基于TL-BLP模型的零信任安全架構研究

◆李同寒 張輝 樊林暢 王浩

（中國人民警察大學 河北 065000）

零信任的概念最早可追溯至2004年成立的耶麗哥論壇，其成立的使命是為了定義無邊界趨勢下的網絡安全問題并尋求解決方案[1]。2010年Forrester的分析師約翰·金德維格首次提出了零信任安全的概念，并指出零信任的核心思想是企業不應該信任任何內部和外部的人、事、物，對于任何試圖接入系統的人、事、物在進行授權之前都需要進行驗證。2013年國際云安全聯盟（CSA）提出基于軟件定義邊界（Software Defined Perimeter，SDP）的零信任落地技術架構，利用基于身份的強制訪問控制構建出的虛擬網絡打破了傳統邊界防護思維。2014年，谷歌發表了6篇Beyond Corp系列論文，介紹了谷歌如何將零信進行落地的實踐，同一年，CSA發布了SDP標準規范1.0。2018年，Forrester提出零信任架構，將能力從微隔離擴展到可視化、分析、自動編排等維度。2019年，美國高德納咨詢公司（Gartner）發布零信任網絡架構ZTNA，融合SDP安全模型，同年9月，美國國家標準技術研究院（NIST）發布《零信任架構標準》草案。直到2020年，NIST發布《零信任架構標準》正式版。

歷經十年發展，零信任安全理念在國外逐漸被廣泛應用，包括Microsoft、Google、Cisco、Akamai、Symantec、VMware、F5等在內的國際巨頭先后在企業內部進行了零信任實踐并給出了解決方案。零信任安全在國內也開始出現了萌芽，比如奇安信、阿里、華為、深信服等互聯網公司都充分發揮各自在安全領域的技術優勢，進行了零信任技術落地實踐。

隨著新興信息技術的迅猛發展，以及層出不窮的內部和外部網絡威脅，零信任安全已成為業界研究的熱點。本文分析了傳統網絡安全架構以及典型零信任安全架構，將TL-BLP模型引入零信任安全架構中，對用戶或者應用程序的訪問請求進行信任評估，從而保護數據資源，為各領域的零信任安全架構技術落地提供幫助。

1 傳統網絡安全架構

至今，傳統的網絡安全模型依然是主流的網絡安全模型。傳統的網絡安全架構如圖1所示，把不同的網絡劃分為不同的區域，區域之間使用防火墻、入侵檢測系統與入侵預防系統（IDS/IPS）、VPN網關等安全設施進行隔離，將不同程度的信任度賦予隔離出來的每個區域，這種不同程度的信任度決定擁有不同權限的用戶可以訪問哪些數據資源，從而形成以邊界防護為核心的縱深防御體系。但隨著黑客技術的不斷提高以及網絡威脅與日俱增，傳統網絡安全架構的缺陷也越來越明顯。當面對復雜的網絡攻擊時，即使是一個完善的邊界安全架構也很容易被攻陷。在傳統網絡安全架構中，邊界隔離區的防火墻、VPN網關等就像城市周圍修建的城墻一樣，一旦攻擊者穿越圍墻進入城市，就可以在城市中隨意的穿梭，那么邊界就失去保護內網資源的作用。同時，傳統的網絡安全架構存在信任過度的問題，面對從內部網絡發起的攻擊，部署傳統網絡架構的系統毫無招架之力，比如特權用戶濫用權限容易造成敏感信息泄露，內網資源被破壞，系統癱瘓不能正常提供服務等。

圖1 傳統網絡安全架構

由此可見，對于層出不窮的網絡安全問題，如果繼續使用傳統的網絡安全架構解決新的安全威脅，則很難達到保護數據安全的目的，這就需要構建更加安全的網絡架構去應對網絡安全威脅，從而催生出了零信任安全架構。

2 零信任安全架構

2.1 架構模型

與傳統的網絡安全架構所不同的是，零信任安全架構（Zero Trust Security Architecture，ZTSA）摒棄了以邊界防護為核心的理念，提出了一種新的安全架構模型。零信任安全架構不再依賴網絡位置來保護數據資源，無論主機的網絡位置如何，都將其視為互聯網主機，并且默認不信任所有的人、事、物，認為網絡時刻處在充滿外部或者內部安全威脅的環境之中，所有的網絡通信和業務訪問都必須經過身份認證與持續性的信任評估進行動態授權才能完成[2]。零信任安全架構如圖2所示，

圖2 零信任安全架構

零信任安全架構的三大核心組件分別是數據平面、控制平面以及身份安全基礎設施。數據平面負責高速的處理數據包，是動態訪問控制的策略執行點[3]，其主要由可信代理組件構成；控制平面由信任評估引擎和動態訪問控制引擎組成，數據平面對網絡資源的訪問請求就由控制平面進行接收并進行授權是否允許訪問數據資源，而且控制平面會隨著相關策略的變化而變化，其負責對數據平面進行管理和配置；身份安全基礎設施通過為各類訪問主體提供身份管理和權限服務功能來實現以身份為基礎的零信任安全架構。

其中信任評估引擎是零信任安全架構中實現對訪問主體的請求進行持續評估的核心組件，通過采集用戶數據、設備數據、行為數據、日志數據等進行量化評估與動態訪問控制引擎聯動，然后根據相應的策略對訪問主體的請求進行授權，實現對應用、接口、數據等訪問客體進行動態的訪問控制。信任引擎的工作機制如圖3所示。

圖3 信任評估引擎工作機制

2.2 零信任安全架構落地案例

早在2010年，Google發現基于傳統的網絡安全架構越來越不能滿足公司安全需求，于是在2011年12月，基于零信任安全架構開始正式實施BeyondCrop計劃，到2017年全部實施完成。BeyondCrop安全架構如圖4所示，可見其完全摒棄了特權網絡（企業內網）的理念構建了一種全新的安全訪問模式。在這種無特權訪問模式下，只需要用戶和設備的憑證就可以對用戶的訪問請求進行授權，而與用戶和設備所處的網絡位置無關。也就是說，在全新的網絡安全架構下，用戶無論使用公司內網、家庭網絡還是咖啡廳網絡都不會影響用戶訪問請求的最終授權結果。因此，BeyondCorp在實施過程中始終遵循以下三個原則：

圖4 Google BeyondCrop安全架構

1）用戶發起訪問請求時所在的網絡位置不能決定哪些資源或服務允許被訪問；

2）訪問權限的授予由系統對用戶和設備的了解情況決定；

3）對資源和服務的訪問必須全部通過身份驗證，獲得授權并經過加密。

3 基于TL-BLP模型的零信任架構研究

BLP模型是Bell和LaPadula于1973年提出的一種強制訪問控制和多級安全的經典模型[4]。TL-BLP模型是一種基于可信等級的擴展BLP模型，它將可信網絡連接技術與訪問控制技術相結合，解決了用戶接入網絡和數據傳輸的可信問題，因此可以基于TL-BLP在零信任網絡中構建一個可信的網絡。TL-BLP模型在BLP模型的基礎上增加了可信等級集合、可信度函數集合和可信等級評估函數集合，擴展了BLP模型的敏感標記、狀態集合、安全特性[5]。

基于TL-BLP的模型的安全架構由訪問主體、認證控制模塊、信任評估模塊、訪問控制模塊和訪問客體五個部分組成，其安全架構如圖5所示，各部分組件的功能如下：

圖5 基于TL-BLP模型的安全架構

(1) 認證控制模塊：負責對發起訪問請求的主體進行身份認證，認證通過才可以接入網絡，對于認證不通過的轉移到隔離修補服務器進行進一步的認證，若還是未認證通過表示該訪問主體的身份不合法，系統拒絕該訪問主體接入網絡。

(2) 信任評估模塊：結合策略庫中存儲的訪問主體的信息對身份認證通過后的訪問主體進行持續信任評估，計算出訪問主體的可信度。

(3) 訪問控制模塊：由策略庫和TL-BLP模塊組成。策略庫存儲TL-BLP模型相關的強制訪問控制策略和訪問主體的相關信息，例如用戶的用戶名、密碼、用戶最近的可信度、訪問歷史記錄，設備的可信度、設備年齡、地理位置、id、使用次數，訪問客體的安全等級、被訪問的頻率等。TL-BLP模塊是整個系統的強制訪問控制模塊，通過結合信任評估模塊計算出的訪問主體的信任度以及策略庫中的強制訪問控制策略對訪問主體進行動態授權，如果訪問主體可信，就授予相應的訪問權限，否則拒絕訪問主體的請求。

4 基于TL-BLP模型的信任評估研究

在零信任網絡中，授權訪問之前默認不信任任何的訪問主體，需要根據訪問主體的多源上下文信息進行信任值的評估，將訪問主體分為可信主體、中等可信主體、低可信主體和不可信主體。此外還需要對訪問客體進行安全等級的劃分，并將等級劃分結果存入TL-BLP模型的策略庫中，最后根據訪問主體的可信程度由TL-BLP模塊執行策略庫中的訪問控制策略進行相應訪問權限的授予[4，6-11]。

4.1 可信度函數

基于TL-BLP模型的所建立的零信任安全架構中，根據多源上下文信息以及可信度函數就可以計算用戶可信度、設備可信度、應用可信度、流量可信度。

（1）用戶可信度

（2）設備可信度

（3）應用可信度

（3）流量可信度

4.2 可信等級評估函數

由計算得到的訪問主體的可信度就可以知道其可信級別，再聯合策略庫中的訪問控制策略便可以對訪問主體進行授權一定安全密級的數據資源。

5 基于TL-BLP模型的強制訪問控制架構

信任等級評估模塊完成訪問主體的可信度評估后，將可信等級發送到訪問控制模塊的策略數據庫進行存儲。在強制訪問控制架構中，安全管理中心負責對用戶、設備、應用的ID、歷史記錄、可信度等相關信息的存儲與管理，并負責制定與存儲整個安全架構的訪問控制策略與可信等級策略。當訪問主體發起訪問數據資源的請求時，安全架構中的TL-BLP強制訪問控制模塊對該訪問請求進行攔截，并通過和存儲在安全管理中心的可信等級進行比較，如果可信等級符合要求則根據TL-BLP訪問控制策略授權主體訪問一定安全等級數據資源的權限。如果可信等級不符合要求則轉至可信等級檢查室，并根據可信等級調整策略進行調整，若調整后可信等級依然不符合則直接拒絕訪問請求。基于TL-BLP模型的強制訪問控制架構如圖6所示。

圖6 基于TL-BLP模型的強制訪問控制架構

安全管理中心可以根據可信級別調整策略對用戶、設備、應用的可信等級和數據資源的安全等級進行調整并對策略庫中的相關信息進行更新。訪問主體通過認證進入系統后，根據可信度函數和可信等級評估函數對主體的訪問請求進行持續的可信度評估以及動態訪問控制。

6 結語

面對日益變化的網絡威脅，傳統的網絡安全架構不斷暴露出其安全缺陷，同時也推動了零信任網絡架構的發展。零信任安全架構作為一種全新的安全架構，將網絡邊界模糊化，能夠更好保護數據資源，但是零信任網絡還在發展初期，從傳統網絡架構到零信任安全架構的轉變是一項系統的工程，不是一蹴而就的，遷移的過程中可能會涉及一些前向兼容問題，企業是從客戶端——服務器之間的交互著手構建零信任網絡還是從服務器——服務器之間的交互著手構建零信任網絡，不僅要考慮企業的需求還需要考慮成本。

本文首先分析了傳統網絡安全架構存在的安全缺陷，然后對零信任安全架構模型以及谷歌公司的BeyondCrop安全架構的特點和遵循的原則進行了分析，最后基于TL-BLP模型對零信任安全架構中的訪問主體進行用戶可信度、設備可信度、應用可信度以及流量可信度的持續信任評估，并基于TL-BLP模型的強制訪問控制架構實現對數據資源的動態授權訪問。本文也有不足之處，比如在信任評估過程中如何選取合理的信任指標以及如何分配合理的權重需要深入研究，此外基于信任評分的零信任安全架構并非完全安全，信任評分可以基于用戶的歷史行為降低，同樣也可以基于歷史行為增加，如何防范攻擊者通過系統緩慢提高可信度獲取高訪問權限也是未來的一個研究方向。