一种终端访问控制策略优化的方法及系统技术方案
【技术实现步骤摘要】
一种终端访问控制策略优化的方法及系统
本专利技术涉及计算机安全领域,具体涉及一种终端访问控制策略优化的方法及系统。
技术介绍
随着科学技术的发展,高科技人员(黑客或敌对势力)利用终端恶意软件、恶意代码来攻击大数据平台、窃用数据,建立的各种移动系统也存在高度的风险。目前中国各个城市相关部门已建立很多移动办公系统,用户在使用移动终端时,由于操作不符合规定,同时没有严格的监管和控制,导致内部网络被非法入侵,系统乃至国家机密被窃用,严重影响终端用户的使用、业务的正常进行以及相关部门对信息安全的处理能力。因此有必要对不同的终端限制其访问的网络范围,对未知终端进行禁止准入或其它处理。现有准入系统多利用防火墙来或类似防火墙原理进行实现,通过对准入终端的Ip设置防火墙规则,而后防火墙根据规则对IP做禁止或允许访问网络的动作,从而实现了对终端准入的管控需求。图1是给出通过防火墙来控制终端访问网络实现流程。该技术是目前最为普遍的终端准入控制的一种实现。其技术实现是终端准入访问请求后,查询策略表来设置针对该终端此时的IP规则,当终端访问应用服务器时,根据设置好的规则来判断该请求是否被允...
【技术保护点】
一种终端访问控制策略优化的方法,包括以下步骤:1).获取终端的请求IP包,取得请求终端相应的终端IP地址;2).查询是否存在与该终端IP地址对应的等价IP地址,如存在,查找等价的IP规则,如不存在,直接查找该终端IP地址对应的IP规则,其中,所述IP规则包括允许IP规则和禁止IP规则;3).对该允许IP规则进行判定,如果该允许IP规则不包含该终端IP地址,则丢弃该IP包,跳转到步骤7),否则转到步骤4);4).如果该允许IP规则包含该终端IP地址,则对禁止IP规则进行判定,如果该禁止IP规则包含该终端IP地址,则丢弃该IP包,跳转到步骤7),否则转到步骤5);5).如果该禁...
【技术特征摘要】
1.一种终端访问控制策略优化的方法,包括以下步骤:1).获取终端的请求IP包,取得请求终端相应的终端IP地址;2).查询是否存在与该终端IP地址对应的等价IP地址,如存在,查找等价的IP规则,如不存在,直接查找该终端IP地址对应的IP规则,其中,所述IP规则包括允许IP规则和禁止IP规则;3).对该允许IP规则进行判定,如果该允许IP规则不包含该终端IP地址,则丢弃该IP包,跳转到步骤7),否则转到步骤4);4).如果该允许IP规则包含该终端IP地址,则对禁止IP规则进行判定,如果该禁止IP规则包含该终端IP地址,则丢弃该IP包,跳转到步骤7),否则转到步骤5);5).如果该禁止IP规则不包含该终端IP地址,说明允许终端访问,转发该IP包到应用服务器;6).接收应用服务器的响应包,并转发给该终端;7).结束。2.根据权利要求1所述的方法,所述步骤1)之前还包括终端准入请求步骤,具体包括:a).接收到终端准入请求后,做请求解析,得到终端信息及终端IP地址;b).根据该终端信息查到相应策略,若终端IP地址有对应的等价IP,则直接将该终端IP地址设置为等价IP,结束终端准入请求流程;c).若无对应的等价IP,直接将该策略转换为IP规则,并进行设置,结束终端准入请求流程。3.根据权利要求2所述的方法,其中设置IP规则的流程如下:e).查找源IP地址对应目的IP地址队列是否存在,若不存在,则新建一个目的IP地址队列,否则直接跳转到步骤f);f).将目的IP地址插入到上述源IP地址对应的目的IP地址队列;g).若目的IP地址开始地址与结束地址相同,则插入到单一目的IP地址队列,结束设置IP规则流程;h).若目的IP地址开始地址与结束地址不同,则插入到一个目的IP地址开始地址与结束地址之间的范围队列;i).所述插入到范围队列时做IP地址归并,并计算范围区间。4.根据权利要求1-3之一所述的方法,所述对允许IP规则和禁止IP规则进行判定的具体步骤包括:⑴.查找所述IP包的源IP地址对应的目的IP地址队列是否存在,若不存在,则该IP地址队列不包含该源IP地址,结束判定流程,否则进入步骤⑵;⑵.查找所述源IP地址对应的目的IP地址是否在目的IP地址单一队列中,如果存在,则该目的IP地址单一队列包含该目的IP地址,结束判定流程,否则进入步骤⑶;⑶.在目的IP地址范围队列中查找,如果存在,则该目的IP地址范围包含所述目的IP地址,结束判定流程,否则进入步骤⑷;⑷.如不存在,则该目的IP地址范围不包含所述目的IP地址,结束判定流程...
【专利技术属性】
技术研发人员:李大鹏,王志海,喻波,廖黄河,安鹏,
申请(专利权)人:北京明朝万达科技股份有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。