【技术实现步骤摘要】
基于零信任访问策略的安全微服务架构及实现方法
本专利技术属于微服务
,具体涉及一种基于零信任访问策略的安全微服务架构及实现方法。
技术介绍
在网络系统中,安全是一个长期存在的问题,随着微服务的出现,安全变得更加具有挑战性。由于通过将系统分解为更小、独立和分布式的单元,出现了大量的入口点和通信流量。微服务正在成为企业设计模式中软件开发的新规范,允许通过组成轻量级服务构建软件系统。特别是在开发复杂和分布式应用程序方面,它是一种架构设计模式,旨在解决在线服务的可扩展性、可伸缩性和易于维护的问题。此外,信任不能简单地在网络中的单个微服务之间建立,这些微服务通常来自不同的未知提供者。当前微服务存在的问题有:(1)由于应用程序的逻辑层和中间层被分割成许多较小和独立的部分,攻击面将显著增加。(2)前端和后端松耦合,允许多个前端系统与后端服务进行通信,增大了受到攻击的可能性。零信任强调“不信任任何人,对所有人进行身份验证”,每个部署的微服务都必须按照要求使用细粒度的安全策略进行保护,这些策略将仔细检查微服务的进出流量。通过零信任机制,可以构建微服务间的安全访问以及容器内的可信安全环境,要求网络中的所有服务访问都要进行身份验证,加密授权。基于上述分析,现有技术亟需一种基于零信任访问策略的安全微服务方案。
技术实现思路
本专利技术的目的在于针对现有技术的不足之处,提供一种基于零信任访问策略的安全微服务架构及实现方法。为解决上述技术问题,本专利技术采用如下技术方案:一种基于 ...
【技术保护点】
1.一种基于零信任访问策略的安全微服务架构,其特征在于,包括:身份认证中心、微服务域、内部安全域、公共API代理以及私有API代理,/n其中,所述身份认证中心包括:访问策略模块、加脱密模块、安全生产认证模块和信任引擎模块,所述访问策略模块依据最小特权原则制定基于角色的访问控制策略;所述加脱密模块用于对数据进行透明加密;所述安全生产认证模块用于安全地标识动态和异构环境中的微服务;所述信任引擎模块负责身份验证,并生成短期Access Token和RefreshToken,用户通过Token访问微服务,/n所述微服务域用于存储公共服务,/n所述内部安全域用于存储特定的高感级服务或管理服务,/n所述公共API代理用于提供单点登录并具有过滤机制,用于接受用户的访问请求并调用所述身份认证中心的所述信任引擎模块,/n所述私有API代理具有额外的授权方案,在调用方需要到达所述内部安全域时,通过Facade服务访问所述私有API代理并传递匹配的额外授权级别。/n
【技术特征摘要】
1.一种基于零信任访问策略的安全微服务架构,其特征在于,包括:身份认证中心、微服务域、内部安全域、公共API代理以及私有API代理,
其中,所述身份认证中心包括:访问策略模块、加脱密模块、安全生产认证模块和信任引擎模块,所述访问策略模块依据最小特权原则制定基于角色的访问控制策略;所述加脱密模块用于对数据进行透明加密;所述安全生产认证模块用于安全地标识动态和异构环境中的微服务;所述信任引擎模块负责身份验证,并生成短期AccessToken和RefreshToken,用户通过Token访问微服务,
所述微服务域用于存储公共服务,
所述内部安全域用于存储特定的高感级服务或管理服务,
所述公共API代理用于提供单点登录并具有过滤机制,用于接受用户的访问请求并调用所述身份认证中心的所述信任引擎模块,
所述私有API代理具有额外的授权方案,在调用方需要到达所述内部安全域时,通过Facade服务访问所述私有API代理并传递匹配的额外授权级别。
2.根据权利要求1所述的基于零信任访问策略的安全微服务架构,其特征在于,还包括:
安全风险中心,所述安全风险中心包含:中心日志聚合模块、漏洞检测模块和任务编排模块,所述中心日志聚合模块用于持续监控服务和用户记录活动;所述漏洞检测模块用于扫描系统并帮助开发者尽快识别漏洞;所述任务编排模块用于将安全扫描任务按照逻辑关系进行组合以形成自动化监测和反馈机制。
3.一种基于零信任访问策略的安全微服务访问实现方法,基于权利要求1或2所述的基于零信任访问策略的安全微服务架构实现微服务授权过程,其特征在于,该方法包括以下步骤:
用户请求托管在微服务上的受保护资源;
用户进行单点登录,公共API代理进行多因子身份验证;
验证通过后生成Credential并提交,通过公共API代理对信任引擎模块进行调用;
信任引擎模块请求访问策略模块对用户动态分配权限;
信任引擎模块向前端返回短期AccessToken和RefreshToken;
前端存储RefreshToken,并通过AccessToken再次调用微服务;
公共API代理执行过滤机制,向信任引擎模块发出授权检查以执行访问授权操作。
4....
【专利技术属性】
技术研发人员:崔晓晖,朴杨鹤然,陶启,郑承良,张宽,
申请(专利权)人:武汉大学,
类型:发明
国别省市:湖北;42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。