[发明专利]基于零信任安全的访问控制方法、设备及存储介质

权利要求书

1.一种基于零信任安全的访问控制方法，其特征在于，包括：

终端设备拦截由应用所发起的业务访问请求，所述业务访问请求包含目标用户的待验证身份信息；

获取所述业务访问请求中的待验证身份信息，向认证服务器发起携带所述待验证身份信息的身份认证请求，以使所述认证服务器在确定所述待验证身份信息为合法信息时，向所述终端设备发送随机挑战信息；

通过私钥对所述随机挑战信息进行签名，得到待验证签名信息；所述私钥无法被导出所述终端设备；

将所述待验证签名信息发送给所述认证服务器，以使所述认证服务器基于所述随机挑战信息和与所述待验证身份信息绑定的公钥证书对所述待验证签名信息进行验签处理，得到验签结果；

若所述验签结果为验签通过结果，则接收所述认证服务器下发的验签通过消息，基于所述验签通过消息将所述业务访问请求发送至所述认证服务器，以使所述认证服务器将所述业务访问请求转发至所述应用所访问的业务服务器。

2.根据权利要求1所述的方法，其特征在于，所述通过私钥对所述随机挑战信息进行签名，得到待验证签名信息，包括：

通过安全认证组件将获取到的所述随机挑战信息传输至公私钥存储组件，通过所述公私钥存储组件中的私钥对所述随机挑战信息进行签名，得到待验证签名信息；所述公私钥存储组件具有数据不可读属性。

3.根据权利要求1所述的方法，其特征在于，所述通过私钥对所述随机挑战信息进行签名，得到待验证签名信息，包括：

对所述随机挑战信息进行哈希运算，得到所述随机挑战信息的数字摘要；

通过所述私钥对所述数字摘要进行非对称加密处理，得到针对所述随机挑战信息的待验证签名信息。

4.根据权利要求1所述的方法，其特征在于，属于合法信息的所述目标用户的待验证身份信息存在于所述认证服务器中的用户信息管理库中，属于非法信息的所述目标用户的待验证身份信息不存在于所述认证服务器中的用户信息管理库中；

所述方法还包括：

若所述认证服务器在确定所述待验证身份信息为非法信息时，获取所述认证服务器所发送的身份验证失败提示信息。

5.根据权利要求1所述的方法，其特征在于，还包括：

终端设备生成目标用户的公私钥对；所述公私钥对包括私钥和公钥；

向认证服务器发送针对所述目标用户的用户注册请求；所述用户注册请求包括所述目标用户的公钥和所述目标用户的用户身份信息；

接收所述认证服务器基于所述用户注册请求发起的初始身份认证请求，根据所述初始身份认证请求向所述认证服务器发送身份认证回复，以使所述认证服务器根据所述身份认证回复进行初始身份认证，得到初始身份认证结果；

若所述初始身份认证结果为初始身份认证成功结果，则接收所述认证服务器下发的公钥证书，存储所述公钥证书。

6.根据权利要求5所述的方法，其特征在于，所述身份认证回复包括待验证动态码；

所述根据所述初始身份认证请求向所述认证服务器发送身份认证回复，包括：

根据所述初始身份认证请求显示动态码认证界面；所述动态码认证界面用于输入所述认证服务器发送至联系账号的随机动态码；所述联系账号在所述认证服务器的用户信息管理库中与所述用户身份信息具有绑定关系；

响应所述目标用户在所述动态码认证界面的输入确定操作，获取所述待验证动态码；

向所述认证服务器发送所述待验证动态码，以使所述认证服务器将所述待验证动态码和所述随机动态码进行比对处理，根据比对结果确定初始身份认证结果；若所述比对结果为所述待验证动态码和所述随机动态码相同，则所述初始身份认证结果为初始身份认证成功结果；若所述比对结果为所述待验证动态码和所述随机动态码不相同，则所述初始身份认证结果为初始身份认证失败结果。