CN116743455A - 一种报文传输方法及装置 - Google Patents

Abstract

本申请涉及网络安全技术领域，特别涉及一种报文传输方法及装置。该方法包括：接收目标用户终端发送的认证报文，其中，所述认证报文包括所述目标用户终端的网卡地址和用户令牌；判断本地维护的各用户终端的网卡地址和用户令牌的映射列表中是否存在所述用户令牌对应的表项；若存在，则在接收到源IP为所述目标用户终端的网卡地址的业务报文时，基于所述目标用户终端的权限信息进行鉴权。

Description

一种报文传输方法及装置

技术领域

本申请涉及网络安全技术领域，特别涉及一种报文传输方法及装置。

背景技术

随着云计算、物联网、移动办公等互联网技术的兴起，企业资源已不再局限于企业内部，企业员工随时随地接入企业内网的需求越来越普遍，传统的网络防护边界变得越来越模糊，传统的基于网络边界的安全防护手段越来越难以满足需求。为了解决以上问题，SDP(Software Defined Perimeter，软件定义边界)零信任技术应运而生。SDP零信任核心思想为不信任任何人、设备以及系统，对所有访问受限资源的用户进行持续动态认证和最小权限授权。

SDP零信任功能是指设备作为SDP网关与SDP控制器联动，对访问指定应用或API的用户进行身份认证和鉴权，以实现对用户身份和访问权限的集中控制，防止非法用户访问。在SDP框架中，为了安全起见，SDP连接发起主机和SDP连接接受主机之间的数据信道必须是加密信道。

用户终端在控制器认证成功后，控制器会把所有授权给用户终端的应用绑定的网关的IP返回给用户终端，用户终端会与所有返回的网关建立SSLVPN隧道，有权访问对应网关下授权的应用资源。

当前零信任方案中终端与零信任网关的数据通道都是加密通信，终端与零信任网关为加密信道，会消耗终端和零信任网关的资源，且无法对加密流量进行审计。

发明内容

本申请提供了一种报文传输方法及装置。

第一方面，本申请提供了一种报文传输方法，应用于零信任网关，其中，控制器在确定一个用户终端通过认证，且该用户终端为信任终端时，向该用户终端下发携带传输模式和该传输模式对应的参数的第一消息，并向该用户终端对应的零信任网关下发携带传输模式，该传输模式对应的参数和该用户终端的权限信息的第二消息；所述方法包括：

接收目标用户终端发送的认证报文，其中，所述认证报文包括所述目标用户终端的网卡地址和用户令牌；

判断本地维护的各用户终端的网卡地址和用户令牌的映射列表中是否存在所述用户令牌对应的表项；

若存在，则在接收到源IP为所述目标用户终端的网卡地址的业务报文时，基于所述目标用户终端的权限信息进行鉴权。

可选地，所述传输模式为非加密传输模式，所述传输模式对应的参数包括非加密传输模式的端口号，老化时间参数和动态密钥；

接收目标用户终端发送的报文，若判定该报文的目的端口号为所述非加密传输模式的端口号，则确定接收到目标用户终端发送的认证报文，其中，所述认证报文包括基于所述动态密钥加密后的所述目标用户终端的网卡地址和用户令牌；

解析所述认证报文，并基于所述动态密钥对加密后的所述目标用户终端的网卡地址和用户令牌进行解密处理；

若判定本地维护的各用户终端的网卡地址和用户令牌的映射列表中不存在所述用户令牌对应的表项，则在所述映射列表中添加所述目标用户终端的网卡地址和用户令牌的表项，并基于所述老化时间参数设置该表项的老化时间。

可选地，若判定本地维护的各用户终端的网卡地址和用户令牌的映射列表中存在所述用户令牌对应的表项，则基于所述老化时间参数刷新该表项的老化时间。

可选地，若判定本地维护的各用户终端的网卡地址和用户令牌的映射列表中存在所述用户令牌对应的表项，且该表项的网卡地址与所述目标用户终端的网卡地址不匹配，则将该表项的网卡地址更新为所述目标用户终端的网卡地址。

可选地，所述目标用户终端周期性发送认证报文；所述方法还包括：

若预设时长内未接收到所述目标用户终端发送的认证报文，则删除所述映射列表中所述用户令牌对应的表项，所述预设时长大于所述老化时间参数。

第二方面，本申请提供了一种报文传输方法，应用于控制器，所述方法包括：

接收用户终端发送的认证报文；

基于所述用户终端的网卡地址，判断所述用户终端是否为信任终端；

若判定为是，则向所述用户终端下发携带非加密传输模式和该传输模式对应的参数的第一消息，并向所述用户终端对应的零信任网关下发携带非加密传输模式，该传输模式对应的参数和所述用户终端的权限信息的第二消息。

第三方面，本申请提供了一种报文传输装置，应用于零信任网关，其中，控制器在确定一个用户终端通过认证，且该用户终端为信任终端时，向该用户终端下发携带传输模式和该传输模式对应的参数的第一消息，并向该用户终端对应的零信任网关下发携带传输模式，该传输模式对应的参数和该用户终端的权限信息的第二消息；所述装置包括：

接收单元，用于接收目标用户终端发送的认证报文，其中，所述认证报文包括所述目标用户终端的网卡地址和用户令牌；

判断单元，用于判断本地维护的各用户终端的网卡地址和用户令牌的映射列表中是否存在所述用户令牌对应的表项；

鉴权单元，若所述判断单元判定存在，则所述接收单元在接收到源IP为所述目标用户终端的网卡地址的业务报文时，所述鉴权单元基于所述目标用户终端的权限信息进行鉴权。

可选地，所述传输模式为非加密传输模式，所述传输模式对应的参数包括非加密传输模式的端口号，老化时间参数和动态密钥；所述装置还包括解析单元和添加单元；

所述接收单元用于，接收目标用户终端发送的报文，若所述判断单元判定该报文的目的端口号为所述非加密传输模式的端口号，则确定接收到目标用户终端发送的认证报文，其中，所述认证报文包括基于所述动态密钥加密后的所述目标用户终端的网卡地址和用户令牌；

解析单元，用于解析所述认证报文，并基于所述动态密钥对加密后的所述目标用户终端的网卡地址和用户令牌进行解密处理；

添加单元，若所述判断单元判定本地维护的各用户终端的网卡地址和用户令牌的映射列表中不存在所述用户令牌对应的表项，则所述添加单元用于，在所述映射列表中添加所述目标用户终端的网卡地址和用户令牌的表项，并基于所述老化时间参数设置该表项的老化时间。

可选地，所述装置还包括刷新单元；

若所述判断单元判定本地维护的各用户终端的网卡地址和用户令牌的映射列表中存在所述用户令牌对应的表项，则所述刷新单元用于，基于所述老化时间参数刷新该表项的老化时间。

可选地，若所述判断单元判定本地维护的各用户终端的网卡地址和用户令牌的映射列表中存在所述用户令牌对应的表项，且该表项的网卡地址与所述目标用户终端的网卡地址不匹配，则刷新单元用于，将该表项的网卡地址更新为所述目标用户终端的网卡地址。

可选地，所述目标用户终端周期性发送认证报文；所述装置还包括删除单元：

若预设时长内未接收到所述目标用户终端发送的认证报文，则所述删除单元用于，删除所述映射列表中所述用户令牌对应的表项，所述预设时长大于所述老化时间参数。

第四方面，本申请提供了一种报文传输装置，应用于控制器，所述装置包括：

接收单元，用于接收用户终端发送的认证报文；

判断单元，用于基于所述用户终端的网卡地址，判断所述用户终端是否为信任终端；

下发单元，若所述判断单元判定为是，则所述下发单元用于，向所述用户终端下发携带非加密传输模式和该传输模式对应的参数的第一消息，并向所述用户终端对应的零信任网关下发携带非加密传输模式，该传输模式对应的参数和所述用户终端的权限信息的第二消息。

第五方面，本申请实施例提供一种报文传输装置，该报文传输装置包括：

存储器，用于存储程序指令；

处理器，用于调用所述存储器中存储的程序指令，按照获得的程序指令执行如上述第一方面或第二方面中任一项所述的方法的步骤。

第六方面，本申请实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机可执行指令，所述计算机可执行指令用于使所述计算机执行如上述第一方面或第二方面中任一项所述方法的步骤。

综上可知，本申请实施例提供的报文传输方法，应用于零信任网关，其中，控制器在确定一个用户终端通过认证，且该用户终端为信任终端时，向该用户终端下发携带传输模式和该传输模式对应的参数的第一消息，并向该用户终端对应的零信任网关下发携带传输模式，该传输模式对应的参数和该用户终端的权限信息的第二消息；所述方法包括：接收目标用户终端发送的认证报文，其中，所述认证报文包括所述目标用户终端的网卡地址和用户令牌；判断本地维护的各用户终端的网卡地址和用户令牌的映射列表中是否存在所述用户令牌对应的表项；若存在，则在接收到源IP为所述目标用户终端的网卡地址的业务报文时，基于所述目标用户终端的权限信息进行鉴权。

采用本申请实施例提供的报文传输方法，新增非加密传输模式，实现零信任场景下数据通道不走隧道加密，节省终端和网关的资源；数据流量不走隧道可以增加流量的吞吐；数据报文不加密可以更好的进行第三方流量审计，同时，增加终端向零信任网关发送认证报文流程，若用户终端未通过零信任认证，零信任网关未收到该用户终端的认证包，那么，若该用户终端去访问业务资源时报文会被零信任网关丢弃访问请求。这样实现未认证的用户终端无法访问被零信任网关保护的资源。

附图说明

为了更加清楚地说明本申请实施例或者现有技术中的技术方案，下面将对本申请实施例或者现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据本申请实施例的这些附图获得其他的附图。

图1为一种零信任架构组网示意图；

图2为本申请实施例提供的一种报文传输方法的详细流程图；

图3为本申请实施例提供的另一种报文传输方法的详细流程图；

图4为本申请实施例提供的一种报文传输装置的结构示意图；

图5为本申请实施例提供的另一种报文传输装置的结构示意图；

图6为本申请实施例提供的一种报文传输装置的硬件架构示意图；

图7为本申请实施例提供的另一种报文传输装置的硬件架构示意图。

具体实施方式

在本申请实施例使用的术语仅仅是出于描述特定实施例的目的，而非限制本申请。本申请和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其它含义。还应当理解，本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本申请实施例可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，此外，所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

示例性的，参阅图1所示，为一种零信任架构组网示意图，在目前的零信任架构组网中，一种实现方式为，在控制通道侧：用户通过终端访问控制器认证中心，进行用户认证。认证通过后，控制器向客户端下发可访问的所有网关地址和各网关所保护的应用。控制器向网关下发和动态更新用户可访问的资源和权限。

在数据通道侧：终端用户根据返回的资源对应的网关列表与所有网关建立SSLVPN隧道访问网关后面的业务资源。

目前，在某些应用场景下，零信任方案是部署在局域网，用户只是通过零信任方案来实现对用户的权限管控和用户访问审计，所以不要求终端与零信任网关之间的流量做加密。

而当前零信任方案中终端与零信任网关的数据通道都是加密通信。不管是通过SSLVPN、Tunnel还是IPsec，都是加密流量。终端与零信任网关为加密信道，会消耗终端和零信任网关的资源，且不便于第三方对用户流量进行审计。

本申请提出了一种通过对零信任控制器、零信任终端和零信任网关的改进，实现终端与零信任网关的数据通道不进行加密，并且零信任网关可以根据用户的权限进行管控的方案。

示例性的，参阅图2所示，为本申请实施例提供的一种报文传输方法的详细流程图，该方法应用于零信任网关，该方法包括以下步骤：

步骤200：接收目标用户终端发送的认证报文。

其中，所述认证报文包括所述目标用户终端的网卡地址和用户令牌。

本申请实施例中，制器在确定一个用户终端通过认证，且该用户终端为信任终端时，向该用户终端下发携带传输模式和该传输模式对应的参数的第一消息，并向该用户终端对应的零信任网关下发携带传输模式，该传输模式对应的参数和该用户终端的权限信息的第二消息。

具体地，用户终端(客户端)向控制器进行认证；控制器根据用户输入的账号/密码等信息进行身份认证，在确定用户终端通过身份认证后，向用户终端下发用户token(用户令牌)。

进一步地，控制器判断用户终端是否为信任终端(如，内网终端)，若是，则确定用户终端与零信任网关之间的报文传输模式为非加密模式(透明模式)；否则，确定用户终端与零信任网关之间的报文传输模式为加密模。

