CN115550074A - 零信任验证方法、装置、***及电子设备 - Google Patents

零信任验证方法、装置、***及电子设备 Download PDF

Info

Publication number
CN115550074A
CN115550074A CN202211519628.3A CN202211519628A CN115550074A CN 115550074 A CN115550074 A CN 115550074A CN 202211519628 A CN202211519628 A CN 202211519628A CN 115550074 A CN115550074 A CN 115550074A
Authority
CN
China
Prior art keywords
target
characteristic value
information
equipment
safety
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202211519628.3A
Other languages
English (en)
Other versions
CN115550074B (zh
Inventor
常进
张斌
李继国
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Eetrust Technology Co ltd
Original Assignee
Eetrust Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Eetrust Technology Co ltd filed Critical Eetrust Technology Co ltd
Priority to CN202211519628.3A priority Critical patent/CN115550074B/zh
Publication of CN115550074A publication Critical patent/CN115550074A/zh
Application granted granted Critical
Publication of CN115550074B publication Critical patent/CN115550074B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/76Proxy, i.e. using intermediary entity to perform cryptographic operations

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请公开了一种零信任验证方法、装置、***及电子设备。其中,该方法包括:依据目标终端设备的环境安全情况,生成目标终端设备的设备状态安全信息,并依据设备状态安全信息生成安全信息特征值;在目标终端设备生成第一目标报文后,在网络层中在第一目标报文中添加设备状态安全信息和安全信息特征值,得到第二目标报文;发送第二目标报文至目标网关,其中,目标网关用于在网络层解释第二目标报文,并依据设备状态安全信息和安全信息特征值确定目标终端设备的安全状态,以及在确定终端设备安全的情况下,转发第一目标报文至用于提供目标业务资源的服务器;接收服务器依据第一目标报文返回的目标业务资源。

Description

零信任验证方法、装置、***及电子设备
技术领域
本申请涉及网络安全领域,具体而言,涉及一种零信任验证方法、装置、***及电子设备。
背景技术
目前相关技术中在用户希望访问某些业务资源时,通常只会对访问用户的身份进行认证,但是无法对用户所使用的设备安全环境进行验证,导致无法保证零信任验证过程的安全性,容易导致数据泄露。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种零信任验证方法、装置、***及电子设备,以至少解决由于相关技术中无法对终端设备的安全环境进行验证造成的无法保证验证过程的安全性的技术问题。
根据本申请实施例的一个方面,提供了一种零信任验证方法,包括:依据目标终端设备的环境安全情况,生成目标终端设备的设备状态安全信息,并依据设备状态安全信息生成安全信息特征值,其中,设备状态安全信息和安全信息特征值用于确认目标终端设备的安全状态;在目标终端设备生成第一目标报文后,在网络层中在第一目标报文中添加设备状态安全信息和安全信息特征值,得到第二目标报文,其中,第二目标报文用于访问目标业务资源,以及对目标终端设备进行认证;发送第二目标报文至目标网关,其中,目标网关用于在网络层解释第二目标报文,获取设备状态安全信息和安全信息特征值,以及第一目标报文,并依据设备状态安全信息和安全信息特征值确定目标终端设备的安全状态,以及在确定终端设备安全的情况下,转发第一目标报文至用于提供目标业务资源的服务器;接收目标网关代理转发的目标业务资源,其中,目标业务资源为服务器依据第一目标报文提供的业务资源。
可选地,依据设备状态安全信息生成安全信息特征值的步骤包括:获取目标终端设备的终端硬件信息,并获取依据终端硬件信息计算得到的与目标终端设备对应的设备密钥;根据设备密钥和设备状态安全信息,生成安全信息特征值。
可选地,根据设备密钥和设备状态安全信息,生成安全信息特征值的步骤包括:采用密码生成算法和设备密钥对设备状态安全信息进行密码生成运算,生成安全信息特征值。
可选地,在第一目标报文中添加设备状态安全信息和安全信息特征值,得到第二目标报文的步骤包括:获取目标网关对应的路由配置信息;依据路由配置信息,在网络层对第一目标报文重新封装,并在封装过程中,设定第一目标报文的目的地址和端口指向目标网关;在封装后的第一目标报文的报文头添加加密后的设备状态安全信息和安全信息特征值,得到第二目标报文。
可选地,获取依据终端硬件信息计算得到的与目标终端设备对应的设备密钥的步骤包括:发送终端硬件信息和注册请求到目标控制中心,其中,目标控制中心用于在通过注册请求的情况下,根据终端硬件信息计算得到设备密钥;接收目标控制中心发送的设备密钥。
可选地,根据目标终端设备的设备状态安全信息,生成设备状态安全信息和安全信息特征值的步骤包括:以预设频率扫描目标终端设备的设备状态,获取设备状态安全信息,并在每次获取设备状态安全信息后,生成安全信息特征值。
可选地,设备状态安全信息包括以下至少之一:用于指示是否设置开机密码的指示信息,目标终端设备的***补丁信息,目标终端设备的防火墙信息,目标终端设备的安全程序信息,目标终端设备的白名单程序列表信息是否满足第一预设条件,目标终端设备的黑名单程序列表信息是否满足第二预设条件。
根据本申请实施例的另一方面,还提供了一种零信任验证方法,包括:接收目标终端设备发送的第二目标报文,其中,第二目标报文中携带有目标终端设备的设备状态安全信息和第一安全信息特征值,以及用于访问目标业务资源的第一目标报文;解析第二目标报文,获取设备状态安全信息,第一安全信息特征值和第一目标报文;依据设备安全信息和第一安全信息特征值确定目标终端设备的安全状态;在确定目标终端设备的安全状态为安全的情况下,代理转发第一目标报文至用于提供目标业务资源的服务器,其中,第一目标报文用于指示服务器通过目标网关向目标终端设备发送目标业务资源。
可选地,依据设备状态安全信息和安全信息特征值确定目标终端设备的安全状态的步骤包括:检索目标存储空间中是否有与第一安全信息特征值匹配的第二安全信息特征值;在确定存在第二安全信息特征值的情况下确定目标终端设备的安全状态为安全;以及,在确定不存在第二安全信息特征值的情况下,发送设备状态安全信息和第一安全信息特征值至目标控制中心,其中,目标控制中心用于依据设备状态安全信息和目标终端设备的设备密钥计算得到第三安全信息特征值,并依据第三安全信息特征值对第一安全信息特征值进行验证;在第一安全信息特征值验证通过的情况下,接收目标控制中心发送的验证信息;根据验证信息确定目标终端设备的安全状态。
可选地,接收目标控制中心发送的验证信息的步骤之后,零信任验证方法还包括:在验证信息指示目标终端设备的安全状态为安全的情况下,依据第二目标报文确定终端设备的设备标识信息;将第一安全信息特征值作为第二安全信息特征值,并确定设备标识信息和第二安全信息特征值之间的关联关系;将设备标识信息和第二安全信息特征值存放到目标存储空间。
可选地,将设备标识信息和第二安全信息特征值存放到目标存储空间的步骤之后,零信任验证方法还包括:在预设时长内未接收到目标终端设备发送的第二目标报文的情况下,删除设备标识信息和第二安全信息特征值。
根据本申请实施例的另一方面,还提供了一种零信任验证***,包括:目标终端设备,目标网关,业务资源服务器,控制中心,其中,终端设备,被配置为执行权利要求1至权利要求7中任意一项的零信任验证方法;目标网关,被配置为执行权利要求8至权利要求11中任意一项的零信任验证方法;控制中心,用于获取目标终端设备的终端硬件信息,并依据终端硬件信息计算并向目标终端设备发送与目标终端设备对应的设备密钥;获取目标网关发送的设备状态安全信息和第一安全信息特征值,对设备状态安全信息和第一安全信息特征值进行验证,并向目标网关发送验证信息。。
可选地,控制中心对设备状态安全信息进行验证的步骤包括:确定终端设备的标识信息;依据标识信息,确定与终端设备对应的设备密钥;依据设备密钥,对设备状态安全信息进行解密;校验解密后的设备状态安全信息,确定目标设备的安全状态是否满足预设条件。
可选地,控制中心对第一安全信息特征值进行验证的步骤包括:依据设备状态安全信息和设备密钥,生成第三安全信息特征值;依据第三安全信息特征值,对第一安全信息特征值进行校验,确定第一安全信息特征值是否被篡改。
根据本申请实施例的另一方面,还提供了一种零信任验证装置,包括:第一处理模块,用于依据目标终端设备的环境安全情况,生成目标终端设备的设备状态安全信息,并依据设备状态安全信息生成安全信息特征值,其中,设备状态安全信息和安全信息特征值用于确认目标终端设备的安全状态;第二处理模块,用于在目标终端设备生成第一目标报文后,在网络层中在第一目标报文中添加设备状态安全信息和安全信息特征值,得到第二目标报文,其中,第二目标报文用于访问目标业务资源,以及对目标终端设备进行认证;第一通信模块,用于发送第二目标报文至目标网关,其中,目标网关用于在网络层解释第二目标报文,获取设备状态安全信息和安全信息特征值,以及第一目标报文,并依据设备状态安全信息和安全信息特征值确定目标终端设备的安全状态,以及在确定终端设备安全的情况下,转发第一目标报文至用于提供目标业务资源的服务器;第二通信模块,用于接收目标网关代理转发的目标业务资源,其中,目标业务资源为服务器依据第一目标报文提供的业务资源。
根据本申请实施例的另一方面,还提供了一种电子设备,包括存储器和处理器,处理器用于运行存储在存储器中的程序,其中,程序运行时执行零信任验证方法。
在本申请实施例中,采用依据目标终端设备的环境安全情况,生成目标终端设备的设备状态安全信息,并依据设备状态安全信息生成安全信息特征值,其中,设备状态安全信息和安全信息特征值用于确认目标终端设备的安全状态;在目标终端设备生成第一目标报文后,在网络层中在第一目标报文中添加设备状态安全信息和安全信息特征值,得到第二目标报文,其中,第二目标报文用于访问目标业务资源,以及对目标终端设备进行认证;发送第二目标报文至目标网关,其中,目标网关用于在网络层解释第二目标报文,获取设备状态安全信息和安全信息特征值,以及第一目标报文,并依据设备状态安全信息和安全信息特征值确定目标终端设备的安全状态,以及在确定终端设备安全的情况下,转发第一目标报文至用于提供目标业务资源的服务器;接收目标网关代理转发的目标业务资源,其中,目标业务资源为服务器依据第一目标报文提供的业务资源的方式,通过依据终端设备的设备状态安全信息生成安全认证报文和安全信息特征值,并将安全认证报文和安全信息特征值添加到第一目标报文中,再由网关对安全认证报文和安全信息特征值进行验证,达到了在访问业务资源的过程中对终端设备的设备安全环境进行验证的目的,从而实现了保证零信任验证过程的安全性的技术效果,进而解决了由于相关技术中无法对终端设备的安全环境进行验证造成的无法保证验证过程的安全性技术问题。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的一种计算机终端的结构示意图;
图2是根据本申请实施例的一种零信任验证方法的流程示意图;
图3是根据本申请实施例的另一种零信任验证方法的流程示意图;
图4是根据本申请实施例的一种零信任验证***的结构示意图;
图5是根据本申请实施例的一种零信任验证流程的流程示意图;
图6是根据本申请实施例的一种零信任验证装置的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
目前的零信任安全认证体系中,虽然会持续对用户进行身份认证,但是无法确定用户所使用的终端设备是否安全,导致存在数据泄露的风险。针对上述问题,本申请中提供了一种可以在用户所使用的终端设备发送的每个数据报文中增加设备状态安全信息的零信任安全认证方法,可以在整个数据访问过程中,实时采集终端设备的安全信息,并将安全信息封装到每个数据报文中,发送到特定的目标网关,再由目标网关对安全信息进行验证,从而可以解决上述问题,以下详细说明。
根据本申请实施例,提供了一种零信任验证方法的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机***中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。图1示出了一种用于实现零信任验证方法的计算机终端(或移动设备)的结构示意图。如图1所示,计算机终端10(或移动设备10)可以包括一个或多个(图中采用102a、102b,……,102n来示出)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输模块106。除此以外,还可以包括:显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为BUS总线的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机终端10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
应当注意到的是上述一个或多个处理器102和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外,数据处理电路可为单个独立的处理模块,或全部或部分的结合到计算机终端10(或移动设备)中的其他元件中的任意一个内。如本申请实施例中所涉及到的,该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。
存储器104可用于存储应用软件的软件程序以及模块,如本申请实施例中的零信任验证方法对应的程序指令/数据存储装置,处理器102通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的应用程序的零信任验证方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
显示器可以例如触摸屏式的液晶显示器(LCD),该液晶显示器可使得用户能够与计算机终端10(或移动设备)的用户界面进行交互。
需要说明的是,本申请实施例的技术方案可以应用于各种通信***,例如:全球移动通讯(Global System of Mobile communication,GSM)***、码分多址(Code DivisionMultiple Access,CDMA)***、宽带码分多址(Wideband Code Division MultipleAccess,WCDMA)***、通用分组无线业务(General Packet Radio Service,GPRS)、长期演进(Long Term Evolution,LTE)***、LTE频分双工(Frequency Division Duplex,FDD)***、LTE时分双工(Time Division Duplex,TDD)、通用移动通信***(Universal MobileTelecommunication System,UMTS)、全球互联微波接入(Worldwide Interoperabilityfor Microwave Access,WiMAX)通信***或5G***等。
示例性的,本申请实施例应用的通信***可以包括网络设备,网络设备可以是与终端设备(或称为通信终端、终端)通信的设备。网络设备可以为特定的地理区域提供通信覆盖,并且可以与位于该覆盖区域内的终端设备进行通信。可选地,该网络设备可以是GSM***或CDMA***中的基站(Base Transceiver Station,BTS),也可以是WCDMA***中的基站(NodeB,NB),还可以是LTE***中的演进型基站(Evolutional Node B,eNB或eNodeB),或者是云无线接入网络(Cloud Radio Access Network,CRAN)中的无线控制器,或者该网络设备可以为移动交换中心、中继站、接入点、车载设备、可穿戴设备、集线器、交换机、网桥、路由器、5G网络中的网络侧设备或者未来演进的公共陆地移动网络(Public Land MobileNetwork,PLMN)中的网络设备等。
该通信***还包括位于网络设备覆盖范围内的至少一个终端设备。作为在此使用的“终端设备”包括但不限于经由有线线路连接,如经由公共交换电话网络(PublicSwitched Telephone Networks,PSTN)、数字用户线路(Digital Subscriber Line,DSL)、数字电缆、直接电缆连接;和/或另一数据连接/网络;和/或经由无线接口,如,针对蜂窝网络、无线局域网(Wireless Local Area Network,WLAN)、诸如DVB-H 网络的数字电视网络、卫星网络、AM-FM广播发送器;和/或另一终端设备的被设置成接收/发送通信信号的装置;和/或物联网(Internet of Things,IoT)设备。被设置成通过无线接口通信的终端设备可以被称为“无线通信终端”、“无线终端”或“移动终端”。移动终端的示例包括但不限于卫星或蜂窝电话;可以组合蜂窝无线电电话与数据处理、传真以及数据通信能力的个人通信***(Personal Communications System,PCS)终端;可以包括无线电电话、寻呼机、因特网/内联网接入、Web浏览器、记事簿、日历以及/或全球定位***(Global PositioningSystem,GPS)接收器的PDA;以及常规膝上型和/或掌上型接收器或包括无线电电话收发器的其它电子装置。终端设备可以指接入终端、用户设备(User Equipment,UE)、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。接入终端可以是蜂窝电话、无绳电话、会话启动协议(Session InitiationProtocol,SIP)电话、无线本地环路(Wireless Local Loop,WLL)站、个人数字处理(Personal Digital Assistant,PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备、5G网络中的终端设备或者未来演进的PLMN中的终端设备等。
可选地,终端设备之间可以进行设备到设备(Device to Device,D2D)通信。
可选地,5G***或5G网络还可以称为新无线(New Radio,NR)***或NR网络。
在上述运行环境下,本申请实施例提供了一种零信任验证方法,适用于终端设备中,如图2所示,该方法包括如下步骤:
步骤S202,依据目标终端设备的环境安全情况,生成目标终端设备的设备状态安全信息,并依据设备状态安全信息生成安全信息特征值,其中,设备状态安全信息和安全信息特征值用于确认目标终端设备的安全状态;
在步骤S202所提供的技术方案中,根据目标终端设备的设备状态安全信息,生成安全信息特征值的步骤包括:获取目标终端设备的终端硬件信息,并获取依据终端硬件信息计算得到的与目标终端设备对应的设备密钥;根据设备密钥和设备状态安全信息,生成安全信息特征值。
具体地,获取目标终端设备的终端硬件信息后,为了获取设备密钥,需要将获取的目标终端设备的终端硬件信息和注册请求发送至控制中心,再获取目标控制中心在通过注册请求后根据终端硬件信息计算得到的设备密钥。
在实际应用过程中,上述目标终端设备可以是运行有SDP(Software DefinedPerimeter,软件定义边界)客户端的终端设备,上述控制中心可以是SDP控制中心。
在根据设备状态安全信息生成设备状态安全信息时,所用到的设备状态安全信息可以包括以下至少之一:用于指示是否设置开机密码的指示信息,所述目标终端设备的***补丁信息,所述目标终端设备的防火墙信息,所述目标终端设备的安全程序信息,所述目标终端设备的白名单程序列表信息是否满足第一预设条件,所述目标终端设备的黑名单程序列表信息是否满足第二预设条件。其中,第一预设条件指的是目标终端设备的白名单程序列表中不存在不应当在白名单中的程序,第二预设条件指的是黑名单程序列表中不存在不应当在黑名单中的程序,并且没有缺失应当在黑名单程序列表中的程序信息。例如,程序A为不可信任的程序,那么白名单程序列表中不能出现程序A,黑名单程序列表中需要出现程序A。
作为一种可选的实施方式,根据设备密钥和设备状态安全信息,生成安全信息特征值的步骤包括:采用密码生成算法和设备密钥对设备状态安全信息进行密码生成运算,生成安全信息特征值。需要说明的是,此处使用的设备状态安全信息为设备状态安全信息的明文。
具体地,上述加密算法可以是SM4算法,上述密码生成算法可以是HMAC-SM3算法,上述安全信息特征值可以是HMAC值,上述设备状态安全信息则是以设备安全报文的形式参与运算,并写入第一目标报文的报文头中。
在本申请的一些实施例中,为了保证及时确认目标终端设备是否安全,在根据目标终端设备的设备状态安全信息,生成设备状态安全信息和安全信息特征值时,还会以预设频率扫描目标终端设备的设备状态,从而获取目标终端设备的设备状态安全信息,并在每次获取设备状态安全信息后,生成安全信息特征值。
具体地,目标终端设备中运行的SDP客户端会定时检查目标终端设备的设备状态安全信息和设备所处环境的安全信息,例如:SDP客户端会定期校验目标终端设备是否设置开机密码,定期获取目标终端设备已经安装的***补丁的名称及版本号等,定期确定目标终端设备中的防火墙名称,版本号,运行状态等,定期获取目标终端设备中所安装的杀毒软件名称、版本号、运行状态等,以及定期检查目标终端设备中是否设置有符合要求的白名单软件列表和黑名单软件列表等。
步骤S204,在目标终端设备生成第一目标报文后,在网络层中在第一目标报文中添加设备状态安全信息和安全信息特征值,得到第二目标报文,其中,第二目标报文用于访问目标业务资源,以及对目标终端设备进行认证;
在步骤S204所提供的技术方案中,在第一目标报文中添加加密后的设备状态安全信息和安全信息特征值,得到第二目标报文的步骤包括:获取目标网关对应的路由配置信息;依据路由配置信息,在网络层对第一目标报文重新封装,并在封装过程中,设定第一目标报文的目的地址和端口指向目标网关;在封装后的第一目标报文的报文头添加设备状态安全信息和安全信息特征值,得到第二目标报文。对设备状态安全信息加密时,可以采用SM4算法等加密算法。
具体地,通过将报文的目的地址和端口指向目标网关,可以将报文发送到指定的网关中,避免了数据泄露的风险。
步骤S206,发送所述第二目标报文至目标网关,其中,所述目标网关用于在网络层解释所述第二目标报文,获取所述设备状态安全信息和所述安全信息特征值,以及所述第一目标报文,并依据所述设备状态安全信息和所述安全信息特征值确定所述目标终端设备的安全状态,以及在确定所述终端设备安全的情况下,转发所述第一目标报文至用于提供所述目标业务资源的服务器;
在步骤S206所提供的技术方案中,目标网关在接收到第二目标报文后,会对第二目标报文进行解析,得到第一目标报文,加密后的终端安全认证报文和HMAC值(也就是安全信息特征值)。然后目标网关会检查缓存中是否存放有与解析得到的HMAC值匹配的HMAC值,并在查到到后将第一目标报文转发至运行有业务***的服务器,服务器会在接收到第一目标报文后向目标终端设备发送相应的业务资源。如果目标网关未查询到对应的HMAC值,则会将解析得到的HMAC值和安全认证报文发送到目标控制中心,之后控制中心会采用SM4算法对报文进行解密,并通过HMAC-SM3算法计算得到HMAC值,并比较计算得到的HMAC值和接收到的HMAC值,确认终端安全认证报文在传输过程中是否被篡改,如发现被篡改,则确定认证不通过。在确认无篡改的情况下,控制中心会根据预设的验证策略对终端安全认证报文进行验证,并将验证结果发送到网关。其中,在验证通过的情况下,发送到网关的验证结果中还会携带计算得到的HMAC值。
步骤S208,接收目标网关代理转发的目标业务资源,其中,目标业务资源为服务器依据第一目标报文提供的业务资源。
通过依据目标终端设备的环境安全情况,生成目标终端设备的设备状态安全信息,并依据设备状态安全信息生成安全信息特征值,其中,设备状态安全信息和安全信息特征值用于确认目标终端设备的安全状态;在目标终端设备生成第一目标报文后,在网络层中在第一目标报文中添加设备状态安全信息和安全信息特征值,得到第二目标报文,其中,第二目标报文用于访问目标业务资源,以及对目标终端设备进行认证;发送第二目标报文至目标网关,其中,目标网关用于在网络层解释第二目标报文,获取设备状态安全信息和安全信息特征值,以及第一目标报文,并依据设备状态安全信息和安全信息特征值确定目标终端设备的安全状态,以及在确定终端设备安全的情况下,转发第一目标报文至用于提供目标业务资源的服务器;接收目标网关代理转发的目标业务资源,其中,目标业务资源为服务器依据第一目标报文提供的业务资源的方式,通过依据终端设备的设备状态安全信息生成安全认证报文和安全信息特征值,并将安全认证报文和安全信息特征值添加到第一目标报文中,再由网关对安全认证报文和安全信息特征值进行验证,达到了在访问业务资源的过程中对终端设备的设备安全环境进行验证的目的,从而实现了保证零信任验证过程的安全性的技术效果,进而解决了由于相关技术中无法对终端设备的安全环境进行验证造成的无法保证验证过程的安全性技术问题。
本申请实施例中还提供了另一种零信任验证方法,适用于网关设备中,如图3所示,该方法包括如下步骤:
步骤S302,接收目标终端设备发送的第二目标报文,其中,第二目标报文中携带有目标终端设备的设备状态安全信息和第一安全信息特征值,以及用于访问目标业务资源的第一目标报文;
步骤S304,解析第二目标报文,获取设备状态安全信息,第一安全信息特征值和第一目标报文;
步骤S306,依据设备状态安全信息和安全信息特征值确定目标终端设备的安全状态;
在步骤S306所提供的技术方案中,依据设备状态安全信息和安全信息特征值确定目标终端设备的安全状态的步骤包括:检索目标存储空间中是否有与所述第一安全信息特征值匹配的第二安全信息特征值;在确定存在所述第二安全信息特征值的情况下确定所述目标终端设备的安全状态为安全;以及在确定不存在所述第二安全信息特征值的情况下,发送所述设备状态安全信息和所述第一安全信息特征值至目标控制中心,其中,所述目标控制中心用于依据所述设备状态安全信息和所述目标终端设备的设备密钥计算得到第三安全信息特征值,并依据所述第三安全信息特征值对所述第一安全信息特征值进行验证;在所述第一安全信息特征值验证通过的情况下,接收所述目标控制中心发送的验证信息;根据所述验证信息确定所述目标终端设备的安全状态。
作为一种可选地实施方式,接收目标控制中心发送的验证信息的步骤之后,零信任验证方法还包括:将第一安全信息特征值作为第二安全信息特征值,存放到目标存储空间中。
另外,将所述设备标识信息和所述第二安全信息特征值存放到所述目标存储空间的步骤之后,在预设时长内未接收到所述目标终端设备发送的所述第二目标报文的情况下,网关还会删除所述设备标识信息和所述第二安全信息特征值。
具体地,目标网关会在目标存储空间(如缓存等)保存第二安全信息特征值,并在超过预设时长后将第二安全信息特征值删除。并且在目标网关每次接收到终端设备发送的报文后会再次刷新第二安全信息特征值的保存时长,因此只要接收到同一终端设备发送的两次报文的时间间隔不超过预设时长,目标网关就不会删除第二安全信息特征值。
步骤S308,在确定目标终端设备的安全状态为安全的情况下,发送第一目标报文至用于提供目标业务资源的服务器,其中,第一目标报文用于指示服务器向目标终端设备发送目标业务资源。
在步骤S308所提供的技术方案中,在目标网关或SDP控制中心确定验证不通过的情况下,目标网关会删除解析出来的HMAC值,并阻止第一目标报文被传递到目标服务器。
本申请实施例中还提供了一种零信任验证***。图4是根据本申请实施例提供的一种零信任验证***的结构示意图,如图4所示,该***包括:目标终端设备40,目标网关42,业务资源服务器44,控制中心46,其中,目标终端设备40,被配置为执行图2中所示的零信任验证方法;目标网关42,被配置为执行图3中所示的零信任验证方法;控制中心46,用于获取目标终端设备40的终端硬件信息,并依据终端硬件信息计算并向目标终端设备40发送与目标终端设备对应的设备密钥;获取目标网关42发送的安全认证报文,对安全认证报文进行验证,并在验证通过后生成并向目标网关42发送验证信息。
需要说明的是,图4中所示的***可用于执行图2或图3中所示的零信任验证方法,因此,对图2或图3中所示的零信任验证方法的相关解释说明也适用于本申请实施例所提供的***中,在此不再赘述。
在本申请的一些实施例中,上述零信任验证***的整体工作流程如图5所示,包括如下步骤:
S502,SDP客户端搜集目标终端设备的硬件信息,并将硬件信息发送到SDP控制中心,向SDP控制中心发起注册申请;
S504,SDP控制中心预配置终端安全环境要素并计算出设备密钥,将终端安全环境要素和设备密钥发送至SDP客户端;
S506,SDP客户端根据安全环境要素中所涉及的安全信息类型周期性搜集终端设备的设备状态安全信息,并生成安全认证报文和HMAC值;
S508,在用户通过SDP客户端访问业务资源的情况下,SDP客户端对原始报文进行重新封装,在原始报文的报文头增加安全认证报文和HMAC值,并将报文的目的地址和端口指向目标网关;
S510,目标网关在接收到SDP客户端发送的报文后,会解析报文,获取安全认证报文和HMAC值,以及原始报文;
S512,目标网关对解析得到的HMAC值进行验证,检索本地缓存中是否有匹配的HMAC值,如有,则将原始报文代理转发到服务器,如无,则执行步骤S514;
S514,目标网关将安全认证报文和HMAC值发送至SDP控制中心;
S516,SDP控制中心根据安全认证报文计算得到HMAC值,并对安全认证报文进行验证,验证终端设备是否安全;
S518,在验证通过的情况下,发送验证结果和计算得到的HMAC值给目标网关,以及在验证不通过的情况下,发送验证结果给目标网关;
S520,目标网关在确定验证通过的情况下,代理转发原始报文至服务器,并存储SDP控制中心发送的HMAC值,以及在验证不通过的情况下,阻止目标终端设备发送的报文传递到服务器;
S522,服务器依据原始报文发送业务资源给目标网关。
S524,目标网关代理转发业务资源至目标终端设备。
本申请实施例提供了一种零信任验证装置。图6是根据本申请实施例提供的零信任验证装置的结构示意图,如图6所示,该装置包括:第一处理模块60,依据目标终端设备的环境安全情况,生成目标终端设备的设备状态安全信息,并依据设备状态安全信息生成安全信息特征值,其中,设备状态安全信息和安全信息特征值用于确认目标终端设备的安全状态;第二处理模块62,用于在目标终端设备生成第一目标报文后,在网络层中在第一目标报文中添加设备状态安全信息和安全信息特征值,得到第二目标报文,其中,第二目标报文用于访问目标业务资源,以及对目标终端设备进行认证;第一通信模块64,用于发送第二目标报文至目标网关,其中,目标网关用于在网络层解释第二目标报文,获取设备状态安全信息和安全信息特征值,以及第一目标报文,并依据设备状态安全信息和安全信息特征值确定目标终端设备的安全状态,以及在确定终端设备安全的情况下,转发第一目标报文至用于提供目标业务资源的服务器;第二通信模块66,用于接收目标网关代理转发的目标业务资源,其中,目标特务资源为服务器依据第一目标报文提供的业务资源。根据本申请实施例的另一方面,还提供了一种非易失性存储介质,非易失性存储介质中存储有程序,其中,在程序运行时控制非易失性存储介质所在设备执行零信任验证方法。
在本申请的一些实施例中,第一处理模块60依据设备状态安全信息生成安全信息特征值的步骤包括:获取目标终端设备的终端硬件信息,并获取依据终端硬件信息计算得到的与目标终端设备对应的设备密钥;根据设备密钥和设备状态安全信息,生成安全信息特征值。
在本申请的一些实施例中,第一处理模块60根据设备密钥和设备状态安全信息,生成安全信息特征值的步骤包括:采用密码生成算法和设备密钥对设备状态安全信息进行密码生成运算,生成安全信息特征值。
在本申请的一些实施例中,第一处理模块60获取依据终端硬件信息计算得到的与目标终端设备对应的设备密钥的步骤包括:发送终端硬件信息和注册请求到目标控制中心,其中,目标控制中心用于在通过注册请求的情况下,根据终端硬件信息计算得到设备密钥;接收目标控制中心发送的设备密钥。
在本申请的一些实施例中,第一处理模块60根据目标终端设备的设备状态安全信息,生成设备状态安全信息和安全信息特征值的步骤包括:以预设频率扫描目标终端设备的设备状态,获取设备状态安全信息,并在每次获取设备状态安全信息后,生成安全信息特征值。
在本申请的一些实施例中,设备状态安全信息包括以下至少之一:用于指示是否设置开机密码的指示信息,目标终端设备的***补丁信息,目标终端设备的防火墙信息,目标终端设备的安全程序信息,目标终端设备的白名单程序列表信息是否满足第一预设条件,目标终端设备的黑名单程序列表信息是否满足第二预设条件。
在本申请的一些实施例中,第二处理模块62在第一目标报文中添加设备状态安全信息和安全信息特征值,得到第二目标报文的步骤包括:获取目标网关对应的路由配置信息;依据路由配置信息,在网络层对第一目标报文重新封装,并在封装过程中,设定第一目标报文的目的地址和端口指向目标网关;在封装后的第一目标报文的报文头添加加密后的设备状态安全信息和安全信息特征值,得到第二目标报文。
需要说明的是,上述零信任验证装置中的各个模块可以是程序模块(例如是实现某种特定功能的程序指令集合),也可以是硬件模块,对于后者,其可以表现为以下形式,但不限于此:上述各个模块的表现形式均为一个处理器,或者,上述各个模块的功能通过一个处理器实现。另外,该装置可用于执行上述零信任验证方法,因此对上述零信任验证方法的相关解释说明也适用于本申请实施例中,在此不再赘述。
在本申请实施例中,还提供了一种非易失性存储介质的实施例。非易失性存储介质中存储有程序,其中,在程序运行时控制非易失性存储介质所在设备执行上述零信任验证方法实施例中所提供的零信任验证方法,例如,可用于执行如下零信任验证方法依据目标终端设备的环境安全情况,生成目标终端设备的设备状态安全信息,并依据设备状态安全信息生成安全信息特征值,其中,设备状态安全信息和安全信息特征值用于确认目标终端设备的安全状态;在目标终端设备生成第一目标报文后,在网络层中在第一目标报文中添加设备状态安全信息和安全信息特征值,得到第二目标报文,其中,第二目标报文用于访问目标业务资源,以及对目标终端设备进行认证;发送第二目标报文至目标网关,其中,目标网关用于在网络层解释第二目标报文,获取设备状态安全信息和安全信息特征值,以及第一目标报文,并依据设备状态安全信息和安全信息特征值确定目标终端设备的安全状态,以及在确定终端设备安全的情况下,转发第一目标报文至用于提供目标业务资源的服务器;接收目标网关代理转发的目标业务资源,其中,目标业务资源为服务器依据第一目标报文提供的业务资源。
在本申请的另一些实施例中,上述非易失性存储介质所在设备在程序运行时还可执行如下零信任验证方法:接收目标终端设备发送的第二目标报文,其中,第二目标报文中携带有目标终端设备的设备状态安全信息和第一安全信息特征值,以及用于访问目标业务资源的第一目标报文;解析第二目标报文,获取设备状态安全信息,第一安全信息特征值和第一目标报文;依据设备安全信息和第一安全信息特征值确定目标终端设备的安全状态;在确定目标终端设备的安全状态为安全的情况下,代理转发第一目标报文至用于提供目标业务资源的服务器,其中,第一目标报文用于指示服务器通过目标网关向目标终端设备发送目标业务资源。
在本申请实施例中,还提供了一种电子设备的实施例。电子设备包括存储器和处理器,处理器用于运行存储在存储器中的程序,其中,程序运行时执行上述零信任验证方法实施例中所提供的零信任验证方法,例如,可用于执行如下零信任验证方法:依据目标终端设备的环境安全情况,生成目标终端设备的设备状态安全信息,并依据设备状态安全信息生成安全信息特征值,其中,设备状态安全信息和安全信息特征值用于确认目标终端设备的安全状态;在目标终端设备生成第一目标报文后,在网络层中在第一目标报文中添加设备状态安全信息和安全信息特征值,得到第二目标报文,其中,第二目标报文用于访问目标业务资源,以及对目标终端设备进行认证;发送第二目标报文至目标网关,其中,目标网关用于在网络层解释第二目标报文,获取设备状态安全信息和安全信息特征值,以及第一目标报文,并依据设备状态安全信息和安全信息特征值确定目标终端设备的安全状态,以及在确定终端设备安全的情况下,转发第一目标报文至用于提供目标业务资源的服务器;接收目标网关代理转发的目标业务资源,其中,目标业务资源为服务器依据第一目标报文提供的业务资源。
在本申请的另一些实施例中,上述处理器在程序运行时还可执行如下零信任验证方法:接收目标终端设备发送的第二目标报文,其中,第二目标报文中携带有目标终端设备的设备状态安全信息和第一安全信息特征值,以及用于访问目标业务资源的第一目标报文;解析第二目标报文,获取设备状态安全信息,第一安全信息特征值和第一目标报文;依据设备安全信息和第一安全信息特征值确定目标终端设备的安全状态;在确定目标终端设备的安全状态为安全的情况下,代理转发第一目标报文至用于提供目标业务资源的服务器,其中,第一目标报文用于指示服务器通过目标网关向目标终端设备发送目标业务资源。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对相关技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。

Claims (18)

1.一种零信任验证方法,其特征在于,包括:
依据目标终端设备的环境安全情况,生成所述目标终端设备的设备状态安全信息,并依据所述设备状态安全信息生成安全信息特征值,其中,所述设备状态安全信息和所述安全信息特征值用于确认所述目标终端设备的安全状态;
在所述目标终端设备生成第一目标报文后,在网络层中在所述第一目标报文中添加所述设备状态安全信息和所述安全信息特征值,得到第二目标报文,其中,所述第二目标报文用于访问目标业务资源,以及对所述目标终端设备进行认证;
发送所述第二目标报文至目标网关,其中,所述目标网关用于在网络层解释所述第二目标报文,获取所述设备状态安全信息和所述安全信息特征值,以及所述第一目标报文,并依据所述设备状态安全信息和所述安全信息特征值确定所述目标终端设备的安全状态,以及在确定所述终端设备安全的情况下,转发所述第一目标报文至用于提供所述目标业务资源的服务器;
接收所述目标网关代理转发的目标业务资源,其中,所述目标业务资源为所述服务器依据所述第一目标报文提供的业务资源。
2.根据权利要求1所述的零信任验证方法,其特征在于,所述依据所述设备状态安全信息生成安全信息特征值的步骤包括:
获取所述目标终端设备的终端硬件信息,并获取依据所述终端硬件信息计算得到的与所述目标终端设备对应的设备密钥;
根据所述设备密钥和所述设备状态安全信息,生成所述安全信息特征值。
3.根据权利要求2所述的零信任验证方法,其特征在于,所述根据所述设备密钥和所述设备状态安全信息,生成所述安全信息特征值的步骤包括:
采用密码生成算法和所述设备密钥对所述设备状态安全信息进行密码生成运算,生成所述安全信息特征值。
4.根据权利要求3所述的零信任验证方法,其特征在于,在所述第一目标报文中添加所述设备状态安全信息和所述安全信息特征值,得到第二目标报文的步骤包括:
获取所述目标网关对应的路由配置信息;
依据所述路由配置信息,在网络层对所述第一目标报文重新封装,并在封装过程中,设定所述第一目标报文的目的地址和端口指向所述目标网关;
在封装后的所述第一目标报文的报文头添加加密后的所述设备状态安全信息和所述安全信息特征值,得到所述第二目标报文。
5.根据权利要求2所述的零信任验证方法,其特征在于,所述获取依据所述终端硬件信息计算得到的与所述目标终端设备对应的设备密钥的步骤包括:
发送所述终端硬件信息和注册请求到目标控制中心,其中,所述目标控制中心用于在通过所述注册请求的情况下,根据所述终端硬件信息计算得到所述设备密钥;
接收所述目标控制中心发送的所述设备密钥。
6.根据权利要求1所述的零信任验证方法,其特征在于,所述根据目标终端设备的设备状态安全信息,生成设备状态安全信息和安全信息特征值的步骤包括:
以预设频率扫描所述目标终端设备的设备状态,获取所述设备状态安全信息,并在每次获取所述设备状态安全信息后,生成所述安全信息特征值。
7.根据权利要求1所述的零信任验证方法,其特征在于,所述设备状态安全信息包括以下至少之一:用于指示是否设置开机密码的指示信息,所述目标终端设备的***补丁信息,所述目标终端设备的防火墙信息,所述目标终端设备的安全程序信息,所述目标终端设备的白名单程序列表信息是否满足第一预设条件,所述目标终端设备的黑名单程序列表信息是否满足第二预设条件。
8.一种零信任验证方法,其特征在于,包括:
接收目标终端设备发送的第二目标报文,其中,所述第二目标报文中携带有所述目标终端设备的设备状态安全信息和第一安全信息特征值,以及用于访问目标业务资源的第一目标报文;
解析所述第二目标报文,获取所述设备状态安全信息,所述第一安全信息特征值和所述第一目标报文;
依据所述设备安全信息和所述第一安全信息特征值确定所述目标终端设备的安全状态;
在确定所述目标终端设备的安全状态为安全的情况下,代理转发所述第一目标报文至用于提供所述目标业务资源的服务器,其中,所述第一目标报文用于指示所述服务器通过目标网关向所述目标终端设备发送所述目标业务资源。
9.根据权利要求8所述的零信任验证方法,其特征在于,所述依据所述设备状态安全信息和所述安全信息特征值确定所述目标终端设备的安全状态的步骤包括:
检索目标存储空间中是否有与所述第一安全信息特征值匹配的第二安全信息特征值;
在确定存在所述第二安全信息特征值的情况下确定所述目标终端设备的安全状态为安全;以及,
在确定不存在所述第二安全信息特征值的情况下,发送所述设备状态安全信息和所述第一安全信息特征值至目标控制中心,其中,所述目标控制中心用于依据所述设备状态安全信息和所述目标终端设备的设备密钥计算得到第三安全信息特征值,并依据所述第三安全信息特征值对所述第一安全信息特征值进行验证;
在所述第一安全信息特征值验证通过的情况下,接收所述目标控制中心发送的验证信息;
根据所述验证信息确定所述目标终端设备的安全状态。
10.根据权利要求9所述的零信任验证方法,其特征在于,所述接收所述目标控制中心发送的验证信息的步骤之后,所述零信任验证方法还包括:
在所述验证信息指示所述目标终端设备的安全状态为安全的情况下,依据所述第二目标报文确定所述终端设备的设备标识信息;
将所述第一安全信息特征值作为所述第二安全信息特征值,并确定所述设备标识信息和所述第二安全信息特征值之间的关联关系;
将所述设备标识信息和所述第二安全信息特征值存放到所述目标存储空间。
11.根据权利要求10所述的零信任验证方法,其特征在于,所述将所述设备标识信息和所述第二安全信息特征值存放到所述目标存储空间的步骤之后,所述零信任验证方法还包括:
在预设时长内未接收到所述目标终端设备发送的所述第二目标报文的情况下,删除所述设备标识信息和所述第二安全信息特征值。
12.根据权利要求9所述的零信任验证方法,其特征在于,所述检索目标存储空间中是否有与所述第一安全信息特征值匹配的第二安全信息特征值的步骤包括:
确定所述目标终端设备的设备标识信息;
依据所述设备标识信息确定所述目标存储空间中是否存在所述第二安全信息特征值。
13.一种零信任验证***,其特征在于,包括目标终端设备,目标网关,业务资源服务器,控制中心,其中,
所述终端设备,被配置为执行权利要求1至权利要求7中任意一项所述的零信任验证方法;
所述目标网关,被配置为执行权利要求8至权利要求11中任意一项所述的零信任验证方法;
所述控制中心,用于获取所述目标终端设备的终端硬件信息,并依据所述终端硬件信息计算并向所述目标终端设备发送与所述目标终端设备对应的设备密钥;获取所述目标网关发送的设备状态安全信息和第一安全信息特征值,对所述设备状态安全信息和所述第一安全信息特征值进行验证,并向所述目标网关发送验证信息。
14.根据权利要求13所述的零信任验证***,其特征在于,所述控制中心对所述设备状态安全信息进行验证的步骤包括:
确定所述终端设备的标识信息;
依据所述标识信息,确定与所述终端设备对应的设备密钥;
依据所述设备密钥,对所述设备状态安全信息进行解密;
校验解密后的所述设备状态安全信息,确定所述目标设备的安全状态是否满足预设条件。
15.根据权利要求14所述的零信任验证***,其特征在于,所述控制中心对所述第一安全信息特征值进行验证的步骤包括:
依据所述设备状态安全信息和所述设备密钥,生成第三安全信息特征值;
依据所述第三安全信息特征值,对所述第一安全信息特征值进行校验,确定所述设备状态安全信息是否被篡改。
16.一种零信任验证装置,其特征在于,包括:
第一处理模块,用于依据目标终端设备的环境安全情况,生成所述目标终端设备的设备状态安全信息,并依据所述设备状态安全信息生成安全信息特征值,其中,所述设备状态安全信息和所述安全信息特征值用于确认所述目标终端设备的安全状态;
第二处理模块,用于在所述目标终端设备生成第一目标报文后,在网络层中在所述第一目标报文中添加所述设备状态安全信息和所述安全信息特征值,得到第二目标报文,其中,所述第二目标报文用于访问目标业务资源,以及对所述目标终端设备进行认证;
第一通信模块,用于发送所述第二目标报文至目标网关,其中,所述目标网关用于在网络层解释所述第二目标报文,获取所述设备状态安全信息和所述安全信息特征值,以及所述第一目标报文,并依据所述设备状态安全信息和所述安全信息特征值确定所述目标终端设备的安全状态,以及在确定所述终端设备安全的情况下,转发所述第一目标报文至用于提供所述目标业务资源的服务器;
第二通信模块,用于接收所述目标网关代理转发的目标业务资源,其中,所述目标业务资源为所述服务器依据所述第一目标报文提供的业务资源。
17.一种非易失性存储介质,其特征在于,所述非易失性存储介质中存储有程序,其中,在所述程序运行时控制所述非易失性存储介质所在设备执行权利要求1至7中或权利要求8至12任意一项所述零信任验证方法。
18.一种电子设备,其特征在于,包括:存储器和处理器,所述处理器用于运行存储在所述存储器中的程序,其中,所述程序运行时执行权利要求1至7中或权利要求8至12任意一项所述零信任验证方法。
CN202211519628.3A 2022-11-30 2022-11-30 零信任验证方法、装置、***及电子设备 Active CN115550074B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211519628.3A CN115550074B (zh) 2022-11-30 2022-11-30 零信任验证方法、装置、***及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211519628.3A CN115550074B (zh) 2022-11-30 2022-11-30 零信任验证方法、装置、***及电子设备

Publications (2)

Publication Number Publication Date
CN115550074A true CN115550074A (zh) 2022-12-30
CN115550074B CN115550074B (zh) 2023-03-03

Family

ID=84722216

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211519628.3A Active CN115550074B (zh) 2022-11-30 2022-11-30 零信任验证方法、装置、***及电子设备

Country Status (1)

Country Link
CN (1) CN115550074B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117240910A (zh) * 2023-11-16 2023-12-15 中邮消费金融有限公司 零信任校验***以及方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113949573A (zh) * 2021-10-18 2022-01-18 天翼数字生活科技有限公司 一种零信任的业务访问控制***及方法
CN114124583A (zh) * 2022-01-27 2022-03-01 杭州海康威视数字技术股份有限公司 基于零信任的终端控制方法、***及装置
CN115150208A (zh) * 2022-09-06 2022-10-04 信联科技(南京)有限公司 一种基于零信任的物联网终端安全接入方法及***
US20220345484A1 (en) * 2021-04-21 2022-10-27 ANDRO Computation Solutions, LLC Zero trust architecture for networks employing machine learning engines

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220345484A1 (en) * 2021-04-21 2022-10-27 ANDRO Computation Solutions, LLC Zero trust architecture for networks employing machine learning engines
CN113949573A (zh) * 2021-10-18 2022-01-18 天翼数字生活科技有限公司 一种零信任的业务访问控制***及方法
CN114124583A (zh) * 2022-01-27 2022-03-01 杭州海康威视数字技术股份有限公司 基于零信任的终端控制方法、***及装置
CN115150208A (zh) * 2022-09-06 2022-10-04 信联科技(南京)有限公司 一种基于零信任的物联网终端安全接入方法及***

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117240910A (zh) * 2023-11-16 2023-12-15 中邮消费金融有限公司 零信任校验***以及方法
CN117240910B (zh) * 2023-11-16 2024-03-01 中邮消费金融有限公司 零信任校验***以及方法

Also Published As

Publication number Publication date
CN115550074B (zh) 2023-03-03

Similar Documents

Publication Publication Date Title
US12021966B2 (en) Embedded universal integrated circuit card (eUICC) profile content management
US20230092015A1 (en) Securing communication of devices in the internet of things
KR101508576B1 (ko) 홈 노드-b 장치 및 보안 프로토콜
US8046583B2 (en) Wireless terminal
Hussain et al. Insecure connection bootstrapping in cellular networks: the root of all evil
CN102448064A (zh) 通过非3gpp接入网的接入
US11641376B2 (en) Protection of traffic between network functions
EP3844930B1 (en) Non-3gpp device access to core network
EP2215803B1 (en) Network access authentication
CN113316148A (zh) 用于网络切片鉴权的方法和设备
EP3844929B1 (en) Non-3gpp device access to core network
CN113676904B (zh) 切片认证方法及装置
CN115550074B (zh) 零信任验证方法、装置、***及电子设备
CN114600487B (zh) 身份认证方法及通信装置
CN116601985A (zh) 一种安全上下文生成方法、装置及计算机可读存储介质
CN114301967B (zh) 窄带物联网控制方法、装置及设备
CN114342472A (zh) 对amf重新分配时的注册请求中的nas容器的处理
WO2001022685A1 (en) Method and arrangement for communications security
CN115812293A (zh) 一种认证方法、电子设备及存储介质
CN113938286A (zh) 一种数据处理方法及装置
CN118265031A (zh) 信息安全方法、装置、通信设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant