CN116938595A - 验证终端设备身份安全的方法、系统、终端及存储介质 - Google Patents

验证终端设备身份安全的方法、系统、终端及存储介质 Download PDF

Info

Publication number
CN116938595A
CN116938595A CN202311161520.6A CN202311161520A CN116938595A CN 116938595 A CN116938595 A CN 116938595A CN 202311161520 A CN202311161520 A CN 202311161520A CN 116938595 A CN116938595 A CN 116938595A
Authority
CN
China
Prior art keywords
score
alarm information
trust
identity
terminal device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202311161520.6A
Other languages
English (en)
Other versions
CN116938595B (zh
Inventor
胡三伢
徐晓明
毛龙
罗鑫余
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Geer Guoxin Technology Co ltd
Original Assignee
Beijing Geer Guoxin Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Geer Guoxin Technology Co ltd filed Critical Beijing Geer Guoxin Technology Co ltd
Priority to CN202311161520.6A priority Critical patent/CN116938595B/zh
Publication of CN116938595A publication Critical patent/CN116938595A/zh
Application granted granted Critical
Publication of CN116938595B publication Critical patent/CN116938595B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Alarm Systems (AREA)

Abstract

本申请涉及一种验证终端设备身份安全的方法、系统、终端及存储介质,其属于网络安全技术领域,该方法包括:获取终端设备的身份标识,依据所述身份标识调取终端设备的告警数据,所述告警数据包括多种类型的告警信息和每一种类型的告警信息对应的风险等级;将多种类型的告警信息输入第一计算模型中得到第一分值F1;将多种类型的告警信息对应的风险等级输入第二计算模型中得到第二分值F2;计算信任评分S=min(F1,F2),将所述信任评分S输入信任度转换模型中得到信任等级。本申请具有提升验证终端设备的身份安全的准确度的效果。

Description

验证终端设备身份安全的方法、系统、终端及存储介质
技术领域
本申请涉及网络安全技术领域,尤其是涉及一种验证终端设备身份安全的方法、系统、终端及存储介质。
背景技术
在信息传输过程中,为实现终端设备对终端服务器中的资源的访问管控,通常采用基于包过滤的访问控制技术(Access Control Lists,ACL)、基于角色的访问控制技术(Role-Based Access Control,RBAC)或者是基于属性的访问控制技术(Attribute BasedAccess Control,ABAC)对终端设备和终端服务器进行关系绑定,以便于在终端设备执行访问任务时对其进行授权检查,避免出现越权访问的情况,同时将此种授权方式称为静态授权。
随着信息技术的发展与普及,终端设备访问的场景越来越复杂,伴随着的是访问过程中涉及的风险因素也越来越多样,如跨区访问、暴力破解、非工作时间访问等多种类型的风险因素。由于传统的静态授权仅仅是对终端设备和终端服务器的关系进行绑定,而无法确定多种风险因素对终端服务器的影响程度,所以其无法依据多种风险因素正确判断终端设备的身份是否安全。因此,在当前复杂的应用场景下,缺少一种用来正确判断终端设备的身份是否安全的技术手段。
发明内容
本申请提供一种验证终端设备身份安全的方法、系统、终端及存储介质,具有提升验证终端设备的身份安全的准确度的特点。
本申请目的一是提供一种验证终端设备身份安全的方法。
本申请的上述申请目的一是通过以下技术方案得以实现的:
一种验证终端设备身份安全的方法,包括:
获取终端设备的身份标识,依据所述身份标识调取终端设备的告警数据,所述告警数据包括多种类型的告警信息和每一种类型的告警信息对应的风险等级;
将多种类型的告警信息输入第一计算模型中得到第一分值F1;
将多种类型的告警信息对应的风险等级输入第二计算模型中得到第二分值F2;
计算信任评分S=min(F1,F2),将所述信任评分S输入信任度转换模型中得到信任等级。
本申请在一较佳示例中可以进一步配置为:所述将多种类型的告警信息输入第一计算模型中得到第一分值F1包括:
确定扣分模式,依据扣分模式得到Li的总扣分值,所述Li为第i种类型的告警信息,i≥1;调取Li的扣分阈值;
判断Li的总扣分值是否大于Li的扣分阈值;
若是,则以Li的初始分值为100分减去扣分阈值得到第一分值F1;
若否,则以Li的初始分值为100分减去总扣分值得到第一分值F1。
本申请在一较佳示例中可以进一步配置为:所述将多种类型的告警信息对应的风险等级输入第二计算模型中得到第二分值F2包括:
基于基线表达式得到多个评分D,所述基线表达式由j个风险等级的告警信息组合而得,j≥1;
以最小的评分D作为第二分值F2。
本申请在一较佳示例中可以进一步配置为:所述基线表达式的格式为:
存在n1个及以上L1
[(或/且)存在n2个及以上L2]
[(或/且)存在n3及以上L3]
评分D;
其中,n1,n2,n3为告警信息数量,L1、L2、L3为风险等级且L1>L2>L3。
本申请在一较佳示例中可以进一步配置为:所述将所述信任评分S输入信任度转换模型中得到信任等级包括:
提取信任等级,一所述信任等级对应一个分值范围;
将信任评分所落入的分值范围作为信任评分的信任等级。
本申请在一较佳示例中可以进一步配置为:所述在获取终端设备的身份标识之前,所述方法还包括:
获取告警信息;
依据所述告警信息生成告警信息表,所述告警信息表中包含有身份标识、风险类型以及风险等级。
本申请在一较佳示例中可以进一步配置为:所述在得到信任等级后,所述方法还包括:
接收终端服务器输入的终端设备的身份标识和/或终端设备所属的设备类型;
根据所述终端设备的身份标识和/或终端设备所属的设备类型匹配得到信任等级,并输出匹配所得的信任等级至终端服务器中。
本申请提供了一种验证终端设备身份安全的方法,该方法用于从终端服务器中接收告警信息,将告警信息转换为本申请的系统能够处理的格式后,再依据告警信息中的身份标识确定待验证身份是否安全的终端设备。然后,调取该终端设备的告警数据,依据所调取的告警数据中包含的告警信息的风险类型以及风险等级,计算得到第一分值和第二分值,通过对比第一分值和第二分值,将较小的一方作为信任分值,再为信任分值匹配一个适配的信任等级,从而得到终端设备的信任等级。由此可知,本申请基于静态授权的方式下提供了一种新的验证方式,即:依据终端设备和终端服务器的绑定关系,从与终端设备具有绑定关系的终端服务器中获取告警数据,使得所获取的告警数据的范围更广,告警信息的资源更加丰富,进而为计算得到准确度更高的信任等级提供数据支持。
