CN113949573B - 一种零信任的业务访问控制系统及方法 - Google Patents
一种零信任的业务访问控制系统及方法 Download PDFInfo
- Publication number
- CN113949573B CN113949573B CN202111212175.5A CN202111212175A CN113949573B CN 113949573 B CN113949573 B CN 113949573B CN 202111212175 A CN202111212175 A CN 202111212175A CN 113949573 B CN113949573 B CN 113949573B
- Authority
- CN
- China
- Prior art keywords
- zero
- service
- trust
- user terminal
- zero trust
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 41
- 238000011217 control strategy Methods 0.000 claims description 29
- 230000006870 function Effects 0.000 description 37
- 230000008569 process Effects 0.000 description 8
- 238000004891 communication Methods 0.000 description 6
- 238000012795 verification Methods 0.000 description 6
- 238000013475 authorization Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 210000001503 joint Anatomy 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/251—Translation of Internet protocol [IP] addresses between different IP versions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种零信任的业务访问控制系统及方法,其中系统包括:用户终端,用于向5G基站发送针对企业内网的业务访问请求;5G基站,用于获取用户终端针对企业内网的业务访问请求,生成业务请求报文并发送给用户面功能;用户面功能,用于根据业务访问请求的目标地址和预设的分流策略确定目标边缘节点,将业务请求报文发送给目标边缘节点上的零信任系统;边缘节点,用于部署零信任系统,接收业务请求报文,依次通过用户终端身份认证和业务访问请求权限后,将业务访问请求转发至企业内网;企业内网,用于根据业务访问请求为用户终端提供业务访问服务。本发明实现用户侧无需安装客户端就能安全访问企业内网,业务访问操作便捷,提升用户体验。
Description
技术领域
本发明涉及计算机通信技术领域,尤其是涉及一种零信任的业务访问控制系统及方法。
背景技术
近年来5G网络发展迅速,用户业务访问时的网络安全问题变得越来越重要。传统的网络安全结构是基于网络的物理边界,攻击者一旦攻破了网络边界,在整个网络中就能畅通无阻。
目前,形成了一种新型网络安全模式即零信任模式,将基于物理边界的网络安全方法重构为基于端到端身份边界的网络安全方法,攻击者即使突破了企业内网的防火墙,想要进一步访问到具体的应用或服务器,也要进行相应的身份验证。
传统的零信任系统,需要在用户侧安装客户端,通过VPN的技术方案实现客户端与网关的通信。用户访问企业内部应用资源前,需要进行登录校验,业务访问操作过程较复杂,给用户业务访问带来不便,用户体验不友好;同时,用户的登录信息可能会被泄露,企业内网可能存在安全隐患。
发明内容
本发明的目的是提供一种零信任的业务访问控制系统及方法,以解决现有技术中对远程用户访问企业内部资源时需安装对应客户端的技术问题。
本发明的目的,可以通过如下技术方案实现:
本发明提供了一种零信任的业务访问控制系统,包括:
用户终端,用于向5G基站发送针对企业内网的业务访问请求,所述业务访问请求中包含所述用户终端请求访问的目标地址;
5G基站,用于获取用户终端针对企业内网的业务访问请求,根据所述业务访问请求和所述用户终端的信息生成业务请求报文并发送给用户面功能;
用户面功能,用于根据所述目标地址和预设的分流策略确定目标边缘节点,将所述业务请求报文发送给所述目标边缘节点上的零信任系统;
边缘节点,用于部署零信任系统,所述零信任系统用于管理用户终端权限和接收所述业务请求报文,根据预设的访问控制策略对所述用户终端进行身份认证,身份认证成功后,对所述业务访问请求进行权限判定,判定成功后将所述业务访问请求转发至所述目标地址对应的企业内网;
企业内网,用于根据所述业务访问请求为所述用户终端提供相应的业务访问服务。
可选地,所述预设的分流策略包括:
将距离所述目标地址最近的边缘节点作为目标边缘节点。
可选地,所述零信任系统包括:
依次连接的零信任平台、零信任控制器和零信任网关;
其中,所述零信任平台管理用户终端权限及将预设的访问控制策略下发给所述零信任控制器和所述零信任网关,所述零信任控制器根据所述访问控制策略对所述用户终端进行身份认证,身份认证成功后,将所述业务请求报文和对应的企业专线地址发送给所述零信任网关,所述零信任网关对所述业务访问请求进行权限判定,判定成功后将所述用户终端的业务访问请求转发至所述目标地址对应的企业内网。
可选地,将所述业务请求报文发送给所述目标边缘节点上的零信任系统包括:
将所述业务请求报文发送给所述目标边缘节点上的所述零信任控制器。
可选地,所述零信任系统用于管理用户终端权限和接收所述业务请求报文,根据预设的访问控制策略对所述用户终端进行身份认证,身份认证成功后,对所述业务访问请求进行权限判定,判定成功后将所述业务访问请求转发至所述目标地址对应的企业内网包括:
所述零信任平台用于管理用户终端权限及将预设的访问控制策略下发给所述零信任控制器和所述零信任网关,所述零信任控制器用于接收所述业务请求报文,根据预设的访问控制策略对所述用户终端进行身份认证,身份认证成功后,将所述业务请求报文和对应的企业专线地址发送给所述零信任网关,所述零信任网关用于对所述业务访问请求进行权限判定,判定成功后将所述业务访问请求转发至所述目标地址对应的企业内网。
本发明还提供了一种零信任的业务访问控制方法,包括:
5G基站获取用户终端针对企业内网的业务访问请求,生成业务请求报文并发送给用户面功能,所述业务请求报文包括所述业务访问请求和所述用户终端的信息,所述业务访问请求中包含所述用户终端请求访问的目标地址;
所述用户面功能根据所述目标地址和预设的分流策略确定目标边缘节点,将所述业务请求报文发送给所述目标边缘节点上的零信任系统;
所述零信任系统管理用户终端权限和接收所述业务请求报文,根据预设的访问控制策略对所述用户终端进行身份认证,身份认证成功后,对所述业务访问请求进行权限判定,判定成功后将所述业务访问请求转发至所述目标地址对应的企业内网;
企业内网根据所述业务访问请求为所述用户终端提供相应的业务访问服务。
可选地,所述用户面功能根据所述目标地址和预设的分流策略确定目标边缘节点包括:
所述用户面功能获取所述业务访问请求的目标地址,将距离所述目标地址最近的边缘节点作为目标边缘节点。
可选地,所述零信任系统包括:
依次连接的零信任平台、零信任控制器和零信任网关;
其中,所述零信任平台管理用户终端权限及将预设的访问控制策略下发给所述零信任控制器和所述零信任网关,所述零信任控制器根据所述访问控制策略对所述用户终端进行身份认证,身份认证成功后,将所述业务请求报文和对应的企业专线地址发送给所述零信任网关,所述零信任网关对所述业务访问请求进行权限判定,判定成功后将所述用户终端的业务访问请求转发至所述目标地址对应的企业内网。
可选地,将所述业务请求报文发送给所述目标边缘节点上的零信任系统包括:
将所述业务请求报文发送给所述目标边缘节点上的所述零信任控制器。
可选地,所述零信任系统管理用户终端权限和接收所述业务请求报文,根据预设的访问控制策略对所述用户终端进行身份认证,身份认证成功后,对所述业务访问请求进行权限判定,判定成功后将所述业务访问请求转发至所述目标地址对应的企业内网包括:
所述零信任平台管理用户终端权限及将预设的访问控制策略下发给所述零信任控制器和所述零信任网关,所述零信任控制器接收所述业务请求报文,根据预设的访问控制策略对所述用户终端进行身份认证,身份认证成功后,将所述业务请求报文和对应的企业专线地址发送给所述零信任网关,所述零信任网关对所述业务访问请求进行权限判定,判定成功后将所述业务访问请求转发至所述目标地址对应的企业内网。
本发明提供了一种零信任的业务访问控制系统及方法,其中系统包括:用户终端,用于向5G基站发送针对企业内网的业务访问请求,所述业务访问请求中包含所述用户终端请求访问的目标地址;5G基站,用于获取用户终端针对企业内网的业务访问请求,根据所述业务访问请求和所述用户终端的信息生成业务请求报文并发送给用户面功能;用户面功能,用于根据所述目标地址和预设的分流策略确定目标边缘节点,将所述业务请求报文发送给所述目标边缘节点上的零信任系统;边缘节点,用于部署零信任系统,所述零信任系统管理用户终端权限和接收所述业务请求报文,根据预设的访问控制策略对所述用户终端进行身份认证,身份认证成功后,对所述业务访问请求进行权限判定,判定成功后将所述业务访问请求转发至所述目标地址对应的企业内网;企业内网,用于根据所述业务访问请求为所述用户终端提供相应的业务访问服务。
有鉴于此,本发明的技术方案带来的有益效果是:
本实施例融合5G网络和边缘计算,在边缘节点上部署零信任系统,将零信任网关下沉至边缘节点,用户签约三大运营商5G套餐的方式,通过5G网络、用户面功能UPF及边缘计算,实现零信任免客户端的可信任的增强访问,实现用户侧无客户端的零信任接入方案,用户侧无需安装零信任客户端就能安全访问企业内网的应用资源,业务访问操作过程方便快捷,提升用户的体验感;同时,用户进行业务访问时无需登录客户端,能保证企业内网应用资源的安全性。
附图说明
图1为现有技术中传统的网络安全结构示意图;
图2为零信任架构示意图;
图3为本发明业务访问控制系统的结构示意图;
图4为本发明的零信任系统结构示意图;
图5为本发明业务访问控制方法的流程示意图;
图6为本发明业务访问控制方法实施例的结构示意图。
具体实施方式
术语解释:
零信任架构(Zero Trust Architecture,ZTA):是一种基于零信任原则的企业网络安全架构,旨在防止数据泄露和限制内部横向移动。
用户面功能(User Plane Function,UPF):是3GPP 5G核心网系统架构的重要组成部分,主要负责5G核心网用户面数据包的路由和转发相关功能。UPF在5G面向低时延、大带宽的边缘计算和网络切片技术上发挥着举足轻重的作用。
策略控制功能(Policy Control Function,PCF):是一个标准的5GC网元,主要提供接入移动性策略控制和会话管理策略控制功能。
光传送网(optical transport network,OTN):是网络的一种类型,是指在光域内实现业务信号的传送、复用、路由选择、监控,并且保证其性能指标和生存性的传送网络。
本发明实施例提供了一种零信任的业务访问控制系统及方法,以解决现有技术中对远程用户访问企业内部资源需安装客户端的技术问题。
为了便于理解本发明,下面将参照相关附图对本发明进行更全面的描述。附图中给出了本发明的首选实施例。但是,本发明可以以许多不同的形式来实现,并不限于本文所描述的实施例。相反地,提供这些实施例的目的是使对本发明的公开内容更加透彻全面。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本发明。本文所使用的术语“及/或”包括一个或多个相关的所列项目的任意的和所有的组合。
近年来5G发展潮流势不可挡,在5G新网络形态下,为缩短端到端业务的时延,减少大带宽视频业务对骨干网络资源的占用,满足业务与数据的本地化处理和安全要求,多接入边缘计算MEC的边缘计算能力发展迅速。此时,5G、MEC的技术运用,在多云混合管理模式下,存在应用系统多、使用人员广、暴露面多等安全风险,传统安全防护手段难以应对。
请参阅图1,传统的网络安全结构把不同的网络划分为不同的区域,例如,分成互联网区、隔离区、可信区和特权区,不同区域之间使用不同的防火墙进行隔离。在这种网络安全结构下,远程办公员工可在互联网上通过VPN网关访问企业可信区域的私有服务,但是,不受信任的客户端或终端设备也可以通过负载均衡的策略企业应用服务,甚至通过黑客手段以应用服务为突破口,访问到企业服务器。
传统的网络安全模型以网络边界作为防护边界,通常采用防火墙等设备在企业入口处对流量进行监控,远程用户或采用VPN的方式接入内网,内网环境被认为是安全的。
典型的企业网络基础设施变得日益复杂。一个企业可以运行多个内部网络、拥有自己的本地基础设施、远程办公室、远程和/或移动个人,以及云服务。传统的网络安全结构是将企业内网、企业员工、服务器等通过防火墙这一“城墙”包围起来的基于物理边界的网络安全方法,而日益复杂的企业网络基础设施导致企业网络物理边界从单一变为多元,更加难以识别。这种基于物理边界的网络安全方法是不够安全的,因为一旦攻击者突破边界,进一步的横向移动便会畅通无阻。
针对复杂的企业,形成了一种新型网络安全模式,称为“零信任”(Zero Trust,缩写ZT),将传统的基于物理边界的网络安全方法重构为基于端到端身份边界的网络安全方法,对每个端之间的访问都要持续进行身份验证,攻击者即使突破了企业内网的防火墙,想要访问到具体的应用或服务器,也要进行相应的身份验证。
作为新一代的网络安全防护理念,零信任坚持“持续验证,永不信任”,基于身份认证和授权重新构建了访问控制的基础,默认情况下不应该信任企业网络内部和外部的任何人/设备/应用,因此,基于零信任架构需要保证所有的设备、用户和网络流量都经过认证和授权,且安全策略必须是动态的,并基于尽可能多的数据源计算而来。
零信任架构(Zero Trust Architecture,缩写ZTA)是一种基于零信任原则的企业网络安全架构,旨在防止数据泄露和限制内部横向移动。利用分布式策略实施和应用零信任原则,其网络安全架构如图2所示。
请参阅图2,零信任架构的支撑系统称为控制平面,其他部分称为数据平面,数据平面由控制平面指挥和配置。访问受保护资源的请求需要经过控制平面处理,包括设备和用户的身份认证与授权。细粒度的控制策略也在这一层进行,控制平面可以基于组织中的角色、时间或设备类型进行授权。如果用户需要访问安全等级更高的资源,那么就需要执行更高强度的认证。具体流程如图2所示,远程办公员工要先在控制平面进行身份认证和授权,在控制平面细粒度控制策略下,访问相应的私有服务或者通过安全网关访问其他服务等,客户端或终端设备也需要先在控制平面进行身份认证和授权,才能在负载均衡策略下访问应用服务器或其他服务器等。
现有技术方案中,在用户侧安装零信任客户端,在企业公网服务器上私有化部署零信任控制器和零信任网关,也可将控制器与网关结合作为一个整体私有化部署在企业公网服务器,通过零信任控制器进行身份校验与访问控制,通过VPN实现客户端与网关的通信,零信任网关通过代理转发技术实现客户端访问企业内网应用资源。
请参阅图3,本发明提供了一种零信任的业务访问控制系统的实施例,包括:
用户终端,用于向5G基站发送针对企业内网的业务访问请求,所述业务访问请求中包含所述用户终端请求访问的目标地址;
5G基站,用于获取用户终端针对企业内网的业务访问请求,根据所述业务访问请求和所述用户终端的信息生成业务请求报文并发送给用户面功能;
用户面功能,用于根据所述目标地址和预设的分流策略确定目标边缘节点,将所述业务请求报文发送给所述目标边缘节点上的零信任系统;
边缘节点,用于部署零信任系统,所述零信任系统管理用户终端权限和接收所述业务请求报文,根据预设的访问控制策略对所述用户终端进行身份认证,身份认证成功后,对业务访问请求进行权限判定,判定成功后将所述业务访问请求转发至所述目标地址对应的企业内网;
企业内网,用于根据所述业务访问请求为所述用户终端提供相应的业务访问服务。
本实施例提供的零信任的业务访问控制系统,部署方案包括运营商大网侧、边缘节点和企业侧,在边缘节点上设置零信任系统,零信任系统包括零信任平台、零信任控制器和零信任网关,具体如下:
一、运营商大网侧
(1)IP地址预分配:为5G移动办公内网分配一段独占IPV6地址,5G移动办公内网可以为使用5G网络的企业内网,需要说明的是,企业内网包括企业内部的网站、应用系统、信息系统、服务器、数据库等企业内部数据资源。
(2)用户面功能UPF分流:5G网络中的策略控制功能PCF预先配置UPF的分流策略,用户面功能UPF根据用户请求访问的目标地址和预设的分流策略确定目标边缘节点,优选的实施方式,用户面功能UPF将距离所述目标地址最近的边缘节点作为目标边缘节点。
二、边缘节点
在边缘节点上部署零信任系统,请参阅图4,零信任系统包括依次连接的零信任平台、零信任控制器和零信任网关。其中,零信任平台管理用户终端权限及将预设的访问控制策略下发给零信任控制器和零信任网关,零信任控制器根据预设的访问控制策略对用户终端进行身份认证,身份认证成功后,将业务请求报文和对应的企业专线地址发送给零信任网关,零信任网关对业务访问请求进行权限判定,判定成功后,将用户终端的业务访问请求转发至目标地址对应的企业内网。
(1)零信任平台
零信任平台部署在目标边缘节点上,即将零信任平台部署在离用户终端请求访问的企业内网最近的边缘节点上。零信任平台配置边缘节点、路由策略(员工手机号码、企业专线地址等)、企业信息、各企业对应的内网资源信息、相应的访问策略等信息,通过Redis(Remote Dictionary Server,即远程字典服务)缓存中间件或API接口调用的方式,将路由策略、企业内网资源信息、访问策略等信息下发给零信任控制器和零信任网关。可以理解的是,零信任平台管理用户终端权限并将预设的访问控制策略下发给零信任控制器和零信任网关,预设的访问控制策略包括路由策略、访问策略、企业专线地址、企业内网资源信息等。
(2)零信任控制器:
零信任控制器部署在目标边缘节点上,用户面功能UPF通过N6接口与零信任控制器对接,零信任控制器根据预设的访问控制策略对用户终端进行身份认证。
需要说明的是,用户面功能UPF作为移动网络和数据网络(DN,Data Network)的连接点,重要接口包括N3、N4、N6、N9、N19、Gi/SGi、S5/S8-U、S1-U等。以N开头是UPF与5G核心网控制面网元或者外部网络交互的接口。其中,数据网络DN为运营商服务,因特网接入或第三方服务等。
用户面功能UPF的N6接口是用户面功能UPF和外部数据网络DN之间的接口,在特定场景下(例如企业专用MEC访问),N6接口要求支持专线或L2/L3层隧道,可基于IP与数据网络DN通信。
(3)零信任网关
零信任网关部署在目标边缘节点上,零信任网关接收并保持路由策略,根据零信任平台下发的路由策略,对全部访问进行合法性校验及专线路由;实现IPv6和IPv4间的转换(IPv6地址后32位即IPv4地址),与客户内网即企业内网进行互通。
零信任网关对所述业务访问请求进行权限判定及根据零信任平台下发的企业专线地址,代理转发到对应的OTN专线,用户终端通过OTN专线访问相应的企业内网资源。
三、企业侧:
企业需开通5G移动OTN专线,企业内网具有相应的企业专线地址;配置并发布企业内部服务DNS。
本实施例提供的一种零信任的业务访问控制系统,5G基站获取用户终端针对企业内网的业务访问请求,根据业务访问请求和用户终端的信息生成业务请求报文并发送给用户面功能;用户面功能根据目标地址和预设的分流策略确定目标边缘节点,将业务请求报文发送给所述目标边缘节点上的零信任系统;边缘节点上部署了零信任系统,零信任系统包括零信任平台、零信任控制器和零信任网关,零信任平台管理用户终端权限并将预设的访问控制策略下发给零信任控制器和零信任网关,零信任控制器根据预设的访问控制策略对用户终端进行身份认证,身份认证成功后,将业务请求报文和对应的企业专线地址发送给零信任网关,零信任网关对业务访问请求进行权限判定,判定成功后,将用户终端的业务访问请求转发至目标地址对应的企业内网,企业内网为用户终端提供相应的业务访问服务。
本实施例融合5G网络和边缘计算,在边缘节点上部署零信任系统,将零信任网关下沉至边缘节点,用户签约三大运营商5G套餐的方式,通过5G网络、用户面功能UPF及边缘计算,实现零信任免客户端的可信任的增强访问,实现用户侧无客户端的零信任接入方案,用户侧无需安装零信任客户端就能安全访问企业内网的应用资源,业务访问操作过程方便快捷,提升用户的体验感;同时,用户进行业务访问时无需登录客户端,能保证企业内网应用资源的安全性。
请参阅图5,本发明提供了一种零信任的业务访问控制方法的实施例,包括:
S1:5G基站获取用户终端针对企业内网的业务访问请求,生成业务请求报文并发送给用户面功能,所述业务请求报文包括所述业务访问请求和所述用户终端的信息,所述业务访问请求中包含所述用户终端请求访问的目标地址;
S2:所述用户面功能根据所述目标地址和预设的分流策略确定目标边缘节点,将所述业务请求报文发送给所述目标边缘节点上的零信任系统;
S3:所述零信任系统管理用户终端权限及接收所述业务请求报文,根据预设的访问控制策略对所述用户终端进行身份认证,身份认证成功后,对业务访问请求进行权限判定,判定成功后将所述业务访问请求转发至所述目标地址对应的企业内网;
S4:企业内网根据所述业务访问请求为所述用户终端提供相应的业务访问服务。
本实施例中,步骤S1的主要过程为:当5G网络的用户通过用户终端访问企业内网时,发起访问5G网络数据的业务访问请求,该业务访问请求中包含用户终端请求访问的目标地址;5G基站获取用户针对企业内网的业务访问请求后,将用户的业务访问请求和用户终端的信息(例如用户的手机号码)封装成业务请求报文,并将该业务请求报文发送给本地的用户面功能UPF。本实施例中的用户终端可以为移动手机、IPAD等移动终端。
在步骤S2中,5G基站的本地用户面功能UPF接收业务请求报文,根据业务请求报文获取用户终端请求访问的目标地址,根据该目标地址和预设的分流策略确定目标边缘节点,优选的实施方式,预设的分流策略为将距离该目标地址最近的边缘节点作为目标边缘节点。确定好目标边缘节点之后,用户面功能UPF将接收到的业务请求报文发送到目标边缘节点上的零信任系统。
在步骤S3中,所述零信任系统接收所述业务请求报文,根据预设的访问控制策略对所述用户终端进行身份认证,身份认证成功后,对业务访问请求进行权限判定,判定成功后,所述零信任系统将所述业务访问请求转发至所述目标地址。具体的,零信任系统中的零信任控制器接收用户面功能UPF发送的业务请求报文后,根据预设的访问控制策略对用户终端进行身份认证,若身份认证成功,零信任控制器将业务请求报文和对应的企业专线地址发送给零信任网关,零信任网关对业务访问请求进行权限判定,若权限判定成功,获取业务访问请求中的目标地址,检查该目标地址是否存在本地路由策略,若存在本地路由策略,但企业内网的地址为IPV4地址,则将IPv6地址转换为IPv4地址;若不存在本地路由策略,则零信任网关将业务请求报文丢弃。
零信任网关根据零信任控制器下发的企业专线地址,将业务访问请求代理转发到对应的企业专线,优选的实施方式,所述企业专线为OTN专线,用户终端通过OTN专线访问相应的企业内网资源。
值得说明的是,当存在本地路由策略时,零信任网关在转发时保存用户终端的IPv4与用户终端的IPv6间的关系,便于回包原路返回。回包即返回的数据包,业务请求报文是所谓的数据请求包,请求后,目标地址将响应内容通过返回的数据包返回给用户。
本实施例提供的一种零信任的业务访问控制方法,5G基站获取用户终端针对企业内网的业务访问请求,生成业务请求报文并发送给用户面功能,所述业务请求报文包括所述业务访问请求和所述用户终端的信息,所述业务访问请求中包含所述用户终端请求访问的目标地址;所述用户面功能根据所述目标地址和预设的分流策略确定目标边缘节点,将所述业务请求报文发送给所述目标边缘节点上的零信任系统;所述零信任系统管理用户终端权限和接收所述业务请求报文,根据预设的访问控制策略对所述用户终端进行身份认证,身份认证成功后,对所述业务访问请求进行权限判定,判定成功后将所述业务访问请求转发至所述目标地址对应的企业内网;企业内网根据所述业务访问请求为所述用户终端提供相应的业务访问服务。
本实施例融合5G网络和边缘计算,在边缘节点上部署零信任系统,将零信任网关下沉至边缘节点,用户签约三大运营商5G套餐,与三大运营商的用户手机号码进行绑定,能够提升用户粘性;通过5G网络、用户面功能UPF及边缘计算,实现了零信任免客户端的可信任的增强访问,实现了用户侧无客户端的零信任接入企业内网,用户侧无需安装零信任客户端就能安全访问企业内网的应用资源,为用户实现无感认证,提升用户接入的使用体验。用户进行业务访问的操作过程方便快捷,提升用户的体验感;同时,用户进行业务访问时无需登录客户端,能保证企业内网应用资源的安全性。
请参阅图6,本发明提供一种零信任的业务访问控制方法的另一个实施例,A企业员工和B企业员工用5G网络通过终端访问企业内网资源,该过程中,5G基站将资源获取请求和用户手机号发送到本地UPF,由本地UPF根据目标IP分流到离目标IP(客户企业)最近的边缘节点的零信任控制器,由零信任控制器进行身份认证和授权,由零信任网关将请求代理转发到手机号对应的企业专线地址,使得A企业员工精准访问到A企业内网资源,B企业员工精准访问到B企业内网资源。
具体的,A企业员工和B企业员工利用移动终端,通过5G网络分别访问A企业、B企业的企业内网资源,5G基站将A企业员工的业务访问请求和A企业员工的手机号封装成业务请求报文SA,将B企业员工的业务访问请求和B企业员工的手机号封装成业务请求报文SB,5G基站将业务请求报文SA和SB发送到本地用户面功能UPF。
用户面功能UPF根据业务请求报文SA、SB中的目标地址,将业务请求报文SA、SB分流到离目标IP(客户企业)最近的边缘节点的零信任控制器,由零信任控制器进行身份认证,身份认证成功后,将业务请求报文和对应的企业专线地址发送至零信任网关。零信任网关对业务访问请求进行权限判定,判定成功后,检查IP包(即业务请求报文SA、SB)中的目标地址,发现A企业和B企业均存在本地路由策略,其中,A企业内网地址为IPv6地址,则不需要转换,B企业内网地址为IPv4地址,则需要将IPv6地址转换为IPv4地址,由零信任网关将业务访问请求代理转发到手机号对应的企业专线地址,使得A企业员工精准访问到A企业的企业内网资源,B企业员工精准访问到B企业的企业内网资源。
本实施例结合5G网络和边缘计算,将零信任网关下沉至边缘节点,用户签约三大运营商5G套餐的方式,实现用户侧无客户端的零信任接入方案,解决了远程用户访问企业内部的应用资源时,终端需要安装对应的客户端才能访问企业内部的线上资源的技术问题。
本实施例提供的零信任的业务访问控制方法,结合5G网络和边缘计算,将零信任网关下沉至边缘节点,用户签约三大运营商5G套餐,与三大运营商的用户手机号码进行绑定,能够提升用户粘性;融合5G网络及边缘计算,实现零信任免客户端的可信任的增强访问,实现用户侧无需安装客户端就能安全访问企业内网资源,为用户实现无感认证,提升用户接入的使用体验。用户进行业务访问操作过程方便快捷,提升用户的体验感;同时,用户进行业务访问时无需登录客户端,能保证企业内网应用资源的安全性。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,系统和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的实施例中,应该理解到,所揭露的系统,系统和方法,可以通过其它的方式实现。例如,以上所描述的系统实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,系统或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种零信任的业务访问控制系统,其特征在于,包括:
用户终端,用于向5G基站发送针对企业内网的业务访问请求,所述业务访问请求中包含所述用户终端请求访问的目标地址;
5G基站,用于获取用户终端针对企业内网的业务访问请求,根据所述业务访问请求和所述用户终端的信息生成业务请求报文并发送给用户面功能;
用户面功能,用于根据所述目标地址和预设的分流策略确定目标边缘节点,将所述业务请求报文发送给所述目标边缘节点上的零信任系统;
边缘节点,用于部署零信任系统,所述零信任系统用于管理用户终端权限和接收所述业务请求报文,根据预设的访问控制策略对所述用户终端进行身份认证,身份认证成功后,对所述业务访问请求进行权限判定,判定成功后将所述业务访问请求转发至所述目标地址对应的企业内网;
企业内网,用于根据所述业务访问请求为所述用户终端提供相应的业务访问服务。
2.根据权利要求1所述的零信任的业务访问控制系统,其特征在于,所述预设的分流策略包括:
将距离所述目标地址最近的边缘节点作为目标边缘节点。
3.根据权利要求1或2所述的零信任的业务访问控制系统,其特征在于,所述零信任系统包括:
依次连接的零信任平台、零信任控制器和零信任网关;
其中,所述零信任平台管理用户终端权限及将预设的访问控制策略下发给所述零信任控制器和所述零信任网关,所述零信任控制器根据所述访问控制策略对所述用户终端进行身份认证,身份认证成功后,将所述业务请求报文和对应的企业专线地址发送给所述零信任网关,所述零信任网关对所述业务访问请求进行权限判定,判定成功后将所述用户终端的业务访问请求转发至所述目标地址对应的企业内网。
4.根据权利要求3所述的零信任的业务访问控制系统,其特征在于,将所述业务请求报文发送给所述目标边缘节点上的零信任系统包括:
将所述业务请求报文发送给所述目标边缘节点上的所述零信任控制器。
5.根据权利要求4所述的零信任的业务访问控制系统,其特征在于,所述零信任系统用于管理用户终端权限和接收所述业务请求报文,根据预设的访问控制策略对所述用户终端进行身份认证,身份认证成功后,对所述业务访问请求进行权限判定,判定成功后将所述业务访问请求转发至所述目标地址对应的企业内网包括:
所述零信任平台用于管理用户终端权限及将预设的访问控制策略下发给所述零信任控制器和所述零信任网关,所述零信任控制器用于接收所述业务请求报文,根据预设的访问控制策略对所述用户终端进行身份认证,身份认证成功后,将所述业务请求报文和对应的企业专线地址发送给所述零信任网关,所述零信任网关用于对所述业务访问请求进行权限判定,判定成功后将所述业务访问请求转发至所述目标地址对应的企业内网。
6.一种零信任的业务访问控制方法,其特征在于,包括:
5G基站获取用户终端针对企业内网的业务访问请求,生成业务请求报文并发送给用户面功能,所述业务请求报文包括所述业务访问请求和所述用户终端的信息,所述业务访问请求中包含所述用户终端请求访问的目标地址;
所述用户面功能根据所述目标地址和预设的分流策略确定目标边缘节点,将所述业务请求报文发送给所述目标边缘节点上的零信任系统;
所述零信任系统管理用户终端权限和接收所述业务请求报文,根据预设的访问控制策略对所述用户终端进行身份认证,身份认证成功后,对所述业务访问请求进行权限判定,判定成功后将所述业务访问请求转发至所述目标地址对应的企业内网;
企业内网根据所述业务访问请求为所述用户终端提供相应的业务访问服务。
7.根据权利要求6所述的零信任的业务访问控制方法,其特征在于,所述用户面功能根据所述目标地址和预设的分流策略确定目标边缘节点包括:
所述用户面功能获取所述业务访问请求的目标地址,将距离所述目标地址最近的边缘节点作为目标边缘节点。
8.根据权利要求6或7所述的零信任的业务访问控制方法,其特征在于,所述零信任系统包括:
依次连接的零信任平台、零信任控制器和零信任网关;
其中,所述零信任平台管理用户终端权限及将预设的访问控制策略下发给所述零信任控制器和所述零信任网关,所述零信任控制器根据所述访问控制策略对所述用户终端进行身份认证,身份认证成功后,将所述业务请求报文和对应的企业专线地址发送给所述零信任网关,所述零信任网关对所述业务访问请求进行权限判定,判定成功后将所述用户终端的业务访问请求转发至所述目标地址对应的企业内网。
9.根据权利要求8所述的零信任的业务访问控制方法,其特征在于,将所述业务请求报文发送给所述目标边缘节点上的零信任系统包括:
将所述业务请求报文发送给所述目标边缘节点上的所述零信任控制器。
10.根据权利要求8所述的零信任的业务访问控制方法,其特征在于,所述零信任系统管理用户终端权限和接收所述业务请求报文,根据预设的访问控制策略对所述用户终端进行身份认证,身份认证成功后,对所述业务访问请求进行权限判定,判定成功后将所述业务访问请求转发至所述目标地址对应的企业内网包括:
所述零信任平台管理用户终端权限及将预设的访问控制策略下发给所述零信任控制器和所述零信任网关,所述零信任控制器接收所述业务请求报文,根据预设的访问控制策略对所述用户终端进行身份认证,身份认证成功后,将所述业务请求报文和对应的企业专线地址发送给所述零信任网关,所述零信任网关对所述业务访问请求进行权限判定,判定成功后将所述业务访问请求转发至所述目标地址对应的企业内网。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111212175.5A CN113949573B (zh) | 2021-10-18 | 2021-10-18 | 一种零信任的业务访问控制系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111212175.5A CN113949573B (zh) | 2021-10-18 | 2021-10-18 | 一种零信任的业务访问控制系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113949573A CN113949573A (zh) | 2022-01-18 |
| CN113949573B true CN113949573B (zh) | 2024-01-23 |
Family
ID=79331439
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111212175.5A Active CN113949573B (zh) | 2021-10-18 | 2021-10-18 | 一种零信任的业务访问控制系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113949573B (zh) |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114430409B (zh) * | 2022-01-26 | 2023-08-15 | 网易(杭州)网络有限公司 | 网页访问方法、网页访问装置、存储介质及电子设备 |
| CN114615328B (zh) * | 2022-01-26 | 2024-03-12 | 北京美亚柏科网络安全科技有限公司 | 一种安全访问控制系统和方法 |
| CN114124583B (zh) * | 2022-01-27 | 2022-05-31 | 杭州海康威视数字技术股份有限公司 | 基于零信任的终端控制方法、系统及装置 |
| CN114448700B (zh) * | 2022-01-28 | 2024-06-14 | 杭州亿格云科技有限公司 | 数据访问方法、数据访问系统、计算机设备和存储介质 |
| CN114598498B (zh) * | 2022-01-28 | 2024-06-14 | 杭州亿格云科技有限公司 | 访问方法、访问系统、计算机设备和存储介质 |
| CN114553540B (zh) * | 2022-02-22 | 2024-03-08 | 平安科技(深圳)有限公司 | 基于零信任的物联网系统、数据访问方法、装置及介质 |
| CN114553568B (zh) * | 2022-02-25 | 2024-03-05 | 芽米科技(广州)有限公司 | 一种基于零信任单包认证与授权的资源访问控制方法 |
| CN114697230B (zh) * | 2022-03-18 | 2023-12-15 | 国网浙江省电力有限公司绍兴市上虞区供电公司 | 一种基于零信任的能源站安全监控系统及方法 |
| CN114745444B (zh) * | 2022-04-07 | 2024-05-24 | 国网电力科学研究院有限公司 | 基于5g网络流量分析的调控业务访问控制方法及系统 |
| CN114785577B (zh) * | 2022-04-12 | 2024-02-06 | 中国联合网络通信集团有限公司 | 一种零信任验证方法、系统及存储介质 |
| CN115378625B (zh) * | 2022-04-21 | 2024-03-08 | 国家计算机网络与信息安全管理中心 | 一种跨网信息安全交互方法及系统 |
| CN115001770A (zh) * | 2022-05-25 | 2022-09-02 | 山东极光智能科技有限公司 | 一种基于零信任的业务访问控制系统及控制方法 |
| CN115118465B (zh) * | 2022-06-13 | 2023-11-28 | 北京寰宇天穹信息技术有限公司 | 一种基于可信标签的云边端协同零信任访问控制方法及系统 |
| CN115065564B (zh) * | 2022-08-18 | 2022-11-01 | 天津天元海科技开发有限公司 | 一种基于零信任机制的访问控制方法 |
| CN115150830B (zh) * | 2022-09-02 | 2022-11-29 | 北京首信科技股份有限公司 | 5g专网接入认证失败时保障终端公网访问的方法和系统 |
| CN115834513A (zh) * | 2022-11-23 | 2023-03-21 | 中国联合网络通信集团有限公司 | 一种远程访问方法、装置及存储介质 |
| CN115550074B (zh) * | 2022-11-30 | 2023-03-03 | 北京时代亿信科技股份有限公司 | 零信任验证方法、装置、系统及电子设备 |
| CN116017454A (zh) * | 2022-12-30 | 2023-04-25 | 中国联合网络通信集团有限公司 | 基于业务访问的认证方法、装置、设备及存储介质 |
| CN115996381B (zh) * | 2023-03-22 | 2023-06-23 | 广州赛讯信息技术有限公司 | 一种无线专网的网络安全管控方法、系统、装置及介质 |
| CN116319024B (zh) * | 2023-03-23 | 2024-07-30 | 北京神州泰岳软件股份有限公司 | 零信任系统的访问控制方法、装置及零信任系统 |
| CN117061243B (zh) * | 2023-10-11 | 2024-02-06 | 国网信息通信产业集团有限公司 | 一种面向终端的边缘零信任引擎、认证防护系统及方法 |
| CN117614752B (zh) * | 2024-01-24 | 2024-03-22 | 明阳点时科技(沈阳)有限公司 | 一种双层零信任企业生产网安全自组网方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112019560A (zh) * | 2020-09-07 | 2020-12-01 | 长沙誉联信息技术有限公司 | 一种端到端的零信任安全网关系统 |
| CN112073969A (zh) * | 2020-09-07 | 2020-12-11 | 中国联合网络通信集团有限公司 | 5g网络安全防护方法及系统 |
| CN113507462A (zh) * | 2021-07-05 | 2021-10-15 | 中国联合网络通信集团有限公司 | 零信任的数据监测预警方法、装置、系统和存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3704846B1 (en) * | 2017-11-03 | 2021-08-04 | Todyl, Inc. | Cloud-based multi-function firewall and zero trust private virtual network |
-
2021
- 2021-10-18 CN CN202111212175.5A patent/CN113949573B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112019560A (zh) * | 2020-09-07 | 2020-12-01 | 长沙誉联信息技术有限公司 | 一种端到端的零信任安全网关系统 |
| CN112073969A (zh) * | 2020-09-07 | 2020-12-11 | 中国联合网络通信集团有限公司 | 5g网络安全防护方法及系统 |
| CN113507462A (zh) * | 2021-07-05 | 2021-10-15 | 中国联合网络通信集团有限公司 | 零信任的数据监测预警方法、装置、系统和存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 基于零信任架构的5G核心网安全改进研究;刘建华;;邮电设计技术(第09期) * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113949573A (zh) | 2022-01-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113949573B (zh) | 一种零信任的业务访问控制系统及方法 | |
| US7876712B2 (en) | Overlay network infrastructure | |
| US8122493B2 (en) | Firewall based on domain names | |
| US11546444B2 (en) | Traffic forwarding and disambiguation by using local proxies and addresses | |
| US8533780B2 (en) | Dynamic content-based routing | |
| CN100571188C (zh) | 一种提高ssl网关处理效率的方法及ssl网关 | |
| US8661524B2 (en) | Selective desktop control of virtual private networks (VPN's) in a multiuser environment | |
| EP4022876B1 (en) | Preventing a network protocol over an encrypted channel, and applications thereof | |
| US11895149B2 (en) | Selective traffic processing in a distributed cloud computing network | |
| US20170171154A1 (en) | Privacy enhancing networks | |
| EP2638496B1 (en) | Method and system for providing service access to a user | |
| US11855958B2 (en) | Selection of an egress IP address for egress traffic of a distributed cloud computing network | |
| CN105187380A (zh) | 一种安全访问方法及系统 | |
| US12052293B2 (en) | Identity-based application of domain filtering rules using domain name system (DNS) platform | |
| CN111416815B (zh) | 报文处理方法、电子设备和存储介质 | |
| AU2013407830A1 (en) | A method for providing a connection between a communications service provider and an Internet Protocol, IP, server, providing a service, as well as a Perimeter network, comprising the IP server, and an IP server providing the service. | |
| Lee et al. | Hierarchical access control for SDP-IoT | |
| US11943195B1 (en) | Zero-trust DNS and FQDN based traffic acquisition using synthetic IP | |
| US20240236069A9 (en) | System and method for safely relaying and filtering kerberos authentication and authorization requests across network boundaries | |
| CN116668181A (zh) | 一种内网访问方法、电子设备及存储介质 | |
| Lee et al. | IoT standard platform architecture that provides defense against DDoS attacks | |
| CN118677634A (zh) | 数据访问方法及相关设备 | |
| CN118802320A (zh) | 网络接入方法、装置、电子设备、存储介质及产品 | |
| CN117715043A (zh) | 一种业务访问方法、装置、设备及存储介质 | |
| CN117395014A (zh) | 安全数据交换系统、方法、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240325 Address after: Unit 1, Building 1, China Telecom Zhejiang Innovation Park, No. 8 Xiqin Street, Wuchang Street, Yuhang District, Hangzhou City, Zhejiang Province, 311100 Patentee after: Tianyi Shilian Technology Co.,Ltd. Country or region after: China Address before: Room 1423, No. 1256 and 1258, Wanrong Road, Jing'an District, Shanghai 200040 Patentee before: Tianyi Digital Life Technology Co.,Ltd. Country or region before: China |