2. 技术
  3. 数据访问方法及相关设备与流程

数据访问方法及相关设备与流程

xiaoxiao24天前  23

本技术涉及通信,特别是涉及一种数据访问方法及相关设备。


背景技术:

1、互联网无边界的网络环境使用户的数字资产安全受到威胁。为了解决此类风险,零信任架构被提出和应用。零信任架构强调“永不信任,始终验证”的原则,即默认情况下访问数据资源的终端设备都是不可信的,需要对终端设备进行动态的信任评估,以确定终端设备是否有访问数据资源的权限。

2、软件定义边界(software defined perimeter,sdp)为基于零信任理念的网络安全模型。sdp基于策略创建安全边界,用于将服务与不安全的网络隔离开。sdp零信任方案包括三个主要组件:sdp客户端、sdp控制器、sdp网关。sdp客户端安装于终端设备上,终端设备通过sdp客户端与sdp控制器和sdp网关建立连接。sdp控制器用于对终端设备和用户进行认证。sdp网关用于对发起应用访问请求的终端设备进行身份检测,对通过验证的终端设备打开网关端口,对非法终端关闭所有端口,阻断终端的访问,保证数据资源的安全。

3、终端需要通过sdp网关访问应用服务器上的应用。在用户认证通过后,sdp控制器根据sdp网关与应用和用户绑定关系为终端分配访问应用时所需要经过的sdp网关,然后sdp控制器将分配的sdp网关发送给终端。一旦终端接入的网络发生变化,终端可能无法再通过sdp控制器分配的sdp网关访问应用,或者,终端通过sdp控制器分配的sdp网关访问应用的通信质量较差。


技术实现思路

1、本技术提供了一种数据访问方法及相关设备,以解决终端设备接入的网络发生变化时,终端设备无法访问应用或访问应用时的通信质量差的问题。

2、第一方面提供一种数据访问方法。该方法应用于运行有sdp客户端的终端设备。在终端设备接入的网络发生变化时,终端设备在网关列表中选择第一sdp网关。在选择第一sdp网关后,终端设备向该第一sdp网关发送第一应用访问请求,即终端设备通过第一sdp网关访问应用。其中,网关列表中包括至少一个sdp网关的网关信息。网关列表为终端设备通过sdp控制器的认证后,sdp控制器发送给终端设备的。终端设备为通过验证的设备,因此终端设备在接入网络的网络发生变化时,自主从网关列表中选择第一sdp网关的行为也是安全的。终端设备所处的网络环境发生变化,会影响终端设备与sdp网关之间的通信链路的网络性能,进而影响终端设备访问应用的性能。因而,终端设备在感知到接入的网络发生变化时,从网关列表中重新选择用于转发应用访问请求的sdp网关,能够灵活、动态的切换终端设备关联的sdp网关,提高终端设备的访问性能。

3、本技术中,终端设备关联的sdp网关是指终端设备访问应用所经过的sdp网关,即与终端设备连接,并对来自终端设备的应用访问请求进行验证和转发的sdp网关。

4、在一种可能的实现方式中,终端设备接入的网络发生变化例如为终端设备更换接入的网络。终端设备更换接入的网络可能会导致终端设备无法与关联的sdp网关连接,进而导致终端设备无法通过关联的sdp网关访问应用。终端设备更换接入的网络或可能会导致终端设备与关联的sdp网关之间的转发路径变长,导致终端设备与关联的sdp网关之间通信的时延增加,进而影响终端设备访问应用的性能。从而,在终端设备感知到接入的网络发生变化时,主动从网关列表中选择第一sdp网关作为关联的sdp网关,并通过第一sdp网关访问应用,通过灵活、动态的切换关联的sdp网关,能够提高终端设备的访问应用时的访问性能。

5、终端设备接入的网络发生变化还例如为终端设备未更换接入的网络,且终端设备与终端设备关联的sdp网关之间的通信链路的网络性能劣化。通信链路的网络性能劣化则会导致访问应用的过程出现卡顿或时延大等状况。从而,该情况下,终端设备主动选择和切换关联的sdp网关,能够提高终端设备的访问应用时的访问性能。

6、在一种可能的实现方式中,终端设备在通过认证后,且在其接入的网络发生变化时可以自主在网关列表中选择第一sdp网关。而在终端设备的认证阶段,可以由sdp控制器为终端设备分配sdp网关,即终端设备通过认证后关联的第一个sdp网关可以是sdp控制器为终端设备分配的。因此,在终端设备在网关列表中选择第一sdp网关之前,该方法还包括:终端设备向sdp控制器发送认证请求消息。其中,认证请求消息包括终端设备的互联网协议(internet protocol,ip)地址和认证信息,从而sdp控制器能够根据认证信息对终端设备进行认证,并且在终端设备通过认证后,sdp控制器能够进一步根据终端设备的ip地址为终端设备分配sdp网关。终端设备接收来自sdp控制器的第一认证回复消息。其中,第一认证回复消息包括第二sdp网关的信息,第一认证回复消息为sdp控制器对认证信息认证通过后发送的,第二sdp网关为sdp控制器根据终端设备的ip地址,和ip地址与sdp网关之间的映射关系确定的。然后,终端设备向第二sdp网关发送第二应用访问请求。sdp控制器在终端设备通过认证后,根据ip地址与sdp网关的映射关系为终端设备确定关联的sdp网关,ip地址与sdp网关可以根据就近原则进行绑定,例如可以将sdp网关和该sdp网关所在的网络中的ip地址进行绑定,从而能够为终端设备就近分配sdp网关,降低终端设备与sdp网关之间的通信时延,提高终端设备通过sdp网关访问应用的访问速度。

7、在一种可能的实现方式中,终端设备接收来自sdp控制器的第二认证回复消息,第二认证回复消息包括网关列表。在终端设备通过认证后,sdp控制器向终端设备发送网关列表,从而终端设备在感知接入的网络发生变化时,能够及时地从网关列表中选择第一sdp网关并切换,使得终端设备能够灵活、动态的切换sdp网关,从而提高终端设备的访问应用时的访问性能。

8、可选地,第一认证回复消息和第二认证回复消息为同一个报文。网关列表和第二sdp网关的信息可以在同一个报文的同一个字段中,也可以在不同的字段中。

9、可选地,第一认证回复消息和第二认证回复消息为不同的报文。即sdp控制器通过两个报文分别向终端设备发送网关列表和第二sdp网关的信息。

10、在一种可能的实现方式中,终端设备向目标网关集中的sdp网关发起网络探测,以获得终端设备与被探测的sdp网关之间的通信链路的网络性能信息。其中,目标网关集为网关列表的全集或子集。然后,终端设备根据网络性能信息选择第一sdp网关。终端设备通过对网关列表中的sdp网关发起网络探测,能够测试终端设备与sdp网关之间的通信链路的网络性能,从而可以从中选择网络性能可以满足要求或者最好的通信链路对应的sdp网关作为第一sdp网关。

11、在一种可能的实现方式中,第一sdp网关为目标网关集中所有的sdp网关对应的网络性能信息中,指示网络性能最好的网络性能信息对应的sdp网关。从而,终端设备能够将关联的sdp网关切换到与终端设备之间网络性能最好的sdp网关,提高终端设备访问应用的性能和质量。

12、在一种可能的实现方式中,第一sdp网关为网络性能信息符合条件的一个sdp网关。通过选择网络性能符合条件的sdp网关,能够保证终端设备访问应用的性能和质量。

13、在一种可能的实现方式中,当终端设备接入的网络发生变化为终端设备未更换接入的网络且终端设备与终端设备关联的sdp网关之间的通信链路的网络性能劣化时,目标网关集的sdp网关为网关列表中与终端设备关联的sdp网关属于同一个网络的sdp网关。在该情况下,可能是由于与终端设备关联的sdp网关负载过重等原因导致的,终端设备探测同一个网络中的sdp网关,能够减少终端设备需要探测的sdp网关的数量,提高探测效率。

14、在一种可能的实现方式中,当终端设备接入的网络发生变化为终端设备更换接入的网络时,目标网关集的sdp网关为网关列表中与终端设备关联的sdp网关不属于同一个网络的sdp网关。在该情况下,终端设备与关联的sdp网关所在的网络中的所有sdp网关之间的通信链路可能都会变长,进而导致网络性能变差,因而,可以排除网关列表中的与关联的sdp网关属于同一个网络的网关,而对于关联的sdp网关不属于同一个网络的sdp网关进行探测,能够减少终端设备需要探测的sdp网关的数量,提高探测效率。

15、在一种可能的实现方式中,终端设备向sdp控制器发送更新请求消息,更新请求消息携带第一sdp网关的信息,更新请求消息用于指示sdp控制器将第一sdp网关设置为终端设备关联的sdp网关。在终端设备确定第一sdp网关之后,终端设备通过更新请求消息通知sdp控制器,从而sdp控制器能够指示第一sdp网关接收终端设备的应用访问请求,进而终端设备能够通过第一sdp网关访问应用。

16、在一种可能的实现方式中,更新请求消息用于指示sdp控制器向第一sdp网关发送终端设备的终端信息。从而,第一sdp网关根据终端设备的终端信息能够接收来自终端设备的应用访问请求,并跟终端信息对应用访问请求进行验证,在验证通过时向被访问的应用转发应用访问请求。

17、在一种可能的实现方式中,更新请求消息用于指示sdp控制器删除第三sdp网关中存储的终端设备的终端信息,第三sdp网关为选择第一sdp网关前终端设备关联的sdp网关。从而,能够减小sdp网关的暴露面,提高sdp网关的安全性。

18、第二方面提供一种数据访问方法。sdp控制器接收终端设备的认证请求消息,认证请求消息携带认证信息。sdp控制器在对认证信息验证通过后,向终端设备发送第二认证回复消息,第二认证回复消息携带网关列表,网关列表包括至少一个sdp网关的信息。其中,网关列表用于终端设备在接入的网络发生变化时,在网关列表中选择用于转发应用访问请求的第一sdp网关。sdp控制器通过向通过认证的终端设备发送包括至少一个sdp网关的网关列表,从而,终端设备在感知到接入的网络发生变化时,能够从网关列表中重新选择用于转发应用访问请求的sdp网关,能够灵活、动态的切换终端设备关联的sdp网关,提高终端设备的访问性能。

19、在一种可能的实现方式中,sdp控制器存储有ip地址和sdp网关之间的映射关系,认证请求消息中携带终端设备的ip地址,方法还包括:sdp控制器根据终端设备的ip地址和映射关系确定第二sdp网关。然后,sdp控制器向终端设备发送第一认证回复消息,第一认证回复消息携带第二sdp网关的信息。

20、在一种可能的实现方式中,sdp控制器接收来自终端设备的更新请求消息,更新请求消息携带第一sdp网关的信息。然后,sdp控制器根据更新请求消息将第一sdp网关设置为终端设备关联的sdp网关。

21、在一种可能的实现方式中,sdp控制器向第一sdp网关发送终端设备的终端信息,以使第一sdp网关在接收到终端设备的第一应用访问请求时,根据终端信息阻断或放行第一应用访问请求。

22、在一种可能的实现方式中,sdp控制器根据更新请求消息向第三sdp网关发送删除指示消息,删除指示消息指示第三sdp网关删除终端设备的终端信息,第三sdp网关为选择第一sdp网关前终端设备关联的sdp网关。

23、第三方面提供一种数据访问方法。sdp网关在接收到来自终端设备的网络探测消息时,向终端设备返回网络探测消息对应的探测应答消息,网络探测消息为终端设备在终端设备接入的网络发生变化时向网关列表中的sdp网关发送的,以使终端设备根据探测应答消息获得终端设备与sdp网关之间的通信链路的网络性能信息,sdp网关为网关列表中的多个sdp网关的一个sdp网关,网络性能信息用于辅助终端设备在网关列表中选择第一sdp网关。sdp网关对终端设备开放探测功能,从而终端设备在感知到接入的网络发生变化时,能够通过向网关列表中sdp网关发起网络探测,并根据探测结果重新选择用于转发应用访问请求的sdp网关,使得终端设备能够灵活、动态的切换终端设备关联的sdp网关,提高终端设备的访问性能。

24、第四方面提供一种通信装置。通信装置包括:处理模块,用于在通信装置接入的网络发生变化时,从网关列表中选择第一软件定义边界sdp网关,网关列表中包括至少一个sdp网关的网关信息,网关列表为通信装置通过sdp控制器的认证后,sdp控制器发送给通信装置的;收发模块,用于向第一sdp网关发送第一应用访问请求。

25、在一种可能的实现方式中,通信装置接入的网络发生变化包括:通信装置更换接入的网络;或者通信装置未更换接入的网络,且通信装置与通信装置关联的sdp网关之间的通信链路的网络性能劣化。

26、在一种可能的实现方式中,收发模块,还用于向sdp控制器发送认证请求消息,认证请求消息包括通信装置的ip地址和认证信息;收发模块,还用于接收第一认证回复消息,第一认证回复消息包括第二sdp网关的信息,第一认证回复消息为sdp控制器对认证信息认证通过后发送的,第二sdp网关为sdp控制器根据通信装置的ip地址,和ip地址与sdp网关之间的映射关系确定的;收发模块,还用于向第二sdp网关发送第二应用访问请求。

27、在一种可能的实现方式中,收发模块,还用于接收第二认证回复消息,第二认证回复消息包括网关列表。

28、在一种可能的实现方式中,处理模块,用于向目标网关集中的sdp网关发起网络探测,以获得通信装置与被探测的sdp网关之间的通信链路的网络性能信息,目标网关集为网关列表的全集或子集;处理模块,用于根据网络性能信息选择第一sdp网关。

29、在一种可能的实现方式中,第一sdp网关为目标网关集中所有的sdp网关对应的网络性能信息中,指示网络性能最好的网络性能信息对应的sdp网关。

30、在一种可能的实现方式中,第一sdp网关为网络性能信息符合条件的一个sdp网关。

31、在一种可能的实现方式中,当通信装置接入的网络发生变化为通信装置未更换接入的网络且通信装置与通信装置关联的sdp网关之间的通信链路的网络性能劣化时,目标网关集的sdp网关为网关列表中与通信装置关联的sdp网关属于同一个网络的sdp网关。

32、在一种可能的实现方式中,当通信装置接入的网络发生变化为通信装置更换接入的网络时,目标网关集的sdp网关为网关列表中与通信装置关联的sdp网关不属于同一个网络的sdp网关。

33、在一种可能的实现方式中,收发模块,还用于向sdp控制器发送更新请求消息,更新请求消息携带第一sdp网关的信息,更新请求消息用于指示sdp控制器将第一sdp网关设置为通信装置关联的sdp网关。

34、在一种可能的实现方式中,更新请求消息还用于指示sdp控制器删除第三sdp网关中存储的通信装置的终端信息,第三sdp网关为选择第一sdp网关前通信装置关联的sdp网关。

35、第五方面提供一种通信装置,该通信装置包括:收发模块,用于接收终端设备的认证请求消息,认证请求消息携带认证信息;收发模块,用于在对认证信息验证通过后,向终端设备发送第二认证回复消息,第二认证回复消息携带网关列表,网关列表包括至少一个sdp网关的信息,网关列表用于终端设备在接入的网络发生变化时,在网关列表中选择用于转发应用访问请求的第一sdp网关。

36、在一种可能的实现方式中,通信装置还包括存储模块和处理模块;存储模块,用于存储ip地址和sdp网关之间的映射关系;处理模块,用于根据终端设备的ip地址和映射关系确定第二sdp网关;收发模块,用于向终端设备发送第一认证回复消息,第一认证回复消息携带第二sdp网关的信息。

37、在一种可能的实现方式中,收发模块,用于接收来自终端设备的更新请求消息,更新请求消息携带第一sdp网关的信息;收发模块,用于根据更新请求消息向第一sdp网关发送终端设备的终端信息,以使第一sdp网关在接收到终端设备的第一应用访问请求时,根据终端信息阻断或放行第一应用访问请求。

38、在一种可能的实现方式中,收发模块,还用于根据更新请求消息向第三sdp网关发送删除指示消息,删除指示消息指示第三sdp网关删除终端设备的终端信息,第三sdp网关为选择第一sdp网关前终端设备关联的sdp网关。

39、第六方面提供一种通信装置。该通信装置包括:收发模块,用于在接收到来自终端设备的网络探测消息时,向终端设备返回网络探测消息对应的探测应答消息,网络探测消息为终端设备在终端设备接入的网络发生变化时向网关列表中的sdp网关发送的,以使终端设备根据探测应答消息获得终端设备与sdp网关之间的通信链路的网络性能信息,sdp网关为网关列表中的多个sdp网关的一个sdp网关,网络性能信息用于辅助终端设备在网关列表中选择第一sdp网关。

40、第七方面提供一种电子设备。该设备包括处理器和存储器,处理器耦接存储器,处理器被配置为基于存储在存储器中的指令,实现如第一方面或第一方面的任意一种可能的实现方式中的数据访问方法,或第二方面或第二方面的任意一种可能的实现方式中的数据访问方法,或第三方面或第三方面的任意一种可能的实现方式中的数据访问方法。

41、第八方面一种计算机可读存储介质。计算机可读存储介质包括指令,当计算机可读存储介质在电子设备上运行时,使得电子设备实现如第一方面或第一方面的任意一种可能的实现方式中的数据访问方法,或第二方面或第二方面的任意一种可能的实现方式中的数据访问方法,或第三方面或第三方面的任意一种可能的实现方式中的数据访问方法。

42、第九方面提供一种包含指令的计算机程序产品,当指令被通信设备运行时,使得通信设备实现如第一方面或第一方面的任意一种可能的实现方式中的数据访问方法,或第二方面或第二方面的任意一种可能的实现方式中的数据访问方法,或第三方面或第三方面的任意一种可能的实现方式中的数据访问方法。


技术特征:

1.一种数据访问方法,其特征在于,所述方法包括:

2.根据权利要求1所述的方法,其特征在于,所述终端设备接入的网络发生变化包括:

3.根据权利要求1或2所述的方法,其特征在于,所述在终端设备接入的网络发生变化时,所述终端设备在网关列表中选择第一sdp网关之前,还包括:

4.根据权利要求3所述的方法,其特征在于,还包括:

5.根据权利要求1至4中任一所述的方法,其特征在于,所述终端设备在网关列表中选择第一sdp网关,包括:

6.根据权利要求5所述的方法,其特征在于,所述第一sdp网关为所述目标网关集中所有的sdp网关对应的网络性能信息中,指示网络性能最好的网络性能信息对应的sdp网关。

7.根据权利要求5所述的方法,其特征在于,所述第一sdp网关为网络性能信息符合条件的一个sdp网关。

8.根据权利要求5至7中任一项所述的方法,其特征在于,当所述终端设备接入的网络发生变化为所述终端设备未更换接入的网络且所述终端设备与所述终端设备关联的sdp网关之间的通信链路的网络性能劣化时,所述目标网关集的sdp网关为所述网关列表中与所述终端设备关联的sdp网关属于同一个网络的sdp网关。

9.根据权利要求5至7中任一项所述的方法,其特征在于,当所述终端设备接入的网络发生变化为所述终端设备更换接入的网络时,所述目标网关集的sdp网关为所述网关列表中与所述终端设备关联的sdp网关不属于同一个网络的sdp网关。

10.根据权利要求1至9中任一项所述的方法,其特征在于,所述方法还包括:

11.根据权利要求10所述的方法,其特征在于,所述更新请求消息用于指示所述sdp控制器删除第三sdp网关中存储的所述终端设备的终端信息,所述第三sdp网关为选择所述第一sdp网关前所述终端设备关联的sdp网关。

12.一种数据访问方法,其特征在于,所述方法包括:

13.根据权利要求12所述的方法,其特征在于,所述sdp控制器存储有ip地址和sdp网关之间的映射关系,所述认证请求消息中携带所述终端设备的ip地址,所述方法还包括:

14.根据权利要求12或13所述的方法,其特征在于,所述方法还包括:

15.根据权利要求14所述的方法,其特征在于,所述sdp控制器根据所述更新请求消息将所述第一sdp网关设置为所述终端设备关联的sdp网关,包括:

16.根据权利要求14或15所述的方法,其特征在于,所述方法还包括:

17.一种数据访问方法,其特征在于,所述方法包括:

18.一种通信装置,其特征在于,所述通信装置包括:

19.根据权利要求18所述的装置,其特征在于,所述通信装置接入的网络发生变化包括:

20.根据权利要求18或19所述的装置,其特征在于,

21.根据权利要求20所述的装置,其特征在于,

22.根据权利要求18至21中任一所述的装置,其特征在于,

23.根据权利要求22所述的装置,其特征在于,所述第一sdp网关为所述目标网关集中所有的sdp网关对应的网络性能信息中,指示网络性能最好的网络性能信息对应的sdp网关。

24.根据权利要求22所述的装置,其特征在于,所述第一sdp网关为网络性能信息符合条件的一个sdp网关。

25.根据权利要求22至24中任一项所述的装置,其特征在于,当所述通信装置接入的网络发生变化为所述通信装置未更换接入的网络且所述通信装置与所述通信装置关联的sdp网关之间的通信链路的网络性能劣化时,所述目标网关集的sdp网关为所述网关列表中与所述通信装置关联的sdp网关属于同一个网络的sdp网关。

26.根据权利要求22至24中任一项所述的装置,其特征在于,当所述通信装置接入的网络发生变化为所述通信装置更换接入的网络时,所述目标网关集的sdp网关为所述网关列表中与所述通信装置关联的sdp网关不属于同一个网络的sdp网关。

27.根据权利要求18至26中任一项所述的装置,其特征在于,

28.根据权利要求27所述的装置,其特征在于,所述更新请求消息还用于指示所述sdp控制器删除第三sdp网关中存储的所述通信装置的终端信息,所述第三sdp网关为选择所述第一sdp网关前所述通信装置关联的sdp网关。

29.一种通信装置,其特征在于,所述通信装置包括:

30.根据权利要求29所述的装置,其特征在于,所述通信装置还包括存储模块和处理模块;

31.根据权利要求29或30所述的装置,其特征在于,

32.根据权利要求29所述的装置,其特征在于,

33.一种通信装置,其特征在于,所述通信装置包括:

34.一种电子设备,其特征在于,所述设备包括处理器和存储器,所述处理器耦接所述存储器,所述处理器被配置为基于存储在所述存储器中的指令,执行如权利要求1至17中任一项所述的数据访问方法。

35.一种计算机可读存储介质,其特征在于,包括指令,当所述计算机可读存储介质在电子设备上运行时,使得所述电子设备执行如权利要求1至17中任一项所述的数据访问方法。

36.一种包含指令的计算机程序产品,其特征在于,当所述指令被通信设备运行时,使得所述通信设备执行如权利要求1至17中任一项所述的数据访问方法。


技术总结
公开了一种数据访问方法及相关设备,以在终端设备接入的网络发生变化时灵活、动态的切换SDP网关,提高终端设备的访问性能。SDP控制器在对终端设备认证通过后,向终端设备发送包括多个SDP网关的信息的网关列表。在终端设备感知到接入的网络发生变化时,例如访问应用的网络性能发生劣化,或终端设备更换接入的网络时,终端设备在网关列表中选择第一SDP网关,终端设备通过第一SDP网关访问受保护的应用资源。

技术研发人员:罗飞,李乐,马梁,芮青荣,陆蒙
受保护的技术使用者:华为技术有限公司
技术研发日:
技术公布日:2024/9/23

专利

最新回复(0)