[发明专利]一种终端安全接入方法、系统及控制器

说明书

本申请公开一种终端安全接入方法、系统及控制器，该方法包括：配置目录认证服务器，预设合法业务终端信息并将其录入目录认证服务器；初始化设备日志记录，读取设备配置参数并创建对应监听端口；通过监听端口请求业务终端的广播信息，解析信息中接收到的命令字段；根据解析的终端请求构造设备认证信息进行终端合法性认证，确定为合法终端后开启业务合法性认证，认证通过则允许终端安全接入；随后更新目录认证服务器中的预置数据信息，应对业务终端或业务逻辑变化需求。本申请公开的终端接入方法，其能够加强终端的安全管控，防止不安全或无权限的业务终端接入被保护的网络，保护敏感业务数据不被泄露，可以满足特殊终端设备的安全管控的需求。

技术领域

本申请涉及信息安全认证技术领域，更具体地说，尤其涉及一种终端安全接入方法、系统及控制器。

背景技术

终端安全管理是一种保护网络安全的策略式方法，它是终端设备在得到访问网络资源的许可时需要遵循的特定标准。随着近年来网络应用飞速发展，对接入网络的终端进行认证控制的特定场景越来越多，终端安全管理也愈发重要，传统终端管控技术已满足不了发展需求。

目前，传统的终端安全管控技术大多基于工作人员插入USB KEY的方式使用对应的软件代理来进行实现，这种方式在应对普通的PC终端能起到较好的管控效果。但对于诸如铁路售票系统的自动闸机等业务终端，此终端因无人值守，所以传统信息安全管控方式显然难以适应，无法对终端实施安全防护，不能防止不安全或无权限的业务终端接入被保护的网络。

因此，如何提供一种终端安全接入方法、系统及控制器，其能够加强终端的安全管控，防止不安全或无权限的业务终端接入被保护的网络，保护敏感业务数据不被泄露，可以满足特殊终端设备的安全管控的需求。

发明内容

为解决上述技术问题，本申请提供一种终端安全接入方法、系统及控制器，其能够加强终端的安全管控，防止不安全或无权限的业务终端接入被保护的网络，保护敏感业务数据不被泄露，可以满足特殊终端设备的安全管控的需求。

本申请提供的一种技术方案如下：

本申请提供一种终端安全接入方法，包括以下步骤：S1合法信息录入：配置目录认证服务器，并预设合法业务终端信息，随后将所述合法业务终端信息录入所述目录认证服务器；S2设备初始化：接入控制器初始化设备日志记录，并读取设备配置参数以及创建对应监听端口；S3接收访问请求：通过创建的所述监听端口请求业务终端的广播信息，随后对信息中接收到的命令字段进行解析；S4请求一次认证：根据解析的业务终端访问请求构造设备认证信息，随后将所述设备认证信息发向目录认证服务器进行第一步终端合法性认证；S5请求二次认证：确定为合法终端后开启第二步业务合法性认证，认证通过则允许终端安全接入，接受此终端设备对业务服务器的访问请求；S6更新预置信息：随后更新后台所述目录认证服务器中的预置数据信息，应对业务终端或业务逻辑变化的需求。

进一步地，在本发明一种优选的方式中，在步骤S1中，所述合法业务终端信息包括：合法业务终端标示信息、不同类型业务终端允许进行的业务操作种类信息以及每种业务操作对应的访问控制策略信息。

进一步地，在本发明一种优选的方式中，在步骤S4中，所述第一步终端合法性认证的步骤包括：

S401通过获取终端请求构造设备认证信息，从中提取设备序列号信息；

S402将所述设备序列号信息，与后台目录认证服务器内配置清单上的合法设备所对应的序列号与证书信息比对，同时与终端保持心跳连接，判断接入终端是否为合法业务终端；

S403随后根据判断结果是否进行下一步验证或驳回终端访问请求。

进一步地，在本发明一种优选的方式中，步骤S403包括：

若判断接入终端确认为合法业务终端，则将此终端的设备状态信息写入后台目录认证服务器对应的数据库中，随后进行下一步验证；