[发明专利]一种零信任架构中证书分发方法

权利要求书

1.一种零信任架构中证书分发方法，其特征在于：所述零信任架构中，零信任网络架构由策略判决、策略执行、监测模块、风险分析模块、数据访问策略、身份管理模块、设备管理模块、安全管理模块以及证书模块等组成，当主体对客体的访问服务请求是否通过,由策略判决模块完成，并将判决结果告知策略执行模块，由策略执行模块决定访问通道是否打开或关闭，策略判决模块可分为策略引擎和策略管理两部分，策略引擎负责通过信任算法进行信任评分，进过精密计算达标后将进行对用户进行证书分发。

2.根据权利要求1所述的一种零信任架构中证书分发方法，其特征在于：所述信任算法运用区块链技术，构建数据交易模式框架，关键数据审计和将会存储平台，可追溯实现对每一笔交易，实现各交易主体之间的精准结算，实现数据从生产到使用全生命周期信息的客观存证与追溯。

3.根据权利要求1所述的一种零信任架构中证书分发方法，其特征在于：所述监测模块主要监测、收集网络自身的状态信息,包括操作模块和应用程序版本、补丁安装情况以及模块是否存在已知漏洞等，在基于docker技术的基础上，实现节点快速部署，使节点在零信任状态达到实时管理，独有的共识机制保证链上数据一致，监测模块将收集的上述信息提供给策略引擎，作为信任评分函数的输入参数。

4.根据权利要求1所述的一种零信任架构中证书分发方法，其特征在于：所述风险分析模块主要是搜集和分析来自于网络外部的风险信息，并将分析结果提供给策略引擎作为信任评分函数的输入，它包括新发现的攻击或漏洞、DNS黑點单以及发现的恶意软件等。

5.根据权利要求1所述的一种零信任架构中证书分发方法，其特征在于：所述数据访问策略资源属性而创建的一-组关于数据访问的属性和规则组合，该策略根据组织任务需求而建立，为网络中的用户、设备以及应用程序提供基本的访问特权，这是资源访组织任务需求而建立，为网络中的用户、设备以及应用程序提供基本的访问特权，这是资源访问权限的基点，集合系统进程、操作日志等多种数据源，聚合分析用户与系统行为，判断是否存在异常行为，评估异常事件风险程度，更聚焦的用户画像有助于减小误判、提高辨识速度，精准感知内外威胁，用户行为分析模块可基于已有的数据源生成相应的防御策略对用户行为或系统行为进行限制，管理员也可通过新建策略对用户行为或系统行为进行限制，当用户行为或系统行为出现异常时，及时发出警告。

6.根据权利要求1所述的一种零信任架构中证书分发方法，其特征在于：所述身份管理模块负责创建、存储和管理用户账户和身份信息，严格的登录认证，阻止非法用户进入系统需要进行多因素的身份认证，包括知识性身份认证、安全令牌认证、智能卡认证和生物识别认证等，对于身份认证时的信息进行保密。

7.根据权利要求1所述的一种零信任架构中证书分发方法，其特征在于：所述设备管理模块通过服务器零信任状态白名单机制，使得即便获得了该服务器最高控制权的入侵者，也无法加载用于实施破坏的恶意程序，从而极大程度地限制了入侵手段，一旦服务器的可信状态发生改变，可信防护系统可对异常进程自动进行阻断并发出警告，或者发出警告提醒管理员进行人工阻断，在信息保密技术时研究对信息进行变换，以防止第三方对信息进行窃取、破坏其机密性的技术利用路由器控制防止由传输数据项表示的信息被泄露，只有可信和安全设施才能路由数据。

8.根据权利要求1所述的一种零信任架构中证书分发方法，其特征在于：所述安全管理模块汇总模块日志、网络流量、资源授权等进行模块安全态势分析,可依据分析进行策略优化，或警告可能对网络进行的主动攻击，零信任将安全的自动化置于“安全运维”的中心地位，能够有效的定义保护范围，利用自主研发的可信区块链技术，保障所有链上数据不被篡改，一方面，即便获得了最高控制权的外部入侵者，也无法抹除其攻击痕迹，另一方面，即使是内部高级管理员，也无法抵赖其违规行为，从而实现有效防范内外部攻击。