[发明专利]一种端到端的零信任安全网关系统

权利要求书

1.一种端到端的零信任安全网关系统，其特征在于，包括：

接收用户提交的身份注册信息，并对所述身份注册信息作出响应的用户管理模块；与所述用户管理模块通讯连接的身份认证策略模块；所述身份认证策略模块用于接收、验证当前所述用户的系统登录身份信息以及业务系统访问请求，并获取针对所述系统登录身份信息的第一登录权限信息，根据所述第一登录权限信息对所述业务系统访问请求作出响应；

与所述认证策略模块通讯连接的功能服务器管理模块；与所述功能服务器管理模块通讯连接的统一身份模块；与所述统一身份模块通讯连接的业务系统模块；与所述业务系统模块通讯连接的安全日志审计模块；与所述用户管理模块、所述身份认证策略模块、所述统一身份模块、所述功能服务器管理模块、所述业务系统模块以及所述安全日志审计模块通讯连接的中台门户平台；

所述功能服务器管理模块包括：与所述中台门户平台连接的，分布式集群部署的OPENVPN功能服务器模块、FRP内网穿透功能服务器模块、FWKNOP单包授权功能服务器模块、驱动防火墙功能服务器模块以及DHCP准入服务器模块；

所述OPENVPN功能服务器模块包括：与所述中台门户平台连接的VPN客户端模块；与所述VPN客户端模块连接，用于发送认证包来获取凭证，建立VPN隧道会话的VPN服务端模块；所述FRP内网穿透功能服务器模块包括：HTTP客户端模块；与所述HTTP客户端模块连接，用于发送认证包来获取凭证，建立穿透隧道会话的FRP内网穿透服务端模块；

所述FWKNOP单包授权功能服务器模块用于对已授权登录的用户发送认证包，通过所述认证包获取所述用户针对所述业务系统访问请求的第一访问权限信息，根据所述第一访问权限信息对所述业务系统访问请求作出响应；所述FWKNOP单包授权功能服务器模块包括：与所述业务系统模块连接，进行动态ACL创建的FWKNOP单包授权服务端模块；与所述FWKNOP单包授权服务端模块连接，建立单包授权会话连接所述业务系统模块的FWKNOP单包授权客户端模块。

2.根据权利要求1所述的端到端的零信任安全网关系统，其特征在于，所述用户管理模块包括：与所述中台门户平台信号连接的注册用户审核模块；与所述注册用户审核模块信号连接的用户新增模块；与所述用户新增模块信号连接的用户导入模块。

3.根据权利要求1所述的端到端的零信任安全网关系统，其特征在于，所述身份认证策略模块包括：与所述中台门户平台通讯连接的MFA多因素身份认证策略模块、认证策略顺序管理模块以及认证策略期限管理模块。

4.根据权利要求3所述的端到端的零信任安全网关系统，其特征在于，所述MFA多因素身份认证策略模块获取所述第一登录权限信息的方式包括：账号密码验证、短信验证、扫码验证以及指纹验证。

5.根据权利要求1所述的端到端的零信任安全网关系统，其特征在于，获取针对所述系统登录身份信息的第一登录权限信息，根据所述第一登录权限信息对所述业务系统访问请求信息作出响应，包括：

若所述第一登录权限信息为所述系统登录身份信息具备登录网关系统的权限，即所述系统登录身份信息已授权，则允许所述当前用户登录所述网关系统，且放行所述业务系统访问请求；

若所述第一登录权限信息为所述系统登录身份信息不具备登录所述网关系统的权限，则禁止所述当前用户登录所述网关系统，且阻断所述业务系统访问请求。

6.根据权利要求4所述的端到端的零信任安全网关系统，其特征在于，所述统一身份模块包括：通过获取已授权的所述系统登录身份信息，进行统一身份信息系统建设的SSO单点登录模块；与所述SSO单点登录模块连接的身份授权管理模块。

7.根据权利要求1所述的端到端的零信任安全网关系统，其特征在于，所述业务系统模块包括：用于录入所述当前用户需要访问和授权的业务系统的业务服务器配置模块；与所述业务服务器配置模块信号连接的业务服务器分组模块以及账号绑定授权模块。