基于零信任的动态访问控制技术研究.pdf
《基于零信任的动态访问控制技术研究.pdf》由会员分享,可在线阅读,更多相关《基于零信任的动态访问控制技术研究.pdf(5页珍藏版)》请在咨信网上搜索。
1、2024年1月第1期132移动涵信2024,48(1):132-136.BAO Sencheng,JI Chenxiao.Research on Dynamic Access Control Technology Based on Zero TrustJj.Mobile Communications,引用格式:包森成,计晨晓。基于零信任的动态访问控制技术研究 J.移动通信,2 0 2 4,48(1):132-136.可AVUUAVAV研究与探讨基于零信任的动访问控制技术研究包森成,计晨晓(中国移动通信集团浙江有限公司,浙江杭州310 0 0 0)【摘要】传统的访问控制技术不能有效满足泛在接人的
2、移动接入需求,提出一种基于零信任的动态访问控制技术。该技术通过持续监控大规模访问主体行为,结合主体行为、任务类型、服务、资源类型和网络安全状态对用户进行动态信任评估并根据信任值对访问主体进行动态授权,从而提高系统对恶意行为的识别率,提升企业数据资源的安全性。仿真表明,该方法能够适应访问主体在持续访问控制方案下的细粒度访问控制和动态授权管理,提升移动办公等应用的安全性。【关键词】零信任;动态访问控制;授权管理doi:10.3969/j.issn.1006-1010.20231012-0004中图分类号:TN929.5OSID:扫描二维码文献标志码文编号:001-0132-05与作老交流Resea
3、rch on Dynamic AControl Technology Based on Zero TrustcessBAO Sencheng,JI Chenxiao(China Mobile Group Zhejiang Co.,Ltd.,Hangzhou 310000,China)AbstractTraditional access control technologies are insufficient in effectively meeting the ubiquitous access requirementsof mobile connectivity.This paper pr
4、oposes a dynamic access control technology based on the Zero Trust model.This method continuously monitors the behavior of many access subjects,dynamically assesses trust based onsubject behavior,task type,services,resource types,and network security status,and grants dynamic authorizationaccording
5、to the trust value.Based on the trust value,it dynamically authorizes access subjects,thereby improvingthe detection rate of malicious behavior and enhancing the security of enterprise data resources.Simulationsindicate that this method can adapt to fine-grained access control and dynamic authorizat
6、ion management undercontinuous access control schemes,thus enhancing the security of applications such as mobile office environments.Keywordszero trust;dynamic access control;authorization management0引言无处不在的云资源确保了用户无论在何时何地都能与关键资源进行连接,然而,云资源的快速应用在增加网络流量的同时,也增加了欺骗攻击等网络安全问题。传统的网络安全大都依赖于网络防火墙或者虚拟专用网等手段来
7、构建企业边界的安全屏障。然而,随着云资源的快速应用,用户通常通过远程访问的方式来访问分布式的物理资源,在每一个访问步骤更改防火墙的规则已经不现实 2 为了确保大规模访问主体对分布式云资源实现快速收稿日期:2 0 2 3-10-12安全的访问,研究下一代零信任的访问控制方法已经成为现有企业呕待解决的问题。零信任的主要思想是放弃为传统网络访问控制机制,对任何请求都不存在信任,并将可信网络(通常是内部网络)和不可信网络(外部网络)的边界进行边界化 3。该机制确保了所有资源的安全访问,无论位置如何,它采用最小特权策略,并通过检查和记录网络中的用户所有的行为和网络流量等指标来严格执行访问控制。零信任模型
8、本质上是对网络资源的集中动态访问控制和管理,根据动态网络环境的安全态势和用户的信任调整用户访问权限以此实现资源的动态访问和调度。因此,零信任安全体系结构具有连续身份认证和最小化权限分配的特点,能够适应当前大多2024年1月第1期133移动涵信总第52 1期包森成,计晨晓:基于零信任的动态访问控制技术研究第48 卷数网络系统的安全保护需求【4,核心技术包括持续身份认证、风险评估和动态授权。包括文献 5 以主体、对象、权限、环境属性为基础制定动态访问决策,解决用户跨域访问的问题;文献 6-7 通过对用户、设备和服务的认证、验证和授权为基础制定动态访问决策,从而解决资源保护的问题。然而,当前学界对用
9、户访问授权的颗粒度太粗,没有针对分布式环境下制定细粒度、动态安全访问机制。对用户的信任不仅仅通过对用户的身份、设备位置、上下文进行描述,更应该采用用户所访问的资源、用户行为和整个网络的安全状态来描述。因此,本文提出一种基于零信任的动态访问控制技术,该技术通过持续监控大规模访问主体行为、任务类型和网络安全状态进行动态信任评估并根据信任值对访问主体进行动态细粒度访问控制和动态授权,从访问资源、用户行为和网络安全状态来提升企业数据资源(特别是敏感资源)的安全性。1相关知识1.1实体身份认证技术由于网络的匿名性导致网络实体行为杂乱并引发了一系列的网络问题,根据电子认证指南NIST800-63为OMB0
10、4-04定义的每个认证保证级别提供了技术要求 8 ,具体如表1所示。身份认证又称为“验证”、“鉴权”,是用户访问资源的时常规的认证手段,用户身份认证的技术包括:用户名口令、PKI技术以及生物识别技术。用户名口令通常由字母、数字和符号混合组成,一般来说,静态口令数据在计算机内存或者网络中容易被攻击并监听,因此需要定期修改用户口令,单用户口令仍然不满足要求稍高的系统 9。PKI(Pu b i l c K e y I n f r a s t r u c t u r e,公钥基础设施)其主要功能是绑定证书持有者的身份和相关的密钥对(通过为公钥及相关的用户身份信息签发数字证书),为用户提供方便的证书申请
11、、证书作废、证书获取、证书状态查询的途径,并利用数字证书及相关的各种服务(证书发布、黑名单发布、时间戳服务等)实现通信中各实体的身份认证、完整性、抗抵赖性和保密性。PKI技术已经为电子商务、电子政务等领域提供了可信的安全服务,实现陌生身份的有效判别 10 生物识别技术根据人体不同的特征实现身份识别,包括指纹识别、面容识别、步态识别以及指静脉识别等。1.2访问控制技术为了保证网络和信息安全系统不被非法人侵和使用,采用访问控制技术实现主体对客体访问权限的控制和管理 。目前典型的访问控制模型包括基于属性的访问控制模型、基于角色的访问控制模型、基于行为的访问控制模型以及基于任务的访问控制模型基于属性的
12、访问控制模型(ABAC,A t t r ib u t e-b a s e dAccessControl)通过对实体属性、实体操作类型和访问的网络环境确定主体是否有权限访问相关的资源12 。基于角色的访问控制模型(RBAC,Role-basedAccessControl)利用角色来控制用户访问权限,从而大大降低了海量用户权限管理的复杂度13。基于行为的访问控制模型(ABAC,A c t io n-b a s e dAccessControl)是集角色、环境状态、事态一系列因素确定主体是否有权限访问相关的资源14。基于任务的访问控制模型(TBAC,Task-basedAccessControl)根
13、据任务在系统中的工作来进行用户权限的动态控制,该模型根据具体的业务为指导,灵活动态地为访问主体进行授权,能有效地保护系统数据安全 15。然而,随着网络系统的安全边界变得越来越模糊,攻击者通过欺骗攻击等手段可以在防护区内“为所欲为”,因此,企业需要随时随地对实体进行风险评估,针对随时出现的网络风险对用户访问权限进行动态控制。2基于零信任的动态访问控制技术2.1基于主体行为持续访问控制技术针对现有访问控制方案无法有效应对海量用户访问安全的需求,本文对用户执行任务时进行持续性的监测,结合资源类型和网络安全状态,实现动态、自动化的访表1电子认证指南NIST800-63定义的每个认证保证级别的技术要求级
14、别身份证明令牌认证保护机制1不需要身份证明允许任何类型令牌对窃听或离线攻击会话有很少保护2需要一些身份证明允许进行单因素身份证明使用FIP140-2批准的加密技术,可以防止在线猜测、重播和窃听攻击3需要采取严格的身份证明多因素身份认证,包括密码和生物因素防止在线猜测、重播、窃听、假冒和中间人攻击4需要个人登记使用硬件加密令牌等多因素身份认证防止在线猜测、重播、窃听、假冒、中间人攻击和会话劫持攻击1342024年1月第1期移动通信总第52 1期研究与探讨?第48 卷问控制策略。该策略以用户任务属性为基础结合资源类型和网络安全状态实现用户访问权限的动态调整,为系统提供细粒度访问权限控制和关键资源的
15、有效隔离通过一定的手段,对访问主体行为在时间和空间维度上进行连续性观察,将用户行为刻画变量(用户访问路径相似度、访问资源等级、访问时间相似度等)表示为一个行为函数,然后基于该行为函数构造主体访问行为的状态变化模式,对行为状态实现多元连续监控f(L,R,T,)=A(1)其中,L,表示用户访问路径相似度,R,表示访问资源等级,T表示访问时间相似度2.2基于任务属性的持续访问控制技术显然,基于主体行为持续访问控制技术对主体访问控制的颗粒度太粗,其无法对主体实际的任务类型与设定的任务类型进行比对,因此,本文需要在对用户行为状态监控的基础上,对主体访问的任务进一步细化并匹配,以此判别当前主体在执行任务过
16、程中身份的可靠性。主体的任务状态可以将任务刻画变量(任务类型、服务等级、实体与客体关联关系)表示为一个函数,然后基于该任务属性函数构造主体执行的状态变化模式,对任务状态实现多元连续监控f(T,S,G)=B(2)其中,T表示任务类型,S表示服务等级,G表示在特定监控的时间颗粒度下主体与客体之间的不同交换关系,每一个时间颗粒度下的交换关系都表示主体关联的一种状态。2.3基于网络安全状态的持续访问控制技术网络系统通常包含多个组件,其监控组件的多样性会产生多个告警事件模式,不同告警事件模式会对网络系统造成不同程度的影响,因此,通常采用全部事件告警模式以及对应告警模式产生的风险表示网络安全状态。f(ZP
17、C,)=D(3)11其中,P,表示i类型告警事件发生的次数占全部事件占比;C表示i类型告警事件发生后所造成的后果,D表示网络安全状态。2.4基基于主体行为、任务属性和网络安全状态的持续访问控制方案系统引人主体行为、任务属性和网络安全状态描述主体的身份信息,实现对实体基于多种指标下的动态信任评估,并基于动态信任评估实现细粒度访问控制。图1为持续访问控制方案架构。在该架构中,终端发送访问请求后,管理中心基于用户身份信息对终端进行特征后,对主体行为、任务状态和网络安全进行动态访问控制决策,引入连续时间颗粒度下的持续监控获取用户画像,实现云资源和资源细粒度访问控制,从而实现多维信息对实体进行管控,保障
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 信任 动态 访问 控制 技术研究
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。