一种基于零信任单包认证与授权的资源访问控制方法技术

本发明专利技术属于信息安全领域，具体涉及一种基于零信任单包认证与授权的资源访问控制方法，该方法包括：终端设备向零信任网关发起访问请求；零信任网关验证终端设备发送的请求信息，若验证通过，密钥中心生成会话密钥以及终端设备的公钥和私钥；终端设备生成用户访问零信任网关的单包信息，并利用会话密钥加密单包信息；计算单包信息的消息摘要，利用私钥对加密的单包信息和摘要信息进行签名，并将所有信息发送给零信任网关；该零信任网关验证签名信息、加密信息和摘要信息，如果验证都通过，则为此终端设备开放一致性端口，允许该终端设备临时访问服务器；采用本申请所描述的方法，有利于实现服务端口的隐藏，减少网络攻击面，提高网络的安全性。网络的安全性。网络的安全性。

【技术实现步骤摘要】
一种基于零信任单包认证与授权的资源访问控制方法


[0001]本专利技术属于信息安全领域，具体涉及一种基于零信任单包认证与授权的资源访问控制方法。

技术介绍

[0002]传统基于边界的网络通过“先连接，后认证”的方式在网络边界处验证用户的身份，确定用户是否值得信任。如果用户可以通过认证，那么用户就可以在网络内部进行横向移动。传统网络默认内网是安全的，认为网络安全就是边界安全，因此部署防火墙、WAF等安全设备对网络边界进行层层防护。随着大数据、移动互联网等新兴技术的不断发展，网络边界逐渐趋于模糊，传统网络安全防护模型的缺陷也越来越明显。例如，传统网络的防火墙需要配置相关的访问策略，显式的允许终端设备访问对应的服务资源，尽管可以细化访问控制策略来减少服务资源的暴露面，但是依然存在着诸多网络安全威胁。
[0003]零信任网络打破了传统基于边界的防护思维，从传统的以网络为中心转变为以身份为中心进行最小权限的访问控制。软件定义边界(SDP)作为零信任的最佳落地技术，确保只有合法的用户、设备、网络环境才能被接入到零信任网络中，同时通过网络隐身的技术来减少网络安全的暴露面，避免了传统网络用户可以横向移动的安全风险。单包授权(SPA)作为SDP网络隐身的核心网络安全协议，克服了传输控制协议/互联网协议(TCP/IP)开放和不安全的特性，通过“先认证，后连接的”的方式来实现零信任的安全理念。零信任网关默认丢弃所有访问的数据包，当设备终端通过加密的SPA数据包向零信任网关发起的认证请求时，如果认证通过，则为设备终端开放一致性端口并生成相应的临时访问策略，并在超时后自动删除该策略。SPA在单一的零信任网络环境中被加密和认证，通过配置默认丢弃的策略来保护服务资源对外不可见，实现服务的隐身，从而减少了网络攻击面，提高了网络安全性。

技术实现思路

[0004]为解决以上现有技术存在的问题，本专利技术提出了一种基于零信任单包认证与授权的资源访问控制方法，该方法包括：
[0005]终端设备向零信任网关发送访问请求；
[0006]零信任网关根据访问请求信息对终端设备进行身份认证，若终端身份认证不合法，则访问请求失败，若终端身份合法，则向密钥生成中心发送密钥生成请求，零信任网关配置各个端口的拒绝策略；
[0007]密钥中心根据零信任网关发送的请求生成会话密钥以及终端设备的公钥和私钥，其中公钥公开，私钥发送给终端设备；
[0008]终端设备生成访问零信任网关的单包认证信息，采用会话密钥加密单包认证信息；计算单包认证信息的消息摘要，并采用私钥分别对单包认证信息和消息摘要进行签名；将签名后的单包认证信息和签名后的消息摘要发送给零信任网关；
[0009]零信任网关接收到终端设备发送的信息后，采用终端设备的公钥验证单包认证信
息和消息摘要上的签名是否正确，若验证错误，则请求失败，若验证正确，则采用会话密钥解密终端设备加密的单包认证信息，并对消息摘要进行验证，若验证失败，则请求失败，若验证成功，则零信任网关打开一致性端口，并授予该终端设备访问权限；
[0010]终端设备根据访问权限访问服务资源。
[0011]优选的，终端设备向零信任网关发送的访问请求包括终端设备的用户名、终端设备标识以及IP地址。
[0012]优选的，零信任网关对终端设备进行身份认证的过程包括：零信任网关在系统上查找该终端设备的用户名和终端设备标识，并确定该用户的IP地址是否在零信任网关中分配网段；若在系统上查找到该终端设备的用户名和终端设备标识，并且在零信任网关中分配网段，则该终端设备合法，否则该终端设备不合法。
[0013]优选的，零信任网关配置各个端口的拒绝策略包括：零信任网关默认关闭各个端口，并拒绝所有访问端口的请求；当零信任网关对用户请求信息验证通过后，该端口被零信任网关所开放。
[0014]优选的，密钥中心生成会话密钥以及终端设备的公钥和私钥的过程包括：密钥生成中心通过国密算法SM4生成终端设备与零信任网关之间的会话密钥SessionKey，并将该密钥发送给终端设备和零信任网关；密钥生成中心利用SM2算法生成终端设备的公私钥对(PK,SK)，并将公钥PK公开，私钥SK秘密发送给终端设备。
[0015]优选的，终端设备对单包认证信息进行处理的过程包括：终端设备生成的单包认证信息包括随机数、用户名、时间戳、协议版本号、IP地址、源端口号、目的端口号以及单包信息的大小；采用会话密钥加密单包认证信息，即C＝E(SP，SessionKey)，其中C为加密后的密文，E为SM4中的加密算法，SP为单一数据包，SessionKey为加密密钥；计算单包认证信息的消息摘要的公式为：HM＝H(SP)，其中HM为计算的消息摘要值，H为SM3中的摘要算法；终端设备采用私钥对单包认证信息和消息摘要进行签名包括Q＝Sign(SP，HM，SK)，其中Q为生成的签名，Sign为SM2中的签名算法，SK为终端设备的私钥。
[0016]优选的，零信任网关对终端设备发送的信息进行验证的过程包括：零信任网关利用终端设备的公钥验证签名信息的正确性，即Verify(Q，SP，HM，PK)＝1/0，其中Verify为SM2中的签名验证算法，Q为签名信息，SP为单包信息，HM为摘要信息，PK为终端设备的公钥，若验证成功，则终端设备合法，否则终端设备非法，拒绝访问；零信任网关通过密钥SessionKey解密密文，SP＝D(SessionKey，C)，其中SP为未加密的单一数据包信息，D为SM4中的解密算法，SessionKey为SM4的解密密钥，C为密文；利用SM3中的消息摘要算法计算HM
’
＝H(SP)，其中HM
’
为零信任网关计算的消息摘要值，H为SM3的消息摘要算法，SP为单包信息；校验HM是否等于HM
’
，若不相等，则该信息被篡改，终端设备访问无效，若相等，则该访问请求有效。
[0017]优选的，终端设备访问服务资源包括：终端设备被授予访问权限后设置终端设置访问时间，并临时开放一致性端口；终端设备在设置的访问时间内进行服务资源访问，当达到访问时间后零信任网关关闭一致性端口，断开服务器与终端设备的连接。
[0018]为实现上述目的，本专利技术还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现任一上述基于零信任单包认证与授权的资源访问控制方法。
[0019]为实现上述目的，本专利技术还提供一种基于零信任单包认证与授权的资源访问控制装置，包括处理器和存储器；所述存储器用于存储计算机程序；所述处理器与所述存储器相连，用于执行所述存储器存储的计算机程序，以使所述一种基于零信任单包认证与授权的资源访问控制装置执行任一上述基于零信任单包认证与授权的资源访问控制方法。
[0020]本专利技术的有益效果：
[0021]本专利技术在进行终端设备访问服务资源的过程中，首先通过零信任网关对终端设备进行身份认证，认证成功后再将加密后的单包认证信息发送给零信任网本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于零信任单包认证与授权的资源访问控制方法，其特征在于，该方法包括：终端设备向零信任网关发送访问请求；零信任网关根据访问请求信息对终端设备进行身份认证，若终端身份认证不合法，则访问请求失败，若终端身份合法，则向密钥生成中心发送密钥生成请求，零信任网关配置各个端口的拒绝策略；密钥中心根据零信任网关发送的请求生成会话密钥以及终端设备的公钥和私钥，其中公钥公开，私钥发送给终端设备；终端设备生成访问零信任网关的单包认证信息，采用会话密钥加密单包认证信息；计算单包认证信息的消息摘要，并采用私钥分别对单包认证信息和消息摘要进行签名；将签名后的单包认证信息和签名后的消息摘要发送给零信任网关；零信任网关接收到终端设备发送的信息后，采用终端设备的公钥验证单包认证信息和消息摘要上的签名是否正确，若验证错误，则请求失败，若验证正确，则采用会话密钥解密终端设备加密的单包认证信息，并对消息摘要进行验证，若验证失败，则请求失败，若验证成功，则零信任网关打开一致性端口，并授予该终端设备访问权限；终端设备根据访问权限访问服务资源。2.根据权利要求1所述的一种基于零信任单包认证与授权的资源访问控制方法，其特征在于，终端设备向零信任网关发送的访问请求包括终端设备的用户名、终端设备标识以及IP地址。3.根据权利要求1所述的一种基于零信任单包认证与授权的资源访问控制方法，其特征在于，零信任网关对终端设备进行身份认证的过程包括：零信任网关在系统上查找该终端设备的用户名和终端设备标识，并确定该用户的IP地址是否在零信任网关中分配网段；若在系统上查找到该终端设备的用户名和终端设备标识，并且在零信任网关中分配网段，则该终端设备合法，否则该终端设备不合法。4.根据权利要求1所述的一种基于零信任单包认证与授权的资源访问控制方法，其特征在于，零信任网关配置各个端口的拒绝策略包括：零信任网关默认关闭各个端口，并拒绝所有访问端口的请求；当零信任网关对用户请求信息验证通过后，该端口被零信任网关所开放。5.根据权利要求1所述的一种基于零信任单包认证与授权的资源访问控制方法，其特征在于，密钥中心生成会话密钥以及终端设备的公钥和私钥的过程包括：密钥生成中心通过国密算法SM4生成终端设备与零信任网关之间的会话密钥SessionKey，并将该密钥发送给终端设备和零信任网关；密钥生成中心利用SM2算法生成终端设备的公私钥对(PK,SK)，并将公钥PK公开，私钥SK秘密发送给终端设备。6.根据权利要求1所述的一种基于零信任单包认证与授权的资源访问控制方法，其特征在于，终端设备对单包认证信息进行处理的过程包括：终端设备生成的单包认证信息...

【专利技术属性】
技术研发人员：唐飞，马春亮，黄永洪，于万钦，黄东，
申请(专利权)人：重庆邮电大学，
类型：发明
国别省市：