CN117240910A - 零信任校验系统以及方法 - Google Patents

Abstract

本发明属于终端校验领域，公开了一种零信任校验系统以及方法。包括用户终端、网关平台以及认证服务器，用户终端上安装有探针服务；探针服务根据用户终端的硬件信息生成硬件特征码，采集用户终端的环境信息，并根据环境信息生成心跳保持报文，将硬件特征码和心跳保持报文发送至认证服务器；认证服务器基于硬件特征码对用户终端进行终端注册；网关平台基于数据请求生成零信任校验请求，认证服务器根据零信任校验请求、终端注册信息、心跳保持报文以及预设风险评估策略进行零信任校验，得到终端校验结果，网关平台根据终端校验结果处理数据请求。本发明使用探针服务替代开发复杂度高的客户端，可快速接入零信任校验能力，降低开发和部署成本。

Description

零信任校验系统以及方法

技术领域

本发明涉及终端校验领域，尤其涉及零信任校验系统以及方法。

背景技术

零信任即不信任任何用户、设备、网络访问和应用程序，基于自适应的风险评估识别潜在访问威胁，通过多因素身份认证和授权构建访问控制的信任基础，从而确保用户身份可信、终端设备可信、应用可信和通信链路可信。

目前市面上主流的零信任系统解决方案通常由身份识别与访问管理（IAM）、微隔离（MSG）、软件定义边界（SDP）等技术实现。其中，身份识别与访问管理提供统一的身份管理、身份认证、行为审计和风险前端识别等能力，对用户设备的身份唯一性进行可信校验；微隔离对所有流量进行访问控制，识别和监控虚拟机、物理机、容器等多端流量，对所有接入业务的流量都进行访问控制；软件定义边界提供对零信任身份边界的灵活动态控制，在访问主体上运行SDP客户端软件进行身份验证、转发请求等，通过SDP控制器和SDP网关进行动态身份验证和访问控制，可对办公应用的请求访问做信任度评估，并授予最小化的访问权限。但是上述解决方案存在以下缺陷：从零搭建零信任系统成本高，包括外购调试安全设备和软件、开发和维护架构组件等成本。其中零信任客户端通常需要为不同操作系统开发对应的客户端软件或浏览器，对技术要求高，需要投入大量人力和财力成本、缺少持续性的设备风险评估能力，无法应对持续变化的设备环境等。因此，如何提高零信任校验效率成为了亟待解决的技术问题。

发明内容

本发明的主要目的在于提供一种零信任校验系统以及方法，旨在解决现有技术中零信任校验成本较高、无法应对持续变化的终端环境的技术问题。

为实现上述目的，本发明提供一种零信任校验系统，所述零信任校验系统包括用户终端、网关平台以及认证服务器，所述用户终端上安装有探针服务；

所述探针服务，用于根据所述用户终端的硬件信息生成硬件特征码，并将所述硬件特征码发送至所述认证服务器；

所述探针服务，还用于采集所述用户终端的环境信息，并根据所述环境信息生成心跳保持报文，将所述心跳保持报文发送至所述认证服务器；

所述认证服务器，用于基于所述硬件特征码对所述用户终端进行终端注册，生成终端注册信息；

所述网关平台，用于接收用户通过所述用户终端触发的数据请求，基于所述数据请求生成零信任校验请求，并将所述零信任校验请求转发至所述认证服务器；

所述认证服务器，用于根据所述零信任校验请求、所述终端注册信息、所述心跳保持报文以及预设风险评估策略进行零信任校验，得到终端校验结果，并将所述终端校验结果转发至所述网关平台；

