CN113572738A - 一种零信任网络架构及构建方法 - Google Patents

Abstract

本公开提供了一种零信任网络架构及构建方法，包括：控制器、云网关、边缘网关以及终端代理；边缘网关与云网关通信连接，云网关、边缘网关和终端代理分别与控制器通信连接，云网关和边缘网关分别与客户端通信连接；控制器用于控制客户端、云网关和边缘网关的注册登录流程，并进行路由策略和授权访问控制策略的下发；边缘网关用于对资源安全访问的控制，云网关用于客户端跨区域访问资源时的路由；终端代理部署在客户端，通过与云网关和边缘网关建立隧道，对授权的资源进行安全访问；网络位置边界不再决定访问权限，在访问被允许之前，所有的访问主体都需要经过身份认证和授权，解决了目前边界模糊的企业网络架构带来的安全威胁。

Description

一种零信任网络架构及构建方法

技术领域

本公开涉及网络安全技术领域，特别涉及一种零信任网络架构及构建方法。

背景技术

本部分的陈述仅仅是提供了与本公开相关的背景技术，并不必然构成现有技术。

目前很多企业对于资源的访问保护采用的方式是划分安全区域，首先把网络划分为外网、内网和DMZ等不同的安全区域，在不同的安全区域之间就形成网络边界，然后在网络边界处部署安全设备，包括防火墙、IDS、IPS、WAF等网络安全技术手段，对来自边界外部的各种攻击行为进行防范，以此构建企业的网络安全体系。这种传统的安全理念中网络位置决定了信任程度，在安全区域边界外的用户默认是不可信的，安全区域边界内的用户会被授予高信任等级来访问企业的敏感资源，他们默认是可信的。

随着云计算、无线互联、物联网、大数据等新兴技术的发展，并且随着业务迁移到云端，APT攻击的泛滥，以及移动办公的趋势，企业的数据不再局限在内网，组织原本建立的内外网边界变得越来越模糊，也有更多的技术手段可以轻易突破网络边界，网络安全不再止于边界安全，尤其现在安全重心逐渐转移到数据安全，应该充分重视企业内网的数据安全，而传统的基于边界的网络安全架构和解决方案已经难以适应现代企业网络基础设施。

发明内容

为了解决现有技术的不足，本公开提供了一种零信任网络架构及构建方法，网络位置边界不再决定访问权限，在访问被允许之前，所有的访问主体(包括传统的内、外网用户和设备等)都需要经过身份认证和授权，解决了目前边界模糊的企业网络架构带来的安全威胁。

为了实现上述目的，本公开采用如下技术方案：

本公开第一方面提供了一种零信任网络架构。

一种零信任网络架构，包括：控制器、云网关、边缘网关以及终端代理；

边缘网关与云网关通信连接，云网关、边缘网关和终端代理分别与控制器通信连接，云网关和边缘网关分别与客户端通信连接；

控制器用于控制客户端、云网关和边缘网关的注册登录流程，并进行路由策略和授权访问控制策略的下发；

边缘网关用于对资源安全访问的控制，云网关用于客户端跨区域访问资源时的路由；

终端代理部署在客户端，通过与云网关和边缘网关建立隧道，对授权的资源进行安全访问。

进一步的，控制器完成安装后，通过控制器进行如下操作：添加区域、添加用户、添加云网关、添加边缘网关、添加应用和添加用户授权。

本公开第二方面提供了一种零信任网络架构的构建方法，包括以下过程：

云网关完成安装和初始化后，向控制器发送SPA包敲门验证成功后，进行注册流程，注册流程成功后，向控制器进行登录流程；

登录成功后，控制器会更新关联云网关、边缘网关和在线终端组件的隧道信息，生成新版本，云网关登录成功后完成策略更新。

进一步的，云网关策略更新，包括以下过程：

云网关登录成功后，从配置文件获取设备类型和识别码；

向控制器发送策略请求，请求消息中包含设备类型、设备识别码以及当前策略版本号，控制器检查云网关的策略版本是否有更新；

如果有更新则向云网关下发新版本的策略信息，其中包含隧道信息；云网关收到新版本策略后，与当前版本进行比较，依据版本比较结果更新隧道信息；

云网关监听唯一标识自己的识别码的消息队列频道，当终端上下线的时候，控制器进行计算是否需要向关联的云网关发送隧道更新消息，当有更新隧道信息到来，云网关获取该信息进行隧道更新。

本公开第三方面提供了一种零信任网络架构的构建方法，包括以下过程：

边缘网关完成安装和初始化后，向控制器发送SPA包敲门验证成功后，进行注册流程，注册流程成功后，向控制器进行登录流程；

登录成功后，控制器更新关联边缘网关和在线终端的隧道信息生成新版本，边缘网关登录成功后完成策略更新流程。

进一步的，边缘网关策略更新，包括以下过程：

边缘网关登录成功后，从配置文件获取设备类型和识别码；

向控制器发送策略请求，请求消息中包含设备类型、设备识别码以及当前策略版本号，控制器将检查边缘网关的策略版本是否有更新；

如果有更新则向边缘网关下发新版本的策略信息，其中包含隧道信息和授权信息；

边缘网关收到新版本策略后，与当前版本进行比较，依据版本比较结果更新隧道信息和授权信息；

边缘网关会监听唯一标识自己的识别码的消息队列频道，当终端上下线的时候，控制器进行计算是否需要向关联的边缘网关发送隧道更新和授权更新消息，当有更新隧道和授权信息到来，边缘网关获取该信息进行隧道更新和授权更新。

本公开第四方面提供了一种零信任网络架构的构建方法，包括以下过程：

终端安装和初始化后，向控制器发送SPA包敲门验证成功后，进行注册流程，注册流程成功后，向控制器进行登录流程；

登录成功后，控制器在消息中间件中向网关发送更新隧道和授权信息的消息，终端创建隧道，终端登录成功后完成策略更新流程。

进一步的，终端策略更新，包括以下过程：

终端策略更新流程，终端每隔预设时间会向控制器发送请求更新策略，控制器检查策略版本是否与最新策略相同，如果相同则发送确认信息，否则发送新版本策略，终端根据新版本更新隧道信息。

进一步的，控制器、云网关、边缘网关和终端处理流程结束后，针对预设场景进行路由及授权信息更新，预设场景包括：添加资源、终端上线或下线，添加或移除授权、删除资源和更改资源。

进一步的，路由及隧道策略更新，包括以下过程：

当添加资源时，需要对所有的云网关进行更改隧道信息的操作；

当终端上下线时，更新与用户关联的云网关和边缘网关的隧道信息，如果用户已有授权的资源，则更改对应资源相关联的边缘网关的防火墙规则；

当添加或移除授权时，授权信息是通过用户-资源对进行保存的，如果其中对应的用户在线，更新该用户的隧道中的路由信息，同时更新该资源关联的边缘网关的防火墙规则；

当删除资源时，对与资源想关联的授权信息进行移除授权操作，对所有的云网关的隧道路由信息进行更新；

当更改资源时，如果是更改描述，则将更改的描述信息下发给已授权的用户，如果更改IP或相关联的网关，则按顺序进行删除资源操作，添加资源操作，添加授权操作，其中添加授权为该资源原有的授权。

与现有技术相比，本公开的有益效果是：

1、本公开所述的架构及方法，网络位置边界不再决定访问权限，在访问被允许之前，所有的访问主体(包括传统的内、外网用户和设备等)都需要经过身份认证和授权，解决了目前边界模糊的企业网络架构带来的安全威胁。

2、本公开所述的架构及方法，实现了SPA(单包授权认证)：控制器只有接收到终端和网关(包括云网关和边缘网关)发出的SPA包，验证合法之后，才能对该终端下发隧道信息以及授权访问资源的策略，可以屏蔽绝大多数非法用户的网络攻击，让Nmap端口扫描、DDoS等攻击方式都失效。

3、本公开所述的架构及方法，实现了MTLS(双向认证)：终端、网关与控制器之间的通信是加密的，而且是双向认证，控制器需要认证终端和网关，终端、网关也要认证控制器。双向的认证保证了中间人攻击无法奏效。

4、本公开所述的架构及方法，支持云端部署：对于控制器和云网关可以部署在阿里云、华为云等公有云上，方便对不同地区的云网关进行统一维护，同时也便于控制器和云网关组件的扩展，提升了其高可用性。

5、本公开所述的架构及方法，实现了设备验证：对设备证书进行验证，只有合法设备才会安装证书，证书参与通信数据的加密过程，保证连接都是来自合法设备。

6、本公开所述的架构及方法，实现了最小化授权：用户只能访问对其授权的应用。这符合“最小化授权”原则，保证了威胁无法横向扩展，增加了内网数据的安全性。

本公开附加方面的优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本公开的实践了解到。

附图说明

构成本公开的一部分的说明书附图用来提供对本公开的进一步理解，本公开的示意性实施例及其说明用于解释本公开，并不构成对本公开的不当限定。

图1为本公开实施例1提供的零信任网络架构的示意图。

图2为本公开实施例1提供的零信任网络架构的构建方法流程示意图。

具体实施方式

下面结合附图与实施例对本公开作进一步说明。

应该指出，以下详细说明都是示例性的，旨在对本公开提供进一步的说明。除非另有指明，本文使用的所有技术和科学术语具有与本公开所属技术领域的普通技术人员通常理解的相同含义。

需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本公开的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，当在本说明书中使用术语“包含”和/或“包括”时，其指明存在特征、步骤、操作、器件、组件和/或它们的组合。

在不冲突的情况下，本公开中的实施例及实施例中的特征可以相互组合。

实施例1：

如图1所示，本公开实施例1提供了一种零信任网络架构，网络位置边界不再决定访问权限，在访问被允许之前，所有的访问主体(包括传统的内、外网用户和设备等)都需要经过身份认证和授权，解决目前边界模糊的企业网络架构带来的安全威胁。

SDP技术架构国际云安全联盟CSA提出，包括IH、AH和SDP Controller三大组件，三大组件关系分为控制平面和数据平面。本实施例采用的架构方案沿用控制面和数据面两个平面，结合实际业务场景，规划了控制器、云网关、边缘网关以及终端代理四大组件。

控制面是系统中进行信令数据流交互的网络平面，包括终端代理与控制器之间的交互，边缘网关与控制器之间的交互，以及云网关与控制器之间的交互。

数据面是系统中进行业务数据流交互的网络平面，包括终端应用与边缘网关之间的隧道以及边缘网关与云网关之间的隧道，终端应用通过这些隧道对资源进行访问，资源是指任何受访问控制的应用、服务、数据库等。

控制器组件是整个架构的认证和管理中心，数据处理中心，相当于整个架构的大脑，负责对所有接入的终端、云网关和边缘网关进行管理，处理客户端、云网关和边缘网关的注册登录流程，并且负责路由策略和授权访问控制策略的下发。

边缘网关组件是数据面的核心组件，负责对访问业务应用的数据流进行验证和过滤，主要用于对资源安全访问的控制。采用隧道模式场景，用户终端通过和边缘网关之间建立的隧道来访问应用。

云网关组件用于本地PC访问异地资源时，将访问流量路由到异地云网关直至异地边缘网关，从而达到访问异地资源的目的。

终端代理组件部署在用户终端上，通过与控制器通信，对终端设备进行注册和登录，获取相关配置信息和访问控制策略；通过与网关(包括云网关和边缘网关)通信，创建与网关之间的隧道；终端上的应用通过隧道对授权的资源进行安全访问。

实施例2：

如图2所示，本公开实施例1提供了一种零信任网络架构的构建方法，包括：

控制器初始化流程：

控制器安装完成后机构管理员需要登录控制器，进行一些初始化操作，包括：

添加区域，管理员需要输入机构所包含的区域的信息，主要包括区域名称，描述，规划的虚拟IP段(不能与企业已使用的私网IP冲突)；

添加用户，用户信息包括：名称，所属部门，手机，邮箱等；

添加云网关，云网关信息包括：名称，集群区域，管理员手机，管理员邮箱等；

添加边缘网关，边缘网关信息包括：名称，机构区域，管理员手机，管理员邮箱等；

添加应用，应用的信息包括：应用名称，IP+PORT，描述，关联的边缘网关等，应用添加成功后，控制器需要更新相关联云网关和边缘网关上的隧道信息；

添加用户授权，用户授权主要指给特定的用户或部门授予访问某个应用的权限。授权成功后，除了更新授权用户的授权信息，还需要更新关联的边缘网关上的授权信息。

云网关注册流程：

云网关在完成安装和初始化后，首先向控制器发送一个SPA包，验证成功后，云网关需要向控制器注册，新建配置文件输入控制器服务地址(URL地址)，设备类型，设备ID和网关的隧道监听IP+端口的信息，通过Wireguard工具生成公私钥写入配置文件；启动注册程序读取配置文件获取配置信息包括：云网关ID，云网关隧道监听IP+PORT，网关隧道公钥，注册程序向控制器服务接口发送以上注册信息；控制器收到注册信息，修改云网关的注册状态为已注册，保存云网关的隧道信息，给云网关返回注册成功消息，如果注册失败则返回重新进行云网关注册流程。

云网关登录流程：

云网关注册成功后，从配置文件获取设备类型，设备ID，向控制器发送登录请求。如果登录失败则返回重新进行云网关登录流程，登录成功后，控制器修改云网关登录状态为在线；控制器计算云网关上应该配置的隧道信息，生成新的版本，初始版本号为1，逐步递增；控制器向云网关返回登录成功消息，云网关启动隧道服务程序，开始创建隧道；控制器计算、更新关联的云网关、边缘网关和在线终端的隧道信息，生成新版本。

云网关策略更新流程：

考虑到云网关上下线情况并不多，而终端上下线比较频繁。对于终端上下线的情况，由控制器计算后只向相关联的云网关的消息队列频道发送更新隧道信息的消息。而云网关登录后需要定时向控制器发送策略请求消息，控制器比较策略版本，如果发生了变更，则下发新的隧道信息。云网关登录成功后，从配置文件获取设备类型，ID，向控制器发送策略请求，请求消息中包含设备类型，设备ID以及当前策略版本号(初始值为0)，控制器将检查云网关的策略版本是否有更新，如果有更新则向云网关下发新版本的策略信息，其中包含隧道信息；云网关收到新版本策略后，与当前版本进行比较，依据版本比较结果更新隧道信息。云网关会监听唯一标识自己的ID的消息队列频道，当终端上下线的时候，控制器会进行计算，是否需要向关联的云网关发送隧道更新消息，当有更新隧道信息到来，云网关获取该信息进行隧道更新。

边缘网关注册流程：

边缘网关在完成安装和初始化后，首先向控制器发送一个SPA包，验证成功后，将向控制器进行注册。新建配置文件，输入控制器服务地址(URL地址)，设备类型，设备ID和边缘网关的隧道监听IP+端口的信息，通过Wireguard工具生成公私钥写入配置文件；启动注册程序，读取配置文件获取配置信息包括：边缘网关ID，边缘网关隧道监听IP+PORT,边缘网关隧道公钥，注册程序向控制器服务接口发送以上注册信息；控制器收到注册信息，修改边缘网关的注册状态为已注册，保存边缘网关的隧道信息，返回注册成功消息，如果注册失败则返回重新进行边缘网关注册流程。

边缘网关登录流程：

边缘网关注册成功后，从配置文件获取设备类型，设备ID，向控制器发送登录请求。如果登录失败则返回重新进行边缘网关登录流程，登录成功后，控制器修改边缘网关登录状态为在线；控制器计算边缘网关上应该配置的隧道信息，生成新的版本，初始版本号为1，逐步递增；控制器向边缘网关返回登录成功消息，边缘网关启动隧道服务程序，开始创建隧道；控制器计算、更新关联的云网关和在线终端的隧道信息，生成新版本。

边缘网关策略更新流程：

考虑到边缘网关上下线情况并不多，而终端上下线比较频繁。对于终端上下线的情况，由控制器计算后只向相关联的边缘网关的消息队列频道发送更新隧道和授权信息的消息。而边缘网关登录后需要定时向控制器发送策略请求消息，控制器比较策略版本，如果发生了变更，则下发新的隧道和授权信息。边缘网关登录成功后，从配置文件获取设备类型，ID，向控制器发送策略请求，请求消息中包含设备类型，设备ID以及当前策略版本号(初始值为0)，控制器将检查边缘网关的策略版本是否有更新，如果有更新则向边缘网关下发新版本的策略信息，其中包含隧道信息和授权信息；边缘网关收到新版本策略后，与当前版本进行比较，依据版本比较结果更新隧道信息和授权信息。边缘网关会监听唯一标识自己的ID的消息队列频道，当终端上下线的时候，控制器会进行计算，是否需要向关联的边缘网关发送隧道更新和授权更新消息，当有更新隧道和授权信息到来，边缘网关获取该信息进行隧道更新和授权更新。

终端注册流程：

终端完成终端代理的安装和初始化后，首先向控制器发送一个SPA包，验证成功后，将向控制器进行注册。终端代理创建隧道公私钥写入本地，向控制器发送ID、公钥，请求注册，如果失败则返回重新进行终端注册流程；注册成功，则控制器记录公钥，分配虚IP，更新终端状态为已注册，并且在消息中间件中向网关发送更新隧道和授权信息的消息；控制器向终端返回注册成功消息，终端创建隧道。

终端登录流程：

终端注册成功后，向控制器发送ID，请求登录。登录验证失败则返回重新进行终端登录流程；否则登录成功后，控制器给终端分配虚IP，更新终端状态为在线，并且在消息中间件中向网关发送更新隧道和授权信息的消息；控制器向终端返回注册成功消息，终端创建隧道。

终端策略更新流程：

终端每隔5秒会向控制器发送请求更新策略。控制器会检查策略版本是否与最新策略相同，如果相同则发送ok信息，否则发送新版本策略，终端根据新版本更新隧道信息。

路由及隧道更新流程：

当添加资源时，需要对所有的云网关进行更改隧道信息的操作；

当终端上下线时，需要更新与用户关联的云网关和边缘网关的隧道信息，如果用户已有授权的资源，则需要更改对应资源相关联的边缘网关的防火墙规则；

当添加或移除授权时，授权信息是通过用户-资源对进行保存的，如果其中对应的用户在线，更新该用户的隧道中的路由信息，同时更新该资源关联的边缘网关的防火墙规则；

当删除资源时，首先需要对与资源想关联的授权信息进行移除授权操作，然后对所有的云网关的隧道路由信息进行更新；

当更改资源时，如果是更改描述，则需要将更改的描述信息下发给已授权的用户，如果更改IP或相关联的网关，则需要按顺序进行删除资源操作，添加资源操作，添加授权操作，其中添加授权为该资源原有的授权。

以上所述仅为本公开的优选实施例而已，并不用于限制本公开，对于本领域的技术人员来说，本公开可以有各种更改和变化。凡在本公开的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本公开的保护范围之内。

Claims (10)

1.一种零信任网络架构，其特征在于：

包括：控制器、云网关、边缘网关以及终端代理；

边缘网关与云网关通信连接，云网关、边缘网关和终端代理分别与控制器通信连接，云网关和边缘网关分别与客户端通信连接；

控制器用于控制客户端、云网关和边缘网关的注册登录流程，并进行路由策略和授权访问控制策略的下发；

边缘网关用于对资源安全访问的控制，云网关用于客户端跨区域访问资源时的路由；

终端代理部署在客户端，通过与云网关和边缘网关建立隧道，对授权的资源进行安全访问。

2.如权利要求1所述的零信任网络架构，其特征在于：

控制器完成安装后，通过控制器进行如下操作：添加区域、添加用户、添加云网关、添加边缘网关、添加应用和添加用户授权。

3.一种权利要求1或2所述的零信任网络架构的构建方法，其特征在于：

云网关完成安装和初始化后，向控制器发送SPA包敲门验证成功后，进行注册流程，注册流程成功后，向控制器进行登录流程；

登录成功后，控制器会更新关联云网关、边缘网关和在线终端组件的隧道信息，生成新版本，云网关登录成功后完成策略更新。

4.如权利要求3所述的构建方法，其特征在于：

云网关策略更新，包括以下过程：

云网关登录成功后，从配置文件获取设备类型和识别码；

向控制器发送策略请求，请求消息中包含设备类型、设备识别码以及当前策略版本号，控制器检查云网关的策略版本是否有更新；

如果有更新则向云网关下发新版本的策略信息，其中包含隧道信息；云网关收到新版本策略后，与当前版本进行比较，依据版本比较结果更新隧道信息；

云网关监听唯一标识自己的识别码的消息队列频道，当终端上下线的时候，控制器进行计算是否需要向关联的云网关发送隧道更新消息，当有更新隧道信息到来，云网关获取该信息进行隧道更新。

5.一种权利要求1或2所述的零信任网络架构的构建方法，其特征在于：

边缘网关完成安装和初始化后，向控制器发送SPA包敲门验证成功后，进行注册流程，注册流程成功后，向控制器进行登录流程；

登录成功后，控制器更新关联边缘网关和在线终端的隧道信息生成新版本，边缘网关登录成功后完成策略更新流程。

6.如权利要求5所述的构建方法，其特征在于：

边缘网关策略更新，包括以下过程：

边缘网关登录成功后，从配置文件获取设备类型和识别码；

向控制器发送策略请求，请求消息中包含设备类型、设备识别码以及当前策略版本号，控制器将检查边缘网关的策略版本是否有更新；

如果有更新则向边缘网关下发新版本的策略信息，其中包含隧道信息和授权信息；

边缘网关收到新版本策略后，与当前版本进行比较，依据版本比较结果更新隧道信息和授权信息；

边缘网关会监听唯一标识自己的识别码的消息队列频道，当终端上下线的时候，控制器进行计算是否需要向关联的边缘网关发送隧道更新和授权更新消息，当有更新隧道和授权信息到来，边缘网关获取该信息进行隧道更新和授权更新。

7.一种权利要求1或2所述的零信任网络架构的构建方法，其特征在于：

终端安装和初始化后，向控制器发送SPA包敲门验证成功后，进行注册流程，注册流程成功后，向控制器进行登录流程；

登录成功后，控制器在消息中间件中向网关发送更新隧道和授权信息的消息，终端创建隧道，终端登录成功后完成策略更新流程。

8.如权利要求7所述的构建方法，其特征在于：

终端策略更新，包括以下过程：

终端策略更新流程，终端每隔预设时间会向控制器发送请求更新策略，控制器检查策略版本是否与最新策略相同，如果相同则发送确认信息，否则发送新版本策略，终端根据新版本更新隧道信息。

9.如权利要求3-8任一项所述的零信任网络架构，其特征在于：

控制器、云网关、边缘网关和终端处理流程结束后，针对预设场景进行路由及授权信息更新，预设场景包括：添加资源、终端上线或下线，添加或移除授权、删除资源和更改资源。

10.如权利要求3-8任一项所述的零信任网络架构，其特征在于：

路由及隧道策略更新，包括以下过程：

当添加资源时，需要对所有的云网关进行更改隧道信息的操作；

当终端上下线时，更新与用户关联的云网关和边缘网关的隧道信息，如果用户已有授权的资源，则更改对应资源相关联的边缘网关的防火墙规则；

当添加或移除授权时，授权信息是通过用户-资源对进行保存的，如果其中对应的用户在线，更新该用户的隧道中的路由信息，同时更新该资源关联的边缘网关的防火墙规则；

当删除资源时，对与资源想关联的授权信息进行移除授权操作，对所有的云网关的隧道路由信息进行更新；

当更改资源时，如果是更改描述，则将更改的描述信息下发给已授权的用户，如果更改IP或相关联的网关，则按顺序进行删除资源操作，添加资源操作，添加授权操作，其中添加授权为该资源原有的授权。

Images