本申请提供了一种通信方法、装置、设备及介质,涉及通信技术领域。控制器实施该方法时,接收网络设备中的客户端发送的第一认证请求,该第一认证请求包括用户的认证信息;根据认证信息对用户进行认证;在认证通过后,向客户端发送认证结果,该认证结果包括允许用户访问的资源的资源列表、允许用户访问的资源对应的网关设备的地址信息,以使客户端在确认用户需要访问资源列表中的目标资源时,根据目标资源对应的目标网关设备的地址信息,向目标网关设备发送第二认证请求;在确认目标网关设备基于第二认证请求对用户认证通过后,向目标网关设备发送通信连接建立请求,以建立与目标网关设备之间的通信连接。之间的通信连接。之间的通信连接。
【技术实现步骤摘要】
一种通信方法、装置、设备及介质
[0001]本申请涉及通信
,尤其涉及一种通信方法、装置、设备及介质。
技术介绍
[0002]随着云计算、物联网、移动办公等互联网技术的兴起,企业资源已不再局限于在企业内部使用,企业员工随时随地接入企业内网的需求越来越普遍。传统的网络防护边界变得越来越模糊,传统的基于网络边界的安全防护手段越来越难以满足需求。为了解决以上问题,SDP(Software Defined Perimeter,软件定义边界)零信任技术应运而生。SDP零信任核心思想为不信任任何人、设备以及系统,对所有访问受限资源的用户进行持续动态认证和最小权限授权。
[0003]SDP零信任功能是指设备作为SDP网关与SDP控制器联动,对访问指定应用或API的用户进行身份认证和鉴权,以实现对用户身份和访问权限的集中控制,防止非法用户访问。在零信任场景中SDP网关作为企业边界设备连接远端用户和企业内部网络。
[0004]在用户方需要访问企业内部网络时,需要先到控制器进行认证,在认证通过后,控制器会向用户方下发其可访问的所有网关地址和各网关所保护的应用列表,控制器还会向对应网关下发该用户可访问的资源和访问权限。用户方在接收到控制器返回的所有网关地址后,就需要与所有网关建立通信连接,这就会存在如下问题:由于用户方可能某些情况只需要访问某一个网关对应的资源,即用户方只需要与该网关建立连接即可,完全不需要与控制器返回的所有网关均建立连接,造成了资源的浪费。
[0005]此外,当用户方只想通过某个网关访问资源时,需要通过控制器来修改用户权限,只授权待访问的应用,此时用户上线认证后只返回对应的网关地址,用户即可与特定网关建立隧道。但是若用户需要动态调整与网关的隧道连接,就需要反复修改控制器中的相关配置,不具有可维护性,且易用性差,影响用户体验。
[0006]因此,如何可以根据用户侧的访问需求,实现用户方动态与网关建立连接,避免资源的浪费是值得考虑的技术问题之一。
技术实现思路
[0007]有鉴于此,本申请提供一种通信方法、装置、设备及介质,用以根据用户侧的访问需求,实现用户方动态与网关建立连接,避免资源的浪费。
[0008]具体地,本申请是通过如下技术方案实现的:
[0009]根据本申请的第一方面,提供一种通信方法,应用于控制器中,所述方法,包括:
[0010]接收网络设备中的客户端发送的第一认证请求,所述第一认证请求包括用户的认证信息;
[0011]根据所述认证信息对所述用户进行认证;
[0012]在认证通过后,向所述客户端发送认证结果,所述认证结果包括允许所述用户访问的资源的资源列表、允许所述用户访问的资源对应的网关设备的地址信息,以使所述客
户端在确认所述用户需要访问所述资源列表中的目标资源时,根据所述目标资源对应的目标网关设备的地址信息,向所述目标网关设备发送第二认证请求;以及在确认所述目标网关设备基于所述第二认证请求对所述用户认证通过后,向所述目标网关设备发送通信连接建立请求,以建立与所述目标网关设备之间的通信连接。
[0013]根据本申请的第二方面,提供另一种通信方法,应用于网络设备中用于分别与控制器、网关设备通信的客户端中,所述方法,包括:
[0014]向所述控制器发送第一认证请求,所述第一认证请求包括用户的认证信息;
[0015]接收所述控制器在根据所述认证信息对所述用户认证通过后反馈的认证结果,所述认证结果包括允许所述用户访问的资源的资源列表、允许所述用户访问的资源对应的网关设备的地址信息;
[0016]当所述用户需要访问所述资源列表中的目标资源时,根据所述目标资源对应的目标网关设备的地址信息,向所述目标网关设备发送第二认证请求;
[0017]在确认所述目标网关设备基于所述第二认证请求对所述用户认证通过后,向所述目标网关设备发送通信连接建立请求,以建立与所述目标网关设备之间的通信连接。
[0018]根据本申请的第三方面,提供一种通信装置,设置于控制器中,所述装置,包括:
[0019]接收模块,用于接收网络设备中的客户端发送的第一认证请求,所述第一认证请求包括用户的认证信息;
[0020]认证模块,用于根据所述认证信息对所述用户进行认证;
[0021]发送模块,用于在所述认证模块认证通过后,向所述客户端发送认证结果,所述认证结果包括允许所述用户访问的资源的资源列表、允许所述用户访问的资源对应的网关设备的地址信息,以使所述客户端在确认所述用户需要访问所述资源列表中的目标资源时,根据所述目标资源对应的目标网关设备的地址信息,向所述目标网关设备发送第二认证请求;以及在确认所述目标网关设备基于所述第二认证请求对所述用户认证通过后,向所述目标网关设备发送通信连接建立请求,以建立与所述目标网关设备之间的通信连接。
[0022]根据本申请的第四方面,提供另一种通信装置,设置于网络设备中用于分别与控制器、网关设备通信的客户端中,所述装置,包括:
[0023]第一发送模块,用于向所述控制器发送第一认证请求,所述第一认证请求包括用户的认证信息;
[0024]接收模块,用于接收所述控制器在根据所述认证信息对所述用户认证通过后反馈的认证结果,所述认证结果包括允许所述用户访问的资源的资源列表、允许所述用户访问的资源对应的网关设备的地址信息;
[0025]第二发送模块,用于当所述用户需要访问所述资源列表中的目标资源时,根据所述目标资源对应的目标网关设备的地址信息,向所述目标网关设备发送第二认证请求;
[0026]所述第二发送模块,还用于在确认所述目标网关设备基于所述第二认证请求对所述用户认证通过后,向所述目标网关设备发送通信连接建立请求,以建立与所述目标网关设备之间的通信连接。
[0027]根据本申请的第五方面,提供一种电子设备,包括处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的计算机程序,处理器被计算机程序促使执行本申请实施例第一方面所提供的方法。
[0028]根据本申请的第六方面,提供一种机器可读存储介质,机器可读存储介质存储有计算机程序,在被处理器调用和执行时,计算机程序促使处理器执行本申请实施例第一方面所提供的方法。
[0029]本申请实施例的有益效果:
[0030]本申请实施例提供的通信方法、装置、设备及介质中,控制器接收网络设备中的客户端发送的第一认证请求,所述第一认证请求包括用户的认证信息;根据所述认证信息对所述用户进行认证;在认证通过后,向所述客户端发送认证结果,所述认证结果包括允许所述用户访问的资源的资源列表、允许所述用户访问的资源对应的网关设备的地址信息,以使所述客户端在确认所述用户需要访问所述资源列表中的目标资源时,根据所述目标资源对应的目标网关设备的地址信息,向所述目标网关设备发送第二认证请求;以及在确认所述目标网关设备基于所述第二认证请求对所述用户认证通过后,向所述目标网关设备发送通信连接建立请求本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种通信方法,其特征在于,应用于控制器中,所述方法,包括:接收网络设备中的客户端发送的第一认证请求,所述第一认证请求包括用户的认证信息;根据所述认证信息对所述用户进行认证;在认证通过后,向所述客户端发送认证结果,所述认证结果包括允许所述用户访问的资源的资源列表、允许所述用户访问的资源对应的网关设备的地址信息,以使所述客户端在确认所述用户需要访问所述资源列表中的目标资源时,根据所述目标资源对应的目标网关设备的地址信息,向所述目标网关设备发送第二认证请求;以及在确认所述目标网关设备基于所述第二认证请求对所述用户认证通过后,向所述目标网关设备发送通信连接建立请求,以建立与所述目标网关设备之间的通信连接。2.根据权利要求1所述的方法,其特征在于,所述认证结果还包括为所述客户端分配的虚拟网卡地址,所述虚拟网卡地址用于指示所述客户端将本地的虚拟网卡的网卡地址配置为所述虚拟网卡地址,并通过所述虚拟网卡向所述目标网关设备发送第二认证请求。3.根据权利要求1所述的方法,其特征在于,所述认证结果还包括所述资源列表中资源的资源地址信息。4.一种通信方法,其特征在于,应用于网络设备中用于分别与控制器、网关设备通信的客户端中,所述方法,包括:向所述控制器发送第一认证请求,所述第一认证请求包括用户的认证信息;接收所述控制器在根据所述认证信息对所述用户认证通过后反馈的认证结果,所述认证结果包括允许所述用户访问的资源的资源列表、允许所述用户访问的资源对应的网关设备的地址信息;当所述用户需要访问所述资源列表中的目标资源时,根据所述目标资源对应的目标网关设备的地址信息,向所述目标网关设备发送第二认证请求;在确认所述目标网关设备基于所述第二认证请求对所述用户认证通过后,向所述目标网关设备发送通信连接建立请求,以建立与所述目标网关设备之间的通信连接。5.根据权利要求4所述的方法,其特征在于,所述认证结果还包括为所述客户端分配的虚拟网卡地址;根据所述目标资源对应的目标网关设备的地址信息,向所述目标网关设备发送第二认证请求,包括:将本地的虚拟网卡的网卡地址配置为所述虚拟网卡地址;通过所述虚拟网卡向所述目标网关设备发送第二认证请求。6.根据权利要求5所述的方法,其特征在于,所述认证结果还包括所述资源列表中资源的资源地址信息;所述方法,还包括:根据本地的虚拟网卡和所述资源地址信息生成访问所述目标资源的路由信息,以将所述路由信息中的出接口配置为所述本地的虚拟网卡;根据所述路由信息,通过所述本地的虚拟网卡访问所述目标资源。7.一种通信装置,其特征在于,设置于控制器中,所述装置,包括:接收模块,用于接收网络设备中的客户端发送的第一认证请求,所述第一认证请求包括用户的认证信息;
认证模块,用于根据所述认证信息对所述用户进行认证;发送模块,用于在所述认证模块认证通过后,向所述客户端发送认证结果,所述认...
【专利技术属性】
技术研发人员:常芳妍,王国利,
申请(专利权)人:新华三信息安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。