CN114389880A - 一种结合零信任思想的跨云池安全接入方法和系统 - Google Patents
一种结合零信任思想的跨云池安全接入方法和系统 Download PDFInfo
- Publication number
- CN114389880A CN114389880A CN202210038980.9A CN202210038980A CN114389880A CN 114389880 A CN114389880 A CN 114389880A CN 202210038980 A CN202210038980 A CN 202210038980A CN 114389880 A CN114389880 A CN 114389880A
- Authority
- CN
- China
- Prior art keywords
- resource
- pool
- connection
- cloud
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
- H04L67/125—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks involving control of end-device applications over a network
Landscapes
- Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种结合零信任思想的跨云池安全接入方法和系统,基于单包授权思想在三次握手过程后立即发送授权认证包,实现终端身份识别;无授权单包或单包无效,则不处理该链接的报文并终止连接。将终端与安全网关的长连接修改为按需连接。每个连接独立于一个SSL/TLS隧道中,提高连接稳定性及抗网络干扰能力。同时因采用隧道独立设计,支持终端可与多个独立安全网关建立连接。对多资源池的资源连接具备了天然的优势。终端能够根据连接目标资源所在的资源云池,自适应识别就近安全网关,并与之建立安全隧道,用于用户访问资源云池内的资源。本发明可随时随地安全的同时与各资源云池建立安全隧道,提供安全便捷的访问路径。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种结合零信任思想的跨云池安全接入方法和系统。
背景技术
远程安全接入目前采用的技术多为VPN技术,其通过在用户侧与VPN网关建立SSL/TLS加密隧道,将用户操作数据流在安全加密隧道中传输,实现远程服务器的安全连接访问。VPN对于终端的安全控制多采用黑名单模式,通过获取终端的硬件标识,设置黑名单拒绝连接。
现有安全接入模式,无法满足用户对多资源池(多网络隔离区)内的资源的同时访问,用户需要在各资源池的VPN上频繁切换,才能连接相应VPN内的资源;安全接入模式采用长连接方式,当网络切换或网络中断时,VPN连接状态中断,需要重连等操作,影响用户体验。、黑名单方式可拒绝黑名单终端的连接,但VPN网关存在网络暴露面,容易被恶意用户攻击,从而可能出现越权访问。
发明内容
本发明的目的在于提供一种结合零信任思想的跨云池安全接入方法和系统,多云池资源的企业或需要远程接入办公的场景下,为用户远程接入提供安全便捷的系统。
本发明采用的技术方案是:
一种结合零信任思想的跨云池安全接入系统,其包括用户终端以及与用户终端连接的若干资源云池,每个资源云池均设置接入网关,用户终端通过对应的接入网关连接资源云池;其中一个资源云池上部署独立部署策略中心和认证中心,接入网关通过策略中心连接认证中心,认证中心对接资源云池上的受控资源;接入网关与客户端交互提供SPA单包授权能力及安全隧道的建立能力;策略中心根据用户身份控制用户接入的网关及资源;认证中心提供授权用户的身份认证能力;用户终端上安装有授信客户端,授信客户端提供SPA单包授权唯一身份标识及安全隧道建立基础能力。
进一步地,认证中心提供未接入用户提供身份注册认证能力。
进一步地,授信客户端通过识别用户连接的目标IP以确定访问对象是否为受控域内的资源。
进一步地,每个资源云池均设有审计模块,接入网关经审计模块对接资源云池上的普通资源。
一种结合零信任思想的跨云池安全接入方法,采用所述一种结合零信任思想的跨云池安全接入系统,其包括以下步骤:
步骤1,授信客户端获取当前业务连接的目标IP;
步骤2,判断目标IP是否为受控域内的资源;是则,通过虚拟网卡与目标IP所在受控域的接入网关建立连接并执行步骤3;否则,用户终端与目标IP所在普通域的接入网关建立连接并执行步骤5;
步骤3,策略中心判断是否授权用户终端;是则,授权进行用户身份认证执行步骤4;否则,未授权中断连接,
步骤4,认证中心进行用户身份认证是否通过;是则,建立安全隧道并转发业务数据;否则,返回认证失败信息并中断连接;
步骤5,用户终端与资源云池上对应的资源进行数据传输交换。
进一步地,步骤2中通过虚拟网卡与目标IP所在受控域的接入网关建立连接时,向目标IP所属接入网关建立TCP连接同时发送SPA包。
进一步地,步骤3中策略中心通过校验SPA包判断是否授权用户终端。
本发明采用以上技术方案,通过结合SDP的单包授权思想,通过在三次握手过程后立即发送授权认证包,从而实现终端身份识别,无授权单包或单包无效,则不处理该链接的报文,并终止连接。改进安全加密隧道建立逻辑,将终端与安全网关的长连接修改为按需连接。每个连接独立于一个SSL/TLS隧道中,提高连接稳定性及抗网络干扰能力。同时因采用隧道独立设计,支持终端可与多个独立安全网关建立连接。对多资源池的资源连接具备了天然的优势。终端能够根据连接目标资源所在的资源云池,自适应识别就近安全网关,并与之建立安全隧道,用于用户访问资源云池内的资源。通过本发明系统,用户可随时随地安全的同时与各资源云池建立安全隧道,提供安全便捷的访问路径。
附图说明
以下结合附图和具体实施方式对本发明做进一步详细说明;
图1为本发明一种结合零信任思想的跨云池安全接入系统的结构示意图;
图2为本发明一种结合零信任思想的跨云池安全接入方法的流程示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图对本申请实施例中的技术方案进行清楚、完整地描述。
本发明用于解决跨云池资源访问的安全接入,支持内外网无差别安全接入访问。采用隧道短连接技术及就近路由原则,实现终端可同时与各云池网络建立安全隧道;结合单包授权技术,通过在三次握手过程进行终端身份认证,从而实现终端授权链接,在控制授信终端连接的同时,提供了网关隐身的能力,提高了服务器应用的安全性。最终实现用户使用一个终端可与多个网络划区建立各自独立的安全隧道进行资源访问,且能防止网络被扫描发现攻击。
如图1或2所示,本发明公开了一种结合零信任思想的跨云池安全接入系统,其包括用户终端以及与用户终端连接的若干资源云池,每个资源云池均设置接入网关,用户终端通过对应的接入网关连接资源云池;其中一个资源云池上部署独立部署策略中心和认证中心,接入网关通过策略中心连接认证中心,认证中心对接资源云池上的受控资源;接入网关与客户端交互提供SPA单包授权能力及安全隧道的建立能力;策略中心根据用户身份控制用户接入的网关及资源;认证中心提供授权用户的身份认证能力;用户终端上安装有授信客户端,授信客户端提供SPA单包授权唯一身份标识及安全隧道建立基础能力。
进一步地,认证中心提供未接入用户提供身份注册认证能力。
进一步地,授信客户端通过识别用户连接的目标IP以确定访问对象是否为受控域内的资源。
进一步地,每个资源云池均设有审计模块,接入网关经审计模块对接资源云池上的普通资源。
一种结合零信任思想的跨云池安全接入方法,采用所述一种结合零信任思想的跨云池安全接入系统,其包括以下步骤:
步骤1,授信客户端获取当前业务连接的目标IP;
步骤2,判断目标IP是否为受控域内的资源;是则,通过虚拟网卡与目标IP所在受控域的接入网关建立连接并执行步骤3;否则,用户终端与目标IP所在普通域的接入网关建立连接并执行步骤5;
步骤3,策略中心判断是否授权用户终端;是则,授权进行用户身份认证执行步骤4;否则,未授权中断连接,
步骤4,认证中心进行用户身份认证是否通过;是则,建立安全隧道并转发业务数据;否则,返回认证失败信息并中断连接;
步骤5,用户终端与资源云池上对应的资源进行数据传输交换。
进一步地,步骤2中通过虚拟网卡与目标IP所在受控域的接入网关建立连接时,向目标IP所属接入网关建立TCP连接同时发送SPA包。
进一步地,步骤3中策略中心通过校验SPA包判断是否授权用户终端。
本发明采用以上技术方案,通过结合SDP的单包授权思想,通过在三次握手过程后立即发送授权认证包,从而实现终端身份识别,无授权单包或单包无效,则不处理该链接的报文,并终止连接。改进安全加密隧道建立逻辑,将终端与安全网关的长连接修改为按需连接。每个连接独立于一个SSL/TLS隧道中,提高连接稳定性及抗网络干扰能力。同时因采用隧道独立设计,支持终端可与多个独立安全网关建立连接。对多资源池的资源连接具备了天然的优势。终端能够根据连接目标资源所在的资源云池,自适应识别就近安全网关,并与之建立安全隧道,用于用户访问资源云池内的资源。通过本发明系统,用户可随时随地安全的同时与各资源云池建立安全隧道,提供安全便捷的访问路径。
显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
Claims (7)
1.一种结合零信任思想的跨云池安全接入系统,其特征在于:其包括用户终端以及与用户终端连接的若干资源云池,每个资源云池均设置接入网关,用户终端通过对应的接入网关连接资源云池;其中一个资源云池上部署独立部署策略中心和认证中心,接入网关通过策略中心连接认证中心,认证中心对接资源云池上的受控资源;接入网关与客户端交互提供SPA单包授权能力及安全隧道的建立能力;策略中心根据用户身份控制用户接入的网关及资源;认证中心提供授权用户的身份认证能力;用户终端上安装有授信客户端,授信客户端提供SPA单包授权唯一身份标识及安全隧道建立基础能力。
2.根据权利要求1所述的一种结合零信任思想的跨云池安全接入系统,其特征在于:认证中心提供未接入用户提供身份注册认证能力。
3.根据权利要求1所述的一种结合零信任思想的跨云池安全接入系统,其特征在于:授信客户端通过识别用户连接的目标IP以确定访问对象是否为受控域内的资源。
4.根据权利要求1所述的一种结合零信任思想的跨云池安全接入系统,其特征在于:每个资源云池均设有审计模块,接入网关经审计模块对接资源云池上的普通资源。
5.一种结合零信任思想的跨云池安全接入方法,采用根据权利要求1至4任一所述的一种结合零信任思想的跨云池安全接入系统,其特征在于:方法包括以下步骤:
步骤1,授信客户端获取当前业务连接的目标IP;
步骤2,判断目标IP是否为受控域内的资源;是则,通过虚拟网卡与目标IP所在受控域的接入网关建立连接并执行步骤3;否则,用户终端与目标IP所在普通域的接入网关建立连接并执行步骤5;
步骤3,策略中心判断是否授权用户终端;是则,授权进行用户身份认证执行步骤4;否则,未授权中断连接,
步骤4,认证中心进行用户身份认证是否通过;是则,建立安全隧道并转发业务数据;否则,返回认证失败信息并中断连接;
步骤5,用户终端与资源云池上对应的资源进行数据传输交换。
6.根据权利要求5所述的一种结合零信任思想的跨云池安全接入方法,其特征在于:步骤2中通过虚拟网卡与目标IP所在受控域的接入网关建立连接时,向目标IP所属接入网关建立TCP连接同时发送SPA包。
7.根据权利要求5所述的一种结合零信任思想的跨云池安全接入方法,其特征在于:步骤3中策略中心通过校验SPA包判断是否授权用户终端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210038980.9A CN114389880A (zh) | 2022-01-13 | 2022-01-13 | 一种结合零信任思想的跨云池安全接入方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210038980.9A CN114389880A (zh) | 2022-01-13 | 2022-01-13 | 一种结合零信任思想的跨云池安全接入方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114389880A true CN114389880A (zh) | 2022-04-22 |
Family
ID=81202469
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210038980.9A Pending CN114389880A (zh) | 2022-01-13 | 2022-01-13 | 一种结合零信任思想的跨云池安全接入方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114389880A (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060111082A1 (en) * | 2003-10-22 | 2006-05-25 | Huawei Technologies Co., Ltd. | Method for resolving and accessing selected service in wireless local area network |
| CN112019560A (zh) * | 2020-09-07 | 2020-12-01 | 长沙誉联信息技术有限公司 | 一种端到端的零信任安全网关系统 |
| CN113572738A (zh) * | 2021-06-29 | 2021-10-29 | 中孚安全技术有限公司 | 一种零信任网络架构及构建方法 |
| CN113890767A (zh) * | 2021-11-12 | 2022-01-04 | 中国联合网络通信集团有限公司 | 网络接入方法、装置、设备及存储介质 |
-
2022
- 2022-01-13 CN CN202210038980.9A patent/CN114389880A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060111082A1 (en) * | 2003-10-22 | 2006-05-25 | Huawei Technologies Co., Ltd. | Method for resolving and accessing selected service in wireless local area network |
| CN112019560A (zh) * | 2020-09-07 | 2020-12-01 | 长沙誉联信息技术有限公司 | 一种端到端的零信任安全网关系统 |
| CN113572738A (zh) * | 2021-06-29 | 2021-10-29 | 中孚安全技术有限公司 | 一种零信任网络架构及构建方法 |
| CN113890767A (zh) * | 2021-11-12 | 2022-01-04 | 中国联合网络通信集团有限公司 | 网络接入方法、装置、设备及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 舒玉凤: "基于零信任的企业安全架构", 《电子技术与软件工程》 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Patel et al. | Securing L2TP using IPsec | |
| CN107534651B (zh) | 用于传送会话标识符的方法及设备 | |
| US8522315B2 (en) | Automatic configuration of client terminal in public hot spot | |
| EP2790387B1 (en) | Method and system for providing connectivity for an ssl/tls server behind a restrictive firewall or nat | |
| US7200383B2 (en) | Subscriber authentication for unlicensed mobile access signaling | |
| US8250214B2 (en) | System, method and computer program product for communicating with a private network | |
| US7305546B1 (en) | Splicing of TCP/UDP sessions in a firewalled network environment | |
| EP1502463B1 (en) | Method , apparatus and computer program product for checking the secure use of routing address information of a wireless terminal device in a wireless local area network | |
| EP3711274B1 (en) | Message queuing telemetry transport (mqtt) data transmission method, apparatus, and system | |
| US20050160165A1 (en) | Network management using short message service | |
| WO2017012142A1 (zh) | 一种双连接安全通讯的方法及装置 | |
| FI125972B (fi) | Laitejärjestely ja menetelmä kiinteistöjen etähallinnassa käytettävän tiedonsiirtoverkon luomiseksi | |
| CN107277058B (zh) | 一种基于bfd协议的接口认证方法及系统 | |
| US7788715B2 (en) | Authentication for transmission control protocol | |
| CN113810347B (zh) | Sdp架构下服务模式的切换方法和系统 | |
| CN115189904A (zh) | 一种基于sdp的电力物联网及组网方法 | |
| US11082309B2 (en) | Dynamic and interactive control of a residential gateway connected to a communication network | |
| CN114389880A (zh) | 一种结合零信任思想的跨云池安全接入方法和系统 | |
| CN112333088B (zh) | 一种兼容性即时通信传输方法 | |
| JP2009258965A (ja) | 認証システム、認証装置、通信設定装置および認証方法 | |
| CN113692728B (zh) | 创建通路的方法、过滤器、设备、服务器、网络和网关 | |
| US11985161B2 (en) | Method of collaboration and for requesting collaboration between protecting services associated with at least one domain, corresponding agents and computer program | |
| Nedyalkov et al. | Application of technologies from telecommunication networks for the protection of data generated from power electronic devices | |
| CN118802320A (zh) | 网络接入方法、装置、电子设备、存储介质及产品 | |
| US20130145434A1 (en) | Unattended Authentication in a Secondary Authentication Service for Wireless Carriers |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |