CN115442100A - 基于多节点零信任网关的数据访问方法及相关设备 - Google Patents
基于多节点零信任网关的数据访问方法及相关设备 Download PDFInfo
- Publication number
- CN115442100A CN115442100A CN202211038457.2A CN202211038457A CN115442100A CN 115442100 A CN115442100 A CN 115442100A CN 202211038457 A CN202211038457 A CN 202211038457A CN 115442100 A CN115442100 A CN 115442100A
- Authority
- CN
- China
- Prior art keywords
- zero
- trust
- gateway
- local area
- area network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于多节点零信任网关的数据访问方法及相关设备,属于网络安全技术领域,零信任网关在注册报文中携带网关局域网地址和互联网地址,从而使得零信任控制器对零信任网关以互联网地址相同为依据进行分组,根据SPA认证请求报文中的零信任客户端的互联网地址以及预先的分组关系,查找选择同组网关局域网地址,从而确定目标网关局域网地址分配给零信任客户端,使得零信任客户端实现就近接入。因此,零信任控制器通过接收到的零信任网关的注册报文,自动对零信任网关进行分组,零信任控制器通过零信任客户端SPA认证请求报文的互联网地址,自动查找零信任网关组,避免了人工对零信任网关和客户端的维护,动态适应网关的替换和迁移。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种基于多节点零信任网关的数据访问方法及相关设备。
背景技术
将企业的总部和分部分设在不同地区已经成为很多企业的发展模式,总部和分部之间通常通过互联网进行连接。总部和分部的局域网都有办公终端区和服务器区,在数据通信过程中,企业通常通过实施零信任方案来对服务器访问进行数据保护,例如,所有办公终端都安装零信任客户端软件、在总部部署一台零信任控制器、在总部和分部都部署零信任网关等。由于分部和总部的办公终端数量大,因此每个分部和总部的局域网内都部署了多台零信任网关,进行负载分担,提高终端接入性能。
在办公终端需要访问本部的服务器或者其它分部的服务器时,需要执行以下操作:启动零信任客户端软件;零信任客户端软件向零信任控制器发起SPA(Single PacketAuthentication,单包授权)认证请求;零信任控制器收到SPA认证请求报文,完成SPA认证。如果SPA认证通过,零信任控制器会为零信任客户端分配一个零信任网关进行接入,该零信任网关必须与零信任客户端位于同一局域网中,实现就近接入,零信任控制器选定的零信任网关的局域网IP地址发送给零信任客户端。零信任客户端从零信任控制器收到自己接入的零信任网关的局域网IP地址后,向该IP地址发起安全隧道创建请求,安全隧道建立成功后,零信任客户端通过安全隧道访问服务器。
在上述流程中,为了实现完成零信任客户端的就近接入,零信任控制器收到零信任客户端的SPA认证请求报文后,需要知道零信任客户端属于哪个分部或者总部;零信任控制器需要知道每个分部和总部有哪些零信任网关。但是,相关技术中,零信任控制器的设置方式通常由管理员在零信任控制器上提前人工录入所有零信任网关和零信任终端的部门归属,并由人工进行信息更新。该方式依赖人工维护信息,动态性差。
发明内容
有鉴于此,本发明的目的在于提供一种基于多节点零信任网关的数据访问方法及相关设备,以克服目前零信任控制器的设置方式依赖于人工,动态性差的问题。
为实现以上目的,本发明采用如下技术方案:
一方面,一种基于多节点零信任网关的数据访问方法,包括:
接收每个零信任网关发送的注册报文,每份所述注册报文包括对应的所述零信任网关的网关局域网地址和互联网地址;
以所述互联网地址相同为基准,对所述零信任网关进行分组,得到每组网关的互联网地址和网关局域网地址关联关系;
接收零信任客户端的SPA认证请求报文,所述SPA认证请求报文包括所述零信任客户端的互联网地址;
根据所述零信任客户端的互联网地址,以及,所述每组网关的互联网地址和网关局域网地址关联关系,确定与所述零信任客户端的互联网地址相对应的同组网关局域网地址;
在所述同组网关局域网地址中确定目标网关局域网地址,将所述目标网关局域网地址放入SPA认证回应报文中,将所述SPA认证回应报文发送至所述零信任客户端,以使所述零信任客户端完成就近接入。
可选的,所述在所述同组网关局域网地址中确定目标网关局域网地址,包括:
在所述同组网关局域网地址中选择任一网关局域网地址作为目标网关局域网地址。
又一方面,一种基于多节点零信任网关的数据访问系统,包括:零信任控制器、零信任客户端和设置在不同区域的零信任网关;
所述零信任控制器用于执行上述任一所述的多节点零信任网关自动分组方法。
可选的,所述零信任网关,用于获取网关局域网址和互联网地址;同一区域的所述零信任网关的网关局域网址不同,同一区域的所述零信任网关的互联网地址相同;不同区域的所述零信任网关的互联网地址不同。
可选的,所述零信任客户端用于通过网卡设置,获取所述零信任客户端的局域网地址;确定初步SPA认证请求报文,所述初步SPA认证请求报文携带所述零信任客户端的局域网地址;通过出口路由器将所述零信任客户端的初步SPA认证请求报文的源地址转换为所述零信任客户端的互联网地址,将转换后携带所述零信任客户端的互联网地址的初步SPA认证请求报文作为SPA认证请求报文发送至所述零信任控制器。
可选的,所述零信任客户端,还用于:接收所述SPA认证回应报文,根据所述SPA认证回应报文确定目标网关局域网地址,向所述目标网关局域网地址发送安全隧道建立请求,以实现就近接入。
又一方面,一种基于多节点零信任网关的数据访问装置,包括:
第一接收模块,用于接收每个零信任网关发送的注册报文,每份所述注册报文包括对应的所述零信任网关的网关局域网地址和互联网地址;
分组模块,用于以所述互联网地址相同为基准,对所述零信任网关进行分组,得到每组网关的互联网地址和网关局域网地址关联关系;
第二接收模块,用于接收零信任客户端的SPA认证请求报文,所述SPA认证请求报文包括所述零信任客户端的互联网地址;
确定模块,用于根据所述零信任客户端的互联网地址,以及,所述每组网关的互联网地址和网关局域网地址关联关系,确定与所述零信任客户端的互联网地址相对应的同组网关局域网地址;
发送模块,用于在所述同组网关局域网地址中确定目标网关局域网地址,将所述目标网关局域网地址放入SPA认证回应报文中,将所述SPA认证回应报文发送至所述零信任客户端,以使所述零信任客户端完成就近接入。
又一方面,一种基于多节点零信任网关的数据访问设备,包括处理器和存储器,所述处理器与存储器相连:
其中,所述处理器,用于调用并执行所述存储器中存储的程序;
所述存储器,用于存储所述程序,所述程序至少用于执行上述任一项所述的多节点零信任网关自动分组方法。
本发明实施例提供的基于多节点零信任网关的数据访问方法及相关设备,每个零信任网关向零信任控制器发送注册报文,在注册报文中携带网关局域网地址和互联网地址,从而使得零信任控制器对零信任网关以互联网地址相同为依据进行分组,在收到零信任客户端的SPA认证请求报文后,根据SPA认证请求报文中的零信任客户端的互联网地址以及预先的分组关系,查找选择同组网关局域网地址,从而确定目标网关局域网地址分配给零信任客户端,使得零信任客户端实现就近接入。因此,采用本申请的技术方案,零信任控制器通过接收到的零信任网关的注册报文,自动对零信任网关进行分组,避免了人工对零信任网关的维护,动态适应网关的替换和迁移;零信任控制器通过零信任客户端SPA认证请求报文的互联网地址,自动查找零信任网关组,从而在网关组分配零信任网关完成客户端的就近接入,避免人工维护客户端,动态适应客户端的流动办公。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于多节点零信任网关的数据访问系统的结构示意图;
图2为本发明实施例提供的又一种基于多节点零信任网关的数据访问系统的结构示意图;
图3为本发明实施例提供的一种基于多节点零信任网关的数据访问方法的流程示意图;
图4为本发明实施例提供的一种基于多节点零信任网关的数据访问装置的结构示意图;
