本发明专利技术实施方式公开了一种零信任传输层流量认证方法、装置及存储介质。方法包括:接收基于零信任传输层流量封装的传输层安全协议报文,其中所述传输层安全协议报文包含携带有用户身份信息的协议头;从所述传输层安全协议报文中解析出所述用户身份信息;基于所述用户身份信息对所述零信任传输层流量进行认证。本发明专利技术实施方式实现了对不同用户的权限管控,通过引入时间戳实现了动态密码,克服了权限放大缺陷,还实现全流量加密。还实现全流量加密。还实现全流量加密。
【技术实现步骤摘要】
零信任传输层流量认证方法、装置及存储介质
[0001]本专利技术实施方式涉及网络安全
,更具体的说,涉及一种零信任传输层流量认证方法、装置及存储介质。
技术介绍
[0002]随着云计算、大数据、物联网等新兴技术的不断兴起,企业IT架构正在从“有边界”向“无边界”转变,传统的安全边界逐渐瓦解。零信任(Zero Trust)安全逐渐进入人们的视野,成为解决新时代网络安全问题的新理念、新架构。零信任代表了新一代的网络安全防护理念,它的关键在于打破默认的“信任”,默认不信任企业网络内外的任何人、设备和系统,基于身份认证和授权重新构建访问控制的信任基础,从而确保身份可信、设备可信、应用可信和链路可信。零信任安全网络的核心理念为“时时在认证,处处不信任”,对于所有访问流量均需要进行访问人的身份认证与访问权限的检查。当前零信任架构包括基于B/S的应用层用户身份认证与授权以及基于C/S架构的传输层用户身份认证与授权。
[0003]目前,针对传输层流量(比如,TCP/UDP流量),多采用基于证书的方案进行认证。在用户的客户端上安装静态证书,通过静态证书进行简单认证。
[0004]然而,由于静态证书与设备绑定,无法实现单机多使用用户且用户权限各不相同的管控场景。比如,设备上可能会有多个员工办公,不同员工有着不同的身份权限。若设备仅申请一个证书表示认证信息,无法表示多用户维度的不同用户权限。
[0005]而且,静态证书具有安全性不高的缺点。当被监听泄漏后,即失去保护措施。
技术实现思路
[0006]本专利技术实施方式提出一种零信任传输层流量认证方法、装置及存储介质。
[0007]本专利技术实施方式的技术方案如下:
[0008]一种零信任传输层流量认证方法,包括:
[0009]接收基于零信任传输层流量封装的传输层安全(Transport Layer Security,TLS)协议报文,其中所述TLS协议报文包含携带有用户身份信息的协议头;
[0010]从所述TLS协议报文中解析出所述用户身份信息;
[0011]基于所述用户身份信息对所述零信任传输层流量进行认证。
[0012]在示范性实施方式中,所述用户身份信息包含:
[0013]基于用户标识、设备标识、时间戳和用户身份凭证确定出的哈希运算消息认证码(Hash
‑
based Message Authentication Code,HMAC);
[0014]其中所述用户身份凭证是发送所述零信任传输层流量的零信任客户端在用户登录过程中从零信任服务器获取的。
[0015]在示范性实施方式中,所述用户身份信息还包含:所述用户标识、所述设备标识和所述时间戳。
[0016]在示范性实施方式中,所述基于用户身份信息对所述零信任传输层流量进行认证
包括:
[0017]从所述用户身份信息中提取所述HMAC;
[0018]将所述设备标识和所述用户标识作为检索项,检索出对应于所述检索项的用户身份凭证;
[0019]基于检索出的、对应于所述检索项的用户身份凭证以及所述用户标识、所述设备标识和所述时间戳,计算HMAC;
[0020]当所述计算出的HMAC与从用户身份信息中提取的HMAC相同时,确定所述认证通过。
[0021]在示范性实施方式中,还包括:
[0022]当所述零信任传输层流量认证通过后,确定所述零信任传输层流量的TLS协议长连接认证通过,其中所述长连接认证通过的有效性持续所述TLS协议长连接的生命周期。
[0023]在示范性实施方式中,还包括:
[0024]对认证通过的零信任传输层流量执行授权,其中所述授权包括:
[0025]获取认证通过的零信任传输层流量的目的地址、端口与传输协议;
[0026]确定用户是否具有访问所述目的地址、目的端口与传输协议的权限,如果有,转发所述零信任传输层流量,如果没有,阻断所述零信任传输层流量;
[0027]其中确定用户是否具有访问所述目的地址、目的端口与传输协议的权限包括:经由访问授权决策中心以确定用户是否具有访问所述目的地址、目的端口与传输协议的权限,或经由查询挂载在TLS协议会话上下文中的缓存确定用户是否具有访问所述目的地址、目的端口与传输协议的权限。
[0028]在示范性实施方式中,所述对认证通过的零信任传输层流量执行授权包括:
[0029]当所述零信任传输层流量为用户数据报协议(UDP)流量或互联网控制报文协议(ICMP)流量时,对所述UDP流量或所述ICMP流量进行逐包授权;当所述零信任传输层流量为传输控制协议(TCP)流量时,对所述TCP流量进行逐子流授权。
[0030]一种零信任传输层流量认证装置,包括:
[0031]接收模块,用于接收基于零信任传输层流量封装的TLS协议报文,其中所述传输层安全协议报文包含携带有用户身份信息的协议头;
[0032]解析模块,用于从所述TLS协议报文中解析出所述用户身份信息;
[0033]认证模块,用于基于所述用户身份信息对所述零信任传输层流量进行认证。
[0034]在示范性实施方式中,所述用户身份信息包含:
[0035]基于用户标识、设备标识、时间戳和用户身份凭证确定出的HMAC;
[0036]其中所述用户身份凭证是发送所述零信任传输层流量的零信任客户端在用户登录过程中从零信任服务器获取的。
[0037]在示范性实施方式中,所述用户身份信息还包含:所述用户标识、所述设备标识和所述时间戳。
[0038]在示范性实施方式中,所述认证模块,用于从所述用户身份信息中提取所述HMAC;
[0039]将所述设备标识和所述用户标识作为检索项,检索出对应于所述检索项的用户身份凭证;
[0040]基于检索出的、对应于所述检索项的用户身份凭证以及所述用户标识、所述设备
标识和所述时间戳,计算HMAC;
[0041]当所述计算出的HMAC与从用户身份信息中提取的HMAC相同时,确定所述认证通过。
[0042]在示范性实施方式中,认证模块,用于当所述零信任传输层流量认证通过后,确定所述零信任传输层流量的TLS协议长连接认证通过,其中所述长连接认证通过的有效性持续所述TLS协议长连接的生命周期。
[0043]在示范性实施方式中,还包括授权模块,用于对认证通过的零信任传输层流量执行授权,其中所述授权包括:获取认证通过的零信任传输层流量的目的地址、目的端口与传输协议;确定用户是否具有访问所述目的地址、目的端口与传输协议的权限,如果有,转发所述零信任传输层流量,如果没有,阻断所述零信任传输层流量;其中确定用户是否具有访问所述目的地址、目的端口与传输协议的权限包括:经由访问授权决策中心以确定用户是否具有访问所述目的地址、目的端口与传输协议的权限,或经由查询挂载在TLS协议会话上下文中的缓存确定用户是否具有访问所述目的地址、目的端口与传本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种零信任传输层流量认证方法,其特征在于,包括:接收基于零信任传输层流量封装的传输层安全协议报文,其中所述传输层安全协议报文包含携带有用户身份信息的协议头;从所述传输层安全协议报文中解析出所述用户身份信息;基于所述用户身份信息对所述零信任传输层流量进行认证。2.根据权利要求1所述的零信任传输层流量认证方法,其特征在于,所述用户身份信息包含:基于用户标识、设备标识、时间戳和用户身份凭证确定出的哈希运算消息认证码;其中所述用户身份凭证是发送所述零信任传输层流量的零信任客户端在用户登录过程中从零信任服务器获取的。3.根据权利要求2所述的零信任传输层流量认证方法,其特征在于,所述用户身份信息还包含:所述用户标识、所述设备标识和所述时间戳。4.根据权利要求3所述的零信任传输层流量认证方法,其特征在于,所述基于用户身份信息对所述零信任传输层流量进行认证包括:从所述用户身份信息中提取所述哈希运算消息认证码;将所述设备标识和所述用户标识作为检索项,检索出对应于所述检索项的用户身份凭证;基于检索出的、对应于所述检索项的用户身份凭证以及所述用户标识、所述设备标识和所述时间戳,计算哈希运算消息认证码;当所述计算出的哈希运算消息认证码与从用户身份信息中提取的哈希运算消息认证码相同时,确定所述零信任传输层流量认证通过。5.根据权利要求1所述的零信任传输层流量认证方法,其特征在于,还包括:当所述零信任传输层流量认证通过后,确定所述零信任传输层流量的传输层安全协议长连接认证通过,其中所述长连接认证通过的有效性持续所述传输层安全协议长连接的生命周期。6.根据权利要求1所述的零信任传输层流量认证方法,其特征在于,还包括:对认证通过的零信任传输层流量执行授权,其中所...
【专利技术属性】
技术研发人员:金源,徐文超,陈玺,宇佰超,
申请(专利权)人:北京房江湖科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。