一种基于终端的访问策略控制方法

技术领域

本发明属于网络安全技术领域，具体涉及一种基于终端的访问策略控制方法。

背景技术

对于电力企业来说，目前正全面朝着数字化、网络化的方向建设，对于电力集团的总部和分散在各地的分支机构之间，集团拥有的内网无法把他们连接在一起，如果集团总部通过一个多协议标签交换机链接到集团各分部网络，可能没用足够的带宽来满足所有的流量。另外，远程地点的员工也不具备完整的企业本地网络。

员工可能是通过终端设备远程办公或在外部地区使用企业所有或个人拥有的终端设备，为了执行工作任务，各分支机构的员工、远程工作的员工仍然需要访问总部的资源，这种情况下，总部的资源信息就有被冒充员工恶意访问的问题，作为国家基础的能源供应平台，其网络系统的安全性至关重要。

发明内容

本发明旨在提供一种基于终端的访问策略控制方法，解决现有技术中企业员工通过终端设备访问总部资源时，容易出现访问拥挤及难以确保总部资源安全的技术问题。

为解决上述技术问题，本发明采用以下技术方案：

一种基于终端的访问策略控制方法，包括：

(1)在云端服务器设置认证模块和通信管理模块；

(2)员工的终端设备请求登录企业总部服务器；

(3)所述认证模块对所述终端设备的身份进行认证；

若认证通过，则所述通信管理模块开启所述终端设备与所述企业总部服务器的通信；

若没有认证通过，则所述通信管理模块关闭所述终端设备与所述企业总部服务器的通信；

(4)所述终端设备根据自己被授予的权限访问所述企业总部服务器中的资源。

本发明进一步的改进在于，所述企业总部服务器中设有用于供终端设备访问的资源池以及资源分级模块，所述资源分级模块用于对所述资源池中的资源按照保密级别进行分级。

本发明进一步的改进在于，所述资源池中的资源分级为一级资源单元、二级资源单元和三级资源单元，资源保密级别越高，则资源等级越高。

本发明进一步的改进在于，所述资源池中还设有非公开资源单元，所述非公开资源单元用于存放暂不对外公开的资源。

本发明进一步的改进在于，所述资源分级模块能够将资源调入所述资源池中，并对所述一级资源单元、二级资源单元、三级资源单元和非公开资源单元中的资源进行转移、新增或删除操作。

本发明进一步的改进在于，任何单个的终端设备均具有访问所述一级资源单元中资源的权限。

本发明进一步的改进在于，对终端设备配对，当配对后的两个终端设备同时访问所述企业总部服务器中的资源池，则这两个配对的终端设备均能够访问所述二级资源单元。

本发明进一步的改进在于，对终端设备分组，当分组后的三个终端设备同时访问所述企业总部服务器中的资源池，则这三个配对的终端设备均能够访问所述三级资源单元。

本发明进一步的改进在于，所述认证模块的认证方式如下：各员工的终端设备预先在认证模块中存储相应的认证信息，当终端设备登录时，向认证模块发送口令，该口令携带终端设备的认证信息，认证模块将口令解析后与认证模块中存储的相应的认证信息进行比对，如果相同，则允许登录，如果不同，则禁止登录。

本发明进一步的改进在于，当所述终端设备经过所述认证模块认证通过，所述通信管理模块用于将所述终端设备的用户信息写入所述企业总部服务器的会话名单中，以建立所述终端设备与所述企业总部服务器的会话，所述终端设备与所述企业总部服务器通过TCP/IP协议通信。

与现有技术相比，本发明的有益效果是：

1、该基于终端的访问策略控制方法在云端服务器设置认证模块和通信管理模块，认证模块用于决定是否授予终端设备对资源访问的权限，通信管理模块负责建立或切断终端设备与资源之间的通信路径，云端服务器是一个第三方平台，通过将认证模块和通信管理模块设置在云端服务器，由云端服务器进行托管，可避免企业服务器负担过重。

2、由于终端设备通过认证登录的方式来访问企业总部服务器，而不是直接将员工所在的分支机构通过交换机与企业总部服务器保持通信，防止企业总部服务器流量负担过大而出现访问拥挤现象。

3、通过对终端设备配对或分组的方式，授予终端设备访问企业总部服务器中相对敏感的资源，可避免单个或两个终端设备受到恶意控制而访问企业总部服务器，从而避免企业总部服务器敏感资源的泄漏。

附图说明

附图用来与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。在附图中：

图1为本发明基于终端的访问策略控制方法一实施例的流程图。

图2为本发明基于终端的访问策略控制方法一实施例中企业总部服务器中资源划分示意图。

图3为本发明基于终端的访问策略控制方法一实施例中单个终端设备访问企业总部服务器的流程图。

图4为本发明基于终端的访问策略控制方法一实施例中两个配对的终端设备访问企业总部服务器的流程图。

图5为本发明基于终端的访问策略控制方法一实施例中三个编组的终端设备访问企业总部服务器的流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

一种基于终端的访问策略控制方法，请参阅图1。

结合图1所示，该基于终端的访问策略控制方法包括以下步骤：

(1)在云端服务器设置认证模块和通信管理模块。

认证模块用于决定是否授予终端设备对资源访问的权限，通信管理模块负责建立或切断终端设备与资源之间的通信路径。云端服务器是一个第三方平台，通过将认证模块和通信管理模块设置在云端服务器，由云端服务器进行托管，可避免企业服务器负担过重。

(2)员工的终端设备请求登录企业总部服务器。

这里，员工的终端设备是指出差或在外地作业的远程员工所持的终端设备，或者是企业分支机构的员工所持的终端设备，终端设备可以为手机或电脑等具有通讯功能的设备。

员工的终端设备安装客户端软件，通过客户端软件来访问企业的资源；或者员工的终端设备直接访问企业的资源门户网站。

(3)认证模块对终端设备的身份进行认证；若认证通过，则通信管理模块开启终端设备与企业总部服务器的通信；若没有认证通过，则通信管理模块关闭终端设备与企业总部服务器的通信。

这里，各终端设备预先在认证模块中存储相应的认证信息，当终端设备登录时，向认证模块发送口令，该口令携带终端设备的认证信息，认证模块将口令解析后与认证模块中存储的相应的认证信息进行比对，如果相同，则允许登录，如果不同，则禁止登录。

当终端设备经过认证模块认证通过，通信管理模块用于将终端设备的用户信息写入企业总部服务器的会话名单中，以建立终端设备与企业总部服务器的会话，终端设备与企业总部服务器通过TCP/IP协议通信。

由于终端设备通过认证登录的方式来访问企业总部服务器，而不是直接将员工所在的分支机构通过交换机与企业总部服务器保持通信，防止企业总部服务器流量负担过大而出现访问拥挤现象。

(4)终端设备根据自己被授予的权限访问企业总部服务器中的资源。

这里，各终端设备的访问权限预先存储在认证模块中，当终端设备顺利通过认证后，认证模块发送权限信息到企业总部服务器，企业总部服务器根据权限信息开启允许访问的资源。

进一步的，如图2所示，该基于终端的访问策略控制方法还包括：

在企业总部服务器中设置用于供终端设备访问的资源池以及资源分级模块，资源池中的资源分级为一级资源单元、二级资源单元、三级资源单元，资源等级越高，则资源保密级别越高。另外，资源池中还设有非公开资源单元，非公开资源单元中用于存储非公开的资源，任何终端设备均不能访问非公开资源单元中的资源。

资源分级模块用于对资源池中的资源按照保密级别进行分级，资源分级模块能够将资源调入资源池中，并对一级资源单元、二级资源单元、三级资源单元、非公开资源单元中的资源进行转移、新增或删除操作，这里的转移操作是指将资源在一级资源单元、二级资源单元、三级资源单元、非公开资源单元中相互转移；新增操作是指在一级资源单元、二级资源单元、三级资源单元或非公开资源单元中新增资源；删除操作是指对一级资源单元、二级资源单元、三级资源单元、非公开资源单元中的资源进行删除。

进一步的，该基于终端的访问策略控制方法还包括：任何单个的终端设备均具有访问一级资源单元中资源的权限。

如图3所示，以终端设备1访问企业总部服务器为例，终端设备1将第一口令发送到认证模块，经认证模块认证通过后，通信管理模块接收到验证通过的信息，通信管理模块建立终端设备1访问企业总部服务器的通信路径，终端设备1顺利访问企业总部服务器；同时，企业总部服务器接收到认证模块发送的访问一级资源单元的权限信息，终端设备1能够顺利访问企业总部服务器中的一级资源单元。

同样的，对于其他各终端设备，均能够访问企业总部服务器中的一级资源单元。

进一步的，该基于终端的访问策略控制方法还包括：对终端设备配对，当配对后的两个终端设备同时访问企业总部服务器中的资源池，则这两个配对的终端设备均能够访问二级资源单元。

如图4所示，以终端设备1和终端设备2访问企业总部服务器为例，终端设备1和终端设备2是两个配对的终端设备，并将终端设备1和终端设备2的配对信息预先发送到认证模块进行存储。终端设备1将第一口令发送到认证模块，终端设备2将第二口令发送到认证模块，前后间隔时间不超过5分钟，经认证模块认证通过后，通信管理模块接收到验证通过的信息，通信管理模块建立终端设备1及终端设备2访问企业总部服务器的通信路径，终端设备1及终端设备2顺利访问企业总部服务器；同时，企业总部服务器接收到认证模块发送的访问二级资源单元的权限信息，终端设备1和终端设备2能够顺利访问企业总部服务器中的二级资源单元。这里，当终端设备具备访问二级资源单元的权限，则必然有访问一级资源单元的权限。

通过两个终端设备配对访问企业总部服务器中相对敏感的资源，可避免单个终端设备受到恶意控制而访问企业总部服务器，从而避免企业总部服务器敏感资源的泄漏。

进一步的，该基于终端的访问策略控制方法还包括：对终端设备分组，当分组后的三个终端设备同时访问企业总部服务器中的资源池，则这三个配对的终端设备均能够访问三级资源单元。

如图5所示，以终端设备1、终端设备2和终端设备3访问企业总部服务器为例，终端设备1、终端设备2和终端设备3是分在一组的终端设备，并将终端设备1、终端设备2和终端设备3的分组信息预先发送到认证模块进行存储。终端设备1将第一口令发送到认证模块，终端设备2将第二口令发送到认证模块，终端设备3将第三口令发送到认证模块，前后间隔时间不超过5分钟，经认证模块认证通过后，通信管理模块接收到验证通过的信息，通信管理模块建立终端设备1、终端设备2及终端设备3访问企业总部服务器的通信路径，终端设备1、终端设备2及终端设备3顺利访问企业总部服务器；同时，企业总部服务器接收到认证模块发送的访问三级资源单元的权限信息，终端设备1、终端设备2和终端设备3能够顺利访问企业总部服务器中的三级资源单元。这里，当终端设备具备访问三级资源单元的权限，则必然有访问二级资源和一级资源单元的权限。

通过三个终端设备配对访问企业总部服务器中涉密级别更高的资源，可避免单个或两个终端设备受到恶意控制而访问企业总部服务器，从而进一步避免企业总部服务器涉密资源的泄漏。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解，在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。