一种基于零信任的业务访问控制系统及控制方法与流程

1.本发明涉及计算机网络安全技术领域，具体为一种基于零信任的业务访问控制系统及控制方法。


背景技术：

2.目前很多企业对于资源的访问保护采用的方式是划分安全区域，首先把网络划分为外网、内网和dmz等不同的安全区域，在不同的安全区域之间就形成网络边界，然后在网络边界处部署安全设备，包括防火墙、ids、ips、waf等网络安全技术手段，对来自边界外部的各种攻击行为进行防范，以此构建企业的网络安全体系。这种传统的安全理念中网络位置决定了信任程度，在安全区域边界外的用户默认是不可信的，安全区域边界内的用户会被授予高信任等级来访问企业的敏感资源，他们默认是可信的。
3.随着云计算、无线互联、物联网、大数据等新兴技术的发展，并且随着业务迁移到云端，apt攻击的泛滥，以及移动办公的趋势，企业的数据不再局限在内网，组织原本建立的内外网边界变得越来越模糊，也有更多的技术手段可以轻易突破网络边界，网络安全不再止于边界安全，尤其现在安全重心逐渐转移到数据安全，应该充分重视企业内网的数据安全，而传统的基于边界的网络安全架构和解决方案已经难以适应现代企业网络基础设施。


技术实现要素：

4.为了解决现有技术不足，本发明提供了一种基于零信任的业务访问控制系统及控制方法，以解决现有技术中对边界防护的依赖，在访问被允许之前，所有的访问主题都需要经过身份认证和授权，解决了目前边界模糊的企业业务架构带来的安全威胁。
5.为了实现上述目的，本发明的技术方案如下。
6.一种基于零信任的业务访问控制系统，包括：客户端子网关、零信任控制器、中心网关、密钥管理服务器；中心网关与密钥管理服务器通信连接，密钥管理服务器、客户端子网关、中心网关分别与零信任控制器通信连接，客户端子网关与客户端通信连接；零信任控制器用于控制客户端、客户端子网关和中心网关的标识汇总，并进行路由策略、工作密钥和授权访问控制策略的下发；中心网关用于对业务系统安全访问的控制；密钥管理服务器用于工作密钥的生成及下发；客户端子网关部署在客户端，通过与零信任控制器和中心网关建立隧道，对授权的业务资源进行安全访问；其中，客户端子网关，用于向客户端子网关发送针对业务服务器的业务访问请求，所述业务访问请求包含业务访问请求报文及会话请求访问的目标地址；
7.客户端子网关，把所述业务访问请求报文挂起，把会话请求依据预设的路径映射关系，从多个预设的零信任控制器中匹配映射对应的零信任中心网关及所对应的密钥管理服务器；
8.零信任控制器，用于部署零信任控制中心，所述零信任控制中心用于管理客户端及客户端子网关权限和接收会话请求，预设整个零信任系统中用于客户端权限和接收会话
请求要求访问的中心网关和密钥管理服务器，会话通信建立后把密钥管理服务器下发的工作密钥发送到客户端子网关；
9.中心网关，根据零信任控制中心预设的访问控制策略对所述的客户端子网关进行身份验证，身份验证成功后，同意客户端子网关会话通信请求，并把身份验证结果同步到密钥管理服务器同时从密钥管理服务器申请获取客户端子网关工作密钥；
10.密钥管理服务器，接收来自中心网关的身份认证结果及零信任控制器分发的客户端子网关工作密钥申请，身份确权通过，发送工作密钥给中心网关及零信任控制器；
11.业务服务器，当客户端子网关接收到工作密钥，通过工作密钥建立和中心网关的加密隧道，客户端子网关把挂起的业务访问请求通过中心网关发送到业务服务器，为所述客户端提供相应的业务访问服务。
12.进一步地，所述零信任网络访问控制系统对所述业务访问请求进行认证处理之前，还包括：(1)客户端子网关利用传输密钥在物理层安全加密，其中包括客户端网关身份信息和会话请求原始数据包，所述会话请求原始数据包采用传输密钥物理层生成；(2)向中心网关发送通过物理层网络加密的会话请求；(3)对所述的会话请求，中心网关根据预设的传输密钥解密处理，获得认证需要的客户端子网关身份信息；(4)对所述的客户端子网关身份信息验证，验证通过后，把验证信息转发至密钥管理服务器，并从密钥管理服务器申请此次客户端子网关业务访问工作密钥。
13.进一步地，所述密钥管理服务器获取到客户端子网关正确的身份信息，生成客户端子网关业务访问的工作密钥并下发，包括：(1)对所述的中心网关申请的客户端子网关业务访问用工作密钥给予响应，下发工作密钥至中心网关留待会话建立解密业务访问请求；(2)对所述零信任控制器申请的客户端子网关身份信息和中心网关已确认的身份信息比对，比对正确下发工作密钥给零信任控制器，并由零信任控制器转发工作密钥至客户端子网关；(3)所述客户端子网关接收到来自密钥管理服务器的工作密钥，把挂起的业务访问请求报文加密，发送至中心网关解密并根据零信任控制中心预设的访问控制策略判定是否转发至业务服务器。
14.进一步地，将所述客户端业务服务器访问请求解密根据预设的访问控制策略进行权限判定，判定成功后将所述的客户端业务访问请求转发至所述的目标地址对应的业务服务器，包括：所述零信任控制中心用于管理用户终端权限及将预设的访问控制策略下发给所述零信任控制器和所述中心网关，所述零信任控制器用于接收所述业务访问请求报文，根据预设的访问控制策略对所述客户端进行身份认证，身份认证成功后，将所述业务请求报文和对应的目标地址发送给所述中心网关，所述中心网关用于对所述业务访问请求进行权限判定，判定成功后将所述业务访问请求转发至所述目标地址对应的业务服务器。
15.一种基于零信任的业务访问控制方法，其特征在于，包括以下步骤：
16.(1)客户端子网关获取客户端针对业务服务器的业务访问请求报文，生成加密会话请求并发送给零信任控制器，所述客户端子网关经过中心网关身份验证获取工作密钥，建立加密隧道，形成加密业务请求包括所述的业务访问请求和用户终端信息；
17.(2)所述零信任控制器根据所述目标地址和预设的分流策略确定中心网关节点，将所述业务请求报文申请发送给所述目标中心网关依附的零信任控制中心；
18.(3)所述零信任控制中心管理客户端权限和接收所述业务请求报文，根据预设的
访问控制策略对所述客户端进行身份认证，身份认证成功后，对所述业务访问请求进行权限判定，判定成功后将所述业务访问请求转发至所述目标地址对应的业务服务器，业务服务器根据所述业务访问请求为所述客户端提供相应的业务访问服务。
19.进一步地，所述零信任系统包括：依次链接的零信任控制中心，零信任控制器和中心网关；其中，所述零信任控制中心管理用户终端权限及将预设的访问控制策略下发给所述零信任控制器和所述中心网关，所述零信任控制器根据所述访问控制策略对所述用户终端进行身份认证，身份认证成功后，将所述业务请求报文和对应的业务服务器地址发送给所述中心网关，所述中心网关对所述业务访问请求进行权限判定，判定成功后将所述客户端的业务访问请求转发至所述目标地址对应的业务服务器。
20.进一步地，将所述业务请求报文发送给所述零信任控制中心上的零信任控制器包括：将所述业务请求报文发送给所述目标零信任控制中心的所述零信任控制器。
21.进一步地，所述零信任控制中心管理用户终端权限和接收所述业务请求报文，根据预设的访问控制策略对所述用户终端进行身份认证，身份认证成功后，对所述业务访问请求进行权限判定，判定成功后将所述业务访问请求转发至所述目标地址对应的业务服务器包括：所述零信任控制中心管理用户终端权限及将预设的访问控制策略下发给所述零信任控制器和所述中心网关，所述零信任控制器接收所述业务请求报文，根据预设的访问控制策略对所述客户端进行身份认证，身份认证成功后，将所述业务请求报文和对应的业务服务器地址发送给所述中心网关，所述中心网关对所述业务访问请求进行权限判定，判定成功后将所述业务访问请求转发至所述目标地址对应的业务服务器，业务服务器根据所述业务访问请求为所述客户端提供相应的业务访问服务。
22.进一步的，零信任控制器安装后，通过控制器进行如下操作：添加客户端子网关，添加中心网关，添加密钥管理服务器、添加可信区域、添加应用、添加客户端授权。
23.该发明的有益效果在于：本发明提供的一种基于零信任的业务访问控制系统及控制方法，能够有效地克服现有技术中对边界防护的依赖。本发明提供的方案中，在访问被允许之前，所有的访问主题都需要经过身份认证和授权，解决了目前边界模糊的企业业务架构带来的安全威胁，有效地提升了业务访问控制系统的安全性能。
附图说明
24.图1是本发明实施例中所使用系统模块框图。
25.图2是本发明实施例中所使用系统工作流程示意图。
具体实施方式
26.下面结合附图和实施例对本发明的具体实施方式进行描述，以便更好的理解本发明。
27.实施例
28.如图1所示的基于零信任的业务访问控制系统，包括：客户端子网关、零信任控制器、中心网关、密钥管理服务器；中心网关与密钥管理服务器通信连接，密钥管理服务器、客户端子网关、中心网关分别与零信任控制器通信连接，客户端子网关与客户端通信连接；零信任控制器用于控制客户端、客户端子网关和中心网关的标识汇总，并进行路由策略、工作
密钥和授权访问控制策略的下发；中心网关用于对业务系统安全访问的控制；密钥管理服务器用于工作密钥的生成及下发；客户端子网关部署在客户端，通过与零信任控制器和中心网关建立隧道，对授权的业务资源进行安全访问；其中，客户端子网关，用于向客户端子网关发送针对业务服务器的业务访问请求，所述业务访问请求包含业务访问请求报文及会话请求访问的目标地址；客户端子网关，把所述业务访问请求报文挂起，把会话请求依据预设的路径映射关系，从多个预设的零信任控制器中匹配映射对应的零信任中心网关及所对应的密钥管理服务器；零信任控制器，用于部署零信任控制中心，所述零信任控制中心用于管理客户端及客户端子网关权限和接收会话请求，预设整个零信任系统中用于客户端权限和接收会话请求要求访问的中心网关和密钥管理服务器，会话通信建立后把密钥管理服务器下发的工作密钥发送到客户端子网关；中心网关，根据零信任控制中心预设的访问控制策略对所述的客户端子网关进行身份验证，身份验证成功后，同意客户端子网关会话通信请求，并把身份验证结果同步到密钥管理服务器同时从密钥管理服务器申请获取客户端子网关工作密钥；密钥管理服务器，接收来自中心网关的身份认证结果及零信任控制器分发的客户端子网关工作密钥申请，身份确权通过，发送工作密钥给中心网关及零信任控制器；业务服务器，当客户端子网关接收到工作密钥，通过工作密钥建立和中心网关的加密隧道，客户端子网关把挂起的业务访问请求通过中心网关发送到业务服务器，为所述客户端提供相应的业务访问服务。
29.本发明实施例中，所述零信任网络访问控制系统对所述业务访问请求进行认证处理之前，还包括：(1)客户端子网关利用传输密钥在物理层安全加密，其中包括客户端网关身份信息和会话请求原始数据包，所述会话请求原始数据包采用传输密钥物理层生成；(2)向中心网关发送通过物理层网络加密的会话请求；(3)对所述的会话请求，中心网关根据预设的传输密钥解密处理，获得认证需要的客户端子网关身份信息；(4)对所述的客户端子网关身份信息验证，验证通过后，把验证信息转发至密钥管理服务器，并从密钥管理服务器申请此次客户端子网关业务访问工作密钥。所述密钥管理服务器获取到客户端子网关正确的身份信息，生成客户端子网关业务访问的工作密钥并下发，包括：(1)对所述的中心网关申请的客户端子网关业务访问用工作密钥给予响应，下发工作密钥至中心网关留待会话建立解密业务访问请求；(2)对所述零信任控制器申请的客户端子网关身份信息和中心网关已确认的身份信息比对，比对正确下发工作密钥给零信任控制器，并由零信任控制器转发工作密钥至客户端子网关；(3)所述客户端子网关接收到来自密钥管理服务器的工作密钥，把挂起的业务访问请求报文加密，发送至中心网关解密并根据零信任控制中心预设的访问控制策略判定是否转发至业务服务器。将所述客户端业务服务器访问请求解密根据预设的访问控制策略进行权限判定，判定成功后将所述的客户端业务访问请求转发至所述的目标地址对应的业务服务器，包括：所述零信任控制中心用于管理用户终端权限及将预设的访问控制策略下发给所述零信任控制器和所述中心网关，所述零信任控制器用于接收所述业务访问请求报文，根据预设的访问控制策略对所述客户端进行身份认证，身份认证成功后，将所述业务请求报文和对应的目标地址发送给所述中心网关，所述中心网关用于对所述业务访问请求进行权限判定，判定成功后将所述业务访问请求转发至所述目标地址对应的业务服务器。零信任控制器安装后，通过控制器进行如下操作：添加客户端子网关，添加中心网关，添加密钥管理服务器、添加可信区域、添加应用、添加客户端授权。
30.如图2所示，本发明实施例中的基于零信任的业务访问控制方法，其特征在于，包括以下步骤：
31.(1)客户端子网关获取客户端针对业务服务器的业务访问请求报文，生成加密会话请求并发送给零信任控制器，所述客户端子网关经过中心网关身份验证获取工作密钥，建立加密隧道，形成加密业务请求包括所述的业务访问请求和用户终端信息；
32.(2)所述零信任控制器根据所述目标地址和预设的分流策略确定中心网关节点，将所述业务请求报文申请发送给所述目标中心网关依附的零信任控制中心；
33.(3)所述零信任控制中心管理客户端权限和接收所述业务请求报文，根据预设的访问控制策略对所述客户端进行身份认证，身份认证成功后，对所述业务访问请求进行权限判定，判定成功后将所述业务访问请求转发至所述目标地址对应的业务服务器，业务服务器根据所述业务访问请求为所述客户端提供相应的业务访问服务。
34.上述方法中，所述零信任系统包括：依次链接的零信任控制中心，零信任控制器和中心网关；其中，所述零信任控制中心管理用户终端权限及将预设的访问控制策略下发给所述零信任控制器和所述中心网关，所述零信任控制器根据所述访问控制策略对所述用户终端进行身份认证，身份认证成功后，将所述业务请求报文和对应的业务服务器地址发送给所述中心网关，所述中心网关对所述业务访问请求进行权限判定，判定成功后将所述客户端的业务访问请求转发至所述目标地址对应的业务服务器。将所述业务请求报文发送给所述零信任控制中心上的零信任控制器包括：将所述业务请求报文发送给所述目标零信任控制中心的所述零信任控制器。所述零信任控制中心管理用户终端权限和接收所述业务请求报文，根据预设的访问控制策略对所述用户终端进行身份认证，身份认证成功后，对所述业务访问请求进行权限判定，判定成功后将所述业务访问请求转发至所述目标地址对应的业务服务器包括：所述零信任控制中心管理用户终端权限及将预设的访问控制策略下发给所述零信任控制器和所述中心网关，所述零信任控制器接收所述业务请求报文，根据预设的访问控制策略对所述客户端进行身份认证，身份认证成功后，将所述业务请求报文和对应的业务服务器地址发送给所述中心网关，所述中心网关对所述业务访问请求进行权限判定，判定成功后将所述业务访问请求转发至所述目标地址对应的业务服务器，业务服务器根据所述业务访问请求为所述客户端提供相应的业务访问服务。
35.以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也视为本发明的保护范围。