【技术实现步骤摘要】
本专利技术属于零信任网络安全应用领域,更具体的说,是涉及一种零信任sdp控制器的以资源为中心的策略池构建及调用方法。
技术介绍
1、以身份为中心的动态访问控制是零信任网络的核心思想,而访控策略是实现访问控制的基础,访控策略的数量及类型会随着网络节点数量的增多和网络规模的增大而出现爆棚式增长,庞大的访控策略体系中又会不可避免的出现冗余策略或互斥策略,这给防控策略的存储、执行和遍历带来了越来越大的挑战。如何降低访控策略间的关联度和提高防控策略的易用性是每一个零信任网络开发者不得不重点考虑的问题。
2、零信任网络的防护对象是资源,而所有网络节点(终端、网关、服务器)从被访问的角度来看均可被视为资源,而每个资源都是互不重叠的独立个体,因此围绕资源被访问情况来构建访控策略可以从源头上避免防控策略间出现冗余或互斥的情况。
技术实现思路
1、针对零信任sdp控制器访控策略的产生及存储方式,基于零信任动态访控策略理念,本专利技术提出了一种零信任sdp控制器的以资源为中心的策略池构建及调用方法。该方法可应用于零信任网络中sdp控制器的访控策略产生与存储,可避免冗余和互斥策略的产生同时可提高策略检索效率。该方法尤其适用于大型复杂的零信任网络环境。
2、本专利技术的目的是通过以下技术方案实现的。
3、一种零信任sdp控制器的以资源为中心的策略池构建方法,sdp控制器以单个资源可被访问的情况生成对应的访控策略,任一资源相关的所有访控策略构成其特定的策略空间,所有策略空间
4、一种零信任sdp控制器的以资源为中心的策略池调用方法,包括以下过程:
5、(1)在零信任网络下,sdp控制器收到用户登录申请,判断用户的用户名、密码是否正确,若正确,则用户登录成功,继续执行步骤(2),若不正确,则用户登录失败;
6、(2)sdp控制器收到用户访问资源a的请求,根据用户的属性、相关环境、动作属性对用户进行风险评估,若风险评估通过,则继续执行步骤(3),若风险评估不通过,则拒绝用户访问资源a;
7、(3)遍历资源a的策略空间中所有访控策略,查询是否有此用户的相关访控策略,若有则允许此用户访问资源a,否则拒绝此用户访问资源a。
8、与现有技术相比,本专利技术的技术方案所带来的有益效果是:
9、本专利技术提出的以资源为中心的策略池构建及调用方法,利用受保护资源的唯一性特性,为每个资源生成独立的策略空间,策略空间的集合构成整个零信任网络策略池。此方法可以从源头上避免防控策略间出现冗余或互斥的情况,无需特殊设计复杂的策略冲突检验机制来规避策略冲突,同时可有效提高策略检索效率和易用性。
本文档来自技高网...【技术保护点】
1.一种零信任SDP控制器的以资源为中心的策略池构建方法,其特征在于,SDP控制器以单个资源可被访问的情况生成对应的访控策略,任一资源相关的所有访控策略构成其特定的策略空间,所有策略空间的集合构成SDP控制器的策略池;零信任网络的所有访控策略均存储在SDP控制器的策略池中。
2.一种零信任SDP控制器的以资源为中心的策略池调用方法,其特征在于,包括以下过程:
【技术特征摘要】
1.一种零信任sdp控制器的以资源为中心的策略池构建方法,其特征在于,sdp控制器以单个资源可被访问的情况生成对应的访控策略,任一资源相关的所有访控策略构成其特定的策略空间,所有策略空间...
【专利技术属性】
技术研发人员:张大伟,吴栋,刘洪泽,房晨思,李颖钧,何静,项悦铭,
申请(专利权)人:天津光电聚能通信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。