我是誰?我從哪里來?我要到哪里去?這三大人生哲學問題，歷經千年，答案紛紜。

從唯物主義來看，“我”是客觀存在的一種物質;從唯心主義來看，“我”決定一切。

個人崇尚對所擁有物品(包括實體的、虛擬的)具有生殺予奪的無限權力。

但在數字世界，一旦與外界發生聯系，你所絕對擁有的東西便具有了一定的社會屬性。任何與網絡發生了關系的事物，都脫離了純粹的“專屬”。原本完完全全屬于個人的，發生了徹底的改變。準確的說，原本完完全全屬于那時那地的那個你，至于未來某時、某地，現在時候的你并不一定擁有原來的權限。以個人照片為例，個人照片通常存儲于個人手機中，當手機與云空間同步后，照片的增刪改就不再那么的絕對。

那再回到“我是誰”的問題，我究竟是誰?

翻看照片，回首往事，感慨變化之大之余，我們是不是也會有些疑問?，F在的我究竟是不是原來的我?我究竟是誰?當生命的時間有了多個維度，并且能夠在過去與未來自由反復時，“我”也只會成為時間維度上的一個點。

數字世界，我們的行為更方便的被記錄下來，時間過去維度得到了無限充實，現實中的照片記憶點逐漸變成視頻時間段、操作時間段。“我”的過去逐漸被完整定義。“我”的未來將由“我”的過去以及”我“的現在來決定。這種決定過程，幾乎能抹殺一切非線性。這意味著，打通任督二脈的事情在數字世界不可能發生，偶然發現九陽真經的事情也不可能發生;當然猛然中風、精神失常在數字世界也不會存在。在數字世界，一切的一切都是有征兆的、有理由的、有依據的。

一、零信任

2010年，Forrester的首席分析師John Kindervag提出了零信任框架模型，這一模型在Google的BeyondCorp項目中得到應用。Google是第一個將零信任架構模型落地的公司。

零信任是將網絡防御的邊界縮小到單個資源。其核心思想是系統不應自動信任任何人，不管是內部的還是外部的，不根據物理或網絡位置對用戶授予完全可信的權限。系統在授權前對任何試圖接入系統的主體進行驗證。其本質是以身份為中心進行訪問控制。

簡而言之，零信任的策略就是不相信任何人。除非確認接入者現在的身份，否則誰都無法接入，即便接入也無法實現對資源的訪問。

與傳統的安全策略不同，零信任框架中用戶的訪問權限不受地理位置的影響。零信任在訪問主體與客體之間構建以身份為基石的動態可信訪問控制體系，基于網絡所有參與實體的數字身份，對默認不可信的所有訪問請求進行加密、認證和強制授權，匯聚關聯各種數據源進行持續信任評估，并根據信任程度動態對權限進行調整，最終在訪問主體和訪問客體之間建立動態信任關系。

零信任以盡可能接近于人的真實身份來定義數據訪問，定義某個人或者某個身份可以訪問的特定的數據，或者定義特定的數據可以被特定的身份訪問。

零信任的用戶認證模型是通過“我”的過去實現第一重認證，允許“我”的接入，通過“我”的現在實現第二重認證，允許“我”對資源的訪問，通過兩重認證，來綜合決定“我”我的未來，即資源的訪問權限。

二、我的過去

我的過去通過我所擁有的、我所知道的以及我的本質特性來定義，依據這些信息生成網絡世界中的數字憑證。

(1)憑證的初始化

現實中每個人都有身份證。在網絡中，身份就是用戶所對應的數字個體標識。數字個體標識并非唯一，不同場景有不同的數字個體標識。非正式身份標識，如昵稱等，常用于小團體中，個體之間的信任程度相對較高，或者安全要求低，價值數字資產少的場景。存在如下問題：用戶可以創建虛假身份;用戶可以假冒他人身份;單個用戶可以創建多個身份;多個用戶可以共享同一身份。權威身份用于系統需要安全性更高的身份時的場景，相關機構為個體創建權威身份憑證。

現實世界中，個人使用政府頒發的ID(如駕照)作為身份憑證。風險較高場景下，需要根據政府數據庫交叉核驗身份憑證，進一步增強安全保障。計算機系統也需要一個權威中心負責用戶身份管理，如同現實世界，授予用戶不同強度的身份憑證。依據風險等級的不同，可能還需要根據數據庫信息交叉核驗。

用戶身份的認證很重要。數字化身份的產生以及身份與人的初始關聯都是非常敏感的操作。對實體人的驗證機制必須足夠強，以防攻擊者偽裝成新員工獲取系統身份。當用戶無法提供身份憑證時，賬號恢復程序同樣需要足夠強的認證控制來確保實體人身份的合法性。初始認證，應該首選政府頒發的身份憑證。通常，創建數字身份之前需要繁雜的人工認證流程，信任的建立是基于一個已知的可信人員對待開通身份的人員的信息了解，這種間接的信任關系是后續人工認證和身份創建的基礎。在零信任網絡中，人工認證的可信度很高，但不是唯一的認證機制。在創建數字身份之前，有許多信息可以獲取。這些信息是認證數字身份的關鍵要素。這些信息可以是用戶使用的語言、家庭住址等等其他信息。

(2)憑證的存儲

用戶憑證產生后，通過用戶目錄記錄用戶相關信息。用戶目錄是后續所有認證的基礎。包括用戶名、電話號碼、組織角色，還包括擴展信息，如用戶地址或X.509證書公鑰。用戶信息極其敏感，一般用幾個相互隔離的數據庫代替單一數據庫來存儲所有用戶信息。數據庫僅能通過受限的API接口訪問，從而限制信息的暴露范圍。用戶目錄的準確性對于零信任網絡的安全至關重要。新老用戶交替，需要及時更新用戶目錄。專業的身份源系統(如LDAP或本地用戶賬號)可以與企業的人員信息系統打通，從而在企業人員變動時，及時更新相關信息。分離的身份源系統，需要選定一個權威身份原系統記錄身份，其他身份源系統從該系統獲取所需的權威數據。

記錄系統只需要存儲可以識別個人身份的關鍵性信息，比如只存儲用戶名或其他簡單的個人信息，以便用戶忘記憑證時恢復身份。

(3)身份認證

認證在零信任網絡中是強制行為，需要同時兼顧安全性和便捷性。當安全性以便捷性為代價，用戶很可能會想方設法削弱甚至破壞安全機制。認證用戶是通過系統驗證用戶是否為聲稱的那個人。不同等級的服務有不同等級的認證。比如登錄音樂訂閱服務僅需要密碼，但是登錄投資賬戶不僅需要密碼，還需要額外的驗證碼。用戶可以通過額外的認證方式提高信任等級。如果一個用戶的信任評分低于當前訪問請求的最低信任評分，此時需要進行額外的認證，如果通過認證，用戶的信任等級將提升至請求要求的水平。認證的目的是獲取信任，應根據期望的信任等級設定認證需求機制。通過設置信任評分閾值來驅動認證流程和需求。系統可以選取任意的認證方式進行組合以滿足信任評分要求，掌握每種認證方式的可信度及可訪問信息的敏感度，有助于設計對攻擊更免疫的系統，自適應的按需認證和授權。

傳統認證模式基于邊界安全的思想，分出一個高度敏感的數據區域，對其進行盡可能高的強認證，即便用戶之前已經做過一定的認證并且積累了足夠的信任度。這種認證模式下，一旦用戶取得了數據區域的授權，就能不受任何限制的操作，不再有其他安全機制進行保護。

(4)憑證的遺失

現實世界中，憑證可能丟失或者被盜。如果遺失了政府頒發的身份憑證，政府機構通常需要個人提供其他相關身份信息(如出生證明或指紋)，以重新頒發身份憑證。計算機系統處理機制類似，通過其他驗證方式為用戶頒發身份憑證。但是驗證方式和驗證材料的選取不當可能會誘發安全隱患。

三、我的現在

• 如何判斷操作某臺計算機的用戶一定是預期中的合法用戶?
• 如果合法用戶忘記鎖屏或者個人疏忽導致他人濫用怎么辦?

對于保護數據，正常的訪問數據行為是可以被定義和窮盡的。因此，可以限定安全訪問的行為范圍，任何限定范圍之外的行為都是不合規、不安全的。此外，通過對歷史訪問行為的學習，可以對正常訪問進行特征畫像，不符合正常訪問特征的訪問行為都是不合規的。

四、我的未來

針對對數字資產(包括數據、應用等)的訪問權限，NIST提出了三個邏輯組件來動態授權和認證：

• 策略引擎(Plolicy Engine，PE)，負責確定授權
• 策略管理員(Policy Administrator，PA)，根據策略引擎的結果建立或管理通往資源的通信路徑。
• 策略執行點(Policy Enforcement Point，PEP)，位于請求主體和目標資源之間，啟用、監測和終止連接。 

訪問主體在PEP進行認證和授權，策略決策點(Policy Decision Point)對認證后的身份執行相應的策略，身份認證和授權均在訪問之前執行。數據平面的PEP在運行時對系統進行持續監測，以確保持續的合規性和治理控制。

五、零信任的用戶信任案例

在騰訊安全發布的《零信任接近方案白皮書》中詳細描述了騰訊零信任解決方案的用戶信任的建立方式。

首先，有多種認證方式來確保用戶可信：如企業微信掃碼、Token雙因子認證、生物認證等。用戶身份與企業本地身份、域身份以及自定義賬號體系靈活適配。在用戶體驗上，通過應用系統單點登錄(SSO)，讓應用使用更加便捷。

其次，訪問主體的信任評估持續進行，并伴隨整個訪問過程。一旦評估異常，訪問權限動態自動調整，保證業務訪問的最小權限。受控終端訪問策略直接控制終端發起的應用進程，訪問網關根據訪問控制策略對訪問流量進行二次校驗，確保人-應用-訪問目標合法，確保訪問主體行為合法。

用戶可信識別提供用戶全生命周期的身份管理和多因素身份認證能力。針對用戶/用戶組制定網絡訪問權限策略。在設備接入前，對用戶進行業務權限授權，非授權的業務資源完全不可見，做到最小特權。在設備接入后，持續驗證所有用戶的身份，提供包括企業微信掃碼、LDAP認證、域認證、Token雙因子認證在內的多種身份驗證方式。通過身份可信識別能力實現合法的用戶使用合法的終端，使合法的應用對保護資產進行合法的訪問。

六、小結

零信任對網絡安全進行了重構，無邊界的網絡、基于可信的身份、動態授權、持續信任評估成為新的安全理念。在零信任網絡中，每個訪問主體都有自己的身份。訪問主體的訪問權限，由數字憑證和主體行為動態確定。換句話說，現在的我才是真的我。