[发明专利]一种安全网关自适应访问控制的方法、装置及电子设备

权利要求书

1.一种安全网关自适应访问控制的方法，其特征在于，所述方法应用于客户端，所述客户端与服务端之间通过安全套接层SSL 虚拟专用网络VPN隧道进行通信，所述方法包括：

获得所述服务端通过所述SSL VPN隧道下发的与本客户端匹配的资源类型，并获得所述资源类型的关键字段，所述资源类型用于指示本客户端可访问的资源；

针对每一待发送报文，确定与该待发送报文匹配的目标关键字段，并依据确定出的目标关键字段与所述资源类型的关键字段进行比对，得到所述待发送报文对应的目标资源类型，获取与所述目标资源类型匹配的用于验证待发送报文的验证模板；

若基于所述验证模板验证出所述待发送报文为恶意流量，则禁止该待发送报文发送至所述服务端；若基于所述验证模板验证出所述待发送报文不为恶意流量，则对所述待发送报文进行加密后发送至所述服务端。

2.根据权利要求1所述的方法，其特征在于，所述资源类型是所述服务端基于接收到的本客户端发送的资源类型获取请求发送的，所述资源类型获取请求携带本客户端的标识信息，所述服务端存储有客户端标识信息与资源类型对应关系，所述资源类型是预先配置的，所述客户端标识信息是本客户端在所述服务端注册后存储到所述服务端的。

3.根据权利要求1所述的方法，其特征在于，在所述获得所述资源类型的关键字段后，所述方法还包括：

依据各关键字段的长度对所述关键字段进行分组，得到N个关键字段组，至少N-1个关键字段组中，关键字段的长度相同；

所述针对每一待发送报文，确定与该待发送报文匹配的目标关键字段，包括：

针对每一关键字段组，根据该关键字段组中的关键字段的长度，确定与所述待发送报文匹配的目标关键字段。

4.根据权利要求3所述的方法，其特征在于，针对每一关键字段组，若该关键字段组中的关键字段的长度均相同，且关键字段的长度不为指定字节，创建该关键字段组对应的哈希表和移动SHIFT表，所述哈希表和所述SHIFT表用于关键字段的长度相同，且关键字段的长度不为指定字节的关键字段组的字段匹配；和/或，

若该关键字段组中的关键字段的长度均相同，且关键字段的长度为所述指定字节，创建该关键字段组对应的哈希表，所述哈希表用于关键字段的长度相同，且关键字段的长度为指定字节的关键字段组的字段匹配；和/或，

若该关键字段组中的关键字段的长度存在不相同的，创建该关键字段组对应的哈希表、SHIFT表和前缀PREFIX表，所述PREFIX表中，具有相同前缀字符块的关键字段存为一组，所述前缀字符块的大小为指定大小，所述哈希表、SHIFT表和PREFIX表用于关键字段的长度存在不相同的关键字段组的字段匹配。

5.根据权利要求4所述的方法，其特征在于，所述针对每一关键字段组，根据该关键字段组中的关键字段的长度，确定与所述待发送报文匹配的目标关键字段，包括：

针对每一关键字段组，若该关键字段组中的关键字段的长度均相同，且关键字段的长度不为指定字节，则依据该关键字段组中关键字段的长度确定所述待发送报文的初始匹配窗口；将所述初始匹配窗口作为当前匹配窗口，确定所述当前匹配窗口的最后一个字符是否为所述待发送报文的最后一个字符；

若是，结束匹配流程；若不是，则基于所述当前匹配窗口中后缀字符块的哈希值从该关键字段组已被创建的SHIFT表中确定所述当前匹配窗口的移动距离；

若该移动距离大于0，则将所述当前匹配窗口指向末尾位置的索引沿着所述待发送报文从前向后的方向移动所述移动距离，将移动后的匹配窗口作为当前匹配窗口，返回执行所述确定所述当前匹配窗口的最后一个字符是否为所述待发送报文的最后一个字符的步骤；否则，当基于所述当前匹配窗口中的字符串的哈希值从该关键字段组已被创建的哈希表中匹配到关键字段时，记录匹配到的关键字段，作为目标关键字段；

将所述当前匹配窗口指向末尾位置的索引沿着所述待发送报文从前向后的方向移动一个字符的距离，将移动后的匹配窗口作为当前匹配窗口，返回执行所述确定所述当前匹配窗口的最后一个字符是否为所述待发送报文的最后一个字符的步骤；所述后缀字符块的大小为指定大小，所述SHIFT表用于存储该关键字段组中各关键字段的指定大小的各字符块的移动距离，所述哈希表中，具有相同后缀字符块的关键字段存为一组。