基于模糊推理的零信任系统主体信任度动态评估系统

本发明涉及的是一种信息安全领域的技术，具体是一种基于模糊推理的零信任系统主体信任度动态评估系统。

背景技术：

1、目前零信任系统的架构在国内外研究中越来越受到关注，现有零信任系统的信任评估方法主要聚焦于单次访问主体的信任判断过程，一方面无法有效解决定量性安全因素的度量问题，另一方面评估过程未与访问主体的历史信任情况相结合，导致评估结果缺乏可持续性。

技术实现思路

1、本发明针对现有零信任评估技术未结合访问主体的历史信任数据无法给出量化评估结果的不足，提出一种基于模糊推理的零信任系统主体信任度动态评估系统，将模糊推理机制引入零信任架构，处理定量型安全要素；有效地将访问主体信任度的历史数据引入到信任评估中作为信任基准，并根据用户访问过程的安全动态对其信任度实现动态调整，实现零信任系统访问安全的动态调整和量化评估。

2、本发明是通过以下技术方案实现的：

3、本发明涉及一种基于模糊推理的零信任系统主体信任度动态评估系统，包括：模糊类与隶属度初始化模块、会话安全模糊推理模块、零信任会话安全度计算模块和零信任主体信任度动态调整模块，其中：模糊类与隶属度初始化模块根据预设分类和隶属度函数计算得到主体信息的模糊类和相应隶属度；会话安全模糊推理模块通过模糊推理计算主体会话安全模糊类；零信任会话安全度计算模块对会话安全模糊类进行去模糊化计算其会话安全值；零信任主体信用动态调整模块将综合安全值与用户申请资源的要求进行对比，并根据对比结果为用户发放访问凭据，并在用户访问过程中的安全隐患和高危操作对其进行信任度奖惩。

4、本发明涉及一种基于上述系统的基于模糊推理的信任度动态评估方法，包括以下步骤：

5、步骤1)根据用户、设备、程序信息，进行访问主体模糊类初始化，得到用户、设备、程序的安全模糊类与隶属度；

6、步骤2)根据用户、设备、程序的安全模糊类，进行基于会话模糊类规则的推理，得到会话模糊类及其隶属度；

7、步骤3)根据用户申请发起会话的模糊分类结果与隶属度，进行会话安全度计算，得到去模糊化后的会话综合安全值；

8、步骤4)根据用户当前的信任度和零信任安全模块的告警信息，进行信任度动态调整，得到对用户信任度进行动态奖励或惩罚后的信任度。

9、技术效果

10、本发明在零信任系统访问主体信任评估过程中，引入了用户的历史信任度数据，并在此基础上根据其访问过程的安全态势动态地对用户主体信任度进行调整；通过对定量的用户主体信任度、设备安全信息、应用程序安全信息进行模糊处理并采用模糊推理规则实现零信任系统访问安全的量化评估，以量化的形式提升了零信任系统安全评估结果的精确性。

技术特征：

1.一种基于模糊推理的零信任系统主体信任度动态评估系统，其特征在于，包括：模糊类与隶属度初始化模块、会话安全模糊推理模块、零信任会话安全度计算模块和零信任主体信任度动态调整模块，其中：模糊类与隶属度初始化模块根据预设分类和隶属度函数计算得到主体信息的模糊类和相应隶属度；会话安全模糊推理模块通过模糊推理计算主体会话安全模糊类；零信任会话安全度计算模块对会话安全模糊类进行去模糊化计算其会话安全值；零信任主体信用动态调整模块将综合安全值与用户申请资源的要求进行对比，并根据对比结果为用户发放访问凭据，并在用户访问过程中的安全隐患和高危操作对其进行信任度奖惩。

2.根据权利要求1所述的基于模糊推理的零信任系统主体信任度动态评估系统，其特征是，所述的模糊类与隶属度初始化模块包括：用户信任度模糊化单元、设备安全度模糊化单元和应用程序安全度模糊化单元，其中：用户信任度模糊化单元根据用户信任度数据，使用其隶属度函数进行模糊化处理，得到用户信任度的模糊类和隶属度；设备安全度模糊化单元根据设备安全度数据，使用其隶属度函数进行模糊化处理，得到设备安全度的模糊类和隶属度；应用程序安全度模糊化单元根据应用程序安全度数据，使用其隶属度函数进行模糊化处理，得到应用程序安全度的模糊类和隶属度。

3.根据权利要求1所述的基于模糊推理的零信任系统主体信任度动态评估系统，其特征是，所述的会话安全模糊推理模块包括：会话安全模糊推理单元和会话安全模糊类隶属度计算单元，其中：会话模糊推理单元根据模糊类与隶属度初始化模块输出的信息，按照模糊推理规则集进行模糊推理，得到会话安全模糊类别；会话安全模糊类隶属度计算单元根据用户信任度、设备安全度和应用安全度的隶属度，按照取最小值的方法处理，得到会话安全模糊类的隶属度。

4.根据权利要求1所述的基于模糊推理的零信任系统主体信任度动态评估系统，其特征是，所述的零信任会话安全度计算模块包括：会话安全模糊隶属度合并单元和会话安全度计算单元，其中：会话安全模糊隶属度合并单元根据模糊推理模块的输出结果，对照不同的会话安全模糊类，分别对其隶属度值进行汇总求和，得到不同会话安全模糊类的整体隶属度；会话安全度计算单元根据会话安全模糊类及其整体隶属度，使用质心计算方法对其进行处理，得到会话安全度的定量结果。

5.根据权利要求1所述的基于模糊推理的零信任系统主体信任度动态评估系统，其特征是，所述的零信任主体信用动态调整模块包括：用户归一化信任度计算单元、用户信任度奖励单元以及用户信任度惩罚单元，其中：用户归一化信任度计算单元检索用户信任度当前值、历史信任度的最大值和最小值，进行极小极大归一化处理，得到用户归一化信任度；用户信任度奖励单元，根据得到的用户归一化信任度，计算用户成功访问后获得的信任度奖励值并对当前信任度增加该奖励值，得到动态调整后得用户信任度；用户信任度惩罚单元，根据得到的用户归一化信任度，计算用户未能获取访问、或者访问过程发生风险后的信任度惩罚值并，对当前信任度减去该惩罚值，得到动态调整后得用户信任度。

6.一种基于权利要求1-5中任一所述系统的基于模糊推理的信任度动态评估方法，其特征在于，包括以下步骤：

7.根据权利要求6所述的信任度动态评估方法，其特征是，所述的步骤1具体包括：

8.根据权利要求6所述的信任度动态评估方法，其特征是，所述的步骤2具体包括：

9.根据权利要求6所述的信任度动态评估方法，其特征是，所述的步骤3，具体包括：

10.根据权利要求6所述的信任度动态评估方法，其特征是，所述的步骤4)，具体包括：

技术总结
一种基于模糊推理的零信任系统主体信任度动态评估系统，通过模糊类与隶属度初始化模块根据预设分类和隶属度函数计算得到主体信息的模糊类和相应隶属度；会话安全模糊推理模块通过模糊推理计算主体会话安全模糊类；通过零信任会话安全度计算模块对会话安全模糊类进行去模糊化计算其会话安全值；通过零信任主体信用动态调整模块将综合安全值与用户申请资源的要求进行对比，并根据对比结果为用户发放访问凭据，并在用户访问过程中的安全隐患和高危操作对其进行信任度奖惩。本发明将模糊推理机制引入零信任架构，处理定量型安全要素；有效地将访问主体信任度的历史数据引入到信任评估中作为信任基准，并根据用户访问过程的安全动态对其信任度实现动态调整，实现零信任系统访问安全的动态调整和量化评估。

技术研发人员：张保稳,刘岳林,银鹰,朱贇,李建华
受保护的技术使用者：上海交通大学
技术研发日：
技术公布日：2024/1/11