(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111355102.1 (22)申请日 2021.11.16 (71)申请人 广西中科曙光云计算有限公司 地址 530000 广西壮 族自治区南宁市青秀 区民族大道143号德瑞花园6号楼1119 号 (72)发明人 郑鹏　刘志徽　梁安宁　 (74)专利代理 机构 广州三环 专利商标代理有限 公司 44202 代理人 郭浩辉　颜希文 (51)Int.Cl. H04L 9/40(2022.01) G06F 21/32(2013.01) (54)发明名称 一种零信任无边界安全访问系统 (57)摘要 本发明公开了一种零信任无边界安全访问 系统， 所述系统包括身份认证模块、 安全访问控 制模块、 访问代理模块、 AI终端感知模块、 AI网络 感知模块以及AI操作感知模块； 在用户发起数据 访问请求时， 由身份认证模块对用于进行身份认 证， 由安全访问控制模块确定用户的数据访问权 限， 由访问代理模块根据数据访问权限对数据访 问请求进行权限认证， 由AI终端感知模块、 AI网 络感知模块以及AI操作感知模块分别进行设备 风险、 网络风险以及操作风险的评估， 通过实施 本发明能够提高数据访问的安全性。 权利要求书2页 说明书6页 附图1页 CN 114205116 A 2022.03.18 CN 114205116 A 1.一种零信任无边界安全访 问系统， 其特征在于， 包括： 身份认证模块、 安全访 问控制 模块、 访问代理模块、 AI终端感知模块、 AI网络感知模块以及AI操作感知模块； 所述身份认证模块， 用于在用户通过用户终端发起数据访 问请求时， 获取用户身份信 息并根据所述用户身份信息对用户进行身份验证； 所述安全访 问控制模块， 用于在用户通过身份验证后， 根据用户身份信息确定用户数 据访问权限； 所述访问代理模块， 用于在根据所述用户数据访问权限确定所述数据访问请求符合权 限时， 将数据访问请求发送至所述 安全访问控制模块； 所述AI终端感知模块， 用于在所述安全访问控制模块接收到所述数据访 问请求时， 获 取用户终端当前时段的用户终端信息， 并将当前时段的用户终端信息输入至预设的终端感 知模型中， 以使 所述终端感知 模型根据当前时段的用户终端信息确定用户终端的当前终端 风险等级； 所述AI网络感知模块， 用于在所述安全访问控制模块接收到所述数据访 问请求时， 获 取用户终端当前时段的网络日志信息， 并将当前时段的网络日志信息输入至预设的网络感 知模型中， 以使所述网络感知模型根据当前时段的网络日志信息确定当前网络风险等级； 所述AI操作感知模块， 用于在所述安全访问控制模块接收到所述数据访 问请求时， 获 取用户终端当前时段的操作日志信息， 将当前时段的操作日志信息输入至预设的操作感知 模型中， 以使所述操作感知模型根据当前时段的操作日志信息， 确定当前操作风险等级； 所述安全访 问控制模块， 还用于在所述当前终端风险等级、 所述当前网络风险等级以 及所述当前操作风险等级都在符合预设的风险等级要求时， 根据所述数据访问请求从数据 存储服务器中获取对应的访问数据并反馈 至用户终端。 2.如权利要求1所述的零信任无边界安全访问系统， 其特征在于， 所述用户身份信 息包 括以下任意 一项或其组合： 人脸信息以及指纹信息； 所述获取用户身份信息并根据所述用户身份信息对用户进行身份验证， 具体包括： 在所述身份信息为人脸信息时， 根据所获取的人脸信息对用户进行人脸识别， 并在人 脸识别成功后确定身份验证通过； 在所述身份信息为指纹信息时， 根据所获取的指纹信息对用户进行指纹识别， 并在指 纹识别成功后确定身份验证通过； 在所述身份信 息为人脸信 息和指纹信 息时， 根据 所获取的人脸信 息对用户进行人脸识 别， 根据所获取 的指纹信息对用户进行指纹识别， 并在人脸识别成功且指纹识别成功后确 定身份验证通过。 3.如权利要求1所述的零信任无边界安全访问系统， 其特征在于， 所述终端感知模型的 构建方法具体包括： 获取用户终端若干历史时段的用户终端信 息， 以及各历史时段所对应的终端风险等级 信息； 以各历史时段的用户终端信息为输入， 以各历史时段所对应终端风险等级为输出， 对 第一神经网络模型进行训练， 将训练完毕后的第一神经网络模型作为所述终端感知模型； 其中， 用户终端信息包括终端ID、 用户终端所在的地址信息以及终端 告警日志信息 。 4.如权利要求1所述的零信任无边界安全访问系统， 其特征在于， 所述网络感知模型的权　利　要　求　书 1/2 页 2 CN 114205116 A 2构建， 具体包括： 获取用户终端若干历史时段的网络日志信 息， 以及各历史时段所对应的网络风险等级 信息； 以各历史时段的网络日志信息为输入， 以各历史时段所对应网络风险等级为输出， 对 第二神经网络模型进行训练， 将训练完毕后的第二神经网络模型作为所述网络感知模型； 其中， 网络日志信息包括： 网络访问的时长、 访问的IP地址以及数据的流 量。 5.如权利要求1所述的零信任无边界安全访问系统， 其特征在于， 所述操作感知模型的 构建， 具体包括： 获取用户终端若干历史时段的操作日志信 息， 以及各历史时段所对应的操作风险等级 信息； 以各历史时段的操作 日志信息为输入， 以各历史时段所对应操作风险等级为输出， 对 第三神经网络模型进行训练， 将训练完毕后的第三神经网络模型作为所述操作感知模型； 其中， 操作日志信息包括： 应用程序操作信息、 用户登录信息、 安装活动信息以及系统 服务进程信息 。 6.如权利要求1所述的零信任无边界安全访问系统， 其特征在于， 所述根据所述数据访 问请求从数据存 储服务器中， 获取对应的数据并反馈 至用户终端， 具体包括： 按预设的加密算法对所述数据访问请求进行加密， 继而将加密后的数据访问请求发送 至数据存储服务器， 继而在接 收到所述数据存储服务器所反馈的访问数据后， 将访问数据 反馈至用户终端。 7.如权利要求1所述的零信任无边界安全访问系统， 其特 征在于， 还 包括预警模块； 所述预警模块， 用于在所述当前终端风险等级、 所述当前网络风险等级或所述当前操 作风险等级不符合预设的风险等级要求时， 生成预警信息， 并将所述预警信息反馈至预警 终端。权　利　要　求　书 2/2 页 3 CN 114205116 A 3