本发明专利技术公开了一种零信任的业务访问控制系统及方法,其中系统包括:用户终端,用于向5G基站发送针对企业内网的业务访问请求;5G基站,用于获取用户终端针对企业内网的业务访问请求,生成业务请求报文并发送给用户面功能;用户面功能,用于根据业务访问请求的目标地址和预设的分流策略确定目标边缘节点,将业务请求报文发送给目标边缘节点上的零信任系统;边缘节点,用于部署零信任系统,接收业务请求报文,依次通过用户终端身份认证和业务访问请求权限后,将业务访问请求转发至企业内网;企业内网,用于根据业务访问请求为用户终端提供业务访问服务。本发明专利技术实现用户侧无需安装客户端就能安全访问企业内网,业务访问操作便捷,提升用户体验。升用户体验。升用户体验。
【技术实现步骤摘要】
一种零信任的业务访问控制系统及方法
[0001]本专利技术涉及计算机通信
,尤其是涉及一种零信任的业务访问控制系统及方法。
技术介绍
[0002]近年来5G网络发展迅速,用户业务访问时的网络安全问题变得越来越重要。传统的网络安全结构是基于网络的物理边界,攻击者一旦攻破了网络边界,在整个网络中就能畅通无阻。
[0003]目前,形成了一种新型网络安全模式即零信任模式,将基于物理边界的网络安全方法重构为基于端到端身份边界的网络安全方法,攻击者即使突破了企业内网的防火墙,想要进一步访问到具体的应用或服务器,也要进行相应的身份验证。
[0004]传统的零信任系统,需要在用户侧安装客户端,通过VPN的技术方案实现客户端与网关的通信。用户访问企业内部应用资源前,需要进行登录校验,业务访问操作过程较复杂,给用户业务访问带来不便,用户体验不友好;同时,用户的登录信息可能会被泄露,企业内网可能存在安全隐患。
技术实现思路
[0005]本专利技术的目的是提供一种零信任的业务访问控制系统及方法,以解决现有技术中对远程用户访问企业内部资源时需安装对应客户端的技术问题。
[0006]本专利技术的目的,可以通过如下技术方案实现:
[0007]本专利技术提供了一种零信任的业务访问控制系统,包括:
[0008]用户终端,用于向5G基站发送针对企业内网的业务访问请求,所述业务访问请求中包含所述用户终端请求访问的目标地址;
[0009]5G基站,用于获取用户终端针对企业内网的业务访问请求,根据所述业务访问请求和所述用户终端的信息生成业务请求报文并发送给用户面功能;
[0010]用户面功能,用于根据所述目标地址和预设的分流策略确定目标边缘节点,将所述业务请求报文发送给所述目标边缘节点上的零信任系统;
[0011]边缘节点,用于部署零信任系统,所述零信任系统用于管理用户终端权限和接收所述业务请求报文,根据预设的访问控制策略对所述用户终端进行身份认证,身份认证成功后,对所述业务访问请求进行权限判定,判定成功后将所述业务访问请求转发至所述目标地址对应的企业内网;
[0012]企业内网,用于根据所述业务访问请求为所述用户终端提供相应的业务访问服务。
[0013]可选地,所述预设的分流策略包括:
[0014]将距离所述目标地址最近的边缘节点作为目标边缘节点。
[0015]可选地,所述零信任系统包括:
[0016]依次连接的零信任平台、零信任控制器和零信任网关;
[0017]其中,所述零信任平台管理用户终端权限及将预设的访问控制策略下发给所述零信任控制器和所述零信任网关,所述零信任控制器根据所述访问控制策略对所述用户终端进行身份认证,身份认证成功后,将所述业务请求报文和对应的企业专线地址发送给所述零信任网关,所述零信任网关对所述业务访问请求进行权限判定,判定成功后将所述用户终端的业务访问请求转发至所述目标地址对应的企业内网。
[0018]可选地,将所述业务请求报文发送给所述目标边缘节点上的零信任系统包括:
[0019]将所述业务请求报文发送给所述目标边缘节点上的所述零信任控制器。
[0020]可选地,所述零信任系统用于管理用户终端权限和接收所述业务请求报文,根据预设的访问控制策略对所述用户终端进行身份认证,身份认证成功后,对所述业务访问请求进行权限判定,判定成功后将所述业务访问请求转发至所述目标地址对应的企业内网包括:
[0021]所述零信任平台用于管理用户终端权限及将预设的访问控制策略下发给所述零信任控制器和所述零信任网关,所述零信任控制器用于接收所述业务请求报文,根据预设的访问控制策略对所述用户终端进行身份认证,身份认证成功后,将所述业务请求报文和对应的企业专线地址发送给所述零信任网关,所述零信任网关用于对所述业务访问请求进行权限判定,判定成功后将所述业务访问请求转发至所述目标地址对应的企业内网。
[0022]本专利技术还提供了一种零信任的业务访问控制方法,包括:
[0023]5G基站获取用户终端针对企业内网的业务访问请求,生成业务请求报文并发送给用户面功能,所述业务请求报文包括所述业务访问请求和所述用户终端的信息,所述业务访问请求中包含所述用户终端请求访问的目标地址;
[0024]所述用户面功能根据所述目标地址和预设的分流策略确定目标边缘节点,将所述业务请求报文发送给所述目标边缘节点上的零信任系统;
[0025]所述零信任系统管理用户终端权限和接收所述业务请求报文,根据预设的访问控制策略对所述用户终端进行身份认证,身份认证成功后,对所述业务访问请求进行权限判定,判定成功后将所述业务访问请求转发至所述目标地址对应的企业内网;
[0026]企业内网根据所述业务访问请求为所述用户终端提供相应的业务访问服务。
[0027]可选地,所述用户面功能根据所述目标地址和预设的分流策略确定目标边缘节点包括:
[0028]所述用户面功能获取所述业务访问请求的目标地址,将距离所述目标地址最近的边缘节点作为目标边缘节点。
[0029]可选地,所述零信任系统包括:
[0030]依次连接的零信任平台、零信任控制器和零信任网关;
[0031]其中,所述零信任平台管理用户终端权限及将预设的访问控制策略下发给所述零信任控制器和所述零信任网关,所述零信任控制器根据所述访问控制策略对所述用户终端进行身份认证,身份认证成功后,将所述业务请求报文和对应的企业专线地址发送给所述零信任网关,所述零信任网关对所述业务访问请求进行权限判定,判定成功后将所述用户终端的业务访问请求转发至所述目标地址对应的企业内网。
[0032]可选地,将所述业务请求报文发送给所述目标边缘节点上的零信任系统包括:
[0033]将所述业务请求报文发送给所述目标边缘节点上的所述零信任控制器。
[0034]可选地,所述零信任系统管理用户终端权限和接收所述业务请求报文,根据预设的访问控制策略对所述用户终端进行身份认证,身份认证成功后,对所述业务访问请求进行权限判定,判定成功后将所述业务访问请求转发至所述目标地址对应的企业内网包括:
[0035]所述零信任平台管理用户终端权限及将预设的访问控制策略下发给所述零信任控制器和所述零信任网关,所述零信任控制器接收所述业务请求报文,根据预设的访问控制策略对所述用户终端进行身份认证,身份认证成功后,将所述业务请求报文和对应的企业专线地址发送给所述零信任网关,所述零信任网关对所述业务访问请求进行权限判定,判定成功后将所述业务访问请求转发至所述目标地址对应的企业内网。
[0036]本专利技术提供了一种零信任的业务访问控制系统及方法,其中系统包括:用户终端,用于向5G基站发送针对企业内网的业务访问请求,所述业务访问请求中包含所述用户终端请求访问的目标地址;5G基站,用于获取用户终端针对企业内网的业务访问请求,根据所述业务访问请求和所述用户终端的信息生成业务请求报文并发送给用户面功能;本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种零信任的业务访问控制系统,其特征在于,包括:用户终端,用于向5G基站发送针对企业内网的业务访问请求,所述业务访问请求中包含所述用户终端请求访问的目标地址;5G基站,用于获取用户终端针对企业内网的业务访问请求,根据所述业务访问请求和所述用户终端的信息生成业务请求报文并发送给用户面功能;用户面功能,用于根据所述目标地址和预设的分流策略确定目标边缘节点,将所述业务请求报文发送给所述目标边缘节点上的零信任系统;边缘节点,用于部署零信任系统,所述零信任系统用于管理用户终端权限和接收所述业务请求报文,根据预设的访问控制策略对所述用户终端进行身份认证,身份认证成功后,对所述业务访问请求进行权限判定,判定成功后将所述业务访问请求转发至所述目标地址对应的企业内网;企业内网,用于根据所述业务访问请求为所述用户终端提供相应的业务访问服务。2.根据权利要求1所述的零信任的业务访问控制系统,其特征在于,所述预设的分流策略包括:将距离所述目标地址最近的边缘节点作为目标边缘节点。3.根据权利要求1或2所述的零信任的业务访问控制系统,其特征在于,所述零信任系统包括:依次连接的零信任平台、零信任控制器和零信任网关;其中,所述零信任平台管理用户终端权限及将预设的访问控制策略下发给所述零信任控制器和所述零信任网关,所述零信任控制器根据所述访问控制策略对所述用户终端进行身份认证,身份认证成功后,将所述业务请求报文和对应的企业专线地址发送给所述零信任网关,所述零信任网关对所述业务访问请求进行权限判定,判定成功后将所述用户终端的业务访问请求转发至所述目标地址对应的企业内网。4.根据权利要求3所述的零信任的业务访问控制系统,其特征在于,将所述业务请求报文发送给所述目标边缘节点上的零信任系统包括:将所述业务请求报文发送给所述目标边缘节点上的所述零信任控制器。5.根据权利要求4所述的零信任的业务访问控制系统,其特征在于,所述零信任系统用于管理用户终端权限和接收所述业务请求报文,根据预设的访问控制策略对所述用户终端进行身份认证,身份认证成功后,对所述业务访问请求进行权限判定,判定成功后将所述业务访问请求转发至所述目标地址对应的企业内网包括:所述零信任平台用于管理用户终端权限及将预设的访问控制策略下发给所述零信任控制器和所述零信任网关,所述零信任控制器用于接收所述业务请求报文,根据预设的访问控制策略对所述用户终端进行身份认证,身份认证成功后,将所述业务请求报文和对应的企业专线地址发送给所述零信任网关,所述零信任网关用于对所述业务访问请求进行权限判定,判定成功后将所述业务访问请求转发至所述目标地址对应的企业内网。6.一种...
【专利技术属性】
技术研发人员:叶茂松,罗远辉,李敬昭,谭彦,姜有强,黄云飞,
申请(专利权)人:天翼数字生活科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。