一种基于零信任的跨域协同方法及系统

本发明属于网络安全，尤其涉及一种基于零信任的跨域协同方法及系统。

背景技术：

1、随着网络技术普及化和应用化，企业正在建立独立的企业网络，将不同部门或个人连接起来，实现人、系统间协同作业。这些企业网络通常与互联网互通，企业网络内用户可以正常访问互联网；互联网中用户只有具有访问权限才可访问企业网络。

2、为了确保企业网络的安全性，通常采用网络隔离技术，将企业网络与互联网进行有效隔离，实现了企业网络和互联网间信息受控传递。目前，网络隔离技术主要包括(1)逻辑隔离技术，企业网络与互联网存在直接连接的物理链路，采用虚拟隔离网络技术，将企业网络构建为虚拟私有网络，只有通过身份认证授权成功的用户才可访问虚拟私有网络，从而实现了企业网络与互联网的信息传递。互联网中用户访问企业网络时，需要获得企业网络访问权限，信息传递过程中拥有身份的签名。(2)物理隔离技术，企业网络与互联网间不存在直接连接的物理链路，采用跨网隔离交换设备(如单向交换设备、双单向设备、光盘摆渡等)，将跨网传递的信息转化为文本，传递到所达到的网络中。上述方式存在以下弊端与不足：

3、(1)管控粒度较粗：现有的网络隔离技术都是基于用户、设备或系统的身份信息。一旦身份通过认证后，跨域信息都不再进行鉴别和认证。在实际跨网交换过程中，并不是所有信息都能跨网交换的权限。因此，需要对跨网交换的业务流程进行细粒度管控，确保每次交换的信息都安全交换。

4、(2)信任链不连贯：现有手段是跨域应用对用户进行身份鉴权，网络隔离技术对跨域应用进行鉴权。网络隔离技术无法直接对用户访问跨域应用进行身份鉴权，这进而无法有效地确保实施跨域信息交互的安全性。

技术实现思路

1、本发明针对现有技术中网络隔离技术在管控粒度较粗、信息链不连贯的技术问题，提出一种基于零信任的跨域协同方案。

2、本发明第一方面提出一种基于零信任的跨域协同方法。在要进行跨域数据交换的第一网络域和第二网络域中分别部署跨域协同系统，所述跨域协同系统包括若干终端代理、一个跨域代理和一个零信任远程访问平台，所述零信任跨域访问平台包括若干零信任远程访问平台，一个零信任远程访问平台与一个终端代理对应，所述一个终端代理与一个终端对应，所述终端代理部署在所述终端上。

3、位于所述第一网络域的终端a与位于所述第二网络域的终端b进行跨域数据的交换时，所述方法包括：

4、在所述第一网络域一侧：

5、步骤s1、所述终端a的终端代理向与所述终端a的终端代理对应的零信任远程访问平台发起关于所述终端a的用户身份验证，所述身份验证通过后，所述终端a启动所述跨域数据的传输；

6、步骤s2、所述终端a的终端代理将用户访问令牌和所述跨域数据生成跨域报文，并将所述跨域报文发送至位于所述第一网络域且与所述终端a的终端代理对应的零信任远程访问平台；

7、步骤s3、与所述终端a的终端代理对应的零信任远程访问平台基于用户访问令牌完成用户身份的合法性检查，基于跨域数据完成访问策略的合法性检查，并将所述跨域报文传输至位于所述第一网络域的跨域代理；

8、步骤s4、位于所述第一网络域的跨域代理经由所述网络隔离设备将所述跨域报文传输至位于所述第二网络域的跨域代理；

9、在所述第二网络域一侧：

10、步骤s5、位于所述第二网络域的跨域代理将接收到的来自于所述第一网络域的所述跨域报文转发至位于所述第二网络域且与所述终端b的终端代理对应的零信任远程访问平台；

11、步骤s6、与所述终端b的终端代理对应的零信任远程访问平台完成所述用户身份的合法性检查和所述访问策略的合法性检查，并将所述跨域报文经由所述终端b的终端代理发送至所述终端b。

12、根据本发明第一方面的方法，所述方法还包括：步骤s0、初始化所述跨域协同系统；具体包括：

13、在相关网络域根据所述网络隔离设备的使用要求对所述相关网络域的跨域代理的接口参数进行配置，所述相关网络域的跨域代理基于经配置的接口参数与所述网络隔离设备连接；

14、配置所述相关网络域的跨域代理访问所述相关网络域的零信任跨域访问平台的地址作为第一地址，所述相关网络域的跨域代理基于所述第一地址访问所述相关网络域的零信任跨域访问平台；

15、所述相关网络域的零信任跨域访问平台根据所述跨域数据的业务要求配置所述访问策略；

16、配置所述相关网络域的各个终端代理访问所述相关网络域的零信任跨域访问平台的地址作为第二地址，所述相关网络域的各个终端代理基于第二地址访问所述相关网络域的零信任跨域访问平台。

17、根据本发明第一方面的方法，所述步骤s1具体包括：

18、所述终端a的终端代理获取用户身份信息并生成身份验证请求消息，将所述身份验证请求消息发送给所述终端a的终端代理对应的零信任远程访问平台；

19、所述终端a的终端代理对应的零信任远程访问平台接收到所述身份验证请求消息后解析出所述用户身份信息，判断所述用户身份信息的合法性；

20、若所述用户身份信息合法：

21、计算所述用户访问令牌，并生成身份验证成功消息，将所述用户访问令牌携带在所述身份验证成功消息中发送给所述终端a的终端代理；

22、所述终端a的终端代理接收到携带有所述用户访问令牌的身份验证成功消息后，解析出所述用户访问令牌，并执行用户访问令牌加载操作，生成身份验证确认请求消息，发送给所述终端a的终端代理对应的零信任远程访问平台；

23、所述终端a的终端代理对应的零信任远程访问平台接收到所述身份验证确认请求消息后，生成所述访问策略并将所述访问策略部署至所述所述终端a的终端代理；

24、所述终端a的终端代理将所述访问策略和所述用户访问令牌封装为身份同步请求消息，发送给与所述终端b的终端代理对应的零信任远程访问平台；

25、与所述终端b的终端代理对应的零信任远程访问平台接收到所述身份同步请求消息，解析出所述访问策略和所述用户访问令牌并进行安装部署，生成身份同步响应消息，将所述身份同步响应消息发送至与所述终端a的终端代理对应的零信任远程访问平台；

26、与所述终端b的终端代理对应的零信任远程访问平台接收到所述身份同步响应消息，生成身份验证确认响应消息，将所述身份验证确认响应消息发送给所述终端a的终端代理，所述终端a的终端代理接收到所述身份验证确认响应消息后启动所述跨域数据的传输。

27、根据本发明第一方面的方法，所述方法还包括，在所述第一网络域一侧，与所述终端a的终端代理对应的零信任远程访问平台周期性地调整所述访问策略，具体包括：

28、与所述终端a的终端代理对应的零信任远程访问平台向所述终端a的终端代理发送第一环境状态感知请求消息；

29、所述终端a的终端代理接收到所述第一环境状态感知请求消息，获取所述终端a的当前环境状态，将其封装为第一环境状态感知响应消息，将所述第一环境状态感知响应消息发送给与所述终端a的终端代理对应的零信任远程访问平台；

30、与所述终端a的终端代理对应的零信任远程访问平台接收到所述第一环境状态感知响应消息，解析出所述终端a的环境状态，并生成第二环境状态感知请求消息，将所述第二环境状态感知请求消息发送给位于所述第一网络域的跨域代理；

31、位于所述第一网络域的跨域代理接收到所述第二环境状态感知请求消息，获取所述位于所述第一网络域的跨域代理的当前环境状态，将其封装为第二环境状态感知响应消息，将所述第二环境状态感知响应消息发送给与所述终端a的终端代理对应的零信任远程访问平台；

32、与所述终端a的终端代理对应的零信任远程访问平台接收到所述第二环境状态感知响应消息，解析出所述网络隔离设备的环境状态，根据所述终端a的环境状态和所述网络隔离设备的环境状态，判断所述跨域数据的传输是否存在安全风险；

33、若存在安全风险，则更新访问策略，并将经更新的访问策略封装为策略同步请求消息，经由位于所述第一网络域的跨域代理、所述网络隔离设备、位于所述第二网络域的跨域代理，将所述策略同步请求消息发送给与所述终端b的终端代理对应的零信任远程访问平台；

34、与所述终端b的终端代理对应的零信任远程访问平台接收到所述策略同步请求消息，解析出所述经更新的访问策略，并生成策略同步响应消息，将所述策略同步响应消息发送回与所述终端a的终端代理对应的零信任远程访问平台；

35、与所述终端a的终端代理对应的零信任远程访问平台确认接收到所述策略同步响应消息后完成策略同步，并继续执行下一周期的环境感知。

36、本发明第二方面提出一种基于零信任的跨域协同系统。在要进行跨域数据交换的第一网络域和第二网络域中分别部署跨域协同系统，所述跨域协同系统包括若干终端代理、一个跨域代理和一个零信任远程访问平台，所述零信任跨域访问平台包括若干零信任远程访问平台，一个零信任远程访问平台与一个终端代理对应，所述一个终端代理与一个终端对应，所述终端代理部署在所述终端上。

37、位于所述第一网络域的终端a与位于所述第二网络域的终端b进行跨域数据的交换时：

38、在所述第一网络域一侧执行：

39、所述终端a的终端代理向与所述终端a的终端代理对应的零信任远程访问平台发起关于所述终端a的用户身份验证，所述身份验证通过后，所述终端a启动所述跨域数据的传输；

40、所述终端a的终端代理将用户访问令牌和所述跨域数据生成跨域报文，并将所述跨域报文发送至位于所述第一网络域且与所述终端a的终端代理对应的零信任远程访问平台；

41、与所述终端a的终端代理对应的零信任远程访问平台基于用户访问令牌完成用户身份的合法性检查，基于跨域数据完成访问策略的合法性检查，并将所述跨域报文传输至位于所述第一网络域的跨域代理；

42、位于所述第一网络域的跨域代理经由所述网络隔离设备将所述跨域报文传输至位于所述第二网络域的跨域代理；

43、在所述第二网络域一侧执行：

44、位于所述第二网络域的跨域代理将接收到的来自于所述第一网络域的所述跨域报文转发至位于所述第二网络域且与所述终端b的终端代理对应的零信任远程访问平台；

45、与所述终端b的终端代理对应的零信任远程访问平台完成所述用户身份的合法性检查和所述访问策略的合法性检查，并将所述跨域报文经由所述终端b的终端代理发送至所述终端b。

46、根据本发明第二方面的系统，位于所述第一网络域的终端a与位于所述第二网络域的终端b进行所述跨域数据的交换前，初始化所述跨域协同系统；具体包括：

47、在相关网络域根据所述网络隔离设备的使用要求对所述相关网络域的跨域代理的接口参数进行配置，所述相关网络域的跨域代理基于经配置的接口参数与所述网络隔离设备连接；

48、配置所述相关网络域的跨域代理访问所述相关网络域的零信任跨域访问平台的地址作为第一地址，所述相关网络域的跨域代理基于所述第一地址访问所述相关网络域的零信任跨域访问平台；

49、所述相关网络域的零信任跨域访问平台根据所述跨域数据的业务要求配置所述访问策略；

50、配置所述相关网络域的各个终端代理访问所述相关网络域的零信任跨域访问平台的地址作为第二地址，所述相关网络域的各个终端代理基于第二地址访问所述相关网络域的零信任跨域访问平台。

51、根据本发明第二方面的系统，所述终端a的用户身份验证具体包括：

52、所述终端a的终端代理获取用户身份信息并生成身份验证请求消息，将所述身份验证请求消息发送给所述终端a的终端代理对应的零信任远程访问平台；

53、所述终端a的终端代理对应的零信任远程访问平台接收到所述身份验证请求消息后解析出所述用户身份信息，判断所述用户身份信息的合法性；

54、若所述用户身份信息合法：

55、计算所述用户访问令牌，并生成身份验证成功消息，将所述用户访问令牌携带在所述身份验证成功消息中发送给所述终端a的终端代理；

56、所述终端a的终端代理接收到携带有所述用户访问令牌的身份验证成功消息后，解析出所述用户访问令牌，并执行用户访问令牌加载操作，生成身份验证确认请求消息，发送给所述终端a的终端代理对应的零信任远程访问平台；

57、所述终端a的终端代理对应的零信任远程访问平台接收到所述身份验证确认请求消息后，生成所述访问策略并将所述访问策略部署至所述所述终端a的终端代理；

58、所述终端a的终端代理将所述访问策略和所述用户访问令牌封装为身份同步请求消息，发送给与所述终端b的终端代理对应的零信任远程访问平台；

59、与所述终端b的终端代理对应的零信任远程访问平台接收到所述身份同步请求消息，解析出所述访问策略和所述用户访问令牌并进行安装部署，生成身份同步响应消息，将所述身份同步响应消息发送至与所述终端a的终端代理对应的零信任远程访问平台；

60、与所述终端b的终端代理对应的零信任远程访问平台接收到所述身份同步响应消息，生成身份验证确认响应消息，将所述身份验证确认响应消息发送给所述终端a的终端代理，所述终端a的终端代理接收到所述身份验证确认响应消息后启动所述跨域数据的传输。

61、根据本发明第二方面的系统，在所述第一网络域一侧，与所述终端a的终端代理对应的零信任远程访问平台周期性地调整所述访问策略，具体包括：

62、与所述终端a的终端代理对应的零信任远程访问平台向所述终端a的终端代理发送第一环境状态感知请求消息；

63、所述终端a的终端代理接收到所述第一环境状态感知请求消息，获取所述终端a的当前环境状态，将其封装为第一环境状态感知响应消息，将所述第一环境状态感知响应消息发送给与所述终端a的终端代理对应的零信任远程访问平台；

64、与所述终端a的终端代理对应的零信任远程访问平台接收到所述第一环境状态感知响应消息，解析出所述终端a的环境状态，并生成第二环境状态感知请求消息，将所述第二环境状态感知请求消息发送给位于所述第一网络域的跨域代理；

65、位于所述第一网络域的跨域代理接收到所述第二环境状态感知请求消息，获取所述位于所述第一网络域的跨域代理的当前环境状态，将其封装为第二环境状态感知响应消息，将所述第二环境状态感知响应消息发送给与所述终端a的终端代理对应的零信任远程访问平台；

66、与所述终端a的终端代理对应的零信任远程访问平台接收到所述第二环境状态感知响应消息，解析出所述网络隔离设备的环境状态，根据所述终端a的环境状态和所述网络隔离设备的环境状态，判断所述跨域数据的传输是否存在安全风险；

67、若存在安全风险，则更新访问策略，并将经更新的访问策略封装为策略同步请求消息，经由位于所述第一网络域的跨域代理、所述网络隔离设备、位于所述第二网络域的跨域代理，将所述策略同步请求消息发送给与所述终端b的终端代理对应的零信任远程访问平台；

68、与所述终端b的终端代理对应的零信任远程访问平台接收到所述策略同步请求消息，解析出所述经更新的访问策略，并生成策略同步响应消息，将所述策略同步响应消息发送回与所述终端a的终端代理对应的零信任远程访问平台；

69、与所述终端a的终端代理对应的零信任远程访问平台确认接收到所述策略同步响应消息后完成策略同步，并继续执行下一周期的环境感知。

70、本发明第三方面公开了一种电子设备。所述电子设备包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时，实现本公开第一方面所述的一种基于零信任的跨域协同方法中的步骤。

71、本发明第四方面公开了一种计算机可读存储介质。所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时，实现本公开第一方面所述的一种基于零信任的跨域协同方法中的步骤。

72、综上，本发明提出的技术方案通过引入零信任机制，对跨域业务进行细粒度管控和信任链安全传递，实现了跨不同安全域的信息安全交互。