一种报文处理方法、装置、设备及存储介质与流程

本申请涉及通信，尤其涉及一种报文处理方法、装置、设备及存储介质。

背景技术：

1、随着云计算、物联网、移动办公等互联网技术的兴起，企业资源已不再局限于企业内部，企业员工随时随地接入企业内网的需求越来越普遍，传统的网络防护边界变得越来越模糊，传统的基于网络边界的安全防护手段越来越难以满足需求。为了解决以上问题，sdp零信任技术应运而生。sdp零信任核心思想为不信任任何人、设备以及系统，对所有访问受限资源的用户进行持续动态认证和最小权限授权。

2、sdp(software defined perimeter，软件定义边界)零信任功能是指设备作为sdp网关与sdp控制器联动，对访问指定应用或api的用户进行身份认证和鉴权，以实现对用户身份和访问权限的集中控制，防止非法用户访问。在零信任场景中sdp网关作为企业边界设备连接远端用户和企业内部网络。

3、在零信任支持多网关场景下，零信任控制器可以创建受保护的应用并且把应用指定到不同的零信任网关上，例如，控制器为用户a同时授权了网关1的应用1和网关2的应用2。用户a通过用户终端接入零信任网络首先向控制器进行用户认证后，由于同时授权了用户a在网关1和网关2的应用，控制器向用户终端同时返回网关1和网关2的地址，用户终端向网关1和网关2同时建立隧道，并且在用户终端上创建虚机网卡配置地址，把应用1和应用2的地址添加到本地路由并且将下一跳配置为虚机网卡地址。之后，用户a访问应用1时用户终端将资源访问流量转发到网关1；用户a访问应用2时用户终端将资源访问流量转发到网关2，由此实现用户a对应用1和应用2的访问。

4、但是，如果零信任控制器创建的应用1和应用2的地址相同(比如应用地址为10.1.1.2)，用户a接入零信任网络后，由于应用1和应用2的地址相同，使得用户终端上只下发了一条路由10.1.1.2，用户a在访问应用1或者应用2时，用户终端无法区分将资源访问流量转发到网关1或者网关2，进而可能导致应用访问失败。

5、因此，如何在零信任网络中，不同的网关设备分别支持相同地址的不同应用时，能够将用户访问该应用时准确地转发到对应网关设备是值得考虑的技术问题之一。

技术实现思路

1、有鉴于此，本申请提供一种报文处理方法、装置、设备及存储介质，用以在零信任网络中，不同的网关设备分别支持相同地址的不同应用时，能够将用户访问该应用时准确地转发到对应网关设备。

2、具体地，本申请是通过如下技术方案实现的：

3、根据本申请的第一方面，提供一种报文处理方法，应用于零信任网络中的网关设备中，所述方法，包括：

4、接收用户终端发送的用户访问目标应用的业务报文，所述业务报文为所述用户终端在获取到允许所述用户访问的应用的应用信息后，在访问目标应用时，基于本地存储业务表中应用信息与网关设备之间的对应关系确定出所述目标应用对应的网关设备之后发送的，其中，不同的应用对应的应用信息不同；

5、若基于所述业务报文确认所述用户具有访问所述目标应用的访问权限，则转发所述业务报文。

6、根据本申请的第二方面，提供一种报文处理方法，应用于用户的用户终端中，所述方法，包括：

7、在用户需要访问目标应用时，基于本地业务表中记录的允许所述用户访问的应用的应用信息与网关设备之间的对应关系，得到所述目标应用对应的目标网关设备，其中，不同的应用对应的应用信息不同；

8、向零信任网络中的所述目标网关设备发送访问所述目标应用的业务报文。

9、根据本申请的第三方面，提供一种报文处理装置，设置于零信任网络中的网关设备中，所述装置，包括：

10、接收模块，用于接收用户终端发送的用户访问目标应用的业务报文，所述业务报文为所述用户终端在获取到允许所述用户访问的应用的应用信息后，在访问目标应用时，基于本地存储业务表中应用信息与网关设备之间的对应关系确定出所述目标应用对应的网关设备之后发送的，其中，不同的应用对应的应用信息不同；

11、转发模块，用于若基于所述业务报文确认所述用户具有访问所述目标应用的访问权限，则转发所述业务报文。

12、根据本申请的第四方面，提供一种报文处理装置，设置于用户的用户终端中，所述装置，包括：

13、获得模块，用于在用户需要访问目标应用时，基于本地业务表中记录的允许所述用户访问的应用的应用信息与网关设备之间的对应关系，得到所述目标应用对应的目标网关设备，其中，不同的应用对应的应用信息不同；

14、发送模块，用于向零信任网络中的所述目标网关设备发送访问所述目标应用的业务报文。

15、根据本申请的第五方面，提供一种电子设备，包括处理器和机器可读存储介质，机器可读存储介质存储有能够被处理器执行的计算机程序，处理器被计算机程序促使执行本申请实施例第一方面所提供的方法，或者执行本申请实施例第二方面多提供的方法。

16、根据本申请的第六方面，提供一种机器可读存储介质，机器可读存储介质存储有计算机程序，在被处理器调用和执行时，计算机程序促使处理器执行本申请实施例第一方面所提供的方法，或者执行本申请实施例第二方面多提供的方法。

17、本申请实施例的有益效果：

18、本申请实施例提供的报文处理方法、装置、设备及存储介质，接收用户终端发送的用户访问目标应用的业务报文，若基于业务报文确认用户具有访问目标应用的访问权限，则转发业务报文。由于上述业务报文是用户终端在获取到允许用户访问的应用的应用信息后，用户在访问目标应用时，用户终端基于本地存储业务表中应用信息与网关设备之间的对应关系确定出目标应用对应的网关设备之后发送的，而且，不同的应用对应的应用信息不同；因此，用户终端在访问目标应用时，基于上述对应关系就可以准确地找到目标应用对应的网关设备，进而将访问目标应用的业务报文上送至确定出的网关设备，从而实现应用的准确访问，即，解决了零信任网络中，不同的网关设备分别支持相同地址的不同应用时，应用访问失败的问题。

技术特征：

1.一种报文处理方法，其特征在于，应用于零信任网络中的网关设备中，所述方法，包括：

2.根据权利要求1所述的方法，其特征在于，所述应用信息包括所述应用的ip地址、端口和协议。

3.根据权利要求1所述的方法，其特征在于，所述允许所述用户访问的应用的应用信息为按照下述方法下发的：

4.根据权利要求3所述的方法，其特征在于，还包括：

5.一种报文处理方法，其特征在于，应用于用户的用户终端中，所述方法，包括：

6.根据权利要求5所述的方法，其特征在于，所述应用的应用信息包括应用的ip地址、端口和协议；

7.根据权利要求5所述的方法，其特征在于，按照下述方法在本地记录的允许所述用户访问的应用的应用信息与网关设备之间的对应关系，包括：

8.一种报文处理装置，其特征在于，设置于零信任网络中的网关设备中，所述装置，包括：

9.一种报文处理装置，其特征在于，设置于用户的用户终端中，所述装置，包括：

10.一种电子设备，其特征在于，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的计算机程序，所述处理器被所述计算机程序促使执行权利要求1-4任一项所述的方法，或者执行权利要求5-7任一项所述的方法。

11.一种机器可读存储介质，其特征在于，所述机器可读存储介质存储有计算机程序，在被处理器调用和执行时，所述计算机程序促使所述处理器执行权利要求1-4任一项所述的方法，或者执行权利要求5-7任一项所述的方法。

技术总结
本申请提供了一种报文处理方法、装置、设备及存储介质，涉及通信技术领域。该方法为：接收用户终端发送的用户访问目标应用的业务报文，所述业务报文为所述用户终端在获取到允许所述用户访问的应用的应用信息后，在访问目标应用时，基于本地存储的表项中应用信息与网关设备之间的对应关系确定出所述目标应用对应的网关设备之后发送的，其中，不同的应用对应的应用信息不同；若基于所述业务报文确认所述用户具有访问所述目标应用的访问权限，则转发所述业务报文。

技术研发人员：王国利,常芳妍
受保护的技术使用者：新华三网络信息安全软件有限公司
技术研发日：
技术公布日：2024/1/15