CN113179253B - 一种部署零信任网络的方法和代理服务器 - Google Patents

一种部署零信任网络的方法和代理服务器 Download PDF

Info

Publication number
CN113179253B
CN113179253B CN202110343399.3A CN202110343399A CN113179253B CN 113179253 B CN113179253 B CN 113179253B CN 202110343399 A CN202110343399 A CN 202110343399A CN 113179253 B CN113179253 B CN 113179253B
Authority
CN
China
Prior art keywords
url
information
url resource
application
proxy server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110343399.3A
Other languages
English (en)
Other versions
CN113179253A (zh
Inventor
乔兴华
邹文宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Security Technologies Co Ltd
Original Assignee
New H3C Security Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Security Technologies Co Ltd filed Critical New H3C Security Technologies Co Ltd
Priority to CN202110343399.3A priority Critical patent/CN113179253B/zh
Publication of CN113179253A publication Critical patent/CN113179253A/zh
Application granted granted Critical
Publication of CN113179253B publication Critical patent/CN113179253B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本说明书提供一种部署零信任网络的方法和代理服务器,该方法包括:代理服务器中设有前置URL资源组和后置URL资源组,接收用户通过IAM完成权限认证后的访问请求,所述访问请求中携带待访问的URL信息和Token信息,利用所述待访问的URL信息,对代理服务器中设置的前置URL资源组和/或后置URL资源组进行匹配,并根据匹配结果确定所述用户需要访问前置URL资源或后置URL资源,根据所述Token信息和匹配结果访问前置URL资源或后置URL资源。通过该方法可构建零信任网络。

