CN116961961A - 网络数据传输方法、装置、电子设备和可读存储介质 - Google Patents
网络数据传输方法、装置、电子设备和可读存储介质 Download PDFInfo
- Publication number
- CN116961961A CN116961961A CN202211025036.6A CN202211025036A CN116961961A CN 116961961 A CN116961961 A CN 116961961A CN 202211025036 A CN202211025036 A CN 202211025036A CN 116961961 A CN116961961 A CN 116961961A
- Authority
- CN
- China
- Prior art keywords
- access
- service
- authentication request
- terminal
- secure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000005540 biological transmission Effects 0.000 title claims abstract description 204
- 238000000034 method Methods 0.000 title claims abstract description 88
- 238000012795 verification Methods 0.000 claims abstract description 96
- 238000013475 authorization Methods 0.000 claims abstract description 48
- 230000006399 behavior Effects 0.000 claims description 39
- 238000012545 processing Methods 0.000 claims description 38
- 230000008569 process Effects 0.000 claims description 14
- 238000004806 packaging method and process Methods 0.000 claims description 10
- 238000005516 engineering process Methods 0.000 abstract description 5
- 238000010586 diagram Methods 0.000 description 8
- 230000009286 beneficial effect Effects 0.000 description 5
- 230000000694 effects Effects 0.000 description 4
- 239000000284 extract Substances 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000007689 inspection Methods 0.000 description 4
- 230000006978 adaptation Effects 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000013467 fragmentation Methods 0.000 description 1
- 238000006062 fragmentation reaction Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000013468 resource allocation Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Abstract
本发明提供了一种网络数据传输方法、装置、电子设备和可读存储介质,涉及网络安全技术领域。该方法包括:向零信任系统发送认证请求;接收授权访问列表以及确定安全传输通道;其中,所述授权访问列表是所述零信任系统根据所述认证请求进行验证通过的情况下发送的,所述安全传输通道是所述零信任系统根据所述认证请求进行验证通过的情况下建立的;接收终端发送的业务资源访问请求;其中,所述业务资源访问请求携带业务访问数据;根据所述授权访问列表对所述终端进行验证,并在验证通过的情况下将所述业务访问数据通过所述安全传输通道发送至所述零信任系统。本发明的方案,解决了资源受限终端无法使用零信任安全技术的问题。
Description
技术领域
本发明涉及网络安全技术领域,特别是指一种网络数据传输方法、装置、电子设备和可读存储介质。
背景技术
现有的零信任系统中,零信任客户端对终端的资源配置要求较高,终端需具备较强的计算能力,才可支持终端与零信任控制器之间的认证、终端与零信任网关之间的安全隧道建立及数据加密。同时,对于不同操作系统的终端,零信任客户端需进行二次开发与系统调试,才可适配不同的操作系统,在不同的操作系统中正常运行。现有零信任系统通常用于移动办公等应用智能终端的场景。
在万物互联的大趋势下,物联网系统中的终端形态、功能各异,很多终端功能单一,算力不足,缺乏人机交互能力,另外,物联网终端的操作系统碎片化严重,二次开发及适配困难,使得零信任系统无法应用于物联网业务系统。
发明内容
本发明的目的是提供一种网络数据传输方法、装置、电子设备和可读存储介质,用以解决现有技术中资源受限终端无法使用零信任安全技术的问题。
为达到上述目的,本发明的实施例提供一种网络数据传输方法,应用于安全接入网关,所述方法包括:
向零信任系统发送认证请求;
接收授权访问列表以及确定安全传输通道;其中,所述授权访问列表是所述零信任系统根据所述认证请求进行验证通过的情况下发送的,所述安全传输通道是所述零信任系统根据所述认证请求进行验证通过的情况下建立的;
接收终端发送的业务资源访问请求;其中,所述业务资源访问请求携带业务访问数据;
根据所述授权访问列表对所述终端进行验证,并在验证通过的情况下将所述业务访问数据通过所述安全传输通道发送至所述零信任系统。
可选地,所述的网络数据传输方法,所述向零信任系统发送认证请求,包括:
向所述零信任系统发送第一认证请求,所述第一认证请求携带所述安全接入网关的账户信息;
所述接收授权访问列表,包括:
接收所述零信任系统根据所述第一认证请求进行验证通过的情况下发送的所述授权访问列表。
可选地,所述的网络数据传输方法,所述向零信任系统发送认证请求,包括:
向所述零信任系统发送第二认证请求,所述第二认证请求携带所述安全接入网关的账户信息;
所述确定安全传输通道,包括:
确定所述零信任系统根据所述第二认证请求进行验证通过的情况下建立的所述安全传输通道。
可选地,所述的网络数据传输方法,所述授权访问列表包括可接入所述安全接入网关的终端列表和终端可访问的业务资源列表。
可选地,所述的网络数据传输方法,所述根据所述授权访问列表对所述终端进行验证,并在验证通过的情况下将所述业务访问数据通过所述安全传输通道发送至所述零信任系统,包括:
根据所述授权访问列表中的可接入所述安全接入网关的终端列表对所述终端进行第一验证;
若所述第一验证通过,根据所述授权访问列表中的终端可访问的业务资源列表对所述终端所请求访问的业务资源进行第二验证;
若所述第二验证通过,将所述业务访问数据通过所述安全传输通道发送至所述零信任系统。
可选地,所述的网络数据传输方法,所述将所述业务访问数据通过所述安全传输通道发送至零信任系统,包括:
对所述业务访问数据和所述终端的标识信息进行封装,得到封装数据;
对所述封装数据进行加密,得到加密数据;
将所述加密数据通过所述安全传输通道发送至所述零信任系统。
可选地,所述的网络数据传输方法,还包括:
在所述安全接入网关运行的过程中,向所述零信任系统发送所述安全接入网关的运行状态信息。
为达到上述目的,本发明的实施例提供一种网络数据传输方法,应用于零信任系统,所述方法包括:
接收安全接入网关发送的认证请求;
根据所述认证请求对所述安全接入网关进行验证并验证通过的情况下,向所述安全接入网关发送授权访问列表,并建立安全传输通道;
