CN113992328A - 零信任传输层流量认证方法、装置及存储介质 - Google Patents
零信任传输层流量认证方法、装置及存储介质 Download PDFInfo
- Publication number
- CN113992328A CN113992328A CN202111253208.0A CN202111253208A CN113992328A CN 113992328 A CN113992328 A CN 113992328A CN 202111253208 A CN202111253208 A CN 202111253208A CN 113992328 A CN113992328 A CN 113992328A
- Authority
- CN
- China
- Prior art keywords
- zero
- trust
- transport layer
- flow
- user identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 57
- 230000005540 biological transmission Effects 0.000 claims abstract description 50
- 238000005538 encapsulation Methods 0.000 claims abstract description 10
- 238000013475 authorization Methods 0.000 claims description 71
- 230000008569 process Effects 0.000 claims description 19
- 230000000903 blocking effect Effects 0.000 claims description 6
- 238000004590 computer program Methods 0.000 claims description 5
- 238000004458 analytical method Methods 0.000 claims description 2
- 230000007547 defect Effects 0.000 abstract description 7
- 230000003321 amplification Effects 0.000 abstract description 4
- 238000003199 nucleic acid amplification method Methods 0.000 abstract description 4
- 238000010586 diagram Methods 0.000 description 17
- 230000006870 function Effects 0.000 description 7
- 230000003068 static effect Effects 0.000 description 7
- 238000007726 management method Methods 0.000 description 4
- 238000005457 optimization Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 3
- 230000002829 reductive effect Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000000670 limiting effect Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000007599 discharging Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施方式公开了一种零信任传输层流量认证方法、装置及存储介质。方法包括:接收基于零信任传输层流量封装的传输层安全协议报文,其中所述传输层安全协议报文包含携带有用户身份信息的协议头;从所述传输层安全协议报文中解析出所述用户身份信息;基于所述用户身份信息对所述零信任传输层流量进行认证。本发明实施方式实现了对不同用户的权限管控,通过引入时间戳实现了动态密码,克服了权限放大缺陷,还实现全流量加密。
Description
技术领域
本发明实施方式涉及网络安全技术领域,更具体的说,涉及一种零信任传输层流量认证方法、装置及存储介质。
背景技术
随着云计算、大数据、物联网等新兴技术的不断兴起,企业IT架构正在从“有边界”向“无边界”转变,传统的安全边界逐渐瓦解。零信任(Zero Trust)安全逐渐进入人们的视野,成为解决新时代网络安全问题的新理念、新架构。零信任代表了新一代的网络安全防护理念,它的关键在于打破默认的“信任”,默认不信任企业网络内外的任何人、设备和***,基于身份认证和授权重新构建访问控制的信任基础,从而确保身份可信、设备可信、应用可信和链路可信。零信任安全网络的核心理念为“时时在认证,处处不信任”,对于所有访问流量均需要进行访问人的身份认证与访问权限的检查。当前零信任架构包括基于B/S的应用层用户身份认证与授权以及基于C/S架构的传输层用户身份认证与授权。
目前,针对传输层流量(比如,TCP/UDP流量),多采用基于证书的方案进行认证。在用户的客户端上安装静态证书,通过静态证书进行简单认证。
然而,由于静态证书与设备绑定,无法实现单机多使用用户且用户权限各不相同的管控场景。比如,设备上可能会有多个员工办公,不同员工有着不同的身份权限。若设备仅申请一个证书表示认证信息,无法表示多用户维度的不同用户权限。
而且,静态证书具有安全性不高的缺点。当被监听泄漏后,即失去保护措施。
发明内容
本发明实施方式提出一种零信任传输层流量认证方法、装置及存储介质。
本发明实施方式的技术方案如下:
一种零信任传输层流量认证方法,包括:
接收基于零信任传输层流量封装的传输层安全(Transport Layer Security,TLS)协议报文,其中所述TLS协议报文包含携带有用户身份信息的协议头;
从所述TLS协议报文中解析出所述用户身份信息;
基于所述用户身份信息对所述零信任传输层流量进行认证。
在示范性实施方式中,所述用户身份信息包含:
基于用户标识、设备标识、时间戳和用户身份凭证确定出的哈希运算消息认证码(Hash-based Message Authentication Code,HMAC);
其中所述用户身份凭证是发送所述零信任传输层流量的零信任客户端在用户登录过程中从零信任服务器获取的。
在示范性实施方式中,所述用户身份信息还包含:所述用户标识、所述设备标识和所述时间戳。
在示范性实施方式中,所述基于用户身份信息对所述零信任传输层流量进行认证包括:
从所述用户身份信息中提取所述HMAC;
将所述设备标识和所述用户标识作为检索项,检索出对应于所述检索项的用户身份凭证;
基于检索出的、对应于所述检索项的用户身份凭证以及所述用户标识、所述设备标识和所述时间戳,计算HMAC;
当所述计算出的HMAC与从用户身份信息中提取的HMAC相同时,确定所述认证通过。
在示范性实施方式中,还包括:
当所述零信任传输层流量认证通过后,确定所述零信任传输层流量的TLS协议长连接认证通过,其中所述长连接认证通过的有效性持续所述TLS协议长连接的生命周期。
在示范性实施方式中,还包括:
对认证通过的零信任传输层流量执行授权,其中所述授权包括:
获取认证通过的零信任传输层流量的目的地址、端口与传输协议;
确定用户是否具有访问所述目的地址、目的端口与传输协议的权限,如果有,转发所述零信任传输层流量,如果没有,阻断所述零信任传输层流量;
其中确定用户是否具有访问所述目的地址、目的端口与传输协议的权限包括:经由访问授权决策中心以确定用户是否具有访问所述目的地址、目的端口与传输协议的权限,或经由查询挂载在TLS协议会话上下文中的缓存确定用户是否具有访问所述目的地址、目的端口与传输协议的权限。
在示范性实施方式中,所述对认证通过的零信任传输层流量执行授权包括:
当所述零信任传输层流量为用户数据报协议(UDP)流量或互联网控制报文协议(ICMP)流量时,对所述UDP流量或所述ICMP流量进行逐包授权;当所述零信任传输层流量为传输控制协议(TCP)流量时,对所述TCP流量进行逐子流授权。
一种零信任传输层流量认证装置,包括:
接收模块,用于接收基于零信任传输层流量封装的TLS协议报文,其中所述传输层安全协议报文包含携带有用户身份信息的协议头;
解析模块,用于从所述TLS协议报文中解析出所述用户身份信息;
认证模块,用于基于所述用户身份信息对所述零信任传输层流量进行认证。
在示范性实施方式中,所述用户身份信息包含:
基于用户标识、设备标识、时间戳和用户身份凭证确定出的HMAC;
其中所述用户身份凭证是发送所述零信任传输层流量的零信任客户端在用户登录过程中从零信任服务器获取的。
在示范性实施方式中,所述用户身份信息还包含:所述用户标识、所述设备标识和所述时间戳。
在示范性实施方式中,所述认证模块,用于从所述用户身份信息中提取所述HMAC;
将所述设备标识和所述用户标识作为检索项,检索出对应于所述检索项的用户身份凭证;
基于检索出的、对应于所述检索项的用户身份凭证以及所述用户标识、所述设备标识和所述时间戳,计算HMAC;
当所述计算出的HMAC与从用户身份信息中提取的HMAC相同时,确定所述认证通过。
在示范性实施方式中,认证模块,用于当所述零信任传输层流量认证通过后,确定所述零信任传输层流量的TLS协议长连接认证通过,其中所述长连接认证通过的有效性持续所述TLS协议长连接的生命周期。
在示范性实施方式中,还包括授权模块,用于对认证通过的零信任传输层流量执行授权,其中所述授权包括:获取认证通过的零信任传输层流量的目的地址、目的端口与传输协议;确定用户是否具有访问所述目的地址、目的端口与传输协议的权限,如果有,转发所述零信任传输层流量,如果没有,阻断所述零信任传输层流量;其中确定用户是否具有访问所述目的地址、目的端口与传输协议的权限包括:经由访问授权决策中心以确定用户是否具有访问所述目的地址、目的端口与传输协议的权限,或经由查询挂载在TLS协议会话上下文中的缓存确定用户是否具有访问所述目的地址、目的端口与传输协议的权限。
在示范性实施方式中,所述授权模块,用于当所述零信任传输层流量为UDP流量或ICMP流量时,对所述UDP流量或所述ICMP流量进行逐包授权;当所述零信任传输层流量为TCP流量时,对所述TCP流量进行逐子流授权。
一种计算机可读存储介质,其上存储有计算机指令,所述指令被处理器执行时可实现如上任一项所述的零信任传输层流量认证方法的步骤。
一种电子设备,该电子设备包括:
处理器;
用于存储所述处理器可执行指令的存储器;
所述处理器,用于从所述存储器中读取所述可执行指令,并执行所述指令以实现如上任一项所述的零信任传输层流量认证方法。
一种计算机程序产品,包括计算机指令,所述计算机指令在被处理器执行时实施如上任一项所述的零信任传输层流量认证方法。
从上述技术方案可以看出,在本发明实施方式中,接收基于零信任传输层流量封装的TLS协议报文,其中TLS协议报文包含携带有用户身份信息的协议头;从TLS协议中解析出用户身份信息;基于用户身份信息对所述零信任传输层流量进行认证。可见,本发明实施方式实现全流量加密,基于TLS协议报文中的用户身份信息实现了对不同用户的权限管控。
而且,本发明实施方式通过引入时间戳还实现了动态密码,克服了静态密码的缺陷,提高了安全性。
另外,封装后的TLS协议报文都携带用户身份信息,还克服了当认证通过过后,端口即对所有用户开放所导致的权限放大缺陷。
附图说明
为了更清楚地说明本发明实施方式中的技术方案,下面将对实施方式描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施方式的零信任传输层流量认证方法的示范性流程图。
图2是本发明实施方式的封装TLS报文的示范性示意图。
图3是本发明实施方式的私有协议头的示范性结构图。
图4是本发明实施方式的零信任传输层流量认证过程和授权过程的示范性流程图。
图5是本发明实施方式的零信任传输层流量认证和授权过程的示范***互示意图。
图6是本发明实施方式的授权查询性能优化的示意图。
图7是本发明实施方式的零信任传输层流量认证装置的示范性结构图。
图8是本发明实施方式中的电子设备的示范性结构图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明作进一步的详细描述。
为了描述上的简洁和直观,下文通过描述若干代表性的实施方式来对本发明的方案进行阐述。实施方式中大量的细节仅用于帮助理解本发明的方案。但是很明显,本发明的技术方案实现时可以不局限于这些细节。为了避免不必要地模糊了本发明的方案,一些实施方式没有进行细致地描述,而是仅给出了框架。下文中,“包括”是指“包括但不限于”,“根据……”是指“至少根据……,但不限于仅根据……”。由于汉语的语言习惯,下文中没有特别指出一个成分的数量时,意味着该成分可以是一个也可以是多个,或可理解为至少一个。
