【技术实现步骤摘要】
设备通信方法、装置、系统、介质和电子设备
本公开涉及信息安全
,具体地,涉及一种基于零信任的设备通信方法、装置、系统、计算机可读存储介质和电子设备。
技术介绍
互联网安全协议(InternetProtocolSecurity,IPSec)是一种开放标准的框架结构,通过在通信双方之间建立基于密码技术的安全隧道,以确保在互联网安全协议网络上进行保密而安全的通讯。密钥交换(InternetKeyExchange,IKE)协议解决在Internet等不安全的网络环境中安全的建立或更新共享密钥的问题。虚拟专用网络(VirtualPrivateNetwork,VPN)指的是在公用网络上建立专用网络的技术,它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。采用IPSec和IKE协议的VPN称为IPSecVPN。零信任安全(ZeroTrust)是一种网络安全架构和安全概念,是以身份为中心进行网络动态访问控制。其中心思想是不应信任网络内外部的任何用户/设备/应用/流量等,对任何网络访问行为都应该基于认证和授权重构访问控制的信任基础。传统的IPSecVPN设备一般作为边界安全解决方案的重要组成部分,保障数据传输通道的机密性和完整性,并且具备一定的抗重放和抗流量分析攻击能力。IPSec隧道所保护的通信双方一般认为是处于受信任的内部网络,可以进行安全通信。而对于零信任这种以身份为中心的网络动态访问控制环境,内部网络和外部网络没有明确的边界,信任关系是动态变化的,IPSecVPN设备所构建的...
【技术保护点】
1.一种基于零信任的设备通信方法,其特征在于,包括:/n拦截所有网络流量数据;/n当检测到所述网络流量数据中出现网络访问请求时,获取与所述网络访问请求相关的属性信息;/n将格式转化后的属性信息传送至网关设备;/n根据所述网关设备反馈的安全策略,建立与目的节点的安全隧道;其中,所述安全策略由所述网关设备接收到认证授权服务器对所述属性信息通过安全认证后反馈的认证授权结果时设置得到;所述安全策略包括发送节点的IP地址、目的节点的IP地址、发送节点的端口、目的节点的端口以及传输层协议号。/n
【技术特征摘要】
1.一种基于零信任的设备通信方法,其特征在于,包括:
拦截所有网络流量数据;
当检测到所述网络流量数据中出现网络访问请求时,获取与所述网络访问请求相关的属性信息;
将格式转化后的属性信息传送至网关设备;
根据所述网关设备反馈的安全策略,建立与目的节点的安全隧道;其中,所述安全策略由所述网关设备接收到认证授权服务器对所述属性信息通过安全认证后反馈的认证授权结果时设置得到;所述安全策略包括发送节点的IP地址、目的节点的IP地址、发送节点的端口、目的节点的端口以及传输层协议号。
2.根据权利要求1所述的方法,其特征在于,所述将格式转化后的属性信息传送至网关设备包括:
按照预先设定的认证协议,将所述属性信息格式化为属性值对;
基于可扩展认证协议,将所述属性值对通过虚拟隧道传送至所述网关设备。
3.根据权利要求1所述的方法,其特征在于,在所述根据所述网关设备反馈的安全策略,建立与目的节点的安全隧道之后还包括:
当所述安全策略的使用时间达到生存期时,删除所述安全策略以及相应的安全隧道。
4.根据权利要求1所述的方法,其特征在于,在所述根据所述网关设备反馈的安全策略,建立与目的节点的安全隧道之后还包括:
当所述安全隧道的使用时间达到预设的隧道生存期时,刷新所述安全隧道的安全参数。
5.根据权利要求1所述的方法,其特征在于,在所述根据所述网关设备反馈的安全策略,建立与目的节点的安全隧道之后还包括:
根据所述网关设备反馈的安全等级,设置安全隧道的数据传输模式;其中,不同的安全等级对应不同安全强度的数据传输模式;
按照所述数据传输模式,将待传输数据通过所述安全隧道传输至目的节点。
6.一种基于零信任的设备通信装置,其特征在于,包括拦截单元、获取单元、发送单元和建立单元;
所述拦截单元,用于拦截所有网络流量数据;
所述获取单元,用于当检测到所述网络流量数据中出现网络访问请求时,获取与所述网络访问请求相关的属性信息;
所述发送单元,用于将格式转化后的属性信息发送至网关设备;
所述建立单元,用于根据所述网关设备反馈的安全策略,建立与目的节点的安全隧道;其中,所述安全策略由所述网关设备接收到认证授权服务器对所述属性信息通过安全认证后反馈的认证授权结果时设置得到;所述安全策略包括发送节点的IP地址、目的节点的IP地址、发送节点的端口、目的节点的端口以及传输层协议号。
7...
【专利技术属性】
技术研发人员:罗俊,
申请(专利权)人:成都卫士通信息产业股份有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。