CN113591061A - 一种基于USB-Key和ZT-IAM的零信任网络访问控制方法 - Google Patents
一种基于USB-Key和ZT-IAM的零信任网络访问控制方法 Download PDFInfo
- Publication number
- CN113591061A CN113591061A CN202110767643.9A CN202110767643A CN113591061A CN 113591061 A CN113591061 A CN 113591061A CN 202110767643 A CN202110767643 A CN 202110767643A CN 113591061 A CN113591061 A CN 113591061A
- Authority
- CN
- China
- Prior art keywords
- key
- dictionary
- usb
- request
- signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/77—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in smart cards
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Mathematical Physics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于USB‑Key和ZT‑IAM的零信任网络访问控制方法,涉及网络技术领域,该基于USB‑Key和ZT‑IAM的零信任网络访问控制方法通过USB‑Key进行Signature,改进了旧方法中在App的代码中或者服务器的环境变量中存储账号和密钥、并在非可信设备内计算Signature的思路,该步骤的引入的实质是把账号和密钥内置入USB‑Key,并在片上系统(SoC)的固件代码中完成Signature,从而大大提高了安全性。
Description
技术领域
本发明涉及网络技术领域,特别涉及一种基于USB-Key和ZT-IAM的零信任网络访问控制方法。
背景技术
访问控制方法分为认证和鉴权两部分,一般流程为:输入口令进行认证,进而通过ACL获取相应授权。PKI和MFA是对口令认证的改进,能够增强认证的安全性避免口令被窃取。RBAC是对ACL鉴权的改进,通过对用户指派角色,将用户与权限解耦以简化权限管理,它的缺点是权限以角色为载体分配,无法对某一角色下的用户进行权限定制(如获取其他角色的部分权限或去除当前角色的部分权限)。Oauth2.0协议则是一个开放的认证标准,可避免诸如网络服务商之类的第三方触及用户的账号信息。
零信任在NIST《零信任架构标准》中定义,颠覆了“组织网络内的所有事物都应受到信任”的传统安全模型,认为“不能信任出入网络的任何内容”,主要因为数字化转型和云计算推动的业务生态无形中扩大了可攻击面,以传统安全技术(防火墙和VPN)构建的组织边界无法阻挡不断向企业内部渗透的威胁,组织边界本身也在云业务场景下瓦解。在NIST《零信任架构标准》白皮书中列举了3个技术方案,软件定义边界(SDP)、身份权限管理(IAM)、微隔离(MSG)。
公有云领域目前广泛使用了IAM,包括亚马逊AWS的IAM(Identity and AccessManagement)、阿里云ACS的RAM(Resource and Access Management) 等,此类方法采用最小权限原则(Grant Least Privilege),由实体 (Identity)操作(Action)资源(Resource)、角色(Role)构成策略 (Policy),策略绑定角色,角色关联(Assumed)用户。应用或服务也可以和用户一样成为可信实体,均按照Oauth2.0协议向STS发起签名请求以获取动态令牌,从而取得临时权限以操作相应资源。
但在上述方法中,用户、应用和服务的密钥(OAUTH_consumer_secret) 一般保存在App的代码中或者服务器的环境变量中,属于不可信的环境,存在被窃取的风险。此外,在开发服务外包的场景下,密钥 (OAUTH_consumer_secret)必须共享给第三方开发者,无法监管是否外泄;而账号(OAUTH_consumer_key)在服务接口不使用HTTPS的情况下,则是直接在网络上以明文方式发送的,受链路安全的制约。
发明内容
本发明所要解决的技术问题是提供一种基于USB-Key和ZT-IAM的零信任网络访问控制方法,通过USB-Key进行Signature,改进了旧方法中在App的代码中或者服务器的环境变量中存储账号和密钥、并在非可信设备内计算Signature的思路,该步骤的引入的实质是把账号和密钥内置入 USB-Key,并在片上系统(SoC)的固件代码中完成Signature,从而大大提高了安全性。
为实现上述目的,本发明提供以下的技术方案:
该基于USB-Key和ZT-IAM的零信任网络访问控制方法包括准备阶段、签名阶段、令牌请求阶段、授权阶段、操作请求阶段。
准备阶段包括以下步骤:
(1)确定请求方式和令牌请求地址;
(2)按照所需权限确定角色,按照操作内容确定事由;
(3)以终端为权威确定时间戳;
(4)通过可信服务模块接口将步骤(1)至(3)的键值对发送至USB-Key;
所述签名阶段包括以下步骤:
(5)USB-Key加载TCM非易失存储器内部的AccessKeyId、Version、SignatureMethod等;
(6)USB-Key调用TCM随机数产生器作为SignatureNonce的值的基数;
(7)将步骤(4)至(6)得到的键值对进行组合及排序,形成原始字典;
(8)将步骤(7)形成的原始字典依次进行排序、字典编码、字符串编码,形成消息;
(9)USB-Key加载TCM非易失存储器内部的AccessKeySecret;
(10)以步骤(8)形成的消息为消息,以步骤(9)加载的 AccessKeySecret为密钥,以步骤(5)加载的SignatureMethod的值为算法,在TCM可信计算区的杂凑算法单元进行哈希计算及Base64编码得到 Signature;
所述令牌请求阶段包括以下步骤:
(11)将步骤(10)所得Signature键值对添加至步骤(7)所述原始字典的任意位置,形成参数字典;
(12)将步骤(11)所述参数字典返回至App,App将该字典的 QueryString格式的字符串作为https请求的参数,发至令牌请求地址;
所述授权阶段包括以下步骤:
(13)令牌服务从App发起的请求中解析请求方式、令牌请求地址和参数字典;
(14)以步骤(13)所述参数字典中的AccessKeyId为索引查找相应AccessKeySecret;
(15)重复步骤(8)生成消息,以步骤(14)所述AccessKeySecret 为密钥,进行哈希计算及Base64编码得到Signature;
(16)步骤(15)与步骤(13)所述参数字典中的Signature校验,如一致,根据步骤(23)所述的提取出的参数字典中解析出的角色签发临时身份sts.AccessKeyId、临时密钥sts.AccessKeySecret和临时令牌 token,返回给App;
所述操作请求阶段包括以下步骤:
(17)重复步骤(1)(5)至(11)计算用于请求操作的参数字典,并在用于请求操作的参数字典中填入操作动作Action,在请求操作的URL 中将原有认证信息替换为步骤(16)所述临时身份信息,发送至操作服务;
(18)操作服务转发参数字典进行核验,如通过执行操作,否则记入日志。
采用以上技术方案的有益效果是:该基于USB-Key和ZT-IAM的零信任网络访问控制方法通过USB-Key进行Signature,改进了旧方法中在App 的代码中或者服务器的环境变量中存储账号和密钥、并在非可信设备内计算Signature的思路,该步骤的引入的实质是把账号和密钥内置入 USB-Key,并在片上系统(SoC)的固件代码中完成Signature,从而大大提高了安全性。
附图说明
下面结合附图对本发明的具体实施方式作进一步详细的描述。
图1是该基于USB-Key和ZT-IAM的零信任网络访问控制方法的总流程图。
具体实施方式
下面结合附图详细说明本发明基于USB-Key和ZT-IAM的零信任网络访问控制方法的优选实施方式。
图1出示本发明基于USB-Key和ZT-IAM的零信任网络访问控制方法的具体实施方式:
首先对基于USB-Key和ZT-IAM的零信任网络访问控制方法的基本流程进行描述,参照图1,过程分为准备阶段、签名阶段、令牌请求阶段、授权阶段、操作请求阶段;
A.参照图1对准备阶段进行说明,其具体步骤如下:
(1)确定请求方式Method,可选值为GET或POST;
(2)确定令牌请求地址TokenServiceUrl,为固定值/;
(3)按照所需权限确定角色Rolename,如ObjectStorageReadOnly.
Role;
(4)按照操作内容确定事由Reason,如 ReadObjectStorage/Images/id=15534798626;
(5)以终端为权威确定时间戳TimeStamp,时间格式为ISO8601的 YYYY-MM-DDThh:mm:ssZ,如2021-05-17T21:56:30Z;
(6)将步骤(1)至(2)所述的请求方式Method、请求地址TokenServiceUrl
(7)将步骤(3)至(5)所述的角色Rolename、事由Reason和时间戳TimeStamp的键值对通过可信服务模块接口发送至USB-Key;
B.参照图1对签名阶段进行说明,其具体步骤如下:
(8)USB-Key调用TCM随机数产生器Random(),产生[0,1)区间内的随机数s,该随机数乘以10^8并舍去小数位,得到的8位整数(不足8位的左侧补0)的对应字符串作为SignatureNonce的值,如09002185;
(9)USB-Key加载TCM非易失存储器内部的AccessKeyId,如LTAI5tJFVYYqidwWJeNsqY4B;
(10)USB-Key加载TCM非易失存储器内部的Version,固定值为 2019-05-10;
(11)USB-Key加载TCM非易失存储器内部的Format,固定值为JSON;
(12)USB-Key加载TCM非易失存储器内部的SignatureVersion,固定值为1.0;
(13)USB-Key加载TCM非易失存储器内部的SignatureMethod,固定值为HmacSM3;
(14)将步骤(7)至(13)得到的参数名和参数值作为键值对组成原始字典,为如下值
{
Rolename:‘ObjectStorageReadOnly.Role’,//步骤(3)(7)
Reason:‘ReadObjectStorage/Images/id=15534798626’,//步骤 (4)(7)
TimeStamp:‘2021-05-17T21:56:30Z’,//步骤(5)(7)
SignatureNonce:‘09002185’,//步骤(8)
AccessKeyId:‘LTAI5tJFVYYqidwWJeNsqY4B’,//步骤(9)
Version:‘2019-05-10’,//步骤(10)
Format:‘JSON’,//步骤(11)
SignatureVersion:‘1.0’,//步骤(12)
SignatureMethod:‘HmacSM3’,//步骤(13)
};
(15)原始字典按其小写键名从小到大的顺序进行排序得到排序字典,为如下值
{
AccessKeyId:‘LTAI5tJFVYYqidwWJeNsqY4B’,
Format:‘JSON’,
Reason:‘ReadObjectStorage/Images/id=15534798626’,
Rolename:‘ObjectStorageReadOnly.Role’,
SignatureMethod:‘HmacSM3’,
SignatureNonce:‘09002185’,
SignatureVersion:‘1.0’,
TimeStamp:‘2021-05-17T21:56:30Z’,
Version:‘2019-05-10’,
};
(16)遍历步骤(15)形成的排序字典的键值对,对各个键和各个值进行URI编码(Uniform Resource Identifier,统一资源标志符),其中, URI编码将;/?:@&=+$,#等在URI有特殊含义的符号替换为以%开头的16进制ASCII值,防止与步骤(17)中URL连接时所用&和=符号冲突,URI编码的结果为如下值
{
AccessKeyId:‘LTAI5tJFVYYqidwWJeNsqY4B’,
Format:‘JSON’,
Reason:‘ReadObjectStorage%2FImages%2Fid%3D15534798626’,
Rolename:‘ObjectStorageReadOnly.Role’,
SignatureMethod:‘HmacSM3’,
SignatureNonce:‘09002185’,
SignatureVersion:‘1.0’,
TimeStamp:‘2021-05-17T21%3A56%3A30Z’,
Version:‘2019-05-10’,
};
(17)遍历步骤(16)经过URI编码的键值,按照“URI(键1)=URI(值 1)&URI(键2)=URI(值2)&URI(键3)=URI(值3)”的格式进行URL连接 (Uniform Resource Locator,统一资源定位符),将排序字典转换为 QueryString格式的编码字符串query,URL连接的结果为如下值
“AccessKeyId=LTAI5tJFVYYqidwWJeNsqY4B&Format=JSON&Reason=ReadObjectStorage%2FImages%2Fid%3A15534798626&Rolename=ObjectStorageReadOnly.Role&SignatureMethod=HmacSM3&SignatureNonce=090021 85&SignatureVersion=1.0&TimeStamp=2021-05-17T21%3A56%3A30Z&Vers ion=2019-05-10”;
(18)将步骤(6)得到的请求方式Method、请求地址TokenServiceUrl,步骤(17)得到的编码字符串query分别进行URI编码,并按照“URI(Method) &URI(TokenServiceUrl)&URI(query)”进行URL连接,得到消息message,为如下值
“GET&%2F&AccessKeyId%3DLTAI5tJFVYYqidwWJeNsqY4B%26Format%3DJSON%26Reason%3DReadObjectStorage%252FImages%252Fid%253A155347 98626%26Rolename%3DObjectStorageReadOnly.Role%26SignatureMethod %3DSM3%26SignatureNonce%3D09002185%26SignatureVersion%3D1.0%26T imeStamp%3D2021-05-17T21%253A56%253A30Z%26Version%3D2019-05-10 ”;
(19)USB-Key加载TCM非易失存储器内部的AccessKeySecret,如h6XVLHIwi7EHFV4B6kLx,在其结尾出添加字符&;
(20)以步骤(18)的字符串为消息message,以步骤(19)以&结尾的AccessKeySecret为密钥key,以步骤(12)加载的SignatureMethod 的值为算法HmacSM3(),在TCM可信计算区的杂凑算法单元进行哈希计算及Base64编码,得到Signature,所述计算过程为
<Sign>=Base64.stringify(HmacSM3(message,key))
<Sign>表示所述Signature的值;
(21)将步骤(18)所得Signature键值对添加至步骤(14)所述原始字典的任意位置(比如末尾),形成参数字典,为如下值
{
Rolename:‘ObjectStorageReadOnly.Role’,//步骤(3)(7)
Reason:‘ReadObjectStorage/Images/id=15534798626’,//步骤 (4)(7)
TimeStamp:‘2021-05-17T21:56:30Z’,//步骤(5)(7)
SignatureNonce:‘09002185’,//步骤(8)
AccessKeyId:‘LTAI5tJFVYYqidwWJeNsqY4B’,//步骤(9)
Version:‘2019-05-10’,//步骤(10)
Format:‘JSON’,//步骤(11)
SignatureVersion:‘1.0’,//步骤(12)
SignatureMethod:‘HmacSM3’,//步骤(13)
Signature:‘<Sign>’,
};
C.参照图1对令牌请求阶段进行说明,其具体步骤如下:
(22)将步骤(21)所述参数字典返回至App,App将该字典的 QueryString格式的字符串作为https请求的参数,发至令牌请求地址,如sts.yun.cn,请求URL值即为
https://sts.yun.cn/?Rolename=ObjectStorageReadOnly.Role&Rea son=ReadObjectStorage/Images/id=15534798626&...?Signature=<Sign >
省略号...表示步骤(21)中所述参数字典的键值对的QueryString 格式的字符串;
D.参照图1对授权阶段进行说明,其具体步骤如下:
(23)解析还原令牌请求,从被访问URL中提取请求方式Method、请求地址TokenServiceUrl、参数字典;
(24)从步骤(23)所述的提取出的参数字典中解析出的AccessKeyId,以AccessKeyId为索引在令牌服务的数据库中查找相应的 AccessKeySecret;
(25)重复步骤(15)至(20)计算Signature的值<Sign1>,与步骤(23)所述的提取出的参数字典中解析出的Signature的值<Sign>进行校验,作为身份认证结果;
(26)如果步骤(25)所述的身份认证不通过,记入日志;
(27)如果步骤(25)所述的身份认证通过,根据步骤(23)所述的提取出的参数字典中解析出的Rolename生成临时身份sts.AccessKeyId、临时密钥sts.AccessKeySecret和临时令牌token,其中,token的值记为<token>;
(28)向App返回临时身份sts.AccessKeyId、临时密钥 sts.AccessKeySecret和临时令牌token;
E.参照图1对操作请求阶段进行说明,其具体步骤如下:
(29)重复步骤(1)(2)(5)至(21)计算用于请求操作的参数字典,并在用于请求操作的参数字典中填入操作动作Action,在请求操作的 URL中将原有AccessKeyId和AccessKeySecret替换为步骤(27)所述临时令牌的键值对sts.AccessKeyId、sts.AccessKeySecret和token,发送至操作服务;
(30)操作服务将步骤(29)所述填入临时令牌、用于请求操作的参数字典转发至令牌服务,进行转发核验;
(31)解析还原令牌请求,从被访问URL中提取请求方式Method、请求地址TokenServiceUrl、参数字典、临时令牌token;
(32)从步骤(31)所述的提取出的参数字典中解析出的 sts.AccessKeyId以及token,以sts.AccessKeyId为索引在令牌服务的数据库中查找相应的sts.AccessKeySecret,以token为索引在令牌服务的数据库中查找相应的权限策略policy;
(33)重复步骤(15)至(20)计算Signature的值<Sign1>,与步骤(31)所述的用于请求操作的、提取出的参数字典中解析出的Signature 的值<Sign>进行校验,作为身份认证结果,并且对步骤(32)所述权限策略policy与步骤(31)所述的用于请求操作的、提取出的参数字典中解析出的Action进行动作鉴权,如果身份认证、动作鉴权任一项不通过,重复步骤(26)记入日志;
(34)如果步骤(33)所述身份认证、动作鉴权均通过,向操作服务返回准许;
(35)操作服务按照步骤(35)所述准许执行相应动作完成操作服务。
该基于USB-Key和ZT-IAM的零信任网络访问控制方法通过USB-Key 进行Signature,改进了旧方法中在App的代码中或者服务器的环境变量中存储账号和密钥、并在非可信设备内计算Signature的思路,该步骤的引入的实质是把账号和密钥内置入USB-Key,并在片上系统(SoC)的固件代码中完成Signature,从而大大提高了安全性。
以上的仅是本发明的优选实施方式,应当指出,对于本领域的普通技术人员来说,在不脱离本发明创造构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。
Claims (1)
1.一种基于USB-Key和ZT-IAM的零信任网络访问控制方法,其特征在于:所述基于USB-Key和ZT-IAM的零信任网络访问控制方法包括准备阶段、签名阶段、令牌请求阶段、授权阶段、操作请求阶段,准备阶段包括以下步骤:
(1)确定请求方式和令牌请求地址;
(2)按照所需权限确定角色,按照操作内容确定事由;
(3)以终端为权威确定时间戳;
(4)通过可信服务模块接口将步骤(1)至(3)的键值对发送至USB-Key;
所述签名阶段包括以下步骤:
(5)USB-Key加载TCM非易失存储器内部的AccessKeyId、Version、SignatureMethod等;
(6)USB-Key调用TCM随机数产生器作为SignatureNonce的值的基数;
(7)将步骤(4)至(6)得到的键值对进行组合及排序,形成原始字典;
(8)将步骤(7)形成的原始字典依次进行排序、字典编码、字符串编码,形成消息;
(9)USB-Key加载TCM非易失存储器内部的AccessKeySecret;
(10)以步骤(8)形成的消息为消息,以步骤(9)加载的AccessKeySecret为密钥,以步骤(5)加载的SignatureMethod的值为算法,在TCM可信计算区的杂凑算法单元进行哈希计算及Base64编码得到Signature;
所述令牌请求阶段包括以下步骤:
(11)将步骤(10)所得Signature键值对添加至步骤(7)所述原始字典的任意位置,形成参数字典;
(12)将步骤(11)所述参数字典返回至App,App将该字典的QueryString格式的字符串作为https请求的参数,发至令牌请求地址;
所述授权阶段包括以下步骤:
(13)令牌服务从App发起的请求中解析请求方式、令牌请求地址和参数字典;
(14)以步骤(13)所述参数字典中的AccessKeyId为索引查找相应AccessKeySecret;
(15)重复步骤(8)生成消息,以步骤(14)所述AccessKeySecret为密钥,进行哈希计算及Base64编码得到Signature;
(16)步骤(15)与步骤(13)所述参数字典中的Signature校验,如一致,根据步骤(23)所述的提取出的参数字典中解析出的角色签发临时身份sts.AccessKeyId、临时密钥sts.AccessKeySecret和临时令牌token,返回给App;
所述操作请求阶段包括以下步骤:
(17)重复步骤(1)(5)至(11)计算用于请求操作的参数字典,并在用于请求操作的参数字典中填入操作动作Action,在请求操作的URL中将原有认证信息替换为步骤(16)所述临时身份信息,发送至操作服务;
(18)操作服务转发参数字典进行核验,如通过执行操作,否则记入日志。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110767643.9A CN113591061A (zh) | 2021-07-07 | 2021-07-07 | 一种基于USB-Key和ZT-IAM的零信任网络访问控制方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110767643.9A CN113591061A (zh) | 2021-07-07 | 2021-07-07 | 一种基于USB-Key和ZT-IAM的零信任网络访问控制方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113591061A true CN113591061A (zh) | 2021-11-02 |
Family
ID=78246594
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110767643.9A Pending CN113591061A (zh) | 2021-07-07 | 2021-07-07 | 一种基于USB-Key和ZT-IAM的零信任网络访问控制方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113591061A (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102017211267A1 (de) * | 2017-07-03 | 2019-01-03 | Siemens Aktiengesellschaft | Verfahren zum Schützen einer Zertifikatsanforderung eines Clienten-Rechners und entsprechendes Kommunikationssystem |
CN111949974A (zh) * | 2020-08-04 | 2020-11-17 | 北京字节跳动网络技术有限公司 | 一种认证的方法、装置、计算机设备及存储介质 |
CN112000951A (zh) * | 2020-08-31 | 2020-11-27 | 上海商汤智能科技有限公司 | 一种访问方法、装置、系统、电子设备及存储介质 |
CN112187724A (zh) * | 2020-09-03 | 2021-01-05 | 北京金山云网络技术有限公司 | 访问控制方法、装置、网关、客户端和安全令牌服务 |
CN112653689A (zh) * | 2020-12-16 | 2021-04-13 | 北京观数科技有限公司 | 一种终端零信任安全控制方法及系统 |
-
2021
- 2021-07-07 CN CN202110767643.9A patent/CN113591061A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102017211267A1 (de) * | 2017-07-03 | 2019-01-03 | Siemens Aktiengesellschaft | Verfahren zum Schützen einer Zertifikatsanforderung eines Clienten-Rechners und entsprechendes Kommunikationssystem |
CN111949974A (zh) * | 2020-08-04 | 2020-11-17 | 北京字节跳动网络技术有限公司 | 一种认证的方法、装置、计算机设备及存储介质 |
CN112000951A (zh) * | 2020-08-31 | 2020-11-27 | 上海商汤智能科技有限公司 | 一种访问方法、装置、系统、电子设备及存储介质 |
CN112187724A (zh) * | 2020-09-03 | 2021-01-05 | 北京金山云网络技术有限公司 | 访问控制方法、装置、网关、客户端和安全令牌服务 |
CN112653689A (zh) * | 2020-12-16 | 2021-04-13 | 北京观数科技有限公司 | 一种终端零信任安全控制方法及系统 |
Non-Patent Citations (3)
Title |
---|
孙夏声;王远强;: "基于TCM的网络安全访问模型" * |
尚可龙;古强;: "零信任安全体系设计与研究" * |
张宇;张妍;: "零信任研究综述" * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111147255B (zh) | 数据安全服务系统、方法和计算机可读储存介质 | |
CN109274652B (zh) | 身份信息验证系统、方法及装置及计算机存储介质 | |
US10171470B2 (en) | Techniques for secure debugging and monitoring | |
JP5635978B2 (ja) | 人間が介入しないアプリケーションのための認証されたデータベース接続 | |
US11841959B1 (en) | Systems and methods for requiring cryptographic data protection as a precondition of system access | |
CN103152179A (zh) | 一种适用于多应用系统的统一身份认证方法 | |
CN108810003B (zh) | 一种多业务方消息接入的安全验证方案 | |
CN104063650B (zh) | 一种密钥存储设备及其使用方法 | |
CN108616540B (zh) | 一种基于跨平台加密算法与声明式过滤认证的平台认证方法及系统 | |
CN115842680B (zh) | 一种网络身份认证管理方法及系统 | |
CN112804269B (zh) | 一种实现网站接口反爬虫的方法 | |
CN115277168B (zh) | 一种访问服务器的方法以及装置、系统 | |
CN111800378A (zh) | 一种登录认证方法、装置、系统和存储介质 | |
CN104579657A (zh) | 身份认证方法及装置 | |
CN112699374A (zh) | 一种完整性校验漏洞安全防护的方法及系统 | |
CN114172747B (zh) | 一种基于数字证书的群成员获得认证证书的方法和系统 | |
CN114844644A (zh) | 资源请求方法、装置、电子设备及存储介质 | |
CN109862009A (zh) | 一种客户端身份校验方法及装置 | |
CN112039857B (zh) | 一种公用基础模块的调用方法和装置 | |
CN116527341A (zh) | 一种客户端调用后端接口鉴权授权安全方法 | |
CN108600266B (zh) | 一种声明过滤认证方法及认证系统 | |
CN113591061A (zh) | 一种基于USB-Key和ZT-IAM的零信任网络访问控制方法 | |
CN111385258A (zh) | 一种数据通信的方法、装置、客户端、服务器和存储介质 | |
Emadinia et al. | An updateable token-based schema for authentication and access management in clouds | |
CN111756531B (zh) | 一种基于CPK的LoRa终端的通信系统及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |