网络接入控制与检测告警方法、装置及存储介质与流程

本发明涉及网络安全，具体涉及一种网络接入控制与检测告警方法、装置及存储介质。

背景技术：

1、信任管理是网络安全管理中非常困难的一项工作，唯一性的确认与信任关系的建立是获取访问网络资源的前提和根基。随着网络安全接入设备繁多、更换固件、身份伪造等情况的发生，网络安全态势动态变化，需要持续进行跟踪、优化和管理。

2、在物理空间中元素在时间维度上具有唯一性，物理空间在数字空间中确定事实具有多种方法：一方训练获得的事实(认知)、双方确认的事实(认证方法)、三方确认的事实(pki体系)、多方确认的事实(区块链)。无论哪种方法，都是确认物理空间访问数字空间接口事实的唯一性。

3、所有设备和使用者或者网络中的流量可信，是基于认证和授权实现可信网络的边缘的控制，而网络安全策略的变化应该是动态的而不是一成不变的，接入可信网络的设备和使用者的身份应该进行动态认证，因此需要建立基于动态可信的身份认证方法。

4、信任和认证不可能在很长时间内一成不变，特别是设备数量足够大、用户足够多的场合和应用场景下，变化随时存在,要适应这种场景，需要给程序、管理人员一定的灵活性。大部分网络接入控制缺乏物理、逻辑、时态上的灵活性，难以权衡策略部署复杂性和策略有效性、身份的真实性、有效性和动态变化。

5、相关技术中，进行网络接入控制时，主要是采绑定策略、准入策略、三方共识策略等方式限制未经授权的设备或者用户对可信网络的访问。绑定策略具有一一的刚性关系；准入策略无法屏蔽跳板访问，两方共识凭证传递具有随意性；三方共识策略硬件投入大、管理相对复杂。因此研究新的、低成本的认证方式对安全技术领域具有相当大的吸引力。

技术实现思路

1、针对现有技术的不足，本发明旨在提供一种网络接入控制与检测告警方法、装置及存储介质。

2、为了实现上述目的，本发明采用如下技术方案：

3、一种网络接入控制与检测告警方法，具体包括为：

4、申请注册设备节点根据申请用户的角色，以管理员身份或使用者身份对申请身份凭证的行为进行认证，数据采集节点提交用户的账号口令至身份凭证注册模块；

5、同时，所述申请注册设备节点针对设备的固有属性构建初始镜像数据并通过用户的账号口令进行签名，数据采集节点将其提交至身份凭证注册模块，进行身份注册；

6、身份凭证注册模块根据当前网络中节点的状态，进行初始镜像注册和身份凭证颁发，身份凭证注册模块过程中结合已有的创世节点和已注册的其他设备节点的信息进行标号，生成当前申请注册设备节点的身份凭证信息，并颁发给当前申请注册设备节点，当前申请注册设备节点接入可信网络成为可信设备节点；

7、申请注册设备节点的固有属性和权重信息将被存入配置管理模块，配置管理模块保存所有申请注册设备节点的固有属性配置基线信息和权重信息，以便校对设备的固有属性变化情况；

8、在设备节点注册完成接入可信网络之后，分布式处理模块采用多进程扫描的方式，在消息队列中构建分布式主题分区，通过编辑处理相互独立策略链，控制各个网络设备中设备节点接入的扫描；告警模块对分布式处理模块传递过来的数据进行警示性提示。

9、进一步地，所述身份凭证注册模块维护设备节点身份凭证信息库；所述设备节点身份凭证信息库用于存储各个设备节点的身份凭证信息，是可信网络中身份凭证基线信息库，所述基线信息库在配置管理模块的作用下生成变迁信息库，变迁信息库为告警信息提供输入数据；

10、所述身份凭证注册模块根据设备节点的初始镜像及其参数对各个设备节点的身份凭证给予特定权重，关键初始镜像变化会对可信凭证权重有效性产生决定影响，身份凭证注入设备之后，设备认证时将权重和设备镜像参数提交到基线信息库和变迁信息库对身份凭证进行校验。

11、进一步地，申请注册设备节点在注册时使用的可信账号依托用户的身份信息或者第三方的身份信息，可信网络中普通用户在指定的可信设备上在原有的身份凭证注销前只能申请一个身份凭证，管理员身份可以多次申请身份凭证；依托用户的身份信息时，在内部创建可信账号，依托第三方的身份信息时，通过集成接口方式实现。

12、进一步地，身份凭证的权重由设备的固有属性、按照设定比例生成，采用身份信息签名后提交到身份凭证注册模块；设备在进行身份凭证注册申请时采用终端可安装的程序或网页进行。

13、进一步地，身份凭证注册模块所颁发的身份凭证信息由标记符、操作系统类、授权机构编号、邻居号和随机标号值组成；标记符用于标记身份凭证的类型，操作系统类用于标识申请身份凭证的设备的操作系统类型，授权机构编号用于标识身份凭证注册模块的唯一编码，邻居关系是已注册设备节点的邻居关系信息，随机标号值是该节点随机标号的哈希值，和邻居关系耦合。

14、进一步地，身份凭证信息的结构组成和身份凭证的权重是独立的，权重信息直接决定身份凭证的可用性，身份凭证的结构组成与可信网络中其他邻居关系构成相互信任关系，权重信息只在可信节点自身内部有效，不影响其他可信节点的信任关系，以便降低设备固有属性达到预定阈值后降低凭证校验的资源消耗。

15、进一步地，在可信网络中，身份凭证注册模块内含一个创世根节点，创世节点的标号为0且该节点是孤点，0节点之外的任一节点均在同一深度，可信网络节点是星图；

16、身份凭证注册模块颁发凭证信息时采用随机标号的方式，取自然数k，k≤已注册节点数，面向可信的注册设备节点随机进行k标号编码，产生一个随机标号，并选出在线邻居节点；由于每次注册k均不同，每次产生的随机标号是唯一的；对邻居关系随机标号进行哈希计算。

17、进一步地，当设备固有属性变化触发身份凭证信息失活，设备申请再次上线后，必须使用管理员的身份进行签名，否则其失活身份凭证无法在该设备上有效使用；触发重新签名申请的信息是身份凭证信息基线变更的一种驱动结果。

18、本发明还提供一种计算机可读存储介质，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述方法。

19、本发明还提供一种计算机设备，包括处理器和存储器，所述存储器用于存储计算机程序；所述处理器用于执行所述计算机程序时，实现上述方法。

20、本发明的有益效果在于：本发明从数据采集方式提供了面向客户端代理和网页的两种方式进行数据提取，借助图形相关的理论实现对当前申请注册设备节点进行随机标号，利用已注册设备节点构建相互信任关系，确保凭证的唯一性、不可修改性，同时又利用权重设计兼顾了可信网络的动态变化，通过基线配置、基线变迁、告警设计、状态机控制发现不可信网络节点。在可信网络的检测过程中，利用高速、动态检测手段，实现高效的数据读取，从而实现的对可信网络异常接入进行高效检测，大幅提高了可信网络的检测速度和判断效率，该方法容易在计算机系统和检测装置中实现。

技术特征：

1.一种网络接入控制与检测告警方法，其特征在于，具体包括为：

2.根据权利要求1所述的方法，其特征在于，所述身份凭证注册模块维护设备节点身份凭证信息库；所述设备节点身份凭证信息库用于存储各个设备节点的身份凭证信息，是可信网络中身份凭证基线信息库，所述基线信息库在配置管理模块的作用下生成变迁信息库，变迁信息库为告警信息提供输入数据；

3.根据权利要求1所述的方法，其特征在于，申请注册设备节点在注册时使用的可信账号依托用户的身份信息或者第三方的身份信息，可信网络中普通用户在指定的可信设备上在原有的身份凭证注销前只能申请一个身份凭证，管理员身份可以多次申请身份凭证；依托用户的身份信息时，在内部创建可信账号，依托第三方的身份信息时，通过集成接口方式实现。

4.根据权利要求1所述的方法，其特征在于，身份凭证的权重由设备的固有属性、按照设定比例生成，采用身份信息签名后提交到身份凭证注册模块；设备在进行身份凭证注册申请时采用终端可安装的程序或网页进行。

5.根据权利要求1所述的方法，其特征在于，身份凭证注册模块所颁发的身份凭证信息由标记符、操作系统类、授权机构编号、邻居号和随机标号值组成；标记符用于标记身份凭证的类型，操作系统类用于标识申请身份凭证的设备的操作系统类型，授权机构编号用于标识身份凭证注册模块的唯一编码，邻居关系是已注册设备节点的邻居关系信息，随机标号值是该节点随机标号的哈希值，和邻居关系耦合。

6.根据权利要求1所述的方法，其特征在于，身份凭证信息的结构组成和身份凭证的权重是独立的，权重信息直接决定身份凭证的可用性，身份凭证的结构组成与可信网络中其他邻居关系构成相互信任关系，权重信息只在可信节点自身内部有效，不影响其他可信节点的信任关系，以便降低设备固有属性达到预定阈值后降低凭证校验的资源消耗。

7.根据权利要求1所述的方法，其特征在于，在可信网络中，身份凭证注册模块内含一个创世根节点，创世节点的标号为0且该节点是孤点，0节点之外的任一节点均在同一深度，可信网络节点是星图；

8.根据权利要求1所述的方法，其特征在于，当设备固有属性变化触发身份凭证信息失活，设备申请再次上线后，必须使用管理员的身份进行签名，否则其失活身份凭证无法在该设备上有效使用；触发重新签名申请的信息是身份凭证信息基线变更的一种驱动结果。

9.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现权利要求1-8任一所述的方法。

10.一种计算机设备，其特征在于，包括处理器和存储器，所述存储器用于存储计算机程序；所述处理器用于执行所述计算机程序时，实现权利要求1-8任一所述的方法。

技术总结
本发明公开了一种网络接入控制与检测告警方法、装置及存储介质。该方法中数据采集方式提供了面向客户端代理和网页的方式进行数据提取，借助图形相关的理论对当前申请注册设备节点进行随机标号，利用已注册设备节点构建相互信任关系，确保凭证的唯一性、不可修改性，同时又利用权重设计支持可信网络对象属性的动态变化，通过基线和状态机控制发现不可信网络节点。在可信网络的检测过程中，利用高速、动态检测手段，实现高效的数据读取，从而实现对可信网络身份凭证唯一性的保证和异常接入的高效检测，大幅提高了可信网络的检测速度和判断效率。

技术研发人员：冉剑辉,曾少峰,李郑生,高云飞
受保护的技术使用者：北京中启赛博科技有限公司
技术研发日：
技术公布日：2024/1/15