[发明专利]一种终端安全接入方法、系统及控制器

权利要求书

1.一种终端安全接入方法，其特征在于，包括以下步骤：

S1合法信息录入：配置目录认证服务器，并预设合法业务终端信息，随后将所述合法业务终端信息录入所述目录认证服务器；

S2设备初始化：接入控制器初始化设备日志记录，并读取设备配置参数以及创建对应监听端口；

S3接收访问请求：通过创建的所述监听端口请求业务终端的广播信息，随后对信息中接收到的命令字段进行解析；

S4请求一次认证：根据解析的业务终端访问请求构造设备认证信息，随后将所述设备认证信息发向目录认证服务器进行第一步终端合法性认证；

S5请求二次认证：确定为合法终端后开启第二步业务合法性认证，认证通过则允许终端安全接入，接受此终端设备对业务服务器的访问请求；

S6更新预置信息：更新后台所述目录认证服务器中的预置数据信息，应对业务终端或业务逻辑变化的需求。

2.根据权利要求1所述的终端安全接入方法，其特征在于，在步骤S1中，所述合法业务终端信息包括：

合法业务终端标示信息、不同类型业务终端允许进行的业务操作种类信息以及每种业务操作对应的访问控制策略信息。

3.根据权利要求1所述的终端安全接入方法，其特征在于，在步骤S4中，所述第一步终端合法性认证的步骤包括：

S401通过获取终端请求构造设备认证信息，从中提取设备序列号信息；

S402将所述设备序列号信息，与后台目录认证服务器内配置清单上的合法设备所对应的序列号与证书信息比对，同时与终端保持心跳连接，判断接入终端是否为合法业务终端；

S403随后根据判断结果是否进行下一步验证或驳回终端访问请求。

4.根据权利要求3所述的终端安全接入方法，其特征在于，步骤S403包括：

若判断接入终端确认为合法业务终端，则将此终端的设备状态信息写入后台目录认证服务器对应的数据库中，随后进行下一步验证；

若判断接入终端确认为非合法终端，则记录进后台目录认证服务器的日志文件并关闭数据通道，断开与此终端的网络连接，随后上报终端代理通知相关机构与人员进行处理。

5.根据权利要求4所述的终端安全接入方法，其特征在于，所述设备状态信息包括：设备SN号、终端IP信息、终端MAC信息、设备激活状态信息。

6.根据权利要求4所述的终端安全接入方法，其特征在于，在步骤S5中，所述第二步业务合法性认证的步骤包括：

S501根据所述设备状态信息，从中进行信息提取；

S502将提取的信息发送至后台目录认证服务器，与所述目录认证服务器中录入的合法信息进行对比验证；

S503随后根据对比验证分析，判断业务访问的合法性，以此驳回或者准许所述接入终端的业务访问请求。

7.根据权利要求6所述的终端安全接入方法，其特征在于，步骤S503包括：

首先通过提取的IP地址信息判断终端请求业务类型是否合法，若合法则进行下一步验证，否则拒绝此终端访问请求，并生成对应的日志记录；

随后基于合法业务类型请求，进一步对比其对应的程序和进程是否符合预置的访问控制策略，若符合则打开访问通道，允许终端数据流通过访问业务服务器，并生成对应日志记录；否则关闭数据通道，禁止此终端设备对业务服务器的访问请求，并生成对应日志记录。

8.根据权利要求6所述的终端安全接入方法，其特征在于，在步骤S501中，进行提取的信息包括：设备序列号、对应操作系统信息、应用软件信息、对应进程信息、终端IP信息、终端MAC信息。