零信任认证方法及装置、零信任客户端设备和存储介质制造方法及图纸

本申请提供一种零信任认证方法及装置、零信任客户端设备和存储介质。该方法应用于零信任客户端，包括：向零信任服务端发送第一登录请求，使零信任服务端对第一登录请求中登录信息进行验证生成第一认证结果；接收第一认证结果；在第一认证结果指示认证成功且非首次登录时，向国密SIM卡发送识别码请求；接收集成电路卡识别码ICCID，并获取国际移动设备识别码IMEI以及随机数；使用数字证书对ICCID、IMEI以及随机数进行签名，生成国密SIM卡指纹；并发送至零信任服务端，使零信任服务端对国密SIM卡指纹进行认证生成第二认证结果；在第二认证结果指示认证成功时，接收零信任服务端发送的登录响应。本申请的方法，降低了零信任客户端的安全风险。安全风险。安全风险。

【技术实现步骤摘要】
零信任认证方法及装置、零信任客户端设备和存储介质


[0001]本申请涉及计算机
，尤其涉及一种零信任认证方法及装置、零信任客户端设备和存储介质。

技术介绍

[0002]零信任是一种网络安全防护理念，在零信任模式下，用户网络内外的任何人、设备和系统都需要“持续验证，永不信任”。基于零信任原则，可以保障用户终端安全、链路安全以及访问控制安全。
[0003]目前，用户终端设备在登录操作的零信任认证过程中，通常采用用户名和密码进行认证后，再通过采用设备序列号、网卡媒体存取控制(Media Access Control，MAC)地址等硬件信息生成的设备指纹进行认证，两次认证均通过以后允许登录。
[0004]但采用上述零信任认证方式，仍然存在设备指纹被恶意篡改或伪造等安全风险。

技术实现思路

[0005]本申请提供一种零信任认证方法及装置、零信任客户端设备和存储介质，用以解决设备指纹被恶意篡改或伪造的问题。
[0006]第一方面，本申请提供一种零信任认证方法，应用于零信任客户端，方法包括：
[0007]向零信任服务端发送第一登录请求，使零信任服务端对第一登录请求中登录信息进行验证生成第一认证结果；
[0008]接收零信任服务端发送的第一认证结果；
[0009]在第一认证结果指示认证成功后且非首次登录时，向国密用户身份识别(Subscriber Identity Module，SIM)卡发送识别码请求；
[0010]接收国密SIM卡发送的集成电路卡识别码(Integrate circuit card identity，ICCID)；
[0011]获取零信任客户端的国际移动设备识别码(International Mobile Equipment Identity，IMEI)以及随机数；
[0012]使用预先存储的数字证书对ICCID、IMEI以及随机数进行签名，生成国密SIM卡指纹；
[0013]将国密SIM卡指纹发送至零信任服务端，使零信任服务端对国密SIM卡指纹进行认证生成第二认证结果；
[0014]在第二认证结果指示认证成功时，接收零信任服务端发送的登录响应。
[0015]可选地，接收零信任服务端发送的第一认证结果之后，还包括：
[0016]在第一认证结果指示认证成功后且非首次登录时，获取国密SIM卡的个人身份识别码(Personal Identification Number，PIN)，根据国密SIM卡的PIN生成签名请求，向国密SIM卡发送签名请求；
[0017]接收国密SIM卡发送的签名；
[0018]根据签名和用户信息生成签名认证请求，向零信任服务端发送签名认证请求，使零信任服务端对签名认证请求中签名和用户信息进行认证，生成第三认证结果；
[0019]相应地，在第二认证结果指示认证成功时，接收零信任服务端发送的登录响应，具体包括：
[0020]当第二认证结果和第三认证结果都指示认证成功时，接收零信任服务端发送的登录响应。
[0021]可选地，向零信任服务端发送第一登录请求之前，还包括：
[0022]向零信任服务端发送第二登录请求，使零信任服务端对第二登录请求中登录信息进行验证生成第四认证结果；
[0023]接收零信任服务端发送的第四认证结果；
[0024]在第四认证结果指示认证成功后且首次登录时，向零信任服务端发送数字证书请求；
[0025]接收零信任服务端发送的数字证书；
[0026]向国密SIM卡转发数字证书，使国密SIM卡存储数字证书。
[0027]可选地，向零信任服务端发送数字证书请求之前，还包括：
[0028]向管理服务端发送国密SIM卡应用请求；
[0029]接收管理服务端发送的国密SIM卡应用程序；
[0030]向零信任服务端发送实名认证请求，使零信任服务端对实名认证请求中实名认证信息进行认证生成第五认证结果；
[0031]相应地，在第四认证结果指示认证成功后且首次登录时，向零信任服务端发送数字证书请求，具体包括：
[0032]在第四认证结果和第五认证结果均指示认证成功后且首次登录时，向零信任服务端发送数字证书请求；
[0033]相应地，向国密SIM卡转发数字证书，使国密SIM卡存储数字证书，具体包括：
[0034]通过运行国密SIM卡应用程序向国密SIM卡转发数字证书，使国密SIM卡存储数字证书。
[0035]可选地，向零信任服务端发送数字证书请求，具体包括：
[0036]向国密SIM卡发送证书签名请求，使国密SIM卡生成非对称密钥；
[0037]接收国密SIM卡发送的非对称密钥，根据非对称密钥生成数字证书请求；
[0038]向零信任服务端发送数字证书请求。
[0039]可选地，接收零信任服务端发送的登录响应之后，还包括：
[0040]接收国密SIM卡发送的风险提示信息，其中，风险提示信息是国密SIM卡接收到管理服务端发送的弹窗认证命令后生成的；弹窗认证命令是管理服务端在接收到零信任服务端发送的二次认证命令后生成的，零信任服务端在检测到风险事件后生成二次认证命令；
[0041]根据风险提示信息生成确认响应，并向国密SIM卡发送确认响应，使国密SIM卡通过管理服务端向零信任服务端转发确认响应。
[0042]第二方面，本申请提供一种零信任认证装置，应用于零信任客户端，装置包括：
[0043]发送模块，用于向零信任服务端发送第一登录请求，使零信任服务端对第一登录请求中登录信息进行验证生成第一认证结果；
[0044]接收模块，用于接收零信任服务端发送的第一认证结果；
[0045]发送模块，还用于在第一认证结果指示认证成功后且非首次登录时，向国密SIM卡发送识别码请求；
[0046]接收模块，还用于接收国密SIM卡发送的集成电路卡识别码，并获取零信任客户端的国际移动设备识别码以及随机数；
[0047]签名模块，用于使用预先存储的数字证书对集成电路卡识别码、国际移动设备识别码以及随机数进行签名，生成国密SIM卡指纹；
[0048]发送模块，还用于将国密SIM卡指纹发送至零信任服务端，使零信任服务端对国密SIM卡指纹进行认证生成第二认证结果；
[0049]接收模块，还用于在第二认证结果指示认证成功时，接收零信任服务端发送的登录响应。
[0050]第三方面，本申请提供一种零信任客户端设备，包括：存储器和处理器；
[0051]存储器用于存储计算机程序；处理器用于根据存储器存储的计算机程序执行第一方面及第一方面任一种可能的设计中的零信任认证方法。
[0052]第四方面，本申请提供一种计算机可读存储介质，计算机可读存储介质中存储有计算机程序，计算机程序被处理器执行时用于实现第一方面及第一方面任一种可能的设计中的零信任认证方法。
[0053]第本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种零信任认证方法，其特征在于，应用于零信任客户端，所述方法包括：向零信任服务端发送第一登录请求，使所述零信任服务端对所述第一登录请求中登录信息进行验证生成第一认证结果；接收所述零信任服务端发送的所述第一认证结果；在所述第一认证结果指示认证成功后且非首次登录时，向国密用户身份识别SIM卡发送识别码请求；接收所述国密SIM卡发送的集成电路卡识别码ICCID；获取所述零信任客户端的国际移动设备识别码IMEI以及随机数；使用预先存储的数字证书对ICCID、IMEI以及所述随机数进行签名，生成国密SIM卡指纹；将所述国密SIM卡指纹发送至所述零信任服务端，使所述零信任服务端对所述国密SIM卡指纹进行认证生成第二认证结果；在所述第二认证结果指示认证成功时，接收所述零信任服务端发送的登录响应。2.根据权利要求1所述的方法，其特征在于，所述接收所述零信任服务端发送的所述第一认证结果之后，还包括：在所述第一认证结果指示认证成功后且非首次登录时，获取国密SIM卡的个人识别密码PIN，根据所述国密SIM卡的PIN生成签名请求，向所述国密SIM卡发送签名请求；接收所述国密SIM卡发送的签名；根据所述签名和用户信息生成签名认证请求，向所述零信任服务端发送所述签名认证请求，使所述零信任服务端对所述签名认证请求中所述签名和用户信息进行认证，生成第三认证结果；相应地，在所述第二认证结果指示认证成功时，接收所述零信任服务端发送的登录响应，具体包括：当所述第二认证结果和所述第三认证结果都指示认证成功时，接收所述零信任服务端发送的登录响应。3.根据权利要求1所述的方法，其特征在于，所述向零信任服务端发送第一登录请求之前，还包括：向所述零信任服务端发送第二登录请求，使所述零信任服务端对所述第二登录请求中登录信息进行验证生成第四认证结果；接收所述零信任服务端发送的所述第四认证结果；在所述第四认证结果指示认证成功后且首次登录时，向所述零信任服务端发送数字证书请求；接收所述零信任服务端发送的数字证书；向国密SIM卡转发所述数字证书，使所述国密SIM卡存储所述数字证书。4.根据权利要求3所述的方法，其特征在于，所述向所述零信任服务端发送数字证书请求之前，还包括：向管理服务端发送国密SIM卡应用请求；接收所述管理服务端发送的国密SIM卡应用程序；向所述零信任服务端发送实名认证请求，使所述零信任服务端对所述实名认证请求中
实名认证信息进行认证生成第五认证结果；相应地，在所述第四认证结果指示认证成功后且首次登录时，向所述零信任服务端发送数字证书请求，具体包括：在所述第四认证结果和所述第五认证结果均指示认证成功后且首次登录时，向所述零信任服务端发送数字证书请求；相应地，向所述国密SIM卡转发所述数字证书，使所述国密SIM卡存储...

【专利技术属性】
技术研发人员：焦清旺，徐永明，金刚，邓鸿亮，李军，
申请(专利权)人：联通数字科技有限公司，
类型：发明
国别省市：