CN114884771B - 基于零信任理念的身份化网络构建方法、装置和系统 - Google Patents
基于零信任理念的身份化网络构建方法、装置和系统 Download PDFInfo
- Publication number
- CN114884771B CN114884771B CN202210466850.5A CN202210466850A CN114884771B CN 114884771 B CN114884771 B CN 114884771B CN 202210466850 A CN202210466850 A CN 202210466850A CN 114884771 B CN114884771 B CN 114884771B
- Authority
- CN
- China
- Prior art keywords
- access
- network
- data packet
- cloud node
- access terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种基于零信任理念的身份化网络构建方法、装置和系统,预设构建条件,根据所述构建条件,在overlay虚拟网络中构建接入终端、云端节点和接入组件;建立所述接入组件与所述云端节点之间的网络通信,并配置业务信息;建立所述接入终端与所述云端节点之间的网络通信,并与所述接入组件共同组网;登录所述接入终端,通过所述接入终端获取相应的所述云端节点信息和所述用户的虚拟网络信息,并访问业务数据。能够通过在underlay网络中添加身份ID,在overlay网络中使用IP地址的方式追溯账号。相比传统的星型虚拟网络拓扑,提供fullmash二层虚拟网络降低了网络运维成本,减少了相关网络建设的预算。
Description
技术领域
本公开涉及网络建设技术领域,尤其涉及一种基于零信任理念的身份化网络构建方法、装置和系统。
背景技术
目前零信任架构的三大核心技术分别为:
(1)SDP软件定义边界
SDP即“软件定义边界”,是国际云安全联盟CSA于2014年提出的基于零信任(ZeroTrust)理念的新一代网络安全模型。SDP旨在使应用程序所有者能够在需要时部署安全边界,以便将服务与不安全的网络隔离开来。SDP将物理设备替换为在应用程序所有者控制下运行的逻辑组件。SDP仅在设备验证和身份验证后才允许访问企业应用基础架构。
SDP的体系结构由两部分组成:SDP主机和SDP控制器。SDP主机可以发起连接或接受连接。这些操作通过安全控制通道与SDP控制器交互来管理。因此,在SDP中,控制平面与数据平面分离以实现完全可扩展的系统。此外,为便于扩展与保证正常使用,所有组件都可以是多个实例的。
(2)IAM增强的身份管理
身份管理是大多数组织实现安全和IT运营策略的核心。它使企业可以自动访问越来越多的技术资产,同时管理潜在的安全和合规风险。身份管理为所有用户,应用程序和数据启用并保护数字身份。
开发ZTA的增强的身份管理方法将参与者的身份用作策略创建的关键组成部分。企业资源访问的主要要求基于授予给定主体的访问特权。通常使用开放式网络模型或具有访问者访问权限或网络上频繁使用非企业设备的企业网络找到针对企业的基于身份治理的增强方法。最初,所有具有资源访问权限的资产都将获得网络访问权限,这些权限仅限于具有适当访问权限的身份。自发布NIST SP 800-207(第二草稿)零信任架构以来,身份驱动的方法与资源门户网站模型配合的很好。身份和状态提供辅助支持数据以访问决策。其他模型也可以使用,具体取决于现有的策略。
(3)MSG微隔离
微隔离是一种基于零信任理念的身份化网络构建方法网络安全技术,它可以将数据中心在逻辑上划分为各个工作负载级别的不同安全段,然后定义安全控制并为每个唯一段提供服务。微隔离使IT人员可以使用网络虚拟化技术在数据中心内部部署灵活的安全策略,而不必安装多个物理防火墙。此外,微隔离可用于保护每个虚拟机(VM)在具有策略驱动的应用程序级安全控制的企业网络中。微隔离技术可以大大增强企业的抵御能力。
现有零信任技术框架中,基本是从业务隔离、身份授权、业务边界等角度考虑的,并没有从网络访问的根本提出相应的技术方案,也就是在现有的零信任方案中,要么直接用underlay网络访问,要么使用传统的VPN技术访问。如果使用underlay访问,则会将控制器,转发器等业务设备暴露在公网,并没有做到完全隐藏;如果使用VPN技术来解决网络访问,则会带来相应的运维成本以及数据传输中,VPN隧道建立的传输成本,而且理论上同一时刻访问主体只能与一个访问客体的VPN网关进行通信,其根本原因是VPN的组网为星型网络结构,在这种网络结构中如果想实现fullmash网络,则运维成本会成指数型增长。
发明内容
有鉴于此,本公开提出了一种基于零信任理念的身份化网络构建方法、装置和系统。
根据本公开的一方面,提供了一种基于零信任理念的身份化网络构建方法,包括如下步骤:
S100、预设构建条件,根据所述构建条件,在overlay虚拟网络中构建接入终端、云端节点和接入组件;
S200、建立所述接入组件与所述云端节点之间的网络通信,并配置业务信息;
S300、建立所述接入终端与所述云端节点之间的网络通信,并与所述接入组件共同组网;
S400、登录所述接入终端,通过所述接入终端获取相应的所述云端节点信息和所述用户的虚拟网络信息,并访问业务数据。
在一种可能的实现方式中,可选地,在步骤S200中,建立所述接入组件与所述云端节点之间的网络通信,并配置业务信息,包括:
S210、预设第一配置条件,将所述接入组件根据所述第一配置条件部署于用户内部;
S220、通过所述接入组件从所述云端节点获取第一认证证书,并基于所述第一认证证书对所述接入组件进行认证;
S230、根据认证结果,通过所述云端节点下发并配置业务信息至所述接入组件,所述业务信息包括用户ID和业务资源。
在一种可能的实现方式中,可选地,在步骤S300中,所述建立所述接入终端与所述云端节点之间的网络通信,并与所述接入组件共同组网,包括:
S310、预设第二配置条件,将所述接入终端根据所述第二配置条件部署于用户内部;
S320、通过所述接入终端从所述云端节点获取第二认证证书,并基于所述第二认证证书对所述接入终端进行认证;
S330、根据认证结果,所述接入终端会同所述接入组件共同构建fullmash网络结构,实现不同用户之间的业务通信。
在一种可能的实现方式中,可选地,在步骤在步骤S300中,所述建立所述接入终端与所述云端节点之间的网络通信,并与所述接入组件共同组网,还包括:
S311、通过访问主体的所述接入终端启动虚拟网处理程序,并将所述接入终端的身份ID上报于预先指定的所述云端节点;
S321、所述云端节点接收上报信息,并使用对应的underlay网络中的物理链路与所述接入终端通信,进行身份确认;
S331、所述云端节点根据确认结果,并根据预设映射规则将上报的所述身份ID和所述underlay网络中的物理链路建立映射关系。
在一种可能的实现方式中,可选地,在步骤S300中,所述建立所述接入终端与所述云端节点之间的网络通信,并与所述接入组件共同组网,还包括:
S312、所述访问客体的接入终端通过认证,获得与所述身份ID相匹配的虚拟网络ID,并向所述云端节点发出入网请求;
S322、所述云端节点接收入网请求,并验证所述访问客体的接入终端的虚拟网络ID是否合法,是则允许入网并返回可使用的虚拟IP地址至所述访问客体的接入终端;
S332、所述访问客体的接入终端接收所述虚拟IP地址,并配置所述虚拟IP地址至所述访问客体的虚拟网卡,完成入网。
在一种可能的实现方式中,可选地,在步骤在步骤S300中,所述建立所述接入终端与所述云端节点之间的网络通信,并与所述接入组件共同组网,还包括:
S313、通过所述访问主体的虚拟网卡,发送询问所述访问客体的数据包至所述云端节点;
S323、所述云端节点接收所述数据包,并通过虚拟网处理程序对所述虚拟网卡发送的数据包进行监听,并捕捉满足符合预设条件的数据包;
S333、采用预设自研协议格式的自定义数据包格式,对所捕捉的所述数据包进行格式封装,获得一UDP数据包,并通过underlay网络发送至所述云端节点。
在一种可能的实现方式中,可选地,在步骤在步骤S300中,所述建立所述接入终端与所述云端节点之间的网络通信,并与所述接入组件共同组网,还包括:
S314、通过所述云端节点接收所述UDP数据包,解析并获知所述UDP数据包的数据标识;
S324、根据所述UDP数据包的数据标识,基于UDP协议获取ARP应答数据包,并返回给所述访问客体;
S334、所述访问客体接收ARP应答数据包,通过虚拟网处理程序对所述ARP应答数据包进行解析,并将数据解析包发送至所述访问客体。
在一种可能的实现方式中,可选地,在步骤在步骤S300中,所述建立所述接入终端与所述云端节点之间的网络通信,并与所述接入组件共同组网,还包括:
S315、通过所述访问客体的虚拟网卡接收所述数据解析包;
S325、根据预设系统协议栈对所述数据解析包进行处理,发出ARP响应包并基于UDP协议对所述ARP响应包进行UDP封装,得到UDP数据包并返回给所述云端节点;
S335、所述云端节点接收所述UDP数据包,记录应答的MAC与身份ID、underlay物理链路信息,并返回给所述访问主体。
根据本公开的另一方面,提供了一种实现上述所述的基于零信任理念的身份化网络构建方法的装置,包括:
构建模块,用于预设构建条件,根据所述构建条件,在overlay虚拟网络中构建接入终端、云端节点和接入组件;
业务信息配置模块,用于建立所述接入组件与所述云端节点之间的网络通信,并配置业务信息;
组网模块,用于建立所述接入终端与所述云端节点之间的网络通信,并与所述接入组件共同组网;
业务访问模块,用于登录所述接入终端,通过所述接入终端获取相应的所述云端节点信息和所述用户的虚拟网络信息,并访问业务数据。
根据本公开的另一方面,还提供了一种基于零信任理念的身份化网络构建系统,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为执行所述可执行指令时实现上述所述的基于零信任理念的身份化网络构建方法。
本申请的技术效果:
本发明通过预设构建条件,根据所述构建条件,在overlay虚拟网络中构建接入终端、云端节点和接入组件;建立所述接入组件与所述云端节点之间的网络通信,并配置业务信息;建立所述接入终端与所述云端节点之间的网络通信,并与所述接入组件共同组网;登录所述接入终端,通过所述接入终端获取相应的所述云端节点信息和所述用户的虚拟网络信息,并访问业务数据。能够在业务资源访问过程中,通过在underlay网络中添加身份ID,在overlay网络中使用IP地址的方式,使每一个数据包无论在underlay还是在overlay网络中都能够追溯到是哪个账号使用哪个终端发出的。
从企业运维角度考虑,由于为企业提供了一张扁平的fullmash二层虚拟网络,相比传统的星型虚拟网络拓扑,大大降低了网络运维成本,以及为企业减少了相关网络建设的预算。
根据下面参考附图对示例性实施例的详细说明,本公开的其它特征及方面将变得清楚。
附图说明
包含在说明书中并且构成说明书的一部分的附图与说明书一起示出了本公开的示例性实施例、特征和方面,并且用于解释本公开的原理。
图1示出为本发明基于零信任理念的身份化网络构建方法的实施流程示意图;
图2示出为本发明自研协议格式的自定义数据包结构示意图;
图3示出为本发明访问主体与访问客体进行通信的流程示意图。
具体实施方式
以下将参考附图详细说明本公开的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面,但是除非特别指出,不必按比例绘制附图。
在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。
另外,为了更好的说明本公开,在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解,没有某些具体细节,本公开同样可以实施。在一些实例中,对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述,以便于凸显本公开的主旨。
实施例1
如图1所示,根据本公开的一方面,提供了一种基于零信任理念的身份化网络构建方法,包括如下步骤:
S100、预设构建条件,根据所述构建条件,在overlay虚拟网络中构建接入终端、云端节点和接入组件;
本技术方案基于overlay网络技术,采用了云加端的组网方案,为企业用户组建其私有的虚拟化网络。用于解决将企业的网络边界身份化。
该方案主要涉及三大模块,分别为:接入终端,云端节点和接入组件:
接入终端,为企业用户的使用者使用的终端设备,例如PC端或者移动端;
云端节点,为部署在公网的云服务节点,用来管理企业的虚拟化网络;
接入组件,为部署在企业内部的服务组件,包括业务接入网关、身份认证授权的控制平台等组件。
在overlay虚拟网络中构建组网所需要的技术面,根据自定义的构建规则,在overlay虚拟网络中将上述接入终端、云端节点和接入组件接入,其中,需要利用到虚拟网卡实施。
S200、建立所述接入组件与所述云端节点之间的网络通信,并配置业务信息;
首先,企业内部安装部署接入组件,部署结束后导入组网平台颁发的License证书,会自动与云端节点通信,并加入相应的虚拟网络中;管理员按照使用手册,配置相关的账号虚拟网络ID,资源等业务信息;
然后,企业用户安装终端软件接入终端,安装后同样导入组网平台颁发的License证书,此时终端软件会获取相应的云端节点信息以及对应企业的虚拟网络信息。
S300、建立所述接入终端与所述云端节点之间的网络通信,并与所述接入组件共同组网;
当企业开通虚拟网络服务后,云端节点会为该企业分配唯一的虚拟网络ID,企业用户通过认证后,会将接入终端和接入组件拉取到同一张虚拟网中,此时已经入网的终端会组建成fullmash网络结构,理论上任意两个端即可实现端到端的通信;当一个终端与另一个终端使用虚拟网通信时,数据包会发送到该终端设备的虚拟网卡上。
S400、登录所述接入终端,通过所述接入终端获取相应的所述云端节点信息和所述用户的虚拟网络信息,并访问业务数据。
最后,终端用户使用管理员配置的登录方式登录后,即可访问该用户被授权的业务系统资源。
在本实施例,两个或者两个以上的主体加入虚拟网络进行通信时,需要为每个主体配置上述接入终端和接入组件,终端设备启动了虚拟网处理程序后,会指定一个或多个云端节点进行通信。
采用上述技术方案,为企业用户提供了安全并可靠的虚拟网络,企业可通过服务组件将业务接入到虚拟网络中,对于虚拟网络以外的访问,业务的业务是隐藏的。对业务有访问需求的用户,需要使用终端应用程序,并且通过企业使用的认证方式验证成功后,方可接入虚拟网络。
下面将对接入终端和接入组件的配置,进行说明。
在一种可能的实现方式中,可选地,在步骤S200中,建立所述接入组件与所述云端节点之间的网络通信,并配置业务信息,包括:
S210、预设第一配置条件,将所述接入组件根据所述第一配置条件部署于用户内部;
S220、通过所述接入组件从所述云端节点获取第一认证证书,并基于所述第一认证证书对所述接入组件进行认证;
S230、根据认证结果,通过所述云端节点下发并配置业务信息至所述接入组件,所述业务信息包括用户ID和业务资源。
为接入网络的企业配置接入组件时,根据企业用户的需求或者其他要求,设置第一配置条件即可,然后在企业内部安装部署接入组件,部署结束后导入组网平台颁发的License证书,进行认证,认证结束会自动与云端节点通信,并加入相应的虚拟网络中;管理员按照使用手册,配置相关的账号虚拟网络ID,资源等业务信息。
在一种可能的实现方式中,可选地,在步骤S300中,所述建立所述接入终端与所述云端节点之间的网络通信,并与所述接入组件共同组网,包括:
S310、预设第二配置条件,将所述接入终端根据所述第二配置条件部署于用户内部;
S320、通过所述接入终端从所述云端节点获取第二认证证书,并基于所述第二认证证书对所述接入终端进行认证;
S330、根据认证结果,所述接入终端会同所述接入组件共同构建fullmash网络结构,实现不同用户之间的业务通信。
同样,接入终端需要为每个入网的企业用户,进行配置,用于安装虚拟网卡而实现overlay网络通信。第二配置条件,根据企业用户的需求或者其他要求设置即可。企业用户安装终端软件即接入终端,安装后同样导入平台系统颁发的License证书,此时终端软件会获取相应的云端节点信息以及对应企业的虚拟网络信息。
当企业开通虚拟网络服务后,云端节点会为该企业分配唯一的虚拟网络ID,企业用户通过认证后,会将接入终端和接入组件拉取到同一张虚拟网中,此时已经入网的终端会组建成fullmash网络结构,理论上任意两个端即可实现端到端的通信。从企业运维角度考虑,由于为企业提供了一张扁平的fullmash二层虚拟网络,相比传统的星型虚拟网络拓扑,大大降低了网络运维成本,以及为企业减少了相关网络建设的预算。企业可通过服务组件将业务接入到虚拟网络中,对于虚拟网络以外的访问,业务的业务是隐藏的。对业务有访问需求的用户,需要使用终端应用程序,并且通过企业使用的认证方式验证成功后,方可接入虚拟网络。
本技术,为了解决将企业的网络边界身份化,基于overlay网络技术,采用了云加端的组网方案,为企业用户组建其私有的虚拟化网络。在业务资源访问过程中,通过在underlay网络中添加身份ID,在overlay网络中使用IP地址的方式,使每一个数据包无论在underlay还是在overlay网络中都能够追溯到是哪个账号使用哪个终端发出的。
因此,采用了一种虚拟网卡和封包技术,实现上述技术目的。如图2所示,为本技术所设定的数据包格式,overlay网络中的数据包在underlay网络中是以UDP协议实现的,因此数据包格式中,overlay网络中的数据包包含原始IP、原始DATA等信息,通过封装技术,封装在underlay网络中,将会得到一个封装好的UDP数据包。
当一个终端与另一个终端使用虚拟网通信时,数据包会发送到该终端设备的虚拟网卡上,系统平台的虚拟网处理程序会监听该网卡的数据包,一旦捕获到数据包,会按照自定义数据包格式进行相应的封装操作。那么在underlay网络中,将会看到一个封装好的UDP数据包,该数据包中标识了通信双方的身份,并且针对两端的身份进行加密,使除了这两端无法识别该数据包内的具体业务下面将结合流程具体阐述两个用户之间的通信。
在一种可能的实现方式中,可选地,在步骤在步骤S300中,所述建立所述接入终端与所述云端节点之间的网络通信,并与所述接入组件共同组网,还包括:
S311、通过访问主体的所述接入终端启动虚拟网处理程序,并将所述接入终端的身份ID上报于预先指定的所述云端节点;
S321、所述云端节点接收上报信息,并使用对应的underlay网络中的物理链路与所述接入终端通信,进行身份确认;
S331、所述云端节点根据确认结果,并根据预设映射规则将上报的所述身份ID和所述underlay网络中的物理链路建立映射关系。
如图3所示,当访问主体的终端设备启动了组网平台的虚拟网处理程序后,会指定一个或多个云端节点。
此时终端设备会计算自己的身份ID,并将自己的身份ID上报给对应的云端节点,云端节点收到上报信息后,会使用对应的underlay网络中的物理链路与终端设备进行通信,确认后,云端节点会将终端上报的身份ID和underlay网络中的物理链路信息,建立映射关系,后续通过两端的保活数据包进行物理链路信息的更新。
在一种可能的实现方式中,可选地,在步骤S300中,所述建立所述接入终端与所述云端节点之间的网络通信,并与所述接入组件共同组网,还包括:
S312、所述访问客体的接入终端通过认证,获得与所述身份ID相匹配的虚拟网络ID,并向所述云端节点发出入网请求;
S322、所述云端节点接收入网请求,并验证所述访问客体的接入终端的虚拟网络ID是否合法,是则允许入网并返回可使用的虚拟IP地址至所述访问客体的接入终端;
S332、所述访问客体的接入终端接收所述虚拟IP地址,并配置所述虚拟IP地址至所述访问客体的虚拟网卡,完成入网。
访问客体的终端设备会通过组网平台颁发的license文件获取与身份ID相应的虚拟网络ID,并向云端节点发出入网请求,云端节点收到请求后,并验证终端的身份ID是否合法,如验证通过,则会允许入网,并返回给该终端可以使用的虚拟IP地址,终端收到后会配置在对应的虚拟网卡上,用于后续的通信;此时终端设备以完成了入网操作。
访问主体和访问客体,都安装了接入终端,并配置了虚拟网卡,用于实现overlay网络中的数据包发送/接收。
当两个已经入网的终端想要进行相互通信时,数据包处理逻辑如下:
在一种可能的实现方式中,可选地,在步骤在步骤S300中,所述建立所述接入终端与所述云端节点之间的网络通信,并与所述接入组件共同组网,还包括:
S313、通过所述访问主体的虚拟网卡,发送询问所述访问客体的数据包至所述云端节点;
S323、所述云端节点接收所述数据包,并通过虚拟网处理程序对所述虚拟网卡发送的数据包进行监听,并捕捉满足符合预设条件的数据包;
S333、采用预设自研协议格式的自定义数据包格式,对所捕捉的所述数据包进行格式封装,获得一UDP数据包,并通过underlay网络发送至所述云端节点。
图2为自研协议格式的自定义数据包结构示意图。
结合图3所示,假设访问主体分配的虚拟IP为10.100.0.1,访问客体分配的虚拟IP为10.100.0.2。此时访问主体与访问客体进行通信,按照系统的网络协议栈处理流程,会在虚拟网卡上发送询问IP为10.100.0.2的ARP广播包,虚拟网处理程序会捕获该数据包并封装成udp类型的数据包发送给云端节点,同时在该数据包中标识出所属网络和ARP广播包类型。
