CN119766529A - 零信任b/s应用方法、电子设备、存储介质及程序产品 - Google Patents

Abstract

本申请提供一种零信任B/S应用方法、电子设备、可读存储介质及计算机程序产品，该方法包括：通过浏览器向待访问应用发送加密访问流量请求；根据引流规则和规则匹配顺序对加密访问流量请求进行引流；对加密访问流量请求进行解密处理，得到明文数据；对明文数据进行标签注入，得到http数据结构的待发送数据；该待发送数据对应的用户标识为预设用户标识；对待发送数据进行加密封装，得到加密数据包；根据引流规则和规则匹配顺序将加密数据包引流至零信任网关，以使零信任网关根据加密数据包进行动态访问控制。该方法能够高效快速实现数据引流，并通过动态地注入标签，实现与不同的零信任网关的对接适配，从而提升系统的可扩展性和灵活性。

Description

零信任B/S应用方法、电子设备、存储介质及程序产品

技术领域

本申请涉及零信任技术领域，具体而言，涉及一种零信任B/S应用方法、电子设备、可读存储介质及计算机程序产品。

背景技术

零信任客户端B/S应用访问是一种将零信任理念应用于B/S架构应用场景中的安全访问模式，B/S应用主要依赖于HTTP协议族进行数据传输和交互。现有技术中，通常使用socks建立链接与专用的零信任网关进行通信，可适配性低。此外，现有的socks连接技术还缺乏标签注入能力，无法根据实际需求制定复杂访问控制策略，从而削弱了系统的可扩展性和灵活性。

发明内容

本申请实施例的目的在于提供一种零信任B/S应用方法、电子设备、可读存储介质及计算机程序产品，能够高效快速实现数据引流，且能够动态地注入标签，实现与不同的零信任网关的对接适配，提升了系统的可扩展性和灵活性。

本申请第一方面提供了一种零信任B/S应用方法，包括：

预先创建特定用户、引流规则以及所述引流规则的规则匹配顺序；其中，所述特定用户的用户标识为预设用户标识；

基于所述特定用户运行转发模块，以使所述转发模块发出的所有流量对应的用户标识为所述预设用户标识；

通过浏览器向待访问应用发送加密访问流量请求；

根据所述引流规则和所述规则匹配顺序将所述加密访问流量请求引流至所述转发模块的流量装载/卸载模块中；

通过所述流量装载/卸载模块对所述加密访问流量请求进行解密处理，得到明文数据；

通过所述转发模块的安全传输模块对所述明文数据进行标签注入，得到http数据结构的待发送数据；所述待发送数据对应的用户标识为所述预设用户标识；

通过所述安全传输模块对所述待发送数据进行加密封装，得到加密数据包；

根据所述引流规则和所述规则匹配顺序将所述加密数据包引流至零信任网关，以使所述零信任网关根据所述加密数据包进行动态访问控制。

在上述实现过程中，该方法能够通过预先定义特定用户及其对应的引流规则和匹配顺序，能够确保流量处理时具有高度的针对性。其次，基于特定用户运行转发模块，能够确保转发模块对流量进行管理与审计。然后，通过精确匹配引流规则，能够将加密访问流量请求引导至合适的处理路径，实现流量的管理。再后，解密处理使得原始数据得以恢复，能够为后续的数据处理和分析提供基础。标签注入的方式能够增加数据的可控性，便于在后续的数据传输和处理过程中进行精准的控制，从而提高系统的安全性。另外，加密封装能够确保数据在传输过程中的安全性，从而强化系统的安全防护能力。最后，通过零信任网关进行动态访问控制，能够实现对流量的精细化管理和控制，从而提高系统的安全性和合规性。

进一步地，所述预先创建特定用户、引流规则以及所述引流规则的规则匹配顺序，包括：

预先创建特定用户，并调用转发模块中的引流模块预先制定引流规则和规则匹配顺序。

在上述实现过程中，该方法能够确保流量管理的高效性和精准性，为系统的动态访问控制提供坚实基础。

进一步地，所述引流规则包括第一规则和第二规则；

所述第一规则为放行用户标识为所述预设用户标识的所有流量；

所述第二规则为访问零信任网关的所有流量引入到所述转发模块的流量装载/卸载模块中。

在上述实现过程中，该方法能够确保特定用户的流量畅通无阻，同时加强对零信任网关访问流量的管理和控制，提升系统的安全性和灵活性。

进一步地，所述根据所述引流规则和所述规则匹配顺序将所述加密访问流量请求引流至所述转发模块的流量装载/卸载模块中，包括：

将所述加密访问流量请求下发至内核协议栈中；其中，所述加密访问流量请求的请求地址为所述待访问应用的域名地址，所述待访问应用的域名地址指向零信任网关；

在所述内核协议栈中，对所述引流规则和所述加密访问流量请求按照所述规则匹配顺序进行匹配，得到第一匹配结果；其中，所述第一匹配结果为所述加密访问流量请求与所述第一规则匹配失败，且所述加密访问流量请求与所述第二规则匹配成功；

根据所述第一匹配结果将所述加密访问流量请求引流至所述转发模块的流量装载/卸载模块中。

在上述实现过程中，该方法能够确保符合特定条件的流量被有效引流至转发模块的流量装载/卸载模块，从而增强流量管理的精确性和系统的安全性。

进一步地，所述通过所述流量装载/卸载模块对所述加密访问流量请求进行解密处理，得到明文数据，包括：

通过所述流量装载/卸载模块对所述加密访问流量请求进行解密处理，得到原始数据；

对所述原始数据按照http格式进行解析处理，得到明文数据。

在上述实现过程中，该方法能够准确还原出明文数据，为后续的数据处理提供可靠的基础，确保数据传输的完整性和准确性。

进一步地，所述通过所述转发模块的安全传输模块对所述明文数据进行标签注入，得到http数据结构的待发送数据，包括：

获取执行点传输信息；其中，所述执行点传输信息至少包括身份令牌、预设用户标识以及数据标签；

根据所述执行点传输信息生成自定义键值对；

在所述安全传输模块中，将所述自定义键值对作为标签插入到所述明文数据的http请求头中，得到http数据结构的待发送数据。

在上述实现过程中，该方法能够增强数据的识别性和安全性，为后续的数据处理和访问控制提供关键信息支持。

进一步地，所述通过所述安全传输模块对所述待发送数据进行加密封装，得到加密数据包，包括：

从零信任控制中心获取访问资源域名与零信任网关之间的对应关系；

根据所述对应关系将所述待发送数据转换成目标http数据包；

通过所述安全传输模块对所述目标http数据包进行加密处理，得到加密数据包。

在上述实现过程中，该方法能够确保数据传输的安全性和目标性，从而提升系统的整体防护能力。

进一步地，所述根据所述引流规则和所述规则匹配顺序将所述加密数据包引流至零信任网关，包括：

通过所述安全传输模块将所述加密数据包下发至内核协议栈中；其中，所述加密数据包的用户标识为所述预设用户标识；

通过所述内核协议栈，对所述引流规则和所述加密数据包按照所述规则匹配顺序进行匹配，得到第二匹配结果；其中，所述第二匹配结果为所述加密数据包与所述第一规则匹配成功；

根据所述对应关系确定待发送的零信任网关；

根据所述第二匹配结果将所述加密数据包发送至所述零信任网关上。

在上述实现过程中，该方法能够确保数据传输的安全性和准确性，从而能够实现与不同的零信任网关的对接适配，进而提升系统的可扩展性和灵活性。

本申请第二方面提供了一种零信任B/S应用装置，所述零信任B/S应用装置包括：

创建单元，用于预先创建特定用户、引流规则以及所述引流规则的规则匹配顺序；其中，所述特定用户的用户标识为预设用户标识；

运行单元，用于基于所述特定用户运行转发模块，以使所述转发模块发出的所有流量对应的用户标识为所述预设用户标识；

发送单元，用于通过浏览器向待访问应用发送加密访问流量请求；

引流单元，用于根据所述引流规则和所述规则匹配顺序将所述加密访问流量请求引流至所述转发模块的流量装载/卸载模块中；

解密单元，用于通过所述流量装载/卸载模块对所述加密访问流量请求进行解密处理，得到明文数据；

注入单元，用于通过所述转发模块的安全传输模块对所述明文数据进行标签注入，得到http数据结构的待发送数据；所述待发送数据对应的用户标识为所述预设用户标识；

封装单元，用于通过所述安全传输模块对所述待发送数据进行加密封装，得到加密数据包；

所述引流单元，还用于根据所述引流规则和所述规则匹配顺序将所述加密数据包引流至零信任网关，以使所述零信任网关根据所述加密数据包进行动态访问控制。

进一步地，所述创建单元，具体用于预先创建特定用户，并调用转发模块中的引流模块预先制定引流规则和规则匹配顺序。

进一步地，所述引流规则包括第一规则和第二规则；

所述第一规则为放行用户标识为所述预设用户标识的所有流量；

所述第二规则为访问零信任网关的所有流量引入到所述转发模块的流量装载/卸载模块中。

进一步地，所述引流单元包括：

下发子单元，用于将所述加密访问流量请求下发至内核协议栈中；其中，所述加密访问流量请求的请求地址为所述待访问应用的域名地址，所述待访问应用的域名地址指向零信任网关；

匹配子单元，用于在所述内核协议栈中，对所述引流规则和所述加密访问流量请求按照所述规则匹配顺序进行匹配，得到第一匹配结果；其中，所述第一匹配结果为所述加密访问流量请求与所述第一规则匹配失败，且所述加密访问流量请求与所述第二规则匹配成功；

引流子单元，用于根据所述第一匹配结果将所述加密访问流量请求引流至所述转发模块的流量装载/卸载模块中。

进一步地，所述解密单元包括：

解密子单元，用于通过所述流量装载/卸载模块对所述加密访问流量请求进行解密处理，得到原始数据；

解析子单元，用于对所述原始数据按照http格式进行解析处理，得到明文数据。

进一步地，所述注入单元包括：

第一获取子单元，用于获取执行点传输信息；其中，所述执行点传输信息至少包括身份令牌、预设用户标识以及数据标签；

生成子单元，用于根据所述执行点传输信息生成自定义键值对；

注入子单元，用于在所述安全传输模块中，将所述自定义键值对作为标签插入到所述明文数据的http请求头中，得到http数据结构的待发送数据。

进一步地，所述封装单元包括：

第二获取子单元，用于从零信任控制中心获取访问资源域名与零信任网关之间的对应关系；

转换子单元，用于根据所述对应关系将所述待发送数据转换成目标http数据包；

封装子单元，用于通过所述安全传输模块对所述目标http数据包进行加密处理，得到加密数据包。

进一步地，所述引流单元包括：

下发子单元，用于通过所述安全传输模块将所述加密数据包下发至内核协议栈中；其中，所述加密数据包的用户标识为所述预设用户标识；

匹配子单元，用于通过所述内核协议栈，对所述引流规则和所述加密数据包按照所述规则匹配顺序进行匹配，得到第二匹配结果；其中，所述第二匹配结果为所述加密数据包与所述第一规则匹配成功；

所述匹配子单元，还用于根据所述对应关系确定待发送的零信任网关；

引流子单元，用于根据所述第二匹配结果将所述加密数据包发送至所述零信任网关上。

本申请第三方面提供了一种电子设备，所述电子设备包括存储器以及处理器，所述存储器用于存储计算机程序，所述处理器运行所述计算机程序以使所述电子设备执行本申请第一方面中任一项所述的零信任B/S应用方法。

本申请第四方面提供了一种计算机可读存储介质，所述可读存储介质存储有计算机程序指令，所述计算机程序指令被一处理器读取并运行时，执行本申请第一方面中任一项所述的零信任B/S应用方法。

本申请第五方面提供了一种计算机程序产品，所述计算机程序产品包括计算机程序，所述计算机程序被处理器运行时，执行本申请第一方面中任一项所述的零信任B/S应用方法。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本申请实施例提供的一种零信任B/S应用方法的流程示意图；

图2为本申请实施例提供的另一种零信任B/S应用方法的流程示意图；

图3为本申请实施例提供的一种零信任B/S应用方法的流程架构示意图；

图4为本申请实施例提供的一种零信任B/S应用装置的结构示意图；

图5为本申请实施例提供的另一种零信任B/S应用装置的结构示意图。

具体实施方式

零信任B/S应用方法指的是在零信任安全框架下，通过零信任客户端来访问基于B/S(Browser/Server，浏览器/服务器)架构的应用程序的方式。具体而言，该方法涉及由零信任管理平台根据零信任客户端的请求进行信任评估，确定应用策略信息，然后零信任客户端与该应用策略信息在本地浏览器建立连接，对访问目标应用产生的数据进行加密封装后发送到对应的零信任网关，再由零信任网关解密后进行代理转发，从而实现对B/S应用的安全访问。

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本申请的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

实施例1

请参看图1，图1为本实施例提供的一种零信任B/S应用方法的流程示意图。其中，该零信任B/S应用方法包括：

S101、预先创建特定用户、引流规则以及引流规则的规则匹配顺序；其中，特定用户的用户标识为预设用户标识。

S102、基于特定用户运行转发模块，以使转发模块发出的所有流量对应的用户标识为预设用户标识。

S103、通过浏览器向待访问应用发送加密访问流量请求。

S104、根据引流规则和规则匹配顺序将加密访问流量请求引流至转发模块的流量装载/卸载模块中。

S105、通过流量装载/卸载模块对加密访问流量请求进行解密处理，得到明文数据。

S106、通过转发模块的安全传输模块对明文数据进行标签注入，得到http数据结构的待发送数据；待发送数据对应的用户标识为预设用户标识。

S107、通过安全传输模块对待发送数据进行加密封装，得到加密数据包。

S108、根据引流规则和规则匹配顺序将加密数据包引流至零信任网关，以使零信任网关根据加密数据包进行动态访问控制。

实施这种实施方式，能够将流量引至本地的代理服务，解析协议内容，并将标签根据不同的场景插入到每一个数据包中。同时，还能够在不改变http协议族类型的情况下将流量代理到零信任网关上。

本实施例中，该方法的执行主体可以为计算机、服务器等计算装置，对此本实施例中不作任何限定。

在本实施例中，该方法的执行主体还可以为智能手机、平板电脑等智能设备，对此本实施例中不作任何限定。

可见，实施本实施例所描述的零信任B/S应用方法，能够高效快速实现数据引流，且能够动态地注入标签，实现与不同的零信任网关的对接适配，提升了系统的可扩展性和灵活性。

实施例2

请参看图2，图2为本实施例提供的一种零信任B/S应用方法的流程示意图。其中，该零信任B/S应用方法包括：

S201、预先创建特定用户，并调用转发模块中的引流模块预先制定引流规则和规则匹配顺序；其中，特定用户的用户标识为预设用户标识。

本实施例中，该方法可以通过零信任客户端(简称客户端)的控制模块在访问终端的系统中创建一个非root的特定用户A，形成一个用户ID(即用户表示)，UIDA(即预设用户标识)。

本实施例中，引流规则包括第一规则和第二规则；

第一规则为放行用户标识为预设用户标识的所有流量；

第二规则为访问零信任网关的所有流量引入到转发模块的流量装载/卸载模块中。

在本实施例中，该方法可以通过客户端的控制模块调用转发模块中的引流模块制定两类引流规则。按照顺序制定规则，先后制定规则(1)和规则(2)，具体如下：

规则(1)：放行所有特定用户A中的流量，即放行uid-owner为UIDA的所有流量；

规则(2)：所有访问零信任网关的流量引入到客户端的流量装载/卸载所开发的端口。

S202、基于特定用户运行转发模块，以使转发模块发出的所有流量对应的用户标识为预设用户标识。

本实施例中，该方法可以基于特定用户A运行转发模块，以使转发模块转发的流量的uid-owner均为UIDA。

S203、通过浏览器向待访问应用发送加密访问流量请求。

S204、将加密访问流量请求下发至内核协议栈中；其中，加密访问流量请求的请求地址为待访问应用的域名地址，待访问应用的域名地址指向零信任网关。

本实施例中，访问终端上的浏览器向应用发起加密访问流量，该加密访问流量的请求地址为域名地址，所有应用的域名均指向零信任网关，浏览器的数据包默认下发至内核协议栈中。

S205、在内核协议栈中，对引流规则和加密访问流量请求按照规则匹配顺序进行匹配，得到第一匹配结果；其中，第一匹配结果为加密访问流量请求与第一规则匹配失败，且加密访问流量请求与第二规则匹配成功。

本实施例中，该方法通过内核协议栈按顺序先匹配的规则(1)，若浏览器的拥有者为当前用户，则规则匹配失败；此时，继续匹配规则(2)，若访问请求的目的应用地址为零信任网关地址，则匹配成功。在匹配成功时，该方法可以将流量引至流量装载/卸载模块开启的端口上，以便后续步骤通过对流量解密获得原始数据。

S206、根据第一匹配结果将加密访问流量请求引流至转发模块的流量装载/卸载模块中。

S207、通过流量装载/卸载模块对加密访问流量请求进行解密处理，得到原始数据。

S208、对原始数据按照http格式进行解析处理，得到明文数据。

本商量着，该方法可以将解密出来的原始数据按照http格式解析出来，创建一个队列，将明文数据按照http数据结构缓存下来，传递给安全传输模块。

S209、获取执行点传输信息；其中，执行点传输信息至少包括身份令牌、预设用户标识以及数据标签。

S210、根据执行点传输信息生成自定义键值对。

S211、在安全传输模块中，将自定义键值对作为标签插入到明文数据的http请求头中，得到http数据结构的待发送数据；待发送数据对应的用户标识为预设用户标识。

本实施例中，安全传输模块可以从控制模块中获取需要向执行点传输的身份令牌、应用令牌、预设用户标识、数据标签等信息。然后，为上述信息制定自定义的键值对，作为标签插入到http请求头中，形成一个新的http数据结构。

其中，控制模块上报的身份令牌、应用令牌、预设用户标识、数据标签等信息，可以通过控制模块上的接口适配器从不同的数据源获取到。

S212、从零信任控制中心获取访问资源域名与零信任网关之间的对应关系。

S213、根据对应关系将待发送数据转换成目标http数据包。

S214、通过安全传输模块对目标http数据包进行加密处理，得到加密数据包。

本实施例中，控制模块可以从零信任控制中心获取访问资源的域名与零信任网关的对应关系，并将新的http数据结构转化成新的http数据包，再对新的http数据包进行加密，得到加密数据包。

S215、通过安全传输模块将加密数据包下发至内核协议栈中；其中，加密数据包的用户标识为预设用户标识。

本实施例中，该方法可以根据域名与零信任网关对应关系将加密后http数据包向对应的零信任网关发送出去。

本实施例中，该方法可以将加密后http数据包默认下发至内核协议栈中。

S216、通过内核协议栈，对引流规则和加密数据包按照规则匹配顺序进行匹配，得到第二匹配结果；其中，第二匹配结果为加密数据包与第一规则匹配成功。

本实施例中，发送加密数据包的安全传输模块的拥有者为特定用户A，其用户ID为UIDA，内核协议栈按顺序优先匹配规则(1)，并匹配成功，实现流量放行。

S217、根据对应关系确定待发送的零信任网关。

本实施例中，流量被协议栈转发至对应的零信任网关上。

S218、根据第二匹配结果将加密数据包发送至零信任网关上，以使零信任网关根据加密数据包进行动态访问控制。

本实施例中，零信任网关可以通过解析http报文头中的键值对，获得此http报文的数据标签，然后再根据标签进行细粒度的动态访问控制。

本实施例中，该方法的执行主体可以为计算机、服务器等计算装置，对此本实施例中不作任何限定。

在本实施例中，该方法的执行主体还可以为智能手机、平板电脑等智能设备，对此本实施例中不作任何限定。

可见，实施本实施例所描述的零信任B/S应用方法，能够高效快速实现数据引流，且能够动态地注入标签，实现与不同的零信任网关的对接适配，提升了系统的可扩展性和灵活性。

实施例3

本实施例中示出了一种零信任B/S应用方法的举例流程。请参看图3，图3示出了一种零信任B/S应用方法的流程架构示意图。其中，该例中的零信任B/S应用方法可以应用于公安行业零信任体系中零信任认证客户端中。具体的，公安行业零信任体系中的认证服务对应零信任控制中心，公安行业零信任体系中的可信接入检控对应零信任网关。

在本例中，公安行业零信任体系中的环境感知服务提供终端数据标签。认证客户端需要对接不同厂家的可信接入检控和不同环境感知服务，需要标准的传输协议和灵活的标签适配功能。

基于此，该零信任B/S应用方法的举例流程如下所示：

(1)安装认证客户端时创建一个特殊用户，此用户持续存在。

(2)认证客户端运行后从与环境感知服务适配的接口中获得当前终端的唯一标识。

(3)创建一个本地反向代理服务，并在特殊用户上运行。部署证书用于流量加解密。

(4)客户端认证成功后认证服务返回的域名地址列表和用户认证成功后的身份令牌，使用DNS解析服务将返回的应用域名解析成可信接入检控的地址。

(5)制定防火墙规则，将所属为特殊用户的访问流量放行。

(6)制定防火墙规则，将访问目的为可信接入检控的请求，引入到本地代理服务上。

(7)根据应用域名与可信接入检控地址对应关系设置反向代理服务。

(8)用户操作浏览器使用https协议访问应用。

(9)浏览器的流量经过协议栈被引流至反向代理服务上。

(10)认证客户端根据域名信息获取到访问应用信息并从认证服务中获取权限并生成应用令牌。

(11)反向代理服务使用部署的证书对https协议进行卸载。

(12)反向代理服务从认证客户端的控制模块中申请获得用户令牌、应用令牌和预设用户标识信息，并将上述信息按照规范要求写入到https的请求头中。

(13)反向代理服务器向上游代理流量时，匹配防火墙规则，由于反向代理服务的拥有者为客户端安装时的特殊用户，即使目的地址为可信接入检控，访问流量依然被放行。

可见，实施本实施例所描述的零信任B/S应用方法，能够从而实现了标签灵活、大量的注入。同时，引流的规则匹配在内核中完成，能够高效解决数据被循环引流的问题。另外，还能够使用标准的https协议可以适用与不同厂家零信任网关的对接适配标签数据源，从而实现环境的适配。

实施例4

请参看图4，图4为本实施例提供的一种零信任B/S应用装置的结构示意图。如图4所示，该零信任B/S应用装置包括：

创建单元310，用于预先创建特定用户、引流规则以及引流规则的规则匹配顺序；其中，特定用户的用户标识为预设用户标识；

运行单元320，用于基于特定用户运行转发模块，以使转发模块发出的所有流量对应的用户标识为预设用户标识；

发送单元330，用于通过浏览器向待访问应用发送加密访问流量请求；

引流单元340，用于根据引流规则和规则匹配顺序将加密访问流量请求引流至转发模块的流量装载/卸载模块中；

解密单元350，用于通过流量装载/卸载模块对加密访问流量请求进行解密处理，得到明文数据；

注入单元360，用于通过转发模块的安全传输模块对明文数据进行标签注入，得到http数据结构的待发送数据；待发送数据对应的用户标识为预设用户标识；

封装单元370，用于通过安全传输模块对待发送数据进行加密封装，得到加密数据包；

引流单元340，还用于根据引流规则和规则匹配顺序将加密数据包引流至零信任网关，以使零信任网关根据加密数据包进行动态访问控制。

本实施例中，对于零信任B/S应用装置的解释说明可以参照实施例1或实施例2中的描述，对此本实施例中不再多加赘述。

可见，实施本实施例所描述的零信任B/S应用装置，能够高效快速实现数据引流，且能够动态地注入标签，实现与不同的零信任网关的对接适配，提升了系统的可扩展性和灵活性。

实施例5

请参看图5，图5为本实施例提供的一种零信任B/S应用装置的结构示意图。如图5所示，该零信任B/S应用装置包括：

创建单元310，用于预先创建特定用户、引流规则以及引流规则的规则匹配顺序；其中，特定用户的用户标识为预设用户标识；

运行单元320，用于基于特定用户运行转发模块，以使转发模块发出的所有流量对应的用户标识为预设用户标识；

发送单元330，用于通过浏览器向待访问应用发送加密访问流量请求；

引流单元340，用于根据引流规则和规则匹配顺序将加密访问流量请求引流至转发模块的流量装载/卸载模块中；

解密单元350，用于通过流量装载/卸载模块对加密访问流量请求进行解密处理，得到明文数据；

注入单元360，用于通过转发模块的安全传输模块对明文数据进行标签注入，得到http数据结构的待发送数据；待发送数据对应的用户标识为预设用户标识；

封装单元370，用于通过安全传输模块对待发送数据进行加密封装，得到加密数据包；

引流单元340，还用于根据引流规则和规则匹配顺序将加密数据包引流至零信任网关，以使零信任网关根据加密数据包进行动态访问控制。

作为一种可选的实施方式，创建单元310，具体用于预先创建特定用户，并调用转发模块中的引流模块预先制定引流规则和规则匹配顺序。

本实施例中，引流规则包括第一规则和第二规则；

第一规则为放行用户标识为预设用户标识的所有流量；

第二规则为访问零信任网关的所有流量引入到转发模块的流量装载/卸载模块中。

作为一种可选的实施方式，引流单元340包括：

下发子单元341，用于将加密访问流量请求下发至内核协议栈中；其中，加密访问流量请求的请求地址为待访问应用的域名地址，待访问应用的域名地址指向零信任网关；

匹配子单元342，用于在内核协议栈中，对引流规则和加密访问流量请求按照规则匹配顺序进行匹配，得到第一匹配结果；其中，第一匹配结果为加密访问流量请求与第一规则匹配失败，且加密访问流量请求与第二规则匹配成功；

引流子单元343，用于根据第一匹配结果将加密访问流量请求引流至转发模块的流量装载/卸载模块中。

作为一种可选的实施方式，解密单元350包括：

解密子单元351，用于通过流量装载/卸载模块对加密访问流量请求进行解密处理，得到原始数据；

解析子单元352，用于对原始数据按照http格式进行解析处理，得到明文数据。

作为一种可选的实施方式，注入单元360包括：

第一获取子单元361，用于获取执行点传输信息；其中，执行点传输信息至少包括身份令牌、预设用户标识以及数据标签；

生成子单元362，用于根据执行点传输信息生成自定义键值对；

注入子单元363，用于在安全传输模块中，将自定义键值对作为标签插入到明文数据的http请求头中，得到http数据结构的待发送数据。

作为一种可选的实施方式，封装单元370包括：

第二获取子单元371，用于从零信任控制中心获取访问资源域名与零信任网关之间的对应关系；

转换子单元372，用于根据对应关系将待发送数据转换成目标http数据包；

封装子单元373，用于通过安全传输模块对目标http数据包进行加密处理，得到加密数据包。

作为一种可选的实施方式，引流单元340包括：

下发子单元341，用于通过安全传输模块将加密数据包下发至内核协议栈中；其中，加密数据包的用户标识为预设用户标识；

匹配子单元342，用于通过内核协议栈，对引流规则和加密数据包按照规则匹配顺序进行匹配，得到第二匹配结果；其中，第二匹配结果为加密数据包与第一规则匹配成功；

匹配子单元342，还用于根据对应关系确定待发送的零信任网关；

引流子单元343，用于根据第二匹配结果将加密数据包发送至零信任网关上。

本实施例中，对于零信任B/S应用装置的解释说明可以参照实施例1或实施例2中的描述，对此本实施例中不再多加赘述。

可见，实施本实施例所描述的零信任B/S应用装置，能够高效快速实现数据引流，且能够动态地注入标签，实现与不同的零信任网关的对接适配，提升了系统的可扩展性和灵活性。

本申请实施例提供了一种电子设备，包括存储器以及处理器，所述存储器用于存储计算机程序，所述处理器运行所述计算机程序以使所述电子设备执行本申请实施例1或实施例2中的零信任B/S应用方法。

本申请实施例提供了一种计算机可读存储介质，其存储有计算机程序指令，所述计算机程序指令被一处理器读取并运行时，执行本申请实施例1或实施例2中的零信任B/S应用方法。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅为本申请的实施例而已，并不用于限制本申请的保护范围，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应所述以权利要求的保护范围为准。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims (11)

