一种智能网关VPN加速分析方法以及相关设备

技术领域

本申请涉及网络通信加速分析技术领域，尤其涉及一种智能网关VPN加速分析方法以及相关设备。

背景技术

随着互联网技术的快速发展，虚拟专用网络(VPN)被广泛应用网络通信中，VPN是一种用于连接中、大型企业或团体与团体间的私人网络的通讯网络，它利用隧道协议来达到保密、发送端认证、消息准确性的私人消息安全效果，目前的网络加速器都采用VPN技术，加速器厂商在骨干网节点架设多个节点服务器，提供网络加速器客户端，通过节点服务器完成跨网络快速高效地连接游戏服务器请求，客户端在处理大量数据时同样占用终端的cpu及内存资源，智能网关设备作为网络接入终端，具有强大的网络数据流处理能力，可以作为网络加速器的运行平台，通过网络技术分离出数据走VPN通道。

但是，现有的智能网关VPN加速分析的方法没有采用浏览器插件方式对网络通讯的安全进行增强，服务器端没有应用强制访问控制、安全标记和最小特权原则，会影响系统自身的安全性，在访问中缺少安全标记的验证功能，会影响访问过程的安全，无法对客户端验证过程性能进行优化，登录口令单一，会影响智能网关VPN加速分析的效率。

发明内容

有鉴于此，本申请的目的在于提出一种智能网关VPN加速分析方法以及相关设备，以解决或部分解决上述问题。

基于上述目的，本申请提供了一种智能网关VPN加速分析方法，应用于客户端以及VPN服务端，包括：

所述VPN服务端响应于接收到所述客户端的访问请求，对所述客户端进行强制访问控制以及基于预设的最小特权原则进行赋权；

所述VPN服务端与所述客户端建立TCP连接并进行双向安全验证；

所述客户端向所述VPN发送访问验证口令；

所述VPN服务端对所述访问验证口令进行验证，响应于于验证通过，对所述客户端进行安全身份标记；

所述客户端向所述VPN服务端发送数据访问请求，所述VPN服务端根据所述数据访问请求调取目标资源数据，将所述目标资源数据发送到所述客户端。

在一种可能的实现方式中，所述方法还包括：

对所述VPN服务端进行初始化，对待加载的应用程序进行完整性校验；

响应于所述校验通过，启动所述VPN服务端；

响应于所述校验不通过，停止启动所述VPN服务端，对所述VPN服务端进行保护。

在一种可能的实现方式中，所述VPN服务端响应于接收到所述客户端的访问请求，对所述客户端进行强制访问控制以及基于预设的最小特权原则进行赋权，包括：

对所述客户端标记预设的安全属性，以使所述VPN服务端根据所述安全属性检测所述客户端是否有访问权限；

为所述客户端分配针对其数据访问请求的最小访问权限。

在一种可能的实现方式中，所述VPN服务端与所述客户端建立TCP连接，包括：

所述客户端向所述VPN服务端发送握手请求；

所述VPN服务端接收到所述握手请求，向所述客户端发送第一确认请求；

所述客户端接收到所述第一确认请求，向所述VPN服务端发送第二确认请求；

所述VPN服务端接收到所述第二确认请求，与所述客户端建立TCP连接。

在一种可能的实现方式中，所述VPN服务端与所述客户端进行双向安全验证，包括：

所述客户端将客户端证书发送到所述VPN服务端进行验证；

所述VPN服务端将服务端证书发送到所述客户端进行验证；

响应于所述VPN服务端验证通过所述客户端的所述客户端证书，所述客户端验证通过所述VPN服务端的所述服务端证书，完成所述客户端与所述VPN服务端的证书验证；

响应于所述客户端与所述VPN服务端的证书验证完成，所述客户端与所述VPN服务端互相确认身份信息以及密钥信息，完成双向安全验证。

在一种可能的实现方式中，所述客户端像所述VPN服务端发送数据访问请求，所述VPN服务端根据所述数据访问请求调取目标资源数据，将所述目标资源数据发送到所述客户端，包括：

所述客户端像所述VPN服务端发送数据访问请求；其中，所述数据访问请求指示获取与所述客户端相应的目标资源访问列表；

所述VPN服务端接收到所述数据访问请求，调取目标资源访问列表并返回给所述客户端；

所述客户端在所述目标资源访问列表中制定要访问的目标资源，并生成资源请求信息发送到所述VPN服务端；

所述VPN服务端接收到所述资源请求信息，确定所述资源请求信息是否符合所述强制访问控制的访问控制策略，响应于符合所述访问控制策略，获取所述目标资源，并将所述目标资源发送到所述客户端。

在一种可能的实现方式中，所述方法还包括：

将所述VPN服务器的地址转换为与所述目标资源相应的目标服务器的实际地址，通过Web反向代理程序与所述目标服务器建立应用连接并获取所述目标资源；

所述VPN服务器缓存所述目标资源，所述Web反向代理程序将所述实际地址转换为所述VPN服务器的地址，将所述目标资源发送到所述客户端。

基于同样的目的，本申请还提出了一种智能网关VPN加速分析系统，包括：客户端以及VPN服务端；

所述VPN服务端，被配置为响应于接收到所述客户端的访问请求，对所述客户端进行强制访问控制以及基于预设的最小特权原则进行赋权；

所述VPN服务端，被配置为与所述客户端建立TCP连接并进行双向安全验证；

所述客户端，被配置为向所述VPN发送访问验证口令；

所述VPN服务端，被配置为对所述访问验证口令进行验证，响应于于验证通过，对所述客户端进行安全身份标记；

所述客户端，被配置为向所述VPN服务端发送数据访问请求，所述VPN服务端根据所述数据访问请求调取目标资源数据，将所述目标资源数据发送到所述客户端。

基于上述目的，本申请还提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任意一项所述的方法。

基于上述目的，本申请还提供了一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使所述计算机执行上述任意一项所述的方法。

从上面所述可以看出，本申请提供的一种智能网关VPN加速分析方法以及相关设备，应用于客户端以及VPN服务端，首先VPN服务端响应于接收到客户端的访问请求，对客户端进行强制访问控制以及基于预设的最小特权原则进行赋权，进一步地，VPN服务端与客户端建立TCP连接并进行双向安全验证，然后，客户端向VPN发送访问验证口令，VPN服务端对访问验证口令进行验证，响应于于验证通过，对客户端进行安全身份标记，最后，客户端向VPN服务端发送数据访问请求，VPN服务端根据数据访问请求调取目标资源数据，将目标资源数据发送到客户端。本申请采用浏览器插件方式实现了对网络通讯的安全增强，VPN服务端应用强制访问控制、安全标记和最小特权原则，提高了系统自身的安全性，并在访问中加入了安全标记的验证功能，能够起到保护的作用，实现对客户端验证过程性能的优化，多重登录口令方便了用户的登录，提高了智能网关VPN加速分析的便捷性。

附图说明

为了更清楚地说明本申请或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的智能网关VPN加速分析方法流程示意图。

图2为本申请实施例提供的服务端与客户端建立TCP连接并进行双向安全验证的流程示意图。

图3为本申请实施例提供的服务端与客户端发送和接收数据的流程示意图。

图4为本申请实施例提供的一种智能网关VPN加速分析系统结构示意图。

图5为本申请实施例提供的电子设备硬件结构示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本申请进一步详细说明。

需要说明的是，除非另外定义，本申请使用的技术术语或者科学术语应当为本申请所属领域内具有一般技能的人士所理解的通常意义。本申请中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性，而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同，而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电性的连接，不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系，当被描述对象的绝对位置改变后，则该相对位置关系也可能相应地改变。

如背景技术部分所述，虚拟专用网络(VPN)属于远程访问技术，简单地说就是利用公用网络架设专用网络。

在传统的企业网络配置中，要进行远程访问，传统的方法是租用DDN(数字数据网)专线或帧中继，这样的通讯方案必然导致高昂的网络通讯和维护费用。对于移动用户(移动办公人员)与远端个人用户而言，一般会通过拨号线路(Internet)进入企业的局域网，但这样必然带来安全上的隐患。

让外地员工访问到内网资源，利用VPN的解决方法就是在内网中架设一台VPN服务器。外地员工在当地连上互联网后，通过互联网连接VPN服务器，然后通过VPN服务器进入企业内网。为了保证数据安全，VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密，就可以认为数据是在一条专用的数据链路上进行安全传输，就如同专门架设了一个专用网络一样，但实际上VPN使用的是互联网上的公用链路，因此VPN称为虚拟专用网络，其实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了VPN技术，用户无论是在外地出差还是在家中办公，只要能上互联网就能利用VPN访问内网资源，这就是VPN在企业中应用得如此广泛的原因。

但是，现有的智能网关VPN加速分析的方法没有采用浏览器插件方式对网络通讯的安全进行增强，服务器端没有应用强制访问控制、安全标记和最小特权原则，会影响系统自身的安全性，在访问中缺少安全标记的验证功能，会影响访问过程的安全，无法对客户端验证过程性能进行优化，登录口令单一，会影响智能网关VPN加速分析的效率。

因此，本申请提供了一种智能网关VPN加速分析方法以及相关设备，应用于客户端以及VPN服务端，首先VPN服务端响应于接收到客户端的访问请求，对客户端进行强制访问控制以及基于预设的最小特权原则进行赋权，进一步地，VPN服务端与客户端建立TCP连接并进行双向安全验证，然后，客户端向VPN发送访问验证口令，VPN服务端对访问验证口令进行验证，响应于于验证通过，对客户端进行安全身份标记，最后，客户端向VPN服务端发送数据访问请求，VPN服务端根据数据访问请求调取目标资源数据，将目标资源数据发送到客户端。本申请采用浏览器插件方式实现了对网络通讯的安全增强，VPN服务端应用强制访问控制、安全标记和最小特权原则，提高了系统自身的安全性，并在访问中加入了安全标记的验证功能，能够起到保护的作用，实现对客户端验证过程性能的优化，多重登录口令方便了用户的登录，提高了智能网关VPN加速分析的便捷性。

以下，通过具体的实施例进一步详细说明本申请的技术方案。

参考图1，为本申请实施例提供的示意图。

步骤S101，所述VPN服务端响应于接收到所述客户端的访问请求，对所述客户端进行强制访问控制以及基于预设的最小特权原则进行赋权。

作为一个可选的实施例，VPN服务端包括强制访问控制模块、Web反向代理模块、目标资源访问控制模块、日志模块、证书管理模块、通信连接模块和服务端管理模块，证书管理模块包括数字证书导入、数字证书认证功能以及数字证书的管理。

在具体实施中，VPN服务端在处理客户端的访问请求之前，需要先进行初始化工作。

作为一个可选的实施例，对VPN服务端进行初始化，对待加载的应用程序进行完整性校验，响应于校验通过，启动VPN服务端，响应于校验不通过，停止启动VPN服务端，对VPN服务端进行保护。

具体地，通过VPN服务端初始化包括启动系统日志处理模块，系统日志处理模块用于对VPN服务端系统中的每个模块所有的操作进行记录，包括记录模块的启动、运行和异常信息，三类管理员的系统登录和配置操作信息，系统网络和应用流量，VPN客户端登录、验证、资源访问情况，系统日志处理模块启动后，系统中所有操作均需要进行记录并可以检索查询，VPN服务端设备操作系统实现强制访问控制和最小特权原则，系统不存在超级管理员，采用安全管理员、日志管理员和配置管理员对设备进行综合管理。

强制访问控制(mandatory access control,MAC)是一种基于标签关系的、由系统强制执行的访问控制机制。系统将敏感标签与创建用来执行程序的所有进程关联起来。MAC策略使用这种标签来进行访问控制决策。一般情况下，进程无法存储信息，也不能与其他进程进行通信，除非目标标签等同于该进程的标签。MAC策略允许进程从同一级别标签对象读取数据，或者从较低级别标签对象读取数据。但是，管理员可以创建一个其中仅存在很少较低级别对象或没有较低级别对象的有标签环境。

最小特权原则是系统安全中最基本的原则之一。所谓最小特权(LeastPrivilege)，指的是"在完成某种操作时所赋予网络中每个主体(用户或进程)必不可少的特权"。最小特权原则，则是指"应限定网络中每个主体所必须的最小特权，确保可能的事故、错误、网络部件的篡改等原因造成的损失最小"。

作为一个可选的实施例，首先可以对客户端标记预设的安全属性，以使VPN服务端根据安全属性检测客户端是否有访问权限，进一步地，为客户端分配针对其数据访问请求的最小访问权限。

步骤S102，所述VPN服务端与所述客户端建立TCP连接并进行双向安全验证。

参考图2，为本申请实施例提供的服务端与客户端建立TCP连接并进行双向安全验证的流程示意图。

步骤S1021，VPN服务端正常启动并提供TCP端口连接服务。

步骤S1022，客户端向VPN服务端发送TCP的Syn包，VPN服务端和客户端通过TCP建立TCP连接。

步骤S1023，客户端将证书信息发送给服务端进行认证，VPN服务端将证书信息发送给客户端进行认证。

步骤S1024，客户端和VPN服务端相互确认身份信息，进行SSL协议中各类信息和密钥协商、生成、交换和确认的过程。

TCP的主要作用是在网络中提供可靠的、面向连接的通信。它确保数据在传输过程中不会丢失、重复或乱序，同时提供拥塞控制机制，以避免网络拥塞。

在TCP中，需要建立三次握手(3-way handshake)来建立一个连接。三次握手的过程是：SYN(同步序列号)+ACK(确认号)+SYN+ACK+PSH(推数据)->ACK。通过这个过程，两个应用程序可以建立一条可靠的通信链路。

作为一个可选的实施例，客户端可以向VPN服务端发送握手请求，VPN服务端接收到握手请求，向客户端发送第一确认请求，客户端接收到第一确认请求，向VPN服务端发送第二确认请求，VPN服务端接收到第二确认请求，与客户端建立TCP连接。

在基本的TCP连接建立后，客户端和VPN服务器端开始下一步SSL协议连接工作，期间，首先客户端将证书发送给VPN服务端进行认证，然后VPN服务端将证书信息发送给客户端进行认证，认证过程主要由VPN服务端和客户端证书管理模块完成。

SSL(Security Socket Layer)是一个安全协议，为基于TCP(TransmissionControl Protocol)的应用层协议提供安全连接，SSL介于TCP/IP协议栈第四层和第七层之间。主要提供私密性、完整性和身份验证；我们常见的就是SSL为HTTP(Hypertext TransferProtocol)协议提供安全连接。SSL协议是一种在两个机器之间提供安全通道的协议，它具有保护数据传输以及识别通信机器的功能。

作为一个可选的实施例，客户端将客户端证书发送到VPN服务端进行验证，VPN服务端将服务端证书发送到客户端进行验证，响应于VPN服务端验证通过客户端的客户端证书，客户端验证通过VPN服务端的服务端证书，完成客户端与VPN服务端的证书验证，响应于客户端与VPN服务端的证书验证完成，客户端与VPN服务端互相确认身份信息以及密钥信息，完成双向安全验证。

举例来说，如果你是客户端，你要生成客户端的私钥和证书，将它们放到密钥库中，并将证书发给服务端，同时，在信任库中导入服务端的证书。如果你是服务端，除了在密钥库中保存服务器的私钥和证书，还要在信任库中导入客户端的证书。

双向的证书验证完成后，客户端和VPN服务端相互确认身份信息，并且进一步进行SSL协议中各类信息和密钥协商、生成、交换和确认的过程，然后连接安全通道就正式形成。

在具体实施中，VPN服务端建立可靠的安全连接后，依据用户安全证书和安全标记信息综合信息，客户端获得可视化的访问目标信息，客户端与VPN服务端采用标准通讯方式建立TCP网络连接，在TCP通道上进行客户端证书和VPN服务器端证书的交互身份验证过程，首先VPN服务端验证客户端证书，然后客户端验证VPN服务端证书，双方身份认证通过后，使用客户端的证书和安全标记，通过目标资源访问控制模块确认用户身份，当准确获取到用户身份信息，并查看目标资源控制列表，客户端能够取得目标资源列列表并发送请求。

步骤S103，所述客户端向所述VPN发送访问验证口令。

客户端访问VPN服务端需要进行登录口令验证，本申请对客户端验证过程进行优化。

作为一个可选的实施例，登录口令验证具体操作为令客户端的身份标记为{ID

作为一个可选的实施例，登录口令为网格环境下的容错口令，设用户共输入了n(n＝3k+1)个认证信息X(i＝1,2…,n)，服务器事先已知这n个信息的正确答案，因此已保存了该用户的认证信息构成的多项式曲线和最后口令a

根据这两组信息，我们分别可以得到两组不同的曲线和最后口令a

步骤S104，所述VPN服务端对所述访问验证口令进行验证，响应于于验证通过，对所述客户端进行安全身份标记。

作为一个可选的实施例，授权用户访问VPN服务端前必须进行相关注册，填写用户信息并提交到VPN服务端，信息中包含授权用户基本信息、角色信息、所属机构，操作填写工作将由配置管理员完成，审核工作由安全管理员完成，使用第三方证书需要导入到VPN服务端系统中。

步骤S105，所述客户端向所述VPN服务端发送数据访问请求，所述VPN服务端根据所述数据访问请求调取目标资源数据，将所述目标资源数据发送到所述客户端。

作为一个可选的实施例，客户端可以向VPN服务端发送数据访问请求；其中，数据访问请求指示获取与客户端相应的目标资源访问列表，VPN服务端接收到数据访问请求，调取目标资源访问列表并返回给客户端，客户端在目标资源访问列表中指定要访问的目标资源，并生成资源请求信息发送VPN服务端，VPN服务端接收到资源请求信息，确定资源请求信息是否符合强制访问控制的访问控制策略，响应于符合访问控制策略，获取目标资源，并将目标资源发送到客户端。

作为一个可选的实施例，可以将VPN服务器的地址转换为与目标资源相应的目标服务器的实际地址，通过Web反向代理程序与目标服务器建立应用连接并获取目标资源，VPN服务器缓存目标资源，Web反向代理程序将实际地址转换为VPN服务器的地址，将目标资源发送到客户端。

具体地，服务端与客户端发送和接收数据的流程可以由5个步骤概述。

参考图3，为本申请实施例提供的服务端与客户端发送和接收数据的流程示意图。

步骤S1051，客户端与VPN服务端建立TCP网络层连接，并使用数字证书进行身份验证后建立安全传输通道。

步骤S1052，客户端获取与其身份相对应的目标资源访问列表，VPN服务端依据客户端数字证书信息设定资源访问列表，将VPN操作系统的MAC功能扩展到客户端对目标资源访问控制上，加强授权访问控制强度。

步骤S1053，客户端用户在资源列表中选择，资源请求的信息被传递给VPN服务端。

步骤S1054，通过安全通道VPN服务端接收到客户端目标资源访问请求后，检查符合访问控制策略后，对请求内容进行应用层分析，将目标服务器地址转换为内部资源服务器的实际地址，Web反向代理程序与内网资源服务器建立应用连接并获取信息。

步骤S1055，VPN服务端缓存收到的信息，然后Web反向代理模块将地址信息再转换为SSL客户端地址，由SSL通信连接模块将数据通过安全通道反馈回客户端进行处理。

从上面所述可以看出，本申请提供的一种智能网关VPN加速分析方法以及相关设备，应用于客户端以及VPN服务端，首先VPN服务端响应于接收到客户端的访问请求，对客户端进行强制访问控制以及基于预设的最小特权原则进行赋权，进一步地，VPN服务端与客户端建立TCP连接并进行双向安全验证，然后，客户端向VPN发送访问验证口令，VPN服务端对访问验证口令进行验证，响应于于验证通过，对客户端进行安全身份标记，最后，客户端向VPN服务端发送数据访问请求，VPN服务端根据数据访问请求调取目标资源数据，将目标资源数据发送到客户端。本申请采用浏览器插件方式实现了对网络通讯的安全增强，VPN服务端应用强制访问控制、安全标记和最小特权原则，提高了系统自身的安全性，并在访问中加入了安全标记的验证功能，能够起到保护的作用，实现对客户端验证过程性能的优化，多重登录口令方便了用户的登录，提高了智能网关VPN加速分析的便捷性。

需要说明的是，本申请实施例的方法可以由单个设备执行，例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下，由多台设备相互配合来完成。在这种分布式场景的情况下，这多台设备中的一台设备可以只执行本申请实施例的方法中的某一个或多个步骤，这多台设备相互之间会进行交互以完成所述的方法。

需要说明的是，上述对本申请的一些实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于上述实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

基于同一发明构思，与上述任意实施例提供的方法相对应的，本申请还提供了一种智能网关VPN加速分析系统。

参考图4，为本申请实施例提供的一种智能网关VPN加速分析系统结构示意图。

智能网关VPN加速分析系统包括：客户端401以及VPN服务端402；

所述VPN服务端402，被配置为响应于接收到所述客户端的访问请求，对所述客户端进行强制访问控制以及基于预设的最小特权原则进行赋权；

所述VPN服务端402，被配置为与所述客户端建立TCP连接并进行双向安全验证；

所述客户端401，被配置为向所述VPN发送访问验证口令；

所述VPN服务端402，被配置为对所述访问验证口令进行验证，响应于于验证通过，对所述客户端进行安全身份标记；

所述客户端401，被配置为向所述VPN服务端发送数据访问请求，所述VPN服务端根据所述数据访问请求调取目标资源数据，将所述目标资源数据发送到所述客户端。

可选的，所述VPN服务端以及所述客户端，还被配置为：

对所述VPN服务端进行初始化，对待加载的应用程序进行完整性校验；

响应于所述校验通过，启动所述VPN服务端；

响应于所述校验不通过，停止启动所述VPN服务端，对所述VPN服务端进行保护。

可选的，所述VPN服务端以及所述客户端，还被配置为：

对所述客户端标记预设的安全属性，以使所述VPN服务端根据所述安全属性检测所述客户端是否有访问权限；

为所述客户端分配针对其数据访问请求的最小访问权限。

可选的，所述VPN服务端以及所述客户端，还被配置为：

所述客户端向所述VPN服务端发送握手请求；

所述VPN服务端接收到所述握手请求，向所述客户端发送第一确认请求；

所述客户端接收到所述第一确认请求，向所述VPN服务端发送第二确认请求；

所述VPN服务端接收到所述第二确认请求，与所述客户端建立TCP连接。

可选的，所述VPN服务端以及所述客户端，还被配置为：

所述客户端将客户端证书发送到所述VPN服务端进行验证；

所述VPN服务端将服务端证书发送到所述客户端进行验证；

响应于所述VPN服务端验证通过所述客户端的所述客户端证书，所述客户端验证通过所述VPN服务端的所述服务端证书，完成所述客户端与所述VPN服务端的证书验证；

响应于所述客户端与所述VPN服务端的证书验证完成，所述客户端与所述VPN服务端互相确认身份信息以及密钥信息，完成双向安全验证。

可选的，所述VPN服务端以及所述客户端，还被配置为：

所述客户端向所述VPN服务端发送数据访问请求；其中，所述数据访问请求指示获取与所述客户端相应的目标资源访问列表；

所述VPN服务端接收到所述数据访问请求，调取目标资源访问列表并返回给所述客户端；

所述客户端在所述目标资源访问列表中指定要访问的目标资源，并生成资源请求信息发送到所述VPN服务端；

所述VPN服务端接收到所述资源请求信息，确定所述资源请求信息是否符合所述强制访问控制的访问控制策略，响应于符合所述访问控制策略，获取所述目标资源，并将所述目标资源发送到所述客户端。

可选的，所述VPN服务端以及所述客户端，还被配置为：

将所述VPN服务器的地址转换为与所述目标资源相应的目标服务器的实际地址，通过Web反向代理程序与所述目标服务器建立应用连接并获取所述目标资源；

所述VPN服务器缓存所述目标资源，所述Web反向代理程序将所述实际地址转换为所述VPN服务器的地址，将所述目标资源发送到所述客户端。

为了描述的方便，描述以上系统时以功能分为各种模块分别描述。当然，在实施本申请时可以把各模块的功能在同一个或多个软件和/或硬件中实现。

上述实施例的系统用于实现前述任一实施例中相应的方法，并且具有相应的方法实施例的有益效果，在此不再赘述。

基于同一发明构思，与上述任意实施例方法相对应的，本申请还提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上任意一实施例所述的方法。

图5示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图，该设备可以包括：处理器510、存储器520、输入/输出接口530、通信接口540和总线550。其中处理器510、存储器520、输入/输出接口530和通信接口540通过总线550实现彼此之间在设备内部的通信连接。

处理器510可以采用通用的CPU(Central Processing Unit，中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit，ASIC)、或者一个或多个集成电路等方式实现，用于执行相关程序，以实现本说明书实施例所提供的技术方案。

存储器520可以采用ROM(Read Only Memory，只读存储器)、RAM(Random AccessMemory，随机存取存储器)、静态存储设备，动态存储设备等形式实现。存储器520可以存储操作系统和其他应用程序，在通过软件或者固件来实现本说明书实施例所提供的技术方案时，相关的程序代码保存在存储器520中，并由处理器510来调用执行。

输入/输出接口530用于连接输入/输出模块，以实现信息输入及输出。输入/输出模块可以作为组件配置在设备中(图中未示出)，也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等，输出设备可以包括显示器、扬声器、振动器、指示灯等。

通信接口540用于连接通信模块(图中未示出)，以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信，也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。

总线550包括一通路，在设备的各个组件(例如处理器510、存储器520、输入/输出接口530和通信接口540)之间传输信息。

需要说明的是，尽管上述设备仅示出了处理器510、存储器520、输入/输出接口530、通信接口540以及总线550，但是在具体实施过程中，该设备还可以包括实现正常运行所必需的其他组件。此外，本领域的技术人员可以理解的是，上述设备中也可以仅包含实现本说明书实施例方案所必需的组件，而不必包含图中所示的全部组件。

上述实施例的电子设备用于实现前述任一实施例中相应的方法，并且具有相应的方法实施例的有益效果，在此不再赘述。

基于同一发明构思，与上述任意实施例方法相对应的，本申请还提供了一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使所述计算机执行如上任一实施例所述的方法。

上述非暂态计算机可读存储介质可以是计算机能够存取的任何可用介质或数据存储设备，包括但不限于磁性存储器(例如软盘、硬盘、磁带、磁光盘(MO)等)、光学存储器(例如CD、DVD、BD、HVD等)、以及半导体存储器(例如ROM、EPROM、EEPROM、非易失性存储器(NAND FLASH)、固态硬盘(SSD))等。

上述实施例的存储介质存储的计算机指令用于使所述计算机执行如上示例性方法部分中任一实施例所述的方法，并且具有相应的方法实施例的有益效果，在此不再赘述。

此外，尽管在附图中以特定顺序描述了本申请方法的操作，但是，这并非要求或者暗示必须按照该特定顺序来执行这些操作，或是必须执行全部所示的操作才能实现期望的结果。相反，流程图中描绘的步骤可以改变执行顺序。附加地或备选地，可以省略某些步骤，将多个步骤合并为一个步骤执行，和/或将一个步骤分解为多个步骤执行。

需要说明的是，除非另外定义，本申请实施例使用的技术术语或者科学术语应当为本申请所属领域内具有一般技能的人士所理解的通常意义。本申请实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性，而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同，而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电性的连接，不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系，当被描述对象的绝对位置改变后，则该相对位置关系也可能相应地改变。

虽然已经参考若干具体实施方式描述了本申请的精神和原理，但是应该理解，本申请并不限于所公开的具体实施方式，对各方面的划分也不意味着这些方面中的特征不能组合以进行受益，这种划分仅是为了表述的方便。本申请旨在涵盖所附权利要求的精神和范围内所包括的各种修改和等同布置。所附权利要求的范围符合最宽泛的解释，从而包含所有这样的修改及等同结构和功能。