本发明专利技术属于网络与信息安全技术领域,具体涉及一种基于IBC的零信任防护方法及系统,网络中所有用户和设备都被赋予唯一访问标识,搭建基于国密算法SM9的密钥基础设施,通过标识密码算法进行身份认证;搭建策略管理系统及资源访问微隔离控制网关,并将系统资源或应用按宿主主机划分为多个逻辑段,每个逻辑段单独设置安全访问策略,保证系统的安全可控。本方案是在传统边界上叠加了逻辑边界即访问控制网关有效解决了网络边界模糊带来的网络安全问题。题。题。
【技术实现步骤摘要】
一种基于IBC的零信任防护方法及系统
[0001]本专利技术属于网络与信息安全
,具体涉及一种基于IBC的零信任防护方法及系统。
技术介绍
[0002]随着云计算、大数据、物联网、5G、工业互联网等新兴技术的不断兴起,企业IT架构正在从“有边界”向“无边界”转变,传统的安全边界逐渐瓦解。零信任安全理念基于身份认证和授权重新构建访问控制的信任基础,从而确保终端安全、链路安全和访问控制安全。密码技术作为网络安全核心技术在零信任安全架构中起着不可替代的作用。
[0003]网络安全离不开密码技术,2016年3月,国家密码管理局正式公布了SM9算法,该算法是我国自主制定的标识密码算法标准,由于其技术原理,标识算法更加适合有标识的系统的应用。基于SM9算法的IBC一种非对称的公钥密码体系,是基于传统的PKI(公开密钥基础设施)基础上发展而来,与PKI相比IBC避开复杂的数字证书管理环节,系统更易于部署和使用。
[0004]零信任概括来讲就是“持续验证,永不信任”,代表了新一代的网络安全防护理念。它的关键在于打破传统网络安全的内网完全可信假设,不信任企业网络内外的任何人、设备和系统。
[0005]当前新一代信息技术在互联网络中大规模的应用,传统网络边界逐渐模糊化,访问路径多样化,随之带来了网络安全面临日益严重的风险问题。传统IT架构基于内网安全的假设,安全边界一旦被突破传统网络安全防护就可能失效导致网络系统受到严重破坏。
技术实现思路
[0006]针对上述技术问题,本专利技术提供了一种基于IBC的零信任防护方法及系统,可以有效解决网络边界模糊带来的网络安全问题。
[0007]为了解决上述技术问题,本专利技术采用的技术方案为:
[0008]一种基于IBC的零信任防护方法,网络中所有用户和设备都被赋予唯一访问标识,搭建基于国密算法SM9的密钥基础设施,通过标识密码算法进行身份认证;搭建策略管理系统及资源访问微隔离控制网关,并将系统资源或应用按宿主主机划分为多个逻辑段,每个逻辑段单独设置安全访问策略,保证系统的安全可控。
[0009]基于身份驱动,分类创建网络角色访问模型,确定对资源的访问权。
[0010]一种基于IBC的零信任防护系统,包括标识管理系统、标识密码基础设施、动态策略管理系统、零信任访问控制网关、微隔离逻辑端口控制器和资源池;
[0011]通过标识管理系统进行登记注册并分配唯一身份标识码;
[0012]通过标识密码基础设施对主密钥生产管理,对注册成功的ID提供生成标识密钥私钥的服务,并提供安全下载通道将私钥下发到对应ID设备;
[0013]通过零信任访问控制网关进行身份认证、权限确认和服务分配;
[0014]微隔离逻辑端口控制器,可以以软件定义网络形态出现集成在零信任访问控制网关设备中;
[0015]资源池组成主要有系统中能提供的服务、数据和应用,依据访问配置在相应服务端配置相应服务IP及端口号,方便微隔离控制系统访问。
[0016]标识密码基础设施可提供公用参数查询下载服务、提供认证签名服务,并可离线运行。
[0017]动态策略管理系统,整理现有系统中所有资源,梳理主体对资源的访问情况,合理创建和配置访问角色;创建ID与授权角色的映射表,实现ID的授权管理;通过调用ID与授权角色整映射表,实现资源访问策略的动态调整。
[0018]零信任访问控制网关:实现基于标识密码的身份认证;身份认证结束后,零信任网关根据当前ID的ID值在策略管理系统获得相应访问授权;访问控制网关对照访问授权,分配给当前ID连接控制器逻辑端口,通过端口控制实现主体对资源的精准访问控制。
[0019]微隔离逻辑端口控制器:依据资源数量定义配置外联端口;控制器各外联端口间设置为相互隔离不能互相访问,控制器外联端口与系统资源端口存在一一对应连接关系;控制器依据访问主体对资源的单次访问需求及时分配所需端口,当单次会话完毕后关闭分配的端口,实现动态配置端口访问功能。
[0020]所述端口可以是内部虚拟端口或物理端口。
[0021]本专利技术与现有技术相比,具有的有益效果是:
[0022]传统网络安全防护方法:基于边界网络安全架构,在网络中寻找边界将网络划分为内网、外网、DMZ区等不同区域,然后在区域边界部署防火墙、IPS、WAF等安全设备,实现网络的安全防护。
[0023]而本专利技术安全防护方案基于身份认证对资源应用进行持续访问认证控制,有效解决了传统安全基于内网安全的假设,一旦内网被突破的安全风险大增的情景,此外随着新技术的发展网络边界逐渐模糊,传统边界被突破的可能随之加大,但本方案是在传统边界上叠加了逻辑边界即访问控制网关有效解决了网络边界模糊带来的网络安全问题。
[0024]标识密码作为身份认证工具简化了传统PKI身份认证系统的复杂度,提升了安全系统部署的经济性。
[0025]本专利技术基于身份(ID)驱动,不仅限于IP、用户、资源权限角色等,分类创建网络角色访问模型,确定对资源的访问权限;新安全保护框架,信任控制网关直接控制微隔离逻辑端口实现资源间东西向隔离。
附图说明
[0026]图1是本专利技术系统防护架构图;
具体实施方式
[0027]下面对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0028]一种基于IBC的零信任防护方法,对网络中所有用户和设备都被赋予唯一访问标识,系统搭建基于国密算法SM9的密钥基础设施,通过标识密码算法进行身份认证,同时系统还搭建策略管理系统及资源访问微隔离控制网关,并将系统资源或应用按宿主主机划分为多个逻辑段,每个逻辑段单独设置安全访问策略,保证系统的安全可控。
[0029]网络安全防护系统主要由六大部分组成,1、访问主体,即用户或对资源有访问需求的对象;2、标识密码基础设施,主要功能有:标识生成注册管理,密钥生成管理中心,密钥安全下载通道;3、零信任访问控制网关,主要功能有:身份认证,权限确认,服务分配;4、策略管理,主要功能有:角色分配,策略配置及管理,策略调整;5、微隔离逻辑端口控制器,可以以软件定义网络(SDN)形态出现集成在零信任访问控制网关设备中;6、客体即资源池,指系统提供的服务、数据、应用等。
[0030]系统防护架构图如图1所示,本系统中的资源泛指系统中能提供给主体的服务、数据及应用等。
[0031]建设一套基于IBC的零信任网络安全防护系统需要以下几个步骤:
[0032]1、建设一套标识管理系统:
[0033](1)系统内资产逐一登记注册并分配唯一身份标识码(ID),ID编号简单规则如下:总编码占16位,设备用户、或资源等大类编码(占4位,可以是字符与数字组合),部门编码(4位,可以是字符与数字组合),每本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于IBC的零信任防护方法,其特征在于:网络中所有用户和设备都被赋予唯一访问标识,搭建基于国密算法SM9的密钥基础设施,通过标识密码算法进行身份认证;搭建策略管理系统及资源访问微隔离控制网关,并将系统资源或应用按宿主主机划分为多个逻辑段,每个逻辑段单独设置安全访问策略,保证系统的安全可控。2.根据权利要求1所述的一种基于IBC的零信任防护方法,其特征在于:基于身份驱动,分类创建网络角色访问模型,确定对资源的访问权。3.一种基于IBC的零信任防护系统,其特征在于:包括标识管理系统、标识密码基础设施、动态策略管理系统、零信任访问控制网关、微隔离逻辑端口控制器和资源池;通过标识管理系统进行登记注册并分配唯一身份标识码;通过标识密码基础设施对主密钥生产管理,对注册成功的ID提供生成标识密钥私钥的服务,并提供安全下载通道将私钥下发到对应ID设备;通过零信任访问控制网关进行身份认证、权限确认和服务分配;微隔离逻辑端口控制器,可以以软件定义网络形态出现集成在零信任访问控制网关设备中;资源池组成主要有系统中能提供的服务、数据和应用,依据访问配置在相应服务端配置相应服务IP及端口号,方便微隔离控制系统访问。4.根据权利要求3所述的一种基于IBC的零信任防护系统,其特征在于:标识...
【专利技术属性】
技术研发人员:马俊明,边杏宾,张清萍,郑伟伟,陈学丽,
申请(专利权)人:中电科鹏跃电子科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。