分布式零信任微隔离访问控制方法及系统技术方案

本发明专利技术公开一种分布式零信任微隔离访问控制方法及系统，方法包括用户端向安全中心发起资源授权请求以使安全中心向量子密钥分发网络申请被授权访问资源对应的认证密钥标识，生成SDP策略；接收安全中心返回的SDP策略，并基于SDP策略与SDP网关建立安全通道以接入被授权访问资源；基于认证密钥标识从量子密钥分发网络中获取对应的认证密钥，并利用认证密钥计算资源信息的杂凑值；将杂凑值和认证密钥标识发送至被授权访问资源，以在被授权访问资源从量子密钥分发网络获取对应的认证密钥对该用户端进行身份鉴别通过后，允许本次访问；本发明专利技术采用基于密码技术的身份鉴别和访问控制手段实现零信任流程中最后一段微隔离。手段实现零信任流程中最后一段微隔离。手段实现零信任流程中最后一段微隔离。

【技术实现步骤摘要】
分布式零信任微隔离访问控制方法及系统


[0001]本专利技术涉及密码应用
，具体涉及一种分布式零信任微隔离访问控制方法及系统。

技术介绍

[0002]零信任“微隔离”就是把一个无结构无边界的网络分成好多逻辑上的微小网段，以确保每一个网段上只有一个计算资源，而所有需要进出这个微网段的流量都需要经过访问控制设备。就是在一个没有任何访问控制能力的网络中，创造出一个全面可控的零信任网络，从而让每一个资源都可以被逻辑地与其他资源隔离开。通过该技术，IT专家们可以为不同种类的数据流定义做特别的安全设置，创建特殊的安全策略来限制各种工作流之间的网络和应用流。
[0003]零信任的解决方案，一般都采用SDP网关（Software Defined Perimeter，基于零信任理念的软件定义边界）和TLS（Transport Layer Security Protocol，安全传输层协议）的方式对发出访问请求的实体进行身份鉴别和通道保护，被访问的资源通过前置的防火墙或反向代理进行细粒度的访问控制。这些方案存在以下不足：（1）存在最后一厘米的安全风险，防火墙和反向代理与被访问资源之间仍然存在攻击面。
[0004]（2）仅仅通过访问控制手段，而TLS连接在SDP网关终止后的数据连接仍然存在非法授权的可能性。
[0005]在相关技术中，公布号为CN115567210A的专利申请文献中提出了一种采用量子密钥分发实现零信任访问的方法，该方案基于量子密钥分发和对称密码技术实现对零信任网关所保护资源的强制访问控制，通过使用量子密钥分发（Quantum key distribution，QKD）网络进行预共享主密钥的分发，不直接加密数据，只用于数据加密密钥的分发保护，对于用户到网关的通信数据报文携带数据加密密钥的密文和主密钥ID，并对报文进行分组对称加密，而从网关到被访问资源并无特别保护。

