CN114650159A - 业务处理方法、装置、电子设备及存储介质 - Google Patents

业务处理方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN114650159A
CN114650159A CN202011520804.6A CN202011520804A CN114650159A CN 114650159 A CN114650159 A CN 114650159A CN 202011520804 A CN202011520804 A CN 202011520804A CN 114650159 A CN114650159 A CN 114650159A
Authority
CN
China
Prior art keywords
service
identifier
gateway
network identity
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202011520804.6A
Other languages
English (en)
Inventor
闫新成
郝振武
马彧
杨波
周娜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN202011520804.6A priority Critical patent/CN114650159A/zh
Priority to US18/258,421 priority patent/US20240039913A1/en
Priority to EP21909129.5A priority patent/EP4258603A1/en
Priority to PCT/CN2021/135842 priority patent/WO2022135132A1/zh
Publication of CN114650159A publication Critical patent/CN114650159A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/12Arrangements for remote connection or disconnection of substations or of equipment thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/63Location-dependent; Proximity-dependent

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开一种业务处理方法、装置、设备及存储介质,属于通信技术领域。本发明实施例通过将客户端、服务端的网络身份标识和网络位置标识分离,并建立客户端、服务端网络身份标识和网络位置标识映射关系,进行网络认证、服务授权以及业务处理等网络通信,使得网络服务更易于管理和控制,并能够避免客户端、服务端网络位置和网络身份容易被分析识别而带来的安全隐患,进一步提升网络安全防护能力。

Description

业务处理方法、装置、电子设备及存储介质
技术领域
本发明涉及通信技术领域,尤其涉及一种业务处理方法、装置、电子设备及存储介质。
背景技术
互联网采用互联网协议地址(Internet Protocol Address,IP地址)作为统一的通信标识。由于IP地址存在身份位置的二义性,既表示主机的网络身份,又表示主机的网络位置。因此,在进行业务处理时,IP地址容易被获取和分析,给网络安全带来隐患。
发明内容
本发明实施例的主要目的在于提出一种业务处理方法、装置、电子设备及存储介质,旨在业务处理时将网络身份和网络位置进行分离,从而提升网络安全防护能力。
第一方面,本申请实施例提供了一种业务处理方法,包括:
携带用户标识(User Identifier,UID)接入第一网关进行身份认证;
向所述第一网关请求第一客户端网络身份标识NID;
接收所述第一客户端网络身份标识NID;
携带所要访问的服务标识(Service Identifier,SID)以及所述第一客户端网络身份标识NID,通过所述第一网关向服务控制器发送服务授权请求;
通过所述第一网关接收携带服务端网络身份标识(NIDs)的服务授权响应。
第二方面,本申请实施例提供了一种业务处理方法,包括:
携带用户标识UID接入第一网关进行身份认证;
向所述第一网关请求第一客户端网络身份标识NID;
接收所述第一客户端网络身份标识NID;
携带所要访问的服务标识SID以及所述第一客户端网络身份标识NID,通过所述第一网关、第二网关向服务端发送业务数据;
接收来自所述服务端响应后的业务数据。
第三方面,本申请实施例提供了一种业务处理装置,包括:
客户端、第一网关以及服务控制器;
所述客户端携带服务标识SID以及客户端网络身份标识NID向第一网关发送服务授权请求;
所述第一网关为所述客户端配置客户端网络位置标识LID,并携带所述服务标识SID、客户端网络身份标识NID以及客户端网络位置标识LID向所属服务控制器转发服务授权请求;
所述服务控制器基于所述服务授权请求,返回服务授权响应;
所述服务授权响应携带服务端网络身份标识NID以及服务端网络位置标识LID。
第四方面,本申请实施例提供了一种业务处理装置,包括:
客户端、第一网关、第二网关以及服务端;
所述客户端携带所述客户端网络身份标识NID以及服务端网络身份标识NID向所述第一网关发送业务数据;
所述第一网关携带所述客户端网络身份标识NID、客户端网络位置标识LID、服务端网络身份标识NID以及服务端网络位置标识LID向所述第二网关转发业务数据;
所述第二网关携带所述客户端网络身份标识NID以及服务端网络身份标识NID向所述服务端转发业务数据;
所述服务端接收所述业务数据并经所述第二网关、第一网关发送响应后的业务数据至所述客户端。
本发明实施例提出的业务处理方法,通过将客户端、服务端的网络身份标识和网络位置标识分离,并建立客户端、服务端网络身份标识和网络位置标识映射关系,进行网络认证、服务授权以及业务处理等网络通信,使得网络服务更易于管理和控制,并能够避免客户端、服务端网络位置和网络身份容易被分析识别而带来的安全隐患,进一步提升网络安全防护能力,同时使得网络服务更易于管理和控制。
本申请的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请而了解。本申请的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
图1是本发明一种实施例提供的从客户端到服务端的网络架构示意图;
图2是本发明另一种实施例提供的从客户端到服务端的网络架构示意图;
图3是本发明另一种实施例提供的从客户端到服务端的网络架构示意图;
图4是本发明一种业务处理方法流程示意图;
图5是本发明另一种业务处理方法流程示意图;
图6是本发明另一种业务处理方法流程示意图;
图7是本发明一种业务处理方法流程示意图;
图8是本发明另一种业务处理方法流程示意图;
图9是本发明一种业务处理方法流程示意图;
图10是本发明另一种业务处理方法流程示意图;
图11是本发明另一种业务处理方法流程示意图;
图12是本发明另一种业务处理方法流程示意图;
图13是本发明一种业务处理方法流程示意图。
附图标记:
客户端110、第一接入网关120、第一服务控制器130、第一身份管理器140、服务端210、第二接入网关220、第二服务控制器230、第二身份管理器240、第三服务控制器330。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的在一些实施例中实施例仅仅用以解释本申请,并不用于限定本申请。不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
本申请实施例的描述中,使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本申请的说明,其本身没有特有的意义。因此,“模块”、“部件”或“单元”可以混合地使用。
需要说明的是,虽然在装置示意图中进行了功能模块划分,在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于装置中的模块划分,或流程图中的顺序执行所示出或描述的步骤。说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。另外,除非另有明确的限定,设置、安装、连接等词语应做广义理解,所属技术领域技术人员可以结合技术方案的具体内容合理确定上述词语在本申请实施例中的具体含义。
互联网采用互联网协议地址(Internet Protocol Address,IP地址)作为统一的通信标识,主机之间通过路由可达。由于IP既表示电子设备的网络身份,又表示电子设备的网络位置且IP地址也容易被解析。在网络通信过程中暴露的IP地址给网络安全带来了隐患。因此,在确保网络业务正常开展的基础上,需要进一步加强对电子设备身份信息、位置等信息的保护。
基于上述,本申请实施例提出了一种业务处理方法、装置、设备及存储介质,能够在网络通信过程中加强对电子设备身份信息、位置等信息的保护,从而提升网络安全防护能力。
需要说明的是,在一些实施例中,本申请实施例基于身份信息、位置信息分离技术;在另一些实施例中,还可以进一步对网络身份信息进行隐藏或动态设置。本申请实施例涉及的网络通信系统,可以是终端到终端。终端可以是客户端,也可以是服务端。终端到终端可以是客户端到客户端,也可以是客户端到服务端,也可以是服务端到服务端,还可以是多个客户端到一个或多个服务端。
在一些实施例中,电子设备可以是终端。终端可以为客户端,也可以为服务端。其中,客户端可以为移动终端设备,也可以为非移动终端设备。移动终端设备可以为手机、平板电脑、笔记本电脑、掌上电脑、车载终端设备、可穿戴设备、超级移动个人计算机、上网本、个人数字助理等;非移动终端设备可以为个人计算机、电视机、柜员机或者自助机等。服务端可以为独立的物理实体服务器,也可以为逻辑上的实体。本申请实施方案不作具体限定。以下仅以客户端和服务端之间的通信为例,进行说明。
如图1为本申请涉及的从客户端到服务端的网络架构。本申请业务处理方法、装置适用于域内和域外,域内和域外(即互联网)均可以进行业务处理(数据通信)。本申请域内可以通过真实网络身份标识NID进行数据通信;由于不同域对网络身份标识NID的形成策略不相同,因此域间(即域外)也可以通过虚拟网络身份标识NID进行通信;为进一步提高网络通信的安全性,本申请一些实施例中,域间还可以通过虚拟网络身份标识NID或者动态网络是身份标识NID进行通信,达到在正常进行业务的同时保护客户端、服务端等安全信息的目的。
如图1所示,客户端110(即用户所在的终端)所在的网络记为域A,域内至少包括第一网关120和第一服务控制器130。客户端110与第一网关连接120;第一接入网关120与第一服务控制器130连接;第一网关120还可以与第二网关220连接。服务端210所在的网络记为域B,域内至少包括第二网关220和第二服务控制器230。服务端210与第二网关220连接;第二网关220与第二服务控制器230;第二网关220还可以与第一网关120连接。
如图2所示,在一些实施例中,域A还可以包括第一身份管理器140;域B还可以包括第二身份管理器240。第一身份管理器140可以独立设置,也可以和第一网关120或第一服务控制器130设置在同一装置;第二身份管理器240可以独立设置,可以和第二网关220或第二服务控制器230设置在同一装置。
如图3所示,在另一些实施例中,域A的第一服务控制器130和域B第二服务控制器230可以合一部署,即域A和与域B采用同一服务控制器。
以下对图1至图3中网络通信或业务处理过程中涉及的标识做以下说明:
用户标识(UserIdentifier,UID),代表电子设备(主机,可以是客户端也可以是服务端)接入网络时使用的用户身份,如用户名、手机号码等。
网络身份标识(Network Identifier,NID),代表终端在网络上的身份,能够在网络上唯一标识终端,格式可以为IP地址、OID等;为便于区分和阐述,客户端网络身份标识记为NIDc,服务端网络身份标识记为NIDs。
网络位置标识(Location Identifier,LID),代表终端在网络上的位置,使用终端所在的域的网关的路由地址标识;域间通信时,通过LID将数据发送到终端所在的网关;为便于区分和阐述,客户端网络位置标识记为LIDc,服务端网络位置标识记为LIDs。
服务标识(Service Identifier,SID),代表客户端要访问的服务,也即服务端发布的服务,如域名、统一资源标识、应用协议接口标识等;需要说明的是网络身份标识NID也可以作为服务标识SID,以支持使用网络身份标识实现主机之间的直接通信。
以下对图1至图3中网络通信或业务处理过程中所涉及的装置做以下说明:
客户端110,是业务或数据通信的发起者。数据通信包括但不限于身份认证、授权请求、业务处理等。客户端110接入第一网关120,通过认证和鉴权过程后,由本域身份管理器分配NIDc。在需要访问业务时使用SID向服务控制器请求SID对应的NIDs,再使用NIDs向服务端发送业务数据。其中认证和鉴权过程可以采用802.1x、可扩展的身份验证协议、WEB门户等认证方式或协议,不在本发明范围中。
服务端210:是客户端发起的数据通信的对端。与客户端类似,接入第二网关220,通过认证和鉴权过程后,由本域身份管理器分配NIDs,并经过第二网关220,向服务控制器进行服务注册;第二网关220代替服务端向服务控制器注册,或在服务控制器配置服务。当接收到客户端的业务服务请求时时,为客户端提供数据通信服务,如提供NIDs,LIDs等。
身份管理器:根据认证后的用户身份,为用户使用的电子设备分配NID,具体根据接入技术,可以动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)服务器,或AAA服务器,或者由网关内置该功能。具体过程和协议和接入技术相关,不在本发明中。
网关:根据接入对象的不同,分为第一网关120和第二网关220。网关是客户端或服务端接入互联网的边界设备,是客户端或服务端与通信对端、身份管理器、服务控制器交互的节点,参与NID分配过程、服务发布过程、服务请求过程以及业务处理过程等,并执行LID管理、数据通信包转发和访问控制过程。
服务控制器:管理SID和业务访问策略,维护服务端的SID、NIDs、LIDs之间映射关系,根据客户端服务请求,进行业务授权,返回SID对应NIDs、LIDs。如图1、2,服务控制器可采用分布式部署方式,在不同域内部署服务控制器,并互联互通,组成服务控制网络。如图3,服务控制器可采用集中式部署方式。
以下以第一服务控制器130和第二服务控制器230集中部署,即服务控制器采用集中式部署为例,进行说明。
下面结合具体实施例对本申请的技术方案进行说明。
本申请一实施例提供了一种业务处理方法,用于身份认证。
图4至6为身份认证的业务处理方法流程示意图。
如图4所示,至少包括以下步骤:
客户端110上线,向第一网关120请求身份认证;
通过认证后,客户端110向第一网关发送NIDc请求;
第一网关120接到请求后,为客户端110分配NIDc,并发送给客户端110。
上述认证过程和NID的分配过程可以与接入技术相关,比如在以太网中,认证技术通常采用802.1x,NID的分配过程通常采用DHCP;在移动网络中,认证过程采用EAP过程,NID分配在分组会话建立时分配。
在一些实施例中,比如在一个数据中心对应的网络域中,可以采用静态配置的方式,为客户端直接配置NID。
在一些实施例中,客户端110通过第一网关120与认证系统交互进行身份认证。
如图6所示,在一些实施例中,客户端110通过第一网关120向身份管理器请求NIDc;即身份管理器接收到请求后,向客户端110发送NIDc;
NID能够在网络中唯一表示该客户端110。身份管理器可以根据策略分配NID,比如可以根据UID分配一个长期固定不变的NID,便于追踪和溯源;也可以是一个定期变化的NID,以隐藏用户的身份;或根据客户端的网络位置(LIDs)分配一个与网络接入位置有一定关系的NID等多种方式。
在一些实施例中,第一网关120会记录认证后的UID;UID可以由客户端110携带并发送至第一网关。如果客户端110在请求NIDc时,未携带UID;也可以由第一网关进一步增加UID。
如图5所示,在一些实施例中,第一网关120还可以为客户端110分配LIDc;配置LIDc后,可以发送给客户端110,也可以不发送给客户端110,视客户端处理能力而定。
如图5所示,在另一些实施例中,第一网关120建立UID、NIDc和LIDc之间的映射关系。
在另一些实施例中,为了进一步提高网络安全防护能力,防止其它电子设备通过NIDc寻找到客户端或者用户。第一网关120还可以将真实的NIDc转换成虚拟的NIDc。当其它电子设备获取到虚拟的NIDc,也难以找到客户端真实的网络身份或其它隐私信息。虚拟的NIDc可以通过策略、算法、规则或者随机等方式生成。由于只有第一网关120知道真实NIDc和虚拟NIDc之间的关系且所有域间通信都需要经过网关,采用本实施例可以保证正常的网络通信同时又能降低客户端的安全隐患。
在另一些实施例中,为了进一步提高网络安全防护能力,防止其它电子设备通过NIDc寻找到客户端或者用户。第一网关120还可以采用动态NIDc。当其他电子设备获取上一时刻真实的NIDc时,也难以和动态调整后新的NIDc匹配,从而保护了客户端的通信安全。
上述业务处理方法也适用于服务端侧。如图3所示,服务端210通过第二网关220进行身份认证和NIDs请求。此外,服务端210还通过第二网关220向服务控制器330发布包括SID、NIDs的服务信息。服务控制器预存SID对应的NIDs,以便于进行后续业务处理。
在一些实施例中,服务端210通过第二网关220向服务控制器330发布包括SID、NIDs、LIDs的服务信息。服务控制器330预存SID对应的NIDs、LIDs,以便于进行后续业务处理。
在一些实施例中,服务端控制器330记录SID、NIDs、LIDs之间的对应关系后,通过第二网关220发布服务信息响应给服务端210。
在一些实施例中,根据服务端或网关的能力,这个服务信息发布过程可以由服务端进行,也可以在网关上配置,当服务端上线后,由网关代为发布服务信息,或者直接在服务控制器上配置该服务信息。
SID,表示服务端能够对外提供的服务,可以是服务端的NID(表示主机支持其他主机使用NID直接访问)、主机的域名、物联网终端标识(如OID)、主机加载的服务(如文件传输服务)、主机管理的统一资源名(如URN)。
在一些实施例中,同一个SID也可以对应多个主机,即多个NID,支持服务的分布式部署。
其中将服务端NID作为服务发布,表示该服务端的主机允许其他主机使用NID直接访问,这样既能够支持互联网使用IP地址直接访问的习惯或业务,也能够提供访问控制能力。
