[发明专利]一种基于终端主机安全状态的准入控制方法和系统在审
| 申请号: | 201610281983.X | 申请日: | 2016-04-29 |
| 公开(公告)号: | CN107332803A | 公开(公告)日: | 2017-11-07 |
| 发明(设计)人: | 杨华;刘文超;王斌;宋成龙 | 申请(专利权)人: | 北京北信源软件股份有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 100081 北京市海淀区中关*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 终端 主机 安全 状态 准入 控制 方法 系统 | ||
1.一种基于终端主机安全状态的准入控制方法,其特征在于,该方法包括:通过判定访问网络资源的接入终端的接入状态,判断将所述接入终端直接切换为入网设备或进入准入阶段;所述准入阶段包括管理注册、注册审核、安全检测、认证和权限管理。
2.一种基于终端主机安全状态的准入控制方法,其特征在于,分为如下步骤:
S1、审查接入终端是否处于准入控制系统的白名单中,若是直接切换为入网设备;若不是,则所述接入终端进入准入阶段,并且,所述接入终端的http访问将被重定向到注册界面;
S2、接入终端进行注册,在注册界面登记接入终端及其使用者的相关信息;
S3、在所述接入终端完成注册后,将对其进行合法性审核,审核通过后所述接入终端被切换为注册设备,审核未通过的所述接入终端,其http访问将重定向至注册界面;
S4、对审核通过后的所述注册设备,根据定制的安全策略进行安全检测,检测注册设备及其运行环境是否符合安全要求,并依据检测结果对注册设备进行状态迁移;
S5、安全检测未通过的注册设备仍然处于准入阶段,需重新进行安全检测;
S6、注册设备通过安全检测后,对注册设备的使用者进行身份认证,并根据身份认证结果对注册设备进行状态迁移;
S7、身份认证未通过的注册设备仍然处于准入阶段,需重新进行身份认证;
S8、注册设备通过身份认证后,将被切换为入网设备;
S9、对所述入网设备进行权限控制。
3.如权利要求1所述的基于终端主机安全状态的准入控制方法,其特征在于,所述判定访问网络资源的接入终端的接入状态具体包括:根据接入终端访问网络资源中发生的流量,准入控制系统接收所述流量,并提取流量中的IP信息,检查所述IP信息是否在所述白名单的列表中。
4.如权利要求2所述的基于终端主机安全状态的准入控制方法,其特征在于,所述步骤S2之前还包括:所述接入终端在客户端下载模块下载客户端,在完成客户端下载前接入终端访问http请求都会被重定向到注册界面。
5.如权利要求4所述的基于终端主机安全状态的准入控制方法,其特征在于,所述步骤S2还包括:客户端将注册设备的唯一标识ID上报至准入控制系统,准入控制系统依据ID号来识别设备。
6.如权利要求4所述的基于终端主机安全状态的准入控制方法,其特征在于,所述步骤S3还包括:所述客户端检测接入终端本身的安全性,所述安全性包括:是否存在安全漏洞,是否安装杀毒软件,是否安装了必要的安全管理软件;所述客户端将安全性检测结果扫描并且上报准入控制系统。
7.如权利要求2所述的基于终端主机安全状态的准入控制方法,其特征在于,所述安检模块依据安全检测的结果对注册设备进行状态迁移,具体为:
若安全检测通过,则进入到认证阶段;若安全检测不通过,则将注册设备置为隔离状态,处于隔离状态的设备等待下一次安全检测。
8.如权利要求2所述的基于终端主机安全状态的准入控制方法,其特征在于,所述根据身份认证结果对注册设备进行状态迁移,具体包括:身份认证通过,进入入网阶段,身份认证不通过仍然处于未认证状态,等待下一次认证。
9.如权利要求2所述的基于终端主机安全状态的准入控制方法,其特征在于,在所述准入阶段的设备只能访问权限控制中允许访问的隔离域资源。
10.如权利要求2所述的基于终端主机安全状态的准入控制方法,其特征在于,所述入网设备在超过一定时限没有进行任何操作后,自动切换为离线设备;离线设备要重新入网,则需再次进行准入控制流程。
11.一种基于终端主机安全状态的准入控制系统,其特征在于,包括:
白名单模块,用于审查所述接入终端是否处于准入控制系统的白名单中,若是直接切换为入网设备,若不是,所述接入终端进入准入阶段;
设备管理模块,用于对所述接入终端进行注册,在注册界面登记接入终端及其使用者的相关信息,在完成注册前接入终端访问http的请求都会被重定向到注册界面;在所述接入终端完成注册后,将对其进行合法性审核,审核通过后所述接入终端切被换为注册设备;
安检模块,用于对审核通过后的所述注册设备,根据定制的安全策略进行安全检测,检测注册设备及其运行环境是否符合安全要求,并依据检测结果对注册设备进行状态迁移;
设备状态迁移模块,通过设备所处的不同阶段将设备切换到不同的状态;
认证模块,用于在注册设备通过安全检测后,对注册设备的使用者进行身份认证,并根据身份认证结果对注册设备进行状态迁移;
权限管理模块,用于对通过身份认证后进入入网状态的注册设备进行权限控制;
接收和发送模块,用于系统与终端进行通信;同时产生http报文控制接入终端及注册设备的行为,具体为产生tcp回复包影响终端的链接进行控制;
重定向模块,用于在所述接入终端注册失败、审核失败、安全检测失败、认证失败和所拥有的权限不能访问某些资源时,为其显示当前结果并提供引导性操作,将其重定向至相应的准入阶段。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京北信源软件股份有限公司,未经北京北信源软件股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201610281983.X/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种油菜籽粒油酸含量近红外分析方法
- 下一篇:网页漏洞的检测方法及装置
