CN112866232A - 一种访问控制系统、访问控制方法及相关装置 - Google Patents

Abstract

本申请提供了一种访问控制系统、访问控制方法及相关装置，该方法包括接收用户的业务访问许可请求；根据所述业务访问许可请求生成认证页面并将所述认证页面的认证统一资源定位符URL发送给所述策略中心，所述URL包括所述虚拟可信控制节点所提供服务的虚拟化私有云的云标识；接收所述用户发送的业务访问请求，所述业务访问请求携带所述身份令牌和所请求访问的业务的业务信息；向所述策略中心发送鉴权请求，所述鉴权请求中携带所述身份令牌、所述业务信息和所述云标识；接收所述策略中心反馈的鉴权结果，根据所述鉴权结果对所述业务访问请求进行控制。由此实现了VPC的安全防护且维护成本低的目的。

Description

一种访问控制系统、访问控制方法及相关装置

技术领域

本申请涉及网络安全技术领域，尤其涉及一种访问控制系统、访问控制方法及相关装置。

背景技术

随着零信任防护体系逐步进入实际落地实施，对应用业务的用户访问控制，采用零信任安全防护体系进行防护得到越来越的推崇。在云安全的用户安全接入防护需求中，要对每个租户的虚拟私有云(Virtual Private Cloud，VPC)部署零信任系统，而若为每个VPC分别部署一套零信任安全防护系统，其投资和运营成本会很大，同时也存在着较大的安全资源的浪费问题；此外当有大量的VPC时，为每个VPC部署一套零信任系统缺乏可实施性。

因此，如何针对VPC部署安全防护且降低运维成本是值得考虑的技术问题之一。

发明内容

有鉴于此，本申请提供一种访问控制系统、访问控制方法及相关装置，用以针对VPC部署安全防护且降低运维成本。

具体地，本申请是通过如下技术方案实现的：

根据本申请的第一方面，提供一种访问控制系统，包括安全防护可信控制中心和策略中心，所述安全防护可信控制中心中划分了多个虚拟可信控制节点，每个虚拟可信控制节点用于为一个虚拟化私有云提供服务，每个虚拟化私有云用于提供业务服务，其中：

所述虚拟可信控制节点，用于接收用户的业务访问许可请求，并根据所述业务访问许可请求生成认证页面并将所述认证页面的认证统一资源定位符URL发送给所述策略中心，所述URL包括所述虚拟可信控制节点所提供服务的虚拟化私有云的云标识；

所述策略中心，用于在接收到认证URL后，输出所述认证页面以展示给所述用户；以及接收所述用户基于所述认证页面反馈的用户信息，根据所述用户信息和所述云标识对所述用户进行身份认证；在认证通过后为所述用户生成身份令牌并发送给所述用户；

所述虚拟可信控制节点，还用于接收所述用户发送的业务访问请求，所述业务访问请求携带所述身份令牌和所请求访问的业务的业务信息；向所述策略中心发送鉴权请求，所述鉴权请求中携带所述身份令牌、所述业务信息和所述云标识；

所述策略中心，还用于在接收到所述鉴权请求后，根据所述鉴权请求携带的所述身份令牌、所述业务信息和所述云标识对所述用户的访问权限进行鉴权；并向所述虚拟可信控制节点反馈鉴权结果；

所述虚拟可信控制节点，还用于在接收到所述鉴权结果后，对所述业务访问请求进行控制。

根据本申请的第二方面，提供一种访问控制方法，应用于安全防护可信控制中心中，所述安全防护可信控制中心中划分了多个虚拟可信控制节点，每个虚拟可信控制节点用于为一个虚拟化私有云提供服务，每个虚拟化私有云用于提供业务服务，所述方法包括：

接收用户的业务访问许可请求；

根据所述业务访问许可请求生成认证页面并将所述认证页面的认证统一资源定位符URL发送给所述策略中心，所述URL包括所述虚拟可信控制节点所提供服务的虚拟化私有云的云标识；

接收所述用户发送的业务访问请求，所述业务访问请求携带所述身份令牌和所请求访问的业务的业务信息；

向所述策略中心发送鉴权请求，所述鉴权请求中携带所述身份令牌、所述业务信息和所述云标识；

接收所述策略中心反馈的鉴权结果，根据所述鉴权结果对所述业务访问请求进行控制。

根据本申请的第三方面，提供一种访问控制方法，应用于策略中心，所述方法包括：

接收虚拟可信控制节点发送的认证统一资源定位符URL，认证URL包括所述虚拟可信控制节点所提供服务的虚拟化私有云的云标识；

输出所述认证页面以展示给所述用户；

接收所述用户基于所述认证页面反馈的用户信息，根据所述用户信息和所述云标识对所述用户进行身份认证；

在认证通过后为所述用户生成身份令牌并发送给所述用户；

接收所述虚拟可信控制节点发送的鉴权请求，所述鉴权请求中携带所述身份令牌、所述业务信息和所述云标识；

根据所述鉴权请求携带的所述身份令牌、所述业务信息和所述云标识对所述用户的访问权限进行鉴权；

向所述虚拟可信控制节点反馈鉴权结果。

根据本申请的第四方面，提供一种访问控制装置，应用于安全防护可信控制中心中，所述安全防护可信控制中心中划分了多个虚拟可信控制节点，每个虚拟可信控制节点用于为一个虚拟化私有云提供服务，每个虚拟化私有云用于提供业务服务，所述装置包括：

第一接收模块，用于接收用户的业务访问许可请求；

生成模块，用于根据所述业务访问许可请求生成认证页面；

发送模块，用于将所述认证页面的认证统一资源定位符URL发送给所述策略中心，所述URL包括所述虚拟可信控制节点所提供服务的虚拟化私有云的云标识；

所述第一接收模块，还用于接收所述用户发送的业务访问请求，所述业务访问请求携带所述身份令牌和所请求访问的业务的业务信息；

所述发送模块，还用于向所述策略中心发送鉴权请求，所述鉴权请求中携带所述身份令牌、所述业务信息和所述云标识；

第二接收模块，用于接收所述策略中心反馈的鉴权结果，根据所述鉴权结果对所述业务访问请求进行控制。

根据本申请的第五方面，提供一种访问控制装置，应用于策略中心，所述装置包括：

接收模块，用于接收虚拟可信控制节点发送的认证统一资源定位符URL，认证URL包括所述虚拟可信控制节点所提供服务的虚拟化私有云的云标识；

输出模块，用于输出所述认证页面以展示给所述用户；

所述接收模块，还用于接收所述用户基于所述认证页面反馈的用户信息，根据所述用户信息和所述云标识对所述用户进行身份认证；

生成模块，用于在认证通过后为所述用户生成身份令牌；

第一发送模块，用于将所述身份令牌发送给所述用户；

所述接收模块，还用于接收所述虚拟可信控制节点发送的鉴权请求，所述鉴权请求中携带所述身份令牌、所述业务信息和所述云标识；

鉴权模块，用于根据所述鉴权请求携带的所述身份令牌、所述业务信息和所述云标识对所述用户的访问权限进行鉴权；

第二发送模块，用于向所述虚拟可信控制节点反馈鉴权结果。

根据本申请的第六方面，提供一种电子设备，包括处理器和机器可读存储介质，机器可读存储介质存储有能够被处理器执行的计算机程序，处理器被计算机程序促使执行本申请实施例第一方面所提供的方法，或者执行本申请实施例第二方面所提供的方法。

根据本申请的第七方面，提供一种机器可读存储介质，机器可读存储介质存储有计算机程序，在被处理器调用和执行时，计算机程序促使处理器执行本申请实施例第一方面所提供的方法，或者执行本申请实施例第二方面所提供的方法。

本申请实施例的有益效果：

将安全访问可信控制中心进行虚拟化，虚拟化出多个虚拟可信控制节点，使得一个虚拟化私有云对应一个虚拟可信控制节点，然后由该虚拟可信控制节点与策略中心配合操作，实现对用户访问该虚拟化私有云上的业务的访问控制，提高了安全资源的利用率，此外不仅安全性高而且运维成本比较低，可以根据实际需要进行弹性扩展，提高了访问控制系统的易用性和利用率。

附图说明

图1是本申请实施例提供的一种访问控制系统的结构示意图；

图2是本申请实施例提供的一种访问控制方法的流程图；

图3是本申请实施例提供的一种访问控制装置的结构示意图；

图4是本申请实施例提供的另一种访问控制装置的结构示意图；

图5是本申请实施例提供的一种电子设备的硬件结构示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如本申请的一些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

下面对本申请提供的访问控制系统、访问控制方法进行详细地说明。

参见图1，图1是本实施例提供的访问控制器系统的结构示意图，该系访问控制系统包括安全防护可信控制中心和策略中心，其中该安全防护可信控制中心中划分了多个虚拟可信控制节点，每个虚拟可信控制节点用于为一个虚拟化私有云提供服务，每个虚拟化私有云用于提供业务服务，参考图1所示，每个虚拟化私有云(VPC1～VPCn)中部署有业务系统，各个虚拟化私有云分别部署的业务系统可以分别记为业务系统1～业务系统n，每个业务系统包括各种预先配置的业务，其中：每个虚拟可信控制节点与策略中心之间的交互示意图请参考图2所示：

S201、虚拟可信控制节点接收用户的业务访问许可请求。

具体地，本申请对用户(例如图1中的租户_1～租户_n)的业务进行云化处理，即，在分别部署的虚拟化私有云上部署各种业务，本申请将每个虚拟化私有云上部署的业务集成在业务系统上，如部署了n个虚拟化私有云VPC1、VPC2，……，VPCn，不同的VPC之间可以有相同的用户名和IP地址，每个虚拟化私有云上部署有业务系统，结合图1所示。由于部署了多个VPC，为了提高云部署的弹性扩展、易用性和利用率，本申请的访问控制系统会部署多个虚拟可信控制节点，记为虚拟可信控制节点SC_1～虚拟可信控制节点SC_n，每个虚拟可信控制节点对应一个VPC，通过创建该虚拟可信控制节点对用户访问VPC的访问权限进行控制。

基于此，用户在通过终端访问其所期望访问的VPC时，会将也访问许可请求发送给该VPC对应的虚拟可信控制节点。

具体地，可以将安全防护可信控制中心进行虚拟化，虚拟化出多个虚拟可信控制节点SC_1、SC_2、……SC_n，各个虚拟可信控制节点的IP地址不同，例如可以分别记为SC_1_IP、SC_2_IP、……SC_n_IP。每个虚拟可信控制节点在提供服务前，会向策略中心进行注册，具体注册过程为：每个虚拟可信控制节点向所述策略中心发送注册请求；策略中心在接收到所述注册请求后，为该虚拟可信控制节点分配身份标识和该虚拟可信控制节点所要提供服务的虚拟化私有云的云标识并发送给该虚拟可信控制节点；该虚拟可信控制节点会接收到策略中心为所述虚拟可信控制节点分配的身份标识和所述虚拟可信控制节点所要提供服务的虚拟化私有云的云标识。具体地，每个虚拟可信控制节点向策略中心发起注册请求后，策略中心会为该虚拟可信控制节点分配身份标识，例如身份token，且不同的虚拟可信控制节点对应的身份标识不同。策略中心在为该虚拟可信控制节点分配身份标识后，也会为该虚拟可信控制节点分配其所要提供服务的虚拟化私有云的云标识，也即告知该虚拟可信控制节点为其分配的身份标识和其所要提供服务的虚拟化私有云的云标识，该云标识可以记为VPC_ID。这样一来，策略中心可以记录各个虚拟可信控制节点的身份标识与对应的虚拟化私有云的云标识之间的对应关系。

当每个虚拟可信控制节点在策略中心注册完成后，策略中心还会向该虚拟可信控制节点发送注册账号(如账号名VpcPoIName)、初始密码。这样一来，用于管理该虚拟可信控制节点的管理员就可以利用上述账号和初始密码登录到策略中心，然后基于此可以配置能够访问其所能提供服务的VPC的用户信息、业务信息等，然后会在业务信息的业务表项中自动添加所能提供服务的VPC的云标识VPC_ID。

在此基础上，策略中心就会获取到允许访问每个虚拟化私有云的用户的用户信息和该虚拟化私有云所能提供的业务服务中每个用户所能访问的业务的业务信息；然后在访问权限关系列表中记录上述虚拟化私有云的云标识、允许访问上述虚拟化私有云的用户的用户信息和所能访问的业务的业务信息三者之间的对应关系。基于上述访问权限关系列表即可对后续的用户的业务访问权限进行验证，后续描述之。

上述用户信息可以但不限于包括用户名等等，每个业务的业务信息可以包括业务标识等等相关信息，业务标识可以为业务名称等等。通过设置访问权限列表，基于云标识、用户名可以查找到相应VPC下的该用户名的其他用户信息；同理可以根据业务名称和云标识可以查到业务名称对应的业务的其他业务信息。

S202、虚拟可信控制节点根据所述业务访问许可请求生成认证页面并将所述认证页面的认证统一资源定位符URL发送给所述策略中心。

其中，该认证URL包括所述虚拟可信控制节点所提供服务的虚拟化私有云的云标识。

本步骤中，当虚拟可信控制节点接收到用户发送的业务访问许可请求后，为了验证用户的身份可以根据该业务访问许可请求生成认证页面，然后将该认证页面的URL发送给策略中心。由于用户的业务访问许可请求是访问对应的虚拟化私有云，而虚拟可信控制节点与虚拟化私有云一一对应，因此虚拟可信控制节点可以获知其对应的虚拟化私有云的云标识，为了让策略中心对该用户的身份及访问权限进行验证，将上述云标识携带在上述认证URL中，然后再将携带了云标识的认证URL发送给策略中心。

S203、策略中心在接收到认证URL后，输出所述认证页面以展示给所述用户。

具体地，策略中心在接收到认证URL后，将认证URL对应的认证页面通过用户的终端展示给用户。

S204、策略中心接收所述用户基于所述认证页面反馈的用户信息，根据所述用户信息和所述云标识对所述用户进行身份认证。

本步骤中，当用户从终端查看到该认证页面时，就可以通过认证界面键入该用户的用户信息，这样策略中心就可以获取到用户的用户信息。当获取到用户信息后，就可以基于用户的用户信息和云标识对该用户进行身份认证。

具体地，每个VPC的管理员会预先在策略中心上记录能够接入该VPC的用户信息和该VPC的云标识的对应关系。基于此，当策略中心基于认证界面获得用户信息后，可以基于预先记录的用户信息与VPC的云标识之间的对应关系，确认用户所请求访问的VPC对应的用户信息中是否存在用户基于认证界面键入的用户信息，若存在则确认对用户的身份认证通过，若不存在，则确认对用户的身份认证不通过。

S205、策略中心在认证通过后为所述用户生成身份令牌并发送给所述用户。

具体地，策略中心在对用户的身份认证通过后，会为该用户生成唯一的身份令牌并发送给该用户，以用于后续的会话识别。

S206、虚拟可信控制节点接收所述用户发送的业务访问请求。

其中，上述业务访问请求携带所述身份令牌和所请求访问的业务的业务信息。

具体地，当用户的终端接收到身份令牌后，就可以创建业务访问请求，然后在业务访问请求中添加身份令牌，并将携带了身份令牌的业务访问请求发送给虚拟可信控制节点。此外，业务访问请求还会携带该用户所期望访问的业务的业务信息。

S207、虚拟可信控制节点向所述策略中心发送鉴权请求。

其中，上述鉴权请求中携带所述身份令牌、所述业务信息和所述云标识。

具体地，虚拟可信控制节点接收到用户的业务访问请求后，会从该业务访问请求中解析出用户的身份令牌和所请求访问的业务的业务信息，由于该虚拟可信控制节点本地存储有其提供访问的VPC的云标识，因此可以基于这三个信息生成鉴权请求，该鉴权请求中携带用户的身份令牌、业务信息和云标识。

S208、策略中心在接收到所述鉴权请求后，根据所述鉴权请求携带的所述身份令牌、所述业务信息和所述云标识对所述用户的访问权限进行鉴权。

具体地，策略中心接收到上述鉴权请求后，可以从该鉴权请求中解析出身份令牌、业务信息和云标识这三个信息，然后基于这三个信息就可以对用户的业务访问权限进行鉴权。

具体地，基于步骤S201获知策略中心中预先维护了一个访问权限关系列表，该访问权限关系列表中记录有用户信息、云标识与业务信息三者之间的对应关系。基于此，策略中心若确认该鉴权请求携带的所述身份令牌、所述业务信息和所述云标识在预先维护的访问权限关系列表中，则确认对所述用户针对所请求的业务的访问权限鉴权成功，也即该用户具有访问所请求访问的业务的访问权限。若鉴权请求中解析的三个信息不在访问权限关系列表中，则确认对用户针对所请求的业务的访问权限鉴权失败，也即确认该用户不具备所请求的业务的访问权限。

可选地，策略中心还可以执行下述流程：获取用户的终端安全评估信息和用户的行为安全评估信息；根据所述终端安全评估信息和所述行为安全评估信息对所述用户进行安全评估，得到所述用户的可信度；根据所述用户的可信度调整所述用户所能访问的业务的访问权限并更新所述访问权限关系列表。

具体地，策略中心可以对用户的业务访问权限进行实时调整，具体可以根据用户的可信度来确定是否需要调整用户的业务访问权限。具体地，用户的可信度是通过获取到用户的终端安全评估信息和用户的行为安全评估信息得到的，终端安全评估信息可以根据目前的检测方案获得，用户的行为安全评估信息可以根据用户使用终端访问的行为信息进行评价。

在获得各个用户的可信度后，可以记录到可信度表中，然后可以根据可信度调整用户的业务访问权限。具体地，不同的业务权限高低不同，不同的用户访问业务的权限也不同，可信度比较高的用户可以访问高权限的业务，基于此原理，若用户的可信度比较高，则可以增加该用户的业务访问权限，如新增该用户可访问的业务，也即在访问关系列表中新增该用户在对应VPC下可访问的业务的业务信息。相应地，若确认用户的可信度比较低，则可以降低该用户的业务访问权限，如减少该用户可访问的业务，也即在访问关系列表中删除该用户在对应VPC下相关的业务的业务信息。

S209、策略中心向所述虚拟可信控制节点反馈鉴权结果。

具体地，当基于步骤S208确认出用户的业务访问权限的鉴权结果后，可以将该鉴权结果发送给虚拟可信控制节点。

S210、虚拟可信控制节点在接收到所述鉴权结果后，对所述业务访问请求进行控制。

具体地，当虚拟可信控制节点接收到鉴权结果后，若鉴权结果为鉴权成功即表明该用户具有其所请求的业务的业务访问权限，则将上述业务访问请求发送给该虚拟可信控制节点对应的VPC，也即发送给对应VPC中的业务系统，然后找到对应的业务供用户访问；若鉴权失败则表明该用户不具备其所请求的业务的业务访问权限，则丢弃该业务访问请求。

为了更好地理解本申请提供的访问控制方法，以用户testUser需要通过虚拟可信控制节点SC_i访问虚拟化私有云(云标识VPC_id＝I)中的业务进行说明，若用户testUser访问虚拟化私有云中的应用业务vpc_app时，用户testUser向虚拟可信控制节点SC_i发送业务访问许可请求，本次业务访问许可请求不带cookie，当虚拟可信控制节点SC_i接收到该业务访问许可请求后，获取虚拟可信控制节点SC_i对应的虚拟化私有云VPC_id，然后生成认证页面的认证URL，认证URL包括虚拟化私有云VPC_id，然后将该认证URL发送给策略中心，策略中心会将该认证URL发送给用户testUser，用户testUser会基于该认证页面输入该用户testUser的用户信息。策略中心接收到该用户信息后，基于该用户信息和云标识VPC_id对用户testUser的身份进行认证，即获取记录的虚拟化私有云VPC_id对应的所有用户信息，若用户testUser的用户信息在上述记录中则对该用户testUser认证通过。当认证通过后，会为该用户testUser分配身份令牌并发送给该用户testUser。该身份令牌可以作为该用户testUser后续访问的cookie。用户testUser接收到身份令牌后，将该身份令牌作为cookie发起业务访问请求并将所请求访问的业务信息vpc_app写入到该业务访问请求中，并发送给虚拟可信控制节点SC_i，虚拟可信控制节点SC_i接收到该业务访问请求后，从该业务访问请求中解析出身份令牌、业务信息vpc_app，以及获取该虚拟可信控制节点SC_i对应的虚拟化私有云的云标识VPC_id＝I，然后发起鉴权请求并在鉴权请求中携带这三个信息并发送给策略中心，策略中心接收到上述鉴权请求后，可以判断本地预先维护的访问关系控制列表中是否包括身份令牌、业务信息vpc_app和VPC_id＝I，若包括则确认对该用户的业务访问权限鉴权通过，否则鉴权不通过；将鉴权通过或鉴权不通过的鉴权结果发送给虚拟可信控制节点SC_i。虚拟可信控制节点SC_i接收到鉴权结果后，就可以对用户的业务访问请求进行放行或放弃。从而实现了安全防护，而且节省了安全资源即提高了安全资源的利用率。

通过实施本申请提供的访问控制方法，将安全访问可信控制中心进行虚拟化，虚拟化出多个虚拟可信控制节点，使得一个虚拟化私有云对应一个虚拟可信控制节点，然后由该虚拟可信控制节点与策略中心配合操作，实现对用户访问该虚拟化私有云上的业务的访问控制，提高了安全资源的利用率，此外不仅安全性高而且运维成本比较低，可以根据实际需要进行弹性扩展，提高了访问控制系统的易用性和利用率。

基于同一发明构思，本申请还提供了一种访问控制方法，应用于安全防护可信控制中心中，所述安全防护可信控制中心中划分了多个虚拟可信控制节点，每个虚拟可信控制节点用于为一个虚拟化私有云提供服务，每个虚拟化私有云用于提供业务服务，安全防护可信控制中心执行上述访问控制方法时，可按照下述所示的步骤实施：虚拟可信控制节点接收用户的业务访问许可请求；根据所述业务访问许可请求生成认证页面并将所述认证页面的认证统一资源定位符URL发送给所述策略中心，所述URL包括所述虚拟可信控制节点所提供服务的虚拟化私有云的云标识；接收所述用户发送的业务访问请求，所述业务访问请求携带所述身份令牌和所请求访问的业务的业务信息；向所述策略中心发送鉴权请求，所述鉴权请求中携带所述身份令牌、所述业务信息和所述云标识；接收所述策略中心反馈的鉴权结果，根据所述鉴权结果对所述业务访问请求进行控制。

需要说明的是，上述过程的实施可以参考上述图2所示的实施例中关于虚拟可信控制节点的相关描述，此处不再详细说明。

可选地，本实施例还包括下述过程：向所述策略中心发送注册请求；接收所述策略中心为该虚拟可信控制节点分配的身份标识和该虚拟可信控制节点所要提供服务的虚拟化私有云的云标识。

上述过程的实施可以图2所示的方法实施例中关于虚拟可信控制节点的描述，此处不再一一详细说明。

基于同一发明构思，本实施例还提供了一种策略中心侧实施的访问控制方法，策略中心实施上述访问控制方法的流程时，可以按照下述过程实施：策略中心接收虚拟可信控制节点发送的认证统一资源定位符URL，认证URL包括所述虚拟可信控制节点所提供服务的虚拟化私有云的云标识；输出所述认证页面以展示给所述用户；接收所述用户基于所述认证页面反馈的用户信息，根据所述用户信息和所述云标识对所述用户进行身份认证；在认证通过后为所述用户生成身份令牌并发送给所述用户；接收所述虚拟可信控制节点发送的鉴权请求，所述鉴权请求中携带所述身份令牌、所述业务信息和所述云标识；根据所述鉴权请求携带的所述身份令牌、所述业务信息和所述云标识对所述用户的访问权限进行鉴权；向所述虚拟可信控制节点反馈鉴权结果。

可选地，根据所述鉴权请求携带的所述身份令牌、所述业务信息和所述云标识对所述用户的访问权限进行鉴权，包括：若所述鉴权请求携带的所述身份令牌、所述业务信息和所述云标识在预先维护的访问权限关系列表中，则确认对所述用户针对所请求的业务的访问权限鉴权成功，所述访问权限关系列表中包括用户信息、云标识与业务信息三者之间的对应关系。

可选地，可以按照下述方法建立所述访问权限关系列表：接收每个虚拟可信控制节点发送的注册请求；为该虚拟可信控制节点分配身份标识和该虚拟可信控制节点所要提供服务的虚拟化私有云的云标识；获取允许访问该虚拟化私有云的用户的用户信息和该虚拟化私有云所能提供的业务服务中所述用户所能访问的业务的业务信息；在所述访问权限关系列表中记录所述虚拟化私有云的云标识、允许访问所述虚拟化私有云的用户的用户信息和所能访问的业务的业务信息三者之间的对应关系。

可选地，本实施例提供的访问控制方法，还包括：获取用户的终端安全评估信息和用户的行为安全评估信息；根据所述终端安全评估信息和所述行为安全评估信息对所述用户进行安全评估，得到所述用户的可信度；根据所述用户的可信度调整所述用户所能访问的业务的访问权限并更新所述访问权限关系列表。

需要说明的是，上述过程的实施可以参考上述图2所示的实施例中关于策略中心的相关描述，此处不再详细说明。

基于同一发明构思，本申请还提供了与上述虚拟可信控制节点侧实施的访问控制方法对应的访问控制装置。该访问控制装置的实施具体可以参考上述对虚拟可信控制节点侧的访问控制方法的描述，此处不再一一论述。

参见图3，图3是本申请一示例性实施例提供的一种访问控制装置，应用于安全访问可信控制中心中，所述安全防护可信控制中心中划分了多个虚拟可信控制节点，每个虚拟可信控制节点用于为一个虚拟化私有云提供服务，每个虚拟化私有云用于提供业务服务，所述装置包括：

第一接收模块301，用于接收用户的业务访问许可请求；

生成模块302，用于根据所述业务访问许可请求生成认证页面；

发送模块303，用于将所述认证页面的认证统一资源定位符URL发送给所述策略中心，所述URL包括所述虚拟可信控制节点所提供服务的虚拟化私有云的云标识；

上述第一接收模块301，还用于接收所述用户发送的业务访问请求，所述业务访问请求携带所述身份令牌和所请求访问的业务的业务信息；

上述发送模块303，还用于向所述策略中心发送鉴权请求，所述鉴权请求中携带所述身份令牌、所述业务信息和所述云标识；

第二接收模块304，用于接收所述策略中心反馈的鉴权结果，根据所述鉴权结果对所述业务访问请求进行控制。

可选地，上述发送模块303，还用于向所述策略中心发送注册请求；

上述第二接收模块304，还用于接收所述策略中心为该虚拟可信控制节点分配的身份标识和该虚拟可信控制节点所要提供服务的虚拟化私有云的云标识。

需要说明的是，实际应用中，上述第一接收模块301和第二接收模块304可以为同一个接收模块，当然也可以为两个独立的接收模块，具体可以根据实际情况而定。

基于同一发明构思，本申请还提供了与上述策略中心侧实施的访问控制方法对应的访问控制装置。该访问控制装置的实施具体可以参考上述对策略中心侧的访问控制方法的描述，此处不再一一论述。

参见图4，图4是本申请一示例性实施例提供的一种访问控制装置，应用于策略中心，所述装置包括：

接收模块401，用于接收虚拟可信控制节点发送的认证统一资源定位符URL，认证URL包括所述虚拟可信控制节点所提供服务的虚拟化私有云的云标识；

输出模块402，用于向所述用户展示所述认证页面；

上述接收模块401，还用于接收所述用户基于所述认证页面反馈的用户信息，根据所述用户信息和所述云标识对所述用户进行身份认证；

生成模块403，用于在认证通过后为所述用户生成身份令牌；

第一发送模块404，用于将所述身份令牌发送给所述用户；

上述接收模块401，还用于接收所述虚拟可信控制节点发送的鉴权请求，所述鉴权请求中携带所述身份令牌、所述业务信息和所述云标识；

鉴权模块405，用于根据所述鉴权请求携带的所述身份令牌、所述业务信息和所述云标识对所述用户的访问权限进行鉴权；

第二发送模块406，用于向所述虚拟可信控制节点反馈鉴权结果。

需要说明的是，实际应用中，上述第一发送模块404和第二发送模块406可以为同一个发送模块，当然也可以为两个独立的发送模块，具体可以根据实际情况而定。

可选地，上述鉴权模块405，具体用于若所述鉴权请求携带的所述身份令牌、所述业务信息和所述云标识在预先维护的访问权限关系列表中，则确认对所述用户针对所请求的业务的访问权限鉴权成功，所述访问权限关系列表中包括用户信息、云标识与业务信息三者之间的对应关系。

可选地，上述接收模块401，还用于接收每个虚拟可信控制节点发送的注册请求；

在此基础上，本实施例提供的访问控制装置，还包括：

分配模块(图中未示出)，用于为该虚拟可信控制节点分配身份标识和该虚拟可信控制节点所要提供服务的虚拟化私有云的云标识；

第一获取模块(图中未示出)，用于获取允许访问该虚拟化私有云的用户的用户信息和该虚拟化私有云所能提供的业务服务中所述用户所能访问的业务的业务信息；

创建模块(图中未示出)，用于在所述访问权限关系列表中记录所述虚拟化私有云的云标识、允许访问所述虚拟化私有云的用户的用户信息和所能访问的业务的业务信息三者之间的对应关系。

可选地，本实施例提供的访问控制装置，还包括：

第二获取模块(图中未示出)，用于获取用户的终端安全评估信息和用户的行为安全评估信息；

评估模块(图中未示出)，用于根据所述终端安全评估信息和所述行为安全评估信息对所述用户进行安全评估，得到所述用户的可信度；

调整模块(图中未示出)，用于根据所述用户的可信度调整所述用户所能访问的业务的访问权限并更新所述访问权限关系列表。

基于同一发明构思，本申请实施例提供了一种电子设备，该电子设备可以为安全防护可信控制中心或策略中心，如图5所示，该电子设备包括处理器501和机器可读存储介质502，机器可读存储介质502存储有能够被处理器501执行的计算机程序，处理器501被计算机程序促使执行本申请实施例所提供的安全防护可信控制中心侧实施的访问控制方法，或者执行本申请实施例所提供的策略中心侧的访问控制方法。

上述计算机可读存储介质可以包括RAM(Random Access Memory，随机存取存储器)、DDR SRAM(Double Data Rate Synchronous Dynamic Random Access Memory，双倍速率同步动态随机存储器)，也可以包括NVM(Non-volatile Memory，非易失性存储器)，例如至少一个磁盘存储器。可选的，计算机可读存储介质还可以是至少一个位于远离前述处理器的存储装置。

上述处理器可以是通用处理器，包括CPU(Central Processing Unit，中央处理器)、NP(Network Processor，网络处理器)等；还可以是DSP(Digital Signal Processor，数字信号处理器)、ASIC(Application Specific Integrated Circuit，专用集成电路)、FPGA(Field-Programmable Gate Array，现场可编程门阵列)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

另外，本申请实施例提供了一种机器可读存储介质，机器可读存储介质存储有计算机程序，在被处理器调用和执行时，计算机程序促使处理器执行本申请实施例所提供的安全防护可信控制中心侧实施的访问控制方法，或者执行本申请实施例所提供的策略中心侧的访问控制方法。

对于电子设备以及机器可读存储介质实施例而言，由于其涉及的方法内容基本相似于前述的方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

上述装置中各个单元/模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元/模块可以是或者也可以不是物理上分开的，作为单元/模块显示的部件可以是或者也可以不是物理单元/模块，即可以位于一个地方，或者也可以分布到多个网络单元/模块上。可以根据实际的需要选择其中的部分或者全部单元/模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。

Claims (12)

1.一种访问控制系统，其特征在于，包括安全防护可信控制中心和策略中心，所述安全防护可信控制中心中划分了多个虚拟可信控制节点，每个虚拟可信控制节点用于为一个虚拟化私有云提供服务，每个虚拟化私有云用于提供业务服务，其中：

所述虚拟可信控制节点，用于接收用户的业务访问许可请求，并根据所述业务访问许可请求生成认证页面并将所述认证页面的认证统一资源定位符URL发送给所述策略中心，所述URL包括所述虚拟可信控制节点所提供服务的虚拟化私有云的云标识；

所述策略中心，用于在接收到认证URL后，向所述用户展示所述认证页面；以及接收所述用户基于所述认证页面反馈的用户信息，根据所述用户信息和所述云标识对所述用户进行身份认证；在认证通过后为所述用户生成身份令牌并发送给所述用户；

所述虚拟可信控制节点，还用于接收所述用户发送的业务访问请求，所述业务访问请求携带所述身份令牌和所请求访问的业务的业务信息；向所述策略中心发送鉴权请求，所述鉴权请求中携带所述身份令牌、所述业务信息和所述云标识；

所述策略中心，还用于在接收到所述鉴权请求后，根据所述鉴权请求携带的所述身份令牌、所述业务信息和所述云标识对所述用户的访问权限进行鉴权；并向所述虚拟可信控制节点反馈鉴权结果；

所述虚拟可信控制节点，还用于在接收到所述鉴权结果后，对所述业务访问请求进行控制。

2.根据权利要求1所述的系统，其特征在于，

所述策略中心，具体用于若所述鉴权请求携带的所述身份令牌、所述业务信息和所述云标识在预先维护的访问权限关系列表中，则确认对所述用户针对所请求的业务的访问权限鉴权成功，所述访问权限关系列表中包括用户信息、云标识与业务信息三者之间的对应关系。

3.根据权利要求2所述的系统，其特征在于，

每个虚拟可信控制节点，还用于向所述策略中心发送注册请求；

所述策略中心，还用于在接收到所述注册请求后，为该虚拟可信控制节点分配身份标识和该虚拟可信控制节点所要提供服务的虚拟化私有云的云标识；

该虚拟可信控制节点，还用于接收所述策略中心为所述虚拟可信控制节点分配的身份标识和所述虚拟可信控制节点所要提供服务的虚拟化私有云的云标识。

所述策略中心，还用于获取允许访问所述虚拟化私有云的用户的用户信息和所述虚拟化私有云所能提供的业务服务中所述用户所能访问的业务的业务信息；以及在所述访问权限关系列表中记录所述虚拟化私有云的云标识、允许访问所述虚拟化私有云的用户的用户信息和所能访问的业务的业务信息三者之间的对应关系。

4.根据权利要求1所述的系统，其特征在于，

所述策略中心，还用于获取用户的终端安全评估信息和用户的行为安全评估信息；根据所述终端安全评估信息和所述行为安全评估信息对所述用户进行安全评估，得到所述用户的可信度；根据所述用户的可信度调整所述用户所能访问的业务的访问权限并更新所述访问权限关系列表。

5.一种访问控制方法，其特征在于，应用于安全防护可信控制中心中，所述安全防护可信控制中心中划分了多个虚拟可信控制节点，每个虚拟可信控制节点用于为一个虚拟化私有云提供服务，每个虚拟化私有云用于提供业务服务，所述方法包括：

接收用户的业务访问许可请求；

根据所述业务访问许可请求生成认证页面并将所述认证页面的认证统一资源定位符URL发送给所述策略中心，所述URL包括所述虚拟可信控制节点所提供服务的虚拟化私有云的云标识；

接收所述用户发送的业务访问请求，所述业务访问请求携带所述身份令牌和所请求访问的业务的业务信息；

向所述策略中心发送鉴权请求，所述鉴权请求中携带所述身份令牌、所述业务信息和所述云标识；

接收所述策略中心反馈的鉴权结果，根据所述鉴权结果对所述业务访问请求进行控制。

6.根据权利要求5所述的方法，其特征在于，还包括：

向所述策略中心发送注册请求；

接收所述策略中心为该虚拟可信控制节点分配的身份标识和该虚拟可信控制节点所要提供服务的虚拟化私有云的云标识。

7.一种访问控制方法，其特征在于，应用于策略中心，所述方法包括：

接收虚拟可信控制节点发送的认证统一资源定位符URL，认证URL包括所述虚拟可信控制节点所提供服务的虚拟化私有云的云标识；

输出所述认证页面以展示给所述用户；

接收所述用户基于所述认证页面反馈的用户信息，根据所述用户信息和所述云标识对所述用户进行身份认证；

在认证通过后为所述用户生成身份令牌并发送给所述用户；

接收所述虚拟可信控制节点发送的鉴权请求，所述鉴权请求中携带所述身份令牌、所述业务信息和所述云标识；

根据所述鉴权请求携带的所述身份令牌、所述业务信息和所述云标识对所述用户的访问权限进行鉴权；

向所述虚拟可信控制节点反馈鉴权结果。

8.根据权利要求7所述的方法，其特征在于，根据所述鉴权请求携带的所述身份令牌、所述业务信息和所述云标识对所述用户的访问权限进行鉴权，包括：

若所述鉴权请求携带的所述身份令牌、所述业务信息和所述云标识在预先维护的访问权限关系列表中，则确认对所述用户针对所请求的业务的访问权限鉴权成功，所述访问权限关系列表中包括用户信息、云标识与业务信息三者之间的对应关系。

9.根据权利要求8所述的方法，其特征在于，按照下述方法建立所述访问权限关系列表：

接收每个虚拟可信控制节点发送的注册请求；

为该虚拟可信控制节点分配身份标识和该虚拟可信控制节点所要提供服务的虚拟化私有云的云标识；

获取允许访问该虚拟化私有云的用户的用户信息和该虚拟化私有云所能提供的业务服务中所述用户所能访问的业务的业务信息；

在所述访问权限关系列表中记录所述虚拟化私有云的云标识、允许访问所述虚拟化私有云的用户的用户信息和所能访问的业务的业务信息三者之间的对应关系。

10.根据权利要求9所述的方法，其特征在于，还包括：

获取用户的终端安全评估信息和用户的行为安全评估信息；

根据所述终端安全评估信息和所述行为安全评估信息对所述用户进行安全评估，得到所述用户的可信度；

根据所述用户的可信度调整所述用户所能访问的业务的访问权限并更新所述访问权限关系列表。

11.一种访问控制装置，其特征在于，应用于安全防护可信控制中心中，所述安全防护可信控制中心中划分了多个虚拟可信控制节点，每个虚拟可信控制节点用于为一个虚拟化私有云提供服务，每个虚拟化私有云用于提供业务服务，所述装置包括：

第一接收模块，用于接收用户的业务访问许可请求；

生成模块，用于根据所述业务访问许可请求生成认证页面；

发送模块，用于将所述认证页面的认证统一资源定位符URL发送给所述策略中心，所述URL包括所述虚拟可信控制节点所提供服务的虚拟化私有云的云标识；

所述第一接收模块，还用于接收所述用户发送的业务访问请求，所述业务访问请求携带所述身份令牌和所请求访问的业务的业务信息；

所述发送模块，还用于向所述策略中心发送鉴权请求，所述鉴权请求中携带所述身份令牌、所述业务信息和所述云标识；

第二接收模块，用于接收所述策略中心反馈的鉴权结果，根据所述鉴权结果对所述业务访问请求进行控制。

12.一种访问控制装置，其特征在于，应用于策略中心，所述装置包括：

接收模块，用于接收虚拟可信控制节点发送的认证统一资源定位符URL，认证URL包括所述虚拟可信控制节点所提供服务的虚拟化私有云的云标识；

输出模块，用于输出所述认证页面以展示给所述用户；

所述接收模块，还用于接收所述用户基于所述认证页面反馈的用户信息，根据所述用户信息和所述云标识对所述用户进行身份认证；

生成模块，用于在认证通过后为所述用户生成身份令牌；

第一发送模块，用于将所述身份令牌发送给所述用户；

所述接收模块，还用于接收所述虚拟可信控制节点发送的鉴权请求，所述鉴权请求中携带所述身份令牌、所述业务信息和所述云标识；

鉴权模块，用于根据所述鉴权请求携带的所述身份令牌、所述业务信息和所述云标识对所述用户的访问权限进行鉴权；

第二发送模块，用于向所述虚拟可信控制节点反馈鉴权结果。

Images