基于零信任的动态访问控制技术研究.pdf

2024年1月第1期132移动涵信2024,48(1):132-136.BAO Sencheng,JI Chenxiao.Research on Dynamic Access Control Technology Based on Zero TrustJj.Mobile Communications,引用格式：包森成,计晨晓。基于零信任的动态访问控制技术研究 J.移动通信，2 0 2 4,48(1)：132-136.可AVUUAVAV研究与探讨基于零信任的动访问控制技术研究包森成，计晨晓（中国移动通信集团浙江有限公司，浙江杭州310 0 0 0）【摘要】传统的访问控制技术不能有效满足泛在接人的移动接入需求，提出一种基于零信任的动态访问控制技术。该技术通过持续监控大规模访问主体行为，结合主体行为、任务类型、服务、资源类型和网络安全状态对用户进行动态信任评估并根据信任值对访问主体进行动态授权，从而提高系统对恶意行为的识别率，提升企业数据资源的安全性。仿真表明，该方法能够适应访问主体在持续访问控制方案下的细粒度访问控制和动态授权管理，提升移动办公等应用的安全性。【关键词】零信任；动态访问控制；授权管理doi:10.3969/j.issn.1006-1010.20231012-0004中图分类号：TN929.5OSID:扫描二维码文献标志码文编号：001-0132-05与作老交流Research on Dynamic AControl Technology Based on Zero TrustcessBAO Sencheng,JI Chenxiao(China Mobile Group Zhejiang Co.,Ltd.,Hangzhou 310000,China)AbstractTraditional access control technologies are insufficient in effectively meeting the ubiquitous access requirementsof mobile connectivity.This paper proposes a dynamic access control technology based on the Zero Trust model.This method continuously monitors the behavior of many access subjects,dynamically assesses trust based onsubject behavior,task type,services,resource types,and network security status,and grants dynamic authorizationaccording to the trust value.Based on the trust value,it dynamically authorizes access subjects,thereby improvingthe detection rate of malicious behavior and enhancing the security of enterprise data resources.Simulationsindicate that this method can adapt to fine-grained access control and dynamic authorization management undercontinuous access control schemes,thus enhancing the security of applications such as mobile office environments.Keywordszero trust;dynamic access control;authorization management0引言无处不在的云资源确保了用户无论在何时何地都能与关键资源进行连接，然而，云资源的快速应用在增加网络流量的同时，也增加了欺骗攻击等网络安全问题。传统的网络安全大都依赖于网络防火墙或者虚拟专用网等手段来构建企业边界的安全屏障。然而，随着云资源的快速应用，用户通常通过远程访问的方式来访问分布式的物理资源，在每一个访问步骤更改防火墙的规则已经不现实 2 为了确保大规模访问主体对分布式云资源实现快速收稿日期：2 0 2 3-10-12安全的访问，研究下一代零信任的访问控制方法已经成为现有企业呕待解决的问题。零信任的主要思想是放弃为传统网络访问控制机制，对任何请求都不存在信任，并将可信网络（通常是内部网络）和不可信网络（外部网络）的边界进行边界化 3。该机制确保了所有资源的安全访问，无论位置如何，它采用最小特权策略，并通过检查和记录网络中的用户所有的行为和网络流量等指标来严格执行访问控制。零信任模型本质上是对网络资源的集中动态访问控制和管理，根据动态网络环境的安全态势和用户的信任调整用户访问权限以此实现资源的动态访问和调度。因此，零信任安全体系结构具有连续身份认证和最小化权限分配的特点，能够适应当前大多2024年1月第1期133移动涵信总第52 1期包森成，计晨晓：基于零信任的动态访问控制技术研究第48 卷数网络系统的安全保护需求【4，核心技术包括持续身份认证、风险评估和动态授权。包括文献 5 以主体、对象、权限、环境属性为基础制定动态访问决策，解决用户跨域访问的问题；文献 6-7 通过对用户、设备和服务的认证、验证和授权为基础制定动态访问决策，从而解决资源保护的问题。然而，当前学界对用户访问授权的颗粒度太粗，没有针对分布式环境下制定细粒度、动态安全访问机制。对用户的信任不仅仅通过对用户的身份、设备位置、上下文进行描述，更应该采用用户所访问的资源、用户行为和整个网络的安全状态来描述。因此，本文提出一种基于零信任的动态访问控制技术，该技术通过持续监控大规模访问主体行为、任务类型和网络安全状态进行动态信任评估并根据信任值对访问主体进行动态细粒度访问控制和动态授权，从访问资源、用户行为和网络安全状态来提升企业数据资源（特别是敏感资源）的安全性。1相关知识1.1实体身份认证技术由于网络的匿名性导致网络实体行为杂乱并引发了一系列的网络问题，根据电子认证指南NIST800-63为OMB04-04定义的每个认证保证级别提供了技术要求 8 ,具体如表1所示。身份认证又称为“验证”、“鉴权”，是用户访问资源的时常规的认证手段，用户身份认证的技术包括：用户名口令、PKI技术以及生物识别技术。用户名口令通常由字母、数字和符号混合组成，一般来说，静态口令数据在计算机内存或者网络中容易被攻击并监听，因此需要定期修改用户口令，单用户口令仍然不满足要求稍高的系统 9。PKI（Pu b i l c K e y I n f r a s t r u c t u r e，公钥基础设施）其主要功能是绑定证书持有者的身份和相关的密钥对（通过为公钥及相关的用户身份信息签发数字证书），为用户提供方便的证书申请、证书作废、证书获取、证书状态查询的途径，并利用数字证书及相关的各种服务（证书发布、黑名单发布、时间戳服务等）实现通信中各实体的身份认证、完整性、抗抵赖性和保密性。PKI技术已经为电子商务、电子政务等领域提供了可信的安全服务，实现陌生身份的有效判别 10 生物识别技术根据人体不同的特征实现身份识别，包括指纹识别、面容识别、步态识别以及指静脉识别等。1.2访问控制技术为了保证网络和信息安全系统不被非法人侵和使用，采用访问控制技术实现主体对客体访问权限的控制和管理 。目前典型的访问控制模型包括基于属性的访问控制模型、基于角色的访问控制模型、基于行为的访问控制模型以及基于任务的访问控制模型基于属性的访问控制模型（ABAC，A t t r ib u t e-b a s e dAccessControl）通过对实体属性、实体操作类型和访问的网络环境确定主体是否有权限访问相关的资源12 。基于角色的访问控制模型（RBAC,Role-basedAccessControl）利用角色来控制用户访问权限，从而大大降低了海量用户权限管理的复杂度13。基于行为的访问控制模型（ABAC，A c t io n-b a s e dAccessControl）是集角色、环境状态、事态一系列因素确定主体是否有权限访问相关的资源14。基于任务的访问控制模型（TBAC,Task-basedAccessControl）根据任务在系统中的工作来进行用户权限的动态控制，该模型根据具体的业务为指导，灵活动态地为访问主体进行授权，能有效地保护系统数据安全 15。然而，随着网络系统的安全边界变得越来越模糊，攻击者通过欺骗攻击等手段可以在防护区内“为所欲为”，因此，企业需要随时随地对实体进行风险评估，针对随时出现的网络风险对用户访问权限进行动态控制。2基于零信任的动态访问控制技术2.1基于主体行为持续访问控制技术针对现有访问控制方案无法有效应对海量用户访问安全的需求，本文对用户执行任务时进行持续性的监测，结合资源类型和网络安全状态，实现动态、自动化的访表1电子认证指南NIST800-63定义的每个认证保证级别的技术要求级别身份证明令牌认证保护机制1不需要身份证明允许任何类型令牌对窃听或离线攻击会话有很少保护2需要一些身份证明允许进行单因素身份证明使用FIP140-2批准的加密技术，可以防止在线猜测、重播和窃听攻击3需要采取严格的身份证明多因素身份认证，包括密码和生物因素防止在线猜测、重播、窃听、假冒和中间人攻击4需要个人登记使用硬件加密令牌等多因素身份认证防止在线猜测、重播、窃听、假冒、中间人攻击和会话劫持攻击1342024年1月第1期移动通信总第52 1期研究与探讨?第48 卷问控制策略。该策略以用户任务属性为基础结合资源类型和网络安全状态实现用户访问权限的动态调整，为系统提供细粒度访问权限控制和关键资源的有效隔离通过一定的手段，对访问主体行为在时间和空间维度上进行连续性观察，将用户行为刻画变量（用户访问路径相似度、访问资源等级、访问时间相似度等）表示为一个行为函数，然后基于该行为函数构造主体访问行为的状态变化模式，对行为状态实现多元连续监控f(L,R,T,)=A(1)其中，L，表示用户访问路径相似度，R，表示访问资源等级，T表示访问时间相似度2.2基于任务属性的持续访问控制技术显然，基于主体行为持续访问控制技术对主体访问控制的颗粒度太粗，其无法对主体实际的任务类型与设定的任务类型进行比对，因此，本文需要在对用户行为状态监控的基础上，对主体访问的任务进一步细化并匹配，以此判别当前主体在执行任务过程中身份的可靠性。主体的任务状态可以将任务刻画变量（任务类型、服务等级、实体与客体关联关系）表示为一个函数，然后基于该任务属性函数构造主体执行的状态变化模式，对任务状态实现多元连续监控f(T,S,G)=B(2)其中，T表示任务类型，S表示服务等级，G表示在特定监控的时间颗粒度下主体与客体之间的不同交换关系，每一个时间颗粒度下的交换关系都表示主体关联的一种状态。2.3基于网络安全状态的持续访问控制技术网络系统通常包含多个组件，其监控组件的多样性会产生多个告警事件模式，不同告警事件模式会对网络系统造成不同程度的影响，因此，通常采用全部事件告警模式以及对应告警模式产生的风险表示网络安全状态。f(ZPC,)=D(3)11其中，P，表示i类型告警事件发生的次数占全部事件占比；C表示i类型告警事件发生后所造成的后果，D表示网络安全状态。2.4基基于主体行为、任务属性和网络安全状态的持续访问控制方案系统引人主体行为、任务属性和网络安全状态描述主体的身份信息，实现对实体基于多种指标下的动态信任评估，并基于动态信任评估实现细粒度访问控制。图1为持续访问控制方案架构。在该架构中，终端发送访问请求后，管理中心基于用户身份信息对终端进行特征后，对主体行为、任务状态和网络安全进行动态访问控制决策，引入连续时间颗粒度下的持续监控获取用户画像，实现云资源和资源细粒度访问控制，从而实现多维信息对实体进行管控，保障云中心安全。用户信任度评估方式如下：NZ(A,+B,+D,)trust.(4)j=1meanN其中，trustmean表示用户在连续N个时间颗粒度下系统对用户评估的平均信任度。+y=1。基于信任评估对访问主体进行动态授权，实现对用户访问权限的动态控制。3实验分析3.1实验环境本文采用开源零信任系统TRASA验证零信任的访问控制策略的性能。实验平台包括5台用于部署可信网关和访问控制器的虚拟机以及1台用于安装访问用户客户端和威胁监测系统的笔记本电脑。可信网关、访问控制器、用户客户端以及监控系统在本文实验的工作流程如图2 所示。主体行为访问请求身份认证任务状态细粒度访问控制网络安全用户画像反馈图1持续访问控制方案架构2024年1月第1期135移动涵信总第52 1期包森成，可控制技术研究元第48 卷威胁检测系统访问控制器5、信任评估与授权2身份认证3认证4授权申请6访问控制策略8、用户画像反馈环境感知结果响证应1、访问请求7、访问许可客户端可信网关云中心资源图2持续访问控制工作流程3.2实验分析为了对比本文方案的优越性，本文通过随机模拟各类业务的请求数量，对比传统方法和本文方法进行访问控制的性能，包括认证效率和控制能力分析进行。首先是认证效率，一般通过对不同数量的请求响应来测试不同方法的认证性能。传统的方法包括基于行为的访问控制和基于任务的访问控制两种，对比情况如图3所示：0.10.090.080.07S/0.060.050.040.030.020.01010 20 30 40 50 60 70 80 90100110120130140150160170180190200请求数量/个基于行为的访问控制基于任务的访问控制一本文方法图3不同请求数量下的访问等待时延对比图3展示了不同访问控制策略下的访问等待时延对比情况，由此可知，本文方法随着请求数量的增加访问等待时延逐渐增大，但是与其他两种方案的差距不大，满足访问等待的时间需求。在控制能力分析上，本文在用户在执行任务过程中按照50%的概率加入恶意行为（也就在执行10 次操作，其中有5次是恶意行为），以此验证不同方法下对用户访问行为的细粒度控制。一旦系统监测出用户存在恶意行为，系统将会中断用户的操作，图4展示不同访问控制策略下的中断次数：200180160奥中140120100806040200102030405060 70 8090100110120130140150160170180190200请求数量/个一基于行为的访问控制基于任务的访问控制本文方法图4不同请求数量下的中断次数对比由图4可知，在恶意行为存在的情况下，本文方法中断次数较传统方法高，体现本文方案能够提高实体任务执行任务时对恶意行为的判断能力。这是因为本文通过引人连续时间颗粒度对主体行为、任务状态和网络安全进行持续监控，在实际监控过程中，结合用户访问路径相似度、访问资源等级、访问时间相似度、任务类型、服务等级、主客体交互关系以及网络安全状态进行持续综合监控以获取用户画像，从而能够较为客观反映恶意行为的特征，提高恶意行为识别的准确率。4结束语本文针对传统的访问控制技术不能有效满足泛在接入的移动接人需求，引入主体行为、任务属性和网络安全状态等因素实现系统的细粒度访问控制和动态授权管理。实验表明，本文方法较传统方法更加有效保护系统的访问安全，显著体现了系统对恶意行为的识别能力。移动通信1362024年1月第1期作者简介总第52 1期研究与探讨第48 卷参考文献：1Yu J,Kim E,Kim H,et al.A framework for detecting MACand IP spoofing attacks with network characteristicsCJ/2016International conference on software security and assurance(ICSSA).IEEE,2016:49-53.2Pham C,Tang D,Chinen K,et al.Cyris:A cyber rangeinstantiation system for facilitating security trainingC/Proceedings of the 7th Symposium on Information andCommunication Technology.2016:251-258.3 Jin Q,Wang L.Zero-Trust Based Distributed CollaborativeDynamic Access Control Scheme with Deep Multi-AgentReinforcement LearningJ.EAI Endorsed Transactions onSecurity and Safety,2020,8(27):1-9.4Yao Q,Wang Q,Zhang X,et al.Dynamic access control andauthorization system based on zero-trust architectureC/Proceedings of the 2020 lst International Conference onControl,Robotics and Intelligent System.2020:123-127.5Dan N,Hua-Ji S,Yuan C,et al.Attribute based accesscontrol(ABAC)-based cross-domain access control inservice-oriented architecture(SOA)CJ/2012 InternationalConference on Computer Science and Service System.IEEE,2012:1405-1408.6Wylde A.Zero trust:Never trust,always verifyCj/2021international conference on cyber situational awareness,dataanalytics and assessment(cybersa).IEEE,2021:1-4.7Horne D,Nair S.Introducing zero trust by design:Principlesand practice beyond the zero trust hypeMj/Advances inSecurity,Networks,and Internet of Things.Springer,2021:512-525.8许王哲，面向大规模网络实体的持续访问控制技术研究 D.西安：西安电子科技大学，2 0 2 2.9郭渊博，尹安琪，基于格的口令认证密钥交换协议综述 J.通信学报，2 0 2 2,43(12)：17 2-18 7.1o Li F,Liu Z,Li T,et al.Privacyaware PKI model withstrong forward securityJ.International Journal ofIntelligent Systems,2022,37(12):10049-10065.1l Yu X,Shu Z,Li Q,et al.BC-BLPM:a multi-level securityaccess control model based on blockchain technologyJ.China Communications,2021,18(2):110-135.12 Zhu Y,Qin Y,Zhou Z,et al.Digital asset management withdistributed permission over blockchain and attribute-basedaccess controlC/2018 IEEE International Conference onServices Computing(SCC).IEEE,2018:193-200.13 Kamboj P,Khare S,Pal S.User authentication usingBlockchain based smart contract in role-based accesscontrolJ.Peer-to-Peer Networking and Applications,2021,14(5):2961-2976.14 Li J,Han D,Wu Z,et al.A novel system for medicalequipment supply chain traceability based on alliance chainand attribute and role access controlJ.Future GenerationComputer Systems,2023,142:195-211.15 Leander B,Causevic A,Hansson H,et al.Toward an idealaccess control strategy for industry 4.0 manufacturingsystemsJ.IEEE Access,2021,9:114037-114050.16张刘天，陈丹伟，基于零信任的动态访问控制模型研究 .信息安全研究，2 0 2 2,8(10)：10 0 8-10 17.17 Zhang P,Tian C,Shang T,et al.Dynamic accesscontrol technology based on zero-trust light verificationnetwork modelCj/2021 International Conference onCommunications,Information System and ComputerEngineering(CISCE).IEEE,2021:712-715.18 Wu Y G,Yan W H,Wang J Z.Real identity based accesscontrol technology under zero trust architectureCJ/2021International Conference on Wireless Communications andSmart Grid(ICWCSG).IEEE,2021:18-22.19 Chen B,Qiao S,Zhao J,et al.A security awareness andprotection system for 5G smart healthcare based on zero-trustarchitectureJ.IEEE Internet of Things Journal,2020,8(13):10248-10263.20 Huang W,Xie X,Wang Z,et al.A Zero Trust and Attribute-Based Encryption Scheme for Dynamic Access Control inPower IoT EnvironmentsC/The International Conferenceon Natural Computation,Fuzzy Systems and KnowledgeDiscovery.Cham:Springer International Publishing,2022:1338-1345.21 Syed N F,Shah S W,Shaghaghi A,et al.Zero trustarchitecture(zta):A comprehensive surveyJ.IEEE Access,2022,10:57143-57179.22 Mohseni Ejiyeh A.Real-Time Lightweight Cloud-BasedAccess Control for Wearable IoT Devices:A Zero TrustProtocolC/Proceedings of the First International Workshopon Security and Privacy of Sensing Systems.2023:22-29.包森成：高级工程师，硕士毕业于北京邮电大学，现任中国移动通信集团浙江有限公司网络安全主管，主要从事网络与信息安全方面研究工作。计晨晓：高级工程师，本科毕业于杭州电子科技大学，现任职于中国移动通信集团浙江有限公司，负责网络安全管理，主要从事网络与信息安全方面研究工作。