本发明专利技术涉及一种基于白名单机制实现API零信任的方法,步骤为配置平台所默认开启的零信任策略由一系列校验规则组成,根据用户需要建立访问白名单,只有在白名单内的访问者才能继续访问后台API,在接收API访问请求时,首先在白名单中使用零信任策略所配置的校验规则进行匹配,若通过,则该访问请求被转发到具体的业务API提供服务器,进行实际业务访问。本发明专利技术一方面提升了对于API共享的安全性,使得API资源在共享的同时,首先提供安全可靠的信息保障;在政企环境中,各个API资源提供方能更加放心的将信息资源进行共享,让各类信息在更多业务场景下进行碰撞产生更多维度的业务价值,同时能保障政企的商业机密和私密信息的安全。时能保障政企的商业机密和私密信息的安全。时能保障政企的商业机密和私密信息的安全。
【技术实现步骤摘要】
一种基于白名单机制实现API零信任的方法
[0001]本专利技术涉及网络系统安全
,尤其涉及一种基于白名单机制实现API零信任的方法。
技术介绍
[0002]在互联网领域,API是指应用程序编程接口,该
提供API主要是为了能够让更多的API使用者来进行使用,基本采用的是用户认证的方式来实现API使用者的信任问题。但在政企领域,对于API的使用(或批量API的使用)更多的是内部和上下游企业,涉及到更多的商业机密和私密信息。因此对于API安全性的要求会更高,需要通过零信任方式实现对API访问的控制,以达到非授权方无法访问API的效果。
[0003]为便于技术人员理解API安全性的问题,可以根据以往应用经验列举一些较为近似的例子来辅助理解,例如,可通过设计一个脚本,使授权方将其嵌入到他们的网站中以显示一些UI并调用我们的API,它将根据API调用中提供的一些ID在这些网站上显示我们的数据,嵌入脚本的每个合作伙伴都将获得一个公开密钥,在调用API时必须提供该公开密钥;需要注意的是,要避免有人滥用API并使用它来观察窃取我们的整个目录。
[0004]以上举例仅是用于介绍性的了解有关API安全性的问题。然而,在政企领域,授权方式存在多种形式,包括特定来源的IP地址、MAC地址、证书、认证、密钥等,如何使用多种方式更好的实现对访问方的零信任又提供相应的灵活性目前来看被认为是一个难题;同时,以往各个业务线的数据由于没有良好的手段控制而导致无法进行资源共享,所以无法产生多渠道数据的融合分析。
[0005]本领域技术人员均知晓,在政企领域,当前主流的API信任机制和实现方法为app key(即应用程序密钥)方法,对于APPkey,既可通过程序间的直接通信实现数据共享,还可通过数据库实现应用程序度间的数据共享,此外,APPkey的文件传输也可通过发送格式化文件实现应用程序间数据共享。
[0006]如今,在政企领域,所实施的app key方法一般为,用户在API平台完成注册认证后,则系统为该账号或该账号下的创建的一个应用分配一个API访问的key值,后续API的应用访问基于该key即可完成。
[0007]经过本专利技术申请之技术方案技术人员对以往政企领域所实施的app key方法进行具体分析可知其存在着明显的弊端,主要问题在于,由于该方法的底层逻辑都是基于共享机制,只要完成账号注册,即可申请平台的API资源的全量访问,该方式比较适合互联网领域的API共享及安全机制;但是,在政企领域,由于涉及到政企的商业机密和各类政务隐私信息,因而,安全要求更高,故传统的app key方法无法满足政企领域API资源共享的需要。
[0008]综上可行性分析以及对以往技术的分析,本专利技术技术方案之设计人员正是在现有公知技术以及一些技术人员所实施的技术手段的基础上,经过实际应用的经验总结,利用基于白名单机制实现API零信任的方法,将能够实现一套以信息保护为核心的管理方法,从而提供更加安全可靠的API零信任管理方法。因而,所提出的技术方案能够缓解、部分解决
或彻底解决现有技术存在的问题,同时本专利技术所提出的技术方案也是为了满足政府部门及企业内外部及各种场景下的API资源共享管理场景的应用需求。
技术实现思路
[0009]为克服上述问题或者至少部分地缓解、部分解决上述问题,本专利技术提供一种基于白名单机制实现API零信任的方法,其适用于政府部门及企业内外部及各种场景下的API资源共享管理场景,使得API资源的共享访问管理更加安全可信。
[0010]为实现上述目的,本专利技术采用以下技术方案:
[0011]一种基于白名单机制实现API零信任的方法,其用于政府部门、企业内外部及各种场景下的API资源共享管理场景,来提高政企的商业机密和私密信息的安全,在平台中已经开启零信任机制的前提下,该基于白名单机制实现API零信任的方法包括以下步骤:
[0012]步骤一:配置平台所默认开启的零信任策略由一系列规则组成,这些规则可为IP校验规则、MAC地址校验规则、证书校验规则、AK/SK校验规则或用户认证校验规则;
[0013]步骤二:根据用户需要建立访问白名单,只有在白名单内的访问者才能继续访问后台API,以便进行白名单和校验规则匹配;
[0014]步骤三:在接收API访问请求时,首先在白名单中使用零信任策略所配置的校验规则进行匹配,若通过,则该访问请求被转发到具体的业务API提供服务器,进行实际的业务访问,否则直接返回拒绝访问。
[0015]其中,对于白名单中使用零信任策略匹配,该步骤于接收访问请求时形成了针对API提供服务器访问安全的在先防护屏障。
[0016]相应地,以上所提到的前提主要是,平台已经开启零信任机制,且存在一条已经发布的API资源,零信任策略中包含用户认证。
[0017]为促进技术效果的显著提升,技术人员还可采用相应的技术手段对以上技术方案进一步补充,包括:
[0018]当用户发起该API资源访问请求,请求中包含访问用户的用户信息;
[0019]当平台接收访问请求后,获取解析请求中的用户信息;
[0020]在零信任机制下,任何一次API访问都必须先完成零信任策略的认证,然后才能完成后续的业务访问;
[0021]在匹配时,根据零信任策略中的用户认证策略,进行验证计算。
[0022]结合应用效果,技术人员还可采用相应的技术手段对以上技术方案的技术效果进行升华,包括:
[0023]基于白名单机制实现API零信任的方法用于提升API共享安全性的应用场景;
[0024]各个API资源提供方将信息资源进行共享;
[0025]用户信息包含IP地址、MAC地址、证书、认证、密钥。
[0026]本专利技术一方面大大提升了对于API共享的安全性,使得API资源在共享的同时,首先提供安全可靠的信息保障;另外,使得在政企环境中,各个API资源提供方能够更加放心的将信息资源进行共享,让各类信息在更多的业务场景下进行碰撞产生更多维度的业务价值,有利于克服以往无法产生多渠道数据融合分析的问题,同时亦能保障政企的商业机密和私密信息的安全,其安全防护功能较优越。
附图说明
[0027]下面根据附图对本专利技术作进一步详细说明。
[0028]图1是本专利技术所实施的基于白名单机制实现API零信任的方法,其流程示意图;
[0029]图2是本专利技术所实施的基于白名单机制实现API零信任的方法,其在接收API访问请求时,在白名单中使用零信任策略校验匹配流程示意图。
具体实施方式
[0030]本专利技术拟实施的基于白名单机制实现API零信任的方法,所实施的技术手段要达到的目的在于,解决以往在政企领域由于涉及到政企的商业机密和各类政务隐私信息而需要安全要求更高,所导致传统的app key方法无法满足政企领域API资源共享需要、以及无法产生多渠道数据融合分析的问题。
[0031]本专利技术所实施之技术方案,主要本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于白名单机制实现API零信任的方法,其用于政府部门、企业内外部及各种场景下的API资源共享管理场景,来提高政企的商业机密和私密信息的安全,其特征在于,在平台中已经开启零信任机制的前提下,所述基于白名单机制实现API零信任的方法包括以下步骤:步骤一:配置平台所默认开启的零信任策略由一系列规则组成,这些规则可为IP校验规则、MAC地址校验规则、证书校验规则、AK/SK校验规则或用户认证校验规则;步骤二:根据用户需要建立访问白名单,只有在白名单内的访问者才能继续访问后台API,以便进行白名单和校验规则匹配;步骤三:在接收API访问请求时,首先在白名单中使用零信任策略所配置的校验规则进行匹配,若通过,则该访问请求被转发到具体的业务API提供服务器,进行实际的业务访问,否则直接返回拒绝访问;其中,对于白名单中使用零信任策略匹配,该步骤于接收访问请求时形成了针对API提供服务器访问安全的在先防护屏障。2.根据权利要求1所述的基于白名单机制实现API零信任的方法,其特征在于:所述前提为平台已经开启零信任机制,且存在一条已经发布的API资源,零信任策略中包含用户认证。3.根据权利要求1所述的基于白名单机制实现API零信任的方法,其特征在于:当用户发起该API资源访问请求,请求中包含访问用户的用户信息。4.根据权利要求3所述的基于白名单机制实现API零信任的方法,其特征在于:当平台接收访问请...
【专利技术属性】
技术研发人员:王华飞,戚建飞,郑凯,
申请(专利权)人:杭州大拙信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。