【技术实现步骤摘要】
本公开属于通信,具体涉及一种通信方法、系统及装置。
技术介绍
1、随着移动办公的普遍化,通过公网访问企业网络的需求也越来越广泛,这种模式下,传统的企业网络与公网之间的防护,已经无法满足企业网络对网络安全的防护需求,而sdp(software defined perimeter,软件定义边界)技术作为一种安全性更高的防护技术被广泛使用。
2、sdp技术实现安全访问的原理在于:基于零信任理念,面向受保护资源,针对任一用户的任意一次访问请求均需要对用户进行身份认证,并在认证通过后,才允许该用户访问相应受保护资源。而这样一来,不但无法适应性满足不同权限的企业用户对企业网络的访问需求,为企业用户造成一定的不便,而且还会造成一定的资源浪费。
技术实现思路
1、本公开提出了一种通信方法、系统及装置,支持部分客户端无需在sdp控制器进行认证即可经由sdp网关访问接入设备对应的网络的资源,而另一部分客户端需经sdp认证才可经由sdp网关访问接入设备对应的网络的资源。
2、本公开第一方面实施例提出了一种通信方法,应用于sdp控制器,所述方法包括:
3、接收来自接入设备的第一客户端的免认证接入请求,向sdp网关发送包括所述第一客户端的地址的鉴权信息表,以供所述sdp网关在响应所述第一客户端的资源访问请求的阶段进行鉴权;
4、接收来自第二客户端的认证请求,对所述第二客户端进行认证,所述认证请求是所述第二客户端在请求访问资源之前发送的。
5、本公开
6、接收来自第一客户端的访问请求,根据鉴权信息表对所述访问请求进行鉴权,所述鉴权信息表是sdp控制器响应所述第一客户端的免认证接入请求发送的;在对所述访问请求鉴权通过的情况下,将所述访问请求发送到对应的目标应用服务器;
7、在第二客户端被所述sdp控制器认证通过后,接收来自所述第二客户端的加密访问请求,对所述加密访问请求解密以及对解密后的请求进行鉴权;在对所述解密后的请求鉴权通过的情况下,将所述解密后的请求发送到对应的目标应用服务器。
8、本公开第三方面实施例提出了一种通信方法,应用于接入设备,所述方法包括:
9、接收来自客户端的上线请求,所述上线请求包括所述客户端的账户标识;
10、若基于所述账户标识识别所述客户端属于免认证客户端,向软件定义边界sdp控制器发送免认证接入请求,以触发所述sdp控制器向sdp网关发送包括所述客户端地址的鉴权信息表。
11、本公开第四方面实施例提出了一种通信系统,所述通信系统包括接入设备、sdp控制器和sdp网关,其中,
12、所述接入设备,用于接收来自客户端的上线请求,所述上线请求包括所述客户端的账户标识;根据所述账户标识识别所述客户端是否属于免认证客户端;并在所述客户端属于免认证客户端的情况下,将所述客户端作为第一客户端,向所述sdp控制器发送免认证接入请求;
13、所述sdp控制器,用于接收来自所述接入设备的所述第一客户端的免认证接入请求,向所述sdp网关发送包括所述第一客户端的地址的鉴权信息表;还用于响应于接收到来自第二客户端的认证请求,对所述第二客户端进行认证;
14、所述sdp网关,用于接收来自所述第一客户端的访问请求,根据鉴权信息表对所述访问请求进行鉴权,在对所述访问请求鉴权通过的情况下,将所述访问请求发送到对应的目标应用服务器;还用于在所述sdp控制器对所述第二客户端认证通过后,接收来自所述第二客户端的加密访问请求,对所述加密访问请求解密以及对解密后的请求进行鉴权;在对所述解密后的请求鉴权通过的情况下,将所述解密后的请求发送到对应的目标应用服务器。
15、本公开第五方面实施例提出了一种通信装置,应用于sdp控制器,所述装置包括:
16、发送模块,用于接收来自接入设备的第一客户端的免认证接入请求,向sdp网关发送包括所述第一客户端的地址的鉴权信息表,以供所述sdp网关在响应所述第一客户端的访问请求的阶段进行鉴权;
17、认证模块,用于接收到来自第二客户端的认证请求,对所述第二客户端进行认证,所述认证请求是所述第二客户端在请求访问资源之前发送的。
18、本公开第六方面实施例提出了一种通信装置,应用于sdp网关,所述装置包括:
19、第一鉴权模块,用于接收到来自第一客户端的访问请求,根据鉴权信息表对所述访问请求进行鉴权,所述鉴权信息表是sdp控制器响应所述第一客户端的免认证接入请求发送的;在对所述访问请求鉴权通过的情况下,将所述访问请求发送到对应的目标应用服务器;
20、第二鉴权模块,用于在第二客户端被所述sdp控制器认证通过后,接收到来自第二客户端的加密访问请求,对所述加密访问请求解密以及对解密后的请求进行鉴权;在对所述解密后的请求鉴权通过的情况下,将所述解密后的请求发送到对应的目标应用服务器。
21、本公开第七方面实施例提出了一种通信装置,设置于接入设备,所述装置包括:
22、接收模块,用于接收来自客户端的上线请求,所述上线请求包括所述客户端的账户标识;
23、发送模块,用于若基于所述账户标识识别所述客户端属于免认证客户端,向软件定义边界sdp控制器发送免认证接入请求,以触发所述sdp控制器向sdp网关发送包括所述客户端地址的鉴权信息表。
24、本公开第八方面的实施例提供了一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器运行所述计算机程序以实现上述第一方面、第二方面或第三方面所述的方法。
25、本公开第九方面的实施例提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行实现上述第一方面、第二方面或第三方面所述的方法。
26、本公开实施例中提供的技术方案,至少具有如下技术效果或优点:
27、sdp控制器在接收到来自接入设备的第一客户端的免认证接入请求的情况下,说明接入设备已经对第一客户端进行了认证,那么,sdp控制器则无需再对第一客户端进行认证,即,第一客户端免认证客户端。进而,sdp控制器可以向sdp网关发送包括所述第一客户端地址的鉴权信息表,以供所述sdp网关在响应所述第一客户端的访问请求阶段进行鉴权。而在接收到来自第二客户端在请求访问资源之前发送的认证请求,说明接入设备不对第二客户端进行认证,那么,第二客户端应当由sdp控制器进行认证。可见,采用本公开实施例的技术方案,支持部分客户端无需在sdp控制器进行认证即可经由sdp网关访问接入设备相关的资源,而另一部分客户端需经sdp认证才可经由sdp网关访问接入设备相关的资源,从而可以根据不同权限的客户端对资源的访问需求,适应性的设置认证机制,不仅在满足安全性需求的基础上提高了用户访问资源的便捷性,而且还能够节省部分网络资源。
28、本本文档来自技高网...
【技术保护点】
1.一种通信方法,其特征在于,应用于软件定义边界SDP控制器,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述免认证接入请求包括所述第一客户端的账户标识和地址,所述方法还包括:
3.根据权利要求1所述的方法,其特征在于,所述对所述第二客户端进行认证,包括:
4.根据权利要求1所述的方法,其特征在于,还包括:
5.一种通信方法,其特征在于,应用于软件定义边界SDP网关,所述方法包括:
6.根据权利要求5所述的方法,其特征在于,所述访问请求包括所述第一客户端的地址,所述根据鉴权信息表对所述访问请求进行鉴权,包括:
7.根据权利要求5所述的方法,其特征在于,在接收来自所述第二客户端的加密访问请求之前,还包括:
8.根据权利要求5所述的方法,其特征在于,所述解密后的请求包括所述第二客户端的地址和待访问目标应用服务器的地址,所述对解密后的请求进行鉴权,包括:
9.根据权利要求7所述的方法,其特征在于,还包括:
10.一种通信方法,其特征在于,应用于接入设备,所述方法包括
11.根据权利要求10所述的方法,其特征在于,还包括:
12.一种通信系统,其特征在于,所述通信系统包括接入设备、软件定义边界SDP控制器和SDP网关,其中,
13.一种通信装置,其特征在于,应用于软件定义边界SDP控制器,所述装置包括:
14.一种通信装置,其特征在于,应用于软件定义边界SDP网关,所述装置包括:
15.一种通信装置,其特征在于,设置于接入设备,所述装置包括:
...【技术特征摘要】
1.一种通信方法,其特征在于,应用于软件定义边界sdp控制器,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述免认证接入请求包括所述第一客户端的账户标识和地址,所述方法还包括:
3.根据权利要求1所述的方法,其特征在于,所述对所述第二客户端进行认证,包括:
4.根据权利要求1所述的方法,其特征在于,还包括:
5.一种通信方法,其特征在于,应用于软件定义边界sdp网关,所述方法包括:
6.根据权利要求5所述的方法,其特征在于,所述访问请求包括所述第一客户端的地址,所述根据鉴权信息表对所述访问请求进行鉴权,包括:
7.根据权利要求5所述的方法,其特征在于,在接收来自所述第二客户端的加密访问请求之前,还包括:
8.根据权...
【专利技术属性】
技术研发人员:王国利,
申请(专利权)人:新华三网络信息安全软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。