在一种可能的实现方式中,可选地,在步骤在步骤S300中,所述建立所述接入终端与所述云端节点之间的网络通信,并与所述接入组件共同组网,还包括:
S314、通过所述云端节点接收所述UDP数据包,解析并获知所述UDP数据包的数据标识;
S324、根据所述UDP数据包的数据标识,基于UDP协议获取ARP应答数据包,并返回给所述访问客体;
S334、所述访问客体接收ARP应答数据包,通过虚拟网处理程序对所述ARP应答数据包进行解析,并将数据解析包发送至所述访问客体。
云端节点收到后会基于UDP包中的标识判断所属那个overlay网络中的ARP包进行处理,处理逻辑是优先查找本地缓存是否有相应的ARP记录,如果有则构造ARP应答包返回给访问客体,否则会在所属网络中进行多播请求。
在一种可能的实现方式中,可选地,在步骤在步骤S300中,所述建立所述接入终端与所述云端节点之间的网络通信,并与所述接入组件共同组网,还包括:
S315、通过所述访问客体的虚拟网卡接收所述数据解析包;
S325、根据预设系统协议栈对所述数据解析包进行处理,发出ARP响应包并基于UDP协议对所述ARP响应包进行UDP封装,得到UDP数据包并返回给所述云端节点;
S335、所述云端节点接收所述UDP数据包,记录应答的MAC与身份ID、underlay物理链路信息,并返回给所述访问主体。
访问客体会收到基于UDP协议的ARP广播包,那么虚拟网处理程序会将其封装在内部的ARP广播包解析出来,并且发送到本机的虚拟网卡上,虚拟网卡收到后,会按照系统协议栈进行处理,发出ARP响应包,再由虚拟网处理程序对ARP响应包进行UDP包封装后,返回给云端节点,云端节点会将应答的MAC与身份ID、underlay物理链路信息记录后再返回给访问主体。
访问主体记录了访问客体的MAC,身份ID已经underlay物理链路信息。那么在后续的通信中,访问主体会根据访问客体的MAC地址查出身份ID,并使用该身份ID进行数据加密,然后再对应的物理连接路将封装好的UDP数据包发送过去,访问客体收到该数据包后取出数据包中访问主体的身份ID,进行解密,将解出的业务数据包发送到虚拟网卡上,交给系统协议栈送到对应的应用层处理,应用层处理后的应答包也会按照访问客体的发包逻辑进行数据包的封装和发送;最终完成了已经入网的终端设备的通信逻辑,理论上只要处于同一个虚拟网中的任意两个端即可实现端到端的直接通信。
在业务资源访问过程中,通过在underlay网络中添加身份ID,在overlay网络中使用IP地址的方式,使每一个数据包无论在underlay还是在overlay网络中都能够追溯到是哪个账号使用哪个终端发出的。
需要说明的是,尽管以访问主体和访问客体作为两个接入终端的企业用户作为示例介绍如上数据包的封装发送虚拟通信方案,但本领域技术人员能够理解,本公开应不限于此。事实上,用户完全可根据个人喜好和/或实际应用场景灵活设定接入网络的企业用户即可,只要按照本技术实施即可。
这样,企业可通过服务组件将业务接入到虚拟网络中,对于虚拟网络以外的访问,业务的业务是隐藏的。对业务有访问需求的用户,需要使用终端应用程序,并且通过企业使用的认证方式验证成功后,方可接入虚拟网络。在业务资源访问过程中,通过在underlay网络中添加身份ID,在overlay网络中使用IP地址的方式,使每一个数据包无论在underlay还是在overlay网络中都能够追溯到是哪个账号使用哪个终端发出的。
从企业运维角度考虑,由于为企业提供了一张扁平的fullmash二层虚拟网络,相比传统的星型虚拟网络拓扑,大大降低了网络运维成本,以及为企业减少了相关网络建设的预算。
实施例2
基于实施例1的实施,根据本公开的另一方面,提供了一种实现上述所述的基于零信任理念的身份化网络构建方法的装置,包括:
构建模块,用于预设构建条件,根据所述构建条件,在overlay虚拟网络中构建接入终端、云端节点和接入组件;
业务信息配置模块,用于建立所述接入组件与所述云端节点之间的网络通信,并配置业务信息;
组网模块,用于建立所述接入终端与所述云端节点之间的网络通信,并与所述接入组件共同组网;
业务访问模块,用于登录所述接入终端,通过所述接入终端获取相应的所述云端节点信息和所述用户的虚拟网络信息,并访问业务数据。
方案主要涉及三大模块,分别为:接入终端,云端节点和接入组件:
接入终端为,企业用户的使用者使用的终端设备,例如PC端或者移动端;
云端节点为,部署在公网的云服务节点,用来管理企业的虚拟化网络;
接入组件为,部署在企业内部的服务组件,包括业务接入网关、身份认证授权的控制平台等组件;
实施步骤:
首先,企业内部安装部署接入组件,部署结束后导入组网平台颁发的License证书,会自动与云端节点通信,并加入相应的虚拟网络中;管理员按照使用手册,配置相关的账号虚拟网络ID,资源等业务信息;
然后,企业用户安装终端软件接入终端,安装后同样导入组网平台颁发的License证书,此时终端软件会获取相应的云端节点信息以及对应企业的虚拟网络信息。
最后,终端用户使用管理员配置的登录方式登录后,即可访问该用户被授权的业务系统资源。
当企业开通虚拟网络服务后,云端节点会为该企业分配唯一的虚拟网络ID,企业用户通过认证后,会将接入终端和接入组件拉取到同一张虚拟网中,此时已经入网的终端会组建成fullmash网络结构,理论上任意两个端即可实现端到端的通信。
接入终端,云端节点和接入组件,通过上述各个模块进行调用。各个模块/硬件的功能和实施原理,具体参见上述实施例的描述,本处不再赘述。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
实施例3
更进一步地,根据本公开的另一方面,还提供了一种基于零信任理念的身份化网络构建系统,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为执行所述可执行指令时实现上述所述的基于零信任理念的身份化网络构建方法。
本公开实施例构建系统包括处理器以及用于存储处理器可执行指令的存储器。其中,处理器被配置为执行可执行指令时实现前面任一所述的一种基于零信任理念的身份化网络构建方法。
此处,应当指出的是,处理器的个数可以为一个或多个。同时,在本公开实施例的构建系统中,还可以包括输入装置和输出装置。其中,处理器、存储器、输入装置和输出装置之间可以通过总线连接,也可以通过其他方式连接,此处不进行具体限定。
存储器作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序和各种模块,如:本公开实施例的一种基于零信任理念的身份化网络构建方法所对应的程序或模块。处理器通过运行存储在存储器中的软件程序或模块,从而执行构建系统的各种功能应用及数据处理。
输入装置可用于接收输入的数字或信号。其中,信号可以为产生与设备/终端/服务器的用户设置以及功能控制有关的键信号。输出装置可以包括显示屏等显示设备。
以上已经描述了本公开的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的技术改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。
Claims (3)
1.一种基于零信任理念的身份化网络构建方法,其特征在于,包括如下步骤:
S100、预设构建条件,根据所述构建条件,在overlay虚拟网络中构建接入终端、云端节点和接入组件;
S200、建立所述接入组件与所述云端节点之间的网络通信,并配置业务信息;包括:
S210、预设第一配置条件,将所述接入组件根据所述第一配置条件部署于用户内部;
S220、通过所述接入组件从所述云端节点获取第一认证证书,并基于所述第一认证证书对所述接入组件进行认证;
S230、根据认证结果,通过所述云端节点下发并配置业务信息至所述接入组件,所述业务信息包括用户ID和业务资源;
S300、建立所述接入终端与所述云端节点之间的网络通信,并与所述接入组件共同组网;包括:
S310、预设第二配置条件,将所述接入终端根据所述第二配置条件部署于用户内部;
S320、通过所述接入终端从所述云端节点获取第二认证证书,并基于所述第二认证证书对所述接入终端进行认证;
S330、根据认证结果,所述接入终端会同所述接入组件共同构建fullmesh网络结构,实现不同用户之间的业务通信;
还包括:
S311、通过访问主体的所述接入终端启动虚拟网处理程序,并将所述接入终端的身份ID上报于预先指定的所述云端节点;
S321、所述云端节点接收上报信息,并使用对应的underlay网络中的物理链路与所述接入终端通信,进行身份确认;
S331、所述云端节点根据确认结果,并根据预设映射规则将上报的所述身份ID和所述underlay网络中的物理链路建立映射关系;
还包括:
S312、所述访问客体的接入终端通过认证,获得与所述身份ID相匹配的虚拟网络ID,并向所述云端节点发出入网请求;
S322、所述云端节点接收入网请求,并验证所述访问客体的接入终端的虚拟网络ID是否合法,是则允许入网并返回可使用的虚拟IP地址至所述访问客体的接入终端;
S332、所述访问客体的接入终端接收所述虚拟IP地址,并配置所述虚拟IP地址至所述访问客体的虚拟网卡,完成入网;
还包括:
S313、通过所述访问主体的虚拟网卡,发送询问所述访问客体的数据包至所述云端节点;
S323、所述云端节点接收所述数据包,并通过虚拟网处理程序对所述虚拟网卡发送的数据包进行监听,并捕捉满足符合预设条件的数据包;
S333、采用预设自研协议格式的自定义数据包格式,对所捕捉的所述数据包进行格式封装,获得一UDP数据包,并通过underlay网络发送至所述云端节点;
还包括:
S314、通过所述云端节点接收所述UDP数据包,解析并获知所述UDP数据包的数据标识;
S324、根据所述UDP数据包的数据标识,基于UDP协议获取ARP应答数据包,并返回给所述访问客体;
S334、所述访问客体接收ARP应答数据包,通过虚拟网处理程序对所述ARP应答数据包进行解析,并将数据解析包发送至所述访问客体;
还包括:
S315、通过所述访问客体的虚拟网卡接收所述数据解析包;
S325、根据预设系统协议栈对所述数据解析包进行处理,发出ARP响应包并基于UDP协议对所述ARP响应包进行UDP封装,得到UDP数据包并返回给所述云端节点;
S335、所述云端节点接收所述UDP数据包,记录应答的MAC与身份ID、underlay物理链路信息,并返回给所述访问主体;
S400、登录所述接入终端,通过所述接入终端获取相应的所述云端节点信息和用户的虚拟网络信息,并访问业务数据。
2.一种实现权利要求1所述的基于零信任理念的身份化网络构建方法的装置,其特征在于,包括:
构建模块,用于预设构建条件,根据所述构建条件,在overlay虚拟网络中构建接入终端、云端节点和接入组件;
业务信息配置模块,用于建立所述接入组件与所述云端节点之间的网络通信,并配置业务信息;包括:
S210、预设第一配置条件,将所述接入组件根据所述第一配置条件部署于用户内部;
S220、通过所述接入组件从所述云端节点获取第一认证证书,并基于所述第一认证证书对所述接入组件进行认证;
S230、根据认证结果,通过所述云端节点下发并配置业务信息至所述接入组件,所述业务信息包括用户ID和业务资源;
组网模块,用于建立所述接入终端与所述云端节点之间的网络通信,并与所述接入组件共同组网;包括:
S310、预设第二配置条件,将所述接入终端根据所述第二配置条件部署于用户内部;
S320、通过所述接入终端从所述云端节点获取第二认证证书,并基于所述第二认证证书对所述接入终端进行认证;
S330、根据认证结果,所述接入终端会同所述接入组件共同构建fullmesh网络结构,实现不同用户之间的业务通信;
还包括:
S311、通过访问主体的所述接入终端启动虚拟网处理程序,并将所述接入终端的身份ID上报于预先指定的所述云端节点;
S321、所述云端节点接收上报信息,并使用对应的underlay网络中的物理链路与所述接入终端通信,进行身份确认;
S331、所述云端节点根据确认结果,并根据预设映射规则将上报的所述身份ID和所述underlay网络中的物理链路建立映射关系;
还包括:
S312、所述访问客体的接入终端通过认证,获得与所述身份ID相匹配的虚拟网络ID,并向所述云端节点发出入网请求;
S322、所述云端节点接收入网请求,并验证所述访问客体的接入终端的虚拟网络ID是否合法,是则允许入网并返回可使用的虚拟IP地址至所述访问客体的接入终端;
S332、所述访问客体的接入终端接收所述虚拟IP地址,并配置所述虚拟IP地址至所述访问客体的虚拟网卡,完成入网;
还包括:
S313、通过所述访问主体的虚拟网卡,发送询问所述访问客体的数据包至所述云端节点;
S323、所述云端节点接收所述数据包,并通过虚拟网处理程序对所述虚拟网卡发送的数据包进行监听,并捕捉满足符合预设条件的数据包;
S333、采用预设自研协议格式的自定义数据包格式,对所捕捉的所述数据包进行格式封装,获得一UDP数据包,并通过underlay网络发送至所述云端节点;
还包括:
S314、通过所述云端节点接收所述UDP数据包,解析并获知所述UDP数据包的数据标识;
S324、根据所述UDP数据包的数据标识,基于UDP协议获取ARP应答数据包,并返回给所述访问客体;
S334、所述访问客体接收ARP应答数据包,通过虚拟网处理程序对所述ARP应答数据包进行解析,并将数据解析包发送至所述访问客体;
还包括:
S315、通过所述访问客体的虚拟网卡接收所述数据解析包;
S325、根据预设系统协议栈对所述数据解析包进行处理,发出ARP响应包并基于UDP协议对所述ARP响应包进行UDP封装,得到UDP数据包并返回给所述云端节点;
S335、所述云端节点接收所述UDP数据包,记录应答的MAC与身份ID、underlay物理链路信息,并返回给所述访问主体;
业务访问模块,用于登录所述接入终端,通过所述接入终端获取相应的所述云端节点信息和用户的虚拟网络信息,并访问业务数据。
3.一种基于零信任理念的身份化网络构建系统,其特征在于,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为执行所述可执行指令时实现权利要求1所述的基于零信任理念的身份化网络构建方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210466850.5A CN114884771B (zh) | 2022-04-29 | 2022-04-29 | 基于零信任理念的身份化网络构建方法、装置和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210466850.5A CN114884771B (zh) | 2022-04-29 | 2022-04-29 | 基于零信任理念的身份化网络构建方法、装置和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114884771A CN114884771A (zh) | 2022-08-09 |
CN114884771B true CN114884771B (zh) | 2023-01-13 |
Family
ID=82674074
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210466850.5A Active CN114884771B (zh) | 2022-04-29 | 2022-04-29 | 基于零信任理念的身份化网络构建方法、装置和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114884771B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117614752B (zh) * | 2024-01-24 | 2024-03-22 | 明阳点时科技(沈阳)有限公司 | 一种双层零信任企业生产网安全自组网方法及系统 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113225333A (zh) * | 2021-05-06 | 2021-08-06 | 西安电子科技大学 | 零信任下的网络资源访问控制方法 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104144096A (zh) * | 2014-08-25 | 2014-11-12 | 深圳市中兴移动通信有限公司 | 虚拟网络层构建方法、装置及系统 |
CN110519075B (zh) * | 2019-07-24 | 2022-05-27 | 浪潮思科网络科技有限公司 | 基于sdn的物理主机与虚拟云主机的通信系统及方法 |
CN113572738B (zh) * | 2021-06-29 | 2023-04-07 | 中孚安全技术有限公司 | 一种零信任网络架构及构建方法 |
CN113992402B (zh) * | 2021-10-27 | 2023-11-21 | 贝壳找房(北京)科技有限公司 | 一种基于零信任策略的访问控制方法、系统及介质 |
-
2022
- 2022-04-29 CN CN202210466850.5A patent/CN114884771B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113225333A (zh) * | 2021-05-06 | 2021-08-06 | 西安电子科技大学 | 零信任下的网络资源访问控制方法 |
Also Published As
Publication number | Publication date |
---|---|
CN114884771A (zh) | 2022-08-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106533883B (zh) | 一种网络专线的建立方法、装置及系统 | |
US20190052482A1 (en) | Method and System Used by Terminal to Connect to Virtual Private Network, and Related Device | |
JP5318111B2 (ja) | リモートデバイスに構成情報を自動配布するための中央管理ステーションのための種々の方法および装置 | |
CN107819732B (zh) | 用户终端访问本地网络的方法和装置 | |
US10454880B2 (en) | IP packet processing method and apparatus, and network system | |
CN109150568A (zh) | 一种网络管理方法、装置、系统、设备和存储介质 | |
CN108990062B (zh) | 智能安全Wi-Fi管理方法和系统 | |
CN111371664B (zh) | 一种虚拟专用网络接入方法及设备 | |
CN111901357A (zh) | 远程网络连接方法、系统、计算机设备和存储介质 | |
CN104604295B (zh) | 用于在无线通信系统中由服务器管理终端对资源的访问权限的方法及其设备 | |
US7694015B2 (en) | Connection control system, connection control equipment and connection management equipment | |
CN108462752B (zh) | 一种访问共享网络的方法、系统及vpc管理设备以及可读存储介质 | |
CN114884771B (zh) | 基于零信任理念的身份化网络构建方法、装置和系统 | |
CN102571811A (zh) | 用户接入权限控制系统和方法 | |
WO2009082910A1 (fr) | Procédé et dispositif de configuration de réseau pour un terminal d'utilisateur | |
KR101991340B1 (ko) | 보안 관리를 위한 장치 및 방법 | |
CN111866993B (zh) | 无线局域网连接管理方法、装置、软件程序及存储介质 | |
CN113938525A (zh) | 5g泛终端接入管理和资源调度平台服务器、系统及方法 | |
WO2021134562A1 (zh) | 配置设备更换方法、装置、设备及存储介质 | |
WO2020029793A1 (zh) | 一种上网行为管理系统、设备及方法 | |
CN102447710A (zh) | 一种用户访问权限控制方法及系统 | |
US11171786B1 (en) | Chained trusted platform modules (TPMs) as a secure bus for pre-placement of device capabilities | |
CN115865384A (zh) | 中台微服务授权方法、装置、电子设备及存储介质 | |
CN107888383B (zh) | 登录认证方法及装置 | |
CN107547336B (zh) | 一种认证端口加入授权vlan的方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |