CN115696329B - 零信任认证方法及装置、零信任客户端设备和存储介质 - Google Patents
零信任认证方法及装置、零信任客户端设备和存储介质 Download PDFInfo
- Publication number
- CN115696329B CN115696329B CN202211330409.0A CN202211330409A CN115696329B CN 115696329 B CN115696329 B CN 115696329B CN 202211330409 A CN202211330409 A CN 202211330409A CN 115696329 B CN115696329 B CN 115696329B
- Authority
- CN
- China
- Prior art keywords
- zero
- authentication
- sim card
- national
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 57
- 230000004044 response Effects 0.000 claims abstract description 31
- 238000004590 computer program Methods 0.000 claims description 19
- 238000012790 confirmation Methods 0.000 claims description 13
- 238000010586 diagram Methods 0.000 description 12
- 238000004891 communication Methods 0.000 description 8
- 230000011664 signaling Effects 0.000 description 8
- 230000003993 interaction Effects 0.000 description 7
- 230000008569 process Effects 0.000 description 6
- 230000000694 effects Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Abstract
本申请提供一种零信任认证方法及装置、零信任客户端设备和存储介质。该方法应用于零信任客户端,包括:向零信任服务端发送第一登录请求,使零信任服务端对第一登录请求中登录信息进行验证生成第一认证结果;接收第一认证结果;在第一认证结果指示认证成功且非首次登录时,向国密SIM卡发送识别码请求;接收集成电路卡识别码ICCID,并获取国际移动设备识别码IMEI以及随机数;使用数字证书对ICCID、IMEI以及随机数进行签名,生成国密SIM卡指纹;并发送至零信任服务端,使零信任服务端对国密SIM卡指纹进行认证生成第二认证结果;在第二认证结果指示认证成功时,接收零信任服务端发送的登录响应。本申请的方法,降低了零信任客户端的安全风险。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及一种零信任认证方法及装置、零信任客户端设备和存储介质。
背景技术
零信任是一种网络安全防护理念,在零信任模式下,用户网络内外的任何人、设备和***都需要“持续验证,永不信任”。基于零信任原则,可以保障用户终端安全、链路安全以及访问控制安全。
目前,用户终端设备在登录操作的零信任认证过程中,通常采用用户名和密码进行认证后,再通过采用设备序列号、网卡媒体存取控制(Media Access Control,MAC)地址等硬件信息生成的设备指纹进行认证,两次认证均通过以后允许登录。
但采用上述零信任认证方式,仍然存在设备指纹被恶意篡改或伪造等安全风险。
发明内容
本申请提供一种零信任认证方法及装置、零信任客户端设备和存储介质,用以解决设备指纹被恶意篡改或伪造的问题。
第一方面,本申请提供一种零信任认证方法,应用于零信任客户端,方法包括:
向零信任服务端发送第一登录请求,使零信任服务端对第一登录请求中登录信息进行验证生成第一认证结果;
接收零信任服务端发送的第一认证结果;
在第一认证结果指示认证成功后且非首次登录时,向国密用户身份识别(Subscriber Identity Module,SIM)卡发送识别码请求;
接收国密SIM卡发送的集成电路卡识别码(Integrate circuit card identity,ICCID);
获取零信任客户端的国际移动设备识别码(International Mobile EquipmentIdentity,IMEI)以及随机数;
使用预先存储的数字证书对ICCID、IMEI以及随机数进行签名,生成国密SIM卡指纹;
将国密SIM卡指纹发送至零信任服务端,使零信任服务端对国密SIM卡指纹进行认证生成第二认证结果;
