[发明专利]非http协议应用的策略中心、控制系统、方法、介质及设备

说明书

本公开提供了非http协议应用的策略中心、控制系统、方法、介质及设备，其中，所述系统包括：外网用户设备以及业务系统主机，还包括：策略中心和可信访问控制系统；所述策略中心用于生成用户的访问控制策略，对用户的访问请求进行鉴权，将所述鉴权结果发送给所述可信访问控制系统；所述策略中心与所述可信访问控制系统相连接；所述可信访问控制系统用于对用户的访问请求，进行可信访问控制；所述外网用户设备通过路由设备连接所述可信访问控制系统，通过所述可信访问控制系统的可信访问控制的外网设备连接内网的所述业务系统主机。通过本公开的方案，可以为企业、互联网、政务网的所有IP业务，实现可信访问控制，提高了整个应用业务系统的安全性。

技术领域

本公开涉及互联网技术领域，更为具体来说，本公开涉及非http协议应用的策略中心、控制系统、方法、介质及设备。

背景技术

随着零信任防护体系逐步进入落地实施化，对多种协议的应用访问进行可信访问控制，有着越来越多的需求。由于对用户报文进行可信访问控制，通过报文识别报文的用户的身份，因此，当前可信访问控制，支持的主要应用为http应用，对其他的非http应用的可信访问控制，存在一些技术困难。

当前，对应用的可信访问控制，主要集中在对http应用的可信访问控制，主要通过cooike来标识用户的身份，在业务请求报文中，通过带cooike来传递用户的身份。

现有技术，主要存在如下缺点：

现有技术主要支持web业务，对其他协议的应用业务，缺乏有效的技术手段来支持可信访问控制；同时，非web应用业务，很多业务也有很强的安全防护需求，需要基于零信任防护架构，实现实时的可信访问控制。

发明内容

为解决现有技术的不能满足非http应用的可信访问控制的技术问题。

为实现上述技术目的，本公开提供了一种非http协议应用策略中心，包括：

身份认证单元，用于对用户进行认证，认证通过后生成用户token；

传输单元，用于将用户token发送到可信访问控制系统。

进一步，身份认证单元具体通过生物识别认证和/或用户口令认证和/或电子签名认证对用户的身份进行认证。

进一步，生物识别认证具体包括：指纹认证和/或人脸识别认证。

为实现上述技术目的，本公开提供了一种非http协议应用的访问控制系统，包括：外网用户设备以及业务系统主机，还包括：

策略中心和可信访问控制系统；

策略中心用于生成用户的访问控制策略，对用户的访问请求进行鉴权，将鉴权结果发送给可信访问控制系统；

策略中心与可信访问控制系统相连接；

可信访问控制系统用于对用户的访问请求，进行可信访问控制；

外网用户设备通过路由设备连接所述可信访问控制系统，通过可信访问控制系统的可信访问控制的外网设备连接内网的业务系统主机。

进一步，所述可信访问控制系统具体用于：

当用户访问非http应用业务的业务请求到达后，提取源IP地址；

使用源IP地址做用户名查询身份ID信息，并进行判断是否有身份ID信息，若没有身份ID信息，重新定向到认证页面。

进一步，

策略中心还用于用户认证，当用户认证通过后，为用户生成用户令牌并发送给可信访问控制系统；

可信访问控制系统还用于获取所述用户令牌后，建立用户身份ID表项。