基于零信任技术的网络通讯方法、装置、终端及存储介质与流程

1.本技术涉及一种网络通讯方法，具体而言，为一种基于零信任技术的网络通讯方法、装置、终端及存储介质，属于网络通讯安全技术领域。


背景技术：

2.近年来，随着计算机与互联网技术的高速发展，网络通讯已经成为人们日常工作和生活中必不可少的一种通讯方式。随之而来的是在网络通讯过程中始终存在的安全隐患，受各类流氓软件、电脑病毒、甚至是黑客的影响，网络通讯的安全性问题越来越受到各界的广泛关注。
3.以最基本的tcp网络通讯为例，架构如图1所示，其是一种面向连接的、可靠的、基于字节流的传输层通信方式，即客户端和服务器之间在交换数据之前会先建立一个tcp连接，进而相互传输数据。且过程中提供超时重发、丢弃重复数据、检验数据、流量控制等功能，保证数据从一端传输至另一端。但是在当前的tcp网络通讯中，普遍存在着以下几个问题：
4.1、在程序不主动进行安全加密时，通讯过程默认使用明文传输，如http协议等，内容极易被第三方获取；
5.2、当程序进行安全加密时，安全加密的防护级别过于依赖程序本身，存在较高的被破解的风险；
6.3、服务器的服务资源因为需要被外部客户端访问，且整个通讯过程中默认不存在授权机制，客户端完成认证后可以随意进行访问，极大地增加了服务资源暴露的可能；
7.4、用户身份难以界定，存在较高的认证风险。例如对于需要密码验证登录的系统而言，虽然系统的安全策略要求用户设置复杂的密码并定期要求更新，但并不能完全假定用户是可信的。攻击者可以使用钓鱼、拖库等常见的攻击手段轻易获取用户密码；此外，用户虽然按要求定期进行了密码的更新且使用了较为复杂的密码，但为了便于记忆，其每次所使用的密码间存在规律，也容易被破解。
8.综上所述，如何在现有技术的基础上，提出一种全新的、能够达到安全加固目的的网络通讯方法、装置、终端及存储介质，也就成为了本领域内技术人员所共同关注的问题。


技术实现要素：

9.鉴于现有技术存在上述缺陷，本发明的目的是提出一种基于零信任技术的网络通讯方法、装置、终端及存储介质，具体如下。
10.一种基于零信任技术的网络通讯方法，包括：
11.接收应用服务策略信息，依据所述应用服务策略信息完成对应用服务资源的策略配置，确定应用服务资源的服务策略；
12.获取来自客户端的应用服务访问请求，所述应用服务访问请求使用mtls进行加密，依据所述应用服务资源的服务策略判断是否响应该所述应用服务访问请求；若是则
13.从所述应用服务资源中查找与该所述应用服务访问请求对应的应用服务，建立与所述客户端之间的应用通信链路，允许所述客户端访问所述应用服务。
14.优选地，在所述接收应用服务策略信息，依据所述应用服务策略信息完成对应用服务资源的策略配置，确定应用服务资源的服务策略之前，还包括：
15.获取来自控制中心的安全加固数据包，完成加固控件的注册安装，所述加固控件内至少包含有加固盾及mtls认证证书。
16.优选地，所述获取来自客户端的应用服务访问请求，所述应用服务访问请求使用mtls进行加密，依据所述应用服务资源的服务策略判断是否响应该所述应用服务访问请求，包括：
17.获取所述应用服务访问请求，所述应用服务访问请求由所述客户端根据客户操作生成并由信号连接于所述客户端后端的所述加固盾完成加密，所述加密方式为mtls加密，依据所述应用服务资源的服务策略判断是否响应该所述应用服务访问请求；若否则
18.断开与所述客户端之间的应用通信链路，禁止所述客户端访问所述应用服务。
19.优选地，所述获取来自客户端的应用服务访问请求，所述应用服务访问请求使用mtls进行加密，依据所述应用服务资源的服务策略判断是否响应该所述应用服务访问请求，还包括：
20.若获取到来自同一所述客户端的多个所述应用服务访问请求，则仅响应其中符合所述应用服务资源的服务策略的所述应用服务访问请求，从所述应用服务资源中查找与所响应的所述应用服务访问请求对应的应用服务，建立应用通信链路，允许所述客户端访问所述应用服务。
21.一种基于零信任技术的网络通讯装置，包括：
22.服务策略配置模块，被配置为接收应用服务策略信息，依据所述应用服务策略信息完成对应用服务资源的策略配置，确定应用服务资源的服务策略；
23.访问请求响应模块，被配置为获取来自客户端的应用服务访问请求，所述应用服务访问请求使用mtls进行加密，依据所述应用服务资源的服务策略判断是否响应该所述应用服务访问请求；若是则
24.访问操作许可模块，被配置为从所述应用服务资源中查找与该所述应用服务访问请求对应的应用服务，建立与所述客户端之间的应用通信链路，允许所述客户端访问所述应用服务。
25.优选地，所述基于零信任技术的网络通讯装置，还包括：
26.控件注册安装模块，被配置为获取来自控制中心的安全加固数据包，完成加固控件的注册安装，所述加固控件内至少包含有加固盾及mtls认证证书。
27.优选地，所述访问请求响应模块，包括：
28.访问请求获取单元，被配置为获取所述应用服务访问请求，所述应用服务访问请求由所述客户端根据客户操作生成并由信号连接于所述客户端后端的所述加固盾完成加密，所述加密方式为mtls加密，依据所述应用服务资源的服务策略判断是否响应该所述应用服务访问请求；若否则
29.访问请求禁止单元，被配置为断开与所述客户端之间的应用通信链路，禁止所述客户端访问所述应用服务。
30.优选地，所述访问请求响应模块，还包括：
31.访问请求同步处理单元，被配置为若获取到来自同一所述客户端的多个所述应用服务访问请求，则仅响应其中符合所述应用服务资源的服务策略的所述应用服务访问请求，从所述应用服务资源中查找与所响应的所述应用服务访问请求对应的应用服务，建立应用通信链路，允许所述客户端访问所述应用服务。
32.一种终端，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如前所述的基于零信任技术的网络通讯方法中的步骤。
33.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行所述计算机程序时实现如前所述的基于零信任技术的网络通讯方法中的步骤。
34.本发明的优点主要体现在以下几个方面：
35.本发明所提出的一种基于零信任技术的网络通讯方法，通过加固盾与加固根的部署方式，实现了tcp网络通讯中客户端与服务端间的认证授权和加密通信。同时，方法在通讯过程中使用mtls进行持续的双向认证和信息加密，显著地提升了通讯过程中的安全性、保证了安全加固的效果。而且，方法还通过应用服务隐藏的方式大幅降低了服务资源暴露的风险。此外，方法对加固根后的应用服务进行了系统化的授权管理，允许或禁止某一用户的访问请求，从而实现了对用户权限的细粒度精准控制。
36.与上述方法相对应的，本发明所提出的一种基于零信任技术的网络通讯装置、终端及存储介质，以系统化、标准化的处理流程实现了对tcp网络通讯过程中的安全加固，进而为网络通讯的持续稳定进行提供了技术支持，硬件方案的适配性和兼容性较高，能够切实地应用于各类网络通讯场景中。
37.本发明还为其他与tcp网络通讯相关的技术方案提供了参考，可以以此为依据进行拓展延伸和深入研究，具有十分广阔的应用前景。
38.以下便结合实施例附图，对本发明的具体实施方式作进一步的详述，以使本发明技术方案更易于理解、掌握。
附图说明
39.构成本技术的一部分的附图用来提供对本技术的进一步理解，使得本技术的其它特征、目的和优点变得更明显。本技术的示意性实施例附图及其说明用于解释本技术，并不构成对本技术的不当限定。在附图中：
40.图1是现有技术中tcp网络通讯的架构示意图；
41.图2是使用本方案后的tcp网络通讯的架构示意图；
42.图3是本发明中方法部分的流程示意图；
43.图4是本发明中装置部分的结构示意图。
具体实施方式
44.为了使本技术领域的人员更好地理解本技术方案，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述。
45.本发明采用零信任核心技术，使用加固盾和加固根的部署方式，对采用tcp网络通讯的客户端和服务端进行持续认证和加密，整体通讯架构如图2所示。解决认证、授权和传输加密的问题。从加固效果来看，如果攻击者没有合法身份，无法在数据平面横向移动。因为在网络层设置了网络策略白名单后，网络层的非法访问被禁止。另外，用户和应用服务间能实现完备的认证授权和通讯加密，最终达到了网络通讯安全加固的目的。具体方案如下。
46.一方面，本发明涉及一种基于零信任技术的网络通讯方法，如图3所示，包括如下步骤：
47.s1、获取来自控制中心的安全加固数据包，完成加固控件的注册安装，所述加固控件内包含有加固盾、加固根及mtls认证证书。
48.其中，所述加固盾部署于客户端的后端，所述加固根可以根据实际使用需要部署于服务器前端或所述服务器内部，所述加固盾与所述加固根之间保持信号连接，一个所述加固根可对应有多个所述加固盾。
49.s2、所述加固盾接收来自所述控制中心的应用数据代理信息，依据所述应用数据代理信息完成对应用代理数据的策略配置，确定应用数据的代理策略；
50.所述加固根接收来自所述控制中心的应用服务策略信息，依据所述应用服务策略信息完成对应用服务资源的策略配置，确定应用服务资源的服务策略。
51.s3、所述加固根获取所述应用服务访问请求，所述应用服务访问请求由所述客户端根据客户操作生成并由信号连接于所述客户端后端的所述加固盾完成加密，所述加密方式为mtls加密(且若不指定，则默认全部进行加密)，依据所述应用服务资源的服务策略判断是否响应该所述应用服务访问请求；
52.若是则从所述应用服务资源中查找与该所述应用服务访问请求对应的应用服务，通过所述加固根实现所述客户端与所述服务器之间的应用通信链路，允许所述客户端访问所述应用服务；
53.若否则断开与所述客户端之间的应用通信链路，禁止所述客户端访问所述应用服务。
54.需要说明的是，在这一过程中若获取到来自同一所述客户端的多个所述应用服务访问请求，则仅响应其中符合所述应用服务资源的服务策略的所述应用服务访问请求，从所述应用服务资源中查找与所响应的所述应用服务访问请求对应的应用服务，建立应用通信链路，允许所述客户端访问所述应用服务。
55.上述这样的操作方式可以在禁止访问的同时不影响所述加固盾访问所述加固根后边的其他应用服务，也不影响其他加固盾访问应用服务，这样就实现了细粒度的应用和用户级别流量控制。
56.综上所述，本发明所提出的一种基于零信任技术的网络通讯方法，通过加固盾与加固根的部署方式，实现了tcp网络通讯中客户端与服务端间的认证授权和加密通信。同时，方法在通讯过程中使用mtls进行持续的双向认证和信息加密，显著地提升了通讯过程中的安全性、保证了安全加固的效果。而且，方法还通过应用服务隐藏的方式大幅降低了服务资源暴露的风险。此外，方法对加固根后的应用服务进行了系统化的授权管理，允许或禁止某一用户的访问请求，从而实现了对用户权限的细粒度精准控制。
57.另一方面，本发明还涉及一种基于零信任技术的网络通讯装置，其结构如图4所
示，包括：
58.控件注册安装模块，被配置为获取来自控制中心的安全加固数据包，完成加固控件的注册安装，所述加固控件内至少包含有加固盾及mtls认证证书；
59.服务策略配置模块，被配置为接收应用服务策略信息，依据所述应用服务策略信息完成对应用服务资源的策略配置，确定应用服务资源的服务策略；
60.访问请求响应模块，被配置为获取来自客户端的应用服务访问请求，所述应用服务访问请求使用mtls进行加密，依据所述应用服务资源的服务策略判断是否响应该所述应用服务访问请求；若是则
61.访问操作许可模块，被配置为从所述应用服务资源中查找与该所述应用服务访问请求对应的应用服务，建立与所述客户端之间的应用通信链路，允许所述客户端访问所述应用服务。
62.在一种可能的实现方式中，所述访问请求响应模块，包括：
63.访问请求获取单元，被配置为获取所述应用服务访问请求，所述应用服务访问请求由所述客户端根据客户操作生成并由信号连接于所述客户端后端的所述加固盾完成加密，所述加密方式为mtls加密，依据所述应用服务资源的服务策略判断是否响应该所述应用服务访问请求；若否则
64.访问请求禁止单元，被配置为断开与所述客户端之间的应用通信链路，禁止所述客户端访问所述应用服务；
65.访问请求同步处理单元，被配置为若获取到来自同一所述客户端的多个所述应用服务访问请求，则仅响应其中符合所述应用服务资源的服务策略的所述应用服务访问请求，从所述应用服务资源中查找与所响应的所述应用服务访问请求对应的应用服务，建立应用通信链路，允许所述客户端访问所述应用服务。
66.又一方面，本发明还涉及一种终端，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如前文所述的基于零信任技术的网络通讯方法中的步骤，例如图1所示的步骤。或者，处理器执行计算机程序时实现上述各装置实施例中各模块/单元的功能，例如图3所示的各模块/单元的功能。
67.再一方面，本发明还涉及一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行所述计算机程序时实现如前文所述的基于零信任技术的网络通讯方法中的步骤。
68.其中，可读存储介质可以是计算机存储介质，也可以是通信介质。通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。计算机存储介质可以是通用或专用计算机能够存取的任何可用介质。例如，可读存储介质耦合至处理器，从而使处理器能够从该可读存储介质读取信息，且可向该可读存储介质写入信息。当然，可读存储介质也可以是处理器的组成部分。处理器和可读存储介质可以位于专用集成电路(application specific integrated circuits，asic)中。另外，该asic可以位于用户设备中。当然，处理器和可读存储介质也可以作为分立组件存在于通信设备中。可读存储介质可以是只读存储器(rom)、随机存取存储器(ram)、cd-rom、磁带、软盘和光数据存储设备等。
69.与上述方法内容相对应的，本发明所提出的一种基于零信任技术的网络通讯装
置、终端及存储介质，以系统化、标准化的处理流程实现了对tcp网络通讯过程中的安全加固，进而为网络通讯的持续稳定进行提供了技术支持，硬件方案的适配性和兼容性较高，能够切实地应用于各类网络通讯场景中。
70.本发明还为其他与tcp网络通讯相关的技术方案提供了参考，可以以此为依据进行拓展延伸和深入研究，具有十分广阔的应用前景。
71.对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神和基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。
72.最后，应当理解，虽然本说明书按照实施方式加以描述，但并非每个实施方式仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为清楚起见，本领域技术人员应当将说明书作为一个整体，各实施例中的技术方案也可以经适当组合，形成本领域技术人员可以理解的其他实施方式。