[发明专利]一种安全访问控制系统和方法

权利要求书

1.一种安全访问控制系统，其特征在于，包含：

终端零信任代理，用于获取用户身份认证信息，与访问控制器建立双向连接通路；从访问控制器获取应用网关端口信息后、与应用网关建立双向连接通路；向应用网关发送应用网关访问请求、待访问控制器进行应用网关身份认证后、访问所述应用网关；

访问控制器，用于，

与所述终端零信任代理建立双向连接，根据所述终端零信任代理发送的用户身份认证信息向零信任安全控制中心发送用户身份认证请求并获取用户权限；

根据所述终端零信任代理发送的应用网关端口请求信息，回传所述应用网关端口信息；

根据应用网关发送的网关身份认证请求和所述用户权限，对所述终端零信任代理要访问的应用网关进行身份认证，认证成功后向所述应用网关发送允许访问通知；

应用网关，用于与所述终端零信任代理建立双向连接通路；根据终端零信任代理发送的所述应用网关访问请求，向访问控制器发送所述网关身份认证请求；根据接收的所述允许访问通知，允许所述终端零信任代理访问；

零信任安全控制中心，用于对所述访问控制器发送的用户身份认证请求进行用户身份认证和用户权限认证，回传用户权限。

2.如权利要求1所述的安全访问控制系统，其特征在于，

所述终端零信任代理，还用于采用单包授权敲门技术，与所述访问控制器和应用网关建立双向加密连接通路；

所述访问控制器，还用于支持所述终端零信任代理采用单包授权敲门技术打开所述访问控制器的敲门端口，与所述终端零信任代理建立双向连接。

3.如权利要求1所述的安全访问控制系统，其特征在于，所述访问控制器，根据所述用户权限对所述终端零信任代理仅发送权限范围内的用户网关端口信息。

4.如权利要求1所述的安全访问控制系统，其特征在于，所述终端零信任代理，还用于拦截用户非法的应用网关访问请求。

5.如权利要求1所述的安全访问控制系统，其特征在于，所述用户身份认证信息包含用户密码认证信息和或用户生物特征信息。

6.如权利要求1所述的安全访问控制系统，其特征在于，所述应用网关支持HTTP/HTTPS访问和SSL隧道访问。

7.如权利要求1所述的安全访问控制系统，其特征在于，所述终端零信任代理采用终端环境感知及设备准入技术获取用户身份认证信息。

8.一种安全访问控制方法，使用权利要求1～7任一项所述系统，其特征在于，包含以下步骤：

通过终端零信任代理获取用户身份认证信息，与访问控制器建立双向连接通路；

通过访问控制器根据所述终端零信任代理发送的用户身份认证信息向零信任安全控制中心发送用户身份认证请求并获取用户权限；

通过终端零信任代理拦截用户直接发送的应用访问请求，向访问控制器发送应用网关端口请求信息，接收应用网关端口信息后，与应用网关建立双向连接通路；

通过终端零信任代理携带用户身份认证信息，向应用网关发送应用网关访问请求；

通过访问控制器，对所述终端零信任代理要访问的应用网关进行身份认证，认证成功后向所述应用网关发送允许访问通知；

通过应用网关接收访问控制器发送的允许访问通知，允许终端零信任代理访问应用网关。

9.一种计算机可读介质，所述计算机可读介质上存储计算机程序，所述计算机程序被处理器执行时实现如权利要求8所述的方法的步骤。

10.一种电子设备，包括存储器，处理器及存储在存储器上并可在处理器运行的计算机程序，所述处理器执行所述计算机程序时实现如如权利要求8所述方法的步骤。