数据传输方法、装置、计算机设备、存储介质和程序产品与流程

1.本技术涉及信息安全技术领域，特别是涉及一种数据传输方法、装置、计算机设备、存储介质和程序产品。


背景技术：

2.随着计算机技术的发展，出现了零信任网络。零信任网络是指用户之间没有信任，通过匿名的方式来进行数据传输的网络。
3.传统技术，可以在零信任网络中基于tcp/ip协议（transmission control protocol/internet protocol，传输控制协议/网际协议）进行ip数据包的传输，从而实现数据的传输。
4.然而，传统的数据传输方法，存在安全性较低的问题。


技术实现要素：

5.基于此，有必要针对上述技术问题，提供一种能够提高数据传输安全性的数据传输方法、装置、计算机设备、存储介质和程序产品。
6.第一方面，本技术提供了一种数据传输方法。应用于零信任通信网络中的零信任网关中，所述方法包括：接收零信任控制器发送的数据校验规则和零信任代理节点发送的待传输数据包；所述待传输数据包为所述零信任代理节点在初始数据包中添加校验数据后得到的；根据所述数据校验规则对所述待传输数据包中的校验数据进行数据校验，得到数据校验结果；根据所述数据校验结果确定是否将所述待传输数据包传输至数据库。
7.在其中一个实施例中，所述校验数据包括用户会话信息和用户签名信息，所述用户会话信息用于指示发送与所述零信任代理节点建立会话连接过程中生成的地址信息和会话计数信息，所述用户签名信息用于指示发送所述初始数据包的用户的身份参数，所述数据校验规则包括用户会话信息校验规则及数据签名校验规则；所述根据所述数据校验规则对所述待传输数据包中的校验数据进行数据校验，得到数据校验结果，包括：根据所述用户会话信息校验规则对所述待传输数据包中的用户会话信息进行数据校验，生成第一数据校验结果；根据所述数据签名校验规则对所述待传输数据包中的用户签名信息进行数据校验，生成第二数据校验结果；根据所述第一数据校验结果及所述第二数据校验结果，生成所述数据校验结果。
8.在其中一个实施例中，所述根据所述用户会话信息校验规则对所述待传输数据包中的用户会话信息进行数据校验，生成第一数据校验结果，包括：根据所述地址信息确定所述待传输数据包的网络地址类型；所述网络地址类型包括公网地址类型及私网地址类型；
根据所述待传输数据包的网络地址类型，确定是否需要对所述待传输数据包中的源网络地址进行更新，生成中间数据包；根据所述用户会话信息校验规则对所述中间数据包中的会话计数信息进行数据校验，生成所述第一数据校验结果。
9.在其中一个实施例中，所述根据所述待传输数据包的网络地址类型，确定是否需要对所述待传输数据包中的源网络地址进行更新，生成中间数据包，包括：若所述待传输数据包的网络地址类型为所述私网地址类型，则将所述待传输数据包作为所述中间数据包；若所述待传输数据包的网络地址类型为所述公网地址类型，则将所述待传输数据包中的源网络地址更新为所述待传输数据包对应的公网地址，生成所述中间数据包。
10.在其中一个实施例中，所述根据所述数据签名校验规则对所述待传输数据包中的用户签名信息进行数据校验，生成第二数据校验结果，包括：根据所述数据签名校验规则对所述中间数据包中的用户签名信息进行数据校验，生成所述第二数据校验结果。
11.在其中一个实施例中，所述方法还包括：从所述待传输数据包中确定校验未通过的数据包，根据所述校验未通过的数据包生成异常会话信息；将所述异常会话信息发送至零信任控制器；所述异常会话信息用于指示所述零信任控制器对所述异常会话信息进行分析及向所述零信任代理节点发送会话终止指令。
12.第二方面，本技术还提供了一种数据传输方法。应用于零信任通信网络中的零信任控制器中，所述方法包括：接收零信任代理节点发送的用户证书和用户标准会话信息；根据所述用户证书和用户标准会话信息，生成数据校验规则；向零信任网关发送所述数据校验规则；所述数据校验规则用于指示所述零信任网关根据所述数据校验规则对待传输数据包中的校验数据进行数据校验，得到数据校验结果；根据所述数据校验结果确定是否将所述待传输数据包传输至数据库。
13.第三方面，本技术还提供了一种数据传输方法。应用于零信任通信网络中的零信任代理节点中，所述方法包括：获取用户证书、用户标准会话信息和初始数据包；将所述用户证书及所述用户标准会话信息发送至零信任控制器，以使所述零信任控制器基于所述用户证书及所述用户标准会话信息，生成数据校验规则，向零信任网关发送所述数据校验规则；向所述初始数据包中添加校验数据，生成待传输数据包，并将所述待传输数据包发送至所述零信任网关；所述待传输数据包用于指示所述零信任网关根据所述数据校验规则对所述待传输数据包中的校验数据进行数据校验，得到数据校验结果；根据所述数据校验结果确定是否将所述待传输数据包传输至数据库。
14.第四方面，本技术还提供了一种数据传输装置。应用于零信任通信网络中的零信任网关中，所述装置包括：待传输数据包接收模块，用于接收零信任控制器发送的数据校验规则和零信任代
理节点发送的待传输数据包；所述待传输数据包为所述零信任代理节点在初始数据包中添加校验数据后得到的；数据校验模块，用于根据所述数据校验规则对所述待传输数据包中的校验数据进行数据校验，得到数据校验结果；数据传输模块，用于根据所述数据校验结果确定是否将所述待传输数据包传输至数据库。
15.第五方面，本技术还提供了一种数据传输装置。应用于零信任通信网络中的零信任控制器中，所述装置包括：信息接收模块，用于接收零信任代理节点发送的用户证书和用户标准会话信息；数据校验规则生成模块，用于根据所述用户证书和用户标准会话信息，生成数据校验规则；数据校验规则发送模块，用于向零信任网关发送所述数据校验规则；所述数据校验规则用于指示所述零信任网关根据所述数据校验规则对待传输数据包中的校验数据进行数据校验，得到数据校验结果；根据所述数据校验结果确定是否将所述待传输数据包传输至数据库。
16.第六方面，本技术还提供了一种数据传输装置。应用于零信任通信网络中的零信任代理节点中，所述装置包括：信息获取模块，用于获取用户证书、用户标准会话信息和初始数据包；信息发送数据校验模块，用于将所述用户证书及所述用户标准会话信息发送至零信任控制器，以使所述零信任控制器基于所述用户证书及所述用户标准会话信息，生成数据校验规则，向零信任网关发送所述数据校验规则；待传输数据包生成模块，用于向所述初始数据包中添加校验数据，生成待传输数据包，并将所述待传输数据包发送至所述零信任网关；所述待传输数据包用于指示所述零信任网关根据所述数据校验规则对所述待传输数据包中的校验数据进行数据校验，得到数据校验结果；根据所述数据校验结果确定是否将所述待传输数据包传输至数据库。
17.第七方面，本技术还提供了一种零信任网关，包括收发器、处理器和存储器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序，用于执行上述第一方面中任一项实施例中的方法的步骤。
18.第八方面，本技术还提供了一种零信任控制器，包括收发器、处理器和存储器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序，用于控制所述收发器接收零信任代理节点发送的用户证书和用户标准会话信息；用于控制所述处理器根据所述用户证书和用户标准会话信息，生成数据校验规则；用于控制所述收发器向零信任网关发送所述数据校验规则；所述数据校验规则用于指示所述零信任网关根据所述数据校验规则对待传输数据包中的校验数据进行数据校验，得到数据校验结果；根据所述数据校验结果确定是否将所述待传输数据包传输至数据库。
19.第九方面，本技术还提供了一种零信任代理节点，包括收发器、处理器和存储器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序，用于控制所述收发器获
取用户证书、用户标准会话信息和初始数据包；用于控制所述收发器将所述用户证书及所述用户标准会话信息发送至零信任控制器，以使所述零信任控制器基于所述用户证书及所述用户标准会话信息，生成数据校验规则，向零信任网关发送所述数据校验规则；用于控制所述处理器和所述收发器向所述初始数据包中添加校验数据，生成待传输数据包，并将所述待传输数据包发送至所述零信任网关；所述待传输数据包用于指示所述零信任网关根据所述数据校验规则对所述待传输数据包中的校验数据进行数据校验，得到数据校验结果；根据所述数据校验结果确定是否将所述待传输数据包传输至数据库。
20.第十方面，本技术还提供了一种计算机可读存储介质。所述计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述第一方面至第三方面中任一项实施例中的方法的步骤。
21.第十一方面，本技术还提供了一种计算机程序产品。所述计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现上述第一方面至第三方面中任一项实施例中的方法的步骤。
22.上述数据传输方法、装置、计算机设备、存储介质和程序产品，接收零信任控制器发送的数据校验规则和零信任代理节点发送的待传输数据包；待传输数据包为零信任代理节点在初始数据包中添加校验数据后得到的；根据数据校验规则对待传输数据包中的校验数据进行数据校验，得到数据校验结果；根据数据校验结果确定是否将待传输数据包传输至数据库。本技术实施例中的零信任代理节点能够在初始数据包中添加校验数据，得到重新封装的待传输数据包。从而，零信任网关能够接收零信任控制器发送的数据校验规则以及零信任代理节点发送的、重新封装的待传输数据包，并根据数据校验规则对重新封装的待传输数据包中的校验数据进行数据校验，得到较准确的数据校验结果。进而，能够根据较准确的数据校验结果，确定是否将待传输数据包传输至数据库。由于本技术需要先根据数据校验规则对重新封装的待传输数据包中的校验数据进行数据校验，且本技术只能对数据校验通过的待传输数据包进行传输，因此，能够提高数据传输过程的安全性。
附图说明
23.图1为一个实施例中数据传输方法的应用环境图；图2为一个实施例中零信任网关对应的数据传输方法的流程示意图；图3为一个实施例中数据校验步骤的流程示意图；图4为一个实施例中第一数据校验结果生成步骤的流程示意图；图5为一个实施例中异常会话信息发送步骤的流程示意图；图6为另一个实施例中零信任控制器对应的数据传输方法的流程示意图；图7为另一个实施例中零信任代理节点对应的数据传输方法的流程示意图；图8为一个实施例中待传输数据包的结构示意图；图9为一个可选的实施例中零信任网关对应的数据传输方法的流程示意图；图10为一个实施例中零信任通信网络对应的通信系统的结构示意图；图11为一个实施例中在零信任通信网络中进行数据校验及数据传输的流程示意图；
图12为一个实施例中零信任网关对应的数据传输装置的结构框图；图13为一个实施例中零信任控制器对应的数据传输装置的结构框图；图14为一个实施例中零信任代理节点对应的数据传输装置的结构框图；图15为一个实施例中零信任网关的内部结构示意图；图16为另一个实施例中零信任控制器的内部结构示意图；图17为又一个实施例中零信任代理节点的内部结构示意图。
具体实施方式
24.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。
25.随着计算机技术的发展，出现了零信任网络。零信任网络是指用户之间没有信任，通过匿名的方式来进行数据传输的网络。
26.传统技术，可以在零信任网络中基于tcp/ip协议（transmission control protocol/internet protocol，传输控制协议/网际协议）进行ip数据包的传输，从而实现数据的传输。
27.然而，在传统的数据传输过程中，数据存在被伪冒、被篡改、出现重放攻击等安全问题。因此，传统的数据传输方法，存在安全性较低的问题。
28.本技术实施例提供的数据传输方法，可以应用于如图1所示的应用环境中。其中，零信任通信网络（即零信任网络）对应的通信系统100中包括零信任代理节点102、零信任控制器104、零信任网关106和数据库。零信任代理节点102可以从用户终端处获取数据，且零信任代理节点102可以通过通信网络向零信任网关106发送数据，零信任代理节点102还可以向零信任控制器104发送数据。其中，通信网络包括公网和局域网。零信任控制器104可以向零信任网关106发送数据。零信任网关106可以将数据传输至数据库，或者，零信任网关106也可以将数据传输至零信任控制器104。在本技术实施例中，零信任网关106接收零信任控制器104发送的数据校验规则和零信任代理节点102发送的待传输数据包；待传输数据包为零信任代理节点102在初始数据包中添加校验数据后得到的；零信任网关106根据数据校验规则对待传输数据包中的校验数据进行数据校验，得到数据校验结果；零信任网关106根据数据校验结果确定是否将待传输数据包传输至数据库。
29.其中，用户终端可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑、物联网设备和便携式可穿戴设备，物联网设备可为智能音箱、智能电视、智能空调、智能车载设备等。便携式可穿戴设备可为智能手表、智能手环、头戴设备等。零信任代理节点102、零信任控制器104、零信任网关106均可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
30.在一个实施例中，如图2所示，提供了一种数据传输方法，以该方法应用于图1中的零信任通信网络中的零信任网关106为例进行说明，包括以下步骤：s220，接收零信任控制器发送的数据校验规则和零信任代理节点发送的待传输数据包；待传输数据包为零信任代理节点在初始数据包中添加校验数据后得到的。
31.其中，零信任通信网络即零信任网络，零信任网络是指用户之间没有信任，通过匿
名的方式来进行数据传输的网络。零信任通信网络对应的通信系统中包括零信任代理节点、零信任控制器、零信任网关和数据库。数据校验规则是由零信任代理节点生成的规则，数据校验规则用于对待传输数据包中的数据进行数据校验。待传输数据包是指需要先进行数据校验、且只有在数据校验通过之后才能进行传输的数据包。待传输数据包为零信任代理节点在初始数据包中添加校验数据后得到的数据包。初始数据包是指从用户终端处获取的数据包。校验数据是指待传输数据包中用于进行数据校验的数据。
32.可选地，由于零信任通信网络对应的通信系统100中包括零信任代理节点102、零信任控制器104、零信任网关106和数据库，且零信任代理节点102和零信任控制器104均可以向零信任网关106发送数据。因此，可选地，零信任网关106可以同时接收零信任控制器104发送的数据校验规则和零信任代理节点102发送的待传输数据包；或者，零信任网关106也可以先接收零信任控制器104发送的数据校验规则，再接收零信任代理节点102发送的待传输数据包；或者，零信任网关106还可以先接收零信任代理节点102发送的待传输数据包，再接收零信任控制器104发送的数据校验规则。需要说明的是，在本技术实施例中，对于零信任网关106接收数据校验规则和接收待传输数据包的时间顺序不做限定。
33.s240，根据数据校验规则对待传输数据包中的校验数据进行数据校验，得到数据校验结果。
34.可选地，零信任网关106可以根据数据校验规则对待传输数据包中的校验数据进行数据校验，得到数据校验结果。示例性的，假设数据校验规则中包括校验数据阈值，且数据校验规则为：若校验数据小于或者校验数据阈值，则表示数据校验通过。那么，零信任网关106可以将校验数据阈值与待传输数据包中的校验数据进行比较，从而生成数据校验结果。其中，数据校验规则和校验数据阈值可以是根据数据包进行设置的，本技术实施例对此不做限定。数据校验结果包括数据校验通过以及数据校验未通过。
35.s260，根据数据校验结果确定是否将待传输数据包传输至数据库。
36.可选地，零信任网关106可以根据数据校验结果确定是否将待传输数据包传输至数据库。示例性的，若数据校验结果为数据校验通过，则零信任网关106可以将待传输数据包传输至数据库。若数据校验结果为数据校验未通过，则零信任网关106可以丢弃待传输数据包。
37.上述数据传输方法中，接收零信任控制器发送的数据校验规则和零信任代理节点发送的待传输数据包；待传输数据包为零信任代理节点在初始数据包中添加校验数据后得到的；根据数据校验规则对待传输数据包中的校验数据进行数据校验，得到数据校验结果；根据数据校验结果确定是否将待传输数据包传输至数据库。本技术实施例中的零信任代理节点能够在初始数据包中添加校验数据，得到重新封装的待传输数据包。从而，零信任网关能够接收零信任控制器发送的数据校验规则以及零信任代理节点发送的、重新封装的待传输数据包，并根据数据校验规则对重新封装的待传输数据包中的校验数据进行数据校验，得到较准确的数据校验结果。进而，能够根据较准确的数据校验结果，确定是否将待传输数据包传输至数据库。由于本技术需要先根据数据校验规则对重新封装的待传输数据包中的校验数据进行数据校验，且本技术只能对数据校验通过的待传输数据包进行传输，因此，能够提高数据传输过程的安全性。
38.在上面的实施例中，涉及到了根据数据校验规则对待传输数据包中的校验数据进
行数据校验，得到数据校验结果，下面对其具体方法进行介绍。在一个实施例中，校验数据包括用户会话信息和用户签名信息，用户会话信息用于指示发送与零信任代理节点建立会话连接过程中生成的地址信息和会话计数信息，用户签名信息用于指示发送初始数据包的用户的身份参数，数据校验规则包括用户会话信息校验规则及数据签名校验规则；如图3所示，s240包括：s320，根据用户会话信息校验规则对待传输数据包中的用户会话信息进行数据校验，生成第一数据校验结果。
39.其中，校验数据可以包括但不局限于用户会话信息和用户签名信息，用户会话信息用于指示发送与零信任代理节点建立会话连接过程中生成的地址信息和会话计数信息。地址信息包括源网络地址、目的网络地址以及发送待传输数据包的网络地址等信息。会话计数信息是指会话信息的数量。用户签名信息用于指示发送初始数据包的用户的身份参数。身份参数可以包括但不局限于用户名称、用户的身份认证标识等。从而，零信任网关106可以接收地址信息、会话计数信息及用户的身份参数等校验数据。数据校验规则包括用户会话信息校验规则及数据签名校验规则。用户会话信息校验规则是指对地址信息、会话计数信息等用户会话信息进行数据校验的规则，数据签名校验规则是指对用户签名信息进行数据校验的规则。
40.可选地，零信任网关106可以根据用户会话信息校验规则对待传输数据包中的用户会话信息进行数据校验，生成第一数据校验结果。示例性的，假设用户会话信息校验规则中包括会话信息阈值，且用户会话信息校验规则为：若用户会话信息小于或者等于会话信息阈值，则表示会话信息校验通过。那么，零信任网关106可以将会话信息阈值与待传输数据包中的用户会话信息进行比较，从而生成第一数据校验结果。其中，用户会话信息校验规则和会话信息阈值可以是根据数据包进行设置的，本技术实施例对此不做限定。第一数据校验结果包括会话信息校验通过以及会话信息校验未通过。
41.s340，根据数据签名校验规则对待传输数据包中的用户签名信息进行数据校验，生成第二数据校验结果。
42.可选地，零信任网关106可以根据数据签名校验规则对待传输数据包中的用户签名信息进行数据校验，生成第二数据校验结果。示例性的，假设数据签名校验规则中包括数据签名阈值，且数据签名校验规则为：若用户签名信息小于或者等于数据签名阈值，则表示数据签名校验通过。那么，零信任网关106可以将数据签名阈值与待传输数据包中的用户签名信息进行比较，从而生成第二数据校验结果。其中，数据签名校验规则和数据签名阈值可以是根据数据包进行设置的，本技术实施例对此不做限定。第二数据校验结果包括数据签名校验通过以及数据签名校验未通过。
43.s360，根据第一数据校验结果及第二数据校验结果，生成数据校验结果。
44.可选地，零信任网关106可以根据第一数据校验结果及第二数据校验结果，确定会话信息校验是否通过以及数据签名校验是否通过。若第一数据校验结果为会话信息校验通过，且第二数据校验结果为数据签名校验通过，即会话信息校验和数据签名校验均通过，则确定数据校验结果为数据校验通过。若第一数据校验结果为会话信息校验未通过，和/或，第二数据校验结果为数据签名校验未通过，即会话信息校验和数据签名校验中存在至少一次校验未通过，则确定数据校验结果为数据校验未通过。
45.本实施例中，由于校验数据包括用户会话信息和用户签名信息，且数据校验规则包括用户会话信息校验规则及数据签名校验规则。因此，根据用户会话信息校验规则对待传输数据包中的用户会话信息进行数据校验，能够较准确地生成第一数据校验结果；根据数据签名校验规则对待传输数据包中的用户签名信息进行数据校验，能够较准确地生成第二数据校验结果。从而，能够根据较准确的第一数据校验结果及较准确的第二数据校验结果，生成较准确的数据校验结果。
46.在上面的实施例中，涉及到了根据用户会话信息校验规则对待传输数据包中的用户会话信息进行数据校验，生成第一数据校验结果，下面对其具体方法进行介绍。在一个实施例中，如图4所示，s320包括：s420，根据地址信息确定待传输数据包的网络地址类型；网络地址类型包括公网地址类型及私网地址类型。
47.可选地，零信任网关106可以从待传输数据包地址信息中获取发送待传输数据包的网络地址，并根据该发送待传输数据包的网络地址，确定待传输数据包的网络地址类型。其中，网络地址类型包括公网地址类型及私网地址类型。公网地址是指在因特网上可以直接进行访问的地址。私网地址是指在私网上可以直接进行访问的地址。私网即为局域网，局域网是在局部地区形成的一个区域网络，只有特定区域内的计算机设备可以访问私网。示例性的，若发送待传输数据包的网络地址为私网地址，则零信任网关106可以确定待传输数据包的网络地址类型为私网地址类型；若发送待传输数据包的网络地址为公网地址，则零信任网关106可以确定待传输数据包的网络地址类型为公网地址类型。
48.s440，根据待传输数据包的网络地址类型，确定是否需要对待传输数据包中的源网络地址进行更新，生成中间数据包。
49.可选地，零信任网关106可以根据待传输数据包的网络地址类型，确定发送待传输数据包的网络地址是公网地址还是私网地址，从而确定是否需要对待传输数据包中的源网络地址进行更新，进而生成中间数据包。其中，中间数据包为基于待传输数据包的网络地址类型所生成的数据包。
50.在其中一个可选的实施例中，s440包括：若待传输数据包的网络地址类型为私网地址类型，则将待传输数据包作为中间数据包。
51.若待传输数据包的网络地址类型为公网地址类型，则将待传输数据包中的源网络地址更新为待传输数据包对应的公网地址，生成中间数据包。
52.可选地，若待传输数据包的网络地址类型为私网地址类型，即发送待传输数据包的网络地址是私网地址，则说明未对待传输数据包进行网络地址转换（network address translation，nat）。此时，待传输数据包中的源网络地址与私网地址相同，因此，零信任网关106可以对待传输数据包不做更新处理，直接将待传输数据包作为中间数据包。
53.若待传输数据包的网络地址类型为公网地址类型，即发送待传输数据包的网络地址是公网地址，则说明对待传输数据包进行了网络地址转换（network address translation，nat）。此时，待传输数据包中的源网络地址仍为私网地址，但是，待传输数据包的真实网络地址为公网地址，即待传输数据包中的源网络地址与真实网络地址（即公网地址）不相同，因此，零信任网关106可以将待传输数据包中的源网络地址更新为待传输数
据包对应的公网地址，从而生成中间数据包。
54.s460，根据用户会话信息校验规则对中间数据包中的会话计数信息进行数据校验，生成第一数据校验结果。
55.可选地，零信任网关106可以根据用户会话信息校验规则对中间数据包中的会话计数信息进行数据校验，生成第一数据校验结果。示例性的，假设用户会话信息校验规则中包括标准会话计数，且用户会话信息校验规则包括：若中间数据包中的会话计数信息小于或者等于标准会话计数，则表示会话信息校验通过。那么，零信任网关106可以将标准会话计数与中间数据包中的会话计数信息进行比较，从而生成第一数据校验结果。其中，用户会话信息校验规则和标准会话计数可以是根据数据包进行设置的，本技术实施例对此不做限定。需要说明的是，根据会话计数信息的校验过程，零信任网关106可以确定是否接收到多余的会话信息，若接收到多余的会话信息，则说明出现重放攻击的现象，此时，第一数据校验结果为会话信息校验未通过，从而能够有效地避免出现重放攻击的现象。
56.本实施例中，根据地址信息确定待传输数据包的网络地址类型，能够较准确地确定出网络地址类型为公网地址类型还是私网地址类型。从而，能够根据待传输数据包的网络地址类型，较准确地确定是否需要对待传输数据包中的源网络地址进行更新，从而生成包含准确的源网络地址的中间数据包。进而，根据用户会话信息校验规则对包含准确的源网络地址的中间数据包中的会话计数信息进行数据校验，就能够较准确地生成第一数据校验结果。
57.在上面的实施例中，涉及到了根据数据签名校验规则对待传输数据包中的用户签名信息进行数据校验，生成第二数据校验结果，下面对其具体方法进行介绍。在一个实施例中，s340包括：根据数据签名校验规则对中间数据包中的用户签名信息进行数据校验，生成第二数据校验结果。
58.可选地，零信任网关106可以根据数据签名校验规则对中间数据包中的用户签名信息进行数据校验，生成第二数据校验结果。示例性的，假设用户会话信息校验规则中包括用户标准签名，且用户会话信息校验规则包括：若中间数据包中的用户签名信息等于用户标准签名，则表示会话信息校验通过。那么，零信任网关106可以将用户标准签名与中间数据包中的用户签名信息进行比较，从而生成第二数据校验结果。其中，用户会话信息校验规则和用户标准签名可以是根据数据包进行设置的，本技术实施例对此不做限定。
59.本实施例中，根据数据签名校验规则对包含准确的源网络地址的中间数据包中的用户签名信息进行数据校验，能够较准确地生成第二数据校验结果。
60.在上面的实施例中，涉及到了根据数据校验结果确定是否将待传输数据包传输至数据库，下面对另一个实施例中的具体方法进行介绍。在一个实施例中，如图5所示，上述数据传输方法还包括：s520，从待传输数据包中确定校验未通过的数据包，根据校验未通过的数据包生成异常会话信息。
61.可选地，若待传输数据包的数据校验结果为数据校验未通过，即会话信息校验和数据签名校验中存在至少一次校验未通过，则零信任网关106可以确定该待传输数据包是校验未通过的数据包。基于此，零信任网关106可以从待传输数据包中确定校验未通过的数
据包，并根据校验未通过的数据包生成该校验未通过的数据包对应的异常会话信息。之后，零信任网关106还可以丢弃该校验未通过的数据包。
62.s540，将异常会话信息发送至零信任控制器；异常会话信息用于指示零信任控制器对异常会话信息进行分析及向零信任代理节点发送会话终止指令。
63.可选地，零信任网关106可以将异常会话信息发送至零信任控制器104。其中，异常会话信息表示的是该待传输数据包对应的会话信息存在异常，异常会话信息用于指示零信任控制器104对异常会话信息进行分析及向零信任代理节点102发送会话终止指令。会话终止指令用于指示将异常的会话信息对应的会话进行终止。
