基于零信任的去中心化网络控制策略实现方法技术

本申请涉及一种基于零信任的去中心化网络控制策略实现方法，通过利用管控平台通过计算产生访问控制策略推送到云端控制器，终端APP通过认证后，根据相关条件，拉取相应的访问控制策略，最终通过接入网关访问后端的业务资源。将访问主体发起的请求在本地做策略匹配，如命中放行策略，则发出请求的数据包，否则被拦截；而访问客体只需做少量的中心化策略匹配即可，以此可降低访问可以的访问压力同时也可以避免DDoS等恶意访问请求；从而解决目前这种中心化网络控制带来的问题。中心化网络控制带来的问题。中心化网络控制带来的问题。

【技术实现步骤摘要】
基于零信任的去中心化网络控制策略实现方法


[0001]本公开涉及通信
，尤其涉及一种基于零信任的去中心化网络控制策略实现方法、基于零信任的去中心化网络控制系统及其使用方法。

技术介绍

[0002]网络控制策略，大体可分为两种：一种是基于网络层面的控制策略，也就是常说的防火墙ACL；另外一种是基于账号和访问资源的控制策略，例如：统一身份识别与访问管理平台以及各公司自研的单点登录系统等等。
[0003]对于第一种，网络层面的控制策略，是通过基于数据包的五元组信息(源地址，源端口，协议，目的地址，目的端口)进行数据包的匹配，如匹配成功，进行处置动作(阻断、放行等)；其特点，不区分业务，只要数据包命中策略规则，即可产生处置动作，可对大流量的访问进行粗粒度的控制；
[0004]对于第二种，基于账号和访问资源的控制策略。当访问主体(账号或应用)对访问客体(业务或API接口)，需携带相应的访问token或者cookie来标识访问主体的合法性；具备细粒度的管控能力。
[0005]上述访问控制策略，虽然能够解决目前在生产环境中遇到的问题，但由于中心化的控制策略计算和匹配设计，都会导致中心节点的计算压力成为瓶颈。从而导致访问速度变慢、中心节点计算成本增加等一系列问题。同时对应DDoS、CC、爬虫等恶意访问，无法从根本解决。
[0006]在零信任产品中，一些厂商也意识到了这个问题，由于不想把这部分计算压力承载到自己的产品中，所以也提出了相应的规避方案。例如：控制器部分，只做访问控制策略的计算，计算产生的访问控制策略会下发到防火墙，路由器等网络设备中，与用户的网络设备联动。此方案，看似完美将责任边界划分出来，但是并没有从根本解决中心点计算压力问题，只是将这部分压力转移到相应的设备上了。
[0007]因此，有必要提出一种中心化网络控制策略，以此降低访问可以的访问压力同时也可以避免DDoS恶意访问请求等技术问题。

技术实现思路

[0008]为了解决上述问题，本申请提出一种基于零信任的去中心化网络控制策略实现方法、基于零信任的去中心化网络控制系统及其使用方法，将访问主体发起的请求在本地做策略匹配，如命中放行策略，则发出请求的数据包，否则被拦截；而访问客体只需做少量的中心化策略匹配即可，以此可降低访问可以的访问压力同时也可以避免DDoS等恶意访问请求；从而解决目前这种中心化网络控制带来的问题。
[0009]本申请一方面，提供了一种基于零信任的去中心化网络控制策略实现方法，包括如下步骤：
[0010]S100、在用户所处网络中部署管控平台TMC和接入网关TMG；
[0011]S200、建立所述管控平台TMC和所述接入网关TMG与云端服务TMCloud之间的相互通信；
[0012]S300、管理员创建访问控制策略，并将所述访问控制策略配置在所述管控平台TMC上；
[0013]S400、基于所述访问控制策略，通过所述管控平台TMC计算并生成授权策略，并将所述授权策略同步在所述云端服务TMCloud上。
[0014]作为本申请的一可选实施方案，可选地，在步骤S200中，建立所述管控平台TMC和所述接入网关TMG与云端服务TMCloud之间的相互通信，包括：
[0015]S201、所述管控平台TMC导入第一证书，进行通信验证；
[0016]S202、验证完毕，通过所述管控平台TMC向所述云端服务TMCloud发起注册请求，请求建立连接；
[0017]S203、注册完毕，所述云端服务TMCloud返回注册结果并通知所述管控平台TMC，建立所述管控平台TMC与所述云端服务TMCloud之间的通信。
[0018]作为本申请的一可选实施方案，可选地，在步骤S200中，建立所述管控平台TMC和所述接入网关TMG与云端服务TMCloud之间的相互通信，还包括：
[0019]S210、所述接入网关TMG导入与所述第一证书相匹配的第二证书，进行通信验证；
[0020]S220、验证完毕，通过所述接入网关TMG向所述云端服务TMCloud发起注册请求，请求建立连接；
[0021]S230、注册完毕，所述云端服务TMCloud返回注册结果并通知所述管控平台TMC，建立所述接入网关TMG与所述云端服务TMCloud和所述管控平台TMC之间的相互通信。
[0022]作为本申请的一可选实施方案，可选地，在步骤S300中，所述管理员创建访问控制策略，并将所述访问控制策略配置在所述管控平台TMC上，包括：
[0023]S301、通过所述管控平台TMC的管理员，创建用户登录账号；
[0024]S302、接入业务资源，并配置在所述管控平台TMC上；
[0025]S303、基于创建的用户登录账号和业务资源，设置具备逻辑关系的访问控制策略并保存在所述管控平台TMC上。
[0026]本申请另一方面，提供了一种基于零信任的去中心化网络控制系统，所述基于零信任的去中心化网络控制系统，根据所述的基于零信任的去中心化网络控制策略实现方法进行创建。
[0027]本申请另一方面，还提供了一种所述的基于零信任的去中心化网络控制系统的使用方法，包括如下步骤：
[0028]S100、通过终端TMA导入证书，并使用管理员创建的账号进行登录；
[0029]S200、所述终端TMA将登录信息加密后，将其发送至云端服务TMCloud并发起验证请求；
[0030]S300、所述云端服务TMCloud进行验证处理，并将所述登录信息转发至管控平台TMC；
[0031]S400、所述管控平台TMC根据所述登录信息匹配调用授权策略，并同步至所述云端服务TMCloud，且通过所述云端服务TMCloud将所述授权策略推送至所述终端TMA，进行本地授权策略更新；
[0032]S500、所述终端TMA根据本地授权策略所匹配的访问控制策略，向接入网关TMG发起对业务资源的访问请求。
[0033]作为本申请的一可选实施方案，可选地，在步骤S300中，所述云端服务TMCloud进行验证处理，并将所述登录信息转发至管控平台TMC，包括：
[0034]S301、所述云端服务TMCloud接收所述登录信息和验证请求；
[0035]S302、根据预设验证条件，对所述验证请求进行合法性验证，判断所述验证请求是否合法；
[0036]S303、若是所述验证请求验证合法，则将所述登录信息转发至管控平台TMC；若是不合法，则返回给所述终端TMA，验证失败。
[0037]作为本申请的一可选实施方案，可选地，在步骤S400中，所述管控平台TMC根据所述登录信息匹配调用授权策略，并同步至所述云端服务TMCloud，且通过所述云端服务TMCloud将所述授权策略推送至所述终端TMA，进行本地授权策略更新，包括：
[0038]S401、所述管控平台TMC接收所述登录信息；
[0039]S402、通过所本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于零信任的去中心化网络控制策略实现方法，其特征在于，包括如下步骤：S100、在用户所处网络中部署管控平台TMC和接入网关TMG；S200、建立所述管控平台TMC和所述接入网关TMG与云端服务TMCloud之间的相互通信；S300、管理员创建访问控制策略，并将所述访问控制策略配置在所述管控平台TMC上；S400、基于所述访问控制策略，通过所述管控平台TMC计算并生成授权策略，并将所述授权策略同步在所述云端服务TMCloud上。2.根据权利要求1所述的基于零信任的去中心化网络控制策略实现方法，其特征在于，在步骤S200中，建立所述管控平台TMC和所述接入网关TMG与云端服务TMCloud之间的相互通信，包括：S201、所述管控平台TMC导入第一证书，进行通信验证；S202、验证完毕，通过所述管控平台TMC向所述云端服务TMCloud发起注册请求，请求建立连接；S203、注册完毕，所述云端服务TMCloud返回注册结果并通知所述管控平台TMC，建立所述管控平台TMC与所述云端服务TMCloud之间的通信。3.根据权利要求2所述的基于零信任的去中心化网络控制策略实现方法，其特征在于，在步骤S200中，建立所述管控平台TMC和所述接入网关TMG与云端服务TMCloud之间的相互通信，还包括：S210、所述接入网关TMG导入与所述第一证书相匹配的第二证书，进行通信验证；S220、验证完毕，通过所述接入网关TMG向所述云端服务TMCloud发起注册请求，请求建立连接；S230、注册完毕，所述云端服务TMCloud返回注册结果并通知所述管控平台TMC，建立所述接入网关TMG与所述云端服务TMCloud和所述管控平台TMC之间的相互通信。4.根据权利要求1所述的基于零信任的去中心化网络控制策略实现方法，其特征在于，在步骤S300中，所述管理员创建访问控制策略，并将所述访问控制策略配置在所述管控平台TMC上，包括：S301、通过所述管控平台TMC的管理员，创建用户登录账号；S302、接入业务资源，并配置在所述管控平台TMC上；S303、基于创建的用户登录账号和业务资源，设置具备逻辑关系的访问控制策略并保存在所述管控平台TMC上。5.一种基于零信任的去中心化网络控制系统，其特征在于，所述基于零信任的去中心化网络控制系统，根据权利要求1
‑
4中任一项所述的基于零信任的去中心化网络控制策略实现方法进行创建。6.一种权利要求5所述的基于零信任的去中心化网络控制系统的使用方法，其特征在于，包括如下步骤：S100、通过终端TMA导入证书，并使用管理员...

【专利技术属性】
技术研发人员：陈坤鹏，郭旭东，王达，
申请(专利权)人：北京绎云科技有限公司，
类型：发明
国别省市：