CN117278267A - 一种增强认证方法及装置 - Google Patents

Abstract

本申请提供了一种增强认证方法及装置，该方法应用于零信任网络中的控制器中，所述控制器工作于直连模式。该方法为：在对用户的身份认证通过后，为用户配置允许所述用户访问的资源；若允许所述用户访问的资源中包括需要增强认证的目标资源，则向SDP网关下发所述允许所述用户访问的资源的资源标识、所述目标资源的增强认证标志；接收用户通过用户终端发送的增强认证报文，所述增强认证报文中携带有待访问资源的资源标识；若基于待访问资源的资源标识确认所述用户需要增强认证时，对用户进行增强认证；向所述用户终端发送用户的增强认证结果，以使所述用户终端在确认所述增强认证结果为认证通过时，通过所述SDP网关发送所述业务报文。

Description

一种增强认证方法及装置

技术领域

本申请涉及通信技术领域，尤其涉及一种增强认证方法及装置。

背景技术

随着云计算、物联网、移动办公等互联网技术的兴起，企业资源已不再局限于企业内部，企业员工随时随地接入企业内网的需求越来越普遍，传统的网络防护边界变得越来越模糊，传统的基于网络边界的安全防护手段越来越难以满足需求。为了解决以上问题，SDP零信任技术应运而生。SDP零信任核心思想为不信任任何人、设备以及系统，对所有访问受限资源的用户进行持续动态认证和最小权限授权。

SDP(Software Defined Perimeter，软件定义边界)零信任功能是指设备作为SDP网关与SDP控制器联动，对访问指定应用或API的用户进行身份认证和鉴权，以实现对用户身份和访问权限的集中控制，防止非法用户访问。在零信任场景中SDP网关作为企业边界设备连接远端用户和企业内部网络。

在零信任网络的直连模式下，用户终端与SDP网关之间进行交互时，由于没有长连接来进行通信保活，而导致用户上线后访问需要增强认证的应用时，SDP网关不能推送增强认证消息以实现对用户的二次认证，进而导致SDP网关在接收到需要二次认证的用户的应用访问时，而阻断用户的访问。

因此，如何在零信任网络的直连模式下，实现对用户进行应用访问时的增强认证是值得考虑的技术问题之一。

发明内容

有鉴于此，本申请提供一种增强认证方法及装置，用以在零信任网络的直连模式下，实现对用户进行应用访问时的增强认证。

具体地，本申请是通过如下技术方案实现的：

根据本申请的第一方面，提供一种增强认证方法，应用于零信任网络中的控制器中，所述控制器工作于直连模式；所述方法，包括：

在对用户的身份认证通过后，为所述用户配置允许所述用户访问的资源；

若所述允许所述用户访问的资源中包括需要增强认证的目标资源，则向SDP网关下发所述允许所述用户访问的资源的资源标识、所述目标资源的增强认证标志；

接收所述用户通过用户终端发送的增强认证报文，所述增强认证报文中携带有待访问资源的资源标识，其中，所述增强认证报文为所述用户终端在接收到所述SDP网关发送的针对所述待访问资源的增强认证消息后发送的，所述增强认证消息为所述SDP网关在接收到所述用户通过所述用户终端访问所述待访问资源的业务报文时，在根据所述目标资源的增强认证标志和所述业务报文中待访问资源的资源标识确认需要进行增强认证时发送的；

若基于所述待访问资源的资源标识确认所述用户需要增强认证时，对所述用户进行增强认证；

向所述用户终端发送所述用户的增强认证结果，以使所述用户终端在确认所述增强认证结果为认证通过时，通过所述SDP网关发送所述业务报文。

根据本申请的第二方面，提供另一种增强认证方法，应用于零信任网络中的SDP网关中，所述方法，包括：

接收零信任网络中的控制器发送的、允许用户访问的资源的资源标识，以及需要增强认证的目标资源对应的增强认证标志；

接收所述用户通过用户终端发送的待访问资源的业务报文，所述业务报文携带所述待访问资源的资源标识；

若所述目标资源包括所述待访问资源，则向所述用户终端发送增强认证消息，以使所述用户终端接收到所述增强认证消息后，向所述控制器发送增强认证报文；

接收所述用户终端再次发送的访问所述待访问资源的业务报文，其中，所述业务报文为所述用户终端在所述控制器根据所述增强认证报文对所述用户增强认证通过后发送的；

转发所述业务报文。

根据本申请的第三方面，提供一种增强认证装置，设置于零信任网络中的控制器中，所述控制器工作于直连模式；所述装置，包括：

配置模块，用于在对用户的身份认证通过后，为所述用户配置允许所述用户访问的资源；

发送模块，用于若所述允许所述用户访问的资源中包括需要增强认证的目标资源，则向SDP网关下发所述允许所述用户访问的资源的资源标识、所述目标资源的增强认证标志；

接收模块，用于接收所述用户通过用户终端发送的增强认证报文，所述增强认证报文中携带有待访问资源的资源标识，其中，所述增强认证报文为所述用户终端在接收到所述SDP网关发送的针对所述待访问资源的增强认证消息后发送的，所述增强认证消息为所述SDP网关在接收到所述用户通过所述用户终端访问所述待访问资源的业务报文时，在根据所述目标资源的增强认证标志和所述业务报文中待访问资源的资源标识确认需要进行增强认证时发送的；

