安全访问服务方法及系统

技术领域

本发明涉及网络安全领域，具体而言，涉及一种安全访问服务方法及系统。

背景技术

安全访问服务边缘(Secure Access Service Edge，SASE)是在云中整合网络功能和安全功能，确保用户能够随时随地顺畅、安全地访问工作所需的应用。它的核心功能包括软件定义广域网、安全Web网关、防火墙即服务、云访问安全代理和零信任网络访问等。SASE模式旨在将这些功能统一融合到一个集成式云服务中。

目前的SASE安全云网络中，主要通过在用户PC、平板电脑或手机上部署对应的应用程序，使用操作系统提供的VPN或者Proxy技术来牵引用户流量，使其接入SASE安全云网络。然而，由于用户终端设备操作系统的多样性，无法采用相对统一的技术完成SASE业务的实现，导致开发和维护成本较高。

发明内容

有鉴于此，本发明的目的在于提供一种安全访问服务方法及系统，能够改善因无法对不同的操作系统的终端设备采用相对统一的技术，而导致的开发和维护成本高的问题。

为了实现上述目的，本发明实施例采用的技术方案如下：

第一方面，本发明实施例提供一种安全访问服务方法，应用于安全访问服务系统，所述安全访问服务系统包括终端设备、SASE控制器、SASE便携设备和SASE接入服务器，所述SASE接入服务器与多个数据服务网络通信连接，所述终端设备上安装有SASE应用程序，所述方法包括：

所述终端设备接收到所述SASE控制器发送的启动指令时，通过所述SASE应用程序启动SASE连接服务；其中，所述SASE连接服务包括多个连接项，每个连接项对应一个数据服务网络；

所述终端设备根据用户在所述SASE连接服务上选择的目标连接项，发送隧道建立请求至所述便携设备；

所述便携设备接收到隧道建立请求时，基于隧道验证信息，与所述SASE接入服务器建立关于目标服务网络的数据隧道；其中，所述目标服务网络为所述目标连接项对应的数据服务网络。

进一步地，所述方法还包括：

所述终端设备通过所述SASE应用程序向所述SASE控制器发送身份验证信息；

所述SASE控制器在接收到所述身份验证信息时，基于所述身份验证信息进行身份验证，并在身份验证通过后，发送启动指令至所述终端设备。

进一步地，所述方法还包括：

所述SASE控制器在身份验证通过后，向所述终端设备发送隧道验证信息；

所述终端设备接收所述隧道验证信息，并将所述隧道验证信息发送给所述SASE便携设备。

进一步地，所述基于隧道验证信息，与所述SASE接入服务器建立关于所述目标服务网络的数据隧道的步骤，包括：

所述SASE便携设备发送隧道建立请求至所述SASE接入服务器，所述SASE接入服务器在接收到隧道建立请求时，返回验证请求至所述SASE便携设备；

所述SASE便携设备在接收到验证请求时，从所述隧道验证信息中提取关于所述目标服务网络的目标验证信息，并将所述目标验证信息发送至所述SASE接入服务器；

所述SASE接入服务器基于所述目标验证信息进行隧道验证，在隧道验证通过后，与所述SASE便携设备建立关于所述目标服务网络的数据隧道。

进一步地，所述方法还包括：

所述终端设备发送访问请求至所述SASE便携设备，所述SASE便携设备基于牵引规则，确定出所述访问请求的目标服务网络所对应的数据隧道，并将所述访问请求通过该数据隧道发送至所述SASE接入服务器；

所述SASE接入服务器接收到所述访问请求后，将所述访问请求传输至所述访问请求的目标服务网络。

进一步地，在所述SASE接入服务器基于所述目标验证信息进行隧道验证，在隧道验证通过后，与所述SASE便携设备建立关于所述目标服务网络的数据隧道的步骤之后，所述方法还包括：

在隧道验证通过后，所述SASE接入服务器将关于所述目标服务网络的数据加密信息发送至所述SASE便携设备。

进一步地，所述确定出所述访问请求的目标服务网络所对应的数据隧道，并将所述访问请求通过该数据隧道发送至所述SASE接入服务器的步骤，包括：

根据所述访问请求的目标服务网络所对应的数据加密信息，对所述访问请求进行加密，并将加密后的访问请求发送至所述SASE接入服务器。

第二方面，本发明实施例提供一种安全访问服务方法，应用于终端设备，所述终端设备分别与SASE控制器和SASE便携设备通信连接，所述SASE便携设备与SASE接入服务器通信连接，所述终端设备上安装有SASE应用程序，所述方法包括：

接收到所述SASE控制器发送的启动指令时，通过所述SASE应用程序启动SASE连接服务；其中，所述SASE连接服务包括多个连接项，每个连接项对应一个与所述SASE接入服务器通信连接的数据服务网络；

根据用户在所述SASE连接服务上选择的目标连接项，发送隧道建立请求至所述便携设备；其中，所述隧道建立请求用于促使所述便携设备基于隧道验证信息，与所述SASE接入服务器建立关于目标服务网络的数据隧道；

所述目标服务网络为所述目标连接项对应的数据服务网络。

第三方面，本发明实施例提供一种安全访问服务方法，应用于SASE便携设备，所述SASE便携设备分别与终端设备和SASE接入服务器通信连接，所述方法包括：

接收所述终端设备发送的隧道建立请求；其中，所述隧道建立请求为所述终端设备在用户选择所述SASE连接服务上的目标连接项时发出；所述SASE连接服务为所述终端设备接收到SASE控制器发送的启动指令时，通过所述SASE应用程序启动；

基于隧道验证信息，与所述SASE接入服务器建立关于目标服务网络的数据隧道；其中，所述目标服务网络为所述目标连接项对应的数据服务网络，所述数据服务网络与所述SASE接入服务器通信连接。

第四方面，本发明实施例提供一种安全访问服务系统，包括终端设备、SASE控制器、SASE便携设备和SASE接入服务器，所述终端设备分别与所述SASE控制器和所述SASE便携设备通信连接，所述SASE便携设备与所述SASE接入服务器通信连接，所述SASE接入服务器与多个数据服务网络通信连接，所述终端设备上安装有SASE应用程序；

所述终端设备，用于接收到所述SASE控制器发送的启动指令时，通过所述SASE应用程序启动SASE连接服务，根据用户在所述SASE连接服务上选择的目标连接项，发送隧道建立请求至所述便携设备；其中，所述SASE连接服务包括多个连接项，每个连接项对应一个数据服务网络；

所述便携设备，用于在接收到隧道建立请求时，基于隧道验证信息，与所述SASE接入服务器建立关于目标服务网络的数据隧道；其中，所述目标服务网络为所述目标连接项对应的数据服务网络。

第五方面，本发明实施例提供一种安全访问服务装置，应用于终端设备，所述终端设备分别与SASE控制器和SASE便携设备通信连接，所述SASE便携设备与SASE接入服务器通信连接，所述终端设备上安装有SASE应用程序，所述安全访问服务装置包括启动模块和请求连接模块：

所述启动模块，用于接收到所述SASE控制器发送的启动指令时，通过所述SASE应用程序启动SASE连接服务；其中，所述SASE连接服务包括多个连接项，每个连接项对应一个与所述SASE接入服务器通信连接的数据服务网络；

所述请求连接模块，用于根据用户在所述SASE连接服务上选择的目标连接项，发送隧道建立请求至所述便携设备；其中，所述隧道建立请求用于促使所述便携设备基于隧道验证信息，与所述SASE接入服务器建立关于目标服务网络的数据隧道；

所述目标服务网络为所述目标连接项对应的数据服务网络。

第六方面，本发明实施例提供一种安全访问服务装置，应用于SASE便携设备，所述SASE便携设备分别与终端设备和SASE接入服务器通信连接，所述安全访问服务装置包括接收模块和隧道建立模块；

所述接收模块，用于接收所述终端设备发送的隧道建立请求；其中，所述隧道建立请求为所述终端设备在用户选择所述SASE连接服务上的目标连接项时发出；所述SASE连接服务为所述终端设备接收到SASE控制器发送的启动指令时，通过所述SASE应用程序启动；

所述隧道建立模块，用于基于隧道验证信息，与所述SASE接入服务器建立关于目标服务网络的数据隧道；其中，所述目标服务网络为所述目标连接项对应的数据服务网络，所述数据服务网络与所述SASE接入服务器通信连接。

第七方面，本发明实施例提供一种电子设备，包括处理器和存储器，所述存储器存储有能够被所述处理器执行的计算机程序，所述处理器可执行所述计算机程序以实现如第二方面或第三方面所述的安全访问服务方法。

第八方面，本发明实施例提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现第二方面或第三方面所述的安全访问服务方法。

本发明实施例提供的安全访问服务方法及系统，终端设备在接收到SASE控制器发送的启动指令后，通过自身安装的SASE应用程序启动SASE连接服务，从而终端设备可以根据用户在SASE接入服务器上选择的目标连接，发送隧道建立请求至SASE便携设备，SASE便携设备在接收到终端设备发送的隧道建立请求后，基于隧道验证信息与SASE接入服务器间建立隧道建立关于目标连接项所对应的数据服务网络的数据隧道，从而终端设备可以通过SASE便携设备与SASE接入服务器间的该数据隧道，访问目标服务网络，即任意终端设备仅需安装有统一的SASE应用程序，即可通过SASE便携设备与SASE接入服务器间建立任意的数据隧道，实现不同的操作系统的终端设备均采用相对统一的技术实现接入安全云网络，极大地降低了安全云网络的开发和维护成本。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1示出了本发明实施例提供的安全访问服务系统的方框示意图。

图2示出了本发明实施例提供的安全访问服务方法的流程示意图之一。

图3示出了本发明实施例提供的安全访问服务方法的流程示意图之二。

图4示出了本发明实施例提供的安全访问服务方法的流程示意图之三。

图5示出了图1-图4中步骤S16的部分子步骤的流程示意图。

图6示出了本发明实施例提供的安全访问服务方法的流程示意图之四。

图7示出了本发明实施例提供的安全访问服务方法的流程示意图之五。

图8示出了本发明实施例提供的安全访问服务方法的流程示意图之六。

图9示出了本发明实施例提供的电子设备的方框示意图。

附图标记：100-安全访问服务系统；110-终端设备；120-SASE控制器；130-SASE便携设备；140-SASE接入服务器；150-电子设备。

具体实施方式

下面将结合本发明实施例中附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。

因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，术语“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

安全访问服务边缘(Secure Access Service Edge，SASE)可将软件定义的广域网(SD-WAN)和安全性集成到云服务中，从而保证简化WAN部署、提高效率和安全性，并为每个应用程序提供适当的带宽。通俗地说，SASE为用户提供了一种接入服务，用户可以随时随地接入到一个安全的云网络中，在该网络中，用户可以受保护的访问互联网和企业内网业务，并且可以享受SD-WAN技术带来的网络加速。

针对每个用户，SASE可以根据以下四个因素，对实施的安全策略进行调整：连接实体的身份；实时上下文(设备的健康状况和行为，所访问资源的敏感性)；企业安全/合规策略；在整个会话中持续评估风向/信任的服务。

目前的SASE安全云网络，主要通过在用户PC、平板电脑或手机上部署对应的SASE应用程序，使用操作系统提供的VPN或者Proxy技术来牵引用户流量，使其接入SASE安全云网络。其中，SASE应用程序主要包括以下功能：完成用户的身份认证；与SASE安全云网络中的控制机进行通信，获得对用户终端的控制指令；调用终端设备操作系统的网络功能，完成到SASE安全云网络的接入，建立访问互联网和用户内网服务的数据通道。

然而，由于用户终端设备操作系统的多样性，无法采用相对统一的技术实现接入完成安全云网络，例如，SASE可以控制用户访问互联网或企业内网服务的带宽，此类功能需要调用用户终端操作系统底层的网络功能，而不同操作系统提供的机制差别非常大，在android和ios系统中，甚至没有提供网络层面相关的支持机制，导致SASE开发和维护成本较高。

另外，随着各操作系统对自身安全性关注度的地方，SASE接入所需要的网络操作、VPN和Proxy等功能，受到很大的限制，不能将SASE的功能充分发挥出来。例如，在用户需要同时访问互联网和企业内网服务的场景中，用户终端需要同时建立互联网访问和企业内网服务访问两条数据通道，但在android/ios/macos系统中，只能建立一条VPN隧道或者WebProxy，无法满足该场景的功能。

基于上述考虑，本发明实施例提供一种安全访问服务方法，其能够改善目前所存在的SASE开发和维护成本高，以及终端设备的操作系统对SASE的功能充分发挥具有限制性的问题。以下，对该安全访问服务方法进行介绍。

本发明实施例提供的安全访问服务方法，可以应用于图1中的安全访问服务器系统中，该安全访问服务系统100包括终端设备110、SASE控制器120、SASE便携设备130和SASE接入服务器140，终端设备110可以通过网络与SASE控制器120通信连接，终端设备110还可以通过蓝牙、wifi等无线连接方式与SASE便携设备130通信连接，SASE便携终端可以通过网络与SASE接入服务器140通信连接，SASE接入服务器140与福讴歌数据服务网络通信连接。此外，终端设备110上安装有SASE应用程序。

终端设备110，用于接收到SASE控制器120发送的启动指令时，通过SASE应用程序启动SASE连接服务，根据用户在SASE连接服务上选择的目标连接项，发送隧道建立请求至便携设备。其中，SASE连接服务包括多个连接项，每个连接项对应一个数据服务网络。

便携设备，用于接收到隧道建立请求时，基于隧道验证信息，与SASE接入服务器140建立关于目标服务网络的数据隧道。其中，目标服务网络为目标连接项对应的数据服务网络。

其中，终端设备110包括但不限于是：个人计算机、平板电脑、笔记本电脑、手机和可穿戴式终端设备110等。数据服务网络包括但不限于是：互联网和企业内部服务网络。

在其他实施方式中，终端设备110可以通过USB等有线连接的方式与SASE便携设备130通信连接。

在一种可能的实施方式中，本发明实施例提供了一种安全访问服务器方法，参照图2，可以包括以下步骤。在本实施方式中，以该方法应用于图1中的安全访问服务系统100来举例说明。

S12，终端设备接收到SASE控制器发送的启动指令时，通过SASE应用程序启动SASE连接服务。

需要说明的是，终端设备110响应于启动指令运行SASE应用程序，终端设备110上显示SASE连接服务界面，SASE连接服务包括多个连接项，每个连接项对应一个数据服务网络。

S14，终端设备根据用户在SASE连接服务上选择的目标连接项，发送隧道建立请求至便携设备。

S16，便携设备接收到隧道建立请求时，基于隧道验证信息，与SASE接入服务器建立关于目标服务网络的数据隧道。

应该理解的是，目标服务网络为目标连接项对应的数据服务网络。

用户在需要进行安全云访问时，启动wifi、蓝牙等连接方式，将终端设备110与SASE便携设备130通信连接。终端设备110接收到SASE控制器120发送的启动指令之后，运行自身的SASE应用程序，以在终端设备110的屏幕上显示SASE连接服务的界面，SASE连接服务的界面上显示有多个连接项，例如，显示方式可以与wifi连接页面相同。用户在SASE连接服务的页面上选择目标连接项(例如，选定某个连接项)后，终端设备110触发关于该连接项对应的数据服务网络的隧道建立请求，将该隧道建立请求发送给SASE便携设备130。

SASE便携设备130接收到隧道建立请求之后，基于隧道验证信息，与SASE接入服务器140建立关于连接项对应的数据服务网络的数据隧道，以使终端设备110能够通过该数据隧道与SASE接入服务器140连接的目标服务网络进行安全访问/安全通信。

与传统的安全访问服务边缘的实现方式相比，在本发明实施例提供的安全访问服务方法中，任意终端设备仅需安装有统一的SASE应用程序，即可通过SASE便携设备与SASE接入服务器间建立任意的数据隧道，实现不同的操作系统的终端设备均采用相对统一的技术实现接入安全云网络，极大地降低了安全云网络的开发和维护成本。同时，由SASE便携设备提供SASE的数据隧道，使得SASE接入无需再受android/ios/macos等操作系统的限制，能够尽可能地满足终端设备的SASE需求功能。

为了使终端设备实现SASE接入的过程的安全性，在一种可能的实施方式中，参照图3，本发明实施例提供的安全访问服务方法还可以包括以下步骤。

S10，终端设备通过SASE应用程序向SASE控制器发送身份验证信息。

S11，SASE控制器在接收到身份验证信息时，基于身份验证信息进行身份验证，并在身份验证通过后，发送启动指令至终端设备。

终端设备110在运行SASE应用程序时，终端设备110可以自动生成身份验证信息，或者用户可以在SASE应用程序的登录界面输入身份验证信息，终端设备110获取到身份验证信息之后，将身份验证信息发送至SASE控制器120，向SASE控制器120发送身份验证信息。

在一种可能的实施方式中，SASE控制器120上的用户记录表中可以记录有各用户的身份信息，SASE控制器120接收到任一终端设备110发送的身份验证信息后，将该身份验证信息与用户记录表中的身份信息进行匹配，在匹配通过的情况下，向该终端设备110发送启动指令。

SASE控制器120还可以采用其他验证方式，对终端设备110发送的身份验证信息进行验证，例如，可以进行特征验证，也可以其他验证方式，本实施方式中不作具体限定。

进一步地，为了在一定程度上避免隧道验证信息暴露，影响数据隧道的建立和安全性，参照图4，本发明实施例提供的安全访问服务方法还可以包括步骤S13和S15。步骤S11和步骤S13可以同时进行，步骤S15在步骤S16之前执行。

S13，SASE控制器在身份验证通过后，向终端设备发送隧道验证信息。

S15，终端设备接收隧道验证信息，并将隧道验证信息发送给SASE便携设备。

SASE控制器120使用终端设备110发送的身份验证信息进行验证，在身份验证通过之后，SASE控制器120可以基于验证信息生成规则，生成与终端设备110的隧道验证信息，将隧道验证信息发送给终端设备110。

需要说明的是，每次生成的隧道验证信息可以不相同，且SASE控制器120在每次生成隧道验证信息时，会将该隧道验证信息同步至SASE接入服务器140，以使SASE接入服务器140基于该隧道验证信息与SASE便携设备130建立数据隧道。此外，验证信息生成规则可以通信通道的验证信息生成规则中的任一种，本实施方式中不作具体限定。

在另一种可能的实施方式中，SASE控制器可以预存有每个用户对应的隧道验证信息，在SASE控制器在身份验证通过之后，可以调用身份验证信息对应的用户的隧道验证信息，并将该隧道验证信息发送至终端设备。

终端设备110接收到SASE控制器120发送的隧道验证信息之后，将该隧道验证信息转发至与该终端设备110通信连接的SASE便携设备130，从而可以实现步骤S16，建立SASE便携设备130与SASE接入服务器140间的数据隧道。

SASE便携设备130与SASE接入服务器140间建立数据隧道的方式可以灵活设置，例如，按照预设规则建立数据隧道，也可以依据任一种通信通道建立规则建立数据隧道，在本实施方式中，不作唯一性限定。应当理解的是，建立数据隧道所使用的通信协议不同，则S16的具体实现方式也存在不相同。

在一种可能的实施方式中，参照图5，上述步骤S16可以进一步实施为以下步骤。

S161，SASE便携设备发送隧道建立请求至SASE接入服务器，SASE接入服务器在接收到隧道建立请求时，返回验证请求至SASE便携设备。

S162，SASE便携设备在接收到验证请求时，从隧道验证信息中提取关于目标服务网络的目标验证信息，并将目标验证信息发送至SASE接入服务器。

S163，SASE接入服务器基于目标验证信息进行隧道验证，在隧道验证通过后，与SASE便携设备建立关于目标服务网络的数据隧道。

SASE接入服务器140中存储有与SASE便携设备130上的隧道验证信息匹配或相同的匹配数据，当SASE接入服务器140在发送验证请求后，基于匹配数据，将SASE便携设备130返回的目标验证信息进行验证，若验证通过，则建立数据隧道。

为了提高使用数据隧道进行数据传输时的安全性，在一种可能的实施方式中，参照图5，本发明实施例提供的安全访问服务方法还包括步骤S164，该步骤S164在步骤S163之后执行。

S164，在隧道验证通过后，SASE接入服务器将关于目标服务网络的数据加密信息发送至SASE便携设备。

SASE便携设备130将SASE接入服务器140发送的数据加密信息与该数据加密信息对应的数据隧道以映射关系进行存储，从而在后续使用该数据隧道传输数据时，可使用该数据加密信息进行加密或解密。

需要说明的是，同一个SASE便携设备130与SASE接入服务器140之间可以建立多条数据隧道，每条数据隧道对应与SASE接入服务器140通信连接的一个数据服务网络。SASE便携设备130基于预设的牵引规则，将终端设备110发送的网络数据分配到网络数据的目的数据服务网络所对应的数据隧道，以通过该数据隧道传输至SASE接入服务器140，再由SASE接入服务器140转至目的数据服务器网络。

应当理解的是，建立数据隧道时所使用的通信协议不同，则牵引规则可能也不同，在本实施方式中，对牵引规则不作具体限定。

在一种可能的实施方式中，参照图6，进行网络数据传输的过程可以包括以下步骤。

S17，终端设备发送访问请求至SASE便携设备。

S18，SASE便携设备基于牵引规则，确定出访问请求的目标服务网络所对应的数据隧道，并将访问请求通过该数据隧道发送至SASE接入服务器。

S19，SASE接入服务器接收到访问请求后，将访问请求传输至访问请求的目标服务网络。

针对步骤S18，SASE便携设备130可以根据所访问请求的目标服务网络所对应的数据加密信息，对访问请求进行加密，并将加密后的访问请求发送至SASE接入服务器140。SASE接入服务器140接收到加密后的访问请求后，会将该访问请求转发至数据隧道所对应的数据服务网络，数据服务网络响应于该访问请求，将访问请求对应的应答数据发送给SASE接入服务器140，SASE接入服务器140通过对应的数据隧道将应答数据发送给SASE便携设备130。

当SASE便携设备130从任一数据隧道接收到SASE接入服务器140返回的应答数据时，调用数据隧道对应的数据加密信息，对应答数据进行解密，并将解密后的应答数据传输给终端设备110，从而完成终端设备110对数据服务网络的一次安全访问。

此外，SASE接入服务器140从任一数据隧道上接收到终端设备110发送的网络数据时，还可以对该网络数据进行SDWAN加速，实现SASE通用功能。

在应用过程中，SASE便携设备还可以根据用户实际业务需求实现精细的流量控制，例如QoS、流量阻断等，在本实施方式中，不作具体限定。这些功能都不受终端设备的操作系统的限制，由SASE便携设备统一实现，能够进一步降低开发和维护成本。

本发明实施例提供的安全访问服务方法，通过引入SASE便携设备(可以理解为是一个类似随身wifi的便携设备)，将原安全云网络中SASE应用程序的部分功能(与操作系统强耦合的复杂的网络操作)转移到SASE便携设备内完成，使安装于终端设备的SASE应用程序只需完成原来的部分功能(如身份信息验证)，并通过wifi、蓝牙或USB等短距离通信技术，使终端设备与SASE便携设备进行通信，从而通过该SASE便携设备进行数据隧道建立、控制指令和网络数据的传输等功能。从而，借助SASE便携设备完成了VPN、QoS、流量过滤和4/5G网络接入等功能，绕过了不同操作系统繁杂的技术方案和严格的安全性限制，使SASE各项功能能够充分发挥，并极大地降低开发和维护成本。

基于上述安全访问服务方法的发明构思，在一种可能的实施方式中，本发明实施例还提供了一种安全访问服务方法，该安全访问服务方法可以应用于图1中的终端设备110，参照图7，可以包括以下步骤。

S21，接收到SASE控制器发送的启动指令时，通过SASE应用程序启动SASE连接服务。

其中，SASE连接服务包括多个连接项，每个连接项对应一个与SASE接入服务器通信连接的数据服务网络。

S22，根据用户在SASE连接服务上选择的目标连接项，发送隧道建立请求至便携设备。

其中，隧道建立请求用于促使便携设备基于隧道验证信息，与SASE接入服务器140建立关于目标服务网络的数据隧道，以实现上述实施方式中提供的安全访问服务方法。目标服务网络为目标连接项对应的数据服务网络。

基于上述安全访问服务方法的发明构思，在一种可能的实施方式中，本发明实施例还提供了一种安全访问服务方法，该安全访问服务方法可以应用于图1中的SASE便携设备130，参照图8，可以包括以下步骤。

S31，接收终端设备发送的隧道建立请求。

针对步骤S31，隧道建立请求为终端设备110在用户选择SASE连接服务上的目标连接项时发出。SASE连接服务为终端设备110接收到SASE控制器120发送的启动指令时，通过SASE应用程序启动。

S32，基于隧道验证信息，与SASE接入服务器建立关于目标服务网络的数据隧道。

针对步骤S32，所目标服务网络为目标连接项对应的数据服务网络，数据服务网络与SASE接入服务器140通信连接。

通过上述步骤S21-S22以及S31-S32，实现不同的操作系统的终端设备均采用相对统一的安全云网络，极大地降低了安全云网络的开发和维护成本。同时，由SASE便携设备提供SASE的数据隧道，使得SASE接入无需再受android/ios/macos等操作系统的限制，能够尽可能地满足终端设备的SASE需求功能。

关于应用于终端设备110和SASE便携设备130的安全访问服务方法的具体限定可以参见上述中对于应用安全访问服务系统100的安全访问服务方法的限定，在此不再赘述。

在一种可能的实施方式中，本发明实施例还提供一种安全访问服务装置，可以应用于图1中的终端设备110，安全访问服务装置包括启动模块和请求连接模块。

启动模块，用于接收到SASE控制器发送的启动指令时，通过SASE应用程序启动SASE连接服务。其中，SASE连接服务包括多个连接项，每个连接项对应一个与SASE接入服务器通信连接的数据服务网络。

请求连接模块，用于根据用户在SASE连接服务上选择的目标连接项，发送隧道建立请求至便携设备。其中，隧道建立请求用于促使所述便携设备基于隧道验证信息，与SASE接入服务器建立关于目标服务网络的数据隧道。

目标服务网络为所述目标连接项对应的数据服务网络。

在一种可能的实施方式中，本发明实施例提供一种安全访问服务装置，可以应用于图1中的SASE便携设备130，安全访问服务装置包括接收模块和隧道建立模块。

接收模块，用于接收终端设备发送的隧道建立请求。

其中，隧道建立请求为终端设备110在用户选择SASE连接服务上的目标连接项时发出。SASE连接服务为终端设备110接收到SASE控制器120发送的启动指令时，通过SASE应用程序启动。

隧道建立模块，用于基于隧道验证信息，与SASE接入服务器建立关于目标服务网络的数据隧道。其中，目标服务网络为目标连接项对应的数据服务网络，数据服务网络与SASE接入服务器通信连接。

上述安全访问服务装置中，实现不同的操作系统的终端设备均采用相对统一的安全云网络，极大地降低了安全云网络的开发和维护成本。同时，由SASE便携设备提供SASE的数据隧道，使得SASE接入无需再受android/ios/macos等操作系统的限制，能够尽可能地满足终端设备的SASE需求功能。

关于应用于终端设备和SASE便携设备的安全访问服务装置的具体限定可以参见上述中对于应用安全访问服务系统100的安全访问服务方法的限定，在此不再赘述，上述安全访问服务装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于电子设备中的处理器中，也可以以软件形式存储于电子设备的存储器中，以便于处理器调用执行以上各个模块对应的操作。

在一种实施方式中，提供了一种电子设备150，该电子设备150可以是客户端，其内部结构图可以如图9所示。该电子设备150包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中，该电子设备150的处理器用于提供计算和控制能力。该电子设备150的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该电子设备150的通信接口用于与外部的终端进行有线或无线方式的通信，无线方式可通过WIFI、运营商网络、近场通信(NFC)或其他技术实现。该计算机程序被处理器执行时实现如上述实施方式提供的安全访问服务方法。

图9中示出的结构，仅仅是与本发明方案相关的部分结构的框图，并不构成对本发明方案所应用于其上的电子设备150的限定，具体的电子设备150可以包括比图9中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

在一种实施方式中，本发明提供的安全访问服务装置可以实现为一种计算机程序的形式，计算机程序可在如图9所示的电子设备150上运行。电子设备150的存储器中可存储组成该安全访问服务装置的各个程序模块，比如，上文中的启动模块、请求连接模块、接收模块和隧道建立模块。各个程序模块构成的计算机程序使得处理器执行本说明书中描述的安全访问服务方法中的步骤。

例如，图9所示的电子设备150可以通过安全访问服务装置中的启动模块执行步骤S21。电子设备150可以通过请求连接模块执行步骤S22。电子设备150可以通过接收模块执行步骤S31。电子设备150可以通过隧道建立模块执行步骤S32。

在一种实施方式中，提供了一种电子设备150，包括存储器和处理器，该存储器存储有计算机程序，该处理器执行计算机程序时实现以下步骤：接收到SASE控制器发送的启动指令时，通过SASE应用程序启动SASE连接服务；根据用户在SASE连接服务上选择的目标连接项，发送隧道建立请求至便携设备。或者实现以下步骤：接收终端设备发送的隧道建立请求；基于隧道验证信息，与SASE接入服务器建立关于目标服务网络的数据隧道。

在一种实施方式中，提供了一种存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现如下步骤：接收到SASE控制器发送的启动指令时，通过SASE应用程序启动SASE连接服务；根据用户在SASE连接服务上选择的目标连接项，发送隧道建立请求至便携设备。或者实现以下步骤：接收终端设备发送的隧道建立请求；基于隧道验证信息，与SASE接入服务器建立关于目标服务网络的数据隧道。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。