【技术实现步骤摘要】
本专利技术属于网络安全,尤其涉及一种基于零信任的跨域协同方法及系统。
技术介绍
1、随着网络技术普及化和应用化,企业正在建立独立的企业网络,将不同部门或个人连接起来,实现人、系统间协同作业。这些企业网络通常与互联网互通,企业网络内用户可以正常访问互联网;互联网中用户只有具有访问权限才可访问企业网络。
2、为了确保企业网络的安全性,通常采用网络隔离技术,将企业网络与互联网进行有效隔离,实现了企业网络和互联网间信息受控传递。目前,网络隔离技术主要包括(1)逻辑隔离技术,企业网络与互联网存在直接连接的物理链路,采用虚拟隔离网络技术,将企业网络构建为虚拟私有网络,只有通过身份认证授权成功的用户才可访问虚拟私有网络,从而实现了企业网络与互联网的信息传递。互联网中用户访问企业网络时,需要获得企业网络访问权限,信息传递过程中拥有身份的签名。(2)物理隔离技术,企业网络与互联网间不存在直接连接的物理链路,采用跨网隔离交换设备(如单向交换设备、双单向设备、光盘摆渡等),将跨网传递的信息转化为文本,传递到所达到的网络中。上述方式存在以下弊端与不足:
3、(1)管控粒度较粗:现有的网络隔离技术都是基于用户、设备或系统的身份信息。一旦身份通过认证后,跨域信息都不再进行鉴别和认证。在实际跨网交换过程中,并不是所有信息都能跨网交换的权限。因此,需要对跨网交换的业务流程进行细粒度管控,确保每次交换的信息都安全交换。
4、(2)信任链不连贯:现有手段是跨域应用对用户进行身份鉴权,网络隔离技术对跨域应用进行鉴权。网络隔离技术无
技术实现思路
1、本专利技术针对现有技术中网络隔离技术在管控粒度较粗、信息链不连贯的技术问题,提出一种基于零信任的跨域协同方案。
2、本专利技术第一方面提出一种基于零信任的跨域协同方法。在要进行跨域数据交换的第一网络域和第二网络域中分别部署跨域协同系统,所述跨域协同系统包括若干终端代理、一个跨域代理和一个零信任远程访问平台,所述零信任跨域访问平台包括若干零信任远程访问平台,一个零信任远程访问平台与一个终端代理对应,所述一个终端代理与一个终端对应,所述终端代理部署在所述终端上。
3、位于所述第一网络域的终端a与位于所述第二网络域的终端b进行跨域数据的交换时,所述方法包括:
4、在所述第一网络域一侧:
5、步骤s1、所述终端a的终端代理向与所述终端a的终端代理对应的零信任远程访问平台发起关于所述终端a的用户身份验证,所述身份验证通过后,所述终端a启动所述跨域数据的传输;
6、步骤s2、所述终端a的终端代理将用户访问令牌和所述跨域数据生成跨域报文,并将所述跨域报文发送至位于所述第一网络域且与所述终端a的终端代理对应的零信任远程访问平台;
7、步骤s3、与所述终端a的终端代理对应的零信任远程访问平台基于用户访问令牌完成用户身份的合法性检查,基于跨域数据完成访问策略的合法性检查,并将所述跨域报文传输至位于所述第一网络域的跨域代理;
8、步骤s4、位于所述第一网络域的跨域代理经由所述网络隔离设备将所述跨域报文传输至位于所述第二网络域的跨域代理;
9、在所述第二网络域一侧:
10、步骤s5、位于所述第二网络域的跨域代理将接收到的来自于所述第一网络域的所述跨域报文转发至位于所述第二网络域且与所述终端b的终端代理对应的零信任远程访问平台;
11、步骤s6、与所述终端b的终端代理对应的零信任远程访问平台完成所述用户身份的合法性检查和所述访问策略的合法性检查,并将所述跨域报文经由所述终端b的终端代理发送至所述终端b。
12、根据本专利技术第一方面的方法,所述方法还包括:步骤s0、初始化所述跨域协同系统;具体包括:
13、在相关网络域根据所述网络隔离设备的使用要求对所述相关网络域的跨域代理的接口参数进行配置,所述相关网络域的跨域代理基于经配置的接口参数与所述网络隔离设备连接;
14、配置所述相关网络域的跨域代理访问所述相关网络域的零信任跨域访问平台的地址作为第一地址,所述相关网络域的跨域代理基于所述第一地址访问所述相关网络域的零信任跨域访问平台;
15、所述相关网络域的零信任跨域访问平台根据所述跨域数据的业务要求配置所述访问策略;
16、配置所述相关网络域的各个终端代理访问所述相关网络域的零信任跨域访问平台的地址作为第二地址,所述相关网络域的各个终端代理基于第二地址访问所述相关网络域的零信任跨域访问平台。
17、根据本专利技术第一方面的方法,所述步骤s1具体包括:
18、所述终端a的终端代理获取用户身份信息并生成身份验证请求消息,将所述身份验证请求消息发送给所述终端a的终端代理对应的零信任远程访问平台;
19、所述终端a的终端代理对应的零信任远程访问平台接收到所述身份验证请求消息后解析出所述用户身份信息,判断所述用户身份信息的合法性;
20、若所述用户身份信息合法:
21、计算所述用户访问令牌,并生成身份验证成功消息,将所述用户访问令牌携带在所述身份验证成功消息中发送给所述终端a的终端代理;
22、所述终端a的终端代理接收到携带有所述用户访问令牌的身份验证成功消息后,解析出所述用户访问令牌,并执行用户访问令牌加载操作,生成身份验证确认请求消息,发送给所述终端a的终端代理对应的零信任远程访问平台;
23、所述终端a的终端代理对应的零信任远程访问平台接收到所述身份验证确认请求消息后,生成所述访问策略并将所述访问策略部署至所述所述终端a的终端代理;
24、所述终端a的终端代理将所述访问策略和所述用户访问令牌封装为身份同步请求消息,发送给与所述终端b的终端代理对应的零信任远程访问平台;
25、与所述终端b的终端代理对应的零信任远程访问平台接收到所述身份同步请求消息,解析出所述访问策略和所述用户访问令牌并进行安装部署,生成身份同步响应消息,将所述身份同步响应消息发送至与所述终端a的终端代理对应的零信任远程访问平台;
26、与所述终端b的终端代理对应的零信任远程访问平台接收到所述身份同步响应消息,生成身份验证确认响应消息,将所述身份验证确认响应消息发送给所述终端a的终端代理,所述终端a的终端代理接收到所述身份验证确认响应消息后启动所述跨域数据的传输。
27、根据本专利技术第一方面的方法,所述方法还包括,在所述第一网络域一侧,与所述终端a的终端代理对应的零信任远程访问平台周期性地调整所述访问策略,具体包括:
28、与所述终端a的终端代理对应的零信任远程访问平台向所述终端a的终端代理发送第一环境状态感知请求消息;
29、所述终端a的终端代理接收到所述第一环境状态感知请求消息,获取所述终端a的当前环境状态,将其封装为第一环境状态感知响应本文档来自技高网...
【技术保护点】
1.一种基于零信任的跨域协同方法,其特征在于:
2.根据权利要求1所述的一种基于零信任的跨域协同方法,其特征在于,所述方法还包括:步骤S0、初始化所述跨域协同系统;具体包括:
3.根据权利要求2所述的一种基于零信任的跨域协同方法,其特征在于,所述步骤S1具体包括:
4.根据权利要求3所述的一种基于零信任的跨域协同方法,其特征在于,所述方法还包括,在所述第一网络域一侧,与所述终端A的终端代理对应的零信任远程访问平台周期性地调整所述访问策略,具体包括:
5.一种基于零信任的跨域协同系统,其特征在于:
6.根据权利要求5所述的一种基于零信任的跨域协同系统,其特征在于,位于所述第一网络域的终端A与位于所述第二网络域的终端B进行所述跨域数据的交换前,初始化所述跨域协同系统;具体包括:
7.根据权利要求6所述的一种基于零信任的跨域协同系统,其特征在于,所述终端A的用户身份验证具体包括:
8.根据权利要求7所述的一种基于零信任的跨域协同系统,其特征在于,在所述第一网络域一侧,与所述终端A的终端代理对应的零信任远
9.一种电子设备,其特征在于,所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现权利要求1-4任一项所述的一种基于零信任的跨域协同方法中的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现权利要求1-4任一项所述的一种基于零信任的跨域协同方法中的步骤。
...【技术特征摘要】
1.一种基于零信任的跨域协同方法,其特征在于:
2.根据权利要求1所述的一种基于零信任的跨域协同方法,其特征在于,所述方法还包括:步骤s0、初始化所述跨域协同系统;具体包括:
3.根据权利要求2所述的一种基于零信任的跨域协同方法,其特征在于,所述步骤s1具体包括:
4.根据权利要求3所述的一种基于零信任的跨域协同方法,其特征在于,所述方法还包括,在所述第一网络域一侧,与所述终端a的终端代理对应的零信任远程访问平台周期性地调整所述访问策略,具体包括:
5.一种基于零信任的跨域协同系统,其特征在于:
6.根据权利要求5所述的一种基于零信任的跨域协同系统,其特征在于,位于所述第一网络域的终端a与位于所述第二网络域的终端b进行所述跨域数据的交换前,初始化所述跨...
【专利技术属性】
技术研发人员:高先明,傅娟,王敬超,
申请(专利权)人:中国人民解放军军事科学院系统工程研究院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。