图5为本发明实施例提供的一种基于多节点零信任网关的数据访问设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将对本发明的技术方案进行详细的描述。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施方式,都属于本发明所保护的范围。
相关技术中,为了实现完成零信任客户端的就近接入,零信任控制器收到零信任客户端的SPA认证请求报文后,需要知道零信任客户端属于哪个分部或者总部;零信任控制器需要知道每个分部和总部有哪些零信任网关。但是,相关技术中,零信任控制器的设置方式通常由管理员在零信任控制器上提前人工录入所有零信任网关和零信任终端的部门归属,并由人工进行信息更新。该方式依赖人工维护信息,动态性差。
基于此,本发明实施例提供一种基于多节点零信任网关的数据访问方法及相关设备。
图1为本发明实施例提供的一种基于多节点零信任网关的数据访问系统的结构示意图,参阅图1,本申请提供的系统可以包括以下结构:零信任控制器11、零信任客户端12和设置在不同区域的零信任网关13;零信任控制器用于执行本申请实施例提供的多节点零信任网关自动分组方法。
以总部设置在北京,分部分别设置在成都、重庆和武汉为例,对整体技术方案进行说明。图2为本发明实施例提供的又一种基于多节点零信任网关的数据访问系统的结构示意图,参阅图2,其中,零信任控制器11可以设置在总部A,在总部同时设置有通过路由器14相连的零信任网关,总部和分部的局域网可以都设置有办公终端区和服务器区。分部B1、分部B2、分部B3可以设置零信任网关和路由器。
在一些实施例中,零信任网关,用于获取网关局域网址和互联网地址;同一区域的零信任网关的网关局域网址不同,同一区域的零信任网关的互联网地址相同;不同区域的零信任网关的互联网地址不同。
具体的,在一个具体的实现过程中,每个零信任网关都配置一个网关局域网地址,每一个分部/总部的路由器都有一个从运行商获得的互联网地址。例如,每个零信任网关通过查询自己的网卡配置,获取网关局域网地址。零信任网关通过命令(例如:curlifconfig.me)获取自己所在网络的互联网地址。同一个分部/总部的多台网关,局域网地址一定不同,互联网地址一定相同。不同分部/总部的网关,互联网地址一定不同。
图3为本发明实施例提供的一种基于多节点零信任网关的数据访问方法的流程示意图,参阅图3,本申请提供的基于多节点零信任网关的数据访问方法,可以包括以下步骤:
S31、接收每个零信任网关发送的注册报文,每份注册报文包括对应的零信任网关的网关局域网地址和互联网地址。
具体的,每个零信任网关在获取到网关局域网和互联网地址后,向零信任控制器发送注册报文,零信任控制器可以接收每个零信任网关发送的注册报文,其中,注册报文携带每个零信任控制器自身的网关局域网地址和互联网地址。
S32、以互联网地址相同为基准,对零信任网关进行分组,得到每组网关的互联网地址和网关局域网地址关联关系。
在接收到注册报文后,零信任控制器可以互联网地址相同为基准,对零信任网关进行分组,得到每组网关的互联网地址和网关局域网地址关联关系,例如,关联关系可以为如下分组表:
表1分组表
参阅表1,以互联网地址相同为基准,可以将零信任网关分为四组,第一组为北京总部互联网地址,其中,网关局域网地址可以包括北京总部网关1局域网地址和北京总部网关2局域网地址;第二组为成都分部互联网地址,其中,网关局域网地址可以包括成都分部网关1局域网地址和成都分部网关2局域网地址;第三组为重庆分部互联网地址,其中,网关局域网地址可以包括重庆分部网关1局域网地址和重庆分部网关2局域网地址;第四组为武汉分部互联网地址,其中,网关局域网地址可以包括武汉分部网关1局域网地址和武汉分部网关2局域网地址。
S33、接收零信任客户端的SPA认证请求报文,SPA认证请求报文包括零信任客户端的互联网地址。
在一些实施例中,零信任客户端用于通过网卡设置,获取零信任客户端的局域网地址;确定初步SPA认证请求报文,初步SPA认证请求报文携带零信任客户端的局域网地址;通过出口路由器将零信任客户端的初步SPA认证请求报文的源地址转换为零信任客户端的互联网地址,将转换后携带零信任客户端的互联网地址的初步SPA认证请求报文作为SPA认证请求报文发送至零信任控制器。
例如,零信任客户端通过查询自己的网卡配置,获取局域网地址;零信任客户端向零信任控制器发送SPA认证请求报文,报文内容携带自己的局域网地址。SPA认证请求报文经过自己所在网络的路由器时,路由器会对报文的局域网地址做NAT(Network AddressTranslation,网络地址转换)转换,其中,初步SPA认证请求报文的源地址为零信任客户端的局域网地址,将局域网地址转换为互联网地址。零信任控制器可以收到已经经过网络地址转换后的SPA认证请求报文,SPA认证请求报文包括零信任客户端的互联网地址。
S34、根据零信任客户端的互联网地址,以及,每组网关的互联网地址和网关局域网地址关联关系,确定与零信任客户端的互联网地址相对应的同组网关局域网地址。
在获得到零信任客户端发送的SPA认证请求报文后,根据SPA认证请求报文中的互联网地址,和之前步骤S32中构建的分组表,确定同组网关局域网地址。例如,若零信任客户端的互联网地址为成都分部互联网地址,则确定同组网关局域网地址为第二组的成都分部网关1局域网地址、成都分部网关1局域网地址。
S35、在同组网关局域网地址中确定目标网关局域网地址,将目标网关局域网地址放入SPA认证回应报文中,将SPA认证回应报文发送至零信任客户端,以使零信任客户端完成就近接入。
例如,可以在成都分部网关1局域网地址、成都分部网关1局域网地址中任意确定一个网关局域网地址为目标网关局域网地址,将其放入到SPA认证回应报文中,将SPA认证回应报文发送给零信任客户端。
在一些实施例中,零信任客户端,还用于:接收SPA认证回应报文,根据SPA认证回应报文确定目标网关局域网地址,向目标网关局域网地址发送安全隧道建立请求,以实现就近接入。
例如,零信任客户端从零信任控制器收到SPA认证回应报文后,从报文内容获取自己接入的零信任网关的局域网地址,向该地址发送安全隧道建立请求,实现就近接入。
本发明实施例提供的基于多节点零信任网关的数据访问系统,每个零信任网关向零信任控制器发送注册报文,在注册报文中携带网关局域网地址和互联网地址,从而使得零信任控制器对零信任网关以互联网地址相同为依据进行分组,在收到零信任客户端的SPA认证请求报文后,根据SPA认证请求报文中的零信任客户端的互联网地址以及预先的分组关系,查找选择同组网关局域网地址,从而确定目标网关局域网地址分配给零信任客户端,使得零信任客户端实现就近接入。因此,采用本申请的技术方案,零信任控制器通过接收到的零信任网关的注册报文,自动对零信任网关进行分组,避免了人工对零信任网关的维护,动态适应网关的替换和迁移;零信任控制器通过零信任客户端SPA认证请求报文的互联网地址,自动查找零信任网关组,从而在网关组分配零信任网关完成客户端的就近接入,避免人工维护客户端,动态适应客户端的流动办公。
基于一个总的发明构思,本发明实施例还提供一种基于多节点零信任网关的数据访问方法。
如图3所示,本发明实施例提供的方法可以包括以下步骤:
S31、接收每个零信任网关发送的注册报文,每份注册报文包括对应的零信任网关的网关局域网地址和互联网地址;
S32、以互联网地址相同为基准,对零信任网关进行分组,得到每组网关的互联网地址和网关局域网地址关联关系;
S33、接收零信任客户端的SPA认证请求报文,SPA认证请求报文包括零信任客户端的互联网地址;
S34、根据零信任客户端的互联网地址,以及,每组网关的互联网地址和网关局域网地址关联关系,确定与零信任客户端的互联网地址相对应的同组网关局域网地址;
S35、在同组网关局域网地址中确定目标网关局域网地址,将目标网关局域网地址放入SPA认证回应报文中,将SPA认证回应报文发送至零信任客户端,以使零信任客户端完成就近接入。
可选的,在同组网关局域网地址中确定目标网关局域网地址,包括:
在同组网关局域网地址中选择任一网关局域网地址作为目标网关局域网地址。
本发明实施例提供的基于多节点零信任网关的数据访问方法,每个零信任网关向零信任控制器发送注册报文,在注册报文中携带网关局域网地址和互联网地址,从而使得零信任控制器对零信任网关以互联网地址相同为依据进行分组,在收到零信任客户端的SPA认证请求报文后,根据SPA认证请求报文中的零信任客户端的互联网地址以及预先的分组关系,查找选择同组网关局域网地址,从而确定目标网关局域网地址分配给零信任客户端,使得零信任客户端实现就近接入。因此,采用本申请的技术方案,零信任控制器通过接收到的零信任网关的注册报文,自动对零信任网关进行分组,避免了人工对零信任网关的维护,动态适应网关的替换和迁移;零信任控制器通过零信任客户端SPA认证请求报文的互联网地址,自动查找零信任网关组,从而在网关组分配零信任网关完成客户端的就近接入,避免人工维护客户端,动态适应客户端的流动办公。
基于一个总的发明构思,本发明实施例还提供一种基于多节点零信任网关的数据访问装置。
图4为本发明实施例提供的一种基于多节点零信任网关的数据访问装置的结构示意图,参阅图4,本发明实施例提供的装置可以包括:
第一接收模块41,用于接收每个零信任网关发送的注册报文,每份注册报文包括对应的零信任网关的网关局域网地址和互联网地址;
分组模块42,用于以互联网地址相同为基准,对零信任网关进行分组,得到每组网关的互联网地址和网关局域网地址关联关系;
第二接收模块43,用于接收零信任客户端的SPA认证请求报文,SPA认证请求报文包括零信任客户端的互联网地址;
确定模块44,用于根据零信任客户端的互联网地址,以及,每组网关的互联网地址和网关局域网地址关联关系,确定与零信任客户端的互联网地址相对应的同组网关局域网地址;
发送模块45,用于在同组网关局域网地址中确定目标网关局域网地址,将目标网关局域网地址放入SPA认证回应报文中,将SPA认证回应报文发送至零信任客户端,以使零信任客户端完成就近接入。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
基于一个总的发明构思,本发明实施例还提供一种基于多节点零信任网关的数据访问设备。
图5为本发明实施例提供的一种基于多节点零信任网关的数据访问设备的结构示意图,参阅图5,本实施例的设备包括处理器51和存储器52,处理器51与存储器52相连。其中,处理器51用于调用并执行存储器52中存储的程序;存储器52用于存储程序,程序至少用于执行以上实施例中的基于多节点零信任网关的数据访问方法。
可以理解的是,上述各实施例中相同或相似部分可以相互参考,在一些实施例中未详细说明的内容可以参见其他实施例中相同或相似的内容。
需要说明的是,在本发明的描述中,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。此外,在本发明的描述中,除非另有说明,“多个”的含义是指至少两个。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (8)
1.一种基于多节点零信任网关的数据访问方法,其特征在于,包括:
接收每个零信任网关发送的注册报文,每份所述注册报文包括对应的所述零信任网关的网关局域网地址和互联网地址;
以所述互联网地址相同为基准,对所述零信任网关进行分组,得到每组网关的互联网地址和网关局域网地址关联关系;
接收零信任客户端的SPA认证请求报文,所述SPA认证请求报文包括所述零信任客户端的互联网地址;
根据所述零信任客户端的互联网地址,以及,所述每组网关的互联网地址和网关局域网地址关联关系,确定与所述零信任客户端的互联网地址相对应的同组网关局域网地址;
在所述同组网关局域网地址中确定目标网关局域网地址,将所述目标网关局域网地址放入SPA认证回应报文中,将所述SPA认证回应报文发送至所述零信任客户端,以使所述零信任客户端完成就近接入。
2.根据权利要求1所述的方法,其特征在于,所述在所述同组网关局域网地址中确定目标网关局域网地址,包括:
在所述同组网关局域网地址中选择任一网关局域网地址作为目标网关局域网地址。
3.一种基于多节点零信任网关的数据访问系统,其特征在于,包括:零信任控制器、零信任客户端和设置在不同区域的零信任网关;
所述零信任控制器用于执行权利要求1-2任一所述的多节点零信任网关自动分组方法。
4.根据权利要求3所述的系统,其特征在于,所述零信任网关,用于获取网关局域网址和互联网地址;同一区域的所述零信任网关的网关局域网址不同,同一区域的所述零信任网关的互联网地址相同;不同区域的所述零信任网关的互联网地址不同。
5.根据权利要求3所述的系统,其特征在于,所述零信任客户端用于通过网卡设置,获取所述零信任客户端的局域网地址;确定初步SPA认证请求报文,所述初步SPA认证请求报文携带所述零信任客户端的局域网地址;通过出口路由器将所述零信任客户端的初步SPA认证请求报文的源地址转换为零信任客户端的互联网地址,将转换后携带所述零信任客户端的互联网地址的初步SPA认证请求报文作为SPA认证请求报文发送至所述零信任控制器。
6.根据权利要求3所述的系统,其特征在于,所述零信任客户端,还用于:接收所述SPA认证回应报文,根据所述SPA认证回应报文确定目标网关局域网地址,向所述目标网关局域网地址发送安全隧道建立请求,以实现就近接入。
7.一种基于多节点零信任网关的数据访问装置,其特征在于,包括:
第一接收模块,用于接收每个零信任网关发送的注册报文,每份所述注册报文包括对应的所述零信任网关的网关局域网地址和互联网地址;
分组模块,用于以所述互联网地址相同为基准,对所述零信任网关进行分组,得到每组网关的互联网地址和网关局域网地址关联关系;
第二接收模块,用于接收零信任客户端的SPA认证请求报文,所述SPA认证请求报文包括所述零信任客户端的互联网地址;
确定模块,用于根据所述零信任客户端的互联网地址,以及,所述每组网关的互联网地址和网关局域网地址关联关系,确定与所述零信任客户端的互联网地址相对应的同组网关局域网地址;
发送模块,用于在所述同组网关局域网地址中确定目标网关局域网地址,将所述目标网关局域网地址放入SPA认证回应报文中,将所述SPA认证回应报文发送至所述零信任客户端,以使所述零信任客户端完成就近接入。
8.一种基于多节点零信任网关的数据访问设备,其特征在于,包括处理器和存储器,所述处理器与存储器相连:
其中,所述处理器,用于调用并执行所述存储器中存储的程序;
所述存储器,用于存储所述程序,所述程序至少用于执行权利要求1-2任一项所述的多节点零信任网关自动分组方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211038457.2A CN115442100A (zh) | 2022-08-29 | 2022-08-29 | 基于多节点零信任网关的数据访问方法及相关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211038457.2A CN115442100A (zh) | 2022-08-29 | 2022-08-29 | 基于多节点零信任网关的数据访问方法及相关设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115442100A true CN115442100A (zh) | 2022-12-06 |
Family
ID=84244278
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211038457.2A Pending CN115442100A (zh) | 2022-08-29 | 2022-08-29 | 基于多节点零信任网关的数据访问方法及相关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115442100A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115776408A (zh) * | 2022-12-08 | 2023-03-10 | 四川启睿克科技有限公司 | 基于零信任的单包多级认证方法 |
| CN117729062A (zh) * | 2024-02-07 | 2024-03-19 | 北京中核华辉科技发展有限公司 | 用于企业网络的组网方法、装置及系统 |
| CN117729062B (zh) * | 2024-02-07 | 2024-05-28 | 北京中核华辉科技发展有限公司 | 用于企业网络的组网方法、装置及系统 |
-
2022
- 2022-08-29 CN CN202211038457.2A patent/CN115442100A/zh active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115776408A (zh) * | 2022-12-08 | 2023-03-10 | 四川启睿克科技有限公司 | 基于零信任的单包多级认证方法 |
