[发明专利]一种基于零信任的安全防护方法、网络及装置

说明书

本发明提供一种基于零信任的安全防护方法、网络及装置，涉及网络技术领域。安全防护方法包括：接收终端上报的第一同步信息，由当前轮训的蜜罐系统将其所存储的第二同步信息与接收的第一同步信息进行比对，其中，所述终端为请求访问时通过零信任网关认证的终端；根据比对结果确定安全防护措施。安全防护方法可解决现有技术中零信任网关存在单点失陷的风险，导致基于零信任的企业资源的访问网络面临安全威胁的问题，提高企业网络安全。

技术领域

本发明涉及网络技术领域，尤其涉及一种基于零信任的安全防护方法、网络及装置。

背景技术

企业的数据资源或者资产的重要性越来越凸显，而零信任机制能够增强企业资源的安全访问，其理念是“永不信任，持续验证”。验证是零信任的基础与重点，验证常采用基于多因素的身份认证，包括使用身份、凭证及访问管理和多因素认证等技术，并持续监测和验证用户可信度，以管理其访问和权限。无论使用何种认证技术，其本质均是基于终端的“真实性”。随着深度伪造技术的发展，如人的一些生物特征被完全地伪造，可能在多因素认证方面通过生物认证和其他获取权限的方法组合骗取零信任的第一道防线访问控制点。例如，攻击者窃取了终端的访问信息，再加上伪造的生物特征便可轻易骗过零信任第一道防线访问控制点。一旦通过零信任认证，企业资源将完全暴露在攻击者面前。

由于零信任网关在遭遇深度伪造技术时存在单点失陷的风险，故导致基于零信任的企业资源的访问网络面临安全威胁。

发明内容

本发明所要解决的技术问题是针对现有技术的上述不足，提供一种基于零信任的安全防护方法、网络及装置，以至少解决相关技术中存在的零信任网关存在单点失陷的风险，导致基于零信任的企业资源的访问网络面临安全威胁的问题，能提高企业网络安全。

第一方面，本发明提供一种基于零信任的安全防护方法，包括：接收终端上报的第一同步信息，由当前轮训的蜜罐系统将其所存储的第二同步信息与接收的第一同步信息进行比对，其中，所述终端为请求访问时通过零信任网关认证的终端；根据比对结果确定安全防护措施。

优选地，在所述接收终端上报的第一同步信息之前，基于零信任的安全防护方法还包括：响应于所述终端的首次访问请求，向所述终端下发同步参数，同步参数包括时钟同步、密钥、蜜罐编号及轮训规则，其中，密钥内置于所述终端的可信环境。

优选地，第一同步信息包括当前时刻、当前时刻对应的蜜罐编号，以及第一密钥，第二同步信息包括当前时刻和第二密钥。

优选地，所述根据比对结果确定安全防护措施，具体包括：响应于比对结果匹配，允许所述终端访问资源，响应于比对结果不匹配，判定所述终端是否可信，并根据判定结果进一步确定安全防护措施。

优选地，所述比对结果不匹配包括预设时长内未接收到第一同步信息，或第一同步信息与第二同步信息不一致。

优选地，所述响应于比对结果不匹配，判定所述终端是否可信，并根据判定结果进一步确定安全防护措施，具体包括：响应于预设时长内未接收到第一同步信息，判定所述终端可疑，并为所述终端动态编排蜜罐系统，以诱捕所述终端的访问信息；响应于第一同步信息与第二同步信息不一致，再次获取所述终端的第一同步信息；响应于再次获取的第一同步信息与当前轮训的蜜罐系统所存储的第二同步信息一致，判定所述终端可信，并允许所述终端访问资源，若否，判定所述终端不可信，拒绝所述终端访问资源。

优选地，在为所述终端动态编排蜜罐系统，以诱捕所述终端的访问信息之后，基于零信任的安全防护方法还包括：响应于所述终端的访问信息的容量达到第一阈值，对所述终端进行追踪和溯源，并将其列入黑名单。

优选地，在为所述终端动态编排蜜罐系统，以诱捕所述终端的访问信息之后，基于零信任的安全防护方法还包括：计算所述终端的访问信息与威胁情报库的特征信息之间的匹配度，响应于匹配度达到第二阈值，发出预警命令。