一种基于零信任网络的网关智能编排方法及系统技术方案

本发明专利技术基于零信任网络的网关智能编排方法及系统，包括：采用零信任策略对网关节点进行身份验证和授权，网关节点对于合法的用户或设备授予网络访问权限；对进出网关节点的网络流量进行实时监测和分析，并获取网络流量的特征信息；基于网络流量的特征信息，结合预定义的智能编排规则，进行网络流量的智能路由和转发；对智能编排规则进行自适应调整和优化，以适应网络环境的动态变化

【技术实现步骤摘要】
一种基于零信任网络的网关智能编排方法及系统


[0001]本专利技术涉及网关控制
，具体涉及一种基于零信任网络的网关智能编排方法及系统
。

技术介绍

[0002]随着网络的普及和应用越来越广泛，网络安全问题日益突出
。
传统的网络安全模型通常基于信任，即一旦用户通过了认证，就可以在内部网络中自由访问资源
。
然而，这种模型容易受到内部威胁和外部攻击的威胁，例如恶意软件
、
黑客攻击等
。
[0003]当前的网络安全和访问控制方案存在以下问题：一
、
传统的固定访问控制策略：传统的网络安全和访问控制方案通常采用固定的访问控制策略，如基于
IP
地址
、
端口号或协议的规则
。
这种固定策略在面对复杂的网络环境和不断变化的安全威胁时，可能显得不够灵活和智能，容易出现误报和漏报的情况
。
[0004]二
、
缺乏细粒度的访问控制：传统的网络安全和访问控制方案可能缺乏细粒度的访问控制，无法对网络流量进行精确的控制和管理
。
例如，在多租户环境下，可能难以实现对不同用户或不同应用程序的细粒度访问控制，从而导致安全风险
。
[0005]三
、
静态的安全策略：传统的网络安全和访问控制方案通常使用静态的安全策略，如固定的规则集或签名库，这种静态策略可能无法及时应对新型的安全威胁和攻击技术，导致安全性较低
。
[0006]四
、
网络管理复杂性：当前网络环境日益复杂，包括云计算
、
物联网
、
移动设备等，导致网络管理变得复杂和繁琐，传统的网络安全和访问控制方案可能难以适应这种复杂性，导致网络管理效率低下
。
[0007]五
、
缺乏智能编排和自适应性：传统的网络安全和访问控制方案可能缺乏智能编排和自适应性，无法根据网络流量特征和安全策略进行智能的路由和转发，也难以自动调整和优化访问控制策略，导致安全性和管理性能有限
。
[0008]这些缺点可能限制了传统网络安全和访问控制方案在面对复杂网络环境和新型安全威胁时的效果，需要进一步改进和创新以提升网络安全性和管理效率
。
[0009]因此，近年来，基于零信任网络的安全模型逐渐兴起，该模型在用户和资源之间引入了更加严格的访问控制策略，要求在每次访问时都要进行认证和授权
。
在零信任网络中，网关作为网络访问的入口，起着关键的作用
。
传统的网关通常只对网络层的流量进行简单的转发和过滤，缺乏智能编排和动态控制的能力，难以满足复杂网络环境中对安全访问的需求
。
因此，需要一种基于零信任网络的网关智能编排方法，能够实现对用户和资源的精细化访问控制和动态调整，以提高网络安全性和用户体验
。

技术实现思路

[0010]专利技术目的：本专利技术目的在于针对现有技术的不足，提供一种基于零信任网络的网关智能编排方法及系统，根据网络环境的动态变化，自动调整和优化访问控制策略
。
[0011]技术方案：本专利技术所述基于零信任网络的网关智能编排方法，包括如下步骤：
S1
：采用零信任策略对网关节点进行身份验证和授权，网关节点对于合法的用户或设备授予网络访问权限；
S2
：对进出网关节点的网络流量进行实时监测和分析，并获取网络流量的特征信息；
S3
：基于
S2
中网络流量的特征信息，结合预定义的智能编排规则，进行网络流量的智能路由和转发；
S4
：对
S3
中的智能编排规则进行自适应调整和优化，以适应网络环境的动态变化
。
[0012]进一步完善上述技术方案，所述
S2
中采用网络监测工具或流量分析引擎对网络节点的网络流量进行实时监测和分析，所述实时监测和分析包括：识别网络流量中异常行为和威胁行为，以及监控不同设备或系统之间的交互模式和数据流动路径，作为智能编排规则的输入源；所述
S2
中获取网络流量的特征信息包括：源
IP
地址
、
目的
IP
地址
、
端口
、
协议信息
、
数据量
、
流量类型
。
[0013]进一步地，所述智能编排规则包括对网络流量的路由和转发规则
、
访问控制策略的规则
、
身份验证和授权策略的规则
。
[0014]进一步地，所述
S3
中智能路由和转发包括：基于网络流量的特征信息，结合智能编排规则的优先级和匹配程度因素，将数据包路由到最佳位置
。
进一步地，所述
S4
包括：测量网络拓扑结构和设备状态，收集安全威胁情报，基于历史数据进行分析和预测，根据分析和预测的结果，自动调整与更新访问控制策略，对自适应调整后的访问控制策略结果进行监测和评估，给出反馈和优化建议
。
[0015]用于上述基于零信任网络的网关智能编排方法的系统，包括：认证与授权模块，用于对访问网关节点的用户和设备进行身份验证和授权，并根据预定义的授权策略判断其是否有权限访问网络资源；网络流量监测与分析模块，用于对进出网关节点的网络流量进行实时监测和分析；安全策略管理模块，用于安全策略的配置
、
更新和管理；网络设备管理模块，用于管理网络中的网络节点和其他网络设备；智能编排规格管理模块，用于对智能编排规则进行预定义和管理；智能编排引擎，用于获取所述认证与授权模块得到的用户身份信息
、
网络流量监测与分析模块监测到的网络流量特征
、
所述安全策略管理模块配置的安全策略
、
所述网络设备管理模块采集的设备状态信息
、
所述智能编排规格管理模块预定义的智能编排规则，根据用户身份信息
、
网络流量特征
、
设备状态信息和安全策略，结合预定义的智能编排规则对流量进行智能的路由和转发
。
[0016]进一步地，所述安全策略包括访问控制策略
、
入侵检测策略
、
数据加密策略；所述安全策略管理模块根据实际需求和标准规范定义安全策略，配置和更新安全策略，记录策略操作和使用日志，并提供审计功能，以及提供通知和警报功能
。
[0017]进一步地，所述网络设备管理模块用于管理网络中的网关节点和网络设备，包括网络设备的自动发，网络设备状态监测和管理，网络设备的配置和更新，以及网络设备拓扑结构管理，以展现网络中各个设备的关系和连接
。
[0018]进一步地，所述智能编排规则包括对网络流量的路由和转本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种基于零信任网络的网关智能编排方法，其特征在于，包括如下步骤：
S1
：采用零信任策略对网关节点进行身份验证和授权，网关节点对于合法的用户或设备授予网络访问权限；
S2
：对进出网关节点的网络流量进行实时监测和分析，并获取网络流量的特征信息；
S3
：基于
S2
中网络流量的特征信息，结合预定义的智能编排规则，进行网络流量的智能路由和转发；
S4
：对
S3
中的智能编排规则进行自适应调整和优化，以适应网络环境的动态变化
。2.
根据权利要求1所述的基于零信任网络的网关智能编排方法，其特征在于：所述
S2
中采用网络监测工具或流量分析引擎对网络节点的网络流量进行实时监测和分析，所述实时监测和分析包括：识别网络流量中异常行为和威胁行为，以及监控不同设备或系统之间的交互模式和数据流动路径，作为智能编排规则的输入源；所述
S2
中获取网络流量的特征信息包括：源
IP
地址
、
目的
IP
地址
、
端口
、
协议信息
、
数据量
、
流量类型
。3.
根据权利要求1所述的基于零信任网络的网关智能编排方法，其特征在于：所述智能编排规则包括对网络流量的路由和转发规则
、
访问控制策略的规则
、
身份验证和授权策略的规则
。4.
根据权利要求1或3所述的基于零信任网络的网关智能编排方法，其特征在于：所述
S3
中智能路由和转发包括：基于网络流量的特征信息，结合智能编排规则的优先级和匹配程度因素，将数据包路由到最佳位置
。5.
根据权利要求1所述的基于零信任网络的网关智能编排方法及系统，其特征在于，所述
S4
包括：测量网络拓扑结构和设备状态，收集安全威胁情报，基于历史数据进行分析和预测，根据分析和预测的结果，自动调整与更新访问控制策略，对自适应调整后的访问控制策略结果进行监测和评估，给出反馈和优化建议
。6.
用于实现权利要求1所述基于零信任网络的网关智能编排方法的系统，其特征在于，包括：认证与授权模块，用于对访问网关节点的用户和设备...

【专利技术属性】
技术研发人员：常官清，杨正权，秦益飞，
申请(专利权)人：江苏易安联网络技术有限公司，
类型：发明
国别省市：