认证模块，用于若基于所述待访问资源的资源标识确认所述用户需要增强认证时，对所述用户进行增强认证；

所述发送模块，还用于向所述用户终端发送所述用户的增强认证结果，以使所述用户终端在确认所述增强认证结果为认证通过时，通过所述SDP网关发送所述业务报文。

根据本申请的第四方面，提供另一种增强认证装置，设置于零信任网络中的SDP网关中，所述装置，包括：

第一接收模块，用于接收零信任网络中的控制器发送的、允许用户访问的资源的资源标识，以及需要增强认证的目标资源对应的增强认证标志；

第二接收模块，用于接收所述用户通过用户终端发送的待访问资源的业务报文，所述业务报文携带所述待访问资源的资源标识；

发送模块，用于若所述目标资源包括所述待访问资源，则向所述用户终端发送增强认证消息，以使所述用户终端接收到所述增强认证消息后，向所述控制器发送增强认证报文；

所述第二接收模块，还用于接收所述用户终端再次发送的访问所述待访问资源的业务报文，其中，所述业务报文为所述用户终端在所述控制器根据所述增强认证报文对所述用户增强认证通过后发送的；

转发模块，用于转发所述业务报文。

根据本申请的第五方面，提供一种电子设备，包括处理器和机器可读存储介质，机器可读存储介质存储有能够被处理器执行的计算机程序，处理器被计算机程序促使执行本申请实施例第一方面所提供的方法，或者执行本申请实施例第二方面所提供的方法。

根据本申请的第六方面，提供一种机器可读存储介质，机器可读存储介质存储有计算机程序，在被处理器调用和执行时，计算机程序促使处理器执行本申请实施例第一方面所提供的方法，或者执行本申请实施例第二方面所提供的方法。

本申请实施例的有益效果：

本申请实施例提供的增强认证方法及装置中，在对用户的身份认证通过后，为用户配置允许所述用户访问的资源；若允许所述用户访问的资源中包括需要增强认证的目标资源，则向SDP网关下发允许所述用户访问的资源的资源标识、目标资源的增强认证标志；接收用户通过用户终端发送的增强认证报文，增强认证报文中携带有待访问资源的资源标识；若基于待访问资源的资源标识确认用户需要增强认证时，对用户进行增强认证；向用户终端发送用户的增强认证结果，以使用户终端在确认增强认证结果为认证通过时，通过SDP网关发送业务报文。

由此，实现了用户在直连模式下访问业务资源时的增强认证，进一步保证了需要增强认证的业务资源的安全性。此外，通过对用户进行增强认证，有效降低了风险高的用户访问业务资源时所带来的安全隐患。

附图说明

图1是本申请实施例提供的一种增强认证方法的流程示意图；

图2是本申请实施例提供的另一种增强认证方法的流程示意图；

图3是本申请实施例提供的一种增强认证装置的结构示意图；

图4是本申请实施例提供的另一种增强认证装置的结构示意图；

图5是本申请实施例提供的一种实施增强认证方法的电子设备的硬件结构示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如本申请的一些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

下面对本申请提供的报文处理方法进行详细地说明。

参见图1，图1是本申请提供的一种报文处理方法的流程图，该方法可以应用于零信任网络中的控制器中，该控制器工作于直连模式下。该控制器在实施上述方法时，可包括如下所示步骤：

S101、在对用户的身份认证通过后，为所述用户配置允许所述用户访问的资源。

本步骤中，用户在访问零信任网络中的业务资源之前，需要先向零信任网络中的控制器进行认证，故用户会通过用户终端向控制器发送认证报文，如SPA报文。这样，控制器在接收到认证报文后，会对用户的身份进行认证。如上述认证报文可以携带用户的用户信息(可以但不限于包括用户名、密码等等)。此外，由于控制器工作于直连模式，该直连模式一般用于为内网用户提供快速的业务资源访问服务，因此，控制器在对用户进行认证时，会先根据认证报文中的源IP地址来确认用户是否为内网用户，当源IP地址在内网地址池中时，则确认用户属于内网用户，则控制器可以为该用户提供直连模式的业务资源访问。

具体地，控制器在基于用户信息对用户的身份认证通过后，除了为用户分配用于访问零信任网络中业务资源的用户token之外，还会为该用户分配允许其访问的零信任网络中业务资源的资源标识。

值得注意的是，上述资源可以但不限于包括应用等业务资源；相应地，资源标识可以为应用ID等等。

S102、若所述允许所述用户访问的资源中包括需要增强认证的目标资源，则向SDP网关下发所述允许所述用户访问的资源的资源标识、所述目标资源的增强认证标志。

本步骤中，为了实现用户访问某业务资源时的增强认证，以保护该业务资源的安全性，本实施例提出，控制器本地会为每个需要增强认证的业务资源配置一个增强认证标志。这样，在为用户配置允许其访问的业务资源后，根据上述配置了增强认证标志的业务资源，发现分配的业务资源中包括需要增强认证的业务资源时，即上述目标资源，则可以用于为该用户提供业务资源访问支持的SDP网关发送允许该用户访问的业务资源的资源标识，以及目标资源的增强认证标志，使得SDP网关接收到上述信息后在本地进行存储。

值得注意的是，上述SDP网关的确定方式可以为：控制器中可以预先维护每个业务资源与SDP网关之间的对应关系，这样，在为用户分配好允许其访问的业务资源后，就可以基于上述对应关系确定出分配的业务资源对应的SDP网关。

可选地，控制器在向SDP网关下发业务资源的资源标识时，可以以业务资源列表的形式下发，即该业务资源列表包括允许所述用户访问的业务资源的资源标识，及目标资源的增强认证标志，以便SDP网关在本地进行存储。

S103、接收所述用户通过用户终端发送的增强认证报文，所述增强认证报文中携带有待访问资源的资源标识。

其中，上述增强认证报文为所述用户终端在接收到所述SDP网关发送的针对所述待访问资源的增强认证消息后发送的，所述增强认证消息为所述SDP网关在接收到所述用户通过所述用户终端访问所述待访问资源的业务报文时，在根据所述目标资源的增强认证标志和所述业务报文中待访问资源的资源标识确认需要进行增强认证时发送的。

本步骤中，控制器在向SDP网关下发上述内容的同时，也会向用户的用户终端下发允许该用户访问的业务资源的资源标识，此外，还可以下发业务资源对应的SDP网关的网关信息，以及上述控制器分配的用户token等等。具体来说，由于控制器工作于直连模式，且控制器确认用户为内网用户后，会向用户终端返回上述用户token、网关信息、资源信息之外，还会返回“-1”包，以便用户后续访问网关时进行认证。

这样，用户终端在接收到控制器反馈的其能访问的业务资源标识后，就可以从中选择其所要访问的业务资源，记为上述待访问资源；当选定待访问资源后，用户终端就可以确定基于控制器下发的业务资源与SDP网关的对应关系中，确定出本次提供用户访问待访问资源服务的SDP网关。然后用户终端就可以根据该SDP网关的网关信息中的网关IP地址与该SDP网关建立通信连接，在建立通信连接后，会向该SDP网关进行认证，如可以向SDP网关发送上述“-1”包，该“-1”包可以携带控制器为该用户分配的用户token、用户IP地址。使得SDP网关接收到该“-1”包后，就可以从中解析出用户token和用户IP地址(源IP地址)；然后将解析出的内容与控制器反馈给该SDP网关的该用户的用户token和IP地址进行比对，在比对一致时，表明对该用户认证通过，从而SDP网关就可以记录该用户的用户token与IP地址之间的对应关系。

需要说明的是，用户终端在向SDP网关发送上述“-1”包之前，该“-1”包携带的用户token与IP地址可以进行加密处理，即利用控制器反馈给该用户的密钥对其进行加密处理，得到加密数据。这样，SDP网关接收到该加密数据后，可以利用控制器反馈给SDP网关的密钥对加密数据先进行解密处理，在解密成功后，就可以成功解析出用户token与IP地址。

在SDP网关对用户认证通过后，用户终端就可以向SDP网关发送业务报文，该业务报文会携带待访问资源的资源标识，这样，SDP网关在接收到该业务报文后，会提取出待访问资源的资源标识，并基于从控制器获取到的业务资源列表确认用户是否具有访问待访问资源的访问权限，若业务资源列表中包含待访问资源的资源标识，则确认其具有访问待访问资源的访问权限。进一步地，若确认待访问资源在业务资源列表中维护有增强认证标志，则表明用户要访问该待访问资源需要进行进一步地认证，故SDP网关会阻断当前的业务报文，同时触发启动探测机制，即，SDP网关会向用户终端发送增强认证消息，以便用户终端接收到该增强认证消息后，就会获知用户本次访问上述待访问资源时，需要进行增强认证。故用户终端会向控制器发送增强认证报文，该增强认证报文会携带待访问资源的业务标识等信息。

值得注意的是，SDP网关在向用户终端发送增强认证消息时，可以包括下述过程：在确认其与所述用户终端保持通信连接之后，向用户终端发送增强认证消息。

具体地，SDP网关会探测其与用户终端之间的连通性，在确认其与用户终端之间的通信连接处于保活状态时，再向用户终端发送上述增强认证消息。

S104、若基于所述待访问资源的资源标识确认所述用户需要增强认证时，对所述用户进行增强认证。

本步骤中，控制器本地维护了需要增强认证的业务资源对应的增强认证标志，因此，在接收到用户终端发送的增强认证报文后，会从中解析出待访问资源的资源标识，然后在本地查询该资源标识对应的业务资源是否有增强认证标志，当确认存在增强认证标志时，则表明该待访问资源需要进行增强认证，即需要进一步鉴权，控制器可以向用户终端返回需要增强认证的确认结果。

可选地，可以按照下述方法对用户进行增强认证：为所述用户生成验证码；将所述验证码发送给验证平台；接收所述用户反馈的验证码；若所述用户反馈的验证码与为所述用户生成的验证码一致，则确认对所述用户增强认证通过；若不一致，则确认对所述用户增强认证不通过。

具体地，控制器可以随机生成一个验证码，然后将该验证码发送给验证平台，以便验证平台通话查询该用户的通信方式，将验证码发送给用户的用户终端。即，控制器在向验证平台发送验证码的同时，还会将用户的在该验证平台的联系方式发送给验证平台，这样，验证平台接收到该联系方式后，就可以通过该联系方式将上述验证码发送给该用户的用户终端。这样，用户终端在获取到验证码后，就可以展示给用户，使得用户在进行增强认证时，键入上述验证码，具体来说，控制器会向用户终端发送验证码输入界面，这样用户就可以通过用户终端输入接收到的验证码。这样，控制器在接收到该验证码后，就可以判断接收到的验证码和为其生成的验证码是否一致，在确认一致时，则表明对用户访问待访问资源时增强认证通过。若确认不一致，则表明用户增强认证不通过，则不允许该用户访问待访问资源。

需要说明的是，上述验证平台可以但不限于为短信平台或企业微信平台等等。以短信平台为例进行说明，由于用户为内网用户，因此，用户的手机号一般会在内网进行维护，因此，控制器可以获取到用户的手机号，这样，就可以将验证码及用户的手机号一并发送给短信平台，这样，短信平台就可以通过该手机号向用户发送控制器生成的验证码。

S105、向所述用户终端发送所述用户的增强认证结果，以使所述用户终端在确认所述增强认证结果为认证通过时，通过所述SDP网关发送所述业务报文。

本步骤中，在对用户终端进行增强认证后，就可以将增强认证结果发送给用户终端。当增强认证结果为认证通过后，用户就可以通过用户终端向SDP网关再次发送待访问资源的业务报文，以便SDP网关将业务报文转发给待访问资源的资源服务器，进而实现用户对需要增强认证的业务资源的访问。而当增强认证结果为认证不通过时，则用户终端可以拒绝用户访问待访问资源。

具体来说，控制器在得到用户的增强认证结果后，可以将其发送给SDP网关，这样，SDP网关当接收到用户再次访问待访问资源的业务报文后，就可以根据增强认证结果进行转发处理。在SDP网关接收到用户再次发送的访问待访问资源的业务报文后，若增强认证结果为认证通过，则SDP网关可以转发该业务报文；反之，若认证不通过，则SDP网关可以进行阻断处理。

可选地，基于上述任一实施例，本实施例中，控制器在对用户的身份认证通过后，还可以执行下述过程：当确认所述用户为内网用户时，则分别向SDP网关和所述用户终端下发直连模式的指示信息，以使所述SDP网关和所述用户终端工作于所述直连模式。

具体地，由于控制器工作于直连模式，因此，为了方便为内网用户提供服务，控制器在对用户的身份认证通过后，会分别向用户终端及SDP网关下发指示信息，以使用户终端接收到该指示信息后，分别工作于直连模式，以更快捷地为内网用户提供服务。

值得注意的是，控制器可以在向用户终端下发业务资源的资源标识及token的同时，下发上述指示信息；相应地，控制器可以在向SDP网关下发业务资源列表的同时下发上述指示信息。

本申请提供的增强认证方法中，在对用户的身份认证通过后，为用户配置允许所述用户访问的资源；若允许所述用户访问的资源中包括需要增强认证的目标资源，则向SDP网关下发允许所述用户访问的资源的资源标识、目标资源的增强认证标志；接收用户通过用户终端发送的增强认证报文，增强认证报文中携带有待访问资源的资源标识；若基于待访问资源的资源标识确认用户需要增强认证时，对用户进行增强认证；向用户终端发送用户的增强认证结果，以使用户终端在确认增强认证结果为认证通过时，通过SDP网关发送业务报文。

由此，实现了用户在直连模式下访问业务资源时的增强认证，进一步保证了需要增强认证的业务资源的安全性。此外，通过对用户进行增强认证，有效降低了风险高的用户访问业务资源时所带来的安全隐患。

基于同一发明构思，本实施例还提供了一种SDP网关侧提供的增强认证方法，参考图2所示的增强认证方法的流程示意图，上述SDP网关在实施上述方法时，可以包括如下所示步骤：

S201、接收零信任网络中的控制器发送的、允许用户访问的资源的资源标识，以及需要增强认证的目标资源对应的增强认证标志。

本步骤中，在用户在控制器上认证通过后，控制器除了为用户分配用于访问零信任网络中业务资源的用户token之外，还会为该用户分配允许其访问的零信任网络中业务资源的资源标识。

此外，为了实现用户访问某业务资源时的增强认证，以保护该业务资源的安全性，本实施例提出，控制器本地会为每个需要增强认证的业务资源配置一个增强认证标志。这样，在为用户配置允许其访问的业务资源后，根据上述配置了增强认证标志的业务资源，发现分配的业务资源中包括需要增强认证的业务资源时，即上述目标资源，则可以用于为该用户提供业务资源访问支持的SDP网关发送允许该用户访问的业务资源的资源标识，以及目标资源的增强认证标志。这样，SDP网关在接收到上述信息后，就可以在本地进行存储，以便为后续用户访问业务资源时提供服务支持。

S202、接收所述用户通过用户终端发送的待访问资源的业务报文，所述业务报文携带所述待访问资源的资源标识。

本步骤中，用户终端在接收到控制器反馈的其能访问的业务资源标识后，就可以从中选择其所要访问的业务资源，记为上述待访问资源；当选定待访问资源后，用户终端就可以确定基于控制器下发的业务资源与SDP网关的对应关系中，确定出本次提供用户访问待访问资源服务的SDP网关。然后用户终端就可以根据该SDP网关的网关信息中的网关IP地址与该SDP网关建立通信连接，在建立通信连接后，会向该SDP网关进行认证，如可以向SDP网关发送上述“-1”包，该“-1”包可以携带控制器为该用户分配的用户token、用户IP地址。使得SDP网关接收到该“-1”包后，就可以从中解析出用户token和用户IP地址(源IP地址)；然后将解析出的内容与控制器反馈给该SDP网关的该用户的用户token和IP地址进行比对，在比对一致时，表明对该用户认证通过，从而SDP网关就可以记录该用户的用户token与IP地址之间的对应关系。在比对不一致时，则表明该用户未鉴权通过，则可以直接丢弃该业务报文。

需要说明的是，用户终端在向SDP网关发送上述“-1”包之前，该“-1”包携带的用户token与IP地址可以进行加密处理，即利用控制器反馈给该用户的密钥对其进行加密处理，得到加密数据。这样，SDP网关接收到该加密数据后，可以利用控制器反馈给SDP网关的密钥对加密数据先进行解密处理，在解密成功后，就可以成功解析出用户token与IP地址。

在SDP网关对用户认证通过后，用户终端就可以向SDP网关发送业务报文，该业务报文会携带待访问资源的资源标识。

S203、若所述目标资源包括所述待访问资源，则向所述用户终端发送增强认证消息，以使所述用户终端接收到所述增强认证消息后，向所述控制器发送增强认证报文。

本步骤中，SDP网关在接收到该业务报文后，会提取出待访问资源的资源标识，并基于从控制器获取到的业务资源列表确认用户是否具有访问待访问资源的访问权限，若业务资源列表中包含待访问资源的资源标识，则确认其具有访问待访问资源的访问权限。进一步地，若确认待访问资源在业务资源列表中维护有增强认证标志，则表明用户要访问该待访问资源需要进行进一步地认证，故SDP网关会阻断当前的业务报文，同时触发启动探测机制，即，SDP网关会向用户终端发送增强认证消息，以便用户终端接收到该增强认证消息后，就会获知用户本次访问上述待访问资源时，需要进行增强认证。故用户终端会向控制器发送增强认证报文，该增强认证报文会携带待访问资源的业务标识等信息。而当业务资源列表包括的待访问资源未配置增强认证标志时，则表明该待访问业务资源不需要增强认证，则可以转发该业务报文。

值得注意的是，SDP网关在向用户终端发送增强认证消息时，可以包括下述过程：在确认其与所述用户终端保持通信连接之后，向用户终端发送增强认证消息。

具体地，SDP网关会探测其与用户终端之间的连通性，在确认其与用户终端之间的通信连接处于保活状态时，再向用户终端发送上述增强认证消息。

S204、接收所述用户终端再次发送的访问所述待访问资源的业务报文，其中，所述业务报文为所述用户终端在所述控制器根据所述增强认证报文对所述用户增强认证通过后发送的。

S205、转发所述业务报文。

步骤S204和S205中，在用户终端接收到SDP网关发送的增强认证消息后，就可以向控制器进行增强认证，即向控制器发送增强认证报文。在控制器对其增强认证通过后，就可以向SDP网关再次发送关于待访问资源的业务报文。这样，SDP网关就可以向待访问资源的资源服务器转发该业务报文，以实现在增强认证通过后对业务资源的访问。

值得注意的是，控制器在得到用户的增强认证结果后，可以将其发送给SDP网关，这样，SDP网关当接收到用户再次访问待访问资源的业务报文后，就可以根据增强认证结果进行转发处理。在SDP网关接收到用户再次发送的访问待访问资源的业务报文后，若增强认证结果为认证通过，则SDP网关可以转发该业务报文；反之，若认证不通过，则SDP网关可以进行阻断处理。

此外，用户终端在再次向SDP网关发送待访问资源的业务报文时，该业务报文可以携带控制器反馈的增强认证结果，以便SDP网关接收到该业务报文后，根据上述增强认证结果对业务报文执行转发处理。SDP网关在接收到增强认证结果后，一种实施例中，SDP网关若确认增强认证结果为认证通过，则放行业务报文；若结果为认证不通过，则丢弃该业务报文；另一种实施例中，SDP网关在确认增强认证结果为认证通过后，可以进一步向控制器确认，在确认控制器反馈的增强认证结果也为认证通过时，则放行该业务报文；否则，丢弃该业务报文。

由此一来，实现了用户在直连模式下访问业务资源时的增强认证，进一步保证了需要增强认证的业务资源的安全性。此外，通过对用户进行增强认证，有效降低了风险高的用户访问业务资源时所带来的安全隐患。

进一步地，由于SDP网关工作于直连模式，因此，SDP网关会对其与用户的用户终端之间的连接状态进行监测处理，若设定周期内未接收到用户终端发送的“-1”包，则SDP网关就可以删除本地为该用户维护的用于提供该用户资源访问服务的相关信息，如删除用户的IP地址与用户token之间的对应关系，而该对应关系一般以表项形式维护，故删除该用户的表项即可。可选地，上述设定周期可以但不限于为3个周期等等。若设定周期内接收到用户终端发送的“-1”包，则刷新上述表项。

为了更好地理解本申请提供的增强认证方法，以下述实施例为例进行说明：

步骤1：SDP网关向控制器进行注册上线，建立云管道和restful和子连接。

步骤2：控制器会向SDP网关返回注册成功并上线的消息。

具体地，控制器可以通过restful子连接向SDP网关下发kafka地址、端口和用于表征该设备的唯一的设备标识，当SDP网关基于上述kafka地址向kafka注册成功后，控制器上会显示该SDP网关上线。

步骤3：控制器通过kafka消息向网关下发各业务资源的资源信息以及下发用于开启直连模式的配置。

步骤4：用户通过用户终端向控制器进行认证，控制器在接收到认证后，可以获取用户终端的源IP地址；并判断源IP地址是否属于内网地址，在判断结果为是时，则可以开启直连模式；若判断结果为否，则不属于直连模式访问。

步骤5：控制器在确认属于直连模式访问时，可以向SDP网关发送该用户的用户信息(如用户名)、为该用户分配的用户token、动态密钥，以及允许该用户访问的应用资源的资源标识；当允许该用户访问的应用资源中包括需要增强认证的目标应用时，则下发目标应用的增强认证标志。

步骤6：控制器向用户终端反馈为上述用户token、允许访问的应用资源、及允许访问的应用资源对应的SDP网关的网关信息(如网关IP地址)、“-1”包。

步骤7：用户终端基于网关信息向SDP网关发送“-1”包，携带用户IP、用户token(可以用动态密钥进行加密)。SDP网关对“-1”包进行解密，并验证用户token与控制器反馈的token是否一致，若一致，则可以确认对用户认证通过，即表明用户在线；同时生成用户IP地址与用户token之间的对应关系的表项；向用户终端反馈认证成功的认证消息。

步骤8：在SDP网关认证通过后，用户终端就可以根据用户选择的待访问资源配置路由，然后基于该路由想SDP网关发送访问待访问资源的业务报文；SDP网关在接收到该业务报文后，可以从业务报文中获取源IP地址和用户token，然后查询表项，以判定获取到的源IP地址和用户token是否与表项中记录的IP地址与用户token相匹配，当匹配一致时，表明本次对用户终端鉴权通过；在鉴权通过后，会从业务报文中获取待访问资源的资源标识，然后判断允许该用户访问的应用资源中是否包括待访问资源，在确认包含时，进一步确认待访问资源是否有增强认证标志；当确认有增强认证标志时，则SDP网关此时不会转发该业务报文，而是会触发启动探测机制，以主动探测SDP网关与用户终端之间的连通性。在确认连接正常时，可以向用户终端推送增强认证消息，以便用户终端向控制器进行增强认证。若前述匹配不一致，则丢弃上述业务报文且不会触发主动探测机制。

步骤9：用户终端在接收到SDP网关发送的上述增强认证消息后，若期望继续访问待访问资源，则会向控制器发送增强认证报文，该增强认证报文可以携带待访问资源的资源标识；这样，控制器在接收到该增强认证报文后，可以基于增强认证报文中的资源标识确认是否需要增强认证，当确认需要增强认证时，可以向用户终端发送增强认证界面；同时，生成一个随机验证码，并将随机验证码发送给验证平台(如短信服务器)，以使验证平台将随机验证码发送给用户；

步骤10：当用户获取到随机验证码后，就可以将其输入到上述增强认证界面并提交到控制器，以便控制器对其进行增强认证；并在对用户增强认证通过后，向用户终端发送增强认证通过的增强认证结果。

步骤11：用户终端在接收到增强认证通过的结果后，就可以再次向SDP网关发送访问待访问资源的业务报文，以便SDP网关放行该业务报文。

至此，实现了用户在直连模式下访问业务资源时的增强认证，进一步保证了需要增强认证的业务资源的安全性。此外，通过对用户进行增强认证，有效降低了风险高的用户访问业务资源时所带来的安全隐患。

基于同一发明构思，本申请还提供了与上述控制器提供的增强认证方法对应的增强认证装置。该增强认证装置的实施具体可以参考上述控制器对增强认证方法的描述，此处不再一一论述。

参见图3，图3是本申请一示例性实施例提供的一种增强认证装置，设置于零信任网络中的控制器中，所述控制器工作于直连模式；所述装置，包括：

配置模块301，用于在对用户的身份认证通过后，为所述用户配置允许所述用户访问的资源；

发送模块302，用于若所述允许所述用户访问的资源中包括需要增强认证的目标资源，则向SDP网关下发所述允许所述用户访问的资源的资源标识、所述目标资源的增强认证标志；

接收模块303，用于接收所述用户通过用户终端发送的增强认证报文，所述增强认证报文中携带有待访问资源的资源标识，其中，所述增强认证报文为所述用户终端在接收到所述SDP网关发送的针对所述待访问资源的增强认证消息后发送的，所述增强认证消息为所述SDP网关在接收到所述用户通过所述用户终端访问所述待访问资源的业务报文时，在根据所述目标资源的增强认证标志和所述业务报文中待访问资源的资源标识确认需要进行增强认证时发送的；

认证模块304，用于若基于所述待访问资源的资源标识确认所述用户需要增强认证时，对所述用户进行增强认证；

所述发送模块302，还用于向所述用户终端发送所述用户的增强认证结果，以使所述用户终端在确认所述增强认证结果为认证通过时，通过所述SDP网关发送所述业务报文。

由此，实现了用户在直连模式下访问业务资源时的增强认证，进一步保证了需要增强认证的业务资源的安全性。此外，通过对用户进行增强认证，有效降低了风险高的用户访问业务资源时所带来的安全隐患。

可选地，基于上述任一实施例，本实施例中，上述认证模块304，具体用于为所述用户生成验证码；将所述验证码发送给验证平台；接收所述用户反馈的验证码；若所述用户反馈的验证码与为所述用户生成的验证码一致，则确认对所述用户增强认证通过；若不一致，则确认对所述用户增强认证不通过。

可选地，基于上述任一实施例，本实施例中，上述发送模块302，还用于在在对用户的身份认证通过后，当确认所述用户为内网用户时，则分别向SDP网关和所述用户终端下发直连模式的指示信息，以使所述SDP网关和所述用户终端工作于所述直连模式。

基于同一发明构思，本申请还提供了与上述SDP网关提供的增强认证方法对应的增强认证装置。该增强认证装置的实施具体可以参考上述SDP网关对增强认证方法的描述，此处不再一一论述。

参见图4，图4是本申请一示例性实施例提供的另一种增强认证装置，设置于零信任网络中的SDP网关中，所述装置，包括：

第一接收模块401，用于接收零信任网络中的控制器发送的、允许用户访问的资源的资源标识，以及需要增强认证的目标资源对应的增强认证标志；

第二接收模块402，用于接收所述用户通过用户终端发送的待访问资源的业务报文，所述业务报文携带所述待访问资源的资源标识；

发送模块403，用于若所述目标资源包括所述待访问资源，则向所述用户终端发送增强认证消息，以使所述用户终端接收到所述增强认证消息后，向所述控制器发送增强认证报文；

所述第二接收模块402，还用于接收所述用户终端再次发送的访问所述待访问资源的业务报文，其中，所述业务报文为所述用户终端在所述控制器根据所述增强认证报文对所述用户增强认证通过后发送的；

转发模块404，用于转发所述业务报文。

由此，实现了用户在直连模式下访问业务资源时的增强认证，进一步保证了需要增强认证的业务资源的安全性。此外，通过对用户进行增强认证，有效降低了风险高的用户访问业务资源时所带来的安全隐患。

可选地，基于上述实施例，本实施例中，上述发送模块403，具体用于在确认其与所述用户终端保持通信连接之后，向所述用户终端发送增强认证消息。

基于同一发明构思，本申请实施例提供了一种电子设备，该电子设备可以但不限于为上述控制器或者SDP网关。如图5所示，该电子设备可以包括处理器501和机器可读存储介质502，机器可读存储介质502存储有能够被处理器501执行的计算机程序，处理器501被计算机程序促使执行本申请任一实施例所提供的增强认证方法。此外，该电子设备还包括通信接口503和通信总线504，其中，处理器501，通信接口503，机器可读存储介质502通过通信总线504完成相互间的通信。

上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect，PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture，EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

通信接口用于上述电子设备与其他设备之间的通信。

上述机器可读存储介质502可以为存储器，该存储器可以包括随机存取存储器(Random Access Memory，RAM)、DDR SRAM(Double Data Rate Synchronous DynamicRandom Access Memory，双倍速率同步动态随机存储器)，也可以包括非易失性存储器(Non-Volatile Memory，NVM)，例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。

上述的处理器可以是通用处理器，包括中央处理器(Central Processing Unit，CPU)、网络处理器(Network Processor，NP)等；还可以是数字信号处理器(Digital SignalProcessor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

对于电子设备以及机器可读存储介质实施例而言，由于其涉及的方法内容基本相似于前述的方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

上述装置中各个单元/模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元/模块可以是或者也可以不是物理上分开的，作为单元/模块显示的部件可以是或者也可以不是物理单元/模块，即可以位于一个地方，或者也可以分布到多个网络单元/模块上。可以根据实际的需要选择其中的部分或者全部单元/模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。

Claims (12)

1.一种增强认证方法，其特征在于，应用于零信任网络中的控制器中，所述控制器工作于直连模式；所述方法，包括：

在对用户的身份认证通过后，为所述用户配置允许所述用户访问的资源；

若所述允许所述用户访问的资源中包括需要增强认证的目标资源，则向SDP网关下发所述允许所述用户访问的资源的资源标识、所述目标资源的增强认证标志；

接收所述用户通过用户终端发送的增强认证报文，所述增强认证报文中携带有待访问资源的资源标识，其中，所述增强认证报文为所述用户终端在接收到所述SDP网关发送的针对所述待访问资源的增强认证消息后发送的，所述增强认证消息为所述SDP网关在接收到所述用户通过所述用户终端访问所述待访问资源的业务报文时，在根据所述目标资源的增强认证标志和所述业务报文中待访问资源的资源标识确认需要进行增强认证时发送的；

若基于所述待访问资源的资源标识确认所述用户需要增强认证时，对所述用户进行增强认证；

向所述用户终端发送所述用户的增强认证结果，以使所述用户终端在确认所述增强认证结果为认证通过时，通过所述SDP网关发送所述业务报文。

2.根据权利要求1所述的方法，其特征在于，对所述用户进行增强认证，包括：

为所述用户生成验证码；

将所述验证码发送给验证平台；

接收所述用户反馈的验证码；

若所述用户反馈的验证码与为所述用户生成的验证码一致，则确认对所述用户增强认证通过；

若不一致，则确认对所述用户增强认证不通过。

3.根据权利要求1所述的方法，其特征在于，在对用户的身份认证通过后，还包括：

当确认所述用户为内网用户时，则分别向SDP网关和所述用户终端下发直连模式的指示信息，以使所述SDP网关和所述用户终端工作于所述直连模式。

4.一种增强认证方法，其特征在于，应用于零信任网络中的SDP网关中，所述方法，包括：

接收零信任网络中的控制器发送的、允许用户访问的资源的资源标识，以及需要增强认证的目标资源对应的增强认证标志；

接收所述用户通过用户终端发送的待访问资源的业务报文，所述业务报文携带所述待访问资源的资源标识；

若所述目标资源包括所述待访问资源，则向所述用户终端发送增强认证消息，以使所述用户终端接收到所述增强认证消息后，向所述控制器发送增强认证报文；

接收所述用户终端再次发送的访问所述待访问资源的业务报文，其中，所述业务报文为所述用户终端在所述控制器根据所述增强认证报文对所述用户增强认证通过后发送的；

转发所述业务报文。

5.根据权利要求4所述的方法，其特征在于，向所述用户终端发送增强认证消息，包括：

在确认其与所述用户终端保持通信连接之后，向所述用户终端发送增强认证消息。

6.一种增强认证装置，其特征在于，设置于零信任网络中的控制器中，所述控制器工作于直连模式；所述装置，包括：

配置模块，用于在对用户的身份认证通过后，为所述用户配置允许所述用户访问的资源；

发送模块，用于若所述允许所述用户访问的资源中包括需要增强认证的目标资源，则向SDP网关下发所述允许所述用户访问的资源的资源标识、所述目标资源的增强认证标志；

接收模块，用于接收所述用户通过用户终端发送的增强认证报文，所述增强认证报文中携带有待访问资源的资源标识，其中，所述增强认证报文为所述用户终端在接收到所述SDP网关发送的针对所述待访问资源的增强认证消息后发送的，所述增强认证消息为所述SDP网关在接收到所述用户通过所述用户终端访问所述待访问资源的业务报文时，在根据所述目标资源的增强认证标志和所述业务报文中待访问资源的资源标识确认需要进行增强认证时发送的；

认证模块，用于若基于所述待访问资源的资源标识确认所述用户需要增强认证时，对所述用户进行增强认证；

所述发送模块，还用于向所述用户终端发送所述用户的增强认证结果，以使所述用户终端在确认所述增强认证结果为认证通过时，通过所述SDP网关发送所述业务报文。

7.根据权利要求6所述的装置，其特征在于，

所述认证模块，具体用于为所述用户生成验证码；将所述验证码发送给验证平台；接收所述用户反馈的验证码；若所述用户反馈的验证码与为所述用户生成的验证码一致，则确认对所述用户增强认证通过；若不一致，则确认对所述用户增强认证不通过。

8.根据权利要求6所述的装置，其特征在于，

所述发送模块，还用于在在对用户的身份认证通过后，当确认所述用户为内网用户时，则分别向SDP网关和所述用户终端下发直连模式的指示信息，以使所述SDP网关和所述用户终端工作于所述直连模式。

9.一种增强认证装置，其特征在于，设置于零信任网络中的SDP网关中，所述装置，包括：

第一接收模块，用于接收零信任网络中的控制器发送的、允许用户访问的资源的资源标识，以及需要增强认证的目标资源对应的增强认证标志；

第二接收模块，用于接收所述用户通过用户终端发送的待访问资源的业务报文，所述业务报文携带所述待访问资源的资源标识；

发送模块，用于若所述目标资源包括所述待访问资源，则向所述用户终端发送增强认证消息，以使所述用户终端接收到所述增强认证消息后，向所述控制器发送增强认证报文；

所述第二接收模块，还用于接收所述用户终端再次发送的访问所述待访问资源的业务报文，其中，所述业务报文为所述用户终端在所述控制器根据所述增强认证报文对所述用户增强认证通过后发送的；

转发模块，用于转发所述业务报文。

10.根据权利要求9所述的装置，其特征在于，

所述发送模块，具体用于在确认其与所述用户终端保持通信连接之后，向所述用户终端发送增强认证消息。

11.一种电子设备，其特征在于，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的计算机程序，所述处理器被所述计算机程序促使执行权利要求1-3任一项所述的方法，或者执行权利要求4或5所述的方法。

12.一种机器可读存储介质，其特征在于，所述机器可读存储介质存储有计算机程序，在被处理器调用和执行时，所述计算机程序促使所述处理器执行权利要求1-3任一项所述的方法，或者执行权利要求4或5所述的方法。