CN117768229A - 一种应用于零信任网络中端网结合的分级防护方法 - Google Patents
一种应用于零信任网络中端网结合的分级防护方法 Download PDFInfo
- Publication number
- CN117768229A CN117768229A CN202311833911.8A CN202311833911A CN117768229A CN 117768229 A CN117768229 A CN 117768229A CN 202311833911 A CN202311833911 A CN 202311833911A CN 117768229 A CN117768229 A CN 117768229A
- Authority
- CN
- China
- Prior art keywords
- protection
- client
- network
- server
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 31
- 238000011217 control strategy Methods 0.000 claims abstract description 29
- 238000013507 mapping Methods 0.000 claims abstract description 8
- 238000013475 authorization Methods 0.000 claims description 9
- 238000001914 filtration Methods 0.000 claims description 7
- 235000019580 granularity Nutrition 0.000 description 10
- 238000010586 diagram Methods 0.000 description 4
- 238000011156 evaluation Methods 0.000 description 4
- 230000003993 interaction Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005315 distribution function Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种应用于零信任网络中端网结合的分级防护方法:在零信任网络系统数据平面与控制平面分离的网络框架基础上,采用AH网关、服务器、客户端分工协作联合执行SDP控制器访问控制策略的技术路线实现资源分级防护目的;客户端、AH网关和服务器实时向SDP控制器请求访问控制策略并执行,客户端通过限制客户端自己的进程/应用与资源的映射关系,实现对用户客户端进程/应用权限的端侧限制,网关通过对客户端和服务器间网络数据流量的过滤,实现对防护子网的网级防护,服务器侧通过限制用户对资源的操作实现对资源的端侧防护。本发明可应用于零信任网络中通过端防护+网防护的分级安全防护方式实现对资源的保护。
Description
技术领域
本发明属于网络安全应用领域,涉及防火墙策略技术,更具体的说,是涉及一种应用于零信任网络中端网结合的分级防护方法。
背景技术
零信任网络架构的核心技术框架是将控制平面与数据平面分开,实现策略决策点与策略执行点分离,策略执行点通过执行来自策略决策点的策略对数据流量进行过滤,实现资源防护的目的。而作为独立设备存在的策略决策点往往只能对资源进行网络层面的防护(例如IP地址、端口、协议等的过滤),无法执行更细粒度防护目的(例如对资源中具体某个进程的读、写、审核等操作限制),因此需要将策略执行点的功能按照防护粒度进行分解,将更细粒度防护规则向终端或资源分流。
发明内容
针对目前零信任网络环境中同一网段中不同资源根据防护等级不同需要分别进行不同粒度防护的需求,本发明提出了一种应用于零信任网络中端网结合的分级防护方法,采用AH网关、服务器、客户端分工协作联合执行SDP控制器访问控制策略的技术路线实现资源分级防护目的。
本发明的目的是通过以下技术方案实现的。
本发明应用于零信任网络中端网结合的分级防护方法,该方法在零信任网络系统数据平面与控制平面分离的网络框架基础上,采用AH网关、服务器、客户端分工协作联合执行SDP控制器访问控制策略的技术路线实现资源分级防护目的;其中,分级防护包括粗粒度防护和细粒度防护,所述粗粒度防护为网级防护,由AH网关执行,所述细粒度防护包括由服务器执行的端侧防护和由客户端执行的端侧限制;
分级防护具体过程:SDP控制器根据客户端用户对服务器中资源的访问权限生成访问控制策略,客户端、AH网关和服务器实时向SDP控制器请求访问控制策略并执行,执行过程中客户端通过限制部署于本客户端的进程/应用与资源的映射关系,实现对用户客户端进程/应用权限的端侧限制,网关通过对客户端和服务器间网络数据流量的过滤,实现对防护子网的网级防护,服务器侧通过限制用户对资源的操作实现对资源的端侧防护。
进一步地,客户端、AH网关和服务器实时向SDP控制器请求访问控制策略,分级执行访问控制策略的具体流程:
(1)用户操作客户端应用生成访问服务器中目标资源的原始请求,且客户端插件截获此请求;
(2)客户端插件根据用户权限与访问目标资源原始请求的映射关系,将本次访问请求指向AH网关;
(3)AH网关中的资源代理模块将访问请求经策略授权模块转发给SDP控制器,向SDP控制器询问该用户访问目标资源的权限;
(4)SDP控制器根据用户访问请求查询此用户相关访问控制策略,将查询到的访问控制策略回复给AH网关;
(5)AH网关的策略授权模块收到SDP控制器回复的访问控制策略并执行,通过内部接口允许资源代理模块执行对应的数据过滤规则,将原始请求丢弃或重定向到目标资源的服务器;
(6)服务器根据访问控制策略执行客户端应用对目标资源的操作,将操作结果经网关反馈给客户端;
(7)客户端应用收到目标资源回复,实现对目标资源的访问,访问控制策略执行完毕。
与现有技术相比,本发明的技术方案所带来的有益效果是:
在零信任网络中,本发明通过端网结合的分级防护方法可实现在同一网段中不同资源根据防护等级实施不同粒度的差异防护需求,使用此方法一方面能解决只靠网关进行的单一防护方式出现防护粒度不够的问题,另一方面能避免出现其他方案中为实现细粒度防护目的需要将用户进程/应用访问服务器资源的详细信息及时地告知策略决策点的目的而额外设计复杂的网络通信协议和对原始数据包进行多重封装的问题。该发明尤其适用于网络结构复杂、需要细粒度防护的零信任网络环境。
附图说明
图1为零信任网络系统部署示意图。
图2为零信任网络的访问控制策略分发示意图。
图3为零信任网络的访问控制策略分发功能细化图;
图4为零信任网络下访问控制策略请求及分级执行流程图。
具体实施方式
下面结合附图对本发明作进一步的描述。
本发明提出一种应用于零信任网络中端网结合的分级防护方法,该方法在零信任网络系统数据平面与控制平面分离的网络框架基础上,采用AH网关、服务器、客户端分工协作联合执行SDP控制器访问控制策略的技术路线实现资源分级防护目的。分级防护包括粗粒度防护和细粒度防护;所述粗粒度防护为网级防护,由AH网关执行,如网络流量过滤;所述细粒度防护包括由服务器执行的端侧防护和由客户端执行的端侧限制,如对进程、应用程序等设备内部资源的防护或限制。端(终端、服务器)-网(网关)配合完成防护策略执行。
图1为零信任网络系统部署示意图,零信任网络系统主要包括服务器、AH网关、SDP控制器、客户端,SDP控制器分别与AH网关、客户端进行控制数据交互,每个服务器均经AH网关与SDP控制器进行控制数据交互。图1中三个服务器位于同一个局域网但防护级别不同,服务器1和服务器2防护级别较高需要网级防护和端侧防护,服务器3的防护级别较低只需要网级防护。
分级防护具体过程:如图2所示,SDP控制器根据客户端用户对服务器中资源的访问权限(某个客户端上的某个应用可以对某个子网中的某个服务器的某项资源进行某种操作)生成访问控制策略,客户端、AH网关和服务器实时向SDP控制器请求访问控制策略并执行,执行过程中客户端通过限制部署于本客户端的进程/应用与资源的映射关系,实现对用户客户端进程/应用权限的端侧限制,网关通过对客户端和服务器间网络数据流量的过滤,实现对防护子网的网级防护,服务器侧通过限制用户对资源的操作(对服务器某项资源的读、写、审核、过滤等操作)实现对资源的端侧防护。
结合图3可知零信任网络系统中各网络节点的工作细节如下:
①SDP控制器的访控策略管理模块由静态访问控制策略子模块、用户动态信任评估子模块、策略决策引擎子模块构成。静态访问控制策略子模块负责根据用户对资源的访问权限生成访问控制策略;用户动态信任评估子模块负责根据用户的环境(网络环境、地域环境)、实体行为(登录时间、操作行为)等属性对用户进行动态信任评估;策略决策引擎子模块通过调用前两个模块的接口实现用户在通过动态信任评估后可根据访问控制策略访问资源目的。
②网关的策略授权模块负责同步和解析SDP控制器的访问控制策略,资源代理模块通过执行策略授权模块的接口命令对客户端和服务器间网络数据流量过滤,实现网级防护。
③安装在客户端的客户端插件负责同步和解析SDP控制器的访问控制策略,并对客户端进程/应用根据用户访问权限与资源建立映射关系,对授权访问放行,对非法访问阻断。
④安装在服务器的服务器插件负责同步和解析SDP控制器的访问控制策略,并根据用户权限实现对资源操作(读、写、删除等)的限制。
在客户端、AH网关、服务器均向SDP控制器实时请求访问控制策略的前提下,访问控制策略的分级执行流程,如图4所示:
①用户操作客户端应用生成访问服务器中目标资源的原始请求,且客户端插件截获此请求。
②客户端插件根据用户权限与访问目标资源原始请求的映射关系,将本次访问请求指向AH网关。
③AH网关中的资源代理模块收到②中的访问请求并提交给策略授权模块。
④策略授权模块将访问请求转发给SDP控制器,向SDP控制器询问该应用是否有访问目标资源的权限。
⑤SDP控制器根据用户访问请求查询此用户相关访问控制策略,将查询到的访问控制策略回复给AH网关。
⑥AH网关的策略授权模块收到SDP控制器回复的访问控制策略并执行,通过内部接口允许资源代理模块执行对应的数据过滤规则,将原始请求丢弃或重定向到目标资源的服务器。
⑦AH网关的资源代理模块执行数据过滤规则,若匹配规则,则将①中的原始请求重定向到目标资源的服务器,否则将①中的原始请求丢弃。
⑧⑨服务器根据访问控制策略执行客户端应用对目标资源的操作,将操作结果经网关反馈给客户端。
⑩客户端应用收到目标资源回复,实现对目标资源的访问,访问控制策略执行完毕。
尽管上面结合附图对本发明的功能及工作过程进行了描述,但本发明并不局限于上述的具体功能和工作过程,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可以做出很多形式,这些均属于本发明的保护之内。
Claims (2)
1.一种应用于零信任网络中端网结合的分级防护方法,其特征在于,该方法在零信任网络系统数据平面与控制平面分离的网络框架基础上,采用AH网关、服务器、客户端分工协作联合执行SDP控制器访问控制策略的技术路线实现资源分级防护目的;其中,分级防护包括粗粒度防护和细粒度防护,所述粗粒度防护为网级防护,由AH网关执行,所述细粒度防护包括由服务器执行的端侧防护和由客户端执行的端侧限制;
分级防护具体过程:SDP控制器根据客户端用户对服务器中资源的访问权限生成访问控制策略,客户端、AH网关和服务器实时向SDP控制器请求访问控制策略并执行,执行过程中客户端通过限制部署于本客户端的进程/应用与资源的映射关系,实现对用户客户端进程/应用权限的端侧限制,网关通过对客户端和服务器间网络数据流量的过滤,实现对防护子网的网级防护,服务器侧通过限制用户对资源的操作实现对资源的端侧防护。
2.根据权利要求1所述的应用于零信任网络中端网结合的分级防护方法,其特征在于,客户端、AH网关和服务器实时向SDP控制器请求访问控制策略,分级执行访问控制策略的具体流程:
(1)用户操作客户端应用生成访问服务器中目标资源的原始请求,且客户端插件截获此请求;
(2)客户端插件根据用户权限与访问目标资源原始请求的映射关系,将本次访问请求指向AH网关;
(3)AH网关中的资源代理模块将访问请求经策略授权模块转发给SDP控制器,向SDP控制器询问该用户访问目标资源的权限;
(4)SDP控制器根据用户访问请求查询此用户相关访问控制策略,将查询到的访问控制策略回复给AH网关;
(5)AH网关的策略授权模块收到SDP控制器回复的访问控制策略并执行,通过内部接口允许资源代理模块执行对应的数据过滤规则,将原始请求丢弃或重定向到目标资源的服务器;
(6)服务器根据访问控制策略执行客户端应用对目标资源的操作,将操作结果经网关反馈给客户端;
(7)客户端应用收到目标资源回复,实现对目标资源的访问,访问控制策略执行完毕。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311833911.8A CN117768229A (zh) | 2023-12-28 | 2023-12-28 | 一种应用于零信任网络中端网结合的分级防护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311833911.8A CN117768229A (zh) | 2023-12-28 | 2023-12-28 | 一种应用于零信任网络中端网结合的分级防护方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117768229A true CN117768229A (zh) | 2024-03-26 |
Family
ID=90318035
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311833911.8A Pending CN117768229A (zh) | 2023-12-28 | 2023-12-28 | 一种应用于零信任网络中端网结合的分级防护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117768229A (zh) |
-
2023
- 2023-12-28 CN CN202311833911.8A patent/CN117768229A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9712624B2 (en) | Secure virtual network platform for enterprise hybrid cloud computing environments | |
| EP1634175B1 (en) | Multilayer access control security system | |
| Hantouti et al. | Service function chaining in 5G & beyond networks: Challenges and open research issues | |
| EP2875430B1 (en) | Control pool based enterprise policy enabler for controlled cloud access | |
| US8006296B2 (en) | Method and system for transmitting information across a firewall | |
| EP2283670B1 (en) | Security message processing within constrained time | |
| MXPA06013129A (es) | Contencion automatizada de un invasor en redes. | |
| US20190230065A1 (en) | Encryption key management of client devices and endpoints within a protected network | |
| US7047564B2 (en) | Reverse firewall packet transmission control system | |
| Alsmadi | The integration of access control levels based on SDN | |
| US7447782B2 (en) | Community access control in a multi-community node | |
| CN117768229A (zh) | 一种应用于零信任网络中端网结合的分级防护方法 | |
| CN113852697B (zh) | 一种sdp终端流量代理方法、装置、设备及存储介质 | |
| Estrin | Inter-organization networks: implications of access control: requirements for interconnection protocol | |
| CA2683422A1 (en) | Networking computers access control system and method | |
| CN110581843B (zh) | 一种拟态Web网关多应用流量定向分配方法 | |
| Thakar et al. | An approach to improve performance of a packet-filtering firewall | |
| KR20220060762A (ko) | 클라우드 환경에서의 네트워크 분석 장치 및 방법 | |
| KR20150066401A (ko) | M2m 환경에서의 데이터 적용기술 | |
| CN112486649B (zh) | 一种顾及空间约束的gis服务网关平台 | |
| Li et al. | Design and Testing of Source Address Validation Protocols: A Survey | |
| Nacht | The spectrum of modern firewalls | |
| Kiszka et al. | Securing software-based hard real-time Ethernet | |
| Barka et al. | Managing access and usage controls in SNMP | |
| Sandhu et al. | Software‐Defined Networking: Recent Developments and Potential Synergies |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |