本发明专利技术公开了一种虚拟网络零信任访问控制方法、装置、设备及介质,该方法应用于包括从上至下的用户层、业务逻辑层、数据访问层和服务器形成的系统软件架构上;用户层上设有验证模块,业务逻辑层上设有主控模块;包括:当用户端首次注册登录系统时,进行电子身份号牌的生成及与用户身份信息绑定;当用户端非首次登陆系统时,根据获取的新访问请求,将用户身份信息上传至验证模块,对用户是否为注册和合法用户进行初步验证,根据初步验证结果控制将电子身份号牌传输至主控模块或者重新执行电子身份号牌的生成与及与用户身份信息绑定;并对用户身份信息与电子身份号牌进行对比分析,将分析结果发送至用户层及服务器。本发明专利技术保证网络资源的安全。资源的安全。资源的安全。
【技术实现步骤摘要】
一种虚拟网络零信任访问控制方法、装置、设备及介质
[0001]本专利技术涉及信息安全
,具体涉及一种虚拟网络零信任访问控制方法、装置、设备及介质。
技术介绍
[0002]近年来,随着大数据与云计算的飞速发展,网络攻击的频率与严重程度不断增加,基于网络分段的数据中心安全已经不再适用。传统的网络安全架构基于网络边界防护,企业在构建网络安全体系时,首先把网络划分为外网、内网和DMZ区等不同的安全区域。然后通过在网络边界上通过部署防火墙、WAF和IPS等网络安全技术手段进行重重防护,构建企业业务的数字保护墙。这种网络安全架构假设或默认了内网比外网更安全,在某种程度上预设了对内网中的人、设备、系统和应用的信任,从而忽视了内网安全措施的加强。
技术实现思路
[0003]本专利技术所要解决的技术问题是目前的网络访问控制方法导致网络访问存在不安全、防范过度阻挡用户的问题。本专利技术目的在于提供一种虚拟网络零信任访问控制方法、装置、设备及介质,以有效阻止内网用户或曾得到授权的用户对网络资源发起的非法访问,避免非法用户获得网络资源的关键信息,保证网络资源的安全。
[0004]本专利技术通过下述技术方案实现:
[0005]第一方面,本专利技术提供了一种虚拟网络零信任访问控制方法,该方法包括:
[0006]当用户端首次(即第一次)注册登录系统时,进行电子身份号牌的生成及与用户身份信息(用户ID)绑定;
[0007]当用户端非首次(即第一次)登陆系统时,根据获取的新访问请求,将用户ID和密码上传至验证模块,由验证模块对用户是否为注册和合法用户进行初步验证,得到初步验证结果;根据所述初步验证结果控制将所述电子身份号牌传输至主控模块或者重新执行电子身份号牌的生成与及与用户ID绑定;由主控模块内置的处理算法对用户身份信息与电子身份号牌进行对比分析,并将分析结果作为访问权限发送至用户层UI及服务器。
[0008]工作原理是:本专利技术包括系统软件架构设置、登录账户绑定、访问验证、分析反馈和备份等,具体地,首先在从上至下的用户层UI、业务逻辑层BLL、数据访问层DAL和服务器形成的系统软件架构上设置验证模块和主控模块,其中用户层UI上设置有验证模块,所述业务逻辑层BLL上设置有主控模块,所述验证模块一方面通过信道与主控模块连接,将接收到的用户层UI的访问请求传输至业务逻辑层BLL,由业务逻辑层BLL通过数据访问层DAL访问服务器;其次,根据获取的用户端访问请求,进行首次与非首次访问控制处理,当用户端首次注册登录系统时,进行电子身份号牌的生成及与用户身份信息(用户ID)绑定;当用户端非首次登陆系统时,根据获取的新访问请求,将用户ID和密码上传至验证模块,由验证模块对用户是否为注册和合法用户进行初步验证,得到初步验证结果;根据所述初步验证结果控制将所述电子身份号牌传输至主控模块或者重新执行电子身份号牌的生成与及与用
户ID绑定;由主控模块内置的处理算法对用户身份信息与电子身份号牌进行对比分析,并将分析结果发送至用户层UI及服务器。
[0009]本专利技术与现有技术相比的优点在于:本专利技术对访问请求上的身份标识号牌的解析结果实施访问验证,不仅防止了未经授权用户的连接,而且阻止了网络资源中的恶意软件反馈信息给非法用户;本专利技术能够有效阻止内网用户或曾得到授权的用户对网络资源发起的非法访问,避免非法用户获得网络资源的关键信息,保证网络资源的安全。本专利技术实现了对网络资源的安全性保护,可实现对任何网络拓扑的访问控制,使得本专利技术适用范围更广。
[0010]进一步地,所述服务器包含资源目录和文件,所述资源目录是基于IDC下载的网络资源中包含的内容目录,整合了网络资源中所有会被请求访问到的数据资源。
[0011]进一步地,所述验证模块一方面通过信道与主控模块连接,将接收到的用户层UI的访问请求传输至业务逻辑层BLL,由业务逻辑层BLL通过数据访问层DAL访问服务器,实现U用户层UI与数据访问层DAL的网桥功能;另一方面,所述验证模块对接收数据进行初步验证处理,初步验证访问请求的用户是否为合法用户,并检查电子身份号牌的有效性,并将处理结果反馈到业务逻辑层BLL。
[0012]进一步地,所述电子身份号牌采用加密的私钥密令算法,且为一次性私钥密令;可通过主控模块对所述私钥密令的有效时间进行设置。
[0013]进一步地,所述电子身份号牌内容包括用户身份信息、角色信息、访问业务类型、访问权限信息和有效期;
[0014]所述访问权限信息为服务器资源目录中具体授权访问的资源目录明细。
[0015]进一步地,所述的当用户端首次(即第一次)注册登录系统时,进行电子身份号牌的生成与绑定;具体包括:
[0016]当用户端首次(即第一次)注册登录系统时,由主控模块通过数据访问层DAL调用服务器内的身份密令数据并生成电子身份号牌,通过信道将所述电子身份号牌传输至用户层UI,并与用户身份ID进行绑定,并在验证模块中存储所述电子身份号牌,服务器备份调用的电子身份号牌。
[0017]进一步地,所述的根据所述初步验证结果控制将所述电子身份号牌传输至主控模块或者重新执行电子身份号牌的生成与及与用户身份信息(用户ID)绑定;具体包括:
[0018]当所述初步验证结果为通过时,则根据用户身份ID检索是否有绑定的电子身份号牌;
[0019]如果有绑定的电子身份号牌,并且电子身份号牌在有效期内,那么将用户身份信息与电子身份号牌通过基于TCP/IP通讯协议的信道传输至主控模块;
[0020]如果无绑定的电子身份号牌,或者电子身份号牌已失效,那么重新进行电子身份号牌的生成及与用户身份信息(用户ID)绑定;
[0021]当所述初步验证结果为不通过时,重新进行初步验证,直至通过。
[0022]进一步地,所述的由主控模块内置的处理算法对用户身份信息与电子身份号牌进行对比分析,并将分析结果发送至用户层UI及服务器;具体包括:
[0023]主控模块接收验证模块的初步验证结果,对所提取的电子身份号牌进行解析,具体通过对所述电子身份号牌的编码字符序列进行解密,获取解密后的信息数据;所述解密后的信息数据包括访问用户身份信息、角色信息、访问业务类型、访问权限信息、有效期;
[0024]通过内置的处理算法将所述解密后的信息数据与服务器搭载的身份数据库和访问权限数据库的信息进行比对和匹配;
[0025]若匹配成功,则将授予访问请求及所述访问请求的用户权限该相应用户,该用户获准进入服务器;若匹配失败,则反馈失败信息到用户层UI上进行标识。
[0026]第二方面,本专利技术又提供了一种虚拟网络零信任访问控制装置,该装置支持所述的一种虚拟网络零信任访问控制方法;该装置应用于包括从上至下的用户层UI、业务逻辑层BLL、数据访问层DAL和服务器形成的系统软件架构上;所述用户层UI上设置有验证模块,所述业务逻辑层BLL上设置有主控模块;所述验证模块通过信道连接主控模块,所述主控模块通过信道连接服务器;该装置包本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种虚拟网络零信任访问控制方法,其特征在于,该方法包括:当用户端首次注册登录系统时,进行电子身份号牌的生成及与用户身份信息绑定;当用户端非首次登陆系统时,根据获取的新访问请求,将用户身份信息上传至验证模块,由验证模块对用户是否为注册和合法用户进行初步验证,得到初步验证结果;根据所述初步验证结果控制将所述电子身份号牌传输至主控模块或者重新执行电子身份号牌的生成与及与用户身份信息绑定;由主控模块对用户身份信息与电子身份号牌进行对比分析,并将分析结果作为访问权限发送至用户层及服务器。2.根据权利要求1所述的一种虚拟网络零信任访问控制方法,其特征在于,所述电子身份号牌采用加密的私钥密令算法,且为一次性私钥密令;通过主控模块对所述私钥密令的有效时间进行设置。3.根据权利要求2所述的一种虚拟网络零信任访问控制方法,其特征在于,所述电子身份号牌内容包括用户身份信息、角色信息、访问业务类型、访问权限信息和有效期;所述访问权限信息为服务器资源目录中授权访问的资源目录明细。4.根据权利要求1所述的一种虚拟网络零信任访问控制方法,其特征在于,所述的当用户端首次注册登录系统时,进行电子身份号牌的生成与绑定;具体包括:当用户端首次注册登录系统时,由主控模块通过数据访问层调用服务器内的身份密令数据并生成电子身份号牌,将所述电子身份号牌传输至用户层,并与用户身份ID进行绑定,并在验证模块中存储所述电子身份号牌。5.根据权利要求1所述的一种虚拟网络零信任访问控制方法,其特征在于,所述的根据所述初步验证结果控制将所述电子身份号牌传输至主控模块或者重新执行电子身份号牌的生成与及与用户身份信息绑定;具体包括:当所述初步验证结果为通过时,则根据用户身份ID检索是否存在绑定的电子身份号牌;如果存在绑定的电子身份号牌,并且电子身份号牌在有效期内,那么将用户身份信息与电子身份号牌通过信道传输至主控模块;如果不存在绑定的电子身份号牌,或者电子身份号牌已失效,那么重新进行电子身份号牌的生成及与用户身份信息绑定;当所述初步验证结果为不通过时,重新进行初步验证,直至通过。6.根据权利要求1所述的一种虚拟网络零信任访问控制方法,其特征在于,所述的由主控模块对用户身份信息与电子身份号牌进行对比分析,并将...
【专利技术属性】
技术研发人员:王胜,张菊玲,张凌浩,陈牧,陈璐,向思屿,赵新建,陈石,
申请(专利权)人:国网智能电网研究院有限公司国网江苏省电力有限公司国网江苏省电力有限公司信息通信分公司国家电网有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。