一种信任度评估系统的制作方法

本申请涉及通信，尤其涉及一种信任度评估系统。

背景技术：

1、随着企业内外部高效协作需求日益频繁，传统静态防护的防护边界越来越不能适应安全防护的需求，零信任技术被广泛地应用采用。

2、现有技术提供的零信任方案源自某标准中推荐的架构，分为控制平面和数据平面，控制平面负责访问控制的决策，由策略引擎(policy engine，pe)和策略管理(policyadministrator，pa)两个模块组成，数据平面由策略执行点(policy enforcement point，pep)实现对资源的访问控制，其中：

3、策略引擎(pe)：该组件负责针对特定主体对资源的访问请求做出最终决定。策略引擎使用企业策略以及外部来源(例如持续诊断和缓解系统、威胁情报服务)作为信任算法的输入，用于授予、拒绝或撤销对资源的访问权限。策略引擎与策略管理配对使用，策略引擎制定并记录决定(批准或拒绝)，而策略管理执行该决定。

4、策略管理(pa)：该组件负责建立和/或关闭主体与资源之间的通信路径(通过命令发送给相关策略执行点pep)。该组件还可以生成客户端用于访问企业资源的会话特定身份验证和身份验证令牌或凭据。它与策略引擎pe密切相关，并依赖于策略引擎pe最终允许或拒绝会话的决定。如果会话经过授权并且请求经过认证，策略管理员配置策略执行点pep以允许该会话启动。如果会话被拒绝(或以前的批准被撤销)，策略管理员向策略执行点pep发出关闭连接的信号。

5、策略执行点(pep)：用于负责启用、监控并最终终止主体与企业资源之间的连接。策略执行点pep与策略管理pa进行通信，以转发请求和/或从pa接收策略更新。在零信任体系结构中，这是一个单一的逻辑组件，但可以分解为两个不同的组件：客户端(例如笔记本电脑上的代理程序)和资源方(例如资源前面控制访问的网关组件)或一个作为通信路径的门卫的单一门户组件。pep之外是托管企业资源的信任区域。

6、但是，上述架构中，访问请求的决定为策略引擎根据对访问请求进行信任度评估计算的评估结果作出的，而集中式计算会导致策略引擎计算任务过重，在高并发下容易造成计算拥塞，成为影响性能的瓶颈因素；另外也容易造成单点故障。此外，采用集中式的信任度评估计算，没有实现信任度评估计算的分层解耦，导致在增加新的分析数据维度或者需要扩展设备性能和能力时，数据之间互相耦合，难以扩展和维护。

7、因此，如何实现信任度评估计算的分层解耦，避免集中式计算所导致的计算任务过重和计算拥塞等问题是值得考虑的技术问题之一。

技术实现思路

1、有鉴于此，本申请提供一种信任度评估系统，用以实现信任度评估计算的分层解耦，避免集中式计算所导致的计算任务过重和计算拥塞的问题。

2、具体地，本申请是通过如下技术方案实现的：

3、根据本申请提供的一种信任度评估系统，包括：策略管理组件、综合评估引擎、第一评估引擎、第二评估引擎，其中：

4、所述策略管理组件，用于在接收到策略执行点发送的用户的访问请求后，向综合评估引擎发送信任度评估请求；

5、所述综合评估引擎，用于在接收到所述信任度评估请求后，向所述第一评估引擎发送信任度评估指令；

6、所述第一评估引擎，用于在接收到所述信任度评估指令时，基于从所述访问请求中获取到的待评估信息，对所述用户进行信任度评估，得到第一评估结果；并将所述第一评估结果发送给所述综合评估引擎；

7、所述综合评估引擎，还用于在接收到所述信任度评估请求后，获取所述第二评估引擎预先基于所述用户的状态评估信息对所述用户进行信任度评估的第二评估结果；

8、所述综合评估引擎，还用于根据所述第一评估结果和所述第二评估结果，得到所述用户的信任度评估结果；并将所述信任度评估结果发送给所述策略管理组件；

9、所述策略管理组件，还用于根据接收到的所述信任度评估结果和安全访问控制策略，生成所述用户的访问控制指令；将所述访问控制指令发送给所述策略执行点，以使所述策略执行点根据所述访问控制指令对所述用户的访问请求进行访问控制。

10、本申请实施例的有益效果：

11、本申请实施例提供的信任度评估系统中，不仅实现了用户的信任度的评估，而且本申请在计算信任度评估结果时，各部件(组件和引擎)各司其职，从而实现了对信任度评估的解耦，避免了集中式计算所导致的计算计算任务过重和计算拥塞的问题发生。此外，本申请中，将信任度评估划分为实时计算和非实时计算，而非实时计算为第二评估引擎预先计算得到的，从而也实现了实时和非实时的解耦，而且也提升了信任度评估的计算效率。

技术特征：

1.一种信任度评估系统，其特征在于，包括：策略管理组件、综合评估引擎、第一评估引擎、第二评估引擎，其中：

2.根据权利要求1所述的系统，其特征在于，

3.根据权利要求1所述的系统，其特征在于，

4.根据权利要求1所述的系统，其特征在于，所述系统，还包括：

5.根据权利要求4所述的系统，其特征在于，

6.根据权利要求4所述的系统，其特征在于，

7.根据权利要求4所述的系统，其特征在于，

8.根据权利要求2所述的系统，其特征在于，还包括：

9.根据权利要求3所述的系统，其特征在于，还包括：

10.根据权利要求1所述的系统，其特征在于，

11.根据权利要求10所述的系统，其特征在于，还包括：

12.根据权利要求1所述的系统，其特征在于，

13.根据权利要求1所述的系统，其特征在于，

技术总结本申请提供了一种信任度评估系统，涉及通信技术领域。通过提供该系统，不仅实现了用户的信任度的评估，而且本申请在计算信任度评估结果时，各部件(组件和引擎)各司其职，从而实现了对信任度评估的解耦，避免了集中式计算所导致的计算计算任务过重和计算拥塞的问题发生。此外，本申请中，将信任度评估划分为实时计算和非实时计算，而非实时计算为第二评估引擎预先计算得到的，从而也实现了实时和非实时的解耦，而且也提升了信任度评估的计算效率。技术研发人员：王健,付志强,王其勇受保护的技术使用者：新华三技术有限公司技术研发日：技术公布日：2024/8/5