本发明专利技术涉及一种基于UEBA和可信认证的身份认证方法及系统。本身份认证系统至少包括:预处理单元、数据分类单元、环境风险评估单元和数据认证单元。预处理单元用于确定对用户身份进行认证时使用的身份认证因子以及身份认证模式。数据分类单元用于根据所述身份认证因子获取对用户身份进行认证时使用的被认证数据并对所述被认证数据进行分类。环境风险评估单元被配置为能够监控用户的安全态势。数据认证单元能够用于获取所述身份认证模式和经所述数据分类单元分类处理后的被认证数据;在所述数据认证单元能够获取所述安全态势的情况下,所述数据认证单元被配置为能够基于所述安全态势和身份认证模式对分类处理后的被认证数据进行多模式认证。数据进行多模式认证。数据进行多模式认证。
【技术实现步骤摘要】
一种基于UEBA和可信认证的身份认证方法及系统
[0001]本专利技术涉及安全分析
,尤其涉及一种基于UEBA和可信认证的身份认证方法及系统。
技术介绍
[0002]传统的办公网络安全架构通过网络位置来划分交易网络、办公网络、DMZ、外部网络等,内部办公和交易区域是受信任区域,交易网络安全等级更高。外部网络则不受信任,从外部访问内部资源则需要经过DMZ缓冲区后的防火墙。基于信任区域的传统安全架构存在天然的缺陷,一旦被渗透到信任区域,将无法有效隔离和保护数据资产。另外内网中虽然部署了大量安全设备,但设备与设备之间缺少信息共享和安全联动,安全实质处于割裂状态的静态防护。安全问题无处不在,即便是受信任的用户身份也可能会做一些不安全的事情,所以安全的管控就无法通过静态的配置来保障安全。安全的本质是信任,但我们无法通过划分信任网络来确保访问用户身份的合法性和用户操作的合法性。外部和内部威胁可能每时每刻都充斥着网络。所有的接入设备、用户和网络访问流量都需要被认证、授权和加密,使信任最小化,安全最大化。这就需要对用户身份进行动态识别和确认,对用户访问进行动态授权和监控。传统静态的权限管理可能无法适应动态的访问管控,访问控制策略应该基于尽量多的数据源进行计算和评估,实现权限动态化配置和调整。假设所有用户和接入设备都是不受信任的,都是不安全的,这就是零信任的思想。基于零信任思想所构建的基于身份的访问控制安全体系就是零信任安全体系。
[0003]例如,公开号为CN112580009A的中国专利文献公开了一种大数据系统中对用户身份进行认证的方法,包括:通过确定对用户身份进行认证时使用的身份认证因子,以及身份认证模式,根据身份认证因子,获取对用户身份进行认证时使用的被认证数据并进行分类;根据身份认证模式,对分类处理后的被认证数据进行多模式认证,其中身份认证因子、身份认证模式根据应用场景的要求灵活配置,通过身份认证因子的配置,定义了要对用户进行身份认证时收集哪些数据作为被认证数据;身份认证模式的配置,定义了对认证数据进行认证的认证模式,即改善了认证的效率,也进一步的提高了认证结果的真实性和可靠性。但是,该专利技术仍存在以下技术不足:该专利技术并未考虑到由于用户的安全态势的变化而引起已经经过认证的用户身份部分或全部失效;这是由于当用户的安全态势发生变化时,用户的身份认证信息以及与该身份认证信息相对应的访问权限实际上也可能随着上述变化因素而改变,例如经数据认证单元认证且合法的真实用户,当该用户自身安全态势发生恶化,若数据认证单元继续放任该用户进行后续访问,该用户的安全环境很容易被内部或外部的安全威胁所攻破,进而发生该用户的合法身份被盗用等问题。因此针对现有技术的不足有必要进行改进。
[0004]此外,一方面由于对本领域技术人员的理解存在差异;另一方面由于申请人做出本专利技术时研究了大量文献和专利,但篇幅所限并未详细罗列所有的细节与内容,然而这绝非本专利技术不具备这些现有技术的特征,相反本专利技术已经具备现有技术的所有特征,而且申
请人保留在
技术介绍
中增加相关现有技术之权利。
技术实现思路
[0005]针对现有技术之不足,本专利技术提供了一种基于UEBA和可信认证的身份认证系统,其特征在于,至少包括预处理单元、数据分类单元、环境风险评估单元和数据认证单元。
[0006]预处理单元用于确定对用户身份进行认证时使用的身份认证因子以及身份认证模式。
[0007]数据分类单元用于获取所述身份认证因子获取对用户身份进行认证时使用的被认证数据,并对所述被认证数据进行分类。
[0008]环境风险评估单元,被配置为能够监控用户的安全态势,并能够将所述安全态势发送至数据认证单元。
[0009]数据认证单元,至少能够用于获取所述身份认证模式和经所述数据分类单元分类处理后的被认证数据。
[0010]在所述数据认证单元能够获取所述安全态势的情况下,所述数据认证单元被配置为能够基于所述安全态势和身份认证模式对分类处理后的被认证数据进行多模式认证。通过该配置方式,本系统通过环境风险评估单元以对用户的安全态势进行实时地监控和评估,以对经数据认证单元认证的用户身份进行进一步动态地调整,从而可以避免即使是经数据认证单元认证且合法的真实用户,但由于其自身安全态势发生恶化,当其继续进行后续访问的时候也很容易被内部或外部的安全威胁所攻破,进而发生该用户的合法身份被盗用等问题的情形。
[0011]根据一个优选实施方式,所述环境风险评估单元能够基于用户实体行为分析技术对用户的行为进行持续地监控。所述环境风险评估单元能够以时序的方式将用户的安全态势发送至所述数据认证单元。
[0012]根据一个优选实施方式,所述环境风险评估单元还能够识别用户所使用应用的更新、用户所使用网络的变化,并基于上述更新和/或变化对该用户的安全态势进行判定或划分安全等级。
[0013]根据一个优选实施方式,所述环境风险评估单元设置或集成有电压监控分析子单元,电压监控分析子单元被配置为至少能够监测用户的电压,以通过检测电压和/或电压的变化判断用户是否受到安全攻击。
[0014]例如用户可以为变电站、企业、服务器、工作站等。例如,与电压变化相关的安全攻击可以为:黑客可能使用针对PC操作系统的安全措施来干预处理器的电压和频率,篡改内部比特并利用其制造故障,导致内存加密和身份验证技术全部失效,最终造成敏感信息泄露。针对此种情况,电压分析子单元通过实时地监控使用者用户端的电压和/或电压的变化,并将用户端的电压和/或电压的变化发送至用户实体行为分析单元,以通过用户实体行为分析单元判断用户端是受到真实的主动攻击(例如黑客攻击)还是仅仅为电压的突变(例如电压暂降、电压骤升)。由于用户实体行为分析的现有技术中能够对电压的突变(例如电压暂降、电压骤升)与真实的主动攻击(例如黑客攻击)进行侦测与识别,而本领域技术人员也容易获取该技术,因此此处不再对用户实体行为分析单元如何区分电压的突变(例如电压暂降、电压骤升)与真实的主动攻击(例如黑客攻击)进行赘述。
[0015]根据一个优选实施方式,所述环境风险评估单元还设置或集成有数据存储子单元,所述数据存储子单元以至少能够获取并存储电压监控分析子单元所采集的与电压相关的数据信息。优选地,与电压相关的数据信息可以包括但不限于:CPU或其他部件的电压的幅值、频率、相位数据信息,CPU或其他部件的电流信息,CPU或其他部件的功率等。优选地,数据存储子单元还能够获取并存储电压分析单元所采集的除电压以外的数据信息,例如与用户(例如电力企业、变电站等)数据连接的诸多传感器所采集的相关数据。通过该配置方式,可以对电压分析单元所采集用户与电压相关的数据信息进行存储,以用于后续进一步的分析。
[0016]根据一个优选实施方式,数据存储子单元还能够对用户与电压分析单元之间需要进行传输或交互的数据进行预先的压缩,从而降低用户或用户端与电压分析单元在传输时带宽资源占用和网络成本。
[0017]优选地,数据存储子单元能够根据用户传感网络的策略为多本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于UEBA和可信认证的身份认证系统,其特征在于,至少包括:预处理单元(1),用于确定对用户身份进行认证时使用的身份认证因子以及身份认证模式;数据分类单元(2),用于获取所述身份认证因子获取对用户身份进行认证时使用的被认证数据,并对所述被认证数据进行分类;环境风险评估单元(3),被配置为能够监控用户的安全态势;数据认证单元(4),至少能够用于获取所述身份认证模式和经所述数据分类单元(2)分类处理后的被认证数据;其中,在所述数据认证单元(4)能够获取所述安全态势的情况下,所述数据认证单元(4)被配置为能够基于所述安全态势和身份认证模式对分类处理后的被认证数据进行多模式认证。2.根据权利要求1所述的身份认证系统,其特征在于,所述环境风险评估单元(3)能够基于用户实体行为分析技术对用户的行为进行持续地监控,其中,所述环境风险评估单元(3)能够以时序的方式将用户的安全态势发送至所述数据认证单元(4)。3.根据权利要求2所述的身份认证系统,其特征在于,所述环境风险评估单元(3)还能够识别用户所使用应用的更新、用户所使用网络的变化,并基于上述更新和/或变化对该用户的安全态势进行判定或划分安全等级。4.根据权利要求3所述的身份认证系统,其特征在于,所述环境风险评估单元(3)设置或集成有电压监控分析子单元(301),电压监控分析子单元(301)被配置为至少能够监测用户的电压,以通过检测电压和/或电压的变化判断用户是否受到安全攻击。5.根据权利要求4所述的身份认证系统,其特征在于,所述环境风险评估单元(3)还设置或集成有数据存储子单元(302),所述数据存储子单元(302)以至少能够获取并存储电压监控分析子单元(301)所采集的与电压相关的数据信息。6.根据权利要求5所述的身份认证系统,其特征在于,所述身份认证因子包括知识性认证因子、所有权认证因子、生物特征因子,其中,所述数据...
【专利技术属性】
技术研发人员:魏明,阮安邦,陈凯,李飞,陈旭明,
申请(专利权)人:北京八分量信息科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。