一种安全认证系统及方法技术方案

本申请公开了一种安全认证系统、方法、装置、设备及介质，用以提高对终端进行安全认证的及时性和准确性。由于本申请可以基于与终端位于同一P2P网络中的任意其他终端(目标其他终端)中保存的该终端的环境信息，确定对该终端的安全评分值，并进而基于该安全评分值对终端的环境信息进行安全认证，相比相关技术中终端需要跨网络将终端的环境信息发送给环境感知服务器，基于一个环境感知服务器对终端的环境信息进行安全认证而言，一方面，由于本申请可以基于任意其他终端，确定对该终端的安全评分值，可以降低单点故障风险；另一方面，由于基于P2P网络通信的稳定性和实时性均优于跨网络通信，因此，本申请可以提高对终端进行安全认证的及时性和准确性。证的及时性和准确性。证的及时性和准确性。

【技术实现步骤摘要】
一种安全认证系统及方法


[0001]本申请涉及网络安全
，尤其涉及一种安全认证系统、方法、装置、设备及介质。

技术介绍

[0002]“零信任”是2010年由研究结构Forrester的首席分析师提出的一种新的网络安全模型，它打破默认的“信任”，秉持“持续验证，永不信任”原则，建立起一套以身份为中心，以持续认证、动态访问控制、授权、审计以及监测为方法，以最小化实时授权为核心，以多维信任算法为基础，认证达末端的动态安全架构。其中环境感知和身份认证是整个安全架构的核心。
[0003]由于“零信任”的发展时间并不是很长，难免有不足之处。例如现有“零信任”中环境感知和身份认证相结合使用的方案通常为：
[0004]终端(环境感知终端)定时将其本地的环境信息上传到环境感知服务器上，由环境感知服务器基于该环境信息对终端进行安全认证。具体的，当用户触发对终端的访问请求时，该终端会将终端标识信息和用户的身份信息发送到认证服务器；认证服务器提取出终端标识信息，并向环境感知服务器发起对该终端是否安全的安全认证请求，环境感知服务器基于保存的该终端的环境信息对该终端进行安全认证，并向认证服务器返回安全认证结果。如果环境感知服务器返回的安全认证结果为该终端的安全风险过高，认证服务器则阻断终端本次的访问请求，否则，认证服务器继续进行后续的身份认证流程。
[0005]然而，现有需要终端将其本地的环境信息通过网络上传到环境感知服务器，由环境感知服务器基于该环境信息对终端进行安全认证的方式，一方面，存在单点故障风险，例如当环境感知服务器出现故障时，可能会出现不能对终端进行安全认证的风险；另一方面，当网络出现故障时，终端可能不能及时地将其最新的环境信息上传到环境感知服务器，可能出现不能及时准确地对终端进行安全认证的风险。因此，亟需一种可以提高对终端进行安全认证的及时性和准确性的技术方案。

技术实现思路

[0006]本申请提供了一种安全认证系统、方法、装置、设备及介质，用以提高对终端进行安全认证的及时性和准确性。
[0007]第一方面，本申请提供了一种安全认证系统，所述系统包括：终端、认证服务器及与所述终端位于同一对等网络P2P网络中的多个其他终端；
[0008]所述终端，用于在接收到对安装在自身中的任一应用的访问请求时，向所述P2P网络中的目标其他终端发送第一认证请求，其中，所述第一认证请求中携带所述终端的标识信息；
[0009]所述目标其他终端，用于根据所述标识信息，在保存的环境信息中查找所述标识信息的终端对应的目标环境信息；根据所述目标环境信息中是否包含设定的风险环境信
息，确定所述终端的安全评分值；并将所述安全评分值发送给所述终端；
[0010]所述终端，还用于向所述认证服务器发送携带所述安全评分值的第二认证请求；
[0011]所述认证服务器，用于根据所述安全评分值及预设的分值阈值，对所述终端的环境信息进行安全认证。
[0012]第二方面，本申请提供了一种安全认证方法，所述方法应用于第一终端，所述方法包括：
[0013]在接收到对安装在终端自身中的任一应用的访问请求时，向与所述终端位于同一对等网络P2P网络中的多个其他终端中的目标其他终端发送第一认证请求，其中，所述第一认证请求中携带所述终端的标识信息；
[0014]接收所述目标其他终端发送的安全评分值；其中，所述安全评分值为所述目标其他终端根据所述标识信息，在保存的环境信息中查找所述标识信息的终端对应的目标环境信息；根据所述目标环境信息中是否包含设定的风险环境信息，确定的所述终端的安全评分值；
[0015]向认证服务器发送携带所述安全评分值的第二认证请求；使所述认证服务器根据所述安全评分值及预设的分值阈值，对所述终端的环境信息进行安全认证。
[0016]第三方面，本申请提供了一种安全认证方法，所述方法应用于第二终端，所述方法包括：
[0017]接收第一认证请求，其中所述第一认证请求为与所述第二终端位于同一对等网络P2P网络中的第一终端在接收到对安装在第一终端自身中的任一应用的访问请求时发送的，所述第一认证请求中携带所述第一终端的标识信息；
[0018]根据所述标识信息，在保存的环境信息中查找所述标识信息的终端对应的目标环境信息；根据所述目标环境信息中是否包含设定的风险环境信息，确定所述第一终端的安全评分值；并将所述安全评分值发送给所述第一终端；使所述第一终端向认证服务器发送携带所述安全评分值的第二认证请求；使所述认证服务器根据所述安全评分值及预设的分值阈值，对所述第一终端的环境信息进行安全认证。
[0019]第四方面，本申请提供了一种安全认证方法，所述方法应用于认证服务器，所述方法包括：
[0020]接收终端发送的携带安全评分值的第二认证请求；其中，所述第二认证请求为所述终端在接收到与所述终端位于同一对等网络P2P中的多个其他终端的目标其他终端发送的安全评分值时发送的；所述安全评分值为所述终端在接收到对安装在自身中的任一应用的访问请求时，向所述目标其他终端发送第一认证请求，所述目标其他终端根据所述第一认证请求中携带的终端的标识信息，在保存的环境信息中查找所述标识信息的终端对应的目标环境信息；根据所述目标环境信息中是否包含设定的风险环境信息，确定的所述终端的安全评分值；
[0021]根据所述安全评分值及预设的分值阈值，对所述终端的环境信息进行安全认证。
[0022]第五方面，本申请提供了一种安全认证方法，所述方法应用于环境感知服务器，所述方法包括：
[0023]接收终端发送的加入对等网络P2P网络的第一加入请求；其中，所述第一加入请求中携带所述终端的认证信息；
[0024]判断所述认证信息是否为设定的合规认证信息，若是，根据所述认证信息中的目标网络地址，在保存的P2P网络对应的网络地址中查找所述目标网络地址所属的目标P2P网络，将所述目标P2P网络的网络标识信息、已加入所述目标P2P网络中的已有终端标识信息以及加入验证信息发送给所述终端；并将所述加入验证信息发送给已加入所述目标P2P网络中的已有终端；使所述终端接收所述网络标识信息、所述已有终端标识信息及加入验证信息，使所述终端向所述网络标识信息对应的目标P2P网络中的目标已有终端标识信息对应的目标已有终端发送第二加入请求；使所述目标已有终端根据所述第二加入请求中携带的加入验证信息与从所述环境感知服务器处接收到的加入验证信息是否一致，对是否允许所述终端加入所述目标P2P网络进行验证。
[0025]第六方面，本申请提供了一种安全认证装置，所述装置包括：
[0026]第一发送模块，用于在接收到对安装在终端中的任一应用的访问请求时，向与所述终端位于同一对等网络P2P网络中的多个其他终端中的目标其他终端发送第一认证请求，其中，所述第一认证请求中携带所述终端的标识信息；
[0027]第一接收模块，用于接收所述目标其他终端发送的安全评分值；其中，所述安全评分值为所述目标其他终端本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种安全认证系统，其特征在于，所述系统包括：终端、认证服务器及与所述终端位于同一对等网络P2P网络中的多个其他终端；所述终端，用于在接收到对安装在自身中的任一应用的访问请求时，向所述P2P网络中的目标其他终端发送第一认证请求，其中，所述第一认证请求中携带所述终端的标识信息；所述目标其他终端，用于根据所述标识信息，在保存的环境信息中查找所述标识信息的终端对应的目标环境信息；根据所述目标环境信息中是否包含设定的风险环境信息，确定所述终端的安全评分值；并将所述安全评分值发送给所述终端；所述终端，还用于向所述认证服务器发送携带所述安全评分值的第二认证请求；所述认证服务器，用于根据所述安全评分值及预设的分值阈值，对所述终端的环境信息进行安全认证。2.根据权利要求1所述的系统，其特征在于，所述终端，还用于判断接收到的安全评分值是否高于设定的最低评分阈值，若是，则进行所述向所述认证服务器发送携带所述安全评分值的第二认证请求的步骤。3.根据权利要求1所述的系统，其特征在于，所述认证服务器，还用于若对所述终端的环境信息的安全认证结果为安全，根据所述第二认证请求中携带的用户的身份信息和终端的标识信息，以及保存的安全身份信息，查找所述标识信息的终端对应的目标安全身份信息；根据所述身份信息与所述目标安全身份信息是否一致，对所述终端的身份信息进行安全认证。4.根据权利要求1所述的系统，其特征在于，所述目标其他终端为所述多个其他终端中的全部终端或部分终端。5.根据权利要求1所述的系统，其特征在于，所述系统还包括：环境感知服务器；所述终端，还用于向所述环境感知服务器发送加入P2P网络的第一加入请求；其中，所述第一加入请求中携带所述终端的认证信息；所述环境感知服务器，用于接收所述终端发送的所述第一加入请求，判断所述认证信息是否为设定的合规认证信息，若是，根据所述认证信息中的目标网络地址，在保存的P2P网络对应的网络地址中查找所述目标网络地址所属的目标P2P网络，将所述目标P2P网络的网络标识信息、已加入所述目标P2P网络中的已有终端标识信息以及加入验证信息发送给所述终端；并将所述加入验证信息发送给已加入所述目标P2P网络中的已有终端；所述终端，还用于接收所述网络标识信息、所述已有终端标识信息及加入验证信息，向所述网络标识信息对应的目标P2P网络中的目标已有终端标识信息对应的目标已有终端发送第二加入请求；所述目标已有终端，用于根据所述第二加入请求中携带的加入验证信息与从所述环境感知服务器处接收到的加入验证信息是否一致，对是否允许所述终端加入所述目标P2P网络进行验证。6.根据权利要求5所述的系统，其特征在于，所述目标已有终端，还用于若验证结果为允许所述终端加入所述目标P2P网络，则向所述终端发送允许加入信息；所述终端，还用于若接收到任一目标已有终端发送的允许加入信息，则加入所述目标P2P网络。7.根据权利要求1
‑
6任一所述的系统，其特征在于，所述终端，还用于将自身环境信息
发送给所述多个其他终端。8.根据权利要求1所述的系统，其特征在于，所述目标其他终端，具体用于针对风险环境信息中包含的每种风险类型的信息，判断所述目标环境信息中是否存在该种风险类型的目标风险环境子信息；若否，则将设定的最高子评分值，确定为该种风险类型的目标风险环境子信息对应的子评分值；若所述目标环境信息中存在该种风险类型的目标风险环境子信息，则将设定的最低子评分值，确定为该种风险类型的目标风险环境子信息对应的子评分值；或者，若所述目标环境信息中存在该种风险类型的目标风险环境子信息，则基于保存的该种风险类...

【专利技术属性】
技术研发人员：杨旭，吕文俊，杜强，薛霁，李梁，
申请(专利权)人：北京神州绿盟科技有限公司神州绿盟成都科技有限公司，
类型：发明
国别省市：