2. 专利
    3. 通信系统、方法、装置及电子设备与流程

    通信系统、方法、装置及电子设备与流程

    专利2022-07-07  151

    本申请涉及通信
    技术领域
    ,特别是涉及通信系统、方法、装置及电子设备。
    背景技术
    :随着物联网的发展、云计算应用的普及基于网络业务的高速增长,网络边界越来越不清晰,基于零信任的安全防护架构也越来越受到推崇和重视。零信任安全防护架构是指基于用户的身份进行实时权限最小化访问控制;对零信任的落地实施,最主要的是把用户身份化,为用户标识唯一的身份id,基于身份id对用户进行动态权限控制。针对现有的网络传输,报文中对用户标识的信息主要是源ip、源端口,但在nat(networkaddresstranslation,网络地址转换)普遍应用、以及移动用户动态获取ip地址现实下,采用ip地址或者“ip地址 端口”并不能唯一标识用户的身份,并且ip地址很容易被伪造。现有的零信任防护系统中,主要对用户访问web业务提供可信访问控制,主要通过报文中的cooike作为用户的身份id。采用cooike来承载用户的身份id,但是该方法受限于web业务,对大量的非web业务,难以实现对其进行零信任防护。技术实现要素:本申请实施例的目的在于提供一种通信系统、方法、装置及电子设备,以实现增加零信任防护的适用范围。具体技术方案如下:第一方面,本申请实施例提供了一种通信系统,包括:客户端可信代理、权限策略中心、服务端可信代理;所述客户端可信代理,用于在接收到客户端的客户端报文后,根据所述客户端报文的源ip地址,获取所述客户端的身份标识并确定所述客户端的可信度;根据所述客户端的身份标识及可信度生成可信报文头,并利用所述可信报文头对所述客户端报文进行封装,得到可信报文;向所述服务端可信代理发送所述可信报文;所述服务端可信代理,用于接收所述客户端的可信报文;提取所述可信报文的可信报文头,得到所述客户端的身份标识及可信度;并向所述权限策略中心发送针对所述客户端的鉴权请求,其中,所述鉴权请求包括所述客户端的身份标识及可信度;所述权限策略中心,用于根据所述客户端的鉴权请求,对所述客户端进行鉴权,并将所述鉴权结果发送给所述服务端可信代理;所述服务端可信代理,还用于若所述鉴权结果表示所述客户端通过鉴权,则从所述可信报文中解析出客户端报文,并转发所述客户端报文。在一种可能的实施方式中,所述客户端可信代理,还用于基于预设的隧道协议建立与所述服务端可信代理之间的可信隧道,其中,所述客户端可信代理与所述服务端可信代理之间通过所述可信隧道进行通信。在一种可能的实施方式中,所述可信报文头中还包括区域id,其中,针对任一可信报文头,该可信报文头中的区域id用于唯一标识生成该可信报文头的客户端可信代理;所述服务端可信代理,还用于生成所述客户端报文的鉴权日志,所述客户端报文的鉴权日志包括所述客户端报文的源ip地址及对应的区域id。在一种可能的实施方式中,所述服务端可信代理还用于:在接收到针对所述客户端的响应报文后,利用回应可信报文头对所述响应报文进行封装,得到回应报文;向所述服务端可信代理发送所述回应报文;所述客户端可信代理还用于:解封装所述回应报文,得到响应报文;将所述响应报文发送给所述客户端。在一种可能的实施方式中,所述系统还包括:所述客户端可信代理,具体用于接收客户端可信插件采集的客户端的属性信息及行为信息,对所述客户端的属性信息进行分析,得到所述客户端的属性可信度;对所述客户端的行为信息进行分析,得到所述客户端的行为可信度;结合所述客户端的属性可信度及行为可信度,得到所述客户端的可信度。在一种可能的实施方式中,所述系统还包括:身份中心;所述客户端可信代理,还用于根据所述客户端报文的源ip地址判断是否已为所述客户端分配身份标识;若已为所述客户端分配身份标识,则获取所述客户端的身份标识;若未给所述客户端分配身份标识,向所述客户端发送身份验证指示信息;接收所述客户端根据所述身份验证指示信息发送的认证报文,并向所述身份中心转发所述客户端的认证报文;获取所述身份中心发送的所述客户端的身份标识,并记录所述源地址与所述身份标识的对应关系;所述身份中心,用于根据所述客户端的认证报文,为所述客户端分配身份标识,并将所述客户端的身份标识同步到所述权限策略中心。第二方面,本申请实施例提供了一种通信方法,应用于客户端可信代理,所述方法包括:在接收到客户端的客户端报文后,根据所述客户端报文的源ip地址,获取所述客户端的身份标识并确定所述客户端的可信度;根据所述客户端的身份标识及可信度生成可信报文头,并利用所述可信报文头对所述客户端报文进行封装,得到可信报文;向服务端可信代理发送所述可信报文。在一种可能的实施方式中,所述根据所述客户端报文的源ip地址获取所述客户端的身份标识,包括:根据所述客户端报文的源ip地址判断是否已为所述客户端分配身份标识;若未给所述客户端分配身份标识,则向所述客户端发送身份验证指示信息;接收所述客户端根据所述身份验证指示信息发送的认证报文,并向身份中心转发所述客户端的认证报文,获取所述身份中心根据所述认证报文返回的所述客户端的身份标识,并记录所述源ip地址与所述身份标识的对应关系;若已为所述客户端分配身份标识,则获取所述客户端的身份标识。在一种可能的实施方式中,所述确定所述客户端的可信度,包括:获取所述客户端的属性信息及行为信息;对所述客户端的属性信息进行分析,得到所述客户端的属性可信度;对所述客户端的行为信息进行分析,得到所述客户端的行为可信度;结合所述客户端的属性可信度及行为可信度,得到所述客户端的可信度。在一种可能的实施方式中,所述客户端可信代理与所述服务端可信代理之间通过基于预设的隧道协议预先建立的可信隧道进行通信。第三方面,本申请实施例提供了一种通信方法,应用于服务端可信代理,所述方法包括:获取客户端的可信报文,其中,所述可信报文的可信报文头中包括所述客户端的身份标识及可信度,所述可信报文的载荷中包括客户端报文;提取所述可信报文的可信报文头,得到所述客户端的身份标识及可信度;向权限策略中心发送针对所述客户端的鉴权请求,以使所述权限策略中心根据所述客户端的鉴权请求对所述客户端进行鉴权得到鉴权结果,其中,所述鉴权请求包括所述客户端的身份标识及可信度;接收所述权限策略中心发送的所述鉴权结果,若所述鉴权结果表示所述客户端通过鉴权,则从所述可信报文中解析出所述客户端报文,并转发所述客户端报文。在一种可能的实施方式中,所述可信报文头中还包括区域id,其中,针对任一可信报文头,该可信报文头的中的区域id用于唯一标识生成该可信报文头的客户端可信代理;所述方法还包括:生成所述客户端报文的鉴权日志,所述客户端报文的鉴权日志包括所述客户端报文的源ip地址及对应的区域id。第四方面,本申请实施例提供了一种通信装置,应用于客户端可信代理,所述装置包括:身份标识获取模块,用于在接收到客户端的客户端报文后,根据所述客户端报文的源ip地址获取所述客户端的身份标识并确定所述客户端的可信度;可信报文生成模块,用于根据所述客户端的身份标识及可信度生成可信报文头,并利用所述可信报文头对所述客户端报文进行封装,得到可信报文;可信报文发送模块,用于向服务端可信代理发送所述可信报文。第五方面,本申请实施例提供了一种通信装置,应用于服务端可信代理,所述装置包括:可信报文接收模块,用于获取客户端的可信报文,其中,所述可信报文的可信报文头中包括所述客户端的身份标识及可信度,所述可信报文的载荷中包括客户端报文;第一报文解析模块,用于提取所述可信报文的可信报文头,得到所述客户端的身份标识及可信度;客户端鉴权模块,用于向权限策略中心发送针对所述客户端的鉴权请求,以使所述权限策略中心根据所述客户端的鉴权请求对所述客户端进行鉴权得到鉴权结果,其中,所述鉴权请求包括所述客户端的身份标识及可信度;第二报文解析模块,用于接收所述权限策略中心发送的所述鉴权结果,若所述鉴权结果表示所述客户端通过鉴权,从所述可信报文中解析出所述客户端报文,并转发所述客户端报文。第六方面,本申请实施例提供了一种电子设备,包括处理器及存储器;所述存储器,用于存放计算机程序;所述处理器,用于执行所述存储器上所存放的程序时,实现本申请中任一所述的通信方法。第七方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现本申请中任一所述的通信方法。本申请实施例有益效果:本申请实施例提供的通信系统、方法、装置及电子设备,身份标识随可信报文传递,可以很好地实现了非web业务的可信访问控制,实现了非web业务下,基于web的多因素认证,提高了安全性。同时报文中携带用户可信度,可以很好地实现了大量分支机构下,客户端的可信度管理。提供了一种基于可信隧道的通信方法,客户端的报文携带有身份标识及可信度,实现可信信息的传递,适合业务系统汇总在总部,用户分布在全国各地大量分支机构场景,落地性强,能很好地推进零信任方案的落地实施。当然,实施本申请的任一产品或方法并不一定需要同时达到以上所述的所有优点。附图说明为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本申请实施例的通信系统的第一种示意图;图2为本申请实施例的通信系统的第二种示意图;图3a为本申请实施例的通信系统的第三种示意图;图3b为本申请实施例的通信系统的第四种示意图;图4为本申请实施例的应用于客户端的通信方法的一种示意图;图5为本申请实施例的应用于服务端的通信方法的一种示意图;图6为本申请实施例的应用于客户端的通信装置的一种示意图;图7为本申请实施例的应用于服务端的通信装置的一种示意图;图8为本申请实施例的电子设备的一种示意图。具体实施方式下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。首先,对本申请中的术语进行解释:可信访问控制:通过可信访问控制网关(零信任安全防护系统中的访问控制执行系统),对用户的每个访问请求,都要到零信任安全防护架构的策略中心进行鉴权,策略中心根据用户的可信等级以及访问业务的安全敏感等级,确认用户是否有权限访问该业务请求。策略中心将鉴权结果发送给可信访问控制网关,可信访问控制网关根据鉴权结果,决定是否放行该请求报文。客户端可信代理:针对用户的访问业务,需要对用户进行身份标识,使用户终端发送的报文带有用户的唯一身份信息、可信信息。可以通过客户端可信代理,为用户请求报文添加用户的身份信息和可信信息,使零信任防护系统对用户的业务请求实现可信访问控制。服务端可信代理:服务端可信代理,对来自客户端可信代理的报文,提取身份和可信度信息,对访问请求进行零信任动态鉴权,实现动态控制。用户可信度:用户在访问网络资源时,要通过终端进行访问,终端如果是恶意终端或者是傀儡机(指被黑客远程控制的设备),会对访问的网络带来较大的安全威胁。对终端进行安全检测,对安全要素进行分析,如配置安全性、操作系统或应用漏洞、病毒、应用版本是否过低、应用软件是否安全、是否成为攻击傀儡机等等,对终端的安全性进行评估,并按照一定规则进行打分评级,分数越高可信度、安全性越高。同时对用户的报文分析,分析用户行为的安全性。对终端的安全性、用户行为安全性综合分析,评估出用户的可信度。现有的零信任防护系统中,主要对用户访问web业务提供可信访问控制,通过报文中的cooike作为用户的身份id。但是采用cooike来承载用户的身份id,受限于web业务,对大量的非web业务,难以实现对其进行零信任防护。有鉴于此,本申请实施例提供了一种通信系统,参见图1,该系统包括:客户端可信代理11、权限策略中心12、服务端可信代理13;客户端可信代理11,用于在接收到客户端的客户端报文后,根据所述客户端报文的源ip地址,获取客户端的身份标识并确定客户端的可信度;根据客户端的身份标识及可信度生成可信报文头,并利用可信报文头对客户端报文进行封装,得到可信报文;向服务端可信代理发送可信报文;服务端可信代理13,用于接收客户端的可信报文;提取可信报文的可信报文头,得到客户端的身份标识及可信度;并向权限策略中心发送针对客户端的鉴权请求,其中,鉴权请求包括客户端的身份标识及可信度;权限策略中心12,用于根据客户端的鉴权请求,对客户端进行鉴权,并将鉴权结果发送给服务端可信代理;服务端可信代理13,还用于若鉴权结果表示客户端通过鉴权,则从可信报文中解析出客户端报文,并转发客户端报文。客户端可信代理11可以设置在用户侧,客户端的报文先接入到客户端可信代理11,由客户端可信代理11进行处理。客户端可信代理11可以对客户端的行为进行分析,例如对用户流量进行分析,从而对客户端的行为进行可信度评估。客户端可信代理还可以根据客户端的属性信息进行分析,从而对客户端的属性进行可信度评估。每个客户端对应一个唯一的身份标识,一种实施方式中,可以将客户端的身份标识与客户端的源ip地址绑定,从而可以根据客户端的源ip地址获取该客户端的身份标识。一种实施方式中,身份标识具体为身份id,对身份id的长度,可以协商设定,但是应当保证不客户端的身份id不同。客户端可信代理11根据客户端的身份标识及可信度生成可信报文头。一种实施方式中,可信报文头中还包括区域id,其中,针对任一可信报文头,该可信报文头的中的区域id用于唯一标识生成该可信报文头的客户端可信代理;服务端可信代理,还用于生成客户端报文的鉴权日志,客户端报文的鉴权日志包括客户端报文的源ip地址及对应的区域id。从而方便后续根据鉴权日志进行安全审计和回溯。一种实施方式中,secheader(可信报文头)可以包括:type(头类型)、客户端的所在的区域id、客户端的ip地址、客户端的身份id、可信度、checksum(总和校验码)、可信报文头长度。客户端的所在的区域id具体可以为客户端可信代理的id,用于唯一标识客户端可信代理。例如,客户端报文一般包括请求报文及响应报文两种类型,针对type,可以用0标识请求类型,用1标识响应类型。区域id:每个客户端可信代理代表一个区域,为其设置一个区域id。区域id 用户ip可以唯一确认客户端的主机所在地。适用于分支机构中存在私有ip地址相同的情况。一种实施方式中,客户端可信代理封装客户端报文报文过程如下:原客户端报文:原始ip头原始tcp/udp头载荷封装后的可信报文:隧道ip头隧道tcp头secheader载荷隧道ip头中源地址为客户端可信代理的ip地址,目的地址为服务端ip地址,例如可以为服务端可信代理的ip地址;隧道的tcp头中目的地址为私有固定目的地址,如8999等;secheader表示可信报文头,可信报文中的负荷为原客户端报文。服务端可信代理13可以部署在服务端,服务端可信代理13对来自客户端的报文进行解析,提取身份id、可信度及其他信息,并向权限策略中心12请求鉴权。服务端可信代理13可以在鉴权日志中,记录报文的域id、ip地址等信息,以用于安全审计和回溯。对鉴权通过的报文,去掉可信报文头得到原客户端报文发,并将原客户端报文发送给对应的业务服务。权限策略中心12可以部署在服务端,用于对客户端及业务服务进行统一的权限管理,对客户端的访问进行授权、鉴权。根据客户端的身份标识、可信度,动态调整客户端的权限,支持接收服务端可信代理13的鉴权请求,实时进行鉴权,并反馈鉴权结果。将客户端希望访问的应用、应用的功能、数据等业务称为授权客体,一种实施方式中,对授权客体设置相应的安全等级,例如:高、中、低三等。并设置授权关系,例如,客户端可信度为高的可以访问高、中、低所有业务,可信度为中的只能访问安全等级为中、低业务。可信度为低的只能访问安全等级为低的业务或者都不允许访问。具体的授权关系可以由运营方自定义设定。在本申请实施例中,身份标识随可信报文传递,可以很好地实现了非web业务的可信访问控制,实现了非web业务下,基于web的多因素认证,提高了安全性。同时报文中携带用户可信度,可以很好地实现了大量分支机构下,客户端的可信度管理。提供了一种基于可信隧道的通信方法,客户端的报文携带有身份标识及可信度,实现可信信息的传递,适合业务系统汇总在总部,用户分布在全国各地大量分支机构场景,落地性强,能很好地推进零信任方案的落地实施。在一种可能的实施方式中,服务端可信代理还用于:在接收到针对客户端的响应报文后,利用回应可信报文头对响应报文进行封装,得到回应报文;向服务端可信代理发送回应报文;客户端可信代理还用于:解封装回应报文,得到响应报文;将响应报文发送给客户端。对来自业务服务的报文,匹配会话的报文,添加repsecheader(回应可信报文头),repsecheader可以包括:type、鉴权结果(0:成功,1失败)。将业务服务的请求报文封装到repsecheader后面,得到回应报文,将回应报文发送给客户端可信代理。其中,type:为1标识为响应报文;源端口可以为可信隧道协议端口,如8999;针对回应报文的ip头,源地址为服务端可信代理地址,目的地址为客户端可信代理地址;客户端可信代理收到回应报文后,提取出回应可信报文头后的报文,转发给客户端。在本申请实施例中,利用服务端可信代理及客户端可信代理,实现了服务端向客户端发送数据,保证了响应报文的正常发送。在一种可能的实施方式中,客户端可信代理11,具体用于接收客户端可信插件采集的客户端的属性信息及行为信息,对客户端的属性信息进行分析,得到客户端的属性可信度;对客户端的行为信息进行分析,得到客户端的行为可信度;结合客户端的属性可信度及行为可信度,得到客户端的可信度。一种实施方式中,参见图2,上述系统还包括:客户端可信插件14,客户端可信插件设置在客户端中,用于采集客户端的属性信息及行为信息,并将客户端的属性信息及行为信息发送给客户端可信代理。客户端可信插件可以设置在客户端中,用于收集客户端的属性信息及行为信息,并将收集的客户端的属性信息及行为信息发送给客户端可信代理。