[发明专利]一种零信任验证方法、系统及存储介质

权利要求书

1.一种零信任验证方法，其特征在于，所述方法包括：

策略引擎接收来自边缘设备发送的访问请求；所述访问请求包括第一用户的身份信息；

所述策略引擎在确定所述第一用户的身份信息合法后，创建虚拟策略执行点；

所述策略引擎向所述虚拟策略执行点发送所述访问请求对应的数字证书，向所述边缘设备发送所述虚拟策略执行点的地址；所述数字证书包括第一用户的身份信息及访问权限；

所述边缘设备向所述虚拟策略执行点发送所述访问请求；

在所述访问请求中的用户身份信息为所述第一用户的身份信息，且所述访问权限允许所述访问请求访问目标系统的情况下，所述虚拟策略执行点与所述目标系统建立连接。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

所述策略引擎获取所述第一用户的身份信息对应的访问权限；

所述策略引擎根据私钥，将所述第一用户的身份信息和所述访问权限加密，得到所述数字证书；

所述策略引擎向所述边缘设备发送所述私钥对应的公钥；

所述边缘设备向所述虚拟策略执行点发送所述公钥；

所述虚拟策略执行点根据所述公钥，解密所述数字证书，以获得所述第一用户的身份信息和所述访问权限。

3.根据权利要求1或2所述的方法，其特征在于，所述创建虚拟策略执行点，包括：

在所述目标系统为高风险级系统的情况下，创建所述虚拟策略执行点。

4.根据权利要求1或2所述的方法，其特征在于，所述方法还包括：

所述边缘设备接收用户侧设备发送的结束访问请求；

所述边缘设备根据所述结束访问请求，与所述虚拟策略执行点断开连接，释放所述虚拟策略执行点占用的资源。

5.一种零信任验证系统，其特征在于，包括策略引擎、边缘设备；其中：

所述策略引擎用于，接收来自所述边缘设备发送的访问请求；所述访问请求包括第一用户的身份信息；在确定所述第一用户的身份信息合法后，创建虚拟策略执行点；向所述虚拟策略执行点发送所述访问请求对应的数字证书，向所述边缘设备发送所述虚拟策略执行点的地址；所述数字证书包括第一用户的身份信息及访问权限；

所述边缘设备用于，向所述虚拟策略执行点发送所述访问请求；

所述虚拟策略执行点用于，在所述访问请求中的用户身份信息为所述第一用户的身份信息，且所述访问权限允许所述访问请求访问目标系统的情况下，与所述目标系统建立连接。

6.根据权利要求5所述的系统，其特征在于，

所述策略引擎还用于：获取所述第一用户的身份信息对应的访问权限；根据私钥，将所述第一用户的身份信息和所述访问权限加密，得到所述数字证书；向所述边缘设备发送所述私钥对应的公钥；

所述边缘设备还用于，向所述虚拟策略执行点发送所述公钥；

所述虚拟策略执行点还用于，根据所述公钥，解密所述数字证书，以获得所述第一用户的身份信息和所述访问权限。

7.根据权利要求5或6所述的系统，其特征在于，所述策略引擎具体用于：

在所述目标系统为高风险级系统的情况下，创建所述虚拟策略执行点。

8.根据权利要求5或6所述的系统，其特征在于，所述边缘设备还用于：

接收用户侧设备发送的结束访问请求；

根据所述结束访问请求，与所述虚拟策略执行点断开连接，释放所述虚拟策略执行点占用的资源。

9.一种网络设备，其特征在于，所述网络设备包括：处理器和存储器；

所述存储器存储有所述处理器可执行的指令；

所述处理器被配置为执行所述指令时，使得所述网络设备实现如权利要求1-4任一项所述的方法中策略引擎、或边缘设备、或虚拟策略执行点的功能。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质包括：计算机软件指令；

当所述计算机软件指令的网络设备中运行时，使得所述网络设备实现如权利要求1-4任一项所述的方法中策略引擎、或边缘设备、或虚拟策略执行点的功能。