CN115361186B - 一种面向工业互联网平台的零信任网络架构 - Google Patents
一种面向工业互联网平台的零信任网络架构 Download PDFInfo
- Publication number
- CN115361186B CN115361186B CN202210963023.7A CN202210963023A CN115361186B CN 115361186 B CN115361186 B CN 115361186B CN 202210963023 A CN202210963023 A CN 202210963023A CN 115361186 B CN115361186 B CN 115361186B
- Authority
- CN
- China
- Prior art keywords
- data
- main body
- access control
- industrial internet
- internet platform
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000006399 behavior Effects 0.000 claims abstract description 40
- 238000011217 control strategy Methods 0.000 claims abstract description 25
- 238000010276 construction Methods 0.000 claims abstract description 13
- 230000000977 initiatory effect Effects 0.000 claims abstract description 8
- 238000012795 verification Methods 0.000 claims abstract description 8
- 230000003068 static effect Effects 0.000 claims abstract description 7
- 238000013209 evaluation strategy Methods 0.000 claims abstract description 5
- 230000002452 interceptive effect Effects 0.000 claims abstract description 4
- 239000000284 extract Substances 0.000 claims abstract description 3
- 238000011156 evaluation Methods 0.000 claims description 28
- 238000002955 isolation Methods 0.000 claims description 21
- 230000007246 mechanism Effects 0.000 claims description 13
- 238000000034 method Methods 0.000 claims description 8
- 230000006855 networking Effects 0.000 claims description 8
- 238000005259 measurement Methods 0.000 claims description 3
- 230000001755 vocal effect Effects 0.000 claims description 2
- 238000005516 engineering process Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 238000012423 maintenance Methods 0.000 description 4
- 238000001514 detection method Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 206010033799 Paralysis Diseases 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 2
- 230000015556 catabolic process Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000012854 evaluation process Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000000306 component Substances 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 239000008358 core component Substances 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 230000001632 homeopathic effect Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 238000012502 risk assessment Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/27—Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Theoretical Computer Science (AREA)
- Biomedical Technology (AREA)
- Power Engineering (AREA)
- General Health & Medical Sciences (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种面向工业互联网平台的零信任网络架构,解决了传统基于互联网的零信任模型不能适用工业互联网平台,不能同时保障设备的安全性和持续可用性的技术问题。其包括:多因素身份画像构建模块,抽取分类所有行为信息,构建主体行为画像数据库,并存储于分布式云数据库;访问控制策略生成模块,结合主体行为画像数据库,综合动态行为与静态场景,评估访问请求发起端的主体身份等级,生成评估策略;以及安全互联模块,结合访问控制策略生成模块下发的访问控制策略,完成主客体之间交互的认证验证。本申请广泛应用于工业互联网平台的零信任网络架构技术领域。
Description
技术领域
本申请涉及网络安全技术领域,更具体地说,是涉及一种面向工业互联网平台的零信任网络架构。
背景技术
随着以数字化、网络化、智能化为核心特征的第四次工业革命的到来,工业互联网顺势而生,迅速成为我国重点关注对象。工业互联网安全被认为是实现我国工业互联网高质量发展的重要前提和保障。其在原有技术基础上,结合5G、人工智能、云平台、大数据、物联网等新一代信息技术的同时,也打破了传统工业环境封闭、可信的状态,大大增加了遭遇网络攻击的可能性。零信任这种基于身份数据、安全基础设施、风险分析数据等信息综合评估企业安全策略的实时动态验证方法可以有效解决这个问题。
Forrester的前分析师在2010年以“永不信任,始终验证”思想首次提出“零信任”概念。在零信任概念提出不久之后,Google公司开始在内部构建BeyondCrop项目,将访问控制从边界迁移到每个用户和设备。随后,云安全联盟在此基础上提出软件定义边界(SDP)网络安全模型,进一步推进零信任从概念走向落地。2019年Gartner将安全模型延展为安全访问服务边缘,为新的IT环境提供一种风险管理和评估信任的框架。2020年美国国家标准技术研究院编写并发布特别出版物《零信任架构》,被业界认为是零信任架构的标准。2022年,云安全联盟在SDP 1.0基础上对目标、架构、流程、信息格式进行更新,流程、信息格式进行更新,流程描述更为详细且安全技术也有显著性增强。
零信任概念、架构历经多次迭代更新,已逐渐成熟,从概念走向落地。然而与互联网环境不同,工业互联网中存在一些独特性问题,如:工业控制系统设备往往落后于关键服务设施,这些遗留组件阻碍了零信任在工业互联网平台中的部署;其运营技术的独特性导致工业互联网平台更倾向于对相关设备的保护,为保障设备可用性而对安全性等方面做出牺牲以及随着部分工业互联网平台向云端迁移,需要让零信任覆盖所有可能的通信路径等,传统基于互联网的零信任模型并不适用。
发明内容
为解决上述技术问题,本申请采用的技术方案是:提供一种面向互联网平台的零信任网络架构,包括:
多因素身份画像构建模块,抽取分类所有行为信息,构建主体行为画像数据库,并存储于分布式云数据库;
访问控制策略生成模块,结合主体行为画像数据库,综合动态行为与静态场景,评估访问请求发起端的主体身份等级,生成评估策略;以及
安全互联模块,结合访问控制策略生成模块下发的访问控制策略,完成主客体之间交互的认证验证。
优选地,访问控制策略生成模块包括:
访问控制策略动态生成单元,由多个评估引擎组成的主体信任评估群完成主体身份等级评估;其中,每个评估引擎各自连接开放的互联网平台下组网中的一个子网,负责不同子网的评估引擎生成不同的访问控制策略;
全局策略决算单元,包括解决不同访问控制策略之间冲突的共识策略。
优选地,共识策略包括口头协议算法、书面协议算法和完全去中心化的共识机制。
优选地,共识机制为DPoS共识机制。
优选地,多因素身份画像构建模块具体包括:
态势感知安全事件发现单元,对所有的行为信息进行抽取,并将数据至少划分为人员登录、设备接入、网络连接和外部访问安全事件;
身份画像信息采集单元,按照数据类型进一步划分为类别型数据、数值型数据和文本型数据;以及
主体行为画像数据库构建单元,将身份画像信息采集单元划分的数据,划分为动态行为信息、静态行为信息和设备指纹信息三种类型,用于行为画像建模并构建主体行为画像数据库。
优选地,行为信息来自于服务器、工作站、设备终端、虚拟设备、云平台流量、网络设备、网络流量、工控上位机、业务数据和物联网终端数据。
优选地,类别型数据以字符串形式进行存储,用于记录访问请求发起时设备的标识信息;
数值型数据记录每次访问请求数据,访问请求数据至少包括登录时间、离线时间、登陆时长和常用时段;
文本型数据至少包括操作内容、键入文字、设备名称、访问资源,用于记录用户操作对象信息与修改内容。
优选地,安全互联模块包括多因素身份认证单元;
多因素身份认证单元,建立在访问请求发起端与评估引擎以及连接接收主机与评估引擎之间;基于风险与信任的持续度量,借助生物安全认证、动态令牌、设备指纹服务方法,完成主客体之间交互的认证验证。
优选地,安全互联模块还包括业务微隔离单元;
业务微隔离单元,基于设置组群、用户权限完成用户微隔离;基于端口、协议容器完成细粒度微隔离;基于位置环境应用完成粗粒度微隔离;基于应用负载完成应用微隔离。
本发明通过态势感知安全事件发现单元获取安全事件,将其中信息分类采集,主体行为画像数据库构建单元借助聚类算法构建主体行为画像数据库。数据库中的数据用于访问控制策略的生成,访问控制策略动态生成单元对主体身份等级评估,并且引入共识策略,对访问控制策略顺序达成一致共识,解决策略可能存在的冲突问题。评估策略下发后借助多因素身份认证、业务微隔离等方案完成安全互联。因此,本发明能同时保障设备的安全性和持续可用性,不需要为了保障设备可用性,而对安全性做出牺牲。
本发明在身份等级评估过程中引入了去中心化的共识策略,在开放的互联网平台环境下保障组网可信,解决了传统零信任网络核心身份评估引擎中心化部署,易出现单点失效、拒绝服务攻击的问题;能够快速、准确对提取到的安全事件进行响应,实现网络拓扑自动分析、安全威胁技术预警、接入设备自动发现;能够动态、灵活生成访问控制策略并进行快速部署下发,大大提高了网络安全运维人员的安全检测效率,为网络安全运维人员进一步分析数据提供了便利。本发明可以满足不同企业对零信任架构的部署需求,同时提高了零信任评估的准确性,应用前景十分广泛。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明面向工业互联网平台的零信任网络架构图;
图2为面向工业互联网平台的零信任网络架构部署图。
具体实施方式
为了使本申请所要解决的技术问题、技术方案及有益效果更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
需要说明的是,在本申请的描述中,“多种”的含义是两种或两种以上,除非另有明确具体的限定。
现对本申请实施例提供的面向工业互联网平台的零信任网络架构进行说明。
请参阅图1,为本申请一实施例提供的一种面向互联网平台的零信任网络架构图。本申请提供的一种面向工业互联网平台的零信任网络架构,包括多因素身份画像构建模块、访问控制策略生成模块以及安全互联模块;
其中,多因素身份画像构建模块具体包括:
态势感知安全事件发现单元,用于监听采集服务器、工作站、设备终端、虚拟设备、云平台流量、网络设备、网络流量、工控上位机、业务数据、物联网终端数据,对所有的行为信息进行抽取,将数据划分为人员登录、设备接入、网络连接、外部访问等安全事件。
身份画像信息采集单元,利用态势感知安全事件发现单元中获取的数据,照数据类型划分为类别型数据、数值型数据和文本型数据。类别型数据以字符串形式进行存储,这类数据用于记录访问请求发起时设备的标识信息,有登录方式、登陆设备、登录IP、操作对象等。数值型数据主要记录每次访问请求的登录时间、离线时间、登陆时长、常用时段等。文本型数据包括操作内容、键入文字、设备名称、访问资源等,主要用于记录用户操作对象信息与修改内容。
主体行为画像数据库构建单元,将身份画像信息采集单元收集的数据借助聚类算法分类,划分为动态行为信息、静态行为信息、设备指纹信息三种类型,用于行为画像建模并构建主体行为画像数据库。为了保护身份画像信息安全、防止数据被篡改、泄露,解决单一数据库节点宕机而导致信任评估模块瘫痪问题,将其存储于分布式云数据库上,为后续的主体身份等级评估做准备。
访问控制策略生成模块参考《软件定义边界(SDP)标准规范2.0》,是一个持续动态判断的过程。其核心组成部分是访问控制策略动态生成单元,用于对访问请求发起端进行身份等级评估。用户或设备访问资源前需要比较当前自身信任等级与资源准许访问的最小等级,唯有信任等级满足条件时才准许访问。当信任度衰减时,主体身份等级下降;当信任度增长时,主体身份等级上升。
访问控制策略动态生成单元,生成策略的具体过程:主体信任评估群在接收到访问信息请求时,会结合多因素身份画像构建模块中的身份信息,综合动态行为与静态场景,评估访问请求发起端的主体身份等级。
其中,主体信任评估群由多个评估引擎组成,每个评估引擎各自连接开放的互联网平台下组网中的一个子网,每个评估引擎是完全的等价的。负责不同子网的评估引擎会生成不同的访问控制策略。不同于传统零信任架构中的单一零信任引擎,分布式的主体信任评估群不仅可以解决单一节点宕机引起的信任评估模块瘫痪问题,其还引入共识机制去中心化,也可以在开放的互联网平台环境下保障组网可信。
除此之外,访问控制策略生成模块还包括全局策略决算单元,用于解决策略可能存在的冲突问题,完成从策略冲突检测、智能计算到策略冲突消解的过程。冲突产生是由于负责不同子网的可信评估引擎只负责各自子网内设备的身份评估,而子网之间策略并不互通。为此在全局策略决算单元引入区块链中的共识机制思想,对访问控制策略顺序达成一致共识。该共识策略可以有多种方案:
一是采用口头协议算法,单个子网内部署的可信评估引擎数量应达到该子网内部署的可信评估引擎总数的2/3;
二是采用书面协议算法,该算法要求签名不可伪造,一旦被篡改即可发现,同时任何人都可以验证签名算法的可靠性;
三是采取完全去中心化的共识机制。在选择共识机制过程中需综合考虑容错性、可扩展性和终局速度。容错性可分为拜占庭容错和崩溃容错,拜占庭容错是在节点通信中伪造信息恶意响应,崩溃容错指节点出现故障或不响应的情况;可扩展性指增加或删除节点的能力;终局速度则是衡量用户体验的重要因素。在工业互联网平台中,终局速度为首要考虑因素,再然后是容错性和可扩展性。为此引入适用联盟链的DPoS共识机制,相比于其他共识机制,DPoS具有高安全性、可承载海量终端接入、不需要耗费能源和硬件设备且缩短了区块的产生时间和确认时间的优点。
全局策略决算单元主要职责有:(1)保证多个评估引擎的正常运行;(2)收集各自子网内轻量级零信任客户端环境变化反馈;(3)把环境变化后产生的新主体信任等级打包到区块;(4)评估引擎广播区块并在其他评估引擎验证后把区块添加到主体信任等级数据库。
安全互联模块,结合访问控制策略生成模块下发的访问控制策略,完成主客体之间的安全互联。其包括多因素身份认证单元、业务微隔离单元。
多因素身份认证单元主要建立在访问请求发起端与评估引擎以及连接接收主机与评估引擎之间,基于风险与信任的持续度量,借助生物安全认证、动态令牌、设备指纹服务等方法,完成主客体之间交互的认证验证。
业务微隔离单元,提出多维细粒度微隔离,基于设置组群、用户权限完成用户微隔离;基于端口、协议容器完成细粒度微隔离;基于位置环境应用完成粗粒度微隔离;基于应用负载完成应用微隔离。
请参阅图2,为面向工业互联网平台的零信任网络架构部署图。展示了部署环境及架构,零信任身份评估引擎是零信任架构的核心。架构自下而上,在端边的底层设备上部署轻量级零信任客户端,其主要用途有采集终端画像信息、收集环境变化并反馈给身份评估引擎和下发策略。边端由多台身份评估引擎和主体信任等级数据库组成,单一身份评估引擎负责各自组网内的身份等级评估。当某一子网内的主体信任等级发生变化时,需要通过共识机制去除分支,将新的经过确认的信任等级打包形成新的区块,并存储到各自的主体信任等级数据库中,实现在开放环境下可追踪、防篡改的身份等级动态评估。云端的工业互联网平台数据中心负责验证和发放授权凭证,然后依据资源访问请求的类型提供相应的服务,动态调动、分配数据存储资源,在保障工业互联网平台的内部安全前提下,有效提高了认证效率。
本发明通过态势感知安全事件发现单元获取安全事件,将其中信息分类采集,主体行为画像数据库构建单元借助聚类算法构建主体行为画像数据库。数据库中的数据用于访问控制策略的生成,访问控制策略动态生成单元对主体身份等级评估,并且引入共识策略,对访问控制策略顺序达成一致共识,解决策略可能存在的冲突问题。评估策略下发后借助多因素身份认证、业务微隔离等方案完成安全互联。因此,本发明能同时保障设备的安全性和持续可用性,不需要为了保障设备可用性,而对安全性做出牺牲。
本发明在身份等级评估过程中引入了去中心化的共识策略,在开放的互联网平台环境下保障组网可信,解决了传统零信任网络核心身份评估引擎中心化部署,易出现单点失效、拒绝服务攻击的问题;能够快速、准确对提取到的安全事件进行响应,实现网络拓扑自动分析、安全威胁技术预警、接入设备自动发现;能够动态、灵活生成安全策略并进行快速部署下发,大大提高了网络安全运维人员的安全检测效率,为网络安全运维人员进一步分析数据提供了便利。本发明可以满足不同企业对零信任架构的部署需求,同时提高了零信任评估的准确性,应用前景十分广泛。
以上所述实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。
Claims (8)
1.一种面向工业互联网平台的零信任网络架构,其特征在于,包括:
多因素身份画像构建模块,抽取分类所有行为信息,构建主体行为画像数据库,并存储于分布式云数据库;
访问控制策略生成模块,结合所述主体行为画像数据库,综合动态行为与静态场景,评估访问请求发起端的主体身份等级,生成评估策略;以及
安全互联模块,结合所述访问控制策略生成模块下发的访问控制策略,完成主客体之间交互的认证验证;
所述访问控制策略生成模块包括:
访问控制策略动态生成单元,由多个评估引擎组成的主体信任评估群完成主体身份等级评估;其中,每个评估引擎各自连接开放的互联网平台下组网中的一个子网,负责不同子网的评估引擎生成不同的访问控制策略;
全局策略决算单元,包括解决不同所述访问控制策略之间冲突的共识策略。
2.如权利要求1所述的面向工业互联网平台的零信任网络架构,其特征在于:所述共识策略包括口头协议算法、书面协议算法和完全去中心化的共识机制。
3.如权利要求2所述的面向工业互联网平台的零信任网络架构,其特征在于:所述共识机制为DPoS共识机制。
4.如权利要求1-3任一项所述的面向工业互联网平台的零信任网络架构,其特征在于:所述多因素身份画像构建模块具体包括:
态势感知安全事件发现单元,对所有的行为信息进行抽取,并将数据至少划分为人员登录、设备接入、网络连接和外部访问安全事件;
身份画像信息采集单元,按照数据类型进一步划分为类别型数据、数值型数据和文本型数据;以及
主体行为画像数据库构建单元,将所述身份画像信息采集单元划分的数据,划分为动态行为信息、静态行为信息和设备指纹信息三种类型,用于行为画像建模并构建所述主体行为画像数据库。
5.如权利要求4所述的面向工业互联网平台的零信任网络架构,其特征在于:所述行为信息来自于服务器、工作站、设备终端、虚拟设备、云平台流量、网络设备、网络流量、工控上位机、业务数据和物联网终端数据。
6.如权利要求4所述的面向工业互联网平台的零信任网络架构,其特征在于:所述类别型数据以字符串形式进行存储,用于记录访问请求发起时设备的标识信息;
所述数值型数据记录每次访问请求数据,所述访问请求数据至少包括登录时间、离线时间、登陆时长和常用时段;
所述文本型数据至少包括操作内容、键入文字、设备名称和访问资源,用于记录用户操作对象信息与修改内容。
7.如权利要求1所述的面向工业互联网平台的零信任网络架构,其特征在于:所述安全互联模块包括多因素身份认证单元;
所述多因素身份认证单元,建立在访问请求发起端与评估引擎以及连接接收主机与评估引擎之间;基于风险与信任的持续度量,借助生物安全认证、动态令牌和设备指纹服务方法,完成主客体之间交互的认证验证。
8.如权利要求1或7所述的面向工业互联网平台的零信任网络架构,其特征在于:所述安全互联模块还包括业务微隔离单元;
所述业务微隔离单元,基于设置组群、用户权限完成用户微隔离;基于端口、协议容器完成细粒度微隔离;基于位置环境应用完成粗粒度微隔离;基于应用负载完成应用微隔离。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210963023.7A CN115361186B (zh) | 2022-08-11 | 2022-08-11 | 一种面向工业互联网平台的零信任网络架构 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210963023.7A CN115361186B (zh) | 2022-08-11 | 2022-08-11 | 一种面向工业互联网平台的零信任网络架构 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115361186A CN115361186A (zh) | 2022-11-18 |
| CN115361186B true CN115361186B (zh) | 2024-04-19 |
Family
ID=84001144
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210963023.7A Active CN115361186B (zh) | 2022-08-11 | 2022-08-11 | 一种面向工业互联网平台的零信任网络架构 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115361186B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116319024A (zh) * | 2023-03-23 | 2023-06-23 | 北京神州泰岳软件股份有限公司 | 零信任系统的访问控制方法、装置及零信任系统 |
| CN116260656B (zh) * | 2023-05-09 | 2023-07-14 | 卓望数码技术(深圳)有限公司 | 基于区块链的零信任网络中主体可信认证方法和系统 |
| CN116633696B (zh) * | 2023-07-25 | 2024-01-02 | 深圳市永达电子信息股份有限公司 | 网络计算节点接入控制器系统、管控方法和电子设备 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111953679A (zh) * | 2020-08-11 | 2020-11-17 | 中国人民解放军战略支援部队信息工程大学 | 内网用户行为度量方法及基于零信任的网络访问控制方法 |
| CN112235298A (zh) * | 2020-10-14 | 2021-01-15 | 国网电子商务有限公司 | 一种基于零信任模型的数据安全分级动态访问控制方法 |
| CN112507317A (zh) * | 2020-12-07 | 2021-03-16 | 国网河北省电力有限公司电力科学研究院 | 一种基于零信任的电力物联网安全防护方法 |
| CN113051350A (zh) * | 2021-04-26 | 2021-06-29 | 湖南链聚信息科技有限责任公司 | 一种基于区块链的零信任网络访问系统 |
| CN113407947A (zh) * | 2021-06-23 | 2021-09-17 | 航天科工智能运筹与信息安全研究院(武汉)有限公司 | 一种云环境下面向移动终端用户的可信连接验证方法 |
| CN113487218A (zh) * | 2021-07-21 | 2021-10-08 | 国网浙江省电力有限公司电力科学研究院 | 物联网信任评估方法 |
| CN113783844A (zh) * | 2021-08-13 | 2021-12-10 | 中国光大银行股份有限公司 | 零信任访问控制方法、装置及电子设备 |
| CN113987443A (zh) * | 2021-11-02 | 2022-01-28 | 西安邮电大学 | 一种多云多链协同的电子医疗数据安全共享方法 |
| CN114021109A (zh) * | 2021-11-03 | 2022-02-08 | 云南昆船设计研究院有限公司 | 一种用于实现烟草行业车间级工控系统身份认证与访问管理的系统与方法 |
| CN114024704A (zh) * | 2020-10-28 | 2022-02-08 | 北京八分量信息科技有限公司 | 一种零信任架构中证书分发方法 |
| CN114039750A (zh) * | 2021-10-26 | 2022-02-11 | 中电鸿信信息科技有限公司 | 一种保护sdp控制器的实现方法 |
| CN114070600A (zh) * | 2021-11-11 | 2022-02-18 | 上海电气集团数字科技有限公司 | 一种基于零信任模型的工业互联网领域身份访问控制方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080028453A1 (en) * | 2006-03-30 | 2008-01-31 | Thinh Nguyen | Identity and access management framework |
| US11411958B2 (en) * | 2019-01-18 | 2022-08-09 | Cisco Technology, Inc. | Machine learning-based application posture for zero trust networking |
-
2022
- 2022-08-11 CN CN202210963023.7A patent/CN115361186B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111953679A (zh) * | 2020-08-11 | 2020-11-17 | 中国人民解放军战略支援部队信息工程大学 | 内网用户行为度量方法及基于零信任的网络访问控制方法 |
| CN112235298A (zh) * | 2020-10-14 | 2021-01-15 | 国网电子商务有限公司 | 一种基于零信任模型的数据安全分级动态访问控制方法 |
| CN114024704A (zh) * | 2020-10-28 | 2022-02-08 | 北京八分量信息科技有限公司 | 一种零信任架构中证书分发方法 |
| CN112507317A (zh) * | 2020-12-07 | 2021-03-16 | 国网河北省电力有限公司电力科学研究院 | 一种基于零信任的电力物联网安全防护方法 |
| CN113051350A (zh) * | 2021-04-26 | 2021-06-29 | 湖南链聚信息科技有限责任公司 | 一种基于区块链的零信任网络访问系统 |
| CN113407947A (zh) * | 2021-06-23 | 2021-09-17 | 航天科工智能运筹与信息安全研究院(武汉)有限公司 | 一种云环境下面向移动终端用户的可信连接验证方法 |
| CN113487218A (zh) * | 2021-07-21 | 2021-10-08 | 国网浙江省电力有限公司电力科学研究院 | 物联网信任评估方法 |
| CN113783844A (zh) * | 2021-08-13 | 2021-12-10 | 中国光大银行股份有限公司 | 零信任访问控制方法、装置及电子设备 |
| CN114039750A (zh) * | 2021-10-26 | 2022-02-11 | 中电鸿信信息科技有限公司 | 一种保护sdp控制器的实现方法 |
| CN113987443A (zh) * | 2021-11-02 | 2022-01-28 | 西安邮电大学 | 一种多云多链协同的电子医疗数据安全共享方法 |
| CN114021109A (zh) * | 2021-11-03 | 2022-02-08 | 云南昆船设计研究院有限公司 | 一种用于实现烟草行业车间级工控系统身份认证与访问管理的系统与方法 |
| CN114070600A (zh) * | 2021-11-11 | 2022-02-18 | 上海电气集团数字科技有限公司 | 一种基于零信任模型的工业互联网领域身份访问控制方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115361186A (zh) | 2022-11-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN115361186B (zh) | 一种面向工业互联网平台的零信任网络架构 | |
| Li et al. | RETRACTED ARTICLE: Information security model of block chain based on intrusion sensing in the IoT environment | |
| Sharma et al. | Distblocknet: A distributed blockchains-based secure sdn architecture for iot networks | |
| CN113556354B (zh) | 一种基于流量分析的工业互联网安全威胁检测方法与系统 | |
| CN110945853A (zh) | 基于联盟链投票共识算法产生及管理多模标识网络的方法 | |
| CN108337219A (zh) | 一种物联网防入侵的方法和存储介质 | |
| Somayaji et al. | A framework for prediction and storage of battery life in IoT devices using DNN and blockchain | |
| Wang et al. | A centralized HIDS framework for private cloud | |
| CN112214544A (zh) | 基于许可区块链的泛在电力物联网边缘数据安全存储方法 | |
| CN114598499B (zh) | 结合业务应用的网络风险行为分析方法 | |
| Zhang et al. | Blockchain based big data security protection scheme | |
| Lu et al. | ATMChain: Blockchain‐Based Security Framework for Cyber‐Physics System in Air Traffic Management | |
| Zhang et al. | A dynamic security control architecture for industrial cyber-physical system | |
| CN112468464A (zh) | 基于服务链的状态机完整性验证系统及方法 | |
| CN112104639A (zh) | 一种面向电力系统网络的攻击路径并行预测方法 | |
| CN111586045A (zh) | 一种属性加密和动态安全层的防护方法及对应的防火墙 | |
| Chen et al. | A blockchain-based security model for iot systems | |
| Zhang et al. | Research on access control scheme of system wide information management based on attribute association | |
| Zhili et al. | Environmental monitoring data storage system based on consortium blockchains | |
| CN110071966A (zh) | 基于云平台的区块链组网及数据处理方法 | |
| Shahin et al. | Big data platform privacy and security, a review | |
| Yang et al. | [Retracted] Computer User Behavior Anomaly Detection Based on K‐Means Algorithm | |
| Yan et al. | [Retracted] Power IoT System Architecture Integrating Trusted Computing and Blockchain | |
| Ma et al. | Security of edge computing based on trusted computing | |
| Zhigang et al. | Research on the survivability of system wide information management (SWIM) |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |