[发明专利]一种访问控制系统、访问控制方法及相关装置

权利要求书

1.一种访问控制系统，其特征在于，包括安全防护可信控制中心和策略中心，所述安全防护可信控制中心中划分了多个虚拟可信控制节点，每个虚拟可信控制节点用于为一个虚拟化私有云提供服务，每个虚拟化私有云用于提供业务服务，其中：

所述虚拟可信控制节点，用于接收用户的业务访问许可请求，并根据所述业务访问许可请求生成认证页面并将所述认证页面的认证统一资源定位符URL发送给所述策略中心，所述URL包括所述虚拟可信控制节点所提供服务的虚拟化私有云的云标识；

所述策略中心，用于在接收到认证URL后，向所述用户展示所述认证页面；以及接收所述用户基于所述认证页面反馈的用户信息，根据所述用户信息和所述云标识对所述用户进行身份认证；在认证通过后为所述用户生成身份令牌并发送给所述用户；

所述虚拟可信控制节点，还用于接收所述用户发送的业务访问请求，所述业务访问请求携带所述身份令牌和所请求访问的业务的业务信息；向所述策略中心发送鉴权请求，所述鉴权请求中携带所述身份令牌、所述业务信息和所述云标识；

所述策略中心，还用于在接收到所述鉴权请求后，根据所述鉴权请求携带的所述身份令牌、所述业务信息和所述云标识对所述用户的访问权限进行鉴权；并向所述虚拟可信控制节点反馈鉴权结果；

所述虚拟可信控制节点，还用于在接收到所述鉴权结果后，对所述业务访问请求进行控制。

2.根据权利要求1所述的系统，其特征在于，

所述策略中心，具体用于若所述鉴权请求携带的所述身份令牌、所述业务信息和所述云标识在预先维护的访问权限关系列表中，则确认对所述用户针对所请求的业务的访问权限鉴权成功，所述访问权限关系列表中包括用户信息、云标识与业务信息三者之间的对应关系。

3.根据权利要求2所述的系统，其特征在于，

每个虚拟可信控制节点，还用于向所述策略中心发送注册请求；

所述策略中心，还用于在接收到所述注册请求后，为该虚拟可信控制节点分配身份标识和该虚拟可信控制节点所要提供服务的虚拟化私有云的云标识；

该虚拟可信控制节点，还用于接收所述策略中心为所述虚拟可信控制节点分配的身份标识和所述虚拟可信控制节点所要提供服务的虚拟化私有云的云标识；

所述策略中心，还用于获取允许访问所述虚拟化私有云的用户的用户信息和所述虚拟化私有云所能提供的业务服务中所述用户所能访问的业务的业务信息；以及在所述访问权限关系列表中记录所述虚拟化私有云的云标识、允许访问所述虚拟化私有云的用户的用户信息和所能访问的业务的业务信息三者之间的对应关系。

4.根据权利要求1所述的系统，其特征在于，

所述策略中心，还用于获取用户的终端安全评估信息和用户的行为安全评估信息；根据所述终端安全评估信息和所述行为安全评估信息对所述用户进行安全评估，得到所述用户的可信度；根据所述用户的可信度调整所述用户所能访问的业务的访问权限并更新访问权限关系列表。

5.一种访问控制方法，其特征在于，应用于安全防护可信控制中心中，所述安全防护可信控制中心中划分了多个虚拟可信控制节点，每个虚拟可信控制节点用于为一个虚拟化私有云提供服务，每个虚拟化私有云用于提供业务服务，所述方法包括：

接收用户的业务访问许可请求；

根据所述业务访问许可请求生成认证页面并将所述认证页面的认证统一资源定位符URL发送给策略中心，所述URL包括所述虚拟可信控制节点所提供服务的虚拟化私有云的云标识；

接收所述用户发送的业务访问请求，所述业务访问请求携带身份令牌和所请求访问的业务的业务信息；

向所述策略中心发送鉴权请求，所述鉴权请求中携带所述身份令牌、所述业务信息和所述云标识；

接收所述策略中心反馈的鉴权结果，根据所述鉴权结果对所述业务访问请求进行控制。

6.根据权利要求5所述的方法，其特征在于，还包括：

向所述策略中心发送注册请求；

接收所述策略中心为该虚拟可信控制节点分配的身份标识和该虚拟可信控制节点所要提供服务的虚拟化私有云的云标识。