本發明涉及一種基于環境數據證書的訪問控制安全系統，包括第一訪問控制安全組件根據采集環境多因子信息和截取訪問請求生成請求消息發送到第二訪問控制安全組件；第二訪問控制安全模塊獲取環境多因子信息和待訪問應用服務，根據第三訪問控制安全模塊返回的訪問控制結果，確定終端設備是否被允許訪問應用服務，第三訪問控制安全模塊對環境因子信息進行驗證得到訪問控制結果。本發明實現了基于終端設備上的硬件環境、軟件環境和網絡環境進行環境數據認證，一旦終端設備上發生了可能會對訪問的應用服務造成危害的變化時，阻止終端設備訪問應用服務，構建更安全可靠的網絡訪問環境。本發明還涉及一種基于環境數據證書的訪問控制安全方法和防火墻。

技術領域

本發明涉及信息安全技術領域，尤其涉及基于環境數據證書的訪問控制安全系統、方法和防火墻。

背景技術

在互聯網進行的各類業務，為了保障用戶的信息安全，通常需要參與業務的各方(人、終端設備、服務器等)持有各類的數字證書。但是，終端設備上的硬件環境、軟件環境和網絡環境可能隨時發生變化，一旦終端設備上發生了可能會對訪問的應用服務造成危害的變化時，如何針對電子商務、網絡金融等豐富的業務種類的不同安全需求，構建更安全可靠的網絡訪問環境是目前亟需解決的技術問題。

發明內容

本發明所要解決的技術問題是針對現有技術的不足，提供基于環境數據證書的訪問控制安全系統、方法和防火墻。

本發明解決上述技術問題的技術方案如下：

一種基于環境數據證書的訪問控制安全系統，所述訪問控制安全系統包括第一訪問控制安全組件、第二訪問控制安全組件和第三訪問控制安全組件：

所述第一訪問控制安全組件，用于采集終端設備的環境多因子信息，截取終端設備向待訪問應用服務發送的訪問請求，根據所述環境多因子信息和所述訪問請求生成請求消息，將所述請求消息發送到所述第二訪問控制安全組件；

所述第二訪問控制安全模塊，用于從所述請求消息中獲取所述環境多因子信息和所述待訪問應用服務，若所述待訪問應用服務屬于預設保護服務類時，則將所述環境多因子信息發送至所述第三訪問控制安全模塊，并根據所述第三訪問控制安全模塊返回的訪問控制結果，確定所述終端設備是否被允許訪問所述待訪問應用服務；

所述第三訪問控制安全模塊，用于根據預設的所述待訪問應用服務的身份驗證策略，對所述環境因子信息進行驗證，得到所述訪問控制結果。

本方法發明的有益效果是：提出了一種基于環境數據證書的訪問控制安全系統，所述訪問控制安全系統包括第一訪問控制安全組件、第二訪問控制安全組件和第三訪問控制安全組件：所述第一訪問控制安全組件，用于采集終端設備的環境多因子信息，截取終端設備向待訪問應用服務發送的訪問請求，根據所述環境多因子信息和所述訪問請求生成請求消息，將所述請求消息發送到所述第二訪問控制安全組件；所述第二訪問控制安全模塊，用于從所述請求消息中獲取所述環境多因子信息和待訪問應用服務，若所述待訪問應用服務屬于預設保護服務類時，則將所述環境多因子信息發送至所述第三訪問控制安全模塊，并根據所述第三訪問控制安全模塊返回的訪問控制結果，確定所述終端設備是否被允許訪問所述待訪問應用服務；所述第三訪問控制安全模塊，用于根據預設的所述待訪問應用服務的身份驗證策略，對所述環境因子信息進行驗證，得到所述訪問控制結果。本發明實現了基于終端設備上的硬件環境、軟件環境和網絡環境進行環境數據認證，一旦終端設備上發生了可能會對訪問的應用服務造成危害的變化時，阻止終端設備訪問應用服務，構建更安全可靠的網絡訪問環境。

在上述技術方案的基礎上，本發明還可以做如下改進。

進一步地，所述第一訪問控制安全組件，具體用于通過設置于所述終端設備的客戶端代理服務、瀏覽器插件或瀏覽器控件，采集所述終端設備的環境多因子信息，所述環境多因子信息包括終端編號、硬件環境參數類、系統環境參數類、用戶使用習慣類、終端網絡地址類、用戶身份類和用戶二次驗證參數類。