一种服务器零信任连接架构的构建方法技术

本发明专利技术公开了一种服务器零信任连接架构的构建方法，包括以下步骤：S1：利用内部网络部署管理中心，并在各个服务器中安装客户端；S2：通过用户将管理中心与各个客户端建立通信连接；S3：对需要进行信息交互的服务器依次进行身份验证、进程鉴别验证和通信传输加密，完成服务器零信任连接架构的构建。本发明专利技术针对信息系统攻击的方式、方法和途径进行了大量的研究，进一步结合可信计算技术，集网络访问权限控制技术、服务器身份认证技术、通信主体度量技术和网络链路透明加密技术，建立了一种服务器零信任架构通信保障体系，确保信息系统中服务器的安全性，有效避免了信息系统安全威胁扩散和敏感信息被窃。

【技术实现步骤摘要】
一种服务器零信任连接架构的构建方法
本专利技术属于网络安全
，具体涉及一种服务器零信任连接架构的构建方法。
技术介绍
随着互联网技术的普及，网络因其便捷高效的通信特性渗透到人们日常生活的方方面面，给我们的学习以及工作带来了极大的便利，但是随之而来的各种安全风险(信息泄露和病毒传播等)威胁着整个服务器通讯系统。因此在数字化通信时代的今天，网络连接和服务器通信的安全问题也来越受到人们的重视。服务器作为信息系统的核心组成部分，承载着信息系统关键的业务服务，随着信息化的不断完善，各式各样的业务服务也越来越多，在这些业务服务正常运行的同时，也面临着严重的安全问题，例如非法访问、身份冒充、嗅探和窃听等攻击等手段以及蠕虫病毒和恶意程序的入侵，导致信息系统遭到破坏或敏感的数据信息被窃取、篡改和滥用，使信息系统安全遭受到严重的威胁。随着黑客丛出不穷的攻击，以及企业业务系统与外部服务器之间不可避免的数据交互，给企业内部网络带来安全风险。而传统的服务器连接安全技术越来越难以应对日益复杂的网络安全现状。因此本申请提出了一种针对服务器零信任连接架构的安全传输方法，旨在进一步维护服务器之间的安全通信。
技术实现思路
本专利技术的目的是为了解决服务器零信任连接架构的安全传输问题，提出了一种服务器零信任连接架构的构建方法。本专利技术的技术方案是：一种服务器零信任连接架构的构建方法包括以下步骤：S1：利用内部网络部署管理中心，并在各个服务器中安装客户端；S2：通过用户将管理中心与各个客户端建立通信连接；S3：利用管理中心与各个客户端之间的通信连接，对需要进行信息交互的服务器依次进行身份验证、进程鉴别验证和通信传输加密，完成服务器零信任连接架构的构建。本专利技术的有益效果是：(1)本专利技术针对信息系统攻击的方式、方法和途径进行了大量的研究，进一步结合可信计算技术，集网络访问权限控制技术、服务器身份认证技术、通信主体度量技术和网络链路透明加密技术，建立了一种服务器零信任架构通信保障体系，确保信息系统中服务器的安全性，有效避免了信息系统安全威胁扩散和敏感信息被窃。(2)系统安装过程透明，不改变网络拓扑及业务应用，采用B/S管理模式，可对系统内部终端主机进行集中管理。(3)采用数字证书确保内部通信主机身份安全可信，支持对服务器进站和出站数据进行权限控制，支持对通信主机双方的主机身份进行安全认证，支持对通信主机双方的通信进程进行安全认证，支持对通信数据加密，防止非法程序或用户窃听。(4)支持服务器网络通信学习，允许自主构建通信安全防护策略。(5)兼容适应性强，能够支持Windowsxp以上系统和Linux操作系统等多个操作系统。进一步地，步骤S2包括以下子步骤：S21：通过客户端，在管理中心进行用户注册；S22：利用管理中心批准通过用户注册，并与各个客户端建立通信连接。进一步地，步骤S3中，各个服务器之间采用零信任模式，默认全部拒绝连接。上述进一步方案的有益效果是：在本专利技术中，业务系统服务器之间的网络访问以及通信连接采用零信任模式，默认全部拒绝连接，切断一切数据信息的交互，保证服务器业务的绝对安全。进一步地，步骤S3中，身份验证包括以下子步骤：A31：利用管理中心向注册成功的服务器下发管理中心根证书和平台身份证书；A32：利用服务器PA向服务器PB发送平台身份证书和加密字符串；A33：利用管理中心接受平台身份证书和加密字符串；A34：利用管理中心根证书对服务器PA的平台身份证书进行验证，若验证成功则进入步骤A35，否则进入步骤A38；A35：利用管理中心解析服务器PA的加密字符串，若解析成功则进入步骤A36，否则进入步骤A38；A36：利用管理中心根证书对服务器PB的平台身份证书进行验证，若验证成功则进入步骤A37，否则进入步骤A38；A37：利用管理中心解析服务器PB的加密字符串，若解析成功则进入步骤A39，否则进入步骤A38；A38：发送证书验证失败指令，拒绝服务器PA对服务器PB的访问请求；A39：放行服务器PA对服务器PB的访问请求，完成身份验证。上述进一步方案的有益效果是：在本专利技术中，管理中心向信息业务系统的每一台服务器颁发数字证书来标示服务器的身份并确保服务器唯一性，在信息业务系统内部服务器之间进行通信时，自动对通信双方进行身份认证，只有双方身份都经过认证后，才允许主机之间建立通信会话，否则将拒绝主机建立通信会话，有效防止内部私自接入的主机与业务系统建立通信，避免信息系统内部出现内部违规破坏。同时身份认证采用数字证书认证，用来保证通信对方的平台的可信性。用户向管理中心注册成功后，本地会收到管理中心下发的两个数字证书：管理中心根证书和平台身份证书，其中平台证书为安全管理中心签过名的本地平台证书。服务器PA和服务器PB代表不同的主机。服务器PA的进程M准备访问服务器PB的进程N。进一步地，步骤S3中，进程鉴别验证包括以下子步骤：B31：利用管理中心对所有服务器进行可信度量，得到进程哈希表；B32：将服务器PA的可信度量与服务器PB的可信度量进行匹配校验，若服务器PA和服务器PB的可信度量均与管理中心的进程哈希表匹配成功，则允许建立连接，否则不允许连接，完成进程鉴别验证。上述进一步方案的有益效果是：在本专利技术中，根据信息系统内部业务服务器的网络访问的需求，信息系统内部的服务器进行通信进程采集，当服务器发起通信时，能够根据通信内容自动分析出源通信进程及目标通信进程，并对通信双方通信进程进行可信鉴别，当通信进程不可信或通信进程被篡改时，将拒绝双方通信请求，避免因程序被非法篡改、系统被植入病毒木马后向其他业务主机发起通信而导致的业务数据被窃或导致业务程序错误。可信进程在学习模式时，采集到的通信连接对应的进程文件，计算其HASH值，并把数据上传管理中心。进程度量用来保证学习时的进程和真正走可信连接时的进程的一致性，防止同名程序替换和非可信进程占用端口伪装等行为。进一步地，步骤B31中，进行可信度量的方法为：采用SHAL+密码的形式，利用SHAL计算HASH值时，加入密码，完成可信度量。上述进一步方案的有益效果是：在本专利技术中，进程的Hash算法采用SHA1+密码的方式，在用SHA1计算文件内容Hash过程时加入自己的密码，得出自己独有的算法结果值。可以根据需要在特定版本出货时改变算法的密码，使只有该版本的可信平台可通过验证，保证更高的安全性。进一步地，通信传输加密包括以下子步骤：C31：通过服务器PA向服务器PB发送加密信息；C32：利用服务器PB接收加密信息并确认加密方式、数字安全证书和第二随机数；C33：利用服务器PA确认数字安全证书的有效性，并生成第三随机数；C34：利用服务器PB的数字安全证书公钥对第三随机数进行加密，并发送给服务器PA；C35：利用服务器PB的数字安本文档来自技高网...

【技术保护点】
1.一种服务器零信任连接架构的构建方法，其特征在于，包括以下步骤：/nS1：利用内部网络部署管理中心，并在各个服务器中安装客户端；/nS2：通过用户将管理中心与各个客户端建立通信连接；/nS3：利用管理中心与各个客户端之间的通信连接，对需要进行信息交互的服务器依次进行身份验证、进程鉴别验证和通信传输加密，完成服务器零信任连接架构的构建。/n

【技术特征摘要】
1.一种服务器零信任连接架构的构建方法，其特征在于，包括以下步骤：
S1：利用内部网络部署管理中心，并在各个服务器中安装客户端；
S2：通过用户将管理中心与各个客户端建立通信连接；
S3：利用管理中心与各个客户端之间的通信连接，对需要进行信息交互的服务器依次进行身份验证、进程鉴别验证和通信传输加密，完成服务器零信任连接架构的构建。


2.根据权利要求1所述的服务器零信任连接架构的构建方法，其特征在于，所述步骤S2包括以下子步骤：
S21：通过客户端，在管理中心进行用户注册；
S22：利用管理中心批准通过用户注册，并与各个客户端建立通信连接。


3.根据权利要求1所述的服务器零信任连接架构的构建方法，其特征在于，所述步骤S3中，各个服务器之间采用零信任模式，默认全部拒绝连接。


4.根据权利要求1所述的服务器零信任连接架构的构建方法，其特征在于，所述步骤S3中，身份验证包括以下子步骤：
A31：利用管理中心向注册成功的服务器下发管理中心根证书和平台身份证书；
A32：利用服务器PA向服务器PB发送平台身份证书和加密字符串；
A33：利用管理中心接受平台身份证书和加密字符串；
A34：利用管理中心根证书对服务器PA的平台身份证书进行验证，若验证成功则进入步骤A35，否则进入步骤A38；
A35：利用管理中心解析服务器PA的加密字符串，若解析成功则进入步骤A36，否则进入步骤A38；
A36：利用管理中心根证书对服务器PB的平台身份证书进行验证，若验证成功则进入步骤A37，否则进入步骤A38；
A37：利用管理中心解析服务器PB的加密字符串，若解析成功则进入步骤A39，否则进入步骤A3...

【专利技术属性】
技术研发人员：王晓娜，任鹏龙，杨猛，
申请(专利权)人：北京中软华泰信息技术有限责任公司，
类型：发明
国别省市：北京;11