CN116248369A - 基于信任评估的自适应动态身份认证方法及系统 - Google Patents

基于信任评估的自适应动态身份认证方法及系统 Download PDF

Info

Publication number
CN116248369A
CN116248369A CN202310102793.7A CN202310102793A CN116248369A CN 116248369 A CN116248369 A CN 116248369A CN 202310102793 A CN202310102793 A CN 202310102793A CN 116248369 A CN116248369 A CN 116248369A
Authority
CN
China
Prior art keywords
authentication
trust evaluation
trust
adaptive dynamic
self
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310102793.7A
Other languages
English (en)
Inventor
丁文超
余双波
李小花
薛艳珠
杨威
黄天果
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CETC 30 Research Institute
Original Assignee
CETC 30 Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CETC 30 Research Institute filed Critical CETC 30 Research Institute
Priority to CN202310102793.7A priority Critical patent/CN116248369A/zh
Publication of CN116248369A publication Critical patent/CN116248369A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/12Details relating to cryptographic hardware or logic circuitry
    • H04L2209/127Trusted platform modules [TPM]
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种基于信任评估的自适应动态身份认证方法及系统,属于信息安全领域,包括步骤:S1,访问主体向自适应动态认证服务器发起身份认证服务请求;S2,自适应动态认证服务器解析并识别出人员信息后,向信任评估引擎请求信任评估值;S3,信任评估引擎持续进行信任评估,计算信任评估值;S4,信任评估引擎基于多个信任评估值进行计算,评估出综合信任评估值;S5,信任评估引擎将用户的综合信任评估值返回到自适应动态认证服务器;S6,自适应动态认证服务器进行自适应动态认证;本发明构建了一种智能化、反馈式的身份认证模式,可以解决当前认证体制中,认证策略一旦设定就无法自适应调整的问题,具有较广阔的应用价值。

Description

基于信任评估的自适应动态身份认证方法及系统
技术领域
本发明涉及信息安全领域,更为具体的,涉及一种基于信任评估的自适应动态身份认证方法及系统。
背景技术
作为信息安全的一个重要环节,身份认证技术是网络与信息安全的重要考核方式之一,它可以防止越权访问、信息泄露、数据破坏,能够最大限度地保护信息系统和数据的安全,有效阻断非法用户进入系统,保证用户的合法利益和信息的安全。然而在当前互联网高速发展阶段,用户、设备身份规模海量化、形式多态化等特征凸显,面临着业务复杂化、攻击常态化等问题,单一的身份鉴别与认证模式仍存在身份信息盗用、无法防范内部用户非法行为等情况,已不能满足业务中身份认证的安全需求。
现有的身份验证大致可以分为通用终端身份认证技术和基于时间同步的身份验证技术。常见的通用终端身份认证技术有基于静态密码的身份验证技术、基于动态密码的身份验证技术和基于生物身份认证技术的身份验证技术。这些技术都有其本身的缺憾性,一方面容易被破解或是采用明文传输验证的消息内容,另一方面对于具有潜在威胁用户,不具备识别认证能力。而基于时间同步的身份验证技术将时间作为变动因子,认证服务器根据当前时间连同用户信息生成的动态口令对认证发起端进行验证,这种动态口令的产生机制是依赖于一组有序数列中的下一个数据,该数据不具有随机性,安全性较差,容易受到用户恶意攻击。
发明内容
本发明的目的在于克服现有技术的不足,提供一种基于信任评估的自适应动态身份认证方法及系统,构建了一种智能化、反馈式的身份认证模式,可以解决当前认证体制中,认证策略一旦设定就无法自适应调整的问题,具有较广阔的应用价值等。
本发明的目的是通过以下方案实现的:
一种基于信任评估的自适应动态身份认证方法,包括以下步骤:
S1,认证客户端从认证服务器获取预先开启的本地认证方式,访问主体选择自身支持的认证策略,封装请求数据包,向自适应动态认证服务器发起身份认证服务请求;
S2,自适应动态认证服务器收到认证主体发送的请求数据包后,解析并识别出人员信息后,向信任评估引擎请求信任评估值;
S3,信任评估引擎在运行过程中,持续进行信任评估,基于多源数据以及上下文信息,基于不同角度计算信任评估值;
S4,信任评估引擎基于多个信任评估值进行计算,评估出综合信任评估值;
S5,信任评估引擎评估出综合信任评估值后,将用户的综合信任评估值返回到自适应动态认证服务器;
S6,自适应动态认证服务器基于收到的信任评估值,基于认证策略和信任评估值的关系,进行自适应动态认证;认证完成后,自适应动态认证服务器将基于信任评估值的动态认证结果和策略调整结果返回给认证发起方。
进一步地,在步骤S3中,所述信任评估引擎在运行过程中,持续进行信任评估,基于多源数据以及上下文信息,基于不同角度计算信任评估值,包括子步骤:
S31,基于环境是否持续可信、人员是否持续可信、是否持续最小授权的原则,进行环境研判、行为研判和授权治理,结合认证者环境、网络、行为的风险等级,信任评估引擎基于多驱动源,收集用户行为数据、攻击威胁数据、威胁情报数据和管理行为数据;
S32,信任评估驱动源收到多源数据后,将多驱动源数据预处理后,按照指定的数据格式,将信任评估数据源发送到信任评估模块进行持续信任评估;
S33,信任评估模块基于多源数据以及上下文信息基于不同角度计算信任评估值。
进一步地,在步骤S6中,所述基于认证策略和信任评估值的关系,进行自适应动态认证,包括子步骤:
S61,初始化过程,在自适应动态认证服务器架构完成统一身份认证适配,指定支持的认证方式、认证策略,以及完成动态认证策略和信任评估值对应关系的制定;
S62,认证客户端从认证服务器获取预先开启的本地认证方式,访问主体选择自身支持的认证策略,首先向认证服务器获取挑战者数据,然后封装请求数据包,向自适应动态认证服务器发起身份认证服务请求;
S63,动态认证服务器收到身份认证请求后,首先进行认证信息的解析,解析并验证挑战值信息有效性;
S64,获取用户认证信息后,自适应动态认证服务器调用信任评估引擎获取信任值接口,获取认证用户的综合信任评估值;
S65,基于获取的信任评估值,结合当前用户使用的认证方式,动态认证服务器依据信任评估值结果判断当前用户是否能够使用当前的认证策略进行认证,如果当前认证策略满足要求,则自适应动态认证服务器封装身份令牌信息,将认证结果返回给认证终端,认证终端能够展开后续的业务访问;若当前认证策略不满足信任评估值的要求,则认证服务器执行动态认证策略调整,根据不同的信任评估值进行策略的自动调整,若用户的信任值低于设定值,则直接拒绝用户的请求,拒绝进行登录认证。
进一步地,在步骤S6之后,还包括以下步骤:
认证方式动态扩展,通过服务柔性重构设计统一认证服务适配框架,用于实现对不同认证体制的适配与兼容,服务化各种认证方式,通过服务标识进行映射,形成相互独立的认证方式,解除不同认证方式之间的耦合性。
进一步地,在步骤S3中,所述多源数据以及上下文信息,具体包括事件存在或发生的环境/条件/情况/背景。
进一步地,在步骤S4中,所述信任评估引擎基于多个信任评估值进行计算,具体包括进行加权计算。
进一步地,在步骤S6中,包括子步骤:对于网络行为信誉度不高、具有重大违规事件未处理情况的用户,根据认证策略,认证判定不通过或者在返回基本身份信息认证结果的基础上增加信任值认证判定结果,用于实现基于用户行为分析和信任评估的动态认证过程。
进一步地,所述根据不同的信任评估值进行策略的自动调整,具体包括要求用户使用更强的认证方式或进行二次认证或强制多因子认证。
进一步地,在步骤S6之后,还包括以下步骤:对于新增认证方式,通过增量方式适配对应的认证服务系统和认证服务设备,适配完成后打包,提供认证服务标识、调用地址、端口及相关参数信息,通过统一认证服务适配框架,将新增认证服务信息配置加入统一认证服务,通过服务标识获取认证服务信息,实现对新增认证服务的动态调用。
一种基于信任评估的自适应动态身份认证系统,包括计算机设备,所述计算机设备包括处理器和存储器,所述存储器中存储有计算机程序,当所述计算机程序被所述处理器加载时并执行如上任一项所述的方法。
本发明的有益效果包括:
(1)本发明提出的基于信任评估的动态身份认证方法,打破默认的“信任”,该方法完成认证行为的“持续验证,永不信任”,构建了一种智能化、反馈式的身份认证模式,可以解决当前认证体制中,认证策略一旦设定就无法自适应调整的问题,具有较广阔的应用价值。
(2)本发明基于尽可能多的数据源对访问者进行持续的可信度评估,根据评估结果动态地调整认证策略。对访问主客体进行安全建模,对人和终端进行可信分析,对业务访问行为和敏感数据访问行为进行威胁研判,并根据检测和分析结果动态调整认证策略,实时处置异常或恶意的帐号和终端。基于动态策略的认证方法确保了认证的持续可信,保障每一次认证的真实性,减小了认证的风险。
(3)本发明提出的认证方式动态扩展方法,支持对新接入认证手段扩展配置,形成动态认证扩展能力机制,实现不同身份标识、不同认证体制之间的互信互认和认证体制柔性重构能力。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例方法的总体工作流程图;
图2为本发明实施例方法中基于信任评估的动态认证方法的具体流程图;
图3为本发明实施例方法的认证交互流程图;
图4为本发明实施例方法的认证方式扩展图;
具体实施方式
本说明书中所有实施例公开的所有特征,或隐含公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合和/或扩展、替换。
鉴于背景中的技术问题,通过本发明的发明人分析后,当前网络安全认证体系迫切需要一种身份认证技术方案,能针对不同安全级别要求的应用,提供对用户无感的行为风险感知,并通过与其他安全处置系统(如防病毒、安全审计、防火墙、态势感知等)进行自动化的联动风险处置,比如发现风险时再自动化切换为双因素认证,最终实现安全与高效兼得。
进一步的,本发明的发明人经历了创造性的思考后认为,一个安全可靠的系统默认不信任网络内部或外部的任何人、设备和应用,应该基于认证和授权重构访问控制的信任基础,并且基于尽可能多的数据源对访问者进行持续的可信度评估,根据评估结果动态地调整认证和访问控制策略。
在以上思考的基础上,本发明主要解决的技术问题为自适应动态认证问题。在本发明的方法中,实时地对终端用户进行可信分析,基于持续自适应风险与信任评估结果,能够动态调整相应的认证策略和认证强度,且调整过程可以自动完成,无需人为干预和控制,解决了认证策略一旦设定就无法自适应调整的问题,具有安全方便高效的优点。更进一步的,本发明具体产生了如下发明构思:
1)研究了一种基于信任评估的动态认证方法,解决如何将安全体系架构从网络中心化转变为身份中心化,所有的访问行为都需要以身份为中心进行细粒度的自适应动态认证和访问控制的问题。
2)基于尽可能多的数据源对访问者进行持续的可信度评估,根据评估结果动态地调整认证策略,确保认证持续可信。对访问主客体进行安全建模,对人和终端进行可信分析,对业务访问行为和敏感数据访问行为进行威胁研判,并根据检测和分析结果动态调整认证策略和访问权限,实时处置异常或恶意的帐号和终端。
3)认证策略和方式需要动态扩展时,解决如何支持对新接入认证手段扩展配置,形成动态认证扩展能力机制,实现不同身份标识、不同认证体制之间的互信互认和认证体制柔性重构能力的技术问题。
在具体实施方案中,本发明又提供一种基于信任评估的自适应动态身份认证方法,如图1所示,包含以下过程:
步骤1:认证客户端从认证服务器获取预先开启的本地认证方式,访问主体选择自身支持的认证策略,封装请求数据包,向自适应动态认证服务器发起身份认证服务请求。
步骤2:自适应动态认证服务器收到认证主体发送的请求数据包后,解析并识别出人员信息后,向信任评估引擎请求信任评估值。
步骤3:信任评估引擎在运行过程中,持续进行信任评估,基于多源数据以及上下文信息(即事件存在或发生的环境/条件/情况/背景),基于不同角度计算信任评估值。
步骤4:信任评估引擎基于多个信任评估值进行加权计算,评估出综合信任评估值Ti。
步骤5:信任评估引擎评估出综合信任评估值后,将用户的综合信任评估值返回到自适应动态认证服务器。
步骤6:自适应动态认证服务器基于收到的信任评估值,基于认证策略和信任评估值的关系,进行自适应动态认证,认证完成后,动态认证服务器将基于信任评估值的动态认证结果和策略调整结果返回给认证发起方。对于网络行为信誉度不高、具有重大违规事件未处理等情况的用户,根据认证策略,认证判定不通过或者在返回基本身份信息认证结果的基础上增加信任值认证判定结果,实现基于用户行为分析和信任评估的动态认证过程。
在进一步的实施方式中,具体流程如图2所示,包括信任评估引擎流程和自适应动态认证服务认证过程。
信任评估引擎流程如下:
步骤1:基于环境是否持续可信、人员是否持续可信、是否持续最小授权的原则,进行环境研判、行为研判和授权治理,结合认证者环境、网络、行为的风险等级,信任评估引擎基于多驱动源,收集用户行为数据、攻击威胁数据、威胁情报数据和管理行为数据等多种数据。
步骤2:信任评估驱动源收到多源数据后,将多驱动源数据预处理后,按照指定的数据格式,将信任评估数据源发送到信任评估模块进行持续信任评估。
步骤3:信任评估模块基于多源数据以及上下文信息(即事件存在或发生的环境/条件/情况/背景)基于不同角度计算信任评估值。
步骤4:信任评估引擎基于多个信任评估值进行加权计算,评估出综合信任评估值Ti。
自适应动态认证服务过程如下:
步骤1:初始化过程。在自适应动态认证服务器架构完成统一身份认证适配,指定支持的认证方式、认证策略等,完成动态认证策略和信任评估值对应关系的制定。
步骤2:认证客户端从认证服务器获取预先开启的本地认证方式,访问主体选择自身支持的认证策略,首先向认证服务器获取挑战者数据,然后封装请求数据包,向自适应动态认证服务器发起身份认证服务请求。
步骤3:动态认证服务器收到身份认证请求后,首先进行认证信息的解析,解析并验证挑战值信息有效性,挑战值获取和验证流程图如附图3所示。
步骤4:获取用户认证信息后,自适应动态认证服务器调用信任评估引擎获取信任值接口,获取认证用户的综合信任评估值。
步骤5:基于获取的信任评估值,结合当前用户使用的认证方式,动态认证服务器依据信任评估值结果判断当前用户是否可以使用当前的认证策略进行认证,如果当前认证策略满足要求,则自适应动态认证服务器封装身份令牌信息,将认证结果返回给认证终端,认证终端可以展开后续的业务访问。若当前认证策略不满足信任评估值的要求,则认证服务器执行动态认证策略调整,根据不同的信任评估值进行策略的自动调整,如要求用户使用更强的认证方式、进行二次认证、强制多因子认证等,若用户的信任值过低,则直接拒绝用户的请求,拒绝进行登录认证。
本发明还包括如下过程:认证方式动态扩展方法。认证方式动态扩展方法如图4所示,通过服务柔性重构技术设计统一认证服务适配框架,实现对不同认证体制的适配与兼容,服务化各种认证方式,通过服务标识进行映射,形成相互独立的认证方式,解除不同认证方式之间的耦合性。
对于新增认证方式,通过增量方式适配对应的认证服务系统和认证服务设备,适配完成后打包,提供认证服务标识、调用地址、端口及相关参数信息,通过统一认证服务适配框架,将新增认证服务信息配置加入统一认证服务,通过服务标识获取认证服务信息,实现对新增认证服务的动态调用。
在本发明的其他实施方式中,进一步的实施例如下:
基于信任评估的自适应动态身份认证方法的具体过程主要包括信任评估引擎实施流程和自适应动态认证服务器认证实施过程。
关于信任评估引擎实施流程如下:
步骤1:基于环境是否持续可信、人员是否持续可信、是否持续最小授权的原则,进行环境研判、行为研判和授权治理,结合认证者环境、网络、行为的风险等级,信任评估引擎基于多驱动源,收集用户行为数据、攻击威胁数据、威胁情报数据和管理行为数据等多种数据。
步骤2:信任评估驱动源收到多源数据后,将多驱动源数据预处理后,按照指定的数据格式,将信任评估数据源发送到信任评估模块进行持续信任评估。
步骤3:信任评估模块基于多源数据以及上下文信息(即事件存在或发生的环境/条件/情况/背景)基于不同角度计算信任评估值TAi、TBi、TCi。
步骤4:信任评估引擎引入服务权重因子α、β、γ,基于多个信任评估值进行加权计算,评估出综合信任评估值Ti=α*TAi+β*TBi+γTCi。
关于自适应动态认证服务器认证实施过程如下:
步骤1:初始化过程。在自适应动态认证服务器架构完成统一身份认证适配,指定支持的认证方式、认证策略等,完成动态认证策略和信任评估值对应关系的制定。根据需求划分出m个信任等级,当满足条件TA(t)∈[TAi(t),TAi+1(t)]时,用户的信任等级为i,i∈[i,m],TAi(t),TAi+1(t)分别为第i个信任值区间的最大值与最小值。假设制定如下规则,用户信任评估值区间为[0,100],信任等级划分表如表1所示。
表1信任等级划分表
Figure BDA0004073732670000111
a)当用户的信任值Ti在[0,30]范围内时,拒绝用户任何方式进行认证;
b)当用户的信任值Ti在[30,60]范围内时,强制用户进行多因子认证或使用更强等级的二次认证;
c)当用户的信任值Ti在[60,80]范围内时,用户可以使用生物特征认证方式(指纹、人脸、虹膜、指静脉及掌纹等)或者证书认证等,但不能使用用户名口令或验证码等低强度的认证方式;
d)当用户的信任值Ti在[80,100]范围内时,用户可以使用任何认证方式进行认证,认证通过既可以进行系统登录认证。
步骤2:认证客户端从认证服务器获取预先开启的本地认证方式,访问主体选择自身支持的认证策略,首先向认证服务器获取挑战者数据,然后封装请求数据包,向自适应动态认证服务器发起身份认证服务请求,这里假定用户选择了人脸识别单因子认证方式。
步骤3:动态认证服务器收到用户A的人脸身份认证请求后,首先进行认证信息的解析,解析并验证挑战值信息有效性。
步骤4:获取用户A的人脸认证信息后,自适应动态认证服务器获取用户A的唯一标识IDA,调用信任评估引擎获取信任值接口,将用户A的唯一标识IDA作为请求参数获取认证用户的综合信任评估值Ta,这里假定从信任评估引擎获取的信任评估值为55。
步骤5:基于获取的信任评估值55,结合当前用户使用的人脸认证方式,由于用户当前信任评估值为55,在信任值区间[30,60],自适应动态认证服务器基于动态策略规则,判定当前用户A需要使用多因子认证方式才能认证成功,认证服务器将判定结果返回给认证终端盒用户A,强制用户A完成多因子认证,此时用户A选择一种多因子认证策略,如人脸+证书的人脸方式完成认证,多因子验证通过后,此次认证请求通过,当前用户方能展开后续的登录和访问等操作。
认证方式动态扩展方法实施:认证方式动态扩展方法通过采用单例模式、简单工厂、工厂模式等设计模式对认证架构进行了重构,该架构可以完全无耦合的兼容其他认证方式,各认证方式完全独立,当认证方式需要改变时,只需要简单修改一下配置文件,就可以改变认证方式,不需要关心其他认证方式,大大降低了开发的难度,加快了开发的周期,减少了开发的工作量。基于认证方式动态扩展方法可以快速的增加认证方式,屏蔽密码证书认证、生物特征认证、二维码认证等各类认证手段的差异性,提供统一认证服务接口。
下面以新增掌纹认证方式为例说明如何进行认证方式的添加。首先在配置文件中添加掌纹认证方式类型以及对应的工厂类,配置完成后,添加独立实现的掌纹工厂类到工程路径,掌纹工厂类初始化后,会产生相应的掌纹认证实现类,认证请求到达后,发现是掌纹认证类型,则请求掌纹工厂产生掌纹认证实现类,在实现类中完成掌纹方式的认证。客户端认证代理获取服务端认证升级消息后,自动拉取认证升级配置和升级包,配合后端新增认证方式同步升级,实现认证客户端的升级适配。该过程和其他认证方式完全无耦合,实现过程相对独立,大大提高了开发效率,且在出现问题时,可以较快的定位到自身的认证实现类。
需要说明的是,在本发明权利要求书中所限定的保护范围内,以下实施例均可以从上述具体实施方式中,例如公开的技术原理,公开的技术特征或隐含公开的技术特征等,以合乎逻辑的任何方式进行组合和/或扩展、替换。
实施例1
一种基于信任评估的自适应动态身份认证方法,包括以下步骤:
S1,认证客户端从认证服务器获取预先开启的本地认证方式,访问主体选择自身支持的认证策略,封装请求数据包,向自适应动态认证服务器发起身份认证服务请求;
S2,自适应动态认证服务器收到认证主体发送的请求数据包后,解析并识别出人员信息后,向信任评估引擎请求信任评估值;
S3,信任评估引擎在运行过程中,持续进行信任评估,基于多源数据以及上下文信息,基于不同角度计算信任评估值;
S4,信任评估引擎基于多个信任评估值进行计算,评估出综合信任评估值;
S5,信任评估引擎评估出综合信任评估值后,将用户的综合信任评估值返回到自适应动态认证服务器;
S6,自适应动态认证服务器基于收到的信任评估值,基于认证策略和信任评估值的关系,进行自适应动态认证;认证完成后,自适应动态认证服务器将基于信任评估值的动态认证结果和策略调整结果返回给认证发起方。
实施例2
在实施例1的基础上,在步骤S3中,所述信任评估引擎在运行过程中,持续进行信任评估,基于多源数据以及上下文信息,基于不同角度计算信任评估值,包括子步骤:
S31,基于环境是否持续可信、人员是否持续可信、是否持续最小授权的原则,进行环境研判、行为研判和授权治理,结合认证者环境、网络、行为的风险等级,信任评估引擎基于多驱动源,收集用户行为数据、攻击威胁数据、威胁情报数据和管理行为数据;
S32,信任评估驱动源收到多源数据后,将多驱动源数据预处理后,按照指定的数据格式,将信任评估数据源发送到信任评估模块进行持续信任评估;
S33,信任评估模块基于多源数据以及上下文信息基于不同角度计算信任评估值。
实施例3
在实施例1的基础上,在步骤S6中,所述基于认证策略和信任评估值的关系,进行自适应动态认证,包括子步骤:
S61,初始化过程,在自适应动态认证服务器架构完成统一身份认证适配,指定支持的认证方式、认证策略,以及完成动态认证策略和信任评估值对应关系的制定;
S62,认证客户端从认证服务器获取预先开启的本地认证方式,访问主体选择自身支持的认证策略,首先向认证服务器获取挑战者数据,然后封装请求数据包,向自适应动态认证服务器发起身份认证服务请求;
S63,动态认证服务器收到身份认证请求后,首先进行认证信息的解析,解析并验证挑战值信息有效性;
S64,获取用户认证信息后,自适应动态认证服务器调用信任评估引擎获取信任值接口,获取认证用户的综合信任评估值;
S65,基于获取的信任评估值,结合当前用户使用的认证方式,动态认证服务器依据信任评估值结果判断当前用户是否能够使用当前的认证策略进行认证,如果当前认证策略满足要求,则自适应动态认证服务器封装身份令牌信息,将认证结果返回给认证终端,认证终端能够展开后续的业务访问;若当前认证策略不满足信任评估值的要求,则认证服务器执行动态认证策略调整,根据不同的信任评估值进行策略的自动调整,若用户的信任值低于设定值,则直接拒绝用户的请求,拒绝进行登录认证。
实施例4
在实施例1的基础上,在步骤S6之后,还包括以下步骤:
认证方式动态扩展;通过服务柔性重构设计统一认证服务适配框架,用于实现对不同认证体制的适配与兼容,服务化各种认证方式,通过服务标识进行映射,形成相互独立的认证方式,解除不同认证方式之间的耦合性。
实施例5
在实施例1的基础上,在步骤S3中,所述多源数据以及上下文信息,具体包括事件存在或发生的环境/条件/情况/背景。
实施例6
在实施例1的基础上,在步骤S4中,所述信任评估引擎基于多个信任评估值进行计算,具体包括进行加权计算。
实施例7
在实施例1的基础上,在步骤S6中,包括子步骤:对于网络行为信誉度不高、具有重大违规事件未处理情况的用户,根据认证策略,认证判定不通过或者在返回基本身份信息认证结果的基础上增加信任值认证判定结果,用于实现基于用户行为分析和信任评估的动态认证过程。
实施例8
在实施例3的基础上,所述根据不同的信任评估值进行策略的自动调整,具体包括要求用户使用更强的认证方式或进行二次认证或强制多因子认证。
实施例9
在实施例4的基础上,在步骤S6之后,还包括以下步骤:对于新增认证方式,通过增量方式适配对应的认证服务系统和认证服务设备,适配完成后打包,提供认证服务标识、调用地址、端口及相关参数信息,通过统一认证服务适配框架,将新增认证服务信息配置加入统一认证服务,通过服务标识获取认证服务信息,实现对新增认证服务的动态调用。
实施例10
一种基于信任评估的自适应动态身份认证系统,包括计算机设备,所述计算机设备包括处理器和存储器,所述存储器中存储有计算机程序,当所述计算机程序被所述处理器加载时并执行如实施例1~实施例9任一项所述的方法。
描述于本发明实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现,所描述的单元也可以设置在处理器中。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定。
根据本发明实施例的一个方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述各种可选实现方式中提供的方法。
作为另一方面,本发明实施例还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该电子设备执行时,使得该电子设备实现上述实施例中所述的方法。
本发明未涉及部分均与现有技术相同或可采用现有技术加以实现。
上述技术方案只是本发明的一种实施方式,对于本领域内的技术人员而言,在本发明公开了应用方法和原理的基础上,很容易做出各种类型的改进或变形,而不仅限于本发明上述具体实施方式所描述的方法,因此前面描述的方式只是优选的,而并不具有限制性的意义。
除以上实例以外,本领域技术人员根据上述公开内容获得启示或利用相关领域的知识或技术进行改动获得其他实施例,各个实施例的特征可以互换或替换,本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。

Claims (10)

1.一种基于信任评估的自适应动态身份认证方法,其特征在于,包括以下步骤:
S1,认证客户端从认证服务器获取预先开启的本地认证方式,访问主体选择自身支持的认证策略,封装请求数据包,向自适应动态认证服务器发起身份认证服务请求;
S2,自适应动态认证服务器收到认证主体发送的请求数据包后,解析并识别出人员信息后,向信任评估引擎请求信任评估值;
S3,信任评估引擎在运行过程中,持续进行信任评估,基于多源数据以及上下文信息,基于不同角度计算信任评估值;
S4,信任评估引擎基于多个信任评估值进行计算,评估出综合信任评估值;
S5,信任评估引擎评估出综合信任评估值后,将用户的综合信任评估值返回到自适应动态认证服务器;
S6,自适应动态认证服务器基于收到的信任评估值,基于认证策略和信任评估值的关系,进行自适应动态认证;认证完成后,自适应动态认证服务器将基于信任评估值的动态认证结果和策略调整结果返回给认证发起方。
2.根据权利要求1所述的基于信任评估的自适应动态身份认证方法,其特征在于,在步骤S3中,所述信任评估引擎在运行过程中,持续进行信任评估,基于多源数据以及上下文信息,基于不同角度计算信任评估值,包括子步骤:
S31,基于环境是否持续可信、人员是否持续可信、是否持续最小授权的原则,进行环境研判、行为研判和授权治理,结合认证者环境、网络、行为的风险等级,信任评估引擎基于多驱动源,收集用户行为数据、攻击威胁数据、威胁情报数据和管理行为数据;
S32,信任评估驱动源收到多源数据后,将多驱动源数据预处理后,按照指定的数据格式,将信任评估数据源发送到信任评估模块进行持续信任评估;
S33,信任评估模块基于多源数据以及上下文信息基于不同角度计算信任评估值。
3.根据权利要求1所述的基于信任评估的自适应动态身份认证方法,其特征在于,在步骤S6中,所述基于认证策略和信任评估值的关系,进行自适应动态认证,包括子步骤:
S61,初始化过程,在自适应动态认证服务器架构完成统一身份认证适配,指定支持的认证方式、认证策略,以及完成动态认证策略和信任评估值对应关系的制定;
S62,认证客户端从认证服务器获取预先开启的本地认证方式,访问主体选择自身支持的认证策略,首先向认证服务器获取挑战者数据,然后封装请求数据包,向自适应动态认证服务器发起身份认证服务请求;
S63,动态认证服务器收到身份认证请求后,首先进行认证信息的解析,解析并验证挑战值信息有效性;
S64,获取用户认证信息后,自适应动态认证服务器调用信任评估引擎获取信任值接口,获取认证用户的综合信任评估值;
S65,基于获取的信任评估值,结合当前用户使用的认证方式,动态认证服务器依据信任评估值结果判断当前用户是否能够使用当前的认证策略进行认证,如果当前认证策略满足要求,则自适应动态认证服务器封装身份令牌信息,将认证结果返回给认证终端,认证终端能够展开后续的业务访问;若当前认证策略不满足信任评估值的要求,则认证服务器执行动态认证策略调整,根据不同的信任评估值进行策略的自动调整,若用户的信任值低于设定值,则直接拒绝用户的请求,拒绝进行登录认证。
4.根据权利要求1所述的基于信任评估的自适应动态身份认证方法,其特征在于,在步骤S6之后,还包括以下步骤:
认证方式动态扩展;通过服务柔性重构设计统一认证服务适配框架,用于实现对不同认证体制的适配与兼容,服务化各种认证方式,通过服务标识进行映射,形成相互独立的认证方式,解除不同认证方式之间的耦合性。
5.根据权利要求1所述的基于信任评估的自适应动态身份认证方法,其特征在于,在步骤S3中,所述多源数据以及上下文信息,具体包括事件存在或发生的环境/条件/情况/背景。
6.根据权利要求1所述的基于信任评估的自适应动态身份认证方法,其特征在于,在步骤S4中,所述信任评估引擎基于多个信任评估值进行计算,具体包括进行加权计算。
7.根据权利要求1所述的基于信任评估的自适应动态身份认证方法,其特征在于,在步骤S6中,包括子步骤:对于网络行为信誉度不高、具有重大违规事件未处理情况的用户,根据认证策略,认证判定不通过或者在返回基本身份信息认证结果的基础上增加信任值认证判定结果,用于实现基于用户行为分析和信任评估的动态认证过程。
8.根据权利要求3所述的基于信任评估的自适应动态身份认证方法,其特征在于,所述根据不同的信任评估值进行策略的自动调整,具体包括要求用户使用更强的认证方式或进行二次认证或强制多因子认证。
9.根据权利要求4所述的基于信任评估的自适应动态身份认证方法,其特征在于,在步骤S6之后,还包括以下步骤:对于新增认证方式,通过增量方式适配对应的认证服务系统和认证服务设备,适配完成后打包,提供认证服务标识、调用地址、端口及相关参数信息,通过统一认证服务适配框架,将新增认证服务信息配置加入统一认证服务,通过服务标识获取认证服务信息,实现对新增认证服务的动态调用。
10.一种基于信任评估的自适应动态身份认证系统,其特征在于,包括计算机设备,所述计算机设备包括处理器和存储器,所述存储器中存储有计算机程序,当所述计算机程序被所述处理器加载时并执行如权利要求1~9任一项所述的方法。
CN202310102793.7A 2023-01-18 2023-01-18 基于信任评估的自适应动态身份认证方法及系统 Pending CN116248369A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310102793.7A CN116248369A (zh) 2023-01-18 2023-01-18 基于信任评估的自适应动态身份认证方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310102793.7A CN116248369A (zh) 2023-01-18 2023-01-18 基于信任评估的自适应动态身份认证方法及系统

Publications (1)

Publication Number Publication Date
CN116248369A true CN116248369A (zh) 2023-06-09

Family

ID=86632496

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310102793.7A Pending CN116248369A (zh) 2023-01-18 2023-01-18 基于信任评估的自适应动态身份认证方法及系统

Country Status (1)

Country Link
CN (1) CN116248369A (zh)

Similar Documents

Publication Publication Date Title
CN113051602B (zh) 一种基于零信任架构的数据库细粒度访问控制方法
US10652282B2 (en) Brokered authentication with risk sharing
US8312540B1 (en) System for slowing password attacks
CA2653633C (en) Security system and method for establishing and regulating secure communications over a network
US8959650B1 (en) Validating association of client devices with sessions
US8091120B2 (en) Adaptive authentication methods, systems, devices, and computer program products
CN109688119B (zh) 一种云计算中的可匿名追踪性身份认证方法
JP2017535877A (ja) 条件付きログインプロモーション
GB2478924A (en) Risk analysis warning conveyed using distorted alert images in picture selection based mutual authentication scheme
WO2013058781A1 (en) Methods, systems and apparatus to facilitate client-based authentication
US9237143B1 (en) User authentication avoiding exposure of information about enumerable system resources
US20120054846A1 (en) Method for prevention of cross site request forgery attack
CN115065564B (zh) 一种基于零信任机制的访问控制方法
CN114513786A (zh) 基于零信任的5g馈线自动化访问控制方法、装置及介质
Hosen et al. SPTM-EC: A security and privacy-preserving task management in edge computing for IIoT
US20170346837A1 (en) Real-time security modification and control
US11177958B2 (en) Protection of authentication tokens
KR20210026710A (ko) 공공 IoT용 신뢰-인식 역할-기반 액세스 제어 시스템
Hasan et al. Authentication techniques in cloud and mobile cloud computing
CN116248369A (zh) 基于信任评估的自适应动态身份认证方法及系统
CN115460015A (zh) 一种基于TOTP的Web应用的身份认证方法及系统
US20220343095A1 (en) Fingerprint-Based Device Authentication
Cahill et al. Client-based authentication technology: user-centric authentication using secure containers
CN114024682A (zh) 跨域单点登录方法、服务设备及认证设备
Alalayah Pattern Image based Dynamic Framework for Security in Web Application

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination