应用程序网络访问控制方法、系统、设备和介质与流程

本发明涉及网络访问控制，具体而言，涉及一种应用程序网络访问控制方法、系统、设备和介质。

背景技术：

1、网络访问控制是指在网络环境中对用户及设备访问网络资源和服务的综合控制。网络访问控制具有安全性、稳定性和可靠性要求，可以保证网络的安全和稳定的工作环境。网络访问控制可以从网络带宽、应用软件控制、访问控制等方面实现，让网络资源可以有效地使用，减少流量的问题，保证网络的正常工作。

2、一般来说，网络访问控制主要涉及以下技术：1、网络安全防护：如访问控制策略、ip地址过滤、拒绝服务（dos）攻击等，以防止未经授权的用户或病毒木马通过网络入侵。2、网络流量控制：限制外部用户或未经授权的内部用户访问网络资源，以预防网络拥塞和网络攻击，并将带宽资源合理分配给网络的正常用户。3、用户权限控制：采用安全策略，限制特定的用户或未经授权的用户对网络资源进行访问，从而保证网络的安全性。4、应用控制：通过安全策略，依据特定的用户和设备，限制特定应用程序访问网络，以保证网络安全、稳定可靠工作环境。

3、应用程序网络访问控制是指在网络环境中对应用程序的访问进行控制和管理的方法，访问控制的目标是防止对任何资源的未授权访问。目前市面上对于网络访问控制的方案根据系统架构区分为b/s和c/s，针对不同的系统架构需制定不同的访问控制方案。具体地，由于linux服务端结构不同导致应用程序网络访问控制无法通用，适用性较差，使用不便，占用大量的管理资源。

技术实现思路

1、本发明旨在至少解决现有技术中存在linux服务端结构不同导致应用程序网络访问控制无法通用，适用性较差，使用不便，占用大量的管理资源的技术问题之一。

2、为此，本发明第一方面提供了一种应用程序网络访问控制方法。

3、本发明第二方面提供了一种应用程序网络访问控制系统。

4、本发明第三方面提供了一种计算机设备。

5、本发明第四方面提供了一种计算机可读存储介质。

6、本发明提出的应用程序网络访问控制方法，包括：

7、对网络端口进行监听；

8、当用户发起网络访问请求时，链接将重定向到应用网络管控客户端，并对该访问请求进行分流；

9、根据链接重定向前的网络四元组，解析得到发起链接的进程pid，并通过进程相关属性得到运行的程序的地址，根据运行的程序的地址从ima组件得到该程序的度量值，从而生成该程序对应的ima身份；

10、判断该程序对应的ima身份是否在黑名单内，对处于黑名单内的ima身份，在固定时间内不会对该程序发起的新链接进行验证；

11、对于ima身份不在黑名单的程序，将该程序的度量值与链接信息、本机信息相关联，构建出该程序对应的应用身份信息，将应用身份信息发送至应用网络管控服务端进行认证评估；

12、对于通过了应用网络管控服务端的认证评估的应用身份信息，转发对应链接的所有流量；若未通过认证，则阻断对应链接，不允许其访问外部应用。

13、根据本发明上述技术方案的应用程序网络访问控制方法，还可以具有以下附加技术特征：

14、在上述技术方案中，所述将应用身份信息发送至应用网络管控服务端进行认证评估，包括：

15、启动服务监听端口，用以处理应用网络管控客户端发送的应用联网访问请求；

16、当接收到应用网络管控客户端的认证请求时，将接收到的应用身份信息与白名单缓存数据库中的数据进行对比研判联网应用是否合法；

17、应用不合法则直接返回拒绝信息给应用网络管控客户端；应用合法则返回允许信息至应用网络管控客户端。

18、在上述技术方案中，所述应用网络管控服务端在启动时，会先将应用白名单初始化至白名单缓存数据库。

19、在上述技术方案中，所述将接收到的应用身份信息与白名单缓存数据库中的数据进行对比研判联网应用是否合法，包括：

20、对接收到的参数，进行合法性验证，丢弃非法请求，保留代表应用身份信息的参数；

21、对代表应用身份信息的参数进行json格式化处理；

22、根据格式化后的数据与白名单缓存数据库中的数据进行比对研判联网应用是否合法。

23、在上述技术方案中，所述对该访问请求进行分流，包括：

24、根据访问请求的源ip地址、源端口、目的ip地址和目的端口对该访问请求进行分流。

25、在上述技术方案中，所述根据链接重定向前的网络四元组，解析得到发起链接的进程pid包括：

26、利用访问请求的socket文件的属性得到该链接重定向前的目的ip地址和目的端口，然后根据该链接的源端口和源地址ip，解析得到发起该链接的进程pid。

27、在上述技术方案中，所述判断该程序对应的ima身份是否在黑名单内，包括：

28、若度量值对应的程序多次发起未验证通过的请求，则将该度量值放入黑名单内。

29、本发明提供的一种应用程序网络访问控制系统，包括应用网络管控客户端和应用网络管控服务端；所述系统设计架构为c/s架构；

30、所述应用网络管控客户端的工作流程包括：

31、对网络端口进行监听；

32、当用户发起网络访问请求时，链接将重定向到应用网络管控客户端，并对该访问请求进行分流；

33、根据链接重定向前的网络四元组，解析得到发起链接的进程pid，并通过进程相关属性得到运行的程序的地址，根据运行的程序的地址从ima组件得到该程序的度量值，从而生成该程序对应的ima身份；

34、判断该程序对应的ima身份是否在黑名单内，对处于黑名单内的ima身份，在固定时间内不会对该程序发起的新链接进行验证；

35、对于ima身份不在黑名单的程序，将该程序的度量值与链接信息、本机信息相关联，构建出该程序对应的应用身份信息，将应用身份信息发送至应用网络管控服务端进行认证评估；

36、对于通过了应用网络管控服务端的认证评估的应用身份信息，转发对应链接的所有流量；若未通过认证，则阻断对应链接，不允许其访问外部应用；

37、所述应用网络管控服务端的工作流程包括：

38、启动服务监听端口，用以处理应用网络管控客户端发送的应用联网访问请求；

39、当接收到应用网络管控客户端的认证请求时，将接收到的应用身份信息与白名单缓存数据库中的数据进行对比研判联网应用是否合法；

40、应用不合法则直接返回拒绝信息给客户端；应用合法则返回允许信息至客户端。

41、本发明提供的一种计算机设备，所述计算机设备包括处理器和存储器，所述存储器中存储有计算机程序，所述计算机程序由所述处理器加载并执行以实现如上述技术方案中所述的应用程序网络访问控制方法。

42、本发明提供的一种计算机可读存储介质，其特征在于，所述存储介质中存储有计算机程序，所述计算机程序由处理器加载并执行以实现如上述技术方案中所述的应用程序网络访问控制方法。

43、综上所述，由于采用了上述技术特征，本发明的有益效果是：

44、将b/s和c/s架构的应用网络管控进行了通用化管理，具有良好的适用性，节约管理资源，提高管理效率；同时在客户端提出了客户端黑名单机制，客户端会对异常的网络访问请求进行记录解析，将异常的联网应用进行黑名单处理。

45、本发明的附加方面和优点将在下面的描述部分中变得明显，或通过本发明的实践了解到。