[发明专利]非侵入式数据整合平台安全访问联动控制方法

权利要求书

1.一种非侵入式数据整合平台安全访问联动控制方法，其特征在于：包括以下步骤：

步骤1：用户通过认证服务器登录数据整合平台并且获得全局令牌并接收全局令牌判定；

步骤2：用户通过步骤1中的全局令牌判定后，进入应用服务器的数据访问阶段，对于一般数据直接进行访问，对于高安全级别的数据，进行一次性令牌判定后决定是否有权访问；

步骤3：在步骤2结束并进入中心策略防火墙联动阶段后利用应用服务器上的DRM模块和中心策略防火墙对非法操作进行控制。

2.根据权利要求1所述的非侵入式数据整合平台安全访问联动控制方法，其特征在于：步骤1的详细过程包括如下步骤：

步骤11：用户访问应用服务器时，首先登录认证服务器，用户端发送第一消息Info(1)给认证服务器；

步骤12：认证服务器将本地存储的用户信息列表和第一消息Info(1)进行比对，比对的结果表示为第一结果Result(1)，如果第一结果合法，则判定用户可以登录，并且将全局令牌以第二消息Info(2)的形式发送给用户端；否则，阻止用户登录；

步骤13：用户端带着第二消息Info(2)访问应用服务器，并将第二消息Info(2)发送给应用服务器以求访问；

步骤14：应用服务器从用户携带的第二消息Info(2)中获取全局令牌，并将全局令牌传给认证服务器，以求比对；认证服务器用本地存储的本地全局令牌信息来和应用服务器提取的全局令牌进行比对得到第二结果Result（2），如果结果匹配，则判定该用户属于已经合法登录的用户，并将该第二结果发送给应用服务器，应用服务器收到消息之后，为用户提供服务；如果结果不匹配，则判定该用户不属于已经合法登录的用户，并将该第二结果发送给应用服务器，应用服务器收到消息之后，应用服务器阻止该用户访问。

3.根据权利要求1或2所述的非侵入式数据整合平台安全访问联动控制方法，其特征在于：步骤2的详细过程包括如下步骤：

步骤21：用户进入应用服务器的数据访问阶段，应用服务器为了请求一次性令牌，应用服务器会记录下用户的操作信息并将这些操作信息记录为第一记录Record(1)；

步骤22：将步骤21中得到的第一记录Record(1)与认证服务器中存储的本地表格进行比对，并将比对结果表示为第三结果Result(3)，从而得到用户权限；

步骤23：认证服务器根据第三结果Result(3)得到用户权限进行判定，如果认证服务器判定为用户进行的是合法操作，那么认证服务器就将一次性令牌发送给应用服务器，所述一次性令牌中包含有第一记录Record(1)，以及一次性令牌的有效时间，应用服务器根据一次性令牌中的第一记录和有效时间为该用户提供服务；

步骤24：认证服务器根据第三结果Result(3)得到用户权限进行判定，如果认证服务器判定为用户进行的是非法操作，数据整合平台进入中心策略防火墙联动阶段。

4.根据权利要求1或2所述的非侵入式数据整合平台安全访问联动控制方法，其特征在于：步骤3的详细过程包括如下步骤：

步骤31：在步骤2结束并进入中心策略防火墙联动阶段后，该应用服务器记录下该用户信息，并将该信息表示为第二记录Record(2)，并将该第二记录Record(2)传送给部署在本应用服务器上的DRM模块；

步骤32：DRM模块通过与中心策略防火墙的接口通知中心策略防火墙，DRM模块发送警报信息给中心策略防火墙和部署在认证服务器上的CAM模块；

步骤33：中心策略防火墙从警报信息中解析出用户所在的应用服务器的地址，然后调动应用服务器上的驻留本地防火墙阻断用户访问。

5.根据权利要求2所述的非侵入式数据整合平台安全访问联动控制方法，其特征在于：步骤11所述的第一消息Info(1)包含账号和密码信息。

6.根据权利要求3所述的非侵入式数据整合平台安全访问联动控制方法，其特征在于：步骤21的操作信息包括全局令牌信息、用户的角色、用户试图进行的操作和欲操作的资源。

7.根据权利要求6所述的非侵入式数据整合平台安全访问联动控制方法，其特征在于：步骤22的本地表格包括角色——动作表和动作——资源表。

8.根据权利要求5所述的非侵入式数据整合平台安全访问联动控制方法，其特征在于：步骤12中认证服务器在比对账号和密码的过程中使用轻量级目录访问协议。