安全服务系统、访问控制方法和计算机可读存储介质与流程

1.本技术涉及计算机技术领域，更具体地说，涉及一种安全服务系统、一种访问控制方法和一种计算机可读存储介质。


背景技术：

2.ipsec(internet protocol security)表示internet协议安全性，是一种开放标准的框架结构，通过在通信双方之间建立基于密码技术的安全隧道以确保在internet协议网络上进行保密而安全的通讯。ike(internet key exchange)表示internet密钥交换协议，解决在internet等不安全的网络环境中安全的建立或更新共享密钥的问题。vpn(虚拟专用网络，virtual private network)指的是在公用网络上建立专用网络的技术,它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。采用ipsec和ike协议的vpn称为ipsec vpn，主要采用了隧道技术、数字签名技术、加解密技术、密钥管理技术和身份认证技术。
3.传统的ipsec vpn设备一般作为边界安全解决方案的重要组成部分，保障一个或多个网段数据传输通道的机密性和完整性，防护粒度比较粗。近年来兴起的零信任安全(zero trus)理论，是一种网络安全架构和安全概念，以身份为中心进行网络动态访问控制，其中心思想是不应信任网络内外部的任何用户、设备、应用、流量等，对任何网络访问行为都应该基于认证和授权重构访问控制的信任基础。为了被保护资源的独立性和安全性，对于每个被保护的资源都配置一台硬件防护设备，但是，如果需要保护的资源数量巨大，在成本和部署实施上都有着很大的困难。
4.因此，如何既满足安全策略执行点的独立性，又满足被保护资源的安全性是本领域技术人员需要解决的技术问题。


技术实现要素：

5.本技术的目的在于提供一种安全服务系统、一种访问控制方法和一种计算机可读存储介质，既满足了安全策略执行点的独立性，又满足了被保护资源的安全性。
6.为实现上述目的，本技术提供了一种安全服务系统，包括用户终端、网关设备和业务服务器，所述网关设备包括多个虚拟网关单元、虚拟交换机和分流器，所述虚拟交换机与每个所述虚拟网关单元、所述分流器连接；
7.不同的所述虚拟网关单元之间通过不同的容器进行隔离，每个所述虚拟网关单元具备独立的虚拟ip地址、第一虚拟网络接口和第二虚拟网络接口，所述第一虚拟网络接口用于通过所述分流器与所述用户终端通信，所述第二虚拟网络接口用于通过所述分流器与所述虚拟网关单元对应的业务服务器通信；
8.所述分流器用于接收所述用户终端或所述业务服务器发送的网络数据，并基于所述网络数据中包含的源ip地址和目的ip地址为所述访问请求添加对应的虚拟局域网标签；其中，所述第一虚拟网络接口和第二虚拟网络接口对应不同的虚拟局域网标签；
9.所述虚拟交换机用于接收所述分流器发送的网络数据，并根据所述网络数据中包含的虚拟局域网标签将所述网络数据转发至对应的虚拟网络接口；
10.所述虚拟网关单元用于利用对应的业务服务器的安全策略对所述第一虚拟网络接口接收到的访问请求的发送用户终端进行权限验证，权限验证通过后，所述虚拟网关单元用于实现所述发送用户终端与所述虚拟网关单元对应的业务服务器之间的通信。
11.其中，还包括安全策略中心；
12.所述安全策略中心用于根据所述用户终端的身份鉴别结果和信任评分结果确定所述用户终端的访问权限和可访问业务服务器列表、将所述可访问业务服务器列表中的业务服务器对应的虚拟网关单元的ip地址发送至所述用户终端、生成所述业务服务器对应的安全策略，并发送至所述业务服务器对应的虚拟网关单元。
13.其中，所述网关设备还包括管理器，所述管理器用于基于所述安全策略中心的命令对所述虚拟网关单元进行控制。
14.其中，所述安全策略中心用于根据业务服务器的类型和数量确定新建的虚拟网关单元的数量，并在地址池中为新建的安全服务代理选择对应的ip地址，向所述管理器发送虚拟网关单元的创建命令；
15.所述管理器用于基于所述创建命令在所述网关设备中新建虚拟网关单元、为新建的虚拟网关单元设置ip地址、第一虚拟网络接口对应的第一虚拟局域网标签和第二虚拟网络接口对应的第二虚拟局域网标签。
16.其中，所述安全策略中心用于向所述管理器发送目标虚拟网关单元的关闭命令，并将所述目标虚拟网关单元对应的ip地址重新加入所述地址池中；
17.所述管理器用于基于所述关闭命令控制所述目标虚拟网关单元关闭。
18.其中，所述网关设备还包括外部物理网络端口和内部物理网络端口；
19.所述分流器通过所述外部物理网络端口与所述用户终端通信；
20.所述分流器通过所述内部物理网络端口与所述业务服务器通信。
21.其中，所述虚拟网关单元具体用于利用所述安全策略建立对应的业务服务器的访问白名单，并基于所述访问白名单对所述第一虚拟网络接口接收到的访问请求的发送用户终端进行权限验证。
22.其中，所述虚拟网关单元通过所述第二虚拟网络端口与对应的业务服务器之间建立静态的加密连接；
23.所述虚拟网关单元对所述发送用户终端的权限验证通过后，所述虚拟网关单元通过所述第一虚拟网络端口与所述发送用户终端之间建立动态的加密连接。
24.为实现上述目的，本技术提供了一种访问控制方法，应用于如上述安全服务系统中的虚拟网关单元，所述方法包括：
25.根据业务服务器的类型和数量在所述网关设备中创建对应数量的虚拟网关单元；
26.所述虚拟网关单元获取对应的业务服务器的安全策略，通过第一虚拟网络端口接收用户终端发送的访问请求，并利用所述安全策略对所述用户终端进行权限验证，权限验证通过后，通过第二虚拟网络端口将所述访问请求发送至所述业务服务器；
27.通过所述虚拟网关单元实现所述用户终端与所述业务服务器之间的通信。
28.为实现上述目的，本技术提供了一种计算机可读存储介质，所述计算机可读存储
介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上述访问控制方法的步骤。
29.通过以上方案可知，本技术提供的一种安全服务系统，包括用户终端、网关设备和业务服务器，所述网关设备包括多个虚拟网关单元、虚拟交换机和分流器，所述虚拟交换机与每个所述虚拟网关单元、所述分流器连接；不同的所述虚拟网关单元之间通过不同的容器进行隔离，每个所述虚拟网关单元具备独立的虚拟ip地址、第一虚拟网络接口和第二虚拟网络接口，所述第一虚拟网络接口用于通过所述分流器与所述用户终端通信，所述第二虚拟网络接口用于通过所述分流器与所述虚拟网关单元对应的业务服务器通信；所述分流器用于接收所述用户终端或所述业务服务器发送的网络数据，并基于所述网络数据中包含的源ip地址和目的ip地址为所述访问请求添加对应的虚拟局域网标签；其中，所述第一虚拟网络接口和第二虚拟网络接口对应不同的虚拟局域网标签；所述虚拟交换机用于接收所述分流器发送的网络数据，并根据所述网络数据中包含的虚拟局域网标签将所述网络数据转发至对应的虚拟网络接口；所述虚拟网关单元用于利用对应的业务服务器的安全策略对所述第一虚拟网络接口接收到的访问请求的发送用户终端进行权限验证，权限验证通过后，所述虚拟网关单元用于实现所述发送用户终端与所述虚拟网关单元对应的业务服务器之间的通信。
30.本技术提供的安全服务系统，在网关设备中采用基于容器的虚拟化技术，为每个被保护的资源即业务服务器运行一个独立的虚拟网关单元，用于在对应的业务服务器与用户终端进行安全隔离。虚拟网关单元以虚拟网络接口的方式接入虚拟机交换机，网络数据通过分流器进行处理，根据其源和目的地址区分流向不同的虚拟网关单元或从不同的虚拟网关单元流出，继而打上或剥离不同的虚拟局域网标签，进行逻辑上的隔离，既满足了安全策略执行点的独立性，又满足了被保护资源的安全性。由此可见，本技术提供的安全服务系统，既实现了安全策略执行点和受保护资源的一一对应和独立运行，又避免了大量安全硬件设备的部署和运维成本，实现了零信任的安全防护。本技术还公开了一种访问控制方法及一种电子设备和一种计算机可读存储介质，同样能实现上述技术效果。
31.应当理解的是，以上的一般描述和后文的细节描述仅是示例性的，并不能限制本技术。
附图说明
32.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。附图是用来提供对本公开的进一步理解，并且构成说明书的一部分，与下面的具体实施方式一起用于解释本公开，但并不构成对本公开的限制。在附图中：
33.图1为根据一示例性实施例示出的一种安全服务系统系统的结构图；
34.图2为根据一示例性实施例示出的一种访问控制方法的流程图。
具体实施方式
35.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。另外，在本技术实施例中，“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。
36.本技术实施例公开了一种安全服务系统，既满足了安全策略执行点的独立性，又满足了被保护资源的安全性。
37.参见图1，根据一示例性实施例示出的一种安全服务系统的结构图，如图1所示，包括用户终端、网关设备和业务服务器，所述网关设备包括多个虚拟网关单元、虚拟交换机和分流器，所述虚拟交换机与每个所述虚拟网关单元、所述分流器连接；
38.不同的所述虚拟网关单元之间通过不同的容器进行隔离，每个所述虚拟网关单元具备独立的虚拟ip地址、第一虚拟网络接口和第二虚拟网络接口，所述第一虚拟网络接口用于通过所述分流器与所述用户终端通信，所述第二虚拟网络接口用于通过所述分流器与所述虚拟网关单元对应的业务服务器通信；
39.所述分流器用于接收所述用户终端或所述业务服务器发送的网络数据，并基于所述网络数据中包含的源ip地址和目的ip地址为所述访问请求添加对应的虚拟局域网标签；其中，所述第一虚拟网络接口和第二虚拟网络接口对应不同的虚拟局域网标签；
40.所述虚拟交换机用于接收所述分流器发送的网络数据，并根据所述网络数据中包含的虚拟局域网标签将所述网络数据转发至对应的虚拟网络接口；
41.所述虚拟网关单元用于利用对应的业务服务器的安全策略对所述第一虚拟网络接口接收到的访问请求的发送用户终端进行权限验证，权限验证通过后，所述虚拟网关单元用于实现所述发送用户终端与所述虚拟网关单元对应的业务服务器之间的通信。
42.在本实施例中，用户终端通过网关设备访问业务服务器，网关设备具体为ipsec vpn网关设备，用户终端和业务服务器上可以分别部署vpn客户端。用户终端根据安全策略连接业务服务器对应的虚拟网关单元，虚拟网关单元根据安全策略连接对应的业务服务器。
43.在具体实施中，网关设备上运行多个虚拟网关单元，一台或一类业务服务器资源对应一个虚拟网关单元，虚拟网关单元之间基于容器虚拟化技术进行相互隔离，容器是一种轻量级的虚拟化技术，容器为应用程序提供了隔离的运行空间，每个容器内都包含一个独享的完整的用户环境空间，并且一个容器内的变动不会影响其他容器的运行环境。虚拟网关单元采用基于容器的虚拟化技术，具有各自独立运行的网络协议栈、进程空间、文件系统和内存管理。虚拟网关单元以虚拟网络接口的方式接入虚拟交换机，每个虚拟网关单元具备两个虚拟网络接口，即第一虚拟网络接口和第二虚拟网络接口，依次通过虚拟交换机、分流器分别连接外部的用户终端和内部的业务服务器。
44.虚拟交换机连接不同虚拟网关单元以及分流器的虚拟网络接口，对来自各虚拟网络接口的数据报文进行二层交换和转发。虚拟交换机采用基于802.1q的vlan标签技术将流入流出不同虚拟网关单元以及从同一个虚拟网关单元流入流出内外部网络的数据流量进行逻辑隔离。在具体实施中，为第一虚拟网络接口和第二虚拟网络接口分配不同的虚拟局
域网标签，用于对同一个虚拟网关单元流入流出内外部网络的数据流量进行逻辑隔离，不同虚拟网关单元的虚拟网络接口分配不同的虚拟局域网标签，用于将流入流出不同虚拟网关单元的数据流量进行逻辑隔离。
45.作为一种可行的实施方式，所述网关设备还包括外部物理网络端口和内部物理网络端口；所述分流器通过所述外部物理网络端口与所述用户终端通信；所述分流器通过所述内部物理网络端口与所述业务服务器通信。在具体实施中，分流器以虚拟网络接口的形式分别连接虚拟交换机和内外物理网络接口。物理网络接口收发的网络数据通过分流器进行处理，并通过为不同虚拟网关单元以及虚拟网关单元与外部用户终端和内部业务服务器的不同数据流分配不同的虚拟局域网标签进行逻辑上的隔离。在具体实施中，从连接用户终端的外部网络接口收到的数据报文，根据其目的ip地址区分流向不同的虚拟网关单元，并打上不同的虚拟局域网标签后进入虚拟交换机；相应的从不同虚拟网关单元流向外部用户终端的数据报文从虚拟交换机进入分流器时会带有对应的虚拟局域网标签并由分流器进行剥离后流入外部网络接口；从连接业务服务器侧的内部网络接口收到的数据报文，根据其目的ip地址区分流向不同的虚拟网关单元，并打上不同的虚拟局域网标签后进入虚拟交换机；相应的从不同虚拟网关单元流向内部业务服务器资源的数据报文从虚拟交换机进入分流器时会带有对应的虚拟局域网标签并由分流器进行剥离后流入内部网络接口。分流器同时也作为以网关设备的管理地址为源和目的地址的管理报文的收发中继，与管理器通过虚拟网络接口连接。
46.进一步的，所述虚拟网关单元具体用于利用所述安全策略建立对应的业务服务器的访问白名单，并基于所述访问白名单对所述第一虚拟网络接口接收到的访问请求的发送用户终端进行权限验证。在具体实施中，虚拟网关单元根据安全策略建立白名单，只有白名单中的ip和用户才能与虚拟网关单元连接并进行ike密钥协商，虚拟网关单元定期刷新白名单。
47.需要说明的是，所述虚拟网关单元通过所述第二虚拟网络端口与对应的业务服务器之间建立静态的加密连接，也即建立内部安全通道1、2、
…
、n；所述虚拟网关单元对所述发送用户终端的权限验证通过后，所述虚拟网关单元通过所述第一虚拟网络端口与所述发送用户终端之间建立动态的加密连接。
48.在具体实施中，用户终端根据安全策略连接其得到访问授权的业务服务器对应的虚拟网关单元，并通过ike密钥协商和对应的虚拟网关单元建立动态的ipsec加密通道，该通道的生命周期不大于用户得到的访问授权周期并在用户登出业务系统后终止。虚拟网关单元根据安全策略连接其指定保护的业务服务器，通过ike密钥协商和其指定保护的业务服务器建立静态的ipsec加密通道并定期刷新ipsec会话密钥。
49.由此可见，虚拟网关单元作为一个完整独立的虚拟ipsec vpn设备运行，其内部采用数控分离架构，分为管理平面、控制平面和数据平面三层运行空间，管理平面接受安全策略中心的策略管理，控制平面运行ike密钥协商程序，数据平面建立ipsec加密通道对数据报文进行加解密处理。vpn客户端运行在用户终端和业务服务器。用户访问授权资源时需要通过vpn客户端和虚拟网关单元建立动态的ipsec加密通道，对外部数据流量进行加密；作为受访资源的业务服务器需要通过vpn客户端和虚拟网关单元建立静态的ipsec加密通道，对内部数据流量进行加密。也即，用户终端访问业务服务器的数据流量经过用户终端与虚
拟网关单元之间、虚拟网关单元与业务服务器之间两端加密，实现全程全流量加密。
50.本技术实施例提供的安全服务系统，在网关设备中采用基于容器的虚拟化技术，为每个被保护的资源即业务服务器运行一个独立的虚拟网关单元，用于在对应的业务服务器与用户终端进行安全隔离。虚拟网关单元以虚拟网络接口的方式接入虚拟机交换机，网络数据通过分流器进行处理，根据其源和目的地址区分流向不同的虚拟网关单元或从不同的虚拟网关单元流出，继而打上或剥离不同的虚拟局域网标签，进行逻辑上的隔离，既满足了安全策略执行点的独立性，又满足了被保护资源的安全性。由此可见，本技术提供的安全服务系统，既实现了安全策略执行点和受保护资源的一一对应和独立运行，又避免了大量安全硬件设备的部署和运维成本，实现了零信任的安全防护。
51.在上述实施例的基础上，作为一种优选实施方式，安全服务系统还包括安全策略中心；所述安全策略中心用于根据所述用户终端的身份鉴别结果和信任评分结果确定所述用户终端的访问权限和可访问业务服务器列表、将所述可访问业务服务器列表中的业务服务器对应的虚拟网关单元的ip地址发送至所述用户终端、生成所述业务服务器对应的安全策略，并发送至所述业务服务器对应的虚拟网关单元。
52.在具体实施中，安全策略中心根据用户的身份鉴别结果和信任评分决定该用户的访问权限和可访问资源列表，并根据资源列表向资源即业务服务器对应的虚拟网关单元和用户终端发送用户安全策略。进一步的，可以通过地址池对分配给虚拟网关单元的ip地址进行管理，根据业务服务器和对应虚拟网关单元的状态，对ip地址进行动态的分配与释放。用户终端可以通过安全策略中的ip地址访问可访问业务服务器对应的虚拟网关单元，虚拟网关单元根据安全策略对用户终端进行权限验证。
53.在上述实施例的基础上，作为一种优选实施方式，所述网关设备还包括管理器，所述管理器用于基于所述安全策略中心的命令对所述虚拟网关单元进行控制。在具体实施中，管理器根据安全策略中心的命令新建或关闭虚拟网关单元。管理器以独立容器的形式存在，通过虚拟网络接口和分流器连接，并对外作为网关设备的管理地址。管理器不直接连接物理网络接口，以网关设备的管理地址为源和目的地址的管理报文的收发通过分流器进行。
54.作为一种可行的实施实施方式，所述安全策略中心用于根据业务服务器的类型和数量确定新建的虚拟网关单元的数量，并在地址池中为新建的安全服务代理选择对应的ip地址，向所述管理器发送虚拟网关单元的创建命令；所述管理器用于基于所述创建命令在所述网关设备中新建虚拟网关单元、为新建的虚拟网关单元设置ip地址、第一虚拟网络接口对应的第一虚拟局域网标签和第二虚拟网络接口对应的第二虚拟局域网标签。
55.在具体实施中，当增加新的业务服务器时，通知网关设备的管理器新建和该资源对应的虚拟网关单元，并建立加密通道。新建的虚拟网关单元初始化时会产生自己的私钥并导入数字证书的根证书，然后通过管理员进行离线证书签发或通过scep(简单证书注册协议)在线签发证书。虚拟网关单元的ip地址从地址池中获取，并报送安全策略中心。
56.作为另一种可行的实施实施方式，所述安全策略中心用于向所述管理器发送目标虚拟网关单元的关闭命令，并将所述目标虚拟网关单元对应的ip地址重新加入所述地址池中；所述管理器用于基于所述关闭命令控制所述目标虚拟网关单元关闭。
57.在具体实施中，虚拟网关单元的生命周期和业务服务器同步，业务服务器宕机或
下线后，相应的虚拟网关单元也关闭并释放资源和ip地址。业务服务器宕机或下线并导致虚拟网关单元关闭时，分配给该虚拟网关单元的ip地址回收入地址池。
58.本技术实施例公开了一种访问控制方法，下文描述的一种访问控制方法应用于上文描述的安全服务系统中的网关设备。
59.参见图2，根据一示例性实施例示出的一种访问控制方法的流程图，如图2所示，包括：
60.s101：根据业务服务器的类型和数量在所述网关设备中创建对应数量的虚拟网关单元；
61.在具体实施中，在零信任网络中部署具备密码设备安全要求的网关设备和安全策略中心，并在网络中的每台用户终端或业务服务器上部署vpn客户端，根据资源即业务服务器的类型和数量在网关设备上新建虚拟网关单元，同时进行网关设备、虚拟网关单元、vpn客户端、各设备和用户的数字证书签发。
62.s102：所述虚拟网关单元获取对应的业务服务器的安全策略，通过第一虚拟网络端口接收用户终端发送的访问请求，并利用所述安全策略对所述用户终端进行权限验证，权限验证通过后，通过第二虚拟网络端口将所述访问请求发送至所述业务服务器；
63.在具体实施中，用户登录用户终端，并向安全策略中心进行身份鉴别和信任评分，安全策略中心根据用户的身份鉴别结果和信任评分决定该用户的访问权限和可访问资源列表，并根据资源列表向资源即业务服务器对应的虚拟网关单元发送用户安全策略。用户根据访问资源对应的虚拟网关单元，发起与虚拟网关单元的ike密钥协商，建立与虚拟网关单元之间的动态ipsec加密通道，加密保护外部网络中用户终端-虚拟网关单元之间的数据流量；
64.用户从用户终端访问该用户授权访问的资源即业务服务器，该数据流首先由用户终端-虚拟网关单元之间的ipsec加密通道保护并以密文形式到达虚拟网关单元，在虚拟网关单元内部解密后进行安全策略检查，符合访问控制策略的数据流由虚拟网关单元转发到最终的目的业务服务器，并由虚拟网关单元-业务服务器之间的ipsec加密通道进行加密保护。
65.s103：通过所述虚拟网关单元实现所述用户终端与所述业务服务器之间的通信。
66.在具体实施中，虚拟网关单元和所保护的业务服务器上的vpn客户端进行ike密钥协商，建立静态的ipsec加密通道，加密保护内部网络中虚拟网关单元-业务服务器之间的数据流量。
67.用户结束业务活动后登出，用户终端和虚拟网关单元之间的ipsec加密通道终止，虚拟网关单元向安全策略中心报送相关安全日志，并按照密码设备的安全要求对用户相关安全策略、敏感安全参数和临时安全数据进行置零。
68.由此可见，本实施例提供的访问控制方法，在网关设备中为每个被保护的资源即业务服务器运行一个独立的虚拟网关单元，用于在对应的业务服务器与用户终端进行安全隔离，既满足了安全策略执行点的独立性，又满足了被保护资源的安全性。
69.在示例性实施例中，本技术实施例还提供了一种存储介质，即计算机存储介质，具体为计算机可读存储介质，例如包括存储计算机程序的存储器，上述计算机程序可由处理器执行，以完成前述方法所述步骤。计算机可读存储介质可以是fram、rom、prom、eprom、
eeprom、flash memory、磁表面存储器、光盘、或cd-rom等存储器。
70.本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。
71.或者，本技术上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台电子设备(可以是个人计算机、服务器、或者网络设备等)执行本技术各个实施例所述方法的全部或部分。而前述的存储介质包括：移动存储设备、rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。
72.以上所述，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应以所述权利要求的保护范围为准。