一种零信任网络架构及构建方法与流程

技术特征：
1.一种零信任网络架构，其特征在于：包括：控制器、云网关、边缘网关以及终端代理；边缘网关与云网关通信连接，云网关、边缘网关和终端代理分别与控制器通信连接，云网关和边缘网关分别与客户端通信连接；控制器用于控制客户端、云网关和边缘网关的注册登录流程，并进行路由策略和授权访问控制策略的下发；边缘网关用于对资源安全访问的控制，云网关用于客户端跨区域访问资源时的路由；终端代理部署在客户端，通过与云网关和边缘网关建立隧道，对授权的资源进行安全访问。2.如权利要求1所述的零信任网络架构，其特征在于：控制器完成安装后，通过控制器进行如下操作：添加区域、添加用户、添加云网关、添加边缘网关、添加应用和添加用户授权。3.一种权利要求1或2所述的零信任网络架构的构建方法，其特征在于：云网关完成安装和初始化后，向控制器发送spa包敲门验证成功后，进行注册流程，注册流程成功后，向控制器进行登录流程；登录成功后，控制器会更新关联云网关、边缘网关和在线终端组件的隧道信息，生成新版本，云网关登录成功后完成策略更新。4.如权利要求3所述的构建方法，其特征在于：云网关策略更新，包括以下过程：云网关登录成功后，从配置文件获取设备类型和识别码；向控制器发送策略请求，请求消息中包含设备类型、设备识别码以及当前策略版本号，控制器检查云网关的策略版本是否有更新；如果有更新则向云网关下发新版本的策略信息，其中包含隧道信息；云网关收到新版本策略后，与当前版本进行比较，依据版本比较结果更新隧道信息；云网关监听唯一标识自己的识别码的消息队列频道，当终端上下线的时候，控制器进行计算是否需要向关联的云网关发送隧道更新消息，当有更新隧道信息到来，云网关获取该信息进行隧道更新。5.一种权利要求1或2所述的零信任网络架构的构建方法，其特征在于：边缘网关完成安装和初始化后，向控制器发送spa包敲门验证成功后，进行注册流程，注册流程成功后，向控制器进行登录流程；登录成功后，控制器更新关联边缘网关和在线终端的隧道信息生成新版本，边缘网关登录成功后完成策略更新流程。6.如权利要求5所述的构建方法，其特征在于：边缘网关策略更新，包括以下过程：边缘网关登录成功后，从配置文件获取设备类型和识别码；向控制器发送策略请求，请求消息中包含设备类型、设备识别码以及当前策略版本号，控制器将检查边缘网关的策略版本是否有更新；如果有更新则向边缘网关下发新版本的策略信息，其中包含隧道信息和授权信息；边缘网关收到新版本策略后，与当前版本进行比较，依据版本比较结果更新隧道信息
和授权信息；边缘网关会监听唯一标识自己的识别码的消息队列频道，当终端上下线的时候，控制器进行计算是否需要向关联的边缘网关发送隧道更新和授权更新消息，当有更新隧道和授权信息到来，边缘网关获取该信息进行隧道更新和授权更新。7.一种权利要求1或2所述的零信任网络架构的构建方法，其特征在于：终端安装和初始化后，向控制器发送spa包敲门验证成功后，进行注册流程，注册流程成功后，向控制器进行登录流程；登录成功后，控制器在消息中间件中向网关发送更新隧道和授权信息的消息，终端创建隧道，终端登录成功后完成策略更新流程。8.如权利要求7所述的构建方法，其特征在于：终端策略更新，包括以下过程：终端策略更新流程，终端每隔预设时间会向控制器发送请求更新策略，控制器检查策略版本是否与最新策略相同，如果相同则发送确认信息，否则发送新版本策略，终端根据新版本更新隧道信息。9.如权利要求3
‑
8任一项所述的零信任网络架构，其特征在于：控制器、云网关、边缘网关和终端处理流程结束后，针对预设场景进行路由及授权信息更新，预设场景包括：添加资源、终端上线或下线，添加或移除授权、删除资源和更改资源。10.如权利要求3
‑
8任一项所述的零信任网络架构，其特征在于：路由及隧道策略更新，包括以下过程：当添加资源时，需要对所有的云网关进行更改隧道信息的操作；当终端上下线时，更新与用户关联的云网关和边缘网关的隧道信息，如果用户已有授权的资源，则更改对应资源相关联的边缘网关的防火墙规则；当添加或移除授权时，授权信息是通过用户
‑
资源对进行保存的，如果其中对应的用户在线，更新该用户的隧道中的路由信息，同时更新该资源关联的边缘网关的防火墙规则；当删除资源时，对与资源想关联的授权信息进行移除授权操作，对所有的云网关的隧道路由信息进行更新；当更改资源时，如果是更改描述，则将更改的描述信息下发给已授权的用户，如果更改ip或相关联的网关，则按顺序进行删除资源操作，添加资源操作，添加授权操作，其中添加授权为该资源原有的授权。

技术总结
本公开提供了一种零信任网络架构及构建方法，包括：控制器、云网关、边缘网关以及终端代理；边缘网关与云网关通信连接，云网关、边缘网关和终端代理分别与控制器通信连接，云网关和边缘网关分别与客户端通信连接；控制器用于控制客户端、云网关和边缘网关的注册登录流程，并进行路由策略和授权访问控制策略的下发；边缘网关用于对资源安全访问的控制，云网关用于客户端跨区域访问资源时的路由；终端代理部署在客户端，通过与云网关和边缘网关建立隧道，对授权的资源进行安全访问；网络位置边界不再决定访问权限，在访问被允许之前，所有的访问主体都需要经过身份认证和授权，解决了目前边界模糊的企业网络架构带来的安全威胁。目前边界模糊的企业网络架构带来的安全威胁。目前边界模糊的企业网络架构带来的安全威胁。


技术研发人员：王智超 张琳 徐吏明 凃敏 杨文宏 魏敬伟
受保护的技术使用者：中孚安全技术有限公司
技术研发日：2021.06.29
技术公布日：2021/10/28