申请/专利权人：明阳点时科技(沈阳)有限公司

申请日：2024-01-24

公开（公告）日：2024-03-22

公开（公告）号：CN117614752B

主分类号：H04L9/40

分类号：H04L9/40;H04L61/5007;H04L101/659

优先权：

专利状态码：有效-授权

法律状态：2024.03.22#授权;2024.03.15#实质审查的生效;2024.02.27#公开

摘要：本发明公开一种双层零信任企业生产网安全自组网方法及系统，其中，所述系统包括第一层零信任管理平台、第二层零信任管理平台、服务端Server和已有节点Nodealready，第一层零信任管理平台、第二零信任管理平台分别与服务端Server和已有节点Nodealready通信连接，服务端Server与已有节点Nodealready通信连接，其中，至少一个已有节点Nodealready安装有入网客户端Client2。本发明通过零信任与自组网结合，构建安全自组网，增加了网络通信的灵活性和异构。

主权项：1.一种双层零信任企业生产网安全自组网方法，其特征在于，新接入节点Nodenew接入企业生产网时，通过如下步骤实现自组网：S000）在新接入节点Nodenew上安装入网客户端Client，如果新接入节点Nodenew上可以安装入网客户端Client1，则跳转至步骤S101）继续执行，反之，则跳转至步骤S201）执行；其中，入网客户端Client1为新接入节点Nodenew开辟可信执行环境，并在开辟可信执行环境执行钩子程序；S101）在新接入节点Nodenew上安装入网客户端Client1后，新接入节点Nodenew通过入网客户端Client1向第一层零信任管理平台发起安全认证请求Request1，所述安全认证请求Request1中携带有新接入节点Nodenew的基本信息，新接入节点Nodenew的基本信息包括MAC地址、设备类型、使用者验证信息、使用者角色和所在网络；S102）第一层零信任管理平台根据安全认证请求Request1对新接入节点Nodenew进行安全认证，验证通过，则为新接入节点Nodenew下发IPv6地址、业务表、所属网域、时戳、所属级别和管理级别，并同时根据第一层零信任管理平台为新接入节点Nodenew下发的IPv6地址和新接入节点Nodenew基本信息生成唯一一条零信任安全控制表并存储在第一层零信任管理平台，且入网客户端Client1将业务表、所属网域、时戳、所属级别和管理级别存储在入网客户端Client1的可信执行环境内，将针对新接入节点Nodenew经由入网客户端Client1的访问的防火墙设置设置为允许访问，反之，向新接入节点Nodenew发送安全认证不通过的消息；其中，第一层零信任管理平台为新接入节点Nodenew下发的IPv6地址在企业生产网中具有唯一性，第一层零信任管理平台为新接入节点Nodenew下发的业务表、所属网域、时戳、所属级别和管理级别相对于新接入节点Nodenew而言均具有唯一性；防火墙为安装设置在新接入节点Nodenew上的防火墙或单独设置的防火墙或安装设置在第二层零信任管理平台上的防火墙；S103）通过认证后，新接入节点Nodenew通过入网客户端Client1向第二层零信任管理平台发送身份认证请求Request2，身份认证请求Request2携带有新接入节点Nodenew的基本信息和第一层零信任管理平台分配给新接入节点Nodenew的IPv6地址；S104）第二层零信任管理平台根据身份认证请求Request2向新接入节点Nodenew下发身份标识和认证参数P1，认证参数P1包括公钥矩阵、新接入节点Nodenew组合公钥和新接入节点Nodenew私钥，入网客户端Client1将公钥矩阵和新接入节点Nodenew私钥存放在入网客户端Client1的可信执行环境内；S105）新接入节点Nodenew通过入网客户端Client1向服务端Server发起服务请求RequestS1，所述服务请求RequestS1中需带有源IP地址、目标IP地址和第二层零信任管理平台向新接入节点Nodenew下发的身份标识与组合公钥，以及由入网客户端Client1中可信执行环境输出的加密签名信息；其中，在服务请求RequestS1中，源IP地址是第一层零信任管理平台向新接入节点Nodenew下发的IPv6地址，目的IP地址是第一层零信任管理平台向服务端Server下发的IPv6地址；S106）服务端Server对新接入节点Nodenew进行验证，验证通过后，新接入节点Nodenew与服务端Server建立连接并进行通信；S201）新接入节点Nodenew通过已组网接入企业生产网且已安装有入网客户端Client2的已有节点Nodealready接入企业生产网并通过入网客户端Client2向第一层零信任管理平台发送安全认证请求Request3，安全认证请求Request3中携带有新接入节点Nodenew的基本信息、已有节点Nodealready的基本信息和第一层零信任管理平台为已有节点Nodealready下发的IPv6地址，新接入节点Nodenew的基本信息与步骤S101中的新接入节点Nodenew的基本信息相同，已有节点Nodealready的基本信息包括MAC地址、设备类型、使用者验证信息、使用者角色和所在网络；其中，入网客户端Client1和入网客户端Client2为同一种入网客户端Client；S202）第一层零信任管理平台根据安全认证请求Request3对新接入节点Nodenew进行安全认证，验证通过，则为新接入节点Nodenew下发IPv6地址、业务表、所属网域、时戳、所属级别和管理级别，且新接入节点Nodenew通过入网客户端Client2接收第一层零信任管理平台下发的IPv6地址、业务表、所属网域、时戳、所属级别和管理级别，并同时根据第一层零信任管理平台为新接入节点Nodenew下发的IPv6地址、新接入节点Nodenew基本信息、已有节点Nodealready的基本信息和第一层零信任管理平台为已有节点Nodealready下发的IPv6地址生成唯一一条零信任安全控制表并存储在第一层零信任管理平台，且入网客户端Client2将业务表、所属网域、时戳、所属级别和管理级别存储在入网客户端Client2的可信执行环境内，将针对新接入节点Nodenew经由入网客户端Client2的访问的防火墙设置设置为允许访问，反之，向新接入节点Nodenew发送安全认证不通过的消息；其中，第一层零信任管理平台为新接入节点Nodenew下发的IPv6地址在企业生产网中具有唯一性，第一层零信任管理平台为新接入节点Nodenew下发的业务表、所属网域、时戳、所属级别和管理级别相对于新接入节点Nodenew而言均具有唯一性；防火墙为安装设置在已有节点Nodealready上的防火墙或单独设置的防火墙或安装设置在第二层零信任管理平台上的防火墙；S203通过认证后，新接入节点Nodenew通过入网客户端Client2向第二层零信任管理平台发送身份认证请求Request4，身份认证请求Request4携带有新接入节点Nodenew的基本信息、已有节点Nodealready的基本信息和第一层零信任管理平台为新接入节点Nodenew下发的IPv6地址；S204）第二层零信任管理平台根据身份认证请求Request4向新接入节点Nodenew下发身份标识和认证参数P2，认证参数P2包括公钥矩阵、新接入节点Nodenew组合公钥和新接入节点Nodenew私钥，入网客户端Client2将公钥矩阵和新接入节点Nodenew私钥存放在入网客户端Client2的可信执行环境内；S205）新接入节点Nodenew通过入网客户端Client2向服务端Server发起服务请求RequestS2，所述服务请求RequestS2中需带有源IP地址、目标IP地址和第二层零信任管理平台向新接入节点Nodenew下发的身份标识与组合公钥，以及由入网客户端Client2中可信执行环境输出的加密签名信息；其中，在服务请求中RequestS2，源IP地址是第一层零信任管理平台向新接入节点Nodenew下发的IPv6地址，目的IP地址是第一层零信任管理平台向服务端Server下发的IPv6地址；S206）服务端Server对新接入节点Nodenew进行验证，验证通过后，新接入节点Nodenew与服务端Server建立连接并进行通信。

全文数据：

权利要求：

百度查询： 明阳点时科技(沈阳)有限公司 一种双层零信任企业生产网安全自组网方法及系统

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD