[发明专利]一种基于USB-Key和ZT-IAM的零信任网络访问控制方法

说明书

本发明公开了一种基于USB‑Key和ZT‑IAM的零信任网络访问控制方法，涉及网络技术领域，该基于USB‑Key和ZT‑IAM的零信任网络访问控制方法通过USB‑Key进行Signature，改进了旧方法中在App的代码中或者服务器的环境变量中存储账号和密钥、并在非可信设备内计算Signature的思路，该步骤的引入的实质是把账号和密钥内置入USB‑Key，并在片上系统(SoC)的固件代码中完成Signature，从而大大提高了安全性。

技术领域

本发明涉及网络技术领域，特别涉及一种基于USB-Key和ZT-IAM的零信任网络访问控制方法。

背景技术

访问控制方法分为认证和鉴权两部分，一般流程为：输入口令进行认证，进而通过ACL获取相应授权。PKI和MFA是对口令认证的改进，能够增强认证的安全性避免口令被窃取。RBAC是对ACL鉴权的改进，通过对用户指派角色，将用户与权限解耦以简化权限管理，它的缺点是权限以角色为载体分配，无法对某一角色下的用户进行权限定制(如获取其他角色的部分权限或去除当前角色的部分权限)。Oauth2.0协议则是一个开放的认证标准，可避免诸如网络服务商之类的第三方触及用户的账号信息。

零信任在NIST《零信任架构标准》中定义，颠覆了“组织网络内的所有事物都应受到信任”的传统安全模型，认为“不能信任出入网络的任何内容”，主要因为数字化转型和云计算推动的业务生态无形中扩大了可攻击面，以传统安全技术(防火墙和VPN)构建的组织边界无法阻挡不断向企业内部渗透的威胁，组织边界本身也在云业务场景下瓦解。在NIST《零信任架构标准》白皮书中列举了3个技术方案，软件定义边界(SDP)、身份权限管理(IAM)、微隔离(MSG)。

公有云领域目前广泛使用了IAM，包括亚马逊AWS的IAM(Identity and AccessManagement)、阿里云ACS的RAM(Resource and Access Management) 等，此类方法采用最小权限原则(Grant Least Privilege)，由实体 (Identity)操作(Action)资源(Resource)、角色(Role)构成策略 (Policy)，策略绑定角色，角色关联(Assumed)用户。应用或服务也可以和用户一样成为可信实体，均按照Oauth2.0协议向STS发起签名请求以获取动态令牌，从而取得临时权限以操作相应资源。

但在上述方法中，用户、应用和服务的密钥(OAUTH_consumer_secret) 一般保存在App的代码中或者服务器的环境变量中，属于不可信的环境，存在被窃取的风险。此外，在开发服务外包的场景下，密钥 (OAUTH_consumer_secret)必须共享给第三方开发者，无法监管是否外泄；而账号(OAUTH_consumer_key)在服务接口不使用HTTPS的情况下，则是直接在网络上以明文方式发送的，受链路安全的制约。

发明内容

本发明所要解决的技术问题是提供一种基于USB-Key和ZT-IAM的零信任网络访问控制方法，通过USB-Key进行Signature，改进了旧方法中在App的代码中或者服务器的环境变量中存储账号和密钥、并在非可信设备内计算Signature的思路，该步骤的引入的实质是把账号和密钥内置入 USB-Key，并在片上系统(SoC)的固件代码中完成Signature，从而大大提高了安全性。

为实现上述目的，本发明提供以下的技术方案：

该基于USB-Key和ZT-IAM的零信任网络访问控制方法包括准备阶段、签名阶段、令牌请求阶段、授权阶段、操作请求阶段。

准备阶段包括以下步骤：

(1)确定请求方式和令牌请求地址；

(2)按照所需权限确定角色，按照操作内容确定事由；

(3)以终端为权威确定时间戳；