【技术实现步骤摘要】
一种基于PKI与CPK混合认证的零信任网关实现方法及系统
[0001]本专利技术涉及发息的信息安全领域中的认证
,更具体地说,涉及一种基于PKI与CPK混合认证的零信任网关实现方法及系统。
技术介绍
[0002]安全网关是零信任最核心的部分,即现有技术中零信任架构图中的策略执行点框。其中,安全网关隔开了左侧外网和右侧内网。用户在左侧网络中。用户想获取右侧的数据资源,只能通过网关进入。网关的功能为:合法的让进,不合法的拦住。所有的安全策略都由网关执行。零信任要求对用户的身份、设备、行为路径等等多个方面进行检测和判断,检测结果由网关执行。用户的请求到网关之后,网关解析出请求中的用户信息,然后发给各个策略检测模块。最终,所有的检测结果都汇聚到网关,由网关最终执行。网关的种类主要包括Web代理网关、隐身网关、网络隧道网关、API网关等。
[0003]但是,当前的安全网关认证、授权和访问控制功能的实现主要是基于PKI体系的,当前的安全网关认证、授权和访问控制功能主要存在如下两个方面的问题:一是分散式密钥管理带来机构膨胀问...
【技术保护点】
【技术特征摘要】
1.一种基于PKI与CPK混合认证的零信任网关实现方法,其特征在于,包括:对接入零信任安全网关的网络划分为内网域和外网域;对外网域采用PKI进行认证;对内网域采用CPK进行认证。2.根据权利要求1所述的基于PKI与CPK混合认证的零信任网关实现方法,其特征在于,所述对外网域采用PKI进行认证,包括:生成及签发证书、生成及签发证书吊销列表、发布证书和CRL到目录服务器、维护CA数据库及审计日志库;申请、审核及注册数字证书;对密钥进行生成、保存、备份、更新、恢复及查询;提供轻量级目录访问协议服务、在线证书状态协议服务及注册服务;提供账号管理、企业信息管理、日志管理的功能;证书授权管理系统分别连接于用户管理系统、密钥管理系统、证书发布及查询系统及WEB管理系统,用户管理系统还连接于证书发布及查询系统。3.根据权利要求2所述的基于PKI与CPK混合认证的零信任网关实现方法,其特征在于,所述对内网域采用CPK进行认证,包括:通过逻辑部件实现CPK算法,并通过硬件或软件接口提供为内网域提供认证和加密的功能;调用CPK核心系统的功能,并向应用环境提供所述服务。4.根据权利要求3所述的基于PKI与CPK混合认证的零信任网关实现方法,其特征在于,所述通过逻辑部件实现CPK算法,并通过硬件或软件接口提供为内网域提供认证和加密的功能,包括:存储、管理、保护私钥以及标识数据,并调用预设的国密算法执行数字签名和密钥交换协议;通过预设的映射算法将标识映射为公钥因子矩阵的索引,并计算出对应的公钥;通过预设的口令和密码学功能对用户的口令进行验证;实现国密算法以进行签名、验证、密钥交换;按预设的算法生成真随机数;以CPK格式对数据进行编解码;实现和CPK代理之间的通信协议以请求应答命令方式向CPK代理提供服务。5.根据权利要求1所述的基于PKI与CPK混合认证的零信任网关实现方法,其特征在于,还包括...
【专利技术属性】
技术研发人员:戚建淮,郑伟范,成飏,何润民,崔宸,唐娟,刘建辉,徐国前,
申请(专利权)人:深圳市永达电子信息股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。