摘" 要： 身份認證數(shù)據(jù)流中的敏感信息可能在傳輸過程中被攻擊者截獲，并用于惡意目的，導(dǎo)致隱私泄露、身份盜用等風(fēng)險，為確保網(wǎng)絡(luò)安全性，提高主體身份認證安全性，提出零信任環(huán)境下的多層次身份認證數(shù)據(jù)流安全檢測算法。采用改進的文檔指紋檢測算法實現(xiàn)多層次身份認證過程中主體和客體交互數(shù)據(jù)流安全監(jiān)測。通過Rabin?Karp算法實現(xiàn)身份認證數(shù)據(jù)文檔的分塊，采用Winnow算法劃分身份認證數(shù)據(jù)分塊文檔邊界后，得到身份認證數(shù)據(jù)文檔指紋，將其與指紋庫中的指紋進行匹配對比，識別出多層次身份認證數(shù)據(jù)流中的異常數(shù)據(jù)，實現(xiàn)多層次身份認證數(shù)據(jù)流安全檢測。實驗結(jié)果表明，該算法具有較好的身份認證數(shù)據(jù)流安全檢測能力，有效地降低了網(wǎng)絡(luò)威脅頻率，提升了網(wǎng)絡(luò)安全性。

關(guān)鍵詞： 零信任； 多層次身份認證； 數(shù)據(jù)流安全檢測； 文檔指紋檢測算法； Rabin?Karp算法； Winnow算法

中圖分類號： TN919?34； TP309.2" " " " " " " " " " 文獻標識碼： A" " " " " " " " " "文章編號： 1004?373X（2025）01?0085?05

Multi?level authentication data flow security detection algorithm"in zero trust environment

GU Jianhua1， 2， FENG Jianhua1， GAO Zefang2， WEN Chengjiang2

（1. Department of Computer Science and Technology， Tsinghua University， Beijing 100084， China;

2. China Mobile Group Device Co.， Ltd.， Beijing 100053， China）

Abstract： The sensitive information in identity authentication data flow may be intercepted by attackers during transmission and used for malicious purposes， leading to risks such as privacy leakage and identity theft. To ensure network security and improve the security of subject identity authentication， a multi?level identity authentication data flow security detection algorithm in zero trust environment is proposed. An improved document fingerprint detection algorithm is adopted to achieve secure monitoring of the interaction data flow between the subject and object in the process of multi?level identity authentication. The Rabin?Karp algorithm is used to partition the identity authentication data documents. After partition the document boundaries of the authentication data blocks by Winnow algorithm， the fingerprint of the identity authentication data document is obtained. The obtained fingerprint is matched and compared with that in the fingerprint database， so as to identify the abnormal data in the multi?level identity authentication data flow and realize the security detection of the multi?level identity authentication data flow. The experimental results show that the proposed algorithm has good security detection capabilities for identity authentication data flow， effectively reducing the frequency of network threats and improving network security.

Keywords： zero trust; multi?level identity authentication; data flow security detection; document fingerprint detection algorithm; Rabin?Karp algorithm; Winnow algorithm

0" 引" 言

身份認證系統(tǒng)中可能存在復(fù)雜的漏洞，這些漏洞可能難以發(fā)現(xiàn)和理解。對于新興的攻擊技術(shù)和未知的漏洞，身份認證數(shù)據(jù)流的安全檢測面臨著許多挑戰(zhàn)。實現(xiàn)身份認證數(shù)據(jù)流安全檢測，在保護數(shù)據(jù)安全、預(yù)防網(wǎng)絡(luò)攻擊中具有重要意義[1?2]，因此身份認證數(shù)據(jù)流的安全檢測算法已經(jīng)成為眾多學(xué)者的熱門研究課題。

文獻[3]提出一種身份認證數(shù)據(jù)流安全檢測評估系統(tǒng)，通過建立動態(tài)評估模型，實現(xiàn)網(wǎng)絡(luò)威脅的風(fēng)險評估。通過該系統(tǒng)的構(gòu)建，實現(xiàn)身份認證數(shù)據(jù)流的安全檢測。但該系統(tǒng)對于動態(tài)的網(wǎng)絡(luò)威脅，需要實時評估風(fēng)險。如果評估模型不能快速響應(yīng)，可能會錯過某些威脅或無法及時采取應(yīng)對措施。文獻[4]采用支持向量機提取身份認證數(shù)據(jù)的相關(guān)性最大、特征間冗余最小的特征，通過粒子群優(yōu)化算法優(yōu)化融合加權(quán)歐氏距離和徑向基函數(shù)網(wǎng)絡(luò)的訓(xùn)練分類器，提升網(wǎng)絡(luò)對身份認證數(shù)據(jù)中異常數(shù)據(jù)的識別能力。通過該方法，能夠?qū)崿F(xiàn)身份認證數(shù)據(jù)流安全檢測。但該方法過度依賴優(yōu)化算法，在面對未知的或新的網(wǎng)絡(luò)威脅模式時，可能會限制分類器的泛化能力，影響身份認證數(shù)據(jù)流安全檢測準確性。

為解決上述問題，本文提出零信任環(huán)境下的多層次身份認證數(shù)據(jù)流安全檢測算法。通過文檔指紋檢測算法，實現(xiàn)較高準確度的多層次身份認證數(shù)據(jù)流安全檢測，根據(jù)Rabin?Karp算法實現(xiàn)身份認證數(shù)據(jù)文檔的分塊操作，采用Winnow算法實現(xiàn)文檔的邊界劃分，獲取身份認證數(shù)據(jù)文檔指紋，得到數(shù)據(jù)流的身份認證數(shù)據(jù)文檔指紋數(shù)據(jù)庫，提升系統(tǒng)的安全性。

1" 多層次身份認證數(shù)據(jù)流安全檢測

1.1" 主體身份認證過程

作為一種可以實現(xiàn)安全訪問控制的零信任安全架構(gòu)，其可對用戶進行安全狀態(tài)下的身份驗證賦予信任度，身份驗證通過后的用戶才能具備訪問權(quán)限。通過構(gòu)建主客體間信任度，依據(jù)信任度實現(xiàn)主客體間的訪問控制，是零信任架構(gòu)的宗旨。同時通過度量因子賦予主體和客體最小權(quán)限，通過得到的主體、客體屬性參數(shù)，控制強制訪問過程。

零信任安全架構(gòu)如圖1所示。

圖1中，主體為接入系統(tǒng)的部分，例如：用戶、設(shè)備等?？腕w為主體需要進行訪問操作的部分，例如：應(yīng)用系統(tǒng)及功能、數(shù)據(jù)等。數(shù)據(jù)流為主體與客體之間進行數(shù)據(jù)交互產(chǎn)生的數(shù)據(jù)流量。通過零信任架構(gòu)實現(xiàn)主體、客體之間的信任鏈建立，從而實現(xiàn)安全的訪問過程。

零信任架構(gòu)環(huán)境下的主體身份認證方法，通?？赏瑫r采用三種身份認證的兩種或者三種實現(xiàn)多層次身份認證。

1） 通過指紋進行身份驗證，根據(jù)構(gòu)造系統(tǒng)采集的指紋細節(jié)點集合模板對其進行二值化處理，通過指紋的紋路跟蹤實現(xiàn)虛假特征的篩除，得到指紋細節(jié)點的位置、方向及紋路特征，通過實際指紋與指紋模板的特征進行匹配度計算，實現(xiàn)身份驗證。

2） 通過文檔進行身份認證：為了明確用戶身份，需要對比分析用戶輸入的用戶名以及密碼等憑證和數(shù)據(jù)庫內(nèi)保存的憑證[5?6]。如果啟用了多因素認證，可以向用戶注冊的手機號發(fā)送驗證令牌，用戶在收到驗證令牌后，在登錄頁面上輸入該令牌，驗證用戶輸入的令牌是否與之前發(fā)送的令牌匹配。

3） 通過密碼進行身份驗證，在進行密碼驗證過程中，需要用戶賬號的注冊，且實現(xiàn)身份認證的用戶在數(shù)據(jù)庫中唯一，但密碼的安全性、保密性需要有所保障。

1.2" 身份認證數(shù)據(jù)文檔指紋數(shù)據(jù)庫

在零信任架構(gòu)環(huán)境下，對采用文檔以及指紋兩種身份認證進行主體和客體間數(shù)據(jù)交互的數(shù)據(jù)流進行安全監(jiān)測。通過文檔指紋檢測算法對主體訪問的記錄數(shù)據(jù)進行檢測，實現(xiàn)多層次身份認證數(shù)據(jù)流的安全檢測[7?8]。通過將文檔劃分為多個小的文本塊，實現(xiàn)高效運算，通過Rabin?Karp算法實現(xiàn)身份認證數(shù)據(jù)文檔的分塊操作。

Rabin?Karp算法實現(xiàn)的是在不計算完整字符串哈希值的前提下進行哈希值較為快速的更新過程[9?10]。

利用連續(xù)[a]個詞語塑造文本塊，相鄰文本塊間包含[a-1]個詞的覆蓋，將文本段1分解成[1-a+1]的文本塊，實現(xiàn)原文檔中的每個詞與每個文本塊的首個詞一致。采用Hash函數(shù)對文本塊進行散列處理[11]，獲取相對應(yīng)的數(shù)字，并依據(jù)數(shù)字實現(xiàn)文檔差異分析。

設(shè)散列函數(shù)中的基數(shù)為[c]，[gn]為詞的編碼，則首個文本塊[G1G2…Ga]散列值表示為：

[FG1G2…Ga=ca-1g1+ca-2g2+…+cga-1+ga] （1）

同理，第二個文本塊[G2G3…Ga+1]散列值通過式（2）表示：

[FG2G3…Ga+1=ca-1g2+ca-2g3+…+cga+ga+1] （2）

結(jié)合式（1）和式（2），可以得到：

[FG2G3…Ga+1=FG1G2…Ga-ca-1g1c+ga+1] （3）

通過式（3）可以看出，散列函數(shù)能夠?qū)崿F(xiàn)從前一個K?words散列值得到后一個K?words散列值的過程。

依據(jù)Rabin?Karp算法和Winnow算法對身份認證數(shù)據(jù)文檔指紋進行提取，實現(xiàn)數(shù)據(jù)流中的敏感信息檢測。

設(shè)存在[m]個文本塊字數(shù)，依據(jù)Rabin?Karp算法將文本塊字數(shù)增加到[m-a+1]，對于其中的前[k]個數(shù)字，表示為[1，2，…，k]，選取其中的最小值。下一次選取從第2到第[k+1]中的最小值，直到[m-k+1]個字符后停止選取，將所有的最小值設(shè)為邊界，得到邊界數(shù)據(jù)集合[c1，c2，…]，采用MD5算法（密碼散列函數(shù)）獲取原始文本塊第[c1]個字符同第[c2]個字符間的文本塊hash值，即身份認證數(shù)據(jù)文檔指紋。

Winnow算法進行改進過程中，重點在于以下兩點。

1） 對于同樣的文字，Winnow算法進行兩次文本邊界計算得到的結(jié)果并不一致，得到的身份認證數(shù)據(jù)文檔指紋數(shù)據(jù)庫與實際在主體訪問過程中得到的身份認證數(shù)據(jù)文檔指紋不同，則無法確認身份認證數(shù)據(jù)文檔指紋數(shù)據(jù)庫中的信息是否在線上傳播。

2） 在主體進行訪問過程中傳輸?shù)臄?shù)據(jù)片段可能與身份認證數(shù)據(jù)文檔指紋數(shù)據(jù)庫中的某一部分一致。

通過Rabin?Karp算法得到的身份認證數(shù)據(jù)文檔散列值時，可能會出現(xiàn)整個文檔散列值不同的情況，該種情況可能由得到的身份認證數(shù)據(jù)文檔片段開頭字段值不同導(dǎo)致[12]。所以后續(xù)的數(shù)據(jù)流安全檢測過程精度難以保證，且數(shù)據(jù)易泄露，因此保證測量精度的關(guān)鍵是選擇合適的參數(shù)值。

通過對文檔指紋檢測算法進行優(yōu)化，能夠?qū)崿F(xiàn)算法的精簡，由于Winnow算法中對重復(fù)尋找最小值[imin]的過程中存在較多的冗余計算，依據(jù)升序排列規(guī)范，則有最小值[imin]前的數(shù)值一定小于最小值[imin]，故在進行后續(xù)的比較中，對比排序在最小值[imin]后的數(shù)即可。為保證邊界值的完整性，在進行第二次比較時，設(shè)置起點為最小值[imin]，終點為[a+1]，設(shè)二者的位置分別為[A]、[B]。則只需要比較[A]和[B+1]即可，但在進行比較前，需要滿足：

[B+1-Alt;a] （4）

若式（4）不滿足，則尋找[A+1]和[B+1]之間的最小值。

保存最小值及其位置、最小值后的次小值及其位置時，采用2×2二維數(shù)。若當前的數(shù)值大小與[A]之間的差值大于[a]時，應(yīng)從即刻數(shù)值位置到最小值后的次小值中再次獲取最小值和次小值，同時確保最小值在次小值前。

身份認證數(shù)據(jù)文檔指紋生成流程圖如圖2所示。由圖2得到身份認證數(shù)據(jù)文檔指紋生成具體步驟如下。

1） 輸入[p]個文件名，選取第[q]個文件，將得到的數(shù)據(jù)流存儲在字符數(shù)據(jù)中。

2） 通過Rabin?Karp算法進行身份認證數(shù)據(jù)文檔的分塊操作。

3） 通過Winnow算法實現(xiàn)身份認證數(shù)據(jù)分塊文檔的邊界劃分。

4） 利用MD5算法獲取身份認證數(shù)據(jù)文檔指紋。

5） 得到數(shù)據(jù)流的身份認證數(shù)據(jù)文檔指紋數(shù)據(jù)庫。

2" 實驗與分析

為驗證本文算法實現(xiàn)的零信任環(huán)境下的多層次身份認證數(shù)據(jù)流安全檢測效果，選取某金融行業(yè)公司內(nèi)部網(wǎng)絡(luò)作為研究對象，該內(nèi)部網(wǎng)絡(luò)中存在私密信息以及公開的資料信息等。

模擬實驗環(huán)境如下：

其中，零信任架構(gòu)中包括：用戶和設(shè)備認證，動態(tài)訪問控制，數(shù)據(jù)加密，持續(xù)監(jiān)控和審計，智能分析，集成安全組件。實驗的多層次身份認證機制為雙重認證，即用戶名和密碼認證與指紋識別認證。

實驗的測試數(shù)據(jù)集選取DARPA身份數(shù)據(jù)集，該數(shù)據(jù)集是一種訓(xùn)練和測試身份認證數(shù)據(jù)流安全檢測算法的網(wǎng)絡(luò)安全領(lǐng)域數(shù)據(jù)集。該數(shù)據(jù)集具有規(guī)模大、數(shù)據(jù)形式廣泛的特點，具有多樣性，主要包括：密碼認證、生物特征認證等認證方式，包含各種網(wǎng)絡(luò)威脅和攻擊手段，如：惡意登錄、暴力破解、會話劫持、緩沖區(qū)溢出攻擊等。

通過本文算法生成的網(wǎng)絡(luò)威脅攔截頁面如圖3所示。

通過圖3可知，本文算法實現(xiàn)身份認證數(shù)據(jù)流安全檢測能夠?qū)崿F(xiàn)對網(wǎng)絡(luò)威脅進行檢測并攔截，能夠顯示出網(wǎng)絡(luò)威脅類型。在生成的攔截頁面能夠顯示出訪問的IP地址及時間，能夠清晰地表示出數(shù)據(jù)流中的危險信息，實現(xiàn)精準檢測與攔截。

為驗證本文方法實現(xiàn)的零信任環(huán)境下的多層次身份認證數(shù)據(jù)流安全檢測效果，將本文算法與文獻[3]算法和文獻[4]算法進行對比，驗證隨著訓(xùn)練數(shù)據(jù)遞增情況下各種算法檢測準確率的變化情況，三種算法具體的檢測結(jié)果如圖4所示。lt;E：＼2025年第1期＼2025年第1期＼Image＼69t3.tifgt;

通過圖4可知，三種算法的檢測準確率曲線隨訓(xùn)練數(shù)據(jù)遞增，身份認證數(shù)據(jù)檢測準確率隨之上升，這一結(jié)果表明，當有足夠的數(shù)據(jù)用于訓(xùn)練時，這些算法都能有效地提高其檢測準確率。但相比于文獻[3]算法和文獻[4]算法進行檢測實現(xiàn)的身份認證數(shù)據(jù)流安全檢測效果，本文算法實現(xiàn)的身份認證數(shù)據(jù)流安全檢測從開始階段準確率就為90%，處于較高水平，即使在訓(xùn)練數(shù)據(jù)較少的情況下，也具有較高的精度。

為進一步驗證本文算法實現(xiàn)的多層次身份認證數(shù)據(jù)流安全檢測效果，對實驗的金融行業(yè)公司內(nèi)部網(wǎng)絡(luò)連續(xù)10天內(nèi)的私密信息訪問記錄進行統(tǒng)計，得到的統(tǒng)計結(jié)果如表1所示。

由表1可知，通過本文算法能夠?qū)崿F(xiàn)對該金融行業(yè)公司內(nèi)部網(wǎng)絡(luò)受到的網(wǎng)絡(luò)威脅進行檢測，進行身份認證的記錄以及訪問人員的信息和IP地址都能顯示出來，將密碼認證和指紋認證通過與否的結(jié)果顯示出來，相關(guān)人員能夠及時地發(fā)現(xiàn)密碼是否泄露，以采取相應(yīng)的對策進行密碼更新等操作。驗證了本文算法能夠?qū)崿F(xiàn)較為準確的身份認證數(shù)據(jù)流安全檢測，能有效識別網(wǎng)絡(luò)威脅。

為驗證本文算法實現(xiàn)身份認證數(shù)據(jù)流安全檢測的效果，選取該金融行業(yè)公司內(nèi)部網(wǎng)絡(luò)180天內(nèi)使用上述三種數(shù)據(jù)流安全檢測算法后的網(wǎng)絡(luò)威脅的頻率變化情況曲線進行對比，結(jié)果如圖5所示。

由圖5可知，三種算法在180天內(nèi)，均能有效降低網(wǎng)絡(luò)威脅的頻率，但三種算法具有較大差異。在未使用數(shù)據(jù)流安全檢測前，網(wǎng)絡(luò)威脅頻率在160次/min進行波動，系統(tǒng)安全性在高頻率的威脅下，存在較大的安全隱患。通過三種算法實現(xiàn)的身份認證數(shù)據(jù)流檢測，網(wǎng)絡(luò)威脅的頻率隨天數(shù)遞增不斷降低，最終本文方法穩(wěn)定在8次/min、文獻[3]算法穩(wěn)定在65次/min、文獻[4]算法穩(wěn)定在30次/min。實驗證明，采用本文算法進行身份認證數(shù)據(jù)流安全監(jiān)測后，實驗金融行業(yè)公司內(nèi)部網(wǎng)絡(luò)受到的網(wǎng)絡(luò)安全威脅頻率大幅降低，有效地提升了系統(tǒng)的安全性、穩(wěn)定性。

3" 結(jié)" 語

為保護數(shù)據(jù)機密性，防止敏感信息被未經(jīng)授權(quán)用戶訪問，本文提出零信任環(huán)境下的多層次身份認證數(shù)據(jù)流安全檢測算法。通過文檔指紋檢測算法實現(xiàn)較高準確度的多層次身份認證數(shù)據(jù)流安全檢測，提升系統(tǒng)的安全性。實驗驗證本文算法具有較好的身份認證數(shù)據(jù)流安全檢測能力，能夠有效地降低網(wǎng)絡(luò)威脅頻率，提升了系統(tǒng)的安全性、穩(wěn)定性，具有重要的現(xiàn)實意義。

參考文獻

[1] 黃朝陽，陳金木.基于ECC的SIP身份認證密鑰協(xié)商協(xié)議[J].電子科技大學(xué)學(xué)報，2023，52（5）：747?755.

[2] 王思君.用戶身份認證技術(shù)在網(wǎng)絡(luò)信息安全中的應(yīng)用[J].信息與電腦（理論版），2022，34（8）：221?223.

[3] 王芳.基于信息融合的網(wǎng)絡(luò)信息安全檢測評估系統(tǒng)設(shè)計[J].長江信息通信，2022，35（11）：128?130.

[4] 魏德賓，魏寧，楊力，等.一種基于mRMR?SVM的空間信息網(wǎng)絡(luò)數(shù)據(jù)流檢測方法[J].計算機應(yīng)用與軟件，2022，39（8）：111?118.

[5] 魯法明，江婷婷，包云霞，等.惡意軟件的時序?qū)ε紨?shù)據(jù)流圖挖掘及其檢測方法[J].計算機應(yīng)用研究，2023，40（6）：1829?1836.

[6] 劉曉薇，趙慶東，吳小林.基于改進的殘差網(wǎng)絡(luò)的指紋識別算法[J].現(xiàn)代電子技術(shù)，2022，45（12）：173?176.

[7] 黃欣，趙敏彤，郇嘉嘉，等.基于BWO?DBSCAN和CSA?OCRKELM的變電站數(shù)據(jù)流異常檢測方法[J].廣東電力，2023，36（5）：39?48.

[8] 李學(xué)生，張尊揚.基于數(shù)據(jù)流檢測技術(shù)的電氣設(shè)備狀態(tài)監(jiān)測仿真[J].計算機仿真，2022，39（7）：433?436.

[9] 胡翔宇，陳慶奎.面向車載設(shè)備數(shù)據(jù)流的異常檢測方法[J].智能計算機與應(yīng)用，2022，12（11）：44?53.

[10] 高偉，陳利群，唐春明，等.一次變色龍哈希函數(shù)及其在可修正區(qū)塊鏈中的應(yīng)用[J].計算機研究與發(fā)展，2021，58（10）：2310?2318.

[11] 徐曉林，秦宗光，趙毅棟.一種Hash散列地址過濾的車載AVB虛擬通信方法[J].光通信技術(shù)，2022，46（6）：86?91.

[12] 陳暢，劉福來.基于智能電網(wǎng)內(nèi)部數(shù)據(jù)流分析的內(nèi)存泄露檢測方法研究[J].信息安全研究，2022，8（1）：85?92.

[13] 周永吉，李陽，黃博.基于深度長短記憶網(wǎng)絡(luò)的網(wǎng)絡(luò)數(shù)據(jù)流異常檢測研究[J].自動化技術(shù)與應(yīng)用，2023，42（8）：82?87.

作者簡介：顧健華（1972—），男，安徽馬鞍山人，博士研究生，高級工程師，研究方向為分布式計算、云原生計算及算力網(wǎng)絡(luò)。

馮建華（1967—），男，山西運城人，博士研究生，教授，研究方向為數(shù)據(jù)庫、數(shù)據(jù)安全與隱私保護。

高澤芳（1984—），男，河北石家莊人，碩士研究生，高級工程師，研究方向為網(wǎng)絡(luò)安全、數(shù)據(jù)安全、軟件工程。

文成江（1980—），男，廣東湛江人，碩士研究生，高級工程師，研究方向為IT管理。