一种区域现金中心行为零信任体系构建方法与系统与流程

本发明涉及零信任体系构建领域，尤其涉及一种区域现金中心行为零信任体系构建方法与系统。

背景技术：

1、随着数字化技术的快速发展，金融行业正经历着巨大变革，传统的现金中心逐渐转向数字化、智能化的方向。在这个过程中，信任体系和风险管理成为亟待解决的问题。针对该问题，本方案提出一种区域现金中心行为零信任体系构建方法，通过引入零信任技术，强调金融系统不信任任何内部或外部网络，要求验证所有用户和设备，从而确保网络安全，有助于提高数据和资金的安全性，减少潜在的风险。

技术实现思路

1、有鉴于此，本发明提供一种区域现金中心行为零信任体系构建方法，目的在于：1）将金融机构划分为不同行为信任域，采用同态加密的方式为每个行为信任域生成公钥分布，并从公钥分布中选取若干个公钥参数形成行为信任域的公钥，用户利用公钥生成自身密钥对，向行为信任域发起注册请求，行为信任域对用户进行验证，验证通过则生成用户的信任域签名密钥，将信任域签名密钥发送至用户进行注册，实现金融机构的区域划分以及用户注册，构建得到区域现金中心体系；2）在不同区域之间的零信任场景下，待跨域访问的用户生成自身的群签名，并将群签名以及访问行为发送至待访问的行为信任域，待访问的行为信任域对群签名进行验证，验证通过则接收访问行为，否则不接收，实现多重签名验证的访问请求通过，并对访问行为发起主体进行信任值计算，对访问行为自身进行权限值计算，得到行为信任域对访问行为的决策值，进而对访问行为进行决策，实现零信任体系下跨域访问流程构建。

2、为实现上述目的，本发明提供的一种区域现金中心行为零信任体系构建方法，包括以下步骤：

3、s1：构建不同区域的行为信任域，并生成行为信任域的注册表信息以及公钥；

4、s2：用户获取行为信任域的公钥，并利用公钥生成自身密钥对，向行为信任域发起注册请求，行为信任域对用户进行验证，验证通过则生成用户的信任域签名密钥，将信任域签名密钥发送至用户进行注册，并更新注册表信息；

5、s3：待跨域访问的用户生成自身的群签名，并将群签名以及访问行为发送至待访问的行为信任域，待访问的行为信任域对群签名进行验证，验证通过则接收访问行为，否则不接收；

6、s4：待访问的行为信任域对访问行为进行零信任场景下的信任值以及权限值计算，并根据计算结果生成对访问行为的决策。

7、作为本发明的进一步改进方法：

8、可选地，所述s1步骤中构建不同区域的行为信任域，包括：

9、构建不同区域的行为信任域，行为信任域中包括一名区域管理员以及若干用户，其中每个区域对应一个金融机构，其中所构建行为信任域的集合为：

10、；

11、其中：

12、表示所构建的第n个区域的行为信任域，n表示区域总数；

13、生成行为信任域的注册表以及公钥，其中行为信任域的注册表以及公钥生成流程为：

14、s11：初始化生成行为信任域的注册表，初始为空；

15、s12：生成长度为个比特的大素数，其中为区间范围内的任意素数，将大素数作为行为信任域的私钥，；

16、s13：构建行为信任域的公钥分布：

17、；

18、其中：

19、表示行为信任域的公钥分布；

20、表示从公钥分布中提取的公钥参数，z表示整数集；

21、为公钥分布的控制参数；

22、为集合中的任意整数，为集合中的任意整数；

23、s14：从公钥分布中随机提取len个公钥参数，取其中的最大公钥参数为，构成行为信任域的公钥：

24、 ；

25、其中：

26、为行为信任域的公钥；

27、表示所提取的第个公钥参数；

28、s15：生成均匀随机矩阵b、均匀随机矩阵b在实数集的有界分布作为公共参数，从有界分布以及分布中分别选取两个整数构成行为信任域的开放密钥。

29、可选地，所述s2步骤中用户获取行为信任域的公钥，并利用公钥生成自身密钥对，向行为信任域发起注册请求，包括：

30、用户user获取行为信任域的公钥，并利用公钥生成自身密钥对，向行为信任域发起注册请求，其中用户user向行为信任域发起注册请求的流程为：

31、s21：用户user获取行为信任域的公钥，从有界分布中随机选取整数作为用户user的私钥，并计算得到用户user的公钥；

32、s22：用户user利用公钥对注册请求消息进行加密，其中注册请求消息为用户user个人信息的二进制流，加密公式为：

33、 ；

34、其中：

35、表示注册请求消息的加密密文；

36、，表示取余符号；

37、s23：用户user将公钥以及加密密文发送至行为信任域，行为信任域对用户user进行验证，验证通过则生成用户user的信任域签名密钥，将信任域签名密钥发送至用户user进行注册，并更新注册表信息。

38、可选地，所述行为信任域对用户进行验证，验证通过则生成用户的信任域签名密钥，将信任域签名密钥发送至用户进行注册，并更新注册表信息，包括：

39、行为信任域对用户user进行验证，其中验证流程为：

40、行为信任域中的区域管理员接收公钥以及加密密文，计算，若计算结果在有界分布范围内，则对加密密文进行解码，其中解码公式为：

41、；

42、若成功解码，则根据解码得到的注册请求消息，检查用户user是否存在于n个行为信任域的注册表中，若不存在则验证通过，否则行为信任域中的区域管理员向用户user发送未验证通过的回复消息；

43、验证通过则生成用户user的信任域签名密钥，将信任域签名密钥发送至用户user进行注册，并更新注册表信息，其中信任域签名密钥的生成流程为：

44、生成用户user的标签序列：

45、 ；

46、其中：

47、表示行为信任域所生成用户user的标签序列，表示行为信任域所生成用户user的第个标签；

48、利用行为信任域的签名密钥生成用户user的信任域签名密钥：

49、 ；

50、 ；

51、将信任域签名密钥发送至用户user，用户user利用信任域签名密钥在行为信任域进行注册，并将用户user的信任域签名密钥以及解码得到的注册请求消息添加至注册表中。

52、可选地，所述s3步骤中待跨域访问的用户生成自身的群签名，并将群签名以及访问行为发送至待访问的行为信任域，包括：

53、行为信任域中待跨域访问的用户user生成自身的群签名，将群签名以及访问行为发送至待访问的行为信任域，其中群签名的生成流程为：

54、从有界分布中抽取整数，并构建用户user的签名向量：

55、 ；

56、 ；

57、其中：

58、表示用户user的签名向量；

59、构建用户user的群签名：

60、 ；

61、待访问的行为信任域对群签名进行验证，验证通过则接收访问行为，否则不接收，其中。

62、可选地，所述待访问的行为信任域对群签名进行验证，验证通过则接收访问行为，否则不接收，包括：

63、行为信任域对群签名进行验证的流程为：

64、行为信任域中的区域管理员接收群签名，并验证是否为行为信任域以及用户user所公开的公钥，若验证成功则对信任域签名密钥进行合法性检验，其中合法性检验形式为区域管理员判断信任域签名密钥的格式是否正确；

65、合法性检验成功后，则计算签名向量，其中签名向量的计算流程为：

66、计算，将计算结果转换为{-1,0,1}分布的向量，其中计算结果的系数更接近-1则转换为-1，更接近0则转换为0，更接近1则转换为1；

67、利用抗冲突哈希函数分别将向量以及信任域签名密钥转换为哈希值，并计算两者的汉明距离，若汉明距离小于预设的距离阈值，则验证通过，并接收用户user的访问行为，其中访问行为为查看行为信任域中不同级别用户的现金交易记录。

68、可选地，所述s4步骤中待访问的行为信任域对访问行为进行零信任场景下的信任值以及权限值计算，包括：

69、待访问的行为信任域对访问行为进行零信任场景下的信任值以及权限值计算，其中零信任场景下信任值以及权限值的计算流程为：

70、s41：计算得到用户user的历史信任值：

71、 ；

72、 ；

73、其中：

74、表示用户user的历史信任值；

75、k表示用户user的历史访问次数，表示用户user第k次访问行为的访问情况，表示用户user完成第k次访问行为，表示用户user未完成第k次访问行为；

76、表示衰减参数；

77、表示对用户user第k次访问行为的信任衰减系数；

78、s42：计算得到用户user的当前信任值：

79、 ；

80、其中：

81、表示用户user的当前信任值；

82、表示从行为信任域发起的访问行为次数，从行为信任域发起的访问行为完成次数；

83、表示行为信任域的现金交易总量；

84、表示标准当前信任值；

85、s43：计算得到访问行为对应的权限值：

86、 ；

87、其中：

88、表示行为信任域中的现金交易记录总数，表示行为信任域中访问行为可以访问的现金交易记录数；

89、表示访问行为对应的权限值；

90、根据信任值以及权限值生成行为信任域对访问行为的决策。

91、可选地，所述根据信任值以及权限值生成对访问行为的决策，包括：

92、根据信任值以及权限值生成行为信任域对访问行为的决策，其中行为信任域对访问行为的决策值为：

93、 ；

94、其中：

95、表示行为信任域对访问行为的决策值；

96、表示爆炸系数；

97、若决策值高于预设阈值，则表示行为信任域允许访问行为，否则表示行为信任域不允许访问行为。

98、为了解决上述问题，本发明提供一种区域现金中心行为零信任体系构建系统，其特征在于，所述系统包括：

99、行为信任域构建模块，用于构建不同区域的行为信任域，并生成行为信任域的注册表信息以及公钥；

100、用户注册模块，用户获取行为信任域的公钥，并利用公钥生成自身密钥对，向行为信任域发起注册请求，行为信任域对用户进行验证，验证通过则生成用户的信任域签名密钥，将信任域签名密钥发送至用户进行注册，并更新注册表信息；

101、跨域访问装置，用于待跨域访问的用户生成自身的群签名，并将群签名以及访问行为发送至待访问的行为信任域，待访问的行为信任域对群签名进行验证，验证通过则接收访问行为，否则不接收，待访问的行为信任域对访问行为进行零信任场景下的信任值以及权限值计算，并根据计算结果生成对访问行为的决策。

102、为了解决上述问题，本发明还提供一种电子设备，所述电子设备包括：

103、存储器，存储至少一个指令；

104、通信接口，实现电子设备通信；及处理器，执行所述存储器中存储的指令以实现上述所述的区域现金中心行为零信任体系构建方法。

105、为了解决上述问题，本发明还提供一种计算机可读存储介质，所述计算机可读存储介质中存储有至少一个指令，所述至少一个指令被电子设备中的处理器执行以实现上述所述的区域现金中心行为零信任体系构建方法。

106、相对于现有技术，本发明提出一种区域现金中心行为零信任体系构建方法，该技术具有以下优势：

107、首先，本方案提出一种行为信任域构建方式以及用户注册方法，构建不同区域的行为信任域，行为信任域中包括一名区域管理员以及若干用户，其中每个区域对应一个金融机构，其中所构建行为信任域的集合为：

108、；

109、其中：表示所构建的第n个区域的行为信任域，n表示区域总数；生成行为信任域的注册表以及公钥，其中行为信任域的注册表以及公钥生成流程为：初始化生成行为信任域的注册表，初始为空；生成长度为个比特的大素数，其中为区间范围内的任意素数，将大素数作为行为信任域的私钥，；构建行为信任域的公钥分布：

110、；

111、其中：表示行为信任域的公钥分布；表示从公钥分布中提取的公钥参数，z表示整数集；为公钥分布的控制参数；为集合中的任意整数，为集合中的任意整数；从公钥分布中随机提取len个公钥参数，取其中的最大公钥参数为，构成行为信任域的公钥：

112、 ；

113、其中：为行为信任域的公钥；表示所提取的第个公钥参数；生成均匀随机矩阵b、均匀随机矩阵b在实数集的有界分布作为公共参数，从有界分布以及分布中分别选取两个整数构成行为信任域的开放密钥。用户user获取行为信任域的公钥，并利用公钥生成自身密钥对，向行为信任域发起注册请求，其中用户user向行为信任域发起注册请求的流程为：用户user获取行为信任域的公钥，从有界分布中随机选取整数作为用户user的私钥，并计算得到用户user的公钥；用户user利用公钥对注册请求消息进行加密，其中注册请求消息为用户user个人信息的二进制流，加密公式为：

114、 ；

115、其中：表示注册请求消息的加密密文；，表示取余符号；用户user将公钥以及加密密文发送至行为信任域，行为信任域对用户user进行验证，验证通过则生成用户user的信任域签名密钥，将信任域签名密钥发送至用户user进行注册，并更新注册表信息。本方案将金融机构划分为不同行为信任域，采用同态加密的方式为每个行为信任域生成公钥分布，并从公钥分布中选取若干个公钥参数形成行为信任域的公钥，用户利用公钥生成自身密钥对，向行为信任域发起注册请求，行为信任域对用户进行验证，验证通过则生成用户的信任域签名密钥，将信任域签名密钥发送至用户进行注册，实现金融机构的区域划分以及用户注册，构建得到区域现金中心体系。

116、同时，本方案提出一种零信任环境下的跨域访问流程，行为信任域中待跨域访问的用户user生成自身的群签名，将群签名以及访问行为发送至待访问的行为信任域，其中群签名的生成流程为：从有界分布中抽取整数，并构建用户user的签名向量：

117、 ；

118、 ；

119、其中：表示用户user的签名向量；构建用户user的群签名：

120、 ；

121、待访问的行为信任域对群签名进行验证，验证通过则接收访问行为，否则不接收，其中。行为信任域对群签名进行验证的流程为：行为信任域中的区域管理员接收群签名，并验证是否为行为信任域以及用户user所公开的公钥，若验证成功则对信任域签名密钥进行合法性检验，其中合法性检验形式为区域管理员判断信任域签名密钥的格式是否正确；合法性检验成功后，则计算签名向量，其中签名向量的计算流程为：

122、计算，将计算结果转换为{-1,0,1}分布的向量，其中计算结果的系数更接近-1则转换为-1，更接近0则转换为0，更接近1则转换为1；利用抗冲突哈希函数分别将向量以及信任域签名密钥转换为哈希值，并计算两者的汉明距离，若汉明距离小于预设的距离阈值，则验证通过，并接收用户user的访问行为，其中访问行为为查看行为信任域中不同级别用户的现金交易记录。在不同区域之间的零信任场景下，待跨域访问的用户生成自身的群签名，并将群签名以及访问行为发送至待访问的行为信任域，待访问的行为信任域对群签名进行验证，验证通过则接收访问行为，否则不接收，实现多重签名验证的访问请求通过，并对访问行为发起主体进行信任值计算，对访问行为自身进行权限值计算，得到行为信任域对访问行为的决策值，进而对访问行为进行决策，实现零信任体系下跨域访问流程构建。