本申請涉及網(wǎng)絡(luò)安全，具體涉及一種基于零信任網(wǎng)絡(luò)的訪問處理方法及裝置、電子設(shè)備以及計(jì)算機(jī)可讀存儲介質(zhì)。

背景技術(shù)：

1、隨著云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新興技術(shù)的不斷興起，企業(yè)互聯(lián)網(wǎng)架構(gòu)正在從“有邊界”向“無邊界”轉(zhuǎn)變，傳統(tǒng)的基于防火墻的安全邊界逐漸瓦解。與此同時，零信任安全逐漸進(jìn)入人們的視野，成為解決新時代網(wǎng)絡(luò)安全問題的新理念及新架構(gòu)。在零信任網(wǎng)絡(luò)中，對于網(wǎng)絡(luò)資源的每個請求都必須是來自于經(jīng)過身份驗(yàn)證和授權(quán)的用戶。

2、在現(xiàn)有的零信任網(wǎng)絡(luò)訪問架構(gòu)中，當(dāng)用戶的網(wǎng)絡(luò)訪問因?yàn)閷?shí)際環(huán)境原因或依賴的服務(wù)或組件出現(xiàn)問題而出現(xiàn)中斷后，默認(rèn)零信任終端與零信任服務(wù)端之間的登錄服務(wù)正常，以及默認(rèn)零信任網(wǎng)關(guān)集群健康，通過在零信任終端側(cè)生成虛擬票據(jù)、零信任服務(wù)端自動放通、由安全終端生成票據(jù)等方法，實(shí)現(xiàn)在異常場景下將流量安全送到零信任網(wǎng)關(guān)，通過零信任網(wǎng)關(guān)正常轉(zhuǎn)發(fā)流量到業(yè)務(wù)服務(wù)器，保證企業(yè)網(wǎng)絡(luò)訪問的可持續(xù)使用，但是在零信任終端與零信任服務(wù)端之間的登錄服務(wù)異常的場景下則會直接影響用戶網(wǎng)絡(luò)訪問，導(dǎo)致零信任網(wǎng)絡(luò)訪問架構(gòu)的可用性較低。

技術(shù)實(shí)現(xiàn)思路

1、為解決如上技術(shù)問題，本申請的實(shí)施例分別提供了基于零信任網(wǎng)絡(luò)的訪問處理方法、基于零信任網(wǎng)絡(luò)的訪問處理裝置、電子設(shè)備、計(jì)算機(jī)可讀存儲介質(zhì)以及計(jì)算機(jī)程序產(chǎn)品。

2、第一方面，本申請實(shí)施例提供了一種基于零信任網(wǎng)絡(luò)的訪問處理方法，應(yīng)用于零信任終端，該方法包括：獲取來自于零信任服務(wù)端的登錄配置信息，所述登錄配置信息是在檢測到所述零信任網(wǎng)絡(luò)中的登錄服務(wù)出現(xiàn)異常后生成的，所述登錄配置信息包括偽登錄執(zhí)行條件信息；基于所述登錄配置信息確定所述零信任終端是否具備偽登錄的條件；在所述零信任終端具備執(zhí)行偽登錄的條件時，生成本地訪問票據(jù)，并將訪問會話流量和所述本地訪問票據(jù)發(fā)送至零信任網(wǎng)關(guān)，以使所述零信任網(wǎng)關(guān)在獨(dú)立執(zhí)行所述本地訪問票據(jù)的校驗(yàn)后，將所述訪問會話流量轉(zhuǎn)發(fā)至業(yè)務(wù)服務(wù)器。

3、第二方面，本申請實(shí)施例提供了一種基于零信任網(wǎng)絡(luò)的訪問處理裝置，配置在零信任終端上，該裝置包括：獲取模塊，配置為獲取來自于零信任服務(wù)端的登錄配置信息，所述登錄配置信息是在檢測到所述零信任網(wǎng)絡(luò)中的登錄服務(wù)出現(xiàn)異常后生成的，所述登錄配置信息包括偽登錄執(zhí)行條件信息；確定模塊，配置為基于所述登錄配置信息確定所述零信任終端是否具備執(zhí)行偽登錄的條件；第一處理模塊，配置為若所述零信任終端具備執(zhí)行偽登錄的條件，則生成本地訪問票據(jù)，并將訪問會話流量和所述本地訪問票據(jù)發(fā)送至零信任網(wǎng)關(guān)，以使所述零信任網(wǎng)關(guān)在獨(dú)立執(zhí)行所述本地訪問票據(jù)的校驗(yàn)后，將所述訪問會話流量轉(zhuǎn)發(fā)至業(yè)務(wù)服務(wù)器。

4、第三方面，本申請實(shí)施例提供了另一種基于零信任網(wǎng)絡(luò)的訪問處理方法，應(yīng)用于零信任服務(wù)端，該方法包括：接收零信任管理端發(fā)送的指示信息，所述指示信息用于指示所述零信任網(wǎng)絡(luò)中的登錄服務(wù)出現(xiàn)異常；響應(yīng)于所述指示信息，通知零信任網(wǎng)關(guān)進(jìn)入票據(jù)獨(dú)立校驗(yàn)狀態(tài)；在接收到所述零信任網(wǎng)關(guān)返回的響應(yīng)信息后，向零信任終端發(fā)送登錄配置信息，所述登錄配置信息包括偽登錄執(zhí)行條件信息，以使所述零信任終端基于所述登錄配置信息將訪問會話流量和本地訪問票據(jù)發(fā)送至零信任網(wǎng)關(guān)，所述零信任網(wǎng)關(guān)在獨(dú)立執(zhí)行所述本地訪問票據(jù)的校驗(yàn)后，將所述訪問會話流量轉(zhuǎn)發(fā)至業(yè)務(wù)服務(wù)器。

5、第四方面，本申請實(shí)施例提供了另一種基于零信任網(wǎng)絡(luò)的訪問處理裝置，配置在零信任服務(wù)端上，該裝置包括：第一接收模塊，配置為接收零信任管理端發(fā)送的指示信息，所述指示信息用于指示所述零信任網(wǎng)絡(luò)中的登錄服務(wù)出現(xiàn)異常；通知模塊，配置為響應(yīng)于所述指示信息，通知零信任網(wǎng)關(guān)進(jìn)入票據(jù)獨(dú)立校驗(yàn)狀態(tài)；第二處理模塊，配置為在接收到所述零信任網(wǎng)關(guān)返回的響應(yīng)信息后，向零信任終端發(fā)送登錄配置信息，所述登錄配置信息包括偽登錄執(zhí)行條件信息，以使所述零信任終端基于所述登錄配置信息將訪問會話流量和本地訪問票據(jù)發(fā)送至零信任網(wǎng)關(guān)，所述零信任網(wǎng)關(guān)在獨(dú)立執(zhí)行所述本地訪問票據(jù)的校驗(yàn)后，將所述訪問會話流量轉(zhuǎn)發(fā)至業(yè)務(wù)服務(wù)器。

6、第五方面，本申請實(shí)施例提供了另一種基于零信任網(wǎng)絡(luò)的訪問處理方法，應(yīng)用于零信任網(wǎng)關(guān)，該方法包括：響應(yīng)于零信任服務(wù)端發(fā)送的第一通知信息，進(jìn)入票據(jù)獨(dú)立校驗(yàn)狀態(tài)，并向所述零信任服務(wù)端發(fā)送響應(yīng)信息；接收零信任終端發(fā)送的訪問會話流量和本地訪問票據(jù)，所述本地訪問票據(jù)是所述零信任終端基于所述零信任服務(wù)端發(fā)送的登錄配置信息確定自身具備執(zhí)行偽登錄的條件后生成的，所述登錄配置信息包括偽登錄執(zhí)行條件信息；獨(dú)立執(zhí)行所述本地訪問票據(jù)的校驗(yàn)，并在校驗(yàn)通過后將所述訪問會話流量轉(zhuǎn)發(fā)至業(yè)務(wù)服務(wù)器。

7、第六方面，本申請實(shí)施例提供了另一種基于零信任網(wǎng)絡(luò)的訪問處理裝置，配置在零信任網(wǎng)關(guān)上，該裝置包括：響應(yīng)模塊，配置為響應(yīng)于零信任服務(wù)端發(fā)送的第一通知信息，進(jìn)入票據(jù)獨(dú)立校驗(yàn)狀態(tài)，并向所述零信任服務(wù)端發(fā)送響應(yīng)信息；第二接收模塊，配置為接收零信任終端發(fā)送的訪問會話流量和本地訪問票據(jù)，所述本地訪問票據(jù)是所述零信任終端基于所述零信任服務(wù)端發(fā)送的登錄配置信息確定具備執(zhí)行偽登錄的條件后生成的，所述登錄配置信息包括偽登錄執(zhí)行條件信息；第三處理模塊，配置為獨(dú)立執(zhí)行所述本地訪問票據(jù)的校驗(yàn)，并在校驗(yàn)通過后將所述訪問會話流量轉(zhuǎn)發(fā)至業(yè)務(wù)服務(wù)器。

8、第七方面，本申請實(shí)施例提供了一種電子設(shè)備，包括：一個或多個處理器；存儲器，用于存儲一個或多個程序，當(dāng)所述一個或多個程序被所述一個或多個處理器執(zhí)行時，使得所述電子設(shè)備實(shí)現(xiàn)如前任一項(xiàng)所述的基于零信任網(wǎng)絡(luò)的訪問處理方法中的步驟。

9、第八方面，本申請實(shí)施例提供了一種計(jì)算機(jī)可讀存儲介質(zhì)，其上存儲有計(jì)算機(jī)可讀指令，當(dāng)所述計(jì)算機(jī)可讀指令被計(jì)算機(jī)的處理器執(zhí)行時，使計(jì)算機(jī)執(zhí)行如上任一項(xiàng)所述的基于零信任網(wǎng)絡(luò)的訪問處理方法中的步驟。

10、第九方面，本申請實(shí)施例提供了一種計(jì)算機(jī)程序產(chǎn)品，包括計(jì)算機(jī)程序，該計(jì)算機(jī)程序被處理器執(zhí)行時實(shí)現(xiàn)如上任一項(xiàng)所述的基于零信任網(wǎng)絡(luò)的訪問處理方法中的步驟。

11、在本申請的實(shí)施例所提供的技術(shù)方案中，在登錄服務(wù)異常的情況下，通過零信任服務(wù)端向零信任終端發(fā)送包含偽登錄執(zhí)行條件信息的登錄配置信息，使得零信任終端根據(jù)登錄配置信息確定自身是否具備零信任服務(wù)端要求的執(zhí)行偽登錄的條件，并在符合條件的情況下將訪問會話流量和生成的本地訪問票據(jù)發(fā)送給零信任網(wǎng)關(guān)，使零信任網(wǎng)關(guān)在獨(dú)立執(zhí)行本地訪問票據(jù)的校驗(yàn)后，將訪問會話流量轉(zhuǎn)發(fā)至業(yè)務(wù)服務(wù)器，這相當(dāng)于是通過特殊通道給零信任終端和零信任網(wǎng)關(guān)發(fā)送特殊開關(guān)，讓零信任終端進(jìn)入偽登錄狀態(tài)，并聯(lián)動零信任網(wǎng)關(guān)進(jìn)入票據(jù)獨(dú)立檢驗(yàn)的狀態(tài)，以使零信任終端仍能將訪問會話流量傳輸至零信任網(wǎng)關(guān)，零信任網(wǎng)關(guān)也能將訪問會話流量傳輸至業(yè)務(wù)服務(wù)器，由此保證了正常的用戶網(wǎng)絡(luò)訪問，能夠提升零信任網(wǎng)絡(luò)架構(gòu)的可用性。

12、應(yīng)理解的是，以上的一般描述和后文的細(xì)節(jié)描述僅是示例性和解釋性的，并不能限制本申請。

技術(shù)特征：

1.一種基于零信任網(wǎng)絡(luò)的訪問處理方法，其特征在于，應(yīng)用于零信任終端，所述方法包括：

2.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述基于所述登錄配置信息確定所述零信任終端是否具備執(zhí)行偽登錄的條件，包括：

3.根據(jù)權(quán)利要求2所述的方法，其特征在于，所述確定所述零信任終端中的登錄條件參數(shù)是否滿足所述登錄配置信息中包含的偽登錄執(zhí)行條件信息，包括：

4.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述方法還包括：

5.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述生成本地訪問票據(jù)，包括：

6.根據(jù)權(quán)利要求5所述的方法，其特征在于，所述根據(jù)票據(jù)內(nèi)容信息生成票據(jù)有效載荷和票據(jù)簽名，包括：

7.根據(jù)權(quán)利要求1-6任一項(xiàng)所述的方法，其特征在于，所述方法還包括：

8.根據(jù)權(quán)利要求1-6任一項(xiàng)所述的方法，其特征在于，所述將訪問會話流量和所述本地訪問票據(jù)發(fā)送至零信任網(wǎng)關(guān)，包括：

9.一種基于零信任網(wǎng)絡(luò)的訪問處理方法，其特征在于，應(yīng)用于零信任服務(wù)端，所述方法包括：

10.根據(jù)權(quán)利要求9所述的方法，其特征在于，所述方法還包括：

11.一種基于零信任網(wǎng)絡(luò)的訪問處理方法，其特征在于，應(yīng)用于零信任網(wǎng)關(guān)，所述方法包括：

12.根據(jù)權(quán)利要求11所述的方法，其特征在于，所述方法還包括：

13.一種基于零信任網(wǎng)絡(luò)的訪問處理裝置，其特征在于，配置于零信任終端上，所述裝置包括：

14.一種基于零信任網(wǎng)絡(luò)的訪問處理裝置，其特征在于，配置于零信任服務(wù)端上，所述裝置包括：

15.一種基于零信任網(wǎng)絡(luò)的訪問處理裝置，其特征在于，配置于零信任網(wǎng)關(guān)上，所述方法包括：

16.一種電子設(shè)備，其特征在于，包括：

17.一種計(jì)算機(jī)可讀存儲介質(zhì)，其特征在于，其上存儲有計(jì)算機(jī)可讀指令，當(dāng)所述計(jì)算機(jī)可讀指令被計(jì)算機(jī)的處理器執(zhí)行時，使計(jì)算機(jī)執(zhí)行權(quán)利要求1至12中任一項(xiàng)所述的基于零信任網(wǎng)絡(luò)的訪問處理方法。

技術(shù)總結(jié)
本申請的實(shí)施例揭示了基于零信任網(wǎng)絡(luò)的訪問處理方法及裝置、電子設(shè)備、介質(zhì)。應(yīng)用于零信任終端的方法包括：獲取來自于零信任服務(wù)端的登錄配置信息，所述登錄配置信息是在檢測到所述零信任網(wǎng)絡(luò)中的登錄服務(wù)出現(xiàn)異常后生成的，所述登錄配置信息包括偽登錄執(zhí)行條件信息；基于所述登錄配置信息確定所述零信任終端是否具備偽登錄的條件；在所述零信任終端具備執(zhí)行偽登錄的條件時，生成本地訪問票據(jù)，并將訪問會話流量和所述本地訪問票據(jù)發(fā)送至零信任網(wǎng)關(guān)，以使所述零信任網(wǎng)關(guān)在獨(dú)立執(zhí)行所述本地訪問票據(jù)的校驗(yàn)后，將所述訪問會話流量轉(zhuǎn)發(fā)至業(yè)務(wù)服務(wù)器。本申請能夠保證登錄服務(wù)異常情況下正常的用戶網(wǎng)絡(luò)訪問，能夠提升零信任網(wǎng)絡(luò)架構(gòu)的可用性。

技術(shù)研發(fā)人員：吳岳廷
受保護(hù)的技術(shù)使用者：騰訊科技（深圳）有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2024/10/21