控制器在判定用户终端为信任终端后，向该用户终端下发携带传输模式信息和该传输模式对应的参数信息的消息(第一消息)，以告知用户终端基于该传输模式(非加密传输)和该传输模式对应的参数，与零信任网关进行报文传输。

实际应用中，控制器还会确定出用户终端可访问的各业务资源，以及各业务资源分别对应的零信任网关，并向该用户终端下发可访问的零信任网关(网关IP地址)和业务资源列表。

同时，控制器还会向该用户终端对应的零信任网关下发携带传输模式，该传输模式对应的参数和该用户终端的权限信息的第二消息。

本申请实施例中，所述传输模式为非加密传输模式，所述传输模式对应的参数包括非加密传输模式的端口号，老化时间参数和动态密钥。

接收目标用户终端发送的认证报文时，一种较佳地实现方式为：接收目标用户终端发送的报文，若判定该报文的目的端口号为所述非加密传输模式的端口号，则确定接收到目标用户终端发送的认证报文，其中，所述认证报文包括基于所述动态密钥加密后的所述目标用户终端的网卡地址和用户令牌。

也就是说，目标用户终端向零信任网关发送认证报文，报文的目的IP地址为零信任网关地址，目的端口为非加密传输模式的端口，报文载荷中携带终端网卡IP地址、终端信息(AID，关联标识符)、用户令牌信息，其中，用户令牌信息和终端网卡IP地址通过动态密钥进行加密。

步骤110：判断本地维护的各用户终端的网卡地址和用户令牌的映射列表中是否存在所述用户令牌对应的表项。

具体地，解析所述认证报文，并基于所述动态密钥对加密后的所述目标用户终端的网卡地址和用户令牌进行解密处理，得到加密后的所述目标用户终端的网卡地址和用户令牌。

然后，根据用户令牌，判断本地维护的各用户终端的网卡地址和用户令牌的映射列表中是否存在与该用户令牌相匹配的表项。

若判定本地维护的各用户终端的网卡地址和用户令牌的映射列表中不存在所述用户令牌对应的表项，则在所述映射列表中添加所述目标用户终端的网卡地址和用户令牌的表项，并基于所述老化时间参数设置该表项的老化时间。

实际应用中，可以通过判断映射列表中是否维护有个用户终端的网卡地址和用户令牌，来判断该用户终端是否为在线终端，若已上线，则可以理解为映射列表中会维护有该用户终端的网卡地址和用户令牌的映射关系，若未上线，则可以理解为映射列表中不会维护该用户终端的网卡地址和用户令牌的映射关系。

步骤120：若存在，则在接收到源IP为所述目标用户终端的网卡地址的业务报文时，基于所述目标用户终端的权限信息进行鉴权。

本申请实施例中，用户终端与零信任网关之间的认证操作，其目的是为了在零信任网关上维护各认证通过的，合法终端的网卡地址和用户令牌的映射列表，以便在后续业务报文处理时，基于该映射列表，识别各业务报文所属的用户终端是否为合法终端。

具体地，若零信任网关确定接收到报文的目的端口不是非加密传输模式的端口(零信任网关可以通过报文的五元组目的端口号来识别一个报文是认证报文还是业务报文)，且报文的源IP地址匹配终端网卡地址列表(映射列表)，则判定该报文属于匹配上的终端网卡地址对应用户终端的业务报文(业务流量)，然后根据用户终端的权限信息进行鉴权。如果网关收到业务报文的源IP地址没有匹配上终端网卡地址列表，则将该报文丢弃。

本申请实施例中，若针对映射列表中每一表项设置有对应的老化时间，那么，若判定本地维护的各用户终端的网卡地址和用户令牌的映射列表中存在所述用户令牌对应的表项的情况下，还可以基于所述老化时间参数刷新该表项的老化时间。

也就是说，在线用户会周期性向零信任网关发送认证报文，以使得零信任网关基于预设周期刷新映射列表中各用户终端对应的表项。

若判定本地维护的各用户终端的网卡地址和用户令牌的映射列表中存在所述用户令牌对应的表项，且该表项的网卡地址与所述目标用户终端的网卡地址不匹配，则将该表项的网卡地址更新为所述目标用户终端的网卡地址。

也就是说，若一个用户终端的IP地址发生变化，而导致认证报文携带的网卡地址与映射列表的表项中维护的网卡地址不一致时，可以将该表项的网卡地址更新为认证报文携带的该用户终端的网卡地址(IP地址)。

进一步地，若预设时长内未接收到所述目标用户终端发送的认证报文，则删除所述映射列表中所述用户令牌对应的表项，所述预设时长大于所述老化时间参数。

例如，如果连续N个周期没有收到目标用户终端发送的认证报文，则将映射列表中目标用户终端对应的表项(目标用户终端网卡地址和用户令牌之间的映射关系)删除，(如，N≥2)。

示例性的，参阅图3所示，为本申请实施例提供的一种报文传输方法的详细流程图，该方法应用于控制器，该方法包括以下步骤：

步骤300：接收用户终端发送的认证报文。

具体地，接收用户终端发送的认证报文，基于该认证报文对用户终端身份进行认证。

步骤310：基于所述用户终端的网卡地址，判断所述用户终端是否为信任终端。

本申请实施例中，控制器需要判断该用户终端是否为信任终端，如，内网终端可以定义为信任终端，外网终端可以定义为非信任终端。

步骤320：若判定为是，则向所述用户终端下发携带非加密传输模式和该传输模式对应的参数的第一消息，并向所述用户终端对应的零信任网关下发携带非加密传输模式，该传输模式对应的参数和所述用户终端的权限信息的第二消息。

本申请实施例中，若一个用户终端为信任终端，则可以指定该用户终端与零信任网关之间的报文传输模式为非加密传输模式，若一个用户终端为非信任终端，则可以指定该用户终端与零信任网关之间的报文传输模式为加密传输模式(现有实现)。

那么，若控制器确定目标用户终端为信任终端，则确定目标用户终端的访问权限(可访问的业务资源)，可访问的业务资源对应的目标网关，目标用户终端的token(用户令牌)，目标用户终端与目标网关之间的报文传输模式(非加密模式)，报文传输参数(如，非加密模式对应的端口号，老化时间参数和动态密钥)，并向目标用户终端和目标网关发送相关信息。

例如，将用户令牌，报文传输模式，报文传输参数，目标网关的地址等信息下发给目标用户终端；将用户令牌，报文传输模式，报文传输参数，目标用户终端的权限等信息下发给目标网关。目标用户终端与目标网关之间的报文传输过程详见上文描述，在此不再赘述。

示例性的，参阅图4所示，为本申请实施例提供的一种报文传输装置的结构示意图，该装置应用于零信任网关，其中，控制器在确定一个用户终端通过认证，且该用户终端为信任终端时，向该用户终端下发携带传输模式和该传输模式对应的参数的第一消息，并向该用户终端对应的零信任网关下发携带传输模式，该传输模式对应的参数和该用户终端的权限信息的第二消息；该装置包括：

接收单元40，用于接收目标用户终端发送的认证报文，其中，所述认证报文包括所述目标用户终端的网卡地址和用户令牌；

判断单元41，用于判断本地维护的各用户终端的网卡地址和用户令牌的映射列表中是否存在所述用户令牌对应的表项；

鉴权单元42，若所述判断单元41判定存在，则所述接收单元40在接收到源IP为所述目标用户终端的网卡地址的业务报文时，所述鉴权单元42基于所述目标用户终端的权限信息进行鉴权。

可选地，所述传输模式为非加密传输模式，所述传输模式对应的参数包括非加密传输模式的端口号，老化时间参数和动态密钥；所述装置还包括解析单元和添加单元；

所述接收单元40用于，接收目标用户终端发送的报文，若所述判断单元41判定该报文的目的端口号为所述非加密传输模式的端口号，则确定接收到目标用户终端发送的认证报文，其中，所述认证报文包括基于所述动态密钥加密后的所述目标用户终端的网卡地址和用户令牌；

解析单元，用于解析所述认证报文，并基于所述动态密钥对加密后的所述目标用户终端的网卡地址和用户令牌进行解密处理；

添加单元，若所述判断单元41判定本地维护的各用户终端的网卡地址和用户令牌的映射列表中不存在所述用户令牌对应的表项，则所述添加单元用于，在所述映射列表中添加所述目标用户终端的网卡地址和用户令牌的表项，并基于所述老化时间参数设置该表项的老化时间。

可选地，所述装置还包括刷新单元；

若所述判断单元41判定本地维护的各用户终端的网卡地址和用户令牌的映射列表中存在所述用户令牌对应的表项，则所述刷新单元用于，基于所述老化时间参数刷新该表项的老化时间。

可选地，若所述判断单元41判定本地维护的各用户终端的网卡地址和用户令牌的映射列表中存在所述用户令牌对应的表项，且该表项的网卡地址与所述目标用户终端的网卡地址不匹配，则刷新单元用于，将该表项的网卡地址更新为所述目标用户终端的网卡地址。

可选地，所述目标用户终端周期性发送认证报文；所述装置还包括删除单元：

若预设时长内未接收到所述目标用户终端发送的认证报文，则所述删除单元用于，删除所述映射列表中所述用户令牌对应的表项，所述预设时长大于所述老化时间参数。

示例性的，参阅图5所示，为本申请实施例提供的一种报文传输装置的结构示意图，该装置应用于控制器，该装置包括：

接收单元50，用于接收用户终端发送的认证报文；

判断单元51，用于基于所述用户终端的网卡地址，判断所述用户终端是否为信任终端；

下发单元52，若所述判断单元51判定为是，则所述下发单元52用于，向所述用户终端下发携带非加密传输模式和该传输模式对应的参数的第一消息，并向所述用户终端对应的零信任网关下发携带非加密传输模式，该传输模式对应的参数和所述用户终端的权限信息的第二消息。

以上这些单元可以是被配置成实施以上方法的一个或多个集成电路，例如：一个或多个特定集成电路(Application Specific Integrated Circuit，简称ASIC)，或，一个或多个微处理器(digital singnal processor，简称DSP)，或，一个或者多个现场可编程门阵列(Field Programmable Gate Array，简称FPGA)等。再如，当以上某个单元通过处理元件调度程序代码的形式实现时，该处理元件可以是通用处理器，例如中央处理器(CentralProcessing Unit，简称CPU)或其它可以调用程序代码的处理器。再如，这些单元可以集成在一起，以片上系统(system-on-a-chip，简称SOC)的形式实现。

进一步地，本申请实施例提供的报文传输装置，从硬件层面而言，所述报文传输装置的硬件架构示意图可以参见图6所示，所述报文传输装置可以包括：存储器60和处理器61，

存储器60用于存储程序指令；处理器61调用存储器60中存储的程序指令，按照获得的程序指令执行上述应用于零信任网关的方法实施例。具体实现方式和技术效果类似，这里不再赘述。

可选地，本申请还提供一种零信任网关设备，包括用于执行上述应用于零信任网关的方法实施例的至少一个处理元件(或芯片)。

可选地，本申请还提供一种程序产品，例如计算机可读存储介质，该计算机可读存储介质存储有计算机可执行指令，该计算机可执行指令用于使该计算机执行上述应用于零信任网关的方法实施例。

进一步地，本申请实施例提供的报文传输装置，从硬件层面而言，所述报文传输装置的硬件架构示意图可以参见图7所示，所述报文传输装置可以包括：存储器70和处理器71，

存储器70用于存储程序指令；处理器71调用存储器70中存储的程序指令，按照获得的程序指令执行上述应用于控制器的方法实施例。具体实现方式和技术效果类似，这里不再赘述。

可选地，本申请还提供一种控制器，包括用于执行上述应用于控制器的方法实施例的至少一个处理元件(或芯片)。

可选地，本申请还提供一种程序产品，例如计算机可读存储介质，该计算机可读存储介质存储有计算机可执行指令，该计算机可执行指令用于使该计算机执行上述应用于控制器的方法实施例。

这里，机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置，可以包含或存储信息，如可执行指令、数据，等等。例如，机器可读存储介质可以是：RAM(RadomAccess Memory，随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等)，或者类似的存储介质，或者它们的组合。

上述实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机，计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。

为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

而且，这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上，使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。

Claims (10)

1.一种报文传输方法，其特征在于，应用于零信任网关，其中，控制器在确定一个用户终端通过认证，且该用户终端为信任终端时，向该用户终端下发携带传输模式和该传输模式对应的参数的第一消息，并向该用户终端对应的零信任网关下发携带传输模式，该传输模式对应的参数和该用户终端的权限信息的第二消息；所述方法包括：

接收目标用户终端发送的认证报文，其中，所述认证报文包括所述目标用户终端的网卡地址和用户令牌；

判断本地维护的各用户终端的网卡地址和用户令牌的映射列表中是否存在所述用户令牌对应的表项；

若存在，则在接收到源IP为所述目标用户终端的网卡地址的业务报文时，基于所述目标用户终端的权限信息进行鉴权。

2.如权利要求1所述的方法，其特征在于，所述传输模式为非加密传输模式，所述传输模式对应的参数包括非加密传输模式的端口号，老化时间参数和动态密钥；

接收目标用户终端发送的报文，若判定该报文的目的端口号为所述非加密传输模式的端口号，则确定接收到目标用户终端发送的认证报文，其中，所述认证报文包括基于所述动态密钥加密后的所述目标用户终端的网卡地址和用户令牌；

解析所述认证报文，并基于所述动态密钥对加密后的所述目标用户终端的网卡地址和用户令牌进行解密处理；

若判定本地维护的各用户终端的网卡地址和用户令牌的映射列表中不存在所述用户令牌对应的表项，则在所述映射列表中添加所述目标用户终端的网卡地址和用户令牌的表项，并基于所述老化时间参数设置该表项的老化时间。

3.如权利要求2所述的方法，其特征在于，

若判定本地维护的各用户终端的网卡地址和用户令牌的映射列表中存在所述用户令牌对应的表项，则基于所述老化时间参数刷新该表项的老化时间。

4.如权利要求1-3任一项所述的方法，其特征在于，若判定本地维护的各用户终端的网卡地址和用户令牌的映射列表中存在所述用户令牌对应的表项，且该表项的网卡地址与所述目标用户终端的网卡地址不匹配，则将该表项的网卡地址更新为所述目标用户终端的网卡地址。

5.如权利要求4所述的方法，其特征在于，所述目标用户终端周期性发送认证报文；所述方法还包括：

若预设时长内未接收到所述目标用户终端发送的认证报文，则删除所述映射列表中所述用户令牌对应的表项，所述预设时长大于所述老化时间参数。

6.一种报文传输方法，其特征在于，应用于控制器，所述方法包括：

接收用户终端发送的认证报文；

基于所述用户终端的网卡地址，判断所述用户终端是否为信任终端；

若判定为是，则向所述用户终端下发携带非加密传输模式和该传输模式对应的参数的第一消息，并向所述用户终端对应的零信任网关下发携带非加密传输模式，该传输模式对应的参数和所述用户终端的权限信息的第二消息。

7.一种报文传输装置，其特征在于，应用于零信任网关，其中，控制器在确定一个用户终端通过认证，且该用户终端为信任终端时，向该用户终端下发携带传输模式和该传输模式对应的参数的第一消息，并向该用户终端对应的零信任网关下发携带传输模式，该传输模式对应的参数和该用户终端的权限信息的第二消息；所述装置包括：

接收单元，用于接收目标用户终端发送的认证报文，其中，所述认证报文包括所述目标用户终端的网卡地址和用户令牌；

判断单元，用于判断本地维护的各用户终端的网卡地址和用户令牌的映射列表中是否存在所述用户令牌对应的表项；

鉴权单元，若所述判断单元判定存在，则所述接收单元在接收到源IP为所述目标用户终端的网卡地址的业务报文时，所述鉴权单元基于所述目标用户终端的权限信息进行鉴权。

8.一种报文传输装置，其特征在于，应用于控制器，所述装置包括：

接收单元，用于接收用户终端发送的认证报文；

判断单元，用于基于所述用户终端的网卡地址，判断所述用户终端是否为信任终端；

下发单元，若所述判断单元判定为是，则所述下发单元用于，向所述用户终端下发携带非加密传输模式和该传输模式对应的参数的第一消息，并向所述用户终端对应的零信任网关下发携带非加密传输模式，该传输模式对应的参数和所述用户终端的权限信息的第二消息。

9.一种报文传输装置，其特征在于，所该报文传输装置包括：

存储器，用于存储程序指令；

处理器，用于调用所述存储器中存储的程序指令，按照获得的程序指令执行如权利要求1-5或权利要求6中任一项所述的方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机可执行指令，所述计算机可执行指令用于使所述计算机执行如权利要求1-5或权利要求6中任一项所述方法的步骤。