[发明专利]基于零信任安全网络的访问授权方法、系统及存储介质

权利要求书

1.一种基于零信任安全网络的访问授权方法，其特征在于，该方法包括：

服务请求方将访问请求消息发送给网关；

所述网关根据所述访问请求向决策中心发起第一授权请求消息；

所述决策中心从所述第一授权请求消息中获取第一访问服务信息、第一访问资源信息、第一访问环境信息和第一访问主体信息，根据所述第一访问服务信息获取已有的第一授权策略，根据所述第一访问资源信息、第一访问环境信息和第一访问主体信息从所述第一授权策略中确定匹配的第二授权策略，所述第一访问服务信息表示服务提供方提供的服务，所述第一访问资源信息表示所述服务提供方所提供的服务中的资源，所述第一访问环境信息表示所述服务请求方所处的环境，所述第一访问主体信息表示所述访问请求方的身份；

所述决策中心从所述第二授权策略中获取相应的第二授权属性值，所述第二授权属性值表示是否为访问进行授权的值，并向所述网关返回第一授权响应消息，所述第一授权响应消息携带有所述第二授权属性值；

所述网关根据所述第一授权响应消息处理所述访问请求消息。

2.根据权利要求1所述的方法，其特征在于，

所述网关根据所述第一授权响应消息处理所述访问请求消息的步骤包括：所述网关从所述第一授权响应消息中获取所述第二授权属性值，响应于所述第二授权属性值为允许，则将所述访问请求消息转发给所述服务提供方，使得所述服务请求方访问所述服务提供方；

或者，

所述网关根据所述第一授权响应消息处理所述访问请求消息的步骤包括：所述网关从所述第一授权响应消息中获取所述第二授权属性值，响应于确定所述第二授权属性值为禁止，则向所述服务请求方返回禁止访问响应消息，使得所述服务请求方无法访问所述服务提供方。

3.根据权利要求1所述的方法，其特征在于，

所述根据第一访问服务信息获取已有的第一授权策略，根据所述第一访问资源信息、第一访问环境信息和第一访问主体信息从所述第一授权策略中无法确定匹配的第二授权策略时，该方法进一步包括：

所述网关向所述决策中心发起第二授权请求消息；

所述决策中心从所述第二授权请求消息中获取第二访问服务信息、第二访问资源信息、第二访问环境信息和所述第二访问主体信息，根据所述第二访问服务信息确定已有的第三授权策略，根据所述第二访问资源信息、所述第二访问环境信息和所述第二访问主体信息从所述第三授权策略中确定匹配的第四授权策略；所述第二访问服务信息表示服务提供方提供的服务，所述第二访问资源信息表示所述服务提供方所提供的服务中的资源，所述第二访问环境信息表示所述服务请求方所处的环境，所述第二访问主体信息表示所述访问请求方的身份；

所述决策中心从所述第四授权策略中获取相应的第四授权属性值，所述第四授权属性值表示是否为访问进行授权的值，并向所述网关返回第二授权响应消息，所述第二授权响应消息携带有所述第四授权属性值；

所述网关根据所述第二授权响应消息处理所述访问请求消息。

4.根据权利要求3所述的方法，其特征在于，所述网关向所述决策中心发起第二授权请求消息之前，该方法进一步包括：

所述决策中心向所述网关发送触发认证消息；

所述网关根据所述触发认证消息向将认证中心发送认证请求消息，由所述认证中心对所述服务请求方进行认证，并获取补充访问主体信息，所述补充访问主体信息表示所述访问请求方身份的补充信息；

所述认证中心向所述网关返回携带有所述补充访问主体信息的认证响应消息；

所述网关根据所述认证响应消息中的补充访问主体信息对所述访问主体信息进行更新，获得更新后的第二访问主体信息。

5.根据权利要求1～4任一项所述的方法，其特征在于，所述根据第一访问服务信息获取已有的第一授权策略的步骤包括：

根据所述第一访问服务信息从策略数据库中获取与所述第一访问服务信息匹配的所述第一授权策略，所述第一访问服务信息包括应用层协议、目的IP地址、目的端口地址。