基于零信任的動(dòng)態(tài)訪問控制技術(shù)研究

包森成，計(jì)晨曉

（中國移動(dòng)通信集團(tuán)浙江有限公司，浙江 杭州 310000）

0 引言

無處不在的云資源確保了用戶無論在何時(shí)何地都能與關(guān)鍵資源進(jìn)行連接，然而，云資源的快速應(yīng)用在增加網(wǎng)絡(luò)流量的同時(shí)，也增加了欺騙攻擊等網(wǎng)絡(luò)安全問題[1]。傳統(tǒng)的網(wǎng)絡(luò)安全大都依賴于網(wǎng)絡(luò)防火墻或者虛擬專用網(wǎng)等手段來構(gòu)建企業(yè)邊界的安全屏障。然而，隨著云資源的快速應(yīng)用，用戶通常通過遠(yuǎn)程訪問的方式來訪問分布式的物理資源，在每一個(gè)訪問步驟更改防火墻的規(guī)則已經(jīng)不現(xiàn)實(shí)[2]。

為了確保大規(guī)模訪問主體對(duì)分布式云資源實(shí)現(xiàn)快速安全的訪問，研究下一代零信任的訪問控制方法已經(jīng)成為現(xiàn)有企業(yè)亟待解決的問題。零信任的主要思想是放棄為傳統(tǒng)網(wǎng)絡(luò)訪問控制機(jī)制，對(duì)任何請(qǐng)求都不存在信任，并將可信網(wǎng)絡(luò)（通常是內(nèi)部網(wǎng)絡(luò)）和不可信網(wǎng)絡(luò)（外部網(wǎng)絡(luò)）的邊界進(jìn)行邊界化[3]。該機(jī)制確保了所有資源的安全訪問，無論位置如何，它采用最小特權(quán)策略，并通過檢查和記錄網(wǎng)絡(luò)中的用戶所有的行為和網(wǎng)絡(luò)流量等指標(biāo)來嚴(yán)格執(zhí)行訪問控制。零信任模型本質(zhì)上是對(duì)網(wǎng)絡(luò)資源的集中動(dòng)態(tài)訪問控制和管理，根據(jù)動(dòng)態(tài)網(wǎng)絡(luò)環(huán)境的安全態(tài)勢(shì)和用戶的信任調(diào)整用戶訪問權(quán)限以此實(shí)現(xiàn)資源的動(dòng)態(tài)訪問和調(diào)度。因此，零信任安全體系結(jié)構(gòu)具有連續(xù)身份認(rèn)證和最小化權(quán)限分配的特點(diǎn)，能夠適應(yīng)當(dāng)前大多數(shù)網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)需求[4]，核心技術(shù)包括持續(xù)身份認(rèn)證、風(fēng)險(xiǎn)評(píng)估和動(dòng)態(tài)授權(quán)。包括文獻(xiàn)[5]以主體、對(duì)象、權(quán)限、環(huán)境屬性為基礎(chǔ)制定動(dòng)態(tài)訪問決策，解決用戶跨域訪問的問題；文獻(xiàn)[6-7]通過對(duì)用戶、設(shè)備和服務(wù)的認(rèn)證、驗(yàn)證和授權(quán)為基礎(chǔ)制定動(dòng)態(tài)訪問決策，從而解決資源保護(hù)的問題。然而，當(dāng)前學(xué)界對(duì)用戶訪問授權(quán)的顆粒度太粗，沒有針對(duì)分布式環(huán)境下制定細(xì)粒度、動(dòng)態(tài)安全訪問機(jī)制。對(duì)用戶的信任不僅僅通過對(duì)用戶的身份、設(shè)備位置、上下文進(jìn)行描述，更應(yīng)該采用用戶所訪問的資源、用戶行為和整個(gè)網(wǎng)絡(luò)的安全狀態(tài)來描述。因此，本文提出一種基于零信任的動(dòng)態(tài)訪問控制技術(shù)，該技術(shù)通過持續(xù)監(jiān)控大規(guī)模訪問主體行為、任務(wù)類型和網(wǎng)絡(luò)安全狀態(tài)進(jìn)行動(dòng)態(tài)信任評(píng)估并根據(jù)信任值對(duì)訪問主體進(jìn)行動(dòng)態(tài)細(xì)粒度訪問控制和動(dòng)態(tài)授權(quán)，從訪問資源、用戶行為和網(wǎng)絡(luò)安全狀態(tài)來提升企業(yè)數(shù)據(jù)資源（特別是敏感資源）的安全性。

1 相關(guān)知識(shí)

1.1 實(shí)體身份認(rèn)證技術(shù)

由于網(wǎng)絡(luò)的匿名性導(dǎo)致網(wǎng)絡(luò)實(shí)體行為雜亂并引發(fā)了一系列的網(wǎng)絡(luò)問題，根據(jù)電子認(rèn)證指南NIST800-63 為OMB04-04 定義的每個(gè)認(rèn)證保證級(jí)別提供了技術(shù)要求[8]，具體如表1 所示。

表1 電子認(rèn)證指南NIST800-63定義的每個(gè)認(rèn)證保證級(jí)別的技術(shù)要求

身份認(rèn)證又稱為“驗(yàn)證”、“鑒權(quán)”，是用戶訪問資源的時(shí)常規(guī)的認(rèn)證手段，用戶身份認(rèn)證的技術(shù)包括：用戶名口令、PKI 技術(shù)以及生物識(shí)別技術(shù)。

用戶名口令通常由字母、數(shù)字和符號(hào)混合組成，一般來說，靜態(tài)口令數(shù)據(jù)在計(jì)算機(jī)內(nèi)存或者網(wǎng)絡(luò)中容易被攻擊并監(jiān)聽，因此需要定期修改用戶口令，單用戶口令仍然不滿足要求稍高的系統(tǒng)[9]。

PKI（Pubilc Key Infrastructure，公鑰基礎(chǔ)設(shè)施）其主要功能是綁定證書持有者的身份和相關(guān)的密鑰對(duì)（通過為公鑰及相關(guān)的用戶身份信息簽發(fā)數(shù)字證書），為用戶提供方便的證書申請(qǐng)、證書作廢、證書獲取、證書狀態(tài)查詢的途徑，并利用數(shù)字證書及相關(guān)的各種服務(wù)（證書發(fā)布、黑名單發(fā)布、時(shí)間戳服務(wù)等）實(shí)現(xiàn)通信中各實(shí)體的身份認(rèn)證、完整性、抗抵賴性和保密性。PKI 技術(shù)已經(jīng)為電子商務(wù)、電子政務(wù)等領(lǐng)域提供了可信的安全服務(wù)，實(shí)現(xiàn)陌生身份的有效判別[10]。

生物識(shí)別技術(shù)根據(jù)人體不同的特征實(shí)現(xiàn)身份識(shí)別，包括指紋識(shí)別、面容識(shí)別、步態(tài)識(shí)別以及指靜脈識(shí)別等。

1.2 訪問控制技術(shù)

為了保證網(wǎng)絡(luò)和信息安全系統(tǒng)不被非法入侵和使用，采用訪問控制技術(shù)實(shí)現(xiàn)主體對(duì)客體訪問權(quán)限的控制和管理[11]。目前典型的訪問控制模型包括基于屬性的訪問控制模型、基于角色的訪問控制模型、基于行為的訪問控制模型以及基于任務(wù)的訪問控制模型。

基于屬性的訪問控制模型（ABAC,Attribute-based Access Control）通過對(duì)實(shí)體屬性、實(shí)體操作類型和訪問的網(wǎng)絡(luò)環(huán)境確定主體是否有權(quán)限訪問相關(guān)的資源[12]。

基于角色的訪問控制模型（RBAC,Role-based Access Control）利用角色來控制用戶訪問權(quán)限，從而大大降低了海量用戶權(quán)限管理的復(fù)雜度[13]。

基于行為的訪問控制模型（ABAC,Action-based Access Control）是集角色、環(huán)境狀態(tài)、事態(tài)一系列因素確定主體是否有權(quán)限訪問相關(guān)的資源[14]。

基于任務(wù)的訪問控制模型（TBAC,Task-based Access Control）根據(jù)任務(wù)在系統(tǒng)中的工作來進(jìn)行用戶權(quán)限的動(dòng)態(tài)控制，該模型根據(jù)具體的業(yè)務(wù)為指導(dǎo)，靈活動(dòng)態(tài)地為訪問主體進(jìn)行授權(quán)，能有效地保護(hù)系統(tǒng)數(shù)據(jù)安全[15]。

然而，隨著網(wǎng)絡(luò)系統(tǒng)的安全邊界變得越來越模糊，攻擊者通過欺騙攻擊等手段可以在防護(hù)區(qū)內(nèi)“為所欲為”，因此，企業(yè)需要隨時(shí)隨地對(duì)實(shí)體進(jìn)行風(fēng)險(xiǎn)評(píng)估，針對(duì)隨時(shí)出現(xiàn)的網(wǎng)絡(luò)風(fēng)險(xiǎn)對(duì)用戶訪問權(quán)限進(jìn)行動(dòng)態(tài)控制。

2 基于零信任的動(dòng)態(tài)訪問控制技術(shù)

2.1 基于主體行為持續(xù)訪問控制技術(shù)

針對(duì)現(xiàn)有訪問控制方案無法有效應(yīng)對(duì)海量用戶訪問安全的需求，本文對(duì)用戶執(zhí)行任務(wù)時(shí)進(jìn)行持續(xù)性的監(jiān)測(cè)，結(jié)合資源類型和網(wǎng)絡(luò)安全狀態(tài)，實(shí)現(xiàn)動(dòng)態(tài)、自動(dòng)化的訪問控制策略。該策略以用戶任務(wù)屬性為基礎(chǔ)結(jié)合資源類型和網(wǎng)絡(luò)安全狀態(tài)實(shí)現(xiàn)用戶訪問權(quán)限的動(dòng)態(tài)調(diào)整，為系統(tǒng)提供細(xì)粒度訪問權(quán)限控制和關(guān)鍵資源的有效隔離。

通過一定的手段，對(duì)訪問主體行為在時(shí)間和空間維度上進(jìn)行連續(xù)性觀察，將用戶行為刻畫變量（用戶訪問路徑相似度、訪問資源等級(jí)、訪問時(shí)間相似度等）表示為一個(gè)行為函數(shù)，然后基于該行為函數(shù)構(gòu)造主體訪問行為的狀態(tài)變化模式，對(duì)行為狀態(tài)實(shí)現(xiàn)多元連續(xù)監(jiān)控。

其中，Ls表示用戶訪問路徑相似度，Rs表示訪問資源等級(jí)，Ts表示訪問時(shí)間相似度。

2.2 基于任務(wù)屬性的持續(xù)訪問控制技術(shù)

顯然，基于主體行為持續(xù)訪問控制技術(shù)對(duì)主體訪問控制的顆粒度太粗，其無法對(duì)主體實(shí)際的任務(wù)類型與設(shè)定的任務(wù)類型進(jìn)行比對(duì)，因此，本文需要在對(duì)用戶行為狀態(tài)監(jiān)控的基礎(chǔ)上，對(duì)主體訪問的任務(wù)進(jìn)一步細(xì)化并匹配，以此判別當(dāng)前主體在執(zhí)行任務(wù)過程中身份的可靠性。

主體的任務(wù)狀態(tài)可以將任務(wù)刻畫變量（任務(wù)類型、服務(wù)等級(jí)、實(shí)體與客體關(guān)聯(lián)關(guān)系）表示為一個(gè)函數(shù)，然后基于該任務(wù)屬性函數(shù)構(gòu)造主體執(zhí)行的狀態(tài)變化模式，對(duì)任務(wù)狀態(tài)實(shí)現(xiàn)多元連續(xù)監(jiān)控。

其中，T表示任務(wù)類型，S表示服務(wù)等級(jí)，G表示在特定監(jiān)控的時(shí)間顆粒度下主體與客體之間的不同交換關(guān)系，每一個(gè)時(shí)間顆粒度下的交換關(guān)系都表示主體關(guān)聯(lián)的一種狀態(tài)。

2.3 基于網(wǎng)絡(luò)安全狀態(tài)的持續(xù)訪問控制技術(shù)

網(wǎng)絡(luò)系統(tǒng)通常包含多個(gè)組件，其監(jiān)控組件的多樣性會(huì)產(chǎn)生多個(gè)告警事件模式，不同告警事件模式會(huì)對(duì)網(wǎng)絡(luò)系統(tǒng)造成不同程度的影響，因此，通常采用全部事件告警模式以及對(duì)應(yīng)告警模式產(chǎn)生的風(fēng)險(xiǎn)表示網(wǎng)絡(luò)安全狀態(tài)。

其中，Pi表示i類型告警事件發(fā)生的次數(shù)占全部事件占比；Ci表示i類型告警事件發(fā)生后所造成的后果，D表示網(wǎng)絡(luò)安全狀態(tài)。

2.4 基于主體行為、任務(wù)屬性和網(wǎng)絡(luò)安全狀態(tài)的持續(xù)訪問控制方案

系統(tǒng)引入主體行為、任務(wù)屬性和網(wǎng)絡(luò)安全狀態(tài)描述主體的身份信息，實(shí)現(xiàn)對(duì)實(shí)體基于多種指標(biāo)下的動(dòng)態(tài)信任評(píng)估，并基于動(dòng)態(tài)信任評(píng)估實(shí)現(xiàn)細(xì)粒度訪問控制。圖1為持續(xù)訪問控制方案架構(gòu)。

圖1 持續(xù)訪問控制方案架構(gòu)

在該架構(gòu)中，終端發(fā)送訪問請(qǐng)求后，管理中心基于用戶身份信息對(duì)終端進(jìn)行特征后，對(duì)主體行為、任務(wù)狀態(tài)和網(wǎng)絡(luò)安全進(jìn)行動(dòng)態(tài)訪問控制決策，引入連續(xù)時(shí)間顆粒度下的持續(xù)監(jiān)控獲取用戶畫像，實(shí)現(xiàn)云資源和資源細(xì)粒度訪問控制，從而實(shí)現(xiàn)多維信息對(duì)實(shí)體進(jìn)行管控，保障云中心安全。用戶信任度評(píng)估方式如下：

其中，trustmean表示用戶在連續(xù)N個(gè)時(shí)間顆粒度下系統(tǒng)對(duì)用戶評(píng)估的平均信任度。α+β+γ=1?；谛湃卧u(píng)估對(duì)訪問主體進(jìn)行動(dòng)態(tài)授權(quán)，實(shí)現(xiàn)對(duì)用戶訪問權(quán)限的動(dòng)態(tài)控制。

3 實(shí)驗(yàn)分析

3.1 實(shí)驗(yàn)環(huán)境

本文采用開源零信任系統(tǒng)TRASA 驗(yàn)證零信任的訪問控制策略的性能。實(shí)驗(yàn)平臺(tái)包括5 臺(tái)用于部署可信網(wǎng)關(guān)和訪問控制器的虛擬機(jī)以及1 臺(tái)用于安裝訪問用戶客戶端和威脅監(jiān)測(cè)系統(tǒng)的筆記本電腦?？尚啪W(wǎng)關(guān)、訪問控制器、用戶客戶端以及監(jiān)控系統(tǒng)在本文實(shí)驗(yàn)的工作流程如圖2 所示。

圖2 持續(xù)訪問控制工作流程

3.2 實(shí)驗(yàn)分析

為了對(duì)比本文方案的優(yōu)越性，本文通過隨機(jī)模擬各類業(yè)務(wù)的請(qǐng)求數(shù)量，對(duì)比傳統(tǒng)方法和本文方法進(jìn)行訪問控制的性能，包括認(rèn)證效率和控制能力分析進(jìn)行。

首先是認(rèn)證效率，一般通過對(duì)不同數(shù)量的請(qǐng)求響應(yīng)來測(cè)試不同方法的認(rèn)證性能。傳統(tǒng)的方法包括基于行為的訪問控制和基于任務(wù)的訪問控制兩種，對(duì)比情況如圖3 所示：

圖3 不同請(qǐng)求數(shù)量下的訪問等待時(shí)延對(duì)比

圖3 展示了不同訪問控制策略下的訪問等待時(shí)延對(duì)比情況，由此可知，本文方法隨著請(qǐng)求數(shù)量的增加訪問等待時(shí)延逐漸增大，但是與其他兩種方案的差距不大，滿足訪問等待的時(shí)間需求。

在控制能力分析上，本文在用戶在執(zhí)行任務(wù)過程中按照50% 的概率加入惡意行為（也就在執(zhí)行10 次操作，其中有5 次是惡意行為），以此驗(yàn)證不同方法下對(duì)用戶訪問行為的細(xì)粒度控制。一旦系統(tǒng)監(jiān)測(cè)出用戶存在惡意行為，系統(tǒng)將會(huì)中斷用戶的操作，圖4 展示不同訪問控制策略下的中斷次數(shù)：

圖4 不同請(qǐng)求數(shù)量下的中斷次數(shù)對(duì)比

由圖4 可知，在惡意行為存在的情況下，本文方法中斷次數(shù)較傳統(tǒng)方法高，體現(xiàn)本文方案能夠提高實(shí)體任務(wù)執(zhí)行任務(wù)時(shí)對(duì)惡意行為的判斷能力。這是因?yàn)楸疚耐ㄟ^引入連續(xù)時(shí)間顆粒度對(duì)主體行為、任務(wù)狀態(tài)和網(wǎng)絡(luò)安全進(jìn)行持續(xù)監(jiān)控，在實(shí)際監(jiān)控過程中，結(jié)合用戶訪問路徑相似度、訪問資源等級(jí)、訪問時(shí)間相似度、任務(wù)類型、服務(wù)等級(jí)、主客體交互關(guān)系以及網(wǎng)絡(luò)安全狀態(tài)進(jìn)行持續(xù)綜合監(jiān)控以獲取用戶畫像，從而能夠較為客觀反映惡意行為的特征，提高惡意行為識(shí)別的準(zhǔn)確率。

4 結(jié)束語

本文針對(duì)傳統(tǒng)的訪問控制技術(shù)不能有效滿足泛在接入的移動(dòng)接入需求，引入主體行為、任務(wù)屬性和網(wǎng)絡(luò)安全狀態(tài)等因素實(shí)現(xiàn)系統(tǒng)的細(xì)粒度訪問控制和動(dòng)態(tài)授權(quán)管理。實(shí)驗(yàn)表明，本文方法較傳統(tǒng)方法更加有效保護(hù)系統(tǒng)的訪問安全，顯著體現(xiàn)了系統(tǒng)對(duì)惡意行為的識(shí)別能力。