CN116389114B - 一种静态与动态身份一致性验证方法及*** - Google Patents

Abstract

本发明公开了一种静态与动态身份一致性验证方法及***，静态与动态身份一致性验证方法，包括：静态身份验证阶段和动态身份验证阶段；其中静态身份验证阶段用于对登录用户的初次身份验证，可以根据需要配置口令、动态短信密码、人脸识别、数字证书或引用的第三方身份验证等静态身份验证方式对用户进行单因素或多因素的静态一次性身份验证；动态身份验证阶段基于对生物行为特征的持续检测来进行身份验证，使用改进Kmeans算法进行聚类分析，同时基于可信度修正进行不确定性推理，随后使用参数优化后的XGBoost算法进行模型训练与匹配，得到最终动态身份可信度，最后基于结果执行授权访问或是退出到静态验证阶段进行再次验证，以此提高零信任***的安全性及合理性。

Description

一种静态与动态身份一致性验证方法及***

技术领域

本发明涉及一种静态与动态身份一致性验证方法及***，属于零信任及网络安全技术领域。

背景技术

云计算和大数据时代，网络安全边界逐渐瓦解，内外部威胁愈演愈烈，传统的边界安全架构难以应对，零信任安全架构应运而生。零信任安全架构基于“以身份为基石、业务安全访问、持续信任评估、动态访问控制”四大关键能力，是构筑以身份为基石的动态虚拟边界的解决方案，是实现全面身份化、授权动态化、风险度量化、管理自动化的新一代网络安全架构。

零信任的本质是以身份认证为基石进行动态访问控制，全面身份化是实现零信任的前提和基石，因此用户身份验证的准确性直接关乎零信任***的安全性。传统的身份验证以静态验证方式为主，基于口令的单因素识别方式是其典型代表，但随着计算机性能和相关技术的发展，仅仅通过暴力破解便能破解大多数基于此种验证方式的***。随后便出现了利用诸如指纹、声音、视网膜等生物特征以及使用智能卡、***等独有设备来进行验证的方式，虽然这两种方式在一定程度上加强了对用户身份验证的可靠性，但因其对设备的特殊要求，存在着一定的局限性。

除此之外，这些身份验证方式都一次验证方式，即用户成功登录***后，直至退出都将拥有相应的权限。而零信任强调的则是持续的信任评估，因此，动态的持续身份验证技术对于零信任***来说必不可少。现有的动态持续身份验证方式大多基于对生物行为特征的持续监测，例如击键动态特征、触摸屏动态、眼球运动、步态等。此类身份验证***具备无干扰性，提高用户体验以及针对网络攻击的无漏洞性等优点，能够提供更高级别的安全性。但仅仅依据个体的行为特征进行用户的身份验证及识别，仍然具有一定的局限性，例如，在光照充足的白天，通过摄像头可以清晰的识别用户的面部表情，而在黑暗的夜晚，对于面部表情的识别则具有一定的模糊性。同时持续的动态验证也会在一定程度上影响***的性能。针对这一现状，开展静态与动态身份融合验证技术的研究，是本领域亟需解决的问题。

发明内容

发明目的：本发明针对现有的身份一致性验证方案，提出一种更加安全合理的身份一致性验证方案。

现有的静态身份验证方案依靠口令、指纹、智能卡等方式对用户进行验证，但这种方式均是一次性验证方式，并且对设备也有一定的要求，并不符合零信任理念，且现有的动态身份验证以对生物行为特征的检测来进行身份验证，并没有考虑到环境等上下文信息，仍有一定的局限性。为此，本发明提出了一种静态与动态身份一致性验证方法，可以根据需要配置口令、动态短信密码、人脸识别、数字证书或引用的第三方身份验证等方式对用户进行单因素或多因素的静态一次性身份验证，随后便基于对生物行为特征的持续检测来动态持续身份验证，对用户数据进行持续检测，使用改进Kmeans算法进行聚类分析，同时基于可信度修正进行不确定性推理，随后使用参数优化后的XGBoost算法进行模型训练与匹配，得到最终动态身份可信度，最后基于结果执行授权访问或是退出到静态验证阶段进行再次验证，以此提高零信任***的安全性及合理性。

为解决上述技术问题，本发明所采用的技术方案如下：

一种静态与动态身份一致性验证方法，包括：静态身份验证阶段和动态身份验证阶段；其中静态身份验证阶段用于对登录用户的初次身份验证，可以根据需要配置口令、动态短信密码、人脸识别、数字证书或引用的第三方身份验证等静态身份验证方式对用户进行单因素或多因素的静态一次性身份验证；动态身份验证阶段基于对生物行为特征的持续检测来进行身份验证，使用改进Kmeans算法进行聚类分析，同时基于可信度修正进行不确定性推理，随后使用参数优化后的XGBoost算法进行模型训练与匹配，得到最终动态身份可信度，最后基于结果执行授权访问或是退出到静态验证阶段进行再次验证，以此提高零信任***的安全性及合理性。

上述静态与动态身份一致性验证方法，具体包括如下步骤：

步骤一：进行***配置，配置静态身份验证方式，可选择一种或两种以上静态身份验证方式来进行单因素或多因素的验证；

步骤二：根据配置对用户进行身份验证，并判断用户登录时间有无超过时间期限t，若没超过，则转到下一步骤，否则返回重新登录；

步骤三：持续不间断的采集用户信息数据，用户信息数据包括用户行为特征以及上下文信息；

步骤四：使用改进Kmeans算法对用户信息数据进行聚类分析；

步骤五：基于可信度修正的方式将聚类分析的结果进行可信度修正，并利用修正后的知识可信度值来计算动态身份验证结论的综合可信度，得到用于训练预测的监督数据集；

步骤六：将监督数据集形式化表示并将75％数据作为训练集输入训练参数优化后的XGBoost模型，然后利用测试集对用户身份验证结论的可信度进行预测；

步骤七：比较预测的结论可信度与预设的可信阈值λ，若结论可信度大于可信阈值λ，则判断用户可信，用户可继续访问***；若结论可信度小于可信阈值λ，则判断用户不可信，终止用户的访问并退回进行静态身份验证。

由于Kmeans算法对初始中心敏感，聚类结果很难找到全局最优解，因此使用花授粉算法对其进行优化改进。改进的Kmeans算法具体如下：

(1)初始化FPA(花授粉算法)控制参数，控制参数有种群大小N、最大迭代次数Maxgen和转换概率p；

(2)初始化种群，根据给定的上下界随机生成初始解x₁,x₂,...,x_n，并计算其相应的适应度值；

(3)根据初始种群及其适应度值找出最佳解决方案g*及其适应度值f(g*)；

(4)生成新的种群，根据转换概率p∈[0,1]的值来确定采用全局搜索还是局部搜索，当生成的随机数rand∈U[0,1]小于p时，采用全局搜索策略，否则采用局部搜索策略，公式如下：

其中，表示当花粉个体在花授粉算法中进行全局或局部搜索环节时，花粉个体i进行第t次迭代更新后的具体花粉位置；/>和/>表示花粉种群中的任意两个花粉个体在第t次迭代更新时的具体花粉位置，同时这两个花粉位置的选取是随机的且不同于花粉i的具***置；而ε∈U[0，1]；γ是步长控制因子；参数L表示授粉强度，本质上是一个步长，服从莱维分布，公式如下：

λ为常数，在该算法中取λ＝1.5；Γ(λ)为标准伽马函数；s₀是最小步长；s是步长，计算公式如下：

其中，μ和ν为两个随机数且服从标准正态分布μ～N(0,σ²)，ν～N(0,1)，其中方差σ²是通过以下公式得到：

(5)更新种群和最佳解决方案，根据适应度值，替换比存储的解决方案质量更好的新解决方案，并获得最佳解决方案g*；

(6)检查停止标准，重复执行步骤(4)、(5)，直到达到最大迭代数，此时的解即为初始聚类中心m_k；

(7)计算每个样本x和聚类中心m_k之间的欧式距离其中x_i是样本x的第i个特征，m_ki是聚类中心m_k的第i个特征。

(8)将各样本划分进与其距离最近的聚类中心m_k所对应的簇C_k；

(9)计算每个聚簇中所有样本的均值，更新聚类中心；

(10)重复(7)、(8)、(9)直到聚类中心无变化；

(11)根据类别进行标记处理，得到用户各类别信息数据。

上述可信度修正算法如下：

(1)设CE_x＝{C₁,C₂,...,C_n}为当前访问用户的用户信息数据，用户信息数据包含用户行为信息及其上下文信息，其中C_i,i＝1,2,...,n为信息参数；

(2)提供衡量各信息对用户身份验证结果的知识可信度CF(X,C_i)，其值介于-1到1之间，值1表示极度可信，值-1表示极度不可信，提供各信息的重要性权值w_i，其中

(3)计算知识的平均可信度

(4)计算各信息的知识可信度与知识平均可信度之间的距离：

(5)计算知识的可信度修正值：

综合可信度的具体算法如下：

(1)提供各信息的可信度CF(C_i)；

(2)计算每个信息单独作用时用户身份验证结果的可信度CF_i(X)＝CF(C_i)CF′(X,C_i)；

(3)以如下公式将第一条知识和第二条知识合成，随后将合成后的知识与第三条知识合成，以此类推，最终得到结论的综合可信度：

一种静态与动态身份一致性验证***，包括：静态验证模块、采集模块、数据处理模块、训练预测模块和结果执行模块；

静态验证模块，用于对登录用户的初次身份验证，可以根据需要配置口令、动态短信密码、人脸识别、数字证书或引用的第三方身份验证等静态身份验证方式对用户进行单因素或多因素的静态一次性身份验证；

也即上述静态验证模块用于对登录用户身份的初次验证，可以使用软件口令的方式，让用户提供所需的账户密码来进行身份验证；或使用硬件智能卡的方式，将其***专用设备中进行读取来进行身份验证；或使用生物识别的方式，将用户的指纹、掌型、视网膜、虹膜等生物特征与数据库中的数据进行比较来进行身份验证等等。另外，所述静态验证模块还可以与第三方***进行通讯，引用第三方***的提供的静态身份验证方式。静态验证模块不仅仅可以进行上述单因素身份验证，而且可以通过配置多个方式来进行多因素的静态身份验证。

由于静态验证方式是一次性验证方式，即验证成功后便可以访问***中的资源。因此为了保证***的安全性，需要设置一个时间期限t，当用户登录时间超过这个时间期限时，需要重新进行静态身份验证。

采集模块，用于对用户行为特征及其上下文信息进行持续性采集，并将采集的数据存储于数据库中，以供其他模块使用；这是对用户进行持续身份验证的第一步。通过传感器等设备采集各种各样的用户操作信息，包括认证频次、登录时间、海外IP访问等；以及用户行为信息，包括击键动态、身体姿势、眼运、步行步态等。收集的不仅包括用户数据，还包括环境上下文，位置上下文，时间上下文以及与每个身份验证或访问尝试相关的任何其他上下文信息，并将这些信息将存储在数据库中。

数据处理模块，用于对采集的原始数据进行预处理，通过改进的Kmeans算法对用户数据信息进行聚类分析，基于可信度修正的方式对用户行为特征及其上下文信息等知识进行可信度修正，并利用修正后的知识可信度值来计算动态身份验证结论的综合可信度；

上述数据处理模块主要对采集的原始数据进行预处理，进行min-max标准化处理，同时处理丢失的数据，丢弃噪声和冗余数据，并整合来自不同来源的数据。随后通过改进的Kmeans算法对用户数据信息进行聚类分析，对数据的不平衡进行处理，根据类别进行标记处理。考虑到采集信息的可靠性对结论的不同影响，基于可信度修正的方式对用户及其上下文信息等知识进行可信度修正，并利用修正后的知识可信度值来计算动态身份验证结论的综合可信度，得到用于训练预测的监督数据集。

训练预测模块，采用XGBOOST算法进行模型训练，并将训练后的模型用于预测用户动态身份验证结果；

结果执行模块，用于将模型预测的用户动态身份验证结论可信度与设定的可信阈值λ进行比较，以判断动态身份验证结果，同时将用户行为、上下文信息、静态验证结果和动态验证结果等信息进行展示。

本发明所公开的结果处理模块通过将模型预测的用户动态身份验证结论可信度与设定的可信阈值λ进行比较，当结论可信度大于等于λ时，则验证成功，执行授权访问；否则验证失败，同时退出到静态验证阶段进行再次验证。同时结果处理模块还将用户行为、上下文信息、静态验证结果、动态验证结果等信息进行展示，用于辅助管理员更好地分析处理。

由于Kmeans算法对初始中心敏感，聚类结果很难找到全局最优解，因此使用花授粉算法对其进行优化改进。改进的Kmeans算法具体如下：

(1)初始化FPA控制参数，控制参数有种群大小N、最大迭代次数Maxgen和转换概率p；

(2)初始化种群，根据给定的上下界随机生成初始解x₁,x₂,…,x_n，并计算其相应的适应度值；

(3)根据初始种群及其适应度值找出最佳解决方案g*及其适应度值f(g*)；

(4)生成新的种群，根据转换概率p∈[0,1]的值来确定采用全局搜索还是局部搜索，当生成的随机数rand∈U[0,1]小于p时，采用全局搜索策略，否则采用局部搜索策略，公式如下：

其中，表示当花粉个体在花授粉算法中进行全局或局部搜索环节时，花粉个体i进行第t次迭代更新后的具体花粉位置；/>和/>表示花粉种群中的任意两个花粉个体在第t次迭代更新时的具体花粉位置，同时这两个花粉位置的选取是随机的且不同于花粉i的具***置。而ε∈U[0，1]，γ是步长控制因子，参数L表示授粉强度，本质上是一个步长，服从莱维分布，公式如下：

λ为常数，在该算法中取λ＝1.5；Γ(λ)为标准伽马函数；s₀是最小步长；s是步长，计算公式如下：

其中，μ和ν为两个随机数且服从标准正态分布μ～N(0,σ²)，ν～N(0,1)，其中方差σ²是通过以下公式得到：

(5)更新种群和最佳解决方案，根据适应度值，替换比存储的解决方案质量更好的新解决方案，并获得最佳解决方案g*；

(6)检查停止标准，重复执行步骤(4)、(5)，直到达到最大迭代数，此时的解即为初始聚类中心m_k；

(7)计算每个样本x和聚类中心m_k之间的欧式距离其中x_i是样本x的第i个特征，m_ki是聚类中心m_k的第i个特征。

(8)将各样本划分进与其距离最近的聚类中心m_k所对应的簇C_k；

(9)计算每个聚簇中所有样本的均值，更新聚类中心；

(10)重复(7)、(8)、(9)直到聚类中心无变化；

(11)根据类别进行标记处理，得到用户各类别信息数据。

上述可信度修正算法如下：

(1)设CE_x＝{C₁,C₂,...,C_n}为当前访问的用户的用户信息数据，用户信息数据包含用户行为信息及其上下文信息，其中C_i,i＝1,2,...,n为信息参数；

(2)提供衡量各信息对用户身份验证结果的知识可信度CF(X,C_i)，其值介于-1到1之间，值1表示极度可信，值-1表示极度不可信，提供各信息的重要性权值w_i，其中

(3)计算知识的平均可信度

(4)计算各信息的知识可信度与知识平均可信度之间的距离：

(5)计算知识的可信度修正值：

综合可信度的具体算法如下：

(1)提供各信息的可信度CF(C_i)；

(2)计算每个信息单独作用时用户身份验证结果的可信度CF_i(X)＝CF(C_i)CF′(X,C_i)；

(3)以如下公式将第一条知识和第二条知识合成，随后将合成后的知识与第三条知识合成，以此类推，最终得到结论的综合可信度：

上述训练预测模块采用XGBoost算法进行模型训练，将用户行为数据和上下文信息形式化表示成如下形式：

其中X_i(i＝1,2,…,n)表示前提；Y_j(j＝1,2,…,m)表示结论；是可信度因子，表示相关前提的可信程度，以75％数据作为训练集输入XGBoost模型进行训练，最后将其用于预测用户动态身份验证结果。

由于XGBoost模型参数值会极大地影响其准确性，因此参数的最优化是模型训练中重要的步骤。同样使用花授粉算法解决全局优化问题，对基分类器个数、学习率、最大树深和最小叶子权重等参数进行优化、从而提升模型的准确度。

本发明未提及的技术均参照现有技术。

本发明静态与动态身份一致性验证方法和***，将静态验证方式与动态验证方式相结合，能够适应大多数场景，具备持续身份一致性验证能力，提高零信任***的安全性，符合零信任理念；使用花授粉算法对Kmeans和XGBoost算法进行参数调优，提高算法的准确度；使用基于可信度修正的方式来优化前提与结论的可信度，避免因设备采集等因素对身份验证准确率的影响；动态持续身份验证时不需要用户进行额外的认证行为，对用户完全透明，提高用户体验。

附图说明

图1为本发明所述的身份验证***的处理流程图。

图2为本发明所述的模块关系图。

图3为本发明所述的改进Kmeans算法流程图。

具体实施方式

为了更好地理解本发明，下面结合实施例进一步阐明本发明的内容，但本发明的内容不仅仅局限于下面的实施例。

一种静态与动态身份一致性验证方法，包括静态身份验证阶段和动态身份验证阶段。其中静态身份验证阶段用于对登录用户的初次身份验证，可以根据需要配置口令、动态短信密码、人脸识别、数字证书或引用的第三方身份验证等方式对用户进行单因素或多因素的静态一次性身份验证。动态身份验证阶段对用户行为信息和上下文信息进行持续性采集和分析，使用改进Kmeans算法进行聚类分析，同时基于可信度修正进行不确定性推理，随后使用参数优化后的XGBoost算法进行模型训练与预测，得到最终动态身份可信度。最后基于结果执行授权访问或是退出到静态验证阶段进行再次验证。

图1所示的是本发明所述的身份验证***的处理流程图。

步骤S101：进行***配置，配置静态身份验证方式，可选择一种或两种以上静态身份验证方式来进行单因素或多因素的验证。

步骤S102：根据配置对用户进行身份验证，并判断用户登录时间有无超过时间期限，若没超过，则转到下一步骤；否则返回重新登录。

步骤S103：持续不间断的采集用户信息数据，用户信息数据包括用户行为特征以及上下文信息。

步骤S104：进行数据预处理，使用改进Kmeans算法对用户信息数据进行聚类分析。

步骤S105：基于可信度修正的方式将聚类分析的结果进行可信度修正，并利用修正后的知识可信度值来计算动态身份验证结论的综合可信度，得到用于训练预测的监督数据集。

步骤S106：将监督数据集形式化表示、并将75％数据作为训练集输入训练参数优化后的XGBoost模型，然后利用测试集对用户身份验证的结论可信度进行预测。

步骤S107：通过比较预测的结论可信度与预设的可信阈值λ，若结论可信度大于可信阈值λ，则判断用户可信，用户可继续访问***；若结论可信度小于可信阈值λ，则判断用户不可信，终止用户的访问并退回进行静态身份验证。

图2所示的是本发明所述的模块结构图。具体包含静态验证模块、采集模块、数据处理模块、训练预测模块和结果执行模块。

静态验证模块，该模块用于对登录用户的初次身份验证，可以根据需要配置口令、动态短信密码、人脸识别、数字证书或引用的第三方身份验证等方式对用户进行单因素或多因素的静态一次性身份验证。

也即上述静态验证模块用于对登录用户身份的初次验证，可以使用软件口令的方式，让用户提供所需的账户密码来进行身份验证；或使用硬件智能卡的方式，将其***专用设备中进行读取来进行身份验证；或使用生物识别的方式，将用户的指纹、掌型、视网膜、虹膜等生物特征与数据库中的数据进行比较来进行身份验证等等。另外，所述静态验证模块还可以与第三方***进行通讯，引用第三方***的提供的静态身份验证方式。静态验证模块不仅仅可以进行上述单因素身份验证，而且可以通过配置多个方式来进行多因素的静态身份验证。

由于静态验证方式是一次性验证方式，即验证成功后便可以访问***中的资源。因此为了保证***的安全性，需要设置一个时间期限t，当用户登录时间超过这个时间期限时，需要重新进行静态身份验证。

采集模块，该模块用于对用户行为特征及其上下文信息进行持续性采集，并将采集的数据存储于数据库中，以供其他模块使用。这是对用户进行持续身份验证的第一步。通过传感器等设备采集各种各样的用户操作信息，包括认证频次、登录时间、海外IP访问等；以及用户行为信息，包括击键动态、身体姿势、眼运、步行步态等。收集的不仅包括用户数据，还包括环境上下文，位置上下文，时间上下文以及与每个身份验证或访问尝试相关的任何其他上下文信息，并将这些信息将存储在数据库中。

数据处理模块，用于对采集的原始数据进行预处理，通过改进的Kmeans算法对用户数据信息进行聚类分析，基于可信度修正的方式对用户行为特征及其上下文信息等知识进行可信度修正，并利用修正后的知识可信度值来计算动态身份验证结论的综合可信度。

上述数据处理模块主要对采集的原始数据进行预处理，进行min-max标准化处理，同时处理丢失的数据，丢弃噪声和冗余数据，并整合来自不同来源的数据。随后通过改进的Kmeans算法对用户数据信息进行聚类分析，对数据的不平衡进行处理，根据类别进行标记处理。考虑到采集信息的可靠性对结论的不同影响，基于可信度修正的方式对用户及其上下文信息等知识进行可信度修正，并利用修正后的知识可信度值来计算动态身份验证结论的综合可信度，得到用于训练预测的监督数据集。

训练预测模块。该模块采用XGBOOST算法进行模型训练，并将训练后的模型用于预测用户动态身份验证结果。将用户行为数据和上下文信息形式化表示成如下形式：

其中X_i(i＝1,2,…,n)表示前提；Y_j(j＝1,2,…,m)表示结论；是可信度因子，表示相关前提的可信程度，以75％数据作为训练集输入XGBoost模型进行训练，最后将其用于预测用户动态身份验证结果。

结果执行模块，用于将模型预测的用户动态身份验证结论可信度与设定的可信阈值λ进行比较，以判断动态身份验证结果，同时将用户行为、上下文信息、静态验证结果、动态验证结果等信息进行展示。

图3所示的是改进Kmeans算法处理流程图，具体如下：

步骤S301：初始化FPA控制参数。控制参数有种群大小(N)、最大迭代次数(Maxgen)、转换概率p。

步骤S302：初始化种群。根据给定的上下界随机生成初始解x₁,x₂,…,x_n，并计算其相应的适应度值。

步骤S303：从初始种群中获得最佳解决方案。根据初始种群及其适应度值找出最佳解决方案g*及其适应度值f(g*)。

步骤S304：生成新的种群。根据转换概率p∈[0,1]的值来确定采用全局搜索还是局部搜索，当生成的随机数rand∈U[0,1]小于p时，采用全局搜索策略，否则采用局部搜索策略，公式如下：

其中，表示当花粉个体在花授粉算法中进行全局或局部搜索环节时，花粉个体i进行第t次迭代更新后的具体花粉位置；/>和/>表示花粉种群中的任意两个花粉个体在第t次迭代更新时的具体花粉位置，同时这两个花粉位置的选取是随机的且不同于花粉i的具***置；而ε∈U[0，1]；γ是步长控制因子；参数L表示授粉强度，本质上是一个步长，服从莱维分布，公式如下：

λ为常数，在该算法中取λ＝1.5；Γ(λ)为标准伽马函数；s₀是最小步长；s是步长，计算公式如下：

其中，μ和ν为两个随机数且服从标准正态分布μ～N(0,σ²)，ν～N(0,1)，其中方差σ²是通过以下公式得到：

步骤S305：更新种群和最佳解决方案。根据适应度值，替换比存储的解决方案质量更好的新解决方案，并获得最佳解决方案g*。

步骤S306：检查停止标准。重复执行步骤S304、S305，直到达到最大迭代数。此时的解即为初始聚类中心m_k。

步骤S307：计算每个样本x和聚类中心m_k之间的欧式距离其中x_i是样本x的第i个特征，m_ki是聚类中心m_k的第i个特征。

步骤S308：将各样本划分进与其距离最近的聚类中心m_k所对应的簇C_k。

步骤S309：计算每个聚簇中所有样本的均值，更新聚类中心。

步骤S310：重复步骤S307、S308、S310直到聚类中心无变化。

步骤S311：根据类别进行标记处理，得到用户各类别信息数据。

可信度修正算法如下：

(1)设CE_x＝{C₁,C₂,...,C_n}为当前访问的用户的用户信息数据，用户信息数据包含用户行为信息及其上下文信息，其中C_i,i＝1,2,...,n为信息参数；

(2)提供衡量各信息对用户身份验证结果的知识可信度CF(X,C_i)，其值介于-1到1之间，值1表示极度可信，值-1表示极度不可信，提供各信息的重要性权值w_i，其中

(3)计算知识的平均可信度

(4)计算各信息的知识可信度与知识平均可信度之间的距离：

(5)计算知识的可信度修正值：

综合可信度的算法如下：

(1)提供各信息的可信度CF(C_i)；

(2)计算每个信息单独作用时用户身份验证结果的可信度CF_i(X)＝CF(C_i)CF′(X,C_i)；

(3)以如下公式将第一条知识和第二条知识合成，随后将合成后的知识与第三条知识合成，以此类推，最终得到结论的综合可信度：

上述静态与动态身份一致性验证方法，可以根据需要配置口令、动态短信密码、人脸识别、数字证书或引用的第三方身份验证等方式对用户进行单因素或多因素的静态一次性身份验证。随后便基于对用户行为及其上下文信息的持续检测来进行动态持续身份验证，使用改进Kmeans算法进行聚类分析，同时基于可信度修正方式进行不确定性推理，随后使用参数优化后的XGBoost算法进行模型训练与预测，得到最终可信度。最后基于结果执行授权访问或是退出到静态验证阶段进行再次验证，以此提高零信任***的安全性及合理性。能够适应大多数场景，具备持续身份一致性验证能力，提高了零信任***的安全性，符合零信任理念，准确性高，用户体验好。

本发明提出的方法及***可以有效解决当前身份验证方式的繁琐与安全性不足等问题，融合了静态验证和动态验证的优点，具备用户友好性，具备持续验证能力，能适应大多数场景，符合零信任理念。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。本实施例中未明确的各组成部分均可用现有技术加以实现。

Claims (7)

1.一种静态与动态身份一致性验证方法，其特征在于：包括：静态身份验证阶段和动态身份验证阶段；其中静态身份验证阶段用于对登录用户的初次身份验证，通过静态身份验证方式对用户进行单因素或多因素的静态一次性身份验证；动态身份验证阶段基于对生物行为特征的持续检测来进行身份验证，使用改进Kmeans算法进行聚类分析，同时基于可信度修正进行不确定性推理，随后使用参数优化后的XGBoost算法进行模型训练与匹配，得到最终动态身份可信度，最后基于结果执行授权访问或是退出到静态验证阶段进行再次验证；具体包括如下步骤：

步骤一：进行***配置，配置静态身份验证方式，选择一种或两种以上静态身份验证方式来进行单因素或多因素的验证；

步骤二：根据配置对用户进行身份验证，并判断用户登录时间有无超过时间期限t，若没超过，则转到下一步骤，否则返回重新登录；

步骤三：持续不间断的采集用户信息数据，用户信息数据包括用户行为特征以及上下文信息；

步骤四：使用改进Kmeans算法对用户信息数据进行聚类分析；

步骤五：基于可信度修正的方式将聚类分析的结果进行可信度修正，并利用修正后的知识可信度值来计算动态身份验证结论的综合可信度，得到用于训练预测的监督数据集；

步骤六：将监督数据集形式化表示、并将75％数据作为训练集输入训练参数优化后的XGBoost模型，然后利用测试集对用户身份验证的结论可信度进行预测；

步骤七：比较预测的结论可信度与预设的可信阈值λ，若结论可信度大于可信阈值λ，则判断用户可信，用户可继续访问***；若结论可信度小于可信阈值λ，则判断用户不可信，终止用户的访问并退回进行静态身份验证。

2.如权利要求1所述的方法，其特征在于：步骤四中，改进的Kmeans算法具体如下：

(1)初始化FPA控制参数，控制参数有种群大小N、最大迭代次数Maxgen和转换概率p；

(2)初始化种群，根据给定的上下界随机生成初始解x₁,x₂,…,x_n，并计算其相应的适应度值；

(3)根据初始种群及其适应度值找出最佳解决方案g*及其适应度值f(g*)；

(4)生成新的种群，根据转换概率p∈[0,1]的值来确定采用全局搜索还是局部搜索，当生成的随机数rand∈U[0,1]小于p时，采用全局搜索策略，否则采用局部搜索策略，公式如下：

其中，表示当花粉个体在花授粉算法中进行全局或局部搜索环节时，花粉个体i进行第t次迭代更新后的具体花粉位置；/>和/>表示花粉种群中的任意两个花粉个体在第t次迭代更新时的具体花粉位置，同时这两个花粉位置的选取是随机的且不同于花粉i的具***置；ε∈U[0，1]；γ是步长控制因子；参数L表示授粉强度，本质上是一个步长，服从莱维分布，公式如下：

λ为常数，在该算法中取λ＝1.5；Γ(λ)为标准伽马函数；s₀是最小步长；s是步长，计算公式如下：

其中，μ和ν为两个随机数且服从标准正态分布μ～N(0,σ²)，ν～N(0,1)，其中方差σ²是通过以下公式得到：

(5)更新种群和最佳解决方案，根据适应度值，替换比存储的解决方案质量更好的新解决方案，并获得最佳解决方案g*；

(6)检查停止标准，重复执行步骤(4)、(5)，直到达到最大迭代数，此时的解即为初始聚类中心m_k；

(7)计算每个样本x和聚类中心m_k之间的欧式距离其中x_i是样本x的第i个特征，m_ki是聚类中心m_k的第i个特征；

(8)将各样本划分进与其距离最近的聚类中心m_k所对应的簇C_k；

(9)计算每个聚簇中所有样本的均值，更新聚类中心；

(10)重复(7)、(8)、(9)直到聚类中心无变化；

(11)根据类别进行标记处理，得到用户各类别信息数据。

3.如权利要求1或2所述的方法，其特征在于：步骤五中，可信度修正算法如下：

(1)设CE_x＝{C₁,C₂,...,C_n}为当前访问的用户的用户信息数据，用户信息数据包含用户行为信息及其上下文信息，其中C_i,i＝1,2,...,n为信息参数；

(2)提供衡量各信息对用户身份验证结果的知识可信度CF(X,C_i)，其值介于-1到1之间，值1表示极度可信，值-1表示极度不可信，提供各信息的重要性权值w_i，其中

(3)计算知识的平均可信度

(4)计算各信息的知识可信度与知识平均可信度之间的距离：

(5)计算知识的可信度修正值：

综合可信度的算法如下：

(1)提供各信息的可信度CF(C_i)；

(2)计算每个信息单独作用时用户身份验证结果的可信度CF_i(X)＝CF(C_i)CF′(X,C_i)；

(3)以如下公式将第一条知识和第二条知识合成，随后将合成后的知识与第三条知识合成，以此类推，最终得到结论的综合可信度：

4.一种静态与动态身份一致性验证***，其特征在于：包括：静态验证模块、采集模块、数据处理模块、训练预测模块和结果执行模块；

静态验证模块，用于对登录用户的初次身份验证，采用静态身份验证方式对用户进行单因素或多因素的静态一次性身份验证；

采集模块，用于对用户行为特征及其上下文信息进行持续性采集，并将采集的数据存储于数据库中，以供其他模块使用；

数据处理模块，用于对采集的原始数据进行预处理，通过改进的Kmeans算法对用户行为特征进行聚类分析，基于可信度修正的方式对用户行为特征及其上下文信息进行可信度修正，并利用修正后的知识可信度值来计算动态身份验证结论的综合可信度；

训练预测模块，采用XGBoost算法进行模型训练，并将训练后的模型用于预测用户动态身份验证结果；

结果执行模块，用于将模型预测的用户动态身份验证结论可信度与设定的可信阈值λ进行比较，以判断动态身份验证结果，同时将用户行为、上下文信息、静态验证结果和动态验证结果进行展示。

5.如权利要求4所示的***，其特征在于：改进的Kmeans算法具体如下：

(1)初始化FPA控制参数，控制参数有种群大小N、最大迭代次数Maxgen和转换概率p；

(2)初始化种群，根据给定的上下界随机生成初始解x₁,x₂,…,x_n，并计算其相应的适应度值；

(3)根据初始种群及其适应度值找出最佳解决方案g*及其适应度值f(g*)；

(4)生成新的种群，根据转换概率p∈[0,1]的值来确定采用全局搜索还是局部搜索，当生成的随机数rand∈U[0,1]小于p时，采用全局搜索策略，否则采用局部搜索策略，公式如下：

其中，表示当花粉个体在花授粉算法中进行全局或局部搜索环节时，花粉个体i进行第t次迭代更新后的具体花粉位置；/>和/>表示花粉种群中的任意两个花粉个体在第t次迭代更新时的具体花粉位置，同时这两个花粉位置的选取是随机的且不同于花粉i的具***置；ε∈U[0，1]；γ是步长控制因子；参数L表示授粉强度，本质上是一个步长，服从莱维分布，公式如下：

λ为常数，在该算法中取λ＝1.5；Γ(λ)为标准伽马函数；s₀是最小步长；s是步长，计算公式如下：

其中，μ和ν为两个随机数且服从标准正态分布μ～N(0,σ²)，ν～N(0,1)，其中方差σ²是通过以下公式得到：

(5)更新种群和最佳解决方案，根据适应度值，替换比存储的解决方案质量更好的新解决方案，并获得最佳解决方案g*；

(6)检查停止标准，重复执行步骤(4)、(5)，直到达到最大迭代数，此时的解即为初始聚类中心m_k；

(7)计算每个样本x和聚类中心m_k之间的欧式距离其中x_i是样本x的第i个特征，m_ki是聚类中心m_k的第i个特征；

(8)将各样本划分进与其距离最近的聚类中心m_k所对应的簇C_k；

(9)计算每个聚簇中所有样本的均值，更新聚类中心；

(10)重复(7)、(8)、(9)直到聚类中心无变化；

(11)根据类别进行标记处理，得到用户各类别信息数据。

6.如权利要求4或5所示的***，其特征在于：可信度修正算法如下：

(1)设CE_x＝{C₁,C₂,...,C_n}为当前访问的用户信息数据，用户信息数据包含用户行为信息及其上下文信息，其中C_i,i＝1,2,...,n为信息参数；

(2)提供衡量各信息对用户身份验证结果的知识可信度CF(X,C_i)，其值介于-1到1之间，值1表示极度可信，值-1表示极度不可信，提供各信息的重要性权值w_i，其中

(3)计算知识的平均可信度

(4)计算各信息的知识可信度与知识平均可信度之间的距离：

(5)计算知识的可信度修正值：

综合可信度的算法如下：

(1)提供各信息的可信度CF(C_i)；

(2)计算每个信息单独作用时用户身份验证结果的可信度CF_i(X)＝CF(C_i)CF′(X,C_i)；

(3)以如下公式将第一条知识和第二条知识合成，随后将合成后的知识与第三条知识合成，以此类推，最终得到结论的综合可信度：

7.如权利要求4或5所示的***，其特征在于：训练预测模块采用XGBoost算法进行模型训练，将用户行为数据和上下文信息形式化表示成如下形式：

其中X_i(i＝1,2,…,n)表示前提；Y_j(j＝1,2,…,m)表示结论；是可信度因子，表示相关前提的可信程度，以75％数据作为训练集输入XGBoost模型进行训练，最后将其用于预测用户动态身份验证结果。