(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210945544.X (22)申请日 2022.08.08 (71)申请人 北京雪诺科技有限公司 地址 100083 北京市海淀区王庄路1号院清 华同方科技大厦B座7层E 3号 (72)发明人 刘敬良　 (74)专利代理 机构 北京中强智尚知识产权代理 有限公司 1 1448 专利代理师 黄耀威 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 基于零信任的企业应用接入系统、 方法及访 问系统 (57)摘要 本申请公开了一种基于零信任的企业应用 接入系统、 方法及访问系统， 该接入系统包括： 数 据接收模块， 用于接收来自访问终端的请求数据 包， 其中， 请求数据包包括对企业应用的访问请 求以及访问终端对应的终端用户身份信息； 身份 验证引擎， 用于对请求接收模块中的终端用户身 份信息进行身份验证， 确定访问终端是否具备对 企业应用的访问权 限； 策略匹配引 擎， 用于在身 份验证引擎确定访问终端具备对企业应用的访 问权限时， 对访问终端进行策略匹配， 确定访问 终端的应用策略； 业务路由模块， 用于基于预设 的业务路由算法， 向企业应用发送所述访问请求 和应用策略， 以使企业应用向访问终端提供在应 用策略范围内的访问权限。 能够缓解企业部署企 业应用时的压力。 权利要求书2页 说明书8页 附图2页 CN 115529157 A 2022.12.27 CN 115529157 A 1.一种基于零信任的企业应用接入系统， 其特 征在于， 所述系统包括： 数据接收模块、 身份验证引擎、 策略匹配引擎以及业 务路由模块； 所述数据接收模块， 用于接收来自访问终端的请求数据包， 其中， 所述请求数据包包括 对企业应用的访问请求以及所述访问终端对应的终端用户身份信息； 所述身份验证引擎， 用于对所述请求接收模块中的终端用户身份信息进行身份验证， 确定所述访问终端是否具 备对所述企业应用的访问权限； 所述策略匹配引擎， 用于在所述身份验证引擎确定所述访问终端具备对所述企业应用 的访问权限时， 对所述访问终端 进行策略匹配， 确定所述访问终端的应用策略； 所述业务路由模块， 用于基于预设的业务路由算法， 向所述企业应用发送所述访 问请 求和所述应用策略， 以使 所述企业应用向所述访问终端提供在所述应用策略范围内的访问 权限。 2.根据权利要求1所述的系统， 其特 征在于， 所述系统还 包括： 策略配置平台， 用于配置授权身份信息和应用访问策略； 策略同步模块， 用于存储所述策略配置平台下发的所述授权身份信 息和所述应用访问 策略； 所述身份验证引擎， 具体用于读取所述策略同步模块中的所述授权身份信息， 并依据 所述授权身份信息对所述终端用户身份信息进行身份验证； 所述策略匹配引擎， 具体用于读取所述策略同步模块中的所述应用 访问策略， 并依据 所述应用访问策略对所述访问终端 进行策略匹配。 3.根据权利要求2所述的系统， 其特 征在于， 所述策略配置平台对企业应用管理员提供可视化配置UI界面， 所述企业应用管理员通 过所述可视化配置UI界面输入和/或导入所述授权身份信息以及所述应用访问策略。 4.根据权利要求2所述的系统， 其特 征在于， 所述系统还 包括： 策略共享模块， 用于存储所述策略配置平台实时下发的最新授权身份信 息和最新应用 访问策略， 并生成所述最新授权身份信息的第一时间戳和所述最新应用访问策略的第二时 间戳； 策略同步定时器， 用于按预设策略同步周期进行周期计时； 所述策略同步模块， 还用于响应于所述策略同步定时器的周期性计时结束信号， 读取 所述策略共享模块中的所述第一时间戳和所述第二时间戳， 并依据所述第一时间戳和所述 第二时间戳判断所述策略同步模块中当前存储的授权身份信息和应用访问策略是否为最 新， 若否， 则读取所述策略共享模块中的最新授权身份信息及其对应的第一时间戳、 以及最 新应用访问策略及其对应的第二时间戳。 5.根据权利要求1所述的系统， 其特 征在于， 所述系统还 包括： 安全检测引擎， 用于对所述数据接收模块接收到的实时流量数据进行访问行为和位置 行为分析； 所述策略匹配引擎， 还用于基于实时的访 问行为分析结果和位置行为分析结果， 动态 调整所述应用策略； 所述业务路由模块， 还用于向所述企业应用发送动态调整后的应用策略以及所述实时 流量数据。权　利　要　求　书 1/2 页 2 CN 115529157 A 26.根据权利要求5所述的系统， 其特 征在于， 所述安全检测引擎， 还用于基于所述访 问行为分析结果和所述位置行为分析结果， 识 别所述访问终端是否存在对所述企业应用的威胁行为； 所述业务路由模块， 还用于在所述安全检测引擎识别到所述访问终端存在对所述企业 应用的威胁行为时， 终止所述实时流量数据的发送， 并向所述访问终端发送威胁行为提示 信息。 7.根据权利要求6所述的系统， 其特 征在于， 所述数据接收模块， 还用于 接收来自所述访问终端的访问恢复请求； 所述安全检测引擎， 还用于基于所述访 问恢复请求， 识别所述访 问终端对所述企业应 用的威胁行为是否已解除； 所述业务路由模块， 还用于在所述安全检测引擎识别到所述威胁行为已解除时， 恢复 所述实时流 量数据的发送。 8.根据权利要求1所述的系统， 其特 征在于， 所述系统还 包括： 日志分析模块， 用于收集不同访 问终端对所述企业应用的访 问日志， 对所述访 问日志 进行分析， 确定授权身份调整信息和应用访问策略调整信息， 并将所述访问日志、 所述授权 身份调整信息和所述应用访问策略调整信息上报至策略配置平台。 9.一种基于零信任的企业应用接入方法， 其特征在于， 应用于如权利要求1至8中任一 项所述的基于零信任的企业应用接入系统， 所述方法包括： 数据接收模块接收来自访 问终端的请求数据包， 其中， 所述请求数据包包括对企业应 用的访问请求以及所述访问终端对应的终端用户身份信息； 身份验证引擎对所述请求接收模块中的终端用户身份信 息进行身份验证， 确定所述访 问终端是否具 备对所述企业应用的访问权限； 策略匹配引擎在所述身份验证引 擎确定所述访问终端具备对所述企业应用的访问权 限时， 对所述访问终端 进行策略匹配， 确定所述访问终端的应用策略； 业务路由模块基于预设的业务路由算法， 向所述企业应用发送所述访问请求和所述应 用策略， 以使所述企业应用向所述访问终端提供在所述应用策略范围内的访问权限。 10.一种企业应用访问系统， 其特 征在于， 包括： 如权利要求1至8中任一项所述的基于零信任的企业应用接入系统、 访 问终端、 企业应 用服务器； 所述基于零信任的企业应用接入系统包括： 数据接收模块、 身份验证引擎、 策略 匹配引擎以及业 务路由模块； 所述数据接收模块， 用于接收来自访问终端的请求数据包， 其中， 所述请求数据包包括 对企业应用的访问请求以及所述访问终端对应的终端用户身份信息； 所述身份验证引擎， 用于对所述请求接收模块中的终端用户身份信息进行身份验证， 确定所述访问终端是否具 备对所述企业应用的访问权限； 所述策略匹配引擎， 用于在所述身份验证引擎确定所述访问终端具备对所述企业应用 的访问权限时， 对所述访问终端 进行策略匹配， 确定所述访问终端的应用策略； 所述业务路由模块， 用于基于预设的业务路由算法， 向所述企业应用发送所述访 问请 求和所述应用策略， 以使 所述企业应用向所述访问终端提供在所述应用策略范围内的访问 权限。权　利　要　求　书 2/2 页 3 CN 115529157 A 3