[发明专利]基于零信任联盟系统的信任评估方法及系统

说明书

本发明提供基于零信任联盟系统的信任评估方法及系统，属于网络安全数据处理技术领域。包括：所述依赖方RP接收所述用户的访问请求；所述依赖方RP向所述上下文管理服务CAP请求所述用户的联合上下文，其中，所述用户的联合上下文为所述上下文管理服务CAP从所述零信任联盟系统中各所述实体收集到的、上下文所有者为所述用户的所有上下文的集合；所述上下文管理服务CAP向所述依赖方RP提供所述用户的联合上下文；所述依赖方RP根据所述用户的联合上下文对所述用户的访问请求进行可信度评估，得出信任评估结果。

技术领域

本发明涉及网络安全数据处理技术领域，尤其涉及一种基于零信任联盟系统的信任评估方法及系统。

背景技术

ZTN(Zero Trust Networking，零信任网络)是一个访问控制模型，其核心原则是“从不信任，始终验证”。不同于传统外缘源网络那样依赖单一的隐式信任来进行访问控制，ZTN通过使用身份和上下文来验证每个访问请求。身份即实体在ZTN中的数字身份，上下文是关于发出访问请求的实体的信息，包括关于用户、用户所使用的设备、设备所连接的网络以及设备周围的物理环境等信息。此外，上下文不仅包括用户标识(ID)和设备供应商等静态信息，还包括基于过去行为的动态信息，例如最近的访问使用了什么设备，以及在何地进行访问等。

上下文只能由用户直接访问的实体和允许用户在各个设备中安装代理软件的实体收集，因此被访问的实体（如依赖方）需要自己不断地收集上下文，并使用收集的上下文以及访问者的身份来评估访问的可信度。

由于包含在访问请求中的上下文只有在访问者进行访问时才能收集到，因此一些访问量很少的实体（依赖方）有时无法收集足够的上下文，由于上下文数据量过少从而无法对访问者进行有效的信任评估。

发明内容

有鉴于此，本发明提供一种基于零信任联盟系统的信任评估方法及系统，引入零信任联盟系统中实体间共享上下文的机制，有效提高实体收集访问者上下文的数据量，以支持实体对访问者进行信任评估。

本发明实施例解决其技术问题所采用的技术方案是：

一种基于零信任联盟系统的信任评估方法，零信任联盟系统由至少一个身份联盟和独立于所述身份联盟的至少一个上下文管理服务CAP组成，所述身份联盟包括具有联盟身份的依赖方RP和用户、还包括用于提供所述联盟身份的身份提供者服务器，所述上下文管理服务CAP用于收集和管理实体的上下文、以及提供实体间共享的联合上下文，所述实体包括所述上下文管理服务CAP、所述依赖方RP、所述用户，方法步骤包括：

步骤S1，所述依赖方RP接收所述用户的访问请求；

步骤S2，所述依赖方RP向所述上下文管理服务CAP请求所述用户的联合上下文，其中，所述用户的联合上下文为所述上下文管理服务CAP从所述零信任联盟系统中各所述实体收集到的、上下文所有者为所述用户的所有上下文的集合；

步骤S3，所述上下文管理服务CAP向所述依赖方RP提供所述用户的联合上下文；

步骤S4，所述依赖方RP根据所述用户的联合上下文对所述用户的访问请求进行可信度评估，得出信任评估结果。

较优地，所述依赖方RP和所述上下文管理服务CAP之间基于连续访问评估协议实现所述用户的联合上下文的传输，所述步骤S3所述上下文管理服务CAP向所述依赖方RP提供所述用户的联合上下文包括：

所述依赖方RP创建流，并配置所述上下文管理服务CAP为流端点；

所述依赖方RP在所述流中添加对象端点，并请求所述上下文管理服务CAP批准，所述对象端点为拥有所述依赖方所要访问的上下文的上下文所有者；

所述上下文管理服务CAP批准添加所述对象端点至所述流中；

所述上下文管理服务CAP通过所述流将所述用户的联合上下文传输至所述依赖方RP。

较优地，所述零信任联盟系统还包括授权服务器，所述步骤S1所述依赖方RP接收所述用户的访问请求，所述访问请求中包含用户身份之前，还包括：