CN114640514A - 安全服务系统、访问控制方法和计算机可读存储介质 - Google Patents

安全服务系统、访问控制方法和计算机可读存储介质 Download PDF

Info

Publication number
CN114640514A
CN114640514A CN202210208605.4A CN202210208605A CN114640514A CN 114640514 A CN114640514 A CN 114640514A CN 202210208605 A CN202210208605 A CN 202210208605A CN 114640514 A CN114640514 A CN 114640514A
Authority
CN
China
Prior art keywords
virtual
gateway unit
user terminal
virtual gateway
service server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210208605.4A
Other languages
English (en)
Other versions
CN114640514B (zh
Inventor
罗俊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu Westone Information Industry Inc
Original Assignee
Chengdu Westone Information Industry Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu Westone Information Industry Inc filed Critical Chengdu Westone Information Industry Inc
Priority to CN202210208605.4A priority Critical patent/CN114640514B/zh
Publication of CN114640514A publication Critical patent/CN114640514A/zh
Application granted granted Critical
Publication of CN114640514B publication Critical patent/CN114640514B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种安全服务系统、访问控制方法和计算机可读存储介质,安全服务系统用户终端、网关设备和业务服务器,网关设备包括多个虚拟网关单元、虚拟交换机和分流器,虚拟交换机与每个虚拟网关单元、分流器连接;不同的虚拟网关单元之间通过不同的容器进行隔离,每个虚拟网关单元具备独立的第一虚拟网络接口和第二虚拟网络接口,第一虚拟网络接口用于与用户终端通信,第二虚拟网络接口与虚拟网关单元对应的业务服务器通信;虚拟网关单元用于利用对应的业务服务器的安全策略对第一虚拟网络接口接收到的访问请求的发送用户终端进行权限验证,权限验证通过后,虚拟网关单元用于实现发送用户终端与虚拟网关单元对应的业务服务器之间的通信。

Description

安全服务系统、访问控制方法和计算机可读存储介质
技术领域
本申请涉及计算机技术领域,更具体地说,涉及一种安全服务系统、一种访问控制方法和一种计算机可读存储介质。
背景技术
IPSEC(Internet Protocol Security)表示Internet协议安全性,是一种开放标准的框架结构,通过在通信双方之间建立基于密码技术的安全隧道以确保在Internet协议网络上进行保密而安全的通讯。IKE(Internet Key Exchange)表示Internet密钥交换协议,解决在Internet等不安全的网络环境中安全的建立或更新共享密钥的问题。VPN(虚拟专用网络,Virtual Private Network)指的是在公用网络上建立专用网络的技术,它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。采用IPSEC和IKE协议的VPN称为IPSEC VPN,主要采用了隧道技术、数字签名技术、加解密技术、密钥管理技术和身份认证技术。
传统的IPSEC VPN设备一般作为边界安全解决方案的重要组成部分,保障一个或多个网段数据传输通道的机密性和完整性,防护粒度比较粗。近年来兴起的零信任安全(Zero Trus)理论,是一种网络安全架构和安全概念,以身份为中心进行网络动态访问控制,其中心思想是不应信任网络内外部的任何用户、设备、应用、流量等,对任何网络访问行为都应该基于认证和授权重构访问控制的信任基础。为了被保护资源的独立性和安全性,对于每个被保护的资源都配置一台硬件防护设备,但是,如果需要保护的资源数量巨大,在成本和部署实施上都有着很大的困难。
因此,如何既满足安全策略执行点的独立性,又满足被保护资源的安全性是本领域技术人员需要解决的技术问题。
发明内容
本申请的目的在于提供一种安全服务系统、一种访问控制方法和一种计算机可读存储介质,既满足了安全策略执行点的独立性,又满足了被保护资源的安全性。
为实现上述目的,本申请提供了一种安全服务系统,包括用户终端、网关设备和业务服务器,所述网关设备包括多个虚拟网关单元、虚拟交换机和分流器,所述虚拟交换机与每个所述虚拟网关单元、所述分流器连接;
不同的所述虚拟网关单元之间通过不同的容器进行隔离,每个所述虚拟网关单元具备独立的虚拟IP地址、第一虚拟网络接口和第二虚拟网络接口,所述第一虚拟网络接口用于通过所述分流器与所述用户终端通信,所述第二虚拟网络接口用于通过所述分流器与所述虚拟网关单元对应的业务服务器通信;
所述分流器用于接收所述用户终端或所述业务服务器发送的网络数据,并基于所述网络数据中包含的源IP地址和目的IP地址为所述访问请求添加对应的虚拟局域网标签;其中,所述第一虚拟网络接口和第二虚拟网络接口对应不同的虚拟局域网标签;
所述虚拟交换机用于接收所述分流器发送的网络数据,并根据所述网络数据中包含的虚拟局域网标签将所述网络数据转发至对应的虚拟网络接口;
所述虚拟网关单元用于利用对应的业务服务器的安全策略对所述第一虚拟网络接口接收到的访问请求的发送用户终端进行权限验证,权限验证通过后,所述虚拟网关单元用于实现所述发送用户终端与所述虚拟网关单元对应的业务服务器之间的通信。
其中,还包括安全策略中心;
所述安全策略中心用于根据所述用户终端的身份鉴别结果和信任评分结果确定所述用户终端的访问权限和可访问业务服务器列表、将所述可访问业务服务器列表中的业务服务器对应的虚拟网关单元的IP地址发送至所述用户终端、生成所述业务服务器对应的安全策略,并发送至所述业务服务器对应的虚拟网关单元。
其中,所述网关设备还包括管理器,所述管理器用于基于所述安全策略中心的命令对所述虚拟网关单元进行控制。
其中,所述安全策略中心用于根据业务服务器的类型和数量确定新建的虚拟网关单元的数量,并在地址池中为新建的安全服务代理选择对应的IP地址,向所述管理器发送虚拟网关单元的创建命令;
所述管理器用于基于所述创建命令在所述网关设备中新建虚拟网关单元、为新建的虚拟网关单元设置IP地址、第一虚拟网络接口对应的第一虚拟局域网标签和第二虚拟网络接口对应的第二虚拟局域网标签。
其中,所述安全策略中心用于向所述管理器发送目标虚拟网关单元的关闭命令,并将所述目标虚拟网关单元对应的IP地址重新加入所述地址池中;
所述管理器用于基于所述关闭命令控制所述目标虚拟网关单元关闭。
其中,所述网关设备还包括外部物理网络端口和内部物理网络端口;
所述分流器通过所述外部物理网络端口与所述用户终端通信;
所述分流器通过所述内部物理网络端口与所述业务服务器通信。
其中,所述虚拟网关单元具体用于利用所述安全策略建立对应的业务服务器的访问白名单,并基于所述访问白名单对所述第一虚拟网络接口接收到的访问请求的发送用户终端进行权限验证。
其中,所述虚拟网关单元通过所述第二虚拟网络端口与对应的业务服务器之间建立静态的加密连接;
所述虚拟网关单元对所述发送用户终端的权限验证通过后,所述虚拟网关单元通过所述第一虚拟网络端口与所述发送用户终端之间建立动态的加密连接。
为实现上述目的,本申请提供了一种访问控制方法,应用于如上述安全服务系统中的虚拟网关单元,所述方法包括:
根据业务服务器的类型和数量在所述网关设备中创建对应数量的虚拟网关单元;
所述虚拟网关单元获取对应的业务服务器的安全策略,通过第一虚拟网络端口接收用户终端发送的访问请求,并利用所述安全策略对所述用户终端进行权限验证,权限验证通过后,通过第二虚拟网络端口将所述访问请求发送至所述业务服务器;
通过所述虚拟网关单元实现所述用户终端与所述业务服务器之间的通信。
为实现上述目的,本申请提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述访问控制方法的步骤。
通过以上方案可知,本申请提供的一种安全服务系统,包括用户终端、网关设备和业务服务器,所述网关设备包括多个虚拟网关单元、虚拟交换机和分流器,所述虚拟交换机与每个所述虚拟网关单元、所述分流器连接;不同的所述虚拟网关单元之间通过不同的容器进行隔离,每个所述虚拟网关单元具备独立的虚拟IP地址、第一虚拟网络接口和第二虚拟网络接口,所述第一虚拟网络接口用于通过所述分流器与所述用户终端通信,所述第二虚拟网络接口用于通过所述分流器与所述虚拟网关单元对应的业务服务器通信;所述分流器用于接收所述用户终端或所述业务服务器发送的网络数据,并基于所述网络数据中包含的源IP地址和目的IP地址为所述访问请求添加对应的虚拟局域网标签;其中,所述第一虚拟网络接口和第二虚拟网络接口对应不同的虚拟局域网标签;所述虚拟交换机用于接收所述分流器发送的网络数据,并根据所述网络数据中包含的虚拟局域网标签将所述网络数据转发至对应的虚拟网络接口;所述虚拟网关单元用于利用对应的业务服务器的安全策略对所述第一虚拟网络接口接收到的访问请求的发送用户终端进行权限验证,权限验证通过后,所述虚拟网关单元用于实现所述发送用户终端与所述虚拟网关单元对应的业务服务器之间的通信。
本申请提供的安全服务系统,在网关设备中采用基于容器的虚拟化技术,为每个被保护的资源即业务服务器运行一个独立的虚拟网关单元,用于在对应的业务服务器与用户终端进行安全隔离。虚拟网关单元以虚拟网络接口的方式接入虚拟机交换机,网络数据通过分流器进行处理,根据其源和目的地址区分流向不同的虚拟网关单元或从不同的虚拟网关单元流出,继而打上或剥离不同的虚拟局域网标签,进行逻辑上的隔离,既满足了安全策略执行点的独立性,又满足了被保护资源的安全性。由此可见,本申请提供的安全服务系统,既实现了安全策略执行点和受保护资源的一一对应和独立运行,又避免了大量安全硬件设备的部署和运维成本,实现了零信任的安全防护。本申请还公开了一种访问控制方法及一种电子设备和一种计算机可读存储介质,同样能实现上述技术效果。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本申请。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。附图是用来提供对本公开的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本公开,但并不构成对本公开的限制。在附图中:
图1为根据一示例性实施例示出的一种安全服务系统系统的结构图;
图2为根据一示例性实施例示出的一种访问控制方法的流程图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。另外,在本申请实施例中,“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
本申请实施例公开了一种安全服务系统,既满足了安全策略执行点的独立性,又满足了被保护资源的安全性。
参见图1,根据一示例性实施例示出的一种安全服务系统的结构图,如图1所示,包括用户终端、网关设备和业务服务器,所述网关设备包括多个虚拟网关单元、虚拟交换机和分流器,所述虚拟交换机与每个所述虚拟网关单元、所述分流器连接;
不同的所述虚拟网关单元之间通过不同的容器进行隔离,每个所述虚拟网关单元具备独立的虚拟IP地址、第一虚拟网络接口和第二虚拟网络接口,所述第一虚拟网络接口用于通过所述分流器与所述用户终端通信,所述第二虚拟网络接口用于通过所述分流器与所述虚拟网关单元对应的业务服务器通信;
所述分流器用于接收所述用户终端或所述业务服务器发送的网络数据,并基于所述网络数据中包含的源IP地址和目的IP地址为所述访问请求添加对应的虚拟局域网标签;其中,所述第一虚拟网络接口和第二虚拟网络接口对应不同的虚拟局域网标签;
所述虚拟交换机用于接收所述分流器发送的网络数据,并根据所述网络数据中包含的虚拟局域网标签将所述网络数据转发至对应的虚拟网络接口;
所述虚拟网关单元用于利用对应的业务服务器的安全策略对所述第一虚拟网络接口接收到的访问请求的发送用户终端进行权限验证,权限验证通过后,所述虚拟网关单元用于实现所述发送用户终端与所述虚拟网关单元对应的业务服务器之间的通信。
在本实施例中,用户终端通过网关设备访问业务服务器,网关设备具体为IPSECVPN网关设备,用户终端和业务服务器上可以分别部署VPN客户端。用户终端根据安全策略连接业务服务器对应的虚拟网关单元,虚拟网关单元根据安全策略连接对应的业务服务器。
在具体实施中,网关设备上运行多个虚拟网关单元,一台或一类业务服务器资源对应一个虚拟网关单元,虚拟网关单元之间基于容器虚拟化技术进行相互隔离,容器是一种轻量级的虚拟化技术,容器为应用程序提供了隔离的运行空间,每个容器内都包含一个独享的完整的用户环境空间,并且一个容器内的变动不会影响其他容器的运行环境。虚拟网关单元采用基于容器的虚拟化技术,具有各自独立运行的网络协议栈、进程空间、文件系统和内存管理。虚拟网关单元以虚拟网络接口的方式接入虚拟交换机,每个虚拟网关单元具备两个虚拟网络接口,即第一虚拟网络接口和第二虚拟网络接口,依次通过虚拟交换机、分流器分别连接外部的用户终端和内部的业务服务器。
虚拟交换机连接不同虚拟网关单元以及分流器的虚拟网络接口,对来自各虚拟网络接口的数据报文进行二层交换和转发。虚拟交换机采用基于802.1Q的VLAN标签技术将流入流出不同虚拟网关单元以及从同一个虚拟网关单元流入流出内外部网络的数据流量进行逻辑隔离。在具体实施中,为第一虚拟网络接口和第二虚拟网络接口分配不同的虚拟局域网标签,用于对同一个虚拟网关单元流入流出内外部网络的数据流量进行逻辑隔离,不同虚拟网关单元的虚拟网络接口分配不同的虚拟局域网标签,用于将流入流出不同虚拟网关单元的数据流量进行逻辑隔离。
作为一种可行的实施方式,所述网关设备还包括外部物理网络端口和内部物理网络端口;所述分流器通过所述外部物理网络端口与所述用户终端通信;所述分流器通过所述内部物理网络端口与所述业务服务器通信。在具体实施中,分流器以虚拟网络接口的形式分别连接虚拟交换机和内外物理网络接口。物理网络接口收发的网络数据通过分流器进行处理,并通过为不同虚拟网关单元以及虚拟网关单元与外部用户终端和内部业务服务器的不同数据流分配不同的虚拟局域网标签进行逻辑上的隔离。在具体实施中,从连接用户终端的外部网络接口收到的数据报文,根据其目的IP地址区分流向不同的虚拟网关单元,并打上不同的虚拟局域网标签后进入虚拟交换机;相应的从不同虚拟网关单元流向外部用户终端的数据报文从虚拟交换机进入分流器时会带有对应的虚拟局域网标签并由分流器进行剥离后流入外部网络接口;从连接业务服务器侧的内部网络接口收到的数据报文,根据其目的IP地址区分流向不同的虚拟网关单元,并打上不同的虚拟局域网标签后进入虚拟交换机;相应的从不同虚拟网关单元流向内部业务服务器资源的数据报文从虚拟交换机进入分流器时会带有对应的虚拟局域网标签并由分流器进行剥离后流入内部网络接口。分流器同时也作为以网关设备的管理地址为源和目的地址的管理报文的收发中继,与管理器通过虚拟网络接口连接。
进一步的,所述虚拟网关单元具体用于利用所述安全策略建立对应的业务服务器的访问白名单,并基于所述访问白名单对所述第一虚拟网络接口接收到的访问请求的发送用户终端进行权限验证。在具体实施中,虚拟网关单元根据安全策略建立白名单,只有白名单中的IP和用户才能与虚拟网关单元连接并进行IKE密钥协商,虚拟网关单元定期刷新白名单。
需要说明的是,所述虚拟网关单元通过所述第二虚拟网络端口与对应的业务服务器之间建立静态的加密连接,也即建立内部安全通道1、2、…、n;所述虚拟网关单元对所述发送用户终端的权限验证通过后,所述虚拟网关单元通过所述第一虚拟网络端口与所述发送用户终端之间建立动态的加密连接。
在具体实施中,用户终端根据安全策略连接其得到访问授权的业务服务器对应的虚拟网关单元,并通过IKE密钥协商和对应的虚拟网关单元建立动态的IPSec加密通道,该通道的生命周期不大于用户得到的访问授权周期并在用户登出业务系统后终止。虚拟网关单元根据安全策略连接其指定保护的业务服务器,通过IKE密钥协商和其指定保护的业务服务器建立静态的IPSec加密通道并定期刷新IPSec会话密钥。
由此可见,虚拟网关单元作为一个完整独立的虚拟IPSec VPN设备运行,其内部采用数控分离架构,分为管理平面、控制平面和数据平面三层运行空间,管理平面接受安全策略中心的策略管理,控制平面运行IKE密钥协商程序,数据平面建立IPSec加密通道对数据报文进行加解密处理。VPN客户端运行在用户终端和业务服务器。用户访问授权资源时需要通过VPN客户端和虚拟网关单元建立动态的IPSec加密通道,对外部数据流量进行加密;作为受访资源的业务服务器需要通过VPN客户端和虚拟网关单元建立静态的IPSec加密通道,对内部数据流量进行加密。也即,用户终端访问业务服务器的数据流量经过用户终端与虚拟网关单元之间、虚拟网关单元与业务服务器之间两端加密,实现全程全流量加密。
本申请实施例提供的安全服务系统,在网关设备中采用基于容器的虚拟化技术,为每个被保护的资源即业务服务器运行一个独立的虚拟网关单元,用于在对应的业务服务器与用户终端进行安全隔离。虚拟网关单元以虚拟网络接口的方式接入虚拟机交换机,网络数据通过分流器进行处理,根据其源和目的地址区分流向不同的虚拟网关单元或从不同的虚拟网关单元流出,继而打上或剥离不同的虚拟局域网标签,进行逻辑上的隔离,既满足了安全策略执行点的独立性,又满足了被保护资源的安全性。由此可见,本申请提供的安全服务系统,既实现了安全策略执行点和受保护资源的一一对应和独立运行,又避免了大量安全硬件设备的部署和运维成本,实现了零信任的安全防护。
在上述实施例的基础上,作为一种优选实施方式,安全服务系统还包括安全策略中心;所述安全策略中心用于根据所述用户终端的身份鉴别结果和信任评分结果确定所述用户终端的访问权限和可访问业务服务器列表、将所述可访问业务服务器列表中的业务服务器对应的虚拟网关单元的IP地址发送至所述用户终端、生成所述业务服务器对应的安全策略,并发送至所述业务服务器对应的虚拟网关单元。
在具体实施中,安全策略中心根据用户的身份鉴别结果和信任评分决定该用户的访问权限和可访问资源列表,并根据资源列表向资源即业务服务器对应的虚拟网关单元和用户终端发送用户安全策略。进一步的,可以通过地址池对分配给虚拟网关单元的IP地址进行管理,根据业务服务器和对应虚拟网关单元的状态,对IP地址进行动态的分配与释放。用户终端可以通过安全策略中的IP地址访问可访问业务服务器对应的虚拟网关单元,虚拟网关单元根据安全策略对用户终端进行权限验证。
在上述实施例的基础上,作为一种优选实施方式,所述网关设备还包括管理器,所述管理器用于基于所述安全策略中心的命令对所述虚拟网关单元进行控制。在具体实施中,管理器根据安全策略中心的命令新建或关闭虚拟网关单元。管理器以独立容器的形式存在,通过虚拟网络接口和分流器连接,并对外作为网关设备的管理地址。管理器不直接连接物理网络接口,以网关设备的管理地址为源和目的地址的管理报文的收发通过分流器进行。
作为一种可行的实施实施方式,所述安全策略中心用于根据业务服务器的类型和数量确定新建的虚拟网关单元的数量,并在地址池中为新建的安全服务代理选择对应的IP地址,向所述管理器发送虚拟网关单元的创建命令;所述管理器用于基于所述创建命令在所述网关设备中新建虚拟网关单元、为新建的虚拟网关单元设置IP地址、第一虚拟网络接口对应的第一虚拟局域网标签和第二虚拟网络接口对应的第二虚拟局域网标签。
在具体实施中,当增加新的业务服务器时,通知网关设备的管理器新建和该资源对应的虚拟网关单元,并建立加密通道。新建的虚拟网关单元初始化时会产生自己的私钥并导入数字证书的根证书,然后通过管理员进行离线证书签发或通过SCEP(简单证书注册协议)在线签发证书。虚拟网关单元的IP地址从地址池中获取,并报送安全策略中心。
作为另一种可行的实施实施方式,所述安全策略中心用于向所述管理器发送目标虚拟网关单元的关闭命令,并将所述目标虚拟网关单元对应的IP地址重新加入所述地址池中;所述管理器用于基于所述关闭命令控制所述目标虚拟网关单元关闭。
在具体实施中,虚拟网关单元的生命周期和业务服务器同步,业务服务器宕机或下线后,相应的虚拟网关单元也关闭并释放资源和IP地址。业务服务器宕机或下线并导致虚拟网关单元关闭时,分配给该虚拟网关单元的IP地址回收入地址池。
本申请实施例公开了一种访问控制方法,下文描述的一种访问控制方法应用于上文描述的安全服务系统中的网关设备。
参见图2,根据一示例性实施例示出的一种访问控制方法的流程图,如图2所示,包括:
S101:根据业务服务器的类型和数量在所述网关设备中创建对应数量的虚拟网关单元;
在具体实施中,在零信任网络中部署具备密码设备安全要求的网关设备和安全策略中心,并在网络中的每台用户终端或业务服务器上部署VPN客户端,根据资源即业务服务器的类型和数量在网关设备上新建虚拟网关单元,同时进行网关设备、虚拟网关单元、VPN客户端、各设备和用户的数字证书签发。
S102:所述虚拟网关单元获取对应的业务服务器的安全策略,通过第一虚拟网络端口接收用户终端发送的访问请求,并利用所述安全策略对所述用户终端进行权限验证,权限验证通过后,通过第二虚拟网络端口将所述访问请求发送至所述业务服务器;
在具体实施中,用户登录用户终端,并向安全策略中心进行身份鉴别和信任评分,安全策略中心根据用户的身份鉴别结果和信任评分决定该用户的访问权限和可访问资源列表,并根据资源列表向资源即业务服务器对应的虚拟网关单元发送用户安全策略。用户根据访问资源对应的虚拟网关单元,发起与虚拟网关单元的IKE密钥协商,建立与虚拟网关单元之间的动态IPSec加密通道,加密保护外部网络中用户终端-虚拟网关单元之间的数据流量;
用户从用户终端访问该用户授权访问的资源即业务服务器,该数据流首先由用户终端-虚拟网关单元之间的IPSec加密通道保护并以密文形式到达虚拟网关单元,在虚拟网关单元内部解密后进行安全策略检查,符合访问控制策略的数据流由虚拟网关单元转发到最终的目的业务服务器,并由虚拟网关单元-业务服务器之间的IPSec加密通道进行加密保护。
S103:通过所述虚拟网关单元实现所述用户终端与所述业务服务器之间的通信。
在具体实施中,虚拟网关单元和所保护的业务服务器上的VPN客户端进行IKE密钥协商,建立静态的IPSec加密通道,加密保护内部网络中虚拟网关单元-业务服务器之间的数据流量。
用户结束业务活动后登出,用户终端和虚拟网关单元之间的IPSec加密通道终止,虚拟网关单元向安全策略中心报送相关安全日志,并按照密码设备的安全要求对用户相关安全策略、敏感安全参数和临时安全数据进行置零。
由此可见,本实施例提供的访问控制方法,在网关设备中为每个被保护的资源即业务服务器运行一个独立的虚拟网关单元,用于在对应的业务服务器与用户终端进行安全隔离,既满足了安全策略执行点的独立性,又满足了被保护资源的安全性。
在示例性实施例中,本申请实施例还提供了一种存储介质,即计算机存储介质,具体为计算机可读存储介质,例如包括存储计算机程序的存储器,上述计算机程序可由处理器执行,以完成前述方法所述步骤。计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台电子设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。

Claims (10)

1.一种安全服务系统,其特征在于,包括用户终端、网关设备和业务服务器,所述网关设备包括多个虚拟网关单元、虚拟交换机和分流器,所述虚拟交换机与每个所述虚拟网关单元、所述分流器连接;
不同的所述虚拟网关单元之间通过不同的容器进行隔离,每个所述虚拟网关单元具备独立的虚拟IP地址、第一虚拟网络接口和第二虚拟网络接口,所述第一虚拟网络接口用于通过所述分流器与所述用户终端通信,所述第二虚拟网络接口用于通过所述分流器与所述虚拟网关单元对应的业务服务器通信;
所述分流器用于接收所述用户终端或所述业务服务器发送的网络数据,并基于所述网络数据中包含的源IP地址和目的IP地址为所述访问请求添加对应的虚拟局域网标签;其中,所述第一虚拟网络接口和第二虚拟网络接口对应不同的虚拟局域网标签;
所述虚拟交换机用于接收所述分流器发送的网络数据,并根据所述网络数据中包含的虚拟局域网标签将所述网络数据转发至对应的虚拟网络接口;
所述虚拟网关单元用于利用对应的业务服务器的安全策略对所述第一虚拟网络接口接收到的访问请求的发送用户终端进行权限验证,权限验证通过后,所述虚拟网关单元用于实现所述发送用户终端与所述虚拟网关单元对应的业务服务器之间的通信。
2.根据权利要求1所述安全服务系统,其特征在于,还包括安全策略中心;
所述安全策略中心用于根据所述用户终端的身份鉴别结果和信任评分结果确定所述用户终端的访问权限和可访问业务服务器列表、将所述可访问业务服务器列表中的业务服务器对应的虚拟网关单元的IP地址发送至所述用户终端、生成所述业务服务器对应的安全策略,并发送至所述业务服务器对应的虚拟网关单元。
3.根据权利要求2所述安全服务系统,其特征在于,所述网关设备还包括管理器,所述管理器用于基于所述安全策略中心的命令对所述虚拟网关单元进行控制。
4.根据权利要求3所述安全服务系统,其特征在于,所述安全策略中心用于根据业务服务器的类型和数量确定新建的虚拟网关单元的数量,并在地址池中为新建的安全服务代理选择对应的IP地址,向所述管理器发送虚拟网关单元的创建命令;
所述管理器用于基于所述创建命令在所述网关设备中新建虚拟网关单元、为新建的虚拟网关单元设置IP地址、第一虚拟网络接口对应的第一虚拟局域网标签和第二虚拟网络接口对应的第二虚拟局域网标签。
5.根据权利要求3所述安全服务系统,其特征在于,所述安全策略中心用于向所述管理器发送目标虚拟网关单元的关闭命令,并将所述目标虚拟网关单元对应的IP地址重新加入所述地址池中;
所述管理器用于基于所述关闭命令控制所述目标虚拟网关单元关闭。
6.根据权利要求1所述安全服务系统,其特征在于,所述网关设备还包括外部物理网络端口和内部物理网络端口;
所述分流器通过所述外部物理网络端口与所述用户终端通信;
所述分流器通过所述内部物理网络端口与所述业务服务器通信。
7.根据权利要求1所述安全服务系统,其特征在于,所述虚拟网关单元具体用于利用所述安全策略建立对应的业务服务器的访问白名单,并基于所述访问白名单对所述第一虚拟网络接口接收到的访问请求的发送用户终端进行权限验证。
8.根据权利要求1所述安全服务系统,其特征在于,所述虚拟网关单元通过所述第二虚拟网络端口与对应的业务服务器之间建立静态的加密连接;
所述虚拟网关单元对所述发送用户终端的权限验证通过后,所述虚拟网关单元通过所述第一虚拟网络端口与所述发送用户终端之间建立动态的加密连接。
9.一种访问控制方法,其特征在于,应用于如权利要求1至8中任一项所述安全服务系统中的虚拟网关单元,所述方法包括:
根据业务服务器的类型和数量在所述网关设备中创建对应数量的虚拟网关单元;
所述虚拟网关单元获取对应的业务服务器的安全策略,通过第一虚拟网络端口接收用户终端发送的访问请求,并利用所述安全策略对所述用户终端进行权限验证,权限验证通过后,通过第二虚拟网络端口将所述访问请求发送至所述业务服务器;
通过所述虚拟网关单元实现所述用户终端与所述业务服务器之间的通信。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求9所述访问控制方法的步骤。
CN202210208605.4A 2022-03-03 2022-03-03 安全服务系统、访问控制方法和计算机可读存储介质 Active CN114640514B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210208605.4A CN114640514B (zh) 2022-03-03 2022-03-03 安全服务系统、访问控制方法和计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210208605.4A CN114640514B (zh) 2022-03-03 2022-03-03 安全服务系统、访问控制方法和计算机可读存储介质

Publications (2)

Publication Number Publication Date
CN114640514A true CN114640514A (zh) 2022-06-17
CN114640514B CN114640514B (zh) 2023-05-23

Family

ID=81948259

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210208605.4A Active CN114640514B (zh) 2022-03-03 2022-03-03 安全服务系统、访问控制方法和计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN114640514B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105450494A (zh) * 2014-08-20 2016-03-30 北京云巢动脉科技有限公司 一种虚拟网络及其实现方法
US20160156718A1 (en) * 2014-12-01 2016-06-02 Telefonaktiebolaget L M Ericsson (Publ) Enf selection for nfvi
CN106850382A (zh) * 2016-12-05 2017-06-13 北京神州绿盟信息安全科技股份有限公司 一种流量牵引方法及装置
CN107947977A (zh) * 2017-11-21 2018-04-20 北京邮电大学 一种交换机的配置方法、装置、电子设备及存储介质
US20200220778A1 (en) * 2019-01-08 2020-07-09 Red Hat Israel, Ltd. Debugging a network switch by replaying configuration
US20200244702A1 (en) * 2019-01-25 2020-07-30 Nicira, Inc. Processes and systems that translate policies in a distributed computing system using a distributed indexing engine
CN112104490A (zh) * 2020-09-03 2020-12-18 杭州安恒信息安全技术有限公司 基于云服务器的网络通信方法、装置和电子装置

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105450494A (zh) * 2014-08-20 2016-03-30 北京云巢动脉科技有限公司 一种虚拟网络及其实现方法
US20160156718A1 (en) * 2014-12-01 2016-06-02 Telefonaktiebolaget L M Ericsson (Publ) Enf selection for nfvi
CN106850382A (zh) * 2016-12-05 2017-06-13 北京神州绿盟信息安全科技股份有限公司 一种流量牵引方法及装置
CN107947977A (zh) * 2017-11-21 2018-04-20 北京邮电大学 一种交换机的配置方法、装置、电子设备及存储介质
US20200220778A1 (en) * 2019-01-08 2020-07-09 Red Hat Israel, Ltd. Debugging a network switch by replaying configuration
US20200244702A1 (en) * 2019-01-25 2020-07-30 Nicira, Inc. Processes and systems that translate policies in a distributed computing system using a distributed indexing engine
CN112104490A (zh) * 2020-09-03 2020-12-18 杭州安恒信息安全技术有限公司 基于云服务器的网络通信方法、装置和电子装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
王佰玲,刘红日,张耀芳,吕思才,王子博,王启蒙: "工业控制系统安全仿真关键技术研究综述" *

Also Published As

Publication number Publication date
CN114640514B (zh) 2023-05-23

Similar Documents

Publication Publication Date Title
US8607301B2 (en) Deploying group VPNS and security groups over an end-to-end enterprise network
US8082574B2 (en) Enforcing security groups in network of data processors
CN101543005B (zh) 安全网络体系结构
AU2005204576B2 (en) Enabling stateless server-based pre-shared secrets
CN104486307B (zh) 一种基于同态加密的分权密钥管理方法
JP2019525669A (ja) ネットワーク制御システムのパブリッククラウドへの拡張
CN100401706C (zh) 一种虚拟专网客户端的接入方法及系统
US11985113B2 (en) Computing system operational methods and apparatus
US20080072280A1 (en) Method and system to control access to a secure asset via an electronic communications network
CN110830351B (zh) 基于SaaS服务模式的租户管理及服务提供方法、装置
EP3288235B1 (en) System and apparatus for enforcing a service level agreement (sla) in a cloud environment using digital signatures
US11556364B2 (en) Method and apparatus for enabling public key infrastructure in the generic cloud environment and the network function
US20190190710A1 (en) Allocating security parameter index values using time-based one-time passwords
US11726813B2 (en) Systems and methods for establishing scalable credential creation and access
CN110662218B (zh) 数据摆渡装置及其方法
CN114640514B (zh) 安全服务系统、访问控制方法和计算机可读存储介质
He et al. Dynamic secure interconnection for security enhancement in cloud computing
Kwon et al. Mondrian: Comprehensive Inter-domain Network Zoning Architecture.
CN114640512B (zh) 安全服务系统、访问控制方法和计算机可读存储介质
US20080222693A1 (en) Multiple security groups with common keys on distributed networks
JP2021533599A (ja) コンピューティング環境でオンプレミスの秘密を複製する安全な方法
US20240031336A1 (en) Virtual private network enhancement using multiple cores
EP4323898A1 (en) Computer-implemented methods and systems for establishing and/or controlling network connectivity
WO2023199189A1 (en) Methods and systems for implementing secure communication channels between systems over a network
Caronni et al. Supernets and snhubs: A foundation for public utility computing

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant