[发明专利]一种基于上下文的虚拟网络零信任方法

说明书

本发明实施例公开了一种基于上下文的虚拟网络零信任方法，对零信任虚拟网络中的主体用户以及被访问的资源根据每一次访问的上下文信息进行信任度度量，对信任度度量值超过预先设定的阈值的访问，可在隐式信任区访问该资源，否则系统有权拒绝该用户的本次资源访问，并降低其访问的信任度量值本发明提供的方法通过用户在零信任网络环境中构建上下文信任度量方法，可有效地阻止通过企业内部虚拟网络横向攻击，确保虚拟网络环境中的资源安全。本发明提供的方法在企业数字化转型应用中具有较为重要的意义。

技术领域

本发明虚拟网络技术领域，具体涉及一种基于上下文的虚拟网络零信任方法。

背景技术

随着虚拟化标准的逐步成熟和完善，网络的快速部署、灵活的调整变成可能，NFV(Network Function Virtualization，网络功能虚拟化)技术应运而生。NFV使用虚拟化技术，为设计、部署、管理网络服务提供了一种新方法。NFV的主要思想是解耦物理网络设备和运行于它之上的网络功能，意味着1个网络功能(如防火墙)可以当成是普通软件的1个实例。这样就可以合并大量的网络设备到高容量的服务器中。对于1个给定的服务可以分解为多个虚拟网络功能VNFs(Virtual Network Functions)，这些VNF可以用软件实现并运行于通用服务器之上，能够方便地部署于网络的不同地方而不用购置和安装新的硬件。

利用虚拟化技术可以实现高效灵活的资源管理，因此在企业内部的云平台上得到广泛应用。而企业不仅存在多个内部网络，还存在通过远程连接本地网络基础设施的远程办公室、移动用户以及云服务。这种复杂性已经超越了传统基于网络边界防护的安全方法，因为企业已经没有简单、容易识别的网络边界。传统基于边界的网络安全防护逐渐被证明是不够的，局限性正日益凸显，一旦攻击者突破企业网络边界防护，便可以在内部网络中进一步横向移动进行攻击破坏，不受阻碍和控制。

上述网络基础设施的复杂性促进了网络安全原则和安全模型的创新与发展，“零信任”(Zero Trust,ZT)技术应运而生。零信任技术从重点关注企业数据资源的保护，逐渐扩展到对企业的设备、基础设施和用户等所有网络资源的保护。零信任安全模型假设攻击者可能出现在企业内部网络，企业内部网络基础设施与其它外部网络一样，面临同样的安全威胁，也容易受到攻击破坏，并不具有更高的可信度。在这种情况下，企业必须不断地分析和评估其内部网络和业务功能面临的安全风险，提升网络安全防护能力来降低风险。在零信任中，通常涉及将数据、计算和应用程序等网资源的访问权限最小化，只对那些必须用户和资产开启访问权限进行授权访问，并持续对每个访问请求者的身份和安全状态进行身份验证和授权。

零信任体系(Zero Trust System,ZTS)是一种基于零信任原则建立的企业网络安全策略，旨在防止企业内部数据泄露，限制内部攻击者横向移动和攻击破坏。本发明利用用户访问企业内部虚拟网络资源的上下文关系，比如用户发生连续多次访问不具有权限的资源，或者访问地域发生瞬间漂移，即使该用户身份的授权是正确的，也将被本发明提供的方法认为是不被信任的，需要根据虚拟网络中的零信任机制再次授权，方可访问该资源。本发明提供的方法根据用户访问资源的上下文逻辑，排除了潜在的可能来自内部网络攻击，在企业数字化转型浪潮中，具有非比寻常的意义。

发明内容

为此，本发明实施例提供一种基于上下文的虚拟网络零信任方法及系统，以解决现有技术中的问题。

为了实现上述目的，本发明实施例提供如下技术方案：

根据本发明实施例公开的一种基于上下文的虚拟网络零信任方法，其特征在于，包括以下步骤：对零信任虚拟网络中的主体用户以及被访问的资源根据每一次访问的上下文信息进行信任度度量，对信任度度量值超过预先设定的阈值的访问，可在隐式信任区访问该资源，否则系统有权拒绝该用户的本次资源访问，并降低其访问的信任度度量值；

在虚拟网络控制平面中构建零信任策略决策点和策略执行点；