基于可编程网络的动态访问控制方法及系统

1.本发明涉及网络通信技术领域，具体涉及一种基于可编程网络的动态访问控制方法及系统。


背景技术：

2.随着新一代信息技术的飞速发展及企业数字化转型的深入，工业互联网的创新建设成为未来行业发展的关键。工业互联网以网络为基础、平台为中枢、数据为要素、安全为保障。访问控制是保障网络安全的重要措施之一，远程办公、远程会议、远程教育等一系列业务的快速发展对其灵活性的要求越发严苛。
3.由于传统网络安全架构的固有缺陷以及现有基于流量访问控制缺乏后续行为监测和动态性、实时性不足的问题，使得工业互联网在线业务的访问控制面临新的安全需求与挑战。首先，工业互联网场景下工业化和信息化深度融合，推动着现代工业系统逐步从传统封闭、单机模式向互联、开放、智能化模式转变。传统的安全防护仅从信息安全或者功能安全的角度进行设计，这使得it环境与ot环境的信任边界变得模糊，导致风险防控问题更为复杂。因此，如何将零信任应用到工业互联网从而改善安全现状是当前主要面临的挑战之一。
4.为了从根源上管控针对被保护的数据发起的访问请求，零信任中的最小授权的原则为工业互联网下的动态访问控制研究提供了重要的思想。其次，可编程网络的出现为零信任提供了新的方向。过往的访问控制方式一般仅在入站进行流量检测，不对后续的访问行为进行监测，这给攻击者提供了通过伪装身份逃避访问控制的机会。因此，如何使用数据平面实现零信任架构的实时性监测需求是目前面对的一大挑战。最后，随着工业互联网移动用户与新兴业务的海量增长，攻击者愈发诡诈多变的攻击模式对流量访问控制策略带来了巨大挑战。随着技术的不断发展，传统借助访问控制列表实现基于角色的访问控制固定策略难以应对更加复杂灵活的攻击方式与动态变化的恶意流量。
5.针对上述缺陷，迫切需要探索构建更加完备的动态访问控制方法以满足在线业务对网络访问授权的苛刻要求。此外，由于通信网络具有跨学科复杂性系统的特性，要求应当从应用需求出发进行自顶向下的系统设计，才能使成果具有广泛适用意义。


技术实现要素：

6.本发明的目的在于提供一种基于可编程网络的动态访问控制方法及系统，以解决上述背景技术中存在的至少一项技术问题。
7.为了实现上述目的，本发明采取了如下技术方案：
8.一方面，本发明提供一种基于可编程网络的动态访问控制系统，包括：
9.获取模块，用于获取请求信号；其中，所述请求信号头部设计在以太网头和ip头之后，请求信号中封装有上下文信息；
10.解析模块，用于解析请求信号；其中，根据ip协议头部的类型字段，获取请求信号，
并提取封装在请求信号中的上下文信息；
11.授权模块，用于上下文匹配授权；其中，根据获取到的上下文信息，通过匹配流表中的服务请求对象找到相应策略，根据策略要求对属性信息进行逐一检查，并将决策过程上报到控制平面；
12.执行模块，用于策略模块执行转发；其中，将所得出的授权结果传递给执行模块，实现对数据包的执行动作；
13.授权决策模块，用于申请决策；其中，若查询不到相应的匹配策略，向控制平面申请实时授权；向信任评估模块输入实时上下文，获取对应的决策结果。
14.信任评估模块，用于持续信任评估；其中，完成授权后，信任评估模块对用户的访问行为进行持续信任评估，若用户的访问请求不合法，则阻断用户的访问行为。
15.第二方面，本发明提供一种利用如上所述的系统实现的基于可编程网络的动态访问控制方法，包括：
16.获取请求信号；其中，所述请求信号头部设计在以太网头和ip头之后，请求信号中封装有上下文信息；
17.解析请求信号；其中，根据ip协议头部的类型字段，获取请求信号，并提取封装在请求信号中的上下文信息；
18.上下文匹配授权；其中，根据获取到的上下文信息，通过匹配流表中的服务请求对象找到相应策略，根据策略要求对属性信息进行逐一检查，并将决策过程上报到控制平面；
19.策略模块执行转发；其中，将所得出的授权结果传递给执行模块，实现对数据包的执行动作；
20.申请决策；其中，若查询不到相应的匹配策略，向控制平面申请实时授权；向信任评估模块输入实时上下文，获取对应的决策结果。
21.持续信任评估；其中，完成授权后，信任评估模块对用户的访问行为进行持续信任评估，若用户的访问请求不合法，则阻断用户的访问行为。
22.进一步的，所述请求信号采用ip五元组来区分不同的流，将请求信号头部设计在ethernet头部和ip头部之后；通过识别ipv4头部后是否含有请求信号头部分辨请求信号和普通数据包；上下文信息包括用户设备标识uid、地理位置p、访问请求时间t、mac地址、访问请求所在的流的数据量d、流量速率r、申请访问次数n、访问请求资源ar。
23.进一步的，解析请求信号；其中，根据ip协议头部的类型字段，获取请求信号，并提取封装在请求信号中的上下文信息，包括：数据解析模块对接收到来自用户的数据包，首先进行头部解析判断是否是请求信号；若解析结果为请求信号，则采集其包含的上下文信息，通过匹配流表中的服务请求对象找到相应策略，根据策略要求对上下文信息进行逐一检查；若解析结果为非请求信号，则根据授权结果执行相应的动作。
24.进一步的，根据请求信号携带的上下文信息进行实时决策，并通过信任评估模块的结果实现动态授权；当来自数据解析模块的上下文信息到达授权模块时，首先将其与控制器下发的访问控制策略进行逐条匹配，调用信任评估模块的信任度评分，根据匹配结果对该条请求进行授权决策，然后将需要执行的访问控制动作发送给执行模块，由执行模块执行授权决策结果；待收到信任评估模块返回的信任度评分后，根据信任度评分去动态调整访问控制策略，并将下一个到达的数据包与新的访问控制策略进行匹配，根据匹配结果
做出决策。
25.进一步的，信任评估模块中采用零信任的思想，默认不信任网络内部/外部的任何人和设备，避免信息泄露及地址假冒攻击风险；零信任是将获得的上下文信息输入机器学习模型，以最小的开销满足需求。
26.进一步的，采用随机森林和神经网络算法构建信任评估模块中的机器学习模型作为信任模型；利用信任模型通过计算、分析用户的历史行为与实时请求，对用户身份的可信性进行评估；将信任评估结果发送至授权决策模块，判断是否对其进行访问控制策略的更新，并将下一个到达的数据包与最新的访问控制策略相匹配，进行授权决策，以确定是否允许此次的访问请求。
27.第三方面，本发明提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质用于存储计算机指令，所述计算机指令被处理器执行时，实现如上所述的基于可编程网络的动态访问控制方法。
28.第四方面，本发明提供一种计算机程序产品，包括计算机程序，所述计算机程序当在一个或多个处理器上运行时，用于实现如上所述的基于可编程网络的动态访问控制方法。
29.第五方面，本发明提供一种电子设备，包括：处理器、存储器以及计算机程序；其中，处理器与存储器连接，计算机程序被存储在存储器中，当电子设备运行时，所述处理器执行所述存储器存储的计算机程序，以使电子设备执行实现如上所述的基于可编程网络的动态访问控制方法的指令。
30.本发明有益效果：提供的动态访问控制方法在可编程网络架构的基础上，向数据平面引入授权决策功能，向控制平面引入动态访问控制功能，使各平面具备独立或协同的访问安全保障能力；通过控制平面与数据平面间的需求传递、信息共享，实现自顶向下的访问控制方案，使得访问策略与授权决策的实时更改，保障用户访问资源的安全性；从实际应用需求出发，按照用户需求嵌入自身上下文信息至请求信号中，在数据平面支持线速授权决策，实现动态调整用户的访问权限，突破传统模式策略管理僵化与请求响应缓慢的瓶颈，从而提升可编程网络环境中的服务安全性。
31.本发明附加方面的优点，将在下述的描述部分中更加明显的给出，或通过本发明的实践了解到。
附图说明
32.为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
33.图1为本发明实施例所述的动态访问控制方法的架构图。
34.图2为本发明实施例所述的动态访问控制方法的流程图。
具体实施方式
35.下面详细叙述本发明的实施方式，所述实施方式的示例在附图中示出，其中自始
至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过附图描述的实施方式是示例性的，仅用于解释本发明，而不能解释为对本发明的限制。
36.本技术领域技术人员可以理解，除非另外定义，这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。
37.本技术领域技术人员可以理解，除非特意声明，这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是，本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或模块，但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件和/或它们的组。
38.为便于理解本发明，下面结合附图以具体实施例对本发明作进一步解释说明，且具体实施例并不构成对本发明实施例的限定。
39.本领域技术人员应该理解，附图只是实施例的示意图，附图中的部件并不一定是实施本发明所必须的。
40.实施例1
41.本实施例1中，首先提供了一种基于可编程网络的动态访问控制系统，该系统包括：获取模块，用于获取请求信号；其中，所述请求信号头部设计在以太网头和ip头之后，请求信号中封装有上下文信息；解析模块，用于解析请求信号；其中，根据ip协议头部的类型字段，获取请求信号，并提取封装在请求信号中的上下文信息；授权模块，用于上下文匹配授权；其中，根据获取到的上下文信息，通过匹配流表中的服务请求对象找到相应策略，根据策略要求对属性信息进行逐一检查，并将决策过程上报到控制平面；执行模块，用于策略模块执行转发；其中，将所得出的授权结果传递给执行模块，实现对数据包的执行动作；授权决策模块，用于申请决策；其中，若查询不到相应的匹配策略，向控制平面申请实时授权；向信任评估模块输入实时上下文，获取对应的决策结果。信任评估模块，用于持续信任评估；其中，完成授权后，信任评估模块对用户的访问行为进行持续信任评估，若用户的访问请求不合法，则阻断用户的访问行为。
42.本实施例1中，利用上述的系统实现的基于可编程网络的动态访问控制方法，包括：获取请求信号；其中，所述请求信号头部设计在以太网头和ip头之后，请求信号中封装有上下文信息；解析请求信号；其中，根据ip协议头部的类型字段，获取请求信号，并提取封装在请求信号中的上下文信息；上下文匹配授权；其中，根据获取到的上下文信息，通过匹配流表中的服务请求对象找到相应策略，根据策略要求对属性信息进行逐一检查，并将决策过程上报到控制平面；策略模块执行转发；其中，将所得出的授权结果传递给执行模块，实现对数据包的执行动作；申请决策；其中，若查询不到相应的匹配策略，向控制平面申请实时授权；向信任评估模块输入实时上下文，获取对应的决策结果。持续信任评估；其中，完成授权后，信任评估模块对用户的访问行为进行持续信任评估，若用户的访问请求不合法，则阻断用户的访问行为。
43.所述请求信号采用ip五元组来区分不同的流，将请求信号头部设计在ethernet头部和ip头部之后；通过识别ipv4头部后是否含有请求信号头部分辨请求信号和普通数据包；上下文信息包括用户设备标识uid、地理位置p、访问请求时间t、mac地址、访问请求所在的流的数据量d、流量速率r、申请访问次数n、访问请求资源ar。
44.解析请求信号；其中，根据ip协议头部的类型字段，获取请求信号，并提取封装在
请求信号中的上下文信息，包括：数据解析模块对接收到来自用户的数据包，首先进行头部解析判断是否是请求信号；若解析结果为请求信号，则采集其包含的上下文信息，通过匹配流表中的服务请求对象找到相应策略，根据策略要求对上下文信息进行逐一检查；若解析结果为非请求信号，则根据授权结果执行相应的动作。
45.根据请求信号携带的上下文信息进行实时决策，并通过信任评估模块的结果实现动态授权；当来自数据解析模块的上下文信息到达授权模块时，首先将其与控制器下发的访问控制策略进行逐条匹配，调用信任评估模块的信任度评分，根据匹配结果对该条请求进行授权决策，然后将需要执行的访问控制动作发送给执行模块，由执行模块执行授权决策结果；待收到信任评估模块返回的信任度评分后，根据信任度评分去动态调整访问控制策略，并将下一个到达的数据包与新的访问控制策略进行匹配，根据匹配结果做出决策。
46.信任评估模块中采用零信任的思想，默认不信任网络内部/外部的任何人和设备，避免信息泄露及地址假冒攻击风险；零信任是将获得的上下文信息输入机器学习模型，以最小的开销满足需求。采用随机森林和神经网络算法构建信任评估模块中的机器学习模型作为信任模型；利用信任模型通过计算、分析用户的历史行为与实时请求，对用户身份的可信性进行评估；将信任评估结果发送至授权决策模块，判断是否对其进行访问控制策略的更新，并将下一个到达的数据包与最新的访问控制策略相匹配，进行授权决策，以确定是否允许此次的访问请求。
47.实施例2
48.本实施例2中，提供一种动态访问控制方法，包括：基于用户上下文的数据平面感知授权策略和基于持续信任评估的动态访问约束模型；所述用户上下文的数据平面感知授权策略，负责对用户的访问流量的上下文信息进行感知，根据上下文等特征信息进行授权决策，并将经过识别获得的决策结果上报至控制平面；所述的基于持续信任评估的动态访问约束模型，负责统计数据平面上报的信息，并结合机器学习方法对资源进行动态授权。
49.在用户向网络中的业务发起新的请求之前，需要向接入设备可靠地报告上下文。采用了发送独立信号的方式，用户将自身上下文信息添加到请求信号中，并定期发送请求信号，以确保整个服务中上下文的新鲜度；当请求信号到达时，接入设备提取数据包头部来读取上下文。然后通过匹配服务对象在表中找到相应的规则，并将决策过程上报至控制平面。此外，交换机与控制平面之间的远程交互可以实现策略的实时重构。根据检查结果，更新授权结果表，以指示对交换机的服务数据包的动作。控制平面对数据平面上报的授权过程进行存储，并根据报告的上下文进行信任评估，按照机器学习的评估结果动态调整访问控制策略，实现动态授权决策。
50.根据服务与应用的需求差异，用户可以自主地发送嵌入自身上下文信息的请求信号至数据平面可编程交换机，由可编程交换机解析请求信号并进行授权，使用机器学习技术对用户上下文等关键信息以及历史访问记录进行持续性评估，决策得出能够避免非法访问的访问控制策略。若数据平面查询不到相应的匹配策略，则通过控制平面对其进行实时评估，并将决策结果下发至数据平面，保障用户合法访问资源。
51.本实施例2中，首先，设计用户自定义请求信号格式，用户申请访问权限时需主动发送嵌入自身上下文的访问请求信号至可编程交换机，并定期更新以确保可编程交换机解析信息的新鲜度。其次，探索数据平面流量感知模块的部署方法，解决流量的特征提取、类
型解析的决策结果等关键信息的收集上报问题。最后，构建位于控制平面的信任评估模块，通过实时与知识库的交互匹配，实现对访问请求的持续信任评估，根据结果动态调整访问控制策略及授权决策，以实现更精准的访问授权。
52.所述用户自定义请求信号格式包括：通过修改应用协议栈，用户在发起服务之前发送基于ip的请求信号，其协议号被设置为私有值。用户需将自身的上下文信息封装在请求信号中，其中包含用户信息，设备信息，网络状态信息，地理位置信息，访问时间，访问频率等。采用ip五元组来区分不同的流，将ac头设计在以太网头和ip头之后。考虑到攻击者可能发送一个目的主机已接收过的包，来达到欺骗系统的目的，在身份认证过程中破坏认证的正确性。由于这种重放攻击提交给服务器的数据是曾经有效的，因此，为了防止这种攻击，在访问请求包的设计中为特定信息设置一个时间戳。并且将这个时间戳保存在服务器内，在解析访问请求包之前，首先对时间戳进行验证，如果发现超过有效期则该条信息无效，否则继续解析用户属性，通过这种方法来防止重放攻击。
53.所述的数据平面流量感知模块的部署方法包括：通过分析收集到的所有流量，得到对应流量上下文的特征，从而获得比传统的设计获得更加快速的响应与更灵活的细粒度访问控制。根据访问请求携带的流量类型进行实时决策，并通过信任评估结果实现动态授权。当来自流量感知模块的请求信息到达策略授权模块时，通过匹配流表中的服务请求对象找到相应策略，根据策略要求对上下文信息进行逐一检查。如果存在相匹配的流表项，则把用户上下文信息以及匹配的结果即访问结果上报给控制平面存储；如果流表中无该数据包的匹配信息，说明目前对于该数据包没有访问策略，因此需要上报给控制平面获取访问策略，请求对其进行实时智能评估，根据智能评估结果实现动态授权。
54.所述的数据平面解析包括：数据解析模块通过递归程序提取上下文，并将它们视为元数据。接下来，在入口管道中顺序匹配每个上下文的规则表，并且基于验证来确定对分组的特定动作。典型操作包括允许、拒绝、警告和重新身份验证。其中，告警是指向控制平面发送请求的关键信息摘要，重新认证需要终端重新提交请求信号或补充上下文。最后，授权结果表是一个哈希表，用于存储授权决策。当交换机处理一个上下文请求信号时，它需要暂存这个决策并将它应用到同一流中后续的数据包，直到下一个上下文请求信号的出现刷新原决策。利用表项和寄存器的快速匹配可以保证这一类的数据包都能快速通过，相当于把第一个上下文请求信号的信息暂存在键/值中，其后续的数据包都符合该条件，能迅速通过。这个状态会一直保存，直到有新连接接入时，新条目才会取代旧条目。向这个键/值存储区插入条目需要控制平面的参与，但是控制平面使用得相对较少，只在新连接时需要。
55.所述的键/值存储包括：使用一个可以减少数据转发查找延迟的哈希表来存储不同业务流的授权结果。计算出数据包中ip五元组的哈希值为键，授权结果为值。包头解析后，通过内置的哈希算法获得ip五元组的哈希值。交换机要执行的操作可以基于键值查找来指定。由于动作存储在哈希表中，需要解决不同服务流的地址冲突。可以将授权决策部署在边缘交换机上执行，与集中式解决方案相比，单个设备执行的任务更少。因此，不同服务之间地址冲突的概率较低。如果发生了哈希冲突，冲突服务的授权结果将缓存在溢出列表中。
56.所诉控制平面动态评估包括：提取存储在控制平面知识库中的信息，同时调用信任评估模块获取机器学习模型，根据匹配结果对该条访问请求进行授权决策，然后将需要
执行的访问控制动作发送给数据平面，由数据平面执行授权决策结果。根据模型返回的决策结果，对模型进行动态调整并周期性下发，实现零信任动态访问控制，以便提供给信任评估模块评分的更多参考来源，提高评分合理性。
57.所述位于控制平面的信任评估模块包括：控制平面上部署用于授权决策的信任评估模块，依托神经网络与随机森林等机器学习算法实现对访问请求的持续信任评估。同时，控制平面也负责对上下文和授权决策结果进行周期性地统计、分析以及授权决策，然后将需要执行的访问控制动作发送给执行模块，由执行模块执行授权决策结果。根据模型返回的决策结果，对访问策略进行动态调整并周期性下发，实现对访问约束策略的实时更改，从全局视角实现可信、精准的动态访问约束。
58.所述的信任评估模块是实现持续信任评估能力的核心模块，提供信任度评估能力。通过知识库存储的日志信息对主体信任持续评估，为动态访问控制提供决策依据，负责最终决定是否授予访问主体对访问客体的访问权限。信任评估模块负责搭建信任评估模型，该模型通过计算、分析用户的历史行为与实时请求，能够准确地对用户访问行为的可信性进行评估。最后，将信任评估结果发送至授权模块，由授权模块判断是否对其进行访问控制策略的更新，并将下一个到达的数据包与最新的访问控制策略相匹配，通过授权决策来确定是否允许此次的访问请求。此外，当用户发送的访问请求信号在授权模块中查询不到相应的匹配条目时，需上报给信任评估模块，由它负责对其进行实时评估，并将新生成的决策结果作为新的访问控制策略下发到数据平面。
59.所述的知识库位于控制平面，存储数据平面上报的用户上下文信息以及授权决策结果，同时它与信任评估模块紧密相关，是动态信任评估的判定模块。授权模块将含有上下文信息和授权决策结果上报至控制平面的知识库中进行存储，同时作为动态信任品评估的输入，在新的访问请求来临时，通过信任评估模块完成实时的授权决策。
60.实施例3
61.本实施例3中，利用可编程网络的思想与特性提供了一种动态访问控制方法用于支持用户的合法访问，如图1所示。该流程包括用户自定义请求信号、数据平面感知授权以及控制平面动态评估三个方面，三方面互相协同实现用户访问的合法性及安全性。
62.本实施例中用户自定义请求信号负责设计自定义信号格式，在发送时定义并传递上下文给数据平面，包括：
63.采用ip五元组来区分不同的流，将请求信号头部设计在ethernet头部和ip头部之后。通过识别ipv4头部后是否含有请求信号头部分辨请求信号和普通数据包。具体的上下文信息包括用户设备标识uid、地理位置p、访问请求时间t、mac地址、访问请求所在的流的数据量d、流量速率r、申请访问次数n、访问请求资源ar等；
64.此外，为了确保可编程交换机解析到上下文信息的新鲜度，用户在申请访问权限时，需主动下发请求信号，并在访问持续过程中，定期重新发送请求信号，以更新有可能发生变化的用户上下文等关键信息。
65.本实施例中数据平面感知授权用于对用户上下文信息进行感知，并匹配访问策略进行实时授权决策，包括：
66.当请求信号到达时，数据解析模块提取包头来读取上下文。然后通过匹配服务对象在表中找到相应的规则。不同类别的上下文验证是逐个进行的。此外，交换机与控制平面
之间的远程交互可以实现策略的实时重构。根据检查结果，更新授权结果表，以指示对交换机的服务数据包的动作。具体操作包括允许、丢弃、重新认证等，数据平面的高度定制功能支持添加其他行为。将授权过程从控制平面迁移到数据平面，不仅减少了延迟和带宽开销，而且增强了系统容量；
67.数据解析模块接收到来自用户的数据包后，首先进行头部解析判断是否是请求信号，若解析结果为请求信号，则采集其包含的上下文信息，通过匹配流表中的服务请求对象找到相应策略，根据策略要求对上下文信息进行逐一检查。然后将所采集的上下文信息传递给授权模块，为授权模块提供输入。若解析结果为非请求信号，则根据授权结果由执行模块执行相应的动作。数据解析模块在传入端口上接收数据包并对元数据和其他字段进行检索，将这些字段与流程表中的条目进行比较。如果发现数据包的字段和条目匹配，则交换机将动作应用到后续所有的数据包中，将其重定向到指定输出端口。若不匹配，则数据包字段转入下一个流程表内。如果最后一个流表中没有相应条目，则判定该上下文数据包属于新流，并转发至控制器中确定新的流规则；
68.执行模块负责确保访问授权决策结果的正确执行。根据需求可实现对数据包的转发、丢弃、再认证或者流量清洗等动作。在部署时需要尽可能地靠近终端，既有利于降低时延以及节省开销，同时有助于提升信任评估模块评估的准确性。为了降低对正常数据包的处理时间，通过在交换机内置的寄存器中建立黑/白名单来控制权限，黑/白名单采用k/v存储结构，即哈希表。计算出正常数据包中的请求者五元组的哈希值，并执行在哈希表的相应存储区域的动作，例如允许、拒绝、警报再认证或转向深度包检测等。当传入上下文请求信号时，调用控制平面在键值表中插入匹配/动作条目，不同的连接可以映射到相同的条目，因此需要在发生冲突时用新条目替换旧条目。黑名单过滤器内存储着最近违反策略的设备，若上下文请求信号被判断为“驱逐”，则将该上下文请求信号的ip地址信息列入黑名单中。当传入数据包时，先与键值表进行匹配，如果成功则应用策略，如果没有此包的表项，则传输到黑名单区进行查询，如若命中，则丢弃。若查询无果，则丢弃该数据包；
69.授权模块根据请求信号携带的上下文信息进行实时决策，并通过信任评估模块的结果实现动态授权。当来自数据解析模块的上下文信息到达授权模块时，首先将其与控制器下发的访问控制策略进行逐条匹配，同时调用信任评估模块获取信任度评分，根据匹配结果对该条请求进行授权决策，然后将需要执行的访问控制动作发送给执行模块，由执行模块执行授权决策结果。待收到信任评估模块返回的信任度评分后，根据信任度评分去动态调整访问控制策略，并将下一个到达的数据包与新的访问控制策略进行匹配，根据匹配结果做出决策，交由执行模块执行。授权决策完成后，将此次授权决策信息统计上报至知识库中进行存储，以便提供给信任评估模块评分的更多参考来源，提高评分合理性。
70.本实施例中控制平面的知识库存储报告的上下文，依托神经网络和随机森林的机器学习算法实现对访问请求的持续信任评估。同时，控制平面也负责对流量特征进行周期性地统计、分析以及模型的决策和下发，实现对访问控制策略的实时更改，从全局视角实现可信、精准的动态访问控制。
71.知识库负责存储数据平面周期性上报的认证记录以及服务对象的策略等信息。知识库将来自数据平面的数据平面的上下文、流量行为特征、授权决策结果等关键信息进行统计分析，构建上下文信息库、全域流量特征库及认证记录库。授权决策依据的大量数据都
存放在知识库中，信任评估模块可以依据全网流量情况、服务对象策略、历史行为以及实时请求信息对信任度进行实时计算。授权模块直接或间接地使用知识库信息进行授权决策。
72.当捕获到请求信号时，知识库将提取关键信息，如服务对象、身份、上下文和相关授权结果。一旦虚拟网络接口接收到请求信号，信任评估模块就去评估用户的信任级别。知识库负责存储数据平面周期性上报的记录和信任评估模块中模型的相关上下文信息。当对流量进行动态访问控制时，就将数据平面获得的上下文信息与机器学习模型进行匹配，得出决策结果。将信任评估模块生成的模型上下文信息传入知识库并存储，当发生访问行为后再根据每次的结果动态更新模型；
73.信任评估模块采用零信任的思想，默认不信任网络内部/外部的任何人和设备，有效避免了内部人员泄露信息及地址假冒攻击等的风险。零信任并非完全不信任，而是将获得的上下文信息输入机器学习模型，以最小的开销满足需求。采用随机森林和神经网络算法来构建信任评估模块中的信任模型。该模型通过计算、分析用户的历史行为与实时请求，能够准确地对用户身份的可信性进行评估。最后，将信任评估结果发送至授权决策模块，判断是否对其进行访问控制策略的更新，并将下一个到达的数据包与最新的访问控制策略相匹配，进行授权决策，以确定是否允许此次的访问请求。
74.控制平面提高了访问控制的可信性。由于数据平面运算能力的限制，在控制平面引入信任评估模块对访问控制进行模型构建，并根据访问授权结果动态调整访问控制策略，实时阻断非法用户的恶意访问以及合法用户的越权访问。并且，采用多个模型也可以保证在进行模型更新时，不会停止对访问行为的管理。
75.如图2所示，动态访问控制方法，包括如下步骤：
76.步骤s201：请求信号的设计与发送。具体地，请求信号头部设计在以太网头和ip头之后。将上下文信息封装在请求信号中发送至可编程交换机中申请访问权限。
77.步骤s202：解析请求信号。具体地，根据ip协议头部的类型字段，获取请求信号，并提取封装在请求信号中的上下文信息。
78.步骤s203：上下文匹配授权。具体地，获取到上下文信息以后，通过匹配流表中的服务请求对象找到相应策略，根据策略要求对属性信息进行逐一检查，并将决策过程上报到控制平面。
79.步骤s204：策略模块执行转发。将所得出的授权结果传递给执行模块，实现对数据包的转发、丢弃、深度检测或者流量清洗等动作。
80.步骤s205：实时申请决策。若查询不到相应的匹配策略，向控制平面申请实时授权。向信任评估模块输入实时上下文，获取对应的决策结果。
81.步骤s206：持续信任评估。完成授权后，信任评估模块对用户的访问行为进行持续信任评估，一旦发现用户的访问请求不合法，则立即阻断用户的访问行为。
82.本发明实施例提供的动态访问控制方法，通过采用用户自定义请求信号、数据平面感知授权以及控制平面动态评估三方面信息共享、需求传递、协同适配的工作模式，解决了传统网络安全架构的固有缺陷以及现有基于流量访问控制缺乏后续行为监测和动态性、实时性不足的问题。弥补了传统网络架构遭受入侵就会在网络中横向移动的缺陷，提高了网络在不同场景下的资源访问安全保障能力。
83.实施例4
84.本实施例4提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质用于存储计算机指令，所述计算机指令被处理器执行时，实现如上所述的基于可编程网络的动态访问控制方法，该方法包括：
85.获取请求信号；其中，所述请求信号头部设计在以太网头和ip头之后，请求信号中封装有上下文信息；
86.解析请求信号；其中，根据ip协议头部的类型字段，获取请求信号，并提取封装在请求信号中的上下文信息；
87.上下文匹配授权；其中，根据获取到的上下文信息，通过匹配流表中的服务请求对象找到相应策略，根据策略要求对属性信息进行逐一检查，并将决策过程上报到控制平面；
88.策略模块执行转发；其中，将所得出的授权结果传递给执行模块，实现对数据包的执行动作；
89.申请决策；其中，若查询不到相应的匹配策略，向控制平面申请实时授权；向信任评估模块输入实时上下文，获取对应的决策结果。
90.持续信任评估；其中，完成授权后，信任评估模块对用户的访问行为进行持续信任评估，若用户的访问请求不合法，则阻断用户的访问行为。
91.实施例5
92.本实施例5提供一种计算机程序产品，包括计算机程序，所述计算机程序当在一个或多个处理器上运行时，用于实现如上所述的基于可编程网络的动态访问控制方法，该方法包括：
93.获取请求信号；其中，所述请求信号头部设计在以太网头和ip头之后，请求信号中封装有上下文信息；
94.解析请求信号；其中，根据ip协议头部的类型字段，获取请求信号，并提取封装在请求信号中的上下文信息；
95.上下文匹配授权；其中，根据获取到的上下文信息，通过匹配流表中的服务请求对象找到相应策略，根据策略要求对属性信息进行逐一检查，并将决策过程上报到控制平面；
96.策略模块执行转发；其中，将所得出的授权结果传递给执行模块，实现对数据包的执行动作；
97.申请决策；其中，若查询不到相应的匹配策略，向控制平面申请实时授权；向信任评估模块输入实时上下文，获取对应的决策结果。
98.持续信任评估；其中，完成授权后，信任评估模块对用户的访问行为进行持续信任评估，若用户的访问请求不合法，则阻断用户的访问行为。
99.实施例6
100.本实施例6提供一种电子设备，包括：处理器、存储器以及计算机程序；其中，处理器与存储器连接，计算机程序被存储在存储器中，当电子设备运行时，所述处理器执行所述存储器存储的计算机程序，以使电子设备执行实现如上所述的基于可编程网络的动态访问控制方法的指令，该方法包括：
101.获取请求信号；其中，所述请求信号头部设计在以太网头和ip头之后，请求信号中封装有上下文信息；
102.解析请求信号；其中，根据ip协议头部的类型字段，获取请求信号，并提取封装在
请求信号中的上下文信息；
103.上下文匹配授权；其中，根据获取到的上下文信息，通过匹配流表中的服务请求对象找到相应策略，根据策略要求对属性信息进行逐一检查，并将决策过程上报到控制平面；
104.策略模块执行转发；其中，将所得出的授权结果传递给执行模块，实现对数据包的执行动作；
105.申请决策；其中，若查询不到相应的匹配策略，向控制平面申请实时授权；向信任评估模块输入实时上下文，获取对应的决策结果。
106.持续信任评估；其中，完成授权后，信任评估模块对用户的访问行为进行持续信任评估，若用户的访问请求不合法，则阻断用户的访问行为。
107.本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
108.本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
109.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
110.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
111.上述虽然结合附图对本发明的具体实施方式进行了描述，但并非对本发明保护范围的限制，所属领域技术人员应该明白，在本发明公开的技术方案的基础上，本领域技术人员在不需要付出创造性劳动即可做出的各种修改或变形，都应涵盖在本发明的保护范围之内。

技术特征：
1.一种基于可编程网络的动态访问控制系统，其特征在于，包括：获取模块，用于获取请求信号；其中，所述请求信号头部设计在以太网头和ip头之后，请求信号中封装有上下文信息；解析模块，用于解析请求信号；其中，根据ip协议头部的类型字段，获取请求信号，并提取封装在请求信号中的上下文信息；授权模块，用于上下文匹配授权；其中，根据获取到的上下文信息，通过匹配流表中的服务请求对象找到相应策略，根据策略要求对属性信息进行逐一检查，并将决策过程上报到控制平面；执行模块，用于策略模块执行转发；其中，将所得出的授权结果传递给执行模块，实现对数据包的执行动作；授权决策模块，用于申请决策；其中，若查询不到相应的匹配策略，向控制平面申请实时授权；向信任评估模块输入实时上下文，获取对应的决策结果。信任评估模块，用于持续信任评估；其中，完成授权后，信任评估模块对用户的访问行为进行持续信任评估，若用户的访问请求不合法，则阻断用户的访问行为。2.一种利用如权利要求1所述的系统实现的基于可编程网络的动态访问控制方法，其特征在于，包括：获取请求信号；其中，所述请求信号头部设计在以太网头和ip头之后，请求信号中封装有上下文信息；解析请求信号；其中，根据ip协议头部的类型字段，获取请求信号，并提取封装在请求信号中的上下文信息；上下文匹配授权；其中，根据获取到的上下文信息，通过匹配流表中的服务请求对象找到相应策略，根据策略要求对属性信息进行逐一检查，并将决策过程上报到控制平面；策略模块执行转发；其中，将所得出的授权结果传递给执行模块，实现对数据包的执行动作；申请决策；其中，若查询不到相应的匹配策略，向控制平面申请实时授权；向信任评估模块输入实时上下文，获取对应的决策结果。持续信任评估；其中，完成授权后，信任评估模块对用户的访问行为进行持续信任评估，若用户的访问请求不合法，则阻断用户的访问行为。3.根据权利要求2所述的基于可编程网络的动态访问控制方法，其特征在于，所述请求信号采用ip五元组来区分不同的流，将请求信号头部设计在ethernet头部和ip头部之后；通过识别ipv4头部后是否含有请求信号头部分辨请求信号和普通数据包；上下文信息包括用户设备标识uid、地理位置p、访问请求时间t、mac地址、访问请求所在的流的数据量d、流量速率r、申请访问次数n、访问请求资源ar。4.根据权利要求2所述的基于可编程网络的动态访问控制方法，其特征在于，解析请求信号；其中，根据ip协议头部的类型字段，获取请求信号，并提取封装在请求信号中的上下文信息，包括：数据解析模块对接收到来自用户的数据包，首先进行头部解析判断是否是请求信号；若解析结果为请求信号，则采集其包含的上下文信息，通过匹配流表中的服务请求对象找到相应策略，根据策略要求对上下文信息进行逐一检查；若解析结果为非请求信号，则根据授权结果执行相应的动作。
5.根据权利要求4所述的基于可编程网络的动态访问控制方法，其特征在于，根据请求信号携带的上下文信息进行实时决策，并通过信任评估模块的结果实现动态授权；当来自数据解析模块的上下文信息到达授权模块时，首先将其与控制器下发的访问控制策略进行逐条匹配，调用信任评估模块的信任度评分，根据匹配结果对该条请求进行授权决策，然后将需要执行的访问控制动作发送给执行模块，由执行模块执行授权决策结果；待收到信任评估模块返回的信任度评分后，根据信任度评分去动态调整访问控制策略，并将下一个到达的数据包与新的访问控制策略进行匹配，根据匹配结果做出决策。6.根据权利要求5所述的基于可编程网络的动态访问控制方法，其特征在于，信任评估模块中采用零信任的思想，默认不信任网络内部/外部的任何人和设备，避免信息泄露及地址假冒攻击风险；零信任是将获得的上下文信息输入机器学习模型，以最小的开销满足需求。7.根据权利要求6所述的基于可编程网络的动态访问控制方法，其特征在于，采用随机森林和神经网络算法构建信任评估模块中的机器学习模型作为信任模型；利用信任模型通过计算、分析用户的历史行为与实时请求，对用户身份的可信性进行评估；将信任评估结果发送至授权决策模块，判断是否对其进行访问控制策略的更新，并将下一个到达的数据包与最新的访问控制策略相匹配，进行授权决策，以确定是否允许此次的访问请求。8.一种计算机程序产品，其特征在于，包括计算机程序，所述计算机程序当在一个或多个处理器上运行时，用于实现如权利要求2-7任一项所述的基于可编程网络的动态访问控制方法。9.一种非暂态计算机可读存储介质，其特征在于，所述非暂态计算机可读存储介质用于存储计算机指令，所述计算机指令被处理器执行时，实现如权利要求2-7任一项所述的基于可编程网络的动态访问控制方法。10.一种电子设备，其特征在于，包括：处理器、存储器以及计算机程序；其中，处理器与存储器连接，计算机程序被存储在存储器中，当电子设备运行时，所述处理器执行所述存储器存储的计算机程序，以使电子设备执行实现如权利要求2-7任一项所述的基于可编程网络的动态访问控制方法的指令。

技术总结
本发明提供一种基于可编程网络的动态访问控制方法及系统，属于网络通信技术领域，设计访问请求信号格式，用户主动发送嵌入自身上下文信息的请求信号以申请访问权限；其次，在数据平面增强对访问客体产生的访问流量的感知分析能力，实现精准授权决策；最后，设计知识库记录信任引擎中的用户上下文信息，在控制平面基于最小授权原则使用机器学习算法设置信任引擎，对访问请求进行持续评估。本发明通过采用用户自定义请求信号、数据平面感知授权以及控制平面动态评估三方面信息共享、需求传递、协同适配的工作模式，解决了传统网络安全架构的固有缺陷以及现有基于流量访问控制缺乏后续行为监测和动态性、实时性不足的问题；弥补了传统网络架构遭受入侵就会在网络中横向移动的缺陷，提高了网络在不同场景下的资源访问安全保障能力。访问安全保障能力。访问安全保障能力。


技术研发人员：刘颖 张维庭 张宇阳 董平 韩旭 周华春
受保护的技术使用者：北京交通大学
技术研发日：2023.07.06
技术公布日：2023/10/8