基于TL-BLP模型的零信任安全架构研究

◆李同寒 张辉 樊林畅 王浩

（中国人民警察大学 河北 065000）

零信任的概念最早可追溯至2004年成立的耶丽哥论坛，其成立的使命是为了定义无边界趋势下的网络安全问题并寻求解决方案[1]。2010年Forrester的分析师约翰·金德维格首次提出了零信任安全的概念，并指出零信任的核心思想是企业不应该信任任何内部和外部的人、事、物，对于任何试图接入系统的人、事、物在进行授权之前都需要进行验证。2013年国际云安全联盟（CSA）提出基于软件定义边界（Software Defined Perimeter，SDP）的零信任落地技术架构，利用基于身份的强制访问控制构建出的虚拟网络打破了传统边界防护思维。2014年，谷歌发表了6篇Beyond Corp系列论文，介绍了谷歌如何将零信进行落地的实践，同一年，CSA发布了SDP标准规范1.0。2018年，Forrester提出零信任架构，将能力从微隔离扩展到可视化、分析、自动编排等维度。2019年，美国高德纳咨询公司（Gartner）发布零信任网络架构ZTNA，融合SDP安全模型，同年9月，美国国家标准技术研究院（NIST）发布《零信任架构标准》草案。直到2020年，NIST发布《零信任架构标准》正式版。

历经十年发展，零信任安全理念在国外逐渐被广泛应用，包括Microsoft、Google、Cisco、Akamai、Symantec、VMware、F5等在内的国际巨头先后在企业内部进行了零信任实践并给出了解决方案。零信任安全在国内也开始出现了萌芽，比如奇安信、阿里、华为、深信服等互联网公司都充分发挥各自在安全领域的技术优势，进行了零信任技术落地实践。

随着新兴信息技术的迅猛发展，以及层出不穷的内部和外部网络威胁，零信任安全已成为业界研究的热点。本文分析了传统网络安全架构以及典型零信任安全架构，将TL-BLP模型引入零信任安全架构中，对用户或者应用程序的访问请求进行信任评估，从而保护数据资源，为各领域的零信任安全架构技术落地提供帮助。

1 传统网络安全架构

至今，传统的网络安全模型依然是主流的网络安全模型。传统的网络安全架构如图1所示，把不同的网络划分为不同的区域，区域之间使用防火墙、入侵检测系统与入侵预防系统（IDS/IPS）、VPN网关等安全设施进行隔离，将不同程度的信任度赋予隔离出来的每个区域，这种不同程度的信任度决定拥有不同权限的用户可以访问哪些数据资源，从而形成以边界防护为核心的纵深防御体系。但随着黑客技术的不断提高以及网络威胁与日俱增，传统网络安全架构的缺陷也越来越明显。当面对复杂的网络攻击时，即使是一个完善的边界安全架构也很容易被攻陷。在传统网络安全架构中，边界隔离区的防火墙、VPN网关等就像城市周围修建的城墙一样，一旦攻击者穿越围墙进入城市，就可以在城市中随意的穿梭，那么边界就失去保护内网资源的作用。同时，传统的网络安全架构存在信任过度的问题，面对从内部网络发起的攻击，部署传统网络架构的系统毫无招架之力，比如特权用户滥用权限容易造成敏感信息泄露，内网资源被破坏，系统瘫痪不能正常提供服务等。

图1 传统网络安全架构

由此可见，对于层出不穷的网络安全问题，如果继续使用传统的网络安全架构解决新的安全威胁，则很难达到保护数据安全的目的，这就需要构建更加安全的网络架构去应对网络安全威胁，从而催生出了零信任安全架构。

2 零信任安全架构

2.1 架构模型

与传统的网络安全架构所不同的是，零信任安全架构（Zero Trust Security Architecture，ZTSA）摒弃了以边界防护为核心的理念，提出了一种新的安全架构模型。零信任安全架构不再依赖网络位置来保护数据资源，无论主机的网络位置如何，都将其视为互联网主机，并且默认不信任所有的人、事、物，认为网络时刻处在充满外部或者内部安全威胁的环境之中，所有的网络通信和业务访问都必须经过身份认证与持续性的信任评估进行动态授权才能完成[2]。零信任安全架构如图2所示，

图2 零信任安全架构

零信任安全架构的三大核心组件分别是数据平面、控制平面以及身份安全基础设施。数据平面负责高速的处理数据包，是动态访问控制的策略执行点[3]，其主要由可信代理组件构成；控制平面由信任评估引擎和动态访问控制引擎组成，数据平面对网络资源的访问请求就由控制平面进行接收并进行授权是否允许访问数据资源，而且控制平面会随着相关策略的变化而变化，其负责对数据平面进行管理和配置；身份安全基础设施通过为各类访问主体提供身份管理和权限服务功能来实现以身份为基础的零信任安全架构。

其中信任评估引擎是零信任安全架构中实现对访问主体的请求进行持续评估的核心组件，通过采集用户数据、设备数据、行为数据、日志数据等进行量化评估与动态访问控制引擎联动，然后根据相应的策略对访问主体的请求进行授权，实现对应用、接口、数据等访问客体进行动态的访问控制。信任引擎的工作机制如图3所示。

图3 信任评估引擎工作机制

2.2 零信任安全架构落地案例

早在2010年，Google发现基于传统的网络安全架构越来越不能满足公司安全需求，于是在2011年12月，基于零信任安全架构开始正式实施BeyondCrop计划，到2017年全部实施完成。BeyondCrop安全架构如图4所示，可见其完全摒弃了特权网络（企业内网）的理念构建了一种全新的安全访问模式。在这种无特权访问模式下，只需要用户和设备的凭证就可以对用户的访问请求进行授权，而与用户和设备所处的网络位置无关。也就是说，在全新的网络安全架构下，用户无论使用公司内网、家庭网络还是咖啡厅网络都不会影响用户访问请求的最终授权结果。因此，BeyondCorp在实施过程中始终遵循以下三个原则：

图4 Google BeyondCrop安全架构

1）用户发起访问请求时所在的网络位置不能决定哪些资源或服务允许被访问；

2）访问权限的授予由系统对用户和设备的了解情况决定；

3）对资源和服务的访问必须全部通过身份验证，获得授权并经过加密。

3 基于TL-BLP模型的零信任架构研究

BLP模型是Bell和LaPadula于1973年提出的一种强制访问控制和多级安全的经典模型[4]。TL-BLP模型是一种基于可信等级的扩展BLP模型，它将可信网络连接技术与访问控制技术相结合，解决了用户接入网络和数据传输的可信问题，因此可以基于TL-BLP在零信任网络中构建一个可信的网络。TL-BLP模型在BLP模型的基础上增加了可信等级集合、可信度函数集合和可信等级评估函数集合，扩展了BLP模型的敏感标记、状态集合、安全特性[5]。

基于TL-BLP的模型的安全架构由访问主体、认证控制模块、信任评估模块、访问控制模块和访问客体五个部分组成，其安全架构如图5所示，各部分组件的功能如下：

图5 基于TL-BLP模型的安全架构

(1) 认证控制模块：负责对发起访问请求的主体进行身份认证，认证通过才可以接入网络，对于认证不通过的转移到隔离修补服务器进行进一步的认证，若还是未认证通过表示该访问主体的身份不合法，系统拒绝该访问主体接入网络。

(2) 信任评估模块：结合策略库中存储的访问主体的信息对身份认证通过后的访问主体进行持续信任评估，计算出访问主体的可信度。

(3) 访问控制模块：由策略库和TL-BLP模块组成。策略库存储TL-BLP模型相关的强制访问控制策略和访问主体的相关信息，例如用户的用户名、密码、用户最近的可信度、访问历史记录，设备的可信度、设备年龄、地理位置、id、使用次数，访问客体的安全等级、被访问的频率等。TL-BLP模块是整个系统的强制访问控制模块，通过结合信任评估模块计算出的访问主体的信任度以及策略库中的强制访问控制策略对访问主体进行动态授权，如果访问主体可信，就授予相应的访问权限，否则拒绝访问主体的请求。

4 基于TL-BLP模型的信任评估研究

在零信任网络中，授权访问之前默认不信任任何的访问主体，需要根据访问主体的多源上下文信息进行信任值的评估，将访问主体分为可信主体、中等可信主体、低可信主体和不可信主体。此外还需要对访问客体进行安全等级的划分，并将等级划分结果存入TL-BLP模型的策略库中，最后根据访问主体的可信程度由TL-BLP模块执行策略库中的访问控制策略进行相应访问权限的授予[4，6-11]。

4.1 可信度函数

基于TL-BLP模型的所建立的零信任安全架构中，根据多源上下文信息以及可信度函数就可以计算用户可信度、设备可信度、应用可信度、流量可信度。

（1）用户可信度

（2）设备可信度

（3）应用可信度

（3）流量可信度

4.2 可信等级评估函数

由计算得到的访问主体的可信度就可以知道其可信级别，再联合策略库中的访问控制策略便可以对访问主体进行授权一定安全密级的数据资源。

5 基于TL-BLP模型的强制访问控制架构

信任等级评估模块完成访问主体的可信度评估后，将可信等级发送到访问控制模块的策略数据库进行存储。在强制访问控制架构中，安全管理中心负责对用户、设备、应用的ID、历史记录、可信度等相关信息的存储与管理，并负责制定与存储整个安全架构的访问控制策略与可信等级策略。当访问主体发起访问数据资源的请求时，安全架构中的TL-BLP强制访问控制模块对该访问请求进行拦截，并通过和存储在安全管理中心的可信等级进行比较，如果可信等级符合要求则根据TL-BLP访问控制策略授权主体访问一定安全等级数据资源的权限。如果可信等级不符合要求则转至可信等级检查室，并根据可信等级调整策略进行调整，若调整后可信等级依然不符合则直接拒绝访问请求。基于TL-BLP模型的强制访问控制架构如图6所示。

图6 基于TL-BLP模型的强制访问控制架构

安全管理中心可以根据可信级别调整策略对用户、设备、应用的可信等级和数据资源的安全等级进行调整并对策略库中的相关信息进行更新。访问主体通过认证进入系统后，根据可信度函数和可信等级评估函数对主体的访问请求进行持续的可信度评估以及动态访问控制。

6 结语

面对日益变化的网络威胁，传统的网络安全架构不断暴露出其安全缺陷，同时也推动了零信任网络架构的发展。零信任安全架构作为一种全新的安全架构，将网络边界模糊化，能够更好保护数据资源，但是零信任网络还在发展初期，从传统网络架构到零信任安全架构的转变是一项系统的工程，不是一蹴而就的，迁移的过程中可能会涉及一些前向兼容问题，企业是从客户端——服务器之间的交互着手构建零信任网络还是从服务器——服务器之间的交互着手构建零信任网络，不仅要考虑企业的需求还需要考虑成本。

本文首先分析了传统网络安全架构存在的安全缺陷，然后对零信任安全架构模型以及谷歌公司的BeyondCrop安全架构的特点和遵循的原则进行了分析，最后基于TL-BLP模型对零信任安全架构中的访问主体进行用户可信度、设备可信度、应用可信度以及流量可信度的持续信任评估，并基于TL-BLP模型的强制访问控制架构实现对数据资源的动态授权访问。本文也有不足之处，比如在信任评估过程中如何选取合理的信任指标以及如何分配合理的权重需要深入研究，此外基于信任评分的零信任安全架构并非完全安全，信任评分可以基于用户的历史行为降低，同样也可以基于历史行为增加，如何防范攻击者通过系统缓慢提高可信度获取高访问权限也是未来的一个研究方向。