一种面向服务互联网的多层次零信任安全控制方法
1.本发明涉及一种安全管理方法,涉及一种面向服务互联网的多层次零信任安全控制方法。
背景技术:
2.随着云计算、人工智能、大数据、互联网和移动互联网的迅猛发展,社会中的各个行业都显出一种网络化、智能化、服务化和移动化的发展趋势,现代服务业也随之不断升级并呈现出新的服务状态,各种互联网服务应用急剧增长、相互融合并且日益复杂化。在现有的研究中,服务互联网平台的安全认证都是基于平台层面的。在服务互联网平台复杂的服务场景下,这样粗粒度的、单层面的访问控制方法会导致服务互联网平台的各种身份和级别的访问者权限管理混乱,增加了平台中部署的服务直接暴露的风险,同时如果平台的接入设备存在风险,当前的安全管理方式大大增加的数据泄露、滥用以及系统崩溃的风险。同时由于服务互联网平台中部署的服务丰富多样,修改这些跨世界、跨领域、跨区域的服务,对其进行统一修改是不现实的,也会大大减弱平台的灵活性,增加平台的负担,无法满足服务互联网平针对节点、服务器、服务、实例等多个层面的访问控制需求。因此,需要引入新的机制,提升服务互联网平台的安全性,为平台下分布于不同节点、不同服务器不同服务的各个服务实例提供一套统一的多级细粒度安全管理机制,提升服务互联网平台的安全性和可控性。
技术实现要素:
为了克服当前技术没有考虑平台多层级结构以及控制粒度粗的缺点,本发明提供了一种面向服务互联网的多层次零信任安全控制方法。该方法通过构建服务互联网平台中服务部署结构,设计一种适用于该结构的安全控制描述语言,通过解析并部署安全控制策略,完成对服务互联网平台多级细粒度的访问控制,从而提高服务互联网平台的安全性。
3.本发明的目的是通过以下技术方案实现的:一种面向服务互联网的多层次零信任安全控制方法,包括如下步骤:步骤s1、基于零信任机制的服务互联网平台安全框架设计针对当前服务互联网平台的部署结构和安全控制需求,设计包含平台、节点、服务器、服务、实例的五层服务互联网平台安全框架,基于零信任的安全机制对每一层涉及的各种资源进行细粒度控制;步骤s2、面向服务互联网的安全控制策略模型设计安全控制策略模型基于xacml可扩展访问控制标记语言实现,包含以下几种元素:policyset:安全控制策略集,是一些安全控制策略的集合,一个实例的所有安全控制策略包含在同一个策略集当中,服务的安全控制策略集中包含针对该服务的所有策略以及服务下属实例对应的策略集,上层服务器、节点、平台的安全控制策略级中包含针对本级资源的策略集和针对下层其包含资源的策略集;policy:安全控制策略,描述一个安全控制策略的基本单元,包含rule、target、description三种元素,分别包含策略规则、目标和基本描述的相关信息;
rule:安全规则,描述了一个安全控制策略属于接收策略还是拒绝策略,定义了策略安全规则中的策略生效条件,以及在部署环境中的执行方式;target:定义了一个策略生效所针对的目标,target元素是policy元素的组成部分或rule元素的组成部分;作为policy元素的组成部分时,定义了目标所属的服务互联网安全架构层级以及对应具体资源;作为rule元素的组成部分时,定义了目标被选择的条件;matchfunction:定义了目标满足要求的条件,包含变量、运算关系和常量,通过以上三个参数描述一个资源所处的状态;condition:定义了各类策略在平台中实现的条件,存储与平台中间件相关的策略相关信息;effect:定义了策略的动作,包括允许或拒绝两种;description:用于描述策略的相关信息;步骤s3、安全控制策略解析及冲突检测服务互联网平台通过策略引擎解析策略,并且检测相关的策略当中是否存在冲突,其中:策略的冲突分为层内的策略冲突和层间的策略冲突,当判断同级策略冲突时,检测不同的策略在属性补全的情况下是否有不同维度的属性值相互覆盖的情况;当检测不同层级的冲突时,根据服务互联网平台部署的树形结构,进行深度优先遍历,当一个非叶子节点的新增或者修改安全控制策略时,都需要判断是否存在不同层级的策略冲突,对于允许和拒绝策略,对于冲突的判定如下:对于允许策略:如果上层属性值包含下层属性值则不存在冲突,否则存在;对于拒绝策略:如果下层属性值包含上层属性值则不存在冲突,否则存在;步骤s4、安全控制策略部署针对安全控制策略的解析结果,对安全控制策略进行部署,部署安全控制策略依靠两种安全控制策略模式:直接利用请求头的安全控制模式和基于控制中心的安全控制模式,其中:1、直接利用请求头的安全控制模式:用户在进行登录认证后会在请求头中携带有相关信息,这些信息包含了用户的身份以及一些对应的属性,平台安全管理员可以根据这些属性信息直接指定访问安全控制策略,用户在访问每一个实例时实例都会根据平台给出的安全控制策略验证用户的访问信息,如果验证成功则授权访问,否则拒绝访问;2、基于控制中心的安全控制模式:在策略引擎中设置控制中心,如果请求头中附带的信息表示用户认证授权需要经过额外的信息验证,则用户的访问请求被重新路由到控制中心,控制中心根据安全控制策略中的函数请求响应的参数,判断当前用户访问是否满足安全控制策略的要求,如果满足要求则请求被重新路由到响应的策略当中,否则访问请求将被拒绝。
4.相比于现有技术,本发明具有如下优点:本发明完成了服务互联网平台的架构设计、安全控制策略设计、安全控制策略解析和部署,考虑到了服务互联网平台多层级的复杂部署架构以及各类服务异构的特点,克服了当前技术没有考虑平台多层级结构以及控制粒度粗的缺点,实现了对服务互联网平台细粒度的安全控制。
附图说明
5.图1为服务互联网平台架构示意图;图2为安全控制策略类图;图3为服务互联网平台安全架构图;图4为服务互联网安全控制场景描述图。
具体实施方式
6.下面结合附图对本发明的技术方案作进一步的说明,但并不局限于此,凡是对本发明技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,均应涵盖在本发明的保护范围中。
7.本发明提供了一种面向服务互联网的多层次零信任安全控制方法,所述方法包括如下步骤:步骤s1、基于零信任机制的服务互联网安全框架设计针对当前服务互联网平台的部署结构和安全控制需求,本发明设计了包含平台、节点、服务器、服务、实例的五层服务互联网平台安全框架,如图1所示。基于零信任的安全机制需要能够针对每一层涉及的各种资源进行细粒度的控制。
8.整个互联网服务平台作为整体的平台层级,包含了平台内所有可以访问的资源;一个服务互联网平台下包含多个节点,不同的节点部署在不同的地区,所有的服务都部署在不同节点的服务器当中,一个服务可以包含一个或者多个服务实例,其中,平台层面、节点层面、服务层面为用户可见,和业务关系紧密;不同级别的用户对于平台、节点和服务的访问权限不尽相同,而服务器层面和实例层面针对部署结构考虑,根据服务治理的相关策略对这两层次的资源进行修改。
9.在服务互联网平台当中,不同的服务的部署结构也不尽相同,服务可能包含一个或多个服务实例,不同的服务也可能独享或者共享数据库。同时,在服务互联网平台当中,不仅有外部用户对平台的访问,平台中的服务也存在互相调用的情况,这些调用可能是位于同一个服务器下的服务,也存在跨服务器、跨节点的服务调用,也会存在调用平台外部云服务的情况。服务互联网平台安全架构的设计需要满足不同的服务部署和调用情况,对不同层级的资源进行安全管理。
10.在五层架构当中,平台安全管理员可以设定针对任何一个层级的安全控制策略,利用策略引擎解析存储相应的策略,当用户访问平台中的某些资源时,会自上而下的检索平台当中的安全控制策略,只有当访问满足了每一层的要求时,访问才会被允许,因此上层的安全控制策略会对下层资源造成影响。在安全控制策略模型中需要定义相关的表示方法、存储方法以及冲突检测方法。
11.在五层架构当中,平台层面、节点层面、服务层面是直接和用户及业务相关的,针对以上三层需要从服务互联网业务角度设计安全控制策略。而服务器层和实例层对用户和业务角度来说是透明的,但是在服务治理的角度,调整服务器和实例的部署情况是最常用的手段,安全控制策略需要保障服务治理手段的有效运行。
12.步骤s2、面向服务互联网的安全控制策略模型设计平台的安全控制策略模型基于xacml可扩展访问控制标记语言实现。针对服务互
联网平台安全控制中多层细粒度的控制需求,设计了一种安全控制策略模型,方便策略引擎进行解析。主要用于描述基于规则的安全控制策略,包含了策略的所属集合、规则、目标、匹配条件,动作、描述等元素。描述语言的指定方便了策略的指定以及策略引擎的集中存储和管理。
13.图2给出了安全控制模型类图。安全控制策略模型主要包含以下几种元素:policyset:安全控制策略集,是一些安全控制策略的集合,一个安全控制策略集中可以包含一个或多个安全控制策略,也可以包含一个或多个安全控制策略集。在服务互联网平台当中,实例作为安全控制的最基本单元,针对一个实例的所有安全控制策略包含在同一个策略集当中。服务的安全控制策略集中包含了针对该服务的所有策略以及服务下属实例对应的策略集。同样,上层服务器、节点、平台的安全控制策略级中也包含了针对本级资源的策略集和针对下层其包含资源的策略集。
14.policy:安全控制策略,描述一个安全控制策略的基本单元。策略中包含了rule、target、description三种元素。分别包含了策略规则、目标和基本描述的相关信息。
15.rule:安全规则,描述了一个安全控制策略属于接收策略还是拒绝策略,定义了策略安全规则中的策略生效条件,以及在部署环境中的执行方式。
16.target:定义了一个策略生效所针对的目标,target元素可以是policy元素的组成部分,也可以是rule元素的组成部分。作为policy元素的组成部分时,定义了目标所属的服务互联网安全架构层级以及对应具体资源。作为rule元素的组成部分时,定义了目标被选择的条件。
17.matchfunction:定义了目标满足要求的条件,包含了变量、运算关系和常量,通过以上三个参数描述一个资源所处的状态。
18.condition:定义了各类策略在平台中实现的条件,存储与平台中间件相关的策略相关信息。
19.effect:定义了策略的动作,包括允许或拒绝两种。
20.description:用于描述策略的相关信息,不在策略解析和执行中直接起作用。
21.步骤s3、安全控制策略解析及冲突检测服务互联网平台通过策略引擎解析策略,并且检测相关的策略当中是否存在冲突。在平台管理者不断完善其安全控制策略的过程中,策略的冲突是不可避免的,平台安全管理员在指定新的安全控制策略时可能会忽略之前的安全控制策略,同时,在策略的定义过程中,由于平台的五层架构中都存在安全控制策略,因此手工定义策略的过程中平台安全管理员往往难以顾全不同层级之前的策略,因此需要实现策略的冲突检测,再由平台安全管理员决定如何处理这些冲突。
22.策略的冲突可以分为两种:层内的策略冲突和层间的策略冲突。对于层内的策略冲突即针对同一个目标的相同动作的增加或修改,不同动作的忽略或者覆盖,属于较为简单的策略冲突。层间的策略冲突是由于上层的安全控制策略对下层具有限制作用,例如服务层如果拒绝某一类会话的访问,那么即使实力层允许了这类会话实际在访问的过程中访问也会被拒绝。
23.在冲突检测的过程中,不同的请求头和不同的函数都可以看作是策略在某一个维度的属性值,这一属性值可以是离散的也可以是连续的。一部分冲突是显而易见的,两个策
略针对同一个属性做出了不同的判断,然而大部分冲突都是隐式的冲突,不同的策略针对同一个目标的不同属性做出了不同的动作,因此需要做出属性的补全,认为一个策略中未被提及的属性不论取值如何都会执行该策略的动作。
24.因此,当判断同级策略冲突时,就是检测不同的策略在属性补全的情况下是否有不同维度的属性值相互覆盖的情况。检测不同层级的冲突时,需要根据服务互联网平台部署的树形结构,进行深度优先遍历,由于所有的策略最终都会对应到某一个实例,即存储在叶子节点当中。当一个非叶子节点的新增或者修改安全控制策略时,都需要判断是否存在不同层级的策略冲突,而对于允许和拒绝策略,对于冲突的判定是不同的。
25.对于允许策略:如果上层属性值包含下层属性值则不存在冲突,否则存在。
26.对于拒绝策略:如果下层属性值包含上层属性值则不存在冲突,否则存在。
27.步骤s4、安全控制策略部署针对安全控制策略的解析结果,对安全控制策略进行部署,目前平台部署安全控制策略主要依靠两种安全控制策略模式:直接利用请求头的安全控制模式和基于控制中心的安全控制模式,基于目前主流的kubernetes、istio等中间件,将策略部署在平台当中。
28.1、直接利用请求头的安全控制模式:用户在进行登录认证后会在请求头中携带有相关信息,这些信息包含了用户的身份以及一些对应的属性,平台安全管理员可以根据这些属性信息直接指定安全控制策略,用户在访问每一个实例时实例都会根据平台给出的安全控制策略验证用户的访问信息,如果验证成功则授权访问,否则拒绝访问,验证和授权的过程对用户是透明的,只要用户状态不发生改变,就只需在访问平台时输入登录信息,在访问各个服务及服务实例时会自动验证。
29.2、基于控制中心的安全控制模式:一些动态数据是无法直接附带在请求头信息中的,因此在策略引擎中设置了控制中心,如果请求头中附带的信息表示用户认证授权需要经过额外的信息验证,则用户的访问请求会被重新路由到控制中心,控制中心会根据安全控制策略中的函数请求响应的参数,判断当前用户访问是否满足安全控制策略的要求,如果满足要求则请求会被重新路由到响应的策略当中,否则访问请求将会被拒绝。
30.本发明中,服务互联网平台安全架构如图3所示,图3左侧为服务互联网平台的五层部署结构,右侧为安全部署结构,主要包含以下几个模块:用户登录认证模块、策略引擎模块、策略文件管理模块、安全控制前端和情境感知模块,其中:用户登录模块:主要用于获取用户登录信息,并且收集访问相关上下文信息,以支持基于身份和属性的安全控制策略。
31.安全控制前端:用户展示和管理所有的安全控制策略。
32.策略执行引擎模块:解析并且部署安全控制策略,对用户的访问请求做出判断和响应,并与平台相关中间件进行交互。
33.策略文件管理模块:获取并存储安全控制策略,同时完成安全控制策略的交互和分析。
34.动态情境感知模块:收集平台产生的访问控制相关的业务信息以及访问过程中的动态情境数据。
35.应用实例:平台层面:平台仅允许通过认证的用户访问平台的相关服务资源,如图4中所示,老人和平台安全管理员需要经过身份信息和上下文信息的认证后才可以访问平台,游客登录平台后无法进行进一步的操作。又如图4中的缴费、在线问诊服务不是部署在本平台中,而是调用了外部的api,平台层的策略定义了内部的服务和外部的服务交互是否被允许。
36.节点层面:以老人身份登录后,一些资源为公共资源,如图4中的保姆信息查看等,平台安全管理员可以设置本节点用户只允许访问本届点的相关公共服务。又如用户被授予的保姆预约服务的访问权限,但是保姆预约服务在各个节点均有分布,如果没有做出访问控制和安全认证,用户可能会从非本节点进行保姆预约,平台安全管理员可以设置管理策略,仅允许用户访问本节点的对应资源。
37.服务器层面:当平台负载过大时,需要拒绝低等级用户的访问,平台安全管理员可以设计安全认证策略,监控服务器的cpu利用率、内存利用率等信息,当利用率到达阈值时,拒绝游客用户访问相关服务。
38.服务层面:如图4中的健康指导、健康周报等服务,只有当为用户生成服务方案后,该用户才拥有了这一服务的访问权限,平台安全管理员可以在安全访问策略中设置对应的策略,查询某个老人的服务方案中是否包含了健康指导服务,如果包含,老人可以访问该服务方案。又如,当老师选择的保姆相关的服务方案时,老人拥有了查看保姆订单、评价保姆等服务的访问权限,而保姆拥有对应老人的服务日志登记的访问权限,护工公司拥有了对上述服务的查询权限等。
39.实例层面:同一个服务的不同实例可能负责不同的具体业务,平台安全管理员可以定义具体的实例允许被哪些用户访问,如老人1可以访问关于外科的健康指导服务实例1,老人2可以访问关于内科的健康指导服务实例2。
技术特征:
1.一种面向服务互联网的多层次零信任安全控制方法,其特征在于所述方法包括如下步骤:步骤s1、基于零信任机制的服务互联网平台安全框架设计针对当前服务互联网平台的部署结构和安全控制需求,设计包含平台、节点、服务器、服务、实例的五层服务互联网平台安全框架,基于零信任的安全机制对每一层涉及的各种资源进行细粒度控制;步骤s2、面向服务互联网的安全控制策略模型设计安全控制策略模型基于xacml可扩展访问控制标记语言实现,包含以下几种元素:policyset:安全控制策略集,是一些安全控制策略的集合,一个实例的所有安全控制策略包含在同一个策略集当中,服务的安全控制策略集中包含针对该服务的所有策略以及服务下属实例对应的策略集,上层服务器、节点、平台的安全控制策略级中包含针对本级资源的策略集和针对下层其包含资源的策略集;policy:安全控制策略,描述一个安全控制策略的基本单元,包含rule、target、description三种元素,分别包含策略规则、目标和基本描述的相关信息;rule:安全规则,描述了一个安全控制策略属于接收策略还是拒绝策略,定义了策略安全规则中的策略生效条件,以及在部署环境中的执行方式;target:定义了一个策略生效所针对的目标,target元素是policy元素的组成部分或rule元素的组成部分;作为policy元素的组成部分时,定义了目标所属的服务互联网安全架构层级以及对应具体资源;作为rule元素的组成部分时,定义了目标被选择的条件;matchfunction:定义了目标满足要求的条件,包含变量、运算关系和常量,通过以上三个参数描述一个资源所处的状态;condition:定义了各类策略在平台中实现的条件,存储与平台中间件相关的策略相关信息;effect:定义了策略的动作,包括允许或拒绝两种;description:用于描述策略的相关信息;步骤s3、安全控制策略解析及冲突检测服务互联网平台通过策略引擎解析策略,并且检测相关的策略当中是否存在冲突;步骤s4、安全控制策略部署针对安全控制策略的解析结果,对安全控制策略进行部署。2.根据权利要求1所述的面向服务互联网的多层次零信任安全控制方法,其特征在于所述步骤s3中,策略的冲突分为层内的策略冲突和层间的策略冲突,当判断同级策略冲突时,检测不同的策略在属性补全的情况下是否有不同维度的属性值相互覆盖的情况;当检测不同层级的冲突时,根据服务互联网平台部署的树形结构,进行深度优先遍历,当一个非叶子节点的新增或者修改安全控制策略时,都需要判断是否存在不同层级的策略冲突,对于允许和拒绝策略,对于冲突的判定如下:对于允许策略:如果上层属性值包含下层属性值则不存在冲突,否则存在;对于拒绝策略:如果下层属性值包含上层属性值则不存在冲突,否则存在。3.根据权利要求1所述的面向服务互联网的多层次零信任安全控制方法,其特征在于所述步骤s4中,部署安全控制策略依靠两种安全控制策略模式:直接利用请求头的安全控
制模式和基于控制中心的安全控制模式。4.根据权利要求3所述的面向服务互联网的多层次零信任安全控制方法,其特征在于所述直接利用请求头的安全控制模式中,用户在进行登录认证后会在请求头中携带有相关信息,这些信息包含了用户的身份以及一些对应的属性,平台安全管理员可以根据这些属性信息直接指定安全控制策略,用户在访问每一个实例时实例都会根据平台给出的安全控制策略验证用户的访问信息,如果验证成功则授权访问,否则拒绝访问。5.根据权利要求3所述的面向服务互联网的多层次零信任安全控制方法,其特征在于所述2基于控制中心的安全控制模式中,在策略引擎中设置控制中心,如果请求头中附带的信息表示用户认证授权需要经过额外的信息验证,则用户的访问请求被重新路由到控制中心,控制中心根据安全控制策略中的函数请求响应的参数,判断当前用户访问是否满足安全控制策略的要求,如果满足要求则请求被重新路由到响应的策略当中,否则访问请求将被拒绝。
技术总结
本发明公开了一种面向服务互联网的多层次零信任安全控制方法,所述方法包括如下步骤:步骤S1、基于零信任机制的服务互联网平台安全框架设计;步骤S2、面向服务互联网的安全控制策略模型设计;步骤S3、安全控制策略解析及冲突检测;步骤S4、安全控制策略部署。本发明完成了服务互联网平台的架构设计、安全控制策略设计、安全控制策略解析和部署,考虑到了服务互联网平台多层级的复杂部署架构以及各类服务异构的特点,克服了当前技术没有考虑平台多层级结构以及控制粒度粗的缺点,实现了对服务互联网平台细粒度的安全控制。务互联网平台细粒度的安全控制。务互联网平台细粒度的安全控制。
