CN115118465B - 一种基于可信标签的云边端协同零信任访问控制方法及系统 - Google Patents
一种基于可信标签的云边端协同零信任访问控制方法及系统 Download PDFInfo
- Publication number
- CN115118465B CN115118465B CN202210666151.5A CN202210666151A CN115118465B CN 115118465 B CN115118465 B CN 115118465B CN 202210666151 A CN202210666151 A CN 202210666151A CN 115118465 B CN115118465 B CN 115118465B
- Authority
- CN
- China
- Prior art keywords
- access
- access control
- label
- layer
- trusted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 21
- 238000011217 control strategy Methods 0.000 claims abstract description 51
- 210000004556 brain Anatomy 0.000 claims abstract description 38
- 238000012795 verification Methods 0.000 claims abstract description 21
- 238000004458 analytical method Methods 0.000 claims description 14
- 230000035945 sensitivity Effects 0.000 claims description 14
- 230000002159 abnormal effect Effects 0.000 claims description 11
- 230000003542 behavioural effect Effects 0.000 claims description 7
- 238000002955 isolation Methods 0.000 claims description 6
- 230000000903 blocking effect Effects 0.000 claims description 4
- 230000004044 response Effects 0.000 claims description 4
- 238000001514 detection method Methods 0.000 claims description 3
- 230000006399 behavior Effects 0.000 description 22
- 238000007726 management method Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 5
- 238000013475 authorization Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000002787 reinforcement Effects 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000003925 brain function Effects 0.000 description 1
- 230000010485 coping Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000009472 formulation Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000035755 proliferation Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种基于可信标签的云边端协同零信任访问控制方法及系统。该方法包括:在云层部署安全云大脑,对端层发起的访问请求进行身份校验,并根据端层生成的可信标签制定访问控制策略,将访问控制策略下发至边层;在边层部署边缘决策网关,边缘决策网关接收端层的访问请求的流量镜像并进行检测,根据云层下发的访问控制策略对端层中访问主体对访问客体的访问进行放行或阻断;在端层部署安全终端,安全终端与访问主体交互以向云层发起访问请求,并在获得访问权限后向访问客体请求相应资源。本发明根据零信任准则,建立云、边、端三者协同的架构,形成以可信标签为凭证、以策略为驱动的访问控制流程,从而保障业务的可信运行。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及一种访问控制方法,更具体地,涉及一种基于可信标签的云边端协同零信任访问控制方法及系统。
背景技术
访问控制是一种通过对资源的访问和获取进行授权管理,使资源能够在合法范围内被使用的技术,是维护网络安全、数据安全的重要措施。尤其是在当今数据共享需求与日俱增、业务应用场景更加丰富、网络与终端类型更加多样的环境下,对访问控制技术、流程、框架的细致性、轻量性都有了更高的要求。此外,日益频繁复杂的网络攻击威胁也带来了更高的安全性需要,来自外部的攻击者可能突破脆弱的访问控制体系、或攻陷并冒用合法人员身份从而获取权限,而来自企业内部的威胁同样危害巨大且更加难以防范。
现有的访问控制方法,如自主访问控制、强制访问控制、基于角色的访问控制、基于任务的访问控制、基于属性的访问控制等在如今的网络环境下逐渐暴露缺陷:灵活性和扩展性不足,难以适应规模庞大、数据激增、变化迅速的网络环境;固化的访问控制策略难以应对身份冒用、内部威胁等安全风险。
当今云计算、大数据、物联网、5G通信、远程办公等新技术、新场景不断涌现,引发了源源不断的新威胁和新风险。在应对目前形势下的网络安全、应用安全、数据安全方面,仅在传统安全方案的基础上做边界加固和单点增强难以系统性地缓解各类安全威胁,而零信任是一个新兴的模型,作为一种可以支撑未来发展的安全防护方式正逐渐受到越来越多的关注。零信任模型并非全盘否定,而是秉承网络始终存在内部和外部威胁、所有的设备、用户和流量在验证前不存在固有信任的原则,致力于构建一个以身份为中心、以多源数据为依据的策略模型。
因此,访问控制技术作为数据安全和网络安全防护的重要关口,结合零信任模型的理念进行流程架构的改造升级是必然的选择,从而实现动态、实时、持续、精准、安全的新型访问控制技术。
发明内容
基于上述背景,本发明提出了一种基于可信标签的云边端协同零信任访问控制方法及系统。该方法根据零信任准则,不考虑业务系统自身的安全能力,而是假设系统都存在越权缺陷,建立云、边、端三者协同的架构,形成以可信标签为凭证、以策略为驱动的访问控制流程,从而在企业内部保障业务的可信运行。
为达到上述目的,本发明采取的具体技术方案是:
一种基于可信标签的云边端协同零信任访问控制方法,自上而下包括云层、边层、端层三个层次,该方法包括以下步骤:
1)在云层部署安全云大脑,借助云的强大存储资源能力和智能分析能力,实现对访问客体的身份授权,根据端层生成的可信标签针对性地制定访问控制策略,将访问控制策略下发至边层。
2)在边层部署边缘决策网关,对端层访问的流量进行检测识别,并根据云层返回的安全策略实施访问的放行或阻断。边缘决策网关通过检测可信标签实现端层网络攻击威胁发现、访问控制决策、攻击阻断。
3)在端层的访问主体部署安全终端,进行访问主体的身份校验,收集身份及行为信息进行上传,同时将业务访问需求申请提交到云层进行审批授权,并在获得访问权限后向访问客体请求相应资源。端层主要是用户实际使用的网络通信设备、工业互联网设备、IOT(物联网)设备、服务器终端等关键硬件网络通信基础设施等。
进一步地,上述方法采用一种基于可信标签的云边端协同零信任访问控制流程,包括以下步骤:
1)在安全终端上安装Agent(客户端),对访问主体登陆进行身份校验,并生成针对该主体的唯一可信标签;
2)访问主体提出针对特定访问客体的访问申请到安全云大脑,安全云大脑对访问主体进行授权,即授予主体访问该客体的权限;
3)在安全云大脑中根据访问申请中的业务访问需求对可信标签进行标识,并生成访问控制策略,将访问控制策略下发到边缘决策网关;
4)端层的访问主体对得到授权的访问客体进行访问,将嵌入可信标签的访问数据包通过镜像的形式发送到边缘决策网关;
5)边缘决策网关对访问数据包中的可信标签进行检测,根据安全云大脑下发的访问控制策略进行判断,如果符合访问控制策略则放行流量,不符合则阻断流量;
6)对有不可信行为的异常终端进行微隔离,并实施远程取证。
进一步地,步骤1)中,访问主体包括人员、设备、系统、应用等。
进一步地,步骤1)中,Agent实现身份校验,包括但不限于密码校验、生物特征检验,从而对登陆操作进行授权。
进一步地,步骤2)中,在访问主体提出的针对特定访问客体的访问数据包中嵌入可信标签。
进一步地,步骤2)中,安全云大脑对访问主体进行身份校验,校验通过后则授予其对访问客体的访问权限。
进一步地,步骤3)中,在安全云大脑中部署可信访问控制系统、应用程序授权系统、日志报表系统、身份信息管理系统、安全应急处理中心等系统,对访问行为进行分级维护,基于行为分级对访问申请的可信标签进行特定标识,并生成安全的访问控制策略。
进一步地,所述行为分级的标准制定的依据包括但不限于:访问客体资源的重要程度、敏感程度;访问行为的敏感程度。
进一步地,步骤5)中,边缘决策网关根据安全云大脑下发的访问控制策略,对该次访问数据包中的可信标签进行检测和判断。
进一步地,若可信标签可信,则放行访问流量,访问主体即可获得所需的访问客体的资源,包括但不限于应用、接口、数据、服务等。
进一步地,步骤6)中,在安全云大脑中部署有安全应急处理中心,通过最小权限控制实现对异常终端的微隔离,并进行取证分析。
进一步地,由于安全云大脑不部署在企业内网中,针对无法访问外网的场景,可以将安全云大脑的功能和边缘决策网关部署在企业内网。
需要说明的是,终端在第一次访问某特定资源时会由云层进行可信标签标识和访问控制策略生成,在访问控制策略下发后,后续针对该资源的访问无需上传至云,而是由边缘决策网关处理,从而实现轻量、持续、细粒度的访问控制。
一种基于可信标签的云边端协同零信任访问控制系统,其包括:
安全云大脑,部署于云层,负责对端层发起的访问请求进行身份校验,并根据端层生成的可信标签制定访问控制策略,将访问控制策略下发至边层;
边缘决策网关,部署于边层,负责接收端层的访问请求的流量镜像并进行检测,根据云层下发的访问控制策略对端层中访问主体对访问客体的访问进行放行或阻断;
安全终端,部署于端层,负责与访问主体交互以向云层发起访问请求,并在获得访问权限后向访问客体请求相应资源。
进一步地,所述安全云大脑包括:
身份信息管理系统,负责对客户端的身份信息进行管理,从而实现对访问主体的身份校验功能;
应用程序授权系统,负责在访问主体通过身份校验后向其授予对访问客体的访问权限,并下发至端层;
可信访问控制系统,负责维护行为分级,分析并标识访问请求的可信标签,并生成访问控制策略,下发至边层;
日志报表系统,负责进行日志记录分析和存储;
安全应急处理中心,负责对检测到异常的客户端实施微隔离,进行应急响应、攻击分析以及溯源取证操作。
进一步地,所述边缘决策网关包括:
流量标签识别系统,负责根据访问控制策略检测并识别访问请求流量中的可信标签;
流量控制决策系统,负责根据流量中可信标签的检测结果,结合云层下发的安全访问控制策略,决定访问主体能否对访问客体的资源进行访问,若符合访问控制策略,即可信标签判定为可信,则放行流量,若不符合访问控制策略,即可信标签判定为不可信,则阻断流量。
本发明的优势和有益效果总结如下:
1.该架构不改变原有的网络结构,而是通过流量镜像、旁路部署的方式实现轻部署;
2.访问主体获得权限后才进行资源获取,资源传输只发生在主体端与客体端之间,资源不经过边界,没有资产暴露面;
3.根据零信任原则,在每一次访问时都基于访问主体和访问客体进行动态、持续的验证,颗粒度更精细,且能够做到基于应用程序、系统、设备、人员等多种类型主体的访问授权,利用云层维护的行为分级保证,实现访问的最小权限,能够有效防范内部威胁;
4.基于可信标签设计,若访问流量中不携带可信标签,则无法与应用系统建立连接,可以有效防御外部网络攻击,甚至包括零日攻击;
5.基于可信标签机制,可以一键对异常终端进行微隔离,支持快速取证。
附图说明
图1是本发明方案的整体架构图。
图2是本发明方案的实现访问控制的流程图。
具体实施方式
为使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的目的、特征和优点能够更加明显易懂,下面结合附图和事例对本发明中技术核心作进一步的详细说明。
本实施例提供一种基于可信标签的云边端协同零信任访问控制系统,其采用基于可信标签的云边端协同零信任访问控制架构,如图1所示架构图,具体说明如下:
1.云层
在云层部署安全云大脑,安全云大脑可以是一计算机、服务器或服务器集群,负责对端层发起的访问请求进行身份校验和智能分析,生成安全策略下发至边层,并对异常端进行审计溯源。安全云大脑由5个子系统构成:
(1)身份信息管理系统,负责对Agent的身份信息进行管理,从而实现对访问主体的身份校验功能;
(2)应用程序授权系统,负责在访问主体通过身份校验后向其授予初步的对访问客体的访问权限,结果下发至端层;
(3)可信访问控制系统,负责维护行为分级,分析并标识访问请求的主体可信标签,智能生成访问控制策略,下发至边层;
(4)日志报表系统,负责进行日志记录分析和存储;
(5)安全应急处理中心,对检测到异常的Agent进行微隔离、以及攻击行为取证分析。
2.边层
在边层部署边缘决策网关,采用旁路部署的方式,接收端层访问请求的流量镜像进行检测,做出访问控制决策,并将分析结果上传到云层进行日志存储。边缘决策网关由2个子系统构成:
(1)流量标签识别系统,根据访问控制策略检测并识别访问请求流量中的可信标签;
(2)流量控制决策系统,根据流量中可信标签的检测结果,结合云层下发的访问控制策略,决定该次访问的主体能否访问客体资源,若请求符合策略,即可信标签可信,则放行流量,若请求不符合策略,即可信标签不可信,则阻断流量。
3.端层
在端层部署安全终端,与访问主体直接交互,发起访问请求,对访问主体的身份信息和行为进行整理上传,并在获得权限后向访问客体请求相应资源。
本实施例提供一种基于可信标签的云边端协同零信任访问控制方法,其流程如图2所示,具体包括以下步骤:
步骤100:在安全终端上安装Agent即客户端,Agent通过简单的身份校验实现访问主体的登陆操作。
步骤200:访问主体提出针对客体特定资源的访问申请,生成可信标签嵌入流量包,上传至安全云大脑。
其中,可信标签是指可以对访问主体身份信息进行标识的数据形式,例如用户ID、设备指纹、或对各类相关信息进行集成加工后的数据等。
步骤300:安全云大脑中的身份管理功能(身份信息管理系统)对主体身份进行校验,通过校验后由应用程序授权系统授予主体访问该客体的权限,并根据行为分级对Agent生成的可信标签进行特定标识。
其中,行为分级是指对访问行为进行分级维护,行为分级标准制定的依据包括但不限于:访问客体资源的重要程度、敏感程度;访问行为的敏感程度。例如可以设计如表1所示的行为分级表。
表1.行为分级表
资源重要程度 | 资源敏感程度 | 行为敏感程度 | 行为分级 |
重要 | 公开 | 不敏感 | II级 |
重要 | 内部 | 不敏感 | III级 |
一般 | 公开 | 不敏感 | I级 |
一般 | 内部 | 不敏感 | II级 |
重要 | 公开 | 敏感 | II级 |
重要 | 内部 | 敏感 | IV级 |
一般 | 公开 | 敏感 | II级 |
一般 | 内部 | 敏感 | III级 |
对于具体的业务场景,应对资源重要程度、资源敏感程度、行为敏感程度以及行为分级标准进行更有针对性而细致的设计。
其中,根据行为分级对Agent生成的可信标签进行特定标识具体是指:在安全云大脑的可信访问控制系统中生成并记录对该访问主体的可信标签的特定标识,该标识可以是行为分级、或通过企业内部特定标准能够与行为分级相互映射的信息等。
步骤400:安全云大脑的可信访问控制系统根据访问主体的可信标签和行为分级生成访问控制策略,访问控制权限授予的宽松程度随着行为级别的提升而收紧。将访问控制策略下发至边缘决策网关。
其中,根据访问主体的可信标签和行为分级生成访问控制策略的具体方法是:结合访问主体身份与特定标识,结合智能分析和管理员人工分析,决定某访问申请中的主体是否具备对其申请客体实施其申请行为的权限。例如,可以采用如表2所示的访问控制策略。
表2.访问控制策略
访问主体 | 特定标识 | 访问控制策略 |
主体A | I级 | 授予权限 |
主体A | III级 | 不授予权限 |
主体B | II级 | 不授予权限 |
步骤500:Agent正式向客体资源发起访问请求,同时该请求以流量镜像的形式发送至边缘决策网关的流量标签识别系统。
步骤600:边缘决策网关的流量标签识别系统对申请数据包中的可信标签进行检测识别,并由流量控制决策系统根据安全云大脑下发的访问控制策略做出决策。具体方法是:
若该可信标签存在于安全云大脑下发的访问控制策略并存储于边缘决策网关,且根据访问控制策略其访问申请具备相应权限,则可信标签判定为可信;
若该可信标签不存在于安全云大脑下发的访问控制策略且未存储于边缘决策网关,或根据访问控制策略其访问申请不具备相应权限,则可信标签判定为不可信。
步骤700:边缘决策网关的流量控制决策系统将决策通过旁路部署的方式下发至主体到客体的访问链路中,若可信标签判定为可信,则放行流量,访问主体可获得所需的客体特定资源;若可信标签判定为不可信,则阻断流量,该访问终端标记为异常终端。
步骤800:安全云大脑的安全应急处理中心对异常终端实施微隔离,进行应急响应、攻击分析、溯源取证等操作。
最后所应说明的是,以上实施案例仅用以说明本发明的技术方案而非限制,尽管使用事例对本发明进行了详细说明,本领域的普通技术人员应当理解,可对本发明的技术方案进行修改或者等价替换,而不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。
Claims (9)
1.一种基于可信标签的云边端协同零信任访问控制方法,其特征在于,包括以下步骤:
在云层部署安全云大脑,所述安全云大脑对端层发起的访问请求进行身份校验,并根据端层生成的可信标签制定访问控制策略,将访问控制策略下发至边层;
在边层部署边缘决策网关,所述边缘决策网关接收端层的访问请求的流量镜像并进行检测,根据云层下发的访问控制策略对端层中访问主体对访问客体的访问进行放行或阻断;
在端层部署安全终端,所述安全终端与访问主体交互以向云层发起访问请求,并在获得访问权限后向访问客体请求相应资源;
所述边缘决策网关对访问数据包中的可信标签进行检测,并根据安全云大脑下发的访问控制策略判断可信标签是否可信;若可信标签判定为可信,则放行流量,访问主体获得访问客体的特定资源;若可信标签判定为不可信,则阻断流量,将访问终端标记为异常终端;
所述判断可信标签是否可信,包括:
若该可信标签存在于安全云大脑下发的访问控制策略并存储于边缘决策网关,且根据访问控制策略其访问申请具备相应权限,则可信标签判定为可信;
若该可信标签不存在于安全云大脑下发的访问控制策略且未存储于边缘决策网关,或根据访问控制策略其访问申请不具备相应权限,则可信标签判定为不可信。
2.根据权利要求1所述的方法,其特征在于,在访问主体提出的针对访问客体的访问数据包中嵌入所述可信标签。
3.根据权利要求1所述的方法,其特征在于,所述安全云大脑对访问主体进行身份校验,校验通过后授予其对访问客体的访问权限。
4.根据权利要求1所述的方法,其特征在于,所述安全云大脑根据行为分级对所述可信标签进行标识,行为分级标准制定的依据包括:访问客体资源的重要程度、敏感程度;访问行为的敏感程度。
5.根据权利要求1所述的方法,其特征在于,所述安全云大脑根据访问主体的可信标签和行为分级生成访问控制策略,所述访问控制策略中访问控制权限授予的宽松程度随着行为级别的提升而收紧。
6.根据权利要求1所述的方法,其特征在于,所述安全云大脑对所述异常终端实施微隔离,进行应急响应、攻击分析以及溯源取证操作。
7.一种基于可信标签的云边端协同零信任访问控制系统,其特征在于,包括:
安全云大脑,部署于云层,负责对端层发起的访问请求进行身份校验,并根据端层生成的可信标签制定访问控制策略,将访问控制策略下发至边层;
边缘决策网关,部署于边层,负责接收端层的访问请求的流量镜像并进行检测,根据云层下发的访问控制策略对端层中访问主体对访问客体的访问进行放行或阻断;
安全终端,部署于端层,负责与访问主体交互以向云层发起访问请求,并在获得访问权限后向访问客体请求相应资源;
所述边缘决策网关对访问数据包中的可信标签进行检测,并根据安全云大脑下发的访问控制策略判断可信标签是否可信;若可信标签判定为可信,则放行流量,访问主体获得访问客体的特定资源;若可信标签判定为不可信,则阻断流量,将访问终端标记为异常终端;
所述判断可信标签是否可信,包括:
若该可信标签存在于安全云大脑下发的访问控制策略并存储于边缘决策网关,且根据访问控制策略其访问申请具备相应权限,则可信标签判定为可信;
若该可信标签不存在于安全云大脑下发的访问控制策略且未存储于边缘决策网关,或根据访问控制策略其访问申请不具备相应权限,则可信标签判定为不可信。
8.根据权利要求7所述的系统,其特征在于,所述安全云大脑包括:
身份信息管理系统,负责对客户端的身份信息进行管理,从而实现对访问主体的身份校验功能;
应用程序授权系统,负责在访问主体通过身份校验后向其授予对访问客体的访问权限,并下发至端层;
可信访问控制系统,负责维护行为分级,分析并标识访问请求的可信标签,并生成访问控制策略,下发至边层;
日志报表系统,负责进行日志记录分析和存储;
安全应急处理中心,负责对检测到异常的客户端实施微隔离,进行应急响应、攻击分析以及溯源取证操作。
9.根据权利要求7所述的系统,其特征在于,所述边缘决策网关包括:
流量标签识别系统,负责根据访问控制策略检测并识别访问请求流量中的可信标签;
流量控制决策系统,负责根据流量中可信标签的检测结果,结合云层下发的安全访问控制策略,决定访问主体能否对访问客体的资源进行访问,若符合访问控制策略,即可信标签判定为可信,则放行流量,若不符合访问控制策略,即可信标签判定为不可信,则阻断流量。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210666151.5A CN115118465B (zh) | 2022-06-13 | 2022-06-13 | 一种基于可信标签的云边端协同零信任访问控制方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210666151.5A CN115118465B (zh) | 2022-06-13 | 2022-06-13 | 一种基于可信标签的云边端协同零信任访问控制方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115118465A CN115118465A (zh) | 2022-09-27 |
CN115118465B true CN115118465B (zh) | 2023-11-28 |
Family
ID=83327830
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210666151.5A Active CN115118465B (zh) | 2022-06-13 | 2022-06-13 | 一种基于可信标签的云边端协同零信任访问控制方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115118465B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117424766A (zh) * | 2023-12-19 | 2024-01-19 | 国能大渡河大数据服务有限公司 | 一种基于可信度量的威胁行为检测系统及方法 |
Citations (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106878318A (zh) * | 2017-03-03 | 2017-06-20 | 钱德君 | 一种区块链实时轮询云端系统 |
CN107612929A (zh) * | 2017-10-18 | 2018-01-19 | 南京航空航天大学 | 一种基于信息流的多级安全访问控制模型 |
CN110300104A (zh) * | 2019-06-21 | 2019-10-01 | 山东超越数控电子股份有限公司 | 一种边缘云场景下用户权限控制与转移方法及系统 |
CN111949410A (zh) * | 2020-08-23 | 2020-11-17 | 陈顺发 | 基于大数据和边缘计算的数据整合方法及云端大数据中心 |
CN113225333A (zh) * | 2021-05-06 | 2021-08-06 | 西安电子科技大学 | 零信任下的网络资源访问控制方法 |
CN113472820A (zh) * | 2021-09-06 | 2021-10-01 | 中铁信弘远(北京)软件科技有限责任公司 | 一种基于零信任模型的云资源安全隔离控制方法及系统 |
CN113572738A (zh) * | 2021-06-29 | 2021-10-29 | 中孚安全技术有限公司 | 一种零信任网络架构及构建方法 |
CN113949573A (zh) * | 2021-10-18 | 2022-01-18 | 天翼数字生活科技有限公司 | 一种零信任的业务访问控制系统及方法 |
CN114070590A (zh) * | 2021-11-03 | 2022-02-18 | 中电科鹏跃电子科技有限公司 | 一种基于ibc的零信任防护方法及系统 |
CN114070600A (zh) * | 2021-11-11 | 2022-02-18 | 上海电气集团数字科技有限公司 | 一种基于零信任模型的工业互联网领域身份访问控制方法 |
CN114065183A (zh) * | 2021-10-18 | 2022-02-18 | 深信服科技股份有限公司 | 一种权限控制方法、装置、电子设备和存储介质 |
CN114189380A (zh) * | 2021-12-09 | 2022-03-15 | 四川启睿克科技有限公司 | 一种基于零信任的物联网设备分布式认证系统及授权方法 |
CN114338701A (zh) * | 2021-12-29 | 2022-04-12 | 四川启睿克科技有限公司 | 基于区块链的物联网零信任系统及访问方法 |
CN114499895A (zh) * | 2022-04-06 | 2022-05-13 | 国网浙江省电力有限公司电力科学研究院 | 一种融合可信计算与区块链的数据可信处理方法及系统 |
KR102402705B1 (ko) * | 2021-09-24 | 2022-05-30 | (주)시큐레이어 | 망분리 환경에서의 모바일 원격 관제를 위한, 제로 트러스트 모델 기반 멀티팩터 보안인증 방법 및 서버 |
CN114598540A (zh) * | 2022-03-18 | 2022-06-07 | 北京启明星辰信息安全技术有限公司 | 访问控制系统、方法、装置及存储介质 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11233826B2 (en) * | 2019-07-18 | 2022-01-25 | Hitachi, Ltd. | System and method of microservice-based application deployment with automating authorization configuration |
US11799860B2 (en) * | 2020-04-27 | 2023-10-24 | Zscaler, Inc. | Client forwarding policies for zero trust access for applications |
-
2022
- 2022-06-13 CN CN202210666151.5A patent/CN115118465B/zh active Active
Patent Citations (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106878318A (zh) * | 2017-03-03 | 2017-06-20 | 钱德君 | 一种区块链实时轮询云端系统 |
CN107612929A (zh) * | 2017-10-18 | 2018-01-19 | 南京航空航天大学 | 一种基于信息流的多级安全访问控制模型 |
CN110300104A (zh) * | 2019-06-21 | 2019-10-01 | 山东超越数控电子股份有限公司 | 一种边缘云场景下用户权限控制与转移方法及系统 |
CN111949410A (zh) * | 2020-08-23 | 2020-11-17 | 陈顺发 | 基于大数据和边缘计算的数据整合方法及云端大数据中心 |
CN113515368A (zh) * | 2020-08-23 | 2021-10-19 | 陈顺发 | 结合大数据和边缘计算的数据整合方法及存储介质 |
CN113225333A (zh) * | 2021-05-06 | 2021-08-06 | 西安电子科技大学 | 零信任下的网络资源访问控制方法 |
CN113572738A (zh) * | 2021-06-29 | 2021-10-29 | 中孚安全技术有限公司 | 一种零信任网络架构及构建方法 |
CN113472820A (zh) * | 2021-09-06 | 2021-10-01 | 中铁信弘远(北京)软件科技有限责任公司 | 一种基于零信任模型的云资源安全隔离控制方法及系统 |
KR102402705B1 (ko) * | 2021-09-24 | 2022-05-30 | (주)시큐레이어 | 망분리 환경에서의 모바일 원격 관제를 위한, 제로 트러스트 모델 기반 멀티팩터 보안인증 방법 및 서버 |
CN113949573A (zh) * | 2021-10-18 | 2022-01-18 | 天翼数字生活科技有限公司 | 一种零信任的业务访问控制系统及方法 |
CN114065183A (zh) * | 2021-10-18 | 2022-02-18 | 深信服科技股份有限公司 | 一种权限控制方法、装置、电子设备和存储介质 |
CN114070590A (zh) * | 2021-11-03 | 2022-02-18 | 中电科鹏跃电子科技有限公司 | 一种基于ibc的零信任防护方法及系统 |
CN114070600A (zh) * | 2021-11-11 | 2022-02-18 | 上海电气集团数字科技有限公司 | 一种基于零信任模型的工业互联网领域身份访问控制方法 |
CN114189380A (zh) * | 2021-12-09 | 2022-03-15 | 四川启睿克科技有限公司 | 一种基于零信任的物联网设备分布式认证系统及授权方法 |
CN114338701A (zh) * | 2021-12-29 | 2022-04-12 | 四川启睿克科技有限公司 | 基于区块链的物联网零信任系统及访问方法 |
CN114598540A (zh) * | 2022-03-18 | 2022-06-07 | 北京启明星辰信息安全技术有限公司 | 访问控制系统、方法、装置及存储介质 |
CN114499895A (zh) * | 2022-04-06 | 2022-05-13 | 国网浙江省电力有限公司电力科学研究院 | 一种融合可信计算与区块链的数据可信处理方法及系统 |
Non-Patent Citations (2)
Title |
---|
"Dynamic access control technology based on zero-trust light verification network model";P. Zhang et al;《2021 International Conference on Communications, Information System and Computer Engineering (CISCE),》;全文 * |
"零信任架构在5G云网中应用防护的研究";何国锋;《电信科学》;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN115118465A (zh) | 2022-09-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112765639B (zh) | 基于零信任访问策略的安全微服务架构及实现方法 | |
CN111917714B (zh) | 一种零信任架构系统及其使用方法 | |
US10341350B2 (en) | Actively identifying and neutralizing network hot spots | |
CN111064718B (zh) | 一种基于用户上下文及策略的动态授权方法和系统 | |
US11381972B2 (en) | Optimizing authentication and management of wireless devices in zero trust computing environments | |
CN116545731A (zh) | 一种基于时间窗动态切换的零信任网络访问控制方法及系统 | |
Salman et al. | Multi-level security for the 5G/IoT ubiquitous network | |
CN115118465B (zh) | 一种基于可信标签的云边端协同零信任访问控制方法及系统 | |
CN116319024A (zh) | 零信任系统的访问控制方法、装置及零信任系统 | |
CN109150853A (zh) | 基于角色访问控制的入侵检测系统及方法 | |
Xiaopeng et al. | A zero trust method based on BLP and BIBA model | |
CN116418568A (zh) | 一种基于动态信任评估的数据安全访问控制方法、系统及存储介质 | |
CN104104745B (zh) | 一种电网终端安全准入方法 | |
Jena et al. | A Pragmatic Analysis of Security Concerns in Cloud, Fog, and Edge Environment | |
Yu et al. | Research on zero trust access control model and formalization based on rail transit data platform | |
KR100706338B1 (ko) | 전자상거래에 있어서 가상접근통제 보안시스템 | |
CN105653928A (zh) | 一种面向大数据平台的拒绝服务检测方法 | |
US20200145426A1 (en) | Secure file transaction system | |
Pero et al. | Implementing a Zero Trust Environmentfor an Existing On-premises Cloud Solution | |
KR100657353B1 (ko) | 다양한 접근 통제 정책을 수용할 수 있는 보안 시스템,보안방법, 및 그 기록매체 | |
Bin et al. | Research of fine grit access control based on time in cloud computing | |
CN116155565B (zh) | 数据访问控制方法和装置 | |
Yang et al. | A Design Scheme of Data Security for Unmanned Aerial Vehicles | |
KR100707940B1 (ko) | 전자상거래에 있어서 가상접근통제 보안방법 | |
MOSTAFA et al. | FALSE ALARM REDUCTION SCHEME FOR DATABASE INTRUSION DETECTION SYSTEM. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |