[发明专利]一种终端准入控制方法及系统

说明书

技术领域

本发明涉及数据安全领域，具体涉及一种终端准入控制方法及系统。

背景技术

随着科学技术的发展，高科技人员(黑客或敌对势力)利用终端恶意软件、恶意代码来攻击大数据平台、窃用数据，建立的各种移动系统也存在高度的风险。目前中国各个城市相关部门已建立很多移动办公系统，这使得系统服务必须能够支撑大量的用户同时的登录并对不同的用户根据他们的准入权限和策略进行相应的处理。

现有终端准入控制方法多是接收到客户端的认证报文后解析认证报文中的用户信息直接与数据库中存储的用户信息进行比对来确认是否准入。

如图1，给出了通过数据库来控制终端准入的实现流程：

1)移动终端发送登陆请求；

2)准入网关解析客户端发送的报文得到请求中的用户信息、终端信息；

3)将从请求中获得的用户信息，与查询数据库得到的用户信息进行比对；

4)如果比对结果不一致，则返回失败原因；

5)将从请求中获得的终端信息，与查询数据库得到终端信息进行比对；

6)如果比对结果不一致，则返回失败原因；

7)返回认证成功信息。

该技术是目前最为普遍的终端准入控制的一种实现。其技术实现是终端准入访问请求后，查询用户信息表和终端信息来判断该请求是否被允许。

现有数据库查询，受限于数据库的查询语句执行速度，当大量的登录请求发送到服务端时，服务端的处理性能就会受到数据库执行速度的影响，无法做到当大量并发产生时在较短的时间内处理完毕，从而影响用户使用体验。

发明内容

本发明从实际需求和应用的角度出发，根据准入终端在用户管理和终端管理时的特点，及客户端及时访问时需要快速判断是否允许准入的特点，提出了一种新的解决方案。

在管理用户信息时，当用户信息导入或者新增、修改、删除的时候更新数据库变动记录表。记录用户信息表发生的变动，更新内存将用户信息同步到内存中进行处理。同样管理终端时，当终端信息导入或者新增、修改的时候同样更新数据库变动记录表。记录终端信息表发生的变动，更新内存将终端信息同步到内存中。当终端的登录认证消息发送到服务端时，服务端接收到消息后从内存中查找用户信息进行比对，大大的加速了用户认证信息的处理速度。

为解决上述技术问题，本发明提供了一种终端准入控制方法，包括以下步骤：

1)将终端/用户信息导入到内存中；

2)接收到终端准入请求后，做请求解析，得到终端信息及用户信息；

3)判断解析得到所述用户信息及终端信息与内存中的所述用户信息及终端信息是否一致；

4)如果两者均一致则返回认证成功消息。

优选的，所述步骤3)具体包括：

3.1)判断解析得到的所述用户信息与内存中的所述用户信息是否一致；

3.2)如果一致，则跳转到步骤3.3)，否则返回认证失败信息，并退出；

3.3)判断解析得到的所述终端信息与内存中的所述终端信息是否一致；

3.4)如果一致，则跳转到步骤4)，否则返回认证失败信息，并退出；

或者

3.1)判断解析得到的所述终端信息与内存中的所述终端信息是否一致；

3.2)如果一致，则跳转到步骤3.3)，否则返回认证失败信息，并退出；

3.3)判断解析得到的所述用户信息与内存中的所述用户信息是否一致；

3.4)如果一致，则跳转到步骤4)，否则返回认证失败信息，并退出。

优选的，在所述步骤1)之前还包括：

a)将要接受管控的用户、移动终端进行配置，将配置的结果存入数据库。

优选的，如果对数据库中的终端/用户信息进行新增、修改、删除操作，则同时将所述新增、修改、删除的终端/用户信息同步导入内存。

优选的，所述用户信息为用户身份证号码及用户密码，所述终端信息为国际移动设备识别(IMEI)号。

为解决上述技术问题，本发明提供了一种终端准入控制系统，该系统包括：Web控制台、准入网关、业务数据库、移动终端；

所述Web控制台用于实现：终端管理、用户管理、日志查询、策略管理；

所述准入网关用于实现：用户管理服务、终端管理服务、策略管理服务、日志管理服务；

所述业务数据库用于存储：终端信息、用户信息、策略信息、应用信息、日志信息。

所述移动终端用于实现：准入认证以及业务应用访问请求；