技术特征:
1.一种安全服务系统,其特征在于,包括用户终端、网关设备和业务服务器,所述网关设备包括多个安全服务代理,每个所述安全服务代理具备独立的进程空间、第一服务端口、第二服务端口和客户端口;所述第一服务端口用于获取所述安全服务代理对应的业务服务器的安全策略,所述第二服务端口用于与所述用户终端通信,所述客户端口用于与所述安全服务代理对应的业务服务器通信;所述安全服务代理用于利用所述安全策略对所述第二服务端口接收到的访问请求的发送用户终端进行权限验证,权限验证通过后,所述安全服务代理用于实现所述发送用户终端与所述安全服务代理对应的业务服务器之间的通信。2.根据权利要求1所述安全服务系统,其特征在于,还包括安全策略中心,所述安全服务代理通过所述第一服务端口与所述安全策略中心通信;所述安全策略中心用于根据所述用户终端的身份鉴别结果和信任评分结果确定所述用户终端的访问权限和可访问业务服务器列表、将所述可访问业务服务器列表中的业务服务器对应的安全服务代理的第二服务端口地址发送至所述用户终端、生成所述业务服务器对应的安全策略,并发送至所述业务服务器对应的安全服务代理。3.根据权利要求2所述安全服务系统,其特征在于,所述网关设备还包括管理器,所述管理器用于基于所述安全策略中心的命令对所述安全服务代理进行控制。4.根据权利要求3所述安全服务系统,其特征在于,所述安全策略中心用于根据业务服务器的类型和数量确定新建的安全服务代理的数量,并在服务端口池中为新建的安全服务代理选择对应的第一服务端口地址和第二服务端口地址,向所述管理器发送安全服务代理的创建命令;所述管理器用于基于所述创建命令在所述网关设备中新建安全服务代理、为新建的安全服务代理设置对应的第一服务端口地址和第二服务端口地址。5.根据权利要求3所述安全服务系统,其特征在于,所述安全策略中心用于向所述管理器发送目标安全服务代理的关闭命令,并将所述目标安全服务代理对应的第一服务端口地址和第二服务端口地址重新加入所述服务端口池中;所述管理器用于基于所述关闭命令控制所述目标安全服务代理关闭。6.根据权利要求1所述安全服务系统,其特征在于,所述网关设备还包括外部物理网络端口和内部物理网络端口;所述安全服务代理通过所述外部物理网络端口与所述用户终端通信,所述外部物理网络端口用于基于接收到的访问请求中包含的第二服务端口地址将所述访问请求发送至对应的安全服务代理;所述安全服务代理通过所述内部物理网络端口与对应的业务服务器通信。7.根据权利要求1所述安全服务系统,其特征在于,所述安全服务代理具体用于利用所述安全策略建立对应的业务服务器的访问白名单,并基于所述访问白名单对所述第二服务端口接收到的访问请求的发送用户终端进行权限验证。8.根据权利要求1所述安全服务系统,其特征在于,所述安全服务代理通过所述客户端口与对应的业务服务器之间建立静态的加密连接;所述安全服务代理对所述发送用户终端的权限验证通过后,所述安全服务代理通过所
述第二服务端口与所述发送用户终端之间建立动态的加密连接。9.一种访问控制方法,其特征在于,应用于如权利要求1至8中任一项所述安全服务系统中的网关设备,所述方法包括:根据业务服务器的类型和数量在所述网关设备中创建对应数量的安全服务代理;所述安全服务代理通过第一服务端口获取对应的业务服务器的安全策略,通过第二服务端口接收用户终端发送的访问请求,并利用所述安全策略对所述用户终端进行权限验证,权限验证通过后通过客户端口将所述访问请求发送至所述业务服务器;通过所述安全服务代理实现所述用户终端与所述业务服务器之间的通信。10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求9所述访问控制方法的步骤。
技术总结
本申请公开了一种安全服务系统、访问控制方法和计算机可读存储介质,安全服务系统包括用户终端、网关设备和业务服务器,网关设备包括多个安全服务代理,每个安全服务代理具备独立的进程空间、第一服务端口、第二服务端口和客户端口;第一服务端口用于获取安全服务代理对应的业务服务器的安全策略,第二服务端口用于与用户终端通信,客户端口用于与安全服务代理对应的业务服务器通信;安全服务代理用于利用安全策略对第二服务端口接收到的访问请求的发送用户终端进行权限验证,权限验证通过后,安全服务代理用于实现发送用户终端与安全服务代理对应的业务服务器之间的通信。本申请既满足了安全策略执行点的独立性,又满足了被保护资源的安全性。保护资源的安全性。保护资源的安全性。
技术研发人员:罗俊
受保护的技术使用者:成都卫士通信息产业股份有限公司
技术研发日:2022.03.03
技术公布日:2022/6/16