(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111631642.8 (22)申请日 2021.12.2 9 (71)申请人 北京交研智慧科技有限公司 地址 100073 北京市丰台区六 里桥南里甲 九号首发大厦 (72)发明人 朱子玉　朱丽云　 (74)专利代理 机构 北京银龙知识产权代理有限 公司 11243 代理人 廖晓岚 (51)Int.Cl. G06F 21/60(2013.01) G06F 21/62(2013.01) (54)发明名称 一种数据的零信任认证方法、 装置及电子设 备 (57)摘要 本发明提供一种数据的零信任认证方法、 装 置及电子设备， 涉及网络安全技术领域， 其中， 数 据的零信任认证方法包括： 接收终端发送的数据 资源访问请求； 依据预设的路径映射关系对数据 资源访问请求进行映射处理， 从多个预设的零信 任安全服务中匹配映射对应的零信任安全服务； 基于零信任安全服务对数据资源访问请求进行 认证处理； 在认证处理通过的情况下， 建立与终 端之间的安全通信通道； 通过安全通信通道将数 据资源访问请求对应的数据资源向终端发送。 本 发明实施例通过多个预设的零信任安全服务对 不同的数据资源访问请求进行分别认证， 通过认 证后再将数据资源发送到终端， 提高数据资源共 享的安全性。 权利要求书2页 说明书8页 附图5页 CN 113987560 A 2022.01.28 CN 113987560 A 1.一种数据的零信任认证方法， 其特 征在于， 包括： 接收终端发送的数据资源访问请求； 依据预设的路径映射关系对所述数据资源访问请求进行映射处理， 从多个预设的零信 任安全服 务中匹配映射对应的所述 零信任安全服 务； 基于所述 零信任安全服 务对所述数据资源访问请求进行认证处 理； 在认证处 理通过的情况 下， 建立与所述终端之间的安全通信通道； 通过所述安全通信通道将所述数据资源访问请求对应的数据资源向所述终端发送。 2.根据权利要求1所述的方法， 其特征在于， 所述基于所述零信任安全服务对所述数据 资源访问请求进行认证处 理之前， 所述方法还 包括： 对所述数据资源访问请求依据 预设的解密程序进行解密处理， 获得认证需求零信任安 全服务项目； 调取所述零信任安全服务对应的服务列表， 其中， 所述服务列表包括至少一项子零信 任安全服 务； 在所述服务列表不存在所述认证需求零信任安全服务项目对应的所述子零信任安全 服务的情况 下， 向所述终端发送错 误返回消息 。 3.根据权利要求2所述的方法， 其特征在于， 所述对所述数据资源访问请求依据 预设的 解密程序进行解密处 理， 获得认证需求 零信任安全服 务项目， 包括： 对所述数据资源访问请求依据预设的密钥进行解密， 获得中间数据； 对所述中间数据依据设定的格式转换公式进行处理， 获得所述认证需求零信任安全服 务项目。 4.根据权利要求1所述的方法， 其特征在于， 所述零信任安全服务至少包括认证服务、 审批服务或授权服 务中的一种， 还 包括预设的配置规则； 所述基于所述 零信任安全服 务对所述数据资源访问请求进行认证处 理， 包括： 在所述零信任安全服务包括所述认证服务的情况下， 依据 所述配置规则对所述数据资 源访问请求进行 所述认证服 务处理， 获得通过或不 通过的结果； 在所述零信任安全服务包括所述审批服务的情况下， 依据 所述配置规则对所述数据资 源访问请求进行 所述审批服 务处理， 获得通过或不 通过的结果； 在所述零信任安全服务包括所述授权服务的情况下， 依据 所述配置规则对所述数据资 源访问请求进行 所述授权服 务处理， 获得通过或不 通过的结果； 在存在不 通过的结果的情况 下， 向所述终端发送错 误返回消息； 在不存在不 通过的结果的情况 下， 认证处 理通过。 5.根据权利要求1所述的方法， 其特征在于， 所述通过所述安全通信通道将所述数据资 源访问请求对应的数据资源向所述终端发送之后， 所述方法还 包括： 依据预设的监控规则对所述终端和所述数据资源进行实时监控； 在所述终端或所述数据资源的参数发生改变的情况下， 断开与 所述终端之间的所述安 全通信通道。 6.一种数据的零信任认证装置， 其特 征在于， 包括： 接收模块， 用于 接收终端发送的数据资源访问请求； 映射模块， 用于依据预设的路径映射关系对所述数据资源访 问请求进行映射处理， 从权　利　要　求　书 1/2 页 2 CN 113987560 A 2多个预设的零信任安全服 务中匹配映射对应的所述 零信任安全服 务； 认证模块， 用于基于所述 零信任安全服 务对所述数据资源访问请求进行认证处 理； 第一处理模块， 用于在认证处 理通过的情况 下， 建立与所述终端之间的安全通信通道； 通信模块， 用于通过所述安全通信通道将所述数据资源访问请求对应的数据资源向所 述终端发送。 7.根据权利要求6所述的装置， 其特 征在于， 所述认证模块之前， 所述装置还 包括： 解密模块， 用于对所述数据资源访 问请求依据预设的解密程序进行解密处理， 获得认 证需求零信任安全服 务项目； 第二处理模块， 用于调取所述零信任安全服务对应的服务列表， 其中， 所述服务列表包 括至少一项子零信任安全服 务； 发送模块， 用于在所述服务列表不存在所述认证需求零信任安全服务项目对应的所述 子零信任安全服 务的情况 下， 向所述终端发送错 误返回消息 。 8.根据权利要求6所述的装置， 其特征在于， 所述零信任安全服务至少包括认证服务、 审批服务或授权服 务中的一种， 还 包括预设的配置规则； 所述认证模块包括： 第一认证单元， 用于在所述零信任安全服务包括所述认证服务的情况下， 依据所述配 置规则对所述数据资源访问请求进行 所述认证服 务处理， 获得通过或不 通过的结果； 第二认证单元， 用于在所述零信任安全服务包括所述审批服务的情况下， 依据所述配 置规则对所述数据资源访问请求进行 所述审批服 务处理， 获得通过或不 通过的结果； 第三认证单元， 用于在所述零信任安全服务包括所述授权服务的情况下， 依据所述配 置规则对所述数据资源访问请求进行 所述授权服 务处理， 获得通过或不 通过的结果； 发送单元， 用于在存在不 通过的结果的情况 下， 向所述终端发送错 误返回消息； 处理单元， 用于在不存在不 通过的结果的情况 下， 认证处 理通过。 9.一种电子设备， 其特征在于， 包括处理器、 存储器及存储在所述存储器上并可在所述 处理器上运行的计算机程序， 所述计算机程序被所述处理器执行时实现如权利要求 1至5中 任一项所述的数据的零信任认证方法中的步骤。 10.一种可读存储介质， 用于存储程序， 其特征在于， 所述程序被处理器执行时实现如 权利要求1至 5中任一项所述的数据的零信任认证方法中的步骤。权　利　要　求　书 2/2 页 3 CN 113987560 A 3