客户端可信代理对客户端的属性信息进行终端安全监测,评估客户端的属性可信度;对客户端的流量进行分析,分析用户的行为,得到客户端的行为可信度;根据终端可信度、行为可信度,综合评估出客户端的可信度。客户端可信代理对客户端的属性信息进行分析,得到客户端的属性可信度。例如,客户端的属性信息可以包括客户端的版本号、客户端登陆账号、ip地址、mac地址或客户端所在设备的唯一标识号等。在其他属性信息相同的情况下,客户端的版本号与最新的版本号越接近,其属性可信度越高;在其他属性信息相同的情况下,接收到的该ip地址的可疑流量越少,其属性可信度越高;在其他属性信息相同的情况下,接收到的该mac地址的可疑流量越少,其属性可信度越高;在其他属性信息相同的情况下,接收到的该设备的唯一标识号表示的设备的可疑流量越少,其属性可信度越高;在其他属性信息相同的情况下,客户端登陆账号的安全等级越高、可疑流量越少,其属性可信度越高等。客户端可信代理对客户端的行为信息进行分析,得到客户端的行为可信度。例如,客户端的行为信息可以包括客户端流程的操作类型及流量大小等,通过相关技术中的流量攻击检测技术,得到客户端的行为信可信度。客户端可信代理结合客户端的行为可信度及客户端的属性可信度,得到客户端的可信度。例如,可以对行为可信度及属性可信度进行加权平均,从而得到客户端的可信度等。在本申请实施例中,利用客户端可信插件可以有效收集客户端的属性信息及行为信息,结合客户端的属性可信度及行为可信度最终得到客户端的可信度,客户端可信度的因素更加全面,能够增加客户端可信度的置信度。在一种可能的实施方式中,参见图3a,上述系统还包括:身份中心15;客户端可信代理11,还用于根据客户端报文的源ip地址判断是否已为客户端分配身份标识;若已为客户端分配身份标识,则获取客户端的身份标识;若未给客户端分配身份标识,向客户端发送身份验证指示信息;接收客户端根据身份验证指示信息发送的认证报文,并向身份中心转发客户端的认证报文;获取身份中心发送的客户端的身份标识,并记录源ip地址与身份标识的对应关系;身份中心15,用于根据客户端的认证报文,为客户端分配身份标识,并将客户端的身份标识同步到权限策略中心。客户端可信代理在检测到未给客户端分配身份标识的情况下,向客户端发送身份验证指示信息;具体的,可以向客户端中的客户端可信插件发送身份验证指示信息,此外还可以发送身份中心的地址;客户端可信插件接收到身份验证指示信息后,生成认证报文,认证报文中可以包括客户端的属性信息,例如客户端的ip地址、mac地址或客户端版本号等。客户端可信代理接收客户端根据身份验证指示信息发送的认证报文,并向身份中心转发客户端的认证报文。本申请实施例的通信系统的示意图还可以如图3b所示,业务系统为给用户提供业务服务的系统,业务系统的具体结构与功能可以参见相关技术中业务系统的结构及功能,此处不再赘述。身份中心部署在服务端,为整个系统提供身份管理和身份认证,主要功能包括:管理客户端信息,并为客户端设置多因素认证模式,并将客户端的指定信息同步到权限策略中心;对客户端进行认证,并生成身份id,并将客户端的身份id反馈到客户端可信代理、权限策略中心;对客户端的身份id进行生命周期管理,id的刷新、删除等操作,并且同步到客户端可信代理、权限策略中心。客户端可信代理可以触发多因素认证,通过身份中心获得用户的身份标识,例如身份id。通过客户端可信代理进行身份认证,可信代理将客户端ip地址转换为代理地址进行认证交互,在认证页面,需要输入客户端的真实ip地址及客户端信息进行多因素认证,身份中心生成身份id后,会将客户端的真实ip、身份id告知客户端可信代理。对身份id的长度,可以协商设定,但是应当保证不客户端的身份id不同。在本申请实施例中,通过身份中心实现了客户端身份的集中统一管理,方便对客户端身份的查询及统一管理。客户端可信代理可以预先建立与服务端可信代理的sectunnel(可信隧道),从而保证二者之间的通信安全。一种实施方式中,客户端可信代理,还用于:基于预设的隧道协议建立与服务端可信代理之间的可信隧道,其中,客户端可信代理与服务端可信代理之间通过该可信隧道进行通信。客户端可信代理与服务端可信代理均需要支持预设的隧道协议,预设的隧道协议可以根据实际情况自由选取,客户端可信代理基于预设的隧道协议与服务端可信代理建立可信隧道,并按照预设的隧道协议对可信隧道进行保活,从而实现二者之间的安全通信。一种实施方式中,在进行通信前,需要对通信系统中的各模块进行初始化设置,以保证本申请方案的顺利实施,包括:1)身份中心添加用户信息。用户信息可以包括用户属性信息、认证模式、客户端地址(认证时客户提供)、客户单可信代理地址。2)身份中心将用户属性信息同步到权限策略中心。3)权限策略中心设置应用、功能、数据等授权客体,并设置安全等级。并设置客户端到授权客体的授权关系。授权客体,指为用户提供业务服务的应用、以及应用的功能,也可以为数据等业务资产。对授权客体设置安全等级,如:高、中、低三等。可以设置授权关系,例如,客户端可信度为高的可以访问高、中、低所有业务,可信度为中的只能访问安全等级为中、低业务。可信度为低的只能访问安全等级为低的业务或者都不允许访问。具体的授权关系可以由运营方自定义设定。4)客户端可信代理和服务端可信代理,设置sectunnel(可信隧道)。二者具有共同要保护的数据量、隧道源地址、目的地址。并标注自身身份:即客户端可信代理或服务端可信代理。5)服务端可信代理和权限策略中心路由可达,可以到权限策略中心进行鉴权,客户端可信代理设置身份中心地址,并设置身份中心的认证的web地址。6)客户端访问业务服务,要保证业务请求从客户端可信代理转发。7)客户端安装客户端可信插件,对客户端进行安全监测及认证触发。本申请实施例还提供了一种通信方法,应用于客户端可信代理,参见图4,该方法包括:s401,在接收到客户端的客户端报文后,根据客户端报文的源ip地址,获取客户端的身份标识并确定客户端的可信度。s402,根据客户端的身份标识及可信度生成可信报文头,并利用可信报文头对客户端报文进行封装,得到可信报文。s403,向服务端可信代理发送可信报文。本申请实施例中通信方法应用于客户端可信代理,可用通过客户端侧的设备实现,具体的,可以通过客户端侧的网络交换机等设备实现。在一种可能的实施方式中,根据客户端报文的源ip地址获取客户端的身份标识,包括:步骤一,根据客户端报文的源ip地址判断是否已为客户端分配身份标识。步骤二,若未给客户端分配身份标识,则向客户端发送身份验证指示信息;接收客户端根据身份验证指示信息发送的认证报文,并向身份中心转发客户端的认证报文,获取身份中心根据认证报文返回的客户端的身份标识,并记录源ip地址与身份标识的对应关系。步骤三,若已为客户端分配身份标识,则获取客户端的身份标识。在一种可能的实施方式中,上述确定客户端的可信度,包括:步骤a,获取客户端的属性信息及行为信息。客户端的属性信息及行为信息可以为安装在客户端中的客户端可信插件收集的。步骤b,对客户端的属性信息进行分析,得到客户端的属性可信度;对客户端的行为信息进行分析,得到客户端的行为可信度。步骤c,结合客户端的属性可信度及行为可信度,得到客户端的可信度。在一种可能的实施方式中,客户端可信代理与服务端可信代理之间通过基于预设的隧道协议预先建立的可信隧道进行通信。客户端可信代理基于预设的隧道协议建立与服务端可信代理之间的可信隧道,二者通过该可信隧道进行通信。例如,客户端可信代理利用该可信隧道向服务端可信代理发送上述可信报文。在本申请实施例中,身份标识随报文传递,可以很好地实现了非web业务的可信访问控制,实现了非web业务下,基于web的多因素认证,提高了安全性。同时报文中携带用户可信度,可以很好地实现了大量分支机构下,客户端的可信度管理。提供了一种基于可信隧道的通信方法,客户端的报文携带有身份标识及可信度,实现可信信息的传递,适合业务系统汇总在总部,用户分布在全国各地大量分支机构场景,落地性强,能很好地推进零信任方案的落地实施。本申请实施例还提供了一种通信方法,应用于服务端可信代理,参见图5,该方法包括:s501,获取客户端的可信报文,其中,可信报文的可信报文头中包括客户端的身份标识及可信度,可信报文的载荷中包括客户端报文。s502,提取可信报文的可信报文头,得到客户端的身份标识及可信度。s503,向权限策略中心发送针对客户端的鉴权请求,以使权限策略中心根据客户端的鉴权请求对客户端进行鉴权得到鉴权结果,其中,鉴权请求包括客户端的身份标识及可信度。s504,接收权限策略中心发送的鉴权结果,若鉴权结果表示客户端通过鉴权,则从可信报文中解析出客户端报文,并转发客户端报文。本申请实施例中通信方法应用于服务端可信代理,可以通过服务端侧的设备实现,具体的,可以通过服务端侧的代理服务器实现。服务端可信代理接收客户端的可信报文,其中,可信报文的可信报文头中包括客户端的身份标识及可信度,可信报文的载荷中包括客户端报文。服务端可信代理提取可信报文的可信报文头,得到客户端的身份标识及可信度。服务端可信代理向权限策略中心发送客户端的身份标识及可信度,以使权限策略中心根据客户端的身份标识及可信度进行鉴权;权限策略中心将鉴权结果返回给服务端可信代理,从而实现了根据客户端的身份标识及可信度对客户端进行鉴权。在客户端通过鉴权的情况下,服务端可信代理获取可信报文中的客户端报文,并转发该客户端报文;在客户端未通过鉴权的情况下,丢弃该可信报文。一种实施方式中,可信报文头中还包括区域id,其中,针对任一可信报文头,该可信报文头的中的区域id用于唯一标识生成该可信报文头的客户端可信代理;上述方法还包括:生成客户端报文的鉴权日志,客户端报文的鉴权日志包括客户端报文的源ip地址及对应的区域id。一种实施方式中,上述方法还包括:在接收到针对客户端的响应报文后,生成并利用回应可信报文头对响应报文进行封装,得到回应报文;向服务端发送回应报文,以使客户端解封装回应报文,得到响应报文。在本申请实施例中,身份标识随报文传递,可以很好地实现了非web业务的可信访问控制,实现了非web业务下,基于web的多因素认证,提高了安全性。同时报文中携带用户可信度,可以很好地实现了大量分支机构下,客户端的可信度管理。提供了一种基于可信隧道的通信方法,客户端的报文携带有身份标识及可信度,实现可信信息的传递,适合业务系统汇总在总部,用户分布在全国各地大量分支机构场景,落地性强,能很好地推进零信任方案的落地实施。本申请实施例还提供了应用于权限策略中心的通信方法,包括:接收客户端可信代发送的理客户端的鉴权信息,对所述客户端进行鉴权,并将所述鉴权结果发送给所述服务端可信代理。服务端还可以包括身份中心,本申请实施例还提供了应用于身份中心的通信方法,包括:接收并根据客户端的属性信息,为客户端分配身份标识,向客户端发送客户端的身份标识,并将客户端的身份标识同步到权限策略中心。本申请实施例还提供了一种通信装置,应用于客户端可信代理,参见图6,该装置包括:身份标识获取模块601,用于在接收到客户端的客户端报文后,根据客户端报文的源ip地址获取客户端的身份标识并确定客户端的可信度。可信报文生成模块602,用于根据客户端的身份标识及可信度生成可信报文头,并利用可信报文头对客户端报文进行封装,得到可信报文。可信报文发送模块603,用于向服务端可信代理发送可信报文。在一种可能的实施方式中,身份标识获取模块,具体用于:根据客户端报文的源ip地址判断是否已为客户端分配身份标识;若未给客户端分配身份标识,则向客户端发送身份验证指示信息;接收客户端根据身份验证指示信息发送的认证报文,并向身份中心转发客户端的认证报文,获取身份中心根据认证报文返回的客户端的身份标识,并记录源ip地址与身份标识的对应关系;若已为客户端分配身份标识,则获取客户端的身份标识。