[发明专利]基于零信任的终端控制方法、系统及装置

说明书

本申请实施例提供了基于零信任的终端控制方法、系统及装置。本申请实施例中，通过对物联网系统中终端上应用的安全状态进行监控、对终端的通信链路的安全状态进行监控、以及物联网系统外部与终端相关联的安全风险的监控来动态调整终端的身份与访问控制策略，以实现基于零信任的终端控制。

技术领域

本申请涉及物联网，特别涉及基于零信任的终端控制方法、系统及装置。

背景技术

对于整个物联网系统，其有大量终端。可选地，这里的终端可包含前端设备比如网络摄像机（IPC：IP Camera）、网络视频录像机（NVR：Network Video Recorder）、无人机等，也可包含后端设备比如管理节点、服务节点等。以视频物联网为例，上述的终端如视频采集节点、感知节点（如无人机等）、设备管理节点、流媒体服务节点、云存储服务节点等。

在物联网系统中，任一终端被身份仿冒和攻击，都会造成敏感数据泄漏，导致严重的隐私安全问题和网络安全事件。

发明内容

本申请实施例提供了基于零信任的终端控制方法、系统及装置，以实现基于零信任的终端控制。

本申请实施例提供一种基于零信任的终端控制方法，该方法应用于物联网系统中新部署的终端控制中心，所述终端控制中心管理的各终端中部署了安全代理，不同VLAN内的终端使用控制网关交互，该方法包括：

获得终端通过已部署的安全代理注册的终端指纹信息，依据所述终端注册至所述终端控制中心的终端指纹信息生成终端安全策略，将所述终端安全策略下发至所述终端；所述终端指纹信息用于表征终端；

获得所述终端通过已部署的安全代理上报的终端安全状态事件；所述终端安全状态事件是由所述安全代理基于接收的所述终端安全策略检测出所述终端的安全状态发生异常时上报的；

获得所述控制网关检测出的所述终端的通信链路安全状态事件；

获得所述物联网系统外部的外部安全状态信息；

依据所述终端安全状态事件、所述通信链路安全状态事件、所述外部安全状态信息生成所述终端的安全状态画像，确定与所述安全状态画像匹配的身份与访问控制策略作为所述终端的身份与访问控制策略，下发所述身份与访问控制策略至所述终端和所述控制网关；所述身份与访问控制策略至少包括所述终端的身份认证策略，以及所述终端的访问控制策略。

本申请实施例提供一种终端控制方法，该方法应用于物联网系统中的终端，所述终端中部署了安全代理，所述终端通过所述物联网系统中已部署的控制网关与其他VLAN内的终端交互，该方法包括：

通过安全代理注册终端指纹信息至所述物联网系统中新部署的终端控制中心；所述终端指纹信息用于表征终端；

获得所述终端控制中心依据所述终端指纹信息生成的终端安全策略；

通过安全代理在内核层基于所述终端安全策略从不同维度检测所述终端的安全状态，所述不同维度至少包括：系统关键文件路径、进程、网络连接、操作系统、应用；

在检测到所述终端的安全状态发生异常时通过安全代理上报所述终端安全状态事件至所述终端控制中心，以由所述终端控制中心依据所述终端安全状态事件、已获得的所述终端的通信链路安全状态事件、以及已获得的外部安全状态信息生成所述终端的安全状态画像，并确定与所述安全状态画像匹配的身份与访问控制策略作为所述终端的身份与访问控制策略。

本申请实施例提供一种终端控制系统，该系统包括：物联网系统中新部署的终端控制中心、由所述终端控制中心管理的至少一个终端、以及控制网关；所述终端中部署了安全代理；各VLAN内的终端使用控制网关交互；

所述终端控制中心按照如上第一种方法执行；

所述终端按照如上第二种方法执行；