[发明专利]基于零信任联盟系统的信任评估方法及系统

权利要求书

1.一种基于零信任联盟系统的信任评估方法，其特征在于，零信任联盟系统由至少一个身份联盟和独立于所述身份联盟的至少一个上下文管理服务CAP组成，所述身份联盟包括具有联盟身份的依赖方RP和用户、还包括用于提供所述联盟身份的身份提供者服务器，所述上下文管理服务CAP用于收集和管理实体的上下文、以及提供实体间共享的联合上下文，所述实体包括所述上下文管理服务CAP、所述依赖方RP、所述用户，方法步骤包括：

步骤S1，所述依赖方RP接收所述用户的访问请求；

步骤S2，所述依赖方RP向所述上下文管理服务CAP请求所述用户的联合上下文，其中，所述用户的联合上下文为所述上下文管理服务CAP从所述零信任联盟系统中各所述实体收集到的、上下文所有者为所述用户的所有上下文的集合；

步骤S3，所述上下文管理服务CAP向所述依赖方RP提供所述用户的联合上下文；

步骤S4，所述依赖方RP根据所述用户的联合上下文对所述用户的访问请求进行可信度评估，得出信任评估结果。

2.如权利要求1所述的基于零信任联盟系统的信任评估方法，其特征在于，所述依赖方RP和所述上下文管理服务CAP之间基于连续访问评估协议实现所述用户的联合上下文的传输，所述步骤S3所述上下文管理服务CAP向所述依赖方RP提供所述用户的联合上下文包括：

所述依赖方RP创建流，并配置所述上下文管理服务CAP为流端点；

所述依赖方RP在所述流中添加对象端点，并请求所述上下文管理服务CAP批准，所述对象端点为拥有所述依赖方所要访问的上下文的上下文所有者；

所述上下文管理服务CAP批准添加所述对象端点至所述流中；

所述上下文管理服务CAP通过所述流将所述用户的联合上下文传输至所述依赖方RP。

3.如权利要求1所述的基于零信任联盟系统的信任评估方法，其特征在于，所述零信任联盟系统还包括授权服务器，所述步骤S1所述依赖方RP接收所述用户的访问请求，所述访问请求中包含用户身份之前，还包括：

所述用户向所述上下文管理服务CAP发起上下文类型注册请求；

所述上下文管理服务CAP向所述授权服务器发起所述用户的上下文类型注册请求，所述用户的上下文类型注册请求包含所述用户身份和上下文类型ctxType；

所述授权服务器根据所述用户身份和所述上下文类型ctxType注册上下文标识ctxID，并回应所述上下文管理服务CAP；

所述上下文管理服务CAP接收到所述授权服务器的回应消息后，根据所述用户身份和所述上下文类型ctxType注册所述上下文标识ctxID，并回应所述用户；

所述用户接收到所述上下文管理服务CAP的回应消息后，注册所述上下文类型ctxType为所述上下文标识ctxID；

所述用户向所述依赖方RP发起上下文标识注册请求，所述上下文标识注册请求包含所述上下文类型ctxType；

所述依赖方RP根据所述用户身份和所述上下文类型ctxType注册所述上下文标识ctxID，并向所述用户发送注册完成消息。

4.如权利要求3所述的基于零信任联盟系统的信任评估方法，其特征在于，所述步骤S2中所述依赖方RP向所述上下文管理服务CAP请求所述用户的联合上下文包括：

所述依赖方RP确认用于验证所述用户身份的全部所需上下文类型和所需权限范围；

所述依赖方RP获取所有所述所需上下文类型对应的所述上下文标识ctxID；

所述依赖方RP向所述上下文管理服务CAP发送联合上下文请求，所述联合上下文请求包含所有所述所需上下文类型对应的所述上下文标识ctxID、以及所述所需权限范围。