CN114765554A - 一种确定信任终端的方法及相关装置 - Google Patents
一种确定信任终端的方法及相关装置 Download PDFInfo
- Publication number
- CN114765554A CN114765554A CN202110038960.7A CN202110038960A CN114765554A CN 114765554 A CN114765554 A CN 114765554A CN 202110038960 A CN202110038960 A CN 202110038960A CN 114765554 A CN114765554 A CN 114765554A
- Authority
- CN
- China
- Prior art keywords
- terminal
- control device
- policy control
- access request
- https connection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 116
- 238000012795 verification Methods 0.000 claims abstract description 79
- 238000012545 processing Methods 0.000 claims description 45
- 238000004590 computer program Methods 0.000 claims description 32
- 238000004891 communication Methods 0.000 claims description 14
- 230000006870 function Effects 0.000 description 16
- 238000001514 detection method Methods 0.000 description 15
- 230000008569 process Effects 0.000 description 12
- 230000004044 response Effects 0.000 description 7
- 238000013461 design Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 244000089409 Erythrina poeppigiana Species 0.000 description 4
- 235000009776 Rathbunia alamosensis Nutrition 0.000 description 4
- 238000011156 evaluation Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000007613 environmental effect Effects 0.000 description 2
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 2
- 230000008447 perception Effects 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/563—Data redirection of data network streams
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/329—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
Abstract
本申请实施例公开了一种确定信任终端的方法及相关装置,应用于零信任网络安全架构,以提高零信任架构的安全性。本申请实施例方法包括:当终端访问应用服务器时,终端发送访问请求;策略控制装置会基于来自终端的访问请求向终端发送HTTPS连接请求;终端基于HTTPS连接请求向策略控制装置发送验证信息;然后策略控制装置对该验证信息进行验证,当该验证信息通过后,终端和策略控制装置成功建立HTTPS连接,该HTTPS连接用于指示该终端为信任终端。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及零信任安全网络架构中确定信任终端的方法及相关装置。
背景技术
随着移动互联网、大数据、云计算等信息化技术的发展,伴随而来的网络风险及威胁也日益加剧,传统的基于网络边界建立信任体系的安全防护模式逐渐失效,零信任网络安全技术应运而生。零信任架构是一种实现访问主体以身份为中心进行访问控制的安全架构。
零信任架构用于建立访问主体(终端)和访问客体(业务应用及数据资源)之间的安全可信关系。通常情况下,零信任架构中包括终端,策略检测装置,策略控制装置和策略执行装置。其中,终端中部署有环境感知客户端,该环境感知客户端实时收集终端的安全风险事件(如中木马,中病毒等)。策略检测装置获取终端的安全网络风险事件,并基于该安全风险事件对终端进行安全风险进行评估,得到评估结果。策略控制装置根据该评估结果对访问主体的访问权限进行调整。策略执行装置根据策略控制装置下发的策略对访问主体的访问进行放行或阻断,从而动态调整访问主体对应用系统的访问权限。
零信任架构的安全防护模式得以实现的基础是:终端是可以信任的,可靠的。如果终端本身是不可靠的,不安全的,那么整个零信任架构将无法发挥作用。故而,判断零信任架构中的终端是否可信便成为零信任架构发挥作用的基础及关键步骤。
传统方法中,终端中部署环境感知客户端后,终端向策略检测装置发送注册消息,策略检测装置接收到注册消息后,确认终端是可信终端。同理,当终端卸载了环境感知客户端时,终端会向策略检测装置发送卸载消息,策略检测装置接收到终端发送的卸载消息,策略检测装置确定该终端为不可信终端。即策略检测装置被动地接收终端发过来的注册消息或卸载消息,通过注册消息和卸载消息来判定终端是否可信。但是,在某些情况下,策略检测装置可能无法正确判定终端是信任终端还是不可信终端,导致零信任系统存在安全风险。例如,终端中部署了环境感知客户端后,在断网的情况下终端卸载了环境感知客户端,此时,策略检测装置无法收到卸载消息。再如,由于终端重新部署操作系统等原因导致的环境感知客户端被异常卸载,策略检测装置也不会收到环境感知客户端发送的卸载消息。这些情况下,策略检测装置由于没有收到卸载消息,就依然会判定该终端是可信终端,但是实际上,当前终端已经不可信了。传统方法中的零信任机构无法正确判定终端是否为可信终端,导致整个零信任架构无法发挥作用。
发明内容
本申请实施例提供了一种确定信任终端的方法,该方法应用于零信任网络安全架构,以提高零信任架构的安全性。
第一方面,本申请实施例提供了一种确定信任终端的方法,应用于终端,终端中装载有环境感知客户端,该方法包括:当终端访问应用服务器时,终端发送访问请求,访问请求用于触发策略控制装置发送HTTPS连接请求;然后终端接收策略控制装置发送的HTTPS连接请求;终端中安装的环境感知客户端接收到HTTPS连接请求后,基于HTTPS连接请求向策略控制装置发送验证信息,验证信息用于策略控制装置对终端进行验证;当终端通过策略控制装置的验证时,终端与策略控制装置建立HTTPS连接,即环境感知客户端与策略控制装置建立HTTPS连接,终端与策略控制装置建立的HTTPS连接用于指示终端为信任终端。本实施例中,无论是用户主动卸载了终端中安装的环境感知客户端,还是环境感知客户端由于终端重装系统等原因被动地被卸载了,终端都无法向策略控制装置发送验证信息。可以理解的是,只要策略控制装置未能接收到来自终端的验证信息,终端和策略控制装置不能成功建立HTTPS连接,表明终端不再可靠,即环境感知客户端不能收集终端的危险事件,此时策略控制装置就确定终端为不可信终端。策略控制装置基于与终端成功建立的HTTPS连接来正确判定该终端是信任终端,从而提高零信任架构的安全性,使得零信任架构得以真正发挥作用。
在一种可选的实现方式中,验证信息包含于加密套接字协议SSL证书中。策略控制装置获取到终端发送的验证信息后,首先读取证书中的内容,然后对证书中的内容进行校验,避免终端被仿冒,提高零信任架构的安全性。
第二方面,本申请实施例提供了一种确定信任终端的方法,应用于策略控制装置,该方法包括:策略控制装置接收来自终端的第一访问请求;然后策略控制装置根据第一访问请求向终端中的环境感知客户端发送HTTPS连接请求;策略控制装置接收来自终端的验证信息,验证信息是终端中的环境感知客户端针对HTTPS连接请求发送的;策略控制装置根据验证信息对终端进行验证;当终端通过验证时,策略控制装置与终端建立HTTPS连接,终端与策略控制装置建立的HTTPS连接用于指示终端为信任终端。无论是用户主动卸载了终端中安装的环境感知客户端,还是环境感知客户端由于终端重装系统等原因被动地被卸载了,终端都无法向策略控制装置发送验证信息。可以理解的是,只要策略控制装置未能接收到来自终端的验证信息,终端和策略控制装置不能成功建立HTTPS连接,表明终端不再可靠,即环境感知客户端不能收集终端的危险事件,此时策略控制装置就确定终端为不可信终端。策略控制装置基于与终端成功建立的HTTPS连接来正确判定该终端是信任终端,从而提高零信任架构的安全性,使得零信任架构得以真正发挥作用。
在一种可选的实现方式中,该方法还包括:当终端未通过验证时,表明终端被仿冒,策略控制装置确定终端为不可信终端,策略控制装置确定终端为不可信终端时,策略控制装置不再放行来自该终端的访问请求,从而提高零信任架构的安全性。
在一种可选的实现方式中,验证信息包含于加密套接字协议SSL证书中。
在一种可选的实现方式中,该方法还包括:策略控制装置接收被策略执行装置重定向的第二访问请求,第二访问请求来自于终端,第二访问请求中未携带策略控制装置分配的token。如果第二访问请求中未携带策略控制装置分配的token,表明第二访问请求是首次访问的请求,策略执行装置会将来自终端的访问请求重定向至策略控制装置,从而触发策略控制装置向终端发送HTTPS连接请求,以完成策略控制装置与终端建立HTTPS连接的过程,以便策略控制装置判定终端是信任终端。
第三方面,本申请实施例提供了一种确定信任终端的方法,应用于策略执行装置,该方法包括:策略执行装置接收来自终端的访问请求;当访问请求中未携带策略控制装置分配的token时,表明该访问请求是首次访问的请求,策略执行装置就会将该访问请求重定向至策略控制装置,访问请求被重定向至策略控制装置后触发策略控制装置向终端发送HTTPS连接请求,HTTPS连接请求用于触发终端向策略控制装置发送验证信息,验证信息用于策略控制装置对终端进行验证。策略执行装置通过重定向的方式触发策略控制装置向终端发送HTTPS连接请求,以完成策略控制装置与终端建立HTTPS连接的过程,以便策略控制装置判定终端是信任终端,提高零信任架构的安全性。
在一种可选的实现方式中,验证信息包含于加密套接字协议SSL证书中。
第四方面,本申请实施例提供了一种终端,该终端包括:收发模块,用于当终端访问应用服务器时,发送访问请求;收发模块,还用于接收策略控制装置发送的HTTPS连接请求,HTTPS连接请求是策略控制基于访问请求发送的;收发模块,还用于基于HTTPS连接请求向策略控制装置发送验证信息,验证信息用于策略控制装置对终端进行验证;处理模块,用于当终端通过策略控制装置的验证时,与策略控制装置建立HTTPS连接,终端与策略控制装置建立的HTTPS连接用于指示终端为信任终端。
第五方面,本申请实施例提供了一种策略控制装置,该策略控制装置包括:收发模块,用于接收来自终端的第一访问请求;收发模块,还用于根据第一访问请求向终端发送HTTPS连接请求;收发模块,还用于接收来自终端的验证信息,验证信息是终端针对HTTPS连接请求发送的;处理模块,用于根据验证信息对终端进行验证;处理模块,还用于当终端通过验证时,与终端建立HTTPS连接,策略控制装置与终端建立的HTTPS连接用于终端为信任终端。
在一种可选的实现方式中,处理模块,还用于当终端未通过验证时,确定终端为不可信终端。
在一种可选的实现方式中,收发模块,还用于接收被策略执行装置重定向的第二访问请求,第二访问请求来自于终端,第二访问请求中未携带策略控制装置分配的token。
第六方面,本申请实施例提供了一种策略执行装置,该策略执行装置包括:收发模块,用于接收来自终端的访问请求;处理模块,用于当访问请求中未携带策略控制装置分配的token时,将访问请求重定向至策略控制装置,访问请求被重定向至策略控制装置后触发策略控制装置向终端发送HTTPS连接请求,HTTPS连接请求用于触发终端向策略控制装置发送验证信息,验证信息用于策略控制装置对终端进行验证。
第七方面,本申请实施例提供了一种确定信任终端的系统,该系统包括:终端,用于当访问应用服务器时,发送第一访问请求;策略控制装置,用于接收第一访问请求,根据第一访问请求向终端发送HTTPS连接请求;终端,还用于接收HTTPS连接请求,根据HTTPS连接请求向策略控制装置发送验证信息;策略控制装置,还用于接收验证信息,根据验证信息对终端进行验证;当终端通过验证时,策略控制装置与终端建立HTTPS连接;策略控制装置与终端建立的HTTPS连接用于指示终端为信任终端。
在一种可选的实现方式中,系统还包括策略执行装置;该策略执行装置,用于接收来自终端的第二访问请求,第二访问请求中未携带策略控制装置分配的token,将第二访问请求重定向至策略控制装置;策略控制装置,还用于接收被策略执行装置重定向的第二访问请求,根据第二访问请求向终端发送HTTPS连接请求。
在一种可选的实现方式中,策略执行装置为网络转发设备,网络转发设备包括防火墙、交换机、路由器、网关和网桥;策略控制装置为计算机设备,策略执行装置和策略控制装置通信连接。策略执行装置用于为应用服务器提供反向代理,对终端隐藏应用服务器,保证应用服务器安全。策略执行装置和策略控制装置通信连接,当策略控制装置确定终端为信任终端后,策略执行装置才会作为终端的代理继续访问应用服务器,当策略控制装置确定终端为不可信终端时,策略执行装置不会继续访问应用服务器,以提高零信任架构的安全性。
在一种可选的实现方式中,策略控制装置,还用于当终端未通过验证时,确定终端为不可信终端。
第八方面,本申请实施例提供了一种电子设备,其特征在于,包括处理器,处理器与至少一个存储器耦合,处理器用于读取至少一个存储器所存储的计算机程序,使得电子设备执行上述第一方面中任一项所述的方法;或者,使得电子设备执行上述第二方面中任一项所述的方法;或者,使得电子设备执行上述第三方面中任一项所述的方法。
第九方面,本申请实施例提供了一种计算机可读介质,计算机可读存储介质用于存储计算机程序,当计算机程序在计算机上运行时,使得计算机执行上述第一方面中任一项所述的方法;或者,使得计算机执行上述第二方面中任一项所述的方法;或者,使得计算机执行上述第三方面中任一项所述的方法。
第十方面,本申请实施例提供了一种芯片,包括处理器和通信接口,处理器用于读取指令以执行上述第一方面中任一项所述的方法;或者,处理器用于读取指令以执行上述第二方面中任一项所述的方法;或者,处理器用于读取指令以执行上述第三方面中任一项所述的方法。
第十一方面,本申请实施例提供了一种计算机程序产品,该计算机程序产品被计算机执行时实现上述第一方面中任一项所述的方法;或者,该计算机程序产品被计算机执行时实现上述第二方面中任一项所述的方法;或者,该计算机程序产品被计算机执行时实现上述第三方面中任一项所述的方法。
附图说明
图1A和图1B为本申请实施例中零信任架构的两个实施例的场景示意图;
图2为本申请实施例中一种确定信任终端的方法的一种流程图;
图3为本申请实施例中一种确定信任终端的方法的另一种流程图;
图4为本申请实施例中一种终端的一种结构示意图;
图5为本申请实施例中一种终端的另一种结构示意图;
图6为本申请实施例中一种装置的一种结构示意图;
图7为本申请实施例中一种装置的另一种结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。本申请中出现的术语“和/或”,表示存在三种关系,例如,A和/或B,表示单独存在A,同时存在A和B,单独存在B这三种情况。本申请的说明书和权利要求书及附图中的术语“第一”、“第二”等是用于区别对象,而不必然用于描述特定的顺序或先后次序。应该理解这样使用的术语在适当情况下可以互换。
本申请实施例提供了一种确定信任终端的方法,该方法应用于零信任网络安全架构(也简称为“零信任架构”或“零信任系统”)。零信任架构包括终端、策略检测装置、策略执行装置和策略控制装置。其中,终端中部署有环境感知客户端。在零信任架构中,终端中部署的环境感知客户端用于实时收集终端的安全风险事件(如中木马,中病毒等)。策略检测装置用于获取终端的安全网络风险事件,并基于该安全风险事件对终端进行安全风险进行评估,得到评估结果。策略控制装置用于根据该评估结果对访问主体的访问权限进行调整。策略执行装置用于为应用服务器提供反向代理,根据策略控制装置下发的策略对来自终端的访问请求进行放行或阻断,从而动态调整访问主体对应用服务器的访问权限。
上述零信任架构的安全防护模式得以实现的基础是:终端是可以信任的,可靠的。如果终端是不可靠的,零信任架构将无法真正发挥作用。由此,本申请中提供了一种确定信任终端的方法,该方法用于正确的判断零信任架构中的终端是信任终端(或称为“可信终端”),从而提高零信任架构的安全性。
附图1A和1B是本申请实施例中零信任架构的应用场景示意图。请参阅图1A和图1B所示,零信任架构包括终端11、策略执行装置12和策略控制装置13。其中,终端11中部署有环境感知客户端。策略控制装置13和策略执行装置12均与终端通信连接。策略执行装置12与策略控制装置13通信连接,且策略执行装置12与应用服务器通信连接。本申请中的终端是支持超文本传输安全协议(hypertext transfer protocol over secure socketlayer,HTTPS)协议的终端。可选地,该终端为手机(mobile phone)、平板电脑(Pad)、电脑、个人计算机(personal computer,PC)、或物联网(internet of things,IoT)系统中的终端等。策略执行装置12是网络转发设备,或者,策略执行装置12是部署于网络转发设备中的功能模块。网络转发设备包括但不限定于防火墙、交换机、路由器、网关和网桥等。本申请实施例以策略执行装置12为防火墙进行举例说明。策略控制装置13为计算机集群设备,或者,策略控制装置13是部署于计算机集群设备中的功能模块。本申请以策略控制装置13为服务器进行举例说明。可选地,策略控制装置13单独部署。或者,如图1B所示,策略控制装置12和应用服务器集中部署于服务器集群。
进一步的,对本申请中零信任架构中所涉及装置的作用进行说明。
策略执行装置,用于根据获取的终端的访问请求,判定终端是否是首次访问应用服务器。当终端是首次访问应用服务器时,将来自终端的访问请求重定向至策略控制装置,从而触发策略控制装置向终端发送HTTPS请求。
策略控制装置,用于向环境感知客户端发送HTTPS连接请求,接收环境感知客户端反馈的验证信息,对验证信息进行验证,基于与终端的HTTPS连接判定终端是信任终端。
环境感知客户端,用于接收策略控制装置发送的HTTPS连接请求,并向策略控制装置发送验证信息。
策略执行装置,还用于为应用服务器提供反向代理,对终端隐藏应用服务器。当策略控制装置确定终端为信任终端时,策略执行装置接收策略控制装置发送的第一指示,并作为终端的代理继续访问应用服务器,然后向终端反馈数据资源。当策略控制装置确定终端为不可信终端时,策略执行装置接收策略控制装置发送的第二指示,策略执行装置根据第二指示阻断终端访问应用服务器(即策略执行装置不会继续访问应用服务器)。
本申请实施例中,在零信任架构中,当终端访问应用服务器时,终端发送访问请求。策略控制装置会基于来自终端的访问请求向终端发送HTTPS连接请求。终端基于HTTPS连接请求向策略控制装置发送验证信息。策略控制装置对该验证信息进行验证,当该验证信息通过后,终端和策略控制装置成功建立HTTPS连接,该HTTPS连接用于指示该终端为信任终端。本申请实施例中,无论是用户主动卸载了环境感知客户端,还是环境感知客户端由于终端重装系统等原因被动地被卸载了,终端都无法向策略控制装置发送验证信息。只要策略控制装置未能接收到来自终端的验证信息,终端和策略控制装置不能成功建立HTTPS连接,表明终端不再可靠,即环境感知客户端不能收集终端的危险事件,此时策略控制装置就确定终端为不可信终端。策略控制装置基于与终端成功建立的HTTPS连接来正确判定该终端是信任终端,从而提高零信任架构的安全性,使得零信任架构得以真正发挥作用。
为了更好的理解本申请,首先对本申请中涉及的词语进行说明。
用户令牌(token):是服务端生成的一个字符串,以作为客户端进行请求的一个令牌。当客户端第一次访问服务端后,服务端生成一个token,然后将此token返回给客户端,以后客户端只需带上这个token前来请求数据即可,无需再次带上用户名和密码。从而减轻服务端的压力,减少频繁去数据库查询用户名和密码的操作。本申请实施例中,策略控制装置作为服务端为终端分配token。
重定向(redirect):将网络请求重新定个方向,从而将网络请求转到其他位置。
请参阅图2所示,本申请实施例提供了一种确定信任终端的方法,包括步骤201至步骤204。
步骤201、当所述终端访问应用服务器时,终端发送第一访问请求。
终端通过浏览器基于HTTPS协议发送第一访问请求,该第一访问请求中携带应用服务器的域名(如sina.com)。
步骤202、策略控制装置接收来自终端的第一访问请求,根据第一访问请求向终端发送HTTPS连接请求。
策略控制装置根据第一访问请求中携带的源地址(即终端的IP地址)向终端中的环境感知客户端发送HTTPS连接请求。
步骤203、终端接收策略控制装置发送的HTTPS连接请求,基于HTTPS连接请求向策略控制装置发送验证信息,该验证信息用于策略控制装置对终端(环境感知客户端)进行验证。
HTTPS是将数据加密传输的协议。本实施例中的验证信息包含在环境感知客户端的加密套接字协议(secure sockets layer,SSL)证书(或者简称“证书”)中。可以理解的是,HTTPS协议中数据加密的公钥以证书的形式体现,从而保证公钥的可靠性。示例性的,环境感知客户端的SSL证书包括证书的发布机构(certificate authority,CA),证书的有效期,公钥,证书所有者和签名等。
策略控制装置获取到终端发送的验证信息后,首先读取证书中的内容,然后对证书中的内容进行校验。策略控制装置对SSL证书的验证过程进行示例性说明。首先,策略控制装置查找已经保存的受信任的证书发布机构CA,将证书发布机构CA与环境感知客户端的SSL证书中的颁发者CA进行比对,从而校验SSL证书是否为合法机构颁发。若证书发布机构CA与环境感知客户端的SSL证书中的颁发者CA一致,则策略控制装置确定SSL证书是合法机构颁发。当策略控制装置确定SSL证书是合法机构颁发后,策略控制装置就会从操作系统中取出颁发者CA的公钥,然后使用颁发者CA的公钥对终端发来的SSL证书里面的签名进行解密。若SSL证书里面的签名被解密成功,则证明终端发来的证书合法,没有被冒充。此时,策略控制装置就会读取证书中的公钥,SSL证书中的公钥就作为后续策略控制装置向终端发送信息时对信息进行加密的秘钥。
步骤204、当验证信息通过策略控制装置验证后,策略控制装置与终端建立HTTPS连接,终端与策略控制装置建立的HTTPS连接用于指示终端为信任终端。
当验证信息通过策略控制装置的验证时,策略控制装置与终端成功建立HTTPS连接。当终端与策略控制装置成功建立了HTTPS连接后,策略控制装置确定该终端为信任终端。当策略控制装置确定终端为信任终端后,策略控制装置向策略执行装置发送第一指示,第一指示用于指示该终端为信任终端。策略执行装置执行应用服务器反向代理的功能,策略执行装置根据该第一指示继续访问应用服务器,并将应用服务器反馈的数据资源发送给终端。可选地,第一指示中携带该SSL证书中的公钥,该公钥用于策略执行装置与终端之间的数据传输进行加密。
在零信任架构中,终端为信任终端是零信任架构发挥作用的基础。本实施例中,终端和策略控制装置均为支持HTTPS协议的设备,终端中部署有环境感知客户端。当终端访问应用服务器时,来自终端的访问请求会触发策略控制装置向终端(环境感知客户端)发送HTTPS连接请求,终端基于该HTTPS请求向策略控制装置发送验证信息,然后策略控制装置对该验证信息进行验证。当验证信息验证通过后,策略控制装置与终端建立HTTPS连接,既然终端和策略控制装置能成功建立HTTPS连接,那么表明终端中的环境感知客户端没有被卸载,终端发送的验证信息通过策略控制装置的验证,表明终端没有被仿冒,策略控制装置基于成功建立的HTTPS连接判定终端为信任终端。
可选地,“验证信息未通过策略控制装置验证”和“策略控制装置未接收到来自终端”的验证信息这两个条件中,当满足上述两个条件中的至少一个时,策略控制装置确定终端为不可信终端。当策略控制装置确定该终端为不可信终端时,策略控制装置会向策略执行装置发送第二指示,第二指示用于指示该终端为不可信终端。策略执行装置接收到第二指示后,不会继续访问应用服务器。可选地,策略执行装置向终端反馈提示信息,该提示信息为错误页面等。示例性的,验证信息未通过策略控制的验证的情况包括:策略控制装置确定环境感知客户端的SSL证书不是合法机构颁发,和/或,策略控制装置使用颁发者CA的公钥对终端发来的SSL证书里面的签名解密失败。
本实施例中,验证信息未通过策略控制装置验证,表明终端可能被攻击者仿冒,策略控制装置确定终端为不可信终端。策略控制装置未接收到来自终端的验证信息,表明终端中的环境感知客户端被卸载了,环境感知客户端不能基于HTTPS的连接请求向策略控制装置发送验证信息,此时环境感知客户端不能收集终端内的危险事件,策略控制装置确定终端为不可信终端。
可选地,在步骤204之后,当策略控制装置确定终端为可信终端后,策略执行装置接收策略控制装置发送的第一指示,缓存该第一指示。策略执行装置缓存第一指示的时长(如20分钟)是预先设置好的。策略执行装置接收到来自终端的第三访问请求,在预设时长(20分钟)内,如果策略执行装置没有接收到策略控制装置发送的第二指示(第二指示用于指示终端是不可信终端),策略执行装置会继续访问第三访问请求所要访问的应用服务器。在预设时长内,如果策略执行装置接收到策略控制装置发送的第二指示,策略执行装置根据第二指示拒绝访问第三访问请求所访问的应用服务器。
可选地,在步骤204之前,本申请实施例还包括如下步骤:终端基于HTTPS请求向策略控制装置发送HTTPS响应。示例性的,在步骤203中,终端向策略控制装置发送HTTPS响应,该HTTPS响应携带验证信息。可选地,在步骤203之后,在步骤204之前,还包括步骤:终端向策略控制装置发送HTTPS响应。
请参阅图3所示,本申请实施例提供了一种确定信任终端的方法的另一个实施例。本实施例与图2对应的实施例的主要区别在于,来自终端的业务流的数据首先会到达策略执行装置。由策略执行装置来检测来自终端的访问请求是否是首次访问的请求。当策略执行装置检测该访问请求是首次访问的请求时,策略执行装置会将来自终端的访问请求重定向至策略控制装置,从而触发策略控制装置向终端发送HTTPS连接请求。
步骤301、当所述终端访问应用服务器时,终端发送第二访问请求。
终端通过浏览器基于HTTPS协议发送第二访问请求,该第二访问请求中携带应用服务器的域名(如sina.com)。
步骤302、策略执行装置接收来自终端的第二访问请求,第二访问请求未携带token,策略执行装置将第二访问请求重定向至策略控制装置。
策略执行装置检测第二访问请求中是否携带策略控制装置分配的token,即策略执行装置检测该第二访问请求是否是首次访问的请求。终端首次访问应用服务器是指终端中的浏览器开启后第一次访问应用服务器。
可以理解的是,策略执行装置作为应用服务器的反向代理,来自终端的业务流的数据都会到达策略执行装置。当策略执行装置判定该第二访问请求为携带token时,策略执行装置会将该第二访问请求重定向至策略控制装置。重定向的目的是,触发策略控制装置向终端(环境感知客户端)发送HTTPS连接请求。
示例性的,第二访问请求中携带目的地址和源地址。其中,目的地址是终端待访问应用服务器的域名(如sina.com)。源地址是终端的网际互连协议(internet protocol,IP)地址。对策略执行装置将第二访问请求重定向至策略控制装置的过程进行示例性说明。
策略执行装置对第二访问请求中携带的域名进行修改以此来修改第二访问请求,在该域名中增加策略控制装置的域名,修改后的域名包括待访问应用服务器的域名和策略控制装置的域名。例如,策略执行装置将域名“sina.com”修改为“W3.com@sina.com”。其中,“W3.com”是策略控制装置的域名,“sina.com”为终端待访问引用服务器的域名。然后,策略执行装置向策略控制装置发送修改后的第二访问请求。第二访问请求被策略执行装置重定向至策略控制装置后触发策略控制装置向终端发送HTTPS连接请求。
步骤303、策略控制装置接收来自策略执行装置重定向的第二访问请求,根据第二访问请求向终端发送HTTPS连接请求。
步骤304、终端接收策略控制装置发送的HTTPS连接请求,基于HTTPS连接请求向策略控制装置发送验证信息,验证信息用于策略控制装置对终端(环境感知客户端)进行验证。
本步骤请参阅图2对应的实施例中步骤203中的说明,此处不赘述。
步骤305、当验证信息通过策略控制装置验证后,策略控制装置与终端建立HTTPS连接,终端与策略控制装置建立的HTTPS连接用于指示终端为信任终端。
本步骤请参阅图2对应的实施例中步骤204中的说明,此处不赘述。
本申请实施例中,在零信任架构中,当终端访问应用服务器时,终端发送访问请求。来自终端的访问请求会到达策略执行装置。由策略执行装置检测来自终端的访问请求是否是终端中的浏览器开启后第一次访问应用服务器而发送的访问请求。当策略执行装置检测来自终端的访问请求是首次访问的请求时,策略执行装置会将来自终端的访问请求重定向至策略控制装置,从而触发策略控制装置向终端(环境感知客户端)发送HTTPS连接请求,以便于策略控制装置和终端建立HTTPS连接,从而提高零信任架构的安全性。
在一个应用场景中,用户想访问企业内部的数据资源,用户的终端(如电脑)发送访问请求,访问请求携带应用服务器的域名(如abcd.com),终端的访问流量会到达策略执行装置,策略执行装置检测到该访问请求为终端中的浏览器开启后第一次访问应用服务器(访问请求中未携带策略控制装置颁发的token)。策略执行装置会将该访问请求重定向至策略控制装置,从而触发策略控制装置向终端(环境感知客户端)发送HTTPS连接请求。终端(环境感知客户端)接收到策略控制装置发送的HTTPS连接请求后,终端向策略控制装置发送环境感知客户端的SSL证书及HTTPS响应。策略控制装置对SSL证书中的验证信息进行验证。当SSL证书验证通过后,策略控制装置基于HTTPS响应与终端建立HTTPS连接,策略控制装置确定该终端为信任终端。策略控制装置还会给该终端分配一个token,将该token发送给终端。进一步的,策略控制装置会向策略执行装置(应用服务器的反向代理)发送第一指示,第一指示用于指示该终端为可信终端。进而,策略执行装置根据第一指示继续访问应用服务器(如域名为abcd.com),并将应用服务器反馈的数据资源发送给终端。
之后,用户还想访问另一个应用服务器,当前终端中浏览器没有退出,终端仍然与策略控制装置保持HTTPS连接。此时,终端再发送一个访问请求,该访问请求携带待访问应用服务器的域名(如1234.com)及策略控制装置为该终端分配的token,终端的访问流量(即业务流的数据)还是会到达策略执行装置,策略执行装置检测到该访问请求中携带token,会将该token发送给策略控制装置,触发策略控制装置执行鉴权流程。所述的鉴权流程为,策略控制装置将接收到的token与内部存储的token进行比较。若策略控制装置接收到的token和内部存储的token相同,则鉴权成功。策略控制装置会向策略执行装置反馈第一指示,策略执行装置根据该第一指示会访问对应的应用服务器(域名为:1234.com),并将应用服务器反馈的数据资源发送给终端。
可以理解的是,本申请实施例中,当终端与策略控制装置建立了HTTPS连接,即表明终端中部署有环境感知客户端,策略控制装置确定该终端为可信终端。如果终端中的环境感知客户端被异常卸载,那么,当策略控制装置向终端发送HTTPS连接请求时,终端则不会向策略控制装置发送验证信息及HTTPS连接响应,这时,策略控制装置会判定该终端中的环境感知客户端出现了异常(可能被异常卸载了),环境感知客户端不能再收集终端中的危险事件,这样就会导致整个零信任系统出现安全隐患,策略控制装置不再放行来自该终端的访问请求,即会通知策略执行装置不需要继续访问终端请求访问的应用服务器,以保证零信任系统的安全性。
相应于本申请实施例提供的一种确定信任终端的方法,下面对该方法应用的装置进行说明。请参阅图4所示,本申请提供了一种终端400的一个实施例,终端400包括收发模块401和处理模块402。
收发模块401,用于当所述终端访问应用服务器时,发送访问请求。
收发模块401,还用于接收策略控制装置发送的HTTPS连接请求,所述HTTPS连接请求是所述策略控制基于所述访问请求发送的。
收发模块401,还用于基于所述HTTPS连接请求向所述策略控制装置发送验证信息,所述验证信息用于所述策略控制装置对所述终端进行验证。
处理模块402,用于当所述终端通过所述策略控制装置的验证时,与所述策略控制装置建立HTTPS连接,所述终端与所述策略控制装置建立的HTTPS连接用于指示所述终端为信任终端。
可选地,收发模块401由接收模块和发送模块代替。
可选地,收发模块401为通信接口,处理模块402为逻辑电路。
可选地,通信接口是输入输出接口或者收发电路。输入输出接口包括输入接口和输出接口。收发电路包括输入接口电路和输出接口电路。
在一种实现方式中,处理模块402是一个处理装置,处理装置的功能部分或全部通过软件实现。
可选地,处理装置的功能部分或全部通过软件实现。此时,处理装置包括存储器和处理器,其中,存储器用于存储计算机程序,处理器读取并执行存储器中存储的计算机程序,以执行任意一个方法实施例中的相应处理和/或步骤。
可选地,处理装置仅包括处理器。用于存储计算机程序的存储器位于处理装置之外,处理器通过电路/电线与存储器连接,以读取并执行存储器中存储的计算机程序。
可选地,处理装置的功能部分或全部通过硬件实现。此时,处理装置包括输入接口电路,逻辑电路和输出接口电路。
进一步的,收发模块401用于执行图2对应的实施例中的步骤201和步骤203,及图3对应的实施例中的步骤301和步骤304,具体请参阅上述方法实施例中相关步骤的说明,此处不赘述。处理模块402用于执行图2对应的实施例中的步骤204,及图3对应的实施例中的步骤305,具体请参阅上述方法实施例中相关步骤的说明,此处不赘述。
请参阅图5所示,本申请实施例提供了一种终端的一个实施例。终端500包括处理器501、收发器502、存储器503、输入设备504和显示单元505。其中,处理器501、收发器502、存储器503、输入设备504和显示单元505通过总线连接。处理器501、收发器502、存储器503输入设备504和显示单元505之间通过内部连接通路互相通信,传递控制信号和/或数据信号。存储器503用于存储计算机程序。处理器501用于从存储器503中调用并运行计算机程序,以控制收发器502收发信号。可选地,终端500还包括天线。收发器502通过天线发射或接收无线信号。可选地,处理器501和存储器503合成一个处理装置,处理器501用于执行存储器503中存储的程序代码来实现上述功能。可选地,存储器503也集成在处理器501中。或者,存储器503独立于处理器501,也即位于处理器501之外。
输入设备504,用于可用于接收输入的数字或字符信息,以及产生与终端的用户设置以及功能控制有关的键信号输入。具体地,输入设备504可包括触控面板以及其他输入装置。触控面板,也称为触摸屏,可收集用户在其上或附近的触摸操作。其他输入装置包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、鼠标中的一种或多种。示例性的,本申请中,输入设备504用于接收用户输入的待访问应用服务器的域名。
显示单元505,可用于显示由用户输入的信息或提供给用户的信息。显示单元505可包括显示面板,可选的,采用液晶显示器(Liquid Crystal Display,LCD)、有机发光二极管(Organic Light-Emitting Diode,OLED)等形式来配置显示面板。示例性的,本申请中,显示单元405用于显示应用服务器反馈的数据资源。
处理器501用于读取存储器503所存储的计算机程序,使得终端500执行上述方法实施例中终端执行的步骤,具体请参阅上述方法实施例中的说明,此处不赘述。
另外,在一个可选的设计中,图4中的收发模块401执行的处理和/或操作由图5中所示的收发器502实现。具体请参见方法实施例的详细说明,这里不再赘述。图4中的处理模块402执行的处理和/或操作由图5中所示的处理器501实现。
请参阅图6所示,本申请实施例提供了一种装置600。装置600包括收发模块601和处理模块602。在一个可选的设计中,该装置600是上述方法实施例中的策略控制装置,用于执行上述方法实施例中策略控制装置的功能。装置600用于执行上述方法实施例中策略控制装置执行的相应操作和/或处理。
收发模块601,用于接收来自终端的第一访问请求。
收发模块601,还用于根据所述第一访问请求向所述终端发送HTTPS连接请求。
收发模块601,还用于接收来自所述终端的验证信息,所述验证信息是所述终端针对所述HTTPS连接请求发送的。
处理模块602,用于根据所述验证信息对所述终端进行验证。
处理模块602,还用于当所述终端通过验证时,与所述终端建立HTTPS连接,所述策略控制装置与所述终端建立的HTTPS连接用于所述终端为信任终端。
进一步的,收发模块601用于执行图2对应的实施例中的步骤202,及图3对应的实施例中的步骤303,具体请参阅上述方法实施例中相关步骤的说明,此处不赘述。处理模块602用于执行图2对应的实施例中的步骤204,及图3对应的实施例中的步骤305,具体请参阅上述方法实施例中相关步骤的说明,此处不赘述。
可选地,收发模块601由接收模块和发送模块代替。
可选地,收发模块601为通信接口,处理模块602为逻辑电路。
可选地,通信接口是输入输出接口或者收发电路。输入输出接口包括输入接口和输出接口。收发电路包括输入接口电路和输出接口电路。
在一种实现方式中,处理模块602是一个处理装置,处理装置的功能部分或全部通过软件实现。
可选地,处理装置的功能部分或全部通过软件实现。此时,处理装置包括存储器和处理器,其中,存储器用于存储计算机程序,处理器读取并执行存储器中存储的计算机程序,以执行任意一个方法实施例中的相应处理和/或步骤。
可选地,处理装置仅包括处理器。用于存储计算机程序的存储器位于处理装置之外,处理器通过电路/电线与存储器连接,以读取并执行存储器中存储的计算机程序。
可选地,处理装置的功能部分或全部通过硬件实现。此时,处理装置包括输入接口电路,逻辑电路和输出接口电路。
在一个可选的设计中,请参阅图6所示,装置600是上述方法实施例中的策略执行装置,装置600用于执行上述方法实施例中策略执行装置执行的相应操作和/或处理。
收发模块601,用于接收来自终端的访问请求。
处理模块602,用于当所述访问请求中未携带策略控制装置分配的token时,将所述访问请求重定向至所述策略控制装置,所述访问请求被重定向至所述策略控制装置后触发所述策略控制装置向所述终端发送HTTPS连接请求,所述HTTPS连接请求用于触发所述终端向所述策略控制装置发送验证信息,所述验证信息用于所述策略控制装置对所述终端进行验证。
进一步的,收发模块601用于执行图3对应的实施例中,步骤302中的“接收来自终端的第二访问请求”步骤。处理模块602用于执行图3对应的实施例中,步骤302中的“将第二访问请求重定向至策略控制装置”步骤。具体请参阅上述方法实施例中相关步骤的说明,此处不赘述。
请参阅图7所示,本申请提供了一种装置700,装置700是上述方法实施例中的策略控制装置。或者,装置700是上述方法实施例中的策略执行装置。或者,装置700是上述方法实施例中的策略检测装置。本实施例中该装置以服务器为例进行说明。装置700包括一个或一个以上中央处理器(central processing units,CPU)722(例如,一个或一个以上处理器)和存储器732,一个或一个以上存储应用程序742或数据744的存储介质730(例如一个或一个以上海量存储设备)。其中,可选地,存储器732和存储介质730是短暂存储或持久存储。存储在存储介质730的程序包括一个或一个以上模块(图示没标出),每个模块包括对装置中的一系列指令操作。更进一步地,中央处理器722设置为与存储介质730通信,在装置700上执行存储介质730中的一系列指令操作。
可选地,装置700还包括一个或一个以上电源726,一个或一个以上有线或无线网络接口750,一个或一个以上输入输出接口758,和/或,一个或一个以上操作系统741。
在一个可能的设计中,装置700是上述方法实施例中的策略控制装置。当装置700用于执行上述方法实施例中策略控制装置的功能时,处理器用于读取所述至少一个存储器所存储的计算机程序,使得装置执行上述方法实施例中策略控制装置执行的步骤。
在一个可能的设计中,装置700是上述方法实施例中的策略执行装置。当装置700用于执行上述方法实施例中策略执行装置的功能时,处理器用于读取所述至少一个存储器所存储的计算机程序,使得装置执行上述方法实施例中策略执行装置执行的步骤。
另外,在一个可选的设计中,图6中的收发模块601的功能由图7中的网络接口750执行。图6中的处理模块602的功能由图7中的中央处理器722执行。
请参阅图1A和图1B所示,本申请实施例还提供了一种确定信任终端的系统,该系统为零信任架构的通信系统,系统包括终端和策略控制装置,可选地,系统还包括策略执行装置。其中,终端用于执行上述方法实施例中终端执行的步骤,策略控制装置用于执行上述方法实施例中策略控制装置执行的步骤,策略执行装置用于执行上述方法实施例中策略执行装置执行的步骤,各装置的功能请参阅上述方法实施例的说明,此处不赘述。
本申请实施例提供了一种计算机可读介质,计算机可读存储介质用于存储计算机程序,当计算机程序在计算机上运行时,使得计算机执行上述方法实施例中终端所执行的方法。或者,当计算机程序在计算机上运行时,使得计算机执行上述方法实施例中策略控制装置所执行的方法。或者,当计算机程序在计算机上运行时,使得计算机执行上述方法实施例中策略执行装置所执行的方法。
本申请实施例提供了一种芯片,芯片包括处理器和通信接口,通信接口例如是输入/输出接口、管脚或电路等。处理器用于读取指令以执行上述方法实施例中终端所执行的方法。或者,处理器用于读取指令以执行上述方法实施例中策略控制装置所执行的方法。或者,处理器用于读取指令以执行上述方法实施例中策略执行装置所执行的方法。
本申请实施例提供了一种计算机程序产品,该计算机程序产品被计算机执行时实现上述方法实施例中终端所执行的方法。或者,该计算机程序产品被计算机执行时实现上述方法实施例中策略控制装置所执行的方法。或者,该计算机程序产品被计算机执行时实现上述方法实施例中策略执行装置所执行的方法。
其中,可选地,上述任一处提到的处理器,是一个通用中央处理器(CPU),微处理器,特定应用集成电路(application-specific integrated circuit,ASIC),或一个或多个用于控制上述第一方面无线通信方法的程序执行的集成电路。
所属领域的技术人员能够清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,请参考前述方法实施例中的对应过程,在此不再赘述。
以上所述,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然能对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
Claims (19)
1.一种确定信任终端的方法,其特征在于,应用于终端,所述方法包括:
当所述终端访问应用服务器时,发送访问请求;
接收策略控制装置发送的HTTPS连接请求,所述HTTPS连接请求是所述策略控制基于所述访问请求发送的;
基于所述HTTPS连接请求向所述策略控制装置发送验证信息,所述验证信息用于所述策略控制装置对所述终端进行验证;
当所述终端通过所述策略控制装置的验证时,与所述策略控制装置建立HTTPS连接,所述终端与所述策略控制装置建立的HTTPS连接用于指示所述终端为信任终端。
2.根据权利要求1所述的方法,其特征在于,所述验证信息包含于加密套接字协议SSL证书中。
3.一种确定信任终端的方法,其特征在于,应用于策略控制装置,所述方法包括:
接收来自终端的第一访问请求;
根据所述第一访问请求向所述终端发送HTTPS连接请求;
接收来自所述终端的验证信息,所述验证信息是所述终端针对所述HTTPS连接请求发送的;
根据所述验证信息对所述终端进行验证;
当所述终端通过验证时,与所述终端建立HTTPS连接,所述终端与所述策略控制装置建立的HTTPS连接用于指示所述终端为信任终端。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
当所述终端未通过验证时,确定所述终端为不可信终端。
5.根据权利要求3或4所述的方法,其特征在于,所述验证信息包含于加密套接字协议SSL证书中。
6.根据权利要求3-5中任一项所述的方法,其特征在于,所述方法还包括:
接收被策略执行装置重定向的第二访问请求,所述第二访问请求来自于所述终端,所述第二访问请求中未携带所述策略控制装置分配的token。
7.一种确定信任终端的方法,其特征在于,应用于策略执行装置,所述方法还包括:
接收来自终端的访问请求;
当所述访问请求中未携带策略控制装置分配的token时,将所述访问请求重定向至所述策略控制装置,所述访问请求被重定向至所述策略控制装置后触发所述策略控制装置向所述终端发送HTTPS连接请求,所述HTTPS连接请求用于触发所述终端向所述策略控制装置发送验证信息,所述验证信息用于所述策略控制装置对所述终端进行验证。
8.根据权利要求7所述的方法,其特征在于,所述验证信息包含于加密套接字协议SSL证书中。
9.一种终端,其特征在于,包括:
收发模块,用于当所述终端访问应用服务器时,发送访问请求;
所述收发模块,用于接收策略控制装置发送的HTTPS连接请求,所述HTTPS连接请求是所述策略控制基于所述访问请求发送的;
所述收发模块,用于基于所述HTTPS连接请求向所述策略控制装置发送验证信息,所述验证信息用于所述策略控制装置对所述终端进行验证;
处理模块,用于当所述终端通过所述策略控制装置的验证时,与所述策略控制装置建立HTTPS连接,所述终端与所述策略控制装置建立的HTTPS连接用于指示所述终端为信任终端。
10.一种策略控制装置,其特征在于,包括:
收发模块,用于接收来自终端的第一访问请求;
所述收发模块,用于根据所述第一访问请求向所述终端发送HTTPS连接请求;
所述收发模块,用于接收来自所述终端的验证信息,所述验证信息是所述终端针对所述HTTPS连接请求发送的;
处理模块,用于根据所述验证信息对所述终端进行验证;
所述处理模块,还用于当所述终端通过验证时,与所述终端建立HTTPS连接,所述策略控制装置与所述终端建立的HTTPS连接用于所述终端为信任终端。
11.一种策略执行装置,其特征在于,包括:
收发模块,用于接收来自终端的访问请求;
处理模块,用于当所述访问请求中未携带策略控制装置分配的token时,将所述访问请求重定向至所述策略控制装置,所述访问请求被重定向至所述策略控制装置后触发所述策略控制装置向所述终端发送HTTPS连接请求,所述HTTPS连接请求用于触发所述终端向所述策略控制装置发送验证信息,所述验证信息用于所述策略控制装置对所述终端进行验证。
12.一种确定信任终端的系统,其特征在于,包括:
终端,用于当访问应用服务器时,发送第一访问请求;
策略控制装置,用于接收所述第一访问请求,根据所述第一访问请求向所述终端发送HTTPS连接请求;
所述终端,还用于接收所述HTTPS连接请求,根据所述HTTPS连接请求向所述策略控制装置发送验证信息;
所述策略控制装置,还用于接收所述验证信息,根据所述验证信息对所述终端进行验证;当所述终端通过验证时,与所述终端建立HTTPS连接;所述策略控制装置与所述终端建立的HTTPS连接用于指示所述终端为信任终端。
13.根据权利要求12所述的系统,其特征在于,所述系统还包括策略执行装置;
所述策略执行装置,用于接收来自终端的第二访问请求,所述第二访问请求中未携带所述策略控制装置分配的token,将所述第二访问请求重定向至所述策略控制装置;
所述策略控制装置,还用于接收被所述策略执行装置重定向的第二访问请求,根据所述第二访问请求向所述终端发送HTTPS连接请求。
14.根据权利要求12或13所述的系统,其特征在于,所述策略执行装置为网络转发设备,所述网络转发设备包括防火墙、交换机、路由器、网关和网桥;
所述策略控制装置为计算机设备,所述策略执行装置和所述策略控制装置通信连接。
15.根据权利要求12-14中任一项所述的系统,其特征在于,
所述策略控制装置,还用于当所述终端未通过验证时,确定所述终端为不可信终端。
16.一种电子设备,其特征在于,包括处理器,所述处理器与至少一个存储器耦合,所述处理器用于读取所述至少一个存储器所存储的计算机程序,使得所述电子设备执行如权利要求1或2所述的方法;或者,使得所述电子设备执行如权利要求3至6中任一项所述的方法;或者,使得所述电子设备执行如权利要求7或8所述的方法。
17.一种计算机可读介质,其特征在于,所述计算机可读存储介质用于存储计算机程序,当所述计算机程序在计算机上运行时,使得所述计算机执行如权利要求1或2所述的方法;或者,使得所述计算机执行如权利要求3至6中任一项所述的方法;或者,使得所述计算机执行如权利要求7或8所述的方法。
18.一种芯片,其特征在于,包括处理器和通信接口,所述处理器用于读取指令以执行如权利要求1或2所述的方法;或者,所述处理器用于读取指令以执行如权利要求3至6中任一项所述的方法;或者,所述处理器用于读取指令以执行如权利要求7或8所述的方法。
19.一种计算机程序产品,其特征在于,该计算机程序产品被计算机执行时实现如权利要求1或2所述的方法;或者,该计算机程序产品被计算机执行时实现如权利要求3至6中任一项所述的方法;或者,该计算机程序产品被计算机执行时实现如权利要求7或8所述的方法。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110038960.7A CN114765554A (zh) | 2021-01-12 | 2021-01-12 | 一种确定信任终端的方法及相关装置 |
| PCT/CN2021/114179 WO2022151736A1 (zh) | 2021-01-12 | 2021-08-24 | 一种确定信任终端的方法及相关装置 |
| EP21918928.9A EP4262145A1 (en) | 2021-01-12 | 2021-08-24 | Method for determining trusted terminal and related device |
| US18/350,011 US20230362202A1 (en) | 2021-01-12 | 2023-07-11 | Method for determining trusted terminal and related apparatus |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110038960.7A CN114765554A (zh) | 2021-01-12 | 2021-01-12 | 一种确定信任终端的方法及相关装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114765554A true CN114765554A (zh) | 2022-07-19 |
Family
ID=82364205
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110038960.7A Pending CN114765554A (zh) | 2021-01-12 | 2021-01-12 | 一种确定信任终端的方法及相关装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20230362202A1 (zh) |
| EP (1) | EP4262145A1 (zh) |
| CN (1) | CN114765554A (zh) |
| WO (1) | WO2022151736A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20230120522A1 (en) * | 2021-10-18 | 2023-04-20 | Sophos Limited | Software rollback of cluster of network devices |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107800675B (zh) * | 2016-09-07 | 2020-04-07 | 深圳市腾讯计算机系统有限公司 | 一种数据传输方法、终端以及服务器 |
| CN107888546B (zh) * | 2016-09-29 | 2021-10-01 | 腾讯科技(深圳)有限公司 | 网络攻击防御方法、装置以及系统 |
| US11922517B2 (en) * | 2016-11-04 | 2024-03-05 | Kamal Kant JAIN | System and method for allocation, management and peer review based transfer of electronic tokens |
| CN107438074A (zh) * | 2017-08-08 | 2017-12-05 | 北京神州绿盟信息安全科技股份有限公司 | 一种DDoS攻击的防护方法及装置 |
| CN107911398B (zh) * | 2018-01-04 | 2020-12-15 | 世纪龙信息网络有限责任公司 | 身份信息的认证方法、装置以及系统 |
-
2021
- 2021-01-12 CN CN202110038960.7A patent/CN114765554A/zh active Pending
- 2021-08-24 WO PCT/CN2021/114179 patent/WO2022151736A1/zh unknown
- 2021-08-24 EP EP21918928.9A patent/EP4262145A1/en active Pending
-
2023
- 2023-07-11 US US18/350,011 patent/US20230362202A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| EP4262145A1 (en) | 2023-10-18 |
| US20230362202A1 (en) | 2023-11-09 |
| WO2022151736A1 (zh) | 2022-07-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10706427B2 (en) | Authenticating and enforcing compliance of devices using external services | |
| US8769128B2 (en) | Method for extranet security | |
| Georgiev et al. | The most dangerous code in the world: validating SSL certificates in non-browser software | |
| US7313618B2 (en) | Network architecture using firewalls | |
| CN102047262B (zh) | 用于分布式安全内容管理系统的认证 | |
| US7627896B2 (en) | Security system providing methodology for cooperative enforcement of security policies during SSL sessions | |
| US9112897B2 (en) | System and method for securing a network session | |
| EP2425370B1 (en) | Method and apparatus to create a secure web browsing environment with privilege signing | |
| US7886339B2 (en) | Radius security origin check | |
| US8776238B2 (en) | Verifying certificate use | |
| US8707387B2 (en) | Secure network computing | |
| US10911485B2 (en) | Providing cross site request forgery protection at an edge server | |
| US20150235042A1 (en) | Systems and methods for authenticating an application | |
| CN114598489B (zh) | 一种确定信任终端的方法及相关装置 | |
| CN110198297B (zh) | 流量数据监控方法、装置、电子设备及计算机可读介质 | |
| WO2022105096A1 (zh) | 一种确定信任终端的方法及相关装置 | |
| US10834074B2 (en) | Phishing attack prevention for OAuth applications | |
| US20230362202A1 (en) | Method for determining trusted terminal and related apparatus | |
| CN114978544A (zh) | 一种访问认证方法、装置、系统、电子设备及介质 | |
| CN115623013A (zh) | 一种策略信息同步方法、系统及相关产品 | |
| CN112769731A (zh) | 一种进程控制方法、装置、服务器及存储介质 | |
| JP5359292B2 (ja) | アクセス制御システム、アクセス制御装置、アクセス制御方法及びプログラム | |
| KR20220168860A (ko) | 컨텐츠 제공자의 보안등급을 인증하는 시스템 및 그 방법 | |
| WO2009006003A1 (en) | System and method for securing a network session |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |