CN113992402B - 一种基于零信任策略的访问控制方法、系统及介质 - Google Patents
一种基于零信任策略的访问控制方法、系统及介质 Download PDFInfo
- Publication number
- CN113992402B CN113992402B CN202111253205.7A CN202111253205A CN113992402B CN 113992402 B CN113992402 B CN 113992402B CN 202111253205 A CN202111253205 A CN 202111253205A CN 113992402 B CN113992402 B CN 113992402B
- Authority
- CN
- China
- Prior art keywords
- zero
- trust
- access request
- access
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 83
- 238000013475 authorization Methods 0.000 claims abstract description 49
- 238000012795 verification Methods 0.000 claims abstract description 49
- 230000008520 organization Effects 0.000 claims description 19
- 230000000977 initiatory effect Effects 0.000 claims description 4
- 230000005540 biological transmission Effects 0.000 abstract description 16
- 230000008569 process Effects 0.000 description 19
- 238000010586 diagram Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 9
- 238000004590 computer program Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 3
- 230000007547 defect Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 101000652292 Homo sapiens Serotonin N-acetyltransferase Proteins 0.000 description 1
- 102100030547 Serotonin N-acetyltransferase Human genes 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000007599 discharging Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000007789 sealing Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/03—Protocol definition or specification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2212/00—Encapsulation of packets
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种基于零信任策略的访问控制方法、系统及介质,包括:接收来自零信任客户端的访问请求,访问请求利用传输层安全性协议封装,其中包括零信任客户端的身份信息和访问请求原始数据包,访问请求原始数据包采用传输层网络协议生成;利用传输层安全性协议进行解封装,获得身份信息和访问请求原始数据包;根据身份信息进行身份认证,在身份认证通过后,对零信任客户端进行授权验证,授权验证通过时利用传输层网络协议将访问请求原始数据包进行转发。应用本申请实施例的方案,不但可以保证访问内网的安全性,而且由于是在传输层的层面上对访问请求进行控制,无需受应用层网络协议类型的限制,从而可以覆盖更多的应用场景。
Description
技术领域
本申请涉及互联网技术领域,尤其涉及一种基于零信任策略的访问控制方法,一种基于零信任策略的访问控制系统,一种计算机可读存储介质及计算机程序产品。
背景技术
为了保证企业内部网络的安全,目前提出一种零信任策略的网络架构,希望用以控制用户对企业内部的访问。但现有的基于零信任策略的方案仅针对应用层,还不够成熟,不能对企业内部网络的访问进行有效地控制。
发明内容
针对上述现有技术,本发明实施例公开一种基于零信任策略的访问控制方法,可以克服零信任策略架构下没有对内网访问进行有效控制的缺陷,达到保障内网访问的安全性的目的。
鉴于此,本申请实施例提出的一种基于零信任策略的访问控制方法,该方法包括:
接收来自零信任客户端的访问请求,所述访问请求利用传输层安全性协议封装,其中包括所述零信任客户端的身份信息和访问请求原始数据包,所述访问请求原始数据包采用传输层网络协议生成;
利用所述传输层安全性协议进行解封装,获得所述身份信息和所述访问请求原始数据包;
根据所述身份信息进行身份认证,在身份认证通过后,对所述零信任客户端进行授权验证,所述授权验证通过时利用所述传输层网络协议将所述访问请求原始数据包进行转发。
进一步地,
所述利用所述传输层安全性协议进行解封装,获得所述身份信息和所述访问请求原始数据包的步骤包括:
零信任网关利用所述传输层安全性协议进行解封装,获得第一网络层部分、第一传输层部分和第一应用层部分;所述第一应用层部分是利用设置的私有协议将所述身份信息和所述访问请求原始数据包进行封装的部分;
所述零信任网关从所述第一网络层部分获得源IP地址;
所述零信任网关对所述第一应用层部分进行解封装,获得所述身份信息和所述访问请求原始数据包。
进一步地,
所述利用传输层安全性协议进行解封装的步骤和所述根据身份信息进行身份认证的步骤之间,该方法进一步包括:
所述零信任网关利用所述传输层网络协议对所述访问请求原始数据包进行解析,获得目的IP地址、目的端口和访问协议,所述访问协议为所述传输层网络协议。
进一步地,
所述根据身份信息进行身份认证的步骤包括:
所述零信任网关向决策中心发起认证请求,所述认证请求包括所述源IP地址、所述身份信息、所述目的IP地址、所述目的端口和所述访问协议,所述身份信息包括用户ID、设备信息、时间戳和第一基于哈希的消息认证码(HMAC);
所述决策中心利用所述用户ID、所述设备信息、所述时间戳,以及事先获得的登录态凭证计算获得第二HMAC,所述登录态凭证是零信任服务端为所述零信任客户端颁发的身份验证信息;
所述决策中心比较所述第一HMAC和所述第二HMAC是否相同,如果相同,则确定身份认证通过;否则,确定身份认证未通过。
进一步地,
所述零信任网关向决策中心发起认证请求的步骤和所述对零信任客户端进行授权验证的步骤之间,该方法进一步包括:
所述决策中心将所述用户ID和所述设备信息作为索引,获取事先保存的用户组织信息,所述用户组织信息表示用户所属的组织。
进一步地,
所述对零信任客户端进行授权验证的步骤包括:
所述决策中心将获得的所述用户ID、所述用户组织信息、所述设备信息、所述源IP地址、所述目的IP地址、所述目的端口和所述访问协议作为七元组;
所述决策中心根据所述七元组查询数据库,如果所述数据库中记录有所述七元组,则确定授权验证通过;否则,确定授权验证未通过。
进一步地,
所述接收来自零信任客户端的访问请求的步骤之前,该方法进一步包括:
所述零信任客户端向零信任服务端发起身份验证请求,所述身份验证请求包括域账号和密码,身份验证通过时,所述零信任服务端向所述零信任客户端颁发表示身份验证信息的所述登录态凭证;
所述零信任客户端根据所述用户ID、所述设备信息、所述时间戳和所述登录态凭证计算所述第一HMAC,并将所述用户ID、所述设备信息、所述时间戳和所述第一HMAC作为所述零信任客户端的身份信息;
所述零信任客户端拦截获得生成的所述访问请求,并将所述访问请求转发给所述零信任网关。
进一步地,
所述对零信任客户端进行授权验证的步骤之前,该方法进一步包括:
通过Web服务方式在配置引擎中配置授权策略,所述授权策略包括所述七元组,并将配置的授权策略下发给所述数据库保存。
所述零信任网关的管理面下发操作指令时,该方法进一步包括:
所述零信任网关的管理面对所述操作指令进行解析,将解析出的操作指令通过远程调用协议传输给所述零信任网关的控制面,所述操作指令包括所述用户ID;
所述零信任网关的控制面根据所述用户ID查询事先建立的会话表,确定所述用户ID对应的会话通道,通过所述会话通道将所述操作指令传输给所述零信任网关的数据面;
所述零信任网关的数据面通过所述会话通道接收所述操作指令,执行所述操作指令。
针对上述现有技术,本发明实施例公开一种基于零信任策略的访问控制系统,可以克服零信任策略架构下没有对内网访问进行有效控制的缺陷,达到保障内网访问的安全性的目的。
该系统包括:
零信任客户端,用于拦截获得访问请求原始数据包,利用传输层安全性协议封装并转发,其中包括所述零信任客户端的身份信息和所述访问请求原始数据包,所述访问请求原始数据包采用传输层网络协议生成;
零信任网关,用于接收所述访问请求,利用所述传输层安全性协议进行解封装,获得所述身份信息和所述访问请求原始数据包;根据所述身份信息向决策中心发起身份认证;授权验证通过时利用所述传输层网络协议将所述访问请求原始数据包进行转发;
决策中心,用于根据所述身份信息进行身份认证,在身份认证通过后,对所述零信任客户端进行授权验证。
针对上述现有技术,本发明实施例公开一种计算机可读存储介质,其上存储有计算机指令,所述指令被处理器执行时可实现上述任一项基于零信任策略的访问控制方法的步骤。
针对上述现有技术,本发明实施例公开一种计算机程序产品,包括计算机指令,所述计算机指令在被处理器执行时实施如上述任一项所述的基于零信任策略的访问控制方法。
综上所述,本申请实施例在零信任策略架构下,在传输层协上对访问请求进行控制,并通过身份认证和授权验证确定是否转发访问请求的原始数据包,不但可以保障内网访问的安全性,还可以覆盖任何的应用层网络协议,不受应用层网络协议的限制,可应用于更多的应用场景。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实现基于零信任策略的访问控制方法实施例一的流程图;
图2是本申请实施例中TLS数据包的结构示意图。
图3是本申请实现基于零信任策略的访问控制方法实施例二的流程图。
图4是本申请实现基于零信任策略的访问控制方法实施例三的流程图。
图5是本申请实现基于零信任策略的访问控制系统实施例一的结构示意图。
图6是本申请实现基于零信任策略的访问控制系统实施例二的结构示意图。
图7是本申请实施例提出的一种电子设备结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含。例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其他步骤或单元。
下面以具体实施例对本发明的技术方案进行详细说明。下面几个具体实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例不再赘述。
由于本申请实施例是基于零信任策略的架构,因此在本申请实施例中,客户端称为“零信任客户端”,服务端称为“零信任服务端”,网关称为“零信任网关”。为了应对各种不同的应用层协议以及安全性考虑,零信任客户端的访问请求原始数据包使用传输层网络协议生成,并根据零信任客户端的身份信息进行身份认证以及授权验证,在身份认证和授权验证通过后,零信任网关再转发访问请求原始数据包。因此,在身份认证和授权验证下,本申请实施例可以保证访问内网的安全性。另外,由于是在传输层的层面上对访问请求进行控制,无需受应用层网络协议类型的限制,不仅仅针对HTTP/HTTPS协议,可以应对不同的应用层协议类型,覆盖更多的应用场景。
图1是本申请实现基于零信任策略的访问控制方法实施例一的流程图。
如图1所示,该方法包括:
步骤101:接收来自零信任客户端的访问请求,所述访问请求利用传输层安全性协议封装,其中包括零信任客户端的身份信息和访问请求原始数据包,所述访问请求原始数据包采用传输层网络协议生成。
在用户需要访问内网中某个目标时,零信任客户端可以拦截获取访问请求原始数据包,该访问请求原始数据包是采用传输层网络协议(TCP/UDP)生成的。为了传输的安全性,本申请实施例将访问请求原始数据包用传输层安全性协议(TLS,Transport LayerSecurity)进行封装后再转发。实际应用中,利用TLS协议封装后的数据包称为TLS数据包。同时,为了便于后续对零信任客户端身份的认证,还将零信任客户端的身份信息也一并封装在TLS数据包中,然后传输给零信任网关。
步骤102:利用传输层安全性协议进行解封装,获得身份信息和访问请求原始数据包。
零信任网关接收到访问请求之后,对TLS数据包进行解封装,由此获得零信任客户端的身份信息和访问请求原始数据包。
步骤103:根据身份信息进行身份认证,在身份认证通过后,对零信任客户端进行授权验证,所述授权验证通过时,利用传输层网络协议将访问请求原始数据包进行转发。
零信任网关可以发起针对零信任客户端的身份认证过程以及授权验证过程。实际应用中,可以由其他实体,比如决策中心,根据零信任客户端的身份信息进行身份认证,并在身份认证通过后再发起授权验证过程。只有身份认证和授权验证都通过的情况下,零信任网关才会将零信任客户端的访问请求进行转发。这里所述的身份认证是对零信任客户端身份的合法性进行认证的过程,而授权验证是对零信任客户端访问目标的合法性进行验证的过程。具体的身份认证过程和授权验证过程将在后续的实施例进行详细介绍,此处不再赘述。
为了更好地理解本申请实施例技术方案,下面用其他实施例详细描述。
实际应用中,采用TCP/UDP协议封装的访问请求原始数据包包括三个部分的内容,即应用层、传输层和网络层,将目的IP地址封装在网络层中,将目的端口和访问协议(TCP/UDP)封装在传输层中。如上所述,为了传输的安全性,本申请实施例还将访问请求原始数据包用TLS协议进行封装,生成TLS数据包。TLS数据包也分为应用层、传输层和网络层三个部分。为了与访问请求原始数据包区分,将TLS数据包中的三个部分称为第一应用层、第一传输层和第一网络层。图2是本申请实施例中TLS数据包的结构示意图。如图2所示,本申请实施例中的TLS数据包中包括第一应用层、第一传输层和第一网络层。其中,第一应用层中,采用私有协议将零信任客户端的身份信息和访问请求原始数据包进行封装,一并作为TLS数据。另外,由于需要将TLS数据包发送给零信任网关,因此在第一传输层封装有零信任客户端的源端口以及零信任网关的目的端口,在第一网络层封装有零信任客户端的源IP地址以及零信任网关的目的IP地址。
图3是本申请实现基于零信任策略的访问控制方法实施例二的流程图。
如图3所示,该方法包括:
步骤301:零信任客户端向零信任服务端发起身份验证请求,身份验证请求包括域账号和密码,身份验证通过时,零信任服务端向零信任客户端颁发表示身份验证信息的登录态凭证。
步骤302:零信任客户端根据用户ID、设备信息、时间戳和登录态凭证计算第一基于哈希的消息认证码(HMAC),并将用户ID、设备信息、时间戳和第一HMAC作为零信任客户端的身份信息。
用户发起对内网的访问请求之前,需要前往零信任服务端发起身份验证请求。零信任服务端验证零信任客户端的身份,并为符合要求的颁发登录态凭证。这里所述域账号和密码可以事先由管理员分发给各个零信任客户端,允许其访问内网。登录态凭证是零信任服务端生成的key值,可以为一字符串。
另外,为了保障安全性以及方便后续对零信任客户端身份的验证,可以将用户ID、设备信息、时间戳和第一HMAC拼装作为零信任客户端的身份信息。其中,用户ID(UCID)是零信任客户端的登录用户的标识,设备信息(SN)是零信任客户端所在设备的标识,时间戳(timestamp)是零信任客户端发起访问请求时的时间信息,第一基于哈希的消息认证码(HMAC,Hash-based Message Authentication Code)是基于哈希函数和秘钥进行消息认证的字符串,由HMAC算法计算生成。也就是说,经过HMAC算法生成的身份信息由UCID+SN+timestamp+key拼接构成。为了与后续计算的HMAC串区分,这里将零信任客户端计算生成的HMAC称为“第一HMAC”。
步骤303:零信任客户端获得访问请求,所述访问请求利用TLS协议封装,其中包括零信任客户端的身份信息和访问请求原始数据包,所述访问请求原始数据包采用TCP/UDP协议生成,并将所述访问请求转发给零信任网关。
零信任客户端经过零信任服务端身份验证之后,零信任客户端处的用户可以发起对内网的访问请求,零信任客户端拦截访问请求的原始数据包,将上述身份信息封装其中,获得TLS数据包并转发给零信任网关。生成的TLS数据包的格式如图2所示,首先采用私有协议将零信任客户端的身份信息和访问请求原始数据包进行封装,作为TLS数据,然后利用TLS协议再次进行封装,生成TLS数据包。这里所述的私有协议是自定义格式的一种协议,可以采用JSON格式封装身份信息。
上述步骤301~303是零信任客户端生成并转发访问请求的过程。
步骤304:零信任网关接收来自零信任客户端的访问请求,所述访问请求利用TLS封装,其中包括零信任客户端的身份信息和访问请求原始数据包,访问请求原始数据包采用TCP/UDP协议生成。
本步骤与方法实施例一的步骤101相同。
步骤305:零信任网关利用TLS协议进行解封装,获得第一网络层部分、第一传输层部分和第一应用层部分,其中,第一应用层部分是利用设置的私有协议将身份信息和访问请求原始数据包进行封装的部分。
步骤306:零信任网关从第一网络层部分获得源IP地址。
步骤307:零信任网关对第一应用层部分进行解封装,获得身份信息和访问请求原始数据包,所述身份信息包括用户ID、设备信息、时间戳和第一HMAC。
上述步骤305~步骤307是零信任网关对TLS数据包解封装的过程,即方法实施例一的步骤102的具体实施方式。如图2所示,TLS数据包进行解封装后可以获得第一网络层部分、第一传输层部分和第一应用层部分。其中,第一网络层封装有零信任客户端的源IP地址,因此可以通过TLS解封装获得源IP地址。第一应用层采用私有协议封装有零信任客户端的身份信息和访问请求原始数据包,因此也可以通过TLS解封装获得该零信任客户端的身份信息和访问请求原始数据包。
步骤308:零信任网关利用TCP/UDP协议对访问请求原始数据包进行解析,获得目的IP地址、目的端口和访问协议,所述访问协议为TCP/UDP协议。
由于访问请求原始数据包是通过TCP/UDP协议封装的,因此利用TCP/UDP协议可以解析出目的IP地址、目的端口和访问协议。这里所述的目的IP地址和目的端口是零信任客户端真正要访问的内网目标的IP地址和端口。
步骤309:零信任网关向决策中心发起认证请求,认证请求包括源IP地址、用户ID、设备信息、时间戳、第一HMAC、目的IP地址、目的端口和访问协议。
步骤310:决策中心利用用户ID、设备信息、时间戳,以及事先获得的登录态凭证计算获得第二HMAC。
步骤311:决策中心比较第一HMAC和第二HMAC是否相同,如果相同,则确定身份认证通过,继续执行步骤311;否则,确定身份认证未通过,退出本流程。
上述步骤309~步骤311是零信任网关向决策中心发起认证请求,决策中心根据身份信息进行身份认证的过程,即方法实施例一步骤103中关于身份认证的具体实施方法。
如上述步骤302所示,HMAC是基于哈希函数和秘钥进行消息认证的字符串,具有唯一性。第一HMAC是由零信任客户端在发起访问请求时生成的,且作为身份信息的一部分。其中,身份信息中的用户ID、设备信息和时间戳由零信任网关在步骤309通过认证请求传输给决策中心。此时,决策中心可以从零信任服务端获得与用户ID对应的登录态凭证(即零信任服务端颁发给零信任客户端的key值),再次根据用户ID、设备信息、时间戳以及获得的登录态凭证计算第二HMAC。如果此处的零信任客户端是合法的,其中身份信息未被篡改,那么决策中心计算出来的第二HMAC应该与第一HMAC相同,成功认证零信任客户端的身份。当然,如果零信任客户端的身份认证未通过,说明此处的零信任客户端是一个非法用户,将不被允许访问内网。
步骤312:决策中心将用户ID作为索引,获取事先保存的用户组织信息,其中,用户组织信息表示用户所属的组织。
本实施例还可以事先为用户设置所属的组织信息,比如某个用户所在的部门,其部门名称可以作为其组织信息。当然,实际应用中也可以不设置组织信息,省略本步骤即可。
步骤313:决策中心将获得的用户ID、用户组织信息、设备信息、源IP地址、目的IP地址、目的端口和访问协议作为七元组。
本步骤的七元组可以详细描述访问情况,尤其是对于零信任客户端来说,不仅包括源IP地址,还包括用户ID、用户组织信息、设备信息,其描述的粒度更细,从而对访问情况进行更为精细地控制,减少误封以及策略失效的风险。
步骤314:决策中心根据七元组查询数据库,如果数据库中记录有七元组,则确定授权验证通过,继续执行步骤315;否则,确定授权验证未通过,退出本流程。
上述步骤313~步骤314是对零信任客户端进行授权验证的过程,即方法实施例一步骤103对零信任客户端进行授权验证的具体实施方式。
实际应用中,可以为零信任客户端的访问进行配置授权策略,并将授权策略保存下来。比如:管理员通过Web服务(Web server)方式在配置引擎中配置授权策略,授权策略包括七元组(如表一所示),并将配置的授权策略下发给数据库保存。当零信任客户端访问内网时,决策中心就可以验证七元组,只允许授权的零信任客户端访问。实际应用中,决策中心通常还会向零信任网关返回授权验证通过的消息或授权验证失败的消息。
表一
步骤315:零信任网关利用TCP/UDP协议将访问请求原始数据包进行转发。
由于访问请求原始数据包是采用TCP/UDP协议封装的数据包,因此用TCP/UDP协议进行转发。实际应用中,为了避免识别零信任客户端,零信任网关可以基于iptables SNAT转发,为零信任客户端分配虚拟源IP地址,将访问请求原始数据包中的源IP地址修改为虚拟源IP地址,再进行转发。
实际应用中,在发起访问请求时,零信任客户端和零信任网关之间会建立会话连接,一旦身份认证和授权验证通过后,零信任客户端和零信任网关之间通过建立的会话转发流量数据包。另外,由于已经建立会话连接,可以将七元组等信息保存在缓存中,决策中心无需再次查询数据库,直接从缓存中获取相应信息即可,可以减少数据库查询次数,降低时延。
实际应用中,零信任网关可以分为管理面、控制面和数据面三个层次。上述方法实施例一和方法实施例二是从数据面的角度描述如何进行访问控制。如果管理员发现某个用户访问存在风险,需要中断该用户访问,可以从管理面-控制面-数据面垂直角度进行精准的访问控制。
在方法实施例三中,假设零信任客户端正在访问内网中某个目标,在零信任客户端和零信任网关之间建立了会话连接,零信任网关中建立了会话表,其中记录了用户ID以及对应的会话通道(如表二所示)。
| 序号 | 用户ID | 会话通道 |
| 01 | 10001 | Channel 01 |
表二
此时,如果管理员需要通过零信任网关的管理面下发操作指令,则可以采用方法实施例三实现。图4是本申请实现基于零信任策略的访问控制方法实施例三的流程图。如图4所示,该方法包括:
步骤401:零信任网关的管理面对操作指令进行解析,将解析出的操作指令通过远程调用协议传输给零信任网关的控制面,所述操作指令包括用户ID。
实际应用中,管理员通过指令行(cmd)或北向接口(API)下发给零信任网关的管理面。零信任网关的管理面通过远程调用协议(RPC,Remote Procedure Call Protocol)与零信任网关控制面的进行通信。其中,指令行(cmd)或北向接口(API)是提供给其他厂家或运营商进行接入和管理的接口。RPC是一种通过网络从远程计算机程序上请求服务,而不需要了解底层网络技术的协议,如grpc协议。
步骤402:零信任网关的控制面根据用户ID查询事先建立的会话表,确定用户ID对应的会话通道,通过会话通道将操作指令传输给零信任网关的数据面。
本步骤中的零信任网关的控制面可以查询如表二所示的会话表,确定用户ID对应的会话通道。
步骤403:零信任网关的数据面通过会话通道接收操作指令,执行操作指令。
假设管理员发现某个用户(用户ID为10001)访问内网异常,需要中断该访问,就可以通过上述方法实施例三的流程实现。管理员从零信任网关的管理面下发“gatewaysecurity block 10001”的操作指令;零信任网关的管理面解析出该操作指令,并通过grpc传输给控制面;零信任网关的控制面查询表二所示的会话表,确定“用户10001”对应的会话通道为“Channel 01”,因此将“block”操作指令通过会话通道“Channel 01”传输给零信任网关的数据面;零信任网关的数据面中断该会话通道“Channel 01”。由于会话通道“Channel 01”中断,“用户10001”将无法通过“Channel 01”会话通道转发访问的数据流程包,从而达到对访问精准控制的目的。
本申请实施例还提供一种基于零信任策略的访问控制系统。图5是本申请实现基于零信任策略的访问控制系统实施例一的结构示意图。如图5所示,该系统包括:零信任客户端501、零信任网关502和决策中心503。其中:
零信任客户端501,用于拦截获得访问请求,利用传输层安全性协议封装并转发,其中包括零信任客户端的身份信息和所述访问请求原始数据包,所述访问请求原始数据包采用传输层网络协议生成。
零信任网关502,用于接收访问请求,利用传输层安全性协议进行解封装,获得身份信息和访问请求原始数据包;根据身份信息向决策中心发起身份认证;授权验证通过时利用传输层网络协议将访问请求原始数据包进行转发。
决策中心503,用于根据身份信息进行身份认证,在身份认证通过后,对零信任客户端进行授权验证。
也就是说,在用户需要访问内网时,零信任客户端501拦截获得发送访问请求,利用传输层安全性协议封装并转发;零信任网关502接收访问请求,利用传输层安全性协议进行解封装,获得身份信息和访问请求原始数据包;零信任网关502根据身份信息向决策中心发起身份认证;决策中心503根据身份信息进行身份认证,在身份认证通过后,对零信任客户端进行授权验证;在授权验证通过时,零信任网关502利用传输层网络协议将访问请求原始数据包进行转发。
应用本申请实施例方案,不但可以保证访问内网的安全性,而且由于是在传输层的层面上对访问请求进行控制,无需受应用层网络协议类型的限制,从而覆盖更多的应用场景。
图6是本申请实现基于零信任策略的访问控制系统实施例二的结构示意图。如图6所示,该系统不但包括零信任客户端501、零信任网关502和决策中心503,还可以包括零信任服务端504、配置引擎505、数据库506等。其中:
零信任客户端501和零信任服务端504可以按照方法实施例二的步骤301~步骤303进行交互,零信任服务端504向零信任客户端501颁发表示身份验证信息的登录态凭证,零信任客户端501计算第一HMAC,生成身份信息以及生成访问请求。
零信任网关502可以按照方法实施例二中的步骤304~步骤308接收访问请求并进行解封装。
零信任网关502和决策中心503可以按照方法实施例二中的步骤309~步骤311进行交互,以完成对零信任客户端501的身份认证的过程。
决策中心503按照方法实施例二中的步骤312获取用户组织信息。
零信任网关502和决策中心503可以按照方法实施例二中的步骤313~步骤314进行交互,以完成对零信任客户端501的授权验证的过程。
如果身份认证和授权验证通过,零信任网关502按照方法实施例二中的步骤315将访问请求原始数据包进行转发,以实现零信任客户端501对内网的访问。
应用本申请系统实施例二的方案,通过身份认证和授权验证,可以保证内网访问的安全性;通过设置的七元组,可以对访问情况进行更为精细地控制,减少误封以及策略失效的风险;由于是对传输层上的访问请求原始数据包进行控制,无需受应用层网络协议类型的限制,从而覆盖更多的应用场景。
本申请实施例还提供一种计算机可读介质,所述计算机可读存储介质存储指令,所述指令在由处理器执行时可执行如上所述的基于零信任策略的访问控制方法中的步骤。实际应用中,所述的计算机可读介质可以是上述实施例中描述的设备/装置/系统中所包含的,也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或多个程序被执行时,可以实现上述各实施例描述的基于零信任策略的访问控制方法。根据本申请公开的实施例,计算机可读存储介质可以是非易失性的计算机可读存储介质,例如可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件,或者上述的任意合适的组合,但不用于限制本申请保护的范围。在本申请公开的实施例中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
如图7所示,本发明实施例还提供一种电子设备,其中可以集成本申请实施例实现方法的装置。如图7所示,其示出了本发明实施例所涉及的电子设备的结构示意图,具体来讲:
该电子设备可以包括一个或一个以上处理核心的处理器701、一个或一个以上计算机可读存储介质的存储器702以及存储在存储器上并可在处理器上运行的计算机程序。在执行所述存储器702的程序时,可以实现上述基于零信任策略的访问控制方法。
具体的,实际应用中,该电子设备还可以包括电源703、输入单元704、以及输出单元705等部件。本领域技术人员可以理解,图7中示出的电子设备的结构并不构成对该电子设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。其中:
处理器701是该电子设备的控制中心,利用各种接口和线路连接整个电子设备的各个部分,通过运行或执行存储在存储器702内的软件程序和/或模块,以及调用存储在存储器702内的数据,执行服务器的各种功能和处理数据,从而对该电子设备进行整体监控。
存储器702可用于存储软件程序以及模块,即上述计算机可读存储介质。处理器701通过运行存储在存储器702的软件程序以及模块,从而执行各种功能应用以及数据处理。存储器702可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序等;存储数据区可存储根据服务器的使用所创建的数据等。此外,存储器702可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地,存储器702还可以包括存储器控制器,以提供处理器701对存储器702的访问。
该电子设备还包括给各个部件供电的电源703,可以通过电源管理系统与处理器701逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。电源703还可以包括一个或一个以上的直流或交流电源、再充电系统、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。
该电子设备还可包括输入单元704,该输入单元704可用于接收输入的数字或字符信息,以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。
该电子设备还可以包括输出单元705,该输出单元705可以用于显示由用户输入的信息或提供给用户的信息以及各种图像用户接口,这些图形用户接口可以由图形、文本、图标、视频和其任意组合来构成。
本申请实施例还提供一种计算机程序产品,该计算机程序产品包括计算机指令,该计算机指令在被处理器执行时实施如上述任一实施例所述的方法。
本申请附图中的流程图和框图,示出了按照本申请公开的各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或者代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应该注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同附图中所标准的顺序发生。例如,两个连接地表示的方框实际上可以基本并行地执行,它们有时也可以按照相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或者流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合,即使这样的组合或结合没有明确记载于本申请中。特别地,在不脱离本申请精神和教导的情况下,本申请的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合,所有这些组合和/或结合均落入本申请公开的范围。
本文中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思路,并不用于限制本申请。对于本领域的技术人员来说,可以依据本发明的思路、精神和原则,在具体实施方式及应用范围上进行改变,其所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (7)
1.一种基于零信任策略的访问控制方法,其特征在于,包括:
接收来自零信任客户端的访问请求,所述访问请求利用传输层安全性协议封装,其中包括所述零信任客户端的身份信息和访问请求原始数据包,所述访问请求原始数据包采用传输层网络协议生成;
利用所述传输层安全性协议进行解封装,获得所述身份信息和所述访问请求原始数据包;以及
根据所述身份信息进行身份认证,在身份认证通过后,对所述零信任客户端进行授权验证,所述授权验证通过时利用所述传输层网络协议将所述访问请求原始数据包进行转发;
其中,根据所述身份信息进行身份认证,包括:
零信任网关向决策中心发起认证请求,所述认证请求包括源IP地址、所述身份信息、目的IP地址、目的端口和访问协议,所述身份信息包括用户ID、设备信息、时间戳和第一基于哈希的消息认证码;所述决策中心利用所述用户ID、所述设备信息、所述时间戳,以及事先获得的登录态凭证计算获得第二基于哈希的消息认证码,所述登录态凭证是零信任服务端为所述零信任客户端颁发的身份验证信息;所述决策中心比较所述第一基于哈希的消息认证码和所述第二基于哈希的消息认证码是否相同,如果相同,则确定身份认证通过;否则,确定身份认证未通过;
其中,对所述零信任客户端进行授权验证,包括:
所述决策中心将获得的所述用户ID、用户组织信息、所述设备信息、所述源IP地址、所述目的IP地址、所述目的端口和所述访问协议作为七元组,所述用户组织信息表示用户所属的组织;所述决策中心根据所述七元组查询数据库,如果所述数据库中记录有所述七元组,则确定授权验证通过;否则,确定授权验证未通过。
2.根据权利要求1所述的基于零信任策略的访问控制方法,其特征在于,所述利用所述传输层安全性协议进行解封装,获得所述身份信息和所述访问请求原始数据包的步骤包括:
零信任网关利用所述传输层安全性协议进行解封装,获得第一网络层部分、第一传输层部分和第一应用层部分;所述第一应用层部分是利用设置的私有协议将所述身份信息和所述访问请求原始数据包进行封装的部分;
所述零信任网关从所述第一网络层部分获得源IP地址;
所述零信任网关对所述第一应用层部分进行解封装,获得所述身份信息和所述访问请求原始数据包。
3.根据权利要求2所述的基于零信任策略的访问控制方法,其特征在于,所述利用传输层安全性协议进行解封装的步骤和根据所述身份信息进行身份认证的步骤之间,该方法进一步包括:
所述零信任网关利用所述传输层网络协议对所述访问请求原始数据包进行解析,获得目的IP地址、目的端口和访问协议,所述访问协议为所述传输层网络协议。
4.根据权利要求1所述的基于零信任策略的访问控制方法,其特征在于,所述零信任网关向决策中心发起认证请求的步骤和对所述零信任客户端进行授权验证的步骤之间,该方法进一步包括:
所述决策中心将所述用户ID和所述设备信息作为索引,获取事先保存的用户组织信息,所述用户组织信息表示用户所属的组织。
5.根据权利要求1所述的基于零信任策略的访问控制方法,其特征在于,接收来自零信任客户端的访问请求的步骤之前,包括:
所述零信任客户端向零信任服务端发起身份验证请求,所述身份验证请求包括域账号和密码,身份验证通过时,所述零信任服务端向所述零信任客户端颁发表示身份验证信息的所述登录态凭证;
所述零信任客户端根据所述用户ID、所述设备信息、所述时间戳和所述登录态凭证计算所述第一基于哈希的消息认证码,并将所述用户ID、所述设备信息、所述时间戳和所述第一基于哈希的消息认证码作为所述零信任客户端的身份信息;
所述零信任客户端获得所述访问请求,并将所述访问请求转发给所述零信任网关。
6.根据权利要求1至5中任一项所述的基于零信任策略的访问控制方法,其特征在于,所述零信任网关的管理面下发操作指令时,该方法进一步包括:
所述零信任网关的管理面对所述操作指令进行解析,将解析出的操作指令通过远程调用协议传输给所述零信任网关的控制面,所述操作指令包括所述用户ID;
所述零信任网关的控制面根据所述用户ID查询事先建立的会话表,确定所述用户ID对应的会话通道,通过所述会话通道将所述操作指令传输给所述零信任网关的数据面;
所述零信任网关的数据面通过所述会话通道接收所述操作指令,执行所述操作指令。
7.一种计算机可读存储介质,其上存储有计算机指令,其特征在于,所述指令被处理器执行时能够实现权利要求1至6中任一项所述的基于零信任策略的访问控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111253205.7A CN113992402B (zh) | 2021-10-27 | 2021-10-27 | 一种基于零信任策略的访问控制方法、系统及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111253205.7A CN113992402B (zh) | 2021-10-27 | 2021-10-27 | 一种基于零信任策略的访问控制方法、系统及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113992402A CN113992402A (zh) | 2022-01-28 |
| CN113992402B true CN113992402B (zh) | 2023-11-21 |
Family
ID=79742234
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111253205.7A Active CN113992402B (zh) | 2021-10-27 | 2021-10-27 | 一种基于零信任策略的访问控制方法、系统及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113992402B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114553568B (zh) * | 2022-02-25 | 2024-03-05 | 芽米科技(广州)有限公司 | 一种基于零信任单包认证与授权的资源访问控制方法 |
| CN114513366A (zh) * | 2022-03-03 | 2022-05-17 | 安徽省广播电视监测台 | 一种面向零信任模型的访问控制装置及实现方法 |
| CN114915424B (zh) * | 2022-04-22 | 2024-05-17 | 京东城市(北京)数字科技有限公司 | 交互凭证生成方法、装置、电子设备及存储介质 |
| CN114884771B (zh) * | 2022-04-29 | 2023-01-13 | 北京绎云科技有限公司 | 基于零信任理念的身份化网络构建方法、装置和系统 |
| CN115051851B (zh) * | 2022-06-09 | 2023-04-07 | 北京交通大学 | 物联网场景下的用户访问行为管控系统和方法 |
| CN115913696B (zh) * | 2022-11-10 | 2024-04-26 | 国网四川省电力公司电力科学研究院 | 一种虚拟网络零信任访问控制方法、装置、设备及介质 |
| CN116032798A (zh) * | 2022-12-28 | 2023-04-28 | 天翼云科技有限公司 | 一种针对零信任身份授权的自动化测试方法及装置 |
| CN116318912A (zh) * | 2023-03-01 | 2023-06-23 | 华能信息技术有限公司 | 一种动态隐藏网络接口方法 |
| CN117614752B (zh) * | 2024-01-24 | 2024-03-22 | 明阳点时科技(沈阳)有限公司 | 一种双层零信任企业生产网安全自组网方法及系统 |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1787513A (zh) * | 2004-12-07 | 2006-06-14 | 上海鼎安信息技术有限公司 | 安全远程访问系统和方法 |
| CN1937499A (zh) * | 2006-10-13 | 2007-03-28 | 清华大学 | 基于域名的统一身份标识和认证方法 |
| CN110417776A (zh) * | 2019-07-29 | 2019-11-05 | 大唐高鸿信安(浙江)信息科技有限公司 | 一种身份认证方法及装置 |
| CN111262693A (zh) * | 2020-01-10 | 2020-06-09 | 北京深思数盾科技股份有限公司 | 一种信息处理方法及系统 |
| CN111756729A (zh) * | 2020-06-23 | 2020-10-09 | 北京网瑞达科技有限公司 | 网络资源访问方法、装置、计算机设备和存储介质 |
| CN111953681A (zh) * | 2020-08-11 | 2020-11-17 | 福州职业技术学院 | 一种dns身份认证方法及终端 |
| CN112100675A (zh) * | 2020-11-05 | 2020-12-18 | 南京云信达科技有限公司 | 一种零信任的数据存储访问方法及系统 |
| CN112491836A (zh) * | 2020-11-16 | 2021-03-12 | 新华三技术有限公司合肥分公司 | 通信系统、方法、装置及电子设备 |
| CN112532599A (zh) * | 2020-11-19 | 2021-03-19 | 北京信安世纪科技股份有限公司 | 一种动态鉴权方法、装置、电子设备和存储介质 |
| CN112580017A (zh) * | 2020-12-25 | 2021-03-30 | 深信服科技股份有限公司 | 认证方法及装置、电子设备、存储介质 |
| CN112738047A (zh) * | 2020-12-24 | 2021-04-30 | 贝壳技术有限公司 | 一种业务系统的访问控制方法及零信任系统 |
| CN112804215A (zh) * | 2020-12-31 | 2021-05-14 | 中孚信息股份有限公司 | 一种基于零信任机制的视频采集安全处理系统及方法 |
| CN113225333A (zh) * | 2021-05-06 | 2021-08-06 | 西安电子科技大学 | 零信任下的网络资源访问控制方法 |
| CN113312632A (zh) * | 2021-06-21 | 2021-08-27 | 清华大学 | 一种基于零信任验证的积极防御系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11456882B2 (en) * | 2010-04-30 | 2022-09-27 | T-Central, Inc. | Using PKI for security and authentication of control devices and their data |
| US11070539B2 (en) * | 2018-04-10 | 2021-07-20 | ArecaBay, Inc. | Network security dynamic access control and policy enforcement |
-
2021
- 2021-10-27 CN CN202111253205.7A patent/CN113992402B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1787513A (zh) * | 2004-12-07 | 2006-06-14 | 上海鼎安信息技术有限公司 | 安全远程访问系统和方法 |
| CN1937499A (zh) * | 2006-10-13 | 2007-03-28 | 清华大学 | 基于域名的统一身份标识和认证方法 |
| CN110417776A (zh) * | 2019-07-29 | 2019-11-05 | 大唐高鸿信安(浙江)信息科技有限公司 | 一种身份认证方法及装置 |
| CN111262693A (zh) * | 2020-01-10 | 2020-06-09 | 北京深思数盾科技股份有限公司 | 一种信息处理方法及系统 |
| CN111756729A (zh) * | 2020-06-23 | 2020-10-09 | 北京网瑞达科技有限公司 | 网络资源访问方法、装置、计算机设备和存储介质 |
| CN111953681A (zh) * | 2020-08-11 | 2020-11-17 | 福州职业技术学院 | 一种dns身份认证方法及终端 |
| CN112100675A (zh) * | 2020-11-05 | 2020-12-18 | 南京云信达科技有限公司 | 一种零信任的数据存储访问方法及系统 |
| CN112491836A (zh) * | 2020-11-16 | 2021-03-12 | 新华三技术有限公司合肥分公司 | 通信系统、方法、装置及电子设备 |
| CN112532599A (zh) * | 2020-11-19 | 2021-03-19 | 北京信安世纪科技股份有限公司 | 一种动态鉴权方法、装置、电子设备和存储介质 |
| CN112738047A (zh) * | 2020-12-24 | 2021-04-30 | 贝壳技术有限公司 | 一种业务系统的访问控制方法及零信任系统 |
| CN112580017A (zh) * | 2020-12-25 | 2021-03-30 | 深信服科技股份有限公司 | 认证方法及装置、电子设备、存储介质 |
| CN112804215A (zh) * | 2020-12-31 | 2021-05-14 | 中孚信息股份有限公司 | 一种基于零信任机制的视频采集安全处理系统及方法 |
| CN113225333A (zh) * | 2021-05-06 | 2021-08-06 | 西安电子科技大学 | 零信任下的网络资源访问控制方法 |
| CN113312632A (zh) * | 2021-06-21 | 2021-08-27 | 清华大学 | 一种基于零信任验证的积极防御系统 |
Non-Patent Citations (2)
| Title |
|---|
| P. Zhang et al.."Dynamic access control technology based on zero-trust light verification network model".《2021 International Conference on Communications, Information System and Computer Engineering (CISCE),》.2021,全文. * |
| 孙瑞等."基于多因素认证的零信任网络构建".《金陵科技学院学报》.2020,全文. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113992402A (zh) | 2022-01-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113992402B (zh) | 一种基于零信任策略的访问控制方法、系统及介质 | |
| US10511590B1 (en) | System and method of verifying network communication paths between applications and services | |
| US20200004946A1 (en) | Secretless and secure authentication of network resources | |
| US8549300B1 (en) | Virtual single sign-on for certificate-protected resources | |
| US10178181B2 (en) | Interposer with security assistant key escrow | |
| US9356928B2 (en) | Mechanisms to use network session identifiers for software-as-a-service authentication | |
| US10742546B2 (en) | Traffic on-boarding for acceleration through out-of-band security authenticators | |
| US8448238B1 (en) | Network security as a service using virtual secure channels | |
| KR101114728B1 (ko) | 삼원 동일 식별자 기반의 신뢰성 있는 네트워크 액세스 제어 시스템 | |
| EP2805473B1 (en) | Security management for cloud services | |
| US11283793B2 (en) | Securing user sessions | |
| US20180026987A1 (en) | Systems and methods for providing software defined network based dynamic access control in a cloud | |
| US20160021113A1 (en) | Techniques for secure debugging and monitoring | |
| US10257171B2 (en) | Server public key pinning by URL | |
| CN109120722B (zh) | 一种基于反向代理模式的访问控制方法 | |
| US11805104B2 (en) | Computing system operational methods and apparatus | |
| CN114902612A (zh) | 基于边缘网络的帐户保护服务 | |
| CN113992328A (zh) | 零信任传输层流量认证方法、装置及存储介质 | |
| KR102345866B1 (ko) | 서버시스템 및 서버시스템에서 수행되는 사용자단말에 대한 통신 보안방법 | |
| US20140007197A1 (en) | Delegation within a computing environment | |
| US11177958B2 (en) | Protection of authentication tokens | |
| US20220337591A1 (en) | Controlling command execution in a computer network | |
| WO2014106028A1 (en) | Network security as a service using virtual secure channels | |
| LU500755B1 (en) | Confining lateral traversal within a computer network | |
| US11683309B2 (en) | Nonce-based enterprise security policy enforcement |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20231019 Address after: Room 102, floor 1, building 1, No. 2, Chuangye Road, Haidian District, Beijing 100085 Applicant after: Seashell Housing (Beijing) Technology Co.,Ltd. Address before: 101399 room 24, 62 Farm Road, Erjie village, Yangzhen, Shunyi District, Beijing Applicant before: Beijing fangjianghu Technology Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |