CN114244568B - 基于终端访问行为的安全接入控制方法、装置和设备 - Google Patents

基于终端访问行为的安全接入控制方法、装置和设备 Download PDF

Info

Publication number
CN114244568B
CN114244568B CN202111364252.9A CN202111364252A CN114244568B CN 114244568 B CN114244568 B CN 114244568B CN 202111364252 A CN202111364252 A CN 202111364252A CN 114244568 B CN114244568 B CN 114244568B
Authority
CN
China
Prior art keywords
access
terminal equipment
terminal
data
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111364252.9A
Other languages
English (en)
Other versions
CN114244568A (zh
Inventor
付佳佳
周安
马腾腾
梅发茂
吴昊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong Power Grid Co Ltd
Electric Power Dispatch Control Center of Guangdong Power Grid Co Ltd
Original Assignee
Guangdong Power Grid Co Ltd
Electric Power Dispatch Control Center of Guangdong Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangdong Power Grid Co Ltd, Electric Power Dispatch Control Center of Guangdong Power Grid Co Ltd filed Critical Guangdong Power Grid Co Ltd
Priority to CN202111364252.9A priority Critical patent/CN114244568B/zh
Publication of CN114244568A publication Critical patent/CN114244568A/zh
Application granted granted Critical
Publication of CN114244568B publication Critical patent/CN114244568B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)

Abstract

本申请涉及网络安全技术领域,提供一种基于终端访问行为的安全接入控制方法、装置、设备和存储介质。本申请可以简化资源管理难度,避免各系统重复认证。包括:建立与终端设备的双向连接;若终端设备通过服务接口访问本端并发送访问请求,获取终端设备的采集数据,确认访问后对终端设备进行身份认证;身份认证成功后,显示可访问资源列表信息;在终端设备获取针对可访问资源列表信息的会话标识后,在接收访问的目标着陆页确认资源定位符;若终端设备具有访问目标着陆页的权限,对终端设备的采集数据进行集中过滤处理,在打上资源定位符标签后生成数据包;实时监测网络环境,产生预警信息;若终端设备的访问行为结束,则断开双向连接。

Description

基于终端访问行为的安全接入控制方法、装置和设备
技术领域
本申请涉及网络安全技术领域,特别是涉及一种基于终端访问行为的安全接入控制方法、装置、计算机设备和存储介质。
背景技术
随着互联网和无线技术的飞速发展,人们对于移动计算的需求不断提高,移动终端(智能手机、个人数字助理等)成为日常生活的重要工具。由于便携性和计算能力不断提高,移动终端现在大量应用于商务场合。与此同时,针对移动终端的安全威胁日益受到人们的重视。安全事件层出不穷,手机病毒和恶意程序泄露、篡改个人信息,占用网络浪费通讯费用,耗尽资源导致系统无法响应,甚至造成系统削溃,妨碍正常使用。
传统的信息系统使用方法以物理访问为主,各系统分别管理,用户需要频繁切换系统,重复进行身份认证、权限控制等。随着信息技术的飞速发展与广泛应用,信息系统的数量以及复杂度大大提高,人们对信息系统访问也有了更高的要求,如统一用户身份的验证、统一访问权限分配、统一行为审计操作等。
在部分涉密单位或者大型企业中,建设了内网资源安全接入平台,对信息系统进行统一接入管理,对接入用户身份进行认证,传输数据加密等,用户不需要物理接触要访问的系统,这给系统使用带来一定的便利。
但是安全接入平台大多只是实现终端访问内网资源安全接入功能,终端访问行为、访问权限各系统分别控制,没有实现对终端访问行为统一逻辑控制、权限统一分配、操作统一审计等功能,并且不能识别远程桌面令及用户自有界面系统的操作命令,只能识别控制应用层可控程序的文字命令如ftp、telnet、ssh等,这给系统使用带来不便。
发明内容
基于此,有必要针对上述技术问题,提供一种基于终端访问行为的安全接入控制方法、装置、计算机设备和存储介质。
一种基于终端访问行为的安全接入控制方法,应用于安全接入平台服务器,包括:
建立与终端设备的双向连接;
若所述终端设备通过服务接口访问本端并发送访问请求,则获取所述终端设备的采集数据,并在确认访问后对所述终端设备进行身份认证;
在身份认证成功后,显示可访问资源列表信息;
在所述终端设备获取针对所述可访问资源列表信息的会话标识后,在接收访问的目标着陆页确认资源定位符;
判断所述终端设备是否具有访问所述目标着陆页的权限;
若终端设备具有访问所述目标着陆页的权限,对所述终端设备的采集数据进行集中过滤处理,并在打上资源定位符标签后生成数据包;其中,所述数据包用于记录针对所述终端设备的当前访问信息;
实时对网络环境进行监测,产生预警信息;
判断所述终端设备的访问行为是否结束,若结束则断开所述双向连接,并等待所述终端设备下一次的输入连接。
在其中一个实施例中,在所述判断所述终端设备是否具有访问所述目标着陆页的权限之后,所述方法还包括:
若所述终端设备不具有访问所述目标着陆页的权限,则与所述终端设备断开所述双向连接。
在其中一个实施例中,在所述判断所述终端设备的访问行为是否结束之后,所述方法还包括:
若所述终端设备的访问继续,根据所述终端设备用户组的权限配置信息,对网络层进行访问控制,以使所述终端设备进行内网资源的访问。
在其中一个实施例中,所述方法还包括:
根据所述资源定位符设定针对所述网络层的访问控制权,确定允许所述终端设备访问相应的内网资源服务内容。
在其中一个实施例中,所述实时对网络环境进行监测,产生预警信息,包括:
实时对网络环境进行监测;
利用本端的内部应用告警程序判断所述终端设备访问过程中产生的过滤数据流量是否异常;
若异常,则获取并标记异常流量的详细信息,生成所述预警信息。
在其中一个实施例中,所述过滤数据流量的过滤处理包括补全残缺数据、删除错误数据和删除重复数据。
在其中一个实施例中,所述方法还包括:
控制访问代理截获所述访问请求并从系统安全策略库中读取安全策略进行裁决;
将裁决结果返回给所述访问代理并最终返回到所述终端设备。
一种基于终端访问行为的安全接入控制装置,应用于安全接入平台服务器,所述装置包括:
双向连接建立模块,用于建立与终端设备的双向连接;
身份认证模块,用于若所述终端设备通过服务接口访问本端并发送访问请求,则获取所述终端设备的采集数据,并在确认访问后对所述终端设备进行身份认证;
信息显示模块,用于在身份认证成功后,显示可访问资源列表信息;
资源定位符确认模块,用于在所述终端设备获取针对所述可访问资源列表信息的会话标识后,在接收访问的目标着陆页确认资源定位符;
权限判断模块,用于判断所述终端设备是否具有访问所述目标着陆页的权限;
过滤模块,用于若终端设备具有访问所述目标着陆页的权限,对所述终端设备的采集数据进行集中过滤处理,并在打上资源定位符标签后生成数据包;其中,所述数据包记录针对所述终端设备的当前访问信息;
网络环境监测模块,用于实时对网络环境进行监测,产生预警信息;
访问行为处理模块,用于判断所述终端设备的访问行为是否结束,若结束则断开所述双向连接,并等待所述终端设备下一次的输入连接。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述的方法。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述的方法。
上述基于终端访问行为的安全接入控制方法、装置、计算机设备和存储介质,建立与终端设备的双向连接;若所述终端设备通过服务接口访问本端并发送访问请求,则获取所述终端设备的采集数据,并在确认访问后对所述终端设备进行身份认证;在身份认证成功后,显示可访问资源列表信息;在所述终端设备获取针对所述可访问资源列表信息的会话标识后,在接收访问的目标着陆页确认资源定位符;判断所述终端设备是否具有访问所述目标着陆页的权限;若终端设备具有访问所述目标着陆页的权限,对所述终端设备的采集数据进行集中过滤处理,并在打上资源定位符标签后生成数据包;其中,所述数据包用于记录针对所述终端设备的当前访问信息;实时对网络环境进行监测,产生预警信息;判断所述终端设备的访问行为是否结束,若结束则断开所述双向连接,并等待所述终端设备下一次的输入连接。本申请中,在安全接入平台服务器对终端设备的访问行为进行分类识别的系统操作,并根据识别的命令及身份认证通过,根据可访问资源列表信息,终端设备获取会话标识,并在接收访问的目标着陆页确认资源定位符权限,进行逻辑控制并允许执行访问数据,简化了资源管理难度,避免各系统重复认证。
附图说明
图1为一个实施例中基于终端访问行为的安全接入控制方法的应用环境图;
图2为一个实施例中基于终端访问行为的安全接入控制方法的流程示意图;
图3为一个实施例中基于终端访问行为的安全接入控制方法的流程示意图;
图4为一个实施例中基于终端访问行为的安全接入控制装置的结构框图;
图5为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本申请所描述的实施例可以与其它实施例相结合。
本申请提供的基于终端访问行为的安全接入控制方法,可以应用于图1所示的应用场景中,终端设备与安全接入平台服务器之间建立双向连接;以下从安全接入平台服务器一侧并结合图2介绍该方法。
步骤S201,建立与终端设备的双向连接;
步骤S202,若所述终端设备通过服务接口访问本端并发送访问请求,则获取所述终端设备的采集数据,并在确认访问后对所述终端设备进行身份认证;
步骤S203,在身份认证成功后,显示可访问资源列表信息;
步骤S204,在所述终端设备获取针对所述可访问资源列表信息的会话标识后,在接收访问的目标着陆页确认资源定位符;
步骤S205,判断所述终端设备是否具有访问所述目标着陆页的权限;
步骤S206,若终端设备具有访问所述目标着陆页的权限,对所述终端设备的采集数据进行集中过滤处理,并在打上资源定位符标签后生成数据包;其中,所述数据包用于记录针对所述终端设备的当前访问信息;
步骤S207,实时对网络环境进行监测,产生预警信息;
步骤S208,判断所述终端设备的访问行为是否结束,若结束则断开所述双向连接,并等待所述终端设备下一次的输入连接。
上述方法中,安全接入平台服务器对终端访问行为进行分类识别的系统操作,并根据识别的命令及身份认证通过,根据可访问资源列表信息,终端设备获取会话标识,并在接收访问的目标着陆页确认资源定位符权限,进行逻辑控制并允许执行访问数据,简化了资源管理难度,避免各系统重复认证。
进一步地,安全接入平台服务器在判断所述终端设备是否具有访问所述目标着陆页的权限之后,还可以执行如下步骤:若所述终端设备不具有访问所述目标着陆页的权限,则与所述终端设备断开所述双向连接。
进一步地,安全接入平台服务器在所述判断所述终端设备的访问行为是否结束之后,还可以执行如下步骤:若所述终端设备的访问继续,根据所述终端设备用户组的权限配置信息,对网络层进行访问控制,以使所述终端设备进行内网资源的访问。
更进一步地,安全接入平台服务器,还可以执行如下步骤:根据所述资源定位符设定针对所述网络层的访问控制权,确定允许所述终端设备访问相应的内网资源服务内容。
进一步地,安全接入平台服务器在实时对网络环境进行监测,产生预警信息时,具体可以包括:实时对网络环境进行监测;利用本端的内部应用告警程序判断所述终端设备访问过程中产生的过滤数据流量是否异常;若异常,则获取并标记异常流量的详细信息,生成所述预警信息。安全接入平台服务器在生成预警信息后可以执行预警操作,断开与终端设备的双向连接。
其中,所述过滤数据流量的过滤处理包括补全残缺数据、删除错误数据和删除重复数据。
在一个实施例中,终端设备在确定接入所述安全接入平台服务器时,可以向漫游组网络中其他安全接入平台服务器发送认证安全确认信息并断开与所述其他安全接入平台服务器的连接请求,并保存的所述安全接入平台服务器的接入相关信息。
在所述终端设备与所述安全接入平台服务器双向连接过程中,所述终端设备检测到保存的所述接入相关信息发生了变更时,所述终端设备接收所述安全接入平台服务器的变更请求,并发送变更后的相关信息。
所述终端设备采用智能卡授权方式,所述安全接入平台服务器实现对所述终端设备身份认证;所述身份认证方式包括:终端用户名、密码、文件证书和智能卡的一种或多种。
在一个实施例中,还包括如下方法:所述终端设备向所述安全接入平台服务器发出访问请求,安全接入平台服务器控制访问代理截获请求并从系统安全策略库中读取安全策略进行裁决,将裁决结果返回给所述访问代理并最终返回到所述终端设备。
具体来说,如图3所示,所述访问代理所执行的步骤包括如下:
步骤S301,访问代理截获访问请求;
步骤S302,从安全接入平台服务器的系统中读取安全策略;
步骤S303,将安全策略分割为预留策略和访问策略;
步骤S304,根据访问类型,将预留策略和预留请求转交预留监控器,将访问策略和访问请求转交访问监控器;
步骤S305,预留监控器和访问监控器分别做出裁决;
步骤S306,访问代理处理裁决并将结果通知安全接入平台服务器。
在该访问控制框架中,终端设备被分为两类:静态客体和动态客体。通过不同的工作需求,预留监控器负责对静态客体的访问进行控制,访问监控器负责对主体提出的动态客体预留请求进行裁决并对安全接入平台服务的预留资源进行管理,等待终端设备访问行为发生,识别终端行为命令并在允许访问后根据终端访问方式进行访问,在访问结束后断开双向连接。
本实施例应用于移动终端访问的安全接入访问控制框架,不但能够保证数据的机密性和完整性要求,而且满足系统对关键应用及时响应的要求,提高终端设备的可用性。通过预留资源的实施,系统避免了关键应用与其它程序之间产生的资源使用冲突,方便用户的配置和管理。
应该理解的是,虽然图1至图3的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图1至图3中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图4所示,提供了一种基于终端访问行为的安全接入控制装置,应用于安全接入平台服务器,包括:
双向连接建立模块401,用于建立与终端设备的双向连接;
身份认证模块402,用于若所述终端设备通过服务接口访问本端并发送访问请求,则获取所述终端设备的采集数据,并在确认访问后对所述终端设备进行身份认证;
信息显示模块403,用于在身份认证成功后,显示可访问资源列表信息;
资源定位符确认模块404,用于在所述终端设备获取针对所述可访问资源列表信息的会话标识后,在接收访问的目标着陆页确认资源定位符;
权限判断模块405,用于判断所述终端设备是否具有访问所述目标着陆页的权限;
过滤模块406,用于若终端设备具有访问所述目标着陆页的权限,对所述终端设备的采集数据进行集中过滤处理,并在打上资源定位符标签后生成数据包;其中,所述数据包记录针对所述终端设备的当前访问信息;
网络环境监测模块407,用于实时对网络环境进行监测,产生预警信息;
访问行为处理模块408,用于判断所述终端设备的访问行为是否结束,若结束则断开所述双向连接,并等待所述终端设备下一次的输入连接。
在一个实施例中,所述装置还包括:双向连接断开模块,用于若所述终端设备不具有访问所述目标着陆页的权限,则与所述终端设备断开所述双向连接。
在一个实施例中,所述装置还包括:访问控制模块,用于若所述终端设备的访问继续,根据所述终端设备用户组的权限配置信息,对网络层进行访问控制,以使所述终端设备进行内网资源的访问。
在一个实施例中,所述装置还包括:允许访问模块,用于根据所述资源定位符设定针对所述网络层的访问控制权,确定允许所述终端设备访问相应的内网资源服务内容。
在一个实施例中,所述网络环境监测模块,用于实时对网络环境进行监测;利用本端的内部应用告警程序判断所述终端设备访问过程中产生的过滤数据流量是否异常;若异常,则获取并标记异常流量的详细信息,生成所述预警信息。
在一个实施例中,所述过滤数据流量的过滤处理包括补全残缺数据、删除错误数据和删除重复数据。
在一个实施例中,所述装置还包括:裁决处理模块,用于控制访问代理截获所述访问请求并从系统安全策略库中读取安全策略进行裁决;将裁决结果返回给所述访问代理并最终返回到所述终端设备。
关于基于终端访问行为的安全接入控制装置的具体限定可以参见上文中对于基于终端访问行为的安全接入控制方法的限定,在此不再赘述。上述基于终端访问行为的安全接入控制装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,其内部结构图可以如图5所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储基于终端访问行为的安全接入控制数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种基于终端访问行为的安全接入控制方法。
本领域技术人员可以理解,图5中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器存储有计算机程序,处理器执行计算机程序时实现上述各个方法实施例中的步骤。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述各个方法实施例中的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,上述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic Random Access Memory,DRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上的实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种基于终端访问行为的安全接入控制方法,其特征在于,应用于安全接入平台服务器,所述方法包括:
建立与终端设备的双向连接;
若所述终端设备通过服务接口访问本端并发送访问请求,则获取所述终端设备的采集数据,并在确认访问后对所述终端设备进行身份认证;
在身份认证成功后,显示可访问资源列表信息;
在所述终端设备获取针对所述可访问资源列表信息的会话标识后,在接收访问的目标着陆页确认资源定位符;
判断所述终端设备是否具有访问所述目标着陆页的权限;
若终端设备具有访问所述目标着陆页的权限,对所述终端设备的采集数据进行集中过滤处理,并在打上资源定位符标签后生成数据包;其中,所述数据包用于记录针对所述终端设备的当前访问信息;
实时对网络环境进行监测;
利用本端的内部应用告警程序判断所述终端设备访问过程中产生的过滤数据流量是否异常;所述过滤数据流量的过滤处理包括补全残缺数据、删除错误数据和删除重复数据;
若异常,则获取并标记异常流量的详细信息,生成所述预警信息;
判断所述终端设备的访问行为是否结束,若结束则断开所述双向连接,并等待所述终端设备下一次的输入连接;
所述方法还包括:
控制访问代理截获所述访问请求并从系统安全策略库中读取安全策略进行裁决;
将裁决结果返回给所述访问代理并最终返回到所述终端设备。
2.根据权利要求1所述的方法,其特征在于,在所述判断所述终端设备是否具有访问所述目标着陆页的权限之后,所述方法还包括:
若所述终端设备不具有访问所述目标着陆页的权限,则与所述终端设备断开所述双向连接。
3.根据权利要求1所述的方法,其特征在于,在所述判断所述终端设备的访问行为是否结束之后,所述方法还包括:
若所述终端设备的访问继续,根据所述终端设备用户组的权限配置信息,对网络层进行访问控制,以使所述终端设备进行内网资源的访问。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
根据所述资源定位符设定针对所述网络层的访问控制权,确定允许所述终端设备访问相应的内网资源服务内容。
5.一种基于终端访问行为的安全接入控制装置,其特征在于,应用于安全接入平台服务器,所述装置包括:
双向连接建立模块,用于建立与终端设备的双向连接;
身份认证模块,用于若所述终端设备通过服务接口访问本端并发送访问请求,则获取所述终端设备的采集数据,并在确认访问后对所述终端设备进行身份认证;
信息显示模块,用于在身份认证成功后,显示可访问资源列表信息;
资源定位符确认模块,用于在所述终端设备获取针对所述可访问资源列表信息的会话标识后,在接收访问的目标着陆页确认资源定位符;
权限判断模块,用于判断所述终端设备是否具有访问所述目标着陆页的权限;
过滤模块,用于若终端设备具有访问所述目标着陆页的权限,对所述终端设备的采集数据进行集中过滤处理,并在打上资源定位符标签后生成数据包;其中,所述数据包记录针对所述终端设备的当前访问信息;
网络环境监测模块,用于实时对网络环境进行监测;利用本端的内部应用告警程序判断所述终端设备访问过程中产生的过滤数据流量是否异常;所述过滤数据流量的过滤处理包括补全残缺数据、删除错误数据和删除重复数据;若异常,则获取并标记异常流量的详细信息,生成所述预警信息;
访问行为处理模块,用于判断所述终端设备的访问行为是否结束,若结束则断开所述双向连接,并等待所述终端设备下一次的输入连接;
裁决处理模块,用于控制访问代理截获所述访问请求并从系统安全策略库中读取安全策略进行裁决;将裁决结果返回给所述访问代理并最终返回到所述终端设备。
6.根据权利要求5所述的装置,其特征在于,所述装置还包括:双向连接断开模块,用于若所述终端设备不具有访问所述目标着陆页的权限,则与所述终端设备断开所述双向连接。
7.根据权利要求5所述的装置,其特征在于,所述装置还包括:访问控制模块,用于若所述终端设备的访问继续,根据所述终端设备用户组的权限配置信息,对网络层进行访问控制,以使所述终端设备进行内网资源的访问。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:允许访问模块,用于根据所述资源定位符设定针对所述网络层的访问控制权,确定允许所述终端设备访问相应的内网资源服务内容。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至4中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至4中任一项所述的方法。
CN202111364252.9A 2021-11-17 2021-11-17 基于终端访问行为的安全接入控制方法、装置和设备 Active CN114244568B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111364252.9A CN114244568B (zh) 2021-11-17 2021-11-17 基于终端访问行为的安全接入控制方法、装置和设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111364252.9A CN114244568B (zh) 2021-11-17 2021-11-17 基于终端访问行为的安全接入控制方法、装置和设备

Publications (2)

Publication Number Publication Date
CN114244568A CN114244568A (zh) 2022-03-25
CN114244568B true CN114244568B (zh) 2023-08-08

Family

ID=80749846

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111364252.9A Active CN114244568B (zh) 2021-11-17 2021-11-17 基于终端访问行为的安全接入控制方法、装置和设备

Country Status (1)

Country Link
CN (1) CN114244568B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114785611B (zh) * 2022-05-10 2024-05-07 山东高速信息集团有限公司 一种用于智能监控终端的通讯协议配置方法、设备及介质
CN115499248B (zh) * 2022-11-17 2023-03-24 北京珞安科技有限责任公司 一种设备访问控制方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102984159A (zh) * 2012-12-05 2013-03-20 浙江省电力公司 基于终端访问行为的安全接入逻辑控制方法及平台服务器
CN106487859A (zh) * 2015-09-01 2017-03-08 北京国双科技有限公司 监测用户访问行为的方法、装置、终端设备及系统
CN111935063A (zh) * 2020-05-28 2020-11-13 国网电力科学研究院有限公司 一种终端设备异常网络访问行为监测系统及方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102984159A (zh) * 2012-12-05 2013-03-20 浙江省电力公司 基于终端访问行为的安全接入逻辑控制方法及平台服务器
CN106487859A (zh) * 2015-09-01 2017-03-08 北京国双科技有限公司 监测用户访问行为的方法、装置、终端设备及系统
CN111935063A (zh) * 2020-05-28 2020-11-13 国网电力科学研究院有限公司 一种终端设备异常网络访问行为监测系统及方法

Also Published As

Publication number Publication date
CN114244568A (zh) 2022-03-25

Similar Documents

Publication Publication Date Title
US20200304485A1 (en) Controlling Access to Resources on a Network
CN109361517B (zh) 一种基于云计算的虚拟化云密码机系统及其实现方法
US9246944B1 (en) Systems and methods for enforcing data loss prevention policies on mobile devices
US20100146582A1 (en) Encryption management in an information handling system
WO2015096695A1 (zh) 一种应用程序的安装控制方法、系统及装置
CN114244568B (zh) 基于终端访问行为的安全接入控制方法、装置和设备
US20140189119A1 (en) Controlling Access to Resources on a Network
US20200304543A1 (en) Providing different levels of resource access to a computing device that is connected to a dock
CN110268406B (zh) 密码安全性
CN104320389A (zh) 一种基于云计算的融合身份保护系统及方法
CN111797418B (zh) 在线服务的控制方法、装置、服务终端、服务器和存储介质
CN113614718A (zh) 异常用户会话检测器
US10114939B1 (en) Systems and methods for secure communications between devices
CN111614548A (zh) 消息推送方法、装置、计算机设备和存储介质
US9122869B1 (en) Systems and methods for detecting client types
CN1601954B (zh) 不中断服务地横跨安全边界移动主体
KR20210123518A (ko) 클라우드 서비스 기반의 원격통제 기능이 탑재된 스마트워크 지원시스템
CN108696540A (zh) 一种授权安全系统及其授权方法
CN109831521B (zh) 缓存实例管理方法、装置、计算机设备和存储介质
CN103778379A (zh) 管理设备上的应用执行和数据访问
CN108494749B (zh) Ip地址禁用的方法、装置、设备及计算机可读存储介质
CN112560006B (zh) 一种多应用系统下的单点登录方法和系统
CN110941412A (zh) 基于图片化实现多终端动画协同浏览的方法、系统及终端
TWI676115B (zh) 用以管控與雲端服務系統認證之系統及方法
US10447736B1 (en) Systems and methods for providing security in smart buildings

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant