[发明专利]一种零信任验证方法、系统及存储介质

说明书

本申请提供一种零信任验证方法、系统及存储介质，涉及网络安全技术领域，该方法能够有效地防止攻击者在内网中的横向攻击。该方法包括：策略引擎接收来自边缘设备发送的访问请求；访问请求包括第一用户的身份信息；策略引擎在确定第一用户的身份信息合法后，创建虚拟PEP；策略引擎向虚拟PEP发送访问请求对应的数字证书，向边缘设备发送虚拟PEP的地址；数字证书包括第一用户的身份信息及访问权限；边缘设备向虚拟PEP发送访问请求；在访问请求中的用户身份信息为第一用户的身份信息，且访问权限允许访问请求访问目标系统的情况下，虚拟PEP与目标系统建立连接。本申请可用于零信任验证过程中，用于解决内网容易被横向攻击的问题。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种零信任验证方法、系统及存储介质。

背景技术

随着移动/远程办公和云计算等技术的快速发展，传统的安全防护建设理念已无法应对移动互联网时代的安全挑战，局限性正日益凸显。对于企业的内部网络来说，一旦攻击者突破企业的内部网络的防护边界，则攻击者便可获得该内部网络的“合法身份”，从而可以在内部网络不受阻碍地进行横向攻击。

为应对上述问题，零信任技术应运而生。零信任技术是一种基于零信任原则(任何网络位置都不值得信任/任何未经验证的设备都不值得信任)建立的企业网络安全策略，可以防止企业的内部网络数据泄露，限制企业的内部网络中的攻击者的横向移动和攻击破坏。但是，目前零信任技术还不成熟，体系架构还不完善，不能有效地验证用户的访问请求。因此，企业的内部网络仍存在被非法入侵的风险。

发明内容

本申请提供一种零信任验证方法、系统及存储介质，可以有效地防止攻击者在企业的内部网络中的横向攻击，保证企业的内部网络的安全性。

第一方面，本申请提供一种零信任验证方法，该方法包括：策略引擎接收来自边缘设备发送的访问请求；访问请求包括第一用户的身份信息；策略引擎在确定第一用户的身份信息合法后，创建虚拟策略执行点；策略引擎向虚拟策略执行点发送访问请求对应的数字证书，向所述边缘设备发送所述虚拟策略执行点的地址；数字证书包括第一用户的身份信息及访问权限；边缘设备向虚拟策略执行点发送访问请求；在访问请求中的用户身份信息为第一用户的身份信息，且访问权限允许访问请求访问目标系统的情况下，虚拟策略执行点与目标系统建立连接。

一种可能的实现方式中，上述方法还包括：策略引擎获取第一用户的身份信息对应的访问权限；策略引擎根据私钥，将第一用户的身份信息和访问权限加密，得到数字证书；策略引擎向边缘设备发送私钥对应的公钥；边缘设备向虚拟策略执行点发送公钥；虚拟策略执行点根据公钥，解密数字证书，以获得第一用户的身份信息和访问权限。

另一种可能的实现方式中，创建虚拟策略执行点，包括：在目标系统为高风险级系统的情况下，创建虚拟策略执行点。

又一种可能的实现方式中，上述方法还包括：边缘设备接收用户侧设备发送的结束访问请求；边缘设备根据结束访问请求，与虚拟策略执行点断开连接，释放虚拟策略执行点占用的资源。

本申请提供的零信任验证方法，使得策略引擎在接收到访问请求后，先对访问请求进行初步的身份信息验证。在验证通过后，创建用于访问系统的虚拟策略执行点，并通过数字证书，在虚拟策略执行点再次进行访问请求的身份验证和访问权限验证，验证通过后才能访问该系统，以保证系统的安全性。即便是通过身份信息验证的用户(如称为可信用户)，在访问保存有重要资源的系统时，也需要在虚拟策略执行点中进行再次验证，可以有效地避免攻击者通过伪造身份后，在企业内网的横向攻击，保证企业的内部网络的安全性。