CN117857111A - 零信任访问控制方法和系统、访问控制系统及存储介质 - Google Patents
零信任访问控制方法和系统、访问控制系统及存储介质 Download PDFInfo
- Publication number
- CN117857111A CN117857111A CN202311695442.8A CN202311695442A CN117857111A CN 117857111 A CN117857111 A CN 117857111A CN 202311695442 A CN202311695442 A CN 202311695442A CN 117857111 A CN117857111 A CN 117857111A
- Authority
- CN
- China
- Prior art keywords
- data
- user
- node
- access
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 94
- 230000008520 organization Effects 0.000 claims description 72
- 230000008569 process Effects 0.000 claims description 17
- 230000000977 initiatory effect Effects 0.000 claims description 14
- 238000012795 verification Methods 0.000 claims description 12
- 238000012163 sequencing technique Methods 0.000 claims description 9
- 238000012545 processing Methods 0.000 claims description 8
- 230000009191 jumping Effects 0.000 claims description 6
- 230000000903 blocking effect Effects 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 16
- 230000006870 function Effects 0.000 description 15
- 238000012546 transfer Methods 0.000 description 14
- 230000000694 effects Effects 0.000 description 11
- 239000003795 chemical substances by application Substances 0.000 description 7
- 238000004458 analytical method Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 2
- 239000003999 initiator Substances 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000008447 perception Effects 0.000 description 2
- 230000010076 replication Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 125000002015 acyclic group Chemical group 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 210000001503 joint Anatomy 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Landscapes
- Storage Device Security (AREA)
Abstract
本申请提供一种零信任访问控制方法和系统、访问控制系统及存储介质,零信任访问控制方法包括:获取数据流转系统中的访问请求;从用户身份认证系统中获取发送访问请求的用户的身份信息;将身份信息与预设身份信息进行匹配,预设身份信息用于表征数据流转系统中允许访问目标业务节点的用户的身份信息,目标业务节点为访问请求需要访问的业务节点;若匹配失败,则拒绝访问请求进行访问。在数据流转系统中的访问请求实际进行访问前,通过将发起访问请求的用户身份与访问请求所要访问的业务节点的身份要求进行匹配,以确定访问请求是否有权限访问相应的业务节点,能够提高访问请求所要访问的业务节点中数据的安全性,进而提高数据流转系统的安全性。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种零信任访问控制方法和系统、访问控制系统及存储介质。
背景技术
在边缘-雾-云环境中,传统的工作流引擎和管道框架,能够实现物联网数据的流转。结合持续交付技术,应用在软件行业中,就是将系统拆分成多个小的可管理的软件片段,每个软件片段分配给不同的团队,每个团队将其软件片段通过相关基础设施进行部署和执行,然后结合有向无环图(Directed Acyclic Graph,DAG)进行集成和管理。
然而,如果流转的数据没有按照DAG中的顺序由通过验证的参与者执行,那么,数据在流转的过程中就有可能被篡改,篡改的数据进入数据流转的下一环节,会威胁下一环节中的信息安全,降低数据流转的安全性。
发明内容
本申请实施例的目的是提供一种零信任访问控制方法和系统、访问控制系统及存储介质,以使提高数据流转的安全性。
为解决上述技术问题,本申请实施例提供如下技术方案:
本申请第一方面提供一种零信任访问控制方法,所述方法应用于零信任访问控制系统,所述零信任访问控制系统分别与数据流转系统和用户身份认证系统连接;所述方法包括:获取数据流转系统中的访问请求;从用户身份认证系统中获取发送所述访问请求的用户的身份信息;将所述身份信息与预设身份信息进行匹配,所述预设身份信息用于表征所述数据流转系统中允许访问目标业务节点的用户的身份信息,所述目标业务节点为所述访问请求需要访问的业务节点;若匹配失败,则拒绝所述访问请求进行访问。
相较于现有技术,本申请第一方面提供的零信任访问控制方法,在数据流转系统中的访问请求实际进行访问前,通过将数据流转系统中发起访问请求的用户身份与访问请求所要访问的业务节点的身份要求进行匹配,以确定访问请求是否有权限访问相应的业务节点,并在确定访问请求不具备访问权限的情况下,拒绝访问请求进行访问,能够提高访问请求所要访问的业务节点中数据的安全性,进而提高数据流转系统的安全性。
在本申请第一方面的一些变更实施方式中,所述从用户身份认证系统中获取发送所述访问请求的用户的身份信息,包括:响应所述访问请求,跳转至所述用户身份认证系统;获取所述用户身份认证系统颁发的用户登录令牌;从所述用户登录令牌中获取用户信息,并将所述用户信息作为发送所述访问请求的用户的身份信息。
通过用户身份认证系统颁发的用户登录令牌获取发送访问请求的用户的身份信息,能够避免从访问请求中获取伪装的用户身份信息,提高用户身份信息获取的准确性,进而提高访问控制的准确性。
在本申请第一方面的一些变更实施方式中,在获取所述用户身份认证系统颁发的用户登录令牌之前,所述方法还包括:判断所述用户身份认证系统是否已登录;若是,则显示进入所述用户身份认证系统的页面,并在确认进入后,向所述用户身份认证系统发送所述用户登录令牌的获取请求;若否,则显示所述用户身份认证系统的登录页面,并在登录成功后,向所述用户身份认证系统发送所述用户登录令牌的获取请求。
