CN116192497B - 一种基于零信任体系的网络准入和用户认证的安全交互方法 - Google Patents
一种基于零信任体系的网络准入和用户认证的安全交互方法 Download PDFInfo
- Publication number
- CN116192497B CN116192497B CN202310136204.7A CN202310136204A CN116192497B CN 116192497 B CN116192497 B CN 116192497B CN 202310136204 A CN202310136204 A CN 202310136204A CN 116192497 B CN116192497 B CN 116192497B
- Authority
- CN
- China
- Prior art keywords
- server
- zero trust
- terminal
- user
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/76—Proxy, i.e. using intermediary entity to perform cryptographic operations
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
本发明属于终端安全接入技术领域,提出一种基于零信任体系的网络准入和用户认证的安全交互方法。该方法中终端模块和后台联动交互,逐步放开网络和应用访问权限,持续动态评估和主动威胁阻断。现有技术方案主要采用独立的终端身份认证和网络准入控制,虽然一定程度上解决了终端和用户身份鉴别、设备入网等问题,但仍然存在核心业务对外暴露,伪造设备获取网络权限后入侵,终端状态无法动态评估,缺少主动阻断威胁,信息不共享缺乏联动机制等问题。本方法,能够控制终端的入网权限,保护关键服务,减少入侵威胁,在最小权限下实现用户认证和权限分配,持续性对终端进行评估,及时应对异常情形,主动响应。
Description
技术领域
本发明涉及终端网络安全接入和用户认证方法领域,特别涉及一种基于零信任体系的网络准入和用户认证的安全交互方法。
背景技术
随着信息技术的快速发展,网络边界逐渐模糊,企业网中大量终端依赖网络接入处理业务,终端的安全风险日趋严峻。同时企业广域网运用多种方式组网,访问关系复杂,无法有效管理,不同网络间的数据交换需要更安全有效的手段。
现有的终端在企业网的入网技术方案主要采用独立的终端身份认证和网络准入控制,如基于802.1X协议的认证方法及系统(专利公开号:CN 106954216A)中提及基于802.1x协议的网络准入,终端准入模块通过用户名和密码与用户认证服务器进行准入认证,认证通过后,接入接入侧设备放开终端的网络访问权限。虽然在一定程度上解决了终端和用户身份鉴别、设备入网等问题,但是企业的关键服务需要对外暴露以接受终端认证请求,访问权限无法依次分级开放,密码泄露后非法设备入网等终端安全问题难以解决,导致非法用户可以在企业网络中漫游,安全系统难以及时发现,难以进行主动阻断,人工鉴别成本高,安全风险较大。
同时为防护IT系统,如一种防火墙安全策略配置方法和装置、以及防火墙(专利公开号:CN105847236A)中提及,基于事先定义的规则来检测和阻止攻击,它无法有效检测和阻止新型攻击,需要人工在防火墙等设备上定义静态规则,匹配规则后进行威胁拦截。不仅需要消耗大量的人力来完善静态规则,效率极低,而且一旦遗漏策略,将会带来安全风险。发生安全事件后,只能事后进行追溯。在智能监控技术广泛应用的今天,仍需要传统静态规则对终端进行防护的重要原因是无法对关键服务进行隐藏保护,且系统架构组件中缺乏联动,信息不共享,无统一决策节点。
综上所述,现有的技术方案主要采用独立的终端身份认证和网络准入控制,虽然在一定程度上解决了终端和用户身份鉴别、设备入网等问题,但仍然存在核心业务对外暴露,伪造设备获取网络权限后入侵,终端状态无法动态评估,缺少主动阻断威胁,信息不共享缺乏联动机制等问题。因此,需要提出一种新型的安全方法,用以解决上述问题。
发明内容
本发明的目的在于提供一种基于零信任体系的网络准入和用户认证的安全交互方法,在零信任体系中终端在最小权限下接入网络和用户认证,基于网络准入模块、用户认证模块、零信任代理模块和零信任态势感知模块,引入逻辑交互和终端安全策略设计。建立用户行为的访问模型,无需人工修改和更新规则,可以更有效地检测和阻止攻击,通过零信任体系隐藏关键业务的对外暴露,能够有效提高企业终端访问业务系统的安全性。
本发明的技术方案如下:首先控制终端在接入网络进行准入认证时赋予最小权限,通过校验加密票据信息而不是密码与用户认证服务进行交互,依次开放网络权限。基于零信任体系,通过单包授权对企业的关键服务进行隐藏,同时对终端进行态势感知,通过零信任体系的入网检测和基于时间序列的算法,及时发现威胁,由零信任体系作为统一安全决策中心。联动零信任终端组件和网络准入组件,进行主动威胁阻断,提高整体防护能力。
本发明设计了一种基于零信任体系的网络准入和用户认证的安全交互方法,联动准入控制、用户认证、零信任和态势感知系统,构建动态的终端控制模型,按照如下步骤,实现终端最小权限下实现网络安全准入,获取访问权限后进行用户认证,通过零信任获取网络策略访问业务数据,并主动发现威胁,对终端权限从网络和应用层面进行阻断,保护数据安全:
步骤一,在终端中构建用户认证模块、零信任代理模块、零信任态势感知模块和网络准入模块,后台分别部署网络准入服务器、零信任服务器、用户认证服务器和零信任态势感知服务器;
步骤二,网络准入模块判断终端用户认证模块和零信任代理模块、零信任态势感知模块的状态正常后,从用户认证模块获取用户信息和票据信息后过接入侧设备传递至网络准入服务器,判断终端用户认证模块、零信任代理模块或零信任态势感知模块状态异常,则不触发后续认证过程;
步骤三,网络准入服务器判断用户状态,状态正常则转发终端的用户信息和票据信息至用户认证服务器,并获取用户认证服务器的认证返回信息;认证通过则下发指令至接入侧设备,开启终端至零信任服务器网络权限继续步骤四,认证不通过则返回失败信息至终端网络准入模块拒绝网络接入;判断为异常用户则直接禁止连接网络;
步骤四,用户认证模块通过零信任代理模块,基于单包授权和网络代理技术访问零信任服务器,零信任服务器转发认证请求到用户认证服务器进行用户信息认证,认证通过后用户认证模块刷新认证票据,建立终端到用户认证服务器的通道;认证不通过则通过零信任服务器转发验证结果,终端无法触发后续认证过程;
步骤五,终端零信任代理模块基于步骤四中的认证票据进行单点登录,零信任代理模块通过单包授权技术访问零信任服务器,获取零信任态势感知服务器访问权限;
步骤六,通过终端的零信任态势感知模块,对终端设备信息进行采集,经零信任服务器转发,上报终端设备信息至零信任态势感知服务器,通过零信任态势感知服务器进行终端入网检测,对终端设备进行鉴别;
步骤七,设备鉴别后,对终端设备访问网络资源期间的行为进行建模分析,生成安全指令至终端零信任代理模块和网络准入模块。
所述步骤二中,网络准入服务器控制接入侧设备,接入侧设备可以是交换机或者无线AC,将终端设备的网络访问权限最小化,终端设备仅具备网络准入服务器访问权限,限制访问其它网络资源的权限,所述用户认证模块、零信任代理模块和零信任态势感知模块的状态为系统进程状态和软件信息;
所述步骤二中,终端登录的用户名、组织架构和加密的用户密码信息在用户认证服务器均有定义,认证请求由认证服务器统一进行管理。
所述步骤三中,网络准入服务器转发终端的用户信息和票据信息到用户认证服务器;所述票据信息为由终端用户认证模块生成的票据信息或离线保存在终端的票据信息,票据信息内容为终端认证模块根据用户原始密码和对称加密算法生成的加密字符串;用户信息为终端操作系统登录的用户名;
所述步骤三中,用户认证服务器基于用户信息和票据信息判断终端登录的用户是否是已知用户,具体为通过用户名字符,以及对加密字符串进行解密匹配,匹配通过返回认证成功请求到网络准入服务器,网络准入服务器下发指令到接入侧设备,开启终端设备访问零信任服务器权限,为后续用户认证提供信息通道,匹配失败则拒绝终端访问网络请求。
所述步骤四中,用户认证模块判断零信任代理模块进程状态,如果零信任代理模块正常,则基于步骤三开通的终端访问零信任服务器的网络权限,终端用户认证模块请求通过单包授权方式将用户信息和票据信息由零信任代理模块转发认证请求到零信任服务器,零信任服务器转发请求到用户认证服务器,用户认证服务器通过零信任服务器转发验证结果,更新终端设备本地票据信息,建立终端到用户认证服务器的信息通道;零信任代理模块状态异常,或用户认证服务器反馈认证失败,则终端无法触发后续认证过程。
所述步骤四中,认证票据的信息为用户认证服务器根据用户名、访问的应用信息和会话信息由不可逆加密算法生成的加密字符串,由用户认证服务器传递到终端用户认证模块和零信任代理模块,认证票据在用户认证服务器和终端用户认证模块中具备可自定义的时效性;终端零信任代理模块通过步骤四中的认证票据与用户认证服务器进行交互,进行客户端的单点登录,登陆后零信任服务器将终端访问零信任态势感知服务器的权限下发至终端的零信任代理模块,包括允许用户访问的网络资源域名和解析,终端通过零信任代理模块与零信任服务器之间建立安全通道,访问受保护的网络资源。
所述步骤六中,零信任态势感知模块采集的终端设备信息包括:登录用户、设备IP地址、设备名称、安全基线、和系统日志;安全基线和态势感知服务器判断包括:
系统账户自动锁屏设置,自动锁屏时间是否满足设置要求;
禁用SSH登录权限,系统是否禁用SSH服务和端口;
禁用FTP登录权限,系统是否禁用FTP服务和端口;
远程登录限制,系统是否禁用远程登陆;
系统关键目录权限;系统关键目录权限是否与预设一致;
用户目录权限;用户目录权限是否与预设一致;
终端操作系统版本是否与预设一致;
系统补丁完备性检查,补丁是否与后台记录一致;
病毒库版本,是否与预设一致;
杀毒软件状态,是否有病毒报告;
防火墙状态,是否开启了防火墙;
漏洞扫描结果,是否有漏洞报告;
服务开启列表,服务列表是否与预设一致;
程序列表,安装的程序是否与预设一致;
移动存储状态,是否连接移动存储;
所述零信任态势感知服务器对终端设备入网检测,其依据如下:
设备名与用户的绑定关系是否变化;
设备IP是否在信任IP列表内;
是否符合安全基线。
所述步骤七中,根据入网检测结果,零信任态势感知服务器根据完全符合或自定义的部分符合判断为合法用户,发送指令到零信任服务器,零信任服务器下发所有访问权限至终端零信任代理模块,终端允许具有业务访问权限,零信任态势感知服务器下发检测通过信息到零信任态势感知模块;零信任态势感知服务器根据不符合或可自定义的部分不符合,判断为非法用户,下发指令到零信任态势感知模块提示终端风险,发送指令到零信任服务器取消用户业务访问权限,零信任服务器发送指令到零信任代理模块,提示终端风险,并发送指令至网络准入服务器,网络准入服务器下发指令至网络接入侧设备,接入侧设备强制终端设备下线,拒绝连接网络资源;设备信息可以以时间频率、设备关键信息改变或零信任态势感知服务器强制触发采集。
所述步骤七,因零信任服务器汇集所有用户名、访问资源名、访问次数和流量数据的访问信息,传递至零信任态势感知服务器,零信任态势感知服务器进行建模分析,零信任服务器与网络准入服务器交互使用以下步骤进行:
(1)导入数据:读取包含用户名、访问资源名、访问次数和流量数据的文件,并将其存储为系统可识别的数据帧,此数据作为训练数据;
(2)数据预处理:对训练数据进行预处理,如删除缺失值,清理不必要的列;
(3)数据预测:对于设备在时间窗口中访问资源名、请求次数和流量,利用相关性分析方法确定数据之间的关系,建立时间序列分析模型;
(4)模型检验:对时间序列分析模型进行统计分析,通过检验,得出最终的模型;
(5)预测分析:使用步骤(4)最终的模型对数据进行预测,计算未来时间窗口内的访问资源名的访问次数和流量,并设置预测的置信区间;
(6)异常识别:判断后续的访问数据是否是异常,如果单位时间内、访问资源名的访问次数、流量不在置信区间内,则认为是异常访问;
(7)设置在单位时间内异常值的数量阈值为N,当实际在单位时间内异常值大于或等于N,零信任态势感知服务器标注该用户为异常用户,通知零信任服务器下发指令到终端零信任代理模块提示用户异常,零信任代理模块执行相关指令,零信任服务器取消用户业务访问权限,关闭安全通道,零信任服务器下发指令至网络准入服务器,网络准入服务器标注用户为异常用户,网络准入服务器下发指令至接入侧设备,接入侧设备强制终端设备下线,拒绝连接网络资源。异常用户需进行多因子或人工评估,调整用户在零信任态势感知服务器和网络准入服务器中的标注状态由异常为正常。
所述步骤一至步骤七中,所有信息交互均基于加密通信,终端设备访问资源的请求都是通过零信任代理模块转发到零信任服务器,由零信任服务器进行转发到实际的资源地址。
与现有技术相比,本发明具有以下有益效果:
(1)用户认证通过加密票据信息和时效性的认证票据进行用户身份验证,减少密码在网络上被窃取的风险;
(2)逐级开放权限,基于最小化权限完成用户认证和态势感知,并通过应用权限和网络权限联动控制,提高防护等级,减少入侵风险;
(3)不使用预定义分数规则,提出基于准则的方式,通过算法对用户访问行为进行特征识别和预测,对后续的访问进行鉴别,并且对每个资源和每个用户单独配置,只有在满足条件时,才授予对应用资源的访问权限;
本发明经过不断探索以及试验,提出零信任代理模块、零信任态势感知模块、准入模块和用户认证模块交互方式,结合网络控制设备、零信任管理服务器、用户认证服务器和准入服务器联动,对终端初始的入网权限进行最小化控制,鉴权完成后逐步开放网络资源的访问权限,完成用户认证、零信任代理模块和网络准入模块的单点登录。
终端入网后,通过零信任态势感知模块对终端设备的信息进行采集监测,并上报到服务器,系统基于入网规则,有效快速识别风险设备联动网络准入进行威胁阻断。终端在网期间,对于终端的访问行为通过时间序列算法进行预测和匹配,识别出异常设备进行威胁阻断,从而转变传统的被动方式,主动避免终端设备上的威胁行为,特别是在企业网络中,设备准备入网前就减少业务对外暴露,保护企业核心数据安全。
更进一步,本发明构建了以零信任体系为核心的网络准入控制和用户认证,并生成安全指令,对终端设备进行监控,能够及时高效的应对异常情形,进行快速响应。比如:终端设备在企业网络中被入侵时,可以及时的下达安全指令,立即限制其网络访问权限,限制进一步访问业务数据,避免安全事件扩大。
附图说明
图1为本申请实施例提供的系统架构图;
图2为本申请实施例提供的方法流程图。
具体实施方式
传统的安全防护方法,如防火墙、认证访问控制、入侵检测系统等,虽然能够对网络攻击行为进行检测和阻断,但存在一定的风险,比如:防火墙只能检测流量的特征行为,无法识别攻击行为的准确类型;认证访问控制只能针对网络中授权的网络用户或主机进行授权,无法对未授权的用户、设备进行阻断;入侵检测系统只能对已经发生的攻击行为进行检测,无法阻断未来可能发生的事件。
而本发明提出的方法,基于零信任体系对外隐藏服务地址,关键服务地址无法被嗅探攻击,极大降低了网络风险,结合网络控制设备、零信任管理服务器、用户认证服务器和准入服务器,对终端设备在网络入网前进行最小化控制,鉴权完成后逐步开放网络资源的访问权限,实时监测终端设备的行为,有效快速识别风险设备,联动网络准入进行威胁阻断。相比于传统的安全防护方法,本发明的成功率更高,能够及时有效的应对网络攻击,降低攻击的风险。
以下结合技术方案和附图详细叙述本发明的具体实施方式,应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。为了使本领域技术人员更好地理解本申请实施例提供的技术方案,下面结合附图对本申请实施例中技术方案作进一步详细的说明。
本申请实施例提供了基于零信任体系的网络准入和用户认证的安全方法。在本实施例中,零信任是指基于身份认证、软件定义边界和单包授权技术来确定终端访问权限,对访问行为进行控制,持续性校验终端合法性,确保终端可信。
为了实现基于零信任体系的网络准入和用户认证的安全方法,本申请实施例在终端部署了用户认证,零信任代理,零信任态势感知和网络准入模块,在后台部署了网络准入服务器,零信任管理服务器,用户认证服务器。图1举例示出了本申请示例应用的网络相关架构。
基于图1所示架构,下面对于本申请实例所提供的基于零信任体系的网络准入和用户认证的安全方法,整体设计思路如下:
终端在准备入网前,先判断该设备是否为可接入网络的设备,经过认证后最小化开放终端到零信任服务器的网络策略进行身份认证,刷新客户端票据信息,网络准入模块和零信任代理模块进行单点登录。
终端在认证后,通过对终端设备进行安全感知,进行入网检测,对访问权限和网络权限进行控制。
终端获取访问权限后,持续校验用户在时间窗口中的行为数据,并对访问权限和网络权限进行控制。
所有关键信息进行加密处理。
基于上述整体思路的设计,参见图2,图2为申请实施例提供的方法流程图。如图2所示,为基于零信任体系的网络准入和用户认证的交互流程包含以下步骤:
步骤一,在终端中构建用户认证模块,零信任代理模块,零信任态势感知模块和网络准入模块,后台部署网络准入服务器、零信任服务器、用户认证服务器和零信任态势感知服务器;终端通过接入侧设备接入设备与后台交互,接入侧设备支持802.1x协议,与网络准入服务器集成,本申请实例对于接入侧设备的数量和网络架构进行简化,但不影响理解具体实施方式。
步骤二,网络准入模块判断终端用户认证模块和零信任代理模块、零信任态势感知模块的模块状态正常后,如图2中序号1所示,用户认证模块生成用户和票据信息,被网络准入模块获取后经序号2和3过程,过接入侧设备传递至网络准入服务器,判断终端用户认证模块和零信任代理模块状态异常,则不触发后续认证过程;
步骤三,如图2序号4所示网络准入服务器判断用户状态,状态正常则发送含用户信息和票据信息的认证请求发送给用户认证服务器,用户认证服务器进行解密与匹配,经图2序号5返回认证信息到网络准入服务器,网络准入服务器经图2序号6通知接入侧设备,开启或者关闭终端访问零信任服务器的网络端口,网络准入服务器将认证结果经图序号7返回到网络准入模块,认证通过则下发指令至接入侧设备,开启终端至零信任服务器网络权限继续步骤四,认证不通过则返回失败信息至终端网络准入模块拒绝网络接入;判断为异常用户则直接禁止终端连接网络;
步骤四,如图2序号8所示,用户认证模块持续发送认证请求,如序号8所示用户认证模块的域名信息被零信任代理模块捕获后,将含用户信息和票据信息的认证请求发送给用户认证服务器,如图2序号9所示通过单包授权方式连接到零信任服务器,连接建立后,零信任服务器经图2序号10转发认证请求到用户认证服务器。用户认证服务器经图2序号11、12和13过程,下发认证结果到用户认证模块,认证成功,则更新终端设备的认证票据,其信息为用户认证服务器根据用户名、访问的应用信息和会话信息由不可逆加密算法生成的加密字符串,建立终端到用户认证服务器的零信任信息通道。认证失败则通过零信任服务器转发验证结果,终端无法触发后续认证过程,关闭零信任信息通道。
步骤五,如图2序号14所示零信任代理模块向用户认证模块请求认证的票据信息,采用OIDC,Oauth2.0等单点登录协议,经图2序号15和16发送含用户名和票据信息的认证请求到用户认证服务器,用户认证服务器经图2序号17和18过程返回认证信息,完成零信任代理模块客户端单点登录,终端将获取到零信任态势感知服务器访问权限。
步骤六,如图2序号19、20和21所示,终端零信任态势感知模块对终端设备信息进行采集后,基于步骤五获取的访问权限,通过零信任代理和零信任服务器传递到态势感知服务器,采集信息包括:登录用户、设备IP地址、设备名称、安全基线、和系统日志;安全基线和态势感知服务器判断包括:
系统账户自动锁屏设置,自动锁屏时间是否满足设置要求;
禁用SSH登录权限,系统是否禁用SSH服务和端口;
禁用FTP登录权限,系统是否禁用FTP服务和端口;
远程登录限制,系统是否禁用远程登陆;
系统关键目录权限;系统关键目录权限是否与预设一致;
用户目录权限;用户目录权限是否与预设一致;
终端操作系统版本是否与预设一致;
系统补丁完备性检查,补丁是否与后台记录一致;
病毒库版本,是否与预设一致;
杀毒软件状态,是否有病毒报告;
防火墙状态,是否开启了防火墙;
漏洞扫描结果,是否有漏洞报告;
服务开启列表,服务列表是否与预设一致;
程序列表,安装的程序是否与预设一致;
移动存储状态,是否连接移动存储;
零信任态势感知服务器对终端设备入网检测,其依据如下:
设备名与用户的绑定关系是否变化;
设备IP是否在信任IP列表内;
是否符合安全基线;
根据入网检测结果,零信任态势感知服务器根据完全符合或自定义的部分符合判断为合法用户,经图2序号22发送指令到零信任服务器,零信任服务器经图2序号23下发所有资源访问权限至终端零信任代理模块,经图2序号24下发检测通过信息到零信任态势感知模块;零信任态势感知服务器根据不符合或可自定义的部分不符合,判断为非法用户,经图2序号22发送指令到零信任服务器,经图2序号23下发指令到零信任代理模块提示异常,经图2序号24下发指令到零信任态势感知模块提示终端风险,零信任服务器取消所有访问权限,关闭安全通道,经图2序号25下发送指令至网络准入服务器,经图2序号26网络准入服务器下发指令至网络接入侧设备,接入侧设备强制终端设备下线,拒绝连接网络资源;设备信息可以以时间频率、设备关键信息改变或零信任态势感知服务器强制触发采集。
基于步骤六获取所有资源访问权限后,因零信任服务器汇集所有访问信息,将信息传递经图2序号27传递至零信任态势感知服务器,零信任态势感知服务器进行建模分析,零信任服务器与网络准入服务器交互使用以下步骤进行:
(1)导入数据:读取包含用户名、访问资源名、访问次数和流量数据的文件,并将其存储为系统可识别的数据帧,此数据作为训练数据;
(2)数据预处理:对训练数据进行预处理,如删除缺失值,清理不必要的列;
(3)数据预测:对于设备在时间窗口中访问资源名、请求次数和流量,利用相关性分析方法确定数据之间的关系,建立时间序列分析模型;
(4)模型检验:对时间序列分析模型进行统计分析,通过检验,得出最终的模型;
(5)预测分析:使用步骤(4)最终的模型对数据进行预测,以估算未来时间窗口内的访问资源名的访问次数和流量,并设置预测的置信区间;
(6)异常识别:判断后续的访问数据是否是异常,如果单位时间内、访问资源名的访问次数、流量不在置信区间内,则认为是异常访问;
(7)设置在单位时间内异常值的数量阈值为N,当实际在单位时间内异常值大于或等于N,零信任态势感知服务器标注该用户为异常用户,零信任态势感知服务器经图2序号28下发指令到零信任服务器,经图2序号29下发指令到终端零信任代理提示异常,零信任代理模块执行相关指令,零信任服务器取消用户业务访问权限,关闭安全通道,经图2序号30下发指令至网络准入服务器,网络准入服务器标注此用户为异常用户,经图2序号31网络准入服务器下发指令至接入侧设备,接入侧设备强制终端设备下线,拒绝连接网络资源。异常用户需进行多因子或人工评估,调整用户在零信任态势感知服务器和网络准入服务器中的标注状态由异常为正常。
所有信息交互均基于加密通信,终端设备访问资源的请求都是通过零信任代理模块转发到零信任服务器,由零信任服务器进行转发到实际的资源地址。以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范围的任何修改或者等同替换,其均应涵盖在本发明的权利要求保护范围之内。
Claims (9)
1.一种基于零信任体系的网络准入和用户认证的安全交互方法,其特征在于,终端和后台服务通过接入侧设备进行交互,在零信任体系下,最小化权限实现终端网络准入和用户认证;具体包括如下步骤,
步骤一,在终端中构建用户认证模块、零信任代理模块、零信任态势感知模块和网络准入模块,后台分别部署网络准入服务器、零信任服务器、用户认证服务器和零信任态势感知服务器;
步骤二,网络准入模块判断终端用户认证模块和零信任代理模块、零信任态势感知模块的状态正常后,从用户认证模块获取用户信息和票据信息后通过接入侧设备传递至网络准入服务器,判断终端用户认证模块、零信任代理模块或零信任态势感知模块状态异常,则不触发后续认证过程;
步骤三,网络准入服务器判断用户状态,状态正常则转发终端的用户信息和票据信息至用户认证服务器,并获取用户认证服务器的认证返回信息;认证通过则下发指令至接入侧设备,开启终端至零信任服务器网络权限继续步骤四,认证不通过则返回失败信息至终端网络准入模块拒绝网络接入;判断为异常用户则直接禁止连接网络;
步骤四,用户认证模块通过零信任代理模块,基于单包授权和网络代理技术访问零信任服务器,零信任服务器转发认证请求到用户认证服务器进行用户信息认证,认证通过后用户认证模块刷新认证票据,建立终端到用户认证服务器的通道;认证不通过则通过零信任服务器转发验证结果,终端无法触发后续认证过程;
步骤五,终端零信任代理模块基于步骤四中的认证票据进行单点登录,零信任代理模块通过单包授权技术访问零信任服务器,获取零信任态势感知服务器访问权限;
步骤六,通过终端的零信任态势感知模块,对终端设备信息进行采集,经零信任服务器转发,上报终端设备信息至零信任态势感知服务器,通过零信任态势感知服务器进行终端入网检测,对终端设备进行鉴别;
步骤七,设备鉴别后,对终端设备访问网络资源期间的行为进行建模分析,生成安全指令至终端零信任代理模块和网络准入模块。
2.根据权利要求1所述的基于零信任体系的网络准入和用户认证的安全交互方法,其特征在于,所述步骤二中,网络准入服务器控制接入侧设备,接入侧设备是交换机或者无线AC,将终端设备的网络访问权限最小化,终端设备仅具备网络准入服务器访问权限,限制访问其它网络资源的权限;所述用户认证模块状态、零信任代理模块和零信任态势感知模块的状态为系统进程状态和软件信息;所述用户认证服务器中定义有终端登录的用户名、组织架构和加密的用户密码,认证请求由用户认证服务器统一进行管理。
3.根据权利要求1或2所述的基于零信任体系的网络准入和用户认证的安全交互方法,其特征在于,所述票据信息为由终端用户认证模块生成的票据信息或离线保存在终端的票据信息,票据信息内容为终端认证模块根据用户密码和对称加密算法生成的加密字符串;所述用户信息为终端操作系统登录的用户名;所述步骤三具体为用户认证服务器基于用户信息和票据信息判断终端登录的用户是否是已知用户,具体为通过用户名字符以及对加密字符串进行解密匹配,匹配通过返回认证成功请求至网络准入服务器,开启终端设备访问零信任服务器权限,为后续用户认证提供信息通道,匹配失败则拒绝终端访问网络请求。
4.根据权利要求3所述的基于零信任体系的网络准入和用户认证的安全交互方法,其特征在于,所述步骤四中,用户认证模块判断零信任代理模块进程状态,零信任代理模块正常,则基于步骤三开通的终端访问零信任服务器的网络权限,终端用户认证模块请求通过单包授权方式将用户信息和票据信息由零信任代理模块转发认证请求到零信任服务器,零信任服务器转发请求到用户认证服务器,用户认证服务器通过零信任服务器转发验证结果,更新终端设备本地票据信息,建立终端到用户认证服务器的信息通道;零信任代理模块状态异常,或用户认证服务器反馈认证失败,则终端无法触发后续认证过程。
5.根据权利要求1、2或4所述的基于零信任体系的网络准入和用户认证的安全交互方法,其特征在于,所述步骤四中认证票据的信息为用户认证服务器根据用户名、访问的应用信息和会话信息由不可逆加密算法生成的加密字符串,由用户认证服务器传递到终端用户认证模块和零信任代理模块,认证票据在用户认证服务器和用户认证模块中具备可自定义的时效性;终端零信任代理模块通过步骤四中的认证票据与用户认证服务器进行交互,进行客户端的单点登录,登录后零信任服务器将终端访问零信任态势感知服务器的权限下发至终端的零信任代理模块,终端通过零信任代理模块与零信任服务器之间建立安全通道,访问受保护的网络资源。
6.根据权利要求5所述的基于零信任体系的网络准入和用户认证的安全交互方法,其特征在于,所述步骤六中,零信任态势感知模块采集的终端设备信息包括:登录用户、设备IP地址、设备名称、安全基线和系统日志;安全基线和态势感知服务器判断包括:
系统账户自动锁屏设置,自动锁屏时间是否满足设置要求;
禁用SSH登录权限,系统是否禁用SSH服务和端口;
禁用FTP登录权限,系统是否禁用FTP服务和端口;
远程登录限制,系统是否禁用远程登陆;
系统关键目录权限;系统关键目录权限是否与预设一致;
用户目录权限;用户目录权限是否与预设一致;
终端操作系统版本是否与预设一致;
系统补丁完备性检查,补丁是否与后台记录一致;
病毒库版本,是否与预设一致;
杀毒软件状态,是否有病毒报告;
防火墙状态,是否开启了防火墙;
漏洞扫描结果,是否有漏洞报告;
服务开启列表,服务列表是否与预设一致;
程序列表,安装的程序是否与预设一致;
移动存储状态,是否连接移动存储;
所述零信任态势感知服务器对终端设备入网检测,其依据如下:
设备名与用户的绑定关系是否变化;
设备IP是否在信任IP列表内;
是否符合安全基线。
7.根据权利要求1、2、4或6所述的基于零信任体系的网络准入和用户认证的安全交互方法,其特征在于,根据入网检测结果,零信任态势感知服务器根据完全符合或自定义的部分符合判断为合法用户,发送指令到零信任服务器,零信任服务器下发所有访问权限至终端零信任代理模块,终端允许具有业务访问权限,零信任态势感知服务器下发检测通过信息到零信任态势感知模块;零信任态势感知服务器根据不符合或可自定义的部分不符合,判断为非法用户,下发指令到零信任态势感知模块提示终端风险,发送指令到零信任服务器取消用户业务访问权限,零信任服务器发送指令到零信任代理模块,提示终端风险,并发送指令至网络准入服务器,网络准入服务器下发指令至网络接入侧设备,接入侧设备强制终端设备下线,拒绝连接网络资源;设备信息可以以时间频率、设备关键信息改变或零信任态势感知服务器强制触发采集。
8.根据权利要求7所述的基于零信任体系的网络准入和用户认证的安全交互方法,其特征在于,零信任服务器汇集所有用户名、访问资源名、访问次数和流量数据的访问信息,传递至零信任态势感知服务器,零信任态势感知服务器进行建模分析,零信任服务器与网络准入服务器交互使用以下步骤进行:
(1)导入数据:读取包含用户名、访问资源名、访问次数和流量数据的文件,并将其存储为系统可识别的数据帧,此数据作为训练数据;
(2)数据预处理:对训练数据进行预处理,删除缺失值,清理不必要的列;
(3)数据预测:设备在时间窗口中访问资源名、请求次数和流量,利用相关性分析方法确定数据之间的关系,建立时间序列分析模型:
(4)模型检验:对时间序列分析模型进行统计分析,通过检验,得出最终的模型;
(5)预测分析:使用步骤(4)最终的模型对数据进行预测,计算未来时间窗口内访问资源名的访问次数和流量,并设置预测的置信区间;
(6)异常识别:判断后续的访问数据是否异常,单位时间内、访问资源名的访问次数、流量不在置信区间内,则认为是异常访问;
(7)设置在单位时间内异常值的数量阈值为N,当实际在单位时间内异常值大于或等于N,零信任态势感知服务器标注该用户为异常用户,通知零信任服务器下发指令到终端零信任代理模块提示用户异常,零信任代理模块执行相关指令,零信任服务器取消用户业务访问权限,关闭安全通道,零信任服务器下发指令至网络准入服务器,网络准入服务器标注用户为异常用户,网络准入服务器下发指令至接入侧设备,接入侧设备强制终端设备下线,拒绝连接网络资源,异常用户需进行多因子或人工评估,调整用户在零信任态势感知服务器和网络准入服务器中的标注状态由异常为正常。
9.根据权利要求1-8任一项所述的基于零信任体系的网络准入和用户认证的安全交互方法,其特征在于,所有信息交互均基于加密通信,终端设备访问资源的请求都是通过零信任代理模块转发到零信任服务器,由零信任服务器进行转发到实际的资源地址。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310136204.7A CN116192497B (zh) | 2023-02-20 | 2023-02-20 | 一种基于零信任体系的网络准入和用户认证的安全交互方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310136204.7A CN116192497B (zh) | 2023-02-20 | 2023-02-20 | 一种基于零信任体系的网络准入和用户认证的安全交互方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116192497A CN116192497A (zh) | 2023-05-30 |
CN116192497B true CN116192497B (zh) | 2023-08-04 |
Family
ID=86434136
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310136204.7A Active CN116192497B (zh) | 2023-02-20 | 2023-02-20 | 一种基于零信任体系的网络准入和用户认证的安全交互方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116192497B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105472617A (zh) * | 2015-06-24 | 2016-04-06 | 巫立斌 | 一种终端接入安全认证方法 |
CN112532599A (zh) * | 2020-11-19 | 2021-03-19 | 北京信安世纪科技股份有限公司 | 一种动态鉴权方法、装置、电子设备和存储介质 |
CN112738047A (zh) * | 2020-12-24 | 2021-04-30 | 贝壳技术有限公司 | 一种业务系统的访问控制方法及零信任系统 |
CN113225333A (zh) * | 2021-05-06 | 2021-08-06 | 西安电子科技大学 | 零信任下的网络资源访问控制方法 |
CN114302402A (zh) * | 2021-12-24 | 2022-04-08 | 国网福建省电力有限公司 | 一种基于5g的电力调控业务安全通信方法 |
CN114615328A (zh) * | 2022-01-26 | 2022-06-10 | 北京美亚柏科网络安全科技有限公司 | 一种安全访问控制系统和方法 |
CN115001870A (zh) * | 2022-08-02 | 2022-09-02 | 国汽智控(北京)科技有限公司 | 信息安全防护系统、方法及存储介质 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20220210173A1 (en) * | 2020-12-31 | 2022-06-30 | Fortinet, Inc. | Contextual zero trust network access (ztna) based on dynamic security posture insights |
US20230034771A1 (en) * | 2021-07-29 | 2023-02-02 | Raytheon Company | Auditable and tamper-resistant remote zero trust access |
-
2023
- 2023-02-20 CN CN202310136204.7A patent/CN116192497B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105472617A (zh) * | 2015-06-24 | 2016-04-06 | 巫立斌 | 一种终端接入安全认证方法 |
CN112532599A (zh) * | 2020-11-19 | 2021-03-19 | 北京信安世纪科技股份有限公司 | 一种动态鉴权方法、装置、电子设备和存储介质 |
CN112738047A (zh) * | 2020-12-24 | 2021-04-30 | 贝壳技术有限公司 | 一种业务系统的访问控制方法及零信任系统 |
CN113225333A (zh) * | 2021-05-06 | 2021-08-06 | 西安电子科技大学 | 零信任下的网络资源访问控制方法 |
CN114302402A (zh) * | 2021-12-24 | 2022-04-08 | 国网福建省电力有限公司 | 一种基于5g的电力调控业务安全通信方法 |
CN114615328A (zh) * | 2022-01-26 | 2022-06-10 | 北京美亚柏科网络安全科技有限公司 | 一种安全访问控制系统和方法 |
CN115001870A (zh) * | 2022-08-02 | 2022-09-02 | 国汽智控(北京)科技有限公司 | 信息安全防护系统、方法及存储介质 |
Non-Patent Citations (1)
Title |
---|
零信任体系技术研究;余海;郭庆;房利国;;通信技术(08);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN116192497A (zh) | 2023-05-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Chica et al. | Security in SDN: A comprehensive survey | |
Diaz Lopez et al. | Shielding IoT against cyber-attacks: An event-based approach using SIEM | |
Ryutov et al. | Integrated access control and intrusion detection for web servers | |
KR101143847B1 (ko) | 네트워크 보안장치 및 그 방법 | |
CN114598540B (zh) | 访问控制系统、方法、装置及存储介质 | |
US7752320B2 (en) | Method and apparatus for content based authentication for network access | |
US20040193943A1 (en) | Multiparameter network fault detection system using probabilistic and aggregation analysis | |
US20090313682A1 (en) | Enterprise Multi-interceptor Based Security and Auditing Method and Apparatus | |
CN114553540B (zh) | 基于零信任的物联网系统、数据访问方法、装置及介质 | |
CN111510453A (zh) | 业务系统访问方法、装置、系统及介质 | |
WO2023159994A1 (zh) | 一种运维处理方法和终端设备 | |
CN117081868B (zh) | 一种基于安全策略的网络安全运营方法 | |
CN112491788A (zh) | 一种安全云代理服务平台、实现方法及物联网系统 | |
CN114629719A (zh) | 资源访问控制方法和资源访问控制系统 | |
CN113411295A (zh) | 基于角色的访问控制态势感知防御方法及系统 | |
CN109150853A (zh) | 基于角色访问控制的入侵检测系统及方法 | |
CN117061556B (zh) | 一种电力监控系统远程运维安全保护装置 | |
CN116668197B (zh) | 信息流无干扰策略的网络强制访问控制实现方法及装置 | |
CN116707980A (zh) | 一种基于零信任的免疫安全防御方法 | |
CN116192497B (zh) | 一种基于零信任体系的网络准入和用户认证的安全交互方法 | |
CN111343194B (zh) | 一种摄像头违规识别方法、系统、设备及计算机存储介质 | |
Choi | IoT (Internet of Things) based Solution Trend Identification and Analysis Research | |
KR20100067383A (ko) | 서버 보안 시스템 및 서버 보안 방법 | |
Tsai et al. | Strategy for Implementing of Zero Trust Architecture | |
CN116633693B (zh) | 一种基于全要素网络标识的可信安全网关实现方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |