專利名稱:基于終端訪問行為的安全接入邏輯控制方法及平臺服務(wù)器的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全技術(shù)領(lǐng)域的終端訪問控制方法,具體涉及的是一種基于終端訪問行為的安全接入邏輯控制方法及安全接入平臺服務(wù)器。
背景技術(shù):
傳統(tǒng)的信息系統(tǒng)使用方法以物理訪問為主,各系統(tǒng)分別管理,用戶需要頻繁切換系統(tǒng),重復(fù)進行身份認(rèn)證、權(quán)限控制等。隨著信息技術(shù)的飛速發(fā)展與廣泛應(yīng)用,信息系統(tǒng)的數(shù)量以及復(fù)雜度大大提高,人們對信息系統(tǒng)訪問也有了更高的要求,如統(tǒng)一用戶身份的驗證、統(tǒng)一訪問權(quán)限分配、統(tǒng)一行為審計操作等。
在部分涉密單位或者大型企業(yè)中,建設(shè)了內(nèi)網(wǎng)資源安全接入平臺,對信息系統(tǒng)進行統(tǒng)一接入管理,對接入用戶身份進行認(rèn)證,傳輸數(shù)據(jù)加密等,用戶不需要物理接觸要訪問的系統(tǒng),這給系統(tǒng)使用帶來一定的便利。
但是安全接入平臺大多只是實現(xiàn)終端訪問內(nèi)網(wǎng)資源安全接入功能,終端訪問行為、訪問權(quán)限各系統(tǒng)分別控制,沒有實現(xiàn)對終端訪問行為統(tǒng)一邏輯控制、權(quán)限統(tǒng)一分配、操作統(tǒng)一審計等功能,并且不能識別遠(yuǎn)程桌面令及用戶自有界面系統(tǒng)的操作命令,只能識別控制應(yīng)用層可控程序的文字命令如ftp、telnet、ssh等,這給系統(tǒng)使用帶來不便。發(fā)明內(nèi)容
為解決終端訪問行為的邏輯控制及操作審計問題,本發(fā)明目的是在于提出的是一種基于終端訪問行為的邏輯控制及操作審計方法及平臺服務(wù)器,在安全接入平臺服務(wù)器端對終端訪問行為進行分類識別文字命令、圖形界面操作及用戶自由界面系統(tǒng)操作等,并根據(jù)識別的命令及用戶權(quán)限邏輯控制是否允許執(zhí)行,簡化了資源管理難度,避免各系統(tǒng)重復(fù)認(rèn)證,解決了文字命令、圖形界面操作等識別和邏輯控制。
為現(xiàn)實上述目的,本發(fā)明的技術(shù)方案是一種基于終端訪問行為的邏輯控制及操作審計方法,在安全接入平臺服務(wù)器端部署終端訪問行為邏輯控制模塊,配置終端訪問權(quán)限、場景判定參數(shù)、點陣區(qū)域命令對照表等信息。將終端訪問內(nèi)網(wǎng)資源的各數(shù)據(jù)包重定向到邏輯控制模塊中對應(yīng)的代理程序中,邏輯控制模塊識別終端各種方式訪問行為,并加以控制轉(zhuǎn)發(fā)或丟棄,記錄日志,從安全接入平臺服務(wù)器接收數(shù)據(jù)進行場景識別并轉(zhuǎn)發(fā)給終端。
通過本方法進行終端訪問行為邏輯控制時,具體包括如下步驟一種基于終端訪問行為的安全接入邏輯控制方法,其特征在于,用于對終端訪問行為進行邏輯控制包含如下步驟(1)終端通過web服務(wù)接口訪問安全接入平臺服務(wù)器;(2)安全接入平臺服務(wù)器對終端進行智能卡身份認(rèn)證,身份驗證成功,服務(wù)端頁面顯示可訪問資源列表信息;(3)終端選擇需要訪問的資源服務(wù)信息,發(fā)起訪問內(nèi)網(wǎng)資源機的請求,并提供要訪問的目標(biāo)主機IP、訪問服務(wù)名;(4)安全接入平臺服務(wù)器將終端訪問請求數(shù)據(jù)包重定向到對應(yīng)的邏輯控制模塊代理程序;(5)邏輯控制模塊代理程序判斷終端是否具有訪問該資源的權(quán)限;(6)終端處理控制模塊建立與內(nèi)網(wǎng)資源機及終端的雙向連接,若具有訪問該資源的權(quán)限,則進入步驟(6);若不具有訪問該資源的權(quán)限,則斷開雙向連接;(7)等待終端訪問行為發(fā)生,識別終端行為命令是否允許訪問;若允許,則根據(jù)終端訪問方式不同跳轉(zhuǎn)到步驟(8)、(9)或(10),若不允許,則斷開雙向連接;(8)若終端行為命令為應(yīng)用層可控服務(wù),代理程序直接識別并加以控制,在終端及內(nèi)網(wǎng)資源機之間代理轉(zhuǎn)發(fā)數(shù)據(jù);(9)若終端行為命令為遠(yuǎn)程桌面協(xié)議,進行協(xié)議解析識別文字命令并加以控制,同時對用戶屏幕信息錄像,在終端及內(nèi)網(wǎng)資源機之間代理轉(zhuǎn)發(fā)數(shù)據(jù);(10)若終端行為命令為部分圖形界面程序,根據(jù)終端屏幕信息及場景判定參數(shù),判斷圖形界面場景,根據(jù)光標(biāo)位置、鼠標(biāo)位置操作、鍵盤消息等查找點陣區(qū)域?qū)φ毡恚R別終端訪問行為并加以控制,在終端及內(nèi)網(wǎng)資源機之間代理轉(zhuǎn)發(fā)數(shù)據(jù);(11)判斷轉(zhuǎn)發(fā)終端訪問行為是否結(jié)束,若結(jié)束斷開雙向連接,繼續(xù)等待終端輸入。
作為優(yōu)選,所述終端通過C/S的方式登錄安全接入平臺服務(wù)器。所述應(yīng)用層可控服務(wù)為ftp、sftp、telnet或ssh的文字命令服務(wù),對ftp、sftp、telnet或ssh的文字命令服務(wù),代理程序直接識別進行相應(yīng)的模式匹配控制。
作為優(yōu)選,安全接入平臺服務(wù)器通過文件證書或U/P方式對終端用戶進行身份認(rèn)證。
作為優(yōu)選,安全接入平臺服務(wù)器提供終端可訪問資源信息列表,簡化終端訪問行為復(fù)雜度。
作為優(yōu)選,安全接入平臺集成防火墻功能切斷內(nèi)網(wǎng)資源機與外界的直接連接,所有對內(nèi)網(wǎng)資源機的訪問通過安全接入平臺終端訪問行為控制模塊進行。
作為優(yōu)選,支持聲音識別系統(tǒng)接入,對終端用戶聲音輸入進行識別控制處理等。
作為優(yōu)選,對用戶圖形命令識別采用圖像比對方式,截取用戶鼠標(biāo)操作對應(yīng)點的部分屏幕圖像,與對應(yīng)的場景圖像命令參數(shù)表進行比對,對終端訪問行為進行識別。
本發(fā)明方法可以實現(xiàn)以下應(yīng)用效果1)通過安全接入平臺服務(wù)器端對終端進行統(tǒng)一強身份認(rèn)證,避免各系統(tǒng)重復(fù)認(rèn)證;2)對終端可訪問資源信息及終端訪問權(quán)限統(tǒng)一配置,并應(yīng)用RBAC技術(shù),簡化了資源管理難度;3)對終端訪問行為統(tǒng)一日志記錄在安全接入服務(wù)端,避免日志分散記錄在各系統(tǒng)中, 日志審計復(fù)雜度,可控制并審計FTP、TELNET、SSH等文字命令、RDP、X-Window界面操作命令及其它應(yīng)用圖形界面系統(tǒng)操作命令等,為解決終端訪問行為的邏輯控制及操作審計問題;4)安全接入平臺服務(wù)器端推送終端可訪問資源信息簡化終端操作復(fù)雜度,實現(xiàn)對終端訪問行為統(tǒng)一邏輯控制、權(quán)限統(tǒng)一分配、操作統(tǒng)一審計等功能。
5)實現(xiàn)對ftp、telnet及RDP等多種服務(wù)終端訪問行為權(quán)限控制。
圖I本發(fā)明的安全接入平臺服務(wù)器的框架示意圖。
圖2本發(fā)明的數(shù)據(jù)處理流程圖。
具體實施方式
為使本發(fā)明實現(xiàn)的技術(shù)手段、創(chuàng)作特征、達(dá)成目的與功效易于明白了解,下面結(jié)合具體實施方式
,進一步闡述本發(fā)明。
如附圖I所示,本實施例主要解決目前信息系統(tǒng)權(quán)限重復(fù)分配、冗余認(rèn)證、終端行為無法統(tǒng)一控制的問題,而提供了一種安全接入平臺服務(wù)器以及對終端統(tǒng)一身份認(rèn)證、網(wǎng)絡(luò)層訪問權(quán)限統(tǒng)一控制、訪問行為統(tǒng)一控制、訪問日志統(tǒng)一審計的安全接入邏輯控制方法, 該安全接入平臺服務(wù)器部署有功能模塊和支撐數(shù)據(jù)庫,該功能模塊包括作為終端訪問內(nèi)網(wǎng)資源機入口的web服務(wù)接口模塊,實現(xiàn)對終端基于智能卡身份認(rèn)證的身份認(rèn)證模塊,實現(xiàn)對終端訪問權(quán)限信息等進行配置的配置模塊,對客戶不同的訪問類型重定向到對應(yīng)終端控制模塊的數(shù)據(jù)重定向模塊。
在安全接入平臺服務(wù)器端還部署有終端訪問行為的邏輯控制模塊,配置終端訪問權(quán)限、場景判定參數(shù)、點陣區(qū)域命令對照表等信息。將終端訪問內(nèi)網(wǎng)資源的各數(shù)據(jù)包重定向到邏輯控制模塊中對應(yīng)的代理程序中,邏輯控制模塊識別終端各種方式訪問行為,并加以控制轉(zhuǎn)發(fā)或丟棄,記錄日志,從安全接入平臺服務(wù)器接收數(shù)據(jù)進行場景識別并轉(zhuǎn)發(fā)給終端。
該邏輯控制模塊包括FTP控制模塊、RDP代理控制模塊以及圖形命令控制模塊等; 該FTP控制模塊、RDP代理控制模塊以及圖形命令控制模塊接收終端相應(yīng)服務(wù)請求,識別終端行為操作、拒絕或轉(zhuǎn)發(fā)終端數(shù)據(jù)轉(zhuǎn)發(fā)內(nèi)網(wǎng)資源機返回數(shù)據(jù)等。
考慮系統(tǒng)運行時日志數(shù)據(jù)量較大,系統(tǒng)采用兩個數(shù)據(jù)庫作為支撐,該支撐數(shù)據(jù)庫配置的兩個數(shù)據(jù)庫為配制庫和審計日志庫,配制庫存放系統(tǒng)配置信息,審計日志庫存放終端訪問各種日志信息等。
本實施例利用上述安全接入平臺服務(wù)器,實現(xiàn)一種基于終端訪問行為的安全接入邏輯控制方法,在安全接入平臺服務(wù)器端部署終端訪問行為邏輯控制模塊,配置終端訪問權(quán)限、場景判定參數(shù)、點陣區(qū)域命令對照表等信息。將終端訪問內(nèi)網(wǎng)資源的各數(shù)據(jù)包重定向到邏輯控制模塊中對應(yīng)的代理程序中,邏輯控制模塊識別終端各種方式訪問行為,并加以控制轉(zhuǎn)發(fā)或丟棄,記錄日志,從安全接入平臺服務(wù)器接收數(shù)據(jù)進行場景識別并轉(zhuǎn)發(fā)給終端。
本實施例中。終端采用智能卡授權(quán)方式,參見圖2,本實施的方法包含的使用具體操作步驟如下(O終端訪問通過WEB服務(wù)方式訪問接入平臺服務(wù)器;終端可通過C/S的方式登錄安全接入平臺服務(wù)器,并且終端通過網(wǎng)頁方式訪問安全接入平臺服務(wù)器,各種應(yīng)用訪問無需另外安裝程序,各種應(yīng)用訪問客戶端程序以網(wǎng)頁控件的方式實現(xiàn)。
( 2 )身份驗證成功,服務(wù)端頁面顯示可訪問資源列表信息;安全接入平臺服務(wù)器通過文件證書或U/P方式對終端用戶進行身份認(rèn)證。該身份驗證成功后,安全接入平臺服務(wù)器提供終端可訪問資源信息列表,簡化終端訪問行為復(fù)雜度。
( 3 )終端選擇需要訪問的資源服務(wù)信息,發(fā)起訪問請求;終端發(fā)起訪問內(nèi)網(wǎng)資源機的請求,并提供要訪問的目標(biāo)主機IP、訪問服務(wù)名;服務(wù)端返回終端用戶可訪問資源列表信息,終端訪問內(nèi)網(wǎng)資源無需二次認(rèn)證,安全接入平臺服務(wù)器實現(xiàn)各應(yīng)用服務(wù)密碼預(yù)存功能,并自動實現(xiàn)系統(tǒng)用戶認(rèn)證功能,系統(tǒng)用戶日志信息不作為操作審計依據(jù)。
(4)判斷終端是否具備訪問該資源服務(wù)的權(quán)限,若具有訪問權(quán)限,進行下一步驟;(5)終端處理控制模塊建立與內(nèi)網(wǎng)資源機及終端的雙向連接;(6)等待終端訪問行為發(fā)生,識別終端行為命令包括圖形命令或文字命令是否允許訪問;本實施例是根據(jù)終端用戶信息用戶組權(quán)限配置信息,實現(xiàn)用戶網(wǎng)絡(luò)層訪問控制,確定是否允許訪問相應(yīng)的內(nèi)網(wǎng)資源服務(wù),若允許,則進入步驟(7);若不允許,則斷開雙向連接;(7)轉(zhuǎn)發(fā)終端訪問行為數(shù)據(jù);根據(jù)終端請求服務(wù)類型重定向到相應(yīng)的終端行為控制模塊即對應(yīng)的邏輯控制模塊代理程序;對不同類型的訪問行為分類處理,跟據(jù)終端訪問方式不同跳轉(zhuǎn)到步驟(a)、(b)或(c);(a)若終端行為命令為ftp、sftp、telnet或ssh等文字命令服務(wù)的應(yīng)用層可控服務(wù), 代理程序直接識別并進行相應(yīng)的模式匹配控制,在終端及內(nèi)網(wǎng)資源機之間代理轉(zhuǎn)發(fā)數(shù)據(jù);(b)若終端行為命令為RDP等遠(yuǎn)程桌面協(xié)議,進行協(xié)議解析識別文字命令并加以控制, 同時對用戶屏幕信息錄像,在終端及內(nèi)網(wǎng)資源機之間代理轉(zhuǎn)發(fā)數(shù)據(jù);(c)若終端行為命令為部分圖形界面程序,根據(jù)終端屏幕信息及場景判定參數(shù),判斷圖形界面場景,根據(jù)光標(biāo)位置、鼠標(biāo)位置操作、鍵盤消息等查找點陣區(qū)域?qū)φ毡恚R別終端訪問行為并加以控制,在終端及內(nèi)網(wǎng)資源機之間代理轉(zhuǎn)發(fā)數(shù)據(jù)。
本實施例的對圖形界面程序,首先是設(shè)置場景判定參數(shù)及命令坐標(biāo)區(qū)域,然后根據(jù)終端屏幕信息及場景判定參數(shù),判定圖形界面場景,根據(jù)光標(biāo)位置、鼠標(biāo)位置操作、鍵盤消息等查找點陣區(qū)域?qū)φ毡?,實現(xiàn)用戶界面操作信息和命令的轉(zhuǎn)換(8)結(jié)束則斷開雙向連接,否則繼續(xù)等待終端輸入。
值得一提的是,本實施例的安全接入平臺集成防火墻功能切斷內(nèi)網(wǎng)資源機與外界的直接連接,所有對內(nèi)網(wǎng)資源機的訪問通過安全接入平臺終端訪問行為控制模塊進行;并支持聲音識別系統(tǒng)接入,對終端用戶聲音輸入進行識別控制處理等。
對用戶圖形命令識別采用圖像比對方式,截取用戶鼠標(biāo)操作對應(yīng)點的部分屏幕圖像,與對應(yīng)的場景圖像命令參數(shù)表進行比對,對終端訪問行為進行識別。
為更加詳細(xì)闡述本發(fā)明的,本實施例的一個典型的交互示例如下終端打開安全接入平臺訪問界面,安全接入平臺服務(wù)器對終端身份進行認(rèn)證,認(rèn)證成功后返回終端可訪問內(nèi)網(wǎng)資源服務(wù)信息。選擇要訪問的某圖形界面系統(tǒng),安全接入平臺服務(wù)器判斷該終端具備相應(yīng)訪問權(quán)限且訪問類型為圖形命令方式,將訪問數(shù)據(jù)重定向到圖形命令控制|吳塊。
圖形命令控制模塊建立與終端及內(nèi)網(wǎng)資源服務(wù)機雙向連接后等待終端輸入。終端點擊鼠標(biāo)選擇要執(zhí)行命令,圖形命令控制模塊接收到終端鼠標(biāo)信息,根據(jù)終端當(dāng)前屏幕圖像信息,采樣屏幕信息與預(yù)留場景信息進行比較,判斷當(dāng)前操作的頁面,根據(jù)鼠標(biāo)坐標(biāo)信息識別當(dāng)前操作命令,根據(jù)配置庫終端權(quán)限信息判斷是否允許終端執(zhí)行此命令,轉(zhuǎn)發(fā)或丟棄。
訪問結(jié)束斷開雙向連接,否則繼續(xù)等待終端輸入。
基于上述,本發(fā)明通過安全接入平臺服務(wù)器端對終端進行統(tǒng)一強身份認(rèn)證,避免各系統(tǒng)重復(fù)認(rèn)證;對終端可訪問資源信息及終端訪問權(quán)限統(tǒng)一配置,并應(yīng)用RBAC技術(shù),簡化了資源管理難度;并對終端訪問行為統(tǒng)一日志記錄在安全接入服務(wù)端,避免日志分散記錄在各系統(tǒng)中,日志審計復(fù)雜度。
本發(fā)明的安全接入平臺服務(wù)器端推送終端可訪問資源信息簡化終端操作復(fù)雜度, 現(xiàn)對ftp、telnet及RDP等多種服務(wù)終端訪問行為權(quán)限控制。
以上顯示和描述了本發(fā)明的基本原理和主要特征和本發(fā)明的優(yōu)點。本行業(yè)的技術(shù)人員應(yīng)該了解,本發(fā)明不受上述實施例的限制,上述實施例和說明書中描述的只是說明本發(fā)明的原理,在不脫離本發(fā)明精神和范圍的前提下,本發(fā)明還會有各種變化和改進,這些變化和改進都落入要求保護的本發(fā)明范圍內(nèi)。本發(fā)明要求保護范圍由所附的權(quán)利要求書及其等效物界定。
權(quán)利要求
1.基于終端訪問行為的安全接入邏輯控制方法,其特征在于,用于對終端訪問行為進行邏輯控制,其包含如下步驟 (1)終端通過web服務(wù)接口訪問安全接入平臺服務(wù)器; (2)安全接入平臺服務(wù)器對終端進行智能卡身份認(rèn)證,身份驗證成功,服務(wù)端頁面顯示可訪問資源列表信息; (3)終端選擇需要訪問的資源服務(wù)信息,發(fā)起訪問內(nèi)網(wǎng)資源機的請求,并提供要訪問的目標(biāo)主機IP、訪問服務(wù)名; (4)安全接入平臺服務(wù)器將終端訪問請求數(shù)據(jù)包重定向到對應(yīng)的邏輯控制模塊代理程序; (5)邏輯控制模塊代理程序判斷終端是否具有訪問該資源的權(quán)限; (6)終端處理控制模塊建立與內(nèi)網(wǎng)資源機及終端的雙向連接,若具有訪問該資源的權(quán)限,則進入步驟(6);若不具有訪問該資源的權(quán)限,則斷開雙向連接; (7)等待終端訪問行為發(fā)生,識別終端行為命令是否允許訪問;若允許,則根據(jù)終端訪問方式不同跳轉(zhuǎn)到步驟(8)、(9)或(10),若不允許,則斷開雙向連接; (8)若終端行為命令為文字命令服務(wù),代理程序直接識別并加以控制,在終端及內(nèi)網(wǎng)資源機之間代理轉(zhuǎn)發(fā)數(shù)據(jù); (9)若終端行為命令為遠(yuǎn)程桌面協(xié)議,進行協(xié)議解析識別文字命令并加以控制,同時對用戶屏幕信息錄像,在終端及內(nèi)網(wǎng)資源機之間代理轉(zhuǎn)發(fā)數(shù)據(jù); (10)若終端行為命令為部分圖形界面程序,根據(jù)終端屏幕信息及場景判定參數(shù),判斷圖形界面場景,查找點陣區(qū)域?qū)φ毡?,識別終端訪問行為并加以控制,在終端及內(nèi)網(wǎng)資源機之間代理轉(zhuǎn)發(fā)數(shù)據(jù); (11)判斷轉(zhuǎn)發(fā)終端訪問行為是否結(jié)束,若結(jié)束斷開雙向連接,繼續(xù)等待終端輸入。
2.根據(jù)權(quán)利要求I所述的基于終端訪問行為的安全接入邏輯控制方法,其特征在于,所述終端通過網(wǎng)頁方式訪問安全接入平臺服務(wù)器,各種應(yīng)用訪問客戶端程序以網(wǎng)頁控件的方式實現(xiàn)。
3.根據(jù)權(quán)利要求I所述的一種基于終端訪問行為的安全接入邏輯控制方法,其特征在于,所述終端采用智能卡授權(quán)方式,所述平臺服務(wù)器實現(xiàn)對終端統(tǒng)一身份認(rèn)證,支持終端用戶名/密碼方式、文件證書方式和智能卡方式的一種或多種方式的身份認(rèn)證。
4.根據(jù)權(quán)利要求I所述的基于終端訪問行為的安全接入邏輯控制方法,其特征在于,所述應(yīng)用層可控服務(wù)為ftp、sftp、telnet或ssh的文字命令服務(wù),對ftp、sftp、telnet或ssh的文字命令服務(wù),代理程序直接識別進行相應(yīng)的模式匹配控制。
5.根據(jù)權(quán)利要求I所述的基于終端訪問行為的安全接入邏輯控制方法,其特征在于,所述步驟(6)中,據(jù)終端用戶信息用戶組權(quán)限配置信息,實現(xiàn)用戶網(wǎng)絡(luò)層訪問控制,確定是否允許訪問相應(yīng)的內(nèi)網(wǎng)資源服務(wù)。
6.根據(jù)權(quán)利要求I所述的一種基于終端訪問行為的安全接入邏輯控制方法,其特征在于,所述步驟(I)中,所述終端通過C/S的方式登錄安全接入平臺服務(wù)器。
7.根據(jù)權(quán)利要求I所述的基于終端訪問行為的安全接入邏輯控制方法,其特征在于,所述安全接入平臺集成防火墻功能切斷內(nèi)網(wǎng)資源機與外界的直接連接,所有對內(nèi)網(wǎng)資源機的訪問通過安全接入平臺終端訪問行為控制模塊進行。
8.根據(jù)權(quán)利要求I所述的基于終端訪問行為的安全接入邏輯控制方法,其特征在于,上述步驟(10)中,查找點陣區(qū)域?qū)φ毡硎歉鶕?jù)光標(biāo)位置、鼠標(biāo)位置操作或鍵盤消息來查找點陣區(qū)域?qū)φ毡怼?br>
9.實現(xiàn)權(quán)利要求1-8任意一項所述的基于終端訪問行為的安全接入邏輯控制方法的安全接入平臺服務(wù)器,其特征在于,其包括功能模塊和支撐數(shù)據(jù)庫,該功能模塊包括作為終端訪問內(nèi)網(wǎng)資源機入口的web服務(wù)接口模塊,實現(xiàn)對終端基于智能卡身份認(rèn)證的身份認(rèn)證模塊,實現(xiàn)對終端訪問權(quán)限信息進行配置的配置模塊,對客戶不同的訪問類型重定向到對應(yīng)終端控制模塊的數(shù)據(jù)重定向模塊以及用于識別終端各種方式訪問行為,并加以控制轉(zhuǎn)發(fā)或丟棄,記錄日志的邏輯控制模塊; 所述支撐數(shù)據(jù)庫配置包括存放系統(tǒng)配置信息的配制庫和存放終端訪問各種日志信息的審計日志庫。
10.根據(jù)權(quán)利要求9所述的安全接入平臺服務(wù)器,其特征在于,所述邏輯控制模塊包括FTP控制模塊、RDP代理控制模塊和圖形命令控制模塊;所述FTP控制模塊、RDP代理控制模塊以及圖形命令控制模塊接收終端相應(yīng)服務(wù)請求,識別終端行為操作、拒絕或轉(zhuǎn)發(fā)終端數(shù)據(jù)轉(zhuǎn)發(fā)內(nèi)網(wǎng)資源機返回數(shù)據(jù)。
全文摘要
本發(fā)明公開的是一種基于終端訪問行為的安全接入邏輯控制方法及安全接入平臺服務(wù)器,在安全接入平臺服務(wù)器端部署有終端訪問行為的邏輯控制模塊,配置終端訪問權(quán)限、場景判定參數(shù)、點陣區(qū)域命令對照表等信息,將終端訪問內(nèi)網(wǎng)資源的各數(shù)據(jù)包重定向到邏輯控制模塊中對應(yīng)的代理程序中,邏輯控制模塊識別終端各種方式訪問行為,并加以控制轉(zhuǎn)發(fā)或丟棄。本發(fā)明的方法在安全接入平臺服務(wù)器端對終端訪問行為進行分類識別FTP、TELNET、SSH等文字命令、RDP圖形界面操作及用戶自由界面系統(tǒng)操作等,并根據(jù)識別的命令及用戶權(quán)限邏輯控制是否允許執(zhí)行,簡化了資源管理難度,避免各系統(tǒng)重復(fù)認(rèn)證,解決了文字命令、圖形界面操作等識別和邏輯控制。
文檔編號H04L9/32GK102984159SQ20121051510
公開日2013年3月20日 申請日期2012年12月5日 優(yōu)先權(quán)日2012年12月5日
發(fā)明者黃斌, 顧偉敏, 趙甫, 劉行, 朱英偉, 盧冰 申請人:浙江省電力公司, 國網(wǎng)電力科學(xué)研究院, 南京南瑞集團公司, 國家電網(wǎng)公司