通过判断访问请求的发起者是否已在用户身份认证系统中登录,若已登录,可以直接请求用户身份认证系统颁发用户登录凭证,无需再次登录,提高用户身份信息的获取效率。
在本申请第一方面的一些变更实施方式中,所述数据流转系统包括多个业务节点,每个业务节点对应有其允许访问的用户身份信息;在将所述身份信息与预设身份信息进行匹配之前,所述方法还包括:确定所述访问请求需要访问的目标业务节点;提取所述目标业务节点的标识;根据节点标识与允许访问的用户身份信息的对应关系,确定所述目标业务节点的标识对应的用户身份信息;将确定的用户身份信息作为所述预设身份信息。
先确定访问请求需要访问的业务节点的标识,再通过标识确定该业务节点允许访问的用户身份信息,能够提高业务节点的查找效率,进而提高用户身份信息匹配的效率。
在本申请第一方面的一些变更实施方式中,所述零信任访问控制系统包括多个后端服务,每个后端服务用于处理所述零信任访问控制系统中的请求;所述拒绝所述访问请求进行访问,包括:阻断所述访问请求,并向发起所述访问请求的用户反馈拒绝访问信息;所述方法还包括:若匹配成功,则从多个后端服务中选择性能最优的后端服务,向性能最优的后端服务发送所述访问请求,以使性能最优的后端服务将所述访问请求发送至需要访问的业务节点。
在允许访问请求进行访问的情况下,选择性能最优的后端服务发出访问请求,能够提高访问效率。
在本申请第一方面的一些变更实施方式中,所述方法还包括:获取所述数据流转系统中的数据操作信息;将所述数据操作信息存储于区块链中,所述区块链与所述零信任访问控制系统连接。
通过将数据流转系统中的数据操作信息存储于区块链,能够对数据流转系统中的所有操作进行记录,针对数据流转系统的任何更改都会被登记,在数据流转系统中流传的数据被第三方或系统参与者更改了,仍然能够追溯,并且不会额外耗费数据流转系统中的资源。
在本申请第一方面的一些变更实施方式中,所述零信任访问控制系统中包括背书节点;在将所述数据操作信息存储于区块链中之前,所述方法还包括:生成所述数据操作信息的上链存储请求;将所述上链存储请求发送至所述背书节点,以使所述背书节点基于所述上链存储请求模拟数据操作信息的上链存储过程,并生成模拟存储后的数据操作信息的第一信息值;将所述第一信息值与所述第二信息值进行对比,所述第二信息值为所述数据流转系统中原始生成的数据操作信息的信息值;所述将所述数据操作信息存储于区块链中,包括:若对比一致,则向所述区块链发送所述上链存储请求,以使所述区块链存储所述数据操作信息;所述方法还包括:若对比不一致,则拒绝将所述数据操作信息存储于区块链中。
在将数据操作信息上链存储前,先判断数据操作信息的上链存储请求是否被修改,如果确定被修改,就不再基于上链存储请求将数据操作信息上链存储,提高区块链中数据流转系统的数据操作信息存储的准确性。
在本申请第一方面的一些变更实施方式中,所述零信任访问控制系统中包括排序节点;在将所述数据操作信息存储于区块链中之前,所述方法还包括:生成所述数据操作信息的上链存储请求;将所述上链存储请求发送至所述排序节点,以使所述排序节点基于所述上链存储请求中的数据操作信息生成区块及其在所述区块链中的位置;将所述区块和所述位置进行广播,以使所述零信任访问控制系统中的每个节点能够从所述区块链中获得所述数据操作信息。
通过排序节点将数据操作信息生成区块及其在区块链中的位置,使得数据流转系统中的每一个数据操作信息都能够在指定的节点中统一生成区块及其位置,避免区块链中的区块重复,以及通过排序节点将生成的区块及其位置进行广播,能够使零信任访问控制系统中的各节点都能够从区块链中获得该数据操作信息。
在本申请第一方面的一些变更实施方式中,所述零信任访问控制系统中包括提交节点;在将所述数据操作信息存储于区块链中之前,所述方法还包括:通过所述提交节点从所述广播中获取所述区块;基于所述数据流转系统的业务要求判断所述区块中的数据操作信息是否合规;所述将所述数据操作信息存储于区块链中,包括:当所述提交节点确定所述数据操作信息合规时,将所述区块按照所述位置在所述区块链中上链存储,并反馈上链存储结果。
通过提交节点最后对待上链存储的数据操作信息进行业务合规性的判断,并在判断数据操作信息符合业务要求时,再上链存储数据操作信息,进一步提高区块链中数据流转系统中数据操作信息存储的准确性。
在本申请第一方面的一些变更实施方式中,所述零信任访问控制系统包括盟主系统和两个从组织系统,所述盟主系统用于管理所述从组织系统,两个从组织系统中的第一从组织系统用于将所述数据流转系统中上一业务节点的数据上传至所述盟主系统,两个从组织系统中的第二从组织系统用于从所述盟主系统下载数据并发送至所述数据流转系统中的下一业务节点;所述方法还包括:通过所述第一从组织系统获取所述访问请求;将所述第一从组织系统中的所述访问请求发送至所述盟主系统;当通过所述盟主系统确定所述访问请求允许访问时,将所述盟主系统中的所述访问请求发送至所述第二从组织系统;通过所述第二从组织系统发出所述访问请求。
通过划分出盟主系统和两个从组织系统,将盟主系统作为中间媒介,使用一个从组织系统获取数据流转系统中上一业务节点的访问请求,并通过盟主系统同步至另一个从组织系统,有效的将数据流转系统中的上传与下载过程隔离,提高数据流转系统中各业务节点之间的安全性。
在本申请第一方面的一些变更实施方式中,所述第一从组织系统包括主节点和多个跟随节点,所述主节点用于从所述数据流转系统中获取数据,所述多个跟随节点用于同步所述主节点获取的数据,并对获取的数据进行处理;所述方法还包括:当跟随节点在预设时间段内未接收到所述主节点发送的数据时,所述跟随节点转换为候选节点,并向所述多个跟随节中除所述候选节点外的其它跟随节点发送主节点的竞选请求;当所述其它跟随节点中预设比例的节点同意所述竞选请求时,所述候选节点转换为主节点;所述通过所述第一从组织系统获取所述访问请求,包括:通过转换后的主节点获取所述访问请求。
在从组织系统中,通过选举出的主节点获取访问请求,并通过跟随节点处理访问请求,并且在确定主节点没有响应的情况下,多个跟随节点通过竞选生成新的主节点,在确保选出的主节点安全的同时,还确保访问请求能够实时有效的获取,提高访问控制的精准性。
本申请第二方面提供一种零信任访问控制系统,所述零信任访问控制系统分别与数据流转系统和用户身份认证系统连接;所述零信任访问控制系统包括:第一获取模块,用于获取数据流转系统中的访问请求;第二获取模块,用于从用户身份认证系统中获取发送所述访问请求的用户的身份信息;验证模块,用于将所述身份信息与预设身份信息进行匹配,所述预设身份信息用于表征所述数据流转系统中允许访问目标业务节点的用户的身份信息,所述目标业务节点为所述访问请求需要访问的业务节点;控制模块,用于若匹配失败,则拒绝所述访问请求进行访问。
本申请第三方面提供一种访问控制系统,所述访问控制系统包括:数据流转系统、用户身份认证系统和第二方面中的零信任访问控制系统;其中,所述零信任访问控制系统分别与所述数据流转系统和所述用户身份认证系统连接。
本申请第四方面提供一种计算机可读存储介质,所述存储介质包括:存储的程序;其中,在所述程序运行时控制所述存储介质所在设备执行第一方面中的方法。
本申请第二方面提供的零信任访问控制系统、第三方面提供的访问控制系统和第四方面提供的计算机可读存储介质,与第一方面提供的零信任访问控制方法具有相同或相似的技术效果。
附图说明
通过参考附图阅读下文的详细描述,本申请示例性实施方式的上述以及其他目的、特征和优点将变得易于理解。在附图中,以示例性而非限制性的方式示出了本申请的若干实施方式,相同或对应的标号表示相同或对应的部分,其中:
图1为本申请实施例中零信任访问控制方法的架构示意图一;
图2为本申请实施例中零信任访问控制方法的流程示意图一;
图3为本申请实施例中数据流转系统中各业务节点之间访问的过程示意图;
图4为本申请实施例中零信任访问控制方法的架构示意图二;
图5为本申请实施例中零信任访问控制方法的流程示意图二;
图6为本申请实施例中搭建的数据流转联盟链的结构示意图;
图7为本申请实施例中访问控制的过程示意图一;
图8为本申请实施例中访问控制的过程示意图二;
图9为本申请实施例中零信任访问控制系统的结构示意图一;
图10为本申请实施例中零信任访问控制系统的结构示意图二。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施方式。虽然附图中显示了本公开的示例性实施方式,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施方式所限制。相反,提供这些实施方式是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
需要注意的是,除非另有说明,本申请使用的技术术语或者科学术语应当为本申请所属领域技术人员所理解的通常意义。
目前,在数据流转系统中,如果流转的数据没有按照预设的顺序流转,可能就会导致系统最终根据错误的数据进行决策,从而导致决策错误,降低数据流转系统的安全性。
有鉴于此,本申请实施例提供一种零信任访问控制方法和系统、访问控制系统及存储介质,通过在数据流转系统中嵌入零信任访问控制系统,使得数据流转系统中各业务节点的访问得以有效控制,具体可以通过发出访问请求的用户与允许访问的用户的身份信息进行校验,这样,在数据流转系统中,各业务节点就能够被允许的用户访问,提高数据流转系统的安全性。
首先,对本申请实施例提供的零信任访问控制方法的整体架构进行说明。
图1为本申请实施例中零信任访问控制方法的架构示意图一,参见图1所示,该架构可以包括:数据流转系统11、零信任访问控制系统12和用户身份认证系统13。其中,零信任访问控制系统12分别与数据流转系统11和用户身份认证系统13连接。
数据流转系统,其中主要涉及数据流转,是指数据经过传输、处理等环节最终在系统间交换。数据流转过程一般包括:业务系统的操作和日志数据→原始数据(OperationalData Store,ODS)层→抽取、转化、加载(Extract Transform Load,ETL)→数据仓库→反哺业务。
零信任访问控制系统,基于零信任架构(Zero Trust Architecture),基于以下核心思想:不信任任何内部或外部网络,不论其位置、身份或设备,都不应被信任。零信任架构使用端对端安全连接和加密,目的在于维护传输过程中数据的完整性和安全性。具体可使用安全套接层(Secure Socket Layer,SSL)协议、安全外壳(Secure Shell,SSH)协议、虚拟专用网络(Virtual Private Network,VPN)等技术来实现。
在数据流转系统中,当某一个业务节点向另一个业务节点发出访问请求时,零信任访问控制系统获取访问请求,从用户身份认证系统中获取发出访问请求的用户身份信息,并与访问请求所要访问的业务节点允许访问的用户身份信息进行匹配,如果匹配成功,说明访问请求具有相应业务节点的访问权限,零信任访问控制系统将访问请求发送至相应的业务节点,如果匹配失败,说明访问请求不具有相应业务节点的访问权限,零信任访问控制系统拦截访问请求。这样,就实现了零信任访问控制系统对数据流转系统中各业务节点访问的控制。
这里需要说明的是,数据流转系统中的业务节点,可以是指某一个应用,也可以是指某一个业务系统。对于业务节点的具体内容,此处不做限定。
接下来,对本申请实施例提供的零信任访问控制方法进行详细说明。
图2为本申请实施例中零信任访问控制方法的流程示意图一,参见图2所示,该方法可以包括:
S21:获取数据流转系统中的访问请求。
在数据流转系统中,存在多个业务节点,每个业务节点之间的访问顺序是固定的。图3为本申请实施例中数据流转系统中各业务节点之间访问的过程示意图,参见图3所示,规定:业务节点1只能够访问业务节点2、业务节点2只能够访问业务节点3。可见,业务节点1访问业务节点3是不被允许的。当某一个业务节点发出访问请求时,零信任访问控制系统就需要获取访问请求,从而确定访问请求是否有相应的访问权限。
访问请求根据访问的具体对象会有所不同。当访问请求为用户访问某一业务系统时,访问请求可以是该业务系统的超文本传输协议(Hypertext Transfer Protocol,HTTP)地址或超文本传输安全协议(Hypertext Transfer Protocol Secure,HTTPS)地址。
S22:从用户身份认证系统中获取发送访问请求的用户的身份信息。
用户身份认证系统,可以是任意一种能够确定发送访问请求的用户的身份信息的系统。例如:单点登录(Single Sign On,SSO)系统。当零信任访问控制系统获取到访问请求后,可以通过页面跳转,向用户显示SSO系统的登录界面,提示用户登录。用户登陆后,SSO系统就可以获得用户的身份信息。进而零信任访问控制系统就能够从SSO系统中获得发出访问请求的用户的身份信息。再例如:请求解析系统。请求解析系统通过解析,能够获得请求中的所有内容。一般来说,访问请求中都会携带有发送者的信息(用户名、地址等)。将访问请求输入请求解析系统,请求解析系统对访问请求进行解析,能够解析出发出访问请求的用户的相关信息。零信任访问控制系统就能够从相关信息中获得发出访问请求的用户的身份信息。
S23:将身份信息与预设身份信息进行匹配。
其中,预设身份信息用于表征数据流转系统中允许访问目标业务节点的用户的身份信息,目标业务节点为访问请求需要访问的业务节点。
数据流转系统的各个业务节点,都有规定的能够进行访问的用户的身份信息。例如:用户A能够访问业务节点1、用户B能够访问业务节点2。将访问请求的用户身份信息与所要访问的业务节点允许访问的用户身份信息进行匹配,就能够确定访问的用户是否有访问相应业务节点的权限,进而确定访问请求是否能够进行访问。继续上述举例,假设通过访问请求确定是用户C需要访问业务节点1,而业务节点1只允许用户A访问,用户C与用户A不是同一个用户,匹配失败。假设通过访问请求确定是用户A需要访问业务节点1,而业务节点1只允许用户A访问,两者匹配成功。
这里需要说明的是,预设身份信息,可以是业务节点允许访问的用户身份信息,也可以是业务节点不允许访问的用户身份信息。
S24:若匹配失败,则拒绝访问请求进行访问。
当访问请求的用户身份信息与所要访问的业务节点允许访问的用户身份信息匹配失败时,说明发起访问请求的用户是不被访问请求所要访问的业务节点允许的,此时需要拒绝访问请求进行访问,即,拦截访问请求。
S25:若匹配成功,则允许访问请求进行访问。
当访问请求的用户身份信息与所要访问的业务节点允许访问的用户身份信息匹配成功时,说明发起访问请求的用户是是被访问请求所要访问的业务节点允许的,此时需要使得访问请求进行访问,即,转发访问请求。
由上述内容可知,本申请实施例提供的零信任访问控制方法,在数据流转系统中的访问请求实际进行访问前,通过将数据流转系统中发起访问请求的用户身份与访问请求所要访问的业务节点的身份要求进行匹配,以确定访问请求是否有权限访问相应的业务节点,并在确定访问请求不具备访问权限的情况下,拒绝访问请求进行访问,能够提高访问请求所要访问的业务节点中数据的安全性,进而提高数据流转系统的安全性。
进一步地,作为对图2所示方法的细化和扩展,本申请实施例还提供了一种零信任访问控制方法。
图4为本申请实施例中零信任访问控制方法的架构示意图二,参见图4所示,该架构可以包括:数据流转系统、零信任访问控制系统和用户身份认证系统。其中,数据流转系统可以包括用户区和应用区。用户区中设置有个人电脑(Personal Computer,PC)端。用户通过PC端可以使用客户端/服务器(Client/Server,C/S)架构下的应用、浏览器/服务器(Brower/Server,B/S)架构下的应用、其它应用等。应用区相应设置有C/S应用、B/S应用、其它应用等,以实现应用的相应功能。零信任访问控制系统嵌入在用户区与应用区之间。零信任访问控制系统中的零信任客户端设置在用户区,以便获取用户PC端中的数据。零信任访问控制系统中的零信任访问控制区根据用户数据进行访问控制,具体通过可信访问控制台(Trusted Access Console,TAC)、可信应用代理(Trusted Application Proxy,TAP)和智能身份分析(Intelligent Ddentity Snalysis,IDA)系统来实现。用户身份认证系统可以通过区块链实现,以协助零信任访问控制区进行用户身份验证。
首先,需要区块链身份认证与应用完成SSO对接。接下来,用户在PC端对应用进行操作后,零信任客户端获取设备标识、环境感知。可信访问控制台进行感知数据上报,智能身份分析系统进行评估结果同步。零信任客户端进行用户认证。可信访问控制台与区块链身份认证系统之间进行身份认证、获取应用访问权限。认证通过后,零信任客户端向可信应用代理进行导流。可信应用代理向可信访问控制台验证令牌,可信访问控制台验证通过后向可信应用代理动态授权,可信应用代理再将流量转发至应用区中的应用。
在上述架构中,涉及三个主要方面。第一方面,数据流转系统与零信任控制系统的部署。第二方面,数据流转系统中的数据在区块链中的上链。第三方面,零信任系统对数据流转系统中各业务节点的访问控制。
接下来,按照以上三个方面的顺序对本申请实施例提供的零信任访问控制方法进行详细说明。
图5为本申请实施例中零信任访问控制方法的流程示意图二,参见图5所示,该方法可以包括:
S51:搭建数据流转系统和零信任访问控制系统。
也就是在传统的数据流转系统中嵌入零信任访问控制系统,即搭建数据流转联盟链。
在搭建数据流转联盟链的过程中,在数据流转的各个业务节点之间,加入零信任架构。零信任访问控制系统包括盟主系统和两个从组织系统,盟主系统用于管理从组织系统,两个从组织系统中的第一从组织系统用于将数据流转系统中上一业务节点的数据上传至盟主系统,两个从组织系统中的第二从组织系统用于从盟主系统下载数据并发送至数据流转系统中的下一业务节点。也就是说,盟主系统和两个从组织系统存在于数据流转系统中相应的两个业务节点之间。
图6为本申请实施例中搭建的数据流转联盟链的结构示意图,参见图6所示,数据流转系统包括业务节点1、业务节点2和业务节点3。在业务节点1和业务节点2之间,存在盟主系统的盟主功能点a1、第一从组织系统的从组织功能点b1和第二从组织系统的从组织功能点c1。在业务节点2和业务节点3之间,存在盟主系统的盟主功能点a2、第一从组织系统的从组织功能点b2和第二从组织系统的从组织功能点c2。盟主功能点a1和盟主功能点a2构成盟主系统。从组织功能点b1和从组织功能点b2构成第一从组织系统。从组织功能点c1和从组织功能点c2构成第二从组织系统。
实际上,盟主系统、第一从组织系统和第二从组织系统是相同的,都是零信任架构,只是在具体的使用过程中,放置于不同的功能位置。
也就是说,零信任访问控制系统采用的是一主两从的架构。盟主(leader)系统作为共同信任的第三方,充当交易确认者和冲突仲裁者的角色,负责数据的收集、交易的确认、任务的验证等操作。两个从组织(follower1和follower2)系统作为数据下载区和数据上传区。彼此之间不能进行信息交互。
在盟主系统与从组织系统之间建立多个通道。盟主系统与第一从组织系统之间建立通道channel1,盟主系统与第二从组织系统之间建立通道channel2,实现不同从组织系统间的信息交换。流转数据从数据上传区(第一从组织系统)输入到安全审批域(盟主系统),经安全审批域批准后,流入数据下载区(第二从组织系统),为数据的受控流转奠定基础。
在盟主系统与从组织系统间进行信息同步时,可以采用Raft或其他自定义的共识算法实现。具体为从组织通过领导人选举、日志的复制等安全模块来保证通道中共享账本的一致性。通过可插拔的共识机制,允许用户根据实际情况选择最适合的共识算法。共识算法集成为一个独立的模块,如有需要可自定义替换。最终,用户可以根据使用场景及需求定制多样的共识算法。每个共识算法都有不同的特点和适用数据模态。
这样,当数据流转系统中某一个业务节点产生访问请求时,第一从组织系统就能够从该业务节点下载访问请求,并将访问请求发送至盟主系统。盟主系统确定访问请求允许访问时,就发送给第二从组织系统,以使第二从组织系统将访问请求上传至另一个业务节点。
无论是在第一从组织系统,还是在第二从组织系统中,都存在多个节点。在这里节点中,主要有一个主节点用于与客户端进行交互、日志复制等工作,也就是从数据流转系统中获取数据。其它节点则为多个跟随节点,用于同步主节点获取的数据,并对获取的数据进行处理,并且能够基于定时器在合适的时机竞选主节点。
在跟随节点竞选主节点的过程中,可以包括以下步骤:
步骤A1:当跟随节点在预设时间段内未接收到主节点发送的数据时,跟随节点转换为候选节点,并向多个跟随节中除候选节点外的其它跟随节点发送主节点的竞选请求。
在系统运行的任意一个周期内,主节点向跟随节点发送同步信息。如果跟随节点在周期时间内没有接收到主节点发送的同步信息,跟随节点就转换为候选节点。候选节点广播竞选请求,未竞选的跟随节点基于竞选请求采用系统底层的协议算法进行计算并投票。
步骤A2:当其它跟随节点中预设比例的节点同意竞选请求时,候选节点转换为主节点。
这里的其它跟随节点就是本次未参与主节点竞选的各个跟随节点。而预设比例,可以根据实际需求确定。在实际应用中,预设比例可以是50%以上的任意比例。也就是说,当大多数跟随节点投票同意时,相应的候选节点就可以转换为主节点,执行主节点的功能。
第一从组织系统中经历完成主节点的转换后,在下一次主节点转换前,第一从组织系统都是通过该主节点获取数据流转系统中的访问请求。
在进行搭建的同时,还可以预先配置一些信息,以便后续使用。例如:提取数据权益信息,定义数据权益为数据实体、数据活动、代理、附加信息四个部分。数据实体代表零信任系统中用户数据摘要信息,包括数据所有者、数据类型、数据哈希(Hash)值、数据文件的统一资源标识符(Uniform Resource Identifier,URI)、数据大小、数据版本等。数据活动定义与操作数据的相关概念,包括用户活动事件编号、活动对象(数据实体)、活动类型、活动代理,其中活动类型描述数据实体状态和数据实体的属性如何变化,包括数据新建、读取、增加、修改、删除、传输。
S52:将数据流转系统中的数据操作信息上链于区块链。
这样,在底层环境能保证不可篡改和全数据保留的分布式特性,系统记录了所有数据的完整历史,每个数据操作都被永久存储在区块链上,无论是数据的创建、修改还是删除。这确保了对数据的全程跟踪和历史回溯,而不用额外消耗资源。
具体来说,上述步骤S52可以包括:
步骤B1:获取数据流转系统中的数据操作信息。
在数据流转系统中,相关用户进行的任何操作,都会生成相应的数据操作信息。例如:在数据流转系统的业务节点1中,用户A创建了一个文档X。数据操作信息就可以是:用户A在业务节点1中创建了文档X。而零信任访问控制系统就会从数据流转系统中获取数据操作信息,并进行上链于区块链。
步骤B2:将数据操作信息存储于区块链中。
其中,区块链与零信任访问控制系统连接。这样,零信任访问控制系统从数据流转系统中获取的数据操作信息就能够在区块链中上链存储,实现了数据流转系统中变化数据在区块链中的保存。
在零信任访问控制系统中,在盟主、从组织这个维度之外,还包含有多个节点。不同的节点所能够实现的功能不完全相同。例如:零信任访问控制系统中包括背书节点、排序节点、提交节点等。背书节点用于验证数据是否能够上链。排序节点用于生成区块。提交节点用于将区块上链。
具体来说,上述步骤B2可以包括:
步骤B21:用户注册。
在零信任访问控制系统中,用户需要向管理员发送注册请求,已完成该用户在零信任访问控制系统中的注册。这里的注册,可以是指在零信任访问控制系统中提交用户的各种相关信息。
用户注册完毕后,后续管理员就可以将用户提交的参数或者上链存储请求传输到零信任访问控制系统的中的应用程序编程(Application Programming Interface,API)接口。API接口作为区块链和零信任访问控制系统之间的连接,可以基于用户提交的参数或上链存储请求调用区块链中上链存储的智能合约,以及后续将数据流转系统中的数据操作信息在区块链中上链存储。
步骤B22:生成数据操作信息的上链存储请求。
可以通过API接口构造数据操作信息的上链存储请求。
步骤B23:将上链存储请求发送至背书节点,以使背书节点基于上链存储请求模拟数据操作信息的上链存储过程,并生成模拟存储后的数据操作信息的第一信息值。
背书节点接收到上链存储请求后,可以基于上链存储请求中的数据操作信息模拟将数据操作信息进行上链存储,然后将模拟上链存储后的数据操作信息生成一个信息值,即第一信息值。在实际应用中,信息值可以是指Hash值、关键字等。
步骤B24:将第一信息值与第二信息值进行对比。
其中,第二信息值为数据流转系统中原始生成的数据操作信息的信息值。
对比仍然可以通过API接口实现。
有时,上链存储请求可能会被篡改,其中待上链存储的数据操作信息不再是原本需要上链存储的数据操作信息。在背书节点中,生成的数据操作信息的信息值是基于上链存储请求的,而API接口中还有原始的数据操作信息,API接口同时也生成原始的数据操作信息的信息值。将这两个信息值进行对比,就能够发现上链存储请求中的数据操作信息是否被修改。
步骤B25:若对比一致,则将上链存储请求发送至排序节点,以使排序节点基于上链存储请求中的数据操作信息生成区块及其在区块链中的位置。
当确定上链存储请求中的数据操作信息无误时,排序节点就可以基于上链存储请求将其中的数据操作信息生成区块及其在区块链中的位置。数据流转系统中所有的数据操作信息都在排序节点中生成区块及位置,使得数据流转系统中所有的数据操作信息都能够按照一定的顺序在区块链中排序,避免发生交叠或者距离过大。
步骤B26:将区块和位置进行广播,以使零信任访问控制系统中的每个节点能够从区块链中获得数据操作信息。
广播区块及其位置,能够使零信任访问控制系统中的其它节点获取数据操作信息,并继续对数据操作信息进行验证等处理。
此后,当零信任访问控制系统中的某个节点需要从区块链中获取某一数据操作信息时,通过排序节点此前广播的所有内容,也能够从区块链中找到相应数据操作信息对应的区块,从而获得相应的数据操作信息。
步骤B27:通过提交节点从广播中获取区块。
步骤B28:基于数据流转系统的业务要求判断区块中的数据操作信息是否合规。
一方面,提交节点需要从广播的区块中获取数据操作信息,判断数据操作信息是否符合业务要求。这里的业务要求,也就是智能合约,可以是指业务中要求的密码位数、加密顺序等。这样能够进一步判断数据操作信息是否为数据流转系统中的原始数据操作信息。另一方面,提交节点用于将上链存储请求提交给区块链,以使数据操作信息能够上链存储。
步骤B29:当提交节点确定数据操作信息合规时,将区块按照位置在区块链中上链存储,并反馈上链存储结果。
数据操作信息通过背书节点确定其没有发生更改、通过排序节点生成区块、通过提交节点确认符合业务要求,此时已经经过多方面确定上链的数据操作信息就是数据流转系统中原本的数据操作信息,此时,可以将包含数据操作信息的区块按照给出的位置上链存储。
当提交节点确认数据操作信息上链存储完毕时,会生成一个上链成功的结果向用户反馈。当提交节点确认数据操作信息上链存储失败时,会生成一个上链失败的结果向用户反馈。
步骤B210:拒绝将数据操作信息存储于区块链中。
当确定上链存储请求中的数据操作信息与数据流转系统中原始的数据操作信息不一致时,说明上链存储请求中的数据操作信息有误,不能够基于该上链存储请求将数据操作信息进行上链存储,此时,排序节点可以拒绝生成区块,或者零信任访问控制系统拒绝上链存储请求。
S53:对数据流转系统中的访问请求进行访问权限控制。
具体来说,上述步骤S53可以包括:
步骤C1:获取数据流转系统中的访问请求。
步骤C1与前述步骤S21的具体实现方式相同,此处不再赘述。
步骤C2:响应访问请求,跳转至用户身份认证系统。
在获取到访问请求后,先跳转至SSO等用户身份认证系统,以获取访问请求发起者的用户身份信息。
步骤C3:判断用户身份认证系统是否已登录。若是,则执行步骤C4,若否,则执行步骤C5。
数据流转系统与用户身份认证系统是两个系统,有时,用户身份认证系统用户已经登录,此时,需要判断用户是否已经登录用户身份认证系统,避免使用户再次登录,提升用户体验。
在具体的判断过程中,可以通过跳转后的用户身份认证系统的页面内容判断用户是否已经登录。当页面中存在登录后才有的内容时,则确定用户已登录身份认证系统。登陆后才有的内容可以是用户头像等。
步骤C4:显示进入用户身份认证系统的页面,并在确认进入后,向用户身份认证系统发送用户登录令牌的获取请求。
当发起访问请求的用户已登录用户身份认证系统时,可以显示一个确认页面,提示用户是否进入用户身份认证系统,以引导用户进入用户身份认证系统,进而获取发起访问请求的用户的身份信息。在用户确认进入后,就可以进入已登录的用户身份认证系统,并向用户身份认证系统发送用户登录令牌的获取请求。
步骤C5:显示用户身份认证系统的登录页面,并在登录成功后,向用户身份认证系统发送用户登录令牌的获取请求。
当发起访问请求的用户未登录用户身份认证系统时,可以显示用户身份认证系统的登录页面,提示用户登录用户身份认证系统,以引导用户进入用户身份认证系统,进而获取发起访问请求的用户的身份信息。在用户登录后,就可以进入已登录的用户身份认证系统,并向用户身份认证系统发送用户登录令牌的获取请求。
步骤C6:获取用户身份认证系统颁发的用户登录令牌(Token)。
零信任访问控制系统向用户身份认证系统发送用户登录令牌的获取请求后,用户身份认证系统就会向零信任访问控制系统颁发当前用户的用户登录令牌。在用户登录令牌中,包含有用户在注册时登记的相关信息,其中就会包含有用户身份信息。
这里需要说明的是,零信任访问控制系统每跳转至一次用户身份认证系统,用户身份认证系统就会颁发一次该用户的登录令牌。也就是说,无论用户是否登录用户身份认证系统后,只要跳转进用户身份认证系统后,用户身份认证系统都会颁发一次用户登录令牌。
步骤C7:从用户登录令牌中获取用户信息,并将用户信息作为发送访问请求的用户的身份信息。
用户登录令牌中包含有能够证明用户身份的各种信息,从用户登录令牌中获取权限验证所需的类型的信息,就得到了所需的用户身份信息。例如:只有用户名为abc的用户才能够访问系统B,那么,从用户登录令牌中获取用户名即可。再例如:只有IP位于XX位置的用户才能够访问系统B,那么,从用户登录令牌中获取地址位置信息即可。
步骤C8:确定访问请求需要访问的目标业务节点。
在数据流转系统中,可能包括多个业务节点,并且每个业务节点对应有其允许访问的用户身份信息。也就是说,各业务节点之间允许进行访问的用户可能不同。因此,需要先从访问请求中确定出其需要访问的业务节点,然后再确定该业务节点允许哪些用户访问。
一般来说,访问请求中都会包含访问的对象。可以直接按照访问请求的协议格式对访问请求进行解析,就能够获得访问请求需要访问的对象,即目标业务节点。
步骤C9:提取目标业务节点的标识。
标识可以是统一资源定位符(Uniform Resource Locator,URL)的前缀,也可以是节点的名称等。
步骤C10:根据节点标识与允许访问的用户身份信息的对应关系,确定目标业务节点的标识对应的用户身份信息。
每个业务节点,都对应有其允许访问的用户。将每个业务节点的节点标识与相应业务节点允许访问的用户身份信息建立对应关系。在确定目标业务节点后,就可以通过对应关系中的节点标识快速锁定目标业务节点允许访问的用户身份信息。
步骤C11:将确定的用户身份信息作为预设身份信息。
从对应关系中查找出的这一用户身份信息,就是预设身份信息。
步骤C12:将身份信息与预设身份信息进行匹配。
步骤C12与前述步骤S23的具体实现方式相同,此处不再赘述。
步骤C13:若匹配失败,则阻断访问请求,并向发起访问请求的用户反馈拒绝访问信息。
匹配失败,说明访问请求的发起用户不被允许访问相应的业务节点,此时,零信任访问控制系统就阻断访问请求,不再继续转发访问请求。同时,零信任访问控制系统还可以向访问请求的发起用户发送拒绝访问的信息,以使发起用户知晓其访问不被允许,避免发起用户再次尝试访问,降低零信任访问控制系统的运行负担。
步骤C14:若匹配成功,则从多个后端服务中选择性能最优的后端服务,向性能最优的后端服务发送访问请求,以使性能最优的后端服务将访问请求发送至需要访问的业务节点。
零信任访问控制系统包括多个后端服务,每个后端服务用于处理零信任访问控制系统中的请求。
当匹配成功时,说明访问请求被允许访问相应的业务节点,那么,就从多个后端服务中选择一个性能最优的后端服务来转发访问请求,以实现访问请求的高效转发。这里的性能最优,可以是指空闲状态的后端服务,也可以是指内存等配置最优的后端服务。
这里需要说明的是,在步骤C1之后,在步骤C12之前,步骤C2-C7,步骤C8-C11可以同时执行。
在实际应用中,步骤S53中的访问控制过程可以涉及三个模块,即网关模块、身份认证模块和权限管理模块。图7为本申请实施例中访问控制的过程示意图一,参见图7所示,网关模块71相当于零信任控制系统。网关模块71获取到访问请求后,通过身份认证模块72获取访问请求的发起用户信息,然后通过权限管理模块73获取访问请求所要访问的业务节点允许访问的用户信息,进而将这两个信息进行对比,以确定是否允许访问请求进行访问,即确定是否放行访问请求。
图8为本申请实施例中访问控制的过程示意图二,参见图8所示,当用户发起访问请求时,访问请求被零信任控制系统中的网关(安全接入层)获取。一方面,进行身份验证,通过认证对接SSO系统,获取用户身份信息。另一方面,进行权限管理,通过统一配置的权限,对获取的用户身份信息进行判断。在确定允许访问后,依次进行负载均衡、策略执行、HTTPS加载,以实现业务系统的访问。
至此,本申请实施例提供的零信任访问控制方法就已全部说明完成。
基于同一发明构思,作为对上述方法的实现,本申请实施例还提供了一种零信任访问控制系统。
图9为本申请实施例中零信任访问控制系统的结构示意图一,参见图9所示,零信任访问控制系统分别与数据流转系统和用户身份认证系统连接,零信任访问控制系统可以包括:第一获取模块91、第二获取模块92、验证模块93和控制模块94。其中,第一获取模块91、第二获取模块92、验证模块93和控制模块94依次连接。
第一获取模块91,用于获取数据流转系统中的访问请求。
第二获取模块92,用于从用户身份认证系统中获取发送所述访问请求的用户的身份信息。
验证模块93,用于将所述身份信息与预设身份信息进行匹配,所述预设身份信息用于表征所述数据流转系统中允许访问目标业务节点的用户的身份信息,所述目标业务节点为所述访问请求需要访问的业务节点;若匹配失败,则进入控制模块。
控制模块94,用于拒绝所述访问请求进行访问。
进一步地,作为对图9所示系统的细化和扩展,本申请实施例还提供了一种零信任访问控制系统。
图10为本申请实施例中零信任访问控制系统的结构示意图二,参见图10所示,该系统可以包括:上链存储模块101、第一获取模块102、第二获取模块103、身份模块104、验证模块105和控制模块106。其中,第一获取模块102、第二获取模块103、验证模块105和控制模块106依次连接,身份模块104连接验证模块105。
由于零信任访问控制系统包括盟主系统和两个从组织系统,所述盟主系统用于管理所述从组织系统,两个从组织系统中的第一从组织系统用于将所述数据流转系统中上一业务节点的数据上传至所述盟主系统,两个从组织系统中的第二从组织系统用于从所述盟主系统下载数据并发送至所述数据流转系统中的下一业务节点,因此,在进行访问控制前,还需要先进行数据流转系统与零信任访问控制系统的部署。部署完毕后,就可以运行零信任访问控制系统。
零信任访问控制系统,用于通过所述第一从组织系统获取所述访问请求;将所述第一从组织系统中的所述访问请求发送至所述盟主系统;当通过所述盟主系统确定所述访问请求允许访问时,将所述盟主系统中的所述访问请求发送至所述第二从组织系统;通过所述第二从组织系统发出所述访问请求。
由于第一从组织系统包括主节点和多个跟随节点,所述主节点用于从所述数据流转系统中获取数据,所述多个跟随节点用于同步所述主节点获取的数据,并对获取的数据进行处理,而主节点有可能发生故障,因此需要跟随节点随时监测并竞选主节点。
零信任访问控制系统,具体用于当跟随节点在预设时间段内未接收到所述主节点发送的数据时,所述跟随节点转换为候选节点,并向所述多个跟随节中除所述候选节点外的其它跟随节点发送主节点的竞选请求;当所述其它跟随节点中预设比例的节点同意所述竞选请求时,所述候选节点转换为主节点;所述通过所述第一从组织系统获取所述访问请求,包括:通过转换后的主节点获取所述访问请求。
上链存储模块101,用于获取所述数据流转系统中的数据操作信息;当零信任访问控制系统中包括背书节点、排序节点和提交节点时,生成所述数据操作信息的上链存储请求;将所述上链存储请求发送至所述背书节点,以使所述背书节点基于所述上链存储请求模拟数据操作信息的上链存储过程,并生成模拟存储后的数据操作信息的第一信息值;将所述第一信息值与所述第二信息值进行对比,所述第二信息值为所述数据流转系统中原始生成的数据操作信息的信息值;若对比一致,则将所述上链存储请求发送至所述排序节点,以使所述排序节点基于所述上链存储请求中的数据操作信息生成区块及其在所述区块链中的位置;将所述区块和所述位置进行广播,以使所述零信任访问控制系统中的每个节点能够从所述区块链中获得所述数据操作信息;通过所述提交节点从所述广播中获取所述区块;基于所述数据流转系统的业务要求判断所述区块中的数据操作信息是否合规;当所述提交节点确定所述数据操作信息合规时,将所述区块按照所述位置在所述区块链中上链存储,并反馈上链存储结果,所述区块链与所述零信任访问控制系统连接;若对比不一致,则拒绝将所述数据操作信息存储于区块链中。
第一获取模块102,用于获取数据流转系统中的访问请求。
第二获取模块103,包括:跳转单元1031、判断单元1032、第一请求单元1033、第二请求单元1034、颁发单元1035和确定单元1036。其中,跳转单元1031、判断单元1032、第一请求单元1033、颁发单元1035和确定单元1036依次连接,第二请求单元1034分别连接判断单元1032和颁发单元1035。
跳转单元1031,用于响应所述访问请求,跳转至所述用户身份认证系统。
判断单元1032,用于判断所述用户身份认证系统是否已登录。
第一请求单元1033,用于若是,则显示进入所述用户身份认证系统的页面,并在确认进入后,向所述用户身份认证系统发送所述用户登录令牌的获取请求。
第二请求单元1034,用于若否,则显示所述用户身份认证系统的登录页面,并在登录成功后,向所述用户身份认证系统发送所述用户登录令牌的获取请求。
颁发单元1035,用于获取所述用户身份认证系统颁发的用户登录令牌。
确定单元1036,用于从所述用户登录令牌中获取用户信息,并将所述用户信息作为发送所述访问请求的用户的身份信息。
在数据流转系统包括多个业务节点,每个业务节点对应有其允许访问的用户身份信息的情况下,身份模块104,包括:节点单元1041、标识单元1042、对应单元1043和预设单元1044。其中,节点单元1041、标识单元1042、对应单元1043和预设单元1044依次连接。
节点单元1041,用于确定所述访问请求需要访问的目标业务节点。
标识单元1042,用于提取所述目标业务节点的标识。
对应单元1043,用于根据节点标识与允许访问的用户身份信息的对应关系,确定所述目标业务节点的标识对应的用户身份信息。
预设单元1044,用于将确定的用户身份信息作为所述预设身份信息。
验证模块105,用于将所述身份信息与预设身份信息进行匹配,所述预设身份信息用于表征所述数据流转系统中允许访问目标业务节点的用户的身份信息,所述目标业务节点为所述访问请求需要访问的业务节点。
在零信任访问控制系统包括多个后端服务,每个后端服务用于处理所述零信任访问控制系统中的请求的情况下,控制模块106,用于若匹配失败,则阻断所述访问请求,并向发起所述访问请求的用户反馈拒绝访问信息;若匹配成功,则从多个后端服务中选择性能最优的后端服务,向性能最优的后端服务发送所述访问请求,以使性能最优的后端服务将所述访问请求发送至需要访问的业务节点。
这里需要指出的是,以上系统实施例的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果。对于本申请系统实施例中未披露的技术细节,请参照本申请方法实施例的描述而理解。
基于同一发明构思,作为对上述方法的实现,本申请实施例还提供了一种访问控制系统。
仍参见图1所示,访问控制系统包括:数据流转系统11、用户身份认证系统13和零信任访问控制系统12。其中,零信任访问控制系统12分别与数据流转系统11和用户身份认证系统13连接。
这里需要指出的是,以上系统实施例的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果。对于本申请系统实施例中未披露的技术细节,请参照本申请方法实施例的描述而理解。
基于同一发明构思,本申请实施例还提供了一种计算机可读存储介质,该存储介质可以包括:存储的程序;其中,在程序运行时控制存储介质所在设备执行上述一个或多个实施例中的方法。
这里需要指出的是,以上存储介质实施例的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果。对于本申请存储介质实施例中未披露的技术细节,请参照本申请方法实施例的描述而理解。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (14)
1.一种零信任访问控制方法,其特征在于,所述方法应用于零信任访问控制系统,所述零信任访问控制系统分别与数据流转系统和用户身份认证系统连接;所述方法包括:
获取数据流转系统中的访问请求;
从用户身份认证系统中获取发送所述访问请求的用户的身份信息;
将所述身份信息与预设身份信息进行匹配,所述预设身份信息用于表征所述数据流转系统中允许访问目标业务节点的用户的身份信息,所述目标业务节点为所述访问请求需要访问的业务节点;
若匹配失败,则拒绝所述访问请求进行访问。
2.根据权利要求1所述的方法,其特征在于,所述从用户身份认证系统中获取发送所述访问请求的用户的身份信息,包括:
响应所述访问请求,跳转至所述用户身份认证系统;
获取所述用户身份认证系统颁发的用户登录令牌;
从所述用户登录令牌中获取用户信息,并将所述用户信息作为发送所述访问请求的用户的身份信息。
3.根据权利要求2所述的方法,其特征在于,在获取所述用户身份认证系统颁发的用户登录令牌之前,所述方法还包括:
判断所述用户身份认证系统是否已登录;
若是,则显示进入所述用户身份认证系统的页面,并在确认进入后,向所述用户身份认证系统发送所述用户登录令牌的获取请求;
若否,则显示所述用户身份认证系统的登录页面,并在登录成功后,向所述用户身份认证系统发送所述用户登录令牌的获取请求。
4.根据权利要求1所述的方法,其特征在于,所述数据流转系统包括多个业务节点,每个业务节点对应有其允许访问的用户身份信息;在将所述身份信息与预设身份信息进行匹配之前,所述方法还包括:
确定所述访问请求需要访问的目标业务节点;
提取所述目标业务节点的标识;
根据节点标识与允许访问的用户身份信息的对应关系,确定所述目标业务节点的标识对应的用户身份信息;
将确定的用户身份信息作为所述预设身份信息。
5.根据权利要求1所述的方法,其特征在于,所述零信任访问控制系统包括多个后端服务,每个后端服务用于处理所述零信任访问控制系统中的请求;所述拒绝所述访问请求进行访问,包括:
阻断所述访问请求,并向发起所述访问请求的用户反馈拒绝访问信息;
所述方法还包括:
若匹配成功,则从多个后端服务中选择性能最优的后端服务,向性能最优的后端服务发送所述访问请求,以使性能最优的后端服务将所述访问请求发送至需要访问的业务节点。
6.根据权利要求1至5中任一项所述的方法,其特征在于,所述方法还包括:
获取所述数据流转系统中的数据操作信息;
将所述数据操作信息存储于区块链中,所述区块链与所述零信任访问控制系统连接。
7.根据权利要求6所述的方法,其特征在于,所述零信任访问控制系统中包括背书节点;在将所述数据操作信息存储于区块链中之前,所述方法还包括:
生成所述数据操作信息的上链存储请求;
将所述上链存储请求发送至所述背书节点,以使所述背书节点基于所述上链存储请求模拟数据操作信息的上链存储过程,并生成模拟存储后的数据操作信息的第一信息值;
将所述第一信息值与所述第二信息值进行对比,所述第二信息值为所述数据流转系统中原始生成的数据操作信息的信息值;
所述将所述数据操作信息存储于区块链中,包括:
若对比一致,则向所述区块链发送所述上链存储请求,以使所述区块链存储所述数据操作信息;
所述方法还包括:
若对比不一致,则拒绝将所述数据操作信息存储于区块链中。
8.根据权利要求6所述的方法,其特征在于,所述零信任访问控制系统中包括排序节点;在将所述数据操作信息存储于区块链中之前,所述方法还包括:
生成所述数据操作信息的上链存储请求;
将所述上链存储请求发送至所述排序节点,以使所述排序节点基于所述上链存储请求中的数据操作信息生成区块及其在所述区块链中的位置;
将所述区块和所述位置进行广播,以使所述零信任访问控制系统中的每个节点能够从所述区块链中获得所述数据操作信息。
9.根据权利要求6所述的方法,其特征在于,所述零信任访问控制系统中包括提交节点;在将所述数据操作信息存储于区块链中之前,所述方法还包括:
通过所述提交节点从所述广播中获取所述区块;
基于所述数据流转系统的业务要求判断所述区块中的数据操作信息是否合规;
所述将所述数据操作信息存储于区块链中,包括:
当所述提交节点确定所述数据操作信息合规时,将所述区块按照所述位置在所述区块链中上链存储,并反馈上链存储结果。
10.根据权利要求1至5中任一项所述的方法,其特征在于,所述零信任访问控制系统包括盟主系统和两个从组织系统,所述盟主系统用于管理所述从组织系统,两个从组织系统中的第一从组织系统用于将所述数据流转系统中上一业务节点的数据上传至所述盟主系统,两个从组织系统中的第二从组织系统用于从所述盟主系统下载数据并发送至所述数据流转系统中的下一业务节点;所述方法还包括:
通过所述第一从组织系统获取所述访问请求;
将所述第一从组织系统中的所述访问请求发送至所述盟主系统;
当通过所述盟主系统确定所述访问请求允许访问时,将所述盟主系统中的所述访问请求发送至所述第二从组织系统;
通过所述第二从组织系统发出所述访问请求。
11.根据权利要求10所述的方法,其特征在于,所述第一从组织系统包括主节点和多个跟随节点,所述主节点用于从所述数据流转系统中获取数据,所述多个跟随节点用于同步所述主节点获取的数据,并对获取的数据进行处理;所述方法还包括:
当跟随节点在预设时间段内未接收到所述主节点发送的数据时,所述跟随节点转换为候选节点,并向所述多个跟随节中除所述候选节点外的其它跟随节点发送主节点的竞选请求;
当所述其它跟随节点中预设比例的节点同意所述竞选请求时,所述候选节点转换为主节点;
所述通过所述第一从组织系统获取所述访问请求,包括:
通过转换后的主节点获取所述访问请求。
12.一种零信任访问控制系统,其特征在于,所述零信任访问控制系统分别与数据流转系统和用户身份认证系统连接;所述零信任访问控制系统包括:
第一获取模块,用于获取数据流转系统中的访问请求;
第二获取模块,用于从用户身份认证系统中获取发送所述访问请求的用户的身份信息;
验证模块,用于将所述身份信息与预设身份信息进行匹配,所述预设身份信息用于表征所述数据流转系统中允许访问目标业务节点的用户的身份信息,所述目标业务节点为所述访问请求需要访问的业务节点;
控制模块,用于若匹配失败,则拒绝所述访问请求进行访问。
13.一种访问控制系统,其特征在于,所述访问控制系统包括:数据流转系统、用户身份认证系统和权利要求12中所述的零信任访问控制系统;其中,所述零信任访问控制系统分别与所述数据流转系统和所述用户身份认证系统连接。
14.一种计算机可读存储介质,其特征在于,所述存储介质包括:存储的程序;其中,在所述程序运行时控制所述存储介质所在设备执行如权利要求1至11中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311695442.8A CN117857111A (zh) | 2023-12-11 | 2023-12-11 | 零信任访问控制方法和系统、访问控制系统及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311695442.8A CN117857111A (zh) | 2023-12-11 | 2023-12-11 | 零信任访问控制方法和系统、访问控制系统及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117857111A true CN117857111A (zh) | 2024-04-09 |
Family
ID=90540934
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311695442.8A Pending CN117857111A (zh) | 2023-12-11 | 2023-12-11 | 零信任访问控制方法和系统、访问控制系统及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117857111A (zh) |
-
2023
- 2023-12-11 CN CN202311695442.8A patent/CN117857111A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104994073B (zh) | 手机终端、服务器及其帐号与设备绑定控制、执行方法 | |
JP5197843B1 (ja) | 認証連携システムおよびidプロバイダ装置 | |
JP5755813B2 (ja) | ネットワークリソースダウンロード情報の共有制御システムと方法 | |
US9923906B2 (en) | System, method and computer program product for access authentication | |
JP6756738B2 (ja) | 信頼できるログイン方法及び装置 | |
JP6120650B2 (ja) | コンテンツ管理装置、コンテンツ管理方法及びプログラム | |
JP4850218B2 (ja) | データ配信システム | |
CN113746633A (zh) | 物联网设备绑定方法、装置、系统、云服务器和存储介质 | |
JP6119709B2 (ja) | サービスプロバイダ装置、プログラム及びサービス提供方法 | |
US9916308B2 (en) | Information processing system, document managing server, document managing method, and storage medium | |
CN112035822A (zh) | 多应用单点登录方法、装置、设备及存储介质 | |
WO2022227311A1 (zh) | 对终端进行远程控制的接入处理方法、设备和存储介质 | |
CN105722072A (zh) | 一种业务授权方法、装置、系统及路由器 | |
US9787679B2 (en) | Teleconference system and storage medium storing program for teleconference | |
CN115189897A (zh) | 零信任网络的访问处理方法、装置、电子设备及存储介质 | |
CN106453349A (zh) | 账号登录方法及装置 | |
CN107888615B (zh) | 一种节点注册的安全认证方法 | |
EP2309390B1 (en) | Data distribution system | |
KR101395830B1 (ko) | 프록시를 경유한 접속 세션정보 확인시스템과 이를 기반으로 한 세션정보 확인방법 | |
JP2020038438A (ja) | 管理装置、管理システム及びプログラム | |
CN111682945A (zh) | 一种区块链的权限控制方法、装置、设备和介质 | |
CN110602133A (zh) | 智能合约处理方法、区块链管理设备及存储介质 | |
CN117857111A (zh) | 零信任访问控制方法和系统、访问控制系统及存储介质 | |
EP3316585A1 (en) | Authentication server, user terminal, content server, control method for these, and computer program | |
JP5302665B2 (ja) | 認証サーバ提示方法、サービス提供システム、サービス提供装置、およびサービス提供プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |