CN115118465B - 一种基于可信标签的云边端协同零信任访问控制方法及系统 - Google Patents

Abstract

本发明涉及一种基于可信标签的云边端协同零信任访问控制方法及系统。该方法包括：在云层部署安全云大脑，对端层发起的访问请求进行身份校验，并根据端层生成的可信标签制定访问控制策略，将访问控制策略下发至边层；在边层部署边缘决策网关，边缘决策网关接收端层的访问请求的流量镜像并进行检测，根据云层下发的访问控制策略对端层中访问主体对访问客体的访问进行放行或阻断；在端层部署安全终端，安全终端与访问主体交互以向云层发起访问请求，并在获得访问权限后向访问客体请求相应资源。本发明根据零信任准则，建立云、边、端三者协同的架构，形成以可信标签为凭证、以策略为驱动的访问控制流程，从而保障业务的可信运行。

Description

一种基于可信标签的云边端协同零信任访问控制方法及系统

技术领域

本发明涉及网络安全技术领域，特别涉及一种访问控制方法，更具体地，涉及一种基于可信标签的云边端协同零信任访问控制方法及系统。

背景技术

访问控制是一种通过对资源的访问和获取进行授权管理，使资源能够在合法范围内被使用的技术，是维护网络安全、数据安全的重要措施。尤其是在当今数据共享需求与日俱增、业务应用场景更加丰富、网络与终端类型更加多样的环境下，对访问控制技术、流程、框架的细致性、轻量性都有了更高的要求。此外，日益频繁复杂的网络攻击威胁也带来了更高的安全性需要，来自外部的攻击者可能突破脆弱的访问控制体系、或攻陷并冒用合法人员身份从而获取权限，而来自企业内部的威胁同样危害巨大且更加难以防范。

现有的访问控制方法，如自主访问控制、强制访问控制、基于角色的访问控制、基于任务的访问控制、基于属性的访问控制等在如今的网络环境下逐渐暴露缺陷：灵活性和扩展性不足，难以适应规模庞大、数据激增、变化迅速的网络环境；固化的访问控制策略难以应对身份冒用、内部威胁等安全风险。

当今云计算、大数据、物联网、5G通信、远程办公等新技术、新场景不断涌现，引发了源源不断的新威胁和新风险。在应对目前形势下的网络安全、应用安全、数据安全方面，仅在传统安全方案的基础上做边界加固和单点增强难以系统性地缓解各类安全威胁，而零信任是一个新兴的模型，作为一种可以支撑未来发展的安全防护方式正逐渐受到越来越多的关注。零信任模型并非全盘否定，而是秉承网络始终存在内部和外部威胁、所有的设备、用户和流量在验证前不存在固有信任的原则，致力于构建一个以身份为中心、以多源数据为依据的策略模型。

因此，访问控制技术作为数据安全和网络安全防护的重要关口，结合零信任模型的理念进行流程架构的改造升级是必然的选择，从而实现动态、实时、持续、精准、安全的新型访问控制技术。

发明内容

基于上述背景，本发明提出了一种基于可信标签的云边端协同零信任访问控制方法及系统。该方法根据零信任准则，不考虑业务系统自身的安全能力，而是假设系统都存在越权缺陷，建立云、边、端三者协同的架构，形成以可信标签为凭证、以策略为驱动的访问控制流程，从而在企业内部保障业务的可信运行。

为达到上述目的，本发明采取的具体技术方案是：

一种基于可信标签的云边端协同零信任访问控制方法，自上而下包括云层、边层、端层三个层次，该方法包括以下步骤：

1)在云层部署安全云大脑，借助云的强大存储资源能力和智能分析能力，实现对访问客体的身份授权，根据端层生成的可信标签针对性地制定访问控制策略，将访问控制策略下发至边层。

2)在边层部署边缘决策网关，对端层访问的流量进行检测识别，并根据云层返回的安全策略实施访问的放行或阻断。边缘决策网关通过检测可信标签实现端层网络攻击威胁发现、访问控制决策、攻击阻断。

3)在端层的访问主体部署安全终端，进行访问主体的身份校验，收集身份及行为信息进行上传，同时将业务访问需求申请提交到云层进行审批授权，并在获得访问权限后向访问客体请求相应资源。端层主要是用户实际使用的网络通信设备、工业互联网设备、IOT(物联网)设备、服务器终端等关键硬件网络通信基础设施等。

进一步地，上述方法采用一种基于可信标签的云边端协同零信任访问控制流程，包括以下步骤：

1)在安全终端上安装Agent(客户端)，对访问主体登陆进行身份校验，并生成针对该主体的唯一可信标签；

2)访问主体提出针对特定访问客体的访问申请到安全云大脑，安全云大脑对访问主体进行授权，即授予主体访问该客体的权限；

3)在安全云大脑中根据访问申请中的业务访问需求对可信标签进行标识，并生成访问控制策略，将访问控制策略下发到边缘决策网关；

4)端层的访问主体对得到授权的访问客体进行访问，将嵌入可信标签的访问数据包通过镜像的形式发送到边缘决策网关；

5)边缘决策网关对访问数据包中的可信标签进行检测，根据安全云大脑下发的访问控制策略进行判断，如果符合访问控制策略则放行流量，不符合则阻断流量；

6)对有不可信行为的异常终端进行微隔离，并实施远程取证。

进一步地，步骤1)中，访问主体包括人员、设备、系统、应用等。

进一步地，步骤1)中，Agent实现身份校验，包括但不限于密码校验、生物特征检验，从而对登陆操作进行授权。

进一步地，步骤2)中，在访问主体提出的针对特定访问客体的访问数据包中嵌入可信标签。

进一步地，步骤2)中，安全云大脑对访问主体进行身份校验，校验通过后则授予其对访问客体的访问权限。

进一步地，步骤3)中，在安全云大脑中部署可信访问控制系统、应用程序授权系统、日志报表系统、身份信息管理系统、安全应急处理中心等系统，对访问行为进行分级维护，基于行为分级对访问申请的可信标签进行特定标识，并生成安全的访问控制策略。

进一步地，所述行为分级的标准制定的依据包括但不限于：访问客体资源的重要程度、敏感程度；访问行为的敏感程度。

进一步地，步骤5)中，边缘决策网关根据安全云大脑下发的访问控制策略，对该次访问数据包中的可信标签进行检测和判断。

进一步地，若可信标签可信，则放行访问流量，访问主体即可获得所需的访问客体的资源，包括但不限于应用、接口、数据、服务等。

进一步地，步骤6)中，在安全云大脑中部署有安全应急处理中心，通过最小权限控制实现对异常终端的微隔离，并进行取证分析。

进一步地，由于安全云大脑不部署在企业内网中，针对无法访问外网的场景，可以将安全云大脑的功能和边缘决策网关部署在企业内网。

需要说明的是，终端在第一次访问某特定资源时会由云层进行可信标签标识和访问控制策略生成，在访问控制策略下发后，后续针对该资源的访问无需上传至云，而是由边缘决策网关处理，从而实现轻量、持续、细粒度的访问控制。

一种基于可信标签的云边端协同零信任访问控制系统，其包括：

安全云大脑，部署于云层，负责对端层发起的访问请求进行身份校验，并根据端层生成的可信标签制定访问控制策略，将访问控制策略下发至边层；

边缘决策网关，部署于边层，负责接收端层的访问请求的流量镜像并进行检测，根据云层下发的访问控制策略对端层中访问主体对访问客体的访问进行放行或阻断；

安全终端，部署于端层，负责与访问主体交互以向云层发起访问请求，并在获得访问权限后向访问客体请求相应资源。

进一步地，所述安全云大脑包括：

身份信息管理系统，负责对客户端的身份信息进行管理，从而实现对访问主体的身份校验功能；

应用程序授权系统，负责在访问主体通过身份校验后向其授予对访问客体的访问权限，并下发至端层；

可信访问控制系统，负责维护行为分级，分析并标识访问请求的可信标签，并生成访问控制策略，下发至边层；

日志报表系统，负责进行日志记录分析和存储；

安全应急处理中心，负责对检测到异常的客户端实施微隔离，进行应急响应、攻击分析以及溯源取证操作。

进一步地，所述边缘决策网关包括：

流量标签识别系统，负责根据访问控制策略检测并识别访问请求流量中的可信标签；

流量控制决策系统，负责根据流量中可信标签的检测结果，结合云层下发的安全访问控制策略，决定访问主体能否对访问客体的资源进行访问，若符合访问控制策略，即可信标签判定为可信，则放行流量，若不符合访问控制策略，即可信标签判定为不可信，则阻断流量。

本发明的优势和有益效果总结如下：

1.该架构不改变原有的网络结构，而是通过流量镜像、旁路部署的方式实现轻部署；

2.访问主体获得权限后才进行资源获取，资源传输只发生在主体端与客体端之间，资源不经过边界，没有资产暴露面；

3.根据零信任原则，在每一次访问时都基于访问主体和访问客体进行动态、持续的验证，颗粒度更精细，且能够做到基于应用程序、系统、设备、人员等多种类型主体的访问授权，利用云层维护的行为分级保证，实现访问的最小权限，能够有效防范内部威胁；

4.基于可信标签设计，若访问流量中不携带可信标签，则无法与应用系统建立连接，可以有效防御外部网络攻击，甚至包括零日攻击；

5.基于可信标签机制，可以一键对异常终端进行微隔离，支持快速取证。

附图说明

图1是本发明方案的整体架构图。

图2是本发明方案的实现访问控制的流程图。

具体实施方式

为使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明的目的、特征和优点能够更加明显易懂，下面结合附图和事例对本发明中技术核心作进一步的详细说明。

本实施例提供一种基于可信标签的云边端协同零信任访问控制系统，其采用基于可信标签的云边端协同零信任访问控制架构，如图1所示架构图，具体说明如下：

1.云层

在云层部署安全云大脑，安全云大脑可以是一计算机、服务器或服务器集群，负责对端层发起的访问请求进行身份校验和智能分析，生成安全策略下发至边层，并对异常端进行审计溯源。安全云大脑由5个子系统构成：

(1)身份信息管理系统，负责对Agent的身份信息进行管理，从而实现对访问主体的身份校验功能；

(2)应用程序授权系统，负责在访问主体通过身份校验后向其授予初步的对访问客体的访问权限，结果下发至端层；

(3)可信访问控制系统，负责维护行为分级，分析并标识访问请求的主体可信标签，智能生成访问控制策略，下发至边层；

(4)日志报表系统，负责进行日志记录分析和存储；

(5)安全应急处理中心，对检测到异常的Agent进行微隔离、以及攻击行为取证分析。

2.边层

在边层部署边缘决策网关，采用旁路部署的方式，接收端层访问请求的流量镜像进行检测，做出访问控制决策，并将分析结果上传到云层进行日志存储。边缘决策网关由2个子系统构成：

(1)流量标签识别系统，根据访问控制策略检测并识别访问请求流量中的可信标签；

(2)流量控制决策系统，根据流量中可信标签的检测结果，结合云层下发的访问控制策略，决定该次访问的主体能否访问客体资源，若请求符合策略，即可信标签可信，则放行流量，若请求不符合策略，即可信标签不可信，则阻断流量。

3.端层

在端层部署安全终端，与访问主体直接交互，发起访问请求，对访问主体的身份信息和行为进行整理上传，并在获得权限后向访问客体请求相应资源。

本实施例提供一种基于可信标签的云边端协同零信任访问控制方法，其流程如图2所示，具体包括以下步骤：

步骤100：在安全终端上安装Agent即客户端，Agent通过简单的身份校验实现访问主体的登陆操作。

步骤200：访问主体提出针对客体特定资源的访问申请，生成可信标签嵌入流量包，上传至安全云大脑。

其中，可信标签是指可以对访问主体身份信息进行标识的数据形式，例如用户ID、设备指纹、或对各类相关信息进行集成加工后的数据等。

步骤300：安全云大脑中的身份管理功能(身份信息管理系统)对主体身份进行校验，通过校验后由应用程序授权系统授予主体访问该客体的权限，并根据行为分级对Agent生成的可信标签进行特定标识。

其中，行为分级是指对访问行为进行分级维护，行为分级标准制定的依据包括但不限于：访问客体资源的重要程度、敏感程度；访问行为的敏感程度。例如可以设计如表1所示的行为分级表。

表1.行为分级表

资源重要程度	资源敏感程度	行为敏感程度	行为分级
				重要	公开	不敏感	II级
重要	内部	不敏感	III级
				一般	公开	不敏感	I级
一般	内部	不敏感	II级
				重要	公开	敏感	II级
重要	内部	敏感	IV级
				一般	公开	敏感	II级
一般	内部	敏感	III级

对于具体的业务场景，应对资源重要程度、资源敏感程度、行为敏感程度以及行为分级标准进行更有针对性而细致的设计。

其中，根据行为分级对Agent生成的可信标签进行特定标识具体是指：在安全云大脑的可信访问控制系统中生成并记录对该访问主体的可信标签的特定标识，该标识可以是行为分级、或通过企业内部特定标准能够与行为分级相互映射的信息等。

步骤400：安全云大脑的可信访问控制系统根据访问主体的可信标签和行为分级生成访问控制策略，访问控制权限授予的宽松程度随着行为级别的提升而收紧。将访问控制策略下发至边缘决策网关。

其中，根据访问主体的可信标签和行为分级生成访问控制策略的具体方法是：结合访问主体身份与特定标识，结合智能分析和管理员人工分析，决定某访问申请中的主体是否具备对其申请客体实施其申请行为的权限。例如，可以采用如表2所示的访问控制策略。

表2.访问控制策略

访问主体	特定标识	访问控制策略
			主体A	I级	授予权限
主体A	III级	不授予权限
			主体B	II级	不授予权限

步骤500：Agent正式向客体资源发起访问请求，同时该请求以流量镜像的形式发送至边缘决策网关的流量标签识别系统。

步骤600：边缘决策网关的流量标签识别系统对申请数据包中的可信标签进行检测识别，并由流量控制决策系统根据安全云大脑下发的访问控制策略做出决策。具体方法是：

若该可信标签存在于安全云大脑下发的访问控制策略并存储于边缘决策网关，且根据访问控制策略其访问申请具备相应权限，则可信标签判定为可信；

若该可信标签不存在于安全云大脑下发的访问控制策略且未存储于边缘决策网关，或根据访问控制策略其访问申请不具备相应权限，则可信标签判定为不可信。

步骤700：边缘决策网关的流量控制决策系统将决策通过旁路部署的方式下发至主体到客体的访问链路中，若可信标签判定为可信，则放行流量，访问主体可获得所需的客体特定资源；若可信标签判定为不可信，则阻断流量，该访问终端标记为异常终端。

步骤800：安全云大脑的安全应急处理中心对异常终端实施微隔离，进行应急响应、攻击分析、溯源取证等操作。

最后所应说明的是，以上实施案例仅用以说明本发明的技术方案而非限制，尽管使用事例对本发明进行了详细说明，本领域的普通技术人员应当理解，可对本发明的技术方案进行修改或者等价替换，而不脱离本发明技术方案的精神和范围，其均应涵盖在本发明的权利要求范围当中。

Claims (9)

1.一种基于可信标签的云边端协同零信任访问控制方法，其特征在于，包括以下步骤：

在云层部署安全云大脑，所述安全云大脑对端层发起的访问请求进行身份校验，并根据端层生成的可信标签制定访问控制策略，将访问控制策略下发至边层；

在边层部署边缘决策网关，所述边缘决策网关接收端层的访问请求的流量镜像并进行检测，根据云层下发的访问控制策略对端层中访问主体对访问客体的访问进行放行或阻断；

在端层部署安全终端，所述安全终端与访问主体交互以向云层发起访问请求，并在获得访问权限后向访问客体请求相应资源；

所述边缘决策网关对访问数据包中的可信标签进行检测，并根据安全云大脑下发的访问控制策略判断可信标签是否可信；若可信标签判定为可信，则放行流量，访问主体获得访问客体的特定资源；若可信标签判定为不可信，则阻断流量，将访问终端标记为异常终端；

所述判断可信标签是否可信，包括：

若该可信标签存在于安全云大脑下发的访问控制策略并存储于边缘决策网关，且根据访问控制策略其访问申请具备相应权限，则可信标签判定为可信；

若该可信标签不存在于安全云大脑下发的访问控制策略且未存储于边缘决策网关，或根据访问控制策略其访问申请不具备相应权限，则可信标签判定为不可信。

2.根据权利要求1所述的方法，其特征在于，在访问主体提出的针对访问客体的访问数据包中嵌入所述可信标签。

3.根据权利要求1所述的方法，其特征在于，所述安全云大脑对访问主体进行身份校验，校验通过后授予其对访问客体的访问权限。

4.根据权利要求1所述的方法，其特征在于，所述安全云大脑根据行为分级对所述可信标签进行标识，行为分级标准制定的依据包括：访问客体资源的重要程度、敏感程度；访问行为的敏感程度。

5.根据权利要求1所述的方法，其特征在于，所述安全云大脑根据访问主体的可信标签和行为分级生成访问控制策略，所述访问控制策略中访问控制权限授予的宽松程度随着行为级别的提升而收紧。

6.根据权利要求1所述的方法，其特征在于，所述安全云大脑对所述异常终端实施微隔离，进行应急响应、攻击分析以及溯源取证操作。

7.一种基于可信标签的云边端协同零信任访问控制系统，其特征在于，包括：

安全云大脑，部署于云层，负责对端层发起的访问请求进行身份校验，并根据端层生成的可信标签制定访问控制策略，将访问控制策略下发至边层；

边缘决策网关，部署于边层，负责接收端层的访问请求的流量镜像并进行检测，根据云层下发的访问控制策略对端层中访问主体对访问客体的访问进行放行或阻断；

安全终端，部署于端层，负责与访问主体交互以向云层发起访问请求，并在获得访问权限后向访问客体请求相应资源；

所述边缘决策网关对访问数据包中的可信标签进行检测，并根据安全云大脑下发的访问控制策略判断可信标签是否可信；若可信标签判定为可信，则放行流量，访问主体获得访问客体的特定资源；若可信标签判定为不可信，则阻断流量，将访问终端标记为异常终端；

所述判断可信标签是否可信，包括：

若该可信标签存在于安全云大脑下发的访问控制策略并存储于边缘决策网关，且根据访问控制策略其访问申请具备相应权限，则可信标签判定为可信；

若该可信标签不存在于安全云大脑下发的访问控制策略且未存储于边缘决策网关，或根据访问控制策略其访问申请不具备相应权限，则可信标签判定为不可信。

8.根据权利要求7所述的系统，其特征在于，所述安全云大脑包括：

身份信息管理系统，负责对客户端的身份信息进行管理，从而实现对访问主体的身份校验功能；

应用程序授权系统，负责在访问主体通过身份校验后向其授予对访问客体的访问权限，并下发至端层；

可信访问控制系统，负责维护行为分级，分析并标识访问请求的可信标签，并生成访问控制策略，下发至边层；

日志报表系统，负责进行日志记录分析和存储；

安全应急处理中心，负责对检测到异常的客户端实施微隔离，进行应急响应、攻击分析以及溯源取证操作。

9.根据权利要求7所述的系统，其特征在于，所述边缘决策网关包括：

流量标签识别系统，负责根据访问控制策略检测并识别访问请求流量中的可信标签；

流量控制决策系统，负责根据流量中可信标签的检测结果，结合云层下发的安全访问控制策略，决定访问主体能否对访问客体的资源进行访问，若符合访问控制策略，即可信标签判定为可信，则放行流量，若不符合访问控制策略，即可信标签判定为不可信，则阻断流量。