一种基于IBC的零信任防护方法及系统与流程

一种基于ibc的零信任防护方法及系统
技术领域
1.本发明属于网络与信息安全技术领域，具体涉及一种基于ibc的零信任防护方法及系统。


背景技术：

2.随着云计算、大数据、物联网、5g、工业互联网等新兴技术的不断兴起，企业it架构正在从“有边界”向“无边界”转变，传统的安全边界逐渐瓦解。零信任安全理念基于身份认证和授权重新构建访问控制的信任基础，从而确保终端安全、链路安全和访问控制安全。密码技术作为网络安全核心技术在零信任安全架构中起着不可替代的作用。
3.网络安全离不开密码技术，2016年3月，国家密码管理局正式公布了sm9算法，该算法是我国自主制定的标识密码算法标准，由于其技术原理，标识算法更加适合有标识的系统的应用。基于sm9算法的ibc一种非对称的公钥密码体系，是基于传统的pki(公开密钥基础设施)基础上发展而来，与pki相比ibc避开复杂的数字证书管理环节，系统更易于部署和使用。
4.零信任概括来讲就是“持续验证，永不信任”，代表了新一代的网络安全防护理念。它的关键在于打破传统网络安全的内网完全可信假设，不信任企业网络内外的任何人、设备和系统。
5.当前新一代信息技术在互联网络中大规模的应用，传统网络边界逐渐模糊化，访问路径多样化，随之带来了网络安全面临日益严重的风险问题。传统it架构基于内网安全的假设，安全边界一旦被突破传统网络安全防护就可能失效导致网络系统受到严重破坏。


技术实现要素：

6.针对上述技术问题，本发明提供了一种基于ibc的零信任防护方法及系统，可以有效解决网络边界模糊带来的网络安全问题。
7.为了解决上述技术问题，本发明采用的技术方案为：
8.一种基于ibc的零信任防护方法，网络中所有用户和设备都被赋予唯一访问标识，搭建基于国密算法sm9的密钥基础设施，通过标识密码算法进行身份认证；搭建策略管理系统及资源访问微隔离控制网关，并将系统资源或应用按宿主主机划分为多个逻辑段，每个逻辑段单独设置安全访问策略，保证系统的安全可控。
9.基于身份驱动，分类创建网络角色访问模型，确定对资源的访问权。
10.一种基于ibc的零信任防护系统，包括标识管理系统、标识密码基础设施、动态策略管理系统、零信任访问控制网关、微隔离逻辑端口控制器和资源池；
11.通过标识管理系统进行登记注册并分配唯一身份标识码；
12.通过标识密码基础设施对主密钥生产管理，对注册成功的id提供生成标识密钥私钥的服务，并提供安全下载通道将私钥下发到对应id设备；
13.通过零信任访问控制网关进行身份认证、权限确认和服务分配；
14.微隔离逻辑端口控制器，可以以软件定义网络形态出现集成在零信任访问控制网关设备中；
15.资源池组成主要有系统中能提供的服务、数据和应用，依据访问配置在相应服务端配置相应服务ip及端口号，方便微隔离控制系统访问。
16.标识密码基础设施可提供公用参数查询下载服务、提供认证签名服务，并可离线运行。
17.动态策略管理系统，整理现有系统中所有资源，梳理主体对资源的访问情况，合理创建和配置访问角色；创建id与授权角色的映射表，实现id的授权管理；通过调用id与授权角色整映射表，实现资源访问策略的动态调整。
18.零信任访问控制网关：实现基于标识密码的身份认证；身份认证结束后，零信任网关根据当前id的id值在策略管理系统获得相应访问授权；访问控制网关对照访问授权，分配给当前id连接控制器逻辑端口，通过端口控制实现主体对资源的精准访问控制。
19.微隔离逻辑端口控制器：依据资源数量定义配置外联端口；控制器各外联端口间设置为相互隔离不能互相访问，控制器外联端口与系统资源端口存在一一对应连接关系；控制器依据访问主体对资源的单次访问需求及时分配所需端口，当单次会话完毕后关闭分配的端口，实现动态配置端口访问功能。
20.所述端口可以是内部虚拟端口或物理端口。
21.本发明与现有技术相比，具有的有益效果是：
22.传统网络安全防护方法：基于边界网络安全架构，在网络中寻找边界将网络划分为内网、外网、dmz区等不同区域，然后在区域边界部署防火墙、ips、waf等安全设备，实现网络的安全防护。
23.而本发明安全防护方案基于身份认证对资源应用进行持续访问认证控制，有效解决了传统安全基于内网安全的假设，一旦内网被突破的安全风险大增的情景，此外随着新技术的发展网络边界逐渐模糊，传统边界被突破的可能随之加大，但本方案是在传统边界上叠加了逻辑边界即访问控制网关有效解决了网络边界模糊带来的网络安全问题。
24.标识密码作为身份认证工具简化了传统pki身份认证系统的复杂度，提升了安全系统部署的经济性。
25.本发明基于身份(id)驱动，不仅限于ip、用户、资源权限角色等，分类创建网络角色访问模型，确定对资源的访问权限；新安全保护框架，信任控制网关直接控制微隔离逻辑端口实现资源间东西向隔离。
附图说明
26.图1是本发明系统防护架构图；
具体实施方式
27.下面对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
28.一种基于ibc的零信任防护方法，对网络中所有用户和设备都被赋予唯一访问标识，系统搭建基于国密算法sm9的密钥基础设施，通过标识密码算法进行身份认证，同时系统还搭建策略管理系统及资源访问微隔离控制网关，并将系统资源或应用按宿主主机划分为多个逻辑段，每个逻辑段单独设置安全访问策略，保证系统的安全可控。
29.网络安全防护系统主要由六大部分组成，1、访问主体，即用户或对资源有访问需求的对象；2、标识密码基础设施，主要功能有：标识生成注册管理，密钥生成管理中心，密钥安全下载通道；3、零信任访问控制网关，主要功能有：身份认证，权限确认，服务分配；4、策略管理，主要功能有：角色分配，策略配置及管理，策略调整；5、微隔离逻辑端口控制器，可以以软件定义网络(sdn)形态出现集成在零信任访问控制网关设备中；6、客体即资源池，指系统提供的服务、数据、应用等。
30.系统防护架构图如图1所示，本系统中的资源泛指系统中能提供给主体的服务、数据及应用等。
31.建设一套基于ibc的零信任网络安全防护系统需要以下几个步骤：
32.1、建设一套标识管理系统：
33.(1)系统内资产逐一登记注册并分配唯一身份标识码(id)，id编号简单规则如下：总编码占16位，设备用户、或资源等大类编码(占4位，可以是字符与数字组合)，部门编码(4位，可以是字符与数字组合)，每类中资产序列号(8位数字从00000001-99999999)。举例1，办公室办公主机1的id为：bgzj000100000001；举例2，技术部员工张三用户编码为：yh01000300000012。
34.(2)搭建标识管理服务器，具备以下功能：标识的注册增加、查询、注销等功能，由于ibc密钥系统特殊性特别声明注销id不能用于新增id。
35.2、建设一套标识密码基础设施
36.(1)主密钥生产管理。并提供公用参数查询下载服务。
37.(2)对注册成功的id提供生成标识密钥私钥的服务，并提供安全下载通道将私钥下发到对应id设备；
38.(3)提供认证签名服务，并可离线运行。
39.3、建设一套动态策略管理系统：
40.(1)整理现有系统中所有资源，梳理主体对资源的访问情况，合理创建和配置访问角色。
41.(2)创建id与授权角色的映射表(1对多，即一个id拥有1个或者多个角色)，实现id的授权管理。
42.(3)通过调id与授权角色整映射表，实现资源访问策略的动态调整。
43.4、研发配置零信任访问控制网关：
44.(1)实现基于标识密码的身份认证，以用户a访问零信任网关举例：
45.ibc体系中用户id即该用户公钥，设用户a为使用标识密码系统的用户，用户a签名私钥、公钥分别为dsa、ida，即ida＝dsag，其中g(x，y)为ibc体系所选曲线的基点，阶为n。
46.网关对用户a身份认证过程如下：
47.用户a私钥签名过程：选择随机数r(r∈[1，n-1])，计算点rg；根据随机数r、消息m的哈希值h、私钥dsa，计算s＝(h+dsax)/r；将消息m、和签名{rg,s}发给网关。
[0048]
公钥验证签名：网关收到消息m、以及签名{rg,s}；根据消息求哈希h；使用发送方公钥ida计算：hg/s+x ida/s，并与rg比较，如相等即验签成功，(签名原理如下：hg/s+xida/s＝hg/s+x(dsag)/s＝(h+xdsa)g/s＝r(h+xdsa)g/(h+dsax)＝rg。)a用户身份得到控制网关确认。
[0049]
反之用户a也可对网关进行身份验证。另外在实际使用中可以通过添加账户口令或其他方式实现多元身份认证。
[0050]
(2)身份认证结束后，零信任网关根据当前id的id值在策略管理系统获得相应访问授权。
[0051]
(3)访问控制网关对照访问授权，分配给当前id连接控制器逻辑端口，通过端口控制实现主体对资源的精准访问控制。
[0052]
5、搭建微隔离逻辑端口控制器：
[0053]
(1)依据资源数量定义配置外联端口(即图1中的口1、口2
…
、口n)，端口可以是内部虚拟端口或物理端口。
[0054]
(2)控制器各外联端口间设置为相互隔离不能互相访问，控制器外联端口与系统资源端口存在一一对应连接关系(如图1最右侧所示)。
[0055]
(3)控制器依据访问主体对资源的单次访问需求及时分配所需端口，当单次会话完毕后关闭分配的端口，实现动态配置端口访问功能。
[0056]
6、建设资源池配置管理系统：
[0057]
资源池组成主要有系统中能提供的服务、数据和应用等，依据访问配置在相应服务端配置相应服务ip及端口号，方便微隔离控制系统访问。
[0058]
上面仅对本发明的较佳实施例作了详细说明，但是本发明并不限于上述实施例，在本领域普通技术人员所具备的知识范围内，还可以在不脱离本发明宗旨的前提下作出各种变化，各种变化均应包含在本发明的保护范围之内。