本申请公开了一种安全服务系统、访问控制方法和计算机可读存储介质,安全服务系统包括用户终端、网关设备和业务服务器,网关设备包括多个安全服务代理,每个安全服务代理具备独立的进程空间、第一服务端口、第二服务端口和客户端口;第一服务端口用于获取安全服务代理对应的业务服务器的安全策略,第二服务端口用于与用户终端通信,客户端口用于与安全服务代理对应的业务服务器通信;安全服务代理用于利用安全策略对第二服务端口接收到的访问请求的发送用户终端进行权限验证,权限验证通过后,安全服务代理用于实现发送用户终端与安全服务代理对应的业务服务器之间的通信。本申请既满足了安全策略执行点的独立性,又满足了被保护资源的安全性。保护资源的安全性。保护资源的安全性。
【技术实现步骤摘要】
安全服务系统、访问控制方法和计算机可读存储介质
[0001]本申请涉及计算机
,更具体地说,涉及一种安全服务系统、一种访问控制方法和一种计算机可读存储介质。
技术介绍
[0002]SSL(Secure Sockets Layer安全套接层)及由其发展而来的后继协议传输层安全(Transport Layer Security)是用于在两个通信应用程序之间提供保密性和数据完整性的安全协议,在传输层和应用层之间对网络连接进行加密。采用这两种安全协议的安全设备一般称作SSL VPN(虚拟专用网络,Virtual Private Network),主要部署于网络边界作为接入网关使用。
[0003]传统的SSL VPN网关设备一般作为安全接入解决方案的重要组成部分,对多个用户的访问请求在通过身份认证和授权之后进行转发代理,并保障数据传输通道的机密性和完整性,网关设备上对各用户和资源之间的流量信息并没有采取安全隔离手段。近年来兴起的零信任安全(Zero Trus)理论,是一种网络安全架构和安全概念,以身份为中心进行网络动态访问控制,其中心思想是不应信任网络内外部的任何用户、设备、应用、流量等,对任何网络访问行为都应该基于认证和授权重构访问控制的信任基础。为了被保护资源的独立性和安全性,对于每个被保护的资源都配置一台硬件防护设备,但是,如果需要保护的资源数量巨大,在成本和部署实施上都有着很大的困难。
[0004]因此,如何既满足安全策略执行点的独立性,又满足被保护资源的安全性是本领域技术人员需要解决的技术问题。
技术实现思路
[0005]本申请的目的在于提供一种安全服务系统、一种访问控制方法和一种计算机可读存储介质,既满足了安全策略执行点的独立性,又满足了被保护资源的安全性。
[0006]为实现上述目的,本申请提供了一种安全服务系统,包括用户终端、网关设备和业务服务器,所述网关设备包括多个安全服务代理,每个所述安全服务代理具备独立的进程空间、第一服务端口、第二服务端口和客户端口;
[0007]所述第一服务端口用于获取所述安全服务代理对应的业务服务器的安全策略,所述第二服务端口用于与所述用户终端通信,所述客户端口用于与所述安全服务代理对应的业务服务器通信;
[0008]所述安全服务代理用于利用所述安全策略对所述第二服务端口接收到的访问请求的发送用户终端进行权限验证,权限验证通过后,所述安全服务代理用于实现所述发送用户终端与所述安全服务代理对应的业务服务器之间的通信。
[0009]其中,还包括安全策略中心,所述安全服务代理通过所述第一服务端口与所述安全策略中心通信;
[0010]所述安全策略中心用于根据所述用户终端的身份鉴别结果和信任评分结果确定
所述用户终端的访问权限和可访问业务服务器列表、将所述可访问业务服务器列表中的业务服务器对应的安全服务代理的第二服务端口地址发送至所述用户终端、生成所述业务服务器对应的安全策略,并发送至所述业务服务器对应的安全服务代理。
[0011]其中,所述网关设备还包括管理器,所述管理器用于基于所述安全策略中心的命令对所述安全服务代理进行控制。
[0012]其中,所述安全策略中心用于根据业务服务器的类型和数量确定新建的安全服务代理的数量,并在服务端口池中为新建的安全服务代理选择对应的第一服务端口地址和第二服务端口地址,向所述管理器发送安全服务代理的创建命令;
[0013]所述管理器用于基于所述创建命令在所述网关设备中新建安全服务代理、为新建的安全服务代理设置对应的第一服务端口地址和第二服务端口地址。
[0014]其中,所述安全策略中心用于向所述管理器发送目标安全服务代理的关闭命令,并将所述目标安全服务代理对应的第一服务端口地址和第二服务端口地址重新加入所述服务端口池中;
[0015]所述管理器用于基于所述关闭命令控制所述目标安全服务代理关闭。
[0016]其中,所述网关设备还包括外部物理网络端口和内部物理网络端口;
[0017]所述安全服务代理通过所述外部物理网络端口与所述用户终端通信,所述外部物理网络端口用于基于接收到的访问请求中包含的第二服务端口地址将所述访问请求发送至对应的安全服务代理;
[0018]所述安全服务代理通过所述内部物理网络端口与对应的业务服务器通信。
[0019]其中,所述安全服务代理具体用于利用所述安全策略建立对应的业务服务器的访问白名单,并基于所述访问白名单对所述第二服务端口接收到的访问请求的发送用户终端进行权限验证。
[0020]其中,所述安全服务代理通过所述客户端口与对应的业务服务器之间建立静态的加密连接;
[0021]所述安全服务代理对所述发送用户终端的权限验证通过后,所述安全服务代理通过所述第二服务端口与所述发送用户终端之间建立动态的加密连接。
[0022]为实现上述目的,本申请提供了一种访问控制方法,应用于如上述安全服务系统中的网关设备,所述方法包括:
[0023]根据业务服务器的类型和数量在所述网关设备中创建对应数量的安全服务代理;
[0024]所述安全服务代理通过第一服务端口获取对应的业务服务器的安全策略,通过第二服务端口接收用户终端发送的访问请求,并利用所述安全策略对所述用户终端进行权限验证,权限验证通过后通过客户端口将所述访问请求发送至所述业务服务器;
[0025]通过所述安全服务代理实现所述用户终端与所述业务服务器之间的通信。
[0026]为实现上述目的,本申请提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述访问控制方法的步骤。
[0027]通过以上方案可知,本申请提供的一种安全服务系统,包括用户终端、网关设备和业务服务器,所述网关设备包括多个安全服务代理,每个所述安全服务代理具备独立的进程空间、第一服务端口、第二服务端口和客户端口;所述第一服务端口用于获取所述安全服
务代理对应的业务服务器的安全策略,所述第二服务端口用于与所述用户终端通信,所述客户端口用于与所述安全服务代理对应的业务服务器通信;所述安全服务代理用于利用所述安全策略对所述第二服务端口接收到的访问请求的发送用户终端进行权限验证,权限验证通过后,所述安全服务代理用于实现所述发送用户终端与所述安全服务代理对应的业务服务器之间的通信。
[0028]本申请提供的安全服务系统,在网关设备中为每个被保护的资源即业务服务器运行一个独立的安全服务代理,用于在对应的业务服务器与用户终端进行安全隔离。每个安全服务代理由一个独立的进程运行,通过客户终端与业务服务器通信,通过第二服务端口与用户终端通信,不同的安全服务代理绑定不同的第二服务端口,利用不同的服务端口对不同的业务服务器进行逻辑隔离,既满足了安全策略执行点的独立性,又满足了被保护资源的安全性。由此可见,本申请提供的安全服务系统,既实现了安全策略执行点和受保护资源的一一对应和独立运行,又避免了大量安全硬本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种安全服务系统,其特征在于,包括用户终端、网关设备和业务服务器,所述网关设备包括多个安全服务代理,每个所述安全服务代理具备独立的进程空间、第一服务端口、第二服务端口和客户端口;所述第一服务端口用于获取所述安全服务代理对应的业务服务器的安全策略,所述第二服务端口用于与所述用户终端通信,所述客户端口用于与所述安全服务代理对应的业务服务器通信;所述安全服务代理用于利用所述安全策略对所述第二服务端口接收到的访问请求的发送用户终端进行权限验证,权限验证通过后,所述安全服务代理用于实现所述发送用户终端与所述安全服务代理对应的业务服务器之间的通信。2.根据权利要求1所述安全服务系统,其特征在于,还包括安全策略中心,所述安全服务代理通过所述第一服务端口与所述安全策略中心通信;所述安全策略中心用于根据所述用户终端的身份鉴别结果和信任评分结果确定所述用户终端的访问权限和可访问业务服务器列表、将所述可访问业务服务器列表中的业务服务器对应的安全服务代理的第二服务端口地址发送至所述用户终端、生成所述业务服务器对应的安全策略,并发送至所述业务服务器对应的安全服务代理。3.根据权利要求2所述安全服务系统,其特征在于,所述网关设备还包括管理器,所述管理器用于基于所述安全策略中心的命令对所述安全服务代理进行控制。4.根据权利要求3所述安全服务系统,其特征在于,所述安全策略中心用于根据业务服务器的类型和数量确定新建的安全服务代理的数量,并在服务端口池中为新建的安全服务代理选择对应的第一服务端口地址和第二服务端口地址,向所述管理器发送安全服务代理的创建命令;所述管理器用于基于所述创建命令在所述网关设备中新建安全服务代理、为新建的安全服务代理设置对应的第一服务端口地址和第二服务端口地址。5.根据权利要求3所述安全服务系统,其特征在于,所述安全策略中心用于向所述管理器发送目标安全服务代理的关闭...
【专利技术属性】
技术研发人员:罗俊,
申请(专利权)人:成都卫士通信息产业股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。