基于动态风险评估机制的零信任IAM架构设计

信息安全研究 ›› 2023, Vol. 9 ›› Issue (12): 1190-.

基于动态风险评估机制的零信任IAM架构设计

覃锦端王月兵周杰毛菲

(杭州美创科技股份有限公司杭州310015)

出版日期:2023-12-20 发布日期:2023-12-29
通讯作者: 覃锦端工程师.主要研究方向为网络安全、数据安全、漏洞挖掘. 3340977272@qq.com
作者简介:覃锦端工程师.主要研究方向为网络安全、数据安全、漏洞挖掘. 3340977272@qq.com 王月兵高级工程师.主要研究方向为网络安全、数据安全、黑客攻防. 1005692943@qq.com 周杰副总裁，CTO.主要研究方向为数据安全、零信任、风险治理. zhouj@mchz.com.cn 毛菲工程师.主要研究方向为网络安全、数据安全、病毒分析. 510719148@qq.com

Zero Trust IAM Architecture Technology Based on Dynamic Risk #br# Assessment Mechanism#br#

Qin Jinduan, Wang Yuebing, Zhou Jie, and Mao Fei

(Hangzhou Meichuang Technology Co., Ltd., Hangzhou 310015)

Online:2023-12-20 Published:2023-12-29

摘要/Abstract

摘要： 在当今的身份认证与访问控制技术中，绝大部分都是基于角色进行授权的，当攻击者获取到角色对应的某个账号的控制权后，就可以利用账号具备的角色权限进行恶意操作，而不用再进行其他认证.对此缺陷，基于零信任架构提出一种动态风险评估机制及其算法.通过在用户身份认证阶段使用算法对用户提供的认证因子进行计算，获取用户在互联网的数据安全风险程度值，根据数据安全风险程度值动态地对用户进行访问控制.在访问控制过程中，利用区块链技术及算法为此次访问生成一个不可否认、可供追溯的用户访问标签.实验结果表明，该架构技术可以实现动态及更为安全的认证与访问控制.

关键词: 零信任, IAM, 动态风险评估, 区块链, 数据安全

Abstract: In today’s identity authentication and access control technologies, most of them are authorized based on roles, once an attacker obtains the control right of an account corresponding to the role, he can use the role authority of the account to perform malicious operations without further authentication. Based on this defect, this paper proposes a dynamic risk assessment mechanism and algorithm based on the zerotrust architecture. In the user identity authentication stage, the algorithm is used to calculate the authentication factor provided by the user to obtain the user’s data security risk degree value on the Internet, and dynamically control the user’s access according to the data security risk degree value. In the process of access control, blockchain technology and algorithms are used to generate an undeniable and traceable user access label for this access. The experimental results show that the architecture technology can realize dynamic and more secure authentication and access control.

Key words: zero trust, IAM, dynamic risk assessment, blockchain, data security

中图分类号:

TP309.2

覃锦端, 王月兵, 周杰, 毛菲, . 基于动态风险评估机制的零信任IAM架构设计[J]. 信息安全研究, 2023, 9(12): 1190-.

[1]	丁丽媛, . 金融机构ICT供应链信息安全风险分析及应对措施研究[J]. 信息安全研究, 2024, 10(1): 55-.
[2]	唐大圆, 曹翔, 林青, 胡绍谦, 汤震宇, . 电力物联网零信任架构下的分布式认证模型[J]. 信息安全研究, 2024, 10(1): 67-.
[3]	鲁战利, 孙贤雯, 蔡亮, 王佳颖, . “RPA+移动存储介质”解决政府数据安全跨网交换的方法与实践[J]. 信息安全研究, 2024, 10(1): 81-.
[4]	林奕夫, 陈雪, 许媛媛, 汤晓冬, 唐仁杰, 边珊, . 基于零信任安全模型的电力敏感数据访问控制方法[J]. 信息安全研究, 2024, 10(1): 88-.
[5]	吴剑刚, 许芃, . 应用数据安全管控平台实践 [J]. 信息安全研究, 2023, 9(E2): 17-.
[6]	张文礼, 彭晓雷, . 银行数据安全解决方案[J]. 信息安全研究, 2023, 9(E2): 37-.
[7]	柳遵梁, 周杰, 杨文根, . 医疗机构临床数据合规共享解决方案[J]. 信息安全研究, 2023, 9(E2): 41-.
[8]	邱勤, 张高山, 徐天妮, 倪宁宁, 朱华, . 算力网络安全信链技术研究与应用[J]. 信息安全研究, 2023, 9(E2): 87-.
[9]	俞弘毅, 赵明, 李震宇, 朱奕秋, 李克勤, . 数据访问可视化监管系统的构建[J]. 信息安全研究, 2023, 9(E2): 91-.
[10]	吴强, 张鹤林, . 个人信息合规与保护解决方案[J]. 信息安全研究, 2023, 9(E2): 100-.
[11]	何晋昊, 陈韵然, 钟强, 程蕾, 金晨, . 全民健康数据安全治理解决方案[J]. 信息安全研究, 2023, 9(E2): 104-.
[12]	吴迪, 赵新强, 马达, 陈青民, 方莉莉, 郑敏波, . 国家统计系统数据安全合规管理解决方案[J]. 信息安全研究, 2023, 9(E2): 62-.
[13]	周兴, 林民起, 彭健, 周锐, 钟家好, . 基于隐藏身份证号的数据安全分析[J]. 信息安全研究, 2023, 9(E1): 4-.
[14]	蒋云浩, 徐梓傑, 徐伟, . 去中心化的边缘驱动视频共享网络虚拟货币安全流动模型[J]. 信息安全研究, 2023, 9(E1): 64-.
[15]	王玉凤, . 个人数据安全应对研究[J]. 信息安全研究, 2023, 9(E1): 85-.