CN116633638A - 一种增强型身份认证、资源访问控制系统 - Google Patents
一种增强型身份认证、资源访问控制系统 Download PDFInfo
- Publication number
- CN116633638A CN116633638A CN202310620185.5A CN202310620185A CN116633638A CN 116633638 A CN116633638 A CN 116633638A CN 202310620185 A CN202310620185 A CN 202310620185A CN 116633638 A CN116633638 A CN 116633638A
- Authority
- CN
- China
- Prior art keywords
- client terminal
- access
- module
- trust
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000002159 abnormal effect Effects 0.000 claims abstract description 23
- 238000001514 detection method Methods 0.000 claims abstract description 23
- 238000004364 calculation method Methods 0.000 claims abstract description 21
- 238000012550 audit Methods 0.000 claims abstract description 19
- 238000011156 evaluation Methods 0.000 claims abstract description 11
- 239000002071 nanotube Substances 0.000 claims abstract description 10
- 230000000903 blocking effect Effects 0.000 claims abstract description 5
- 238000002955 isolation Methods 0.000 claims abstract description 5
- 230000006399 behavior Effects 0.000 claims description 26
- 238000004458 analytical method Methods 0.000 claims description 21
- 238000012502 risk assessment Methods 0.000 claims description 21
- 238000004891 communication Methods 0.000 claims description 17
- 230000008447 perception Effects 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 9
- 230000007613 environmental effect Effects 0.000 claims description 6
- 230000004044 response Effects 0.000 claims description 6
- 238000013507 mapping Methods 0.000 claims description 4
- 238000013475 authorization Methods 0.000 claims description 3
- 230000002457 bidirectional effect Effects 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 claims description 3
- 238000003745 diagnosis Methods 0.000 claims description 3
- 230000000977 initiatory effect Effects 0.000 claims description 3
- 230000001360 synchronised effect Effects 0.000 claims description 3
- 230000000007 visual effect Effects 0.000 claims description 3
- 238000000034 method Methods 0.000 description 16
- 238000010586 diagram Methods 0.000 description 8
- 239000003795 chemical substances by application Substances 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 241000287107 Passer Species 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 239000003999 initiator Substances 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000001556 precipitation Methods 0.000 description 1
- 230000002787 reinforcement Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本申请提供一种增强型身份认证、资源访问控制系统,包括:客户终端身份识别模块、环境安全检测模块、资产网络隐身模块、访问代理模块、全方位纳管模块、基于身份、环境、行为的持续信任度评估模块。以身份为认证主体,将身份数字化,持续的信任度评估,动态调整访问策略,隐藏资产及数据信息。本申请通过终端容器实现终端与应用访问环境的微隔离,并实现轻量化的图形审计,使用基于零信任的软件定义边界模型,建立应用级别的访问链接,实现业务安全访问,用户只能访问最小权限内的资源。通过可信度计算模块与策略模块联动,实现动态的策略下发,网关根据策略信息对资源的异常访问行为进行二次认证或阻断,为保障用户资源安全访问起到重要作用。
Description
技术领域
本申请涉及网络信息安全技术领域,尤其涉及一种增强型身份认证、资源访问控制系统。
背景技术
随着信息技术的发展,信息成为组织机构的重要资产。针对信息资产的保护越来越受到重视,尤其是在网络技术飞速发展的今天,多数组织机构都会通过网络完成数据交互等操作,信息成为网络资源,在提高工作效率的同时,也面临着信息被非法访问和使用的风险,如何实现网络资源访问控制成为迫切的需求。
目前,主要的网络访问控制手段是基于路由器、交换机、防火墙等设备的策略配置,能够在一定程度上起到访问控制的目的和作用。但是,这些访问控制手段通常都是基于主机,通过主机地址等特征实现访问控制,虽然目前已经有技术考虑到资源访问发起者的身份,往往也仅仅采用简单的指纹、人脸或者语音认证身份,容易被指纹套、录制语音或假面技术欺骗,从而导致信息或财产的损失。
发明内容
有鉴于此,本申请的目的在于提出一种增强型身份认证、资源访问控制系统,本申请能够针对性的解决现有的问题。
基于上述目的,本申请还提出了一种增强型身份认证、资源访问控制系统,包括:
客户终端身份识别模块,获取客户终端的物理环境信息感知、网络环境信息感知结果,进行多因子身份认证,根据身份认证结果授权策略执行权限,并进行用户操作审计;
环境安全检测模块,根据物理环境信息感知、网络环境信息感知结果,使用SSL隧道和信任锚进行环境安全检测;
资产网络隐身模块,通过所述客户终端内的容器进行所述客户终端与应用访问环境的微隔离,并进行轻量化的图形审计,动态调整访问策略,隐藏资产及数据信息;
访问代理模块,使用基于零信任的软件定义边界模型,建立应用级别的访问链接,实现业务安全访问,以使得所述客户终端的用户只能访问最小权限内的资源;
全方位纳管模块,根据风险模型分析库,进行人员账号、终端、资源、权限信息的管理;
基于身份、环境、行为的持续信任度评估模块,通过可信度计算与资产网络隐身模块联动,实现动态的策略下发,根据策略信息对资源的异常访问行为进行二次认证或阻断。
进一步地,所述客户终端身份识别模块,包括以下步骤:
获取客户终端的用户输入信息,通过摄像头获取客户终端的周围物理环境图像,获取客户终端的网络环境信息;其中,所述网络环境信息包括WIFI路由器地址、IP地址或电话网络地址;
根据所述用户输入信息是否符合预设输入条件、所述周围物理环境图像是否与预存图像匹配、所述网络环境信息是否与预存网络环境信息库匹配,对当前用户进行身份认证;
根据所述身份认证结果授权对应的策略执行权限,提示用户进行操作审计。
进一步地,所述环境安全检测模块,包括如下步骤:
根据所述策略执行权限,将所述网络环境信息转换为信任令牌;
根据所述周围物理环境图像确定所述客户终端的位置数据,使用与所述位置数据相关联的第一证书打开SSL隧道;
根据所述用户输入信息加密包括所述位置数据的数据包,当接收到对所述数据包传输的请求时,认证与所述请求相关联的信任令牌;
接收到安全检测文本消息并验证与所述安全检测文本消息相关联的信任令牌后,推进信任锚或迭代所述第一证书,完成环境安全检测。
进一步地,所述资产网络隐身模块,包括如下步骤:
通过所述用户输入信息分配所述客户终端内的容器,所述容器用于将所述客户终端与应用访问环境进行微隔离;
根据所述策略执行权限转发该客户终端的业务请求至DNS服务器,并接收DNS服务器返回的标识;
根据所述容器和所述标识的预设映射关系,进行图形审计;
根据所述图形审计的结果,调整所述策略执行权限。
进一步地,所述访问代理模块,包括如下步骤:
将软件定义边界的所有同步执行协议改为异步执行协议,只允许所述客户终端发送UDP通过零信任安全代理组件转发给零信任安全控制单元;
零信任安全控制单元通过将应答信息发送给所述客户终端,所述客户终端根据应答结果执行后续流程,依次类推完成替代TCP协议的通信工作;
由零信任安全代理组件作为通讯代理,将TCP协议转发给零信任安全控制单元,建立应用级别的访问链接。
进一步地,所述访问代理模块,包括如下步骤:
步骤1,通过SDP控制器确定可授权给所述客户终端与之通信的接受主机列表;步骤2,通过SDP控制器通知接受主机接受来自所述客户终端的通信以及加密通信所需的所有可选安全策略;步骤3,通过SDP控制器向所述客户终端发送可接受连接的接受主机列表以及可选安全策略;步骤4,通过所述客户终端向每个可接受连接的接受主机发起单包授权,并创建与所述接受主机的双向TLS连接。
进一步地,所述全方位纳管模块,包括以下步骤:
从预设的风险模型分析库中调取与所述信任令牌对应的安全风险评估模型,通过所述安全风险评估模型,对所述数据包进行在线诊断和动态分析,生成可视化风险评估报告其中,所述安全风险评估模型包括预先根据经验数据生成的人员账号分析工具、终端分析工具、资源分析模型和权限风险评估模型中的一种或多种。
进一步地,所述持续信任度评估模块,包括如下步骤:
对客户终端身份识别模块的识别结果进行可信度计算,确定对资源的第一异常访问行为;
对环境安全检测模块的检测结果进行可信度计算,确定对资源的第二异常访问行为;
对访问代理模块的访问链接进行可信度计算,确定对资源的第三异常访问行为;
对全方位纳管模块的风险评估结果进行可信度计算,确定对资源的第四异常访问行为;
根据资产网络隐身模块调整后的策略执行权限,对资源的所述异常访问行为进行二次认证或阻断。
总的来说,本申请的优势及给用户带来的体验在于:
1、先进的技术架构:基于零信任技术架构及业务访问过程优化,底层加固处理,保障系统安全性,杜绝自身漏洞风险问题;
2、全面环境兼容:具备广泛的支持类型,包含各类主流协议,支持各类操作系统,网络设备、数据库、中间件,全面覆盖所有业务工作场景;
3、极佳用户体验:支持所有主流浏览器与操作系统,提供多种登录方式,C/S菜单与直连模式,支持各类客户端的本地调用,最小的改变用户使用习惯;
4、良好的市场沉淀:良好的风险模型分析库,为用户提供成熟、稳定、体验佳的产品。
附图说明
在附图中,除非另外规定,否则贯穿多个附图相同的附图标记表示相同或相似的部件或元素。这些附图不一定是按照比例绘制的。应该理解,这些附图仅描绘了根据本申请公开的一些实施方式,而不应将其视为是对本申请范围的限制。
图1示出根据本申请实施例的增强型身份认证、资源访问控制系统的构成图。
图2示出根据本申请实施例的客户终端身份识别模块流程图。
图3示出根据本申请实施例的环境安全检测模块流程图。
图4示出根据本申请实施例的资产网络隐身模块流程图。
图5示出根据本申请实施例的访问代理模块流程图。
图6示出根据本申请实施例的持续信任度评估模块流程图。
图7示出了本申请一实施例所提供的一种电子设备的结构示意图。
图8示出了本申请一实施例所提供的一种存储介质的示意图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
如图1所示,本申请提供一种增强型身份认证、资源访问控制系统,以身份为认证主体,将身份数字化,持续的信任度评估,动态调整访问策略,隐藏资产及数据信息。通过终端容器实现终端与应用访问环境的微隔离,并实现轻量化的图形审计,使用基于零信任的软件定义边界(SDP Software-Define-Perimeter)模型,替代传统的VPN网络通道方式,建立应用级别的访问链接,实现业务安全访问,用户只能访问最小权限内的资源。通过可信度计算与策略模块联动,实现动态的策略下发,根据策略信息对资源的异常访问行为进行二次认证或阻断,为保障用户资源安全访问起到重要作用。
申请实施例提供了一种增强型身份认证、资源访问控制系统,该系统包括:
客户终端身份识别模块,获取客户终端的物理环境信息感知、网络环境信息感知结果,进行多因子身份认证,根据身份认证结果授权策略执行权限,并进行用户操作审计;
环境安全检测模块,根据物理环境信息感知、网络环境信息感知结果,使用SSL隧道和信任锚进行环境安全检测;
资产网络隐身模块,通过所述客户终端内的容器进行所述客户终端与应用访问环境的微隔离,并进行轻量化的图形审计,动态调整访问策略,隐藏资产及数据信息;
访问代理模块,使用基于零信任的软件定义边界模型,建立应用级别的访问链接,实现业务安全访问,以使得所述客户终端的用户只能访问最小权限内的资源;
全方位纳管模块,根据风险模型分析库,进行人员账号、终端、资源、权限信息的管理;
基于身份、环境、行为的持续信任度评估模块,通过可信度计算与资产网络隐身模块联动,实现动态的策略下发,根据策略信息对资源的异常访问行为进行二次认证或阻断。
客户终端身份识别模块,如图2所示,包括如下步骤:
S1、获取客户终端的用户输入信息,通过摄像头获取客户终端的周围物理环境图像,获取客户终端的网络环境信息;其中,所述网络环境信息包括WIFI路由器地址、IP地址或电话网络地址;
S2、根据所述用户输入信息是否符合预设输入条件、所述周围物理环境图像是否与预存图像匹配、所述网络环境信息是否与预存网络环境信息库匹配,对当前用户进行身份认证;
S3、根据所述身份认证结果授权对应的策略执行权限,提示用户进行操作审计。例如,当该用户身份认证结果为高级用户时,预判该用户可能进行高级用户才能够进行的数据删除、资产转移等操作,则可以要求对该用户的操作进行再次审计,审计通过者才能够确认为合法用户。
环境安全检测模块,如图3所示,包括如下步骤:
S21、根据所述策略执行权限,将所述网络环境信息转换为信任令牌;
S22、根据所述周围物理环境图像确定所述客户终端的位置数据,使用与所述位置数据相关联的第一证书打开SSL(安全套接字层)隧道;
S23、根据所述用户输入信息加密包括所述位置数据的数据包,当接收到对所述数据包传输的请求时,认证与所述请求相关联的信任令牌;
S24、接收到安全检测文本消息并验证与所述安全检测文本消息相关联的信任令牌后,推进信任锚或迭代所述第一证书,完成环境安全检测。
资产网络隐身模块,如图4所示,包括如下步骤:
S31、通过所述用户输入信息分配所述客户终端内的容器,所述容器用于将所述客户终端与应用访问环境进行微隔离;
S32、根据所述策略执行权限转发该客户终端的业务请求至DNS服务器,并接收DNS服务器返回的标识;
S33、根据所述容器和所述标识的预设映射关系,进行图形审计;
S34、根据所述图形审计的结果,调整所述策略执行权限。
访问代理模块,如图5所示,包括如下步骤:
S41:将软件定义边界的所有同步执行协议改为异步执行协议,只允许所述客户终端发送UDP通过零信任安全代理组件转发给零信任安全控制单元;
S42:零信任安全控制单元通过将应答信息发送给所述客户终端,所述客户终端根据应答结果执行后续流程,依次类推完成替代TCP协议的通信工作;
S43:由零信任安全代理组件作为通讯代理,将TCP协议转发给零信任安全控制单元,建立应用级别的访问链接。
或者,访问代理模块,包括如下步骤:
步骤1,通过SDP控制器确定可授权给所述客户终端与之通信的接受主机列表;步骤2,通过SDP控制器通知接受主机接受来自所述客户终端的通信以及加密通信所需的所有可选安全策略;步骤3,通过SDP控制器向所述客户终端发送可接受连接的接受主机列表以及可选安全策略;步骤4,通过所述客户终端向每个可接受连接的接受主机发起单包授权,并创建与所述接受主机的双向TLS连接。
全方位纳管模块,包括以下步骤:
从预设的风险模型分析库中调取与所述信任令牌对应的安全风险评估模型,通过所述安全风险评估模型,对所述数据包进行在线诊断和动态分析,生成可视化风险评估报告其中,所述安全风险评估模型包括预先根据经验数据生成的人员账号分析工具、终端分析工具、资源分析模型和权限风险评估模型中的一种或多种。
基于身份、环境、行为的持续信任度评估模块,如图6所示,包括如下步骤:
S51、对客户终端身份识别模块的识别结果进行可信度计算,确定对资源的第一异常访问行为,包括:基于对所述识别结果的标注内容建立可信度计算模型和识别标签;生成身份识别结果的账号可信度,根据可信度和账号的访问频率确定对资源的第一异常访问行为。
S52、对环境安全检测模块的检测结果进行可信度计算,确定对资源的第二异常访问行为,包括:将所述信任令牌的异常作为朴素可信度模型中的证据,计算证据可信度;根据所述信任令牌创建所述朴素可信度模型中的知识,计算所述知识的可信度;将所述证据可信度以及所述知识的可信度代入朴素可信度模型的可信度计算公式,对是否存在资源访问行为异常的结论事件进行可信度计算。
S53、对访问代理模块的访问链接进行可信度计算,确定对资源的第三异常访问行为,包括:判断所述访问链接是否为可疑暗链;若否,根据所述访问链接得到与访问链接对应的隐藏网站,并获取隐藏网站的隐藏网站内容;对所述隐藏网站内容进行分析后得到分析结果;根据预设的可信度值计算规则和分析结果计算所述访问链接的可信度评估值;将所述可信度评估值与预设的可信度阈值进行比较;若所述可信度评估值小于可信度阈值,则确定对资源的第三异常访问行为。
S54、对全方位纳管模块的风险评估结果进行可信度计算,确定对资源的第四异常访问行为,包括:据预先建立的用户信用库和电话信用库获取所述风险评估结果对应的用户可信度和电话可信度;根据所述用户可信度和电话可信度计算所述风险评估结果的整体可信度,其中,所述整体可信度用于映射风险评估结果的可信度。
S55、根据资产网络隐身模块调整后的策略执行权限,对资源的所述异常访问行为进行二次认证或阻断。
本申请实施方式还提供一种与前述实施方式所提供的增强型身份认证、资源访问控制系统对应的电子设备,以执行上增强型身份认证、资源访问控制系统。本申请实施例不做限定。
请参考图7,其示出了本申请的一些实施方式所提供的一种电子设备的示意图。如图7所示,所述电子设备20包括:处理器200,存储器201,总线202和通信接口203,所述处理器200、通信接口203和存储器201通过总线202连接;所述存储器201中存储有可在所述处理器200上运行的计算机程序,所述处理器200运行所述计算机程序时执行本申请前述任一实施方式所提供的增强型身份认证、资源访问控制系统。
其中,存储器201可能包含高速随机存取存储器(RAM:Random Access Memory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口203(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网、广域网、本地网、城域网等。
总线202可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。其中,存储器201用于存储程序,所述处理器200在接收到执行指令后,执行所述程序,前述本申请实施例任一实施方式揭示的所述增强型身份认证、资源访问控制系统可以应用于处理器200中,或者由处理器200实现。
处理器200可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器200中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器200可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器201,处理器200读取存储器201中的信息,结合其硬件完成上述方法的步骤。
本申请实施例提供的电子设备与本申请实施例提供的增强型身份认证、资源访问控制系统出于相同的发明构思,具有与其采用、运行或实现的方法相同的有益效果。
本申请实施方式还提供一种与前述实施方式所提供的增强型身份认证、资源访问控制系统对应的计算机可读存储介质,请参考图8,其示出的计算机可读存储介质为光盘30,其上存储有计算机程序(即程序产品),所述计算机程序在被处理器运行时,会执行前述任意实施方式所提供的增强型身份认证、资源访问控制系统。
需要说明的是,所述计算机可读存储介质的例子还可以包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他光学、磁性存储介质,在此不再一一赘述。
本申请的上述实施例提供的计算机可读存储介质与本申请实施例提供的增强型身份认证、资源访问控制系统出于相同的发明构思,具有与其存储的应用程序所采用、运行或实现的方法相同的有益效果。
需要说明的是:
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备有固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本申请也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本申请的内容,并且上面对特定语言所做的描述是为了披露本申请的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本申请的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本申请并帮助理解各个发明方面中的一个或多个,在上面对本申请的示例性实施例的描述中,本申请的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本申请要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本申请的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本申请的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本申请的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本申请实施例的虚拟机的创建系统中的一些或者全部部件的一些或者全部功能。本申请还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者系统程序(例如,计算机程序和计算机程序产品)。这样的实现本申请的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本申请进行说明而不是对本申请进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本申请可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干系统的单元权利要求中,这些系统中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到其各种变化或替换,这些都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种增强型身份认证、资源访问控制系统,其特征在于,包括:
客户终端身份识别模块,获取客户终端的物理环境信息感知、网络环境信息感知结果,进行多因子身份认证,根据身份认证结果授权策略执行权限,并进行用户操作审计;
环境安全检测模块,根据物理环境信息感知、网络环境信息感知结果,使用SSL隧道和信任锚进行环境安全检测;
资产网络隐身模块,通过所述客户终端内的容器进行所述客户终端与应用访问环境的微隔离,并进行轻量化的图形审计,动态调整访问策略,隐藏资产及数据信息;
访问代理模块,使用基于零信任的软件定义边界模型,建立应用级别的访问链接,实现业务安全访问,以使得所述客户终端的用户只能访问最小权限内的资源;
全方位纳管模块,根据风险模型分析库,进行人员账号、终端、资源、权限信息的管理;
基于身份、环境、行为的持续信任度评估模块,通过可信度计算与资产网络隐身模块联动,实现动态的策略下发,根据策略信息对资源的异常访问行为进行二次认证或阻断。
2.根据权利要求1所述的系统,其特征在于,
所述客户终端身份识别模块,包括以下步骤:
获取客户终端的用户输入信息,通过摄像头获取客户终端的周围物理环境图像,获取客户终端的网络环境信息;其中,所述网络环境信息包括WIFI路由器地址、IP地址或电话网络地址;
根据所述用户输入信息是否符合预设输入条件、所述周围物理环境图像是否与预存图像匹配、所述网络环境信息是否与预存网络环境信息库匹配,对当前用户进行身份认证;
根据所述身份认证结果授权对应的策略执行权限,提示用户进行操作审计。
3.根据权利要求2所述的系统,其特征在于,
所述环境安全检测模块,包括如下步骤:
根据所述策略执行权限,将所述网络环境信息转换为信任令牌;
根据所述周围物理环境图像确定所述客户终端的位置数据,使用与所述位置数据相关联的第一证书打开SSL隧道;
根据所述用户输入信息加密包括所述位置数据的数据包,当接收到对所述数据包传输的请求时,认证与所述请求相关联的信任令牌;
接收到安全检测文本消息并验证与所述安全检测文本消息相关联的信任令牌后,推进信任锚或迭代所述第一证书,完成环境安全检测。
4.根据权利要求3所述的系统,其特征在于,
所述资产网络隐身模块,包括如下步骤:
通过所述用户输入信息分配所述客户终端内的容器,所述容器用于将所述客户终端与应用访问环境进行微隔离;
根据所述策略执行权限转发该客户终端的业务请求至DNS服务器,并接收DNS服务器返回的标识;
根据所述容器和所述标识的预设映射关系,进行图形审计;
根据所述图形审计的结果,调整所述策略执行权限。
5.根据权利要求4所述的系统,其特征在于,
所述访问代理模块,包括如下步骤:
将软件定义边界的所有同步执行协议改为异步执行协议,只允许所述客户终端将UDP通过零信任安全代理组件转发给零信任安全控制单元;
零信任安全控制单元将应答信息发送给所述客户终端,所述客户终端根据应答结果执行后续预设通信流程,依次类推完成替代TCP协议的通信工作;
由零信任安全代理组件作为通讯代理,将TCP协议转发给零信任安全控制单元,建立应用级别的访问链接。
6.根据权利要求4所述的系统,其特征在于,
所述访问代理模块,包括如下步骤:
步骤1,通过SDP控制器确定可授权给所述客户终端与之通信的接受主机列表;步骤2,通过SDP控制器通知接受主机接受来自所述客户终端的通信以及加密通信所需的所有可选安全策略;步骤3,通过SDP控制器向所述客户终端发送可接受连接的接受主机列表以及可选安全策略;步骤4,通过所述客户终端向每个可接受连接的接受主机发起单包授权,并创建与所述接受主机的双向TLS连接。
7.根据权利要求5或6所述的系统,其特征在于,
所述全方位纳管模块,包括以下步骤:
从预设的风险模型分析库中调取与所述信任令牌对应的安全风险评估模型,通过所述安全风险评估模型,对所述数据包进行在线诊断和动态分析,生成可视化风险评估报告其中,所述安全风险评估模型包括预先根据经验数据生成的人员账号分析工具、终端分析工具、资源分析模型和权限风险评估模型中的一种或多种。
8.根据权利要求7所述的系统,其特征在于,
所述持续信任度评估模块,包括如下步骤:
对客户终端身份识别模块的识别结果进行可信度计算,确定对资源的第一异常访问行为;
对环境安全检测模块的检测结果进行可信度计算,确定对资源的第二异常访问行为;
对访问代理模块的访问链接进行可信度计算,确定对资源的第三异常访问行为;
对全方位纳管模块的风险评估结果进行可信度计算,确定对资源的第四异常访问行为;
根据资产网络隐身模块调整后的策略执行权限,对资源的所述异常访问行为进行二次认证或阻断。
9.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器运行所述计算机程序以实现如权利要求1-8任一项所述的系统。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行实现如权利要求1-8中任一项所述的系统。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310620185.5A CN116633638A (zh) | 2023-05-29 | 2023-05-29 | 一种增强型身份认证、资源访问控制系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310620185.5A CN116633638A (zh) | 2023-05-29 | 2023-05-29 | 一种增强型身份认证、资源访问控制系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116633638A true CN116633638A (zh) | 2023-08-22 |
Family
ID=87591672
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310620185.5A Pending CN116633638A (zh) | 2023-05-29 | 2023-05-29 | 一种增强型身份认证、资源访问控制系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116633638A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117081859A (zh) * | 2023-10-16 | 2023-11-17 | 北京中关村实验室 | 工业互联网零信任访问控制系统 |
-
2023
- 2023-05-29 CN CN202310620185.5A patent/CN116633638A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117081859A (zh) * | 2023-10-16 | 2023-11-17 | 北京中关村实验室 | 工业互联网零信任访问控制系统 |
| CN117081859B (zh) * | 2023-10-16 | 2023-12-22 | 北京中关村实验室 | 工业互联网零信任访问控制系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106233663B (zh) | 用于在不同信道上携载强验证事件的系统和方法 | |
| US10445487B2 (en) | Methods and apparatus for authentication of joint account login | |
| US8646026B2 (en) | Smart web services security policy selection and validation | |
| CN112073400A (zh) | 一种访问控制方法、系统、装置及计算设备 | |
| US11770385B2 (en) | Systems and methods for malicious client detection through property analysis | |
| US20210176234A1 (en) | Cooperative communication validation | |
| WO2016188335A1 (zh) | 用户数据的访问控制方法、装置及系统 | |
| US10834131B2 (en) | Proactive transport layer security identity verification | |
| US20150067772A1 (en) | Apparatus, method and computer-readable storage medium for providing notification of login from new device | |
| CN112532599B (zh) | 一种动态鉴权方法、装置、电子设备和存储介质 | |
| CN113341798A (zh) | 远程访问应用的方法、系统、装置、设备及存储介质 | |
| CN116319024B (zh) | 零信任系统的访问控制方法、装置及零信任系统 | |
| JP2013531834A (ja) | IPsecとIKEバージョン1の認証を伴うワンタイム・パスワード | |
| US20230267463A1 (en) | Authenticating a transaction | |
| CN111182537A (zh) | 移动应用的网络接入方法、装置及系统 | |
| TW202217615A (zh) | 產生授權允許名單的方法與利用其之資安系統 | |
| CN116633638A (zh) | 一种增强型身份认证、资源访问控制系统 | |
| US10826901B2 (en) | Systems and method for cross-channel device binding | |
| CN118233187A (zh) | 访问控制方法、设备以及计算机可读介质 | |
| Lee et al. | A study on realtime detecting smishing on cloud computing environments | |
| US20140259105A1 (en) | System and method for securely accessing data through web applications | |
| WO2023225211A1 (en) | Method and system for protection of cloud-based infrastructure | |
| Ajish et al. | Secure mobile internet banking system using QR code and biometric authentication | |
| US20220343095A1 (en) | Fingerprint-Based Device Authentication | |
| KR101788019B1 (ko) | 정보유출방지 장치 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |