[发明专利]一种访问认证方法、装置、系统、电子设备及介质

说明书

本公开实施例提供了一种访问认证方法、装置、系统、电子设备及介质，涉及通信安全技术领域，技术方案包括：认证设备接收终端发送的访问报文，其中访问报文中包括本次启动状态信息、终端配置信息和登录用户信息，本次启动状态信息为终端从PCR中获取的终端在本次启动过程经历的各阶段的状态。然后对访问报文包括的本次启动状态信息、终端配置信息和登录用户信息进行校验。如果校验通过，则向终端发送认证通过报文。本公开实施例能够提高对终端认证的安全性。

技术领域

本公开涉及通信安全技术领域，特别是涉及一种访问认证方法、装置、系统、电子设备及介质。

背景技术

基于边界的传统安全防护体系中，为保证通信安全性，远程终端接入内网时，内网的认证设备需要先对远程终端进行认证，认证通过后远程终端才能进行后续的访问。但随着云计算、大数据和移动互联网的快速发展，以及日趋灵活的接入形式，使得内网边界逐渐模糊，难以阻止来自内网和外部的攻击，使得基于边界的传统安全防护体系逐渐失效，因此产生了零信任网络安全架构。在零信任网络中，可以对来自于内网和外网的所有访问进行认证，以提高内网数据资源的安全性。

目前对于终端访问行为的认证，主要包括设备环境认证和设备身份认证。设备环境认证主要是认证设备当前的运行状态，但是设备当前的运行状态容易被篡改，导致目前的认证方式不够安全。

发明内容

本公开实施例的目的在于提供一种访问认证方法、装置、系统、电子设备及介质，以提高对终端认证的安全性。具体技术方案如下：

第一方面，本公开实施例提供了一种访问认证方法，应用于认证设备，所述方法包括：

接收终端发送的访问报文，所述访问报文中包括本次启动状态信息、终端配置信息和登录用户信息，所述本次启动状态信息为所述终端从平台配置寄存器PCR中获取的所述终端在本次启动过程经历的各阶段的状态；

对所述访问报文包括的本次启动状态信息、终端配置信息和登录用户信息进行校验；

如果校验通过，则向所述终端发送认证通过报文。

在一些实施例中，所述对所述访问报文包括的本次启动状态信息、终端配置信息和登录用户信息进行校验，包括：

获取预先存储的所述终端向所述认证设备注册产生的启动状态信息、终端配置信息和登录用户信息；

对比所述本次启动状态信息和预先存储的启动状态信息是否相同；

若对比结果为不同，则确定校验未通过；

若对比结果为相同，则根据预先存储的终端配置信息和登录用户信息，对所述访问报文包括的终端配置信息和登录用户信息进行验证；

若验证通过，则确定校验通过；

若验证未通过，则确定校验未通过。

在一些实施例中，所述对比所述本次启动状态信息和所述预先存储的启动状态信息是否相同，包括：

针对所述终端在启动过程经历的每个阶段，判断所述本次启动状态信息中该阶段的状态和预先存储的启动状态信息中该阶段的状态是否相同；

若每个判断结果均为相同，则确定对比结果为相同；

若任一判断结果为不相同，则确定对比结果为不相同。

在一些实施例中，所述终端配置信息包括：终端状态信息和网络信息，所述终端状态信息用于表示所述终端运行的操作系统的安全状态，所述网络信息包括媒体存取控制MAC地址和互联网协议IP地址；

所述根据预先存储的终端配置信息和登录用户信息，对所述访问报文包括的终端配置信息和登录用户信息进行验证，包括：