[发明专利]一种基于零信任策略的访问控制方法及介质

说明书

本申请公开了一种基于零信任策略的访问控制方法、系统及介质，包括：接收用户的访问请求消息，访问请求消息包括用户信息、受访业务信息和访问协议；判别访问协议的类型；响应于访问协议属于七层网络协议，将用户信息和所述受访业务信息与事先设置的七层访问控制信息进行比对，比对通过时，则允许访问请求消息按照七层网络协议对受访业务进行访问；响应于访问协议属于四层网络协议，将用户信息和受访业务信息与事先设置的四层访问控制信息进行比对，比对通过时，则允许访问请求消息按照四层网络协议对受访业务进行访问。应用本申请实施例方案，不但保证了网络安全，还考虑了七层和四层不同的网络访问，可以提供全面且安全的访问方式。

技术领域

本申请涉及计算机网络技术领域，尤其涉及一种基于零信任策略的访问控制方法、一种基于零信任策略的访问控制系统、一种计算机可读存储介质、一种电子设备以及一种计算机程序产品。

背景技术

传统的企业网络架构通常是有边界网络，用户通过边界的认证进入内网，容易造成数据泄露或网络攻击等。为了克服该缺陷，目前出现一种称为零信任策略的网络架构概念，用以控制用户对企业内部网络的访问。但现有基于零信任策略的方案还不够成熟，还不能对企业内部网络的访问进行有效地控制。

发明内容

针对上述现有技术，本发明实施例公开一种基于零信任策略的访问控制方法，可以克服网络不安全的缺陷，达到对网络安全有效访问的目的。

鉴于此，本申请实施例提出一种基于零信任策略的访问控制方法，该方法包括：

接收用户的访问请求消息，所述访问请求消息包括用户信息、受访业务信息和访问协议，所述用户信息表示验证用户身份时所需要的信息，所述受访业务信息表示验证受访业务是否允许被访问时所需要的信息，所述访问协议表示访问受访业务所采用的协议类型；

判别所述访问协议的类型；

响应于所述访问协议属于七层网络协议，将所述用户信息和所述受访业务信息与事先设置的七层访问控制信息进行比对，比对通过时，则允许所述访问请求消息按照七层网络协议对所述受访业务进行访问，所述七层访问控制信息表示按照七层网络协议访问时需要验证的信息；

响应于所述访问协议属于四层网络协议，将所述用户信息和所述受访业务信息与事先设置的四层访问控制信息进行比对，比对通过时，则允许所述访问请求消息按照四层网络协议对所述受访业务进行访问，所述四层访问控制信息表示按照四层网络协议访问时需要验证的信息。

进一步地，所述接收用户的访问请求消息的步骤包括：

网关接收到用户的所述访问请求消息，获取所述用户信息、所述受访业务信息和所述访问协议，并将所述访问请求消息转发给决策中心；

所述决策中心接收所述访问请求消息，获取所述用户信息、所述受访业务信息和所述访问协议。

进一步地，所述响应于所述访问协议属于七层网络协议，将所述用户信息和所述受访业务信息与事先设置的七层访问控制信息进行比对，比对通过时，则允许所述访问请求消息按照七层网络协议对所述受访业务进行访问的步骤包括：

所述决策中心从数据库获取所述七层访问控制信息；

所述决策中心将所述受访业务信息与所述七层访问控制信息进行比对，比对通过时，继续执行后续步骤；否则，所述决策中心向所述网关返回拒绝访问的消息，所述网关向用户返回所述拒绝访问的消息，并结束所述响应于所述访问协议属于七层网络协议的步骤；

所述决策中心将所述用户信息和所述七层访问控制信息进行比对，比对通过时，所述决策中心向所述网关返回允许访问的消息；所述网关将所述访问请求消息转发给受访业务，并将所述受访业务返回的业务消息转发给用户，以实现用户对受访业务的访问；否则，所述决策中心向所述网关返回拒绝访问的消息，所述网关向用户返回所述拒绝访问的消息，并结束所述响应于所述访问协议属于七层网络协议的步骤。