基于零信任联盟系统的信任评估方法及系统技术方案

本发明专利技术提供基于零信任联盟系统的信任评估方法及系统，属于网络安全数据处理技术领域。包括：所述依赖方RP接收所述用户的访问请求；所述依赖方RP向所述上下文管理服务CAP请求所述用户的联合上下文，其中，所述用户的联合上下文为所述上下文管理服务CAP从所述零信任联盟系统中各所述实体收集到的、上下文所有者为所述用户的所有上下文的集合；所述上下文管理服务CAP向所述依赖方RP提供所述用户的联合上下文；所述依赖方RP根据所述用户的联合上下文对所述用户的访问请求进行可信度评估，得出信任评估结果。出信任评估结果。

【技术实现步骤摘要】
基于零信任联盟系统的信任评估方法及系统


[0001]本专利技术涉及网络安全数据处理
，尤其涉及一种基于零信任联盟系统的信任评估方法及系统。

技术介绍

[0002]ZTN(Zero Trust Networking，零信任网络)是一个访问控制模型，其核心原则是“从不信任，始终验证”。不同于传统外缘源网络那样依赖单一的隐式信任来进行访问控制，ZTN通过使用身份和上下文来验证每个访问请求。身份即实体在ZTN中的数字身份，上下文是关于发出访问请求的实体的信息，包括关于用户、用户所使用的设备、设备所连接的网络以及设备周围的物理环境等信息。此外，上下文不仅包括用户标识(ID)和设备供应商等静态信息，还包括基于过去行为的动态信息，例如最近的访问使用了什么设备，以及在何地进行访问等。
[0003]上下文只能由用户直接访问的实体和允许用户在各个设备中安装代理软件的实体收集，因此被访问的实体（如依赖方）需要自己不断地收集上下文，并使用收集的上下文以及访问者的身份来评估访问的可信度。
[0004]由于包含在访问请求中的上下文只有在访问者进行访问时才能收集到，因此一些访问量很少的实体（依赖方）有时无法收集足够的上下文，由于上下文数据量过少从而无法对访问者进行有效的信任评估。

技术实现思路

[0005]有鉴于此，本专利技术提供一种基于零信任联盟系统的信任评估方法及系统，引入零信任联盟系统中实体间共享上下文的机制，有效提高实体收集访问者上下文的数据量，以支持实体对访问者进行信任评估。
[0006]本专利技术实施例解决其技术问题所采用的技术方案是：一种基于零信任联盟系统的信任评估方法，零信任联盟系统由至少一个身份联盟和独立于所述身份联盟的至少一个上下文管理服务CAP组成，所述身份联盟包括具有联盟身份的依赖方RP和用户、还包括用于提供所述联盟身份的身份提供者服务器，所述上下文管理服务CAP用于收集和管理实体的上下文、以及提供实体间共享的联合上下文，所述实体包括所述上下文管理服务CAP、所述依赖方RP、所述用户，方法步骤包括：步骤S1，所述依赖方RP接收所述用户的访问请求；步骤S2，所述依赖方RP向所述上下文管理服务CAP请求所述用户的联合上下文，其中，所述用户的联合上下文为所述上下文管理服务CAP从所述零信任联盟系统中各所述实体收集到的、上下文所有者为所述用户的所有上下文的集合；步骤S3，所述上下文管理服务CAP向所述依赖方RP提供所述用户的联合上下文；步骤S4，所述依赖方RP根据所述用户的联合上下文对所述用户的访问请求进行可信度评估，得出信任评估结果。
[0007]较优地，所述依赖方RP和所述上下文管理服务CAP之间基于连续访问评估协议实现所述用户的联合上下文的传输，所述步骤S3所述上下文管理服务CAP向所述依赖方RP提供所述用户的联合上下文包括：所述依赖方RP创建流，并配置所述上下文管理服务CAP为流端点；所述依赖方RP在所述流中添加对象端点，并请求所述上下文管理服务CAP批准，所述对象端点为拥有所述依赖方所要访问的上下文的上下文所有者；所述上下文管理服务CAP批准添加所述对象端点至所述流中；所述上下文管理服务CAP通过所述流将所述用户的联合上下文传输至所述依赖方RP。
[0008]较优地，所述零信任联盟系统还包括授权服务器，所述步骤S1所述依赖方RP接收所述用户的访问请求，所述访问请求中包含用户身份之前，还包括：所述用户向所述上下文管理服务CAP发起上下文类型注册请求；所述上下文管理服务CAP向所述授权服务器发起所述用户的上下文类型注册请求，所述用户的上下文类型注册请求包含所述用户身份和上下文类型ctxType；所述授权服务器根据所述用户身份和所述上下文类型ctxType注册上下文标识ctxID，并回应所述上下文管理服务CAP；所述上下文管理服务CAP接收到所述授权服务器的回应消息后，根据所述用户身份和所述上下文类型ctxType注册所述上下文标识ctxID，并回应所述用户；所述用户接收到所述上下文管理服务CAP的回应消息后，注册所述上下文类型ctxType为所述上下文标识ctxID；所述用户向所述依赖方RP发起上下文标识注册请求，所述上下文标识注册请求包含所述上下文类型ctxType；所述依赖方RP根据所述用户身份和所述上下文类型ctxType注册所述上下文标识ctxID，并向所述用户发送注册完成消息。
[0009]较优地，所述步骤S2中所述依赖方RP向所述上下文管理服务CAP请求所述用户的联合上下文包括：所述依赖方RP确认用于验证所述用户身份的全部所需上下文类型和所需权限范围；所述依赖方RP获取所有所述所需上下文类型对应的所述上下文标识ctxID；所述依赖方RP向所述上下文管理服务CAP发送联合上下文请求，所述联合上下文请求包含所有所述所需上下文类型对应的所述上下文标识ctxID、以及所述所需权限范围。
[0010]较优地，所述步骤S3所述上下文管理服务CAP向所述依赖方RP提供所述用户的联合上下文包括：所述上下文管理服务CAP接收所述联合上下文请求，并向所述授权服务器提交所述依赖方RP的所述联合上下文请求；所述授权服务器根据所述联合上下文请求签发许可票据PT并发送给所述上下文管理服务CAP，所述许可票据PT用于描述所述依赖方的所有所述所需上下文类型对应的所述上下文标识ctxID、以及所述所需权限范围；所述上下文管理服务CAP接收所述许可票据PT并转发给所述依赖方RP；
所述依赖方RP向所述授权服务器发送请求方令牌RPT请求消息，所述请求方令牌RPT请求消息携带所述许可票据PT、以及所述依赖方RP的信息声明，所述信息声明为对所述依赖方的所有所述所需上下文类型对应的所述上下文标识ctxID、以及所述所需权限范围的描述；所述授权服务器验证所述许可票据PT，基于用户管理访问协议、根据所述用户的上下文访问策略和所述依赖方RP的信息声明进行授权决策，所述上下文访问策略包括允许授予上下文访问权限的依赖方身份、以及依赖方身份所对应的上下文内容访问权限的允许授予范围；所述授权决策的结论为允许授权时，所述授权服务器向所述依赖方授予请求方令牌RPT，所述请求方令牌RPT中描述向所述依赖方授权的授权上下文标识、以及对用户上下文内容的授权访问范围；所述依赖方RP再次向所述上下文管理服务CAP发送所述联合上下文请求，所述联合上下文请求携带所述请求方令牌RPT；所述上下文管理服务CAP验证所述请求方令牌RPT；所述请求方令牌RPT验证成功后，所述上下文管理服务CAP从来自于各个所述实体共享的上下文中识别出各个所述授权上下文标识所对应的所有上下文，并进一步按照所述授权访问范围选取出所述用户的联合上下文；所述上下文管理服务CAP向所述依赖方RP发送所述用户的联合上下文。
[0011]进一步地，本专利技术提供一种零信任联盟系统，包括：至少一个身份联盟和独立于所述身份联盟的至少一个上下文管理服务CAP；所述身份联盟包括具有联盟身份的依赖方RP和用户、还包括用于提供所述联盟身份的身份提供者服务器；所述上下文管理服务CAP用于收集和本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于零信任联盟系统的信任评估方法，其特征在于，零信任联盟系统由至少一个身份联盟和独立于所述身份联盟的至少一个上下文管理服务CAP组成，所述身份联盟包括具有联盟身份的依赖方RP和用户、还包括用于提供所述联盟身份的身份提供者服务器，所述上下文管理服务CAP用于收集和管理实体的上下文、以及提供实体间共享的联合上下文，所述实体包括所述上下文管理服务CAP、所述依赖方RP、所述用户，方法步骤包括：步骤S1，所述依赖方RP接收所述用户的访问请求；步骤S2，所述依赖方RP向所述上下文管理服务CAP请求所述用户的联合上下文，其中，所述用户的联合上下文为所述上下文管理服务CAP从所述零信任联盟系统中各所述实体收集到的、上下文所有者为所述用户的所有上下文的集合；步骤S3，所述上下文管理服务CAP向所述依赖方RP提供所述用户的联合上下文；步骤S4，所述依赖方RP根据所述用户的联合上下文对所述用户的访问请求进行可信度评估，得出信任评估结果。2.如权利要求1所述的基于零信任联盟系统的信任评估方法，其特征在于，所述依赖方RP和所述上下文管理服务CAP之间基于连续访问评估协议实现所述用户的联合上下文的传输，所述步骤S3所述上下文管理服务CAP向所述依赖方RP提供所述用户的联合上下文包括：所述依赖方RP创建流，并配置所述上下文管理服务CAP为流端点；所述依赖方RP在所述流中添加对象端点，并请求所述上下文管理服务CAP批准，所述对象端点为拥有所述依赖方所要访问的上下文的上下文所有者；所述上下文管理服务CAP批准添加所述对象端点至所述流中；所述上下文管理服务CAP通过所述流将所述用户的联合上下文传输至所述依赖方RP。3.如权利要求1所述的基于零信任联盟系统的信任评估方法，其特征在于，所述零信任联盟系统还包括授权服务器，所述步骤S1所述依赖方RP接收所述用户的访问请求，所述访问请求中包含用户身份之前，还包括：所述用户向所述上下文管理服务CAP发起上下文类型注册请求；所述上下文管理服务CAP向所述授权服务器发起所述用户的上下文类型注册请求，所述用户的上下文类型注册请求包含所述用户身份和上下文类型ctxType；所述授权服务器根据所述用户身份和所述上下文类型ctxType注册上下文标识ctxID，并回应所述上下文管理服务CAP；所述上下文管理服务CAP接收到所述授权服务器的回应消息后，根据所述用户身份和所述上下文类型ctxType注册所述上下文标识ctxID，并回应所述用户；所述用户接收到所述上下文管理服务CAP的回应消息后，注册所述上下文类型ctxType为所述上下文标识ctxID；所述用户向所述依赖方RP发起上下文标识注册请求，所述上下文标识注册请求包含所述上下文类型ctxType；所述依赖方RP根据所述用户身份和所述上下文类型ctxType注册所述上下文标识ctxID，并向所述用户发送注册完成消息。4.如权利要求3所述的基于零信任联盟系统的信任评估方法，其特征在于，所述步骤S2中所述依赖方RP向所述上下文管理服务CAP请求所述用户的联合上下文包括：所述依赖方RP确认用于验证所述用户身份的全部所需上下文类型和所需权限范围；
所述依赖方RP获取所有所述所需上下文类型对应的所述上下文标识ctxID；所述依赖方RP向所述上下文管理服务CAP发送联合上下文请求，所述联合上下文请求包含所有所述所需上下文类型对应的所述上下文标识ctxID、以及所述所需权限范围。5.如权利要求4所述的基于零信任联盟系统的信任评估方法，其特征在于，所述步骤S3所述上下文管理服务CAP向所述依赖方RP提供所述用户的联合上下文包括：所述上下文管理服务CAP接收所述联合上下文请求，并向所述授权服务器提交所述依赖方RP的所述联合上下文请求；所述授权服务器根据所述联合上下文请求签发许可票据PT并发送给所述上下文管理服务CAP，所述许可票据PT用于描述所述依赖方的所有所述所需上下文类型对应的所述上下文标识ctxID、以及所述所需权限范围；所述上下文管理服务CAP接收所述许可票据PT并转发给所述依赖方RP；所述依赖方RP向所述授权服务器发送请求方令牌RPT请求消息，所述请求方令牌RPT请求消息携带所述许可票据PT、以及所述依赖方RP的信息声明，所述信息声明为对所述依赖方的所有所述所需上下文类型对应的所述上下文标识ctxID、以及所述所需权限范围的描述；所述授权服务器验证所述许可票据PT，基于用户管理访问协议、根据所述用户的上下文访问策略和所述依赖方RP的信息声明进行授权决策，所述上下文访问策略包括允许授予上下文访问权限的依赖方身份、以及依赖方身份所对应的上下文内容访问权限的允许授予范围；所述授权决策的结论为允许授权时，所述授权服务器向所述依赖方授予请求方令牌RPT，所述请求方令牌RPT中描述向所述依赖方授权的授权上下文标识、以及对用户上下文内容的授权访问范围；所述依赖方RP再次向所述上下文管理服务CAP发送所述联合上下文请求，所述联合上下文请求携带所述请求方令牌RPT；所述上下文管理服务CAP验证所述请求方令牌RPT；所述请求方令牌RPT验证成功后，所述上下文管理服务CAP从来自于各个所述实...

【专利技术属性】
技术研发人员：马振华，杨龙雨，刘治军，宋文龙，徐涛，姬盼盼，马静，李互刚，刘宁波，冯喜，宝慧青，杨嘉鹏，
申请(专利权)人：国网宁夏电力有限公司石嘴山供电公司，
类型：发明
国别省市：