一种基于零信任的风险判定方法及系统与流程

1.本发明涉及信息安全技术领域，特别是涉及一种基于零信任的风险判定方法及系统。


背景技术：

2.信息安全始终是信息时代的重要挑战，随着云计算、大数据、物联网、区块链等新兴技术的不断兴起，基于防火墙等这类“有边界”的安全边界逐渐瓦解，信息安全开始朝着“无边界”进行演变，基于“无边界”的网络信息时代，零信任安全逐渐进入人们的视野，成为解决新时代网络安全问题的新理念、新架构。
3.在信息安全的环境中，身份认证是应用最广泛、最基础也是最核心的信息安全。在零信任标准下的身份认证，由于微服务架构可以实现业务解耦和数据隔离，使用微服务进行身份认证，可以根据需要将身份认证的各个功能以独立的微服务形式进行组合，可以满足身份认证的不同场景和安全等级要求，使得采用微服务架构具有较大的优势。
4.基于不同的应用场景和安全等级要求，在速度、安全以及操作便捷性等综合评估下，使用的微服务也不同，为了满足业务需要，因此设计的身份认证流程也不同，也正是因为这样无边界的架构，导致其风险的识别和控制不再像传统方法那样，传统方法可以将非法的访问、劫持等行为防范在防火墙之外或者设计固定的风险识别模式中。
5.但在零信任架构下，每一个微服务中都可能存在风险，而当设计的安全系统使用多样的微服务在复杂的流程系统中，如何持续地对系统中各个用户，组织和设备等目标进行风险评估则是目前需要解决的技术问题。


技术实现要素：

6.为克服上述现有技术存在的不足，本发明之目的在于提供一种基于零信任的风险判定方法及系统，能够持续动态地进行风险判断。
7.为达上述及其它目的，本发明提出一种基于零信任的风险判定方法，其特征在于，包括步骤：
8.获取访问流量或数据；
9.将访问流量或数据输入至多因子认证微服务进行分析；
10.分析是否需要算法辅助风控；
11.输入单点登录微服务；
12.根据单点登录微服务的分析结果，决定是否提供给用户访问。
13.进一步地，分析是否需要算法辅助风控步骤中包括：
14.若是，则登录至辅助算法微服务，辅助算法微服务对访问流量或数据进行分析判断，并结合多因子认证微服务的分析结果输出给单点登录微服务中；
15.若否，则直接输入单点登录微服务。
16.进一步地，将访问流量或数据输入至多因子认证微服务进行分析，分析完成后，定
时将分析数据推送至审计单元。
17.进一步地，单点登录微服务分析完成之后，定时将分析数据推送至审计单元。
18.进一步地，审计单元对输入的各种数据分析完毕之后，进行加密并上传至审计数据库进行保存。
19.进一步地，在提供给用户访问之后还包括：
20.将用户使用的数据信息输入至身份管理微服务；
21.身份管理微服务将数据输入用户管理算法微服务，用户管理算法微服务持续动态对身份管理微服务进行分析，输出判断结果至身份管理微服务；
22.用户管理算法微服务输入指标至全局算法平台微服务；
23.全局算法平台微服务更新模型给用户管理算法微服务和流量风险识别算法微服务。
24.进一步地，在提供给用户访问之后还包括：
25.将用户使用的数据信息输入至abac微服务；
26.abac微服务将数据和指标输入至细粒度授权算法微服务；
27.细粒度授权算法微服务持续动态对abac微服务进行分析，输出判断结果，并输入指标至全局算法平台微服务；
28.全局算法平台微服务更新模型给细粒度授权算法微服务。
29.本发明还提供一种基于零信任的风险判定系统，包括：
30.访问单元，用以获取访问流量或数据；
31.多因子认证单元，用以将访问流量或数据输入至多因子认证微服务进行分析；
32.分析单元，用以分析是否需要算法辅助风控；
33.辅助算法单元，用以对访问流量或数据进行分析判断，并输出至单点登录单元；
34.单点登录单元，用以输入单点登录微服务；
35.授权使用单元，用以根据单点登录微服务的分析结果，决定是否提供给用户访问。
36.进一步地，还包括：
37.审计单元，用以对接收推送来的数据进行审计；
38.idm单元，用以将用户使用的数据信息输入至身份管理微服务；
39.用户管理算法单元，用以身份管理微服务将数据输入用户管理算法微服务，用户管理算法微服务持续动态对身份管理微服务进行分析，输出判断结果至身份管理微服务；
40.abac单元，用以将数据和指标输入至细粒度授权算法单元；
41.细粒度授权算法单元，用以对abac单元进行分析，输出判断结果，并输入指标至全局算法平台单元；
42.全局算法平台单元，用以接收用户管理算法微单元以及细粒度授权算法单元的指标，并更新模型；
43.全局算法平台微服务更新模型给用户管理算法微服务和流量风险识别算法微服务。
44.本发明还公开一种电子设备，所述系统包括处理器以及存储器，
45.所述存储器用于存储可执行程序；
46.所述处理器用于执行所述可执行程序以实现上述任意一所述的方法。
47.与现有技术相比，本发明能够持续动态地对系统中各个用户，组织和设备等目标进行风险评估和判定，从而进一步提高风险识别能力。
附图说明
48.图1为本发明实施例的一种基于零信任的风险判定方法流程示意图；
49.图2为本发明实施例的一种基于零信任的风险判定方法具体实施的流程示意图；
50.图3为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
51.下面结合附图和实施例对本公开作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本公开，而非对本公开的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本公开相关的部分而非全部结构。
52.在更加详细地讨论示例性实施例之前应当提到的是，一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图中将各步骤描述成顺序的处理，但是其中的许多步骤可以并行地、并发地或者同时实施。此外，各步骤的顺序可以被重新安排，当其操作完成时所述处理可以被终止，但是还可以具有未包括在附图内的其它步骤。处理可以对应于方法、函数、规程、子例程、子程序等。
53.实施例一
54.图1为本发明实施例的一种基于零信任的风险判定方法流程示意图，包括如下步骤：
55.获取访问流量或数据。
56.将访问流量或数据输入至多因子认证(multiple factorauthentication，简称mfa)微服务进行分析。mfa能够提供多样的身份认证管理，业务系统为不同用户提供统一的认证接口，根据用户的权限级别来确保对应业务安全级别的准确性。使用mfa对用户凭据进行额外的安全保护，可以抵御各种网络威胁。
57.分析是否需要算法辅助风控。
58.输入单点登录(single sign on，简称sso)微服务。
59.根据单点登录微服务的分析结果，决定是否提供给用户访问。
60.在实际场景中，大部分的安全系统都会使用到单点登录(sso)的功能，sso可以保障用户的安全输入，一次登录实现各业务系统的统一访问，无需再次登录鉴权。sso解决组织多应用，多账号管理繁琐的问题。
61.sso的优点使得身份认证系统的入口规则引擎可以让入口的流量压力相对较小，本实施例中，在用户单点登录场景，结合以多因子认证(multiple factor authentication,mfa)的规则引擎为基础，并且算法为辅助进行，可以有效提高了安全识别率。虽然多因子认证和辅助的算法无法识别单点登录场景的所有风险，但造成的风险事件本身也对身份认证系统的伤害不大，主要风险主要是可能会暴露了特定用户可使用的应用的列表和门户信息(即单点登录的首页相关信息)，但在后续的流程中，结合其他的解决方案，则可以解决。
62.上述分析是否需要算法辅助风控的步骤中，具体为，如果判断是，需要辅助算法进
行服务，则登录至辅助算法微服务，辅助算法微服务对访问流量或数据进行分析判断，并结合多因子认证微服务的分析结果输出给单点登录微服务中。对于在某些风险级别低的场景中，可以不需要，如果不需要，则直接输入至单点登录微服务，继续下一步的流程处理。
63.为了进一步增强风险识别率，提高安全性，在单点登录微服务分析完成之后，定时将分析数据推送至审计单元。
64.进一步地，审计单元对输入的各种数据分析，即是对每个流程环节产生的数据(或者信息、日志)进行汇总、分析，综合出使用者的信任情况，并将结果反馈给具有权限管理的节点或者流程进行控制，这些审计结果和信息，又通过自有加密算法进行加密并上传至审计数据库进行保存。
65.审计范围比较广，包括从用户请求网络连接开始，到访问服务返回结果结束。所有的操作、管理和运行可视、可控、可管理、可跟踪。实现重点数据的全过程审计，识别并记录异常数据操作行为，实时告警，保证数据使用时的透明可审计。在具体的流程实施过程中，可以根据实际业务流程需要有选择性地实施。
66.实施例二
67.请参阅图2，图2为本发明实施例的一种基于零信任的风险判定方法具体实施的流程示意图。
68.为了进一步增强风险识别率，提高安全性，基于上述实施例，在提供给用户访问之后还包括：
69.将用户使用的数据信息输入至身份管理(identitymanagement，简idm)微服务；
70.身份管理微服务将数据以及指标输入到用户管理算法微服务，同时，用户管理算法微服务也在持续地动态对身份管理微服务进行分析，将判断结果输出至身份管理微服务；
71.用户管理算法微服务输入指标至全局算法平台微服务；
72.全局算法平台微服务更新模型给用户管理算法微服务和流量风险识别算法微服务。
73.此外，本实施例为了进一步提高风险识别能力，在上述方法基础上，同时从另外一个维度上进行分析，即同时从访问数据的属性上进行分析，因此在用户使用的过程中，还需要将将用户使用的数据信息输入至细粒度授权(attribute
‑
based access control，简称abac)微服务中；
74.abac微服务将数据和指标输入至细粒度授权算法微服务；
75.细粒度授权算法微服务持续动态对abac微服务进行分析，输出判断结果，并输入指标至全局算法平台微服务；
76.全局算法平台微服务更新模型给细粒度授权算法微服务。
77.本实施例从属性的维度上进行分析，可以包括对如下属性进行分析：
78.1、访问主体属性：包括访问者自带的属性，比如年龄，性别，部门，角色等；
79.2、动作属性：包括读取，删除，查看等；
80.3、对象属性：包括被访问对象的属性，如一条记录的修改时间，创建者等；
81.4、环境属性：包括时间信息，地理位置信息，访问平台信息等。
82.因此，abac可以设置很多灵活的策略来进行访问的控制，比如：
83.1、当一个文档的所属部门跟用户的部门相同时，用户可以访问这个文档；
84.2、当用户是一个文档的所有人，并且文档的状态是草稿，用户可以实时编辑这个文档；
85.3、访问的时间设置，比如早上九点前禁止a部门的人访问b系统；
86.4、对于某个地区的访问，禁止以管理员身份访问a系统。
87.由此可见，基于各种灵活的属性动态控制的策略，可以持续动态实时对风险进行分析和判断。
88.本实施例中的全局算法平台根据历史数据，对各种场景进行建模，对每一类场景的模型，利用不同的统计分布构造符合条件的假设检验，并对场景与场景之间的转换进行建模，利用模拟算法，对估算出各个场景之间转化在数据层面的信号，存入该微服务的数据库。
89.当各个非全局算法平台的相关算法微服务，异步将数据与相关指标推送到全局算法平台，算法平台根据推送的数据与指标，估算现有场景是否发生了改变，若发生改变，则推送预先计算好的假设检验到各个算法微服务中，更新算法微服务中的算法。
90.此外，定时利用审计数据库中的增量或全量数据更新与校正全局算法平台的算法，从而更新各个算法微服务中的算法，形成了一个强大的、可以持续动态的系统，进一步提高了风险识别能力。
91.此外，作为一种更优选的实施方式，本技术的各个涉及算法的微服务或者步骤中，为了使得算法判断更具准确性，除了决策流中的相关同步算法，其他的可以使用异步和准同步(准实时)算法作为补充和支持。
92.实施例三
93.本发明还提供一种基于零信任的风险判定系统，包括：
94.访问单元，用以获取访问流量或数据；
95.多因子认证单元，用以将访问流量或数据输入至多因子认证微服务进行分析；
96.分析单元，用以分析是否需要算法辅助风控；
97.辅助算法单元，用以对访问流量或数据进行分析判断，并输出至单点登录单元；
98.单点登录单元，用以输入单点登录微服务；
99.授权使用单元，用以根据单点登录微服务的分析结果，决定是否提供给用户访问。
100.基于上述一种基于零信任的风险判定系统基础上的一种更优选实施方式，还包括：
101.审计单元，用以对接收推送来的数据进行审计；
102.idm单元，用以将用户使用的数据信息输入至身份管理微服务；
103.用户管理算法单元，用以身份管理微服务将数据输入用户管理算法微服务，用户管理算法微服务持续动态对身份管理微服务进行分析，输出判断结果至身份管理微服务；
104.abac单元，用以将数据和指标输入至细粒度授权算法单元；
105.细粒度授权算法单元，用以对abac单元进行分析，输出判断结果，并输入指标至全局算法平台单元；
106.全局算法平台单元，用以接收用户管理算法微单元以及细粒度授权算法单元的指标，并更新模型；
107.全局算法平台微服务更新模型给用户管理算法微服务和流量风险识别算法微服务。
108.具体实施过程和方法参阅实施例一的说明，不再详述。
109.此外，请参阅图3，图3为本发明实施例提供的一种电子设备的结构示意图，可以理解的是，图1、图2所示的方法可应用于图3所示的电子设备中，所述电子设备包括处理器以及存储器。
110.如图3所示，电子设备包括处理器30(处理器30的数量可以一个或多个，图3以一个处理器为例)以及存储器31。在本发明的实施例中，处理器30、存储器31可通过总线或其它方式连接，其中，图3中以通过总线连接为例。其中，存储器31中存储有可执行程序，处理器30执行所述可执行程序以实现上述实施例的方法或步骤。
111.本公开也扩展到适合于将本公开付诸实践的计算机程序，特别是载体上或者载体中的计算机程序。程序可以以源代码、目标代码、代码中间源和诸如部分编译的形式的目标代码的形式，或者以任何其它适合在按照本公开的方法的实现中使用的形式。也将注意的是，这样的程序可能具有许多不同的构架设计。例如，实现按照本公开的方法或者系统的功能性的程序代码可能被再分为一个或者多个子例程。
112.用于在这些子例程中间分布功能性的许多不同方式将对技术人员而言是明显的。子例程可以一起存储在一个可执行文件中，从而形成自含式的程序。这样的可执行文件可以包括计算机可执行指令，例如处理器指令和/或解释器指令(例如，java解释器指令)。可替换地，子例程的一个或者多个或者所有子例程都可以存储在至少一个外部库文件中，并且与主程序静态地或者动态地(例如在运行时间)链接。主程序含有对子例程中的至少一个的至少一个调用。子例程也可以包括对彼此的函数调用。涉及计算机程序产品的实施例包括对应于所阐明方法中至少一种方法的处理步骤的每一步骤的计算机可执行指令。这些指令可以被再分成子例程和/或被存储在一个或者多个可能静态或者动态链接的文件中。
113.另一个涉及计算机程序产品的实施例包括对应于所阐明的系统和/或产品中至少一个的装置中每个装置的计算机可执行指令。这些指令可以被再分成子例程和/或被存储在一个或者多个可能静态或者动态链接的文件中。
114.计算机程序的载体可以是能够运载程序的任何实体或者装置。例如，载体可以包含存储介质，诸如(rom例如cdrom或者半导体rom)或者磁记录介质(例如软盘或者硬盘)。进一步地，载体可以是可传输的载体，诸如电学或者光学信号，其可以经由电缆或者光缆，或者通过无线电或者其它手段传递。当程序具体化为这样的信号时，载体可以由这样的线缆或者装置组成。可替换地，载体可以是其中嵌入有程序的集成电路，所述集成电路适合于执行相关方法，或者供相关方法的执行所用。
115.上文提到的实施例是举例说明本公开，而不是限制本公开，并且本领域的技术人员将能够设计许多可替换的实施例，而不会偏离所附权利要求的范围。在权利要求中，任何放置在圆括号之间的参考符号不应被解读为是对权利要求的限制。动词“包括”和其词形变化的使用不排除除了在权利要求中记载的那些之外的元素或者步骤的存在。在元素之前的冠词“一”或者“一个”不排除复数个这样的元素的存在。本公开可以通过包括几个明显不同的组件的硬件，以及通过适当编程的计算机而实现。在列举几种装置的装置权利要求中，这些装置中的几种可以通过硬件的同一项来体现。在相互不同的从属权利要求中陈述某些措
施的单纯事实并不表明这些措施的组合不能被用来获益。
116.这里所讨论的不同功能可以以不同顺序执行和/或彼此同时执行。此外，如果期望的话，以上所描述的一个或多个功能可以是可选的或者可以进行组合。
117.上文所讨论的各步骤并不限于各实施例中的执行顺序，不同步骤可以以不同顺序执行和/或彼此同时执行。此外，在其他实施例中，以上所描述的一个或多个步骤可以是可选的或者可以进行组合。
118.虽然本公开的各个方面在独立权利要求中给出，但是本公开的其它方面包括来自所描述实施方式的特征和/或具有独立权利要求的特征的从属权利要求的组合，而并非仅是权利要求中所明确给出的组合。
119.虽然以上描述了本公开的示例实施方式，但是这些描述并不应当以限制的含义进行理解。相反，可以进行若干种变化和修改而并不背离如所附权利要求中所限定的本公开的范围。
120.本领域普通技术人员应该明白，本公开实施例的装置中的各模块可以用通用的计算装置来实现，各模块可以集中在单个计算装置或者计算装置组成的网络组中，本公开实施例中的装置对应于前述实施例中的方法，其可以通过可执行的程序代码实现，也可以通过集成电路组合的方式来实现，因此本公开并不局限于特定的硬件或者软件及其结合。
121.本领域普通技术人员应该明白，本公开实施例的装置中的各模块可以用通用的电子设备来实现，各模块可以集中在单个电子设备或者电子设备组成的装置组合中，本公开实施例中的装置对应于前述实施例中的方法，其可以通过编辑可执行的程序代码实现，也可以通过集成电路组合的方式来实现，因此本公开并不局限于特定的硬件或者软件及其结合。