一种基于零信任体系的网络准入和用户认证的安全交互方法技术

本发明专利技术属于终端安全接入技术领域，提出一种基于零信任体系的网络准入和用户认证的安全交互方法。该方法中终端模块和后台联动交互，逐步放开网络和应用访问权限，持续动态评估和主动威胁阻断。现有技术方案主要采用独立的终端身份认证和网络准入控制，虽然一定程度上解决了终端和用户身份鉴别、设备入网等问题，但仍然存在核心业务对外暴露，伪造设备获取网络权限后入侵，终端状态无法动态评估，缺少主动阻断威胁，信息不共享缺乏联动机制等问题。本方法，能够控制终端的入网权限，保护关键服务，减少入侵威胁，在最小权限下实现用户认证和权限分配，持续性对终端进行评估，及时应对异常情形，主动响应。主动响应。主动响应。

【技术实现步骤摘要】
一种基于零信任体系的网络准入和用户认证的安全交互方法


[0001]本专利技术涉及终端网络安全接入和用户认证方法领域，特别涉及一种基于零信任体系的网络准入和用户认证的安全交互方法。

技术介绍

[0002]随着信息技术的快速发展，网络边界逐渐模糊，企业网中大量终端依赖网络接入处理业务，终端的安全风险日趋严峻。同时企业广域网运用多种方式组网，访问关系复杂，无法有效管理，不同网络间的数据交换需要更安全有效的手段。
[0003]现有的终端在企业网的入网技术方案主要采用独立的终端身份认证和网络准入控制，如基于802.1X协议的认证方法及系统(专利公开号：CN 106954216A)中提及基于802.1x协议的网络准入，终端准入模块通过用户名和密码与用户认证服务器进行准入认证，认证通过后，接入接入侧设备放开终端的网络访问权限。虽然在一定程度上解决了终端和用户身份鉴别、设备入网等问题，但是企业的关键服务需要对外暴露以接受终端认证请求，访问权限无法依次分级开放，密码泄露后非法设备入网等终端安全问题难以解决，导致非法用户可以在企业网络中漫游，安全系统难以及时发现，难以进行主动阻断，人工鉴别成本高，安全风险较大。
[0004]同时为防护IT系统，如一种防火墙安全策略配置方法和装置、以及防火墙(专利公开号：CN105847236A)中提及，基于事先定义的规则来检测和阻止攻击，它无法有效检测和阻止新型攻击，需要人工在防火墙等设备上定义静态规则，匹配规则后进行威胁拦截。不仅需要消耗大量的人力来完善静态规则，效率极低，而且一旦遗漏策略，将会带来安全风险。发生安全事件后，只能事后进行追溯。在智能监控技术广泛应用的今天，仍需要传统静态规则对终端进行防护的重要原因是无法对关键服务进行隐藏保护，且系统架构组件中缺乏联动，信息不共享，无统一决策节点。
[0005]综上所述，现有的技术方案主要采用独立的终端身份认证和网络准入控制，虽然在一定程度上解决了终端和用户身份鉴别、设备入网等问题，但仍然存在核心业务对外暴露，伪造设备获取网络权限后入侵，终端状态无法动态评估，缺少主动阻断威胁，信息不共享缺乏联动机制等问题。因此，需要提出一种新型的安全方法，用以解决上述问题。

技术实现思路

[0006]本专利技术的目的在于提供一种基于零信任体系的网络准入和用户认证的安全交互方法，在零信任体系中终端在最小权限下接入网络和用户认证，基于网络准入模块、用户认证模块、零信任代理模块和零信任态势感知模块，引入逻辑交互和终端安全策略设计。建立用户行为的访问模型，无需人工修改和更新规则，可以更有效地检测和阻止攻击，通过零信任体系隐藏关键业务的对外暴露，能够有效提高企业终端访问业务系统的安全性。
[0007]本专利技术的技术方案如下：首先控制终端在接入网络进行准入认证时赋予最小权限，通过校验加密票据信息而不是密码与用户认证服务进行交互，依次开放网络权限。基于
零信任体系，通过单包授权对企业的关键服务进行隐藏，同时对终端进行态势感知，通过零信任体系的入网检测和基于时间序列的算法，及时发现威胁，由零信任体系作为统一安全决策中心。联动零信任终端组件和网络准入组件，进行主动威胁阻断，提高整体防护能力。
[0008]本专利技术设计了一种基于零信任体系的网络准入和用户认证的安全交互方法，联动准入控制、用户认证、零信任和态势感知系统，构建动态的终端控制模型，按照如下步骤，实现终端最小权限下实现网络安全准入，获取访问权限后进行用户认证，通过零信任获取网络策略访问业务数据，并主动发现威胁，对终端权限从网络和应用层面进行阻断，保护数据安全：
[0009]步骤一，在终端中构建用户认证模块、零信任代理模块、零信任态势感知模块和网络准入模块，后台分别部署网络准入服务器、零信任服务器、用户认证服务器和零信任态势感知服务器；
[0010]步骤二，网络准入模块判断终端用户认证模块和零信任代理模块、零信任态势感知模块的状态正常后，从用户认证模块获取用户信息和票据信息后过接入侧设备传递至网络准入服务器，判断终端用户认证模块、零信任代理模块或零信任态势感知模块状态异常，则不触发后续认证过程；
[0011]步骤三，网络准入服务器判断用户状态，状态正常则转发终端的用户信息和票据信息至用户认证服务器，并获取用户认证服务器的认证返回信息；认证通过则下发指令至接入侧设备，开启终端至零信任服务器网络权限继续步骤四，认证不通过则返回失败信息至终端网络准入模块拒绝网络接入；判断为异常用户则直接禁止连接网络；
[0012]步骤四，用户认证模块通过零信任代理模块，基于单包授权和网络代理技术访问零信任服务器，零信任服务器转发认证请求到用户认证服务器进行用户信息认证，认证通过后用户认证模块刷新认证票据，建立终端到用户认证服务器的通道；认证不通过则通过零信任服务器转发验证结果，终端无法触发后续认证过程；
[0013]步骤五，终端零信任代理模块基于步骤四中的认证票据进行单点登录，零信任代理模块通过单包授权技术访问零信任服务器，获取零信任态势感知服务器访问权限；
[0014]步骤六，通过终端的零信任态势感知模块，对终端设备信息进行采集，经零信任服务器转发，上报终端设备信息至零信任态势感知服务器，通过零信任态势感知服务器进行终端入网检测，对终端设备进行鉴别；
[0015]步骤七，设备鉴别后，对终端设备访问网络资源期间的行为进行建模分析，生成安全指令至终端零信任代理模块和网络准入模块。
[0016]所述步骤二中，网络准入服务器控制接入侧设备，接入侧设备可以是交换机或者无线AC，将终端设备的网络访问权限最小化，终端设备仅具备网络准入服务器访问权限，限制访问其它网络资源的权限，所述用户认证模块、零信任代理模块和零信任态势感知模块的状态为系统进程状态和软件信息；
[0017]所述步骤二中，终端登录的用户名、组织架构和加密的用户密码信息在用户认证服务器均有定义，认证请求由认证服务器统一进行管理。
[0018]所述步骤三中，网络准入服务器转发终端的用户信息和票据信息到用户认证服务器；所述票据信息为由终端用户认证模块生成的票据信息或离线保存在终端的票据信息，票据信息内容为终端认证模块根据用户原始密码和对称加密算法生成的加密字符串；用户
信息为终端操作系统登录的用户名；
[0019]所述步骤三中，用户认证服务器基于用户信息和票据信息判断终端登录的用户是否是已知用户，具体为通过用户名字符，以及对加密字符串进行解密匹配，匹配通过返回认证成功请求到网络准入服务器，网络准入服务器下发指令到接入侧设备，开启终端设备访问零信任服务器权限，为后续用户认证提供信息通道，匹配失败则拒绝终端访问网络请求。
[0020]所述步骤四中，用户认证模块判断零信任代理模块进程状态，如果零信任代理模块正常，则基于步骤三开通的终端访问零信任服务器的网络权限，终端用户认证模块请求通过单包授权方式将用户信息和票据信息由零信任代理模块转发认证请求到零信任服务器，零信任服务器转发请求到用户认证服本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于零信任体系的网络准入和用户认证的安全交互方法，其特征在于，终端和后台服务通过接入侧设备进行交互，在零信任体系下，最小化权限实现终端网络准入和用户认证；具体包括如下步骤，步骤一，在终端中构建用户认证模块、零信任代理模块、零信任态势感知模块和网络准入模块，后台分别部署网络准入服务器、零信任服务器、用户认证服务器和零信任态势感知服务器；步骤二，网络准入模块判断终端用户认证模块和零信任代理模块、零信任态势感知模块的状态正常后，从用户认证模块获取用户信息和票据信息后过接入侧设备传递至网络准入服务器，判断终端用户认证模块、零信任代理模块或零信任态势感知模块状态异常，则不触发后续认证过程；步骤三，网络准入服务器判断用户状态，状态正常则转发终端的用户信息和票据信息至用户认证服务器，并获取用户认证服务器的认证返回信息；认证通过则下发指令至接入侧设备，开启终端至零信任服务器网络权限继续步骤四，认证不通过则返回失败信息至终端网络准入模块拒绝网络接入；判断为异常用户则直接禁止连接网络；步骤四，用户认证模块通过零信任代理模块，基于单包授权和网络代理技术访问零信任服务器，零信任服务器转发认证请求到用户认证服务器进行用户信息认证，认证通过后用户认证模块刷新认证票据，建立终端到用户认证服务器的通道；认证不通过则通过零信任服务器转发验证结果，终端无法触发后续认证过程；步骤五，终端零信任代理模块基于步骤四中的认证票据进行单点登录，零信任代理模块通过单包授权技术访问零信任服务器，获取零信任态势感知服务器访问权限；步骤六，通过终端的零信任态势感知模块，对终端设备信息进行采集，经零信任服务器转发，上报终端设备信息至零信任态势感知服务器，通过零信任态势感知服务器进行终端入网检测，对终端设备进行鉴别；步骤七，设备鉴别后，对终端设备访问网络资源期间的行为进行建模分析，生成安全指令至终端零信任代理模块和网络准入模块。2.根据权利要求1所述的基于零信任体系的网络准入和用户认证的安全交互方法，其特征在于，所述步骤二中，网络准入服务器控制接入侧设备，接入侧设备是交换机或者无线AC，将终端设备的网络访问权限最小化，终端设备仅具备网络准入服务器访问权限，限制访问其它网络资源的权限；所述用户认证模块状态、零信任代理模块和零信任态势感知模块的状态为系统进程状态和软件信息；所述用户认证服务器中定义有终端登录的用户名、组织架构和加密的用户密码，认证请求由用户认证服务器统一进行管理。3.根据权利要求1或2所述的基于零信任体系的网络准入和用户认证的安全交互方法，其特征在于，所述票据信息为由终端用户认证模块生成的票据信息或离线保存在终端的票据信息，票据信息内容为终端认证模块根据用户密码和对称加密算法生成的加密字符串；所述用户信息为终端操作系统登录的用户名；所述步骤三具体为用户认证服务器基于用户信息和票据信息判断终端登录的用户是否是已知用户，具体为通过用户名字符以及对加密字符串进行解密匹配，匹配通过返回认证成功请求至网络准入服务器，开启终端设备访问零信任服务器权限，为后续用户认证提供信息通道，匹配失败则拒绝终端访问网络请求。4.根据权利要求3所述的基于零信任体系的网络准入和用户认证的安全交互方法，其
特征在于，所述步骤四中，用户认证模块判断零信任代理模块进程状态，零信任代理模块正常，则基于步骤三开通的终端访问零信任服务器的网络权限，终端用户认证模块请求通过单包授权方式将用户信息和票据信息由零信任代理模块转发认证请求到零信任服务器，零信任服务器转发请求到用户认证服务器，用户认证服务器通过零信任服务器转发验证结果，更新终端设备本地票据信息，建立终端到用户认证服务器的信息通道；零信任代理模块状态异常，或用户认证服务器反馈认证失败，则终端无法触发后续认证过程。5.根据权利要求1、2或4所述的基于零信任体系的网络准入和用户认证的安全交互方法，其特征在于，所述步骤四中认证票据的信息为用户认证服务器根据用户名、访问的应用信息和会话信息由不可逆加密算法生成的加密字符串，由用户认证服务器传递到终端用户认证模块和零信任代理模块，认证票据在用户认证服务器和用户认证模块中具备可自定义的时效性；终端零信任代理模块通过步骤四中的认证票据与用户认证服务器进行交互，进...

【专利技术属性】
技术研发人员：沈全，
申请(专利权)人：大连理工大学，
类型：发明
国别省市：