一种终端零信任安全控制方法及系统与流程

1.本发明涉及智能电网技术领域，尤其涉及一种终端零信任安全控制方法及系统。


背景技术：

2.配电终端是智能电网的重要组成部分，包括系统监视与控制、配电系统管理功能、符合管理、量测、实时定价等，在智能电网中与其他部分协同，实现改善系统监视、无功与电压管理、降低网损、提高资产使用率。主要包含：dtu/ttu/ftu/rtu等设备，是配电自动化系统的重要组成部分。由配110kv/35kv变电站所部属的配电子站连接控制，完成多种项输配电工作。
3.dtu：(distribution terminal unit)配电终端单元，用于开闭所，环网柜，变电所的多回路数据采集、通讯、管理。dtu的主要功能是把远端设备的数据通过无线的方式传送回后台中心。dtu具有更多回路，更多参数监控管理的能力，并上传至上层主站。dtu已经广泛应用于电力、环保、led信息发布、物流、水文、气象等行业领域。dtu普遍与行业设备相连，比如plc，单片机等自动化产品的连接，并且和后台建立无线的通信连接。
4.ftu：(feeder terminal unit)馈线远方终端，用于测量馈线的三相参数，监控，保护配电系统中的馈线，与配电自动化主站通信，将信息提供给配电监控主站系统，执行主站对馈线及其终端设备的调节和控制。ftu是安装在配电室或馈线上的配电终端设备。
5.rtu：(remote terminal unit)远程终端单元，通用于对现场信号、电力设备的监测和控制。rtu通常具有优良的通讯能力和更大的存储容量，适用于更恶劣的温度和湿度环境，提供更多的计算功能。rtu产品在石油天然气、水利、电力调度、市政调度等行业scada系统中广泛应用。
6.ttu：(transformer terminal unit)配电变压器远方终端，用于对配电变压器的信息采集和控制，它实时监测配电变压器的运行工况，保护变压器的安全运行，调整无功补偿，并能将采集的信息传送到主站或其他的智能装置，提供配电系统运行控制及管理所需的数据。
7.如图4所示，dtu/ttu/ftu/rtu等终端通常采用arm架构的cpu，以嵌入式linux作为内核。内核资源主要是：文件、进程、网络、设备。在此基础上通过虚拟化容器技术作为应用平台，建立多个容器，利用容器启动业务软件实例app。其中，每个实例app完成单独的功能。管理员一般通过网口ssh方式登录设备进行管理，在网络不通或者初始化设备时，检修员则需要物理接触设备，通过串口方式，利用超级终端对设备进行调试。
8.即在现有技术中，不管是通过串口或网口登录设备，获得shell后，往往是通过命令，查看配置文件内容，启动虚拟化容器主程序，安装实例app，启动实例app来完成启动设备的某一功能。串口或网口登录设备往往由厂家批量生产，且安装位置都在户外，其功能是保障基础供电设施的输电、配电、变电等功能，一旦被人恶意攻击，则可能会对电力系统造成严重损害，甚至造成大面积停电，电网瘫痪。因此，当前的现有技术存在的安全隐患包括：
9.(1)设备在出厂时设置有初始化密码，初始化密码存在被获取利用的可能性。
10.(2)软件配置都一样，一旦一个设备有漏洞，则代表同一批次的产品，都存在相同漏洞。
11.(3)在户外的设备通常无人看管，设备具有以太网口、串口等常用调试口，容易被物理接触调试。
12.(4)设备登录仅识别用户名和密码，无法对恶意指令做识别。例如：黑客破解密码后执行：操作容器、删除实例、甚至格式化指令、安装后门等。
13.(5)普通用户从登录到注销期间，对系统中的绝大多数应用和指令，可以随意运行。
14.(6)root用户不受权限体系控制，一经登录，则可以对系统中的全部应用和指令进行随意操作。
15.(7)系统仅在登录时验证一次身份。
16.(8)在配电终端系统中被访问对象，例如：文件、进程都会存在owner属性。owner代表主人，也就是创建该对象的用户名，一旦owner与当前用户匹配成功，系统便认为该用户对所有具有同样owner属性的对象具有完全控制权。另外，linux账户特有的分组机制，默认情况下，目录权限为755，文件权限644，权限意义为：
[0017] 创建者同组权限其他人权限目录权限读、写、执行读、执行读、执行文件权限读、写读读
[0018]
(9)对于同组的用户共享同一种权限，无法做权限细分；非同组的用户，共享同一种权限，无法再做权限细分。root权限，对任何资源都具备完全控制权。
[0019]
鉴于上述的缺陷，配电终端很容易被黑客攻击。例如：乌克兰大停电、伊朗核工业离心机报废等。一旦密码泄漏、弱口令、默认口令被攻击者掌握，或者暴力破解口令成功、系统存在远程执行漏洞，攻击者获得root或普通user权限，则攻击者有可能出现针对设备的以下多种攻击方式：
[0020]
安装后门：使设备沦为傀儡，以做他用；停止容器程序：设备服务中断，停止工作；卸载实例app：设备服务中断，停止工作；关闭实例app：设备服务中断，停止工作；窃取敏感信息：读取配置文件中的参数、密码等信息，访问数据文件；篡改数据：将生产数据内容进行修改；嗅探网络数据：通过抓包获得网络上其他传输的数据包；执行恶意指令：可模拟app的协议数据包，向设备发送工控指令。如：断电、跳闸、调电压等工控指令。
[0021]
现有技术提出了一些可行的技术方案。例如，专利文献cn103646214b公开了一种在配电终端中建立可信环境的方法，通过在配电终端中增加可信芯片作为硬件信任根，里面存储有预置的完整性参考值，然后在系统中加入安全启动模块，作为系统的初始运行模块。在系统启动过程中，通过对系统状态及关键的系统镜像进行完整性度量，从而保护配电终端上运行系统的完整性，构建信任，最终得以建立可信运行环境，从源头上遏止恶意软件破坏系统完整性的能力，提高配电终端系统的安全等级。但是，该发明仅具有防范恶意代码的能力，却不具备访问控制的能力，仍然解决不了权限滥用的问题，例如：对于root被攻击者获取且不安装或上传恶意代码，而是利用可信环境中的正常指令做攻击的情况，例如：对于在操作系统中获取和篡改敏感数据，执行危险的可信指令(删除重要数据，结束关闭生产进程，格式化硬盘等)的情况，该发明无法解决问题。即该发明不具备限制特权用户，限制特
定操作的作用的功能
[0022]
例如，专利文献cn111259348a公开了一种安全运行可执行文件的方法及系统，当检测到可执行文件被调用时，获取可执行文件、可执行文件的调用主体以及调用主体对可执行文件的操作指令，当确定调用主体对可执行文件的操作指令有效时，进一步验证可执行文件、调用主体和操作指令是否存在于预先设置的acl中，通过将可执行文件的数字签名与在acl中对应的可执行文件的数字签名进行匹配验证可执行文件是否被篡改，以及验证可执行文件的数字签名是否可信，当所有的验证均通过时才会加载可执行文件，并启动新进程运行可执行文件。本发明在运行可执行文件之前，对可执行文件进行了多次验证，将携带病毒和/或恶意程序的可执行文件进行滤除，实现可执行文件的安全运行。但是，该发明的不足之处在于：把所有系统中的所有访问行为都和acl进行匹配，这样虽然安全，但是不够灵活，配置不当可能会把正常的访问拦截住。
[0023]
因此，如何不受限于系统自身的访问行为，对于安全相关的重要的对象进行保护，是现有技术还未能解决的技术问题。
[0024]
此外，一方面由于对本领域技术人员的理解存在差异；另一方面由于发明人做出本发明时研究了大量文献和专利，但篇幅所限并未详细罗列所有的细节与内容，然而这绝非本发明不具备这些现有技术的特征，相反本发明已经具备现有技术的所有特征，而且申请人保留在背景技术中增加相关现有技术之权利。


技术实现要素：

[0025]
针对现有技术之不足，本发明提供一种终端零信任安全控制系统，其特征在于，所述系统至少包括阻断模块和授权模块；
[0026]
所述阻断模块拦截输入系统的用户身份信息和/或行为信息，
[0027]
所述授权模块以默认零信任的方式对所述身份信息和/或行为信息按照访问控制列表进行至少一次授权验证，
[0028]
在用户行为命中访问控制列表的内容且所述授权模块判断授权失败的情况下，所述阻断模块禁止输入系统的用户身份信息和/或行为信息；
[0029]
在用户行为命中访问控制列表的内容且所述授权模块判断授权成功的情况下，所述阻断模块允许输入系统的用户身份信息和/或行为信息通过。
[0030]
优选的，所述系统还包括认证模块，
[0031]
在用户身份信息和/或行为信息具有零信任标记的情况下，即使所述授权模块基于所述身份信息和/或行为信息判断授权成功，所述授权模块向认证模块发出认证请求信息，
[0032]
响应于认证请求信息，所述认证模块对用户身份信息和/或行为信息进行至少一次零信任身份认证，
[0033]
在身份认证失败的情况下，所述阻断模块禁止输入系统的用户身份信息和/或行为信息。
[0034]
优选的，在授权验证和/或认证未通过的情况下，所述阻断模块将当前用户和行为信息发送至日志模块。
[0035]
优选的，在拦截的行为信息为程序执行信息的情况下，所述阻断模块以标记签名
值的方式将系统内所执行文件进行完整值保存，
[0036]
在行为信息的授权验证和认证成功的情况下，所述授权模块以比对签名值的方式对执行文件进行完整性校验，从而确保程序文件未被修改；
[0037]
在所述授权模块的比对签名值不一致的情况下，所述阻断模块响应于所述授权模块的阻断请求信息对程序执行信息进行拦截，并且将与程序执行信息相关的记录发送至日志模块的违规记录中。
[0038]
优选的，所述阻断模块截获系统的硬件设备启用信息并且向认证模块发送认证请求信息，
[0039]
响应于认证请求信息，所述认证模块对当前用户进行零信任认证识别，
[0040]
响应于所述认证模块发送的认证通过信息，所述阻断模块允许所述硬件设备的启用和运行。
[0041]
优选的，在操作系统原有的权限验证系统的验证之前和/或之后，所述终端零信任安全控制系统对输入系统的用户身份信息和/或行为信息进行零信任验证。
[0042]
优选的，在操作系统自身的权限验证系统的验证之前，在行为信息的授权验证和零信任认证成功的情况下，若所述行为信息与操作系统自身的权限规则不匹配，则所述行为信息操作失败。
[0043]
本发明还提供一种终端零信任安全控制方法，其特征在于，所述终端零信任安全控制系统执行的方法至少包括：
[0044]
阻断模块拦截输入系统的用户身份信息和/或行为信息，
[0045]
所述授权模块以默认零信任的方式对所述身份信息和/或行为信息按照访问控制列表进行至少一次授权验证，
[0046]
在用户行为命中访问控制列表的内容且所述授权模块判断授权失败的情况下，所述阻断模块禁止输入系统的用户身份信息和/或行为信息；
[0047]
在用户行为命中访问控制列表的内容且所述授权模块判断授权成功的情况下，所述阻断模块允许输入系统的用户身份信息和/或行为信息通过。
[0048]
优选的，所述方法还包括：
[0049]
在用户身份信息和/或行为信息具有零信任标记的情况下，即使所述授权模块基于所述身份信息和/或行为信息判断授权成功，授权模块向认证模块发出认证请求信息，
[0050]
响应于认证请求信息，所述认证模块对用户身份信息和/或行为信息进行至少一次零信任身份认证，
[0051]
在身份认证失败的情况下，所述阻断模块禁止输入系统的用户身份信息和/或行为信息。
[0052]
优选的，所述方法还包括：在授权验证和/或认证未通过的情况下，将当前用户和行为信息发送至日志模块。
[0053]
本发明的有益技术效果：
[0054]
针对现有技术中的缺陷，本发明通过在系统自身的权限规则之外设置独立的安全控制系统，通过拦截输入系统的所有信息的方法，对输入系统的行为信息及其用户身份以零信任的态度进行重新验证和认证，弥补了系统自身的权限验证规则的不足，同时不会破坏系统自身的权限验证规则。
附图说明
[0055]
图1是本发明的配电终端的工作原理图；
[0056]
图2是本发明的文件基于访问对象设置的授权规则的程序图；
[0057]
图3是本发明的终端零信任安全控制方法的逻辑示意图；
[0058]
图4是现有技术的安全控制系统的逻辑示意图。
[0059]
附图标记列表
[0060]
1：检修人员；2：管理人员；3：嵌入式linux系统；10：阻断模块；20：日志模块；30：认证模块；40：授权模块；51：文件模块；52：进程模块；53：网络管理模块；54：设备模块；60：容器管理平台；61：配电管理模块；62：用采管理模块；63：其他设备；64：交采模块；65：环境采集模块；66：漏保模块。
具体实施方式
[0061]
下面结合附图进行详细说明。
[0062]
针对现有技术不足，本发明提供一种终端零信任安全控制方法及系统。本发明的终端零信任安全控制系统通过修改操作系统的内核，使得自身的安全控制程序步骤成为操作系统内的安全控制的一部分。本发明的安全控制管理系统的各个模块和管理后台可以独立设置在操作系统外。
[0063]
本发明的终端零信任安全控制系统与操作系统内原有的权限验证系统是相对独立的。本发明的终端零信任安全控制系统可以在操作系统原有的权限验证系统之前启动，也可以在操作系统原有的权限验证系统之后启动。
[0064]
优选的，本发明的终端零信任安全控制系统能够与多个操作平台建立通信连接，从而对多个操作平台同时进行安全控制。
[0065]
实施例1
[0066]
与现有技术中的图4相比，本发明的终端零信任安全控制系统与登录端口连接通信，如图1所示。本发明通过修改配电终端的嵌入式linux内核实现，从网上下载嵌入式linux源代码来进行二次开发。
[0067]
本发明的终端零信任安全控制系统如图1所示。一种终端零信任安全控制系统，至少包括阻断模块10、认证模块30、授权模块40和日志模块20。阻断模块10、日志模块20、认证模块30和授权模块40均可以是专用集成芯片、服务器、计算机、处理器中的一种或几种。
[0068]
优选的，授权模块40与阻断模块10建立通信连接。认证模块30与阻断模块之间建立通信连接。阻断模块10、认证模块30、授权模块40分别与日志模块20建立通信连接。
[0069]
如图1所示，终端零信任安全控制系统设置在系统3中。具体地，终端零信任安全控制系统能够与操作系统相对独立设置，也能够设置为操作系统中的一部分。优选的，终端零信任安全控制系统以相对于操作系统独立的方式设置。
[0070]
优选的，操作系统优选为嵌入式linux系统，系统3也可以是其他模式的操作系统。优选的，操作系统3内包括文件模块51、进程模块52、网络模块53和设备模块54。文件模块51、进程模块52、网络模块53和设备模块54分别与终端零信任安全控制系统建立通信连接。优选的，操作系统3内还包括容器管理平台60。容器管理平台60与终端零信任安全控制系统建立通信连接。
[0071]
优选的，容器管理平台60至少包括配电管理模块61、用采管理模块62、其他设备63、交采模块64、环境采集模块65和漏保模块66。配电管理模块61与104管理平台建立通信连接并传送数据信息。用采管理模块62639管理平台建立通信连接并传送数据信息。交采模块64与至少一种采集设备建立通信连接并传送数据信息。环境采集模块65与若干环境参数采集设备建立通信连接并传送数据信息。漏保模块66与至少一个漏保设备建立通信连接并传送数据信息。
[0072]
阻断模块10不信任任何操作，对系统中使用的会对系统以及工控作业造成的影响的重要行为和操作进行拦截。例如拦截的操作包括：文件访问、程序运行、网络通信、容器操作、外设加载等指令。如图1所示，当检修人员1通过超级终端的串口登录发出操作指令，或者管理人员2通过xshell的ssh网口登录并发出操作指令时，阻断模块10对操作指令进行拦截。
[0073]
授权模块40是在系统原有的权限控制体系之上，再建立一套基于内核的访问控制机制。该机制优先级高于系统原有的权限机制，从而对重要的操作按照预设的权限规则进行访问控制，使得访问安全有效，排除对系统不利的操作和访问。
[0074]
本发明的授权模块40的运行逻辑为：授权模块将由阻断模块10拦截的操作指令按照acl(access control list访问控制列表)的权限规则进行匹配。例如，将操作指令先按照acl的权限进行访问控制，针对带有零信任标签的重要客体的访问进行身份认证及重新确权，通过后再执行系统原有的权限机制。
[0075]
对于不属于授权模块40的acl访问控制的操作指令，授权模块40直接执行系统原有的权限机制。
[0076]
授权模块40中的确权功能没有管理员、同组、非同组的特性，每个用户都可以单独创建独立权限。在认证模块和授权模块重新确认该访问行为合法以后，阻断模块10会允许该访问行为传递到系统本身的调用流程。
[0077]
优选的，本发明的授权模块的权限机制的授权规则可以预设如下：
[0078]
(1)文件acl：文件的访问权限规则。如：以用户作为主体，针对文件或目录的读、写、执行权限。
[0079]
(2)程序acl：系统可执行的重要程序的路径、文件名以及程序的完整性校验值，例如：md5值。如：容器主进程。
[0080]
(3)硬件acl：允许或禁止识别新硬件
[0081]
(4)网络acl：允许或禁止tcp或udp的监听或发送，可通信的端口，可连接的ip。
[0082]
(5)进程acl：允许或禁止结束进程或调试进程。
[0083]
(6)容器指令acl：允许或禁止某个特定用户操作容器相关的指令。例如：指定维护容器的专用账户才可执行容器中实例app的安装、卸载、启停等。
[0084]
(7)零信任标记：该标签可以在任何客体上标记，一旦标记零信任标记，则代表针对该客体的任何访问将触发认证模块，进行二次确权后才可继续访问。
[0085]
优选的，零信任标记属于acl中的一个属性。一般情况下，客体默认没有零信任标记。需要授权模块基于操作者的设置，手动或者自动为客体打上零信任标记。一旦被标记，则代表访问该客体的任何主体，在每次发起访问时都需要通过认证模块30进行零信任身份认证。
[0086]
优选的，acl的制定规则状态至少包括：允许、拒绝两种状态。
[0087]
允许代表白名单，所指含义为，针对该条规则描述的主体访问客体的行为允许通过。
[0088]
禁止代表黑名单，所指含义为，针对该条规则描述的主体访问客体的行为禁止通过。
[0089]
acl针对客体的描述不存在排他性逻辑，并非白名单以外的都是默认黑名单。本发明中，不在acl的描述中的客体，按照操作系统本身权限逻辑运行，不受阻断模块影响。
[0090]
例如，acl的实际运行情况如表1所示。
[0091][0092]
即使1.txt默认系统权限属性是777，user1针对1.txt的访问只能是读取，而不能写入。但user2这个用户在acl中并未描述，因此user2则可以对1.txt进行读、写、执行等操作。
[0093]
acl支持通配符，例如：用户可以用*表示，则代表所有用户。文件用*表示，则代表该目录下的所有文件。优选的，acl由acl生成器检测设置规则的逻辑冲突。例如，针对同一个对象只允许出现一条规则，如有重复，则提示冲突，要求重新设置。在出现包含关系的对象规则时采用“具体优先”原则，即对于越具体的对象规则，优先级越高。例如：目录和目录内的文件都出现单独规则的时候，目录内的文件权限优先。子目录的权限优先于父目录。
[0094]
本发明的认证模块30主要针对用户身份进行至少一次初始身份认证。具体地，在用户发出行为请求时，认证模块对用户身份进行第一次的初始身份认证。在授权模块40向认证模块20发出身份认证请求时，认证模块响应于授权模块的请求进行至少一次的零信任认证。本发明中，零信任认证即表示重新进行一次身份认证。优选的，零信任认证的次数不限于一次，也可以是两次甚至更多次。
[0095]
认证模块30不同于采用当前用户的密码进行重复输入的现有技术手段，本发明的认证模块30设置至少一组新的认证方式。认证方式由认证模块单独保存。认证模块设置有多种形式的认证接口，例如：二次口令、动态口令、usb
‑
key证书、强密码、指纹识别、虹膜识别、二维码等。
[0096]
本发明的认证模块的启动场景至少包括：
[0097]
在日志模块接受到的违规日志的数量达到预设阈值时。例如：违规日志的预设阈值3次。
[0098]
在用户执行操作命中acl的访问控制限制，并且客体被标记零信任标记时。
[0099]
本发明中的命中，是指如表1所示，用户行为被记录在acl表中。例如，用户行为与acl中的描述一致，或者描述相反。只要该操作涉及到了acl中的客体，就都叫命中，不管访问行为是否匹配acl。例如，如果user1访问1.txt只读，该操作命中了acl，而且这个操作是匹配acl。如果user1访问1.txt尝试写入，该操作也命中了acl，但这个操作不匹配acl，会被拒绝。
[0100]
在用户登录时间超过预设时间范围且在登录状态没有任何操作行为时，需要进行
认证。例如：预设时间范围是10分钟。
[0101]
在登录时间间隔超过预设间隔范围后发生的登录行为，需要进行认证。例如：预设间隔范围为1天。
[0102]
优选的，认证模块的启动场景可以根据需要进行更多的设置，此处不进行一一的具体举例。
[0103]
本发明的日志模块20用于将全部访问行为，以及阻断、认证、授权的过程进行完整记录，并且将违规和正常行为进行区分。日志模块可将日志进行本地存储，也可以整理成标准格式发往审计服务器。
[0104]
日志模块20的记录过程包括：
[0105]
在用户登录操作系统后，获得uid。在访问系统资源时，安全控制装置设置在系统本身默认的权限控制之前。即安全控制装置将访问行为拦截，并且新增了用户认证和确权流程。安全控制装置针对重要资源每次访问都需要重新确权。特别是针对有零信任标记的客体，要求每次访问都需要重新进行身份认证和重新确权，而不是登录系统后一直保持和继承默认权限。
[0106]
在用户认证和授权通过的情况下，阻断模块10下发放行指令，允许该行为和操作继续执行。否则阻断模块10下发不予放行指令，并且将当前用户和访问动作记录为日志，发送给日志模块。
[0107]
现有技术中，通常情况下，user1创建了多个文件：user1_file1、user1_file2、user1_file3.。。。。。user1_filen，那么在系统中这些文件的owner都是user1。也就是说user1都可以任意访问这些文件。同组所有其他用户，非同组所有用户，都可以读取这些文件。如果文件是可执行程序，都可以被任何用户执行。
[0108]
本发明的授权模块的acl是针对被访问对象的授权规则，默认对对任何用户视作不可信。即在owner与当前用户匹配的情况下，授权模块也需要通过acl对访问队形进行确权验证。在这种情况下，即使伪装owner的身份进行访问，也能够被及时发现并阻止其继续访问。
[0109]
本发明的阻断模块截获系统所有文件访问请求，并且后续处理的情况包括：
[0110]
在未命中授权模块的acl的情况下，阻断模块会允许针对该文件的访问请求通过。
[0111]
在命中授权模块的acl的情况下，按照acl权限实施访问控制，拒绝或允许该访问请求通过。
[0112]
在命中授权模块的acl的情况下，并且文件被标注零信任标记，则通过认证模块对发起访问的用户进行认证，然后根据acl进行确权。按照acl权限实施访问控制，拒绝或允许该访问请求通过。
[0113]
在终端零信任安全控制系统的权限验证顺序在操作系统自身的权限验证系统之前的情况下，在阻断模块将用户的文件访问请求通过后，操作系统再按照自身权限验证实施访问控制。反之在文件访问请求被阻断模块10拦截后，阻断模块向日志模块发送违规日志的记录。
[0114]
在终端零信任安全控制系统的权限验证顺序在操作系统自身的权限验证系统之后的情况下，若用户的文件访问请求被操作系统自身的权限验证拒绝，则本发明的终端零信任控制系统不启动。若用户的文件访问请求被操作系统自身的权限验证通过，则本发明
的终端零信任安全控制系统启动。在文件访问请求通过本发明的授权模块的确权且被允许通过时，阻断模块将文件请求发送至操作系统自身的调用流程中。
[0115]
例如，在操作系统中，每个客体都会有权限属性。操作系统自身的权限规则如下所示。
[0116]
例如在linux系统中输入：ls
‑
l，
[0117]
like1@localhost ls
‑
l
[0118]
total 1377240
[0119]
drwxr
‑
xr
‑
x 4 like 1
ꢀꢀ
staff
ꢀꢀꢀꢀ
128
ꢀꢀ
3 30
ꢀꢀ
2020 home
[0120]
‑
rw
‑
r
‑‑
r
‑‑ꢀ
1 like 1
ꢀꢀ
staff
ꢀꢀ
22869
ꢀꢀ
4 20
ꢀꢀ
2020 1.html
[0121]
‑
rw
‑
r
‑‑
r
‑‑ꢀ
1 like 1
ꢀꢀ
staff
ꢀꢀ
84936
ꢀꢀ
7 22 13：42 1.txt
[0122]
linux权限是用三组字符来表示的，每组三个字符，r代表读，w表示写，x代表执行，第一组代表自己，第二组代表同组用户，第三组代表其他组用户。横线代表无权限。
[0123]
其中看到，
‑
rw
‑
r
‑‑
r
‑‑
，表示：1.txt，创建文件的owner可读、可写，本组用户可读、其他组可读。权限644。操作系统本身是按照这个权限体系来运作的。
[0124]
在该权限可以被创建者和root用户修改时，输入：chmod 777 1.txt
[0125]
like1@localhost chmod 777 1.txt
[0126]
like1@localhost ls
‑
l
[0127]
total 1377240
[0128]
drwxr
‑
xr
‑
x 4 like 1
ꢀꢀ
staff
ꢀꢀꢀꢀ
128
ꢀꢀ
3 30
ꢀꢀ
2020#home
[0129]
‑
rw
‑
r
‑‑
r
‑‑ꢀ
1 like 1
ꢀꢀ
staff
ꢀꢀ
22869
ꢀꢀ
4 20
ꢀꢀ
2020 1.html
[0130]
‑
rwxrwxrwx 1 like 1 staff
ꢀꢀ
84936
ꢀꢀ
7 22
ꢀꢀ
13：42 1.txt
[0131]
其中我们看到，
‑
rwxrwxrwx，代表的意思就是，1.txt，所有人(创建文件的owner、本组用户、其他组用户)：可读、可写、可执行，权限777。黑客往往通过此种方式修改权限以后来达到访问敏感文件的目的。
[0132]
即操作系统本身的权限规则体系存在明显的漏洞和缺陷。
[0133]
现有技术中，权限为644的任何文件都可以被视作程序被操作系统运行，操作系统经过用户认证之后，默认具备执行权限，以至于黑客一旦获取操作系统权限，就可以运行所有程序。操作系统本身对这些程序和命令并没有判断能力，例如：执行病毒感染过的程序、恶意删除数据库文件rm命令、恶意格式化硬盘fdisk等操作。操作系统对于这些操作本身无法阻止的。
[0134]
本发明中，阻断模块10优先将系统中所有执行文件进行完整值保存，即采用md5签名。
[0135]
在发生程序执行时，先截获系统所有程序执行访问请求，之后的处理方式至少包括：
[0136]
在未命中授权模块的acl的情况下，阻断模块会允许该程序的程序执行访问请求通过。
[0137]
在该程序的调用命中授权模块的acl的情况下，按照acl权限实施访问控制，阻断模块拒绝或允许该程序执行访问请求通过。
[0138]
在命中授权模块的acl且该程序被标注零信任标记，则通过认证模块对发起访问
的用户进行认证，然后通过授权模块acl进行确权。按照acl权限实施访问控制，阻断模块拒绝或允许该程序执行访问请求通过。
[0139]
本发明中，在终端零信任安全控制系统的权限验证顺序在操作系统自身的权限验证系统之前的情况下，在阻断模块将用户的程序执行访问请求通过后，操作系统再按照自身权限规则实施访问控制。反之在程序执行访问请求被阻断模块10拦截后，阻断模块向日志模块发送违规日志的记录。
[0140]
在终端零信任安全控制系统的权限验证顺序在操作系统自身的权限验证系统之后的情况下，若用户的程序执行访问请求被操作系统自身的权限验证拒绝，则本发明的终端零信任控制系统不启动。若用户的文件请求被操作系统自身的权限验证通过，则本发明的终端零信任安全控制系统启动。在程序执行访问请求通过本发明的授权模块的确权、认证模块的认证且被允许通过时，阻断模块将程序执行访问请求发送至操作系统自身的调用流程中。反之程序执行访问请求被拦截，并报违规日志。
[0141]
现有技术中，攻击者可能利用硬件设备控制来对配电终端的安全造成威胁。具体地，通常情况下，配电终端的操作系统会识别新加入的硬件设备，例如：键盘、鼠标、u盘、网卡等。这些设备是配电终端直接的输入输出渠道。如果被攻击者利用，可能会对系统造成严重的安全威胁。例如：利用u盘拷贝敏感数据、传播病毒，利用键盘执行危险操作、利用无线网卡突破网络限制。
[0142]
本发明通过设置阻断模块10，优先截获系统所有设备的启用。在默认情况下操作系统无法再识别新接入的硬件。例如在授权模块的acl中，当前用户允许添加新硬件，则通过认证模块对当前用户进行识别。在认证模块的认证通过后，可由此用户执行添加新硬件的命令，阻断模块允许系统启用该硬件设备。反之拒绝，并报违规日志。本发明通过对添加硬件的用户的认证识别，能够有效的弊端新硬件被攻击者控制的缺陷。
[0143]
现有技术中，通常情况下，操作系统的网络通信由软件和主机防火墙控制。其中，主机防火墙并非配电终端的组成必须品，因此不在本专利讨论范围之内。例如：user1执行nc
‑
l
‑
p 8888，则表示该用户可以令操作系统开启任何监听端口，这完全由用户和软件功能来实现。因此，攻击者可以利用本特性，在操作系统上进行恶意的网络操作：开放监听远程控制端口(网络后门)，滥用网络服务传输敏感数据(拖库)等。
[0144]
本发明中的阻断模块，优先截获系统所有用户程序的网络访问请求。
[0145]
在网络访问请求未命中授权模块的acl的情况下，阻断模块允许该网络访问请求通过。
[0146]
在网络访问请求命中授权模块的acl的情况下，按照acl权限实施访问控制，阻断模块拒绝或允许该网络访问请求通过。
[0147]
在网络访问请求命中授权模块的acl且该网络客体被标注零信任标记的情况下，认证模块响应于授权模块的请求，对发起网络访问请求的用户进行至少一次全新身份认证。授权模块响应于认证模块发送的认证成功的信息，根据acl对发起网络访问请求的用户进行确权。阻断模块按照acl权限实施访问控制，拒绝或允许该网络访问请求通过。
[0148]
在终端零信任安全控制系统的权限验证顺序在操作系统自身的权限验证系统之前的情况下，在阻断模块将网络访问请求通过后，操作系统再按照自身权限验证实施访问控制。反之在程序执行访问请求被阻断模块10拦截后，阻断模块向日志模块发送违规日志
的记录。
[0149]
在终端零信任安全控制系统的权限验证顺序在操作系统自身的权限验证系统之后的情况下，若网络访问请求被操作系统自身的权限验证拒绝，则本发明的终端零信任控制系统不启动。若网络访问请求被操作系统自身的权限验证通过，则本发明的终端零信任安全控制系统启动。在网络访问请求通过本发明的授权模块的确权、认证模块的认证且被允许通过时，阻断模块将网络访问请求发送至操作系统自身的调用流程中。反之阻断模块针对该进程的操作指令被拦截，并报违规日志。本发明通过授权模块、认证模块和阻断模块的配合作用，有效地对软件的远程操作进行监控和控制，以保护系统的安全。
[0150]
现有技术中，在通常情况下，用户登录到操作系统中，可以通过执行容器指令来对生产程序进行管理操作，例如：容器启动、容器关闭、安装实例app、查看实例app状态、停止实例app、卸载实例app等，使得攻击者能够通过容器指令对生产程序进行非法的操作。
[0151]
本发明中的阻断模块，优先截获系统所有容器操作指令。
[0152]
在操作指令未命中授权模块的acl的情况下，阻断模块允许该容器操作指令通过。
[0153]
在操作指令命中授权模块中的acl的情况下，阻断模块按照acl权限实施访问控制，拒绝或允许该容器操作指令通过。
[0154]
在操作指令命中授权模块的acl且容器操作指令被标注零信任标记的情况下，阻断模块向认证模块发送认证请求。认证模块对发起操作的用户进行零信任身份认证。在认证成功后。阻断模块根据acl对用户进行确权。阻断模块按照acl权限实施访问控制，拒绝或允许该容器操作指令通过。
[0155]
在终端零信任安全控制系统的权限验证顺序在操作系统自身的权限验证系统之前的情况下，在阻断模块允许操作指令通过后，操作系统再按照自身权限验证实施访问控制。反之在操作指令被阻断模块10拦截后，阻断模块向日志模块发送违规日志的记录。
[0156]
在终端零信任安全控制系统的权限验证顺序在操作系统自身的权限验证系统之后下，若操作指令被操作系统自身的权限验证拒绝，则本发明的终端零信任控制系统不启动。若操作指令被操作系统自身的权限验证通过，则本发明的终端零信任安全控制系统启动。在操作指令通过本发明的授权模块的确权、认证模块的认证且被允许通过时，阻断模块将操作指令发送至操作系统自身的调用流程中。反之容器操作指令被阻断模块拦截，并向日志模块报违规日志。
[0157]
如图3所示为本发明的终端零信任安全控制系统的控制方法的逻辑示意图。
[0158]
如图3所示，终端零信任安全控制方法的步骤至少包括：
[0159]
s1：判断访问对象及其行为信息是否命中acl；若否，进入步骤s5。
[0160]
s2：若命中，判断操作指令是否与acl相匹配；若不匹配，阻断操作指令，操作失败。
[0161]
s3：若匹配，验证acl中可执行的文件数字签名。若验证失败，阻断操作指令，操作失败。
[0162]
s4：若验证成功，对用户进行至少一次零信任认证。若认证失败，则阻断操作指令，操作失败。
[0163]
s5：若认证成功，判断是否匹配系统自身权限验证系统或者权限规则。若匹配失败，阻断操作指令，操作失败。
[0164]
s6：若匹配成功，则阻断模块允许操作指令通过，用户操作成功。
[0165]
实施例2
[0166]
本实施例是对实施例1的进一步阐述，重复的内容不再赘述。
[0167]
本发明中，阻断模块10以动态的方式监测用户的访问变化，并且基于访问过程中的异常动态实时更新授权模块中的acl(访问控制列表)。
[0168]
现有技术中，访问控制列表如果是静态不变的，对于不同用户的同一访问请求，其权限是相同的。即使零信任地每次进行授权验证和身份认证，在访问请求通过后，用户可能会频繁的以同一个访问请求来查看数据，甚至以频繁的访问请求来使得安全控制系统繁忙或崩溃，从而安全控制系统无法进行正常的信息截取和控制，这可以看做是用户的恶意攻击。
[0169]
优选的，阻断模块10基于发出访问请求的用户设备来动态更新访问权限，即动态更新acl(访问控制列表)。即，即使是同一用户设备访问，授权模块对其同一访问请求的权限也是变化的。授权模块对acl(访问控制列表)基于用户设备变化、访问频率来进行动态更新和动态调整。
[0170]
优选的，当用户的行为变化对安全控制系统的网络行为出现明显影响，阻断模块10将用户的行为信息反馈至授权模块40。授权模块40基于反馈的行为信息来自适应调整acl(访问控制列表)，从而改变控制策略。
[0171]
优选地，可以通过自适应算法来调整acl(访问控制列表)中的具体控制策略，进而改变用户的权限。优选地，自适应算法的思想可以是针对具体的数据权限，如操作权限，设置时间与操作阈值。
[0172]
短时间内的过阈值操作被记录为一种潜在的攻击行为。例如，可以在单位时间内设置操作的阈值次数来构建自适应算法。优选地，授权模块可以设置10分钟内用户访问的次数不能超过3次。如果用户在10分钟内访问次数超过3次，那么该用户及使用的设备的操作方式被视为一种潜在的攻击行为。日志模块20可以记录该用户的操作行为，并解除该用户的访问资格，同时在该用户再次申请访问时，调低其数据权限。
[0173]
优选的，授权模块40基于反馈的用户及其行为信息同时更新日志模块中的用户的操作记录。
[0174]
通过该设置方式，达到的有益效果是：随着用户的增多，当一条数据需要与多个用户共享时，为了保证数据的细粒度访问，授权模块或者系统的拥有者往往需要多次更新acl(访问控制列表)。即使进行一些小的更改，数据所有者也需要重新调整acl(访问控制列表)。因此，授权模块或者系统的拥有者更改acl(访问控制列表)的时间和经济成本将显著增加。另一方面，系统的拥有者不能保证他们总是在线的。如果授权模块尚未处理数据访问请求，请求访问的实体将无法继续下一步操作。这种情况会导致用户等待很长时间，造成时间成本的巨大浪费。而本发明基于授权模块自适应地更新acl(访问控制列表)，使用户能够自主调节访问，即授权模块根据自适应算法动态调整访问acl(访问控制列表)的控制策略，维护或更新用户及其设备的访问权限，从而不需要过度的人为干预，进而节省成本。而且，系统将系统拥有者发布的关于用户的操作行为记录在日志中，没有人可以篡改日志上记录的历史行为。通过上述设置，数据共享的网络可以根据网络，即网络用户上的实时变化动态调整各实体用户对数据的访问权限。
[0175]
优选的，为了避免在行为信息通过授权模块的授权后变化伪装为不同的行为信
息。阻断模块在接受到授权模块的允许通过的反馈后，基于接受的行为请求信息自动生成与请求内容完全相同的新行为信息。阻断模块将新行为信息发送至系统自身的调用流程中。从而避免了伪装的行为请求的通过。
[0176]
优选的，在系统基于接收的新行为信息反馈对应的信息时，阻断模块将反馈的重要信息中的核心内容划分为至少两部分。即将用户请求的信息分解并且以不同的认证方式认证后反馈至用户。每发送一部分核心内容，阻断模块向授权模块请求对用户进行一次认证和确权。例如，核心内容被划分为三部分，则授权模块对用户及其设备进行至少三次的认证和确权。如此，避免了用户及其设备被临时盗用的风险。优选的，对于涉及核心内容的认证方式，相邻两次的认证方式不同，从而避免了单一的、被伪造的认证的发生。例如，两部分核心内容，第一部分核心内容的用户的身份认证为密码认证，第二部分核心内容的用户的身份认证不是密码认证，可以是口令认证、指纹认证等等。
[0177]
需要注意的是，上述具体实施例是示例性的，本领域技术人员可以在本发明公开内容的启发下想出各种解决方案，而这些解决方案也都属于本发明的公开范围并落入本发明的保护范围之内。本领域技术人员应该明白，本发明说明书及其附图均为说明性而并非构成对权利要求的限制。本发明的保护范围由权利要求及其等同物限定。
[0178]
本发明说明书包含多项发明构思，申请人保留根据每项发明构思提出分案申请的权利。本发明说明书包含多项发明构思，诸如“优选地”、“根据一个优选实施方式”或“可选地”均表示相应段落公开了一个独立的构思，申请人保留根据每项发明构思提出分案申请的权利。