CN113987560A - 一种数据的零信任认证方法、装置及电子设备 - Google Patents
一种数据的零信任认证方法、装置及电子设备 Download PDFInfo
- Publication number
- CN113987560A CN113987560A CN202111631642.8A CN202111631642A CN113987560A CN 113987560 A CN113987560 A CN 113987560A CN 202111631642 A CN202111631642 A CN 202111631642A CN 113987560 A CN113987560 A CN 113987560A
- Authority
- CN
- China
- Prior art keywords
- service
- data resource
- authentication
- access request
- zero
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Automation & Control Theory (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种数据的零信任认证方法、装置及电子设备,涉及网络安全技术领域,其中,数据的零信任认证方法包括:接收终端发送的数据资源访问请求;依据预设的路径映射关系对数据资源访问请求进行映射处理,从多个预设的零信任安全服务中匹配映射对应的零信任安全服务;基于零信任安全服务对数据资源访问请求进行认证处理;在认证处理通过的情况下,建立与终端之间的安全通信通道;通过安全通信通道将数据资源访问请求对应的数据资源向终端发送。本发明实施例通过多个预设的零信任安全服务对不同的数据资源访问请求进行分别认证,通过认证后再将数据资源发送到终端,提高数据资源共享的安全性。
Description
技术领域
本发明实施例涉及网络安全技术领域,具体涉及一种数据的零信任认证方法、装置及电子设备。
背景技术
随着信息通信技术的不断发展,快速高效的分享信息资源越来越被市场所需求。目前通常使用资源数据共享来分享信息资源数据,资源数据共享能够有效的增加资源的交互,充分发挥资源价值的作用。在相关技术中,对于部分需要公开的数据,在决定公开前通常处于保密状态。但处于保密状态的数据在交互的过程中,存在着由于共享保密安全性较低导致泄露的问题,使数据的保密性无法得到充足保障。
可见,现有技术中存在着政府资源数据共享安全性较低的问题。
发明内容
本发明实施例提供一种数据的零信任认证方法、装置及电子设备,以解决现有技术中存在着政府资源数据共享安全性较低的问题。
为解决上述问题,本发明是这样实现的:
第一方面,本发明实施例提供一种数据的零信任认证方法,包括:
接收终端发送的数据资源访问请求;
依据预设的路径映射关系对所述数据资源访问请求进行映射处理,从多个预设的零信任安全服务中匹配映射对应的所述零信任安全服务;
基于所述零信任安全服务对所述数据资源访问请求进行认证处理;
在认证处理通过的情况下,建立与所述终端之间的安全通信通道;
通过所述安全通信通道将所述数据资源访问请求对应的数据资源向所述终端发送。
第二方面,本发明实施例还提供一种数据的零信任认证装置,包括:
接收模块,用于接收终端发送的数据资源访问请求;
映射模块,用于依据预设的路径映射关系对所述数据资源访问请求进行映射处理,从多个预设的零信任安全服务中匹配映射对应的所述零信任安全服务;
认证模块,用于基于所述零信任安全服务对所述数据资源访问请求进行认证处理;
第一处理模块,用于在认证处理通过的情况下,建立与所述终端之间的安全通信通道;
通信模块,用于通过所述安全通信通道将所述数据资源访问请求对应的数据资源向所述终端发送。
第三方面,本发明实施例还提供一种电子设备,其特征在于,包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如前述第一方面所述的数据的零信任认证方法中的步骤。
第四方面,本发明实施例还提供一种可读存储介质,用于存储程序,其特征在于,所述程序被处理器执行时实现如前述第一方面所述的数据的零信任认证方法中的步骤。
在本发明实施例中,通过将终端发送的数据资源访问请求依据不同的零信任安全服务进行认证处理,在通过认证的情况下建立服务器和终端之间的安全通信通道,通过安全通信通道将数据资源发送至终端实现数据资源共享,能够有效的增加在数据资源共享过程中的安全性,降低了数据资源泄密的可能。
附图说明
为更清楚地说明本发明实施例的技术方案,下面将对本发明实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种数据的零信任认证方法的流程示意图;
图2是本发明实施例提供的一种数据的零信任认证平台的结构示意图;
图3是本发明实施例提供的另一种数据的零信任认证平台的结构示意图;
图4是本发明实施例提供的一种数据的零信任认证方法的交互示意图;
图5是本发明实施例提供的一种数据的零信任认证装置的结构示意图;
图6是本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参见图1,图1是本发明实施例提供的一种数据的零信任认证方法的流程示意图,如图1所示的数据的零信任认证方法,包括:
S101、接收终端发送的数据资源访问请求;
其中,终端(也被称作用户设备((User Equipment,UE))可以是手机、平板电脑(Tablet Personal Computer)、膝上型电脑(Laptop Computer)、个人数字助理(PersonalDigital Assistant,PDA)、移动上网装置(Mobile Internet Device,MID)、可穿戴式设备(Wearable Device)或车载设备等。
其中,数据资源是存储于服务器、或存储于其他可以通过服务器进行访问连接的电子设备的数据。服务器可以是基站、接入和移动管理功能(Access and MobilityManagement Function,AMF)、中继、接入点或其他网元等。
S102、依据预设的路径映射关系对所述数据资源访问请求进行映射处理,从多个预设的零信任安全服务中匹配映射对应的所述零信任安全服务;
其中,路径映射关系为数据资源访问请求和零信任安全服务之间的一一对应关系,包括数据资源访问请求的名称和与数据资源访问请求对应的零信任安全服务。服务器通过预设的路径映射关系可以将数据资源访问请求和相应的零信任安全服务匹配,进而依据零信任安全服务对数据资源访问请求进行处理。
S103、基于所述零信任安全服务对所述数据资源访问请求进行认证处理;
其中,零信任安全服务包括认证服务、审批服务和授权服务中至少一种,不同零信任安全服务依据预设的配置文件可以调取不同的模块进行认证服务、审批服务或授权服务。
其中,认证服务、审批服务和授权服务均包括了服务器预设的系统规则和人工处理规则,根据零信任安全服务的设置可以选择由服务器的系统规则对数据资源访问请求进行处理,或选择依据人工处理规则的设置由具有特定操作权限的人员对数据资源访问请求进行处理。
S104、在认证处理通过的情况下,建立与所述终端之间的安全通信通道;
其中,安全通信通道为加密后的通信通道,服务器和终端之间的交互在加密的通道内进行,在交互过程中数据资源可以加密或直接发送,根据安全通信通道设置的规则进行通信。在终端发生变化的情况下,服务器和终端之间不再进行通信,变化后的终端接收到的数据资源也无法被打开访问,以提高数据资源共享的安全性和保密性。
S105、通过所述安全通信通道将所述数据资源访问请求对应的数据资源向所述终端发送。
该实施方式中,通过对不同的数据资源访问请求依据不同的零信任安全服务进行认证处理,在认证处理通过的情况下建立服务器和终端之间的安全通信通道进行数据资源访问,提高数据资源共享的安全性。
具体的,如图2所示,图2是本发明实施例提供的一种数据的零信任认证平台的结构示意图,数据资源访问请求依据路径映射关系匹配到不同的零信任安全服务,图中数据资源安全屏障为包括零信任安全服务的模块。不同的零信任安全服务包括不同的子服务,如认证服务、审批服务或授权服务中的一种。例如,数据资源1访问请求在路径映射后匹配到数据资源1安全屏障,在数据资源1安全屏障的零信任安全服务包括认证服务的情况下,调取认证引擎对数据资源1访问请求进行认证服务处理。若根据认证引擎的设置需要外部处理,则将数据资源1访问请求发送到外部的设备进行认证服务处理,再接收外部的设备认证服务处理的结果。在认证通过后,建立平台和终端之间的安全通信通道,此时终端可以通过平台访问到所需求的数据资源1。
作为一种可选的实施方式,所述基于所述零信任安全服务对所述数据资源访问请求进行认证处理之前,所述方法还包括:
对所述数据资源访问请求依据预设的解密程序进行解密处理,获得认证需求零信任安全服务项目;
调取所述零信任安全服务对应的服务列表,其中,所述服务列表包括至少一项子零信任安全服务;
在所述服务列表不存在所述认证需求零信任安全服务项目对应的所述子零信任安全服务的情况下,向所述终端发送错误返回消息。
该实施方式中,不同的数据资源访问请求对应的零信任安全服务不同,在需要增加共享的数据资源的情况下,需要相应的注册不同的零信任安全服务。在注册前终端对未注册零信任安全服务的数据资源发出相应的数据资源访问请求,由于不存在相应的零信任安全服务无法对该数据资源访问请求进行后续处理,此时需要对未注册对应零信任安全服务的数据资源访问请求发出错误返回消息。
具体的,如图2所示,在接收到数据资源访问请求后,依据路径映射关系匹配零信任安全服务,数据资源安全屏障模块为执行零信任安全服务的模块。数据资源安全模块对数据资源访问请求进行解密和转换格式处理,即图中的输入处理单元。处理后获得需求零信任安全服务项目,在与子零信任安全服务项目对应的情况下,建立安全通信通道,通过安全通信通道将数据资源发送至终端。
例如,在接收到数据资源2访问请求时,依据路径映射关系匹配到数据资源2安全屏障模块,解密获得数据资源2访问请求的需求零信任安全服务项目,设为需要两个子零信任安全服务。此时调取数据资源2安全屏障模块的服务列表,此时服务列表中不包括子零信任安全服务项目,此时向终端发送错误返回消息,不再进行后续的零信任安全服务的认证处理任务。错误返回消息可以设为“需要注册零信任安全服务”或“需要注册安全项目”等内容。
还例如,在接收到数据资源3访问请求情况下,依据路径映射关系匹配到数据资源2安全屏障模块,解密获得数据资源3访问请求的需求零信任安全服务项目为三个子安全项目。调取数据资源3安全屏障模块的服务列表,服务列表中包括三个子安全项目,与解密后的数据资源3访问请求的需求零信任安全服务项目相对应,依据服务列表的子零信任安全服务项目对数据资源3访问请求进行后续的认证处理。
作为一种可选的实施方式,所述对所述数据资源访问请求依据预设的解密程序进行解密处理,获得认证需求零信任安全服务项目,包括:
对所述数据资源访问请求依据预设的密钥进行解密,获得中间数据;
对所述中间数据依据设定的格式转换公式进行处理,获得所述认证需求零信任安全服务项目。
该实施方式中,通常为了提高终端和服务器之间交互的安全性,对终端发送给服务器的数据资源访问请求有经过加密处理。例如,服务器的地址被篡改,终端向被篡改的服务器发送数据资源访问请求,此时被篡改的服务器无法解析终端发送的数据资源访问请求,从而避免泄密的情况发生
具体的,在本发明实施例中,主要通过密钥加密和格式转换的方式进行加密处理。例如,服务器在接收到数据资源4访问请求后,先使用密钥对数据资源4访问请求进行解密,获得中间数据;再对中间数据按照预先设置的格式转换方式进行转换,获得数据资源4访问请求对应的需求零信任安全服务项目。
在本发明实施例中,如图2所示,将密钥加密和格式转换设置在输入处理单元中,或根据需要设置更多的加密手段或验证手段,也可以根据不同的数据资源访问请求设置不同的加密手段或验证手段,以增加数据资源共享的安全性。
作为一种可选的实施方式,所述零信任安全服务至少包括认证服务、审批服务或授权服务中的一种,还包括预设的配置规则;
所述基于所述零信任安全服务对所述数据资源访问请求进行认证处理,包括:
在所述零信任安全服务包括所述认证服务的情况下,依据所述配置规则对所述数据资源访问请求进行所述认证服务处理,获得通过或不通过的结果;
在所述零信任安全服务包括所述审批服务的情况下,依据所述配置规则对所述数据资源访问请求进行所述审批服务处理,获得通过或不通过的结果;
在所述零信任安全服务包括所述授权服务的情况下,依据所述配置规则对所述数据资源访问请求进行所述授权服务处理,获得通过或不通过的结果;
在存在不通过的结果的情况下,向所述终端发送错误返回消息;
在不存在不通过的结果的情况下,认证处理通过。
该实施方式中,如图3所示,图3是本发明实施例提供的另一种数据的零信任认证平台的结构示意图,数据资源安全屏障模块执行零信任安全服务的功能。数据资源安全屏障模块中依据配置规则的区别可以设置不同的项目,如认证服务、审批服务等。不同的数据资源访问请求对应的数据资源安全屏障模块的配置规则不同,根据需求的数据资源保密等级进行相应的调整。
其中,服务器配置有全部的零信任安全服务项目处理模块,不同零信任安全服务的配置规则包括使用不同部分的安全认证项目,例如,零信任安全服务的配置规则1包括认证服务和授权服务,此时调用认证服务对应的模块和授权服务对应的模块对数据资源访问请求进行处理。相对于目前的固定无法进行配置的方式,通过更改配置规则文件就能实现对不同数据资源的不同处理,能够有效的增加零信任安全服务的灵活性。
另外,由于可以根据不同的数据资源访问请求配置不同的零信任安全服务的配置规则,能够有效的减少后期的维护处理,在服务器对应的维护厂商完成维护期内的任务后,服务器能够独立长时间运行,不需要建立新的服务器或平台进行替换。
其中,认证服务、审批服务和授权服务包括服务器处理规则和人工处理规则,人工处理处理规则包括邮件处理、指定设备处理或其他处理方式。如图4所示,图4是本发明实施例提供的一种数据的零信任认证方法的交互示意图,服务器对于不同的零信任安全服务进行不同的处理,例如,零信任安全服务的配置规则2为授权服务中的邮件处理规则,此时服务器将数据资源访问请求以邮件的形式发送给预先设置的邮箱中,在接收到回复邮件后依据邮件的内容作出授权通过或者不同过的结果,此时服务器通过邮箱和人员完成交互。人工处理规则还可以通过指定设备网页呈现数据资源访问请求等方式进行,即图中服务器和指定设备完成交互。
另外,在零信任安全服务包括多个项目的情况下,需要通过所有的项目才能通过认证处理,
作为一种可选的实施方式,所述通过所述安全通信通道将所述数据资源访问请求对应的数据资源向所述终端发送之后,所述方法还包括:
依据预设的监控规则对所述终端和所述数据资源进行实时监控;
在所述终端或所述数据资源的参数发生改变的情况下,断开与所述终端之间的所述安全通信通道。
该实施方式中,在认证处理通过后仍然对终端访问数据资源的过程进行监控,在终端或数据资源的参数发生改变的情况下就断开通信,防止终端或数据资源变化造成的数据资源泄密。
具体的,终端在通过认证处理后,终端被网络攻击而替换,此时通过监控终端的参数发现终端参数变化,断开与终端之间的通信,从而避免将数据资源发送到未认证的终端上。
另外,在数据资源的参数发生变化的情况下,由于数据资源内容发生变化,终端访问数据资源需要重新进行认证,此时将服务器和终端之间断开避免终端获取到变化后的数据资源造成数据资源的泄密。
另外,在服务器向终端发送数据资源的过程中,可以对数据资源进行加密和格式转换处理,例如图3所示,数据资源安全屏障执行零信任安全服务,确认完成认证处理后建立服务器和终端之间的安全通信通道,输出处理单元将需要发送的数据资源进行加密和格式转换处理得到加密数据资源,再将处理后加密数据资源发送至终端,这样能够避免数据资源被未认证终端获得后泄密的情况发生。
请参见图5,本发明还提供一种数据的零信任认证装置,包括:
接收模块201,用于接收终端发送的数据资源访问请求;
映射模块202,用于依据预设的路径映射关系对所述数据资源访问请求进行映射处理,从多个预设的零信任安全服务中匹配映射对应的所述零信任安全服务;
认证模块203,用于基于所述零信任安全服务对所述数据资源访问请求进行认证处理;
第一处理模块204,用于在认证处理通过的情况下,建立与所述终端之间的安全通信通道;
通信模块205,用于通过所述安全通信通道将所述数据资源访问请求对应的数据资源向所述终端发送。
作为一种可选的实施方式,所述认证模块之前,所述装置还包括:
解密模块,用于对所述数据资源访问请求依据预设的解密程序进行解密处理,获得认证需求零信任安全服务项目;
第二处理模块,用于调取所述零信任安全服务对应的服务列表,其中,所述服务列表包括至少一项子零信任安全服务;
发送模块,用于在所述服务列表不存在所述认证需求零信任安全服务项目对应的所述子零信任安全服务的情况下,向所述终端发送错误返回消息。
作为一种可选的实施方式,所述解密模块包括:
第一解密单元,用于对所述数据资源访问请求依据预设的密钥进行解密,获得中间数据;
第二解密单元,用于对所述中间数据依据设定的格式转换公式进行处理,获得所述认证需求零信任安全服务项目。
作为一种可选的实施方式,所述零信任安全服务至少包括认证服务、审批服务或授权服务中的一种,还包括预设的配置规则;
所述认证模块包括:
第一认证单元,用于在所述零信任安全服务包括所述认证服务的情况下,依据所述配置规则对所述数据资源访问请求进行所述认证服务处理,获得通过或不通过的结果;
第二认证单元,用于在所述零信任安全服务包括所述审批服务的情况下,依据所述配置规则对所述数据资源访问请求进行所述审批服务处理,获得通过或不通过的结果;
第三认证单元,用于在所述零信任安全服务包括所述授权服务的情况下,依据所述配置规则对所述数据资源访问请求进行所述授权服务处理,获得通过或不通过的结果;
发送单元,用于在存在不通过的结果的情况下,向所述终端发送错误返回消息;
处理单元,用于在不存在不通过的结果的情况下,认证处理通过。
作为一种可选的实施方式,所述通信模块之后,所述装置还包括:
监控模块,用于依据预设的监控规则对所述终端和所述数据资源进行实时监控;
第三处理模块,用于在所述终端或所述数据资源的参数发生改变的情况下,断开与所述终端之间的所述安全通信通道。
本发明实施例还提供一种电子设备,参见图6,图6是本发明实施提供的一种电子设备的结构示意图,电子设备包括存储器301、处理器302和存储在存储器301上运行的程序或者指令,该程序或者指令被处理器302执行时可实现图1对应的方法实施例中的任意步骤及达到相同的有益效果,此处不再赘述。
其中,处理器302可以是CPU、ASIC、FPGA或CPLD。
本领域普通技术人员可以理解实现上述实施例方法的全部或者部分步骤是可以通过程序指令相关的硬件来完成,所述的程序可以存储于一可读取介质中。
本发明实施例还提供一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时可实现上述图1对应的方法实施例中的任意步骤,且能达到相同的技术效果,为避免重复,这里不再赘述。
所述的存储介质,如只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等。
本发明实施例中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。此外,本申请中使用“和/或”表示所连接对象的至少其中之一,例如A和/或B和/或C,表示包含单独A,单独B,单独C,以及A和B都存在,B和C都存在,A和C都存在,以及A、B和C都存在的7种情况。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
通过以上的实施方式的描述,本领域的技术人员可以清楚地解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者第二终端设备等)执行本申请各个实施例所述的方法。
上面结合附图对本申请的实施例进行描述,但是本申请并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本申请的启示下,在不脱离本申请宗旨和权利要求所保护的范围情况下,还可做出很多形式,均属于本申请的保护之内。
Claims (10)
1.一种数据的零信任认证方法,其特征在于,包括:
接收终端发送的数据资源访问请求;
依据预设的路径映射关系对所述数据资源访问请求进行映射处理,从多个预设的零信任安全服务中匹配映射对应的所述零信任安全服务;
基于所述零信任安全服务对所述数据资源访问请求进行认证处理;
在认证处理通过的情况下,建立与所述终端之间的安全通信通道;
通过所述安全通信通道将所述数据资源访问请求对应的数据资源向所述终端发送。
2.根据权利要求1所述的方法,其特征在于,所述基于所述零信任安全服务对所述数据资源访问请求进行认证处理之前,所述方法还包括:
对所述数据资源访问请求依据预设的解密程序进行解密处理,获得认证需求零信任安全服务项目;
调取所述零信任安全服务对应的服务列表,其中,所述服务列表包括至少一项子零信任安全服务;
在所述服务列表不存在所述认证需求零信任安全服务项目对应的所述子零信任安全服务的情况下,向所述终端发送错误返回消息。
3.根据权利要求2所述的方法,其特征在于,所述对所述数据资源访问请求依据预设的解密程序进行解密处理,获得认证需求零信任安全服务项目,包括:
对所述数据资源访问请求依据预设的密钥进行解密,获得中间数据;
对所述中间数据依据设定的格式转换公式进行处理,获得所述认证需求零信任安全服务项目。
4.根据权利要求1所述的方法,其特征在于,所述零信任安全服务至少包括认证服务、审批服务或授权服务中的一种,还包括预设的配置规则;
所述基于所述零信任安全服务对所述数据资源访问请求进行认证处理,包括:
在所述零信任安全服务包括所述认证服务的情况下,依据所述配置规则对所述数据资源访问请求进行所述认证服务处理,获得通过或不通过的结果;
在所述零信任安全服务包括所述审批服务的情况下,依据所述配置规则对所述数据资源访问请求进行所述审批服务处理,获得通过或不通过的结果;
在所述零信任安全服务包括所述授权服务的情况下,依据所述配置规则对所述数据资源访问请求进行所述授权服务处理,获得通过或不通过的结果;
在存在不通过的结果的情况下,向所述终端发送错误返回消息;
在不存在不通过的结果的情况下,认证处理通过。
5.根据权利要求1所述的方法,其特征在于,所述通过所述安全通信通道将所述数据资源访问请求对应的数据资源向所述终端发送之后,所述方法还包括:
依据预设的监控规则对所述终端和所述数据资源进行实时监控;
在所述终端或所述数据资源的参数发生改变的情况下,断开与所述终端之间的所述安全通信通道。
6.一种数据的零信任认证装置,其特征在于,包括:
接收模块,用于接收终端发送的数据资源访问请求;
映射模块,用于依据预设的路径映射关系对所述数据资源访问请求进行映射处理,从多个预设的零信任安全服务中匹配映射对应的所述零信任安全服务;
认证模块,用于基于所述零信任安全服务对所述数据资源访问请求进行认证处理;
第一处理模块,用于在认证处理通过的情况下,建立与所述终端之间的安全通信通道;
通信模块,用于通过所述安全通信通道将所述数据资源访问请求对应的数据资源向所述终端发送。
7.根据权利要求6所述的装置,其特征在于,所述认证模块之前,所述装置还包括:
解密模块,用于对所述数据资源访问请求依据预设的解密程序进行解密处理,获得认证需求零信任安全服务项目;
第二处理模块,用于调取所述零信任安全服务对应的服务列表,其中,所述服务列表包括至少一项子零信任安全服务;
发送模块,用于在所述服务列表不存在所述认证需求零信任安全服务项目对应的所述子零信任安全服务的情况下,向所述终端发送错误返回消息。
8.根据权利要求6所述的装置,其特征在于,所述零信任安全服务至少包括认证服务、审批服务或授权服务中的一种,还包括预设的配置规则;
所述认证模块包括:
第一认证单元,用于在所述零信任安全服务包括所述认证服务的情况下,依据所述配置规则对所述数据资源访问请求进行所述认证服务处理,获得通过或不通过的结果;
第二认证单元,用于在所述零信任安全服务包括所述审批服务的情况下,依据所述配置规则对所述数据资源访问请求进行所述审批服务处理,获得通过或不通过的结果;
第三认证单元,用于在所述零信任安全服务包括所述授权服务的情况下,依据所述配置规则对所述数据资源访问请求进行所述授权服务处理,获得通过或不通过的结果;
发送单元,用于在存在不通过的结果的情况下,向所述终端发送错误返回消息;
处理单元,用于在不存在不通过的结果的情况下,认证处理通过。
9.一种电子设备,其特征在于,包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至5中任一项所述的数据的零信任认证方法中的步骤。
10.一种可读存储介质,用于存储程序,其特征在于,所述程序被处理器执行时实现如权利要求1至5中任一项所述的数据的零信任认证方法中的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111631642.8A CN113987560A (zh) | 2021-12-29 | 2021-12-29 | 一种数据的零信任认证方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111631642.8A CN113987560A (zh) | 2021-12-29 | 2021-12-29 | 一种数据的零信任认证方法、装置及电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113987560A true CN113987560A (zh) | 2022-01-28 |
Family
ID=79734815
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111631642.8A Pending CN113987560A (zh) | 2021-12-29 | 2021-12-29 | 一种数据的零信任认证方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113987560A (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140157395A1 (en) * | 2011-08-05 | 2014-06-05 | Huawei Technologies Co., Ltd. | Method and apparatus for establishing tunnel data security channel |
| CN111726366A (zh) * | 2020-06-30 | 2020-09-29 | 成都卫士通信息产业股份有限公司 | 设备通信方法、装置、系统、介质和电子设备 |
| CN112100675A (zh) * | 2020-11-05 | 2020-12-18 | 南京云信达科技有限公司 | 一种零信任的数据存储访问方法及系统 |
| CN112202708A (zh) * | 2020-08-24 | 2021-01-08 | 国网山东省电力公司 | 身份认证方法、装置、电子设备及存储介质 |
| CN113328971A (zh) * | 2020-02-28 | 2021-08-31 | 中国移动通信集团福建有限公司 | 访问资源认证方法、装置及电子设备 |
| CN113596009A (zh) * | 2021-07-23 | 2021-11-02 | 中国联合网络通信集团有限公司 | 零信任访问方法、系统、零信任安全代理、终端及介质 |
-
2021
- 2021-12-29 CN CN202111631642.8A patent/CN113987560A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140157395A1 (en) * | 2011-08-05 | 2014-06-05 | Huawei Technologies Co., Ltd. | Method and apparatus for establishing tunnel data security channel |
| CN113328971A (zh) * | 2020-02-28 | 2021-08-31 | 中国移动通信集团福建有限公司 | 访问资源认证方法、装置及电子设备 |
| CN111726366A (zh) * | 2020-06-30 | 2020-09-29 | 成都卫士通信息产业股份有限公司 | 设备通信方法、装置、系统、介质和电子设备 |
| CN112202708A (zh) * | 2020-08-24 | 2021-01-08 | 国网山东省电力公司 | 身份认证方法、装置、电子设备及存储介质 |
| CN112100675A (zh) * | 2020-11-05 | 2020-12-18 | 南京云信达科技有限公司 | 一种零信任的数据存储访问方法及系统 |
| CN113596009A (zh) * | 2021-07-23 | 2021-11-02 | 中国联合网络通信集团有限公司 | 零信任访问方法、系统、零信任安全代理、终端及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2022206349A1 (zh) | 一种信息验证的方法、相关装置、设备以及存储介质 | |
| US9197420B2 (en) | Using information in a digital certificate to authenticate a network of a wireless access point | |
| CN112737779B (zh) | 一种密码机服务方法、装置、密码机及存储介质 | |
| CN106788989B (zh) | 一种建立安全加密信道的方法及设备 | |
| CN112632573B (zh) | 智能合约执行方法、装置、系统、存储介质及电子设备 | |
| CN112566119A (zh) | 终端认证方法、装置、计算机设备及存储介质 | |
| CN114584306B (zh) | 一种数据处理方法和相关装置 | |
| CN115150109A (zh) | 认证方法、装置及相关设备 | |
| CN114401151A (zh) | 群组消息加密方法、装置、设备和存储介质 | |
| CN115348077A (zh) | 一种虚拟机加密方法、装置、设备、存储介质 | |
| CN108900595B (zh) | 访问云存储服务器数据的方法、装置、设备及计算介质 | |
| WO2021170049A1 (zh) | 一种访问行为的记录方法、装置 | |
| US20240267215A1 (en) | Equipment identity authentication method and apparatus, electronic device, and storage medium | |
| CN116599719A (zh) | 一种用户登录认证方法、装置、设备、存储介质 | |
| CN108429732B (zh) | 一种获取资源的方法及系统 | |
| CN116170759A (zh) | 一种基于微信的局域网访问方法及系统 | |
| CN116961973A (zh) | 数据传输方法、装置、电子设备及计算机可读存储介质 | |
| CN112995140B (zh) | 安全管理系统及方法 | |
| CN113987560A (zh) | 一种数据的零信任认证方法、装置及电子设备 | |
| CN114978698A (zh) | 网络接入方法、目标终端、凭证管理网元及验证网元 | |
| CN114584347A (zh) | 验证短信收发方法、服务器、终端及存储介质 | |
| CN111163466B (zh) | 5g用户终端接入区块链的方法、用户终端设备及介质 | |
| CN113079506A (zh) | 网络安全认证方法、装置及设备 | |
| CN115002761B (zh) | 一种数据处理方法、装置及电子设备 | |
| CN112738008B (zh) | 信息同步变更方法、装置、计算机以及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20220128 |