基于人工智能的数据零信任认证方法及系统

技术领域

本发明属于网络安全技术领域，具体涉及一种基于人工智能的数据零信任认证方法及系统。

背景技术

网络安全已经历了40多年的发展，从最早的防火墙、防病毒技术开始到现在已有几十种网络安全防护技术，共同为企业构建网络安全防护体系。但40多年的网络安全技术发展未对当前的网络安全技术架构与理念提出新的思路或改进。当前的网络安全防护体系以边界为核心、以纵深防护为手段，持续安全建设。存在隐式信任的风险和TCP/IP协议缺陷，使传统网络安全防护技术在新的网络环境，如云计算、大数据、人工智能、5G和IOT等方面存在不足，无法对企业当前提供更可靠的安全防护技术与架构。

随着云计算、大数据、物联网等新兴技术的不断兴起，企业IT架构正在从“有边界”向“无边界”转变，传统的安全边界逐渐瓦解。随着以5G、工业互联网为代表的新基建的不断推进，还会进一步加速“无边界”的进化过程。与此同时，零信任安全逐渐进入人们的视野，成为解决新时代网络安全问题的新理念、新架构。然而，随着信息通信技术的不断发展，快速高效的分享信息资源越来越被市场所需求。

目前，通常使用资源数据共享来分享信息资源数据，资源数据共享能够有效的增加资源的交互，充分发挥资源价值的作用。在现有的相关技术中，对于部分需要公开的数据，虽然在决定公开前是处于保密状态；但是在资源的交互过程中，保密状态的数据却会因为共享保密安全性较低而导致被泄露，使数据的保密性无法得到充足保障。

发明内容

发明目的：本发明的目的在于解决现有技术中存在的不足，提供一种基于人工智能的数据零信任认证方法及系统。

技术方案：本发明的一种基于人工智能的数据零信任认证方法，包括以下步骤：

S1、接收终端所发送的数据资源访问请求，并利用LDA主题模型提取与该数据资源访问请求对应的请求标签；

S2、基于终端网络的安全可信度量值、用户网络安全的安全可信度量值及外部环境的安全性值计算通信安全值；

S3、利用协同过滤推荐算法为数据资源访问请求推荐对应的零信任安全服务；

S3.1、获取与数据资源访问请求相对应的零信任安全服务中的历史数据；

S3.2、计算数据资源访问请求与历史数据中数据资源访问请求的相似度；

S3.3、依据相似度计算推荐值，进而排序生成推荐数据集；

S3.4、选取推荐数据集中推荐值最大的零信任安全服务，作为数据资源访问请求推荐对应的零信任安全服务；所述零信任安全服务至少包括认证服务、审批服务或授权服务中的一种，以及对应的预设配置规则；

S4、基于步骤S3所得零信任安全服务对数据资源访问请求进行认证处理，并建立对应的安全通信通道；

S5、利用步骤S4所得安全通信通道向终端发送与数据资源访问请求相对应的数据资源。

进一步地，所述步骤S1的具体过程如下：

S1.1、获取历史数据中的数据资源访问请求并进行文本标注；历史数据从日志服务器获取，文本信息包括用户、设备和访问情况等各类特征信息；

S1.2、对若干文本标注数据进行清洗与预处理(包括数据分词、剔除空数据/无效数据、剔除无情感意义的文字和重复数据)，并将处理后的文本标注数据分为数据训练集和数据测试集；

S1.3、将数据训练集输入LDA主题模型进行训练，并数据测试集对训练的LDA主题模型进行测试验证，得到训练后的LDA主题模型；

S1.4、利用训练后的LDA主题模型来分析获取与数据资源访问请求相对应的请求标签。

进一步地，所述步骤S2中的具体过程为：

S2.1、通过终端代理自动采集、分析、计算终端的安全现状数据，并依据数据计算与评估方法分析得到终端网络的安全可信度量值；

S2.2、通过计算和评估用户信息，来分析得到用户网络安全的安全可信度量值；

S2.3、利用网络安全数据结合环境现状分析计算得到外部环境的安全性值；

S2.4、计算终端网络的安全可信度量值、用户网络安全的安全可信度量值及外部环境的安全性值的总和得到通信安全值：

S2.5、判断所得通信安全值是否大于预先设定的安全阈值，如果满足则，则执行步骤S3，如果不满足，则提示网络安全性低，并终止服务。

进一步地，所述步骤S3.2的详细内容为：

先利用步骤S1中训练好的LDA主题模型来获取历史数据中数据资源访问请求的历史请求标签；

然后采用余弦相似度算法计算步骤S1所得请求标签与历史请求标签之间的相似度cos(θ)：

上式中，x

进一步地，所述步骤S3.3的详细内容为下步骤：

先计算某个零信任安全服务对当前数据资源访问请求的推荐值p，计算公式如下：

式中，sim(u,u

最后将推荐值p从大至小进行排序，按照该排序选取前预设数量的零信任安全服务生成推荐数据集。

进一步地，所述步骤S4的详细过程为：

若S3所得零信任安全服务中包含有认证服务，则依据配置规则对数据资源访问请求进行认证服务处理，获得通过或不通过的结果；

若S3所得零信任安全服务中包含有审批服务，则依据配置规则进行审批服务处理，获得通过或不通过的结果；

若S3所得零信任安全服务中包含有授权服务，则依据配置规则进授权服务处理，获得通过或不通过的结果；

完成上述三种情况的认证处理中，若存在不通过的结果，则向终端发送错误返回消息；若不存在不通过的结果，则通过所有认证处理。

本发明还公开一种用于实现基于人工智能的数据零信任认证方法的系统，包括依次连接的请求标签提取模块、通信安全值计算模块、零信任安全服务推荐模块、安全通信通道建立模块及数据资源传输模块；

首先，通过请求标签提取模块接收获取终端发送的数据资源访问请求，并利用LDA主题模型提取与该资源数据访问请求对应的请求标签；

其次，由通信安全值计算模块来获得基于终端网络的安全可信度量值、用户网络安全的安全可信度量值及外部环境的安全性值，进而计算得到通信安全值；

接着，零信任安全服务推荐模块利用协同过滤推荐算法为数据资源访问请求推荐对应的零信任安全服务；

然后，由安全通信通道建立模块基于所得零信任安全服务对数据资源访问请求进行认证处理，并建立对应的安全通信通道；

最后，通过数据资源传输模块利用所得安全通信通道向终端发送与数据资源访问请求相对应的数据资源。

有益效果：本发明通过利用LDA主题模型获取与访问请求相对应的请求标签，计算用户、终端及外部环境的安全值进行动态计算，并利用协同过滤推荐算法推荐对应的零信任安全服务，同时对数据资源访问请求进行认证并建立对应的安全通信通道，从而可以基于该安全通信通道实现数据资源的传输；相比于传统的数据共享方式，本发明不仅可以利用安全值的动态计算为零信任访问提供支撑技术，有效地提高数据共享时的安全性，而且还可以利用协同过滤推荐算法为访问请求快速准确的提供零信任安全服务，从而能够有效的提高数据资源在共享过程中的安全性，降低了数据资源泄密的可能，更好地满足于企业的使用需求。

附图说明

图1为本发明的整理流程示意图。

具体实施方式

下面对本发明技术方案进行详细说明，但是本发明的保护范围不局限于所述实施例。

与其他现有技术方案相比，本发明的优势在数据的存储与计算都在安全计算环境内进行，而该计算环境完全由企业自主进行管理和控制。企业数据可在环境内灵活存储和计算，但无论在终端运行状态还是终端关闭状态下，环境内的数据都无法被窃取，即数据可通过各种应用程序在环境内使用，但无法脱离安全计算环境。安全计算环境内所有计算过程被企业全程监控，包括且不限于文件操作、网络行为、程序启停、硬件外设使用等。企业完成安全计算环境的构建后，可以放心地将数据置于安全环境内，安全计算环境支持各种应用程序在不牺牲性能的基础上对数据使用和加工的各种场景。同时，安全计算环境与终端本地环境处于深度隔离状态，这种隔离保证了数据存储、计算的安全性，同时做到了轻量和灵活，保证了程序执行的效率。

如图1所示，本实施例的一种基于人工智能的数据零信任认证方法，包括以下步骤。

步骤S1、接收终端发送的数据资源访问请求，并利用LDA主题模型提取与该访问请求对应的请求标签

首先，获取历史数据中的数据资源访问请求并进行文本标注；对所得若干文本标注数据进行清洗与预处理，并将处理后的文本标注数据分为数据训练集和数据测试集；

然后，将数据训练集输入LDA主题模型进行训练，并数据测试集对LDA主题模型进行测试验证，得到训练好的LDA主题模型；

最后，利用训练好的LDA主题模型分析得到与当前数据资源访问请求相对应的请求标签。

步骤S2、基于终端网络的安全可信度量值、用户网络安全的安全可信度量值及外部环境的安全性值计算通信安全值

本实施例中，对终端、用户和外部环境3组特征分别采用二分类机器学习算法，得到结果可以访问和不可访问，用1和0表示，如果最终3组特征的和大于1，则满足条件；低于则不满足，进而得到对应的安全可信度量值、安全可信度量值及安全性值。具体内容如下：

首先，通过终端代理自动采集、分析、计算终端的安全现状数据，并依据数据计算与评估方法分析得到终端网络的安全可信度量值；

其次，通过计算和评估用户信息来分析得到用户网络安全的安全可信度量值；

再次、利用网络安全数据结合环境现状分析计算得到外部环境的安全性值；

接着、计算终端网络的安全可信度量值、用户网络安全的安全可信度量值及外部环境的安全性值的总和得到通信安全值；

最后，判断所得通信安全值是否满足预先设定的安全阈值，若满足，则执行步骤S3，若不满足，则提示网络安全性低，并终止服务。

步骤S3、利用协同过滤推荐算法为数据资源访问请求推荐对应的零信任安全服务

(1)获取与当前数据资源访问请求相对应的零信任安全服务中的历史数据；

(2)计算数据资源访问请求与历史数据中数据资源访问请求的相似度；

首先利用预先构建的LDA主题模型获取历史数据中数据资源访问请求的历史请求标签；

然后采用余弦相似度算法计算请求标签与历史请求标签之间的相似度cos(θ)；

(3)按照相似度计算结果进行排序生成推荐数据集；

先计算某个零信任安全服务对当前数据资源访问请求的推荐值p：

然后将所得各个推荐值从大至小进行排序，选取前预设数量的零信任安全服务生成推荐数据集；

(4)获取推荐数据集中预设数据的零信任安全服务的推荐值；选取推荐值最大的零信任安全服务匹配给数据资源访问请求。

步骤S4、基于零信任安全服务对数据资源访问请求进行认证处理，并建立对应的安全通信通道

若S3所得零信任安全服务中包含有认证服务，则依据配置规则对数据资源访问请求进行认证服务处理，获得通过或不通过的结果；

若S3所得零信任安全服务中包含有审批服务，则依据配置规则进行审批服务处理，获得通过或不通过的结果；

若S3所得零信任安全服务中包含有授权服务，则依据配置规则进授权服务处理，获得通过或不通过的结果；

完成上述三种情况的认证处理中，若存在不通过的结果，则向终端发送错误返回消息；若不存在不通过的结果，则通过所有认证处理；

接着，由安全通信通道建立模块基于所得零信任安全服务对数据资源访问请求进行认证处理，并建立对应的安全通信通道；这个通道是一一建立的，通过认证就对应建立一条。

步骤S5、利用所建立的安全通信通道向终端发送与数据资源访问请求相对应的数据资源

首先，依据预设的监控规则对所述终端和所述数据资源进行实时监控；

然后在终端或数据资源的参数发生改变的情况下，断开与终端之间的安全通信通道。

本实施例的基于人工智能的数据零信任认证系统，包括依次连接的请求标签提取模块、通信安全值计算模块、零信任安全服务推荐模块、安全通信通道建立模块及数据资源传输模块；首先，通过请求标签提取模块接收获取终端发送的数据资源访问请求，并利用LDA主题模型提取与该资源数据访问请求对应的请求标签；其次，由通信安全值计算模块来获得基于终端网络的安全可信度量值、用户网络安全的安全可信度量值及外部环境的安全性值，进而计算得到通信安全值；接着，零信任安全服务推荐模块利用协同过滤推荐算法为数据资源访问请求推荐对应的零信任安全服务；然后，由安全通信通道建立模块基于所得零信任安全服务对数据资源访问请求进行认证处理，并建立对应的安全通信通道；最后，通过数据资源传输模块利用所得安全通信通道向终端发送与数据资源访问请求相对应的数据资源。

实施例2：获取数据资源访问请求的请求标签{网络端口、协议、设备型号、系统版本等}，根据LDA模型计算终端的安全可信度；再根据用户信息{访问时间、IP、访问记录、新设备等}计算用户的可信度；再根据外部环境信息{网关、访问流量、异常情况等}计算安全性值；再通过3个度量的总和得到通信安全值，如果低于设定的阈值，访问拒绝，如果高于阈值，进一步计算与历史数据的协同过滤推荐值；然后，计算访问请求的历史标签与当前标签的推荐值，进行排序，选择预设数量的零信任安全服务，再分别建立相应的安全通信通道。

综上所述，借助于本发明的上述技术方案，通过利用LDA主题模型获取与访问请求相对应的请求标签，计算用户、终端及外部环境的安全值进行动态计算，并利用协同过滤推荐算法推荐对应的零信任安全服务，同时对数据资源访问请求进行认证并建立对应的安全通信通道，从而可以基于该安全通信通道实现数据资源的传输；相比于传统的数据共享方式，本发明不仅可以利用安全值的动态计算为零信任访问提供支撑技术，有效地提高数据共享时的安全性，而且还可以利用协同过滤推荐算法为访问请求快速准确的提供零信任安全服务，从而能够有效的提高数据资源在共享过程中的安全性，降低了数据资源泄密的可能，更好地满足于企业的使用需求。