零信任验证方法、装置、系统及电子设备与流程

1.本技术涉及网络安全领域，具体而言，涉及一种零信任验证方法、装置、系统及电子设备。


背景技术：

2.目前相关技术中在用户希望访问某些业务资源时，通常只会对访问用户的身份进行认证，但是无法对用户所使用的设备安全环境进行验证，导致无法保证零信任验证过程的安全性，容易导致数据泄露。
3.针对上述的问题，目前尚未提出有效的解决方案。


技术实现要素：

4.本技术实施例提供了一种零信任验证方法、装置、系统及电子设备，以至少解决由于相关技术中无法对终端设备的安全环境进行验证造成的无法保证验证过程的安全性的技术问题。
5.根据本技术实施例的一个方面，提供了一种零信任验证方法，包括：依据目标终端设备的环境安全情况，生成目标终端设备的设备状态安全信息，并依据设备状态安全信息生成安全信息特征值，其中，设备状态安全信息和安全信息特征值用于确认目标终端设备的安全状态；在目标终端设备生成第一目标报文后，在网络层中在第一目标报文中添加设备状态安全信息和安全信息特征值，得到第二目标报文，其中，第二目标报文用于访问目标业务资源，以及对目标终端设备进行认证；发送第二目标报文至目标网关，其中，目标网关用于在网络层解释第二目标报文，获取设备状态安全信息和安全信息特征值，以及第一目标报文，并依据设备状态安全信息和安全信息特征值确定目标终端设备的安全状态，以及在确定终端设备安全的情况下，转发第一目标报文至用于提供目标业务资源的服务器；接收目标网关代理转发的目标业务资源，其中，目标业务资源为服务器依据第一目标报文提供的业务资源。
6.可选地，依据设备状态安全信息生成安全信息特征值的步骤包括：获取目标终端设备的终端硬件信息，并获取依据终端硬件信息计算得到的与目标终端设备对应的设备密钥；根据设备密钥和设备状态安全信息，生成安全信息特征值。
7.可选地，根据设备密钥和设备状态安全信息，生成安全信息特征值的步骤包括：采用密码生成算法和设备密钥对设备状态安全信息进行密码生成运算，生成安全信息特征值。
8.可选地，在第一目标报文中添加设备状态安全信息和安全信息特征值，得到第二目标报文的步骤包括：获取目标网关对应的路由配置信息；依据路由配置信息，在网络层对第一目标报文重新封装，并在封装过程中，设定第一目标报文的目的地址和端口指向目标网关；在封装后的第一目标报文的报文头添加加密后的设备状态安全信息和安全信息特征值，得到第二目标报文。
9.可选地，获取依据终端硬件信息计算得到的与目标终端设备对应的设备密钥的步骤包括：发送终端硬件信息和注册请求到目标控制中心，其中，目标控制中心用于在通过注册请求的情况下，根据终端硬件信息计算得到设备密钥；接收目标控制中心发送的设备密钥。
10.可选地，根据目标终端设备的设备状态安全信息，生成设备状态安全信息和安全信息特征值的步骤包括：以预设频率扫描目标终端设备的设备状态，获取设备状态安全信息，并在每次获取设备状态安全信息后，生成安全信息特征值。
11.可选地，设备状态安全信息包括以下至少之一：用于指示是否设置开机密码的指示信息，目标终端设备的系统补丁信息，目标终端设备的防火墙信息，目标终端设备的安全程序信息，目标终端设备的白名单程序列表信息是否满足第一预设条件，目标终端设备的黑名单程序列表信息是否满足第二预设条件。
12.根据本技术实施例的另一方面，还提供了一种零信任验证方法，包括：接收目标终端设备发送的第二目标报文，其中，第二目标报文中携带有目标终端设备的设备状态安全信息和第一安全信息特征值，以及用于访问目标业务资源的第一目标报文；解析第二目标报文，获取设备状态安全信息，第一安全信息特征值和第一目标报文；依据设备安全信息和第一安全信息特征值确定目标终端设备的安全状态；在确定目标终端设备的安全状态为安全的情况下，代理转发第一目标报文至用于提供目标业务资源的服务器，其中，第一目标报文用于指示服务器通过目标网关向目标终端设备发送目标业务资源。
13.可选地，依据设备状态安全信息和安全信息特征值确定目标终端设备的安全状态的步骤包括：检索目标存储空间中是否有与第一安全信息特征值匹配的第二安全信息特征值；在确定存在第二安全信息特征值的情况下确定目标终端设备的安全状态为安全；以及，在确定不存在第二安全信息特征值的情况下，发送设备状态安全信息和第一安全信息特征值至目标控制中心，其中，目标控制中心用于依据设备状态安全信息和目标终端设备的设备密钥计算得到第三安全信息特征值，并依据第三安全信息特征值对第一安全信息特征值进行验证；在第一安全信息特征值验证通过的情况下，接收目标控制中心发送的验证信息；根据验证信息确定目标终端设备的安全状态。
14.可选地，接收目标控制中心发送的验证信息的步骤之后，零信任验证方法还包括：在验证信息指示目标终端设备的安全状态为安全的情况下，依据第二目标报文确定终端设备的设备标识信息；将第一安全信息特征值作为第二安全信息特征值，并确定设备标识信息和第二安全信息特征值之间的关联关系；将设备标识信息和第二安全信息特征值存放到目标存储空间。
15.可选地，将设备标识信息和第二安全信息特征值存放到目标存储空间的步骤之后，零信任验证方法还包括：在预设时长内未接收到目标终端设备发送的第二目标报文的情况下，删除设备标识信息和第二安全信息特征值。
16.根据本技术实施例的另一方面，还提供了一种零信任验证系统，包括：目标终端设备，目标网关，业务资源服务器，控制中心，其中，终端设备，被配置为执行权利要求1至权利要求7中任意一项的零信任验证方法；目标网关，被配置为执行权利要求8至权利要求11中任意一项的零信任验证方法；控制中心，用于获取目标终端设备的终端硬件信息，并依据终端硬件信息计算并向目标终端设备发送与目标终端设备对应的设备密钥；获取目标网关发
送的设备状态安全信息和第一安全信息特征值，对设备状态安全信息和第一安全信息特征值进行验证，并向目标网关发送验证信息。。
17.可选地，控制中心对设备状态安全信息进行验证的步骤包括：确定终端设备的标识信息；依据标识信息，确定与终端设备对应的设备密钥；依据设备密钥，对设备状态安全信息进行解密；校验解密后的设备状态安全信息，确定目标设备的安全状态是否满足预设条件。
18.可选地，控制中心对第一安全信息特征值进行验证的步骤包括：依据设备状态安全信息和设备密钥，生成第三安全信息特征值；依据第三安全信息特征值，对第一安全信息特征值进行校验，确定第一安全信息特征值是否被篡改。
19.根据本技术实施例的另一方面，还提供了一种零信任验证装置，包括：第一处理模块，用于依据目标终端设备的环境安全情况，生成目标终端设备的设备状态安全信息，并依据设备状态安全信息生成安全信息特征值，其中，设备状态安全信息和安全信息特征值用于确认目标终端设备的安全状态；第二处理模块，用于在目标终端设备生成第一目标报文后，在网络层中在第一目标报文中添加设备状态安全信息和安全信息特征值，得到第二目标报文，其中，第二目标报文用于访问目标业务资源，以及对目标终端设备进行认证；第一通信模块，用于发送第二目标报文至目标网关，其中，目标网关用于在网络层解释第二目标报文，获取设备状态安全信息和安全信息特征值，以及第一目标报文，并依据设备状态安全信息和安全信息特征值确定目标终端设备的安全状态，以及在确定终端设备安全的情况下，转发第一目标报文至用于提供目标业务资源的服务器；第二通信模块，用于接收目标网关代理转发的目标业务资源，其中，目标业务资源为服务器依据第一目标报文提供的业务资源。
20.根据本技术实施例的另一方面，还提供了一种电子设备，包括存储器和处理器，处理器用于运行存储在存储器中的程序，其中，程序运行时执行零信任验证方法。
21.在本技术实施例中，采用依据目标终端设备的环境安全情况，生成目标终端设备的设备状态安全信息，并依据设备状态安全信息生成安全信息特征值，其中，设备状态安全信息和安全信息特征值用于确认目标终端设备的安全状态；在目标终端设备生成第一目标报文后，在网络层中在第一目标报文中添加设备状态安全信息和安全信息特征值，得到第二目标报文，其中，第二目标报文用于访问目标业务资源，以及对目标终端设备进行认证；发送第二目标报文至目标网关，其中，目标网关用于在网络层解释第二目标报文，获取设备状态安全信息和安全信息特征值，以及第一目标报文，并依据设备状态安全信息和安全信息特征值确定目标终端设备的安全状态，以及在确定终端设备安全的情况下，转发第一目标报文至用于提供目标业务资源的服务器；接收目标网关代理转发的目标业务资源，其中，目标业务资源为服务器依据第一目标报文提供的业务资源的方式，通过依据终端设备的设备状态安全信息生成安全认证报文和安全信息特征值，并将安全认证报文和安全信息特征值添加到第一目标报文中，再由网关对安全认证报文和安全信息特征值进行验证，达到了在访问业务资源的过程中对终端设备的设备安全环境进行验证的目的，从而实现了保证零信任验证过程的安全性的技术效果，进而解决了由于相关技术中无法对终端设备的安全环境进行验证造成的无法保证验证过程的安全性技术问题。
附图说明
22.此处所说明的附图用来提供对本技术的进一步理解，构成本技术的一部分，本技术的示意性实施例及其说明用于解释本技术，并不构成对本技术的不当限定。在附图中：图1是根据本技术实施例的一种计算机终端的结构示意图；图2是根据本技术实施例的一种零信任验证方法的流程示意图；图3是根据本技术实施例的另一种零信任验证方法的流程示意图；图4是根据本技术实施例的一种零信任验证系统的结构示意图；图5是根据本技术实施例的一种零信任验证流程的流程示意图；图6是根据本技术实施例的一种零信任验证装置的结构示意图。
具体实施方式
23.为了使本技术领域的人员更好地理解本技术方案，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分的实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本技术保护的范围。
24.需要说明的是，本技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本技术的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
25.目前的零信任安全认证体系中，虽然会持续对用户进行身份认证，但是无法确定用户所使用的终端设备是否安全，导致存在数据泄露的风险。针对上述问题，本技术中提供了一种可以在用户所使用的终端设备发送的每个数据报文中增加设备状态安全信息的零信任安全认证方法，可以在整个数据访问过程中，实时采集终端设备的安全信息，并将安全信息封装到每个数据报文中，发送到特定的目标网关，再由目标网关对安全信息进行验证，从而可以解决上述问题，以下详细说明。
26.根据本技术实施例，提供了一种零信任验证方法的方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。
27.本技术实施例所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。图1示出了一种用于实现零信任验证方法的计算机终端（或移动设备）的结构示意图。如图1所示，计算机终端10（或移动设备10）可以包括一个或多个（图中采用102a、102b，
……
，102n来示出）处理器102（处理器102可以包括但不限于微处理器mcu或可编程逻辑器件fpga等的处理装置）、用于存储数据的存储器104、以及用于通信功能的传输模块106。除此以外，还可以包括：显示器、输入/输出接口（i/o接口）、通用串行总线（usb）端口
network，plmn）中的网络设备等。
34.该通信系统还包括位于网络设备覆盖范围内的至少一个终端设备。作为在此使用的“终端设备”包括但不限于经由有线线路连接，如经由公共交换电话网络（public switched telephone networks，pstn）、数字用户线路（digital subscriber line，dsl）、数字电缆、直接电缆连接；和/或另一数据连接/网络；和/或经由无线接口，如，针对蜂窝网络、无线局域网(wireless local area network，wlan)、诸如dvb-h 网络的数字电视网络、卫星网络、am-fm广播发送器；和/或另一终端设备的被设置成接收/发送通信信号的装置；和/或物联网（internet of things，iot）设备。被设置成通过无线接口通信的终端设备可以被称为“无线通信终端”、“无线终端”或“移动终端”。移动终端的示例包括但不限于卫星或蜂窝电话；可以组合蜂窝无线电电话与数据处理、传真以及数据通信能力的个人通信系统（personal communications system，pcs）终端；可以包括无线电电话、寻呼机、因特网/内联网接入、web浏览器、记事簿、日历以及/或全球定位系统（global positioning system，gps)接收器的pda；以及常规膝上型和/或掌上型接收器或包括无线电电话收发器的其它电子装置。终端设备可以指接入终端、用户设备（user equipment，ue）、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。接入终端可以是蜂窝电话、无绳电话、会话启动协议（session initiation protocol，sip）电话、无线本地环路（wireless local loop，wll）站、个人数字处理（personal digital assistant，pda）、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备、5g网络中的终端设备或者未来演进的plmn中的终端设备等。
35.可选地，终端设备之间可以进行设备到设备（device to device，d2d）通信。
36.可选地，5g系统或5g网络还可以称为新无线（new radio，nr）系统或nr网络。
37.在上述运行环境下，本技术实施例提供了一种零信任验证方法，适用于终端设备中，如图2所示，该方法包括如下步骤：步骤s202，依据目标终端设备的环境安全情况，生成目标终端设备的设备状态安全信息，并依据设备状态安全信息生成安全信息特征值，其中，设备状态安全信息和安全信息特征值用于确认目标终端设备的安全状态；在步骤s202所提供的技术方案中，根据目标终端设备的设备状态安全信息，生成安全信息特征值的步骤包括：获取目标终端设备的终端硬件信息，并获取依据终端硬件信息计算得到的与目标终端设备对应的设备密钥；根据设备密钥和设备状态安全信息，生成安全信息特征值。
38.具体地，获取目标终端设备的终端硬件信息后，为了获取设备密钥，需要将获取的目标终端设备的终端硬件信息和注册请求发送至控制中心，再获取目标控制中心在通过注册请求后根据终端硬件信息计算得到的设备密钥。
39.在实际应用过程中，上述目标终端设备可以是运行有sdp（software defined perimeter，软件定义边界）客户端的终端设备，上述控制中心可以是sdp控制中心。
40.在根据设备状态安全信息生成设备状态安全信息时，所用到的设备状态安全信息可以包括以下至少之一：用于指示是否设置开机密码的指示信息，所述目标终端设备的系统补丁信息，所述目标终端设备的防火墙信息，所述目标终端设备的安全程序信息，所述目
标终端设备的白名单程序列表信息是否满足第一预设条件，所述目标终端设备的黑名单程序列表信息是否满足第二预设条件。其中，第一预设条件指的是目标终端设备的白名单程序列表中不存在不应当在白名单中的程序，第二预设条件指的是黑名单程序列表中不存在不应当在黑名单中的程序，并且没有缺失应当在黑名单程序列表中的程序信息。例如，程序a为不可信任的程序，那么白名单程序列表中不能出现程序a，黑名单程序列表中需要出现程序a。
41.作为一种可选的实施方式，根据设备密钥和设备状态安全信息，生成安全信息特征值的步骤包括：采用密码生成算法和设备密钥对设备状态安全信息进行密码生成运算，生成安全信息特征值。需要说明的是，此处使用的设备状态安全信息为设备状态安全信息的明文。
42.具体地，上述加密算法可以是sm4算法，上述密码生成算法可以是hmac-sm3算法，上述安全信息特征值可以是hmac值，上述设备状态安全信息则是以设备安全报文的形式参与运算，并写入第一目标报文的报文头中。
43.在本技术的一些实施例中，为了保证及时确认目标终端设备是否安全，在根据目标终端设备的设备状态安全信息，生成设备状态安全信息和安全信息特征值时，还会以预设频率扫描目标终端设备的设备状态，从而获取目标终端设备的设备状态安全信息，并在每次获取设备状态安全信息后，生成安全信息特征值。
44.具体地，目标终端设备中运行的sdp客户端会定时检查目标终端设备的设备状态安全信息和设备所处环境的安全信息，例如：sdp客户端会定期校验目标终端设备是否设置开机密码，定期获取目标终端设备已经安装的系统补丁的名称及版本号等，定期确定目标终端设备中的防火墙名称，版本号，运行状态等，定期获取目标终端设备中所安装的杀毒软件名称、版本号、运行状态等，以及定期检查目标终端设备中是否设置有符合要求的白名单软件列表和黑名单软件列表等。
45.步骤s204，在目标终端设备生成第一目标报文后，在网络层中在第一目标报文中添加设备状态安全信息和安全信息特征值，得到第二目标报文，其中，第二目标报文用于访问目标业务资源，以及对目标终端设备进行认证；在步骤s204所提供的技术方案中，在第一目标报文中添加加密后的设备状态安全信息和安全信息特征值，得到第二目标报文的步骤包括：获取目标网关对应的路由配置信息；依据路由配置信息，在网络层对第一目标报文重新封装，并在封装过程中，设定第一目标报文的目的地址和端口指向目标网关；在封装后的第一目标报文的报文头添加设备状态安全信息和安全信息特征值，得到第二目标报文。对设备状态安全信息加密时，可以采用sm4算法等加密算法。
46.具体地，通过将报文的目的地址和端口指向目标网关，可以将报文发送到指定的网关中，避免了数据泄露的风险。
47.步骤s206，发送所述第二目标报文至目标网关，其中，所述目标网关用于在网络层解释所述第二目标报文，获取所述设备状态安全信息和所述安全信息特征值，以及所述第一目标报文，并依据所述设备状态安全信息和所述安全信息特征值确定所述目标终端设备的安全状态，以及在确定所述终端设备安全的情况下，转发所述第一目标报文至用于提供所述目标业务资源的服务器；
在步骤s206所提供的技术方案中，目标网关在接收到第二目标报文后，会对第二目标报文进行解析，得到第一目标报文，加密后的终端安全认证报文和hmac值（也就是安全信息特征值）。然后目标网关会检查缓存中是否存放有与解析得到的hmac值匹配的hmac值，并在查到到后将第一目标报文转发至运行有业务系统的服务器，服务器会在接收到第一目标报文后向目标终端设备发送相应的业务资源。如果目标网关未查询到对应的hmac值，则会将解析得到的hmac值和安全认证报文发送到目标控制中心，之后控制中心会采用sm4算法对报文进行解密，并通过hmac-sm3算法计算得到hmac值，并比较计算得到的hmac值和接收到的hmac值，确认终端安全认证报文在传输过程中是否被篡改，如发现被篡改，则确定认证不通过。在确认无篡改的情况下，控制中心会根据预设的验证策略对终端安全认证报文进行验证，并将验证结果发送到网关。其中，在验证通过的情况下，发送到网关的验证结果中还会携带计算得到的hmac值。
48.步骤s208，接收目标网关代理转发的目标业务资源，其中，目标业务资源为服务器依据第一目标报文提供的业务资源。
49.通过依据目标终端设备的环境安全情况，生成目标终端设备的设备状态安全信息，并依据设备状态安全信息生成安全信息特征值，其中，设备状态安全信息和安全信息特征值用于确认目标终端设备的安全状态；在目标终端设备生成第一目标报文后，在网络层中在第一目标报文中添加设备状态安全信息和安全信息特征值，得到第二目标报文，其中，第二目标报文用于访问目标业务资源，以及对目标终端设备进行认证；发送第二目标报文至目标网关，其中，目标网关用于在网络层解释第二目标报文，获取设备状态安全信息和安全信息特征值，以及第一目标报文，并依据设备状态安全信息和安全信息特征值确定目标终端设备的安全状态，以及在确定终端设备安全的情况下，转发第一目标报文至用于提供目标业务资源的服务器；接收目标网关代理转发的目标业务资源，其中，目标业务资源为服务器依据第一目标报文提供的业务资源的方式，通过依据终端设备的设备状态安全信息生成安全认证报文和安全信息特征值，并将安全认证报文和安全信息特征值添加到第一目标报文中，再由网关对安全认证报文和安全信息特征值进行验证，达到了在访问业务资源的过程中对终端设备的设备安全环境进行验证的目的，从而实现了保证零信任验证过程的安全性的技术效果，进而解决了由于相关技术中无法对终端设备的安全环境进行验证造成的无法保证验证过程的安全性技术问题。
50.本技术实施例中还提供了另一种零信任验证方法，适用于网关设备中，如图3所示，该方法包括如下步骤：步骤s302，接收目标终端设备发送的第二目标报文，其中，第二目标报文中携带有目标终端设备的设备状态安全信息和第一安全信息特征值，以及用于访问目标业务资源的第一目标报文；步骤s304，解析第二目标报文，获取设备状态安全信息，第一安全信息特征值和第一目标报文；步骤s306，依据设备状态安全信息和安全信息特征值确定目标终端设备的安全状态；在步骤s306所提供的技术方案中，依据设备状态安全信息和安全信息特征值确定目标终端设备的安全状态的步骤包括：检索目标存储空间中是否有与所述第一安全信息特
征值匹配的第二安全信息特征值；在确定存在所述第二安全信息特征值的情况下确定所述目标终端设备的安全状态为安全；以及在确定不存在所述第二安全信息特征值的情况下，发送所述设备状态安全信息和所述第一安全信息特征值至目标控制中心，其中，所述目标控制中心用于依据所述设备状态安全信息和所述目标终端设备的设备密钥计算得到第三安全信息特征值，并依据所述第三安全信息特征值对所述第一安全信息特征值进行验证；在所述第一安全信息特征值验证通过的情况下，接收所述目标控制中心发送的验证信息；根据所述验证信息确定所述目标终端设备的安全状态。
51.作为一种可选地实施方式，接收目标控制中心发送的验证信息的步骤之后，零信任验证方法还包括：将第一安全信息特征值作为第二安全信息特征值，存放到目标存储空间中。
52.另外，将所述设备标识信息和所述第二安全信息特征值存放到所述目标存储空间的步骤之后，在预设时长内未接收到所述目标终端设备发送的所述第二目标报文的情况下，网关还会删除所述设备标识信息和所述第二安全信息特征值。
53.具体地，目标网关会在目标存储空间（如缓存等）保存第二安全信息特征值，并在超过预设时长后将第二安全信息特征值删除。并且在目标网关每次接收到终端设备发送的报文后会再次刷新第二安全信息特征值的保存时长，因此只要接收到同一终端设备发送的两次报文的时间间隔不超过预设时长，目标网关就不会删除第二安全信息特征值。
54.步骤s308，在确定目标终端设备的安全状态为安全的情况下，发送第一目标报文至用于提供目标业务资源的服务器，其中，第一目标报文用于指示服务器向目标终端设备发送目标业务资源。
55.在步骤s308所提供的技术方案中，在目标网关或sdp控制中心确定验证不通过的情况下，目标网关会删除解析出来的hmac值，并阻止第一目标报文被传递到目标服务器。
56.本技术实施例中还提供了一种零信任验证系统。图4是根据本技术实施例提供的一种零信任验证系统的结构示意图，如图4所示，该系统包括：目标终端设备40，目标网关42，业务资源服务器44，控制中心46，其中，目标终端设备40，被配置为执行图2中所示的零信任验证方法；目标网关42，被配置为执行图3中所示的零信任验证方法；控制中心46，用于获取目标终端设备40的终端硬件信息，并依据终端硬件信息计算并向目标终端设备40发送与目标终端设备对应的设备密钥；获取目标网关42发送的安全认证报文，对安全认证报文进行验证，并在验证通过后生成并向目标网关42发送验证信息。
57.需要说明的是，图4中所示的系统可用于执行图2或图3中所示的零信任验证方法，因此，对图2或图3中所示的零信任验证方法的相关解释说明也适用于本技术实施例所提供的系统中，在此不再赘述。
58.在本技术的一些实施例中，上述零信任验证系统的整体工作流程如图5所示，包括如下步骤：s502，sdp客户端搜集目标终端设备的硬件信息，并将硬件信息发送到sdp控制中心，向sdp控制中心发起注册申请；s504，sdp控制中心预配置终端安全环境要素并计算出设备密钥，将终端安全环境要素和设备密钥发送至sdp客户端；s506，sdp客户端根据安全环境要素中所涉及的安全信息类型周期性搜集终端设
备的设备状态安全信息，并生成安全认证报文和hmac值；s508，在用户通过sdp客户端访问业务资源的情况下，sdp客户端对原始报文进行重新封装，在原始报文的报文头增加安全认证报文和hmac值，并将报文的目的地址和端口指向目标网关；s510，目标网关在接收到sdp客户端发送的报文后，会解析报文，获取安全认证报文和hmac值，以及原始报文；s512，目标网关对解析得到的hmac值进行验证，检索本地缓存中是否有匹配的hmac值，如有，则将原始报文代理转发到服务器，如无，则执行步骤s514；s514，目标网关将安全认证报文和hmac值发送至sdp控制中心；s516，sdp控制中心根据安全认证报文计算得到hmac值，并对安全认证报文进行验证，验证终端设备是否安全；s518，在验证通过的情况下，发送验证结果和计算得到的hmac值给目标网关，以及在验证不通过的情况下，发送验证结果给目标网关；s520，目标网关在确定验证通过的情况下，代理转发原始报文至服务器，并存储sdp控制中心发送的hmac值，以及在验证不通过的情况下，阻止目标终端设备发送的报文传递到服务器；s522，服务器依据原始报文发送业务资源给目标网关。
59.s524，目标网关代理转发业务资源至目标终端设备。
60.本技术实施例提供了一种零信任验证装置。图6是根据本技术实施例提供的零信任验证装置的结构示意图，如图6所示，该装置包括：第一处理模块60，依据目标终端设备的环境安全情况，生成目标终端设备的设备状态安全信息，并依据设备状态安全信息生成安全信息特征值，其中，设备状态安全信息和安全信息特征值用于确认目标终端设备的安全状态；第二处理模块62，用于在目标终端设备生成第一目标报文后，在网络层中在第一目标报文中添加设备状态安全信息和安全信息特征值，得到第二目标报文，其中，第二目标报文用于访问目标业务资源，以及对目标终端设备进行认证；第一通信模块64，用于发送第二目标报文至目标网关，其中，目标网关用于在网络层解释第二目标报文，获取设备状态安全信息和安全信息特征值，以及第一目标报文，并依据设备状态安全信息和安全信息特征值确定目标终端设备的安全状态，以及在确定终端设备安全的情况下，转发第一目标报文至用于提供目标业务资源的服务器；第二通信模块66，用于接收目标网关代理转发的目标业务资源，其中，目标特务资源为服务器依据第一目标报文提供的业务资源。根据本技术实施例的另一方面，还提供了一种非易失性存储介质，非易失性存储介质中存储有程序，其中，在程序运行时控制非易失性存储介质所在设备执行零信任验证方法。
61.在本技术的一些实施例中，第一处理模块60依据设备状态安全信息生成安全信息特征值的步骤包括：获取目标终端设备的终端硬件信息，并获取依据终端硬件信息计算得到的与目标终端设备对应的设备密钥；根据设备密钥和设备状态安全信息，生成安全信息特征值。
62.在本技术的一些实施例中，第一处理模块60根据设备密钥和设备状态安全信息，生成安全信息特征值的步骤包括：采用密码生成算法和设备密钥对设备状态安全信息进行密码生成运算，生成安全信息特征值。
63.在本技术的一些实施例中，第一处理模块60获取依据终端硬件信息计算得到的与目标终端设备对应的设备密钥的步骤包括：发送终端硬件信息和注册请求到目标控制中心，其中，目标控制中心用于在通过注册请求的情况下，根据终端硬件信息计算得到设备密钥；接收目标控制中心发送的设备密钥。
64.在本技术的一些实施例中，第一处理模块60根据目标终端设备的设备状态安全信息，生成设备状态安全信息和安全信息特征值的步骤包括：以预设频率扫描目标终端设备的设备状态，获取设备状态安全信息，并在每次获取设备状态安全信息后，生成安全信息特征值。
65.在本技术的一些实施例中，设备状态安全信息包括以下至少之一：用于指示是否设置开机密码的指示信息，目标终端设备的系统补丁信息，目标终端设备的防火墙信息，目标终端设备的安全程序信息，目标终端设备的白名单程序列表信息是否满足第一预设条件，目标终端设备的黑名单程序列表信息是否满足第二预设条件。
66.在本技术的一些实施例中，第二处理模块62在第一目标报文中添加设备状态安全信息和安全信息特征值，得到第二目标报文的步骤包括：获取目标网关对应的路由配置信息；依据路由配置信息，在网络层对第一目标报文重新封装，并在封装过程中，设定第一目标报文的目的地址和端口指向目标网关；在封装后的第一目标报文的报文头添加加密后的设备状态安全信息和安全信息特征值，得到第二目标报文。
67.需要说明的是，上述零信任验证装置中的各个模块可以是程序模块（例如是实现某种特定功能的程序指令集合），也可以是硬件模块，对于后者，其可以表现为以下形式，但不限于此：上述各个模块的表现形式均为一个处理器，或者，上述各个模块的功能通过一个处理器实现。另外，该装置可用于执行上述零信任验证方法，因此对上述零信任验证方法的相关解释说明也适用于本技术实施例中，在此不再赘述。
68.在本技术实施例中，还提供了一种非易失性存储介质的实施例。非易失性存储介质中存储有程序，其中，在程序运行时控制非易失性存储介质所在设备执行上述零信任验证方法实施例中所提供的零信任验证方法，例如，可用于执行如下零信任验证方法依据目标终端设备的环境安全情况，生成目标终端设备的设备状态安全信息，并依据设备状态安全信息生成安全信息特征值，其中，设备状态安全信息和安全信息特征值用于确认目标终端设备的安全状态；在目标终端设备生成第一目标报文后，在网络层中在第一目标报文中添加设备状态安全信息和安全信息特征值，得到第二目标报文，其中，第二目标报文用于访问目标业务资源，以及对目标终端设备进行认证；发送第二目标报文至目标网关，其中，目标网关用于在网络层解释第二目标报文，获取设备状态安全信息和安全信息特征值，以及第一目标报文，并依据设备状态安全信息和安全信息特征值确定目标终端设备的安全状态，以及在确定终端设备安全的情况下，转发第一目标报文至用于提供目标业务资源的服务器；接收目标网关代理转发的目标业务资源，其中，目标业务资源为服务器依据第一目标报文提供的业务资源。
69.在本技术的另一些实施例中，上述非易失性存储介质所在设备在程序运行时还可执行如下零信任验证方法：接收目标终端设备发送的第二目标报文，其中，第二目标报文中携带有目标终端设备的设备状态安全信息和第一安全信息特征值，以及用于访问目标业务资源的第一目标报文；解析第二目标报文，获取设备状态安全信息，第一安全信息特征值和
第一目标报文；依据设备安全信息和第一安全信息特征值确定目标终端设备的安全状态；在确定目标终端设备的安全状态为安全的情况下，代理转发第一目标报文至用于提供目标业务资源的服务器，其中，第一目标报文用于指示服务器通过目标网关向目标终端设备发送目标业务资源。
70.在本技术实施例中，还提供了一种电子设备的实施例。电子设备包括存储器和处理器，处理器用于运行存储在存储器中的程序，其中，程序运行时执行上述零信任验证方法实施例中所提供的零信任验证方法，例如，可用于执行如下零信任验证方法：依据目标终端设备的环境安全情况，生成目标终端设备的设备状态安全信息，并依据设备状态安全信息生成安全信息特征值，其中，设备状态安全信息和安全信息特征值用于确认目标终端设备的安全状态；在目标终端设备生成第一目标报文后，在网络层中在第一目标报文中添加设备状态安全信息和安全信息特征值，得到第二目标报文，其中，第二目标报文用于访问目标业务资源，以及对目标终端设备进行认证；发送第二目标报文至目标网关，其中，目标网关用于在网络层解释第二目标报文，获取设备状态安全信息和安全信息特征值，以及第一目标报文，并依据设备状态安全信息和安全信息特征值确定目标终端设备的安全状态，以及在确定终端设备安全的情况下，转发第一目标报文至用于提供目标业务资源的服务器；接收目标网关代理转发的目标业务资源，其中，目标业务资源为服务器依据第一目标报文提供的业务资源。
71.在本技术的另一些实施例中，上述处理器在程序运行时还可执行如下零信任验证方法：接收目标终端设备发送的第二目标报文，其中，第二目标报文中携带有目标终端设备的设备状态安全信息和第一安全信息特征值，以及用于访问目标业务资源的第一目标报文；解析第二目标报文，获取设备状态安全信息，第一安全信息特征值和第一目标报文；依据设备安全信息和第一安全信息特征值确定目标终端设备的安全状态；在确定目标终端设备的安全状态为安全的情况下，代理转发第一目标报文至用于提供目标业务资源的服务器，其中，第一目标报文用于指示服务器通过目标网关向目标终端设备发送目标业务资源。
72.在本技术的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。
73.在本技术所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，可以为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。
74.所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
75.另外，在本技术各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
76.所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用
时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对相关技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可为个人计算机、服务器或者网络设备等）执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、只读存储器（rom，read-only memory）、随机存取存储器（ram，random access memory）、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
77.以上所述仅是本技术的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本技术原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本技术的保护范围。