[发明专利]一种安全访问控制系统和方法

说明书

本发明公开一种安全访问控制系统，解决现有系统的安全性低和解密成本高问题。所述系统，包含：终端零信任代理，用于获取用户身份认证信息，与访问控制器建立双向连接通路，访问所述应用网关。访问控制器，用于根据所述终端零信任代理发送的用户身份认证信息向零信任安全控制中心发送用户身份认证请求并获取用户权限。所述应用网关，用于与所述终端零信任代理建立双向连接通路；根据终端零信任代理发送的所述应用网关访问请求，向访问控制器发送所述网关身份认证请求。所述零信任安全控制中心，用于对所述访问控制器发送的用户身份认证请求进行用户身份认证和用户权限认证。本申请还包含使用实现所述系统的方法。本发明尤其适用于企业互联网安全。

技术领域

本发明涉及互联网安全技术领域，尤其涉及一种安全访问控制系统和方法。

背景技术

云计算、大数据和移动互联网的快速发展,带来日趋开放和动态的网络边界,快速增长的用户群体,灵活的移动办公模式导致内网边界也日趋复杂与模糊,使得基于边界的传统安全防护体系逐渐失效。企业上云后，传统安全问题及云上的安全防护措施目前缺少整体安全规划和形成统一联动，难以构建业务上云后的全面安全防护体系。传统的网络架构中，网络安全的防护架构重心在内外网之间的网络边界防护检测类上。整体安全防御能力重边界、轻纵深，面对攻击者的横向扩展束手无策。现有的零信任机制存在如下缺点：第一、对于非HTTP(Hyper Text Transfer Protocol，超文本传输协议)的业务，大部分C/S(Client/Server，客户端/服务器)架构的客户端是不支持的，无法满足全场景的办公需求；第二、对于加密请求的解密成本较高，且不易实现精细化的权限控制，针对垂直的Web流量不能基于HTTP协议做到更加细化的访问控制。

发明内容

本发明提供一种安全访问控制系统和方法，解决现有方法的安全性低和解密成本高问题，尤其适用于企业互联网安全。

为解决上述问题，本发明是这样实现的：

本发明实施例提供一种安全访问控制系统，包含：终端零信任代理、访问控制器、应用网关和零信任安全控制中心。

所述终端零信任代理，用于获取用户身份认证信息，与访问控制器建立双向连接通路；从访问控制器获取应用网关端口信息后、与应用网关建立双向连接通路；向应用网关发送应用网关访问请求、待访问控制器进行应用网关身份认证后、访问所述应用网关。

所述访问控制器，用于所述终端零信任代理建立双向连接，根据所述终端零信任代理发送的用户身份认证信息向零信任安全控制中心发送用户身份认证请求并获取用户权限；根据所述终端零信任代理发送的应用网关端口请求信息，回传所述应用网关端口信息；根据应用网关发送的网关身份认证请求和所述用户权限，对所述终端零信任代理要访问的应用网关进行身份认证，认证成功后向所述应用网关发送允许访问通知。

所述应用网关，用于与所述终端零信任代理建立双向连接通路；根据终端零信任代理发送的所述应用网关访问请求，向访问控制器发送所述网关身份认证请求；根据接收的所述允许访问通知，允许所述终端零信任代理访问。

所述零信任安全控制中心，用于对所述访问控制器发送的用户身份认证请求进行用户身份认证和用户权限认证，回传用户权限。

优选地，所述终端零信任代理，还用于采用单包授权敲门技术，与所述访问控制器和应用网关建立双向加密连接通路。所述访问控制器，还用于支持所述终端零信任代理采用单包授权敲门技术打开所述访问控制器的敲门端口，与所述终端零信任代理建立双向连接。

优选地，所述访问控制器，根据所述用户权限对所述终端零信任代理仅发送权限范围内的用户网关端口信息。

优选地，所述终端零信任代理，还用于拦截用户非法的应用网关访问请求。

优选地，所述用户身份认证信息包含用户密码认证信息和或用户生物特征信息。