(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210943300.8 (22)申请日 2022.08.08 (71)申请人 北京雪诺科技有限公司 地址 100083 北京市海淀区王庄路1号院清 华同方科技大厦B座7层E 3号 (72)发明人 刘敬良　彭丽静　 (74)专利代理 机构 北京中强智尚知识产权代理 有限公司 1 1448 专利代理师 贾依娇 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 基于零信任的访问控制方法、 装置及设备 (57)摘要 本申请公开了一种基于零信任的访问控制 方法、 装置及设备， 涉及网络安全技术领域， 能够 避免终端设备接入的用户频繁上下线产生的系 统抖动现象， 使得策略管理端可以灵活处理不同 用户的策略。 其中方法包括： 按照预先设置的策 略模板对用户访问权限进行统一格式的配置， 得 到用户适用的策略； 响应于安全系统的启动指 令， 将用户适用的策略通过多层 级架构下发至安 全检测网关， 并由安全检测网关将所述用户适用 的策略对接至策略关联的功能引擎， 以使得策略 关联的功能引擎在检测到接入端存在用户访问 异常时， 使用用户适用的策略对接入端对应的用 户操作数据进行检测， 生成访问控制结果； 根据 访问控制结果对接入端对应用户进行访问权限 控制。 权利要求书2页 说明书11页 附图3页 CN 115208689 A 2022.10.18 CN 115208689 A 1.一种基于零信任的访问控制方法， 其特 征在于， 包括： 按照预先设置的策略模板对用户访问权限进行统一格式的配置， 得到用户适用的策 略； 响应于安全系统 的启动指令， 将所述用户适用的策略通过多层级架构下发至安全检测 网关， 并由所述安全检测网关将所述用户适用的策略对接至策略关联 的功能引擎， 以使得 策略关联的功能引擎在检测到接入端存在用户访问异常时， 使用所述用户适用的策略对接 入端对应的用户操作数据进行检测， 生成访问控制结果； 接收所述访问控制结果， 并根据所述访问控制结果对接入端对应用户进行访问权限控 制。 2.根据权利要求1所述的方法， 其特征在于， 所述按照预先设置的策略模板对用户访问 权限进行统一格式的配置， 得到用户适用的策略， 具体包括： 从不同应用渠道获取用户对接应用的认证信 息， 根据所述用户对接应用的认证信 息确 定用户使用零信任场景的安全类型以及相应安全类型对应的用户访问权限； 利用策略引擎的检测逻辑， 根据所述用户使用零信任场景的安全类型以及相应安全类 型对应的用户访问权限， 分别配置针对用户的策略模型以及针对用户的策略形式； 按照预先设置的策略模板对所述针对用户的策略模型以及针对用户的策略形式进行 统一格式配置， 得到用户适用的策略。 3.根据权利要求2所述的方法， 其特征在于， 所述从不同应用渠道获取用户对接应用的 认证信息， 根据所述用户对接应用的认证信息确定用户使用零信任场景的安全类型以及相 应安全类型对应的用户访问权限， 具体包括： 从不同应用渠道获取用户对接应用的认证信 息， 结合分布式部署对用户行为计算得到 的异常访问信息确定用户使用零信任场景的安全类型； 根据所述用户使用零信任场景的安全类型对所述用户对接应用的认证信息进行多维 度处理， 得到相应安全类型对应用户的应用访问信息； 按照预先设置的控制流将所述相应安全类型对应用户的应用 访问信息实时同步至策 略引擎， 以使得所述策略引擎将所述相应安全类型对应用户的应用访问信息关联至策略模 板， 得到相应安全类型对应的用户访问权限。 4.根据权利要求2所述的方法， 其特征在于， 所述利用策略引擎的检测逻辑， 根据所述 用户使用零信任场景的安全类型以及相应安全类型对应的用户访问权限， 分别配置针对用 户的策略模型以及针对用户的策略形式， 具体包括： 利用策略引擎的检测逻辑， 根据所述用户使用零信任场景的安全类型将所述相应安全 类型对应的用户访问权限分解 为策略逻辑和策略执 行逻辑； 根据所述策略逻辑配置针对用户的策略模型， 根据 所述策略执行逻辑配置针对用户的 策略形式， 所述策略模型包括用户对接到零信任场景中使用的策略集和 规则集， 所述策略 形式为策略集和规则集在零信任场景的执 行流程。 5.根据权利要求2所述的方法， 其特征在于， 所述策略模板 中记录有用户使用零信任场 景对应不同安全类型的策略分组， 所述按照预先设置的策略模板对所述针对用户的策略模 型以及针对用户的策略形式进行统一格式配置， 得到用户适用的策略， 具体包括： 按照预先设置的策略模板将所述针对用户的策略模型与用户使用零信任场景对应安权　利　要　求　书 1/2 页 2 CN 115208689 A 2全类型的策略分组进行匹配， 得到策略模型命中的多个策略分组； 结合所述针对用户的策略形式对所述策略模型命中的多个策略分组进行统一格式配 置， 得到用户适用的策略。 6.根据权利要求5所述的方法， 其特征在于， 在所述按照预先设置的策略模板将所述针 对用户的策略模型与用户使用零信任场景对应安全类型的策略分组进 行匹配， 得到策略模 型命中的多个策略分组之后， 所述方法还 包括： 根据所述策略模型命中的多个策略分组判断不同策略分组中的策略集和规则集之间 是否存在冲突； 若是， 则针对 存在冲突的策略分组中的策略集和规则集设置优先顺序。 7.根据权利要求1 ‑6中任一项所述的方法， 其特征在于， 所述将所述用户适用的策略通 过多层级架构下发至安全检测网关， 并由所述安全检测网关将所述用户适用的策略对接至 策略关联的功能引擎， 具体包括： 使用第一层级架构对所述用户适用的策略进行分解， 并针对分解后的策略生成策略下 发标记位， 所述策略下发标记位 为按照预 先配置的策略与功能引擎的关联关系所生成的； 使用第二层级架构将分解后的策略和相应策略下发标记位下发至安全检测网关， 并由 所述安全检测网关将所述分解后的策略对接 至所述策略下发标记位对应的功能引擎。 8.根据权利要求1 ‑6中任一项所述的方法， 其特征在于， 所述访问控制结果记录有用户 操作数据中命中的策略和规则， 所述根据所述访问控制结果对接入端对应用户进 行访问权 限控制， 具体包括： 将所述用户操作数据中命中的策略和规则转换为用户被允许的行为权限和用户被拦 截的行为权限； 根据所述用户被允许的行为权限和用户被拦截的行为权限， 对接入端对应用户进行访 问权限控制。 9.一种基于零信任的访问控制装置， 其特 征在于， 包括： 配置单元， 用于按照预先设置的策略模板对用户访 问权限进行统一格式的配置， 得到 用户适用的策略； 下发单元， 用于响应于安全系统的启动指令， 将所述用户适用的策略通过多层级架构 下发至安全检测网关， 并由所述安全检测网关将所述用户适用的策略对接至策略关联的功 能引擎， 以使得策略关联 的功能引擎在检测到接入端存在用户访问异常时， 使用所述用户 适用的策略对接入端对应的用户操作数据进行检测， 生成访问控制结果； 控制单元， 用于接收所述访 问控制结果， 并根据所述访 问控制结果对接入端对应用户 进行访问权限控制。 10.一种计算机设备， 包括存储器和 处理器， 所述存储器存储有计算机程序， 其特征在 于， 所述处 理器执行所述计算机程序时实现权利要求1至8中任一项所述方法的步骤。 11.一种计算机存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序被处 理器执行时实现权利要求1至8中任一项所述的方法的步骤。权　利　要　求　书 2/2 页 3 CN 115208689 A 3