[发明专利]一种基于零信任策略的访问控制方法及介质

权利要求书

1.一种基于零信任策略的访问控制方法，其特征在于，该方法包括：

接收用户的访问请求消息，所述访问请求消息包括用户信息、受访业务信息和访问协议，所述用户信息表示验证用户身份时所需要的信息，所述受访业务信息表示验证受访业务是否允许被访问时所需要的信息，所述访问协议表示访问受访业务所采用的协议类型；所述受访业务信息包括受访地址、受访路径和受访端口号；

判别所述访问协议的类型；

响应于所述访问协议属于七层网络协议，将所述用户信息和所述受访业务信息与事先设置的七层访问控制信息进行比对，比对通过时，则允许所述访问请求消息按照七层网络协议对所述受访业务进行访问，所述七层访问控制信息表示按照七层网络协议访问时需要验证的信息；所述七层访问控制信息包括第一领域层、第一服务层和第一策略层；所述第一领域层包括第一地址信息，所述第一领域层表示受访业务所在领域的地址；所述第一服务层包括第一协议、第一子地址、第一端口号，所述第一服务层表示受访业务提供的服务；所述第一策略层包括第一策略资源子层、第一策略主体子层、第一策略环境子层，所述第一策略层表示访问受访业务需配置的策略；所述第一策略资源子层包括表示访问受访业务路径的第一路径，所述第一策略主体子层包括表示允许访问所述受访业务的第一授权主体信息，所述第一策略环境子层包括表示访问受访业务时所处环境的第一环境信息；

响应于所述访问协议属于四层网络协议，将所述用户信息和所述受访业务信息与事先设置的四层访问控制信息进行比对，比对通过时，则允许所述访问请求消息按照四层网络协议对所述受访业务进行访问，所述四层访问控制信息表示按照四层网络协议访问时需要验证的信息。

2.根据权利要求1所述的方法，其特征在于，所述接收用户的访问请求消息的步骤包括：

网关接收到用户的所述访问请求消息，获取所述用户信息、所述受访业务信息和所述访问协议，并将所述访问请求消息转发给决策中心；

所述决策中心接收所述访问请求消息，获取所述用户信息、所述受访业务信息和所述访问协议。

3.根据权利要求2所述的方法，其特征在于，所述响应于所述访问协议属于七层网络协议，将所述用户信息和所述受访业务信息与事先设置的七层访问控制信息进行比对，比对通过时，则允许所述访问请求消息按照七层网络协议对所述受访业务进行访问的步骤包括：

所述决策中心从数据库获取所述七层访问控制信息；

所述决策中心将所述受访业务信息与所述七层访问控制信息进行比对，比对通过时，继续执行后续步骤；否则，所述决策中心向所述网关返回拒绝访问的消息，所述网关向用户返回所述拒绝访问的消息，并结束所述响应于所述访问协议属于七层网络协议的步骤；

所述决策中心将所述用户信息和所述七层访问控制信息进行比对，比对通过时，所述决策中心向所述网关返回允许访问的消息；所述网关将所述访问请求消息转发给受访业务，并将所述受访业务返回的业务消息转发给用户，以实现用户对受访业务的访问；否则，所述决策中心向所述网关返回拒绝访问的消息，所述网关向用户返回所述拒绝访问的消息，并结束所述响应于所述访问协议属于七层网络协议的步骤。

4.根据权利要求3所述的方法，其特征在于，所述决策中心将所述受访业务信息与所述七层访问控制信息进行比对的步骤包括：

所述决策中心判别所述第一领域层的第一地址信息中是否记录有所述受访地址，如果有，则继续执行；否则，确认比对未通过；

所述决策中心判别所述第一服务层的第一端口号中记录有所述受访端口号，且所述第一端口号对应的所述第一协议为所述访问协议，所述第一端口号对应的第一子地址为所述受访地址，如果均通过，则继续执行；否则，确认比对未通过；

所述决策中心判别所述第一策略资源子层的第一路径中是否记录有所述受访路径，如果有，则继续执行；否则，确认比对未通过；

所述决策中心将所述用户信息和所述七层访问控制信息进行比对的步骤包括：所述决策中心判别所述第一策略主体子层的第一授权主体信息是否记录有所述用户信息，如果有，则继续执行；否则，确认比对未通过。