CN113904824B - 一种基于零信任策略的访问控制方法及介质 - Google Patents

一种基于零信任策略的访问控制方法及介质 Download PDF

Info

Publication number
CN113904824B
CN113904824B CN202111148793.8A CN202111148793A CN113904824B CN 113904824 B CN113904824 B CN 113904824B CN 202111148793 A CN202111148793 A CN 202111148793A CN 113904824 B CN113904824 B CN 113904824B
Authority
CN
China
Prior art keywords
access
information
service
layer
visited
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111148793.8A
Other languages
English (en)
Other versions
CN113904824A (zh
Inventor
李虹达
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Seashell Housing Beijing Technology Co Ltd
Original Assignee
Seashell Housing Beijing Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Seashell Housing Beijing Technology Co Ltd filed Critical Seashell Housing Beijing Technology Co Ltd
Priority to CN202111148793.8A priority Critical patent/CN113904824B/zh
Publication of CN113904824A publication Critical patent/CN113904824A/zh
Application granted granted Critical
Publication of CN113904824B publication Critical patent/CN113904824B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Abstract

本申请公开了一种基于零信任策略的访问控制方法、系统及介质,包括:接收用户的访问请求消息,访问请求消息包括用户信息、受访业务信息和访问协议;判别访问协议的类型;响应于访问协议属于七层网络协议,将用户信息和所述受访业务信息与事先设置的七层访问控制信息进行比对,比对通过时,则允许访问请求消息按照七层网络协议对受访业务进行访问;响应于访问协议属于四层网络协议,将用户信息和受访业务信息与事先设置的四层访问控制信息进行比对,比对通过时,则允许访问请求消息按照四层网络协议对受访业务进行访问。应用本申请实施例方案,不但保证了网络安全,还考虑了七层和四层不同的网络访问,可以提供全面且安全的访问方式。

Description

一种基于零信任策略的访问控制方法及介质
技术领域
本申请涉及计算机网络技术领域,尤其涉及一种基于零信任策略的访问控制方法、一种基于零信任策略的访问控制系统、一种计算机可读存储介质、一种电子设备以及一种计算机程序产品。
背景技术
传统的企业网络架构通常是有边界网络,用户通过边界的认证进入内网,容易造成数据泄露或网络攻击等。为了克服该缺陷,目前出现一种称为零信任策略的网络架构概念,用以控制用户对企业内部网络的访问。但现有基于零信任策略的方案还不够成熟,还不能对企业内部网络的访问进行有效地控制。
发明内容
针对上述现有技术,本发明实施例公开一种基于零信任策略的访问控制方法,可以克服网络不安全的缺陷,达到对网络安全有效访问的目的。
鉴于此,本申请实施例提出一种基于零信任策略的访问控制方法,该方法包括:
接收用户的访问请求消息,所述访问请求消息包括用户信息、受访业务信息和访问协议,所述用户信息表示验证用户身份时所需要的信息,所述受访业务信息表示验证受访业务是否允许被访问时所需要的信息,所述访问协议表示访问受访业务所采用的协议类型;
判别所述访问协议的类型;
响应于所述访问协议属于七层网络协议,将所述用户信息和所述受访业务信息与事先设置的七层访问控制信息进行比对,比对通过时,则允许所述访问请求消息按照七层网络协议对所述受访业务进行访问,所述七层访问控制信息表示按照七层网络协议访问时需要验证的信息;
响应于所述访问协议属于四层网络协议,将所述用户信息和所述受访业务信息与事先设置的四层访问控制信息进行比对,比对通过时,则允许所述访问请求消息按照四层网络协议对所述受访业务进行访问,所述四层访问控制信息表示按照四层网络协议访问时需要验证的信息。
进一步地,所述接收用户的访问请求消息的步骤包括:
网关接收到用户的所述访问请求消息,获取所述用户信息、所述受访业务信息和所述访问协议,并将所述访问请求消息转发给决策中心;
所述决策中心接收所述访问请求消息,获取所述用户信息、所述受访业务信息和所述访问协议。
进一步地,所述响应于所述访问协议属于七层网络协议,将所述用户信息和所述受访业务信息与事先设置的七层访问控制信息进行比对,比对通过时,则允许所述访问请求消息按照七层网络协议对所述受访业务进行访问的步骤包括:
所述决策中心从数据库获取所述七层访问控制信息;
所述决策中心将所述受访业务信息与所述七层访问控制信息进行比对,比对通过时,继续执行后续步骤;否则,所述决策中心向所述网关返回拒绝访问的消息,所述网关向用户返回所述拒绝访问的消息,并结束所述响应于所述访问协议属于七层网络协议的步骤;
所述决策中心将所述用户信息和所述七层访问控制信息进行比对,比对通过时,所述决策中心向所述网关返回允许访问的消息;所述网关将所述访问请求消息转发给受访业务,并将所述受访业务返回的业务消息转发给用户,以实现用户对受访业务的访问;否则,所述决策中心向所述网关返回拒绝访问的消息,所述网关向用户返回所述拒绝访问的消息,并结束所述响应于所述访问协议属于七层网络协议的步骤。
进一步地,所述受访业务信息包括受访地址、受访路径和受访端口号,所述七层访问控制信息包括第一领域层、第一服务层和第一策略层;
所述第一领域层包括第一地址信息,所述第一领域层表示受访业务所在领域的地址;
所述第一服务层包括第一协议、第一子地址、第一端口号,所述第一服务层表示受访业务提供的服务;
所述第一策略层包括第一策略资源子层、第一策略主体子层、第一策略环境子层,所述第一策略层表示访问受访业务需配置的策略;所述第一策略资源子层包括表示访问受访业务路径的第一路径,所述第一策略主体子层包括表示允许访问所述受访业务的第一授权主体信息,所述第一策略环境子层包括表示访问受访业务时所处环境的第一环境信息。
进一步地,所述决策中心将所述受访业务信息与所述七层访问控制信息进行比对的步骤包括:
所述决策中心判别所述第一领域层的第一地址信息中是否记录有所述受访地址,如果有,则继续执行;否则,确认比对未通过;
所述决策中心判别所述第一服务层的第一端口号中是否记录有所述受访端口号,且所述第一端口号对应的所述第一协议为所述访问协议,所述第一端口号对应的第一子地址为所述受访地址,如果均通过,则继续执行;否则,确认比对未通过;
所述决策中心判别所述第一策略资源子层的第一路径中是否记录有所述受访路径,如果有,则继续执行;否则,确认比对未通过;
所述决策中心将所述用户信息和所述七层访问控制信息进行比对的步骤包括:所述决策中心判别所述第一策略主体子层的第一授权主体信息是否记录有所述用户信息,如果有,则继续执行;否则,确认比对未通过。
进一步地,所述访问请求消息中进一步包括表示访问受访业务的访问请求方法,所述第一策略资源子层还包括第一请求方法;
所述决策中心将所述受访业务信息与所述七层访问控制信息进行比对的步骤进一步包括:
所述决策中心判别所述第一策略资源子层的第一请求方法中是否记录有所述访问请求方法,如果有,则继续执行;否则,确认比对未通过。
进一步地,所述决策中心将所述受访业务信息与所述七层访问控制信息进行比对的步骤进一步包括:
所述决策中心获取当前访问环境,将所述当前访问环境与所述第一策略环境子层中的第一环境信息进行比对,如果符合所述第一环境信息,则继续执行;否则,确认比对未通过。
进一步地,所述响应于所述访问协议属于四层网络协议,将所述用户信息和所述受访业务信息与事先设置的四层访问控制信息进行比对,比对通过时,则允许所述访问请求消息按照四层网络协议对所述受访业务进行访问的步骤包括:
所述决策中心从数据库获取所述四层访问控制信息;
所述决策中心将所述受访业务信息与所述四层访问控制信息进行比对,比对通过时,继续执行后续步骤;否则,所述决策中心向所述网关返回拒绝访问的消息,所述网关向用户返回所述拒绝访问的消息,并结束所述响应于所述访问协议属于四层网络协议的步骤;
所述决策中心将所述用户信息和所述四层访问控制信息进行比对,比对通过时,所述决策中心向所述网关返回允许访问的消息;所述网关将所述访问请求消息转发给受访业务,并将所述受访业务返回的业务消息转发给用户,以实现用户对受访业务的访问;否则,所述决策中心向所述网关返回拒绝访问的消息,所述网关向用户返回所述拒绝访问的消息,并结束所述响应于所述访问协议属于四层网络协议的步骤。
进一步地,所述受访业务信息包括受访地址和受访端口号,所述四层访问控制信息包括第二服务组层、第二服务层和第二策略层;
所述第二服务组层包括第二地址组信息,所述第二服务组层表示受访业务所在的组地址;
所述第二服务层包括第二IP地址,所述第二服务层表示受访业务提供的服务;
所述第二策略层包括第二策略资源子层、第二策略主体子层、第二策略环境子层,所述第二策略层表示访问受访业务需配置的策略;所述第二策略资源子层包括第二端口号和第二协议,所述第二策略主体子层包括表示允许访问所述受访业务的第二授权主体信息,所述第二策略环境子层包括表示访问受访业务时所处环境的第二环境信息。
进一步地,所述决策中心将所述受访业务信息与所述四层访问控制信息进行比对的步骤包括:
所述决策中心判别所述第二服务组层的第二地址组信息中是否记录有所述受访地址,如果有,则继续执行;否则,确认比对未通过;
所述决策中心判别所述第二服务层的第二IP地址中是否记录有所述受访地址,如果有,则继续执行;否则,确认比对未通过;
所述决策中心判别所述第二策略资源子层的第二端口号是否记录有所述受访端口号,且所述第二端口号对应的第二协议与所述访问协议相同,如果均通过,则继续执行;否则,确认比对未通过;
所述决策中心将所述用户信息和所述七层访问控制信息进行比对的步骤包括:所述决策中心判别所述第二策略主体子层的第二授权主体信息是否记录有所述用户信息,如果有,则继续执行;否则,确认比对未通过。
进一步地,所述决策中心将所述受访业务信息与所述四层访问控制信息进行比对的步骤进一步包括:
所述决策中心获取当前访问环境,将所述当前访问环境与所述第二策略环境子层中的第二环境信息进行比对,如果符合所述第二环境信息,则继续执行;否则,确认比对未通过。
本发明实施例公开一种基于零信任策略的访问控制系统,可以克服网络不安全的缺陷,达到对网络安全有效访问的目的。
一种基于零信任策略的访问控制系统,该系统包括:
网关,接收用户的访问请求消息,所述访问请求消息包括用户信息、受访业务信息和访问协议,所述用户信息表示验证用户身份时所需要的信息,所述受访业务信息表示验证受访业务是否允许被访问时所需要的信息,所述访问协议表示访问受访业务所采用的协议类型;
决策中心,用于判别所述访问协议的类型;响应于所述访问协议属于七层网络协议,将所述用户信息和所述受访业务信息与事先设置的七层访问控制信息进行比对,比对通过时,则允许所述访问请求消息按照七层网络协议对所述受访业务进行访问,所述七层访问控制信息表示按照七层网络协议访问时需要验证的信息;响应于所述访问协议属于四层网络协议,将所述用户信息和所述受访业务信息与事先设置的四层访问控制信息进行比对,比对通过时,则允许所述访问请求消息按照四层网络协议对所述受访业务进行访问,所述四层访问控制信息表示按照四层网络协议访问时需要验证的信息;
数据库,用于保存七层访问控制信息和四层访问控制信息。
本申请还提供一种计算机可读存储介质,其上存储有计算机指令,所述指令被处理器执行时可实现任一项所述的基于零信任策略的访问控制方法的步骤。
本申请实施例还提供一种电子设备,该电子设备包括:
处理器;
用于存储所述处理器可执行指令的存储器;
所述处理器,用于从所述存储器中读取所述可执行指令,并执行所述指令以实现上述任一项所述的基于零信任策略的访问控制方法。
本申请实施例还提供一种计算机程序产品,包括计算机指令,所述计算机指令在被处理器执行时实施如上述任一项所述的基于零信任策略的访问控制方法。
综上所述,本申请实施例将受访业务和授权用户接入零信任系统中,分别设置七层访问控制信息和四层访问控制信息。当用户需要访问业务时,根据访问请求消息中的访问协议确定需要进行七层访问还是四层访问,并分别根据七层访问控制信息和四层访问控制信息进行比对,通过后才允许访问。这样,不但有效保证了网络安全,还考虑了七层和四层不同的网络访问方式,可以全面有效地进行访问。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本申请基于零信任策略的访问控制方法实施例一的流程图。
图2是本申请基于零信任策略的访问控制方法实施例二的流程图。
图3是决策中心会将受访业务信息以及用户信息与七层访问控制信息进行比对的具体实施方式的流程图。
图4是决策中心会将受访业务信息以及用户信息与四层访问控制信息进行比对的具体实施方式的流程图。
图5是本申请基于零信任策略的访问控制方法实施例五的流程图。
图6是本申请基于零信任策略的访问控制方法实施例六的流程图。
图7是本申请实现基于零信任策略的访问控制系统结构示意图。
图8是本申请实施例的电子设备结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含。例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其他步骤或单元。
下面以具体实施例对本发明的技术方案进行详细说明。下面几个具体实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例不再赘述。
本申请实施例采用零信任策略,并全面考虑七层网络访问和四层网络访问,事先为七层访问的业务设置七层访问控制信息,为四层访问的业务设置四层访问控制信息。在用户发送访问请求消息时,根据访问请求消息的协议类型分别与七层访问控制信息或四层访问控制信息进行比对,比对通过后再允许用户对业务进行访问,从而有效地保证网络安全。
图1是本申请基于零信任策略的访问控制方法实施例一的流程图。在本申请方法实施例一中,假设已经将受访业务和授权用户接入零信任系统中,并为受访业务和授权用户在系统中设置了七层访问控制信息。这里所述的零信任系统是指在企业内网实施零信任策略时涉及到的实体,比如可以包括网关、决策中心和数据库等等。本申请方法实施例一的方案实际上由零信任系统实施。如图1所示,该方法包括:
步骤101:接收用户的访问请求消息,所述访问请求消息包括用户信息、受访业务信息和访问协议,所述用户信息表示验证用户身份时所需要的信息,所述受访业务信息表示验证受访业务是否允许被访问时所需要的信息,所述访问协议表示访问受访业务所采用的协议类型。
这里所述访问请求消息是指用户访问已经接入零信任系统的受访业务时发出的请求消息。为了保证企业内部网络安全,受访业务和授权用户都需要接入零信任系统。零信任(ZT,Zero Trust)提供了一系列概念和思想,是假定网络环境已经被攻陷的前提下,当执行信息系统和服务中的每次访问请求时,降低其决策准确度的不确定性。因此,本步骤所述访问请求消息需要包括用户信息、受访业务信息和访问协议。其中,访问协议分为七层网络协议和四层网络协议。七层网络协议可以为HTTP或HTTPS等,四层网络协议可以为TCP/UDP等。
步骤102:判别访问协议的类型。
如上所述,访问协议分为七层网络协议和四层网络协议。如果是七层网络协议,则执行如下步骤103来进行验证和访问。如果是四层网络协议,则执行如下步骤104来进行验证和访问。
步骤103:响应于访问协议属于七层网络协议,将用户信息和受访业务信息与事先设置的七层访问控制信息进行比对,比对通过时,则允许访问请求消息按照七层网络协议对受访业务进行访问,七层访问控制信息表示按照七层网络协议访问时需要验证的信息。
步骤104:响应于访问协议属于四层网络协议,将用户信息和受访业务信息与事先设置的四层访问控制信息进行比对,比对通过时,则允许访问请求消息按照四层网络协议对受访业务进行访问,四层访问控制信息表示按照四层网络协议访问时需要验证的信息。
应用本申请实施例方案,先将受访业务和授权用户接入零信任系统中,并分别设置七层访问控制信息和四层访问控制信息。当用户需要访问受访业务时,根据访问请求消息中的访问协议确定需要进行七层访问还是四层访问。如果是七层访问,则将用户信息和受访业务信息与七层访问控制信息进行比对,通过后才允许七层访问。同样,如果是四层访问,则将用户信息和受访业务与四层访问控制信息进行比对,通过后允许四层访问。本申请实施例基于零信任策略,不但有效地保证了网络安全,还考虑了七层和四层不同的网络访问,可以提供全面且安全的实施方案。
为了更好地描述本申请实施例方案,下面用其他实施例进行详细描述。
在方法实施例二中,假设零信任系统至少包括网关、决策中心和数据库,且已经将七层访问控制信息和四层访问控制信息保存在数据库中。实际应用中,搭建的零信任系统还可能包括其他实体设备,此处不再赘述。
图2是本申请基于零信任策略的访问控制方法实施例二的流程图。如图2所示,该方法包括:
步骤201:网关接收到用户的访问请求消息,获取用户信息、受访业务信息和访问协议,并将访问请求消息转发给决策中心。
步骤202:决策中心接收访问请求消息,获取用户信息、受访业务信息和访问协议。
上述步骤201和步骤202是本申请实施例接收到用户的访问请求消息的具体情况,即决策中心通过网关接收到用户的访问请求消息。
步骤203:决策中心判别访问协议的类型,如果属于七层网络协议,则执行步骤204;如果属于四层网络协议,则执行步骤209。
以下的步骤204~步骤208是一个分支,主要描述零信任系统响应于访问协议属于七层网络协议时,决策中心将用户信息和受方业务信息与数据库保存的七层访问控制信息进行比对的具体方法。相对应的,步骤209~步骤213是另一个分支,主要描述零信任系统响应于访问协议属于四层网络协议时,决策中心将用户信息和受方业务信息与数据库保存的七层访问控制信息进行比对的具体方法。
步骤204:决策中心从数据库获取所述七层访问控制信息。
步骤205:决策中心将受访业务信息与七层访问控制信息进行比对,比对通过时,继续执行步骤207;否则,执行步骤206。
步骤206:决策中心向网关返回拒绝访问的消息,网关向用户返回拒绝访问的消息,并结束本流程。
步骤207:决策中心将用户信息和七层访问控制信息进行比对,比对通过时,执行步骤208;否则,执行步骤206。
步骤208:决策中心向网关返回允许访问的消息,网关将访问请求消息转发给受访业务,并将受访业务返回的业务消息转发给用户,以实现用户对受访业务的访问。
步骤209:决策中心从数据库获取四层访问控制信息。
步骤210:决策中心将受访业务信息与四层访问控制信息进行比对,比对通过时,继续执行步骤212;否则,执行步骤211。
步骤211:决策中心向网关返回拒绝访问的消息,网关向用户返回拒绝访问的消息,并结束本流程。
步骤212:决策中心将用户信息和四层访问控制信息进行比对,比对通过时,继续执行步骤213;否则,执行步骤211。
步骤213:决策中心向网关返回允许访问的消息,网关将访问请求消息转发给受访业务,并将受访业务返回的业务消息转发给用户,以实现用户对受访业务的访问。
在本申请实施例二中,以零信任系统包括网关、决策中心和数据库为例,具体介绍对用户的访问进行控制的方法。应用本实施例方法,可以在企业内网中搭建零信任系统,严格控制用户的访问,保证网络安全。
在方法实施例三中,假设零信任系统中仍然包括网关、决策中心和数据库,且数据库保存有七层访问控制信息。为了有效全面地控制访问,本申请实施例将设置一系列的访问控制信息,并对这些访问控制信息进行分层管理。对于七层访问来说,本申请实施例需要确定受访业务所在领域的地址,比如域名或IP地址;需要确定域名或IP地址下端口所提供的服务;还需要确定一系列访问策略,比如访问路径、授权主体、访问环境等。因此,本申请实施例将七层访问控制信息分为三个层次,分别为:第一领域层、第一服务层和第一策略层。其中,第一领域层表示受访业务所在领域的地址,第一服务层表示受访业务提供的服务,第一策略层表示访问受访业务需配置的策略。具体的,第一领域层如表一所示,包括第一地址信息,比如域名或IP地址等。第一服务层如表二所示,包括第一协议、第一子地址、第一端口号等。第一策略层又可以分为第一策略资源子层、第一策略主体子层、第一策略环境子层。其中,第一策略资源子层如表三所示,包括表示访问受访业务路径的第一路径。第一策略主体子层如表四所示,包括表示允许访问所述受访业务的第一授权主体信息。第一策略环境子层如表五所示,包括表示访问受访业务时所处环境的第一环境信息。
ID 第一地址信息
表一
ID 第一协议 第一子地址 第一端口号
表二
ID 第一路径
表三
ID 第一授权主体信息
表四
ID 第一环境信息
表五
实际应用中,当某个受访业务A需要接入零信任系统时,可以将访问该受访业务A时需要获取的信息填入上述表一和表二中。当某个用户B需要接入零信任系统且申请访问受访业务A,可以将访问该受访业务A时需要获取的信息填入上述表三~表五中。此时,受访业务A和用户B都将被零信任系统保护。
本申请实施例三中,假设用户B发送针对受访业务A的访问请求消息,决策中心会将受访业务信息以及用户信息与七层访问控制信息进行比对。本申请还假设用户B发送的访问请求消息包括:用户信息B、受访地址A1、受访路径A2、受访端口号A3、访问请求方法G和访问协议H。
图3是本申请实施例中,决策中心会将受访业务信息以及用户信息与七层访问控制信息进行比对的具体实施方式,即方法实施例二中的步骤205和步骤207的具体实现方法。如图3所示,该方法包括:
步骤301:决策中心判别第一领域层的第一地址信息中是否记录有受访地址A1,如果有,则继续执行;否则,确认比对未通过。
步骤302:决策中心判别第一服务层的第一端口号中是否记录有受访端口号A3,且第一端口号A3对应的第一协议为访问协议H,第一端口号A3对应的第一子地址为受访地址A1,如果有,则继续执行;否则,确认比对未通过。
步骤303:决策中心判别第一策略资源子层的第一路径中是否记录有受访路径A2,如果有,则继续执行;否则,确认比对未通过。
步骤304:决策中心判别第一策略资源子层的第一请求方法中是否记录有访问请求方法G,如果有,则继续执行;否则,确认比对未通过。
实际应用中,访问请求消息中还可以包括访问请求方法。比如在HTTP协议中,可以通过GET、POST、DELETE等访问请求方法对受访业务B进行访问。这种情况下,如果零信任系统需要对访问请求方法进行控制,可以将其作为第一请求方法填写在第一策略资源子层中。当然,如果零信任系统不需要对访问请求方法进行控制,第一策略资源子层中也可以不包括访问第一请求方法,省略本步骤304。
步骤305:决策中心获取当前访问环境,将当前访问环境与第一策略环境子层中的第一环境信息进行比对,如果符合第一环境信息,则继续执行;否则,确认比对未通过。
实际应用中,零信任系统还可以对访问环境进行控制。比如访问时的时间、IP网段等,只有符合某种访问环境时才允许用户的访问。在这种情况下,零信任系统可以将允许访问的环境作为第一环境信息保存在第一策略环境子层中。当然,如果零信任系统不需要对访问环境进行控制,第一策略环境子层中也可以不包括第一环境信息,即省略步骤305。
步骤306:决策中心判别第一策略主体子层的第一授权主体信息是否记录有用户信息B,如果有,则继续执行208;否则,确认比对未通过。
应用本申请方法实施例三,决策中心可以利用事先在数据库中设置的第一领域层、第一服务层以及第一策略层分别对访问请求消息进行判别,并以此确定是否允许用户对受访业务的访问。由于本申请实施例设置了详细的七层访问控制信息,因此可以更为准确、更全面、更细粒度地保证企业内部网络的安全。
在方法实施例四中,假设零信任系统中仍然包括网关、决策中心和数据库,且数据库保存有四层访问控制信息。为了有效全面地控制访问,本申请实施例设置了一系列的访问控制信息,并对这些访问控制信息进行分层管理。对于四层访问来说,本申请实施例需要确定受访业务所在的组地址,比如网段、IP地址或域名;需要确定组地址下每一个IP地址提供的服务;还需要确定一系列访问策略,比如访问端口、授权主体、访问环境等。因此,本申请实施例将四层访问控制信息也分为三个层次,分别为:第二服务组层、第二服务层和第二策略层。其中,第二服务组层表示受访业务所在的组地址,第二服务层表示受访业务提供的服务,第二策略层表示访问受访业务需配置的策略。具体的,第二服务组层如表六所示,包括第二地址组信息,比如网段、IP地址或域名等。第二服务层如表七所示,包括第二IP地址等。第二策略层又可以分为第二策略资源子层、第二策略主体子层、第二策略环境子层。其中,第二策略资源子层如表八所示,包括第二端口号和第二协议。第二策略主体子层如表九所示,包括表示允许访问受访业务的第二授权主体信息。第二策略环境子层如表十所示,包括表示访问受访业务时所处环境的第二环境信息。
ID 第二地址组信息
表六
ID 第二IP地址
表七
ID 第二端口号 第二协议
表八
ID 第二授权主体信息
表九
ID 第二环境信息
表十
实际应用中,当某个受访业务X需要接入零信任系统时,可以将访问该受访业务X时需要获取的信息填入上述表六和表七中。当某个用户Y需要接入零信任系统且申请访问受访业务X,可以将访问该受访业务X时需要获取的信息填入上述表八~表十中。此时,受访业务X和用户Y都将被零信任系统保护。
本申请实施例四中,假设用户Y发送针对受访业务X的访问请求消息,决策中心会将受访业务信息以及用户信息与四层访问控制信息进行比对。本申请还假设用户Y发送的访问请求消息包括:用户信息Y、受访地址X1、受访端口号X2和访问协议N。
图4是本申请实施例中,决策中心会将受访业务信息以及用户信息与四层访问控制信息进行比对的具体实施方式,即方法实施例二中的步骤210和步骤212的具体实现方法。如图4所示,该方法包括:
步骤401:决策中心判别第二服务组层的第二地址组信息中是否记录有所述受访地址X1,如果有,则继续执行;否则,确认比对未通过。
步骤402:决策中心判别第二服务层的第二IP地址中是否记录有所述受访地址X1,如果有,则继续执行;否则,确认比对未通过。
步骤403:决策中心判别第二策略资源子层的第二端口号是否记录有所述受访端口号X2,且所述第二端口号X2对应的第二协议与访问协议N相同,如果有,则继续执行;否则,确认比对未通过。
步骤404:决策中心获取当前访问环境,将当前访问环境与第二策略环境子层中的第二环境信息进行比对,如果符合第二环境信息,则继续执行;否则,确认比对未通过。
实际应用中,零信任系统还可以对访问环境进行控制。比如访问时的时间等,只有符合某种访问环境时才允许用户的访问。在这种情况下,零信任系统可以将允许访问的环境作为第二环境信息保存在第二策略环境子层中。当然,如果零信任系统不需要对访问环境进行控制,第一策略环境子层中也可以不包括第二环境信息,即省略步骤404。
步骤405:决策中心判别第二策略主体子层的第二授权主体信息是否记录有用户信息Y,如果有,则继续执行步骤213;否则,确认比对未通过。
应用本申请方法实施例四,决策中心可以利用事先在数据库中设置的第二服务组层、第二服务层以及第二策略层分别对访问请求消息进行判别,并以此确定是否允许用户对受访业务的访问。由于本申请实施例设置了详细的四层访问控制信息,因此可以更为准确、更全面、更细粒度地保证企业内部网络的安全。
在方法实施例五中,假设零信任系统至少包括网关、决策中心和数据库,管理员张三要将某个业务接入零信任系统,且通过七层网络协议https访问。根据上述实施例二和实施例三的方法,为该业务设置七层访问控制信息。其中,表十一为第一领域层,第一地址信息为“a.ke.com”。如前所述,第一地址信息可以为域名,也可以为IP地址等用于表示业务的地址。实际应用中,可以为不同的地址类型设置对应的类型,比如“1”表示IP地址类型,“2”表示域名类型,还可以记录管理该业务的管理员信息。因此,实际应用中的第一领域层可以按照表十一的方式设置。
ID 第一地址信息 类型 管理员
1 10.1.1.1 1 XX
2 a.ke.com 2 张三
表十一
表十二为第一服务层,假设第一协议为“https”,第一子地址为“a.ke.com”,第一端口号为“443”。这里,由于业务将通过https协议访问,因此第一协议为“https”。第一地址信息实际上为第一领域层的第一地址信息,为了与第一领域层的区分,这里称为第一地址信息。另外,本领域技术人员知道,域名或IP地址之下可以开放多个端口提供服务,这里的第一端口号“443”表示由域名“a.ke.com”下的“443”端口提供业务服务。为了获取流量转发的实际地址,通常需要确定回源地址、回源端口号和回源协议。这里,假设域名“a.ke.com”对应的回源地址为“10.2.2.2”,回源端口号为“443”,回源协议为“https”。
另外,如果第一地址信息为IP地址,为了管理规范,可以利用泛解析技术将IP地址和端口号转换为域名的形式。比如第一地址信息为“10.1.1.1”,端口号为“80”,那么通过泛解析技术得到的域名形式假设为“10.1.1.1-80.zt.ke.com”,因此表十二中的第一子地址为“10.1.1.1-80.zt.ke.com”。其他的包括第一端口号、回源地址、回源端口号和回源协议如表所示。实际应用中,由于回源地址、回源端口号和回源协议表示流量转发的实际地址的相关信息,因此还可以将其保存在网关中,以便于网关进行流量转发。
Figure GDA0003737149630000121
表十二
此时,管理员张三已经将域名为“a.ke.com”的业务接入零信任系统,设置的七层访问控制信息中的第一领域层和第一服务层保存在数据库中。系统还可以按照实施例二和实施例三的方式继续设置第一策略层,也可以在后续有用户申请访问该业务的授权时再设置。假设用户李四申请访问域名为“a.ke.com”的业务,受访路径为“/a”,访问请求方法为“GET”,且需要在周一~周五时间段访问。需要说明的是,针对HTTP协议,国际通用的互联网网络准则(RFC,Request For Comments)允许9种请求方法,包括GET、POST、DELETE、PUT、TRACE、HEAD、CONNECT、PATCH和OPTIONS。实际应用中,访问请求方法可以为其中的一种或几种。
为此,第一策略层中的第一策略资源子层、第一策略主体子层和第一策略环境子层分别如表十三~表十五所示。
ID 第一路径 第一请求方法
1 /a GET
表十三
实际应用中,第一策略主体子层和第一策略环境子层可以采用key-value的方式保存。其中,第一策略主体子层中的第一授权主体信息可以为用户李四的ID代码信息,也可以为李四发起访问的IP地址。除了普通的个人用户能被授权访问业务,也可以按照组织、设备或其他自定义的形式被授权。第一策略环境子层中的第一环境信息可以为访问时间或某个表示办公地点的IP网段等网络环境。
Figure GDA0003737149630000122
Figure GDA0003737149630000131
表十四
Figure GDA0003737149630000132
表十五
至此,管理员张三负责的业务“a.ke.com”已经接入零信任系统,为李四访问该业务进行了授权,并在数据库中保存了七层访问控制信息。之后,用户李四就可以利用https协议发起访问请求,并在网关和决策中心的控制下,达到访问“a.ke.com”业务的目的。
图5是本申请基于零信任策略的访问控制方法实施例五的流程图。如图5所示,该方法包括:
步骤501:网关接收到用户的访问请求消息,从中获取用户信息、受访地址、受访路径、受访端口号和访问协议,并将访问请求消息转发给决策中心。
步骤502:决策中心接收访问请求消息,从中获取用户信息、受访地址、受访路径、受访端口号、和访问协议。
假设用户信息为“李四”,受访业务信息中,受访地址为“a.ke.com”,受访路径为“/a”,受访端口号为“443”,访问请求方法为“GET”,访问协议为“https”,那么网关和决策中心可以从访问请求消息中获取上述信息。
步骤503:决策中心判别访问协议的类型。
由于访问协议为“https”协议,决策中心可以确定其属于七层网络协议。
步骤504:决策中心从数据库获取所述七层访问控制信息。
实际应用中,为了加快查询速度,在第一次从数据库读取七层访问控制信息之后,也可以保存在Redis缓存中。
步骤505:决策中心判别第一领域层的第一地址信息中是否记录有受访地址,如果有,则继续执行;否则,确认比对未通过,执行步骤513。
在本步骤中,决策中心根据表十一确定第一地址信息中已经记录有受访地址“a.ke.com”,从而确定受访业务已经接入零信任系统中。
步骤506:决策中心判别第一服务层的第一端口号中是否记录有受访端口号,且第一端口号对应的第一协议为访问协议,第一端口号对应的第一子地址为受访地址,如果有,则继续执行;否则,确认比对未通过,执行步骤513。
在本步骤中,决策中心根据表十二确定第一端口号中已经记录有受访端口号“443”,且对应的第一协议为访问协议“https”,对应的第一子地址为受访地址“a.ke.com”,从而确定访问的端口号属于零信任系统中被允许访问的端口号。
步骤507:决策中心判别第一策略资源子层的第一路径中是否记录有受访路径,如果有,则继续执行;否则,确认比对未通过,执行步骤513。
在本步骤中,决策中心根据表十三确定第一路径中已经记录有受访路径“/a”,从而确定访问路径属于零信任系统中被允许访问的路径。
步骤508:决策中心判别第一策略资源子层的第一请求方法中是否记录有访问请求方法,如果有,则继续执行;否则,确认比对未通过,执行步骤513。
在本步骤中,决策中心根据表十三确定第一请求方法中已经记录有访问请求方法“GET”,从而确定“GET”方法是零信任系统中被允许使用的方法。
步骤509:决策中心获取当前访问环境,将当前访问环境与第一策略环境子层中的第一环境信息进行比对,如果符合第一环境信息,则继续执行;否则,确认比对未通过,执行步骤513。
在本步骤中,决策中心可以从自身获取当前访问环境,比如获取到当前访问时间为周一早上8:00,再从表十五中获取第一环境信息,确定当前访问时间在记录的第一环境信息中,从而确定当前时间是零信任系统中被允许访问的时间。
步骤510:决策中心判别第一策略主体子层的第一授权主体信息是否记录有用户信息,如果有,则继续执行;否则,确认比对未通过,执行步骤513。
在本步骤中,决策中心根据表十四确定第一授权主体信息已经记录有用户信息“李四”,从而确定用户李四是被零信任系统允许访问的用户。至此,决策中心已经确定用户李四可以在当前周一早上8:00的时间点,采用“https”协议,并按照“GET”请求方法对域名为“a.ke.com”,路径为“/a”,端口号为“443”的业务进行访问。
步骤511:决策中心向网关返回允许访问的消息。
步骤512:网关将访问请求消息转发给受访业务,并将受访业务返回的业务消息转发给用户,以实现用户对受访业务的访问。
步骤513:决策中心向网关返回拒绝访问的消息,网关向用户返回拒绝访问的消息,并结束本流程。
本实施例中,由于网关已经保存有受访业务的回源地址、回源端口号和回源协议,可以确定域名为“a.ke.com”的受访业务的实际地址。因此,本实施例的网关可以将访问请求消息准确地转发给受访业务,并将受访业务返回的业务消息转发给用户,达到用户安全访问业务的目的。
实际应用中,还可以根据需求对数据库保存的七层访问控制信息进行修改。比如,管理员张三需要将域名“a.ke.com”的回源地址修改为“10.1.1.2”。在这种情况下,张三可以发送修改请求消息,修改请求消息中可以包括用户信息、域名和修改的回源地址,决策中心在数据库的七层访问控制信息中找到管理员张三负责的“a.ke.com”业务,以及确定该业务对应的回源地址“10.2.2.2”,然后将其修改为“10.1.1.2”(表十二)。
在方法实施例六中,假设零信任系统至少包括网关、决策中心和数据库,管理员王五要将某个业务接入零信任系统,且通过四层网络协议TCP访问。根据上述实施例二和实施例三的方法,为该业务设置四层访问控制信息。其中,表十六为第二服务组层,第二地址组信息为10.1.1.1/24。如前所述,第二地址组信息可以为网段、IP地址或域名等用于表示受访业务所在的组地址。实际应用中,可以为不同的组地址设置对应的类型,比如“1”表示IP地址类型,“2”表示IP网段类型,“3”表示域名类型。另外,在第二服务组层中还可以记录开始IP地址、结束IP地址、开始IP数字、结束IP数字、子网掩码以及管理该业务的管理员等信息。因此,实际应用中的第二服务组层可以按照表十六的方法设置。
Figure GDA0003737149630000151
表十六
由于上述第二地址组信息是IP网段,因此存在开始IP地址和结束IP地址。另外,为了后续便于利用,还可以将IP地址换算成10进制数字。如果某个IP地址为a.b.c.d,a~d的取值范围都为[1,255],那么将IP地址转换成10进制数字的方法可以为:将a左移24位,得到a1;将b左移16位,得到b1;将c左移8位,得到c1;将a1、b1、c1和d相加,得到e,即IP地址a.b.c.d对应的10进制表示的IP数字。
表十七为第二服务层,并假设第二IP地址为10.1.1.1,是表十六第二地址组信息中的一个IP地址。同样,为了便于后续利用,也可以在表十七中记录第二IP地址对应的IP数字。假设某个IP网段的IP地址为x,子网掩码为y,利用上述方法得到的对应10进制为x1和y1。那么,将x1和y1进行与运算,得到数字m,即IP网段的开始IP数字;再计算y的反码加1得到z,计算x1加z得到n,即IP网段的结束IP数字;IP网段中所有IP地址对应的10进制数字则为m到n之间的所有数字。
ID 第二IP地址 IP数字
1 10.1.1.1 167837953
表十七
实际应用中,大的IP网段可能包括小的IP网段或单个IP地址,可能会出现策略冲突的问题。比如网段A包含了网段B,假设网段A允许访问某个受访业务C,但网段B并未允许访问该受访业务C。对于网段B中的某个IP地址D,既属于网段A,又属于网段B。在这种情况下,如果IP地址D发起对受访业务C的访问请求消息,决策中心将难以判断是否允许其访问。在本申请实施例中,可以使小的网段B继承大的网段A的策略,从而避免决策中心无法判断的问题。
此时,管理员王五已经将第二地址组信息为“10.1.1.1/24”的业务接入零信任系统,设置的四层访问控制信息中的第二服务组层和第二服务层保存在数据中。系统还可以按照实施例二和实施例三的方式继续设置第二策略层,也可以在后续有用户申请访问该业务的授权时再设置。假设用户赵六申请访问IP地址为“10.1.1.1”的业务,受访端口号为80,访问协议为TCP协议,且需要在周一~周五时间段访问。为此,第二策略层的第二策略资源子层、第二策略主体子层和第二策略环境子层分别如表十八~表二十所示。
ID 第二端口号 第二协议
1 80 TCP
表十八
实际应用中,第二策略主体子层和第二策略环境子层可以采用key-value的方式保存。其中,第二策略主体子层中的第二授权主体信息可以为用户赵六的ID代码信息,也可以为赵六发起访问的IP地址。除了普通的个人用户能被授权访问业务,也可以按照组织、设备或其他自定义的形式被授权。第二策略环境子层中的第二环境信息可以为访问时间或某个表示办公地点的IP网段等网络环境。
Figure GDA0003737149630000161
表十九
Figure GDA0003737149630000162
表二十
至此,管理员王五负责的业务已经接入零信任系统,为赵六访问该业务进行了授权,并在数据库中保存了四层访问控制信息。之后,用户赵六就可以利用TCP协议发起访问请求,并在网关和决策中心的控制下,达到访问业务的目的。
图6是本申请基于零信任策略的访问控制方法实施例六的流程图。如图6所示,该方法包括:
步骤601:网关接收到用户的访问请求消息,从中获取用户信息、受访地址、受访端口号和访问协议,并将访问请求消息转发给决策中心。
步骤602:决策中心接收到访问请求消息,从中获取用户信息、受访地址、受访端口号和访问协议。
假设用户信息为“赵六”,受访业务信息中,受访地址为“10.1.1.1”,属于“10.1.1.1/24”网段,受访端口号为“80”,访问协议为“TCP”,那么网关和决策中心可以从访问请求消息中获取上述信息。
步骤603:决策中心判别访问协议的类型。
由于访问协议为“TCP”协议,决策中心可以确定其属于四层网络协议。
步骤604:决策中心从数据库获取所述四层访问控制信息。
实际应用中,为了加快查询速度,在第一次从数据库读取四层访问控制信息之后,也可以保存在Redis缓存中。
步骤605:决策中心判别第二服务组层的第二地址组信息中是否记录有受访地址所在的网段,如果有,则继续执行;否则,确认比对未通过,执行步骤612。
在本步骤中,决策中心根据表十六确定第二地址组信息中已经记录有受访地址所在的网段“10.1.1.1/24”。
步骤606:决策中心判别第二服务层的第二IP地址中是否记录有受访地址,如果有,则继续执行;否则,确认比对未通过,执行步骤612。
在本步骤中,决策中心根据表十七确定第二IP地址中已经记录有受访地址“10.1.1.1”,从而确定受访业务已经接入零信任系统中。
步骤607:决策中心判别第二策略资源子层的第二端口号是否记录有受访端口号,且第二端口号对应的第二协议与所述访问协议相同,如果有,则继续执行;否则,确认比对未通过,则执行步骤612;
在本步骤中,决策中心根据表十八确定第二端口号已经记录有受访端口号“80”,且对应的第一协议为访问协议“TCP”,从而确定访问的端口号属于零信任系统中被允许访问的端口号。
步骤608:决策中心获取当前访问环境,将所述当前访问环境与第二策略环境子层中的第二环境信息进行比对,如果符合所述第二环境信息,则继续执行;否则,确认比对未通过,则执行步骤612。
在本步骤中,在本步骤中,决策中心可以从自身获取当前访问环境,比如获取到当前访问时间为周一早上8:00,再从表二十中获取第二环境信息,确定当前访问时间在记录的第二环境信息中,从而确定当前时间是零信任系统中被允许访问的时间。
步骤609:决策中心判别第二策略主体子层的第二授权主体信息是否记录有所述用户信息,如果有,则继续执行;否则,确认比对未通过,则执行步骤612。
在本步骤中,决策中心根据表十九确定第二授权主体信息已经记录有用户信息“赵六”,从而确定用户赵六是被零信任系统允许访问的用户。至此,决策中心已经确定用户赵六可以在当前周一早上8:00的时间点,采用“TCP”协议对IP地址为“10.1.1.1”,端口号为“80”的业务进行访问。
步骤610:决策中心向网关返回允许访问的消息。
步骤611:网关将访问请求消息转发给受访业务,并将受访业务返回的业务消息转发给用户,以实现用户对受访业务的访问。
步骤612:决策中心向网关返回拒绝访问的消息,网关向用户返回拒绝访问的消息,并结束本流程。
本实施例中,由于网关已经保存有受访业务的实际IP地址和端口号,因此,本实施例的网关可以将访问请求消息准确地转发给受访业务,并将受访业务返回的业务消息转发给用户,达到用户安全访问业务的目的。
本申请还提供一种基于零信任策略的访问控制系统实施例。图7是本申请实现基于零信任策略的访问控制系统结构示意图。如图7所示,该系统包括:网关701、决策中心702、数据库703。其中:
网关701,接收用户的访问请求消息,访问请求消息包括用户信息、受访业务信息和访问协议,用户信息表示验证用户身份时所需要的信息,受访业务信息表示验证受访业务是否允许被访问时所需要的信息,访问协议表示访问受访业务所采用的协议类型。
决策中心702,用于判别访问协议的类型;响应于访问协议属于七层网络协议,将用户信息和受访业务信息与事先设置的七层访问控制信息进行比对,比对通过时,则允许所述访问请求消息按照七层网络协议对所述受访业务进行访问,所述七层访问控制信息表示按照七层网络协议访问时需要验证的信息;响应于访问协议属于四层网络协议,将所述用户信息和所述受访业务信息与事先设置的四层访问控制信息进行比对,比对通过时,则允许所述访问请求消息按照四层网络协议对所述受访业务进行访问,所述四层访问控制信息表示按照四层网络协议访问时需要验证的信息。
数据库703,用于保存七层访问控制信息和四层访问控制信息。
也就是说,网关701接收用户的访问请求消息,访问请求消息包括用户信息、受访业务信息和访问协议;决策中心702判别访问协议的类型,响应于访问协议属于七层网络协议,将用户信息和受访业务信息与事先设置的七层访问控制信息进行比对,比对通过时,则允许所述访问请求消息按照七层网络协议对所述受访业务进行访问;响应于访问协议属于四层网络协议,将所述用户信息和所述受访业务信息与事先设置的四层访问控制信息进行比对,比对通过时,则允许所述访问请求消息按照四层网络协议对所述受访业务进行访问。
实际应用中,网关701和决策中心702还可以按照上述的各方法实施例执行具体的方案,此处不再赘述。
应用本申请实施例方案,先将受访业务和授权用户接入零信任系统中,并分别设置七层访问控制信息和四层访问控制信息。当用户需要访问受访业务时,根据访问请求消息中的访问协议确定需要进行七层访问还是四层访问。如果是七层访问,则将用户信息和受访业务信息与七层访问控制信息进行比对,通过后才允许七层访问。同样,如果是四层访问,则将用户信息和受访业务与四层访问控制信息进行比对,通过后允许四层访问。本申请实施例基于零信任策略,不但有效地保证了网络安全,还考虑了七层和四层不同的网络访问,可以提供全面且安全的实施方案。
本申请实施例还提供一种计算机可读介质,所述计算机可读存储介质存储指令,所述指令在由处理器执行时可执行如上所述的基于零信任策略的访问控制方法中的步骤。实际应用中,所述的计算机可读介质可以是上述实施例中描述的设备/装置/系统中所包含的,也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或多个程序被执行时,可以实现上述各实施例描述的基于零信任策略的访问控制方法。根据本申请公开的实施例,计算机可读存储介质可以是非易失性的计算机可读存储介质,例如可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件,或者上述的任意合适的组合,但不用于限制本申请保护的范围。在本申请公开的实施例中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
如图8所示,本发明实施例还提供一种电子设备,其中可以集成本申请实施例实现方法的装置。如图8所示,其示出了本发明实施例所涉及的电子设备的结构示意图,具体来讲:
该电子设备可以包括一个或一个以上处理核心的处理器801、一个或一个以上计算机可读存储介质的存储器802以及存储在存储器上并可在处理器上运行的计算机程序。在执行所述存储器802的程序时,可以实现上述基于零信任策略的访问控制方法。
具体的,实际应用中,该电子设备还可以包括电源803、输入单元804、以及输出单元805等部件。本领域技术人员可以理解,图8中示出的电子设备的结构并不构成对该电子设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。其中:
处理器801是该电子设备的控制中心,利用各种接口和线路连接整个电子设备的各个部分,通过运行或执行存储在存储器802内的软件程序和/或模块,以及调用存储在存储器802内的数据,执行服务器的各种功能和处理数据,从而对该电子设备进行整体监控。
存储器802可用于存储软件程序以及模块,即上述计算机可读存储介质。处理器801通过运行存储在存储器802的软件程序以及模块,从而执行各种功能应用以及数据处理。存储器802可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序等;存储数据区可存储根据服务器的使用所创建的数据等。此外,存储器802可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地,存储器802还可以包括存储器控制器,以提供处理器801对存储器802的访问。
该电子设备还包括给各个部件供电的电源803,可以通过电源管理系统与处理器801逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。电源803还可以包括一个或一个以上的直流或交流电源、再充电系统、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。
该电子设备还可包括输入单元804,该输入单元804可用于接收输入的数字或字符信息,以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。
该电子设备还可以包括输出单元805,该输出单元805可以用于显示由用户输入的信息或提供给用户的信息以及各种图像用户接口,这些图形用户接口可以由图形、文本、图标、视频和其任意组合来构成。
本申请实施例还提供一种计算机程序产品,该计算机程序产品包括计算机指令,该计算机指令在被处理器执行时实施如上述任一实施例所述的方法。
本申请附图中的流程图和框图,示出了按照本申请公开的各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或者代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应该注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同附图中所标准的顺序发生。例如,两个连接地表示的方框实际上可以基本并行地执行,它们有时也可以按照相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或者流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合,即使这样的组合或结合没有明确记载于本申请中。特别地,在不脱离本申请精神和教导的情况下,本申请的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合,所有这些组合和/或结合均落入本申请公开的范围。
本文中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思路,并不用于限制本申请。对于本领域的技术人员来说,可以依据本发明的思路、精神和原则,在具体实施方式及应用范围上进行改变,其所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (8)

1.一种基于零信任策略的访问控制方法,其特征在于,该方法包括:
接收用户的访问请求消息,所述访问请求消息包括用户信息、受访业务信息和访问协议,所述用户信息表示验证用户身份时所需要的信息,所述受访业务信息表示验证受访业务是否允许被访问时所需要的信息,所述访问协议表示访问受访业务所采用的协议类型;所述受访业务信息包括受访地址、受访路径和受访端口号;
判别所述访问协议的类型;
响应于所述访问协议属于七层网络协议,将所述用户信息和所述受访业务信息与事先设置的七层访问控制信息进行比对,比对通过时,则允许所述访问请求消息按照七层网络协议对所述受访业务进行访问,所述七层访问控制信息表示按照七层网络协议访问时需要验证的信息;所述七层访问控制信息包括第一领域层、第一服务层和第一策略层;所述第一领域层包括第一地址信息,所述第一领域层表示受访业务所在领域的地址;所述第一服务层包括第一协议、第一子地址、第一端口号,所述第一服务层表示受访业务提供的服务;所述第一策略层包括第一策略资源子层、第一策略主体子层、第一策略环境子层,所述第一策略层表示访问受访业务需配置的策略;所述第一策略资源子层包括表示访问受访业务路径的第一路径,所述第一策略主体子层包括表示允许访问所述受访业务的第一授权主体信息,所述第一策略环境子层包括表示访问受访业务时所处环境的第一环境信息;
响应于所述访问协议属于四层网络协议,将所述用户信息和所述受访业务信息与事先设置的四层访问控制信息进行比对,比对通过时,则允许所述访问请求消息按照四层网络协议对所述受访业务进行访问,所述四层访问控制信息表示按照四层网络协议访问时需要验证的信息。
2.根据权利要求1所述的方法,其特征在于,所述接收用户的访问请求消息的步骤包括:
网关接收到用户的所述访问请求消息,获取所述用户信息、所述受访业务信息和所述访问协议,并将所述访问请求消息转发给决策中心;
所述决策中心接收所述访问请求消息,获取所述用户信息、所述受访业务信息和所述访问协议。
3.根据权利要求2所述的方法,其特征在于,所述响应于所述访问协议属于七层网络协议,将所述用户信息和所述受访业务信息与事先设置的七层访问控制信息进行比对,比对通过时,则允许所述访问请求消息按照七层网络协议对所述受访业务进行访问的步骤包括:
所述决策中心从数据库获取所述七层访问控制信息;
所述决策中心将所述受访业务信息与所述七层访问控制信息进行比对,比对通过时,继续执行后续步骤;否则,所述决策中心向所述网关返回拒绝访问的消息,所述网关向用户返回所述拒绝访问的消息,并结束所述响应于所述访问协议属于七层网络协议的步骤;
所述决策中心将所述用户信息和所述七层访问控制信息进行比对,比对通过时,所述决策中心向所述网关返回允许访问的消息;所述网关将所述访问请求消息转发给受访业务,并将所述受访业务返回的业务消息转发给用户,以实现用户对受访业务的访问;否则,所述决策中心向所述网关返回拒绝访问的消息,所述网关向用户返回所述拒绝访问的消息,并结束所述响应于所述访问协议属于七层网络协议的步骤。
4.根据权利要求3所述的方法,其特征在于,所述决策中心将所述受访业务信息与所述七层访问控制信息进行比对的步骤包括:
所述决策中心判别所述第一领域层的第一地址信息中是否记录有所述受访地址,如果有,则继续执行;否则,确认比对未通过;
所述决策中心判别所述第一服务层的第一端口号中记录有所述受访端口号,且所述第一端口号对应的所述第一协议为所述访问协议,所述第一端口号对应的第一子地址为所述受访地址,如果均通过,则继续执行;否则,确认比对未通过;
所述决策中心判别所述第一策略资源子层的第一路径中是否记录有所述受访路径,如果有,则继续执行;否则,确认比对未通过;
所述决策中心将所述用户信息和所述七层访问控制信息进行比对的步骤包括:所述决策中心判别所述第一策略主体子层的第一授权主体信息是否记录有所述用户信息,如果有,则继续执行;否则,确认比对未通过。
5.根据权利要求4所述的方法,其特征在于,所述访问请求消息中进一步包括表示访问受访业务的访问请求方法,所述第一策略资源子层还包括第一请求方法;
所述决策中心将所述受访业务信息与所述七层访问控制信息进行比对的步骤进一步包括:
所述决策中心判别所述第一策略资源子层的第一请求方法中是否记录有所述访问请求方法,如果有,则继续执行;否则,确认比对未通过。
6.根据权利要求4所述的方法,其特征在于,所述决策中心将所述受访业务信息与所述七层访问控制信息进行比对的步骤进一步包括:
所述决策中心获取当前访问环境,将所述当前访问环境与所述第一策略环境子层中的第一环境信息进行比对,如果符合所述第一环境信息,则继续执行;否则,确认比对未通过。
7.根据权利要求2所述的方法,其特征在于,所述响应于所述访问协议属于四层网络协议,将所述用户信息和所述受访业务信息与事先设置的四层访问控制信息进行比对,比对通过时,则允许所述访问请求消息按照四层网络协议对所述受访业务进行访问的步骤包括:
所述决策中心从数据库获取所述四层访问控制信息;
所述决策中心将所述受访业务信息与所述四层访问控制信息进行比对,比对通过时,继续执行后续步骤;否则,所述决策中心向所述网关返回拒绝访问的消息,所述网关向用户返回所述拒绝访问的消息,并结束所述响应于所述访问协议属于四层网络协议的步骤;
所述决策中心将所述用户信息和所述四层访问控制信息进行比对,比对通过时,所述决策中心向所述网关返回允许访问的消息;所述网关将所述访问请求消息转发给受访业务,并将所述受访业务返回的业务消息转发给用户,以实现用户对受访业务的访问;否则,所述决策中心向所述网关返回拒绝访问的消息,所述网关向用户返回所述拒绝访问的消息,并结束所述响应于所述访问协议属于四层网络协议的步骤。
8.一种计算机可读存储介质,其上存储有计算机指令,其特征在于,所述指令被处理器执行时可实现权利要求1~7任一项所述的基于零信任策略的访问控制方法的步骤。
CN202111148793.8A 2021-09-28 2021-09-28 一种基于零信任策略的访问控制方法及介质 Active CN113904824B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111148793.8A CN113904824B (zh) 2021-09-28 2021-09-28 一种基于零信任策略的访问控制方法及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111148793.8A CN113904824B (zh) 2021-09-28 2021-09-28 一种基于零信任策略的访问控制方法及介质

Publications (2)

Publication Number Publication Date
CN113904824A CN113904824A (zh) 2022-01-07
CN113904824B true CN113904824B (zh) 2022-11-04

Family

ID=79189160

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111148793.8A Active CN113904824B (zh) 2021-09-28 2021-09-28 一种基于零信任策略的访问控制方法及介质

Country Status (1)

Country Link
CN (1) CN113904824B (zh)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101075992B (zh) * 2006-05-17 2011-07-20 卓望数码技术(深圳)有限公司 Ip多业务交换方法及ip多业务交换系统
US10944747B2 (en) * 2016-05-25 2021-03-09 Canon Information And Imaging Solutions, Inc. Devices, systems, and methods for zero-trust single sign-on
CN111382421B (zh) * 2020-03-19 2024-04-09 深信服科技股份有限公司 一种业务访问控制方法、系统及电子设备和存储介质
CN112738047B (zh) * 2020-12-24 2023-08-25 贝壳技术有限公司 一种业务系统的访问控制方法及零信任系统

Also Published As

Publication number Publication date
CN113904824A (zh) 2022-01-07

Similar Documents

Publication Publication Date Title
US11368403B2 (en) Access management tags
US20120167167A1 (en) Enabling granular discretionary access control for data stored in a cloud computing environment
CN108494703A (zh) 一种访问频率控制方法、装置及存储介质
JP7260230B2 (ja) エイリアスベースのアドレス指定発呼方法および装置
CN112738047B (zh) 一种业务系统的访问控制方法及零信任系统
CN110113369A (zh) 一种基于角色权限控制的鉴权方法
US10462230B2 (en) Migrating sessions using a private cloud-cloud technology
WO2016053749A1 (en) Management of application access to directories by a hosted directory service
KR20160023746A (ko) 네트워크 액세스 및 어드미션 제어를 위한 소셜 그래프의 활용
US20160337164A1 (en) Efficient access control for trigger events in sdn
CN109756446A (zh) 一种车载设备的访问方法和系统
WO2020156135A1 (zh) 一种访问控制策略的处理方法、装置及计算机可读存储介质
CN108881309A (zh) 大数据平台的访问方法、装置、电子设备及可读存储介质
US11768699B2 (en) Enforce changes in session behavior based on updated machine learning model with detected risk behavior during session
CN110941853A (zh) 一种数据库的权限控制方法、计算机设备及存储介质
CN107566375B (zh) 访问控制方法和装置
CN104914806A (zh) 经由移动消息传送私密/安全性中介系统连接人和事物
CN114780930A (zh) 权限管理方法、装置、计算机设备和存储介质
CN113904824B (zh) 一种基于零信任策略的访问控制方法及介质
CN110210251A (zh) 数据查询方法、装置、设备及计算机可读存储介质
US10320920B2 (en) Automatic migration of communication sessions using a private cloud-cloud technology
US20050102505A1 (en) Method for dynamically changing intrusion detection rule in kernel level intrusion detection system
US20170208018A1 (en) Methods and apparatuses for using exhaustible network resources
CN106130968A (zh) 一种身份认证方法、及系统
US11784996B2 (en) Runtime credential requirement identification for incident response

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right

Effective date of registration: 20220321

Address after: 100085 Floor 101 102-1, No. 35 Building, No. 2 Hospital, Xierqi West Road, Haidian District, Beijing

Applicant after: Seashell Housing (Beijing) Technology Co.,Ltd.

Address before: 101399 room 24, 62 Farm Road, Erjie village, Yangzhen, Shunyi District, Beijing

Applicant before: Beijing fangjianghu Technology Co.,Ltd.

TA01 Transfer of patent application right
GR01 Patent grant
GR01 Patent grant