Description

一种部署零信任网络的方法和代理服务器
技术领域
本公开涉及通信技术领域,尤其涉及一种部署零信任网络的方法和代理服务器。
背景技术
传统的网络安全架构把不同的网络(或单个网络的一部分)划分为不同的安全区域,如外网、内网、DMZ等,不同区域之间通过防火墙进行隔离,并使用WAF和IPS等网络安全技术手段进行防护。
这种网络安全架构预设了一个前提,即内网的访问是安全的,因而,内网的安全防护措施往往比较薄弱。随着技术的不断演变和进步,这种基于网络边界的防护架构已经逐渐失去了原有的价值。一方面,由于缺乏网络内部的安全防护,一旦攻击者通过黑客技术攻入边界,便可以伪装成合法的流量在网络中畅通无阻;另一方面,随着公有云技术的兴起,计算和存储资源运行在云端且为共享的,服务提供商的网络缺陷以及其他租户的服务漏洞都可能对自身业务安全构成风险。
发明内容
本公开提供了一种部署零信任网络的方法和代理服务器,通过该方法,对于未进行前后端资源明确划分以及API权限认证实施有困难的WEB应用系统提供一种避免大规模系统改造的部署方案,实现部署零信任网络。
本公开实施例提供了一种部署零信任网络的方法,该方法应用于代理服务器中,该方法包括:
所述代理服务器中设有前置URL资源组和后置URL资源组;
接收用户通过IAM完成权限认证后的访问请求,所述访问请求中携带待访问的URL信息和Token信息;
利用所述待访问的URL信息,对代理服务器中设置的前置URL资源组和/或后置URL资源组进行匹配,并根据匹配结果确定所述用户需要访问前置URL资源或后置URL资源;
根据所述Token信息和匹配结果访问前置URL资源或后置URL资源。
可选的,所述代理服务器被配置为可信任代理服务器。
可选的,所述代理服务器中设有前置URL资源组和后置URL资源组,具体包括:
将网络的前置应用资源对应的URL信息存于前置URL资源组中,将网络的后置应用资源对应的URL信息存于后置URL资源组中。
可选的,所述根据所述Token信息和匹配结果访问前置URL资源或后置URL资源,包括:
若匹配结果为访问前置URL资源,则提取所述访问请求中的Token信息,并封装为应用鉴权消息,经由IAM鉴权通过后,将请求转发给前置应用。
可选的,所述根据所述Token信息和匹配结果访问前置URL资源或后置URL资源,包括:
若匹配结果为访问后置URL资源,则提取所述访问请求中的Token信息,并获取输入该后置URL资源的应用ID,根据所述应用ID以及Token信息构造请求信息,将请求信息转发给后置应用。
通过该方法,可以对未进行前后端资源明确划分以及API权限认证实施有困难的WEB应用系统,部署零信任网络。
本公开实施例还提供了一种代理服务器,所述代理服务器设置有前置URL资源组和后置URL资源组,所述代理服务器包括:
接收模块,用于接收用户通过IAM完成权限认证后的访问请求,所述访问请求中携带待访问的URL信息和Token信息;
第一处理模块,用于利用所述待访问的URL信息,对代理服务器中设置的前置URL资源组和/或后置URL资源组进行匹配,并根据匹配结果确定所述用户需要访问前置URL资源或后置URL资源;
第二处理模块,用于根据所述Token信息和匹配结果访问前置URL资源或后置URL资源。
可选的,所述代理服务器被配置为可信任代理服务器。
可选的,将网络的前置应用资源对应的URL信息存于前置URL资源组中,将网络的后置应用资源对应的URL信息存于后置URL资源组中。
可选的,所述第二处理模块,具体用于若匹配结果为访问前置URL资源,则提取所述访问请求中的Token信息,并封装为应用鉴权消息,经由IAM鉴权通过后,将请求转发给前置应用。
可选的,所述第二处理模块,具体用于若匹配结果为访问后置URL资源,则提取所述访问请求中的Token信息,并获取输入该后置URL资源的应用ID,根据所述应用ID以及Token信息构造请求信息,将请求信息转发给后置应用。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本说明书的实施例,并与说明书一起用于解释本说明书的原理。
图1为本公开实施例提供的一种部署零信任网络的方法的流程示意图。
图2为本公开实施例提供的一种网络架构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本说明书的一些方面相一致的装置和方法的例子。
在本说明书使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书。在本说明书和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本说明书可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本说明书范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
目前,基于零信任安全架构对安全防护给出了新的解决思路,可解决目前网络边界的防护架构存在的问题,具体的,默认情况下不信任网络内部和外部的任何人、设备、系统和应用,而是基于认证和授权重构访问控制的信任基础,而且这种授权和信任不是静态的,它需要基于对访问主体的风险度量进行动态调整。简单来说,即要使用身份作为新的防护边界,并且根据流量行为实时调整访问策略。
然而,零信任安全网络中对前置应用资源和后置应用资源有非常明确的划分,且前置应用访问后置应用提供的API前,需要前置应用预先进行认证操作,这种方式非常适合近年来兴起的微服务架构,而采用传统网络边界防护架构、期望进行零信任升级的众多WEB应用系统,其构建时可能并未考虑到这种资源区分和认证需求,从而导致大量的应用和数据没有进行资源拆分,以及系统普遍支持基于用户身份的认证但缺乏针对应用认证的功能。
为解决上述技术问题,本公开实施例提供了一种部署零信任网络的方法,如图1所示,该方法应用于代理服务器中,该方法包括:
S101所述代理服务器中设有前置URL资源组和后置URL资源组;
S102接收用户通过IAM完成权限认证后的访问请求,所述访问请求中携带待访问的URL信息和Token信息;
S103利用所述待访问的URL信息,对代理服务器中设置的前置URL资源组和/或后置URL资源组进行匹配,并根据匹配结果确定所述用户需要访问前置URL资源或后置URL资源;
S104根据所述Token信息和匹配结果访问前置URL资源或后置URL资源。
如图2所示,在本实施例中,代理服务器中配置有可信接入代理和可信API代理,在可信接入代理中设置有前置URL资源组和后置URL资源组,其中,前置URL资源组中设有前置应用资源对应的URL信息(示例性的,该前置应用可为WEB应用,即直接面对用户的应用);后置URL资源组中设有后置应用资源对应的URL信息(该后置应用可被理解为应用的后端资源数据)。即明确可信接入代理和可信API代理的防护资源范围。
在本实施例中,代理服务器被设置为可信任的代理服务器。
一种实例中,可信接入代理中配置以下前置资源组信息,包含:在权限管理中心中标识应用身份的ID、应用URL。
可信接入代理中配置以下后置资源组信息,包含在权限管理中心中标识API身份的ID、API URL。
在步骤S102中,用户通过客户端发送访问请求来请求应用服务,代理服务器将该访问请求重定向至IAM进行登录。
用户通过输入相应的登录信息(账号和/或密码)进行IAM权限认证,待认证成功后,携带Token信息重定向至可信接入代理,以使客户端通过携带Token信息的访问请求。
在步骤S103中,利用待访问的URL信息,例如待访问的URL信息为http://a.com/app1,可信接入代理在收到请求后对代理服务器中设置的前置URL资源组和/或后置URL资源组进行匹配,具体可匹配前置URL资源组和/或后置URL资源组中的URL信息。
若与前置URL资源组中的信息匹配,则可确定用户访问目标为前置资源。
当确定用户访问目标为前置资源时,则提取所述访问请求中的Token信息,合并应用URL一起封装鉴权请求发送至IAM,经后者鉴权通过后转发给相应服务器。
在另一种实施例中,若用户在访问前置资源(如上例中的http://a.com/app1)时,触发访问http://a.com/data1/(该触发访问包括:用户通过前置资源输入的触发访问http://a.com/data1/,或者前置资源被用户调用时,前置资源自发触发访问http://a.com/data1/),利用http://a.com/data1/对前置URL资源组进行匹配,若未匹配成功,则可对后置URL资源组进行匹配(需要说明的是,先匹配前置URL资源或者先匹配后置URL资源,在本实施例中无顺序限制)。
若与后置URL资源组中的信息匹配,则可确定用户访问目标为后置资源(此时可同时获取匹配的API ID),此时,可信接入代理进一步提取请求中的用户Token和referer字段,其中referer字段内容为http://a.com/app1/,使用该referer字段可匹配前置URL资源组,从前置URL资源组中获取http://a.com/app1对应的应用身份ID;可信接入代理使用用户Token、应用ID封装请求向IAM做权限认证,认证通过后获得应用Token(权限中心需要同时认证API的情况下可以携带API ID一起做权限认证)。可信接入代理将http://a.com/data1/请求报文中通过插入HTTP header的方式携带上用户Token和应用Token,发给可信API代理。
可信API代理从请求中提取用户Token和应用Token,封装API鉴权请求发给IAM,经后者鉴权通过后发给相应服务器。
从上述实施例可以看出,对未进行前后端资源明确划分以及API权限认证实施有困难的业务系统提供一种过渡性的零信任升级方案,在可信接入代理和可信API代理上完成资源划分,并由可信接入代理完成用户&应用对API权限的认证功能,避免原有应用系统大规模改造。
基于上述的方法实施例,本公开实施例还提供了一种代理服务器,所述代理服务器设置有前置URL资源组和后置URL资源组,所述代理服务器包括:
接收模块,用于接收用户通过IAM完成权限认证后的访问请求,所述访问请求中携带待访问的URL信息和Token信息;
第一处理模块,用于利用所述待访问的URL信息,对代理服务器中设置的前置URL资源组和/或后置URL资源组进行匹配,并根据匹配结果确定所述用户需要访问前置URL资源或后置URL资源;
第二处理模块,用于根据所述Token信息和匹配结果访问前置URL资源或后置URL资源。
其中,所述代理服务器被配置为可信任代理服务器。
其中,将网络的前置应用资源对应的URL信息存于前置URL资源组中,将网络的后置应用资源对应的URL信息存于后置URL资源组中。
其中,所述第二处理模块,具体用于若匹配结果为访问前置URL资源,则提取所述访问请求中的Token信息,并封装为应用鉴权消息,经由IAM鉴权通过后,将请求转发给前置应用。
其中,所述第二处理模块,具体用于若匹配结果为访问后置URL资源,则提取所述访问请求中的Token信息,并获取输入该后置URL资源的应用ID,根据所述应用ID以及Token信息构造请求信息,将请求信息转发给后置应用。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本领域技术人员在考虑说明书及实践这里申请的发明后,将容易想到本说明书的其它实施方案。本说明书旨在涵盖本说明书的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本说明书的一般性原理并包括本说明书未申请的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本说明书的真正范围和精神由下面的权利要求指出。
应当理解的是,本说明书并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本说明书的范围仅由所附的权利要求来限制。
以上所述仅为本说明书的较佳实施例而已,并不用以限制本说明书,凡在本说明书的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本说明书保护的范围之内。

Claims (10)

1.一种部署零信任网络的方法,其特征在于,所述方法应用于代理服务器中,所述方法包括:
所述代理服务器中设有前置URL资源组和后置URL资源组;
接收用户通过IAM完成权限认证后的访问请求,所述访问请求中携带待访问的URL信息和Token信息;
利用所述待访问的URL信息,对代理服务器中设置的前置URL资源组和/或后置URL资源组进行匹配,并根据匹配结果确定所述用户需要访问前置URL资源或后置URL资源;
根据所述Token信息和匹配结果访问前置URL资源或后置URL资源。
2.根据权利要求1所述的方法,其特征在于,所述代理服务器被配置为可信任代理服务器。
3.根据权利要求1所述的方法,其特征在于,所述代理服务器中设有前置URL资源组和后置URL资源组,具体包括:
将网络的前置应用资源对应的URL信息存于前置URL资源组中,将网络的后置应用资源对应的URL信息存于后置URL资源组中。
4.根据权利要求1所述的方法,其特征在于,所述根据所述Token信息和匹配结果访问前置URL资源或后置URL资源,包括:
若匹配结果为访问前置URL资源,则提取所述访问请求中的Token信息,并封装为应用鉴权消息,经由IAM鉴权通过后,将请求转发给前置应用。
5.根据权利要求1所述的方法,其特征在于,所述根据所述Token信息和匹配结果访问前置URL资源或后置URL资源,包括:
若匹配结果为访问后置URL资源,则提取所述访问请求中的Token信息,并获取输入该后置URL资源的应用ID,根据所述应用ID以及Token信息构造请求信息,将请求信息转发给后置应用。
6.一种代理服务器,其特征在于,所述代理服务器设置有前置URL资源组和后置URL资源组,所述代理服务器包括:
接收模块,用于接收用户通过IAM完成权限认证后的访问请求,所述访问请求中携带待访问的URL信息和Token信息;
第一处理模块,用于利用所述待访问的URL信息,对代理服务器中设置的前置URL资源组和/或后置URL资源组进行匹配,并根据匹配结果确定所述用户需要访问前置URL资源或后置URL资源;
第二处理模块,用于根据所述Token信息和匹配结果访问前置URL资源或后置URL资源。
7.根据权利要求6所述的代理服务器,其特征在于,所述代理服务器被配置为可信任代理服务器。
8.根据权利要求6所述的代理服务器,其特征在于,将网络的前置应用资源对应的URL信息存于前置URL资源组中,将网络的后置应用资源对应的URL信息存于后置URL资源组中。
9.根据权利要求6所述的代理服务器,其特征在于,所述第二处理模块,具体用于若匹配结果为访问前置URL资源,则提取所述访问请求中的Token信息,并封装为应用鉴权消息,经由IAM鉴权通过后,将请求转发给前置应用。
10.根据权利要求6所述的代理服务器,其特征在于,所述第二处理模块,具体用于若匹配结果为访问后置URL资源,则提取所述访问请求中的Token信息,并获取输入该后置URL资源的应用ID,根据所述应用ID以及Token信息构造请求信息,将请求信息转发给后置应用。
CN202110343399.3A 2021-03-30 2021-03-30 一种部署零信任网络的方法和代理服务器 Active CN113179253B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110343399.3A CN113179253B (zh) 2021-03-30 2021-03-30 一种部署零信任网络的方法和代理服务器

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110343399.3A CN113179253B (zh) 2021-03-30 2021-03-30 一种部署零信任网络的方法和代理服务器

Publications (2)

Publication Number Publication Date
CN113179253A CN113179253A (zh) 2021-07-27
CN113179253B true CN113179253B (zh) 2022-04-01

Family

ID=76922652

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110343399.3A Active CN113179253B (zh) 2021-03-30 2021-03-30 一种部署零信任网络的方法和代理服务器

Country Status (1)

Country Link
CN (1) CN113179253B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106230806A (zh) * 2016-07-26 2016-12-14 中国南方电网有限责任公司信息中心 混合数据在内外网隔离环境下的定制协议通讯系统和方法
CN111314282A (zh) * 2019-12-06 2020-06-19 李刚 零信任网络安全系统
CN112311788A (zh) * 2020-10-28 2021-02-02 北京锐安科技有限公司 一种访问控制方法、装置、服务器及介质

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101495990B (zh) * 2005-12-02 2011-09-14 思杰系统有限公司 用于提供从代理服务器到虚拟计算环境的身份验证证明以访问远程资源的方法和设备
US11411958B2 (en) * 2019-01-18 2022-08-09 Cisco Technology, Inc. Machine learning-based application posture for zero trust networking

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106230806A (zh) * 2016-07-26 2016-12-14 中国南方电网有限责任公司信息中心 混合数据在内外网隔离环境下的定制协议通讯系统和方法
CN111314282A (zh) * 2019-12-06 2020-06-19 李刚 零信任网络安全系统
CN112311788A (zh) * 2020-10-28 2021-02-02 北京锐安科技有限公司 一种访问控制方法、装置、服务器及介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于零信任安全架构的机场网络安全防护方案;钟翔等;《民航学报》;20190525(第03期);全文 *

Also Published As

Publication number Publication date
CN113179253A (zh) 2021-07-27

Similar Documents

Publication Publication Date Title
CN114615328B (zh) 一种安全访问控制系统和方法
US9237168B2 (en) Transport layer security traffic control using service name identification
US8683607B2 (en) Method of web service and its apparatus
CN111586025B (zh) 一种基于sdn的sdp安全组实现方法及安全系统
CN107872456A (zh) 网络入侵防御方法、装置、系统及计算机可读存储介质
US10931686B1 (en) Detection of automated requests using session identifiers
US20090055930A1 (en) Content Security by Network Switch
US11570203B2 (en) Edge network-based account protection service
US20170085567A1 (en) System and method for processing task resources
US11818149B2 (en) Content delivery network (CDN) edge server-based bot detection with session cookie support handling
CN111314381A (zh) 安全隔离网关
CN115996122A (zh) 访问控制方法、装置及系统
CN109962892A (zh) 一种登录应用的认证方法及客户端、服务器
CN111182537A (zh) 移动应用的网络接入方法、装置及系统
CN116319024A (zh) 零信任系统的访问控制方法、装置及零信任系统
CN113179253B (zh) 一种部署零信任网络的方法和代理服务器
CN113343278B (zh) 一种防御csrf攻击的登录请求校验方法及装置
Wang et al. A framework for formal analysis of privacy on SSO protocols
CN110875903A (zh) 一种安全防御方法及设备
JP7411775B2 (ja) インラインマルウェア検出
CN106888186A (zh) 移动终端支付类应用程序安全支付方法及装置
EP4037361A1 (en) System and method for securing a communication network
CN117061140A (zh) 一种渗透防御方法和相关装置
Qiu et al. An Empirical Study of OAuth-Based SSO System on Web
CN116506214A (zh) 蜜罐引流系统及蜜罐引流方法、相关设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant