一种零信任验证方法、系统及存储介质与流程

1.本技术涉及网络安全技术领域，尤其涉及一种零信任验证方法、系统及存储介质。


背景技术：

2.随着移动/远程办公和云计算等技术的快速发展，传统的安全防护建设理念已无法应对移动互联网时代的安全挑战，局限性正日益凸显。对于企业的内部网络来说，一旦攻击者突破企业的内部网络的防护边界，则攻击者便可获得该内部网络的“合法身份”，从而可以在内部网络不受阻碍地进行横向攻击。
3.为应对上述问题，零信任技术应运而生。零信任技术是一种基于零信任原则(任何网络位置都不值得信任/任何未经验证的设备都不值得信任)建立的企业网络安全策略，可以防止企业的内部网络数据泄露，限制企业的内部网络中的攻击者的横向移动和攻击破坏。但是，目前零信任技术还不成熟，体系架构还不完善，不能有效地验证用户的访问请求。因此，企业的内部网络仍存在被非法入侵的风险。


技术实现要素：

4.本技术提供一种零信任验证方法、系统及存储介质，可以有效地防止攻击者在企业的内部网络中的横向攻击，保证企业的内部网络的安全性。
5.第一方面，本技术提供一种零信任验证方法，该方法包括：策略引擎接收来自边缘设备发送的访问请求；访问请求包括第一用户的身份信息；策略引擎在确定第一用户的身份信息合法后，创建虚拟策略执行点；策略引擎向虚拟策略执行点发送访问请求对应的数字证书，向所述边缘设备发送所述虚拟策略执行点的地址；数字证书包括第一用户的身份信息及访问权限；边缘设备向虚拟策略执行点发送访问请求；在访问请求中的用户身份信息为第一用户的身份信息，且访问权限允许访问请求访问目标系统的情况下，虚拟策略执行点与目标系统建立连接。
6.一种可能的实现方式中，上述方法还包括：策略引擎获取第一用户的身份信息对应的访问权限；策略引擎根据私钥，将第一用户的身份信息和访问权限加密，得到数字证书；策略引擎向边缘设备发送私钥对应的公钥；边缘设备向虚拟策略执行点发送公钥；虚拟策略执行点根据公钥，解密数字证书，以获得第一用户的身份信息和访问权限。
7.另一种可能的实现方式中，创建虚拟策略执行点，包括：在目标系统为高风险级系统的情况下，创建虚拟策略执行点。
8.又一种可能的实现方式中，上述方法还包括：边缘设备接收用户侧设备发送的结束访问请求；边缘设备根据结束访问请求，与虚拟策略执行点断开连接，释放虚拟策略执行点占用的资源。
9.本技术提供的零信任验证方法，使得策略引擎在接收到访问请求后，先对访问请求进行初步的身份信息验证。在验证通过后，创建用于访问系统的虚拟策略执行点，并通过数字证书，在虚拟策略执行点再次进行访问请求的身份验证和访问权限验证，验证通过后
才能访问该系统，以保证系统的安全性。即便是通过身份信息验证的用户(如称为可信用户)，在访问保存有重要资源的系统时，也需要在虚拟策略执行点中进行再次验证，可以有效地避免攻击者通过伪造身份后，在企业内网的横向攻击，保证企业的内部网络的安全性。
10.进一步的，本技术实施例通过采用私钥加密和公钥解密的方式，在用户与虚拟策略执行点之间建立一条高安全性的通道，保证高风险级系统不会被攻击者通过伪造身份信息的方式入侵。另外，本技术实施例中虚拟策略执行点不是提前设置的固定网元，而是根据可信用户发送的访问请求临时建立的虚拟策略执行点，在访问结束后即可释放资源。这种采用虚拟策略执行点的方法可以大幅减少系统资源的浪费，避免系统负荷过重的情况。并且，由于是临时的虚拟策略执行点，攻击者无法采用暴力破解的方式入侵该虚拟策略执行点，极大降低了企业内网的安全风险。
11.第二方面，本技术提供一种零信任验证系统，包括策略引擎和边缘设备；策略引擎用于，接收来自边缘设备发送的访问请求；访问请求包括第一用户的身份信息；在确定第一用户的身份信息合法后，创建虚拟策略执行点；向虚拟策略执行点发送访问请求对应的数字证书，向边缘设备发送虚拟策略执行点的地址；数字证书包括第一用户的身份信息及访问权限；边缘设备用于，根据虚拟策略执行点的地址，向虚拟策略执行点发送访问请求；虚拟策略执行点用于，在访问请求中的用户身份信息为第一用户的身份信息，且访问权限允许访问请求访问目标系统的情况下，与目标系统建立连接。
12.一种可能的实现方式中，策略引擎还用于：获取第一用户的身份信息对应的访问权限；根据私钥，将第一用户的身份信息和访问权限加密，得到数字证书；向边缘设备发送私钥对应的公钥；边缘设备还用于，向虚拟策略执行点发送公钥；虚拟策略执行点还用于，根据公钥，解密数字证书，以获得第一用户的身份信息和访问权限。
13.另一种可能的实现方式中，策略引擎具体用于：在目标系统为高风险级系统的情况下，创建虚拟策略执行点。
14.又一种可能的实现方式中，边缘设备还用于：接收用户侧设备发送的结束访问请求；根据结束访问请求，与虚拟策略执行点断开连接，释放虚拟策略执行点占用的资源。
15.第三方面，本技术提供一种网络设备，该网络设备包括：处理器和存储器；存储器存储有处理器可执行的指令；处理器被配置为执行指令时，使得网络设备实现上述第一方面的方法。
16.第四方面，本技术提供一种计算机可读存储介质，该计算机可读存储介质包括：计算机软件指令；当计算机软件指令在网络设备中运行时，使得网络设备实现上述第一方面的方法。
17.上述第二方面至第四方面的有益效果可以参考第一方面的对应描述，不再赘述。
附图说明
18.图1为本技术提供的一种零信任验证方法的网络架构示意图；
19.图2为本技术提供的一种零信任验证方法的流程示意图；
20.图3为本技术提供的另一种零信任验证方法的流程示意图；
21.图4为本技术提供的一种对于外网用户的零信任验证方法的流程示意图；
22.图5为本技术提供的一种对于内网用户的零信任验证方法的流程示意图；
decision point，pdp)、通用服务器和客体/系统。
33.其中，访问主体用于访问企业内网。该访问主体可以是手机终端、笔记本电脑、平板电脑等任意具备上网功能的用户侧设备，本技术实施例对访问主体的具体设备种类不作限制。
34.安全代理为设置在企业内网边缘的设备，用于初步验证来自外网的访问请求与转发该访问请求。
35.接入控制器主要用于企业内网中的各种访问请求的中转与转发。
36.策略引擎是零信任体系中的核心大脑，提供公钥基础设施/证书颁发机构(public key infrastructure/certificate authority,pki/ca)服务，身份识别与访问管理(identity and access management，iam)服务，策略服务，密码服务以及风险评估服务等。策略引擎还可以根据本技术提供的方案，创建如图1中所示的虚拟策略执行点(policy enforcement point，pep)。虚拟pep可以采用容器技术生成，可以根据用户权限与一个或多个客体/系统进行连接，是用户访问客体/系统的关键网络节点。
37.pdp，用于根据策略引擎生成的策略评估结果，决定是否允许用户的资源访问请求。
38.客体/系统是企业内网中独立的具有相应功能的服务器及系统区域，用户可以在此获取相应的资源，并根据自身的权限进行相应的操作。通用服务器的功能与客体/系统一致，区别在于客体/系统中资源较为重要，需要重点保护。
39.该网络架构可以划分为区域a,区域b和区域c。其中，区域a包括访问主体，分别为位于外网的用户的访问主体1和位于内网的用户的访问主体2，主要用于表示访问请求的发起方。区域b包括策略引擎和pdp，主要用于表示访问请求的核心处理区域。区域c包括虚拟pep，通用服务器和客体/系统主要用于表示被访问请求访问的区域。
40.在一些实施例中，上述安全代理和接入控制器可统称为边缘设备。边缘设备在接收到用户的访问主体发送的访问请求后，可以将该访问请求发送给策略引擎进行第一次验证，在验证通过后，边缘设备可以将该访问请求发送给虚拟pep进行第二次验证，在第二次验证也通过的情况下，访问主体才能访问到需要访问的客体/系统。这种二次验证的机制，以保证企业内网中客体/系统的安全性。
41.图2为本技术实施例提供的一种零信任验证方法的流程示意图。示例性的，本技术提供的零信任验证方法，可以应用于图1示意的网络架构中。
42.如图2所示，本技术实施例提供的零信任验证方法具体可以包括以下步骤：
43.s201、策略引擎接收来自边缘设备发送的访问请求。
44.其中，访问请求包括第一用户的身份信息。边缘设备用于接收来自用户侧设备的访问请求并将访问请求进行转发。
45.用户在访问企业内网时，策略引擎可以接收来自边缘设备发送的访问请求，以对该访问请求的中第一用户的身份信息进行初步的验证。
46.s202、策略引擎在确定第一用户的身份信息合法后，创建虚拟pep。
47.在接收到访问请求后，策略引擎可以确定访问请求中第一用户的身份信息的合法性。策略引擎在确定第一用户的身份信息合法后，可以创建虚拟pep。
48.s203、策略引擎向虚拟pep发送访问请求对应的数字证书，向边缘设备发送虚拟
pep的地址。
49.其中，该数字证书包括第一用户的身份信息及访问权限。
50.在创建虚拟pep后，策略引擎可以向虚拟pep发送用于验证访问请求合法的数字证书，并向边缘设备发送虚拟pep的地址，以使得边缘设备与虚拟pep建立连接。数字证书的获取过程具体参见图3中s304，在此不作详细赘述。具体边缘设备与虚拟pep连接的过程参考图3中s307，在此不作详细赘述。
51.具体的，s203中策略引擎可以采用加密的方式，向虚拟pep发送访问请求对应的数字证书，本技术实施例对于加密的具体方式不予限定。
52.s204、边缘设备向虚拟pep发送访问请求。
53.在策略引擎指示边缘设备与虚拟pep连接后，边缘设备可以向虚拟pep发送访问请求，以使得虚拟pep对该访问请求进行验证。具体的，边缘设备可以向虚拟pep发送访问请求，以使得虚拟pep对该访问请求中包括的第一用户的身份信息进行验证。
54.s205、在访问请求中的用户身份信息为第一用户的身份信息，且访问权限允许访问请求访问目标系统的情况下，虚拟pep与目标系统建立连接。
55.其中，目标系统为访问请求指示的需要访问的系统。
56.虚拟pep在接收到访问请求和数字证书后，虚拟pep可以根据数字证书，验证该访问请求。访问请求中的用户身份信息为数字证书中第一用户的身份信息，且数字证书中访问权限允许访问请求访问目标系统的情况下，虚拟pep可以与目标系统建立连接，使得用户可以访问需要访问的系统以执行相应的业务操作。
57.上述实施例提供的技术方案至少带来以下有益效果，策略引擎在接收到访问请求后，先对访问请求进行初步的身份信息验证。在验证通过后，创建用于访问系统的虚拟策略执行点，并通过数字证书，在虚拟策略执行点再次进行访问请求的身份验证和访问权限验证，验证通过后才能访问该系统，以保证系统的安全性。即便是通过身份信息验证的用户(如称为可信用户)，在访问保存有重要资源的系统时，也需要在虚拟策略执行点中进行再次验证，可以有效地避免攻击者通过伪造身份后，在企业内网的横向攻击，保证企业的内部网络的安全性。
58.以下将结合具体实施例详细阐述本技术实施例提供的一种零信任访问方法，该方法可以应用于上述应用环境。如图3所示，该零信任验证方法可以包括如下s301-s312。
59.s301、边缘设备接收到访问请求，将访问请求发送给策略引擎。
60.其中，访问请求包括第一用户的身份信息。
61.用户在访问企业内网时，需要通过各自的用户侧设备(例如手机，平板电脑等)来访问。因此，在一些实施例中，边缘设备可以接收到访问请求，将访问请求发送给策略引擎。
62.需要说明的是，对于不同类型的用户，访问企业内网的方式有所不同。示例性的，如图1所示，对于企业内网之外的用户(例如称为外网用户)来说，外网用户的用户侧设备(例如图1中的访问主体1)上安装有该企业内网的专用客户端，外网用户可以通过用户侧设备上的专用客户端，向企业内网中的安全代理发送访问请求。即需要访问企业内网的用户为外网用户时，上述边缘设备为图1中的安全代理。
63.又示例性的，如图1所示，对于企业内网之内的用户(例如称为内网用户)来说，内网用户的用户侧设备(例如图1中的访问主体2)上安装有该企业内网的专用客户端，或者用
户侧设备的浏览器上安装有专用插件。内网用户无需通过安全代理，可以直接访问到企业内网。因此，外网用户可以通过用户侧设备上的专用客户端或者浏览器，向企业内网中的接入控制器发送访问请求。即需要访问企业内网的用户为内网用户时，上述边缘设备为图1中的接入控制器。
64.在图1中所示的网络架构中，安全代理和接入控制器都是通过pdp与策略引擎连接。因此，在一些实施例中，安全代理接收到外网用户的用户侧设备发送的访问请求后，通过pdp，向策略引擎发送该访问请求。接入控制器接收到内网用户的用户侧设备发送的访问请求后，通过pdp，向策略引擎发送该访问请求。
65.s302、策略引擎在确定第一用户的身份信息合法后，创建虚拟pep。
66.如前所述，策略引擎具备身份识别和访问管理服务，访问企业内网的用户为已经在企业内网注册过的用户。因此，策略引擎可以根据访问请求中身份信息，确定该用户是否为可信用户。
67.策略引擎在确定第一用户的身份信息合法后，可以创建虚拟pep，用于可信用户通过该虚拟pep访问目标系统。该第一用户即为访问请求所属的用户。
68.其中，访问请求指示了要访问的目标系统，例如，该访问请求可以是一连串的字段，该字段的前半部分用于指示用户的身份信息，后半部分用于指示目标系统的标识。标识的具体内容可以根据实际需求配置，只要能指示需要访问的目标系统即可，本技术实施例对此不作具体限制。目标系统的不同，策略引擎执行如下不同的方案：
69.一种可能的实现方式中，在目标系统为高风险级系统的情况下，策略引擎在s301中接收到访问请求后，执行s302。该高风险级系统可以为企业内网的保存有重要资源的客体/系统。
70.其中，可以根据实际需求，将安全性要求高的系统配置为高风险级系统，例如财务系统和敏感数据库系统可以为高风险级系统。在零信任体系中，该高风险级系统处于单独隔离的状态。如图1中示意的客体/系统即为高风险级系统，以保证安全性。因此，在可信用户需要访问该高风险级系统时，策略引擎可以建立虚拟pep以连接被隔离的高风险级系统。虚拟pep可以采用容器技术生成，设置在企业内网的网络设备中，例如该网络设备可以为图1中接入控制器中的一部分，也可以是独立的网元，本技术实施例对此不与限制。
71.另一种可能的实现方式中，在目标系统为低风险级系统的情况下，该低风险级系统可以为企业内网的保存有普通资源服务器(例如图1中通用服务器)。
72.其中，可以根据实际需求，将安全性要求低的系统配置为低风险级系统，例如门户系统和邮件系统等可以作为风险等级较低的系统。为了提高访问效率和减小资源的使用，对于低风险系统，策略引擎在s301中接收到访问请求后，可以不执行s302，可以直接通过pdp指示接入控制器与低风险级系统建立连接，使得用户可以直接访问低风险级系统。
73.需要说明的是，虚拟pep的个数跟访问用户的个数有关，每当有可信用户需有访问高风险级系统时，就创建一个该可信用户对应的虚拟pep，进一步保证高风险级系统的安全性。
74.s303、策略引擎获取第一用户的身份信息对应的访问权限。
75.一般来说，对于不同的用户，在企业内网进行注册时，企业内网的策略引擎会根据用户的身份信息，对这些用户分配不同的访问权限。因此，在一些实施例中，策略引擎可以
根据第一用户的身份信息，获取第一用户对应的访问权限。
76.s304、策略引擎根据私钥，将第一用户的身份信息和访问权限加密，得到数字证书。
77.如前所述，策略引擎还支持pki/ca服务。可以生成公私钥对，以采用公私钥对对访问请求进行验证。在一些实施例中，策略引擎可以根据私钥，将第一用户的身份信息和访问权限加密，得到数字证书，用于后续验证访问请求。另外，数字证书中还可以包括用户访问时的时间戳，用于提示数字证书的时效性。
78.s305、策略引擎向边缘设备发送私钥对应的公钥。
79.在一些实施例中，策略引擎可以向边缘设备发送私钥对应的公钥，以后续验证访问请求。
80.s306、策略引擎向虚拟pep发送访问请求对应的数字证书。
81.其中，数字证书用于验证第一用户发送的访问请求合法。
82.在一些实施例中，在得到数字证书后，策略引擎可以向创建的虚拟pep发送访问请求对应的数字证书，以验证访问请求是否合法。
83.具体的，在得到数字证书后策略引擎可以直接向创建的虚拟pep发送数字证书，也可以将数字证书进行再次加密并发送给虚拟pep，使得系统的安全性更高。本技术实施例对具体加密的方式不与限制。
84.需要说明的是，上述s305可以在s306之前执行，也可以在s306之后执行，又或者可以同时执行，本技术实施例对此不作具体限制，图3中只是示意了一种可能的执行顺序，并不构成限定。
85.s307、策略引擎指示边缘设备与虚拟pep连接。
86.在确认第一用户为可信用户(即s302中确认第一用户发送的访问请求合法，且建立了虚拟pep)后，策略引擎可以指示边缘设备与虚拟pep连接。
87.如前所述，pdp可以决定是否允许用户的资源访问请求。因此，在一些实施例中，策略引擎可以向pdp返回身份评估结果，身份评估结果可以用于指示向第一用户建立了访问系统的虚拟pep，身份评估结果的内容可以是一个标识，或者其他内容，本技术实施例不予限定。pdp根据身份评估结果，指示边缘设备与虚拟pep连接。具体的，策略引擎可以通过pdp向边缘设备发送虚拟pep的地址，以指示边缘设备根据虚拟pep的地址与虚拟pep连接。
88.其中，边缘设备与虚拟pep连接，可以是与虚拟pep所在的网络设备连接。
89.示例性的，若可信用户为外网用户，s307具体实现为：策略引擎向pdp反馈身份评估结果，pdp根据身份评估结果，确定已建立了虚拟pep，pdp可以指示接入控制器与安全代理连接，接入控制器与虚拟pep连接，使得外网用户可以访问到建立的虚拟pep。
90.又示例性的，若可信用户为内网用户，s307具体实现为：策略引擎向pdp反馈身份评估结果，pdp根据身份评估结果，确定已建立了虚拟pep，pdp可以指示接入控制器与虚拟pep连接，使得内网用户可以访问到建立的虚拟pep。
91.s308、边缘设备向虚拟pep发送访问请求和公钥，用于虚拟pep根据公钥验证访问请求。
92.其中，公钥可以用于对私钥加密的数字证书进行解密。
93.在一些实施例中，边缘设备在s305中接收到公钥,且边缘设备在s307中与虚拟pep
连接后，边缘设备可以向虚拟pep发送公钥和访问请求，用于虚拟pep根据公钥来再次验证该访问请求。
94.需要说明的是，边缘设备可以同时发送公钥和访问请求，也可以分别发送公钥和访问请求，本技术实施例在此仅提供一种示例性的方式，对具体的先后顺序不作限制。
95.s309、虚拟pep根据公钥，解密数字证书，以获得第一用户的身份信息和访问权限。
96.在一些实施例中，网络设备可以根据公钥，对数字证书进行解密，以获得第一用户的身份信息和访问权限。
97.需要说明的是，数字证书是使用私钥对是身份信息和访问权限进行加密得到的，然后采用私钥对应的公钥来解密数字证书。这种私钥加密，公钥解密的方式，可以保证数字证书是由策略引擎发送的，并且不会被攻击者私自篡改。防止攻击者通过伪造数字证书通过验证，对企业内网造成破坏。
98.s310、在访问请求中的用户身份信息为第一用户的身份信息，且访问权限允许访问请求访问目标系统的情况下，虚拟pep与目标系统建立连接。
99.如前所述，零信任技术是任何网络位置都不值得信任/任何未经验证的设备都不值得信任。即便是身份信息通过验证的可信用户，在访问高风险级系统前，也需要再次验证访问请求的合法性，防止攻击者伪造身份的情况发生。
100.在一些实施例中，在s309中虚拟pep在解密数字证书获得第一用户的身份信息后，可以跟访问请求中的身份信息比对。并且，在s309中解密数字证书获得访问权限后，跟访问请求对比。若在访问请求中的用户身份信息为第一用户的身份信息，且访问权限允许访问请求访问目标系统的情况下，验证通过，该虚拟pep与目标系统建立连接，使得用户可以访问到系统进行相关的业务操作。
101.在第一用户访问结束后，可以释放为其建立的虚拟pep，减小系统资源的浪费。如图3所示，本技术实施例提供的方法还可以包括如下s311-s312。
102.s311、边缘设备接收用户侧设备的结束访问请求。
103.在一些实施例中，边缘设备可以结束用户侧设备发送的结束访问请求。例如，用户在手机终端上关闭网页，退出登录等操作可视为用户结束访问，则用户侧设备可以向边缘设备发送结束访问请求。
104.s312、边缘设备根据结束访问请求，与虚拟策略执行点断开连接，释放虚拟策略执行点占用的资源。
105.在一些实施例中，边缘设备在结束到结束访问请求后，可以根据该结束访问请求，断开与虚拟pep的连接，并释放虚拟pep所占用的资源。
106.示例性的，由于虚拟pep为设置在接入控制器中的虚拟网络节点，且接入控制器是最靠近用户侧的网络设备，可以处理用户(包括内网用户和外网用户)的访问请求。因此，接入控制器在结束到结束访问请求后，可以断开与虚拟pep的连接，并且释放创建虚拟pep所占用的内存资源和网络资源等资源，即销毁该用户对应临时创建的虚拟pep。
107.本技术实施例还提供一种对于外网用户的零信任验证方法，如图4所示。首先，外网用户的用户侧设备向安全代理发送访问请求，安全代理将访问请求通过pdp发送给策略引擎。策略引擎在初步验证访问请求通过后，创建虚拟pep和数字证书，向虚拟pep发送数字证书，并向pdp发送身份评估结果。pdp根据评估结果，指示安全代理与接入控制器连接，接
入控制器与虚拟pep连接。另外，策略引擎还向安全代理发送公钥。进一步的，安全代理将公钥和访问请求发送至虚拟pep，虚拟pep根据公钥和数字证书再次验证访问请求，验证通过后与被访问的系统建立连接。在需要结束访问时，外网用户的用户侧设备可以向接入控制器发送结束访问请求，接入控制器断开与虚拟pep的连接并释放虚拟pep的资源。
108.本技术实施例还提供一种对于内网用户的零信任验证方法，如图5所示。首先，内网用户的用户侧设备向接入控制器发送访问请求，接入控制器将访问请求通过pdp发送给策略引擎。策略引擎在初步验证访问请求通过后，创建虚拟pep和数字证书，向虚拟pep发送数字证书，并向pdp发送身份评估结果。pdp根据评估结果，指示接入控制器与虚拟pep连接。另外，策略引擎还向接入控制器发送公钥。进一步的，接入控制器将公钥和访问请求发送至虚拟pep，虚拟pep根据公钥和数字证书再次验证访问请求，验证通过后与被访问的系统建立连接。在需要结束访问时，内网用户的用户侧设备可以向接入控制器发送结束访问请求，接入控制器断开与虚拟pep的连接并释放虚拟pep的资源。
109.上述实施例提供的技术方案至少带来以下有益效果，策略引擎在接收到访问请求后，先对访问请求进行初步的身份信息验证。在验证通过后，创建用于访问系统的虚拟策略执行点，并通过数字证书，在虚拟策略执行点再次进行访问请求的身份验证和访问权限验证，验证通过后才能访问该系统，以保证系统的安全性。即便是通过身份信息验证的用户(如称为可信用户)，在访问保存有重要资源的系统时，也需要在虚拟策略执行点中进行再次验证，可以有效地避免攻击者通过伪造身份后，在企业内网的横向攻击，保证企业的内部网络的安全性。
110.进一步的，本技术实施例通过采用私钥加密和公钥解密的方式，在用户与虚拟策略执行点之间建立一条高安全性的通道，保证高风险级系统不会被攻击者通过伪造身份信息的方式入侵。另外，本技术实施例中虚拟策略执行点不是提前设置的固定网元，而是根据可信用户发送的访问请求临时建立的虚拟策略执行点，在访问结束后即可释放资源。这种采用虚拟策略执行点的方法可以大幅减少系统资源的浪费，避免系统负荷过重的情况。并且，由于是临时的虚拟策略执行点，攻击者无法采用暴力破解的方式入侵该虚拟策略执行点，极大降低了企业内网的安全风险。
111.在示例性的实施例中，本技术还提供一种零信任验证系统。该零信任验证系统可以包括一个或多个网络设备，用于实现以上方法实施例的零信任验证方法。
112.例如，图6为本技术实施例提供的一种零信任验证系统的组成示意图。如图6所示，该策略引擎包括：策略引擎601和边缘设备602。
113.策略引擎601用于，接收来自边缘设备发送的访问请求；访问请求包括第一用户的身份信息；在确定第一用户的身份信息合法后，创建虚拟策略执行点；向虚拟策略执行点发送访问请求对应的数字证书，向边缘设备发送虚拟策略执行点的地址；数字证书包括第一用户的身份信息及访问权限。
114.边缘设备602用于，根据虚拟策略执行点的地址，向虚拟策略执行点发送访问请求。
115.虚拟策略执行点用于，在访问请求中的用户身份信息为第一用户的身份信息，且访问权限允许访问请求访问目标系统的情况下，与目标系统建立连接。
116.在一些实施例中，策略引擎601还用于：获取第一用户的身份信息对应的访问权
限；根据私钥，将第一用户的身份信息和访问权限加密，得到数字证书；向边缘设备发送私钥对应的公钥。
117.边缘设备602还用于，向虚拟策略执行点发送公钥；虚拟策略执行点还用于，根据公钥，解密数字证书，以获得第一用户的身份信息和访问权限。
118.在一些实施例中，策略引擎601具体用于：在目标系统为高风险级系统的情况下，创建虚拟策略执行点。
119.在一些实施例中，边缘设备602还用于：接收用户侧设备发送的结束访问请求；根据结束访问请求，与虚拟策略执行点断开连接，释放虚拟策略执行点占用的资源。
120.在示例性的实施例中，本技术实施例还提供了一种网络设备，该网络设备可以是上述方法实施例中的策略引擎，虚拟pep或者边缘设备。图7为本技术实施例提供的网络设备的组成示意图。如图7所示，该网络设备可以包括：处理器701和存储器702；存储器702存储有处理器701可执行的指令；处理器701被配置为执行指令时，使得网络设备实现如前述方法实施例中描述的方法。
121.在示例性的实施例中，本技术实施例还提供一种计算机可读存储介质，其上存储有计算机程序指令；当计算机程序指令被计算机执行时，使得计算机实现如前述实施例中描述的方法。其中，计算机可以是上述网络设备。计算机可读存储介质可以是非临时性计算机可读存储介质，例如，非临时性计算机可读存储介质可以是rom、随机存取存储器(ram)、cd-rom、磁带、软盘和光数据存储设备等。
122.在示例性的实施例中，本技术实施例还提供了一种计算机程序产品，当该计算机程序产品在计算机上运行时，使得计算机执行上述相关方法步骤，以实现上述实施例中的零信任验证方法。
123.以上，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何在本技术揭露的技术范围内的变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应该以权利要求的保护范围为准。