CN114598489B - 一种确定信任终端的方法及相关装置 - Google Patents
一种确定信任终端的方法及相关装置 Download PDFInfo
- Publication number
- CN114598489B CN114598489B CN202110040728.7A CN202110040728A CN114598489B CN 114598489 B CN114598489 B CN 114598489B CN 202110040728 A CN202110040728 A CN 202110040728A CN 114598489 B CN114598489 B CN 114598489B
- Authority
- CN
- China
- Prior art keywords
- terminal
- trust
- control device
- access request
- policy control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/146—Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
Abstract
一种确定信任终端的方法及相关装置,应用于零信任网络安全架构,以提高零信任架构的安全性。本申请实施例方法包括:策略控制装置对终端进行身份认证,当终端通过身份认证之后,策略控制装置会生成一个信任标识,并将该信任标识发送给该终端;终端会保存该信任标识;当终端需要访问应用服务器时,终端中装载的环境感知客户端就会从终端中保存信任标识的位置获取信任标识,然后终端向策略控制装置发送携带信任标识的访问请求,策略控制装置根据信任标识判定该终端为信任终端。
Description
本申请要求于2020年11月20日提交中国专利局、申请号为202011308408.7、申请名称为“一种终端安全访问网络的方法和系统”的中国专利申请的优先权,其全部内容通过引用结合在本申请中。
技术领域
本申请涉及网络安全技术领域,尤其涉及零信任安全网络架构中确定信任终端的方法及相关装置。
背景技术
随着移动互联网、大数据、云计算等信息化技术的发展,伴随而来的网络风险及威胁也日益加剧,传统的基于网络边界建立信任体系的安全防护模式逐渐失效,零信任网络安全技术应运而生。零信任架构是一种实现访问主体以身份为中心进行访问控制的安全架构。
零信任架构用于建立访问主体(终端)和访问客体(业务应用及数据资源)之间的安全可信关系。通常情况下,零信任架构中包括终端,策略检测装置,策略控制装置和策略执行装置。其中,终端中部署有环境感知客户端,该环境感知客户端实时收集终端的安全风险事件(如中木马,中病毒等)。策略检测装置获取终端的安全网络风险事件,并基于该安全风险事件对终端进行安全风险进行评估,得到评估结果。策略控制装置根据该评估结果对访问主体的访问权限进行调整。策略执行装置根据策略控制装置下发的策略对访问主体的访问进行放行或阻断,从而动态调整访问主体对应用系统的访问权限。
零信任架构的安全防护模式得以实现的基础是:终端是可以信任的,可靠的。如果终端本身是不可靠的,不安全的,那么整个零信任架构将无法发挥作用。故而,判断零信任架构中的终端是否可信便成为零信任架构发挥作用的基础及关键步骤。
传统方法中,终端中部署环境感知客户端后,终端向策略检测装置发送注册消息,策略检测装置接收到注册消息后,确认终端是可信终端。同理,当终端卸载了环境感知客户端时,终端会向策略检测装置发送卸载消息,策略检测装置接收到终端发送的卸载消息,策略检测装置确定该终端为不可信终端。即策略检测装置被动地接收终端发过来的注册消息或卸载消息,通过注册消息和卸载消息来判定终端是否可信。但是,在某些情况下,策略检测装置可能无法正确判定终端是信任终端还是不可信终端,导致零信任系统存在安全风险。例如,终端中部署了环境感知客户端后,在断网的情况下终端卸载了环境感知客户端,此时,策略检测装置无法收到卸载消息。再如,由于终端重新部署操作系统等原因导致的环境感知客户端被异常卸载,策略检测装置也不会收到环境感知客户端发送的卸载消息。这些情况下,策略检测装置由于没有收到卸载消息,就依然会判定该终端是可信终端,但是实际上,当前终端已经不可信了。传统方法中的零信任架构无法正确判定终端是否为可信终端,导致整个零信任架构无法发挥作用。
发明内容
本申请实施例提供了一种确定信任终端的方法,该方法应用于零信任网络安全架构,以提高零信任架构的安全性。
第一方面,本申请实施例提供了一种确定信任终端的方法,该方法应用于零信任架构中的终端,终端中装载有环境感知客户端,该方法包括:终端向策略控制装置发送认证请求,认证请求中携带认证信息,认证信息用于策略控制装置根据认证信息对终端进行认证;然后,终端接收来自策略控制装置的信任标识,并保存信任标识;最后,当终端访问应用服务器时,终端中的环境感知客户端从终端中获取信任标识,并将信任标识携带于第一访问请求中,终端发送第一访问请求,以便于策略控制装置确定终端为信任终端。本实施例中,策略控制装置对终端进行身份认证,当终端通过身份认证之后,策略控制装置会生成一个信任标识,并将这个信任标识发送给该终端。终端会保存这个信任标识。当终端需要访问应用服务器时,终端中装载的环境感知客户端就会获取这个信任标识,然后终端向策略控制装置发送携带信任标识的访问请求,以便于策略控制装置判定该终端为信任终端。无论是用户主动卸载了环境感知客户端,还是环境感知客户端由于终端重装系统等原因被动地被卸载了,终端都无法向策略控制装置发送信任标识。只要策略控制装置不能获取到来自终端的信任标识,就表明终端不再可靠了,即环境感知客户端不能收集终端的危险事件,此时策略控制装置就确定终端为不可信终端。策略控制装置根据来自终端的信任标识正确判定该终端是否是信任终端,从而提高零信任架构的安全性,使得零信任架构得以真正发挥作用。
在一种可选的实现方式中,信任标识是根据终端相关的动态信息生成的。这种根据终端相关的动态信息生成信任标识的方式能够保证终端每次通过认证后,终端中保存的信任标识是不同的,即信任标识是动态的,从而提高零信任系统的安全性。
在一种可选的实现方式中,终端相关的动态信息包括终端的IP地址和/或会话标识,会话标识用于标识终端通过认证后,策略控制装置与终端之间基于HTTP协议建立的会话。一方面终端的IP地址是动态分配的,另一方面会话标识用于唯一标识策略控制装置与终端之间基于HTTP协议建立的会话。动态信息包括终端的IP地址和/或会话标识既能保证信任标识的唯一性,又能保证信任标识的动态性。
在一种可选的实现方式中,信任标识被终端保存在终端的浏览器的小型文本文件cookie中,该方法还包括:终端访问应用服务器时,从浏览器的cookie中获取信任标识,并将信任标识携带在第一访问请求中。终端将信任标识保存在终端的浏览器的cookie中以保证信任标识是具有有效期的。当浏览器退出后,cookie就会消失,这样保存在cookie中的信任标识也就会被删除,即该信任标识就会失效。从而避免恶意攻击者获取到该信任标识后仿冒终端,对策略控制装置进行攻击。
在一种可选的实现方式中,第一访问请求中还携带用户令牌token,token是终端通过认证后策略控制装置为终端分配的。token用于触发策略控制装置对终端的鉴权过程,减少策略控制装置频繁去数据库查询用户名和密码的操作。
在一种可选的实现方式中,终端向策略控制装置发送认证请求之前,该方法还包括:终端发送第二访问请求,第二访问请求中未携带token,第二访问请求被策略执行装置重定向至策略控制装置后触发策略控制装置向终端设备发送认证页面,认证请求是终端接收到认证页面后发送的。在不确定终端是否是信任终端的情况下,来自终端的第二访问请求会到达策略执行装置,当第二访问请求是终端首次访问应用服务器的请求时,第二访问请求被策略执行装置重定向至策略控制装置,从而触发策略控制装置与终端的交互认证过程,以提高零信任架构的安全性。
在一种可选的实现方式中,第一访问请求还包括终端的身份标识,身份标识用于策略检测装置将身份标识与终端的注册标识进行比较,当身份标识和终端的注册标识相同时,策略检测装置向策略控制装置发送第一访问请求中携带的信任标识。策略检测装置根据身份标识核实终端的身份,当终端的身份核实通过后,策略检测装置才会将第一访问请求发送给策略控制装置,从而提高零信任架构的安全性。
第二方面,本申请实施例提供了一种确定信任终端的方法,应用于策略控制装置,该方法包括:策略控制装置接收来自终端的认证请求,认证请求中携带认证信息;然后策略控制装置根据认证信息对终端进行认证;当终端通过认证后,策略控制装置会为该终端生成一个信任标识,然后向终端发送该信任标识;当终端访问应用服务器时,策略控制装置接收来自终端的第一访问请求,第一访问请求会携带一个信任标识;策略控制装置将第一访问请求中携带的信任标识与生成的信任标识进行比较,若第一访问请求中携带的信任标识和生成的信任标识相同,则策略控制装置确定终端为信任终端。策略控制装置根据来自终端的信任标识正确判定该终端是信任终端,提高零信任架构的安全性,使得零信任架构得以真正发挥作用。
在一种可选的实现方式中,策略控制装置根据与终端相关的动态信息生成信任标识。从而使得每次终端通过认证后,终端保存的信任标识是不同的,以保证信任标识的动态性,从而提高零信任系统的安全性。
在一种可选的实现方式中,所述根据与终端相关的动态信息生成信任标识具体包括:策略控制装置与终端之间基于HTTP协议建立会话;然后策略控制装置根据终端的IP地址和会话的会话标识生成信任标识。策略控制装置所生成的信任标识具有唯一性,且终端每次通过认证后,终端的IP地址相较于上一次通过认证之后的IP地址是不同的,会话标识相较于上一次通过认证之后的会话标识也是不同的,保证了信任标识的动态性。
在一种可选的实现方式中,该方法还包括:策略控制装置接收第二访问请求,第二访问请求中未携带信任标识,表明终端中的环境感知客户端已经被卸载了,那么环境感知客户端将无法收集终端的危险事件,因此终端将不再可靠,策略控制装置确定该终端为不可信终端;或者,第二访问请求中携带的信任标识和生成的信任标识不相同,表明该信任标识是被攻击者仿冒的,此时终端存在风险隐患,策略控制装置确定终端为不可信终端。
第三方面,本申请实施例提供了一种确定信任终端的方法,应用于策略执行装置,该方法包括:策略执行装置接收来自终端的访问请求;当访问请求中未携带策略控制装置分配的token时,表明该访问请求是首次访问的请求,策略执行装置将第二访问请求重定向至策略控制装置,访问请求被策略执行装置重定向至策略控制装置后触发策略控制装置向终端发送认证页面,认证页面用于引导终端向策略控制装置发送认证请求,认证请求中携带认证信息。在不确定终端是否是信任终端的情况下,来自终端的第二访问请求会到达策略执行装置,当第二访问请求是终端首次访问应用服务器的请求时,第二访问请求被策略执行装置重定向至策略控制装置,从而触发策略控制装置与终端的交互认证过程,以提高零信任架构的安全性。
第四方面,本申请实施例提供了一种确定信任终端的方法,应用于策略检测装置,包括:策略检测装置接收来自终端的第一访问请求,第一访问请求中携带终端的身份标识和信任标识,信任标识是终端通过认证后策略控制装置发送给终端的;策略检测装置将身份标识与终端的注册标识进行比较;当身份标识与终端的注册标识相同时,策略检测装置向策略控制装置发送访问请求中携带的信任标识,信任标识用于策略控制装置确定终端为信任终端。策略检测装置在终端的身份核实通过后,才会将第一访问请求发送给策略控制装置,从而提高零信任架构的安全性。
在一种可选的实现方式中,信任标识是根据终端相关的动态信息生成的。
在一个可选的实现方式中,终端相关的动态信息包括终端的IP地址和/或会话标识,会话标识用于标识终端通过认证后,策略控制装置与终端之间基于HTTP协议建立的会话后,生成的会话的标识。
第五方面,本申请实施例提供了一种终端,该终端包括:发送模块,用于向策略控制装置发送认证请求,认证请求中携带认证信息,认证信息用于策略控制装置根据认证信息对终端进行认证;接收模块,用于接收来自策略控制装置的信任标识,信任标识是终端通过认证后策略控制装置发送的;存储模块,用于保存信任标识;发送模块,还用于当终端访问应用服务器时,发送第一访问请求,第一访问请求携带信任标识以便于策略控制装置确定终端为信任终端。
在一种可选的实现方式中,信任标识被终端保存在终端的浏览器的小型文本文件cookie中,所述处理模块,还用于当终端访问应用服务器时,从浏览器的cookie中获取信任标识,并将信任标识携带在第一访问请求中。
在一种可选的实现方式中,发送模块,还用于发送第二访问请求,第二访问请求中未携带token,第二访问请求被策略执行装置重定向至策略控制装置后触发策略控制装置向终端设备发送认证页面,认证请求是终端接收到认证页面后发送的。
第六方面,本申请实施例提供了一种策略控制装置,该策略控制装置包括:接收模块,用于接收来自终端的认证请求,认证请求中携带认证信息;处理模块,用于根据认证信息对终端进行认证;当终端通过认证后,生成信任标识;发送模块,用于向终端发送信任标识;接收模块,用于接收来自终端的第一访问请求,第一访问请求携带信任标识;处理模块,还用于将第一访问请求中携带的信任标识与生成的信任标识进行比较,若第一访问请求中携带的信任标识和生成的信任标识相同,则确定终端为信任终端。
在一种可选的实现方式中,处理模块,还用于根据与终端相关的动态信息生成信任标识。
在一种可选的实现方式中,处理模块,还具体用于与终端之间基于HTTP协议建立会话;根据终端的IP地址和会话的会话标识生成信任标识。
在一种可选的实现方式中,接收模块,还用于接收第二访问请求;处理模块,还用于当第二访问请求中未携带信任标识,或者,第二访问请求中携带的信任标识和生成的信任标识不相同时,确定终端为不可信终端。
第七方面,本申请实施例提供了一种策略执行装置,该策略执行装置包括:接收模块,用于接收来自终端的访问请求;处理模块,用于当第二访问请求中未携带策略控制装置分配的token时,策略执行装置将第二访问请求重定向至策略控制装置,访问请求被策略执行装置将重定向至策略控制装置后触发策略控制装置向终端设备发送认证页面,认证页面用于引导终端向策略控制装置发送认证请求,认证请求中携带认证信息。
第八方面,本申请实施例提供了一种策略检测装置,该策略检测装置包括:接收模块,用于接收来自终端的第一访问请求,第一访问请求中携带终端的身份标识和信任标识,信任标识是终端通过认证后策略控制发送给终端的;处理模块,用于将身份标识与终端的注册标识进行比较;处理模块,还用于当身份标识与终端的注册标识相同时,向策略控制装置发送第一访问请求中携带的信任标识,信任标识用于策略控制装置确定终端为信任终端。
第九方面,本申请实施例提供了一种确定信任终端的系统,该系统包括:终端,用于向策略控制装置发送认证请求,认证请求中携带认证信息;策略控制装置,用于根据认证信息对终端进行认证;当终端通过认证后,生成信任标识,并向终端发送信任标识;终端,还用于接收信任标识并保存信任标识;当终端访问应用服务器时,发送第一访问请求,第一访问请求中携带终端的信任标识;策略控制装置,还用于将第一访问请求中携带的信任标识与生成的信任标识进行比较,若第一访问请求中携带的信任标识和生成的信任标识相同,则确定终端为信任终端。
在一种可选的实现方式中,第一访问请求中携带终端的身份标识,系统还包括策略检测装置;策略检测装置,用于接收来自终端的第一访问请求,将终端的身份标识与终端的注册标识进行比较;当身份标识与注册标识相同时,向策略控制装置发送第一访问请求中携带的信任标识。
在一种可选的实现方式中,第一访问请求中还携带用户令牌token,token是终端通过认证后策略控制装置为终端分配的;终端发送认证请求之前,终端还用于发送第二访问请求,第二访问请求中未携带token;该系统还包括策略执行装置,策略执行装置,用于接收来自终端的第二访问请求,将第二访问请求重定向至策略控制装置;策略控制装置,还用于基于第二访问请求向终端发送认证页面,认证页面用于引导终端向策略控制装置发送认证请求。
在一种可选的实现方式中,策略执行装置为网络转发设备,网络转发设备包括防火墙、交换机、路由器、网关和网桥;策略控制装置和策略检测装置为计算机集群设备,策略执行装置和策略检测装置均与策略控制装置通信连接。
在一种可选的实现方式中,策略控制装置,还用于根据终端相关的动态信息生成信任标识。
在一种可选的实现方式中,策略控制装置,还用于与终端之间基于HTTP协议建立会话;并根据终端的IP地址和会话的会话标识生成信任标识。
第十方面,本申请实施例提供了一种电子设备,包括:包括处理器,处理器与至少一个存储器耦合,处理器用于读取至少一个存储器所存储的计算机程序,使得电子设备执行上述第一方面任一项所述的方法;或者,使得电子设备执行上述第二方面任一项所述的方法;或者,使得电子设备执行上述第三方面任一项所述的方法,或者,使得电子设备执行上述第四方面任一项所述的方法。
第十方面,本申请实施例提供了一种计算机可读介质,计算机可读存储介质用于存储计算机程序,当计算机程序在计算机上运行时,使得计算机执行上述第一方面任一项所述的方法;或者,使得计算机执行上述第二方面任一项所述的方法;或者,使得计算机执行上述第三方面任一项所述的方法;或者,使得计算机执行上述第四方面任一项所述的方法。
第十一方面,本申请实施例提供了一种芯片,包括处理器和通信接口,处理器用于读取指令以执行上述第一方面任一项所述的方法;或者,处理器用于读取指令以执行如上述第二方面任一项所述的方法;或者,处理器用于读取指令以执行上述第三方面任一项所述的方法;或者,处理器用于读取指令以执行上述第四方面任一项所述的方法。
第十二方面,本申请实施例提供了一种计算机程序产品,该计算机程序产品被计算机执行时实现上述第一方面任一项所述方法;或者,该计算机程序产品被计算机执行时实现上述第二方面任一项所述的方法;或者,该计算机程序产品被计算机执行时实现上述第三方面所述的方法;或者,该计算机程序产品被计算机执行时实现上述第四方面任一项所述的方法。
附图说明
图1A和图1B为本申请实施例中零信任架构的两个实施例的场景示意图;
图2A、图2B、图2C、图2D、图2E和图2F为本申请实施例中一种确定信任终端的方法的多个实施例的步骤流程图;
图3为本申请实施例中一种终端的一个实施例的结构示意图;
图4为本申请实施例中一种终端的另一个实施例的结构示意图;
图5为本申请实施例中一种装置的一个实施例结构示意图;
图6为本申请实施例中一种装置的另一个实施例结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。本申请中出现的术语“和/或”,表示存在三种关系,例如,A和/或B,表示单独存在A,同时存在A和B,单独存在B这三种情况。本申请的说明书和权利要求书及附图中的术语“第一”、“第二”等是用于区别对象,而不必然用于描述特定的顺序或先后次序。应该理解这样使用的术语在适当情况下可以互换。
本申请实施例提供了一种确定信任终端的方法,该方法应用于零信任网络安全架构(也简称为“零信任架构”或“零信任系统”)。零信任架构包括终端、策略检测装置、策略执行装置和策略控制装置。其中,终端中部署有环境感知客户端。在零信任架构中,终端中部署的环境感知客户端用于实时收集终端的安全风险事件(如中木马,中病毒等)。策略检测装置用于获取终端的安全网络风险事件,并基于该安全风险事件对终端进行安全风险进行评估,得到评估结果。策略控制装置用于根据该评估结果对访问主体的访问权限进行调整。策略执行装置用于为应用服务器提供反向代理,根据策略控制装置下发的策略对来自终端的访问请求进行放行或阻断,从而动态调整访问主体对应用服务器的访问权限。
上述零信任架构的安全防护模式得以实现的基础是:终端是信任的,可靠的。如果终端是不可靠的,那么,零信任架构将无法真正发挥作用,由此,本申请中提供了一种确定信任终端的方法,该方法能够正确的判断零信任架构中的终端是信任终端(或称为“可信终端”),从而提高零信任架构的安全性。
附图1A和1B是本申请实施例中零信任架构的应用场景示意图。请参阅图1A和1B所示,零信任架构包括终端11、策略检测装置12、策略执行装置13、策略控制装置14,其中,终端11中部署有环境感知客户端。策略控制装置14,策略执行装置13和策略检测装置12均与终端11通信连接。策略执行装置13和策略检测装置12均与策略控制装置14通信连接,策略执行装置13与应用服务器通信连接。本申请中的终端11是支持超文本传输协议(hypertexttransfer protocol,HTTP)协议的终端。可选地,终端11包括但不限于手机(mobilephone)、平板电脑(Pad)、电脑、个人计算机(personal computer,PC)、物联网(internet ofthings,IoT)系统中的终端等。策略执行装置13是网络转发设备,或者,该策略执行装置13是部署于网络转发设备中的功能模块。网络转发设备包括但不限定于防火墙、交换机、路由器、网关和网桥等。本申请实施例以策略执行装置13为防火墙进行举例说明。策略检测装置12和策略控制装置14为计算机集群设备,或者,策略检测装置12和策略控制装置14是部署于计算机集群设备中的功能模块。本申请以策略检测装置12和策略控制装置14为服务器进行举例说明。可选地,如图1A所示,策略检测装置12和策略控制装置14单独部署。或者,如图1B所示,策略检测装置12、策略控制装置14和应用服务器集中部署于服务器集群。
进一步,对本申请中零信任架构中所涉及装置的作用进行说明。
策略执行装置,用于根据获取的终端访问应用服务器时产生的访问流量,判定终端是否是首次访问应用服务器,当终端是首次访问应用服务器时,将来自终端的访问请求重定向至策略控制装置,从而触发策略控制装置和终端的交互认证流程。
策略控制装置,用于当终端通过认证后,针对该终端生成信任标识,并将信任标识发送给该终端。
环境感知客户端,用于在终端内部,从信任标识的存储位置(如浏览器的cookie)获取信任标识。
策略检测装置,用于根据终端的身份标识和该终端的注册标识核实终端的身份。
策略控制装置,还用于当终端的身份通过核实后,根据来自终端的信任标识和生成的信任标识判定终端是否为信任终端。
策略执行装置,用于为应用服务器提供反向代理,对终端隐藏应用服务器。当策略控制装置确定终端为信任终端时,策略执行装置接收策略控制装置发送的第一指示,并作为终端的代理继续访问应用服务器,然后向终端反馈数据资源。当策略控制装置确定终端为不可信终端时,策略执行装置接收策略控制装置发送的第二指示,策略执行装置根据第二指示阻断终端访问应用服务器(即策略执行装置不会继续访问应用服务器)。
本申请实施例中,策略控制装置对终端进行身份认证,当终端通过身份认证之后,策略控制装置会生成一个信任标识,并将这个信任标识发送给该终端。终端会保存这个信任标识。当终端需要访问应用服务器时,终端中装载的环境感知客户端就会获取这个信任标识,然后终端向策略控制装置发送携带信任标识的访问请求,以便于策略控制装置判定该终端为信任终端。无论是用户主动卸载了环境感知客户端,还是环境感知客户端由于终端重装系统等原因被动地被卸载了,终端都无法向策略控制装置发送信任标识。只要策略控制装置不能获取到来自终端的信任标识,就表明终端不再可靠了,即环境感知客户端不能收集终端的危险事件,此时策略控制装置就确定终端为不可信终端。策略控制装置根据来自终端的信任标识正确判定该终端是否是信任终端,从而提高零信任架构的安全性,使得零信任架构得以真正发挥作用。
为了更好的理解本申请,首先对本申请中涉及的词语进行说明。
信任标识是由策略控制装置生成的一个字符串,用于策略控制装置唯一标识终端。可选地,信任标识是具有有效期的。
用户令牌(token):是服务端生成的一个字符串,以作为客户端进行请求的一个令牌。当客户端第一次访问服务端后,服务端生成一个token,然后将此token返回给客户端,以后客户端只需带上这个token前来请求数据即可,无需再次带上用户名和密码。从而减轻服务端的压力,减少频繁去数据库查询用户名和密码的操作。本申请实施例中,策略控制装置作为服务端为终端分配token。
重定向(redirect):将网络请求重新定个方向,从而将网络请求转到其他位置。
请参阅图2A所示,本申请实施例提供了一种确定信任终端的方法的一个实施例,包括步骤204至步骤207,步骤208a,步骤211a和步骤212a。
步骤204、终端向策略控制装置发送认证请求,认证请求包括认证信息。
终端接收用户输入的认证信息,终端向策略控制装置发送认证请求,认证请求携带认证信息。该认证信息是用户名和密码,或者,该认证信息是用户的生物信息,用户的生物信息包括但不限定于人脸信息,声纹信息和指纹信息等。本实施例中对于该认证信息并不限定。
步骤205、策略控制装置接收来自终端的认证请求,根据认证信息对终端进行认证。
策略控制装置获取认证请求中的认证信息,认证信息以用户名和密码为例进行说明。策略控制装置获取认证请求中的用户名和密码,策略控制装置查询数据库。当策略控制装置在数据库中查询到该用户名和密码,策略控制装置判定该终端通过认证。当策略控制装置在数据库中未查询到该用户名和密码,策略控制装置判定该终端不能通过认证。
步骤206、当终端认证通过后,策略控制装置生成信任标识。
当终端通过认证后,策略控制装置为该终端生成信任标识并保存该信任标识。策略控制装置会将这个信任标识发送给终端。可选地,策略控制装置根据该终端相关的动态信息生成该信任标识,也就是说,终端每次通过认证后,策略控制装置针对同一个终端生成的信任标识是不相同的,以保证信任标识的动态性,从而提高零信任系统的安全性。
实施例性的,该终端相关的动态信息包括终端的IP地址和/或会话标识(sessionID)。信任标识是策略控制装置对终端的IP地址和/或session ID进行加密后生成字符串,策略控制装置将该字符串作为信任标识。
对session ID进行实施例性说明。当终端通过认证之后,策略控制装置与终端之间基于HTTP协议建立会话(session)。通常情况下,该session对应终端中的浏览器,策略控制装置生成session ID来唯一标识这个session,从而使得终端中的浏览器与这个session是一一对应的。
需要说明的是,本实施例中信任标识仅是举例说明,并不造成对信任标识的限定。可选地,信任标识包括终端的动态信息和终端的静态信息(如终端的身份标识)。如信任标识是策略控制装置对终端的IP地址,session ID和终端的身份标识进行加密后生成的字符串。本实施例中,只要保证信任标识唯一标识该终端即可,具体的并不限定信任。
步骤207、终端接收策略控制装置发送的信任标识,并保存信任标识。
终端接收策略控制装置发送的信任标识,然后终端保存该信任标识。本申请实施例对终端保存信任标识的具体存储位置不进行限定,例如终端将信任标识保存在环境感知客户端安装目录的隐藏文件中,或者保存在操作系统目录下的配置文件中。可选地,终端将信任标识写入浏览器的cookie中。终端将信任标识写入浏览器的目的是保证信任标识是具有有效期的。当浏览器退出后,cookie就会消失,这样保存在cookie中的信任标识也就会被删除,即该信任标识就会失效。从而避免恶意攻击者获取到该信任标识后仿冒终端,导致攻击者对策略控制装置进行攻击。本实施例中,当终端每次通过认证后,终端会接收到策略控制装置发送的信任标识,从而使终端每次通过认证后,cookie中保存的都是新的信任标识,提高零信任系统的安全性。
步骤208a、当终端访问应用服务器时,终端发送第一访问请求,第一访问请求携带信任标识。
当终端访问应用服务器时,终端中的环境感知客户端会从cookie中获取信任标识,并将该信任标识携带于第一访问请求中。终端通过环境感知客户端获取信任标识的目的在于,以便于策略控制装置确定终端中的环境感知客户端是否被卸载。实施例性的,如果环境感知客户端被卸载了,无论是用户主动卸载环境感知客户端,还是环境感知客户端由于其他原因被动地被卸载了,第一访问请求中将不会携带信任标识。
步骤211a、策略控制装置接收第一访问请求,将第一访问请求中携带的信任标识与生成的信任标识进行比较。
策略控制装置将第一访问请求中携带的信任标识与策略控制装置生成的标识(步骤206中策略控制装置生成的标识)进行比较,比较的目的是避免第一访问请求中的信任标识被恶意攻击者仿冒。
步骤212a、当第一访问请求中携带的信任标识和策略控制装置生成的信任标识相同时,策略控制装置确定终端为信任终端。
当第一访问请求中携带的信任标识和策略控制装置生成的信任标识相同时,表明终端中部署有环境感知客户端,且该环境感知客户端是安全的,并没有被攻击者进行仿冒攻击。当策略控制装置确定终端为信任终端后,策略控制装置向策略执行装置发送第一指示,该第一指示用于指示该终端为信任终端。策略执行装置执行应用服务器反向代理的功能,策略执行装置根据该第一指示继续访问应用服务器,并将应用服务器反馈的数据资源发送给终端。
本申请实施例中,当终端通过认证后,策略控制装置就会为终端分配一个信任标识,并将该信任标识发送给终端,终端保存该信任标识。当终端访问应用服务器时,终端将信任标识携带于发送的第一访问请求中。策略控制装置获取到第一访问请求中携带的信任标识,然后策略控制装置将第一访问请求中携带的信任标识和生成的信任标识进行比较,当第一访问请求中携带的信任标识和生成的信任标识相同时,表明该终端中的环境检测客户端没有被卸载,且信任标识也没有被仿冒(即终端没有受到攻击),策略控制装置判定该终端是信任终端。该终端是信任终端,即终端能够通过环境感知客户端检测该终端的运行环境(如是否有风险事件),从而提高零信任架构的安全性,使得零信任架构真正发挥作用。
可选地,请参阅图2B所示,图2B为本申请实施例中提供的一种确定信任终端的另一个实施例的步骤流程图。在终端访问应用服务器之前,为了保证零信任架构中的终端已经安装环境感知客户端。终端中装载了环境感知客户端后,会向策略检测装置进行注册,以通知策略检测装置,终端中已经装载了环境感知客户端。终端与策略检测装置进行交互完成注册过程。注册过程如步骤201所示。
步骤201、终端向策略检测装置进行注册。
首先,终端安装环境感知客户端。然后,环境感知客户端向策略检测装置发送注册消息,注册消息携带终端的身份标识。终端的身份标识用于唯一标识该终端。可选地,身份标识是终端预先生成的。或者,身份标识是终端发送注册消息时生成的,具体并不限定。终端根据自身的静态信息生成身份标识。例如,终端基于终端的硬件标识(如处理器标识)和/或终端的媒体存取控制(media access control address,MAC)地址生成该身份标识。本实施例中,对于该身份标识并不限定,只要该身份标识唯一标识该终端即可。最后,策略检测装置保存终端的身份标识,完成对终端的注册。
策略检测装置保存终端的身份标识,策略检测装置将该终端的身份标识作为注册标识,以完成对该终端的注册过程。可以理解的是,策略检测装置保存的注册标识就是终端的身份标识,这里只是为了表明终端已经完成了注册,将策略检测装置已经保存的身份标识称为终端的“注册标识”。
需要说明的是,步骤201为可选步骤,不需要每次访问应用服务器时都执行,当终端完成注册但还没有通过认证的情况下,在访问应用服务器时直接执行步骤202。
可选地,为了提高零信任架构的安全性,来自终端的业务流的数据会到达策略执行装置。策略执行装置用于检测来自终端的访问请求是否是首次访问的请求。当策略执行装置检测来自终端的访问请求是首次访问的请求时,策略执行装置会将来自终端的访问请求重定向至策略控制装置,从而触发策略控制装置与终端的交互认证过程。策略执行装置将来自终端的访问请求重定向至策略控制装置如步骤202和步骤203所示。
步骤202、当终端访问应用服务器时,终端发送第二访问请求,策略执行装置获得来自终端的第二访问请求。
由于当前并不确定终端是否是信任终端,来自终端的业务流的数据会到达策略执行装置。策略执行装置为应用服务器提供反向代理,策略执行装置提供反向代理的目的是隐藏应用服务器,保证应用服务器的安全。
策略执行装置接收第二访问请求,并检测第二访问请求中是否包含策略控制装置分配的token(即检测第二访问请求是否是首次访问的请求),当第二访问请求中未携带token时,表明终端首次访问应用服务器。
步骤203、当策略执行装置检测到该第二访问请求中未携带token时,策略执行装置将第二访问请求重定向至策略控制装置。
当第二访问请求中未携带token时,即该终端是终端中的浏览器开启后第一次访问应用服务器。既然终端首次访问应用服务器,终端还没有通过认证,那么策略执行装置就会将第二访问请求重定向到策略控制装置。策略执行装置将第二访问请求重定向到策略控制装置的目的是,触发策略控制装置与终端的认证交互流程,完成策略控制装置对终端的认证过程。
实施例性的,第二访问请求中携带目的地址和源地址。其中,目的地址是终端待访问应用服务器的域名(如sina.com)。源地址是终端的网际互连协议(internet protocol,IP)地址。这里对策略执行装置将第二访问请求重定向至策略控制装置的过程进行实施例性说明。
策略执行装置对第二访问请求中携带的域名进行修改以此来修改第二访问请求,在该域名中增加策略控制装置的域名,修改后的域名包括待访问应用服务器的域名和策略控制装置的域名。例如,策略执行装置将域名“sina.com”修改为“W3.com@sina.com”。其中,“W3.com”是策略控制装置的域名,“sina.com”为终端待访问应用服务器的域名。然后,策略执行装置向策略控制装置发送修改后的第二访问请求。策略控制装置根据第二访问请求中的源地址(即终端的IP地址)向终端推送portal认证界面,该认证界面用于引导终端向策略控制装置发送认证请求。
需要说明的是,步骤202和步骤203是策略执行装置将来自终端的访问请求重定向至策略控制装置的过程,步骤202和步骤203的目的是触发策略控制装置和终端的认证交互流程。可以理解,认证交互过程由策略执行装置重定向访问请求来触发是一种可选实现方式。当终端需要访问应用服务器时,终端向策略控制装置发送认证请求,终端发送的认证请求来触发策略控制装置与终端的认证交互过程。当终端注册完成后,可以省略执行上述步骤202和步骤203,而直接执行步骤204。
可选地,为了提高零信任架构的安全性,策略检测装置需要对终端的身份进行核实。当终端的身份核实通过后,策略检测装置才会将第一访问请求发送给策略控制装置。本实施例中,在步骤208a中的第一访问请求还携带终端的身份标识,终端的身份标识用于策略检测装置对终端的身份进行核实。在步骤208a之后,在步骤211a之前,策略检测装置对终端进行身份核实的过程如步骤209a和210a所示。
步骤209a、策略检测装置获取来自终端的第一访问请求,将第一访问请求中的身份标识与终端的注册标识进行比较。
在上述步骤201中,策略检测装置保存了已注册终端的注册标识。本步骤中,策略检测装置将第一访问请求中的身份标识与终端的注册标识进行比较,当第一访问请求中的身份标识与终端的注册标识相同时,执行步骤210a。
步骤210a、当第一访问请求中携带的身份标识与注册标识相同时,策略检测装置将第一访问请求发送至策略控制装置。
策略检测装置对终端的身份进行核实后,策略检测装置将第一访问请求发送给策略控制装置。可选地,策略检测装置对终端的身份核实后,策略检测装置将第一访问请求中的信任标识发送给策略控制装置,以便于策略控制装置根据第一访问请求中的信任标识判定该终端是否为信任终端。
可选地,当终端通过认证后,策略控制装置为该终端分配一个token,策略控制装置将token发送给终端。可选地,在步骤206中,策略控制装置不仅生成信任标识,还为终端生成一个token。策略控制装置将信任标识和token一起发送给终端。可选地,在步骤207中,终端接收策略控制装置发送的信任标识和token,终端保存信任标识和token。可选地,终端将token写入浏览器的cookie中。
可选地,上述步骤208a中,第一访问请求中还携带token。在步骤208a之后,步骤212a之前,还包括如下步骤:策略执行装置接收第一访问请求,并获取第一访问请求中的token,然后将该token发送给策略控制装置,策略执行装置将token发送给策略控制装置的目的是触发策略控制装置对终端的鉴权流程。鉴权流程为:策略控制装置将第一访问请求中携带的token与策略控制装置生成的token进行比较。在步骤212a中,当第一访问请求中携带的token与策略控制装置生成的token相同,且第一访问请求中携带的信任标识和策略控制装置生成的信任标识相同时,策略控制装置确定终端为信任终端。
可以理解的是,在终端通过认证之后,终端中的浏览器没有退出之前,终端需要访问应用服务器时,如终端发送第三访问请求,第三访问请求中会携带token、信任标识和身份标识。其中,token用于策略执行装置触发策略控制装置对终端的鉴权过程。身份标识用于策略检测装置执行对终端的身份核实过程。信任标识用于策略控制装置确定终端是信任终端。
可选地,在步骤212a之后,当策略控制装置确定终端为可信终端后,策略执行装置接收策略控制装置发送的第一指示,策略执行装置缓存该第一指示。策略执行装置缓存第一指示的时长(如20分钟)是预先设置好的。那么在预设时长(20分钟)内,策略执行装置接收到来自终端的第三访问请求,如果策略执行装置没有接收到策略控制装置发送的第二指示(第二指示用于指示终端是不可信终端),策略执行装置会继续访问第三访问请求所要访问的应用服务器。如果在预设时长内,策略执行装置接收到策略控制装置发送的第二指示,策略执行装置根据第二指示拒绝访问第三访问请求所访问的应用服务器。下述图2C、图2D、图2E和图2F对应的实施例为策略控制装置向策略执行装置发送第二指示(即策略控制装置确定终端为不可信终端)的实施例。
本实施例中,图2B中示出的步骤204至步骤207,步骤208a,步骤211a和步骤212a与图2A对应的实施例中的步骤相似。本实施例中的步骤204至步骤207,步骤208a,步骤211a和步骤212a请参阅图2A对应的实施例中的步骤204至步骤207,步骤208a,步骤211a和步骤212a相关说明,此处不赘述。
可以理解的是,图2B对应的实施例中,是以第一访问请求(也称为“第一访问请求A”)中携带了终端的身份标识和信任标识,且第一访问请求中携带的信任标识和策略控制装置生成的信任标识相同的情况进行的实施例性说明。本实施例中,第一访问请求还包括其他几种情况。如,当策略检测装置对终端进行身份核实通过后,第一访问请求中未携带信任标识。再如,第一访问请求中携带的信任标识与策略控制装置生成的信任标识不相同的情况等等。为了对不同情况下的第一访问请求进行区分,将不同情况下的第一访问请求分别称为“第一访问请求A”,“第一访问请求B”,“第一访问请求C”,“第一访问请求D”和“第一访问请求E”。下面通过表1对不同情况下的第一访问请求进行举例说明,请参阅下表1所示:
表1
如上述表1中所陈列的几种情况,可选地,请参阅图2C所示,针对终端发送第一访问请求B的情况,在上述步骤207之后,本申请实施例提供的一种确定信任终端的方法还包括如下步骤208b-步骤211b。
步骤208b、当终端访问应用服务器时,终端发送第一访问请求B,第一访问请求B携带终端的身份标识,未携带信任标识。
步骤209b、策略检测装置获取来自终端的第一访问请求B,将第一访问请求B中的身份标识与终端的注册标识进行比较。
步骤210b、当第一访问请求B携带的身份标识与注册标识相同时,策略检测装置向策略控制装置发送第一消息,第一消息用于指示第一访问请求B携带的身份标识与注册标识相同,且第一访问请求B中未携带信任标识。
步骤211b、策略控制装置接收第一消息,策略控制装置根据该第一消息确定该终端为不可信终端。
本实施例中,第一访问请求B中未携带信任标识,表明终端中的环境感知客户端已经被卸载了,那么环境感知客户端将无法收集终端的危险事件,因此终端将不再可靠,策略控制装置确定该终端为不可信终端。
本实施例中,图2C中示出的步骤201至步骤207与图2B对应的实施例中的步骤201至步骤207相似。本实施例中的步骤201至步骤207请参阅图2B对应的实施例中的步骤201至步骤207的相关说明,此处不赘述。
可选地,请参阅图2D所示,针对终端发送第一访问请求C的情况,在上述步骤207之后,本申请实施例提供的一种确定信任终端的方法还包括如下步骤208c-步骤212c。
步骤208c、当终端访问应用服务器时,终端发送第一访问请求C,第一访问请求C携带终端的身份标识和信任标识。
步骤209c、策略检测装置获取来自终端的第一访问请求C,将第一访问请求C中的身份标识与终端的注册标识进行比较。
步骤210c、当第一访问请求C携带的身份标识与注册标识相同时,策略检测装置向策略控制装置发送信任标识。
步骤211c、策略控制装置接收策略检测装置发送的信任标识,将第一访问请求C中携带的信任标识与策略控制装置生成的信任标识进行比较。
步骤212c、当第一访问请求C中携带的信任标识和策略控制装置生成的信任标识不相同时,策略控制装置确定终端为不可信终端。
本实施例中,第一访问请求C中虽然携带了信任标识,但是第一访问请求C中携带的信任标识和策略控制装置生成的信任标识不相同,表明该信任标识是被攻击者仿冒的,此时终端存在风险隐患,策略控制装置确定终端为不可信终端。
本实施例中,图2D中示出的步骤201至步骤207与图2B对应的实施例中的步骤201至步骤207相似,本实施例中的步骤201至步骤207请参阅图2B对应的实施例中的步骤201至步骤207的相关说明,此处不赘述。
可选地,请参阅图2E所示,针对终端发送第一访问请求D的情况,在上述步骤207之后,本申请实施例提供的一种确定信任终端的方法还包括如下步骤208d-211d。
步骤208d、当终端访问应用服务器时,终端发送第一访问请求D,第一访问请求D未携带终端的身份标识。
步骤209d、策略检测装置获取来自终端的第一访问请求D,策略检测装置检测到该第一访问请求D中未携带终端的身份标识。
步骤210d、策略检测装置向策略控制装置发送第二消息,该第二消息用于指示第一访问请求D中未包含身份标识。
步骤211d、策略控制装置接收策略检测装置发送的第二消息,策略控制装置根据第二消息确定终端为不可信终端。
本实施例中,当第一访问请求D中未包含身份标识时,策略检测装置无法对终端进行身份核实。当策略检测装置无法确定终端的身份的真实性时,就会向策略控制装置发送第二消息,策略控制装置根据策略执行装置发送的第二消息确定该终端为不可信终端,从而提高零信任架构的安全性。
本实施例中,图2E中示出的步骤201至步骤207与图2B对应的实施例中的步骤201至步骤207相似,本实施例中的步骤201至步骤207请参阅图2B对应的实施例中的步骤201至步骤207的相关说明,此处不赘述。
可选地,请参阅图2F所示,针对终端发送第一访问请求E的情况,在上述步骤207之后,本申请实施例提供的一种确定信任终端的方法还包括如下步骤208e-211e。
步骤208e、当终端访问应用服务器时,终端发送第一访问请求E,第一访问请求E携带终端的身份标识和信任标识。
步骤209e、策略检测装置接收来自终端的第一访问请求E,策略检测装置将第一访问请求E中携带的身份标识与终端的注册标识进行比较。
步骤210e、当第一访问请求E中携带的身份标识与终端的注册标识不相同时,策略检测装置向策略控制装置发送第三消息。
步骤211e、策略控制装置接收策略检测装置发送的第三消息。策略控制装置根据第三消息确定终端为不可信终端。
本实施例中,图2F中示出的步骤201至步骤207与图2B对应的实施例中的步骤201至步骤207相似,本实施例中的步骤201至步骤207请参阅图2B对应的实施例中的步骤201至步骤207的相关说明,此处不赘述。
综上,在上述表1中列出的第一访问请求B、第一访问请求C、第一访问请求D和第一访问请求E这4种情况中,策略控制装置确定终端为不可信终端。策略控制装置会向策略执行装置发送第二指示,第二指示用于指示该终端为不可信终端。策略执行装置接收到第二指示后,不会继续访问应用服务器。可选地,策略执行装置向终端反馈提示信息,该提示信息为错误页面等。
在一个应用场景中,在零信任架构中,当用户想要访问企业的数据资源时,终端(如电脑)通过浏览器基于HTTP协议发送第二访问请求,第二访问请求中携带应用服务器的域名(如“1234.com”),终端的访问流量会到达策略执行装置,策略执行装置检测访问请求是否携带策略控制装置颁发的token,当策略执行装置检测到访问请求中未携带token时,策略执行装置会将第二访问请求携带的域名由“1234.com”修改为“W3.com@1234.com”以此来修改第二访问请求。其中,“W3.com”是策略控制装置的域名。然后策略执行装置将修改后的第二访问请求发送给策略控制装置。策略控制装置向终端推送portal认证页面,终端接收到认证页面后,在认证页面接收用户输入的认证信息(如用户名和密码),并将该认证信息发送给策略控制装置。策略控制装置根据该认证信息对该终端进行认证。当终端认证通过后,策略控制装置就会给该终端分配一个信任标识,并将该信任标识发送给终端。终端接收信任标识,并将信任标识写入浏览器的cookie中。
当终端需要访问应用服务器时,终端中的环境感知客户端会从浏览器的cookie中获取到终端已经保存信任标识,终端将身份标识和获取的信任标识携带在第一访问请求中并发送第一访问请求。策略检测装置获取第一访问请求,策略检测装置通过第一访问请求中携带的终端的身份标识对终端进行身份核实。终端的身份核实通过后,策略检测装置会将第一访问请求中的信任标识发送给策略控制装置。策略控制装置根据第一访问请求中的信任标识判定该终端是可信终端。如果终端是可信终端,策略控制装置向策略执行装置发送第一指示,以指示该终端为信任终端。策略执行装置根据策略控制装置发送的第一指示继续访问终端需要访问的应用服务器“1234.com”,并向终端发送应用服务器的数据资源。当终端中的浏览器退出后,cookie中的信任标识也被删除。当终端需要再次访问应用服务器时,零信任系统中的各装置重新执行上述过程,也即策略控制装置需要重新为该终端分配一个信任标识,保证策略控制装置每次为终端分配的信任标识是不同的,从而避免攻击者重放攻击。重放攻击是指恶意攻击者通过拦截访问请求从中获取到信任标识,然后构造一个包含该信任标识的访问请求,通过构造的访问请求伪造可信任终端的身份来访问网络资源。在传统技术中即使终端内的环境感知客户端已经被卸载,策略控制装置也可能会因为攻击者的重放攻击而确定终端是信任终端。在本申请实施例的方案中,终端每次通过认证后,策略控制装置生成的信任标识不同,从而避免攻击者对信任标识进行重放,提高零信任架构的安全性能。
相应于本申请实施例提供的一种确定信任终端的方法,下面对该方法应用的装置进行说明。请参阅图3所示,本申请提供了一种终端300的一个实施例,终端300包括发送模块301、接收模块302和存储模块303。
发送模块301,用于向策略控制装置发送认证请求,认证请求中携带认证信息,认证信息用于策略控制装置根据认证信息对终端进行认证。
接收模块302,用于接收来自策略控制装置的信任标识,信任标识是终端通过认证后策略控制装置发送的。
存储模块303,用于保存信任标识。
发送模块301,还用于当终端访问应用服务器时,发送第一访问请求,第一访问请求携带信任标识以便于策略控制装置确定终端为信任终端。
可选地,发送模块301和接收模块302也可以由收发模块代替。可选地,收发模块为收发器,存储模块303为存储器。其中,收发器具有发送和/或接收的功能,收发器也可以由接收器和/或发射器代替。
可选地,收发模块为通信接口。可选地,通信接口是输入输出接口或者收发电路。输入输出接口包括输入接口和输出接口。收发电路包括输入接口电路和输出接口电路。
进一步的,发送模块301用于执行图2A和图2B对应的实施例中的步骤204、步骤207、步骤208a。发送模块301还用于执行图2B对应的实施例中,步骤201中的“向策略检测装置发送注册消息”步骤,及步骤202中的“发送第二访问请求”步骤。发送模块301还用于执行图2C对应的实施例中的步骤208b,图2D对应的实施例中的步骤208c,图2E对应的实施例中的步骤208d,及图2F对应的实施例中的步骤208e。接收模块302用于执行图2A和图2B对应的实施例中,步骤207中的“接收策略控制装置发送的信任标识”步骤。存储模块303用于执行图2A和图2B对应的实施例中,步骤207中的“保存信任标识”步骤。发送模块301,接收模块302和存储模块303具体功能请参阅上述方法实施例中相关步骤的说明,此处不赘述。
请参阅图4所示,本申请提供了一种终端400的另一个实施例,终端400包括处理器401、收发器402、存储器403、输入设备404和显示单元405。其中,处理器401、收发器402、存储器403、输入设备404和显示单元405通过总线连接。处理器401、收发器402、存储器403、输入设备404和显示单元405之间互相通信,传递控制信号和/或数据信号。存储器403用于存储计算机程序。处理器401用于从存储器403中调用并运行计算机程序,以控制收发器402收发信号。可选地,终端400设备还包括天线。收发器402通过天线发射或接收无线信号。可选地,处理器401和存储器403合成一个处理装置,处理器401用于执行存储器403中存储的程序代码来实现上述功能。可选地,存储器403也集成在处理器401中。或者,存储器403独立于处理器401,也即位于处理器401之外。
输入设备404,用于可用于接收输入的数字或字符信息,以及产生与终端的用户设置以及功能控制有关的键信号输入。具体地,输入设备404可包括触控面板以及其他输入装置。触控面板,也称为触摸屏,可收集用户在其上或附近的触摸操作。其他输入装置包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、鼠标中的一种或多种。实施例性的,本申请中,输入设备404用于接收用户输入的应用服务器的域名。输入设备404还用于接收用户输入的验证信息,验证信息包括但不限于用户名和密码,用户的指纹信息等。
显示单元405,可用于显示由用户输入的信息或提供给用户的信息。显示单元405可包括显示面板,可选的,采用液晶显示器(Liquid Crystal Display,LCD)、有机发光二极管(Organic Light-Emitting Diode,OLED)等形式来配置显示面板。实施例性的,本申请中,显示单元405用于显示应用服务器反馈的数据资源,显示单元405还用于显示策略控制装置发送的认证界面。
处理器401用于读取存储器403所存储的计算机程序,使得终端400执行上述方法实施例中终端执行的步骤,具体请参阅上述方法实施例中的说明,此处不赘述。
另外,在一个可选的设计中,图3中的发送模块301和接收模块302执行的处理和/或操作由图4中所示的收发器402实现。具体可以参见方法实施例的详细说明,这里不再赘述。图3中的存储模块303执行的处理和/或操作由图4中所示的存储器403实现。
请参阅图5所示,本申请提供了一种装置500的一个实施例,该装置500是策略控制装置,用于执行上述方法实施例中策略控制装置的功能。或者,该装置500是策略执行装置,用于执行上述方法实施例中策略执行装置的功能。或者,该装置500是策略检测装置,用于执行上述方法实施例中策略检测装置的功能。
在一个可能的设计中,当该装置500用于执行策略控制装置的功能时,执行策略控制装置包括接收模块501、处理模块502和发送模块503,各模块用于执行如下功能。
接收模块501,用于接收来自终端的认证请求,所述认证请求中携带认证信息。
处理模块502,用于根据所述认证信息对所述终端进行认证;当所述终端通过认证后,生成信任标识。
发送模块503,用于向所述终端发送所述信任标识。
接收模块501,用于接收来自终端的第一访问请求,所述第一访问请求携带所述信任标识。
处理模块502,还用于将所述第一访问请求中携带的信任标识与生成的信任标识进行比较,若所述第一访问请求中携带的信任标识和生成的信任标识相同,则确定所述终端为信任终端。
进一步的,接收模块501用于执行图2A和图2B对应的实施例中的步骤205和步骤211a。接收模块501还用于执行图2C对应的实施例中,步骤211b中的“接收第一消息”步骤。接收模块501还用于执行图2D对应的实施例中,步骤211c中的“接收策略检测装置发送的信任标识”步骤。接收模块501还用于执行图2E对应的实施例中,步骤211d中的“接收策略检测装置发送的第二消息”步骤。接收模块501还用于执行图2F对应的实施例中,步骤211e中的“接收策略检测装置发送的第三消息”步骤。接收模块501具体的功能请参阅上述方法实施例中的说明,此处不赘述。处理模块502用于执行图2A和图2B对应的实施例中的步骤206,步骤211a中“将第一访问请求中携带的信任标识与生成的信任标识进行比较”的步骤和步骤212a。处理模块502还用于执行图2C对应的实施例中,步骤211b中的“根据该第一消息确定该终端为不可信终端”步骤。处理模块502还用于执行图2D对应的实施例中步骤211c和步骤212c。处理模块502还用于执行图2E对应的实施例中,步骤211d中的“根据第二消息确定终端为不可信终端”步骤。处理模块502还用于执行图2F中对应的实施例中,步骤211e中的“根据第三消息确定终端为不可信终端”步骤。处理模块502具体的功能请参阅上述方法实施例中相关步骤的说明,此处不赘述。
在一个可能的设计中,当装置500用于执行策略执行装置的功能时,执行策略执行装置包括接收模块501和处理模块502。可选地,执行策略控制装置还包括发送模块503,各模块用于执行如下功能。
接收模块501,用于接收来自终端的访问请求。
处理模块502,用于当所述第二访问请求中未携带策略控制装置分配的token时,所述策略执行装置将第二访问请求重定向至策略控制装置,所述访问请求被策略执行装置500将重定向至所述策略控制装置后触发所述策略控制装置向所述终端设备发送认证页面,所述认证页面用于引导所述终端向策略控制装置发送认证请求,所述认证请求中携带认证信息。
进一步的,接收模块501用于执行图2B对应的实施例中,步骤202中的“获得来自终端的第二访问请求”步骤,接收模块501的具体功能请参阅图2B对应的实施例中步骤202中的说明,此处不赘述。处理模块502用于执行图2B对应的实施例中步骤203,处理模块502的具体功能请参阅图2B对应的实施例中步骤203的说明,此处不赘述。可选地,发送模块503用于执行图2B对应的实施例中步骤210a,发送模块503的具体功能请参阅图2B对应的实施例中步骤210a的说明,此处不赘述。
在一个可能的设计中,当装置500用于执行策略检测装置的功能时,策略检测装置包括接收模块501和处理模块502。可选地,策略检测装置还包括发送模块503,各模块用于执行如下功能。
接收模块501,用于接收来自终端的第一访问请求,所述第一访问请求中携带所述终端的身份标识和信任标识,所述信任标识是所述终端通过认证后策略控制发送给所述终端的。
处理模块502,用于将所述身份标识与所述终端的注册标识进行比较。
处理模块502,还用于当所述身份标识与所述终端的注册标识相同时,向所述策略控制装置发送所述第一访问请求中携带的信任标识,所述信任标识用于所述策略控制装置确定所述终端为信任终端。
进一步的,接收模块501用于执行图2B对应的实施例中,步骤201中的“接收注册消息”步骤,及步骤209a中的“获取来自终端的第一访问请求”步骤。接收模块501还用于执行图2C对应的实施例中步骤209b中的“获取来自终端的第一访问请求B”步骤。接收模块501还用于执行图2D对应的实施例中步骤209c中的“获取来自终端的第一访问请求C”步骤。接收模块501还用于执行图2E对应的实施例中步骤209d中的“获取来自终端的第一访问请求D”步骤。接收模块501还用于执行图2F对应实施例中,步骤209e中的“获取来自终端的第一访问请求E”步骤。接收模块501的具体功能请参阅上述方法实施例中相关步骤的说明,此处不赘述。处理模块502用于执行图2B对应的实施例中,步骤209a中的“将第一访问请求中的身份标识与终端的注册标识进行比较”步骤。处理模块502还用于执行图2C对应的实施例中,步骤209b中的“将第一访问请求B中的身份标识与终端的注册标识进行比较”步骤。处理模块502还用于执行图2D对应的实施例中,步骤209c中的“将第一访问请求C中携带的信任标识与策略控制装置生成的信任标识进行比较”步骤。处理模块502还用于执行图2F对应的实施例中,步骤209e中的“将第一访问请求E中携带的信任标识与策略控制装置生成的信任标识进行比较”步骤。处理模块502的具体功能请参阅上述方法实施例中相关步骤的说明,此处不赘述。
可选地,发送模块503还用于执行图2B对应的实施例中步骤210a,图2C对应的实施例中步骤210b,图2D对应的实施例中步骤210c,图2E对应的实施例中步骤210d,及图2F对应的实施例中步骤210e。发送模块503的具体功能请参阅上述方法实施例中相关步骤的说明,此处不赘述。
请参阅图6所示,本申请提供了一种装置600,装置600是上述方法实施例中的策略控制装置,用于执行策略控制装置的功能。或者,装置600是上述方法实施例中的策略执行装置,用于执行策略执行装置的功能。或者,装置600是上述方法实施例中的策略检测装置,用于执行策略检测装置的功能。本实施例中装置600以服务器为例进行说明。装置600包括一个或一个以上中央处理器(central processing units,CPU)622(例如,一个或一个以上处理器)和存储器632,一个或一个以上存储应用程序642或数据644的存储介质630(例如一个或一个以上海量存储设备)。其中,存储器632和存储介质630是短暂存储或持久存储。存储在存储介质630的程序包括一个或一个以上模块(图示没标出),每个模块包括对装置中的一系列指令操作。更进一步地,中央处理器622设置为与存储介质630通信,在装置600上执行存储介质630中的一系列指令操作。
可选地,装置600还包括一个或一个以上电源626,一个或一个以上有线或无线网络接口650,一个或一个以上输入输出接口658,和/或,一个或一个以上操作系统641。
在一个可能的设计中,装置600是上述方法实施例中的策略控制装置。当装置600用于执行上述方法实施例中策略控制装置的功能时,处理器用于读取所述至少一个存储器所存储的计算机程序,使得装置执行上述方法实施例中策略控制装置执行的步骤。
在一个可能的设计中,装置600是上述方法实施例中的策略执行装置。当装置600用于执行上述方法实施例中策略执行装置的功能时,处理器用于读取所述至少一个存储器所存储的计算机程序,使得装置执行上述方法实施例中策略执行装置执行的步骤。
在一个可能的设计中,装置600是上述方法实施例中的策略检测装置。当装置600用于执行上述方法实施例中策略检测装置的功能时,处理器用于读取所述至少一个存储器所存储的计算机程序,使得装置执行上述方法实施例中策略检测装置执行的步骤。
另外,在一个可选的设计中,图5中的接收模块501和发送模块503的功能由图6中的网络接口650执行。图5中的处理模块502的功能由图6中的中央处理器622执行。
请参阅图1A和图1B所示,本申请实施例还提供了一种确定信任终端的系统,该系统为零信任架构的通信系统,系统包括终端和策略控制装置,可选地,系统还包括策略执行装置和策略检测装置。其中,终端用于执行上述方法实施例中终端执行的步骤,策略控制装置用于执行上述方法实施例中策略控制装置执行的步骤,策略执行装置用于执行上述方法实施例中策略执行装置执行的步骤,策略检测装置用于执行上述方法实施例中策略检测装置执行的步骤,各装置的功能请参阅上述方法实施例的说明,此处不赘述。
本申请实施例提供了一种计算机可读介质,计算机可读存储介质用于存储计算机程序,当计算机程序在计算机上运行时,使得计算机执行上述方法实施例中终端所执行的方法。或者,当计算机程序在计算机上运行时,使得计算机执行上述方法实施例中策略控制装置所执行的方法。或者,当计算机程序在计算机上运行时,使得计算机执行上述方法实施例中策略执行装置所执行的方法。或者,当计算机程序在计算机上运行时,使得计算机执行上述方法实施例中策略检测装置所执行的方法。
本申请实施例提供了一种芯片,芯片包括处理器和通信接口,通信接口例如是输入/输出接口、管脚或电路等。处理器用于读取指令以执行上述方法实施例中终端所执行的方法。或者,处理器用于读取指令以执行上述方法实施例中策略控制装置所执行的方法。或者,处理器用于读取指令以执行上述方法实施例中策略执行装置所执行的方法。或者,处理器用于读取指令以执行上述方法实施例中策略检测装置所执行的方法。
本申请实施例提供了一种计算机程序产品,该计算机程序产品被计算机执行时实现上述方法实施例中终端所执行的方法。或者,该计算机程序产品被计算机执行时实现上述方法实施例中策略控制装置所执行的方法。或者,该计算机程序产品被计算机执行时实现上述方法实施例中策略执行装置所执行的方法。或者,该计算机程序产品被计算机执行时实现上述方法实施例中策略检测装置所执行的方法。
其中,可选地,上述任一处提到的处理器,是一个通用中央处理器(CPU),微处理器,特定应用集成电路(application-specific integrated circuit,ASIC),或一个或多个用于控制上述第一方面无线通信方法的程序执行的集成电路。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
以上所述,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
Claims (25)
1.一种确定信任终端的方法,其特征在于,应用于终端,包括:
向策略控制装置发送认证请求,所述认证请求中携带认证信息,所述认证信息用于所述策略控制装置根据所述认证信息对所述终端进行认证;
接收来自所述策略控制装置的信任标识,并保存所述信任标识,所述信任标识是所述终端通过认证后所述策略控制装置发送的;
当所述终端访问应用服务器时,发送第一访问请求,所述第一访问请求携带所述信任标识以便于所述策略控制装置确定所述终端为信任终端,所述第一访问请求中还携带用户令牌token,所述token用于触发所述策略控制装置对所述终端的鉴权过程,所述token是所述终端通过认证后所述策略控制装置为所述终端分配的。
2.根据权利要求1所述的方法,其特征在于,所述信任标识是根据所述终端相关的动态信息生成的。
3.根据权利要求2所述的方法,其特征在于,所述终端相关的动态信息包括所述终端的IP地址和/或会话标识,所述会话标识用于标识所述终端通过认证后,所述策略控制装置与所述终端之间基于HTTP协议建立的会话。
4.根据权利要求1-3中任一项所述的方法,其特征在于,所述信任标识被所述终端保存在所述终端的浏览器的小型文本文件cookie中,所述方法还包括:
所述终端访问应用服务器时,从所述浏览器的cookie中获取所述信任标识,并将所述信任标识携带在所述第一访问请求中。
5.根据权利要求1-3中任一项所述的方法,其特征在于,所述向策略控制装置发送认证请求之前,所述方法还包括:
发送第二访问请求,所述第二访问请求中未携带所述token,所述第二访问请求被策略执行装置重定向至所述策略控制装置后触发所述策略控制装置向所述终端发送认证页面,所述认证请求是所述终端接收到所述认证页面后发送的。
6.根据权利要求1-3中任一项所述的方法,其特征在于,所述第一访问请求还包括所述终端的身份标识,所述身份标识用于策略检测装置将所述身份标识与所述终端的注册标识进行比较,当所述身份标识和所述终端的注册标识相同时,所述策略检测装置向所述策略控制装置发送所述第一访问请求中携带的所述信任标识。
7.一种确定信任终端的方法,其特征在于,应用于策略控制装置,包括:
接收来自终端的认证请求,所述认证请求中携带认证信息;
根据所述认证信息对所述终端进行认证;
当所述终端通过认证后,生成信任标识;
向所述终端发送所述信任标识;
接收来自所述终端的第一访问请求,所述第一访问请求携带所述信任标识,所述第一访问请求是所述终端访问应用服务器时发送的,所述第一访问请求中还携带用户令牌token,所述token用于触发所述策略控制装置对所述终端的鉴权过程,所述token是所述终端通过认证后所述策略控制装置为所述终端分配的;
将所述第一访问请求中携带的信任标识与生成的信任标识进行比较,若所述第一访问请求中携带的信任标识和生成的信任标识相同,则确定所述终端为信任终端。
8.根据权利要求7所述的方法,其特征在于,所述生成信任标识,包括:
根据与所述终端相关的动态信息生成所述信任标识。
9.根据权利要求7所述的方法,其特征在于,所述根据与所述终端相关的动态信息生成所述信任标识,包括:
与所述终端之间基于HTTP协议建立会话;
根据所述终端的IP地址和所述会话的会话标识生成所述信任标识。
10.根据权利要求7-9中任一项所述的方法,其特征在于,所述方法还包括:
接收第二访问请求,所述第二访问请求中未携带信任标识,或者,所述第二访问请求中携带的信任标识和所述生成的信任标识不相同,则确定所述终端为不可信终端。
11.一种确定信任终端的方法,其特征在于,应用于策略检测装置,包括:
接收来自终端的第一访问请求,所述第一访问请求中携带所述终端的身份标识和信任标识,所述信任标识是所述终端通过认证后策略控制装置发送给所述终端的,所述第一访问请求携带所述信任标识以便于所述策略控制装置确定所述终端为信任终端,所述第一访问请求中还携带用户令牌token,所述token用于触发所述策略控制装置对所述终端的鉴权过程,所述token是所述终端通过认证后所述策略控制装置为所述终端分配的;
将所述身份标识与所述终端的注册标识进行比较;
当所述身份标识与所述终端的注册标识相同时,向所述策略控制装置发送所述访问请求中携带的信任标识,所述信任标识用于所述策略控制装置确定所述终端为信任终端。
12.根据权利要求11所述的方法,其特征在于,所述信任标识是根据所述终端相关的动态信息生成的。
13.根据权利要求12所述的方法,其特征在于,所述终端相关的动态信息包括所述终端的IP地址和/或会话标识,所述会话标识用于标识所述终端通过认证后,所述策略控制装置与所述终端之间基于HTTP协议建立的会话后,生成的所述会话的标识。
14.一种终端,其特征在于,包括:
发送模块,用于向策略控制装置发送认证请求,所述认证请求中携带认证信息,所述认证信息用于所述策略控制装置根据所述认证信息对所述终端进行认证;
接收模块,用于接收来自所述策略控制装置的信任标识,所述信任标识是所述终端通过认证后所述策略控制装置发送的;
存储模块,用于保存所述信任标识;
所述发送模块,还用于当所述终端访问应用服务器时,发送第一访问请求,所述第一访问请求携带所述信任标识以便于所述策略控制装置确定所述终端为信任终端,所述第一访问请求中还携带用户令牌token,所述token用于触发所述策略控制装置对所述终端的鉴权过程,所述token是所述终端通过认证后所述策略控制装置为所述终端分配的。
15.一种策略控制装置,其特征在于,包括:
接收模块,用于接收来自终端的认证请求,所述认证请求中携带认证信息;
处理模块,用于根据所述认证信息对所述终端进行认证;当所述终端通过认证后,生成信任标识;
发送模块,用于向所述终端发送所述信任标识;
接收模块,用于接收来自终端的第一访问请求,所述第一访问请求携带所述信任标识;
所述处理模块,还用于将所述第一访问请求中携带的信任标识与生成的信任标识进行比较,若所述第一访问请求中携带的信任标识和生成的信任标识相同,则确定所述终端为信任终端,所述第一访问请求中还携带用户令牌token,所述token用于触发所述策略控制装置对所述终端的鉴权过程,所述token是所述终端通过认证后所述策略控制装置为所述终端分配的。
16.一种策略检测装置,其特征在于,包括:
接收模块,用于接收来自终端的第一访问请求,所述第一访问请求中携带所述终端的身份标识和信任标识,所述信任标识是所述终端通过认证后策略控制装置发送给所述终端的,所述第一访问请求携带所述信任标识以便于所述策略控制装置确定所述终端为信任终端;
处理模块,用于将所述身份标识与所述终端的注册标识进行比较;
所述处理模块,还用于当所述身份标识与所述终端的注册标识相同时,向所述策略控制装置发送所述第一访问请求中携带的信任标识,所述信任标识用于所述策略控制装置确定所述终端为信任终端,所述第一访问请求中还携带用户令牌token,所述token用于触发所述策略控制装置对所述终端的鉴权过程,所述token是所述终端通过认证后所述策略控制装置为所述终端分配的。
17.一种确定信任终端的系统,其特征在于,包括:
终端,用于向策略控制装置发送认证请求,所述认证请求中携带认证信息;
所述策略控制装置,用于根据所述认证信息对所述终端进行认证;当所述终端通过认证后,生成信任标识,并向所述终端发送所述信任标识;
所述终端,还用于接收所述信任标识并保存所述信任标识;当所述终端访问应用服务器时,发送第一访问请求,所述第一访问请求中携带所述终端的信任标识;
所述策略控制装置,还用于将所述第一访问请求中携带的信任标识与生成的信任标识进行比较,若所述第一访问请求中携带的信任标识和生成的信任标识相同,则确定所述终端为信任终端,所述第一访问请求中还携带用户令牌token,所述token用于触发所述策略控制装置对所述终端的鉴权过程,所述token是所述终端通过认证后所述策略控制装置为所述终端分配的。
18.根据权利要求17所述的系统,其特征在于,所述第一访问请求中携带所述终端的身份标识,所述系统还包括策略检测装置;
所述策略检测装置,用于接收来自所述终端的第一访问请求,将所述终端的身份标识与所述终端的注册标识进行比较;当所述身份标识与所述注册标识相同时,向所述策略控制装置发送所述第一访问请求中携带的信任标识。
19.根据权利要求17或18所述的系统,其特征在于;
所述终端发送所述认证请求之前,所述终端还用于发送第二访问请求,所述第二访问请求中未携带所述token;
所述系统还包括策略执行装置,
所述策略执行装置,用于接收来自终端的所述第二访问请求,将所述第二访问请求重定向至所述策略控制装置;
所述策略控制装置,还用于基于所述第二访问请求向所述终端发送认证页面,所述认证页面用于引导所述终端向所述策略控制装置发送所述认证请求。
20.根据权利要求19所述的系统,其特征在于,所述系统还包括策略检测装置,所述策略执行装置为网络转发设备,所述网络转发设备包括防火墙、交换机、路由器、网关和网桥;
所述策略控制装置和所述策略检测装置为计算机集群设备,所述策略执行装置和所述策略检测装置均与所述策略控制装置通信连接。
21.根据权利要求17-18、20中任一项所述的系统,其特征在于,
所述策略控制装置,还用于根据所述终端相关的动态信息生成所述信任标识。
22.根据权利要求17-18、20中任一项所述的系统,其特征在于,
所述策略控制装置,还用于与所述终端之间基于HTTP协议建立会话;并根据所述终端的IP地址和所述会话的会话标识生成所述信任标识。
23.一种电子设备,其特征在于,包括:包括处理器,所述处理器与至少一个存储器耦合,所述处理器用于读取所述至少一个存储器所存储的计算机程序,使得所述电子设备执行如权利要求1至6中任一项所述的方法;或者,使得所述电子设备执行如权利要求7至10中任一项所述的方法;或者,使得所述电子设备执行如权利要求11至13中任一项所述的方法。
24.一种计算机可读介质,其特征在于,所述计算机可读存储介质用于存储计算机程序,当所述计算机程序在计算机上运行时,使得所述计算机执行如权利要求1至6中任一项所述的方法;或者,使得所述计算机执行如权利要求7至10中任一项所述的方法;或者,使得所述计算机执行如权利要求11至13中任一项所述的方法。
25.一种芯片,其特征在于,包括处理器和通信接口,所述处理器用于读取指令以执行如权利要求1至6中任一项所述的方法;或者,所述处理器用于读取指令以执行如权利要求7至10中任一项所述的方法;或者,所述处理器用于读取指令以执行如权利要求11至13中任一项所述的方法。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP21893254.9A EP4242886A1 (en) | 2020-11-20 | 2021-04-09 | Trusted terminal determination method and related device |
PCT/CN2021/086136 WO2022105096A1 (zh) | 2020-11-20 | 2021-04-09 | 一种确定信任终端的方法及相关装置 |
JP2023530721A JP2023550622A (ja) | 2020-11-20 | 2021-04-09 | 信頼できる端末を決定するための方法および関連装置 |
US18/319,972 US20230328063A1 (en) | 2020-11-20 | 2023-05-18 | Method for Determining Trusted Terminal and Related Apparatus |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011308408 | 2020-11-20 | ||
CN2020113084087 | 2020-11-20 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114598489A CN114598489A (zh) | 2022-06-07 |
CN114598489B true CN114598489B (zh) | 2023-07-11 |
Family
ID=81814536
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110040728.7A Active CN114598489B (zh) | 2020-11-20 | 2021-01-12 | 一种确定信任终端的方法及相关装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114598489B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2024043812A1 (en) * | 2022-08-26 | 2024-02-29 | Telefonaktiebolaget Lm Ericsson (Publ) | Trust based access control in communication network |
CN117097573B (zh) * | 2023-10-19 | 2024-01-30 | 深圳竹云科技股份有限公司 | 一种零信任安全体系下的防火墙动态访问控制方法及装置 |
CN117439816B (zh) * | 2023-12-18 | 2024-03-12 | 深圳竹云科技股份有限公司 | 应用隐身方法、装置和计算机设备 |
Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2005011192A1 (ja) * | 2003-07-11 | 2005-02-03 | Nippon Telegraph & Telephone | アドレスに基づく認証システム、その装置およびプログラム |
CN106533685A (zh) * | 2015-09-09 | 2017-03-22 | 腾讯科技(深圳)有限公司 | 身份认证方法、装置及系统 |
CN106714075A (zh) * | 2015-08-10 | 2017-05-24 | 华为技术有限公司 | 一种处理授权的方法和设备 |
CN106851634A (zh) * | 2017-03-07 | 2017-06-13 | 西安新路网络科技有限公司 | 一种Portal环境下管理设备在线状态的方法 |
CN106878335A (zh) * | 2017-03-28 | 2017-06-20 | 武汉斗鱼网络科技有限公司 | 一种用于登录验证的方法及系统 |
CN106899564A (zh) * | 2016-07-01 | 2017-06-27 | 阿里巴巴集团控股有限公司 | 一种登录方法和装置 |
CN107769930A (zh) * | 2017-11-20 | 2018-03-06 | 飞天诚信科技股份有限公司 | 一种认证方式转接方法及装置 |
CN110121873A (zh) * | 2017-10-23 | 2019-08-13 | 华为技术有限公司 | 一种访问令牌管理方法、终端和服务器 |
CN110311895A (zh) * | 2019-05-28 | 2019-10-08 | 深圳壹账通智能科技有限公司 | 基于身份验证的会话权限校验方法、系统及电子设备 |
CN110445612A (zh) * | 2018-05-02 | 2019-11-12 | 万事达卡国际公司 | 用于经由区块链增强登录凭证安全性的方法和系统 |
CN110753023A (zh) * | 2018-07-24 | 2020-02-04 | 阿里巴巴集团控股有限公司 | 一种设备认证方法、设备访问方法和装置 |
CN111131186A (zh) * | 2019-12-06 | 2020-05-08 | 苏州浪潮智能科技有限公司 | 一种http会话防护方法、装置、设备及介质 |
CN111143793A (zh) * | 2019-12-13 | 2020-05-12 | 支付宝(杭州)信息技术有限公司 | 访问控制方法和访问控制装置 |
CN111314340A (zh) * | 2020-02-13 | 2020-06-19 | 深信服科技股份有限公司 | 认证方法及认证平台 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10110585B2 (en) * | 2016-12-31 | 2018-10-23 | Entefy Inc. | Multi-party authentication in a zero-trust distributed system |
CN107454112A (zh) * | 2017-09-29 | 2017-12-08 | 恒宝股份有限公司 | 一种访问可信应用的方法及其系统 |
CN110417776B (zh) * | 2019-07-29 | 2022-03-25 | 大唐高鸿信安(浙江)信息科技有限公司 | 一种身份认证方法及装置 |
CN111416822B (zh) * | 2020-03-20 | 2022-10-18 | 数篷科技(深圳)有限公司 | 访问控制的方法、电子设备和存储介质 |
CN111756729B (zh) * | 2020-06-23 | 2022-06-17 | 北京网瑞达科技有限公司 | 网络资源访问方法、装置、计算机设备和存储介质 |
CN111935169B (zh) * | 2020-08-20 | 2021-10-26 | 腾讯云计算(北京)有限责任公司 | 一种业务数据访问方法、装置、设备及存储介质 |
-
2021
- 2021-01-12 CN CN202110040728.7A patent/CN114598489B/zh active Active
Patent Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2005011192A1 (ja) * | 2003-07-11 | 2005-02-03 | Nippon Telegraph & Telephone | アドレスに基づく認証システム、その装置およびプログラム |
CN106714075A (zh) * | 2015-08-10 | 2017-05-24 | 华为技术有限公司 | 一种处理授权的方法和设备 |
CN106533685A (zh) * | 2015-09-09 | 2017-03-22 | 腾讯科技(深圳)有限公司 | 身份认证方法、装置及系统 |
CN106899564A (zh) * | 2016-07-01 | 2017-06-27 | 阿里巴巴集团控股有限公司 | 一种登录方法和装置 |
CN106851634A (zh) * | 2017-03-07 | 2017-06-13 | 西安新路网络科技有限公司 | 一种Portal环境下管理设备在线状态的方法 |
CN106878335A (zh) * | 2017-03-28 | 2017-06-20 | 武汉斗鱼网络科技有限公司 | 一种用于登录验证的方法及系统 |
CN110121873A (zh) * | 2017-10-23 | 2019-08-13 | 华为技术有限公司 | 一种访问令牌管理方法、终端和服务器 |
CN107769930A (zh) * | 2017-11-20 | 2018-03-06 | 飞天诚信科技股份有限公司 | 一种认证方式转接方法及装置 |
CN110445612A (zh) * | 2018-05-02 | 2019-11-12 | 万事达卡国际公司 | 用于经由区块链增强登录凭证安全性的方法和系统 |
CN110753023A (zh) * | 2018-07-24 | 2020-02-04 | 阿里巴巴集团控股有限公司 | 一种设备认证方法、设备访问方法和装置 |
CN110311895A (zh) * | 2019-05-28 | 2019-10-08 | 深圳壹账通智能科技有限公司 | 基于身份验证的会话权限校验方法、系统及电子设备 |
CN111131186A (zh) * | 2019-12-06 | 2020-05-08 | 苏州浪潮智能科技有限公司 | 一种http会话防护方法、装置、设备及介质 |
CN111143793A (zh) * | 2019-12-13 | 2020-05-12 | 支付宝(杭州)信息技术有限公司 | 访问控制方法和访问控制装置 |
CN111314340A (zh) * | 2020-02-13 | 2020-06-19 | 深信服科技股份有限公司 | 认证方法及认证平台 |
Also Published As
Publication number | Publication date |
---|---|
CN114598489A (zh) | 2022-06-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114598489B (zh) | 一种确定信任终端的方法及相关装置 | |
US7886339B2 (en) | Radius security origin check | |
US8468235B2 (en) | System for extranet security | |
WO2022105096A1 (zh) | 一种确定信任终端的方法及相关装置 | |
US8776238B2 (en) | Verifying certificate use | |
US20090319793A1 (en) | Portable device for use in establishing trust | |
US10911485B2 (en) | Providing cross site request forgery protection at an edge server | |
US20140289831A1 (en) | Web authentication using client platform root of trust | |
WO2009037700A2 (en) | Remote computer access authentication using a mobile device | |
JP2008532133A (ja) | Dns偽装をするトロイの木馬を検出及び緩和するシステム及び方法 | |
KR102020178B1 (ko) | 동적 정책 제어를 수행하는 방화벽 시스템 | |
CN112491776B (zh) | 安全认证方法及相关设备 | |
US8108904B1 (en) | Selective persistent storage of controller information | |
JP2017228264A (ja) | 安全なオンライン認証のためのシステム及び方法 | |
CN110781465B (zh) | 基于可信计算的bmc远程身份验证方法及系统 | |
US10834074B2 (en) | Phishing attack prevention for OAuth applications | |
US20230018767A1 (en) | Processing refresh token request at application programming interface (api) gateway | |
US20230362202A1 (en) | Method for determining trusted terminal and related apparatus | |
US20080060063A1 (en) | Methods and systems for preventing information theft | |
KR101619928B1 (ko) | 이동단말기의 원격제어시스템 | |
US10805302B2 (en) | Systems and methods to secure platform application services between platform client applications and platform services | |
WO2010038726A1 (ja) | 情報通知システム、情報通知方法、通信端末およびプログラム | |
KR20140023085A (ko) | 사용자 인증 방법, 인증 서버 및 사용자 인증 시스템 | |
EP3261009B1 (en) | System and method for secure online authentication | |
CN117061140A (zh) | 一种渗透防御方法和相关装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |