本發(fā)明涉及通信安全領(lǐng)域，尤其涉及一種衛(wèi)星網(wǎng)絡(luò)零信任安全防護(hù)方法及系統(tǒng)。

背景技術(shù)：

1、衛(wèi)星網(wǎng)絡(luò)或稱衛(wèi)星互聯(lián)網(wǎng)作為"新基建"，是我國(guó)未來(lái)信息基礎(chǔ)建設(shè)的重要組成部分，其安全重要性不言而喻。目前很多機(jī)構(gòu)對(duì)零信任及零信任安全防護(hù)架構(gòu)展開(kāi)研究，依據(jù)衛(wèi)星互聯(lián)網(wǎng)系統(tǒng)典型架構(gòu)，對(duì)衛(wèi)星平臺(tái)管控、衛(wèi)星數(shù)據(jù)傳輸及衛(wèi)星通信領(lǐng)域面臨的安全風(fēng)險(xiǎn)進(jìn)行分析，針對(duì)上述風(fēng)險(xiǎn)，提出基于零信任的衛(wèi)星互聯(lián)網(wǎng)安全防護(hù)架構(gòu)。

2、零信任代表了新一代的網(wǎng)絡(luò)安全防護(hù)理念，它的關(guān)鍵在于打破默認(rèn)的“信任”，用一句通俗的話來(lái)概括，就是“持續(xù)驗(yàn)證，永不信任”。默認(rèn)不信任企業(yè)網(wǎng)絡(luò)內(nèi)外的任何人、設(shè)備和系統(tǒng)，基于身份認(rèn)證和授權(quán)重新構(gòu)建訪問(wèn)控制的信任基礎(chǔ)，從而確保身份可信、設(shè)備可信、應(yīng)用可信和鏈路可信?；诹阈湃卧瓌t，可以保障辦公系統(tǒng)的三個(gè)“安全”：終端安全、鏈路安全和訪問(wèn)控制安全。傳統(tǒng)的網(wǎng)絡(luò)安全是基于防火墻的物理邊界防御，也就是為大眾所熟知的“內(nèi)網(wǎng)”。

3、然而，隨著云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新興技術(shù)的不斷興起，企業(yè)it架構(gòu)正在從“有邊界”向“無(wú)邊界”轉(zhuǎn)變，傳統(tǒng)的安全邊界逐漸瓦解。隨著以5g、工業(yè)互聯(lián)網(wǎng)為代表的新基建的不斷推進(jìn)，還會(huì)進(jìn)一步加速“無(wú)邊界”的進(jìn)化過(guò)程。與此同時(shí)，零信任安全逐漸進(jìn)入人們的視野，成為解決新時(shí)代網(wǎng)絡(luò)安全問(wèn)題的新理念、新架構(gòu)。

4、但是現(xiàn)有的衛(wèi)星互聯(lián)網(wǎng)的信任安全系統(tǒng)仍然存在如下問(wèn)題：身份驗(yàn)證管理存在復(fù)雜性：衛(wèi)星互聯(lián)網(wǎng)系統(tǒng)涉及多種異構(gòu)的設(shè)備和系統(tǒng)，跨越不同的管理域，給身份驗(yàn)證和訪問(wèn)控制帶來(lái)了很大的挑戰(zhàn)。如何確保身份的可信度和授權(quán)的精細(xì)化成為關(guān)鍵。尤其是身份識(shí)別也是至關(guān)重要。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明的目的在于提供一種衛(wèi)星網(wǎng)絡(luò)零信任安全防護(hù)方法及系統(tǒng)，解決了現(xiàn)有技術(shù)中指出的上述技術(shù)問(wèn)題。

2、本發(fā)明提供了一種衛(wèi)星網(wǎng)絡(luò)零信任安全防護(hù)方法，包括如下操作步驟：

3、建立統(tǒng)一身份管理平臺(tái)，收集并存儲(chǔ)衛(wèi)星網(wǎng)絡(luò)中所有設(shè)備和用戶的身份信息；

4、實(shí)施多因素身份認(rèn)證，對(duì)接入衛(wèi)星網(wǎng)絡(luò)的所有設(shè)備與接入用戶的身份信息進(jìn)行身份驗(yàn)證；

5、基于用戶的身份信息以及多因素身份認(rèn)證的反饋結(jié)果，執(zhí)行動(dòng)態(tài)授權(quán)管理處理；

6、構(gòu)建跨域身份聯(lián)合認(rèn)證機(jī)制，實(shí)現(xiàn)不同管理域之間的信任傳遞。

7、優(yōu)選的，作為一種可實(shí)施方案；所述多因素身份認(rèn)證包括：

8、獲取當(dāng)前待接入的用戶的請(qǐng)求，獲取當(dāng)前待接入的用戶的身份信息，同時(shí)采集當(dāng)前用戶的生物特征數(shù)據(jù)；所述生物特征數(shù)據(jù)包括指紋、面部特征或虹膜信息；

9、實(shí)時(shí)獲取設(shè)備唯一標(biāo)識(shí)符，生成預(yù)設(shè)時(shí)間周期內(nèi)的設(shè)備密鑰信息；

10、收集當(dāng)前設(shè)備的歷史地理位置信息，根據(jù)所述歷史地理位置信息和當(dāng)前待接入的用戶的物理位置判定當(dāng)前設(shè)備的歷史地理位置信息和用戶的物理位置是否一致；

11、如果判斷為一致則進(jìn)一步允許所述待接入的用戶在所述預(yù)設(shè)時(shí)間周期內(nèi)向當(dāng)前設(shè)備發(fā)送輸入設(shè)備密鑰信息的解密密鑰；如果超過(guò)當(dāng)前預(yù)設(shè)周期內(nèi)未成功解密，則將當(dāng)前待接入的用戶提示為風(fēng)險(xiǎn)用戶。

12、優(yōu)選的，作為一種可實(shí)施方案；所述基于用戶的身份信息以及多因素身份認(rèn)證的反饋結(jié)果，執(zhí)行動(dòng)態(tài)授權(quán)管理處理，包括：

13、如果當(dāng)前待接入的用戶提示為風(fēng)險(xiǎn)用戶，則進(jìn)一步獲取當(dāng)前待接入用戶的歷史上正常的行為基線；

14、實(shí)時(shí)監(jiān)測(cè)用戶當(dāng)前執(zhí)行操作，與所述行為基線進(jìn)行比對(duì)；

15、如果當(dāng)前檢測(cè)發(fā)現(xiàn)當(dāng)前執(zhí)行操作與行為基線之間的比對(duì)結(jié)果為當(dāng)前執(zhí)行操作異常，則動(dòng)態(tài)調(diào)整降低當(dāng)前待接入的用戶的授權(quán)級(jí)別；

16、每個(gè)待接入的用戶具有三種或五種不同的授權(quán)級(jí)別。

17、優(yōu)選的，作為一種可實(shí)施方案；所述構(gòu)建跨域身份聯(lián)合認(rèn)證機(jī)制包括：

18、建立跨域身份映射表，記錄不同管理域之間的身份對(duì)應(yīng)關(guān)系；

19、在執(zhí)行跨域身份認(rèn)證時(shí)，首先判斷確定當(dāng)前兩個(gè)不同管理域的設(shè)備是否在當(dāng)前跨域身份映射表中建立為互信認(rèn)的身份對(duì)應(yīng)關(guān)系；如果是，則當(dāng)前待接入的用戶登錄任何一個(gè)管理域的設(shè)備時(shí)，則當(dāng)前設(shè)備實(shí)現(xiàn)身份斷言服務(wù)，生成包含用戶身份信息的安全令牌；

20、將當(dāng)前管理域的設(shè)備生成的安全令牌發(fā)送給另一個(gè)管理域的設(shè)備，另一個(gè)管理域的設(shè)備直接驗(yàn)證所述安全令牌，在驗(yàn)證成功后，當(dāng)前待接入的用戶對(duì)該另一個(gè)管理域的設(shè)備確定實(shí)現(xiàn)單點(diǎn)登錄；

21、定期更新身份映射表。

22、優(yōu)選的，作為一種可實(shí)施方案；所述實(shí)時(shí)監(jiān)測(cè)用戶當(dāng)前執(zhí)行操作，與所述行為基線進(jìn)行比對(duì)，具體包括：

23、對(duì)監(jiān)測(cè)用戶當(dāng)前執(zhí)行操作中的多個(gè)行為特征，計(jì)算當(dāng)前值與行為基線的基線值的差的絕對(duì)值；

24、將當(dāng)前差的絕對(duì)值乘以該行為特征的權(quán)重，并對(duì)當(dāng)前所有行為特征的加權(quán)差值求和得到總和數(shù)值；

25、將所述總和數(shù)值除以行為特征的特征數(shù)量，得到行為基線的安全風(fēng)險(xiǎn)評(píng)分r；

26、述行為基線的安全風(fēng)險(xiǎn)評(píng)分為r＝σ(wi*|ai-bi|)/n；

27、其中：r為行為基線的安全風(fēng)險(xiǎn)評(píng)分；

28、wi為第i個(gè)行為特征的權(quán)重；

29、ai為用戶當(dāng)前行為的第i個(gè)特征值；

30、bi為行為基線中第i個(gè)特征的預(yù)期值；

31、n為考慮的行為特征總數(shù)；

32、||表示絕對(duì)值。

33、優(yōu)選的，作為一種可實(shí)施方案；所述行為特征包括每小時(shí)命令發(fā)送頻率、訪問(wèn)敏感數(shù)據(jù)的次數(shù)和登錄時(shí)間偏差。

34、優(yōu)選的，作為一種可實(shí)施方案；如果當(dāng)前檢測(cè)發(fā)現(xiàn)當(dāng)前執(zhí)行操作與行為基線之間的比對(duì)結(jié)果為當(dāng)前執(zhí)行操作異常，具體包括：調(diào)用當(dāng)前執(zhí)行操作的評(píng)分閾值；如果行為基線的安全風(fēng)險(xiǎn)評(píng)分大于設(shè)置的所述評(píng)分閾值則判定為當(dāng)前執(zhí)行操作異常。

35、相應(yīng)地，本發(fā)明提供了一種衛(wèi)星網(wǎng)絡(luò)零信任安全防護(hù)系統(tǒng)，包括：多個(gè)異構(gòu)設(shè)備以及主服務(wù)器；

36、所述主服務(wù)器包括身份采集模塊、接入認(rèn)證模塊和執(zhí)行認(rèn)證處理模塊、跨域傳送模塊；

37、身份采集模塊，用于建立統(tǒng)一身份管理平臺(tái)，收集并存儲(chǔ)衛(wèi)星網(wǎng)絡(luò)中所有設(shè)備和用戶的身份信息；

38、接入認(rèn)證模塊，用于實(shí)施多因素身份認(rèn)證，對(duì)接入衛(wèi)星網(wǎng)絡(luò)的所有設(shè)備與接入用戶的身份信息進(jìn)行身份驗(yàn)證；

39、執(zhí)行認(rèn)證處理模塊，用于基于用戶的身份信息以及多因素身份認(rèn)證的反饋結(jié)果，執(zhí)行動(dòng)態(tài)授權(quán)管理處理；

40、身跨域傳送模塊，用于構(gòu)建跨域身份聯(lián)合認(rèn)證機(jī)制，實(shí)現(xiàn)不同管理域之間的信任傳遞。

41、優(yōu)選的，作為一種可實(shí)施方案；所述異構(gòu)設(shè)備包括：固定衛(wèi)星終端、移動(dòng)衛(wèi)星終端、車載終端、衛(wèi)星物聯(lián)網(wǎng)設(shè)備、高通量衛(wèi)星、地面站和用戶終端設(shè)備中的任意兩種及以上。

42、優(yōu)選的，作為一種可實(shí)施方案；所述不同的管理域的設(shè)備為跨國(guó)部署的高通量衛(wèi)星。

43、相應(yīng)的，本技術(shù)還涉及一種存儲(chǔ)介質(zhì)，所述存儲(chǔ)介質(zhì)內(nèi)存儲(chǔ)有計(jì)算機(jī)程序，所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)一種衛(wèi)星網(wǎng)絡(luò)零信任安全防護(hù)方法。

44、與現(xiàn)有技術(shù)相比，本發(fā)明實(shí)施例至少存在如下方面的技術(shù)優(yōu)勢(shì)：

45、分析本發(fā)明提供的上述一種衛(wèi)星網(wǎng)絡(luò)零信任安全防護(hù)方法可知，在具體應(yīng)用時(shí)，首先建立統(tǒng)一身份管理平臺(tái)，收集并存儲(chǔ)衛(wèi)星網(wǎng)絡(luò)中所有設(shè)備和用戶的身份信息；實(shí)施多因素身份認(rèn)證，對(duì)接入衛(wèi)星網(wǎng)絡(luò)的所有設(shè)備與接入用戶的身份信息進(jìn)行身份驗(yàn)證；基于用戶的身份信息以及多因素身份認(rèn)證的反饋結(jié)果，執(zhí)行動(dòng)態(tài)授權(quán)管理處理；構(gòu)建跨域身份聯(lián)合認(rèn)證機(jī)制，實(shí)現(xiàn)不同管理域之間的信任傳遞。

46、針對(duì)異構(gòu)設(shè)備以及不同管理域的復(fù)雜性，本發(fā)明提供了一種衛(wèi)星網(wǎng)絡(luò)零信任安全防護(hù)方法；利用該衛(wèi)星網(wǎng)絡(luò)零信任安全防護(hù)方法實(shí)現(xiàn)對(duì)多因素身份認(rèn)證和精細(xì)化授權(quán)處理操作：采用多因素身份認(rèn)證技術(shù)，如生物特征、設(shè)備指紋、位置等，提高身份的可信度。然后基于用戶的身份信息以及多因素身份認(rèn)證的反饋結(jié)果，執(zhí)行動(dòng)態(tài)授權(quán)管理處理；最后構(gòu)建跨域身份聯(lián)合認(rèn)證機(jī)制，實(shí)現(xiàn)不同管理域之間的信任傳遞實(shí)現(xiàn)精細(xì)化的動(dòng)態(tài)授權(quán)管理，實(shí)現(xiàn)按需訪問(wèn)。對(duì)于不同類型的用戶和設(shè)備，采取差異化的身份認(rèn)證和授權(quán)策略。

47、同時(shí)本發(fā)明提出了一種衛(wèi)星網(wǎng)絡(luò)零信任安全防護(hù)方法實(shí)現(xiàn)跨域、跨系統(tǒng)的身份聯(lián)合認(rèn)證和授權(quán)，打通不同管理域之間的信任壁壘。