域内与跨域访问信任评估机制研究

摘 要：基于实体身份安全，零信任可实现网络动态可信访问控制，而访问实体的信任评估则是构成零信任能力的关键要素之一。在零信任访问控制架构下，建立域内和跨域访问信任评估机制。结合历史信任评估结果，域内访问信任评估机制通过引入时间衰减因子并采用指数加权平均的方法，解决单次信任评估结果易受外界因素影响的问题；参考跨域访问实体在他域的历史交互数据，跨域访问信任评估机制通过引入交互频率衰减因子进行指数加权平均，可以解决受访域因缺少足够跨域访问实体属性信息和行为交互数据，难以独立做出有效可信度量的问题。域内和跨域访问信任评估机制的构建，可促进零信任网络安全架构在典型应用场景中落地。

内容目录：

1　零信任访问控制架构
2　域内访问信任评估机制
3　跨域访问信任评估机制
4　结  语

随着云计算、大数据和微服务等新兴技术的兴起与应用，划分内网与外网的网络安全边界已逐渐瓦解，基于边界防护的网络安全架构难以再发挥效能 。2010 年，文献 [2] 提出了零信任的概念，以“从不信任，始终校验”为指导思想，为网络安全防护提供了一种新的架构。零信任理念以身份为中心，通过构筑动态虚拟身份边界，去除对内网的隐式信任，建立严格的身份验证、信任评估和动态授权机制，从而构建以实体身份为边界的网络安全架构。

１ 零信任访问控制架构

基于零信任理念，国内外政府机构、国际组织及公司相继发布了零信任安全架构。以网络实体发起域内或跨域访问请求为例，零信任访问控制架构如图 1 所示，该架构由数据存储系统、信任评估系统、策略决策组件和策略执行组件构成。其中数据存储系统用于存储各类网络访问实体的信任评估数据；信任评估系统基于信任评估数据计算信任评分，度量实体的可信程度及访问风险，作为策略决策组件的授权决策依据，同时将网络访问实体信任评估结果推送到数据存储系统中进行统一存储；策略决策组件用于接收实体的网络访问请求，基于实时信任评分进行授权决策，并下发给策略执行组件；策略执行组件依据决策组件的指令执行网络实体访问控制。在零信任访问控制架构中，信任评估是其中的关键环节，是网络访问实体可信度量、潜在风险分析的责任主体，评估结果直接影响访问控制授权决策，是零信任网络中的核心枢纽。

图 1　零信任访问控制架构

信任评估的核心任务是针对特定的网络访问实体（用户、设备等）进行风险分析与量化评估，以实体静态属性（用户身份信息、设备属性信息）和动态行为（终端登录、应用访问、行为操作特征）特征作为评判依据，基于一定算法构建模型进行综合分析，计算网络实体信任值，支撑实体动态访问控制授权决策。更进一步地，考虑域内访问和跨域访问 2 种典型应用场景，假定各网络域都已包含信任评估、策略决策和策略执行组件，能够独立执行可信度量、访问控制与授权等动作，而域与域之间则彼此相对独立。域内访问时，利用实时信任评估数据计算的信任值受偶然因素影响较大，难以客观度量实体（网络访问请求主体）的真实可信度，此外，也易受攻击者伪装利用，因此还应综合考虑实体历史访问的可信度表现，结合一段时间内历次信任评分计算综合信任值，并将其作为最终信任评估结果。跨域访问时，由于域与域之间相对独立，跨域的历史交互行为相比域内交互少得多，受访域缺少足够的他域访问实体属性信息及行为交互数据，难以支撑信任评估系统做出有效的可信度量，从而影响内部网络或互联网中网络实体跨域信息的交互，因此，需要构建跨域协同的信任评估机制。

2 域内访问信任评估机制

域内访问应用场景下，域内实体向策略决策组件发起访问请求，信任评估系统基于实体信任数据（实体静态属性和动态行为特征）进行可信度量，采用基于规则匹配、模糊层次分析、机器学习和深度学习等方法构建的评估模型计算信任值，支撑策略决策组件的访问控制决策 。然而，单次可信度量结果的可靠性受限于实体的实时信任数据质量影响，数据偶然性的波动及攻击者伪装的信任数据都会使计算所得的实体信任值有所偏差。因此，每一次针对访问实体的信任评估不应是孤立的，除了利用信任评估模型计算当前实时信任值，还应考虑实体的历史信任评分，将实时信任值与历史信任值相结合计算综合信任值，构建域内访问信任评估机制，使评估结果更具可靠性和鲁棒性。

历史信任评分的利用，要考虑时间因素的影响，时间越久远的历史信任评分，对当前信任评估的影响应当越小，引入时间衰减因子 α（α ∈ [0,1]），根据历史信任评估结果的久远程度，采用指数衰减的方法赋予权重，时间越近的历史信任评估结果权重越高，反之则权重越低。域内访问信任评估机制如图 2 所示。

图 2 　域内访问信任评估机制

定义 1 个实体 j，在域内共有 n-1 次信任评估历史，在历史时间 t（且）内， 由 信 任 评 估 系 统 给 出 的 综 合 信 任 值 是 S（）。当实体 j 再次发起访问请求并触发第 n 次信任评估服务时，评估系统依据信任评估数据直接计算的实时信任值为设最终输出的综合信任值为则可由第 n-1 次评估的综合信任值和本次计算的实时信任值指数加权平均求得，其权重通过设置时间衰减因子进行调整，计算过程如下：同理，第 n-1 次评估的综合信任值可由第n-2 次评估的综合信任值和第 n-1 次计算的实时信任值指数加权平均求得，该过程可表示为：采用上述计算方法递推，可得：由于综合式（1）～（5），可得：因此，评估对象 j 历史上 n-1 次受信评分对本次信任评估的影响权重分别是第 n-1次），…，（第 2 次），第 1 次）。由此可见，随历史交互时间间隔增加，权重值呈指数衰减。通过调节时间衰减因子 α 的大小，可以调节历次信任评分的权重，还可以动态调节参与本次信任评估的历史数据的个数，这使得体系构建方式非常灵活。历史数据的个数近似为1/(1-α) 个，α 越大，参与本次评分的历史数据个数就越多。

采用上述方法构建的域内访问信任评估机制，在进行实体信任评估时不仅结合当下的模型判断，还充分考虑了实体的历史交互表现，使得评估结果具有更强的鲁棒性，输出结果更加稳定、可靠。

３ 跨域访问信任评估机制

跨域访问信任评估机制聚焦于用户、设备等网络实体跨域访问的应用场景，如某公司北京网络域用户因为业务需要，访问上海分公司的业务数据。这种应用场景下，访问实体和受访域不在同一个域。由于网络域之间相对独立，访问实体与受访域信任评估系统的交互次数相对较少，甚至无交互历史，因此受访域信任评估系统很难仅仅通过自身能力做出准确有效的信任评估。本文构建的跨域访问信任评估机制可解决上述问题，其关键在于充分参考跨域实体所在网络域（简称，实体所在域）信任评估系统对其做出的历史信任评价，以及该实体与其他域信任评估系统交互时对其做出的信任评价，作为受访域对该实体的间接信任评估依据。结合受访域对跨域实体的直接信任评估结果，以跨域协同的方式综合得出受访域对跨域实体的有效评估结果。

跨域访问信任评估机制构建方法如图 3 所示，假定域 B 实体 x 因业务需要访问域 A 的数据资源。在零信任架构下，首先需要通过域 A 中的信任评估系统评估实体 x 的可信程度，决定是否授予访问数据的权限。域 A 对实体 x 的信任评估会参考自身及其他各交互域对该实体的历史评估结果（信任值），图 3 中的本域 A 对实体 x 的历史信任评估输出的信任值为其他历史交互域 B、C……M 对实体 x的历史信任评估输出的信任值分别为（共m 个信任值）。在计算间接信任评估结果时，考虑到实体 x 与各交互域信任评估系统交互频率存在差异，引入交互频率衰减因子 β，与域内访问信任评估机制类似，根据交互频率的高低采用指数衰减的方法对信任评估结果赋予权重，历史交互频率越高的信任评估系统的数据权重越高，反之则权重越低。

图 3　跨域访问信任评估机制

网络域 B 中实体 x 向网络域 A 发起资源访问请求时，详细计算流程如下文所述。

（1）计算直接信任评分。实体 x 与域 A 历史交互信任评估数据

（2）计算间接信任评分。首先，通过向其他域中信任评估系统广播协作请求，获取与实体 x 交互过的网络域输出的历史信任值。分析实体 x 与其他域历史交互信任评估数据（假设有 m 个交互域，不包含域 A），对 m 个域信任值采用指数加权平均的方式得到综合信任值，作为间接信任评估分数。

计算时，依据实体 x 与各分布式评估引擎的历史交互频次进行排序，由多到少分别命名为第m,m-1,…,1 个域，针对实体 x 的信任评分分别是则间接信任评估分数由第 m 个域的信任评分和前 m-1 个域的值指数加权平均得到，即：式中：为 m 个域信任评分的指数加权平均值，即最终求得的间接信任评估分数；为前 m-1 个域信任评分的指数加权平均值。与域内信任评估机制中综合信任值计算方法类似，可以求得间接信任评估分数如下：

因此，实体 x 的间接信任评估分数可参考 m 个其他交互域对实体 x 的信任评估结果并进行指数加权求得，依据各交互域与实体 x 交互频次的差异，指数加权的权重分别是：(1-β)（第 m 个域），(1-β)β（第 m-1 个域），…，（第 1 个域），可见随交互域交互频次的减少权重值呈指数衰减。与域内信任评估机制类似，通过调节交互频率衰减因子 β 值的大小可以动态调节参与本次间接信任评估的历史数据的个数，近似为 1/(1-β) 个，β 越大，参与本次评分的交互域个数就越多。（3）计算域 A 对实体 x的综合信任评估分数 S。域 A 针对网络实体 x 的综合信任评估分数由直接信任评估分数和间接信任评估分数平均求得，即：为了实现上述跨域访问信任评估机制，本文设计了一种信任评估系统，系统由信任评估引擎和跨域协同代理构成。信任评估引擎内置信任评估算法模型，计算跨域实体的信任评估分数，用作动态访问控制授权的决策依据。跨域协同代理是实现信任评估跨域协作的关键，具备以下 3 个功能：一是存储和维护记录本域实体信任值以及与本域有过历史交互的他域实体信任值的实体信任数据表；二是接收其他域的跨域协同信任评估请求，提供指定实体的历史交互记录和信任评分；三是向其他域信任评估系统发起针对指定实体的跨域协同信任评估请求，并获取相关数据。为实现上述功能，跨域协同代理维护一张本域唯一的实体信任数据表，表中包含信任评估引擎对本域实体做出的信任评价（信任值），此外，还包含其他域实体跨域访问本域时的历史交互记录和信任评估引擎对其做出的信任评价。实体信任数据表的维护方式如下：当表中已记录实体产生新的信任评估结果时，跨域协同代理在实体信任数据表中同步更新实体信任值数据；当未在表中记录的实体（未与本域发生历史交互的跨域实体）产生信任评估结果时，跨域协同代理在实体信任数据表中自动添加实体和信任值数据。

基于上述跨域访问信任评估机制构建方法及信任评估系统，可实现对网络实体跨域访问的有效信任评估。下面以域 B 实体 x 向网络域 A 申请跨域访问信息资源的应用场景为例，详细阐述域 A 信任评估系统对实体 x 进行跨域可信度量的实现流程，如图 4 所示。

图 4　跨域访问信任评估机制

实现流程

（1）实体 x 向域 A 发起跨域资源访问请求，域 A 在访问控制授权决策之前，先由信任评估系统对实体 x 进行可信度量，作为决策依据。

（2）跨域协同代理在收到信任评估请求后，向全网所有域广播针对实体 x 的跨域协同信任评估请求。

（3）其他域跨域协同代理在收到协同请求后，会查询自身的实体信任数据表是否有与实体 x 相关的信息：若表中有记录实体 x 与本域的历史交互记录和信任值，则响应域 A 的请求，向对方发送实体x与本域的历史交互记录和信任值（如图 4 中的域 B、C、D）；若表中未记录实体 x 与本域的历史交互记录和信任值，则不作响应（如图 4 中的域 E）。

（4）域 A 的跨域协同代理在收到其他域对实体 x 的历史信任评估结果后，汇总数据并报送给信任评估引擎。

（5）信任评估引擎结合域 A 对实体 x 的历史信任评估结果，和其他域反馈的针对实体 x 的可信度量，计算本次访问实体 x 的信任值。采用式（9）计算综合信任评估分数，结果如下：

（6）信任评估引擎将实体 x 的评估结果推送给跨域协同代理，作为后续域 A 对实体 x 跨域访问请求决策的依据，同时跨域协同代理更新实体信任数据表中与实体 x 相关的交互记录和信任值。

采用上述步骤，即可实现域 A 信任评估系统对实体 x 的跨域可信度量。

４ 结 语

本文聚焦零信任体系下的信任评估，针对域内访问和跨域访问分别构建域内和跨域访问信任评估机制。域内访问应用场景下，将实体历史信任评估分数纳入参考因素，并引入时间衰减因子进行指数加权平均，构建域内访问信任评估机制，有效克服单次信任评估结果具有偶然性且易受外界因素影响的问题，提升评估结果的可靠性和鲁棒性。跨域访问应用场景下，充分参考跨域访问实体所在域对其做出的历史信任评价，以及该实体与其他域历史交互时对其做出的历史信任评价，并引入交互频率衰减因子构建跨域访问信任评估机制，可以解决受访域缺少足够的他域访问实体属性信息及行为交互数据，难以独立做出有效可信度量的问题。通过构建域内和跨域访问应用场景信任评估机制，可推动零信任理念在网络安全架构中的应用落地。

引用格式：江海涛 , 李洪赭 . 域内与跨域访问信任评估机制研究 [J]. 通信技术 ,2024,57(6):626-631.
作者简介 >>>
江海涛，男，博士，工程师，主要研究方向为网络安全与人工智能；
李洪赭，男，博士，工程师，主要研究方向为零信任安全架构。
选自《通信技术》2024年第6期（为便于排版，已省去原文参考文献）
重要声明：本文来自信息安全与通信保密杂志社，经授权转载，版权归原作者所有，不代表锐成观点，转载的目的在于传递更多知识和信息。