下面将结合本发明实施方式中的附图,对本发明实施方式中的技术方案进行清楚、完整地描述,显然,所描述的实施方式仅是本发明一部分实施方式,而不是全部的实施方式。基于本发明中的实施方式,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施方式,都属于本发明保护的范围。
本发明实施方式的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施方式例如能够以除了在这里图示或描述的那些以外的顺序实施。
零信任网络的理念在于处处不信任,实时在校验。申请人经过研究,发现:基于该理念,需要解决所有的访问流量都经过用户身份的认证与授权。对于应用层访问流量(HTTP/HTTPS),可以重定向至统一的Web SSO进行身份认证,并通过cookie的方式保存认证凭证。然而,对于更广泛的传输层流量(比如TCP/UDP),较难实现在数据包中带有用户身份信息,并进行高性能的逐包认证授权。同时出于易用性考虑,需要减少用户的手动干预登录次数,要基于密码学的方式每次自动且动态地生成认证凭证。
具体地说,对于传输层的流量实现零信任,需要解决的问题至少包括下列中的至少一个:
(1)、对于传输层流量,实现数据包中带有用户身份信息,且需要对流量进行统一加密。(2)、基于零信任时时认证的理念,需要实现逐包的认证授权。(3)、用户身份信息需要安全地保留在客户端本地,减少每次人工干预,利用密码学的方式,每次自动生成认证凭证。(4)、传输层流量存在低延时,高吞吐的要求,需要对流程进行性能优化。(5)、可以实现在一台办公设备上,不同用户使用,有着不同用户对应权限的场景。
本发明实施方式中提出一种零信任传输层认证授权方式,可以克服或减缓现有方式的上述缺点中的至少一个。比如,本发明实施方式可以实现新型高效、安全、基于密码学、全流量加密和动态认证凭证的零信任传输层认证和授权。可以于C/S架构实现本发明实施方式,实现零信任流量动态单包认证和精准授权,具有高性能。
图1是本发明实施方式的零信任传输层流量认证方法的示范性流程图。图1所示流程优选由零信任客户端的入网网关所执行。
如图1所示,该方法包括:
步骤101:接收基于零信任传输层流量封装的TLS协议报文,其中TLS协议报文包含携带有用户身份信息的协议头。
在这里,针对零信任传输层流量(比如,UDP流量、TCP流量或ICMP流量,等等),零信任客户端利用TLS协议进行封装以得到TLS协议报文。入网网关可以从零信任客户端接收该TLS协议报文。
TLS协议用于在两个通信应用程序之间提供保密性和数据完整性。TLS协议通常包括:TLS记录协议(TLS Record)和TLS握手协议(TLS Handshake)。封装出的TLS协议报文包含协议头(比如,私有协议头),而且协议头中携带有用户身份信息。优选地,协议头中还可以携带有标识协议头长度的字段。
用户身份信息用于标识与零信任传输层流量相关的用户的身份。比如,用户身份信息包含:基于用户标识、设备标识、时间戳和用户身份凭证(KEY)确定出的HMAC;其中用户身份凭证是发送零信任传输层流量的零信任客户端在该用户的登录过程中从零信任服务器获取的。优选地,用户身份信息中还可以包含:用户标识、设备标识和时间戳。
用户预先登录零信任客户端时,可以从零信任服务器获取该用户身份凭证KEY。将该用户身份凭证KEY保存在零信任客户端中,从而后续通过获取该用户身份凭证KEY可以便利地计算出HMAC。优选地,在授权决策中心进一步保存用户身份凭证KEY,与用户标识UCID和设备标识SN之间的关联关系。
具体地,用户身份凭证的颁发过程可以具体包括:用户安装零信任客户端,在零信任客户端上进行PIN与动态码的身份认证,将认证信息发送至零信任服务器。零信任服务器认证通过后颁发表示设备身份(即零信任客户端的身份)的设备标识,与表示当前“登录人身份”的登录态凭证KEY(即用户身份凭证)。通过用户PC操作***提供的安全保存机制wincred,将KEY长期安全地保存在零信任客户端上。KEY的颁发以用户标识和设备标识作为索引,即每个用户在每台设备上都有唯一的KEY。通过对设备上不同登录用户的KEY保存,实现单台设备上的多个用户的不同身份的管理。
而且,基于C/S架构,在零信任客户端上对访问流量进行TLS加密封装,在加密TLS数据中加入私有认证协议头,实现逐包带有用户身份认证信息。而且,通过客户端下发路由的方式,对需要保护的网段(比如,10.0.0.0/8网段)进行流量拦截,并进行TLS加密封装转发。
图2是本发明实施方式的封装TLS报文的示范性示意图。如图2所示,原始数据包附加私有协议头,以得到TLS数据包。
图3是本发明实施方式的私有协议头的示范性结构图。
由图3可见,私有协议头包括私有头部长度字段(一般为2字节)以及私有协议头的内容字段。内容字段以json格式携带有:(1)、用户标识(UCID);(2)、设备标识(SN);(3)、时间戳(timestamp)(4)、HMAC。
具体地,用户标识UCID为零信任客户端上所登录的、该零信任传输层流量的用户的标识。设备标识SN可以为零信任客户端的设备编号。时间戳timestamp具体可以为零信任客户端向入网网关发出该零信任传输层流量(比如数据包)时的时间戳。HMAC为针对UCID、SN、时间戳timestamp和用户身份凭证KEY执行HMAC运算所确定出的。
可见,每个数据包的时间戳timestamp均不同,因此可以实现动态密码,防止劫持与重放。而且,由于时间戳不同,加密生成的HMAC均不同,实现基于时间的动态密码。还有,在密码学的HMAC加密算法中,若加密明文相同,则生成的密文也相同。网关进行认证时,首先在TLS握手阶段,对设备标识进行校验,从而可以验证设备身份。之后网关解析数据包的私有头部,获取上述私有协议内容。以UCID和SN作为索引,获取之前对该用户颁发的KEY。而且以UCID+SN+timestamp+KEY作为明文,进行HMAC计算,若计算结果与客户端提供的HMAC相等,则说明用户本地存有正确的KEY,则认证通过。网关还对流量进行逐包解码,获取期望访问的目的地址、目的端口和传输协议。基于当前已有的零信任授权引擎,查询当前用户,是否有访问目的地址+端口+协议服务的权限,若有权限访问则转发访问,否则进行流量阻断。
步骤102:从TLS协议报文中解析出用户身份信息。
在这里,入网网关从TLS协议报文中解析出协议头,并从协议头中提取出用户身份信息。
步骤103:基于用户身份信息对零信任传输层流量进行认证。
在这里,基于用户身份信息对零信任传输层流量进行身份认证。
在一个实施方式中,步骤103具体包括:从用户身份信息中提取HMAC;将设备标识和用户标识作为检索项,检索出对应于检索项的用户身份凭证;基于检索出的、对应于检索项的用户身份凭证以及包含在用户身份信息中的用户标识、设备标识和时间戳,计算HMAC;当计算出的HMAC与从用户身份信息中提取的HMAC相同时,确定零信任传输层流量认证通过,即用户身份认证通过。
考虑到若每个流量数据包均校验计算HMAC,查询授权数据库,会产生较大的性能开销。可以执行下列的优化过程:(1)、对于认证:由于入网转发流量是TLS长连接,TLS长连接过程中攻击者无法实现流量劫持,因此对HMAC校验是逐TLS流进行,认证有效性随着TLS长连接的生命周期。(2)、对于授权:授权中UDP/ICMP流量为逐包查询授权,TCP流量根据子流授权,若相同五元组则逐子流授权一次。还在用户流量上下中加入多级缓存机制,通过查询缓存来减少数据库查询次数。
在一个实施方式中,该方法还包括:当零信任传输层流量认证通过后,确定零信任传输层流量的TLS长连接认证通过,其中TLS通过的有效性持续TLS长连接的生命周期。
在一个实施方式中,该方法还包括:对认证通过的零信任传输层流量执行授权,其中该授权包括:获取认证通过的零信任传输层流量的目的地址、目的端口与传输协议;确定用户是否具有访问目的地址、目的端口与传输协议的权限,如果有,转发零信任传输层流量,如果没有,阻断零信任传输层流量;其中确定用户是否具有访问目的地址、目的端口与传输协议的权限包括:经由访问授权决策中心以确定用户是否具有访问所述目的地址、目的端口与传输协议的权限,或经由查询挂载在TLS会话上下文中的缓存确定用户是否具有访问所述目的地址、目的端口与传输协议的权限。
在一个实施方式中,对认证通过的零信任传输层流量执行授权包括:当所述零信任传输层流量为UDP流量或ICMP流量时,对UDP流量或ICMP流量进行逐包授权;当零信任传输层流量为传输控制协议TCP流量时,对TCP流量进行逐子流授权。
图6是本发明实施方式的授权查询性能优化的示意图。
在图6中,经过TLS封装后的TLS首包(pkt1)的目的地址(Dst ip)为10.1.2.3、目的端口(dstport)为80且传输协议为TCP。第二个TLS包(pkt2)的目的地址为10.1.2.5、目的端口为22且传输协议为TCP。第三个TLS包(pkt3)的目的地址为10.1.2.3、目的端口为80且传输协议为TCP。
入网网关从零信任客户端接收到pkt1后,对pkt1进行解码且执行远端认证校验,然后远端授权查询实现对pkt1的授权,并在缓存中保存TCP:10.1.2.3:80的授权结果。
入网网关从零信任客户端接收到pkt2后,对pkt2进行解码,由于在缓存中找不到TCP:10.1.2.5:22的授权结果,因此远端授权查询实现对pkt2的授权,并在缓存中保存TCP:10.1.2.5:22的授权结果。
入网网关从零信任客户端接收到pkt3后,对pkt3进行解码,由于在缓存中可以找到TCP:10.1.2.3:80的授权结果,因此不再远端授权查询实现对pkt3的授权,而在缓存中调用TCP:10.1.2.3:80的授权结果以实现对pkt3的授权。
图4是本发明实施方式的零信任传输层流量认证过程和授权过程的示范性流程图。
在图4中,该流程包括:
步骤401:零信任客户端访问零信任服务器进行PIN与动态码的身份认证,获取设备证书(SN)和表示用户身份凭证的KEY,并将设备证书和KEY保存在零信任客户端中。
步骤402:当用户在零信任客户端入网访问时,将流量封装到TLS数据包,计算HMAC(UCID+SN+timestamp+KEY),并将HMAC、UCID、SN和timestamp写入协议头。
步骤403:入网网关对SN进行验证,并根据UCID和SN获取KEY,针对UCID、SN、timestamp和KEY进行HMAC运算,其中当计算出的HMAC与协议头中的HMAC相等时,认定通过。
步骤404:解析访问流量以查询授权策略。
步骤405:执行性能加速处理。
可见,本发明实施方式基于TLS(比如,TLS 1.2)对入网流量进行加密,实现全流量加密。而且,在所有入网数据包中加入私有协议,其中带有基于HMAC的用户身份信息。因此,基于TCP和TLS弥补了单包认证(SPA)的不安全性,且所有TLS数据包都带有用户身份信息,防止了SPA的权限放大缺陷。而且,本发明实施方式还采用基于时间的动态HMAC,其中参与计算HMAC的时间戳确保了每次认证密码都不同,弥补了静态密码的缺陷。另外,本发明实施方式的零信任理念需要实现设备与用户的双认证,其中设备认证凭证通过设备标识实现,用户的认证凭证通过设备上安全保存的KEY来实现。当同台设备上有不同用户使用时,切换对应的KEY即可以切换不同用户,实现对不同用户的权限管控。另外,本发明实施方式还实现了授权查询性能的优化,在保证安全性的同时,提高了***性能。
图5是本发明实施方式的零信任传输层流量认证和授权过程的示范***互示意图。在该方法中,步骤501~步骤506为用户登录过程;步骤507~步骤516为用户入网过程。
如图5所示,该方法包括:
步骤501:用户登录零信任客户端,发送包含用户名、PIN加动态码和设备编号的登录请求。
步骤502:零信任服务器对登录请求执行验证。
步骤503:当验证通过后,零信任服务器同意颁发标识用户身份凭证的KEY和标识设备身份凭证的设备标识SN。
步骤504:零信任服务器从密钥管理中心获取关联于该用户的KEY和关联于该用户的SN。
步骤505:零信任服务器向零信任客户端发送登录成功响应,其中携带关联于该用户的KEY和关联于该用户的SN。
步骤506:零信任客户端在本地安全存储该KEY和SN,作为保存登录态,下次用户不需要重新执行登录过程。
步骤507:用户在零信任客户端上封装TLS流量,其中在封装出的每个TLS数据包都中加入私有协议头。私有协议头包含用户身份信息,用户身份信息包含该用户的标识(UCID)、设备标识(SN)、时间戳(timestamp)以及基于UCID、SN、timestamp和KEY计算出的HMAC。其中timestamp为当前时间戳。可见,通过引入timestamp,实现了动态密码,而且HMAC也是动态的。零信任客户端将封装出的TLS数据包发送到入网网关。
步骤508:当入网网关验证TLS链接的合法性后,从包含在TLS数据包的私有协议头中的用户身份信息中解析出SN,基于SN验证零信任客户端的设备身份认证。
步骤509:当设备身份认证通过后,入网网关访问授权决策中心以进行用户身份认证和授权。
步骤510:授权决策中心访问密钥管理中心,从密钥管理中心中检索出对应于用户身份信息中的SN和UCID的KEY,基于检索出的KEY、SN、UCID和用户身份信息中的timestamp,计算HMAC。当计算出的HMAC与用户身份信息中的HMAC相同时,认证通过,否则认证不通过。
步骤511:授权决策中心向入网网关返回认证结果。
步骤512:当认证结果为失败时,入网网关中断与零信任客户端的连接。当认证结果为失败时,入网网关保持与零信任客户端的连接。
步骤513:入网网关对流量进行逐包解码,获取TLS数据包的目的地址、目的端口和传输协议,并当缓存不中时,访问授权决策中心以执行授权认证。
步骤514:授权决策中心基于TLS数据包的目的地址、目的端口和传输协议,对TLS数据包的执行授权认证。
步骤515:授权决策中心向入网网关返回授权认证结果。
步骤516:入网网关基于授权认证结果更新缓存。
步骤517:入网网关基于每个数据包的授权认证结果,执行数据转发。
图7是本发明实施方式的零信任传输层流量认证装置的示范性结构图。
如图7所示,该装置600包括:
接收模块601,用于接收基于零信任传输层流量封装的TLS协议报文,其中所述传输层安全协议报文包含携带有用户身份信息的协议头;
解析模块602,用于从所述TLS协议报文中解析出所述用户身份信息;
认证模块603,用于基于所述用户身份信息对所述零信任传输层流量进行认证。
在一个实施方式中,所述用户身份信息包含:基于用户标识、设备标识、时间戳和用户身份凭证确定出的HMAC;其中所述用户身份凭证是发送所述零信任传输层流量的零信任客户端在用户登录过程中从零信任服务器获取的。
在一个实施方式中,所述用户身份信息还包含:所述用户标识、所述设备标识和所述时间戳。
在一个实施方式中,认证模块603,用于从所述用户身份信息中提取所述HMAC;将所述设备标识和所述用户标识作为检索项,检索出对应于所述检索项的用户身份凭证;基于检索出的、对应于所述检索项的用户身份凭证以及所述用户标识、所述设备标识和所述时间戳,计算HMAC;当所述计算出的HMAC与从用户身份信息中提取的HMAC相同时,确定所述认证通过。
在一个实施方式中,认证模块603,用于当所述零信任传输层流量认证通过后,确定所述零信任传输层流量的TLS协议长连接认证通过,其中所述长连接认证通过的有效性持续所述TLS协议长连接的生命周期。
在一个实施方式中,还包括授权模块604,用于对认证通过的零信任传输层流量执行授权,其中所述授权包括:获取认证通过的零信任传输层流量的目的地址、目的端口与传输协议;确定用户是否具有访问所述目的地址、目的端口与传输协议的权限,如果有,转发所述零信任传输层流量,如果没有,阻断所述零信任传输层流量;其中确定用户是否具有访问所述目的地址、目的端口与传输协议的权限包括:经由访问授权决策中心以确定用户是否具有访问所述目的地址、目的端口与传输协议的权限,或经由查询挂载在TLS协议会话上下文中的缓存确定用户是否具有访问所述目的地址、目的端口与传输协议的权限。
在一个实施方式中,授权模块604,用于当所述零信任传输层流量为UDP流量或ICMP流量时,对所述UDP流量或所述ICMP流量进行逐包授权;当所述零信任传输层流量为TCP流量时,对所述TCP流量进行逐子流授权。
本发明实施方式还提供一种计算机可读介质,所述计算机可读存储介质存储指令,所述指令在由处理器执行时可执行如上所述的小程序的运行环境模拟方法中的步骤。实际应用中,所述的计算机可读介质可以是上述实施方式中描述的设备/装置/***中所包含的,也可以是单独存在,而未装配入该设备/装置/***中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或多个程序被执行时,可以实现上述各实施方式描述的小程序的运行环境模拟方法。根据本发明公开的实施方式,计算机可读存储介质可以是非易失性的计算机可读存储介质,例如可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件,或者上述的任意合适的组合,但不用于限制本发明保护的范围。在本发明公开的实施方式中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。
综上所述,在本发明实施方式中,接收基于零信任传输层流量封装的TLS协议报文,其中TLS协议报文包含携带有用户身份信息的协议头;从TLS协议中解析出用户身份信息;基于用户身份信息对所述零信任传输层流量进行认证。可见,本发明实施方式实现全流量加密,基于TLS协议报文中的用户身份信息实现了对不同用户的权限管控。而且,本发明实施方式通过引入时间戳还实现了动态密码,弥补了静态密码的缺陷,提高了安全性。另外,封装后的TLS协议报文都携带用户身份信息,克服了权限放大缺陷。
如图8所示,本发明实施方式还提供一种电子设备,其中可以集成本发明实施方式实现方法的装置。如图8所示,其示出了本发明实施方式所涉及的电子设备的示范性结构图,
具体地:该电子设备可以包括一个或一个以上处理核心的处理器701、一个或一个以上计算机可读存储介质的存储器702以及存储在存储器上并可在处理器上运行的计算机程序。在执行所述存储器702的程序时,可以实现上述零信任传输层流量认证方法。
在实际应用中,该电子设备还可以包括电源703、输入单元704、以及输出单元705等部件。本领域技术人员可以理解,图8中示出的电子设备的结构并不构成对该电子设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。其中:处理器701是该电子设备的控制中心,利用各种接口和线路连接整个电子设备的各个部分,通过运行或执行存储在存储器702内的软件程序和/或模块,以及调用存储在存储器702内的数据,执行服务器的各种功能和处理数据,从而对该电子设备进行整体监控。存储器702可用于存储软件程序以及模块,即上述计算机可读存储介质。处理器701通过运行存储在存储器702的软件程序以及模块,从而执行各种功能应用以及数据处理。存储器702可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需的应用程序等;存储数据区可存储根据服务器的使用所创建的数据等。此外,存储器702可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地,存储器702还可以包括存储器控制器,以提供处理器701对存储器702的访问。
该电子设备还包括给各个部件供电的电源703,可以通过电源管理***与处理器701逻辑相连,从而通过电源管理***实现管理充电、放电、以及功耗管理等功能。电源703还可以包括一个或一个以上的直流或交流电源、再充电***、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。该电子设备还可包括输入单元704,该输入单元704可用于接收输入的数字或字符信息,以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。该电子设备还可以包括输出单元705,该输出单元705可以用于显示由用户输入的信息或提供给用户的信息以及各种图像用户接口,这些图形用户接口可以由图形、文本、图标、视频和其任意组合来构成。
本发明实施方式还提供一种计算机程序产品,该计算机程序产品包括计算机指令,该计算机指令在被处理器执行时实施如上述任一实施方式所述的方法。
本发明附图中的流程图和框图,示出了按照本发明公开的各种实施方式的***、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或者代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应该注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同附图中所标准的顺序发生。例如,两个连接地表示的方框实际上可以基本并行地执行,它们有时也可以按照相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或者流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
本文中应用了具体实施方式对本发明的原理及实施方式进行了阐述,以上实施方式的说明只是用于帮助理解本发明的方法及其核心思路,并不用于限制本发明。对于本领域的技术人员来说,可以依据本发明的思路、精神和原则,在具体实施方式及应用范围上进行改变,其所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (10)
1.一种零信任传输层流量认证方法,其特征在于,包括:
接收基于零信任传输层流量封装的传输层安全协议报文,其中所述传输层安全协议报文包含携带有用户身份信息的协议头;
从所述传输层安全协议报文中解析出所述用户身份信息;
基于所述用户身份信息对所述零信任传输层流量进行认证。
2.根据权利要求1所述的零信任传输层流量认证方法,其特征在于,所述用户身份信息包含:
基于用户标识、设备标识、时间戳和用户身份凭证确定出的哈希运算消息认证码;
其中所述用户身份凭证是发送所述零信任传输层流量的零信任客户端在用户登录过程中从零信任服务器获取的。
3.根据权利要求2所述的零信任传输层流量认证方法,其特征在于,所述用户身份信息还包含:所述用户标识、所述设备标识和所述时间戳。
4.根据权利要求3所述的零信任传输层流量认证方法,其特征在于,所述基于用户身份信息对所述零信任传输层流量进行认证包括:
从所述用户身份信息中提取所述哈希运算消息认证码;
将所述设备标识和所述用户标识作为检索项,检索出对应于所述检索项的用户身份凭证;
基于检索出的、对应于所述检索项的用户身份凭证以及所述用户标识、所述设备标识和所述时间戳,计算哈希运算消息认证码;
当所述计算出的哈希运算消息认证码与从用户身份信息中提取的哈希运算消息认证码相同时,确定所述零信任传输层流量认证通过。
5.根据权利要求1所述的零信任传输层流量认证方法,其特征在于,还包括:
当所述零信任传输层流量认证通过后,确定所述零信任传输层流量的传输层安全协议长连接认证通过,其中所述长连接认证通过的有效性持续所述传输层安全协议长连接的生命周期。
6.根据权利要求1所述的零信任传输层流量认证方法,其特征在于,还包括:
对认证通过的零信任传输层流量执行授权,其中所述授权包括:
获取认证通过的零信任传输层流量的目的地址、目的端口与传输协议;
确定用户是否具有访问所述目的地址、目的端口与传输协议的权限,如果有,转发所述零信任传输层流量,如果没有,阻断所述零信任传输层流量;
其中确定用户是否具有访问所述目的地址、目的端口与传输协议的权限包括:经由访问授权决策中心以确定用户是否具有访问所述目的地址、目的端口与传输协议的权限,或经由查询挂载在传输层安全协议会话上下文中的缓存确定用户是否具有访问所述目的地址、目的端口与传输协议的权限。
7.根据权利要求6所述的零信任传输层流量认证方法,其特征在于,
所述对认证通过的零信任传输层流量执行授权包括:
当所述零信任传输层流量为用户数据报协议UDP流量或互联网控制报文协议ICMP流量时,对所述UDP流量或所述ICMP流量进行逐包授权;当所述零信任传输层流量为传输控制协议TCP流量时,对所述TCP流量进行逐子流授权。
8.一种零信任传输层流量认证装置,其特征在于,包括:
接收模块,用于接收基于零信任传输层流量封装的传输层安全协议报文,其中所述传输层安全协议报文包含携带有用户身份信息的协议头;
解析模块,用于从所述传输层安全协议报文中解析出所述用户身份信息;
认证模块,用于基于所述用户身份信息对所述零信任传输层流量进行认证。
9.一种计算机可读存储介质,其上存储有计算机指令,其特征在于,所述指令被处理器执行时可实现权利要求1-7任一项所述的零信任传输层流量认证方法的步骤。
10.一种计算机程序产品,其特征在于,包括计算机指令,所述计算机指令在被处理器执行时实施权利要求1-7任一项所述的零信任传输层流量认证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111253208.0A CN113992328A (zh) | 2021-10-27 | 2021-10-27 | 零信任传输层流量认证方法、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111253208.0A CN113992328A (zh) | 2021-10-27 | 2021-10-27 | 零信任传输层流量认证方法、装置及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113992328A true CN113992328A (zh) | 2022-01-28 |
Family
ID=79742236
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111253208.0A Pending CN113992328A (zh) | 2021-10-27 | 2021-10-27 | 零信任传输层流量认证方法、装置及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113992328A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114553568A (zh) * | 2022-02-25 | 2022-05-27 | 重庆邮电大学 | 一种基于零信任单包认证与授权的资源访问控制方法 |
| CN115296926A (zh) * | 2022-09-27 | 2022-11-04 | 杭州安恒信息技术股份有限公司 | 一种网络流量管控方法、装置、设备及介质 |
| CN116032798A (zh) * | 2022-12-28 | 2023-04-28 | 天翼云科技有限公司 | 一种针对零信任身份授权的自动化测试方法及装置 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1859291A (zh) * | 2005-12-13 | 2006-11-08 | 华为技术有限公司 | 一种对网络报文安全封装的方法 |
| WO2007022800A1 (en) * | 2005-08-26 | 2007-03-01 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for providing access security in a communications network |
| CN101753303A (zh) * | 2008-12-03 | 2010-06-23 | 北京天融信科技有限公司 | 一种双因子认证方法 |
| CN104811427A (zh) * | 2014-01-27 | 2015-07-29 | 沈阳中科奥维科技股份有限公司 | 一种安全的工业控制***通信方法 |
| CN108650227A (zh) * | 2018-03-30 | 2018-10-12 | 苏州科达科技股份有限公司 | 基于数据报安全传输协议的握手方法及*** |
| US20190268335A1 (en) * | 2018-02-23 | 2019-08-29 | T-Mobile Usa, Inc. | Key-Derivation Verification in Telecommunications Network |
| CN111490993A (zh) * | 2020-04-13 | 2020-08-04 | 江苏易安联网络技术有限公司 | 一种应用访问控制安全***及方法 |
| CN111726366A (zh) * | 2020-06-30 | 2020-09-29 | 成都卫士通信息产业股份有限公司 | 设备通信方法、装置、***、介质和电子设备 |
| CN112468518A (zh) * | 2021-01-28 | 2021-03-09 | 腾讯科技(深圳)有限公司 | 访问数据处理方法、装置、存储介质及计算机设备 |
| CN112615866A (zh) * | 2020-12-22 | 2021-04-06 | 杭州易安联科技有限公司 | Tcp连接的预认证方法、装置和*** |
| CN112995204A (zh) * | 2021-04-09 | 2021-06-18 | 厦门市美亚柏科信息股份有限公司 | ProtonMail加密邮件的安全读取方法、装置、设备及存储介质 |
-
2021
- 2021-10-27 CN CN202111253208.0A patent/CN113992328A/zh active Pending
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007022800A1 (en) * | 2005-08-26 | 2007-03-01 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for providing access security in a communications network |
| CN1859291A (zh) * | 2005-12-13 | 2006-11-08 | 华为技术有限公司 | 一种对网络报文安全封装的方法 |
| CN101753303A (zh) * | 2008-12-03 | 2010-06-23 | 北京天融信科技有限公司 | 一种双因子认证方法 |
| CN104811427A (zh) * | 2014-01-27 | 2015-07-29 | 沈阳中科奥维科技股份有限公司 | 一种安全的工业控制***通信方法 |
| US20190268335A1 (en) * | 2018-02-23 | 2019-08-29 | T-Mobile Usa, Inc. | Key-Derivation Verification in Telecommunications Network |
| CN108650227A (zh) * | 2018-03-30 | 2018-10-12 | 苏州科达科技股份有限公司 | 基于数据报安全传输协议的握手方法及*** |
| CN111490993A (zh) * | 2020-04-13 | 2020-08-04 | 江苏易安联网络技术有限公司 | 一种应用访问控制安全***及方法 |
| CN111726366A (zh) * | 2020-06-30 | 2020-09-29 | 成都卫士通信息产业股份有限公司 | 设备通信方法、装置、***、介质和电子设备 |
| CN112615866A (zh) * | 2020-12-22 | 2021-04-06 | 杭州易安联科技有限公司 | Tcp连接的预认证方法、装置和*** |
| CN112468518A (zh) * | 2021-01-28 | 2021-03-09 | 腾讯科技(深圳)有限公司 | 访问数据处理方法、装置、存储介质及计算机设备 |
| CN112995204A (zh) * | 2021-04-09 | 2021-06-18 | 厦门市美亚柏科信息股份有限公司 | ProtonMail加密邮件的安全读取方法、装置、设备及存储介质 |
Non-Patent Citations (4)
| Title |
|---|
| MATT CONRAN: "Zero Trust: Single Packet Authorization | Passive authorization", Retrieved from the Internet <URL:https://network-insight.net/2019/06/18/zero-trust-single-packet-authorization-passive-authorization/> * |
| 张俊玲;: "网络安全协议在计算机通信技术中的作用探讨", 电脑编程技巧与维护, no. 05 * |
| 王斌;贺蕾;李洪涛;: "无线局域网中基于EAP-TLSE的认证", 郑州轻工业学院学报(自然科学版), no. 01 * |
| 陈锦辉;方关飞;黄根勋;: "MS SQL Server身份认证机制的安全分析", 信息工程大学学报, no. 02 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114553568A (zh) * | 2022-02-25 | 2022-05-27 | 重庆邮电大学 | 一种基于零信任单包认证与授权的资源访问控制方法 |
| CN114553568B (zh) * | 2022-02-25 | 2024-03-05 | 芽米科技(广州)有限公司 | 一种基于零信任单包认证与授权的资源访问控制方法 |
| CN115296926A (zh) * | 2022-09-27 | 2022-11-04 | 杭州安恒信息技术股份有限公司 | 一种网络流量管控方法、装置、设备及介质 |
| CN116032798A (zh) * | 2022-12-28 | 2023-04-28 | 天翼云科技有限公司 | 一种针对零信任身份授权的自动化测试方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Pereira et al. | An authentication and access control framework for CoAP-based Internet of Things | |
| US8438631B1 (en) | Security enclave device to extend a virtual secure processing environment to a client device | |
| CN113992328A (zh) | 零信任传输层流量认证方法、装置及存储介质 | |
| CN113992402B (zh) | 一种基于零信任策略的访问控制方法、***及介质 | |
| EP4236206B1 (en) | Actively monitoring encrypted traffic by inspecting logs | |
| US10333930B2 (en) | System and method for transparent multi-factor authentication and security posture checking | |
| US11032267B2 (en) | Securing sensitive historian configuration information | |
| CN113572791B (zh) | 一种视频物联网大数据加密服务方法、***及装置 | |
| CN109547402B (zh) | 数据保护方法、装置、电子设备和可读存储介质 | |
| Ranjan et al. | Security analysis of TLS authentication | |
| CN103139201B (zh) | 一种网络策略获取方法及数据中心交换机 | |
| CN107342963A (zh) | 一种虚拟机安全控制方法、***及网络设备 | |
| US20190363929A1 (en) | Pluggable control system for fallback website access | |
| Sersemis et al. | A novel cybersecurity architecture for iov communication | |
| WO2014106028A1 (en) | Network security as a service using virtual secure channels | |
| Guo et al. | Simulation Implementation and Verification of a Security Framework for ICS Based on SPD | |
| EP3677006B1 (en) | Detection of the network logon protocol used in pass-through authentication | |
| Bhardwaj et al. | Reducing the threat surface to minimise the impact of cyber-attacks | |
| Surantha | Secure Portable Virtual Private Network with Rabbit Stream Cipher Algorithm | |
| Jiang | Webalps implementation and performance analysis: Using trusted co-servers to enhance privacy and security of web interactions | |
| Kulik et al. | Formally Verified Credentials Management for Industrial Control Systems | |
| Foltz et al. | Secure Endpoint Device Agent Architecture. | |
| You et al. | Research and design of web single sign-on scheme | |
| Lu et al. | OpenStack vulnerability detection and analysis | |
| CN117240495A (zh) | 一种IoT远程RPC安全控制的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20240713 Address after: Room 102, floor 1, building 1, No. 2, Chuangye Road, Haidian District, Beijing 100085 Applicant after: Seashell Housing (Beijing) Technology Co.,Ltd. Country or region after: China Address before: 101399 room 24, 62 Farm Road, Erjie village, Yangzhen, Shunyi District, Beijing Applicant before: Beijing fangjianghu Technology Co.,Ltd. Country or region before: China |