CN115967584B - 一种基于pki与cpk混合认证的零信任网关实现方法及系统 - Google Patents
一种基于pki与cpk混合认证的零信任网关实现方法及系统 Download PDFInfo
- Publication number
- CN115967584B CN115967584B CN202310251646.6A CN202310251646A CN115967584B CN 115967584 B CN115967584 B CN 115967584B CN 202310251646 A CN202310251646 A CN 202310251646A CN 115967584 B CN115967584 B CN 115967584B
- Authority
- CN
- China
- Prior art keywords
- cpk
- authentication
- pki
- zero trust
- gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于PKI与CPK混合认证的零信任网关系统及其实现方法,该实现方法包括:对接入零信任安全网关的网络划分为内网域和外网域;对外网域采用PKI进行认证;对内网域采用CPK进行认证。本发明的有益效果:采用混合认证的方式,以及基于标识的认证和授权体系,能实现主体、客体、内容可信性、业务应用的行为可信性认证,满足零信任的要求;采用混合认证的模式,进一步发挥CPK认证的优势,可本地获得所需公钥,其运行效率高,处理能力强,计算资源小,规模大,适用于超大规模认证和授权场合。
Description
技术领域
本发明涉及发息的信息安全领域中的认证技术领域,更具体地说,涉及一种基于PKI与CPK混合认证的零信任网关实现方法及系统。
背景技术
安全网关是零信任最核心的部分,即现有技术中零信任架构图中的策略执行点框。其中,安全网关隔开了左侧外网和右侧内网。用户在左侧网络中。用户想获取右侧的数据资源,只能通过网关进入。网关的功能为:合法的让进,不合法的拦住。所有的安全策略都由网关执行。零信任要求对用户的身份、设备、行为路径等等多个方面进行检测和判断,检测结果由网关执行。用户的请求到网关之后,网关解析出请求中的用户信息,然后发给各个策略检测模块。最终,所有的检测结果都汇聚到网关,由网关最终执行。网关的种类主要包括Web代理网关、隐身网关、网络隧道网关、API网关等。
但是,当前的安全网关认证、授权和访问控制功能的实现主要是基于PKI体系的,当前的安全网关认证、授权和访问控制功能主要存在如下两个方面的问题:一是分散式密钥管理带来机构膨胀问题,规模化密钥管理中PKI采用层次化CA机构的数量来扩大密钥管理的规模;二是用第三方证明的方式解决标识和密钥的捆绑,带来第三方的法律地位与通信增大问题,不适用于目前大数据及大规模应用场景。
发明内容
本发明提供了一种基于PKI与CPK混合认证的零信任网关实现方法及系统,解决现有技术分散式密钥管理带来机构膨胀问题,规模化密钥管理中PKI采用层次化CA机构的数量来扩大密钥管理的规模;用第三方证明的方式解决标识和密钥的捆绑,带来第三方的法律地位与通信增大问题,不适用于目前大数据及大规模应用场景。
为解决上述问题,一方面,本发明提供一种基于PKI与CPK混合认证的零信任网关实现方法,包括:
对接入零信任安全网关的网络划分为内网域和外网域;
基于混合认证策略对外网域采用PKI进行认证;
基于混合认证策略对内网域采用CPK进行认证。
所述对外网域采用PKI进行认证,包括:
生成及签发证书、生成及签发证书吊销列表、发布证书和CRL到目录服务器、维护CA数据库及审计日志库;
申请、审核及注册数字证书;
对密钥进行生成、保存、备份、更新、恢复及查询;
提供轻量级目录访问协议服务、在线证书状态协议服务及注册服务;
提供账号管理、企业信息管理、日志管理的功能;所述证书授权管理系统分别连接于所述用户管理系统、所述密钥管理系统、所述证书发布及查询系统及所述WEB管理系统,所述用户管理系统还连接于证书发布及查询系统。
所述对内网域采用CPK进行认证,包括:
通过逻辑部件实现CPK算法,并通过硬件或软件接口提供为内网域提供认证和加密的功能;
调用CPK核心系统的功能,并向应用环境提供所述服务。
所述通过逻辑部件实现CPK算法,并通过硬件或软件接口提供为内网域提供认证和加密的功能,包括:
存储、管理、保护私钥以及标识数据,并调用预设的国密算法执行数字签名和密钥交换协议;
通过预设的映射算法将标识映射为公钥因子矩阵的索引,并计算出对应的公钥;
通过预设的口令和密码学功能对用户的口令进行验证;
实现国密算法以进行签名、验证、密钥交换;
按预设的算法生成真随机数;
以CPK格式对数据进行编解码;
实现和CPK代理之间的通信协议以请求应答命令方式向CPK代理提供服务。
还包括:
对访问业务系统所产生的流量执行强制访问控制策略,并在接收到访问请求时,向认证服务平台上报,并根据认证服务平台下发的指令对访问进行放行或阻断;
在访问过程中对终端设备进行安全检测并通过零信任安全网关向认证服务平台上报,在发生异常时,认证服务平台会向客户端和网关同时下发阻断指令。
一方面,提供一种基于PKI与CPK混合认证的零信任网关系统,包括:
连接于零信任安全网关的认证服务平台,用于对接入零信任安全网关的网络划分为内网域和外网域,对外网域采用PKI进行认证,对内网域采用CPK进行认证。
还包括:
零信任安全网关,用于对访问业务系统所产生的流量执行强制访问控制策略,并在接收到访问请求时,向认证服务平台上报,并根据认证服务平台下发的指令对访问进行放行或阻断;
零信任客户端,用于在访问过程中对终端设备进行安全检测并通过零信任安全网关向认证服务平台上报,在发生异常时,认证服务平台会向客户端和网关同时下发阻断指令。
所述认证服务平台包括:
PKI系统,用于对外网域采用PKI进行认证;
CPK系统,用于对内网域采用CPK进行认证。
所述CPK系统,包括:
CPK核心系统,用于通过逻辑部件实现CPK算法,并通过硬件或软件接口提供为内网域提供认证和加密的功能;
CPK代理,连接于所述CPK核心系统与应用环境之间,用于调用CPK核心系统的功能,并向应用环境提供所述服务。
一方面,提供一种计算机可读存储介质,所述存储介质中存储有多条指令,所述指令适于由处理器加载以执行以上所述的一种基于PKI与CPK混合认证的零信任网关实现方法。
本发明的有益效果是:采用混合认证的方式,以及基于标识的认证和授权体系,能实现主体、客体、内容可信性、业务应用的行为可信性认证,满足零信任的要求;采用混合认证的模式,进一步发挥CPK认证的优势,可本地获得所需公钥,其运行效率高,处理能力强,计算资源小,规模大,适用于超大规模认证和授权场合,如大型工业控制系统、大规模云系统的安全访问控制等。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例提供的零信任网关体系的混合认证流程图;
图2是本发明一实施例提供的PKI体系功能的结构示意图;
图3是本发明一实施例提供的PKI-CA授权及认证示意图;
图4是本发明一实施例提供的一种基于PKI与CPK混合认证的零信任网关系统的结构示意图;
图5是本发明一实施例提供的CPK认证系统体系的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“长度”、“宽度”、“厚度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个特征。在本发明的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
在本发明中,“示例性”一词用来表示“用作例子、例证或说明”。本发明中被描述为“示例性”的任何实施例不一定被解释为比其它实施例更优选或更具优势。为了使本领域任何技术人员能够实现和使用本发明,给出了以下描述。在以下描述中,为了解释的目的而列出了细节。应当明白的是,本领域普通技术人员可以认识到,在不使用这些特定细节的情况下也可以实现本发明。在其它实例中,不会对公知的结构和过程进行详细阐述,以避免不必要的细节使本发明的描述变得晦涩。因此,本发明并非旨在限于所示的实施例,而是与符合本发明所公开的原理和特征的最广范围相一致。
参见图1,图1是本发明一实施例提供的零信任网关体系的混合认证流程图,本发明提供的一种基于PKI与CPK混合认证的零信任网关实现方法包括步骤S1-S3:
S1、对接入零信任安全网关2的网络划分为内网域和外网域。
本实施例中,根据确定的安全防护策略,对接入网关的网络首先划分为内网域和外网域。不同的网络域对应的认证和授权策略不同,包括用户、设备、应用和业务的认证和授权。
S2、对外网域采用PKI进行认证;步骤S2包括步骤S21-S25:
S21、生成及签发证书、生成及签发证书吊销列表、发布证书和CRL到目录服务器、维护CA数据库及审计日志库。
S22、申请、审核及注册数字证书。
S23、对密钥进行生成、保存、备份、更新、恢复及查询。
S24、提供轻量级目录访问协议服务、在线证书状态协议服务及注册服务。
S25、提供账号管理、企业信息管理、日志管理的功能;所述证书授权管理系统分别连接于所述用户管理系统、所述密钥管理系统、所述证书发布及查询系统及所述WEB管理系统,所述用户管理系统还连接于证书发布及查询系统。
本实施例中,PKI是Public Key Infrastructure(公钥基础设施)的缩写,其主要功能是绑定证书持有者的身份和相关的密钥对(通过为公钥及相关的用户身份信息签发数字证书),为用户提供方便的证书申请、证书作废、证书获取、证书状态查询的途径,并利用数字证书及相关的各种服务(证书发布,黑名单发布,时间戳服务等)实现通信中各实体的身份认证、完整性、抗抵赖性和保密性。PKI体系的中心是CA服务器,CA服务器必须是安全的,可信任的。主要载体是X509格式的证书文件。其体系结构功能如图2所示,具体功能模块内容描述如下。参见图2,图2是本发明一实施例提供的PKI体系功能的结构示意图。
证书授权管理系统(CA中心):CA中心是企业自主PKI公钥基础设施的核心,它主要完成生成/签发证书、生成/签发证书吊销列表(CRL)、发布证书和CRL到目录服务器、维护CA数据库和审计日志库等功能。证书授权管理系统实现了步骤S21。
用户管理系统(RA系统):RA中心是数字证书的申请、审核和注册机构,它是CA认证中心的延伸。用户管理系统实现了步骤S22。
密钥管理系统(KMC):负责为CA中心提供密钥的生成、保存、备份、更新、恢复和查询等密钥服务,以解决企业内部环境中密码管理问题。密钥管理系统实现了步骤S23。
证书发布及查询系统:主要提供轻量级目录访问协议(LDAP)服务、在线证书状态协议(OCSP)服务和注册服务。LDAP提供证书和CRL的目录浏览服务;OCSP提供证书状态在线查询服务;注册服务提供用户在线注册功能。证书发布及查询系统实现了步骤S24。
WEB管理系统:提供对应的账号管理、企业信息管理、日志管理的功能。WEB管理系统实现了步骤S25。
企业或组织用户针对外网的认证需求,可以通过PKI—CA这种可信第三方认证的方式进行实现,其主要流程如图3所示,图3是本发明一实施例提供的PKI-CA授权及认证示意图,企业A如果需要访问外网企业B,则可以通过零信任网关从CA中心获取证书信息发送给企业B,企业B通过自身的零信任网关将收到的证书向CA中心进行验证,认证通过后就完成了企业A、B间对应的认证和授权,建立起对应的信任关系。
S3、对内网域采用CPK进行认证。步骤S3包括步骤S31-S32:
S31、通过逻辑部件实现CPK算法,并通过硬件或软件接口提供为内网域提供认证和加密的功能;步骤S31包括步骤S311-S317:
S311、存储、管理、保护私钥以及标识数据,并调用预设的国密算法执行数字签名和密钥交换协议。
S312、通过预设的映射算法将标识映射为公钥因子矩阵的索引,并计算出对应的公钥。
S313、通过预设的口令和密码学功能对用户的口令进行验证。
S314、实现国密算法以进行签名、验证、密钥交换。
S315、按预设的算法生成真随机数。
S316、以CPK格式对数据进行编解码。
S317、实现和CPK代理之间的通信协议以请求应答命令方式向CPK代理提供服务。
本实施例中,步骤S31通过CPK核心系统实现,标识私钥管理模块实现了步骤S311,公钥因子矩阵模块实现了步骤S312,访问控制模块实现了步骤S313,国密算法模块实现了步骤S314,真随机数发生模块实现了步骤S315,数据编解码模块实现了步骤S316,通信协议模块实现了步骤S317。
S32、调用CPK核心系统的功能,并向应用环境提供所述服务。
本实施例中,步骤S32通过CPS代理实现。
优选的,所述基于PKI与CPK混合认证的零信任网关实现方法还包括步骤S4-S5:
S4、对访问业务系统4所产生的流量执行强制访问控制策略,并在接收到访问请求时,向认证服务平台1上报,并根据认证服务平台1下发的指令对访问进行放行或阻断。
本实施例中,步骤S4通过零信任安全网关2实现。
S5、在访问过程中对终端设备进行安全检测并通过零信任安全网关2向认证服务平台1上报,在发生异常时,认证服务平台会向客户端和网关同时下发阻断指令。
本实施例中,步骤S5通过零信任客户端3实现。
综上,本发明融合CPK集中式秘钥管理模式,采用PKI+CPK的混合认证方式,能就地获得所需公钥,其运行效率高,处理能力强,计算资源小,规模大,适用于超大规模认证和授权场合。针对内网域的认证采用CPK方式,针对外网的认证采用PKI方式,适应大规模应用的情况。
参见图4,图4是本发明一实施例提供的一种基于PKI与CPK混合认证的零信任网关系统的结构示意图,本发明提供的一种基于PKI与CPK混合认证的零信任网关系统包括认证服务平台1、零信任安全网关2及零信任客户端3。
连接于零信任安全网关2的认证服务平台1用于对接入零信任安全网关2的网络划分为内网域和外网域,对外网域采用PKI进行认证,对内网域采用CPK进行认证。
本实施例中,认证服务平台1相当于零信任分析和管控的大脑,负责对用户身份、权限、终端设备、业务应用、内容等进行标识、认证、风险分析和零信任评估、访问控制等管理;对外提供身份认证和动态权限校验服务。认证服务平台1主要功能包括网络域管理、统一标识、统一风险分析、统一认证、统一访问控制及密码基础设施。
网络域管理:对零信任网关保护的网络进行网络域划分和管理。包括依据内网IP地址划分不同的内网域和外网域。不同的网络域认证策略和模式会不同。
统一标识:对请求访问的内外网用户、设备、内容、业务行为进行统一标识,赋予统一格式的标识号。对应不同的标识号,以及标识对应的网络域,赋予不同的权限。
统一风险分析:持续接收客户端及其它设备发来的安全信息,基于用户身份、设备状态、访问行为、网络日志等信息,综合分析是否存在风险,计算用户和设备的可信等级,为访问控制引擎的判断提供依据。
统一认证:无论用户身处内网还是外网,在访问企业资源之前,都要进行统一的身份认证。采用原有的PKI+CPK混合认证的方式,基于一定的策略,对于外网访问,采用PKI进行认证;对于内网访问,采用CPK进行认证。而且,由认证服务平台1统一执行。
统一访问控制:依据统一风险分析的结果对用户访问行为进行校验。一方面要确保用户的访问行为得到了授权,另一方面要确保用户的访问行为不存在风险,否则将通知策略执行点进行拦截。
密码基础设施:认证服务平台1的功能运行需要密码基础设施的支撑。主要包括PKI/CPK系统。PKI系统提供公钥基础设施相关的密码服务,CPK系统提供基于标识的组合公钥算法相关的密码服务。
零信任安全网关2用于对访问业务系统4所产生的流量执行强制访问控制策略,并在接收到访问请求时,向认证服务平台1上报,并根据认证服务平台1下发的指令对访问进行放行或阻断。
本实施例中,零信任安全网关2相当于企业网络的大门,对所有流量执行强制访问控制策略。安全网关通过对用户访问和API调用的统一代理,对企业的网络暴露面进行收口。当遇到访问请求时,安全网关立即向认证服务平台1上报,并根据平台下发的指令进行放行或阻断。在访问过程中,安全网关还要负责流量的负载均衡,加密传输级日志记录。
业务系统4即零信任网关保护的企业内部网络系统,是承载业务应用的系统,提供相应的业务功能,往往是大型分布式网络系统。
零信任客户端3用于在访问过程中对终端设备进行安全检测并通过零信任安全网关2向认证服务平台1上报,在发生异常时,认证服务平台会向客户端和网关同时下发阻断指令。
本实施例中,零信任客户端3:零信任客户端3的形式可以是多种多样,可以说类似VPN的独立小程序,可以是浏览器,可以是浏览器插件,可以与杀毒或终端管控软件融合。零信任客户端3部署在用户的设备上,提供从用户到授权资源的加密连接。在建立连接之前,客户端会对用户进行身份认证。在访问过程中,客户端持续对终端设备进行安全检测,并向认证服务平台1上报。在发生异常时,认证服务平台会向客户端和网关同时下发阻断指令。客户端要与用户交互,提示被阻断的原因,或提示二次认证。在有些场景下,在不安装客户端时,可以直接通过零信任web门户接入零信任网络。
所述认证服务平台1包括PKI系统及CPK系统,PKI系统用于对外网域采用PKI进行认证;CPK系统用于对内网域采用CPK进行认证。
参见图5,图5是本发明一实施例提供的CPK认证系统体系的结构示意图,所述CPK系统包括CPK核心系统及CPK代理。
CPK核心系统用于通过逻辑部件实现CPK算法,并通过硬件或软件接口提供为内网域提供认证和加密的功能。
本实施例中,CPK核心系统作为一个独立的逻辑部件实现CPK算法,通过硬件或软件接口提供认证和加密的功能。相关模块如下:
(1)标识私钥管理模块:用于存储、管理、保护私钥,以及(用户、设备、内容、业务行为等)标识数据,所有对私钥的操作都有该模块完成。该模块调用椭圆曲线密钥模块执行数字签名和密钥交换协议。
(2)公钥因子矩阵模块:通过映射算法将标识映射为公钥因子矩阵的索引,并计算出对应的公钥。
(3)访问控制模块:通过口令和密码学功能保护系统,确保只有拥有口令的用户才能访问系统。
(4)国密算法模块:实现国密算法,如SM9等加密算法,可以进行签名、验证、密钥交换等。
(5)真随机数发生模块:按一定的算法生成真随机数。
(6)数据编解码模块:以CPK格式对数据进行编解码。
(7)通信协议模块:实现和CPK代理之间的通信协议,以请求应答命令方式向CPK代理提供服务。
CPK代理连接于所述CPK核心系统与应用环境之间,用于调用CPK核心系统的功能,并向应用环境提供所述服务。
本实施例中,CPK代理通常嵌入在应用系统环境之中,为其提供CPK认证和加密服务。服务的接口可以有多种形式,如API、中间件、系统服务或网络服务等,但不限于此。CPK代理本身不实现CPK的基础功能,而是通过和CPK核心系统的特点通信协议,调用其功能,并向应用环境提供这些服务。
本发明的目的如下:
1、设计和提出了PKI+CPK的混合认证密码体系,适应大规模应用场景的混合认证。
2、设计和提出了基于PKI+CPK混合认证的零信任网关系统的逻辑架构。
3、在上述基础上,形成适用于大数据及大规模认证授权场景的零信任网关系统功能体系及实现方案,提高零信任网关的系统安全性。
本领域普通技术人员可以理解,上述实施例的各种方法中的全部或部分步骤可以通过指令来完成,或通过指令控制相关的硬件来完成,该指令可以存储于一计算机可读存储介质中,并由处理器进行加载和执行。为此,本发明实施例提供一种存储介质,其中存储有多条指令,该指令能够被处理器进行加载,以执行本发明实施例所提供的任一种基于PKI与CPK混合认证的零信任网关实现方法中的步骤。
其中,该存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取记忆体(RAM,Random Access Memory)、磁盘或光盘等。
由于该存储介质中所存储的指令,可以执行本发明实施例所提供的任一种基于PKI与CPK混合认证的零信任网关实现方法中的步骤,因此,可以实现本发明实施例所提供的任一种基于PKI与CPK混合认证的零信任网关实现方法所能实现的有益效果,详见前面的实施例,在此不再赘述。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (3)
1.一种基于PKI与CPK混合认证的零信任网关实现方法,其特征在于,包括:
对接入零信任网关的网络划分为内网域和外网域;
对外网域采用PKI进行认证;
对内网域采用CPK进行认证;
所述对外网域采用PKI进行认证,包括:
生成及签发证书、生成及签发证书吊销列表CRL、发布证书和CRL到目录服务器、维护CA数据库及审计日志库;
申请、审核及注册证书;
对密钥进行生成、保存、备份、更新、恢复及查询;
提供轻量级目录访问协议服务、在线证书状态协议服务及注册服务;
提供账号管理、企业信息管理、日志管理的功能;证书授权管理系统分别连接于用户管理系统、密钥管理系统、证书发布及查询系统及WEB管理系统,所述用户管理系统还连接于证书发布及查询系统;
所述对内网域采用CPK进行认证,包括:
通过逻辑部件实现CPK算法,并通过硬件或软件接口为内网域提供认证和加密的功能;
调用CPK核心系统的功能,并向应用环境提供服务;
所述通过逻辑部件实现CPK算法,并通过硬件或软件接口为内网域提供认证和加密的功能,包括:
存储、管理、保护私钥以及标识数据,并调用预设的国密算法执行数字签名和密钥交换协议;
通过预设的映射算法将标识映射为公钥因子矩阵的索引,并计算出对应的公钥;
通过预设的口令和密码学功能对用户的口令进行验证;
实现国密算法以进行签名、验证、密钥交换;
按预设的算法生成真随机数;
以CPK格式对数据进行编解码;
实现和CPK代理之间的通信协议以请求应答命令方式向CPK代理提供服务;
还包括:
对访问业务系统所产生的流量执行强制访问控制策略,并在接收到访问请求时,向认证服务平台上报,并根据认证服务平台下发的指令对访问进行放行或阻断;
在访问过程中对终端设备进行安全检测并通过零信任网关向认证服务平台上报,在发生异常时,认证服务平台会向客户端和网关同时下发阻断指令。
2.一种基于PKI与CPK混合认证的零信任网关系统,其特征在于,包括:
连接于零信任网关的认证服务平台,用于对接入零信任网关的网络划分为内网域和外网域,对外网域采用PKI进行认证,对内网域采用CPK进行认证;
零信任网关,用于对访问业务系统所产生的流量执行强制访问控制策略,并在接收到访问请求时,向认证服务平台上报,并根据认证服务平台下发的指令对访问进行放行或阻断;
零信任客户端,用于在访问过程中对终端设备进行安全检测并通过零信任网关向认证服务平台上报,在发生异常时,认证服务平台会向客户端和网关同时下发阻断指令;
所述认证服务平台包括:
PKI系统,用于对外网域采用PKI进行认证;
CPK系统,用于对内网域采用CPK进行认证;
所述CPK系统,包括:
CPK核心系统,用于通过逻辑部件实现CPK算法,并通过硬件或软件接口为内网域提供认证和加密的功能;
CPK代理,连接于所述CPK核心系统与应用环境之间,用于调用CPK核心系统的功能,并向应用环境提供服务。
3.一种计算机可读存储介质,其特征在于,所述存储介质中存储有多条指令,所述指令适于由处理器加载以执行权利要求1所述的一种基于PKI与CPK混合认证的零信任网关实现方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310251646.6A CN115967584B (zh) | 2023-03-16 | 2023-03-16 | 一种基于pki与cpk混合认证的零信任网关实现方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310251646.6A CN115967584B (zh) | 2023-03-16 | 2023-03-16 | 一种基于pki与cpk混合认证的零信任网关实现方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115967584A CN115967584A (zh) | 2023-04-14 |
| CN115967584B true CN115967584B (zh) | 2023-07-04 |
Family
ID=85888208
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310251646.6A Active CN115967584B (zh) | 2023-03-16 | 2023-03-16 | 一种基于pki与cpk混合认证的零信任网关实现方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115967584B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1832403A (zh) * | 2006-04-24 | 2006-09-13 | 北京易恒信认证科技有限公司 | Cpk可信认证系统 |
| CN112217793A (zh) * | 2020-09-07 | 2021-01-12 | 中国电力科学研究院有限公司 | 一种适用于电力物联网的跨体系信任管理系统 |
| CN113259350A (zh) * | 2021-05-12 | 2021-08-13 | 深圳华数云计算技术有限公司 | 一种基于密钥生成算法的密码学用户授权认证系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108696360A (zh) * | 2018-04-16 | 2018-10-23 | 北京虎符信息技术有限公司 | 一种基于cpk密钥的ca证书发放方法及系统 |
| CN112507317A (zh) * | 2020-12-07 | 2021-03-16 | 国网河北省电力有限公司电力科学研究院 | 一种基于零信任的电力物联网安全防护方法 |
| US20230062521A1 (en) * | 2021-09-01 | 2023-03-02 | Wind River Systems, Inc. | Gateway |
| CN114070590A (zh) * | 2021-11-03 | 2022-02-18 | 中电科鹏跃电子科技有限公司 | 一种基于ibc的零信任防护方法及系统 |
-
2023
- 2023-03-16 CN CN202310251646.6A patent/CN115967584B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1832403A (zh) * | 2006-04-24 | 2006-09-13 | 北京易恒信认证科技有限公司 | Cpk可信认证系统 |
| CN112217793A (zh) * | 2020-09-07 | 2021-01-12 | 中国电力科学研究院有限公司 | 一种适用于电力物联网的跨体系信任管理系统 |
| CN113259350A (zh) * | 2021-05-12 | 2021-08-13 | 深圳华数云计算技术有限公司 | 一种基于密钥生成算法的密码学用户授权认证系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115967584A (zh) | 2023-04-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11882442B2 (en) | Handset identifier verification | |
| CN112822675B (zh) | 面向MEC环境的基于OAuth2.0的单点登录机制 | |
| US7526649B2 (en) | Session key exchange | |
| JP5619019B2 (ja) | 認証のための方法、システム、およびコンピュータ・プログラム(1次認証済み通信チャネルによる2次通信チャネルのトークンベースのクライアント・サーバ認証) | |
| CN113420319A (zh) | 一种基于区块链和权限合约的数据隐私保护的方法和系统 | |
| JP2023544529A (ja) | 認証方法およびシステム | |
| US20070186097A1 (en) | Sending of public keys by mobile terminals | |
| CN115277168B (zh) | 一种访问服务器的方法以及装置、系统 | |
| CN113572791B (zh) | 一种视频物联网大数据加密服务方法、系统及装置 | |
| KR20170019308A (ko) | 신뢰된 권한 정보 제공 방법, 신뢰된 권한 정보를 포함하는 사용자 크리덴셜 발급 방법 및 사용자 크리덴셜 획득 방법 | |
| CN117676579B (zh) | 一种基于芯片构建汽车安全身份认证方法 | |
| CN114091009A (zh) | 利用分布式身份标识建立安全链接的方法 | |
| Kim et al. | Can we create a cross-domain federated identity for the industrial Internet of Things without Google? | |
| CN115967584B (zh) | 一种基于pki与cpk混合认证的零信任网关实现方法及系统 | |
| CN114374700B (zh) | 基于主从多链的支持广域协同的可信身份管理方法 | |
| CN111682941B (zh) | 基于密码学的集中式身份管理、分布式认证与授权的方法 | |
| CN114036490A (zh) | 外挂软件接口调用安全认证方法、USBKey驱动装置及认证系统 | |
| CN117294465B (zh) | 一种基于跨域通信的属性加密系统及方法 | |
| CN113742700B (zh) | 一种基于门户的跨域软件系统集成方法 | |
| Bhargavi et al. | Enhancing IoT Security and Privacy with Claims-based Identity Management. | |
| CN114021094B (zh) | 远程服务器登录方法、电子设备及存储介质 | |
| Chen et al. | C-V2X Security Technology | |
| Wang et al. | Design and implementation of a safe Public Key Infrastructure | |
| Mashima et al. | User-centric identity management architecture using credential-holding identity agents | |
| Torrellas et al. | An authentication protocol for agent platform security manager |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |