CN111917714A - 一种零信任架构系统及其使用方法 - Google Patents

一种零信任架构系统及其使用方法 Download PDF

Info

Publication number
CN111917714A
CN111917714A CN202010559167.7A CN202010559167A CN111917714A CN 111917714 A CN111917714 A CN 111917714A CN 202010559167 A CN202010559167 A CN 202010559167A CN 111917714 A CN111917714 A CN 111917714A
Authority
CN
China
Prior art keywords
server
risk
zero
gateway
application server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010559167.7A
Other languages
English (en)
Other versions
CN111917714B (zh
Inventor
漆振飞
钏涛
吕垚
郭威
和悦
杭菲璐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Information Center of Yunnan Power Grid Co Ltd
Original Assignee
Information Center of Yunnan Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Information Center of Yunnan Power Grid Co Ltd filed Critical Information Center of Yunnan Power Grid Co Ltd
Priority to CN202010559167.7A priority Critical patent/CN111917714B/zh
Publication of CN111917714A publication Critical patent/CN111917714A/zh
Application granted granted Critical
Publication of CN111917714B publication Critical patent/CN111917714B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种零信任架构系统,其使用方法为:通过客户端定时向应用服务器发送安全信息和状态信息,且将安全信息和状态信息转发至零信任评估服务器进行评估;根据评估结果生成通行证;通过客户端发起URL请求,通过Token管理服务器对URL请求进行基于数字证书的身份验证,将会话签入URL请求;将携带会话的URL请求传输至网关,通过网关判断其通行证是否允许通行且其会话是否有权限访问内网,若是,则通过网关允许该URL请求穿透网闸访问内网,否则拒绝该URL请求的访问。本发明采用零信任服务器进行评估且采用Token管理服务器对URL请求进行会话管理,双重安全检测,使得业务服务可以安全访问内部网络。

Description

一种零信任架构系统及其使用方法
技术领域
本发明属于web服务安全领域,具体涉及一种零信任架构系统及其使用方法。
背景技术
随着互联网+战略的推进,原本和互联网物理隔离的高安全等级网络,都逐步开放,为互联网体提供服务。然而,仅仅依赖防火墙、IDS、防病毒等滞后、被动防御的机制,无法确保高安全等级网络边界安全,只能诉诸于更灵活的技术手段来对动态变化的人、终端、系统建立新的逻辑边界,通过对人、终端和系统都进行识别、访问控制、跟踪实现全面的身份化。这样身份就成为了网络安全新的边界,以身份为中心的零信任安全成为了网络安全发展的必然趋势。现有的互联网服务位于内部可靠的环境,不对访问者客户机进行安全校验,使得授权用户可以通过任何终端设备访问,无疑给该服务带来了安全隐患。本专利就是在高安全等级网络边界中实现零信任架构的一种方法,对终端设备请求进行检验之后才能请求数据。
发明内容
针对现有技术中的上述不足,本发明提供的一种零信任架构系统及其使用方法解决了现有技术中存在的问题。
为了达到上述发明目的,本发明采用的技术方案为:一种零信任架构系统,包括依次连接的客户端、应用服务器、网关和网闸,所述应用服务器还分别与Token管理服务器和零信任评估服务器连接,所述网关还与零信任评估服务器连接;
所述客户端用于进行服务请求以及向应用服务器上报安全信息;所述应用服务器用于接收客户端的数据,且向网关转发URL请求、向Token管理服务器发出Token请求和将客户端上报的安全信息传输至零信任评估服务器;所述零信任评估服务器用于评估应用服务器的安装状态,接收来自应用服务器的安全信息,对信息进行评估计算打分,并将打分结果发送给网关;所述Token管理服务器用于接受应用服务器SSL链接,对Token请求产生会话Token,并管理会话Token;所述网关位于应用服务器和网闸之间,用于确定是否允许应用服务器访问网闸,其接受评估服务器对应用服务器的评估结果,大于N分的服务器允许放行,小于N分的服务器禁止请求。
进一步地,所述安全信息包括安全漏洞、系统设计、进程和弱密码。
本发明的有益效果为:构建了一种零信任架构系统,在业务逻辑被调用之前进行安全认证,保证了网络访问的安全。
一种基于零信任架构系统的使用方法,包括以下步骤:
S1、通过客户端定时向应用服务器发送安全信息和状态信息;
S2、通过应用服务器将安全信息和状态信息转发至零信任评估服务器,且通过零信任评估服务器对安全信息和状态信息进行评估;
S3、将评估结果传输至网关,根据评估结果,通过网关生成通行证并存储;
S4、通过客户端发起URL请求,通过应用服务器向Token管理服务器请求会话Token;
S5、通过Token管理服务器对URL请求进行基于数字证书的身份验证,对验证通过的URL请求下发会话Token,并将会话Token签入URL请求;
S6、将携带会话Token的URL请求传输至网关,通过网关判断其通行证是否允许通行且其会话Token是否有权限访问内网,若是,则通过网关允许该URL请求穿透网闸访问内网,否则拒绝该URL请求的访问。
进一步地,所述步骤S1中状态信息包括客户端的UUID、IP和MAC信息。
进一步地,所述步骤S2中对安全信息和状态信息进行评估具体为:进行必备防护安全程序检测,若符合则得a分,不符合则得0分;进行安全漏洞检测,无安全漏洞则得b分,存在高危漏洞则得c分,存在低危漏洞和中危漏洞则得b-d分,所述d表示低危漏洞个数与中危漏洞个数之和;进行弱口令检测,无弱口令则得e分,存在弱口令则得0分;进行高危网络端口检测,无高危网络端口则得f分,存在高危网络端口则得f-5*g分,g表示高危网络端口个数;进行高危恶意程序检测,无高危恶意程序得h分,存在高危恶意程序得h-3分;进行高危安全配置检测,高危安全配置检测合格则得i分,不合格则得i-3分;进行异常行为检测,无异常行为警告则得j分,有异常行为警告则得j-k分,所述k表示异常行为警告个数。
进一步地,所述必备防护安全程序包括弱口令检测程序、基线配置检测程序、主机漏洞检测程序、暴力破解防护程序、软件安全加固程序和微隔离控制程序。
进一步地,所述步骤S3中评估结果的保存格式为:{IP,Mac,评估得分,评估时刻,有效期限}。
进一步地,所述步骤S3中根据评估结果,通过网关生成通行证的具体步骤为:
A1、判断是否存在检测项得分等于且小于零,若是,则生成包含不允许访问指令的通行证,否则进入步骤A2;
A2、判断所有检测项得分总和是否大于N,若是,则生成包含允许访问指令的通行证,否则生成包含不允许访问指令的通行证。
进一步地,所述应用服务器与零信任评估服务器之间采用SSL通信。
进一步地,所述应用服务器、网关、Token管理服务器和零信任评估服务器均使用同一个根证书。
本发明的有益效果为:
(1)本发明根据安全信息和状态信息吗,并通过零信任服务器进行多项检测,能够精准的评估客户端的安全状态。
(2)本发明采用零信任服务器进行评估且采用Token管理服务器对URL请求进行会话管理,双重安全检测,使得业务服务可以安全访问内部网络。
附图说明
图1为本发明提出的一种零信任架构系统框图。
图2为本发明中提出的一种基于零信任架构系统的使用方法流程图。
具体实施方式
下面对本发明的具体实施方式进行描述,以便于本技术领域的技术人员理解本发明,但应该清楚,本发明不限于具体实施方式的范围,对本技术领域的普通技术人员来讲,只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内,这些变化是显而易见的,一切利用本发明构思的发明创造均在保护之列。
下面结合附图详细说明本发明的实施例。
如图1所示,一种零信任架构系统,包括依次连接的客户端、应用服务器、网关和网闸,所述应用服务器还分别与Token管理服务器和零信任评估服务器连接,所述网关还与零信任评估服务器连接;
所述客户端用于进行服务请求以及向应用服务器上报安全信息;所述应用服务器用于接收客户端的数据,且向网关转发URL请求、向Token管理服务器发出Token请求和将客户端上报的安全信息传输至零信任评估服务器;所述零信任评估服务器用于评估应用服务器的安装状态,接收来自应用服务器的安全信息,对信息进行评估计算打分,并将打分结果发送给网关;所述Token管理服务器用于接受应用服务器SSL链接,对Token请求产生会话Token,并管理会话Token;所述网关位于应用服务器和网闸之间,用于确定是否允许应用服务器访问网闸,其接受评估服务器对应用服务器的评估结果,大于N分的服务器允许放行,小于N分的服务器禁止请求。
所述安全信息包括安全漏洞、系统设计、进程和弱密码。
本发明的有益效果为:构建了一种零信任架构系统,在业务逻辑被调用之前进行安全认证,保证了网络访问的安全。
如图2所示,一种基于零信任架构系统的使用方法,包括以下步骤:
S1、通过客户端定时向应用服务器发送安全信息和状态信息;
S2、通过应用服务器将安全信息和状态信息转发至零信任评估服务器,且通过零信任评估服务器对安全信息和状态信息进行评估;
S3、将评估结果传输至网关,根据评估结果,通过网关生成通行证并存储;
S4、通过客户端发起URL请求,通过应用服务器向Token管理服务器请求会话Token;
S5、通过Token管理服务器对URL请求进行基于数字证书的身份验证,对验证通过的URL请求下发会话Token,并将会话Token签入URL请求;
S6、将携带会话Token的URL请求传输至网关,通过网关判断其通行证是否允许通行且其会话Token是否有权限访问内网,若是,则通过网关允许该URL请求穿透网闸访问内网,否则拒绝该URL请求的访问。
所述步骤S1中状态信息包括客户端的UUID、IP和MAC信息。
所述步骤S2中对安全信息和状态信息进行评估具体为:进行必备防护安全程序检测,若符合则得a分,不符合则得0分;进行安全漏洞检测,无安全漏洞则得b分,存在高危漏洞则得c分,存在低危漏洞和中危漏洞则得b-d分,所述d表示低危漏洞个数与中危漏洞个数之和;进行弱口令检测,无弱口令则得e分,存在弱口令则得0分;进行高危网络端口检测,无高危网络端口则得f分,存在高危网络端口则得f-5*g分,g表示高危网络端口个数;进行高危恶意程序检测,无高危恶意程序得h分,存在高危恶意程序得h-3分;进行高危安全配置检测,高危安全配置检测合格则得i分,不合格则得i-3分;进行异常行为检测,无异常行为警告则得j分,有异常行为警告则得j-k分,所述k表示异常行为警告个数。
在本实施例中,必备安全防护程序(包括但不限于弱口令检测程序、基线配置检测程序、主机漏洞检测程序、暴力破解防护程序、软件安全加固程序、微隔离控制程序等)检测,该项检查全部符合得10分,有缺项则一票否决,得分为0。
安全漏洞检测:该项检测满分20分,如有高危漏洞则一票否决,得分为0。否则有中危和低危漏洞,则每个漏洞减1分。
弱口令检测:该项满分10分,如有弱口令,则一票否决,得分为0。否则得10分。
高危网络端口检测:该项满分10分,如有高危端口,每个端口减5分。
高危恶意程序检测:该项满分20分,如有高危恶意程序,则减5分,否则减2分。
高危安全配置检测:该项满分20分,如果有高危安全配置不合格项,则减5分,否则减2分。
异常行为检测:该项满分10分,如果有异常行为告警,每项减1分。
所述必备防护安全程序包括弱口令检测程序、基线配置检测程序、主机漏洞检测程序、暴力破解防护程序、软件安全加固程序和微隔离控制程序。
所述步骤S3中评估结果的保存格式为:{IP,Mac,评估得分,评估时刻,有效期限}。
所述步骤S3中根据评估结果,通过网关生成通行证的具体步骤为:
A1、判断是否存在检测项得分等于且小于零,若是,则生成包含不允许访问指令的通行证,否则进入步骤A2;
A2、判断所有检测项得分总和是否大于N,若是,则生成包含允许访问指令的通行证,否则生成包含不允许访问指令的通行证。
在本实施例中,N=60。
所述应用服务器与零信任评估服务器之间采用SSL通信。
所述应用服务器、网关、Token管理服务器和零信任评估服务器均使用同一个根证书。
本发明的有益效果为:
(1)本发明根据安全信息和状态信息吗,并通过零信任服务器进行多项检测,能够精准的评估客户端的安全状态。
(2)本发明采用零信任服务器进行评估且采用Token管理服务器对URL请求进行会话管理,双重安全检测,使得业务服务可以安全访问内部网络。

Claims (10)

1.一种零信任架构系统,其特征在于,包括依次连接的客户端、应用服务器、网关和网闸,所述应用服务器还分别与Token管理服务器和零信任评估服务器连接,所述网关还与零信任评估服务器连接;
所述客户端用于进行服务请求以及向应用服务器上报安全信息;所述应用服务器用于接收客户端的数据,且向网关转发URL请求、向Token管理服务器发出Token请求和将客户端上报的安全信息传输至零信任评估服务器;所述零信任评估服务器用于评估应用服务器的安装状态,接收来自应用服务器的安全信息,对信息进行评估计算打分,并将打分结果发送给网关;所述Token管理服务器用于接受应用服务器SSL链接,对Token请求产生会话Token,并管理会话Token;所述网关位于应用服务器和网闸之间,用于确定是否允许应用服务器访问网闸,其接受评估服务器对应用服务器的评估结果,大于N分的服务器允许放行,小于N分的服务器禁止请求。
2.根据权利要求1所述的零信任架构系统,其特征在于,所述安全信息包括安全漏洞、系统设计、进程和弱密码。
3.一种基于权利要求1或2所述零信任架构系统的使用方法,其特征在于,包括以下步骤:
S1、通过客户端定时向应用服务器发送安全信息和状态信息;
S2、通过应用服务器将安全信息和状态信息转发至零信任评估服务器,且通过零信任评估服务器对安全信息和状态信息进行评估;
S3、将评估结果传输至网关,根据评估结果,通过网关生成通行证并存储;
S4、通过客户端发起URL请求,通过应用服务器向Token管理服务器请求会话Token;
S5、通过Token管理服务器对URL请求进行基于数字证书的身份验证,对验证通过的URL请求下发会话Token,并将会话Token签入URL请求;
S6、将携带会话Token的URL请求传输至网关,通过网关判断其通行证是否允许通行且其会话Token是否有权限访问内网,若是,则通过网关允许该URL请求穿透网闸访问内网,否则拒绝该URL请求的访问。
4.根据权利要求3所述的零信任架构系统的使用方法,其特征在于,所述步骤S1中状态信息包括客户端的UUID、IP和MAC信息。
5.根据权利要求3所述的零信任架构系统的使用方法,其特征在于,所述步骤S2中对安全信息和状态信息进行评估具体为:进行必备防护安全程序检测,若符合则得a分,不符合则得0分;进行安全漏洞检测,无安全漏洞则得b分,存在高危漏洞则得c分,存在低危漏洞和中危漏洞则得b-d分,所述d表示低危漏洞个数与中危漏洞个数之和;进行弱口令检测,无弱口令则得e分,存在弱口令则得0分;进行高危网络端口检测,无高危网络端口则得f分,存在高危网络端口则得f-5*g分,g表示高危网络端口个数;进行高危恶意程序检测,无高危恶意程序得h分,存在高危恶意程序得h-3分;进行高危安全配置检测,高危安全配置检测合格则得i分,不合格则得i-3分;进行异常行为检测,无异常行为警告则得j分,有异常行为警告则得j-k分,所述k表示异常行为警告个数。
6.根据权利要求5所述的零信任架构系统的使用方法,其特征在于,所述必备防护安全程序包括弱口令检测程序、基线配置检测程序、主机漏洞检测程序、暴力破解防护程序、软件安全加固程序和微隔离控制程序。
7.根据权利要求3所述的零信任架构系统的使用方法,其特征在于,所述步骤S3中评估结果的保存格式为:{IP,Mac,评估得分,评估时刻,有效期限}。
8.根据权利要求5所述的零信任架构系统的使用方法,其特征在于,所述步骤S3中根据评估结果,通过网关生成通行证的具体步骤为:
A1、判断是否存在检测项得分等于且小于零,若是,则生成包含不允许访问指令的通行证,否则进入步骤A2;
A2、判断所有检测项得分总和是否大于N,若是,则生成包含允许访问指令的通行证,否则生成包含不允许访问指令的通行证。
9.根据权利要求3所述的零信任架构系统的使用方法,其特征在于,所述应用服务器与零信任评估服务器之间采用SSL通信。
10.根据权利要求3所述的零信任架构系统的使用方法,其特征在于,所述应用服务器、网关、Token管理服务器和零信任评估服务器均使用同一个根证书。
CN202010559167.7A 2020-06-18 2020-06-18 一种零信任架构系统及其使用方法 Active CN111917714B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010559167.7A CN111917714B (zh) 2020-06-18 2020-06-18 一种零信任架构系统及其使用方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010559167.7A CN111917714B (zh) 2020-06-18 2020-06-18 一种零信任架构系统及其使用方法

Publications (2)

Publication Number Publication Date
CN111917714A true CN111917714A (zh) 2020-11-10
CN111917714B CN111917714B (zh) 2022-11-11

Family

ID=73238104

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010559167.7A Active CN111917714B (zh) 2020-06-18 2020-06-18 一种零信任架构系统及其使用方法

Country Status (1)

Country Link
CN (1) CN111917714B (zh)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112291071A (zh) * 2020-12-24 2021-01-29 飞天诚信科技股份有限公司 一种适用于零信任网络的密码管理方法及系统
CN113055382A (zh) * 2021-03-12 2021-06-29 华能国际电力股份有限公司 一种基于零信任的主机口令管控方法
CN113783871A (zh) * 2021-09-09 2021-12-10 云南电网有限责任公司信息中心 一种采用零信任架构的微隔离防护系统及其防护方法
CN113794707A (zh) * 2021-09-07 2021-12-14 中科星启(北京)科技有限公司 一种南北向微隔离架构的实现方法
CN114143056A (zh) * 2021-11-24 2022-03-04 上海派拉软件股份有限公司 一种终端访问方法、装置、电子设备及存储介质
CN114710340A (zh) * 2022-03-25 2022-07-05 绿盟科技集团股份有限公司 一种安全认证系统及方法
CN115065564A (zh) * 2022-08-18 2022-09-16 天津天元海科技开发有限公司 一种基于零信任机制的访问控制方法
CN115314405A (zh) * 2022-05-28 2022-11-08 江苏安几科技有限公司 零信任网关用户动态评分方法及装置
CN117879832A (zh) * 2024-01-09 2024-04-12 苏州市伏泰信息科技股份有限公司 基于可信计算技术的无废城市的数据传输方法及其系统

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1787513A (zh) * 2004-12-07 2006-06-14 上海鼎安信息技术有限公司 安全远程访问系统和方法
US20160219030A1 (en) * 2015-01-28 2016-07-28 Alibaba Group Holding Limited Service Request Authentication Method and Apparatus
US20180005235A1 (en) * 2016-06-29 2018-01-04 Ca, Inc. Electronic transaction risk assessment based on digital identifier trust evaluation
CN107579991A (zh) * 2017-09-28 2018-01-12 北京奇安信科技有限公司 一种对客户端进行云端防护认证的方法、服务器和客户端
CN108494729A (zh) * 2018-02-07 2018-09-04 北京卓讯科信技术有限公司 一种零信任模型实现系统
CN111131310A (zh) * 2019-12-31 2020-05-08 奇安信科技集团股份有限公司 访问控制方法、装置、系统、计算机设备和存储介质
CN111177692A (zh) * 2019-11-29 2020-05-19 云深互联(北京)科技有限公司 终端可信级别评估方法、装置、设备和存储介质

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1787513A (zh) * 2004-12-07 2006-06-14 上海鼎安信息技术有限公司 安全远程访问系统和方法
US20160219030A1 (en) * 2015-01-28 2016-07-28 Alibaba Group Holding Limited Service Request Authentication Method and Apparatus
US20180005235A1 (en) * 2016-06-29 2018-01-04 Ca, Inc. Electronic transaction risk assessment based on digital identifier trust evaluation
CN107579991A (zh) * 2017-09-28 2018-01-12 北京奇安信科技有限公司 一种对客户端进行云端防护认证的方法、服务器和客户端
CN108494729A (zh) * 2018-02-07 2018-09-04 北京卓讯科信技术有限公司 一种零信任模型实现系统
CN111177692A (zh) * 2019-11-29 2020-05-19 云深互联(北京)科技有限公司 终端可信级别评估方法、装置、设备和存储介质
CN111131310A (zh) * 2019-12-31 2020-05-08 奇安信科技集团股份有限公司 访问控制方法、装置、系统、计算机设备和存储介质

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
CASIMER DECUSATIS: "Implementing Zero Trust Cloud Networks with Transport Access Control and First Packet Authentication", 《2016 IEEE INTERNATIONAL CONFERENCE ON SMART CLOUD (SMARTCLOUD)》 *
尚可龙等: "零信任安全体系设计与研究", 《保密科学技术》 *
常玲等: "移动应用安全防护技术研究", 《电信工程技术与标准化》 *

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112291071B (zh) * 2020-12-24 2021-04-06 飞天诚信科技股份有限公司 一种适用于零信任网络的密码管理方法及系统
CN112291071A (zh) * 2020-12-24 2021-01-29 飞天诚信科技股份有限公司 一种适用于零信任网络的密码管理方法及系统
CN113055382B (zh) * 2021-03-12 2022-04-26 华能国际电力股份有限公司 一种基于零信任的主机口令管控方法
CN113055382A (zh) * 2021-03-12 2021-06-29 华能国际电力股份有限公司 一种基于零信任的主机口令管控方法
CN113794707A (zh) * 2021-09-07 2021-12-14 中科星启(北京)科技有限公司 一种南北向微隔离架构的实现方法
CN113783871B (zh) * 2021-09-09 2023-09-19 云南电网有限责任公司信息中心 一种采用零信任架构的微隔离防护系统及其防护方法
CN113783871A (zh) * 2021-09-09 2021-12-10 云南电网有限责任公司信息中心 一种采用零信任架构的微隔离防护系统及其防护方法
CN114143056A (zh) * 2021-11-24 2022-03-04 上海派拉软件股份有限公司 一种终端访问方法、装置、电子设备及存储介质
CN114143056B (zh) * 2021-11-24 2024-04-05 上海派拉软件股份有限公司 一种终端访问方法、装置、电子设备及存储介质
CN114710340A (zh) * 2022-03-25 2022-07-05 绿盟科技集团股份有限公司 一种安全认证系统及方法
CN114710340B (zh) * 2022-03-25 2023-05-23 绿盟科技集团股份有限公司 一种安全认证系统及方法
CN115314405A (zh) * 2022-05-28 2022-11-08 江苏安几科技有限公司 零信任网关用户动态评分方法及装置
CN115065564A (zh) * 2022-08-18 2022-09-16 天津天元海科技开发有限公司 一种基于零信任机制的访问控制方法
CN115065564B (zh) * 2022-08-18 2022-11-01 天津天元海科技开发有限公司 一种基于零信任机制的访问控制方法
CN117879832A (zh) * 2024-01-09 2024-04-12 苏州市伏泰信息科技股份有限公司 基于可信计算技术的无废城市的数据传输方法及其系统
CN117879832B (zh) * 2024-01-09 2024-09-27 苏州市伏泰信息科技股份有限公司 基于可信计算技术的无废城市的数据传输方法及其系统

Also Published As

Publication number Publication date
CN111917714B (zh) 2022-11-11

Similar Documents

Publication Publication Date Title
CN111917714B (zh) 一种零信任架构系统及其使用方法
US10057282B2 (en) Detecting and reacting to malicious activity in decrypted application data
US8959650B1 (en) Validating association of client devices with sessions
CN114598540B (zh) 访问控制系统、方法、装置及存储介质
US8695097B1 (en) System and method for detection and prevention of computer fraud
Rani et al. Cyber security techniques, architectures, and design
JP2019511048A (ja) 検出された脅威イベントに基づく識別情報のセキュリティと封じ込め
CN113225333A (zh) 零信任下的网络资源访问控制方法
CN114553540B (zh) 基于零信任的物联网系统、数据访问方法、装置及介质
US9237143B1 (en) User authentication avoiding exposure of information about enumerable system resources
WO2023159994A1 (zh) 一种运维处理方法和终端设备
EP3687140B1 (en) On-demand and proactive detection of application misconfiguration security threats
US8881273B2 (en) Device reputation management
CN114629719B (zh) 资源访问控制方法和资源访问控制系统
CN106899561B (zh) 一种基于acl的tnc权限控制方法和系统
Li et al. Mitigating CSRF attacks on OAuth 2.0 systems
CN117768236A (zh) 一种基于api网关的安全管控和数据脱敏平台及方法
CN114915427B (zh) 访问控制方法、装置、设备及存储介质
Lee et al. An Empirical Analysis of Incorrect Account Remediation in the Case of Broken Authentication
Alalayah Pattern Image based Dynamic Framework for Security in Web Application
Ferraz et al. Prototype for Testing Context-Aware Authentication for Cloud Environments
Chakraborty Digital defense: Verification of security intelligence
Briain Access Control
Yang et al. Context-Aware Phishing-Resistant Authentication for Federated Identity in Internet of Things Platforms
Nguyen et al. Security Testing of a Smart Home Management System using Formal Method and Gray-box Testing

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant