(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111438785.7 (22)申请日 2021.11.30 (71)申请人 中国大唐集团科 学技术研究总院有 限公司 地址 102211 北京市昌平区未来科技城定 泗路237号都市 绿洲309 (72)发明人 盛湘新　张玉哲　胡晓桐　贾斌　 张新莉　 (74)专利代理 机构 北京中南长风知识产权代理 事务所(普通 合伙) 11674 专利代理师 李青 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种智能化的零信任动态 授权方法 (57)摘要 本发明涉及一种智能化的零信任动态授权 方法， 包括： 终端网络安全性度量； 用户网络安全 性度量； 外部环境安全度量； 利用ABAC属性访 问 控制方法， 结合内部安全管理策略和规则， 形成 主体属性库、 客体属性库、 安全策略库； 基于用户 终端安全度量、 用户网络安全度量、 外部环境安 全度量和安全 策略库， 结合动态 安全策略授权计 算模型， 对用户访问资源的每一次访问行为进行 授权策略计算， 得到动态网络安全 策略授权计算 结果； 基于动态网络安全策略授权计算结果， 生 成主体单次访问客体动态授权列表； 动态授权执 行。 本发明能够在零信任架构中提供用户访问资 源过程中基于用户 、 终端设备、 外部环境等安全 值动态计算安全 策略授权， 为零信任访问提供支 撑技术。 权利要求书1页 说明书8页 附图3页 CN 114499922 A 2022.05.13 CN 114499922 A 1.一种智能化的零信任动态 授权方法， 其特 征在于， 包括如下步骤： 步骤1， 终端网络安全性度量： 通过终端代理自动采集、 分析、 计算终端安全现状数据， 包括终端安全合规数据、 终端脆弱性数据、 终端指纹及配置数据， 依据数据计算与评估方 法， 获取终端安全性 值； 步骤2， 用户网络安全性度量： 基于用户信 息通过计算与评估， 获取用户安全性值； 所述 用户信息包括用户口令及认证信息、 用户行为信息和用户的网络信息； 步骤3， 外 部环境安全度量 基于网络安全数据， 结合环境现状， 通过分析与计算， 获取外部环境安全值； 所述网络 安全数据由网络安全风险感知、 网络安全威胁情 报、 网络安全运维管理平台提供； 步骤4， 利用ABAC属性访问控制方法， 结合内部安全管理策略和规则， 形成主体属性库、 客体属性库、 安全策略库， 用于网络安全授权与访问控制； 步骤5， 基于用户终端安全度量、 用户网络安全度量、 外部环境安全度量和安全策略库， 结合动态安全策略授权计算模型， 对用户访问资源的每一次访问行为进行授权策略计算， 得到动态网络安全策略授权计算结果； 步骤6， 基于动态安全策略授权计算模型的动态网络安全策略授权计算结果， 生成主体 单次访问客体动态 授权列表； 步骤7， 利用动态 授权列表， 执 行访问客体网络安全授权， 访问相应的客体资源或系统。 2.根据权利要求1所述的智能化的零信任动态授权方法， 其特征在于， 步骤4中所述主 体属性库用于主体属性管理， 包括人、 应用程序、 NPE的属性管理， 其中的属性包括组织、 岗 位、 职责、 账号、 设备信息； 所述客体属性库用于客体属性管理， 所述客体属性为被访 问的各类资源的属性， 包括 应用系统、 IP地址、 时间、 安全等级、 数据分类分级； 所述安全策略库为依据主体属性和客体属性和管理要求形成的规则集。 3.根据权利要求1所述的智能化的零信任动态授权方法， 其特征在于， 步骤5中所述动 态安全策略授权计算模型采用网络安全风险计算方法， 对每次用户、 终端、 外部环境进行安 全计算， 结合安全策略库中的访问策略规则， 进 行安全策略授权的动态调整， 得到动态网络 安全策略授权计算结果。 4.根据权利要求 4所述的智能化的零信任动态 授权方法， 其特 征在于， 所述 步骤7包括： 利用动态授权列表， 建立动态安全策略PEP， 通过PEP执行用户单次授权策略， 开展相应 的客体业 务访问活动。权　利　要　求　书 1/1 页 2 CN 114499922 A 2一种智能化的零信任动态授权 方法 技术领域 [0001]本发明涉及网络安全技 术领域， 尤其涉及一种智能化的零信任动态 授权方法。 背景技术 [0002]网络安全已经历了40多年的发展， 从最早的防火墙、 防病毒技术开始到现在已有 几十种网络安全防护技术， 共同为企业构建网络安全防护体系。 但40多年的网络安全技术 发展未对当前的网络安全技术架构与理念提出新的思路或改进。 当前的网络安全防护体系 以边界为核心、 以纵深防护为手段， 持续安全建设。 存在隐式信任的风险和TCP/IP协议缺 陷， 使传统网络安全防护技术在新的网络环境， 如云计算、 大数据、 人工智能、 5 G、 IOT等方面 存在不足， 无法对企业当前提供 更可靠的安全防护技 术与架构。 [0003]2010年Forrester正式提出了 “零信任”(Zero Trust， ZT)。 经过近十年的探索， 零 信任的理论及实践不断完善， 逐渐从概念发展成为主流的网络安全技术架构 。 其安全理念： 1)网络无时无刻不处于危险的环境中； 2)网络中自始至终都存在外部或内部威胁； 3)网络 位置不足以决定网络的可信程度； 4)所有的设备、 用户和网络流量 都应当经过认证和授权； 5)安全策略必须 是动态的。 为 零信任技 术的发展提出明确的方向。 [0004]当前零信任已成为国际主流的网络安全防护架构与理念， 各国政府、 军队、 企业均 投入大量的人力、 财力实现内部网络安全防护零信任升级， 提升网络安全防护水平。 零信任 “永不信任、 始终验证 ”的理念已被广泛认可， 同时， 基于零信任理念对传统网络安全防护架 构提出完善， 更好的解决当前传统网络安全防护技术不 足， 同时， 为新的信息化环境提供更 安全的网络安全保障技术。 为成功实现零信任架构， 业界最佳实践或标准包括CSA发布的 《SDP》 规范标准2.0》 、 NIST(美国国家标准委员会)发布的 《零信任架构 ZTA》 白皮书和Google   BeyondCorp 项目。 在业界最佳实践或标准中， 均对动态访问策略提出明确的要求。 在传统网 络安全防护技术中， 对于动态安全策略授权是全新的技术与 理念， 对各企业实现零信任安 全防护带来挑战。 发明内容 [0005]本发明的目的是提供一种智能化的零信任动态授权方法， 用于在零信任架构中提 供用户访问资源过程中基于用户、 终端设备、 外部环境等安全值动态计算安全策略授权， 为 零信任访问提供支撑技 术。 [0006]本发明提供了一种智能化的零信任动态 授权方法， 包括如下步骤： [0007]步骤1， 终端网络安全性度量： 通过终端代理自动采集、 分析、 计算终端安全现状数 据， 包括终端安全合规数据、 终端脆弱性数据、 终端指纹及配置数据， 依据数据计算与评估 方法， 获取终端安全性 值； [0008]步骤2， 用户网络安全性度量： 基于用户信息通过计算与评估， 获取用户安全性值； 所述用户信息包括用户口令及认证信息、 用户行为信息和用户的网络信息； [0009]步骤3， 外 部环境安全度量说　明　书 1/8 页 3 CN 114499922 A 3