在一种可能的实施方式中,可信度获取模块,具体用于:获取客户端的属性信息及行为信息;对客户端的属性信息进行分析,得到客户端的属性可信度;对客户端的行为信息进行分析,得到客户端的行为可信度;结合客户端的属性可信度及行为可信度,得到客户端的可信度。在一种可能的实施方式中,客户端可信代理与服务端可信代理之间通过基于预设的隧道协议预先建立的可信隧道进行通信。在一种可能的实施方式中,上述装置还包括:可选隧道建立模块,用于基于预设的隧道协议建立与服务端可信代理之间的可信隧道,其中,客户端可信代理与服务端可信代理之间通过可信隧道进行通信。本申请实施例还提供了一种通信装置,应用于服务端可信代理,参见图7,该装置包括:可信报文接收模块701,用于获取客户端的可信报文,其中,可信报文的可信报文头中包括客户端的身份标识及可信度,可信报文的载荷中包括客户端报文。第一报文解析模块702,用于提取可信报文的可信报文头,得到客户端的身份标识及可信度。客户端鉴权模块703,用于向权限策略中心发送针对客户端的鉴权请求,以使权限策略中心根据客户端的鉴权请求对客户端进行鉴权得到鉴权结果,其中,鉴权请求包括客户端的身份标识及可信度。第二报文解析模块704,用于接收权限策略中心发送的鉴权结果,若鉴权结果表示客户端通过鉴权,从可信报文中解析出客户端报文,并转发客户端报文。在一种可能的实施方式中,上述可信报文头中还包括区域id,其中,针对任一可信报文头,该可信报文头的中的区域id用于唯一标识生成该可信报文头的客户端可信代理;上述装置还包括:鉴权日志生成模块,用于生成客户端报文的鉴权日志,客户端报文的鉴权日志包括客户端报文的源ip地址及对应的区域id。一种实施方式中,上述装置还包括:回应报文发送模块,用于在接收到针对客户端的响应报文后,生成并利用回应可信报文头对响应报文进行封装,得到回应报文;向服务端发送回应报文,以使客户端解封装回应报文,得到响应报文。本申请实施例还提供了应用于权限策略中心的通信装置,包括:权限策略中心模块,用于接收客户端可信代发送的理客户端的鉴权信息,对所述客户端进行鉴权,并将所述鉴权结果发送给所述服务端可信代理。服务端还可以包括身份中心,本申请实施例还提供了应用于身份中心的通信装置,包括:身份中心模块,用于接收并根据客户端的认证请求,为客户端分配身份标识,向客户端发送客户端的身份标识,并将客户端的身份标识同步到权限策略中心。本申请实施例还提供了一种电子设备,包括:处理器及存储器;上述存储器,用于存放计算机程序;上述处理器用于执行上述存储器存放的计算机程序时,实现上述任一应用于客户端可信代理的通信方法。可选的,参见图8,除上述处理器801及存储器803外,本申请实施例的电子设备还包括通信接口802和通信总线804,其中,处理器801,通信接口802,存储器803通过通信总线804完成相互间的通信。本申请实施例还提供了一种电子设备,包括:处理器及存储器;上述存储器,用于存放计算机程序;上述处理器用于执行上述存储器存放的计算机程序时,实现上述任一应用于服务端可信代理的通信方法。上述电子设备提到的通信总线可以是pci(peripheralcomponentinterconnect,外设部件互连标准)总线或eisa(extendedindustrystandardarchitecture,扩展工业标准结构)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。通信接口用于上述电子设备与其他设备之间的通信。存储器可以包括ram(randomaccessmemory,随机存取存储器),也可以包括nvm(non-volatilememory,非易失性存储器),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。上述的处理器可以是通用处理器,包括cpu(centralprocessingunit,中央处理器)、np(networkprocessor,网络处理器)等;还可以是dsp(digitalsignalprocessing,数字信号处理器)、asic(applicationspecificintegratedcircuit,专用集成电路)、fpga(field-programmablegatearray,现场可编程门阵列)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。本申请实施例还提供了一种计算机可读存储介质,上述计算机可读存储介质内存储有计算机程序,上述计算机程序被处理器执行时实现上述任一应用于客户端可信代理的通信方法。本申请实施例还提供了一种计算机可读存储介质,上述计算机可读存储介质内存储有计算机程序,上述计算机程序被处理器执行时实现上述任一应用于服务端可信代理的通信方法。在本申请提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一应用于客户端可信代理的通信方法。在本申请提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一应用于服务端可信代理的通信方法。在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,dvd)、或者半导体介质(例如固态硬盘solidstatedisk(ssd))等。需要说明的是,在本文中,各个可选方案中的技术特征只要不矛盾均可组合来形成方案,这些方案均在本申请公开的范围内。诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于方法、装置、电子设备及存储介质的实施例而言,由于其基本相似于系统实施例,所以描述的比较简单,相关之处参见系统实施例的部分说明即可。以上所述仅为本申请的较佳实施例,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。当前第1页1 2 3 
    技术特征:

    1.一种通信系统,其特征在于,包括:客户端可信代理、权限策略中心、服务端可信代理;

    所述客户端可信代理,用于在接收到客户端的客户端报文后,根据所述客户端报文的源ip地址,获取所述客户端的身份标识并确定所述客户端的可信度;根据所述客户端的身份标识及可信度生成可信报文头,并利用所述可信报文头对所述客户端报文进行封装,得到可信报文;向所述服务端可信代理发送所述可信报文;

    所述服务端可信代理,用于接收所述客户端的可信报文;提取所述可信报文的可信报文头,得到所述客户端的身份标识及可信度;并向所述权限策略中心发送针对所述客户端的鉴权请求,其中,所述鉴权请求包括所述客户端的身份标识及可信度;

    所述权限策略中心,用于根据所述客户端的鉴权请求,对所述客户端进行鉴权,并将所述鉴权结果发送给所述服务端可信代理;

    所述服务端可信代理,还用于若所述鉴权结果表示所述客户端通过鉴权,则从所述可信报文中解析出客户端报文,并转发所述客户端报文。

    2.根据权利要求1所述的系统,其特征在于,

    所述客户端可信代理,还用于基于预设的隧道协议建立与所述服务端可信代理之间的可信隧道,其中,所述客户端可信代理与所述服务端可信代理之间通过所述可信隧道进行通信。

    3.根据权利要求1所述的系统,其特征在于,所述可信报文头中还包括区域id,其中,针对任一可信报文头,该可信报文头中的区域id用于唯一标识生成该可信报文头的客户端可信代理;

    所述服务端可信代理,还用于生成所述客户端报文的鉴权日志,所述客户端报文的鉴权日志包括所述客户端报文的源ip地址及对应的区域id。

    4.根据权利要求1所述的系统,其特征在于,所述服务端可信代理还用于:在接收到针对所述客户端的响应报文后,利用回应可信报文头对所述响应报文进行封装,得到回应报文;向所述服务端可信代理发送所述回应报文;

    所述客户端可信代理还用于:解封装所述回应报文,得到响应报文;将所述响应报文发送给所述客户端。

    5.根据权利要求1所述的系统,其特征在于,所述系统还包括:

    所述客户端可信代理,具体用于接收客户端可信插件采集的客户端的属性信息及行为信息,对所述客户端的属性信息进行分析,得到所述客户端的属性可信度;对所述客户端的行为信息进行分析,得到所述客户端的行为可信度;结合所述客户端的属性可信度及行为可信度,得到所述客户端的可信度。

    6.根据权利要求1所述的系统,其特征在于,所述系统还包括:身份中心;

    所述客户端可信代理,还用于根据所述客户端报文的源ip地址判断是否已为所述客户端分配身份标识;若已为所述客户端分配身份标识,则获取所述客户端的身份标识;若未给所述客户端分配身份标识,向所述客户端发送身份验证指示信息;接收所述客户端根据所述身份验证指示信息发送的认证报文,并向所述身份中心转发所述客户端的认证报文;获取所述身份中心发送的所述客户端的身份标识,并记录所述源ip地址与所述身份标识的对应关系;

    所述身份中心,用于根据所述客户端的认证报文,为所述客户端分配身份标识,并将所述客户端的身份标识同步到所述权限策略中心。

    7.一种通信方法,其特征在于,应用于客户端可信代理,所述方法包括:

    在接收到客户端的客户端报文后,根据所述客户端报文的源ip地址,获取所述客户端的身份标识并确定所述客户端的可信度;

    根据所述客户端的身份标识及可信度生成可信报文头,并利用所述可信报文头对所述客户端报文进行封装,得到可信报文;

    向服务端可信代理发送所述可信报文。

    8.根据权利要求7所述的方法,其特征在于,所述根据所述客户端报文的源ip地址获取所述客户端的身份标识,包括:

    根据所述客户端报文的源ip地址判断是否已为所述客户端分配身份标识;

    若未给所述客户端分配身份标识,则向所述客户端发送身份验证指示信息;接收所述客户端根据所述身份验证指示信息发送的认证报文,并向身份中心转发所述客户端的认证报文,获取所述身份中心根据所述认证报文返回的所述客户端的身份标识,并记录所述源ip地址与所述身份标识的对应关系;

    若已为所述客户端分配身份标识,则获取所述客户端的身份标识。

    9.根据权利要求7所述的方法,其特征在于,所述确定所述客户端的可信度,包括:

    获取所述客户端的属性信息及行为信息;

    对所述客户端的属性信息进行分析,得到所述客户端的属性可信度;对所述客户端的行为信息进行分析,得到所述客户端的行为可信度;

    结合所述客户端的属性可信度及行为可信度,得到所述客户端的可信度。

    10.根据权利要求7所述的方法,其特征在于,所述客户端可信代理与所述服务端可信代理之间通过基于预设的隧道协议预先建立的可信隧道进行通信。

    11.一种通信方法,其特征在于,应用于服务端可信代理,所述方法包括:

    获取客户端的可信报文,其中,所述可信报文的可信报文头中包括所述客户端的身份标识及可信度,所述可信报文的载荷中包括客户端报文;

    提取所述可信报文的可信报文头,得到所述客户端的身份标识及可信度;

    向权限策略中心发送针对所述客户端的鉴权请求,以使所述权限策略中心根据所述客户端的鉴权请求对所述客户端进行鉴权得到鉴权结果,其中,所述鉴权请求包括所述客户端的身份标识及可信度;

    接收所述权限策略中心发送的所述鉴权结果,若所述鉴权结果表示所述客户端通过鉴权,则从所述可信报文中解析出所述客户端报文,并转发所述客户端报文。

    12.根据权利要求11所述的方法,其特征在于,所述可信报文头中还包括区域id,其中,针对任一可信报文头,该可信报文头的中的区域id用于唯一标识生成该可信报文头的客户端可信代理;所述方法还包括:

    生成所述客户端报文的鉴权日志,所述客户端报文的鉴权日志包括所述客户端报文的源ip地址及对应的区域id。

    13.一种通信装置,其特征在于,应用于客户端可信代理,所述装置包括:

    身份标识获取模块,用于在接收到客户端的客户端报文后,根据所述客户端报文的源ip地址获取所述客户端的身份标识并确定所述客户端的可信度;

    可信报文生成模块,用于根据所述客户端的身份标识及可信度生成可信报文头,并利用所述可信报文头对所述客户端报文进行封装,得到可信报文;

    可信报文发送模块,用于向服务端可信代理发送所述可信报文。

    14.一种通信装置,其特征在于,应用于服务端可信代理,所述装置包括:

    可信报文接收模块,用于获取客户端的可信报文,其中,所述可信报文的可信报文头中包括所述客户端的身份标识及可信度,所述可信报文的载荷中包括客户端报文;

    第一报文解析模块,用于提取所述可信报文的可信报文头,得到所述客户端的身份标识及可信度;

    客户端鉴权模块,用于向权限策略中心发送针对所述客户端的鉴权请求,以使所述权限策略中心根据所述客户端的鉴权请求对所述客户端进行鉴权得到鉴权结果,其中,所述鉴权请求包括所述客户端的身份标识及可信度;

    第二报文解析模块,用于接收所述权限策略中心发送的所述鉴权结果,若所述鉴权结果表示所述客户端通过鉴权,从所述可信报文中解析出所述客户端报文,并转发所述客户端报文。

    15.一种电子设备,其特征在于,包括处理器及存储器;

    所述存储器,用于存放计算机程序;

    所述处理器,用于执行所述存储器上所存放的程序时,实现权利要求7-12任一所述的通信方法。

    技术总结
    本申请实施例提供了通信系统、方法、装置及电子设备,身份标识随可信报文传递,可以很好地实现了非web业务的可信访问控制,实现了非web业务下,基于web的多因素认证,提高了安全性。同时报文中携带用户可信度,可以很好地实现了大量分支机构下,客户端的可信度管理。提供了一种基于可信隧道的通信方法,客户端的报文携带有身份标识及可信度,实现可信信息的传递,适合业务系统汇总在总部,用户分布在全国各地大量分支机构场景,落地性强,能很好地推进零信任方案的落地实施。

    技术研发人员:岳炳词
    受保护的技术使用者:新华三技术有限公司合肥分公司
    技术研发日:2020.11.16
    技术公布日:2021.03.12

    转载请注明原文地址:https://wp.8miu.com/read-7972.html

    专利

    最新回复(0)