[发明专利]基于终端访问行为的安全接入控制方法、装置和设备

权利要求书

1.一种基于终端访问行为的安全接入控制方法，其特征在于，应用于安全接入平台服务器，所述方法包括：

建立与终端设备的双向连接；

若所述终端设备通过服务接口访问本端并发送访问请求，则获取所述终端设备的采集数据，并在确认访问后对所述终端设备进行身份认证；

在身份认证成功后，显示可访问资源列表信息；

在所述终端设备获取针对所述可访问资源列表信息的会话标识后，在接收访问的目标着陆页确认资源定位符；

判断所述终端设备是否具有访问所述目标着陆页的权限；

若终端设备具有访问所述目标着陆页的权限，对所述终端设备的采集数据进行集中过滤处理，并在打上资源定位符标签后生成数据包；其中，所述数据包用于记录针对所述终端设备的当前访问信息；

实时对网络环境进行监测；

利用本端的内部应用告警程序判断所述终端设备访问过程中产生的过滤数据流量是否异常；所述过滤数据流量的过滤处理包括补全残缺数据、删除错误数据和删除重复数据；

若异常，则获取并标记异常流量的详细信息，生成所述预警信息；

判断所述终端设备的访问行为是否结束，若结束则断开所述双向连接，并等待所述终端设备下一次的输入连接；

所述方法还包括：

控制访问代理截获所述访问请求并从系统安全策略库中读取安全策略进行裁决；

将裁决结果返回给所述访问代理并最终返回到所述终端设备。

2.根据权利要求1所述的方法，其特征在于，在所述判断所述终端设备是否具有访问所述目标着陆页的权限之后，所述方法还包括：

若所述终端设备不具有访问所述目标着陆页的权限，则与所述终端设备断开所述双向连接。

3.根据权利要求1所述的方法，其特征在于，在所述判断所述终端设备的访问行为是否结束之后，所述方法还包括：

若所述终端设备的访问继续，根据所述终端设备用户组的权限配置信息，对网络层进行访问控制，以使所述终端设备进行内网资源的访问。

4.根据权利要求3所述的方法，其特征在于，所述方法还包括：

根据所述资源定位符设定针对所述网络层的访问控制权，确定允许所述终端设备访问相应的内网资源服务内容。

5.一种基于终端访问行为的安全接入控制装置，其特征在于，应用于安全接入平台服务器，所述装置包括：

双向连接建立模块，用于建立与终端设备的双向连接；

身份认证模块，用于若所述终端设备通过服务接口访问本端并发送访问请求，则获取所述终端设备的采集数据，并在确认访问后对所述终端设备进行身份认证；

信息显示模块，用于在身份认证成功后，显示可访问资源列表信息；

资源定位符确认模块，用于在所述终端设备获取针对所述可访问资源列表信息的会话标识后，在接收访问的目标着陆页确认资源定位符；

权限判断模块，用于判断所述终端设备是否具有访问所述目标着陆页的权限；

过滤模块，用于若终端设备具有访问所述目标着陆页的权限，对所述终端设备的采集数据进行集中过滤处理，并在打上资源定位符标签后生成数据包；其中，所述数据包记录针对所述终端设备的当前访问信息；

网络环境监测模块，用于实时对网络环境进行监测；利用本端的内部应用告警程序判断所述终端设备访问过程中产生的过滤数据流量是否异常；所述过滤数据流量的过滤处理包括补全残缺数据、删除错误数据和删除重复数据；若异常，则获取并标记异常流量的详细信息，生成所述预警信息；

访问行为处理模块，用于判断所述终端设备的访问行为是否结束，若结束则断开所述双向连接，并等待所述终端设备下一次的输入连接；

裁决处理模块，用于控制访问代理截获所述访问请求并从系统安全策略库中读取安全策略进行裁决；将裁决结果返回给所述访问代理并最终返回到所述终端设备。

6.根据权利要求5所述的装置，其特征在于，所述装置还包括：双向连接断开模块，用于若所述终端设备不具有访问所述目标着陆页的权限，则与所述终端设备断开所述双向连接。