一种基于零信任网关的访问控制方法及系统技术方案

本申请实施例提供一种基于零信任网关的访问控制方法及系统，涉及网关技术领域。该方法包括：获取用户发送的访问请求信息；根据访问请求信息提取用户令牌数据和应用令牌数据；基于本地策略缓存数据库对用户令牌数据和应用令牌数据进行令牌校验，获得令牌校验状态信息；根据令牌校验状态信息判断令牌校验是否通过，若令牌校验不通过，则拒绝访问请求信息；若令牌校验通过，根据访问请求信息的请求参数判断是否包括或不包括预设字段，若否，则拒绝访问请求信息；若是，将访问请求信息发送至应用服务器，并与应用服务器建立链接通道；基于链接通道进行用户对应用服务器的访问。该方法可以进行灵活多维度的检查、提升请求速率，实现提高用户体验的技术效果。提高用户体验的技术效果。提高用户体验的技术效果。

【技术实现步骤摘要】
一种基于零信任网关的访问控制方法及系统


[0001]本申请涉及网关
，具体而言，涉及一种基于零信任网关的访问控制方法、系统、电子设备及计算机可读存储介质。

技术介绍

[0002]目前，零信任网关位于用户域和数据域边界处，每个内网资源的访问流量都会流经零信任网关，为了保证进入内网的访问流量都安全可信，需要在零信任网关对每个访问请求进行多维度的检查控制，由于零信任网关在对每个请求进行多维度检查时，需要访问零信任控制中心的服务得到检查结果，会对零信任控制中心造成压力，因此需要提供一种零信任网关控制方案在支持多维度检查同时，能缓解零信任控制中心压力，并且不影响每个请求的校验结果。
[0003]现有技术中，零信任访问的一种方法是对零信任安全代理进行虚拟映射，通过虚拟代理完成访问；但是，虚拟代理收到用户令牌和客体权限后，没有明确更新机制，如果该用户的客体权限已被回收，虚拟代理仍然会放行，从而产生越权风险；而且，虚拟代理只支持对用户令牌和客体权限的检查，无法进行其它维度的检查，例如终端风险检查，请求参数校验等。零信任访问的另一种方法是由访问主体的终端安全引擎发起与控制平面的单包鉴权，采用单向无连接端口以固定的单包鉴权格式发送至可信访问控制引擎；但是，由于必须在用户侧安装专有客户端(终端安全引擎)才能安全实现访问控制，可防护的应用场景受到限制，尤其难以防护公开的网站应用，用户体验差。

技术实现思路

[0004]本申请实施例的目的在于提供一种基于零信任网关的访问控制方法、系统、电子设备及计算机可读存储介质，可以进行灵活多维度的检查、提升请求速率，实现提高用户体验的技术效果。
[0005]第一方面，本申请实施例提供了一种基于零信任网关的访问控制方法，包括：
[0006]获取用户发送的访问请求信息，所述访问请求信息包括用户令牌数据和应用令牌数据；
[0007]根据所述访问请求信息提取所述用户令牌数据和应用令牌数据；
[0008]基于本地策略缓存数据库对所述用户令牌数据和应用令牌数据进行令牌校验，获得令牌校验状态信息；
[0009]根据所述令牌校验状态信息判断令牌校验是否通过，若令牌校验不通过，则拒绝所述访问请求信息；
[0010]若令牌校验通过，根据所述访问请求信息的请求参数判断是否包括或不包括预设字段，若否，则拒绝所述访问请求信息；
[0011]若是，将所述访问请求信息发送至应用服务器，并与所述应用服务器建立链接通道；
[0012]基于所述链接通道进行所述用户对所述应用服务器的访问。
[0013]在上述实现过程中，该零信任网关的访问控制方法可以对访问请求信息进行令牌校验、请求参数校验，实现对访问请求信息的多维度检查；同时，通过本地策略缓存数据库支持策略缓存控制，使用策略缓存控制可以显著降低联动服务的压力，在不影响对访问请求信息的校验结果的同时、提高访问速率，完善用户体验；从而，该方法可以进行灵活多维度的检查、提升请求速率，实现提高用户体验的技术效果。
[0014]进一步地，所述零信任网关配置有终端校验，在根据所述访问请求信息提取所述用户令牌数据和应用令牌数据的步骤之前，所述方法还包括：
[0015]检查所述零信任网关是否开启终端校验，若否，则跳转至所述根据所述访问请求信息提取所述用户令牌数据和应用令牌数据的步骤；
[0016]若是，根据所述访问请求信息获取用户标识码；
[0017]基于所述本地策略缓存数据库对所述用户标识码进行终端校验，获得终端校验状态信息；
[0018]根据所述终端校验状态信息判断终端校验是否通过，若终端校验不通过，则拒绝所述访问请求信息；
[0019]若终端校验通过，则跳转至所述根据所述访问请求信息提取所述用户令牌数据和应用令牌数据的步骤。
[0020]在上述实现过程中，若零信任网关配置并开启终端校验，则基于本地策略缓存数据库可以快速查询用户标识码的风险状态数据，从而对用户终端的用户标识码进行终端校验。
[0021]进一步地，所述基于所述本地策略缓存数据库对所述用户标识码进行终端校验，获得终端校验状态信息的步骤，包括：
[0022]基于所述本地策略缓存数据库查询是否有所述用户标识码的风险状态数据，若是，获得终端校验状态信息；
[0023]若否，派生请求访问零信任控制中心的终端风险感知服务并查询所述用户标识码的风险状态数据，设置分钟级过期时间，将所述用户标识码的风险状态数据更新至所述本地策略缓存数据库并获得终端校验状态信息。
[0024]在上述实现过程中，若本地策略缓存数据库中没有用户标识码的风险状态数据，则可以通过零信任控制中心的终端风险感知服务查询用户标识码的风险状态数据，从而获得终端校验状态信息，并通过终端风险感知服务查询到的风险状态数据完成对本地策略缓存数据库的更新；从而，在下一次对该用户标识码进行终端校验时，可以基于本地策略缓存数据库可以快速查询用户标识码的风险状态数据。
[0025]进一步地，所述基于本地策略缓存数据库对所述用户令牌数据和应用令牌数据进行令牌校验，获得令牌校验状态信息的步骤，包括：
[0026]基于所述本地策略缓存数据库查询是否有令牌的安全状态数据，若是，获得令牌校验状态信息；
[0027]若否，派生请求访问零信任控制中心的认证服务并查询所述令牌的安全状态数据，设置分钟级过期时间，将所述令牌的安全状态数据更新至所述本地策略缓存数据库并获得令牌校验状态信息。
[0028]在上述实现过程中，若本地策略缓存数据库中没有令牌的安全状态数据，则可以通过零信任控制中心的认证服务查询用户令牌的安全状态数据，从而获得令牌校验状态信息，并通过认证服务查询到的安全状态数据完成对本地策略缓存数据库的更新；从而，在下一次进行令牌校验时，可以基于本地策略缓存数据库可以快速查询令牌的安全状态数据。
[0029]进一步地，所述用户通过浏览器访问认证服务登陆页面，在获取用户发送的访问请求信息的步骤之前，所述方法还包括：
[0030]获取所述用户发送的登录认证信息；
[0031]根据所述登录认证信息生成包括所述用户令牌数据和所述应用令牌数据的访问请求信息。
[0032]进一步地，在基于所述链接通道进行所述用户对所述应用服务器的访问的步骤之前，所述方法还包括：
[0033]获取所述应用服务器返回的响应应用数据；
[0034]根据预设敏感数据库对所述响应应用数据进行过滤，将过滤后的响应应用数据返回给所述用户。
[0035]在上述实现过程中，收到应用服务器的响应数据后，可根据管理员配置的字段进行过滤，将响应数据中的敏感信息删除，从而防止泄露，提高访问安全性。
[0036]进一步地，所述零信任网关设置有所述本地策略缓存数据库的缓存更新接口，且所述零信任网关支持所述用户和所述应用服务器的双向认证。
[0037]在上述实现过程中，零信任网关提供缓存更新接口，认证服务和终端风险服务本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于零信任网关的访问控制方法，其特征在于，包括：获取用户发送的访问请求信息，所述访问请求信息包括用户令牌数据和应用令牌数据；根据所述访问请求信息提取所述用户令牌数据和应用令牌数据；基于本地策略缓存数据库对所述用户令牌数据和应用令牌数据进行令牌校验，获得令牌校验状态信息；根据所述令牌校验状态信息判断令牌校验是否通过，若令牌校验不通过，则拒绝所述访问请求信息；若令牌校验通过，根据所述访问请求信息的请求参数判断是否包括或不包括预设字段，若否，则拒绝所述访问请求信息；若是，将所述访问请求信息发送至应用服务器，并与所述应用服务器建立链接通道；基于所述链接通道进行所述用户对所述应用服务器的访问。2.根据权利要求1所述的基于零信任网关的访问控制方法，其特征在于，所述零信任网关配置有终端校验，在根据所述访问请求信息提取所述用户令牌数据和应用令牌数据的步骤之前，所述方法还包括：检查所述零信任网关是否开启终端校验，若否，则跳转至所述根据所述访问请求信息提取所述用户令牌数据和应用令牌数据的步骤；若是，根据所述访问请求信息获取用户标识码；基于所述本地策略缓存数据库对所述用户标识码进行终端校验，获得终端校验状态信息；根据所述终端校验状态信息判断终端校验是否通过，若终端校验不通过，则拒绝所述访问请求信息；若终端校验通过，则跳转至所述根据所述访问请求信息提取所述用户令牌数据和应用令牌数据的步骤。3.根据权利要求2所述的基于零信任网关的访问控制方法，其特征在于，所述基于所述本地策略缓存数据库对所述用户标识码进行终端校验，获得终端校验状态信息的步骤，包括：基于所述本地策略缓存数据库查询是否有所述用户标识码的风险状态数据，若是，获得终端校验状态信息；若否，派生请求访问零信任控制中心的终端风险感知服务并查询所述用户标识码的风险状态数据，设置分钟级过期时间，将所述用户标识码的风险状态数据更新至所述本地策略缓存数据库并获得终端校验状态信息。4.根据权利要求1所述的基于零信任网关的访问控制方法，其特征在于，所述基于本地策略缓存数据库对所述用户令牌数据和应用令牌数据进行令牌校验，获得令牌校验状态信息的步骤，包括：基于所述本地策略缓存数据库查询是否有令牌的安全状态数据，若是，获得令牌校验状态信息；若否，派生请求访问零信任控制中心的认证服务并查询所...

【专利技术属性】
技术研发人员：唐一雄，陈天凯，李梓瑜，
申请(专利权)人：北京天融信科技有限公司北京天融信软件有限公司，
类型：发明
国别省市：