【技术实现步骤摘要】
基于零信任安全的访问控制方法、设备及存储介质
[0001]本申请涉及云
,尤其涉及一种基于零信任安全的访问控制方法、设备及存储介质。
技术介绍
[0002]近年来,随着云原生、物联网等技术的普及,企业内部的网络环境越来越复杂、网络边界越来越模糊,传统的安全产品遇到一些挑战,零信任这一概念逐渐火热起来。零信任安全的核心理念是“从不信任,持续校验”(Never Trust,Always Verify),通过用户可信、设备可信、网络链路可信、资源权限可信这几个方面建立信任链条,并进行持续、动态的检验,以确保信任链的安全可信。
[0003]现有的零信任解决方案,通常是通过初始的身份认证(用户名密码、动态口令,多因子认证等),换取用户身份标识符(通常表述为身份标识号、令牌、票据等名称),并存储在终端设备中。当再次访问目标服务时,客户端在发送的访问请求中附带前面获得的用户身份标识符,服务端通过校验身份标识符来验证用户身份。但是,由于零信任在网络拓扑上消除了网络边界,原本需要在企业内网(物理网络边界)访问的资源,现在从任意位置都可以发起访问,在给合法用户提供便利的同时,也给攻击者提供了便利。一旦终端设备被攻破,用户身份标识符被泄露,攻击者就可以通过合法用户的用户身份标识符访问受零信任系统保护的资源,因此,零信任系统在身份信息方面的安全性仍需提高。
技术实现思路
[0004]本申请实施例提供一种基于零信任安全的访问控制方法、设备及存储介质,可以提高零信任系统在身份信息方面的安全性。
[0005] ...
【技术保护点】
【技术特征摘要】
1.一种基于零信任安全的访问控制方法,其特征在于,包括:终端设备拦截由应用所发起的业务访问请求,所述业务访问请求包含目标用户的待验证身份信息;获取所述业务访问请求中的待验证身份信息,向认证服务器发起携带所述待验证身份信息的身份认证请求,以使所述认证服务器在确定所述待验证身份信息为合法信息时,向所述终端设备发送随机挑战信息;通过私钥对所述随机挑战信息进行签名,得到待验证签名信息;所述私钥无法被导出所述终端设备;将所述待验证签名信息发送给所述认证服务器,以使所述认证服务器基于所述随机挑战信息和与所述待验证身份信息绑定的公钥证书对所述待验证签名信息进行验签处理,得到验签结果;若所述验签结果为验签通过结果,则接收所述认证服务器下发的验签通过消息,基于所述验签通过消息将所述业务访问请求发送至所述认证服务器,以使所述认证服务器将所述业务访问请求转发至所述应用所访问的业务服务器。2.根据权利要求1所述的方法,其特征在于,所述通过私钥对所述随机挑战信息进行签名,得到待验证签名信息,包括:通过安全认证组件将获取到的所述随机挑战信息传输至公私钥存储组件,通过所述公私钥存储组件中的私钥对所述随机挑战信息进行签名,得到待验证签名信息;所述公私钥存储组件具有数据不可读属性。3.根据权利要求1所述的方法,其特征在于,所述通过私钥对所述随机挑战信息进行签名,得到待验证签名信息,包括:对所述随机挑战信息进行哈希运算,得到所述随机挑战信息的数字摘要;通过所述私钥对所述数字摘要进行非对称加密处理,得到针对所述随机挑战信息的待验证签名信息。4.根据权利要求1所述的方法,其特征在于,属于合法信息的所述目标用户的待验证身份信息存在于所述认证服务器中的用户信息管理库中,属于非法信息的所述目标用户的待验证身份信息不存在于所述认证服务器中的用户信息管理库中;所述方法还包括:若所述认证服务器在确定所述待验证身份信息为非法信息时,获取所述认证服务器所发送的身份验证失败提示信息。5.根据权利要求1所述的方法,其特征在于,还包括:终端设备生成目标用户的公私钥对;所述公私钥对包括私钥和公钥;向认证服务器发送针对所述目标用户的用户注册请求;所述用户注册请求包括所述目标用户的公钥和所述目标用户的用户身份信息;接收所述认证服务器基于所述用户注册请求发起的初始身份认证请求,根据所述初始身份认证请求向所述认证服务器发送身份认证回复,以使所述认证服务器根据所述身份认证回复进行初始身份认证,得到初始身份认证结果;若所述初始身份认证结果为初始身份认证成功结果,则接收所述认证服务器下发的公钥证书,存储所述公钥证书。
6.根据权利要求5所述的方法,其特征在于,所述身份认证回复包括待验证动态码;所述根据所述初始身份认证请求向所述认证服务器发送身份认证回复,包括:根据所述初始身份认证请求显示动态码认证界面;所述动态码认证界面用于输入所述认证服务器发送至联系账号的随机动态码;所述联系账号在所述认证服务器的用户信息管理库中与所述用户身份信息具有绑定关系;响应所述目标用户在所述动态码认证界面的输入确定操作,获取所述待验证动态码;向所述认证服务器发送所述待验证动态码,以使所述认证服务器将所述待验证动态码和所述随机动态码进行比对处理,根据比对结果确定初始身份认证结果;若所述比对结果为所述待验证动态码和所述随机动态码相同,则所述初始身份认证结果为初始身份认证成功结果;若所述比对结果为所述待验证动态码和所述随机动态码不相同,则所述初始身份认证结果为初始身份认证失败结果。7.根据权利要求5所述的方法,其特征在于,所述身份认证回复包括待验证动态口令;所述根据所述初始身份认证请求向所述认证服务器发送身份认证回复,包括:根据所述初始身份认证请求,在令牌存储组件中根据令牌密钥生成所述待验证动态口令;向所述认证服务器发送所述待验证动态口令,以使所述认证服务器将所述待验证动态口令和目标动态口令进行比对处理,根据比对结果确定初始身份认证结果;所述目标动态口令是所述认证服务器根据用户管理信息库中与所述用户身份信息关联的目标令牌密钥生成的;若所述比对结果为所述待验证动态口令和所述目标动态口令相同,则所述初始身份认证结果为初始身份认证成功...
【专利技术属性】
技术研发人员:王连赢,丁川达,于旸,
申请(专利权)人:腾讯云计算北京有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。