[发明专利]设备通信方法、装置、系统、介质和电子设备

说明书

本公开实施例公开了一种基于零信任的设备通信方法、装置、系统、介质和电子设备，发送节点拦截所有网络流量数据；当检测到网络流量数据中出现网络访问请求时，获取与网络访问请求相关的属性信息；将格式转化后的属性信息传送至网关设备。网关设备向认证授权服务器上传携带属性信息的认证授权请求；当接收认证授权服务器反馈的认证授权结果时，向发送节点以及目的节点下发包括发送节点的IP地址、目的节点的IP地址、发送节点的端口、目的节点的端口以及传输层协议号的安全策略。发送节点和目的节点根据网关设备反馈的安全策略，可以在零信任的网络环境下完成安全隧道的建立，在零信任的网络环境下实现节点设备的交互。

技术领域

本公开涉及信息安全技术领域，具体地，涉及一种基于零信任的设备通信方法、装置、系统、计算机可读存储介质和电子设备。

背景技术

互联网安全协议(Internet Protocol Security，IPSec)是一种开放标准的框架结构，通过在通信双方之间建立基于密码技术的安全隧道，以确保在互联网安全协议网络上进行保密而安全的通讯。密钥交换(Internet Key Exchange，IKE)协议解决在Internet等不安全的网络环境中安全的建立或更新共享密钥的问题。

虚拟专用网络(Virtual Private Network，VPN)指的是在公用网络上建立专用网络的技术，它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。采用IPSec和IKE协议的VPN称为IPSec VPN。

零信任安全(Zero Trust)是一种网络安全架构和安全概念，是以身份为中心进行网络动态访问控制。其中心思想是不应信任网络内外部的任何用户/设备/应用/流量等，对任何网络访问行为都应该基于认证和授权重构访问控制的信任基础。

传统的IPSec VPN设备一般作为边界安全解决方案的重要组成部分，保障数据传输通道的机密性和完整性，并且具备一定的抗重放和抗流量分析攻击能力。IPSec隧道所保护的通信双方一般认为是处于受信任的内部网络，可以进行安全通信。而对于零信任这种以身份为中心的网络动态访问控制环境，内部网络和外部网络没有明确的边界，信任关系是动态变化的，IPSec VPN设备所构建的安全隧道不能再视为可信任的安全环境，传统的IPSec VPN设备及其部署使用方式都不再适应零信任的网络环境。

可见，如何在零信任的网络环境下实现IPSec VPN设备的交互，是本领域技术人员需要解决的问题。

发明内容

本公开实施例的目的是提供一种基于零信任的设备通信方法、装置、系统、计算机可读存储介质和电子设备，可以在零信任的网络环境下实现IPSec VPN设备的交互。

为了实现上述目的，本公开提供一种基于零信任的设备通信方法，包括：

拦截所有网络流量数据；

当检测到所述网络流量数据中出现网络访问请求时，获取与所述网络访问请求相关的属性信息；

将格式转化后的属性信息传送至网关设备；

根据所述网关设备反馈的安全策略，建立与目的节点的安全隧道；其中，所述安全策略由所述网关设备接收到认证授权服务器对所述属性信息通过安全认证后反馈的认证授权结果时设置得到；所述安全策略包括发送节点的IP地址、目的节点的IP地址、发送节点的端口、目的节点的端口以及传输层协议号。

可选地，所述将格式转化后的属性信息传送至网关设备包括：

按照预先设定的认证协议，将所述属性信息格式化为属性值对；

基于可扩展认证协议，将所述属性值对通过虚拟隧道传送至所述网关设备。

可选地，在所述根据所述网关设备反馈的安全策略，建立与目的节点的安全隧道之后还包括：