CN116582374B - 一种基于流量识别的零信任动态访问控制方法 - Google Patents

Abstract

本发明提供一种基于流量识别的零信任动态访问控制方法，包括：S1，发送第一个SPA认证包与身份认证数据包，根据第一个SPA认证包与身份认证数据包获取当前用户的访问控制策略，并根据访问控制策略打开数据交互通道；S2，持续发送SPA认证包，同时通过数据交互通道与内网进行数据交互；S3，镜像SPA认证包和数据包，对镜像的SPA认证包和数据包分别计算信任评分；S4，根据静态算法计算镜像的SPA认证包和数据包的加权信任评分；S5，根据加权信任评分更新访问控制策略，并根据访问控制策略动态调整用户的访问权限。本发明利用SPA认证包和基于流量识别的数据包完成双通道的动态访问控制检测，提升了零信任动态访问控制中的实时性和准确性。

Description

一种基于流量识别的零信任动态访问控制方法

技术领域

本发明涉及信息安全技术领域，更具体地，涉及一种基于流量识别的零信任动态访问控制方法。

背景技术

随着网络的发展，移动办公、云、LOT等加入内网，使得内网的边界变得越来越模糊，边界模糊导致了内网的安全面临更大的风险，数据和业务更容易泄露。为了解决传统边界安全防护不足的问题，零信任技术被提出并得到了广泛的应用。零信任技术打破传统的边界防护思维，安全建设角度从“基于风险”转向“基于业务访问过程”，默认不信任所有的网络、设备和数据等，只有经过认证的设备和网络才能访问内网，最小化访问控制权限，实时评估外部网络的信任度，动态调整访问控制策略。零信任技术的出现极大地提高了内网的安全性。

目前零信任最关键的认证和动态访问控制技术始终没有达成统一，有各种各样的方案被提出和应用，但这些方案都存在或多或少的问题。基于多因素的认证方式需要建立数据库，存储大量的认证信息，并根据复杂的静态算法来计算信任值，花费的时间和空间代价较大，认证的准确性也有待提高。而基于深度学习或机器学习的认证方式则是在上述基础上加入深度学习的方法，在大量的认证数据的基础上训练模型，最终根据训练结果来计算信任值，深度学习最大的问题是实现的难度和时间复杂度，信任评估是要实时进行，而深度学习的方式则需要较多的时间，不能完成实时性。基于二次认证的方式能够满足实时性的要求，准确性也很高，但是二次认证的动态检测准确性不足，而且二次认证的方式较为复杂，使用不便。

发明内容

本发明针对现有技术中存在的技术问题，提供一种基于流量识别的零信任动态访问控制方法，主要目的在于解决零信任动态访问控制中的实时性和准确性要求的难题，利用SPA认证包和基于流量识别的数据包完成双通道的动态访问控制检测。

本发明提供了一种基于流量识别的零信任动态访问控制方法，包括：

S1，发送第一个SPA认证包与身份认证数据包，根据第一个SPA认证包与身份认证数据包获取当前用户的访问控制策略，并根据访问控制策略打开数据交互通道；

S2，持续发送SPA认证包，同时通过数据交互通道与内网进行数据交互；

S3，镜像SPA认证包和数据包，对镜像的SPA认证包基于认证数据库计算SPA信任评分，对镜像的数据包根据流量识别计算流量识别信任评分；

S4，根据静态算法计算镜像的SPA认证包和数据包的加权信任评分；

S5，根据加权信任评分更新访问控制策略，并根据访问控制策略动态调整用户的访问权限。

在上述技术方案的基础上，本发明还可以作出如下改进。

可选的，该方法基于零信任控制中心和零信任网关，零信任控制中心包括认证数据库，步骤S1包括：

终端设备向零信任控制中心发送第一个SPA认证包，零信任控制中心在验证SPA认证包的参数后，开放自身网络端口；

终端设备向零信任控制中心的网络端口发送身份认证数据包，零信任控制中心将身份认证数据包与认证数据库相匹配，以验证当前用户身份；

基于合格的用户身份信息，零信任控制中心向零信任网关发送第一个SPA认证包，零信任网关验证SPA认证包的参数后，开放自身网络端口；

根据用户身份从认证数据库获取当前用户的访问权限并制定对应的访问控制策略，将访问控制策略发送至零信任网关；终端设备向零信任网关发送第一个SPA认证包，零信任网关在验证SPA认证包参数后，打开自身面向终端设备的网络端口作为数据交互通道。

可选的，步骤S2包括：

终端设备通过零信任网关和内网资源建立连接，以访问内部业务和具体数据；

按照预设的间隔时间，终端设备持续向零信任网关发送SPA认证包，以维持数据交互通道开通。

可选的，零信任控制中心还包括评分引擎和流量识别引擎，步骤S3包括：

终端设备持续发送的SPA认证包经过零信任网关进入零信任控制中心的评分引擎，评分引擎将SPA认证包的认证参数与认证数据库中指定时间窗口内的认证参数相比对，计算得到SPA信任评分；

终端设备向内网发送的外网数据包经过零信任网关进入零信任控制中心的流量识别引擎，流量识别引擎将外网数据包与外网特征库相比对，得到外网流量分类占比结果，其中，外网流量分类包括已知流量、未知流量和攻击流量；

内网向终端设备发送的内网数据包经过零信任网关进入零信任控制中心的流量识别引擎，流量识别引擎将内网数据包与内网特征库相比对，得到内网流量识别结果，其中，内网流量识别结果包括设备信息、服务类型和数据权限；

根据外网流量分类占比结果和内网流量识别结果计算得到流量识别信任评分。

可选的，步骤S3，还包括：

根据SPA信任评分判断是否采用当前SPA认证包的认证参数对认证数据库内的认证参数进行更新。

可选的，步骤S3中，计算SPA信任评分的步骤包括：

分析当前接收的SPA认证包的认证参数，获取当前接收的SPA认证包中认证参数的各认证因子的记录值/>；

获取认证数据库中的用于计算评分的指定时间窗口范围内的多个连续的SPA认证包，多个连续的SPA认证包对应认证参数，获取指定时间窗口范围内各个认证参数的权重W（i），获取认证参数/>中各个认证因子的记录值/>以及各认证因子的权重/>，

将认证因子的记录值与记录值/>进行对比评分，再根据认证因子的权重/>以及认证参数的权重W（i）计算得到当前接收的SPA认证包的信任评分。

可选的，通过下式计算SPA信任评分：

（1），

（2），

（3），

其中，i∈[1,k]，k表示指定时间窗口范围内认证参数的数量，i表示指定时间窗口范围内认证参数的序号，衰减函数W（i）表示指定时间窗口范围内各个认证参数的权重，M表示单个SPA认证包中认证因子的数量，表示指定时间窗口范围内的第i个SPA认证包的认证参数，/>为指定时间窗口范围内第i个SPA认证包中第j个认证因子与当前接收的SPA认证包中第j个认证因子的对比评分，/>表示指定时间窗口范围内第i个SPA认证包中第j个认证因子的记录值，/>表示当前接收的SPA认证包中第j个认证因子的记录值，/>表示认证参数中第j个认证因子的权重，/>表示计算得到的SPA信任评分。

可选的，步骤S3还包括：

若计算得到的SPA信任评分大于SPA评分阈值，则将当前接收的SPA认证包的认证参数传入认证数据库，并移动时间窗口，使认证数据库中原有的距离当前时间最久的SPA认证参数失效。

可选的，步骤S3中，计算流量识别信任评分的步骤，包括：

对于终端设备向内网发送的数据包，若检测到攻击流量，则信任评分直接为0；若检测到未知流量，根据未知流量在总流量中的权重，相应地降低信任评分；

对于内网向终端设备发送的数据包，调取认证数据库的用户权限参数，获取当前用户的可访问权限，至少包括设备、数据和服务，将用户的权限和流量识别的结果做对比，如果出现权限外的设备、数据和服务，则信任评分直接为0；

通过下式计算流量识别信任评分：

（4），

其中，为外网攻击流量的权重，只能为1或0，0表示有攻击流量；/>表示内网是否有越权行为，只能为1或0，0表示有越权行为；/>表示未知流量的占比与其评分权重的乘积，其中/>表示未知流量，/>表示未知流量的评分权重；表示已知流量的占比与其评分权重的乘积，其中/>表示已知流量，表示已知流量的评分权重。

可选的，步骤S4中，根据静态算法计算镜像的SPA认证包和数据包的加权信任评分，包括：

将获取的SPA信任评分和流量识别信任评分/>进行平均加权，计算得到SPA认证包和数据包的加权信任评分，计算所述加权信任评分的时间间隔与发送SPA认证包的时间间隔一致。

可选的，步骤S5包括：

预设两个评分阈值将加权信任评分分为分数范围依次递减的三个评分等级：第一级、第二级和第三级；

其中，预设第一级的访问控制策略为保持原有权限不变，第二级的访问控制策略为降低访问权限，第三级的访问控制策略为回收访问权限、断开连接；

将计算得到的加权信任评分分别与预设的两个评分阈值相比较，得到当前加权信任评分所属等级对应的访问控制策略，采用当前加权信任评分对应的访问控制策略更新当前用户的访问权限。

本发明提供的一种基于流量识别的零信任动态访问控制方法，对传统的动态认证流程进行改进，将其分为两个部分，SPA认证包的认证和访问数据包的认证，在传统的多因素认证的基础上，引入双通道认证，两种认证方式分别计算信任评分，最后得出综合的加权信任评分，大大提高了认证结果的准确性与认证效率。根据加权信任评分重新更新访问控制策略，实现用户的访问控制策略的动态调整，提升了零信任动态访问控制中的实时性和准确性。

附图说明

图1为本发明提供的一种基于流量识别的零信任动态访问控制方法流程图；

图2为本发明某一实施例中用于实现该方法的系统整体架构示意图；

图3为某一实施例中步骤S1和步骤S2的数据流顺序示意图；

图4为某一实施例中动态访问控制的认证数据流示意图；

图5为某一实施例的认证数据库中SPA认证包的时间滑动窗口示意图；

图6为某一实施例中信任评分计算过程流程图。

具体实施方式

下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明，但不用来限制本发明的范围。

图1为本发明提供的一种基于流量识别的零信任动态访问控制方法流程图，如图1所示，方法包括：

S1，发送第一个SPA认证包与身份认证数据包，根据第一个SPA认证包与身份认证数据包获取当前用户的访问控制策略，并根据访问控制策略打开数据交互通道；

S2，持续发送SPA认证包，同时通过数据交互通道与内网进行数据交互；

S3，镜像SPA认证包和数据包，对镜像的SPA认证包基于认证数据库计算SPA信任评分，对镜像的数据包根据流量识别计算流量识别信任评分；

S4，根据静态算法计算镜像的SPA认证包和数据包的加权信任评分；

S5，根据加权信任评分更新访问控制策略，并根据访问控制策略动态调整用户的访问权限。

可以理解的是，基于背景技术中的缺陷，本发明实施例提出了一种基于流量识别的零信任动态访问控制方法。

本发明的方法对传统的动态认证流程进行改进，将其分为两个部分，SPA认证包的认证和访问数据包的认证，在传统的多因素认证的基础上，引入双通道认证，两种认证方式分别计算信任评分，最后得出综合的加权信任评分，大大提高了认证结果的准确性与认证效率。根据加权信任评分重新更新访问控制策略，实现用户的访问控制策略的动态调整，提升了零信任动态访问控制中的实时性和准确性。

为了更好地对本实施例提出的方法进行说明，现对用于搭载本方法的系统进行简单说明。

在某一个实施方式中，用于搭载本发明方法的系统整体架构如图2所示，系统整体分为两个部分：零信任网关和零信任控制中心。零信任控制中心和零信任网关可部署在两台服务器中，实现物理隔离。数据层面的零信任网关负责具体访问控制策略执行，控制层面的零信任控制中心负责权限管理和动态访问控制，是本实施例中研究的重点。零信任控制中心主要分为以下模块：策略引擎、评分引擎、认证数据库和流量识别引擎。零信任控制中心的评分引擎依赖认证数据库和流量识别引擎两个来源。图2中所示各模块的主要功能如下：

零信任网关，与零信任控制中心可部署在两台服务器上运行，实现物理隔离，零信任网关负责具体策略的实行，实现对外部设备的访问控制，根据策略引擎提供的策略，决定外部设备和用户的访问权限，其具体作用类似防火墙。

零信任控制中心，负责外部设备的用户的身份认证和动态授权，通过策略引擎的访问控制策略将当前用户的具体权限策略下发到零信任网关。零信任控制中心主要分为策略引擎、评分引擎、认证数据库和流量识别引擎。

策略引擎，负责策略的制定和下发，从评分引擎动态地获取用户和设备的加权信任评分，根据评分决定设备和用户的访问权限，并制定相应的访问控制策略，下发到零信任网关。

评分引擎，负责根据零信任网关镜像过来的的SPA认证包和数据包，分别调用认证数据库和流量识别引擎，完成对SPA认证包和数据包流量的识别。例如，对于SPA数据包，可采用多因素认证并且使用静态规则计算信任得分；对于数据包，根据数据包的识别结果和静态算法计算信任分，最后两个信任分加权求和，得出用户最终的加权信任评分，并将信任评分传递给策略引擎。

认证数据库，负责存储用户和设备等终端设备的信息，并分为静态信息和动态信息。例如，静态信息包括用户名和密码等不会改变且不可违背的信息，动态信息包括ip、口令、时间戳、地理位置等环境变量，且以滑动时间窗口的形式保存，即只保存一段时间范围的环境变量信息，超出时间轴的部分，自动删除，新加入的SPA认证包中的信息，只和指定时间窗口内的信息作比较。

流量识别引擎，负责数据包的流量识别。例如，从零信任网关镜像出来的数据包传递到流量识别引擎，流量识别引擎根据内、外网分别建立两个特征库，内网特征库记录内网业务数据和服务的流量特征，外网数据库负责记录外网的流量特征，即整个互联网的数据特征，这个工作量大，先以主流的流量为基础，慢慢扩展，比如识别是什么应用的流量，识别网站，识别域名，识别具体业务操作等，在此基础上判断访问环境的安全性。

在一种可能的实施例方式中，如图3所示为基于前述系统的步骤S1和步骤S2的数据流示意图，步骤S1包括：

图3所示的第1步，外部的终端设备向零信任控制中心发送第一个SPA认证包，零信任控制中心在验证SPA认证包的参数后，开放自身网络端口，例如零信任控制中心朝向终端设备的网络端口，用于后续的终端设备身份认证；

图3所示的第2步，终端设备向零信任控制中心的网络端口发送身份认证数据包，零信任控制中心将身份认证数据包与认证数据库相匹配，以验证当前用户身份；

图3所示的第3步，当判定当前用户的身份合格后，基于合格的用户身份信息，零信任控制中心向零信任网关发送第一个SPA认证包，零信任网关验证SPA认证包的参数后，开放自身网络端口，例如零信任网关朝向零信任控制中心的网络端口，用于后续访问控制策略的下发；

图3所示的第4步，零信任控制中心根据用户身份从认证数据库获取当前用户的访问权限并制定对应的访问控制策略，将访问控制策略发送至零信任网关：

图3所示的第5步，终端设备向零信任网关发送第一个SPA认证包，零信任网关在验证该SPA认证包参数后，打开自身面向终端设备的网络端口作为数据交互通道，用于后续实现外网与内网的数据交互。

可以理解的是，在步骤S1中，通过终端设备发起的SPA认证包与身份认证数据包，完成了终端设备的初次认证，接下来即可进行终端设备与内网的连接访问，以进行数据交互。在认证过程中，发送的数据包通过国密公钥加密。

在一种可能的实施例方式中，如图3的数据流示意图所示，步骤S2包括：

图3所示的第6步，终端设备通过零信任网关和内网资源建立连接，以访问内部业务和具体数据；

图3所示的第7步，按照预设的间隔时间，终端设备持续向零信任网关发送SPA认证包，以维持数据交互通道开通。

可以理解的是，通过步骤S1的认证后，在步骤S2中，终端设备开始通过零信任网关访问内网资源，交换数据流量，同时终端设备不停地向零信任网关发送SPA认证包，用于保持端口的开放，以持续获取访问权限。步骤S2中终端设备已经可以进行正常的访问，此时后续步骤的动态访问机制开始起作用。

在一种可能的实施例方式中，如图4的流程图所示，步骤S3包括：

终端设备持续发送的SPA认证包经过零信任网关进入零信任控制中心的评分引擎，评分引擎将SPA认证包的认证参数与认证数据库中指定时间窗口内的认证参数相比对，计算得到SPA信任评分；

终端设备向内网发送的外网数据包经过零信任网关进入零信任控制中心的流量识别引擎，流量识别引擎将外网数据包与外网特征库相比对，得到外网流量分类占比结果，其中，外网流量分类包括已知流量、未知流量和攻击流量；

内网向终端设备发送的内网数据包经过零信任网关进入零信任控制中心的流量识别引擎，流量识别引擎将内网数据包与内网特征库相比对，得到内网流量识别结果，其中，内网流量识别结果包括设备信息、服务类型和数据权限；

根据外网流量分类占比结果和内网流量识别结果计算得到流量识别信任评分。

可以理解的是，步骤S3中，终端设备发送的SPA认证包和数据包，以及内网向外发送的数据包都通过零信任网关镜像到零信任控制中心，内、外网之间传输的业务数据包通过国密公钥加密，在零信任控制中心中同步私钥，解密后分析数据。SPA认证包通过到达评分引擎，根据认证数据库计算SPA信任评分，还可根据SPA信任评分判断是否采用当前SPA认证包的认证参数对认证数据库内的认证参数进行更新。数据包到达流量识别引擎，向内的流量和向外的流量分开识别，内部流量识别访问数据和业务是否越权，外部流量识别是否有未知恶意流量进入内网，根据识别结果计算流量识别信任评分。信任评分引擎对SPA认证包和数据包的数据分别评分后，即可将评分结果传递到策略引擎进行进一步的计算。

现结合图5及图6对步骤S3中计算SPA信任评分的过程和原理进行简单说明。

如图5所示为认证数据库中SPA认证包的时间滑动窗口示意图，其中，每个单元格代表一个SPA认证包对应的时间窗口，图5所示虚线框范围内的单元格是指定时间窗口范围内的单元格，为认证数据库中指定时间窗口范围的k个连续的SPA认证包的认证参数，且/>的权重依次递增，/>为认证数据库内未包含在指定时间窗口范围内的SPA认证包的认证参数。每当获取新的SPA认证包后，将其排列到如图5所示的时间窗口右端，例如图5所示/>，其代表当前接收的SPA认证包的认证参数。在整个SPA信任评分的计算过程中，仅指定时间窗口范围内SPA认证包的的认证参数作为当前接收的SPA认证包的评分依据，其余认证参数（例如失效的SPA认证包的认证参数/>）不参与计算。

在一种可能的实施例方式中，步骤S3中，计算SPA信任评分的步骤包括：

分析当前接收的SPA认证包的认证参数，获取当前接收的SPA认证包中认证参数的各认证因子的记录值/>；

获取认证数据库中的用于计算评分的指定时间窗口范围内的多个连续的SPA认证包，多个连续的SPA认证包对应认证参数，获取指定时间窗口范围内各个认证参数的权重W（i），获取认证参数/>中各个认证因子的记录值/>以及各认证因子的权重/>，

将认证因子的记录值与记录值/>进行对比评分，再根据认证因子的权重/>以及认证参数的权重W（i）计算得到当前接收的SPA认证包的信任评分。

图5中，指定时间窗口的大小固定为k，i∈[1,k]，i为指定时间窗口范围内认证参数的序号，认证参数到/>的权重依次衰减，以/>表示指定时间窗口范围内第i个认证参数，用衰减函数/>表示认证参数/>的权重，则衰减函数/>的表达式如下：

（1），

确定不同时刻SPA认证包中认证参数的权重后，根据每个SPA认证包中的多个认证因子计算评分，最后再乘以认证因子的权重，得到最后的评分。这里便是多因素认证的方式，具体的认证因子如位置、证书、令牌、时间戳、MAC、域名等不做限制，可以扩展。设每个SPA认证包中认证因子的数量为M，0<j<M，j表示第j个认证因子，每个认证因子的权重为，则SPA的信任评分/>计算函数为：

（2），

式（2）中，为指定时间窗口范围内第i个SPA认证包中第j个认证因子与当前接收的SPA认证包中第j个认证因子的对比评分；将/>表示指定时间窗口范围内第i个SPA认证包中第j个认证因子的记录值，/>表示当前接收的SPA认证包中第j个认证因子的记录值，则根据式（3）计算指定时间窗口范围内第i个SPA认证包中第j个认证因子与当前接收的SPA认证包中第j个认证因子的对比评分/>：

（3）。

可以理解的是，通过式（1）~（3）计算得到了SPA的信任评分。

在一种可能的实施例方式中，计算得到SPA的信任评分后，步骤S3还包括根据最终的SPA信任评分/>决定是否将当前SPA认证包的认证参数传入认证数据库，以更新指定时间窗口范围内的认证参数，具体包括：

若计算得到的SPA信任评分大于预设的SPA评分阈值，则将当前接收的SPA认证包的认证参数传入认证数据库，并按照图5示例的时间窗口布局向右移动时间窗口，使指定时间窗口范围覆盖当前接收的最新SPA认证包、且认证数据库中原有的距离当前时间最久的SPA认证参数失效。

可以理解的是，本步骤实现了认证数据库内的SPA认证包认证参数的更新。

在一种可能的实施例方式中，步骤S3中，计算流量识别信任评分的步骤，如图6所示，包括：

对于终端设备向内网发送的数据包，若检测到攻击流量，则信任评分直接为0；若检测到未知流量，根据未知流量在总流量中的权重，相应地降低信任评分；

对于内网向终端设备发送的数据包，调取认证数据库的用户权限参数，获取当前用户的可访问权限，至少包括设备、数据和服务，将用户的权限和流量识别的结果做对比，如果出现权限外的设备、数据和服务，则信任评分直接为0；

通过下式计算流量识别信任评分：

（4），

其中，为外网攻击流量的权重，只能为1或0，0表示有攻击流量；/>表示内网是否有越权行为，只能为1或0，0表示有越权行为；/>表示未知流量的占比与其评分权重的乘积，其中/>表示未知流量，/>表示未知流量的评分权重；表示已知流量的占比与其评分权重的乘积，其中/>表示已知流量，表示已知流量的评分权重。

可以理解的是，终端设备发送的数据包以及内网向外发送的数据包都通过零信任网关镜像到零信任控制中心，业务数据包通过国密公钥加密，在零信任控制中心中同步私钥，解密后分析数据。数据包到达流量识别引擎，向内的流量和向外的流量分开识别，内部流量识别访问数据和业务是否越权，外部流量识别是否有未知恶意流量进入内网，根据识别结果计算得到流量识别信任评分。

在一种可能的实施例方式中，步骤S4中，根据静态算法计算镜像的SPA认证包和数据包的加权信任评分，具体包括：

将获取的SPA信任评分和流量识别信任评分/>进行平均加权，计算得到SPA认证包和数据包的加权信任评分，计算所述加权信任评分的时间间隔与发送SPA认证包的时间间隔一致。

可以理解的是，在步骤S3中，信评分引擎对SPA认证包和数据包的数据分别评分，将得到的初步的评分结果传递到策略引擎，以进行步骤S4的计算，最终将两个初步的评分加权得出最终的信任评分。

在一种可能的实施例方式中，步骤S5包括：

预设两个评分阈值将加权信任评分分为分数范围依次递减的三个评分等级：第一级、第二级和第三级；例如，预设评分阈值TH1和评分阈值TH2，其中TH1＞TH2，评分阈值可以根据实际测结果调整；将大于或等于评分阈值TH1的加权信任评分的评分等级判定为第一级，将介于评分阈值TH1和评分阈值TH2之间的加权信任评分的评分等级判定为第二级，将小于或等于评分阈值TH2的加权信任评分的评分等级判定为第三级；

其中，预设第一级的访问控制策略为保持原有权限不变，第二级的访问控制策略为降低访问权限，第三级的访问控制策略为回收访问权限、断开连接；

将计算得到的加权信任评分分别与预设的两个评分阈值相比较，得到当前加权信任评分所属等级对应的访问控制策略，采用当前加权信任评分对应的访问控制策略更新当前用户的访问权限。

例如，将步骤S4计算得到的加权信任评分分别与评分阈值TH1和评分阈值TH2行比较，若加权信任评分大于或等于评分阈值TH1，则判定当前评分等级为第一级，若加权信任评分介于评分阈值TH1和评分阈值TH2之间，则判定当前评分等级为第二级，若加权信任评分小于或等于评分阈值TH2，则判定当前评分等级为第三级。判断得到当前加权信任评分对应的评分等级后，根据当前的评分等级动态调整用户和设备的访问权限，并指定访问控制策略，将访问控制策略下发到零信任网关，动态修改用户和设备的访问权限。

本发明实施例提供的一种基于流量识别的零信任动态访问控制方法，相比于传统的技术方案，具有显著的效果：

1、本发明对传统的动态认证流程进行改进，在传统的多因素认证的基础上，引入双通道认证，将认证分为两个部分，SPA认证包的认证和访问数据包的认证，两种认证方式分别计算信任评分，最后得出综合的加权信任评分，大大提高了认证结果的准确性。

2、本发明引入了流量识别机制，在前期建立内网特征库和外网特征库的基础上，可以快速的识别出终端和内网交互的数据内容，并检测出访问风险，根据识别结果判断连接的可信度，可以实现动态认证的要求，同时提高准确性，控制计算时间。

3、相较于传统的静态认证，本发明采用了动态认证的方式，提供了访问权限的动态控制，同时相较于传统的动态认证方式，本发明在多因素认证和动态认证的基础上，加入了流量识别认证，同时流量识别认证是双向，同时识别终端设备和内网资源之间发送的数据流量，这样可以大大提高认证结果的准确性，也保证了动态认证的实时性。

4、本发明采用的流量识别和多因素认证方式都有很大的扩展性，不限制认证因素和识别方法，随着流量识别方法的进步可以随时更换认证算法，同时也可以通过扩展数据库来提高认证的准确度，所有的认证参数都是在零信任控制中心可调的，保证算法的便捷更新。

5、相较于热门的深度学习认证算法，本发明提出的基于流量识别的双通道认证算法最大的优势就是认证速率，基于深度学习的认证方法的可实施性、准确性、实时性都存在很大的未知性，模型的训练和设计，参数的获取和计算，需要很长的时间周期，同时需要大量的训练数据，消耗大量的存储空间；而本发明的双通道认证，两种认证的方式都可以保证实时性，计算复杂度低，准确度高，可以很好地满足动态认证的需求。

需要说明的是，在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详细描述的部分，可以参见其它实施例的相关描述。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质（包括但不限于磁盘存储器、CD-ROM、光学存储器等）上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备（系统）、和计算机程序产品的流程图和/或方框图来描述。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式计算机或者其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包括这些改动和变型在内。

Claims (8)

1.一种基于流量识别的零信任动态访问控制方法，其特征在于，包括：

S1，发送第一个SPA认证包与身份认证数据包，根据第一个SPA认证包与身份认证数据包获取当前用户的访问控制策略，并根据访问控制策略打开数据交互通道；具体包括：

终端设备向零信任控制中心发送第一个SPA认证包，零信任控制中心在验证SPA认证包的参数后，开放自身网络端口；

终端设备向零信任控制中心的网络端口发送身份认证数据包，零信任控制中心将身份认证数据包与认证数据库相匹配，以验证当前用户身份；

基于合格的用户身份信息，零信任控制中心向零信任网关发送第一个SPA认证包，零信任网关验证SPA认证包的参数后，开放自身网络端口；

零信任控制中心根据用户身份从认证数据库获取当前用户的访问权限并制定对应的访问控制策略，将访问控制策略发送至零信任网关：

终端设备向零信任网关发送第一个SPA认证包，零信任网关在验证SPA认证包参数后，打开自身面向终端设备的网络端口作为数据交互通道；

S2，持续发送SPA认证包，同时通过数据交互通道与内网进行数据交互；

S3，镜像SPA认证包和数据包，对镜像的SPA认证包和数据包分别计算信任评分；零信任控制中心还包括评分引擎和流量识别引擎，步骤S3包括：

终端设备持续发送的SPA认证包经过零信任网关进入零信任控制中心的评分引擎，评分引擎将SPA认证包的认证参数与认证数据库中指定时间窗口内的认证参数相比对，计算得到SPA信任评分；

终端设备向内网发送的外网数据包经过零信任网关进入零信任控制中心的流量识别引擎，流量识别引擎将外网数据包与外网特征库相比对，得到外网流量分类占比结果，其中，外网流量分类包括已知流量、未知流量和攻击流量；

内网向终端设备发送的内网数据包经过零信任网关进入零信任控制中心的流量识别引擎，流量识别引擎将内网数据包与内网特征库相比对，得到内网流量识别结果，其中，内网流量识别结果包括设备信息、服务类型和数据权限；

根据外网流量分类占比结果和内网流量识别结果计算得到流量识别信任评分；

S4，根据静态算法计算镜像的SPA认证包和数据包的加权信任评分；

S5，根据加权信任评分更新访问控制策略，并根据访问控制策略动态调整用户的访问权限。

2.根据权利要求1所述的一种基于流量识别的零信任动态访问控制方法，其特征在于，步骤S2包括：

终端设备通过零信任网关和内网资源建立连接，以访问内部业务和具体数据；

按照预设的间隔时间，终端设备持续向零信任网关发送SPA认证包，以维持数据交互通道开通。

3.根据权利要求1所述的一种基于流量识别的零信任动态访问控制方法，其特征在于，步骤S3中，计算SPA信任评分的步骤包括：

分析当前接收的SPA认证包的认证参数，获取当前接收的SPA认证包中认证参数的各认证因子的记录值/>；

获取认证数据库中的用于计算评分的指定时间窗口范围内的多个连续的SPA认证包，多个连续的SPA认证包对应认证参数，获取指定时间窗口范围内各个认证参数的权重W（i），获取认证参数/>中各个认证因子的记录值/>以及各认证因子的权重，

将认证因子的记录值与记录值/>进行对比评分，再根据认证因子的权重/>以及认证参数的权重W（i）计算得到当前接收的SPA认证包的信任评分。

4.根据权利要求3所述的一种基于流量识别的零信任动态访问控制方法，其特征在于，通过下式计算SPA信任评分：

（1），

（2），

（3），

其中，i∈[1,k]，k表示指定时间窗口范围内认证参数的数量，i表示指定时间窗口范围内认证参数的序号，衰减函数W（i）表示指定时间窗口范围内各个认证参数的权重，M表示单个SPA认证包中认证因子的数量，表示指定时间窗口范围内的第i个SPA认证包的认证参数，/>为指定时间窗口范围内第i个SPA认证包中第j个认证因子与当前接收的SPA认证包中第j个认证因子的对比评分，/>表示指定时间窗口范围内第i个SPA认证包中第j个认证因子的记录值，/>表示当前接收的SPA认证包中第j个认证因子的记录值，/>表示认证参数中第j个认证因子的权重，/>表示计算得到的SPA信任评分。

5.根据权利要求3~4任一项所述的一种基于流量识别的零信任动态访问控制方法，其特征在于，步骤S3还包括：

若计算得到的SPA信任评分大于SPA评分阈值，则将当前接收的SPA认证包的认证参数传入认证数据库，并移动时间窗口，使认证数据库中原有的距离当前时间最久的SPA认证参数失效。

6.根据权利要求3~4任一项所述的一种基于流量识别的零信任动态访问控制方法，其特征在于，步骤S3中，计算流量识别信任评分的步骤，包括：

对于终端设备向内网发送的数据包，若检测到攻击流量，则信任评分直接为0；若检测到未知流量，根据未知流量在总流量中的权重，相应地降低信任评分；

对于内网向终端设备发送的数据包，调取认证数据库的用户权限参数，获取当前用户的可访问权限，至少包括设备、数据和服务，将用户的权限和流量识别的结果做对比，如果出现权限外的设备、数据和服务，则信任评分直接为0；

通过下式计算流量识别信任评分：

（4），

其中，为外网攻击流量的权重，只能为1或0，0表示有攻击流量；/>表示内网是否有越权行为，只能为1或0，0表示有越权行为；/>表未知流量的占比与其评分权重的乘积，其中/>表示未知流量的占比，/>表示未知流量的评分权重；/> 表未知流量的占比与其评分权重的乘积，其中/>表示已知流量的占比，/>表示已知流量的评分权重。

7.根据权利要求6所述的一种基于流量识别的零信任动态访问控制方法，其特征在于，步骤S4中，根据静态算法计算镜像的SPA认证包和数据包的加权信任评分，包括：

将获取的SPA信任评分和流量识别信任评分/>进行平均加权，计算得到SPA认证包和数据包的加权信任评分，计算所述加权信任评分的时间间隔与发送SPA认证包的时间间隔一致。

8.根据权利要求1所述的一种基于流量识别的零信任动态访问控制方法，其特征在于，步骤S5包括：

预设两个评分阈值，将加权信任评分分为分数范围依次递减的三个评分等级：第一级、第二级和第三级；

其中，预设第一级的访问控制策略为保持原有权限不变，第二级的访问控制策略为降低访问权限，第三级的访问控制策略为回收访问权限、断开连接；

将计算得到的加权信任评分分别与预设的两个评分阈值相比较，得到当前加权信任评分所属等级对应的访问控制策略，采用当前加权信任评分对应的访问控制策略更新当前用户的访问权限。