CN117834218A - 一种基于零信任架构的统一身份认证方法及平台 - Google Patents

Abstract

本发明公开了一种基于零信任架构的统一身份认证方法及平台，该方法包括：零信任网关响应于资源获取请求，对终端设备进行身份验证，并在通过后将密钥生成请求发送至密钥生成中心；密钥生成中心生成加解密密钥、终端设备的公私钥，将解密密钥和公钥发送至零信任网关，将加密密钥及公私钥发送至零信任客户端；零信任客户端生成单一数据包信息，利用加密密钥及公私钥，对单一数据包信息进行加密、摘要计算及签名处理，得到加密信息、摘要信息和签名信息并发送至零信任网关；零信任网关利用解密密钥和公钥，对终端设备的身份信息、单一数据包信息、摘要信息和签名信息进行认证，并且在通过后允许终端设备临时访问服务资源。

Description

一种基于零信任架构的统一身份认证方法及平台

技术领域

本发明涉及接口集成技术领域，并且更具体地，涉及一种基于零信任架构的统一身份认证方法及平台。

背景技术

传统网络安全模型把不同的网络划分为不同的区域，不同区域之间通过部署网络地址转换、防火墙、入侵防御系统等防护设备来保障网络的安全性。传统网络安全模型通常也被称为边界网络安全模型，这种网络安全模型将网络分为内网和外网，内网默认内部用户是可信的，可以访问一定权限的数据资源。外网默认所有的外部用户都是不可信的，如果外网用户想要访问内网数据资源，则需要对用户进行身份认证。传统网络安全架构聚焦网络边界的维护和防御，通过分区、分层防护，将不可信的用户阻挡在防火墙之外，从而保证内网的安全性。近年来，高级可持续威胁攻击、非法授权访问、内部威胁、恶意数据泄露的等新型网络攻击手段与日俱增，给数字时代的网络安全带来了严峻的挑战。面对众多复杂的攻击，一个网络即使采用完备的边界防护手段，也有可能会被攻陷。一旦攻击者突破网络的边界防护，便可以在内网中获取到更高的访问权限，从而窃取内网数据资源。

随着移动互联网、物联网、边缘计算等技术的飞速发展，网络边界逐渐趋于模糊，传统网络的安全漏洞也越来越明显。传统网络安全模型主要存在以下几个缺点：

1.仅对用户进行单一认证。传统的认证方式以用户名密码、动态口令、指纹为主，这些认证方式都过于单一，非常容易被攻击者窃取或伪造。一旦攻击者通过网络钓鱼等方式获取用户名和密码，便可以非法获取内部网络的数据资源。此外，传统的身份认证在用户通过认证之后将被长期授予访问权限，从而增加了内网数据资源泄露的风险。

2.对内网用户过度信任。基于边界的网络防护利用防火墙、入侵检测系统对外网流量进行严格过滤，同时默认内部网络是安全的，并对内网用户赋予不同等级的信任度。这种防护模式可以有效防止外部网络攻击，但无法阻止内网恶意用户发起的攻击。如果攻击者利用内网漏洞侵入到系统内部，就可以采取横向移动的方式对更高级别的应用服务发起攻击，从而导致系统数据遭到严重泄露。

3.缺乏对用户信息的隐私保护。在传统网络中，当用户需要访问数据资源时，认证机构就会对用户的身份进行认证，并为用户生成一致性访问凭证。用户利用此凭证才能访问数据资源，但是用户的凭证包含自己的隐私信息，很难保证用户的隐私数据不会被泄露。因此，我们对用户进行安全认证的同时也需要保护用户的隐私信息。

为了解决传统网络环境下的安全问题，急需一种新的网络安全架构，零信任(ZeroTrust,ZT)在这种背景下应运而生。零信任最早的雏形可以追溯于2004年举办的耶利哥论坛，此次论坛正是为了寻找一种新的方案来解决传统网络所面临的安全问题。2010年，Forrester的分析师J.Kindervag正式提出了零信任这一安全理念。简而言之，零信任网络模型认为网络内部和网络外部都是不可信任的，网络的位置不能决定当前网络是否安全。零信任网络希望引导传统网络体系架构从以系统为中心转变为以用户身份为中心。从本质上来说，零信任网络就是以身份为中心进行细粒度自适应访问控制。当用户访问服务资源时，零信任网络将用户的访问行为分解并作用于控制平面和数据平面。控制平面对用户的身份进行认证、风险评估、权限授予，然后判断用户是否具有访问权限；数据平面接收控制平面发送的指令，允许或拒绝用户访问服务资源，并实时监测用户的访问行为。

身份与访问管理是实现零信任安全架构的第一道屏障，没有一个完善的身份认证系统，零信任网络安全架构也将会是千疮百孔。根据Verizon发布的《2021年数据泄露调查报告》显示，80％的数据泄露与身份欺骗攻击有关，其中主要包括攻击者偷来的凭证和爆破的口令，这样攻击者就可以轻而易举地访问公司业务资源。尽管零信任网络安全模型需要对用户进行全方位的身份认证，但是用户的隐私信息也同样需要受到保护。随着爬虫、数据挖掘等技术的成熟与发展，人们的隐私信息非常容易被泄露，甚至一些还会将用户的数据打包贩卖，严重影响人们的日常生活。

综上所述，由于传统网络安全模型存在缺乏内部防护、局限于对用户进行单一认证、不注重用户信息的隐私保护等问题，导致了网络攻击层出不穷，严重威胁了用户数据的安全性。

发明内容

为了解决上述背景技术所述的至少一个问题，本发明提供一种基于零信任架构的统一身份认证方法及平台。

根据本发明的一个方面，提供了一种基于零信任架构的统一身份认证方法，包括：

零信任网关响应于零信任客户端发送的资源获取请求，对终端设备进行身份验证，并在身份验证通过后将密钥生成请求发送至密钥生成中心；其中，零信任客户端安装在用户的终端设备；

