一种零信任验证方法、系统及存储介质

摘要

本申请提供一种零信任验证方法、系统及存储介质，涉及网络安全技术领域，该方法能够有效地防止攻击者在内网中的横向攻击。该方法包括：策略引擎接收来自边缘设备发送的访问请求；访问请求包括第一用户的身份信息；策略引擎在确定第一用户的身份信息合法后，创建虚拟PEP；策略引擎向虚拟PEP发送访问请求对应的数字证书，向边缘设备发送虚拟PEP的地址；数字证书包括第一用户的身份信息及访问权限；边缘设备向虚拟PEP发送访问请求；在访问请求中的用户身份信息为第一用户的身份信息，且访问权限允许访问请求访问目标系统的情况下，虚拟PEP与目标系统建立连接。本申请可用于零信任验证过程中，用于解决内网容易被横向攻击的问题。

说明书

技术领域

本申请涉及网络安全技术领域，尤其涉及一种零信任验证方法、系统及存储介质。

背景技术

随着移动/远程办公和云计算等技术的快速发展，传统的安全防护建设理念已无法应对移动互联网时代的安全挑战，局限性正日益凸显。对于企业的内部网络来说，一旦攻击者突破企业的内部网络的防护边界，则攻击者便可获得该内部网络的“合法身份”，从而可以在内部网络不受阻碍地进行横向攻击。

为应对上述问题，零信任技术应运而生。零信任技术是一种基于零信任原则(任何网络位置都不值得信任/任何未经验证的设备都不值得信任)建立的企业网络安全策略，可以防止企业的内部网络数据泄露，限制企业的内部网络中的攻击者的横向移动和攻击破坏。但是，目前零信任技术还不成熟，体系架构还不完善，不能有效地验证用户的访问请求。因此，企业的内部网络仍存在被非法入侵的风险。

发明内容

本申请提供一种零信任验证方法、系统及存储介质，可以有效地防止攻击者在企业的内部网络中的横向攻击，保证企业的内部网络的安全性。

第一方面，本申请提供一种零信任验证方法，该方法包括：策略引擎接收来自边缘设备发送的访问请求；访问请求包括第一用户的身份信息；策略引擎在确定第一用户的身份信息合法后，创建虚拟策略执行点；策略引擎向虚拟策略执行点发送访问请求对应的数字证书，向所述边缘设备发送所述虚拟策略执行点的地址；数字证书包括第一用户的身份信息及访问权限；边缘设备向虚拟策略执行点发送访问请求；在访问请求中的用户身份信息为第一用户的身份信息，且访问权限允许访问请求访问目标系统的情况下，虚拟策略执行点与目标系统建立连接。

一种可能的实现方式中，上述方法还包括：策略引擎获取第一用户的身份信息对应的访问权限；策略引擎根据私钥，将第一用户的身份信息和访问权限加密，得到数字证书；策略引擎向边缘设备发送私钥对应的公钥；边缘设备向虚拟策略执行点发送公钥；虚拟策略执行点根据公钥，解密数字证书，以获得第一用户的身份信息和访问权限。

另一种可能的实现方式中，创建虚拟策略执行点，包括：在目标系统为高风险级系统的情况下，创建虚拟策略执行点。

又一种可能的实现方式中，上述方法还包括：边缘设备接收用户侧设备发送的结束访问请求；边缘设备根据结束访问请求，与虚拟策略执行点断开连接，释放虚拟策略执行点占用的资源。

本申请提供的零信任验证方法，使得策略引擎在接收到访问请求后，先对访问请求进行初步的身份信息验证。在验证通过后，创建用于访问系统的虚拟策略执行点，并通过数字证书，在虚拟策略执行点再次进行访问请求的身份验证和访问权限验证，验证通过后才能访问该系统，以保证系统的安全性。即便是通过身份信息验证的用户(如称为可信用户)，在访问保存有重要资源的系统时，也需要在虚拟策略执行点中进行再次验证，可以有效地避免攻击者通过伪造身份后，在企业内网的横向攻击，保证企业的内部网络的安全性。

进一步的，本申请实施例通过采用私钥加密和公钥解密的方式，在用户与虚拟策略执行点之间建立一条高安全性的通道，保证高风险级系统不会被攻击者通过伪造身份信息的方式入侵。另外，本申请实施例中虚拟策略执行点不是提前设置的固定网元，而是根据可信用户发送的访问请求临时建立的虚拟策略执行点，在访问结束后即可释放资源。这种采用虚拟策略执行点的方法可以大幅减少系统资源的浪费，避免系统负荷过重的情况。并且，由于是临时的虚拟策略执行点，攻击者无法采用暴力破解的方式入侵该虚拟策略执行点，极大降低了企业内网的安全风险。

第二方面，本申请提供一种零信任验证系统，包括策略引擎和边缘设备；策略引擎用于，接收来自边缘设备发送的访问请求；访问请求包括第一用户的身份信息；在确定第一用户的身份信息合法后，创建虚拟策略执行点；向虚拟策略执行点发送访问请求对应的数字证书，向边缘设备发送虚拟策略执行点的地址；数字证书包括第一用户的身份信息及访问权限；边缘设备用于，根据虚拟策略执行点的地址，向虚拟策略执行点发送访问请求；虚拟策略执行点用于，在访问请求中的用户身份信息为第一用户的身份信息，且访问权限允许访问请求访问目标系统的情况下，与目标系统建立连接。

一种可能的实现方式中，策略引擎还用于：获取第一用户的身份信息对应的访问权限；根据私钥，将第一用户的身份信息和访问权限加密，得到数字证书；向边缘设备发送私钥对应的公钥；边缘设备还用于，向虚拟策略执行点发送公钥；虚拟策略执行点还用于，根据公钥，解密数字证书，以获得第一用户的身份信息和访问权限。

另一种可能的实现方式中，策略引擎具体用于：在目标系统为高风险级系统的情况下，创建虚拟策略执行点。

又一种可能的实现方式中，边缘设备还用于：接收用户侧设备发送的结束访问请求；根据结束访问请求，与虚拟策略执行点断开连接，释放虚拟策略执行点占用的资源。

第三方面，本申请提供一种网络设备，该网络设备包括：处理器和存储器；存储器存储有处理器可执行的指令；处理器被配置为执行指令时，使得网络设备实现上述第一方面的方法。

第四方面，本申请提供一种计算机可读存储介质，该计算机可读存储介质包括：计算机软件指令；当计算机软件指令在网络设备中运行时，使得网络设备实现上述第一方面的方法。

上述第二方面至第四方面的有益效果可以参考第一方面的对应描述，不再赘述。

附图说明

图1为本申请提供的一种零信任验证方法的网络架构示意图；

图2为本申请提供的一种零信任验证方法的流程示意图；

图3为本申请提供的另一种零信任验证方法的流程示意图；

图4为本申请提供的一种对于外网用户的零信任验证方法的流程示意图；

图5为本申请提供的一种对于内网用户的零信任验证方法的流程示意图；

图6为本申请提供的一种零信任验证系统的组成示意图；

图7为本申请提供的一种网络设备的组成示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

需要说明的是，本申请实施例中，“示例性地”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性地”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“示例性地”或者“例如”等词旨在以具体方式呈现相关概念。

为了便于清楚描述本申请实施例的技术方案，在本申请的实施例中，采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分，本领域技术人员可以理解“第一”、“第二”等字样并不是在对数量和执行次序进行限定。

如背景技术的描述，为了防止企业的内部网络数据泄露，存在各种各样的防护策略，以验证访问用户的可靠性。但是，传统的防护策略已经不适用于移动/远程办公和云计算等技术快速发展的现代社会。传统的防护策略，仅仅在内部网络的边缘处，验证访问用户的身份信息和权限信息，若验证通过，则该访问用户则可以在内部网络中不受限制地随意移动。这种方案存在致命的问题，一旦该访问用户是恶意攻击者，通过伪造身份信息、跟随合法用户访问等手段通过内部网络边缘处的验证，便可以在企业的内部网络中进行不受阻碍的横向攻击，对企业造成重大的损失。

为了弥补传统的防护策略的局限性，应对移动互联时代的安全挑战，零信任技术应运而生。零信任技术以零信任原则(任何网络位置都不值得信任/任何未经验证的设备都不值得信任)为核心，旨在防止企业内部数据泄露，限制恶意攻击者在企业的内部网络的横向移动和攻击破坏。零信任技术建立的网络安全策略，可称之为零信任体系(zero trustsystem，ZTS)。

目前部分企业的内部网络，正在从传统的安全架构向零信任体系转变。现有的一些零信任体系，研究方向主要集中在用户权限动态验证算法的优化上，为零信任体系提供必要的风险评估依据和动态监控并调整访问用户的访问权限。这种方案为了维护用户权限的动态验证，对网络资源的消耗较大。并且，现有零信任体系虽然独立隔离了受访客体，但是仍然存在攻击者使用暴力破解，非法入侵受访客体的情况存在。因此，现有的零信任体系并不成熟，网络架构并不完善，仍然存在被非法入侵的安全风险。

在此背景技术下，本申请实施例提供一种零信任验证方法，该方法可以在策略引擎验证访问请求初步通过后，在访问系统前由创建的虚拟策略执行点对访问请求再次进行验证。利用该方法可以有效地防止攻击者在企业的内部网络中的横向攻击，保证企业的内部网络的安全性。

本申请提供的零信任访问方法，可以应用于如图1所示的网络架构中。如图1所示，该网络架构可以包括：访问主体、安全代理、接入控制器、策略引擎、策略决策点(policydecision point，PDP)、通用服务器和客体/系统。

其中，访问主体用于访问企业内网。该访问主体可以是手机终端、笔记本电脑、平板电脑等任意具备上网功能的用户侧设备，本申请实施例对访问主体的具体设备种类不作限制。

安全代理为设置在企业内网边缘的设备，用于初步验证来自外网的访问请求与转发该访问请求。

接入控制器主要用于企业内网中的各种访问请求的中转与转发。

策略引擎是零信任体系中的核心大脑，提供公钥基础设施/证书颁发机构(publickey infrastructure/certificate authority,PKI/CA)服务，身份识别与访问管理(identity and access management，IAM)服务，策略服务，密码服务以及风险评估服务等。策略引擎还可以根据本申请提供的方案，创建如图1中所示的虚拟策略执行点(policyenforcement point，PEP)。虚拟PEP可以采用容器技术生成，可以根据用户权限与一个或多个客体/系统进行连接，是用户访问客体/系统的关键网络节点。

PDP，用于根据策略引擎生成的策略评估结果，决定是否允许用户的资源访问请求。

客体/系统是企业内网中独立的具有相应功能的服务器及系统区域，用户可以在此获取相应的资源，并根据自身的权限进行相应的操作。通用服务器的功能与客体/系统一致，区别在于客体/系统中资源较为重要，需要重点保护。

该网络架构可以划分为区域A,区域B和区域C。其中，区域A包括访问主体，分别为位于外网的用户的访问主体1和位于内网的用户的访问主体2，主要用于表示访问请求的发起方。区域B包括策略引擎和PDP，主要用于表示访问请求的核心处理区域。区域C包括虚拟PEP，通用服务器和客体/系统主要用于表示被访问请求访问的区域。

在一些实施例中，上述安全代理和接入控制器可统称为边缘设备。边缘设备在接收到用户的访问主体发送的访问请求后，可以将该访问请求发送给策略引擎进行第一次验证，在验证通过后，边缘设备可以将该访问请求发送给虚拟PEP进行第二次验证，在第二次验证也通过的情况下，访问主体才能访问到需要访问的客体/系统。这种二次验证的机制，以保证企业内网中客体/系统的安全性。

图2为本申请实施例提供的一种零信任验证方法的流程示意图。示例性的，本申请提供的零信任验证方法，可以应用于图1示意的网络架构中。

如图2所示，本申请实施例提供的零信任验证方法具体可以包括以下步骤：

S201、策略引擎接收来自边缘设备发送的访问请求。

其中，访问请求包括第一用户的身份信息。边缘设备用于接收来自用户侧设备的访问请求并将访问请求进行转发。

用户在访问企业内网时，策略引擎可以接收来自边缘设备发送的访问请求，以对该访问请求的中第一用户的身份信息进行初步的验证。

S202、策略引擎在确定第一用户的身份信息合法后，创建虚拟PEP。

在接收到访问请求后，策略引擎可以确定访问请求中第一用户的身份信息的合法性。策略引擎在确定第一用户的身份信息合法后，可以创建虚拟PEP。

S203、策略引擎向虚拟PEP发送访问请求对应的数字证书，向边缘设备发送虚拟PEP的地址。

其中，该数字证书包括第一用户的身份信息及访问权限。

在创建虚拟PEP后，策略引擎可以向虚拟PEP发送用于验证访问请求合法的数字证书，并向边缘设备发送虚拟PEP的地址，以使得边缘设备与虚拟PEP建立连接。数字证书的获取过程具体参见图3中S304，在此不作详细赘述。具体边缘设备与虚拟PEP连接的过程参考图3中S307，在此不作详细赘述。

具体的，S203中策略引擎可以采用加密的方式，向虚拟PEP发送访问请求对应的数字证书，本申请实施例对于加密的具体方式不予限定。

S204、边缘设备向虚拟PEP发送访问请求。

在策略引擎指示边缘设备与虚拟PEP连接后，边缘设备可以向虚拟PEP发送访问请求，以使得虚拟PEP对该访问请求进行验证。具体的，边缘设备可以向虚拟PEP发送访问请求，以使得虚拟PEP对该访问请求中包括的第一用户的身份信息进行验证。

S205、在访问请求中的用户身份信息为第一用户的身份信息，且访问权限允许访问请求访问目标系统的情况下，虚拟PEP与目标系统建立连接。

其中，目标系统为访问请求指示的需要访问的系统。

虚拟PEP在接收到访问请求和数字证书后，虚拟PEP可以根据数字证书，验证该访问请求。访问请求中的用户身份信息为数字证书中第一用户的身份信息，且数字证书中访问权限允许访问请求访问目标系统的情况下，虚拟PEP可以与目标系统建立连接，使得用户可以访问需要访问的系统以执行相应的业务操作。

上述实施例提供的技术方案至少带来以下有益效果，策略引擎在接收到访问请求后，先对访问请求进行初步的身份信息验证。在验证通过后，创建用于访问系统的虚拟策略执行点，并通过数字证书，在虚拟策略执行点再次进行访问请求的身份验证和访问权限验证，验证通过后才能访问该系统，以保证系统的安全性。即便是通过身份信息验证的用户(如称为可信用户)，在访问保存有重要资源的系统时，也需要在虚拟策略执行点中进行再次验证，可以有效地避免攻击者通过伪造身份后，在企业内网的横向攻击，保证企业的内部网络的安全性。

以下将结合具体实施例详细阐述本申请实施例提供的一种零信任访问方法，该方法可以应用于上述应用环境。如图3所示，该零信任验证方法可以包括如下S301-S312。

S301、边缘设备接收到访问请求，将访问请求发送给策略引擎。

其中，访问请求包括第一用户的身份信息。

用户在访问企业内网时，需要通过各自的用户侧设备(例如手机，平板电脑等)来访问。因此，在一些实施例中，边缘设备可以接收到访问请求，将访问请求发送给策略引擎。

需要说明的是，对于不同类型的用户，访问企业内网的方式有所不同。示例性的，如图1所示，对于企业内网之外的用户(例如称为外网用户)来说，外网用户的用户侧设备(例如图1中的访问主体1)上安装有该企业内网的专用客户端，外网用户可以通过用户侧设备上的专用客户端，向企业内网中的安全代理发送访问请求。即需要访问企业内网的用户为外网用户时，上述边缘设备为图1中的安全代理。

又示例性的，如图1所示，对于企业内网之内的用户(例如称为内网用户)来说，内网用户的用户侧设备(例如图1中的访问主体2)上安装有该企业内网的专用客户端，或者用户侧设备的浏览器上安装有专用插件。内网用户无需通过安全代理，可以直接访问到企业内网。因此，外网用户可以通过用户侧设备上的专用客户端或者浏览器，向企业内网中的接入控制器发送访问请求。即需要访问企业内网的用户为内网用户时，上述边缘设备为图1中的接入控制器。

在图1中所示的网络架构中，安全代理和接入控制器都是通过PDP与策略引擎连接。因此，在一些实施例中，安全代理接收到外网用户的用户侧设备发送的访问请求后，通过PDP，向策略引擎发送该访问请求。接入控制器接收到内网用户的用户侧设备发送的访问请求后，通过PDP，向策略引擎发送该访问请求。

S302、策略引擎在确定第一用户的身份信息合法后，创建虚拟PEP。

如前所述，策略引擎具备身份识别和访问管理服务，访问企业内网的用户为已经在企业内网注册过的用户。因此，策略引擎可以根据访问请求中身份信息，确定该用户是否为可信用户。

策略引擎在确定第一用户的身份信息合法后，可以创建虚拟PEP，用于可信用户通过该虚拟PEP访问目标系统。该第一用户即为访问请求所属的用户。

其中，访问请求指示了要访问的目标系统，例如，该访问请求可以是一连串的字段，该字段的前半部分用于指示用户的身份信息，后半部分用于指示目标系统的标识。标识的具体内容可以根据实际需求配置，只要能指示需要访问的目标系统即可，本申请实施例对此不作具体限制。目标系统的不同，策略引擎执行如下不同的方案：

一种可能的实现方式中，在目标系统为高风险级系统的情况下，策略引擎在S301中接收到访问请求后，执行S302。该高风险级系统可以为企业内网的保存有重要资源的客体/系统。

其中，可以根据实际需求，将安全性要求高的系统配置为高风险级系统，例如财务系统和敏感数据库系统可以为高风险级系统。在零信任体系中，该高风险级系统处于单独隔离的状态。如图1中示意的客体/系统即为高风险级系统，以保证安全性。因此，在可信用户需要访问该高风险级系统时，策略引擎可以建立虚拟PEP以连接被隔离的高风险级系统。虚拟PEP可以采用容器技术生成，设置在企业内网的网络设备中，例如该网络设备可以为图1中接入控制器中的一部分，也可以是独立的网元，本申请实施例对此不与限制。

另一种可能的实现方式中，在目标系统为低风险级系统的情况下，该低风险级系统可以为企业内网的保存有普通资源服务器(例如图1中通用服务器)。

其中，可以根据实际需求，将安全性要求低的系统配置为低风险级系统，例如门户系统和邮件系统等可以作为风险等级较低的系统。为了提高访问效率和减小资源的使用，对于低风险系统，策略引擎在S301中接收到访问请求后，可以不执行S302，可以直接通过PDP指示接入控制器与低风险级系统建立连接，使得用户可以直接访问低风险级系统。

需要说明的是，虚拟PEP的个数跟访问用户的个数有关，每当有可信用户需有访问高风险级系统时，就创建一个该可信用户对应的虚拟PEP，进一步保证高风险级系统的安全性。

S303、策略引擎获取第一用户的身份信息对应的访问权限。

一般来说，对于不同的用户，在企业内网进行注册时，企业内网的策略引擎会根据用户的身份信息，对这些用户分配不同的访问权限。因此，在一些实施例中，策略引擎可以根据第一用户的身份信息，获取第一用户对应的访问权限。

S304、策略引擎根据私钥，将第一用户的身份信息和访问权限加密，得到数字证书。

如前所述，策略引擎还支持PKI/CA服务。可以生成公私钥对，以采用公私钥对对访问请求进行验证。在一些实施例中，策略引擎可以根据私钥，将第一用户的身份信息和访问权限加密，得到数字证书，用于后续验证访问请求。另外，数字证书中还可以包括用户访问时的时间戳，用于提示数字证书的时效性。

S305、策略引擎向边缘设备发送私钥对应的公钥。

在一些实施例中，策略引擎可以向边缘设备发送私钥对应的公钥，以后续验证访问请求。

S306、策略引擎向虚拟PEP发送访问请求对应的数字证书。

其中，数字证书用于验证第一用户发送的访问请求合法。

在一些实施例中，在得到数字证书后，策略引擎可以向创建的虚拟PEP发送访问请求对应的数字证书，以验证访问请求是否合法。

具体的，在得到数字证书后策略引擎可以直接向创建的虚拟PEP发送数字证书，也可以将数字证书进行再次加密并发送给虚拟PEP，使得系统的安全性更高。本申请实施例对具体加密的方式不与限制。

需要说明的是，上述S305可以在S306之前执行，也可以在S306之后执行，又或者可以同时执行，本申请实施例对此不作具体限制，图3中只是示意了一种可能的执行顺序，并不构成限定。

S307、策略引擎指示边缘设备与虚拟PEP连接。

在确认第一用户为可信用户(即S302中确认第一用户发送的访问请求合法，且建立了虚拟PEP)后，策略引擎可以指示边缘设备与虚拟PEP连接。

如前所述，PDP可以决定是否允许用户的资源访问请求。因此，在一些实施例中，策略引擎可以向PDP返回身份评估结果，身份评估结果可以用于指示向第一用户建立了访问系统的虚拟PEP，身份评估结果的内容可以是一个标识，或者其他内容，本申请实施例不予限定。PDP根据身份评估结果，指示边缘设备与虚拟PEP连接。具体的，策略引擎可以通过PDP向边缘设备发送虚拟PEP的地址，以指示边缘设备根据虚拟PEP的地址与虚拟PEP连接。

其中，边缘设备与虚拟PEP连接，可以是与虚拟PEP所在的网络设备连接。

示例性的，若可信用户为外网用户，S307具体实现为：策略引擎向PDP反馈身份评估结果，PDP根据身份评估结果，确定已建立了虚拟PEP，PDP可以指示接入控制器与安全代理连接，接入控制器与虚拟PEP连接，使得外网用户可以访问到建立的虚拟PEP。

又示例性的，若可信用户为内网用户，S307具体实现为：策略引擎向PDP反馈身份评估结果，PDP根据身份评估结果，确定已建立了虚拟PEP，PDP可以指示接入控制器与虚拟PEP连接，使得内网用户可以访问到建立的虚拟PEP。

S308、边缘设备向虚拟PEP发送访问请求和公钥，用于虚拟PEP根据公钥验证访问请求。

其中，公钥可以用于对私钥加密的数字证书进行解密。

在一些实施例中，边缘设备在S305中接收到公钥,且边缘设备在S307中与虚拟PEP连接后，边缘设备可以向虚拟PEP发送公钥和访问请求，用于虚拟PEP根据公钥来再次验证该访问请求。

需要说明的是，边缘设备可以同时发送公钥和访问请求，也可以分别发送公钥和访问请求，本申请实施例在此仅提供一种示例性的方式，对具体的先后顺序不作限制。

S309、虚拟PEP根据公钥，解密数字证书，以获得第一用户的身份信息和访问权限。

在一些实施例中，网络设备可以根据公钥，对数字证书进行解密，以获得第一用户的身份信息和访问权限。

需要说明的是，数字证书是使用私钥对是身份信息和访问权限进行加密得到的，然后采用私钥对应的公钥来解密数字证书。这种私钥加密，公钥解密的方式，可以保证数字证书是由策略引擎发送的，并且不会被攻击者私自篡改。防止攻击者通过伪造数字证书通过验证，对企业内网造成破坏。

S310、在访问请求中的用户身份信息为第一用户的身份信息，且访问权限允许访问请求访问目标系统的情况下，虚拟PEP与目标系统建立连接。

如前所述，零信任技术是任何网络位置都不值得信任/任何未经验证的设备都不值得信任。即便是身份信息通过验证的可信用户，在访问高风险级系统前，也需要再次验证访问请求的合法性，防止攻击者伪造身份的情况发生。

在一些实施例中，在S309中虚拟PEP在解密数字证书获得第一用户的身份信息后，可以跟访问请求中的身份信息比对。并且，在S309中解密数字证书获得访问权限后，跟访问请求对比。若在访问请求中的用户身份信息为第一用户的身份信息，且访问权限允许访问请求访问目标系统的情况下，验证通过，该虚拟PEP与目标系统建立连接，使得用户可以访问到系统进行相关的业务操作。

在第一用户访问结束后，可以释放为其建立的虚拟PEP，减小系统资源的浪费。如图3所示，本申请实施例提供的方法还可以包括如下S311-S312。

S311、边缘设备接收用户侧设备的结束访问请求。

在一些实施例中，边缘设备可以结束用户侧设备发送的结束访问请求。例如，用户在手机终端上关闭网页，退出登录等操作可视为用户结束访问，则用户侧设备可以向边缘设备发送结束访问请求。

S312、边缘设备根据结束访问请求，与虚拟策略执行点断开连接，释放虚拟策略执行点占用的资源。

在一些实施例中，边缘设备在结束到结束访问请求后，可以根据该结束访问请求，断开与虚拟PEP的连接，并释放虚拟PEP所占用的资源。

示例性的，由于虚拟PEP为设置在接入控制器中的虚拟网络节点，且接入控制器是最靠近用户侧的网络设备，可以处理用户(包括内网用户和外网用户)的访问请求。因此，接入控制器在结束到结束访问请求后，可以断开与虚拟PEP的连接，并且释放创建虚拟PEP所占用的内存资源和网络资源等资源，即销毁该用户对应临时创建的虚拟PEP。

本申请实施例还提供一种对于外网用户的零信任验证方法，如图4所示。首先，外网用户的用户侧设备向安全代理发送访问请求，安全代理将访问请求通过PDP发送给策略引擎。策略引擎在初步验证访问请求通过后，创建虚拟PEP和数字证书，向虚拟PEP发送数字证书，并向PDP发送身份评估结果。PDP根据评估结果，指示安全代理与接入控制器连接，接入控制器与虚拟PEP连接。另外，策略引擎还向安全代理发送公钥。进一步的，安全代理将公钥和访问请求发送至虚拟PEP，虚拟PEP根据公钥和数字证书再次验证访问请求，验证通过后与被访问的系统建立连接。在需要结束访问时，外网用户的用户侧设备可以向接入控制器发送结束访问请求，接入控制器断开与虚拟PEP的连接并释放虚拟PEP的资源。

本申请实施例还提供一种对于内网用户的零信任验证方法，如图5所示。首先，内网用户的用户侧设备向接入控制器发送访问请求，接入控制器将访问请求通过PDP发送给策略引擎。策略引擎在初步验证访问请求通过后，创建虚拟PEP和数字证书，向虚拟PEP发送数字证书，并向PDP发送身份评估结果。PDP根据评估结果，指示接入控制器与虚拟PEP连接。另外，策略引擎还向接入控制器发送公钥。进一步的，接入控制器将公钥和访问请求发送至虚拟PEP，虚拟PEP根据公钥和数字证书再次验证访问请求，验证通过后与被访问的系统建立连接。在需要结束访问时，内网用户的用户侧设备可以向接入控制器发送结束访问请求，接入控制器断开与虚拟PEP的连接并释放虚拟PEP的资源。

上述实施例提供的技术方案至少带来以下有益效果，策略引擎在接收到访问请求后，先对访问请求进行初步的身份信息验证。在验证通过后，创建用于访问系统的虚拟策略执行点，并通过数字证书，在虚拟策略执行点再次进行访问请求的身份验证和访问权限验证，验证通过后才能访问该系统，以保证系统的安全性。即便是通过身份信息验证的用户(如称为可信用户)，在访问保存有重要资源的系统时，也需要在虚拟策略执行点中进行再次验证，可以有效地避免攻击者通过伪造身份后，在企业内网的横向攻击，保证企业的内部网络的安全性。

进一步的，本申请实施例通过采用私钥加密和公钥解密的方式，在用户与虚拟策略执行点之间建立一条高安全性的通道，保证高风险级系统不会被攻击者通过伪造身份信息的方式入侵。另外，本申请实施例中虚拟策略执行点不是提前设置的固定网元，而是根据可信用户发送的访问请求临时建立的虚拟策略执行点，在访问结束后即可释放资源。这种采用虚拟策略执行点的方法可以大幅减少系统资源的浪费，避免系统负荷过重的情况。并且，由于是临时的虚拟策略执行点，攻击者无法采用暴力破解的方式入侵该虚拟策略执行点，极大降低了企业内网的安全风险。

在示例性的实施例中，本申请还提供一种零信任验证系统。该零信任验证系统可以包括一个或多个网络设备，用于实现以上方法实施例的零信任验证方法。

例如，图6为本申请实施例提供的一种零信任验证系统的组成示意图。如图6所示，该策略引擎包括：策略引擎601和边缘设备602。

策略引擎601用于，接收来自边缘设备发送的访问请求；访问请求包括第一用户的身份信息；在确定第一用户的身份信息合法后，创建虚拟策略执行点；向虚拟策略执行点发送访问请求对应的数字证书，向边缘设备发送虚拟策略执行点的地址；数字证书包括第一用户的身份信息及访问权限。

边缘设备602用于，根据虚拟策略执行点的地址，向虚拟策略执行点发送访问请求。

虚拟策略执行点用于，在访问请求中的用户身份信息为第一用户的身份信息，且访问权限允许访问请求访问目标系统的情况下，与目标系统建立连接。

在一些实施例中，策略引擎601还用于：获取第一用户的身份信息对应的访问权限；根据私钥，将第一用户的身份信息和访问权限加密，得到数字证书；向边缘设备发送私钥对应的公钥。

边缘设备602还用于，向虚拟策略执行点发送公钥；虚拟策略执行点还用于，根据公钥，解密数字证书，以获得第一用户的身份信息和访问权限。

在一些实施例中，策略引擎601具体用于：在目标系统为高风险级系统的情况下，创建虚拟策略执行点。

在一些实施例中，边缘设备602还用于：接收用户侧设备发送的结束访问请求；根据结束访问请求，与虚拟策略执行点断开连接，释放虚拟策略执行点占用的资源。

在示例性的实施例中，本申请实施例还提供了一种网络设备，该网络设备可以是上述方法实施例中的策略引擎，虚拟PEP或者边缘设备。图7为本申请实施例提供的网络设备的组成示意图。如图7所示，该网络设备可以包括：处理器701和存储器702；存储器702存储有处理器701可执行的指令；处理器701被配置为执行指令时，使得网络设备实现如前述方法实施例中描述的方法。

在示例性的实施例中，本申请实施例还提供一种计算机可读存储介质，其上存储有计算机程序指令；当计算机程序指令被计算机执行时，使得计算机实现如前述实施例中描述的方法。其中，计算机可以是上述网络设备。计算机可读存储介质可以是非临时性计算机可读存储介质，例如，非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。

在示例性的实施例中，本申请实施例还提供了一种计算机程序产品，当该计算机程序产品在计算机上运行时，使得计算机执行上述相关方法步骤，以实现上述实施例中的零信任验证方法。

以上，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何在本申请揭露的技术范围内的变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应该以权利要求的保护范围为准。