64.本实施例中，从待传输数据包中确定校验未通过的数据包，并根据校验未通过的数据包较准确地生成异常会话信息。之后，将较准确的异常会话信息发送至零信任控制器，以使零信任控制器对异常会话信息进行分析，并向零信任代理节点发送会话终止指令，从而能够根据异常会话信息终止异常会话。
65.在一个实施例中，如图6所示，还提供了一种数据传输方法，以该方法应用于图1中的零信任通信网络中的零信任控制器104为例进行说明，包括以下步骤：s620，接收零信任代理节点发送的用户证书和用户标准会话信息。
66.可选地，零信任控制器104可以接收零信任代理节点102发送的用户证书和用户标准会话信息。其中，用户证书是由证书颁发机构（certificate authority，ca）签发给用户的证书。用户标准会话信息可以包括但不局限于用户真实的五元组信息。五元组信息通常可以包括源网络地址、源端口、目的网络地址、目的端口和传输层协议。
67.s640，根据用户证书和用户标准会话信息，生成数据校验规则。
68.可选地，零信任控制器104可以对用户证书进行证书验证，生成证书验证结果。在证书验证结果为证书验证通过的情况下，零信任控制器104可以从用户证书中获取用户标准签名信息。从而，零信任控制器104可以根据用户标准签名信息和用户标准会话信息，生成数据校验规则。其中，用户标准签名信息包括用户公钥信息以及用户标准身份信息。用户公钥信息用于对用户标准身份信息进行加密。用户标准身份信息可以包括用户真实的身份参数。数据校验规则中包括用户标准签名信息对应的校验规则和用户标准会话信息对应的校验规则。
69.s660，向零信任网关发送数据校验规则；数据校验规则用于指示零信任网关根据数据校验规则对待传输数据包中的校验数据进行数据校验，得到数据校验结果；根据数据校验结果确定是否将待传输数据包传输至数据库。
70.可选地，零信任控制器104可以向零信任网关106发送数据校验规则，以使零信任网关106根据数据校验规则对待传输数据包中的校验数据进行数据校验，得到数据校验结果；从而，以使零信任网关106根据数据校验结果确定是否将待传输数据包传输至数据库。其中，零信任网关106进行数据校验及数据传输的步骤详见上述实施例，在此不做赘述。
71.上述数据传输方法中，接收零信任代理节点发送的用户证书和用户标准会话信息，能够获取较准确的用户证书和用户标准会话信息。从而，能够根据较准确的用户证书和用户标准会话信息，较准确地生成数据校验规则，并能够向零信任网关发送较准确的数据校验规则。其中，较准确的数据校验规则用于指示零信任网关根据数据校验规则对待传输数据包中的校验数据进行数据校验，得到数据校验结果；根据数据校验结果确定是否将待
传输数据包传输至数据库。
72.在一个实施例中，如图7所示，还提供了一种数据传输方法，以该方法应用于图1中的零信任通信网络中的零信任代理节点102为例进行说明，包括以下步骤：s720，获取用户证书、用户标准会话信息和初始数据包。
73.可选地，零信任代理节点102可以从用户终端处获取用户证书。零信任代理节点102还可以与零信任网关106建立会话连接，生成用户标准会话信息。零信任代理节点102还可以从用户终端处获取初始数据包。其中，初始数据包是指未添加校验数据的数据包。
74.s740，将用户证书及用户标准会话信息发送至零信任控制器，以使零信任控制器基于用户证书及用户标准会话信息，生成数据校验规则，向零信任网关发送数据校验规则。
75.可选地，零信任代理节点102可以向零信任控制器104进行用户注册，以将用户证书发送至零信任控制器104。此外，由于零信任代理节点102可以与零信任网关106建立会话连接，因此，零信任代理节点102可以通过零信任网关106对用户标准会话信息进行标准会话信息校验，生成标准会话信息校验结果。在标准会话信息校验结果为标准会话信息校验通过的情况下，零信任代理节点102可以通过零信任网关106将校验通过的标准会话信息发送至零信任控制器104，以使零信任控制器104基于用户证书及用户标准会话信息，生成数据校验规则，并向零信任网关106发送数据校验规则。
76.s760，向初始数据包中添加校验数据，生成待传输数据包，并将待传输数据包发送至零信任网关；待传输数据包用于指示零信任网关根据数据校验规则对待传输数据包中的校验数据进行数据校验，得到数据校验结果；根据数据校验结果确定是否将待传输数据包传输至数据库。
77.可选地，如图8所示，图8为一个实施例中待传输数据包的结构示意图。初始数据包中包括初始数据包的版本（一般为4位）、头部长度（一般为4位）、服务类型（一般为8位）、总长度（一般为16位）、标识符（一般为16位）、标志（一般为3位）、偏移量（一般为13位）、生存时间ttl（time to live，用于指示初始数据包被丢弃之前允许通过的最大网段数量，一般为8位）、协议（一般为8位）、校验位（一般为16位）、源网络地址（一般为32位）、目的网络地址（一般为32位）、选项、数据等。零信任代理节点102可以在初始数据包的末端中添加校验数据，生成待传输数据包。其中，校验数据包括用户会话信息和用户签名信息。示例性的，用户会话信息可以包括会话计数器字段，会话计数器字段用于对会话信息的数量进行计数。用户签名信息可以包括数据签名信息字段，数据签名信息字段通常可以是32位的字段。此外，还需要将初始数据包的总长度更新为添加校验数据之后的数据包的总长度。
78.之后，零信任代理节点102可以将待传输数据包发送至零信任网关106。待传输数据包用于指示零信任网关106根据数据校验规则对待传输数据包中的校验数据进行数据校验，得到数据校验结果；零信任网关106根据数据校验结果确定是否将待传输数据包传输至数据库。其中，零信任网关106进行数据校验及数据传输的步骤详见上述实施例，在此不做赘述。
79.上述数据传输方法中，能够获取较准确的用户证书、用户标准会话信息和初始数据包；将较准确的用户证书及用户标准会话信息发送至零信任控制器，以使零信任控制器基于较准确的用户证书及用户标准会话信息，生成数据校验规则，向零信任网关发送数据校验规则。还能够向初始数据包中添加较准确的校验数据，生成较准确的待传输数据包，并
将较准确的待传输数据包发送至零信任网关。其中，较准确的待传输数据包用于指示零信任网关根据数据校验规则对待传输数据包中的校验数据进行数据校验，得到数据校验结果；根据数据校验结果确定是否将待传输数据包传输至数据库。
80.在一个可选的实施例中，如图9所示，提供了一种数据传输方法，应用于零信任通信网络中的零信任网关106，上述数据传输方法包括：s902，接收零信任控制器发送的数据校验规则和零信任代理节点发送的待传输数据包；待传输数据包为零信任代理节点在初始数据包中添加校验数据后得到的；s904，根据地址信息确定待传输数据包的网络地址类型；网络地址类型包括公网地址类型及私网地址类型；s906，若待传输数据包的网络地址类型为私网地址类型，则将待传输数据包作为中间数据包；s908，若待传输数据包的网络地址类型为公网地址类型，则将待传输数据包中的源网络地址更新为待传输数据包对应的公网地址，生成中间数据包；s910，根据用户会话信息校验规则对中间数据包中的会话计数信息进行数据校验，生成第一数据校验结果；s912，根据数据签名校验规则对中间数据包中的用户签名信息进行数据校验，生成第二数据校验结果；s914，根据第一数据校验结果及第二数据校验结果，生成数据校验结果；s916，根据数据校验结果确定是否将待传输数据包传输至数据库；s918，从待传输数据包中确定校验未通过的数据包，根据校验未通过的数据包生成异常会话信息；s920，将异常会话信息发送至零信任控制器；异常会话信息用于指示零信任控制器对异常会话信息进行分析及向零信任代理节点发送会话终止指令。
81.可选地，如图10所示，图10为一个实施例中零信任通信网络对应的通信系统的结构示意图。零信任通信网络（即零信任网络）对应的通信系统100中包括零信任代理节点102、零信任控制器104、零信任网关106和数据库。其中，可以在零信任代理节点102和零信任网关106之间通过通信网络传输控制流消息数据或者业务流消息数据；可以在零信任控制器104和零信任网关106之间传输控制流消息数据；可以在零信任网关106和数据库之间传输业务流消息数据。控制流消息数据是指包含一定顺序的消息，业务流消息数据是指包含一定动作或事务的消息。零信任代理节点102可以对初始数据包进行数据签名（即添加校验信息），生成待传输数据包，且可以将待传输数据包发送至零信任网关106。其中，数据签名的过程可以包括pki（公钥基础设施，public key infrastructure）数字签名过程。零信任网关106可以对待传输数据包进行数据校验，生成数据校验结果。
82.可选地，如图11所示，图11为一个实施例中在零信任通信网络中进行数据校验及数据传输的流程示意图。s1102，零信任代理节点102可以获取用户证书，并可以向零信任控制器104进行用户注册，以将用户证书发送至零信任控制器104。s1104，零信任控制器104可以接收零信任代理节点102发送的用户证书，并对用户证书进行证书验证，生成证书验证结果。在证书验证结果为证书验证通过的情况下，零信任控制器104可以从用户证书中获取用户标准签名信息。s1106，零信任代理节点102还可以与零信任网关106建立会话连接，生成
用户标准会话信息。之后，零信任代理节点102可以通过零信任网关106对用户标准会话信息进行标准会话信息校验，生成标准会话信息校验结果。s1108，在标准会话信息校验结果为标准会话信息校验通过的情况下，零信任代理节点102可以通过零信任网关106将校验通过的标准会话信息发送至零信任控制器104。s1110，零信任控制器104可以根据用户标准签名信息和用户标准会话信息，生成数据校验规则。s1112，零信任控制器104可以向零信任网关106发送数据校验规则。
83.结合图11所示，s1114，零信任代理节点102还可以从用户终端处获取初始数据包，并可以在初始数据包的末端中添加校验数据，生成待传输数据包。之后，s1116，零信任代理节点102可以将待传输数据包发送至零信任网关106。零信任网关106接收零信任控制器104发送的数据校验规则和零信任代理节点102发送的待传输数据包，并根据校验数据中的地址信息确定待传输数据包的网络地址类型；网络地址类型包括公网地址类型及私网地址类型。s1118，若待传输数据包的网络地址类型为私网地址类型，则将待传输数据包作为中间数据包，并根据用户会话信息校验规则对中间数据包中的会话计数信息进行数据校验，生成第一数据校验结果；根据数据签名校验规则对中间数据包中的用户签名信息进行数据校验，生成第二数据校验结果；根据第一数据校验结果及第二数据校验结果，生成数据校验结果。
84.结合图11所示，s1120，若待传输数据包的网络地址类型为公网地址类型，则将待传输数据包中的源网络地址更新为待传输数据包对应的公网地址，生成中间数据包；并根据用户会话信息校验规则对中间数据包中的会话计数信息进行数据校验，生成第一数据校验结果；根据数据签名校验规则对中间数据包中的用户签名信息进行数据校验，生成第二数据校验结果；根据第一数据校验结果及第二数据校验结果，生成数据校验结果。s1122，在数据校验结果为校验通过的情况下，零信任网关106可以将校验通过的待传输数据包传输至数据库。s1124，在数据校验结果为校验通过的情况下，零信任网关106可以从待传输数据包中确定校验未通过的数据包，根据校验未通过的数据包生成异常会话信息，并将异常会话信息发送至零信任控制器104。零信任网关106还可以将校验未通过的数据包进行丢弃。s1126，零信任控制器104可以对异常会话信息进行分析，并向零信任代理节点102发送会话终止指令，以使零信任代理节点102根据会话终止指令终止会话。
85.上述数据传输方法中，本技术实施例中的零信任代理节点能够对初始数据包进行数据签名，即能够在初始数据包中添加用户会话信息和用户签名信息，得到重新封装的待传输数据包。且本技术实施例中的零信任控制器能够生成较准确的数据校验规则。从而，零信任网关能够接收零信任控制器发送的较准确的数据校验规则以及零信任代理节点发送的、重新封装的待传输数据包，并根据较准确的数据校验规则对重新封装的待传输数据包中的用户会话信息和用户签名信息进行数据校验，得到较准确的数据校验结果。进而，能够根据较准确的数据校验结果，确定是否将待传输数据包传输至数据库。由于本技术需要先根据较准确的数据校验规则对重新封装的待传输数据包中的校验数据进行数据校验，且本技术只能对数据校验通过的待传输数据包进行传输，因此，能够提高数据传输过程的安全性。
86.应该理解的是，虽然如上的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确
的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，如上的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
87.基于同样的发明构思，本技术实施例还提供了一种用于实现上述所涉及的数据传输方法的数据传输装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似，故下面所提供的一个或多个数据传输装置实施例中的具体限定可以参见上文中对于数据传输方法的限定，在此不再赘述。
88.在一个实施例中，如图12所示，提供了一种数据传输装置1200，应用于零信任通信网络中的零信任网关中，包括：待传输数据包接收模块1220、数据校验模块1240和数据传输模块1260，其中：待传输数据包接收模块1220，用于接收零信任控制器发送的数据校验规则和零信任代理节点发送的待传输数据包；待传输数据包为零信任代理节点在初始数据包中添加校验数据后得到的。
89.数据校验模块1240，用于根据数据校验规则对待传输数据包中的校验数据进行数据校验，得到数据校验结果。
90.数据传输模块1260，用于根据数据校验结果确定是否将待传输数据包传输至数据库。
91.在其中一个实施例中，校验数据包括用户会话信息和用户签名信息，用户会话信息用于指示发送与零信任代理节点建立会话连接过程中生成的地址信息和会话计数信息，用户签名信息用于指示发送初始数据包的用户的身份参数，数据校验规则包括用户会话信息校验规则及数据签名校验规则；数据校验模块1240包括：第一数据校验结果生成单元，用于根据用户会话信息校验规则对待传输数据包中的用户会话信息进行数据校验，生成第一数据校验结果；第二数据校验结果生成单元，用于根据数据签名校验规则对待传输数据包中的用户签名信息进行数据校验，生成第二数据校验结果；数据校验单元，用于根据第一数据校验结果及第二数据校验结果，生成数据校验结果。
92.在其中一个实施例中，第一数据校验结果生成单元包括：网络地址类型确定子单元，用于根据地址信息确定待传输数据包的网络地址类型；网络地址类型包括公网地址类型及私网地址类型；中间数据包生成子单元，用于根据待传输数据包的网络地址类型，确定是否需要对待传输数据包中的源网络地址进行更新，生成中间数据包；第一数据校验结果生成子单元，用于根据用户会话信息校验规则对中间数据包中的会话计数信息进行数据校验，生成第一数据校验结果。
93.在其中一个实施例中，中间数据包生成子单元包括：第一中间数据包生成子单元，用于在待传输数据包的网络地址类型为私网地址类型的情况下，将待传输数据包作为中间数据包；
第二中间数据包生成子单元，用于在待传输数据包的网络地址类型为公网地址类型的情况下，将待传输数据包中的源网络地址更新为待传输数据包对应的公网地址，生成中间数据包。
94.在其中一个实施例中，第二数据校验结果生成单元包括：第二数据校验结果生成子单元，用于根据数据签名校验规则对中间数据包中的用户签名信息进行数据校验，生成第二数据校验结果。
95.在其中一个实施例中，数据传输装置1200还包括：异常会话信息生成模块，用于从待传输数据包中确定校验未通过的数据包，根据校验未通过的数据包生成异常会话信息；异常会话信息发送模块，用于将异常会话信息发送至零信任控制器；异常会话信息用于指示零信任控制器对异常会话信息进行分析及向零信任代理节点发送会话终止指令。
96.在一个实施例中，如图13所示，还提供了一种数据传输装置1300，应用于零信任通信网络中的零信任控制器中，包括：信息接收模块1320、数据校验规则生成模块1340和数据校验规则发送模块1360，其中：信息接收模块1320，用于接收零信任代理节点发送的用户证书和用户标准会话信息。
97.数据校验规则生成模块1340，用于根据用户证书和用户标准会话信息，生成数据校验规则。
98.数据校验规则发送模块1360，用于向零信任网关发送数据校验规则；数据校验规则用于指示零信任网关根据数据校验规则对待传输数据包中的校验数据进行数据校验，得到数据校验结果；根据数据校验结果确定是否将待传输数据包传输至数据库。
99.在一个实施例中，如图14所示，还提供了一种数据传输装置1400，应用于零信任通信网络中的零信任代理节点中，包括：信息获取模块1420、信息发送数据校验模块1440和待传输数据包生成模块1460，其中：信息获取模块，用于获取用户证书、用户标准会话信息和初始数据包。
100.信息发送数据校验模块，用于将用户证书及用户标准会话信息发送至零信任控制器，以使零信任控制器基于用户证书及用户标准会话信息，生成数据校验规则，向零信任网关发送数据校验规则。
101.待传输数据包生成模块，用于向初始数据包中添加校验数据，生成待传输数据包，并将待传输数据包发送至零信任网关；待传输数据包用于指示零信任网关根据数据校验规则对待传输数据包中的校验数据进行数据校验，得到数据校验结果；根据数据校验结果确定是否将待传输数据包传输至数据库。
102.上述数据传输装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
103.图15是本发明实施例提供的零信任网关的结构示意图。图15所示的零信任网关1500包括：至少一个处理器1501、存储器1502、至少一个网络接口1504。零信任网关1500中的各个组件通过总线系统1505耦合在一起。可理解，总线系统1505用于实现这些组件之间
的连接通信。总线系统1505除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图15中将各种总线都标为总线系统1505。另外，本发明实施例中，还包括收发器1506，收发器可以是多个元件，即包括发送器和接收器，提供用于在传输介质上与各种其他装置通信的单元。
104.可以理解，本发明实施例中的存储器1502可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-onlymemory，rom)、可编程只读存储器 (programmablerom，prom)、可擦除可编程只读存储器(erasableprom，eprom)、电可擦除可编程只读存储器(electricallyeprom，eeprom)或闪存。易失性存储器可以是随机存取存储器(randomaccessmemory，ram)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的ram可用，例如静态随机存取存储器(staticram，sram)、动态随机存取存储器 (dynamicram，dram)、同步动态随机存取存储器(synchronousdram，sdram)、双倍数据速率同步动态随机存取存储器(doubledatarate sdram，ddrsdram)、增强型同步动态随机存取存储器(enhancedsdram，esdram)、同步连接动态随机存取存储器(synchlinkdram，sldram)和直接内存总线随机存取存储器(directrambusram，drram)。本发明实施例描述的系统和方法的存储器1502旨在包括但不限于这些和任意其它适合类型的存储器。
105.在一些实施方式中，存储器1502存储了如下的元素，可执行模块或者数据结构，或者他们的子集，或者他们的扩展集：操作系统1502a。其中，操作系统1502a，包含各种系统程序，例如框架层、核心库层、驱动层等，用于实现各种基础业务以及处理基于硬件的任务。
106.在本发明实施例中，通过调用存储器1502存储的程序或指令，使得接收器，用于接收零信任控制器发送的数据校验规则和零信任代理节点发送的待传输数据包；待传输数据包为零信任代理节点在初始数据包中添加校验数据后得到的；处理器1501，用于根据数据校验规则对待传输数据包中的校验数据进行数据校验，得到数据校验结果；发送器，用于根据数据校验结果确定是否将待传输数据包传输至数据库。
107.上述本发明实施例揭示的部分或者全部方法还可以应用于处理器1501中，或者由处理器1501实现，或者由处理器1501与其他元件（例如收发器）配合实现。处理器1501可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器1501中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器1501可以是通用处理器、数字信号处理器(digitalsignalprocessor，dsp)、专用集成电路(applicationspecific integratedcircuit，asic)、现成可编程门阵列(fieldprogrammablegatearray，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器1502，处理器1501读取存储器1502中的信息，结合其硬件完成上述方法的步骤。
108.可以理解的是，本发明实施例描述的这些实施例可以用硬件、软件、固件、中间件、
微码或其组合来实现。对于硬件实现，处理单元可以实现在一个或多个专用集成电路(applicationspecificintegratedcircuits，asic)、数字信号处理器(digitalsignalprocessing，dsp)、数字信号处理设备(dspdevice，dspd)、可编程逻辑设备(programmablelogicdevice，pld)、现场可编程门阵列(field-programmablegatearray，fpga)、通用处理器、控制器、微控制器、微处理器、用于执行本技术功能的其它电子单元或其组合中。
109.对于软件实现，可通过执行本发明实施例功能的模块(例如过程、函数等)来实现本发明实施例的技术。软件代码可存储在存储器中并通过处理器1501执行。存储器可以在处理器1501中或在处理器1501外部实现。
110.在一个实施例中，校验数据包括用户会话信息和用户签名信息，用户会话信息用于指示发送与零信任代理节点建立会话连接过程中生成的地址信息和会话计数信息，用户签名信息用于指示发送初始数据包的用户的身份参数，数据校验规则包括用户会话信息校验规则及数据签名校验规则；处理器，具体用于根据用户会话信息校验规则对待传输数据包中的用户会话信息进行数据校验，生成第一数据校验结果；根据数据签名校验规则对待传输数据包中的用户签名信息进行数据校验，生成第二数据校验结果；根据第一数据校验结果及第二数据校验结果，生成数据校验结果。
111.在一个实施例中，处理器，还用于根据地址信息确定待传输数据包的网络地址类型；网络地址类型包括公网地址类型及私网地址类型；根据待传输数据包的网络地址类型，确定是否需要对待传输数据包中的源网络地址进行更新，生成中间数据包；根据用户会话信息校验规则对中间数据包中的会话计数信息进行数据校验，生成第一数据校验结果。
112.在一个实施例中，处理器，还用于若待传输数据包的网络地址类型为私网地址类型，则将待传输数据包作为中间数据包；若待传输数据包的网络地址类型为公网地址类型，则将待传输数据包中的源网络地址更新为待传输数据包对应的公网地址，生成中间数据包。
113.在一个实施例中，处理器，还用于根据数据签名校验规则对中间数据包中的用户签名信息进行数据校验，生成第二数据校验结果。
114.在一个实施例中，处理器，还用于从待传输数据包中确定校验未通过的数据包，根据校验未通过的数据包生成异常会话信息；发送器，还用于将异常会话信息发送至零信任控制器；异常会话信息用于指示零信任控制器对异常会话信息进行分析及向零信任代理节点发送会话终止指令。
115.图16是本发明实施例提供的零信任控制器的结构示意图。图16所示的零信任控制器1600包括：至少一个处理器1601、存储器1602、至少一个网络接口1604。零信任控制器1600中的各个组件通过总线系统1605耦合在一起。可理解，总线系统1605用于实现这些组件之间的连接通信。总线系统1605除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图16中将各种总线都标为总线系统1605。另外，本发明实施例中，还包括收发器1606，收发器可以是多个元件，即包括发送器和接收器，提供用于在传输介质上与各种其他装置通信的单元。
116.可以理解，本发明实施例中的存储器1602可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器
(read-onlymemory，rom)、可编程只读存储器 (programmablerom，prom)、可擦除可编程只读存储器(erasableprom，eprom)、电可擦除可编程只读存储器(electricallyeprom，eeprom)或闪存。易失性存储器可以是随机存取存储器(randomaccessmemory，ram)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的ram可用，例如静态随机存取存储器(staticram，sram)、动态随机存取存储器 (dynamicram，dram)、同步动态随机存取存储器(synchronousdram，sdram)、双倍数据速率同步动态随机存取存储器(doubledatarate sdram，ddrsdram)、增强型同步动态随机存取存储器(enhancedsdram，esdram)、同步连接动态随机存取存储器(synchlinkdram，sldram)和直接内存总线随机存取存储器(directrambusram，drram)。 本发明实施例描述的系统和方法的存储器1602旨在包括但不限于这些和任意其它适合类型的存储器。
117.在一些实施方式中，存储器1602存储了如下的元素，可执行模块或者数据结构，或者他们的子集，或者他们的扩展集：操作系统1602a。其中，操作系统1602a，包含各种系统程序，例如框架层、核心库层、驱动层等，用于实现各种基础业务以及处理基于硬件的任务。
118.在本发明实施例中，通过调用存储器1602存储的程序或指令，使得接收器，用于接收零信任代理节点发送的用户证书和用户标准会话信息；处理器1601，用于根据用户证书和用户标准会话信息，生成数据校验规则；发送器，用于向零信任网关发送数据校验规则；数据校验规则用于指示零信任网关根据数据校验规则对待传输数据包中的校验数据进行数据校验，得到数据校验结果；根据数据校验结果确定是否将待传输数据包传输至数据库。
119.上述本发明实施例揭示的部分或者全部方法还可以应用于处理器1601中，或者由处理器1601实现，或者由处理器1601与其他元件（例如收发器）配合实现。处理器1601可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器1601中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器1601可以是通用处理器、数字信号处理器(digitalsignalprocessor，dsp)、专用集成电路(applicationspecific integratedcircuit，asic)、现成可编程门阵列(fieldprogrammablegatearray，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器1602，处理器1601读取存储器1602中的信息，结合其硬件完成上述方法的步骤。
120.可以理解的是，本发明实施例描述的这些实施例可以用硬件、软件、固件、中间件、微码或其组合来实现。对于硬件实现，处理单元可以实现在一个或多个专用集成电路(applicationspecificintegratedcircuits，asic)、数字信号处 理器(digitalsignalprocessing，dsp)、数字信号处理设备(dspdevice，dspd)、可编程逻辑设备(programmablelogicdevice，pld)、现场可编程门阵列(field-programmablegatearray，fpga)、通用处理器、控制器、微控制器、微处理器、用于执行本技术功能的其它电子单元或其组合中。
121.对于软件实现，可通过执行本发明实施例功能的模块(例如过程、函数等)来实现本发明实施例的技术。软件代码可存储在存储器中并通过处理器1601执行。存储器可以在处理器1601中或在处理器1601外部实现。
122.图17是本发明实施例提供的零信任代理节点的结构示意图。图17所示的零信任代理节点1700包括：至少一个处理器1701、存储器1702、至少一个网络接口1704。零信任代理节点1700中的各个组件通过总线系统1705耦合在一起。可理解，总线系统1705用于实现这些组件之间的连接通信。总线系统1705除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图17中将各种总线都标为总线系统1705。另外，本发明实施例中，还包括收发器1706，收发器可以是多个元件，即包括发送器和接收器，提供用于在传输介质上与各种其他装置通信的单元。
123.可以理解，本发明实施例中的存储器1702可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-onlymemory，rom)、可编程只读存储器 (programmablerom，prom)、可擦除可编程只读存储器(erasableprom，eprom)、电可擦除可编程只读存储器(electricallyeprom，eeprom)或闪存。易失性存储器可以是随机存取存储器(randomaccessmemory，ram)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的ram可用，例如静态随机存取存储器(staticram，sram)、动态随机存取存储器 (dynamicram，dram)、同步动态随机存取存储器(synchronousdram，sdram)、双倍数据速率同步动态随机存取存储器(doubledatarate sdram，ddrsdram)、增强型同步动态随机存取存储器(enhancedsdram，esdram)、同步连接动态随机存取存储器(synchlinkdram，sldram)和直接内存总线随机存取存储器(directrambusram，drram)。本发明实施例描述的系统和方法的存储器1702旨在包括但不限于这些和任意其它适合类型的存储器。
124.在一些实施方式中，存储器1702存储了如下的元素，可执行模块或者数据结构，或者他们的子集，或者他们的扩展集：操作系统1702a。其中，操作系统1702a，包含各种系统程序，例如框架层、核心库层、驱动层等，用于实现各种基础业务以及处理基于硬件的任务。
125.在本发明实施例中，通过调用存储器1702存储的程序或指令，使得接收器，用于获取用户证书、用户标准会话信息和初始数据包；发送器，用于将用户证书及用户标准会话信息发送至零信任控制器，以使零信任控制器基于用户证书及用户标准会话信息，生成数据校验规则，向零信任网关发送数据校验规则；处理器1701和发送器，用于向初始数据包中添加校验数据，生成待传输数据包，并将待传输数据包发送至零信任网关；待传输数据包用于指示零信任网关根据数据校验规则对待传输数据包中的校验数据进行数据校验，得到数据校验结果；根据数据校验结果确定是否将待传输数据包传输至数据库。
126.上述本发明实施例揭示的部分或者全部方法还可以应用于处理器1701中，或者由处理器1701实现，或者由处理器1701与其他元件（例如收发器）配合实现。处理器1701可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器1701中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器1701可以是通用处理器、数字信号处理器(digitalsignalprocessor，dsp)、专用集成电路(applicationspecific integratedcircuit，asic)、现成可编程门阵列(fieldprogrammablegatearray，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑
器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器1702，处理器1701读取存储器1702中的信息，结合其硬件完成上述方法的步骤。
127.可以理解的是，本发明实施例描述的这些实施例可以用硬件、软件、固件、中间件、微码或其组合来实现。对于硬件实现，处理单元可以实现在一个或多个专用集成电路(applicationspecificintegratedcircuits，asic)、数字信号处 理器(digitalsignalprocessing，dsp)、数字信号处理设备(dspdevice，dspd)、可编程逻辑设备(programmablelogicdevice，pld)、现场可编程门阵列(field-programmablegatearray，fpga)、通用处理器、控制器、微控制器、微处理器、用于执行本技术功能的其它电子单元或其组合中。
128.对于软件实现，可通过执行本发明实施例功能的模块(例如过程、函数等)来实现本发明实施例的技术。软件代码可存储在存储器中并通过处理器1701执行。存储器可以在处理器1701中或在处理器1701外部实现。
129.在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
130.在一个实施例中，提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
131.需要说明的是，本技术所涉及的用户信息（包括但不限于用户设备信息、用户个人信息等）和数据（包括但不限于用于分析的数据、存储的数据、展示的数据等），均为经用户授权或者经过各方充分授权的信息和数据，且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准。
132.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器（read-only memory，rom）、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器（reram）、磁变存储器（magnetoresistive random access memory，mram）、铁电存储器（ferroelectricrandom access memory，fram）、相变存储器（phase change memory，pcm）、石墨烯存储器等。易失性存储器可包括随机存取存储器（random access memory，ram）或外部高速缓冲存储器等。作为说明而非局限，ram可以是多种形式，比如静态随机存取存储器（static random access memory，sram）或动态随机存取存储器（dynamic random accessmemory，dram）等。本技术所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等，不限于此。本技术所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处
理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等，不限于此。
133.以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
134.以上实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本技术专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术的保护范围应以所附权利要求为准。

技术特征：
1.一种数据传输方法，其特征在于，应用于零信任通信网络中的零信任网关中，所述方法包括：接收零信任控制器发送的数据校验规则和零信任代理节点发送的待传输数据包；所述待传输数据包为所述零信任代理节点在初始数据包中添加校验数据后得到的；根据所述数据校验规则对所述待传输数据包中的校验数据进行数据校验，得到数据校验结果；根据所述数据校验结果确定是否将所述待传输数据包传输至数据库。2.根据权利要求1所述的方法，其特征在于，所述校验数据包括用户会话信息和用户签名信息，所述用户会话信息用于指示发送与所述零信任代理节点建立会话连接过程中生成的地址信息和会话计数信息，所述用户签名信息用于指示发送所述初始数据包的用户的身份参数，所述数据校验规则包括用户会话信息校验规则及数据签名校验规则；所述根据所述数据校验规则对所述待传输数据包中的校验数据进行数据校验，得到数据校验结果，包括：根据所述用户会话信息校验规则对所述待传输数据包中的用户会话信息进行数据校验，生成第一数据校验结果；根据所述数据签名校验规则对所述待传输数据包中的用户签名信息进行数据校验，生成第二数据校验结果；根据所述第一数据校验结果及所述第二数据校验结果，生成所述数据校验结果。3.根据权利要求2所述的方法，其特征在于，所述根据所述用户会话信息校验规则对所述待传输数据包中的用户会话信息进行数据校验，生成第一数据校验结果，包括：根据所述地址信息确定所述待传输数据包的网络地址类型；所述网络地址类型包括公网地址类型及私网地址类型；根据所述待传输数据包的网络地址类型，确定是否需要对所述待传输数据包中的源网络地址进行更新，生成中间数据包；根据所述用户会话信息校验规则对所述中间数据包中的会话计数信息进行数据校验，生成所述第一数据校验结果。4.根据权利要求3所述的方法，其特征在于，所述根据所述待传输数据包的网络地址类型，确定是否需要对所述待传输数据包中的源网络地址进行更新，生成中间数据包，包括：若所述待传输数据包的网络地址类型为所述私网地址类型，则将所述待传输数据包作为所述中间数据包；若所述待传输数据包的网络地址类型为所述公网地址类型，则将所述待传输数据包中的源网络地址更新为所述待传输数据包对应的公网地址，生成所述中间数据包。5.根据权利要求3或4所述的方法，其特征在于，所述根据所述数据签名校验规则对所述待传输数据包中的用户签名信息进行数据校验，生成第二数据校验结果，包括：根据所述数据签名校验规则对所述中间数据包中的用户签名信息进行数据校验，生成所述第二数据校验结果。6.根据权利要求1-4任一项所述的方法，其特征在于，所述方法还包括：从所述待传输数据包中确定校验未通过的数据包，根据所述校验未通过的数据包生成异常会话信息；
将所述异常会话信息发送至所述零信任控制器；所述异常会话信息用于指示所述零信任控制器对所述异常会话信息进行分析及向所述零信任代理节点发送会话终止指令。7.一种数据传输方法，其特征在于，应用于零信任通信网络中的零信任控制器中，所述方法包括：接收零信任代理节点发送的用户证书和用户标准会话信息；根据所述用户证书和用户标准会话信息，生成数据校验规则；向零信任网关发送所述数据校验规则；所述数据校验规则用于指示所述零信任网关根据所述数据校验规则对待传输数据包中的校验数据进行数据校验，得到数据校验结果；根据所述数据校验结果确定是否将所述待传输数据包传输至数据库。8.一种数据传输方法，其特征在于，应用于零信任通信网络中的零信任代理节点中，所述方法包括：获取用户证书、用户标准会话信息和初始数据包；将所述用户证书及所述用户标准会话信息发送至零信任控制器，以使所述零信任控制器基于所述用户证书及所述用户标准会话信息，生成数据校验规则，向零信任网关发送所述数据校验规则；向所述初始数据包中添加校验数据，生成待传输数据包，并将所述待传输数据包发送至所述零信任网关；所述待传输数据包用于指示所述零信任网关根据所述数据校验规则对所述待传输数据包中的校验数据进行数据校验，得到数据校验结果；根据所述数据校验结果确定是否将所述待传输数据包传输至数据库。9.一种数据传输装置，其特征在于，应用于零信任通信网络中的零信任网关中，所述装置包括：待传输数据包接收模块，用于接收零信任控制器发送的数据校验规则和零信任代理节点发送的待传输数据包；所述待传输数据包为所述零信任代理节点在初始数据包中添加校验数据后得到的；数据校验模块，用于根据所述数据校验规则对所述待传输数据包中的校验数据进行数据校验，得到数据校验结果；数据传输模块，用于根据所述数据校验结果确定是否将所述待传输数据包传输至数据库。10.一种数据传输装置，其特征在于，应用于零信任通信网络中的零信任控制器中，所述装置包括：信息接收模块，用于接收零信任代理节点发送的用户证书和用户标准会话信息；数据校验规则生成模块，用于根据所述用户证书和用户标准会话信息，生成数据校验规则；数据校验规则发送模块，用于向零信任网关发送所述数据校验规则；所述数据校验规则用于指示所述零信任网关根据所述数据校验规则对待传输数据包中的校验数据进行数据校验，得到数据校验结果；根据所述数据校验结果确定是否将所述待传输数据包传输至数据库。11.一种数据传输装置，其特征在于，应用于零信任通信网络中的零信任代理节点中，所述装置包括：
信息获取模块，用于获取用户证书、用户标准会话信息和初始数据包；信息发送数据校验模块，用于将所述用户证书及所述用户标准会话信息发送至零信任控制器，以使所述零信任控制器基于所述用户证书及所述用户标准会话信息，生成数据校验规则，向零信任网关发送所述数据校验规则；待传输数据包生成模块，用于向所述初始数据包中添加校验数据，生成待传输数据包，并将所述待传输数据包发送至所述零信任网关；所述待传输数据包用于指示所述零信任网关根据所述数据校验规则对所述待传输数据包中的校验数据进行数据校验，得到数据校验结果；根据所述数据校验结果确定是否将所述待传输数据包传输至数据库。12.一种零信任网关，包括收发器、处理器和存储器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序，用于执行如权利要求1至6中任一项所述的方法的步骤。13.一种零信任控制器，包括收发器、处理器和存储器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序，用于控制所述收发器接收零信任代理节点发送的用户证书和用户标准会话信息；用于控制所述处理器根据所述用户证书和用户标准会话信息，生成数据校验规则；用于控制所述收发器向零信任网关发送所述数据校验规则；所述数据校验规则用于指示所述零信任网关根据所述数据校验规则对待传输数据包中的校验数据进行数据校验，得到数据校验结果；根据所述数据校验结果确定是否将所述待传输数据包传输至数据库。14.一种零信任代理节点，包括收发器、处理器和存储器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序，用于控制所述收发器获取用户证书、用户标准会话信息和初始数据包；用于控制所述收发器将所述用户证书及所述用户标准会话信息发送至零信任控制器，以使所述零信任控制器基于所述用户证书及所述用户标准会话信息，生成数据校验规则，向零信任网关发送所述数据校验规则；用于控制所述处理器和所述收发器向所述初始数据包中添加校验数据，生成待传输数据包，并将所述待传输数据包发送至所述零信任网关；所述待传输数据包用于指示所述零信任网关根据所述数据校验规则对所述待传输数据包中的校验数据进行数据校验，得到数据校验结果；根据所述数据校验结果确定是否将所述待传输数据包传输至数据库。15.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至8中任一项所述的方法的步骤。16.一种计算机程序产品，包括计算机程序，其特征在于，该计算机程序被处理器执行时实现权利要求1至8中任一项所述的方法的步骤。

技术总结
本申请涉及一种数据传输方法、装置、计算机设备、存储介质和程序产品。上述方法包括：接收零信任控制器发送的数据校验规则和零信任代理节点发送的待传输数据包；待传输数据包为零信任代理节点在初始数据包中添加校验数据后得到的；根据数据校验规则对待传输数据包中的校验数据进行数据校验，得到数据校验结果；根据数据校验结果确定是否将待传输数据包传输至数据库。采用本方法能够提高数据传输过程的安全性。的安全性。的安全性。


技术研发人员：陈文华 陈鸿杰 王爱宝 蒋春元 李澄宇
受保护的技术使用者：中国电信股份有限公司
技术研发日：2023.07.25
技术公布日：2023/8/24