CN117614752B - 一种双层零信任企业生产网安全自组网方法及系统 - Google Patents

一种双层零信任企业生产网安全自组网方法及系统 Download PDF

Info

Publication number
CN117614752B
CN117614752B CN202410098499.8A CN202410098499A CN117614752B CN 117614752 B CN117614752 B CN 117614752B CN 202410098499 A CN202410098499 A CN 202410098499A CN 117614752 B CN117614752 B CN 117614752B
Authority
CN
China
Prior art keywords
new
network
access node
client
new access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202410098499.8A
Other languages
English (en)
Other versions
CN117614752A (zh
Inventor
蒋驰
王达
李国风
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mingyang Dianshi Technology Shenyang Co ltd
Original Assignee
Mingyang Dianshi Technology Shenyang Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mingyang Dianshi Technology Shenyang Co ltd filed Critical Mingyang Dianshi Technology Shenyang Co ltd
Priority to CN202410098499.8A priority Critical patent/CN117614752B/zh
Publication of CN117614752A publication Critical patent/CN117614752A/zh
Application granted granted Critical
Publication of CN117614752B publication Critical patent/CN117614752B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/659Internet protocol version 6 [IPv6] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/121Timestamp

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开一种双层零信任企业生产网安全自组网方法及系统,其中,所述系统包括第一层零信任管理平台、第二层零信任管理平台、服务端Server和已有节点Nodealready,第一层零信任管理平台、第二零信任管理平台分别与服务端Server和已有节点Nodealready通信连接,服务端Server与已有节点Nodealready通信连接,其中,至少一个已有节点Nodealready安装有入网客户端Client2。本发明通过零信任与自组网结合,构建安全自组网,增加了网络通信的灵活性和异构。

Description

一种双层零信任企业生产网安全自组网方法及系统
技术领域
本发明涉及网络通信技术领域,具体地说是一种双层零信任企业生产网安全自组网方法及系统。
背景技术
虽然企业园区已经采取了网络安全措施,比如防火墙和入侵检测,但仍存在网络安全问题。许多企业和园区的安全防范水平较低,操作不规范,缺乏有效的技术支持和培训,容易遭受攻击。
缺乏安全教育和及时的安全预警机制。许多企业和园区没有为员工提供足够的安全教育,缺乏安全意识和防范知识。同时,缺乏及时的安全预警机制,导致无法及时应对安全事件。
网络设备过度使用。由于资源有限,网络设备经常被过度使用。然而,长时间运行会导致设备故障,攻击者可以利用设备漏洞进行恶意攻击。
企业园区信息网络的异构程度较高。园区网络类型和基础设施类型多样化,硬件设备不同。网络包括通信网络、视频网络、物联网和生产专用网络,节点包括个人计算机、移动终端、路由器和服务器等。
园区网络缺乏全局视图。不断变化的人员态势给园区信息网络的管理带来挑战,信息管理中心难以获取全局视图,难以监控和管理园区信息网络。
管控粒度粗糙。在企业园区网络中,往往存在着管控粒度粗糙的问题。这意味着网络安全管理和控制措施无法实现对细粒度的控制和保护。例如,企业园区可能只有一个共享的防火墙,无法对不同部门或个体用户之间的网络活动进行个别的精确管控。
企业网络边界模糊。在现代企业园区网络中,企业的网络边界变得模糊不清。这是因为企业内外部的网络环境和资源共享日益增多,例如云计算、移动办公和供应链合作等。这导致了园区内外部网络之间的互相连接和数据交换,进而增加了网络安全风险和攻击面。
人员和角色的变化度高。园区内的人员和角色经常发生变化,这增加了网络安全管理的复杂性。员工离职或调岗、新员工的加入以及企业合作伙伴的变动都可能导致园区网络中的权限管理和访问控制失衡。这会给企业园区网络带来安全漏洞,使得未经授权的人员可能获得对敏感信息和资源的访问权限。
IPv6是互联网协议的第六个版本。它被设计用于取代当前使用的第四个版本IPv4,IPv6本身具有更大的地址空间、提升的网络效率、增强的组播、更高的安全性、更好的扩充性、规范的头部格式等优势。但目前企业园区网络中仍存在大量网络、应用、终端不支持IPv6,且无法升级,这导致IPv6无法真正在企业园区网络中广泛应用,IPv6原生的优势也无法体现。
发明内容
为此,本发明所要解决的技术问题在于提供一种双层零信任企业生产网安全自组网方法及系统,通过零信任与自组网结合,构建安全自组网,增加了网络通信的灵活性和异构型。
为解决上述技术问题,本发明提供如下技术方案:
一种双层零信任企业生产网安全自组网方法,新接入节点Nodenew接入企业生产网时,通过如下步骤实现自组网:
S000)在新接入节点Nodenew上安装入网客户端Client,如果新接入节点Nodenew上可以安装入网客户端Client1,则跳转至步骤S101)继续执行,反之,则跳转至步骤S201)执行;其中,入网客户端Client1为新接入节点Nodenew开辟可信执行环境,并在开辟可信执行环境执行钩子程序;
S101)在新接入节点Nodenew上安装入网客户端Client1后,新接入节点Nodenew通过入网客户端Client1向第一层零信任管理平台发起安全认证请求Request1,所述安全认证请求Request1中携带有新接入节点Nodenew的基本信息,新接入节点Nodenew的基本信息包括MAC地址、设备类型、使用者验证信息、使用者角色和所在网络;
S102)第一层零信任管理平台根据安全认证请求Request1对新接入节点Nodenew进行安全认证,验证通过,则为新接入节点Nodenew下发IPv6地址、业务表、所属网域、时戳、所属级别和管理级别,并同时根据第一层零信任管理平台为新接入节点Nodenew下发的IPv6地址和新接入节点Nodenew基本信息生成唯一一条零信任安全控制表并存储在第一层零信任管理平台,且入网客户端Client1将业务表、所属网域、时戳、所属级别和管理级别存储在入网客户端Client1的可信执行环境内,将针对新接入节点Nodenew经由入网客户端Client1的访问的防火墙设置设置为允许访问,反之,向新接入节点Nodenew发送安全认证不通过的消息;其中,第一层零信任管理平台为新接入节点Nodenew下发的IPv6地址在企业生产网中具有唯一性,第一层零信任管理平台为新接入节点Nodenew下发的业务表、所属网域、时戳、所属级别和管理级别相对于新接入节点Nodenew而言均具有唯一性;防火墙为安装设置在新接入节点Nodenew上的防火墙或单独设置的防火墙或安装设置在第二层零信任管理平台上的防火墙;
S103)通过认证后,新接入节点Nodenew通过入网客户端Client1向第二层零信任管理平台发送身份认证请求Request2,身份认证请求Request2携带有新接入节点Nodenew的基本信息和第一层零信任管理平台分配给新接入节点Nodenew的IPv6地址;
S104)第二层零信任管理平台根据身份认证请求Request2向新接入节点Nodenew下发身份标识和认证参数P1,认证参数P1包括公钥矩阵、新接入节点Nodenew组合公钥和新接入节点Nodenew私钥,入网客户端Client1将公钥矩阵和新接入节点Nodenew私钥存放在入网客户端Client1的可信执行环境内;
S105)新接入节点Nodenew通过入网客户端Client1向服务端Server发起服务请求RequestS1,所述服务请求RequestS1中需带有源IP地址、目标IP地址和第二层零信任平台向新接入节点Nodenew下发的身份标识与组合公钥,以及由入网客户端Client1中可信执行环境输出的加密签名信息;其中,在服务请求RequestS1中,源IP地址是第一层零信任平台向新接入节点Nodenew下发的IPv6地址,目的IP地址是第一层零信任平台向服务端Server下发的IPv6地址;
S106)服务端Server对新接入节点Nodenew进行验证,验证通过后,新接入节点Nodenew与服务端Server建立连接并进行通信;
S201)新接入节点Nodenew通过已组网接入企业生产网且已安装有入网客户端Client2的已有节点Nodealready接入企业生产网并通过入网客户端Client2向第一层零信任管理平台发送安全认证请求Request3,安全认证请求Request3中携带有新接入节点Nodenew的基本信息、已有节点Nodealready的基本信息和第一层零信任管理平台为已有节点Nodealready下发的IPv6地址,新接入节点Nodenew的基本信息与步骤S101)中的新接入节点Nodenew的基本信息相同,已有节点Nodealready的基本信息包括MAC地址、设备类型、使用者验证信息、使用者角色和所在网络;
S202)第一层零信任管理平台根据安全认证请求Request3对新接入节点Nodenew进行安全认证,验证通过,则为新接入节点Nodenew下发IPv6地址、业务表、所属网域、时戳、所属级别和管理级别,且新接入节点Nodenew通过入网客户端Client2接收第一层零信任管理平台下发的IPv6地址、业务表、所属网域、时戳、所属级别和管理级别,并同时根据第一层零信任管理平台为新接入节点Nodenew下发的IPv6地址、新接入节点Nodenew基本信息、已有节点Nodealready的基本信息和第一层零信任管理平台为已有节点Nodealready下发的IPv6地址生成唯一一条零信任安全控制表并存储在第一层零信任管理平台,且入网客户端Client2将业务表、所属网域、时戳、所属级别和管理级别存储在入网客户端Client2的可信执行环境内,将针对新接入节点Nodenew经由入网客户端Client2的访问的防火墙设置设置为允许访问,反之,向新接入节点Nodenew发送安全认证不通过的消息;其中,第一层零信任管理平台为新接入节点Nodenew下发的IPv6地址在企业生产网中具有唯一性,第一层零信任管理平台为新接入节点Nodenew下发的业务表、所属网域、时戳、所属级别和管理级别相对于新接入节点Nodenew而言均具有唯一性;防火墙为安装设置在已有节点Nodealready上的防火墙或单独设置的防火墙或安装设置在第二层零信任管理平台上的防火墙;
S203)通过认证后,新接入节点Nodenew通过入网客户端Client2向第二层零信任管理平台发送身份认证请求Request4,身份认证请求Request4携带有新接入节点Nodenew的基本信息、已有节点Nodealready的基本信息和第一层零信任管理平台为新接入节点Nodenew下发的IPv6地址;
S204)第二层零信任管理平台根据身份认证请求Request4向新接入节点Nodenew下发身份标识和认证参数P2,认证参数P2包括公钥矩阵、新接入节点Nodenew组合公钥和新接入节点Nodenew私钥,入网客户端Client2将公钥矩阵和新接入节点Nodenew私钥存放在入网客户端Client2的可信执行环境内;
S205)新接入节点Nodenew通过入网客户端Client2向服务端Server发起服务请求RequestS2,所述服务请求RequestS2中需带有源IP地址、目标IP地址和第二层零信任平台向新接入节点Nodenew下发的身份标识与组合公钥,以及由入网客户端Client2中可信执行环境输出的加密签名信息;其中,在服务请求RequestS2中,源IP地址是第一层零信任平台向新接入节点Nodenew下发的IPv6地址,目的IP地址是第一层零信任平台向服务端Server下发的IPv6地址;
S206)服务端Server对新接入节点Nodenew进行验证,验证通过后,新接入节点Nodenew与服务端Server建立连接并进行通信。
本发明中,入网客户端Client1和入网客户端Client2为同一种入网客户端Client,区别点仅在是否安装在新接入节点Nodenew上。入网客户端Client和服务端Server是同一种安全自组网入网系统,区别在于入网客户端Client安装于客户节点上,服务端Server安装于服务节点上,入网验证方式相同,由于服务端Server和服务节点相对固化,在网络内为有线固定接入,不存在频繁的移动性,可在安全入网后,时戳长期有效。入网客户端Client或服务端Server与第一层零信任管理平台或第二零信任管理平台之间的通信为以端到端密文形式进行的通信。
上述方法,在步骤S105)中,由新接入节点Nodenew中可信执行环境输出的加密签名信息通过如下操作获得:
通过入网客户端Client1向可信执行环境中输入第一层零信任管理平台为新接入节点Nodenew下发的IPv6地址,入网客户端Client1在可信执行环境中通过散列函数计算由时戳、业务唯一标识ID和新接入节点Nodenew的IPv6地址构成的组合的散列函数值,并使用新接入节点Nodenew私钥对该散列函数值和时戳进行加密形成加密签名信息。
上述方法,在步骤S205)中,由入网客户端Client2中可信执行环境输出的加密签名信息:
新接入节点Nodenew通过入网客户端Client2向入网客户端Client2所在可信执行环境输入第一层零信任管理平台为新接入节点Nodenew下发的IPv6地址,入网客户端Client2在该可信执行环境中通过散列函数计算由时戳、业务唯一标识ID和新接入节点Nodenew的IPv6地址构成的组合的散列函数值,并使用新接入节点Nodenew私钥对该散列函数值和时戳进行加密形成加密签名信息。
上述方法,当新接入节点Nodenew为终端设备且与企业生产网内其他终端进行通信时,在将各自的IPv6地址作为网络位置进行通信的基础上,将各自的身份标识加入到IPv6报文的流标签字段中。
上述方法,在新接入节点Nodenew与服务端Server连接时,入网客户端Client1或入网客户端Client2先对新接入节点Nodenew时戳有效性进行验证,如果时戳失效,则客户端Client1或入网客户端Client2拒绝发起连接,反之,当新接入节点Nodenew上安装有入网客户端Client1时,则入网客户端Client1继续对新接入节点Nodenew所属网域及所要访问的业务进行验证,当新接入节点Nodenew上未安装有入网客户端Client1时,则由入网客户端Client2继续对新接入节点Nodenew所属网域及所要访问的业务以及已有节点Nodealready所属网域及可访问业务进行验证。
上述方法,当新接入节点Nodenew无法安装入网客户端Client1且通过已有节点Nodealready的入网客户端Client2接入企业生产网时,新接入节点Nodenew仅作为子节点且只有唯一的父节点。
一种双层零信任企业生产网安全自组网系统,新接入节点Nodenew上述方法和所述双层零信任企业生产网安全自组网系统接入企业生成网;所述双层零信任企业生产网安全自组网系统包括第一层零信任管理平台、第二层零信任管理平台、服务端Server和已有节点Nodealready,第一层零信任管理平台、第二零信任管理平台分别与服务端Server和已有节点Nodealready通信连接,服务端Server与已有节点Nodealready通信连接,其中,至少一个已有节点Nodealready安装有入网客户端Client2
上述系统,第一层零信任管理平台和第二层零信任管理平台设置在同一个服务器上。
上述系统,第一层零信任管理平台和第二层零信任管理平台分别设置在不同的服务器上。
上述系统,企业生产网中作为父节点的已有节点Nodealready为安装有入网客户端Client2的已有节点Nodealready
本发明的技术方案取得了如下有益的技术效果:
1.IPv6技术与零信任技术结合,解决IPv4应用、网络、终端在无法升级IPv6的情况下,也可以接入IPv6网络。
2.传统协议转换仅是通过网关形式,终端到网关仍然维持原有IPv4协议。通过IPv6与客户端结合,实现终端层级的IPv6转换,建立企业园区网络IPv6端到端的能力。
3.通过隐藏原有地址,减少企业园区网受到攻击的暴露面,增加网络的隐秘性和安全性。
4.创新性的定义了IPv6流标签的使用,通过身份标识实现身份与位置分离,解决IP地址二义性问题,提升运行效率和安全性。
5.零信任针对于企业园区网络安全是有提升,但缺乏一定的灵活度,针对于物联网,或者无固定网络接入点的情况,通过零信任与自组网结合,构建安全自组网,增加了网络通信的灵活性和异构型。
6.创新性的将IPv6、零信任进行结合,构建灵活异构的多接入安全自组网网络,精细化管理每一个网络、终端、角色、应用,提升了企业园区网络的安全性,解决企业网络边界模糊,内部安全防护难等问题。
7.为进一步提升安全性,可设置安全控制规则,通过可设置IPv6地址存活时间、IPv6变化分配规则,形成动态IP,进一步提升企业园区网中物联网终端。
8.解决复杂网络、大量不同种类终端、多类型业务角色访问控制难管理的问题,实现精细化管理。
9.实时持续的安全评估和动态访问控制,有效保护企业园区网系统资产安全。
10.避免单点故障以及单层认证风险,创新性的构建双层零信任认证防护,提升安全性以及稳定性。
11.引入密钥认证,提升零信任安全认证能力,保证安全自组网安全传输。
12.避免密钥存储的压力,通过创新性的构建密钥生成方式。生成私钥矩阵和组合矩阵,通过私钥矩阵派生公钥矩阵;通过客户节点唯一IPv6地址与私钥矩阵生成标识私钥;通过唯一IPv6地址与组合矩阵生成组合公钥和组合私钥;通过组合私钥和标识私钥生成客户端私钥;给客户节点的客户端下发公钥矩阵、组合公钥、客户端私钥。只需要保存私钥矩阵和组合矩阵就可以生成大量密钥,避免存储大量密钥,同时通过组合矩阵也避免生成重复密钥,保证密钥生成的健壮性。
13.创新性的解密方式,服务端接收客户端的信息,向服务端可信执行环境输入客户端的IPv6地址、客户端的组合公钥、客户端的签名信息。在服务端可信执行环境中,通过客户端的IPv6地址和公钥矩阵计算出标识公钥,通过标识公钥和组合公钥计算出客户端公钥。避免直接传输客户端公钥而造成信息泄露,通过有限的信息在可信执行环境中计算客户端公钥继续解密。
14.实现任意零信任安全自组网节点可以在没有对方客户端公钥的情况下进行验证安全性,实现安全认证。
15.除初始化平台下发参数,客户端和服务端相互验证都是自发性的,避免传统形式中心化的验证方式,形成去中心化的验证形式,简单高效,避免单点故障。
附图说明
图1为本发明中双层零信任企业生产网安全自组网系统的工作原理图;
图2为本发明中新接入节点Nodenew可安装入网客户端Client时组网流程示意图;
图3为本发明中新接入节点Nodenew不可安装入网客户端Client时组网流程示意图;
图4为利用本发明进行业务资源服务访问的示意图。
具体实施方式
下面结合示例,针对本发明进行进一步说明。
如图1所示,本发明双层零信任企业生产网安全自组网系统,包括第一层零信任管理平台、第二层零信任管理平台、服务端Server和已有节点Nodealready,第一层零信任管理平台、第二零信任管理平台分别与服务端Server和已有节点Nodealready通信连接,服务端Server与已有节点Nodealready通信连接,其中,至少一个已有节点Nodealready安装有入网客户端Client2。图1中,直线箭头表示的是新接入节点Nodenew可以安装入网客户端Client的情况下进行组网的连线,曲线箭头表示的是新接入节点Nodenew不可安装入网客户端Client的情况下进行组网的连线。
其中,第一层零信任管理平台和第二层零信任管理平台可以设置在同一个服务器上也可以分别设置在不同的服务器上,而且企业生产网中作为父节点的已有节点Nodealready为安装有入网客户端Client2的已有节点Nodealready
本发明中,第一层零信任管理平台包括至少一个处理器和存储器,第二层零信任管理平台也包括至少一个处理器和存储器。
其中,第一层零信任管理平台的处理器主要用于执行如下工作:
(1)设置、查看设置可信网络类型、可信终端类型、业务资源以及安全控制规则,根据新接入节点Nodenew的基本信息对新接入节点Nodenew安全认证。
(2)在新接入节点Nodenew通过安全认证后,根据新接入节点Nodenew的设备类型、使用者角色和所在网络生成对应可访问业务资源的表作为业务表;
(3)生成新接入节点Nodenew的IPv6地址、业务表、所属网域、时戳、所属级别和管理级别并下发至入网客户端Client或服务端Server,其中,入网客户端Client包括入网客户端Client1和入网客户端Client2
(4)生成第一层零信任管理平台为新接入节点Nodenew下发的IPv6地址所对应的零信任安全控制表;
(5)查询并更新第一层零信任管理平台为新接入节点Nodenew下发的IPv6地址以及该IPv6地址所对应的零信任安全控制表;
(6)执行企业生产网中已有设备防护联动;
(7)为服务端Server所涉及的每一个业务生成一个唯一的业务标识ID;
(8)设置、查看安全控制规则,验证安全性,针对某一安全风险可以根据安全控制规则设置零信任安全控制表对应安全风险等级。
第一层零信任管理平台的存储器主要用于存储根据新接入节点Nodenew的设备类型、使用者角色和所在网络以及对应的业务表进行预设的预设数据,以及存储IPv6地址池、可信网络类型、可信终端类型、业务资源、安全控制规则及与第一层零信任管理平台为新接入节点Nodenew下发的IPv6地址相对应的零信任安全控制表。
第二层零信任管理平台的处理器主要用于生成身份标识、公钥矩阵、私钥矩阵和组合矩阵,以及根据第一层零信任管理平台为新接入节点Nodenew下发的IPv6地址与私钥矩阵生成标识私钥,并根据组合矩阵和第一层零信任管理平台为新接入节点Nodenew下发的IPv6地址生成组合私钥和新接入节点Nodenew组合公钥,通过组合私钥和标识私钥生成新接入节点Nodenew私钥,然后向入网客户端Client或服务端Server下发公钥矩阵、新接入节点Nodenew组合公钥和新接入节点Nodenew私钥,还用于根据身份标识设置服务质量优先级。
第二层零信任管理平台的存储器主要用于存储私钥矩阵和组合矩阵以及通过私钥矩阵派生的公钥矩阵。当根据某种网络、某种终端、某种角色可访问的业务资源的重要程度设置20位的优先级别身份标识时,将20位的优先级别身份标识保存在第二层零信任管理平台的存储器内。
本发明中,私钥矩阵、公钥矩阵和组合矩阵具有全局唯一性,即私钥矩阵、公钥矩阵和组合矩阵在本发明双层零信任企业生产网安全自组网系统中具有唯一性,其中,入网客户端Client或服务端Server所拥有的公钥矩阵为相同的公钥矩阵,其目的是为了便于无需过多信息,客户端Client或服务端Server便可生成发起请求端的公钥,进而进行安全认证,形成去中心化的分布式验证方式,避免中心化带来的单点故障性能瓶颈问题,提升验证效率。
入网客户端Client内置有钩子程序,并可开辟可信执行环境以及负责数据传输、计算、传输、连接和管理,其中,管理是指防止篡改入网客户端Client内部数据、防止破解入网客户端Client非可见执行环境、防止直接查看入网客户端Client可执行环境数据和在卸载入网客户端Client时清空数据;服务端Server也内置有钩子程序,并可开辟可信执行环境以及负责数据传输、计算、传输、连接和管理,其中,管理是指防止篡改服务端Server内部数据、防止破解服务端Server非可见执行环境、防止直接查看服务端Server可执行环境数据和在卸载服务端Server时清空数据。
入网客户端Client的钩子程序运行在可信执行环境中,可以防止入网客户端Client的数据被篡改或者入网客户端Client被卸载时存在数据残留,而入网客户端Client所在的可信执行环境为入网客户端Client在可安装入网客户端Client的节点(包括新接入节点Nodenew和已有节点Nodealready)内开辟的且该节点不可直接查看、增加、删除、篡改、验证和计算的可信任执行环境,可信执行环境对外为黑盒状态,如果要在可信执行环境内进行查看、增加、删除、修改、验证和计算,必须通过入网客户端Client发起指令并通过特定的接口执行,执行后可信执行环境通过特定的接口将执行结果输出。本发明中,入网客户端Client进行的数据传输是接入企业生产网的节点(包括新接入节点Nodenew和已有节点Nodealready)通过入网客户端Client进行的数据传输,而且在本发明的企业生产网的安全自组网部分,接入企业生产网的节点(包括新接入节点Nodenew和已有节点Nodealready)通过入网客户端Client的数据传输功能进行通信;入网客户端Client还可以进行地址转换,将第一层零信任管理平台分配的IPv6地址与现有的IPv4进行绑定转换,对外通信时,使用IPv6地址,安装有入网客户端Client的节点(包括新接入节点Nodenew和已有节点Nodealready)内部进行交互时,则使用本身的IPv4地址;入网客户端Client存储入第一层零信任管理平台分配的IPv6地址以及新接入节点Nodenew的身份标识与组合公钥,同时在可信执行环境内存储业务表、所属网域、时戳、所属级别、管理级别、公钥矩阵和接入企业生产网的节点(包括新接入节点Nodenew和已有节点Nodealready)的私钥;当安装有入网客户端Client的节点作为父节点时,根据管理级别,安装有入网客户端Client的节点通过入网客户端Client实时更新已连接的子节点数量,并与可信执行环境中管理级别所对应的数量对比,如果通过该节点接入的子节点数量达到上限,则停止子节点的接入,直至有已连接的子节点下线或退出连接,子节点接入数量已达上限的状态才可以解除,允许新的子节点接入。
而当安装有入网客户端Client且具备有IPv6地址的节点强行卸载入网客户端Client时,入网客户端Client将会在可信执行环境中执行入网客户端Client的钩子程序,清除包括通用环境中的身份标识、组合公钥以及可信执行环境中的业务表、所属网域、时戳、所属级别、管理级别、公钥矩阵和接入企业生产网的节点(包括新接入节点Nodenew和已有节点Nodealready)的私钥,不删除IPv6地址是防止第一层零信任管理平台分配的IPv6地址已作为节点自身唯一通信通信地址,避免影响节点正常访问公共非限制网络。
服务端Server的钩子程序运行在可信执行环境中,可以防止服务端Server的数据被篡改或者服务端Server被卸载时存在数据残留,而服务端Server所在的可信执行环境为服务端Server在可安装服务端Server的服务节点内开辟的且该服务节点不可直接查看、增加、删除、篡改、验证和计算的可信任执行环境,可信执行环境对外为黑盒状态,如果要在可信执行环境内进行查看、增加、删除、修改、验证和计算,必须通过服务端Server发起指令并通过特定的接口执行,执行后可信执行环境通过特定的接口将执行结果输出。本发明中,服务端Server进行的数据传输是服务节点通过服务端Server进行的数据传输,而且在本发明的企业生产网的安全自组网部分,服务节点通过服务端Server的数据传输功能进行通信。而服务端Server的存储除存储第一层零信任管理平台下发给入网服务端Server的IPv6地址、身份标识和组合公钥,同时在可信执行环境内存储业务表、所属网域、时戳、所属级别、管理级别、公钥矩阵和入网服务节点的私钥之外,服务节点还通过服务端Server在可信执行环境内存储服务节点内自身所承载业务资源,业务资源中每一个业务对应的唯一业务标识ID。
当一个终端以新接入节点Nodenew与现有企业生产网进行自组网时,为了现有企业生产网的安全,通常需要对该终端进行安全性验证,并对该终端与现有企业生产网之间的通信连接进行安全性防护。为此,本发明提供一种双层零信任企业生产网安全自组网方法,以实现新接入节点Nodenew与现有企业生产网的自组网。
本发明中双层零信任企业生产网安全自组网方法的关键是入网客户端充当新接入节点Nodenew与现有企业生产网之间的通信代理角色,而鉴于入网客户端存在可以安装在新接入节点Nodenew上和不可以安装到新接入节点Nodenew上的两种情况,本发明将在实施例1和实施例2中对这两种情况分别进行说明。
实施例1
如图2所示,当新接入节点Nodenew上可以安装入网客户端Client时,新接入节点Nodenew接入企业生产网时,通过如下步骤实现自组网:
S100)在新接入节点Nodenew上安装入网客户端Client1,然后跳转至步骤S101)继续执行;其中,入网客户端Client1为新接入节点Nodenew开辟可信执行环境,并在开辟可信执行环境执行钩子程序;
S101)在新接入节点Nodenew上安装入网客户端Client1后,新接入节点Nodenew通过入网客户端Client1向第一层零信任管理平台发起安全认证请求Request1,所述安全认证请求Request1中携带有新接入节点Nodenew的基本信息,新接入节点Nodenew的基本信息包括MAC地址、设备类型、使用者验证信息、使用者角色和所在网络;
S102)第一层零信任管理平台根据安全认证请求Request1对新接入节点Nodenew进行安全认证,验证通过,则为新接入节点Nodenew下发IPv6地址、业务表、所属网域、时戳、所属级别和管理级别,并同时根据第一层零信任管理平台为新接入节点Nodenew下发的IPv6地址和新接入节点Nodenew基本信息生成唯一一条零信任安全控制表并存储在第一层零信任管理平台,且入网客户端Client1将业务表、所属网域、时戳、所属级别和管理级别存储在入网客户端Client1的可信执行环境内,将针对入新接入节点Nodenew经由网客户端Client1的访问的防火墙设置设置为允许访问,反之,向新接入节点Nodenew发送安全认证不通过的消息;其中,第一层零信任管理平台为新接入节点Nodenew下发的IPv6地址在企业生产网中具有唯一性,第一层零信任管理平台为新接入节点Nodenew下发的业务表、所属网域、时戳、所属级别和管理级别相对于新接入节点Nodenew而言均具有唯一性;防火墙为安装设置在新接入节点Nodenew上的防火墙或单独设置的防火墙或安装设置在第二层零信任管理平台上的防火墙;
S103)通过认证后,新接入节点Nodenew通过入网客户端Client1向第二层零信任管理平台发送身份认证请求Request2,身份认证请求Request2携带有新接入节点Nodenew的基本信息和第一层零信任管理平台分配给新接入节点Nodenew的IPv6地址;
S104)第二层零信任管理平台根据身份认证请求Request2向新接入节点Nodenew下发身份标识和认证参数P1,认证参数P1包括公钥矩阵、新接入节点Nodenew组合公钥和新接入节点Nodenew私钥,入网客户端Client1将公钥矩阵和新接入节点Nodenew私钥存放在入网客户端Client1的可信执行环境内;
S105)新接入节点Nodenew通过入网客户端Client1向服务端Server发起服务请求RequestS1,所述服务请求RequestS1中需带有源IP地址、目标IP地址和第二层零信任平台向新接入节点Nodenew下发的身份标识与组合公钥,以及由入网客户端Client1中可信执行环境输出的加密签名信息;其中,在服务请求RequestS1中,源IP地址是第一层零信任平台向新接入节点Nodenew下发的IPv6地址,目的IP地址是第一层零信任平台向服务端Server下发的IPv6地址;
S106)服务端Server对新接入节点Nodenew进行验证,验证通过后,新接入节点Nodenew与服务端Server建立连接并进行通信。
其中,在步骤S105)中,由新接入节点Nodenew中可信执行环境输出的加密签名信息通过如下操作获得:
通过入网客户端Client1向可信执行环境中输入第一层零信任管理平台为新接入节点Nodenew下发的IPv6地址,入网客户端Client1在可信执行环境中通过散列函数计算由时戳、业务唯一标识ID和新接入节点Nodenew的IPv6地址构成的组合的散列函数值,并使用新接入节点Nodenew私钥对该散列函数值和时戳进行加密形成加密签名信息。
实施例2
如图3所示,当新接入节点Nodenew上不可以安装入网客户端时,新接入节点Nodenew接入企业生产网时,通过如下步骤实现自组网:
S201)新接入节点Nodenew通过已组网接入企业生产网且已安装有入网客户端Client2的已有节点Nodealready接入企业生产网并通过入网客户端Client2向第一层零信任管理平台发送安全认证请求Request3,安全认证请求Request3中携带有新接入节点Nodenew的基本信息、已有节点Nodealready的基本信息和第一层零信任管理平台为已有节点Nodealready下发的IPv6地址,新接入节点Nodenew的基本信息与步骤S101)中的新接入节点Nodenew的基本信息相同,已有节点Nodealready的基本信息包括MAC地址、设备类型、使用者验证信息、使用者角色和所在网络;
S202)第一层零信任管理平台根据安全认证请求Request3对新接入节点Nodenew进行安全认证,验证通过,则为新接入节点Nodenew下发IPv6地址、业务表、所属网域、时戳、所属级别和管理级别,且新接入节点Nodenew通过入网客户端Client2接收第一层零信任管理平台下发的IPv6地址、业务表、所属网域、时戳、所属级别和管理级别,并同时根据第一层零信任管理平台为新接入节点Nodenew下发的IPv6地址、新接入节点Nodenew基本信息、已有节点Nodealready的基本信息和第一层零信任管理平台为已有节点Nodealready下发的IPv6地址生成唯一一条零信任安全控制表并存储在第一层零信任管理平台,且入网客户端Client2将业务表、所属网域、时戳、所属级别和管理级别存储在入网客户端Client2的可信执行环境内,将针对新接入节点Nodenew经由入网客户端Client2的访问的防火墙设置设置为允许访问,反之,向新接入节点Nodenew发送安全认证不通过的消息;其中,第一层零信任管理平台为新接入节点Nodenew下发的IPv6地址在企业生产网中具有唯一性,第一层零信任管理平台为新接入节点Nodenew下发的业务表、所属网域、时戳、所属级别和管理级别相对于新接入节点Nodenew而言均具有唯一性;防火墙为安装设置在已有节点Nodealready上的防火墙或单独设置的防火墙或安装设置在第二层零信任管理平台上的防火墙;
S203)通过认证后,新接入节点Nodenew通过入网客户端Client2向第二层零信任管理平台发送身份认证请求Request4,身份认证请求Request4携带有新接入节点Nodenew的基本信息、已有节点Nodealready的基本信息和第一层零信任管理平台为新接入节点Nodenew下发的IPv6地址;
S204)第二层零信任管理平台根据身份认证请求Request4向新接入节点Nodenew下发身份标识和认证参数P2,认证参数P2包括公钥矩阵、新接入节点Nodenew组合公钥和新接入节点Nodenew私钥,入网客户端Client2将公钥矩阵和新接入节点Nodenew私钥存放在入网客户端Client2的可信执行环境内;
S205)新接入节点Nodenew通过入网客户端Client2向服务端Server发起服务请求RequestS2,所述服务请求RequestS2中需带有源IP地址、目标IP地址和第二层零信任平台向新接入节点Nodenew下发的身份标识与组合公钥,以及由入网客户端Client2中可信执行环境输出的加密签名信息;其中,在服务请求RequestS2中,源IP地址是第一层零信任平台向新接入节点Nodenew下发的IPv6地址,目的IP地址是第一层零信任平台向服务端Server下发的IPv6地址;
S206)服务端Server对新接入节点Nodenew进行验证,验证通过后,新接入节点Nodenew与服务端Server建立连接并进行通信。
其中,在步骤S205)中,由入网客户端Client2中可信执行环境输出的加密签名信息:
新接入节点Nodenew通过入网客户端Client2向入网客户端Client2所在可信执行环境输入第一层零信任管理平台为新接入节点Nodenew下发的IPv6地址,入网客户端Client2在该可信执行环境中通过散列函数计算由时戳、业务唯一标识ID和新接入节点Nodenew的IPv6地址构成的组合的散列函数值,并使用新接入节点Nodenew私钥对该散列函数值和时戳进行加密形成加密签名信息。
本发明中,为了保证企业生产网中不同类型网络的安全,在第一层零信任管理平台设置可信网络类型、可信终端类型、业务资源以及安全控制规则。其中,可信网络类型根据企业园区网络存在的实际网络,设置规则如互联网、内部管理网络、生产网路、多种业务专网等;可信终端类型根据企业园区网络存在的实际终端,设置规则如电脑、移动终端、生产设备、智能制造设备、摄像头、物联网终端等;可信角色类型根据企业园区网络存在的实际角色,设置规则如访客、普通员工、经理、主管等;业务资源型根据企业园区网络存在的实际业务,设置规则如公共服务系统、管理系统、生产系统,每一个业务资源都对应的业务唯一标识ID;安全控制规则可设置IPv6地址存活时间、IPv6变化分配规则、网络变化频率、可信终端变换频率、可信角色登录频率,例如为保证安全性,终端不可长时间存活固定IPv6地址,且可信网络频繁切换,可信终端频繁切换,不同可信角色频繁使用同一终端,同一可以角色反复切换物理场景等都可能是安全风险,可通过设置安全控制规则进行控制,最大程度缩小安全风险。针对某一安全风险可以根据安全控制规则设置零信任安全控制表对应安全风险等级,例如1分钟内超10次不安全操作将零信任安全控制表中对应的IPv6地址设置从禁用状态,下发禁用状态给终端,禁用对应的IPv6地址,禁用5分钟可自动解禁,当连续3次处于解禁状态,将自动把零信任安全控制表中对应的IPv6地址设置成黑名单状态,下发黑名单状态给终端,终端对应的IPv6地址无法使用,黑名单需要手动解除。
本发明中,第一层零信任管理平台对新接入节点Nodenew的安全认证请求进行判断时,主要是通过将新接入节点Nodenew通过入网客户端Client发送的安全认证请求中所携带的新接入节点Nodenew的基本信息与可信网络类型、可信终端类型、业务资源以及安全控制规则进行匹配的方式验证接入安全性,以确定新接入节点Nodenew是否具备访问权限。如果未通过第一层零信任管理平台的安全性验证,则将新接入节点Nodenew的安全认证请求为非法请求,拒绝新接入节点Nodenew访问企业生产网内的安全自组网的业务,反之,则将新接入节点Nodenew的安全认证请求定义为合法请求,并为新接入节点Nodenew下发系统唯一的IPv6地址、业务表、所属网域、时戳、所属级别和管理级别,同时生成唯一一条与第一层零信任管理平台为新接入节点Nodenew下发的IPv6地址相关的零信任安全控制表并存储在第一层零信任管理平台,且入网客户端Client将业务表、所属网域、时戳、所属级别和管理级别存储在入网客户端Client的可信执行环境内,将针对新接入节点Nodenew经由入网客户端Client的访问的防火墙设置设置为允许访问,其中,当新接入节点Nodenew无法安装入网客户端Client时,可以不为该节点下发所属级别和管理级别,也可以将为该节点下发的所属级别和管理级别设置为最低级别。新接入节点Nodenew通过入网客户端Client接收IPv6地址、业务表、所属网域、时戳、所属级别和管理级别,而入网客户端Client将业务表、所属网域、时戳、所属级别和管理级别存储在入网客户端Client所在的可信执行环境内,同时执行防火墙策略。通过第一层零信任管理平台的安全认证后,新接入节点Nodenew的状态为通过企业生产网安全自组网安全认证且有效的客户节点,并成为安全自组网的网点。其中:
1.业务表为新接入节点Nodenew通过安全认证后可访问的业务资源表,业务表中包含多条业务资源与每条业务资源对应的业务唯一标识ID。
2.所属网域为新接入节点Nodenew通过安全认证后可接入的网域。
3.时戳包含了第一层零信任管理平台为新接入节点Nodenew生成IPv6地址、业务表等信息的时间和新接入节点Nodenew通过安全认证后的新接入节点Nodenew可以接入安全自组网有效时长。新接入节点Nodenew通过入网客户端Client在可信执行环境中实时校验有效时间,若超时,可信执行环境通过接口立即输出新接入节点Nodenew失效,入网客户端Client立即设置所管辖的新接入节点Nodenew为失效状态,同时新接入节点Nodenew通过入网客户端Client向第一层零信任管理平台发送新接入节点Nodenew进行安全认证时所发送的基本信息和唯一的IPv6地址申请续租,第一层零信任管理平台判断是否是可信安全访问,是否具备访问权限,如果未通过第一层零信任管理平台安全认证,则定义为非法请求,将拒绝客户节点访问业务,如果通过第一层零信任管理平台安全认证,则定义为合法请求,并重新下发有效的时戳,新接入节点Nodenew通过入网客户端Client接收最新有效的时戳,并通过入网客户端Client将最新有效的时戳更新存储在可信执行环境。当新接入节点Nodenew为失效状态时,将立即断开所有会话与连接,撤离企业生产环境中的安全自组网,为保证新接入节点Nodenew在安全自组网中的通讯和管理的连续性,可设置自动超时提前续租,保证在还未超时即可提前续租,获得时戳更新。
4.所属级别为新接入节点Nodenew通过安全认证后通过入网客户端Client的向上连接能力,即根据新接入节点Nodenew的基本信息进行判断新接入节点Nodenew接入企业生产网的安全自组网时可同时连接父节点的数量级别,例如可以将所属级别设为高、中、低三级,其中,所属级别为高级的新接入节点Nodenew可同时上联三个父节点,所属级别为中级的新接入节点Nodenew可下联同时管理两个节点,所属级别为低级的新接入节点Nodenew可同时上联一个父节点。而当新接入节点Nodenew向上连接的父节点失效时,所属级别为低级的新接入节点Nodenew立即脱离安全自组网。新接入节点Nodenew可以通过入网客户端Client实时更新已连接的父节点数量,并与可信执行环境中所属级别所对应的数量进行对比,如果已连接的父节点数量达到上限则停止继续连接新的父节点,直至已连接的父节点下线或者退出连接导致已连接父节点数量低于上限,才可以继续进行新的父节点连接。无法安装入网客户端Client的节点则无所属级别或所属级别为最低级别,只能连接唯一的有入网客户端Client的父节点以接入安全自组网。
5.管理级别为新接入节点Nodenew通过安全认证后通过入网客户端Client可以管理节点数量的级别,即根据新接入节点Nodenew的基本信息进行判断新接入节点Nodenew接入企业生产网的安全自组网时可同时管理节点的数量级别,例如可以将管理级别设为高、中、低、无四个级别,管理级别为高级的新接入节点Nodenew可下联同时管理10个节点,管理级别为中级的新接入节点Nodenew可下联同时管理5个节点,管理级别为低级的新接入节点Nodenew可下联同时管理1个节点且仅可作为其他节点在安全自组网移动过程中的中继节点,而管理级别为无级别的新接入节点Nodenew则无法作为安全自组网的接入节点,其中,可同时管理节点的数量包括所有直连子节点的数量。当新接入节点Nodenew作为安全自组网节点管理其他安全自组网节点时,新接入节点Nodenew将成为父节点,则该新接入节点Nodenew管理的节点则成为子节点,而在安全自组网中,每一个子节点都可以拥有多个父节点,每个子节点可以拥有父节点的数量可以通过所属级别进行限定,而且每个新接入节点Nodenew均可以通过其所有的父节点在安全自组网内进行通信。当新接入节点Nodenew作为安全自组网节点对其他安全自组网节点进行管理时,通新接入节点Nodenew过入网客户端Client对已连接的子节点数量进行实时更新,并将已连接的子节点数量与可信执行环境中管理级别所对应的数量进行对比,如果已连接的子节点数量达到上限,则停止子节点的继续接入,直至有已连接的子节点下线或退出连接使得已连接的子节点数量低于上限,才可以继续进行子节点的接入。由于无法安装入网客户端Client的节点无管理级别或者管理级别为最低级别,无法安装入网客户端Client的节点就无法作为其他节点接入安全自组网的接入节点,即无法安装入网客户端Client的节点不能作为父节点。
在新接入节点Nodenew与服务端Server连接时,入网客户端Client1或入网客户端Client2先对新接入节点Nodenew时戳有效性进行验证,如果时戳失效,则客户端Client1或入网客户端Client2拒绝发起连接。可安装入网客户端Client的新接入节点Nodenew通过入网客户端Client1向服务端Server发起请求前,新接入节点Nodenew需要通过入网客户端Client1向入网客户端Client1所在可信执行环境中输入当前新接入节点Nodenew的所在网络和所要请求的业务资源,查看新接入节点Nodenew的所属网域是否包含当前所在网络,如果新接入节点Nodenew的所属网域包含当前所在网络,则进行下一步操作,反之通过可信执行环境接口输出拒绝访问;当新接入节点Nodenew的所属网域包含新接入节点Nodenew当前所在网络,新接入节点Nodenew通过入网客户端Client1向入网客户端Client1所在可信执行环境中输入新接入节点Nodenew要请求的业务资源,可以在可信执行环境中查询新接入节点Nodenew的业务表,如果该业务表中显示新接入节点Nodenew可以访问对应的业务资源,则通过可信执行环境接口输出可访问指令,反之通过可信执行环境接口输出拒绝访问。不可以安装入网客户端Client的新接入节点Nodenew通过已有节点Nodealready上的入网客户端Client2向服务端Server发起请求前,新接入节点Nodenew需要通过入网客户端Client2向入网客户端Client2所在可信执行环境中输入当前新接入节点Nodenew的所在网络和所要请求的业务资源,查看新接入节点Nodenew的所属网域和已有节点Nodealready的所属网域是否包含当前所在网络,如果新接入节点Nodenew的所属网域和已有节点Nodealready的所属网域都包含当前所在网络,则进行下一步操作,反之通过可信执行环境接口输出拒绝访问;当新接入节点Nodenew的所属网域和已有节点Nodealready的所属网域都包含新接入节点Nodenew当前所在网络,新接入节点Nodenew通过入网客户端Client2向入网客户端Client2所在可信执行环境中输入新接入节点Nodenew要请求的业务资源,可以在可信执行环境中查询新接入节点Nodenew的业务表和已有节点Nodealready的业务表,如果新接入节点Nodenew的业务表和已有节点Nodealready的业务表都显示新接入节点Nodenew可以访问对应的业务资源,则通过可信执行环境接口输出可访问指令,反之通过可信执行环境接口输出拒绝访问。
服务端Server接收到服务请求RequestS(包括服务请求RequestS1和服务请求RequestS2)后,向服务端Server可信执行环境输入新接入节点Nodenew的IPv6地址、新接入节点Nodenew的组合公钥以及入网客户端Client输出的签名信息,并在该可信执行环境中利用公钥矩阵和新接入节点Nodenew的IPv6地址计算出新接入节点Nodenew的标识公钥,并通过新接入节点Nodenew组合公钥和新接入节点Nodenew标识公钥计算出新接入节点Nodenew的公钥,然后再由服务端Server在可信执行环境中利用新接入节点Nodenew的公钥对入网客户端Client输出的签名信息进行解密,获得新接入节点Nodenew的时戳与新接入节点Nodenew通过入网客户端Client计算得到的散列函数值Value1,然后验证新接入节点Nodenew的时戳有效性,如果时戳失效,则服务端Server拒绝访问,反之,则服务端Server继续对新接入节点Nodenew进行验证,此时服务端Server在服务端Server可信执行环境中利用散列函数计算由解密出来的新接入节点Nodenew的时戳、新接入节点Nodenew所要访问业务唯一标识ID和新接入节点Nodenew的IPv6地址构成的组合的散列函数值Value2,将散列函数值Value1和散列函数值Value2进行对比,如果两个值相同,则证明新接入节点Nodenew通过入网客户端Client发起的服务请求RequestS合法,服务端Server可信执行环境通过接口对外输出服务请求RequestS合法的信息,并在服务端Server可信执行环境中形成会话密钥,并由服务端Server可信执行环境通过接口输出会话密钥,反之,服务端Server可信执行环境通过接口对外输出服务请求RequestS1为非法的信息。而针对合法服务请求,新接入节点Nodenew和服务端Server通过非对称加密算法交换会话密钥,然后在利用会话密钥进行对称加密的基础上开始新接入节点Nodenew与服务端Server之间的通信交互。
在新接入节点Nodenew通过入网客户端Client访问服务端Server时,入网客户端Client可以在自己的可信执行环境中查看自己是否可以访问新接入节点Nodenew所要访问的业务。而进行正常数据转发时,转发的数据包中都包含五元组,既源IP地址、源端口、目的IP地址、目的端口和传输层协议。入网客户端Client请求服务端Server业务资源,服务端Server通过五元组信息可确定所要访问的业务资源,并找到对应的自身所承载的对应业务资源中所对应的唯一标识ID,通过业务唯一标识ID就可以配合进行入网客户端Client安全认证。对于查询业务唯一标识ID过程,服务端Server所查找并非自己业务表,业务表只做自己是否可访问业务的判断,比如服务端Server也可以调用其他的服务资源,所以服务端Server也有自己的业务表。当新接入节点Nodenew通过入网客户端Client发起访问的时候,服务端Server查找是对应的自身所承载的对应业务资源中所对应的业务标识ID。
安装有入网客户端Client的安全自组网的节点,作为有效的安全自组网网点时,在不改变基本信息的情况下进行网域内移动,在移动过程中,该节点可以通过自身的入网客户端Client寻找下一迭代父节点,保证连接不中断,如果该节点的基本信息发生变化,则需要通过入网客户端Client重新向第一层零信任管理平台发送安全认证请求,重新按照步骤S101)~S106)进行组网。
在实施例2中,当新接入节点Nodenew与服务端Server入网客户端Client2进行通信时,当数据交互至入网客户端Client2时,可以实现无法安装入网客户端Client的节点接入IPv6网络,保证端到端数据传输。同时入网客户端Client2作为代理,隐藏原IP地址,保护设备不被攻击,提升安全性,同时提高兼容性,无论是IPv4或IPv6的无法安装入网客户端Client的节点都可以接入安全自组网。
当无法安装入网客户端Client的节点在安全自组网内进行移动时,中断与当前父节点的连接后,该父节点通过自身的入网客户端Client2删除该父节点可信执行环境中的与该无法安装入网客户端Client的节点有关的所有信息,而下一个充当该无法安装入网客户端Client的节点的父节点的安全自组网节点也必须为安装有入网客户端Client的节点,其中,移动指的是安全自组网的节点(包括新接入节点Nodenew和已有节点Nodealready)更换安全自组网接入位置的动作。当该无法安装入网客户端Client的节点通过下一个父节点接入安全自组网时,将通过该父节点的入网客户端Client向第一层零信任管理平台发送无入网客户端Client的节点基本信息和该父节点的基本信息和第一层零信任管理平台为该父节点下发的IPv6地址,第一层零信任管理平台验证该无入网客户端Client的节点的合法性,并查询零信任安全控制表,如果合法,则根据无入网客户端Client的节点的IPv6地址与基本信息以及该父节点的基本信息与IPv6地址生成一条新的且与该无入网客户端Client的节点的IPv6地址相关的零信任安全控制表,并将第一层零信任管理平台内原有与该无入网客户端Client的节点的IPv6地址相关的零信任安全控制表覆盖;如果非法,将拒绝该无入网客户端Client的节点访问安全自组网。
对于可以安装入网客户端Client的节点,该节点仅支持IPv4地址通信时,分配给该节点的IPv6地址将作为地址标识符分配给该节点上的入网客户端Client,而且该节点的原IPv4地址通过入网客户端Client与被分配的IPv6地址进行映射。在进行对外通信交互时,将被分配的IPv6地址作为网络地址进行通信,当数据交互至该节点时,通过该节点的入网客户端Client查询IPv4地址与IPv6地址之间的映射关系,然后由该节点内部进行映射转化,实现不支持IPv6协议的终端可以接入IPv6网络,保证端到端数据传输。同时入网客户端Client作为代理隐藏原IPv4地址,保护设备不被攻击,提升安全性。其中,本段中所提及的节点指的是充当提出访问请求的客户终端。
同样,对于安装有服务端Server且仅支持IPv4地址网络通信的服务节点,将被分配的IPv6地址作为地址标识符分配给服务节点的服务端Server,服务节点的原IPv4地址通过服务节点服务端Server进行与分配的IPv6地址映射。在进行对外通信交互时,将IPv6地址作为网络位置进行通讯,当数据交互至服务节点服务端Server时,通过服务节点服务端Server查询IPv4地址与IPv6地址之间的映射关系,服务节点内部进行映射转化,实现不支持IPv6协议的服务节点也可以接入IPv6网络,保证端到端数据传输。同时服务节点服务端Server作为代理隐藏原IPv4地址,保护设备不被攻击,提升安全性。
当企业生产网中的安全自组网中的客户终端之间进行通信交互时,除了将被分配到的IPv6地址作为网络位置之外,还需要将被分配到的身份标识加入到IPv6报文的流标签字段当中。当数据流进入安全自组网后,除解析IPv6地址进行数据转发外,还需要解析IPv6报文的流标签字段,根据流标签字段中的身份标识可保证关键终端网络传输特定需求,根据传输优先级信息进行网络内节点消息优先级转发,保证节点数据传输效率。
如图4所示,节点A和节点B均为安装有入网客户端的节点,为保证服务质量自定义转发路径。其中,节点A访问业务资源服务端的路径为:节点A→父节点1→父节点2→父节点3→业务资源服务端,节点B访问业务资源服务端的路径为:节点B→父节点1→父节点2→业务资源服务端。通过身份标识实现将原IP地址进行位置和身份分离,解决了原IP地址二义性问题,网络不清晰,移动性差等问题。
显然,上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本专利申请权利要求的保护范围之中。

Claims (10)

1.一种双层零信任企业生产网安全自组网方法,其特征在于,新接入节点Nodenew接入企业生产网时,通过如下步骤实现自组网:
S000)在新接入节点Nodenew上安装入网客户端Client,如果新接入节点Nodenew上可以安装入网客户端Client1,则跳转至步骤S101)继续执行,反之,则跳转至步骤S201)执行;其中,入网客户端Client1为新接入节点Nodenew开辟可信执行环境,并在开辟可信执行环境执行钩子程序;
S101)在新接入节点Nodenew上安装入网客户端Client1后,新接入节点Nodenew通过入网客户端Client1向第一层零信任管理平台发起安全认证请求Request1,所述安全认证请求Request1中携带有新接入节点Nodenew的基本信息,新接入节点Nodenew的基本信息包括MAC地址、设备类型、使用者验证信息、使用者角色和所在网络;
S102)第一层零信任管理平台根据安全认证请求Request1对新接入节点Nodenew进行安全认证,验证通过,则为新接入节点Nodenew下发IPv6地址、业务表、所属网域、时戳、所属级别和管理级别,并同时根据第一层零信任管理平台为新接入节点Nodenew下发的IPv6地址和新接入节点Nodenew基本信息生成唯一一条零信任安全控制表并存储在第一层零信任管理平台,且入网客户端Client1将业务表、所属网域、时戳、所属级别和管理级别存储在入网客户端Client1的可信执行环境内,将针对新接入节点Nodenew经由入网客户端Client1的访问的防火墙设置设置为允许访问,反之,向新接入节点Nodenew发送安全认证不通过的消息;其中,第一层零信任管理平台为新接入节点Nodenew下发的IPv6地址在企业生产网中具有唯一性,第一层零信任管理平台为新接入节点Nodenew下发的业务表、所属网域、时戳、所属级别和管理级别相对于新接入节点Nodenew而言均具有唯一性;防火墙为安装设置在新接入节点Nodenew上的防火墙或单独设置的防火墙或安装设置在第二层零信任管理平台上的防火墙;
S103)通过认证后,新接入节点Nodenew通过入网客户端Client1向第二层零信任管理平台发送身份认证请求Request2,身份认证请求Request2携带有新接入节点Nodenew的基本信息和第一层零信任管理平台分配给新接入节点Nodenew的IPv6地址;
S104)第二层零信任管理平台根据身份认证请求Request2向新接入节点Nodenew下发身份标识和认证参数P1,认证参数P1包括公钥矩阵、新接入节点Nodenew组合公钥和新接入节点Nodenew私钥,入网客户端Client1将公钥矩阵和新接入节点Nodenew私钥存放在入网客户端Client1的可信执行环境内;
S105)新接入节点Nodenew通过入网客户端Client1向服务端Server发起服务请求RequestS1,所述服务请求RequestS1中需带有源IP地址、目标IP地址和第二层零信任管理平台向新接入节点Nodenew下发的身份标识与组合公钥,以及由入网客户端Client1中可信执行环境输出的加密签名信息;其中,在服务请求RequestS1中,源IP地址是第一层零信任管理平台向新接入节点Nodenew下发的IPv6地址,目的IP地址是第一层零信任管理平台向服务端Server下发的IPv6地址;
S106)服务端Server对新接入节点Nodenew进行验证,验证通过后,新接入节点Nodenew与服务端Server建立连接并进行通信;
S201)新接入节点Nodenew通过已组网接入企业生产网且已安装有入网客户端Client2的已有节点Nodealready接入企业生产网并通过入网客户端Client2向第一层零信任管理平台发送安全认证请求Request3,安全认证请求Request3中携带有新接入节点Nodenew的基本信息、已有节点Nodealready的基本信息和第一层零信任管理平台为已有节点Nodealready下发的IPv6地址,新接入节点Nodenew的基本信息与步骤S101)中的新接入节点Nodenew的基本信息相同,已有节点Nodealready的基本信息包括MAC地址、设备类型、使用者验证信息、使用者角色和所在网络;其中,入网客户端Client1和入网客户端Client2为同一种入网客户端Client;
S202)第一层零信任管理平台根据安全认证请求Request3对新接入节点Nodenew进行安全认证,验证通过,则为新接入节点Nodenew下发IPv6地址、业务表、所属网域、时戳、所属级别和管理级别,且新接入节点Nodenew通过入网客户端Client2接收第一层零信任管理平台下发的IPv6地址、业务表、所属网域、时戳、所属级别和管理级别,并同时根据第一层零信任管理平台为新接入节点Nodenew下发的IPv6地址、新接入节点Nodenew基本信息、已有节点Nodealready的基本信息和第一层零信任管理平台为已有节点Nodealready下发的IPv6地址生成唯一一条零信任安全控制表并存储在第一层零信任管理平台,且入网客户端Client2将业务表、所属网域、时戳、所属级别和管理级别存储在入网客户端Client2的可信执行环境内,将针对新接入节点Nodenew经由入网客户端Client2的访问的防火墙设置设置为允许访问,反之,向新接入节点Nodenew发送安全认证不通过的消息;其中,第一层零信任管理平台为新接入节点Nodenew下发的IPv6地址在企业生产网中具有唯一性,第一层零信任管理平台为新接入节点Nodenew下发的业务表、所属网域、时戳、所属级别和管理级别相对于新接入节点Nodenew而言均具有唯一性;防火墙为安装设置在已有节点Nodealready上的防火墙或单独设置的防火墙或安装设置在第二层零信任管理平台上的防火墙;
S203)通过认证后,新接入节点Nodenew通过入网客户端Client2向第二层零信任管理平台发送身份认证请求Request4,身份认证请求Request4携带有新接入节点Nodenew的基本信息、已有节点Nodealready的基本信息和第一层零信任管理平台为新接入节点Nodenew下发的IPv6地址;
S204)第二层零信任管理平台根据身份认证请求Request4向新接入节点Nodenew下发身份标识和认证参数P2,认证参数P2包括公钥矩阵、新接入节点Nodenew组合公钥和新接入节点Nodenew私钥,入网客户端Client2将公钥矩阵和新接入节点Nodenew私钥存放在入网客户端Client2的可信执行环境内;
S205)新接入节点Nodenew通过入网客户端Client2向服务端Server发起服务请求RequestS2,所述服务请求RequestS2中需带有源IP地址、目标IP地址和第二层零信任管理平台向新接入节点Nodenew下发的身份标识与组合公钥,以及由入网客户端Client2中可信执行环境输出的加密签名信息;其中,在服务请求中RequestS2,源IP地址是第一层零信任管理平台向新接入节点Nodenew下发的IPv6地址,目的IP地址是第一层零信任管理平台向服务端Server下发的IPv6地址;
S206)服务端Server对新接入节点Nodenew进行验证,验证通过后,新接入节点Nodenew与服务端Server建立连接并进行通信。
2.根据权利要求1所述的方法,其特征在于,在步骤S105)中,由新接入节点Nodenew中可信执行环境输出的加密签名信息通过如下操作获得:
通过入网客户端Client1向可信执行环境中输入第一层零信任管理平台为新接入节点Nodenew下发的IPv6地址,入网客户端Client1在可信执行环境中通过散列函数计算由时戳、业务唯一标识ID和新接入节点Nodenew的IPv6地址构成的组合的散列函数值,并使用新接入节点Nodenew私钥对该散列函数值和时戳进行加密形成加密签名信息。
3.根据权利要求1所述的方法,其特征在于,在步骤S205)中,由入网客户端Client2中可信执行环境输出的加密签名信息:
新接入节点Nodenew通过入网客户端Client2向入网客户端Client2所在可信执行环境输入第一层零信任管理平台为新接入节点Nodenew下发的IPv6地址,入网客户端Client2在该可信执行环境中通过散列函数计算由时戳、业务唯一标识ID和新接入节点Nodenew的IPv6地址构成的组合的散列函数值,并使用新接入节点Nodenew私钥对该散列函数值和时戳进行加密形成加密签名信息。
4.根据权利要求1所述的方法,其特征在于,当新接入节点Nodenew为终端设备且与企业生产网内其他终端进行通信时,在将各自的IPv6地址作为网络位置进行通信的基础上,将各自的身份标识加入到IPv6报文的流标签字段中。
5.根据权利要求1所述的方法,其特征在于,在新接入节点Nodenew与服务端Server连接时,入网客户端Client1或入网客户端Client2先对新接入节点Nodenew时戳有效性进行验证,如果时戳失效,则客户端Client1或入网客户端Client2拒绝发起连接,反之,当新接入节点Nodenew上安装有入网客户端Client1时,则入网客户端Client1继续对新接入节点Nodenew所属网域及所要访问的业务进行验证,当新接入节点Nodenew上未安装有入网客户端Client1时,则由入网客户端Client2继续对新接入节点Nodenew所属网域及所要访问的业务以及已有节点Nodealready所属网域及可访问业务进行验证。
6.根据权利要求1所述的方法,其特征在于,当新接入节点Nodenew无法安装入网客户端Client1且通过已有节点Nodealready的入网客户端Client2接入企业生产网时,新接入节点Nodenew仅作为子节点且只有唯一的父节点。
7.一种双层零信任企业生产网安全自组网系统,其特征在于,新接入节点Nodenew利用权利要求1所述的方法和所述双层零信任企业生产网安全自组网系统接入企业生产网;所述双层零信任企业生产网安全自组网系统包括第一层零信任管理平台、第二层零信任管理平台、服务端Server和已有节点Nodealready,第一层零信任管理平台、第二零信任管理平台分别与服务端Server和已有节点Nodealready通信连接,服务端Server与已有节点Nodealready通信连接,其中,至少一个已有节点Nodealready安装有入网客户端Client2
8.根据权利要求7所述的系统,其特征在于,第一层零信任管理平台和第二层零信任管理平台设置在同一个服务器上。
9.根据权利要求7所述的系统,其特征在于,第一层零信任管理平台和第二层零信任管理平台分别设置在不同的服务器上。
10.根据权利要求7所述的系统,其特征在于,企业生产网中作为父节点的已有节点Nodealready为安装有入网客户端Client2的已有节点Nodealready
CN202410098499.8A 2024-01-24 2024-01-24 一种双层零信任企业生产网安全自组网方法及系统 Active CN117614752B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410098499.8A CN117614752B (zh) 2024-01-24 2024-01-24 一种双层零信任企业生产网安全自组网方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410098499.8A CN117614752B (zh) 2024-01-24 2024-01-24 一种双层零信任企业生产网安全自组网方法及系统

Publications (2)

Publication Number Publication Date
CN117614752A CN117614752A (zh) 2024-02-27
CN117614752B true CN117614752B (zh) 2024-03-22

Family

ID=89956576

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410098499.8A Active CN117614752B (zh) 2024-01-24 2024-01-24 一种双层零信任企业生产网安全自组网方法及系统

Country Status (1)

Country Link
CN (1) CN117614752B (zh)

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113949573A (zh) * 2021-10-18 2022-01-18 天翼数字生活科技有限公司 一种零信任的业务访问控制系统及方法
CN113992402A (zh) * 2021-10-27 2022-01-28 北京房江湖科技有限公司 一种基于零信任策略的访问控制方法、系统及介质
CN113992685A (zh) * 2021-10-26 2022-01-28 新华三信息安全技术有限公司 一种服务控制器确定方法、系统及装置
CN114884771A (zh) * 2022-04-29 2022-08-09 北京绎云科技有限公司 基于零信任理念的身份化网络构建方法、装置和系统
CN114938278A (zh) * 2022-04-11 2022-08-23 北京邮电大学 一种零信任访问控制方法及装置
CN115955456A (zh) * 2022-12-23 2023-04-11 明阳产业技术研究院(沈阳)有限公司 基于IPv6的企业园区网及组网方法
CN116032533A (zh) * 2022-11-29 2023-04-28 兴业银行股份有限公司 基于零信任的远程办公访问方法及系统
CN116321147A (zh) * 2023-02-01 2023-06-23 西安电子科技大学 基于零信任的多属性终端身份认证方法及系统
CN116388989A (zh) * 2022-12-12 2023-07-04 四川启睿克科技有限公司 一种基于分布式身份的零信任单包认证系统及方法
CN117081800A (zh) * 2023-08-15 2023-11-17 任子行网络技术股份有限公司 零信任体系访问b/s应用的代理方法和系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114679293A (zh) * 2021-06-15 2022-06-28 腾讯云计算(北京)有限责任公司 基于零信任安全的访问控制方法、设备及存储介质

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113949573A (zh) * 2021-10-18 2022-01-18 天翼数字生活科技有限公司 一种零信任的业务访问控制系统及方法
CN113992685A (zh) * 2021-10-26 2022-01-28 新华三信息安全技术有限公司 一种服务控制器确定方法、系统及装置
CN113992402A (zh) * 2021-10-27 2022-01-28 北京房江湖科技有限公司 一种基于零信任策略的访问控制方法、系统及介质
CN114938278A (zh) * 2022-04-11 2022-08-23 北京邮电大学 一种零信任访问控制方法及装置
CN114884771A (zh) * 2022-04-29 2022-08-09 北京绎云科技有限公司 基于零信任理念的身份化网络构建方法、装置和系统
CN116032533A (zh) * 2022-11-29 2023-04-28 兴业银行股份有限公司 基于零信任的远程办公访问方法及系统
CN116388989A (zh) * 2022-12-12 2023-07-04 四川启睿克科技有限公司 一种基于分布式身份的零信任单包认证系统及方法
CN115955456A (zh) * 2022-12-23 2023-04-11 明阳产业技术研究院(沈阳)有限公司 基于IPv6的企业园区网及组网方法
CN116321147A (zh) * 2023-02-01 2023-06-23 西安电子科技大学 基于零信任的多属性终端身份认证方法及系统
CN117081800A (zh) * 2023-08-15 2023-11-17 任子行网络技术股份有限公司 零信任体系访问b/s应用的代理方法和系统

Also Published As

Publication number Publication date
CN117614752A (zh) 2024-02-27

Similar Documents

Publication Publication Date Title
US11647003B2 (en) Concealing internal applications that are accessed over a network
US9237147B2 (en) Remote access manager for virtual computing services
US10257161B2 (en) Using neighbor discovery to create trust information for other applications
US9043884B2 (en) Autonomic network protection based on neighbor discovery
US10382595B2 (en) Systems and methods for protecting communications
US9253158B2 (en) Remote access manager for virtual computing services
US8418241B2 (en) Method and system for traffic engineering in secured networks
KR101518526B1 (ko) 서로 다른 조직에 속하는 사용자들에 대한 증명물 복제 없는 인증 방법
US20070192858A1 (en) Peer based network access control
US20070192500A1 (en) Network access control including dynamic policy enforcement point
US20100064133A1 (en) Secure network architecture
US11652637B2 (en) Enforcing a segmentation policy using cryptographic proof of identity
KR20170015340A (ko) 통신 네트워크에 대한 개선된 액세스를 위한 방법 및 네트워크 요소
Kim et al. Trustworthy gateway system providing IoT trust domain of smart home
CN110855707A (zh) 物联网通信管道安全控制系统和方法
CN112016073B (zh) 一种服务器零信任连接架构的构建方法
Liyanage et al. Securing virtual private LAN service by efficient key management
CN114024767B (zh) 密码定义网络安全体系构建方法、体系架构及数据转发方法
CN117614752B (zh) 一种双层零信任企业生产网安全自组网方法及系统
KR20180099293A (ko) 신뢰 도메인간 통신 방법 및 이를 위한 게이트웨이
JP2011054182A (ja) ディジタルバトンを使用するシステムおよび方法、メッセージを認証するためのファイアウォール、装置、および、コンピュータ読み取り可能な媒体
WO2011131002A1 (zh) 身份管理方法及系统
TW202034658A (zh) 立基於軟體定義網路之IPv6存取管理系統及其方法
He et al. Network-layer accountability protocols: a survey
Hofbauer et al. Defense methods against VoIP and video hacking attacks in enterprise networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP03 Change of name, title or address

Address after: 110041 No. 156, Baita Road, Dadong District, Shenyang City, Liaoning Province

Patentee after: Mingyang Dianshi Technology (Shenyang) Co.,Ltd.

Country or region after: China

Address before: Room 03-6, 20th Floor, Building A1, No. 11 Tawan Street, Huanggu District, Shenyang City, Liaoning Province, 110036

Patentee before: Mingyang Dianshi Technology (Shenyang) Co.,Ltd.

Country or region before: China

CP03 Change of name, title or address