(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210924986.6 (22)申请日 2022.08.02 (71)申请人 浙江中控技 术股份有限公司 地址 310059 浙江省杭州市滨江区六和路 309号 (72)发明人 郭飚　何有明　丰存旭　王德昌　 申屠思倩　施浩明　李泽杰　 (74)专利代理 机构 北京康信知识产权代理有限 责任公司 1 1240 专利代理师 张文华 (51)Int.Cl. H04L 9/40(2022.01) H04L 69/22(2022.01) (54)发明名称 安全访问内部网络的方法、 装置及电子设备 (57)摘要 本申请公开了一种安全访问内部网络的方 法、 装置及电子设备。 其中， 该方法包括： 控制端 接收受控端发送的UDP报文信息， 其中， UDP报文 信息中包括控制端分发的授权码和控制端的目 标端口号， 控制端与外部网络连接， 受控端与内 部网络连接； 在UDP报文信息验证通过后， 控制端 接收受控端发送的连接请求， 其中， 连接请求用 于与控制端的目标端口号建立连接； 在连接请求 验证通过后， 控制端通过应用标识访问内部网络 的应用； 控制端接收受控端加密后的通信报文数 据， 并将通信报文数据发送给与控制端连接的客 户端设备。 本申请解决了 现有的互联网访问内网 应用仅解决了网络的连通性， 并未解决安全性的 技术问题。 权利要求书3页 说明书11页 附图6页 CN 115174262 A 2022.10.11 CN 115174262 A 1.一种安全访问内部网络的方法， 其特 征在于， 包括： 控制端接收受控端发送的UDP报文信息， 其中， 所述UDP报文信息中包括所述控制端分 发的授权码和所述控制端的目标端口号， 所述控制端与外部网络连接， 所述受控端与内部 网络连接； 在所述UDP报文信息验证通过后， 所述控制端接收所述受控端发送的连接请求， 其中， 所述连接请求用于与所述控制端的目标端口号建立连接； 在所述连接请求验证通过后， 所述控制端通过应用标识访 问所述内部网络的应用， 其 中， 所述应用标识由管理内部网络资源的资源 模块进行分配； 所述控制端接收所述受控端加密后的通信报文数据， 并将所述通信报文数据发送给与 所述控制端连接的客户端设备。 2.根据权利要求1所述的方法， 其特征在于， 所述控制端通过应用标识访问所述内部网 络的应用之前， 所述方法还 包括： 验证与所述控制端连接的所述客户端设备的访 问权限， 其中， 所述访 问权限表示与所 述应用标识对应的所述内部网络的应用的访问权限； 在所述访 问权限通过验证的情况下， 所述客户端设备经过所述控制端， 并通过所述应 用标识访问所述内部网络的应用。 3.根据权利要求1所述的方法， 其特征在于， 所述控制端接收所述受控端加密后的报文 数据之前， 所述方法还 包括： 获取所有敏感关键词， 得到敏感关键词集 合； 将所述敏感关键词集合中的敏感关键词转换成不包含敏感字段的关键词， 得到关键词 集合； 识别待发送报文中与所述敏感关键词集 合中的敏感关键词对应的敏感字段； 将所述敏感字段替换为所述关键词集合中对应的关键词， 并对所述关键词 进行加密处 理。 4.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 监测所述客户端设备的访问操作， 其中， 所述访问操作包括以下至少之一： 所述客户端 设备的IP地址、 请求报文、 上传的文件内容、 访问频率； 在所述访问操作存在异常的情况下， 所述控制端发出异常警报并关闭所述目标端口号 的连接权限。 5.根据权利要求1所述的方法， 其特征在于， 所述资源模块集成在所述控制端和所述受 控端中， 所述受控端和所述控制端均维护一张映射表， 所述映射表包括所述内部网络的资 源的统一资源定位符和所述应用标识的映射关系， 所述控制端的资源模块根据所述映射表 确定资源的上线或下线， 其中， 上线的资源可被拥有访问权限的所述客户端设备访问， 下线 的资源无法被访问。 6.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 所述控制端维护多张数据表， 其中， 所述数据表包括以下至少之一： IP黑名单、 IP白名 单、 恶意文件样本和恶意 通信报文样本； 依据所述多张数据表， 确定所述 客户端设备访问所述内部网络应用的安全性。 7.根据权利要求1至6 中任意一项所述的方法， 其特征在于， 所述方法还包括： 在所述客权　利　要　求　书 1/3 页 2 CN 115174262 A 2户端设备使用完所述内部网络的应用后， 所述控制端或所述受控端断开连接， 且所述控制 端关闭所述目标端口号的连接 权限。 8.一种安全访问内部网络的方法， 其特 征在于， 包括： 受控端向控制端发送UDP报文信息， 其中， 所述UDP报文信息中包括所述控制端分发的 授权码和所述控制端的目标端口号， 所述控制端与外部网络连接， 所述受控端与内部网络 连接； 在所述UDP报文信息验证通过后， 所述受控端向所述控制端发送连接请求， 其中， 所述 连接请求用于与所述控制端的目标端口号建立连接； 在所述连接请求验证通过后， 所述受控端接收所述控制端通过应用标识访问所述内部 网络的应用的访问请求， 其中， 所述应用标识由管理内部网络资源的资源 模块进行分配； 依据所述访问请求， 所述受控端将加密后的通信报文数据发送给 所述控制端。 9.一种安全访问内部网络的装置， 其特征在于， 至少包括： 代理模块、 资源管理模块、 风 险监控模块、 权限管理模块、 情 报管理模块和 加解密模块， 其中， 所述代理模块， 包括控制端和受控端， 所述控制端接收所述受控端发送的UDP报文信 息， 其中， 所述UDP报文信息中包括所述控制端分发的授权码和所述控制端的目标端口号， 所述控制端与外部网络连接， 所述受控端与内部网络连接； 在所述UDP报文信息验证通过 后， 所述控制端接收所述受控端发送的连接请求， 其中， 所述连接请求用于与所述控制端的 目标端口号建立连接； 在所述连接请求通过验证后， 与所述控制端连接的客户端设备通过 应用标识访问所述内部网络的应用， 其中， 所述应用标识由管理内部网络资源的资源模块 进行分配； 所述控制端接 收所述受控端加密后的通信报文数据， 并将所述通信报文数据发 送给与所述 客户端设备； 所述资源模块， 集成在所述控制端和所述受控端中， 所述受控端和所述控制端均维护 一张映射表， 所述映射表包括所述内部网络的资源的统一资源定位符和所述应用标识的映 射关系， 所述控制端的资源模块根据所述映射表确定 资源的上线或下线， 其中， 上线的资源 可被拥有访问权限的所述 客户端设备访问， 下线的资源无法被访问； 所述风险监控模块， 用于监测网络连接过程中的异常， 其中， 所述异常至少包括以下之 一： 网络连接频率是否大于预设阈值， 网络通信过程中的应用报文是否存在异常； 所述权限管理模块， 用于管理所述 客户端设备对上线的资产的访问权限； 所述情报管理模块， 至少用于维护多张数据表， 其中， 所述数据表包括以下至少之一： IP黑名单、 IP白名单、 恶意文件样本和恶意 通信报文样本； 所述加解密模块， 用于对所述 通信报文数据中的敏感字段进行加密和解密。 10.一种电子设备， 其特 征在于， 包括： 存储器， 用于存 储程序指令； 处理器， 与所述存储器连接， 用于执行实现以下功能的程序指令： 控制端接收受控端发 送的UDP报文信息， 其中， 所述UDP报文信息中包括所述控制 端分发的授权码和所述控制 端 的目标端口号， 所述控制端与外部网络连接， 所述受控端与内部网络连接； 在所述UDP报文 信息验证通过后， 所述控制端接收所述受控端发送的连接请求， 其中， 所述连接请求用于与 所述控制端的目标端口号建立连接； 在所述连接请求验证通过后， 所述控制端通过应用标 识访问所述内部网络的应用， 其中， 所述应用标识由管理内部网络资源的资源模块进行分权　利　要　求　书 2/3 页 3 CN 115174262 A 3