CN113591061A - 一种基于USB-Key和ZT-IAM的零信任网络访问控制方法 - Google Patents

Abstract

本发明公开了一种基于USB‑Key和ZT‑IAM的零信任网络访问控制方法，涉及网络技术领域，该基于USB‑Key和ZT‑IAM的零信任网络访问控制方法通过USB‑Key进行Signature，改进了旧方法中在App的代码中或者服务器的环境变量中存储账号和密钥、并在非可信设备内计算Signature的思路，该步骤的引入的实质是把账号和密钥内置入USB‑Key，并在片上系统(SoC)的固件代码中完成Signature，从而大大提高了安全性。

Description

一种基于USB-Key和ZT-IAM的零信任网络访问控制方法

技术领域

本发明涉及网络技术领域，特别涉及一种基于USB-Key和ZT-IAM的零信任网络访问控制方法。

背景技术

访问控制方法分为认证和鉴权两部分，一般流程为：输入口令进行认证，进而通过ACL获取相应授权。PKI和MFA是对口令认证的改进，能够增强认证的安全性避免口令被窃取。RBAC是对ACL鉴权的改进，通过对用户指派角色，将用户与权限解耦以简化权限管理，它的缺点是权限以角色为载体分配，无法对某一角色下的用户进行权限定制(如获取其他角色的部分权限或去除当前角色的部分权限)。Oauth2.0协议则是一个开放的认证标准，可避免诸如网络服务商之类的第三方触及用户的账号信息。

零信任在NIST《零信任架构标准》中定义，颠覆了“组织网络内的所有事物都应受到信任”的传统安全模型，认为“不能信任出入网络的任何内容”，主要因为数字化转型和云计算推动的业务生态无形中扩大了可攻击面，以传统安全技术(防火墙和VPN)构建的组织边界无法阻挡不断向企业内部渗透的威胁，组织边界本身也在云业务场景下瓦解。在NIST《零信任架构标准》白皮书中列举了3个技术方案，软件定义边界(SDP)、身份权限管理(IAM)、微隔离(MSG)。

公有云领域目前广泛使用了IAM，包括亚马逊AWS的IAM(Identity and AccessManagement)、阿里云ACS的RAM(Resource and Access Management) 等，此类方法采用最小权限原则(Grant Least Privilege)，由实体 (Identity)操作(Action)资源(Resource)、角色(Role)构成策略 (Policy)，策略绑定角色，角色关联(Assumed)用户。应用或服务也可以和用户一样成为可信实体，均按照Oauth2.0协议向STS发起签名请求以获取动态令牌，从而取得临时权限以操作相应资源。

但在上述方法中，用户、应用和服务的密钥(OAUTH_consumer_secret) 一般保存在App的代码中或者服务器的环境变量中，属于不可信的环境，存在被窃取的风险。此外，在开发服务外包的场景下，密钥 (OAUTH_consumer_secret)必须共享给第三方开发者，无法监管是否外泄；而账号(OAUTH_consumer_key)在服务接口不使用HTTPS的情况下，则是直接在网络上以明文方式发送的，受链路安全的制约。

发明内容

本发明所要解决的技术问题是提供一种基于USB-Key和ZT-IAM的零信任网络访问控制方法，通过USB-Key进行Signature，改进了旧方法中在App的代码中或者服务器的环境变量中存储账号和密钥、并在非可信设备内计算Signature的思路，该步骤的引入的实质是把账号和密钥内置入 USB-Key，并在片上系统(SoC)的固件代码中完成Signature，从而大大提高了安全性。

为实现上述目的，本发明提供以下的技术方案：

该基于USB-Key和ZT-IAM的零信任网络访问控制方法包括准备阶段、签名阶段、令牌请求阶段、授权阶段、操作请求阶段。

准备阶段包括以下步骤：

(1)确定请求方式和令牌请求地址；

(2)按照所需权限确定角色，按照操作内容确定事由；

(3)以终端为权威确定时间戳；

(4)通过可信服务模块接口将步骤(1)至(3)的键值对发送至USB-Key；

所述签名阶段包括以下步骤：

(5)USB-Key加载TCM非易失存储器内部的AccessKeyId、Version、SignatureMethod等；

(6)USB-Key调用TCM随机数产生器作为SignatureNonce的值的基数；

(7)将步骤(4)至(6)得到的键值对进行组合及排序，形成原始字典；

(8)将步骤(7)形成的原始字典依次进行排序、字典编码、字符串编码，形成消息；

(9)USB-Key加载TCM非易失存储器内部的AccessKeySecret；

(10)以步骤(8)形成的消息为消息，以步骤(9)加载的 AccessKeySecret为密钥，以步骤(5)加载的SignatureMethod的值为算法，在TCM可信计算区的杂凑算法单元进行哈希计算及Base64编码得到 Signature；

所述令牌请求阶段包括以下步骤：

(11)将步骤(10)所得Signature键值对添加至步骤(7)所述原始字典的任意位置，形成参数字典；

(12)将步骤(11)所述参数字典返回至App，App将该字典的 QueryString格式的字符串作为https请求的参数，发至令牌请求地址；

所述授权阶段包括以下步骤：

(13)令牌服务从App发起的请求中解析请求方式、令牌请求地址和参数字典；

(14)以步骤(13)所述参数字典中的AccessKeyId为索引查找相应AccessKeySecret；

(15)重复步骤(8)生成消息，以步骤(14)所述AccessKeySecret 为密钥，进行哈希计算及Base64编码得到Signature；

(16)步骤(15)与步骤(13)所述参数字典中的Signature校验，如一致，根据步骤(23)所述的提取出的参数字典中解析出的角色签发临时身份sts.AccessKeyId、临时密钥sts.AccessKeySecret和临时令牌 token，返回给App；

所述操作请求阶段包括以下步骤：

(17)重复步骤(1)(5)至(11)计算用于请求操作的参数字典，并在用于请求操作的参数字典中填入操作动作Action，在请求操作的URL 中将原有认证信息替换为步骤(16)所述临时身份信息，发送至操作服务；

(18)操作服务转发参数字典进行核验，如通过执行操作，否则记入日志。

采用以上技术方案的有益效果是：该基于USB-Key和ZT-IAM的零信任网络访问控制方法通过USB-Key进行Signature，改进了旧方法中在App 的代码中或者服务器的环境变量中存储账号和密钥、并在非可信设备内计算Signature的思路，该步骤的引入的实质是把账号和密钥内置入 USB-Key，并在片上系统(SoC)的固件代码中完成Signature，从而大大提高了安全性。

附图说明

下面结合附图对本发明的具体实施方式作进一步详细的描述。

图1是该基于USB-Key和ZT-IAM的零信任网络访问控制方法的总流程图。

具体实施方式

下面结合附图详细说明本发明基于USB-Key和ZT-IAM的零信任网络访问控制方法的优选实施方式。

图1出示本发明基于USB-Key和ZT-IAM的零信任网络访问控制方法的具体实施方式：

首先对基于USB-Key和ZT-IAM的零信任网络访问控制方法的基本流程进行描述，参照图1，过程分为准备阶段、签名阶段、令牌请求阶段、授权阶段、操作请求阶段；

A.参照图1对准备阶段进行说明，其具体步骤如下：

(1)确定请求方式Method，可选值为GET或POST；

(2)确定令牌请求地址TokenServiceUrl，为固定值/；

(3)按照所需权限确定角色Rolename，如ObjectStorageReadOnly.

Role；

(4)按照操作内容确定事由Reason，如 ReadObjectStorage/Images/id＝15534798626；

(5)以终端为权威确定时间戳TimeStamp，时间格式为ISO8601的 YYYY-MM-DDThh:mm:ssZ，如2021-05-17T21:56:30Z；

(6)将步骤(1)至(2)所述的请求方式Method、请求地址TokenServiceUrl

(7)将步骤(3)至(5)所述的角色Rolename、事由Reason和时间戳TimeStamp的键值对通过可信服务模块接口发送至USB-Key；

B.参照图1对签名阶段进行说明，其具体步骤如下：

(8)USB-Key调用TCM随机数产生器Random()，产生[0,1)区间内的随机数s，该随机数乘以10^8并舍去小数位，得到的8位整数(不足8位的左侧补0)的对应字符串作为SignatureNonce的值，如09002185；

(9)USB-Key加载TCM非易失存储器内部的AccessKeyId，如LTAI5tJFVYYqidwWJeNsqY4B；

(10)USB-Key加载TCM非易失存储器内部的Version，固定值为 2019-05-10；

(11)USB-Key加载TCM非易失存储器内部的Format，固定值为JSON；

(12)USB-Key加载TCM非易失存储器内部的SignatureVersion，固定值为1.0；

(13)USB-Key加载TCM非易失存储器内部的SignatureMethod，固定值为HmacSM3；

(14)将步骤(7)至(13)得到的参数名和参数值作为键值对组成原始字典，为如下值

{

Rolename:‘ObjectStorageReadOnly.Role’,//步骤(3)(7)

Reason:‘ReadObjectStorage/Images/id＝15534798626’,//步骤 (4)(7)

TimeStamp:‘2021-05-17T21:56:30Z’,//步骤(5)(7)

SignatureNonce:‘09002185’,//步骤(8)

AccessKeyId:‘LTAI5tJFVYYqidwWJeNsqY4B’,//步骤(9)

Version:‘2019-05-10’,//步骤(10)

Format:‘JSON’,//步骤(11)

SignatureVersion:‘1.0’,//步骤(12)

SignatureMethod:‘HmacSM3’,//步骤(13)

}；

(15)原始字典按其小写键名从小到大的顺序进行排序得到排序字典，为如下值

{

AccessKeyId:‘LTAI5tJFVYYqidwWJeNsqY4B’,

Format:‘JSON’,

Reason:‘ReadObjectStorage/Images/id＝15534798626’,

Rolename:‘ObjectStorageReadOnly.Role’,

SignatureMethod:‘HmacSM3’,

SignatureNonce:‘09002185’,

SignatureVersion:‘1.0’,

TimeStamp:‘2021-05-17T21:56:30Z’,

Version:‘2019-05-10’,

}；

(16)遍历步骤(15)形成的排序字典的键值对，对各个键和各个值进行URI编码(Uniform Resource Identifier，统一资源标志符)，其中， URI编码将；/？:@&＝+$,#等在URI有特殊含义的符号替换为以％开头的16进制ASCII值，防止与步骤(17)中URL连接时所用&和＝符号冲突，URI编码的结果为如下值

{

AccessKeyId:‘LTAI5tJFVYYqidwWJeNsqY4B’,

Format:‘JSON’,

Reason:‘ReadObjectStorage％2FImages％2Fid％3D15534798626’,

Rolename:‘ObjectStorageReadOnly.Role’,

SignatureMethod:‘HmacSM3’,

SignatureNonce:‘09002185’,

SignatureVersion:‘1.0’,

TimeStamp:‘2021-05-17T21％3A56％3A30Z’,

Version:‘2019-05-10’,

}；

(17)遍历步骤(16)经过URI编码的键值，按照“URI(键1)＝URI(值 1)&URI(键2)＝URI(值2)&URI(键3)＝URI(值3)”的格式进行URL连接 (Uniform Resource Locator，统一资源定位符)，将排序字典转换为 QueryString格式的编码字符串query，URL连接的结果为如下值

“AccessKeyId＝LTAI5tJFVYYqidwWJeNsqY4B&Format＝JSON&Reason＝ReadObjectStorage％2FImages％2Fid％3A15534798626&Rolename＝ObjectStorageReadOnly.Role&SignatureMethod＝HmacSM3&SignatureNonce＝090021 85&SignatureVersion＝1.0&TimeStamp＝2021-05-17T21％3A56％3A30Z&Vers ion＝2019-05-10”；

(18)将步骤(6)得到的请求方式Method、请求地址TokenServiceUrl，步骤(17)得到的编码字符串query分别进行URI编码，并按照“URI(Method) &URI(TokenServiceUrl)&URI(query)”进行URL连接，得到消息message，为如下值

“GET&％2F&AccessKeyId％3DLTAI5tJFVYYqidwWJeNsqY4B％26Format％3DJSON％26Reason％3DReadObjectStorage％252FImages％252Fid％253A155347 98626％26Rolename％3DObjectStorageReadOnly.Role％26SignatureMethod ％3DSM3％26SignatureNonce％3D09002185％26SignatureVersion％3D1.0％26T imeStamp％3D2021-05-17T21％253A56％253A30Z％26Version％3D2019-05-10 ”；

(19)USB-Key加载TCM非易失存储器内部的AccessKeySecret，如h6XVLHIwi7EHFV4B6kLx，在其结尾出添加字符&；

(20)以步骤(18)的字符串为消息message，以步骤(19)以&结尾的AccessKeySecret为密钥key，以步骤(12)加载的SignatureMethod 的值为算法HmacSM3()，在TCM可信计算区的杂凑算法单元进行哈希计算及Base64编码，得到Signature，所述计算过程为

<Sign>＝Base64.stringify(HmacSM3(message,key))

<Sign>表示所述Signature的值；

(21)将步骤(18)所得Signature键值对添加至步骤(14)所述原始字典的任意位置(比如末尾)，形成参数字典，为如下值

{

Rolename:‘ObjectStorageReadOnly.Role’,//步骤(3)(7)

Reason:‘ReadObjectStorage/Images/id＝15534798626’,//步骤 (4)(7)

TimeStamp:‘2021-05-17T21:56:30Z’,//步骤(5)(7)

SignatureNonce:‘09002185’,//步骤(8)

AccessKeyId:‘LTAI5tJFVYYqidwWJeNsqY4B’,//步骤(9)

Version:‘2019-05-10’,//步骤(10)

Format:‘JSON’,//步骤(11)

SignatureVersion:‘1.0’,//步骤(12)

SignatureMethod:‘HmacSM3’,//步骤(13)

Signature:‘<Sign>’,

}；

C.参照图1对令牌请求阶段进行说明，其具体步骤如下：

(22)将步骤(21)所述参数字典返回至App，App将该字典的 QueryString格式的字符串作为https请求的参数，发至令牌请求地址，如sts.yun.cn，请求URL值即为

https://sts.yun.cn/？Rolename＝ObjectStorageReadOnly.Role&Rea son＝ReadObjectStorage/Images/id＝15534798626&...？Signature＝<Sign >

省略号...表示步骤(21)中所述参数字典的键值对的QueryString 格式的字符串；

D.参照图1对授权阶段进行说明，其具体步骤如下：

(23)解析还原令牌请求，从被访问URL中提取请求方式Method、请求地址TokenServiceUrl、参数字典；

(24)从步骤(23)所述的提取出的参数字典中解析出的AccessKeyId，以AccessKeyId为索引在令牌服务的数据库中查找相应的 AccessKeySecret；

(25)重复步骤(15)至(20)计算Signature的值<Sign1>，与步骤(23)所述的提取出的参数字典中解析出的Signature的值<Sign>进行校验，作为身份认证结果；

(26)如果步骤(25)所述的身份认证不通过，记入日志；

(27)如果步骤(25)所述的身份认证通过，根据步骤(23)所述的提取出的参数字典中解析出的Rolename生成临时身份sts.AccessKeyId、临时密钥sts.AccessKeySecret和临时令牌token，其中，token的值记为<token>；

(28)向App返回临时身份sts.AccessKeyId、临时密钥 sts.AccessKeySecret和临时令牌token；

E.参照图1对操作请求阶段进行说明，其具体步骤如下：

(29)重复步骤(1)(2)(5)至(21)计算用于请求操作的参数字典，并在用于请求操作的参数字典中填入操作动作Action，在请求操作的 URL中将原有AccessKeyId和AccessKeySecret替换为步骤(27)所述临时令牌的键值对sts.AccessKeyId、sts.AccessKeySecret和token，发送至操作服务；

(30)操作服务将步骤(29)所述填入临时令牌、用于请求操作的参数字典转发至令牌服务，进行转发核验；

(31)解析还原令牌请求，从被访问URL中提取请求方式Method、请求地址TokenServiceUrl、参数字典、临时令牌token；

(32)从步骤(31)所述的提取出的参数字典中解析出的 sts.AccessKeyId以及token，以sts.AccessKeyId为索引在令牌服务的数据库中查找相应的sts.AccessKeySecret，以token为索引在令牌服务的数据库中查找相应的权限策略policy；

(33)重复步骤(15)至(20)计算Signature的值<Sign1>，与步骤(31)所述的用于请求操作的、提取出的参数字典中解析出的Signature 的值<Sign>进行校验，作为身份认证结果，并且对步骤(32)所述权限策略policy与步骤(31)所述的用于请求操作的、提取出的参数字典中解析出的Action进行动作鉴权，如果身份认证、动作鉴权任一项不通过，重复步骤(26)记入日志；

(34)如果步骤(33)所述身份认证、动作鉴权均通过，向操作服务返回准许；

(35)操作服务按照步骤(35)所述准许执行相应动作完成操作服务。

该基于USB-Key和ZT-IAM的零信任网络访问控制方法通过USB-Key 进行Signature，改进了旧方法中在App的代码中或者服务器的环境变量中存储账号和密钥、并在非可信设备内计算Signature的思路，该步骤的引入的实质是把账号和密钥内置入USB-Key，并在片上系统(SoC)的固件代码中完成Signature，从而大大提高了安全性。

以上的仅是本发明的优选实施方式，应当指出，对于本领域的普通技术人员来说，在不脱离本发明创造构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。

Claims (1)

1.一种基于USB-Key和ZT-IAM的零信任网络访问控制方法，其特征在于：所述基于USB-Key和ZT-IAM的零信任网络访问控制方法包括准备阶段、签名阶段、令牌请求阶段、授权阶段、操作请求阶段，准备阶段包括以下步骤：

(1)确定请求方式和令牌请求地址；

(2)按照所需权限确定角色，按照操作内容确定事由；

(3)以终端为权威确定时间戳；

(4)通过可信服务模块接口将步骤(1)至(3)的键值对发送至USB-Key；

所述签名阶段包括以下步骤：

(5)USB-Key加载TCM非易失存储器内部的AccessKeyId、Version、SignatureMethod等；

(6)USB-Key调用TCM随机数产生器作为SignatureNonce的值的基数；

(7)将步骤(4)至(6)得到的键值对进行组合及排序，形成原始字典；

(8)将步骤(7)形成的原始字典依次进行排序、字典编码、字符串编码，形成消息；

(9)USB-Key加载TCM非易失存储器内部的AccessKeySecret；

(10)以步骤(8)形成的消息为消息，以步骤(9)加载的AccessKeySecret为密钥，以步骤(5)加载的SignatureMethod的值为算法，在TCM可信计算区的杂凑算法单元进行哈希计算及Base64编码得到Signature；

所述令牌请求阶段包括以下步骤：

(11)将步骤(10)所得Signature键值对添加至步骤(7)所述原始字典的任意位置，形成参数字典；

(12)将步骤(11)所述参数字典返回至App，App将该字典的QueryString格式的字符串作为https请求的参数，发至令牌请求地址；

所述授权阶段包括以下步骤：

(13)令牌服务从App发起的请求中解析请求方式、令牌请求地址和参数字典；

(14)以步骤(13)所述参数字典中的AccessKeyId为索引查找相应AccessKeySecret；

(15)重复步骤(8)生成消息，以步骤(14)所述AccessKeySecret为密钥，进行哈希计算及Base64编码得到Signature；

(16)步骤(15)与步骤(13)所述参数字典中的Signature校验，如一致，根据步骤(23)所述的提取出的参数字典中解析出的角色签发临时身份sts.AccessKeyId、临时密钥sts.AccessKeySecret和临时令牌token，返回给App；

所述操作请求阶段包括以下步骤：

(17)重复步骤(1)(5)至(11)计算用于请求操作的参数字典，并在用于请求操作的参数字典中填入操作动作Action，在请求操作的URL中将原有认证信息替换为步骤(16)所述临时身份信息，发送至操作服务；

(18)操作服务转发参数字典进行核验，如通过执行操作，否则记入日志。

Images