随着云计算、BYOD(Bring your own device)的流行,企业信息系统呈现出开放与动态互联的特征,这种趋势使得基于动态信任评估的零信任安全架构开始取代基于边界信任的一次性身份认证模式,成为工业界与学术界关注的研究热点。动态信任评估...
详细信息
随着云计算、BYOD(Bring your own device)的流行,企业信息系统呈现出开放与动态互联的特征,这种趋势使得基于动态信任评估的零信任安全架构开始取代基于边界信任的一次性身份认证模式,成为工业界与学术界关注的研究热点。动态信任评估模型为零信任架构提供持续信任评估的能力,可以对企业信息系统的安全性和隐私性进行有效的保护。然而,训练动态信任评估模型面临两个现实挑战:1)很多企业的用户异常登录行为数据很少,影响模型的训练效果,导致信任评估模型准确性不高,不利于身份认证系统的可靠性;2)用户行为数据中包含着用户的隐私信息,泄漏用户隐私的法律风险使得企业不愿意共享用户异常登录行为数据。针对这些问题,本文提出了一种基于联邦学习的动态信任评估身份认证方法,使得各个平台在不泄漏原始用户数据的情况下达到联合训练模型的目的,进而提高各平台身份认证系统的安全性。在假设各个平台提供了用户的行为原始数据的前提下,本方案会根据不同特征的实际含义提取离散型用户行为数据的统计学特征,并选取与风险用户相关性高的特征。为了保证数据安全性和训练数据的规模,本方法采用联邦学习技术联合多个企业进行训练,从而得到动态信任评估层的核心模型,其误识率和拒识率相较于单一平台有了一定的提升。通过该方案,身份认证系统可以在不泄露用户敏感信息的情况下,对用户身份进行有效评估,进而提升身份认证系统安全性和用户体验。本文还对不同的支持横向联邦学习的机器学习算法应用于动态信任评估模型的效果进行了比较,实验结果表明了在基于联邦学习的动态身份认证模型中使用SVM作为机器学习训练方法的效果优于其他机器学习训练方法。最后,本文从安全性和隐私性的角度出发还对动态信任评估系统自身以及联邦学习带来的安全性和隐私性的影响做了讨论。
为了解决网络僵化问题并促进网络管理灵活性,软件定义网络(Software Defined Network,SDN)被提出,但大规模网络的形成、海量数据的应用以及高服务质量需求刺激着网络的不断发展壮大,分布式SDN控制器的设计框架是未来SDN面向大规模网络...
详细信息
为了解决网络僵化问题并促进网络管理灵活性,软件定义网络(Software Defined Network,SDN)被提出,但大规模网络的形成、海量数据的应用以及高服务质量需求刺激着网络的不断发展壮大,分布式SDN控制器的设计框架是未来SDN面向大规模网络部署的必经之路。目前在SDN多控制器部署环境中,通过东西向接口进行交互,并且每个SDN控制器中都存储着全部网络拓扑状态及相关信息的水平式架构被广为采用。但是在水平式架构中,为SDN控制器设计的域间访问控制模型则存在着一系列的安全问题。为解决访问控制框架中脆弱的中心化信任问题,将零信任理论部分元素融入,设计了基于区块链的SDN域间访问控制系统框架,并以此为基础架构设计了基于区块链的分布式SDN身份管理模型,模型中SDN控制器使用自我主权身份控制自己的身份信息,并为SDN控制器和应用程序分别设计信誉凭证和属性凭证,保证其身份的隐私性和真实性。为解决SDN域间访问控制模型中关于SDN控制器信任一次建立永久信任问题,为域SDN控制器赋予信誉值属性,提出一种基于SDN网络域内及域间表现数据的信誉值评估算法,并设定更新策略以保证其动态性,实现了SDN控制器作为访问主体在域内威胁一直存在的情况下进行访问的时时可信。最后在提出的访问控制系统框架下,结合提出的身份管理模型和动态信任评估算法,提出一种基于区块链的SDN控制器跨域访问控制策略和流程,提升了水平式架构中SDN控制器域间交互的安全性,并通过与其他跨域访问控制模型在理论和实验方面进行对比分析,证明了所提模型相较其他模型的安全性和有效性。
暂无评论