本申請公開了一種基于零信任策略的訪問控制方法、系統及介質，包括：接收用戶的訪問請求消息，訪問請求消息包括用戶信息、受訪業務信息和訪問協議；判別訪問協議的類型；響應于訪問協議屬于七層網絡協議，將用戶信息和所述受訪業務信息與事先設置的七層訪問控制信息進行比對，比對通過時，則允許訪問請求消息按照七層網絡協議對受訪業務進行訪問；響應于訪問協議屬于四層網絡協議，將用戶信息和受訪業務信息與事先設置的四層訪問控制信息進行比對，比對通過時，則允許訪問請求消息按照四層網絡協議對受訪業務進行訪問。應用本申請實施例方案，不但保證了網絡安全，還考慮了七層和四層不同的網絡訪問，可以提供全面且安全的訪問方式。

技術領域

本申請涉及計算機網絡技術領域，尤其涉及一種基于零信任策略的訪問控制方法、一種基于零信任策略的訪問控制系統、一種計算機可讀存儲介質、一種電子設備以及一種計算機程序產品。

背景技術

傳統的企業網絡架構通常是有邊界網絡，用戶通過邊界的認證進入內網，容易造成數據泄露或網絡攻擊等。為了克服該缺陷，目前出現一種稱為零信任策略的網絡架構概念，用以控制用戶對企業內部網絡的訪問。但現有基于零信任策略的方案還不夠成熟，還不能對企業內部網絡的訪問進行有效地控制。

發明內容

針對上述現有技術，本發明實施例公開一種基于零信任策略的訪問控制方法，可以克服網絡不安全的缺陷，達到對網絡安全有效訪問的目的。

鑒于此，本申請實施例提出一種基于零信任策略的訪問控制方法，該方法包括：

接收用戶的訪問請求消息，所述訪問請求消息包括用戶信息、受訪業務信息和訪問協議，所述用戶信息表示驗證用戶身份時所需要的信息，所述受訪業務信息表示驗證受訪業務是否允許被訪問時所需要的信息，所述訪問協議表示訪問受訪業務所采用的協議類型；

判別所述訪問協議的類型；

響應于所述訪問協議屬于七層網絡協議，將所述用戶信息和所述受訪業務信息與事先設置的七層訪問控制信息進行比對，比對通過時，則允許所述訪問請求消息按照七層網絡協議對所述受訪業務進行訪問，所述七層訪問控制信息表示按照七層網絡協議訪問時需要驗證的信息；

響應于所述訪問協議屬于四層網絡協議，將所述用戶信息和所述受訪業務信息與事先設置的四層訪問控制信息進行比對，比對通過時，則允許所述訪問請求消息按照四層網絡協議對所述受訪業務進行訪問，所述四層訪問控制信息表示按照四層網絡協議訪問時需要驗證的信息。

進一步地，所述接收用戶的訪問請求消息的步驟包括：

網關接收到用戶的所述訪問請求消息，獲取所述用戶信息、所述受訪業務信息和所述訪問協議，并將所述訪問請求消息轉發給決策中心；

所述決策中心接收所述訪問請求消息，獲取所述用戶信息、所述受訪業務信息和所述訪問協議。

進一步地，所述響應于所述訪問協議屬于七層網絡協議，將所述用戶信息和所述受訪業務信息與事先設置的七層訪問控制信息進行比對，比對通過時，則允許所述訪問請求消息按照七層網絡協議對所述受訪業務進行訪問的步驟包括：

所述決策中心從數據庫獲取所述七層訪問控制信息；

所述決策中心將所述受訪業務信息與所述七層訪問控制信息進行比對，比對通過時，繼續執行后續步驟；否則，所述決策中心向所述網關返回拒絕訪問的消息，所述網關向用戶返回所述拒絕訪問的消息，并結束所述響應于所述訪問協議屬于七層網絡協議的步驟；

所述決策中心將所述用戶信息和所述七層訪問控制信息進行比對，比對通過時，所述決策中心向所述網關返回允許訪問的消息；所述網關將所述訪問請求消息轉發給受訪業務，并將所述受訪業務返回的業務消息轉發給用戶，以實現用戶對受訪業務的訪問；否則，所述決策中心向所述網關返回拒絕訪問的消息，所述網關向用戶返回所述拒絕訪問的消息，并結束所述響應于所述訪問協議屬于七層網絡協議的步驟。