CN114615328B

CN114615328B - 一种安全访问控制系统和方法

Info

Publication number: CN114615328B
Application number: CN202210096604.5A
Authority: CN
Inventors: 刘佳; 金辉; 刘少磊; 张�荣; 邹艳鹏
Original assignee: Sdic Intelligent Technology Co ltd; Beijing Meiyabaike Network Security Technology Co ltd
Current assignee: Sdic Intelligent Technology Co ltd; Beijing Meiyabaike Network Security Technology Co ltd
Priority date: 2022-01-26
Filing date: 2022-01-26
Publication date: 2024-03-12
Anticipated expiration: 2042-01-26
Also published as: CN114615328A

Abstract

本发明公开一种安全访问控制系统，解决现有系统的安全性低和解密成本高问题。所述系统，包含：终端零信任代理，用于获取用户身份认证信息，与访问控制器建立双向连接通路，访问所述应用网关。访问控制器，用于根据所述终端零信任代理发送的用户身份认证信息向零信任安全控制中心发送用户身份认证请求并获取用户权限。所述应用网关，用于与所述终端零信任代理建立双向连接通路；根据终端零信任代理发送的所述应用网关访问请求，向访问控制器发送所述网关身份认证请求。所述零信任安全控制中心，用于对所述访问控制器发送的用户身份认证请求进行用户身份认证和用户权限认证。本申请还包含使用实现所述系统的方法。本发明尤其适用于企业互联网安全。

Description

一种安全访问控制系统和方法

技术领域

本发明涉及互联网安全技术领域，尤其涉及一种安全访问控制系统和方法。

背景技术

云计算、大数据和移动互联网的快速发展,带来日趋开放和动态的网络边界,快速增长的用户群体,灵活的移动办公模式导致内网边界也日趋复杂与模糊,使得基于边界的传统安全防护体系逐渐失效。企业上云后，传统安全问题及云上的安全防护措施目前缺少整体安全规划和形成统一联动，难以构建业务上云后的全面安全防护体系。传统的网络架构中，网络安全的防护架构重心在内外网之间的网络边界防护检测类上。整体安全防御能力重边界、轻纵深，面对攻击者的横向扩展束手无策。现有的零信任机制存在如下缺点：第一、对于非HTTP(Hyper Text Transfer Protocol，超文本传输协议)的业务，大部分C/S(Client/Server，客户端/服务器)架构的客户端是不支持的，无法满足全场景的办公需求；第二、对于加密请求的解密成本较高，且不易实现精细化的权限控制，针对垂直的Web流量不能基于HTTP协议做到更加细化的访问控制。

发明内容

本发明提供一种安全访问控制系统和方法，解决现有方法的安全性低和解密成本高问题，尤其适用于企业互联网安全。

为解决上述问题，本发明是这样实现的：

本发明实施例提供一种安全访问控制系统，包含：终端零信任代理、访问控制器、应用网关和零信任安全控制中心。

所述终端零信任代理，用于获取用户身份认证信息，与访问控制器建立双向连接通路；从访问控制器获取应用网关端口信息后、与应用网关建立双向连接通路；向应用网关发送应用网关访问请求、待访问控制器进行应用网关身份认证后、访问所述应用网关。

所述访问控制器，用于所述终端零信任代理建立双向连接，根据所述终端零信任代理发送的用户身份认证信息向零信任安全控制中心发送用户身份认证请求并获取用户权限；根据所述终端零信任代理发送的应用网关端口请求信息，回传所述应用网关端口信息；根据应用网关发送的网关身份认证请求和所述用户权限，对所述终端零信任代理要访问的应用网关进行身份认证，认证成功后向所述应用网关发送允许访问通知。

所述应用网关，用于与所述终端零信任代理建立双向连接通路；根据终端零信任代理发送的所述应用网关访问请求，向访问控制器发送所述网关身份认证请求；根据接收的所述允许访问通知，允许所述终端零信任代理访问。

所述零信任安全控制中心，用于对所述访问控制器发送的用户身份认证请求进行用户身份认证和用户权限认证，回传用户权限。

优选地，所述终端零信任代理，还用于采用单包授权敲门技术，与所述访问控制器和应用网关建立双向加密连接通路。所述访问控制器，还用于支持所述终端零信任代理采用单包授权敲门技术打开所述访问控制器的敲门端口，与所述终端零信任代理建立双向连接。

优选地，所述访问控制器，根据所述用户权限对所述终端零信任代理仅发送权限范围内的用户网关端口信息。

优选地，所述终端零信任代理，还用于拦截用户非法的应用网关访问请求。

优选地，所述用户身份认证信息包含用户密码认证信息和或用户生物特征信息。

优选地，所述应用网关支持HTTP(Hyper Text Transfer Protocol，超文本传输协议)访问、HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer，以安全为目标的HTTP通道)访问和或SSL(Secure Sockets Layer，安全套接字协议)隧道访问。

优选地，所述终端零信任代理采用终端环境感知及设备准入技术获取用户身份认证信息。

本发明实施例还提供一种安全访问控制方法，使用上述任一项所述系统，包含以下步骤：通过终端零信任代理获取用户身份认证信息，与访问控制器建立双向连接通路；通过访问控制器根据所述终端零信任代理发送的用户身份认证信息向零信任安全控制中心发送用户身份认证请求并获取用户权限；通过终端零信任代理拦截用户直接发送的应用访问请求，向访问控制器发送应用网关端口请求信息，接收应用网关端口信息后，与应用网关建立双向连接通路；通过终端零信任代理携带用户身份认证信息，向应用网关发送应用网关访问请求；通过访问控制器，对所述终端零信任代理要访问的应用网关进行身份认证，认证成功后向所述应用网关发送允许访问通知；通过应用网关接收访问控制器发送的允许访问通知，允许终端零信任代理访问应用网关。

本申请还提出一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如本申请中任一实施例所述的方法。

进一步地，本申请还提出一种电子设备，包括存储器，处理器及存储在存储器上并可在处理器运行的计算机程序，所述处理器执行所述计算机程序时实现如本申请任一实施例所述的方法。

本申请实施例采用的上述至少一个技术方案能够达到以下有益效果：(1)安全攻击面小，数据平面唯一可被访问的只有应用网关，控制平面唯一可被访问的只有访问连接器，内部资源全部被隐藏在应用网关后，即便资源存在0day也难以被攻击。(2)安全控制能力强，零信任把安全架构延伸到用户终端上，有更强的控制力和感知力，通过无边界的安全架构来解决当前的安全问题。(3)易用性好，用户一旦完成认证，整个使用过程中系统不会再对用户有任何干扰，体验度较高。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本发明的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1(a)为现有技术实施例的应用层代理方式示意图；

图1(b)为现有技术实施例的流量代理方式示意图；

图2(a)为本发明系统实施例的连接示意图；

图2(b)为本发明系统实施例的架构示意图；

图3本发明方法流程实施例；

图4为包含浏览器的本发明方法流程实施例。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明具体实施例及相应的附图对本发明技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

云计算、大数据和移动互联网的快速发展,带来日趋开放和动态的网络边界,快速增长的用户群体,灵活的移动办公模式导致内网边界也日趋复杂与模糊,使得基于边界的传统安全防护体系逐渐失效。企业上云后，传统安全问题及云上的安全防护措施目前缺少整体安全规划和形成统一联动，难以构建业务上云后的全面安全防护体系。零信任安全理念通过建立以身份(用户、设备、应用)为中心进行最小权限访问控制，默认不信任网络内部和外部的任何用户、设备或者网络，对来自企业内外部的所有访问进行信任评估和动态访问控制,减小网络攻击面,将传统面向网络的访问控制转变为面向用户资产的访问控制机制，实现保护企业数据资源的目标。

统的网络边界安全访问体系存在不健全问题。传统的网络架构中，网络安全的防护架构重心在内外网之间的网络边界防护检测类上。整体安全防御能力重边界、轻纵深，面对攻击者的横向扩展束手无策。VPN(Virtual Private Network，虚拟专用网络，在公用网络上建立专用网络，进行加密通讯)常用于内外网接入，不能应用于保护内部用户，信任关系是静态不变的且过度信任，一旦攻击者通过VPN接入企业内网，找到跳板通过端口扫描探测出更多的攻击目标，且缺少终端准入控制、应用及数据驻留远程终端、个人及应用和数据未隔离、无数据防泄漏措施等问题，网络边界被突破后攻击者在系统内畅通无阻。所以，如何在基于内外网边界的访问体系上进行防护，需要企业在部署网络安全工作时着重考虑。

应用服务器的安全防护存在安全隐患问题。数据中心设计中已逐步采用虚拟化技术，服务器虚拟化将以服务器为主的硬件平台分为多个虚拟机，虚拟机成为业务应用系统运行的直接载体。同时在物理服务器内引入了虚拟交换机，这样网络内部的主机之间是可信的，外部部署的网络安全设备不会对网络内部流量进行过滤，原有的安全防护机制将变得形同虚设。加强服务器自身的安全和采取必要安全措施来防范来自内外网攻击的发生，是目前虚拟化网络安全领域面临的新挑战。

零信任安全理念是基于“零信任”安全的理念，零信任架构的关键能力在于以身份为基石，业务安全访问，持续信任评估和动态访问控制。具体的逻辑架构重点为：首先所有的访问请求经过可信代理，通过动态访问引擎控制对访问主体进行判定，只有认证通过才可以通行，同时可信代理对访问流量进行加密；其次，访问权限基于策略和属性进行动态判断，访问控制由静态访问控制变动态权限认定；再次，动态访问的身份库、权限库和信任库需要持续评估，从而进行风险识别；最后，身份管理需要构建专门身份管理系统。

零信任机制屏蔽了基于网络向业务应用系统发起的攻击，代理网关的“网络隐身”效果有效减小了攻击面。在用户对应用访问模式下，代理网关是零信任架构的组成部分，是身份认证、控制策略、动态控制的执行点，但根据业务需要、场景差异，可以和访问主体或访问客体集成，加强访问主体或客体的安全性。在认证和授权之前不会有任何数据包到达服务器，从而可以使云资源对未授权用户完全不可见，这完全消除了许多攻击向量。

本发明的创新点在于：第一、本发明将创新性地提出了访问控制器和零信任安全控制，克服TCP/IP允许“先连接后认证”的开放和不安全的基本特性，应用被隐藏在应用网关之后，从而只有被授权的用户才能可靠地访问，而未授权用户则看不到这些服务。第二、本发明采用SPA(Single Packet Authorization，单包授权)实现SDP(Software DefinedPerimeter，软件定义边界)网络隐身的核心网络安全协议，在允许访问控制器、应用网关等相关系统组件所在的网络之前先验证设备和用户身份，实现零信任“先认证、再连接”的安全模型理念。

以下结合附图，详细说明本发明各实施例提供的技术方案。

图1(a)为现有技术实施例的应用层代理方式示意图，图1(b)为现有技术实施例的流量代理方式示意图。

在图1(a)中，应用层代理方式指的是在零信任网关上，通过七层应用代理，使后端应用的访问经过本地代理，将应用层请求发至代理网关中，由应用层代理网关进行拦截与转发。

基于应用代理层实现的访问过程如下：

(1)用户通过终端零信任代理(Agent)进行设备注册和授权；

(2)终端零信任代理进行安全基线加固及上传终端设备安全状态；

(3)用户通过零信任终端零信任代理来设置本地应用层代理，指定特定资源的访问由应用层代理发至代理网关中；

(4)应用层代理网关通过安全控制中心进行认证和授权；

(5)授权通过后，将请求发给应用系统并获取资源；

(6)应用层代理网关将资源转发给终端零信任代理，完成资源请求。应用层代理方式可以基于应用进行细粒度的授权，并深入到特定应用和特定资源进行控制。

采用应用层代理方式实现互联网访问的缺点在于，对于非HTTP的业务，大部分C/S架构的客户端是不支持的，该种方式无法满足全场景的办公需求。

基于IAM(Identity and Access Management，身份识别与访问管理)的零信任解决方案在网络层连接上存在一些缺点，SDP虽然在基于南北向流量的访问控制上实现了安全防护，但也有其弱点：一方面，SDP就像一个柔性的访问控制网关，访问一旦被授权，请求主体与被访问资源间建立直接链接，访问流量进入企业内网，随之将会给内网带来一定风险；另一方面，SDP无法实现基于东西向流量的监控与可视化，因此难以应对横向攻击。而MSG(Message，消息)与SDP相反，其优势在于东西向流量之间的监控和可视化，但对于南北向流量的访问控制基本无法防控。

图1(b)提供了一种流量代理方式。在用户对应用访问模式下，流量代理方式即四层代理方式，终端在有代理的情况下，可通过网络过滤驱动、虚拟网卡、hook等方式，将本地流量转发给零信任网关，零信任网关负责流量的拦截与转发。

如果终端没有代理，只要零信任流量代理网关部署在网络中，能够劫持流量即可充当代理网关。四层流量代理可以实现全局代理，无论是B/S(Browser/Server，浏览器/服务器模式)还是C/S应用都可以通过流量代理网关进行控制和授权，能支持全办公场景。

采用流量代理方式进行网络安全访问的缺点在于，对于加密请求的解密成本较高，且不易实现精细化的权限控制，针对垂直的Web流量不能基于HTTP协议做到更加细化的访问控制。

图2(a)为本发明系统实施例的连接示意图，图2(b)为本发明系统实施例的架构示意图，提供了一种去边界化资源的安全访问控制系统，尤其适用于企业互联网安全访问。作为本发明实施例，一种安全访问控制系统，包含：终端零信任代理1、访问控制器2、应用网关3和零信任安全控制中心4。

如图2(b)所示，所述终端零信任代理和应用网关面向业务应用，均处于数据平面，访问控制器用于控制本发明系统各模块，处于控制平面，所述零信任安全控制中心处于管理平面。

在本发明实施例中，所述零信任安全控制中心是整个系统的管理中心，负责管理访问控制器、终端零信任代理及应用网关。所述零信任安全控制中心负责认证、授权、策略管理与下发，是整体的调度与管理中心。负责控制建立连接和切断主体(用户)与客体(应用)之间的通信连接(通过给应用网关发送控制指命)，负责生成客户端用于访问应用的身份验证令牌或凭证。

所述访问控制器对所有应用网关、终端零信任代理进行管理，制定安全策略，确定哪些终端零信任代理可以与哪些业务进行通信。访问控制器也可以将所需要的信息中继到零信任安全控制中心，例如终端和用户身份服务器。访问控制器，还用于日志审计，对所有终端零信任代理的连接信息进行日志记录及审计。

所述应用网关，负责建立、监视及切断访问主体(用户)和客体(应用)之间的连接。所述应用网关与零信任安全控制中心通信，从访问控制器接收策略和指令。应用网关支持HTTPS访问和SSL隧道访问，同时应用网关受SPA单包授权技术对设备本身的服务进行隐身保护，只有已授权的客户端才能通过应用网关访问业务，否则将无法连接应用网关对外放通的端口服务。

所述终端零信任代理与访问控制器通信以请求它们可以连接的应用网关列表及权限列表，实现统一登录，并构建统一的工作入口，实现跨设备的统一管理，保障数据与应用安全。通过身份接入验证、设备接入验证、应用访问权限控制等，帮助保护业务应用，让应用对外完全不可见，用户只能通过客户端进行授权后访问。

传统的安全模型有三部分组成：连接发起客户端、连接接受网关和控制器。数据平面由连接发起客户端可以发起连接,数据平面连接接受网关接受连接。认证及控制操作通过数据平面的客户端与控制平面的控制器交互来进行管理。本模型下访问控制器如果被攻破，通过控制器节点可轻易的绕开连接接受网关进行访问。

本发明将原来三部分的控制器分为访问控制器和零信任安全控制中心两部分。本发明中的访问控制器克服TCP/IP允许“先连接后认证”的开放和不安全的基本特性，应用被隐藏在应用网关之后，从而只有被授权的用户才能可靠地访问，而未授权用户则看不到这些服务。单包授权是实现SDP网络隐身的核心网络安全协议，在允许访问控制器、应用网关等相关系统组件所在的网络之前先验证设备和用户身份，实现零信任“先认证、再连接”的安全模型理念。允许服务器防火墙隐藏起来并被默认丢弃。只有在允许网络在访问访问控制器和应用网关之前验证用户的身份、设备和网络信息，用户才被允许访问该服务，SPA对于SDP不可或缺，用于在客户端和访问控制器、应用网关和访问控制器、客户端和应用网关等之间的连接中通信。

本发明主要实现的功能如下：(1)将SDP控制器管理平面(零信任安全控制中心)和控制平面(访问控制器)分开；(2)管理平面(零信任安全控制中心)放在资源隔离区受到传统安全的保护；(3)零信任安全控制中心放在资源隔离区的好处是更安全，不用暴露在外部网络；(4)零信任控制中心同访问控制器通讯也需要通过SPA敲门机制；(5)应用网关与访问控制器的通信也通过SPA敲门机制实现；(6)零信任安全控制中心可通过第三方运维账号管理系统进行管控，普通用户不能访问。

本发明实施例提供一种去边界化资源的安全访问控制系统，以客户端为边界，结合应用网关建立起一块虚拟安全域，同时结合应用网关基于端口动态授权的网络隐身技术构建起一张隐形的互联网，即应用只对“特定的用户+特定的设备”可见，且该用户访问应用的行为可以进行严格控制和记录。

将网络防御从广泛的网络边界缩小到最小的微隔离区，针对每一个用户访问的每一个应用，建立1对1的安全隧道，通过策略决策和管理对全交互过程进行严格验证和授权，才能允许其访问资源，也就到达其隐式信任区。其中客户端主要负责验证用户身份，将访问请求转发给网关，控制器负责身份认证及配置策略，管控全过程，应用网关主要保护业务系统，防护各类网络攻击，只允许来自合法客户端的流量通过。通过围绕身份、权限、环境等信息进行有效管控与治理,从而保证通过正确的身份，在正确的访问环境下，在基于正当理由下访问正确的信息资源。

本发明实施例解决如下技术问题：(1)实现通过SPA单包授权敲门技术访问控制器、零信任安全控制中心和应用网关，在允许访问前先检查设备和用户身份；(2)实现对用户、设备的主体身份认证，采用人脸/声纹等生物特征识别技术实现用户的身份认证，采用终端环境感知及设备准入技术实现设备的身份认证；(3)对应用客体身份进行权限配置，采用权限策略技术实现多样权限控制；(4)实现应用网关对未授权的用户隐藏内部网络，为后端应用进行安全防护，对授权用户访问应用实现后端资源的服务或端口隐身，缩小网络暴露面。

图3本发明方法流程实施例，可使用本发明任一实施例所述安全访问控制系统。作为本发明实施例，一种安全访问控制方法，具体包含以下步骤101～106：

步骤101、通过终端零信任代理获取用户身份认证信息，与访问控制器建立双向连接通路。

在步骤101中，终端零信任代理用单包授权敲门技术向访问控制器发送访问请求，经过零信任安全控制中心验证用户信息，验证通过后，建立双向加密连接。

步骤102、通过访问控制器根据所述终端零信任代理发送的用户身份认证信息向零信任安全控制中心发送用户身份认证请求并获取用户权限。

在步骤102中，访问控制器服务经过零信任安全控制中心连接至认证和权限服务，返回身份认证及访问鉴权结果。

在步骤102中，终端零信任代理与访问控制器连接并进行身份验证。

在步骤102中，用户权限包含用户可访问的应用网关。

步骤103、通过终端零信任代理拦截用户直接发送的应用访问请求，向访问控制器发送应用网关端口请求信息，接收应用网关端口信息后，与应用网关建立双向连接通路。

在步骤103中，应用网关连接到访问控制器并由其进行身份验证，同时不应答来自任何其他主机的通信请求，也不会响应非预分配的请求。

步骤104、通过终端零信任代理携带用户身份认证信息，向应用网关发送应用网关访问请求。

步骤105、通过访问控制器，对所述终端零信任代理要访问的应用网关进行身份认证，认证成功后向所述应用网关发送允许访问通知。

步骤106、通过应用网关接收访问控制器发送的允许访问通知，允许终端零信任代理访问应用网关。

在步骤104～106中，访问控制器在验证终端零信任代理访问请求之后，访问控制器通知应用网关接受来自终端零信任代理的通信请求信息。

终端零信任代理向可接受连接的应用网关通过单包授权敲门技术发起单包验证，并创建与这些应用网关的双向加密隧道连接后，开始访问应用。终端零信任代理可以使用处理各种C/S和B/S的应用。

本发明实施例具备如下有益效果：

(1)安全攻击面小。零信任远程办公，数据平面唯一可被访问的只有应用网关，控制平面唯一可被访问的只有访问连接器，内部资源全部被隐藏在应用网关后，即便资源存在0day(0天)也难以被攻击。事前：缩小业务暴露面，对所有访问系统的用户进行认证、授权及数据加密的代理访问。事中：动态访问控制，在访问过程中，对用户的身份、终端环境、用户行为进行实时动态的监测，并基于当前访问环境和行为的风险，对用户和终端的访问权限进行动态的控制。事后：数据安全可视，提供访问审计溯源能力。为了避免重要的信息系统的访问安全风险，终端访问内网业务可记录，做到有据可查，进行用户全生命周期的行为审计。

(2)安全控制能力强。零信任把安全架构延伸到用户终端上，有更强的控制力和感知力；通过无边界的安全架构来解决当前的安全问题。事前缩小暴露面、事中精细化访问控制、事后安全可视，实现内外部威胁的防护的闭环。

(3)易用性好。用户一旦完成认证，整个使用过程中系统不会再对用户有任何干扰，体验度较高。

图4为包含浏览器的本发明方法流程实施例，提供了用户采用本发明方法访问应用程序的详细工作流程。作为本发明实施例，一种安全访问控制方法，具体包含以下步骤201～224：

需说明的是，在进行应用访问之前，先需要在终端零信任代理配置访问控制器的地址以及敲门端口和访问端口。

步骤201、运用客户端。

在步骤201中，用户可在PC或其他终端上运行客户端。需说明的是，客户端指的是终端零信任代理。

步骤202、通过终端零信任代理向访问控制器发送SPA敲门包。

在步骤202中，终端零信任代理用单包授权敲门技术向访问控制器发送经过加密的访问请求。

步骤203、通过访问控制器进行敲门校验。

在步骤203中，访问控制器解密敲门包并验证通过后打开访问端口。

步骤204、通过终端零信任代理向访问控制器发送握手请求。

在步骤204中，终端零信任代理向访问控制器的访问端口发起连接请求，

步骤205、通过访问控制器向终端零信任代理建立双向加密连接通路。

需说明的是，终端零信任代理可通过本发明实施例SPA敲门技术建立双向连接，还可通过其他方式建立双向连接，这里不做特别限定。

步骤206、通过终端零信任代理向浏览器调用浏览器访问认证页面。

在步骤206中，终端零信任代理调用浏览器跳转认证页地址(认证页地址由访问控制器进行代理)。

步骤207、通过浏览器向访问控制器获取认证页面。

步骤208、通过访问控制器向浏览器返回认证页面。

步骤209、通过浏览器向访问控制器发起认证请求。

在步骤209中，用户在浏览器认证页上填写身份信息后点击提交按钮发起认证请求。

步骤210、通过访问控制器向零信任安全控制中心携带用户身份凭证，调取认证及权限服务进行身份验证及权限鉴权。

在步骤201中，访问控制器根据用户填写身份信息调用零信任控制中心进行身份认证，认证完成获取该用户的权限。

步骤211、通过零信任安全控制中心向浏览器发送认证通过返回门户页面。

在步骤211中，零信任控制中心将有权限的应用展示在门户页上返回给浏览器。

步骤212、通过用户点击门户页面应用图标，携带应用地址及身份凭证向浏览器发起访问请求。

在步骤212中，用户点击门户页面的应用图标(应用地址为应用网关代理的地址)发起访问请求。

步骤213、通过浏览器向终端零信任代理发送客户端拦截请求。

步骤214、通过终端零信任代理向访问控制器发起请求获取网关的敲门端口和访问端口。

在步骤214中，终端零信任代理根据请求的应用网关地址向访问控制发起请求，获取应用网关的敲门端口和访问端口。

步骤215、通过访问控制器向终端零信任代理返回网关的敲门端口和访问端口。

步骤216、通过终端零信任代理向应用网关发起敲门请求。

步骤217、通过应用网关进行敲门验证，打开应用网关访问端口。

步骤218、通过终端零信任代理向应用网关发送握手请求。

步骤219、通过应用网关向终端零信任代理建立双向加密连接通路。

需说明的是，访问控制器和应用网关可通过SPA敲门技术建立双向加密连接，还可通过其他方式建立双向连接，这里不做特别限定。

步骤220、通过终端零信任代理携带用户身份凭证向应用网关发起访问请求。

在步骤220中，终端零信任代理对访问的应用拦截后，在请求头中增加用户身份凭证和应用信息，访问应用网关。

步骤221、通过应用网关向访问控制器携带身份凭证，发起应用请求验证有效性指令。

在步骤221中，应用网关访问控制器进行身份凭证和权限校验。

步骤222、通过访问控制器向应用网关发送验证通过指令，通知应用网关放行。

在步骤222中，访问控制校验通过后应用通知网关放行请求。

步骤223、通过应用网关向应用转发应用真实地址。

在步骤223中，应用网关将请求转发到应用的真实地址。

步骤224、通过应用向浏览器返回应用页面。

在步骤224中，应用展示页面在客户端浏览器上。

本发明安全架构从安全层面不再区分是否为内外网、是否为远程或分支，而是统一通过应用网关接入和代理，并隐藏后端服务。办公区可以通过内网访问应用网关，远程用户和分支机构可以通过公网或专线访问零信任网关，无论采用何种方式，都要经过认证和授权流程。

在企业内网部署中，应用网关主要用于企业内部各种应用系统的保护，因此将应用网关部署在服务器网段的前端。通过访问连接器提供统一的业务安全控制通道，通过应用网关提供统一的业务安全数据访问通道，同时通过零信任安全控制中心提供整个系统统一的安全管理，关闭企业内部终端直连内部业务系统的策略，避免企业内网应用系统全部暴露在办公网络中。所有的终端访问内网应用系统都要进行身份验证，还要进行细粒度的权限访问校验，才可以通过加密安全网关访问具体的业务，这样能极大地降低内网服务器被恶意扫描和攻击的概率。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

以上所述仅为本发明的实施例而已，并不用于限制本发明。对于本领域技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本发明的权利要求范围之内。

Claims

1.一种安全访问控制系统，其特征在于，包含：

终端零信任代理，用于获取用户身份认证信息，与访问控制器建立双向连接通路；从访问控制器获取应用网关端口信息后、与应用网关建立双向连接通路；向应用网关发送应用网关访问请求、待访问控制器进行应用网关身份认证后、访问所述应用网关；

访问控制器，用于，

与所述终端零信任代理建立双向连接，根据所述终端零信任代理发送的用户身份认证信息向零信任安全控制中心发送用户身份认证请求并获取用户权限；

根据所述终端零信任代理发送的应用网关端口请求信息，回传所述应用网关端口信息；

根据应用网关发送的网关身份认证请求和所述用户权限，对所述终端零信任代理要访问的应用网关进行身份认证，认证成功后向所述应用网关发送允许访问通知；

应用网关，用于与所述终端零信任代理建立双向连接通路；根据终端零信任代理发送的所述应用网关访问请求，向访问控制器发送所述网关身份认证请求；根据接收的所述允许访问通知，允许所述终端零信任代理访问；

零信任安全控制中心，用于对所述访问控制器发送的用户身份认证请求进行用户身份认证和用户权限认证，回传用户权限。

2.如权利要求1所述的安全访问控制系统，其特征在于，

所述终端零信任代理，还用于采用单包授权敲门技术，与所述访问控制器和应用网关建立双向加密连接通路；

所述访问控制器，还用于支持所述终端零信任代理采用单包授权敲门技术打开所述访问控制器的敲门端口，与所述终端零信任代理建立双向连接。

3.如权利要求1所述的安全访问控制系统，其特征在于，所述访问控制器，根据所述用户权限对所述终端零信任代理仅发送权限范围内的用户网关端口信息。

4.如权利要求1所述的安全访问控制系统，其特征在于，所述终端零信任代理，还用于拦截用户非法的应用网关访问请求。

5.如权利要求1所述的安全访问控制系统，其特征在于，所述用户身份认证信息包含用户密码认证信息和或用户生物特征信息。

6.如权利要求1所述的安全访问控制系统，其特征在于，所述应用网关支持HTTP/HTTPS访问和SSL隧道访问。

7.如权利要求1所述的安全访问控制系统，其特征在于，所述终端零信任代理采用终端环境感知及设备准入技术获取用户身份认证信息。

8.一种安全访问控制方法，使用权利要求1～7任一项所述系统，其特征在于，包含以下步骤：

通过终端零信任代理获取用户身份认证信息，与访问控制器建立双向连接通路；

通过访问控制器根据所述终端零信任代理发送的用户身份认证信息向零信任安全控制中心发送用户身份认证请求并获取用户权限；

通过终端零信任代理拦截用户直接发送的应用访问请求，向访问控制器发送应用网关端口请求信息，接收应用网关端口信息后，与应用网关建立双向连接通路；

通过终端零信任代理携带用户身份认证信息，向应用网关发送应用网关访问请求；

通过访问控制器，对所述终端零信任代理要访问的应用网关进行身份认证，认证成功后向所述应用网关发送允许访问通知；

通过应用网关接收访问控制器发送的允许访问通知，允许终端零信任代理访问应用网关。

9.一种计算机可读介质，所述计算机可读介质上存储计算机程序，所述计算机程序被处理器执行时实现如权利要求8所述的方法的步骤。

10.一种电子设备，包括存储器，处理器及存储在存储器上并可在处理器运行的计算机程序，所述处理器执行所述计算机程序时实现如权利要求8所述方法的步骤。