【技术实现步骤摘要】
访问控制系统、方法、装置及存储介质
[0001]本文涉及安全控制技术,尤指一种访问控制系统、方法、装置及存储介质。
技术介绍
[0002]随着工业互联网标识的逐步推广应用,标识解析开启了一个自主机器和智能过程的崭新时代,正在为我们带来巨大的社会和经济机遇。然而,互联互通必将会带来不可避免的副作用,标识解析体系存储了大量敏感数据,其访问控制安全也就成为工业互联网标识解析体系部署过程中最需要引起关注的问题。
[0003]现有技术中,访问控制系统往往在登录初期对访问者的身份信息进行验证,在后续的访问过程中便可进行直接访问。
[0004]然而,这种访问控制系统,由于只在登录时进行访问者身份信息验证,而在后续访问过程不再限制,因此无法及时对发生风险的访问主体的访问行为进行动态控制。
技术实现思路
[0005]本申请实施例提供了一种访问控制系统、方法、装置及存储介质,能够对访问主体信息进行持续收集并动态评估,因此及时对已发生风险的访问主体实现了访问行为的动态控制。
[0006]本申请提供了一种访问控制系统,包括:
[0007]信任评估引擎,用于周期性采集终端的运行信息和环境信息,并根据预设风险评估策略对获得的运行信息和环境信息进行评估得到评估结果,当评估结果异常时发送至可信访问控制引擎;
[0008]所述可信访问控制引擎,用于接收异常的评估结果,并结合预设安全访问规则生成访问控制策略下发至可信标识解析接入代理或可信标识解析应用代理;
[0009]所述可信标识解析接入 ...
【技术保护点】
【技术特征摘要】
1.一种访问控制系统,其特征在于,包括:信任评估引擎,用于周期性采集终端的运行信息和环境信息,并根据预设风险评估策略对获得的运行信息和环境信息进行评估得到评估结果,当评估结果异常时发送至可信访问控制引擎;所述可信访问控制引擎,用于接收异常的评估结果,并结合预设安全访问规则生成访问控制策略下发至可信标识解析接入代理或可信标识解析应用代理;所述可信标识解析接入代理,用于根据获得的访问控制策略进行访问控制;所述可信标识解析应用代理,用于根据获得的访问控制策略进行访问控制。2.根据权利要求1所述的系统,其特征在于,所述可信访问控制引擎具体用于:当生成的访问控制策略包括应用级策略,将所述访问控制策略下发至所述可信标识解析接入代理;其中,所述应用级的访问控制策略包括以下至少之一:强制用户下线、禁止访问应用;当生成的访问控制策略包括接口级策略,将所述访问控制策略下发至所述可信标识解析应用代理;其中,所述接口级的访问控制策略包括:禁止访问应用的功能。3.根据权利要求1所述的系统,其特征在于,所述可信访问控制引擎还用于:获取终端通过单向报文发起的设备鉴权信息,并进行校验;当校验通过,开放对应的认证端口,通过所述认证端口获取所述终端的用户身份信息、环境信息,并进行校验;当校验通过,向所述终端同步接入令牌、接口令牌;接收所述终端的安全通道协商请求;其中,所述安全通道协商请求携带有所述终端的接入令牌;对所述接入令牌进行验证,当验证通过,与所述终端建立安全通道。4.根据权利要求3所述的系统,其特征在于,所述可信标识解析接入代理,还用于通过预先建立的安全通道接收所述终端发起的应用访问请求;其中,所述应用访问请求携带有所述终端具备应用访问权限的接入令牌;将所述接入令牌发送至所述可信访问控制引擎由所述可信访问控制引擎对其进行验证,当验证通过,向所述终端展示与所述应用访问请求对应的应用的功能页面以响应所述应用访问请求;接收所述终端发起的接口访问请求;其中,所述接口访问请求携带有所述终端的接入令牌和所述终端具备功能访问权限的接口令牌;将所述接入令牌发送至所述可信访问控制引擎对其进行验证,当验证通过,将所述接口访问请求转发至所述可信标识解析应用代理;所述可信标识解析应用代理还用于:接受来自所述可信标识解析接入代理的接口访问请求,将其中的接入令牌和接口令牌发送至所述可信访问控制引擎,由所述可信访问控制引擎根据所述接入令牌对所述接口令牌进行验证;当验证通过,转发所述应用访问请求至内网。5.根据权利要求4所述的系统,其特征在于,所述可信访问控制引擎,具体用于:根据预先建立的终端身份信息与接入令牌的对应关系获取所述接口访问请求中接入
令牌对应的目标终端身份信息;根据预先建立的终端身份信息与接口令牌的对应关系获取所述目标终端信息对应的目标接口令牌,并验证所述目标接口令牌与所述接口访问请求中的接口令牌是否相同;若相同,确定所述接口令牌通过验证。6.根据权利要求3所述的系统,其特征在于,所述可信访问控制引擎,具体用于获取所述终端采用单向无连接端口,并以固定的单包鉴权格式发起的设备鉴权信息。7.根据权利要求3或6所述的系统,其特征在于,所述设备鉴权信息包括以下至少之一:鉴权数据包的版本号、令牌、种子、密...
【专利技术属性】
技术研发人员:商跃鹏,汪海,
申请(专利权)人:北京网御星云信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。