2. 专利查询
  3. 一种基于零信任网关的网络访问系统、方法和存储介质与流程

一种基于零信任网关的网络访问系统、方法和存储介质与流程

专利查询5小时前  2

本技术实施例涉及通信的,具体而言,涉及一种基于零信任网关的网络访问系统、方法和存储介质。


背景技术:

1、零信任网关是零信任体系的关键组成部分,通常部署在网络入口或应用服务前端,分隔用户和资源,对所有流量强制执行访问控制策略,也为后台应用提供统一入口,零信任网关集成了认证鉴权、访问控制、行为审计和安全防护等功能,有效降低了攻击风险,提升了员工办公体验和业务数据安全,员工通过零信任网关可以随时访问内部应用,不再依赖网络准入或者vpn(virtual private network,虚拟专用网络)等方式进入内网。

2、由于零信任网关提供后台应用的统一入口,零信任网关需要承担维护各后台应用源站地址的职责,通常会采用人工维护或基于内网dns(domain name system,域名系统)服务集群获取回源地址的方式。

3、但是基于人工维护回源地址会增大运维压力,不利于应用接入与横向扩展,而通过内网dns服务集群虽然获取回源地址的效率较高,但是内网dns服务集群上维护有很多源站地址,一旦攻击者突破网络边界,可以利用内网dns服务集群绕过零信任网关直接攻击源站,从而使得基于零信任网关的网络访问安全性较低。


技术实现思路

1、本技术实施例提供一种基于零信任网关的网络访问系统、方法和存储介质,旨在提高基于零信任网关进行网络访问时的安全性。

2、第一方面,本技术实施例提供一种基于零信任网关的网络访问系统,所述系统包括多个零信任网关、零信任dns服务集群以及内网dns服务集群,所述零信任dns服务集群中存储有任一目标域名请求对应的域名解析结果,所述目标域名请求为基于任一零信任网关进行访问的域名请求,所述域名解析结果中包括所述目标域名请求对应的至少一个源站地址;

3、任一零信任网关用于响应于当前用户的访问操作,获取当前的目标域名请求,并执行用于校验所述当前用户的身份信息的第一安全校验策略,当所述第一安全校验策略通过时,在所述零信任dns服务集群中获取所述当前的目标域名请求对应的目标源站地址,并访问所述当前的目标域名请求对应的目标源站地址,其中,所述目标源站地址是所述当前的目标域名请求对应的域名解析结果中的任一源站地址;

4、当所述内网dns服务集群响应于任一目标域名请求时,返回所述目标域名请求对应的非域名解析结果,所述非域名解析结果包括该目标域名请求对应的安全响应策略,所述安全响应策略用于隐藏所述目标域名请求对应的源站地址。

5、可选地,任一零信任网关响应于当前用户的访问操作,获取当前的目标域名请求,并执行用于校验所述当前用户的身份信息的第一安全校验策略时,该零信任网关用于:

6、响应于当前用户的访问操作,获取所述当前的目标域名请求,并检测所述当前的目标域名请求中是否携带所述当前用户的身份信息;

7、当携带所述当前用户的身份信息时,根据该零信任网关自身维护的允许访问列表和所述当前用户的身份信息,确定所述当前用户的身份信息是否正确;其中,所述允许访问列表中包括多个用户各自的身份信息。

8、可选地,所述允许访问列表中还包括所述多个用户各自的访问权限,任一用户的访问权限用于表征允许该用户访问的所有目标域名请求,当所述当前用户的身份信息正确时,该零信任网关还用于:

9、根据所述允许访问列表,确定所述当前用户是否具有所述当前的目标域名请求的访问权限。

10、可选地,当所述第一安全校验策略通过时,该零信任网关还用于向所述零信任dns服务集群发送携带有该零信任网关的安全标识的当前的目标域名请求;

11、所述零信任dns服务集群包括多个零信任dns服务器,所述多个零信任dns服务器中的主服务器用于执行校验该零信任网关的身份的第二安全校验策略,当所述第二安全校验策略通过时,所述主服务器将所述当前的目标域名请求发送至距离该零信任网关最近的零信任dns服务器;

12、所述距离该零信任网关最近的零信任dns服务器用于解析得到所述当前的目标域名请求对应的域名解析结果,并在所述域名解析结果中确定所述当前的目标域名请求对应的目标源站地址后,将所述目标源站地址发送至该零信任网关。

13、可选地,当所述第一安全校验策略通过时,该零信任网关还用于向所述零信任dns服务集群发送携带有该零信任网关的安全标识的当前的目标域名请求;

14、所述零信任dns服务集群用于基于任播技术,将所述当前的目标域名请求发送至所述零信任dns服务集群的中距离该零信任网关最近的零信任dns服务器;

15、所述距离该零信任网关最近的零信任dns服务器用于执行用于校验该零信任网关的身份的第二安全校验策略,当所述第二安全校验策略通过时,解析得到所述当前的目标域名请求对应的域名解析结果,并在所述域名解析结果中确定所述当前的目标域名请求对应的目标源站地址后,将所述目标源站地址发送至该零信任网关。

16、可选地,当所述当前的目标域名请求对应的域名解析结果中包括多个源站地址时,所述距离该零信任网关最近的零信任dns服务器用于确定所述多个源站地址对应的设备与该零信任网关之间的距离,将所述距离最近的源站地址作为目标源站地址。

17、可选地,任一目标域名请求对应的安全响应策略包括返回非法响应或返回安全蜜罐的地址。

18、可选地,所述系统还包括配置模块,所述配置模块用于配置任一零信任网关的域名或地址、配置所述零信任dns服务器的dns服务以及配置任一目标域名请求在内网dns服务集群中对应的安全响应策略。

19、可选地,所述配置模块还用于响应于零信任网关的新增操作,为新增的零信任网关配置用于指向所述零信任dns服务集群的域名或地址。

20、可选地,所述配置模块还用于响应于零信任dns服务器的新增操作,为新增的零信任dns服务器进行访问配置以及在所述新增的零信任dns服务器中存储多个目标域名请求各自对应的域名解析结果。

21、可选地,所述配置模块还用于响应于目标域名请求的新增操作,将新增的目标域名请求对应的域名解析结果存储在所述零信任dns服务集群中;并将所述内网dns服务集群中所述新增的目标域名请求对应的域名解析结果更改为非域名解析结果。

22、第二方面,本技术实施例提供一种基于零信任网关的网络访问方法,应用于实施例第一方面所述的基于零信任网关的网络访问系统,所述方法包括:

23、任一零信任网关响应于当前用户的访问操作,获取当前的目标域名请求,执行用于校验所述当前用户的身份信息和访问权限的第一安全校验策略,当所述第一安全校验策略通过时,将所述当前的目标域名请求发送至零信任dns服务集群;

24、所述零信任dns服务集群解析得到所述当前的目标域名请求对应的域名解析结果,确定所述当前的目标域名请求对应的目标源站地址并发送至该零信任网关;

25、该零信任网关接收到所述目标源站地址后,访问所述目标源站地址。

26、第三方面,本技术实施例提供一种计算机可读存储介质,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现如实施例第二方面中所述的基于零信任网关的网络访问方法。

27、有益效果:

28、本实施例提供一种基于零信任网关的网络访问系统,所述系统包括多个零信任网关、零信任dns服务集群以及内网dns服务集群,零信任dns服务集群中存储有任一目标域名请求对应的域名解析结果,目标域名请求为基于任一零信任网关进行访问的域名请求,域名解析结果中包括目标域名请求对应的至少一个源站地址。

29、任一零信任网关响应于当前用户的访问操作时,获取当前的目标域名请求,并执行用于校验当前用户的身份信息的第一安全校验策略,当第一安全校验策略通过时,在零信任dns服务集群中获取当前的目标域名请求对应的目标源站地址,并访问当前的目标域名请求对应的目标源站地址;通过零信任网关对发起当前的目标域名请求的当前用户的身份信息进行校验,可以避免攻击者通过零信任网关访问目标域名请求对应的源站地址。

30、而内网dns服务集群中不再存储任一目标域名请求的真实源站地址,而是存储着任一目标域名请求的非域名解析结果,非域名解析结果包括目标域名请求对应的安全响应策略,安全响应策略用于隐藏目标域名请求对应的源站地址,当通过内网dns服务集群对目标域名请求进行回源时,获取不到真实的源站地址,即使攻击者进入内网,也无法从内网dns服务集群上获取到源站地址进行攻击,从而可以提高基于零信任网关进行网络访问时的安全性。


技术特征:

1.一种基于零信任网关的网络访问系统,其特征在于,所述系统包括多个零信任网关、零信任dns服务集群以及内网dns服务集群,所述零信任dns服务集群中存储有任一目标域名请求对应的域名解析结果,所述目标域名请求为基于任一零信任网关进行访问的域名请求,所述域名解析结果中包括所述目标域名请求对应的至少一个源站地址;

2.根据权利要求1所述的系统,其特征在于,任一零信任网关响应于当前用户的访问操作,获取当前的目标域名请求,并执行用于校验所述当前用户的身份信息的第一安全校验策略时,该零信任网关用于:

3.根据权利要求2所述的系统,其特征在于,所述允许访问列表中还包括所述多个用户各自的访问权限,任一用户的访问权限用于表征允许该用户访问的所有目标域名请求;当所述当前用户的身份信息正确时,该零信任网关还用于:

4.根据权利要求1所述的系统,其特征在于,当所述第一安全校验策略通过时,该零信任网关还用于向所述零信任dns服务集群发送携带有该零信任网关的安全标识的当前的目标域名请求;

5.根据权利要求1所述的系统,其特征在于,当所述第一安全校验策略通过时,该零信任网关还用于向所述零信任dns服务集群发送携带有该零信任网关的安全标识的当前的目标域名请求;

6.根据权利要求4或5所述的系统,其特征在于,当所述当前的目标域名请求对应的域名解析结果中包括多个源站地址时,所述距离该零信任网关最近的零信任dns服务器用于确定所述多个源站地址对应的设备与该零信任网关之间的距离,将所述距离最近的源站地址作为目标源站地址。

7.根据权利要求1所述的系统,其特征在于,任一目标域名请求对应的安全响应策略包括返回非法响应或返回安全蜜罐的地址。

8.根据权利要求1所述的系统,其特征在于,所述系统还包括配置模块,所述配置模块用于配置任一零信任网关的域名或地址、配置所述零信任dns服务器的dns服务以及配置任一目标域名请求在内网dns服务集群中对应的安全响应策略。

9.根据权利要求8所述的系统,其特征在于,所述配置模块还用于响应于零信任网关的新增操作,为新增的零信任网关配置用于指向所述零信任dns服务集群的域名或地址。

10.根据权利要求8所述的系统,其特征在于,所述配置模块还用于响应于零信任dns服务器的新增操作,为新增的零信任dns服务器进行访问配置以及在所述新增的零信任dns服务器中存储多个目标域名请求各自对应的域名解析结果。

11.根据权利要求8所述的系统,其特征在于,所述配置模块还用于响应于目标域名请求的新增操作,将新增的目标域名请求对应的域名解析结果存储在所述零信任dns服务集群中;并将所述内网dns服务集群中所述新增的目标域名请求对应的域名解析结果更改为非域名解析结果。

12.一种基于零信任网关的网络访问方法,其特征在于,应用于权利要求1-11任一项所述的基于零信任网关的网络访问系统,所述方法包括:

13.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现如权利要求12中所述的基于零信任网关的网络访问方法。


技术总结
本申请提供一种基于零信任网关的网络访问系统、方法和存储介质,属于通信的技术领域。所述系统包括多个零信任网关、零信任DNS服务集群以及内网DNS服务集群,零信任DNS服务集群中存储有任一目标域名请求对应的域名解析结果;任一零信任网关响应于当前用户的访问操作,获取当前的目标域名请求,执行第一安全校验策略并通过时,在零信任DNS服务集群中获取当前的目标域名请求对应的目标源站地址,并访问目标源站地址;当内网DNS服务集群响应于任一目标域名请求时,返回目标域名请求对应的非域名解析结果,执行安全响应策略,安全响应策略用于隐藏所述目标域名请求对应的源站地址。本申请旨在提高基于零信任网关进行网络访问时的安全性。

技术研发人员:陈功
受保护的技术使用者:北京奇艺世纪科技有限公司
技术研发日:
技术公布日:2024/12/5

专利

最新回复(0)