[发明专利]一种流量管理方法及设备

说明书

本申请提供了一种流量管理方法及设备。在流量管理方法中，当确定控制通道接收的HTTP协议数据报文通过身份识别与访问管理IAM认证时，在关联流量管理表中为发送数据报文的用户建立多个关联流量表项；其中，每个关联流量表项至少包括：用户的网络地址、最新访问时间、一个非HTTP协议类型对应的协议标识；根据关联流量管理表允许用户通过非HTTP协议数据通道向应用系统发送的多个非HTTP协议数据报文。

技术领域

本申请涉及通信技术，具体地讲是一种流量管理方法及设备。

背景技术

传统的网络安全模型以网络边界作为防护边界，通常采用防火墙、DDOS(Distributed Denial Of Service，分布式拒绝服务)、IPS等设备在企业入口处对流量进行监控。但是，由于企业内网防御措施往往较为薄弱，一旦攻击者攻入企业网络边界就会面临企业内网环境下数据泄漏风险。另一方面，随着微服务架构的兴起，系统组成方式由集中式向分布式演进，企业对外提供的服务也更加具有针对性，需要提供更加精细化的防护方式。

在以上技术背景下产生了零信任网络技术，用户访问接入网络的流量必须首先代理设备经过认证，代理设备为通过认证的用户生成token(令牌)，通过 HTTP((Hyper TextTransfer Protocol,超文本传输协议))协议报文的cookie字段将生成的token发送给认证通过的用户，认证通过的用户在本地cookie存储收到的token。这样，代理设备收到发往应用系统的报文，如果报文携带了token，则通过基于HTTP协议的控制通道发往应用系统，如果收到的报文未携带token，则不再发往应用系统。

但是，当应用系统具有多个交互通道时，譬如基于HTTP协议的控制通道和基于TCP协议的数据通道，代理设备只能对基于HTTP协议的控制通道收到报文进行IAM(Identityand Access Management，身份识别与访问管理)认证，无法对其他数据通道收到的报文进行IAM认证。

发明内容

本申请的目的在于提供一种流量管理方法及设备，基于确定控制通道接收的HTTP协议数据报文对非HTTP协议数据通道收到的非HTTP协议数据报文进行管理。

为实现上述目的，本申请提供了一种流量管理方法，该方法中，当确定控制通道接收的HTTP协议数据报文通过身份识别与访问管理IAM认证时，在关联流量管理表中为发送数据报文的用户建立多个关联流量表项；其中，每个关联流量表项至少包括：用户的网络地址、最新访问时间、一个非HTTP 协议类型对应的协议标识；根据关联流量管理表允许用户通过非HTTP协议数据通道向应用系统发送的多个非HTTP协议数据报文

为实现上述目的，本申请还提供一种流量管理设备，该设备包括处理器以及存储器；存储器用于存储处理器可执行指令；其中，处理器通过运行存储器中的处理器可执行指令用以执行以下操作：确定控制通道接收的HTTP协议数据报文通过身份识别与访问管理IAM认证；在关联流量管理表中为发送数据报文的用户建立多个关联流量表项；其中，每个关联流量表项至少包括：用户的网络地址、最新访问时间、一个非HTTP协议类型对应的协议标识；根据关联流量管理表允许用户通过非HTTP协议数据通道向应用系统发送的多个非HTTP协议数据报文。

本申请的有益效果在于，登录系统的控制通道为HTTP协议的应用系统即使使用非HTTP协议进行数据报文传输，也能够部署在零信任网络中，扩大了零信任网络的适应范围。

附图说明

图1为本申请提供的流量管理方法实施例的流程图；

图2为设置关联流量管理表的流程示意图；

图3为通过关联流量管理表管理非HTTP协议数据报文的流程示意图；

图4为本申请提供的流量管理方法设备实施例的示意图。

具体实施方式