CN117201112A - 基于全节点零信任网关的数据访问处理方法及系统 - Google Patents
基于全节点零信任网关的数据访问处理方法及系统 Download PDFInfo
- Publication number
- CN117201112A CN117201112A CN202311147444.3A CN202311147444A CN117201112A CN 117201112 A CN117201112 A CN 117201112A CN 202311147444 A CN202311147444 A CN 202311147444A CN 117201112 A CN117201112 A CN 117201112A
- Authority
- CN
- China
- Prior art keywords
- client
- server
- zero
- gateway
- trust
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 27
- 238000012545 processing Methods 0.000 claims description 31
- 238000012795 verification Methods 0.000 claims description 23
- 238000011217 control strategy Methods 0.000 claims description 8
- 230000005540 biological transmission Effects 0.000 abstract description 13
- 238000005516 engineering process Methods 0.000 description 15
- 238000002955 isolation Methods 0.000 description 13
- 238000000034 method Methods 0.000 description 10
- 230000006854 communication Effects 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 230000008901 benefit Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 239000002184 metal Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种基于全节点零信任网关的数据访问处理方法及系统,通过零信任控制器接收零信任网关上报的网络信息,零信任控制器下发网关认证证书给零信任网关;零信任控制器对连接的客户端进行身份认证,当身份认证通过后,零信任控制器向客户端下发客户认证证书;零信任控制器对连接的服务器端进行身份认证,当身份认证通过后,零信任控制器向服务器端下发服务器认证证书;零信任控制器加载管理员安全策略,零信任控制器将加载的管理员安全策略转换成本地安全策略,零信任控制器将转换的本地安全策略下发至客户端或服务器端,以供客户端或服务器端执行。本发明实现了从端到端完整的身份认证、传输加密和访问控制;保证了数据的完整性和不可抵赖性。
Description
技术领域
本发明属于数据访问处理技术领域,具体涉及一种基于全节点零信任网关的数据访问处理方法及系统。
背景技术
目前,企业IT架构在物联网时代和云时代产生了相对于传统架构非常大的变化,企业的总部、分部、生产现场环境分设在不同地区已经成为很多企业的发展模式,他们之间通常通过互联网进行连接。总部和分部的局域网都有办公终端区和服务器区,在数据通信过程中,企业需要对服务器访问进行数据保护。
现有技术中,SDP技术中,客户端流量流经网关后,即丢失了客户端身份信息,同时流量未经加密;物联网设备终端身份认证不能满足;只解决客户端接入的安全。而微隔离技术服务器之间的流量无法通过微隔离技术进行加密;微隔离技术仅仅解决服务器之间流量的访问控制,不能有效解决外网对服务器的访问控制;网关到服务器之间的流量缺少强制性加密手段。
发明内容
为此,本发明提供一种基于全节点零信任网关的数据访问处理方法及系统,克服目前SDP技术或微隔离技术的缺点,能够对所有IT网络中的客户端和服务器端,进行统一的身份鉴别、传输加密、访问控制,实现全流量监控和控制。
为了实现上述目的,本发明提供如下技术方案:第一方面,提供一种基于全节点零信任网关的数据访问处理方法,包括:
通过零信任控制器接收零信任网关上报的网络信息,所述零信任控制器下发网关认证证书给所述零信任网关;
所述零信任控制器对连接的客户端进行身份认证,当身份认证通过后,所述零信任控制器向所述客户端下发客户认证证书;所述零信任控制器对连接的服务器端进行身份认证,当身份认证通过后,所述零信任控制器向所述服务器端下发服务器认证证书;
所述零信任控制器加载管理员安全策略,所述零信任控制器将加载的所述管理员安全策略转换成本地安全策略,所述零信任控制器将转换的本地安全策略下发至客户端或服务器端,以供客户端或服务器端执行。
作为基于全节点零信任网关的数据访问处理方法优选方案,所述管理员安全策略包括:
允许指定第一服务器访问指定第二服务器的数据库服务;
允许指定第二客户端访问指定第一客户端的RDP服务;
允许指定第二客户端访问指定第二服务器的HTTP服务。
作为基于全节点零信任网关的数据访问处理方法优选方案,所述本地安全策略中:
在所述第一服务器和所述第二服务器之间创建第四加密SSL隧道,所述第四加密SSL隧道同时使用所述第一服务器、所述第二服务器的服务器认证证书进行验证和加密密钥生成;
所述第一服务器和所述第二服务器通过所述第四加密SSL隧道进行数据库访问。
作为基于全节点零信任网关的数据访问处理方法优选方案,所述本地安全策略中:
在所述第一客户端和所述第二客户端之间创建第一加密SSL隧道,所述第一加密SSL隧道同时使用所述第一客户端、所述第二客户端的客户认证证书进行验证和隧道加密密钥生成;
所述第一客户端和所述第二客户端通过所述第一加密SSL隧道进行RDP访问。
作为基于全节点零信任网关的数据访问处理方法优选方案,所述本地安全策略中:
在所述第二客户端到所述零信任网关生成第二加密SSL隧道,所述第二加密SSL隧道同时使用所述第二客户端的客户认证证书和所述零信任网关的网关认证证书,进行验证和隧道加密密钥生成。
作为基于全节点零信任网关的数据访问处理方法优选方案,在所述第二服务器到所述零信任网关生成第三加密SSL隧道,所述第三加密SSL隧道同时使用所述第二服务器的服务器认证证书和所述零信任网关的网关认证证书,进行验证和隧道加密密钥生成;
所述第二客户端到所述第二服务器的HTTP访问,通过所述第二加密SSL隧道先到达所述零信任网关,所述零信任网关对隧道数据进行验证和访问控制策略匹配后,将数据转入到所述第三加密SSL隧道,再传递到所述第二服务器。
第二方面,本发明提供一种基于全节点零信任网关的数据访问处理系统,包括:
网络信息上报模块,用于通过零信任控制器接收零信任网关上报的网络信息;
网关认证证书下发模块,用于所述零信任控制器下发网关认证证书给所述零信任网关;
客户认证证书处理模块,用于所述零信任控制器对连接的客户端进行身份认证,当身份认证通过后,所述零信任控制器向所述客户端下发客户认证证书;
服务器认证证书处理模块,用于所述零信任控制器对连接的服务器端进行身份认证,当身份认证通过后,所述零信任控制器向所述服务器端下发服务器认证证书;
安全策略处理模块,用于所述零信任控制器加载管理员安全策略,所述零信任控制器将加载的所述管理员安全策略转换成本地安全策略,所述零信任控制器将转换的本地安全策略下发至客户端或服务器端,以供客户端或服务器端执行。
作为基于全节点零信任网关的数据访问处理系统优选方案,所述安全策略处理模块中,所述管理员安全策略包括:
允许指定第一服务器访问指定第二服务器的数据库服务;
允许指定第二客户端访问指定第一客户端的RDP服务;
允许指定第二客户端访问指定第二服务器的HTTP服务。
作为基于全节点零信任网关的数据访问处理系统优选方案,所述安全策略处理模块包括:
第四加密SSL隧道创建子模块,用于在所述第一服务器和所述第二服务器之间创建第四加密SSL隧道,所述第四加密SSL隧道同时使用所述第一服务器、所述第二服务器的服务器认证证书进行验证和加密密钥生成;
所述第一服务器和所述第二服务器通过所述第四加密SSL隧道进行数据库访问;
第一加密SSL隧道创建子模块,用于在所述第一客户端和所述第二客户端之间创建第一加密SSL隧道,所述第一加密SSL隧道同时使用所述第一客户端、所述第二客户端的客户认证证书进行验证和隧道加密密钥生成;
所述第一客户端和所述第二客户端通过所述第一加密SSL隧道进行RDP访问。
作为基于全节点零信任网关的数据访问处理系统优选方案,所述安全策略处理模块包括:
第二加密SSL隧道生成子模块,用于在所述第二客户端到所述零信任网关生成第二加密SSL隧道,所述第二加密SSL隧道同时使用所述第二客户端的客户认证证书和所述零信任网关的网关认证证书,进行验证和隧道加密密钥生成;
第三加密SSL隧道生成子模块,用于在所述第二服务器到所述零信任网关生成第三加密SSL隧道,所述第三加密SSL隧道同时使用所述第二服务器的服务器认证证书和所述零信任网关的网关认证证书,进行验证和隧道加密密钥生成;
所述第二客户端到所述第二服务器的HTTP访问,通过所述第二加密SSL隧道先到达所述零信任网关,所述零信任网关对隧道数据进行验证和访问控制策略匹配后,将数据转入到所述第三加密SSL隧道,再传递到所述第二服务器。
本发明第三方面提供一种非暂态计算机可读存储介质,所述计算机可读存储介质中存储有基于全节点零信任网关的数据访问处理方法的程序代码,所述程序代码包括用于执行第一方面或其任意可能实现方式的基于全节点零信任网关的数据访问处理方法的指令。
本发明第四方面提供一种电子设备,包括:存储器和处理器;所述处理器和所述存储器通过总线完成相互间的通信;所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行第一方面或其任意可能实现方式的基于全节点零信任网关的数据访问处理方法。
本发明的有益效果如下,通过零信任控制器接收零信任网关上报的网络信息,所述零信任控制器下发网关认证证书给所述零信任网关;所述零信任控制器对连接的客户端进行身份认证,当身份认证通过后,所述零信任控制器向所述客户端下发客户认证证书;所述零信任控制器对连接的服务器端进行身份认证,当身份认证通过后,所述零信任控制器向所述服务器端下发服务器认证证书;所述零信任控制器加载管理员安全策略,所述零信任控制器将加载的所述管理员安全策略转换成本地安全策略,所述零信任控制器将转换的本地安全策略下发至客户端或服务器端,以供客户端或服务器端执行。本发明解决了SDP和微隔离对网络的割裂控制,实现了从端到端完整的身份认证、传输加密和访问控制;任意两个客户端或服务器端的访问,都受零信任控制器颁发的证书和基于证书的加密隧道的传输加密和访问控制保护,保证了数据的完整性和不可抵赖性。
附图说明
为了更清楚地说明本发明的实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引申获得其他的实施附图。
本说明书所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定本发明可实施的限定条件,故不具技术上的实质意义,任何结构的修饰、比例关系的改变或大小的调整,在不影响本发明所能产生的功效及所能达成的目的下,均应仍落在本发明所揭示的技术内容能涵盖的范围内。
图1为本发明实施例提供的基于全节点零信任网关的数据访问处理方法流程示意图;
图2为本发明实施例提供的基于全节点零信任网关的数据访问处理方法技术路线示意图;
图3为本发明实施例提供的基于全节点零信任网关的数据访问处理系统架构示意图。
具体实施方式
以下由特定的具体实施例说明本发明的实施方式,熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
相关技术中,SDP技术即软件定义边界,SDP安全模型由三大组件构成,分别是:SDP客户端,简称客户端;SDP网关,简称网关;SDP控制器,简称控制器。三大组件的关系分成两个平面:控制平面和数据平面。客户端和网关都会连接到控制器。客户端和网关之间的连接是通过控制器与安全控制信道的交互来管理的。该结构使得控制平面能够与数据平面保持分离,以便实现完全可扩展的安全系统。并且所有组件都可以是集群的,用于扩容或提高稳定运行时间。SDP技术中,客户端流量流经网关后,即丢失了客户端身份信息,同时流量未经加密;物联网设备终端身份认证不能满足;只解决客户端接入的安全。
相关技术中,微隔离是一种新兴的网络安全技术,具体含义是指把一个无结构无边界的网络分成好多逻辑上的微小网段,以确保每一个网段上只有一个计算资源,而所有需要进出这个微网段的流量都需要经过访问控制设备。通常微隔离技术分为两个组件:微隔离客户端,简称客户端;微隔离控制器,简称控制器。微隔离客户端安装在服务器操作系统中,受控制器控制,通过主机操作系统防火墙下发网络访问控制策略。现阶段,微隔离技术中,服务器之间的流量无法通过微隔离技术进行加密;微隔离技术仅仅解决服务器之间流量的访问控制,不能有效解决外网对服务器的访问控制;网关到服务器之间的流量缺少强制性加密手段。
有鉴于此,本发明实施例提供一种基于全节点零信任网关的数据访问处理方法及系统,以克服目前SDP技术或微隔离技术的缺点,能够对所有IT网络中的客户端和服务器端,进行统一的身份鉴别、传输加密、访问控制,进行从端(客户端)到端(服务器端)的全流量监控和控制。以下为本发明实施例的具体内容。
实施例1
参见图1和图2,本发明实施例1提供一种基于全节点零信任网关的数据访问处理方法,包括以下步骤:
S1、通过零信任控制器接收零信任网关上报的网络信息,所述零信任控制器下发网关认证证书给所述零信任网关;
S2、所述零信任控制器对连接的客户端进行身份认证,当身份认证通过后,所述零信任控制器向所述客户端下发客户认证证书;所述零信任控制器对连接的服务器端进行身份认证,当身份认证通过后,所述零信任控制器向所述服务器端下发服务器认证证书;
S3、所述零信任控制器加载管理员安全策略,所述零信任控制器将加载的所述管理员安全策略转换成本地安全策略,所述零信任控制器将转换的本地安全策略下发至客户端或服务器端,以供客户端或服务器端执行。
本实施例中,客户端具有安装在桌面电脑(PC、笔记本等)、移动终端(手机、平板)以及智能物联网终端操作系统内的一个软件,负责客户端的身份认证、网络传输加密、访问控制策略的执行。服务器端具有安装在服务器(裸金属服务器、虚拟机、容器)操作系统中的一个软件,负责服务器身份认证、网络传输加密、访问控制策略执行。
本实施例中,零信任网关是一台网关设备,负责对客户端到服务器端的网络流量进行身份识别及访问控制。零信任控制器是一台旁路设备,负责对所有客户端、服务器端、零信任网关进行身份认证,并计算下发客户端、服务器、零信任网关的证书以及访问控制列表。
具体的,基于全节点零信任网关的数据访问处理过程,首先进入初始化阶段,初始化阶段过程中,零信任网关连接零信任控制器,零信任网关将网络信息(例如路由、网络地址区间、子网信息等)上报零信任控制器,零信任控制器下发唯一的网关认证证书给零信任网关。客户端和服务器端连接零信任控制器,并完成身份认证,认证通过后,零信任控制器给每一个客户端和服务器端下发唯一的证书;即向所述客户端下发客户认证证书,向所述服务器端下发服务器认证证书。
本实施例中,零信任控制器加载的管理员安全策略包括:
允许指定第一服务器访问指定第二服务器的数据库服务;
允许指定第二客户端访问指定第一客户端的RDP服务;
允许指定第二客户端访问指定第二服务器的HTTP服务。
本实施例中,所述本地安全策略中:
在所述第一服务器和所述第二服务器之间创建第四加密SSL隧道,所述第四加密SSL隧道同时使用所述第一服务器、所述第二服务器的服务器认证证书进行验证和加密密钥生成;所述第一服务器和所述第二服务器通过所述第四加密SSL隧道进行数据库访问。
其中,第一服务器不通过第四加密SSL隧道的访问都将被第二服务器拒绝。
本实施例中,所述本地安全策略中:
在所述第一客户端和所述第二客户端之间创建第一加密SSL隧道,所述第一加密SSL隧道同时使用所述第一客户端、所述第二客户端的客户认证证书进行验证和隧道加密密钥生成;所述第一客户端和所述第二客户端通过所述第一加密SSL隧道进行RDP访问。其中,第二客户不通过第一加密SSL隧道的访问都将被第一客户端拒绝。
本实施例中,所述本地安全策略中:
在所述第二客户端到所述零信任网关生成第二加密SSL隧道,所述第二加密SSL隧道同时使用所述第二客户端的客户认证证书和所述零信任网关的网关认证证书,进行验证和隧道加密密钥生成;在所述第二服务器到所述零信任网关生成第三加密SSL隧道,所述第三加密SSL隧道同时使用所述第二服务器的服务器认证证书和所述零信任网关的网关认证证书,进行验证和隧道加密密钥生成;所述第二客户端到所述第二服务器的HTTP访问,通过所述第二加密SSL隧道先到达所述零信任网关,所述零信任网关对隧道数据进行验证和访问控制策略匹配后,将数据转入到所述第三加密SSL隧道,再传递到所述第二服务器。
其中,SSL是一个不依赖于平台和运用程序的协议,位于TCP/IP协议与各种应用层协议之间,为数据通信提高安全支持。SSL采用RSA、DES,3DES,SM2、SM3、SM4等密码体制以及MD系列哈希函数、Diffie-Hellman密钥交换算法。
SSL通信基本原理如下:
第一,密码套件协商(此处不包含保密信息的传输);
第二,认证阶段:通信双方通过发送证书使得对端对发送方进行身份的认证;同时使用证书,利用公开密钥算法,生成并发送己方加密密钥给对端;
第三,随机对称密钥传输:使用第一种的密码套件参数,生成对称密钥,并使用第二种接收的加密密钥加密,并发送给对端。对端使用第一种生成的解密密钥解密,得到对称密钥;
第四,之后的传输使用对称密钥加解密并使用证书签名数据包。
本实施例中,使用SSL具有以下好处:无论是密钥交换还是应用层数据,都是经过加密的,保证了数据传输的私密性;可以使用证书,对通信双方进行双向认证;使用证书进行数据签名,保证了数据的完整性和不可抵赖性。
参见图2,本实施例中,零信任控制器本身具备CA服务器的功能。用户在使用时,需要先使用自己的根证书服务器给零信任控制器签发一张数字证书A。该证书用于给后续零信任系统中使用的所有证书签发。每一台连接进零信任系统的设备(包括零信任网关、客户端、服务器端),都需要向零信任控制器申请一张经过控制器数字证书A签名的数字证书。没有证书的设备,在使用SSL连接进零信任控制器的时候,均会被拒绝。图2中“隧道2”、“隧道3”即表示这个场景。
其中,客户端的互联(图2中“隧道1”表示),或者服务器端之间的互联(图2中“隧道4”表示)。由零信任控制器将C/S中的C侧设备的证书发给S侧设备系统,则可以建立SSL连接,通过这个机制,进行访问控制。
综上所述,本发明实施例通过零信任控制器接收零信任网关上报的网络信息,所述零信任控制器下发网关认证证书给所述零信任网关;所述零信任控制器对连接的客户端进行身份认证,当身份认证通过后,所述零信任控制器向所述客户端下发客户认证证书;所述零信任控制器对连接的服务器端进行身份认证,当身份认证通过后,所述零信任控制器向所述服务器端下发服务器认证证书;所述零信任控制器加载管理员安全策略,所述零信任控制器将加载的所述管理员安全策略转换成本地安全策略,所述零信任控制器将转换的本地安全策略下发至客户端或服务器端,以供客户端或服务器端执行。所述管理员安全策略包括:允许指定第一服务器访问指定第二服务器的数据库服务;允许指定第二客户端访问指定第一客户端的RDP服务;允许指定第二客户端访问指定第二服务器的HTTP服务。所述本地安全策略中:在所述第一服务器和所述第二服务器之间创建第四加密SSL隧道,所述第四加密SSL隧道同时使用所述第一服务器、所述第二服务器的服务器认证证书进行验证和加密密钥生成;所述第一服务器和所述第二服务器通过所述第四加密SSL隧道进行数据库访问。所述本地安全策略中:在所述第一客户端和所述第二客户端之间创建第一加密SSL隧道,所述第一加密SSL隧道同时使用所述第一客户端、所述第二客户端的客户认证证书进行验证和隧道加密密钥生成;所述第一客户端和所述第二客户端通过所述第一加密SSL隧道进行RDP访问。所述本地安全策略中:在所述第二客户端到所述零信任网关生成第二加密SSL隧道,所述第二加密SSL隧道同时使用所述第二客户端的客户认证证书和所述零信任网关的网关认证证书,进行验证和隧道加密密钥生成。在所述第二服务器到所述零信任网关生成第三加密SSL隧道,所述第三加密SSL隧道同时使用所述第二服务器的服务器认证证书和所述零信任网关的网关认证证书,进行验证和隧道加密密钥生成;所述第二客户端到所述第二服务器的HTTP访问,通过所述第二加密SSL隧道先到达所述零信任网关,所述零信任网关对隧道数据进行验证和访问控制策略匹配后,将数据转入到所述第三加密SSL隧道,再传递到所述第二服务器。本发明解决了SDP和微隔离对网络的割裂控制,实现了从端到端完整的身份认证、传输加密和访问控制;任意两个客户端或服务器端的访问,都受零信任控制器颁发的证书和基于证书的加密隧道的传输加密和访问控制保护,保证了数据的完整性和不可抵赖性。
需要说明的是,本公开实施例的方法可以由单个设备执行,例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下,由多台设备相互配合来完成。在这种分布式场景的情况下,这多台设备中的一台设备可以只执行本公开实施例的方法中的某一个或多个步骤,这多台设备相互之间会进行交互以完成所述的方法。
需要说明的是,上述对本公开的一些实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于上述实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
实施例2
参见图3,本发明实施例2提供一种基于全节点零信任网关的数据访问处理系统,包括:
网络信息上报模块1,用于通过零信任控制器接收零信任网关上报的网络信息;
网关认证证书下发模块2,用于所述零信任控制器下发网关认证证书给所述零信任网关;
客户认证证书处理模块3,用于所述零信任控制器对连接的客户端进行身份认证,当身份认证通过后,所述零信任控制器向所述客户端下发客户认证证书;
服务器认证证书处理模块4,用于所述零信任控制器对连接的服务器端进行身份认证,当身份认证通过后,所述零信任控制器向所述服务器端下发服务器认证证书;
安全策略处理模块5,用于所述零信任控制器加载管理员安全策略,所述零信任控制器将加载的所述管理员安全策略转换成本地安全策略,所述零信任控制器将转换的本地安全策略下发至客户端或服务器端,以供客户端或服务器端执行。
本实施例中,所述安全策略处理模块5中,所述管理员安全策略包括:
允许指定第一服务器访问指定第二服务器的数据库服务;
允许指定第二客户端访问指定第一客户端的RDP服务;
允许指定第二客户端访问指定第二服务器的HTTP服务。
本实施例中,所述安全策略处理模块5包括:
第四加密SSL隧道创建子模块51,用于在所述第一服务器和所述第二服务器之间创建第四加密SSL隧道,所述第四加密SSL隧道同时使用所述第一服务器、所述第二服务器的服务器认证证书进行验证和加密密钥生成;
所述第一服务器和所述第二服务器通过所述第四加密SSL隧道进行数据库访问;
第一加密SSL隧道创建子模块52,用于在所述第一客户端和所述第二客户端之间创建第一加密SSL隧道,所述第一加密SSL隧道同时使用所述第一客户端、所述第二客户端的客户认证证书进行验证和隧道加密密钥生成;
所述第一客户端和所述第二客户端通过所述第一加密SSL隧道进行RDP访问。
本实施例中,所述安全策略处理模块5包括:
第二加密SSL隧道生成子模块53,用于在所述第二客户端到所述零信任网关生成第二加密SSL隧道,所述第二加密SSL隧道同时使用所述第二客户端的客户认证证书和所述零信任网关的网关认证证书,进行验证和隧道加密密钥生成;
第三加密SSL隧道生成子模块54,用于在所述第二服务器到所述零信任网关生成第三加密SSL隧道,所述第三加密SSL隧道同时使用所述第二服务器的服务器认证证书和所述零信任网关的网关认证证书,进行验证和隧道加密密钥生成;
所述第二客户端到所述第二服务器的HTTP访问,通过所述第二加密SSL隧道先到达所述零信任网关,所述零信任网关对隧道数据进行验证和访问控制策略匹配后,将数据转入到所述第三加密SSL隧道,再传递到所述第二服务器。
需要说明的是,上述系统各模块之间的信息交互、执行过程等内容,由于与本申请实施例1中的方法实施例基于同一构思,其带来的技术效果与本申请方法实施例相同,具体内容可参见本申请前述所示的方法实施例中的叙述,此处不再赘述。
实施例3
本发明实施例3提供一种非暂态计算机可读存储介质,所述计算机可读存储介质中存储有基于全节点零信任网关的数据访问处理方法的程序代码,所述程序代码包括用于执行实施例1或其任意可能实现方式的基于全节点零信任网关的数据访问处理方法的指令。
计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(SolidState Disk、SSD))等。
实施例4
本发明实施例4提供一种电子设备,包括:存储器和处理器;
所述处理器和所述存储器通过总线完成相互间的通信;所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行实施例1或其任意可能实现方式的基于全节点零信任网关的数据访问处理方法。
具体的,处理器可以通过硬件来实现也可以通过软件来实现,当通过硬件实现时,该处理器可以是逻辑电路、集成电路等;当通过软件来实现时,该处理器可以是一个通用处理器,通过读取存储器中存储的软件代码来实现,该存储器可以集成在处理器中,可以位于所述处理器之外,独立存在。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
虽然,上文中已经用一般性说明及具体实施例对本发明作了详尽的描述,但在本发明基础上,可以对之作一些修改或改进,这对本领域技术人员而言是显而易见的。因此,在不偏离本发明精神的基础上所做的这些修改或改进,均属于本发明要求保护的范围。
Claims (10)
1.基于全节点零信任网关的数据访问处理方法,其特征在于,包括:
通过零信任控制器接收零信任网关上报的网络信息,所述零信任控制器下发网关认证证书给所述零信任网关;
所述零信任控制器对连接的客户端进行身份认证,当身份认证通过后,所述零信任控制器向所述客户端下发客户认证证书;所述零信任控制器对连接的服务器端进行身份认证,当身份认证通过后,所述零信任控制器向所述服务器端下发服务器认证证书;
所述零信任控制器加载管理员安全策略,所述零信任控制器将加载的所述管理员安全策略转换成本地安全策略,所述零信任控制器将转换的本地安全策略下发至客户端或服务器端,以供客户端或服务器端执行。
2.根据权利要求1所述的基于全节点零信任网关的数据访问处理方法,其特征在于,所述管理员安全策略包括:
允许指定第一服务器访问指定第二服务器的数据库服务;
允许指定第二客户端访问指定第一客户端的RDP服务;
允许指定第二客户端访问指定第二服务器的HTTP服务。
3.根据权利要求2所述的基于全节点零信任网关的数据访问处理方法,其特征在于,所述本地安全策略中:
在所述第一服务器和所述第二服务器之间创建第四加密SSL隧道,所述第四加密SSL隧道同时使用所述第一服务器、所述第二服务器的服务器认证证书进行验证和加密密钥生成;
所述第一服务器和所述第二服务器通过所述第四加密SSL隧道进行数据库访问。
4.根据权利要求3所述的基于全节点零信任网关的数据访问处理方法,其特征在于,所述本地安全策略中:
在所述第一客户端和所述第二客户端之间创建第一加密SSL隧道,所述第一加密SSL隧道同时使用所述第一客户端、所述第二客户端的客户认证证书进行验证和隧道加密密钥生成;
所述第一客户端和所述第二客户端通过所述第一加密SSL隧道进行RDP访问。
5.根据权利要求4所述的基于全节点零信任网关的数据访问处理方法,其特征在于,所述本地安全策略中:
在所述第二客户端到所述零信任网关生成第二加密SSL隧道,所述第二加密SSL隧道同时使用所述第二客户端的客户认证证书和所述零信任网关的网关认证证书,进行验证和隧道加密密钥生成。
6.根据权利要求5所述的基于全节点零信任网关的数据访问处理方法,其特征在于,在所述第二服务器到所述零信任网关生成第三加密SSL隧道,所述第三加密SSL隧道同时使用所述第二服务器的服务器认证证书和所述零信任网关的网关认证证书,进行验证和隧道加密密钥生成;
所述第二客户端到所述第二服务器的HTTP访问,通过所述第二加密SSL隧道先到达所述零信任网关,所述零信任网关对隧道数据进行验证和访问控制策略匹配后,将数据转入到所述第三加密SSL隧道,再传递到所述第二服务器。
7.基于全节点零信任网关的数据访问处理系统,其特征在于,包括:
网络信息上报模块,用于通过零信任控制器接收零信任网关上报的网络信息;
网关认证证书下发模块,用于所述零信任控制器下发网关认证证书给所述零信任网关;
客户认证证书处理模块,用于所述零信任控制器对连接的客户端进行身份认证,当身份认证通过后,所述零信任控制器向所述客户端下发客户认证证书;
服务器认证证书处理模块,用于所述零信任控制器对连接的服务器端进行身份认证,当身份认证通过后,所述零信任控制器向所述服务器端下发服务器认证证书;
安全策略处理模块,用于所述零信任控制器加载管理员安全策略,所述零信任控制器将加载的所述管理员安全策略转换成本地安全策略,所述零信任控制器将转换的本地安全策略下发至客户端或服务器端,以供客户端或服务器端执行。
8.根据权利要求7所述的基于全节点零信任网关的数据访问处理系统,其特征在于,所述安全策略处理模块中,所述管理员安全策略包括:
允许指定第一服务器访问指定第二服务器的数据库服务;
允许指定第二客户端访问指定第一客户端的RDP服务;
允许指定第二客户端访问指定第二服务器的HTTP服务。
9.根据权利要求8所述的基于全节点零信任网关的数据访问处理系统,其特征在于,所述安全策略处理模块包括:
第四加密SSL隧道创建子模块,用于在所述第一服务器和所述第二服务器之间创建第四加密SSL隧道,所述第四加密SSL隧道同时使用所述第一服务器、所述第二服务器的服务器认证证书进行验证和加密密钥生成;
所述第一服务器和所述第二服务器通过所述第四加密SSL隧道进行数据库访问;
第一加密SSL隧道创建子模块,用于在所述第一客户端和所述第二客户端之间创建第一加密SSL隧道,所述第一加密SSL隧道同时使用所述第一客户端、所述第二客户端的客户认证证书进行验证和隧道加密密钥生成;
所述第一客户端和所述第二客户端通过所述第一加密SSL隧道进行RDP访问。
10.根据权利要求9所述的基于全节点零信任网关的数据访问处理系统,其特征在于,所述安全策略处理模块包括:
第二加密SSL隧道生成子模块,用于在所述第二客户端到所述零信任网关生成第二加密SSL隧道,所述第二加密SSL隧道同时使用所述第二客户端的客户认证证书和所述零信任网关的网关认证证书,进行验证和隧道加密密钥生成;
第三加密SSL隧道生成子模块,用于在所述第二服务器到所述零信任网关生成第三加密SSL隧道,所述第三加密SSL隧道同时使用所述第二服务器的服务器认证证书和所述零信任网关的网关认证证书,进行验证和隧道加密密钥生成;
所述第二客户端到所述第二服务器的HTTP访问,通过所述第二加密SSL隧道先到达所述零信任网关,所述零信任网关对隧道数据进行验证和访问控制策略匹配后,将数据转入到所述第三加密SSL隧道,再传递到所述第二服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311147444.3A CN117201112B (zh) | 2023-09-06 | 2023-09-06 | 基于全节点零信任网关的数据访问处理方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311147444.3A CN117201112B (zh) | 2023-09-06 | 2023-09-06 | 基于全节点零信任网关的数据访问处理方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117201112A true CN117201112A (zh) | 2023-12-08 |
| CN117201112B CN117201112B (zh) | 2024-06-04 |
Family
ID=89002904
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311147444.3A Active CN117201112B (zh) | 2023-09-06 | 2023-09-06 | 基于全节点零信任网关的数据访问处理方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117201112B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112016073A (zh) * | 2020-08-31 | 2020-12-01 | 北京中软华泰信息技术有限责任公司 | 一种服务器零信任连接架构的构建方法 |
| CN113783871A (zh) * | 2021-09-09 | 2021-12-10 | 云南电网有限责任公司信息中心 | 一种采用零信任架构的微隔离防护系统及其防护方法 |
| US20230034771A1 (en) * | 2021-07-29 | 2023-02-02 | Raytheon Company | Auditable and tamper-resistant remote zero trust access |
| CN115834211A (zh) * | 2022-11-24 | 2023-03-21 | 南京邮电大学 | 一种基于软件定义边界的CoAP网络安全访问方法 |
| CN116582541A (zh) * | 2023-05-12 | 2023-08-11 | 苏州云至深技术有限公司 | 针对零信任sdp系统的代理方法、域名解析服务器和网关 |
| CN116707807A (zh) * | 2023-08-09 | 2023-09-05 | 中电信量子科技有限公司 | 分布式零信任微隔离访问控制方法及系统 |
-
2023
- 2023-09-06 CN CN202311147444.3A patent/CN117201112B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112016073A (zh) * | 2020-08-31 | 2020-12-01 | 北京中软华泰信息技术有限责任公司 | 一种服务器零信任连接架构的构建方法 |
| US20230034771A1 (en) * | 2021-07-29 | 2023-02-02 | Raytheon Company | Auditable and tamper-resistant remote zero trust access |
| CN113783871A (zh) * | 2021-09-09 | 2021-12-10 | 云南电网有限责任公司信息中心 | 一种采用零信任架构的微隔离防护系统及其防护方法 |
| CN115834211A (zh) * | 2022-11-24 | 2023-03-21 | 南京邮电大学 | 一种基于软件定义边界的CoAP网络安全访问方法 |
| CN116582541A (zh) * | 2023-05-12 | 2023-08-11 | 苏州云至深技术有限公司 | 针对零信任sdp系统的代理方法、域名解析服务器和网关 |
| CN116707807A (zh) * | 2023-08-09 | 2023-09-05 | 中电信量子科技有限公司 | 分布式零信任微隔离访问控制方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117201112B (zh) | 2024-06-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Singer et al. | Design and comparison of command shaping methods for controlling residual vibration | |
| US10341118B2 (en) | SSL gateway with integrated hardware security module | |
| US9286465B1 (en) | Method and apparatus for federated single sign on using authentication broker | |
| US20180375648A1 (en) | Systems and methods for data encryption for cloud services | |
| US10218686B2 (en) | Dynamically managing, from a centralized service, valid cipher suites allowed for secured sessions | |
| EP3633949A1 (en) | Method and system for performing ssl handshake | |
| US20120167196A1 (en) | Automatic Virtual Private Network | |
| JP2023547630A (ja) | ポスト量子暗号を使用する証明書ベースのセキュリティ | |
| Rui et al. | Research on secure transmission and storage of energy IoT information based on Blockchain | |
| Tomanek et al. | Security and privacy of using AllJoyn IoT framework at home and beyond | |
| JP2022537739A (ja) | 管理されたコンテナ環境における共有機密情報へのアクセス方法、システム、プログラム | |
| US9882957B1 (en) | Client-side endpoint specification in a network service request | |
| CN115473648A (zh) | 一种证书签发系统及相关设备 | |
| EP3528455A1 (en) | Firewall incorporating network security information | |
| Manzoor | Securing device connectivity in the industrial internet of things (IoT) | |
| JP7145308B2 (ja) | コンピューティング環境でオンプレミスの秘密を複製する安全な方法 | |
| CN113206815B (zh) | 用于加解密的方法、可编程交换机和计算机可读存储介质 | |
| CN117201112B (zh) | 基于全节点零信任网关的数据访问处理方法及系统 | |
| US20230016036A1 (en) | Serverless identity management | |
| US20200100107A1 (en) | Securing public wlan hotspot network access | |
| WO2016082363A1 (zh) | 用户数据管理方法及装置 | |
| US20230109755A1 (en) | Remote command access in a hybrid cloud to on-premises devices | |
| US11520937B2 (en) | NVMe over fabrics authentication system | |
| CN112787819B (zh) | 一种工业控制安全通信系统及通信方法 | |
| US20240022555A1 (en) | Protecting non-http and tcp/udp applications in a ztna/webvpn environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB03 | Change of inventor or designer information |
Inventor after: Bai Hongxia Inventor after: Ma Na Inventor after: Wang Xiao Inventor after: Bai Jinlong Inventor after: Xu Jiannan Inventor after: Li Hailiang Inventor after: Zhen Xiaoli Inventor before: Bai Jie Inventor before: Ma Na Inventor before: Wang Xiao Inventor before: Bai Jinlong Inventor before: Xu Jiannan Inventor before: Li Hailiang Inventor before: Zhen Xiaoli |
|
| CB03 | Change of inventor or designer information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |