(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211038457.2 (22)申请日 2022.08.29 (71)申请人 北京从云科技有限公司 地址 100089 北京市海淀区中关村南大街 52号3号楼六层6 05号 (72)发明人 舒弋　 (74)专利代理 机构 北京细软智谷知识产权代理 有限责任公司 1 1471 专利代理师 葛钟 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 基于多节点零信任网关的数据访问方法及 相关设备 (57)摘要 本发明涉及一种基于多节点零信任网关的 数据访问方法及相关设备， 属于网络安全技术领 域， 零信任网关在注册报文中携带网关局域网地 址和互联网地址， 从而使 得零信任控制器对零信 任网关以互联网地址相同为依据进行分组， 根据 SPA认证请求报文中的零信任客户端的互联网地 址以及预先的分组关系， 查找选择同组网关局域 网地址， 从而确定目标网关局域网地址分配给零 信任客户端， 使得零信任客户端实现就近接入。 因此， 零信任控制器通过接收到的零信任网关的 注册报文， 自动对零信任网关进行分组， 零信任 控制器通过零信任客户端SPA认证请求报文的互 联网地址， 自动查找零信任网关组， 避免了人工 对零信任网关和客户端的维护， 动态 适应网关的 替换和迁移。 权利要求书2页 说明书8页 附图2页 CN 115442100 A 2022.12.06 CN 115442100 A 1.一种基于多节点 零信任网关的数据访问方法， 其特 征在于， 包括： 接收每个零信任网关发送的注册报文， 每份所述注册报文包括对应的所述零信任 网关 的网关局域网地址和互联网地址； 以所述互联网地址相同为基准， 对所述零信任网关进行分组， 得到每组网关的互联网 地址和网关局域网地址关联关系； 接收零信任客户端的SPA认证请求报文， 所述SPA认证请求报文包括所述零信 任客户端 的互联网地址； 根据所述零信任客户端的互联网地址， 以及， 所述每组网关的互联网地址和网关局域 网地址关联关系， 确定与所述 零信任客户端的互联网地址相对应的同组网关局域网地址； 在所述同组网关局域网地址中确定目标网关局域网地址， 将所述目标网关局域网地址 放入SPA认证回应报文中， 将所述SPA认证回应报文发送至所述零信任客户端， 以使所述零 信任客户端完成就近 接入。 2.根据权利要求1所述的方法， 其特征在于， 所述在所述同组网关局域网地址中确定目 标网关局域网地址， 包括： 在所述同组网关局域网地址中选择任一网关局域网地址作为目标网关局域网地址 。 3.一种基于多节点零信任网关的数据访 问系统， 其特征在于， 包括： 零信任控制器、 零 信任客户端和设置在不同区域的零信任网关； 所述零信任控制器用于执行权利要求1 ‑2任一所述的多节点零信任网关自动分组方 法。 4.根据权利要求3所述的系统， 其特征在于， 所述零信任网关， 用于获取网关局域网址 和互联网地址； 同一区域的所述零信任网关的网关局 域网址不同， 同一区域的所述零信任 网关的互联网地址相同； 不同区域的所述 零信任网关的互联网地址不同。 5.根据权利要求3所述的系统， 其特征在于， 所述零信任客户端用于通过网卡设置， 获 取所述零信任客户端的局域网地址； 确定初步SPA认证请求报文， 所述初步SPA认证请求报 文携带所述零信任客户端的局域网地址； 通过出 口路由器将所述零信任客户端的初步SPA 认证请求报文的源地址转换为零信任客户端的互联网地址， 将转换后携带所述零信任客户 端的互联网地址的初步S PA认证请求报文作为S PA认证请求报文发送至所述 零信任控制器。 6.根据权利要求3所述的系统， 其特征在于， 所述零信任客户端， 还用于： 接收所述SPA 认证回应报文， 根据所述SPA认证回应报文确定目标网关局域网地址， 向所述目标网关局域 网地址发送安全隧道建立请求， 以实现就近 接入。 7.一种基于多节点 零信任网关的数据访问装置， 其特 征在于， 包括： 第一接收模块， 用于接收每个零信任网关发送的注册报文， 每份所述注册报文包括对 应的所述 零信任网关的网关局域网地址和互联网地址； 分组模块， 用于以所述互联网地址相同为基准， 对所述零信任网关进行分组， 得到每组 网关的互联网地址和网关局域网地址关联关系； 第二接收模块， 用于接收零信任客户端的SPA认证请求报文， 所述SPA认证请求报文包 括所述零信任客户端的互联网地址； 确定模块， 用于根据 所述零信任客户端的互联网地址， 以及， 所述每组网关的互联网地 址和网关局域网地址关联关系， 确定与所述零信任客户端的互联网地址相对应的同组网关权　利　要　求　书 1/2 页 2 CN 115442100 A 2局域网地址； 发送模块， 用于在所述同组网关局域网地址中确定目标网关局域网地址， 将所述目标 网关局域网地址放入SPA认证回应报文中， 将所述SPA认证回应报文发送至所述零信任客户 端， 以使所述 零信任客户端完成就近 接入。 8.一种基于多节点零信任网关的数据访问设备， 其特征在于， 包括处理器和存储器， 所 述处理器与存 储器相连： 其中， 所述处 理器， 用于调用并执 行所述存储器中存 储的程序； 所述存储器， 用于存储所述程序， 所述程序至少用于执行权利要求1 ‑2任一项所述的多 节点零信任网关自动分组方法。权　利　要　求　书 2/2 页 3 CN 115442100 A 3