[发明专利]一种基于上下文的虚拟网络零信任方法

权利要求书

1.一种基于上下文的虚拟网络零信任方法，其特征在于，包括以下步骤：对零信任虚拟网络中的主体用户以及被访问的资源根据每一次访问的上下文信息进行信任度度量，对信任度度量值超过预先设定的阈值的访问，可在隐式信任区访问该资源，否则系统有权拒绝该用户的本次资源访问，并降低其访问的信任度度量值；

在虚拟网络控制平面中构建零信任策略决策点和策略执行点；

策略决策点对虚拟网络平台所有资源进行等级划分，并根据数据以及应用系统的重要性划分不同的等级，相同等级的资源具有相似的信任度；

根据用户访问零信任网络资源的历史信息计算该次资源访问的信任度度量值T_User(j，r)，其中：在策略决策点中为不同等级的资源，根据资源的安全性要求，设置一个置信因子α_r，i，表示用户访问等级为的第i个资源时，每成功访问获得上下文信任度，且满足∑_iα_r，i＝1，为每一个用户访问不同等级的资源确立信任度度量值T_User(j，r)，根据零信任网络的约定，用户对资源访问范围是尽可能的小，每次访问不同的资源，都需要进行上下文信任度计算，计算方法如下：

其中N_r为用户j在等级为r的资源层中有访问权限的资源数量，

H_j，i为用户j访问第i个资源时累计的成功率；

N_suc_j，i表示用户j访问第i个资源时的成功次数，N_total_j，i表示用户j访问第i个资源时的总次数；

β_j，r为用户j访问零信任系统等级为r的资源时间衰减因子，距离上次成功访问等级为r的资源时间间隔越长，β_j，r越小；

将计算的信任度度量值与预设的等级资源的访问门限进行比较，如果高于该门限制值，则用户可在隐私信任区内访问该资源，否则，虚拟网络拒绝此次访问，将访问值设置为失败，更新该用户对应等级访问的信任度参量资源等级越高，受保护程度越高，高等级访问权限的用户可以向下访问低等级资源，被认为是值得信任的访问。

2.根据权利要求1所述的一种基于上下文的虚拟网络零信任方法，其特征在于:策略决策点和策略执行点，在虚拟网络控制平面中构建零信任策略决策点和策略执行点，通过在策略决策点/策略执行点实现的零信任策略，将用户访问的零信任资源进行隔离，把虚拟网络中的资源分为不信任区和隐私信任区，只有通过零信任策略的用户资源访问可以访问隐式信任区中的资源。

3.根据权利要求1所述的一种基于上下文的虚拟网络零信任方法，其特征在于：在策略决策点中对虚拟网络中所有被访问的资源进行等级划分，资源等级划分的方法依据零信任网络内资源的重要程度进行，或者基于虚拟网络定义的边界进行划分，互联网区域的资源等级为1级，商密外网的资源等级为2级，商密内网的等级为3级；或者根据企业对资源的保密级别进行划分，非密级资源为1级，一般秘密级为2级，秘密级为3级，绝密级为4级，资源等级划分无数量限制，根据零信任网络管理复杂度与访问的便捷性进行平衡，通常资源划分等级越多，管理越复杂，投入成本越多，资源也越安全。

4.根据权利要求1所述的一种基于上下文的虚拟网络零信任方法，其特征在于：，β_j，r＝1/T_j，r，其中T_j，r为用户j距离上一次成功访问等级r资源的时间间隔。

5.根据权利要求1-4所述的一种基于上下文的虚拟网络零信任方法，其特征在于：当用户具有高等级资源访问权限时，在其成功访问高等级资源后，后续再访问低等级资源时，增加该用户的信任度，调整方式如下：

其中R_MAX_j为用户j具有的最高等级资源访问权限，且成功访问过该等级资源；R_cur_j，r为用户j当前访问的资源等级。