CN112367188A - 一种基于零信任模型的私有化安全系统及实现方法 - Google Patents

一种基于零信任模型的私有化安全系统及实现方法 Download PDF

Info

Publication number
CN112367188A
CN112367188A CN202011114456.2A CN202011114456A CN112367188A CN 112367188 A CN112367188 A CN 112367188A CN 202011114456 A CN202011114456 A CN 202011114456A CN 112367188 A CN112367188 A CN 112367188A
Authority
CN
China
Prior art keywords
unit
policy
privatization
data
certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011114456.2A
Other languages
English (en)
Other versions
CN112367188B (zh
Inventor
于斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zero Krypton Information Technology Beijing Co ltd
Linkdoc Technology Beijing Co ltd
Original Assignee
Zero Krypton Information Technology Beijing Co ltd
Linkdoc Technology Beijing Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zero Krypton Information Technology Beijing Co ltd, Linkdoc Technology Beijing Co ltd filed Critical Zero Krypton Information Technology Beijing Co ltd
Priority to CN202011114456.2A priority Critical patent/CN112367188B/zh
Publication of CN112367188A publication Critical patent/CN112367188A/zh
Application granted granted Critical
Publication of CN112367188B publication Critical patent/CN112367188B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本申请公开了一种基于零信任模型的私有化安全系统及实现方法。所述系统包括:策略管理单元、策略引擎单元、PKI单元、监测单元;所述策略管理单元,用来保存所有策略集合,客户端通过策略管理单元的确认后,得到授信确认信号,再将携带授信确认信号的数据传递出去;所述策略引擎单元,采用推断方式,通过实际请求中带有的属性进行规则匹配,生成策略集合,再由不同的策略集合组成规则集合;所述PKI单元,用于公钥的管理单元;所述监测单元,用来通过行为数据检测方式提供异常数据集合。本申请解决了在私有化业务场景下,基于零信任模型,与传统安全方案的整合问题。

Description

一种基于零信任模型的私有化安全系统及实现方法
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种基于零信任模型的私有化安全系统及实现方法。
背景技术
目前,很多互联网公司、网络安全公司均基于零信任网络模型提供了很多产品方案。而在国内,尝试推广基于零信任网络模型的安全厂家也给出了相应的解决方案。零信任网络模型的最终目标是为了解决传统网络隔离方案中,外紧内松的情况,通过打破传统的隔离域概念,让所有接入均通过信任建立的方式进行授权,隐藏不安全的平面。
因为目前零信任网络仍在提出的初级阶段,而私有化业务场景下,由于很多内部系统仍然处在传统安全技术架构体系当中,依赖区域分割、防火墙或网闸控制,而一旦接入内网环境后无法更进一步的判断来自内网的风险。本申请解决在私有化业务场景下,基于零信任模型,与传统安全方案的整合问题。
发明内容
本申请的主要目的在于提供一种基于零信任模型的私有化安全系统及实现方法,以解决相关技术中在私有化业务场景下,基于零信任模型,与传统安全方案的整合问题。
为了实现上述目的,第一方面,本申请提供了一种基于零信任模型的私有化安全系统,包括:策略管理单元、策略引擎单元、PKI单元、监测单元;
所述策略管理单元分别与PKI单元和策略引擎单元相连接,所述策略引擎单元与所述监测单元相连接;
所述策略管理单元,用来保存所有策略集合,客户端通过策略管理单元的确认后,得到授信确认信号,再将携带授信确认信号的数据传递出去;
所述策略引擎单元,采用推断方式,通过实际请求中带有的属性进行规则匹配,生成策略集合,再由不同的策略集合组成规则集合;
所述PKI单元,用于公钥的管理单元,包括:引入证书的策略、证书签发、证书认证、证书注销PKI(Public Key Infrastructure)。
所述监测单元,用来通过行为数据检测方式提供异常数据集合。
所述系统还包括:行业规则知识库、企业ID管理中心、通用规则;
所述行业规则知识库与所述所述策略引擎单元相连接,所述企业ID管理中心分别与所述所述策略管理单元和所述策略引擎单元相连接;
所述行业规则知识库,用来提供行业标准规则;如:HIPAA(Helth InsuranceProtability and Accountability Act/1996,Public Law 104-191,国内一般称为HIPAA法案或取其意译为医疗电子交换法案)、GDPR(General Data Protection Regulation,通用数据保护条例);
所述企业ID管理中心,用来提供企业白名单规则;
所述通用规则用来提供基础的规则,包括:基线评定、账号信息。
所述策略集合包括策略A、策略B...策略N中任一策略或者策略的任何排列组合,所述任一策略以及策略的任何排列组合称为策略集合,所述任一策略以及策略的任何排列组合称为策略集合中的元素。
所述规则集合为多条策略集合中的元素组合称为一条规则,多条规则的集合称为规则集合。
6.所述系统在数据层面中还包括:应用服务、数据网关、云服务;
所述应用服务、数据网关、云服务依次顺序相连接;
所述应用服务根据客户需要调用策略管理单元提供的策略集合,接收所述PKI单元传递过来的有关证书的信息,并提供异常数据到所述监测单元;
所述数据网关按照策略管理单元提供的策略集合进行网关数据接收与发送;
所述云服务用来保存数据网关发送过来的数据信息。
所述数据网关具有限流阈值,当达到限流阈值后,所述数据网关将停止数据流转发。
所述系统在数据层面中还包括:资产管理系统;
所述资产管理系统,用来对固定资产信息进行保存并作为接入设备授权证书的有效性提供参照依据资产管理系统也可作为传统意义上的CMDB(Configuration ManagementDatabase,配置管理数据库)使用。
所述接入设备授权证书包括:生物特征证书、硬件特征证书、设备特征码、虚拟机。
所述企业ID管理中心,用来提供白名单规则。
所述资产管理系统,用来对固定资产信息进行保存并作为设备有效性提供参照依据。资产管理系统也可作为传统意义上的CMDB(Configuration Management Database,配置管理数据库)使用。
第二方面,本申请还提供了一种基于零信任模型的私有化安全实现方法,采用所述的一种基于零信任模型的私有化安全系统实现包括如下步骤:
将各种接入设备授权证书接入资产管理系统。
所有设备接入网络将首先将授信请求由设备中携带的接入服务发送至资产管理系统;
使用所述PKI单元进行设备证书的验证;
资产管理系统将证书的属性输入到所述策略管理单元,进行策略匹配,得到授信确认信号;
判断单点登录授权SSO(SingleSignOn,单点登录),当登录授信ID通过验证且该授信ID不在线情况下,则发送授信确认信号并转到下一步;否则无法进行接入;由于需要在授信过程中确认接入设备的唯一性,避免伪装接入情况,需要对登录方式进行鉴别。单点登录方式通过设备授信ID作为登录属性作为判断。当登录授信ID通过且该授信ID不在线情况下,后方可进行接入;
将携带授信确认信号的数据加密之后传递至数据网关。
将各种接入设备授权证书接入资产管理系统,具体包括:
将接入设备授权证书映射到资产管理系统的操作系统中,初次使用将生成设备特征码,并生成唯一授信请求码。
有益技术效果:
通过该技术可以对私有化场景中对于物理级别的接入风险进行有效控制。避免了未经过授权的设备直接接入内网造成数据泄露,也能为设备接入和访问提供更加直观的授权审计记录。
附图说明
构成本申请的一部分的附图用来提供对本申请的进一步理解,使得本申请的其它特征、目的和优点变得更明显。本申请的示意性实施例附图及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例提供的一种基于零信任模型的私有化安全系统原理框图;
图2是根据本申请实施例提供的规则引入示意图;
图3是根据本申请实施例提供的策略集合示意图;
图4是根据本申请实施例提供的一种基于零信任模型的私有化安全实现方法流程图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
在本申请中,术语“上”、“下”、“左”、“右”、“前”、“后”、“顶”、“底”、“内”、“外”、“中”、“竖直”、“水平”、“横向”、“纵向”等指示的方位或位置关系为基于附图所示的方位或位置关系。这些术语主要是为了更好地描述本申请及其实施例,并非用于限定所指示的装置、元件或组成部分必须具有特定方位,或以特定方位进行构造和操作。
并且,上述部分术语除了可以用于表示方位或位置关系以外,还可能用于表示其他含义,例如术语“上”在某些情况下也可能用于表示某种依附关系或连接关系。对于本领域普通技术人员而言,可以根据具体情况理解这些术语在本申请中的具体含义。
另外,术语“多个”的含义应为两个以及两个以上。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
第一方面,本申请提供了一种基于零信任模型的私有化安全系统,如图1所示,包括:策略管理单元、策略引擎单元、PKI单元、监测单元;
所述策略管理单元分别与PKI单元和策略引擎单元相连接,所述策略引擎单元与所述监测单元相连接;
所述策略管理单元,用来保存所有策略集合,客户端通过策略管理单元的确认后,得到授信确认信号,再将携带授信确认信号的数据传递出去;
所述策略引擎单元,采用推断方式,通过实际请求中带有的属性进行规则匹配,生成策略集合,再由不同的策略集合组成规则集合;
所述PKI单元,用于公钥的管理单元,包括:引入证书的策略、证书签发、证书认证、证书注销PKI(Public Key Infrastructure)。
所述监测单元,用来通过行为数据检测方式提供异常数据集合。
所述系统还包括:行业规则知识库、企业ID管理中心、通用规则,如图2所示;
所述行业规则知识库与所述所述策略引擎单元相连接,所述企业ID管理中心分别与所述所述策略管理单元和所述策略引擎单元相连接;
所述行业规则知识库,用来提供行业标准规则;如:HIPAA(Helth InsuranceProtability and Accountability Act/1996,Public Law 104-191,国内一般称为HIPAA法案或取其意译为医疗电子交换法案)、GDPR(General Data Protection Regulation,通用数据保护条例);
所述企业ID管理中心,用来提供企业白名单规则;
如图2所示,当持续检测系统捕获异常、企业ID管理中心停止ID授信、PKI单元停止证书授信等情况时,将通知策略管理服务对策略引擎进行修正,降低请求结果评分,从而实现阻断。当完成处置后,将对策略引擎评分进行重新修订,并进行重新评分,最终完成业务处置。
所述通用规则用来提供基础的规则,包括:基线评定、账号信息。
所述策略集合如图3所示,包括策略A、策略B...策略N中任一策略或者策略的任何排列组合,所述任一策略以及策略的任何排列组合称为策略集合,所述任一策略以及策略的任何排列组合称为策略集合中的元素。
所述规则集合为多条策略集合中的元素组合称为一条规则,多条规则的集合称为规则集合。
所述系统在数据层面中还包括:应用服务、数据网关、云服务;
所述应用服务、数据网关、云服务依次顺序相连接;
所述应用服务根据客户需要调用策略管理单元提供的策略集合,接收所述PKI单元传递过来的有关证书的信息,并提供异常数据到所述监测单元;
所述数据网关按照策略管理单元提供的策略集合进行网关数据接收与发送;默认首次完成授信的请求默认分值为100,限流阈值可通过配置方式进行下发,默认阈值为60。当到达限流阈值后,数据网关将停止该业务数据流转发。
所述云服务用来保存数据网关发送过来的数据信息。
所述数据网关具有限流阈值,当达到限流阈值后,所述数据网关将停止数据流转发。
所述系统在数据层面中还包括:资产管理系统;
所述资产管理系统,用来对固定资产信息进行保存并作为接入设备授权证书的有效性提供参照依据资产管理系统也可作为传统意义上的CMDB(Configuration ManagementDatabase,配置管理数据库)使用。
所述接入设备授权证书包括:生物特征证书、硬件特征证书、设备特征码、虚拟机。
第二方面,本申请还提供了一种基于零信任模型的私有化安全实现方法,采用所述的一种基于零信任模型的私有化安全系统实现包括如下步骤,如图4所示:
步骤S1:将各种接入设备授权证书接入资产管理系统。
步骤S2:所有设备接入网络将首先将授信请求由设备中携带的接入服务发送至资产管理系统;
步骤S3:使用所述PKI单元进行设备证书的验证;
步骤S4:资产管理系统将证书的属性输入到所述策略管理单元,进行策略匹配,得到授信确认信号;
步骤S5:判断单点登录授权SSO(SingleSignOn,单点登录),当登录授信ID通过验证且该授信ID不在线情况下,则发送授信确认信号并转到步骤S6;否则无法进行接入;由于需要在授信过程中确认接入设备的唯一性,避免伪装接入情况,需要对登录方式进行鉴别。单点登录方式通过设备授信ID作为登录属性作为判断。当登录授信ID通过且该授信ID不在线情况下,后方可进行接入;
步骤S6:将携带授信确认信号的数据加密之后传递至数据网关。
除业务请求外,终端及设备的授信将作为基础数据平面的主要组成部分,屏蔽非授信设备的接入,从而避免直接接触导致的安全风险
将各种接入设备授权证书接入资产管理系统,具体包括:
将接入设备授权证书映射到资产管理系统的操作系统中,初次使用将生成设备特征码,并生成唯一授信请求码。
对于授信设备的状态采集及态势感知工作由接入服务完成,该服务以agent方式部署于设备中,其中对于事件捕获规则来自策略管理服务的资源下发,下发过程通过密文方式对数据进行传输,避免通过嗅探方式获取设备相关信息。接入服务应用程序可烧录至设备中,虚拟化服务可通过设备映射方式进行使用,物理设备可直接使用。初次使用将生成设备特征码(设备指纹),完成注册授信后方可进行设备接入。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (10)

1.一种基于零信任模型的私有化安全系统,其特征在于,所述系统在控制层面中应包括:策略管理单元、策略引擎单元、PKI单元、监测单元;
所述策略管理单元分别与PKI单元和策略引擎单元相连接,所述策略引擎单元与所述监测单元相连接;
所述策略管理单元,用来保存所有策略集合,客户端通过策略管理单元的确认后,得到授信确认信号,再将携带授信确认信号的数据传递出去;
所述策略引擎单元,采用推断方式,通过实际请求中带有的属性进行规则匹配,生成策略集合,再由不同的策略集合组成规则集合;
所述PKI单元,用于公钥的管理单元,包括:引入证书的策略、证书签发、证书认证、证书注销PKI;
所述监测单元,用来通过行为数据检测方式提供异常数据集合。
2.如权利要求1所述的基于零信任模型的私有化安全系统,其特征在于,所述系统还包括:行业规则知识库、企业ID管理中心、通用规则;
所述行业规则知识库与所述所述策略引擎单元相连接,所述企业ID管理中心分别与所述所述策略管理单元和所述策略引擎单元相连接;
所述行业规则知识库,用来提供行业标准规则;
所述企业ID管理中心,用来提供企业白名单规则;
所述通用规则用来提供基础的规则,包括:基线评定、账号信息。
3.如权利要求1所述的基于零信任模型的私有化安全系统,其特征在于,所述策略集合包括策略A、策略B...策略N中任一策略或者策略的任何排列组合,所述任一策略以及策略的任何排列组合称为策略集合,所述任一策略以及策略的任何排列组合称为策略集合中的元素。
4.如权利要求1所述的基于零信任模型的私有化安全系统,其特征在于,所述规则集合为多条策略集合中的元素组合称为一条规则,多条规则的集合称为规则集合。
5.如权利要求1所述的基于零信任模型的私有化安全系统,其特征在于,所述系统在数据层面中还包括:应用服务、数据网关、云服务;
所述应用服务、数据网关、云服务依次顺序相连接;
所述应用服务根据客户需要调用策略管理单元提供的策略集合,接收所述PKI单元传递过来的有关证书的信息,并提供异常数据到所述监测单元;
所述数据网关按照策略管理单元提供的策略集合进行网关数据接收与发送;
所述云服务用来保存数据网关发送过来的数据信息。
6.如权利要求1所述的基于零信任模型的私有化安全系统,其特征在于,所述数据网关具有限流阈值,当达到限流阈值后,所述数据网关将停止数据流转发。
7.如权利要求1所述的基于零信任模型的私有化安全系统,其特征在于,所述系统在数据层面中还包括:资产管理系统;
所述资产管理系统,用来对固定资产信息进行保存并作为接入设备授权证书的有效性提供参照依据。
8.如权利要求7所述的基于零信任模型的私有化安全系统,其特征在于,所述接入设备授权证书包括:生物特征证书、硬件特征证书、设备特征码、虚拟机。
9.一种基于零信任模型的私有化安全实现方法,其特征在于,采用如权利要求1-8任一项所述的一种基于零信任模型的私有化安全系统实现,步骤如下:
将各种接入设备授权证书接入资产管理系统;
所有设备接入网络将首先将授信请求由设备中携带的接入服务发送至资产管理系统;
使用所述PKI单元进行设备证书的验证;
资产管理系统将证书的属性输入到所述策略管理单元,进行策略匹配,得到授信确认信号;
判断单点登录授权,当登录授信ID通过验证且该授信ID不在线情况下,则发送授信确认信号并转到下一步;否则无法进行接入;
将携带授信确认信号的数据加密之后传递至数据网关。
10.如权利要求9所述的基于零信任模型的私有化安全实现方法,其特征在于,将各种接入设备授权证书接入资产管理系统,具体包括:
将接入设备授权证书映射到资产管理系统的操作系统中,初次使用将生成设备特征码,并生成唯一授信请求码。
CN202011114456.2A 2020-10-16 2020-10-16 一种基于零信任模型的私有化安全系统及实现方法 Active CN112367188B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011114456.2A CN112367188B (zh) 2020-10-16 2020-10-16 一种基于零信任模型的私有化安全系统及实现方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011114456.2A CN112367188B (zh) 2020-10-16 2020-10-16 一种基于零信任模型的私有化安全系统及实现方法

Publications (2)

Publication Number Publication Date
CN112367188A true CN112367188A (zh) 2021-02-12
CN112367188B CN112367188B (zh) 2023-08-29

Family

ID=74506839

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011114456.2A Active CN112367188B (zh) 2020-10-16 2020-10-16 一种基于零信任模型的私有化安全系统及实现方法

Country Status (1)

Country Link
CN (1) CN112367188B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115037626A (zh) * 2022-06-17 2022-09-09 阿里巴巴(中国)有限公司 一种策略管理方法、装置、系统及电子设备

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120117608A1 (en) * 2010-11-09 2012-05-10 Motorola, Inc. Certificate policy management tool
CN104202303A (zh) * 2014-08-11 2014-12-10 华中科技大学 一种sdn应用的策略冲突检测方法及系统
US20170223026A1 (en) * 2016-02-01 2017-08-03 General Electric Company System and method for zone access control
CN108494729A (zh) * 2018-02-07 2018-09-04 北京卓讯科信技术有限公司 一种零信任模型实现系统
CN109074346A (zh) * 2016-02-25 2018-12-21 阿克斯美国股份有限公司 用于在移动边缘进行计算的平台
CN110417776A (zh) * 2019-07-29 2019-11-05 大唐高鸿信安(浙江)信息科技有限公司 一种身份认证方法及装置
US10511590B1 (en) * 2018-10-23 2019-12-17 Cisco Technology, Inc. System and method of verifying network communication paths between applications and services
CN110971568A (zh) * 2018-09-29 2020-04-07 零氪科技(北京)有限公司 一种封闭系统数据对接装置及方法
US20200162431A1 (en) * 2018-11-20 2020-05-21 Netskope, Inc. Zero trust and zero knowledge application access system
CN111314282A (zh) * 2019-12-06 2020-06-19 李刚 零信任网络安全系统
CN111726366A (zh) * 2020-06-30 2020-09-29 成都卫士通信息产业股份有限公司 设备通信方法、装置、系统、介质和电子设备

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120117608A1 (en) * 2010-11-09 2012-05-10 Motorola, Inc. Certificate policy management tool
CN104202303A (zh) * 2014-08-11 2014-12-10 华中科技大学 一种sdn应用的策略冲突检测方法及系统
US20170223026A1 (en) * 2016-02-01 2017-08-03 General Electric Company System and method for zone access control
CN109074346A (zh) * 2016-02-25 2018-12-21 阿克斯美国股份有限公司 用于在移动边缘进行计算的平台
CN108494729A (zh) * 2018-02-07 2018-09-04 北京卓讯科信技术有限公司 一种零信任模型实现系统
CN110971568A (zh) * 2018-09-29 2020-04-07 零氪科技(北京)有限公司 一种封闭系统数据对接装置及方法
US10511590B1 (en) * 2018-10-23 2019-12-17 Cisco Technology, Inc. System and method of verifying network communication paths between applications and services
US20200162431A1 (en) * 2018-11-20 2020-05-21 Netskope, Inc. Zero trust and zero knowledge application access system
CN110417776A (zh) * 2019-07-29 2019-11-05 大唐高鸿信安(浙江)信息科技有限公司 一种身份认证方法及装置
CN111314282A (zh) * 2019-12-06 2020-06-19 李刚 零信任网络安全系统
CN111726366A (zh) * 2020-06-30 2020-09-29 成都卫士通信息产业股份有限公司 设备通信方法、装置、系统、介质和电子设备

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115037626A (zh) * 2022-06-17 2022-09-09 阿里巴巴(中国)有限公司 一种策略管理方法、装置、系统及电子设备
CN115037626B (zh) * 2022-06-17 2024-03-08 阿里巴巴(中国)有限公司 一种策略管理方法、装置、系统及电子设备

Also Published As

Publication number Publication date
CN112367188B (zh) 2023-08-29

Similar Documents

Publication Publication Date Title
CN103532981B (zh) 一种面向多租户的身份托管鉴权云资源访问控制系统及控制方法
US9166966B2 (en) Apparatus and method for handling transaction tokens
US20170289134A1 (en) Methods and apparatus for assessing authentication risk and implementing single sign on (sso) using a distributed consensus database
CN100591011C (zh) 一种认证方法及系统
US8971537B2 (en) Access control protocol for embedded devices
US8572686B2 (en) Method and apparatus for object transaction session validation
US8806602B2 (en) Apparatus and method for performing end-to-end encryption
CN106921678A (zh) 一种集成异构舰载信息系统的统一安全认证平台
CN101986598B (zh) 认证方法、服务器及系统
US8752157B2 (en) Method and apparatus for third party session validation
CN108881218B (zh) 一种基于云存储管理平台的数据安全增强方法及系统
US8572690B2 (en) Apparatus and method for performing session validation to access confidential resources
CN108011873A (zh) 一种基于集合覆盖的非法连接判断方法
CN108966216A (zh) 一种应用于配电网的移动通信方法及装置
CN112347451A (zh) 一种基于区块链技术的mes数据管理追踪方法及系统
US8572724B2 (en) Method and apparatus for network session validation
CN101635704A (zh) 一种基于可信技术的应用安全交换平台
CN112367188B (zh) 一种基于零信任模型的私有化安全系统及实现方法
CN112261103A (zh) 一种节点接入方法及相关设备
CN116886343A (zh) 一种基于持续认证的用户访问控制方法及系统
CN105790935A (zh) 基于自主软硬件技术的可信认证服务器
US8572688B2 (en) Method and apparatus for session validation to access third party resources
US8584201B2 (en) Method and apparatus for session validation to access from uncontrolled devices
CN101026454A (zh) 一种用户终端接入软交换系统的安全交互方法
CN114036490A (zh) 外挂软件接口调用安全认证方法、USBKey驱动装置及认证系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant