[发明专利]一种基于机器学习的零信任API网关动态信任评估与访问控制方法及系统

说明书

本发明属于云原生与零信任安全领域，具体涉及一种基于机器学习的零信任API网关动态信任评估与访问控制方法及系统，该系统包括：身份认证模块、API网关模块、数据采集存储引擎模块、信任计算引擎模块和授权策略引擎模块；身份认证模块对用户身份进行认证；API网关模块接收用户请求，根据授权策略引擎提供的授权结果执行访问控制策略；数据采集存储模块采集日志信息；信任计算引擎对访问请求详情和历史数据进行计算处理，得到特征值向量，根据特征值向量计算得到访问请求的信任度；授权策略引擎基于访问请求的信任度决定最后的授权策略；本发明解决了现有API网关静态的授权策略容易被攻击者嗅探、侦破从而进行恶意攻击的问题。

技术领域

本发明属于云原生与零信任安全领域，具体涉及一种基于机器学习的零信任API网关动态信任评估与访问控制方法及系统。

背景技术

随着新的IT产业革命的到来，互联网信息呈爆发式增长，同时对于海量数据处理的需求也变得越来越迫切，此时云计算作为新一代的计算模式逐渐从理论走向实践。云计算技术以一切为服务的理念，改变了人们对传统软件应用的认识，为适应这一变化，一个开源的基金会组织——云原生计算基金会(CNCF，Cloud Native Computing Foundation)组织成立，其目标是解答在云体系下，应该用怎样的架构来服务现代应用程序。CNCF提出云原生应以应用运行在云计算基础架构服务之上，并对应用程序逻辑单元实现自我管理为宗旨，并给出了云原生应用的三大特征：容器化封装、自动化管理和面向微服务。

微服务是近年来出现的新型软件应用架构，其核心思路是将复杂的大型应用服务分解为可以独立部署和维护的小型服务模块。这种从单体应用到微服务架构的转变，从根本上改变了传统应用的开发、部署和管理方式。相比传统应用架构，微服务架构能够更有效地利用计算资源，更快地更新服务。在微服务系统架构中，API(Application ProgrammingInterface)是微服务服务对外暴露的接入点，各个微服务通过API的调用交互协作，但是对于海量的微服务和其对应的API而言，如何对其进行有效的管理是亟待解决的问题。因此，在微服务架构中需要一个API网关来承担系统门面的工作，作为整个微服务集群的统一接入点，以过滤来自外部的访问请求，并对整个微服务集群中的微服务进行生命周期管理。一般来说，API网关系统应具备路由、均衡负载、认证授权等核心功能，并能整合灰度发布、限流熔断、服务聚合等功能来优化系统。然而，现有API网关的鉴权功能常常是以RBAC(RoleBased Access Control)或ABAC(Attribute Based Access Control)等访问控制模型来实现，这类访问控制模型的访问控制策略往往需要管理员去人为配置，容易产生认为失误，而且这种静态的访问控制策略容易被攻击者长期侦查、渗透所破解，成为整个系统安全防御突破口。

零信任网络的概念最早由著名研究机构Forrester的首席分析师JohnKindervag在2010年提出，零信任针对传统的基于边界的网络安全架构进行了重新评估和审视，并给出了新的思路和建议。零信任的核心思想是，默认情况下不信任网络中的一切实体，包括人/设备/系统等，诸如IP地址、主机、地理位置等均不能作为可信的凭证，需要基于认证和授权重构访问控制的信任基础，访问控制策略随状态变化动态调整。零信任对访问控制进行了范式上的颠覆，引导安全体系架构从“网络中心化”走向“身份中心化”，其本质诉求是以身份为中心进行访问控制。近年来，零信任安全逐渐进入人们的视野，成为网络安全领域的研究热点，是解决新时代网络安全问题的新理念、新架构。

综上所述，如何构建用户信任度评估体系并设计相应的信任评估模型与访问控制模型是将零信任安全防护思想应用于API网关的关键。

发明内容

为解决以上现有技术存在的技术问题，本发明提供了一种基于机器学习的零信任API网关动态信任评估与访问控制方法，该方法包括：

S1：构建零信任API网关动态信任评估指标体系；

S2：用户向系统进行身份认证；认证成功的用户向API网关发送请求；采集认证时间及结果信息；