基于零信任安全架構(gòu)的網(wǎng)絡(luò)用戶(hù)身份跨域匹配

石潔

（四川中煙工業(yè)有限責(zé)任公司信息中心，四川成都 610017）

相較于其他的互聯(lián)網(wǎng)安全架構(gòu)，零信任安全架構(gòu)并不是一種單一的網(wǎng)格狀結(jié)構(gòu)，而是在網(wǎng)絡(luò)技術(shù)與數(shù)據(jù)加密技術(shù)的支持下，完成由通用模型框架到特定安全結(jié)構(gòu)的轉(zhuǎn)變[1-2]。簡(jiǎn)單來(lái)說(shuō)，互聯(lián)網(wǎng)組織為了達(dá)成零信任的目標(biāo)，在改變了傳統(tǒng)架構(gòu)體系連接模式的同時(shí)，制定具有彈性執(zhí)行能力的安全控制措施，一方面，能夠避免由風(fēng)險(xiǎn)管控策略帶來(lái)的安全性威脅；另一方面，也可以最大程度提升網(wǎng)絡(luò)主機(jī)對(duì)于數(shù)據(jù)樣本的存儲(chǔ)能力，從而保證互聯(lián)網(wǎng)架構(gòu)的信息安全性。

網(wǎng)絡(luò)用戶(hù)身份就是指用戶(hù)對(duì)象在互聯(lián)網(wǎng)中的身份ID，對(duì)于網(wǎng)絡(luò)主機(jī)而言，保證ID 信息安全性是實(shí)現(xiàn)用戶(hù)身份跨域認(rèn)證的關(guān)鍵。基于區(qū)塊鏈和布谷鳥(niǎo)過(guò)濾器的認(rèn)證方法以LevelDB 存儲(chǔ)證書(shū)為載體，確定用戶(hù)身份ID 編碼模板，通過(guò)判斷記錄證書(shū)附加狀態(tài)的方式推導(dǎo)出完整的ID 代碼認(rèn)證表達(dá)式，以此實(shí)現(xiàn)用戶(hù)身份匹配與認(rèn)證[3]。基于動(dòng)態(tài)組的有效身份認(rèn)證方法通過(guò)為每個(gè)MTC 設(shè)備匹配全新的身份認(rèn)證信息，利用會(huì)話(huà)密鑰模板完善整個(gè)跨域認(rèn)證機(jī)制，以達(dá)到用戶(hù)身份匹配與認(rèn)證的目標(biāo)[4]。隨著用戶(hù)身份信息量的增加，上述兩種方法并不能使用戶(hù)身份信息的跨域認(rèn)證結(jié)果始終與網(wǎng)絡(luò)ID 原碼保持完全一致，因此使網(wǎng)絡(luò)主機(jī)對(duì)于用戶(hù)身份信息匹配和認(rèn)證效果不佳。為解決上述問(wèn)題，設(shè)計(jì)基于零信任安全架構(gòu)的網(wǎng)絡(luò)用戶(hù)身份跨域匹配方法。

1 網(wǎng)絡(luò)用戶(hù)身份建模

在零信任安全架構(gòu)的基礎(chǔ)上，根據(jù)用戶(hù)對(duì)象的身份屬性信息，求解用戶(hù)行為的軌跡特征，以此實(shí)現(xiàn)網(wǎng)絡(luò)用戶(hù)身份建模。

1.1 零信任安全架構(gòu)部署

零信任安全架構(gòu)主要由控制平面、數(shù)據(jù)處理平面兩部分組成，負(fù)責(zé)提取網(wǎng)絡(luò)用戶(hù)身份信息。其中，控制平面以PE 網(wǎng)絡(luò)引擎為主體，在PA 數(shù)據(jù)管理器元件的支持下，分別獲取網(wǎng)絡(luò)數(shù)據(jù)庫(kù)中存儲(chǔ)的代理程序與安全網(wǎng)關(guān)信息，將已獲取信息樣本整合成原始資源，以供主機(jī)元件利用這些信息定義完整的用戶(hù)身份ID 原碼[5]。數(shù)據(jù)處理平面配置了Agent 代理主機(jī)與收集了大量的網(wǎng)絡(luò)信息資源，可以聯(lián)合用戶(hù)信息參量，向上級(jí)管理器設(shè)備反饋建立零信任安全模型所需的信息樣本。完整的零信任安全架構(gòu)布局形式如圖1 所示。

圖1 零信任安全架構(gòu)

網(wǎng)絡(luò)主機(jī)在設(shè)置零信任安全架構(gòu)時(shí)，要求用戶(hù)身份ID 原碼信息的傳輸方向只能由數(shù)據(jù)處理平面到控制平面，以保證信息訪問(wèn)的安全性[6]。

1.2 身份屬性定義

身份屬性就是指網(wǎng)絡(luò)用戶(hù)對(duì)象在零信任安全架構(gòu)中特有的ID 原碼信息。由于用戶(hù)對(duì)象所執(zhí)行的指令文本不同，所以定義跨域匹配條件時(shí)，要求ID 原碼信息格式不能完全相同[7-8]。設(shè)w1表示網(wǎng)絡(luò)用戶(hù)對(duì)象在零信任安全架構(gòu)中的ID 原碼，wδ表示編譯后的用戶(hù)屬性代碼，δ表示用戶(hù)信息重復(fù)概率，聯(lián)立上述物理量，可將網(wǎng)絡(luò)用戶(hù)身份屬性定義式表示為：

其中，α1表示原碼編譯系數(shù)，αδ表示屬性代碼編譯系數(shù)，χ1表示原碼匹配參數(shù)，χ2表示屬性代碼匹配參數(shù)。隨著零信任安全架構(gòu)部署范圍的擴(kuò)大，網(wǎng)絡(luò)用戶(hù)身份屬性定義映射數(shù)量也會(huì)不斷增加，當(dāng)已存儲(chǔ)映射鏈接數(shù)量達(dá)到網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的上限存儲(chǔ)條件時(shí)，PE 網(wǎng)絡(luò)引擎與PA 數(shù)據(jù)管理器之間的連接服務(wù)會(huì)斷開(kāi)，以此最大程度保證信息安全性。

1.3 用戶(hù)行為軌跡特征

用戶(hù)行為軌跡特征是用戶(hù)在瀏覽信息時(shí)所產(chǎn)生的軌跡特征，以此能確定認(rèn)證協(xié)議對(duì)身份屬性信息的約束能力[9-10]。假設(shè)表示用戶(hù)身份信息的跨域傳輸度量值，其求解表達(dá)式如下：

其中，E1,E2,…,En表示n個(gè)不同的用戶(hù)身份信息樣本，表示信息樣本均值，β表示信息樣本匹配權(quán)限。在式（2）的基礎(chǔ)上，設(shè)表示用戶(hù)身份信息取值基參量，u表示用戶(hù)對(duì)象行為參量，i表示用戶(hù)對(duì)象行為軌跡分布參量，綜合上述物理量，推導(dǎo)用戶(hù)行為軌跡特征表達(dá)式為：

式中，ΔT表示網(wǎng)絡(luò)用戶(hù)身份屬性信息的單位編碼時(shí)長(zhǎng)。為避免網(wǎng)絡(luò)主機(jī)在用戶(hù)身份屬性編碼時(shí)出現(xiàn)信息遺漏的情況，定義用戶(hù)行為軌跡特征時(shí)，要求系數(shù)u、系數(shù)i不能同時(shí)取最大值或最小值。

2 用戶(hù)身份的跨域匹配

在零信任安全架構(gòu)的支持下，按照網(wǎng)絡(luò)功能區(qū)域劃分、跨域認(rèn)證協(xié)議設(shè)置、匹配調(diào)用鏈碼求解的處理流程，完成網(wǎng)絡(luò)用戶(hù)身份跨域匹配。

2.1 網(wǎng)絡(luò)功能區(qū)域劃分

網(wǎng)絡(luò)功能區(qū)域劃分標(biāo)準(zhǔn)決定了網(wǎng)絡(luò)主機(jī)對(duì)于用戶(hù)身份信息的存儲(chǔ)與承載能力，功能區(qū)域劃分條件直接影響主機(jī)元件對(duì)用戶(hù)身份信息ID 原碼的編碼[11-12]。如果將基于零信任安全架構(gòu)的網(wǎng)絡(luò)體系看作一個(gè)完整的數(shù)據(jù)存儲(chǔ)空間，其對(duì)于信息樣本的存儲(chǔ)能力可表示為：

其中，ε表示網(wǎng)絡(luò)安全評(píng)級(jí)結(jié)果，Pε表示系數(shù)ε條件下的網(wǎng)絡(luò)評(píng)級(jí)向量，表示用戶(hù)身份信息的存儲(chǔ)特征。

假設(shè)Sˉ表示網(wǎng)絡(luò)區(qū)域限定參數(shù)，dε表示系數(shù)ε下的用戶(hù)身份信息運(yùn)存參量，聯(lián)立式（4），可將基于零信任安全架構(gòu)的網(wǎng)絡(luò)功能區(qū)域劃分條件表示為：

2.2 跨域認(rèn)證協(xié)議設(shè)置

跨域認(rèn)證協(xié)議由私鑰簽名、公鑰簽名、區(qū)塊鏈根證書(shū)三部分組成，具體如下：

1）私鑰簽名：私鑰簽名可以理解為網(wǎng)絡(luò)主機(jī)對(duì)于用戶(hù)身份信息的加密條件，是完成跨域匹配的基礎(chǔ)[13-14]。

2）公鑰簽名：公鑰簽名是指網(wǎng)絡(luò)主機(jī)的數(shù)據(jù)加密條件，在網(wǎng)絡(luò)功能區(qū)域劃分標(biāo)準(zhǔn)保持不變的情況下，公鑰簽名的定義形式也需要保持不變。

3）區(qū)塊鏈根證書(shū)：區(qū)塊鏈根證書(shū)也稱(chēng)作網(wǎng)絡(luò)節(jié)點(diǎn)安全連接證書(shū)，可以確保私鑰簽名、公鑰簽名之間數(shù)據(jù)傳輸具有穩(wěn)定性。

2.3 匹配調(diào)用鏈碼求解

在零信任安全架構(gòu)中，匹配調(diào)用鏈碼負(fù)責(zé)將多個(gè)獨(dú)立的跨域節(jié)點(diǎn)串聯(lián)起來(lái)，以供網(wǎng)絡(luò)主機(jī)能夠按照既定數(shù)據(jù)排列模式，完成對(duì)用戶(hù)身份信息的選取與匹配[15-16]。設(shè)z1,z2,…,zn表示n個(gè)獨(dú)立的跨域節(jié)點(diǎn)，其定義條件如下：

其中，x表示節(jié)點(diǎn)調(diào)用參數(shù)，其求解標(biāo)準(zhǔn)滿(mǎn)足式（7）：

式中，f表示鏈型連接系數(shù)，φ表示用戶(hù)身份信息占位參數(shù)，B表示信息樣本的跨域傳輸標(biāo)準(zhǔn)值。

聯(lián)立式（5）-（7）調(diào)用鏈碼匹配，即網(wǎng)絡(luò)用戶(hù)身份跨域匹配結(jié)果為：

其中，?表示網(wǎng)絡(luò)用戶(hù)身份信息的跨域匹配處理權(quán)重值。通過(guò)上述過(guò)程完成網(wǎng)絡(luò)用戶(hù)身份跨域匹配。

3 實(shí)例分析

文中實(shí)驗(yàn)選擇基于零信任安全架構(gòu)的網(wǎng)絡(luò)用戶(hù)身份跨域匹配方法、基于區(qū)塊鏈和布谷鳥(niǎo)過(guò)濾器的認(rèn)證方法、基于動(dòng)態(tài)組的有效身份認(rèn)證方法作為實(shí)驗(yàn)對(duì)比方法，分別利用上述方法對(duì)用戶(hù)身份信息進(jìn)行跨域匹配認(rèn)證，得到相關(guān)的實(shí)驗(yàn)結(jié)果。

3.1 網(wǎng)絡(luò)ID原碼

網(wǎng)絡(luò)ID 原碼是網(wǎng)絡(luò)主機(jī)對(duì)用戶(hù)身份信息的預(yù)設(shè)認(rèn)證結(jié)果，在用戶(hù)身份跨域匹配處理的過(guò)程中，用戶(hù)身份信息認(rèn)證結(jié)果若與網(wǎng)絡(luò)ID 原碼高度匹配，則表示網(wǎng)絡(luò)主機(jī)能夠?qū)崿F(xiàn)對(duì)用戶(hù)身份信息的準(zhǔn)確匹配；若個(gè)別身份信息的認(rèn)證結(jié)果不能與網(wǎng)絡(luò)ID 原碼匹配，則表示網(wǎng)絡(luò)主機(jī)對(duì)用戶(hù)身份匹配處理能力有限，不符合相關(guān)應(yīng)用需求。

文中實(shí)驗(yàn)選擇七組用戶(hù)身份信息作為實(shí)驗(yàn)對(duì)象，利用Windows 主機(jī)定義這些信息參量的ID 原碼，詳細(xì)原碼格式如表1 所示。

表1 用戶(hù)身份信息的網(wǎng)絡(luò)ID原碼

為了避免實(shí)驗(yàn)過(guò)程中出現(xiàn)明顯的信息占位行為，Windows 主機(jī)在單位運(yùn)行時(shí)間內(nèi)只對(duì)一類(lèi)用戶(hù)身份信息進(jìn)行跨域匹配。

3.2 實(shí)驗(yàn)結(jié)果

在Windows 主機(jī)中，利用Python charmPRO 軟件分別運(yùn)行基于零信任安全架構(gòu)的網(wǎng)絡(luò)用戶(hù)身份跨域匹配方法（第一組）、基于區(qū)塊鏈和布谷鳥(niǎo)過(guò)濾器的認(rèn)證方法（第二組）、基于動(dòng)態(tài)組的有效身份認(rèn)證方法（第三組）的執(zhí)行程序，得到用戶(hù)身份匹配實(shí)驗(yàn)結(jié)果如圖2-4 所示。

圖2 第一組實(shí)驗(yàn)結(jié)果

圖3 第二組實(shí)驗(yàn)結(jié)果

圖4 第三組實(shí)驗(yàn)結(jié)果

分析圖2 可知，在基于零信任安全架構(gòu)的網(wǎng)絡(luò)用戶(hù)身份跨域匹配方法的應(yīng)用下，實(shí)驗(yàn)所選七類(lèi)用戶(hù)身份信息的跨域認(rèn)證結(jié)果與網(wǎng)絡(luò)ID 原碼的編碼形式完全一致，匹配成功率高達(dá)100%。

應(yīng)用基于區(qū)塊鏈和布谷鳥(niǎo)過(guò)濾器的認(rèn)證方法，第三類(lèi)用戶(hù)身份信息的跨域認(rèn)證結(jié)果與網(wǎng)絡(luò)ID 原碼的編碼形式不一致，第二類(lèi)用戶(hù)身份信息無(wú)法被Windows 主機(jī)識(shí)別，其他信息的跨域認(rèn)證結(jié)果與網(wǎng)絡(luò)ID 原碼的編碼形式一致，匹配質(zhì)量不高。

應(yīng)用基于動(dòng)態(tài)組的有效身份認(rèn)證方法，第一類(lèi)、第五類(lèi)、第七類(lèi)用戶(hù)身份信息無(wú)法被Windows 主機(jī)識(shí)別，其他四組信息樣本的認(rèn)證結(jié)果與網(wǎng)絡(luò)ID 原碼的編碼形式一致，網(wǎng)絡(luò)用戶(hù)身份跨域匹配質(zhì)量不高。

對(duì)于文中實(shí)驗(yàn)所選的七類(lèi)信息樣本而言，基于動(dòng)態(tài)組的有效身份認(rèn)證方法、基于區(qū)塊鏈和布谷鳥(niǎo)過(guò)濾器的認(rèn)證方法在進(jìn)行用戶(hù)身份匹配過(guò)程中，都存在跨域認(rèn)證結(jié)果與網(wǎng)絡(luò)ID 原碼不符合的情況。而基于零信任安全架構(gòu)的網(wǎng)絡(luò)用戶(hù)身份跨域匹配方法的跨域認(rèn)證結(jié)果則始終與網(wǎng)絡(luò)ID 原碼保持一致，即應(yīng)用該方法可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)主機(jī)對(duì)用戶(hù)身份信息的準(zhǔn)確匹配，匹配成功率始終保持在較高的水平。

4 結(jié)束語(yǔ)

所設(shè)計(jì)的網(wǎng)絡(luò)用戶(hù)身份跨域匹配方法以零信任安全架構(gòu)為基礎(chǔ)，對(duì)用戶(hù)對(duì)象的身份屬性進(jìn)行了重新定義，通過(guò)提取用戶(hù)行為軌跡特征的方式，完成對(duì)網(wǎng)絡(luò)功能區(qū)域劃分。聯(lián)合跨域認(rèn)證協(xié)議，確定匹配調(diào)用鏈碼，以此完成網(wǎng)絡(luò)用戶(hù)身份跨域匹配。面對(duì)多種用戶(hù)身份信息樣本時(shí)，該方法能夠確保跨域認(rèn)證結(jié)果與網(wǎng)絡(luò)ID 原碼的一致性，實(shí)現(xiàn)對(duì)于用戶(hù)身份信息的準(zhǔn)確匹配，實(shí)際應(yīng)用效果好。