本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域��,尤其涉及一種基于零信任架構(gòu)的數(shù)字化身份驗(yàn)證方法��、裝置����、終端設(shè)備及存儲(chǔ)介質(zhì)。
背景技術(shù):
1����、隨著信息技術(shù)的飛速發(fā)展���,網(wǎng)絡(luò)安全面臨著越來(lái)越復(fù)雜的挑戰(zhàn)。傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)往往依賴于基于邊界的安全模型�����,即假設(shè)內(nèi)部網(wǎng)絡(luò)是可信任的��,而外部網(wǎng)絡(luò)則需要進(jìn)行嚴(yán)格的防護(hù)����。這種模型在現(xiàn)代網(wǎng)絡(luò)環(huán)境中,尤其是在云計(jì)算和移動(dòng)設(shè)備廣泛應(yīng)用的情況下�,逐漸暴露出諸多弊端。邊界不再清晰�,用戶和設(shè)備的多樣性增加,企業(yè)的網(wǎng)絡(luò)和數(shù)據(jù)正不斷地跨越企業(yè)邊界����,導(dǎo)致傳統(tǒng)的網(wǎng)絡(luò)安全策略難以應(yīng)對(duì)復(fù)雜的安全威脅。為了應(yīng)對(duì)這一挑戰(zhàn)�,零信任架構(gòu)(zero?trust?architecture,zta)應(yīng)運(yùn)而生。零信任架構(gòu)提出了“永不信任、始終驗(yàn)證”的原則����,要求無(wú)論用戶或設(shè)備位于網(wǎng)絡(luò)的哪個(gè)位置,都必須進(jìn)行身份驗(yàn)證和訪問(wèn)控制���,不再依賴傳統(tǒng)的信任邊界���。這一架構(gòu)已被廣泛認(rèn)為是應(yīng)對(duì)現(xiàn)代網(wǎng)絡(luò)安全威脅的有效策略,尤其在多云環(huán)境�����、遠(yuǎn)程辦公和移動(dòng)設(shè)備廣泛應(yīng)用的場(chǎng)景中展現(xiàn)出極大的潛力����。
2、然而�,零信任架構(gòu)的有效實(shí)施�����,離不開(kāi)強(qiáng)大而靈活的數(shù)字化身份管理系統(tǒng)��。當(dāng)前的數(shù)字化身份管理系統(tǒng)存在著以下不足:第一,傳統(tǒng)的身份驗(yàn)證方式(如密碼�、otp、單一生物特征識(shí)別)存在被攻擊或被破解的風(fēng)險(xiǎn)���,無(wú)法有效應(yīng)對(duì)日益復(fù)雜的網(wǎng)絡(luò)攻擊手段����。密碼是最常見(jiàn)的身份驗(yàn)證方式���,但其本質(zhì)缺陷在于用戶通常使用容易記住的密碼���,這使得密碼容易被攻擊者猜測(cè)或破解;同時(shí)��,用戶可能在多個(gè)平臺(tái)使用相同的密碼�����,這增加了密碼泄露的風(fēng)險(xiǎn)���;密碼保護(hù)措施(如密碼強(qiáng)度要求和定期更改密碼)雖然能增加安全性��,但仍然難以徹底消除密碼泄漏的威脅����。一次性密碼(otp)在大多數(shù)身份驗(yàn)證系統(tǒng)中作為第二因素驗(yàn)證被廣泛使用,然而otp存在時(shí)間限制��,在超時(shí)的情況下����,用戶必須重新請(qǐng)求驗(yàn)證碼,這不僅增加了用戶的不便�,還在某些場(chǎng)景下可能被攻擊者通過(guò)惡意手段劫持或截獲otp,從而繞過(guò)身份驗(yàn)證����。生物特征(如指紋、面部識(shí)別�����、虹膜掃描等)雖然被認(rèn)為是較為安全的身份驗(yàn)證方式�,但它們也存在不少問(wèn)題,例如���,指紋和面部識(shí)別可以被高仿技術(shù)模仿,且某些生物特征可能由于環(huán)境因素(如光線����、設(shè)備質(zhì)量等)導(dǎo)致識(shí)別不準(zhǔn)確��;此外����,生物識(shí)別數(shù)據(jù)一旦泄露���,可能被濫用����,嚴(yán)重威脅用戶隱私���。第二�,零信任架構(gòu)要求始終不信任任何用戶或設(shè)備�,即使是內(nèi)部網(wǎng)絡(luò)中的用戶,也需要進(jìn)行動(dòng)態(tài)�����、持續(xù)的身份驗(yàn)證�。然而,現(xiàn)有技術(shù)大多依賴于一次性的身份驗(yàn)證���,而忽視了會(huì)話期間的身份驗(yàn)證�。這導(dǎo)致了在身份信息被盜用或喪失控制的情況下,攻擊者能夠利用初次驗(yàn)證成功的會(huì)話權(quán)限��,持續(xù)訪問(wèn)系統(tǒng)�����。第三��,零信任架構(gòu)下的身份驗(yàn)證要求多因素認(rèn)證與其他身份驗(yàn)證技術(shù)(如行為分析��、設(shè)備指紋識(shí)別��、地理位置分析等)有機(jī)集成��,現(xiàn)有技術(shù)在這方面缺乏有效的整合機(jī)制���,如何將這些技術(shù)高效集成�����,并保證它們之間的協(xié)同工作是技術(shù)實(shí)現(xiàn)中的難點(diǎn)�。
技術(shù)實(shí)現(xiàn)思路
1�����、本發(fā)明提供了一種基于零信任架構(gòu)的數(shù)字化身份驗(yàn)證方法����、裝置、終端設(shè)備及存儲(chǔ)介質(zhì)���,與現(xiàn)有技術(shù)相比���,本技術(shù)能夠有機(jī)集成多種身份驗(yàn)證技術(shù),實(shí)現(xiàn)零信任架構(gòu)下的持續(xù)身份驗(yàn)證�����,提高數(shù)字化身份驗(yàn)證的安全性�����。
2����、第一方面,本發(fā)明實(shí)施例提供了一種基于零信任架構(gòu)的數(shù)字化身份驗(yàn)證方法�����,其特征在于,適用于基于零信任架構(gòu)的數(shù)字化身份驗(yàn)證系統(tǒng)�����,其中���,所述數(shù)字化身份驗(yàn)證系統(tǒng)包括客戶端和服務(wù)器�,客戶端通過(guò)零信任架構(gòu)網(wǎng)關(guān)訪問(wèn)服務(wù)器����;
3、所述數(shù)字化身份驗(yàn)證方法包括:
4�����、根據(jù)用戶信息和多因素身份驗(yàn)證信息�����,得到身份驗(yàn)證結(jié)果�;
5、根據(jù)所述身份驗(yàn)證結(jié)果,生成會(huì)話令牌并創(chuàng)建會(huì)話����;其中,所述會(huì)話令牌加密存儲(chǔ)所述用戶信息�����、多因素身份驗(yàn)證信息�、初始的訪問(wèn)權(quán)限以及會(huì)話狀態(tài)����;
6、實(shí)時(shí)收集會(huì)話期間用戶的行為數(shù)據(jù)���、設(shè)備指紋數(shù)據(jù)以及地理位置數(shù)據(jù)���,并根據(jù)所述行為數(shù)據(jù)、設(shè)備指紋數(shù)據(jù)以及地理位置數(shù)據(jù)�����,動(dòng)態(tài)調(diào)整所述會(huì)話令牌存儲(chǔ)的訪問(wèn)權(quán)限�;
7、在每次接收由客戶端發(fā)送的請(qǐng)求時(shí)���,零信任架構(gòu)網(wǎng)關(guān)通過(guò)驗(yàn)證當(dāng)前的會(huì)話令牌�,確定服務(wù)器的當(dāng)前會(huì)話狀態(tài)。
8�、本發(fā)明實(shí)施例通過(guò)用戶信息以及多因素身份驗(yàn)證信息,得到身份驗(yàn)證結(jié)果�,增強(qiáng)身份驗(yàn)證的抗攻擊能力;通過(guò)生成會(huì)話令牌�,管理用戶的身份信息和會(huì)話狀態(tài),避免會(huì)話劫持和信息泄露��;通過(guò)實(shí)時(shí)收集會(huì)話期間用戶的行為數(shù)據(jù)�����、設(shè)備指紋數(shù)據(jù)以及地理位置數(shù)據(jù)��,并根據(jù)所述行為數(shù)據(jù)����、設(shè)備指紋數(shù)據(jù)以及地理位置數(shù)據(jù),動(dòng)態(tài)調(diào)整會(huì)話令牌存儲(chǔ)的訪問(wèn)權(quán)限���,實(shí)現(xiàn)零信任架構(gòu)下持續(xù)的安全監(jiān)控�;通過(guò)驗(yàn)證會(huì)話令牌,確保每次訪問(wèn)請(qǐng)求都得到驗(yàn)證�。與現(xiàn)有技術(shù)相比,本技術(shù)能夠有機(jī)集成多種身份驗(yàn)證技術(shù)���,實(shí)現(xiàn)零信任架構(gòu)下的持續(xù)身份驗(yàn)證��,提高數(shù)字化身份管理的安全性���。
9、進(jìn)一步地�,所述根據(jù)用戶信息和多因素身份驗(yàn)證信息��,得到身份驗(yàn)證結(jié)果��,由客戶端執(zhí)行����,包括:
10、根據(jù)用戶信息����,得到初始身份驗(yàn)證結(jié)果;
11��、基于所述初始身份驗(yàn)證結(jié)果,根據(jù)多因素身份驗(yàn)證信息����,得到身份驗(yàn)證結(jié)果;其中���,所述多因素身份驗(yàn)證信息包括動(dòng)態(tài)認(rèn)證信息和生物特征信息�����。
12�����、本發(fā)明實(shí)施例通過(guò)多因素驗(yàn)證用戶的身份信息�����,增強(qiáng)了身份驗(yàn)證的抗攻擊能力�。
13����、進(jìn)一步地,所述實(shí)時(shí)收集會(huì)話期間用戶的行為數(shù)據(jù)��、設(shè)備指紋數(shù)據(jù)以及地理位置數(shù)據(jù),并根據(jù)所述行為數(shù)據(jù)���、設(shè)備指紋數(shù)據(jù)以及地理位置數(shù)據(jù)���,動(dòng)態(tài)調(diào)整所述會(huì)話令牌存儲(chǔ)的訪問(wèn)權(quán)限,由服務(wù)器執(zhí)行����,包括:
14、通過(guò)預(yù)設(shè)的模型分析所述行為數(shù)據(jù)�����、設(shè)備指紋數(shù)據(jù)以及地理位置數(shù)據(jù)����,得到實(shí)時(shí)更新的風(fēng)險(xiǎn)評(píng)分�����;其中���,所述行為數(shù)據(jù)�、設(shè)備指紋數(shù)據(jù)以及地理位置數(shù)據(jù)加密存儲(chǔ)于所述會(huì)話令牌;
15���、根據(jù)所述風(fēng)險(xiǎn)評(píng)分�,動(dòng)態(tài)調(diào)整所述會(huì)話令牌存儲(chǔ)的訪問(wèn)權(quán)限�。
16、本發(fā)明實(shí)施例通過(guò)預(yù)設(shè)的模型生成實(shí)時(shí)更新的風(fēng)險(xiǎn)評(píng)分�,為后續(xù)的驗(yàn)證步驟以及權(quán)限調(diào)整提供數(shù)據(jù)支持;通過(guò)風(fēng)險(xiǎn)評(píng)分����,動(dòng)態(tài)調(diào)整用戶的訪問(wèn)權(quán)限,判斷會(huì)話期間用戶身份是否發(fā)生變化�。
17、進(jìn)一步地�,所述通過(guò)預(yù)設(shè)的模型分析所述行為數(shù)據(jù)、設(shè)備指紋數(shù)據(jù)以及地理位置數(shù)據(jù)�,得到實(shí)時(shí)更新的風(fēng)險(xiǎn)評(píng)分,由服務(wù)器執(zhí)行���,包括:
18��、通過(guò)預(yù)設(shè)的行為模型分析行為數(shù)據(jù)����,得到第一風(fēng)險(xiǎn)評(píng)分;
19�、通過(guò)預(yù)設(shè)的設(shè)備模型分析設(shè)備指紋數(shù)據(jù),得到第二風(fēng)險(xiǎn)評(píng)分���;
20�����、通過(guò)預(yù)設(shè)的位置模型分析地理位置數(shù)據(jù)��,得到第三風(fēng)險(xiǎn)評(píng)分���;
21、根據(jù)所述第一風(fēng)險(xiǎn)評(píng)分��、第二風(fēng)險(xiǎn)評(píng)分���、第三風(fēng)險(xiǎn)評(píng)分以及預(yù)設(shè)的評(píng)分規(guī)則,得到最終的風(fēng)險(xiǎn)評(píng)分�。
22、本發(fā)明實(shí)施例通過(guò)預(yù)設(shè)的模型對(duì)用戶當(dāng)前的行為��、設(shè)備以及地理位置進(jìn)行對(duì)比分析����,生成實(shí)時(shí)更新的風(fēng)險(xiǎn)評(píng)分���,多方面評(píng)估用戶的訪問(wèn)風(fēng)險(xiǎn)。
23���、進(jìn)一步地�,所述根據(jù)所述風(fēng)險(xiǎn)評(píng)分��,動(dòng)態(tài)調(diào)整所述會(huì)話令牌存儲(chǔ)的訪問(wèn)權(quán)限����,由服務(wù)器執(zhí)行,包括:
24���、若所述風(fēng)險(xiǎn)評(píng)分大于或等于高風(fēng)險(xiǎn)評(píng)分閾值�����,則訪問(wèn)權(quán)限為禁止訪問(wèn)敏感數(shù)據(jù)和高敏感數(shù)據(jù)��,并要求進(jìn)行高風(fēng)險(xiǎn)附加身份驗(yàn)證�����;
25�、若所述風(fēng)險(xiǎn)評(píng)分大于或等于中風(fēng)險(xiǎn)評(píng)分閾值且小于高風(fēng)險(xiǎn)評(píng)分閾值,則訪問(wèn)權(quán)限為禁止訪問(wèn)敏感數(shù)據(jù)����,并要求進(jìn)行中風(fēng)險(xiǎn)附加身份驗(yàn)證;
26�����、若所述風(fēng)險(xiǎn)評(píng)分小于中風(fēng)險(xiǎn)評(píng)分閾值����,則訪問(wèn)權(quán)限為初始的訪問(wèn)權(quán)限。
27�����、本發(fā)明實(shí)施例通過(guò)風(fēng)險(xiǎn)評(píng)分���,動(dòng)態(tài)調(diào)整用戶的訪問(wèn)權(quán)限��,判斷會(huì)話期間用戶身份是否發(fā)生變化���。
28、進(jìn)一步地����,所述若所述風(fēng)險(xiǎn)評(píng)分大于或等于高風(fēng)險(xiǎn)評(píng)分閾值,則訪問(wèn)權(quán)限為禁止訪問(wèn)敏感數(shù)據(jù)和高敏感數(shù)據(jù)�,并要求進(jìn)行高風(fēng)險(xiǎn)附加身份驗(yàn)證,包括:
29����、根據(jù)動(dòng)態(tài)認(rèn)證信息和生物特征信息,得到高風(fēng)險(xiǎn)附加身份驗(yàn)證結(jié)果��;其中�,所述動(dòng)態(tài)認(rèn)證信息和生物特征信息由客戶端重新提供;
30�����、根據(jù)所述高風(fēng)險(xiǎn)附加身份驗(yàn)證結(jié)果���,將訪問(wèn)權(quán)限調(diào)整為初始的訪問(wèn)權(quán)限����。
31、本發(fā)明實(shí)施例通過(guò)動(dòng)態(tài)認(rèn)證信息和生物特征信息進(jìn)行高風(fēng)險(xiǎn)附加身份驗(yàn)證���,增強(qiáng)身份驗(yàn)證的安全性�����。
32����、進(jìn)一步地�,所述若所述風(fēng)險(xiǎn)評(píng)分大于或等于中風(fēng)險(xiǎn)評(píng)分閾值且小于高風(fēng)險(xiǎn)評(píng)分閾值,則訪問(wèn)權(quán)限為禁止訪問(wèn)敏感數(shù)據(jù)����,并要求進(jìn)行中風(fēng)險(xiǎn)附加身份驗(yàn)證,包括:
33�、根據(jù)動(dòng)態(tài)認(rèn)證信息,得到中風(fēng)險(xiǎn)附加身份驗(yàn)證結(jié)果����;其中,所述動(dòng)態(tài)認(rèn)證信息由客戶端重新提供�����;
34、根據(jù)所述中風(fēng)險(xiǎn)附加身份驗(yàn)證結(jié)果��,將訪問(wèn)權(quán)限調(diào)整為初始的訪問(wèn)權(quán)限���。
35、本發(fā)明實(shí)施例通過(guò)動(dòng)態(tài)認(rèn)證信息進(jìn)行中風(fēng)險(xiǎn)附加身份驗(yàn)證�,增強(qiáng)身份驗(yàn)證的安全性。
36�、第二方面,本發(fā)明實(shí)施例提供了一種基于零信任架構(gòu)的數(shù)字化身份驗(yàn)證裝置�,包括:身份驗(yàn)證模塊、會(huì)話創(chuàng)建模塊�、權(quán)限調(diào)整模塊以及令牌驗(yàn)證模塊;
37�、所述身份驗(yàn)證模塊,用于根據(jù)用戶信息和多因素身份驗(yàn)證信息�,得到身份驗(yàn)證結(jié)果;
38�、所述會(huì)話創(chuàng)建模塊,用于根據(jù)所述身份驗(yàn)證結(jié)果�����,生成會(huì)話令牌并創(chuàng)建會(huì)話����;其中�,所述會(huì)話令牌加密存儲(chǔ)所述用戶信息�、多因素身份驗(yàn)證信息、初始的訪問(wèn)權(quán)限以及會(huì)話狀態(tài)�����;
39�����、所述權(quán)限調(diào)整模塊��,用于實(shí)時(shí)收集會(huì)話期間用戶的行為數(shù)據(jù)����、設(shè)備指紋數(shù)據(jù)以及地理位置數(shù)據(jù),并根據(jù)所述行為數(shù)據(jù)��、設(shè)備指紋數(shù)據(jù)以及地理位置數(shù)據(jù)����,動(dòng)態(tài)調(diào)整所述會(huì)話令牌存儲(chǔ)的訪問(wèn)權(quán)限;
40��、所述令牌驗(yàn)證模塊,用于在每次接收由客戶端發(fā)送的請(qǐng)求時(shí)����,零信任架構(gòu)網(wǎng)關(guān)通過(guò)驗(yàn)證當(dāng)前的會(huì)話令牌,確定服務(wù)器的當(dāng)前會(huì)話狀態(tài)�。
41、本發(fā)明實(shí)施例通過(guò)身份驗(yàn)證模塊�,得到身份驗(yàn)證結(jié)果���,增強(qiáng)身份驗(yàn)證的抗攻擊能力���;通過(guò)會(huì)話創(chuàng)建模塊生成會(huì)話令牌,管理用戶的身份信息和會(huì)話狀態(tài)����,避免會(huì)話劫持和信息泄露;通過(guò)權(quán)限調(diào)整模塊實(shí)時(shí)收集會(huì)話期間用戶的行為數(shù)據(jù)�����、設(shè)備指紋數(shù)據(jù)以及地理位置數(shù)據(jù)��,并根據(jù)所述行為數(shù)據(jù)���、設(shè)備指紋數(shù)據(jù)以及地理位置數(shù)據(jù)���,動(dòng)態(tài)調(diào)整會(huì)話令牌存儲(chǔ)的訪問(wèn)權(quán)限����,實(shí)現(xiàn)零信任架構(gòu)下持續(xù)的安全監(jiān)控��;通過(guò)令牌驗(yàn)證模塊驗(yàn)證會(huì)話令牌��,確保每次訪問(wèn)請(qǐng)求都得到驗(yàn)證��。
42����、本發(fā)明另一實(shí)施例還提供了一種終端設(shè)備,包括:處理器���、存儲(chǔ)器以及存儲(chǔ)在所述存儲(chǔ)器中且被配置為由所述處理器執(zhí)行的計(jì)算機(jī)程序�,處理器執(zhí)行所述計(jì)算機(jī)程序時(shí)�,實(shí)現(xiàn)如本發(fā)明一種基于零信任架構(gòu)的數(shù)字化身份驗(yàn)證方法的步驟。
43�、本發(fā)明另一實(shí)施例還提供了一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)項(xiàng),包括:存儲(chǔ)的計(jì)算機(jī)程序��,在計(jì)算機(jī)程序運(yùn)行時(shí),控制計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)所在的設(shè)備執(zhí)行如本發(fā)明一種基于零信任架構(gòu)的數(shù)字化身份驗(yàn)證方法的步驟��。