CN115913696B - 一种虚拟网络零信任访问控制方法、装置、设备及介质 - Google Patents

一种虚拟网络零信任访问控制方法、装置、设备及介质 Download PDF

Info

Publication number
CN115913696B
CN115913696B CN202211405195.9A CN202211405195A CN115913696B CN 115913696 B CN115913696 B CN 115913696B CN 202211405195 A CN202211405195 A CN 202211405195A CN 115913696 B CN115913696 B CN 115913696B
Authority
CN
China
Prior art keywords
user
number plate
electronic identity
identity number
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202211405195.9A
Other languages
English (en)
Other versions
CN115913696A (zh
Inventor
王胜
张菊玲
张凌浩
陈牧
陈璐
向思屿
赵新建
陈石
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Smart Grid Research Institute Co ltd
State Grid Corp of China SGCC
State Grid Jiangsu Electric Power Co Ltd
Electric Power Research Institute of State Grid Sichuan Electric Power Co Ltd
Information and Telecommunication Branch of State Grid Jiangsu Electric Power Co Ltd
Original Assignee
State Grid Smart Grid Research Institute Co ltd
State Grid Corp of China SGCC
State Grid Jiangsu Electric Power Co Ltd
Electric Power Research Institute of State Grid Sichuan Electric Power Co Ltd
Information and Telecommunication Branch of State Grid Jiangsu Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Smart Grid Research Institute Co ltd, State Grid Corp of China SGCC, State Grid Jiangsu Electric Power Co Ltd, Electric Power Research Institute of State Grid Sichuan Electric Power Co Ltd, Information and Telecommunication Branch of State Grid Jiangsu Electric Power Co Ltd filed Critical State Grid Smart Grid Research Institute Co ltd
Priority to CN202211405195.9A priority Critical patent/CN115913696B/zh
Publication of CN115913696A publication Critical patent/CN115913696A/zh
Application granted granted Critical
Publication of CN115913696B publication Critical patent/CN115913696B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Storage Device Security (AREA)

Abstract

本发明公开了一种虚拟网络零信任访问控制方法、装置、设备及介质,该方法应用于包括从上至下的用户层、业务逻辑层、数据访问层和服务器形成的系统软件架构上;用户层上设有验证模块,业务逻辑层上设有主控模块;包括:当用户端首次注册登录系统时,进行电子身份号牌的生成及与用户身份信息绑定;当用户端非首次登陆系统时,根据获取的新访问请求,将用户身份信息上传至验证模块,对用户是否为注册和合法用户进行初步验证,根据初步验证结果控制将电子身份号牌传输至主控模块或者重新执行电子身份号牌的生成与及与用户身份信息绑定;并对用户身份信息与电子身份号牌进行对比分析,将分析结果发送至用户层及服务器。本发明保证网络资源的安全。

Description

一种虚拟网络零信任访问控制方法、装置、设备及介质
技术领域
本发明涉及信息安全技术领域,具体涉及一种虚拟网络零信任访问控制方法、装置、设备及介质。
背景技术
近年来,随着大数据与云计算的飞速发展,网络攻击的频率与严重程度不断增加,基于网络分段的数据中心安全已经不再适用。传统的网络安全架构基于网络边界防护,企业在构建网络安全体系时,首先把网络划分为外网、内网和DMZ区等不同的安全区域。然后通过在网络边界上通过部署防火墙、WAF和IPS等网络安全技术手段进行重重防护,构建企业业务的数字保护墙。这种网络安全架构假设或默认了内网比外网更安全,在某种程度上预设了对内网中的人、设备、系统和应用的信任,从而忽视了内网安全措施的加强。
发明内容
本发明所要解决的技术问题是目前的网络访问控制方法导致网络访问存在不安全、防范过度阻挡用户的问题。本发明目的在于提供一种虚拟网络零信任访问控制方法、装置、设备及介质,以有效阻止内网用户或曾得到授权的用户对网络资源发起的非法访问,避免非法用户获得网络资源的关键信息,保证网络资源的安全。
本发明通过下述技术方案实现:
第一方面,本发明提供了一种虚拟网络零信任访问控制方法,该方法包括:
当用户端首次(即第一次)注册登录系统时,进行电子身份号牌的生成及与用户身份信息(用户ID)绑定;
当用户端非首次(即第一次)登陆系统时,根据获取的新访问请求,将用户ID和密码上传至验证模块,由验证模块对用户是否为注册和合法用户进行初步验证,得到初步验证结果;根据所述初步验证结果控制将所述电子身份号牌传输至主控模块或者重新执行电子身份号牌的生成与及与用户ID绑定;由主控模块内置的处理算法对用户身份信息与电子身份号牌进行对比分析,并将分析结果作为访问权限发送至用户层UI及服务器。
工作原理是:本发明包括系统软件架构设置、登录账户绑定、访问验证、分析反馈和备份等,具体地,首先在从上至下的用户层UI、业务逻辑层BLL、数据访问层DAL和服务器形成的系统软件架构上设置验证模块和主控模块,其中用户层UI上设置有验证模块,所述业务逻辑层BLL上设置有主控模块,所述验证模块一方面通过信道与主控模块连接,将接收到的用户层UI的访问请求传输至业务逻辑层BLL,由业务逻辑层BLL通过数据访问层DAL访问服务器;其次,根据获取的用户端访问请求,进行首次与非首次访问控制处理,当用户端首次注册登录系统时,进行电子身份号牌的生成及与用户身份信息(用户ID)绑定;当用户端非首次登陆系统时,根据获取的新访问请求,将用户ID和密码上传至验证模块,由验证模块对用户是否为注册和合法用户进行初步验证,得到初步验证结果;根据所述初步验证结果控制将所述电子身份号牌传输至主控模块或者重新执行电子身份号牌的生成与及与用户ID绑定;由主控模块内置的处理算法对用户身份信息与电子身份号牌进行对比分析,并将分析结果发送至用户层UI及服务器。
本发明与现有技术相比的优点在于:本发明对访问请求上的身份标识号牌的解析结果实施访问验证,不仅防止了未经授权用户的连接,而且阻止了网络资源中的恶意软件反馈信息给非法用户;本发明能够有效阻止内网用户或曾得到授权的用户对网络资源发起的非法访问,避免非法用户获得网络资源的关键信息,保证网络资源的安全。本发明实现了对网络资源的安全性保护,可实现对任何网络拓扑的访问控制,使得本发明适用范围更广。
进一步地,所述服务器包含资源目录和文件,所述资源目录是基于IDC下载的网络资源中包含的内容目录,整合了网络资源中所有会被请求访问到的数据资源。
进一步地,所述验证模块一方面通过信道与主控模块连接,将接收到的用户层UI的访问请求传输至业务逻辑层BLL,由业务逻辑层BLL通过数据访问层DAL访问服务器,实现U用户层UI与数据访问层DAL的网桥功能;另一方面,所述验证模块对接收数据进行初步验证处理,初步验证访问请求的用户是否为合法用户,并检查电子身份号牌的有效性,并将处理结果反馈到业务逻辑层BLL。
进一步地,所述电子身份号牌采用加密的私钥密令算法,且为一次性私钥密令;可通过主控模块对所述私钥密令的有效时间进行设置。
进一步地,所述电子身份号牌内容包括用户身份信息、角色信息、访问业务类型、访问权限信息和有效期;
所述访问权限信息为服务器资源目录中具体授权访问的资源目录明细。
进一步地,所述的当用户端首次(即第一次)注册登录系统时,进行电子身份号牌的生成与绑定;具体包括:
当用户端首次(即第一次)注册登录系统时,由主控模块通过数据访问层DAL调用服务器内的身份密令数据并生成电子身份号牌,通过信道将所述电子身份号牌传输至用户层UI,并与用户身份ID进行绑定,并在验证模块中存储所述电子身份号牌,服务器备份调用的电子身份号牌。
进一步地,所述的根据所述初步验证结果控制将所述电子身份号牌传输至主控模块或者重新执行电子身份号牌的生成与及与用户身份信息(用户ID)绑定;具体包括:
当所述初步验证结果为通过时,则根据用户身份ID检索是否有绑定的电子身份号牌;
如果有绑定的电子身份号牌,并且电子身份号牌在有效期内,那么将用户身份信息与电子身份号牌通过基于TCP/IP通讯协议的信道传输至主控模块;
如果无绑定的电子身份号牌,或者电子身份号牌已失效,那么重新进行电子身份号牌的生成及与用户身份信息(用户ID)绑定;
当所述初步验证结果为不通过时,重新进行初步验证,直至通过。
进一步地,所述的由主控模块内置的处理算法对用户身份信息与电子身份号牌进行对比分析,并将分析结果发送至用户层UI及服务器;具体包括:
主控模块接收验证模块的初步验证结果,对所提取的电子身份号牌进行解析,具体通过对所述电子身份号牌的编码字符序列进行解密,获取解密后的信息数据;所述解密后的信息数据包括访问用户身份信息、角色信息、访问业务类型、访问权限信息、有效期;
通过内置的处理算法将所述解密后的信息数据与服务器搭载的身份数据库和访问权限数据库的信息进行比对和匹配;
若匹配成功,则将授予访问请求及所述访问请求的用户权限该相应用户,该用户获准进入服务器;若匹配失败,则反馈失败信息到用户层UI上进行标识。
第二方面,本发明又提供了一种虚拟网络零信任访问控制装置,该装置支持所述的一种虚拟网络零信任访问控制方法;该装置应用于包括从上至下的用户层UI、业务逻辑层BLL、数据访问层DAL和服务器形成的系统软件架构上;所述用户层UI上设置有验证模块,所述业务逻辑层BLL上设置有主控模块;所述验证模块通过信道连接主控模块,所述主控模块通过信道连接服务器;该装置包括:
获取单元,用于获取用户端的用户访问请求;
首次处理单元,用于根据用户端的用户访问请求,当用户访问请求为用户端首次(即第一次)注册登录系统时,进行电子身份号牌的生成及与用户身份信息(用户ID)绑定;
非首次处理单元,用于根据用户端的用户访问请求,当用户访问请求为用户端非首次(即第一次)登陆系统时,根据获取的新访问请求,将用户ID和密码上传至验证模块,由验证模块对用户是否为注册和合法用户进行初步验证,得到初步验证结果;根据所述初步验证结果控制将所述电子身份号牌传输至主控模块或者重新执行电子身份号牌的生成与及与用户身份信息(用户ID)绑定;由主控模块内置的处理算法对用户身份信息与电子身份号牌进行对比分析,并将分析结果发送至用户层UI及服务器。
第三方面,本发明又提供了一种服务器,该服务器接收所述的一种虚拟网络零信任访问控制方法的访问请求、分析结果,并通过日志工具对所述访问请求、分析结果进行分析反馈。只有经过授权的用户才能成功进行访问,未经授权的用户会被拒绝访问并且不会得到任何相关信息的反馈,以此来实现零信任下的访问控制。
第四方面,本发明又提供了一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现所述的一种虚拟网络零信任访问控制方法。
第五方面,本发明又提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现所述的一种虚拟网络零信任访问控制方法。
本发明与现有技术相比,具有如下的优点和有益效果:
一种虚拟网络零信任访问控制方法、装置、设备及介质,对访问请求上的身份标识号牌的解析结果实施访问验证,不仅防止了未经授权用户的连接,而且阻止了网络资源中的恶意软件反馈信息给非法用户;本发明能够有效阻止内网用户或曾得到授权的用户对网络资源发起的非法访问,避免非法用户获得网络资源的关键信息,保证网络资源的安全。本发明实现了对网络资源的安全性保护,可实现对任何网络拓扑的访问控制,使得本发明适用范围更广。
附图说明
此处所说明的附图用来提供对本发明实施例的进一步理解,构成本申请的一部分,并不构成对本发明实施例的限定。在附图中:
图1为本发明一种虚拟网络零信任访问控制方法流程图。
图2为本发明一种虚拟网络零信任访问控制装置结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下面结合实施例和附图,对本发明作进一步的详细说明,本发明的示意性实施方式及其说明仅用于解释本发明,并不作为对本发明的限定。
本发明方案的零信任遵循“永远不信任,始终在验证”的原则。默认情况下对网络内部和外部的任何人、设备、系统和应用均不信任,而是以基于认证和授权重构访问控制的信任为基础,这种授权和信任不是静态的,它需要基于对访问主体的风险度量进行动态调整。
实施例1
如图1所示,本发明一种虚拟网络零信任访问控制方法,该方法应用于包括从上至下的用户层UI、业务逻辑层BLL、数据访问层DAL和服务器形成的系统软件架构上;所述用户层UI上设置有验证模块,所述业务逻辑层BLL上设置有主控模块;所述验证模块通过信道连接主控模块,所述主控模块通过信道连接服务器;该方法包括:
当用户端首次(即第一次)注册登录系统时,进行电子身份号牌的生成及与用户身份信息(用户ID)绑定;
当用户端非首次(即第一次)登陆系统时,根据获取的新访问请求,将用户ID和密码上传至验证模块,由验证模块对用户是否为注册和合法用户进行初步验证,得到初步验证结果;根据所述初步验证结果控制将所述电子身份号牌传输至主控模块或者重新执行电子身份号牌的生成与及与用户ID绑定;由主控模块内置的处理算法对用户身份信息与电子身份号牌进行对比分析,并将分析结果作为访问权限发送至用户层UI及服务器。
将用户端的访问请求、分析结果通过网关上传至服务器,服务器通过自带的日志工具对所述用户端的访问请求、分析结果进行分析反馈;只有经过授权的用户才能成功进行访问,未经授权的用户会被拒绝访问并且不会得到任何相关信息的反馈,以此来实现零信任下的访问控制。
本实施例中,所述验证模块一方面通过信道与主控模块连接,将接收到的用户层UI的访问请求传输至业务逻辑层BLL,由业务逻辑层BLL通过数据访问层DAL访问服务器,实现U用户层UI与数据访问层DAL的网桥功能;另一方面,所述验证模块对接收数据进行初步验证处理,初步验证访问请求的用户是否为合法用户,并检查电子身份号牌的有效性,并将处理结果反馈到业务逻辑层BLL。
本发明方案将要保护的网络资源组合后进行隔离或分区,以此来限制未经授权的访问。理想情况下,零信任的微分段不仅可以对用户和应用程序进行身份验证,而且能够做到对单个数据包的验证,这种细粒度分段使得攻击过程能够及时被阻断,有效提高网络资源的安全性。
本实施例中,所述服务器包含资源目录和文件,所述资源目录是基于IDC下载的网络资源中包含的内容目录,整合了网络资源中所有会被请求访问到的数据资源。零信任的本质诉求是以身份为中心进行细粒度的自适应访问控制,它所依赖的身份认证与访问控制能力通常由身份与访问管理系统IAM提供。从技术层面上看,零信任是借助现代身份管理技术实现对人、设备、系统和应用的全面、动态、智能的访问控制。
本实施例中,所述电子身份号牌采用加密的私钥密令算法,且为一次性私钥密令;可通过主控模块对所述私钥密令的有效时间进行设置。具体地,所述电子身份号牌内容包括用户身份信息、角色信息、访问业务类型、访问权限信息和有效期;
所述访问权限信息为服务器资源目录中具体授权访问的资源目录明细。
本发明方案在允许用户访问网络资源之前,每个网络会话都会在用户层UI进行身份验证。将身份标识号牌嵌入到验证模块中并进行验证,根据验证结果决定是否接受用户的访问请求,最终只有经过授权的用户才能成功进行访问,未经授权的用户会被拒绝访问并且不会得到任何相关信息的反馈,以此来实现零信任下的访问控制。
本实施例中,所述的当用户端首次(即第一次)注册登录系统时,进行电子身份号牌的生成与绑定;具体包括:
当用户端首次(即第一次)注册登录系统时,由主控模块通过数据访问层DAL调用服务器内的身份密令数据并生成电子身份号牌,通过信道将所述电子身份号牌传输至用户层UI,并与用户身份ID进行绑定,并在验证模块中存储所述电子身份号牌,服务器备份调用的电子身份号牌。
本实施例中,所述的根据所述初步验证结果控制将所述电子身份号牌传输至主控模块或者重新执行电子身份号牌的生成与及与用户身份信息(用户ID)绑定;具体包括:
当所述初步验证结果为通过时,则根据用户身份ID检索是否有绑定的电子身份号牌;
如果有绑定的电子身份号牌,并且电子身份号牌在有效期内,那么将用户身份信息与电子身份号牌通过基于TCP/IP通讯协议的信道传输至主控模块;
如果无绑定的电子身份号牌,或者电子身份号牌已失效,那么重新进行电子身份号牌的生成及与用户身份信息(用户ID)绑定;
当所述初步验证结果为不通过时,重新进行初步验证,直至通过。
本实施例中,所述的由主控模块内置的处理算法对用户身份信息与电子身份号牌进行对比分析,并将分析结果发送至用户层UI及服务器;具体包括:
主控模块接收验证模块的初步验证结果,对所提取的电子身份号牌进行解析,具体通过对所述电子身份号牌的编码字符序列进行解密,获取解密后的信息数据;所述解密后的信息数据包括访问用户身份信息、角色信息、访问业务类型、访问权限信息、有效期;
通过内置的处理算法将所述解密后的信息数据与服务器搭载的身份数据库和访问权限数据库的信息进行比对和匹配;
若匹配成功,则将授予访问请求及所述访问请求的用户权限该相应用户,该用户获准进入服务器;若匹配失败,则反馈失败信息到用户层UI上进行标识。
工作原理是:本发明包括系统软件架构设置、登录账户绑定、访问验证、分析反馈和备份等,具体地,首先在从上至下的用户层UI、业务逻辑层BLL、数据访问层DAL和服务器形成的系统软件架构上设置验证模块和主控模块,其中用户层UI上设置有验证模块,所述业务逻辑层BLL上设置有主控模块,所述验证模块一方面通过信道与主控模块连接,将接收到的用户层UI的访问请求传输至业务逻辑层BLL,由业务逻辑层BLL通过数据访问层DAL访问服务器;其次,根据获取的用户端访问请求,进行首次与非首次访问控制处理,当用户端首次注册登录系统时,进行电子身份号牌的生成及与用户身份信息(用户ID)绑定;当用户端非首次登陆系统时,根据获取的新访问请求,将用户ID和密码上传至验证模块,由验证模块对用户是否为注册和合法用户进行初步验证,得到初步验证结果;根据所述初步验证结果控制将所述电子身份号牌传输至主控模块或者重新执行电子身份号牌的生成与及与用户ID绑定;由主控模块内置的处理算法对用户身份信息与电子身份号牌进行对比分析,并将分析结果发送至用户层UI及服务器。
本发明与现有技术相比的优点在于:本发明对访问请求上的身份标识号牌的解析结果实施访问验证,不仅防止了未经授权用户的连接,而且阻止了网络资源中的恶意软件反馈信息给非法用户;本发明能够有效阻止内网用户或曾得到授权的用户对网络资源发起的非法访问,避免非法用户获得网络资源的关键信息,保证网络资源的安全。本发明实现了对网络资源的安全性保护,可实现对任何网络拓扑的访问控制,使得本发明适用范围更广。
实施例2
如图2所示,本实施例与实施例1的区别在于,本实施例提供了一种虚拟网络零信任访问控制装置,该装置支持所述的一种虚拟网络零信任访问控制方法;该装置包括:
获取单元,用于获取用户端的用户访问请求;
首次处理单元,用于根据用户端的用户访问请求,当用户访问请求为用户端首次(即第一次)注册登录系统时,进行电子身份号牌的生成及与用户身份信息(用户ID)绑定;
非首次处理单元,用于根据用户端的用户访问请求,当用户访问请求为用户端非首次(即第一次)登陆系统时,根据获取的新访问请求,将用户ID和密码上传至验证模块,由验证模块对用户是否为注册和合法用户进行初步验证,得到初步验证结果;根据所述初步验证结果控制将所述电子身份号牌传输至主控模块或者重新执行电子身份号牌的生成与及与用户身份信息(用户ID)绑定;由主控模块内置的处理算法对用户身份信息与电子身份号牌进行对比分析,并将分析结果发送至用户层UI及服务器。
各个单元的执行过程按照实施例1所述的一种虚拟网络零信任访问控制方法流程步骤执行即可,此实施例中不再一一赘述。
同时,本发明又提供了一种服务器,该服务器接收所述的一种虚拟网络零信任访问控制方法的访问请求、分析结果,并通过日志工具对所述访问请求、分析结果进行分析反馈。只有经过授权的用户才能成功进行访问,未经授权的用户会被拒绝访问并且不会得到任何相关信息的反馈,以此来实现零信任下的访问控制。
同时,本发明又提供了一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现所述的一种虚拟网络零信任访问控制方法。
同时,本发明又提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现所述的一种虚拟网络零信任访问控制方法。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (6)

1.一种虚拟网络零信任访问控制方法,其特征在于,该方法包括:
当用户端首次注册登录系统时,进行电子身份号牌的生成及与用户身份信息绑定;
当用户端非首次登陆系统时,根据获取的新访问请求,将用户身份信息上传至验证模块,由验证模块对用户是否为注册和合法用户进行初步验证,得到初步验证结果;根据所述初步验证结果控制将所述电子身份号牌传输至主控模块或者重新执行电子身份号牌的生成与及与用户身份信息绑定;由主控模块对用户身份信息与电子身份号牌进行对比分析,并将分析结果作为访问权限发送至用户层及服务器;
所述电子身份号牌采用加密的私钥密令算法,且为一次性私钥密令;通过主控模块对所述私钥密令的有效时间进行设置;
所述电子身份号牌内容包括用户身份信息、角色信息、访问业务类型、访问权限信息和有效期;
所述访问权限信息为服务器资源目录中授权访问的资源目录明细;
所述的根据所述初步验证结果控制将所述电子身份号牌传输至主控模块或者重新执行电子身份号牌的生成与及与用户身份信息绑定;具体包括:
当所述初步验证结果为通过时,则根据用户身份ID检索是否存在绑定的电子身份号牌;
如果存在绑定的电子身份号牌,并且电子身份号牌在有效期内,那么将用户身份信息与电子身份号牌通过信道传输至主控模块;
如果不存在绑定的电子身份号牌,或者电子身份号牌已失效,那么重新进行电子身份号牌的生成及与用户身份信息绑定;
当所述初步验证结果为不通过时,重新进行初步验证,直至通过;
所述的由主控模块对用户身份信息与电子身份号牌进行对比分析,并将分析结果发送至用户层及服务器;具体包括:
主控模块接收验证模块的初步验证结果,对所提取的电子身份号牌进行解析,通过对所述电子身份号牌的编码字符序列进行解密,获取解密后的信息数据;
通过内置的处理算法将所述解密后的信息数据与服务器搭载的身份数据库和访问权限数据库的信息进行比对和匹配;
若匹配成功,则将访问请求及所述访问请求的用户权限授予相应用户,该用户获准进入服务器;若匹配失败,则反馈失败信息到用户层上进行标识。
2.根据权利要求1所述的一种虚拟网络零信任访问控制方法,其特征在于,所述的当用户端首次注册登录系统时,进行电子身份号牌的生成与绑定;具体包括:
当用户端首次注册登录系统时,由主控模块通过数据访问层调用服务器内的身份密令数据并生成电子身份号牌,将所述电子身份号牌传输至用户层,并与用户身份ID进行绑定,并在验证模块中存储所述电子身份号牌。
3.一种虚拟网络零信任访问控制装置,其特征在于,该装置支持如权利要求1至2中任一所述的一种虚拟网络零信任访问控制方法;该装置应用于包括从上至下的用户层、业务逻辑层、数据访问层和服务器形成的系统软件架构上;所述用户层上设置有验证模块,所述业务逻辑层上设置有主控模块;所述验证模块连接主控模块,所述主控模块连接服务器;该装置包括:
获取单元,用于获取用户端的用户访问请求;
首次处理单元,用于根据用户端的用户访问请求,当用户访问请求为用户端首次注册登录系统时,进行电子身份号牌的生成及与用户身份信息绑定;
非首次处理单元,用于根据用户端的用户访问请求,当用户访问请求为用户端非首次登陆系统时,根据获取的新访问请求,将用户身份信息上传至验证模块,由验证模块对用户是否为注册和合法用户进行初步验证,得到初步验证结果;根据所述初步验证结果控制将所述电子身份号牌传输至主控模块或者重新执行电子身份号牌的生成与及与用户身份信息绑定;由主控模块对用户身份信息与电子身份号牌进行对比分析,并将分析结果发送至用户层及服务器;
所述电子身份号牌采用加密的私钥密令算法,且为一次性私钥密令;通过主控模块对所述私钥密令的有效时间进行设置;
所述电子身份号牌内容包括用户身份信息、角色信息、访问业务类型、访问权限信息和有效期;
所述访问权限信息为服务器资源目录中授权访问的资源目录明细;
所述的根据所述初步验证结果控制将所述电子身份号牌传输至主控模块或者重新执行电子身份号牌的生成与及与用户身份信息绑定;具体包括:
当所述初步验证结果为通过时,则根据用户身份ID检索是否存在绑定的电子身份号牌;
如果存在绑定的电子身份号牌,并且电子身份号牌在有效期内,那么将用户身份信息与电子身份号牌通过信道传输至主控模块;
如果不存在绑定的电子身份号牌,或者电子身份号牌已失效,那么重新进行电子身份号牌的生成及与用户身份信息绑定;
当所述初步验证结果为不通过时,重新进行初步验证,直至通过;
所述的由主控模块对用户身份信息与电子身份号牌进行对比分析,并将分析结果发送至用户层及服务器;具体包括:
主控模块接收验证模块的初步验证结果,对所提取的电子身份号牌进行解析,通过对所述电子身份号牌的编码字符序列进行解密,获取解密后的信息数据;
通过内置的处理算法将所述解密后的信息数据与服务器搭载的身份数据库和访问权限数据库的信息进行比对和匹配;
若匹配成功,则将访问请求及所述访问请求的用户权限授予相应用户,该用户获准进入服务器;若匹配失败,则反馈失败信息到用户层上进行标识。
4.一种服务器,其特征在于,该服务器接收如权利要求1至2中任一所述的一种虚拟网络零信任访问控制方法的访问请求、分析结果,并通过日志工具对所述访问请求、分析结果进行分析反馈。
5.一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至2任一项所述的一种虚拟网络零信任访问控制方法。
6.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至2任一项所述的一种虚拟网络零信任访问控制方法。
CN202211405195.9A 2022-11-10 2022-11-10 一种虚拟网络零信任访问控制方法、装置、设备及介质 Active CN115913696B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211405195.9A CN115913696B (zh) 2022-11-10 2022-11-10 一种虚拟网络零信任访问控制方法、装置、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211405195.9A CN115913696B (zh) 2022-11-10 2022-11-10 一种虚拟网络零信任访问控制方法、装置、设备及介质

Publications (2)

Publication Number Publication Date
CN115913696A CN115913696A (zh) 2023-04-04
CN115913696B true CN115913696B (zh) 2024-04-26

Family

ID=86485072

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211405195.9A Active CN115913696B (zh) 2022-11-10 2022-11-10 一种虚拟网络零信任访问控制方法、装置、设备及介质

Country Status (1)

Country Link
CN (1) CN115913696B (zh)

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105577665A (zh) * 2015-12-24 2016-05-11 西安电子科技大学 一种云环境下的身份和访问控制管理系统及方法
CN111865920A (zh) * 2020-06-18 2020-10-30 多加网络科技(北京)有限公司 一种网关认证和身份鉴权的平台及其方法
CN111949973A (zh) * 2020-07-31 2020-11-17 上海中通吉网络技术有限公司 身份识别与访问管理系统和方法
WO2021114925A1 (zh) * 2019-12-13 2021-06-17 支付宝(杭州)信息技术有限公司 访问控制方法和访问控制装置
CN113225333A (zh) * 2021-05-06 2021-08-06 西安电子科技大学 零信任下的网络资源访问控制方法
CN113783844A (zh) * 2021-08-13 2021-12-10 中国光大银行股份有限公司 零信任访问控制方法、装置及电子设备
CN113992402A (zh) * 2021-10-27 2022-01-28 北京房江湖科技有限公司 一种基于零信任策略的访问控制方法、系统及介质
US11240242B1 (en) * 2021-07-06 2022-02-01 Revbits, LLC System and method for providing a zero trust network
US11328356B1 (en) * 2019-06-21 2022-05-10 Early Warning Services, Llc Digital identity lock
US11470100B1 (en) * 2022-03-21 2022-10-11 Flying Cloud Technologies, Inc. Data surveillance in a zero-trust network

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10944747B2 (en) * 2016-05-25 2021-03-09 Canon Information And Imaging Solutions, Inc. Devices, systems, and methods for zero-trust single sign-on
US10110585B2 (en) * 2016-12-31 2018-10-23 Entefy Inc. Multi-party authentication in a zero-trust distributed system

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105577665A (zh) * 2015-12-24 2016-05-11 西安电子科技大学 一种云环境下的身份和访问控制管理系统及方法
US11328356B1 (en) * 2019-06-21 2022-05-10 Early Warning Services, Llc Digital identity lock
WO2021114925A1 (zh) * 2019-12-13 2021-06-17 支付宝(杭州)信息技术有限公司 访问控制方法和访问控制装置
CN111865920A (zh) * 2020-06-18 2020-10-30 多加网络科技(北京)有限公司 一种网关认证和身份鉴权的平台及其方法
CN111949973A (zh) * 2020-07-31 2020-11-17 上海中通吉网络技术有限公司 身份识别与访问管理系统和方法
CN113225333A (zh) * 2021-05-06 2021-08-06 西安电子科技大学 零信任下的网络资源访问控制方法
US11240242B1 (en) * 2021-07-06 2022-02-01 Revbits, LLC System and method for providing a zero trust network
CN113783844A (zh) * 2021-08-13 2021-12-10 中国光大银行股份有限公司 零信任访问控制方法、装置及电子设备
CN113992402A (zh) * 2021-10-27 2022-01-28 北京房江湖科技有限公司 一种基于零信任策略的访问控制方法、系统及介质
US11470100B1 (en) * 2022-03-21 2022-10-11 Flying Cloud Technologies, Inc. Data surveillance in a zero-trust network

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
Dynamic access control technology based on zero-trust light verification network model;Pengfeng Zhang;《 2021 International Conference on Communications, Information System and Computer Engineering (CISCE)》;20210609;全文 *
Real identity based access control technology under zero trust architecture;Ya Guang Wu;《2021 International Conference on Wireless Communications and Smart Grid (ICWCSG)》;20211126;全文 *
基于零信任的云计算UCON访问控制模型研究;张梦娜;《中国优秀硕士学位论文全文库》;20210915;全文 *
移动群智感知网络中用户的安全访问控制机制研究;肖曼;《中国优秀硕士学位论文全文库》;20220315;全文 *

Also Published As

Publication number Publication date
CN115913696A (zh) 2023-04-04

Similar Documents

Publication Publication Date Title
EP1914658B1 (en) Identity controlled data center
US9166966B2 (en) Apparatus and method for handling transaction tokens
CN107122674B (zh) 一种应用于运维审计系统的oracle数据库的访问方法
CN108964885B (zh) 鉴权方法、装置、系统和存储介质
CN111510453B (zh) 业务系统访问方法、装置、系统及介质
US20130046696A1 (en) Method and Apparatus for Object Transaction Session Validation
US8806602B2 (en) Apparatus and method for performing end-to-end encryption
CN103532981A (zh) 一种面向多租户的身份托管鉴权云资源访问控制系统及控制方法
US8752157B2 (en) Method and apparatus for third party session validation
US8572690B2 (en) Apparatus and method for performing session validation to access confidential resources
US8572724B2 (en) Method and apparatus for network session validation
CN115333840A (zh) 资源访问方法、系统、设备及存储介质
CN114844644A (zh) 资源请求方法、装置、电子设备及存储介质
CN116996305A (zh) 一种多层次安全认证方法、系统、设备、存储介质及入口网关
CN115913696B (zh) 一种虚拟网络零信任访问控制方法、装置、设备及介质
CN101282220A (zh) 一种增强密钥使用安全性的信息安全装置及其实现方法
US8572688B2 (en) Method and apparatus for session validation to access third party resources
US8584201B2 (en) Method and apparatus for session validation to access from uncontrolled devices
CN115460015A (zh) 一种基于TOTP的Web应用的身份认证方法及系统
US8726340B2 (en) Apparatus and method for expert decisioning
US20200244646A1 (en) Remote access computer security
US8601541B2 (en) Method and apparatus for session validation to access mainframe resources
CN113347190B (zh) 鉴权方法、系统、从站点服务器、客户端、设备和介质
US8572687B2 (en) Apparatus and method for performing session validation
US20240195797A1 (en) Systems and Methods to Ensure Proximity of a Multi-Factor Authentication Device

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant