基于零信任安全架構的網絡用戶身份跨域匹配

石潔

（四川中煙工業有限責任公司信息中心，四川成都 610017）

相較于其他的互聯網安全架構，零信任安全架構并不是一種單一的網格狀結構，而是在網絡技術與數據加密技術的支持下，完成由通用模型框架到特定安全結構的轉變[1-2]。簡單來說，互聯網組織為了達成零信任的目標，在改變了傳統架構體系連接模式的同時，制定具有彈性執行能力的安全控制措施，一方面，能夠避免由風險管控策略帶來的安全性威脅；另一方面，也可以最大程度提升網絡主機對于數據樣本的存儲能力，從而保證互聯網架構的信息安全性。

網絡用戶身份就是指用戶對象在互聯網中的身份ID，對于網絡主機而言，保證ID 信息安全性是實現用戶身份跨域認證的關鍵。基于區塊鏈和布谷鳥過濾器的認證方法以LevelDB 存儲證書為載體，確定用戶身份ID 編碼模板，通過判斷記錄證書附加狀態的方式推導出完整的ID 代碼認證表達式，以此實現用戶身份匹配與認證[3]。基于動態組的有效身份認證方法通過為每個MTC 設備匹配全新的身份認證信息，利用會話密鑰模板完善整個跨域認證機制，以達到用戶身份匹配與認證的目標[4]。隨著用戶身份信息量的增加，上述兩種方法并不能使用戶身份信息的跨域認證結果始終與網絡ID 原碼保持完全一致，因此使網絡主機對于用戶身份信息匹配和認證效果不佳。為解決上述問題，設計基于零信任安全架構的網絡用戶身份跨域匹配方法。

1 網絡用戶身份建模

在零信任安全架構的基礎上，根據用戶對象的身份屬性信息，求解用戶行為的軌跡特征，以此實現網絡用戶身份建模。

1.1 零信任安全架構部署

零信任安全架構主要由控制平面、數據處理平面兩部分組成，負責提取網絡用戶身份信息。其中，控制平面以PE 網絡引擎為主體，在PA 數據管理器元件的支持下，分別獲取網絡數據庫中存儲的代理程序與安全網關信息，將已獲取信息樣本整合成原始資源，以供主機元件利用這些信息定義完整的用戶身份ID 原碼[5]。數據處理平面配置了Agent 代理主機與收集了大量的網絡信息資源，可以聯合用戶信息參量，向上級管理器設備反饋建立零信任安全模型所需的信息樣本。完整的零信任安全架構布局形式如圖1 所示。

圖1 零信任安全架構

網絡主機在設置零信任安全架構時，要求用戶身份ID 原碼信息的傳輸方向只能由數據處理平面到控制平面，以保證信息訪問的安全性[6]。

1.2 身份屬性定義

身份屬性就是指網絡用戶對象在零信任安全架構中特有的ID 原碼信息。由于用戶對象所執行的指令文本不同，所以定義跨域匹配條件時，要求ID 原碼信息格式不能完全相同[7-8]。設w1表示網絡用戶對象在零信任安全架構中的ID 原碼，wδ表示編譯后的用戶屬性代碼，δ表示用戶信息重復概率，聯立上述物理量，可將網絡用戶身份屬性定義式表示為：

其中，α1表示原碼編譯系數，αδ表示屬性代碼編譯系數，χ1表示原碼匹配參數，χ2表示屬性代碼匹配參數。隨著零信任安全架構部署范圍的擴大，網絡用戶身份屬性定義映射數量也會不斷增加，當已存儲映射鏈接數量達到網絡數據庫的上限存儲條件時，PE 網絡引擎與PA 數據管理器之間的連接服務會斷開，以此最大程度保證信息安全性。

1.3 用戶行為軌跡特征

用戶行為軌跡特征是用戶在瀏覽信息時所產生的軌跡特征，以此能確定認證協議對身份屬性信息的約束能力[9-10]。假設表示用戶身份信息的跨域傳輸度量值，其求解表達式如下：

其中，E1,E2,…,En表示n個不同的用戶身份信息樣本，表示信息樣本均值，β表示信息樣本匹配權限。在式（2）的基礎上，設表示用戶身份信息取值基參量，u表示用戶對象行為參量，i表示用戶對象行為軌跡分布參量，綜合上述物理量，推導用戶行為軌跡特征表達式為：

式中，ΔT表示網絡用戶身份屬性信息的單位編碼時長。為避免網絡主機在用戶身份屬性編碼時出現信息遺漏的情況，定義用戶行為軌跡特征時，要求系數u、系數i不能同時取最大值或最小值。

2 用戶身份的跨域匹配

在零信任安全架構的支持下，按照網絡功能區域劃分、跨域認證協議設置、匹配調用鏈碼求解的處理流程，完成網絡用戶身份跨域匹配。

2.1 網絡功能區域劃分

網絡功能區域劃分標準決定了網絡主機對于用戶身份信息的存儲與承載能力，功能區域劃分條件直接影響主機元件對用戶身份信息ID 原碼的編碼[11-12]。如果將基于零信任安全架構的網絡體系看作一個完整的數據存儲空間，其對于信息樣本的存儲能力可表示為：

其中，ε表示網絡安全評級結果，Pε表示系數ε條件下的網絡評級向量，表示用戶身份信息的存儲特征。

假設Sˉ表示網絡區域限定參數，dε表示系數ε下的用戶身份信息運存參量，聯立式（4），可將基于零信任安全架構的網絡功能區域劃分條件表示為：

2.2 跨域認證協議設置

跨域認證協議由私鑰簽名、公鑰簽名、區塊鏈根證書三部分組成，具體如下：

1）私鑰簽名：私鑰簽名可以理解為網絡主機對于用戶身份信息的加密條件，是完成跨域匹配的基礎[13-14]。

2）公鑰簽名：公鑰簽名是指網絡主機的數據加密條件，在網絡功能區域劃分標準保持不變的情況下，公鑰簽名的定義形式也需要保持不變。

3）區塊鏈根證書：區塊鏈根證書也稱作網絡節點安全連接證書，可以確保私鑰簽名、公鑰簽名之間數據傳輸具有穩定性。

2.3 匹配調用鏈碼求解

在零信任安全架構中，匹配調用鏈碼負責將多個獨立的跨域節點串聯起來，以供網絡主機能夠按照既定數據排列模式，完成對用戶身份信息的選取與匹配[15-16]。設z1,z2,…,zn表示n個獨立的跨域節點，其定義條件如下：

其中，x表示節點調用參數，其求解標準滿足式（7）：

式中，f表示鏈型連接系數，φ表示用戶身份信息占位參數，B表示信息樣本的跨域傳輸標準值。

聯立式（5）-（7）調用鏈碼匹配，即網絡用戶身份跨域匹配結果為：

其中，?表示網絡用戶身份信息的跨域匹配處理權重值。通過上述過程完成網絡用戶身份跨域匹配。

3 實例分析

文中實驗選擇基于零信任安全架構的網絡用戶身份跨域匹配方法、基于區塊鏈和布谷鳥過濾器的認證方法、基于動態組的有效身份認證方法作為實驗對比方法，分別利用上述方法對用戶身份信息進行跨域匹配認證，得到相關的實驗結果。

3.1 網絡ID原碼

網絡ID 原碼是網絡主機對用戶身份信息的預設認證結果，在用戶身份跨域匹配處理的過程中，用戶身份信息認證結果若與網絡ID 原碼高度匹配，則表示網絡主機能夠實現對用戶身份信息的準確匹配；若個別身份信息的認證結果不能與網絡ID 原碼匹配，則表示網絡主機對用戶身份匹配處理能力有限，不符合相關應用需求。

文中實驗選擇七組用戶身份信息作為實驗對象，利用Windows 主機定義這些信息參量的ID 原碼，詳細原碼格式如表1 所示。

表1 用戶身份信息的網絡ID原碼

為了避免實驗過程中出現明顯的信息占位行為，Windows 主機在單位運行時間內只對一類用戶身份信息進行跨域匹配。

3.2 實驗結果

在Windows 主機中，利用Python charmPRO 軟件分別運行基于零信任安全架構的網絡用戶身份跨域匹配方法（第一組）、基于區塊鏈和布谷鳥過濾器的認證方法（第二組）、基于動態組的有效身份認證方法（第三組）的執行程序，得到用戶身份匹配實驗結果如圖2-4 所示。

圖2 第一組實驗結果

圖3 第二組實驗結果

圖4 第三組實驗結果

分析圖2 可知，在基于零信任安全架構的網絡用戶身份跨域匹配方法的應用下，實驗所選七類用戶身份信息的跨域認證結果與網絡ID 原碼的編碼形式完全一致，匹配成功率高達100%。

應用基于區塊鏈和布谷鳥過濾器的認證方法，第三類用戶身份信息的跨域認證結果與網絡ID 原碼的編碼形式不一致，第二類用戶身份信息無法被Windows 主機識別，其他信息的跨域認證結果與網絡ID 原碼的編碼形式一致，匹配質量不高。

應用基于動態組的有效身份認證方法，第一類、第五類、第七類用戶身份信息無法被Windows 主機識別，其他四組信息樣本的認證結果與網絡ID 原碼的編碼形式一致，網絡用戶身份跨域匹配質量不高。

對于文中實驗所選的七類信息樣本而言，基于動態組的有效身份認證方法、基于區塊鏈和布谷鳥過濾器的認證方法在進行用戶身份匹配過程中，都存在跨域認證結果與網絡ID 原碼不符合的情況。而基于零信任安全架構的網絡用戶身份跨域匹配方法的跨域認證結果則始終與網絡ID 原碼保持一致，即應用該方法可以實現對網絡主機對用戶身份信息的準確匹配，匹配成功率始終保持在較高的水平。

4 結束語

所設計的網絡用戶身份跨域匹配方法以零信任安全架構為基礎，對用戶對象的身份屬性進行了重新定義，通過提取用戶行為軌跡特征的方式，完成對網絡功能區域劃分。聯合跨域認證協議，確定匹配調用鏈碼，以此完成網絡用戶身份跨域匹配。面對多種用戶身份信息樣本時，該方法能夠確保跨域認證結果與網絡ID 原碼的一致性，實現對于用戶身份信息的準確匹配，實際應用效果好。