CN116248405A

CN116248405A - 一种基于零信任的网络安全访问控制方法及采用该方法的网关系统、存储介质

Info

Publication number: CN116248405A
Application number: CN202310253094.2A
Authority: CN
Inventors: 梁桂明; 杨馥铭; 李映江; 覃力更; 潘华; 陈志�
Original assignee: Guangxi Beitou Xinchuang Technology Investment Group Co ltd
Current assignee: Guangxi Beitou Xinchuang Technology Investment Group Co ltd
Priority date: 2023-03-15
Filing date: 2023-03-15
Publication date: 2023-06-09

Abstract

本公开的目的是提供一种基于零信任的网络安全访问控制方法及采用该方法的网关系统、存储介质，通过数据二次认证结合身份二次验证从而弥补现有技术中零信任存在的问题。对此，本公开包括：第一步认证，转移包，第二步认证；最终用户通过认证后，通过通用的终端操作组织内的各个内网系统；对于首次登录的认证用户：根据动态控制访问策略指示认证用户可执行的命令，经过认证用户确认后将该认证用户登出并重新登录；对于非首次登录的认证用户，通过两次验证基本能确保其安全性。与现有技术相比，采用本发明技术方案的零信任方案能进一步提高安全系数，避免具有正常身份的操作人员执行不当的操作或者身份被冒用，有效提高了零信任系统的可靠性。

Description

一种基于零信任的网络安全访问控制方法及采用该方法的网关系统、存储介质

技术领域

本发明涉及计算机网络技术领域，尤其涉及一种基于零信任的网络安全访问控制方法及采用该方法的网关系统、存储介质。

背景技术

随着网络技术的不断发展，网络安全性和网络便利性的矛盾愈发凸显。外部攻击和内部人员威胁愈演愈烈，有组织的、攻击武器化、以数据及服务为攻击目标的高级持续攻击依旧能轻易找到各种漏洞突破企业的边界，同时内部人员的泄密亦是防不胜防，内部业务的非授权访问、雇员犯错、有意的数据窃取等内部人员威胁层出不穷。面对如此严峻的安全挑战，安全投入越来越多，然而，安全效果却不尽如人意，安全事件层出不穷，传统安全架构失效。传统的基于网络安全边界的架构某种程度上假设、默认了内网的人和设备是值得信任的，认识内网的所有人员操作都是安全可信的，认为安全就是通过防火墙、WAF、IPS等边界安全产品/方案对企业网络边界进行重重防护。事实证明，网络系统一定有未被发现的漏洞、内部人员各种微信截图企业内部的沟通内容发布在外围可能存在泄密的风险，就彻底推翻了传统网络安全通过网络隔离边界的技术方法，基于边界的网络安全架构和解决方案已经难以应对如今的网络威胁。对此，现有技术中也提出了零信任网络模型概念。零信任是一种安全模型，基于访问主体身份、网络环境、终端状态等尽可能多的信任要素对所有用户进行持续验证和动态授权。零信任与传统的安全模型存在很大不同，传统的安全模型通过“一次验证+静态授权”的方式评估实体风险，而零信任基于“持续验证+动态授权”的模式构筑企业的安全基石。零信任在实践中体现出了其价值，目前，在零信任解决方案主要以SDP终端+SDP网关结合的方式，通过在用户终端上部署安装零信任客户端，用户通过登录零信任终端，终端发送唯一数字签名的UDP包至SDP控制器，SDP控制器验证客户端身份信息后对合法用户IP开放TCP端口建立起的SSL连接。通过端口隐藏的方式，收敛业务系统对外部的暴露面,因此可以防止非法用户通过扫描软件发现暴露的服务端口，进而展开攻击。例如现有技术中专利号为CN202110684351.9的发明专利《零信任的网络安全访问控制方法、装置及计算设备》中就公开了一种零信任的网络安全访问控制方法、应用接入网关及网关系统，该方法包括：用户发起访问时，应用接入网关发起穿透代理的网络连接到安全接入网关，建立网络通道；如果终端代理与应用接入网关不在同一网段，通过网络通道接收终端代理发送的访问请求以访问应用并将应用反馈请求通过网络通道传送给终端代理；如果在同一网段，根据同一网段信息通过安全接入网关进行终端代理与应用接入网关的直连，直接接收终端代理发送的访问请求以访问应用并将应用反馈请求直接反馈给终端代理。通过上述方式，该发明实施例能够在公有云私有云混搭状况下，进行应用部署，实现用户访问应用内外网体验一致性。但是，在实际使用过程中，现有技术对于身份正确的用户执行不正当的操作或者入侵者完美伪装成实际用户冒用身份依然没有抵御能力。

发明内容

针对现有技术的缺点，本发明的目的是提供一种基于零信任的网络安全访问控制方法，通过数据二次认证结合身份二次验证从而弥补现有技术中零信任存在的问题，使其更为安全。本发明还涉及及采用该方法的网关系统、存储介质，尽可能精简零信任系统，使其构架更为简单也更易于操作。

为了实现上述目的，本发明包括以下步骤：

第一步认证：认证用户的账户信息是否正确，加解密是否正常，并且可以解密出确认网关系统中已经存在此用户的基本信息，这样对用户身份初步验证完毕达成第一道的认证；

转移包：将经过认证的信息重新打包后通过代理加密后转发到零信任终端认证中心；

第二步认证：从加密后的包中获取终端信息、环境信息、二级验证信息及其它高级的信息。由于转移包是从用户终端获取，因此在转移包中带有这些信息。零信任终端认证中心对这些信息进行授权检查，网关系统内根据检查后的结果进行动态控制访问策略，规定用户的操作范围并确保用户的访问操作可信；

最终用户通过认证后，通过通用的终端操作组织内的各个内网系统；

对于首次登录的认证用户：根据动态控制访问策略指示认证用户可执行的命令，经过认证用户确认后将该认证用户登出并重新登录；针对一些基于时限及管理的用户身份冒用等情况，通过这样的操作可以避免冒用者第一次登录后直接进行操作，影响整体系统安全性。

对于非首次登录的认证用户，通过两次验证基本能确保其安全性，此时通过CLI命令行运行流水线，审批流程，搜索OA等组织内网站的内容。这样就可以轻松便捷的实现终端的安全检查和动态策略控制访问。

优选的，首次登录的认证用户在第一次登出时系统内记载登录过程中确认的信息，并通过系统预设的通信方式将该信息发送给认证用户和其上级管理者，且当认证用户及上级管理者均确认该信息后才能实现再次登录。系统预设的通信方式可以是电话验证或短信验证等现有的技术。关键是同时通知管理者和认证用户本人，两者只要有一人发现问题，即可阻止该账号的再次登录。

优选的，在第一步认证前进行UDP的敲门包的检查，确认用户的UDP包是正常可解密识别，并在解密识别后能够下发基础的访问控制策略，实现基础的授权认证。端口敲门是一种特殊的安全认证方案。但是同时也有人利用该方式不断发送错误的包影响系统资源。通过敲门包的检查可以在认证前直接剔除掉错误的敲门包，节省资源的同时也避免在认证过程中被攻击。

优选的，所述第一步认证中用户的基础信息，包括用户名，登录token信息，cookie信息等基础的认证数据，在多次登录后还生成用户使用习惯信息，在第一步认证最后验证用户使用习惯信息。

优选的，所述使用习惯信息包括该用户常规登录时间，常规登录设备以及常规操作步骤，当检测到用户使用信息多处不符合时，记录本次操作，并将记录信息发送至管理者，对于该用户禁止创建、插入及删除操作。

优选的，所述第二步认证中通过环境感知策略认证，通过零信任终端认证中心进行终端设备可信，终端环境可信的验证，验证通过后执行更高级的动态放权策略。

优选的，当用户终端自身带有即时通讯协作的功能时，利用该即时通讯协作的功能实现零信任动态安全访问控制的功能。

本发明还包括一种网关系统，基于用户终端和带有网关的零信任终端认证中心，零信任终端认证中心扫描本地所有安装用户终端的设备，确认设备中是否带有网关，对于带有网关的设备，将零信任终端设置在设备网关中，安装用户终端的设备将设备信息发送至网关系统，网关执行认证，用户在用户终端进行基于可写交换机的默认策略校验的第一步认证，并在通过第一步认证通过后接入零信任终端认证中心，在零信任终端认证中心的网关中进行确认终端设备可信、终端环境可信的第二步认证，所有的通信协议通过国密SM4算法进行加密数据进行通信。

优选的，当设备中并没带有网关时采用软件代理方式的SDP零信任网关，以达到不用硬件，使用纯软件的形式来实现零信任网关的部署。

本发明还包括一种计算机存储介质，所述存储介质中存储有至少一可执行指令，所述可执行指令使处理器执行零信任的网络安全访问控制方法的步骤。这样方便整个系统的携带、保存和部署。也可以根据存储介质提高系统升级的效率。

与现有技术相比，采用本发明技术方案的零信任方案能进一步提高安全系数，避免具有正常身份的操作人员执行不当的操作或者身份被冒用。有效提高了零信任系统的可靠性，同时也通过充分利用用户终端中的设备和软件，实现了功能的复用，尽可能精简了系统的构架，使其便于部署。

附图说明

附图示出了本公开的示例性实施方式，并与其说明一起用于解释本公开的原理，其中包括了这些附图以提供对本公开的进一步理解，并且附图包括在本说明书中并构成本说明书的一部分。

图1是现有技术中采用的零信任的网络安全访问控制方法示意图；

图2是本发明实施例提供的零信任的网络安全访问控制方法示意图图；

图3是本发明实施例提供的零信任的网络安全访问控制方法安全校验时的流程图；

图4是本发明实施例提供的网关系统的结构框图。

图5是本发明实施例提供的网关系统的工作原理示意图。

具体实施方式

下面结合附图和实施方式对本公开作进一步的详细说明。可以理解的是，此处所描述的具体实施方式仅用于解释相关内容，而非对本公开的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本公开相关的部分。

需要说明的是，在不冲突的情况下，本公开中的实施方式及实施方式中的特征可以相互组合。下面将参考附图并结合实施方式来详细说明本公开。为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

如图1所示为现有技术中采用的零信任方案，SDP终端+SDP网关结合的方式，通过在用户终端上部署安装零信任客户端，用户通过登录零信任终端。SDP全称是SoftwareDefined Perimeter，即软件定义边界，是由国际云安全联盟CSA于2013年提出的基于零信任(Zero Trust)理念的新一代网络安全技术架构。零信任安全是一种理念，软件定义边界SDP是实践零信任安全理念的技术架构与方案。用户终端发送唯一数字签名的UDP包至SDP控制器，UDP是User Datagram Protocol的简称，中文名是用户数据报协议，是OSI(OpenSystem Interconnection，开放式系统互联)参考模型中一种无连接的传输层协议，提供面向事务的简单不可靠信息传送服务。SDP控制器验证客户端身份信息后对合法用户IP开放TCP端口建立起的SSL连接。TCP是一种面向连接通信协议，在计算机网络OSI模型中，它完成第四层传输层所指定的功能。TCP端口就是为TCP协议通信提供服务的端口。SSL(SecureSocket Layer)是Netscape所研发用保障Internet数据传输安全利用数据加密(Encryption)技术确保数据网络。

现有技术中通过端口隐藏的方式，收敛业务系统对外部的暴露面,因此可以防止非法用户通过扫描软件发现暴露的服务端口，进而展开攻击。但是我们发现这样的网络隔离的实现和零信任终端SDP网关的实现在传统企业的网络边界安全上的切换SDP网关只负责UDP敲门后转发UDP包和后续短暂的打开TCP端口放开，建立TCP连接后负责转发请求数据包，并不负责验证SDP。硬件设备负责转发数据包，抵御DDOS(Distributed Denial ofService分布式拒绝攻击)，syn攻击等(syn攻击属于DoS攻击的一种，它利用TCP协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源)。当用户终端为IM(即时通信InstantMessaging)终端时，IM终端只负责通讯，沟通协作，IM的网关也只负责转发用户IM终端的消息信息，或者负责转发单点登录操作的授权包，协助完成单点登录的过程，没有校验用户的终端信息，环境信息和授权情况，只要登陆上IM终端即可在IM工作台操作相应的系统，权限粒度非常的粗犷。不法分子很容易利用IM终端绕开零信任系统。

此外，现有技术中的零信任无法避免实际具有操作权限的人员自主执行违规操作，或者由于某些方式真实身份被顶用等情况发生。虽然零信任技术已经较为成熟，但是不法分子也有很多方式绕开零信任系统。

而本发明中由于采用了所述的技术方案，克服了大部分已知的攻击方式。如图2、图3所示，本发明可以做到UDP的敲门包的检查，确认用户的UDP包是正常可解密识别的，再则都能做到下发基础的访问控制策略，实现基础的授权认证。这样能有效保护系统资源。

在此基础上第一步认证检查用户的账户信息是否正确，加解密是否正常，并且可以解密出用户的基础信息，包括用户名，登录token信息，cookie信息等基础的认证数据，确认网关系统中已经存在此用户的基本信息，达成第一道的认证。第一步认证是基于可写交换机的默认策略的。之后可以代理转发网关的包到零信任终端认证中心，做终端信息，环境信息等更高级的授权检查。在这个过程中位于用户终端的网关和基于零信任终端认证中心的零信任网关结合，在实现用户终端功能的同时完成零信任的认证授权。

零信任终端认证中心，在现有技术中也被称之为零信任控制中心，至少包括统一身份认证、终端安全检测模块、访问控制模块、安全审计这些功能模块，也可以通过第三方扩展模块提高其功能和使用效果。

网关系统内动态控制访问策略，确保用户的访问操作是可信的。最终用户通过认证后，可以通过通用的终端操作组织内的各个内网系统，完成即时通讯协作的功能，又完成零信任网关的动态安全访问控制的功能，通过CLI命令行运行流水线，审批流程，搜索OA等组织内网站的内容。CLI是一个命令行程序，它接受文本输入以执行操作系统功能。轻松便捷的实现终端的安全检查和动态策略控制访问。以IM终端为例，在这个过程中网关系统的集成合并，通过IM即时通讯软件IM网关实现了IM的通讯和零信任网关的安全策略。

在这个过程中，首次登录的认证用户在第一次登出时系统内记载登录过程中确认的信息，并通过系统预设的通信方式将该信息发送给认证用户和其上级管理者，且当认证用户及上级管理者均确认该信息后才能实现再次登录。通过这样结合线上和线下的多元化认证方式，虽然从流程上增加了步骤，但是对于零信任系统而言反而是节省了系统资源。同时这样验证的可靠性也大大增加。

同样的，用户终端在多次登录后还生成用户使用习惯信息，在第一步认证最后验证用户使用习惯信息。所述使用习惯信息包括该用户常规登录时间，常规登录设备以及常规操作步骤。作为对公的操作，根据用户身份不同其登录系统的时间、频率以及操作对象都是有迹可循的。例如办公室人员登录时间往往和其工作时间匹配，如果加班和OA系统里的加班信息可以相互校验。而维护人员除了定时维护，也会根据发起的帮助请求下临时登录。但是如果察觉到一个办公室用户在非工作时间突然登录并尝试使用与其工作无关的模块时，即便其通过了两次认证，其身份依然存疑。当检测到用户使用信息多处不符合时，记录本次操作，并将记录信息发送至管理者，对于该用户禁止创建、插入及删除操作。如果真的是非本人操作，只能尽可能减少对系统造成的损害。

依然以IM终端为例对于IM集成后的零信任终端，本发明中集成CLI命令，通过CLI命令操作企业内部的系统，免去用户再次打开网页操作系统的不必要的麻烦，比如我们可以通过再IM终端中集成oa命令，通过"/oa"等关键词识别是操作OA的CLI命令，通过"/oasearch xxx"搜索OA系统内的公告，发文等内容，直接展示在用户的IM终端聊天界面，快速的返回用户的内容供用户阅读，而无需打开系统网页查看，减少了用户访问系统的操作，提升了整个系统的安全性。

同时对于CLI的操作，本发明中方便的集成研发体系的操作，通过/devops runxxx等操作，快速的访问devops流水线，CLI操作通过IM网关内集成的零信任网关的统一认证后，即可快速的拉起流水线的运行，打包部署整个系统。这样对于非研发人员，或者外部协同开发人员也可以轻松的授权其协同开发运行流水线，而无需登录流水线系统，在不影响应用和改造流水线系统的前提下通过IM网关达成安全防护，基于身份的可信赖和最小的权限访问机制，确保用户能部署测试环境或者生产环境的部署系统，但是又不会影响到系统的安全性，集中管控出口应用，配置允许最小的外网访问应用，只需要通过IM集成的零信任终端cli快速操作即可完成，即达成了操作流水线的目标，也实现了用户的可信安全访问。

或者通过"/oa search xxx"查找相应的流程申请单，返回临时的申请单链接"http://oa.com/id＝xxxx&token＝abcd"等,可以通过在返回的临时链接上增加上token，token通过零信任终端认证中心认证，待认证完后确认没有异常，再去除token转发后端OA系统，达到一个安全验证临时链接，确保每个链接的访问都是安全可信的。

在IM的沟通对话时，我们也可以通过/oa process xxxx agree等拉起审批单，对方收到拉起的审批单后，直接点击拉起的审批界面的同意或者不同意，即可快速的完成跟对话用户的审批单的审批。避免登录系统，同时也确保用户的审批是经过了零信任终端的环境监测，身份认证的，确保用户的审批都具有完整的操作审计和审批时的环境信息记录。

如图4及图5所示，为本发明的网关系统的示意图，基于用户终端和带有网关的零信任终端认证中心，零信任终端认证中心扫描本地所有安装用户终端的设备，确认设备中是否带有网关，对于带有网关的设备，将零信任终端设置在设备网关中，安装用户终端的设备将设备信息发送至网关系统，网关执行认证，用户在用户终端进行基于可写交换机的默认策略校验的第一步认证，并在通过第一步认证通过后接入零信任终端认证中心，在零信任终端认证中心的网关中进行确认终端设备可信、终端环境可信的第二步认证，所有的通信协议通过国密SM4算法进行加密数据进行通信尤其是当用户终端为IM终端时，能充分利用其软件和硬件设备。而当设备中并没带有网关时采用软件代理方式的SDP零信任网关，以达到不用硬件，使用纯软件的形式来实现零信任网关的部署。

同时本发明还包括一种计算机存储介质，所述存储介质中存储有至少一可执行指令，所述可执行指令使处理器执行根据所述零信任的网络安全访问控制方法的步骤。这样方便整个系统的携带、保存和部署。也可以根据存储介质提高系统升级的效率。

虽然本发明以较佳实施例揭露如上，但并非用以限定本发明实施的范围。任何本领域的普通技术人员，在不脱离本发明的发明范围内，当可作些许的改进，即凡是依照本发明所做的同等改进，应为本发明的范围所涵盖。在本说明书的描述中，参考术语“一个实施例/方式”、“一些实施例/方式”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例/方式或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例/方式或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例/方式或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例/方式或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例/方式或示例以及不同实施例/方式或示例的特征进行结合和组合。

此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本申请的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。

本领域的技术人员应当理解，上述实施方式仅仅是为了清楚地说明本公开，而并非是对本公开的范围进行限定。对于所属领域的技术人员而言，在上述公开的基础上还可以做出其它变化或变型，并且这些变化或变型仍处于本公开的范围内。

Claims

1.一种基于零信任的网络安全访问控制方法，其特征在于，包括以下步骤：

第一步认证：认证用户的账户信息是否正确，加解密是否正常，并且可以解密出确认网关系统中已经存在此用户的基本信息；

第二步认证：从加密后的包中获取终端信息、环境信息、二级验证信息及其它高级的信息，对这些信息进行授权检查，网关系统内根据检查后的结果进行动态控制访问策略，规定用户的操作范围并确保用户的访问操作可信；

对于首次登录的认证用户：根据动态控制访问策略指示认证用户可执行的命令，经过认证用户确认后将该认证用户登出并重新登录；

对于非首次登录、且登陆通过的认证用户：通过CLI命令行运行流水线，审批流程，搜索OA等组织内网站的内容。

2.根据权利要求1所述的一种基于零信任的网络安全访问控制方法，其特征在于，首次登录的认证用户在第一次登出时系统内记载登录过程中确认的信息，并通过系统预设的通信方式将该信息发送给认证用户和其上级管理者，且当认证用户及上级管理者均确认该信息后才能实现再次登录。

3.根据权利要求1所述的一种基于零信任的网络安全访问控制方法，其特征在于，在第一步认证前进行UDP的敲门包的检查，确认用户的UDP包是正常可解密识别，并在解密识别后能够下发基础的访问控制策略，实现基础的授权认证。

4.根据权利要求1所述的一种基于零信任的网络安全访问控制方法，其特征在于，所述第一步认证中用户的基础信息，包括用户名，登录token信息，cookie信息等基础的认证数据，在多次登录后还生成用户使用习惯信息，在第一步认证最后验证用户使用习惯信息。

5.根据权利要求4所述的一种基于零信任的网络安全访问控制方法，其特征在于，所述使用习惯信息包括该用户常规登录时间，常规登录设备以及常规操作步骤，当检测到用户使用信息多处不符合时，记录本次操作，并将记录信息发送至管理者，对于该用户禁止创建、插入及删除操作。

6.根据权利要求1所述的一种基于零信任的网络安全访问控制方法，其特征在于，所述第二步认证中通过环境感知策略认证，通过零信任终端认证中心进行终端设备可信，终端环境可信的验证，验证通过后执行更高级的动态放权策略。

7.根据权利要求1所述的一种基于零信任的网络安全访问控制方法，其特征在于，当用户终端自身带有即时通讯协作的功能时，利用该即时通讯协作的功能实现零信任动态安全访问控制的功能。

8.一种网关系统，基于用户终端和带有网关的零信任终端认证中心，其特征在于，零信任终端认证中心扫描本地所有安装用户终端的设备，确认设备中是否带有网关，对于带有网关的设备，将零信任终端设置在设备网关中，安装用户终端的设备将设备信息发送至网关系统，网关执行认证_，用户在用户终端进行基于可写交换机的默认策略校验的第一步认证，并在通过第一步认证通过后接入零信任终端认证中心，在零信任终端认证中心的网关中进行确认终端设备可信、终端环境可信的第二步认证，所有的通信协议通过国密SM4算法进行加密数据进行通信。

9.根据权利要求8所述的网关，其特征在于，当设备中并没带有网关时采用软件代理方式的SDP零信任网关，以达到不用硬件，使用纯软件的形式来实现零信任网关的部署。

10.一种计算机存储介质，其特征在于：所述存储介质中存储有至少一可执行指令，所述可执行指令使处理器执行根据权利要求1-7任一项所述零信任的网络安全访问控制方法的步骤。