技术特征:
1.一种访问控制方法,其特征在于,所述方法包括:软件定义边界sdp控制器接收第一sdp客户端设备发送的第一报文,所述第一报文的传输控制协议tcp选项字段中携带所述第一sdp客户端设备的设备标识;所述sdp控制器根据所述第一sdp客户端设备的设备标识对所述第一sdp客户端设备进行单包认证;如果对所述第一sdp客户端设备的单包认证失败,所述sdp控制器关闭所述第一报文所属的所述第一sdp客户端设备和所述sdp控制器之间的tcp连接。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:所述sdp控制器接收第二sdp客户端设备发送的第一报文,所述第二sdp客户端设备发送的所述第一报文的tcp选项字段中携带所述第二sdp客户端设备的设备标识;所述sdp控制器根据所述第二sdp客户端设备的设备标识对所述第二sdp客户端设备进行单包认证;如果对所述第二sdp客户端设备的单包认证成功,所述sdp控制器接收所述第二sdp客户端设备发送的第二报文,所述第二报文的安全传输层协议tls选项字段或者应用层报文头中携带鉴权信息,所述鉴权信息包括所述第二sdp客户端设备的用户信息;所述sdp控制器根据所述第二sdp客户端设备的设备标识和所述用户信息对所述第二sdp客户端设备进行用户认证;如果对所述第二sdp客户端设备的用户认证成功,所述sdp控制器向所述第二sdp客户端设备发送资源列表,所述资源列表包括允许所述第二sdp客户端设备访问的至少一个应用服务器的标识。3.根据权利要求2所述的方法,其特征在于,所述第二sdp客户端设备发送的所述第一报文和所述第二报文为同一个tcp连接中的报文;或者,所述第二sdp客户端设备发送的所述第一报文和所述第二报文为不同tcp连接中的报文。4.根据权利要求3所述的方法,其特征在于,若所述第二sdp客户端设备发送的所述第一报文和所述第二报文为不同tcp连接中的报文,所述sdp控制器接收所述第二sdp客户端设备发送的第二报文之前,所述方法还包括:所述sdp控制器根据所述第二sdp客户端设备发送的所述第一报文向所述第二sdp客户端设备发送盐值;所述第二报文还携带所述盐值,所述sdp控制器接收所述第二sdp客户端设备发送的第二报文之后,所述方法还包括:所述sdp控制器根据所述第二报文中携带的所述盐值确定所述第二sdp客户端设备的单包认证已成功。5.根据权利要求1-4任一项所述的方法,其特征在于,所述第一sdp客户端设备发送的所述第一报文是同步syn报文。6.根据权利要求5所述的方法,其特征在于,所述第一sdp客户端设备发送的所述第一报文中携带的所述设备标识为密文形式的设备标识,所述方法还包括:所述sdp控制器使用所述syn报文的序列号对所述密文形式的设备标识进行解密,得到指定长度的字符串,所述字符串用于所述sdp控制器对所述第一sdp客户端设备进行单包认证。
7.根据权利要求6所述的方法,其特征在于,所述sdp控制器根据所述第一sdp客户端设备的设备标识对所述第一sdp客户端设备进行单包认证,包括:所述sdp控制器使用所述字符串与保存的各已注册的sdp客户端设备对应的字符串进行比较,其中,所述已注册的sdp客户端设备对应的字符串是根据已注册的sdp客户端设备的明文形式的设备标识生成的;若所述所述字符串与一个已注册的sdp客户端设备对应的字符串相同,则确定单包认证成功。8.根据权利要求2-7任一项所述的方法,其特征在于,如果对所述第二sdp客户端设备的用户认证成功,所述方法还包括:所述sdp控制器向sdp网关发送客户端信息,所述客户端信息用于指示所述第二sdp客户端设备认证通过,所述客户端信息包括所述第二sdp客户端设备的设备标识。9.一种访问控制方法,其特征在于,所述方法包括:软件定义边界sdp客户端设备向sdp控制器发送第一报文,所述第一报文的传输控制协议tcp选项字段中携带所述sdp客户端设备的设备标识。10.根据权利要求9所述的方法,其特征在于,所述方法还包括:所述sdp客户端设备接收所述sdp控制器发送的单包认证响应,如果所述单包认证响应用于指示所述sdp控制器对所述sdp客户端设备的单包认证成功,所述sdp客户端设备向所述sdp控制器发送第二报文,所述第二报文的安全传输层协议tls选项字段或者应用层报文头中携带鉴权信息,所述鉴权信息包括所述sdp客户端设备的用户信息;所述sdp客户端设备接收所述sdp控制器返回的资源列表,所述资源列表包括允许所述sdp客户端设备访问的至少一个应用服务器的标识。11.根据权利要求10所述的方法,其特征在于,所述第一报文和所述第二报文为同一个tcp连接中的报文;或者,所述第一报文和所述第二报文为不同tcp连接中的报文。12.根据权利要求11所述的方法,其特征在于,当所述第一报文和所述第二报文为不同tcp连接中的报文时,所述sdp客户端设备向所述sdp控制器发送第二报文之前,所述方法还包括:所述sdp客户端设备接收所述sdp控制器根据所述第一报文返回的盐值;所述第二报文中还携带所述盐值,所述第二报文携带的所述盐值用于所述sdp控制器确定所述第二sdp客户端设备的单包认证已成功。13.根据权利要求9-12任一项所述的方法,其特征在于,所述第一报文是同步syn报文。14.根据权利要求13所述的方法,其特征在于,所述tcp选项字段中携带的所述设备标识为密文形式的设备标识,所述方法还包括:基于所述sdp客户端设备的明文形式的设备标识获取指定长度的字符串;使用所述syn报文的序列号对所述字符串进行加密,得到所述密文形式的设备标识。15.根据权利要求14所述的方法,其特征在于,所述指定长度的字符串是通过对所述明文的设备标识进行哈希运算得到的。16.根据权利要求9-15任一项所述的方法,其特征在于,所述sdp客户端设备接收所述sdp控制器返回的资源列表之后,所述方法还包括:所述sdp客户端设备向sdp网关发送第三报文,所述第三报文的tcp选项字段中携带所
述sdp客户端设备的设备标识;所述sdp客户端设备接收所述应用服务器返回的业务数据,所述业务数据是所述sdp网关根据所述第三报文的tcp选项字段中携带的所述设备标识确定所述sdp客户端设备合法后将所述第三报文转发给所述应用服务器后,所述应用服务器发送的。17.根据权利要求16所述的方法,其特征在于,所述第三报文是同步syn报文。18.一种访问控制方法,其特征在于,所述方法包括:软件定义边界sdp网关接收sdp控制器发送的客户端信息,所述客户端信息用于指示sdp客户端设备认证通过,所述客户端信息包括所述sdp客户端设备的设备标识;所述sdp网关接收所述sdp客户端设备发送的第三报文,所述第三报文的tcp选项字段中携带所述sdp客户端设备的设备标识;所述sdp网关根据所述客户端信息包括的所述设备标识和所述第三报文包括的所述设备标识,确定所述sdp客户端设备是否合法;如果确定所述sdp客户端设备合法,所述sdp网关将所述第三报文发送给应用服务器,并将所述应用服务器返回的业务数据转发给所述sdp客户端设备。19.根据权利要求18所述的方法,其特征在于,所述第三报文是同步syn报文。20.根据权利要求19所述的方法,其特征在于,所述tcp选项字段中携带的所述设备标识为密文形式的设备标识,所述方法还包括:所述sdp网关使用所述syn报文的序列号对所述密文形式的设备标识进行解密,得到指定长度的第一字符串,所述第一字符串用于所述sdp网关确定所述sdp客户端设备是否合法。21.根据权利要求20所述的方法,其特征在于,所述sdp网关根据所述客户端信息包括的所述设备标识和所述第三报文中包括的所述设备标识确定所述sdp客户端设备是否合法,包括:所述sdp网关根据所述客户端信息包括的所述设备标识获取所述指定长度的第二字符串;所述sdp网关比较所述第一字符串和所述第二字符串;如果所述第一字符串和所述第二字符串一致,确定所述sdp客户端设备合法。22.一种访问控制装置,其特征在于,所述装置作为软件定义边界sdp控制器或者sdp控制器内置的芯片,包括:接收单元,用于接收第一sdp客户端设备发送的第一报文,所述第一报文的传输控制协议tcp选项字段中携带所述第一sdp客户端设备的设备标识;处理单元,用于根据所述第一sdp客户端设备的设备标识对所述第一sdp客户端设备进行单包认证;所述处理单元,还用于如果对所述第一sdp客户端设备的单包认证失败,关闭所述第一报文所属的所述第一sdp客户端设备和所述sdp控制器之间的tcp连接。23.根据权利要求22所述的装置,其特征在于,所述装置还包括:发送单元;所述接收单元,还用于接收第二sdp客户端设备发送的第一报文,所述第二sdp客户端设备发送的所述第一报文的tcp选项字段中携带所述第二sdp客户端设备的设备标识;所述处理单元,还用于根据所述第二sdp客户端设备的设备标识对所述第二sdp客户端
设备进行单包认证;所述接收单元,还用于如果对所述第二sdp客户端设备的单包认证成功,接收所述第二sdp客户端设备发送的第二报文,所述第二报文的安全传输层协议tls选项字段或者应用层报文头中携带鉴权信息,所述鉴权信息包括所述第二sdp客户端设备的用户信息;所述处理单元,还用于根据所述第二sdp客户端设备的设备标识和所述用户信息对所述第二sdp客户端设备进行用户认证;所述发送单元,用于如果对所述第二sdp客户端设备的用户认证成功,向所述第二sdp客户端设备发送资源列表,所述资源列表包括允许所述第二sdp客户端设备访问的至少一个应用服务器的标识。24.根据权利要求23所述的装置,其特征在于,所述第二sdp客户端设备发送的所述第一报文和所述第二报文为同一个tcp连接中的报文;或者,所述第二sdp客户端设备发送的所述第一报文和所述第二报文为不同tcp连接中的报文。25.根据权利要求24所述的装置,其特征在于,若所述第二sdp客户端设备发送的所述第一报文和所述第二报文为不同tcp连接中的报文:所述发送单元,还用于根据所述第二sdp客户端设备发送的所述第一报文向所述第二sdp客户端设备发送盐值;所述第二报文还携带所述盐值,所述处理单元,还用于根据所述第二报文中携带的所述盐值确定所述第二sdp客户端设备的单包认证已成功。26.根据权利要求22-25任一项所述的装置,其特征在于,所述第一sdp客户端设备发送的所述第一报文是同步syn报文。27.根据权利要求26所述的装置,其特征在于,所述第一sdp客户端设备发送的所述第一报文中携带的所述设备标识为密文形式的设备标识,所述处理单元还用于:使用所述syn报文的序列号对所述密文形式的设备标识进行解密,得到指定长度的字符串,所述字符串用于所述sdp控制器对所述第一sdp客户端设备进行单包认证。28.根据权利要求27所述的装置,其特征在于,所述处理单元还用于:使用所述字符串与保存的各已注册的sdp客户端设备对应的字符串进行比较,其中,所述已注册的sdp客户端设备对应的字符串是根据已注册的sdp客户端设备的明文形式的设备标识生成的;若所述所述字符串与一个已注册的sdp客户端设备对应的字符串相同,则确定单包认证成功。29.根据权利要求23-28任一项所述的装置,其特征在于,如果对所述第二sdp客户端设备的用户认证成功,所述发送单元还用于:向sdp网关发送客户端信息,所述客户端信息用于指示所述第二sdp客户端设备认证通过,所述客户端信息包括所述第二sdp客户端设备的设备标识。30.一种访问控制装置,其特征在于,所述装置作为软件定义边界sdp客户端设备或者sdp客户端设备内置的芯片,包括:发送单元,用于向sdp控制器发送第一报文,所述第一报文的传输控制协议tcp选项字段中携带所述sdp客户端设备的设备标识。31.根据权利要求30所述的装置,其特征在于,所述装置还包括接收单元;
所述接收单元,用于接收所述sdp控制器发送的单包认证响应;所述发送单元,还用于如果所述单包认证响应用于指示所述sdp控制器对所述sdp客户端设备的单包认证成功,向所述sdp控制器发送第二报文,所述第二报文的安全传输层协议tls选项字段或者应用层报文头中携带鉴权信息,所述鉴权信息包括所述sdp客户端设备的用户信息;所述接收单元,还用于接收所述sdp控制器返回的资源列表,所述资源列表包括允许所述sdp客户端设备访问的至少一个应用服务器的标识。32.根据权利要求31所述的装置,其特征在于,所述第一报文和所述第二报文为同一个tcp连接中的报文;或者,所述第一报文和所述第二报文为不同tcp连接中的报文。33.根据权利要求32所述的装置,其特征在于,当所述第一报文和所述第二报文为不同tcp连接中的报文时,所述接收单元还用于:接收所述sdp控制器根据所述第一报文返回的盐值;所述第二报文中还携带所述盐值,所述第二报文携带的所述盐值用于所述sdp控制器确定所述第二sdp客户端设备的单包认证已成功。34.根据权利要求30-33任一项所述的装置,其特征在于,所述第一报文是同步syn报文。35.根据权利要求34所述的装置,其特征在于,所述tcp选项字段中携带的所述设备标识为密文形式的设备标识,所述装置还包括:处理单元,用于基于所述sdp客户端设备的明文形式的设备标识获取指定长度的字符串,并使用所述syn报文的序列号对所述字符串进行加密,得到所述密文形式的设备标识。36.根据权利要求35所述的装置,其特征在于,所述指定长度的字符串是通过对所述明文的设备标识进行哈希运算得到的。37.根据权利要求30-36任一项所述的装置,其特征在于,所述装置还包括:接收单元;所述发送单元,还用于向sdp网关发送第三报文,所述第三报文的tcp选项字段中携带所述sdp客户端设备的设备标识;所述接收单元,用于接收所述应用服务器返回的业务数据,所述业务数据是所述sdp网关根据所述第三报文的tcp选项字段中携带的所述设备标识确定所述sdp客户端设备合法后将所述第三报文转发给所述应用服务器后,所述应用服务器发送的。38.根据权利要求37所述的装置,其特征在于,所述第三报文是同步syn报文。39.一种访问控制装置,其特征在于,所述装置作为软件定义边界sdp网关或者sdp网关内置的芯片,包括:接收单元,用于接收sdp控制器发送的客户端信息,所述客户端信息用于指示sdp客户端设备认证通过,所述客户端信息包括所述sdp客户端设备的设备标识;所述接收单元,还用于接收所述sdp客户端设备发送的第三报文,所述第三报文的tcp选项字段中携带所述sdp客户端设备的设备标识;处理单元,用于根据所述客户端信息包括的所述设备标识和所述第三报文包括的所述设备标识,确定所述sdp客户端设备是否合法;发送单元,用于如果确定所述sdp客户端设备合法,将所述第三报文发送给应用服务器,并将所述应用服务器返回的业务数据转发给所述sdp客户端设备。
40.根据权利要求39所述的装置,其特征在于,所述第三报文是同步syn报文。41.根据权利要求40所述的装置,其特征在于,所述tcp选项字段中携带的所述设备标识为密文形式的设备标识,所述处理单元还用于:使用所述syn报文的序列号对所述密文形式的设备标识进行解密,得到指定长度的第一字符串,所述第一字符串用于所述sdp网关确定所述sdp客户端设备是否合法。42.根据权利要求41所述的装置,其特征在于,所述处理单元,还用于:根据所述客户端信息包括的所述设备标识获取所述指定长度的第二字符串;比较所述第一字符串和所述第二字符串;如果所述第一字符串和所述第二字符串一致,确定所述sdp客户端设备合法。43.一种访问控制装置,其特征在于,所述装置包括处理器和存储器,所述存储器中存储有指令,所述处理器运行所述指令,使得所述装置执行如权利1-8任一项所述的访问控制方法。44.一种访问控制装置,其特征在于,所述装置包括处理器和存储器,所述存储器中存储有指令,所述处理器运行所述指令,使得所述装置执行如权利9-17任一项所述的访问控制方法。45.一种访问控制装置,其特征在于,所述装置包括处理器和存储器,所述存储器中存储有指令,所述处理器运行所述指令,使得所述装置执行如权利18-21任一项所述的访问控制方法。46.一种访问控制系统,其特征在于,所述系统包括:sdp控制器、sdp客户端设备和sdp网关;其中,所述sdp控制器包括如权利要求22-29任一项或者权利要求43所述的访问控制装置,所述sdp客户端设备包括如权利要求30-38任一项或者权利要求44所述的访问控制装置,所述sdp网关包括如权利要求39-42任一项或者权利要求45所述的访问控制装置。47.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储的指令,当所述指令在计算机设备上运行时,使得所述计算机设备执行如权利要求1-8任一项所述的访问控制方法,或者如权利要求9-17任一项所述的访问控制方法,或者如权利要求18-21任一项所述的访问控制方法。
技术总结
本申请提供一种访问控制方法、访问控制系统及相关设备,涉及网络安全技术领域,用于提高受保护的应用资源的安全性。该方法包括:SDP控制器接收第一SDP客户端设备发送的第一报文,第一报文的TCP选项字段中携带第一SDP客户端设备的设备标识;该SDP控制器根据第一SDP客户端设备的设备标识对第一SDP客户端设备进行单包认证;如果对第一SDP客户端设备的单包认证失败,该SDP控制器关闭第一报文所属的第一SDP客户端设备和该SDP控制器之间的TCP连接。SDP客户端设备和该SDP控制器之间的TCP连接。SDP客户端设备和该SDP控制器之间的TCP连接。
技术研发人员:陈立健 张家骥
受保护的技术使用者:华为技术有限公司
技术研发日:2021.07.23
技术公布日:2023/1/13