(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210630536.6 (22)申请日 2022.06.06 (71)申请人 四川中电启明星信息技 术有限公司 地址 610000 四川省成 都市郫都区现代工 业港 （南片区） 西源大道 2688号 申请人 国网江苏省电力有限公司 　 国网江苏省电力有限公司信息通信 分公司　 国网信息通信产业 集团有限公司 　 国家电网有限公司 (72)发明人 郭晶　袁国泉　辛子仪　赵新建　 张建军　赵然　杜平　范磊　 肖建飞　张颂　程卓　徐凯　陈石　 余竞航　欧敖麟　徐晨维　(74)专利代理 机构 成都君合集专利代理事务所 (普通合伙) 51228 专利代理师 张鸣洁 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01) (54)发明名称 一种基于上下文认证的多服务器可持续信 任评估方法 (57)摘要 本发明涉及身份认证和信任评估技术领域， 公开了一种基于上下文认证的多服务器可持续 信任评估方法， 配置服务器， 对用户端进行基于 上下文的身份认证； 判断身份认证是否有误； 若 关联的服务器对用户端的身份认证都核实无误， 则根据用户端所需要提供的服务， 各自进行信任 评估； 进行信任评估得到的信任评估值； 将求得 的综合信任评估值返回给服务器并进行持续评 估。 本发明给出一种基于上下文认证的多服务器 可持续信任评估 方法， 以解决现有信任评估 方法 缺乏对多关联服务器综合 持续评估 方法， 以及无 法防范在合法认证后身份 被盗用、 窃取的问题。 权利要求书3页 说明书9页 附图2页 CN 114884680 A 2022.08.09 CN 114884680 A 1.一种基于上 下文认证的多服 务器可持续信任评估方法， 其特 征在于,包括以下步骤： 步骤S1.配置服务器ISA、 服务器ISB和服务器ISC为同一管理域中存在信息关联的不同 服务类型服务器， 当任意一个服务器与用户端进行信息交汇时， 需要同时对三个关联服务 器针对此用户端进行身份认证， 用户端向服务器ISA发送相关服务需求， 服务器ISA在接受 到用户端发送的请求后， 对用户端 进行基于上 下文的身份认证； 步骤S2.服务器ISA在对用户终端进行基于上下文的身份认证后， 判断身份认证是否有 误， 如果是， 则拒绝用户端； 如果否， 则利用身份联合， 使其他关联服务器ISB和服务器ISC也 对用户端 进行身份认证； 步骤S3.若关联的服务器对用户端的身份认证都核实无误， 则根据用户端所需要提供 的服务， 各自进行信任评估； 步骤S4.服务器ISA、 服务器ISB和服务器ISC对用户端i进行信任评估得到 的信任评估 值TAi、 TBi和TCi， 引入服务权重因子α、 β 和γ， 分别对应服务器ISA、 服务器ISB和服务器ISC 的服务权重， 并计算出 所有关联服 务器对用户端i的综合信任评估值T； 步骤S5.将求得的综合信 任评估值T返回给服务器ISA、 服务器ISB和服务器ISC， 服务器 接收到综合信任评估值后， 通过跟服务器自身对用户端进 行信任评估得到的信任评估值进 行比较， 对自身的信任评估值进行重新评估， 再根据重新评估得到的相关服务数量以及服 务重要程度更新服务权重因子α、 β和γ的值， 对关联服务器ISA、 服务器ISB和服务器ISC针 对用户端i进行持续信任评估； 步骤S6.在每个关联服务器对用户端进行持续性信任评估中， 若整体服务器综合信任 评估值因多个关联服务器降低服务权重因子而低于正常信任指标， 则终止对用户端进 行信 息资源共享或者为用户端提供服务， 用户端再次向关联中任意服务器发送服务申请， 返回 步骤S1， 并重新进行身份认证步骤。 2.根据权利要求1所述的一种基于上下文认证的多服务器可持续信任评估方法， 其特 征在于， 所述 步骤S1包括： 步骤S1.1.根据关联服务器 中已知的用户上下文内容和用户的登录信息对用户登录身 份的合法性进行验证； 步骤S1.2.判定用户登陆成功后， 关联服务器向用户身份管理者IDM和上下文内容管理 者CCP分别提供用户的身份信息和上 下文内容信息； 步骤S1.3.用户端向依赖点RP发起访问请求时， 用户需要和身份管理者IDM进行相互验 证； 用户向身份管理者IDM提出身份认证请求， 身份管理者IDM通过用户的认证请求后向上 下文内容提供者CCP提出申请所述用户上下文内容的请求； 身份管 理者IDM获得CCP回复后， 身份管理者IDM根据持续访问控制协 议和用户的此前上下文内容信息对用户的身份安全性 做出评估， 并将评估结果发送至内容提供者CCP进行保存； 内容提供者CCP接受到身份管理 者IDM发送来的用户的身份断言后与之前所述用户的身份断言进 行比对， 判断是否一致， 如 果是， 则通过， 如果否， 上报服务器， 从服务器端进行对用户身份权限进行调整； 验证通过 后， 身份管理者IDM向依赖点RP提供身份断言， 再由依赖点RP向上下文内容提供者CCP提出 访问认证请求， 上下文内容提供者CCP验证通过后向依赖点 RP提供所述用户的上下文内容， 根据所述上下文内容和身份管理者IDM关于用户身份的断言,并由依赖点RP判断是否通过 对用户访问行为的授权决定；权　利　要　求　书 1/3 页 2 CN 114884680 A 2步骤S1.4.用户端访问依赖点RP时， 依赖点RP自动更新自身上下文内容， 同时与内容提 供者CCP和其他依赖点 RP共享并持续更新所述上下文内容； 身份管 理者IDM根据上下文内容 提供者CCP共享的更新上下文内容依据持续访问评估协议并对用户身份断言进行更新； 内 容提供者CCP接收到依赖点RP端传递来的用户上下文更新内容信息， 将所述上下文内容信 息统一打包发送至身份管理者 IDM端口， 由身份管理者 IDM对用户的身份断言进行 更新； 步骤S1.5.在用户端结束操作时， 依赖点RP自动保存用户操作， 并继续向内容提供者 CCP和其他依赖点 RP共享并持续更新上下文内容， 身份管 理者IDM基于共享上下文向依赖点 RP和上下文内容提供者CCP提供更新后的用户身份断言， 依赖点RP根据所述身份断言对用 户的操作进 行授权， 最后由上下文内容提供者CCP上传至远端服务器进 行保存， 服务器根据 身份管理者 IDM的用户断言和上 下文内容信息对用户权限进行处 理。 3.根据权利要求2所述的一种基于上下文认证的多服务器可持续信任评估方法， 其特 征在于， 所述 步骤S1.1包括： 判断用户是否为新用户， 如果是， 只根据用户的登录信息进行判断； 如果否， 基于用户 的上下文内容对用户登录身份进行判断； 对用户登录身份的合法性进行验证包括对用户身份和密码的确 认， 判断用户的上下文 内容是否存在违规记录， 如果是， 则判定用户身份不合法， 如果否， 则判定用户身份通过， 记 录下用户的登录信息 。 4.根据权利要求1所述的一种基于上下文认证的多服务器可持续信任评估方法， 其特 征在于， 所述 步骤S2中的上 下文包括发出访问请求的实体的信息 。 5.根据权利要求1所述的一种基于上下文认证的多服务器可持续信任评估方法， 其特 征在于， 所述 步骤S3中进行信任评估的方法包括： 采用线性加权法,假设服务器中最大安全信息数为n,用aij表示服务器端i第j个安全信 息的安全等级值， 计算公式一为： 其中， qij为服务器i安全指标中 第j个的Q oS指标数据； ωij为服务器i对应指标权 重集合ω中第j个属性指标权 重值； 用Tij表示服务器i第j个服 务的综合评价 值， 计算公式二 为： 其中， vij为服务器i中对应第j个的服 务权重值； 根据计算公式一和计算公式二计算出不同服 务器对用户端信任评估的综合评价 值。 6.根据权利要求1所述的一种基于上下文认证的多服务器可持续信任评估方法， 其特 征在于， 所述 步骤S4包括： 计算出所有关联服务器对用户端i的综合信任评估值T的计算公式为： T＝α TAi+β TBi+γ TCi， 其中， α +β +γ＝1。 7.根据权利要求1所述的一种基于上下文认证的多服务器可持续信任评估方法， 其特 征在于， 所述 步骤S4中的服 务权重因子包括： 所述服务权重因子根据各个服 务器对应的相关服 务数量以及服 务的重要程度获取。 8.根据权利要求1所述的一种基于上下文认证的多服务器可持续信任评估方法， 其特权　利　要　求　书 2/3 页 3 CN 114884680 A 3