基于安全访问服务边缘的管理系统的制作方法

1.本发明涉及网络安全技术领域，具体而言，涉及一种基于安全访问服务边缘的管理系统。


背景技术：

2.由于企业网络云化发展趋势和社会环境等因素的影响，企业内大量数据和应用都搬迁到了云上。云计算和边缘化趋势让越来越多的企业计划更改其网络接入和网络安全架构，各种孤立的安全产品和解决方案难以解决企业的实际需求。尤其是大型企业，分支流量急速增大和访问路径变化使得分支用户的体验变得难以忍受。例如，远程办公、视频会议等在提升分支访问总部、云端的体验的同时，也带来了一系列的运维问题和分支安全需求以及运维责任，其不仅会面临错综复杂的网络环境和应用关系，还需要对访问对象(例如应用)进行针对性的识别、管理和调度，传统的虚拟专用网络vpn系统已不堪重负，无法满足相关的安全需求。


技术实现要素：

3.本发明旨在解决现有的网络架构以无法满足安全需求的问题。
4.为了解决上述技术问题，本发明的第一方面提出了一种基于安全访问服务边缘的管理系统，包括：安全访问服务边缘sase管控平台，其配置成响应客户端发送的认证请求，确定关于所述客户端和其访问对象的安全控制策略和路由策略，并将所述安全控制策略和所述路由策略发送至sase网关；以及所述sase网关，其配置成基于所述安全控制策略和所述路由策略，对所述客户端与所述访问对象之间的交互信息进行安全管理。
5.在一个实施例中，其中所述sase管控平台在确定所述安全控制策略和路由策略过程中，具体执行以下操作：从所述认证请求提取出目标认证信息；将所述目标认证信息与预配置的认证信息进行匹配，以得到匹配结果；以及根据所述匹配结果，确定所述安全控制策略和路由策略。
6.在一个实施例中，其中所述sase网关包括：第一网关，其配置成对所述客户端和所述客户端发送的交互信息进行安全管理；以及第二网关，其与所述第一网关连通，并配置成对所述访问对象和所述访问对象发送的交互信息进行安全管理。
7.在一个实施例中，其中所述第一网关在进行安全管理过程中，具体执行以下操作：对所述客户端进行安全验证；响应于所述客户端通过安全验证，采用第一目标加密套件对所述客户端发送的交互信息进行加密，以得到第一加密信息，并将所述第一加密信息发送至所述第二网关；响应于接收到所述第二网关发送的第二加密信息，对所述第二加密信息进行解析处理，以得到关于所述第二加密信息的原始信息；以及响应于所述客户端再次通过安全验证，将关于所述第二加密信息的原始数据发送至所述客户端。
8.在一个实施例中，其中所述第二网关在进行安全管理过程中，具体执行以下操作：响应于接收到所述第一网关发送的所述第一加密信息，对所述第一加密信息进行解析处
理，以得到关于所述第一加密信息的原始信息发送至访问对象；响应于接收到所述访问对象发送的交互信息，对所述访问对象和其发送的交互信息分别进行安全验证；响应于所述访问对象和其发送的交互信息均通过安全验证，采用第二目标加密套件对所述访问对象发送的交互信息进行加密，以得到所述第二加密信息，并将所述第二加密信息发送至所述第一网关。
9.在一个实施例中，其中所述第一目标加密套件和所述第二目标加密套件包括经由所述第一网关和所述第二网关通过密钥协商所确定的国密加密套件。
10.在一个实施例中，其中所述sase网关还配置成记录对所述客户端和所述访问对象的管理日志，并将所述管理日志发展至所述sase管控平台；以及所述sase管控平台还配置成根据所述管理日志选择性地发出预警。
11.通过上述技术方案，构建sase管控平台和sase网关的网络架构，并通过sase管控平台来确定关于客户端和其访问对象的安全控制策略和路由策略，且将其下沉至相关的sase网关，以由sase网关根据安全控制策略和路由策略对客户端、访问对象和其之间的交互信息进行安全管理。可以看出，本发明的方案以精简的sase网络架构实现对网络链路中多个对象(包括客户端和访问对象)的有效管理，以满足安全性的设计需求。另外，在一些实施例中，sase网关还可以通过国密加密套件对客户端和访问对象之间的交互进行加解密传输，进一步提高了数据传输的安全性。
附图说明
12.为了使本发明所解决的技术问题、采用的技术手段及取得的技术效果更加清楚，下面将参照附图详细描述本发明的具体实施例。但需声明的是，下面描述的附图仅仅是本发明本发明示例性实施例的附图，对于本领域的技术人员来讲，在不付出创造性劳动的前提下，可以根据这些附图获得其他实施例的附图。
13.图1示出了根据本发明的一个实施例的基于安全访问服务边缘的管理系统的架构图；以及
14.图2示出了根据本发明的另一个实施例的基于安全访问服务边缘的管理系统的架构图。
具体实施方式
15.现在将参考附图更全面地描述本发明的示例性实施例。然而，示例性实施例能够以多种形式实施，且不应被理解为本发明仅限于在此阐述的实施例。相反，提供这些示例性实施例能够使得本发明更加全面和完整，更加便于将发明构思全面地传达给本领域的技术人员。
16.图1示出了根据本发明的一个实施例的基于安全访问服务边缘的管理系统100的架构图。本发明上下文中的安全访问服务边缘(sase)是一种基于实体的身份、实时上下文、企业安全合规策略，以及在整个会话中持续评估风险信任的服务，且实体的身份可与人员、人员组(分支办公室)、设备、应用、服务、物联网系统或边缘计算场地相关联。
17.该管理系统100可以包括sase管控平台101和sase网关102。其中，sase管控平台102可以配置成响应客户端发送的认证请求，确定关于客户端和其访问对象的安全控制策
略和路由策略，以及将该安全控制策略和路由策略发送至sase网关102。在一些实施例中，前述的认证请求可以包括客户端的用户信息、ip地址、mac地址以及需要访问的访问对象的相关信息等信息，可以经由客户端对这些信息进行封装并发送至sase管控平台101。这里对认证请求的内容和生成过程的描述仅是示例性说明。
18.而sase网关102可以配置成基于该安全控制策略和路由策略，对客户端、访问对象以及两者之间的交互信息进行安全管理。需要说明的是，客户端的访问对象可以包括应用或服务器等。可以看出，本发明的方案通过构建sase管控平台和sase网关的网络架构，由sase管控平台来确定关于客户端和其访问对象的安全控制策略和路由策略，且将其下沉至相关的sase网关，以由sase网关根据安全控制策略和路由策略对客户端、访问对象和其之间的交互信息进行安全管理。从而实现以精简的sase网络架构对网络链路中多个对象(包括客户端和访问对象)的有效管理，满足了安全性的设计需求。
19.图2示出了根据本发明的另一个实施例的基于安全访问服务边缘的管理系统200的架构图。需要说明的是，图2可以理解为是对图1中管理系统的一种示例性应用。因此，前文结合图1的相关描述同样也适用于下文。另外，图2中还展示了客户端和作为访问对象的目标应用以便更清楚地说明本发明的方案。
20.具体地，管理系统200可以包括sase管控平台和作为sase网关的第一网关和第二网关。其中，sase管控平台可以从客户端发送的认证请求提取出目标认证信息，并将目标认证信息与预配置的认证信息进行匹配以得到匹配结果，以及根据匹配结果来确定安全控制策略和路由策略。而第一网关可以对客户端和客户端发送的交互信息进行安全管理。具体地，客户端对客户端进行安全验证；响应于客户端通过安全验证，可以采用第一目标加密套件对客户端发送的交互信息进行加密，以得到第一加密信息，并将第一加密信息发送至第二网关；响应于接收到第二网关发送的第二加密信息，可以对第二加密信息进行解析处理，以得到关于第二加密信息的原始信息；以及响应于客户端再次通过安全验证，可以将关于第二加密信息的原始数据发送至客户端。
21.第二网关可以对访问对象(例如目标应用)和访问对象发送的交互信息进行安全管理。具体地，响应于接收到前述第一网关发送的第一加密信息，可以对第一加密信息进行解析处理，以得到关于第一加密信息的原始信息发送至访问对象；响应于接收到访问对象发送的交互信息，可以对访问对象和其发送的交互信息分别进行安全验证；响应于访问对象和其发送的交互信息均通过安全验证，可以采用第二目标加密套件对访问对象发送的交互信息进行加密，以得到第二加密信息，并将第二加密信息发送至第一网关。
22.如图2所述，在步骤s1处，管理员可以在sase管控平台上配置客户端的相关认证信息。具体地，在该管理系统200中，安全控制策略可以以客户端的用户身份为中心，并由用户身份所驱动。管理员可以配置用户的角色、设备型号、ip地址、mac地址、访问权限、路由信息、能访问应用权限信息等。这些数据可由sase管控平台下发到sase网关中去。
23.接着，在步骤s2处，可以通过客户端向sase管控平台发起认证请求。具体地，可以将用户身份、ip地址、mac地址、证书以及需要访问的应用等信息封装成认证请求后发送给sase管控平台。接着，在步骤s3处，可以对客户端进行安全验证。具体地，sase管控平台可以将客户端发送的认证信息与之前管理员配置的认证信息进行比对，包括用户身份、设备型号、ip地址、mac地址、访问应用信息进行比较。如果各类信息均相同则通过安全验证。然后，
可以将路由策略下发到sase网关中去。反之，则不通过安全验证。另外，sase管控平台还可以针对第一网关和第二网关的异常记录分别发出预警。
24.接着，在步骤s4处，sase管控平台可以将安全控制策略和路由策略发送至第一网关和第二网关。具体地，sase管控平台经过对客户端的安全验证后，可以将客户端的应用访问权限级别、路由选择等信息下发给第一网关和第二网关。由此，sase管控平台通过采用最低权限策略以执行严格的访问控制，从而有效控制客户端与目标应用的交互(包括应用访问、用户身份以及被访问的数据等)。
25.接着，在步骤s5处，可以向第一网关发送客户端的交互信息。具体地，客户端根据自身的用户身份、访问权限、需要访问的目标应用以及目标应用的数据，向第一网关发起相关数据请求。第一网关根据sase管控平台下发的用户身份、用户对应用访问权限、路由规则、设备型号、ip/mac地址、访问应用数据权限对客户端发送的相关信息进行验证。
26.通过验证后，第一网关会接收客户端发送的交互数据，并对数据进行检测。具体地，可以包括根据sase管控平台下发的安全控制策略，并结合指定的文件检测工具对这些交互数据进行文件过滤和恶意软件检测。检测通过后会执行步骤s6，并进行日志记录。若检测不通过，则进行日志记录，并上报sase管控平台。
27.接着，在步骤s6处，第一网关对客户端的交互信息进行加密。具体地，可以通过第一网关与第二网关之间协商的目标加密套件进行加密操作。首先，第一网关向第二网关发送client hello(例如可以包括client random+session id+cipher suites)。其中，cipher suites是支持的加密套件列表。第二网关获取到该client hello后，会查看session id是否在自己的识别列表中。如果在，则返回client random，要求使用已有密钥进行传输。如果不在，则将整个server hello以一个tcp包(server random+cipher suite+certificate)返回，要求进行密钥协商。接着，第一网关接收到server hello，如果要求使用已有密钥进行通信，则发送change cipher(exist key(server random))，然后就可以直接使用加密套件进行加密，然后发送数据。如果是进行密钥协商，则查看证书是否有问题(比如格式、有效期、签名者是否是受信任ca)，并确定没问题则取出服务器选中的加密套件，然后将一个随机数使用公钥加密发送到第二网关。
28.其中，所涉及的加密套件可以采用sm4国密加密套件。sm4国密算法是一种分组密码算法，分组长度为128bit，密钥长度也为128bit。加密算法与密钥扩展算法均可以采用32轮非线性迭代结构，sm4算法加/解密算法的结构相同，只是使用轮密钥相反，其中解密轮密钥是加密轮密钥的逆序。当第一网关准备向第二网关发送数据时，会先使用公钥进行加密。数据加密完成后，则直接将加密好的数据发送到第二网关。第二网关根据协商好的密钥，可以使用加密套件进行解密运算。其中，解密时使用的轮密钥顺序与加密时正好相反。例如，解密时使用的轮密钥顺序可以为(rk31,rk30
…
rk0)。密钥加密明文输入为(x0,x1,x2,x3)∈(z232)4，密文输出(y0,y1,y2,y3)∈(z232)4。
29.接着，在步骤s7处，第二网关可以向目标应用转发客户端的交互信息。具体地，第二网关接收到change cipher后，就可以切换到解密模式，以等待接收客户端发送的数据并使用公钥对其进行解密,同时可以将session id添加到信任列表中。例如，第二网关在接收到客户端传来的数据后，首先会按照特定解密协议进行解密操作，以得到原数据。然后，第二网关根据sase管控平台下发的用户身份、用户对应用访问权限、路由规则、设备型号、ip/
mac地址、访问应用数据权限等信息，对客户端发送的相关信息进行安全验证。验证通过后，第二网关可以将客户端的交互信息(例如对目标应用的访问请求)转发至目标应用。
30.接着，在步骤s8处，目标应用可以向第二网关返回交互信息。具体地，第二网关接收到目标应用回包时也会对目标应用进行认证。例如，可以通过目标应用设备ip、mac以及证书等相关认证信息确定数据源可靠。同时接收到目标应用回包后，可以对回包进行文件过滤(包括文件扩展名等信息)以及通过文件识别工具同时对回包进行扫描，以确保不会发生机密文件泄露。如果检测文件属于机密文件或者文件无法识别、文件损坏等情况，第二网关可以向sase管控平台发出预警。
31.接着，在步骤s9处，第二网关可以对目标应用的交互信息进行加密。具体地，具体地，可以通过第一网关与第二网关之间协商的目标加密套件进行加密操作。首先，第二网关向第一网关发送client hello(例如可以包括client random+session id+cipher suites)。其中，cipher suites是支持的加密套件列表。第一网关获取到该client hello后，会查看session id是否在自己的识别列表中。如果在，则返回client random，要求使用已有密钥进行传输。如果不在，则将整个server hello以一个tcp包(server random+cipher suite+certificate)返回，要求进行密钥协商。接着，第一网关接收到server hello，如果要求使用已有密钥进行通信，则发送change cipher(exist key(server random))。然后就可以直接使用加密套件进行加密，然后发送数据。如果是进行密钥协商，则查看证书是否有问题(比如格式、有效期、签名者是否是受信任ca)，并确定没问题则取出服务器选中的加密套件，然后将一个随机数使用公钥加密发送到第一网关。
32.密钥协商完成后，开始对数据进行加密。首先，进行轮函数运算，本算法可以采用非线性迭代结构，以字为单位进行加密运算，可以称一次迭代运算为一轮变换。假设，输入为(x0,x1,x2,x3)∈(z232)4，轮密钥为rk∈z232，则论函数f为：f(x0,x1,x2,x3,rk)＝x0
⊕
t(x1
⊕
x2
⊕
x3
⊕
rk)。然后，进行合成置换t。其中，t变换是一个可逆变换，由非线性变换τ和线性变换l复合而成，即t(.)＝l(τ(.))。其中，轮密钥由加密密钥通过密钥扩展算法生成，设加密密钥为mk，mk＝(mk0,mk1,mk2,mk3)∈(z232)4。轮密钥的生成方法为rki＝ki+4＝ki
⊕
t’(ki+1
⊕
ki+2
⊕
ki+3
⊕
cki)，其中，i＝0，1，
…
，31。加密完成后，可以发送到第一网关。
33.接着，在步骤s10处，第一网关可以将目标应用的交互信息转发至客户端。其中，所涉及的加密套件可以采用sm4国密加密套件。sm4算法是一种分组密码算法，分组长度为128bit，密钥长度也为128bit。加密算法与密钥扩展算法均采用32轮非线性迭代结构，sm4算法加/解密算法的结构相同，只是使用轮密钥相反，其中解密轮密钥是加密轮密钥的逆序。当第一网关准备向第二网关发送数据时，会先使用公钥进行加密。数据加密完成后，则直接将加密好的数据发送到第二网关。第二网关根据协商好的密钥，使用加密套件进行解密运算，解密时使用的轮密钥顺序与加密时正好相反。例如，解密时使用的轮密钥顺序可以为(rk31,rk30
…
rk0)，密文输入为(y0,y1,y2,y3)∈(z232)4，明文输出为(x0,x1,x2,x3)∈(z232)4。第一网关接收到第二网关的解密完成后，会先对客户端进行再次认证(具体认证过程可以和首次身份认证内容相同)。再次认证成功后，会将解密完成的数据发送给客户端。
34.通过上述技术方案，以精简的sase网络架构实现对网络链路中多个对象(包括客户端和访问对象)的有效管理，以满足安全性的设计需求。
35.以上所述的具体实施例，对本发明的目的、技术方案和有益效果进行了进一步详细说明，应理解的是，本发明不与任何特定计算机、虚拟装置或者电子设备固有相关，各种通用装置也可以实现本发明。以上所述仅为本发明的具体实施例而已，并不用于限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。