CN113992387A - 资源管理方法、装置、系统、电子设备和可读存储介质 - Google Patents

资源管理方法、装置、系统、电子设备和可读存储介质 Download PDF

Info

Publication number
CN113992387A
CN113992387A CN202111241560.2A CN202111241560A CN113992387A CN 113992387 A CN113992387 A CN 113992387A CN 202111241560 A CN202111241560 A CN 202111241560A CN 113992387 A CN113992387 A CN 113992387A
Authority
CN
China
Prior art keywords
communication tunnel
terminal device
information
gateway server
gateway
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111241560.2A
Other languages
English (en)
Other versions
CN113992387B (zh
Inventor
王耀杰
施德军
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202111241560.2A priority Critical patent/CN113992387B/zh
Publication of CN113992387A publication Critical patent/CN113992387A/zh
Application granted granted Critical
Publication of CN113992387B publication Critical patent/CN113992387B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供一种资源管理方法、装置、系统、电子设备和计算机可读存储介质,该方法的一具体实施方式可以应用于网关服务器,网关服务器对待通信的终端设备零信任,该方法包括:接收终端设备发送的通信隧道建立请求;通信隧道建立请求包括单包认证信息以及所述身份验证信息;根据单包认证信息进行单包认证,并在单包认证成功后,根据身份验证信息判断是否与终端设备建立通信隧道;响应于确定与终端设备建立通信隧道,允许终端设备基于建立的通信隧道管理对应的资源。该方法可以使网关服务器与零信任的终端设备之间建立可信的通信隧道,利用可信的通信隧道进行通信,可以降低资源泄露的风险。

Description

资源管理方法、装置、系统、电子设备和可读存储介质
技术领域
本申请涉及信息交互领域,具体而言,涉及一种资源管理方法、装置、系统、电子设备和计算机可读存储介质。
背景技术
零信任代表了一种网络安全防护理念,它的关键在于打破终端设备和服务器之间默认的“信任”。概括地来讲,就是服务器会持续对接入的和欲接入的终端设备进行持续的验证,并不会长期信任已接入的终端设备。其具体可体现为,默认不信任企业网络内外的任何人、设备和系统,基于身份认证和授权重新构建访问控制的信任基础,从而确保身份可信、设备可信、应用可信和链路可信。
继而,当网关服务器对终端设备零信任时,终端设备需要通过一系列认证或者验证操作取得网关服务器的信任之后,才能正常访问网关服务器,对网关服务器的资源进行管理。
发明内容
本申请实施例的目的在于提供一种资源管理方法、装置、系统、电子设备和计算机可读存储介质,用以使网关服务器与零信任的终端设备之间建立可信的通信隧道,利用可信的通信隧道进行通信,可以降低资源泄露的风险。
第一方面,本申请实施例提供了一种资源管理方法,该方法应用于网关服务器,所述网关服务器对待通信的终端设备零信任。该方法包括:接收所述终端设备发送的通信隧道建立请求;所述通信隧道建立请求包括单包认证信息以及所述身份验证信息;所述通信隧道建立请求由所述终端设备基于接收到的所述身份验证信息、所述网关服务器的网关地址信息发送;根据所述单包认证信息进行单包认证,并在单包认证成功后,根据所述身份验证信息判断是否与所述终端设备建立通信隧道;响应于确定与所述终端设备建立通信隧道,允许所述终端设备基于建立的通信隧道管理对应的资源。这样,可以使网关服务器与零信任的终端设备之间建立可信的通信隧道,允许建立了通信隧道的终端设备利用通信隧道管理网关服务器的资源,继而降低了安全风险。
可选地,所述资源管理方法还包括:接收每个终端设备对资源的管理权限信息;以及所述响应于确定与所述终端设备建立通信隧道,允许所述终端设备基于建立的通信隧道管理对应的资源,包括:根据所述终端设备对应的管理权限信息,允许所述终端设备管理该管理权限信息所对应的资源。这样,终端设备仅能够对具有管理权限的资源进行管理,在一定程度上,降低了网关服务器中的资源泄露风险。
可选地,所述响应于确定与所述终端设备建立通信隧道,允许所述终端设备基于建立的通信隧道管理对应的资源,包括:接收所述终端设备发送的管理请求;所述管理请求用于请求管理所述资源;所述管理请求包括待管理的目标管理地址;在检测到所述目标管理地址与自身地址相匹配时,允许所述终端设备管理所述资源。这样,网关服务器检测到目标管理地址与自身地址相匹配时,可以运行终端设备对自身所对应的全部资源或者部分资源进行管理。如果检测到不匹配,可以拒绝终端设备管理资源,提高安全性。
可选地,所述在检测到所述目标管理地址与自身地址相匹配时,允许所述终端设备管理所述资源,包括:允许所述终端设备对所述资源执行增加操作、删除操作、修改操作和/或查询操作,以此实现管理目的。
可选地,所述单包认证信息包括使用所述终端设备的用户的用户信息以及加密数据;所述加密数据基于所述用户信息得到;以及所述根据所述单包认证信息进行单包认证,并在单包认证成功后,根据所述身份验证信息判断是否与所述终端设备建立通信隧道,包括:根据所述加密数据得到解密数据;在检测到所述解密数据与所述用户信息相匹配时,确定单包认证成功。这样,可以使攻击者难以伪造加密数据,降低了资源泄露的风险。
可选地,所述身份验证信息包括会话标识;以及所述根据所述单包认证信息进行单包认证,并在单包认证成功后,根据所述身份验证信息判断是否与所述终端设备建立通信隧道,包括:在检测到所述会话标识与预先接收到的标准会话标识相匹配时,确定与所述终端设备建立通信隧道。这样,基于服务端或者云平台发送的相同会话标识,网关服务器仅需要检测是否存在与终端设备发送的会话标识相同的标准会话标识,即可确定是否与其建立通信隧道,方便快速。
可选地,所述身份验证信息、所述网关地址信息由所述终端设备在预设控制器中注册成功之后,由所述预设控制器发送;所述终端设备在所述预设控制器中的注册步骤包括:向所述预设控制器发送终端注册请求;所述终端注册请求包括所述终端设备的终端身份标识、标准源IP地址信息;指示所述预设控制器在注册成功之后,将适配的网关服务器的网关身份标识与所述终端身份标识关联;并返回所述适配的网关服务器对应的网关地址信息以及标准身份验证信息。这样,可以保证终端设备可以成功与适配的网关服务器成功建立通信隧道。
可选地,所述资源管理方法还包括:所述适配的网关服务器预先在所述预设控制器中注册;以及所述适配的网关服务器在所述预设控制器中的注册步骤包括:向所述预设控制器发送网关注册请求;所述网关注册请求包括所述网关地址信息、所述网关身份标识;指示所述预设控制器在注册成功之后,将适配的终端设备的终端身份标识与所述网关身份标识关联,并返回所述适配的终端设备的标准源IP地址信息以及标准身份验证信息。这样,可以保证终端设备可以成功与适配的网关服务器成功建立通信隧道。
可选地,所述通信隧道建立请求还包括所述终端设备的源IP地址信息;以及在所述根据所述单包认证信息进行单包认证之前,所述资源管理方法还包括:检测预设列表中是否存在与所述终端设备的源IP地址信息相匹配的标准源IP地址信息;所述预设列表中存储有至少一个待通信的终端设备的标准源IP地址信息;若所述预设列表中存在相匹配的标准源IP地址信息,执行单包认证的步骤。这样,添加了认证终端设备的源IP地址信息的认证步骤之后,在一定程度上,提高了验证成功的终端设备的身份的可信度。
第二方面,本申请实施例提供了一种资源管理方法,该方法应用于终端设备,与所述终端设备待通信的网关服务器对该终端设备零信任,该方法包括:接收建立通信隧道所需的身份验证信息、待通信的网关服务器的网关地址信息;根据所述网关地址信息,向所述待通信的网关服务器发送通信隧道建立请求;所述通信隧道建立请求包括单包认证信息以及所述身份验证信息;指示所述网关服务器根据所述单包认证信息进行单包认证,并在单包认证成功后,根据所述身份验证信息判断是否与所述终端设备建立通信隧道;响应于检测到与所述网关服务器成功建立通信隧道,基于建立的通信隧道管理所述网关服务器所对应的资源。这样,可以使终端设备和对其零信任的网关服务器之间建立可信的通信隧道,允许建立了通信隧道的终端设备利用通信隧道管理网关服务器的资源,继而降低了安全风险。
第三方面,本申请实施例提供了一种资源管理装置,应用于网关服务器,所述网关服务器对待通信的终端设备零信任,该装置包括:网关接收模块,用于接收所述终端设备发送的通信隧道建立请求;所述通信隧道建立请求包括单包认证信息以及所述身份验证信息;所述通信隧道建立请求由所述终端设备基于接收到的所述身份验证信息、所述网关服务器的网关地址信息发送;认证模块,用于根据所述单包认证信息进行单包认证,并在单包认证成功后,根据所述身份验证信息判断是否与所述终端设备建立通信隧道;管理模块,用于响应于确定与所述终端设备建立通信隧道,允许所述终端设备基于建立的通信隧道管理对应的资源。这样,利用该资源管理装置可以使在零信任协议下的网关服务器和终端设备之间建立可信的通信隧道,允许建立了通信隧道的终端设备利用通信隧道管理网关服务器的资源,继而降低了安全风险。
第四方面,本申请实施例提供了一种资源管理装置,应用于终端设备,与所述终端设备待通信的网关服务器对该终端设备零信任,该装置包括:终端接收模块,用于接收建立通信隧道所需的身份验证信息、待通信的网关服务器的网关地址信息;发送模块,用于根据所述网关地址信息,向所述待通信的网关服务器发送通信隧道建立请求;所述通信隧道建立请求包括单包认证信息以及所述身份验证信息;指示模块,用于指示所述网关服务器根据所述单包认证信息进行单包认证,并在单包认证成功后,根据所述身份验证信息判断是否与所述终端设备建立通信隧道;检测模块,用于响应于检测到与所述网关服务器成功建立通信隧道,基于建立的通信隧道管理所述网关服务器所对应的资源。这样,利用该资源管理装置可以使终端设备和对其零信任的网关服务器之间建立可信的通信隧道,允许建立了通信隧道的终端设备利用通信隧道管理网关服务器的资源,继而降低了安全风险。
第五方面,本申请实施例提供了一种资源管理系统,该系统包括:终端设备,用于接收建立通信隧道所需的身份验证信息、待通信的网关服务器的网关地址信息;根据所述网关地址信息,向所述待通信的网关服务器发送通信隧道建立请求;所述通信隧道建立请求包括单包认证信息以及所述身份验证信息;指示所述网关服务器根据所述单包认证信息进行单包认证,并在单包认证成功后,根据所述身份验证信息判断是否与所述终端设备建立通信隧道;响应于检测到与所述网关服务器成功建立通信隧道,基于建立的通信隧道管理所述网关服务器所对应的资源;网关服务器,用于接收所述终端设备发送的通信隧道建立请求;所述通信隧道建立请求包括单包认证信息以及所述身份验证信息;所述通信隧道建立请求由所述终端设备基于接收到的所述身份验证信息、所述网关服务器的网关地址信息发送;根据所述单包认证信息进行单包认证,并在单包认证成功后,根据所述身份验证信息判断是否与所述终端设备建立通信隧道;响应于确定与所述终端设备建立通信隧道,允许所述终端设备基于建立的通信隧道管理对应的资源;其中,所述网关服务器对所述终端设备零信任。这样,利用该资源管理系统可以使在零信任协议下的终端设备和网关服务器之间建立可信的通信隧道,进而允许建立了通信隧道的终端设备利用通信隧道管理网关服务器的资源,继而降低了安全风险。
第六方面,本申请实施例提供一种电子设备,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如上述第一方面或者第二方面提供的所述方法中的步骤。
第七方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时运行如上述第一方面或者第二方面提供的所述方法中的步骤。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种资源管理方法的流程图;
图2为本申请实施例提供的另一种资源管理方法的流程图;
图3为本申请实施例提供的一种资源管理装置的结构框图;
图4为本申请实施例提供的另一种资源管理装置的结构框图;
图5为本申请实施例提供的一种资源管理系统的结构框图;
图6为本申请实施例提供的一种用于执行资源管理方法的电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
应当说明的是,在不冲突的情况下,本申请中的实施例或者实施例中的技术特征可以进行结合。
相关技术中,网关服务器会预先设置一个存储有可以信任的终端设备的源IP地址的白名单列表。在对零信任的终端设备进行身份验证时,可以通过是否能够在白名单列表中查找到与之对应的源IP地址的方式进行验证。如果能够查找到,则视为该终端设备是可以信任的。继而网关服务器会允许该终端设备访问对应的资源。
在一些应用场景中,如果攻击者为某一终端设备伪造了能够在白名单列表中查找到的源IP地址,则会导致网关服务器的资源泄露,造成较大的安全风险。
因此,相关技术中在网关服务器对终端设备零信任时,终端设备对网关服务器的访问存在安全风险较大的问题;为了解决该问题,本申请提供一种资源管理方法、装置、系统、电子设备和计算机可读存储介质;进一步地,该方法通过建立网关服务器与终端设备之间唯一可信的通信隧道,使终端设备可以利用该通信隧道访问网关服务器中的资源。上述的终端设备与网关服务器可以不在同一局域网内。例如,员工可以通过不在公司局域网内的不同终端设备请求与公司网关服务器建立通信隧道,以通过建立的通信隧道访问公司内网资源,实现远程办公。
这样,只要能够成功建立通信隧道,网关服务器即可信任终端设备,允许终端设备访问对应的资源,降低了安全风险。
以上相关技术中的方案所存在的缺陷,均是发明人在经过实践并仔细研究后得出的结果,因此,上述问题的发现过程以及下文中本发明实施例针对上述问题所提出的解决方案,都应该是发明人在本发明过程中对本发明做出的贡献。
在一些应用场景中,资源管理方法可以应用于网关服务器,所述网关服务器对待通信的终端设备零信任。也即,网关服务器对于前来请求通信的终端设备均不信任,即拒绝与其进行通信,需要重新建立信任基础,才能与其进行通信。
请参考图1,其示出了本申请实施例提供的一种资源管理方法的流程图。如图1所示,该资源管理方法包括以下步骤101至步骤103。
步骤101,接收所述终端设备发送的通信隧道建立请求;所述通信隧道建立请求包括单包认证信息以及所述身份验证信息;所述通信隧道建立请求由所述终端设备基于接收到的所述身份验证信息、所述网关服务器的网关地址信息发送。
在一些应用场景中,终端设备可以接收身份验证信息以及待通信的网关服务器的网关地址信息。例如,可以由能够分别与终端设备以及网关服务器进行信息交互的服务端或者云平台向终端设备发送该身份验证信息以及网关地址信息。具体的,该服务端或者云平台可以将适配的网关服务器的网关地址信息发送给终端设备,以使终端设备可以向该网关地址信息所指示的网关服务器发送通信隧道建立请求。进一步的,为了让终端设备能够被网关服务器信任,该服务端或者云平台可以向终端设备一并发送用于进行身份验证的身份验证信息。
上述身份验证信息例如可以包括密码、验证凭证等实质上可以用于验证终端设备身份的信息。这里的密码或者验证凭证例如可以包括与终端设备预先约定好的诸如数字、字符、字母或者其结合等。上述网关地址信息可以包括网关服务器的IP地址信息以及允许终端设备访问的端口信息。
终端设备可以根据接收到的网关地址信息,向该网关地址信息所指示的网关服务器发送隧道建立请求。网关服务器可以接收终端设备发送的通信隧道建立请求。该通信隧道建立请求可以包括单包认证信息和身份验证信息。在一些应用场景中,上述单包认证信息例如可以包括终端设备的产品序列号、终端设备的IP地址信息或者使用该终端设备的用户的用户名信息等。在另一些应用场景中,上述单包认证信息在包括诸如上述的产品序列号、终端设备的IP地址信息或者用户名信息等固定信息之外,其还可以包括诸如根据预设规则对该固定信息进行加密设置之后得到的信息数据。这里的预设规则例如可以包括针对产品序列号为“123456”的终端设备,将其产品序列号倒置,得到加密之后的信息数据“654321”。
步骤102,根据所述单包认证信息进行单包认证,并在单包认证成功后,根据所述身份验证信息判断是否与所述终端设备建立通信隧道。
网关服务器接收到通信隧道建立请求之后,可以根据单包认证信息进行单包认证。在一些应用场景中,网关服务器在进行单包认证时,例如可以通过判断单包认证信息是否与预存的认证信息匹配,来确定单包认证是否成功。例如,若网关服务器接收到产品序列号“123456”以及加密之后的密文信息数据“654321”,可以判断是否预存有相同的产品序列号以及对应的信息数据,如果存在,可以视为单包认证成功。
单包认证成功之后,网关服务器可以进一步验证终端设备的身份。也即,网关服务器可以根据接收到的身份验证信息判断是否建立通信隧道。例如,如接收到的身份验证信息为“abcde”,可以检测是否预存有与之相同的身份验证信息,如果存在,可以视为身份验证成功,继而可以确定与终端设备建立通信隧道。
步骤103,响应于确定与所述终端设备建立通信隧道,允许所述终端设备基于建立的通信隧道管理对应的资源。
网关服务器确定了与终端设备建立通信隧道之后,可以与终端设备通过建立的通信隧道进行信息交互。具体的,终端设备可以请求管理网关服务器中的资源。在一些应用场景中,终端设备可以请求管理网关服务器对应的全部资源,也可以请求管理网关服务器对应的部分资源。
通过上述步骤101至步骤103,可以使网关服务器与零信任的终端设备之间建立可信的通信隧道,允许建立了通信隧道的终端设备利用通信隧道管理网关服务器的资源。与相关技术中存在的利用白名单列表检验终端设备是否可信的方式相比,本实施例避免了攻击者伪造能够在白名单列表中查找到源IP地址,导致网关服务器中的资源泄露的情况,继而降低了安全风险。
在一些可选的实现方式中,所述资源管理方法还包括:接收每个终端设备对资源的管理权限信息;
在一些应用场景中,网关服务器可以先接收各个终端设备对资源的管理权限信息。例如,针对于终端设备A,其仅能管理网关服务器中关于工作日志的资源;针对于终端设备B,其仅能管理网关服务器中关于账务的资源。在这些应用场景中,上述管理权限信息例如可以由上述的服务端或者云平台发送。在这些应用场景中,终端设备例如也可以接收自身对应的管理权限信息,以便于知晓自身仅能够管理的资源,不逾矩管理其他资源。
这样,上述步骤103可以包括:根据所述终端设备对应的管理权限信息,允许所述终端设备管理该管理权限信息所对应的资源。
网关服务器接收到终端设备关于请求管理资源的请求之后,可以确定该终端设备所对应的管理权限信息,并可以依据管理权限信息允许该终端设备管理对应的资源。这样,终端设备仅能够对具有管理权限的资源进行管理,在一定程度上,降低了网关服务器中的资源泄露风险。
在一些可选的实现方式中,上述步骤103还可以包括以下子步骤:
子步骤1031,接收所述终端设备发送的管理请求;所述管理请求用于请求管理所述资源;所述管理请求包括待管理的目标管理地址;
在一些应用场景中,终端设备可以向网关服务器发送管理请求,以请求管理网关服务器对应的资源。上述管理请求中可以包括目标管理地址,该目标管理地址也即为终端设备想要管理的目标地址。在这些应用场景中,目标管理地址例如可以为想要管理的网关服务器的IP地址。
子步骤1032,在检测到所述目标管理地址与自身地址相匹配时,允许所述终端设备管理所述资源。
网关服务器接收到管理请求之后,可以检测其内包括的目标管理地址是否与自身地址相匹配。例如,可以验证目标管理地址对应的IP地址是否为自身的IP地址相同。如果是,可以视为匹配。如果不是,可以视为匹配失败。
网关服务器检测到目标管理地址与自身地址相匹配时,可以允许终端设备对自身所对应的全部资源或者部分资源进行管理。如果检测到不匹配,可以拒绝终端设备管理资源,提高安全性。
在一些可选的实现方式中,上述子步骤1032可以包括:允许所述终端设备对所述资源执行增加操作、删除操作、修改操作和/或查询操作。
网关服务器运行终端设备对资源进行管理之后,终端设备可以对资源进行增加操作、删除操作、修改操作和/或查询操作,以此实现管理目的。
在一些可选的实现方式中,所述单包认证信息包括使用所述终端设备的用户的用户信息以及加密数据;所述加密数据基于所述用户信息得到。
在一些应用场景中,单包认证信息可以包括用户信息以及加密数据。例如,终端设备可以通过调用上述的服务端或者云平台提供的SDK(软件开发工具包)接口,以根据SDK接口提供的算法对用户名“张三”进行加密,得到加密字符串“aabbcc”。
在这些应用场景中,上述的服务端或者云平台可以预先封装用于加密以及对应解密的算法,得到SDK接口。这样,当终端设备或者网关服务器调用同一SDK接口时,可以得到相匹配的加密数据或者解密数据,以进行单包认证。
这样,上述步骤102可以包括以下子步骤:
子步骤1021,根据所述加密数据得到解密数据。
在一些应用场景中,网关服务器可以调用与终端设备相同的SDK接口,以保证终端设备所用的加密算法与网管服务器所用的解密算法相同。
在这些应用场景中,网关服务器接收到单包认证信息之后,可以利用上述SDK接口提供的算法对该加密数据进行解密处理,得到对应的解密数据。
子步骤1022,在检测到所述解密数据与所述用户信息相匹配时,确定单包认证成功。
网关服务器自行得到解密数据之后,可以验证接收到的用户信息是否与该解密数据匹配,如果匹配,可以视为单包认证成功。例如,网关服务器对接收到的加密数据“aabbcc”进行解密处理,得到了与终端设备发送的用户信息“张三”相同的解密数据,可以视为两者匹配,继而可以确定本次单包认证成功。
通过上述子步骤1021和子步骤1022,可以使终端设备对用户信息进行加密,得到加密数据。然后使网关服务器通过验证对该加密数据进行解密后得到的解密数据是否与用户信息匹配的方式确定单包认证是否成功,使攻击者难以伪造加密数据,降低了资源泄露的风险。
在另外一些可选实现方式中,所述加密数据也可基于终端设备的设备信息得到,设备信息可以是用来唯一标识终端设备的设备序列号;或者所述加密数据也可基于用户信息和终端设备设备信息综合地得到。利用上述加密数据进行单包认证的方式与上文中所描述的方式类似,在此不再赘述。
在一些可选的实现方式中,所述身份验证信息包括会话标识;以及上述步骤102可以包括:在检测到所述会话标识与预先接收到的标准会话标识相匹配时,确定与所述终端设备建立通信隧道。
在一些应用场景中,上述会话标识可以视为能够用于识别对应的终端设备的标识。在这些应用场景中,网关服务器在检测到会话标识与预先接收到的标准会话标识相匹配时,可以确定与终端设备建立通信隧道。这里,标准会话标识例如也可以由上述的服务端或者云平台发送。这样,基于服务端或者云平台发送的相同会话标识,网关服务器仅需要检测是否存在与终端设备发送的会话标识相同的标准会话标识,即可确定是否与其建立通信隧道,方便快速。
在一些可选的实现方式中,所述身份验证信息、所述网关地址信息由所述终端设备在预设控制器中注册成功之后,由所述预设控制器发送;
在一些应用场景中,可以由预设控制器发送身份验证信息以及网关地址信息。也即,在这些应用场景中,可以由该预设控制器充当上述的服务端或者云平台的角色,实现上述的服务端或者云平台所对应的功能。
进一步的,终端设备可以预先在预设控制器中进行注册,并可以在注册成功之后,从预设控制器中获取所需的信息数据。所述终端设备在所述预设控制器中的注册步骤包括:
步骤A,向所述预设控制器发送终端注册请求;所述终端注册请求包括所述终端设备的终端身份标识、标准源IP地址信息;
终端设备可以向预设控制器发送注册请求,以请求预设控制器存储终端设备的终端身份标识以及标准源IP地址信息,并匹配适配的网关服务器。上述终端身份标识例如可以包括终端设备的产品序列号。
步骤B,指示所述预设控制器在注册成功之后,将适配的网关服务器的网关身份标识与所述终端身份标识关联;并返回所述适配的网关服务器对应的网关地址信息以及标准身份验证信息。
预设控制器接收到终端注册请求之后,可以注册该终端设备。将终端设备注册成功之后,可以将与之适配的网关服务器的网关身份标识与终端身份标识关联,以便于形成两者之间唯一的对应关系。
进一步的,预设控制器还可以向终端设备返回适配的网关服务器的网关地址信息以及标准身份验证信息。这里,由于终端设备与适配的网关服务器已经关联,则可以组成关联对,以便于管理需要发送的信息。例如,预设控制器可以根据关联关系,向关联的终端设备和网关服务器发送相同的标准身份验证信息,以及向终端设备发送与之关联的网关服务器的网关地址信息,以保证终端设备可以成功与适配的网关服务器成功建立通信隧道。例如,预设控制器将终端设备A的终端身份标识A'与适配的网关服务器B的网关身份标识B'关联之后,可以向两者同时发送相同的标准身份验证信息。之后,终端设备A可以通过向网关服务器B发送该标准身份验证信息进行身份验证,以能够与网关服务器B建立通信隧道。
在一些可选的实现方式中,所述资源管理方法还包括:所述适配的网关服务器预先在所述预设控制器中注册;
在一些应用场景中,网关服务器可以预先在预设控制器中进行注册,以使预设控制器能够基于终端设备的注册请求,查找到与之适配的网关服务器。
在这些应用场景中,所述适配的网关服务器在所述预设控制器中的注册步骤包括:
步骤a,向所述预设控制器发送网关注册请求;所述网关注册请求包括所述网关地址信息、所述网关身份标识;
网关服务器可以向预设控制器发送网关注册请求,以请求预设控制器存储网关服务器的网关身份标识以及网关地址信息,并匹配适配的终端设备。上述网关身份标识例如可以包括网关服务器的产品序列号。
步骤b,指示所述预设控制器在注册成功之后,将适配的终端设备的终端身份标识与所述网关身份标识关联,并返回所述适配的终端设备的标准源IP地址信息以及标准身份验证信息。
预设控制器接收到网关注册请求之后,可以注册该网关服务器。将网关服务器注册成功之后,可以将与之适配的终端设备的终端身份标识与网关身份标识关联,以便于形成两者之间唯一的对应关系。
类似的,预设控制器还可以向网关服务器返回适配的终端设备的标准源IP地址信息以及标准身份验证信息,以用于对终端设备的身份验证。
应当说明的是,终端设备与网关服务器在预设控制器中的注册过程没有先后之分。终端设备也可以先进行注册,网关服务器后进行注册。针对于终端设备或者网关服务器,在匹配到适配的对象之后返回对应的信息即可。
在一些可选的实现方式中,所述通信隧道建立请求还包括所述终端设备的源IP地址信息;以及在上述步骤102中的根据所述单包认证信息进行单包认证之前,所述资源管理方法还包括以下步骤:
首先,检测预设列表中是否存在与所述终端设备的源IP地址信息相匹配的标准源IP地址信息;所述预设列表中存储有至少一个待通信的终端设备的标准源IP地址信息;
网关服务器接收到预设控制器返回的待通信的终端设备的标准源IP地址之后,可以将这些标准源IP地址信息整理在预设列表中。
当网关服务器接收到终端设备发送的通信隧道建立请求之后,可以检测是否能够在预设列表中查找到对应的标准源IP地址信息,以此对该终端设备进行身份验证。
然后,若所述预设列表中存在相匹配的标准源IP地址信息,执行单包认证的步骤。
网关服务器如果在预设列表中检测到与接收到的源IP地址信息相匹配的标准源IP地址信息,可以视为该终端设备与自身适配,继而可以进一步执行如上述步骤102中的单包认证步骤。
在本实现方式中,添加了认证终端设备的源IP地址信息的认证步骤,在一定程度上,提高了验证成功的终端设备的身份的可信度。
请参考图2,其示出了本申请实施例提供的另一种资源管理方法的流程图。在本实施例中,该资源管理方法应用于终端设备,与所述终端设备待通信的网关服务器对该终端设备零信任。如图2所示,该资源管理方法包括以下步骤201至步骤204。
步骤201,接收建立通信隧道所需的身份验证信息、待通信的网关服务器的网关地址信息。
步骤202,根据所述网关地址信息,向所述待通信的网关服务器发送通信隧道建立请求;所述通信隧道建立请求包括单包认证信息以及所述身份验证信息。
步骤203,指示所述网关服务器根据所述单包认证信息进行单包认证,并在单包认证成功后,根据所述身份验证信息判断是否与所述终端设备建立通信隧道。
步骤204,响应于检测到与所述网关服务器成功建立通信隧道,基于建立的通信隧道管理所述网关服务器所对应的资源。
上述步骤201至步骤204的实现过程以及取得的技术效果可以与图1所示实施例中的步骤101至步骤103相同或相似,此处不赘述。
请参考图3,其示出了本申请实施例提供的一种资源管理装置的结构框图,该资源管理装置可以是电子设备上的模块、程序段或代码。应理解,该装置与上述图1方法实施例对应,能够执行图1方法实施例涉及的各个步骤,该装置具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。
可选地,上述资源管理装置可以应用于网关服务器,所述网关服务器对待通信的终端设备零信任。具体的,该资源管理装置可以包括网关接收模块301,认证模块302以及管理模块303。其中,网关接收模块301,用于接收所述终端设备发送的通信隧道建立请求;所述通信隧道建立请求包括单包认证信息以及所述身份验证信息;所述通信隧道建立请求由所述终端设备基于接收到的所述身份验证信息、所述网关服务器的网关地址信息发送;认证模块302,用于根据所述单包认证信息进行单包认证,并在单包认证成功后,根据所述身份验证信息判断是否与所述终端设备建立通信隧道;管理模块303,用于响应于确定与所述终端设备建立通信隧道,允许所述终端设备基于建立的通信隧道管理对应的资源。
可选地,所述资源管理装置还包括管理权限信息接收模块,上述管理权限信息接收模块用于接收每个终端设备对资源的管理权限信息;以及管理模块303进一步用于:根据所述终端设备对应的管理权限信息,允许所述终端设备管理该管理权限信息所对应的资源。
可选地,管理模块303进一步用于:接收所述终端设备发送的管理请求;所述管理请求用于请求管理所述资源;所述管理请求包括待管理的目标管理地址;在检测到所述目标管理地址与自身地址相匹配时,允许所述终端设备管理所述资源。
可选地,管理模块303进一步用于:允许所述终端设备对所述资源执行增加操作、删除操作、修改操作和/或查询操作。
可选地,所述单包认证信息包括使用所述终端设备的用户的用户信息以及加密数据;所述加密数据基于所述用户信息得到;以及认证模块302进一步用于:根据所述加密数据得到解密数据;在检测到所述解密数据与所述用户信息相匹配时,确定单包认证成功。
可选地,所述身份验证信息包括会话标识;以及认证模块302进一步用于:在检测到所述会话标识与预先接收到的标准会话标识相匹配时,确定与所述终端设备建立通信隧道。
可选地,所述身份验证信息、所述网关地址信息由所述终端设备在预设控制器中注册成功之后,由所述预设控制器发送;所述终端设备在所述预设控制器中的注册步骤包括:向所述预设控制器发送终端注册请求;所述终端注册请求包括所述终端设备的终端身份标识、标准源IP地址信息;指示所述预设控制器在注册成功之后,将适配的网关服务器的网关身份标识与所述终端身份标识关联;并返回所述适配的网关服务器对应的网关地址信息以及标准身份验证信息。
可选地,所述资源管理装置还包括网关注册模块,上述网关注册模块用于:所述适配的网关服务器预先在所述预设控制器中注册;以及所述适配的网关服务器在所述预设控制器中的注册步骤包括:向所述预设控制器发送网关注册请求;所述网关注册请求包括所述网关地址信息、所述网关身份标识;指示所述预设控制器在注册成功之后,将适配的终端设备的终端身份标识与所述网关身份标识关联,并返回所述适配的终端设备的标准源IP地址信息以及标准身份验证信息。
可选地,所述通信隧道建立请求还包括所述终端设备的源IP地址信息;以及资源管理装置还包括查找模块,上述查找模块用于:在所述根据所述单包认证信息进行单包认证之前,检测预设列表中是否存在与所述终端设备的源IP地址信息相匹配的标准源IP地址信息;所述预设列表中存储有至少一个待通信的终端设备的标准源IP地址信息;若所述预设列表中存在相匹配的标准源IP地址信息,执行单包认证的步骤。
需要说明的是,本领域技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再重复描述。
请参考图4,其示出了本申请实施例提供的另一种资源管理装置的结构框图,该资源管理装置可以是电子设备上的模块、程序段或代码。应理解,该装置与上述图2方法实施例对应,能够执行图2方法实施例涉及的各个步骤,该装置具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。
可选地,上述资源管理装置可以应用于终端设备,与所述终端设备待通信的网关服务器对该终端设备零信任。具体的,该资源管理装置可以包括终端接收模块401、发送模块402、指示模块403和检测模块404。其中,终端接收模块401,用于接收建立通信隧道所需的身份验证信息、待通信的网关服务器的网关地址信息;发送模块402,用于根据所述网关地址信息,向所述待通信的网关服务器发送通信隧道建立请求;所述通信隧道建立请求包括单包认证信息以及所述身份验证信息;指示模块403,用于指示所述网关服务器根据所述单包认证信息进行单包认证,并在单包认证成功后,根据所述身份验证信息判断是否与所述终端设备建立通信隧道;检测模块404,用于响应于检测到与所述网关服务器成功建立通信隧道,基于建立的通信隧道管理所述网关服务器所对应的资源。
需要说明的是,本领域技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再重复描述。
请参考图5,其示出了本申请实施例提供的一种资源管理系统的结构框图。如图5所示,该资源管理系统包括终端设备501和网关服务器502。其中,终端设备501,用于接收建立通信隧道所需的身份验证信息、待通信的网关服务器502的网关地址信息;根据所述网关地址信息,向所述待通信的网关服务器502发送通信隧道建立请求;所述通信隧道建立请求包括单包认证信息以及所述身份验证信息;指示所述网关服务器502根据所述单包认证信息进行单包认证,并在单包认证成功后,根据所述身份验证信息判断是否与所述终端设备501建立通信隧道;响应于检测到与所述网关服务器502成功建立通信隧道,基于建立的通信隧道管理所述网关服务器502所对应的资源;网关服务器502,用于接收所述终端设备501发送的通信隧道建立请求;所述通信隧道建立请求包括单包认证信息以及所述身份验证信息;所述通信隧道建立请求由所述终端设备501基于接收到的所述身份验证信息、所述网关服务器502的网关地址信息发送;根据所述单包认证信息进行单包认证,并在单包认证成功后,根据所述身份验证信息判断是否与所述终端设备501建立通信隧道;响应于确定与所述终端设备501建立通信隧道,允许所述终端设备501基于建立的通信隧道管理对应的资源;其中,所述网关服务器502对所述终端设备501零信任。
需要说明的是,本领域技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再重复描述。
请参照图6,图6为本申请实施例提供的一种用于执行资源管理方法的电子设备的结构示意图,所述电子设备可以包括:至少一个处理器601,例如CPU,至少一个通信接口602,至少一个存储器603和至少一个通信总线604。其中,通信总线604用于实现这些组件直接的连接通信。其中,本申请实施例中设备的通信接口602用于与其他节点设备进行信令或数据的通信。存储器603可以是高速RAM存储器,也可以是非易失性的存储器(non-volatilememory),例如至少一个磁盘存储器。存储器603可选的还可以是至少一个位于远离前述处理器的存储装置。存储器603中存储有计算机可读取指令,当所述计算机可读取指令由所述处理器601执行时,电子设备可以执行上述图1或者图2所示方法过程。
可以理解,图6所示的结构仅为示意,所述电子设备还可包括比图6中所示更多或者更少的组件,或者具有与图6所示不同的配置。图6中所示的各组件可以采用硬件、软件或其组合实现。
本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,可以执行如图1所示方法实施例中电子设备所执行的方法过程。
本申请实施例提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如,该方法可以包括:接收所述终端设备发送的通信隧道建立请求;所述通信隧道建立请求包括单包认证信息以及所述身份验证信息;所述通信隧道建立请求由所述终端设备基于接收到的所述身份验证信息、所述网关服务器的网关地址信息发送;根据所述单包认证信息进行单包认证,并在单包认证成功后,根据所述身份验证信息判断是否与所述终端设备建立通信隧道;响应于确定与所述终端设备建立通信隧道,允许所述终端设备基于建立的通信隧道管理对应的资源。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (15)

1.一种资源管理方法,其特征在于,应用于网关服务器,所述网关服务器对待通信的终端设备零信任,该方法包括:
接收所述终端设备发送的通信隧道建立请求;所述通信隧道建立请求包括单包认证信息以及所述身份验证信息;所述通信隧道建立请求由所述终端设备基于接收到的所述身份验证信息、所述网关服务器的网关地址信息发送;
根据所述单包认证信息进行单包认证,并在单包认证成功后,根据所述身份验证信息判断是否与所述终端设备建立通信隧道;
响应于确定与所述终端设备建立通信隧道,允许所述终端设备基于建立的通信隧道管理对应的资源。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收每个终端设备对资源的管理权限信息;以及
所述响应于确定与所述终端设备建立通信隧道,允许所述终端设备基于建立的通信隧道管理对应的资源,包括:
根据所述终端设备对应的管理权限信息,允许所述终端设备管理该管理权限信息所对应的资源。
3.根据权利要求1或2所述的方法,其特征在于,所述响应于确定与所述终端设备建立通信隧道,允许所述终端设备基于建立的通信隧道管理对应的资源,包括:
接收所述终端设备发送的管理请求;所述管理请求用于请求管理所述资源;所述管理请求包括待管理的目标管理地址;
在检测到所述目标管理地址与自身地址相匹配时,允许所述终端设备管理所述资源。
4.根据权利要求3所述的方法,其特征在于,所述在检测到所述目标管理地址与自身地址相匹配时,允许所述终端设备管理所述资源,包括:
允许所述终端设备对所述资源执行增加操作、删除操作、修改操作和/或查询操作。
5.根据权利要求1所述的方法,其特征在于,所述单包认证信息包括使用所述终端设备的用户的用户信息以及加密数据;所述加密数据基于所述用户信息得到;以及
所述根据所述单包认证信息进行单包认证,并在单包认证成功后,根据所述身份验证信息判断是否与所述终端设备建立通信隧道,包括:
根据所述加密数据得到解密数据;
在检测到所述解密数据与所述用户信息相匹配时,确定单包认证成功。
6.根据权利要求1所述的方法,其特征在于,所述身份验证信息包括会话标识;以及
所述根据所述单包认证信息进行单包认证,并在单包认证成功后,根据所述身份验证信息判断是否与所述终端设备建立通信隧道,包括:
在检测到所述会话标识与预先接收到的标准会话标识相匹配时,确定与所述终端设备建立通信隧道。
7.根据权利要求1所述的方法,其特征在于,所述身份验证信息、所述网关地址信息由所述终端设备在预设控制器中注册成功之后,由所述预设控制器发送;所述终端设备在所述预设控制器中的注册步骤包括:
向所述预设控制器发送终端注册请求;所述终端注册请求包括所述终端设备的终端身份标识、标准源IP地址信息;
指示所述预设控制器在注册成功之后,将适配的网关服务器的网关身份标识与所述终端身份标识关联;并返回所述适配的网关服务器对应的网关地址信息以及标准身份验证信息。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:所述适配的网关服务器预先在所述预设控制器中注册;以及
所述适配的网关服务器在所述预设控制器中的注册步骤包括:
向所述预设控制器发送网关注册请求;所述网关注册请求包括所述网关地址信息、所述网关身份标识;
指示所述预设控制器在注册成功之后,将适配的终端设备的终端身份标识与所述网关身份标识关联,并返回所述适配的终端设备的标准源IP地址信息以及标准身份验证信息。
9.根据权利要求7所述的方法,其特征在于,所述通信隧道建立请求还包括所述终端设备的源IP地址信息;以及
在所述根据所述单包认证信息进行单包认证之前,所述方法还包括:
检测预设列表中是否存在与所述终端设备的源IP地址信息相匹配的标准源IP地址信息;所述预设列表中存储有至少一个待通信的终端设备的标准源IP地址信息;
若所述预设列表中存在相匹配的标准源IP地址信息,执行单包认证的步骤。
10.一种资源管理方法,其特征在于,应用于终端设备,与所述终端设备待通信的网关服务器对该终端设备零信任,该方法包括:
接收建立通信隧道所需的身份验证信息、待通信的网关服务器的网关地址信息;
根据所述网关地址信息,向所述待通信的网关服务器发送通信隧道建立请求;所述通信隧道建立请求包括单包认证信息以及所述身份验证信息;
指示所述网关服务器根据所述单包认证信息进行单包认证,并在单包认证成功后,根据所述身份验证信息判断是否与所述终端设备建立通信隧道;
响应于检测到与所述网关服务器成功建立通信隧道,基于建立的通信隧道管理所述网关服务器所对应的资源。
11.一种资源管理装置,其特征在于,应用于网关服务器,所述网关服务器对待通信的终端设备零信任,该装置包括:
网关接收模块,用于接收所述终端设备发送的通信隧道建立请求;所述通信隧道建立请求包括单包认证信息以及所述身份验证信息;所述通信隧道建立请求由所述终端设备基于接收到的所述身份验证信息、所述网关服务器的网关地址信息发送;
认证模块,用于根据所述单包认证信息进行单包认证,并在单包认证成功后,根据所述身份验证信息判断是否与所述终端设备建立通信隧道;
管理模块,用于响应于确定与所述终端设备建立通信隧道,允许所述终端设备基于建立的通信隧道管理对应的资源。
12.一种资源管理装置,其特征在于,应用于终端设备,与所述终端设备待通信的网关服务器对该终端设备零信任,该装置包括:
终端接收模块,用于接收建立通信隧道所需的身份验证信息、待通信的网关服务器的网关地址信息;
发送模块,用于根据所述网关地址信息,向所述待通信的网关服务器发送通信隧道建立请求;所述通信隧道建立请求包括单包认证信息以及所述身份验证信息;
指示模块,用于指示所述网关服务器根据所述单包认证信息进行单包认证,并在单包认证成功后,根据所述身份验证信息判断是否与所述终端设备建立通信隧道;
检测模块,用于响应于检测到与所述网关服务器成功建立通信隧道,基于建立的通信隧道管理所述网关服务器所对应的资源。
13.一种资源管理系统,其特征在于,包括:
终端设备,用于接收建立通信隧道所需的身份验证信息、待通信的网关服务器的网关地址信息;根据所述网关地址信息,向所述待通信的网关服务器发送通信隧道建立请求;所述通信隧道建立请求包括单包认证信息以及所述身份验证信息;指示所述网关服务器根据所述单包认证信息进行单包认证,并在单包认证成功后,根据所述身份验证信息判断是否与所述终端设备建立通信隧道;响应于检测到与所述网关服务器成功建立通信隧道,基于建立的通信隧道管理所述网关服务器所对应的资源;
网关服务器,用于接收所述终端设备发送的通信隧道建立请求;所述通信隧道建立请求包括单包认证信息以及所述身份验证信息;所述通信隧道建立请求由所述终端设备基于接收到的所述身份验证信息、所述网关服务器的网关地址信息发送;根据所述单包认证信息进行单包认证,并在单包认证成功后,根据所述身份验证信息判断是否与所述终端设备建立通信隧道;响应于确定与所述终端设备建立通信隧道,允许所述终端设备基于建立的通信隧道管理对应的资源;
其中,所述网关服务器对所述终端设备零信任。
14.一种电子设备,其特征在于,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如权利要求1-9或者权利要求10任一所述的方法。
15.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时运行如权利要求1-9或者权利要求10任一所述的方法。
CN202111241560.2A 2021-10-25 2021-10-25 资源管理方法、装置、系统、电子设备和可读存储介质 Active CN113992387B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111241560.2A CN113992387B (zh) 2021-10-25 2021-10-25 资源管理方法、装置、系统、电子设备和可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111241560.2A CN113992387B (zh) 2021-10-25 2021-10-25 资源管理方法、装置、系统、电子设备和可读存储介质

Publications (2)

Publication Number Publication Date
CN113992387A true CN113992387A (zh) 2022-01-28
CN113992387B CN113992387B (zh) 2022-09-16

Family

ID=79741053

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111241560.2A Active CN113992387B (zh) 2021-10-25 2021-10-25 资源管理方法、装置、系统、电子设备和可读存储介质

Country Status (1)

Country Link
CN (1) CN113992387B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114978773A (zh) * 2022-07-27 2022-08-30 远江盛邦(北京)网络安全科技股份有限公司 一种单包认证方法及系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108429730A (zh) * 2018-01-22 2018-08-21 北京智涵芯宇科技有限公司 无反馈安全认证与访问控制方法
CN111901355A (zh) * 2020-08-04 2020-11-06 北京天融信网络安全技术有限公司 一种认证方法及装置
US20210091976A1 (en) * 2019-09-24 2021-03-25 Pribit Technology, Inc. System For Controlling Network Access Of Terminal Based On Tunnel And Method Thereof
CN112565302A (zh) * 2020-12-29 2021-03-26 北京中电飞华通信有限公司 基于安全网关的通信方法、系统及设备
CN112822217A (zh) * 2021-02-25 2021-05-18 上海派拉软件股份有限公司 一种服务器访问方法、装置、设备和存储介质
CN113347072A (zh) * 2021-06-23 2021-09-03 北京天融信网络安全技术有限公司 Vpn资源访问方法、装置、电子设备和介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108429730A (zh) * 2018-01-22 2018-08-21 北京智涵芯宇科技有限公司 无反馈安全认证与访问控制方法
US20210091976A1 (en) * 2019-09-24 2021-03-25 Pribit Technology, Inc. System For Controlling Network Access Of Terminal Based On Tunnel And Method Thereof
CN111901355A (zh) * 2020-08-04 2020-11-06 北京天融信网络安全技术有限公司 一种认证方法及装置
CN112565302A (zh) * 2020-12-29 2021-03-26 北京中电飞华通信有限公司 基于安全网关的通信方法、系统及设备
CN112822217A (zh) * 2021-02-25 2021-05-18 上海派拉软件股份有限公司 一种服务器访问方法、装置、设备和存储介质
CN113347072A (zh) * 2021-06-23 2021-09-03 北京天融信网络安全技术有限公司 Vpn资源访问方法、装置、电子设备和介质

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114978773A (zh) * 2022-07-27 2022-08-30 远江盛邦(北京)网络安全科技股份有限公司 一种单包认证方法及系统

Also Published As

Publication number Publication date
CN113992387B (zh) 2022-09-16

Similar Documents

Publication Publication Date Title
CN109417553B (zh) 经由内部网络监视来检测使用泄漏证书的攻击
US9942274B2 (en) Securing communication over a network using client integrity verification
US9197420B2 (en) Using information in a digital certificate to authenticate a network of a wireless access point
EP3639498B1 (en) Certificate pinning in highly secure network environments using public key certificates obtained from a dhcp (dynamic host configuration protocol) server
CN113341798A (zh) 远程访问应用的方法、系统、装置、设备及存储介质
US10873497B2 (en) Systems and methods for maintaining communication links
CN104410580B (zh) 可信安全WiFi路由器及其数据处理方法
US11522702B1 (en) Secure onboarding of computing devices using blockchain
CN113992387B (zh) 资源管理方法、装置、系统、电子设备和可读存储介质
CN114125027A (zh) 一种通信建立方法、装置、电子设备及存储介质
CN109587134B (zh) 接口总线的安全认证的方法、装置、设备和介质
CN115473655B (zh) 接入网络的终端认证方法、装置及存储介质
CN114157438A (zh) 网络设备管理方法、装置及计算机可读存储介质
CN114065170A (zh) 平台身份证书的获取方法、装置和服务器
CN113079506A (zh) 网络安全认证方法、装置及设备
US11824989B2 (en) Secure onboarding of computing devices using blockchain
CN111711612B (zh) 通信控制方法、对通信请求进行处理的方法及其装置
CN117061140A (zh) 一种渗透防御方法和相关装置
CN115130116A (zh) 业务资源访问方法、装置、设备、可读存储介质及系统
CN115883105A (zh) 认证连接方法、系统、电子设备及计算机存储介质
CN118264422A (zh) 一种用于邮件系统的多因子身份认证方法、装置及系统
CN112632573A (zh) 智能合约执行方法、装置、系统、存储介质及电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant