本发明专利技术公开了一种基于时间窗动态切换的零信任网络访问控制方法及系统,系统包括:身份认证模块、动态授权模块、访问控制模块、安全审计模块、风险评估模块、策略管理模块和日志记录模块,1)根据用户身份、设备、应用、数据等多维度信息,对用户进行身份认证和风险评估;2)根据用户的访问请求,动态地判断用户是否有权限访问目标资源;3)如果用户有权限访问目标资源,则根据用户的访问行为和环境风险等因素,动态地调整访问策略;4)如果用户没有权限访问目标资源,则拒绝用户的访问请求;5)在此过程中完整记录日志。本发明专利技术采用基于时间窗动态切换的零信任网络访问控制方法,可以实现对网络资源的精细化控制,提高网络安全性和可靠性。性。性。
【技术实现步骤摘要】
一种基于时间窗动态切换的零信任网络访问控制方法及系统
[0001]本专利技术涉及信息安全技术网络安全领域,具体涉及一种基于时间窗动态切换的零信任网络访问控制方法及系统。
技术介绍
[0002]随着互联网技术的快速发展,人们越来越依赖网络来完成各种工作和生活任务。我们可以通过网络购物、网上银行、社交媒体等方式,方便快捷地完成日常事务。然而,网络安全问题也日益突出,黑客攻击、数据泄露和网络诈骗等事件屡见不鲜。这些问题严重威胁着个人隐私和财产安全,也给企业和政府机构带来了巨大的风险。
[0003]为了解决这些问题,网络安全专家提出了零信任网络安全模型,即不信任任何人,所有访问都必须经过验证和授权。这一模型强调了对用户身份、设备、应用、数据等多维度信息进行综合分析,以实现对用户访问权限的精细化控制。此外,零信任网络安全模型还要求对所有访问行为进行完整记录和审计,以便在发生安全事件时能够快速定位问题并采取相应措施。
[0004]然而,目前市面上的零信任网络访问控制方法仍然存在一些局限性。例如,它们往往缺乏灵活性和可扩展性,无法根据用户的访问行为和环境风险等因素动态地调整访问策略。因此,本专利技术提出了一种基于时间窗动态切换的零信任网络访问控制方法及系统,旨在解决这些问题,为用户提供更加安全、可靠的网络环境。
技术实现思路
[0005]本专利技术公开了一种基于时间窗动态切换的零信任网络访问控制方法及系统,系统包括:身份认证模块、动态授权模块、访问控制模块、安全审计模块、风险评估模块、策略管理模块和日志记录模块,1)根据用户身份、设备、应用、数据等多维度信息,对用户进行身份认证和风险评估;2)根据用户的访问请求,动态地判断用户是否有权限访问目标资源;3)如果用户有权限访问目标资源,则根据用户的访问行为和环境风险等因素,动态地调整访问策略;4)如果用户没有权限访问目标资源,则拒绝用户的访问请求;5)在此过程中完整记录日志。本专利技术采用基于时间窗动态切换的零信任网络访问控制方法,可以实现对网络资源的精细化控制,提高网络安全性和可靠性。
[0006]本专利技术的技术方案如下:一种基于时间窗动态切换的零信任网络访问控制方法,其步骤为:步骤1)根据用户身份、设备、应用、数据等多维度信息,对用户进行身份认证和风险评估;步骤2)根据用户的访问请求,动态地判断用户是否有权限访问目标资源;步骤3)如果用户有权限访问目标资源,则根据用户的访问行为和环境风险等因素,动态地调整访问策略;步骤4)如果用户没有权限访问目标资源,则拒绝用户的访问请求;
步骤5)在此过程中完整记录用户的访问和行为日志。
[0007]更进一步,所述的方法,其特征在于,步骤1)中,所述身份认证和风险评估包括: a) 验证用户的身份凭证,如用户名、密码、验证码、指纹、人脸等; b) 检测用户的设备类型、操作系统、安全补丁、防病毒软件等; c) 分析用户的应用类型、版本、功能、权限等; d) 识别用户访问或操作的数据类型、敏感度、来源、目的地等; e) 根据预设的规则和模型,为用户分配一个风险等级。
[0008]更进一步,所述的方法,其特征在于,步骤1)中,所述身份认证和风险评估包括: a) 验证用户的身份凭证,如用户名、密码、验证码、指纹、人脸等; b) 检测用户的设备类型、操作系统、安全补丁、防病毒软件等; c) 分析用户的应用类型、版本、功能、权限等; d) 识别用户访问或操作的数据类型、敏感度、来源、目的地等; e) 根据预设的规则和模型,为用户分配一个风险等级。
[0009]更进一步,所述的方法,其特征在于,步骤2)中,所述访问请求是指用户向目标资源发出的请求,例如,用户想要查看或修改某个文件、数据库、服务器等。访问请求包含了用户的身份信息、目标资源的标识、请求的操作类型等。根据用户的访问请求,可以动态地判断用户是否有权限访问目标资源,以及如何调整访问策略。
[0010]更进一步,所述的方法,其特征在于,步骤2)中,所述动态判断用户是否有权限访问目标资源包括: a) 查询用户的角色、职责、组织关系等; b) 查询目标资源的属性、位置、所有者、访问控制列表等; c) 比较用户的风险等级和目标资源的安全等级; d) 根据预设的策略和条件,决定是否授予用户访问目标资源的权限。
[0011]更进一步,所述的方法,其特征在于,步骤3)中,所述访问行为是指用户在访问目标资源时的具体操作,例如,用户查看、修改、删除、上传、下载等。访问行为反映了用户的意图和需求,也可能存在风险和威胁。根据用户的访问行为,可以动态地调整访问策略,例如,限制用户的操作范围、时间、频率等,或者增加用户的监控和审计等。
[0012]更进一步,所述的方法,其特征在于,步骤3)中,所述动态调整访问策略包括: a) 设置一个时间窗,在该时间窗内允许用户访问目标资源; b) 在时间窗内,根据用户的实时行为和环境变化,实时更新用户的风险等级; c) 在时间窗内,根据预设的规则和阈值,动态调整时间窗的长度和频率; d) 在时间窗内,根据预设的规则和阈值,动态调整对用户访问目标资源的限制和监控,如数据加密、数据脱敏、数据审计等。
[0013]更进一步,所述的方法,其特征在于,步骤4)中,所述内容指的是根据用户的身份、设备、应用、数据等多维度信息,以及目标资源的安全等级和访问策略,判断用户是否有权限访问目标资源。如果用户没有权限访问目标资源,则拒绝用户的访问请求,并向用户返回拒绝原因和建议措施,同时记录日志并报告给相关人员。这样可以保护目标资源的安全性和完整性,防止未经授权的访问和操作。
[0014]更进一步,所述的方法,其特征在于,步骤5)中,所述完整记录日志包括: a) 记录用户的身份信息、设备信息、应用信息、数据信息等; b) 记录用户的访问请求、访问结果、访问时间、访问时长等; c) 记录用户的风险等级、访问策略、时间窗等; d) 记录用户的异常行为、安全事件、应急响应等; e) 将日志存储在安全的位置,并定期备份和清理。
[0015]本专利技术还公开了一种基于时间窗动态切换的零信任网络访问控制系统,其特征在于,基于时间窗动态切换的零信任网络访问控制系统;其中,核心模块包括:身份认证模块、
动态授权模块、访问控制模块、安全审计模块、风险评估模块、策略管理模块和日志记录模块;其中,所述身份认证模块,用于对用户端的身份进行验证,包括用户的账号、密码、证书、指纹等信息,以及设备的类型、状态、位置等信息,确保用户端的合法性和合规性;所述动态授权模块,用于根据用户端的身份、设备、应用、数据等多维度信息,以及资源服务器的安全等级和访问策略,生成一个时间窗口,该时间窗口是一个有效期限定的访问令牌,用于在一定时间内访问资源服务器;所述访问控制模块,用于根据用户端的访问请求和访问令牌,以及资源服务器的访问策略,决定是否允许用户访问资源服务器,以及访问的范围和权限;所述安全审计模块,用于对用户端的访问行为和结果进行记录和分析,检测和报告异常和风险事件,提供安全报告和建议本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于时间窗动态切换的零信任网络访问控制方法,其步骤为:步骤1)根据用户身份、设备、应用、数据等多维度信息,对用户进行身份认证和风险评估;步骤2)根据用户的访问请求,动态地判断用户是否有权限访问目标资源;步骤3)如果用户有权限访问目标资源,则根据用户的访问行为和环境风险等因素,动态地调整访问策略;步骤4)如果用户没有权限访问目标资源,则拒绝用户的访问请求;步骤5)在此过程中完整记录用户的访问和行为日志。2.如权利要求1所述的方法,其特征在于,步骤1)中,所述身份认证和风险评估包括: a) 验证用户的身份凭证,如用户名、密码、验证码、指纹、人脸等; b) 检测用户的设备类型、操作系统、安全补丁、防病毒软件等; c) 分析用户的应用类型、版本、功能、权限等; d) 识别用户访问或操作的数据类型、敏感度、来源、目的地等; e) 根据预设的规则和模型,为用户分配一个风险等级。3.如权利要求1所述的方法,其特征在于,步骤2)中,所述访问请求是指用户向目标资源发出的请求,例如,用户想要查看或修改某个文件、数据库、服务器等,访问请求包含了用户的身份信息、目标资源的标识、请求的操作类型等,根据用户的访问请求,可以动态地判断用户是否有权限访问目标资源,以及如何调整访问策略。4.如权利要求1所述的方法,其特征在于,步骤2)中,所述动态判断用户是否有权限访问目标资源包括: a) 查询用户的角色、职责、组织关系等; b) 查询目标资源的属性、位置、所有者、访问控制列表等; c) 比较用户的风险等级和目标资源的安全等级; d) 根据预设的策略和条件,决定是否授予用户访问目标资源的权限。5.如权利要求1所述的方法,其特征在于,步骤3)中,所述访问行为是指用户在访问目标资源时的具体操作,例如,用户查看、修改、删除、上传、下载等,访问行为反映了用户的意图和需求,也可能存在风险和威胁,根据用户的访问行为,可以动态地调整访问策略,例如,限制用户的操作范围、时间、频率等,或者增加用户的监控和审计等。6.如权利要求1所述的方法,其特征在于,步骤3),中所述动态调整访问策略包括: a) 设置一个时间窗,在该时间窗内允许用户访问目标资源; b) 在时间窗内,根据用户的实时行为和环境变化,实时更新用户的风险等级; c) 在时间窗内,根据预设的规则和阈值,动态调整时间窗的长度和频率; d) 在时间窗内,根据预设的规则和阈值,动态调整对用户访问目标资...
【专利技术属性】
技术研发人员:邓高见,尹少东,马多耀,李宜花,
申请(专利权)人:中科天御苏州科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。