安全服务系统、访问控制方法和计算机可读存储介质与流程

1.本技术涉及计算机技术领域，更具体地说，涉及一种安全服务系统、一种访问控制方法和一种计算机可读存储介质。


背景技术：

2.ssl(secure sockets layer安全套接层)及由其发展而来的后继协议传输层安全(transport layer security)是用于在两个通信应用程序之间提供保密性和数据完整性的安全协议，在传输层和应用层之间对网络连接进行加密。采用这两种安全协议的安全设备一般称作ssl vpn(虚拟专用网络，virtual private network)，主要部署于网络边界作为接入网关使用。
3.传统的ssl vpn网关设备一般作为安全接入解决方案的重要组成部分，对多个用户的访问请求在通过身份认证和授权之后进行转发代理，并保障数据传输通道的机密性和完整性，网关设备上对各用户和资源之间的流量信息并没有采取安全隔离手段。近年来兴起的零信任安全(zero trus)理论，是一种网络安全架构和安全概念，以身份为中心进行网络动态访问控制，其中心思想是不应信任网络内外部的任何用户、设备、应用、流量等，对任何网络访问行为都应该基于认证和授权重构访问控制的信任基础。为了被保护资源的独立性和安全性，对于每个被保护的资源都配置一台硬件防护设备，但是，如果需要保护的资源数量巨大，在成本和部署实施上都有着很大的困难。
4.因此，如何既满足安全策略执行点的独立性，又满足被保护资源的安全性是本领域技术人员需要解决的技术问题。


技术实现要素：

5.本技术的目的在于提供一种安全服务系统、一种访问控制方法和一种计算机可读存储介质，既满足了安全策略执行点的独立性，又满足了被保护资源的安全性。
6.为实现上述目的，本技术提供了一种安全服务系统，包括用户终端、网关设备和业务服务器，所述网关设备包括多个安全服务代理，每个所述安全服务代理具备独立的进程空间、第一服务端口、第二服务端口和客户端口；
7.所述第一服务端口用于获取所述安全服务代理对应的业务服务器的安全策略，所述第二服务端口用于与所述用户终端通信，所述客户端口用于与所述安全服务代理对应的业务服务器通信；
8.所述安全服务代理用于利用所述安全策略对所述第二服务端口接收到的访问请求的发送用户终端进行权限验证，权限验证通过后，所述安全服务代理用于实现所述发送用户终端与所述安全服务代理对应的业务服务器之间的通信。
9.其中，还包括安全策略中心，所述安全服务代理通过所述第一服务端口与所述安全策略中心通信；
10.所述安全策略中心用于根据所述用户终端的身份鉴别结果和信任评分结果确定
所述用户终端的访问权限和可访问业务服务器列表、将所述可访问业务服务器列表中的业务服务器对应的安全服务代理的第二服务端口地址发送至所述用户终端、生成所述业务服务器对应的安全策略，并发送至所述业务服务器对应的安全服务代理。
11.其中，所述网关设备还包括管理器，所述管理器用于基于所述安全策略中心的命令对所述安全服务代理进行控制。
12.其中，所述安全策略中心用于根据业务服务器的类型和数量确定新建的安全服务代理的数量，并在服务端口池中为新建的安全服务代理选择对应的第一服务端口地址和第二服务端口地址，向所述管理器发送安全服务代理的创建命令；
13.所述管理器用于基于所述创建命令在所述网关设备中新建安全服务代理、为新建的安全服务代理设置对应的第一服务端口地址和第二服务端口地址。
14.其中，所述安全策略中心用于向所述管理器发送目标安全服务代理的关闭命令，并将所述目标安全服务代理对应的第一服务端口地址和第二服务端口地址重新加入所述服务端口池中；
15.所述管理器用于基于所述关闭命令控制所述目标安全服务代理关闭。
16.其中，所述网关设备还包括外部物理网络端口和内部物理网络端口；
17.所述安全服务代理通过所述外部物理网络端口与所述用户终端通信，所述外部物理网络端口用于基于接收到的访问请求中包含的第二服务端口地址将所述访问请求发送至对应的安全服务代理；
18.所述安全服务代理通过所述内部物理网络端口与对应的业务服务器通信。
19.其中，所述安全服务代理具体用于利用所述安全策略建立对应的业务服务器的访问白名单，并基于所述访问白名单对所述第二服务端口接收到的访问请求的发送用户终端进行权限验证。
20.其中，所述安全服务代理通过所述客户端口与对应的业务服务器之间建立静态的加密连接；
21.所述安全服务代理对所述发送用户终端的权限验证通过后，所述安全服务代理通过所述第二服务端口与所述发送用户终端之间建立动态的加密连接。
22.为实现上述目的，本技术提供了一种访问控制方法，应用于如上述安全服务系统中的网关设备，所述方法包括：
23.根据业务服务器的类型和数量在所述网关设备中创建对应数量的安全服务代理；
24.所述安全服务代理通过第一服务端口获取对应的业务服务器的安全策略，通过第二服务端口接收用户终端发送的访问请求，并利用所述安全策略对所述用户终端进行权限验证，权限验证通过后通过客户端口将所述访问请求发送至所述业务服务器；
25.通过所述安全服务代理实现所述用户终端与所述业务服务器之间的通信。
26.为实现上述目的，本技术提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上述访问控制方法的步骤。
27.通过以上方案可知，本技术提供的一种安全服务系统，包括用户终端、网关设备和业务服务器，所述网关设备包括多个安全服务代理，每个所述安全服务代理具备独立的进程空间、第一服务端口、第二服务端口和客户端口；所述第一服务端口用于获取所述安全服
务代理对应的业务服务器的安全策略，所述第二服务端口用于与所述用户终端通信，所述客户端口用于与所述安全服务代理对应的业务服务器通信；所述安全服务代理用于利用所述安全策略对所述第二服务端口接收到的访问请求的发送用户终端进行权限验证，权限验证通过后，所述安全服务代理用于实现所述发送用户终端与所述安全服务代理对应的业务服务器之间的通信。
28.本技术提供的安全服务系统，在网关设备中为每个被保护的资源即业务服务器运行一个独立的安全服务代理，用于在对应的业务服务器与用户终端进行安全隔离。每个安全服务代理由一个独立的进程运行，通过客户终端与业务服务器通信，通过第二服务端口与用户终端通信，不同的安全服务代理绑定不同的第二服务端口，利用不同的服务端口对不同的业务服务器进行逻辑隔离，既满足了安全策略执行点的独立性，又满足了被保护资源的安全性。由此可见，本技术提供的安全服务系统，既实现了安全策略执行点和受保护资源的一一对应和独立运行，又避免了大量安全硬件设备的部署和运维成本，实现了零信任的安全防护。本技术还公开了一种访问控制方法及一种电子设备和一种计算机可读存储介质，同样能实现上述技术效果。
29.应当理解的是，以上的一般描述和后文的细节描述仅是示例性的，并不能限制本技术。
附图说明
30.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。附图是用来提供对本公开的进一步理解，并且构成说明书的一部分，与下面的具体实施方式一起用于解释本公开，但并不构成对本公开的限制。在附图中：
31.图1为根据一示例性实施例示出的一种安全服务系统系统的结构图；
32.图2为根据一示例性实施例示出的一种访问控制方法的流程图。
具体实施方式
33.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。另外，在本技术实施例中，“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。
34.本技术实施例公开了一种安全服务系统，既满足了安全策略执行点的独立性，又满足了被保护资源的安全性。
35.参见图1，根据一示例性实施例示出的一种安全服务系统的结构图，如图1所示，包括用户终端、网关设备和业务服务器，所述网关设备包括多个安全服务代理，每个所述安全服务代理具备独立的进程空间、第一服务端口(端口1-3、端口2-3、
…
、端口n-3)、第二服务端口(端口1-1、端口2-1、
…
、端口n-1)和客户端口(端口1-2、端口2-2、
…
、端口n-2)；
36.所述第一服务端口用于获取所述安全服务代理对应的业务服务器的安全策略，所述第二服务端口用于与所述用户终端通信，所述客户端口用于与所述安全服务代理对应的业务服务器通信；
37.所述安全服务代理用于利用所述安全策略对所述第二服务端口接收到的访问请求的发送用户终端进行权限验证，权限验证通过后，所述安全服务代理用于实现所述发送用户终端与所述安全服务代理对应的业务服务器之间的通信。
38.在本实施例中，用户终端通过网关设备访问业务服务器，网关设备具体为ssl vpn网关设备，用户终端和业务服务器上可以分别部署用户代理服务器(简称用户代理)和业务代理服务器(简称业务代理)。代理服务器位于用户与目标资源的业务服务器之间，接受用户通过客户端软件发起的网络访问连接请求，并将请求有策略的转发给作为目标资源的业务服务器，业务服务器对该请求的处理结果也通过代理服务器返回给发起连接请求的用户客户端。用户终端的用户代理根据安全策略连接业务服务器对应的安全服务代理，安全服务代理根据安全策略连接对应的业务服务器的业务代理。
39.在具体实施中，每个安全服务代理具有独立的进程空间，在逻辑上成为一个独立的微网关。每个安全服务代理占用两个传输层的服务端口，即第一服务端口和第二服务端口，第一服务端口用于获取该安全服务代理对应的业务服务器的安全策略，第二服务端口用于与用户终端通信。而安全服务代理和业务服务器上的业务代理之间的通信是作为客户端角色进行，即通过客户端口进行，无需占用网关设备的服务端口。作为一种可行的实施方式，所述网关设备还包括外部物理网络端口和内部物理网络端口；所述安全服务代理通过所述外部物理网络端口与所述用户终端通信，所述外部物理网络端口用于基于接收到的访问请求中包含的第二服务端口地址将所述访问请求发送至对应的安全服务代理；所述安全服务代理通过所述内部物理网络端口与对应的业务服务器通信。
40.可以理解的是，每个安全服务代理运行一个ssl/tls客户端和一个ssl/tls服务端，ssl/tls服务端接受作为ssl/tls客户端的用户代理的安全连接，ssl/tls客户端与作为ssl/tls服务端的业务代理建立安全连接。安全服务代理运行的ssl/tls服务端和不同的用户代理通过ssl/tls握手协议建立不同的ssl/tls加密连接，该连接的生命周期和该次业务请求同步，业务请求处理完毕即终止连接，下次业务请求产生新的安全连接。安全服务代理运行的ssl/tls客户端与业务代理通过ssl/tls握手协议建立的ssl/tls加密连接作为长连接存在并定期进行ssl/tls工作密钥的更新。
41.不同安全服务代理绑定不同的ssl/tls服务端口，利用不同的服务端口进行逻辑隔离。ssl vpn网关设备上的多个安全服务代理对用户呈现为同一个ip地址即网关的ip地址和多个不同的ssl/tls服务端口。
42.作为一种优选实施方式，所述安全服务代理具体用于利用所述安全策略建立对应的业务服务器的访问白名单，并基于所述访问白名单对所述第二服务端口接收到的访问请求的发送用户终端进行权限验证。在具体实施中，安全服务代理根据安全策略建立白名单，只有白名单中的ip和用户才能与安全服务代理握手并建立ssl/tls加密连接，安全服务代理定期刷新白名单。
43.需要说明的是，所述安全服务代理通过所述客户端口与对应的业务服务器之间建立静态的加密连接；所述安全服务代理对所述发送用户终端的权限验证通过后，所述安全
服务代理通过所述第二服务端口与所述发送用户终端之间建立动态的加密连接。
44.在具体实施中，用户终端上运行用户代理程序，负责在业务请求发起时主动连接安全服务代理并通过ssl/tls握手建立ssl/tls加密连接。用户代理根据安全策略中心下发的安全策略连接其得到访问授权的业务服务器对应的安全服务代理的ssl/tls服务端口，并通过ssl/tls握手协议建立动态的ssl/tls加密连接，该连接的生命周期不大于用户得到的访问授权周期并在用户登出业务系统后断开连接。
45.业务服务器上运行业务代理，负责接受安全服务代理发起的ssl/tls握手并建立ssl/tls加密连接。安全服务代理根据安全策略中心下发的安全策略连接其指定的受访资源即业务服务器的业务代理的ssl/tls服务端口，该端口固定可配置，通过ssl/tls握手协议建立静态的ssl/tls加密连接并定期刷新ssl/tls会话密钥。
46.由此可见，用户代理运行在用户终端，用户访问授权资源时需要通过用户代理和安全服务代理建立动态的ssl/tls加密连接，对外部数据流量即用户代理与安全服务代理之间的流量进行加密。业务代理运行在业务服务器，作为受访资源的业务服务器需要通过业务代理和安全服务代理建立静态的ssl/tls加密连接，对内部数据流量即安全服务代理与业务代理之间的流量进行加密。也即，用户终端访问业务服务器的数据流量经过用户代理与安全服务代理之间、安全服务代理与业务代理之间两端加密，实现全程全流量加密。
47.本技术实施例提供的安全服务系统，在网关设备中为每个被保护的资源即业务服务器运行一个独立的安全服务代理，用于在对应的业务服务器与用户终端进行安全隔离。每个安全服务代理由一个独立的进程运行，通过客户终端与业务服务器通信，通过第二服务端口与用户终端通信，不同的安全服务代理绑定不同的第二服务端口，利用不同的服务端口对不同的业务服务器进行逻辑隔离，既满足了安全策略执行点的独立性，又满足了被保护资源的安全性。由此可见，本技术实施例提供的安全服务系统，既实现了安全策略执行点和受保护资源的一一对应和独立运行，又避免了大量安全硬件设备的部署和运维成本，实现了零信任的安全防护。
48.在上述实施例的基础上，作为一种优选实施方式，安全服务系统还包括安全策略中心，所述安全服务代理通过所述第一服务端口与所述安全策略中心通信；所述安全策略中心用于根据所述用户终端的身份鉴别结果和信任评分结果确定所述用户终端的访问权限和可访问业务服务器列表、将所述可访问业务服务器列表中的业务服务器对应的安全服务代理的第二服务端口地址发送至所述用户终端、生成所述业务服务器对应的安全策略，并发送至所述业务服务器对应的安全服务代理。
49.在具体实施中，安全策略中心根据用户的身份鉴别结果和信任评分决定该用户的访问权限和可访问资源列表，并根据资源列表向资源即业务服务器对应的安全服务代理和用户代理发送用户安全策略。进一步的，安全服务代理的第二服务端口可以由服务端口池统一进行分配并在安全策略中心向用户终端的用户代理下发安全策略时发送给用户。服务端口池也负责每个安全服务代理与安全策略中心通信的第一服务端口的分配。用户终端可以根据安全策略中的第二服务端口地址访问可访问业务服务器对应的安全服务代理，安全服务代理根据安全策略对用户终端进行权限验证。
50.在上述实施例的基础上，作为一种优选实施方式，所述网关设备还包括管理器，所述管理器用于基于所述安全策略中心的命令对所述安全服务代理进行控制。在具体实施
中，管理器根据安全策略中心的命令新建或关闭安全服务代理，管理器以独立进程的形式存在，并对外作为网关设备的管理进程。服务端口池对分配给安全服务代理的ssl/tls服务端口进行管理，根据业务服务器和对应安全服务代理的状态，对ssl/tls服务端口进行动态的分配与释放。
51.作为一种可行的实施实施方式，所述安全策略中心用于根据业务服务器的类型和数量确定新建的安全服务代理的数量，并在服务端口池中为新建的安全服务代理选择对应的第一服务端口地址和第二服务端口地址，向所述管理器发送安全服务代理的创建命令；所述管理器用于基于所述创建命令在所述网关设备中新建安全服务代理、为新建的安全服务代理设置对应的第一服务端口地址和第二服务端口地址。
52.在具体实施中，当增加新的资源即业务服务器时，网关设备也新建安全服务代理与之对应。新建的安全服务代理初始化时会产生自己的私钥并导入数字证书的根证书，然后通过管理员进行离线证书签发或通过scep(简单证书注册协议)在线签发证书。新建的安全服务代理与新建业务服务器的业务代理建立加密连接。新增业务资源并新建安全服务代理时，从服务端口池分配第二服务端口并报送安全策略中心，在该第二服务端口监听用户代理发起的ssl/tls安全连接。
53.作为另一种可行的实施实施方式，所述安全策略中心用于向所述管理器发送目标安全服务代理的关闭命令，并将所述目标安全服务代理对应的第一服务端口地址和第二服务端口地址重新加入所述服务端口池中；所述管理器用于基于所述关闭命令控制所述目标安全服务代理关闭。
54.在具体实施中，安全服务代理的生命周期和业务服务器同步，业务服务器宕机或下线后，相应的安全服务代理也关闭并释放资源。业务服务器宕机或下线并导致安全服务代理关闭时，分配给该安全服务代理的服务端口回收入服务端口池。
55.本技术实施例公开了一种访问控制方法，下文描述的一种访问控制方法应用于上文描述的安全服务系统中的网关设备。
56.参见图2，根据一示例性实施例示出的一种访问控制方法的流程图，如图2所示，包括：
57.s101：根据业务服务器的类型和数量在所述网关设备中创建对应数量的安全服务代理；
58.在具体实施中，在零信任网络中部署具备密码设备安全要求的网关设备和安全策略中心，并在网络中的每台用户终端上部署用户代理，在每台业务服务器上部署业务代理，根据资源即业务服务器的类型和数量在网关设备上新建安全服务代理，同时进行网关设备、安全服务代理、用户代理、业务代理、各设备和用户的数字证书签发。
59.s102：所述安全服务代理通过第一服务端口获取对应的业务服务器的安全策略，通过第二服务端口接收用户终端发送的访问请求，并利用所述安全策略对所述用户终端进行权限验证，权限验证通过后通过客户端口将所述访问请求发送至所述业务服务器；
60.在具体实施中，用户登录用户终端，并向安全策略中心进行身份鉴别和信任评分。安全策略中心根据用户的身份鉴别结果和信任评分决定该用户的访问权限和可访问资源列表，并根据资源列表向资源即业务服务器对应的安全服务代理发送用户安全策略。用户根据访问资源对应的安全服务代理，发起与安全服务代理的ssl/tls握手，建立与安全服务
代理之间的动态ssl/tls加密连接，加密保护外部网络中用户终端用户代理与安全服务代理之间的数据流量；
61.用户从用户终端访问该用户授权访问的资源即业务服务器，该数据流首先由用户终端与安全服务代理之间的ssl/tls加密连接保护并以密文形式到达安全服务代理，在安全服务代理内部解密后进行安全策略检查，符合访问控制策略的数据流由安全服务代理转发到最终的目的业务服务器，并由安全服务代理与业务服务器之间的ssl/tls加密连接进行加密保护。
62.s103：通过所述安全服务代理实现所述用户终端与所述业务服务器之间的通信。
63.在具体实施中，安全服务代理和所保护的业务服务器上的业务代理进行ssl/tls握手，建立静态的ssl/tls加密连接，加密保护内部网络中安全服务代理与业务服务器之间的数据流量，通过安全服务代理实现所述用户终端与所述业务服务器之间的通信。
64.用户结束业务活动后登出，用户终端和安全服务代理之间的ssl/tls加密连接终止，安全服务代理向安全策略中心报送相关安全日志，并按照密码设备的安全要求对用户相关安全策略、敏感安全参数和临时安全数据进行置零。
65.由此可见，本实施例提供的访问控制方法，在网关设备中为每个被保护的资源即业务服务器运行一个独立的安全服务代理，用于在对应的业务服务器与用户终端进行安全隔离，既满足了安全策略执行点的独立性，又满足了被保护资源的安全性。
66.在示例性实施例中，本技术实施例还提供了一种存储介质，即计算机存储介质，具体为计算机可读存储介质，例如包括存储计算机程序的存储器，上述计算机程序可由处理器执行，以完成前述方法所述步骤。计算机可读存储介质可以是fram、rom、prom、eprom、eeprom、flash memory、磁表面存储器、光盘、或cd-rom等存储器。
67.本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。
68.或者，本技术上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台电子设备(可以是个人计算机、服务器、或者网络设备等)执行本技术各个实施例所述方法的全部或部分。而前述的存储介质包括：移动存储设备、rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。
69.以上所述，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应以所述权利要求的保护范围为准。