接收所述安全接入网关通过所述安全传输通道发送的终端的业务访问数据;
根据所述业务访问数据,进行业务资源访问授权处理。
可选地,所述的网络数据传输方法,所述接收安全接入网关发送的认证请求,包括:
接收所述安全接入网关发送的第一认证请求,所述第一认证请求携带所述安全接入网关的账户信息;
所述根据所述认证请求对所述安全接入网关进行验证并验证通过的情况下,向所述安全接入网关发送授权访问列表,包括:
根据所述第一认证请求进行验证并验证通过的情况下,向所述安全接入网关发送所述授权访问列表。
可选地,所述的网络数据传输方法,所述接收安全接入网关发送的认证请求,包括:
接收所述安全接入网关发送的第二认证请求,所述第二认证请求携带所述安全接入网关的账户信息;
所述根据所述认证请求对所述安全接入网关进行验证并验证通过的情况下,建立安全传输通道,包括:
根据所述第二认证请求进行验证并验证通过的情况下,建立所述安全传输通道。
可选地,所述的网络数据传输方法,所述授权访问列表包括可接入所述安全接入网关的终端列表和终端可访问的业务资源列表。
可选地,所述的网络数据传输方法,所述零信任系统包括零信任网关和零信任控制器;
所述根据所述业务访问数据,进行业务资源访问授权处理,包括:
所述零信任网关接收所述安全接入网关根据所述业务访问数据和所述终端的标识信息发送的加密数据;
所述零信任网关对所述加密数据进行解密,获取所述业务访问数据和所述终端的标识信息;
所述零信任网关向所述零信任控制器发送所述安全接入网关的账户信息、所述终端的标识信息以及所述终端所请求访问的业务资源,由所述零信任控制器进行业务资源访问授权处理。
可选地,所述的网络数据传输方法,所述由所述零信任控制器进行业务资源访问授权处理,包括:
所述零信任控制器根据所述安全接入网关的账户信息、所述终端的标识信息、所述终端所请求访问的业务资源以及预配置的授权接入列表,对所述业务访问数据与所述终端的标识信息的对应关系进行第一检查;
所述零信任控制器根据所述安全接入网关发送的运行状态信息和访问行为数据,以及所述终端的访问行为数据进行第二检查;
若所述第一检查和所述第二检查均通过,所述零信任网关将所述业务访问数据发送至对应的业务资源。
可选地,所述的网络数据传输方法,还包括:
接收所述安全接入网关发送的运行状态信息;
根据所述运行状态信息进行判断并判断所述运行状态信息不符合预设运行状态的情况下,断开所述安全传输通道。
可选地,所述的网络数据传输方法,还包括:
接收所述终端的访问行为数据;
根据所述访问行为数据进行判断并判断所述访问行为数据不符合预设访问行为的情况下,更新所述授权访问列表,并将更新后的所述授权访问列表发送至所述安全接入网关。
为达到上述目的,本发明的实施例提供一种电子设备,包括收发机和处理器;
所述收发机用于,向零信任系统发送认证请求;
所述收发机还用于,接收授权访问列表以及确定安全传输通道;其中,所述授权访问列表是所述零信任系统根据所述认证请求进行验证通过的情况下发送的,所述安全传输通道是所述零信任系统根据所述认证请求进行验证通过的情况下建立的;
所述收发机还用于,接收终端发送的业务资源访问请求;其中,所述业务资源访问请求携带业务访问数据;
所述收发机还用于,根据所述授权访问列表对所述终端进行验证,并在验证通过的情况下将所述业务访问数据通过所述安全传输通道发送至所述零信任系统。
为达到上述目的,本发明的实施例提供一种电子设备,包括收发机和处理器;
所述收发机用于,接收安全接入网关发送的认证请求;
所述收发机还用于,根据所述认证请求对所述安全接入网关进行验证并验证通过的情况下,向所述安全接入网关发送授权访问列表,并建立安全传输通道;
所述收发机还用于,接收所述安全接入网关通过所述安全传输通道发送的终端的业务访问数据;
所述处理器用于,根据所述业务访问数据,进行业务资源访问授权处理。
为达到上述目的,本发明的实施例提供一种网络数据传输装置,应用于安全接入网关,所述装置包括:
第一发送模块,用于向零信任系统发送认证请求;
获取模块,用于接收授权访问列表以及确定安全传输通道;其中,所述授权访问列表是所述零信任系统根据所述认证请求进行验证通过的情况下发送的,所述安全传输通道是所述零信任系统根据所述认证请求进行验证通过的情况下建立的;
第一接收模块,用于接收终端发送的业务资源访问请求;其中,所述业务资源访问请求携带业务访问数据;
第二发送模块,用于根据所述授权访问列表对所述终端进行验证,并在验证通过的情况下将所述业务访问数据通过所述安全传输通道发送至所述零信任系统。
为达到上述目的,本发明的实施例提供一种网络数据传输装置,应用于零信任系统,所述装置包括:
第二接收模块,用于接收安全接入网关发送的认证请求;
第三发送模块,用于根据所述认证请求对所述安全接入网关进行验证并验证通过的情况下,向所述安全接入网关发送授权访问列表,并建立安全传输通道;
第三接收模块,用于接收所述安全接入网关通过所述安全传输通道发送的终端的业务访问数据;
处理模块,用于根据所述业务访问数据,进行业务资源访问授权处理。
为达到上述目的,本发明的实施例提供一种电子设备,包括:收发机、处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令;所述处理器执行所述程序或指令时实现如上任一项所述的网络数据传输方法中的步骤。
为达到上述目的,本发明的实施例提供一种可读存储介质,其上存储有程序或指令,所述程序或指令被处理器执行时实现如上任一项所述的网络数据传输方法中的步骤。
本发明的上述技术方案的有益效果如下:
上述方案中,通过向零信任系统发送认证请求,接收授权访问列表以及确定安全传输通道,其中,所述授权访问列表是所述零信任系统根据所述认证请求进行验证通过的情况下发送的,所述安全传输通道是所述零信任系统根据所述认证请求进行验证通过的情况下建立的,并接收终端发送的业务资源访问请求,其中,所述业务资源访问请求携带业务访问数据,根据所述授权访问列表对所述终端进行验证,并在验证通过的情况下将所述业务访问数据通过所述安全传输通道发送至所述零信任系统,使得零信任系统能够应用于物联网业务系统中,终端可以通过安全接入网关接入零信任系统,访问业务资源,提升物联网业务系统访问的安全性。
附图说明
图1为本发明实施例的网络数据传输系统的结构图;
图2为本发明实施例的应用于零信任系统的网络数据传输方法的流程图;
图3为本发明实施例的应用于安全接入网关的网络数据传输方法的流程图;
图4为本发明实施例的网络数据传输方法的应用流程图;
图5为本发明实施例的电子设备的结构图之一;
图6为本发明另一实施例的电子设备的结构图之一;
图7为本发明实施例的应用于零信任系统的网络数据传输装置的结构图;
图8为本发明实施例的应用于安全接入网关的网络数据传输装置的结构图;
图9为本发明实施例的电子设备的结构图之二;
图10为本发明另一实施例的电子设备的结构图之二。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
应理解,说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本发明的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。
在本发明的各种实施例中,应理解,下述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
另外,本文中术语“系统”和“网络”在本文中常可互换使用。
在本申请所提供的实施例中,应理解,“与A相应的B”表示B与A相关联,根据A可以确定B。但还应理解,根据A确定B并不意味着仅仅根据A确定B,还可以根据A和/或其它信息确定B。
为解决现有技术中资源受限终端无法使用零信任安全技术的问题,本发明实施例提供一种网络数据传输方法,通过向零信任系统发送认证请求,接收授权访问列表以及确定安全传输通道,其中,所述授权访问列表是所述零信任系统根据所述认证请求进行验证通过的情况下发送的,所述安全传输通道是所述零信任系统根据所述认证请求进行验证通过的情况下建立的,并接收终端发送的业务资源访问请求,其中,所述业务资源访问请求携带业务访问数据,根据所述授权访问列表对所述终端进行验证,并在验证通过的情况下将所述业务访问数据通过所述安全传输通道发送至所述零信任系统,使得零信任系统能够应用于物联网业务系统中,终端可以通过安全接入网关接入零信任系统,访问业务资源,提升物联网业务系统访问的安全性。
首先,参见图1,图1是本发明实施例的网络数据传输系统的结构图。该网络数据传输系统包括终端、安全接入网关、零信任系统以及业务资源。
其中,终端通过无线网络接入安全接入网关,该终端为资源受限终端,例如内部无零信任客户端的终端。
安全接入网关能够执行下述的网络数据传输方法。零信任系统能够执行下述的网络数据传输方法,该零信任系统包括零信任网关和零信任控制器。终端通过安全接入网关接入零信任系统,访问业务资源。
如图2所示,本发明的实施例提供一种网络数据传输方法,应用于安全接入网关,所述方法包括:
步骤201,向零信任系统发送认证请求。
步骤202,接收授权访问列表以及确定安全传输通道;其中,所述授权访问列表是所述零信任系统根据所述认证请求进行验证通过的情况下发送的,所述安全传输通道是所述零信任系统根据所述认证请求进行验证通过的情况下建立的。
其中,安全传输通道用于传输安全接入网关和零信任系统之间的网络数据。
步骤203,接收终端发送的业务资源访问请求;其中,所述业务资源访问请求携带业务访问数据。
其中,终端为算力不足或与零信任系统的操作系统不适配的资源受限终端,例如内部无法配置零信任客户端的终端。
业务资源访问请求用于请求访问业务资源。
步骤204,根据所述授权访问列表对所述终端进行验证,并在验证通过的情况下将所述业务访问数据通过所述安全传输通道发送至所述零信任系统。
需要说明的是,零信任系统接收业务访问数据并进行业务资源访问授权处理通过的情况下,将业务访问数据发送至对应的业务资源。反之,业务资源访问授权处理不通过,零信任系统不发送业务访问数据。
本发明实施例,通过向零信任系统发送认证请求,接收授权访问列表以及确定安全传输通道,其中,所述授权访问列表是所述零信任系统根据所述认证请求进行验证通过的情况下发送的,所述安全传输通道是所述零信任系统根据所述认证请求进行验证通过的情况下建立的,并接收终端发送的业务资源访问请求,其中,所述业务资源访问请求携带业务访问数据,根据所述授权访问列表对所述终端进行验证,并在验证通过的情况下将所述业务访问数据通过所述安全传输通道发送至所述零信任系统,使得零信任系统能够应用于物联网业务系统中,终端可以通过安全接入网关接入零信任系统,访问业务资源,提升物联网业务系统访问的安全性。
本发明一实施例中,步骤201,包括:
向所述零信任系统发送第一认证请求,所述第一认证请求携带所述安全接入网关的账户信息;
所述接收授权访问列表,包括:
接收所述零信任系统根据所述第一认证请求进行验证通过的情况下发送的所述授权访问列表。
其中,在安全接入网关开机后,安全接入网关自动向零信任系统发送携带该安全接入网关的账户信息的第一认证请求,该第一认证请求可以理解为授权认证请求。
零信任系统接收第一认证请求,根据预配置的授权接入列表和第一认证请求对安全接入网关进行验证并验证通过的情况下,向安全接入网关发送授权访问列表,安全接入网关接收该授权访问列表。
还需要说明的是,授权接入列表由零信任系统预配置,具体地,授权接入列表由零信任系统中的零信任控制器预配置。该授权接入列表包括:可接入业务资源的安全接入网关列表、可接入安全接入网关的终端列表以及终端可访问的业务资源列表。
其中,上述的授权访问列表包括可接入安全接入网关的终端列表和终端可访问的业务资源列表
示例性地,授权接入列表的预配置方式如下:
零信任控制器配置可接入业务资源的合法的安全接入网关的账户信息,得到安全接入网关列表。
零信任控制器配置终端与标识信息的对应关系,得到终端列表,该标识信息可以是MAC(Media Access Control,媒体存取控制)地址或IP(Internet Protocol,互联网协议)地址。
零信任控制器根据终端的应用场景,配置终端可访问的业务资源,得到业务资源列表。
示例性地,授权接入列表的配置逻辑如下:
<终端A:MAC-A,业务资源A1、A2>,表示终端A,采用MAC地址作为标识信息,即MAC-A,其可访问的业务资源A1和业务资源A2。
<终端B:MAC-B,业务资源B1、B2>,表示终端B,采用MAC地址作为标识信息,即MAC-B,其可访问的业务资源B1和业务资源B2。
<终端C:MAC-C,业务资源C1、C2>,表示终端C,采用MAC地址作为标识信息,即MAC-C,其可访问的业务资源C1和业务资源C2。
<终端D:MAC-D,业务资源D1、D2>,表示终端D,采用MAC地址作为标识信息,即MAC-D,其可访问的业务资源D1和业务资源D2。
<安全接入网关GA:账户信息GA,MAC-A,MAC-C>,表示安全接入网关GA,账户信息GA,可接入该安全接入网关GA的终端包括标识信息为MAC-A的终端和标识信息为MAC-C的终端。
<安全接入网关GB:账户信息GB,MAC-B,MAC-D>,表示安全接入网关GB,账户信息GB,可接入该安全接入网关GB的终端包括标识信息为MAC-B的终端和标识信息为MAC-D的终端。
本发明一实施例中,步骤201,包括:
向所述零信任系统发送第二认证请求,所述第二认证请求携带所述安全接入网关的账户信息;
所述确定安全传输通道,包括:
确定所述零信任系统根据所述第二认证请求进行验证通过的情况下建立的所述安全传输通道。
需要说明的是,安全接入网关在获取到授权访问列表之后,向零信任系统发送携带安全接入网关的账户信息的第二认证请求,该第二认证请求可以理解为单包接入请求。
零信任系统接收第二认证请求,根据预配置的授权接入列表和第二认证请求对安全接入网关进行验证并验证通过的情况下,零信任系统与安全接入网关建立安全传输通道,并且零信任系统向安全接入网关发送安全传输通道标识,从而安全接入网关接收安全传输通道标识,并确定安全传输通道。
具体地,安全接入网关向零信任系统中的零信任网关发送第二认证请求,零信任网关提取安全接入网关的账户信息,向零信任控制器查询该安全接入网关的账户信息是否是安全接入网关列表中的合法的安全接入网关。
若查询到是合法的安全接入网关,则零信任网关与安全接入网关建立安全传输通道,并且零信任网关向安全接入网关发送安全传输通道标识,从而安全接入网关接收安全传输通道标识,并确定安全传输通道。
可选地,安全接入网关在向零信任系统发送第一认证请求并接收授权访问列表的情况下,安全接入网关向零信任系统发送第二认证请求。
本发明一具体实施例中,所述授权访问列表包括可接入所述安全接入网关的终端列表和终端可访问的业务资源列表。
需要说明的是,授权访问列表可以包括如上述的可接入所述安全接入网关的终端列表和终端可访问的业务资源列表。
本发明一实施例中,步骤204,包括:
根据所述授权访问列表中的可接入所述安全接入网关的终端列表对所述终端进行第一验证;
若所述第一验证通过,根据所述授权访问列表中的终端可访问的业务资源列表对所述终端所请求访问的业务资源进行第二验证;
若所述第二验证通过,将所述业务访问数据通过所述安全传输通道发送至所述零信任系统。
其中,安全接入网关根据终端列表对终端进行第一验证,判断该终端是否是可接入安全接入网关的合法的终端。
若第一验证通过,安全接入网关根据业务资源列表对终端所请求访问的业务资源进行第二验证,判断该终端所请求访问的业务资源是否在业务资源列表中。
若第二验证通过,安全接入网关将业务访问数据通过安全传输通道发送至零信任系统。
需要说明的是,安全接入网关还可以在接收终端发送的业务资源访问请求之前,对终端进行第一验证,具体如下:
当终端需要访问业务资源时,终端尝试连接安全接入网关,安全接入网关根据终端列表对终端进行第一验证。若第一验证通过,该终端接入安全接入网关。
当终端接入安全接入网关之后,且终端需要访问业务资源,终端向安全接入网关发送携带业务访问数据的业务资源访问请求。
安全接入网关根据业务资源列表对终端所请求访问的业务资源进行第二验证。若第二验证通过,安全接入网关将业务访问数据通过安全传输通道发送至零信任系统。
由于业务资源列表包括终端的标识信息,以及终端对应的业务资源,所以可以根据终端的标识信息和业务资源列表进行第二验证。
本发明一具体实施例中,所述将所述业务访问数据通过所述安全传输通道发送至零信任系统,包括:
对所述业务访问数据和所述终端的标识信息进行封装,得到封装数据;
对所述封装数据进行加密,得到加密数据;
将所述加密数据通过所述安全传输通道发送至所述零信任系统。
首先,安全接入网关提取业务访问数据,将业务访问数据和终端的标识信息,例如终端的MAC地址或者IP地址,二者进行二次封装,得到封装数据。
然后,将封装数据进行加密,得到加密数据,加密算法在此不作限定。
最后,将加密数据通过安全传输通道发送至零信任系统。
需要说明的是,安全接入网关将加密数据通过安全传输通道发送至零信任系统中的零信任网关。然后,零信任网关对加密数据进行解密,得到业务访问数据和终端的标识信息。零信任网关将安全接入网关的账户信息、终端的标识信息以及终端所请求访问的业务资源发送至零信任控制器,由零信任控制器进行业务资源访问授权处理。若授权处理通过,零信任网关将业务访问数据发送至对应的业务资源。
本发明一实施例中,上述方法还包括:
在所述安全接入网关运行的过程中,向所述零信任系统发送所述安全接入网关的运行状态信息。
其中,安全接入网关的运行状态信息可以是CPU(central processing unit,中央处理器)、内存以及启动的进程等。
零信任系统中零信任控制器接收安全接入网关的运行状态信息,并根据预设的安全策略判断安全接入网关的运行是否符合预期。
若不符合预期,零信任控制器根据安全策略,向安全接入网关发送告警信息;或者,零信任控制器对安全接入网关进行禁用操作。
需要说明的是,安全接入网关被禁用后,无法进行网络转发,零信任系统中的零信任网关断开与安全接入网关的安全传输通道。零信任控制器还需对接入该安全接入网关的合法终端配置至其他的安全接入网关,并且更新终端列表,从而保障终端可以继续进行业务资源访问,提升物联网业务系统的安全性。
如图3所示,本发明的实施例提供一种网络数据传输方法,应用于零信任系统,所述方法包括:
步骤301,接收安全接入网关发送的认证请求。
步骤302,根据所述认证请求对所述安全接入网关进行验证并验证通过的情况下,向所述安全接入网关发送授权访问列表,并建立安全传输通道。
其中,安全传输通道用于传输零信任系统和安全接入网关之间的网络数据。
步骤303,接收所述安全接入网关通过所述安全传输通道发送的终端的业务访问数据。
其中,终端为算力不足或与零信任系统的操作系统不适配的资源受限终端,例如内部无法配置零信任客户端的终端。
步骤304,根据所述业务访问数据,进行业务资源访问授权处理。
需要说明的是,若零信任系统进行业务资源访问授权处理通过,将业务访问数据发送至对应的业务资源;反之,零信任系统不发送业务访问数据。
本发明实施例,通过接收安全接入网关发送的认证请求,根据所述认证请求对所述安全接入网关进行验证并验证通过的情况下,向所述安全接入网关发送授权访问列表,并建立安全传输通道,并接收所述安全接入网关通过所述安全传输通道发送的终端的业务访问数据,根据所述业务访问数据,进行业务资源访问授权处理,使得零信任系统能够应用于物联网业务系统中,终端可以通过安全接入网关接入零信任系统,访问业务资源,提升物联网业务系统访问的安全性。
本发明一实施例中,步骤301,包括:
接收所述安全接入网关发送的第一认证请求,所述第一认证请求携带所述安全接入网关的账户信息;
所述根据所述认证请求对所述安全接入网关进行验证并验证通过的情况下,向所述安全接入网关发送授权访问列表,包括:
根据所述第一认证请求进行验证并验证通过的情况下,向所述安全接入网关发送所述授权访问列表。
其中,在安全接入网关开机后,零信任系统接收安全接入网关发送的第一认证请求,该第一认证请求携带安全接入网关的账户信息,可以理解为授权认证请求。
零信任系统接收第一认证请求,根据预配置的授权接入列表中的安全接入网关列表,判断该第一认证请求来源的安全接入网关是否合法,若判断合法,即验证通过,零信任系统向安全接入网关发送授权访问列表。
需要说明的是,零信任系统中的零信任控制器接收第一认证请求并进行验证。
本发明一实施例中,步骤301,包括:
接收所述安全接入网关发送的第二认证请求,所述第二认证请求携带所述安全接入网关的账户信息;
所述根据所述认证请求对所述安全接入网关进行验证并验证通过的情况下,建立安全传输通道,包括:
根据所述第二认证请求进行验证并验证通过的情况下,建立所述安全传输通道。
其中,零信任系统在向安全接入网关发送授权访问列表后,接收到安全接入网关发送的第二认证请求,该第二认证请求携带安全接入网关的账户信息,可以理解为单包接入请求。
需要说明的是,零信任系统中的零信任网关接收该第二认证请求,提取安全接入网关的账户信息,并发送至零信任控制器,由零信任控制器根据预配置的授权接入列表,判断该第二认证请求来源的安全接入网关是否合法,若判断合法,即验证通过,零信任控制器向零信任网关反馈验证通过结果。
零信任网关接收验证通过结果,与安全接入网关建立安全传输通道。
本发明一具体实施例中,所述授权访问列表包括可接入所述安全接入网关的终端列表和终端可访问的业务资源列表。
需要说明的是,上述实施例中已说明授权访问列表,在此不作赘述。
本发明一实施例中,所述零信任系统包括零信任网关和零信任控制器;
步骤304,包括:
所述零信任网关接收所述安全接入网关根据所述业务访问数据和所述终端的标识信息发送的加密数据;
所述零信任网关对所述加密数据进行解密,获取所述业务访问数据和所述终端的标识信息;
所述零信任网关向所述零信任控制器发送所述安全接入网关的账户信息、所述终端的标识信息以及所述终端所请求访问的业务资源,由所述零信任控制器进行业务资源访问授权处理。
首先,零信任网关对加密数据进行解密后,获得业务访问数据和终端的标识信息。
然后,零信任网关将安全接入网关的账户信息、终端的标识信息以及终端所请求访问的业务资源发送至零信任控制器,由零信任控制器进行业务资源访问授权处理。
进一步,若零信任网关接收到授权处理通过结果,零信任网关将业务访问数据转发至对应的业务资源。
本发明一具体实施例中,所述由所述零信任控制器进行业务资源访问授权处理,包括:
所述零信任控制器根据所述安全接入网关的账户信息、所述终端的标识信息、所述终端所请求访问的业务资源以及预配置的授权接入列表进行第一检查;
所述零信任控制器根据所述安全接入网关发送的运行状态信息和访问行为数据,以及所述终端的访问行为数据进行第二检查;
若所述第一检查和所述第二检查均通过,所述零信任网关将所述业务访问数据发送至对应的业务资源。
首先,零信任控制器根据授权接入列表,该授权接入列表包括:可接入业务资源的安全接入网关列表、可接入安全接入网关的终端列表以及终端可访问的业务资源列表,对安全接入网关的账户信息与终端的标识信息之间的对应关系、终端的标识信息与所请求访问的业务资源之间的对应关系进行第一检查,得到第一检查结果。
然后,零信任控制器接收安全接入网关发送的运行状态信息和访问行为数据,以及终端的访问行为数据,对安全接入网关的运行状态信息和访问行为数据,以及终端的访问行为数据进行第二检查,得到第二检查结果。
若第一检查结果和第二检查结果均通过,则授权终端访问业务资源,零信任控制器向零信任网关发送授权结果,零信任网关转发业务访问数据至相应的业务资源。
若第一检查结果或者第二检查结果不通过,则不授权终端访问业务资源,零信任控制器不向零信任网关发送授权结果,或者零信任控制器向零信任网关发送不授权结果,零信任网关不转发该业务数据。
本发明一实施例中,上述方法还包括:
接收所述安全接入网关发送的运行状态信息;
根据所述运行状态信息进行判断并判断所述运行状态信息不符合预设运行状态的情况下,断开所述安全传输通道。
在安全接入网关运行的过程中,安全接入网关定时向零信任系统中的零信任控制器发送安全接入网关的运行状态信息,该运行状态信息可以是CPU、内存、启动的进程等。零信任控制器根据预设的安全策略,判断运行状态信息是否符合预设运行状态。
若判断不符合预设运行状态,零信任控制器根据安全策略的配置,向安全接入网关进行告警、禁用等操作。
零信任控制器将被禁用的安全接入网关上的合法终端转移至其他的安全接入网关,并更新安全接入网关的授权访问列表中的终端列表,保障终端可以继续进行业务资源访问,提升物联网业务系统的安全性。
需要说明的是,安全接入网关被禁用后,无法进行网络数据转发,断开与零信任系统的安全传输通道。
本发明一实施例中,上述方法还包括:
接收所述终端的访问行为数据;
根据所述访问行为数据进行判断并判断所述访问行为数据不符合预设访问行为的情况下,更新所述授权访问列表,并将更新后的所述授权访问列表发送至所述安全接入网关。
需要说明的是,零信任系统中的零信任控制器可根据在业务资源访问请求时上报的终端的标识信息,对相应的终端的访问行为数据进行持续监控。
若判断终端的访问行为数据不符合预设访问行为,零信任控制器更新授权访问列表,将该终端从安全接入网关的终端列表中去除,并将更新后的授权访问列表发送至对应的安全接入网关,此后,该终端将不再能够接入该安全接入网关,提升物联网业务系统的安全性。
下面,结合图4具体说明本发明实施例的应用流程。
步骤401,零信任控制器配置授权接入列表,该授权接入列表包括安全接入网关列表、终端列表以及业务资源列表。
步骤402,安全接入网关向零信任控制器发送第一认证请求。
步骤403,零信任控制器根据第一认证请求进行验证。
步骤404,零信任控制器向安全接入网关发送授权访问列表,该授权访问列表包括终端列表和业务资源列表。
步骤405,安全接入网关向零信任网关发送第二认证请求,零信任网关根据第二认证请求进行验证并在验证通过的情况下,与安全接入网关建立安全传输通道。
步骤406,终端接入安全接入网关。
步骤407,安全接入网关根据终端列表对终端进行第一验证。
步骤408,若第一验证通过,终端向安全接入网关发送业务资源访问请求。
步骤409,安全接入网关根据业务资源列表对终端进行第二验证,若第二验证通过,安全接入网关提取业务资源访问请求中的业务访问数据,对业务访问数据和终端的标识信息进行二次封装,并对封装后的数据进行加密,得到加密数据。
步骤410,安全接入网关将加密数据发送至零信任网关。
步骤411,零信任网关将加密数据进行解密,得到业务访问数据和终端的标识信息。
步骤412,零信任网关将安全接入网关的账户信息、终端的标识信息以及所请求访问的业务资源发送至零信任控制器,进行业务资源授权处理。
步骤413,若授权处理通过,零信任控制器向零信任网关发送授权通过信息。
步骤414,零信任网关将业务访问数据发送至对应的业务资源。
步骤415,零信任控制器根据终端的访问行为数据对终端进行监控。
步骤416,安全接入网关向零信任控制器发送安全接入网关的运行状态信息。
步骤417,零信任控制器根据安全接入网关的运行状态信息,检测与评估安全接入网关状态。
步骤418,若评估结果为通过,零信任控制器根据安全策略对安全接入网关进行动态访问授权。
步骤419,若评估结果为不通过,零信任控制器禁用安全接入网关,并将接入该安全接入网关的终端转移至其他的安全接入网关。
步骤420,零信任控制器向安全接入网关发送更新后的终端列表。
综上,本发明实施例的网络数据传输方法,安全接入网关代替资源受限终端与零信任系统建立安全传输通道,从而资源受限终端可通过接入安全接入网关,接入零信任系统,并向业务资源传输业务访问数据,解决了资源受限终端无法使用零信任安全技术的问题,使得零信任系统能够应用于物联网业务系统中,而且零信任系统可持续监控和评估安全接入网关和终端,提升物联网业务系统访问的安全性。
如图5所示,本发明的实施例提供一种电子设备500,包括收发机501和处理器502;
所述收发机501用于,向零信任系统发送认证请求;
所述收发机501还用于,接收授权访问列表以及确定安全传输通道;其中,所述授权访问列表是所述零信任系统根据所述认证请求进行验证通过的情况下发送的,所述安全传输通道是所述零信任系统根据所述认证请求进行验证通过的情况下建立的;
所述收发机501还用于,接收终端发送的业务资源访问请求;其中,所述业务资源访问请求携带业务访问数据;
所述收发机501还用于,根据所述授权访问列表对所述终端进行验证,并在验证通过的情况下将所述业务访问数据通过所述安全传输通道发送至所述零信任系统。
本发明实施例,通过向零信任系统发送认证请求,接收授权访问列表以及确定安全传输通道,其中,所述授权访问列表是所述零信任系统根据所述认证请求进行验证通过的情况下发送的,所述安全传输通道是所述零信任系统根据所述认证请求进行验证通过的情况下建立的,并接收终端发送的业务资源访问请求,其中,所述业务资源访问请求携带业务访问数据,根据所述授权访问列表对所述终端进行验证,并在验证通过的情况下将所述业务访问数据通过所述安全传输通道发送至所述零信任系统,使得零信任系统能够应用于物联网业务系统中,终端可以通过安全接入网关接入零信任系统,访问业务资源,提升物联网业务系统访问的安全性。
可选地,所述的电子设备500,其中,所述收发机501具体用于:
向所述零信任系统发送第一认证请求,所述第一认证请求携带所述安全接入网关的账户信息;
接收所述零信任系统根据所述第一认证请求进行验证通过的情况下发送的所述授权访问列表。
可选地,所述的电子设备500,其中,所述收发机501具体用于:
向所述零信任系统发送第二认证请求,所述第二认证请求携带所述安全接入网关的账户信息;
确定所述零信任系统根据所述第二认证请求进行验证通过的情况下建立的所述安全传输通道。
可选地,所述的电子设备500,其中,所述授权访问列表包括可接入所述安全接入网关的终端列表和终端可访问的业务资源列表。
可选地,所述的电子设备500,其中,所述收发机501具体用于:
根据所述授权访问列表中的可接入所述安全接入网关的终端列表对所述终端进行第一验证;
若所述第一验证通过,根据所述授权访问列表中的终端可访问的业务资源列表对所述终端所请求访问的业务资源进行第二验证;
若所述第二验证通过,将所述业务访问数据通过所述安全传输通道发送至所述零信任系统。
可选地,所述的电子设备500,其中,所述收发机501具体用于:
对所述业务访问数据和所述终端的标识信息进行封装,得到封装数据;
对所述封装数据进行加密,得到加密数据;
将所述加密数据通过所述安全传输通道发送至所述零信任系统。
可选地,所述的电子设备500,其中,所述收发机501还用于:
在所述安全接入网关运行的过程中,向所述零信任系统发送所述安全接入网关的运行状态信息。
需要说明的是,本发明实施例提供的上述电子设备,能够实现上述应用于安全接入网关的网络数据传输方法实施例所实现的所有方法步骤,且能够达到相同的技术效果,在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
如图6所示,本发明的实施例提供一种电子设备600,包括收发机601和处理器602;
所述收发机601用于,接收安全接入网关发送的认证请求;
所述收发机601还用于,根据所述认证请求对所述安全接入网关进行验证并验证通过的情况下,向所述安全接入网关发送授权访问列表,并建立安全传输通道;
所述收发机601还用于,接收所述安全接入网关通过所述安全传输通道发送的终端的业务访问数据;
所述处理器602用于,根据所述业务访问数据,进行业务资源访问授权处理。
本发明实施例,通过接收安全接入网关发送的认证请求,根据所述认证请求对所述安全接入网关进行验证并验证通过的情况下,向所述安全接入网关发送授权访问列表,并建立安全传输通道,并接收所述安全接入网关通过所述安全传输通道发送的终端的业务访问数据,根据所述业务访问数据,进行业务资源访问授权处理,使得零信任系统能够应用于物联网业务系统中,终端可以通过安全接入网关接入零信任系统,访问业务资源,提升物联网业务系统访问的安全性。
可选地,所述的电子设备600,其中,所述收发机601具体用于:
接收所述安全接入网关发送的第一认证请求,所述第一认证请求携带所述安全接入网关的账户信息;
根据所述第一认证请求进行验证并验证通过的情况下,向所述安全接入网关发送所述授权访问列表。
可选地,所述的电子设备600,其中,所述收发机601具体用于:
接收所述安全接入网关发送的第二认证请求,所述第二认证请求携带所述安全接入网关的账户信息;
根据所述第二认证请求进行验证并验证通过的情况下,建立所述安全传输通道。
可选地,所述的电子设备600,其中,所述授权访问列表包括可接入所述安全接入网关的终端列表和终端可访问的业务资源列表。
可选地,所述的电子设备600,其中,所述处理器602具体用于:
所述零信任网关接收所述安全接入网关根据所述业务访问数据和所述终端的标识信息发送的加密数据;
所述零信任网关对所述加密数据进行解密,获取所述业务访问数据和所述终端的标识信息;
所述零信任网关向所述零信任控制器发送所述安全接入网关的账户信息、所述终端的标识信息以及所述终端所请求访问的业务资源,由所述零信任控制器进行业务资源访问授权处理。
可选地,所述的电子设备600,其中,所述处理器602具体用于:
所述零信任控制器根据所述安全接入网关的账户信息、所述终端的标识信息、所述终端所请求访问的业务资源以及预配置的授权接入列表进行第一检查;
所述零信任控制器根据所述安全接入网关发送的运行状态信息和访问行为数据,以及所述终端的访问行为数据并进行第二检查;
若所述第一检查和所述第二检查均通过,所述零信任网关将所述业务访问数据发送至对应的业务资源。
可选地,所述的电子设备600,其中,所述处理器602还用于:
接收所述安全接入网关发送的运行状态信息;
根据所述运行状态信息进行判断并判断所述运行状态信息不符合预设运行状态的情况下,断开所述安全传输通道。
可选地,所述的电子设备600,其中,所述处理器602还用于:
接收所述终端的访问行为数据;
根据所述访问行为数据进行判断并判断所述访问行为数据不符合预设访问行为的情况下,更新所述授权访问列表,并将更新后的所述授权访问列表发送至所述安全接入网关。
需要说明的是,本发明实施例提供的上述电子设备,能够实现上述应用于零信任系统的网络数据传输方法实施例所实现的所有方法步骤,且能够达到相同的技术效果,在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
如图7所示,本发明的实施例提供一种网络数据传输装置,应用于安全接入网关,所述装置包括:
第一发送模块701,用于向零信任系统发送认证请求;
获取模块702,用于接收授权访问列表以及确定安全传输通道;其中,所述授权访问列表是所述零信任系统根据所述认证请求进行验证通过的情况下发送的,所述安全传输通道是所述零信任系统根据所述认证请求进行验证通过的情况下建立的;
第一接收模块703,用于接收终端发送的业务资源访问请求;其中,所述业务资源访问请求携带业务访问数据;
第二发送模块704,用于根据所述授权访问列表对所述终端进行验证,并在验证通过的情况下将所述业务访问数据通过所述安全传输通道发送至所述零信任系统。
本发明实施例,通过向零信任系统发送认证请求,接收授权访问列表以及确定安全传输通道,其中,所述授权访问列表是所述零信任系统根据所述认证请求进行验证通过的情况下发送的,所述安全传输通道是所述零信任系统根据所述认证请求进行验证通过的情况下建立的,并接收终端发送的业务资源访问请求,其中,所述业务资源访问请求携带业务访问数据,根据所述授权访问列表对所述终端进行验证,并在验证通过的情况下将所述业务访问数据通过所述安全传输通道发送至所述零信任系统,使得零信任系统能够应用于物联网业务系统中,终端可以通过安全接入网关接入零信任系统,访问业务资源,提升物联网业务系统访问的安全性。
可选地,所述的网络数据传输装置,其中,所述第一发送模块701,具体用于:
向所述零信任系统发送第一认证请求,所述第一认证请求携带所述安全接入网关的账户信息;
所述获取模块702,具体用于:
接收所述零信任系统根据所述第一认证请求进行验证通过的情况下发送的所述授权访问列表。
可选地,所述的网络数据传输装置,其中,所述第一发送模块701,具体用于:
向所述零信任系统发送第二认证请求,所述第二认证请求携带所述安全接入网关的账户信息;
所述获取模块702,具体用于:
确定所述零信任系统根据所述第二认证请求进行验证通过的情况下建立的所述安全传输通道。
可选地,所述的网络数据传输装置,其中,所述授权访问列表包括可接入所述安全接入网关的终端列表和终端可访问的业务资源列表。
可选地,所述的网络数据传输装置,其中,所述第二发送模块704包括:
第一验证单元,用于根据所述授权访问列表中的可接入所述安全接入网关的终端列表对所述终端进行第一验证;
第二验证单元,用于若所述第一验证通过,根据所述授权访问列表中的终端可访问的业务资源列表对所述终端所请求访问的业务资源进行第二验证;
发送单元,用于若所述第二验证通过,将所述业务访问数据通过所述安全传输通道发送至所述零信任系统。
可选地,所述的网络数据传输装置,其中,所述第二发送模块704,具体用于:
对所述业务访问数据和所述终端的标识信息进行封装,得到封装数据;
对所述封装数据进行加密,得到加密数据;
将所述加密数据通过所述安全传输通道发送至所述零信任系统。
可选地,所述的网络数据传输装置,还包括:
第四发送模块,用于在所述安全接入网关运行的过程中,向所述零信任系统发送所述安全接入网关的运行状态信息。
需要说明的是,本发明实施例提供的上述装置,能够实现上述应用于安全接入网关的网络数据传输方法实施例所实现的所有方法步骤,且能够达到相同的技术效果,在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
如图8所示,本发明的实施例提供一种网络数据传输装置,应用于零信任系统,所述装置包括:
第二接收模块801,用于接收安全接入网关发送的认证请求;
第三发送模块802,用于根据所述认证请求对所述安全接入网关进行验证并验证通过的情况下,向所述安全接入网关发送授权访问列表,并建立安全传输通道;
第三接收模块803,用于接收所述安全接入网关通过所述安全传输通道发送的终端的业务访问数据;
处理模块804,用于根据所述业务访问数据,进行业务资源访问授权处理。
本发明实施例,通过接收安全接入网关发送的认证请求,根据所述认证请求对所述安全接入网关进行验证并验证通过的情况下,向所述安全接入网关发送授权访问列表,并建立安全传输通道,并接收所述安全接入网关通过所述安全传输通道发送的终端的业务访问数据,根据所述业务访问数据,进行业务资源访问授权处理,使得零信任系统能够应用于物联网业务系统中,终端可以通过安全接入网关接入零信任系统,访问业务资源,提升物联网业务系统访问的安全性。
可选地,所述的网络数据传输装置,其中,所述第二接收模块801,具体用于:
接收所述安全接入网关发送的第一认证请求,所述第一认证请求携带所述安全接入网关的账户信息;
所述第三发送模块802,具体用于:
根据所述第一认证请求进行验证并验证通过的情况下,向所述安全接入网关发送所述授权访问列表。
可选地,所述的网络数据传输装置,其中,所述第二接收模块801,具体用于:
接收所述安全接入网关发送的第二认证请求,所述第二认证请求携带所述安全接入网关的账户信息;
所述第三发送模块802,具体用于:
根据所述第二认证请求进行验证并验证通过的情况下,建立所述安全传输通道。
可选地,所述的网络数据传输装置,其中,所述授权访问列表包括可接入所述安全接入网关的终端列表和终端可访问的业务资源列表。
可选地,所述的网络数据传输装置,其中,所述零信任系统包括零信任网关和零信任控制器;
所述处理模块804,包括:
接收单元,用于所述零信任网关接收所述安全接入网关根据所述业务访问数据和所述终端的标识信息发送的加密数据;
解密单元,用于所述零信任网关对所述加密数据进行解密,获取所述业务访问数据和所述终端的标识信息;
处理单元,用于所述零信任网关向所述零信任控制器发送所述安全接入网关的账户信息、所述终端的标识信息以及所述终端所请求访问的业务资源,由所述零信任控制器进行业务资源访问授权处理。
可选地,所述的网络数据传输装置,其中,所述处理单元,具体用于:
所述零信任控制器根据所述安全接入网关的账户信息、所述终端的标识信息、所述终端所请求访问的业务资源以及预配置的授权接入列表进行第一检查;
所述零信任控制器根据所述安全接入网关发送的运行状态信息和访问行为数据,以及所述终端的访问行为数据进行第二检查;
若所述第一检查和所述第二检查均通过,所述零信任网关将所述业务访问数据发送至对应的业务资源。
可选地,所述的网络数据传输装置,还包括:
第四接收模块,用于接收所述安全接入网关发送的运行状态信息;
断开模块,用于根据所述运行状态信息进行判断并判断所述运行状态信息不符合预设运行状态的情况下,断开所述安全传输通道。
可选地,所述的网络数据传输装置,还包括:
第五接收模块,用于接收所述终端的访问行为数据;
更新模块,用于根据所述访问行为数据进行判断并判断所述访问行为数据不符合预设访问行为的情况下,更新所述授权访问列表,并将更新后的所述授权访问列表发送至所述安全接入网关。
需要说明的是,本发明实施例提供的上述装置,能够实现上述应用于零信任系统的网络数据传输方法实施例所实现的所有方法步骤,且能够达到相同的技术效果,在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
本发明实施例还提供一种电子设备,如图9所示,包括:处理器901;以及通过总线接口与所述处理器901相连接的存储器902,所述存储器902用于存储所述处理器901在执行操作时所使用的程序和数据,处理器901调用并执行所述存储器902中所存储的程序和数据。
收发机903与总线接口连接,用于在处理器901的控制下接收和发送数据。
其中,在图9中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器901代表的一个或多个处理器和存储器902代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机903可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。针对不同的用户设备,用户接口904还可以是能够外接内接需要设备的接口,连接的设备包括但不限于小键盘、显示器、扬声器、麦克风、操纵杆等。
处理器901负责管理总线架构和通常的处理,存储器902可以存储处理器901在执行操作时所使用的数据。
本发明实施例还提供一种电子设备,如图10所示,包括:处理器1001;以及通过总线接口与所述处理器1001相连接的存储器1002,所述存储器1002用于存储所述处理器1001在执行操作时所使用的程序和数据,处理器1001调用并执行所述存储器1002中所存储的程序和数据。
收发机1003与总线接口连接,用于在处理器1001的控制下接收和发送数据。
其中,在图10中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器1001代表的一个或多个处理器和存储器1002代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机1003可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。针对不同的用户设备,用户接口1004还可以是能够外接内接需要设备的接口,连接的设备包括但不限于小键盘、显示器、扬声器、麦克风、操纵杆等。
处理器1001负责管理总线架构和通常的处理,存储器1002可以存储处理器1001在执行操作时所使用的数据。
本领域技术人员可以理解,实现上述实施例的全部或者部分步骤可以通过硬件来完成,也可以通过程序来指示相关的硬件来完成,所述程序包括执行上述方法的部分或者全部步骤的指令;且该程序可以存储于一可读存储介质中,存储介质可以是任何形式的存储介质。
本发明实施例还提供一种可读存储介质,其中,所述可读存储介质上存储有程序,所述程序被处理器执行时实现如上任一项所述的网络数据传输方法。
在本申请所提供的几个实施例中,应该理解到,所揭露方法和装置,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理包括,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述收发方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (21)
1.一种网络数据传输方法,其特征在于,应用于安全接入网关,所述方法包括:
向零信任系统发送认证请求;
接收授权访问列表以及确定安全传输通道;其中,所述授权访问列表是所述零信任系统根据所述认证请求进行验证通过的情况下发送的,所述安全传输通道是所述零信任系统根据所述认证请求进行验证通过的情况下建立的;
接收终端发送的业务资源访问请求;其中,所述业务资源访问请求携带业务访问数据;
根据所述授权访问列表对所述终端进行验证,并在验证通过的情况下将所述业务访问数据通过所述安全传输通道发送至所述零信任系统。
2.根据权利要求1所述的网络数据传输方法,其特征在于,所述向零信任系统发送认证请求,包括:
向所述零信任系统发送第一认证请求,所述第一认证请求携带所述安全接入网关的账户信息;
所述接收授权访问列表,包括:
接收所述零信任系统根据所述第一认证请求进行验证通过的情况下发送的所述授权访问列表。
3.根据权利要求1所述的网络数据传输方法,其特征在于,所述向零信任系统发送认证请求,包括:
向所述零信任系统发送第二认证请求,所述第二认证请求携带所述安全接入网关的账户信息;
所述确定安全传输通道,包括:
确定所述零信任系统根据所述第二认证请求进行验证通过的情况下建立的所述安全传输通道。
4.根据权利要求1至3中任一项所述的网络数据传输方法,其特征在于,所述授权访问列表包括可接入所述安全接入网关的终端列表和终端可访问的业务资源列表。
5.根据权利要求1所述的网络数据传输方法,其特征在于,所述根据所述授权访问列表对所述终端进行验证,并在验证通过的情况下将所述业务访问数据通过所述安全传输通道发送至所述零信任系统,包括:
根据所述授权访问列表中的可接入所述安全接入网关的终端列表对所述终端进行第一验证;
若所述第一验证通过,根据所述授权访问列表中的终端可访问的业务资源列表对所述终端所请求访问的业务资源进行第二验证;
若所述第二验证通过,将所述业务访问数据通过所述安全传输通道发送至所述零信任系统。
6.根据权利要求1所述的网络数据传输方法,其特征在于,所述将所述业务访问数据通过所述安全传输通道发送至零信任系统,包括:
对所述业务访问数据和所述终端的标识信息进行封装,得到封装数据;
对所述封装数据进行加密,得到加密数据;
将所述加密数据通过所述安全传输通道发送至所述零信任系统。
7.根据权利要求1所述的网络数据传输方法,其特征在于,所述方法还包括:
在所述安全接入网关运行的过程中,向所述零信任系统发送所述安全接入网关的运行状态信息。
8.一种网络数据传输方法,其特征在于,应用于零信任系统,所述方法包括:
接收安全接入网关发送的认证请求;
根据所述认证请求对所述安全接入网关进行验证并验证通过的情况下,向所述安全接入网关发送授权访问列表,并建立安全传输通道;
接收所述安全接入网关通过所述安全传输通道发送的终端的业务访问数据;
根据所述业务访问数据,进行业务资源访问授权处理。
9.根据权利要求8所述的网络数据传输方法,其特征在于,所述接收安全接入网关发送的认证请求,包括:
接收所述安全接入网关发送的第一认证请求,所述第一认证请求携带所述安全接入网关的账户信息;
所述根据所述认证请求对所述安全接入网关进行验证并验证通过的情况下,向所述安全接入网关发送授权访问列表,包括:
根据所述第一认证请求进行验证并验证通过的情况下,向所述安全接入网关发送所述授权访问列表。
10.根据权利要求8所述的网络数据传输方法,其特征在于,所述接收安全接入网关发送的认证请求,包括:
接收所述安全接入网关发送的第二认证请求,所述第二认证请求携带所述安全接入网关的账户信息;
所述根据所述认证请求对所述安全接入网关进行验证并验证通过的情况下,建立安全传输通道,包括:
根据所述第二认证请求进行验证并验证通过的情况下,建立所述安全传输通道。
11.根据权利要求8至10中任一项所述的网络数据传输方法,其特征在于,所述授权访问列表包括可接入所述安全接入网关的终端列表和终端可访问的业务资源列表。
12.根据权利要求8所述的网络数据传输方法,其特征在于,所述零信任系统包括零信任网关和零信任控制器;
所述根据所述业务访问数据,进行业务资源访问授权处理,包括:
所述零信任网关接收所述安全接入网关根据所述业务访问数据和所述终端的标识信息发送的加密数据;
所述零信任网关对所述加密数据进行解密,获取所述业务访问数据和所述终端的标识信息;
所述零信任网关向所述零信任控制器发送所述安全接入网关的账户信息、所述终端的标识信息以及所述终端所请求访问的业务资源,由所述零信任控制器进行业务资源访问授权处理。
13.根据权利要求12所述的网络数据传输方法,其特征在于,所述由所述零信任控制器进行业务资源访问授权处理,包括:
所述零信任控制器根据所述安全接入网关的账户信息、所述终端的标识信息、所述终端所请求访问的业务资源以及预配置的授权接入列表进行第一检查;
所述零信任控制器根据所述安全接入网关发送的运行状态信息和访问行为数据,以及所述终端的访问行为数据进行第二检查;
若所述第一检查和所述第二检查均通过,所述零信任网关将所述业务访问数据发送至对应的业务资源。
14.根据权利要求8所述的网络数据传输方法,其特征在于,所述方法还包括:
接收所述安全接入网关发送的运行状态信息;
根据所述运行状态信息进行判断并判断所述运行状态信息不符合预设运行状态的情况下,断开所述安全传输通道。
15.根据权利要求8所述的网络数据传输方法,其特征在于,所述方法还包括:
接收所述终端的访问行为数据;
根据所述访问行为数据进行判断并判断所述访问行为数据不符合预设访问行为的情况下,更新所述授权访问列表,并将更新后的所述授权访问列表发送至所述安全接入网关。
16.一种电子设备,其特征在于,包括收发机和处理器;
所述收发机用于,向零信任系统发送认证请求;
所述收发机还用于,接收授权访问列表以及确定安全传输通道;其中,所述授权访问列表是所述零信任系统根据所述认证请求进行验证通过的情况下发送的,所述安全传输通道是所述零信任系统根据所述认证请求进行验证通过的情况下建立的;
所述收发机还用于,接收终端发送的业务资源访问请求;其中,所述业务资源访问请求携带业务访问数据;
所述收发机还用于,根据所述授权访问列表对所述终端进行验证,并在验证通过的情况下将所述业务访问数据通过所述安全传输通道发送至所述零信任系统。
17.一种电子设备,其特征在于,包括收发机和处理器;
所述收发机用于,接收安全接入网关发送的认证请求;
所述收发机还用于,根据所述认证请求对所述安全接入网关进行验证并验证通过的情况下,向所述安全接入网关发送授权访问列表,并建立安全传输通道;
所述收发机还用于,接收所述安全接入网关通过所述安全传输通道发送的终端的业务访问数据;
所述处理器用于,根据所述业务访问数据,进行业务资源访问授权处理。
18.一种网络数据传输装置,其特征在于,应用于安全接入网关,所述装置包括:
第一发送模块,用于向零信任系统发送认证请求;
获取模块,用于接收授权访问列表以及确定安全传输通道;其中,所述授权访问列表是所述零信任系统根据所述认证请求进行验证通过的情况下发送的,所述安全传输通道是所述零信任系统根据所述认证请求进行验证通过的情况下建立的;
第一接收模块,用于接收终端发送的业务资源访问请求;其中,所述业务资源访问请求携带业务访问数据;
第二发送模块,用于根据所述授权访问列表对所述终端进行验证,并在验证通过的情况下将所述业务访问数据通过所述安全传输通道发送至所述零信任系统。
19.一种网络数据传输装置,其特征在于,应用于零信任系统,所述装置包括:
第二接收模块,用于接收安全接入网关发送的认证请求;
第三发送模块,用于根据所述认证请求对所述安全接入网关进行验证并验证通过的情况下,向所述安全接入网关发送授权访问列表,并建立安全传输通道;
第三接收模块,用于接收所述安全接入网关通过所述安全传输通道发送的终端的业务访问数据;
处理模块,用于根据所述业务访问数据,进行业务资源访问授权处理。
20.一种电子设备,包括:收发机、处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令;其特征在于,所述处理器执行所述程序或指令时实现如权利要求1至7中任一项所述的网络数据传输方法中的步骤,或者实现如权利要求8至15中任一项所述的网络数据传输方法中的步骤。
21.一种可读存储介质,其上存储有程序或指令,其特征在于,所述程序或指令被处理器执行时实现如权利要求1至7中任一项所述的网络数据传输方法中的步骤,或者实现如权利要求8至15中任一项所述的网络数据传输方法中的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211025036.6A CN116961961A (zh) | 2022-08-25 | 2022-08-25 | 网络数据传输方法、装置、电子设备和可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211025036.6A CN116961961A (zh) | 2022-08-25 | 2022-08-25 | 网络数据传输方法、装置、电子设备和可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116961961A true CN116961961A (zh) | 2023-10-27 |
Family
ID=88459104
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211025036.6A Pending CN116961961A (zh) | 2022-08-25 | 2022-08-25 | 网络数据传输方法、装置、电子设备和可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116961961A (zh) |
-
2022
- 2022-08-25 CN CN202211025036.6A patent/CN116961961A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102413224B (zh) | 绑定、运行安全数码卡的方法、系统及设备 | |
EP1828931B1 (en) | Secure collaborative terminal identity authentication between a wireless communication device and a wireless operator | |
CN111799867B (zh) | 一种充电设备与充电管理平台间的互信认证方法及系统 | |
KR101438243B1 (ko) | Sim 기반 인증방법 | |
CN110891257B (zh) | 一种具有防攻击双向认证的网联车远程升级系统及方法 | |
US7496949B2 (en) | Network system, proxy server, session management method, and program | |
CN111918284B (zh) | 一种基于安全通信模组的安全通信方法及系统 | |
CN113596009B (zh) | 零信任访问方法、系统、零信任安全代理、终端及介质 | |
KR20030019356A (ko) | 이동 데이터 통신용 보안 동적 링크 할당 시스템 | |
US20070049265A1 (en) | Apparatus and method for local device management | |
CN101986598B (zh) | 认证方法、服务器及系统 | |
WO2022160124A1 (zh) | 一种服务授权管理方法及装置 | |
Bella et al. | CINNAMON: A module for AUTOSAR secure onboard communication | |
CN114125027A (zh) | 一种通信建立方法、装置、电子设备及存储介质 | |
CN113872940A (zh) | 基于NC-Link的访问控制方法、装置及设备 | |
US10298588B2 (en) | Secure communication system and method | |
CN116961961A (zh) | 网络数据传输方法、装置、电子设备和可读存储介质 | |
CN113438242B (zh) | 服务鉴权方法、装置与存储介质 | |
CN110572352A (zh) | 一种智能配网安全接入平台及其实现方法 | |
CN111918292B (zh) | 一种接入方法及装置 | |
CN113079506B (zh) | 网络安全认证方法、装置及设备 | |
CN108924828B (zh) | 一种apn自适应方法、服务端和终端 | |
CN111885047A (zh) | 用于终端获取数据的方法、终端访问数据的方法及终端 | |
CN112416528A (zh) | 一种实现非侵入性的微服务间接口安全调用的方法 | |
CN114844674B (zh) | 动态授权方法、系统、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |