一种基于可信标签的云边端协同零信任访问控制方法及系统技术方案

本发明专利技术涉及一种基于可信标签的云边端协同零信任访问控制方法及系统。该方法包括：在云层部署安全云大脑，对端层发起的访问请求进行身份校验，并根据端层生成的可信标签制定访问控制策略，将访问控制策略下发至边层；在边层部署边缘决策网关，边缘决策网关接收端层的访问请求的流量镜像并进行检测，根据云层下发的访问控制策略对端层中访问主体对访问客体的访问进行放行或阻断；在端层部署安全终端，安全终端与访问主体交互以向云层发起访问请求，并在获得访问权限后向访问客体请求相应资源。本发明专利技术根据零信任准则，建立云、边、端三者协同的架构，形成以可信标签为凭证、以策略为驱动的访问控制流程，从而保障业务的可信运行。行。行。

【技术实现步骤摘要】
一种基于可信标签的云边端协同零信任访问控制方法及系统


[0001]本专利技术涉及网络安全
，特别涉及一种访问控制方法，更具体地，涉及一种基于可信标签的云边端协同零信任访问控制方法及系统。

技术介绍

[0002]访问控制是一种通过对资源的访问和获取进行授权管理，使资源能够在合法范围内被使用的技术，是维护网络安全、数据安全的重要措施。尤其是在当今数据共享需求与日俱增、业务应用场景更加丰富、网络与终端类型更加多样的环境下，对访问控制技术、流程、框架的细致性、轻量性都有了更高的要求。此外，日益频繁复杂的网络攻击威胁也带来了更高的安全性需要，来自外部的攻击者可能突破脆弱的访问控制体系、或攻陷并冒用合法人员身份从而获取权限，而来自企业内部的威胁同样危害巨大且更加难以防范。
[0003]现有的访问控制方法，如自主访问控制、强制访问控制、基于角色的访问控制、基于任务的访问控制、基于属性的访问控制等在如今的网络环境下逐渐暴露缺陷：灵活性和扩展性不足，难以适应规模庞大、数据激增、变化迅速的网络环境；固化的访问控制策略难以应对身份冒用、内部威胁等安全风险。
[0004]当今云计算、大数据、物联网、5G通信、远程办公等新技术、新场景不断涌现，引发了源源不断的新威胁和新风险。在应对目前形势下的网络安全、应用安全、数据安全方面，仅在传统安全方案的基础上做边界加固和单点增强难以系统性地缓解各类安全威胁，而零信任是一个新兴的模型，作为一种可以支撑未来发展的安全防护方式正逐渐受到越来越多的关注。零信任模型并非全盘否定，而是秉承网络始终存在内部和外部威胁、所有的设备、用户和流量在验证前不存在固有信任的原则，致力于构建一个以身份为中心、以多源数据为依据的策略模型。
[0005]因此，访问控制技术作为数据安全和网络安全防护的重要关口，结合零信任模型的理念进行流程架构的改造升级是必然的选择，从而实现动态、实时、持续、精准、安全的新型访问控制技术。

技术实现思路

[0006]基于上述背景，本专利技术提出了一种基于可信标签的云边端协同零信任访问控制方法及系统。该方法根据零信任准则，不考虑业务系统自身的安全能力，而是假设系统都存在越权缺陷，建立云、边、端三者协同的架构，形成以可信标签为凭证、以策略为驱动的访问控制流程，从而在企业内部保障业务的可信运行。
[0007]为达到上述目的，本专利技术采取的具体技术方案是：
[0008]一种基于可信标签的云边端协同零信任访问控制方法，自上而下包括云层、边层、端层三个层次，该方法包括以下步骤：
[0009]1)在云层部署安全云大脑，借助云的强大存储资源能力和智能分析能力，实现对访问客体的身份授权，根据端层生成的可信标签针对性地制定访问控制策略，将访问控制
策略下发至边层。
[0010]2)在边层部署边缘决策网关，对端层访问的流量进行检测识别，并根据云层返回的安全策略实施访问的放行或阻断。边缘决策网关通过检测可信标签实现端层网络攻击威胁发现、访问控制决策、攻击阻断。
[0011]3)在端层的访问主体部署安全终端，进行访问主体的身份校验，收集身份及行为信息进行上传，同时将业务访问需求申请提交到云层进行审批授权，并在获得访问权限后向访问客体请求相应资源。端层主要是用户实际使用的网络通信设备、工业互联网设备、IOT(物联网)设备、服务器终端等关键硬件网络通信基础设施等。
[0012]进一步地，上述方法采用一种基于可信标签的云边端协同零信任访问控制流程，包括以下步骤：
[0013]1)在安全终端上安装Agent(客户端)，对访问主体登陆进行身份校验，并生成针对该主体的唯一可信标签；
[0014]2)访问主体提出针对特定访问客体的访问申请到安全云大脑，安全云大脑对访问主体进行授权，即授予主体访问该客体的权限；
[0015]3)在安全云大脑中根据访问申请中的业务访问需求对可信标签进行标识，并生成访问控制策略，将访问控制策略下发到边缘决策网关；
[0016]4)端层的访问主体对得到授权的访问客体进行访问，将嵌入可信标签的访问数据包通过镜像的形式发送到边缘决策网关；
[0017]5)边缘决策网关对访问数据包中的可信标签进行检测，根据安全云大脑下发的访问控制策略进行判断，如果符合访问控制策略则放行流量，不符合则阻断流量；
[0018]6)对有不可信行为的异常终端进行微隔离，并实施远程取证。
[0019]进一步地，步骤1)中，访问主体包括人员、设备、系统、应用等。
[0020]进一步地，步骤1)中，Agent实现身份校验，包括但不限于密码校验、生物特征检验，从而对登陆操作进行授权。
[0021]进一步地，步骤2)中，在访问主体提出的针对特定访问客体的访问数据包中嵌入可信标签。
[0022]进一步地，步骤2)中，安全云大脑对访问主体进行身份校验，校验通过后则授予其对访问客体的访问权限。
[0023]进一步地，步骤3)中，在安全云大脑中部署可信访问控制系统、应用程序授权系统、日志报表系统、身份信息管理系统、安全应急处理中心等系统，对访问行为进行分级维护，基于行为分级对访问申请的可信标签进行特定标识，并生成安全的访问控制策略。
[0024]进一步地，所述行为分级的标准制定的依据包括但不限于：访问客体资源的重要程度、敏感程度；访问行为的敏感程度。
[0025]进一步地，步骤5)中，边缘决策网关根据安全云大脑下发的访问控制策略，对该次访问数据包中的可信标签进行检测和判断。
[0026]进一步地，若可信标签可信，则放行访问流量，访问主体即可获得所需的访问客体的资源，包括但不限于应用、接口、数据、服务等。
[0027]进一步地，步骤6)中，在安全云大脑中部署有安全应急处理中心，通过最小权限控制实现对异常终端的微隔离，并进行取证分析。
[0028]进一步地，由于安全云大脑不部署在企业内网中，针对无法访问外网的场景，可以将安全云大脑的功能和边缘决策网关部署在企业内网。
[0029]需要说明的是，终端在第一次访问某特定资源时会由云层进行可信标签标识和访问控制策略生成，在访问控制策略下发后，后续针对该资源的访问无需上传至云，而是由边缘决策网关处理，从而实现轻量、持续、细粒度的访问控制。
[0030]一种基于可信标签的云边端协同零信任访问控制系统，其包括：
[0031]安全云大脑，部署于云层，负责对端层发起的访问请求进行身份校验，并根据端层生成的可信标签制定访问控制策略，将访问控制策略下发至边层；
[0032]边缘决策网关，部署于边层，负责接收端层的访问请求的流量镜像并进行检测，根据云层下发的访问控制策略对端层中访问主体对访问客体的访问进行放行或阻断；
[0033]安全终端，部署于端层，负责与访问主体交互以向云层发起访问请求，并在获得访问权限后向访问客体请求相应资源。
[0034]进一步地，所述安全云大脑包括：
[0035]身份信息管本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于可信标签的云边端协同零信任访问控制方法，其特征在于，包括以下步骤：在云层部署安全云大脑，所述安全云大脑对端层发起的访问请求进行身份校验，并根据端层生成的可信标签制定访问控制策略，将访问控制策略下发至边层；在边层部署边缘决策网关，所述边缘决策网关接收端层的访问请求的流量镜像并进行检测，根据云层下发的访问控制策略对端层中访问主体对访问客体的访问进行放行或阻断；在端层部署安全终端，所述安全终端与访问主体交互以向云层发起访问请求，并在获得访问权限后向访问客体请求相应资源。2.根据权利要求1所述的方法，其特征在于，在访问主体提出的针对特定访问客体的访问数据包中嵌入所述可信标签。3.根据权利要求1所述的方法，其特征在于，所述安全云大脑对访问主体进行身份校验，校验通过后授予其对访问客体的访问权限。4.根据权利要求1所述的方法，其特征在于，所述安全云大脑根据行为分级对所述可信标签进行特定标识，行为分级标准制定的依据包括：访问客体资源的重要程度、敏感程度；访问行为的敏感程度。5.根据权利要求1所述的方法，其特征在于，所述安全云大脑根据访问主体的可信标签和行为分级生成访问控制策略，所述访问控制策略中访问控制权限授予的宽松程度随着行为级别的提升而收紧。6.根据权利要求1所述的方法，其特征在于，所述边缘决策网关对访问数据包中的可信标签进行检测，并根据安全云大脑下发的访问控制策略判断可信标签是否可信；若可信标签判定为可信，则放行流量，访问主体获得访问客体的特定资源；若可信标签判定为不可信，则阻断流量，将访问终端标记为异常终端；所述安全云大脑对所述异常终端实施微隔离，进行应急响应、攻击分析以及溯源取证操作。7.根据权利要求6所述的方法，其特征在于，所述判断可信标签是否可信，包括：若该可信标签存在于安全云大脑下发的访问控制策略并存储于...

【专利技术属性】
技术研发人员：商学璟，邱代兵，余洋，
申请(专利权)人：北京寰宇天穹信息技术有限公司，
类型：发明
国别省市：