CN116346375A - 访问控制方法、访问控制系统、终端及存储介质 - Google Patents

Abstract

本发明实施例提供一种访问控制方法、访问控制系统、终端及存储介质，属于零信任技术领域。方法包括：在向目标服务器发起访问时，发送单包授权认证报文至策略控制器，以使策略控制器根据对单包授权认证报文的验证结果通知网络防火墙生成用于对终端暴露服务端口的第一访问控制规则；基于第一访问控制规则与目标服务器建立会话连接，并发送连接建立通知消息给策略控制器，以使策略控制器通知网络防火墙生成用于对终端的应用进行准入管理的第二访问控制规则并删除第一访问控制规则。本发明实施例通过监控终端的远程访问，并根据访问状态同步调整网络防火墙的准入控制，使得网络防火墙对于远程访问的保护能够严格贯穿于访问的整个生命周期。

Description

访问控制方法、访问控制系统、终端及存储介质

技术领域

本发明涉及零信任技术领域，尤其涉及一种访问控制方法、访问控制系统、终端及存储介质。

背景技术

零信任(Zero Trust)的SDP(软件定义边界，Software Defined Perimeter)安全模型跟传统的网络接入控制模型不同，通过网络隐身技术实现先认证后连接，服务端口不直接暴露在互联网。SDP从传统的以网络为中心转变为以身份为中心进行最小权限访问控制。通过网络隐身技术，不区分内外网，确保只有合法的身份以及终端和网络环境才能接入。SPA(单包授权，Single Packet Authorization)是实现SDP网络隐身的核心网络安全协议。在允许访问控制器、网关等相关系统组件所在的网络之前先验证设备和用户身份，实现零信任“先认证，再连接”的安全模型理念。

在现有技术中，终端应用在发起网络访问请求时将触发构造并发送SPA报文，SDP策略控制器在收到SPA报文后进行认证和授权处理，并通知网络防火墙打开相应的服务，即创建对应准入的访问控制过滤规则，从而准许应用访问网络服务。但是，对于相应的访问控制过滤规则何时关闭，由于SDP策略控制器和网络防火墙均不掌握后续访问会话连接的精准状态，只能通过预设超时门限来延期关闭，从而控制服务暴露时间窗口的时长。由于服务暴露时间窗口比较难确定，如果时间窗口开启的时长太短，合法的用户还未来得及建立会话连接，时间窗口就超时关闭，影响正常访问；如果该服务暴露时间窗口开启的时长太长，则留给攻击者充裕的时间进行探测攻击。

因此，如何彻底贯彻零信任理念，对SDP安全架构中的针对单包授权的访问控制的弱点进行改进，保证网络防火墙对于每次网络访问的保护严格贯穿与访问的整个生命周期，是一个迫切需要解决的问题。

发明内容

本发明实施例的主要目的在于提供一种访问控制方法、访问控制系统、终端及存储介质，通过在终端监控并感知远程访问的真实状态，并根据终端侧的访问状态同步调整网络防火墙的准入控制，实现了网络防火墙对于网络访问的保护严格贯穿于远程访问的整个生命周期。

第一方面，本发明实施例提供一种访问控制方法，应用于终端，包括：

在向目标服务器发起访问时，发送单包授权认证报文至策略控制器，以使所述策略控制器根据对所述单包授权认证报文的验证结果通知网络防火墙生成第一访问控制规则；其中，所述第一访问控制规则用于所述目标服务器对所述终端暴露服务端口；

基于所述第一访问控制规则与所述目标服务器建立会话连接，并发送连接建立通知消息给所述策略控制器，以使所述策略控制器通知所述网络防火墙生成第二访问控制规则并删除所述第一访问控制规则；其中，所述第二访问控制规则用于所述目标服务器对所述终端的应用进行准入管理。

第二方面，本发明实施例还提供一种访问控制方法，应用于访问控制系统，所述访问控制系统包括：终端、策略控制器、网络防火墙、目标服务器；所述访问控制方法包括：

在所述终端向所述目标服务器发起访问时，发送单包授权认证报文至所述策略控制器；

所述策略控制器根据对所述单包授权认证报文的验证结果通知所述网络防火墙生成第一访问控制规则；其中，所述第一访问控制规则用于所述目标服务器对所述终端暴露服务端口；

所述终端基于所述第一访问控制规则与所述目标服务器建立会话连接，并发送连接建立通知消息给所述策略控制器；

所述策略控制器通知所述网络防火墙生成第二访问控制规则并删除所述第一访问控制规则；其中，所述第二访问控制规则用于所述目标服务器对所述终端的应用进行准入管理。

第三方面，为了实施上述应用于终端的访问控制方法，本发明实施例还提供一种终端，所述终端包括处理器、存储器、存储在所述存储器上并可被所述处理器执行的计算机程序以及用于实现所述处理器和所述存储器之间的连接通信的数据总线，其中所述计算机程序被所述处理器执行时，实现如本发明说明书提供的任一项应用于终端的访问控制方法的步骤。

第四方面，为了实施上述应用于访问控制系统的访问控制方法，本发明实施例还提供一种访问控制系统，所述访问控制系统终端、策略控制器、网络防火墙和目标服务器；所述终端、策略控制器、网络防火墙和目标服务器用于共同执行如本发明说明书提供的任一项应用于访问控制系统的访问控制方法的步骤。

第五方面，本发明实施例还提供一种存储介质，用于计算机可读存储，其特征在于，所述存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现如本发明说明书提供的任一项访问控制方法的步骤。

本发明实施例提供一种访问控制方法、访问控制系统、终端及存储介质，通过在终端侧监控并感知终端应用访问会话连接的真实状态，并将访问状态消息与SDP策略控制器和网络防火墙进行交互，精准控制网络防火墙上相应的访问控制规则的打开与关闭，进而能够保证在终端应用访问网络服务的整个生命周期内，网络防火墙能够实现对合法终端访问的全生命周期保护。进一步地，通过在终端访问连接的创建和访问连接会话的维护阶段，网络防火墙上动态维护不同类型的访问控制规则，从而使得保护的时间窗口与实际访问严格同步一致。

附图说明

为了更清楚地说明本申请实施例技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种访问控制系统的示意性框图；

图2为本发明实施例提供的一种访问控制方法的流程示意图；

图3为本发明实施例提供一种访问控制系统在实现访问控制方法时的场景流程图；

图4为本发明实施例提供的另一种访问控制系统的示意性框图；

图5为本发明实施例提供的应用于终端的一种访问控制方法的流程示意图；

图6为图4中提供的访问控制系统在实现访问控制方法时的场景示意图；

图7为本实施例一提供的通用终端在远程安全接入中应用访问控制方法的场景示意图；

图8为本实施例二提供的嵌入式终端在远程安全接入中应用访问控制方法的场景示意图；

图9为本发明实施例提供的一种终端的结构示意框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

附图中所示的流程图仅是示例说明，不是必须包括所有的内容和操作/步骤，也不是必须按所描述的顺序执行。例如，有的操作/步骤还可以分解、组合或部分合并，因此实际执行的顺序有可能根据实际情况改变。

应当理解，在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。

传统的网络接入控制是先接入再认证，由于网络服务端口直接暴露在互联网上，很容易遭受安全攻击，从而产生各种安全威胁。零信任(Zero Trust)的SDP(软件定义边界，Software Defined Perimeter)安全模型跟传统的网络接入控制模型不同，通过网络隐身技术实现先认证后连接，服务端口不直接暴露在互联网。SDP从传统的以网络为中心转变为以身份为中心进行最小权限访问控制。通过网络隐身技术，不区分内外网，确保只有合法的身份以及终端和网络环境才能接入。

SPA(单包授权，Single Packet Authorization)是实现SDP网络隐身的核心网络安全协议。在允许访问控制器、网关等相关系统组件所在的网络之前先验证设备和用户身份，实现零信任“先认证，再连接”的安全模型理念。SPA包含包括请求方的IP地址等在内的连接请求信息，在单一的网络信息包中被加密和认证，通过配置默认丢弃的防火墙策略使保护的网络服务对外不可见。SPA的目的是允许网络服务被防火墙隐藏起来并被默认丢弃任何探测和访问报文，从而不为潜在的攻击者提供任何关于服务端口是否正被监听的信息。

在单包授权通过之后，终端应用应向暴露的网络服务发起连接，建立会话链路，之后网络防火墙应调整准入规则，关闭服务暴露端口，允许已建立的会话连接准入。

在现有技术中，终端应用在发起网络访问请求时将触发构造并发送SPA报文，SDP策略控制器在收到SPA报文后进行认证和授权处理，并通知网络防火墙打开相应的服务，即创建对应准入的访问控制过滤规则，从而准许应用访问网络服务。但是，对于相应的访问控制过滤规则何时关闭，由于SDP策略控制器和网络防火墙均不掌握后续访问会话连接的精准状态，只能通过预设超时门限来延期关闭，从而控制服务暴露时间窗口的时长。由于服务暴露时间窗口比较难确定，如果时间窗口开启的时长太短，合法的用户还未来得及建立会话连接，时间窗口就超时关闭，影响正常访问；如果该服务暴露时间窗口开启的时长太长，则留给攻击者充裕的时间进行探测攻击。

在会话连接建立之后，会话连接所承载的业务报文仍然要通过网络防火墙才能抵达网络服务，基于零信任的理念，防火墙应该只允许合法会话连接相关的报文通过，而丢弃其他非法报文。但是对于会话连接的准入控制，SDP安全框架并没有进行规范，如何在网络防火墙上自动且精准实现针对会话连接的准入控制是一个有待解决的问题。

此外，针对上述服务暴露时间窗口准确性的问题，现有技术方案提出可以监控网络服务侧所接收的数据包，从而判断后续的会话连接是否已经建立，如果已建立则触发网络防火墙调整准入规则，关闭服务暴露端口，从而使网络服务迅速回归到隐身状态。但该技术方案仅能解决服务暴露时长不精确的问题，不能解决防火墙针对后续会话连接报文的准入控制问题。同时，由于是通过在网络侧嗅探报文来分析会话连接的状态，很容易被外部攻击者通过网络构造的连接控制报文(例如TCP的SYN报文)或重放报文所欺骗，导致误认为会话连接已建立而提早关闭服务暴露端口，致使合法终端应用访问网络服务失败。

综上所述，如何彻底贯彻零信任理念，对SDP安全架构中的针对单包授权的访问控制的弱点进行改进，保证网络防火墙对于每次网络访问的保护严格贯穿与访问的整个生命周期，是一个迫切需要解决的问题。

本发明实施例提供了一种访问控制方法、访问控制系统、终端及存储介质。其中，该访问控制方法可应用于移动终端中，该移动终端可以手机、平板电脑、笔记本电脑、台式电脑、个人数字助理和穿戴式设备等电子设备。

下面结合附图，对本发明的一些实施例作详细说明。在不冲突的情况下，下述的实施例及实施例中的特征可以相互组合。

为了更好地说明本发明的访问控制方法，首先介绍本发明实施例提供的访问控制系统。

本发明应用于在基于SDP安全框架所提供的远程安全接入服务的场景下，针对终端的应用远程访问网络服务器的访问控制处理。

请参照图1，图1为本发明实施例提供的一种访问控制系统的示意性框图，访问控制系统具体包括：终端、策略控制器、网络防火墙、目标服务器。

终端需要访问目标服务器时，首先向策略控制器发送请求，策略控制器根据对终端请求的认证结果向网络防火墙下达访问控制规则的创建、删除等指令，触发网络防火墙调整数据报文的准入规则，终端根据网络防火墙的访问控制规则实现与目标服务器的会话连接。

具体的，请参照图2，图2为本发明实施例提供的一种应用于上述访问控制系统的访问控制方法的流程示意图，具体包括步骤S101至步骤S104。图3为本发明实施例提供的访问控制系统在实现访问控制方法的场景示意图。

S101、在所述终端向所述目标服务器发起访问时，发送单包授权认证报文至所述策略控制器；

具体的，当终端上部署的应用需向目标服务器发起访问时，终端会发送SPA(单包授权认证，Single Packet Authorization)报文给SDP策略控制器。

S102、所述策略控制器根据对所述单包授权认证报文的验证结果通知所述网络防火墙生成第一访问控制规则；其中，所述第一访问控制规则用于所述目标服务器对所述终端暴露服务端口；

SDP策略控制器收到SPA报文会进行认证：如果认证通过，会进行授权，并根据授权结果通知目标服务器的网络防火墙创建一条针对：终端的源IP地址(可选)+目标服务器端的IP地址+目标服务端口+协议类型特征的访问控制规则(ACL RULE)，即允许目标服务器对该终端暴露服务端口，在此称为第一访问控制规则。

需要说明的是，网络防火墙需要开启默认丢弃模式。

可选地，该第一访问控制规则为三元组或四元组，在三元组的场景下，仅允许满足所述终端的目标服务器的IP地址+目标服务端口+协议类型特征的报文的准入，对于终端的源端口与终端的源IP地址没有限制；在四元组的场景下，仅允许满足所述终端的源IP地址+目标服务器的IP地址+目标服务端口+协议类型特征的报文的准入，对于终端的源端口没有限制。

S103、所述终端基于所述第一访问控制规则与所述目标服务器建立会话连接，并发送连接建立通知消息给所述策略控制器；

根据防火墙创建的第一访问规则，终端上的应用可以作为客户端与网络侧目标服务器之间启动建链流程，若成功建立会话连接，则进一步发送连接建立通知消息给SDP策略控制器。

S104、所述策略控制器通知所述网络防火墙生成第二访问控制规则并删除所述第一访问控制规则；其中，所述第二访问控制规则用于所述目标服务器对所述终端的应用进行准入管理。

SDP策略控制器收到终端的应用已经与目标服务器已连接建立的通知消息，通知网络防火墙增加与已建立连接的特征信息严格对应访问的控制规则条目，从而对终端的应用进行网络准入调整。具体地，所述策略控制器通知所述网络防火墙生成第二访问控制规则，并删除用于暴露服务端口的第一访问控制规则。

所述第二访问控制规则为包括：终端的源IP地址+终端的源端口+目标服务器的IP地址+服务端口+协议类型对应的访问控制规则。

示例性地，所述协议类型可以为TCP、UDP，以及其他由终端的具体应用确定的通信协议。

至此，网络防火墙将仅允许已建立访问会话连接对应的报文通过，同时由于关闭了服务暴露端口的准入，服务端口又恢复了隐藏状态。由于相对于第一访问控制规则，第二访问控制规则是更加偏严的准入规则，它仅允许合法的终端应用连接会话报文通过；所以用第二访问控制规则取代第一访问控制规则，能有效杜绝恶意攻击者利用服务端口暴露，伪造源IP地址或利用源端口的不确定性来伪造可绕过网络防火墙的报文对网络服务实施攻击；并使服务端口暴露的时长与真正建立连接所花费的时间跨度完全一致，避免了恶意攻击者利用多余的时间窗口进行探测攻击。

后续，当所述终端与目标服务器之间的所述访问会话终结，终端会发送连接终止通知消息通知SDP策略控制器，其中包含了会话连接的特征信息。SDP策略控制器收到连接终止通知消息后，再次进行网络准入调整处理，通知网络防火墙删除该会话连接对应的访问控制规则(ACLRULE)，也即删除第二访问控制规则。具体地，所述终端与所述目标服务器的会话连接终止时，发送连接中止通知消息给所述策略控制器；所述策略控制器通知所述网络防火墙删除所述第二访问控制规则。

至此，随着合法终端应用针对网络服务的单次访问结束，网络防火墙将同步调整准入规则并丢弃与该次访问特征对应的任何报文，从而避免了伪造与重放攻击。

进一步地，无论是对于所述第一访问控制规则和第二访问控制规则，均可以设置超时删除机制，以应对合法终端在访问网络服务过程中异常退出或网络中断等问题。

例如，针对后续因网络中断或终端故障等原因，因无法通知SDP策略控制器访问会话连接异常终止，进而导致防火墙所建的第二访问控制规则无法删除的异常场景，SDP控制器与网络防火墙可增加保护机制。针对所述第二访问控制规则设置老化超时时间窗口，当超时发生，且该访问控制规则在后续若干统计周期内无匹配报文通过，则网络防火墙可自主将所述第二访问控制规则删除。

具体地，在所述网络防火墙在生成访问控制规则之后，若在预设周期内未收到匹配所述访问控制规则的报文，开始启动定时器，若在所述定时器到期之后，还未收到符合所述访问控制规则的报文，所述网络防火墙自动删除所述访问控制规则；其中，所述访问控制规则包括：所述第一访问控制规则和所述第二访问控制规则。

另外，对于终端和SDP控制策略器之间新增的控制消息，包括连接建立通知消息与连接终止通知消息的传递，可以进行完整性与机密性保护，以保证新增控制消息本身的安全性。其具体实现方式本申请对此不作限定。例如，可以借助既有SPA认证请求消息的安全保护机制，采用终端应用与SDP策略控制器之间固有的信任状来实施，包括且不限于：数字证书、用户口令或密钥等。

本发明提供的访问控制方法，针对现有SDP框架中基于单包授权的访问控制方法进行了改进，通过终端侧主动监控到的远程访问的状态消息与SDP策略控制器和网络防火墙的交互，精准控制网络防火墙上相应的访问控制规则的打开与关闭，进而能够保证在终端应用访问网络服务的整个生命周期。进一步地，在访问连接的创建和访问连接会话的维护阶段，通过在网络防火墙上同步动态维护不同类型的访问控制规则，从而使得网络防火墙实现了对合法终端访问流量的全生命周期保护，且保护的时间窗口与实际访问严格同步一致。

为了有效实施本发明的访问控制方法，本发明还提供了一种终端，包括终端应用以及安全代理模块。其中，安全代理模块与应用一起部署在终端上，安全代理模块可通过内部接口实时感知和监控和应用访问网络服务的会话在整个生命周期中的状态；同时，安全代理模块可根据会话连接的状态变化，构造期望的访问控制准入和拒绝规则信息通知SDP策略控制器。SDP策略控制器根据来自安全代理的上述请求，向网络防火墙下达访问控制规则的创建、删除等指令，触发网络防火墙调整数据报文准入规则。

图4为本发明实施例提供的包含部署了安全代理的终端的访问控制系统的示意性框图，访问控制系统具体包括：终端、策略控制器、网络防火墙、目标服务器，且终端内部署了多个终端应用以及安全代理。

请参照图5，图5为本发明实施例提供的一种应用于终端的访问控制方法的流程示意图，具体包括步骤S201至步骤S202。图6为本发明实施例提供的基于终端内的安全代理模块与应用与访问控制系统其它各部件的场景示意图。

步骤S201、在向目标服务器发起访问时，发送单包授权认证报文至策略控制器，以使所述策略控制器根据对所述单包授权认证报文的验证结果通知所述网络防火墙生成第一访问控制规则；其中，所述第一访问控制规则用于所述目标服务器对所述终端暴露服务端口；

具体的，终端上电后，安全代理模块会启动对合法终端应用的监控，监控其对外部网络目标服务器的访问行为。其中，安全代理模块对终端应用监控的实现存在多种可选的方式，包括且不限于：通过在系统内核或网卡设备上嗅探终端应用与外部系统交互的报文从而还原会话连接的状态、或者在一些嵌入式应用场景下，安全代理与应用直接交互，订阅其发起网络访问的连接事务启动和停止信息。

当有合法终端应用向网络服务器发起访问时，会触发安全代理模块构造并发送SPA认证报文，SDP策略控制器收到报文会进行认证：如果认证通过，再进行授权，并根据授权结果通知网络防火墙创建第一访问控制规则，即允许网络服务器对该终端暴露。需要说明是，网络防火墙需要开启默认丢弃模式。

第一访问控制规则为三元组或四元组，在三元组的场景下，仅允许满足所述终端的目标服务器的IP地址+目标服务端口+协议类型特征的报文的准入，对于终端的源端口与终端的源IP地址没有限制；在四元组的场景下，仅允许满足所述终端的源IP地址+目标服务器的IP地址+目标服务端口+协议类型特征的报文的准入，对于终端的源端口没有限制。

步骤S202、基于所述第一访问控制规则与所述目标服务器建立会话连接，并发送连接建立通知消息给所述策略控制器，以使所述策略控制器通知所述网络防火墙生成第二访问控制规则并删除所述第一访问控制规则；其中，所述第二访问控制规则用于所述目标服务器对所述终端的应用进行准入管理。

根据防火墙创建的第一访问控制规则，终端上的应用可以作为客户端与网络侧目标服务器之间启动建链流程，若成功建立会话连接，安全代理模块通过监控感知到终端应用已与网络服务成功建立会话连接，记录会话连接的特征信息，例如TCP连接的五元组特征(源IP+源端口+目标IP+服务端口+协议类型)，并构造连接建立通知消息通知SDP策略控制器。

SDP策略控制器收到终端的应用已经与目标服务器已连接建立的通知消息，通知网络防火墙增加与已建立连接的特征信息严格对应访问的控制规则条目，从而对终端的应用进行网络准入调整。具体地，所述策略控制器通知所述网络防火墙生成第二访问控制规则，并删除用于暴露服务端口的第一访问控制规则。

所述第二访问控制规则为包括：终端的源IP地址+终端的源端口+目标服务器的IP地址+服务端口+协议类型对应的访问控制规则。示例性地，所述协议类型可以为TCP、UDP，以及其他由终端的具体应用确定的通信协议。

至此，网络防火墙将仅允许已建立访问会话连接对应的报文通过，同时由于关闭了服务暴露端口的准入，服务端口又恢复了隐藏状态。

后续，当所述终端应用与网络服务之间的所述访问会话终结，安全代理模块通过监测本终端中应用访问网络服务的连接状态感知到会话连接终止，则构造连接终止通知消息通知SDP策略控制器，其中包含了会话连接的特征信息。

SDP策略控制器收到连接终止通知消息，再次进行网络准入调整处理，通知网络防火墙删除该会话连接对应的第二访问控制规则。具体地，在与所述目标服务器的会话连接终止时，发送连接中止通知消息给所述策略控制器，以使所述策略控制器通知所述网络防火墙删除所述第二访问控制规则。

随着合法终端应用针对网络服务的单次访问结束，网络防火墙将同步调整准入规则并丢弃与该次访问特征对应的任何报文，从而避免了伪造与重放攻击。

本发明提供的访问控制方法，通过由内置于终端中的安全代理模块作为控制网络防火墙报文准入的源头，保证了网络防火墙上所配置的访问控制规则对应真实合法的访问报文，避免了来自网络侧的恶意伪造报文通过欺骗叩开防火墙的可能性。

为了更好地阐释本发明的访问控制方法，将本发明分别应用于通用终端在远程安全接入环境下基于单包授权的访问控制处理，以及专用的嵌入式设备终端在远程安全接入环境下基于单包授权的访问控制处理。这两个实施例的差异仅在于安全代理感知和监控应用访问网络的会话状态的技术手段有所差异而已。

实施例一

请参照图7，图7为实施本实施例一提供的访问控制方法的一场景示意图，如图7所示，本实施例演示的是通用终端在远程安全接入环境下基于单包授权的访问控制处理。

需要说明的是，网络防火墙需要开启默认丢弃模式。

步骤1、终端侧安全代理预先配置合法应用的白名单，白名单中包括应用程序名称特征、以及访问网络所需要的通信协议类型等。应用程序启动，向安全代理注册，安全代理通过白名单对比确认其为合法的应用后，开始监控其对外部网络的访问行为。在本实施例中，可假定应用访问网络服务是基于TCP协议，并假定终端是基于Linux与Windows等通用操作系统，安全代理可通过周期性调用操作系统提供的netstat命令来获取当前内核IP协议栈中的网络协议连接的状态与归属的应用程序。

步骤2、当终端应用向网络服务器发起访问时，会触发安全代理模块构造并发送SPA认证报文，SDP策略控制器收到报文会进行认证：如果认证通过，再进行授权，并根据授权结果通知网络防火墙创建第一访问控制规则：针对该源IP地址+目标IP+目标服务端口+协议类型的四元组特征的访问控制规则，即允许服务对该终端暴露。可选地，系统还可以针对该第一访问控制规则设置超时窗口，如果超时则强制老化并删除第一访问控制规则，使得服务端口能够重新恢复至隐身状态。

步骤3、该终端应用作为客户端与网络侧服务器之间启动TCP建链流程，并在所述第一访问控制规则老化之前成功建立会话连接。

步骤4，终端侧的安全代理模块通过步骤2所述的方法实时监控并感知到终端应用已与网络服务成功建立会话TCP连接，记录会话连接的特征信息，即TCP连接的五元组特征(源IP+源端口+目标IP+服务端口+协议类型)，并构造连接建立通知消息通知SDP策略控制器。可选地，其中连接建立通知消息可用终端与SDP策略控制器之间固有的信任状进行机密性和完整性保护，机制与SPA认证报文的保护相同。

步骤5、SDP策略控制器收到连接建立通知消息，如果是经过安全保护的报文，要进行解密和完整性校验并恢复明文，然后根据消息内容进行网络准入调整处理，通知网络防火墙增加与已建立连接的特征信息严格对应访问控制规则条目，即与所建TCP连接的五元组特征(源IP+源端口+目标IP+服务端口+协议类型)对应的第二访问控制规则，并删除用于服务端口暴露的第一访问控制规则条目。

可选地，针对后续因网络中断或所述终端故障，安全代理因无法通知SDP控制器访问会话连接异常终止而导致所建的第二访问控制规则无法删除的异常场景，SDP控制器与网络防火墙也可增加保护机制，针对所述第二访问控制规则设置老化超时时间窗口，当超时发生，且该访问控制规则在后续若干统计周期内无匹配报文通过，则网络防火墙可自主将所述第二访问控制规则删除。

至此，网络防火墙将仅允许已建立访问会话连接的报文通过，同时由于关闭了服务暴露端口的准入，服务端口又恢复了隐藏状态。由于相对于第一访问控制规则，第二访问控制规则是更加偏严的准入规则，它仅允许合法应用连接会话报文通过；所以用第二访问控制规则取代第一访问控制规则，能有效杜绝恶意攻击者利用服务端口暴露，伪造源IP地址或利用源端口的不确定性来伪造可绕过网络防火墙的报文对网络服务实施攻击；并使服务端口暴露的时长与真正建立连接所花费的时间跨度完全一致，避免了恶意攻击者利用多余的时间窗口进行探测攻击。

步骤6、当所述终端应用与网络服务之间的所述访问会话终结，安全代理通过步骤2所述的方法实时监控并感知到所述会话连接终止，则构造连接终止通知消息通知SDP策略控制器，其中包含了该会话连接的特征信息，例如TCP连接的五元组特征(源IP+源端口+目标IP+服务端口+协议类型)。可选地，所述连接终止通知消息可用终端与SDP策略控制器之间固有的信任状进行机密性和完整性保护，机制与SPA认证报文的保护相同。

步骤7、SDP策略控制器收到连接终止通知消息，如果是经过安全保护的报文，要进行解密和完整性校验并恢复明文，然后根据消息内容再次进行网络准入调整处理，通知网络防火墙删除该连接对应的第二访问控制规则。

至此，随着合法终端应用针对网络服务的单次访问结束，网络防火墙将同步调整准入规则并丢弃与该次访问特征对应的任何报文，从而避免了伪造与重放攻击。

实施例二

请参照图8，图8为实施本实施例二提供的访问控制方法的一场景示意图，在本实施例中，终端具体为专用的嵌入式设备终端。

由于在典型的嵌入式环境中，通信协议使用厂家自研的简化用户态协议栈处理，连接状态由应用直接控制，且系统的计算资源极为有限。因此，关于网络连接的状态，需要安全代理直接向应用订阅网络连接状态。

需要说明的是，网络防火墙需要开启默认丢弃模式。

步骤1、终端侧应用程序启动，向安全代理注册，安全代理向应用题订阅其网络访问连接的信息，开始由此监控其对外部网络的访问行为。

步骤2、终端应用向网络服务器发起访问。由于安全代理已订阅了应用的连接状态，因此应用会将访问连接建立请求提前通知安全代理，触发安全代理模块构造并发送SPA认证报文，SDP策略控制器收到报文会进行认证：如果认证通过，再进行授权，并根据授权结果通知网络防火墙创建第一访问控制规则：针对该源IP地址+目标IP地址+目标服务端口+协议类型四元组特征的访问控制规则(ACL RULE)，即允许服务对该终端暴露。同时，系统设置该第一访问控制规则的超时窗口，如果超时则强制老化并删除第一访问控制规则，使得服务重新恢复至隐身状态，结束处理。

步骤3、该终端应用作为客户端与网络侧服务器之间启动访问会话连接的建立流程，并在所述第一访问控制规则老化之前成功建立会话连接。

步骤4、终端侧的安全代理模块通过应用的订阅通知机制，从终端应用获知成功建立访问会话连接，记录会话连接的特征信息，例如连接的五元组特征(源IP+源端口+目标IP+服务端口+协议类型)，并构造连接建立通知消息通知SDP策略控制器。可选地，其中连接建立通知消息可用终端与SDP策略控制器之间固有的信任状进行机密性和完整性保护，机制与SPA认证报文的保护相同。

步骤5、SDP策略控制器收到连接建立通知消息，如果是经过安全保护的报文，要进行解密和完整性校验并恢复明文，然后根据消息内容进行网络准入调整处理，即通知网络防火墙增加已建立会话连接特征严格对应的访问控制规则条目，即与所建会话连接的五元组特征(源IP+源端口+目标IP+服务端口+协议类型)对应的第二访问控制规则，并删除步骤b中所述的用于服务端口暴露的第一访问控制规则。

可选地，针对后续因网络中断或所述终端故障，安全代理因无法通知SDP控制器访问会话连接异常终止而导致所建的第二访问控制规则无法删除的异常场景，SDP控制器与网络防火墙也可增加保护机制，针对所述第二访问控制规则设置老化超时时间窗口，当超时发生，且该访问控制规则在后续若干统计周期内无匹配报文通过，则网络防火墙可自主将所述第二访问控制规则删除。

至此，网络防火墙将仅允许已建立访问会话连接的报文通过，同时由于关闭了服务暴露端口的准入，服务端口又恢复了隐藏状态。由于相对于第一访问控制规则，第二访问控制规则是更加偏严的准入规则，它仅允许合法应用连接会话报文通过；所以用第二访问控制规则取代第一访问控制规则，能有效杜绝恶意攻击者利用服务端口暴露，伪造源IP地址或利用源端口的不确定性来伪造可绕过网络防火墙的报文对网络服务实施攻击；并使服务端口暴露的时长与真正建立连接所花费的时间跨度完全一致，避免了恶意攻击者利用多余的时间窗口进行探测攻击。

步驟6、当所述终端应用与网络服务之间的所述访问会话终结，安全代理通过应用的订阅通知机制实时监控并感知到所述会话连接终止，则构造连接终止通知消息通知SDP策略控制器，其中包含了该会话连接的特征信息，即会话连接的五元组特征(源IP+源端口+目标IP+服务端口+协议类型)。可选地，所述连接终止通知消息可用终端与SDP策略控制器之间固有的信任状进行机密性和完整性保护，机制与SPA认证报文的保护相同。

步骤7、SDP策略控制器收到连接终止通知消息，如果是经过安全保护的报文，要进行解密和完整性校验并恢复明文，然后根据消息内容再次进行网络准入调整处理，通知网络防火墙删除该连接对应的第二访问控制规则。

至此，随着合法终端应用针对网络服务的单次访问结束，网络防火墙将同步调整准入规则并丢弃与该次访问特征对应的任何报文，从而避免了伪造与重放攻击。

本发明实施例提供的访问控制方法，至少能够实现以下有益效果：1、对对现有SDP框架中基于单包授权的访问控制方法进行了改进，通过在访问终端中植入可感知终端应用访问网络服务状态的安全代理模块，并通过与SDP策略控制器和网络防火墙的交互，精准控制网络防火墙上相应的访问控制规则的打开与关闭，提升了网络服务的隐藏性，不给恶意攻击者留下探测与攻击的额外时间窗口。2、在终端应用访问网络服务的整个生命周期内，在访问连接的创建和访问连接会话的维护阶段，通过在网络防火墙上同步动态维护不同类型的访问控制规则，从而使得网络防火墙实现了对合法网络访问流量的全生命周期保护，且保护的时间窗口与实际访问严格同步一致。不但保证了网络防火墙对于每次网络访问的保护严格贯穿与访问的整个生命周期，提高了访问的安全性，而且访问控制策略高效全自动化实施，无须人工干预配置网络防火墙。3、通过在终端侧监控网络访问会话连接的状态变化并网络防火墙同步调整访问控制规则，可真实反映合法的终端应用访问网络服务的场景与诉求，避免被恶意攻击者伪造的网络访问报文欺骗，提高了SDP系统的可信性。

请参阅图9，图9为本发明实施例提供的一种终端的结构示意性框图。

如图9所示，终端300包括处理器301和存储器302，处理器301和存储器302通过总线303连接，该总线比如为I2C(Inter-integrated Circuit)总线。

具体地，处理器301用于提供计算和控制能力，支撑整个终端的运行。处理器301可以是中央处理单元(Central Processing Unit，CPU)，该处理器301还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(ApplicationSpecific Integrated Circuit，ASIC)、现场可编程门阵列(Field-Programmable GateArray，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中，通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

具体地，存储器302可以是Flash芯片、只读存储器(ROM，Read-Only Memory)磁盘、光盘、U盘或移动硬盘等。

本领域技术人员可以理解，图9中示出的结构，仅仅是与本发明实施例方案相关的部分结构的框图，并不构成对本发明实施例方案所应用于其上的终端的限定，具体的服务器可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

其中，所述处理器用于运行存储在存储器中的计算机程序，并在执行所述计算机程序时实现本发明实施例提供的任意一种所述的访问控制方法。

在一实施例中，所述处理器用于运行存储在存储器中的计算机程序，并在执行所述计算机程序时实现如下步骤：

在向目标服务器发起访问时，发送单包授权认证报文至策略控制器，以使所述策略控制器根据对所述单包授权认证报文的验证结果通知所述网络防火墙生成第一访问控制规则；其中，所述第一访问控制规则用于所述目标服务器对所述终端暴露服务端口服务端口；

基于所述第一访问控制规则与所述目标服务器建立会话连接，并发送连接建立通知消息给所述策略控制器，以使所述策略控制器通知所述网络防火墙生成第二访问控制规则并删除所述第一访问控制规则；其中，所述第二访问控制规则用于所述目标服务器对所述终端的应用进行准入管理。

在一实施例中，所述处理器在实现访问控制方法时，用于实现：在与所述目标服务器的会话连接终止时，发送连接中止通知消息给所述策略控制器，以使所述策略控制器通知所述网络防火墙删除所述第二访问控制规则。

在一实施例中，所述处理器在实现访问控制方法时，用于实现：通过从所述终端的操作系统进行API调用和/或通过向所述终端的应用订阅通知机制，来监控所述终端的应用向所述目标服务器的访问行为和访问状态。

在一实施例中，所述处理器在实现访问控制方法时，用于实现：所述第一访问控制规则包括：所述目标服务器的IP地址，所述服务端口及协议类型。所述第二访问控制规则包括：所述终端的IP地址、所述终端的源端口、所述目标服务器的IP地址，所述服务端口及所述协议类型。

需要说明的是，所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的终端的具体工作过程，可以参考前述访问控制方法实施例中的对应过程，在此不再赘述。

本发明实施例还提供一种访问控制系统，所述访问控制系统包括：终端、策略控制器、网络防火墙和目标服务器；所述终端、策略控制器、网络防火墙和目标服务器用于共同执行所述计算机程序时实现本发明实施例提供的任意一种所述的访问控制方法。

在一实施例中，所述访问控制系统用于运行存储在存储器中的计算机程序，并在执行所述计算机程序时实现如下步骤：

在所述终端向所述目标服务器发起访问时，发送单包授权认证报文至所述策略控制器；

所述策略控制器根据对所述单包授权认证报文的验证结果通知所述网络防火墙生成第一访问控制规则；其中，所述第一访问控制规则用于所述目标服务器对所述终端暴露服务端口；

所述终端基于所述第一访问控制规则与所述目标服务器建立会话连接，并发送连接建立通知消息给所述策略控制器；

所述策略控制器通知所述网络防火墙生成第二访问控制规则并删除所述第一访问控制规则；其中，所述第二访问控制规则用于所述目标服务器对所述终端的应用进行准入管理。

在一实施例中，所述访问控制系统在实现访问控制方法时，用于实现：所述终端与所述目标服务器的会话连接终止时，发送连接中止通知消息给所述策略控制器；所述策略控制器通知所述网络防火墙删除所述第二访问控制规则。

在一实施例中，所述访问控制系统在实现访问控制方法时，用于实现：对所述终端与所述策略控制器之间的消息进行加密性保护和完整性校验；其中，所述消息包括：所述连接建立通知消息和所述连接中止通知消息。

在一实施例中，所述访问控制系统在实现访问控制方法时，用于实现：在所述网络防火墙生成访问控制规则之后，若在预设周期内未收到符合所述访问控制规则的报文，开始启动定时器，若在所述定时器到期之后，还未收到符合所述访问控制规则的报文，所述网络防火墙自动删除所述访问控制规则；其中，所述访问控制规则包括：所述第一访问控制规则和所述第二访问控制规则。

在一实施例中，所述访问控制系统在实现访问控制方法时，用于实现：所述第一访问控制规则包括：所述目标服务器的IP地址，所述服务端口及协议类型。所述第二访问控制规则包括：所述终端的IP地址、所述终端的源端口、所述目标服务器的IP地址，所述服务端口及所述协议类型。

本发明实施例还提供一种存储介质，用于计算机可读存储，所述存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现如本发明实施例说明书提供的任一项访问控制方法的步骤。

其中，所述存储介质可以是前述实施例所述的终端的内部存储单元，例如所述终端的硬盘或内存。所述存储介质也可以是所述终端的外部存储设备，例如所述终端上配备的插接式硬盘，智能存储卡(Smart Media Card，SMC)，安全数字(Secure Digital，SD)卡，闪存卡(Flash Card)等。

本领域普通技术人员可以理解，上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施例中，在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分；例如，一个物理组件可以具有多个功能，或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器，如中央处理器、数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。这样的软件可以分布在计算机可读介质上，计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的，术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。

应当理解，在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。以上所述，仅为本发明的具体实施例，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。

Claims (12)

1.一种访问控制方法，其特征在于，应用于终端，包括：

在向目标服务器发起访问时，发送单包授权认证报文至策略控制器，以使所述策略控制器根据对所述单包授权认证报文的验证结果通知网络防火墙生成第一访问控制规则；其中，所述第一访问控制规则用于所述目标服务器对所述终端暴露服务端口；

基于所述第一访问控制规则与所述目标服务器建立会话连接，并发送连接建立通知消息给所述策略控制器，以使所述策略控制器通知所述网络防火墙生成第二访问控制规则并删除所述第一访问控制规则；其中，所述第二访问控制规则用于所述目标服务器对所述终端的应用进行准入管理。

2.根据权利要求1所述的访问控制方法，其特征在于，在所述基于所述第一访问控制规则与所述目标服务器建立会话连接的步骤之后，还包括：

在与所述目标服务器的会话连接终止时，发送连接中止通知消息给所述策略控制器，以使所述策略控制器通知所述网络防火墙删除所述第二访问控制规则。

3.根据权利要求1所述的访问控制方法，其特征在于，在所述向目标服务器发起访问之前，还包括：

通过从所述终端的操作系统进行API调用和/或通过向所述终端的应用订阅通知机制，来监控所述终端的应用向所述目标服务器的访问行为和访问状态。

4.根据权利要求1-3任一项所述的访问控制方法，其特征在于，

所述第一访问控制规则包括：所述目标服务器的IP地址，所述服务端口及协议类型；

所述第二访问控制规则包括：所述终端的IP地址、所述终端的源端口、所述目标服务器的IP地址，所述服务端口及所述协议类型。

5.一种访问控制方法，其特征在于，应用于访问控制系统，所述访问控制系统包括：终端、策略控制器、网络防火墙、目标服务器；

在所述终端向所述目标服务器发起访问时，发送单包授权认证报文至所述策略控制器；

所述策略控制器根据对所述单包授权认证报文的验证结果通知所述网络防火墙生成第一访问控制规则；其中，所述第一访问控制规则用于所述目标服务器对所述终端暴露服务端口；

所述终端基于所述第一访问控制规则与所述目标服务器建立会话连接，并发送连接建立通知消息给所述策略控制器；

所述策略控制器通知所述网络防火墙生成第二访问控制规则并删除所述第一访问控制规则；其中，所述第二访问控制规则用于所述目标服务器对所述终端的应用进行准入管理。

6.根据权利要求5所述的访问控制方法，其特征在于，还包括：

所述终端与所述目标服务器的会话连接终止时，发送连接中止通知消息给所述策略控制器；

所述策略控制器通知所述网络防火墙删除所述第二访问控制规则。

7.根据权利要求6所述的访问控制方法，其特征在于，还包括：

对所述终端与所述策略控制器之间的消息进行加密性保护和完整性校验；

其中，所述消息包括：所述连接建立通知消息和所述连接中止通知消息。

8.根据权利要求5所述的访问控制方法，其特征在于，还包括：

在所述网络防火墙生成访问控制规则之后，若在预设周期内未收到符合所述访问控制规则的报文，开始启动定时器，若在所述定时器到期之后，还未收到符合所述访问控制规则的报文，所述网络防火墙自动删除所述访问控制规则；

其中，所述访问控制规则包括：所述第一访问控制规则和所述第二访问控制规则。

9.根据权利要求5-8任一项所述的访问控制方法，其特征在于，

所述第一访问控制规则包括：所述目标服务器的IP地址，所述服务端口及协议类型；

所述第二访问控制规则包括：所述终端的IP地址、所述终端的源端口、所述目标服务器的IP地址，所述服务端口及所述协议类型。

10.一种终端，其特征在于，所述终端包括处理器、存储器、存储在所述存储器上并可被所述处理器执行的计算机程序以及用于实现所述处理器和所述存储器之间的连接通信的数据总线，其中所述计算机程序被所述处理器执行时，实现如权利要求1至4中任一项所述的访问控制方法的步骤。

11.一种访问控制系统，其特征在于，所述访问控制系统包括：终端、策略控制器、网络防火墙和目标服务器；所述终端、策略控制器、网络防火墙和目标服务器用于共同执行如权利要求5至9中任一项所述的访问控制方法的步骤。

12.一种存储介质，用于计算机可读存储，其特征在于，所述存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现权利要求1至9中任一项所述的访问控制方法的步骤。

Images