CN118118256A - 远程访问***、方法 - Google Patents

Abstract

本申请提供一种远程访问***、方法，涉及信息安全领域。该***包括：代理网关、虚拟专用网络网关、授权网关；所述虚拟专用网络网关分别与所述代理网关和所述授权网关进行通信连接，所述授权网关与内网连接；所述代理网关，用于通过单包授权的方式，对请求访问内网的终端进行合法性验证，并对验证通过的终端开放所述虚拟专用网络网关的访问权限；所述虚拟专用网络网关，用于对合法性验证通过的终端进行内网访问权限认证；所述授权网关，用于对内网访问权限认证通过的终端进行内网访问权限授权，以使所述终端能够访问对应的内网资源。本申请的远程访问***，提升了终端远程访问的安全性。

Description

远程访问***、方法

技术领域

本申请涉及信息安全领域，尤其涉及一种远程访问***、方法。

背景技术

企业办公场景下，经常需要用到远程访问技术，以实现未接入公司内网的终端，能够通过远程访问的方式使用公司内网资源。现有的远程访问方式通常采用虚拟专用网络(Virtual Private Network，VPN)技术通过一次性认证方式实现对远程访问权限的认证。然而，上述方式存在安全性低的问题。

发明内容

本申请提供一种远程访问***、方法，用以解决现有技术中远程访问安全性低的技术问题。

第一方面，本申请提供一种远程访问***，所述***包括：代理网关、虚拟专用网络网关、授权网关；所述虚拟专用网络网关分别与所述代理网关和所述授权网关进行通信连接，所述授权网关与内网连接；

所述代理网关，用于通过单包授权的方式，对请求访问内网的终端进行合法性验证，并对验证通过的终端开放所述虚拟专用网络网关的访问权限；

所述虚拟专用网络网关，用于对合法性验证通过的终端进行内网访问权限认证；

所述授权网关，用于对内网访问权限认证通过的终端进行内网访问权限授权，以使所述终端能够访问对应的内网资源。

可选的，所述代理网关，具体用于：

接收请求访问内网的终端发送的单包授权数据包，所述单包授权数据包包括：所述终端的标识、所述代理网关的目标端口号；

根据所述单包授权数据包，对请求访问内网的终端进行合法性验证；

若合法性验证通过，则建立所述终端和所述目标端口号对应的端口的连接，并向请求访问内网的终端发送含有所述虚拟专用网络网关的访问端口的响应信息；

若合法性验证失败，则向请求访问内网的终端发送拒绝访问的响应信息。

可选的，所述代理网关，还用于：

将合法性验证失败的终端的标识添加至禁止访问列表中。

可选的，所述代理网关，在根据所述单包授权数据包，对请求访问内网的终端进行合法性验证之前，还用于：

确定请求访问内网的终端的标识是否位于所述禁止访问列表中。

可选的，所述代理网关，还用于：

将所述禁止访问列表中存在时长超出预设时长的终端的标识去除。

可选的，所述代理网关，还用于在无法执行合法性验证时，向请求访问内网的终端开放所述虚拟专用网络网关的访问权限。

可选的，所述代理网关，还用于：

在无法执行合法性验证时，输出故障信息；

接收响应于所述故障信息的配置信息，所述配置信息用于配置所述代理网关向请求访问内网的终端开放所述虚拟专用网络网关的访问权限；

根据所述配置信息，更新针对请求访问内网的终端的处理方式。

可选的，所述授权网关，具体用于：

获取所述终端的内网访问权限；

根据所述内网访问权限，更新防火墙规则，以使所述终端能够访问对应的内网资源。

可选的，所述授权网关，具体用于：

向身份识别与访问管理***发送所述终端的内网访问权限的获取请求；

接收所述身份识别与访问管理***返回的所述终端的内网访问权限。

可选的，所述授权网关，具体用于：

根据所述内网访问权限，在所述防火墙规则中添加所述终端的标识与所述内网访问权限对应的内网资源的标识组合之间的访问映射关系；所述标识组合包括至少两种内网资源对应的标识。

可选的，所述标识组合包括内网资源的访问地址和访问端口号。

可选的，所述授权网关，具体用于，

在所述标识组合中的任一所述内网资源对应的标识发生改变时，保持所述终端的标识与所述内网访问权限对应的内网资源的标识组合之间的访问映射关系不变。

可选的，所述授权网关，具体用于：

根据所述内网访问权限，在所述防火墙规则中添加所述终端可访问的资源范围，以及，访问规则；所述访问规则包括：可访问的时间段。

第二方面，本申请提供一种远程访问方法，应用于第一方面任一项所述的远程访问***，所述方法包括：所述代理网关通过单包授权的方式，对请求访问内网的终端进行合法性验证，并对验证通过的终端开放所述虚拟专用网络网关的访问权限；

所述虚拟专用网络网关对合法性验证通过的终端进行内网访问权限认证；

所述授权网关对内网访问权限认证通过的终端进行内网访问权限授权，以使所述终端能够访问对应的内网资源。

第三方面，本申请提供一种电子设备，所述电子设备包括：处理器，以及与所述处理器通信连接的存储器；

所述存储器存储计算机执行指令；

所述处理器执行所述存储器存储的计算机执行指令，以实现如第二方面任一项所述的方法。

第四方面，本申请提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机执行指令，所述计算机执行指令被处理器执行时用于实现如第二方面中任一项所述的方法。

第五方面，本申请提供一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现如第二方面任一项所述的方法。

本申请提供的远程访问***、方法，远程访问***包括代理网关和虚拟专用网络网关，通过代理网关首先对终端的合法性进行验证，然后通过虚拟专用网络网关对终端的访问权限进行认证，相当于通过两套不同的认证***分别对终端进行认证，提升了远程访问的安全性。此外，单包授权的认证方式可以在认证通过前隐藏代理网关的端口号，进而实现网络隐身，是的攻击者无法发现代理网关的地址和端口号，进而可以进一步提升远程访问的安全性。再者，本申请中相较于现有技术增加了授权网关，由授权网关专门进行终端访问权限的授权，可以实现对终端访问权限的精细化管理，提升远程访问***的可用性以及灵活性，更好的满足用户的使用需求。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请的原理。

图1为本申请提供的一种远程访问方法的流程示意图；

图2为本申请提供的一种远程访问***的架构示意图；

图3为本申请提供的一种远程访问方法的流程示意图；

图4为本申请提供的一种远程访问示意图；

图5为本申请提供的第二种远程访问方法的流程示意图；

图6为本申请提供的第三种远程访问方法的流程示意图；

图7为本申请提供的第四种远程访问方法的流程示意图；

图8为本申请提供的一种电子设备800结构示意图。

通过上述附图，已示出本申请明确的实施例，后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围，而是通过参考特定实施例为本领域技术人员说明本申请的概念。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

需要说明的是，本申请提供的远程访问***、方法、装置、电子设备及存储介质可用于信息安全领域，也可用于除信息安全领域之外的任意领域，本申请对所提供的远程访问***、方法、装置、电子设备及存储介质的应用领域不作限定。

下面首先对本申请提及的部分专业名词进行解释说明：

单包授权(Single Packet Authorization，SPA)：是一种轻量级的安全访问协议。该种访问方式只使用单个数据包进行访问申请，在允许访问网络前，不向网络暴露自身端口号等信息。在通过单个数据包验证设备和用户身份通过后，方和访问者建立连接关系，是一种“先认证，后连接”的访问方式。通过这种方式可以达到“网络隐身”，使攻击者无法找到服务地址和端口。

隔离区(Demilitarized Zone，DMZ)：在互联网中指代在内部网络和外部网络之前构造的一个安全地带。

一次性密码(One-time Password，OTP)：又称“一次性口令”，是指只能使用一次的密码。一次性密码是根据专门算法、每隔60秒生成一个不可预测的随机数字组合，一次性密码在金融、电信、网游等领域被广泛应用，有效地保护了用户的安全。

远程访问的接入方式不仅在企业办公场景下有广泛应用，更应用于很多其他针对内网资源的访问场景中。现有的远程访问过程通常通过VPN技术实现。以金融行业为例，图1为本申请提供的一种远程访问方法的流程示意图，如图1所示，终端接入互联网中，在DMZ区设置有VPN网关，企业内部网络则是单独构建的网络，对互联网具有私密性。金融业对于互联网渠道接入的远程访问场景，首先需要员工开通移动远程办公权限，并采用一次性密码(One-time Password，OTP)认证方式登录VPN客户端后，拨入企业内部网络，进而使得终端可以访问内部办公***。其中，VPN网关用于对VPN账号密码以及终端合法性进行验证，以保障远程访问的安全性。参照图1，在一些场景下，VPN网关包括VPN服务器和客户端准入VPN网关。其中用户VPN服务器实现VPN账号密码校验，客户端准入VPN网关验证VPN正确的拨入，可对于非行内终端实现阻断。由于仅需要通过经由VPN网关进行终端访问权限的认证，因此这种认证方式也被称为一次性认证。

然而，上述采用VPN网关进行一次性认证的远程访问方式，存在诸多问题。例如，随着网络的发展，常用的网络安全技术被黑客深入研究，远程访问场景下存在较多已知VPN体系的0day漏洞长期暴露在互联网下。这种情况下，单一认证方式的弊端展现出来。针对单一认证方式，攻击者往往可以相对轻易的实现攻破，导致企业内部安全防护工作十分被动，存在较大安全隐患。

有鉴于此，本申请提供一种远程访问***，该远程访问***并非依托单一认证方式，而是将单包授权认证方式和VPN认证方式结合，在保证用户可以正常访问内部网络的同时，可以进一步提升远程访问的安全性。

本申请提供的远程访问***，旨在解决现有技术的如上技术问题。

下面以具体地实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图，对本申请的实施例进行描述。

图2为本申请提供的一种远程访问***的架构示意图，如图2所示，该***包括：代理网关、虚拟专用网络网关、授权网关。其中，虚拟专用网络网关分别与代理网关和授权网关进行通信连接，授权网关与内网连接。

上述代理网元、虚拟专用网络网关、授权网关例如可以分别是服务器或者服务器集群。

在上述连接关系下，本申请提供一种远程访问方法，图3为本申请提供的一种远程访问方法的流程示意图，图4为本申请提供的一种远程访问示意图，如图3和图4所示，该方法可以包括如下步骤：

S101、代理网关通过单包授权的方式，对请求访问内网的终端进行合法性验证，并对验证通过的终端开放虚拟专用网络网关的访问权限。

本步骤中，代理网关通过单包授权的方式，对请求访问内网的终端进行合法性验证，在验证通过后，可以建立代理网关和终端的连接关系，进而开放终端对虚拟专用网络网关的访问权限。

上述终端例如可以是计算机、平板、手机等。本申请不限定单包授权的具体实现方式，可以是现有技术中，或，未来出现的任意单包授权方式。通过这种“先认证、后连接”的认证方式，可以实现在认证通过前，达到“网络隐身”，使攻击者无法找到服务地址和端口，进而更好的保障终端远程访问过程的安全性。

S102、虚拟专用网络网关对合法性验证通过的终端进行内网访问权限认证。

本步骤中，虚拟专用网络网关对合法性验证通过的终端进行网络访问权限认证，以在验证通过后开通终端对内网的访问权限。通过这种方式可以进一步对终端的访问权限进行认证，进而提升远程访问***的访问安全性。

上述虚拟专用网络网关对终端进行内网访问权限的认证方式例如可以是根据使用终端的用户标识，对终端进行访问权限认证，并在认证通过后通过隧道加密技术保护终端远程访问过程中的数据传输。具体实现方式可以参照现有技术，在此不再赘述。

S103、授权网关对内网访问权限认证通过的终端进行内网访问权限授权，以使终端能够访问对应的内网资源。

虚拟专用网络网关对终端的访问权限进行认证，确保终端有访问内网的权限。本步骤中，授权网关则对终端具体具有哪些访问权限进行确定并授权，以使终端能够访问对应的内网资源。

一些实施例中，授权网关可以自己对内网访问权限认证通过的终端进行内网访问权限授权；另一些实施例中，授权网关可以借助于其他内网访问权限授权***对终端的内网访问权限进行确认授权。本申请不对其进行限定。验证方式例如可以是根据使用终端的用户的标识进行访问权限的确定以及授权。

现有技术中，仅通过虚拟专用网络网关对终端的访问权限进行认证，这种认证方式简单粗放，容易被攻击者攻破。本实施例中，远程访问***包括代理网关和虚拟专用网络网关，通过代理网关首先对终端的合法性进行验证，然后通过虚拟专用网络网关对终端的访问权限进行认证，相当于通过两套不同的认证***分别对终端进行认证，提升了远程访问的安全性。

此外，单包授权的认证方式可以在认证通过前隐藏代理网关的端口号，进而实现网络隐身，是的攻击者无法发现代理网关的地址和端口号，进而可以进一步提升远程访问的安全性。

再者，本申请中相较于现有技术增加了授权网关，由授权网关专门进行终端访问权限的授权，可以实现对终端访问权限的精细化管理，提升远程访问***的可用性以及灵活性，更好的满足用户的使用需求。

下面对代理网关具体如何通过单包授权的方式，对请求访问内网的终端进行合法性验证，即上述实施例中步骤S101进行示例性说明。图5为本申请提供的第二种远程访问方法的流程示意图，如图5所示，步骤S101可以包括如下步骤：

S201、接收请求访问内网的终端发送的单包授权数据包。

本步骤中，请求访问内网的终端向代理网关发送单包授权数据包，相应的，代理网关接收终端发送的单包授权数据包。后续的，代理网关即可以根据该单包授权数据包对终端的合法性进行校验。

上述单包授权数据包中所包括的内容可参照现有技术。一种可能的实现方式，上述单包授权数据包可以包括：终端的标识、代理网关的目标端口号。该终端的标识例如可以是终端的通用唯一识别码(Universally Unique Identifier，UUID)、编号等中的任意一项或多项。代理网关的目标端口号可以是代理网关的任意端口号，终端通过该端口号实现和代理网关的连接。

可选的，该单包校验数据包中还可以包括预共享密钥、终端源IP、用户标识、时间戳、一次性令牌(例如随机数)等中的任意一项或多项。具体根据实际使用需求确定，可参照现有技术，在此不再赘述。

S202、根据单包授权数据包，对请求访问内网的终端进行合法性验证。

本步骤中，代理网关根据单包授权数据包，对请求访问内网的终端进行合法性验证，进而确保远程访问的安全性。

示例性的，以单包授权数据包包括终端的标识、代理网关的目标端口号为例，代理网关例如可以存储有所有合法终端的标识列表，代理网关在获取了单包授权数据包之后，根据该单包授权数据包中的终端标识，在存储的合法终端标识列表中检索，若能够检索到终端标识，则合法性验证通过。

若合法性验证通过，表明终端有权限进入下一认证流程，则执行步骤S203。若合法性验证失败，表明终端为存在安全隐患的终端，则执行步骤S204。

S203、建立终端和目标端口号对应的端口的连接，并向请求访问内网的终端发送含有虚拟专用网络网关的访问端口的响应信息。

本步骤中，代理网关例如可以通过建立终端和目标端口号对应的端口的传输控制协议(Transmission Control Protocol，TCP)连接，以便于后续终端可以和代理网关进行交互。后续的，代理网关向请求访问内网的终端发送含有虚拟专用网络网关的访问端口的响应信息，以便于终端可以基于该响应信息和虚拟专用网络网关进行交互。

S204、向请求访问内网的终端发送拒绝访问的响应信息。

本步骤中，代理网关向请求访问的终端发送拒绝访问的响应信息，以使终端获悉当前访问结果，并可以根据该响应信息做出后续动作。例如可以对访问失败的原因进行排查等。

本实施例中，代理网关接收请求访问内网的终端发送的单包授权数据包；然后，根据单包授权数据包，对请求访问内网的终端进行合法性验证；若合法性验证通过，则建立终端和目标端口号对应的端口的连接，并向请求访问内网的终端发送含有虚拟专用网络网关的访问端口的响应信息；若合法性验证失败，则向请求访问内网的终端发送拒绝访问的响应信息。单包授权的认证方式可以实现代理网关的“网络隐身”，提升终端远程访问内网的安全性；同时，在合法性验证失败之后，代理网关向请求访问内网的终端发送拒绝访问的响应信息，可以使终端获悉当前验证失败的结果，以便于终端采取相应的处理措施，提升远程访问***的可用性。

可选的，代理网关还可以将合法性验证失败的终端的标识添加至禁止访问列表中，即建立远程访问的黑名单。通过这种方式可以对远程访问的终端进行更加精准的把控。

一些实施例中，代理网关在根据单包授权数据包，对请求访问内网的终端进行合法性验证之前，还可以确定请求访问内网的终端的标识是否位于禁止访问列表中。例如，若位于禁止访问列表中，则代理网关可以直接执行步骤S204，而无需再进行合法性验证。若请求访问内网的终端的标识未位于禁止访问列表中，则再对该终端的标识进行合法性验证。通过这种方式，若合法性验证较为繁琐，则通过上述方式可以在终端的标识位于禁止访问列表中时省去繁琐的验证过程，节省算力。

一些实施例中，代理网关可以将禁止访问列表中存在时长超出预设时长的终端的标识去除。本申请不限定上述预设时长的具体值，具体可以根据实际使用需求确定。一些终端一开始是不合法的终端，但是可能经过一段时间，通过配置变为了合法终端。因此通过上述方法可以实现对禁止访问列表的灵活配置，提升该列表的时效性，进一步提升判断的准确性。

可选的，代理网关还可以在无法执行合法性验证时，向请求访问内网的终端开放虚拟专用网络网关的访问权限。

设备都有可能出现故障或其他问题(例如配置有误等)，代理网关也有可能出现问题，导致代理网关无法执行合法性验证。代理网关无法执行合法性验证，并不等同于对终端的合法性验证未通过，终端有可能是合法终端。由于虚拟专用网络网关还可以对终端进行内网访问权限认证，因此，这种情况下，代理网关可以在无法执行合法性验证时，向请求访问内网的终端开放虚拟专用网络网关的访问权限，进而可以仅通过虚拟专用网络网关实现对终端针对内网的访问权限的认证。

通过这种方式，可以提升远程访问***的可用性，提升外部攻击难度，能确保远程访问***不因为代理网关失陷而集体失陷，一定程度降低了因代理网关的相关网络漏洞导致的风险，增加外部攻击的难度。即当代理网关由于各种原因无法执行合法性验证时，若虚拟专用网关可用，则仍可以通过该虚拟专用网关实现对终端的内网访问权限的认证。

在一些实施例中，代理网关若无法执行合法性验证，则仍建立终端和虚拟专用网关的连接，并向终端发送虚拟专用网络网关的端口号，以实现想请求访问内网的终端开放虚拟专用网络网关的访问权限。

图6为本申请提供的第三种远程访问方法的流程示意图，如图6所示，在一些实施例中，代理网关在无法执行合法性验证时，向请求访问内网的终端开放虚拟专用网络网关的访问权限，可以通过如下步骤实现：

S301、在无法执行合法性验证时，输出故障信息。

代理网关可以将故障信息输出至请求访问内网的终端，也可以输出至其他电子设备(例如其他终端)，还可以在代理网关存在显示界面时，输出至代理网关自身的显示界面。本步骤中，代理网关在无法执行合法性验证时，输出故障信息，以使接收故障信息的电子设备可以基于该故障信息做出相应的处理措施。

S302、接收响应于故障信息的配置信息，配置信息用于配置代理网关向请求访问内网的终端开放虚拟专用网络网关的访问权限。

本步骤中，代理网关接收响应于故障信息的配置信息，进而后续可以根据该配置信息开放终端到虚拟专用网络网关的访问权限。

本申请不限定上述配置信息具体包括的内容，本领域技术人员可以根据实际需求设置。

S303、根据配置信息，更新针对请求访问内网的终端的处理方式。

本步骤中，代理网关根据配置信息，更新针对请求访问内网的终端的处理方式，即开放终端到虚拟专用网络网关的访问权限。

本实施例中，代理网关在在无法执行合法性验证时，首先输出故障信息；然后，接收响应于故障信息的配置信息；后续的，代理网关根据配置信息，更新针对请求访问内网的终端的处理方式。通过这种方式，代理网关可以在无法执行合法性验证时，获取配置信息，进而可以根据该配置信息实现对终端到虚拟专用网络的网关的访问权限的开放，即可以进一步提升远程访问***的可用性。

下面对授权网关具体如何对内网访问权限认证通过的终端进行内网访问权限授权，以使终端能够访问对应的内网资源，进行示例性说明。图7为本申请提供的第四种远程访问方法的流程示意图，如图7所示，步骤S103可以包括如下步骤：

S401、获取终端的内网访问权限。

不同的终端对内网可能都可以访问，但是具体的访问权限不同。例如内网中可能有不同的资源，有的终端可能仅对于其中的部分资源有访问权限，而有的终端可能对全部资源有访问权限，具体和实际业务需求相关。

本步骤中，授权网关获取终端内网访问权限，进而可以据此针对性的开通终端对内网的访问权限。

继续参照图3，一些实施例中，授权网关例如可以向身份识别与访问管理(Identity and Access Management，IAM)***发送终端的内网访问权限的获取请求；然后，接收身份识别与访问管理***返回的终端的内网访问权限。

上述IAM***可以是位于内网中的，也可以是独立于内网和远程访问***的存在。上述获取请求中例如可以包括与终端对应的用户标识和/或终端标识等。

IAM***在接收上述获取请求后，例如可以根据该获取请求确定终端的内网访问权限，然后将该内网访问权限发送至终端。例如，若获取请求中包括与终端对应的用户标识，则IAM***例如可以存储有用户标识和内网访问权限的映射关系，IAM***根据获取请求中的用户标识和上述映射关系，确定与用户标识对应的终端的访问权限。

S402、根据内网访问权限，更新防火墙规则，以使终端能够访问对应的内网资源。

授权网关的防火墙规则控制终端对内网的访问权限。本步骤中，授权网关根据内网访问权限，更新防火墙规则，进而使终端能够访问对应的内网资源。

一些实施例中，授权网关可以根据内网访问权限，在防火墙规则中添加终端的标识与内网访问权限对应的标识组合之间的访问映射关系。标识组合包括至少两种内网资源对应的标识。示例性的，上述内网资源对应的标识例如可以包括内网资源的访问地址和访问端口号中的任意一项或多项。其中内网资源的访问地址例如可以包括统一资源定位符(uniform resource locator，URL)地址，和/或，IP地址。

可选的，在上述实现方式下，在标识组合中的任一内网资源对应的标识发生改变时，授权网关可以保持终端的标识与内网访问权限对应的内网资源的标识组合之间的访问映射关系不变。

内网中的各种资源的部分标识可能由于标识资源重分配等原因发生改变。虽然内网资源的标识发生改变，但是实际上仍然是表征该资源。以往在发生这种情况时，往往需要更新映射关系，以保证终端在内网资源标识发生改变后，仍然能够访问该资源。然而这种方式往往比较复杂繁琐。通过上述方式，即建立终端的标识与内网访问权限对应的标识组合之间的访问映射关系，并在标识组合中任一标识发生改变时仍然保持终端的标识与内网访问权限对应的内网资源的标识组合之间的访问映射关系不变，可以提升远程访问***的可用性，避免由于内网资源标识发生改变造成的映射关系重新配置。

一些实施例中，授权网关可以根据内网访问权限，在防火墙规则中添加终端可访问的资源范围，以及，访问规则；访问规则包括：可访问的时间段。

本申请不限定上述资源范围的划分方式，例如可以是按照用户、用户组、用户角色等进行划分。不同用户、用户组、用户角色等可以访问的资源范围不同。

不同用户需要访问的时间段可能有区别，例如有的用户可能仅需要一个月的访问时间，有的用户可能需要永久访问。在这种实现方式下，可以对用户的可访问的时间段进行配置，进而可以更好的适配于业务场景。

在传统VPN体系下，用户访问内网的时候，通过VPN网关分配的虚拟IP地址，由人工根据IP地址和需要访问的内网资源去开通相应的访问权限，需要在VPN网关上和防火墙上做操作，每次分配一组IP需要人工维护大量的防火墙策略。长此以往，内网的迁移也将带来很重的访问权限策略更新负担，容易发生遗漏。同时，传统VPN体系下的控制策略主要到IP级，较为粗放，对于用户数量多的情况下，可能会按照整个机构或者整个部门统一开通，没有做到精细化控制。本实施例中，新增了授权网关，由授权网关进行终端的访问权限控制。授权网关首先获取终端的内网访问权限，然后根据内网访问权限，更新防火墙规则，以使终端能够访问对应的内网资源。通过这种方式，可对用户与可访问的资源进行逐一授权，授权方式更加灵活和准确。

图8为本申请提供的一种电子设备800结构示意图。如图8所示，该电子设备800可以包括：至少一个处理器801、存储器802。该电子设备例如可以是上述实施例中的代理网关，或，虚拟专用网络网关，或，授权网关。

存储器802，用于存储程序。具体地，程序可以包括程序代码，程序代码包括计算机操作指令。

存储器802可能包含高速RAM存储器，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。

处理器801用于执行存储器802存储的计算机执行指令，以实现前述方法实施例中代理网关，或，虚拟专用网络网关，或，授权网关执行的远程访问方法。其中，处理器801可能是一个中央处理器(Central Processing Unit，简称为CPU)，或者是特定集成电路(Application Specific Integrated Circuit，简称为ASIC)，或者是被配置成实施本申请实施例的一个或多个集成电路。

该电子设备800还可以包括通信接口803，以通过通信接口803可以与外部设备进行通信交互，外部设备例如可以是终端(例如，计算机、平板)。在具体实现上，如果通信接口803、存储器802和处理器801独立实现，则通信接口803、存储器802和处理器801可以通过总线相互连接并完成相互间的通信。总线可以是工业标准体系结构(Industry StandardArchitecture，简称为ISA)总线、外部设备互连(Peripheral Component，简称为PCI)总线或扩展工业标准体系结构(Extended Industry Standard Architecture，简称为EISA)总线等。总线可以分为地址总线、数据总线、控制总线等，但并不表示仅有一根总线或一种类型的总线。

可选的，在具体实现上，如果通信接口803、存储器802和处理器801集成在一块芯片上实现，则通信接口803、存储器802和处理器801可以通过内部接口完成通信。

本申请还提供了一种计算机可读存储介质，该计算机可读存储介质可以包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random AccessMemory)、磁盘或者光盘等各种可以存储程序代码的介质，具体的，该计算机可读存储介质中存储有程序指令，程序指令用于上述实施例中的远程访问方法。

本申请还提供一种计算机程序产品，该计算机程序产品包括计算机执行指令，该计算机执行指令存储在可读存储介质中。电子设备的至少一个处理器可以从可读存储介质读取该执行计算机执行指令，至少一个处理器执行该计算机执行指令使得电子设备实施上述的各种实施方式提供的远程访问方法。

需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本申请并不受所描述的动作顺序的限制，因为依据本申请，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于可选实施例，所涉及的动作和模块并不一定是本申请所必须的。

进一步需要说明的是，虽然流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些子步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。上述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本申请的真正范围和精神由下面的权利要求书指出。

应当理解的是，本申请并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求书来限制。

Claims (14)

1.一种远程访问***，其特征在于，所述***包括：代理网关、虚拟专用网络网关、授权网关；所述虚拟专用网络网关分别与所述代理网关和所述授权网关进行通信连接，所述授权网关与内网连接；

所述代理网关，用于通过单包授权的方式，对请求访问内网的终端进行合法性验证，并对验证通过的终端开放所述虚拟专用网络网关的访问权限；

所述虚拟专用网络网关，用于对合法性验证通过的终端进行内网访问权限认证；

所述授权网关，用于对内网访问权限认证通过的终端进行内网访问权限授权，以使所述终端能够访问对应的内网资源。

2.根据权利要求1所述的***，其特征在于，所述代理网关，具体用于：

接收请求访问内网的终端发送的单包授权数据包，所述单包授权数据包包括：所述终端的标识、所述代理网关的目标端口号；

根据所述单包授权数据包，对请求访问内网的终端进行合法性验证；

若合法性验证通过，则建立所述终端和所述目标端口号对应的端口的连接，并向请求访问内网的终端发送含有所述虚拟专用网络网关的访问端口的响应信息；

若合法性验证失败，则向请求访问内网的终端发送拒绝访问的响应信息。

3.根据权利要求2所述的***，其特征在于，所述代理网关，还用于：

将合法性验证失败的终端的标识添加至禁止访问列表中。

4.根据权利要求3所述的***，其特征在于，所述代理网关，在根据所述单包授权数据包，对请求访问内网的终端进行合法性验证之前，还用于：

确定请求访问内网的终端的标识是否位于所述禁止访问列表中。

5.根据权利要求3所述的***，其特征在于，所述代理网关，还用于：

将所述禁止访问列表中存在时长超出预设时长的终端的标识去除。

6.根据权利要求2所述的***，其特征在于，所述代理网关，还用于在无法执行合法性验证时，向请求访问内网的终端开放所述虚拟专用网络网关的访问权限。

7.根据权利要求6所述的***，其特征在于，所述代理网关，还用于：

在无法执行合法性验证时，输出故障信息；

接收响应于所述故障信息的配置信息，所述配置信息用于配置所述代理网关向请求访问内网的终端开放所述虚拟专用网络网关的访问权限；

根据所述配置信息，更新针对请求访问内网的终端的处理方式。

8.根据权利要求1-7任一项所述的***，其特征在于，所述授权网关，具体用于：

获取所述终端的内网访问权限；

根据所述内网访问权限，更新防火墙规则，以使所述终端能够访问对应的内网资源。

9.根据权利要求8所述的***，其特征在于，所述授权网关，具体用于：

向身份识别与访问管理***发送所述终端的内网访问权限的获取请求；

接收所述身份识别与访问管理***返回的所述终端的内网访问权限。

10.根据权利要求9所述的***，其特征在于，所述授权网关，具体用于：

根据所述内网访问权限，在所述防火墙规则中添加所述终端的标识与所述内网访问权限对应的内网资源的标识组合之间的访问映射关系；所述标识组合包括至少两种内网资源对应的标识。

11.根据权利要求10所述的***，其特征在于，所述标识组合包括内网资源的访问地址和访问端口号。

12.根据权利要求10所述的***，其特征在于，所述授权网关，具体用于，

在所述标识组合中的任一所述内网资源对应的标识发生改变时，保持所述终端的标识与所述内网访问权限对应的内网资源的标识组合之间的访问映射关系不变。

13.根据权利要求9所述的***，其特征在于，所述授权网关，具体用于：

根据所述内网访问权限，在所述防火墙规则中添加所述终端可访问的资源范围，以及，访问规则；所述访问规则包括：可访问的时间段。

14.一种远程访问方法，其特征在于，应用于权利要求1-11任一项所述的远程访问***，所述方法包括：所述代理网关通过单包授权的方式，对请求访问内网的终端进行合法性验证，并对验证通过的终端开放所述虚拟专用网络网关的访问权限；

所述虚拟专用网络网关对合法性验证通过的终端进行内网访问权限认证；

所述授权网关对内网访问权限认证通过的终端进行内网访问权限授权，以使所述终端能够访问对应的内网资源。