所述网关平台，还用于在所述终端校验结果为校验通过后，将所述数据请求转发至所述数据请求对应的目标服务。

可选地，所述认证服务器，还用于接收所述用户终端发起的终端绑定请求，根据所述终端绑定请求进行终端绑定，生成终端绑定信息；

所述认证服务器，用于根据所述零信任校验请求、所述终端注册信息、所述终端绑定信息、所述心跳保持报文以及预设风险评估策略进行零信任校验，得到终端校验结果。

可选地，所述预设风险评估策略中包括预设校验名单和环境风险信息；

所述认证服务器，还用于根据所述预设校验名单对待校验终端进行零信任校验；

所述认证服务器，还用于根据所述零信任校验请求确定待校验终端的硬件特征码，根据所述硬件特征码和所述终端注册信息判断所述待校验终端是否注册；

所述认证服务器，还用于在所述待校验终端已注册时，根据所述硬件特征码和所述终端绑定信息判断所述待校验终端是否完成绑定；

所述认证服务器，还用于在所述待校验终端已完成绑定时，根据所述心跳保持报文和所述环境风险信息对所述待校验终端进行环境校验，得到终端校验结果。

可选地，所述认证服务器，还用于获取用户的终端绑定数量；

所述认证服务器，还用于在所述终端绑定数量大于预设终端绑定数量阈值时，限制所述用户与所述用户终端的绑定。

可选地，所述探针服务，还用于发送ICMP报文至所述认证服务器域名，并接收响应结果；

所述探针服务，还用于在所述响应结果不满足预设响应条件时，按照预设检测周期发送ICMP报文至所述认证服务器域名进行持续检测；

所述探针服务，还用于在所述响应结果满足所述预设响应条件时，进行终端注册或向所述认证服务器发送心跳保持报文。

可选地，所述网关平台，还用于缓存所述终端校验结果；

所述网关平台，还用于根据接收到的数据请求确定待校验终端的硬件特征码；

所述网关平台，还用于基于所述硬件特征码查询缓存的终端校验结果，确定所述待校验终端的目标校验结果。

可选地，所述网关平台，还用于为缓存的所述终端校验结果设置随机过期时间；

所述网关平台，还用于启动预设计时器，在计时时长到达时，查询各终端校验结果的剩余有效时间；

所述网关平台，还用于确定所述剩余有效时间小于心跳报文保持时间的目标终端，基于所述目标终端生成零信任校验请求，并将所述零信任校验请求转发至所述认证服务器。

可选地，所述网关平台，还用于根据所述数据请求判断所述用户是否登录；

所述网关平台，还用于在用户登录时，基于所述数据请求生成零信任校验请求，并将所述零信任校验请求转发至所述认证服务器；

所述网关平台，还用于在用户未登录时，向所述用户终端发送登录认证提示信息。

可选地，所述网关平台，还用于在所述终端校验结果为校验失败时，根据所述终端校验结果确定梯度处置动作；

所述网关平台，还用于基于所述梯度处置动作响应所述数据请求。

进一步地，为实现上述目的，本发明还提供一种零信任校验方法，所述零信任校验方法应用于认证服务器，所述零信任校验方法包括以下步骤：

接收探针服务发送的硬件特征码和心跳保持报文；

基于所述硬件特征码对用户终端进行终端注册，生成终端注册信息；

接收网关平台发送的零信任校验请求；

根据所述零信任校验请求、所述终端注册信息、所述心跳保持报文以及预设风险评估策略进行零信任校验，得到终端校验结果。

本发明零信任校验系统包括用户终端、网关平台以及认证服务器，用户终端上安装有探针服务；探针服务根据用户终端的硬件信息生成硬件特征码，采集用户终端的环境信息，并根据环境信息生成心跳保持报文，将硬件特征码和心跳保持报文发送至认证服务器；认证服务器基于硬件特征码对用户终端进行终端注册；网关平台接收用户的数据请求，基于数据请求生成零信任校验请求，将零信任校验请求转发至认证服务器；认证服务器根据零信任校验请求、终端注册信息、心跳保持报文以及预设风险评估策略进行零信任校验，得到终端校验结果，网关平台在终端校验结果为校验通过后，将数据请求转发至数据请求对应的目标服务。本发明使用探针服务替代开发复杂度高的客户端，只需要进行少量改造和适配，即可快速接入零信任校验能力，开发和部署成本得到有效控制，支持低成本快速接入零信任校验能力，并具备可扩展性、访问控制策略动态调整、用户体验低侵入性等特点。

附图说明

图1为本发明零信任校验系统第一实施例的结构框图；

图2为本发明零信任校验系统第二实施例的结构框图；

图3为本发明零信任校验方法第一实施例的流程示意图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

参照图1，图1为本发明零信任校验系统第一实施例的结构框图。所述零信任校验系统包括用户终端100、网关平台200以及认证服务器300，所述用户终端上安装有探针服务101；

所述探针服务101，用于根据所述用户终端的硬件信息生成硬件特征码，并将所述硬件特征码发送至所述认证服务器300；

所述探针服务101，还用于采集所述用户终端的环境信息，并根据所述环境信息生成心跳保持报文，将所述心跳保持报文发送至所述认证服务器300；

所述认证服务器300，用于基于所述硬件特征码对所述用户终端进行终端注册，生成终端注册信息；

所述网关平台200，用于接收用户通过所述用户终端触发的数据请求，基于所述数据请求生成零信任校验请求，并将所述零信任校验请求转发至所述认证服务器300；

所述认证服务器300，用于根据所述零信任校验请求、所述终端注册信息、所述心跳保持报文以及预设风险评估策略进行零信任校验，得到终端校验结果，并将所述终端校验结果转发至所述网关平台；

所述网关平台200，还用于在所述终端校验结果为校验通过后，将所述数据请求转发至所述数据请求对应的目标服务400。

需要说明的是，所述探针服务101支持在用户终端100上快速部署，并于后台静默运行，不需要用户手动唤醒。所述探针服务可自动采集用户终端的硬件信息，将所述硬件信息组合加密得到硬件特征码作为所述用户终端的唯一标识符，所述探针服务101将所述硬件特征码发送到统一认证平台（即所述认证服务器）进行可信设备注册（即所述认证服务器300基于所述硬件特征码对所述用户终端进行终端注册）并维持心跳；维持心跳的具体步骤包括：探针服务同频率（即与发送心跳报文的频率一致）采集用户终端的环境信息，所述环境信息包括系统已安装补丁、本地IP列表、MAC地址列表、高危端口、共享可写目录、已安装软件、运行进程、探针版本、操作系统版本、系统高危端口、接入网络区域、已安装软件、运行进程等信息，同心跳报文发送到所述统一认证平台，即将采集到的环境信息封装至心跳报文中，得到心跳保持报文，将所述心跳保持报文发送至认证服务器进行心跳维持和终端注册有效维持。其中，所述硬件信息包括主板序列号、主硬盘序列号等。

需要说明的是，所述数据请求可以是用户通过所述用户终端访问目标服务的请求。所述基于所述数据请求生成零信任校验请求可以是所述网关平台在接收到需要进行转发的数据请求时，提取所述数据请求中的硬件特征码、请求时间等用于终端校验的参数信息，根据提取出的信息生成零信任校验请求，以使认证服务器300基于所述零信任校验请求对所述用户终端是否合法进行零信任校验。所述认证服务器300的校验过程可以是：根据所述零信任校验请求确定所述数据请求对应的用户终端的硬件特征码，根据所述终端注册信息判断所述用户终端是否注册，在所述用户终端注册时，将所述心跳保持报文中所述用户终端的环境信息与预设风险评估策略进行对比，得到终端校验结果。所述预设风险评估策略可以包括用户配置的个人校验灰名单、网段校验白名单、各个环境对应的风险等信息。

在具体实施中，用户根据风险控制需求制定预设风险评估策略，风险控制需求可覆盖新披露的安全漏洞、新出台的风控政策等，如新近暴露安全漏洞的风险软件某版本，该漏洞可能导致公司内部数据泄露，用户即可快速响应，通过预设风险评估策略的配置增加该软件版本的黑名单项和对应的处置动作，预设风险评估策略配置完成后，在零信任校验过程中解析探针随心跳报文发送的终端环境信息，对探针所在终端的已安装软件进行检测，如果检测到存在漏洞的软件版本及以下的版本，则触发对应的处置动作。其中，用户在配置预设风险评估策略时，可对应配置违反各个策略时触发的梯度处置动作，例如，当前支持的处置动作按处罚的严重程度依次划分为IM提醒、页面重定向、阻止单次访问、阻止访问单个或多个业务系统（即阻止该用户终端或登录该用户终端的用户访问单个或多个目标服务）、注销登录和禁用账号等多个梯度，不同处置动作可通过处置动作编号进行区分。在配置预设风险评估策略的同时，可指定违反预设风险评估策略中各个规则时触发的梯度处置动作编号，根据编号由统一认证平台结合网关平台执行对应的处置动作。

本实施例零信任校验系统包括用户终端、网关平台以及认证服务器，用户终端上安装有探针服务；探针服务根据用户终端的硬件信息生成硬件特征码，采集用户终端的环境信息，并根据环境信息生成心跳保持报文，将硬件特征码和心跳保持报文发送至认证服务器；认证服务器基于硬件特征码对用户终端进行终端注册；网关平台接收用户的数据请求，基于数据请求生成零信任校验请求，将零信任校验请求转发至认证服务器；认证服务器根据零信任校验请求、终端注册信息、心跳保持报文以及预设风险评估策略进行零信任校验，得到终端校验结果，网关平台在终端校验结果为校验通过后，将数据请求转发至数据请求对应的目标服务。本实施例使用探针服务替代开发复杂度高的客户端，只需要进行少量改造和适配，即可快速接入零信任校验能力，开发和部署成本得到有效控制，支持低成本快速接入零信任校验能力，并具备可扩展性、访问控制策略动态调整、用户体验低侵入性等特点。

参照图2，图2为本发明零信任校验系统第二实施例的结构框图。所述认证服务器，还用于接收所述用户终端发起的终端绑定请求，根据所述终端绑定请求进行终端绑定，生成终端绑定信息；

所述认证服务器，用于根据所述零信任校验请求、所述终端注册信息、所述终端绑定信息、所述心跳保持报文以及预设风险评估策略进行零信任校验，得到终端校验结果。

所述预设风险评估策略中包括预设校验名单和环境风险信息；

所述认证服务器，还用于根据所述预设校验名单对待校验终端进行零信任校验；

所述认证服务器，还用于根据所述零信任校验请求确定待校验终端的硬件特征码，根据所述硬件特征码和所述终端注册信息判断所述待校验终端是否注册；

所述认证服务器，还用于在所述待校验终端已注册时，根据所述硬件特征码和所述终端绑定信息判断所述待校验终端是否完成绑定；

所述认证服务器，还用于在所述待校验终端已完成绑定时，根据所述心跳保持报文和所述环境风险信息对所述待校验终端进行环境校验，得到终端校验结果。

所述认证服务器，还用于获取用户的终端绑定数量；

所述认证服务器，还用于在所述终端绑定数量大于预设终端绑定数量阈值时，限制所述用户与所述用户终端的绑定。

需要说明的是，参照图2，图2中的访问主体即上述用户终端，所述业务系统即目标服务，所述统一认证系统即所述认证服务器。所述访问主体中包括探针服务，探针服务中包含硬件特征码的生成、心跳信息的定时发送以及环境信息采集。探针服务将用户终端的硬件特征码发送至认证服务器，认证服务器基于硬件特征码对所述用户终端进行设备注册。

需要说明的是，所述终端绑定请求可以是用户通过用户终端发起的用户终端与用户进行绑定的请求，认证服务器根据所述终端绑定请求进行终端绑定可以是根据终端绑定请求中的用户ID、硬件特征码对入网设备进行一对一绑定，并支持对单个用户的绑定设备数量进行限制。所述认证服务器根据所述零信任校验请求、所述终端注册信息、所述终端绑定信息、所述心跳保持报文以及预设风险评估策略进行零信任校验，得到终端校验结果可以是在上一实施例中零信任校验的基础上，在终端注册信息校验通过后，校验所述数据请求对应的登录用户与所述用户终端对应的终端绑定信息中绑定的用户是否一致，若不一致，则终端绑定校验失败。得到的终端校验结果中包括终端绑定校验失败。

需要说明的是，所述预设校验名单可以包括用户设置的个人校验灰名单和网段校验白名单。对于个人校验灰名单，如果用户不在名单内，则不会触发后续的零信任校验。对于网段校验白名单，如果待校验终端处于所述网段校验白名单内，则不会触发后续的零信任校验。所述环境风险信息可以包括用户根据风险防控需求确定的存在风险的环境信息以及对应的处置动作。

在具体实施中，可以给各个用户预先设置不同的预设终端绑定数量阈值，限制各个用户可绑定的用户终端的数量，在用户实际绑定的终端绑定数量大于预设终端绑定数量阈值时，限制所述用户与所述用户终端的绑定。

在具体实施中，图2中网关平台中的网络代理用于代理各个用户终端发送到目标服务的数据请求，并在接收到数据请求后，生成零信任校验请求转发至所述认证服务器，认证服务器中的设备注册模块用于完成终端的注册，设备绑定和设备校验模块用于完成用户终端和用户的一对一或多对1的终端绑定和校验用户终端是否完成终端绑定；

环境信息评估和用户信息检测模块用于根据所述心跳保持报文中用户终端的环境信息和所述环境风险信息对所述待校验终端进行环境校验，得到终端校验结果。用户信息检测包括：在用户登录时，提取登录时间与异常登录时间段（用户通过零信任策略配置模块配置的异常登录时间范围）比对，命中异常登录时段间则发送IM提醒；解析登录地点，与上一次登录地点比对，地点不一致则发送IM提醒。零信任策略配置模块用于接收用户配置的预设风险评估策略、异常登录时间段、个人校验灰名单和网段校验白名单等用户配置信息。所述认证服务器还用于接收并解析探针服务发送的心跳保持报文，如果用户终端未注册，则根据解析得到的硬件特征码和IP地址进行终端注册，并根据心跳保持报文定时更新注册信息，保持终端注册信息有效性。

所述网关平台，统一接收用户访问办公应用流量（即用户访问目标服务的流量），提供网络代理和可信请求校验。所述网络代理，基于所述网关平台提供统一的对外访问入口，隐藏内网服务器地址和端口。所述网关平台支持配置网络隔离黑白名单，对访问特定目标地址的请求进行过滤，并限制对特定目标URI资源的访问。所述可信请求校验，所述网关平台接收到用户的数据请求，向所述认证服务器申请零信任校验，校验通过则转发到对应的可信应用（即目标服务），校验失败则拒绝请求。

进一步的，探针服务与认证服务器的通信易受网络连接状态影响，为提高终端注册和发送心跳报文的可用性，所述探针服务，还用于发送ICMP报文至所述认证服务器域名，并接收响应结果；

所述探针服务，还用于在所述响应结果不满足预设响应条件时，按照预设检测周期发送ICMP报文至所述认证服务器域名进行持续检测；

所述探针服务，还用于在所述响应结果满足所述预设响应条件时，进行终端注册或向所述认证服务器发送心跳保持报文。

需要说明的是，所述发送ICMP报文至所述认证服务器域名，并接收响应结果可以是通过所述ICMP报文检测探针服务与认证服务器的网络通信。所述在所述响应结果不满足预设响应条件时，按照预设检测周期发送ICMP报文至所述认证服务器域名进行持续检测可以是在所述响应结果异常时，即探针服务与认证服务器之间的网络连接异常时，按照预设检测周期发送ICMP报文至所述认证服务器域名进行持续的网络检测，直至响应结果满足所述预设响应条件，即探针服务与认证服务器之间的网络连通。所述预设检测周期可以是预先设置的短间隔周期。其中，探针服务在安装脚本中添加有sc系统命令，将服务配置为自启动，启动时自动开始终端注册动作，解决探针服务宕机重启、服务冷启动、切换网络等场景导致的终端注册动作滞后、终端注册信息过期等问题。

进一步的，网关平台拦截所有服务的数据访问请求进行可信校验，可信校验服务的并发量与员工数量、办公应用数量、应用单次操作平均发起请求量、数据时效性等相关，所以零信任校验应具有时效性，且在保证一定并发量的同时，终端校验结果响应时延也不能太大。因此，为了提高用户数据请求的响应速度，所述网关平台，还用于缓存所述终端校验结果；

所述网关平台，还用于根据接收到的数据请求确定待校验终端的硬件特征码；

所述网关平台，还用于基于所述硬件特征码查询缓存的终端校验结果，确定所述待校验终端的目标校验结果。

所述网关平台，还用于为缓存的所述终端校验结果设置随机过期时间；

所述网关平台，还用于启动预设计时器，在计时时长到达时，查询各终端校验结果的剩余有效时间；

所述网关平台，还用于确定所述剩余有效时间小于心跳报文保持时间的目标终端，基于所述目标终端生成零信任校验请求，并将所述零信任校验请求转发至所述认证服务器。

需要说明的是，所述目标校验结果可以是从缓存中查询到的所述硬件特征码对应的用户终端的零信任校验结果。为了缓存雪崩风险，本实施例中为每一个缓存的终端校验结果设置随机过期时间，并且启动预设计时器，在计时时长到达时，查询各个终端校验结果的剩余有效时间；对终端校验结果的剩余有效时间小于心跳报文保持时间的目标终端重新进行零信任校验。其中，所述预设计时器的计时时长小于设置的随机过期时间中的最小值。为终端校验结果设置的随机过期时间为预先设置的过期时间范围中的随机值。

进一步的，所述网关平台，还用于根据所述数据请求判断所述用户是否登录；

所述网关平台，还用于在用户登录时，基于所述数据请求生成零信任校验请求，并将所述零信任校验请求转发至所述认证服务器；

所述网关平台，还用于在用户未登录时，向所述用户终端发送登录认证提示信息。

在具体实施中，网关平台在接收到用户终端的数据请求时，判断用户是否登录，若所述用户终端没有用户登录，则向所述用户终端发送登录认证提示信息，以使所述用户终端进行探针服务下载、终端注册、终端绑定和/或用户登录。在用户登录时，基于所述数据请求生成零信任校验请求，并将所述零信任校验请求转发至所述认证服务器进行终端零信任校验。

在具体实施中，用户访问目标服务时，流量先转发到网关平台进行登录状态判断，如果用户已登录，网关平台需要对该请求做进一步的零信任校验，所以网关平台调用认证服务器开放的校验服务，对用户请求做可信校验，认证服务器返回校验结果，如果校验通过再由网关平台转发至对应的目标服务，如果校验未通过则由网关重定向到对应页面或由认证服务器触发强制登出等处置动作；如果用户未登录，则网关重定向到认证服务器提供的登录页面，提供用户口令、短信验证码完成登录认证后，进入零信任校验阶段。

所述网关平台，还用于在所述终端校验结果为校验失败时，根据所述终端校验结果确定梯度处置动作；

所述网关平台，还用于基于所述梯度处置动作响应所述数据请求。

需要说明的是，本实施例中根据不同的校验失败类型设置不同梯度的处置动作，处置动作可包括IM提醒、页面重定向、阻止访问、注销登录、禁用账号等，终端校验结果命中配置的梯度处置动作后即可触发对应的处置动作。

在具体实施中，所述探针服务部署在用户终端设备上，自动根据设备硬件信息生成特征码、采集环境信息、发送SPA(Single Packet Authorization，单包授权)报文到所述认证服务器进行心跳保持；认证服务器接收探针报文进行设备注册、心跳保持，提供设备绑定、设备可信校验功能，接收网关平台校验请求返回可信校验结果；网关平台接收办公应用访问请求（即所述数据请求），调用认证服务器的校验接口对办公应用访问请求进行可信校验，根据校验结果转发请求或重定向。

其中，轻量化探针服务主体为Java程序，不同操作系统下为用户提供特定安装包，静态编译源程序为本地可执行文件，减小构造的安装包的占用空间、提高应用程序启动速度和运行效率，且避免终端JRE环境依赖，用户端可即装即用。所述探针服务底层通过执行操作系统命令获取硬件参数生成设备的唯一特征码，所选硬件参数包括主板序列号、主硬盘序列号等，多硬件参数拼接后由安全散列算法计算摘要并转换为固定长度为64的十六进制字符串作为硬件特征码。在生成硬件特征码后，所述探针服务通过操作系统命令获取终端设备（即用户终端）环境信息，环境信息可以为客户端版本、已安装补丁、终端高危端口、共享可写目录、Guest来宾账号、已安装软件、运行进程的一种或多种。

探针服务与所述认证服务器协商预留半开放端口，该端口只接收不响应，实现端口隐藏。在获取用户终端的环境信息后，所述探针服务根据与认证服务器约定的共享密钥经过HOTP（HMAC-based One-Time Password）计算得到SPA密钥构造SPA（Single PacketAuthorization）报文，发送到所述认证服务器预留的半开放端口，SPA验证通过后，认证服务器为用户终端短期开放该服务端口。所述探针服务对硬件特征码计算摘要，以硬件特征码、摘要和用户终端的环境信息作为请求体构造HTTPS设备注册报文发送到认证服务器。认证服务器接收到报文后对特征码进行解析，用所述安全散列算法计算摘要，摘要内容比对一致则取用户终端的IP地址与硬件特征码进行终端注册，注册信息保存在认证服务器，更新注册时间为当前时间。在完成终端注册后，探针服务定期向认证服务器发送心跳保持报文，维持终端注册记录有效性；此外，认证服务器接收用户终端的环境信息，基于环境信息风险识别策略（用户预先配置的环境识别策略）进行检测，在一实施例中，认证服务器可对终端运行中的恶意进程、安装的风险软件进行识别并发送IM告警。

由于探针服务与认证服务器的通信易受网络连接状态影响，为提高发送终端注册请求和心跳报文的可用性，探针服务在发送SPA报文前预发送ICMP报文到认证服务器域名，如果响应异常，则在探针服务上开启定时任务，以短间隔重复发送ICMP报文进行持续检测，间隔时长在此不做出限制。因为网络通常可在短时间内修复，所以在接收到正常响应报文后探针服务恢复为终端注册报文和心跳报文发送状态。此外，探针在安装脚本中添加sc系统命令，将服务配置为自启动，启动时自动开始终端注册动作，解决探针服务宕机重启、服务冷启动、切换网络等场景导致的设备注册动作滞后、设备注册信息过期问题。

在首次使用新的用户终端访问办公应用（目标服务）时，需要进行终端绑定，包括：（1）用户提供用户ID、口令、有效期内的短信验证码完成登录验证；（2）设备绑定页面根据用户IP地址查询设备注册信息，前端展示主机名、硬件特征码，由用户提供短信验证码进行用户身份二次验证；（3）判断单用户终端绑定数量是否达到上限，达到上限则处置动作为拒绝绑定，在此不对上限数量做出限制，可自定义设置；（4）取用户ID和硬件特征码完成设备一对一绑定，绑定信息保存在认证服务器。

所述网关平台对外提供统一的入口，收敛资产暴露面、隐藏端口。探针服务与网关平台采用SPA协议进行端口敲门和授权，可信应用（目标服务）只对认证用户可见，增强基于IP的网络访问认证安全性，防火墙默认丢弃所有数据包，只有SPA报文的HOTP域通过验证，网关平台才在防火墙添加一条入规则，允许来自某一IP的流量访问应用端口，规则过期时间可配置，本实施例在此不做出限制。通过SPA验证后，所有办公应用访问请求需再进行可信请求校验，网关平台调用认证服务器可信校验接口，认证服务器可信校验流程包括：（1）通过子网掩码提取用户IP对应的网段，与网络白名单进行匹配，网络白名单用于对可信网络进行放行，如果命中白名单记录，则当前请求处于可信网络中，更新校验结果缓存，重置缓存过期时间，返回校验通过；（2）根据用户ID查询组织灰名单，灰名单用于对特定风险用户进行强制控制，命中灰名单记录，则当前请求的用户处于不可信名单中，用户访问目标服务的请求会触发零信任校验；（3）设备注册信息校验，设备注册信息设置了最长有效时间，时长此处不做出限制，如果校验时间大于注册信息的最长有效时间，则认为注册信息已失效，返回给网关注册校验失败标识，由网关重定向到探针服务下载页面；（4）设备绑定信息校验，根据用户ID和硬件特征码校验设备绑定信息，如果绑定信息存在，则至此零信任校验通过，更新校验结果缓存，重置缓存过期时间为固定时长加上随机值，降低出现缓存雪崩概率。

同时，网关拦截所有办公应用访问请求进行可信校验，可信校验服务的并发量与企业员工数量、办公应用数量、应用单次操作平均发起请求量、数据时效性等相关，所以校验应具有时效性，且在保证一定并发量的同时，校验结果响应时延也不能太大。在此列举接口性能提高解决方案，需要注意的是，在某些实施方式中，不一定要求以列举的特定顺序或措施才能达到预期结果，在一实施例中，（1）设置类型为Map的缓存，键名为固定前缀加用户IP，缓存值则为零信任校验结果，每个用户IP对应一个缓存项；（2）将设备零信任校验步骤前置，每完成一次设备注册和绑定，就可能影响设备的可信校验结果，因此持续采集和更新设备注册、绑定信息，每完成一次操作就重新进行设备可信校验，为避免注册、绑定操作时延过长，将设备可信校验提交给异步线程执行，完成校验后将结果写入缓存中；（3）缓存设置过期时间，避免校验结果长期未更新仍占用缓存空间，过期时间加入随机值，减少缓存雪崩风险；（4）为避免频繁出现缓存穿透降低接口性能，开辟定时任务，定时任务的周期间隔时长小于最小的缓存过期时间，每个定时任务批量对缓存剩余有效时间小于定时心跳保持间隔的缓存项重新进行设备校验，更新校验结果缓存；（5）校验过程中涉及到对校验策略数据表（即用户预先配置的风险评估策略）的查询，将策略表保存到缓存中，设置过期时间为长期有效，减少校验过程中的建立数据库连接、查表次数；（6）大量使用缓存，存在数据一致性问题，其中校验策略缓存在校验策略数据表发生更新时同步更新到缓存中，设备注册和绑定会直接对校验结果产生影响，所以每完成一次注册、绑定就同步更新校验结果缓存；（7）设备注册表与设备绑定表分别建立联合索引，注册表以用户IP和硬件特征码为索引列，绑定表以用户ID和硬件特征码为索引列，同时查询SQL使用精确查询，避免索引失效；（8）使用Guava配置最大并发数、最大请求速率等限流规则，为高并发场景下的接口调用提供兜底机制。

一般地，用户所处网络环境、终端设备环境变化大，设备校验结果失效快，需要提供可灵活扩展的校验策略配置和风险评估。认证服务器提供的可配置零信任校验策略包括：终端环境信息检测策略、用户信息检测策略等。其中，终端环境信息检测策略包含上述实施例中的风险软件、恶意进程名单等，在一实施例中，还可针对高危端口、屏保、共享可写目录、接入网络区域等的一种或多种进行配置，同时支持配置命中后的分梯度处置动作，处置动作包括IM提醒、页面重定向、阻止访问、注销登录、禁用账号等，命中配置名单后即可触发处置动作。处置动作的设置一般依赖于漏洞的影响范围、风险等级和风控政策的优先级、时效性等要素，不同处置动作通过处置动作编号进行区分。在配置风险评估策略时同步指定违反该策略时触发的所述梯度处置动作编号，在命中评估策略时，根据处置动作编号由认证服务器结合网关平台执行对应的处置动作。对于已配置的单个处置动作，支持设置以时间和频次为维度的自动梯度升级功能，对于指定时间后仍处于黑名单或访问频次达到指定上限后，处置动作可进一步升级。

在一实施例中，用户检测到某办公软件存在高危漏洞可能导致内部数据泄露，则在策略配置模块新增对应的软件黑名单，并配置对应的处置动作为阻止用户的所有访问请求。安装该风险软件的用户终端发起业务系统请求，认证服务器在终端环境检测过程中检测到用户终端命中软件黑名单，对该用户的所有业务系统请求均返回可信校验未通过，网关平台根据返回的校验结果对该用户的所有数据请求进行拦截。命中黑名单期间用户持续高频次访问业务系统，访问次数达到指定上限时触发注销登录处置动作，将用户登录状态强制登出。

此外，支持用户自定义处置动作提示语，告知用户被处置的原因，还可配置用户信息检测策略，用户信息检测策略包括对用户登录行为进行识别和检测，如非工作时间登录、登录地点异常，支持配置异常登录时间段，公网IP获取地理位置通过第三方位置服务或静态地理位置库进行解析获取，比对最近一次的登录地点，如果比对不一致，则处置动作为发出IM提醒。本实施例提供的可配置校验策略，结合可扩展的零信任校验流程，可实现校验策略拔插，便于根据企业实际需求扩展校验环节，快速响应新出台的风险政策。

本实施例公开了一种轻量化、低成本、持续风险评估的企业级零信任校验系统，同时具备校验策略可扩展、登录行为监测、动态访问控制等功能，能够覆盖高并发场景下的设备可信、身份可信、访问可信等零信任安全需求。系统包括轻量级探针服务、认证服务器、网关平台，探针服务根据设备硬件信息生成特征码，采集环境信息，发送心跳保持报文到认证服务器；认证服务器接收探针的心跳报文和网关平台的校验接口调用请求，支持设备注册、绑定、可信校验和校验策略配置，策略冷启动可自动化配置；网关平台隐藏服务端口，提供可信应用代理，拦截所有访问目标服务的请求并借助认证服务器进行可信校验，根据校验结果执行梯度化处置动作，本实施例提供了一种轻量化的企业级零信任校验系统解决方案，支持低成本快速接入零信任校验能力，并具备高可扩展性、细粒度策略配置、持续风险评估、访问控制策略动态调整、用户体验低侵入性等特点。

基于上述零信任校验系统实施例，提出零信任校验方法第一实施例，参照图3，图3为本发明零信任校验方法第一实施例的流程示意图；本实施例所述零信任校验方法应用于认证服务器，所述零信任校验方法包括以下步骤：

步骤S10：接收探针服务发送的硬件特征码和心跳保持报文。

步骤S20：基于所述硬件特征码对用户终端进行终端注册，生成终端注册信息。

步骤S30：接收网关平台发送的零信任校验请求；

步骤S40：根据所述零信任校验请求、所述终端注册信息、所述心跳保持报文以及预设风险评估策略进行零信任校验，得到终端校验结果。

本实施例接收探针服务发送的硬件特征码和心跳保持报文；基于所述硬件特征码对用户终端进行终端注册，生成终端注册信息；接收网关平台发送的零信任校验请求；根据所述零信任校验请求、所述终端注册信息、所述心跳保持报文以及预设风险评估策略进行零信任校验，得到终端校验结果，本实施例使用探针服务替代开发复杂度高的客户端，只需要进行少量改造和适配，即可快速接入零信任校验能力，开发和部署成本得到有效控制，支持低成本快速接入零信任校验能力，并具备可扩展性、访问控制策略动态调整、用户体验低侵入性等特点。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims (10)

1.一种零信任校验系统，其特征在于，所述零信任校验系统包括用户终端、网关平台以及认证服务器，所述用户终端上安装有探针服务；

所述探针服务，用于根据所述用户终端的硬件信息生成硬件特征码，并将所述硬件特征码发送至所述认证服务器；

所述探针服务，还用于采集所述用户终端的环境信息，并根据所述环境信息生成心跳保持报文，将所述心跳保持报文发送至所述认证服务器；

所述认证服务器，用于基于所述硬件特征码对所述用户终端进行终端注册，生成终端注册信息；

所述网关平台，用于接收用户通过所述用户终端触发的数据请求，基于所述数据请求生成零信任校验请求，并将所述零信任校验请求转发至所述认证服务器；

所述认证服务器，用于根据所述零信任校验请求、所述终端注册信息、所述心跳保持报文以及预设风险评估策略进行零信任校验，得到终端校验结果，并将所述终端校验结果转发至所述网关平台；

所述网关平台，还用于在所述终端校验结果为校验通过后，将所述数据请求转发至所述数据请求对应的目标服务。

2.如权利要求1所述的零信任校验系统，其特征在于，所述认证服务器，还用于接收所述用户终端发起的终端绑定请求，根据所述终端绑定请求进行终端绑定，生成终端绑定信息；

所述认证服务器，用于根据所述零信任校验请求、所述终端注册信息、所述终端绑定信息、所述心跳保持报文以及预设风险评估策略进行零信任校验，得到终端校验结果。

3.如权利要求2所述的零信任校验系统，其特征在于，所述预设风险评估策略中包括预设校验名单和环境风险信息；

所述认证服务器，还用于根据所述预设校验名单对待校验终端进行零信任校验；

所述认证服务器，还用于根据所述零信任校验请求确定待校验终端的硬件特征码，根据所述硬件特征码和所述终端注册信息判断所述待校验终端是否注册；

所述认证服务器，还用于在所述待校验终端已注册时，根据所述硬件特征码和所述终端绑定信息判断所述待校验终端是否完成绑定；

所述认证服务器，还用于在所述待校验终端已完成绑定时，根据所述心跳保持报文和所述环境风险信息对所述待校验终端进行环境校验，得到终端校验结果。

4.如权利要求2所述的零信任校验系统，其特征在于，所述认证服务器，还用于获取用户的终端绑定数量；

所述认证服务器，还用于在所述终端绑定数量大于预设终端绑定数量阈值时，限制所述用户与所述用户终端的绑定。

5.如权利要求1所述的零信任校验系统，其特征在于，所述探针服务，还用于发送ICMP报文至所述认证服务器域名，并接收响应结果；

所述探针服务，还用于在所述响应结果不满足预设响应条件时，按照预设检测周期发送ICMP报文至所述认证服务器域名进行持续检测；

所述探针服务，还用于在所述响应结果满足所述预设响应条件时，进行终端注册或向所述认证服务器发送心跳保持报文。

6.如权利要求1所述的零信任校验系统，其特征在于，所述网关平台，还用于缓存所述终端校验结果；

所述网关平台，还用于根据接收到的数据请求确定待校验终端的硬件特征码；

所述网关平台，还用于基于所述硬件特征码查询缓存的终端校验结果，确定所述待校验终端的目标校验结果。

7.如权利要求6所述的零信任校验系统，其特征在于，所述网关平台，还用于为缓存的所述终端校验结果设置随机过期时间；

所述网关平台，还用于启动预设计时器，在计时时长到达时，查询各终端校验结果的剩余有效时间；

所述网关平台，还用于确定所述剩余有效时间小于心跳报文保持时间的目标终端，基于所述目标终端生成零信任校验请求，并将所述零信任校验请求转发至所述认证服务器。

8.如权利要求1-7任一项所述的零信任校验系统，其特征在于，所述网关平台，还用于根据所述数据请求判断所述用户是否登录；

所述网关平台，还用于在用户登录时，基于所述数据请求生成零信任校验请求，并将所述零信任校验请求转发至所述认证服务器；

所述网关平台，还用于在用户未登录时，向所述用户终端发送登录认证提示信息。

9.如权利要求1-7任一项所述的零信任校验系统，其特征在于，所述网关平台，还用于在所述终端校验结果为校验失败时，根据所述终端校验结果确定梯度处置动作；

所述网关平台，还用于基于所述梯度处置动作响应所述数据请求。

10.一种零信任校验方法，其特征在于，所述零信任校验方法应用于认证服务器，所述零信任校验方法包括以下步骤：

接收探针服务发送的硬件特征码和心跳保持报文；

基于所述硬件特征码对用户终端进行终端注册，生成终端注册信息；

接收网关平台发送的零信任校验请求；

根据所述零信任校验请求、所述终端注册信息、所述心跳保持报文以及预设风险评估策略进行零信任校验，得到终端校验结果。