[发明专利]一种安全网关自适应访问控制的方法、装置及电子设备

说明书

本申请实施例提供一种安全网关自适应访问控制的方法、装置及电子设备。在本实施例中，通过在报文发送前依据验证模板对待发送报文是否为恶意流量进行识别，若识别到待发送报文为恶意流量，则不对该待发送报文进行加密，也不会将该待发送报文发送至服务端，实现了在流量加密前对流量是否为恶意流量的识别，减少对恶意流量进行加密产生的计算资源浪费，同时也降低了网络负载；进一步地，获得服务端下发的资源类型，针对不同的资源类型，利用该资源类型对应的验证模板对待发送报文进行恶意流量识别，实现了针对不同流量，自适应地进行不同的访问控制，更加灵活。

技术领域

本申请涉及通信领域，尤其涉及一种安全网关自适应访问控制的方法、装置及电子设备。

背景技术

在互联网应用中，为了保证诸如视频、文本等流量的安全传输，常常对流量进行加密后再进行传输，而如何对加密后的流量进行恶意流量识别至关重要。

目前，常用的对加密流量进行恶意流量识别方法是：利用预设好的恶意流量的特征与传输的加密流量的特征进行比对，若一致，就认为加密流量是恶意流量，但是这种对密文进行识别的方法，会导致消耗大量的计算资源对恶意流量进行加密，造成资源浪费。

发明内容

有鉴于此，本申请实施例提供一种安全网关自适应访问控制的方法、装置及电子设备，以对加密前的流量进行识别，不对恶意流量进行加密，避免资源浪费。

根据本申请实施例的第一方面，提供一种安全网关自适应访问控制的方法，所述方法应用于客户端，所述客户端与服务端之间通过安全套接层SSL 虚拟专用网络VPN隧道进行通信，所述方法包括：

获得所述服务端通过所述SSL VPN隧道下发的与本客户端匹配的资源类型，并获得所述资源类型的关键字段，所述资源类型用于指示本客户端可访问的资源；

针对每一待发送报文，确定与该待发送报文匹配的目标关键字段，并依据确定出的目标关键字段与所述资源类型的关键字段进行比对，得到所述待发送报文对应的目标资源类型，获取与所述目标资源类型匹配的用于验证待发送报文的验证模板；

若基于所述验证模板验证出所述待发送报文为恶意流量，则禁止该待发送报文发送至所述服务端；若基于所述验证模板验证出所述待发送报文不为恶意流量，则对所述待发送报文进行加密后发送至所述服务端。

根据本申请实施例的第二方面，提供一种安全网关自适应访问控制的装置，所述装置应用于客户端，所述客户端与服务端之间通过安全套接层SSL 虚拟专用网络VPN隧道进行通信，所述装置包括：

资源类型获得模块，用于获得所述服务端通过所述SSL VPN隧道下发的与本客户端匹配的资源类型，并获得所述资源类型的关键字段，所述资源类型用于指示本客户端可访问的资源；

验证模板确定模块，用于针对每一待发送报文，确定与该待发送报文匹配的目标关键字段，并依据确定出的目标关键字段与所述资源类型的关键字段进行比对，得到所述待发送报文对应的目标资源类型，获取与所述目标资源类型匹配的用于验证待发送报文的验证模板；

恶意流量识别模块，用于若基于所述验证模板验证出所述待发送报文为恶意流量，则禁止该待发送报文发送至所述服务端；若基于所述验证模板验证出所述待发送报文不为恶意流量，则对所述待发送报文进行加密后发送至所述服务端。

根据本申请实施例的第三方面，提供一种电子设备，电子设备包括：处理器和存储器；

其中，所述存储器，用于存储机器可执行指令；

所述处理器，用于读取并执行所述存储器存储的机器可执行指令，以实现如第一方面所述的方法。

本申请实施例提供的技术方案可以包括以下有益效果：