| CN115776408B (zh) * | 2022-12-08 | 2024-05-14 | 四川启睿克科技有限公司 | 基于零信任的单包多级认证方法 |
| CN117729062A (zh) * | 2024-02-07 | 2024-03-19 | 北京中核华辉科技发展有限公司 | 用于企业网络的组网方法、装置及系统 |
| CN117729062B (zh) * | 2024-02-07 | 2024-05-28 | 北京中核华辉科技发展有限公司 | 用于企业网络的组网方法、装置及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20220107848A1 (en) | Edge service providing method and apparatus, and device | |
| CN109587254B (zh) | 云服务器访问方法、装置、云服务器及存储介质 | |
| CN108881308B (zh) | 一种用户终端及其认证方法、系统、介质 | |
| US11218956B2 (en) | Network management method and system | |
| CN110830538B (zh) | 一种消息传输方法、装置及存储介质 | |
| US10630551B2 (en) | Method and apparatus for automatic networking of gateway device | |
| US20220060881A1 (en) | Group management method, apparatus, and system | |
| CN109417492B (zh) | 一种网络功能nf管理方法及nf管理设备 | |
| CN103580980A (zh) | 虚拟网络自动发现和自动配置的方法及其装置 | |
| US10075410B2 (en) | Apparatus and methods for assigning internetwork addresses | |
| US11800587B2 (en) | Method for establishing subflow of multipath connection, apparatus, and system | |
| CN109561054B (zh) | 一种数据传输方法、控制器及接入设备 | |
| CN114025009B (zh) | 转发请求的方法、系统、代理服务器和装置 | |
| CN115442100A (zh) | 基于多节点零信任网关的数据访问方法及相关设备 | |
| JP2003078541A (ja) | ネットワーク接続装置、ネットワーク接続システム及びネットワーク接続方法 | |
| CN108024306B (zh) | 一种tcp连接管理方法及网关设备 | |
| CN110336793B (zh) | 一种内网访问方法及相关装置 | |
| CN114679370B (zh) | 一种服务器托管方法、装置、系统及存储介质 | |
| US8285853B2 (en) | Message and system for implementing the inter-access of stack members | |
| CN111385371B (zh) | Mac地址获取方法、装置和设备 | |
| CN110324826B (zh) | 一种内网访问方法及相关装置 | |
| CN114531279A (zh) | 专网接入方法、服务器及存储介质 | |
| CN109327517B (zh) | 获取无线接入点网络状态的方法及设备 | |
| CN110324318B (zh) | 一种内网访问方法及相关装置 | |
| CN114499965B (zh) | 一种基于pop3协议的上网认证方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |