一种物联网零信任安全统一分析评估及可信接入方法技术

本发明专利技术涉及物联网技术领域，公开了一种物联网零信任安全统一分析评估及可信接入方法，包含有身份认证技术

【技术实现步骤摘要】
一种物联网零信任安全统一分析评估及可信接入方法


[0001]本专利技术涉及物联网
，具体为一种物联网零信任安全统一分析评估及可信接入方法
。

技术介绍

[0002]企业数字化转型加快
、
新技术新应用又带来了全新的安全挑战，传统边界安全理念先天能力存在不足，在这样的背景下，零信任的最早雏形源于
2004
年成立的耶利哥论坛
(Jericho Forum)
，其成立的使命正是为了定义无边界趋势下的网络安全问题并寻求解决方案
。
[0003]零信任代表了新一代网络安全理念，并非指某种单一的安全技术或产品，其目标是为了降低资源访问过程中的安全风险，防止在经授权情况下的资源访问，其关键是打破信任和网络位置的默认绑定关系
。
[0004]在零信任安全理念下：
[0005](1)
网络位置不再决定访问权限，在访问被允许之前，所有访问主体都需要经过身份认证和授权；
[0006](2)
身份认证不再仅仅针对用户，还将对终端设备
、
应用软件等多种身份进行多维度
、
关联性的识别和认证，并且在访问过程中可以根据需要多次发生身份认证；
[0007](3)
授权决策不再仅仅基本网络位置
、
用户角色或属性等传统静态访问控制模型，而是通过持续的安全监测和信任评估，进行动态
、
细粒度的授权
。
安全监测和信任评估结论是基于尽可能多的数据源计算出来的
。
[0008]因此，对于物联网零信任安全统一分析评估及可信接入是需要解决的一关键问题
。

技术实现思路

[0009](
一
)
解决的技术问题
[0010]针对现有技术的不足，本专利技术提供了一种物联网零信任安全统一分析评估及可信接入方法，具备实现多场景零信任建模信息接入和外部第三方安全和身份信息接入，并统一控制；实现多场景的融合建模与交叉分析，形成统一决策和数据展示的优点
。
[0011](
二
)
技术方案
[0012]为实现上述目的，本专利技术提供如下技术方案：一种物联网零信任安全统一分析评估及可信接入方法，包含有身份认证技术
、
最小授权
、
资产隐藏
、
微隔离
、
持续信任评估和动态访问控制
。
[0013]优选的，身份认证技术通过多因子身份验证
(MFA)
和单点登录
(SSO)
等身份验证模型实现；
[0014]其中，常见多因子身份验证
(MAF)
种类有：
1.
一次性短信验证码
(OTP)、2.
硬件令牌
、3.
手机令牌
、4.
基于推送的身份验证令牌
、5.
基于二维码的身份验证令牌，
[0015]其中，单点登录
SSO
访问同一服务器不同应用中的受保护资源的同一用户，只需要登录一次，即通过一个应用中的安全验证后，再访问其他应用中的受保护资源时，不再需要重新登录验证；
[0016]SSO
技术点为：
1、
所有应用系统共享一个身份认证系统
、2、
所有应用系统能够识别和提取
ticket
信息
。
[0017]优选的，所述最小授权为
SPA
单包授权
(Single Packet Authorization)
，是一种轻量级的安全协议，
[0018]SPA
单包授权的核心原则有三，一是在单个敲门数据包内集成认证信息，简化敲门流程；二是对设备进行预认证，不响应认证设备之外的连接请求；三是把服务隐藏在防火墙之后，实现服务的“网络隐身”。
[0019]优选的，资产隐藏是核心资产的各种访问路径被零信任架构隐藏在组件之中，默认情况对访问主体不可见，只有经过认证
、
具有权限
、
信任等级符合安全策略要求的访问请求才予以放行
。
[0020]资产的访问路径的隐藏是通过隐藏业务端口的方式实现的，零信任架构下资产的访问需要先通过可信应用代理可信
API
代理
/
网关认证，再被授予相应的访问权限，这部分流程与企业资源无关，因此企业的资源被隐藏在零信任的组件之后
。
[0021]优选的，微隔离指将服务器与服务器之间隔离，微隔离是零信任架构的重要组成部分，
SDP
保护的是用户与服务器之间的安全，微隔离技术是用于实现服务器与服务器之间的东西向数据流安全
。
[0022]优选的，持续信任评估是构建零信任架构的关键，通过策略引擎
(Policy Engine,PE)
来实现的
。
持续信任评估指的是在用户访问的过程中的设备安全和安全变化
、
访问行为都被记录下来用于评估实时的安全等级，并用来评估当下的可信任程度
。
[0023]它基于数字身份形成初步评估，并形成主体信任，然后在此基础上再根据主体和设备的认证强度
、
设备风险和周围环境等进行动态信任程度的调整，持续信任评估则会根据主体状态进行调整
。
[0024]优选的，动态访问控制持续依据评估结果建立访问主体和被访问资源之间的映射关系，调整并下发执行控制策略，构建对核心业务资产的保护屏障，将核心业务资产的暴露面隐藏
。
[0025](
三
)
有益效果
[0026]与现有技术相比，本专利技术提供了一种物联网零信任安全统一分析评估及可信接入方法，具备以下有益效果：
[0027]通过身份认证技术
、
最小授权
、
资产隐藏
、
微隔离
、
持续信任评估和动态访问控制，实现多场景零信任建模信息接入和外部第三方安全和身份信息接入，并统一控制；实现多场景的融合建模与交叉分析，形成统一决策和数据展示
。
附图说明
[0028]图1为本专利技术
NIST
零信任安全核心逻辑组件示意图；
[0029]图2为本专利技术零信任的核心组件见表；
[0030]图3为本专利技术信任算法示意图；
[0031]图4为本专利技术单点登录技术实现机制图；
[0032]图5为本专利技术单包授权过程图；
[0033]图6为本专利技术单包授权数据包流程图；
[0034]图7为本专利技术微隔离技术示意图；
[0035]图8为本专利技术持续信任评估示意图；
[0036]图9为本专利技术访问控制模型示意图；
[0037本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种物联网零信任安全统一分析评估及可信接入方法，其特征在于：所述方法包含有身份认证技术
、
最小授权
、
资产隐藏
、
微隔离
、
持续信任评估和动态访问控制
。2.
根据权利要求1所述的一种物联网零信任安全统一分析评估及可信接入方法，其特征在于：所述身份认证技术通过多因子身份验证
(MFA)
和单点登录
(SSO)
等身份验证模型实现；其中，常见多因子身份验证
(MAF)
种类有：
1.
一次性短信验证码
(OTP)、2.
硬件令牌
、3.
手机令牌
、4.
基于推送的身份验证令牌
、5.
基于二维码的身份验证令牌；其中，单点登录
SSO
访问同一服务器不同应用中的受保护资源的同一用户，只需要登录一次，即通过一个应用中的安全验证后，再访问其他应用中的受保护资源时，不再需要重新登录验证；
SSO
技术点为：
1、
所有应用系统共享一个身份认证系统
、2、
所有应用系统能够识别和提取
ticket
信息
。3.
根据权利要求1所述的一种物联网零信任安全统一分析评估及可信接入方法，其特征在于：所述最小授权为
SPA
单包授权
(Single Packet Authorization)
，是一种轻量级的安全协议，
SPA
单包授权的核心原则有三，一是在单个敲门数据包内集成认证信息，简化敲门流程；二是对设备进行预认证，不响应认证设备之外的连接请求；三是把服务隐藏在防火墙之后，实现服务的“网络隐身”。4.
...

【专利技术属性】
技术研发人员：沈越欣，尹晓宇，余东波，张冠男，张敏，丁鑫，
申请(专利权)人：国网安徽省电力有限公司信息通信分公司，
类型：发明
国别省市：