(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115001773A(43)申请公布日2022.09.02(21)申请号202210581571.3(22)申请日2022.05.26(71)申请人北京绎云科技有限公司地址100101北京市朝阳区慧忠里103楼5层A座510(72)发明人陈坤鹏郭旭东王达(74)专利代理机构北京市鼎立东审知识产权代理有限公司11751专利代理师朱慧娟习淼(51)Int.Cl.H04L9/40(2022.01)权利要求书2页说明书8页附图4页(54)发明名称基于零信任的去中心化网络控制策略实现方法(57)摘要本申请涉及一种基于零信任的去中心化网络控制策略实现方法，通过利用管控平台通过计算产生访问控制策略推送到云端控制器，终端APP通过认证后，根据相关条件，拉取相应的访问控制策略，最终通过接入网关访问后端的业务资源。将访问主体发起的请求在本地做策略匹配，如命中放行策略，则发出请求的数据包，否则被拦截；而访问客体只需做少量的中心化策略匹配即可，以此可降低访问可以的访问压力同时也可以避免DDoS等恶意访问请求；从而解决目前这种中心化网络控制带来的问题。CN115001773ACN115001773A权利要求书1/2页1.一种基于零信任的去中心化网络控制策略实现方法，其特征在于，包括如下步骤：S100、在用户所处网络中部署管控平台TMC和接入网关TMG；S200、建立所述管控平台TMC和所述接入网关TMG与云端服务TMCloud之间的相互通信；S300、管理员创建访问控制策略，并将所述访问控制策略配置在所述管控平台TMC上；S400、基于所述访问控制策略，通过所述管控平台TMC计算并生成授权策略，并将所述授权策略同步在所述云端服务TMCloud上。2.根据权利要求1所述的基于零信任的去中心化网络控制策略实现方法，其特征在于，在步骤S200中，建立所述管控平台TMC和所述接入网关TMG与云端服务TMCloud之间的相互通信，包括：S201、所述管控平台TMC导入第一证书，进行通信验证；S202、验证完毕，通过所述管控平台TMC向所述云端服务TMCloud发起注册请求，请求建立连接；S203、注册完毕，所述云端服务TMCloud返回注册结果并通知所述管控平台TMC，建立所述管控平台TMC与所述云端服务TMCloud之间的通信。3.根据权利要求2所述的基于零信任的去中心化网络控制策略实现方法，其特征在于，在步骤S200中，建立所述管控平台TMC和所述接入网关TMG与云端服务TMCloud之间的相互通信，还包括：S210、所述接入网关TMG导入与所述第一证书相匹配的第二证书，进行通信验证；S220、验证完毕，通过所述接入网关TMG向所述云端服务TMCloud发起注册请求，请求建立连接；S230、注册完毕，所述云端服务TMCloud返回注册结果并通知所述管控平台TMC，建立所述接入网关TMG与所述云端服务TMCloud和所述管控平台TMC之间的相互通信。4.根据权利要求1所述的基于零信任的去中心化网络控制策略实现方法，其特征在于，在步骤S300中，所述管理员创建访问控制策略，并将所述访问控制策略配置在所述管控平台TMC上，包括：S301、通过所述管控平台TMC的管理员，创建用户登录账号；S302、接入业务资源，并配置在所述管控平台TMC上；S303、基于创建的用户登录账号和业务资源，设置具备逻辑关系的访问控制策略并保存在所述管控平台TMC上。5.一种基于零信任的去中心化网络控制系统，其特征在于，所述基于零信任的去中心化网络控制系统，根据权利要求1‑4中任一项所述的基于零信任的去中心化网络控制策略实现方法进行创建。6.一种权利要求5所述的基于零信任的去中心化网络控制系统的使用方法，其特征在于，包括如下步骤：S100、通过终端TMA导入证书，并使用管理员创建的账号进行登录；S200、所述终端TMA将登录信息加密后，将其发送至云端服务TMCloud并发起验证请求；S300、所述云端服务TMCloud进行验证处理，并将所述登录信息转发至管控平台TMC；S400、所述管控平台TMC根据所述登录信息匹配调用授权策略，并同步至所述云端服务TMCloud，且通过所述云端服务TMCloud将所述授权策略推送至所述终端TMA，进行本地授权2CN115001773A权利要求书2/2页策略更新；S500、所述终端TMA根据本地授权策略所匹配的访问控制策略，向接入网关TMG发起对业务资源的访问请求。7.根据权利要求6所述的使用方法，其特征在于，在步骤S300中，所述云端服务TMCloud进行验证处理，并将所述登录信息转发至管控平台TMC，包括：S301、所述云端服务TMCloud接收所述登录信息和验证请求；S302、根据预设验