本申请一实施例提供了一种业务处理方法,用于服务授权和访问。
图7至8为服务授权和访问的业务处理方法流程示意图。这个过程包括前述身份认证的业务处理方法。即客户端和服务端都已认证,服务端发布SID等上述实施例公开的内容也适用于本业务处理方法,在此不赘述。
如图7所示,至少包括以下步骤:
客户端向第一网关发送服务授权请求,其中服务授权请求携带SID以及NIDc;
第一网关向解析服务授权请求,并进一步增加UID和LIDc。
第一网关向服务控制器转发服务解析请求,其中至少包括SID、UID、NIDc、LIDc;在一些实施例中,还可以包括用户属性,如设备类型、系统类型、物理位置等信息。在一些实施例中,NIDc可以进一步携带客户端拟使用的通信端口信息。
服务控制器根据服务解析请求,决定是否允许本次访问;即执行业务访问授权,如果同意授权访问,则向第一网关返回服务解析响应,其中包含解析结果;解析结果还可以包括SID对应的NIDs、LIDs;在一些实施例中还可以包括有效期或服务端通信端口。
第一网关将服务授权响应(服务解析响应)发送给客户端,并保存解析结果以便后续转发业务数据使用。
客户端接收携带NIDs的服务授权响应;在一些实施例中,还可以携带有效期。
如图8所示,在一些实施例中,如果服务控制器同意授权访问后,则选择对应的第二网关,并向选择的第二网关下发访问规则,规则中至少包括NIDc、LIDc、NIDs。第二网关保存访问规则,并向服务控制器发送访问响应。在一些实施例中,规则还可以包括LIDs或有效期等信息。通过设置有效期,可以限定客户端在有效的时间内进行对应的业务处理。其中,规则对应的就是网络层的转发表,后续第二网关将根据保存的转发表执行业务数据转发过程。
在一些实施例中,第一网关建立与第二网关相同的规则表,包括NIDc、LIDc、NIDs、LIDs,还可以进一步包括客户端和服务端的通信端口信息。
如图8所示,为了进一步提升客户端侧的网络安全防护能力,在一些实施例中,在第一网关向服务控制器转发服务解析请求之前,第一网关可以将真实的NIDc采用一定的规则或者随机转换成虚拟的NIDc后,再向服务控制器发送。
在另一些实施例中,第一网关设置动态NIDc以保护客户端身份信息。
本申请一实施例提供了一种业务处理方法,应用于业务数据发送和接收。
图9至11为发送业务数据的业务处理方法流程示意图。这个过程包括前述身份认证以及服务授权和访问的业务处理方法。上述实施例公开的内容也适用于本业务处理方法,在此不赘述。
如图9所示,至少包括以下步骤:
客户端向第一网关发送业务数据包;
具体过程为,客户端向服务授权响应中对应的NIDs发送业务数据包;业务数据包的源NID为NIDc,目的NID为NIDs;客户端携带NIDc、NIDs向第一网关发送业务数据。
根据具体的业务,可进一步包括通信端口信息,其中目的通信端口是解析响应指定的通信端口,或是默认的通信端口,源通信端口是解析请求设定的通信端口,或是客户端选定的通信端口。
第一网关携带NIDc、LIDc、NIDs以及LIDs向第二网关发送业务数据包;
具体过程为,第一网关根据NIDc、NIDs查询对应的LIDs;如果查询到对应关系,则表示得到访问授权,然后对数据包进行封装;具体采用LIDc作为源地址、LIDs作为目的地址进行封装,然后根据LIDs向第二网关转发。因为只有经过授权的访问才会有访问关系,因此在第一网关实现了业务的访问控制。即采用本实施的方法不仅可以提高网络安全性,还可以更好地实现对客户端侧业务访问的控制和管理。
在一些实施例中,第一网关还可以在规则表的基础上生成会话转发表,包括NIDc、NIDs、客户端通信端口、服务器端口、LIDc、LIDs,对会话进行维护,并根据会话转发表对后续报文进行直接转发。
第二网关接收到数据包后,根据NIDc、NIDs向服务端发送业务数据包;
具体过程为,第二网关接收到数据包后,根据LIDc、NIDc、NIDs、LIDs检查本地的规则,如果命中,将LIDc、LIDs去除后,根据NIDc、NIDs将数据包转发给服务端。因为只有经过授权的访问才会有规则表,因此在第二网关侧实现了业务的访问控制。即采用本实施的方法不仅可以提高网络安全性,还可以更好地实现对服务端侧业务访问的控制和管理。
在一些实施例中,第二网关可以在规则表的基础上生成会话转发表,包括NIDc、NIDs、客户端通信端口、服务器端口、LIDc、LIDs,对会话进行维护,并根据会话转发表直接转发。
服务端向客户端返回响应数据包;
具体过程为,响应后的业务数据包的源NID为NIDs,目的NID为NIDc;服务端端携带NIDc、NIDs向第二网关发送业务数据。
第二网关携带NIDc、LIDc、NIDs以及LIDs向第一网关发送业务数据包;
具体过程为,第二网关查询NIDc对应的LIDc,如果查询到对应关系,对数据包进行封装,具体采用LIDs作为源地址、LIDc作为目的地址进行封装,然后根据LIDc向第一网关转发。
第一网关向客户端发送业务数据包;
具体过程为,第一网关接收到数据包后,根据LIDc、NIDc、LIDs、NIDs检查本地的规则,如果命中,则将LIDc、LIDs去除后,根据NIDc、NIDs将数据包转发给客户端。
通过上述过程,实现了基于SID服务访问,以及数据包转发和控制。不仅提升了网络的安全性,还能够更好地实现业务访问的控制和管理。
在一些实施例中,还包括有效期,有效期表明服务解析结果的有效期,如果超过有效期,客户端需要重新请求服务。
因为第一网关和第二网关都具备执行策略的能力,所以可以根据具体地部署情况,两者都执行策略,或由一方执行规则。而在服务解析协议,根据服务的不同,可以采用不同的解析协议,如对域名服务,采用DNS协议,对于物联网应用可以采用OID解析协议
如图10所示,为了进一步提升客户端侧的网络安全防护能力,在一些实施例中,在第一网关向服务控制器发送业务数据包之前,第一网关可以将真实的NIDc采用一定的规则或者随机转换成虚拟的NIDc后,再向服务端发送。
如图12所示,在另一些实施例中,第一网关设置动态NIDc以保护客户端身份信息。
同理,在一些实施例中,第二网关向服务端发送业务数据包之前,第二网关可以接收到的NIDs(虚拟的NIDs)根据虚拟NIDs与真实NIDs之间的映射关系转换成接收后的NIDs(真实的NIDs)后,再向服务端发送。
如图12所示,在另一些实施例中,第二网关设置动态NIDc以保护客户端身份信息。
如图11所示,为了进一步提升客户端侧的网络安全防护能力,在一些实施例中,还可以在服务授权和访问的过程中,通过服务控制器建立真实NIDc和虚拟NIDc映射关系,以及真实NIDs和虚拟NIDs映射关系,再进行数据通信。
本申请一实施例提供了一种业务处理方法,应用于基于域名的服务授权和访问。
如图13所示,为根据本发明实施例的基于域名的服务授权和访问的流程示意图。本实施例中SID为域名(如www.example.com),具体地服务解析协议为DNS解析协议以及扩展。
此时接入域的服务控制器(第一服务控制器)充当本地DNS服务端,目的域的服务控制器(第二服务控制器)充当权威DNS服务器,第一网关充当DNS缓存或代理,在客户端配置域名服务器的IP地址为本地DNS服务器。
客户端通过第一网关向第一控制服务器发送DNS解析请求,携带要访问的服务器的域名;
第一网关向第一服务控制器转发DNS解析请求,进一步扩展DNS协议,携带UID、客户端NID、客户端LID、用户属性等信息。
第一服务控制器在通过DNS解析体系,根据域名向负责该域名的第二服务控制器发送DNS解析请求,该解析请求可以采用DNS协议,也可以采用通用的服务解析协议;
第二服务控制器根据客户端UID、LID、用户属性等信息,要访问的服务器域名、以及访问策略,执行业务访问授权、第二网关选择和下发访问规则;
第二网关保存访问规则,向第二服务控制器返回响应,携带域名对应的NID,并通过协议扩展携带LID;
第二服务控制器向第一服务控制器返回DNS解析响应,携带域名对应的NID和LID;
第一服务控制器通过第一网关向客户端DNS解析响应;
第一网关将DNS解析响应发送给客户端,并保存解析结果,其中至少携带NID;
客户端至少携带目的域的NID向第一网关发送业务数据;
第一网关至少携带接入域和目的域的NID以及LID向第二网关发送业务数据;
第二网关至少携带接入域和目的域的NID向服务端发送业务数据;
服务端至少携带接入域和目的域的NID向第二网关发送业务数据;
第二网关至少携带接入域和目的域的NID以及LID向第一网关发送业务数据;
第一网关至少携带携带接入域和目的域的NID向客户端发送业务数据。
本申请一实施例提供了一种业务处理装置,用于身份认证,包括:
电子设备和网关;
电子设备基于用户标识UID向网关发送认证以及认证后向网关发送网络身份标识NID;
网关用于与电子设备进行认证以及向电子设备发送网络身份标识NID;
身份管理器,用于为电子设备分配网络身份标识NID;
用户标识UID为电子设备接入网络使用的用户身份。
本申请一实施例提供了一种业务处理装置,用于服务请求,包括:
客户端、第一网关以及服务控制器;
客户端携带服务标识SID以及客户端网络身份标识NID向第一网关发送服务授权请求;
第一网关为客户端配置客户端网络位置标识LID,并携带服务标识SID、客户端网络身份标识NID以及客户端网络位置标识LID向所属服务控制器转发服务授权请求;
服务控制器基于服务授权请求,返回服务授权响应;
服务授权响应携带服务端网络身份标识NID以及服务端网络位置标识LID。
本申请一实施例提供了一种业务处理装置,用于业务请求,包括:
客户端、第一网关、第二网关以及服务端;
客户端携带客户端网络身份标识NID以及服务端网络身份标识NID向第一网关发送业务数据;
第一网关携带客户端网络身份标识NID、客户端网络位置标识LID、服务端网络身份标识NID以及服务端网络位置标识LID向第二网关转发业务数据;
第二网关携带客户端网络身份标识NID以及服务端网络身份标识NID向服务端转发业务数据;
服务端接收业务数据并经第二网关、第一网关发送响应后的业务数据至客户端。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、设备中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。
在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
以上参照附图说明了本申请的优选实施例,并非因此局限本申请的权利范围。本领域技术人员不脱离本申请的范围和实质内所作的任何修改、等同替换和改进,均应在本申请的权利范围之内。

Claims (17)

1.一种业务处理方法,其特征在于,包括:
携带用户标识请求身份认证;
请求第一客户端网络身份标识;
接收所述第一客户端网络身份标识;
携带服务标识以及所述第一客户端网络身份标识发送服务授权请求;
接收服务授权响应。
2.根据权利要求1所述的业务处理方法,其特征在于,所述携带服务标识以及所述第一客户端网络身份标识发送服务授权请求包括:
携带所述服务标识以及所述第一客户端网络身份标识向第一网关发送所述服务授权请求;
所述第一网关配置第一客户端网络位置标识;
所述第一网关携带所述服务标识、所述用户标识、所述第一客户端网络身份标识、所述客户端网络位置标识向服务控制器发送所述服务授权请求。
3.根据权利要求2所述的业务处理方法,其特征在于,所述接收携带服务授权响应包括:
所述服务控制器携带服务端网络身份标识、服务端网络位置标识向所述第一网关发送服务授权响应;
所述第一网关携带所述服务端网络身份标识发送所述服务授权响应;
接收携带服务端网络身份标识的服务授权响应;
所述服务端网络身份标识为所述服务端在网络上的身份信息;
所述服务端网络位置标识为所述服务端在网络上的位置信息。
4.根据权利要求3所述的业务处理方法,其特征在于,所述方法还包括:
所述服务控制器携带所述第一客户端网络身份标识、所述客户端网络位置标识以及所述服务端网络身份标识向第二网关发送访问规则;
所述第二网关向所述服务控制器发送访问响应。
5.根据权利要求3所述的业务处理方法,其特征在于,还包括至少以下任意之一:
所述第一网关建立所述用户标识、第一客户端网络身份标识以及客户端网络位置标识的映射关系;
所述服务控制器建立所述服务标识、服务端网络身份标识以及服务端网络位置标识的映射关系。
6.根据权利要求1或5所述的业务处理方法,其特征在于,所述携带服务标识以及所述第一客户端网络身份标识发送服务授权请求包括:
携带所述服务标识以及所述第一客户端网络身份标识向所述第一网关发送所述服务授权请求;
所述第一网关将所述第一客户端网络身份标识转换为第二客户端网络身份标识;
所述第一网关携带所述服务标识(SID)、所述用户标识、所述第二客户端网络身份标识、所述客户端网络位置标识向服务控制器转发所述服务授权请求。
7.一种业务处理方法,其特征在于,包括:
携带用户标识请求身份认证;
请求第一客户端网络身份标识;
接收所述第一客户端网络身份标识;
携带服务标识以及所述第一客户端网络身份标识发送服务授权请求;
接收携带第一服务端网络身份标识的服务授权响应;
携带所述第一客户端网络身份标识和所述第一服务端网络身份标识(NIDs)发送业务数据;
接收响应后的业务数据。
8.根据权利要求7所述的业务处理方法,其特征在于,所述携带所述第一客户端网络身份标识和所述第一服务端网络身份标识发送业务数据包括:
携带所述第一客户端网络身份标识和所述第一服务端网络身份标识向第一网关发送业务数据;
所述第一网关携带第一客户端网络身份标识、客户端网络位置标识、第一服务端网络身份标识、服务端网络位置标识向第二网关发送业务数据;
所述第二网关携带所述第一客户端网络身份标识和所述第一服务端网络身份标识向所述服务端发送业务数据。
9.根据权利要求7或8所述的业务处理方法,其特征在于,所述接收响应后的业务数据包括:
服务端携带所述第一客户端网络身份标识和所述第一服务端网络身份标识向所述第二网关发送响应后的业务数据;
所述第二网关携带所述第一客户端网络身份标识、客户端网络位置标识、第一服务端网络身份标识、服务端网络位置标识向所述第一网关发送响应后的业务数据;
所述第一网关携带所述第一客户端网络身份标识和所述第一服务端网络身份标识向所述客户端发送响应后的业务数据;
接收来自服务端响应后的业务数据。
10.根据权利要求7所述的业务处理方法,其特征在于,所述携带所述第一客户端网络身份标识和所述第一服务端网络身份标识发送业务数据包括:
携带所述第一客户端网络身份标识和所述第一服务端网络身份标识向第一网关发送业务数据;
所述第一网关将所述第一客户端网络身份标识转换为第二客户端网络身份标识;
所述第一网关携带第二客户端网络身份标识、客户端网络位置标识、第一服务端网络身份标识、服务端网络位置标识向所述第二网关发送业务数据;
所述第二网关携带所述第二客户端网络身份标识和所述第一服务端网络身份标识向所述服务端发送业务数据包。
11.根据权利要求8所述的业务处理方法,其特征在于,所述携带所述第一客户端网络身份标识和所述第一服务端网络身份标识发送业务数据包括:
携带所述第一客户端网络身份标识和所述第一服务端网络身份标识向所述第一网关发送业务数据;
所述第一网关携带第一客户端网络身份标识、客户端网络位置标识、第一服务端网络身份标识、服务端网络位置标识向所述第二网关发送业务数据;
所述第二网关将所述第一服务端网络身份标识转换为第二服务端网络身份标识;
所述第二网关携带所述第一客户端网络身份标识和所述第二服务端网络身份标识向所述服务端发送业务数据包。
12.一种业务处理装置,用于服务请求,其特征在于,至少包括:
客户端,携带服务标识(SID)以及客户端网络身份标识(NIDc)向第一网关发送服务授权请求;
所述第一网关,为所述客户端配置客户端网络位置标识(LIDc),并携带所述服务标识(SID)、客户端网络身份标识(NIDc)、客户端网络位置标识(LIDc)向服务控制器转发所述服务授权请求;
所述服务控制器,基于所述服务授权请求发送服务授权响应;
所述服务授权响应携带服务端网络身份标识(NIDs)以及服务端网络位置标识(LIDs)。
13.根据权利要求12所述的业务处理装置,其特征在于,还包括:
第二网关,接收所述服务控制器发送的访问规则以及返回访问响应;
所述发送的访问规则包括客户端网络身份标识(NIDc)、客户端配置客户端网络位置标识(LIDc)、服务端网络身份标识(NIDs)。
14.一种业务处理装置,用于业务请求,其特征在于,至少包括:
客户端,基于客户端网络身份标识以及服务端网络身份标识向第一网关发送业务数据;
第一网关,基于客户端网络身份标识、客户端网络位置标识、服务端网络身份标识以及服务端网络位置标识向第二网关转发业务数据;
第二网关,基于所述客户端网络身份标识以及所述服务端网络身份标识向所述服务端转发业务数据;
服务端,基于业务数据生成响应后的业务数据并经所述第二网络、第一网络发送至所述客户端。
15.根据权利要求14所述的业务处理装置,其特征在于:
所述第一网关还用于为所述客户端设置客户端网络位置标识(LIDc);
所述第二网关还用于为所述服务端设置服务端网络位置标识(LIDs)。
16.电子设备,所述电子设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现:
如权利要求1至11任一项所述的业务处理方法。
17.存储介质,用于计算机可读存储,所述存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现:如权利要求1至11任一项所述的业务处理方法。
CN202011520804.6A 2020-12-21 2020-12-21 业务处理方法、装置、电子设备及存储介质 Pending CN114650159A (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN202011520804.6A CN114650159A (zh) 2020-12-21 2020-12-21 业务处理方法、装置、电子设备及存储介质
US18/258,421 US20240039913A1 (en) 2020-12-21 2021-12-06 Service processing method and apparatus, electronic device, and storage medium
EP21909129.5A EP4258603A1 (en) 2020-12-21 2021-12-06 Service processing method and apparatus, electronic device, and storage medium
PCT/CN2021/135842 WO2022135132A1 (zh) 2020-12-21 2021-12-06 业务处理方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011520804.6A CN114650159A (zh) 2020-12-21 2020-12-21 业务处理方法、装置、电子设备及存储介质

Publications (1)

Publication Number Publication Date
CN114650159A true CN114650159A (zh) 2022-06-21

Family

ID=81991656

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011520804.6A Pending CN114650159A (zh) 2020-12-21 2020-12-21 业务处理方法、装置、电子设备及存储介质

Country Status (4)

Country Link
US (1) US20240039913A1 (zh)
EP (1) EP4258603A1 (zh)
CN (1) CN114650159A (zh)
WO (1) WO2022135132A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111182537A (zh) * 2019-12-31 2020-05-19 北京指掌易科技有限公司 移动应用的网络接入方法、装置及系统

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010095988A1 (en) * 2009-02-18 2010-08-26 Telefonaktiebolaget L M Ericsson (Publ) User authentication
WO2018126483A1 (zh) * 2017-01-09 2018-07-12 华为技术有限公司 一种网络服务的控制方法及装置
CN110972092B (zh) * 2018-09-30 2021-02-23 华为技术有限公司 本地局域网通信方法、设备及系统
CN112087737B (zh) * 2019-06-14 2022-02-11 华为技术有限公司 一种通信方法、装置及系统

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111182537A (zh) * 2019-12-31 2020-05-19 北京指掌易科技有限公司 移动应用的网络接入方法、装置及系统

Also Published As

Publication number Publication date
EP4258603A1 (en) 2023-10-11
WO2022135132A1 (zh) 2022-06-30
US20240039913A1 (en) 2024-02-01

Similar Documents

Publication Publication Date Title
JP6479814B2 (ja) 仮想ネットワークにおけるアイデンティティ及びアクセス管理ベースのアクセス制御
US10230704B2 (en) System and method for providing key-encrypted storage in a cloud computing environment
US7054944B2 (en) Access control management system utilizing network and application layer access control lists
US20150200954A1 (en) Method and system for using virtual tunnel end-point registration and virtual network identifiers to manage virtual extensible local area network access
US11671363B2 (en) Method and apparatus for cross-service-zone communication, and data center network
US9973590B2 (en) User identity differentiated DNS resolution
CN105472048B (zh) 一种地址分配方法、信息聚合方法及相关设备
WO2021057348A1 (zh) 一种服务器安全防御方法及系统、通信设备、存储介质
CN111327668B (zh) 网络管理方法、装置、设备和存储介质
EP3016423A1 (en) Network safety monitoring method and system
WO2007101378A1 (fr) Dispositif, procédé et système pour acquérir une adresse ipv6
CN112771833A (zh) 向客户端节点分配标识符的方法、记录标识符的方法、对应设备、客户端节点、服务器和计算机程序
CN114650159A (zh) 业务处理方法、装置、电子设备及存储介质
US10554633B2 (en) Enhanced packet formating for security inter-computing system communication
CN113259269B (zh) 物联网终端的网络业务控制方法、装置和存储介质
US11863567B2 (en) Management of bot detection in a content delivery network
WO2021121027A1 (zh) 实现网络动态性的方法、系统、终端设备及存储介质
CN116938486A (zh) 一种访问控制的方法、装置、系统、设备及存储介质
EP2786551B1 (en) Discovering data network infrastructure services
CN113556337A (zh) 终端地址识别方法、网络系统、电子设备及存储介质
JP2004104355A (ja) ネットワークアドレス管理方法、その管理装置およびネットワークアドレス管理システム
WO2006075823A1 (en) Internet protocol address management system co-operated with authentication server
US20220255905A1 (en) Centralized management control lists for private networks
US7813274B1 (en) Dynamic demultiplexing of network traffic
CN113194076B (zh) 一种安全控制器及其实现方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination