CN114513366A - 一种面向零信任模型的访问控制装置及实现方法 - Google Patents
一种面向零信任模型的访问控制装置及实现方法 Download PDFInfo
- Publication number
- CN114513366A CN114513366A CN202210204509.2A CN202210204509A CN114513366A CN 114513366 A CN114513366 A CN 114513366A CN 202210204509 A CN202210204509 A CN 202210204509A CN 114513366 A CN114513366 A CN 114513366A
- Authority
- CN
- China
- Prior art keywords
- access control
- service
- processor
- strategy
- control processor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及信息安全技术领域,且公开了一种面向零信任模型的访问控制装置,包括访问控制处理器、策略决策处理器,所述访问控制处理器与策略决策处理器通信连接,访问控制处理器、策略决策处理器,每个处理器配置独立的内存、磁盘,采用统一的电源进行供电。该面向零信任模型的访问控制装置及实现方法,其零信任安全代理是零信任业务的控制执行点,同时零信任安全代理也是面向外部攻击者的闸门,零信任安全代理的安全性也决定了零信任体系的安全性,通过双宿主机安全隔离的硬件设计,以及白名单访问控制、协议过滤、专用通道等安全方案的设计,进一步提高了零信任安全代理抵御外部攻击的能力,从而提升了零信任体系整体的安全性。
Description
技术领域
本发明涉及信息安全技术领域,具体为一种面向零信任模型的访问控制装置及实现方法。
背景技术
零信任是面向数字时代的新型安全防护理念,是一种以资源保护为核心的网络安全范式,是以身份为中心进行动态访问控制。零信任对访问主体与访问客体之间的数据访问和认证验证进行处理,其将一般的访问行为分解为作用于网络通信控制的控制平面及作用于应用程序通信的数据平面。访问主体通过控制平面发起访问请求,经由信任评估引擎、访问控制引擎实施身份认证、获得许可后,才能访问业务应用,从而建立一次可信的安全访问链接。
目前市场上的零信任产品主要是参照SDP架构或NIST的架构,零信任安全代理组件作为SDP的AH和NIST的PEP的抽象,零信任安全代理的核心是实现对访问控制决策的执行,以及对访问主体的安全信息采集,对访问请求的转发、拦截等功能。零信任安全代理组件一般为网关型设备,访问控制和策略决策运行在同一个处理器中;由于策略决策业务逻辑复杂,不利操作的安全裁剪,同时也更容易产生脆弱性。本发明提供一种面向零信任安全代理组件,采用双处理器、划分不同安全域的硬件设计思路,同时提出具体实现方法,进一步提升零信任架构抵御外部攻击的能力。
发明内容
本发明的目的在于提供一种面向零信任模型的访问控制装置及实现方法,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:一种面向零信任模型的访问控制装置,包括访问控制处理器、策略决策处理器,所述访问控制处理器与策略决策处理器通信连接。
一种面向零信任模型的访问控制装置的实现方法,包括以下步骤:
S1、装置的接口连接
访问控制处理器的网络接口接入到公开网络,策略决策处理器的网络接口接入到受保护网络,访问控制处理器与策略决策处理器间采用受控的非网络通信接口连接,针对不同业务类型,划分不同的专用业务通道。
S2、访问控制处理器的策略接收
访问控制处理器不静态存储任何外界植入信息,开机时从安全存储区安全加载操作系统镜像文件,访问控制处理器安全接收策略决策处理器通过专用通道下发来的策略,通过白名单机制控制通过公开网络的发起的连接,同时对协议格式、安全性进行验证,拒绝非法连接、丢弃非法数据。
S3、策略决策处理器的业务处理
策略决策处理器根据访问者的身份和权力范围,通过专用通道动态下发策略,针对不同的业务请求,通过网络接口将业务请求转发给不同业务应用或服务,同时将应答结果通过专用传递给访问控制处理器,由访问控制处理器转发给业务请求者。
S4、访问者认证
访问者认证前,访问控制处理器仅接收该访问者的限定的业务,访问控制处理器对收到的请求进行格式和业务类型的检查,对符合要求的请求增加检查成功标记,通过认证前的UDP业务通道,发送给策略决策处理器,策略处理器认定该请求为合法请求时,自身直接处理,或转发给内部网络其他服务处理。
S5、身份的认证及业务的连接
策略决策处理器收到认证业务请求时,成功验证访问者身份,通过策略下发通道,为访问控制处理器动态下发白名单访问控制策略,允许该访问者具备权限的业务连接,访问者认证后发起业务连接时,访问控制处理器依据策略动态拒绝或接受业务连接,针对允许的业务连接通过认证后的TCP业务通道转给策略决策处理器,策略决策处理器根据最终的目的地址转发给对应业务系统完成业务交互。
优选的,所述访问控制处理器、策略决策处理器,每个处理器配置独立的内存、磁盘,采用统一的电源进行供电。
优选的,所述访问控制处理器与策略决策处理器间采用PCIE总线连接,PCIE网桥仅具有策略下发、认证前的UDP业务,认证后的TCP业务三条通道。
优选的,所述步骤S2中操作系统为经过裁剪的Linux内核系统,仅具备访问控制所需的基本模块,操作系统启动时,通过PCIE网桥策略下发通道动态获取初始策略,仅开启必要的端口。
优选的,所述步骤S3中策略决策处理器具备存储功能,可以存储必要的配置信息、策略信息等,开机时从磁盘加载操作系统,并自动启动相应的服务。
与现有技术相比,本发明提供了一种面向零信任模型的访问控制装置及实现方法。具备以下有益效果:
该面向零信任模型的访问控制装置及实现方法,其零信任安全代理是零信任业务的控制执行点,同时零信任安全代理也是面向外部攻击者的闸门,零信任安全代理的安全性也决定了零信任体系的安全性,通过双宿主机安全隔离的硬件设计,以及白名单访问控制、协议过滤、专用通道等安全方案的设计,进一步提高了零信任安全代理抵御外部攻击的能力,从而提升了零信任体系整体的安全性。
附图说明
图1为本发明面向零信任模型的访问控制装置的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”、“固定”等术语应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或成一体;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通或两个元件的相互作用关系。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
请参阅图1,本发明提供一种技术方案:一种面向零信任模型的访问控制装置,包括访问控制处理器、策略决策处理器,访问控制处理器与策略决策处理器通信连接,访问控制处理器、策略决策处理器,每个处理器配置独立的内存、磁盘,采用统一的电源进行供电。
一种面向零信任模型的访问控制装置的实现方法,包括以下步骤:
S1、装置的接口连接
访问控制处理器的网络接口接入到公开网络,策略决策处理器的网络接口接入到受保护网络,访问控制处理器与策略决策处理器间采用受控的非网络通信接口连接,针对不同业务类型,划分不同的专用业务通道,访问控制处理器与策略决策处理器间采用PCIE总线连接,PCIE网桥仅具有策略下发、认证前的UDP业务,认证后的TCP业务三条通道。
S2、访问控制处理器的策略接收
访问控制处理器不静态存储任何外界植入信息,开机时从安全存储区安全加载操作系统镜像文件,操作系统为经过裁剪的Linux内核系统,仅具备访问控制所需的基本模块,操作系统启动时,通过PCIE网桥策略下发通道动态获取初始策略,仅开启必要的端口,访问控制处理器安全接收策略决策处理器通过专用通道下发来的策略,通过白名单机制控制通过公开网络的发起的连接,同时对协议格式、安全性进行验证,拒绝非法连接、丢弃非法数据。
S3、策略决策处理器的业务处理
策略决策处理器根据访问者的身份和权力范围,通过专用通道动态下发策略,针对不同的业务请求,通过网络接口将业务请求转发给不同业务应用或服务,同时将应答结果通过专用传递给访问控制处理器,由访问控制处理器转发给业务请求者,策略决策处理器具备存储功能,可以存储必要的配置信息、策略信息等,开机时从磁盘加载操作系统,并自动启动相应的服务。
S4、访问者认证
访问者认证前,访问控制处理器仅接收该访问者的限定的业务,访问控制处理器对收到的请求进行格式和业务类型的检查,对符合要求的请求增加检查成功标记,通过认证前的UDP业务通道,发送给策略决策处理器,策略处理器认定该请求为合法请求时,自身直接处理,或转发给内部网络其他服务处理。
S5、身份的认证及业务的连接
策略决策处理器收到认证业务请求时,成功验证访问者身份,通过策略下发通道,为访问控制处理器动态下发白名单访问控制策略,允许该访问者具备权限的业务连接,访问者认证后发起业务连接时,访问控制处理器依据策略动态拒绝或接受业务连接,针对允许的业务连接通过认证后的TCP业务通道转给策略决策处理器,策略决策处理器根据最终的目的地址转发给对应业务系统完成业务交互。
在实际操作过程中,零信任安全代理是零信任业务的控制执行点,同时零信任安全代理也是面向外部攻击者的闸门,零信任安全代理的安全性也决定了零信任体系的安全性,通过双宿主机安全隔离的硬件设计,以及白名单访问控制、协议过滤、专用通道等安全方案的设计,进一步提高了零信任安全代理抵御外部攻击的能力,从而提升了零信任体系整体的安全性。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个......”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
Claims (6)
1.一种面向零信任模型的访问控制装置,包括访问控制处理器、策略决策处理器,其特征在于:所述访问控制处理器与策略决策处理器通信连接。
2.根据权利要求1所述的一种面向零信任模型的访问控制装置,其特征在于:所述访问控制处理器、策略决策处理器,每个处理器配置独立的内存、磁盘,采用统一的电源进行供电。
3.一种面向零信任模型的访问控制装置的实现方法,其特征在于,包括以下步骤:
S1、装置的接口连接
访问控制处理器的网络接口接入到公开网络,策略决策处理器的网络接口接入到受保护网络,访问控制处理器与策略决策处理器间采用受控的非网络通信接口连接,针对不同业务类型,划分不同的专用业务通道;
S2、访问控制处理器的策略接收
访问控制处理器不静态存储任何外界植入信息,开机时从安全存储区安全加载操作系统镜像文件,访问控制处理器安全接收策略决策处理器通过专用通道下发来的策略,通过白名单机制控制通过公开网络的发起的连接,同时对协议格式、安全性进行验证,拒绝非法连接、丢弃非法数据;
S3、策略决策处理器的业务处理
策略决策处理器根据访问者的身份和权力范围,通过专用通道动态下发策略,针对不同的业务请求,通过网络接口将业务请求转发给不同业务应用或服务,同时将应答结果通过专用传递给访问控制处理器,由访问控制处理器转发给业务请求者;
S4、访问者认证
访问者认证前,访问控制处理器仅接收该访问者的限定的业务,访问控制处理器对收到的请求进行格式和业务类型的检查,对符合要求的请求增加检查成功标记,通过认证前的UDP业务通道,发送给策略决策处理器,策略处理器认定该请求为合法请求时,自身直接处理,或转发给内部网络其他服务处理;
S5、身份的认证及业务的连接
策略决策处理器收到认证业务请求时,成功验证访问者身份,通过策略下发通道,为访问控制处理器动态下发白名单访问控制策略,允许该访问者具备权限的业务连接,访问者认证后发起业务连接时,访问控制处理器依据策略动态拒绝或接受业务连接,针对允许的业务连接通过认证后的TCP业务通道转给策略决策处理器,策略决策处理器根据最终的目的地址转发给对应业务系统完成业务交互。
4.根据权利要求3所述的一种面向零信任模型的访问控制装置的实现方法,其特征在于:所述访问控制处理器与策略决策处理器间采用PCIE总线连接,PCIE网桥仅具有策略下发、认证前的UDP业务,认证后的TCP业务三条通道。
5.根据权利要求3所述的一种面向零信任模型的访问控制装置的实现方法,其特征在于:所述步骤S2中操作系统为经过裁剪的Linux内核系统,仅具备访问控制所需的基本模块,操作系统启动时,通过PCIE网桥策略下发通道动态获取初始策略,仅开启必要的端口。
6.根据权利要求3所述的一种面向零信任模型的访问控制装置的实现方法,其特征在于:所述步骤S3中策略决策处理器具备存储功能,可以存储必要的配置信息、策略信息等,开机时从磁盘加载操作系统,并自动启动相应的服务。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210204509.2A CN114513366A (zh) | 2022-03-03 | 2022-03-03 | 一种面向零信任模型的访问控制装置及实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210204509.2A CN114513366A (zh) | 2022-03-03 | 2022-03-03 | 一种面向零信任模型的访问控制装置及实现方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114513366A true CN114513366A (zh) | 2022-05-17 |
Family
ID=81553722
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210204509.2A Pending CN114513366A (zh) | 2022-03-03 | 2022-03-03 | 一种面向零信任模型的访问控制装置及实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114513366A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101374059A (zh) * | 2007-08-20 | 2009-02-25 | 深圳Tcl工业研究院有限公司 | 一种多媒体广播方法、系统及媒体源设备 |
| US20140373138A1 (en) * | 2011-06-27 | 2014-12-18 | Ahnlab, Inc. | Method and apparatus for preventing distributed denial of service attack |
| CN105204583A (zh) * | 2015-10-16 | 2015-12-30 | 杭州中威电子股份有限公司 | 一种基于嵌入式系统构建的物理隔离系统及隔离方法 |
| CN209358570U (zh) * | 2018-11-30 | 2019-09-06 | 全球能源互联网研究院有限公司 | 一种适用于电网信息安全的网络隔离设备 |
| CN113992402A (zh) * | 2021-10-27 | 2022-01-28 | 北京房江湖科技有限公司 | 一种基于零信任策略的访问控制方法、系统及介质 |
-
2022
- 2022-03-03 CN CN202210204509.2A patent/CN114513366A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101374059A (zh) * | 2007-08-20 | 2009-02-25 | 深圳Tcl工业研究院有限公司 | 一种多媒体广播方法、系统及媒体源设备 |
| US20140373138A1 (en) * | 2011-06-27 | 2014-12-18 | Ahnlab, Inc. | Method and apparatus for preventing distributed denial of service attack |
| CN105204583A (zh) * | 2015-10-16 | 2015-12-30 | 杭州中威电子股份有限公司 | 一种基于嵌入式系统构建的物理隔离系统及隔离方法 |
| CN209358570U (zh) * | 2018-11-30 | 2019-09-06 | 全球能源互联网研究院有限公司 | 一种适用于电网信息安全的网络隔离设备 |
| CN113992402A (zh) * | 2021-10-27 | 2022-01-28 | 北京房江湖科技有限公司 | 一种基于零信任策略的访问控制方法、系统及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10154067B2 (en) | Network application security policy enforcement | |
| US11070591B2 (en) | Distributed network application security policy enforcement | |
| US11178104B2 (en) | Network isolation with cloud networks | |
| US10992642B2 (en) | Document isolation | |
| US10931669B2 (en) | Endpoint protection and authentication | |
| KR101229205B1 (ko) | Acl에 기초하는 스위치용 ip | |
| US20080052755A1 (en) | Secure, real-time application execution control system and methods | |
| US20050182966A1 (en) | Secure interprocess communications binding system and methods | |
| US20060224897A1 (en) | Access control service and control server | |
| US9369492B1 (en) | Out-of band network security management | |
| US8272043B2 (en) | Firewall control system | |
| US20200145213A1 (en) | Iot security mechanisms for industrial applications | |
| CN115664693A (zh) | 资源访问系统、方法、电子设备和存储介质 | |
| US20120331522A1 (en) | System and method for logical separation of a server by using client virtualization | |
| WO2010003322A1 (zh) | 终端访问的控制方法、系统和设备 | |
| US11223601B2 (en) | Network isolation for collaboration software | |
| CN114553577B (zh) | 一种基于多主机双隔离保密架构的网络交互系统及方法 | |
| CN114513366A (zh) | 一种面向零信任模型的访问控制装置及实现方法 | |
| US9239915B2 (en) | Synchronizing between host and management co-processor for network access control | |
| CN102088453A (zh) | 一种控制主机接入的方法、系统及装置 | |
| CN116915503B (zh) | 一种违规外联检测方法及装置、存储介质及电子设备 | |
| US11683196B2 (en) | Communication control device and non-transitory computer readable medium | |
| Pacharla et al. | Protection of Firewall Rules Using Secure Storage for the Infotainment System | |
| CN115567928A (zh) | 一种WiFi网络密码机 | |
| JP2003198636A (ja) | ネットワークのセキュリティシステム及びそのセキュリティ方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |