(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113591061A(43)申请公布日2021.11.02(21)申请号202110767643.9(22)申请日2021.07.07(71)申请人杜东璧地址100741北京市东城区东长安街14号集体(72)发明人杜东璧(74)专利代理机构北京汇捷知识产权代理事务所(普通合伙)11531代理人盛君梅(51)Int.Cl.G06F21/34(2013.01)G06F21/64(2013.01)G06F21/77(2013.01)H04L29/06(2006.01)权利要求书1页说明书7页附图1页(54)发明名称一种基于USB-Key和ZT-IAM的零信任网络访问控制方法(57)摘要本发明公开了一种基于USB‑Key和ZT‑IAM的零信任网络访问控制方法，涉及网络技术领域，该基于USB‑Key和ZT‑IAM的零信任网络访问控制方法通过USB‑Key进行Signature，改进了旧方法中在App的代码中或者服务器的环境变量中存储账号和密钥、并在非可信设备内计算Signature的思路，该步骤的引入的实质是把账号和密钥内置入USB‑Key，并在片上系统(SoC)的固件代码中完成Signature，从而大大提高了安全性。CN113591061ACN113591061A权利要求书1/1页1.一种基于USB‑Key和ZT‑IAM的零信任网络访问控制方法，其特征在于：所述基于USB‑Key和ZT‑IAM的零信任网络访问控制方法包括准备阶段、签名阶段、令牌请求阶段、授权阶段、操作请求阶段，准备阶段包括以下步骤：(1)确定请求方式和令牌请求地址；(2)按照所需权限确定角色，按照操作内容确定事由；(3)以终端为权威确定时间戳；(4)通过可信服务模块接口将步骤(1)至(3)的键值对发送至USB‑Key；所述签名阶段包括以下步骤：(5)USB‑Key加载TCM非易失存储器内部的AccessKeyId、Version、SignatureMethod等；(6)USB‑Key调用TCM随机数产生器作为SignatureNonce的值的基数；(7)将步骤(4)至(6)得到的键值对进行组合及排序，形成原始字典；(8)将步骤(7)形成的原始字典依次进行排序、字典编码、字符串编码，形成消息；(9)USB‑Key加载TCM非易失存储器内部的AccessKeySecret；(10)以步骤(8)形成的消息为消息，以步骤(9)加载的AccessKeySecret为密钥，以步骤(5)加载的SignatureMethod的值为算法，在TCM可信计算区的杂凑算法单元进行哈希计算及Base64编码得到Signature；所述令牌请求阶段包括以下步骤：(11)将步骤(10)所得Signature键值对添加至步骤(7)所述原始字典的任意位置，形成参数字典；(12)将步骤(11)所述参数字典返回至App，App将该字典的QueryString格式的字符串作为https请求的参数，发至令牌请求地址；所述授权阶段包括以下步骤：(13)令牌服务从App发起的请求中解析请求方式、令牌请求地址和参数字典；(14)以步骤(13)所述参数字典中的AccessKeyId为索引查找相应AccessKeySecret；(15)重复步骤(8)生成消息，以步骤(14)所述AccessKeySecret为密钥，进行哈希计算及Base64编码得到Signature；(16)步骤(15)与步骤(13)所述参数字典中的Signature校验，如一致，根据步骤(23)所述的提取出的参数字典中解析出的角色签发临时身份sts.AccessKeyId、临时密钥sts.AccessKeySecret和临时令牌token，返回给App；所述操作请求阶段包括以下步骤：(17)重复步骤(1)(5)至(11)计算用于请求操作的参数字典，并在用于请求操作的参数字典中填入操作动作Action，在请求操作的URL中将原有认证信息替换为步骤(16)所述临时身份信息，发送至操作服务；(18)操作服务转发参数字典进行核验，如通过执行操作，否则记入日志。2CN113591061A说明书1/7页一种基于USB‑Key和ZT‑IAM的零信任网络访问控制方法技术领域[0001]本发明涉及网络技术领域，特别涉及一种基于USB‑Key和ZT‑IAM的零信任网络访问控制方法。背景技术[0002]访问控制方法分为认证和鉴权两部分，一般流程为：输入口令进行认证，进而通过ACL获取相应授权。PKI和MFA是对口令认证的改进，能够增强认证的安全性避免口令被窃取。RBAC是对ACL鉴权的改进，通过对用户指派角色，将用户与权限解耦以简化权限管理，它的缺点是权限以角色为载体分配，无法对某一角色下的用