在第二认证结果指示认证成功时,接收零信任服务端发送的登录响应。
可选地,接收零信任服务端发送的第一认证结果之后,还包括:
在第一认证结果指示认证成功后且非首次登录时,获取国密SIM卡的个人身份识别码(Personal Identification Number,PIN),根据国密SIM卡的PIN生成签名请求,向国密SIM卡发送签名请求;
接收国密SIM卡发送的签名;
根据签名和用户信息生成签名认证请求,向零信任服务端发送签名认证请求,使零信任服务端对签名认证请求中签名和用户信息进行认证,生成第三认证结果;
相应地,在第二认证结果指示认证成功时,接收零信任服务端发送的登录响应,具体包括:
当第二认证结果和第三认证结果都指示认证成功时,接收零信任服务端发送的登录响应。
可选地,向零信任服务端发送第一登录请求之前,还包括:
向零信任服务端发送第二登录请求,使零信任服务端对第二登录请求中登录信息进行验证生成第四认证结果;
接收零信任服务端发送的第四认证结果;
在第四认证结果指示认证成功后且首次登录时,向零信任服务端发送数字证书请求;
接收零信任服务端发送的数字证书;
向国密SIM卡转发数字证书,使国密SIM卡存储数字证书。
可选地,向零信任服务端发送数字证书请求之前,还包括:
向管理服务端发送国密SIM卡应用请求;
接收管理服务端发送的国密SIM卡应用程序;
向零信任服务端发送实名认证请求,使零信任服务端对实名认证请求中实名认证信息进行认证生成第五认证结果;
相应地,在第四认证结果指示认证成功后且首次登录时,向零信任服务端发送数字证书请求,具体包括:
在第四认证结果和第五认证结果均指示认证成功后且首次登录时,向零信任服务端发送数字证书请求;
相应地,向国密SIM卡转发数字证书,使国密SIM卡存储数字证书,具体包括:
通过运行国密SIM卡应用程序向国密SIM卡转发数字证书,使国密SIM卡存储数字证书。
可选地,向零信任服务端发送数字证书请求,具体包括:
向国密SIM卡发送证书签名请求,使国密SIM卡生成非对称密钥;
接收国密SIM卡发送的非对称密钥,根据非对称密钥生成数字证书请求;
向零信任服务端发送数字证书请求。
可选地,接收零信任服务端发送的登录响应之后,还包括:
接收国密SIM卡发送的风险提示信息,其中,风险提示信息是国密SIM卡接收到管理服务端发送的弹窗认证命令后生成的;弹窗认证命令是管理服务端在接收到零信任服务端发送的二次认证命令后生成的,零信任服务端在检测到风险事件后生成二次认证命令;
根据风险提示信息生成确认响应,并向国密SIM卡发送确认响应,使国密SIM卡通过管理服务端向零信任服务端转发确认响应。
第二方面,本申请提供一种零信任认证装置,应用于零信任客户端,装置包括:
发送模块,用于向零信任服务端发送第一登录请求,使零信任服务端对第一登录请求中登录信息进行验证生成第一认证结果;
接收模块,用于接收零信任服务端发送的第一认证结果;
发送模块,还用于在第一认证结果指示认证成功后且非首次登录时,向国密SIM卡发送识别码请求;
接收模块,还用于接收国密SIM卡发送的集成电路卡识别码,并获取零信任客户端的国际移动设备识别码以及随机数;
签名模块,用于使用预先存储的数字证书对集成电路卡识别码、国际移动设备识别码以及随机数进行签名,生成国密SIM卡指纹;
发送模块,还用于将国密SIM卡指纹发送至零信任服务端,使零信任服务端对国密SIM卡指纹进行认证生成第二认证结果;
接收模块,还用于在第二认证结果指示认证成功时,接收零信任服务端发送的登录响应。
第三方面,本申请提供一种零信任客户端设备,包括:存储器和处理器;
存储器用于存储计算机程序;处理器用于根据存储器存储的计算机程序执行第一方面及第一方面任一种可能的设计中的零信任认证方法。
第四方面,本申请提供一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时用于实现第一方面及第一方面任一种可能的设计中的零信任认证方法。
第五方面,本申请提供一种计算机程序产品,计算机程序产品包括计算机程序,计算机程序被处理器执行时实现第一方面及第一方面任一种可能的设计中的零信任认证方法。
本申请提供的零信任认证方法及装置、零信任客户端设备和存储介质,通过在零信任服务端对第一登录请求认证成功之后,再使用数字证书对ICCID、IMEI以及随机数进行签名生成国密SIM卡指纹以进行指纹认证,解决指纹认证采用的设备指纹被恶意篡改或伪造的问题,实现降低安全风险的效果。
附图说明
为了更清楚地说明本申请或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请一实施例提供的零信任认证的场景示意图;
图2为本申请一实施例提供的零信任认证方法的信令交互图;
图3为本申请一实施例提供的数字证书签名的信令交互图;
图4为本申请一实施例提供的零信任客户端首次登录的信令交互图;