密钥生成中心利用国密算法生成对应的加密密钥、解密密钥、终端设备的公钥和私钥，将解密密钥和终端设备的公钥发送至零信任网关，将加密密钥以及终端设备的公钥和私钥发送至零信任客户端；

零信任客户端生成单一数据包信息，利用加密密钥以及终端设备的公钥和私钥，对单一数据包信息进行加密、摘要计算以及签名处理，得到单一数据包信息的加密信息、摘要信息和签名信息并发送至零信任网关；

零信任网关利用解密密钥和终端设备的公钥，对终端设备的身份信息、单一数据包信息、摘要信息和签名信息进行认证，并且认证通过后允许终端设备临时访问服务资源。

可选地，所述零信任客户端生成单一数据包信息，利用加密密钥以及终端设备的公钥和私钥，对单一数据包信息进行加密、摘要计算以及签名处理，得到单一数据包信息的加密信息、摘要信息和签名信息，包括：

零信任客户端进行初始化操作后，根据自身属性生成单一数据包信息；

零信任客户端利用国密算法SM4和加密密钥，对单一数据包信息进行加密，得到单一数据包信息的加密信息；

零信任客户端利用国密算法SM3和终端设备的公钥，计算单一数据包信息的消息摘要，得到单一数据包信息的摘要信息；

零信任客户端利用国密算法SM2和终端设备的公钥，对单一数据包信息进行签名，得到单一数据包信息的签名信息；

零信任客户端将单一数据包信息的加密信息、摘要信息和签名信息并发送至零信任网关。

可选地，所述零信任网关利用解密密钥和终端设备的公钥，对终端设备的身份信息、单一数据包信息、摘要信息和签名信息进行认证，包括：

零信任网关进行初始化操作后，接收零信任客户端发送的单一数据包信息的加密信息、摘要信息和签名信息；

零信任网关利用国密算法SM2和终端设备的公钥，验证单一数据包信息的签名信息是否正确；

零信任网关利用利用国密算法SM4和解密密钥，对单一数据包信息的加密信息进行解密；

零信任网关利用国密算法SM3和终端设备的公钥，计算解密得到的单一数据包信息的消息摘要，将计算得到的消息摘要与接收到的消息摘要进行比对，验证单一数据包信息的摘要信息是否正确；

零信任网关验证解密得到的单一数据包信息是否合法。

可选地，统一身份认证方法还包括：

零信任客户端将策略管理员为自己颁发的原始票据转换为指定票据，并将指定票据发送至服务管理员；

当零信任客户端请求访问服务资源时，服务管理员通过验证指定票据的真实性，来判断零信任客户端的合法身份；如果验证通过，则给零信任客户端颁发一致性票据；

在收到零信任客户端的指定票据后，服务管理员验证指定票据的真实性，进一步允许或拒绝零信任客户端访问业务资源；

当服务管理员发现指定票据有误后，向追溯中心发起仲裁请求；追溯中心利用密钥生成中心生成的追溯密钥确定与指定票据对应的原始票据的颁发者。

可选地，所述零信任架构由零信任客户端、零信任控制器、零信任网关三部分组成；其中

零信任客户端通过自动或者手动方式安装在用户终端，功能包括设备验证、与零信任网关建立隧道，其中设备验证包括用户行为分析和终端检测响应功能；

零信任控制器负责零信任客户端和服务资源之间的信任协调；

零信任网关是与零信任客户端之间的加密连接的终点，用于向零信任控制器确认零信任客户端是否可以访问指定资源的，是否可以跟应用系统建立连接。

可选地，统一身份认证方法还包括：

当用户点击零信任客户端后，零信任客户端生成单一数据包信息并发送至零信任控制器，其中单一数据包信息包括一把密钥；

零信任控制器通过这把密钥识别用户的身份信息，然后使用PKI认证，在零信任客户端和零信任控制器之间建立一个加密隧道；

零信任控制器将用户的身份信息发给零信任网关；

零信任客户端建立一个到零信任网关的TLS隧道，之后零信任客户端穿过TLS隧道运行应用程序，其中零信任客户端和零信任网关始终保持与零信任控制器的通信，随时交换信息。

根据本发明的又一个方面，提供了一种基于零信任架构的统一身份认证平台，包括：

终端设备、零信任网关、密钥生成中心、服务资源；其中

终端设备是数据资源的请求者，安装有零信任客户端，用于将资源获取请求发送至零信任网关；

零信任网关用于响应于零信任客户端发送的资源获取请求，对终端设备进行身份验证，并在身份验证通过后将密钥生成请求发送至密钥生成中心；其中，零信任客户端安装在用户的终端设备；

密钥生成中心用于利用国密算法生成对应的加密密钥、解密密钥、终端设备的公钥和私钥，将解密密钥和终端设备的公钥发送至零信任网关，将加密密钥以及终端设备的公钥和私钥发送至零信任客户端；

零信任客户端还用于生成单一数据包信息，利用加密密钥以及终端设备的公钥和私钥，对单一数据包信息进行加密、摘要计算以及签名处理，得到单一数据包信息的加密信息、摘要信息和签名信息并发送至零信任网关；

零信任网关还用于利用解密密钥和终端设备的公钥，对终端设备的身份信息、单一数据包信息、摘要信息和签名信息进行认证，并且认证通过后允许终端设备临时访问服务资源。

可选地，零信任客户端进行初始化操作后，根据自身属性生成单一数据包信息；

零信任客户端利用国密算法SM4和加密密钥，对单一数据包信息进行加密，得到单一数据包信息的加密信息；

零信任客户端利用国密算法SM3和终端设备的公钥，计算单一数据包信息的消息摘要，得到单一数据包信息的摘要信息；

零信任客户端利用国密算法SM2和终端设备的公钥，对单一数据包信息进行签名，得到单一数据包信息的签名信息；

零信任客户端将单一数据包信息的加密信息、摘要信息和签名信息并发送至零信任网关。

可选地，零信任网关进行初始化操作后，接收零信任客户端发送的单一数据包信息的加密信息、摘要信息和签名信息；

零信任网关利用国密算法SM2和终端设备的公钥，验证单一数据包信息的签名信息是否正确；

零信任网关利用利用国密算法SM4和解密密钥，对单一数据包信息的加密信息进行解密；

零信任网关利用国密算法SM3和终端设备的公钥，计算解密得到的单一数据包信息的消息摘要，将计算得到的消息摘要与接收到的消息摘要进行比对，验证单一数据包信息的摘要信息是否正确；

零信任网关验证解密得到的单一数据包信息是否合法。

可选地，统一身份认证平台还包括基于零信任的可追溯隐私保护认证方案模型，可追溯隐私保护认证方案模型包括零信任客户端、策略管理员、服务管理员和追溯中心；其中

零信任客户端将策略管理员为自己颁发的原始票据转换为指定票据，并将指定票据发送至服务管理员；

当零信任客户端请求访问服务资源时，服务管理员通过验证指定票据的真实性，来判断零信任客户端的合法身份；如果验证通过，则给零信任客户端颁发一致性票据；

在收到零信任客户端的指定票据后，服务管理员验证指定票据的真实性，进一步允许或拒绝零信任客户端访问业务资源；

当服务管理员发现指定票据有误后，向追溯中心发起仲裁请求；追溯中心利用密钥生成中心生成的追溯密钥确定与指定票据对应的原始票据的颁发者。

本发明通过零信网络的安全解决方案，企业不仅可以获得保护其资源所需的安全性，还可以实现可观的业务效益。除了改进在整个企业范围内的可视性和缩短发现漏洞的时间，企业还可以降低自身的安全堆栈，最大限度地减少安全技能人才短缺的影响，并保护客户数据以避免声誉受损损失和重大经济损失等。同时，企业也可以改善用户的体验并促进通过采用零信任安全架构将企业快速迁移到云端。

附图说明

通过参考下面的附图，可以更为完整地理解本发明的示例性实施方式：

图1是本发明一示例性实施例提供的基于零信任架构的统一身份认证方法的流程示意图；

图2是本发明一示例性实施例提供的SDP部署的示意图；

图3是本发明一示例性实施例提供的统一身份服务平台云服务部署的示意图；

图4是本发明一示例性实施例提供的统一身份服务平台应用架构示意图；

图5是本发明一示例性实施例提供的终端设备的执行流程图；

图6是本发明一示例性实施例提供的零信任网关的执行流程图；

图7是本发明一示例性实施例提供的基于零信任的可追溯隐私保护认证方案模型图；

图8是本发明一示例性实施例提供的SPA报文格式的示意图；

图9是本发明一示例性实施例提供的基于国密算法的零信任单包认证与授权方案流程图。

具体实施方式

下面，将参考附图详细地描述根据本发明的示例实施例。显然，所描述的实施例仅仅是本发明的一部分实施例，而不是本发明的全部实施例，应理解，本发明不受这里描述的示例实施例的限制。

应注意到：除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。

本发明的目的在于提供一种更便捷的方法，总结常用的外部提供的接口实现方式，将各个功能的外部接口集成至同一个系统中，统一调用方式。开发人员在实现接口功能的过程中，在集成接口的系统中配置接口的相关信息后，不需要关心每个接口各自的调用方式，只需要关心接口功能以外的业务功能的实现，将接口实现的部分解耦成单独的功能系统，利于项目的后期维护。

图1示出了本发明所提供的基于零信任架构的统一身份认证方法的流程示意图。如图1所示，基于零信任架构的统一身份认证方法。

本发明提供了零信任架构以用户身份为核心，实现动态化访问、高效控制，属于新型网络架构。其突破了传统网络安全架构的瓶颈，由网络中心化逐渐转变为用户身份中心化，认证、授权访问是重点内容，以此为依据突出用户身份这一核心，进而构建访问机制。本方案实现的具体步骤包括：

步骤S101：零信任网关响应于零信任客户端发送的资源获取请求，对终端设备进行身份验证，并在身份验证通过后将密钥生成请求发送至密钥生成中心；其中，零信任客户端安装在用户的终端设备；

步骤S102：密钥生成中心利用国密算法生成对应的加密密钥、解密密钥、终端设备的公钥和私钥，将解密密钥和终端设备的公钥发送至零信任网关，将加密密钥以及终端设备的公钥和私钥发送至零信任客户端；

步骤S103：零信任客户端生成单一数据包信息，利用加密密钥以及终端设备的公钥和私钥，对单一数据包信息进行加密、摘要计算以及签名处理，得到单一数据包信息的加密信息、摘要信息和签名信息并发送至零信任网关；

步骤S104：零信任网关利用解密密钥和终端设备的公钥，对终端设备的身份信息、单一数据包信息、摘要信息和签名信息进行认证，并且认证通过后允许终端设备临时访问服务资源。

在本发明实施例中，深入研究基于零信任的认证技术，构建从访问主体到访问客体之间具有强制身份认证与隐私保护的网络安全防护机制。基于零信任的安全理念，以用户身份为中心、以密码算法为保障、以业务安全访问为目标，建立从用户到业务资源的单包认证与授权机制，融合网络安全及密码学相关技术，将具有隐私保护性质的数字签名应用于零信任网络中，保障用户信息的隐私性。将传统基于边界的网络体系架构演变为新型基于零信任的网络安全防护体系架构，为网络环境提供强有力的安全支撑。

本发明提出了一种基于零信任架构在统一身份认证平台，零信任网络可以通过“从不信任，始终验证”的特性来解决传统网络固有的安全问题。我们聚焦零信任的认证技术，构建了一个基于身份管理基础设施的零信任认证模型。其次，我们利用单包授权技术，提出了一种基于国密算法的零信任单包认证与授权方案。最后，我们通过改进广义指定验证者签名，利用双线性映射构建了一个基于零信任的可追溯隐私保护认证方案，不仅实现用户信息的隐私保护，也实现了对真实票据颁发者的追溯。基于零信任架构的统一身份认证平台主要由SDP(Software Defined Perimeter)体系结构和统一身份认证平台组成。

可选地，所述零信任架构由零信任客户端、零信任控制器、零信任网关三部分组成；其中零信任客户端通过自动或者手动方式安装在用户终端，功能包括设备验证、与零信任网关建立隧道，其中设备验证包括用户行为分析和终端检测响应功能；零信任控制器负责零信任客户端和服务资源之间的信任协调；零信任网关是与零信任客户端之间的加密连接的终点，用于向零信任控制器确认零信任客户端是否可以访问指定资源的，是否可以跟应用系统建立连接。

可选地，统一身份认证方法还包括：当用户点击零信任客户端后，零信任客户端生成单一数据包信息并发送至零信任控制器，其中单一数据包信息包括一把密钥；零信任控制器通过这把密钥识别用户的身份信息，然后使用PKI认证，在零信任客户端和零信任控制器之间建立一个加密隧道；零信任控制器将用户的身份信息发给零信任网关；零信任客户端建立一个到零信任网关的TLS隧道，之后零信任客户端穿过TLS隧道运行应用程序，其中零信任客户端和零信任网关始终保持与零信任控制器的通信，随时交换信息。

如图2所示，SDP(零信任)体系结构通常由三部分组成：SDP(零信任)客户端、SDP(零信任)控制器、SDP(零信任)网关。SDP客户端可以发起连接或接受连接，这些操作通过安全控制通道与SDP控制器交互来管理。在SDP中，控制平面与数据平面分离以实现完全可扩展的系统。而在获得对受保护服务器的网络访问之前，SDP要求发起方首先进行身份验证并获得授权，然后在请求系统和应用之间实时创建加密连接。SDP网关负责授权对之前隐藏的未知的资源的访问。

SDP客户端通过自动或者手动方式安装在用户终端，功能包括设备验证，跟SDP网关建立隧道等。设备验证通常包括UBA(用户行为分析)、EDR(终端检测响应)等功能，以检测设备是否异常，或已被攻陷。例如，注册表更改，异常的网络流程和其他被攻陷和典型行为特征。

SDP控制器可以充当客户端和后端资源之间的信任协调人。控制器先和统一身份管理平台对接，以便对用户请求进行身份验证和授权验证。控制器可以通过PKI、OPenID、SAML或AD等方式进行身份验证。控制器还有一个CA证书，用于建立客户端到后端资源之间的加密隧道。这里的关键是控制器只为客户端请求的被授权的特定资源提供访问权限。

第三个组件是SDP网关，它也是跟客户端之间的TLS连接的终点。在这里，我们再次向控制器确认客户端是否可以访问指定资源的，是否可以跟应用系统建立连接。

SDP通过软件的方式，为企业构建起一个虚拟边界，利用基于身份的访问控制机制，为企业应用和服务穿上“隐身衣”，使网络黑客因看不到目标而无法对企业的资源发动攻击，有效保护企业的数据安全。

SDP客户端可以发起连接或接受连接。这些操作通过安全控制通道与SDP控制器交互来管理。在SDP中，控制平面与数据平面分离以实现完全可扩展的系统。而在获得对受保护服务器的网络访问之前，SDP要求发起方首先进行身份验证并获得授权，然后在请求系统和应用之间实时创建加密连接。

具体工作：

用户点击桌面客户端程序(SDP客户端)，这时开始了单包授权过程(SPA)。单一数据包信息包括一把密钥，SDP控制器通过这把密钥识别用户身份。然后使用PKI认证，在用户和控制器之间建立了一个加密隧道。PKI之后还会用于验证、授权、设备完整性的检测。随后，控制器将用户的IP信息发给SDP网关。这样，SDP网关就预先知道了一会谁会来建立连接。这时，SDP客户端会建立一个到SDP网关的TLS隧道。之后，客户端会穿过这个隧道运行应用程序。与此同时，客户端和网关始终保持与控制器的通信，随时交换信息。如果客户端的密钥被盗取或变为无效，则会立即断开连接，并切断网络上所有应用系统或服务器的可见性。如果设备有被黑客攻陷的迹象，它将不再被认为是可信的，也将立即与网络断开并不能访问任何资源。SDP的主要目标是防止针对应用系统的网络攻击。在网络中使用SDP还有很多其他好处，包括保密性、加密隧道。包括在SDP协议中使用抗DOS Token，以防止DOS攻击。位置保护、防止横向攻击、信息加密、实时事件响应、分段、隔离。在网络安全领域，我们一直在寻找一种能在多个层面实现安全并打断攻击链的方法。零信任和SDP模型可以在多个层面有效阻止攻击链。没有经过验证过程，零信任就不会暴露任何关于网络资源的信息，这有效地限制了攻击者在侦察阶段可以获的信息。SDP客户端持续进行动态设备验证，可以监测攻击者在安装和控制阶段的各种异常行动。当然，贯穿整个零信任模型的“按需授权”(Need-to-Know)原则可以有效地限制攻击者在行动阶段的活动。其中，SPA报文格式如图8所示。

如图3和图4所示，统一身份认证平台作为不同类型应用系统唯一数据源，向各个应用系统发送用户信息，便于不同类型业务应用系统能够及时调用需要的信息，形成一套用户数据库，使人员、用户身份、应用授权等管理均实现了统一化。多因子认证系统是认证中台服务系统的核心，通过扫码、人脸识别、动态口令、指纹、CA证书等多种形式，使PC端、移动端认证服务更加灵活安全。“一证通”以综合应用门户为基础，整合并集成了不同类型的应用系统，其中拓展接口的预留更是使得重要信息内容、个性化定制成为可能。窗口的统一化使得用户可集中获取、处理多种业务，安全访问企业所有授权应用。在该系统中以多因子技术为依据形成了统一身份认证服务平台，借助集中证书、账户、授权、认证、审计等管理应用模块的使用，使用户账户实现了统一化管理，系统资源能够集中整合、共享、管控。

基于国密算法的零信任单包认证与授权方案模型如图9所示，主要包括：终端设备、零信任网关、密钥生成中心、服务资源。

终端设备是数据资源的请求者，可以是用户、笔记本电脑、手机设备等。在本方案中，密钥生成中心为终端设备生成与零信任网关通信的会话密钥以及自己的公钥和私钥。终端设备利用会话密钥对单一数据包进行加密，用私钥对单一数据包进行签名，然后将加密信息、摘要信息和签名信息发送给零信任网关作为认证请求。如果认证通过，终端设备便可以访问相应的服务资源。

零信任网关负责认证终端设备的身份信息、单一数据包信息、摘要信息和签名信息。此外，零信任网关也负责配置相关的拒绝策略，默认拒绝对应端口所有用户的访问，以此来实现服务资源端口的隐藏。

密钥生成中心负责管理和分发密钥。在本方案中，密钥生成中心利用国密算法为终端设备和零信任网关生成对应的密钥，比如：终端设备和零信任网关之间通信的会话密钥、终端设备对单一数据包信息签名的私钥等。

服务资源是数据资源的提供者，主要负责管理服务资源，保护服务资源不受到外部侵害，为终端设备提供业务支持。本方案中服务资源包含远程登录服务、WEB服务等。

可选地，所述零信任客户端生成单一数据包信息，利用加密密钥以及终端设备的公钥和私钥，对单一数据包信息进行加密、摘要计算以及签名处理，得到单一数据包信息的加密信息、摘要信息和签名信息，包括：零信任客户端进行初始化操作后，根据自身属性生成单一数据包信息；零信任客户端利用国密算法SM4和加密密钥，对单一数据包信息进行加密，得到单一数据包信息的加密信息；零信任客户端利用国密算法SM3和终端设备的公钥，计算单一数据包信息的消息摘要，得到单一数据包信息的摘要信息；零信任客户端利用国密算法SM2和终端设备的公钥，对单一数据包信息进行签名，得到单一数据包信息的签名信息；零信任客户端将单一数据包信息的加密信息、摘要信息和签名信息并发送至零信任网关。

可选地，所述零信任网关利用解密密钥和终端设备的公钥，对终端设备的身份信息、单一数据包信息、摘要信息和签名信息进行认证，包括：零信任网关进行初始化操作后，接收零信任客户端发送的单一数据包信息的加密信息、摘要信息和签名信息；零信任网关利用国密算法SM2和终端设备的公钥，验证单一数据包信息的签名信息是否正确；零信任网关利用利用国密算法SM4和解密密钥，对单一数据包信息的加密信息进行解密；零信任网关利用国密算法SM3和终端设备的公钥，计算解密得到的单一数据包信息的消息摘要，将计算得到的消息摘要与接收到的消息摘要进行比对，验证单一数据包信息的摘要信息是否正确；零信任网关验证解密得到的单一数据包信息是否合法。

在本发明实施例中，终端设备的执行流程如图5所示。终端设备首先进行初始化操作，由密钥生成中心生成与零信任网关通信的加密密钥以及自己的公私钥对，然后根据自身属性生成单一数据包(SPA)信息，并对此单一数据包信息进行加密、摘要计算和签名，最后将加密的单一数据包信息、单一数据包信息的摘要结果以及单一数据包信息的数字签名统一发送给零信任网关。

第二步，我们将单一数据包信息转化为JSON格式，然后利用国密算法SM4对单一数据包信息进行加密。第三步，我们利用国密算法SM3计算单一数据包信息的消息摘要。第四步，我们利用国密算法SM2对单一数据包信息进行签名。最后我们将加密信息、消息摘要、签名信息统一发送给零信任网关。

零信任网关的执行流程如图6所示。零信任网关首先进行初始化，然后运行22号端口的拒绝策略。接收到终端设备发送的单一数据包信息之后，零信任网关验证单一数据包信息的签名结果、解密单一数据包信息、验证单一数据包信息的消息摘要以及验证单一数据包信息的具体内容。如果以上信息都验证成功，则为客户端生成临时访问凭证，允许访问服务资源。

零信任网关的执行流程。第一步，我们验证单一数据包信息签名信息的正确性，图6显示两种验签方式都为True。第二步，我们解密单一数据包信息，从图6可以看出能正确恢复单一数据包信息的具体内容。第三步，我们验证客户端的消息摘要，此消息摘要值和终端设备发送的消息摘要值一致。第四步，我们验证单一数据包信息的信息。从图6可以明显看出，零信任网关都能成功验证终端设备发送的认证信息，从而证明终端设备是一个合法的请求者。

可选地，统一身份认证方法还包括：零信任客户端将策略管理员为自己颁发的原始票据转换为指定票据，并将指定票据发送至服务管理员；当零信任客户端请求访问服务资源时，服务管理员通过验证指定票据的真实性，来判断零信任客户端的合法身份；如果验证通过，则给零信任客户端颁发一致性票据；在收到零信任客户端的指定票据后，服务管理员验证指定票据的真实性，进一步允许或拒绝零信任客户端访问业务资源；当服务管理员发现指定票据有误后，向追溯中心发起仲裁请求；追溯中心利用密钥生成中心生成的追溯密钥确定与指定票据对应的原始票据的颁发者。

在本发明实施例中，基于零信任的可追溯隐私保护认证方案模型如图7所示，主要包含四个参与者：零信任客户端、策略管理员、服务管理员和追溯中心。

零信任客户端是数据的请求者，他拥有来自策略管理员为自己颁发的票据。为了保护此票据的隐私性，他可以将原始票据转换为指定票据，并将其发送给服务管理员。服务管理员可以通过验证指定票据的真实性，来判零信任客户端的合法身份，从而避免泄露票据的隐私。

策略管理员是零信任网络控制平面的决策者。当零信任客户端请求访问服务资源时，策略管理员需要对零信任客户端的身份进行验证，如果验证通过，则给零信任客户端颁发一致性票据。

服务管理员是服务器数据资源的管理者。在收到零信任客户端的指定票据后，服务管理员可以验证指定票据的真实性，进一步允许或拒绝零信任客户端访问业务资源。

追溯中心相当于一个仲裁者，当服务管理员发现指定票据有问题之后，他可以向追溯中心发起仲裁请求。追溯中心利用追溯密钥找到真实指定票据的颁发者，从而进行追责。

本发明构建了一个基于零信任架构的认证模型，此认证模型主要包含网络代理层、零信任网络层、服务资源层三大模块。网络代理层是用户多维身份信息的组合，包从含用户、设备等。零信任网络层以身份管理基础设施为基石，对用户和设备进行统一身份认证。零信任网络中的控制平面和数据平面对用户的请求进行认证，并授权合法用户的最小权限，控制用户细粒度访问业务应用，从而保证服务资源的安全性。服务资源层为用户提供所需的数据资源。

本发明提出了基于国密算法的零信任单包认证与授权方案。将国密算法和零信任单包授权技术相结合，提出了一种基于国密算法零信任单包认证与授权方案。实现了一种基于国密算法的零信任单包认证与授权方案。我们利用单包授权(Single PacketAuthorization,SPA)将单个数据包通过国密算法进行加密，并对用户的身份进行校验。此外，SPA通过防火墙的过滤规则来隐藏SSH端口，只有通过认证之后，才能将此端口打开并完成数据的访问。最后，我们在公有云上对本方案进行了分析，通过开源框架Fwknop实现对用户发送数据包的认证与授权，进一步实现服务资源的隐藏，结果表明本方案可以有效的提高系统的安全性。

本发明实现了一个基于零信任的可追溯隐私保护认证方案。在此方案中，我们改进了传统广义指定验证者签名(UDVS)方案，并在其方案基础上增加了对真实签名者的追溯。在零信任网络中，用户利用策略管理员颁发的票据来访问服务资源，但是用户又不想直接泄露此票据信息，于是将原始的票据信息转换为指定票据，以此来实现票据的隐私保护。但是，当服务管理员发现指定票据有问题时，可以向追溯中心发起仲裁请求，从而完成追责。最后，我们证明了本方案的正确性和安全性，并在零信任单包认证与授权环境下展示了本方案的可用性。基于零信任的可追溯隐私保护认证方案。在传统广义指定验证者签名方案的基础上提出了一种基于零信任的可追溯隐私保护认证方案，然后对所提方案进行正确性分析、安全性证明和效率分析，最后结合单包授权技术分析了所提方案的可用性。

本发明通过零信网络的安全解决方案，企业不仅可以获得保护其资源所需的安全性，还可以实现可观的业务效益。除了改进在整个企业范围内的可视性和缩短发现漏洞的时间，企业还可以降低自身的安全堆栈，最大限度地减少安全技能人才短缺的影响，并保护客户数据以避免声誉受损损失和重大经济损失等。同时，企业也可以改善用户的体验并促进通过采用零信任安全架构将企业快速迁移到云端。此方法商业和安全益处如下：

1.保护客户的数据

一旦恶意软件进入防火墙内的最终用户的服务器，它就可以将客户数据传输到网络外部的控制服务器。若私人或机密客户的数据出错可能会对客户造成一定不良的影响，具体包括：

1)对客户的破坏：若客户的个人身份信息被盗将对客户的生活造成严重的影响，网络犯罪 可能会通过被盗用的身份访问客户的各种详细数据，影响客户的日常生活。

2)声誉损害：客户和利益相关联，若一个企业无法妥善保护好客户的重要数据，导致客户的重要信息被泄露，那么将会影响到企业的声誉，导致很多人将拒绝与其合作。

3)知识产权损失：若知识产权被盗可能会使企业损失数年的努力，消灭自身的竞争优势。

实施有效的零信任解决方案可以确保只有经过身份验证和授权的用户、设备才能访问应用程序和数据，这样可以防止许多负面后果的出现。

2.减少发现漏洞的时间

从理论上讲，实施零信任网络意义重大。网络安全威胁可以来自网络外部或内部的任何地方，甚至可以从一个地方开始转移到另一个地方。采用“永不信任，始终验证”的原则可以帮助组织减少与应用程序和服务相关的漏洞。减少发现漏洞的时间具体有三个方面：

用户/请求

侵入传统企业安全框架的黑客通常可以在未被发现的情况下继续寻找有价值的资料，并且将在目标网络中横向移动感染其他主机。使用现有基于边界的安全系统，很难跟踪和监视到外部域的DNS请求。由于企业每天要分析的数据量太大，所以大多数公司都不进行流量审核。零信任提供可见性实时了解用户行为，以便IT团队能够快速发现问题、立即触发干预。

设备

一台设备每天可以进行几千次查询，每个用户可能网络上都有多个设备。大量的请求阻碍了企业从将这些数据输入到安全信息和事件管理能够提供网络级别可见性的系统。基于云的零信任服务可以将网络上的流量与来自其他网络的流量关联起来，从而使之更容易了解并识别非正常请求的趋势。

数据

由于DNS流量在传统网络中是未过滤和开放的，所以恶意的DNS将不受检查，而绕过所有网络级安全检测。基于此情况，网络犯罪 通常使用DNS隧道来过滤敏感数据。这些数据包是加密的，通过压缩、切割并传送到外部犯罪服务器。零信任解决方案可以检查网络中的所有流量并基于DNS的数据进行过滤检测。

3.降低安全堆栈的复杂性

用遗留技术实现安全性是非常复杂和昂贵的，传统的边界环境包括用于访问控制的虚拟或硬件设备、安全机制，以及应用程序交付和性能实用程序。若想在全局中设置运行传统的边界环境，那么则必须重复这些堆栈以获得冗余和跨区域和数据中心的高可用性。但若使用基于云的零信任解决方案则可以通过将所有这些功能转移到云服务的方法来消除这种复杂性。

4.解决安全技能短缺

对于企业的威胁越来越复杂而且越来越有针对性，可以帮助 进行攻击企业的工具越来越多。传统的安全边界不再提供可行的保护，面对暴露新的漏洞和攻击面需要大量的专家进行专门的解决，这样会消耗企业大量的人力和财力。但是大量拼凑在一起的安全产品涌入，将IT部署、管理和集成的技术堆砌在一起，进一步对本来压力很大的企业员工进行征税。

这些因素导致企业对网络安全的关注逐渐增加，也推动了网络安全的发展，但同时也导致技能短缺。据了解，战略小组和信息系统安全协会的调查报告显示：70％的受访者认为安全技能短缺正在影响他们的企业的发展。

因为实现零信任的环境是基于云环境，所以当实际采用零信任的组织模型时企业不再需要安装复杂的设备堆栈来保护每个数据中心，可以降低复杂性并且简化操作。

5.提供安全性和出色的最终用户体验

过去，企业必须在强大的安全性和良好的、高效的用户体验之间进行权衡。高度安全的密码通常很复杂，当用户花费大量时间重新输入多个冗长的密码时会降低生产效率。当用户尝试通过写下复杂的密码来加强记忆，或者使用过于简单容易的密码时，则会危及安全性。

零信任解决方案提供安全的访问、生产效率和易用性。SSO进一步增强了用户体验并通过允许用户登录到它们需要并可以访问的应用程序，而不需要每次重新验证。

基于云的零信任解决方案还可以优化应用程序性能，并适用于不同的设备类型和网络条件，这些解决方案能够实时适应内容、用户行为的变化，以及通过自适应和蜂窝加速实现连接。利用机器学习的自适应基于真实用户行为的性能自动化技术加速解决方案。基于全球互联网状况，蜂窝加速解决方案通过使用快速、高效和现代的web协议，以及通过智能的优化协议和路由来减少延迟。

6.促进企业迁移至云端

企业正越来越多的寻求通过转向SaaS和IaaS平来实现其应用程序和基础设施的现代化。但当企业采取这一方法时，他们并不能再继续使用之前的安全解决方案。传统基于设备的防火墙和网关从未在云环境中使用，因此企业无法充分保护云应用程序的安全性，甚至阻碍了企业上云。

还需要指出的是，在本发明的系统、设备和方法中，各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本发明的等效方案。提供所公开的方面的以上描述以使本领域的任何技术人员能够做出或者使用本发明。对这些方面的各种修改对于本领域技术人员而言是非常显而易见的，并且在此定义的一般原理可以应用于其他方面而不脱离本发明的范围。因此，本发明不意图被限制到在此示出的方面，而是按照与在此公开的原理和新颖的特征一致的最宽范围。

为了例示和描述的目的已经给出了以上描述。此外，此描述不意图将本发明的实施例限制到在此公开的形式。尽管以上已经讨论了多个示例方面和实施例，但是本领域技术人员将认识到其某些变型、修改、改变、添加和子组合。

Claims (10)

1.一种基于零信任架构的统一身份认证方法，其特征在于，包括：

零信任网关响应于零信任客户端发送的资源获取请求，对终端设备进行身份验证，并在身份验证通过后将密钥生成请求发送至密钥生成中心；其中，零信任客户端安装在用户的终端设备；

密钥生成中心利用国密算法生成对应的加密密钥、解密密钥、终端设备的公钥和私钥，将解密密钥和终端设备的公钥发送至零信任网关，将加密密钥以及终端设备的公钥和私钥发送至零信任客户端；

零信任客户端生成单一数据包信息，利用加密密钥以及终端设备的公钥和私钥，对单一数据包信息进行加密、摘要计算以及签名处理，得到单一数据包信息的加密信息、摘要信息和签名信息并发送至零信任网关；

零信任网关利用解密密钥和终端设备的公钥，对终端设备的身份信息、单一数据包信息、摘要信息和签名信息进行认证，并且认证通过后允许终端设备临时访问服务资源。

2.根据权利要求1所述的方法，其特征在于，所述零信任客户端生成单一数据包信息，利用加密密钥以及终端设备的公钥和私钥，对单一数据包信息进行加密、摘要计算以及签名处理，得到单一数据包信息的加密信息、摘要信息和签名信息，包括：

零信任客户端进行初始化操作后，根据自身属性生成单一数据包信息；

零信任客户端利用国密算法SM4和加密密钥，对单一数据包信息进行加密，得到单一数据包信息的加密信息；

零信任客户端利用国密算法SM3和终端设备的公钥，计算单一数据包信息的消息摘要，得到单一数据包信息的摘要信息；

零信任客户端利用国密算法SM2和终端设备的公钥，对单一数据包信息进行签名，得到单一数据包信息的签名信息；

零信任客户端将单一数据包信息的加密信息、摘要信息和签名信息并发送至零信任网关。

3.根据权利要求1所述的方法，其特征在于，所述零信任网关利用解密密钥和终端设备的公钥，对终端设备的身份信息、单一数据包信息、摘要信息和签名信息进行认证，包括：

零信任网关进行初始化操作后，接收零信任客户端发送的单一数据包信息的加密信息、摘要信息和签名信息；

零信任网关利用国密算法SM2和终端设备的公钥，验证单一数据包信息的签名信息是否正确；

零信任网关利用利用国密算法SM4和解密密钥，对单一数据包信息的加密信息进行解密；

零信任网关利用国密算法SM3和终端设备的公钥，计算解密得到的单一数据包信息的消息摘要，将计算得到的消息摘要与接收到的消息摘要进行比对，验证单一数据包信息的摘要信息是否正确；

零信任网关验证解密得到的单一数据包信息是否合法。

4.根据权利要求1所述的方法，其特征在于，还包括：

零信任客户端将策略管理员为自己颁发的原始票据转换为指定票据，并将指定票据发送至服务管理员；

当零信任客户端请求访问服务资源时，服务管理员通过验证指定票据的真实性，来判断零信任客户端的合法身份；如果验证通过，则给零信任客户端颁发一致性票据；

在收到零信任客户端的指定票据后，服务管理员验证指定票据的真实性，进一步允许或拒绝零信任客户端访问业务资源；

当服务管理员发现指定票据有误后，向追溯中心发起仲裁请求；追溯中心利用密钥生成中心生成的追溯密钥确定与指定票据对应的原始票据的颁发者。

5.根据权利要求1所述的方法，其特征在于，所述零信任架构由零信任客户端、零信任控制器、零信任网关三部分组成；其中

零信任客户端通过自动或者手动方式安装在用户终端，功能包括设备验证、与零信任网关建立隧道，其中设备验证包括用户行为分析和终端检测响应功能；

零信任控制器负责零信任客户端和服务资源之间的信任协调；

零信任网关是与零信任客户端之间的加密连接的终点，用于向零信任控制器确认零信任客户端是否可以访问指定资源的，是否可以跟应用系统建立连接。

6.根据权利要求1所述的方法，其特征在于，还包括：

当用户点击零信任客户端后，零信任客户端生成单一数据包信息并发送至零信任控制器，其中单一数据包信息包括一把密钥；

零信任控制器通过这把密钥识别用户的身份信息，然后使用PKI认证，在零信任客户端和零信任控制器之间建立一个加密隧道；

零信任控制器将用户的身份信息发给零信任网关；

零信任客户端建立一个到零信任网关的TLS隧道，之后零信任客户端穿过TLS隧道运行应用程序，其中零信任客户端和零信任网关始终保持与零信任控制器的通信，随时交换信息。

7.一种基于零信任架构的统一身份认证平台，其特征在于，包括：终端设备、零信任网关、密钥生成中心、服务资源；其中

终端设备是数据资源的请求者，安装有零信任客户端，用于将资源获取请求发送至零信任网关；

零信任网关用于响应于零信任客户端发送的资源获取请求，对终端设备进行身份验证，并在身份验证通过后将密钥生成请求发送至密钥生成中心；其中，零信任客户端安装在用户的终端设备；

密钥生成中心用于利用国密算法生成对应的加密密钥、解密密钥、终端设备的公钥和私钥，将解密密钥和终端设备的公钥发送至零信任网关，将加密密钥以及终端设备的公钥和私钥发送至零信任客户端；

零信任客户端还用于生成单一数据包信息，利用加密密钥以及终端设备的公钥和私钥，对单一数据包信息进行加密、摘要计算以及签名处理，得到单一数据包信息的加密信息、摘要信息和签名信息并发送至零信任网关；

零信任网关还用于利用解密密钥和终端设备的公钥，对终端设备的身份信息、单一数据包信息、摘要信息和签名信息进行认证，并且认证通过后允许终端设备临时访问服务资源。

8.根据权利要求7所述的平台，其特征在于，

零信任客户端进行初始化操作后，根据自身属性生成单一数据包信息；

零信任客户端利用国密算法SM4和加密密钥，对单一数据包信息进行加密，得到单一数据包信息的加密信息；

零信任客户端利用国密算法SM3和终端设备的公钥，计算单一数据包信息的消息摘要，得到单一数据包信息的摘要信息；

零信任客户端利用国密算法SM2和终端设备的公钥，对单一数据包信息进行签名，得到单一数据包信息的签名信息；

零信任客户端将单一数据包信息的加密信息、摘要信息和签名信息并发送至零信任网关。

9.根据权利要求7所述的平台，其特征在于，

零信任网关进行初始化操作后，接收零信任客户端发送的单一数据包信息的加密信息、摘要信息和签名信息；

零信任网关利用国密算法SM2和终端设备的公钥，验证单一数据包信息的签名信息是否正确；

零信任网关利用利用国密算法SM4和解密密钥，对单一数据包信息的加密信息进行解密；

零信任网关利用国密算法SM3和终端设备的公钥，计算解密得到的单一数据包信息的消息摘要，将计算得到的消息摘要与接收到的消息摘要进行比对，验证单一数据包信息的摘要信息是否正确；

零信任网关验证解密得到的单一数据包信息是否合法。

10.根据权利要求7所述的平台，其特征在于，还包括基于零信任的可追溯隐私保护认证方案模型，可追溯隐私保护认证方案模型包括零信任客户端、策略管理员、服务管理员和追溯中心；其中

零信任客户端将策略管理员为自己颁发的原始票据转换为指定票据，并将指定票据发送至服务管理员；

当零信任客户端请求访问服务资源时，服务管理员通过验证指定票据的真实性，来判断零信任客户端的合法身份；如果验证通过，则给零信任客户端颁发一致性票据；

在收到零信任客户端的指定票据后，服务管理员验证指定票据的真实性，进一步允许或拒绝零信任客户端访问业务资源；

当服务管理员发现指定票据有误后，向追溯中心发起仲裁请求；追溯中心利用密钥生成中心生成的追溯密钥确定与指定票据对应的原始票据的颁发者。