(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211183668.5 (22)申请日 2022.09.27 (71)申请人 江苏易安联网络技 术有限公司 地址 211111 江苏省南京市江宁区秣陵街 道秣周东路12号悠谷 孵化器4楼401室 (72)发明人 常官清　秦益飞　杨正权　 (74)专利代理 机构 南京华恒专利代理事务所 (普通合伙) 32335 专利代理师 裴素艳 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/08(2006.01) H04L 9/32(2006.01) (54)发明名称 一种基于DNS的零信任网络授权方法及系统 (57)摘要 本发明公开了基于DNS的零信任网络授权方 法及系统， 方法包括： 获取客户端发送至DNS服务 器的请求， 识别客户端的源IP地址发送至控制 器； 若客户端的源IP地址符合SPA敲门端口的防 火墙规则， DNS服务器同步控制器域名对应的TXT 值并返回客户端； 客户端向控制器发送SPA报文 和登录请求， 控制器对SPA报文进行解密和验证， 登录成功， 客户端向网关发送SPA报文， 网关对 SPA报文进行解密和验证， 验证通过后， 客户端向 网关发起建立隧道的请求， 若请求符合网关开放 的业务端口防火墙规则， 则建立客户端与网关之 间的隧道。 本发明采用DNS服务器来隐藏控制器 和网关服 务器， 从而达 到抗DDOS攻击的目的。 权利要求书2页 说明书5页 附图2页 CN 115499235 A 2022.12.20 CN 115499235 A 1.一种基于DNS的零信任网络授权方法， 其特 征在于， 包括如下步骤： 获取客户端发送至DNS服务器的关于查询控制器域名对应TXT值的请求， 所述DNS服务 器识别所述 客户端的源IP地址并发送至控制器； 所述控制器为所述客户端开放SPA敲门端口的防火墙规则， 若所述客户端 的源IP地址 符合SPA敲门端口的防火墙规则， 则允许所述客户端进行敲门验证， 所述DNS服务器获取控 制器域名当前对应的TXT值并返回至所述 客户端； 所述客户端根据返回的控制器域名对应的TXT值向所述控制器发送SPA报文， 所述控制 器对SPA报文进 行解密和验证， 验证通过后， 所述控制器对 所述客户端开放业务端口的防火 墙规则； 所述客户端向所述控制器发起登录请求， 根据所述控制器开放的业务端口防火墙规则 返回登录结果至所述 客户端； 若登录结果为成功， 所述客户端向网关发送SPA报文， 所述网关对所述SPA报文进行解 密和验证， 验证通过后， 所述网关对所述 客户端开 放业务端口的防火墙规则； 所述客户端向所述网关发起建立隧道的请求， 若请求符合所述网关开放的业务端口防 火墙规则， 则建立 客户端与网关之间的隧道； 用户通过所述客户端发起访问所述网关所管理应用资源的请求， 所述网关根据用户权 限返回应用的访问结果。 2.根据权利要求1所述的基于DNS的零信任网络授权方法， 其特征在于： 所述控制器域 名对应的TXT值定时更新。 3.根据权利要求2所述的基于DNS的零信任网络授权方法， 其特征在于： 所述控制器域 名对应的TXT值基于对时间戳+控制器的硬件特 征码进行哈希计算得到的哈希值 生成。 4.根据权利要求3所述的基于DNS的零信任网络授权方法， 其特征在于： 所述客户端向 所述控制器发送的SPA报文经SPA共享密钥加密， 所述SPA共享密钥为所述控制器域名对应 的TXT值。 5.根据权利要求4所述的基于DNS的零信任网络授权方法， 其特征在于： 所述控制器判 断缓存中的SPA共享密钥是否存在， 若存在， 采用SPA共享密钥对所述客户端发送的SPA报文 进行解密， 若不存在， 重新 向所述DNS服务器查询所述控制器域名对应的TXT值作为密钥对 SPA报文进行解密。 6.根据权利要求1或5所述的基于DNS的零信任网络授权方法， 其特征在于： 所述客户端 向所述网关发送的SPA报文经SPA共享密钥加密， 所述SPA共享密钥为所述控制器域名对应 的TXT值。 7.根据权利要求6所述的基于DNS的零信任网络授权方法， 其特征在于： 所述网关判断 缓存中的SPA共享密钥 是否存在， 若存在， 采用SPA共享密钥对所述客户端发送至所述网关 的SPA报文进 行解密， 若不存在， 重新向所述DNS服务器查询所述控制器域名对应的T XT值作 为密钥对S PA报文进行解密。 8.用于实现权利要求1所述基于DNS的零信任网络授权方法的系统， 其特征在于： 包括 客户端、 DNS服 务器、 控制器、 网关； 所述DNS服务器与所述客户端、 控制器分别通信连接， 用于获取所述客户端发送至DNS 服务器的关于查询控制器域名对应TXT值的请求， 根据请求识别所述客户端的源IP地址并权　利　要　求　书 1/2 页 2 CN 115499235 A 2发送至控制器， 所述控制器为所述客户端开放SPA 敲门端口的防火墙规则， 若 所述客户端的 源IP地址符合SPA敲门端口的防火墙规则， 则允许所述客户端进行敲门验证， 所述DNS服务 器同步控制器域名对应的TXT值并返回所述 客户端； 所述客户端与所述控制器通信连接， 用于向控制器发送S PA报文以及登录认证； 所述控制器与所述DNS服务器通信连接， 用于在SPA密钥失效时， 获取SPA密钥对SPA报 文进行解密和认证； 所述客户端与所述网关通信连接， 用于向所述网关发送SPA报文， 在SPA报文认证通过 后建立隧道； 所述网关与所述DNS服务器通信连接， 用于在SPA密钥失效时， 获取SPA密钥对SPA报文 进行解密和认证。 9.根据权利要求8所述的基于DNS的零信任网络授权系统， 其特征在于： 所述控制器对 所述DNS服 务器进行 管理和配置 。 10.根据权利要求8所述的基于DNS的零信任网络授权系统， 其特征在于， 所述控制器与 所述DNS服务器通信连接包括： 所述控制器判断缓存中的SPA共享密钥是否存在， 若存在， 采 用SPA共享密钥对 所述客户端发送的SPA报文进 行解密， 若不存在， 重新向所述DNS服务器查 询所述控制器域名对应的TXT值作为密钥对SPA报文进行解密； 所述网关与所述DNS服务器 通信连接包括： 所述网关判断缓存中的SPA共享密钥是否存在， 若存在， 采用SPA共享密钥对 所述客户端发送至所述网关 的SPA报文进行解密， 若不存在， 重新向所述DNS服务器查询所 述控制器域名对应的TXT值作为密钥对S PA报文进行解密。权　利　要　求　书 2/2 页 3 CN 115499235 A 3