(19)中华 人民共和国 国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111416636.0 (22)申请日 2021.11.26 (65)同一申请的已公布的文献号 申请公布号 CN 113852697 A (43)申请公布日 2021.12.28 (73)专利权人 杭州安恒信息技 术股份有限公司 地址 310000 浙江省杭州市滨江区西兴街 道联慧街18 8号 (72)发明人 刘威　范渊　刘博　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 代理人 王晓芬 (51)Int.Cl. H04L 67/02(2022.01) H04L 67/56(2022.01) H04L 9/40(2022.01)(56)对比文件 CN 109561066 A,2019.04.02 CN 112822158 A,2021.0 5.18 CN 110830447 A,2020.02.21 CN 108449354 A,2018.08.24 CN 113572738 A,2021.10.2 9 CN 112261067 A,2021.01.2 2 CN 110830444 A,2020.02.21 US 202040 3787 A1,2020.12.24 钟咏涛.端口敲门技 术在网络安全中的应 用. 《电脑知识与技 术》 .2006,(第20期), 潘吴斌;任国强.软件定义 边界SDP:概念、 技 术及应用研究综述. 《数字通信世界》 .2021, 仇静;李娜.基 于零信任S DP的高校网络安全 防护的研究. 《电子技 术与软件工程》 .2021, 审查员 赵冰 (54)发明名称 一种SDP终端流量代理方法、 装置、 设备及存 储介质 (57)摘要 本申请公开了一种SDP终端流量代理方法、 装置、 设备及存储介质。 该方法包括： 通过SDP终 端代理向SDP控制器发送敲门请求， 并接收所述 SDP控制器根据所述敲门请求访问目标网关后获 取的敲门结果， 然后根据所述敲门结果配置终端 的路由表； 通过物理网卡获取用户对目标应用的 应用访问请求， 并根据所述路由表将所述应用访 问请求发送给HTTP隧道客户端， 以便通过所述 HTTP隧道客户端修改所述应用 访问请求对应的 数据包， 使修改后数据包中包含本地终端对应的 设备标识信息； 通过所述HTTP隧道客户端将所述 修改后数据包发送给所述目标网关的HTTP隧道 服务端， 以便所述目标网关根据所述修改后数据 包内的所述设备标识信息对所述用户进行权限 控制。 能够实现对四层流 量的鉴权管控。 权利要求书2页 说明书9页 附图2页 CN 113852697 B 2022.03.25 CN 113852697 B 1.一种SDP终端流量代理方法， 其特 征在于， 应用于终端， 包括： 通过SDP终端代理向SDP控制器发送敲门请求， 并接收所述SDP控制器根据所述敲门请 求访问目标网关后获取的敲门结果， 然后根据所述 敲门结果配置终端的路由表； 通过物理网卡获取用户对目标应用的应用访问请求， 并根据所述路由表将所述应用访 问请求发送给HTTP隧道客户端， 以便通过所述HTTP隧道 客户端修改所述应用访问请求对应 的数据包， 使修改后数据包中包 含所述终端对应的设备 标识信息； 通过所述HTTP隧道客户端将所述修改后数据包发送给所述目标网关的HTTP隧道服务 端， 以便所述目标网关根据所述修改后数据包内的所述设备标识信息对所述用户进行权限 控制。 2.根据权利 要求1所述的SDP终端流量代 理方法， 其特征在于， 所述通过SDP终端代理向 SDP控制器发送敲门请求， 并接收所述SDP控制器根据所述敲门请求访问目标网关后获取的 敲门结果， 包括： 通过SDP终端代理按照用户数据包协议向SDP控制器发送敲门请求， 以便所述SDP控制 器在接收到所述敲门请求后， 通知目标网关所述敲门请求对应的敲门状态以及所述敲门请 求对应的访问端口策略， 并通过所述SDP控制器接收所述目标网关在执行所述访问端口策 略后反馈的执 行结果； 通过所述SDP终端代理接收所述SDP控制器转发的所述执行结果， 以得到所述敲门请求 对应的敲门结果。 3.根据权利要求1所述的SDP终端流量代理方法， 其特征在于， 所述根据所述敲门结果 配置终端的路由表， 包括： 通过所述SDP终端代 理， 根据所述敲门结果配置终端的路由表， 以便所述用户通过客户 端软件访问应用的流 量在经过所述物理网卡时转发给 所述HTTP隧道客户端。 4.根据权利要求1所述的SDP终端流量代理方法， 其特征在于， 所述通过所述HTTP隧道 客户端修改所述应用访问请求对应的数据包， 包括： 获取本地终端对应的设备标识信息； 所述设备标识信息包括设备唯一标识、 设备型号、 设别识别码中的任意 一项或多 项； 将所述设备 标识信息添加到所述应用访问请求对应的数据包内。 5.根据权利要求1所述的SDP终端流量代理方法， 其特征在于， 所述通过所述HTTP隧道 客户端将所述 修改后数据包发送给 所述目标网关的HT TP隧道服 务端， 包括： 通过所述HTTP隧道客户端， 按照端到端的数据传输方式将所述修改后数据包发送给所 述目标网关的HT TP隧道服 务端。 6.根据权利要求1至5任一项所述的SDP终端流量代 理方法， 其特征在于， 所述目标网关 根据所述 修改后数据包内的所述设备 标识信息对所述用户进行权限控制， 包括： 通过所述目标网关的HTTP隧道服务端解析所述修改后数据包， 并将解析后数据包发送 给所述目标网关的网关代理服务， 以便所述网关代理服务根据所述解析后数据包内的所述 设备标识信息对所述用户进行权限控制。 7.根据权利要求6所述的SDP终端流量代理方法， 其特征在于， 所述网关代理服务根据 所述解析后数据包内的所述设备 标识信息对所述用户进行权限控制， 包括： 通过所述网关代理服务， 根据 所述解析后数据包内所述设备标识信 息判断所述终端绑权　利　要　求　书 1/2 页 2 CN 113852697 B 2定的用户是否具有访问所述目标应用的权限； 若所述用户具有访问所述目标应用的权限， 则将所述应用访问请求转发给对应的应用 服务； 若所述用户不具有访问所述目标应用的权限， 则拒绝响应。 8.一种SDP终端流量代理装置， 其特 征在于， 应用于终端， 包括： 敲门请求发送模块， 用于通过SDP终端代理向SDP控制器发送敲门请求， 并接收所述SDP 控制器根据所述敲门请求访问目标网关后获取的敲门结果， 然后根据所述敲门结果配置终 端的路由表； 数据包修改模块， 用于通过物理网卡获取用户对目标应用的应用 访问请求， 并根据所 述路由表将所述应用访问请求发送给HTTP隧道 客户端， 以便通过所述HTTP隧道 客户端修改 所述应用访问请求对应的数据包， 使修改后数据包中包 含所述终端对应的设备 标识信息； 数据包发送模块， 用于通过所述HTTP隧道客户端将所述修改后数据包发送给所述目标 网关的HTTP隧道 服务端， 以便所述目标网关根据所述修改后数据包内的所述设备标识信息 对所述用户进行权限控制。 9.一种电子设备， 其特 征在于， 包括： 存储器， 用于保存计算机程序； 处理器， 用于执行所述计算机程序， 以实现如权利要求1至7任一项所述的SDP终端流量 代理方法。 10.一种计算机可读存储介质， 其特征在于， 用于存储计算机程序； 其中计算机程序被 处理器执行时实现如权利要求1至7任一项所述的S DP终端流量代理方法。权　利　要　求　书 2/2 页 3 CN 113852697 B 3