CN113596009B - 零信任访问方法、***、零信任安全代理、终端及介质 - Google Patents
零信任访问方法、***、零信任安全代理、终端及介质 Download PDFInfo
- Publication number
- CN113596009B CN113596009B CN202110835317.7A CN202110835317A CN113596009B CN 113596009 B CN113596009 B CN 113596009B CN 202110835317 A CN202110835317 A CN 202110835317A CN 113596009 B CN113596009 B CN 113596009B
- Authority
- CN
- China
- Prior art keywords
- access
- zero
- virtual
- trust
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本公开提供一种基于虚拟映射的零信任访问方法、***、零信任安全代理终端及计算机可读存储介质,所述方法包括:对零信任安全代理进行虚拟映射,得到第一虚拟安全代理和第二虚拟安全代理;获取访问主体的用户令牌和所述访问主体所请求访问的访问客体的客体权限;将用户令牌和客体权限分别发送至第一虚拟安全代理和第二虚拟安全代理,分别在所述第一虚拟安全代理和所述第二虚拟安全代理中基于所述用户令牌和所述客体权限连接所述访问主体和所述访问客体。本公开实施例利用虚拟映射技术,基于虚拟安全代理分别传递用户令牌和客体权限,而不直接由安全代理直接基于用户令牌和客体权限连接访问主体和访问客体,以至少保证零信任安全代理自身的安全性。
Description
技术领域
本公开涉及计算机网络技术领域,尤其涉及一种零信任访问方法、一种零信任访问***、一种零信任安全代理、一种终端以及一种计算机可读存储介质。
背景技术
零信任网络安全架构的核心思想是打破物理边界防护的局限性,不再默认信任物理安全边界内部的任何用户、设备或者***、应用,而以身份认证作为核心,将认证和授权作为访问控制的基础。其重点是应用和数据服务的安全交付,核心理念是基于身份的动态权限管理,其关键能力可以概况为:以资产为基础,以身份为核心、业务安全访问、持续信任评估和基于最小权限的动态访问控制。
在零信任网络安全架构中,零信任安全中安全代理是访问主体和访问客体之间建立可信通道的必要组件,起到隔离访问主体和访问客体、过滤非法访问、强认证的作用。
在目前的零信任网络安全架构中,零信任安全代理是架构的第一道防线,无论专家、学者还是行业技术研究,都没法脱离零信任安全代理,在各自的方案中,赋予零信任安全代理差异化的功能实现,有的仅是认证,有的认证和映射后的应用资源访问等,各具特色,但大多数现有研究的关注点均在安全网关功能的实现,而忽略了安全代理本身的安全性,一个设备功能越多,权限越大,风险则递增,更何况零信任架构模式下,零信任安全代理可以说是该模型最重要的一道防线,一旦遭受攻击,则后果比现有技术面临的风险更大,损失也会更加惨重,零信任的初衷是先认证后通信,那么为了更好的达到或者增强模型的安全性,必然需要提高安全代理的自身的安全性。
发明内容
本公开提供了一种零信任访问方法、***、零信任安全代理、终端及计算机可读存储介质,通过对零信任安全代理进行虚拟映射,并基于虚拟映射的两个安全代理分别传递用户令牌和客体权限,进而完成访问主体和访问客体之间的连接,以至少保证零信任安全代理自身的安全性。
根据本公开的一方面,提供一种基于虚拟映射的零信任访问方法,应用于零信任安全代理,包括:
对所述零信任安全代理进行虚拟映射,得到第一虚拟安全代理和第二虚拟安全代理;
获取访问主体的用户令牌和所述访问主体所请求访问的访问客体的客体权限;
将所述用户令牌和所述客体权限分别发送至所述第一虚拟安全代理和所述第二虚拟安全代理,以及,
分别在所述第一虚拟安全代理和所述第二虚拟安全代理中基于所述用户令牌和所述客体权限连接所述访问主体和所述访问客体。
在一种实施方式中,在对所述零信任安全代理进行虚拟映射之后,以及获取访问主体的用户令牌和所述访问主体所请求访问的访问客体的客体权限之前,还包括:
接收访问主体发起的关于访问客体的访问请求;
将所述访问请求发送给零信任安全控制中心,以使所述零信任安全控制中心对所述访问请求进行验证,并在所述访问请求验证为合法后将所述访问请求发送给身份安全管理中心,然后使所述身份安全管理中心基于所述访问请求对所述访问主体进行身份认证,并在身份认证完成后将所述访问主体的用户令牌和所述访问客体的客体权限返回给所述零信任安全控制中心,再由所述零信任控制中心将所述用户令牌和所述客体权限发送给所述零信任安全代理;
所述获取访问主体的用户令牌和所述访问主体所请求访问的访问客体的客体权限,包括:
从所述零信任控制中心获取访问主体的用户令牌和所述访问主体所请求访问的访问客体的客体权限。
