本申请涉及一种验证终端设备身份安全的方法、系统、终端及存储介质,其属于网络安全技术领域,该方法包括:获取终端设备的身份标识,依据所述身份标识调取终端设备的告警数据,所述告警数据包括多种类型的告警信息和每一种类型的告警信息对应的风险等级;将多种类型的告警信息输入第一计算模型中得到第一分值F1;将多种类型的告警信息对应的风险等级输入第二计算模型中得到第二分值F2;计算信任评分S=min(F1,F2),将所述信任评分S输入信任度转换模型中得到信任等级。本申请具有提升验证终端设备的身份安全的准确度的效果。设备的身份安全的准确度的效果。设备的身份安全的准确度的效果。
【技术实现步骤摘要】
验证终端设备身份安全的方法、系统、终端及存储介质
[0001]本申请涉及网络安全
,尤其是涉及一种验证终端设备身份安全的方法、系统、终端及存储介质。
技术介绍
[0002]在信息传输过程中,为实现终端设备对终端服务器中的资源的访问管控,通常采用基于包过滤的访问控制技术(Access Control Lists,ACL)、基于角色的访问控制技术(Role
‑
Based Access Control,RBAC)或者是基于属性的访问控制技术(Attribute Based Access Control,ABAC)对终端设备和终端服务器进行关系绑定,以便于在终端设备执行访问任务时对其进行授权检查,避免出现越权访问的情况,同时将此种授权方式称为静态授权。
[0003]随着信息技术的发展与普及,终端设备访问的场景越来越复杂,伴随着的是访问过程中涉及的风险因素也越来越多样,如跨区访问、暴力破解、非工作时间访问等多种类型的风险因素。由于传统的静态授权仅仅是对终端设备和终端服务器的关系进行绑定,而无法确定多种风险因素对终端服务器的影响程度,所以其无法依据多种风险因素正确判断终端设备的身份是否安全。因此,在当前复杂的应用场景下,缺少一种用来正确判断终端设备的身份是否安全的技术手段。
技术实现思路
[0004]本申请提供一种验证终端设备身份安全的方法、系统、终端及存储介质,具有提升验证终端设备的身份安全的准确度的特点。
[0005]本申请目的一是提供一种验证终端设备身份安全的方法。<br/>[0006]本申请的上述申请目的一是通过以下技术方案得以实现的:一种验证终端设备身份安全的方法,包括:获取终端设备的身份标识,依据所述身份标识调取终端设备的告警数据,所述告警数据包括多种类型的告警信息和每一种类型的告警信息对应的风险等级;将多种类型的告警信息输入第一计算模型中得到第一分值F1;将多种类型的告警信息对应的风险等级输入第二计算模型中得到第二分值F2;计算信任评分S=min(F1,F2),将所述信任评分S输入信任度转换模型中得到信任等级。
[0007]本申请在一较佳示例中可以进一步配置为:所述将多种类型的告警信息输入第一计算模型中得到第一分值F1包括:确定扣分模式,依据扣分模式得到L
i
的总扣分值,所述L
i
为第i种类型的告警信息,i≥1;调取L
i
的扣分阈值;判断L
i
的总扣分值是否大于L
i
的扣分阈值;若是,则以L
i
的初始分值为100分减去扣分阈值得到第一分值F1;
若否,则以L
i
的初始分值为100分减去总扣分值得到第一分值F1。
[0008]本申请在一较佳示例中可以进一步配置为:所述将多种类型的告警信息对应的风险等级输入第二计算模型中得到第二分值F2包括:基于基线表达式得到多个评分D,所述基线表达式由j个风险等级的告警信息组合而得,j≥1;以最小的评分D作为第二分值F2。
[0009]本申请在一较佳示例中可以进一步配置为:所述基线表达式的格式为:存在n1个及以上L1[(或/且)存在n2个及以上L2][(或/且)存在n3及以上L3]评分D;其中,n1,n2,n3为告警信息数量,L1、L2、L3为风险等级且L1>L2>L3。
[0010]本申请在一较佳示例中可以进一步配置为:所述将所述信任评分S输入信任度转换模型中得到信任等级包括:提取信任等级,一所述信任等级对应一个分值范围;将信任评分所落入的分值范围作为信任评分的信任等级。
[0011]本申请在一较佳示例中可以进一步配置为:所述在获取终端设备的身份标识之前,所述方法还包括:获取告警信息;依据所述告警信息生成告警信息表,所述告警信息表中包含有身份标识、风险类型以及风险等级。
[0012]本申请在一较佳示例中可以进一步配置为:所述在得到信任等级后,所述方法还包括:接收终端服务器输入的终端设备的身份标识和/或终端设备所属的设备类型;根据所述终端设备的身份标识和/或终端设备所属的设备类型匹配得到信任等级,并输出匹配所得的信任等级至终端服务器中。
[0013]本申请提供了一种验证终端设备身份安全的方法,该方法用于从终端服务器中接收告警信息,将告警信息转换为本申请的系统能够处理的格式后,再依据告警信息中的身份标识确定待验证身份是否安全的终端设备。然后,调取该终端设备的告警数据,依据所调取的告警数据中包含的告警信息的风险类型以及风险等级,计算得到第一分值和第二分值,通过对比第一分值和第二分值,将较小的一方作为信任分值,再为信任分值匹配一个适配的信任等级,从而得到终端设备的信任等级。由此可知,本申请基于静态授权的方式下提供了一种新的验证方式,即:依据终端设备和终端服务器的绑定关系,从与终端设备具有绑定关系的终端服务器中获取告警数据,使得所获取的告警数据的范围更广,告警信息的资源更加丰富,进而为计算得到准确度更高的信任等级提供数据支持。
[0014]本申请目的二是提供一种验证终端设备身份安全的系统。
[0015]本申请的上述申请目的二是通过以下技术方案得以实现的:一种验证终端设备身份安全的系统,包括:告警接收模块,用于获取告警信息;
告警转换模块,用于依据所述告警信息生成告警信息表,所述告警信息表中包含有身份标识、风险类型以及风险等级;计算评分模块,用于获取所述身份标识,依据所述身份标识调取终端设备的告警数据,所述告警数据包括多种类型的告警信息和每一种类型的告警信息对应的风险等级;还用于将多种类型的告警信息输入第一计算模型中得到第一分值F1,以及将多种类型的告警信息对应的风险等级输入第二计算模型中得到第二分值F2;信任转换模块,用于计算信任评分S=min(F1,F2),将所述信任评分S输入信任度转换模型中得到信任等级;信任等级查询模块,用于接收终端服务器输入的终端设备的身份标识和/或终端设备所属的设备类型,还用于根据所述终端设备的身份标识和/或终端设备所属的设备类型匹配得到信任等级,并输出匹配所得的信任等级至终端服务器中。
[0016]本申请还提供了一种验证终端设备身份安全的系统,该系统由多个模块组成,通过多个模块的互相配合,能够实现为终端设备匹配得到一个适配的信任等级的目的,从而便于终端服务器依据该信任等级,确定是否阻断终端设备的访问。同时,本申请的系统能够将复杂的风险因素信息转换为信任等级,降低了终端服务器对多种风险因素来综合评估终端设备的身份是否安全的难度,更便于实际应用。另外,本申请的系统由于由多个模块组成,其具备良好的定制扩展能力,提高了本申请的系统对风险因素不断变化时的适应能力,可快速扩充支持更多的风险类型及定制评分算法。
[0017]对风险数据源和信任模型结果使用方不做限制,可按需接入,具备良好的接入扩展能力。
[0018]本申请目的三是提供一种终端。
[0019]本申请的上述申请目的三是通过以本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种验证终端设备身份安全的方法,其特征在于,包括:获取终端设备(300)的身份标识,依据所述身份标识调取终端设备(300)的告警数据,所述告警数据包括多种类型的告警信息和每一种类型的告警信息对应的风险等级;将多种类型的告警信息输入第一计算模型中得到第一分值F1;将多种类型的告警信息对应的风险等级输入第二计算模型中得到第二分值F2;计算信任评分S=min(F1,F2),将所述信任评分S输入信任度转换模型中得到信任等级。2.根据权利要求1所述的验证终端设备身份安全的方法,其特征在于,所述将多种类型的告警信息输入第一计算模型中得到第一分值F1包括:确定扣分模式,依据扣分模式得到L
i
的总扣分值,所述L
i
为第i种类型的告警信息,i≥1;调取L
i
的扣分阈值;判断L
i
的总扣分值是否大于L
i
的扣分阈值;若是,则以L
i
的初始分值为100分减去扣分阈值得到第一分值F1;若否,则以L
i
的初始分值为100分减去总扣分值得到第一分值F1。3.根据权利要求1所述的验证终端设备身份安全的方法,其特征在于,所述将多种类型的告警信息对应的风险等级输入第二计算模型中得到第二分值F2包括:基于基线表达式得到多个评分D,所述基线表达式由j个风险等级的告警信息组合而得,j≥1;以最小的评分D作为第二分值F2。4.根据权利要求3所述的验证终端设备身份安全的方法,其特征在于,所述基线表达式的格式为:存在n1个及以上L1[(或/且)存在n2个及以上L2][(或/且)存在n3及以上L3]评分D;其中,n1,n2,n3为告警信息数量,L1、L2、L3为风险等级且L1>L2>L3。5.根据权利要求1所述的验证终端设备身份安全的方法,其特征在于,所述将所述信任评分S输入信任度转换模型中得到信任等级包括:提取信任等级,一所述信任等级对应一个分值范围;将信任评分所落入的分值范围作为信任评分的信任等级。6.根据权利要...
【专利技术属性】
技术研发人员:胡三伢,徐晓明,毛龙,罗鑫余,
申请(专利权)人:北京格尔国信科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。