零信任验证方法、装置、系统及电子设备制造方法及图纸

本申请公开了一种零信任验证方法、装置、系统及电子设备。其中，该方法包括：依据目标终端设备的环境安全情况，生成目标终端设备的设备状态安全信息，并依据设备状态安全信息生成安全信息特征值；在目标终端设备生成第一目标报文后，在网络层中在第一目标报文中添加设备状态安全信息和安全信息特征值，得到第二目标报文；发送第二目标报文至目标网关，其中，目标网关用于在网络层解释第二目标报文，并依据设备状态安全信息和安全信息特征值确定目标终端设备的安全状态，以及在确定终端设备安全的情况下，转发第一目标报文至用于提供目标业务资源的服务器；接收服务器依据第一目标报文返回的目标业务资源。回的目标业务资源。回的目标业务资源。

【技术实现步骤摘要】
零信任验证方法、装置、系统及电子设备


[0001]本申请涉及网络安全领域，具体而言，涉及一种零信任验证方法、装置、系统及电子设备。

技术介绍

[0002]目前相关技术中在用户希望访问某些业务资源时，通常只会对访问用户的身份进行认证，但是无法对用户所使用的设备安全环境进行验证，导致无法保证零信任验证过程的安全性，容易导致数据泄露。
[0003]针对上述的问题，目前尚未提出有效的解决方案。

技术实现思路

[0004]本申请实施例提供了一种零信任验证方法、装置、系统及电子设备，以至少解决由于相关技术中无法对终端设备的安全环境进行验证造成的无法保证验证过程的安全性的技术问题。
[0005]根据本申请实施例的一个方面，提供了一种零信任验证方法，包括：依据目标终端设备的环境安全情况，生成目标终端设备的设备状态安全信息，并依据设备状态安全信息生成安全信息特征值，其中，设备状态安全信息和安全信息特征值用于确认目标终端设备的安全状态；在目标终端设备生成第一目标报文后，在网络层中在第一目标报文中添加设备状态安全信息和安全信息特征值，得到第二目标报文，其中，第二目标报文用于访问目标业务资源，以及对目标终端设备进行认证；发送第二目标报文至目标网关，其中，目标网关用于在网络层解释第二目标报文，获取设备状态安全信息和安全信息特征值，以及第一目标报文，并依据设备状态安全信息和安全信息特征值确定目标终端设备的安全状态，以及在确定终端设备安全的情况下，转发第一目标报文至用于提供目标业务资源的服务器；接收目标网关代理转发的目标业务资源，其中，目标业务资源为服务器依据第一目标报文提供的业务资源。
[0006]可选地，依据设备状态安全信息生成安全信息特征值的步骤包括：获取目标终端设备的终端硬件信息，并获取依据终端硬件信息计算得到的与目标终端设备对应的设备密钥；根据设备密钥和设备状态安全信息，生成安全信息特征值。
[0007]可选地，根据设备密钥和设备状态安全信息，生成安全信息特征值的步骤包括：采用密码生成算法和设备密钥对设备状态安全信息进行密码生成运算，生成安全信息特征值。
[0008]可选地，在第一目标报文中添加设备状态安全信息和安全信息特征值，得到第二目标报文的步骤包括：获取目标网关对应的路由配置信息；依据路由配置信息，在网络层对第一目标报文重新封装，并在封装过程中，设定第一目标报文的目的地址和端口指向目标网关；在封装后的第一目标报文的报文头添加加密后的设备状态安全信息和安全信息特征值，得到第二目标报文。
[0009]可选地，获取依据终端硬件信息计算得到的与目标终端设备对应的设备密钥的步骤包括：发送终端硬件信息和注册请求到目标控制中心，其中，目标控制中心用于在通过注册请求的情况下，根据终端硬件信息计算得到设备密钥；接收目标控制中心发送的设备密钥。
[0010]可选地，根据目标终端设备的设备状态安全信息，生成设备状态安全信息和安全信息特征值的步骤包括：以预设频率扫描目标终端设备的设备状态，获取设备状态安全信息，并在每次获取设备状态安全信息后，生成安全信息特征值。
[0011]可选地，设备状态安全信息包括以下至少之一：用于指示是否设置开机密码的指示信息，目标终端设备的系统补丁信息，目标终端设备的防火墙信息，目标终端设备的安全程序信息，目标终端设备的白名单程序列表信息是否满足第一预设条件，目标终端设备的黑名单程序列表信息是否满足第二预设条件。
[0012]根据本申请实施例的另一方面，还提供了一种零信任验证方法，包括：接收目标终端设备发送的第二目标报文，其中，第二目标报文中携带有目标终端设备的设备状态安全信息和第一安全信息特征值，以及用于访问目标业务资源的第一目标报文；解析第二目标报文，获取设备状态安全信息，第一安全信息特征值和第一目标报文；依据设备安全信息和第一安全信息特征值确定目标终端设备的安全状态；在确定目标终端设备的安全状态为安全的情况下，代理转发第一目标报文至用于提供目标业务资源的服务器，其中，第一目标报文用于指示服务器通过目标网关向目标终端设备发送目标业务资源。
[0013]可选地，依据设备状态安全信息和安全信息特征值确定目标终端设备的安全状态的步骤包括：检索目标存储空间中是否有与第一安全信息特征值匹配的第二安全信息特征值；在确定存在第二安全信息特征值的情况下确定目标终端设备的安全状态为安全；以及，在确定不存在第二安全信息特征值的情况下，发送设备状态安全信息和第一安全信息特征值至目标控制中心，其中，目标控制中心用于依据设备状态安全信息和目标终端设备的设备密钥计算得到第三安全信息特征值，并依据第三安全信息特征值对第一安全信息特征值进行验证；在第一安全信息特征值验证通过的情况下，接收目标控制中心发送的验证信息；根据验证信息确定目标终端设备的安全状态。
[0014]可选地，接收目标控制中心发送的验证信息的步骤之后，零信任验证方法还包括：在验证信息指示目标终端设备的安全状态为安全的情况下，依据第二目标报文确定终端设备的设备标识信息；将第一安全信息特征值作为第二安全信息特征值，并确定设备标识信息和第二安全信息特征值之间的关联关系；将设备标识信息和第二安全信息特征值存放到目标存储空间。
[0015]可选地，将设备标识信息和第二安全信息特征值存放到目标存储空间的步骤之后，零信任验证方法还包括：在预设时长内未接收到目标终端设备发送的第二目标报文的情况下，删除设备标识信息和第二安全信息特征值。
[0016]根据本申请实施例的另一方面，还提供了一种零信任验证系统，包括：目标终端设备，目标网关，业务资源服务器，控制中心，其中，终端设备，被配置为执行权利要求1至权利要求7中任意一项的零信任验证方法；目标网关，被配置为执行权利要求8至权利要求11中任意一项的零信任验证方法；控制中心，用于获取目标终端设备的终端硬件信息，并依据终端硬件信息计算并向目标终端设备发送与目标终端设备对应的设备密钥；获取目标网关发
送的设备状态安全信息和第一安全信息特征值，对设备状态安全信息和第一安全信息特征值进行验证，并向目标网关发送验证信息。。
[0017]可选地，控制中心对设备状态安全信息进行验证的步骤包括：确定终端设备的标识信息；依据标识信息，确定与终端设备对应的设备密钥；依据设备密钥，对设备状态安全信息进行解密；校验解密后的设备状态安全信息，确定目标设备的安全状态是否满足预设条件。
[0018]可选地，控制中心对第一安全信息特征值进行验证的步骤包括：依据设备状态安全信息和设备密钥，生成第三安全信息特征值；依据第三安全信息特征值，对第一安全信息特征值进行校验，确定第一安全信息特征值是否被篡改。
[0019]根据本申请实施例的另一方面，还提供了一种零信任验证装置，包括：第一处理模块，用于依据目标终端设备的环境安全情况，生成目标终端设备的设备状态安全信息，并依据设备状态安全信息生成安全信息特征值，其中，设备状态安全信息和安全信息特征值用于确认目标终端设备的安全状态；第二处理模块，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种零信任验证方法，其特征在于，包括：依据目标终端设备的环境安全情况，生成所述目标终端设备的设备状态安全信息，并依据所述设备状态安全信息生成安全信息特征值，其中，所述设备状态安全信息和所述安全信息特征值用于确认所述目标终端设备的安全状态；在所述目标终端设备生成第一目标报文后，在网络层中在所述第一目标报文中添加所述设备状态安全信息和所述安全信息特征值，得到第二目标报文，其中，所述第二目标报文用于访问目标业务资源，以及对所述目标终端设备进行认证；发送所述第二目标报文至目标网关，其中，所述目标网关用于在网络层解释所述第二目标报文，获取所述设备状态安全信息和所述安全信息特征值，以及所述第一目标报文，并依据所述设备状态安全信息和所述安全信息特征值确定所述目标终端设备的安全状态，以及在确定所述终端设备安全的情况下，转发所述第一目标报文至用于提供所述目标业务资源的服务器；接收所述目标网关代理转发的目标业务资源，其中，所述目标业务资源为所述服务器依据所述第一目标报文提供的业务资源。2.根据权利要求1所述的零信任验证方法，其特征在于，所述依据所述设备状态安全信息生成安全信息特征值的步骤包括：获取所述目标终端设备的终端硬件信息，并获取依据所述终端硬件信息计算得到的与所述目标终端设备对应的设备密钥；根据所述设备密钥和所述设备状态安全信息，生成所述安全信息特征值。3.根据权利要求2所述的零信任验证方法，其特征在于，所述根据所述设备密钥和所述设备状态安全信息，生成所述安全信息特征值的步骤包括：采用密码生成算法和所述设备密钥对所述设备状态安全信息进行密码生成运算，生成所述安全信息特征值。4.根据权利要求3所述的零信任验证方法，其特征在于，在所述第一目标报文中添加所述设备状态安全信息和所述安全信息特征值，得到第二目标报文的步骤包括：获取所述目标网关对应的路由配置信息；依据所述路由配置信息，在网络层对所述第一目标报文重新封装，并在封装过程中，设定所述第一目标报文的目的地址和端口指向所述目标网关；在封装后的所述第一目标报文的报文头添加加密后的所述设备状态安全信息和所述安全信息特征值，得到所述第二目标报文。5.根据权利要求2所述的零信任验证方法，其特征在于，所述获取依据所述终端硬件信息计算得到的与所述目标终端设备对应的设备密钥的步骤包括：发送所述终端硬件信息和注册请求到目标控制中心，其中，所述目标控制中心用于在通过所述注册请求的情况下，根据所述终端硬件信息计算得到所述设备密钥；接收所述目标控制中心发送的所述设备密钥。6.根据权利要求1所述的零信任验证方法，其特征在于，所述根据目标终端设备的设备状态安全信息，生成设备状态安全信息和安全信息特征值的步骤包括：以预设频率扫描所述目标终端设备的设备状态，获取所述设备状态安全信息，并在每次获取所述设备状态安全信息后，生成所述安全信息特征值。
7.根据权利要求1所述的零信任验证方法，其特征在于，所述设备状态安全信息包括以下至少之一：用于指示是否设置开机密码的指示信息，所述目标终端设备的系统补丁信息，所述目标终端设备的防火墙信息，所述目标终端设备的安全程序信息，所述目标终端设备的白名单程序列表信息是否满足第一预设条件，所述目标终端设备的黑名单程序列表信息是否满足第二预设条件。8.一种零信任验证方法，其特征在于，包括：接收目标终端设备发送的第二目标报文，其中，所述第二目标报文中携带有所述目标终端设备的设备状态安全信息和第一安全信息特征值，以及用于访问目标业务资源的第一目标报文；解析所述第二目标报文，获取所述设备状态安全信息，所述第一安全信息特征值和所述第一目标报文；依据所述设备安全信息和所述第一安全信息特征值确定所述目标终端设备的安全状态；在确定所述目标终端设备的安全状态为安全的情况下，代理转发所述第一目标报文至用于提供所述目标业务资源的服务器，其中，所述第一目标报文用于指示所述服务器通过目标网关向所述目标终端设备发送所述目标业务资源。9.根据权利要求8所述的零信任验证方法，其特征在于，所述依据所述设备状态安全信息和所述安全信息特征值确定所述目标终端设备的安全状态的步骤包括：检索目标存储空间中是否有与所述第一安全信息特征值匹配的第二安全信息特征值；在确定存在所述第二安全信息特征值的情况下确定所述目标终端设备的安全状态为安全；以及，在确定不存在所述第二安全信息特征值的情况下，发送所述设备状态安全信息和所述第一安全信息特征值至目标控制中心，其中，所述目标控制...

【专利技术属性】
技术研发人员：常进，张斌，李继国，
申请(专利权)人：北京时代亿信科技股份有限公司，
类型：发明
国别省市：