一种控制访问权限的方法及系统技术方案

本发明专利技术公开了一种控制访问权限的方法及系统，所述方法包括：接收由SDP框架中的连接发起主机发送的身份验证请求；其中，所述身份验证请求包括：所述连接发起主机的身份识别信息；从第三方环境风险感知平台中获取与所述身份识别信息对应的风险信息；根据所述风险信息对所述连接发起主机进行身份验证，并在身份验证通过的情况下，在SDP框架中确定出所述连接发起主机可访问的连接接受主机列表；为所述身份识别信息配置密钥算法对，并根据所述风险信息配置所述密钥算法对的有效期；将所述连接接受主机列表、所述密钥算法对和所述有效期发送至所述连接发起主机；本发明专利技术能够避免密钥算法对的泄露风险，并保障访问隐藏服务的安全性。

A method and system of access control

【技术实现步骤摘要】
一种控制访问权限的方法及系统
本专利技术涉及网络安全
，特别涉及一种控制访问权限的方法及系统。
技术介绍
在现有的SDP(SoftwareDefinedPerimeter，软件定义边界)框架中，包括连接发起主机、控制器和连接接受主机；控制器用于对连接发起主机和连接接受主机进行身份验证，并确定出连接发起主机可访问的连接接受主机；在连接发起主机与连接接受主机建立业务链接之前，连接发起主机会向连接接受主机发送SPA(SinglePacketAuthorization，单包授权)包；其中，在所述SPA包中包括根据密钥算法对生成的动态口令，以通过该动态口令进行访问权限控制；但是，在标准的SDP框架中，密钥算法对是不变的，一旦密钥算法对发生泄漏就可能会造成隐藏在连接接受主机上的业务服务被攻击的风险；此外，在标准的SDP框架中，若在建立业务链接之后连接发起主机被劫持，则也会造成隐藏在连接接受主机上的业务服务被攻击的风险；因此，在SDP框架中如何保证访问隐藏服务的安全性，成为本领域技术人员亟需解决的技术问题。专利技术内容本专利技术本文档来自技高网...

【技术保护点】
1.一种控制访问权限的方法，其特征在于，应用于SDP框架中的控制器，所述方法包括：/n接收由SDP框架中的连接发起主机发送的身份验证请求；其中，所述身份验证请求包括：所述连接发起主机的身份识别信息；/n从第三方环境风险感知平台中获取与所述身份识别信息对应的风险信息；/n根据所述风险信息对所述连接发起主机进行身份验证，并在身份验证通过的情况下，在SDP框架中确定出所述连接发起主机可访问的连接接受主机列表；/n为所述身份识别信息配置密钥算法对，并根据所述风险信息配置所述密钥算法对的有效期；/n将所述连接接受主机列表、所述密钥算法对和所述有效期发送至所述连接发起主机，以供所述连接发起主机在所述有效期...

【技术特征摘要】
1.一种控制访问权限的方法，其特征在于，应用于SDP框架中的控制器，所述方法包括：
接收由SDP框架中的连接发起主机发送的身份验证请求；其中，所述身份验证请求包括：所述连接发起主机的身份识别信息；
从第三方环境风险感知平台中获取与所述身份识别信息对应的风险信息；
根据所述风险信息对所述连接发起主机进行身份验证，并在身份验证通过的情况下，在SDP框架中确定出所述连接发起主机可访问的连接接受主机列表；
为所述身份识别信息配置密钥算法对，并根据所述风险信息配置所述密钥算法对的有效期；
将所述连接接受主机列表、所述密钥算法对和所述有效期发送至所述连接发起主机，以供所述连接发起主机在所述有效期内根据所述密钥算法对生成动态口令，并将包含所述动态口令的SPA授权包按照所述连接接受主机列表发送至对应的连接接受主机。


2.根据权利要求1所述的控制访问权限的方法，其特征在于，所述方法还包括：
在身份验证失败的情况下，根据所述风险信息确定出导致身份验证失败的风险因素，并将所述风险因素发送至所述连接发起主机，以供所述连接发起主机根据所述风险因素进行安全维护。


3.根据权利要求1所述的控制访问权限的方法，其特征在于，在所述将所述连接接受主机列表、所述密钥算法对和所述有效期发送至所述连接发起主机的步骤之后，所述方法还包括：
当所述密钥算法对失效时，接收由所述连接发起主机发送的更新请求；
为所述身份识别信息配置新的密钥算法对；
将所述新的密钥算法对发送至所述连接发起主机。


4.根据权利要求1所述的控制访问权限的方法，其特征在于，在所述将所述连接接受主机列表、所述密钥算法对和所述有效期发送至所述连接发起主机的步骤之后，所述方法还包括：
接收由所述连接接受主机发送的授权访问消息；其中，所述授权访问消息是根据所述SPA授权包生成的，所述授权访问消息包括：身份识别信息和动态口令；
根据所述授权访问消息中的身份识别信息查找到对应的密钥算法对，并根据查找到的密钥算法对生成动态口令；
将生成的动态口令与所述授权访问消息中的动态口令进行比对；
若一致，则向所述连接接受主机发送允许访问消息，以供所述连接接受主机向所述连接发起主机提供访问端口；若不一致，则向所述连接接受主机发送拒绝访问消息。


5.根据权利要求4所述的控制访问权限的方法，其特征在于，在所述向所述连接接受主机发送允许访问消息的步骤之后，所述方法还包括：
通过所述第三方环境风险感知平台实时获取所述连接发起主机的风险信息；
当根据所述风险信息判断出所述连接发起主机存在安全风险时，向所述连接接受主机发送禁止访问消息，以供所述连接接受主机关闭所述访问端口。


6.一种控制访问权限的方法，其特征在于，应用于SDP框架中的连接发起主机，所述方法包括：
向SDP框架中的控制器发送包含所述连接发起主机的身份识别信息的身份验证请求，以供所述控制器通过第三方环境风险感知平台获取与所述身份识别信息对应的风险信息，并根据所述风险信息对所述连接发起主机进行身份验证；
在所述控制器确认身份验证通过的情况下，接收由所述控制器发送的连接接受主机列表、密钥算法对和有效期；其中，所述控制器在SDP框架中确定出所述连接发起主机可访问的连接接受主机列表，为所述身份识别信息配置密钥算法对，并根据所述风险信息配置所述密钥算法对的有效期；
当需要向所述连接接受主机列表中的连接接受主机发送SPA授权包时，判断所述密钥算法对是否在有效期内，若是，则根据所述密码算法对生成动态口令，并将包含所述动态口令的SPA授权包按照所述连接接受主机列表发送至对应的连接接受主机。


7.根据权利要求6所述的控制访问权限的方法，其特征在于，所述方法还包括：
当所述密钥算法对失效时，向所述控制器发...

【专利技术属性】
技术研发人员：刘成伟，张泽洲，魏勇，简明，
申请(专利权)人：奇安信科技集团股份有限公司，网神信息技术北京股份有限公司，
类型：发明
国别省市：北京;11