技术实现思路

[0006]本专利技术所要解决的技术问题在于如何实现零信任流程中最后一段微隔离。
[0007]本专利技术是通过以下技术手段解决上述技术问题的：第一方面，本专利技术提出了一种分布式零信任微隔离访问控制方法，应用于用户端，所述方法包括：用户端向安全中心发起资源授权请求，以使所述安全中心向量子密钥分发网络申请被授权访问资源对应的认证密钥标识，生成SDP策略；接收所述安全中心返回的所述SDP策略，并基于所述SDP策略与SDP网关建立安全通道以接入被授权访问资源；基于所述认证密钥标识从所述量子密钥分发网络中获取对应的认证密钥，并利用
所述认证密钥计算资源信息的杂凑值；将所述杂凑值和所述认证密钥标识发送至被授权访问资源，以在被授权访问资源从所述量子密钥分发网络获取对应的认证密钥对该用户端进行身份鉴别通过后，允许本次访问。
[0008]第二方面，本专利技术提出了一种分布式零信任微隔离访问控制方法，应用于安全中心，所述方法包括：接收用户端发送的资源授权请求，并基于所述资源授权请求生成任务ID，所述任务ID与用户端的标识、用户端所属QKD节点、被授权访问资源的标识以及被授权访问资源所属QKD节点绑定；对于每个任务ID，向对应的被授权访问资源所属QKD节点发送认证密钥请求，以使被授权访问资源所属QKD节点将认证密钥及其认证密钥标识发送到用户端所述QKD节点；接收被授权访问资源所属QKD节点返回的认证密钥标识，并基于认证密钥标识生成SDP策略发送至用户端和SDP网关以使用户端和SDP网关基于SDP策略建立访问被授权资源的通道。
[0009]第三方面，本专利技术提出了一种分布式零信任微隔离访问控制方法，应用于被访问资源方，所述方法包括：通过服务网格拦截用户端向被授权访问资源发送的资源访问请求，所述资源访问请求携带信息包括使用认证密钥计算资源信息的第一杂凑值和认证密钥标识；根据认证密钥标识从量子密钥分发网络中获取对应的认证密钥，并基于认证密钥计算资源信息的第二杂凑值；将第二杂凑值和第一杂凑值进行比较，对所述用户端进行身份鉴别；在身份鉴别通过后，向所述用户端发送允许访问信息。
[0010]第四方面，本专利技术提出了一种用户端，所述用户端中运行有零信任代理，所述零信任代理用于执行如上本专利技术第一方面提出的分布式零信任微隔离访问控制方法。
[0011]第五方面，本专利技术提出了一种安全中心，所述安全中心包括：身份鉴别模块，用于接收用户端发送的资源授权请求，并基于所述资源授权请求生成任务ID，所述任务ID与用户端的标识、用户端所属QKD节点、被授权访问资源的标识以及被授权访问资源所属QKD节点绑定；SDP控制器，用于对于每个任务ID，向对应的被授权访问资源所属QKD节点发送认证密钥请求，以使被授权访问资源所属QKD节点将认证密钥及其认证密钥标识发送到用户端所述QKD节点；并接收被授权访问资源所属QKD节点返回的认证密钥标识，并基于认证密钥标识生成SDP策略发送至用户端和SDP网关以使用户端和SDP网关基于SDP策略建立访问被授权资源的通道。
[0012]第六方面，本专利技术提出了一种被访问资源方，所述被访问资源方中运行有服务网格，所述服务网格用于执行如上本专利技术第三方面提出的分布式零信任微隔离访问控制方法。
[0013]第七方面，本专利技术提出了一种分布式零信任微隔离访问控制系统，所述系统包括用户端、被访问资源方、安全中心以及量子密钥分发网络，所述用户端与所述被访问资源方之间经SDP网关连接，所述用户端、所述被访问资源方及所述安全中心均与所述量子密钥分
发网络连接，所述用户端与所述安全中心连接，其中：所述用户端运行零信任代理，用于向所述安全中心发起资源授权请求；所述安全中心，用于基于所述用户端发送的资源授权请求向量子密钥分发网络申请被授权访问资源对应的认证密钥标识，生成SDP策略并下发至所述用户端和所述SDP网关，以使用户端和SDP网关基于SDP策略建立访问被授权资源方的安全通道；所述被访问资源方运行服务网格，用于从所述量子密钥分发网络获取认证密钥以对所述用户端访问行为的最后一段进行身份鉴别并直接授权对被授权访问资源方的访问行为。
[0014]本专利技术的优点在于：（1）本专利技术在被访问资源的服务器上实现访问控制，和被访问资源运行在同一个物理设备和操作系统上，解决最后一厘米的安全问题，具体为用户端基于与SDP网关之间的安全通道，结合量子密钥分发网络生成的认证密钥和密码杂凑技术对被授权访问资源进行访问，被访问资源结合量子密钥分发网络生成的认证密钥和密码杂凑技术对用户端的访问行为进行鉴别和管控，采用基于密码技术的身份鉴别和访问控制手段实现零信任流程中最后一段微隔离；相对于传统零信任等方案，在访问控制强度和粒度、密钥管理、业务透明性、安全性等方面具有一定优势。
[0015]（2）使用QKD网络进行数据加密密钥的分发，数据加密密钥直接用于对资源的访问控制，不仅对于用户到网关的通信数据报文进行保护和身份鉴别，还对从网关到被访问资源的资源访问请求采用带密钥杂凑计算进行身份二次鉴别，不存在最后一厘米的安全问题。
[0016]（3）以sid本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种分布式零信任微隔离访问控制方法，其特征在于，应用于用户端，所述方法包括：用户端向安全中心发起资源授权请求，以使所述安全中心向量子密钥分发网络申请被授权访问资源对应的认证密钥标识，生成SDP策略；接收所述安全中心返回的所述SDP策略，并基于所述SDP策略与SDP网关建立安全通道以接入被授权访问资源；基于所述认证密钥标识从所述量子密钥分发网络中获取对应的认证密钥，并利用所述认证密钥计算资源信息的杂凑值；将所述杂凑值和所述认证密钥标识发送至被授权访问资源，以在被授权访问资源从所述量子密钥分发网络获取对应的认证密钥对该用户端进行身份鉴别通过后，允许本次访问。2.如权利要求1所述的分布式零信任微隔离访问控制方法，其特征在于，所述用户端向安全中心发起资源授权请求，以使所述安全中心向量子密钥分发网络申请被授权访问资源对应的认证密钥标识，生成SDP策略，包括：向安全中心发起资源授权请求，所述资源授权请求携带信息包括发起访问行为的用户端的标识及安全状态，以使所述安全中心对安全状态进行评估确定授权给该用户端访问的资源，并向所述量子密钥分发网络申请被授权访问资源对应的认证密钥标识，生成SDP策略。3.如权利要求1所述的分布式零信任微隔离访问控制方法，其特征在于，所述接收所述安全中心返回的所述SDP策略，并基于所述SDP策略与SDP网关建立安全通道以接入被授权访问资源，包括：接收所述安全中心返回的所述SDP策略，所述SDP策略包括每个被授权访问资源对应的认证密钥标识；基于所述SDP策略，通过零信任代理与所述SDP网关建立TLS安全通道，并通过TLS安全通道接入被授权访问资源。4.如权利要求1所述的分布式零信任微隔离访问控制方法，其特征在于，所述基于所述认证密钥标识从所述量子密钥分发网络中获取对应的认证密钥，并利用所述认证密钥计算资源信息的杂凑值，包括：通过零信任代理基于所述认证密钥标识从所述量子密钥分发网络中获取对应的认证密钥；利用所述认证密钥和带密钥的密码杂凑算法计算所述资源信息的杂凑值，所述资源信息包括密钥标识、源IP、源端口、目的IP、目的IP及预定义填充字符串。5.如权利要求1所述的分布式零信任微隔离访问控制方法，其特征在于，在所述将所述杂凑值和所述认证密钥标识发送至被授权访问资源之后，所述方法还包括：接收被授权访问资源返回的允许访问信息，所述允许访问信息为被授权访问资源从所述量子密钥分发网络获取对应的认证密钥对该用户端进行身份鉴别通过后生成；接收被授权访问资源返回的拒绝访问信息，所述拒绝访问信息为被授权访问资源从所述量子密钥分发网络获取对应的认证密钥对该用户端进行身份鉴别失败后生成。6.如权利要求1所述的分布式零信任微隔离访问控制方法，其特征在于，所述用户端与
所述量子密钥分发网络中对应的QKD节点连接。7.如权利要求1所述的分布式零信任微隔离访问控制方法，其特征在于，所述用户端内存储有经所述量子密钥分发网络预先充注的预共享主密钥，所述方法还包括：所述用户端与所述量子密钥分发网络中对应的QKD节点进行通信时，采用所述预共享主密钥进行保护。8.一种分布式零信任微隔离访问控制方法，其特征在于，应用于安全中心，所述方法包括：接收用户端发送的资源授权请求，并基于所述资源授权请求生成任务ID，所述任务ID与用户端的标识、用户端所属QKD节点、被授权访问资源的标识以及被授权访问资源所属QKD节点绑定；对于每个任务ID，向对应的被授权访问资源所属QKD节点发送认证密钥请求，以使被授权访问资源所属QKD节点将认证密钥及其认证密钥标识发送到用户端所述QKD节点；接收被授权访问资源所属QKD节点返回的认证密钥标识，并基于认证密钥标识生成SDP策略发送至用户端和SDP网关以使用户端和SDP网关基于SDP策略建立访问被授权资源的通道。9.如权利要求8所述的分布式零信任微隔离访问控制方法，其特征在于，所述接收用户端发送的资源授权请求，并基于所述资源授权请求生成任务ID，包括：接受用户端发送的...

【专利技术属性】
技术研发人员：罗俊，
申请(专利权)人：中电信量子科技有限公司，
类型：发明
国别省市：