[发明专利]一种零信任SDN网络中的用户信任度量方法

说明书

本发明实施例公开了一种零信任SDN网络中的用户信任度量方法，在SDN网络中采取系统化、细颗粒度的访问控制，基于零信任安全架构的主要思想，设计网络资源访问的控制机制，创新性地提出了一种基于用户行为零信任度量值的访问控制方法，在SDN网络控制平面中置入零信任决策实体，对用户的每一次访问行为进行智能化精细化的访问控制，实现了虚拟网络中的资源安全保护。在未来企业和政府做数字化转型中具有非常重要的意义。

技术领域

本发明虚拟网络技术领域，具体涉及一种零信任SDN网络中的用户信任度量方法。

背景技术

随着虚拟化标准的逐步成熟和完善，网络的快速部署、灵活的调整变成可能，NFV(Network Function Virtualization，网络功能虚拟化)技术应运而生。NFV使用虚拟化技术，为设计、部署、管理网络服务提供了一种新方法。NFV的主要思想是解耦物理网络设备和运行于它之上的网络功能，意味着1个网络功能(如防火墙)可以当成是普通软件的1个实例。这样就可以合并大量的网络设备到高容量的服务器中。对于1个给定的服务可以分解为多个虚拟网络功能VNFs(Virtual Network Functions)，这些VNF可以用软件实现并运行于通用服务器之上，能够方便地部署于网络的不同地方而不用购置和安装新的硬件。

利用虚拟化技术可以实现高效灵活的资源管理，因此在企业内部的云平台上得到广泛应用。而企业不仅存在多个内部网络，还存在通过远程连接本地网络基础设施的远程办公室、移动用户以及云服务。这种复杂性已经超越了传统基于网络边界防护的安全方法，因为企业已经没有简单、容易识别的网络边界。传统基于边界的网络安全防护逐渐被证明是不够的，局限性正日益凸显，一旦攻击者突破企业网络边界防护，便可以在内部网络中进一步横向移动进行攻击破坏，不受阻碍和控制。

上述网络基础设施的复杂性促进了网络安全原则和安全模型的创新与发展，“零信任”(Zero Trust,ZT)技术应运而生。零信任技术从重点关注企业数据资源的保护，逐渐扩展到对企业的设备、基础设施和用户等所有网络资源的保护。零信任安全模型假设攻击者可能出现在企业内部网络，企业内部网络基础设施与其它外部网络一样，面临同样的安全威胁，也容易受到攻击破坏，并不具有更高的可信度。在这种情况下，企业必须不断地分析和评估其内部网络和业务功能面临的安全风险，提升网络安全防护能力来降低风险。在零信任中，通常涉及将数据、计算和应用程序等网资源的访问权限最小化，只对那些必须用户和资产开启访问权限进行授权访问，并持续对每个访问请求者的身份和安全状态进行身份验证和授权。

用户访问资源的行为是零信任安全架构体系的一个极为重要的监管因素，本发明提供基于用户访问行为的方法在SDN网络中采取系统化、细颗粒度的访问控制，基于零信任安全架构的主要思想，设计网络资源访问的控制机制，创新性地提出了一种基于用户行为零信任度量值的访问控制方法，实现在SDN南向协议Openflow流表的智能化精细访问控制，在未来企业和政府做数字化转型中具有重要的意义。

发明内容

为此，本发明实施例提供一种零信任SDN网络中的用户信任度量方法及系统，以解决现有技术中的问题。

为了实现上述目的，本发明实施例提供如下技术方案：

根据本发明实施例公开的一种零信任SDN网络中的用户信任度量方法，其特征在于，包括以下步骤：第一.在虚拟网络控制平面中创建零信任决策实体，在零信任决策实体中为虚拟网络中的需要进行保护的资源进行安全等级划分，并为每一等级资源设置信任访问准入门限；

第二.在零信任决策主体中为每一用户创建初始信任度量值，并为初次虚拟网络系统授权验证的用户分配存储空间，用于存储该用户的访问历史信息；

第三.结合SDN网络的特点，用户行为信任度量值选取了SDN网络中南向协议openflflow支持计量的部分指标，使度量指标易于获取基于用户在虚拟网络中保存的信任度量值，利用计算周期T内的网络访问行为计算该用户本次访问资源的信任度值；