访问控制策略的验证方法、系统以及相关设备技术方案

本发明专利技术公开了一种访问控制策略的验证方法、系统以及相关设备，涉及信息安全技术领域。访问控制策略的验证方法包括：信任评估子系统中的策略管理器根据接收的身份认证结果、以及设备采集信息进行信任策略计算，生成评估结果；策略管理器根据评估结果生成当前子凭证；策略管理器根据当前子凭证、以及历史的子凭证生成凭证；策略管理器将评估结果、以及凭证发送给信任评估子系统中的策略引擎；策略引擎根据评估结果为设备分配访问权限，生成授权决策结果；策略引擎将授权决策结果和凭证发送给策略执行点，其中，策略执行点存储有历史的子凭证，以便策略执行点对凭证进行验证。本发明专利技术的实施例能够提高访问控制的安全性。实施例能够提高访问控制的安全性。实施例能够提高访问控制的安全性。

【技术实现步骤摘要】
访问控制策略的验证方法、系统以及相关设备


[0001]本专利技术涉及信息安全
，特别涉及一种访问控制策略的验证方法、系统以及相关设备。

技术介绍

[0002]当前，零信任架构正在高速发展，其中“不应自动信任内部或外部的任何人/事/物，应在授权前对任何试图接入企业系统的人/事/物进行验证”的理念在内部子系统的信息传递中逐步落实。
[0003]访问控制执行方法通常由信任评估子系统根据设备的身份认证结果和设备采集的信息完成信任策略计算，然后由策略引擎为不同的信任等级分配权限。在权限分配完成后，将授权决策结果传输给策略执行点，并由其中的访问控制引擎实施访问控制的策略。

技术实现思路

[0004]专利技术人对相关技术进行分析后发现，在相关技术中，策略执行点未对信任系统子系统发来的策略进行来源验证。因此，策略执行点赋予的信任度过高，未贯彻零信任的理念。因此，相关技术的安全性较低。
[0005]本专利技术实施例所要解决的一个技术问题是：如何提高访问控制的安全性。
[0006]根据本专利技术一些实施例的第一个方面，提供一种访问控制策略的验证方法，包括：信任评估子系统中的策略管理器根据接收的身份认证结果、以及设备采集信息进行信任策略计算，生成评估结果；策略管理器根据评估结果生成当前子凭证；策略管理器根据当前子凭证、以及历史的子凭证生成凭证；策略管理器将评估结果、以及凭证发送给信任评估子系统中的策略引擎；策略引擎根据评估结果为设备分配访问权限，生成授权决策结果；策略引擎将授权决策结果和凭证发送给策略执行点，其中，策略执行点存储有历史的子凭证，以便策略执行点对凭证进行验证。
[0007]在一些实施例中，策略管理器根据评估结果生成当前子凭证包括：策略管理器采用评估结果以及当前时间戳生成字符串，作为当前子凭证。
[0008]在一些实施例中，策略管理器将评估结果、以及凭证发送给信任评估子系统中的策略引擎包括：将凭证按照预设的切片规则进行切片，并将各个切片按照预设的插入规则插入到评估结果中；将插入有切片的评估结果发送给信任评估子系统中的策略引擎。
[0009]在一些实施例中，策略引擎根据评估结果为设备分配访问权限，生成授权决策结果包括：策略引擎根据插入规则，从插入有切片的评估结果提取各个切片，获得原始的评估结果、以及凭证；策略引擎根据原始的评估结果为设备分配访问权限，生成授权决策结果。
[0010]在一些实施例中，验证方法还包括：策略执行点根据凭证中的历史的子凭证、以及存储的历史子凭证，对凭证进行验证；响应于验证通过，策略执行点存储凭证中的当前子凭证，并根据授权决策结果执行策略。
[0011]在一些实施例中，子凭证包括子凭证生成时的时间戳、以及子凭证对应的评估结
果，并且策略执行点根据凭证中的历史的子凭证、以及存储的历史子凭证，对凭证进行验证包括：对于凭证中的每个子凭证，策略执行点比较具有同一时间戳的凭证中的子凭证的评估信息、以及存储的历史子凭证的评估信息是否一致；在所有比较结果均为一致的情况下，策略执行点对凭证的验证结果为通过。
[0012]在一些实施例中，策略引擎通过加密通道，将授权决策结果、评估结果和凭证发送给策略执行点。
[0013]根据本专利技术一些实施例的第二个方面，提供一种信任评估子系统，包括：策略管理器，被配置为根据接收的身份认证结果、以及设备采集信息进行信任策略计算，生成评估结果；根据评估结果生成当前子凭证；以及，根据当前子凭证、以及历史的子凭证生成凭证；策略引擎，被配置为接收策略管理器发送的评估结果、以及凭证；根据评估结果为设备分配访问权限，生成授权决策结果；以及，将授权决策结果和凭证发送给策略执行点，其中，策略执行点存储有历史的子凭证，以便策略执行点对凭证进行验证。
[0014]在一些实施例中，策略管理器进一步被配置为采用评估结果以及当前时间戳生成字符串，作为当前子凭证。
[0015]在一些实施例中，策略管理器进一步被配置为将凭证按照预设的切片规则进行切片，并将各个切片按照预设的插入规则插入到评估结果中；以及，将插入有切片的评估结果发送给信任评估子系统中的策略引擎。
[0016]在一些实施例中，策略引擎进一步被配置为根据插入规则，从插入有切片的评估结果提取各个切片，获得原始的评估结果、以及凭证；根据原始的评估结果为设备分配访问权限，生成授权决策结果。
[0017]根据本专利技术一些实施例的第三个方面，提供一种访问控制策略的验证系统，包括：前述任意一种信任评估子系统；以及，策略执行点，被配置为根据凭证中的历史的子凭证、以及存储的历史子凭证，对凭证进行验证；响应于验证通过，存储凭证中的当前子凭证，并根据授权决策结果执行策略。
[0018]在一些实施例中，子凭证包括子凭证生成时的时间戳、以及子凭证对应的评估结果，并且策略执行点进一步被配置为对于凭证中的每个子凭证，比较具有同一时间戳的凭证中的子凭证的评估信息、以及存储的历史子凭证的评估信息是否一致；在所有比较结果均为一致的情况下，对凭证的验证结果为通过。
[0019]在一些实施例中，信任评估子系统进一步被配置为通过加密通道，将授权决策结果、评估结果和凭证发送给策略执行点。
[0020]根据本专利技术一些实施例的第四个方面，提供一种访问控制策略的验证装置，包括：存储器；以及耦接至存储器的处理器，处理器被配置为基于存储在存储器中的指令，执行前述任意一种访问控制策略的验证方法。
[0021]根据本专利技术一些实施例的第五个方面，提供一种计算机可读存储介质，其上存储有计算机程序，其中，该程序被处理器执行时实现前述任意一种访问控制策略的验证方法。
[0022]上述专利技术中的一些实施例具有如下优点或有益效果。通过令信任评估子系统生成凭证，并将授权决策结果连同凭证一起传送给策略执行点，使得策略执行点能够对下发的策略进行验证。从而，该过程中信任评估子系统和策略执行点间不互信，符合零信任的思想。并且，凭证生成体现了时间持续性，提高了可信度，不易被伪造。因此，上述实施例能够
提高访问控制的安全性。
[0023]通过以下参照附图对本专利技术的示例性实施例的详细描述，本专利技术的其它特征及其优点将会变得清楚。
附图说明
[0024]为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
[0025]图1示例性地示出相关技术中访问控制策略的验证方法的流程示意图。
[0026]图2示出了根据本专利技术一些实施例的访问控制策略的验证方法的流程示意图。
[0027]图3示出了根据本专利技术一些实施例的凭证验证方法的流程示意图。
[0028]图4示出了根据本专利技术一些实施例的信任评估子系统的结构示意图。
[0029]图5示出了根据本专利技术一些实施例的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种访问控制策略的验证方法，包括：信任评估子系统中的策略管理器根据接收的身份认证结果、以及设备采集信息进行信任策略计算，生成评估结果；所述策略管理器根据所述评估结果生成当前子凭证；所述策略管理器根据所述当前子凭证、以及历史的子凭证生成凭证；所述策略管理器将所述评估结果、以及所述凭证发送给所述信任评估子系统中的策略引擎；所述策略引擎根据所述评估结果为设备分配访问权限，生成授权决策结果；所述策略引擎将所述授权决策结果和所述凭证发送给策略执行点，其中，所述策略执行点存储有历史的子凭证，以便所述策略执行点对所述凭证进行验证。2.根据权利要求1所述的验证方法，其中，所述策略管理器根据所述评估结果生成当前子凭证包括：所述策略管理器采用所述评估结果以及当前时间戳生成字符串，作为当前子凭证。3.根据权利要求1所述的验证方法，其中，所述策略管理器将所述评估结果、以及所述凭证发送给所述信任评估子系统中的策略引擎包括：将所述凭证按照预设的切片规则进行切片，并将各个切片按照预设的插入规则插入到所述评估结果中；将插入有切片的评估结果发送给所述信任评估子系统中的策略引擎。4.根据权利要求3所述的验证方法，其中，所述策略引擎根据所述评估结果为设备分配访问权限，生成授权决策结果包括：所述策略引擎根据所述插入规则，从插入有切片的评估结果提取各个切片，获得原始的评估结果、以及所述凭证；所述策略引擎根据所述原始的评估结果为设备分配访问权限，生成授权决策结果。5.根据权利要求1所述的验证方法，还包括：所述策略执行点根据所述凭证中的历史的子凭证、以及存储的历史子凭证，对所述凭证进行验证；响应于所述验证通过，所述策略执行点存储所述凭证中的所述当前子凭证，并根据所述授权决策结果执行策略。6.根据权利要求5所述的验证方法，其中，所述子凭证包括所述子凭证生成时的时间戳、以及所述子凭证对应的评估结果，并且所述策略执行点根据所述凭证中的历史的子凭证、以及存储的历史子凭证，对所述凭证进行验证包括：对于所述凭证中的每个子凭证，策略执行点比较具有同一时间戳的所述凭证中的子凭证的评估信息、以及所述存储的历史子凭证的评估信息是否一致；在所有比较结果均为一致的情况下，策略执行点对所述凭证的验证结果为通过。7.根据权利要求1所述的验证方法，其中，所述策略引擎通过加密通道，将所述授权决策结果、所述评估结果和所述凭证发送给策略执行点。8.一种信任评估子系统，包括：策略管理器，被配置为根据接收的身份认证结果、以及设备采集信息进行信任策略...

【专利技术属性】
技术研发人员：谢杨，黄铖斌，李国平，施华，张欣，
申请(专利权)人：中国电信股份有限公司，
类型：发明
国别省市：