CN114124583B - 基于零信任的终端控制方法、系统及装置 - Google Patents
基于零信任的终端控制方法、系统及装置 Download PDFInfo
- Publication number
- CN114124583B CN114124583B CN202210100059.2A CN202210100059A CN114124583B CN 114124583 B CN114124583 B CN 114124583B CN 202210100059 A CN202210100059 A CN 202210100059A CN 114124583 B CN114124583 B CN 114124583B
- Authority
- CN
- China
- Prior art keywords
- terminal
- security
- information
- event
- policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供了基于零信任的终端控制方法、系统及装置。本申请实施例中,通过对物联网系统中终端上应用的安全状态进行监控、对终端的通信链路的安全状态进行监控、以及物联网系统外部与终端相关联的安全风险的监控来动态调整终端的身份与访问控制策略,以实现基于零信任的终端控制。
Description
技术领域
本申请涉及物联网,特别涉及基于零信任的终端控制方法、系统及装置。
背景技术
对于整个物联网系统,其有大量终端。可选地,这里的终端可包含前端设备比如网络摄像机(IPC:IP Camera)、网络视频录像机(NVR:Network Video Recorder)、无人机等,也可包含后端设备比如管理节点、服务节点等。以视频物联网为例,上述的终端如视频采集节点、感知节点(如无人机等)、设备管理节点、流媒体服务节点、云存储服务节点等。
在物联网系统中,任一终端被身份仿冒和攻击,都会造成敏感数据泄漏,导致严重的隐私安全问题和网络安全事件。
发明内容
本申请实施例提供了基于零信任的终端控制方法、系统及装置,以实现基于零信任的终端控制。
本申请实施例提供一种基于零信任的终端控制方法,该方法应用于物联网系统中新部署的终端控制中心,所述终端控制中心管理的各终端中部署了安全代理,不同VLAN内的终端使用控制网关交互,该方法包括:
获得终端通过已部署的安全代理注册的终端指纹信息,依据所述终端注册至所述终端控制中心的终端指纹信息生成终端安全策略,将所述终端安全策略下发至所述终端;所述终端指纹信息用于表征终端;
获得所述终端通过已部署的安全代理上报的终端安全状态事件;所述终端安全状态事件是由所述安全代理基于接收的所述终端安全策略检测出所述终端的安全状态发生异常时上报的;
获得所述控制网关检测出的所述终端的通信链路安全状态事件;
获得所述物联网系统外部的外部安全状态信息;
依据所述终端安全状态事件、所述通信链路安全状态事件、所述外部安全状态信息生成所述终端的安全状态画像,确定与所述安全状态画像匹配的身份与访问控制策略作为所述终端的身份与访问控制策略,下发所述身份与访问控制策略至所述终端和所述控制网关;所述身份与访问控制策略至少包括所述终端的身份认证策略,以及所述终端的访问控制策略。
本申请实施例提供一种终端控制方法,该方法应用于物联网系统中的终端,所述终端中部署了安全代理,所述终端通过所述物联网系统中已部署的控制网关与其他VLAN内的终端交互,该方法包括:
通过安全代理注册终端指纹信息至所述物联网系统中新部署的终端控制中心;所述终端指纹信息用于表征终端;
获得所述终端控制中心依据所述终端指纹信息生成的终端安全策略;
通过安全代理在内核层基于所述终端安全策略从不同维度检测所述终端的安全状态,所述不同维度至少包括:系统关键文件路径、进程、网络连接、操作系统、应用;
在检测到所述终端的安全状态发生异常时通过安全代理上报所述终端安全状态事件至所述终端控制中心,以由所述终端控制中心依据所述终端安全状态事件、已获得的所述终端的通信链路安全状态事件、以及已获得的外部安全状态信息生成所述终端的安全状态画像,并确定与所述安全状态画像匹配的身份与访问控制策略作为所述终端的身份与访问控制策略。
本申请实施例提供一种终端控制系统,该系统包括:物联网系统中新部署的终端控制中心、由所述终端控制中心管理的至少一个终端、以及控制网关;所述终端中部署了安全代理;各VLAN内的终端使用控制网关交互;
所述终端控制中心按照如上第一种方法执行;
所述终端按照如上第二种方法执行;
所述控制网关,用于检测所述终端的通信链路安全状态事件时上报所述终端的通信链路安全状态事件至所述终端控制中心;以及,对所述终端的数据流从传输层进行国密TLS安全链路加固。
本申请实施例还提供一种电子设备,该电子设备包括:处理器和机器可读存储介质;
所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;
所述处理器用于执行机器可执行指令,以实现上述任一方法中的步骤。
由以上技术方案可以看出,本申请中,通过对物联网系统中终端上应用的安全状态进行监控、对终端的通信链路的安全状态进行监控、以及物联网系统外部与终端相关联的安全风险的监控来动态调整终端的身份与访问控制策略,以实现基于零信任的终端控制。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
图1为本申请实施例提供的物联网系统架构图;
图2为本申请实施例提供的方法流程图;
图3为本申请实施例提供的各终端部署安全代理的结构图;
图4为本申请实施例提供的生成终端的安全状态画像的流程图;
图5为本申请实施例提供的另一方法流程图;
图6为本申请实施例提供的系统结构图;
图7为本申请实施例提供的装置结构图;
图8为本申请实施例提供的另一装置结构图;
图9为本申请实施例提供的电子设备结构图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
为了使本领域技术人员更好地理解本申请实施例提供的技术方案,并使本申请实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本申请实施例中技术方案作进一步详细的说明。
本申请实施例提供了基于零信任的终端控制方法。在本实施例中,所谓零信任,其是指基于身份认证和授权重新对终端的访问构建访问控制,以确保终端的身份可信、终端上的应用可信、终端连接的链路可信。
为了实现基于零信任的终端控制方法,本申请实施例在物联网系统中新部署终端控制中心。需要说明的是,在本实施例中,终端控制中心可部署在前端,也可部署在后端。
在本实施例中,终端控制中心可用于管理物联网系统中各终端,比如前端设备(如IPC、NVR等)、后端设备(如管理节点、服务节点等)。
可选地,在本实施例中,物联网系统内不同VLAN内的终端可通过控制网关交互。同样,物联网系统内的终端也可通过控制网关与上述终端控制中心进行交互。这里,控制网关可称为零信任网关,其具体实现时可为一个网关设备或者一个网关代理,本实施例并不具体限定。图1举例示出了本申请实施例应用的物联网系统架构。
基于图1所示的架构,下面对本申请实施例提供的基于零信任的终端控制方法进行描述:
参见图2,图2为本申请实施例提供的方法流程图。如图2所示,该流程应用于如上的终端控制中心。
可选地,在本实施例中,物联网系统中由终端控制中心管理的各终端都部署了零信任安全代理(简称安全代理)。各终端基于部署的安全代理与终端控制中心交互。以图1为例,图3举例示出了各终端部署的安全代理的结构。
如图2所示,该流程可包括以下步骤:
步骤201,终端控制中心获得终端通过已部署的安全代理注册的终端指纹信息,依据终端注册至终端控制中心的终端指纹信息生成终端安全策略,将终端安全策略下发至所述终端。
可选地,在本实施例中,物联网系统中各终端比如无人机等,都会在首次上线时,通过已部署的安全代理向终端控制中心注册,以最终将终端指纹信息注册至终端控制中心。当终端将终端指纹信息注册至终端控制中心后,终端控制中心会依据终端注册的终端指纹信息生成终端安全策略,将生成的终端安全策略下发至该终端。
可选地,在本实施例中,终端指纹信息用于表征终端,其在具体实现时可包括:
1),终端的设备信息,比如:设备ID、设备MAC地址等;
2),终端的软件信息,其至少包括:(a1)终端上运行的应用的应用信息,比如应用名称、运行应用的进程的进程名、应用的签名值、应用的业务范围、应用的端口、支持的协议等;(a2)终端上部署的操作系统的信息,比如操作系统版本、操作系统类型、操作系统的补丁版本等。
(3),终端的硬件信息,其至少包括:(a3)终端上的CPU信息,比如CPU当前的负载等;(a4)内存信息,比如剩余空闲内存等。
在本实施例中,如步骤201描述,终端控制中心依据上述终端指纹信息,生成终端安全策略。对应上述终端指纹信息,这里的终端安全策略可以包括进程、文件、网络等方面的阈值或黑白名单。下述步骤202会重点举例描述终端安全策略,这里暂不赘述。
需要说明的是,在本步骤201中,终端控制中心可通过安全通道或离线传输方式下发终端安全策略至终端。
步骤202,获得终端通过已部署的安全代理上报的终端安全状态事件;终端安全状态事件是由上述安全代理基于接收的终端安全策略检测出终端的安全状态发生异常时上报的。
在本实施例中,当终端接收到终端安全策略,终端中已部署的安全代理会基于终端安全策略监控终端的安全状态。
可选地,在本实施例中,上述终端安全策略可涉及从系统关键文件路径、运行进程、内外联网络等不同维度。相应地,终端中已部署的安全代理在内核层从系统关键文件路径、运行进程、内外联网络、操作系统、应用等不同维度,对终端进行实时安全状态监控。
优选地,在本实施例中,终端安全策略至少包括:
(b1)文件安全策略。在本实施例中,文件安全策略用于指示:在检测到关键文件路径对应的文件被更新或被删除,和/或,新增关键文件路径对应的文件,和/或关键文件路径对应的属性被更新时,触发第一类终端安全状态事件。关键文件路径对应的属性至少包括:关键文件路径的用户权限。可选地,在本实施例中,第一类终端安全状态事件所属的事件类型为文件类型。
比如,基于文件安全策略分析出关键文件路径对应的诸如/etc/passwd账户密码配置文件,/dev驱动配置文件等发生文件的增、删、改、或查,则触发第一类终端安全状态事件。
需要说明的是,在本实施例中,上述关键文件路径可根据实际情况预先指定,比如指定上述/etc/passwd账户密码配置文件,/dev驱动配置文件等对应的路径为关键文件路径。
(b2)进程策略。在本实施例中,进程策略用于指示在进程的属性发生更新或者在新增进程时,触发第二类终端安全状态事件。可选地,在本实施例中,第二类终端安全状态事件所属的事件类型为进程类型。
比如,在基于进程策略分析出内核链表中新增进程的主进程名、哈希值、父进程名等属性,则触发第二类终端安全状态事件。
(b3)网络策略。在本实施例中,网络策略用于指示在检测到网络连接异发生变化则触发第三类终端安全状态事件。可选地,在本实施例中,第三类终端安全状态事件所属的事件类型为网络类型。
可选地,在本实施例中,网络连接异发生变化有很多情况,比如,新增网络连接、已有网络连接的属性比如IP地址、端口或协议等异常,等等,本实施例不再一一限定。
比如,从内核层的netfilter模块监控出新增的对外网络连接或对内网络连接,且该连接的属性比如IP、端口、协议、流量等处于网络策略中的黑名单,则触发第三类终端安全状态事件。
(b4)操作系统策略。可选地,在本实施例中,操作系统策略用于指示在操作系统信息发生异常则触发第四类终端安全状态事件。第四类终端安全状态事件所属的事件类型为操作系统类型。可选地,这里,操作系统信息发生异常有很多情况,比如,操作系统版本与操作系统策略中白名单对比发现异常(操作系统版本不在白名单中)、或者操作系统的补丁版本与操作系统策略中白名单对比发现异常(补丁版本不在白名单中)等,本实施例并不具体限定。
(b5)应用策略。这里,应用策略用于指示在应用信息异常时则触发第五类终端安全状态事件。在应用中,根据终端中各应用的使用场景和所处角色,动态监控终端中各应用的安全状态,及时预测和识别异常事件。以视频应用如视频采集、视频取流、视频流编解码及处理、视频流存储等各应用为例,则对各应用的通信矩阵、协议交互数据流进行动态分析并威胁建模,依据应用策略来判断应用信息是否异常,并在异常时触发第五类终端安全状态事件。可选地,第五类终端安全状态事件所属的事件类型为应用类型。
可选地,在本实施例中,应用信息异常有很多情况,比如应用名称、应用签名值、开放端口和协议、开源组件版本等方面与应用策略中白名单对比,产生异常(比如不在白名单中),则触发第五类终端安全状态事件;再比如,通过视频协议解析发现存在不应开启的通信端口事件、或异常的视频协议报文事件、或异常的视频数据流事件等,也可称为应用信息异常。
以上对述终端安全策略进行了举例描述。
基于上述终端安全策略可以看出,本实施例基于终端安全策略深入终端内核层,防止应用层数据被恶意篡改带来的数据不准确风险。
步骤203,获得控制网关检测出的终端的通信链路安全状态事件。
在本实施例中,通信链路安全状态事件是由控制网关在检测出上述终端的通信链路上的数据流异常时上报的。
可选地,在本实施例中,控制网关对终端连接的每一通信链路进行安全状态监控,具体可为:对通信链路上的数据流进行通信协议解析,以通信协议为TCP/IP协议模型为例,假若TCP/IP协议模型为7层结构(从下至上依次为:物理层、数据链路层、网络层、传输层、会话层、表示层、应用层),则可对每一层进行检测,比如检测数据流携带的TCP/IP协议模型中至少一层的协议特征值与该层对应的协议标准特征值是否匹配,如果不匹配,则确定上述数据流异常,控制网关会上报上述通信链路安全状态事件。最终,终端控制中心会获得控制网关检测出的终端的通信链路安全状态事件。
可选地,在本实施例中,控制网关还可以进一步对上述数据流从传输层进行国密TLS安全链路加固,使上层各物联网控制协议、视频应用协议、工控协议等都在国家密码管理局规定算法和加固安全套件的国密TLS安全链路之上,密钥存储在硬件密码设备中,仅暴露443端口。也就是说,在本实施例中,物联网系统中各终端连接的每一条通信链路均使用基于国密算法TLS安全链路加密,由上述控制网关负责建立或加固安全链路,并无感知的将通信协议加固为over国密TLS之上,保证数据传输、安全策略下发、关键审计日志上报等数据的机密性和完整性。
步骤204,获得所述物联网系统外部的外部安全状态信息。
可选地,在本实施例中,终端控制中心可设置堡垒机,安全收集一些发布安全威胁情报的网站(记为指定网站)比如CVE、CNNVD等发布的实时安全威胁情报,依据安全威胁情报确定外部安全状态信息。这里,安全威胁情报至少包含安全风险信息,安全威胁情报比如0day、1day漏洞特征、开源组件漏洞、操作系统漏洞、恶意应用特征等,其可直接作为外部安全状态信息。
可选地,作为一个实施例,终端控制中心可根据上述部安全状态信息中的安全风险信息进行分类比如分为通信安全、隐私保护、身份与权限安全、口令安全、系统安全、Web与应用安全等,为每一类安全风险信息生成对应的加固策略。加固策略比如为:从原来的单向认证更新为双向认证、或者由原来的单因子认证更新为多因子认证、或者降低和减少终端访问控制权限、或者极端情况下断开网络连接、杀掉恶意进程等,本实施例并不具体限定。
在本实施例中,终端控制中心可下发加固策略至上述控制网关,以由控制网依据加固策略阻断对应的安全风险,比如通过进行通信链路管控和威胁阻断来阻断安全风险,降低0day,1day等安全漏洞产生的风险。和/或,
终端控制中心下发加固策略至各终端,以由各终端依据加固策略阻断对应的安全风险,降低0day,1day等安全漏洞产生的风险。
步骤205,依据终端安全状态事件、通信链路安全状态事件、所述外部安全状态信息生成终端的安全状态画像,确定与所述安全状态画像匹配的身份与访问控制策略作为所述终端的身份与访问控制策略,下发身份与访问控制策略至上述终端和上述控制网关。
可选地,在本实施例中,可将上述终端的终端安全状态事件、通信链路安全状态事件、与终端相关联的外部安全状态信息一起结合,作为终端的安全状态画像。图4举例示出如何生成终端的安全状态画像,这里暂不赘述。
在生成终端的安全状态画像之后,可选地,在本实施例中,可将终端的安全状态画像输入多元决策算法。在一个例子中,这里的多元决策算法可采用二级决策算法,其中,第一级决策算法用于对输入的安全状态画像进行预处理,其目的是筛选出有效数据,以保证输入至第二级决策算法的数据为有效数据、且数据量小。第二级决策算法,用于对输入数据进行深入分析并最终输出匹配的身份与访问控制策略。
可选地,在本实施例中,身份与访问控制策略包括:身份认证和访问控制。
身份认证:在本实施例中,上述第二级决策算法可基于对终端的安全状态及周围其他终端的安全状态的分析,对其进行静态和动态的信任评估,综合评判的该终端身份的合法性,最终决策使用一种、两种以上的身份认证方式的组合。可选地,身份认证可为诸如数字证书、FIDO、OAUTH、单点登录、协同认证等至少一个身份认证方式。可以看出,在本实施例中,针对每一终端,其不是简单通过该终端的安全状态来为终端匹配身份认证,而是动态智能地结合该终端及外围其他终端的安全状态来来为该终端匹配身份认证,这提高了终端身份认证策略的精准性。
访问控制:其可使用高安全三重权限校验控制,即:当终端作为主体访问作为客体的其他终端时,对主体安全状态画像、客体安全状态画像进行分析,再使用如ACL访问控制列表对访问携带的操作行为和使用场景进行鉴别,均通过后方可放行,否则,确定上述主体尝试非授权访问。可选地,在本实施例中,针对访问控制也增加错误锁定机制,当上述主体尝试非授权访问达到设定阈值比如5次以上,则对上述主体锁定一段时间,以使上述主体无法访问上述客体。
在本实施例中,之所以下发身份与访问控制策略至上述终端,其目的是从源头上直接阻断不符合身份与访问控制策略的数据流,以避免未被授权访问(不符合身份与访问控制策略的数据流)在网络中传输。
至此,完成图2所示流程。
通过图2所示流程可以看出,在本实施例中,对物联网系统中终端上应用的安全状态进行监控、对终端的通信链路的安全状态进行监控、以及物联网系统外部与终端相关联的安全风险的监控来动态调整终端的身份与访问控制策略,以实现基于零信任的终端控制。
下面对步骤205中如何依据终端安全状态事件、通信链路安全状态事件、所述外部安全状态信息生成终端的安全状态画像进行描述:
参见图4,图4为本申请实施例提供的生成终端的安全状态画像的流程图。如图4所示,该流程可包括以下步骤:
步骤401,根据终端的应用场景,确定终端的安全权重。
在本实施例中,终端的安全权重,可根据终端的应用场景、以及该终端在该应用场景的重要程度设置,比如,终端在网络应用场景中,安全权重比较高。
步骤402,根据上述外部安全状态信息,确定与上述终端相关联的安全风险。
可选地,在本实施例中,可针对每一外部安全状态信息,依据该外部安全状态信息中安全风险的风险原因比如硬件、操作系统、应用、开源组件等,检查上述终端是否可能存在上述风险原因,比如操作系统相同,则上述终端可能存在上述风险原因等,一旦检查出上述终端可能存在上述风险原因,则认为上述外部安全状态信息中的安全风险为上述终端相关联的安全风险。
步骤403,根据安全权重、与终端相关联的安全风险、预设时间段内获得的终端的通信链路安全状态事件、终端安全状态事件以及终端安全状态事件所属的事件类型,生成终端的安全状态画像。
可选地,在本实施例中,终端控制中心可根据预设时间段内该终端的通信链路安全状态事件、以及该终端上报的终端安全状态事件所属的事件类型,对预设时间段内该终端上报的终端安全状态事件进行归类和分析,确定风险原因(如网络连接发生变化,硬件、操作系统、应用、或开源组件有问题等)。最终,依据该确定的风险原因、上述安全权重、以及与终端相关联的安全风险,生成终端的安全状态画像。也即,最终生成的终端的安全状态画像反映了终端存在的风险的风险原因、上述安全权重、以及与终端相关联的安全风险。
至此,完成图4所示的流程。
通过图4所示流程,实现了依据终端安全状态事件、通信链路安全状态事件、外部安全状态信息生成终端的安全状态画像。需要说明的是,图4只是举例描述如何生成终端的安全状态画像,并非用于限定。
下面站在物联网系统中终端的角度描述终端控制方法:
参见图5,图5为本申请实施例提供的另一方法流程图。该方法应用于物联网系统中的终端,终端中部署了安全代理,终端通过物联网系统中已部署的控制网关与其他VLAN内的终端交互。如图5所示,该方法可包括以下步骤:
步骤501,通过安全代理注册终端指纹信息至物联网系统中新部署的终端控制中心。
在本实施例中,终端指纹信息用于表征终端,具体如上描述,这里不再赘述。
步骤502,获得终端控制中心依据所述终端指纹信息生成的终端安全策略,通过安全代理在内核层基于终端安全策略从不同维度检测终端的安全状态。
这里的不同维度如上描述,至少包括:系统关键文件路径、进程、网络连接、操作系统、应用等,具体可参见上述的终端安全策略,本实施例并不具体限定。
步骤503,在检测到终端的安全状态发生异常时通过安全代理上报终端安全状态事件至终端控制中心,以由终端控制中心依据终端安全状态事件、已获得的终端的通信链路安全状态事件、以及已获得的外部安全状态信息生成终端的安全状态画像,并确定与安全状态画像匹配的身份与访问控制策略作为终端的身份与访问控制策略。
可选地,在本实施例中,终端还可接收上述新确定的终端的身份与访问控制策略,并根据该身份与访问控制策略进行身份认证和访问控制。
至此,完成图5所示流程。
通过图5所示流程可以看出,在本实施例中,物联网系统中终端通过与终端控制中心相配合,以由终端控制中心基于对终端上应用的安全状态进行监控、对终端的通信链路的安全状态进行监控、以及物联网系统外部与终端相关联的安全风险的监控来动态调整终端的身份与访问控制策略,最终实现基于零信任的终端控制。
以上对本申请实施例提供的方法进行了描述,下面对本申请实施例提供的系统和装置进行描述:
参见图6,图6为本申请实施例提供的系统结构图。如图6所示,该系统可包括:物理网中新部署的终端控制中心、由所述终端控制中心管理的至少一个终端;所述终端中部署了安全代理;各VLAN内的终端使用控制网关交互。
在本实施例中,终端控制中心按照如图2所示流程执行;
所述终端,按照如图5所示流程执行;
所述控制网关,用于检测所述终端的通信链路安全状态事件时上报所述终端的通信链路安全状态事件至所述终端控制中心;以及,对所述终端的数据流从传输层进行国密TLS安全链路加固。
本申请实施例还提供了如图7所示的装置。参见图7,图7为本申请实施例提供的装置结构图。该装置应用于物联网系统中新部署的终端控制中心,终端控制中心管理的各终端中部署了安全代理,不同VLAN内的终端使用控制网关交互,该装置包括:
策略单元,用于获得终端通过已部署的安全代理注册的终端指纹信息,依据所述终端注册至所述终端控制中心的终端指纹信息生成终端安全策略,将所述终端安全策略下发至所述终端;所述终端指纹信息用于表征终端;
获得单元,用于获得所述终端通过已部署的安全代理上报的终端安全状态事件;所述终端安全状态事件是由所述安全代理基于接收的所述终端安全策略检测出终端的安全状态发生异常时上报的;以及,
获得所述控制网关检测出的所述终端的通信链路安全状态事件;以及,
获得所述物联网系统外部的外部安全状态信息;
所述策略单元,还用于依据所述终端安全状态事件、所述通信链路安全状态事件、所述外部安全状态信息生成所述终端的安全状态画像,确定与所述安全状态画像匹配的身份与访问控制策略作为所述终端的身份与访问控制策略,下发所述身份与访问控制策略至所述终端和所述控制网关;所述身份与访问控制策略至少包括所述终端的身份认证策略,以及所述终端的访问控制策略。
可选地,所述终端指纹信息至少包括:
终端的设备信息;和/或,
终端的软件信息;所述软件信息至少包括:所述终端上运行的应用的应用信息、所述终端上部署的操作系统的信息;和/或,
终端的硬件信息;所述硬件信息至少包括:所述终端上的CPU信息、内存信息。
可选地,所述终端安全策略至少包括:
文件安全策略;所述文件安全策略用于指示:在检测到关键文件路径对应的文件被更新或被删除,和/或,新增关键文件路径对应的文件,和/或关键文件路径对应的属性被更新时,触发第一类终端安全状态事件;所述第一类终端安全状态事件所属的事件类型为文件类型;所述关键文件路径对应的属性至少包括:关键文件路径的用户权限;
进程策略;所述进程策略用于指示在进程的属性发生更新或者在新增进程时,触发第二类终端安全状态事件;所述第二类终端安全状态事件所属的事件类型为进程类型;
网络策略;所述网络策略用于指示在检测到网络连接发生变化则触发第三类终端安全状态事件;所述第三类终端安全状态事件所属的事件类型为网络类型;
操作系统策略;所述操作系统策略用于指示在操作系统信息发生异常则触发第四类终端安全状态事件;所述第四类终端安全状态事件所属的事件类型为操作系统类型;
应用策略;所述应用策略用于指示在应用信息异常时则触发第五类终端安全状态事件;所述第五类终端安全状态事件所属的事件类型为应用类型。
可选地,所述终端的通信链路安全状态事件是由所述控制网关在检测出的所述终端的通信链路上的数据流异常时上报的;
所述数据流异常至少包括:所述数据流携带的TCP/IP协议模型中至少一层的协议特征值与该层对应的协议标准特征值不匹配。
可选地,所述获得所述物联网外部的外部安全状态信息,包括:
收集指定网站发布的安全威胁情报,依据所述安全威胁情报确定所述外部安全状态信息,所述安全威胁情报至少包含安全风险信息;
可选地,所述依据所述终端安全状态事件、所述通信链路安全状态事件、所述外部安全状态信息生成所述终端的安全状态画像包括:
根据所述终端的应用场景,确定所述终端的安全权重;
根据所述外部安全状态信息,确定与所述终端相关联的安全风险;
根据所述安全权重、所述与所述终端相关联的安全风险、预设时间段内获得的所述通信链路安全状态事件、所述终端安全状态事件以及所述终端安全状态事件所属的事件类型,生成所述终端的安全状态画像。
可选地,所述策略单元在所述获得单元获得所述物联网外部的外部安全状态信息后,进一步对所述外部安全状态信息中的安全风险信息进行分类,为每一类安全风险信息生成对应的加固策略;下发加固策略至所述控制网关,以由所述控制网依据加固策略阻断对应的安全风险;和/或,下发加固策略至各终端,以由各终端依据加固策略阻断对应的安全风险。
可选地,所述确定与所述安全状态画像匹配的身份与访问控制策略作为所述终端的身份与访问控制策略包括:
将所述安全状态画像输入二级决策算法,其中,所述二级决策算法中的第一级决策算法用于对输入的所述安全状态画像进行预处理,以筛选出有效数据并输出至所述二级决策算法中的第二级决策算法,所述第二级决策算法用于依据输入数据进行分析以输出匹配的所述身份与访问控制策略。
至此,完成图7所示装置的结构描述。
参见图8,图8为本申请实施例提供的另一装置结构图。该装置应用于物联网系统中的终端,所述终端通过所述物联网系统中已部署的控制网关与其他VLAN内的终端交互,该装置包括:
安全代理,用于注册终端指纹信息至所述物联网系统中新部署的终端控制中心;所述终端指纹信息用于表征终端;以及,
获得所述终端控制中心依据所述终端指纹信息生成的终端安全策略;以及,
通过安全代理在内核层基于所述终端安全策略从不同维度检测所述终端的安全状态,所述不同维度至少包括:系统关键文件路径、进程、网络连接、操作系统、应用;以及,
在检测到终端的安全状态发生异常时通过安全代理上报所述终端安全状态事件至所述终端控制中心,以由所述终端控制中心依据所述终端安全状态事件、已获得的所述终端的通信链路安全状态事件、以及已获得的外部安全状态信息生成所述终端的安全状态画像,并确定与所述安全状态画像匹配的身份与访问控制策略作为所述终端的身份与访问控制策略。
对应地,本申请实施例还提供了图7或图8所示装置的硬件结构。参见图9,图9为本申请实施例提供的电子设备结构图。如图9所示,该硬件结构可包括:处理器和机器可读存储介质,机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;所述处理器用于执行机器可执行指令,以实现本申请上述示例公开的方法。
基于与上述方法同样的申请构思,本申请实施例还提供一种机器可读存储介质,所述机器可读存储介质上存储有若干计算机指令,所述计算机指令被处理器执行时,能够实现本申请上述示例公开的方法。
示例性的,上述机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(Radom Access Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
而且,这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (11)
1.一种基于零信任的终端控制方法,其特征在于,该方法应用于物联网系统中新部署的终端控制中心,所述终端控制中心管理的各终端中部署了安全代理,不同VLAN内的终端使用控制网关交互,该方法包括:
获得终端通过已部署的安全代理注册的终端指纹信息,依据所述终端注册至所述终端控制中心的终端指纹信息生成终端安全策略,将所述终端安全策略下发至所述终端;所述终端指纹信息用于表征终端;
获得所述终端通过已部署的安全代理上报的终端安全状态事件;所述终端安全状态事件是由所述安全代理基于接收的所述终端安全策略检测出所述终端的安全状态发生异常时上报的;
获得所述控制网关检测出的所述终端的通信链路安全状态事件;
获得所述物联网系统外部的外部安全状态信息;
依据所述终端安全状态事件、所述通信链路安全状态事件、所述外部安全状态信息生成所述终端的安全状态画像,确定与所述安全状态画像匹配的身份与访问控制策略作为所述终端的身份与访问控制策略,下发所述身份与访问控制策略至所述终端和所述控制网关;所述身份与访问控制策略至少包括所述终端的身份认证策略,以及所述终端的访问控制策略。
2.根据权利要求1所述的方法,其特征在于,所述终端指纹信息至少包括:
终端的设备信息;和/或,
终端的软件信息;所述软件信息至少包括:所述终端上运行的应用的应用信息、所述终端上部署的操作系统的信息;和/或,
终端的硬件信息;所述硬件信息至少包括:所述终端上的CPU信息、内存信息。
3.根据权利要求1所述的方法,其特征在于,所述终端安全策略至少包括:
文件安全策略;所述文件安全策略用于指示:在检测到关键文件路径对应的文件被更新或被删除,和/或,新增关键文件路径对应的文件,和/或关键文件路径对应的属性被更新时,触发第一类终端安全状态事件;所述第一类终端安全状态事件所属的事件类型为文件类型;所述关键文件路径对应的属性至少包括:关键文件路径的用户权限;
进程策略;所述进程策略用于指示在进程的属性发生更新或者在新增进程时,触发第二类终端安全状态事件;所述第二类终端安全状态事件所属的事件类型为进程类型;
网络策略;所述网络策略用于指示在检测到网络连接发生变化则触发第三类终端安全状态事件;所述第三类终端安全状态事件所属的事件类型为网络类型;
操作系统策略;所述操作系统策略用于指示在操作系统信息发生异常则触发第四类终端安全状态事件;所述第四类终端安全状态事件所属的事件类型为操作系统类型;
应用策略;所述应用策略用于指示在应用信息异常时则触发第五类终端安全状态事件;所述第五类终端安全状态事件所属的事件类型为应用类型。
4.根据权利要求1所述的方法,其特征在于,所述终端的通信链路安全状态事件是由所述控制网关在检测出的所述终端的通信链路上的数据流异常时上报的;
所述数据流异常至少包括:所述数据流携带的TCP/IP协议模型中至少一层的协议特征值与该层对应的协议标准特征值不匹配。
5.根据权利要求1所述的方法,其特征在于,所述获得所述物联网系统外部的外部安全状态信息,包括:
收集指定网站发布的安全威胁情报,依据所述安全威胁情报确定所述外部安全状态信息,所述安全威胁情报至少包含安全风险信息。
6.根据权利要求1至5任一所述的方法,其特征在于,所述依据所述终端安全状态事件、所述通信链路安全状态事件、所述外部安全状态信息生成所述终端的安全状态画像包括:
根据所述终端的应用场景,确定所述终端的安全权重;
根据所述外部安全状态信息,确定与所述终端相关联的安全风险;
根据所述安全权重、所述与所述终端相关联的安全风险、预设时间段内获得的所述通信链路安全状态事件、所述终端安全状态事件以及所述终端安全状态事件所属的事件类型,生成所述终端的安全状态画像。
7.根据权利要求1至5任一所述的方法,其特征在于,在获得所述物联网系统外部的外部安全状态信息后,该方法进一步包括:
对所述外部安全状态信息中的安全风险信息进行分类,为每一类安全风险信息生成对应的加固策略;
下发加固策略至所述控制网关,以由所述控制网关依据加固策略阻断对应的安全风险;和/或,下发加固策略至各终端,以由各终端依据加固策略阻断对应的安全风险。
8.根据权利要求1至5任一所述的方法,其特征在于,所述确定与所述安全状态画像匹配的身份与访问控制策略作为所述终端的身份与访问控制策略包括:
将所述安全状态画像输入二级决策算法,其中,所述二级决策算法中的第一级决策算法用于对输入的所述安全状态画像进行预处理,以筛选出有效数据并输出至所述二级决策算法中的第二级决策算法,所述第二级决策算法用于依据输入数据进行分析以输出匹配的所述身份与访问控制策略。
9.一种终端控制方法,其特征在于,该方法应用于物联网系统中的终端,所述终端中部署了安全代理,所述终端通过所述物联网系统中已部署的控制网关与其他VLAN内的终端交互,该方法包括:
通过安全代理注册终端指纹信息至所述物联网系统中新部署的终端控制中心;所述终端指纹信息用于表征终端;
获得所述终端控制中心依据所述终端指纹信息生成的终端安全策略;
通过安全代理在内核层基于所述终端安全策略从不同维度检测所述终端的安全状态,所述不同维度至少包括:系统关键文件路径、进程、网络连接、操作系统、应用;
在检测到所述终端的安全状态发生异常时通过安全代理上报所述终端安全状态事件至所述终端控制中心,以由所述终端控制中心依据所述终端安全状态事件、已获得的所述终端的通信链路安全状态事件、以及已获得的外部安全状态信息生成所述终端的安全状态画像,并确定与所述安全状态画像匹配的身份与访问控制策略作为所述终端的身份与访问控制策略。
10.一种终端控制系统,其特征在于,该系统包括:物联网系统中新部署的终端控制中心、由所述终端控制中心管理的至少一个终端、以及控制网关;所述终端中部署了安全代理;各VLAN内的终端使用控制网关交互;
所述终端控制中心按照如权利要求1至8任一方法执行;
所述终端按照如权利要求9所述的方法执行;
所述控制网关,用于检测所述终端的通信链路安全状态事件时上报所述终端的通信链路安全状态事件至所述终端控制中心;以及,对所述终端的数据流从传输层进行国密TLS安全链路加固。
11.一种电子设备,其特征在于,该电子设备包括:处理器和机器可读存储介质;
所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;
所述处理器用于执行机器可执行指令,以实现权利要求1-9任一项的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210100059.2A CN114124583B (zh) | 2022-01-27 | 2022-01-27 | 基于零信任的终端控制方法、系统及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210100059.2A CN114124583B (zh) | 2022-01-27 | 2022-01-27 | 基于零信任的终端控制方法、系统及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114124583A CN114124583A (zh) | 2022-03-01 |
| CN114124583B true CN114124583B (zh) | 2022-05-31 |
Family
ID=80361494
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210100059.2A Active CN114124583B (zh) | 2022-01-27 | 2022-01-27 | 基于零信任的终端控制方法、系统及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114124583B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114915534B (zh) * | 2022-04-22 | 2023-06-16 | 中国人民解放军战略支援部队信息工程大学 | 面向信任增强的网络部署架构及其网络访问方法 |
| CN115550074B (zh) * | 2022-11-30 | 2023-03-03 | 北京时代亿信科技股份有限公司 | 零信任验证方法、装置、系统及电子设备 |
| CN116527403B (zh) * | 2023-07-03 | 2023-09-08 | 国网四川省电力公司信息通信公司 | 用于局域网的网络安全控制方法和系统 |
| CN117729057A (zh) * | 2024-02-18 | 2024-03-19 | 北京建恒信安科技有限公司 | 一种基于身份安全的零信任接入系统的方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112118102A (zh) * | 2020-10-21 | 2020-12-22 | 国网天津市电力公司 | 一种电力专用的零信任网络系统 |
| CN112165461A (zh) * | 2020-09-10 | 2021-01-01 | 杭州安恒信息技术股份有限公司 | 一种零信任动态授权方法、装置和计算机设备 |
| CN113949573A (zh) * | 2021-10-18 | 2022-01-18 | 天翼数字生活科技有限公司 | 一种零信任的业务访问控制系统及方法 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070150934A1 (en) * | 2005-12-22 | 2007-06-28 | Nortel Networks Ltd. | Dynamic Network Identity and Policy management |
| US8949931B2 (en) * | 2012-05-02 | 2015-02-03 | Cisco Technology, Inc. | System and method for monitoring application security in a network environment |
| CN110417776B (zh) * | 2019-07-29 | 2022-03-25 | 大唐高鸿信安(浙江)信息科技有限公司 | 一种身份认证方法及装置 |
| US11363068B2 (en) * | 2019-11-04 | 2022-06-14 | ColorTokens, Inc. | Method and system for providing a complete traceability of changes incurred in a security policy |
| CN113051602B (zh) * | 2021-01-22 | 2022-11-22 | 东南大学 | 一种基于零信任架构的数据库细粒度访问控制方法 |
| CN113572738B (zh) * | 2021-06-29 | 2023-04-07 | 中孚安全技术有限公司 | 一种零信任网络架构及构建方法 |
| CN113783844A (zh) * | 2021-08-13 | 2021-12-10 | 中国光大银行股份有限公司 | 零信任访问控制方法、装置及电子设备 |
-
2022
- 2022-01-27 CN CN202210100059.2A patent/CN114124583B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112165461A (zh) * | 2020-09-10 | 2021-01-01 | 杭州安恒信息技术股份有限公司 | 一种零信任动态授权方法、装置和计算机设备 |
| CN112118102A (zh) * | 2020-10-21 | 2020-12-22 | 国网天津市电力公司 | 一种电力专用的零信任网络系统 |
| CN113949573A (zh) * | 2021-10-18 | 2022-01-18 | 天翼数字生活科技有限公司 | 一种零信任的业务访问控制系统及方法 |
Non-Patent Citations (1)
| Title |
|---|
| Embedded policing and policy enforcement approach for future secure IoT technologies;F. Siddiqui;《Living in the Internet of Things: Cybersecurity of the IoT - 2018》;20180614;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114124583A (zh) | 2022-03-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114124583B (zh) | 基于零信任的终端控制方法、系统及装置 | |
| US11134058B1 (en) | Network traffic inspection | |
| US10762201B2 (en) | Apparatus and method for conducting endpoint-network-monitoring | |
| He et al. | A survey on zero trust architecture: Challenges and future trends | |
| US10003608B2 (en) | Automated insider threat prevention | |
| US10855700B1 (en) | Post-intrusion detection of cyber-attacks during lateral movement within networks | |
| Navaz et al. | Entropy based anomaly detection system to prevent DDoS attacks in cloud | |
| KR102017810B1 (ko) | 모바일 기기용 침입방지장치 및 방법 | |
| US8230505B1 (en) | Method for cooperative intrusion prevention through collaborative inference | |
| Kene et al. | A review on intrusion detection techniques for cloud computing and security challenges | |
| Ryutov et al. | Integrated access control and intrusion detection for web servers | |
| US11457040B1 (en) | Reverse TCP/IP stack | |
| US8380979B2 (en) | Methods, systems, and computer program products for invoking trust-controlled services via application programming interfaces (APIs) respectively associated therewith | |
| CN114598540B (zh) | 访问控制系统、方法、装置及存储介质 | |
| JP2018501591A (ja) | 悪意のあるコードの検出の精度保証のためのシステムおよび方法 | |
| US20090313682A1 (en) | Enterprise Multi-interceptor Based Security and Auditing Method and Apparatus | |
| CN113472758B (zh) | 访问控制方法、装置、终端、连接器及存储介质 | |
| Rani et al. | Cyber security techniques, architectures, and design | |
| Mahboub et al. | Smart IDS and IPS for cyber-physical systems | |
| CN115051836A (zh) | 基于sdn的apt攻击动态防御方法及系统 | |
| Shah et al. | Appraisal of the Most Prominent Attacks due to vulnerabilities in cloud computing | |
| Khandelwal et al. | Frontline techniques to prevent web application vulnerability | |
| Yu et al. | Detection and defense against network isolation attacks in software‐defined networks | |
| CN115412367A (zh) | 一种分布式协作方法、联防网关装置及电子设备 | |
| Russell | IoT cyber security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |