[发明专利]非侵入式数据整合平台安全访问联动控制方法

说明书

技术领域

本发明涉及计算机网络安全控制技术领域，尤其涉及一种非侵入式数据整合平台安全访问联动控制方法。

背景技术

对于现有的网络计算机系统，安全访问机制是必须的。随着数据整合平台越来越多的应用于校园，企业，政府，信息机构，传统的通过单一，分散式应用服务器上的访问控制机制已经不能满足要求。

计算机信息发展是一个逐渐发展的过程，随着分布式服务器的逐渐增多，企业级信息共享面临解决信息孤岛的问题，当几大IT公司和国际组织推出了安全产品的时候，数据整合平台之上的数据整合成为可能并且蓬勃发展。

现有的安全访问控制方法往往只利用驻留本地防火墙和应用服务器进行本地的安全访问控制，不适合在分布式系统和云计算系统中进行复杂的控制。这是因为数据整合平台越来越复杂，将要面临如下问题：①用户活动复杂；②用户活动地点不确定；③用户在服务器之间跳转频繁；④防火墙分散，孤立等。

发明内容

本发明的目的是为了克服现有的应用于数据整合平台的安全访问控制方法不适应在分布式系统和云计算系统中进行复杂的控制的不足，提出的非侵入式数据整合平台安全访问联动控制方法。

为实现上述目的，本发明采取以下技术方案：非侵入式数据整合平台安全访问联动控制方法，包括以下步骤：

步骤1：用户通过认证服务器登录数据整合平台并且获得全局令牌并接收全局令牌判定；

步骤2：用户通过步骤1中的全局令牌判定后，进入应用服务器的数据访问阶段，对于一般数据直接进行访问，对于高安全级别的数据，进行一次性令牌判定后决定是否有权访问；

步骤3：在步骤2结束并进入中心策略防火墙联动阶段后利用应用服务器上的DRM模块和中心策略防火墙对非法操作进行控制。

优选方案：步骤1的详细过程包括如下步骤：

步骤11：用户访问应用服务器时，首先登录认证服务器，用户端发送第一消息Info(1)给认证服务器；

步骤12：认证服务器将本地存储的用户信息列表和第一消息Info(1)进行比对，比对的结果表示为第一结果Result(1)，如果第一结果合法，则判定用户可以登录，并且将全局令牌以第二消息Info(2)的形式发送给用户端；否则，阻止用户登录；

步骤13：用户端带着第二消息Info(2)访问应用服务器，并将第二消息Info(2)发送给应用服务器以求访问；

步骤14：应用服务器从用户携带的第二消息Info(2)中获取全局令牌，并将全局令牌传给认证服务器，以求比对；认证服务器用本地存储的本地全局令牌信息来和应用服务器提取的全局令牌进行比对得到第二结果Result（2），如果结果匹配，则判定该用户属于已经合法登录的用户，并将该第二结果发送给应用服务器，应用服务器收到消息之后，为用户提供服务；如果结果不匹配，则判定该用户不属于已经合法登录的用户，并将该第二结果发送给应用服务器，应用服务器收到消息之后，应用服务器阻止该用户访问。

优选方案：步骤2的详细过程包括如下步骤：

步骤21：用户进入应用服务器的数据访问阶段，应用服务器为了请求一次性令牌，应用服务器会记录下用户的操作信息并将这些操作信息记录为第一记录Record(1)；

步骤22：将步骤21中得到的第一记录Record(1)与认证服务器中存储的本地表格进行比对，并将比对结果表示为第三结果Result(3)，从而得到用户权限；

步骤23：认证服务器根据第三结果Result(3)得到用户权限进行判定，如果认证服务器判定为用户进行的是合法操作，那么认证服务器就将一次性令牌发送给应用服务器，所述一次性令牌中包含有第一记录Record(1)，以及一次性令牌的有效时间，应用服务器根据一次性令牌中的第一记录和有效时间为该用户提供服务；

步骤24：认证服务器根据第三结果Result(3)得到用户权限进行判定，如果认证服务器判定为用户进行的是非法操作，数据整合平台进入中心策略防火墙联动阶段。

优选方案：步骤3的详细过程包括如下步骤：

步骤31：在步骤2结束并进入中心策略防火墙联动阶段后，该应用服务器记录下该用户信息，并将该信息表示为第二记录Record(2)，并将该第二记录Record(2)传送给部署在本应用服务器上的DRM模块；

步骤32：DRM模块通过与中心策略防火墙的接口通知中心策略防火墙，DRM模块发送警报信息给中心策略防火墙和部署在认证服务器上的CAM模块；