基于零信任的動態訪問控制技術研究

包森成，計晨曉

（中國移動通信集團浙江有限公司，浙江 杭州 310000）

0 引言

無處不在的云資源確保了用戶無論在何時何地都能與關鍵資源進行連接，然而，云資源的快速應用在增加網絡流量的同時，也增加了欺騙攻擊等網絡安全問題[1]。傳統的網絡安全大都依賴于網絡防火墻或者虛擬專用網等手段來構建企業邊界的安全屏障。然而，隨著云資源的快速應用，用戶通常通過遠程訪問的方式來訪問分布式的物理資源，在每一個訪問步驟更改防火墻的規則已經不現實[2]。

為了確保大規模訪問主體對分布式云資源實現快速安全的訪問，研究下一代零信任的訪問控制方法已經成為現有企業亟待解決的問題。零信任的主要思想是放棄為傳統網絡訪問控制機制，對任何請求都不存在信任，并將可信網絡（通常是內部網絡）和不可信網絡（外部網絡）的邊界進行邊界化[3]。該機制確保了所有資源的安全訪問，無論位置如何，它采用最小特權策略，并通過檢查和記錄網絡中的用戶所有的行為和網絡流量等指標來嚴格執行訪問控制。零信任模型本質上是對網絡資源的集中動態訪問控制和管理，根據動態網絡環境的安全態勢和用戶的信任調整用戶訪問權限以此實現資源的動態訪問和調度。因此，零信任安全體系結構具有連續身份認證和最小化權限分配的特點，能夠適應當前大多數網絡系統的安全保護需求[4]，核心技術包括持續身份認證、風險評估和動態授權。包括文獻[5]以主體、對象、權限、環境屬性為基礎制定動態訪問決策，解決用戶跨域訪問的問題；文獻[6-7]通過對用戶、設備和服務的認證、驗證和授權為基礎制定動態訪問決策，從而解決資源保護的問題。然而，當前學界對用戶訪問授權的顆粒度太粗，沒有針對分布式環境下制定細粒度、動態安全訪問機制。對用戶的信任不僅僅通過對用戶的身份、設備位置、上下文進行描述，更應該采用用戶所訪問的資源、用戶行為和整個網絡的安全狀態來描述。因此，本文提出一種基于零信任的動態訪問控制技術，該技術通過持續監控大規模訪問主體行為、任務類型和網絡安全狀態進行動態信任評估并根據信任值對訪問主體進行動態細粒度訪問控制和動態授權，從訪問資源、用戶行為和網絡安全狀態來提升企業數據資源（特別是敏感資源）的安全性。

1 相關知識

1.1 實體身份認證技術

由于網絡的匿名性導致網絡實體行為雜亂并引發了一系列的網絡問題，根據電子認證指南NIST800-63 為OMB04-04 定義的每個認證保證級別提供了技術要求[8]，具體如表1 所示。

表1 電子認證指南NIST800-63定義的每個認證保證級別的技術要求

身份認證又稱為“驗證”、“鑒權”，是用戶訪問資源的時常規的認證手段，用戶身份認證的技術包括：用戶名口令、PKI 技術以及生物識別技術。

用戶名口令通常由字母、數字和符號混合組成，一般來說，靜態口令數據在計算機內存或者網絡中容易被攻擊并監聽，因此需要定期修改用戶口令，單用戶口令仍然不滿足要求稍高的系統[9]。

PKI（Pubilc Key Infrastructure，公鑰基礎設施）其主要功能是綁定證書持有者的身份和相關的密鑰對（通過為公鑰及相關的用戶身份信息簽發數字證書），為用戶提供方便的證書申請、證書作廢、證書獲取、證書狀態查詢的途徑，并利用數字證書及相關的各種服務（證書發布、黑名單發布、時間戳服務等）實現通信中各實體的身份認證、完整性、抗抵賴性和保密性。PKI 技術已經為電子商務、電子政務等領域提供了可信的安全服務，實現陌生身份的有效判別[10]。

生物識別技術根據人體不同的特征實現身份識別，包括指紋識別、面容識別、步態識別以及指靜脈識別等。

1.2 訪問控制技術

為了保證網絡和信息安全系統不被非法入侵和使用，采用訪問控制技術實現主體對客體訪問權限的控制和管理[11]。目前典型的訪問控制模型包括基于屬性的訪問控制模型、基于角色的訪問控制模型、基于行為的訪問控制模型以及基于任務的訪問控制模型。

基于屬性的訪問控制模型（ABAC,Attribute-based Access Control）通過對實體屬性、實體操作類型和訪問的網絡環境確定主體是否有權限訪問相關的資源[12]。

基于角色的訪問控制模型（RBAC,Role-based Access Control）利用角色來控制用戶訪問權限，從而大大降低了海量用戶權限管理的復雜度[13]。

基于行為的訪問控制模型（ABAC,Action-based Access Control）是集角色、環境狀態、事態一系列因素確定主體是否有權限訪問相關的資源[14]。

基于任務的訪問控制模型（TBAC,Task-based Access Control）根據任務在系統中的工作來進行用戶權限的動態控制，該模型根據具體的業務為指導，靈活動態地為訪問主體進行授權，能有效地保護系統數據安全[15]。

然而，隨著網絡系統的安全邊界變得越來越模糊，攻擊者通過欺騙攻擊等手段可以在防護區內“為所欲為”，因此，企業需要隨時隨地對實體進行風險評估，針對隨時出現的網絡風險對用戶訪問權限進行動態控制。

2 基于零信任的動態訪問控制技術

2.1 基于主體行為持續訪問控制技術

針對現有訪問控制方案無法有效應對海量用戶訪問安全的需求，本文對用戶執行任務時進行持續性的監測，結合資源類型和網絡安全狀態，實現動態、自動化的訪問控制策略。該策略以用戶任務屬性為基礎結合資源類型和網絡安全狀態實現用戶訪問權限的動態調整，為系統提供細粒度訪問權限控制和關鍵資源的有效隔離。

通過一定的手段，對訪問主體行為在時間和空間維度上進行連續性觀察，將用戶行為刻畫變量（用戶訪問路徑相似度、訪問資源等級、訪問時間相似度等）表示為一個行為函數，然后基于該行為函數構造主體訪問行為的狀態變化模式，對行為狀態實現多元連續監控。

其中，Ls表示用戶訪問路徑相似度，Rs表示訪問資源等級，Ts表示訪問時間相似度。

2.2 基于任務屬性的持續訪問控制技術

顯然，基于主體行為持續訪問控制技術對主體訪問控制的顆粒度太粗，其無法對主體實際的任務類型與設定的任務類型進行比對，因此，本文需要在對用戶行為狀態監控的基礎上，對主體訪問的任務進一步細化并匹配，以此判別當前主體在執行任務過程中身份的可靠性。

主體的任務狀態可以將任務刻畫變量（任務類型、服務等級、實體與客體關聯關系）表示為一個函數，然后基于該任務屬性函數構造主體執行的狀態變化模式，對任務狀態實現多元連續監控。

其中，T表示任務類型，S表示服務等級，G表示在特定監控的時間顆粒度下主體與客體之間的不同交換關系，每一個時間顆粒度下的交換關系都表示主體關聯的一種狀態。

2.3 基于網絡安全狀態的持續訪問控制技術

網絡系統通常包含多個組件，其監控組件的多樣性會產生多個告警事件模式，不同告警事件模式會對網絡系統造成不同程度的影響，因此，通常采用全部事件告警模式以及對應告警模式產生的風險表示網絡安全狀態。

其中，Pi表示i類型告警事件發生的次數占全部事件占比；Ci表示i類型告警事件發生后所造成的后果，D表示網絡安全狀態。

2.4 基于主體行為、任務屬性和網絡安全狀態的持續訪問控制方案

系統引入主體行為、任務屬性和網絡安全狀態描述主體的身份信息，實現對實體基于多種指標下的動態信任評估，并基于動態信任評估實現細粒度訪問控制。圖1為持續訪問控制方案架構。

圖1 持續訪問控制方案架構

在該架構中，終端發送訪問請求后，管理中心基于用戶身份信息對終端進行特征后，對主體行為、任務狀態和網絡安全進行動態訪問控制決策，引入連續時間顆粒度下的持續監控獲取用戶畫像，實現云資源和資源細粒度訪問控制，從而實現多維信息對實體進行管控，保障云中心安全。用戶信任度評估方式如下：

其中，trustmean表示用戶在連續N個時間顆粒度下系統對用戶評估的平均信任度。α+β+γ=1?；谛湃卧u估對訪問主體進行動態授權，實現對用戶訪問權限的動態控制。

3 實驗分析

3.1 實驗環境

本文采用開源零信任系統TRASA 驗證零信任的訪問控制策略的性能。實驗平臺包括5 臺用于部署可信網關和訪問控制器的虛擬機以及1 臺用于安裝訪問用戶客戶端和威脅監測系統的筆記本電腦?？尚啪W關、訪問控制器、用戶客戶端以及監控系統在本文實驗的工作流程如圖2 所示。

圖2 持續訪問控制工作流程

3.2 實驗分析

為了對比本文方案的優越性，本文通過隨機模擬各類業務的請求數量，對比傳統方法和本文方法進行訪問控制的性能，包括認證效率和控制能力分析進行。

首先是認證效率，一般通過對不同數量的請求響應來測試不同方法的認證性能。傳統的方法包括基于行為的訪問控制和基于任務的訪問控制兩種，對比情況如圖3 所示：

圖3 不同請求數量下的訪問等待時延對比

圖3 展示了不同訪問控制策略下的訪問等待時延對比情況，由此可知，本文方法隨著請求數量的增加訪問等待時延逐漸增大，但是與其他兩種方案的差距不大，滿足訪問等待的時間需求。

在控制能力分析上，本文在用戶在執行任務過程中按照50% 的概率加入惡意行為（也就在執行10 次操作，其中有5 次是惡意行為），以此驗證不同方法下對用戶訪問行為的細粒度控制。一旦系統監測出用戶存在惡意行為，系統將會中斷用戶的操作，圖4 展示不同訪問控制策略下的中斷次數：

圖4 不同請求數量下的中斷次數對比

由圖4 可知，在惡意行為存在的情況下，本文方法中斷次數較傳統方法高，體現本文方案能夠提高實體任務執行任務時對惡意行為的判斷能力。這是因為本文通過引入連續時間顆粒度對主體行為、任務狀態和網絡安全進行持續監控，在實際監控過程中，結合用戶訪問路徑相似度、訪問資源等級、訪問時間相似度、任務類型、服務等級、主客體交互關系以及網絡安全狀態進行持續綜合監控以獲取用戶畫像，從而能夠較為客觀反映惡意行為的特征，提高惡意行為識別的準確率。

4 結束語

本文針對傳統的訪問控制技術不能有效滿足泛在接入的移動接入需求，引入主體行為、任務屬性和網絡安全狀態等因素實現系統的細粒度訪問控制和動態授權管理。實驗表明，本文方法較傳統方法更加有效保護系統的訪問安全，顯著體現了系統對惡意行為的識別能力。