[发明专利]基于零信任安全网络的访问授权方法、系统及存储介质

说明书

本申请公开了一种基于零信任安全网络的访问授权方法、系统及存储介质，包括：服务请求方将访问请求消息发送给网关；网关向决策中心发起第一授权请求消息；决策中心获取第一访问服务信息、第一访问资源信息、第一访问环境信息和第一访问主体信息，根据第一访问服务信息获取第一授权策略，根据第一访问资源信息、第一访问环境信息和第一访问主体信息确定第二授权策略并获取第二授权属性值；网关根据第二授权属性值处理访问请求消息。本申请方案从访问服务信息、访问资源信息、访问环境信息和访问主体信息四个维度来设置并筛选授权策略，涵盖各种情况，网关根据授权属性值处理访问请求，既满足服务请求方访问服务提供方的需求，又保证网络安全。

技术领域

本申请涉及互联网技术领域，尤其涉及一种基于零信任安全网络的访问授权方法，一种基于零信任安全网络的访问授权系统、一种计算机可读存储介质和一种计算机程序产品。

背景技术

传统的企业网络架构通常是有边界的网络，用户通过边界的认证进入内网，这容易造成数据泄露或网络攻击等。为了避免该缺陷，目前已经出现一种称为零信任安全网络架构的概念，即不信任出入网络的任何内容，通过强身份认证技术保护数据，利用对访问请求进行授权的方式来控制对企业内部网络的访问。但现有基于零信任安全网络的访问授权策略还不成熟，还不能满足对访问企业内部网络进行有效控制的需求。

发明内容

针对上述现有技术，本申请实施例公开一种基于零信任安全网络的访问授权方法，可以克服现有零信任安全网络无法对访问进行有效控制的缺陷，达到全面保证网络安全访问的目的。

鉴于此，本申请实施例提出一种基于零信任安全网络的访问授权方法，该方法包括：

服务请求方将访问请求消息发送给网关；

所述网关根据所述访问请求向决策中心发起第一授权请求消息；

所述决策中心从所述第一授权请求消息中获取第一访问服务信息、第一访问资源信息、第一访问环境信息和第一访问主体信息，根据所述第一访问服务信息获取已有的第一授权策略，根据所述第一访问资源信息、第一访问环境信息和第一访问主体信息从所述第一授权策略中确定匹配的第二授权策略，所述第一访问服务信息表示服务提供方提供的服务，所述第一访问资源信息表示所述服务提供方所提供的服务中的资源，所述第一访问环境信息表示所述服务请求方所处的环境，所述第一访问主体信息表示所述访问请求方的身份；

所述决策中心从所述第二授权策略中获取相应的第二授权属性值，所述第二授权属性值表示是否为访问进行授权的值，并向所述网关返回第一授权响应消息，所述第一授权响应消息携带有所述第二授权属性值；

所述网关根据所述第一授权响应消息处理所述访问请求消息。

进一步地，

所述网关根据所述第一授权响应消息处理所述访问请求消息的步骤包括：所述网关从所述第一授权响应消息中获取所述第二授权属性值，响应于所述第二授权属性值为允许，则将所述访问请求消息转发给所述服务提供方，使得所述服务请求方访问所述服务提供方；

或者，

所述网关根据所述第一授权响应消息处理所述访问请求消息的步骤包括：所述网关从所述第一授权响应消息中获取所述第二授权属性值，响应于确定所述第二授权属性值为禁止，则向所述服务请求方返回禁止访问响应消息，使得所述服务请求方无法访问所述服务提供方。

进一步地，

所述根据第一访问服务信息获取已有的第一授权策略，根据所述第一访问资源信息、第一访问环境信息和第一访问主体信息从所述第一授权策略中无法确定匹配的第二授权策略时，该方法进一步包括：

所述网关向所述决策中心发起第二授权请求消息；