一种报文传输方法及装置制造方法及图纸

本申请涉及网络安全技术领域，特别涉及一种报文传输方法及装置。该方法包括：接收目标用户终端发送的认证报文，其中，所述认证报文包括所述目标用户终端的网卡地址和用户令牌；判断本地维护的各用户终端的网卡地址和用户令牌的映射列表中是否存在所述用户令牌对应的表项；若存在，则在接收到源IP为所述目标用户终端的网卡地址的业务报文时，基于所述目标用户终端的权限信息进行鉴权。用户终端的权限信息进行鉴权。用户终端的权限信息进行鉴权。

【技术实现步骤摘要】
一种报文传输方法及装置


[0001]本申请涉及网络安全
，特别涉及一种报文传输方法及装置。

技术介绍

[0002]随着云计算、物联网、移动办公等互联网技术的兴起，企业资源已不再局限于企业内部，企业员工随时随地接入企业内网的需求越来越普遍，传统的网络防护边界变得越来越模糊，传统的基于网络边界的安全防护手段越来越难以满足需求。为了解决以上问题，SDP(Software Defined Perimeter，软件定义边界)零信任技术应运而生。SDP零信任核心思想为不信任任何人、设备以及系统，对所有访问受限资源的用户进行持续动态认证和最小权限授权。
[0003]SDP零信任功能是指设备作为SDP网关与SDP控制器联动，对访问指定应用或API的用户进行身份认证和鉴权，以实现对用户身份和访问权限的集中控制，防止非法用户访问。在SDP框架中，为了安全起见，SDP连接发起主机和SDP连接接受主机之间的数据信道必须是加密信道。
[0004]用户终端在控制器认证成功后，控制器会把所有授权给用户终端的应用绑定的网关的IP返回给用户终端，用户终端会与所有返回的网关建立SSLVPN隧道，有权访问对应网关下授权的应用资源。
[0005]当前零信任方案中终端与零信任网关的数据通道都是加密通信，终端与零信任网关为加密信道，会消耗终端和零信任网关的资源，且无法对加密流量进行审计。

技术实现思路

[0006]本申请提供了一种报文传输方法及装置。
[0007]第一方面，本申请提供了一种报文传输方法，应用于零信任网关，其中，控制器在确定一个用户终端通过认证，且该用户终端为信任终端时，向该用户终端下发携带传输模式和该传输模式对应的参数的第一消息，并向该用户终端对应的零信任网关下发携带传输模式，该传输模式对应的参数和该用户终端的权限信息的第二消息；所述方法包括：
[0008]接收目标用户终端发送的认证报文，其中，所述认证报文包括所述目标用户终端的网卡地址和用户令牌；
[0009]判断本地维护的各用户终端的网卡地址和用户令牌的映射列表中是否存在所述用户令牌对应的表项；
[0010]若存在，则在接收到源IP为所述目标用户终端的网卡地址的业务报文时，基于所述目标用户终端的权限信息进行鉴权。
[0011]可选地，所述传输模式为非加密传输模式，所述传输模式对应的参数包括非加密传输模式的端口号，老化时间参数和动态密钥；
[0012]接收目标用户终端发送的报文，若判定该报文的目的端口号为所述非加密传输模式的端口号，则确定接收到目标用户终端发送的认证报文，其中，所述认证报文包括基于所
述动态密钥加密后的所述目标用户终端的网卡地址和用户令牌；
[0013]解析所述认证报文，并基于所述动态密钥对加密后的所述目标用户终端的网卡地址和用户令牌进行解密处理；
[0014]若判定本地维护的各用户终端的网卡地址和用户令牌的映射列表中不存在所述用户令牌对应的表项，则在所述映射列表中添加所述目标用户终端的网卡地址和用户令牌的表项，并基于所述老化时间参数设置该表项的老化时间。
[0015]可选地，若判定本地维护的各用户终端的网卡地址和用户令牌的映射列表中存在所述用户令牌对应的表项，则基于所述老化时间参数刷新该表项的老化时间。
[0016]可选地，若判定本地维护的各用户终端的网卡地址和用户令牌的映射列表中存在所述用户令牌对应的表项，且该表项的网卡地址与所述目标用户终端的网卡地址不匹配，则将该表项的网卡地址更新为所述目标用户终端的网卡地址。
[0017]可选地，所述目标用户终端周期性发送认证报文；所述方法还包括：
[0018]若预设时长内未接收到所述目标用户终端发送的认证报文，则删除所述映射列表中所述用户令牌对应的表项，所述预设时长大于所述老化时间参数。
[0019]第二方面，本申请提供了一种报文传输方法，应用于控制器，所述方法包括：
[0020]接收用户终端发送的认证报文；
[0021]基于所述用户终端的网卡地址，判断所述用户终端是否为信任终端；
[0022]若判定为是，则向所述用户终端下发携带非加密传输模式和该传输模式对应的参数的第一消息，并向所述用户终端对应的零信任网关下发携带非加密传输模式，该传输模式对应的参数和所述用户终端的权限信息的第二消息。
[0023]第三方面，本申请提供了一种报文传输装置，应用于零信任网关，其中，控制器在确定一个用户终端通过认证，且该用户终端为信任终端时，向该用户终端下发携带传输模式和该传输模式对应的参数的第一消息，并向该用户终端对应的零信任网关下发携带传输模式，该传输模式对应的参数和该用户终端的权限信息的第二消息；所述装置包括：
[0024]接收单元，用于接收目标用户终端发送的认证报文，其中，所述认证报文包括所述目标用户终端的网卡地址和用户令牌；
[0025]判断单元，用于判断本地维护的各用户终端的网卡地址和用户令牌的映射列表中是否存在所述用户令牌对应的表项；
[0026]鉴权单元，若所述判断单元判定存在，则所述接收单元在接收到源IP为所述目标用户终端的网卡地址的业务报文时，所述鉴权单元基于所述目标用户终端的权限信息进行鉴权。
[0027]可选地，所述传输模式为非加密传输模式，所述传输模式对应的参数包括非加密传输模式的端口号，老化时间参数和动态密钥；所述装置还包括解析单元和添加单元；
[0028]所述接收单元用于，接收目标用户终端发送的报文，若所述判断单元判定该报文的目的端口号为所述非加密传输模式的端口号，则确定接收到目标用户终端发送的认证报文，其中，所述认证报文包括基于所述动态密钥加密后的所述目标用户终端的网卡地址和用户令牌；
[0029]解析单元，用于解析所述认证报文，并基于所述动态密钥对加密后的所述目标用户终端的网卡地址和用户令牌进行解密处理；
[0030]添加单元，若所述判断单元判定本地维护的各用户终端的网卡地址和用户令牌的映射列表中不存在所述用户令牌对应的表项，则所述添加单元用于，在所述映射列表中添加所述目标用户终端的网卡地址和用户令牌的表项，并基于所述老化时间参数设置该表项的老化时间。
[0031]可选地，所述装置还包括刷新单元；
[0032]若所述判断单元判定本地维护的各用户终端的网卡地址和用户令牌的映射列表中存在所述用户令牌对应的表项，则所述刷新单元用于，基于所述老化时间参数刷新该表项的老化时间。
[0033]可选地，若所述判断单元判定本地维护的各用户终端的网卡地址和用户令牌的映射列表中存在所述用户令牌对应的表项，且该表项的网卡地址与所述目标用户终端的网卡地址不匹配，则刷新单元用于，将该表项的网卡地址更新为所述目标用户终端的网卡地址。
[0034]可选地，所述目标用户终端周期性发送认证报文；所述装置还包括删除单元：
[0035]若预设时长内未接收到所述目标用户终端发送的认证报文，则所述删除单元用于，删本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种报文传输方法，其特征在于，应用于零信任网关，其中，控制器在确定一个用户终端通过认证，且该用户终端为信任终端时，向该用户终端下发携带传输模式和该传输模式对应的参数的第一消息，并向该用户终端对应的零信任网关下发携带传输模式，该传输模式对应的参数和该用户终端的权限信息的第二消息；所述方法包括：接收目标用户终端发送的认证报文，其中，所述认证报文包括所述目标用户终端的网卡地址和用户令牌；判断本地维护的各用户终端的网卡地址和用户令牌的映射列表中是否存在所述用户令牌对应的表项；若存在，则在接收到源IP为所述目标用户终端的网卡地址的业务报文时，基于所述目标用户终端的权限信息进行鉴权。2.如权利要求1所述的方法，其特征在于，所述传输模式为非加密传输模式，所述传输模式对应的参数包括非加密传输模式的端口号，老化时间参数和动态密钥；接收目标用户终端发送的报文，若判定该报文的目的端口号为所述非加密传输模式的端口号，则确定接收到目标用户终端发送的认证报文，其中，所述认证报文包括基于所述动态密钥加密后的所述目标用户终端的网卡地址和用户令牌；解析所述认证报文，并基于所述动态密钥对加密后的所述目标用户终端的网卡地址和用户令牌进行解密处理；若判定本地维护的各用户终端的网卡地址和用户令牌的映射列表中不存在所述用户令牌对应的表项，则在所述映射列表中添加所述目标用户终端的网卡地址和用户令牌的表项，并基于所述老化时间参数设置该表项的老化时间。3.如权利要求2所述的方法，其特征在于，若判定本地维护的各用户终端的网卡地址和用户令牌的映射列表中存在所述用户令牌对应的表项，则基于所述老化时间参数刷新该表项的老化时间。4.如权利要求1
‑
3任一项所述的方法，其特征在于，若判定本地维护的各用户终端的网卡地址和用户令牌的映射列表中存在所述用户令牌对应的表项，且该表项的网卡地址与所述目标用户终端的网卡地址不匹配，则将该表项的网卡地址更新为所述目标用户终端的网卡地址。5.如权利要求4所述的方法，其特征在于，所述目标用户终端周期性发送认证报文；所述方法还包括：若预设时长内未接收到所述目标用户终端发送的认证报文，则删除所述映射列表中所述用户令牌对应的表项，所述预设时长大于所述老化时间参数...

【专利技术属性】
技术研发人员：王国利，
申请(专利权)人：新华三信息安全技术有限公司，
类型：发明
国别省市：