于初始权限模型,获取用户对资源访问的初始访问信任度,基于初始访问信任度获取初始资源的访问权限;当检测到用户提交访问vpn代理网关代理的资源访问请求时,动态计算用户对资源访问的访问信任度,判断计算出的访问信任度是否高于资源的访问信任度阈值,当计算出的访问信任度高于资源的访问信任度阈值时,用户获取动态资源的访问权限;当用户访问结束后,基于用户的访问记录更新用户的访问信任度。本发明提供一种vpn代理网关动态控制互联网用户访问资源的控制方法,不仅要保留静态授权简单、易用、好实现的优点,还要能有相当的灵活性,特别是对用户发生改变,能够及时的、动态的调整用户对资源的访问权限,提高vpn代理网关通信的安全性。