申请/专利权人：哈尔滨工业大学

申请日：2022-10-24

公开（公告）日：2024-06-07

公开（公告）号：CN115622785B

主分类号：H04L9/40

分类号：H04L9/40

优先权：

专利状态码：有效-授权

法律状态：2024.06.07#授权;2023.02.10#实质审查的生效;2023.01.17#公开

摘要：本发明公开了一种面向服务互联网的多层次零信任安全控制方法，所述方法包括如下步骤：步骤S1、基于零信任机制的服务互联网平台安全框架设计；步骤S2、面向服务互联网的安全控制策略模型设计；步骤S3、安全控制策略解析及冲突检测；步骤S4、安全控制策略部署。本发明完成了服务互联网平台的架构设计、安全控制策略设计、安全控制策略解析和部署，考虑到了服务互联网平台多层级的复杂部署架构以及各类服务异构的特点，克服了当前技术没有考虑平台多层级结构以及控制粒度粗的缺点，实现了对服务互联网平台细粒度的安全控制。

主权项：1.一种面向服务互联网的多层次零信任安全控制方法，其特征在于所述方法包括如下步骤：步骤S1、基于零信任机制的服务互联网平台安全框架设计针对当前服务互联网平台的部署结构和安全控制需求，设计包含平台、节点、服务器、服务、实例的五层服务互联网平台安全框架，基于零信任的安全机制对每一层涉及的各种资源进行细粒度控制；步骤S2、面向服务互联网的安全控制策略模型设计安全控制策略模型基于XACML可扩展访问控制标记语言实现，包含以下几种元素：PolicySet：安全控制策略集，是一些安全控制策略的集合，一个实例的所有安全控制策略包含在同一个策略集当中，服务的安全控制策略集中包含针对该服务的所有策略以及服务下属实例对应的策略集，上层服务器、节点、平台的安全控制策略级中包含针对本级资源的策略集和针对下层其包含资源的策略集；Policy：安全控制策略，描述一个安全控制策略的基本单元，包含Rule、Target、Description三种元素，分别包含策略规则、目标和基本描述的相关信息；Rule：安全规则，描述了一个安全控制策略属于接收策略还是拒绝策略，定义了策略安全规则中的策略生效条件，以及在部署环境中的执行方式；Target：定义了一个策略生效所针对的目标，Target元素是Policy元素的组成部分或Rule元素的组成部分；作为Policy元素的组成部分时，定义了目标所属的服务互联网安全架构层级以及对应具体资源；作为Rule元素的组成部分时，定义了目标被选择的条件；MatchFunction：定义了目标满足要求的条件，包含变量、运算关系和常量，通过变量、运算关系和常量三个参数描述一个资源所处的状态；Condition：定义了各类策略在平台中实现的条件，存储与平台中间件相关的策略相关信息；Effect：定义了策略的动作，包括允许或拒绝两种；Description：用于描述策略的相关信息；步骤S3、安全控制策略解析及冲突检测服务互联网平台通过策略引擎解析策略，并且检测相关的策略当中是否存在冲突，其中：策略的冲突分为层内的策略冲突和层间的策略冲突，当判断同级策略冲突时，检测不同的策略在属性补全的情况下是否有不同维度的属性值相互覆盖的情况；当检测不同层级的冲突时，根据服务互联网平台部署的树形结构，进行深度优先遍历，当一个非叶子节点的新增或者修改安全控制策略时，都需要判断是否存在不同层级的策略冲突，对于允许和拒绝策略，对于冲突的判定如下：对于允许策略：如果上层属性值包含下层属性值则不存在冲突，否则存在；对于拒绝策略：如果下层属性值包含上层属性值则不存在冲突，否则存在；步骤S4、安全控制策略部署针对安全控制策略的解析结果，对安全控制策略进行部署。

全文数据：

权利要求：

百度查询： 哈尔滨工业大学 一种面向服务互联网的多层次零信任安全控制方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD