【技术实现步骤摘要】
一种静态与动态身份一致性验证方法及系统
[0001]本专利技术涉及一种静态与动态身份一致性验证方法及系统,属于零信任及网络安全
技术介绍
[0002]云计算和大数据时代,网络安全边界逐渐瓦解,内外部威胁愈演愈烈,传统的边界安全架构难以应对,零信任安全架构应运而生。零信任安全架构基于“以身份为基石、业务安全访问、持续信任评估、动态访问控制”四大关键能力,是构筑以身份为基石的动态虚拟边界的解决方案,是实现全面身份化、授权动态化、风险度量化、管理自动化的新一代网络安全架构。
[0003]零信任的本质是以身份认证为基石进行动态访问控制,全面身份化是实现零信任的前提和基石,因此用户身份验证的准确性直接关乎零信任系统的安全性。传统的身份验证以静态验证方式为主,基于口令的单因素识别方式是其典型代表,但随着计算机性能和相关技术的发展,仅仅通过暴力破解便能破解大多数基于此种验证方式的系统。随后便出现了利用诸如指纹、声音、视网膜等生物特征以及使用智能卡、印章等独有设备来进行验证的方式,虽然这两种方式在一定程度上加强了对用户身份验证的可靠性,但因其对设备的特殊要求,存在着一定的局限性。
[0004]除此之外,这些身份验证方式都一次验证方式,即用户成功登录系统后,直至退出都将拥有相应的权限。而零信任强调的则是持续的信任评估,因此,动态的持续身份验证技术对于零信任系统来说必不可少。现有的动态持续身份验证方式大多基于对生物行为特征的持续监测,例如击键动态特征、触摸屏动态、眼球运动、步态等。此类身份验证系统具备无干扰性, ...
【技术保护点】
【技术特征摘要】
1.一种静态与动态身份一致性验证方法,其特征在于:包括:静态身份验证阶段和动态身份验证阶段;其中静态身份验证阶段用于对登录用户的初次身份验证,通过静态身份验证方式对用户进行单因素或多因素的静态一次性身份验证;动态身份验证阶段基于对生物行为特征的持续检测来进行身份验证,使用改进Kmeans算法进行聚类分析,同时基于可信度修正进行不确定性推理,随后使用参数优化后的XGBoost算法进行模型训练与匹配,得到最终动态身份可信度,最后基于结果执行授权访问或是退出到静态验证阶段进行再次验证。2.如权利要求1所述的方法,其特征在于:包括:步骤一:进行系统配置,配置静态身份验证方式,选择一种或两种以上静态身份验证方式来进行单因素或多因素的验证;步骤二:根据配置对用户进行身份验证,并判断用户登录时间有无超过时间期限t,若没超过,则转到下一步骤,否则返回重新登录;步骤三:持续不间断的采集用户信息数据,用户信息数据包括用户行为特征以及上下文信息;步骤四:使用改进Kmeans算法对用户信息数据进行聚类分析;步骤五:基于可信度修正的方式将聚类分析的结果进行可信度修正,并利用修正后的知识可信度值来计算动态身份验证结论的综合可信度,得到用于训练预测的监督数据集;步骤六:将监督数据集形式化表示、并将75%数据作为训练集输入训练参数优化后的XGBoost模型,然后利用测试集对用户身份验证的结论可信度进行预测;步骤七:比较预测的结论可信度与预设的可信阈值λ,若结论可信度大于可信阈值λ,则判断用户可信,用户可继续访问系统;若结论可信度小于可信阈值λ,则判断用户不可信,终止用户的访问并退回进行静态身份验证。3.如权利要求2所述的方法,其特征在于:步骤四中,改进的Kmeans算法具体如下:(1)初始化FPA控制参数,控制参数有种群大小N、最大迭代次数Maxgen和转换概率p;(2)初始化种群,根据给定的上下界随机生成初始解x1,x2,
…
,x
n
,并计算其相应的适应度值;(3)根据初始种群及其适应度值找出最佳解决方案g*及其适应度值f(g*);(4)生成新的种群,根据转换概率p∈[0,1]的值来确定采用全局搜索还是局部搜索,当生成的随机数rand∈U[0,1]小于p时,采用全局搜索策略,否则采用局部搜索策略,公式如下:其中,表示当花粉个体在花授粉算法中进行全局或局部搜索环节时,花粉个体i进行第t次迭代更新后的具体花粉位置;和表示花粉种群中的任意两个花粉个体在第t次迭代更新时的具体花粉位置,同时这两个花粉位置的选取是随机的且不同于花粉i的具体位置;ε∈U[0,1];γ是步长控制因子;参数L表示授粉强度,本质上是一个步长,服从莱维分布,公式如下:
λ为常数,在该算法中取λ=1.5;Γ(λ)为标准伽马函数;s0是最小步长;s是步长,计算公式如下:其中,μ和ν为两个随机数且服从标准正态分布μ~N(0,σ2),ν~N(0,1),其中方差σ2是通过以下公式得到:(5)更新种群和最佳解决方案,根据适应度值,替换比存储的解决方案质量更好的新解决方案,并获得最佳解决方案g*;(6)检查停止标准,重复执行步骤(4)、(5),直到达到最大迭代数,此时的解即为初始聚类中心m
k
;(7)计算每个样本x和聚类中心m
k
之间的欧式距离其中x
i
是样本x的第i个特征,m
ki
是聚类中心m
k
的第i个特征;(8)将各样本划分进与其距离最近的聚类中心m
k
所对应的簇C
k
;(9)计算每个聚簇中所有样本的均值,更新聚类中心;(10)重复(7)、(8)、(9)直到聚类中心无变化;(11)根据类别进行标记处理,得到用户各类别信息数据。4.如权利要求2或3所述的方法,其特征在于:步骤五中,可信度修正算法如下:(1)设CE
x
={C1,C2,...,C
n
}为当前访问的用户的用户信息数据,用户信息数据包含用户行为信息及其上下文信息,其中C
i
,i=1,2,...,n为信息参数;(2)提供衡量各信息对用户身份验证结果的知识可信度CF(X,C
i
),其值介于
‑
1到1之间,值1表示极度可信,值
‑
1表示极度不可信,提供各信息的重要性权值w
i
,其中(3)计算知识的平均可信度(4)计算各信息的知识可信度与知识平均可信度之间的距离:(5)计算知识的可信度修正值:
综合可信度的算法如下:(1)提供各信息的可信度CF(C
i
);(2)计算每个信息单独作用时用户身份验证结果的可信度CF
i
(X)=CF(C
i
)CF
′
(X,C
i
);(3)以如下公式将第一条知识和第二条知识合成,随后将合成后的知...
【专利技术属性】
技术研发人员:肖鹏,张振红,胡健,王海林,颜颖,张逸彬,杭菲璐,谢林江,尹君,李寒箬,
申请(专利权)人:云南电网有限责任公司信息中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。