一种结合零信任思想的跨云池安全接入方法和系统与流程

1.本发明涉及网络安全技术领域，尤其涉及一种结合零信任思想的跨云池安全接入方法和系统。


背景技术：

2.远程安全接入目前采用的技术多为vpn技术，其通过在用户侧与vpn网关建立ssl/tls加密隧道，将用户操作数据流在安全加密隧道中传输，实现远程服务器的安全连接访问。vpn对于终端的安全控制多采用黑名单模式，通过获取终端的硬件标识，设置黑名单拒绝连接。
3.现有安全接入模式，无法满足用户对多资源池（多网络隔离区）内的资源的同时访问，用户需要在各资源池的vpn上频繁切换，才能连接相应vpn内的资源；安全接入模式采用长连接方式，当网络切换或网络中断时，vpn连接状态中断，需要重连等操作，影响用户体验。、黑名单方式可拒绝黑名单终端的连接，但vpn网关存在网络暴露面，容易被恶意用户攻击，从而可能出现越权访问。


技术实现要素：

4.本发明的目的在于提供一种结合零信任思想的跨云池安全接入方法和系统，多云池资源的企业或需要远程接入办公的场景下，为用户远程接入提供安全便捷的系统。
5.本发明采用的技术方案是：一种结合零信任思想的跨云池安全接入系统，其包括用户终端以及与用户终端连接的若干资源云池，每个资源云池均设置接入网关，用户终端通过对应的接入网关连接资源云池；其中一个资源云池上部署独立部署策略中心和认证中心，接入网关通过策略中心连接认证中心，认证中心对接资源云池上的受控资源；接入网关与客户端交互提供spa单包授权能力及安全隧道的建立能力；策略中心根据用户身份控制用户接入的网关及资源；认证中心提供授权用户的身份认证能力；用户终端上安装有授信客户端，授信客户端提供spa单包授权唯一身份标识及安全隧道建立基础能力。
6.进一步地，认证中心提供未接入用户提供身份注册认证能力。
7.进一步地，授信客户端通过识别用户连接的目标ip以确定访问对象是否为受控域内的资源。
8.进一步地，每个资源云池均设有审计模块，接入网关经审计模块对接资源云池上的普通资源。
9.一种结合零信任思想的跨云池安全接入方法，采用所述一种结合零信任思想的跨云池安全接入系统，其包括以下步骤：步骤1，授信客户端获取当前业务连接的目标ip；步骤2，判断目标ip是否为受控域内的资源；是则，通过虚拟网卡与目标ip所在受控域的接入网关建立连接并执行步骤3；否则，用户终端与目标ip所在普通域的接入网关建
立连接并执行步骤5；步骤3，策略中心判断是否授权用户终端；是则，授权进行用户身份认证执行步骤4；否则，未授权中断连接，步骤4，认证中心进行用户身份认证是否通过；是则，建立安全隧道并转发业务数据；否则，返回认证失败信息并中断连接；步骤5，用户终端与资源云池上对应的资源进行数据传输交换。
10.进一步地，步骤2中通过虚拟网卡与目标ip所在受控域的接入网关建立连接时，向目标ip所属接入网关建立tcp连接同时发送spa包。
11.进一步地，步骤3中策略中心通过校验spa包判断是否授权用户终端。
12.本发明采用以上技术方案，通过结合sdp的单包授权思想，通过在三次握手过程后立即发送授权认证包，从而实现终端身份识别，无授权单包或单包无效，则不处理该链接的报文，并终止连接。改进安全加密隧道建立逻辑，将终端与安全网关的长连接修改为按需连接。每个连接独立于一个ssl/tls隧道中，提高连接稳定性及抗网络干扰能力。同时因采用隧道独立设计，支持终端可与多个独立安全网关建立连接。对多资源池的资源连接具备了天然的优势。终端能够根据连接目标资源所在的资源云池，自适应识别就近安全网关，并与之建立安全隧道，用于用户访问资源云池内的资源。通过本发明系统，用户可随时随地安全的同时与各资源云池建立安全隧道，提供安全便捷的访问路径。
附图说明
13.以下结合附图和具体实施方式对本发明做进一步详细说明；图1为本发明一种结合零信任思想的跨云池安全接入系统的结构示意图；图2为本发明一种结合零信任思想的跨云池安全接入方法的流程示意图。
具体实施方式
14.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图对本技术实施例中的技术方案进行清楚、完整地描述。
15.本发明用于解决跨云池资源访问的安全接入，支持内外网无差别安全接入访问。采用隧道短连接技术及就近路由原则，实现终端可同时与各云池网络建立安全隧道；结合单包授权技术，通过在三次握手过程进行终端身份认证，从而实现终端授权链接，在控制授信终端连接的同时，提供了网关隐身的能力，提高了服务器应用的安全性。最终实现用户使用一个终端可与多个网络划区建立各自独立的安全隧道进行资源访问，且能防止网络被扫描发现攻击。
16.如图1或2所示，本发明公开了一种结合零信任思想的跨云池安全接入系统，其包括用户终端以及与用户终端连接的若干资源云池，每个资源云池均设置接入网关，用户终端通过对应的接入网关连接资源云池；其中一个资源云池上部署独立部署策略中心和认证中心，接入网关通过策略中心连接认证中心，认证中心对接资源云池上的受控资源；接入网关与客户端交互提供spa单包授权能力及安全隧道的建立能力；策略中心根据用户身份控制用户接入的网关及资源；认证中心提供授权用户的身份认证能力；用户终端上安装有授信客户端，授信客户端提供spa单包授权唯一身份标识及安全隧道建立基础能力。
17.进一步地，认证中心提供未接入用户提供身份注册认证能力。
18.进一步地，授信客户端通过识别用户连接的目标ip以确定访问对象是否为受控域内的资源。
19.进一步地，每个资源云池均设有审计模块，接入网关经审计模块对接资源云池上的普通资源。
20.一种结合零信任思想的跨云池安全接入方法，采用所述一种结合零信任思想的跨云池安全接入系统，其包括以下步骤：步骤1，授信客户端获取当前业务连接的目标ip；步骤2，判断目标ip是否为受控域内的资源；是则，通过虚拟网卡与目标ip所在受控域的接入网关建立连接并执行步骤3；否则，用户终端与目标ip所在普通域的接入网关建立连接并执行步骤5；步骤3，策略中心判断是否授权用户终端；是则，授权进行用户身份认证执行步骤4；否则，未授权中断连接，步骤4，认证中心进行用户身份认证是否通过；是则，建立安全隧道并转发业务数据；否则，返回认证失败信息并中断连接；步骤5，用户终端与资源云池上对应的资源进行数据传输交换。
21.进一步地，步骤2中通过虚拟网卡与目标ip所在受控域的接入网关建立连接时，向目标ip所属接入网关建立tcp连接同时发送spa包。
22.进一步地，步骤3中策略中心通过校验spa包判断是否授权用户终端。
23.本发明采用以上技术方案，通过结合sdp的单包授权思想，通过在三次握手过程后立即发送授权认证包，从而实现终端身份识别，无授权单包或单包无效，则不处理该链接的报文，并终止连接。改进安全加密隧道建立逻辑，将终端与安全网关的长连接修改为按需连接。每个连接独立于一个ssl/tls隧道中，提高连接稳定性及抗网络干扰能力。同时因采用隧道独立设计，支持终端可与多个独立安全网关建立连接。对多资源池的资源连接具备了天然的优势。终端能够根据连接目标资源所在的资源云池，自适应识别就近安全网关，并与之建立安全隧道，用于用户访问资源云池内的资源。通过本发明系统，用户可随时随地安全的同时与各资源云池建立安全隧道，提供安全便捷的访问路径。
24.显然，所描述的实施例是本技术一部分实施例，而不是全部的实施例。在不冲突的情况下，本技术中的实施例及实施例中的特征可以相互组合。通常在此处附图中描述和示出的本技术实施例的组件可以以各种不同的配置来布置和设计。因此，本技术的实施例的详细描述并非旨在限制要求保护的本技术的范围，而是仅仅表示本技术的选定实施例。基于本技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。