1.一种零信任B/S应用方法，其特征在于，包括：

预先创建特定用户、引流规则以及所述引流规则的规则匹配顺序；其中，所述特定用户的用户标识为预设用户标识；

基于所述特定用户运行转发模块，以使所述转发模块发出的所有流量对应的用户标识为所述预设用户标识；

通过浏览器向待访问应用发送加密访问流量请求；

根据所述引流规则和所述规则匹配顺序将所述加密访问流量请求引流至所述转发模块的流量装载/卸载模块中；

通过所述流量装载/卸载模块对所述加密访问流量请求进行解密处理，得到明文数据；

通过所述转发模块的安全传输模块对所述明文数据进行标签注入，得到http数据结构的待发送数据；所述待发送数据对应的用户标识为所述预设用户标识；

通过所述安全传输模块对所述待发送数据进行加密封装，得到加密数据包；

根据所述引流规则和所述规则匹配顺序将所述加密数据包引流至零信任网关，以使所述零信任网关根据所述加密数据包进行动态访问控制。

2.根据权利要求1所述的零信任B/S应用方法，其特征在于，所述预先创建特定用户、引流规则以及所述引流规则的规则匹配顺序，包括：

预先创建特定用户，并调用转发模块中的引流模块预先制定引流规则和规则匹配顺序。

3.根据权利要求1所述的零信任B/S应用方法，其特征在于，所述引流规则包括第一规则和第二规则；

所述第一规则为放行用户标识为所述预设用户标识的所有流量；

所述第二规则为访问零信任网关的所有流量引入到所述转发模块的流量装载/卸载模块中。

4.根据权利要求3所述的零信任B/S应用方法，其特征在于，所述根据所述引流规则和所述规则匹配顺序将所述加密访问流量请求引流至所述转发模块的流量装载/卸载模块中，包括：

将所述加密访问流量请求下发至内核协议栈中；其中，所述加密访问流量请求的请求地址为所述待访问应用的域名地址，所述待访问应用的域名地址指向零信任网关；

在所述内核协议栈中，对所述引流规则和所述加密访问流量请求按照所述规则匹配顺序进行匹配，得到第一匹配结果；其中，所述第一匹配结果为所述加密访问流量请求与所述第一规则匹配失败，且所述加密访问流量请求与所述第二规则匹配成功；

根据所述第一匹配结果将所述加密访问流量请求引流至所述转发模块的流量装载/卸载模块中。

5.根据权利要求1所述的零信任B/S应用方法，其特征在于，所述通过所述流量装载/卸载模块对所述加密访问流量请求进行解密处理，得到明文数据，包括：

通过所述流量装载/卸载模块对所述加密访问流量请求进行解密处理，得到原始数据；

对所述原始数据按照http格式进行解析处理，得到明文数据。

6.根据权利要求1所述的零信任B/S应用方法，其特征在于，所述通过所述转发模块的安全传输模块对所述明文数据进行标签注入，得到http数据结构的待发送数据，包括：

获取执行点传输信息；其中，所述执行点传输信息至少包括身份令牌、预设用户标识以及数据标签；

根据所述执行点传输信息生成自定义键值对；

在所述安全传输模块中，将所述自定义键值对作为标签插入到所述明文数据的http请求头中，得到http数据结构的待发送数据。

7.根据权利要求3所述的零信任B/S应用方法，其特征在于，所述通过所述安全传输模块对所述待发送数据进行加密封装，得到加密数据包，包括：

从零信任控制中心获取访问资源域名与零信任网关之间的对应关系；

根据所述对应关系将所述待发送数据转换成目标http数据包；

通过所述安全传输模块对所述目标http数据包进行加密处理，得到加密数据包。

8.根据权利要求7所述的零信任B/S应用方法，其特征在于，所述根据所述引流规则和所述规则匹配顺序将所述加密数据包引流至零信任网关，包括：

通过所述安全传输模块将所述加密数据包下发至内核协议栈中；其中，所述加密数据包的用户标识为所述预设用户标识；

通过所述内核协议栈，对所述引流规则和所述加密数据包按照所述规则匹配顺序进行匹配，得到第二匹配结果；其中，所述第二匹配结果为所述加密数据包与所述第一规则匹配成功；

根据所述对应关系确定待发送的零信任网关；

根据所述第二匹配结果将所述加密数据包发送至所述零信任网关上。

9.一种电子设备，其特征在于，所述电子设备包括存储器以及处理器，所述存储器用于存储计算机程序，所述处理器运行所述计算机程序以使所述电子设备执行权利要求1至8中任一项所述的零信任B/S应用方法。

10.一种可读存储介质，其特征在于，所述可读存储介质中存储有计算机程序指令，所述计算机程序指令被一处理器读取并运行时，执行权利要求1至8中任一项所述的零信任B/S应用方法。

11.一种计算机程序产品，其特征在于，所述计算机程序产品包括计算机程序，所述计算机程序被处理器运行时，执行权利要求1至8中任一项所述的零信任B/S应用方法。