可信网络应用访问方法、设备以及计算机可读介质与流程

1.本技术涉及信息技术领域，尤其涉及一种可信网络应用访问方法、设备以及计算机可读介质。


背景技术：

2.随着互联网技术的发展，不断增加的场景需求要求对客户端访问应用的访问方式进行更灵活的控制。特别是在远程办公场景中，企业将办公所需的应用部署于企业的内网中，员工则通过网络使用客户端设备来访问这些应用。为了兼顾访问的安全性以及访问的效率，客户端设备可以在不同的情况下，使用不同的方式来访问内网中的应用。例如当客户端设备处于可信网络中时，可以直接访问内网的应用，而当客户端设备处于非可信网络中时，则需要使用vpn等安全访问技术来确保访问的安全性。
3.但是，目前对访问方式的控制都较为简单，仅仅是简单地根据客户端设备所处的网络来设定不同的访问方式。当面对更为复杂的实际场景，例如大量不同类型的应用和增加的用户的数量时，现有方法难以实现灵活的访问控制，导致无法较好兼顾访问的安全性和效率。


技术实现要素：

4.本技术的一个目的是提供一种可信网络应用访问方法、设备以及计算机可读介质，至少用以解决现有技术中访问方式控制过于简单、难以适应复杂场景的问题。
5.本技术实施例提供了一种可信网络应用访问方法，应用于客户端设备，所述方法包括：
6.根据客户端设备所对应的用户身份，从管理平台获取所述用户身份关联的可信网络配置信息和应用转发配置信息；
7.在发起应用访问请求时，判断所述客户端设备当前所处的网络是否为所述可信网络配置信息中配置的可信网络；
8.若所述客户端设备当前所处的网络是所述可信网络配置信息中配置的可信网络，判断所述应用访问请求的访问信息是否指向应用转发配置信息中配置的指定应用；
9.若所述应用访问请求的访问信息指向应用转发配置信息中配置的指定应用，根据所述应用转发配置信息中配置的关于所述指定应用的访问模式，发起所述应用访问请求。
10.本技术实施例还提供了另一种可信网络应用访问方法，应用于管理平台，所述方法包括：
11.获取与用户身份关联的可信网络配置信息和应用转发配置信息；
12.根据客户端设备对应的用户身份，向所述客户端设备下发对应的可信网络配置信息和应用转发配置信息，以使所述客户端设备在发起应用访问请求时，判断所述客户端设备当前所处的网络是否为所述可信网络配置信息中配置的可信网络；若所述客户端设备当前所处的网络是所述可信网络配置信息中配置的可信网络，判断所述应用访问请求的访问
信息是否指向应用转发配置信息中配置的指定应用；若所述应用访问请求的访问信息指向应用转发配置信息中配置的指定应用，根据所述应用转发配置信息中配置的关于所述指定应用的访问模式，发起所述应用访问请求。
13.此外，本技术实施例还提供了一种实现可信网络应用访问的客户端设备，所述客户端设备包括：
14.配置接收模块，用于根据客户端设备所对应的用户身份，从管理平台获取所述用户身份关联的可信网络配置信息和应用转发配置信息；
15.网络检测模块，用于在发起应用访问请求时，判断所述客户端设备当前所处的网络是否为所述可信网络配置信息中配置的可信网络；
16.流量发送模块，用于在所述客户端设备当前所处的网络是所述可信网络配置信息中配置的可信网络时，判断所述应用访问请求的访问信息是否指向应用转发配置信息中配置的指定应用；并在所述应用访问请求的访问信息指向应用转发配置信息中配置的指定应用时，根据所述应用转发配置信息中配置的关于所述指定应用的访问模式，发起所述应用访问请求。
17.本技术实施例还提供了一种实现可信网络应用访问的管理平台，所述
[0018][0019]
管理平台包括：
[0020]
配置获取模块，用于获取与用户身份关联的可信网络配置信息和应用转发配置信息；
[0021]
配置下发模块，用于根据客户端设备对应的用户身份，向所述客户端设备下发对应的可信网络配置信息和应用转发配置信息，以使所述客户端设备在发起应用访问请求时，判断所述客户端设备当前所处的网络是否为所述可信网络配置信息中配置的可信网络；若所述客户端设备当前所处的网络是所述可信网络配置信息中配置的可信网络，判断所述应用访问请求的访问信息是否指向应用转发配置信息中配置的指定应用；若所述应用访问请求的访问信息指向应用转发配置信息中配置的指定应用，根据所述应用转发配置信息中配置的关于所述指定应用的访问模式，发起所述应用访问请求。
[0022]
本技术实施例还提供了一种计算设备，该设备包括用于存储计算机程序指令的存储器和用于执行计算机程序指令的处理器，其中，当该计算机程序指令被该处理器执行时，触发所述设备执行所述的可信网络应用访问方法。
[0023]
此外，本技术实施例还提供了一种计算机可读介质，其上存储有计算机程序指令，所述计算机程序指令可被处理器执行以实现所述的可信网络应用访问方法。
[0024]
相较于现有技术，本技术实施例提供一种可信网络应用访问方案，该方案根据用户身份获取可信网络配置信息和应用转发配置信息，本发明的方法将访问方式的控制与具体用户身份关联起来，提供了更细粒度的访问控制。不再仅仅依赖于网络环境的简单判断，而是结合用户身份和应用配置信息，确保只有具备相应身份的用户才能访问指定应用。
[0025]
此外，本发明的方法还引入了访问模式的概念，根据应用转发配置信息中的访问模式选择最适合的访问方式。这使得访问控制更加灵活，能够根据具体应用的要求和场景的需要进行定制，提高了访问的效率和用户体验。
[0026]
因此，本发明的技术方案解决了现有技术中访问方式控制简单、难以适应复杂场
景的问题。它提供了一种基于用户身份、可信网络和指定应用的访问方式控制方法，结合灵活的访问模式选择，能够更好地满足互联网领域对于访问控制的需求，兼顾访问的安全性和效率。
附图说明
[0027]
图1为本技术实施例提供的一种可信网络应用访问方法的处理流程图；
[0028]
图2为采用本技术实施例提供的方案实现可信网络内部应用访问时的整体流程图；
[0029]
图3为本技术实施例提供的一种实现可信网络应用访问的客户端设备的结构示意图；
[0030]
图4为本技术实施例提供的一种实现可信网络应用访问的管理平台的结构示意图；
[0031]
图5为本技术实施例提供的一种实现可信网络应用访问的计算设备的结构示意图。
具体实施方式
[0032]
为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
[0033]
在本技术一个典型的配置中，终端、服务网络的设备均包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。
[0034]
内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)。内存是计算机可读介质的示例。
[0035]
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体，可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。
[0036]
本技术实施例提供的可信网络应用访问的方法中，客户端设备根据用户身份获取可信网络配置信息和应用转发配置信息，将访问方式的控制与具体用户身份关联起来，提供了更细粒度的访问控制，不再仅仅依赖于网络环境的简单判断，而是结合用户身份和应用配置信息，确保只有具备相应身份的用户才能访问指定应用。此外，该方法还引入了访问模式的概念，根据应用转发配置信息中的访问模式选择最适合的访问方式，使得访问控制更加灵活，能够根据具体应用的要求和场景的需要进行定制，提高了访问的效率和用户体验。由此，本技术解决了现有技术中访问方式控制简单、难以适应复杂场景的问题，提供了
一种基于用户身份、可信网络和指定应用的访问方式控制方法，结合灵活的访问模式选择，能够更好地满足互联网领域对于访问控制的需求，兼顾访问的安全性和效率。
[0037]
图1示出了本技术实施例提供的一种可信网络应用访问方法的处理流程，该方法应用于客户端设备，涉及由客户端设备向位于可信网络内的应用发起访问的场景。其中，所述客户端设备可以是用户访问应用时所使用的各类终端设备，包括但不限于计算机、手机、平板电脑、智能手表等各类设备。所述可信网络可以是由用户根据与网络相关的信息定义的网络，其中用于定义可信网络的信息可以是dns服务器地址、域名和ip(internet protocol，网际互连协议)地址的解析对、ssid(service set identifier，服务集标识)等，这些信息可以作为可信网络配置信息中的部分内容，由用户预先在管理平台中进行配置，再由管理平台分发给需要的客户端设备。
[0038]
所述客户端设备在执行可信网络应用访问方法时，可以至少包括以下处理步骤：
[0039]
步骤s101，根据客户端设备所对应的用户身份，从管理平台获取所述用户身份关联的可信网络配置信息和应用转发配置信息。
[0040]
其中，客户端设备所对应的用户身份是指当前使用客户端设备来发起应用访问请求的用户的身份信息。在实际场景中，客户端设备上运行有可用于可信网络应用访问的客户端程序，用户使用客户端程序完成身份认证后，即可基于该认证后的身份，来使用客户端设备上运行的客户端程序访问可信网络中的应用。
[0041]
由此，本技术的一些实施例中，在根据客户端设备所对应的用户身份，从管理平台获取所述用户身份关联的可信网络配置信息和应用转发配置信息之前，客户端设备还可以先完成身份认证，获取客户端设备所对应的用户身份。由此，可以确保访问可信网络中的应用的用户都是经过认证的正常用户，防止其它未经认证的用户可以随意尝试访问，有效提升了访问的安全性。
[0042]
在实际场景中，身份认证的方式可以是帐号密码形式或使用生物特征识别技术的登录验证，也可以是基于第三方身份认证服务提供的认证机制，例如通过手机号、身份证、或者其它关联应用账户等信息实现的验证等。在此，本领域技术人员应当理解，上述关于身份认证机制的具体内容仅为举例，现有或今后出现的基于类似原理的其它形式如果能够适用于本技术，也应该包含在本技术的保护范围内，并以引用的形式包含于此。
[0043]
所述管理平台中的可信网络配置信息和应用转发配置信息，可以由管理员用户预先进行配置，为不同的用户身份配置对应的可信网络配置信息和应用转发配置信息。当客户端设备完成身份认证，确定到自身的用户身份后，即可根据自身的不同身份信息向管理平台请求对应的可信网络配置信息和应用转发配置信息，由此，客户端设备可以确保获得与其所对应的用户身份相关的正确配置信息，从而在应用访问过程中能够准确判断网络的可信性以及应用的访问模式，提供更安全和可信的网络应用访问管理。
[0044]
步骤s102，在发起应用访问请求时，判断所述客户端设备当前所处的网络是否为所述可信网络配置信息中配置的可信网络。
[0045]
其中，可信网络配置信息用于定义本方案中的可信网络，使得客户端设备可以通过自身当前的相关信息与可信网络配置信息比较，来判定当前是否处于可信网络。在本技术的一些实施例中，所述可信网络配置信息中包括可信网络判定条件以及所述判定条件所对应的判定信息。其中，判定信息可以包括以下的至少任意一项：所述可信网络对应的dns
服务器地址、所述可信网络对应的域名和ip(internet protocol，网际互连协议)地址的解析对、所述可信网络对应的ssid(服务集标识符，服务集标识)。
[0046]
基于上述可信网络配置信息，对客户端设备是否处于可信网路进行判断时，客户端设备可以将当前所连接的网络中的网络相关信息与判定条件中对应的判定信息进行匹配，若匹配结果符合所述判定条件，确定所述客户端设备当前所连接的网络是所述可信网络配置信息中配置的可信网络。其中，当前所连接的网络中的网络相关信息与判定信息对应，可以包括以下的至少任意一项：所述客户端设备发起应用访问请求时所使用的dns服务器地址、所述应用访问请求所访问的域名与其解析获得的ip地址的解析对、所述客户端设备当前接入的ssid。
[0047]
其中，所述判定条件为至少一项或多项网络相关信息与对应的判定信息匹配一致。在实际场景中，可以通过“与/或”等匹配逻辑，来确定判定条件。例如，当上述三组匹配均以“或”的匹配逻辑组合时，对应的判定条件需要上述的任意一项网络相关信息与对应的判定信息匹配一致即可。若将判定信息中的可信网络对应的dns服务器地址记为dns_safe，所述可信网络对应的域名和ip地址的解析对记为dm-ip_safe，所述可信网络对应的ssid记为ssid_safe。同时，将当前所连接的网络中的网络相关信息中的客户端设备发起应用访问请求时所使用的dns服务器地址记为dns_current，所述应用访问请求所访问的域名与其解析获得的ip地址的解析对记为dm-ip_current，客户端设备当前接入的ssid记为ssid_current。由此，以“或”的匹配逻辑组合的判定条件可以表示为：dns_current＝dns_safe或dm-ip_current＝dm-ip_safe或ssid_current＝ssid_safe。当某一可信网络net1的判定条件为上述“或”的匹配逻辑组合时，将客户端设备多连接的wifi的ssid与ssid_safe对比后，发现两者是一致的，此时可以验证客户端设备处于可信网络内。
[0048]
还如，当上述三组匹配均以“与”的匹配逻辑组合时，则对应的判定条件即为需要上述三项网络相关信息与对应的判定信息都匹配一致才行，可以表述为：dns_current＝dns_safe与dm-ip_current＝dm-ip_safe与ssid_current＝ssid_safe。此外，通过不同的匹配逻辑组合，还可以配置其它不同的判定条件，例如满足其中的任意两项，或者在满足其中固定一项的情况下再满足另外任意一项等。例如，本技术的一些实施例中可以将可信网络对应的ssid作为需要满足的固定项，另外在满足其余两项中的任意一项，作为判定条件，此时该判定条件可以表述为：ssid_current＝ssid_safe与(dns_current＝dns_safe或dm-ip_current＝dm-ip_safe)。由于ssid是指wifi(wireless fidelity，无线保真)网络接入点的名称，在实际场景中，攻击者一般不会刻意伪造当前接入的ssid，而解析对和dns服务器地址被可以伪造的可能性更高，因此结合ssid来进行可信网络判定可以更加可靠，从而进一步提升整体的安全性。
[0049]
通过上述的匹配过程，客户端设备可以根据网络相关信息与判定条件的匹配结果，判断当前所连接的网络是否属于预先配置的可信网络之一。这样的判断机制能够帮助确保客户端设备连接到可信的网络环境，提供更加安全和可信的应用访问体验。同时，这种基于网络相关信息的判断方式也为网络管理者提供了一种有效的方式来验证和管理网络的可信性。
[0050]
步骤s103，若所述客户端设备当前所处的网络是所述可信网络配置信息中配置的可信网络，判断所述应用访问请求的访问信息是否指向应用转发配置信息中配置的指定应
用。
[0051]
所述应用转发配置信息与可信网络关联，其中至少包括了部署于该可信网络中的指定应用的访问信息，当应用访问请求的访问信息与应用转发配置信息中配置的指定应用的访问信息一致时，即可确定所述应用访问请求的访问信息指向了应用转发配置信息中配置的指定应用。
[0052]
在本技术的一些实施例中，为了使得应用的检测更加精准，所述访问信息可以是包括访问协议、访问地址和访问端口，其中，访问地址可以是ip地址或域名。在实际场景中，对于一个指定应用，其对应的访问信息可以不唯一，例如访问协议可以是http(hypertext transfer protocol，超文本传输协议)/https(hypertext transfer protocol secure，安全的超文本传输协议)，表示两者都可以访问到该指定应用。所述访问协议还是udp(user datagram protocol，用户数据报协议)、tcp(transmission control protocol，传输控制协议)等，此外，若指定应用可以通过任意的协议访问，则应用转发配置信息中可以将访问协议设定为“all”，表示任意的访问协议都可以。类似地，访问地址和访问端口也可以是配置多个，表示向这些地址和端口发起应用访问请求都可以访问该指定应用。
[0053]
基于此，客户端设备在判断所述应用访问请求的访问信息是否指向应用转发配置信息中配置的指定应用时，可以依次比较所述应用访问请求的访问协议、访问地址和访问端口，与所述应用转发配置信息中指定应用的访问协议、访问地址和访问端口的一致性，若对比结果均一致，则确定所述应用访问请求的访问信息指向应用转发配置信息中配置的指定应用。
[0054]
例如，本实施例中将ip地址作为访问地址，若应用转发配置信息中配置的指定应用app1的访问信息为访问协议：https/http、访问地址：192.108.120.1，访问端口：80。当某一个所述应用访问请求req1的访问信息中访问协议为https，访问地址为192.108.120.1，访问端口为80时，通过依次比较上述访问信息，对比结果均一致，确定所述应用访问请求req1的访问信息指向应用转发配置信息中配置的指定应用app1，即应用访问请求req1是一个访问app1的请求。
[0055]
在实际场景中，应用转发配置信也可以与用户身份关联，例如在某一应用转发配置信息中增加“用户/用户组”的信息，使其与某一特定身份的用户关联。例如，可信网络net1的应用转发配置信息p1中配置了指定应用app1的访问信息，且该应用转发配置信息p1关联的用户组为部门a的用户，由此所述客户端设备处于可信网络net的情况下，可以先基于身份信息进行筛选，判断客户端设备所对应的用户身份是否为部门a的用户，然后再判断应用访问请求中的访问信息是否指向指定应用app1。由此，可以基于用户身份实现权限管理，提升访问控制的精细度，同时也可以通过身份筛选的方式使得需要对比的访问信息更少，提升处理效率。
[0056]
通过以上步骤，客户端设备可以判断应用访问请求的访问信息是否指向了应用转发配置信息中所配置的指定应用。这种机制可以提高应用访问的准确性和安全性，确保只有特定的访问信息才能成功访问指定的应用。同时，还可以结合用户身份关联，对特定用户或用户组的应用访问进行限制和控制，增加应用访问的可控性和安全性。
[0057]
步骤s104，若所述应用访问请求的访问信息指向应用转发配置信息中配置的指定应用，根据所述应用转发配置信息中配置的关于所述指定应用的访问模式，发起所述应用
访问请求。
[0058]
在本实施例中，应用转发配置信息中除了包括指定应用的访问信息之外，还包括了指定应用的访问模式。所述访问模式包括了隧道模式和不转发模式，其中，隧道模式是指客户端设备与边缘设备建立隧道，并通过所述隧道将所述应用访问请求发送至边缘设备，由所述边缘设备转发至所述指定应用的应用服务设备。而不转发模式是指客户端设备直接将所述应用访问请求发送至所述指定应用的应用服务设备。
[0059]
通过隧道模式访问指定应用时，由于应用访问请求经由边缘设备引流，因此可以利用边缘云网络的安全访问机制，使得对于指定应用的访问更加安全。由于隧道模式的上述特点，当所述客户端设备当前所处的网络不是所述可信网络配置信息中配置的可信网络时，可以使用隧道模式发起应用访问请求。而通过不转发模式访问指定应用时，不经中转直接访问，无需网络绕行，可以提升访问效率。对于可信网络的管理员而言，可以通过合理的配置可信网络配置信息和应用转发配置信息，针对不同的网络、不同用户、不同应用设置更加灵活精细的访问控制模式，同时通过合理配置隧道模式和不转发模式实现安全性与访问效率的平衡，使得方案在整体上能够兼顾安全性和性能需求。
[0060]
在本技术的一些实施例中，客户端设备还可以记录关于所述应用访问请求的流量访问行为，并根据所述流量访问行为生成行为日志。通过全量记录行为日志的方式，可以便于在需要时对访问行为进行溯源检查，从而方便的排查问题，分析访问行为。
[0061]
此外，本技术实施例还提供了另一种可信网络应用访问方法，该方法应用于管理平台，所述管理平台可以获取与用户身份关联的可信网络配置信息和应用转发配置信息，然后根据客户端设备对应的用户身份，向所述客户端设备下发对应的可信网络配置信息和应用转发配置信息，以使所述客户端设备在发起应用访问请求时，判断所述客户端设备当前所处的网络是否为所述可信网络配置信息中配置的可信网络；若所述客户端设备当前所处的网络是所述可信网络配置信息中配置的可信网络，判断所述应用访问请求的访问信息是否指向应用转发配置信息中配置的指定应用；若所述应用访问请求的访问信息指向应用转发配置信息中配置的指定应用，根据所述应用转发配置信息中配置的关于所述指定应用的访问模式，发起所述应用访问请求。
[0062]
在本技术实施例中，管理平台的使用者既可以是管理员，也可以是第三方用户(例如除管理员以外的其他用户，例如普通员工、合作伙伴或外部用户)，通过合理的权限管理和访问控制，可以实现对整个系统的灵活管理和安全控制。
[0063]
这种方法使得管理平台能够根据用户身份动态调整和下发配置信息，实现了基于用户身份和网络环境的动态访问控制，确保用户在不同网络环境下的应用访问行为符合安全要求。这种方法既保证了应用访问的安全性，又提升了访问效率，同时为管理人员提供了集中管理和监控的能力，为第三方用户提供了对不同类型用户的个性化管理和控制能力。
[0064]
图2示出了采用本技术实施例提供的方案实现可信网络内部应用访问的整体流程，包括以下步骤：
[0065]
步骤s201，管理员在管理平台输入可信网络配置信息和应用转发配置信息。
[0066]
步骤s202，用户使用客户端设备完成身份验证后，从管理平台获取与用户身份关联的可信网络配置信息和应用转发配置信息。
[0067]
步骤s203，客户端设备在发起应用访问请求时，根据可信网络配置信息中定义的
可信网络，进行客户端可信网络环境的检测，判断客户端设备当前是否处于可信网络中。检测后，可以根据检测结果将客户端设备的当前网络标记为“可信”或“非可信”。
[0068]
步骤s204，判断客户端设备发起的访问请求中的访问信息(协议、访问地址、端口)是否与应用转发配置信息中指定应用的访问信息一致。若一致，则执行步骤s205，采用对应的访问模式继续访问。
[0069]
步骤s205，对于标记为“可信”的客户端设备，则采用隧道模式，与边缘设备建立隧道，并通过所述隧道将所述应用访问请求发送至边缘设备，由所述边缘设备转发至所述指定应用的应用服务设备。对于标记为“不可信”的客户端设备，则采用不转发模式，绕过边缘设备，直接将所述应用访问请求发送至所述指定应用的应用服务设备。
[0070]
步骤s206，全量记录客户端设备访问指定应用的行为日志。
[0071]
由此，该方案在实现应用访问时，根据用户身份获取可信网络配置信息和应用转发配置信息，将访问控制方式与具体用户身份关联起来，提供了更细粒度的访问控制。不再仅仅依赖于网络环境的简单判断，而是结合用户身份和应用配置信息，确保只有具备相应身份的用户才能访问指定应用。此外，还引入了访问模式的概念，根据应用转发配置信息中的访问模式选择最适合的访问方式。这使得访问控制更加灵活，能够根据具体应用的要求和场景的需要进行定制，提高了访问的效率和用户体验。因此，上述技术方案解决了现有技术中访问方式控制简单、难以适应复杂场景的问题。它提供了一种基于用户身份、可信网络和指定应用的访问方式控制方法，结合灵活的访问模式选择，能够更好地满足互联网领域对于访问控制的需求，兼顾访问的安全性和效率。
[0072]
此外，本技术实施例还提供了一种实现可信网络应用访问的客户端设备，所述客户端设备的结构如图3所示，包括配置接收模块310、网络检测模块320和流量发送模块330。其中，所述配置接收模块310用于根据客户端设备所对应的用户身份，从管理平台获取所述用户身份关联的可信网络配置信息和应用转发配置信息。网络检测模块320用于在发起应用访问请求时，判断所述客户端设备当前所处的网络是否为所述可信网络配置信息中配置的可信网络。流量发送模块330用于在所述客户端设备当前所处的网络是所述可信网络配置信息中配置的可信网络时，判断所述应用访问请求的访问信息是否指向应用转发配置信息中配置的指定应用；并在所述应用访问请求的访问信息指向应用转发配置信息中配置的指定应用时，根据所述应用转发配置信息中配置的关于所述指定应用的访问模式，发起
[0073][0074]
所述应用访问请求。
[0075]
本技术实施例还提供了一种实现可信网络应用访问的管理平台，所述管理平台的结构如图4所示，包括配置获取模块410和配置下发模块420。其中，所述配置获取模块410用于获取与用户身份关联的可信网络配置信息和应用转发配置信息。配置下发模块420用于根据客户端设备对应的用户身份，向所述客户端设备下发对应的可信网络配置信息和应用转发配置信息，以使所述客户端设备在发起应用访问请求时，判断所述客户端设备当前所处的网络是否为所述可信网络配置信息中配置的可信网络；若所述客户端设备当前所处的网络是所述可信网络配置信息中配置的可信网络，判断所述应用访问请求的访问信息是否指向应用转发配置信息中配置的指定应用；若所述应用访问请求的访问信息指向应用转发配置信息中配置的指定应用，根据所述应用转发配置信息中配置的关于所述指定应用的访
问模式，发起所述应用访问请求。
[0076]
此外，本技术实施例还提供了一种计算设备，该计算设备的结构如图5所示，包括用于存储计算机程序指令的存储器510和用于执行计算机程序指令的处理器520，其中，当该计算机程序指令被该处理器执行时，触发所述处理器执行所述实现可信网络应用访问方法。
[0077]
本技术实施例中的方法和/或实施例可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在该计算机程序被处理单元执行时，执行本技术的方法中限定的上述功能。
[0078]
需要说明的是，本技术所述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本技术中，计算机可读介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
[0079]
而在本技术中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、rf等等，或者上述的任意合适的组合。
[0080]
可以以一种或多种程序设计语言或其组合来编写用于执行本技术的操作的计算机程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如java、smalltalk、c++，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(lan)或广域网(wan)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
[0081]
附图中的流程图或框图示出了按照本技术各种实施例的设备、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行
规定的功能或操作的专用的针对硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
[0082]
作为另一方面，本技术实施例还提供了一种计算机可读介质，该计算机可读介质可以是上述实施例中描述的设备中所包含的；也可以是单独存在，而未装配入该设备中。上述计算机可读介质承载有一个或者多个计算机程序指令，所述计算机程序指令可被处理器执行以实现前述本技术的多个实施例的方法和/或技术方案的步骤。
[0083]
此外，本技术实施例还提供了一种计算机程序，所述计算机程序存储于计算机设备，使得计算机设备执行所述控制代码执行的方法。
[0084]
需要注意的是，本技术可在软件和/或软件与硬件的组合体中被实施，例如，可采用专用集成电路(asic)、通用目的计算机或任何其他类似硬件设备来实现。在一些实施例中，本技术的软件程序可以通过处理器执行以实现上文步骤或功能。同样地，本技术的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中，例如，ram存储器，磁或光驱动器或软磁盘及类似设备。另外，本技术的一些步骤或功能可采用硬件来实现，例如，作为与处理器配合从而执行各个步骤或功能的电路。
[0085]
对于本领域技术人员而言，显然本技术不限于上述示范性实施例的细节，而且在不背离本技术的精神或基本特征的情况下，能够以其他的具体形式实现本技术。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本技术的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本技术内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外，显然“包括”一词不排除其他单元或步骤，单数不排除复数。装置权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一，第二等词语用来表示名称，而并不表示任何特定的顺序。

技术特征：
1.一种可信网络应用访问方法，其特征在于，应用于客户端设备，所述方法包括：根据客户端设备所对应的用户身份，从管理平台获取所述用户身份关联的可信网络配置信息和应用转发配置信息；在发起应用访问请求时，判断所述客户端设备当前所处的网络是否为所述可信网络配置信息中配置的可信网络；若所述客户端设备当前所处的网络是所述可信网络配置信息中配置的可信网络，判断所述应用访问请求的访问信息是否指向应用转发配置信息中配置的指定应用；若所述应用访问请求的访问信息指向应用转发配置信息中配置的指定应用，根据所述应用转发配置信息中配置的关于所述指定应用的访问模式，发起所述应用访问请求。2.根据权利要求1所述的方法，其特征在于，所述可信网络配置信息中包括可信网络判定条件以及所述判定条件所对应的判定信息，所述判定信息包括以下至少任意一项：所述可信网络对应的dns服务器地址；所述可信网络对应的域名和ip地址的解析对；所述可信网络对应的ssid。3.根据权利要求2所述的方法，其特征在于，判断所述客户端设备当前所处的网络是否为所述可信网络配置信息中配置的可信网络，包括：所述客户端设备当前所连接的网络中的网络相关信息与对应的判定信息进行匹配，若匹配结果符合所述判定条件，确定所述客户端设备当前所连接的网络是所述可信网络配置信息中配置的可信网络，其中，所述网络相关信息包括以下至少任意一项：所述客户端设备发起应用访问请求时所使用的dns服务器地址；所述应用访问请求所访问的域名与其解析获得的ip地址的解析对；所述客户端设备当前接入的ssid；所述判定条件为至少一项或多项网络相关信息与对应的判定信息匹配一致。4.根据权利要求1所述的方法，其特征在于，所述应用转发配置信息包括指定应用的访问协议、访问地址和访问端口；判断所述应用访问请求的访问信息是否指向应用转发配置信息中配置的指定应用，包括：依次比较所述应用访问请求的访问协议、访问地址和访问端口，与所述应用转发配置信息中指定应用的访问协议、访问地址和访问端口的一致性，若对比结果均一致，则确定所述应用访问请求的访问信息指向应用转发配置信息中配置的指定应用。5.根据权利要求1所述的方法，其特征在于，所述访问模式包括隧道模式和不转发模式；根据所述应用转发配置信息中配置的关于所述指定应用的访问模式，发起所述应用访问请求，包括：若所述应用转发配置信息中配置的关于所述指定应用的访问模式为隧道模式，与边缘设备建立隧道，并通过所述隧道将所述应用访问请求发送至边缘设备，由所述边缘设备转发至所述指定应用的应用服务设备；若所述应用转发配置信息中配置的关于所述指定应用的访问模式为不转发模式，直接将所述应用访问请求发送至所述指定应用的应用服务设备。
6.根据权利要求1所述的方法，其特征在于，根据客户端设备所对应的用户身份，从管理平台获取所述用户身份关联的可信网络配置信息和应用转发配置信息之前，还包括：完成身份认证，获取客户端设备所对应的用户身份。7.根据权利要求1所述的方法，其特征在于，所述方法还包括：记录关于所述应用访问请求的流量访问行为，并根据所述流量访问行为生成行为日志。8.一种可信网络应用访问方法，其特征在于，应用于管理平台，所述方法包括：获取与用户身份关联的可信网络配置信息和应用转发配置信息；根据客户端设备对应的用户身份，向所述客户端设备下发对应的可信网络配置信息和应用转发配置信息，以使所述客户端设备在发起应用访问请求时，判断所述客户端设备当前所处的网络是否为所述可信网络配置信息中配置的可信网络；若所述客户端设备当前所处的网络是所述可信网络配置信息中配置的可信网络，判断所述应用访问请求的访问信息是否指向应用转发配置信息中配置的指定应用；若所述应用访问请求的访问信息指向应用转发配置信息中配置的指定应用，根据所述应用转发配置信息中配置的关于所述指定应用的访问模式，发起所述应用访问请求。9.一种实现可信网络应用访问的客户端设备，其特征在于，所述客户端设备包括：配置接收模块，用于根据客户端设备所对应的用户身份，从管理平台获取所述用户身份关联的可信网络配置信息和应用转发配置信息；网络检测模块，用于在发起应用访问请求时，判断所述客户端设备当前所处的网络是否为所述可信网络配置信息中配置的可信网络；流量发送模块，用于在所述客户端设备当前所处的网络是所述可信网络配置信息中配置的可信网络时，判断所述应用访问请求的访问信息是否指向应用转发配置信息中配置的指定应用；并在所述应用访问请求的访问信息指向应用转发配置信息中配置的指定应用时，根据所述应用转发配置信息中配置的关于所述指定应用的访问模式，发起所述应用访问请求。10.一种实现可信网络应用访问的管理平台，其特征在于，所述管理平台包括：配置获取模块，用于获取与用户身份关联的可信网络配置信息和应用转发配置信息；配置下发模块，用于根据客户端设备对应的用户身份，向所述客户端设备下发对应的可信网络配置信息和应用转发配置信息，以使所述客户端设备在发起应用访问请求时，判断所述客户端设备当前所处的网络是否为所述可信网络配置信息中配置的可信网络；若所述客户端设备当前所处的网络是所述可信网络配置信息中配置的可信网络，判断所述应用访问请求的访问信息是否指向应用转发配置信息中配置的指定应用；若所述应用访问请求的访问信息指向应用转发配置信息中配置的指定应用，根据所述应用转发配置信息中配置的关于所述指定应用的访问模式，发起所述应用访问请求。11.一种计算设备，该设备包括用于存储计算机程序指令的存储器和用于执行计算机程序指令的处理器，其中，当该计算机程序指令被该处理器执行时，触发所述设备执行权利要求1至8中任一项所述的方法。12.一种计算机可读介质，其上存储有计算机程序指令，所述计算机程序指令可被处理器执行以实现如权利要求1至8中任一项所述的方法。

技术总结
本申请实施例提供了一种可信网络应用访问方法、设备以及计算机可读介质，该方案根据用户身份获取可信网络配置信息和应用转发配置信息，本发明的方法将访问方式的控制与具体用户身份关联起来，提供了更细粒度的访问控制，不再仅仅依赖于网络环境的简单判断，而是结合用户身份和应用配置信息，确保只有具备相应身份的用户才能访问指定应用。同时引入了访问模式的概念，使得访问控制更加灵活，能够根据具体应用的要求和场景的需要进行定制，提高了访问的效率和用户体验。由此，解决了现有技术中访问方式控制简单、难以适应复杂场景的问题。题。题。


技术研发人员：李晶 刘贺 霍涛
受保护的技术使用者：上海云盾信息技术有限公司
技术研发日：2023.06.29
技术公布日：2023/10/6