CN115208689A - 基于零信任的访问控制方法、装置及设备 - Google Patents
基于零信任的访问控制方法、装置及设备 Download PDFInfo
- Publication number
- CN115208689A CN115208689A CN202210943300.8A CN202210943300A CN115208689A CN 115208689 A CN115208689 A CN 115208689A CN 202210943300 A CN202210943300 A CN 202210943300A CN 115208689 A CN115208689 A CN 115208689A
- Authority
- CN
- China
- Prior art keywords
- user
- strategy
- policy
- access
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3218—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
- H04L9/3221—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs interactive zero-knowledge proofs
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种基于零信任的访问控制方法、装置及设备,涉及网络安全技术领域,能够避免终端设备接入的用户频繁上下线产生的系统抖动现象,使得策略管理端可以灵活处理不同用户的策略。其中方法包括:按照预先设置的策略模板对用户访问权限进行统一格式的配置,得到用户适用的策略;响应于安全系统的启动指令,将用户适用的策略通过多层级架构下发至安全检测网关,并由安全检测网关将所述用户适用的策略对接至策略关联的功能引擎,以使得策略关联的功能引擎在检测到接入端存在用户访问异常时,使用用户适用的策略对接入端对应的用户操作数据进行检测,生成访问控制结果;根据访问控制结果对接入端对应用户进行访问权限控制。
Description
技术领域
本申请涉及网络安全技术领域,尤其是涉及到一种基于零信任的访问控制方法、装置及设备。
背景技术
零信任是面向数字时代的新型安全防护理念,是一种以资源保护为核心的网络安全范式,是以身份为中心进行动态访问控制。零信任默认不信任企业网络内外的任何人、设备和系统,基于身份认证和授权重新构建访问控制的信任基础,从而确保身份可信、设备可信、应用可信和链路可信。
现有基于零信任的访问控制过程中,终端设备在接入策略管控端后,发起策略请求,策略管控端会下发策略到网关,同时启用终端设备的访问控制列表预制策略,亦或是启用防火墙规则策略。然而,策略管控端中并没有统一的无差别策略,整个访问控制流程是以终端设备标识的接入为条件独立完成的,一旦终端设备接入的用户频繁上下线,策略就会产生频繁的变更,需要系统耗费大量时间进行频繁的页面交换,产生系统抖动现象,使得策略管理端很难灵活处理不同用户的策略。
发明内容
有鉴于此,本申请提供了一种基于零信任的访问控制方法、装置及设备,主要目的在于解决现有技术终端设备接入的用户频繁上下线产生的系统抖动现象,使得策略管理端很难灵活处理不同用户的策略的问题。
根据本申请的第一个方面,提供了一种基于零信任的访问控制方法,该方法包括:
按照预先设置的策略模板对用户访问权限进行统一格式的配置,得到用户适用的策略;
响应于安全系统的启动指令,将所述用户适用的策略通过多层级架构下发至安全检测网关,并由所述安全检测网关将所述用户适用的策略对接至策略关联的功能引擎,以使得策略关联的功能引擎在检测到接入端存在用户访问异常时,使用所述用户适用的策略对接入端对应的用户操作数据进行检测,生成访问控制结果;
接收所述访问控制结果,并根据所述访问控制结果对接入端对应用户进行访问权限控制。
进一步地,所述按照预先设置的策略模板对用户访问权限进行统一格式的配置,得到用户适用的策略,具体包括:
从不同应用渠道获取用户对接应用的认证信息,根据所述用户对接应用的认证信息确定用户使用零信任场景的安全类型以及相应安全类型对应的用户访问权限;
利用策略引擎的检测逻辑,根据所述用户使用零信任场景的安全类型以及相应安全类型对应的用户访问权限,分别配置针对用户的策略模型以及针对用户的策略形式;
按照预先设置的策略模板对所述针对用户的策略模型以及针对用户的策略形式进行统一格式配置,得到用户适用的策略。
进一步地,所述从不同应用渠道获取用户对接应用的认证信息,根据所述用户对接应用的认证信息确定用户使用零信任场景的安全类型以及相应安全类型对应的用户访问权限,具体包括:
从不同应用渠道获取用户对接应用的认证信息,结合分布式部署对用户行为计算得到的异常访问信息确定用户使用零信任场景的安全类型;
根据所述用户使用零信任场景的安全类型对所述用户对接应用的认证信息进行多维度处理,得到相应安全类型对应用户的应用访问信息;
按照预先设置的控制流将所述相应安全类型对应用户的应用访问信息实时同步至策略引擎,以使得所述策略引擎将所述相应安全类型对应用户的应用访问信息关联至策略模板,得到相应安全类型对应的用户访问权限。
进一步地,所述利用策略引擎的检测逻辑,根据所述用户使用零信任场景的安全类型以及相应安全类型对应的用户访问权限,分别配置针对用户的策略模型以及针对用户的策略形式,具体包括:
利用策略引擎的检测逻辑,根据所述用户使用零信任场景的安全类型将所述相应安全类型对应的用户访问权限分解为策略逻辑和策略执行逻辑;
根据所述策略逻辑配置针对用户的策略模型,根据所述策略执行逻辑配置针对用户的策略形式,所述策略模型包括用户对接到零信任场景中使用的策略集和规则集,所述策略形式为策略集和规则集在零信任场景的执行流程。
进一步地,所述策略模板中记录有用户使用零信任场景对应不同安全类型的策略分组,所述按照预先设置的策略模板对所述针对用户的策略模型以及针对用户的策略形式进行统一格式配置,得到用户适用的策略,具体包括:
按照预先设置的策略模板将所述针对用户的策略模型与用户使用零信任场景对应安全类型的策略分组进行匹配,得到策略模型命中的多个策略分组;
结合所述针对用户的策略形式对所述策略模型命中的多个策略分组进行统一格式配置,得到用户适用的策略。
进一步地,在所述按照预先设置的策略模板将所述针对用户的策略模型与用户使用零信任场景对应安全类型的策略分组进行匹配,得到策略模型命中的多个策略分组之后,所述方法还包括:
根据所述策略模型命中的多个策略分组判断不同策略分组中的策略集和规则集之间是否存在冲突;
若是,则针对存在冲突的策略分组中的策略集和规则集设置优先顺序。
进一步地,所述将所述用户适用的策略通过多层级架构下发至安全检测网关,并由所述安全检测网关将所述用户适用的策略对接至策略关联的功能引擎,具体包括:
使用第一层级架构对所述用户适用的策略进行分解,并针对分解后的策略生成策略下发标记位,所述策略下发标记位为按照预先配置的策略与功能引擎的关联关系所生成的;
使用第二层级架构将分解后的策略和相应策略下发标记位下发至安全检测网关,并由所述安全检测网关将所述分解后的策略对接至所述策略下发标记位对应的功能引擎。
进一步地,所述访问控制结果记录有用户操作数据中命中的策略和规则,所述根据所述访问控制结果对接入端对应用户进行访问权限控制,具体包括:
将所述用户操作数据中命中的策略和规则转换为用户被允许的行为权限和用户被拦截的行为权限;
根据所述用户被允许的行为权限和用户被拦截的行为权限,对接入端对应用户进行访问权限控制。
根据本申请的第二个方面,提供了一种基于零信任的访问控制装置,该装置包括:
配置单元,用于按照预先设置的策略模板对用户访问权限进行统一格式的配置,得到用户适用的策略;
下发单元,用于响应于安全系统的启动指令,将所述用户适用的策略通过多层级架构下发至安全检测网关,并由所述安全检测网关将所述用户适用的策略对接至策略关联的功能引擎,以使得策略关联的功能引擎在检测到接入端存在用户访问异常时,使用所述用户适用的策略对接入端对应的用户操作数据进行检测,生成访问控制结果;
控制单元,用于接收所述访问控制结果,并根据所述访问控制结果对接入端对应用户进行访问权限控制。
进一步地,所述配置单元包括:
确定模块,用于从不同应用渠道获取用户对接应用的认证信息,根据所述用户对接应用的认证信息确定用户使用零信任场景的安全类型以及相应安全类型对应的用户访问权限;
第一配置模块,用于利用策略引擎的检测逻辑,根据所述用户使用零信任场景的安全类型以及相应安全类型对应的用户访问权限,分别配置针对用户的策略模型以及针对用户的策略形式;
第二配置模块,用于按照预先设置的策略模板对所述针对用户的策略模型以及针对用户的策略形式进行统一格式配置,得到用户适用的策略。
进一步地,所述确定模块包括:
确定子模块,用于从不同应用渠道获取用户对接应用的认证信息,结合分布式部署对用户行为计算得到的异常访问信息确定用户使用零信任场景的安全类型;
处理子模块,用于根据所述用户使用零信任场景的安全类型对所述用户对接应用的认证信息进行多维度处理,得到相应安全类型对应用户的应用访问信息;
同步子模块,用于按照预先设置的控制流将所述相应安全类型对应用户的应用访问信息实时同步至策略引擎,以使得所述策略引擎将所述相应安全类型对应用户的应用访问信息关联至策略模板,得到相应安全类型对应的用户访问权限。
进一步地,所述第一配置模块包括:
分解子模块,用于利用策略引擎的检测逻辑,根据所述用户使用零信任场景的安全类型将所述相应安全类型对应的用户访问权限分解为策略逻辑和策略执行逻辑;
第一配置子模块,用于根据所述策略逻辑配置针对用户的策略模型,根据所述策略执行逻辑配置针对用户的策略形式,所述策略模型包括用户对接到零信任场景中使用的策略集和规则集,所述策略形式为策略集和规则集在零信任场景的执行流程。
进一步地,所述策略模板中记录有用户使用零信任场景对应不同安全类型的策略分组,所述第二配置模块包括:
第二匹配子模块,用于按照预先设置的策略模板将所述针对用户的策略模型与用户使用零信任场景对应安全类型的策略分组进行匹配,得到策略模型命中的多个策略分组;
配置子模块,用于结合所述针对用户的策略形式对所述策略模型命中的多个策略分组进行统一格式配置,得到用户适用的策略。
进一步地,所述第二配置模块还包括:
判断子模块,用于在所述按照预先设置的策略模板将所述针对用户的策略模型与用户使用零信任场景对应安全类型的策略分组进行匹配,得到策略模型命中的多个策略分组之后,根据所述策略模型命中的多个策略分组判断不同策略分组中的策略集和规则集之间是否存在冲突;
设置子模块,用于若是,则针对存在冲突的策略分组中的策略集和规则集设置优先顺序。
进一步地,所述下发单元包括:
生成模块,用于使用第一层级架构对所述用户适用的策略进行分解,并针对分解后的策略生成策略下发标记位,所述策略下发标记位为按照预先配置的策略与功能引擎的关联关系所生成的;
下发模块,用于使用第二层级架构将分解后的策略和相应策略下发标记位下发至安全检测网关,并由所述安全检测网关将所述分解后的策略对接至所述策略下发标记位对应的功能引擎。
进一步地,所述控制单元包括:
转换模块,用于将所述用户操作数据中命中的策略和规则转换为用户被允许的行为权限和用户被拦截的行为权限;
控制模块,用于根据所述用户被允许的行为权限和用户被拦截的行为权限,对接入端对应用户进行访问权限控制。
根据本申请的第三个方面,提供了一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述基于零信任的访问控制方法。
根据本申请的第四方面,提供了一种基于零信任的访问控制设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述基于零信任的访问控制方法。
借由上述技术方案,本申请提供的一种基于零信任的访问控制方法、装置及设备,通过按照预先设置的策略模板对用户访问权限进行统一格式的配置,得到用户适用的策略,将用户适用的策略通过多层级架构下发至安全检测网关,并由安全检测网关将所述用户适用的策略对接至策略关联的功能引擎,以使得策略关联的功能引擎在检测到接入端存在用户访问异常时,使用用户适用的策略对接入端对应的用户操作数据进行检测,生成访问控制结果,并接收所述访问控制结果,并根据访问控制结果对接入端对应用户进行访问权限控制。与目前现有方式中基于管控端下发的策略进行访问权限控制的方式相比,本申请将用户访问权限进行统一格式的配置,使得用户适用的策略能够被解析成不同功能引擎能够识别的策略,整个流程支持策略的动态调整,进一步将策略通过安全检测网关下发到策略关联不同功能引擎,以使得当功能引擎检测到访问异常时实时上报行为数据至功能引擎,并由功能引擎来触发策略进行访问控制,增加访问控制的执行能效,使得策略管理端能灵活处理不同用户的策略。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1示出了本申请实施例提供的一种基于零信任的访问控制方法的流程示意图;
图2示出了本申请实施例提供的策略引擎对用户访问权限进行统一格式的配置的流程框图;
图3示出了本申请实施例提供的策略下发的多层级架构框图;
图4示出了本申请实施例提供的另一种基于零信任的访问控制方法的流程示意图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本申请。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
在现有零信任的访问控制方式中,零信任策略(包括动态策略)并没有统一的无差别策略,同时对策略的设定基本上采用访问控制列表的模式,统一接入零信任安全中心,然而在零信任的访问控制过程中,针对不同的接入设备、系统、账户需要提供不同的策略,此时会产生两个问题,一是当用户频繁上下线的时候,策略频繁被删除会产生流量,对于以终端设备标识为接入条件的情况会导致系统抖动厉害,另一个是在公共区域的情况,接入wifi连接统一的终端设别标识,内部会进行动态转换,一个终端设备标识对应一套策略,出现多个用户公用一个终端设备标识的情况,这使得策略对接的用户存在错误。为了解决接入端适配终端的复杂性,本发明实施例采用统一的配置逻辑进行配置,并结合基础安全、数据安全、业务安全以及攻防安全的策略需求,设计了多层级策略分离架构,同时增加了适用于层级之间使用的策略模板以及动态策略等,可以让使用方针对不同场景、不同企业应用的多维度策略配置逻辑,提升使用方配置策略的简单性以及易用性。
具体地,本实施例提供了一种基于零信任的访问控制方法,如图1所示,该方法可应用于访问权限控制的安全系统中,包括如下步骤:
101、按照预先设置的策略模板对用户访问权限进行统一格式的配置,得到用户适用的策略。
其中,预先设置的策略模板中采用新的策略模型、策略形式以及策略是能方式,可以针对使用方对接的用户进行个性化策略配置。为了便于策略配置,这里访问权限控制的安全系统涉及策略管控端、策略引擎、安全检测网关以及策略关联的功能引擎,具体可以通过使用方管理员在管控端提前对企业内、外的用户进行策略配置,这里包括策略启用、策略取消以及策略的动态管理过程。
通常情况下,系统用户使用系统的策略,默认情况下是全部阻断,即用户的任何接入,访问企业应用等行为都会被零信任场景的系统禁止,这里用户需要是组织内成员,或者用户的信息被导入至零信任场景的系统中。具体地,可以从不同应用渠道获取用户对接应用的认证信息,根据用户对接应用的认证信息确定用户使用零信任场景的安全类型以及相应安全类型对应的用户访问权限,进一步利用策略引擎的检测逻辑,根据用户使用零信任场景的安全类型以及相应安全类型对应的用户访问权限,分别配置针对用户的策略模型以及针对用户的策略形式,按照预先设置的策略模板对针对用户的策略模型以及针对用户的策略形式进行统一格式配置,得到用户适用的策略。这里用户对接应用的认证信息通常是企业预先针对用户在组织内的角色设置的应用访问权限,例如,财务部门的用户允许访问财务类相关应用,禁止访问研发类相关应用,用户使用零信任场景的安全类型为是否启用访问控制属性的安全上下文,对于启用访问控制属性的安全上下文后,相应安全类型对应的用户访问权限可以控制进程只能访问用户的任务中所需要的文件。
考虑到用户对接应用的认证信息代表了用户对接不同应用的使用场景以及使用权限,具体根据用户对接应用的认证信息确定用户使用零信任场景的安全类型以及相应安全类型对应的用户访问权限的过程中,可以从不同应用渠道获取用户对接应用的认证信息,结合分布式部署对用户行为计算得到的异常访问信息确定用户使用零信任场景的安全类型,根据用户使用零信任场景的安全类型对用户对接应用的认证信息进行多维度处理,得到相应安全类型对应用户的应用访问信息,按照预先设置的控制流将相应安全类型对应用户的应用访问信息实时同步至策略引擎,以使得策略引擎将相应安全类型对应用户的应用访问信息关联至策略模板,得到相应安全类型对应的用户访问权限。这里对用户对接应用的认证信息进行多维度处理相当于统一处理用户对接应用的认证信息的过程,多维度处理主要包括针对用户所配置不同维度的启用策略,例如,用户是否启用安全模板维度、用户是否启用数据安全维度等,预先设置的控制流为将应用访问信息从数据缓存平台流向至策略引擎,策略关联的功能引擎通常为策略执行启用的功能引擎,数据安全的策略关联数据安全引擎,规则的策略关联规则引擎。
具体配置针对用户的策略模型以及针对用户的策略形式的过程中,可以利用策略引擎的检测逻辑,根据用户使用零信任场景的安全类型将相应安全类型对应的用户访问权限分解为策略逻辑和策略执行逻辑,根据策略逻辑配置针对用户的策略模型,根据策略执行逻辑配置针对用户的策略形式,该策略模型包括用户对接到零信任场景中使用的策略集和规则集,策略形式为策略集和规则集在零信任场景的执行流程。
这里策略模板中记录有用户使用零信任场景对应不同安全类型的策略分组,具体按照预先设置的策略模板对针对用户的策略模型以及针对用户的策略形式进行统一格式配置的过程中,可以按照预先设置的策略模板将针对用户的策略模型与用户使用零信任场景对应安全类型的策略分组进行匹配,得到策略模型命中的多个策略分组,结合针对用户的策略形式对策略模型命中的多个策略分组进行统一格式配置,得到用户适用的策略。
可以理解的是,由于用户访问权限可能分布到多个策略分组,也就是说策略模型可能同时命中多个策略分组,用户可以对不同的应用都具有访问权限,而策略分组之间可能会存在冲突。为了进一步提高策略的适配性,还可以在匹配得到策略模型命中的多个策略分组之后,根据策略模型命中的多个策略分组判断不同策略分组中的策略集和规则集之间是否存在冲突,若是,则针对存在冲突的策略分组中的策略集和规则集设置优先顺序,这里优先级顺序可以是策略之间的优先使用顺序。例如,策略模型命中的策略分组中包括此策略分组A中策略a1和策略分组B中的策略b2,而策略分组A中包括策略a1是用户可以访问应用m,不可以访问应用n,策略分组B中策略b2是用户可以访问应用m,还可以访问应用n,此时策略a1和策略b2之间产生冲突,可以设置策略b2的优先级高于策略a1,那么用户既可以访问应用m,也可以访问应用n。
可以理解的是,相关技术针对零信任场景所配置的策略并没有统一的无差别策略,同时对策略的设定基本都是采用访问控制列表的模式,本发明实施例可以统一接入至零信任安全中,针对不同的接入终端设备、系统、账户,需要提供不同的策略,采用统一的配置逻辑,统一的方式,并结合基础安全、数据安全、业务安全以及攻防安全的策略需求,设计了多级策略分离框架,使用多层级策略分离框架来预制一种安全的防御场景策略组,将适用不同用户的策略下发到安全检测网关,该过程是不以用户的接入为条件,独立完成的,用户的接入会在预先配置好的状态下收到零信任网关的监控和检测。
具体在实际应用场景中,策略引擎对用户访问权限进行统一格式的配置的流程如2所示,系统启动后,分别从acl策略中获取acl对应用户及其所有应用和规则,从app获取应用组以及应用对应策略信息,从staff获取部门以及员工对应策略信息,进一步处理用户信息后生成全局缓存信息,这里处理用户信息的过程包括处理对应用户策略的acl的应用信息,处理对应应用的规则信息,进一步根据优先级处理冲突的规则,去除不可下发的数据,并与缓存对比后找到变化的数据,并将变化的数据添加到变量后入库,下发至数据存储平台,同时将全局缓存信息下发到数据存储平台。
102、响应于安全系统的启动指令,将所述用户适用的策略通过多层级架构下发至安全检测网关,并由所述安全检测网关将所述用户适用的策略对接至策略关联的功能引擎,以使得策略关联的功能引擎在检测到接入端存在用户访问异常时,使用所述用户适用的策略对接入端对应的用户操作数据进行检测,生成访问控制结果。
可以理解的是,这里策略的检测结果并不会直接下发到接入端进行控制,而是将不同策略通过安全检测网关下放到不同功能引擎中,当功能引擎检测到异常时,能够及时跟进上报的数据来触发策略执行,进而检测用户操作数是否命中策略,并根据检测得到的匹配项生成访问控制结果。
具体地,可以使用第一层级架构对用户适用的策略进行分解,并针对分解后的策略生成策略下发标记位,这里策略下发标记位为按照预先配置的策略与功能引擎的关联关系所生成的,进一步使用第二层级架构将分解后的策略和相应策略下发标记位下发至安全检测网关,并由安全检测网关将所述分解后的策略对接至策略下发标记位对应的功能引擎。这里分解后的策略包括策略集和规则集,策略集中包括策略id、策略内容、规则集以及策略命中分值、策略优先级等属性,具体还可以自定义设置属性,规则集中包括规则id、规则内容以及规则命中分值,这里规则可以为检测的过程中提供的正则表达式、特征字以及特征算法等。
这里对用户适用的策略进行分解的过程可以设立策略引擎解析器,通过解析策略配置语义,使用配置的语义将用户适用的策略解析成检测引擎能够识别的策略,进而提高策略的实用性。
在实际应用场景中,策略下发的多层级架构如图3所示,图3中用户适用的策略先实时同步至数据存储平台,经过分解引擎分解得到策略集和规则集,进一步将分解后的策略集和规则集发放到安全检测网关,由安全检测网关将策略下发到策略关联的功能引擎,并由功能引擎接收接入端上传的用户操作数据,以及根据用户操作数据检测是否命中用户适用的策略,进而生成访问控制结果。
103、接收所述访问控制结果,并根据所述访问控制结果对接入端对应用户进行访问权限控制。
其中,访问控制结果记录有用户操作数据中命中的策略和规则,用户操作数据命中的策略和规则会触发功能引擎相应的检测功能,进一步根据功能引擎的检测结果来确定用户是否具有访问的权限。具体地,可以将用户操作数据中命中的策略和规则转换为用户被允许的行为权限和用户被拦截的行为权限,根据用户被允许的行为权限和用户被拦截的行为权限,对接入端对应用户进行访问权限控制。
本发明实施例提供的基于零信任的访问控制方法,通过按照预先设置的策略模板对用户访问权限进行统一格式的配置,得到用户适用的策略,将用户适用的策略通过多层级架构下发至安全检测网关,并由安全检测网关将所述用户适用的策略对接至策略关联的功能引擎,以使得策略关联的功能引擎在检测到接入端存在用户访问异常时,使用用户适用的策略对接入端对应的用户操作数据进行检测,生成访问控制结果,并接收所述访问控制结果,并根据访问控制结果对接入端对应用户进行访问权限控制。与目前现有方式中基于管控端下发的策略进行访问权限控制的方式相比,本申请将用户访问权限进行统一格式的配置,使得用户适用的策略能够被解析成不同功能引擎能够识别的策略,整个流程支持策略的动态调整,进一步将策略通过安全检测网关下发到策略关联不同功能引擎,以使得当功能引擎检测到访问异常时实时上报行为数据至功能引擎,并由功能引擎来触发策略进行访问控制,增加访问控制的执行能效,使得策略管理端能灵活处理不同用户的策略。
进一步的,作为图1方法的具体实现,本申请实施例提供了一种应基于零信任的访问控制装置,如图4所示,该装置包括:配置单元21、下发单元22、控制单元23。
配置单元21,可以用于按照预先设置的策略模板对用户访问权限进行统一格式的配置,得到用户适用的策略;
下发单元22,可以用于响应于安全系统的启动指令,将所述用户适用的策略通过多层级架构下发至安全检测网关,并由所述安全检测网关将所述用户适用的策略对接至策略关联的功能引擎,以使得策略关联的功能引擎在检测到接入端存在用户访问异常时,使用所述用户适用的策略对接入端对应的用户操作数据进行检测,生成访问控制结果;
控制单元23,可以用于接收所述访问控制结果,并根据所述访问控制结果对接入端对应用户进行访问权限控制。
在具体的应用场景中,所述配置单元21包括:
确定模块,可以用于从不同应用渠道获取用户对接应用的认证信息,根据所述用户对接应用的认证信息确定用户使用零信任场景的安全类型以及相应安全类型对应的用户访问权限;
第一配置模块,可以用于利用策略引擎的检测逻辑,根据所述用户使用零信任场景的安全类型以及相应安全类型对应的用户访问权限,分别配置针对用户的策略模型以及针对用户的策略形式;
第二配置模块,可以用于按照预先设置的策略模板对所述针对用户的策略模型以及针对用户的策略形式进行统一格式配置,得到用户适用的策略。
在具体的应用场景中,所述确定模块包括:
确定子模块,可以用于从不同应用渠道获取用户对接应用的认证信息,结合分布式部署对用户行为计算得到的异常访问信息确定用户使用零信任场景的安全类型;
处理子模块,可以用于根据所述用户使用零信任场景的安全类型对所述用户对接应用的认证信息进行多维度处理,得到相应安全类型对应用户的应用访问信息;
同步子模块,可以用于按照预先设置的控制流将所述相应安全类型对应用户的应用访问信息实时同步至策略引擎,以使得所述策略引擎将所述相应安全类型对应用户的应用访问信息关联至策略模板,得到相应安全类型对应的用户访问权限。
在具体的应用场景中,所述第一配置模块包括:
分解子模块,可以用于利用策略引擎的检测逻辑,根据所述用户使用零信任场景的安全类型将所述相应安全类型对应的用户访问权限分解为策略逻辑和策略执行逻辑;
第一配置子模块,可以用于根据所述策略逻辑配置针对用户的策略模型,根据所述策略执行逻辑配置针对用户的策略形式,所述策略模型包括用户对接到零信任场景中使用的策略集和规则集,所述策略形式为策略集和规则集在零信任场景的执行流程。
在具体的应用场景中,所述策略模板中记录有用户使用零信任场景对应不同安全类型的策略分组,所述第二配置模块包括:
第二匹配子模块,可以用于按照预先设置的策略模板将所述针对用户的策略模型与用户使用零信任场景对应安全类型的策略分组进行匹配,得到策略模型命中的多个策略分组;
配置子模块,可以用于结合所述针对用户的策略形式对所述策略模型命中的多个策略分组进行统一格式配置,得到用户适用的策略。
在具体的应用场景中,所述第二配置模块还包括:
判断子模块,可以用于在所述按照预先设置的策略模板将所述针对用户的策略模型与用户使用零信任场景对应安全类型的策略分组进行匹配,得到策略模型命中的多个策略分组之后,根据所述策略模型命中的多个策略分组判断不同策略分组中的策略集和规则集之间是否存在冲突;
设置子模块,可以用于若是,则针对存在冲突的策略分组中的策略集和规则集设置优先顺序。
在具体的应用场景中,所述下发单元22包括:
生成模块,可以用于使用第一层级架构对所述用户适用的策略进行分解,并针对分解后的策略生成策略下发标记位,所述策略下发标记位为按照预先配置的策略与功能引擎的关联关系所生成的;
下发模块,可以用于使用第二层级架构将分解后的策略和相应策略下发标记位下发至安全检测网关,并由所述安全检测网关将所述分解后的策略对接至所述策略下发标记位对应的功能引擎。
在具体的应用场景中,所述控制单元23包括:
转换模块,可以用于将所述用户操作数据中命中的策略和规则转换为用户被允许的行为权限和用户被拦截的行为权限;
控制模块,可以用于根据所述用户被允许的行为权限和用户被拦截的行为权限,对接入端对应用户进行访问权限控制。
需要说明的是,本实施例提供的一种可应用于访问权限控制平台侧的基于零信任的访问控制装置所涉及各功能单元的其它相应描述,可以参考图1中的对应描述,在此不再赘述。
基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景所述的方法。
基于上述如图1所示的方法,以及图4所示的虚拟装置实施例,为了实现上述目的,本申请实施例还提供了一种服务端实体设备,具体可以为计算机,服务器,或者其他网络设备等,该实体设备包括存储介质和处理器;存储介质,用于存储计算机程序;处理器,用于执行计算机程序以实现上述如图1所示的基于零信任的访问控制方法。
可选的,上述实体设备都还可以包括用户接口、网络接口、摄像头、射频(RadioFrequency,RF)电路,传感器、音频电路、WI-FI模块等等。用户接口可以包括显示屏(Display)、输入单元比如键盘(Keyboard)等,可选用户接口还可以包括USB接口、读卡器接口等。网络接口可选的可以包括标准的有线接口、无线接口(如WI-FI接口)等。
本领域技术人员可以理解,本实施例提供的一种基于零信任的访问控制的实体设备结构并不构成对该实体设备的限定,可以包括更多或更少的部件,或者组合某些部件,或者不同的部件布置。
存储介质中还可以包括操作系统、网络通信模块。操作系统是管理上述店铺搜索信息处理的实体设备硬件和软件资源的程序,支持信息处理程序以及其它软件和/或程序的运行。网络通信模块用于实现存储介质内部各组件之间的通信,以及与信息处理实体设备中其它硬件和软件之间通信。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以借助软件加必要的通用硬件平台的方式来实现,也可以通过硬件实现。通过应用本申请的技术方案,与目前现有方式相比,本申请通过将用户访问权限进行统一格式的配置,使得用户适用的策略能够被解析成不同功能引擎能够识别的策略,整个流程支持策略的动态调整,进一步将策略通过安全检测网关下发到策略关联不同功能引擎,以使得当功能引擎检测到访问异常时实时上报行为数据至功能引擎,并由功能引擎来触发策略进行访问控制,增加访问控制的执行能效,使得策略管理端能灵活处理不同用户的策略。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本申请所必须的。本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本申请序号仅仅为了描述,不代表实施场景的优劣。以上公开的仅为本申请的几个具体实施场景,但是,本申请并非局限于此,任何本领域的技术人员能思之的变化都应落入本申请的保护范围。
Claims (11)
1.一种基于零信任的访问控制方法,其特征在于,包括:
按照预先设置的策略模板对用户访问权限进行统一格式的配置,得到用户适用的策略;
响应于安全系统的启动指令,将所述用户适用的策略通过多层级架构下发至安全检测网关,并由所述安全检测网关将所述用户适用的策略对接至策略关联的功能引擎,以使得策略关联的功能引擎在检测到接入端存在用户访问异常时,使用所述用户适用的策略对接入端对应的用户操作数据进行检测,生成访问控制结果;
接收所述访问控制结果,并根据所述访问控制结果对接入端对应用户进行访问权限控制。
2.根据权利要求1所述的方法,其特征在于,所述按照预先设置的策略模板对用户访问权限进行统一格式的配置,得到用户适用的策略,具体包括:
从不同应用渠道获取用户对接应用的认证信息,根据所述用户对接应用的认证信息确定用户使用零信任场景的安全类型以及相应安全类型对应的用户访问权限;
利用策略引擎的检测逻辑,根据所述用户使用零信任场景的安全类型以及相应安全类型对应的用户访问权限,分别配置针对用户的策略模型以及针对用户的策略形式;
按照预先设置的策略模板对所述针对用户的策略模型以及针对用户的策略形式进行统一格式配置,得到用户适用的策略。
3.根据权利要求2所述的方法,其特征在于,所述从不同应用渠道获取用户对接应用的认证信息,根据所述用户对接应用的认证信息确定用户使用零信任场景的安全类型以及相应安全类型对应的用户访问权限,具体包括:
从不同应用渠道获取用户对接应用的认证信息,结合分布式部署对用户行为计算得到的异常访问信息确定用户使用零信任场景的安全类型;
根据所述用户使用零信任场景的安全类型对所述用户对接应用的认证信息进行多维度处理,得到相应安全类型对应用户的应用访问信息;
按照预先设置的控制流将所述相应安全类型对应用户的应用访问信息实时同步至策略引擎,以使得所述策略引擎将所述相应安全类型对应用户的应用访问信息关联至策略模板,得到相应安全类型对应的用户访问权限。
4.根据权利要求2所述的方法,其特征在于,所述利用策略引擎的检测逻辑,根据所述用户使用零信任场景的安全类型以及相应安全类型对应的用户访问权限,分别配置针对用户的策略模型以及针对用户的策略形式,具体包括:
利用策略引擎的检测逻辑,根据所述用户使用零信任场景的安全类型将所述相应安全类型对应的用户访问权限分解为策略逻辑和策略执行逻辑;
根据所述策略逻辑配置针对用户的策略模型,根据所述策略执行逻辑配置针对用户的策略形式,所述策略模型包括用户对接到零信任场景中使用的策略集和规则集,所述策略形式为策略集和规则集在零信任场景的执行流程。
5.根据权利要求2所述的方法,其特征在于,所述策略模板中记录有用户使用零信任场景对应不同安全类型的策略分组,所述按照预先设置的策略模板对所述针对用户的策略模型以及针对用户的策略形式进行统一格式配置,得到用户适用的策略,具体包括:
按照预先设置的策略模板将所述针对用户的策略模型与用户使用零信任场景对应安全类型的策略分组进行匹配,得到策略模型命中的多个策略分组;
结合所述针对用户的策略形式对所述策略模型命中的多个策略分组进行统一格式配置,得到用户适用的策略。
6.根据权利要求5所述的方法,其特征在于,在所述按照预先设置的策略模板将所述针对用户的策略模型与用户使用零信任场景对应安全类型的策略分组进行匹配,得到策略模型命中的多个策略分组之后,所述方法还包括:
根据所述策略模型命中的多个策略分组判断不同策略分组中的策略集和规则集之间是否存在冲突;
若是,则针对存在冲突的策略分组中的策略集和规则集设置优先顺序。
7.根据权利要求1-6中任一项所述的方法,其特征在于,所述将所述用户适用的策略通过多层级架构下发至安全检测网关,并由所述安全检测网关将所述用户适用的策略对接至策略关联的功能引擎,具体包括:
使用第一层级架构对所述用户适用的策略进行分解,并针对分解后的策略生成策略下发标记位,所述策略下发标记位为按照预先配置的策略与功能引擎的关联关系所生成的;
使用第二层级架构将分解后的策略和相应策略下发标记位下发至安全检测网关,并由所述安全检测网关将所述分解后的策略对接至所述策略下发标记位对应的功能引擎。
8.根据权利要求1-6中任一项所述的方法,其特征在于,所述访问控制结果记录有用户操作数据中命中的策略和规则,所述根据所述访问控制结果对接入端对应用户进行访问权限控制,具体包括:
将所述用户操作数据中命中的策略和规则转换为用户被允许的行为权限和用户被拦截的行为权限;
根据所述用户被允许的行为权限和用户被拦截的行为权限,对接入端对应用户进行访问权限控制。
9.一种基于零信任的访问控制装置,其特征在于,包括:
配置单元,用于按照预先设置的策略模板对用户访问权限进行统一格式的配置,得到用户适用的策略;
下发单元,用于响应于安全系统的启动指令,将所述用户适用的策略通过多层级架构下发至安全检测网关,并由所述安全检测网关将所述用户适用的策略对接至策略关联的功能引擎,以使得策略关联的功能引擎在检测到接入端存在用户访问异常时,使用所述用户适用的策略对接入端对应的用户操作数据进行检测,生成访问控制结果;
控制单元,用于接收所述访问控制结果,并根据所述访问控制结果对接入端对应用户进行访问权限控制。
10.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至8中任一项所述方法的步骤。
11.一种计算机存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至8中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210943300.8A CN115208689B (zh) | 2022-08-08 | 2022-08-08 | 基于零信任的访问控制方法、装置及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210943300.8A CN115208689B (zh) | 2022-08-08 | 2022-08-08 | 基于零信任的访问控制方法、装置及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115208689A true CN115208689A (zh) | 2022-10-18 |
| CN115208689B CN115208689B (zh) | 2023-03-14 |
Family
ID=83585485
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210943300.8A Active CN115208689B (zh) | 2022-08-08 | 2022-08-08 | 基于零信任的访问控制方法、装置及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115208689B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117459763A (zh) * | 2023-12-22 | 2024-01-26 | 杭州海康威视数字技术股份有限公司 | 基于动态编排的音视频安全保护方法、设备和系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102158557A (zh) * | 2011-04-12 | 2011-08-17 | 华中科技大学 | 云存储环境下安全策略分解与验证系统 |
| US20130326357A1 (en) * | 2012-03-08 | 2013-12-05 | Brand2Mind, Inc. | Interactive branding and advertising using dynamic user input |
| CN108629166A (zh) * | 2018-04-27 | 2018-10-09 | 华中科技大学 | 一种信息系统的用户权限多维度多级管理方法 |
| CN112464216A (zh) * | 2020-12-17 | 2021-03-09 | 南京中孚信息技术有限公司 | 一种终端策略的管理和执行方法及系统 |
| CN113051602A (zh) * | 2021-01-22 | 2021-06-29 | 东南大学 | 一种基于零信任架构的数据库细粒度访问控制方法 |
| CN114598540A (zh) * | 2022-03-18 | 2022-06-07 | 北京启明星辰信息安全技术有限公司 | 访问控制系统、方法、装置及存储介质 |
-
2022
- 2022-08-08 CN CN202210943300.8A patent/CN115208689B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102158557A (zh) * | 2011-04-12 | 2011-08-17 | 华中科技大学 | 云存储环境下安全策略分解与验证系统 |
| US20130326357A1 (en) * | 2012-03-08 | 2013-12-05 | Brand2Mind, Inc. | Interactive branding and advertising using dynamic user input |
| CN108629166A (zh) * | 2018-04-27 | 2018-10-09 | 华中科技大学 | 一种信息系统的用户权限多维度多级管理方法 |
| CN112464216A (zh) * | 2020-12-17 | 2021-03-09 | 南京中孚信息技术有限公司 | 一种终端策略的管理和执行方法及系统 |
| CN113051602A (zh) * | 2021-01-22 | 2021-06-29 | 东南大学 | 一种基于零信任架构的数据库细粒度访问控制方法 |
| CN114598540A (zh) * | 2022-03-18 | 2022-06-07 | 北京启明星辰信息安全技术有限公司 | 访问控制系统、方法、装置及存储介质 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117459763A (zh) * | 2023-12-22 | 2024-01-26 | 杭州海康威视数字技术股份有限公司 | 基于动态编排的音视频安全保护方法、设备和系统 |
| CN117459763B (zh) * | 2023-12-22 | 2024-03-01 | 杭州海康威视数字技术股份有限公司 | 基于动态编排的音视频安全保护方法、设备和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115208689B (zh) | 2023-03-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10868673B2 (en) | Network access control based on distributed ledger | |
| RU2707717C2 (ru) | Мобильная аутентификация в мобильной виртуальной сети | |
| US9853994B2 (en) | Attack analysis system, cooperation apparatus, attack analysis cooperation method, and program | |
| US10140453B1 (en) | Vulnerability management using taxonomy-based normalization | |
| EP2585970B1 (en) | Online service access controls using scale out directory features | |
| US11470120B2 (en) | Providing different levels of resource access to a computing device that is connected to a dock | |
| US9571499B2 (en) | Apparatus and method of providing security to cloud data to prevent unauthorized access | |
| CN107733863B (zh) | 一种分布式hadoop环境下的日志调试方法和装置 | |
| US20140189781A1 (en) | Mobile enterprise server and client device interaction | |
| US20080183603A1 (en) | Policy enforcement over heterogeneous assets | |
| US8527760B2 (en) | Determining trust data for devices in a network | |
| KR101877655B1 (ko) | 지능적 방화벽 액세스 규칙 | |
| US10965521B2 (en) | Honeypot asset cloning | |
| US10091225B2 (en) | Network monitoring method and network monitoring device | |
| CN113614718A (zh) | 异常用户会话检测器 | |
| CN115208689B (zh) | 基于零信任的访问控制方法、装置及设备 | |
| CN114244568B (zh) | 基于终端访问行为的安全接入控制方法、装置和设备 | |
| US11777978B2 (en) | Methods and systems for accurately assessing application access risk | |
| US11863549B2 (en) | Adjusting security policies based on endpoint locations | |
| EP3709571A1 (en) | Device management clustering | |
| US10454939B1 (en) | Method, apparatus and computer program product for identifying excessive access rights granted to users | |
| US11784996B2 (en) | Runtime credential requirement identification for incident response | |
| US11411813B2 (en) | Single user device staging | |
| CN114598500A (zh) | 一种安全服务提供方法、平台、电子设备、介质及程序 | |
| CN115795493A (zh) | 访问控制策略部署方法和相关装置、以及访问控制系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |