本发明专利技术公开了一种基于认证和资源访问管控的访问控制系统及方法,本方案将访问控制系统分布在不同的层级;由访问控制系统针对本层级访问,对访问主体进行身份认证,在身份可信的本层级访问主体与本层级的访问资源之间建立数据连接;由访问控制系统针对跨层级访问,对发起跨层级访问的他层级访问控制系统进行身份认证,与身份可信的他层级访问控制系统之间建立数据隧道。本发明专利技术提供的方案可实现跨层级、跨部门之间的资源访问,同时对所有跨层级、跨部门的访问主体的数据流量,通过建立不同层级或不同部门接入控制系统之间的单条数据隧道的方式进行数据传输,保证数据传输的安全性,同时大大提升数据访问的效率。同时大大提升数据访问的效率。同时大大提升数据访问的效率。
【技术实现步骤摘要】
一种基于认证和资源访问管控的访问控制系统及方法
[0001]本专利技术涉及网络安全认证
,具体涉及零信任领域及其他跨层的认证及数据访问领域技术。
技术介绍
[0002]随着大数据、云计算、移动互联等技术的发展,数字化转型已经融入到各行各业,远程办公、分支接入、移动办公、内网安全等工作场景,对用户安全接入、身份全面认证、资源授权访问提出新的更高的要求。
[0003]为了满足上述要求,接入方案中也涌现出类似零信任等认证及鉴权方案,满足身份认证和资源访问的管控。系统中通常包括身份管理、认证管理、权限管理(此前三个统称认证系统)、审计管理、终端系统(接入终端)、接入管控系统(主体接入连接及资源访问控制鉴权),满足主体的接入认证,资源访问鉴权及管控,包括信任评估及动态权限调整,从而解决数据安全的问题。
[0004]但不管是零信任系统还是其他的认证管理系统,在进行主体管理及资源访问时,所覆盖的主体及客体都局限在一个层级或者一个部门内部,而跨层级及部门的资源访问时有发生,并成为工作中的常态,但却没有有效的解决手段,采取的最终措施往往是增加管理的客体或者主体的数量,即不仅管理本层级、部门的主体和客体,还要管理其他层级、部门的主体和客体,这不仅增加了安全认证系统的规模,同时也增加了管理的工作量,而且因为不同层级及不同部门之间主体及客体的属性差异,给管理带来很大的困难,毕竟其他层级、部门的主体和客体并不应该被别的层级或部门进行管理。
[0005]如何有效解决跨层、跨部门的身份认证及资源访问控制,就成为亟待解决的安全问题。
技术实现思路
[0006]针对现有跨层级、跨部门进行资源访问所存在的问题,需要一种新的机制与方案来解决跨层级的身份认证和资源访问的问题。
[0007]为此,本专利技术的目的在于提供一种基于认证和资源访问管控的访问控制系统以及相应的控制方法,用于实现跨层、跨部门的安全且高效的访问。
[0008]为了达到上述目的,本专利技术提供的基于认证和资源访问管控的访问控制系统,所述访问控制系统分布在不同的层级;
[0009]所述访问控制系统针对所在层级的本层级访问,对访问主体进行身份认证,在身份可信的本层级访问主体与本层级的访问资源之间建立数据连接;
[0010]所述访问控制系统针对跨层级访问,对发起跨层级访问的他层级访问控制系统进行身份认证,与身份可信的他层级访问控制系统之间建立数据隧道。
[0011]进一步的,所述访问控制系统包括认证系统与接入控制系统,所述认证系统与接入控制系统进行数据交互,进行身份管理、认证管理、以及权限管理,能够对他层级访问控
制系统中的接入控制系统信息进行注册,并注册完成后与他层级访问控制系统中的接入控制系统建立连接,并下发相关身份信息;
[0012]所述接入控制系统根据认证系统对本层级访问主体的身份认证结果,控制本层级访问主体与本层级的访问资源之间数据连接;
[0013]所述接入控制系统根据认证系统对发起跨层级访问的他层级访问控制系统中接入控制系统的身份认证结果,与身份可信的他层级访问控制系统中的接入控制系统之间建立数据隧道。
[0014]进一步的,所述接入控制系统包括第一认证模块、隧道模块、第二认证模块、流量转发模块、授权资源模块;
[0015]所述第一认证模块与隧道模块数据交互,获取隧道模块提取的隧道建立请求认证信息发送本层级访问控制系统中进行接入控制系统身份认证;
[0016]所述隧道模块由流量转发模块触发,根据流量转发模块提供他层级访问控制系统中接入控制系统的地址信息,向他层级访问控制系统中接入控制系统发起隧道建立请求;所述隧道模块接收并判断他层级访问控制系统中接入控制系统发送的隧道建立请求,对确认的隧道建立请求提取认证信息发送给所述第一认证模块;
[0017]所述第二认证模块用于对本层级访问主体进行认证,认证通过后,在本层级访问主体与接入控制系统建立数据通道,然后通过流量转发模块,访问本层的资源系统;
[0018]所述流量转发模块与授权资源模块以及隧道模块进行数据交互,能够根据从授权资源模块查询到的他层级访问控制系统中接入控制系统的网关信息,查询路由表项,对跨层资源访问的报文进行隧道封装或触发隧道的建立,并更新路由表项;
[0019]所述授权资源模块存储访问主体在本层级认证通过后可访问的资源信息;并与流量转发模块数据连接,供流量转发模块进行查询。
[0020]进一步的,所述认证系统中包含他层级访问控制系统中接入控制系统的属性信息,他层级访问控制系统中接入控制系统以接入身份的方式在本层级访问控制系统中认证系统中进行注册,所述属性信息中至少涵盖如下信息:他层级接入控制系统的地址或域名、身份标识、Key、验证算法以及GRE Key。
[0021]进一步的,所述认证系统在完成他层级访问控制系统中接入控制系统信息的注册后,将与完成注册的接入控制系统进行信息交互,完成身份标识、Key、验证算法、GRE Key的下发。
[0022]进一步的,所述流量转发模块在获取他层级访问控制系统中接入控制系统的网关信息,以网关信息为关键字在路由表项中查询隧道接口,若存在对应的表项,则直接进行隧道封装,报文转发;若不存在对应表项,则需要建立本层级接入控制系统和他层级接入控制系统之间的GRE隧道。
[0023]进一步的,不同层级的任意两个控制系统之间仅建立一条GRE隧道,该隧道服务于所有相关访问主体,所有本层相关访问主体通过GRE隧道访问他层资源系统的访问流量,都由同一条GRE隧道进行报文封装。
[0024]进一步的,所述隧道模块基于本层级接入控制系统的身份标识、自身产生的随机数、预设置的密钥Key,通过预设置的验证算法,生成摘要信息,并据此生成隧道建立请求。
[0025]进一步的,所述隧道模块针对接收到的他层级访问控制系统中接入控制系统发送
的隧道建立请求,通过GRE Key来验证是否需要建立隧道。
[0026]进一步的,所述认证系统在收到第一认证模块转发的隧道建立请求认证信息后,基于所接收到的他层级访问控制系统中接入控制系统的身份标识,从注册的身份信息中查询对应的Key及验证算法,基于查询到的验证算法,以身份标识、随机数、Key生成新的摘要信息,并与隧道建立请求认证信息中的摘要进行对比,若相同,则身份认证通过;若不同,则身份认证失败。
[0027]为了达到上述目的,本专利技术提供的基于认证和资源访问管控的访问控制方法,在不同层级部署上述的访问控制系统,首先对本层级访问,由部署在本层级的访问控制系统,对访问主体进行身份认证,在身份可信的本层级访问主体与本层级的访问资源之间建立数据连接;
[0028]接着,针对跨层级访问,由部署在本层级的访问控制系统对发起跨层级访问的他层级访问控制系统进行身份认证,并与身份可信的他层级访问控制系统之间建立数据隧道。
[0029]进一步的,所述访问控制方法通过在不同层级之间建立单条数据隧道来传输跨层本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于认证和资源访问管控的访问控制系统,其特征在于,所述访问控制系统分布在不同的层级;所述访问控制系统针对所在层级的本层级访问,对访问主体进行身份认证,在身份可信的本层级访问主体与本层级的访问资源之间建立数据连接;所述访问控制系统针对跨层级访问,对发起跨层级访问的他层级访问控制系统进行身份认证,与身份可信的他层级访问控制系统之间建立数据隧道。2.根据权利要求1所述的基于认证和资源访问管控的访问控制系统,其特征在于,所述访问控制系统包括认证系统与接入控制系统,所述认证系统与接入控制系统进行数据交互,进行身份管理、认证管理、以及权限管理,能够对他层级访问控制系统中的接入控制系统信息进行注册,并注册完成后与他层级访问控制系统中的接入控制系统建立连接,并下发相关身份信息;所述接入控制系统根据认证系统对本层级访问主体的身份认证结果,控制本层级访问主体与本层级的访问资源之间数据连接;所述接入控制系统根据认证系统对发起跨层级访问的他层级访问控制系统中接入控制系统的身份认证结果,与身份可信的他层级访问控制系统中的接入控制系统之间建立数据隧道。3.根据权利要求2所述的基于认证和资源访问管控的访问控制系统,其特征在于,所述接入控制系统包括第一认证模块、隧道模块、第二认证模块、流量转发模块、授权资源模块;所述第一认证模块与隧道模块数据交互,获取隧道模块提取的隧道建立请求认证信息发送本层级访问控制系统中进行接入控制系统身份认证;所述隧道模块由流量转发模块触发,根据流量转发模块提供他层级访问控制系统中接入控制系统的地址信息,向他层级访问控制系统中接入控制系统发起隧道建立请求;所述隧道模块接收并判断他层级访问控制系统中接入控制系统发送的隧道建立请求,对确认的隧道建立请求提取认证信息发送给所述第一认证模块;所述第二认证模块用于对本层级访问主体进行认证,认证通过后,在本层级访问主体与接入控制系统建立数据通道,然后通过流量转发模块,访问本层的资源系统;所述流量转发模块与授权资源模块以及隧道模块进行数据交互,能够根据从授权资源模块查询到的他层级访问控制系统中接入控制系统的网关信息,查询路由表项,对跨层资源访问的报文进行隧道封装或触发隧道的建立,并更新路由表项;所述授权资源模块存储访问主体在本层级认证通过后可访问的资源信息;并与流量转发模块数据连接,供流量转发模块进行查询。4.根据权利要求2所述的基于认证和资源访问管控的访问控制系统,其特征在于,所述认证系统中包含他层级访问控制系统中接入控制系统的属性信息,他层级访问控制系统中接入控制系统以接入身份的方式在本层级访问控制系统中认证系统中进行注册,所述属性信息中至少涵盖如下信息:他层级接入控制系统的地址或域名、...
【专利技术属性】
技术研发人员:袁静,
申请(专利权)人:公安部第三研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。