一种基于流量识别的零信任动态访问控制方法技术

本发明专利技术提供一种基于流量识别的零信任动态访问控制方法，包括：S1，发送第一个SPA认证包与身份认证数据包，根据第一个SPA认证包与身份认证数据包获取当前用户的访问控制策略，并根据访问控制策略打开数据交互通道；S2，持续发送SPA认证包，同时通过数据交互通道与内网进行数据交互；S3，镜像SPA认证包和数据包，对镜像的SPA认证包和数据包分别计算信任评分；S4，根据静态算法计算镜像的SPA认证包和数据包的加权信任评分；S5，根据加权信任评分更新访问控制策略，并根据访问控制策略动态调整用户的访问权限。本发明专利技术利用SPA认证包和基于流量识别的数据包完成双通道的动态访问控制检测，提升了零信任动态访问控制中的实时性和准确性。准确性。准确性。

【技术实现步骤摘要】
一种基于流量识别的零信任动态访问控制方法


[0001]本专利技术涉及信息安全
，更具体地，涉及一种基于流量识别的零信任动态访问控制方法。

技术介绍

[0002]随着网络的发展，移动办公、云、LOT等加入内网，使得内网的边界变得越来越模糊，边界模糊导致了内网的安全面临更大的风险，数据和业务更容易泄露。为了解决传统边界安全防护不足的问题，零信任技术被提出并得到了广泛的应用。零信任技术打破传统的边界防护思维，安全建设角度从“基于风险”转向“基于业务访问过程”，默认不信任所有的网络、设备和数据等，只有经过认证的设备和网络才能访问内网，最小化访问控制权限，实时评估外部网络的信任度，动态调整访问控制策略。零信任技术的出现极大地提高了内网的安全性。
[0003]目前零信任最关键的认证和动态访问控制技术始终没有达成统一，有各种各样的方案被提出和应用，但这些方案都存在或多或少的问题。基于多因素的认证方式需要建立数据库，存储大量的认证信息，并根据复杂的静态算法来计算信任值，花费的时间和空间代价较大，认证的准确性也有待提高。而基于深度学习或机器学习的认证方式则是在上述基础上加入深度学习的方法，在大量的认证数据的基础上训练模型，最终根据训练结果来计算信任值，深度学习最大的问题是实现的难度和时间复杂度，信任评估是要实时进行，而深度学习的方式则需要较多的时间，不能完成实时性。基于二次认证的方式能够满足实时性的要求，准确性也很高，但是二次认证的动态检测准确性不足，而且二次认证的方式较为复杂，使用不便。

技术实现思路

[0004]本专利技术针对现有技术中存在的技术问题，提供一种基于流量识别的零信任动态访问控制方法，主要目的在于解决零信任动态访问控制中的实时性和准确性要求的难题，利用SPA认证包和基于流量识别的数据包完成双通道的动态访问控制检测。
[0005]本专利技术提供了一种基于流量识别的零信任动态访问控制方法，包括：
[0006]S1，发送第一个SPA认证包与身份认证数据包，根据第一个SPA认证包与身份认证数据包获取当前用户的访问控制策略，并根据访问控制策略打开数据交互通道；
[0007]S2，持续发送SPA认证包，同时通过数据交互通道与内网进行数据交互；
[0008]S3，镜像SPA认证包和数据包，对镜像的SPA认证包基于认证数据库计算SPA信任评分，对镜像的数据包根据流量识别计算流量识别信任评分；
[0009]S4，根据静态算法计算镜像的SPA认证包和数据包的加权信任评分；
[0010]S5，根据加权信任评分更新访问控制策略，并根据访问控制策略动态调整用户的访问权限。
[0011]在上述技术方案的基础上，本专利技术还可以作出如下改进。
[0012]可选的，该方法基于零信任控制中心和零信任网关，零信任控制中心包括认证数据库，步骤S1包括：
[0013]终端设备向零信任控制中心发送第一个SPA认证包，零信任控制中心在验证SPA认证包的参数后，开放自身网络端口；
[0014]终端设备向零信任控制中心的网络端口发送身份认证数据包，零信任控制中心将身份认证数据包与认证数据库相匹配，以验证当前用户身份；
[0015]基于合格的用户身份信息，零信任控制中心向零信任网关发送第一个SPA认证包，零信任网关验证SPA认证包的参数后，开放自身网络端口；
[0016]根据用户身份从认证数据库获取当前用户的访问权限并制定对应的访问控制策略，将访问控制策略发送至零信任网关；终端设备向零信任网关发送第一个SPA认证包，零信任网关在验证SPA认证包参数后，打开自身面向终端设备的网络端口作为数据交互通道。
[0017]可选的，步骤S2包括：
[0018]终端设备通过零信任网关和内网资源建立连接，以访问内部业务和具体数据；
[0019]按照预设的间隔时间，终端设备持续向零信任网关发送SPA认证包，以维持数据交互通道开通。
[0020]可选的，零信任控制中心还包括评分引擎和流量识别引擎，步骤S3包括：
[0021]终端设备持续发送的SPA认证包经过零信任网关进入零信任控制中心的评分引擎，评分引擎将SPA认证包的认证参数与认证数据库中指定时间窗口内的认证参数相比对，计算得到SPA信任评分；
[0022]终端设备向内网发送的外网数据包经过零信任网关进入零信任控制中心的流量识别引擎，流量识别引擎将外网数据包与外网特征库相比对，得到外网流量分类占比结果，其中，外网流量分类包括已知流量、未知流量和攻击流量；
[0023]内网向终端设备发送的内网数据包经过零信任网关进入零信任控制中心的流量识别引擎，流量识别引擎将内网数据包与内网特征库相比对，得到内网流量识别结果，其中，内网流量识别结果包括设备信息、服务类型和数据权限；
[0024]根据外网流量分类占比结果和内网流量识别结果计算得到流量识别信任评分。
[0025]可选的，步骤S3，还包括：
[0026]根据SPA信任评分判断是否采用当前SPA认证包的认证参数对认证数据库内的认证参数进行更新。
[0027]可选的，步骤S3中，计算SPA信任评分的步骤包括：
[0028]分析当前接收的SPA认证包的认证参数，获取当前接收的SPA认证包中认证参数的各认证因子的记录值；
[0029]获取认证数据库中的用于计算评分的指定时间窗口范围内的多个连续的SPA认证包，多个连续的SPA认证包对应认证参数，获取指定时间窗口范围内各个认证参数的权重W（i），获取认证参数中各个认证因子的记录值以及各认证因子的权重，
[0030]将认证因子的记录值与记录值进行对比评分，再根据认证因子的权重
以及认证参数的权重W（i）计算得到当前接收的SPA认证包的信任评分。
[0031]可选的，通过下式计算SPA信任评分：
[0032]ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（1），
[0033]ꢀꢀꢀꢀꢀ
（2），
[0034]ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（3），
[0035]其中，i∈[1,k]，k表示指定时间窗口范围内认证参数的数量，i表示指定时间窗口范围内认证参数的序号，衰减函数W（i）表示指定时间窗口范围内各个认证参数的权重，M表示单个SPA认证包中认证因子的数量，表示指定时间窗口范围内的第i个SPA认证包的认证参数，为指定时间窗口范围内第i个SPA认证包中第j个认证因子与当前接收的SPA认证包中第j个认证因子的对比评分，表示指定时间窗口范围内第i个SPA认证包中第j个认证因子的记录值，表示当前接收的SPA认证包中第j个认证因子的记录值，表示认证参数中第j个认证因子的权重，表示计算得到的SPA信任评分。
[0036]可选的，步骤S3还包括：
[0037]若计算得到的SPA信任评分大于SPA评分阈值，则将当前接收的SPA认证包的认证参数传入认证数据库，并移动时间窗口，使认本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于流量识别的零信任动态访问控制方法，其特征在于，包括：S1，发送第一个SPA认证包与身份认证数据包，根据第一个SPA认证包与身份认证数据包获取当前用户的访问控制策略，并根据访问控制策略打开数据交互通道；S2，持续发送SPA认证包，同时通过数据交互通道与内网进行数据交互；S3，镜像SPA认证包和数据包，对镜像的SPA认证包基于认证数据库计算SPA信任评分，对镜像的数据包根据流量识别计算流量识别信任评分；S4，根据静态算法计算镜像的SPA认证包和数据包的加权信任评分；S5，根据加权信任评分更新访问控制策略，并根据访问控制策略动态调整用户的访问权限。2.根据权利要求1所述的一种基于流量识别的零信任动态访问控制方法，其特征在于，基于零信任控制中心和零信任网关，零信任控制中心包括认证数据库，步骤S1包括：终端设备向零信任控制中心发送第一个SPA认证包，零信任控制中心在验证SPA认证包的参数后，开放自身网络端口；终端设备向零信任控制中心的网络端口发送身份认证数据包，零信任控制中心将身份认证数据包与认证数据库相匹配，以验证当前用户身份；基于合格的用户身份信息，零信任控制中心向零信任网关发送第一个SPA认证包，零信任网关验证SPA认证包的参数后，开放自身网络端口；零信任控制中心根据用户身份从认证数据库获取当前用户的访问权限并制定对应的访问控制策略，将访问控制策略发送至零信任网关：终端设备向零信任网关发送第一个SPA认证包，零信任网关在验证SPA认证包参数后，打开自身面向终端设备的网络端口作为数据交互通道。3.根据权利要求2所述的一种基于流量识别的零信任动态访问控制方法，其特征在于，步骤S2包括：终端设备通过零信任网关和内网资源建立连接，以访问内部业务和具体数据；按照预设的间隔时间，终端设备持续向零信任网关发送SPA认证包，以维持数据交互通道开通。4.根据权利要求2或3所述的一种基于流量识别的零信任动态访问控制方法，其特征在于，零信任控制中心还包括评分引擎和流量识别引擎，步骤S3包括：终端设备持续发送的SPA认证包经过零信任网关进入零信任控制中心的评分引擎，评分引擎将SPA认证包的认证参数与认证数据库中指定时间窗口内的认证参数相比对，计算得到SPA信任评分；终端设备向内网发送的外网数据包经过零信任网关进入零信任控制中心的流量识别引擎，流量识别引擎将外网数据包与外网特征库相比对，得到外网流量分类占比结果，其中，外网流量分类包括已知流量、未知流量和攻击流量；内网向终端设备发送的内网数据包经过零信任网关进入零信任控制中心的流量识别引擎，流量识别引擎将内网数据包与内网特征库相比对，得到内网流量识别结果，其中，内网流量识别结果包括设备信息、服务类型和数据权限；根据外网流量分类占比结果和内网流量识别结果计算得到流量识别信任评分。5.根据权利要求4所述的一种基于流量识别的零信任动态访问控制方法，其特征在于，
步骤S3中，计算SPA信任评分的步骤包括：分析当前接收的SPA认证包的认证参数，获取当前接收的SPA认证包中认证参数的各认证因子的记录值；获取认证数据库中的用于计算评分的指定时间窗口范围内的多个连续的SPA认证包，多个连续的SPA认证包对应认证参数，获取指定时间窗口范围内各个认证参数的权重W（i），获取认证参数中各个认证因子的记录值以及各认证因子的权重，将认证因子的记录值与记录值进行对比评分，再根...

【专利技术属性】
技术研发人员：彭凯，薛楠楠，徐博，郭佳璐，沈永超，刘锋，李书胜，李梦君，李志康，邓天平，彭聪，
申请(专利权)人：华中科技大学，
类型：发明
国别省市：