(19)国家知识产权局(12)发明专利申请(10)申请公布号CN116015769A(43)申请公布日2023.04.25(21)申请号202211589093.7(22)申请日2022.12.12(71)申请人上海交通大学地址200240上海市闵行区东川路800号(72)发明人张保稳刘岳林银鹰朱贇李建华(74)专利代理机构上海交达专利事务所31201专利代理师王毓理王锡麟(51)Int.Cl.H04L9/40(2022.01)权利要求书3页说明书7页附图3页(54)发明名称基于模糊推理的零信任系统主体信任度动态评估系统(57)摘要一种基于模糊推理的零信任系统主体信任度动态评估系统，通过模糊类与隶属度初始化模块根据预设分类和隶属度函数计算得到主体信息的模糊类和相应隶属度；会话安全模糊推理模块通过模糊推理计算主体会话安全模糊类；通过零信任会话安全度计算模块对会话安全模糊类进行去模糊化计算其会话安全值；通过零信任主体信用动态调整模块将综合安全值与用户申请资源的要求进行对比，并根据对比结果为用户发放访问凭据，并在用户访问过程中的安全隐患和高危操作对其进行信任度奖惩。本发明将模糊推理机制引入零信任架构，处理定量型安全要素；有效地将访问主体信任度的历史数据引入到信任评估中作为信任基准，并根据用户访问过程的安全动态对其信任度实现动态调整，实现零信任系统访问安全的动态调整和量化评估。CN116015769ACN116015769A权利要求书1/3页1.一种基于模糊推理的零信任系统主体信任度动态评估系统，其特征在于，包括：模糊类与隶属度初始化模块、会话安全模糊推理模块、零信任会话安全度计算模块和零信任主体信任度动态调整模块，其中：模糊类与隶属度初始化模块根据预设分类和隶属度函数计算得到主体信息的模糊类和相应隶属度；会话安全模糊推理模块通过模糊推理计算主体会话安全模糊类；零信任会话安全度计算模块对会话安全模糊类进行去模糊化计算其会话安全值；零信任主体信用动态调整模块将综合安全值与用户申请资源的要求进行对比，并根据对比结果为用户发放访问凭据，并在用户访问过程中的安全隐患和高危操作对其进行信任度奖惩。2.根据权利要求1所述的基于模糊推理的零信任系统主体信任度动态评估系统，其特征是，所述的模糊类与隶属度初始化模块包括：用户信任度模糊化单元、设备安全度模糊化单元和应用程序安全度模糊化单元，其中：用户信任度模糊化单元根据用户信任度数据，使用其隶属度函数进行模糊化处理，得到用户信任度的模糊类和隶属度；设备安全度模糊化单元根据设备安全度数据，使用其隶属度函数进行模糊化处理，得到设备安全度的模糊类和隶属度；应用程序安全度模糊化单元根据应用程序安全度数据，使用其隶属度函数进行模糊化处理，得到应用程序安全度的模糊类和隶属度。3.根据权利要求1所述的基于模糊推理的零信任系统主体信任度动态评估系统，其特征是，所述的会话安全模糊推理模块包括：会话安全模糊推理单元和会话安全模糊类隶属度计算单元，其中：会话模糊推理单元根据模糊类与隶属度初始化模块输出的信息，按照模糊推理规则集进行模糊推理，得到会话安全模糊类别；会话安全模糊类隶属度计算单元根据用户信任度、设备安全度和应用安全度的隶属度，按照取最小值的方法处理，得到会话安全模糊类的隶属度。4.根据权利要求1所述的基于模糊推理的零信任系统主体信任度动态评估系统，其特征是，所述的零信任会话安全度计算模块包括：会话安全模糊隶属度合并单元和会话安全度计算单元，其中：会话安全模糊隶属度合并单元根据模糊推理模块的输出结果，对照不同的会话安全模糊类，分别对其隶属度值进行汇总求和，得到不同会话安全模糊类的整体隶属度；会话安全度计算单元根据会话安全模糊类及其整体隶属度，使用质心计算方法对其进行处理，得到会话安全度的定量结果。5.根据权利要求1所述的基于模糊推理的零信任系统主体信任度动态评估系统，其特征是，所述的零信任主体信用动态调整模块包括：用户归一化信任度计算单元、用户信任度奖励单元以及用户信任度惩罚单元，其中：用户归一化信任度计算单元检索用户信任度当前值、历史信任度的最大值和最小值，进行极小极大归一化处理，得到用户归一化信任度；用户信任度奖励单元，根据得到的用户归一化信任度，计算用户成功访问后获得的信任度奖励值并对当前信任度增加该奖励值，得到动态调整后得用户信任度；用户信任度惩罚单元，根据得到的用户归一化信任度，计算用户未能获取访问、或者访问过程发生风险后的信任度惩罚值并，对当前信任度减去该惩罚值，得到动态调整后得用户信任度。6.一种基于权利要求1‑5中任一所述系统的基于模糊推理的信任度动态评估方法，其特征在于，包括以下步骤：步骤1)根据用户、设备、程序信息，进行访问主体模糊类初始化，得到用户、设备、程序的安全模糊类与隶属度；2CN1160