本发明专利技术公开了基于零信任安全哨兵体系的资源防护系统,属于零信任资源防护技术领域。该系统包括操作管理平台、密码存储服务模块、哨兵模块、CA证书模块、信息校验模块、数据交互模块;所述操作管理平台用于执行系统管理员的操作,添加基础组件;所述密码存储服务模块用于提供密码存储服务,存储基础组件的敏感信息;所述哨兵模块用于创建服务端哨兵和客户端哨兵;所述CA证书模块用于生成、验证、吊销哨兵证书;所述信息校验模块用于对身份信息进行校验;所述数据交互模块用于服务端哨兵从连接池中取出可用连接将加密的数据包解码后转发至基础组件,与基础组件之间形成受信任的数据交互。互。互。
【技术实现步骤摘要】
基于零信任安全哨兵体系的资源防护系统
[0001]本专利技术涉及零信任资源防护
,具体为基于零信任安全哨兵体系的资源防护系统。
技术介绍
[0002]微服务作为近年来一种常用的软件开发技术深受开发者的喜欢,它提倡将单一应用程序划分成一组小的服务,服务之间互相协调、互相配合,为用户提供最终价值。微服务的运行一般需要依赖一些基础组件,例如:mysql、redis、mongodb等,基础组件的连接及身份验证的密码信息通常会直接存储在微服务的配置文件或环境变量中。这种方法有诸多缺点,一方面各个微服务的代码质量无法完全保障,存在信息泄露的风险;另一方面这些身份认证的敏感信息可以被运维或开发人员获取到,存在人为的误操作风险;数据库的连接信息泄露会被非法人员持续进行漏洞扫描攻击,网络安全公司Imperva在研究中表明,其扫描的数据库有接近一半包含CVE漏洞,因此对于数据的访问授权和安全保护至关重要。然而大多数企业没有进行足够行之有效的保护。
[0003]企业中通用的防护做法是在部署基础组件的服务器上设置网络防火墙,只暴露组件监听的端口同时限制连接客户端的IP,这种方法不能很好的解决以上问题,首先是管理问题,缺乏统一的管理系统集中管控,当客户端IP数量庞大时难以对其实时更新;其次是安全防护有漏洞,当客户端微服务被攻破时基础组件对攻击者透明化,安全防护的前提是依赖客户端微服务的高度安全。从统一管控和自我安全闭环的角度考虑,在目前的技术手段中缺乏有效的资源防护系统。
技术实现思路
[0004]本专利技术的目的在于提供基于零信任安全哨兵体系的资源防护系统,以解决上述
技术介绍
中提出的问题。
[0005]为了解决上述技术问题,本专利技术提供如下技术方案:基于零信任安全哨兵体系的资源防护系统,该系统包括操作管理平台、密码存储服务模块、哨兵模块、CA证书模块、信息校验模块、数据交互模块;所述操作管理平台用于执行系统管理员的操作,添加基础组件;所述密码存储服务模块用于提供密码存储服务,存储基础组件的敏感信息;所述哨兵模块用于创建服务端哨兵和客户端哨兵;所述CA证书模块用于生成、验证、吊销哨兵证书,客户端哨兵和服务端哨兵通信时通过CA证书模块验证对方身份合法性;所述信息校验模块用于在服务端哨兵接收到客户端哨兵传输的加密数据包后进行解码,对其中提交的身份信息进行校验,校验失败则终止流程,输出基础组件对应的协议格式错误响应包;校验成功后则响应认证成功数据包,并持续进行命令的鉴权、审计、日志记录、异常告警操作;所述数据交互模块用于服务端哨兵从连接池中取出可用连接将加密的数据包解码后转发至基础组件,与基础组件之间形成受信任的数据交互。
[0006]根据上述技术方案,系统管理员通过所述操作管理平台添加被保护的基础组件,操作管理平台会为被保护的基础组件生成唯一的组件ID,构建组件ID的敏感信息,将敏感信息加密存储在密码存储服务模块中;所述敏感信息包括基础组件的连接、认证身份、组件类型、虚拟身份、真实身份。
[0007]根据上述技术方案,系统管理员通过哨兵模块创建服务端哨兵证书;系统管理员从已添加的被保护的基础组件列表中选取一个需要被保护的基础组件,调用CA证书模块生成服务端哨兵使用的x509证书,证书中记录被保护的基础组件ID信息;创建服务端哨兵配置信息,所述服务端哨兵配置信息包括基于基础组件协议的认证身份信息、日志输出地址、命令限制类型及黑白名单、限制的命令列表;所述基于基础组件协议的认证身份信息包括pem格式证书、pem格式证书的私钥、密码存储地址、密码存储服务验证token、服务端哨兵监听地址;系统管理员通过操作管理平台下载服务端哨兵证书及服务端哨兵二进制程序,对服务端哨兵进行部署。
[0008]根据上述技术方案,所述哨兵模块还包括:服务端哨兵启动后根据服务端哨兵配置信息中服务端哨兵监听地址、pem格式服务端哨兵证书、pem格式服务端哨兵证书的私钥启动tls端口监听服务;启动成功后根据密码存储地址、密码存储服务验证token请求密码存储服务模块加载身份列表,所述身份列表包括虚拟身份、真实身份;预先根据各个真实的身份及连接信息和基础组件实例建立连接,连接异常时根据日志输出地址记录的日志平台地址抛出错误日志,连接正常时将连接放入连接池备用。
[0009]根据上述技术方案,所述对服务端哨兵进行部署包括两种方式,分别为:将服务端哨兵部署在被保护的基础组件近端,服务端哨兵和被保护的基础组件之间通过unix domain共享内存方式高效通信;将服务端哨兵部署在基础组件相同的内网环境中,通过tcp方式通信。
[0010]上述两种部署方式取决于机群数量,在仅一个或几个主机时,采用将服务端哨兵部署在被保护的基础组件近端;而在机房的情况下,存在机群时,采用将服务端哨兵部署在基础组件相同的内网环境中,通过tcp方式通信的方式;将服务端哨兵部署在被保护的基础组件近端要比将服务端哨兵部署在基础组件相同的内网环境中更加安全,且性能更好。
[0011]根据上述技术方案,系统管理员通过哨兵模块创建客户端哨兵证书,从已添加的服务端哨兵列表中选择一个或多个授权给客户端哨兵访问的服务端哨兵,调用CA证书模块生成客户端哨兵使用的x509证书,证书中记录客户端哨兵配置信息;所述客户端哨兵配置信息包括:pem格式客户端哨兵证书、pem格式客户端哨兵证书私钥、服务端哨兵地址、客户端哨兵监听地址;系统管理员通过操作管理平台下载客户端证书及客户端哨兵二进制程序,部署在客户端近端,供客户端服务进行连接。
[0012]根据上述技术方案,所述哨兵模块还包括:客户端哨兵根据客户端哨兵监听地址启动本地端口监听;客户端哨兵启动成功后根据服务端哨兵地址记录的服务端哨兵地址以及pem格式
客户端哨兵证书、pem格式客户端哨兵证书私钥和服务端哨兵发起mtls连接,mtls握手阶段使用国密算法加密,客户端哨兵和服务端哨兵双方互相验证对方证书有效性:所述有效性包括是否过期、是否吊销、证书中的组件信息是否合法;握手阶段结束后,客户端哨兵和服务端哨兵建立长连接并且定时发送心跳包,保持连接活性。
[0013]根据上述技术方案,所述信息校验模块包括:客户端程序把本地部署的客户端哨兵作为最终要访问的基础组件,通过标准驱动进行连接使用,发送认证数据包;客户端哨兵接收到客户端程序的连接后,客户端哨兵从加密连接中创建新的操作流通道,将客户端程序发送的认证数据包加密转发到服务端哨兵;服务端哨兵接受到加密数据包后进行解码,对其中提交的身份信息进行校验,校验失败则终止流程,输出基础组件对应的协议格式错误响应包;校验成功后则响应认证成功数据包;客户端哨兵转发服务端哨兵响应的数据包到客户端程序,认证成功后客户端接着执行命令请求。
[0014]根据上述技术方案,所述数据交互模块包括:客户端哨兵持续将客户端的数据包加密后转发致服务端哨兵;服务端哨兵持续进行命令的鉴权、审计、日志记录、异常告警操作;服务端哨兵从连接池中取出可用连接将加密的数据包解码后转发至基础组件;而连接的建立、断开都本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.基于零信任安全哨兵体系的资源防护系统,其特征在于:该系统包括操作管理平台、密码存储服务模块、哨兵模块、CA证书模块、信息校验模块、数据交互模块;所述操作管理平台用于执行系统管理员的操作,添加基础组件;所述密码存储服务模块用于提供密码存储服务,存储基础组件的敏感信息;所述哨兵模块用于创建服务端哨兵和客户端哨兵;所述CA证书模块用于生成、验证、吊销哨兵证书,客户端哨兵和服务端哨兵通信时通过CA证书模块验证对方身份合法性;所述信息校验模块用于在服务端哨兵接收到客户端哨兵传输的加密数据包后进行解码,对其中提交的身份信息进行校验,校验失败则终止流程,输出基础组件对应的协议格式错误响应包;校验成功后则响应认证成功数据包,并持续进行命令的鉴权、审计、日志记录、异常告警操作;所述数据交互模块用于服务端哨兵从连接池中取出可用连接将加密的数据包解码后转发至基础组件,与基础组件之间形成受信任的数据交互。2.根据权利要求1所述的基于零信任安全哨兵体系的资源防护系统,其特征在于:系统管理员通过所述操作管理平台添加被保护的基础组件,操作管理平台会为被保护的基础组件生成唯一的组件ID,构建组件ID的敏感信息,将敏感信息加密存储在密码存储服务模块中;所述敏感信息包括基础组件的连接、认证身份、组件类型、虚拟身份、真实身份。3.根据权利要求2所述的基于零信任安全哨兵体系的资源防护系统,其特征在于:系统管理员通过哨兵模块创建服务端哨兵证书;系统管理员从已添加的被保护的基础组件列表中选取一个需要被保护的基础组件,调用CA证书模块生成服务端哨兵使用的x509证书,证书中记录被保护的基础组件ID信息;创建服务端哨兵配置信息,所述服务端哨兵配置信息包括基于基础组件协议的认证身份信息、日志输出地址、命令限制类型及黑白名单、限制的命令列表;所述基于基础组件协议的认证身份信息包括pem格式证书、pem格式证书的私钥、密码存储地址、密码存储服务验证token、服务端哨兵监听地址;系统管理员通过操作管理平台下载服务端哨兵证书及服务端哨兵二进制程序,对服务端哨兵进行部署。4.根据权利要求3所述的基于零信任安全哨兵体系的资源防护系统,其特征在于:所述哨兵模块还包括:服务端哨兵启动后根据服务端哨兵配置信息中服务端哨兵监听地址、pem格式服务端哨兵证书、pem格式服务端哨兵证书的私钥启动tls端口监听服务;启动成功后根据密码存储地址、密码存储服务验证token请求密码存储服务模块加载身份列表,所述身份列表包括虚拟身份、真实身份;预先根据各个真实的身份及连接信息和基础组件实例建立连接,连接异常时根据日志输出地址记录的日志平台地址抛出错误日志,连接正常时将连接放入连接池备用。5.根据权利要求4所述的基于零信任安全哨兵体系的资源防护系统,其特征在于:所述对服务端哨兵进行部署包括两...
【专利技术属性】
技术研发人员:李彪,徐建平,张帅,张超,
申请(专利权)人:南京智人云信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。