零信任网络的访问方法、装置、设备及存储介质制造方法及图纸

本申请公开了一种零信任网络的访问方法、装置、设备及存储介质，属于网络安全领域。所述方法由终端执行，所述终端内运行有应用客户端、安全客户端和代理客户端，所述代理客户端拦截所述应用客户端的网络访问请求，根据所述网络访问请求向所述安全客户端发送鉴权请求；所述安全客户端在基于组合信息对所述鉴权请求进行访问会话的鉴权；所述组合信息包括用户帐号、设备属性、进程属性、网络属性和端点属性中的至少两种；所述代理客户端在所述鉴权成功的情况下，获取访问票据；基于所述访问票据与网关设备建立代理通道，通过所述代理通道将所述网络访问请求发送至所述网关设备以及业务服务器。服务器。服务器。

【技术实现步骤摘要】
零信任网络的访问方法、装置、设备及存储介质


[0001]本申请涉及网络安全领域，特别涉及一种零信任网络的访问方法、装置、设备及存储介质。

技术介绍

[0002]零信任架构有持续验证，永不信任的技术特点，这一网络安全防护架构默认不信任任何设备、用户和系统，而是基于用户身份认证和授权重新构建访问控制的信任基础，达到网络安全防护的目的。
[0003]相关技术提供的零信任架构中，通过应用程序的粒度来管控用户的网络访问行为。在保障用户的正常网络访问的情况下，能够区分不同应用程序的流量使用情况。
[0004]在应用程序的流量存在恶意访问行为的情况下，相关技术会将该应用程序的流量中断，但这种处理在某些场景会影响用户对该应用程序的正常使用。

技术实现思路

[0005]本申请提供了一种零信任网络的访问方法、装置、设备及存储介质，可以提供访问会话粒度的精细化安全控制，访问会话粒度小于应用程序粒度或进程粒度。所述技术方案如下：
[0006]根据本申请的一方面，提供了一种零信任网络的访问方法，所述方法由终端执行，所述终端内运行有应用客户端、安全客户端和代理客户端，所述方法包括：
[0007]所述代理客户端拦截所述应用客户端的网络访问请求，根据所述网络访问请求向所述安全客户端发送鉴权请求；
[0008]所述安全客户端基于组合信息对所述鉴权请求进行访问会话的鉴权；所述访问会话是基于组合信息来区分的流量粒度；所述组合信息包括用户帐号、设备属性、进程属性、网络属性和端点属性中的至少两种；/>[0009]所述代理客户端在所述鉴权成功的情况下，获取访问票据；基于所述访问票据与网关设备建立代理通道，通过所述代理通道将所述网络访问请求发送至所述网关设备，所述网关设备用于将所述网络访问请求发送至业务服务器。
[0010]在本申请的一个可选设计中，所述方法还包括：
[0011]所述代理客户端在满足第一触发条件的情况下，中断已经为所述访问会话建立的代理通道。
[0012]在本申请的一个可选设计中，所述代理客户端在满足第一触发条件的情况下，中断已经为所述访问会话建立的代理通道，包括：
[0013]所述代理客户端在所述访问会话的访问控制策略发生变更的情况下，中断已经为所述访问会话建立的代理通道；
[0014]或者，所述代理客户端在接收到所述安全客户端的第一控制指令的情况下，中断已经为所述访问会话建立的代理通道；所述第一控制指令是所述安全客户端在接收到安全
服务器发送的恶意进程的检测结果且所述访问会话与所述恶意进程对应的情况下发送的；
[0015]或者，所述代理客户端在接收到所述安全客户端的第二控制指令的情况下，中断已经为所述访问会话建立的代理通道；所述第二控制指令是所述安全客户端确定所述终端属于所述恶意设备的情况下发送的。
[0016]在本申请的一个可选设计中，所述组合信息还包括：动态特征；
[0017]所述动态特征包括：访问票据的来源、访问会话的带宽占用、访问会话的持续时间、访问会话的频率中的至少一种。
[0018]根据本申请的另一方面，提供了一种零信任网络的访问方法，所述方法由网关设备执行，所述方法包括：
[0019]接收终端发送的访问票据，所述访问票据是所述终端中的安全客户端基于组合信息对应用客户端的网络访问请求鉴权成功的情况下，由所述安全客户端提供给所述终端中的代理客户端的；所述组合信息包括用户帐号、设备属性、进程属性、网络属性和端点属性中的至少两种；
[0020]基于所述访问票据与所述代理客户端建立代理通道；
[0021]通过所述代理通道将所述网络访问请求发送至业务服务器。
[0022]在本申请的一个可选设计中，所述基于所述访问票据与所述代理客户端建立代理通道，包括：
[0023]在所述网络访问请求是传输控制协议TCP请求或流控制传输协议SCTP请求的情况下，基于所述访问票据与所述代理客户端建立代理隧道；
[0024]在所述网络访问请求是用户数据报协议UDP请求的情况下，基于所述访问票据与所述代理客户端建立基于TCP连接的UDP代理链路。
[0025]在本申请的一个可选设计中，在所述网络访问请求是UDP请求的情况下，所述方法还包括：
[0026]接收所述安全服务器发送的所述访问会话的会话标识ID和访问控制策略；
[0027]在所述UDP代理链路中的UDP流量不符合所述会话ID的访问控制策略的情况下，中断所述UDP代理链路，向所述安全服务器发送监控数据，所述监控数据包括所述访问会话的所述会话ID和异常信息，所述安全服务器用于根据所述监控数据将所述访问会话标识为异常访问会话。
[0028]在本申请的一个可选设计中，在所述网络访问请求是TCP请求或SCTP请求的情况下，所述方法还包括：
[0029]在所述代理隧道中断或结束的情况下，向所述安全服务器发送监控数据，所述监控数据包括所述访问会话的所述会话ID和所述组合信息，所述安全服务器用于根据所述监控数据对所述访问会话进行监控。
[0030]在本申请的一个可选设计中，所述方法还包括：
[0031]所述网关设备在满足第二触发条件的情况下，中断已经为所述访问会话建立的代理通道。
[0032]在本申请的一个可选设计中，所述网关设备在满足第二触发条件的情况下，中断已经为所述访问会话建立的代理通道，包括：
[0033]所述网关设备在所述访问会话的访问控制策略发生变更的情况下，中断已经为所
述访问会话建立的代理通道；
[0034]或者，所述网关设备在接收到所述安全服务器的第一控制指令的情况下，中断已经为所述访问会话建立的代理通道；所述第一控制指令是所述安全服务器确定所述终端属于所述恶意设备的情况下发送的。
[0035]根据本申请的另一方面，提供了一种零信任网络的访问方法，所述方法由安全服务器执行，所述方法包括：
[0036]接收终端发送的鉴权请求，所述鉴权请求是所述终端中的代理客户端拦截到应用客户端的网络访问请求后向安全客户端发送的；
[0037]基于所述鉴权请求中携带的组合信息，对所述鉴权请求进行访问会话的鉴权；所述访问会话是基于组合信息来区分的流量粒度；所述组合信息包括用户帐号、设备属性、进程属性、网络属性和端点属性中的至少两种；
[0038]在所述鉴权成功的情况下，向所述终端发送访问票据，所述终端中的所述代理客户端基于所述访问票据与网关设备建立代理通道，所述代理通道用于供所述代理客户端将所述网络访问请求发送至所述网关设备，以便所述网关设备将所述网络访问请求发送至业务服务器。
[0039]在本申请的一个可选设计中，所述在所述鉴权成功的情况下，向所述终端发送访问票据，包括：
[0040]确定与所述组合信息匹配的第二访问票据；
[0041]向所述终端中的所述安全客户端发送所述第二访问票据，所述安全客户端用于将所述第二访问票据发送至本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种零信任网络的访问方法，其特征在于，所述方法由终端执行，所述终端内运行有应用客户端、安全客户端和代理客户端，所述方法包括：所述代理客户端拦截所述应用客户端的网络访问请求，根据所述网络访问请求向所述安全客户端发送鉴权请求；所述安全客户端基于组合信息对所述鉴权请求进行访问会话的鉴权；所述访问会话是基于所述组合信息来区分的流量粒度；所述组合信息包括用户帐号、设备属性、进程属性、网络属性和端点属性中的至少两种；所述代理客户端在所述鉴权成功的情况下，获取访问票据；基于所述访问票据与网关设备建立代理通道，通过所述代理通道将所述网络访问请求发送至所述网关设备，所述网关设备用于将所述网络访问请求发送至业务服务器。2.根据权利要求1所述的方法，其特征在于，所述代理客户端在所述鉴权成功的情况下，获取访问票据，包括：所述代理客户端接收所述安全客户端发送的第一访问票据；所述第一访问票据是在所述鉴权成功的情况下，所述安全客户端从自身缓存的多个候选访问票据中，获取与所述组合信息匹配的访问票据；所述多个候选访问票据是所述安全客户端预先从安全服务器获取的；或，所述代理客户端接收所述安全客户端发送的第二访问票据；所述第二访问票据是在所述鉴权成功的情况下，所述安全客户端向所述安全服务器获取的与所述组合信息匹配的访问票据；或，所述代理客户端接收所述安全客户端发送的第三访问票据；所述第三访问票据是所述安全客户端在所述鉴权成功的情况下生成的访问票据。3.根据权利要求2所述的方法，其特征在于，所述访问票据具有有效时间和有效次数中的至少一种；所述方法还包括：所述代理客户端在所述访问票据的有效时间超期前，针对所述访问会话的其它网络访问请求不再申请所述访问票据；和/或，所述代理客户端在所述访问票据的有效次数消耗完毕前，针对所述访问会话的其它网络访问请求不再申请所述访问票据。4.根据权利要求1至3任一所述的方法，其特征在于，所述代理客户端基于所述访问票据与网关设备建立代理通道，包括：在所述网络访问请求是传输控制协议TCP请求或流控制传输协议SCTP请求的情况下，所述代理客户端基于所述访问票据与所述网关设备建立代理隧道；在所述网络访问请求是用户数据报协议UDP请求的情况下，所述代理客户端基于所述访问票据与所述网关设备建立基于TCP连接的UDP代理链路。5.根据权利要求4所述的方法，其特征在于，所述方法还包括：所述安全客户端在接收到所述鉴权请求后，生成所述访问会话的会话标识ID；将所述访问会话的会话ID发送给所述代理客户端；
所述代理客户端在所述代理隧道建立成功的情况下，向所述安全客户端发送所述会话ID和所述代理隧道的隧道信息；所述安全客户端向安全服务器发送监控数据，所述监控数据包括所述访问会话的所述会话ID、所述组合信息和所述隧道信息，所述安全服务器用于根据所述监控数据对所述访问会话进行监控。6.根据权利要求4所述的方法，其特征在于，所述方法还包括：所述安全客户端在接收到所述鉴权请求后，生成所述访问会话的会话ID；将所述访问会话的会话ID发送给所述代理客户端；所述代理客户端在所述代理隧道建立失败的情况下，向所述安全客户端发送所述会话ID和所述代理隧道的建立失败原因；所述安全客户端向安全服务器发送监控数据，所述监控数据包括所述访问会话的所述会话ID、所述组合信息和所述建立失败原因，所述安全服务器用于根据所述监控数据将所述访问会话标识为异常访问会话。7.根据权利要求4所述的方法，其特征在于，所述方法还包括：所述安全客户端在接收到所述鉴权请求后，生成所述访问会话的会话ID；将所述访问会话的会话ID发送给所述代理客户端；所述代理客户端在所述代理隧道中断或结束的情况下，向所述安全客户端发送所述会话ID和所述代理隧道的隧道使用信息，所述隧道使用信息包括所述代理隧道的结束时间、中断时间、使用时长、带宽占用中的至少一种；所述安全客户端向安全服务器发送监控数据，所述监控数据包括所述访问会话的所述会话ID和所述隧道使用信息发送至安全服务...

【专利技术属性】
技术研发人员：吴岳廷，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：