【技术实现步骤摘要】
零信任访问方法、系统、零信任安全代理、终端及介质
[0001]本公开涉及计算机网络
,尤其涉及一种零信任访问方法、一种零信任访问系统、一种零信任安全代理、一种终端以及一种计算机可读存储介质。
技术介绍
[0002]零信任网络安全架构的核心思想是打破物理边界防护的局限性,不再默认信任物理安全边界内部的任何用户、设备或者系统、应用,而以身份认证作为核心,将认证和授权作为访问控制的基础。其重点是应用和数据服务的安全交付,核心理念是基于身份的动态权限管理,其关键能力可以概况为:以资产为基础,以身份为核心、业务安全访问、持续信任评估和基于最小权限的动态访问控制。
[0003]在零信任网络安全架构中,零信任安全中安全代理是访问主体和访问客体之间建立可信通道的必要组件,起到隔离访问主体和访问客体、过滤非法访问、强认证的作用。
[0004]在目前的零信任网络安全架构中,零信任安全代理是架构的第一道防线,无论专家、学者还是行业技术研究,都没法脱离零信任安全代理,在各自的方案中,赋予零信任安全代理差异化的功能实现,有的仅是...
【技术保护点】
【技术特征摘要】
1.一种基于虚拟映射的零信任访问方法,应用于零信任安全代理,其特征在于,包括:对所述零信任安全代理进行虚拟映射,得到第一虚拟安全代理和第二虚拟安全代理;获取访问主体的用户令牌和所述访问主体所请求访问的访问客体的客体权限;将所述用户令牌和所述客体权限分别发送至所述第一虚拟安全代理和所述第二虚拟安全代理,以及,分别在所述第一虚拟安全代理和所述第二虚拟安全代理中基于所述用户令牌和所述客体权限连接所述访问主体和所述访问客体。2.根据权利要求1所述的方法,其特征在于,在对所述零信任安全代理进行虚拟映射之后,以及获取访问主体的用户令牌和所述访问主体所请求访问的访问客体的客体权限之前,还包括:接收访问主体发起的关于访问客体的访问请求;将所述访问请求发送给零信任安全控制中心,以使所述零信任安全控制中心对所述访问请求进行验证,并在所述访问请求验证为合法后将所述访问请求发送给身份安全管理中心,然后使所述身份安全管理中心基于所述访问请求对所述访问主体进行身份认证,并在身份认证完成后将所述访问主体的用户令牌和所述访问客体的客体权限返回给所述零信任安全控制中心,再由所述零信任控制中心将所述用户令牌和所述客体权限发送给所述零信任安全代理;所述获取访问主体的用户令牌和所述访问主体所请求访问的访问客体的客体权限,包括:从所述零信任控制中心获取访问主体的用户令牌和所述访问主体所请求访问的访问客体的客体权限。3.根据权利要求1所述的方法,其特征在于,在获取访问主体的用户令牌和所述访问主体所请求访问的访问客体的客体权限之后,以及将所述用户令牌和所述客体权限分别发送至所述第一虚拟安全代理和所述第二虚拟安全代理之前,还包括:分别对所述用户令牌和所述客体权限进行加密,得到加密后的用户令牌和加密后的客体权限;所述将所述用户令牌和所述客体权限分别发送给所述第一虚拟安全代理和所述第二虚拟安全代理,包括:将所述加密后的用户令牌和所述加密后的客体权限分别发送给所述第一虚拟安全代理和所述第二虚拟安全代理;所述分别在所述第一虚拟安全代理和所述第二虚拟安全代理中基于所述用户令牌和所述客体权限连接所述访问主体和所述访问客体,包括:分别在所述第一虚拟安全代理和所述第二虚拟安全代理中对所述加密后的用户令牌和所述加密后的客体权限进行解密,得到所述用户令牌和所述客体权限,然后基于所述用户令牌和所述客体权限连接所述访问主体和所述访问客体。4.一种零信任安全代理,其特征在于,包括:虚拟映射模块,其设置为对所述零信任安全代理进行虚拟映射,得到第一虚拟安全代理和第二虚拟安全代理;获取模块,其设置为获取访问主体的用户令牌和所述访问主体所请求访问的访问客体
的客体权限;发送模块,其设置为将所述用户令牌和所述客体权限分别发送至所述第一虚拟安全代理和所述第二虚拟安全代理,以及,连接模块...
【专利技术属性】
技术研发人员:王姗姗,陆勰,张曼君,徐雷,谢泽铖,
申请(专利权)人:中国联合网络通信集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。