在一种实施方式中,在获取访问主体的用户令牌和所述访问主体所请求访问的访问客体的客体权限之后,以及将所述用户令牌和所述客体权限分别发送至所述第一虚拟安全代理和所述第二虚拟安全代理之前,还包括:
分别对所述用户令牌和所述客体权限进行加密,得到加密后的用户令牌和加密后的客体权限;
所述将所述用户令牌和所述客体权限分别发送给所述第一虚拟安全代理和所述第二虚拟安全代理,包括:
将所述加密后的用户令牌和所述加密后的客体权限分别发送给所述第一虚拟安全代理和所述第二虚拟安全代理;
所述分别在所述第一虚拟安全代理和所述第二虚拟安全代理中基于所述用户令牌和所述客体权限连接所述访问主体和所述访问客体,包括:
分别在所述第一虚拟安全代理和所述第二虚拟安全代理中对所述加密后的用户令牌和所述加密后的客体权限进行解密,得到所述用户令牌和所述客体权限,然后基于所述用户令牌和所述客体权限连接所述访问主体和所述访问客体。
根据本公开的另一方面,提供一种零信任安全代理,包括:
虚拟映射模块,其设置为对所述零信任安全代理进行虚拟映射,得到第一虚拟安全代理和第二虚拟安全代理;
获取模块,其设置为获取访问主体的用户令牌和所述访问主体所请求访问的访问客体的客体权限;
发送模块,其设置为将所述用户令牌和所述客体权限分别发送至所述第一虚拟安全代理和所述第二虚拟安全代理,以及,
连接模块,其设置为分别在所述第一虚拟安全代理和所述第二虚拟安全代理中基于所述用户令牌和所述客体权限连接所述访问主体和所述访问客体。
在一种实施方式中,所述零信任安全代理还包括:
接收模块,其设置为在虚拟映射模块对所述零信任安全代理进行虚拟映射之后,以及获取模块获取所述用户令牌和所述客体权限之前,接收访问主体发起的关于访问客体的访问请求;
所述发送模块还设置为,将所述访问请求发送给零信任安全控制中心,以使所述零信任安全控制中心对所述访问请求进行验证,并在所述访问请求验证为合法后将所述访问请求发送给身份安全管理中心,然后使所述身份安全管理中心基于所述访问请求对所述访问主体进行身份认证,并在身份认证完成后将所述访问主体的用户令牌和所述访问客体的客体权限返回给所述零信任安全控制中心,再由所述零信任控制中心将所述用户令牌和所述客体权限发送给所述零信任安全代理;
所述获取模块具体设置为,从所述零信任控制中心获取访问主体的用户令牌和所述访问主体所请求访问的访问客体的客体权限。
在一种实施方式中,所述零信任安全代理还包括:
加密模块,其设置为在所述获取模块获取所述用户令牌和所述客体权限之后,以及所述发送模块将所述用户令牌和所述客体权限分别发送至所述第一虚拟安全代理和所述第二虚拟安全代理之前,分别对所述用户令牌和所述客体权限进行加密,得到加密后的用户令牌和加密后的客体权限;
所述发送模块具体设置为,将所述加密后的用户令牌和所述加密后的客体权限分别发送给所述第一虚拟安全代理和所述第二虚拟安全代理;
所述连接模块具体设置为,分别在所述第一虚拟安全代理和所述第二虚拟安全代理中对所述加密后的用户令牌和所述加密后的客体权限进行解密,得到所述用户令牌和所述客体权限,然后基于所述用户令牌和所述客体权限连接所述访问主体和所述访问客体。
根据本公开的又一方面,提供一种基于虚拟映射的零信任访问***,包括所述的零信任安全代理、零信任安全控制中心以及身份安全管理中心,
所述零信任安全控制中心,其设置为对所述访问请求进行验证,并在所述访问请求验证为合法后将所述访问请求发送给身份安全管理中心;
所述身份安全管理中心,其设置为基于所述访问请求对所述访问主体进行身份认证,并在身份认证完成后将所述访问主体的用户令牌和所述访问客体的客体权限返回给所述零信任安全控制中心。
根据本公开的再一方面,提供一种终端设备,包括存储器和处理器,所述存储器中存储有计算机程序,当所述处理器运行所述存储器存储的计算机程序时,所述处理器执行所述的基于虚拟映射的零信任访问方法。
根据本公开的再一方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,所述处理器执行所述的基于虚拟映射的零信任访问方法。
本公开提供的技术方案可以包括以下有益效果:
本公开提供的基于虚拟映射的零信任访问方法,通过对所述零信任安全代理进行虚拟映射,得到第一虚拟安全代理和第二虚拟安全代理;获取访问主体的用户令牌和所述访问主体所请求访问的访问客体的客体权限;将所述用户令牌和所述客体权限分别发送至所述第一虚拟安全代理和所述第二虚拟安全代理,以及,分别在所述第一虚拟安全代理和所述第二虚拟安全代理中基于所述用户令牌和所述客体权限连接所述访问主体和所述访问客体。本公开通过对零信任安全代理进行虚拟映射得到两个虚拟安全代理,然后并基于虚拟安全代理分别传递用户令牌和客体权限,进而完成访问主体和访问客体之间的连接,以至少保证零信任安全代理自身的安全性。
本公开的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本公开而了解。本公开的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本公开技术方案的进一步理解,并且构成说明书的一部分,与本公开的实施例一起用于解释本公开的技术方案,并不构成对本公开技术方案的限制。
图1为本公开实施例提供的一种基于虚拟映射的零信任访问方法的流程示意图;
图2为本公开实施例提供的另一种基于虚拟映射的零信任访问方法的流程示意图;
图3为本公开实施例提供的又一种基于虚拟映射的零信任访问方法的流程示意图;
图4为本公开实施例提供的一种零信任安全代理的结构示意图;
图5为本公开实施例提供的一种基于虚拟映射的零信任访问***的结构示意图;
图6为本公开实施例提供的一种终端设备的结构示意图。
具体实施方式
为使本公开实施例的目的、技术方案和优点更加清楚,以下结合附图对本公开的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本公开,并不用于限制本公开。
需要说明的是,本公开的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序;并且,在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互任意组合。
其中,在本公开实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本公开。在本公开实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
在后续的描述中,使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本公开的说明,其本身没有特定的意义。因此,“模块”、“部件”或“单元”可以混合地使用。
为解决上述问题,请参照图1,图1为本公开实施例提供的一种基于虚拟映射的零信任访问方法的流程示意图,应用于零信任安全代理,所述方法包括步骤S101-S104。
在步骤S101中,对所述零信任安全代理进行虚拟映射,得到第一虚拟安全代理和第二虚拟安全代理。
虚拟映射是一种虚拟化技术,本实施例利用虚拟映射技术将零信任安全代理虚拟映射成两个虚拟安全代理,利用该两个虚拟安全代理的接口分别传递访问主体的用户令牌和访问客体的客体权限,以保证零信任安全代理自身的安全性。
可以理解的是,零信任安全代理相当于安全网关,以代理方式,隔离外网用户和内网资源,过滤非法的访问,在访问设备和访问资源之间建立可信通道。
在步骤S102中,获取访问主体的用户令牌和所述访问主体所请求访问的访问客体的客体权限。
具体地,零信任安全代理利用没有进行虚拟映射的其它接口(即除了第一虚拟安全代理和第二虚拟安全代理之外的接口)获取访问主体的用户令牌Token和客体权限,第一虚拟安全代理和第二虚拟安全代理不直接与外界接口进行交互,以保证虚拟安全代理的安全性。
可以理解的是,令牌是执行某些操作的权利的对象,本实施例的用户令牌为访问(控制操作)主体的***对象,客体权限为能够访问该客体的权限。
在步骤S103中,将所述用户令牌和所述客体权限分别发送至所述第一虚拟安全代理和所述第二虚拟安全代理。
在步骤S104中,分别在所述第一虚拟安全代理和所述第二虚拟安全代理中基于所述用户令牌和所述客体权限连接所述访问主体和所述访问客体。
相关技术中,零信任安全代理在接收到用户令牌和客体权限后直接连接访问主体和访问客体,以完成主体和客体之间的访问,在此过程中由于零信任安全代理的自身安全性没有得到考虑,一旦零信任安全代理的安全性存在问题,零信任安全代理仍然能够基于用户令牌和客体权限连接访问主体和访问客体,将可能无法保证访问客体之间的访问安全性,进而引起访问客体数据泄露等问题。
相较于上述相关技术,本实施例零信任在连接访问主体和访问客体之前,通过将用户令牌和客体权限分别发送给相应的虚拟安全代理,并由虚拟安全代理分别传递该用户令牌和客体权限,其中,两个虚拟安全代理分别存储用户Token和权限,避免单点失效,然后由虚拟安全代理直接和访问客体互联,可以起到保护零信任安全代理的目的,继而保证访问客体的访问安全性,避免访问客体数据泄露等问题。
请参照图2,图2为本公开实施例提供的另一种基于虚拟映射的零信任访问方法的流程示意图,在上一实施例的基础上,本实施例从零信任控制中心获取用户令牌和客体权限,进一步达到保护零信任安全代理的目的,具体地在对所述零信任安全代理进行虚拟映射(S101)之后,以及获取访问主体的用户令牌和所述访问主体所请求访问的访问客体的客体权限(S102)之前,还包括步骤S201和步骤S202,并将步骤S102进一步划分为步骤S102a。
在步骤S201中,接收访问主体发起的关于访问客体的访问请求。
具体地,由第一虚拟安全代理接收访问主体的访问请求,零信任安全代理从第一虚拟安全代理处接收访问主体的访问请求,避免零信任安全代理与访问用户直接通信,提高安全性。
在本实施例中,安全代理收到访问请求后,通过安全控制中心对访问主体和访问权限进行认证,只有认证通过才能予以放行。通过将零信任安全代理进行虚拟映射,虚拟出的两个安全代理分别传递用户Token和访问客体权限,直接和访问客体互联,起到保护零信任安全代理的目的。
在步骤S202中,将所述访问请求发送给零信任安全控制中心,以使所述零信任安全控制中心对所述访问请求进行验证,并在所述访问请求验证为合法后将所述访问请求发送给身份安全管理中心,然后使所述身份安全管理中心基于所述访问请求对所述访问主体进行身份认证,并在身份认证完成后将所述访问主体的用户令牌和所述访问客体的客体权限返回给所述零信任安全控制中心,再由所述零信任控制中心将所述用户令牌和所述客体权限发送给所述零信任安全代理。
其中,零信任安全控制中心可以实现对整个访问过程的持续安全监测、信任评估和动态更新访问控制决策等功能。其可以包括动态访问控制引擎和信任评估引擎,是实现零信任架构动态访问控制和持续信任评估的安全组件。动态访问控制引擎通过多因素动态判断访问请求的权限是策略判定点;信任评估引擎和动态访问控制引擎联动,为其提供信任等级评估作为授权判定依据,利用上述两个引擎验证访问请求的合法性,并在验证为合法之后发送给身份安全管理中心进行代理用户认证。
本实施例中,身份安全管理中心,可以实现身份认证、身份管理和权限管理的功能,接收零信任控制中心的认证请求(即转发的访问请求),通过后台处理反馈用户认证Token和客体权限。
在步骤S102a中,从所述零信任控制中心获取访问主体的用户令牌和所述访问主体所请求访问的访问客体的客体权限。
在一些实施例中,为进一步提高零信任安全代理的安全性,零信任安全控制中心还可以对访问请求进行动态鉴权,同时将该动态鉴权结果和用户Token、客体权限返回给零信任代理,只有在动态鉴权结果为真时,零信任安全代理才将用户Token和客体权限分别发送给第一虚拟安全代理和第二虚拟安全代理,也即,当零信任安全控制中心动态鉴权结果为不通过时,第一虚拟安全代理和第二虚拟安全代理无法获取用户认证Token和客体权限,访问请求将不会得到执行。
请参照图3,图3为本公开实施例提供的又一种基于虚拟映射的零信任访问方法,在上述实施例的基础上,本实施例通过对用户领跑和客体权限进行加密后再传递,以进一步提高安全代理的安全性,具体地,在获取访问主体的用户令牌和所述访问主体所请求访问的访问客体的客体权限(步骤S102)之后,以及将所述用户令牌和所述客体权限分别发送至所述第一虚拟安全代理和所述第二虚拟安全代理(步骤S103)之前,还包括步骤S301,并将步骤S103进一步划分为步骤S103a,以及将步骤S104划分为步骤S104a。
在步骤S301中,分别对所述用户令牌和所述客体权限进行加密,得到加密后的用户令牌和加密后的客体权限;
在步骤S103a中,将所述加密后的用户令牌和所述加密后的客体权限分别发送给所述第一虚拟安全代理和所述第二虚拟安全代理;
在步骤S104a中,分别在所述第一虚拟安全代理和所述第二虚拟安全代理中对所述加密后的用户令牌和所述加密后的客体权限进行解密,得到所述用户令牌和所述客体权限,然后基于所述用户令牌和所述客体权限连接所述访问主体和所述访问客体。
基于相同的技术构思,本公开实施例相应还提供一种零信任安全代理,如图4所示,所述零信任安全代理40包括虚拟映射模块41、获取模块42、发送模块43以及连接模块44,其中,
所述虚拟映射模块41,其设置为对所述零信任安全代理进行虚拟映射,得到包括第一虚拟安全代理411和第二虚拟安全代理412;
所述获取模块42,其设置为获取访问主体的用户令牌和所述访问主体所请求访问的访问客体的客体权限;
所述发送模块43,其设置为将所述用户令牌和所述客体权限分别发送至所述第一虚拟安全代理和所述第二虚拟安全代理,以及,
所述连接模块44,其设置为分别在所述第一虚拟安全代理和所述第二虚拟安全代理中基于所述用户令牌和所述客体权限连接所述访问主体和所述访问客体。
在一种实施方式中,所述零信任安全代理40还包括:
接收模块,其设置为在虚拟映射模块对所述零信任安全代理进行虚拟映射之后,以及获取模块获取所述用户令牌和所述客体权限之前,接收访问主体发起的关于访问客体的访问请求;
所述发送模块43还设置为,将所述访问请求发送给零信任安全控制中心,以使所述零信任安全控制中心对所述访问请求进行验证,并在所述访问请求验证为合法后将所述访问请求发送给身份安全管理中心,然后使所述身份安全管理中心基于所述访问请求对所述访问主体进行身份认证,并在身份认证完成后将所述访问主体的用户令牌和所述访问客体的客体权限返回给所述零信任安全控制中心,再由所述零信任控制中心将所述用户令牌和所述客体权限发送给所述零信任安全代理;
所述获取模块42具体设置为,从所述零信任控制中心获取访问主体的用户令牌和所述访问主体所请求访问的访问客体的客体权限。
在一种实施方式中,所述零信任安全代理40还包括:
加密模块,其设置为在所述获取模块获取所述用户令牌和所述客体权限之后,以及所述发送模块将所述用户令牌和所述客体权限分别发送至所述第一虚拟安全代理和所述第二虚拟安全代理之前,分别对所述用户令牌和所述客体权限进行加密,得到加密后的用户令牌和加密后的客体权限;
所述发送模块43具体设置为,将所述加密后的用户令牌和所述加密后的客体权限分别发送给所述第一虚拟安全代理和所述第二虚拟安全代理;
所述连接模块44具体设置为,分别在所述第一虚拟安全代理和所述第二虚拟安全代理中对所述加密后的用户令牌和所述加密后的客体权限进行解密,得到所述用户令牌和所述客体权限,然后基于所述用户令牌和所述客体权限连接所述访问主体和所述访问客体。
基于相同的技术构思,本公开实施例相应还提供一种基于虚拟映射的零信任访问***,如图5所示,包括所述的零信任安全代理40、零信任安全控制中心50以及身份安全管理中心60,
其中,a.所述的零信任安全代理40的虚拟安全代理1(即第一虚拟安全代理411)接收访问主体(访问主体人员设备应用***)10的访问请求;b.虚拟安全代理1将访问请求发送给零信任安全代理(的其它接口);c.并由零信任安全代理40(的其它接口)将该访问请求转发给零信任安全控制中心50进行验证;d.验证合法后信任安全控制中心50再将访问请求发送给身份安全管理中心60代理用户认证;e.经身份安全管理中心代理用户认证后向零信任安全控制中心返回用户Token和客体权限;f.零信任安全代理的所述其它接口接收到用户Token、客体权限(动态鉴权结果之后),g.零信任安全代理的所述其它接口分别对用户Token、客体权限进行加密并发送给虚拟安全代理1和虚拟安全代理2(即第二虚拟安全代理),然后在所述第一虚拟安全代理411和所述第二虚拟安全代理412中基于所述用户令牌和所述客体权限连接所述访问主体和所述访问客体(访问应用/接口等客体)70,进而获取访问客体应用接口功能数据。
所述零信任安全控制中心50,其设置为对所述访问请求进行验证,并在所述访问请求验证为合法后将所述访问请求发送给身份安全管理中心。
具体地,零信任安全控制中心50包括信任评估引擎51和动态访问控制引擎52,利用信任评估引擎51和动态访问控制引擎52对访问请求的合法性进行验证,在一些实施例中,全过程对访问请求进行动态鉴权。
所述身份安全管理中心60,其设置为基于所述访问请求对所述访问主体进行身份认证,并在身份认证完成后将所述访问主体的用户令牌和所述访问客体的客体权限返回给所述零信任安全控制中心。
具体地,身份安全管理中心60可以包括身份认证模块61、身份管理模块62和权限管理模块63,其中,身份认证模块61和权限管理模块63根据对用户认证结果发放用户Token和客体权限,身份管理模块62可用于存储访问主体的用户身份信息。
在一些实施例中,所述的***还可以包括安全智能分析平台80,对整体网络环境和访问主体的访问行为进行监控,在出现异常情况时进行预警,并将智能分析结果(预警)发送给零信任安全控制中心,中断用户身份认证过程或者用户Token和客体权限与零信任安全代理之间的传递,以进一步提高零信任安全代理的访问安全性。
基于相同的技术构思,本公开实施例相应还提供一种终端设备,如图6所示,所述终端设备包括存储器101和处理器102,所述存储器101中存储有计算机程序,当所述处理器102运行所述存储器101存储的计算机程序时,所述处理器102执行所述的基于虚拟映射的零信任访问方法。
基于相同的技术构思,本公开实施例相应还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,所述处理器执行所述的基于虚拟映射的零信任访问方法。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、***、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
最后应说明的是:以上各实施例仅用以说明本公开的技术方案,而非对其限制;尽管参照前述各实施例对本公开进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本公开各实施例技术方案的范围。
Claims (9)
1.一种基于虚拟映射的零信任访问方法,应用于零信任安全代理,其特征在于,包括:
对所述零信任安全代理进行虚拟映射,得到第一虚拟安全代理和第二虚拟安全代理;
利用所述零信任安全代理没有进行虚拟映射的其他接口获取访问主体的用户令牌和所述访问主体所请求访问的访问客体的客体权限,而所述第一虚拟安全代理和所述第二虚拟安全代理不直接与零信任安全代理外界接口进行交互;
将所述用户令牌和所述客体权限分别发送至所述第一虚拟安全代理和所述第二虚拟安全代理,以及,
分别在所述第一虚拟安全代理和所述第二虚拟安全代理中基于所述用户令牌和所述客体权限连接所述访问主体和所述访问客体。
2.根据权利要求1所述的方法,其特征在于,在对所述零信任安全代理进行虚拟映射之后,以及获取访问主体的用户令牌和所述访问主体所请求访问的访问客体的客体权限之前,还包括:
接收访问主体发起的关于访问客体的访问请求;
将所述访问请求发送给零信任安全控制中心,以使所述零信任安全控制中心对所述访问请求进行验证,并在所述访问请求验证为合法后将所述访问请求发送给身份安全管理中心,然后使所述身份安全管理中心基于所述访问请求对所述访问主体进行身份认证,并在身份认证完成后将所述访问主体的用户令牌和所述访问客体的客体权限返回给所述零信任安全控制中心,再由所述零信任控制中心将所述用户令牌和所述客体权限发送给所述零信任安全代理;
所述获取访问主体的用户令牌和所述访问主体所请求访问的访问客体的客体权限,包括:
从所述零信任控制中心获取访问主体的用户令牌和所述访问主体所请求访问的访问客体的客体权限。
3.根据权利要求1所述的方法,其特征在于,在获取访问主体的用户令牌和所述访问主体所请求访问的访问客体的客体权限之后,以及将所述用户令牌和所述客体权限分别发送至所述第一虚拟安全代理和所述第二虚拟安全代理之前,还包括:
分别对所述用户令牌和所述客体权限进行加密,得到加密后的用户令牌和加密后的客体权限;
所述将所述用户令牌和所述客体权限分别发送给所述第一虚拟安全代理和所述第二虚拟安全代理,包括:
将所述加密后的用户令牌和所述加密后的客体权限分别发送给所述第一虚拟安全代理和所述第二虚拟安全代理;
所述分别在所述第一虚拟安全代理和所述第二虚拟安全代理中基于所述用户令牌和所述客体权限连接所述访问主体和所述访问客体,包括:
分别在所述第一虚拟安全代理和所述第二虚拟安全代理中对所述加密后的用户令牌和所述加密后的客体权限进行解密,得到所述用户令牌和所述客体权限,然后基于所述用户令牌和所述客体权限连接所述访问主体和所述访问客体。
4.一种零信任安全代理,其特征在于,包括:
虚拟映射模块,其设置为对所述零信任安全代理进行虚拟映射,得到第一虚拟安全代理和第二虚拟安全代理;
获取模块,其设置为利用所述零信任安全代理没有进行虚拟映射的其他接口获取访问主体的用户令牌和所述访问主体所请求访问的访问客体的客体权限,而所述第一虚拟安全代理和所述第二虚拟安全代理不直接与零信任安全代理外界接口进行交互;
发送模块,其设置为将所述用户令牌和所述客体权限分别发送至所述第一虚拟安全代理和所述第二虚拟安全代理,以及,
连接模块,其设置为分别在所述第一虚拟安全代理和所述第二虚拟安全代理中基于所述用户令牌和所述客体权限连接所述访问主体和所述访问客体。
5.根据权利要求4所述的零信任安全代理,其特征在于,还包括:
接收模块,其设置为在虚拟映射模块对所述零信任安全代理进行虚拟映射之后,以及获取模块获取所述用户令牌和所述客体权限之前,接收访问主体发起的关于访问客体的访问请求;
所述发送模块还设置为,将所述访问请求发送给零信任安全控制中心,以使所述零信任安全控制中心对所述访问请求进行验证,并在所述访问请求验证为合法后将所述访问请求发送给身份安全管理中心,然后使所述身份安全管理中心基于所述访问请求对所述访问主体进行身份认证,并在身份认证完成后将所述访问主体的用户令牌和所述访问客体的客体权限返回给所述零信任安全控制中心,再由所述零信任控制中心将所述用户令牌和所述客体权限发送给所述零信任安全代理;
所述获取模块具体设置为,从所述零信任控制中心获取访问主体的用户令牌和所述访问主体所请求访问的访问客体的客体权限。
6.根据权利要求4所述的零信任安全代理,其特征在于,还包括:
加密模块,其设置为在所述获取模块获取所述用户令牌和所述客体权限之后,以及所述发送模块将所述用户令牌和所述客体权限分别发送至所述第一虚拟安全代理和所述第二虚拟安全代理之前,分别对所述用户令牌和所述客体权限进行加密,得到加密后的用户令牌和加密后的客体权限;
所述发送模块具体设置为,将所述加密后的用户令牌和所述加密后的客体权限分别发送给所述第一虚拟安全代理和所述第二虚拟安全代理;
所述连接模块具体设置为,分别在所述第一虚拟安全代理和所述第二虚拟安全代理中对所述加密后的用户令牌和所述加密后的客体权限进行解密,得到所述用户令牌和所述客体权限,然后基于所述用户令牌和所述客体权限连接所述访问主体和所述访问客体。
7.一种基于虚拟映射的零信任访问***,其特征在于,包括如权利要求5所述的零信任安全代理、零信任安全控制中心以及身份安全管理中心,
所述零信任安全控制中心,其设置为对所述访问请求进行验证,并在所述访问请求验证为合法后将所述访问请求发送给身份安全管理中心;
所述身份安全管理中心,其设置为基于所述访问请求对所述访问主体进行身份认证,并在身份认证完成后将所述访问主体的用户令牌和所述访问客体的客体权限返回给所述零信任安全控制中心。
8.一种终端设备,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,当所述处理器运行所述存储器存储的计算机程序时,所述处理器执行根据权利要求1至3中任一项所述的基于虚拟映射的零信任访问方法。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,所述处理器执行根据权利要求1至3中任一项所述的基于虚拟映射的零信任访问方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110835317.7A CN113596009B (zh) | 2021-07-23 | 2021-07-23 | 零信任访问方法、***、零信任安全代理、终端及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110835317.7A CN113596009B (zh) | 2021-07-23 | 2021-07-23 | 零信任访问方法、***、零信任安全代理、终端及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113596009A CN113596009A (zh) | 2021-11-02 |
| CN113596009B true CN113596009B (zh) | 2023-03-24 |
Family
ID=78249146
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110835317.7A Active CN113596009B (zh) | 2021-07-23 | 2021-07-23 | 零信任访问方法、***、零信任安全代理、终端及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113596009B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113987560A (zh) * | 2021-12-29 | 2022-01-28 | 北京交研智慧科技有限公司 | 一种数据的零信任认证方法、装置及电子设备 |
| CN114615328B (zh) * | 2022-01-26 | 2024-03-12 | 北京美亚柏科网络安全科技有限公司 | 一种安全访问控制***和方法 |
| CN114785577B (zh) * | 2022-04-12 | 2024-02-06 | 中国联合网络通信集团有限公司 | 一种零信任验证方法、***及存储介质 |
| CN115378625B (zh) * | 2022-04-21 | 2024-03-08 | 国家计算机网络与信息安全管理中心 | 一种跨网信息安全交互方法及*** |
| CN115001770A (zh) * | 2022-05-25 | 2022-09-02 | 山东极光智能科技有限公司 | 一种基于零信任的业务访问控制***及控制方法 |
| CN115333755A (zh) * | 2022-10-17 | 2022-11-11 | 四川中电启明星信息技术有限公司 | 一种基于持续信任评估的多属性身份认证方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108809935A (zh) * | 2018-04-20 | 2018-11-13 | 国网江西省电力有限公司信息通信分公司 | 一种云环境或虚拟环境下的安全访问控制方法和装置 |
| CN111490993A (zh) * | 2020-04-13 | 2020-08-04 | 江苏易安联网络技术有限公司 | 一种应用访问控制安全***及方法 |
| CN112822308A (zh) * | 2021-04-19 | 2021-05-18 | 德思信息科技(南京)有限公司 | 一种高速安全虚拟网络代理的方法及其*** |
| CN112994928A (zh) * | 2021-02-04 | 2021-06-18 | 中国联合网络通信集团有限公司 | 一种虚拟机的管理方法、装置及*** |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104731635B (zh) * | 2014-12-17 | 2018-10-19 | 华为技术有限公司 | 一种虚拟机访问控制方法,及虚拟机访问控制*** |
| US11245729B2 (en) * | 2019-07-09 | 2022-02-08 | Salesforce.Com, Inc. | Group optimization for network communications |
| US11637831B2 (en) * | 2019-10-09 | 2023-04-25 | Salesforce, Inc. | Application programmer interface platform with direct data center access |
| CN112115484B (zh) * | 2020-09-27 | 2023-11-21 | 中国工商银行股份有限公司 | 应用程序的访问控制方法、装置、***及介质 |
| CN112261444B (zh) * | 2020-10-16 | 2022-11-25 | 成都华栖云科技有限公司 | 一种基于虚拟网关的媒体流加密方法 |
| CN112311788A (zh) * | 2020-10-28 | 2021-02-02 | 北京锐安科技有限公司 | 一种访问控制方法、装置、服务器及介质 |
| CN112788048B (zh) * | 2021-01-22 | 2022-04-01 | 新华三信息安全技术有限公司 | 一种认证信息同步方法及装置 |
| CN112765639B (zh) * | 2021-01-27 | 2022-11-04 | 武汉大学 | 基于零信任访问策略的安全微服务架构及实现方法 |
-
2021
- 2021-07-23 CN CN202110835317.7A patent/CN113596009B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108809935A (zh) * | 2018-04-20 | 2018-11-13 | 国网江西省电力有限公司信息通信分公司 | 一种云环境或虚拟环境下的安全访问控制方法和装置 |
| CN111490993A (zh) * | 2020-04-13 | 2020-08-04 | 江苏易安联网络技术有限公司 | 一种应用访问控制安全***及方法 |
| CN112994928A (zh) * | 2021-02-04 | 2021-06-18 | 中国联合网络通信集团有限公司 | 一种虚拟机的管理方法、装置及*** |
| CN112822308A (zh) * | 2021-04-19 | 2021-05-18 | 德思信息科技(南京)有限公司 | 一种高速安全虚拟网络代理的方法及其*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113596009A (zh) | 2021-11-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113596009B (zh) | 零信任访问方法、***、零信任安全代理、终端及介质 | |
| CN110326252B (zh) | 设备的安全供应和管理 | |
| JP5860815B2 (ja) | コンピューターポリシーを施行するためのシステムおよび方法 | |
| US8407462B2 (en) | Method, system and server for implementing security access control by enforcing security policies | |
| CN110489996B (zh) | 一种数据库数据安全管理方法及*** | |
| JP4993733B2 (ja) | 暗号クライアント装置、暗号パッケージ配信システム、暗号コンテナ配信システム及び暗号管理サーバ装置 | |
| US20060224897A1 (en) | Access control service and control server | |
| CN114553540B (zh) | 基于零信任的物联网***、数据访问方法、装置及介质 | |
| US11424915B2 (en) | Terminal registration system and terminal registration method with reduced number of communication operations | |
| US20200145213A1 (en) | Iot security mechanisms for industrial applications | |
| CN111191217B (zh) | 一种密码管理方法及相关装置 | |
| CN113572791B (zh) | 一种视频物联网大数据加密服务方法、***及装置 | |
| CN112669104B (zh) | 租赁设备的数据处理方法 | |
| CN114125027B (zh) | 一种通信建立方法、装置、电子设备及存储介质 | |
| CN108900595B (zh) | 访问云存储服务器数据的方法、装置、设备及计算介质 | |
| CN117389974A (zh) | 一种基于超融合***的文件安全共享方法 | |
| CN109359450B (zh) | Linux***的安全访问方法、装置、设备和存储介质 | |
| US10298588B2 (en) | Secure communication system and method | |
| CN113328979A (zh) | 一种访问行为的记录方法、装置 | |
| CN108989302B (zh) | 一种基于密钥的opc代理连接***和连接方法 | |
| CN114301967A (zh) | 窄带物联网控制方法、装置及设备 | |
| CN112491886A (zh) | 基于网络***的安全控制方法、***、装置和存储介质 | |
| CN112513840A (zh) | 可缩放证书管理***架构 | |
| CN111079109A (zh) | 兼容多浏览器本地安全授权登录方法和*** | |
| GB2580709A (en) | Task engine |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |