基于集中授权的服务资源访问方法及其装置与流程

本发明涉及网络安全，具体而言，涉及一种基于集中授权的服务资源访问方法及其装置。

背景技术：

1、当前，网络依赖于防火墙来实现网络隔离，通过在防火墙上配置安全策略来控制不同ip(internet protocol，即网际互连协议)地址或特定用户/用户组之间的通信，以及对各种服务资源的访问权限。然而，由于网络中终端种类的增加、虚拟化技术和云计算的广泛应用，这种网络隔离方式已经难以提供足够的安全防护。而零信任访问控制系统可以根据用户的身份，采用零信任原则，实现对用户访问服务资源的最小授权，并进行动态持续的验证，并且零信任访问控制系统的分布式设计使其能够灵活地适应各种网络环境。

2、图1是根据相关技术中的一种可选的基于零信任访问控制系统进行服务资源访问的示意图，如图1所示，零信任访问控制系统通常由一个控制器和多个访问控制节点(例如，防火墙a、防火墙b等)组成，每个访问控制节点对接一个服务器(例如，防火墙a对接服务器a，防火墙b对接服务器b)。用户通过系统访问服务资源过程主要分为三个阶段：认证、服务访问授权和动态持续验证。在认证阶段，用户需要通过系统提供的登录界面建立连接并进行身份验证，系统将认证结果传递给系统内部的各个访问控制节点(即用户向控制器提供认证鉴权信息，控制器将认证鉴权结果发送至用户以及系统内部的各个访问控制节点)；在服务访问授权阶段，当用户选择并请求访问某资源时(例如，用户请求访问服务的是服务器b)，用户流量经过的每个访问控制节点都会根据请求流量中的关键信息(如ip地址、端口、协议等)及用户状态信息(如所使用的终端和操作系统)进行策略匹配，以确定是否放行该流量；在动态持续验证阶段，系统中的策略信息收集点会不断采集和更新用户状态，对现有连接进行实时检查，并动态地断开那些不再符合访问策略的连接。

3、相关技术中，分布式系统具有集中认证和身份信息传递技术，该技术首先在接入点的首台防火墙上进行用户身份认证，随后将身份认证信息与其对应的ip地址映射关系传递给后续的防火墙。当用户尝试连接到系统时，首台防火墙向用户展示登录界面。用户成功登录后，其用户id(即用户标识)与其使用的源ip地址的绑定关系将被转发到后续的防火墙。因此，当用户试图访问某服务资源时，流量所经过的每台防火墙都能够根据该源ip地址查询到用户id，进而进行策略匹配和授权检查。

4、然而，采用上述技术进行策略匹配和授权检查时存在如下问题：(1)策略查找时源ip地址来代表用户，所以要求在系统中用户的源地址不能被改变。但是实际环境中，用户在接入系统之前和进入到系统之后都可能有地址转换的需求，该方案无法支持这种情况；(2)系统内部的每个访问控制节点都同时承担了策略决策点和策略执行点的角色，需要存储并同步全部的访问控制策略和用户的状态信息，并且能够使用这些信息进行策略匹配，因此，需要每个防火墙都具备较高的计算存储能力，同时还需要实时同步大量的用户状态信息；(3)不便于对系统中的流量进行追踪定位。流量的追踪依赖于五元组信息，对于同一个用户会话，每个访问控制节点可能不同，日志服务器需要根据五元组和上送的节点来还原用户和服务信息并进行关联。

技术实现思路

1、本发明实施例提供了一种基于集中授权的服务资源访问方法及其装置，以至少解决相关技术中每个访问控制节点都要对用户的服务资源访问请求进行重复授权，导致授权成本较高以及访问效率较低的技术问题。

2、根据本发明实施例的一个方面，提供了一种基于集中授权的服务资源访问方法，应用于预设系统中的控制器，所述预设系统包括：所述控制器、多个访问控制节点，所述方法包括：在对发起连接请求的目标用户进行身份认证通过的情况下，将所述连接请求重定向至目标接入网关，完成所述目标用户的用户终端与所述目标接入网关之间的连接，其中，所述目标接入网关是所述预设系统中的所述访问控制节点，所述目标接入网关用于接收所述用户终端发送的服务资源访问请求；接收所述目标接入网关基于所述服务资源访问请求发送的授权信息；基于所述授权信息对所述服务资源访问请求进行授权，得到授权结果，并在所述授权结果指示允许所述服务资源访问请求通过的情况下，生成授权值；将所述授权值下发至所述目标接入网关，其中，所述目标接入网关用于打包所述授权值和所述服务资源访问请求并通过转发节点转发至目标服务器，所述目标服务器用于提供所述服务资源访问请求所请求的目标服务资源，所述转发节点是所述预设系统中的不同于所述目标接入网关的所述访问控制节点。

3、进一步地，所述服务资源访问方法还包括：在接收所述目标用户通过所述用户终端发送的所述连接请求之前，若所述用户终端将所述连接请求发送至所述访问控制节点，则控制所述访问控制节点将所述连接请求重定向至所述控制器；或者，在所述用户终端将所述连接请求发送至所述控制器的情况下，控制所述控制器接收所述连接请求。

4、进一步地，所述目标接入网关是在所述目标用户的身份认证通过的情况下，所述预设系统的所有访问控制节点中距离所述用户终端的地理位置最近的所述访问控制节点。

5、进一步地，所述授权信息至少包括：目标用户标识、所述目标服务资源的标识，基于所述授权信息对所述服务资源访问请求进行授权的步骤，包括：将所述目标用户标识与预设授权策略库中的所有用户标识进行匹配，其中，所述预设授权策略库预先存储有预设映射表，所述预设映射表用于记录每条所述用户标识对应的授权服务资源标识集合，所述授权服务资源标识集合中的每个授权服务资源标识是所述用户标识指示的用户具有权限访问的服务资源的标识；在所述目标用户标识与任一所述用户标识匹配成功的情况下，将所述目标服务资源的标识在匹配成功的所述用户标识对应的授权服务资源标识集合中的所有所述授权服务资源标识进行匹配；在所述目标服务资源的标识与任一所述授权服务资源标识匹配成功的情况下，允许所述服务资源访问请求通过；在所述目标服务资源的标识与所有所述授权服务资源标识都不匹配的情况下，阻断所述服务资源访问请求。

6、进一步地，在所述授权结果指示允许所述服务资源访问请求通过的情况下，生成授权值之后，还包括：将所述目标接入网关、所述授权信息以及所述授权值进行关联，得到以所述授权值为授权标识的授权记录，并将所述授权记录记录至授权表中。

7、进一步地，在将所述授权值下发至所述目标接入网关之后，还包括：将所述授权值下发至所有所述访问控制节点，其中，所述授权值，用于作为所述目标接入网关的访问控制节点建立会话，并通过所述会话向作为转发节点的访问控制节点转发请求报文，所述请求报文是基于所述授权值以及所述服务资源访问请求组合成的报文；所述授权值，用于作为所述转发节点的访问控制节点在接收到所述请求报文后，确定是否转发所述请求报文。

8、进一步地，所述服务资源访问方法还包括：在检测到所述目标用户的用户状态发生变化的情况下，基于目标用户标识获取与所述目标用户标识关联的所有所述授权值，并将所述目标用户标识关联的各所述授权值记录为失效授权值，其中，所述用户状态是基于所述用户终端确定的；向所有接收过所述授权值是所述失效授权值的访问控制节点下发授权值撤销控制命令；其中，所述授权值撤销控制命令用于指示丢弃基于所述授权值授权的服务资源访问请求。

9、进一步地，在对所述服务资源访问请求授权完成的情况下，所述授权值以及会话信息由每个所述访问控制节点发送至预设服务器，其中，所述预设服务器用于将所述授权值与所述会话信息进行关联，并记录至预设授权关联表中，所述会话信息是所述访问控制节点创建会话后产生的日志信息。

10、根据本发明实施例的另一方面，还提供了一种基于集中授权的服务资源访问方法，其特征在于，应用于预设系统中的访问控制节点，所述预设系统包括：控制器、多个所述访问控制节点，所述方法包括：

11、在所述访问控制节点作为目标接入网关的情况下，建立与身份认证通过后的目标用户的用户终端之间的连接，并接收所述用户终端发送的服务资源访问请求；基于所述服务资源访问请求，向所述控制器发送授权信息；其中，所述授权信息用于所述控制器对所述服务资源访问请求进行授权以得到授权结果；接收所述控制器发送的授权值，其中，所述授权值是所述控制器在所述授权结果指示允许所述服务资源访问请求通过的情况下生成的；对所述授权值和所述服务资源访问请求进行打包得到请求报文，并将请求报文通过转发节点转发至目标服务器，所述目标服务器用于提供所述服务资源访问请求所请求的目标服务资源，所述转发节点是所述预设系统中的不同于所述目标接入网关的所述访问控制节点。

12、进一步地，所述目标接入网关是在所述目标用户的身份认证通过的情况下，所述预设系统的所有访问控制节点中距离所述用户终端的地理位置最近的所述访问控制节点。

13、进一步地，所述授权值，用于作为所述目标接入网关的访问控制节点建立会话，并通过所述会话向作为转发节点的访问控制节点转发请求报文，所述请求报文是基于所述授权值以及所述服务资源访问请求组合成的报文；所述授权值，用于作为所述转发节点的访问控制节点在接收到所述请求报文后，确定是否转发所述请求报文。

14、进一步地，所述方法还包括:接收所述控制器发送的授权值撤销控制命令；其中，所述授权值撤销控制命令用于指示丢弃基于所述授权值授权的服务资源访问请求。

15、进一步地，所述方法还包括:将所述授权值以及会话信息发送至预设服务器，其中，所述预设服务器用于将所述授权值与所述会话信息进行关联，并记录至预设授权关联表中，所述会话信息是所述访问控制节点创建会话后产生的日志信息。

16、根据本发明实施例的另一方面，还提供了一种基于集中授权的服务资源访问装置，应用于预设系统中的控制器，所述预设系统包括：所述控制器、多个访问控制节点，包括：重定向单元，用于在对发起连接请求的目标用户进行身份认证通过的情况下，将所述连接请求重定向至目标接入网关，完成所述目标用户的用户终端与所述目标接入网关之间的连接，其中，所述目标接入网关是所述预设系统中的所述访问控制节点，所述目标接入网关用于接收所述用户终端发送的服务资源访问请求，并基于所述服务资源访问请求提取授权信息，将所述授权信息发送至所述控制器；第一接收单元，用于接收所述目标接入网关基于所述服务资源访问请求发送的授权信息；授权单元，用于基于所述授权信息对所述服务资源访问请求进行授权，得到授权结果，并在所述授权结果指示允许所述服务资源访问请求通过的情况下，生成授权值；下发单元，用于将所述授权值下发至所述目标接入网关，其中，所述目标接入网关用于打包所述授权值和所述服务资源访问请求并通过转发节点转发至目标服务器，所述目标服务器用于提供所述服务资源访问请求所请求的目标服务资源，所述转发节点是所述预设系统中的不同于所述目标接入网关的所述访问控制节点。

17、根据本发明实施例的另一方面，还提供了一种基于集中授权的服务资源访问装置，应用于预设系统中的访问控制节点，所述预设系统包括控制器和多个所述访问控制节点，所述装置包括：

18、连接单元，用于在所述访问控制节点作为目标接入网关的情况，建立与身份认证通过后的目标用户的用户终端之间的连接，并接收所述用户终端发送的服务资源访问请求；

19、第一发送单元，用于基于所述服务资源访问请求，向所述控制器发送授权信息；其中，所述授权信息用于所述控制器对所述服务资源访问请求进行授权以得到授权结果；

20、第二接收单元，用于接收所述控制器发送的授权值，其中，所述授权值是所述控制器在所述授权结果指示允许所述服务资源访问请求通过的情况下生成的；

21、第二发送单元，用于对所述授权值和所述服务资源访问请求进行打包得到请求报文，并将请求报文通过转发节点转发至目标服务器，所述目标服务器用于提供所述服务资源访问请求所请求的目标服务资源，所述转发节点是所述预设系统中的不同于所述目标接入网关的所述访问控制节点。

22、根据本发明实施例的另一方面，还提供了一种电子设备，包括一个或多个处理器和存储器，所述存储器用于存储一个或多个程序，其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现上述任意一项基于集中授权的服务资源访问方法。

23、在本发明中，在对发起连接请求的目标用户进行身份认证通过的情况下，将连接请求重定向至目标接入网关，完成目标用户的用户终端与目标接入网关之间的连接，接收目标接入网关基于服务资源访问请求发送的授权信息，基于授权信息对服务资源访问请求进行授权，得到授权结果，并在授权结果指示允许服务资源访问请求通过的情况下，生成授权值，将授权值下发至目标接入网关，以使目标接入网关打包授权值和服务资源访问请求并通过转发节点转发至目标服务器。如此，能够通过控制器对服务资源访问请求进行集中授权，有效降低了授权成本以及提高了访问效率，进而解决了相关技术中每个访问控制节点都要对用户的服务资源访问请求进行重复授权，导致授权成本较高以及访问效率较低的技术问题。