本發明涉及一種基于零信任和邊緣智能的物聯網持續認證方法，包括以下步驟：擴展零信任網絡架構的覆蓋維度，構建零信任網絡架構；基于零信任網絡架構建立零信任物聯網網絡；在零信任物聯網網絡運行狀態下收集各個維度的特征；構建基于神經網絡的邊緣智能決策模型，并利用各個維度的特征進行訓練；根據訓練得到的邊緣智能決策模型對網絡請求進行周期性的持續校驗，實現對網絡請求的持續認證。與現有技術相比，本發明具有網絡連接全周期動態校驗、網絡延時開銷小以及以物聯網核心資源為中心等優點。

技術領域

本發明涉及零信任物聯網和持續認證領域，尤其是涉及一種基于零信任和邊緣智能的物聯網持續認證方法。

背景技術

隨著物聯網在智能城市、公共服務和行業的快速發展，許多物聯網終端設備也迅速增加。由于物聯網終端設備通常部署在人們更易接觸到的地方，同時缺乏基本的網絡安全保護措施，物聯網設備及其生產或存儲的數據容易受到攻擊。攻擊者通常將易受攻擊的物聯網設備作為切入點，通過分布式拒絕服務(DDoS)或其他攻擊對更廣泛的網絡和物理實體發起攻擊。這些攻擊對經濟、個人安全和用戶隱私構成巨大威脅，例如Mirai?IoT僵尸網絡的互聯網服務提供商DYN攻擊。此外，由于智能城市和工業物聯網(IIoT)的實際需求，絕大多數物聯網設備部署在易受到攻擊/侵入的環境中，因此無法假設所有連接到網絡或訪問請求的設備都像以前一樣可信。同時，由于可能的內部管理漏洞，來自內部的安全威脅也無法保證被消除，這些事實意味著，在物聯網時代，網絡邊界的概念正在逐漸模糊甚至消失。因此，當下物聯網網絡不能僅利用防火墻和入侵檢測系統(IDS)來構建網絡安全保護，必須重新設計、評估和控制物聯網中用戶、請求和資源的權限和行為，以確保整個網絡系統的安全。

零信任架構(ZTA)被認為是物聯網安全和隱私保護需求的合適解決方案。零信任架構依照“從不信任，始終驗證”的安全原則，將網絡防御從信任區和網絡邊界的靜態劃分轉變為注重深入保護用戶、資產和資源的開放架構。零信任架構由用于通信控制的控制平面和用于承載應用程序數據的數據平面組成。主體(如客戶)在控制平面上提出訪問請求，然后由信任評估引擎和訪問控制引擎處理，以進行身份驗證和授權。一旦訪問請求獲得批準，系統將動態配置數據平面，并且訪問代理將接收來自主體的通信數據，以建立一次性安全連接。零信任架構在物聯網中越來越受歡迎，因為它的許多原則也可以應用于提高開放和動態網絡的安全性，包括智能建筑物聯網、智慧園區物聯網等等。然而，在現有零信任體系結構的設計中，首要考慮的仍然是主題和對象相對固定的場景，主體和客體的狀態、空間位置和物理環境的變化所造成的安全風險仍未完全涵蓋；同時，目前使用的認證方案仍為靜態認證方案，它規定服務器在每個會話開始時只驗證請求者一次，這很容易受到某些攻擊，例如會話劫持，因為它只在每個會話的開始時檢查用戶。上述問題使得零信任架構無法完全適應物聯網網絡的快速發展，必須對其進行改進和拓展。

發明內容

本發明的目的就是為了提供一種基于零信任和邊緣智能的物聯網持續認證方法，涵蓋更多維度的特征，提高認證準確率，并實現身份的持續認證。

本發明的目的可以通過以下技術方案來實現：

一種基于零信任和邊緣智能的物聯網持續認證方法，包括以下步驟：

擴展零信任網絡架構的覆蓋維度，構建零信任網絡架構；

基于零信任網絡架構建立零信任物聯網網絡；

在零信任物聯網網絡運行狀態下收集各個維度的特征；

構建基于神經網絡的邊緣智能決策模型，并利用各個維度的特征進行訓練；

根據訓練得到的邊緣智能決策模型對網絡請求進行周期性的持續校驗，實現對網絡請求的持續認證。

所述零信任網絡架構的覆蓋維度包括請求主體維度、請求客體維度、行為維度、環境維度以及物理實體維度。

所述請求主體維度指會話中發起請求的一方，主體維度的特征包括主體的身份、預設的權限；