本申請?zhí)峁┝艘环N認(rèn)證信息同步方法及裝置，應(yīng)用于零信任網(wǎng)絡(luò)的代理設(shè)備中，該零信任網(wǎng)絡(luò)采用分區(qū)域部署方式，每個區(qū)域?qū)?yīng)一個代理設(shè)備，且每個代理設(shè)備配置有鄰居代理設(shè)備；該方法包括：接收用戶的訪問請求；若本地存儲有用戶的認(rèn)證信息，則利用認(rèn)證信息對用戶進(jìn)行認(rèn)證，在認(rèn)證通過后允許用戶訪問所述訪問請求所請求訪問的應(yīng)用系統(tǒng)；若本地未存儲用戶的認(rèn)證信息，則向用于身份認(rèn)證的IAM系統(tǒng)發(fā)送認(rèn)證請求，以由IAM系統(tǒng)完成對所述用戶的身份認(rèn)證；接收IAM系統(tǒng)反饋的認(rèn)證結(jié)果；若認(rèn)證結(jié)果為認(rèn)證通過，則允許用戶訪問所述訪問請求所請求訪問的應(yīng)用系統(tǒng)；將認(rèn)證通過的認(rèn)證信息同步給代理設(shè)備的鄰居代理設(shè)備。由此降低了IAM系統(tǒng)的認(rèn)證壓力。

技術(shù)領(lǐng)域

本申請涉及通信技術(shù)領(lǐng)域，尤其涉及一種認(rèn)證信息同步方法及裝置。

背景技術(shù)

傳統(tǒng)的網(wǎng)絡(luò)安全模型以網(wǎng)絡(luò)邊界作為防護(hù)邊界，通常采用防火墻、DDOS、IPS等設(shè)備在企業(yè)入口處對流量進(jìn)行監(jiān)控，出差用戶或者分支機(jī)構(gòu)采用VPN的方式接入內(nèi)網(wǎng)，內(nèi)網(wǎng)環(huán)境被認(rèn)為是安全的。隨著技術(shù)的不斷進(jìn)步，這種傳統(tǒng)的安全體系正面臨挑戰(zhàn)。一方面，因內(nèi)網(wǎng)防御措施往往較為薄弱，一旦攻擊者攻入網(wǎng)絡(luò)邊界，內(nèi)網(wǎng)環(huán)境就會面臨數(shù)據(jù)泄漏等風(fēng)險。另一方面，隨著微服務(wù)架構(gòu)的興起，系統(tǒng)組成方式由集中式向分布式演進(jìn)，企業(yè)對外提供的服務(wù)也更加具有針對性，需要提供更加精細(xì)化的防護(hù)方式。由此產(chǎn)生了“零信任”安全模型，而“零信任”安全模型的中心思想是所有訪問都是不可信的，以身份作為新邊界來代替?zhèn)鹘y(tǒng)的網(wǎng)絡(luò)邊界。當(dāng)用戶訪問零信任網(wǎng)絡(luò)時，需要通過代理設(shè)備與身份識別與訪問管理(Identity and Access Management，IAM)系統(tǒng)交互，以完成身份認(rèn)證和應(yīng)用系統(tǒng)訪問權(quán)限認(rèn)證的功能。

目前采用分區(qū)部署的零信任網(wǎng)絡(luò)中，在每個區(qū)域的接入點都會部署一臺代理設(shè)備。各區(qū)域的各代理設(shè)備之間是相互獨立的。當(dāng)用戶訪問某個區(qū)域的應(yīng)用系統(tǒng)時，需要通過該區(qū)域的代理設(shè)備與IAM系統(tǒng)完成認(rèn)證功能。而當(dāng)用戶訪問另一個區(qū)域的其它應(yīng)用系統(tǒng)甚至同一應(yīng)用系統(tǒng)時，依然需要與IAM系統(tǒng)重新完成認(rèn)證流程，這樣會造成同一用戶訪問不同區(qū)域的應(yīng)用系統(tǒng)的多次認(rèn)證，流程繁瑣，同時增加了IAM系統(tǒng)的認(rèn)證壓力。

因此，如何在同一用戶訪問不同區(qū)域的應(yīng)用系統(tǒng)時不需要重新向IAM系統(tǒng)認(rèn)證，同時降低IAM系統(tǒng)的認(rèn)證壓力是值得考慮的技術(shù)問題之一。

發(fā)明內(nèi)容

有鑒于此，本申請?zhí)峁┮环N認(rèn)證信息同步方法及裝置，用以實現(xiàn)在同一用戶訪問不同區(qū)域的應(yīng)用系統(tǒng)時無需重新向IAM系統(tǒng)認(rèn)證，降低IAM系統(tǒng)的認(rèn)證壓力。

具體地，本申請是通過如下技術(shù)方案實現(xiàn)的：

根據(jù)本申請的第一方面，提供一種認(rèn)證信息同步方法，應(yīng)用于零信任網(wǎng)絡(luò)的代理設(shè)備中，所述零信任網(wǎng)絡(luò)采用分區(qū)域部署方式，每個區(qū)域?qū)?yīng)一個代理設(shè)備，且每個代理設(shè)備配置有該代理設(shè)備的鄰居代理設(shè)備；所述方法，包括：

接收用戶的訪問請求；

若本地存儲有所述用戶的認(rèn)證信息，則利用所述認(rèn)證信息對所述用戶進(jìn)行認(rèn)證，并在認(rèn)證通過后，允許所述用戶訪問所述訪問請求所請求訪問的應(yīng)用系統(tǒng)；

若本地未存儲所述用戶的認(rèn)證信息，則向用于身份認(rèn)證的身份識別與訪問管理IAM系統(tǒng)發(fā)送認(rèn)證請求，以由所述IAM系統(tǒng)完成對所述用戶的身份認(rèn)證；

接收所述IAM系統(tǒng)反饋的認(rèn)證結(jié)果；

若所述認(rèn)證結(jié)果為認(rèn)證通過，則允許所述用戶訪問所述訪問請求所請求訪問的應(yīng)用系統(tǒng)；并將認(rèn)證通過的認(rèn)證信息同步給所述代理設(shè)備的鄰居代理設(shè)備。

根據(jù)本申請的第二方面，提供一種認(rèn)證信息同步裝置，應(yīng)用于零信任網(wǎng)絡(luò)的代理設(shè)備中，所述零信任網(wǎng)絡(luò)采用分區(qū)域部署方式，每個區(qū)域?qū)?yīng)一個代理設(shè)備，且每個代理設(shè)備配置有該代理設(shè)備的鄰居代理設(shè)備；所述裝置，包括：

第一接收模塊，用于接收用戶的訪問請求；

判斷模塊，用于判斷本地是否存儲有所述用戶的認(rèn)證信息；