一种面向工业互联网平台的零信任网络架构的制作方法

1.本技术涉及网络安全技术领域，更具体地说，是涉及一种面向工业互联网平台的零信任网络架构。


背景技术：

2.随着以数字化、网络化、智能化为核心特征的第四次工业革命的到来，工业互联网顺势而生，迅速成为我国重点关注对象。工业互联网安全被认为是实现我国工业互联网高质量发展的重要前提和保障。其在原有技术基础上，结合5g、人工智能、云平台、大数据、物联网等新一代信息技术的同时，也打破了传统工业环境封闭、可信的状态，大大增加了遭遇网络攻击的可能性。零信任这种基于身份数据、安全基础设施、风险分析数据等信息综合评估企业安全策略的实时动态验证方法可以有效解决这个问题。
3.forrester的前分析师在2010年以“永不信任，始终验证”思想首次提出“零信任”概念。在零信任概念提出不久之后，google公司开始在内部构建beyondcrop项目，将访问控制从边界迁移到每个用户和设备。随后，云安全联盟在此基础上提出软件定义边界(sdp)网络安全模型，进一步推进零信任从概念走向落地。2019年gartner将安全模型延展为安全访问服务边缘，为新的it环境提供一种风险管理和评估信任的框架。2020年美国国家标准技术研究院编写并发布特别出版物《零信任架构》，被业界认为是零信任架构的标准。2022年，云安全联盟在sdp 1.0基础上对目标、架构、流程、信息格式进行更新，流程、信息格式进行更新，流程描述更为详细且安全技术也有显著性增强。
4.零信任概念、架构历经多次迭代更新，已逐渐成熟，从概念走向落地。然而与互联网环境不同，工业互联网中存在一些独特性问题，如：工业控制系统设备往往落后于关键服务设施，这些遗留组件阻碍了零信任在工业互联网平台中的部署；其运营技术的独特性导致工业互联网平台更倾向于对相关设备的保护，为保障设备可用性而对安全性等方面做出牺牲以及随着部分工业互联网平台向云端迁移，需要让零信任覆盖所有可能的通信路径等，传统基于互联网的零信任模型并不适用。


技术实现要素：

5.为解决上述技术问题，本技术采用的技术方案是：提供一种面向互联网平台的零信任网络架构，包括：
6.多因素身份画像构建模块，抽取分类所有行为信息，构建主体行为画像数据库，并存储于分布式云数据库；
7.访问控制策略生成模块，结合主体行为画像数据库，综合动态行为与静态场景，评估访问请求发起端的主体身份等级，生成评估策略；以及
8.安全互联模块，结合访问控制策略生成模块下发的访问控制策略，完成主客体之间交互的认证验证。
9.优选地，访问控制策略生成模块包括：
10.访问控制策略动态生成单元，由多个评估引擎组成的主体信任评估群完成主体身份等级评估；其中，每个评估引擎各自连接开放的互联网平台下组网中的一个子网，负责不同子网的评估引擎生成不同的访问控制策略；
11.全局策略决算单元，包括解决不同访问控制策略之间冲突的共识策略。
12.优选地，共识策略包括口头协议算法、书面协议算法和完全去中心化的共识机制。
13.优选地，共识机制为dpos共识机制。
14.优选地，多因素身份画像构建模块具体包括：
15.态势感知安全事件发现单元，对所有的行为信息进行抽取，并将数据至少划分为人员登录、设备接入、网络连接和外部访问安全事件；
16.身份画像信息采集单元，按照数据类型进一步划分为类别型数据、数值型数据和文本型数据；以及
17.主体行为画像数据库构建单元，将身份画像信息采集单元划分的数据，划分为动态行为信息、静态行为信息和设备指纹信息三种类型，用于行为画像建模并构建主体行为画像数据库。
18.优选地，行为信息来自于服务器、工作站、设备终端、虚拟设备、云平台流量、网络设备、网络流量、工控上位机、业务数据和物联网终端数据。
19.优选地，类别型数据以字符串形式进行存储，用于记录访问请求发起时设备的标识信息；
20.数值型数据记录每次访问请求数据，访问请求数据至少包括登录时间、离线时间、登陆时长和常用时段；
21.文本型数据至少包括操作内容、键入文字、设备名称、访问资源，用于记录用户操作对象信息与修改内容。
22.优选地，安全互联模块包括多因素身份认证单元；
23.多因素身份认证单元，建立在访问请求发起端与评估引擎以及连接接收主机与评估引擎之间；基于风险与信任的持续度量，借助生物安全认证、动态令牌、设备指纹服务方法，完成主客体之间交互的认证验证。
24.优选地，安全互联模块还包括业务微隔离单元；
25.业务微隔离单元，基于设置组群、用户权限完成用户微隔离；基于端口、协议容器完成细粒度微隔离；基于位置环境应用完成粗粒度微隔离；基于应用负载完成应用微隔离。
26.本发明通过态势感知安全事件发现单元获取安全事件，将其中信息分类采集，主体行为画像数据库构建单元借助聚类算法构建主体行为画像数据库。数据库中的数据用于访问控制策略的生成，访问控制策略动态生成单元对主体身份等级评估，并且引入共识策略，对访问控制策略顺序达成一致共识，解决策略可能存在的冲突问题。评估策略下发后借助多因素身份认证、业务微隔离等方案完成安全互联。因此，本发明能同时保障设备的安全性和持续可用性，不需要为了保障设备可用性，而对安全性做出牺牲。
27.本发明在身份等级评估过程中引入了去中心化的共识策略，在开放的互联网平台环境下保障组网可信，解决了传统零信任网络核心身份评估引擎中心化部署，易出现单点失效、拒绝服务攻击的问题；能够快速、准确对提取到的安全事件进行响应，实现网络拓扑自动分析、安全威胁技术预警、接入设备自动发现；能够动态、灵活生成访问控制策略并进
行快速部署下发，大大提高了网络安全运维人员的安全检测效率，为网络安全运维人员进一步分析数据提供了便利。本发明可以满足不同企业对零信任架构的部署需求，同时提高了零信任评估的准确性，应用前景十分广泛。
附图说明
28.为了更清楚地说明本技术实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
29.图1为本发明面向工业互联网平台的零信任网络架构图；
30.图2为面向工业互联网平台的零信任网络架构部署图。
具体实施方式
31.为了使本技术所要解决的技术问题、技术方案及有益效果更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。
32.需要说明的是，在本技术的描述中，“多种”的含义是两种或两种以上，除非另有明确具体的限定。
33.现对本技术实施例提供的面向工业互联网平台的零信任网络架构进行说明。
34.请参阅图1，为本技术一实施例提供的一种面向互联网平台的零信任网络架构图。本技术提供的一种面向工业互联网平台的零信任网络架构，包括多因素身份画像构建模块、访问控制策略生成模块以及安全互联模块；
35.其中，多因素身份画像构建模块具体包括：
36.态势感知安全事件发现单元，用于监听采集服务器、工作站、设备终端、虚拟设备、云平台流量、网络设备、网络流量、工控上位机、业务数据、物联网终端数据，对所有的行为信息进行抽取，将数据划分为人员登录、设备接入、网络连接、外部访问等安全事件。
37.身份画像信息采集单元，利用态势感知安全事件发现单元中获取的数据，照数据类型划分为类别型数据、数值型数据和文本型数据。类别型数据以字符串形式进行存储，这类数据用于记录访问请求发起时设备的标识信息，有登录方式、登陆设备、登录ip、操作对象等。数值型数据主要记录每次访问请求的登录时间、离线时间、登陆时长、常用时段等。文本型数据包括操作内容、键入文字、设备名称、访问资源等，主要用于记录用户操作对象信息与修改内容。
38.主体行为画像数据库构建单元，将身份画像信息采集单元收集的数据借助聚类算法分类，划分为动态行为信息、静态行为信息、设备指纹信息三种类型，用于行为画像建模并构建主体行为画像数据库。为了保护身份画像信息安全、防止数据被篡改、泄露，解决单一数据库节点宕机而导致信任评估模块瘫痪问题，将其存储于分布式云数据库上，为后续的主体身份等级评估做准备。
39.访问控制策略生成模块参考《软件定义边界(sdp)标准规范2.0》，是一个持续动态判断的过程。其核心组成部分是访问控制策略动态生成单元，用于对访问请求发起端进行
身份等级评估。用户或设备访问资源前需要比较当前自身信任等级与资源准许访问的最小等级，唯有信任等级满足条件时才准许访问。当信任度衰减时，主体身份等级下降；当信任度增长时，主体身份等级上升。
40.访问控制策略动态生成单元，生成策略的具体过程：主体信任评估群在接收到访问信息请求时，会结合多因素身份画像构建模块中的身份信息，综合动态行为与静态场景，评估访问请求发起端的主体身份等级。
41.其中，主体信任评估群由多个评估引擎组成，每个评估引擎各自连接开放的互联网平台下组网中的一个子网，每个评估引擎是完全的等价的。负责不同子网的评估引擎会生成不同的访问控制策略。不同于传统零信任架构中的单一零信任引擎，分布式的主体信任评估群不仅可以解决单一节点宕机引起的信任评估模块瘫痪问题，其还引入共识机制去中心化，也可以在开放的互联网平台环境下保障组网可信。
42.除此之外，访问控制策略生成模块还包括全局策略决算单元，用于解决策略可能存在的冲突问题，完成从策略冲突检测、智能计算到策略冲突消解的过程。冲突产生是由于负责不同子网的可信评估引擎只负责各自子网内设备的身份评估，而子网之间策略并不互通。为此在全局策略决算单元引入区块链中的共识机制思想，对访问控制策略顺序达成一致共识。该共识策略可以有多种方案：
43.一是采用口头协议算法，单个子网内部署的可信评估引擎数量应达到该子网内部署的可信评估引擎总数的2/3；
44.二是采用书面协议算法，该算法要求签名不可伪造，一旦被篡改即可发现，同时任何人都可以验证签名算法的可靠性；
45.三是采取完全去中心化的共识机制。在选择共识机制过程中需综合考虑容错性、可扩展性和终局速度。容错性可分为拜占庭容错和崩溃容错，拜占庭容错是在节点通信中伪造信息恶意响应，崩溃容错指节点出现故障或不响应的情况；可扩展性指增加或删除节点的能力；终局速度则是衡量用户体验的重要因素。在工业互联网平台中，终局速度为首要考虑因素，再然后是容错性和可扩展性。为此引入适用联盟链的dpos共识机制，相比于其他共识机制，dpos具有高安全性、可承载海量终端接入、不需要耗费能源和硬件设备且缩短了区块的产生时间和确认时间的优点。
46.全局策略决算单元主要职责有：(1)保证多个评估引擎的正常运行；(2)收集各自子网内轻量级零信任客户端环境变化反馈；(3)把环境变化后产生的新主体信任等级打包到区块；(4)评估引擎广播区块并在其他评估引擎验证后把区块添加到主体信任等级数据库。
47.安全互联模块，结合访问控制策略生成模块下发的访问控制策略，完成主客体之间的安全互联。其包括多因素身份认证单元、业务微隔离单元。
48.多因素身份认证单元主要建立在访问请求发起端与评估引擎以及连接接收主机与评估引擎之间，基于风险与信任的持续度量，借助生物安全认证、动态令牌、设备指纹服务等方法，完成主客体之间交互的认证验证。
49.业务微隔离单元，提出多维细粒度微隔离，基于设置组群、用户权限完成用户微隔离；基于端口、协议容器完成细粒度微隔离；基于位置环境应用完成粗粒度微隔离；基于应用负载完成应用微隔离。
50.请参阅图2，为面向工业互联网平台的零信任网络架构部署图。展示了部署环境及架构，零信任身份评估引擎是零信任架构的核心。架构自下而上，在端边的底层设备上部署轻量级零信任客户端，其主要用途有采集终端画像信息、收集环境变化并反馈给身份评估引擎和下发策略。边端由多台身份评估引擎和主体信任等级数据库组成，单一身份评估引擎负责各自组网内的身份等级评估。当某一子网内的主体信任等级发生变化时，需要通过共识机制去除分支，将新的经过确认的信任等级打包形成新的区块，并存储到各自的主体信任等级数据库中，实现在开放环境下可追踪、防篡改的身份等级动态评估。云端的工业互联网平台数据中心负责验证和发放授权凭证，然后依据资源访问请求的类型提供相应的服务，动态调动、分配数据存储资源，在保障工业互联网平台的内部安全前提下，有效提高了认证效率。
51.本发明通过态势感知安全事件发现单元获取安全事件，将其中信息分类采集，主体行为画像数据库构建单元借助聚类算法构建主体行为画像数据库。数据库中的数据用于访问控制策略的生成，访问控制策略动态生成单元对主体身份等级评估，并且引入共识策略，对访问控制策略顺序达成一致共识，解决策略可能存在的冲突问题。评估策略下发后借助多因素身份认证、业务微隔离等方案完成安全互联。因此，本发明能同时保障设备的安全性和持续可用性，不需要为了保障设备可用性，而对安全性做出牺牲。
52.本发明在身份等级评估过程中引入了去中心化的共识策略，在开放的互联网平台环境下保障组网可信，解决了传统零信任网络核心身份评估引擎中心化部署，易出现单点失效、拒绝服务攻击的问题；能够快速、准确对提取到的安全事件进行响应，实现网络拓扑自动分析、安全威胁技术预警、接入设备自动发现；能够动态、灵活生成安全策略并进行快速部署下发，大大提高了网络安全运维人员的安全检测效率，为网络安全运维人员进一步分析数据提供了便利。本发明可以满足不同企业对零信任架构的部署需求，同时提高了零信任评估的准确性，应用前景十分广泛。
53.以上所述实施例仅用以说明本技术的技术方案，而非对其限制；尽管参照前述实施例对本技术进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本技术各实施例技术方案的精神和范围，均应包含在本技术的保护范围之内。