图5为本申请一实施例提供的零信任客户端二次认证的信令交互图;
图6为本申请一实施例提供的零信任认证装置的结构示意图;
图7为本申请一实施例提供的零信任客户端设备的硬件结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请中的附图,对本申请中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换。例如,在不脱离本文范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。
为确保客户端安全,用户在登录客户端时,一般需要进行认证。现有技术中,客户端登录时通常会进行用户名和密码认证,认证通过后,客户端根据设备序列号、网卡MAC地址等硬件信息生成设备指纹,发送至服务端,由服务端进行验证,验证通过后,允许客户端登录。
但现有技术中,认证采用的设备指纹仍存在被恶意篡改或伪造等安全风险,认证结果并不能确保客户端安全。
针对上述问题,本申请提出了一种零信任认证方法及装置、零信任客户端设备和存储介质。本申请的零信任认证方法,是在客户端非首次登录时向零信任服务端发送第一登录请求,在零信任服务端对第一登录请求的登录信息认证通过后,零信任客户端再使用数字证书对ICCID、IMEI以及随机数进行签名生成国密SIM卡指纹,用于发送至零信任服务端进行指纹认证,认证通过后,允许零信任客户端登录。与现有技术相比,本申请的方法中,进行指纹认证所采用的指纹,是数字证书对ICCID、IMEI以及随机数进行签名生成的,由于使用了ICCID和IMEI,保证了零信任客户端的唯一性,而随机数则确保每次认证时指纹均不相同,降低了指纹被恶意篡改或伪造等安全风险。
下面以具体地实施例对本申请的技术方案进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例不再赘述。
图1示出了本申请一实施例提供的一种零信任认证的场景示意图。在零信任客户端登录时,通常需要通过零信任服务端进行认证,认证方式可以是用户名和密码认证,也可以是指纹认证或其他认证方式,还可以是多种认证方式结合使用。在至少两次认证通过之后,零信任客户端才能成功登录。
本申请中,以零信任客户端为执行主体,执行如下实施例的零信任认证方法。具体地,该执行主体可以为零信任客户端的硬件装置,或者为零信任客户端中实现下述实施例的软件应用,或者为安装有实现下述实施例的软件应用的计算机可读存储介质,或者为实现下述实施例的软件应用的代码。
图2示出了本申请一实施例提供的一种零信任认证方法的交互信令图,应用于零信任客户端。如图2所示,本实施例的方法可以包括如下步骤:
S201、向零信任服务端发送第一登录请求,使零信任服务端对第一登录请求中登录信息进行验证生成第一认证结果。
其中,第一登录请求的登录信息可以是用户名和密码,零信任服务端根据预存的用户名和密码对登录信息进行验证,生成第一认证结果。
S202、接收零信任服务端发送的第一认证结果。
S203、在第一认证结果指示认证成功后且非首次登录时,向国密SIM卡发送识别码请求。
本实施例中,第一认证结果指示认证成功且非首次登录时,向国密SIM卡申请国密SIM卡的ICCID,ICCID可用于查询国密SIM卡的用户信息。首次登录情形,在本申请后续实施例会详细介绍。
S204、接收国密SIM卡发送的ICCID。
S205、获取零信任客户端的IMEI以及随机数。
其中,IMEI是零信任客户端的国际移动设备识别码,每个零信任客户端均有唯一的IMEI,可用于鉴别零信任客户端真伪。
S206、使用预先存储的数字证书对ICCID、IMEI以及随机数进行签名,生成国密SIM卡指纹。
本实施例中,ICCID、IMEI以及随机数组成字符串,例如,ICCID为AAA、IMEI为BBB,随机数为CCC,对应的字符串为AAABBBCCC。通过数字证书对该字符串进行签名,签名值即为国密SIM卡指纹。随机数可确保每次认证时,国密SIM卡指纹均不相同,即国密SIM卡指纹为动态指纹。
S207、将国密SIM卡指纹发送至零信任服务端,使零信任服务端对国密SIM卡指纹进行认证生成第二认证结果。
本实施例中,零信任服务端在接收到国密SIM卡指纹后,使用数字证书对国密SIM卡指纹进行解密得到ICCID、IMEI以及随机数组成的字符串,截取ICCID、IMEI对应的字符串之后,例如,AAABBBCCC截取之后为AAABBB,与预存的初始指纹进行对比,一致则认证通过。其中初始指纹为ICCID、IMEI组成的字符串,例如,ICCID为AAA、IMEI为BBB,对应的初始指纹为AAABBB。
S208、在第二认证结果指示认证成功时,接收零信任服务端发送的登录响应。
本实施例中,认证成功,即第一认证结果和第二认证结果均指示认证成功,接收零信任服务端发送的登录响应,零信任客户端登录成功。
本实施例的零信任认证方法,在非首次登录时,通过对第一登录请求进行认证后,使用数字证书对ICCID、IMEI以及随机数组成的字符串签名得到的国密SIM卡指纹,由零信任服务端对国密SIM卡指纹进行验证,降低了指纹被篡改或伪造的风险,进而降低了零信任客户端的安全风险。
图3为本申请一实施例提供的数字证书签名的信令交互图,应用于零信任客户端。如图3所示,在一些实施例中,步骤202之后,还包括如下步骤:
S301、在第一认证结果指示认证成功后且非首次登录时,零信任客户端获取国密SIM卡的PIN,根据国密SIM卡的PIN生成签名请求,向国密SIM卡发送签名请求。
本实施例中,PIN用来验证零信任客户端使用者的身份。此外,签名请求还可以包括零信任客户端自定义报文,例如标识用户身份信息的报文。
S302、零信任客户端接收国密SIM卡发送的签名。
本实施例中,国密SIM卡发送的签名是指国密SIM卡采用数字证书对包含自定义报文的签名请求进行签名。
S303、零信任客户端根据签名和用户信息生成签名认证请求,向零信任服务端发送签名认证请求,使零信任服务端对签名认证请求中签名和用户信息进行认证,生成第三认证结果。
其中,用户信息可以为用户名和密码,也可以仅为用户名。对签名和用户信息进行验证,为验证零信任客户端使用者的信息,或者,还包括验证对其他可能的自定义信息。
本实施例中,步骤S208具体包括:当第二认证结果和第三认证结果都指示认证成功时,接收零信任服务端发送的登录响应。
本实施例的零信任认证方法,在图2所示实施例的基础上,通过对第一登录请求进行认证后,使用数字证书对根据国密SIM卡的PIN生成的签名请求进行签名,由零信任服务端对该签名以及用户信息进行验证,降低了零信任客户端当前使用者与注册者不匹配的风险,进一步降低了零信任客户端的安全风险。
图4为本申请一实施例提供的零信任客户端首次登录的信令交互图,应用于零信任客户端。如图4所示,在一些实施例中,步骤S201之前,还包括如下步骤:
S401、零信任客户端向零信任服务端发送第二登录请求,使零信任服务端对第二登录请求中登录信息进行验证生成第四认证结果。
本实施例中,第二登录请求中的登录信息可以是用户名和密码,零信任服务端根据预存的用户名和密码对登录信息进行验证,生成第四认证结果。
S402、零信任客户端接收零信任服务端发送的第四认证结果。
S403、在第四认证结果指示认证成功后且首次登录时,零信任客户端向管理服务端发送国密SIM卡应用请求。
本实施例中,首次登录时,零信任客户端需要完成国密SIM卡认证策略开通,即向管理服务端申请国密SIM卡应用,通过零信任服务端完成实名认证,以及向零信任服务端申请数字证书的过程。其中,管理服务端可以为至少一台业务服务器。
S404、零信任客户端接收管理服务端发送的国密SIM卡应用程序。
S405、零信任客户端向零信任服务端发送实名认证请求,使零信任服务端对实名认证请求中实名认证信息进行认证生成第五认证结果。
其中,在申请到国密SIM卡应用程序之后,才能够进行实名认证。零信任客户端通过国密SIM卡应用程序与国密SIM卡进行交互。
S406、在第五认证结果指示认证成功后,零信任客户端向国密SIM卡发送证书签名请求,使国密SIM卡生成非对称密钥。
本实施例中,签名请求可以为证书签名请求文件(Cerificate Signing Request,CSR),可以由零信任客户端调用国密SIM卡应用接口生成。国密SIM卡根据CSR生成非对称密钥。
S407、零信任客户端接收国密SIM卡发送的非对称密钥,根据非对称密钥生成数字证书请求。
本实施例中,零信任客户端根据非对称密钥生成数字证书请求,数字证书用于标识用户身份。
S408、零信任客户端向零信任服务端发送数字证书请求。
S409、零信任客户端接收零信任服务端发送的数字证书。
S410、零信任客户端向国密SIM卡转发数字证书,使国密SIM卡存储数字证书。
本实施例中,零信任客户端可以通过运行国密SIM卡应用程序向国密SIM卡转发数字证书,使国密SIM卡存储数字证书。
本实施例的零信任认证方法,通过在首次登录时,进行第二登录请求的登录信息认证成功后,向管理服务端申请国密SIM卡应用程序,向零信任服务端请求实名认证,认证成功后再向零信任服务端申请数字证书,完成了零信任客户端首次登录时国密SIM卡的认证策略开通过程,使零信任客户端非首次登录时,可直接采用国密SIM卡存储的数字证书对ICCID、IMEI以及随机数组成的字符串签名生成国密SIM卡指纹,采用数字证书对根据国密SIM卡PIN生成的签名请求进行签名,使得零信任认证过程更简便,零信任客户端的安全更有保障。
图5为本申请一实施例提供的零信任客户端二次认证的信令交互图,应用于零信任客户端。如图5所示,在一些实施例中,步骤S208之后,还包括:
S501、零信任客户端接收国密SIM卡发送的风险提示信息,其中,风险提示信息是国密SIM卡接收到管理服务端发送的弹窗认证命令后生成的;弹窗认证命令是管理服务端在接收到零信任服务端发送的二次认证命令后生成的,零信任服务端在检测到风险事件后生成二次认证命令。
本实施例中,零信任客户端接收零信任服务端发送的登录响应之后,即登录成功。零信任客户端在使用过程中,零信任服务端若感知到零信任客户端访问存在风险,则会生成二次认证命令并发送至管理服务端,管理服务端根据二次认证命令生成弹窗认证命令,发送至国密SIM卡,由国密SIM卡生成风险提示信息并发送至零信任客户端。其中,零信任服务端可以通过威胁情报、零信任客户端环境感知等渠道感知到零信任客户端访问的风险。
零信任客户端可以包括多个应用程序,多个应用程序均通过国密SIM卡与管理服务器以及零信任服务端通信联系,而不必直接与管理服务器以及零信任服务端通信联系。
S502、零信任客户端根据风险提示信息生成确认响应,并向国密SIM卡发送确认响应,使国密SIM卡通过管理服务端向零信任服务端转发确认响应。
本实施例中,确认响应可以为零信任客户端确认当前使用者为首次登录用户。零信任客户端通过国密SIM卡与管理服务器以及零信任服务端通信联系,国密SIM卡接收到确认响应之后,通过管理服务端向零信任服务端转发确认响应,零信任服务端接收到该确认响应之后,零信任客户端二次认证通过。
本实施例的零信任认证方法,通过在零信任服务端感知到零信任客户端访问存在风险时,发起二次认证,使零信任客户端确认当前使用者为首次登录用户,降低了零信任客户端在使用过程中的安全风险。
图6为本申请一实施例提供的零信任认证装置的结构示意图。如图6所示,本申请还提供一种零信任认证装置60,应用于零信任客户端,装置60包括:
发送模块601,用于向零信任服务端发送第一登录请求,使零信任服务端对第一登录请求中登录信息进行验证生成第一认证结果;
接收模块602,用于接收零信任服务端发送的第一认证结果;
发送模块601,还用于在第一认证结果指示认证成功后且非首次登录时,向国密SIM卡发送识别码请求;
接收模块602,还用于接收国密SIM卡发送的集成电路卡识别码,并获取零信任客户端的国际移动设备识别码以及随机数;
签名模块603,用于使用预先存储的数字证书对集成电路卡识别码、国际移动设备识别码以及随机数进行签名,生成国密SIM卡指纹;
发送模块601,还用于将国密SIM卡指纹发送至零信任服务端,使零信任服务端对国密SIM卡指纹进行认证生成第二认证结果;
接收模块602,还用于在第二认证结果指示认证成功时,接收零信任服务端发送的登录响应。
本实施例提供的零信任认证装置60,可执行上述方法实施例,其具体实现原理和技术效果,可参见上述方法实施例,本实施例此处不再赘述。
图7为本申请一实施例提供的零信任客户端设备70的硬件结构示意图。如图7所示,零信任客户端设备70可以包括:存储器701,处理器702和通信接口704。
存储器701,用于存储计算机程序。该存储器701可能包含高速随机存取存储器(Random Access Memory,RAM),也可能还包括非易失性存储(Non-Volatile Memory,NVM),例如至少一个磁盘存储器,还可以为U盘、移动硬盘、只读存储器、磁盘或光盘等。
处理器702,用于执行存储器存储的计算机程序,以实现上述实施例中的零信任认证方法。具体可以参见前述方法实施例中的相关描述。该处理器702可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(DigitalSignal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合发明所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
可选地,存储器701既可以是独立的,也可以跟处理器702集成在一起。
当存储器701是独立于处理器702之外的器件时,零信任客户端设备70还可以包括总线703。该总线703用于连接存储器701和处理器702。该总线703可以是工业标准体系结构(Industry Standard Architecture,ISA)总线、外部设备互连(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准体系结构(Extended Industry StandardArchitecture,EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,本申请附图中的总线并不限定仅有一根总线或一种类型的总线。
通信接口704,可以通过总线703与处理器702连接。处理器702可以控制通信接口704来实现零信任认证的功能。
本实施例提供的零信任客户端设备70可用于执行上述的零信任认证方法,其实现方式和技术效果类似,本实施例此处不再赘述。
本申请还提供一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时用于实现上述的各种实施方式提供的方法。
其中,计算机可读存储介质可以是计算机存储介质,也可以是通信介质。通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。计算机存储介质可以是通用或专用计算机能够存取的任何可用介质。例如,计算机可读存储介质耦合至处理器,从而使处理器能够从该计算机可读存储介质读取信息,且可向该计算机可读存储介质写入信息。当然,计算机可读存储介质也可以是处理器的组成部分。处理器和计算机可读存储介质可以位于专用集成电路(Application Specific Integrated Circuits,ASIC)中。另外,该ASIC可以位于用户设备中。当然,处理器和计算机可读存储介质也可以作为分立组件存在于通信设备中。
具体地,该计算机可读存储介质可以是由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(Static Random-Access Memory,SRAM),电可擦除可编程只读存储器(Electrically-Erasable Programmable Read-Only Memory,EEPROM),可擦除可编程只读存储器(Erasable Programmable Read Only Memory,EPROM),可编程只读存储器(Programmable read-only memory,PROM),只读存储器(Read-OnlyMemory,ROM),磁存储器,快闪存储器,磁盘或光盘。存储介质可以是通用或专用计算机能够存取的任何可用介质。
本申请还提供一种计算机程序产品,该计算机程序产品包括计算机程序,该计算机程序存储在计算机可读存储介质中。设备的至少一个处理器可以从计算机可读存储介质中读取该计算机程序,至少一个处理器执行该计算机程序使得设备实施上述的各种实施方式提供的方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅是示意性的,例如,模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。
其中,各个模块可以是物理上分开的,例如安装于一个的设备的不同位置,或者安装于不同的设备上,或者分布到多个网络单元上,或者分布到多个处理器上。各个模块也可以是集成在一起的,例如,安装于同一个设备中,或者,集成在一套代码中。各个模块可以以硬件的形式存在,或者也可以以软件的形式存在,或者也可以采用软件加硬件的形式实现。本申请可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
当各个模块以软件功能模块的形式实现的集成的模块,可以存储在一个计算机可读取存储介质中。上述软件功能模块存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器执行本申请各个实施例方法的部分步骤。
应该理解的是,虽然上述实施例中的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,其可以以其他的顺序执行。而且,图中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,其执行顺序也不必然是依次进行,而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制。尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换。而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
Claims (9)
1.一种零信任认证方法,其特征在于,应用于零信任客户端,所述方法包括:
向零信任服务端发送第一登录请求,使所述零信任服务端对所述第一登录请求中登录信息进行验证生成第一认证结果;
接收所述零信任服务端发送的所述第一认证结果;
在所述第一认证结果指示认证成功后且非首次登录时,向国密用户身份识别SIM卡发送识别码请求;
接收所述国密SIM卡发送的集成电路卡识别码ICCID;
获取所述零信任客户端的国际移动设备识别码IMEI以及随机数;
使用预先存储的数字证书对ICCID、IMEI以及所述随机数进行签名,生成国密SIM卡指纹;
将所述国密SIM卡指纹发送至所述零信任服务端,使所述零信任服务端对所述国密SIM卡指纹进行认证生成第二认证结果;
在所述第二认证结果指示认证成功时,接收所述零信任服务端发送的登录响应;
所述接收所述零信任服务端发送的所述第一认证结果之后,还包括:
在所述第一认证结果指示认证成功后且非首次登录时,获取国密SIM卡的个人识别密码PIN,根据所述国密SIM卡的PIN生成签名请求,向所述国密SIM卡发送签名请求;
接收所述国密SIM卡发送的签名;
根据所述签名和用户信息生成签名认证请求,向所述零信任服务端发送所述签名认证请求,使所述零信任服务端对所述签名认证请求中所述签名和用户信息进行认证,生成第三认证结果;
