本公開提供了非http協議應用的策略中心、控制系統、方法、介質及設備，其中，所述系統包括：外網用戶設備以及業務系統主機，還包括：策略中心和可信訪問控制系統；所述策略中心用于生成用戶的訪問控制策略，對用戶的訪問請求進行鑒權，將所述鑒權結果發送給所述可信訪問控制系統；所述策略中心與所述可信訪問控制系統相連接；所述可信訪問控制系統用于對用戶的訪問請求，進行可信訪問控制；所述外網用戶設備通過路由設備連接所述可信訪問控制系統，通過所述可信訪問控制系統的可信訪問控制的外網設備連接內網的所述業務系統主機。通過本公開的方案，可以為企業、互聯網、政務網的所有IP業務，實現可信訪問控制，提高了整個應用業務系統的安全性。

技術領域

本公開涉及互聯網技術領域，更為具體來說，本公開涉及非http協議應用的策略中心、控制系統、方法、介質及設備。

背景技術

隨著零信任防護體系逐步進入落地實施化，對多種協議的應用訪問進行可信訪問控制，有著越來越多的需求。由于對用戶報文進行可信訪問控制，通過報文識別報文的用戶的身份，因此，當前可信訪問控制，支持的主要應用為http應用，對其他的非http應用的可信訪問控制，存在一些技術困難。

當前，對應用的可信訪問控制，主要集中在對http應用的可信訪問控制，主要通過cooike來標識用戶的身份，在業務請求報文中，通過帶cooike來傳遞用戶的身份。

現有技術，主要存在如下缺點：

現有技術主要支持web業務，對其他協議的應用業務，缺乏有效的技術手段來支持可信訪問控制；同時，非web應用業務，很多業務也有很強的安全防護需求，需要基于零信任防護架構，實現實時的可信訪問控制。

發明內容

為解決現有技術的不能滿足非http應用的可信訪問控制的技術問題。

為實現上述技術目的，本公開提供了一種非http協議應用策略中心，包括：

身份認證單元，用于對用戶進行認證，認證通過后生成用戶token；

傳輸單元，用于將用戶token發送到可信訪問控制系統。

進一步，身份認證單元具體通過生物識別認證和/或用戶口令認證和/或電子簽名認證對用戶的身份進行認證。

進一步，生物識別認證具體包括：指紋認證和/或人臉識別認證。

為實現上述技術目的，本公開提供了一種非http協議應用的訪問控制系統，包括：外網用戶設備以及業務系統主機，還包括：

策略中心和可信訪問控制系統；

策略中心用于生成用戶的訪問控制策略，對用戶的訪問請求進行鑒權，將鑒權結果發送給可信訪問控制系統；

策略中心與可信訪問控制系統相連接；

可信訪問控制系統用于對用戶的訪問請求，進行可信訪問控制；

外網用戶設備通過路由設備連接所述可信訪問控制系統，通過可信訪問控制系統的可信訪問控制的外網設備連接內網的業務系統主機。

進一步，所述可信訪問控制系統具體用于：

當用戶訪問非http應用業務的業務請求到達后，提取源IP地址；

使用源IP地址做用戶名查詢身份ID信息，并進行判斷是否有身份ID信息，若沒有身份ID信息，重新定向到認證頁面。

進一步，

策略中心還用于用戶認證，當用戶認證通過后，為用戶生成用戶令牌并發送給可信訪問控制系統；

可信訪問控制系統還用于獲取所述用戶令牌后，建立用戶身份ID表項。