基于零信任安全的访问控制方法、设备及存储介质技术

本发明专利技术公开了一种基于零信任安全的访问控制方法、设备及存储介质，该方法包括：终端设备拦截业务访问请求，获取业务访问请求中的待验证身份信息，向认证服务器发起身份认证请求，接收认证服务器在确定待验证身份信息为合法信息时发送的随机挑战信息；通过不可被导出终端设备的私钥对随机挑战信息进行签名，得到待验证签名信息；将待验证签名信息发送给认证服务器，以使认证服务器对待验证签名信息进行验签处理，得到验签结果；若验签结果为验签通过结果，则将业务访问请求发送至认证服务器，以使认证服务器将业务访问请求转发至业务服务器。采用该方法，可以提高零信任系统在身份信息方面的安全性。信息方面的安全性。信息方面的安全性。

【技术实现步骤摘要】
基于零信任安全的访问控制方法、设备及存储介质


[0001]本申请涉及云
，尤其涉及一种基于零信任安全的访问控制方法、设备及存储介质。

技术介绍

[0002]近年来，随着云原生、物联网等技术的普及，企业内部的网络环境越来越复杂、网络边界越来越模糊，传统的安全产品遇到一些挑战，零信任这一概念逐渐火热起来。零信任安全的核心理念是“从不信任，持续校验”(Never Trust,Always Verify)，通过用户可信、设备可信、网络链路可信、资源权限可信这几个方面建立信任链条，并进行持续、动态的检验，以确保信任链的安全可信。
[0003]现有的零信任解决方案，通常是通过初始的身份认证(用户名密码、动态口令，多因子认证等)，换取用户身份标识符(通常表述为身份标识号、令牌、票据等名称)，并存储在终端设备中。当再次访问目标服务时，客户端在发送的访问请求中附带前面获得的用户身份标识符，服务端通过校验身份标识符来验证用户身份。但是，由于零信任在网络拓扑上消除了网络边界，原本需要在企业内网(物理网络边界)访问的资源，现在从任意位置都可以发起访问，在给合法用户提供便利的同时，也给攻击者提供了便利。一旦终端设备被攻破，用户身份标识符被泄露，攻击者就可以通过合法用户的用户身份标识符访问受零信任系统保护的资源，因此，零信任系统在身份信息方面的安全性仍需提高。

技术实现思路

[0004]本申请实施例提供一种基于零信任安全的访问控制方法、设备及存储介质，可以提高零信任系统在身份信息方面的安全性。
[0005]本申请实施例一方面提供了一种基于零信任安全的访问控制方法，包括：
[0006]终端设备拦截由应用所发起的业务访问请求，业务访问请求包含目标用户的待验证身份信息；
[0007]获取业务访问请求中的待验证身份信息，向认证服务器发起携带待验证身份信息的身份认证请求，以使认证服务器在确定待验证身份信息为合法信息时，向终端设备发送随机挑战信息；
[0008]通过私钥对随机挑战信息进行签名，得到待验证签名信息；私钥无法被导出终端设备；
[0009]将待验证签名信息发送给认证服务器，以使认证服务器基于随机挑战信息和与待验证身份信息绑定的公钥证书对待验证签名信息进行验签处理，得到验签结果；
[0010]若验签结果为验签通过结果，则接收认证服务器下发的验签通过消息，基于验签通过消息将业务访问请求发送至认证服务器，以使认证服务器将业务访问请求转发至应用所访问的业务服务器。
[0011]本申请实施例一方面提供了一种基于零信任安全的访问控制方法，包括：
[0012]认证服务器响应终端设备发起的携带目标用户的待验证身份信息的身份认证请求，对待验证身份信息进行合法性验证；
[0013]当确定待验证身份信息为合法信息时，向终端设备发送随机挑战信息，以使终端设备通过私钥对随机挑战信息进行签名，得到待验证签名信息；私钥无法被导出终端设备；
[0014]接收终端设备通过安全认证组件发送的待验证签名信息，基于随机挑战信息和与待验证身份信息绑定的公钥证书对待验证签名信息进行验签处理，得到验签结果；
[0015]若验签结果为验签通过结果，则向终端设备下发验签通过消息，以使终端设备基于验签通过消息发送业务访问请求至认证服务器；
[0016]将业务访问请求转发至应用所访问的业务服务器。
[0017]本申请实施例一方面提供了一种基于零信任安全的访问控制装置，包括：
[0018]拦截认证模块，用于拦截由应用所发起的业务访问请求，业务访问请求包含目标用户的待验证身份信息；
[0019]拦截认证模块，还用于获取业务访问请求中的待验证身份信息，向认证服务器发起携带待验证身份信息的身份认证请求，以使认证服务器在确定待验证身份信息为合法信息时，向终端设备发送随机挑战信息；
[0020]签名模块，用于通过私钥对随机挑战信息进行签名，得到待验证签名信息；私钥无法被导出终端设备；
[0021]转发模块，用于将待验证签名信息发送给认证服务器，以使认证服务器基于随机挑战信息和与待验证身份信息绑定的公钥证书对待验证签名信息进行验签处理，得到验签结果；
[0022]转发模块，还用于若验签结果为验签通过结果，则接收认证服务器下发的验签通过消息，基于验签通过消息将业务访问请求发送至认证服务器，以使认证服务器将业务访问请求转发至应用所访问的业务服务器。
[0023]其中，签名模块，包括：
[0024]组件签名单元，用于通过安全认证组件将获取到的随机挑战信息传输至公私钥存储组件，通过公私钥存储组件中的私钥对随机挑战信息进行签名，得到待验证签名信息；公私钥存储组件具有数据不可读属性；
[0025]运算单元，用于对随机挑战信息进行哈希运算，得到随机挑战信息的数字摘要；
[0026]加密单元，用于通过私钥对数字摘要进行非对称加密处理，得到针对随机挑战信息的待验证签名信息。
[0027]其中，属于合法信息的所述目标用户的待验证身份信息存在于所述认证服务器中的用户信息管理库中，属于非法信息的所述目标用户的待验证身份信息不存在于所述认证服务器中的用户信息管理库中；
[0028]上述访问控制装置，还包括：
[0029]认证非法模块，用于若认证服务器在确定待验证身份信息为非法信息时，获取认证服务器所发送的身份验证失败提示信息。
[0030]其中，上述访问控制装置，还包括：
[0031]生成模块，用于生成目标用户的公私钥对；公私钥对包括私钥和公钥；
[0032]注册请求模块，用于向认证服务器发送针对目标用户的用户注册请求；用户注册
请求包括目标用户的公钥和目标用户的用户身份信息；
[0033]注册请求模块，还用于接收认证服务器基于用户注册请求发起的初始身份认证请求；
[0034]回复认证模块，用于根据初始身份认证请求向认证服务器发送身份认证回复，以使认证服务器根据身份认证回复进行初始身份认证，得到初始身份认证结果；
[0035]证书存储模块，用于若初始身份认证结果为初始身份认证成功结果，则接收认证服务器下发的公钥证书，存储公钥证书。
[0036]其中，身份认证回复包括待验证动态码；
[0037]回复认证模块，包括：
[0038]界面显示单元，用于根据初始身份认证请求显示动态码认证界面；动态码认证界面用于输入认证服务器发送至联系账号的随机动态码；联系账号在认证服务器的用户信息管理库中与用户身份信息具有绑定关系；
[0039]第一响应单元，用于响应目标用户在动态码认证界面的输入确定操作，获取待验证动态码；
[0040]第一结果确定单元，用于向认证服务器发送待验证动态码，以使认证服务器将待验证动态码和随机动态码进行比对处理，根据比对结果确定初始身份认证结果；若比对结果为待验证动态码和随机动态码相同，则初始身份认证结果为初始身份认证成功结果；若比对结果为待验证本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于零信任安全的访问控制方法，其特征在于，包括：终端设备拦截由应用所发起的业务访问请求，所述业务访问请求包含目标用户的待验证身份信息；获取所述业务访问请求中的待验证身份信息，向认证服务器发起携带所述待验证身份信息的身份认证请求，以使所述认证服务器在确定所述待验证身份信息为合法信息时，向所述终端设备发送随机挑战信息；通过私钥对所述随机挑战信息进行签名，得到待验证签名信息；所述私钥无法被导出所述终端设备；将所述待验证签名信息发送给所述认证服务器，以使所述认证服务器基于所述随机挑战信息和与所述待验证身份信息绑定的公钥证书对所述待验证签名信息进行验签处理，得到验签结果；若所述验签结果为验签通过结果，则接收所述认证服务器下发的验签通过消息，基于所述验签通过消息将所述业务访问请求发送至所述认证服务器，以使所述认证服务器将所述业务访问请求转发至所述应用所访问的业务服务器。2.根据权利要求1所述的方法，其特征在于，所述通过私钥对所述随机挑战信息进行签名，得到待验证签名信息，包括：通过安全认证组件将获取到的所述随机挑战信息传输至公私钥存储组件，通过所述公私钥存储组件中的私钥对所述随机挑战信息进行签名，得到待验证签名信息；所述公私钥存储组件具有数据不可读属性。3.根据权利要求1所述的方法，其特征在于，所述通过私钥对所述随机挑战信息进行签名，得到待验证签名信息，包括：对所述随机挑战信息进行哈希运算，得到所述随机挑战信息的数字摘要；通过所述私钥对所述数字摘要进行非对称加密处理，得到针对所述随机挑战信息的待验证签名信息。4.根据权利要求1所述的方法，其特征在于，属于合法信息的所述目标用户的待验证身份信息存在于所述认证服务器中的用户信息管理库中，属于非法信息的所述目标用户的待验证身份信息不存在于所述认证服务器中的用户信息管理库中；所述方法还包括：若所述认证服务器在确定所述待验证身份信息为非法信息时，获取所述认证服务器所发送的身份验证失败提示信息。5.根据权利要求1所述的方法，其特征在于，还包括：终端设备生成目标用户的公私钥对；所述公私钥对包括私钥和公钥；向认证服务器发送针对所述目标用户的用户注册请求；所述用户注册请求包括所述目标用户的公钥和所述目标用户的用户身份信息；接收所述认证服务器基于所述用户注册请求发起的初始身份认证请求，根据所述初始身份认证请求向所述认证服务器发送身份认证回复，以使所述认证服务器根据所述身份认证回复进行初始身份认证，得到初始身份认证结果；若所述初始身份认证结果为初始身份认证成功结果，则接收所述认证服务器下发的公钥证书，存储所述公钥证书。
6.根据权利要求5所述的方法，其特征在于，所述身份认证回复包括待验证动态码；所述根据所述初始身份认证请求向所述认证服务器发送身份认证回复，包括：根据所述初始身份认证请求显示动态码认证界面；所述动态码认证界面用于输入所述认证服务器发送至联系账号的随机动态码；所述联系账号在所述认证服务器的用户信息管理库中与所述用户身份信息具有绑定关系；响应所述目标用户在所述动态码认证界面的输入确定操作，获取所述待验证动态码；向所述认证服务器发送所述待验证动态码，以使所述认证服务器将所述待验证动态码和所述随机动态码进行比对处理，根据比对结果确定初始身份认证结果；若所述比对结果为所述待验证动态码和所述随机动态码相同，则所述初始身份认证结果为初始身份认证成功结果；若所述比对结果为所述待验证动态码和所述随机动态码不相同，则所述初始身份认证结果为初始身份认证失败结果。7.根据权利要求5所述的方法，其特征在于，所述身份认证回复包括待验证动态口令；所述根据所述初始身份认证请求向所述认证服务器发送身份认证回复，包括：根据所述初始身份认证请求，在令牌存储组件中根据令牌密钥生成所述待验证动态口令；向所述认证服务器发送所述待验证动态口令，以使所述认证服务器将所述待验证动态口令和目标动态口令进行比对处理，根据比对结果确定初始身份认证结果；所述目标动态口令是所述认证服务器根据用户管理信息库中与所述用户身份信息关联的目标令牌密钥生成的；若所述比对结果为所述待验证动态口令和所述目标动态口令相同，则所述初始身份认证结果为初始身份认证成功...

【专利技术属性】
技术研发人员：王连赢，丁川达，于旸，
申请(专利权)人：腾讯云计算北京有限责任公司，
类型：发明
国别省市：