[发明专利]非http协议应用的策略中心、控制系统、方法、介质及设备

权利要求书

1.一种非http协议应用的访问控制系统，包括：外网用户设备以及业务系统主机，其特征在于，还包括：

可信访问控制系统和策略中心；

所述策略中心用于生成用户的访问控制策略，对用户的访问请求进行鉴权，将鉴权结果发送给所述可信访问控制系统；

所述策略中心与所述可信访问控制系统相连接；

所述可信访问控制系统用于对用户的访问请求，进行可信访问控制；

所述外网用户设备通过路由设备连接所述可信访问控制系统，通过所述可信访问控制系统的可信访问控制的外网用户设备连接内网的所述业务系统主机；

所述策略中心，包括：

身份认证单元，用于对用户进行认证，认证通过后生成用户token；

传输单元，用于将用户token发送到可信访问控制系统；

所述身份认证单元具体通过生物识别认证和/或用户口令认证和/或电子签名认证对用户的身份进行认证；

所述生物识别认证具体包括：指纹认证和/或人脸识别认证。

2.根据权利要求1所述的系统，其特征在于，所述可信访问控制系统具体用于：

当用户访问非http应用业务的业务请求到达后，提取源IP地址；

使用所述源IP地址做用户名查询身份ID信息，进行判断是否有所述身份ID信息，若没有所述身份ID信息，重新定向到认证页面。

3.根据权利要求1所述的系统，其特征在于，

所述策略中心还用于用户认证，当用户认证通过后，为用户生成用户令牌并发送给所述可信访问控制系统；

所述可信访问控制系统还用于获取所述用户令牌后，建立用户身份ID表项。

4.根据权利要求3所述的系统，其特征在于，所述用户身份ID表项具体包括：

用户名、用户IP地址和用户token。

5.一种非http协议应用的可信访问控制方法，应用于权利要求1～4任一项中所述的非http协议应用的访问控制系统上，其特征在于，包括：

用户访问非http协议的IP应用，将请求送达所述可信访问控制系统；

所述可信访问控制系统提取请求报文的源IP，根据所述源IP查询所述用户身份ID表项，并在所述用户身份ID表项中进行有无匹配项的查询判断；

若有则获取所述用户身份ID表项，提取其中的用户token；

若没有则重新定向到用户认证界面，对用户进行认证。

6.根据权利要求5所述的方法，其特征在于，

所述提取其中的用户token之后，还包括：

所述可信访问控制系统将用户访问资源标识发送到所述策略中心进行权限鉴权，其中，所述用户访问资源标识具体包括：目的IP地址、端口号和/或用户token的信息；

所述策略中心根据所述用户token和所述用户访问资源标识对用户进行鉴权，若鉴权通过则对所述请求报文放行；若不通过则将所述请求报文丢弃。

7.根据权利要求5所述的方法，其特征在于，所述对用户进行认证的过程具体包括：

所述策略中心对用户进行认证，认证通过后生成用户token；

所述策略中心将用户token发送到所述可信访问控制系统；

所述可信访问控制系统创建用户身份ID表项。

8.根据权利要求7所述的方法，其特征在于，所述策略中心对用户进行认证具体包括：

利用所述身份认证单元通过生物识别认证和/或用户口令认证和/或电子签名认证对用户的身份进行认证。