(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111521828.8 (22)申请日 2021.12.13 (71)申请人 杭州迪普科技股份有限公司 地址 310051 浙江省杭州市滨江区通和路 68号中财大厦6楼 (72)发明人 何辉海　赵旭东　秦德楼　 (74)专利代理 机构 北京博思佳知识产权代理有 限公司 1 1415 代理人 王剑 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/141(2022.01) H04L 67/56(2022.01) (54)发明名称 一种连接建立方法及装置 (57)摘要 本说明书提供一种连接 建立方法、 装置和一 种接入认证系统。 用户将用户信息发送至SDP控 制器， SDP 控制器基于用户信息， 对目标用户进行 SDP认证； 认证通过后， 将服务代理设备的连接信 息发送给用户端； 用户客户端基于连接信息与服 务代理设备建立连接。 由于用户客户端在通过服 务代理设备来访问被隔离访问的用户服务时， 需 要通过SDP控制的SDP认 证之后， 才能获得服务代 理设备的连接信息， 使 得服务代理设备的连接信 息将不再直接暴露给用户客户端， 从而可以降低 服务代理设备被攻击的风险。 权利要求书4页 说明书9页 附图4页 CN 114301639 A 2022.04.08 CN 114301639 A 1.一种连接建立方法， 应用于SDP接入认证系统中的用户客户端， 所述SDP接入认证系 统包括至少一个用户客户端， 至少一个SDP控制器和至少一个服务代理设备； 所述服务代理 设备面向所述用户客户端提供与被隔离访问的用户服务对应的代理服务， 所述SDP控制器 用于控制客户端与服 务代理设备之间建立连接； 所述方法包括： 响应于目标用户发起的建立连接操作， 获取 所述目标用户的用户信息； 将所述用户信息发送至所述SDP控制器， 以由所述SDP控制器基于所述用户信息对所述 目标用户进行S DP认证； 获取所述SDP控制器对所述目标用户进行SDP认证通过后发送的所述服务代理设备的 连接信息， 并基于所述连接信息与所述服务代理设备建立连接， 以基于建立的连接进一步 访问所述用户服 务。 2.根据权利要求1所述的方法， 所述SDP控制器面向所述用户客户端开放了与SDP认证 服务对应的第一UD P端口； 所述将所述用户信息发送至所述SDP控制器， 以由所述SDP控制器基于所述用户信息对 所述目标用户进行S DP认证， 包括： 生成用于SDP认证的第一SPA请求报文； 其中， 所述第一SPA请求报文包括所述用户信 息； 将所述第一SPA请求报文发送至所述第一UDP端口， 以使所述SDP控制器响应于接收到 的所述第一SPA请求报文， 基于所述第一SPA请求报文中的所述用户信息对所述目标用户进 行SDP认证， 并在所述目标用户通过其本地的SDP认证后， 将用于与其建立TCP连接的第一 TCP端口的访问权限， 授权给 所述用户客户端。 3.根据权利要求1所述的方法， 获取所述SDP控制器对所述目标用户进行SDP认证通过 后发送的所述 服务代理设备的连接信息， 包括： 向所述第一TCP端口发送TCP连接请求， 与所述S DP控制器建立第一TCP连接； 通过所述第一TCP连接， 获取所述SDP控制器对所述目标用户进行SDP认证通过后发送 的认证结果； 其中， 所述认证结果包括所述 服务代理设备的连接信息 。 4.根据权利要求3所述的方法， 所述认证结果还包括所述SDP控制器生成的指示所述目 标用户通过SDP认证的t oken凭证； 所述服务代理设备的连接信息包括所述服务代理设备面 向用户客户端开 放的与SDP认证服务对应的第二UD P端口号； 基于所述连接信 息与所述服务代理设备建立连接， 以基于建立的连接进一步访问所述 服务， 包括： 生成用于SDP认证 的第二SPA请求报文； 其中， 所述第二SPA请求报文包括所述token凭 证； 将所述第二SPA请求报文发送至所述第二UDP端口， 以使所述服务代 理设备响应于接收 到的所述第二SPA请求报文， 基于所述第二SPA请求报文中的所述token凭证针对所述目标 用户进行SDP认证， 并在所述目标用户通过其本地的SDP认证后， 将用于与其建立TCP连接的 第二TCP端口的访问权限， 授权给所述用户客户端， 并将所述第二TCP端口返回给所述用户 客户端； 向所述第二TCP端口发送TCP连接建立请求与所述服务代理设备建立第二TCP连接， 以 基于建立的所述TCP连接进一 步访问所述用户服 务。权　利　要　求　书 1/4 页 2 CN 114301639 A 25.根据权利要求3所述的方法， 所述服务代理设备的连接信息包括所述服务代理设备 面向用户客户端开 放的用于进行S DP认证的第三UD P端口号； 基于所述连接信 息与所述服务代理设备建立连接， 以基于建立的连接进一步访问所述 用户服务， 包括： 生成用于SDP认证的第三SPA请求报文； 其中， 所述第三SPA请求报文包括所述用户信 息； 将所述第三SPA请求报文发送至所述第三UDP端口， 以使所述服务代 理设备响应于接收 到的第三SPA请求报文， 基于所述第三SPA请求报文中的所述用户信息， 针对所述目标用户 进行SDP认证， 并在所述目标用户通过其本地的SDP认证后， 将用户与其建立的TCP连接的第 二TCP端口的访问权限， 授权给所述用户客户端， 并将所述第二TCP端口返回给所述用户客 户端； 向所述第二TCP端口发送TCP连接建立请求与所述服务代理设备建立第二TCP连接， 以 基于建立的所述第二TCP连接进一 步访问所述 服务。 6.根据权利要求3所述的方法， 所述服务代理设备的连接信息包括所述服务代理设备 面向用户客户端开 放的用于与其建立TCP连接的第二TCP端口号； 基于所述连接信 息与所述服务代理设备建立连接， 以基于建立的连接进一步访问所述 服务包括： 向所述第二TCP端口发送TCP连接建立请求与所述服务代理设备建立第二TCP连接， 以 基于建立的所述第二TCP连接进一 步访问所述用户服 务。 7.根据权利要求3 ‑6中任一所述的方法， 所述TCP连接包括TLS连接 。 8.根据权利要求1所述的方法， 所述 服务代理设备包括VPN设备。 9.根据权利要求2 ‑6中任一所述的方法， 所述将TCP端口的访问权限授权给用户客户 端， 包括： 将TCP端口在预设时间段内的访问权限授权给用户客户端。 10.一种连接建立方法， 应用于SDP接入认证系 统的SDP控制器， 所述SDP接入认证系 统 包括至少一个用户客户端， 至少一个SDP控制器和至少一个服务代理设备； 所述服务代理设 备面向所述用户客户端提供与被隔离访问的用户服务对应的代理服务， 所述SDP控制器用 于控制客户端与服 务代理设备之间建立连接； 所述方法包括： 接收用户客户端发送的用户信息， 基于所述用户信息对所述目标用户进行S DP认证； 对所述目标用户进行SDP认证通过后， 向用户客户端发送所述服务代理设备的连接信 息； 以使所述用户客户端与服 务代理设备建立连接 。 11.根据权利要求10所述的方法， 所述用户客户端生成用于SDP认证的第一SPA请求报 文； 其中， 所述第一S PA请求报文包括所述用户信息； 所述用户客户端将所述第一SPA请求报文发送至所述SDP控制器面向所述用户客户端 开放了与SDP认证服务对应的UD P端口； 所述基于所述用户信息对所述目标用户进行S DP认证， 包括： 响应于接收到的所述第一SPA请求报文， 基于所述第一SPA请求报文中的所述用户信息 对所述目标用户进行S DP认证。 12.根据权利要求1 1所述的方法， 所述方法还 包括：权　利　要　求　书 2/4 页 3 CN 114301639 A 3