[发明专利]一种基于USB-Key和ZT-IAM的零信任网络访问控制方法

权利要求书

1.一种基于USB-Key和ZT-IAM的零信任网络访问控制方法，其特征在于：所述基于USB-Key和ZT-IAM的零信任网络访问控制方法包括准备阶段、签名阶段、令牌请求阶段、授权阶段、操作请求阶段，准备阶段包括以下步骤：

(1)确定请求方式和令牌请求地址；

(2)按照所需权限确定角色，按照操作内容确定事由；

(3)以终端为权威确定时间戳；

(4)通过可信服务模块接口将步骤(1)至(3)的键值对发送至USB-Key；

所述签名阶段包括以下步骤：

(5)USB-Key加载TCM非易失存储器内部的AccessKeyId、Version、SignatureMethod等；

(6)USB-Key调用TCM随机数产生器作为SignatureNonce的值的基数；

(7)将步骤(4)至(6)得到的键值对进行组合及排序，形成原始字典；

(8)将步骤(7)形成的原始字典依次进行排序、字典编码、字符串编码，形成消息；

(9)USB-Key加载TCM非易失存储器内部的AccessKeySecret；

(10)以步骤(8)形成的消息为消息，以步骤(9)加载的AccessKeySecret为密钥，以步骤(5)加载的SignatureMethod的值为算法，在TCM可信计算区的杂凑算法单元进行哈希计算及Base64编码得到Signature；

所述令牌请求阶段包括以下步骤：

(11)将步骤(10)所得Signature键值对添加至步骤(7)所述原始字典的任意位置，形成参数字典；

(12)将步骤(11)所述参数字典返回至App，App将该字典的QueryString格式的字符串作为https请求的参数，发至令牌请求地址；

所述授权阶段包括以下步骤：

(13)令牌服务从App发起的请求中解析请求方式、令牌请求地址和参数字典；

(14)以步骤(13)所述参数字典中的AccessKeyId为索引查找相应AccessKeySecret；

(15)重复步骤(8)生成消息，以步骤(14)所述AccessKeySecret为密钥，进行哈希计算及Base64编码得到Signature；

(16)步骤(15)与步骤(13)所述参数字典中的Signature校验，如一致，根据步骤(23)所述的提取出的参数字典中解析出的角色签发临时身份sts.AccessKeyId、临时密钥sts.AccessKeySecret和临时令牌token，返回给App；

所述操作请求阶段包括以下步骤：

(17)重复步骤(1)(5)至(11)计算用于请求操作的参数字典，并在用于请求操作的参数字典中填入操作动作Action，在请求操作的URL中将原有认证信息替换为步骤(16)所述临时身份信息，发送至操作服务；

(18)操作服务转发参数字典进行核验，如通过执行操作，否则记入日志。