WO2022262078A1

WO2022262078A1 - 基于零信任安全的访问控制方法、设备及存储介质

Info

Publication number: WO2022262078A1
Application number: PCT/CN2021/108408
Authority: WO
Inventors: 王连赢; 丁川达; 于旸
Original assignee: 腾讯云计算（北京）有限责任公司
Priority date: 2021-06-15
Filing date: 2021-07-26
Publication date: 2022-12-22
Also published as: US20230224167A1; CN114679293A

Abstract

一种基于零信任安全的访问控制方法、设备及存储介质，所述方法由终端设备执行，终端设备运行有安全认证组件和业务应用，该方法包括：通过安全认证组件拦截业务访问请求，获取业务访问请求中的待验证身份信息，向认证服务器发起身份认证请求，接收认证服务器在确定待验证身份信息为合法信息时发送的随机挑战信息；获取待验证签名信息；将待验证签名信息发送给认证服务器，以使认证服务器对待验证签名信息进行验签处理，得到验签结果；若验签结果为验签通过结果，则将业务访问请求发送至认证服务器，以使认证服务器将业务访问请求转发至业务服务器。采用该方法，可以提高零信任***在身份信息方面的安全性。

Description

基于零信任安全的访问控制方法、设备及存储介质

本申请要求于2021年06月15日提交的申请号为202110660863.1、发明名称为“基于零信任安全的访问控制方法、设备及存储介质”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及云技术领域，尤其涉及一种基于零信任安全的访问控制方法、设备及存储介质。

背景技术

近年来，随着云原生、物联网等技术的普及，企业内部的网络环境越来越复杂、网络边界越来越模糊，传统的安全产品遇到一些挑战，零信任这一概念逐渐火热起来。零信任安全的核心理念是“从不信任，持续校验”(Never Trust,Always Verify)，通过用户可信、设备可信、网络链路可信、资源权限可信这几个方面建立信任链条，并进行持续、动态的检验，以确保信任链的安全可信。

现有的零信任解决方案，通常是通过初始的身份认证(用户名密码、动态口令，多因子认证等)，换取用户身份标识符(通常表述为身份标识号、令牌、票据等名称)，并存储在终端设备中。当再次访问目标服务时，客户端在发送的访问请求中附带前面获得的用户身份标识符，服务端通过校验身份标识符来验证用户身份。但是，由于零信任在网络拓扑上消除了网络边界，原本需要在企业内网(物理网络边界)访问的资源，现在从任意位置都可以发起访问，在给合法用户提供便利的同时，也给攻击者提供了便利。一旦终端设备被攻破，用户身份标识符被泄露，攻击者就可以通过合法用户的用户身份标识符访问受零信任***保护的资源，因此，零信任***在身份信息方面的安全性仍需提高。

发明内容

本申请实施例提供一种基于零信任安全的访问控制方法、设备及存储介质，可以提高零信任***在身份信息方面的安全性。

本申请实施例一方面提供了一种基于零信任安全的访问控制方法，所述方法由终端设备执行，所述终端设备上运行有安全认证组件和业务应用，所述方法包括：

通过所述安全认证组件拦截由所述业务应用所发起的业务访问请求，业务访问请求包含目标用户的待验证身份信息；

通过所述安全认证组件获取业务访问请求中的待验证身份信息，向认证服务器发起携带待验证身份信息的身份认证请求，以使认证服务器在确定待验证身份信息为合法信息时，向安全认证组件发送随机挑战信息；

通过所述安全认证组件获取待验证签名信息，所述待验证签名信息是通过私钥对随机挑战信息进行签名得到的；私钥无法被读取；

通过所述安全认证组件将待验证签名信息发送给认证服务器，以使认证服务器基于随机挑战信息和与待验证身份信息绑定的公钥证书对待验证签名信息进行验签，得到验签结果；

若验签结果为验签通过结果，则通过所述安全认证组件接收认证服务器下发的验签通过消息，基于验签通过消息将业务访问请求发送至认证服务器，以使认证服务器将业务访问请求转发至所述业务应用所访问的业务服务器。

本申请实施例一方面提供了一种基于零信任安全的访问控制方法，所述方法由认证服务器执行，所述方法包括：

响应安全认证组件发起的携带目标用户的待验证身份信息的身份认证请求，对待验证身份信息进行合法性验证；

当确定待验证身份信息为合法信息时，向安全认证组件发送随机挑战信息，以使安全认证组件获取通过私钥对随机挑战信息进行签名得到的待验证签名信息；私钥无法被去读；

接收安全认证组件发送的待验证签名信息，基于随机挑战信息和与待验证身份信息绑定的公钥证书对待验证签名信息进行验签，得到验签结果；

若验签结果为验签通过结果，则向安全认证组件下发验签通过消息，以使安全认证组件基于验签通过消息发送业务访问请求至认证服务器；

将业务访问请求转发至业务应用所访问的业务服务器；

其中，所述安全认证组件和所述业务应用运行在终端设备中。

本申请实施例一方面提供了一种基于零信任安全的访问控制装置，包括：

拦截认证模块，用于拦截由业务应用所发起的业务访问请求，所述业务访问请求包含目标用户的待验证身份信息；

所述拦截认证模块，用于获取所述业务访问请求中的待验证身份信息；

转发模块，用于向认证服务器发起携带所述待验证身份信息的身份认证请求，以使所述认证服务器在确定所述待验证身份信息为合法信息时，向所述安全认证组件发送随机挑战信息；

签名模块，用于获取通过私钥对所述随机挑战信息进行签名得到的待验证签名信息；所述私钥无法被读取；

所述转发模块，用于将所述待验证签名信息发送给所述认证服务器，以使所述认证服务器基于所述随机挑战信息和与所述待验证身份信息绑定的公钥证书对所述待验证签名信息进行验签，得到验签结果；

接收模块，用于若所述验签结果为验签通过结果，则接收所述认证服务器下发的验签通过消息；

所述转发模块，用于基于所述验签通过消息将所述业务访问请求发送至所述认证服务器，以使所述认证服务器将所述业务访问请求转发至所述业务应用所访问的业务服务器。

身份验证模块，用于响应安全认证组件发起的携带目标用户的待验证身份信息的身份认证请求，对所述待验证身份信息进行合法性验证；

挑战发送模块，用于当确定所述待验证身份信息为合法信息时，向所述安全认证组件发送随机挑战信息，以使所述安全认证组件获取通过私钥对所述随机挑战信息进行签名得到的待验证签名信息；所述私钥无法被读取；

验签模块，用于接收所述安全认证组件发送的待验证签名信息，基于所述随机挑战信息和与所述待验证身份信息绑定的公钥证书对所述待验证签名信息进行验签，得到验签结果；

业务处理模块，用于若所述验签结果为验签通过结果，则向所述安全认证组件下发验签通过消息，以使所述安全认证组件基于所述验签通过消息发送业务访问请求至所述认证服务器；将所述业务访问请求转发至业务应用所访问的业务服务器。

本申请实施例一方面提供了一种计算机设备，包括：处理器、存储器、网络接口；

上述处理器与上述存储器、上述网络接口相连，其中，上述网络接口用于提供数据通信功能，上述存储器用于存储计算机程序，上述处理器用于调用上述计算机程序，以执行本申请实施例中的方法。

本申请实施例一方面提供了一种计算机可读存储介质，上述计算机可读存储介质存储有计算机程序，上述计算机程序被处理器加载并执行时，以执行本申请实施例中的方法。

本申请实施例一方面提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中，计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行本申请实施例中的方法。

在本申请实施例中，终端设备上的安全认证组件拦截由业务应用所发起的业务访问请求，并获取该业务访问请求中的待验证身份信息，向认证服务器发起携带该待验证身份信息的身份认证请求，以使认证服务器在确定该待验证身份信息合法时，向安全认证组件发送随机挑战信息，然后通过私钥对随机挑战信息进行签名，得到待验证签名信息；然后再将待验证签名信息发给认证服务器，以使认证服务器基于随机挑战信息和公钥对待验证签名信息进行验签处理，如果验签通过，则接收认证服务器下发的验签通过消息，基于验签通过消息将业务访问请求发送至认证服务器，以使认证服务器将业务访问请求转发至业务应用所访问的业务服务器。其中，私钥无法被读取。通过本申请实施例提出的方案，采用无法被读取的私钥，可以杜绝用户身份凭证的信任根被泄露，然后，通过每次身份认证时认证服务器产生的随机挑战信息和该私钥得到新的待验证签名信息，因此每次身份认证时需要的待验证签名信息均不同，使得攻击者无法盗用用户身份，提高零信任***在身份信息方面的安全性。

附图说明

图1是本申请实施例提供的一种网络架构图；

图2是本申请实施例提供的一种访问控制的场景示意图；

图3是本申请实施例提供的一种访问控制的场景示意图；

图4是本申请实施例提供的一种访问控制的场景示意图；

图5是本申请实施例提供的一种访问控制方法的流程示意图；

图6是本申请实施例提供的另一种访问控制方法的流程示意图；

图7是本申请实施例提供的一种用户注册方法的流程示意图；

图8是本申请实施例提供的一种用户注册流程的时序示意图；

图9是本申请实施例提供的一种用户认证流程的时序示意图；

图10是本申请实施例提供的一种访问控制装置的结构示意图；

图11是本申请实施例提供的一种计算机设备的结构示意图；

图12是本申请实施例提供的另一种访问控制装置的结构示意图；

图13是本申请实施例提供另一种计算机设备的结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

需要说明的是，本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、***、产品或服务器不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。以下介绍本申请的访问控制方法，本说明书提供了如实施例或流程图的方法操作步骤，但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式，不代表唯一的执行顺序。在实际中的***或服务器产品执行时，可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境)。

云技术(Cloud technology)是基于云计算商业模式应用的网络技术、信息技术、整合技术、管理平台技术、应用技术等的总称，可以组成资源池，按需所用，灵活便利。云计算技术将变成重要支撑。技术网络***的后台服务需要大量的计算、存储资源，如视频网站、图片类网站和更多的门户网站。伴随着互联网行业的高度发展和应用，将来每个物品都有可能存在自己的识别标志，都需要传输到后台***进行逻辑处理，不同程度级别的数据将会分开处理，各类行业数据皆需要强大的***后盾支撑，只能通过云计算来实现。

云计算(cloud computing)指IT(Information Technology，信息技术)基础设施的交付和使用模式，指通过网络以按需、易扩展的方式获得所需资源；广义云计算指服务的交付和使用模式，指通过网络以按需、易扩展的方式获得所需服务。这种服务可以是IT和软件、互联网相关，也可是其他服务。云计算是网格计算(Grid Computing)、分布式计算(DistributedComputing)、并行计算(Parallel Computing)、效用计算(Utility Computing)、网络存储(Network Storage Technologies)、虚拟化(Virtualization)、负载均衡(Load Balance)等传统计算机和网络技术发展融合的产物。

随着互联网、实时数据流、连接设备多样化的发展，以及搜索服务、社会网络、移动商务和开放协作等需求的推动，云计算迅速发展起来。不同于以往的并行分布式计算，云计算的产生从理念上将推动整个互联网模式、企业管理模式发生革命性的变革。

本申请实施例提供的方案属于云技术领域下属的云安全(Cloud Security)。

云安全是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，并发送到服务端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。

云安全主要研究方向包括：1.云计算安全，主要研究如何保障云自身及云上各种应用的安全，包括云计算机***安全、用户数据的安全存储与隔离、用户接入认证、信息传输安全、网络攻击防护、合规审计等；2.安全基础设施的云化，主要研究如何采用云计算新建与整合安全基础设施资源，优化安全防护机制，包括通过云计算技术构建超大规模安全事件、信息采集与处理平台，实现对海量信息的采集与关联分析，提升全网安全事件把控能力及风险控制能力；3.云安全服务，主要研究各种基于云计算平台为用户提供的安全服务，如防病毒服务等。

本申请实施例提供的方案涉及到零信任***的身份信息方面的安全认证。

零信任，是一种安全理念，本质上和传统安全产品/设备并不是同一个维度的概念，但是由于零信任架构落地的时候，会和传统安全产品/设备产生协作，甚至可能存在替代某些传统安全产品/设备的情况。

零信任，可以按照字面理解，即对任何对象都不可信，具体到访问控制***中，假定人(用户)、终端、资源等都是不可信的，通过建立人到终端到资源的信任链，并动态实时校验信任链，来实现对资源安全可信请求，阻断网络攻击，提高网络安全。

零信任可以应用于多种应用场景，例如，远程办公、云计算平台、大数据中心、物联网、5G应用等。

图1是本申请实施例提供的一种网络架构图。如图1所示，该网络架构可以包括认证服务器100、业务服务器200以及终端设备集群，其中，上述终端设备集群可以包括多个终端设备，如图1所示，具体可以包括终端设备10a、终端设备10b、终端设备10c、…、终端设备10n。如图1所示，终端设备10a、终端设备10b、终端设备10c、…、终端设备10n可以分别与上述认证服务器100进行网络连接，以便于每个终端设备可以通过网络连接与认证服务器100进行数据交互，以便于每个终端设备可以接收到来自于上述认证服务器100的认证数据。如图1所示，业认证服务器100和业务服务器200之间可以进行网络连接，当认证服务器100确定终端设备完成认证后，可以将终端设备发起的针对某个应用的业务请求转发至业务服务器200。

如图1所示，每个终端设备均可以集成安装有目标应用和业务应用，目标应用包括安全认证组件，当该目标应用运行于各终端设备时，终端设备可以通过该目标应用拦截针对业务应用的业务访问请求，然后获取相关的认证数据，与上述图1所示的认证服务器100之间进行数据交互，当认证服务器100确定终端设备完成身份认证后，会接收目标应用拦截的业务访问请求，然后转发给业务服务器200，然后，终端设备可以访问到该业务访问请求所对应的受保护资源。其中，业务访问请求是指访问受保护资源的请求。其中，受保护资源是指只能被特定的用户访问的资源，比如，企业内部资源，非企业员工不能访问企业内部，因此，当终端设备通过业务应用发起针对企业内部资源的访问请求时，终端设备会先通过目标应用和认证服务器100共同完成对发起该业务访问请求的目标用户的身份认证。其中，该目标应用可以为具有账号管理、数据采集和认证、请求拦截和转发等数据信息功能的应用，比如零信任客户端。其中，受保护应用可以为游戏应用、视频编辑应用、社交应用、即时通信应用、直播应用、短视频应用、视频应用、音乐应用、购物应用、小说应用、支付应用、浏览器等具有显示文字、图像、音频以及视频等数据信息功能的应用。

每个终端设备均可以和认证服务器100进行数据交互，完成身份认证，过程可以为：每个终端设备通过目标应用拦截到针对受保护应用的业务访问请求后，会从该业务访问请求中获取到目标用户的待验证身份信息，然后每个终端设备均可以获取到业务访问请求中的待验证身份信息，然后向认证服务器100发起携带待验证身份信息的身份认证请求，然后，认证服务器100会对该待验证身份信息进行验证，当确定该待验证身份信息为合法信息后，向对应的终端设备发送随机挑战信息。终端设备在接收到随机挑战信息后，可以通过公私钥存储组件中目标用户对应的私钥，在公私钥存储组件中对该随机挑战信息进行签名，得到待验证签名信息，然后将待验证签名信息发送给认证服务器100，认证服务器100再通过目标用户对应的公钥证书对该待验证签名信息进行验签，如果认证服务器100确定验签通过，则认证服务器100确定终端设备完成认证，并下发验签通过的消息到终端设备。终端设备就可以将业务访问请求发送至认证服务器100，然后认证服务器100会将该业务访问请求转发至业务服务器200。其中，确定待验证身份信息为合法信息的过程，可以为，在用户信息管理库中查找与该待验证身份信息相同的合法信息，即确定目标用户是否在允许访问的用户名单中。

其中，公私钥存储组件是具有存储功能、计算功能和数据不可读功能的组件，换言之，公私钥存储组件中的私钥仅能在该公私钥存储组件中使用，不能被导出该公私钥存储组件，可以保证私钥不被泄露。示例性的，公私钥存储组件可以是独立在终端设备之外的硬件设备，例如，USB Key，公私钥存储组件与终端设备连接使用。公私钥存储组件也可以是嵌入在终端设备内的硬件设备，例如，TPM(Trusted Platform Module，可信赖平台模块)安全芯片。示例性的，公私钥存储组件还可以是运行在终端设备上的软件***，例如，基于虚拟化的隔离技术、可信执行环境等。示例性的，一个用户账号对应一个公私钥存储组件。

由于攻击者无法获取到公私钥存储组件中的私钥，就无法确定每次认证时的待验证签名信息，就无法完成认证，自然就无法访问受保护应用，采用本申请的方法，可以防止身份克隆攻击。

可以理解的是，本申请实施例提供的方法可以由计算机设备执行，计算机设备包括但不限于终端设备、认证服务器或业务服务器。其中，认证服务器和业务服务器均可以是独立的物理服务器，也可以是多个物理服务器构成的服务器集群或者分布式***，还可以是提供云数据库、云服务、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN(Content Delivery Network，内容分发网络)、以及大数据和人工智能平台等基础云计算服务的云服务器。终端设备可以是智能手机、平板电脑、笔记本电脑、台式计算机、掌上电脑、移动互联网设备(Mobile Internet Device,MID)、可穿戴设备(例如智能手表、智能手环等)、智能电脑等可以运行上述应用客户端的智能终端。其中，终端设备、认证服务器和业务服务器之间，可以通过有线或无线方式进行直接或间接地连接，本申请实施例在此不做限制。

可以理解的是，上述计算机设备(如上述认证服务器100、业务服务器200、终端设备10a、终端设备10b、终端设备10c…、终端设备10n)可以是一个分布式***中的一个节点，其中，该分布式***可以为区块链***，该区块链***可以是由该多个节点通过网络通信的形式连接形成的分布式***。其中，节点之间可以组成的点对点(P2P，Peer To Peer)网络，P2P协议是一个运行在传输控制协议(TCP，Transmission Control Protocol)协议之上的应用层协议。在分布式***中，任意形式的计算机设备，比如服务器、终端设备等电子设备都可以通过加入该点对点网络而成为该区块链***中的一个节点。

下述以终端设备10a拦截到针对受保护应用的业务访问请求后，和认证服务器100进行数据交互完成认证以后，再通过认证服务器100将该业务访问请求转发至对应的业务服务器100为例进行说明。

为便于理解，请参见图2-图4，是本申请实施例提供的一种访问控制的场景示意图。如图2所示，与终端设备10a具有绑定关系的是用户A，终端设备10a上安装有业务应用11和目标应用12，其中，业务应用11可以是浏览器，目标应用12可以是与用户A所在公司的企业内部资源绑定的零信任客户端。用户A在通过终端设备10a完成对目标应用12的用户注册流程以后，目标应用12可以对业务应用11进行零信任认证，认证完成以后，用户A就可以通过业务应用11完成对企业内部资源的访问和使用。其中，对业务应用11进行零信任认证，即对用户A的身份进行认证，确定用户A是否有权利访问企业内部资源，确保非法人员无法访问企业内部资源。如图2所示，假设用户A已经完成目标应用12的用户注册流程，此时用户A想要登录公司网页***提交流程表，用户A可以在业务应用11中输入公司网页***的网址，然后发起对公司网页***的业务访问请求，其中，业务访问请求包含用户A的待验证身份信息。由于此时用户A的身份未知，该业务访问请求如果直接转发至业务服务器200，业务服务器200会拒绝该业务访问请求，因此，目标应用12会和认证服务器100之间进行数据交互，进行对用户A的身份认证，当确定用户A的身份认证通过以后，目标应用12会将业务访问请求转发至认证服务器100，认证服务器100会将该业务访问请求转发至业务服务器200，业务服务器200即用户A公司的公司网页***对应的服务器。业务服务器200响应用户A的业务访问请求后，用户A就可以进入公司网页***了。需要说明的是，在一种可选地实现方式中，当目标应用12和认证服务器100共同完成了用户A的身份认证后，一段时间周期内，用户A针对企业内部资源的后续业务访问请求，将不再需要进行身份认证，用户A可以直接对企业内部资源进行访问和使用，也就是说，用户A登录仅公司网页***后，就可以直接提交流程表了。在另一种可选地实现方式中，每次用户A针对企业内部起源的业务访问请求，都需要进行身份认证。

进一步地，终端设备10a和认证服务器100之间进行数据交互，进行对用户A的身份认证的具体实现场景，可以参见图3。如图3所示，终端设备10a包含有与目标应用12对应的安全认证组件121，以及与终端设备10a相连的公私钥存储组件122，或，运行在终端设备10a中的公私钥存储组件122。其中，安全认证组件121可以拦截和转发请求。其中，转发请求包括对未经认证的业务访问请求进行身份认证的请求转发和转发认证通过后的业务访问请求，拦截请求是指对未经认证的业务访问请求进行拦截阻断。其中，公私钥存储组件122具有存储数据不可读属性和运算属性，可以是终端设备10a的内置组件，可以是与终端设备10a相连的外部组件。其中，存储数据不可读属性是指存储在公私钥存储组件122中的数据不可以被外部所读取，仅能在公私钥存储组件122中被使用，运算属性是指公私钥存储组件122可以对数据进行计算处理。如图3所示，业务应用11响应用户A的操作，生成业务访问请求，终端设备10a会通过安全认证组件121拦截该业务访问请求，然后从该业务访问请求中获取用户A的待验证身份信息，其中，待验证身份信息可以为用户名、账号、绑定手机号等信息。然后，终端设备10a会通过安全认证组件121向认证服务器100发起携带待验证身份信息的身份认证请求。认证服务器100接收到身份认证请求后，会确定该待验证身份信息是否为合法信息。其中，确定该验证身份信息是否为合法信息的过程，可以为：在用户信息管理库中查找是否有与该验证身份信息相同的身份信息，如果找到，说明该待验证身份信息为合法信息。如果确定该待验证身份信息为合法信息，则认证服务器会生成一个随机挑战信息，然后将该随机挑战信息发送给安全认证组件121。安全认证组件121会将该随机挑战信息发送至公私钥存储组件122中，终端设备10a会通过公私钥存储组件122中的私钥对随机挑战信息进行签名，得到待验证签名信息。然后终端设备10a会通过安全认证组件121将待验证签名信息转发至认证服务器100，认证服务器100会在用户信息管理库中获取与该待验证身份信息绑定的公钥证书，然后对该验证签名信息进行验签处理，得到验签结果。其中，私钥签名即对随机挑战信息进行加密，公钥解密即对加密后的待验证签名信息进行解密，解密后得到的信息如果和认证服务器100发送的随机挑战信息相同，说明公私钥配对，验签通过，用户的身份认证通过。

进一步地，如果用户A(目标用户)是公司新员工，并没有通过目标应用12完成用户注册，则认证服务器100中的用户信息管理库中没有用户A相关的身份信息和公钥证书，上述身份认证过程无法完成，用户A也无法访问到企业内部资源。因此，当用户A初次使用目标应用12时，需要先进行用户注册，具体实现过程可以参见图4。如图4所示，终端设备10a可以在公私钥存储组件122中生成用户A的公私钥对，其中，公私钥对包括私钥和公钥，私钥和公钥是一对密钥，私钥是自己所有，即除了用户A别的人都不知道私钥，公钥是公开的，所有人都可以获取到用户A的公钥，私钥签名的数据可以通过公钥解密。终端设备10a可以向认证服务器100发送针对用户A的用户注册请求，该用户注册请求就包括公钥和用户A的用户身份信息。认证服务器100接收到该用户注册请求后，会根据该用户注册请求进行用户A的初始身份认证，即向终端设备10a发送初始身份认证请求，然后接收终端设备10a返回的身份认证回复，再基于该身份认证回复进行身份认证。如图4所示，认证服务器100会在用户信息管理库中查找用户A的用户身份信息，然后获取绑定的联系账号，向该联系账号发送随机动态码。同时，认证服务器100会向终端设备10a下发初始身份认证请求，终端设备10a根据该初始身份认证请求可以显示动态码认证界面13，用户A通过事先预留的联系账号获取到动态码后，即可以在动态码认证界面10a中输入，随后点击确认按钮，然后终端设备10a会将该用户A输入的动态码返回给认证服务器100，认证服务器100确定返回的动态码和最开始发送的随机动态码相同，则确定用户A的身份认证通过，随后根据用户A的公钥生成公钥证书，再将用户A的用户身份信息和公钥证书进行绑定，然后一起存储用户信息管理库中，同时，认证服务器100还会将公钥证书返回给终端设备10a。通过上述过程，用户A的用户注册完成，后续用户A通过上述业务应用11访问企业内部资源时，就可以进行上述图3所示的身份认证了。

进一步地，请参见图5，图5是本申请实施例提供的一种访问控制方法的流程示意图。该方法由图1中所述的终端设备执行，即可以为图1中的终端设备集群中的任一终端设备(也包括终端设备10a、终端设备10b、终端设备10c以及终端设备10n)。如图5所示，该访问控制过程包括如下步骤：

步骤S101，安全认证组件拦截由业务应用所发起的业务访问请求，业务访问请求包含目标用户的待验证身份信息。

具体的，业务应用是指目标用户使用的需要进行零信任认证的应用软件，目标用户可以通过这些应用软件来访问受保护的内部资源。其中，内部资源通常指指企业控制并拥有所有权和使用权的经营资源，通常仅允许企业内部人员访问，比如学校内部资源，只允许该学校的老师和学生使用。随着零信任安全的概念提出，原本必须在企业内网(物理网络边界)访问的内部资源，现在可以允许企业内部人员从任意位置发起访问。因此，终端设备不再是运行在相对安全的企业内网环境，而是有可能运行在任意的环境中，比如居家、咖啡馆、酒店等等。在这些环境中，目标用户潜在遭受的钓鱼攻击、水坑攻击等安全威胁极大增加，因此，目标用户在通过应用发起业务访问请求时，终端设备需要对该业务访问请求进行零信任认证，即身份认证。

具体的，业务应用可以包括B/S(Browser/Server，浏览器/服务器模式)架构应用软件和C/S(Client/Server，客户端/服务器模式)架构应用软件，对于B/S架构的应用软件来说，应用一般是指浏览器；对于C/S架构的应用软件来说，应用一般是指特定的客户端软件。受保护的内部资源一般是指应用的服务端，这些服务一般放在企业内网或云端，需要对访问请求进行身份认证，从而保护服务背后的资源只能被合法的用户访问。因此，安全认证组件会拦截由业务应用所发起的业务访问请求。可选的，安全认证组件可以仅需拦截应用发起的针对内部资源进行访问和使用的业务访问请求，而对于业务应用发起的针对其他资源的业务访问请求，安全认证组件无需拦截。一种可行的实施例中，安全认证组件会对应用发起的业务访问请求做初步识别，比如分析业务访问请求中的地址信息，是否在待验证地址名单中等等，确定该业务访问请求是否是访问内部资源，如果是访问内部资源，安全认证组件将拦截该业务访问请求。

具体的，终端设备上运行有安全认证组件和公私钥存储组件；或，终端设备上运行有安全认证组件，且连接有公私钥存储组件。其中，安全认证组件可以为零信任客户端(即上述图2所示的目标应用12)中的一个内置功能组件，安全认证组件可以实现请求的拦截和转发。其中，业务访问请求包含目标用户的待验证身份信息，比如账号信息、用户名信息等用于唯一标识该目标用户的信息。

步骤S102，安全认证组件获取所述业务访问请求中的待验证身份信息，向认证服务器发起携带所述待验证身份信息的身份认证请求，以使所述认证服务器在确定待验证身份信息为合法信息时，向安全认证组件发送随机挑战信息。

具体的，安全认证组件拦截到业务访问请求后，会从中提取目标用户的待验证身份信息，然后生成携带该待验证身份信息的身份认证请求，安全认证组件会向认证服务器发送该身份认证请求，然后等待认证服务器的处理。认证服务器接收到身份认证请求后，确定待验证身份信息为合法信息，会向安全认证组件发送随机挑战信息。其中，认证服务器可以为零信任***中的身份认证过程提供相应的用户信息管理服务、认证服务、接入网关等功能服务。需要说明的是，认证服务器可以为一个服务器，也可以为一个服务器集群，上述各个功能服务可以部署在不同的服务器上，这里仅以各个功能服务部署在同一服务器上进行说明。其中，随机挑战信息是认证服务器基于本次身份认证请求随机生成的信息，可以为随机数、随机字符串等等，每次针对同一目标用户发起的身份认证请求，生成的随机挑战信息均可以不同。其中，属于合法信息的目标用户的待验证身份信息存在于认证服务器中的用户信息管理库中，属于非法信息的目标用户的待验证身份信息不存在于认证服务器中的用户信息管理库中。可选的，若认证服务器在确定待验证身份信息为非法信息时，获取认证服务器所发送的身份验证失败提示信息。

步骤S103，安全认证组件获取待验证签名信息，待验证签名信息是通过私钥对所述随机挑战信息进行签名得到的；所述私钥无法被读取。

具体的，安全认证组件获取通过私钥对所述随机挑战信息进行签名得到的待验证签名信息的过程，可以为：安全认证组件将获取到的随机挑战信息传输至公私钥存储组件；公私钥存储组件通过公私钥存储组件中的私钥对随机挑战信息进行签名，得到待验证签名信息；公私钥存储组件向安全认证组件传输待验证签名信息；安全认证组件获取公私钥存储组件传输的待验证签名信息；公私钥存储组件具有数据不可读属性。其中，公私钥存储组件又可以称之为身份存储设备，用于存储目标用户的用户身份凭证的信任根，比如私钥。公私钥存储组件的关键属性为数据不可读，即存储在其中的秘密信息无法被导出复制，只要满足这一关键属性，不论是硬件设备还是软件***都可以用来作为本申请的公私钥存储组件。另外，外部的硬件设备与终端设备连接后，该外部的硬件设备也可以称之为终端设备的公私钥存储组件。其中，硬件设备，比如USB key(一种内置单片机或者智能卡芯片的硬件设备)、TPM(Trusted Platform Module，可信赖平台模块)安全芯片等，软件***，比如基于虚拟化的隔离计算、可信执行环境等。

具体的，在非对称加密算法中，需要两个密钥，一个公开密钥(publickey，简称公钥)和私有密钥(privatekey，简称私钥)，公钥和私钥是一对，甲方可以用自己的私钥对机密信息签名后再发送给乙方，乙方可以通过甲方的公钥对接收的签名后的机密信息进行验签，从而确定该机密信息来源于甲方。公私钥存储组件中存储有目标用户的公钥和私钥，公钥可以存储在公私钥存储组件中的可读区域，但是私钥只能存储在公私钥存储组件中的不可读区域，也就是仅能在公私钥存储组件中使用目标用户的私钥，其余组件、设备都不能读取到目标用户的私钥。

具体的，安全认证组件获取通过公私钥存储组件中的私钥对随机挑战信息进行签名得到的待验证签名信息，过程可以为：公私钥存储组件对随机挑战信息进行哈希运算，得到随机挑战信息的数字摘要；公私钥存储组件通过公私钥存储组件中的私钥对数字摘要进行非对称加密处理，得到针对随机挑战信息的待验证签名信息。其中，哈希运算又称散列运算，就是把任意长度的输入，通过散列算法，变换成固定长度的输出，这个输出值，就是数字摘要。其中，哈希运算可以包括除法哈希法、乘法哈希法、斐波那契哈希法等等。可以理解的是，如果随机挑战信息较小，比如为随机数时，可以直接通过公私钥存储组件使用目标用户的私钥对该随机数进行非对称加密处理，无需对其进行哈希运算得到数字摘要。

步骤S104，安全认证组件将待验证签名信息发送给认证服务器，以使认证服务器基于随机挑战信息和与待验证身份信息绑定的公钥证书对待验证签名信息进行验签处理，得到验签结果。

具体的，通过公私钥存储组件得到待验证签名信息后，安全认证组件将待验证签名信息发送给认证服务器，然后等待认证服务器基于随机挑战信息和与待验证身份信息绑定的公钥证书对待验证签名信息进行验签处理，得到验签结果。其中，公钥证书是目标用户完成用户注册时，认证服务器根据目标用户的公钥生成的数字证书，数字证书又叫“数字身份证”、“网络身份证”，是由证书认证中心发放并经过证书认证中心数字签名，包含公开密钥的拥有者以及公开密钥相关信息的一种电子文件，可以用来证明数字证书持有者的真实身份。

步骤S105，若所述验签结果为验签通过结果，则安全认证组件接收认证服务器下发的验签通过消息，基于验签通过消息将业务访问请求发送至认证服务器，以使认证服务器将业务访问请求转发至业务应用所访问的业务服务器。

具体的，当认证服务器确定验签结果为验签通过结果时，会下发验签通过消息，安全认证组件接收到该验签通过消息时，将业务访问请求转发至认证服务器，然后认证服务器会将业务访问请求转发至业务应用所访问的业务服务器，即内部资源对应的服务端所在的服务器。

可选的，安全认证组件可以为目标用户添加访问状态，当安全认证组件拦截到业务访问请求后，会查询目标用户的访问状态，若访问状态为允许访问状态，则将业务访问请求发送至认证服务器，以使认证服务器将业务访问请求转发至应用所访问的业务服务器；若访问状态为未知访问状态，则向认证服务器发起携带所述待验证身份信息的身份认证请求。上述过程均可以通过安全认证组件实现，即终端设备可以在安全认证组件中为目标用户添加访问状态，当安全认证组件拦截到业务访问请求后，安全认证组件查询目标用户的访问状态。如此，当目标用户在短时间内多次发起针对内部资源的业务访问请求时，安全认证组件仅需要在目标用户初次发起业务访问请求时，对目标用户进行身份认证。

当目标用户的身份认证通过，认证服务器下发上述验签通过消息时，还可以一并下发状态调整指令，安全认证组件根据状态调整指令将目标用户的访问状态调整为允许访问状态；同时安全认证组件可以为目标用户的访问状态设置允许访问有效期；当目标用户的访问状态为允许访问状态的当前累计时长超出允许访问有效期时，将目标用户的访问状态调整为未知访问状态。假设允许访问有效期为一小时，则当目标用户通过认证服务器的身份认证的一小时内，目标用户再次发起的业务访问请求无需再进行身份认证，可以直接转发至业务服务器。

可选的，目标用户初次访问内部资源之前，需要先完成用户注册，才能进行上述的身份认证过程。公私钥存储组件会先生成目标用户的公私钥对，其中，公私钥对包括私钥和公钥；公私钥存储组件将公钥传输给安全认证组件；安全认证组件接收公私钥存储组件传输的公钥，向认证服务器发送针目标用户的用户注册请求；用户注册请求包括目标用户的公钥和目标用户的用户身份信息；安全认证组件接收认证服务器基于用户注册请求发起的初始身份认证请求，根据初始身份认证请求向认证服务器发送身份认证回复，以使认证服务器根据身份认证回复进行身份认证，得到身份认证结果；若身份认证结果为身份认证成功结果，则接收认证服务器下发的目标用户的公钥证书；安全认证组件向公私钥存储组件传输公钥证书，以使公私钥存储组件存储该公钥证书。

一个可行的实施例中，根据初始身份认证请求向认证服务器发送身份认证回复的过程，可以为：根据初始身份认证请求显示动态码认证界面；响应接收到在动态码认证界面上的输入确定操作，获取待验证动态码，将待验证动态码作为身份认证回复；向认证服务器发送身份认证回复，以使认证服务器将待验证动态码和随机动态码进行比对处理，根据比对结果确定初始身份认证结果。其中，动态码认证界面用于输入待验证动态码，用户可以依据认证服务器发送至联系账号的随机动态码在动态码认证界面中输入待验证动态码，联系账号在认证服务器的用户信息管理库中与用户身份信息具有绑定关系。若比对结果为待验证动态码和随机动态码相同，则初始身份认证结果为初始身份认证成功结果；若比对结果为待验证动态码和随机动态码不相同，则初始身份认证结果为初始身份认证失败结果。

一个可行的实施例中，终端设备上运行有令牌存储组件，根据初始身份认证请求向认证服务器发送身份认证回复的过程，可以为：根据初始身份认证请求，调用令牌存储组件根据令牌密钥生成待验证动态口令，将待验证动态口令作为身份认证回复；向认证服务器发送所述待验证动态口令，以使认证服务器将待验证动态口令和目标动态口令进行比对处理，根据比对结果确定初始身份认证结果。其中，目标动态口令是认证服务器根据用户管理信息库中与所述用户身份信息关联的目标令牌密钥生成的。若比对结果为待验证动态口令和目标动态口令相同，则初始身份认证结果为初始身份认证成功结果；若比对结果为待验证动态口令和目标动态口令不相同，则初始身份认证结果为初始身份认证失败结果。

本申请实施例提供的方法，通过使用无法读取的私钥，可以防止目标用户的身份凭证信用根被泄露，后续安全认证组件拦截由业务应用所发起的业务访问请求，并获取该业务访问请求中的待验证身份信息，向认证服务器发起携带该待验证身份信息的身份认证请求，然后在认证服务器在确定该待验证身份信息合法时，接收认证服务器发送的随机挑战信息；调用公私钥存储组件通过私钥对随机挑战信息进行签名，得到待验证签名信息，等待认证服务器基于随机挑战信息和目标用户的公钥进行验签。采用本申请实施例提供的方法，可以保证每次待验证签名信息不同，且产生待验证签名信息的私钥不被泄露，从而使得攻击者无法盗用用户身份，提高零信任***在身份信息方面的安全性。

进一步地，请参见图6，图6是本申请实施例提供的另一种访问控制方法的流程示意图，该方法由图1中所述的认证服务器100执行。如图6所示，该访问控制过程包括如下步骤：

步骤S201，认证服务器响应终端设备发起的携带目标用户的待验证身份信息的身份认证请求，对所述待验证身份信息进行合法性验证。

具体的，认证服务器接收到携带目标用户的待验证身份信息的身份认证请求后，会先确定该待验证身份信息是否合法，即目标用户是否完成用户注册。认证服务器中存储有用户信息管理库，当用户完成了上述用户注册以后，认证服务器会将用户的用户身份信息和公钥证书绑定后存进用户信息管理库中。因此，认证服务器响应安全认证组件发起的携带目标用户的待验证身份信息的身份认证请求，对待验证身份信息进行合法性验证的过程，可以为：认证服务器响应安全认证组件发起的携带目标用户的待验证身份信息的身份认证请求，在用户信息管理库中查找目标用户的待验证身份信息；若在用户信息管理库中查找到与目标用户的待验证身份信息相同的用户身份信息，则确定目标用户的待验证身份信息为合法信息；若在用户信息管理库中未查找到与目标用户的待验证身份信息相同的用户身份信息，则确定目标用户的待验证身份信息为非法信息，向终端设备下发身份验证失败提示信息。其中，身份验证失败提示信息可以是“用户尚未注册”等提示信息。

步骤S202，当确定所述待验证身份信息为合法信息时，认证服务器向安全认证组件发送随机挑战信息，以使安全认证组件获取通过私钥对随机挑战信息进行签名得到的待验证签名信息；私钥无法被读取。

具体的，随机挑战信息是认证服务器根据相关函数或者方法随机生成的，换言之，每次身份认证过程中，随机挑战信息不同。其中，随机挑战信息可以包括随机数、随机字符串、随机文本等等。

具体的，安全认证组件接收随机挑战信息后获取待验证签名信息的具体过程，可以参见上述步骤S103。

步骤S203，认证服务器接收安全认证组件发送的待验证签名信息，基于随机挑战信息和与待验证身份信息绑定的公钥证书对待验证签名信息进行验签，得到验签结果。

具体的，接收安全认证组件发送的待验证签名信息，基于随机挑战信息和与待验证身份信息绑定的公钥证书对待验证签名信息进行验签处理，得到验签结果的过程，可以为：接收安全认证组件发送的待验证签名信息；然后在用户信息管理库中获取与目标用户的待验证身份信息绑定的公钥证书，根据公钥证书确定目标用户的公钥，例如，用户信息管理库中存储了用户的用户身份信息以及公钥证书，认证服务器在用户信息管理库中确定与待验证身份信息相匹配的用户身份信息，则该用户身份信息对应的公钥证书即为该待验证身份信息所绑定的公钥证书；基于目标用户的公钥和随机挑战信息对待验证签名信息进行验签，得到验签结果。其中，公钥证书为上述所说的包含公钥的拥有者以及公钥相关信息的一种电子文件，可以用来证明数字证书持有者的真实身份。认证服务器获取到与待验证身份信息绑定的公钥证书后，可以根据公钥证书上的相关信息确定该公钥证书中的公钥属于目标用户，直接从公钥证书中获取目标用户的公钥即可。

具体的，基于目标用户的公钥和随机挑战信息对待验证签名信息进行验签，得到验签结果的过程，可以为：基于目标用户的公钥对待验证签名信息进行解密，得到数字摘要；对随机挑战信息进行哈希运算，得到随机挑战信息的真实数字摘要；若数字摘要和真实数字摘要相同，则确定验签结果为验签通过结果；若数字摘要和真实数字摘要不相同，则确定验签结果为验签失败结果，向安全认证组件下发身份验证失败提示信息。需要说明的是，认证服务器对随机挑战信息使用的哈希算法，与公私钥存储组件对随机挑战信息使用的哈希算法，应该为同一种算法。

步骤S204，若所述验签结果为验签通过结果，则认证服务器向安全认证组件下发验签通过消息，以使安全认证组件基于验签通过消息发送业务访问请求至认证服务器。

具体的，验签通过说明认证服务器获取到的公钥和目标用户的私钥相匹配，目标用户的业务访问请求是合法的，认证服务器会下发验签通过消息，即下发允许目标用户访问内部资源的消息指令，安全认证组件接收到验签通过消息后，就会将业务访问请求转发到认证服务器。

步骤S205，认证服务器将所述业务访问请求转发至业务应用所访问的业务服务器。

具体的，认证服务器会将业务访问请求转发至业务应用所访问的业务服务器，以使目标用户可以正常访问内部资源。

本申请实施例提供的方法，认证服务器在确定目标用户的待验证身份信息合法后，会生成随机挑战信息下发给安全认证组件，随后等待安全认证组件对该随机挑战信息进行私钥签名，得到待验证签名信息，然后认证服务器会获取目标用户的公钥证书，从而得到目标用户的公钥对待验证签名信息进行验签，从而完成对目标用户的身份认证。由于随机挑战信息的不确定性，因此安全认证组件每次发送的待验证签名信息也不确定，即使某次待验证签名信息被泄露，下一次也不可用，可以防止身份克隆攻击。

进一步地，上述提到用户需要先完成用户注册，使得认证服务器中的用户信息管理库中有用户的用户身份信息和公钥证书，才能正常执行上述访问控制方法，为便于理解，请参见图7，图7是本申请实施例提供的一种用户注册方法的流程示意图。该方法可以由图1中所述的认证服务器100执行。如图7所示，该访问控制过程包括如下步骤：

步骤S301，认证服务器接收安全认证组件发送的针对目标用户的用户注册请求；用户注册请求包括目标用户的公钥和目标用户的用户身份信息。

具体的，目标用户想要在任意位置均可访问内部资源，可以在终端设备中集成安装有零信任客户端(包括安全认证组件)，之后目标用户针对内部资源的业务访问请求，在零信任客户端对应的安全认证组件、公私钥存储组件以及认证服务器之间的数据交互完成对目标用户的身份认证后，可以通过认证服务器转发至业务服务器。上述目标用户的身份认证过程中，需要目标用户的公钥证书以及用户身份信息，而目标用户初次使用访问内部资源时，认证服务器中是没有相关的用户身份信息和公钥证书的，因此，需要先通过零信任客户端向认证服务器发送用户注册请求，完成用户信息管理库中用户身份信息和公钥证书的登记入库。

步骤S302，向安全认证组件发送基于用户注册请求发起的初始身份认证请求，接收安全认证组件根据初始身份认证请求发送的身份认证回复，根据身份认证回复进行身份认证，得到身份认证结果。

具体的，用户信息管理库中可以包含内部用户名单，即允许访问内部资源的用户名单。可以理解的是，内部资源非公开访问资源，仅有特定的人群才能访问内部资源，比如公司内部资源，只有公司员工和公司相关的客户才被允许访问。通常，资源管理人员会根据***、业务来往来更新用户信息管理库中的内部用户名单。需要说明的是，内部用户名单中的用户包括已注册用户和未注册用户，在内部用户名单上的用户如果没有完成用户注册，也无法完成身份认证访问内部资源。内部用户名单中包含用户初始身份信息和注册信息，其中，注册信息可以是联系账号、联系电话、联系邮箱、令牌密钥等等用于帮助用户完成用户注册的信息。

一个可行的实施例中，注册信息为联系账号时，认证服务器接收到初始身份认证请求后，会在用户信息管理库中查询与用户身份信息对应的用户初始身份信息绑定的联系账号，然后向联系账号发送随机动态码，则向安全认证组件发送基于用户注册请求发起的初始身份认证请求，接收安全认证组件根据初始身份认证请求发送的身份认证回复，根据身份认证回复进行初始身份认证，得到初始身份认证结果的过程，可以为：向安全认证组件发送基于用户注册请求发起的初始身份认证请求，以使安全认证组件根据初始身份认证请求显示动态码认证界面(比如上述图4所对应实施例中的动态码认证界面13)，响应接收到在动态码认证界面上的输入确定操作，安全认证组件获取待验证动态码，将待验证动态码作为身份认证回复；认证服务器接收安全认证组件发送的待验证动态码，将待验证动态码和随机动态码进行比对处理；若待验证动态码和随机动态码相同，则确定初始身份认证结果为初始身份认证成功结果；若待验证动态码和随机动态码不相同，则确定初始身份认证结果为初始身份认证失败结果。可以理解的是，如果目标用户是合法用户，则能通过联系账号获取到认证服务器下发的随机动态码，就可以通过动态码认证界面输入接收到的随机动态码，安全认证组件获取到的待验证动态码必然和随机动态码相同。

一个可行的实施例中，注册信息为令牌密钥时，认证服务器向安全认证组件发送基于用户注册请求发起的初始身份认证请求，接收安全认证组件根据初始身份认证请求发送的身份认证回复，根据身份认证回复进行初始身份认证，得到初始身份认证结果的过程，可以为：认证服务器向安全认证组件发送基于用户注册请求发起的初始身份认证请求，以使安全认证组件根据初始身份认证请求，在令牌存储组件中根据令牌密钥生成待验证动态口令；接收安全认证组件发送的待验证动态口令；在用户管理信息库中获取与用户身份信息关联的目标令牌密钥，根据目标令牌密钥，生成目标动态口令；若待验证动态口令和目标动态口令相同，则确定初始身份认证结果为初始身份认证成功结果；若待验证动态口令和目标动态口令不相同，则确定初始身份认证结果为初始身份认证失败结果。

步骤S303，若身份认证结果确定为身份认证成功结果，则认证服务器根据公钥和证书基本信息生成公钥证书。

具体的，目标用户的公钥证书记录有目标用户的姓名、组织、邮箱地址等个人信息，以及属于目标用户的公钥，并且需要由认证机构(Certification Authority、Certifying Authority,CA)施加数字签名。当认证服务器获取到目标用户的公钥证书，就可以认定其中的公钥属于目标用户，公钥证书可以简称为证书(certificate)。其中，认证机构可以理解为可信的第三方，认证服务器和终端设备都认可认证机构生成的公钥证书，可以用于确定“公钥确实属于目标用于"，并通过自己的私钥对其进行签名。认证机构功能可以通过证书颁发组件来实现，该证书颁发组件可以内置于认证服务器中，也可以外置于专门的CA服务器中，认证服务器可以和CA服务器进行通信，来间接调用该证书颁发组件，生成目标用户的公钥证书。

步骤S304，认证服务器将公钥证书和用户身份信息进行绑定，将已绑定的公钥证书和用户身份信息存储至用户信息管理库中；将公钥证书下发到安全认证组件，以使终端设备存储公钥证书。

具体的，通过证书颁发组件得到公钥证书后，认证服务器会将公钥证书和用户身份信息进行绑定，然后将已绑定的公钥证书和用户身份信息存储至用户信息管理库中，方便管理和查询。认证服务器还会将公钥证书下发至安全认证组件，安全认证组件将公钥证书写入公私钥存储组件，以使公私钥存储组件存储公钥证书，方便终端设备进行查询和管理。

通过本申请实施例提供的方法，仅有内部用户名单上的用户才可以完成用户注册，后续才能进行上述访问内部资源的身份认证过程。

进一步地，为便于理解，请参见图8，图8是本申请实施例提供的一种用户注册流程的时序示意图。用户注册流程指用户初次使用零信任***时的注册过程，用户注册流程涉及四个主体对象：证书存储设备、零信任客户端、用户管理服务器、CA服务器。其中，证书存储设备即上述所述的公私钥存储组件，零信任客户端即上述所说的包含安全认证组件的目标应用(即上述图2所示的目标应用12)，为了更好的说明公钥证书的生成，假设上述证书颁发组件单独对应有CA服务器，其余认证服务器实现的功能通过用户管理服务器实现，换言之，CA服务器和用户管理服务器可以为独立的服务器，也可以集成为一个服务器，即上述认证服务器。用户注册具体流程描述如下：

S41：证书存储设备(公私钥存储组件)生成公私钥密钥对，将公钥发送给零信任客户端(安全认证组件)。

具体的，证书存储设备在其自身内部生成公私密钥对，并将公钥发送给安装在终端设备上的零信任客户端。私钥始终不离开证书存储设备，且由前文所述，证书存储设备具有不可读特性，所以无法导出该私钥。其中，公私密钥对的生成可以基于非对称密码学方法，比如RSA(一种非对称秘钥加密技术)、DSA(Digital Signature Algorithm，数字签名算法)、ECDSA(Elliptic Curve Digital Signature Algorithm，椭圆曲线签名算法)或者其他零知识证明算法。

S42：零信任客户端发起携带公钥和用户身份信息的用户注册请求。

具体的，零信任客户端发送用户注册请求给用户管理服务器，该请求的数据中主要包含公钥和必要的用户身份信息。

S43：用户管理服务器发起多因子认证请求(即上述初始身份认证请求)。

具体的，用户管理服务器在收到零信任客户端发来的用户注册请求后，会主动向用户发起多因子认证请求，常见的多因子认证方式包括：手机短信动态认证码、手机应用二维码扫码认证、动态令牌等。需要说明的是，用户管理服务器主动向用户发起多因子认证是一个抽象省略的说法，是为了统一不同实现方式下的表述形式，主要是强调多因子认证动作是由用户管理服务器控制和发起。用户服务器器在下一个用户请求到达时会先检查多因子认证状态，如果尚未认证，则下发多因子认证信息(短信、二维码、动态令牌等)，等待回复。

S44：零信任客户端根据多因子认证请求生成多因子认证回复。

具体的，用户在收到用户管理服务器下发的多因子认证信息后，根据具体的多因子认证方式，通过零信任客户端回复相应的多因子认证回复(比如短信验证码、二维码扫描结果、动态令牌信息等)给用户管理服务器。

S45：用户管理服务器根据多因子认证回复进行多因子认证。

具体的，用户管理服务器在收到零信任客户端发来的多因子认证回复信息后，会根据不同的多因子认证方式来进行多因子认证结果判定。具体实现可以参见上述图7所对应实施例中步骤S302的相关描述，这里不再进行赘述。

S46：多因子认证失败，向零信任客户端下发认证失败提示信息。

具体的，如果用户管理服务器确定多因子认证失败，会直接返回认证失败提示信息，告知用户注册失败。

S47：多因子认证成功，向证书机构服务器发起证书签发请求。

具体的，如果用户管理服务器确定多因子认证成功，则用户管理服务器会向CA服务器发送证书签发请求(Certificate Signing Request，CSR)，CSR中包含公钥和其它证书所需要的基本信息。

S48：证书机构服务器生成公钥证书后下发给用户管理服务器。

具体的，证书机构服务器会从CSR请求中获取公钥和其它证书所需要的基本信息，然后生成初始证书，随后使用存储的证书私钥对初始证书签名，得到公钥证书，随后下发给用户管理服务器。

S49：用户管理服务器将用户身份信息和公钥证书进行绑定，然后存储进用户信息管理库中。

具体的，用户管理服务器将用户身份信息和公钥证书进行绑定，一般使用用户ID(Identity Document，标识号)和证书的指纹进行绑定，存储在用户信息管理库中。其中，证书的指纹是指证书拥有独一无二的识别代码。

S410：用户管理服务器下发公钥证书到零信任客户端，零信任客户端安装证书，同时传给证书存储设备进行存储。

采用本申请实施例提供的方法，可以方便内部用户快速完成用户注册，同时，确保非内部用户无法完成用户注册。

进一步地，为便于理解，请参见图9，图9是本申请实施例提供的一种用户认证流程的时序示意图。用户在成功完成了上述图8所示的初次使用零信任***时的用户注册流程之后，在后续的使用过程中，即可使用零信任客户端配合证书存储设备来进行零信任认证，从而方便的访问受保护的内网资源。用户认证流程比上述用户注册流程多了两个主体对象：用户软件和受保护的资源。用户软件是指用户使用的需要进行零信任认证的软件，用户需要通过这些软件来访问内部受保护的资源。对于B/S架构的软件来说，用户软件一般是指浏览器；对于C/S架构的软件来说，用户软件一般是指特定的客户端软件。受保护的资源一般是指软件的服务端，这些服务一般放在企业内网或云端，需要对访问请求进行人身认证，从而保护服务背后的资源只能被合法的用户访问。用户认证具体流程描述如下：

S501：正常用户软件发起的业务访问请求，被零信任客户端所拦截。

具体的，用户(即上述目标用户)正常使用软件(即上述业务应用)访问受保护的资源(即上述内部资源)，业务访问请求会被零信任客户端拦截。零信任客户端拦截业务访问请求可以采用虚拟网卡全流量代理的方式，简单来说，就是终端设备的所有请求，都会经过零信任客户端，而零信任客户端可以对请求进行识别，拦截住访问受保护资源的业务访问请求。

S502：零信任客户端发起携带目标用户的待验证身份信息的身份认证请求。

具体的，零信任客户端拦截到业务访问请求后，会发起用户认证流程，向用户管理服务器发送携带待验证身份信息的身份认证请求。

S503：用户管理服务器对待验证身份信息进行合法性验证，如果确定待验证身份信息为非法信息，下发身份验证失败提示信息。

具体的，用户管理服务器在用户信息管理库中查找与待验证身份信息相同的用户信息，进行用户信息检查；如果用户信息检查失败，即没有在用户信息管理库中查找到相同的用户信息，则确定待验证身份信息为非法信息，则可以直接向零信任客户端返回用户认证失败消息。

S504：如果用户管理服务器确定待验证身份信息为合法信息，发起挑战请求。

具体的，由于将证书颁发组件放置在证书机构服务器，则上述生成随机挑战信息和对待验证签名信息进行验签处理等过程也可以由证书机构服务器实现。此时，用户管理服务器会向CA服务器先发起挑战请求。

S505：证书机构服务器生成挑战信息(随机数)。

具体的，CA服务器接收到挑战请求后，会向零信任客户端发送挑战信息(即上述随机挑战信息)，挑战消息的实际信息可以是一个随机数。

S506：零信任客户端转发挑战信息(随机数)到证书存储设备。

具体的，零信任客户端会将挑战信息转发给证书存储设备，发起挑战应答流程，随后在证书存储设备内部进行数字证书签名操作。

S507：证书存储设备通过私钥对挑战信息进行签名。

具体的，证书存储设备本身具有运算能力，在收到随机挑战之后，在设备内部对挑战消息进行数字签名操作，其实质是使用存储在设备内部的私钥对挑战信息的随机数进行加密操作。

S508：证书存储设备将数字签名发送至零信任客户端。

具体的，证书存储设备将计算好的随机挑战的数字签名(即上述待验证签名信息)发送给零信任客户端。

S509：零信任客户端将数字签名发送给证书机构服务器。

S510：证书机构服务器发送用户信息查询请求。

具体的，用户信息查询请求中包含用户的用户信息。

S511：用户管理服务器返回公钥证书。

具体的，用户管理服务器会在用户信息管理库中查找与用户信息绑定的公钥证书，然后返回给CA服务器。

S512：证书机构服务器根据用户信息对数字签名进行校验。

具体的，CA服务器进行数字签名校验流程。具体操作是使用证书公钥对数字签名进行解密，然后将解密出的消息和步骤S505发送出去的挑战信息进行比对。如果一致，则校验成功，如果不一致，则校验失败。

S513：校验失败，下发身份校验失败提示信息；校验成功，下发验签通过消息。

具体的，如果校验失败，CA服务器会向零信任客户端返回数字签名校验失败消息，此时认证失败，正常用户软件的业务访问请求被终止；如果校验成功，CA服务器会向零信任客户端返回数字签名校验成功消息，此时用户的认证成功。

S514：校验成功，零信任客户端转发业务访问请求到用户管理服务器，用户管理服务器再将业务访问请求转发至受保护的资源。

S515：受保护的资源响应。

通过本申请实施例提供的方法，用户通过正常用户软件访问受保护的资源时，需要先经过CA服务器的挑战认证，挑战认证通过后将业务访问请求转发至用户管理服务器，再由用户管理服务器转发至受保护的资源。由于终端设备的私钥具有不可导出性，攻击者无法通过盗取私钥生成挑战认证需要的数字签名，因此无法盗取用户的身份，从而避免了身份克隆攻击。

进一步地，请参见图10，图10是本申请实施例提供的一种基于零信任安全的访问控制装置的结构示意图。上述访问控制装置可以是运行于计算机设备中的一个计算机程序(包括程序代码)，例如该访问控制装置为一个应用软件；该装置可以用于执行本申请实施例提供的方法中的相应步骤。如图10所示，该访问控制装置1可以包括：拦截认证模块211、签名模块212以及转发模块213。

拦截认证模块211，用于拦截由业务应用所发起的业务访问请求，业务访问请求包含目标用户的待验证身份信息；

拦截认证模块211，还用于获取业务访问请求中的待验证身份信息；

转发模块213，用于向认证服务器发起携带待验证身份信息的身份认证请求，以使认证服务器在确定待验证身份信息为合法信息时，向安全认证组件发送随机挑战信息；

签名模块212，用于获取通过私钥对随机挑战信息进行签名得到的待验证签名信息；私钥无法被读取；

转发模块213，用于将待验证签名信息发送给认证服务器，以使认证服务器基于随机挑战信息和与待验证身份信息绑定的公钥证书对待验证签名信息进行验签，得到验签结果；

接收模块，用于若验签结果为验签通过结果，则接收认证服务器下发的验签通过消息；

转发模块213，还用于基于验签通过消息将业务访问请求发送至认证服务器，以使认证服务器将业务访问请求转发至业务应用所访问的业务服务器。

其中，拦截认证模块211、签名模块212以及转发模块213的具体实现方式，可以参见上述图5所对应实施例中步骤S101-S105的描述，这里将不再进行赘述。

请参见图10，签名模块212可以包括：组件签名单元221。

组件签名单元221，用于向公私钥存储组件传输所述随机挑战信息，所述公私钥存储组件用于通过所述公私钥存储组件中的私钥对所述随机挑战信息进行签名得到所述待验证签名信息；所述公私钥存储组件具有数据不可读属性；

组件签名单元221，用于获取所述公私钥存储组件传输的所述待验证签名信息。

所述公私钥存储组件，用于对所述随机挑战信息进行哈希运算，得到所述随机挑战信息的数字摘要；通过所述私钥对所述数字摘要进行非对称加密处理，得到针对所述随机挑战信息的待验证签名信息。

所述公私钥存储组件为用于与所述终端设备连接的硬件设备，或，所述公私钥存储组件为所述终端设备内的硬件设备，或，所述公私钥存储组件为运行在所述终端设备上的软件***。

其中，组件签名单元221的具体实现方式，可以参见上述图5所对应实施例中步骤S103的描述，这里将不再进行赘述。

其中，属于合法信息的目标用户的待验证身份信息存在于认证服务器中的用户信息管理库中，属于非法信息的目标用户的待验证身份信息不存在于认证服务器中的用户信息管理库中；

请参见图10，访问控制装置1还可以包括：

认证非法模块14，用于若认证服务器在确定待验证身份信息为非法信息时，接收认证服务器所发送的身份验证失败提示信息。

其中，认证非法模块14的具体实现方式，可以参见上述图5所对应实施例中步骤S103的描述，这里将不再进行赘述。

请参见图10，访问控制装置1还可以包括：传输模块15、注册请求模块16、回复认证模块17以及证书存储模块18。

所述公私钥存储组件，用于生成目标用户的公私钥对；公私钥对包括私钥和公钥；

传输模块15，用于接收所述公私钥存储组件传输的所述公钥；

注册请求模块16，用于向认证服务器发送针对目标用户的用户注册请求；用户注册请求包括目标用户的公钥和目标用户的用户身份信息；

注册请求模块16，还用于接收认证服务器基于用户注册请求发起的初始身份认证请求；

回复认证模块17，用于根据初始身份认证请求向认证服务器发送身份认证回复，以使认证服务器根据身份认证回复进行初始身份认证，得到初始身份认证结果；

证书存储模块18，还用于若初始身份认证结果为初始身份认证成功结果，则接收认证服务器下发的公钥证书；

所述传输模块15，用于向所述公私钥存储组件传输所述公钥证书，所述公私钥存储组件用于存储所述公钥证书。

其中，生成模块15、注册请求模块16、回复认证模块17以及证书存储模块18的具体实现方式，可以参见上述图5所对应实施例中步骤S105的可选描述，这里将不再进行赘述。

在一个可选的实施例中，身份认证回复包括待验证动态码；

请参见图10，回复认证模块17可以包括：界面显示单元171、第一响应单元172以及第一结果确定单元173。

界面显示单元171，用于根据初始身份认证请求显示动态码认证界面；动态码认证界面用于输入待验证动态码；

第一响应单元172，用于响应接收到在动态码认证界面上的输入确定操作，获取待验证动态码；

第一结果确定单元173，用于向认证服务器发送待验证动态码，以使认证服务器将待验证动态码和随机动态码进行比对处理，根据比对结果确定初始身份认证结果；所述随机动态码为所述认证服务器向联系账号发送的，所述联系账号在所述认证服务器的用户信息管理库中与所述目标用户具有绑定关系；

其中，若比对结果为待验证动态码和随机动态码相同，则初始身份认证结果为初始身份认证成功结果；若比对结果为待验证动态码和随机动态码不相同，则初始身份认证结果为初始身份认证失败结果。

其中，界面显示单元171、第一响应单元172以及第一结果确定单元173的具体实现方式，可以参见上述图5所对应实施例中步骤S105的可选描述，这里将不再进行赘述。

在一个可选的实施例中，身份认证回复包括待验证动态口令；

请参见图10，回复认证模块17可以包括：第二响应单元174以及第二结果确定单元175。

第二响应单元174，用于根据初始身份认证请求，调用令牌存储组件根据令牌密钥生成待验证动态口令；

第二结果确定单元175，用于向认证服务器发送待验证动态口令，以使认证服务器将待验证动态口令和目标动态口令进行比对处理，根据比对结果确定初始身份认证结果；目标动态口令是认证服务器根据用户管理信息库中与用户身份信息关联的目标令牌密钥生成的；若比对结果为待验证动态口令和目标动态口令相同，则初始身份认证结果为初始身份认证成功结果；若比对结果为待验证动态口令和目标动态口令不相同，则初始身份认证结果为初始身份认证失败结果。

其中，第二响应单元174以及第二结果确定单元175的具体实现方式，可以参见上述图5所对应实施例中步骤S105的可选描述，这里将不再进行赘述。

请参见图10，访问控制装置1还可以包括：访问控制模块19。

访问控制模块19，用于查询目标用户的访问状态；

访问控制模块19，还用于若访问状态为允许访问状态，则通过安全认证组件将业务访问请求发送至认证服务器，以使认证服务器将业务访问请求转发至业务应用所访问的业务服务器；

访问控制模块19，还用于若访问状态为未知访问状态，则执行通过安全认证组件获取业务访问请求中的待验证身份信息，向认证服务器发起携带待验证身份信息的身份认证请求的步骤。

其中，访问控制模块19的具体实现方式，可以参见上述图5所对应实施例中步骤S105的可选描述，这里将不再进行赘述。

请参见图10，访问控制装置1还可以包括：访问调整模块110。

访问调整模块110，用于当接收到认证服务器下发的验签通过消息时，接收认证服务器发送的状态调整指令，根据状态调整指令将目标用户的访问状态调整为允许访问状态；

访问调整模块110，还用于为目标用户的访问状态设置允许访问有效期；

访问调整模块110，还用于当目标用户的访问状态为允许访问状态的当前累计时长超出允许访问有效期时，将目标用户的访问状态调整为未知访问状态。

其中，访问控制模块110的具体实现方式，可以参见上述图5所对应实施例中步骤S105的可选描述，这里将不再进行赘述。

进一步地，请参见图11，图11是本申请实施例提供的一种计算机设备的结构示意图。如图11所示，上述图10所对应实施例中的访问控制装置1可以应用于上述计算机设备1000，上述计算机设备1000可以包括：处理器1001，网络接口1004和存储器1005，此外，上述计算机设备1000还包括：用户接口1003，和至少一个通信总线1002。其中，通信总线1002用于实现这些组件之间的连接通信。其中，用户接口1003可以包括显示屏(Display)、键盘(Keyboard)，可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器，也可以是非不稳定的存储器(non-volatile memory)，例如至少一个磁盘存储器。存储器1005可选的还可以是至少一个位于远离前述处理器1001的存储装置。如图11所示，作为一种计算机可读存储介质的存储器1005中可以包括操作***、网络通信模块、用户接口模块以及设备控制应用程序。

在图11所示的计算机设备1000中，网络接口1004可提供网络通讯功能；而用户接口1003主要用于为用户提供输入的接口；而处理器1001可以用于调用存储器1005中存储的设备控制应用程序，以实现：

拦截由业务应用所发起的业务访问请求，业务访问请求包含目标用户的待验证身份信息；

获取业务访问请求中的待验证身份信息，向认证服务器发起携带待验证身份信息的身份认证请求，以使认证服务器在确定待验证身份信息为合法信息时，向安全认证组件发送随机挑战信息；

获取通过私钥对随机挑战信息进行签名得到的待验证签名信息；私钥无法被读取；

将待验证签名信息发送给认证服务器，以使认证服务器基于随机挑战信息和与待验证身份信息绑定的公钥证书对待验证签名信息进行验签，得到验签结果；

若验签结果为验签通过结果，则接收认证服务器下发的验签通过消息，基于验签通过消息将业务访问请求发送至认证服务器，以使认证服务器将业务访问请求转发至业务应用所访问的业务服务器。

应当理解，本申请实施例中所描述的计算机设备1000可执行前文各个实施例中对该访问控制方法的描述，也可执行前文图10所对应实施例中对该访问控制装置1的描述，在此不再赘述。另外，对采用相同方法的有益效果描述，也不再进行赘述。

此外，这里需要指出的是：本申请实施例还提供了一种计算机可读存储介质，且上述计算机可读存储介质中存储有前文提及的访问控制装置1所执行的计算机程序，当上述处理器加载并执行上述计算机程序时，能够执行前文任一实施例对上述访问控制方法的描述，因此，这里将不再进行赘述。另外，对采用相同方法的有益效果描述，也不再进行赘述。对于本申请所涉及的计算机可读存储介质实施例中未披露的技术细节，请参照本申请方法实施例的描述。

进一步的，请参见图12，图12是本申请实施例提供的另一种基于零信任安全的访问控制装置的结构示意图。上述数据处理装置可以是运行于计算机设备中的一个计算机程序(包括程序代码)，例如该访问控制装置为一个应用软件；该装置可以用于执行本申请实施例提供的方法中的相应步骤。如图12所示，该访问控制装置2可以包括：身份验证模块21、挑战发送模块22、验签模块23以及业务处理模块24。

身份验证模块21，用于响应安全认证组件发起的携带目标用户的待验证身份信息的身份认证请求，对待验证身份信息进行合法性验证；

挑战发送模块22，用于当确定待验证身份信息为合法信息时，向安全认证组件发送随机挑战信息，以使安全认证组件获取通过私钥对随机挑战信息进行签名得到的待验证签名信息；私钥无法被读取；

验签模块23，用于接收安全认证组件发送的待验证签名信息，基于随机挑战信息和与待验证身份信息绑定的公钥证书对待验证签名信息进行验签，得到验签结果；

业务处理模块24，用于若验签结果为验签通过结果，则向安全认证组件下发验签通过消息，以使安全认证组件基于验签通过消息发送业务访问请求至认证服务器；将业务访问请求转发至业务应用所访问的业务服务器。

其中，身份验证模块21、挑战发送模块22、验签模块23以及业务处理模块24的具体实现方式，可以参见上述图6所对应实施例中步骤S201-S205的描述，这里将不再进行赘述。

请参见图12，验签模块23可以包括：接收单元231、公钥获取单元232以及验签单元233。

接收单元231，用于接收安全认证组件发送的待验证签名信息；

公钥获取单元232，用于在用户信息管理库中获取与目标用户的待验证身份信息绑定的公钥证书，根据公钥证书确定目标用户的公钥；

验签单元233，用于基于目标用户的公钥和随机挑战信息对待验证签名信息进行验签，得到验签结果。

其中，接收单元231、公钥获取单元232以及验签单元233的具体实现方式，可以参见上述图6所对应实施例中步骤S203的描述，这里将不再进行赘述。

请参见图12，验签单元233可以包括：摘要获取子单元2331以及验签处理子单元2332。

摘要获取子单元2331，用于基于目标用户的公钥对待验证签名信息进行解密，得到数字摘要；

摘要获取子单元2331，还用于对随机挑战信息进行哈希运算，得到随机挑战信息的真实数字摘要；

验签处理子单元2332，用于若数字摘要和真实数字摘要相同，则确定验签结果为验签通过结果；

验签处理子单元2332，还用于若数字摘要和真实数字摘要不相同，则确定验签结果为验签失败结果，向安全认证组件下发身份验证失败提示信息。

所述待验证签名信息是所述安全认证组件调用公私钥存储组件通过所述公私钥存储组件中的私钥对所述随机挑战信息进行签名得到的；所述公私钥存储组件具有数据不可读属性。

所述公私钥存储组件为用于与所述终端设备连接的硬件设备，或，所述公私钥存储组件为所述终端设备内的硬件设备，或，所述公私钥存储组件为运行在所述终端设备上的软件系统。

其中，摘要获取子单元2331以及验签处理子单元2332的具体实现方式，可以参见上述图6所对应实施例中步骤S203的描述，这里将不再进行赘述。

请参见图12，访问控制装置2还可以包括：注册模块25、认证模块26以及证书管理模块27。

注册模块25，用于接收安全认证组件发送的针对目标用户的用户注册请求；用户注册请求包括公钥和用户身份信息；

认证模块26，用于向终端设备发送基于用户注册请求发起的初始身份认证请求；

认证模块26，还用于接收安全认证组件根据初始身份认证请求发送的身份认证回复，根据身份认证回复进行初始身份认证，得到初始身份认证结果；

证书管理模块27，用于若初始身份认证结果确定为初始身份认证成功结果，则根据公钥和证书基本信息生成公钥证书；

证书管理模块27，还用于将公钥证书和用户身份信息进行绑定，将已绑定的公钥证书和用户身份信息存储至用户信息管理库中；

证书管理模块27，还用于将公钥证书下发到安全认证组件，以使终端设备将公钥证书存储至公私钥存储组件。

其中，注册模块25、认证模块26以及证书管理模块27的具体实现方式，可以参见上述图7所对应实施例中步骤S301-S304的描述，这里将不再进行赘述。

进一步地，请参见图13，图13是本申请实施例提供的另一种计算机设备的结构示意图。如图13所示，上述图12所对应实施例中的访问控制装置2可以应用于上述计算机设备2000，上述计算机设备2000可以包括：处理器2001，网络接口2004和存储器2005，此外，上述计算机设备2000还包括：用户接口2003，和至少一个通信总线2002。其中，通信总线2002用于实现这些组件之间的连接通信。其中，用户接口2003可以包括显示屏(Display)、键盘(Keyboard)，可选用户接口2003还可以包括标准的有线接口、无线接口。网络接口2004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器2005可以是高速RAM存储器，也可以是非不稳定的存储器(non-volatile memory)，例如至少一个磁盘存储器。存储器2005可选的还可以是至少一个位于远离前述处理器2001的存储装置。如图13所示，作为一种计算机可读存储介质的存储器2005中可以包括操作***、网络通信模块、用户接口模块以及设备控制应用程序。

在图13所示的计算机设备2000中，网络接口2004可提供网络通讯功能；而用户接口2003主要用于为用户提供输入的接口；而处理器2001可以用于调用存储器2005中存储的设备控制应用程序，以实现：

认证服务器响应安全认证组件发起的携带目标用户的待验证身份信息的身份认证请求，对待验证身份信息进行合法性验证；

当确定待验证身份信息为合法信息时，向安全认证组件发送随机挑战信息，以使安全认证组件获取通过私钥对随机挑战信息进行签名得到的待验证签名信息；私钥无法被读取；

将业务访问请求转发至业务应用所访问的业务服务器。

应当理解，本申请实施例中所描述的计算机设备2000可执行前文各个实施例中对该访问控制方法的描述，也可执行前文图12所对应实施例中对该访问控制装置2的描述，在此不再赘述。另外，对采用相同方法的有益效果描述，也不再进行赘述。

此外，这里需要指出的是：本申请实施例还提供了一种计算机可读存储介质，且上述计算机可读存储介质中存储有前文提及的访问控制装置2所执行的计算机程序，当上述处理器加载并执行上述计算机程序时，能够执行前文任一实施例对上述访问控制方法的描述，因此，这里将不再进行赘述。另外，对采用相同方法的有益效果描述，也不再进行赘述。对于本申请所涉及的计算机可读存储介质实施例中未披露的技术细节，请参照本申请方法实施例的描述。

上述计算机可读存储介质可以是前述任一实施例提供的访问控制装置或者上述计算机设备的内部存储单元，例如计算机设备的硬盘或内存。该计算机可读存储介质也可以是该计算机设备的外部存储设备，例如该计算机设备上配备的插接式硬盘，智能存储卡(smart media card，SMC)，安全数字(secure digital，SD)卡，闪存卡(flash card)等。进一步地，该计算机可读存储介质还可以既包括该计算机设备的内部存储单元也包括外部存储设备。该计算机可读存储介质用于存储该计算机程序以及该计算机设备所需的其他程序和数据。该计算机可读存储介质还可以用于暂时地存储已经输出或者将要输出的数据。

以上所揭露的仅为本申请可选实施例而已，当然不能以此来限定本申请之权利范围，因此依本申请权利要求所作的等同变化，仍属本申请所涵盖的范围。

Claims

一种基于零信任安全的访问控制方法，其特征在于，所述方法由终端设备执行，所述终端设备运行有安全认证组件和业务应用，所述方法包括：

通过所述安全认证组件拦截由所述业务应用所发起的业务访问请求，所述业务访问请求包含目标用户的待验证身份信息；

通过所述安全认证组件获取所述业务访问请求中的待验证身份信息，向认证服务器发起携带所述待验证身份信息的身份认证请求，以使所述认证服务器在确定所述待验证身份信息为合法信息时，向所述安全认证组件发送随机挑战信息；

通过所述安全认证组件获取待验证签名信息，所述待验证签名信息是通过私钥对所述随机挑战信息进行签名得到的；所述私钥无法被读取；

通过所述安全认证组件将所述待验证签名信息发送给所述认证服务器，以使所述认证服务器基于所述随机挑战信息和与所述待验证身份信息绑定的公钥证书对所述待验证签名信息进行验签，得到验签结果；

若所述验签结果为验签通过结果，则通过所述安全认证组件接收所述认证服务器下发的验签通过消息，基于所述验签通过消息将所述业务访问请求发送至所述认证服务器，以使所述认证服务器将所述业务访问请求转发至所述业务应用所访问的业务服务器。
根据权利要求1所述的方法，其特征在于，所述通过所述安全认证组件获取待验证签名信息，包括：

通过所述安全认证组件向公私钥存储组件传输所述随机挑战信息，所述公私钥存储组件用于通过所述公私钥存储组件中的私钥对所述随机挑战信息进行签名得到所述待验证签名信息；所述公私钥存储组件具有数据不可读属性；

通过所述安全认证组件获取所述公私钥存储组件传输的所述待验证签名信息。
根据权利要求2所述的方法，其特征在于，所述公私钥存储组件，用于对所述随机挑战信息进行哈希运算，得到所述随机挑战信息的数字摘要；通过所述私钥对所述数字摘要进行非对称加密处理，得到针对所述随机挑战信息的待验证签名信息。
根据权利要求2或3所述的方法，其特征在于，所述公私钥存储组件为用于与所述终端设备连接的硬件设备，或，所述公私钥存储组件为所述终端设备内的硬件设备，或，所述公私钥存储组件为运行在所述终端设备上的软件***。
根据权利要求1至3任一所述的方法，其特征在于，属于合法信息的所述目标用户的待验证身份信息存在于所述认证服务器中的用户信息管理库中，属于非法信息的所述目标用户的待验证身份信息不存在于所述认证服务器中的用户信息管理库中；

所述方法还包括：

若所述认证服务器在确定所述待验证身份信息为非法信息时，通过所述安全认证组件接收所述认证服务器所发送的身份验证失败提示信息。
根据权利要求2或3所述的方法，其特征在于，所述公私钥存储组件，用于生成公私钥对；所述公私钥对包括所述私钥和所述公钥；

所述方法还包括：

通过所述安全认证组件接收所述公私钥存储组件传输的所述公钥；

通过所述安全认证组件向认证服务器发送针对所述目标用户的用户注册请求；所述用户注册请求包括所述公钥和用户身份信息；

通过所述安全认证组件接收所述认证服务器基于所述用户注册请求发起的初始身份认证请求，根据所述初始身份认证请求向所述认证服务器发送身份认证回复，以使所述认证服务器根据所述身份认证回复进行初始身份认证，得到初始身份认证结果；

若所述初始身份认证结果为初始身份认证成功结果，则通过所述安全认证组件接收所述认证服务器下发的所述目标用户的所述公钥证书；

通过所述安全认证组件向所述公私钥存储组件传输所述公钥证书，所述公私钥存储组件用于存储所述公钥证书。
根据权利要求6所述的方法，其特征在于，所述身份认证回复包括待验证动态码；

所述根据所述初始身份认证请求向所述认证服务器发送身份认证回复，包括：

通过所述安全认证组件根据所述初始身份认证请求显示动态码认证界面；所述动态码认证界面用于输入待验证动态码；

响应接收到在所述动态码认证界面上的输入确定操作，通过所述安全认证组件获取所述待验证动态码；

通过所述安全认证组件向所述认证服务器发送所述待验证动态码，以使所述认证服务器将所述待验证动态码和随机动态码进行比对处理，根据比对结果确定初始身份认证结果；所述随机动态码为所述认证服务器向联系账号发送的，所述联系账号在所述认证服务器的用户信息管理库中与所述目标用户具有绑定关系；

其中，若所述比对结果为所述待验证动态码和所述随机动态码相同，则所述初始身份认证结果为初始身份认证成功结果；若所述比对结果为所述待验证动态码和所述随机动态码不相同，则所述初始身份认证结果为初始身份认证失败结果。
根据权利要求6所述的方法，其特征在于，所述身份认证回复包括待验证动态口令；所述终端设备上运行有令牌存储组件；

所述根据所述初始身份认证请求向所述认证服务器发送身份认证回复，包括：

根据所述初始身份认证请求，通过所述安全认证组件调用令牌存储组件根据令牌密钥生成所述待验证动态口令；

通过所述安全认证组件向所述认证服务器发送所述待验证动态口令，以使所述认证服务器将所述待验证动态口令和目标动态口令进行比对处理，根据比对结果确定初始身份认证结果；所述目标动态口令是所述认证服务器根据用户管理信息库中与所述用户身份信息关联的目标令牌密钥生成的；若所述比对结果为所述待验证动态口令和所述目标动态口令相同，则所述初始身份认证结果为初始身份认证成功结果；若所述比对结果为所述待验证动态口令和所述目标动态口令不相同，则所述初始身份认证结果为初始身份认证失败结果。
根据权利要求1至3任一所述的方法，其特征在于，所述方法还包括：

通过所述安全认证组件查询所述目标用户的访问状态；

若所述访问状态为允许访问状态，则通过所述安全认证组件将所述业务访问请求发送至所述认证服务器，以使所述认证服务器将所述业务访问请求转发至所述业务应用所访问的业务服务器；

若所述访问状态为未知访问状态，则通过所述安全认证组件执行获取所述业务访问请求中的待验证身份信息，向认证服务器发起携带所述待验证身份信息的身份认证请求的步骤。
根据权利要求9所述的方法，其特征在于，所述方法还包括：

当接收到所述认证服务器下发的验签通过消息时，通过所述安全认证组件接收所述认证服务器发送的状态调整指令，根据所述状态调整指令将所述目标用户的所述访问状态调整为所述允许访问状态；

通过所述安全认证组件为所述目标用户的所述访问状态设置允许访问有效期；

当所述目标用户的所述访问状态为所述允许访问状态的当前累计时长超出所述允许访问有效期时，通过所述安全认证组件将所述目标用户的所述访问状态调整为所述未知访问状态。
一种基于零信任安全的访问控制方法，其特征在于，所述方法由认证服务器执行，所述方法包括：

响应安全认证组件发起的携带目标用户的待验证身份信息的身份认证请求，对所述待验证身份信息进行合法性验证；

当确定所述待验证身份信息为合法信息时，向所述安全认证组件发送随机挑战信息，以使所述安全认证组件获取通过私钥对所述随机挑战信息进行签名得到的待验证签名信息；所述私钥无法被读取；

接收所述安全认证组件发送的待验证签名信息，基于所述随机挑战信息和与所述待验证身份信息绑定的公钥证书对所述待验证签名信息进行验签，得到验签结果；

若所述验签结果为验签通过结果，则向所述安全认证组件下发验签通过消息，以使所述安全认证组件基于所述验签通过消息发送业务访问请求至所述认证服务器；

将所述业务访问请求转发至业务应用所访问的业务服务器；

其中，所述业务应用和所述安全认证组件运行在终端设备中。
根据权利要求11所述的方法，其特征在于，所述接收所述安全认证组件发送的待验证签名信息，基于所述随机挑战信息和与所述待验证身份信息绑定的公钥证书对所述待验证签名信息进行验签，得到验签结果，包括：

接收所述安全认证组件发送的待验证签名信息；

在用户信息管理库中获取与所述目标用户的待验证身份信息绑定的公钥证书，根据所述公钥证书确定所述目标用户的公钥；

基于所述目标用户的公钥和所述随机挑战信息对所述待验证签名信息进行验签，得到所述验签结果。
根据权利要求12所述的方法，其特征在于，所述基于所述目标用户的公钥和所述随机挑战信息对所述待验证签名信息进行验签，得到验签结果，包括：

基于所述目标用户的公钥对所述待验证签名信息进行解密，得到数字摘要；

对所述随机挑战信息进行哈希运算，得到所述随机挑战信息的真实数字摘要；

若所述数字摘要和所述真实数字摘要相同，则确定所述验签结果为验签通过结果；

若所述数字摘要和所述真实数字摘要不相同，则确定所述验签结果为验签失败结果，向所述安全认证组件下发身份验证失败提示信息。
根据权利要求11至13任一所述的方法，其特征在于，所述待验证签名信息是所述安全认证组件调用公私钥存储组件通过所述公私钥存储组件中的私钥对所述随机挑战信息进行签名得到的；所述公私钥存储组件具有数据不可读属性。
根据权利要求14所述的方法，其特征在于，所述公私钥存储组件为用于与所述终端设备连接的硬件设备，或，所述公私钥存储组件为所述终端设备内的硬件设备，或，所述公私钥存储组件为运行在所述终端设备上的软件***。
根据权利要求11至13任一所述的方法，其特征在于，所述方法还包括：

接收安全认证组件发送的针对目标用户的用户注册请求；所述用户注册请求包括公钥和用户身份信息；

向所述安全认证组件发送基于所述用户注册请求发起的初始身份认证请求；

接收所述安全认证组件根据所述初始身份认证请求发送的身份认证回复，根据所述身份认证回复进行初始身份认证，得到初始身份认证结果；

若所述初始身份认证结果确定为初始身份认证成功结果，则根据所述公钥和证书基本信息生成公钥证书；

将所述公钥证书和所述用户身份信息进行绑定，将已绑定的所述公钥证书和所述用户身份信息存储至用户信息管理库中；

将所述公钥证书下发到所述安全认证组件，以使所述安全认证组件将所述公钥证书存储至公私钥存储组件。
一种基于零信任安全的访问控制装置，其特征在于，所述装置包括：

拦截认证模块，用于拦截由业务应用所发起的业务访问请求，所述业务访问请求包含目标用户的待验证身份信息；

所述拦截认证模块，用于获取所述业务访问请求中的待验证身份信息；

转发模块，用于向认证服务器发起携带所述待验证身份信息的身份认证请求，以使所述认证服务器在确定所述待验证身份信息为合法信息时，向所述安全认证组件发送随机挑战信息；

签名模块，用于获取通过私钥对所述随机挑战信息进行签名得到的待验证签名信息；所述私钥无法被读取；

所述转发模块，用于将所述待验证签名信息发送给所述认证服务器，以使所述认证服务器基于所述随机挑战信息和与所述待验证身份信息绑定的公钥证书对所述待验证签名信息进行验签，得到验签结果；

接收模块，用于若所述验签结果为验签通过结果，则接收所述认证服务器下发的验签通过消息；

所述转发模块，用于基于所述验签通过消息将所述业务访问请求发送至所述认证服务器，以使所述认证服务器将所述业务访问请求转发至所述业务应用所访问的业务服务器。
根据权利要求17所述的装置，其特征在于，所述签名模块包括：组件签名单元；

所述组件签名单元，用于向公私钥存储组件传输所述随机挑战信息，所述公私钥存储组件用于通过所述公私钥存储组件中的私钥对所述随机挑战信息进行签名得到所述待验证签名信息；所述公私钥存储组件具有数据不可读属性；

所述组件签名单元，用于获取所述公私钥存储组件传输的所述待验证签名信息。
根据权利要求18所述的装置，其特征在于，所述公私钥存储组件，用于对所述随机挑战信息进行哈希运算，得到所述随机挑战信息的数字摘要；通过所述私钥对所述数字摘要进行非对称加密处理，得到针对所述随机挑战信息的待验证签名信息。
根据权利要求18或19所述的装置，其特征在于，所述公私钥存储组件为用于与所述终端设备连接的硬件设备，或，所述公私钥存储组件为所述终端设备内的硬件设备，或，所述公私钥存储组件为运行在所述终端设备上的软件***。
根据权利要求17至19任一所述的装置，其特征在于，属于合法信息的所述目标用户的待验证身份信息存在于所述认证服务器中的用户信息管理库中，属于非法信息的所述目标用户的待验证身份信息不存在于所述认证服务器中的用户信息管理库中；

所述装置还包括：

认证非法模块，用于若所述认证服务器在确定所述待验证身份信息为非法信息时，接收所述认证服务器所发送的身份验证失败提示信息。
根据权利要求18或19所述的装置，其特征在于，所述公私钥存储组件，用于生成公私钥对；所述公私钥对包括所述私钥和所述公钥；

所述装置还包括：

传输模块，用于接收所述公私钥存储组件传输的所述公钥；

注册请求模块，用于向认证服务器发送针对所述目标用户的用户注册请求；所述用户注册请求包括所述公钥和用户身份信息；

所述注册请求模块，用于接收所述认证服务器基于所述用户注册请求发起的初始身份认证请求；

回复认证模块，用于根据所述初始身份认证请求向所述认证服务器发送身份认证回复，以使所述认证服务器根据所述身份认证回复进行初始身份认证，得到初始身份认证结果；

证书存储模块，用于若所述初始身份认证结果为初始身份认证成功结果，则接收所述认证服务器下发的所述目标用户的所述公钥证书；

所述传输模块，用于向所述公私钥存储组件传输所述公钥证书，所述公私钥存储组件用于存储所述公钥证书。
根据权利要求22所述的装置，其特征在于，所述身份认证回复包括待验证动态码；所述回复认证模块包括：界面显示单元、第一响应单元以及第一结果确定单元；

所述界面显示单元，用于根据所述初始身份认证请求显示动态码认证界面；所述动态码认证界面用于输入待验证动态码；

所述第一响应单元，用于响应接收到在所述动态码认证界面上的输入确定操作，获取所述待验证动态码；

所述第一结果确定单元，用于向所述认证服务器发送所述待验证动态码，以使所述认证服务器将所述待验证动态码和随机动态码进行比对处理，根据比对结果确定初始身份认证结果；所述随机动态码为所述认证服务器向联系账号发送的，所述联系账号在所述认证服务器的用户信息管理库中与所述目标用户具有绑定关系；

其中，若所述比对结果为所述待验证动态码和所述随机动态码相同，则所述初始身份认证结果为初始身份认证成功结果；若所述比对结果为所述待验证动态码和所述随机动态码不相同，则所述初始身份认证结果为初始身份认证失败结果。
根据权利要求22所述的装置，其特征在于，所述身份认证回复包括待验证动态口令；所述终端上运行有令牌存储组件；所述回复认证模块包括：第二响应单元以及第二结果确定单元；

所述第二响应单元，用于根据所述初始身份认证请求，调用令牌存储组件根据令牌密钥生成所述待验证动态口令；

所述第二结果确定单元，用于向所述认证服务器发送所述待验证动态口令，以使所述认证服务器将所述待验证动态口令和目标动态口令进行比对处理，根据比对结果确定初始身份认证结果；所述目标动态口令是所述认证服务器根据用户管理信息库中与所述用户身份信息关联的目标令牌密钥生成的；若所述比对结果为所述待验证动态口令和所述目标动态口令相同，则所述初始身份认证结果为初始身份认证成功结果；若所述比对结果为所述待验证动态口令和所述目标动态口令不相同，则所述初始身份认证结果为初始身份认证失败结果。
根据权利要求17至19任一所述的装置，其特征在于，所述装置还包括：

访问控制模块，用于查询所述目标用户的访问状态；

所述访问控制模块，用于若所述访问状态为允许访问状态，则将所述业务访问请求发送至所述认证服务器，以使所述认证服务器将所述业务访问请求转发至所述业务应用所访问的业务服务器；

所述访问控制模块，用于若所述访问状态为未知访问状态，则执行获取所述业务访问请求中的待验证身份信息，向认证服务器发起携带所述待验证身份信息的身份认证请求的步骤。
根据权利要求25所述的装置，其特征在于，所述装置还包括：

访问调整模块，用于当接收到所述认证服务器下发的验签通过消息时，接收所述认证服务器发送的状态调整指令，根据所述状态调整指令将所述目标用户的所述访问状态调整为所述允许访问状态；

所述访问调整模块，用于为所述目标用户的所述访问状态设置允许访问有效期；

所述访问调整模块，用于当所述目标用户的所述访问状态为所述允许访问状态的当前累计时长超出所述允许访问有效期时，将所述目标用户的所述访问状态调整为所述未知访问状态。
一种基于零信任安全的访问控制装置，其特征在于，所述装置包括：

身份验证模块，用于响应安全认证组件发起的携带目标用户的待验证身份信息的身份认证请求，对所述待验证身份信息进行合法性验证；

挑战发送模块，用于当确定所述待验证身份信息为合法信息时，向所述安全认证组件发送随机挑战信息，以使所述安全认证组件获取通过私钥对所述随机挑战信息进行签名得到的待验证签名信息；所述私钥无法被读取；

验签模块，用于接收所述安全认证组件发送的待验证签名信息，基于所述随机挑战信息和与所述待验证身份信息绑定的公钥证书对所述待验证签名信息进行验签，得到验签结果；

业务处理模块，用于若所述验签结果为验签通过结果，则向所述安全认证组件下发验签通过消息，以使所述安全认证组件基于所述验签通过消息发送业务访问请求至所述认证服务器；将所述业务访问请求转发至业务应用所访问的业务服务器。
根据权利要求27所述的装置，其特征在于，所述验签模块包括：接收单元、公钥获取单元以及验签单元；

所述接收单元，用于接收所述安全认证组件发送的待验证签名信息；

所述公钥获取单元，用于在用户信息管理库中获取与所述目标用户的待验证身份信息绑定的公钥证书，根据所述公钥证书确定所述目标用户的公钥；

所述验签单元，用于基于所述目标用户的公钥和所述随机挑战信息对所述待验证签名信息进行验签，得到所述验签结果。
根据权利要求28所述的装置，其特征在于，所述验签单元包括：摘要获取子单元以及验签处理子单元；

所述摘要获取子单元，用于基于所述目标用户的公钥对所述待验证签名信息进行解密，得到数字摘要；

所述摘要获取子单元，还用于对所述随机挑战信息进行哈希运算，得到所述随机挑战信息的真实数字摘要；

所述验签处理子单元，用于若所述数字摘要和所述真实数字摘要相同，则确定所述验签结果为验签通过结果；

所述验签处理子单元，还用于若所述数字摘要和所述真实数字摘要不相同，则确定所述验签结果为验签失败结果，向所述安全认证组件下发身份验证失败提示信息。
根据权利要求27至29任一所述的装置，其特征在于，所述待验证签名信息是所述安全认证组件调用公私钥存储组件通过所述公私钥存储组件中的私钥对所述随机挑战信息进行签名得到的；所述公私钥存储组件具有数据不可读属性。
根据权利要求30所述的装置，其特征在于，所述公私钥存储组件为用于与所述终端设备连接的硬件设备，或，所述公私钥存储组件为所述终端设备内的硬件设备，或，所述公私钥存储组件为运行在所述终端设备上的软件***。
根据权利要求27至29任一所述的装置，其特征在于，所述装置还包括：

注册模块，用于接收安全认证组件发送的针对目标用户的用户注册请求；所述用户注册请求包括公钥和用户身份信息；认证模块，用于向所述安全认证组件发送基于所述用户注册请求发起的初始身份认证请求；所述认证模块，还用于接收所述安全认证组件根据所述初始身份认证请求发送的身份认证回复，根据所述身份认证回复进行初始身份认证，得到初始身份认证结果；证书管理模块，用于若所述初始身份认证结果确定为初始身份认证成功结果，则根据所述公钥和证书基本信息生成公钥证书；所述证书管理模块，还用于将所述公钥证书和所述用户身份信息进行绑定，将已绑定的所述公钥证书和所述用户身份信息存储至用户信息管理库中；所述证书管理模块，还用于将所述公钥证书下发到所述安全认证组件，以使所述安全认证组件将所述公钥证书存储至公私钥存储组件。
一种计算机设备，其特征在于，包括：处理器、存储器以及网络接口；所述处理器与所述存储器、所述网络接口相连，其中，所述网络接口用于提供网络通信功能，所述存储器用于存储程序代码，所述处理器用于调用所述程序代码，以执行权利要求1-16任一项所述的方法。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有计算机程序，该计算机程序适于由处理器加载并执行权利要求1-16任一项所述的方法。