[发明专利]通信系统、方法、装置及电子设备

说明书

本申请实施例提供了通信系统、方法、装置及电子设备，身份标识随可信报文传递，可以很好地实现了非web业务的可信访问控制，实现了非web业务下，基于web的多因素认证，提高了安全性。同时报文中携带用户可信度，可以很好地实现了大量分支机构下，客户端的可信度管理。提供了一种基于可信隧道的通信方法，客户端的报文携带有身份标识及可信度，实现可信信息的传递，适合业务系统汇总在总部，用户分布在全国各地大量分支机构场景，落地性强，能很好地推进零信任方案的落地实施。

技术领域

本申请涉及通信技术领域，特别是涉及通信系统、方法、装置及电子设备。

背景技术

随着物联网的发展、云计算应用的普及基于网络业务的高速增长，网络边界越来越不清晰，基于零信任的安全防护架构也越来越受到推崇和重视。零信任安全防护架构是指基于用户的身份进行实时权限最小化访问控制；对零信任的落地实施，最主要的是把用户身份化，为用户标识唯一的身份ID，基于身份ID对用户进行动态权限控制。

针对现有的网络传输，报文中对用户标识的信息主要是源IP、源端口，但在NAT(Network Address Translation，网络地址转换)普遍应用、以及移动用户动态获取IP地址现实下，采用IP地址或者“IP地址+端口”并不能唯一标识用户的身份，并且IP地址很容易被伪造。

现有的零信任防护系统中，主要对用户访问web业务提供可信访问控制，主要通过报文中的cooike作为用户的身份ID。采用cooike来承载用户的身份ID，但是该方法受限于web业务，对大量的非web业务，难以实现对其进行零信任防护。

发明内容

本申请实施例的目的在于提供一种通信系统、方法、装置及电子设备，以实现增加零信任防护的适用范围。具体技术方案如下：

第一方面，本申请实施例提供了一种通信系统，包括：客户端可信代理、权限策略中心、服务端可信代理；

所述客户端可信代理，用于在接收到客户端的客户端报文后，根据所述客户端报文的源IP地址，获取所述客户端的身份标识并确定所述客户端的可信度；根据所述客户端的身份标识及可信度生成可信报文头，并利用所述可信报文头对所述客户端报文进行封装，得到可信报文；向所述服务端可信代理发送所述可信报文；

所述服务端可信代理，用于接收所述客户端的可信报文；提取所述可信报文的可信报文头，得到所述客户端的身份标识及可信度；并向所述权限策略中心发送针对所述客户端的鉴权请求，其中，所述鉴权请求包括所述客户端的身份标识及可信度；

所述权限策略中心，用于根据所述客户端的鉴权请求，对所述客户端进行鉴权，并将所述鉴权结果发送给所述服务端可信代理；

所述服务端可信代理，还用于若所述鉴权结果表示所述客户端通过鉴权，则从所述可信报文中解析出客户端报文，并转发所述客户端报文。

在一种可能的实施方式中，所述客户端可信代理，还用于基于预设的隧道协议建立与所述服务端可信代理之间的可信隧道，其中，所述客户端可信代理与所述服务端可信代理之间通过所述可信隧道进行通信。

在一种可能的实施方式中，所述可信报文头中还包括区域ID，其中，针对任一可信报文头，该可信报文头中的区域ID用于唯一标识生成该可信报文头的客户端可信代理；

所述服务端可信代理，还用于生成所述客户端报文的鉴权日志，所述客户端报文的鉴权日志包括所述客户端报文的源IP地址及对应的区域ID。

在一种可能的实施方式中，所述服务端可信代理还用于：在接收到针对所述客户端的响应报文后，利用回应可信报文头对所述响应报文进行封装，得到回应报文；向所述服务端可信代理发送所述回应报文；

所述客户端可信代理还用于：解封装所述回应报文，得到响应报文；将所述响应报文发送给所述客户端。