基于零信任的去中心化网络控制策略实现方法与流程

1.本公开涉及通信技术领域，尤其涉及一种基于零信任的去中心化网络控制策略实现方法、基于零信任的去中心化网络控制系统及其使用方法。


背景技术：

2.网络控制策略，大体可分为两种：一种是基于网络层面的控制策略，也就是常说的防火墙acl；另外一种是基于账号和访问资源的控制策略，例如：统一身份识别与访问管理平台以及各公司自研的单点登录系统等等。
3.对于第一种，网络层面的控制策略，是通过基于数据包的五元组信息(源地址，源端口，协议，目的地址，目的端口)进行数据包的匹配，如匹配成功，进行处置动作(阻断、放行等)；其特点，不区分业务，只要数据包命中策略规则，即可产生处置动作，可对大流量的访问进行粗粒度的控制；
4.对于第二种，基于账号和访问资源的控制策略。当访问主体(账号或应用)对访问客体(业务或api接口)，需携带相应的访问token或者cookie来标识访问主体的合法性；具备细粒度的管控能力。
5.上述访问控制策略，虽然能够解决目前在生产环境中遇到的问题，但由于中心化的控制策略计算和匹配设计，都会导致中心节点的计算压力成为瓶颈。从而导致访问速度变慢、中心节点计算成本增加等一系列问题。同时对应ddos、cc、爬虫等恶意访问，无法从根本解决。
6.在零信任产品中，一些厂商也意识到了这个问题，由于不想把这部分计算压力承载到自己的产品中，所以也提出了相应的规避方案。例如：控制器部分，只做访问控制策略的计算，计算产生的访问控制策略会下发到防火墙，路由器等网络设备中，与用户的网络设备联动。此方案，看似完美将责任边界划分出来，但是并没有从根本解决中心点计算压力问题，只是将这部分压力转移到相应的设备上了。
7.因此，有必要提出一种中心化网络控制策略，以此降低访问可以的访问压力同时也可以避免ddos恶意访问请求等技术问题。


技术实现要素：

8.为了解决上述问题，本技术提出一种基于零信任的去中心化网络控制策略实现方法、基于零信任的去中心化网络控制系统及其使用方法，将访问主体发起的请求在本地做策略匹配，如命中放行策略，则发出请求的数据包，否则被拦截；而访问客体只需做少量的中心化策略匹配即可，以此可降低访问可以的访问压力同时也可以避免ddos等恶意访问请求；从而解决目前这种中心化网络控制带来的问题。
9.本技术一方面，提供了一种基于零信任的去中心化网络控制策略实现方法，包括如下步骤：
10.s100、在用户所处网络中部署管控平台tmc和接入网关tmg；
11.s200、建立所述管控平台tmc和所述接入网关tmg与云端服务tmcloud之间的相互通信；
12.s300、管理员创建访问控制策略，并将所述访问控制策略配置在所述管控平台tmc上；
13.s400、基于所述访问控制策略，通过所述管控平台tmc计算并生成授权策略，并将所述授权策略同步在所述云端服务tmcloud上。
14.作为本技术的一可选实施方案，可选地，在步骤s200中，建立所述管控平台tmc和所述接入网关tmg与云端服务tmcloud之间的相互通信，包括：
15.s201、所述管控平台tmc导入第一证书，进行通信验证；
16.s202、验证完毕，通过所述管控平台tmc向所述云端服务tmcloud发起注册请求，请求建立连接；
17.s203、注册完毕，所述云端服务tmcloud返回注册结果并通知所述管控平台tmc，建立所述管控平台tmc与所述云端服务tmcloud之间的通信。
18.作为本技术的一可选实施方案，可选地，在步骤s200中，建立所述管控平台tmc和所述接入网关tmg与云端服务tmcloud之间的相互通信，还包括：
19.s210、所述接入网关tmg导入与所述第一证书相匹配的第二证书，进行通信验证；
20.s220、验证完毕，通过所述接入网关tmg向所述云端服务tmcloud发起注册请求，请求建立连接；
21.s230、注册完毕，所述云端服务tmcloud返回注册结果并通知所述管控平台tmc，建立所述接入网关tmg与所述云端服务tmcloud和所述管控平台tmc之间的相互通信。
22.作为本技术的一可选实施方案，可选地，在步骤s300中，所述管理员创建访问控制策略，并将所述访问控制策略配置在所述管控平台tmc上，包括：
23.s301、通过所述管控平台tmc的管理员，创建用户登录账号；
24.s302、接入业务资源，并配置在所述管控平台tmc上；
25.s303、基于创建的用户登录账号和业务资源，设置具备逻辑关系的访问控制策略并保存在所述管控平台tmc上。
26.本技术另一方面，提供了一种基于零信任的去中心化网络控制系统，所述基于零信任的去中心化网络控制系统，根据所述的基于零信任的去中心化网络控制策略实现方法进行创建。
27.本技术另一方面，还提供了一种所述的基于零信任的去中心化网络控制系统的使用方法，包括如下步骤：
28.s100、通过终端tma导入证书，并使用管理员创建的账号进行登录；
29.s200、所述终端tma将登录信息加密后，将其发送至云端服务tmcloud并发起验证请求；
30.s300、所述云端服务tmcloud进行验证处理，并将所述登录信息转发至管控平台tmc；
31.s400、所述管控平台tmc根据所述登录信息匹配调用授权策略，并同步至所述云端服务tmcloud，且通过所述云端服务tmcloud将所述授权策略推送至所述终端tma，进行本地授权策略更新；
32.s500、所述终端tma根据本地授权策略所匹配的访问控制策略，向接入网关tmg发起对业务资源的访问请求。
33.作为本技术的一可选实施方案，可选地，在步骤s300中，所述云端服务tmcloud进行验证处理，并将所述登录信息转发至管控平台tmc，包括：
34.s301、所述云端服务tmcloud接收所述登录信息和验证请求；
35.s302、根据预设验证条件，对所述验证请求进行合法性验证，判断所述验证请求是否合法；
36.s303、若是所述验证请求验证合法，则将所述登录信息转发至管控平台tmc；若是不合法，则返回给所述终端tma，验证失败。
37.作为本技术的一可选实施方案，可选地，在步骤s400中，所述管控平台tmc根据所述登录信息匹配调用授权策略，并同步至所述云端服务tmcloud，且通过所述云端服务tmcloud将所述授权策略推送至所述终端tma，进行本地授权策略更新，包括：
38.s401、所述管控平台tmc接收所述登录信息；
39.s402、通过所述管控平台tmc将所述登录信息解密，并验证登录账号是否合法；
40.s403、若所述登录账号合法，则调用策略计算引擎，匹配逻辑策略：
41.如命中逻辑策略，同时已经产生授权策略，则直接返回登录结果至所述云端服务tmcloud，激活对应所述登录账号和所述终端tma的授权策略，同时返回所述授权策略给所述终端tma登录结果，进行本地授权策略更新；
42.如命中逻辑策略，但未生成授权策略，则返回登录结果至所述云端服务tmcloud的同时，调用策略计算引擎计算对应的授权策略，并同步至所述云端服务tmcloud，同步后，所述云端服务tmcloud将所述授权策略推送到所述终端tma，进行本地授权策略更新。
43.作为本技术的一可选实施方案，可选地，在步骤s500中，所述终端tma根据本地授权策略所匹配的访问控制策略，向接入网关tmg发起对业务资源的访问请求，包括：
44.s501、所述终端tma接收所述登录结果；
45.s502、基于所述登录结果，向所述云端服务tmcloud拉取本地的授权策略；
46.s503、基于所述授权策略对应匹配的访问控制策略，向接入网关tmg发起对业务资源的访问请求。
47.本发明的技术效果：
48.本技术通过利用管控平台通过计算产生访问控制策略(包括由管理员使用逻辑关系配置的策略条件计算产生的细粒度访问控制策略和其他组件实时检测产生的动态访问控制策略)推送到云端控制器，终端app通过认证后，根据相关条件，拉取相应的访问控制策略，最终通过接入网关访问后端的业务资源。
49.将访问主体发起的请求在本地做策略匹配，如命中放行策略，则发出请求的数据包，否则被拦截；而访问客体只需做少量的中心化策略匹配即可，以此可降低访问可以的访问压力同时也可以避免ddos等恶意访问请求；从而解决目前这种中心化网络控制带来的问题。
50.根据下面参考附图对示例性实施例的详细说明，本公开的其它特征及方面将变得清楚。
附图说明
51.包含在说明书中并且构成说明书的一部分的附图与说明书一起示出了本公开的示例性实施例、特征和方面，并且用于解释本公开的原理。
52.图1示出为本发明基于零信任的去中心化网络控制策略实现方法的实施流程示意图；
53.图2示出为本发明控制通道产生访问控制策略的时序图；
54.图3示出为本发明基于零信任的去中心化网络控制系统的使用方法的实施流程示意图；
55.图4示出为本发明进行业务访问的时序图。
具体实施方式
56.以下将参考附图详细说明本公开的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面，但是除非特别指出，不必按比例绘制附图。
57.在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。
58.另外，为了更好的说明本公开，在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解，没有某些具体细节，本公开同样可以实施。在一些实例中，对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述，以便于凸显本公开的主旨。
59.实施例1
60.本技术提出一种基于零信任的去中心化网络控制策略实现方法，将访问主体发起的请求在本地做策略匹配，如命中放行策略，则发出请求的数据包，否则被拦截；而访问客体只需做少量的中心化策略匹配即可，以此可降低访问可以的访问压力同时也可以避免ddos等恶意访问请求；从而解决目前这种中心化网络控制带来的问题。
61.如图1所示，本技术一方面，提供了一种基于零信任的去中心化网络控制策略实现方法，包括如下步骤：
62.s100、在用户所处网络中部署管控平台tmc和接入网关tmg；
63.s200、建立所述管控平台tmc和所述接入网关tmg与云端服务tmcloud之间的相互通信；
64.s300、管理员创建访问控制策略，并将所述访问控制策略配置在所述管控平台tmc上；
65.s400、基于所述访问控制策略，通过所述管控平台tmc计算并生成授权策略，并将所述授权策略同步在所述云端服务tmcloud上。
66.具体的，如图2所示，方法采用了控制通道与业务通道分离的架构思想，基于零信任的去中心化网络控制策略的创建和实现，主要依靠终端tma、云端服务tmcloud、管控平台tmc和接入网关tmg。
67.首先，需要在用户所处网络中部署管控平台tmc和接入网关tmg：
68.步骤1：在用户内网部署管控平台tmc，使tmc能通过互联网访问我们的云端服务tmcloud，当导入证书后，tmc即可与相应的tmcloud进行通信；
69.步骤2：用户内网部署接入网关tmg，使tmg能通过互联网访问我们的云端服务tmcloud，当导入证书后，tmg即可与相应的tmcloud和tmc进行通信。
70.即，建立所述管控平台tmc和所述接入网关tmg与云端服务tmcloud之间的相互通信，使得所述管控平台tmc、所述接入网关tmg与云端服务tmcloud，能够进行通信。
71.其次，部署完毕，需要进行管理员配置，采用管理员进行账号登录和策略管控。
72.作为本技术的一可选实施方案，可选地，在步骤s200中，建立所述管控平台tmc和所述接入网关tmg与云端服务tmcloud之间的相互通信，包括：
73.s201、所述管控平台tmc导入第一证书，进行通信验证；
74.s202、验证完毕，通过所述管控平台tmc向所述云端服务tmcloud发起注册请求，请求建立连接；
75.s203、注册完毕，所述云端服务tmcloud返回注册结果并通知所述管控平台tmc，建立所述管控平台tmc与所述云端服务tmcloud之间的通信。
76.证书开始是由终端tma导入的，使用时，终端app tma通过认证后，才能根据相关条件，拉取相应的访问控制策略，最终通过接入网关tmg访问后端的业务资源。如图2所示，所述管控平台tmc导入证书后，开始向所述云端服务tmcloud发起建立通信的注册请求，注册成功，则建立通信连接，并返回注册结果至所述管控平台tmc。第一证书或者第二证书仅仅是每处不同的证书表达方式，对应的证书可能相同或者不同，具体根据用户所配置的证书和通信协议进行选择。
77.作为本技术的一可选实施方案，可选地，在步骤s200中，建立所述管控平台tmc和所述接入网关tmg与云端服务tmcloud之间的相互通信，还包括：
78.s210、所述接入网关tmg导入与所述第一证书相匹配的第二证书，进行通信验证；
79.s220、验证完毕，通过所述接入网关tmg向所述云端服务tmcloud发起注册请求，请求建立连接；
80.s230、注册完毕，所述云端服务tmcloud返回注册结果并通知所述管控平台tmc，建立所述接入网关tmg与所述云端服务tmcloud和所述管控平台tmc之间的相互通信。
81.接入网关tmg和通信连接请求与上述同理，本处不进行赘述。
82.作为本技术的一可选实施方案，可选地，在步骤s300中，所述管理员创建访问控制策略，并将所述访问控制策略配置在所述管控平台tmc上，包括：
83.s301、通过所述管控平台tmc的管理员，创建用户登录账号；
84.s302、接入业务资源，并配置在所述管控平台tmc上；
85.s303、基于创建的用户登录账号和业务资源，设置具备逻辑关系的访问控制策略并保存在所述管控平台tmc上。
86.所述管控平台tmc的管理员配置，步骤包括：
87.为用户创建使用账号；
88.配置接入的业务资源；
89.基于账号和业务资源，设置逻辑关系的访问控制策略。
90.访问控制策略设置完毕，将其配置并保存在所述管控平台tmc上。便于所述管控平台tmc，基于管理员配置的逻辑关系的访问控制策略，计算生成细粒度的授权策略；以及生成其他组件实时检测所需的动态访问控制策略。
91.s400、基于所述访问控制策略，通过所述管控平台tmc计算并生成授权策略，并将所述授权策略同步在所述云端服务tmcloud上。
92.将计算得出的授权策略同步到tmcloud上，当终端app tma通过认证后，根据相关条件，拉取相应的访问控制策略，最终通过接入网关tmg访问后端的业务资源。
93.具体实施时，将访问主体发起的请求在本地做策略匹配，如命中放行策略，则发出请求的数据包，否则被拦截；而访问客体只需做少量的中心化策略匹配即可，以此可降低访问可以的访问压力同时也可以避免ddos等恶意访问请求；从而解决目前这种中心化网络控制带来的问题。具体参见实施例3。
94.需要说明的是，尽管以作为示例介绍了如上访问控制策略和授权策略的配置步骤，但本领域技术人员能够理解，本公开应不限于此。事实上，用户完全可根据实际应用场景灵活设定管理员的访问控制策略以及所对应的授权策略的策略规则，只要可以按照上述技术方法实现本技术的技术功能即可。
95.实施例2
96.更进一步地，本技术另一方面，提供了一种基于零信任的去中心化网络控制系统，所述基于零信任的去中心化网络控制系统，根据所述的基于零信任的去中心化网络控制策略实现方法进行创建。
97.所述基于零信任的去中心化网络控制系统，主要包括终端tma、云端服务tmcloud、管控平台tmc和接入网关tmg，终端tma、云端服务tmcloud、管控平台tmc和接入网关tmg的功能配置和使用原理参见实施例1以及下述实施例3的描述，本实施例不再进行阐述。
98.终端tma、云端服务tmcloud、管控平台tmc和接入网关tmg中，包含的功能模块，同样参见实施例1所述的功能原理进行设定、配置。
99.实施例3
100.基于实施例1的实施原理，本技术另一方面，如图3所示，还提供了一种所述的基于零信任的去中心化网络控制系统的使用方法，包括如下步骤：
101.s100、通过终端tma导入证书，并使用管理员创建的账号进行登录；
102.s200、所述终端tma将登录信息加密后，将其发送至云端服务tmcloud并发起验证请求；
103.s300、所述云端服务tmcloud进行验证处理，并将所述登录信息转发至管控平台tmc；
104.s400、所述管控平台tmc根据所述登录信息匹配调用授权策略，并同步至所述云端服务tmcloud，且通过所述云端服务tmcloud将所述授权策略推送至所述终端tma，进行本地授权策略更新；
105.s500、所述终端tma根据本地授权策略所匹配的访问控制策略，向接入网关tmg发起对业务资源的访问请求。
106.作为本技术的一可选实施方案，可选地，在步骤s300中，所述云端服务tmcloud进行验证处理，并将所述登录信息转发至管控平台tmc，包括：
107.s301、所述云端服务tmcloud接收所述登录信息和验证请求；
108.s302、根据预设验证条件，对所述验证请求进行合法性验证，判断所述验证请求是否合法；
109.s303、若是所述验证请求验证合法，则将所述登录信息转发至管控平台tmc；若是不合法，则返回给所述终端tma，验证失败。
110.作为本技术的一可选实施方案，可选地，在步骤s400中，所述管控平台tmc根据所述登录信息匹配调用授权策略，并同步至所述云端服务tmcloud，且通过所述云端服务tmcloud将所述授权策略推送至所述终端tma，进行本地授权策略更新，包括：
111.s401、所述管控平台tmc接收所述登录信息；
112.s402、通过所述管控平台tmc将所述登录信息解密，并验证登录账号是否合法；
113.s403、若所述登录账号合法，则调用策略计算引擎，匹配逻辑策略：
114.如命中逻辑策略，同时已经产生授权策略，则直接返回登录结果至所述云端服务tmcloud，激活对应所述登录账号和所述终端tma的授权策略，同时返回所述授权策略给所述终端tma登录结果，进行本地授权策略更新；
115.如命中逻辑策略，但未生成授权策略，则返回登录结果至所述云端服务tmcloud的同时，调用策略计算引擎计算对应的授权策略，并同步至所述云端服务tmcloud，同步后，所述云端服务tmcloud将所述授权策略推送到所述终端tma，进行本地授权策略更新。
116.作为本技术的一可选实施方案，可选地，在步骤s500中，所述终端tma根据本地授权策略所匹配的访问控制策略，向接入网关tmg发起对业务资源的访问请求，包括：
117.s501、所述终端tma接收所述登录结果；
118.s502、基于所述登录结果，向所述云端服务tmcloud拉取本地的授权策略；
119.s503、基于所述授权策略对应匹配的访问控制策略，向接入网关tmg发起对业务资源的访问请求。
120.具体的，如图4所示，数据通道使用访问控制策略的步骤如下：
121.首先，终端apptma，导入相应的终端证书，使用管理员创建的终端使用账号进行登录；
122.其次，tma将登录信息加密后，向tmcloud发起请求：将登录信息加密后，发送至云端服务tmcloud并发起验证请求；tmcloud收到后，验证其请求合法性，但不对登录信息验证，如请求合法则将登录信息转发给对应的tmc，如不合法则返给tma，登录失败；
123.最后，tmc收到等请求后的处理步骤如下：
124.1)将登录信息解密，验证登录账号是否合法：如果合法账号则，调用策略计算引擎，匹配逻辑策略：
125.如命中逻辑策略，同时已经产生授权策略，则直接返回登录成功；
126.如命中逻辑策略，但未生成授权策略，则返回登录成功的同时，调用策略计算引擎计算对应的授权策略，并同步tmcloud，同步后tmcloud会将授权策略推送到tma以更新本地策略；
127.2)所述管控平台tmc验证登录账号不合法，则可以直接返回给tmcloud，并同步给tma，进行提示。
128.tmcloud收到tmc登录返回信息后，如登录成功则激活对应账号和终端的授权策略，同时返回给tma登录结果。
129.tma收到登录结果后，如果登录成功，则向tmcloud拉取本地的授权策略；tma发起业务资源访问时，则会匹配本地的授权策略，如命中放行策略，则会向tmg发起对业务资源
的访问；反之，将不向tmg发起任何业务数据包。
130.显然，本领域的技术人员应该明白，实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成的，程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各控制方法的实施例的流程。上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。
131.本领域技术人员可以理解，实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成的，程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各控制方法的实施例的流程。其中，存储介质可为磁碟、光盘、只读存储记忆体(read-onlymemory，rom)、随机存储记忆体(randomaccessmemory，ram)、快闪存储器(flashmemory)、硬盘(harddiskdrive，缩写：hdd)或固态硬盘(solid-statedrive，ssd)等；存储介质还可以包括上述种类的存储器的组合。
132.以上已经描述了本公开的各实施例，上述说明是示例性的，并非穷尽性的，并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择，旨在最好地解释各实施例的原理、实际应用或对市场中的技术的技术改进，或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。