摘 要：基于實(shí)體身份安全，零信任可實(shí)現(xiàn)網(wǎng)絡(luò)動態(tài)可信訪問控制，而訪問實(shí)體的信任評估則是構(gòu)成零信任能力的關(guān)鍵要素之一。在零信任訪問控制架構(gòu)下，建立域內(nèi)和跨域訪問信任評估機(jī)制。結(jié)合歷史信任評估結(jié)果，域內(nèi)訪問信任評估機(jī)制通過引入時間衰減因子并采用指數(shù)加權(quán)平均的方法，解決單次信任評估結(jié)果易受外界因素影響的問題；參考跨域訪問實(shí)體在他域的歷史交互數(shù)據(jù)，跨域訪問信任評估機(jī)制通過引入交互頻率衰減因子進(jìn)行指數(shù)加權(quán)平均，可以解決受訪域因缺少足夠跨域訪問實(shí)體屬性信息和行為交互數(shù)據(jù)，難以獨(dú)立做出有效可信度量的問題。域內(nèi)和跨域訪問信任評估機(jī)制的構(gòu)建，可促進(jìn)零信任網(wǎng)絡(luò)安全架構(gòu)在典型應(yīng)用場景中落地。

內(nèi)容目錄：

1　零信任訪問控制架構(gòu)
2　域內(nèi)訪問信任評估機(jī)制
3　跨域訪問信任評估機(jī)制
4　結(jié)  語

隨著云計算、大數(shù)據(jù)和微服務(wù)等新興技術(shù)的興起與應(yīng)用，劃分內(nèi)網(wǎng)與外網(wǎng)的網(wǎng)絡(luò)安全邊界已逐漸瓦解，基于邊界防護(hù)的網(wǎng)絡(luò)安全架構(gòu)難以再發(fā)揮效能 。2010 年，文獻(xiàn) [2] 提出了零信任的概念，以“從不信任，始終校驗(yàn)”為指導(dǎo)思想，為網(wǎng)絡(luò)安全防護(hù)提供了一種新的架構(gòu)。零信任理念以身份為中心，通過構(gòu)筑動態(tài)虛擬身份邊界，去除對內(nèi)網(wǎng)的隱式信任，建立嚴(yán)格的身份驗(yàn)證、信任評估和動態(tài)授權(quán)機(jī)制，從而構(gòu)建以實(shí)體身份為邊界的網(wǎng)絡(luò)安全架構(gòu)。

１ 零信任訪問控制架構(gòu)

基于零信任理念，國內(nèi)外政府機(jī)構(gòu)、國際組織及公司相繼發(fā)布了零信任安全架構(gòu)。以網(wǎng)絡(luò)實(shí)體發(fā)起域內(nèi)或跨域訪問請求為例，零信任訪問控制架構(gòu)如圖 1 所示，該架構(gòu)由數(shù)據(jù)存儲系統(tǒng)、信任評估系統(tǒng)、策略決策組件和策略執(zhí)行組件構(gòu)成。其中數(shù)據(jù)存儲系統(tǒng)用于存儲各類網(wǎng)絡(luò)訪問實(shí)體的信任評估數(shù)據(jù)；信任評估系統(tǒng)基于信任評估數(shù)據(jù)計算信任評分，度量實(shí)體的可信程度及訪問風(fēng)險，作為策略決策組件的授權(quán)決策依據(jù)，同時將網(wǎng)絡(luò)訪問實(shí)體信任評估結(jié)果推送到數(shù)據(jù)存儲系統(tǒng)中進(jìn)行統(tǒng)一存儲；策略決策組件用于接收實(shí)體的網(wǎng)絡(luò)訪問請求，基于實(shí)時信任評分進(jìn)行授權(quán)決策，并下發(fā)給策略執(zhí)行組件；策略執(zhí)行組件依據(jù)決策組件的指令執(zhí)行網(wǎng)絡(luò)實(shí)體訪問控制。在零信任訪問控制架構(gòu)中，信任評估是其中的關(guān)鍵環(huán)節(jié)，是網(wǎng)絡(luò)訪問實(shí)體可信度量、潛在風(fēng)險分析的責(zé)任主體，評估結(jié)果直接影響訪問控制授權(quán)決策，是零信任網(wǎng)絡(luò)中的核心樞紐。

圖 1　零信任訪問控制架構(gòu)

信任評估的核心任務(wù)是針對特定的網(wǎng)絡(luò)訪問實(shí)體（用戶、設(shè)備等）進(jìn)行風(fēng)險分析與量化評估，以實(shí)體靜態(tài)屬性（用戶身份信息、設(shè)備屬性信息）和動態(tài)行為（終端登錄、應(yīng)用訪問、行為操作特征）特征作為評判依據(jù)，基于一定算法構(gòu)建模型進(jìn)行綜合分析，計算網(wǎng)絡(luò)實(shí)體信任值，支撐實(shí)體動態(tài)訪問控制授權(quán)決策。更進(jìn)一步地，考慮域內(nèi)訪問和跨域訪問 2 種典型應(yīng)用場景，假定各網(wǎng)絡(luò)域都已包含信任評估、策略決策和策略執(zhí)行組件，能夠獨(dú)立執(zhí)行可信度量、訪問控制與授權(quán)等動作，而域與域之間則彼此相對獨(dú)立。域內(nèi)訪問時，利用實(shí)時信任評估數(shù)據(jù)計算的信任值受偶然因素影響較大，難以客觀度量實(shí)體（網(wǎng)絡(luò)訪問請求主體）的真實(shí)可信度，此外，也易受攻擊者偽裝利用，因此還應(yīng)綜合考慮實(shí)體歷史訪問的可信度表現(xiàn)，結(jié)合一段時間內(nèi)歷次信任評分計算綜合信任值，并將其作為最終信任評估結(jié)果?？缬蛟L問時，由于域與域之間相對獨(dú)立，跨域的歷史交互行為相比域內(nèi)交互少得多，受訪域缺少足夠的他域訪問實(shí)體屬性信息及行為交互數(shù)據(jù)，難以支撐信任評估系統(tǒng)做出有效的可信度量，從而影響內(nèi)部網(wǎng)絡(luò)或互聯(lián)網(wǎng)中網(wǎng)絡(luò)實(shí)體跨域信息的交互，因此，需要構(gòu)建跨域協(xié)同的信任評估機(jī)制。

2 域內(nèi)訪問信任評估機(jī)制

域內(nèi)訪問應(yīng)用場景下，域內(nèi)實(shí)體向策略決策組件發(fā)起訪問請求，信任評估系統(tǒng)基于實(shí)體信任數(shù)據(jù)（實(shí)體靜態(tài)屬性和動態(tài)行為特征）進(jìn)行可信度量，采用基于規(guī)則匹配、模糊層次分析、機(jī)器學(xué)習(xí)和深度學(xué)習(xí)等方法構(gòu)建的評估模型計算信任值，支撐策略決策組件的訪問控制決策 。然而，單次可信度量結(jié)果的可靠性受限于實(shí)體的實(shí)時信任數(shù)據(jù)質(zhì)量影響，數(shù)據(jù)偶然性的波動及攻擊者偽裝的信任數(shù)據(jù)都會使計算所得的實(shí)體信任值有所偏差。因此，每一次針對訪問實(shí)體的信任評估不應(yīng)是孤立的，除了利用信任評估模型計算當(dāng)前實(shí)時信任值，還應(yīng)考慮實(shí)體的歷史信任評分，將實(shí)時信任值與歷史信任值相結(jié)合計算綜合信任值，構(gòu)建域內(nèi)訪問信任評估機(jī)制，使評估結(jié)果更具可靠性和魯棒性。

歷史信任評分的利用，要考慮時間因素的影響，時間越久遠(yuǎn)的歷史信任評分，對當(dāng)前信任評估的影響應(yīng)當(dāng)越小，引入時間衰減因子 α（α ∈ [0,1]），根據(jù)歷史信任評估結(jié)果的久遠(yuǎn)程度，采用指數(shù)衰減的方法賦予權(quán)重，時間越近的歷史信任評估結(jié)果權(quán)重越高，反之則權(quán)重越低。域內(nèi)訪問信任評估機(jī)制如圖 2 所示。

圖 2 　域內(nèi)訪問信任評估機(jī)制

定義 1 個實(shí)體 j，在域內(nèi)共有 n-1 次信任評估歷史，在歷史時間 t（且）內(nèi)， 由 信 任 評 估 系 統(tǒng) 給 出 的 綜 合 信 任 值 是 S（）。當(dāng)實(shí)體 j 再次發(fā)起訪問請求并觸發(fā)第 n 次信任評估服務(wù)時，評估系統(tǒng)依據(jù)信任評估數(shù)據(jù)直接計算的實(shí)時信任值為設(shè)最終輸出的綜合信任值為則可由第 n-1 次評估的綜合信任值和本次計算的實(shí)時信任值指數(shù)加權(quán)平均求得，其權(quán)重通過設(shè)置時間衰減因子進(jìn)行調(diào)整，計算過程如下：同理，第 n-1 次評估的綜合信任值可由第n-2 次評估的綜合信任值和第 n-1 次計算的實(shí)時信任值指數(shù)加權(quán)平均求得，該過程可表示為：采用上述計算方法遞推，可得：由于綜合式（1）～（5），可得：因此，評估對象 j 歷史上 n-1 次受信評分對本次信任評估的影響權(quán)重分別是第 n-1次），…，（第 2 次），第 1 次）。由此可見，隨歷史交互時間間隔增加，權(quán)重值呈指數(shù)衰減。通過調(diào)節(jié)時間衰減因子 α 的大小，可以調(diào)節(jié)歷次信任評分的權(quán)重，還可以動態(tài)調(diào)節(jié)參與本次信任評估的歷史數(shù)據(jù)的個數(shù)，這使得體系構(gòu)建方式非常靈活。歷史數(shù)據(jù)的個數(shù)近似為1/(1-α) 個，α 越大，參與本次評分的歷史數(shù)據(jù)個數(shù)就越多。

采用上述方法構(gòu)建的域內(nèi)訪問信任評估機(jī)制，在進(jìn)行實(shí)體信任評估時不僅結(jié)合當(dāng)下的模型判斷，還充分考慮了實(shí)體的歷史交互表現(xiàn)，使得評估結(jié)果具有更強(qiáng)的魯棒性，輸出結(jié)果更加穩(wěn)定、可靠。

３ 跨域訪問信任評估機(jī)制

跨域訪問信任評估機(jī)制聚焦于用戶、設(shè)備等網(wǎng)絡(luò)實(shí)體跨域訪問的應(yīng)用場景，如某公司北京網(wǎng)絡(luò)域用戶因?yàn)闃I(yè)務(wù)需要，訪問上海分公司的業(yè)務(wù)數(shù)據(jù)。這種應(yīng)用場景下，訪問實(shí)體和受訪域不在同一個域。由于網(wǎng)絡(luò)域之間相對獨(dú)立，訪問實(shí)體與受訪域信任評估系統(tǒng)的交互次數(shù)相對較少，甚至無交互歷史，因此受訪域信任評估系統(tǒng)很難僅僅通過自身能力做出準(zhǔn)確有效的信任評估。本文構(gòu)建的跨域訪問信任評估機(jī)制可解決上述問題，其關(guān)鍵在于充分參考跨域?qū)嶓w所在網(wǎng)絡(luò)域（簡稱，實(shí)體所在域）信任評估系統(tǒng)對其做出的歷史信任評價，以及該實(shí)體與其他域信任評估系統(tǒng)交互時對其做出的信任評價，作為受訪域?qū)υ搶?shí)體的間接信任評估依據(jù)。結(jié)合受訪域?qū)缬驅(qū)嶓w的直接信任評估結(jié)果，以跨域協(xié)同的方式綜合得出受訪域?qū)缬驅(qū)嶓w的有效評估結(jié)果。

跨域訪問信任評估機(jī)制構(gòu)建方法如圖 3 所示，假定域 B 實(shí)體 x 因業(yè)務(wù)需要訪問域 A 的數(shù)據(jù)資源。在零信任架構(gòu)下，首先需要通過域 A 中的信任評估系統(tǒng)評估實(shí)體 x 的可信程度，決定是否授予訪問數(shù)據(jù)的權(quán)限。域 A 對實(shí)體 x 的信任評估會參考自身及其他各交互域?qū)υ搶?shí)體的歷史評估結(jié)果（信任值），圖 3 中的本域 A 對實(shí)體 x 的歷史信任評估輸出的信任值為其他歷史交互域 B、C……M 對實(shí)體 x的歷史信任評估輸出的信任值分別為（共m 個信任值）。在計算間接信任評估結(jié)果時，考慮到實(shí)體 x 與各交互域信任評估系統(tǒng)交互頻率存在差異，引入交互頻率衰減因子 β，與域內(nèi)訪問信任評估機(jī)制類似，根據(jù)交互頻率的高低采用指數(shù)衰減的方法對信任評估結(jié)果賦予權(quán)重，歷史交互頻率越高的信任評估系統(tǒng)的數(shù)據(jù)權(quán)重越高，反之則權(quán)重越低。

圖 3　跨域訪問信任評估機(jī)制

網(wǎng)絡(luò)域 B 中實(shí)體 x 向網(wǎng)絡(luò)域 A 發(fā)起資源訪問請求時，詳細(xì)計算流程如下文所述。

（1）計算直接信任評分。實(shí)體 x 與域 A 歷史交互信任評估數(shù)據(jù)

（2）計算間接信任評分。首先，通過向其他域中信任評估系統(tǒng)廣播協(xié)作請求，獲取與實(shí)體 x 交互過的網(wǎng)絡(luò)域輸出的歷史信任值。分析實(shí)體 x 與其他域歷史交互信任評估數(shù)據(jù)（假設(shè)有 m 個交互域，不包含域 A），對 m 個域信任值采用指數(shù)加權(quán)平均的方式得到綜合信任值，作為間接信任評估分?jǐn)?shù)。

計算時，依據(jù)實(shí)體 x 與各分布式評估引擎的歷史交互頻次進(jìn)行排序，由多到少分別命名為第m,m-1,…,1 個域，針對實(shí)體 x 的信任評分分別是則間接信任評估分?jǐn)?shù)由第 m 個域的信任評分和前 m-1 個域的值指數(shù)加權(quán)平均得到，即：式中：為 m 個域信任評分的指數(shù)加權(quán)平均值，即最終求得的間接信任評估分?jǐn)?shù)；為前 m-1 個域信任評分的指數(shù)加權(quán)平均值。與域內(nèi)信任評估機(jī)制中綜合信任值計算方法類似，可以求得間接信任評估分?jǐn)?shù)如下：

因此，實(shí)體 x 的間接信任評估分?jǐn)?shù)可參考 m 個其他交互域?qū)?shí)體 x 的信任評估結(jié)果并進(jìn)行指數(shù)加權(quán)求得，依據(jù)各交互域與實(shí)體 x 交互頻次的差異，指數(shù)加權(quán)的權(quán)重分別是：(1-β)（第 m 個域），(1-β)β（第 m-1 個域），…，（第 1 個域），可見隨交互域交互頻次的減少權(quán)重值呈指數(shù)衰減。與域內(nèi)信任評估機(jī)制類似，通過調(diào)節(jié)交互頻率衰減因子 β 值的大小可以動態(tài)調(diào)節(jié)參與本次間接信任評估的歷史數(shù)據(jù)的個數(shù)，近似為 1/(1-β) 個，β 越大，參與本次評分的交互域個數(shù)就越多。（3）計算域 A 對實(shí)體 x的綜合信任評估分?jǐn)?shù) S。域 A 針對網(wǎng)絡(luò)實(shí)體 x 的綜合信任評估分?jǐn)?shù)由直接信任評估分?jǐn)?shù)和間接信任評估分?jǐn)?shù)平均求得，即：為了實(shí)現(xiàn)上述跨域訪問信任評估機(jī)制，本文設(shè)計了一種信任評估系統(tǒng)，系統(tǒng)由信任評估引擎和跨域協(xié)同代理構(gòu)成。信任評估引擎內(nèi)置信任評估算法模型，計算跨域?qū)嶓w的信任評估分?jǐn)?shù)，用作動態(tài)訪問控制授權(quán)的決策依據(jù)。跨域協(xié)同代理是實(shí)現(xiàn)信任評估跨域協(xié)作的關(guān)鍵，具備以下 3 個功能：一是存儲和維護(hù)記錄本域?qū)嶓w信任值以及與本域有過歷史交互的他域?qū)嶓w信任值的實(shí)體信任數(shù)據(jù)表；二是接收其他域的跨域協(xié)同信任評估請求，提供指定實(shí)體的歷史交互記錄和信任評分；三是向其他域信任評估系統(tǒng)發(fā)起針對指定實(shí)體的跨域協(xié)同信任評估請求，并獲取相關(guān)數(shù)據(jù)。為實(shí)現(xiàn)上述功能，跨域協(xié)同代理維護(hù)一張本域唯一的實(shí)體信任數(shù)據(jù)表，表中包含信任評估引擎對本域?qū)嶓w做出的信任評價（信任值），此外，還包含其他域?qū)嶓w跨域訪問本域時的歷史交互記錄和信任評估引擎對其做出的信任評價。實(shí)體信任數(shù)據(jù)表的維護(hù)方式如下：當(dāng)表中已記錄實(shí)體產(chǎn)生新的信任評估結(jié)果時，跨域協(xié)同代理在實(shí)體信任數(shù)據(jù)表中同步更新實(shí)體信任值數(shù)據(jù)；當(dāng)未在表中記錄的實(shí)體（未與本域發(fā)生歷史交互的跨域?qū)嶓w）產(chǎn)生信任評估結(jié)果時，跨域協(xié)同代理在實(shí)體信任數(shù)據(jù)表中自動添加實(shí)體和信任值數(shù)據(jù)。

基于上述跨域訪問信任評估機(jī)制構(gòu)建方法及信任評估系統(tǒng)，可實(shí)現(xiàn)對網(wǎng)絡(luò)實(shí)體跨域訪問的有效信任評估。下面以域 B 實(shí)體 x 向網(wǎng)絡(luò)域 A 申請跨域訪問信息資源的應(yīng)用場景為例，詳細(xì)闡述域 A 信任評估系統(tǒng)對實(shí)體 x 進(jìn)行跨域可信度量的實(shí)現(xiàn)流程，如圖 4 所示。

圖 4　跨域訪問信任評估機(jī)制

實(shí)現(xiàn)流程

（1）實(shí)體 x 向域 A 發(fā)起跨域資源訪問請求，域 A 在訪問控制授權(quán)決策之前，先由信任評估系統(tǒng)對實(shí)體 x 進(jìn)行可信度量，作為決策依據(jù)。

（2）跨域協(xié)同代理在收到信任評估請求后，向全網(wǎng)所有域廣播針對實(shí)體 x 的跨域協(xié)同信任評估請求。

（3）其他域跨域協(xié)同代理在收到協(xié)同請求后，會查詢自身的實(shí)體信任數(shù)據(jù)表是否有與實(shí)體 x 相關(guān)的信息：若表中有記錄實(shí)體 x 與本域的歷史交互記錄和信任值，則響應(yīng)域 A 的請求，向?qū)Ψ桨l(fā)送實(shí)體x與本域的歷史交互記錄和信任值（如圖 4 中的域 B、C、D）；若表中未記錄實(shí)體 x 與本域的歷史交互記錄和信任值，則不作響應(yīng)（如圖 4 中的域 E）。

（4）域 A 的跨域協(xié)同代理在收到其他域?qū)?shí)體 x 的歷史信任評估結(jié)果后，匯總數(shù)據(jù)并報送給信任評估引擎。

（5）信任評估引擎結(jié)合域 A 對實(shí)體 x 的歷史信任評估結(jié)果，和其他域反饋的針對實(shí)體 x 的可信度量，計算本次訪問實(shí)體 x 的信任值。采用式（9）計算綜合信任評估分?jǐn)?shù)，結(jié)果如下：

（6）信任評估引擎將實(shí)體 x 的評估結(jié)果推送給跨域協(xié)同代理，作為后續(xù)域 A 對實(shí)體 x 跨域訪問請求決策的依據(jù)，同時跨域協(xié)同代理更新實(shí)體信任數(shù)據(jù)表中與實(shí)體 x 相關(guān)的交互記錄和信任值。

采用上述步驟，即可實(shí)現(xiàn)域 A 信任評估系統(tǒng)對實(shí)體 x 的跨域可信度量。

４ 結(jié) 語

本文聚焦零信任體系下的信任評估，針對域內(nèi)訪問和跨域訪問分別構(gòu)建域內(nèi)和跨域訪問信任評估機(jī)制。域內(nèi)訪問應(yīng)用場景下，將實(shí)體歷史信任評估分?jǐn)?shù)納入?yún)⒖家蛩?，并引入時間衰減因子進(jìn)行指數(shù)加權(quán)平均，構(gòu)建域內(nèi)訪問信任評估機(jī)制，有效克服單次信任評估結(jié)果具有偶然性且易受外界因素影響的問題，提升評估結(jié)果的可靠性和魯棒性。跨域訪問應(yīng)用場景下，充分參考跨域訪問實(shí)體所在域?qū)ζ渥龀龅臍v史信任評價，以及該實(shí)體與其他域歷史交互時對其做出的歷史信任評價，并引入交互頻率衰減因子構(gòu)建跨域訪問信任評估機(jī)制，可以解決受訪域缺少足夠的他域訪問實(shí)體屬性信息及行為交互數(shù)據(jù)，難以獨(dú)立做出有效可信度量的問題。通過構(gòu)建域內(nèi)和跨域訪問應(yīng)用場景信任評估機(jī)制，可推動零信任理念在網(wǎng)絡(luò)安全架構(gòu)中的應(yīng)用落地。

引用格式：江海濤 , 李洪赭 . 域內(nèi)與跨域訪問信任評估機(jī)制研究 [J]. 通信技術(shù) ,2024,57(6):626-631.
作者簡介 >>>
江海濤，男，博士，工程師，主要研究方向?yàn)榫W(wǎng)絡(luò)安全與人工智能；
李洪赭，男，博士，工程師，主要研究方向?yàn)榱阈湃伟踩軜?gòu)。
選自《通信技術(shù)》2024年第6期（為便于排版，已省去原文參考文獻(xiàn)）
重要聲明：本文來自信息安全與通信保密雜志社，經(jīng)授權(quán)轉(zhuǎn)載，版權(quán)歸原作者所有，不代表銳成觀點(diǎn)，轉(zhuǎn)載的目的在于傳遞更多知識和信息。