[发明专利]一种零信任的业务访问控制系统及方法

说明书

本发明公开了一种零信任的业务访问控制系统及方法，其中系统包括：用户终端，用于向5G基站发送针对企业内网的业务访问请求；5G基站，用于获取用户终端针对企业内网的业务访问请求，生成业务请求报文并发送给用户面功能；用户面功能，用于根据业务访问请求的目标地址和预设的分流策略确定目标边缘节点，将业务请求报文发送给目标边缘节点上的零信任系统；边缘节点，用于部署零信任系统，接收业务请求报文，依次通过用户终端身份认证和业务访问请求权限后，将业务访问请求转发至企业内网；企业内网，用于根据业务访问请求为用户终端提供业务访问服务。本发明实现用户侧无需安装客户端就能安全访问企业内网，业务访问操作便捷，提升用户体验。

技术领域

本发明涉及计算机通信技术领域，尤其是涉及一种零信任的业务访问控制系统及方法。

背景技术

近年来5G网络发展迅速，用户业务访问时的网络安全问题变得越来越重要。传统的网络安全结构是基于网络的物理边界，攻击者一旦攻破了网络边界，在整个网络中就能畅通无阻。

目前，形成了一种新型网络安全模式即零信任模式，将基于物理边界的网络安全方法重构为基于端到端身份边界的网络安全方法，攻击者即使突破了企业内网的防火墙，想要进一步访问到具体的应用或服务器，也要进行相应的身份验证。

传统的零信任系统，需要在用户侧安装客户端，通过VPN的技术方案实现客户端与网关的通信。用户访问企业内部应用资源前，需要进行登录校验，业务访问操作过程较复杂，给用户业务访问带来不便，用户体验不友好；同时，用户的登录信息可能会被泄露，企业内网可能存在安全隐患。

发明内容

本发明的目的是提供一种零信任的业务访问控制系统及方法，以解决现有技术中对远程用户访问企业内部资源时需安装对应客户端的技术问题。

本发明的目的，可以通过如下技术方案实现：

本发明提供了一种零信任的业务访问控制系统，包括：

用户终端，用于向5G基站发送针对企业内网的业务访问请求，所述业务访问请求中包含所述用户终端请求访问的目标地址；

5G基站，用于获取用户终端针对企业内网的业务访问请求，根据所述业务访问请求和所述用户终端的信息生成业务请求报文并发送给用户面功能；

用户面功能，用于根据所述目标地址和预设的分流策略确定目标边缘节点，将所述业务请求报文发送给所述目标边缘节点上的零信任系统；

边缘节点，用于部署零信任系统，所述零信任系统用于管理用户终端权限和接收所述业务请求报文，根据预设的访问控制策略对所述用户终端进行身份认证，身份认证成功后，对所述业务访问请求进行权限判定，判定成功后将所述业务访问请求转发至所述目标地址对应的企业内网；

企业内网，用于根据所述业务访问请求为所述用户终端提供相应的业务访问服务。

可选地，所述预设的分流策略包括：

将距离所述目标地址最近的边缘节点作为目标边缘节点。

可选地，所述零信任系统包括：

依次连接的零信任平台、零信任控制器和零信任网关；

其中，所述零信任平台管理用户终端权限及将预设的访问控制策略下发给所述零信任控制器和所述零信任网关，所述零信任控制器根据所述访问控制策略对所述用户终端进行身份认证，身份认证成功后，将所述业务请求报文和对应的企业专线地址发送给所述零信任网关，所述零信任网关对所述业务访问请求进行权限判定，判定成功后将所述用户终端的业务访问请求转发至所述目标地址对应的企业内网。

可选地，将所述业务请求报文发送给所述目标边缘节点上的零信任系统包括：

将所述业务请求报文发送给所述目标边缘节点上的所述零信任控制器。