本申請提供了一種流量管理方法及設備。在流量管理方法中，當確定控制通道接收的HTTP協議數據報文通過身份識別與訪問管理IAM認證時，在關聯流量管理表中為發送數據報文的用戶建立多個關聯流量表項；其中，每個關聯流量表項至少包括：用戶的網絡地址、最新訪問時間、一個非HTTP協議類型對應的協議標識；根據關聯流量管理表允許用戶通過非HTTP協議數據通道向應用系統發送的多個非HTTP協議數據報文。

技術領域

本申請涉及通信技術，具體地講是一種流量管理方法及設備。

背景技術

傳統的網絡安全模型以網絡邊界作為防護邊界，通常采用防火墻、DDOS(Distributed Denial Of Service，分布式拒絕服務)、IPS等設備在企業入口處對流量進行監控。但是，由于企業內網防御措施往往較為薄弱，一旦攻擊者攻入企業網絡邊界就會面臨企業內網環境下數據泄漏風險。另一方面，隨著微服務架構的興起，系統組成方式由集中式向分布式演進，企業對外提供的服務也更加具有針對性，需要提供更加精細化的防護方式。

在以上技術背景下產生了零信任網絡技術，用戶訪問接入網絡的流量必須首先代理設備經過認證，代理設備為通過認證的用戶生成token(令牌)，通過 HTTP((Hyper TextTransfer Protocol,超文本傳輸協議))協議報文的cookie字段將生成的token發送給認證通過的用戶，認證通過的用戶在本地cookie存儲收到的token。這樣，代理設備收到發往應用系統的報文，如果報文攜帶了token，則通過基于HTTP協議的控制通道發往應用系統，如果收到的報文未攜帶token，則不再發往應用系統。

但是，當應用系統具有多個交互通道時，譬如基于HTTP協議的控制通道和基于TCP協議的數據通道，代理設備只能對基于HTTP協議的控制通道收到報文進行IAM(Identityand Access Management，身份識別與訪問管理)認證，無法對其他數據通道收到的報文進行IAM認證。

發明內容

本申請的目的在于提供一種流量管理方法及設備，基于確定控制通道接收的HTTP協議數據報文對非HTTP協議數據通道收到的非HTTP協議數據報文進行管理。

為實現上述目的，本申請提供了一種流量管理方法，該方法中，當確定控制通道接收的HTTP協議數據報文通過身份識別與訪問管理IAM認證時，在關聯流量管理表中為發送數據報文的用戶建立多個關聯流量表項；其中，每個關聯流量表項至少包括：用戶的網絡地址、最新訪問時間、一個非HTTP 協議類型對應的協議標識；根據關聯流量管理表允許用戶通過非HTTP協議數據通道向應用系統發送的多個非HTTP協議數據報文

為實現上述目的，本申請還提供一種流量管理設備，該設備包括處理器以及存儲器；存儲器用于存儲處理器可執行指令；其中，處理器通過運行存儲器中的處理器可執行指令用以執行以下操作：確定控制通道接收的HTTP協議數據報文通過身份識別與訪問管理IAM認證；在關聯流量管理表中為發送數據報文的用戶建立多個關聯流量表項；其中，每個關聯流量表項至少包括：用戶的網絡地址、最新訪問時間、一個非HTTP協議類型對應的協議標識；根據關聯流量管理表允許用戶通過非HTTP協議數據通道向應用系統發送的多個非HTTP協議數據報文。

本申請的有益效果在于，登錄系統的控制通道為HTTP協議的應用系統即使使用非HTTP協議進行數據報文傳輸，也能夠部署在零信任網絡中，擴大了零信任網絡的適應范圍。

附圖說明

圖1為本申請提供的流量管理方法實施例的流程圖；

圖2為設置關聯流量管理表的流程示意圖；

圖3為通過關聯流量管理表管理非HTTP協議數據報文的流程示意圖；

圖4為本申請提供的流量管理方法設備實施例的示意圖。

具體實施方式