[发明专利]一种终端访问控制策略优化的方法及系统

摘要

本发明公开了一种终端访问控制策略优化的方法及系统，该系统包括五个部分：Web控制台、准入网关、业务数据库、应用服务器、移动终端；其中，所述Web管理控制台实现终端信息管理、策略管理；准入网关提供用户管理服务、终端设备管理服务、策略管理服务、日志管理服务；业务数据库存储用户信息、设备信息、策略信息、应用信息、日志信息；应用服务器为提供具体业务的一个或多个应用服器；移动终端发起准入认证以及应用访问请求。通过本发明的方案，可以应对更多的用户并发登录，增加用户可制定的策略数量；提高用户访问应用服务器的效率。

主权项

1.一种终端访问控制策略优化的方法，包括以下步骤：1).获取终端的请求IP包，取得请求终端相应的终端IP地址；2).查询是否存在与该终端IP地址对应的等价IP地址，如存在，查找等价IP地址对应的IP规则，如不存在，直接查找该终端IP地址对应的IP规则，其中，所述IP规则包括允许IP规则和禁止IP规则；3).对该允许IP规则进行判定，如果该允许IP规则不包含该终端IP地址，则丢弃该IP包，跳转到步骤7)，否则转到步骤4)；4).如果该允许IP规则包含该终端IP地址，则对禁止IP规则进行判定，如果该禁止IP规则包含该终端IP地址，则丢弃该IP包，跳转到步骤7)，否则转到步骤5)；5).如果该禁止IP规则不包含该终端IP地址，说明允许终端访问，转发该IP包到应用服务器；6).接收应用服务器的响应包，并转发给该终端；7).结束；步骤1)之前还包括终端准入请求步骤，具体包括：a).接收到终端准入请求后，做请求解析，得到终端信息及终端IP地址；b).根据该终端信息查到相应策略，若终端IP地址有对应的等价IP，则直接将该终端IP地址设置为等价IP，结束终端准入请求流程；c).若无对应的等价IP，直接将该策略转换为IP规则，并进行设置，结束终端准入请求流程；其中，所述等价IP地址是指：同一批终端的IP地址，或者同一类型的IP地址，或者满足某一相同条件的IP地址；其中，所述IP规则是针对IP地址的管控规则，所述管控规则是允许或禁止IP包从源地址IP发送到目的地址IP的规则，所述IP规则本身反应了源到目的的关系。