本申请目的二是提供一种验证终端设备身份安全的系统。
本申请的上述申请目的二是通过以下技术方案得以实现的:
一种验证终端设备身份安全的系统,包括:
告警接收模块,用于获取告警信息;
告警转换模块,用于依据所述告警信息生成告警信息表,所述告警信息表中包含有身份标识、风险类型以及风险等级;
计算评分模块,用于获取所述身份标识,依据所述身份标识调取终端设备的告警数据,所述告警数据包括多种类型的告警信息和每一种类型的告警信息对应的风险等级;还用于将多种类型的告警信息输入第一计算模型中得到第一分值F1,以及将多种类型的告警信息对应的风险等级输入第二计算模型中得到第二分值F2;
信任转换模块,用于计算信任评分S=min(F1,F2),将所述信任评分S输入信任度转换模型中得到信任等级;
信任等级查询模块,用于接收终端服务器输入的终端设备的身份标识和/或终端设备所属的设备类型,还用于根据所述终端设备的身份标识和/或终端设备所属的设备类型匹配得到信任等级,并输出匹配所得的信任等级至终端服务器中。
本申请还提供了一种验证终端设备身份安全的系统,该系统由多个模块组成,通过多个模块的互相配合,能够实现为终端设备匹配得到一个适配的信任等级的目的,从而便于终端服务器依据该信任等级,确定是否阻断终端设备的访问。同时,本申请的系统能够将复杂的风险因素信息转换为信任等级,降低了终端服务器对多种风险因素来综合评估终端设备的身份是否安全的难度,更便于实际应用。另外,本申请的系统由于由多个模块组成,其具备良好的定制扩展能力,提高了本申请的系统对风险因素不断变化时的适应能力,可快速扩充支持更多的风险类型及定制评分算法。
对风险数据源和信任模型结果使用方不做限制,可按需接入,具备良好的接入扩展能力。
本申请目的三是提供一种终端。
本申请的上述申请目的三是通过以下技术方案得以实现的:
一种终端,包括存储器和处理器,所述存储器上存储有计算机程序,所述处理器执行所述程序时实现上述任一种验证终端设备身份安全的方法。
本申请目的四是提供一种计算机可读存储介质,能够存储相应的程序。
本申请的上述申请目的四是通过以下技术方案得以实现的:
一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述任一种验证终端设备身份安全的方法。
综上所述,本申请包括以下至少一种有益技术效果:
1.本申请基于静态授权的方式,依据终端设备和终端服务器的绑定关系,从与终端设备具有绑定关系的终端服务器中获取告警数据,使得所获取的告警数据的范围更广,告警信息的资源更加丰富,进而为计算得到准确度更高的信任等级提供数据支持;
2.本申请能够将复杂的风险因素信息转换为信任等级,降低了终端服务器对多种风险因素来综合评估终端设备的身份是否安全的难度,更便于实际应用;
3.另外,本申请的系统由于由多个模块组成,其具备良好的定制扩展能力,提高了本申请的系统对风险因素不断变化时的适应能力,可快速扩充支持更多的风险类型及定制评分算法。
附图说明
图1是本申请实施例的示例性运行环境示意图。
图2是本申请实施例的一种验证终端设备身份安全的方法流程图。
附图标记说明:100、验证系统;110、告警接收模块;120、告警转换模块;130、计算评分模块;140、信任转换模块;150、信任等级查询模块;200、终端服务器;300、终端设备。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的全部其他实施例,都属于本申请保护的范围。
图1为本申请实施例的示例性运行环境示意图。参照图1,该运行环境包括验证系统100、终端服务器200以及终端设备300。其中,终端设备300为手机、平板、电脑等能够为用户提供输入请求指令的智能设备,终端服务器200内存储有终端设备300所需的数据资源,终端服务器200能够在接收到终端设备300发送的请求指令时,返回给终端设备300所需的数据。
本申请为了管控终端设备300对终端服务器200的异常访问,采用验证系统100对终端设备300的身份是否安全进行验证,终端服务器200再根据验证系统100的验证结果,确定是否阻断终端设备300的访问。具体地,验证系统100也称为验证终端设备身份安全的系统,该系统包括依次连接的告警接收模块110、告警转换模块120、计算评分模块130、信任转换模块140以及信任等级查询模块150。
告警接收模块110与终端服务器200通过无线网络通信连接,无线网络可以是基于4G网络或5G网络等通信的广域性物联网系统,也可以是局域性的物联网,因此,告警接收模块110可以是4G通信模块或5G通信模块,还可以是WIFI模块或者蓝牙模块。告警接收模块110用于实时或者周期性的从终端服务器200中获取日志信息,该日志信息是终端设备300在访问终端服务器200时终端服务器200生成的,当然,也可以由终端服务器200在监控到终端设备300的异常访问时主动向告警接收模块110发送告警信息,即告警接收模块110接收到告警信息。告警接收模块110在接收到告警信息后,将告警信息传输至告警转换模块120中。
告警转换模块120用于将告警信息转换为验证系统100可处理的格式后,再传输至计算评分模块130中。计算评分模块130依据告警信息计算终端设备300的信任评分,再将信任评分输出至信任转换模块140中,信任转换模块140为该信任评分匹配信任等级,以便于终端服务器200从信任等级查询模块150中输入请求查看其所需的终端设备300的信任等级指令,信任等级查询模块150再从信任转换模块140中调取信任等级并转发至终端服务器200中,以使得终端服务器200获知其所需的终端设备300的信任等级,再根据所获得的信任等级确定是否阻断终端设备300的访问。
为了具体说明验证系统100依据告警信息计算得到终端设备300的信任等级的过程,本申请提供了一种验证终端设备身份安全的方法,参照图2,该方法的主要流程描述如下。
步骤S1:获取终端设备300的身份标识,依据身份标识调取终端设备300的告警数据,告警数据包括多种类型的告警信息和每一种类型的告警信息对应的风险等级。
首先,告警接收模块110用于获取终端服务器200发送的告警信息,由上述运行环境的介绍可知:告警接收模块110的获取方式可以是实时的,也可以是周期性的,还可以是终端服务器200主动上传的。无论是哪一种获取方式,告警接收模块110均会在接收到告警信息后,将告警信息传输至告警转换模块120中,由告警转换模块120将告警信息转换为计算评分模块130可处理的格式后,由计算评分模块130进行处理。
具体的,基于静态授权的方式,告警接收模块110接收到的告警信息包含有终端设备300和终端服务器200的绑定关系,即终端服务器200上传的告警信息中包含有终端设备300的身份标识,该身份标识是用于为终端服务器200区分不同的终端设备300而设置的,所以每一个终端设备300都具有唯一一个身份标识,该身份标识可以是终端设备300的设备编码,还可以是终端服务器200内生成的用于区分不同终端设备300的顺序编号等。在一个具体的示例中,告警信息的数据结构如下:
{
"appCode":"风险源code",
"appName":"风险源名称",
"riskCode":"关联的风险规则编码",
"riskId":"风险告警ID",
"times":"风险发生次数",
"userId":"风险主体唯一标识",
"userName":"风险主体名称"
}
其中:
appCode:为告警编码,终端服务器200需要提前与告警接收模块110协商获取;
appName:为告警名称,终端服务器200需提前与告警接收模块110协商定义;
riskCode:风险编码,风险编码在告警转换模块120中定义,不同的风险编码对应不同的风险告警ID;
RiskID:风险告警ID。全局唯一的风险告警标识,以避免告警信息的重复上报;
Times:风险发生次数。告警接收模块110支持终端服务器200将多次发生的风险归并上报;UserID:为终端设备300的身份标识;
UserName:终端设备300的名称。
告警转换模块120在接收到告警信息后,依据告警信息生成告警信息表。告警信息表中风险类型和风险等级均依据告警名称而得,告警转换模块120中提前设置有数据库,数据库中定义有每一种告警名称对应的风险类型和风险等级。在本示例中,风险类型包括用户账户安全风险和用户地理位置风险两种,在其他示例中,风险类型还可以划分为两个以上的种类,在此不作限制。其中,用户账户安全风险又划分为用户非工作时间登录、用户暴力破解、用户越权登录等异常的访问方式,且每一种异常的访问方式根据其对终端服务器200的危害程度设定有一个扣分值,例如,用户暴力破解的危害程度高于用户非工作时间登录的危害程度,所以用户暴力破解的扣分值高于用户非工作时间登录对应的扣分值。具体地,用户暴力破解的危害程度高于用户非工作时间登录的危害程度、用户越权登录的危害程度高于用户暴力破解的危害程度等的依据是:从网络中爬取这些风险类型在过去的时间里,对终端服务器200的危害情况,再综合相关领域的专家根据自身经验设定的危害程度,来考量每一个风险类型最后对应的扣分值。
风险描述的设置是为了便于负责管理验证系统100的管理人员清楚地知道告警信息对于终端服务器200的危害情况而设置的,以提升管理人员对于告警信息的感知度。
告警转换模块120在生成告警信息表后,将该表存储起来,而将表中的身份标识输入计算评分模块130中,即计算评分模块130获取到终端设备300的身份标识。计算评分模块130在得到身份标识后,根据身份标识确定待进行身份验证的终端设备300,再调取该终端设备300在访问终端服务器200的过程中,终端服务器200生成的告警信息,将多条告警信息统称为告警数据。需要说明的是,由于终端设备300可能不止访问一个终端服务器200,所以在调取终端设备300的告警数据时,该告警数据中的告警信息可能来自多个终端服务器200。
需要说明的是,进入计算评分模块130的告警数据,都需要告警转换模块120先进行格式的转换,即在告警转换模块120中,会针对每一个告警信息生成一个告警信息表。
步骤S2:将多种类型的告警信息输入第一计算模型中得到第一分值F1。
第一计算模型是提前设置于计算评分模块130中的。具体地,第一计算模型生成第一分值F1的过程为:首先,确定扣分模式。扣分模式包括两种扣分方式,一种是相同的告警信息仅扣除一次扣分值,另一种是相同的告警信息按照出现m次则扣除m个扣分值,m≥1。扣分模式的确定可以是用户从上述的两种扣分方式中选择出一种,还可以是计算评分模块130根据告警信息的数量多少确定的,即计算评分模块130中设置有次数阈值M,当m≥M时,则采用仅扣除一次扣分值的扣分方式;当m<M时,则采用出现m次则扣除m个扣分值的扣分方式,以使得所选择的扣分方式更加合理。在确定扣分模式后,再调取与每一种类型的告警信息对应的扣分阈值。最后,累加相同种类的告警信息的扣分值得到总扣分值,判断总扣分值是否大于扣分阈值,若是,则将扣分阈值作为总扣分值,并以每一种类型的告警信息的初始分值为100分减去总扣分值得到第一分值F1;若否,则以每一种类型的告警信息的初始分值为100分减去总扣分值得到第一分值F1。
在一个具体的示例中,设置用户账户安全风险的扣分阈值为70分、用户地理位置风险的扣分阈值为30分,则类型为“用户账户安全风险”的告警信息累计扣除的扣分值不能超过70分,而如果扣除的扣分值超出70分,则按70分计算。同理,类型为“用户地理位置风险”的告警信息的累计扣除的扣分值不能超过30分,如果扣除的扣分值超出30分,则按30分计算。
需要说明的是,本申请的所有类型的告警信息的扣分阈值之和为100分,如上述的设置用户账户安全风险的扣分阈值为70分,则用户地理位置风险的扣分阈值为30分,则扣分阈值之和为100(70+30)分。
步骤S3:将多种类型的告警信息对应的风险等级输入第二计算模型中得到第二分值F2。
第二计算模型也是提前设置于计算评分模块130中的。具体地,第二计算模型生成第二分值F2的过程为:首先,通过对不同风险等级的告警信息进行组合,形成基线表达式,然后再对每一个基线表达式进行评分,最后从多个基线表达式的评分中,选择最低的评分值作为第二分值F2。具体地,基线表达式的格式如下:
存在n1个及以上L1
[(或/且)存在n2个及以上L2]
[(或/且)存在n3及以上L3]
评分D
其中,n1,n2,n3为告警信息数量,L1、L2、L3为风险等级。
中括号“[]”中的内容为可选内容,中括号“[]”本身不属于表达式内容。
基线表达式的具体示例如表1所示:
表1
假如存在终端设备C,终端设备C在访问终端服务器200的期间,终端服务器200生成11条告警信息,依据该11条告警信息得到如表1所示的基线表达式:存在4个高风险、3个中风险、4个低风险,则由于达到了“存在3个及以上高风险”的基线表达式1,且基线表达式1的评分最低,所以第二计算模型将输出第二分值:F2=60分。
需要说明的是,为了便于后续第二计算模型快速的计算出第二分值F2,在完成基线表达式的定义后,计算评分模块130可以将基线表达式转换为脚本语言进行存储,如Groovy脚本。使得基线表达式可在JAVA环境中进行调用,从而为第二计算模型依据基线表达式快速得到第二分值F2提供数据支持。
还需要说明的是,在计算评分模块130通过执行步骤S2得到第一分值F1,还通过执行步骤S3得到第二分值F2后,将第一分值F1和第二分值F2均输出至信任转换模块140中。
步骤S4:计算信任评分S=min(F1,F2),将信任评分S输入信任度转换模型中得到信任等级。
信任转换模块140在接收到第一分值F1和第二分值F2后,计算信任评分S=min(F1,F2),即选择分值较小的一方作为信任评分,并将信任评分输入信任度转换模型中。具体地,信任转换模块140中设置有多个信任等级,每一个信任等级包含有一个分值范围,不同的信任等级的分值范围不重叠。信任度转换模型在接收到信任评分后,判断信任评分落入的分值范围,然后将信任评分所落入的分值范围作为信任评分的信任等级。
信任等级查询模块150提供信任等级查询接口,以供终端服务器200在需要使用终端设备300的信任等级时调用。信任等级查询接口负责提供对外接口,与终端服务器200对接。在一个具体的示例中,可以采用Http Restful形式提供对外接口。
当终端服务器200需要从信任等级查询模块150中查询终端设备300的信任等级时,可以输入终端设备300的身份标识,还可以输入终端设备300所属的设备类型,信任等级查询模块150则根据终端设备300的身份标识和/或终端设备300所属的设备类型查询终端设备300的信任等级,并输出查询到的信任等级,例如输出的信任等级是“极高”。
需要说明的是,信任等级查询接口本身不进行逻辑计算,终端设备300的信任等级是通过调用信任转换模块140而获取到的。
综上所述,本申请实施例一种验证终端设备身份安全的方法的实施原理为:首先,告警接收模块110用于从终端服务器200中接收告警信息,再将告警信息传输至告警转换模块120中。告警转换模块120用于将告警信息转换为计算评分模块130能够处理的格式后,再将告警信息中的身份标识传输至计算评分模块130中,计算评分模块130依据身份标识确定待验证身份是否安全的终端设备300。然后,计算评分模块130调取该终端设备300未被处理的告警信息,依据所调取的告警信息的风险类型以及风险等级,计算得到第一分值和第二分值,将计算所得的第一分值和第二分值传输至信任转换模块140中。最后,信任转换模块140对比第一分值和第二分值,并将较小的一方作为信任分值,再为信任分值匹配一个适配的信任等级,从而得到终端设备300的信任等级。当终端服务器200有调取终端设备300的信任等级需求时,由信任等级查询模块150调用信任转换模块140,再将终端设备300的信任等级转发给终端服务器200,从而实现为终端服务器200提供查询终端设备300的信任等级的目的,以便于终端服务器200根据所查询到的信任等级,确定是否阻断终端设备300的访问。
为了更好地执行上述方法的程序,本申请还提供一种终端,终端包括存储器和处理器。
其中,存储器可用于存储指令、程序、代码、代码集或指令集。存储器可以包括存储程序区和存储数据区,其中存储程序区可存储用于实现操作系统的指令、用于至少一个功能的指令以及用于实现上述验证终端设备身份安全的方法的指令等;存储数据区可存储上述验证终端设备身份安全的方法中涉及到的数据等。
处理器可以包括一个或者多个处理核心。处理器通过运行或执行存储在存储器内的指令、程序、代码集或指令集,调用存储在存储器内的数据,执行本申请的各种功能和处理数据。处理器可以为特定用途集成电路、数字信号处理器、数字信号处理装置、可编程逻辑装置、现场可编程门阵列、中央处理器、控制器、微控制器和微处理器中的至少一种。可以理解地,对于不同的设备,用于实现上述处理器功能的电子器件还可以为其它,本申请实施例不作具体限定。
本申请还提供一种计算机可读存储介质,例如包括:U盘、移动硬盘、只读存储器(Read Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。该计算机可读存储介质存储有能够被处理器加载并执行上述验证终端设备身份安全的方法的计算机程序。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的公开范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离前述公开构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其他技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。

Claims (10)

1.一种验证终端设备身份安全的方法,其特征在于,包括:
获取终端设备(300)的身份标识,依据所述身份标识调取终端设备(300)的告警数据,所述告警数据包括多种类型的告警信息和每一种类型的告警信息对应的风险等级;
将多种类型的告警信息输入第一计算模型中得到第一分值F1;
将多种类型的告警信息对应的风险等级输入第二计算模型中得到第二分值F2;
计算信任评分S=min(F1,F2),将所述信任评分S输入信任度转换模型中得到信任等级。
2.根据权利要求1所述的验证终端设备身份安全的方法,其特征在于,所述将多种类型的告警信息输入第一计算模型中得到第一分值F1包括:
确定扣分模式,依据扣分模式得到Li的总扣分值,所述Li为第i种类型的告警信息,i≥1;
调取Li的扣分阈值;
判断Li的总扣分值是否大于Li的扣分阈值;
若是,则以Li的初始分值为100分减去扣分阈值得到第一分值F1;
若否,则以Li的初始分值为100分减去总扣分值得到第一分值F1。
3.根据权利要求1所述的验证终端设备身份安全的方法,其特征在于,所述将多种类型的告警信息对应的风险等级输入第二计算模型中得到第二分值F2包括:
基于基线表达式得到多个评分D,所述基线表达式由j个风险等级的告警信息组合而得,j≥1;
以最小的评分D作为第二分值F2。
4.根据权利要求3所述的验证终端设备身份安全的方法,其特征在于,所述基线表达式的格式为:
存在n1个及以上L1
[(或/且)存在n2个及以上L2]
[(或/且)存在n3及以上L3]
评分D;
其中,n1,n2,n3为告警信息数量,L1、L2、L3为风险等级且L1>L2>L3。
5.根据权利要求1所述的验证终端设备身份安全的方法,其特征在于,所述将所述信任评分S输入信任度转换模型中得到信任等级包括:
提取信任等级,一所述信任等级对应一个分值范围;
将信任评分所落入的分值范围作为信任评分的信任等级。
6.根据权利要求1所述的验证终端设备身份安全的方法,其特征在于,所述在获取终端设备(300)的身份标识之前,所述方法还包括:
获取告警信息;
依据所述告警信息生成告警信息表,所述告警信息表中包含有身份标识、风险类型以及风险等级。
7.根据权利要求1所述的验证终端设备身份安全的方法,其特征在于,所述在得到信任等级后,所述方法还包括:
接收终端服务器(200)输入的终端设备(300)的身份标识和/或终端设备(300)所属的设备类型;
根据所述终端设备(300)的身份标识和/或终端设备(300)所属的设备类型匹配得到信任等级,并输出匹配所得的信任等级至终端服务器(200)中。
8.一种验证终端设备身份安全的系统,其特征在于,包括:
告警接收模块(110),用于获取告警信息;
告警转换模块(120),用于依据所述告警信息生成告警信息表,所述告警信息表中包含有身份标识、风险类型以及风险等级;
计算评分模块(130),用于获取所述身份标识,依据所述身份标识调取终端设备(300)的告警数据,所述告警数据包括多种类型的告警信息和每一种类型的告警信息对应的风险等级;还用于将多种类型的告警信息输入第一计算模型中得到第一分值F1,以及将多种类型的告警信息对应的风险等级输入第二计算模型中得到第二分值F2;
信任转换模块(140),用于计算信任评分S=min(F1,F2),将所述信任评分S输入信任度转换模型中得到信任等级;
信任等级查询模块(150),用于接收终端服务器(200)输入的终端设备(300)的身份标识和/或终端设备(300)所属的设备类型,还用于根据所述终端设备(300)的身份标识和/或终端设备(300)所属的设备类型匹配得到信任等级,并输出匹配所得的信任等级至终端服务器(200)中。
9.一种终端,其特征在于,包括存储器和处理器,所述存储器上存储有计算机程序,所述处理器执行所述程序时实现如权利要求1-7中任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,所述程序被处理器执行时实现如权利要求1-7中任一项所述的方法。
CN202311161520.6A 2023-09-11 2023-09-11 验证终端设备身份安全的方法、系统、终端及存储介质 Active CN116938595B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311161520.6A CN116938595B (zh) 2023-09-11 2023-09-11 验证终端设备身份安全的方法、系统、终端及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311161520.6A CN116938595B (zh) 2023-09-11 2023-09-11 验证终端设备身份安全的方法、系统、终端及存储介质

Publications (2)

Publication Number Publication Date
CN116938595A true CN116938595A (zh) 2023-10-24
CN116938595B CN116938595B (zh) 2023-12-26

Family

ID=88375557

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311161520.6A Active CN116938595B (zh) 2023-09-11 2023-09-11 验证终端设备身份安全的方法、系统、终端及存储介质

Country Status (1)

Country Link
CN (1) CN116938595B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104125217A (zh) * 2014-06-30 2014-10-29 复旦大学 一种基于主机日志分析的云数据中心实时风险评估方法
US20210092154A1 (en) * 2019-09-23 2021-03-25 Prekari, Inc. Detection of external messaging attacks using trust relationships
CN113507462A (zh) * 2021-07-05 2021-10-15 中国联合网络通信集团有限公司 零信任的数据监测预警方法、装置、系统和存储介质
CN114638429A (zh) * 2022-03-28 2022-06-17 广州小鹏自动驾驶科技有限公司 一种事故发生概率的预测方法、装置、车辆和存储介质
CN116723212A (zh) * 2023-05-29 2023-09-08 中国银行股份有限公司 数据处理方法、装置、电子设备和计算机可读存储介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104125217A (zh) * 2014-06-30 2014-10-29 复旦大学 一种基于主机日志分析的云数据中心实时风险评估方法
US20210092154A1 (en) * 2019-09-23 2021-03-25 Prekari, Inc. Detection of external messaging attacks using trust relationships
CN113507462A (zh) * 2021-07-05 2021-10-15 中国联合网络通信集团有限公司 零信任的数据监测预警方法、装置、系统和存储介质
CN114638429A (zh) * 2022-03-28 2022-06-17 广州小鹏自动驾驶科技有限公司 一种事故发生概率的预测方法、装置、车辆和存储介质
CN116723212A (zh) * 2023-05-29 2023-09-08 中国银行股份有限公司 数据处理方法、装置、电子设备和计算机可读存储介质

Also Published As

Publication number Publication date
CN116938595B (zh) 2023-12-26

Similar Documents

Publication Publication Date Title
CN110213356B (zh) 一种基于数据处理的登录处理方法及相关设备
US20230328109A1 (en) Data access policies
US10848505B2 (en) Cyberattack behavior detection method and apparatus
CN105262717A (zh) 一种网络服务安全管理方法及装置
CN109688186B (zh) 数据交互方法、装置、设备及可读存储介质
CN109391673B (zh) 一种管理更新文件的方法、系统及终端设备
CN105100032A (zh) 一种防止资源盗取的方法及装置
WO2021120975A1 (zh) 一种监控方法及装置
CN110889096B (zh) 登录方法、装置、计算机设备及存储介质
CN107248995B (zh) 账号验证方法及装置
CN113259359B (zh) 一种边缘节点能力补充方法、系统、介质及电子终端
CN111835772B (zh) 一种基于边缘计算的用户身份认证方法、装置
CN110430062B (zh) 登录请求处理方法、装置、设备及介质
CN107682316B (zh) 动态密码发送策略的生成方法和动态密码发送方法
CN111835773B (zh) 一种基于边缘计算的用户身份认证系统
CN116938595B (zh) 验证终端设备身份安全的方法、系统、终端及存储介质
CN116501997B (zh) 短链接生成方法、装置、电子设备及存储介质
CN109379344B (zh) 访问请求的鉴权方法及鉴权服务器
CN109818915B (zh) 一种信息处理方法及装置、服务器及可读存储介质
CN108924101A (zh) 一种数据库的操作方法及相关设备
CN107623710A (zh) 一种文件上传方法及终端
CN104717177A (zh) 一种移动应用安全管控方法和设备
CN104519073A (zh) 一种aaa多因子安全增强认证方法
CN111953672B (zh) 网络接入方法、服务器及存储介质
CN117040929B (zh) 一种访问处理方法、装置、设备、介质及程序产品

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant