[发明专利]一种零信任架构中证书分发方法

说明书

本发明涉及网络安全技术领域，且公开了一种零信任架构中证书分发方法，所述零信任架构中，零信任网络架构由策略判决、策略执行、监测模块、风险分析模块、数据访问策略、身份管理模块、设备管理模块、安全管理模块以及证书模块等组成，当主体对客体的访问服务请求是否通过,由策略判决模块完成，并将判决结果告知策略执行模块。信任算法实现数据从生产到使用全生命周期信息的客观存证与追溯，实现各交易主体之间的精准结算，能够根据用户的多个因素进行信任估算，并且能根据用户访问业务的行为、操作习惯、访问时间、设备分析、来源IP地址、来源地理位置、访问频度以及使用模式偏差等来进行风险评测。

技术领域

本发明涉及网络安全技术领域，具体为一种零信任架构中证书分发方法。

背景技术

随着云计算、物联网、区块链、大数据、5G等新兴技术的兴起，网络信息安全边界不断弱化，安全防护内容不断增加，对数据安全、信息安全提出了巨大挑战，现有安全措施，难以抵御未知威胁，在未知威胁层出不穷、0day攻击难以防范、监管追责日趋严厉的信息化新趋势下，服务器数据存储面临着数据库注入攻击、文件管理混乱、行为记录缺损等风险，一旦发生数据泄露，将给企业和民众造成无法估量的损失。

近年我国网络安全事件频发，国家及企业层面的信息安全威胁不断提升，国家网络安全政策也随之密集出台，我国网络安全相关政策布局正在不断提速，腾讯生态安全中心2019年发布的《中国产业互联网安全发展研究报告》显示，截至2018年，国家22部委出台法律法规近200部，促进产业互联网安全发展，与此同时，地方政府也在加大网络安全产业扶植力度，例如北京市正在加快推进国家网络安全产业园建设，天津市则将推进网络安全产业、保障数据安全列为天津市发展数字经济的重要方向之一，《报告》预计两年内，中国网络安全将形成千亿市场，而面对已经攻入模块的入侵者，如何能快速发现并处置，进而保障业务的安全稳定至关重要。

零信任(Zero Trust，ZT)提供了一系列概念和思想，在假定网络环境已经被攻陷的前提下，当执行信息模块和服务中的每次访问请求时，降低其决策准确度的不确定性，零信任架构(ZTA)则是一种企业网络安全的规划，它基于零信任理念，围绕其组件关系、工作流规划与访问策略构建而成，零信任网络逻辑体系由策略判决、策略执行、监测模块、风险分析模块、数据访问策略、身份管理模块、设备管理模块、安全管理模块以及证书模块等组成。

随着高级威胁和内部风险层出不穷,云计算、大数据、移动互联网的飞速发展，远程办公、企业异地分支等的大量应用，网络边界的物理界限越来越模糊，另外,传统网络的安全短板日益明显，其内部威胁是造成数据泄露的第二大原因，它要企业根据户、户所处位置和其他数据等条件。

发明内容

本发明提供了一种零信任架构中证书分发方法，具备利用微隔离和细粒度边界规则来确定是否信任请求企业特定范围访问权的用户/主机/应用，维护了网络安全的优点，解决了随着高级威胁和内部风险层出不穷,云计算、大数据、移动互联网的飞速发展，远程办公、企业异地分支等的大量应用，网络边界的物理界限越来越模糊，另外,传统网络的安全短板日益明显，其内部威胁是造成数据泄露的第二大原因，它要企业根据户、户所处位置和其他数据等条件的问题。

本发明提供如下技术方案：一种零信任架构中证书分发方法，所述零信任架构中，零信任网络架构由策略判决、策略执行、监测模块、风险分析模块、数据访问策略、身份管理模块、设备管理模块、安全管理模块以及证书模块等组成，当主体对客体的访问服务请求是否通过,由策略判决模块完成，并将判决结果告知策略执行模块，由策略执行模块决定访问通道是否打开或关闭，策略判决模块可分为策略引擎和策略管理两部分，策略引擎负责通过信任算法进行信任评分，进过精密计算达标后将进行对用户进行证书分发。

优选的，所述信任算法运用区块链技术，构建数据交易模式框架，关键数据审计和将会存储平台，可追溯实现对每一笔交易，实现各交易主体之间的精准结算，实现数据从生产到使用全生命周期信息的客观存证与追溯。