本说明书提供一种用户认证的方法和网络设备,该方法包括:接收用户的访问请求,获取访问请求中的第一Token信息,对所述第一Token信息哈希,获得第一哈希值,根据所述第一哈希值判断是否存在对应的第二哈希值,若存在,则允许所述用户访问对应的资源,否则,拒绝用户访问对应的资源。通过该方法,可以避免PEP中的Token值泄露,提高了网络安全,同时,可有效提高验证效率。高验证效率。高验证效率。
【技术实现步骤摘要】
一种用户认证的方法和网络设备
[0001]本公开涉及通信
,尤其涉及一种用户认证的方法和网络设备。
技术介绍
[0002]零信任(Zero Trust,ZT):一组不断演进的网络安全范式,它将网络防御的重心从静态的、基于网络的边界移到了用户、设备和资源上。
[0003]零信任架构(Zero Trust Architecture,ZTA):使用零信任原则来规划企业基础架构和工作流。
[0004]策略引擎(Policy Engine,PE):零信任架构的组成组件,负责最终决定是否授予指定用户对资源的访问权限。
[0005]策略管理器(Policy Administrator,PA):零信任架构的组成组件,负责建立客户端与资源之间的逻辑连接通道,负责生成客户端用于访问资源的身份验证令牌或凭证。
[0006]策略决策点(Policy Decision Point):PE和PA的统称。
[0007]在零信任架构中,有几个关键的组件,策略管理器(PA)和策略执行点(PEP),在零信任架构中,客户要访问资源,过程中要求零信任永远对访问者的身份进行验证,即PEP将用户访问资源中的身份信息上报给PA,经PA对身份验证通过后PEP将用户访问资源的报文转发给后端资源系统。
[0008]用户访问企业资源通常采用HTTPS协议访问企业资源,常用的身份验证机制就是Token机制,即用户在首次登陆时,根据策略管理器提供的统一登陆页面提供身份凭证,经验证成功后由策略管理器生成用户Token颁发给用户使用的客户端(一般为浏览器),用户后续访问只提供Token给策略执行点(PEP),策略执行点(PEP)把Token信心上送到策略管理器进行身份验证,验证通过后策略执行点(PEP)将报文转发到后端应用资源,后端应用资源可以选择再次验证Token或者直接将数据返回给客户端。
技术实现思路
[0009]本公开实施例提供了一种用户认证的方法和网络设备,通过该方法,可以避免PEP中的Token值泄露,提高了网络安全,同时,可有效提高验证效率。
[0010]本公开实施例提供了一种用户认证的方法,该方法应用于零信任架构的策略执行点PEP中,所述方法包括:
[0011]接收用户的访问请求,获取访问请求中的第一Token信息;
[0012]对所述第一Token信息哈希,获得第一哈希值;
[0013]根据所述第一哈希值判断是否存在对应的第二哈希值;
[0014]若存在,则允许所述用户访问对应的资源,否则,拒绝用户访问对应的资源。
[0015]可选的,所述方法还包括:
[0016]从策略决策点PDP获取认证的Token信息,所述认证的Token信息为PDP根据PEP上报的用户信息认证后获得的;
[0017]其中,所述用户信息包括:用户属性信息和/或密钥信息。
[0018]可选的,所述方法还包括:从PDP获取与认证的Token信息对应的访问最大次数和/或访问总时长。
[0019]可选的,所述方法还包括:
[0020]向PDP发送本地阈值范围能力,以使PDP根据本地阈值范围能力确定访问最大次数和/或访问时长。
[0021]其中,所述若存在,则允许所述用户访问对应的资源,包括:
[0022]若存在对应的第二哈希值,判断所述用户的访问次数和访问时长是否超过对应的访问最大次数和/或访问时长;
[0023]若超过,则将用户的访问请求重定向至PDP,以使PDP重新对用户进行认证;
[0024]若未超过,则允许所述用户访问对应的资源。
[0025]通过上述各实施例可以看出,由于PEP中保存的是Token值的哈希值,所以即使被盗取,也可以有效保护Token值不被泄露,进一步的,实现了PEP本地验证,无需将用户的每次访问请求发送到PDP验证,可减低PDP的验证压力。
[0026]本公开实施例还提供了一种网络设备,该网络设备中使能有零信任架构的策略执行点PEP,所述网络设备包括:
[0027]接收模块,用于接收用户的访问请求,获取访问请求中的第一Token信息;
[0028]处理模块,用于对所述第一Token信息哈希,获得第一哈希值;
[0029]判断模块,用于根据所述第一哈希值判断是否存在对应的第二哈希值;
[0030]访问模块,用于当存在对应的第二哈希值时,允许所述用户访问对应的资源,否则,拒绝用户访问对应的资源。
[0031]其中,所述接收模块,还用于从策略决策点PDP获取认证的Token信息,所述认证的Token信息为PDP根据PEP上报的用户信息认证后获得的;
[0032]其中,所述用户信息包括:用户属性信息和/或密钥信息。
[0033]其中,所述接收模块,还用于从PDP获取与认证的Token信息对应的访问最大次数和/或访问总时长。
[0034]其中,所述网络设备还包括:
[0035]发送模块,用于向PDP发送本地阈值范围能力,以使PDP根据本地阈值范围能力确定访问最大次数和/或访问时长。
[0036]其中,所述访问模块,具体用于若存在对应的第二哈希值,判断所述用户的访问次数和访问时长是否超过对应的访问最大次数和/或访问时长;
[0037]若超过,则将用户的访问请求重定向至PDP,以使PDP重新对用户进行认证;
[0038]若未超过,则允许所述用户访问对应的资源。
附图说明
[0039]此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本说明书的实施例,并与说明书一起用于解释本说明书的原理。
[0040]图1为本公开实施例提供的一种用户认证的方法的流程示意图。
[0041]图2为本公开实施例提供的一种用户访问资源token验证流程示意图。
[0042]图3为本公开实施例提供的一种PEP用户阈值表获取流程示意图。
[0043]图4为本公开实施例提供的一种PEP全局阈值表获取流程示意图。
具体实施方式
[0044]这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本说明书的一些方面相一致的装置和方法的例子。
[0045]在本说明书使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书。在本说明书和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
[0046]应当理解,尽管在本说明书可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种用户认证的方法,其特征在于,所述方法应用于零信任架构的策略执行点PEP中,所述方法包括:接收用户的访问请求,获取访问请求中的第一Token信息;对所述第一Token信息哈希,获得第一哈希值;根据所述第一哈希值判断是否存在对应的第二哈希值;若存在,则允许所述用户访问对应的资源,否则,拒绝用户访问对应的资源。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:从策略决策点PDP获取认证的Token信息,所述认证的Token信息为PDP根据PEP上报的用户信息认证后获得的;其中,所述用户信息包括:用户属性信息和/或密钥信息。3.根据权利要求2所述的方法,其特征在于,所述方法还包括:从PDP获取与认证的Token信息对应的访问最大次数和/或访问总时长。4.根据权利要求3所述的方法,其特征在于,所述方法还包括:向PDP发送本地阈值范围能力,以使PDP根据本地阈值范围能力确定访问最大次数和/或访问时长。5.根据权利要求3所述的方法,其特征在于,所述若存在,则允许所述用户访问对应的资源,包括:若存在对应的第二哈希值,判断所述用户的访问次数和访问时长是否超过对应的访问最大次数和/或访问时长;若超过,则将用户的访问请求重定向至PDP,以使PDP重新对用户进行认证;若未超过,则允许所述用户访问对应的资源。6.一种网络设备,其特征在于,所述网络设备中使能有零信任架构...
【专利技术属性】
技术研发人员:刘永亮,
申请(专利权)人:新华三技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。