相应地,在所述第二认证结果指示认证成功时,接收所述零信任服务端发送的登录响应,具体包括:
当所述第二认证结果和所述第三认证结果都指示认证成功时,接收所述零信任服务端发送的登录响应。
2.根据权利要求1所述的方法,其特征在于,所述向零信任服务端发送第一登录请求之前,还包括:
向所述零信任服务端发送第二登录请求,使所述零信任服务端对所述第二登录请求中登录信息进行验证生成第四认证结果;
接收所述零信任服务端发送的所述第四认证结果;
在所述第四认证结果指示认证成功后且首次登录时,向所述零信任服务端发送数字证书请求;
接收所述零信任服务端发送的数字证书;
向国密SIM卡转发所述数字证书,使所述国密SIM卡存储所述数字证书。
3.根据权利要求2所述的方法,其特征在于,所述向所述零信任服务端发送数字证书请求之前,还包括:
向管理服务端发送国密SIM卡应用请求;
接收所述管理服务端发送的国密SIM卡应用程序;
向所述零信任服务端发送实名认证请求,使所述零信任服务端对所述实名认证请求中实名认证信息进行认证生成第五认证结果;
相应地,在所述第四认证结果指示认证成功后且首次登录时,向所述零信任服务端发送数字证书请求,具体包括:
在所述第四认证结果和所述第五认证结果均指示认证成功后且首次登录时,向所述零信任服务端发送数字证书请求;
相应地,向所述国密SIM卡转发所述数字证书,使所述国密SIM卡存储所述数字证书,具体包括:
通过运行所述国密SIM卡应用程序向所述国密SIM卡转发所述数字证书,使所述国密SIM卡存储所述数字证书。
4.根据权利要求3所述的方法,其特征在于,所述向所述零信任服务端发送数字证书请求,具体包括:
向所述国密SIM卡发送证书签名请求,使所述国密SIM卡生成非对称密钥;
接收所述国密SIM卡发送的所述非对称密钥,根据所述非对称密钥生成数字证书请求;
向所述零信任服务端发送所述数字证书请求。
5.根据权利要求1-4任一项所述的方法,其特征在于,接收所述零信任服务端发送的登录响应之后,还包括:
接收所述国密SIM卡发送的风险提示信息,其中,所述风险提示信息是所述国密SIM卡接收到管理服务端发送的弹窗认证命令后生成的;所述弹窗认证命令是所述管理服务端在接收到所述零信任服务端发送的二次认证命令后生成的,所述零信任服务端在检测到风险事件后生成所述二次认证命令;
根据所述风险提示信息生成确认响应,并向所述国密SIM卡发送所述确认响应,使所述国密SIM卡通过所述管理服务端向所述零信任服务端转发所述确认响应。
6.一种零信任认证装置,其特征在于,应用于零信任客户端,所述装置,包括:
发送模块,用于向零信任服务端发送第一登录请求,使所述零信任服务端对所述第一登录请求中登录信息进行验证生成第一认证结果;
接收模块,用于接收所述零信任服务端发送的所述第一认证结果;
所述发送模块,还用于在所述第一认证结果指示认证成功后且非首次登录时,向国密SIM卡发送识别码请求;
所述接收模块,还用于接收所述国密SIM卡发送的ICCID,并获取所述零信任客户端的IMEI以及随机数;
签名模块,用于使用预先存储的数字证书对ICCID、IMEI以及所述随机数进行签名,生成国密SIM卡指纹;
所述发送模块,还用于将所述国密SIM卡指纹发送至所述零信任服务端,使所述零信任服务端对所述国密SIM卡指纹进行认证生成第二认证结果;
所述接收模块,还用于在所述第二认证结果指示认证成功时,接收所述零信任服务端发送的登录响应;
所述发送模块,还用于在所述接收所述零信任服务端发送的所述第一认证结果之后,在所述第一认证结果指示认证成功后且非首次登录时,获取国密SIM卡的个人识别密码PIN,根据所述国密SIM卡的PIN生成签名请求,向所述国密SIM卡发送签名请求;接收所述国密SIM卡发送的签名;根据所述签名和用户信息生成签名认证请求,向所述零信任服务端发送所述签名认证请求,使所述零信任服务端对所述签名认证请求中所述签名和用户信息进行认证,生成第三认证结果;
相应地,所述接收模块,还用于当所述第二认证结果和所述第三认证结果都指示认证成功时,接收所述零信任服务端发送的登录响应。
7.一种零信任客户端设备,其特征在于,所述设备,包括:存储器和处理器;
所述存储器用于存储计算机程序;
所述处理器用于根据所述存储器存储的计算机程序,实现如权利要求1-5任一项所述的零信任认证方法。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时用于实现如权利要求1-5任一项所述的零信任认证方法。
9.一种计算机程序产品,其特征在于,所述计算机程序产品包括计算机程序,所述计算机程序被处理器执行时实现权利要求1-5任一项所述的零信任认证方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211330409.0A CN115696329B (zh) | 2022-10-27 | 零信任认证方法及装置、零信任客户端设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211330409.0A CN115696329B (zh) | 2022-10-27 | 零信任认证方法及装置、零信任客户端设备和存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115696329A CN115696329A (zh) | 2023-02-03 |
CN115696329B true CN115696329B (zh) | 2024-06-25 |
Family
ID=
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2005041608A1 (en) * | 2003-10-23 | 2005-05-06 | Siltanet Ltd | Method of user authentication |
CN106161032A (zh) * | 2015-04-24 | 2016-11-23 | 华为技术有限公司 | 一种身份认证的方法及装置 |
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2005041608A1 (en) * | 2003-10-23 | 2005-05-06 | Siltanet Ltd | Method of user authentication |
CN106161032A (zh) * | 2015-04-24 | 2016-11-23 | 华为技术有限公司 | 一种身份认证的方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111429254B (zh) | 一种业务数据处理方法、设备以及可读存储介质 | |
CN110692214B (zh) | 用于使用区块链的所有权验证的方法和*** | |
CN107948204B (zh) | 一键登录方法及***、相关设备以及计算机可读存储介质 | |
CN108684041B (zh) | 登录认证的***和方法 | |
US20190281028A1 (en) | System and method for decentralized authentication using a distributed transaction-based state machine | |
US20160080157A1 (en) | Network authentication method for secure electronic transactions | |
CN112000951B (zh) | 一种访问方法、装置、***、电子设备及存储介质 | |
CN111723383A (zh) | 数据存储、验证方法及装置 | |
WO2018021708A1 (ko) | 공개키 기반의 서비스 인증 방법 및 시스템 | |
CN113572715A (zh) | 基于区块链的数据传输方法和*** | |
US11533625B2 (en) | Authentication method and network device | |
CN103853950A (zh) | 一种基于移动终端的认证方法及移动终端 | |
CN111131416A (zh) | 业务服务的提供方法和装置、存储介质、电子装置 | |
CN104753674A (zh) | 一种应用身份的验证方法和设备 | |
CN107113613A (zh) | 服务器、移动终端、网络实名认证***及方法 | |
CN112615834A (zh) | 一种安全认证方法及*** | |
CN111062059B (zh) | 用于业务处理的方法和装置 | |
CN114301617A (zh) | 多云应用网关的身份认证方法、装置、计算机设备及介质 | |
CN107645474B (zh) | 登录开放平台的方法及登录开放平台的装置 | |
CN108900595B (zh) | 访问云存储服务器数据的方法、装置、设备及计算介质 | |
CN113301028B (zh) | 网关防护方法和数据打标签方法 | |
US11861582B2 (en) | Security protection of association between a user device and a user | |
CN110166471A (zh) | 一种Portal认证方法及装置 | |
KR102016976B1 (ko) | 싱글 사인 온 서비스 기반의 상호 인증 방법 및 시스템 | |
CN115208669B (zh) | 一种基于区块链技术的分布式身份认证方法及*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant |