一种移动终端接入网络平滑切换方法及系统与流程

本发明涉及数据安全领域，具体涉及一种移动终端接入网络平滑切换方法及系统。

背景技术：

目前，移动终端尤其是智能手机和平板电脑正在爆发性增长，但是随之而来的各种各样的移动网络安全问题也呈现增长，在一些特定的网络环境下需要对于终端进行接入控制，以保证授权终端接入和访问应用资源。终端实际使用中，由于移动终端接入位置可变性，造成其终端ip地址会进行变化，这种变化造成了终端在访问应用时会相应的丢包或者短暂的应用不可访问，影响正常的业务使用。

从现有的接入控制系统来看，对于ip切换的平滑处理，只能靠大量包的缓存队列，这样造成的代价就是如果大量终端接入，需要开辟很大的缓存空间，对于违规终端的数据也需要进行队列缓存，增加了系统负载和不稳定性。

附图1是正常的接入控制网关的处理流程。

终端连接接入控制网关时需要先进行mdm认证。如果认证成功，允许终端访问应用资源；如果认证未通过则不允许访问应用资源。

移动终端在实际过程中会变化位置造成ip切换，新ip需要重新进行认证才能继续访问应用资源。

现有技术存在以下缺点：

ip切换过程无法平滑实现，造成数据丢失。

技术实现要素：

本发明从实际需求和应用的角度出发，设计出一个完整的移动终端访问网络控制在切换ip时的平滑处理方案，使移动终端在变换变化位置时不会因为ip地址切换防止造成数据的丢失。

为解决上述技术问题，本发明提供了一种移动终端接入网络平滑切换方法，包括以下步骤：

1)所述移动终端接入网络或者切换网络ip地址时，获取该移动终端设备信息，并发起移动终端设备认证请求；

2)查询该移动终端设备信息是否位于白名单中，如果是，允许该移动终端访问应用资源，否则执行步骤3)；

3)查询该移动终端设备信息是否位于灰名单中，如果是，允许该移动终端访问应用资源，否则执行步骤4)；

4)查询该移动终端设备信息是否位于黑名单中，如果是，根据移动终端设备认证请求结果确定是否允许该移动终端访问应用资源，否则执行步骤5)；

5)将该移动终端设备信息添加进灰名单。

优选的，所述步骤2)-4)中，只有在所述移动终端设备认证请求通过之后，才允许该移动终端访问应用资源。

优选的，所述步骤3)中，如果该移动终端设备信息位于所述灰名单中，并且通过设备认证请求，则将该移动终端设备信息添加进所述白名单，同时从所述灰名单和所述黑名单中删除该移动终端设备信息；

如果未通过设备认证请求，则将该移动终端设备信息添加进所述黑名单，同时从所述白名单和所述灰名单中删除该移动终端设备信息。

优选的，所述步骤4)中，如果该移动终端设备信息位于所述黑名单中，并且通过设备认证请求，则将该移动终端设备信息添加进所述白名单，同时从所述灰名单和所述黑名单中删除该移动终端设备信息，允许该移动终端访问应用资源；

如果未通过设备认证请求，将该移动终端设备信息添加进所述黑名单，同时从所述白名单和所述灰名单中删除该移动终端设备信息，阻止该移动终端访问应用资源。

优选的，所述步骤5)将该移动终端设备信息添加进灰名单后，判断该移动终端设备信息是否通过设备认证请求，如果是，则将则将该移动终端设备信息添加进所述白名单，允许该移动终端访问所述应用资源，并从所述灰名单和所述黑名单中删除该移动终端设备信息；

如果未通过设备认证请求，将该移动终端设备信息添加进所述黑名单，同时从所述白名单和所述灰名单中删除该移动终端设备信息。

优选的，当移动终端新接入网络时，该移动终端设备信息包括：移动终端设备id、移动终端ip地址。

优选的，当移动终端切换网络ip地址时，该移动终端设备信息包括：移动终端设备id、以及切换之前的移动终端旧ip地址、切换之后的移动终端新ip地址。

优选的，当移动终端切换网络ip地址时，如果移动终端设备信息位于白名单中，当移动终端设备认证通过时，将所述移动终端新ip地址添加进所述白名单，并删除所述白名单中与所述移动终端设备id对应的所述移动终端旧ip地址。

优选的，当移动终端切换网络ip地址时，所述步骤4)中，所述将该移动终端设备信息添加进所述白名单，具体包括：将所述移动终端新ip地址添加进所述白名单，同时将所述移动终端旧ip地址从所述灰名单和所述黑名单删除。

优选的，当移动终端切换网络ip地址时，所述步骤5)中，所述将该移动终端设备信息添加进所述黑名单，具体包括：将所述移动终端新ip地址添加进所述黑名单，同时将所述移动终端旧ip地址从所述白名单和所述灰名单删除。

为解决上述技术问题，本发明提供了一种移动终端接入网络平滑切换系统，该系统包括：移动终端、移动设备管理(mdm)系统、网络接入控制(nac)系统、应用服务器；

所述移动设备管理系统接收所述移动终端发起的移动终端接入请求、移动终端切换请求以及移动终端设备认证请求；

所述移动设备管理系统对移动终端设备信息进行认证，并将认证结果和移动终端接入请求、移动终端切换请求发送给所述网络接入控制系统；

所述网络接入控制系统保存有黑白名单，该黑白名单中包括：黑名单、白名单和灰名单；

所述网络接入控制系统根据接收的所述认证结果、所述黑白名单以及黑白名单管理策略对移动终端接入请求、移动终端切换请求进行控制：

查询移动终端设备信息是否位于白名单中，如果是，允许该移动终端访问所述应用服务器，否则查询移动终端设备信息是否位于灰名单中，如果是，允许该移动终端访问所述应用服务器，否则查询移动终端设备信息是否位于黑名单中，如果是，根据移动终端设备认证请求结果确定是否允许该移动终端访问所述应用服务器，否则将该移动终端设备信息添加进灰名单。

通过本发明的技术方案取得了以下技术效果：

(1)用户不需要修改mdm任何程序。

(2)不会改变用户使用习惯。

(3)接入控制系统负载减小，稳定性提高。

附图说明

图1是现有技术中终端接入流程图

图2是本发明终端首次接入流程图

图3是本发明终端切换流程图

图4是本发明系统组成框图

具体实施方式

名词解释：

nac：networkaccesscontrol接入控制系统，一种用于移动终端的接入和控制系统。

mdm：mobiledevicemanagement，移动设备管理，主要指智能手机和平板电脑的管理。

终端首次接入nac流程见附图2：

终端首次接入：

1)移动终端发送数据包到nac，nac先查询白名单中是否有此终端标识和ip，如果存在并且mdm认证成功，允许此终端访问应用；如果mdm认证失败，将此新ip和终端标识加入到黑名单中并删除白名单，阻断终端访问。

2)如果nac白名单中不存在此终端ip和终端标识，查询灰名单中是否有相同终端ip和终端标识，如果存在并且mdm认证成功，将此终端ip和终端标识加入白名单中并删除灰名单和黑名单(为了保证所有的表中终端信息唯一，所以捎带删除黑名单)，允许终端访问应用；如果认证失败添加到黑名单中并删除灰名单和白名单(此处删除白名单为了保证终端ip和终端标识唯一)，阻断终端访问应用。

3)如果nac中的灰名单和白名单均没有，查询黑名单，如果终端认证成功，加入白名单并删除黑名单和灰名单，允许终端访问应用；如果认证失败或者超时，阻断终端访问应用。

4)如果nac中黑白名会名单中均没有终端ip和终端标识，将终端ip添加到nac灰名单中，并允许终端访问应用；如果超时未接收到mdm的认证结果，将此终端ip和终端标识添加到黑名单中，并阻断终端访问；如果mdm认证成功，允许终端访问应用并且将此终端标识和ip添加到白名单中，同时删除终端在灰名单信息，允许终端访问应用；如果mdm认证失败，将此终端信息加入黑名单并且删除灰名单信息，并且阻断终端访问。

终端ip切换，见附图3：

1)如果终端ip切换，nac查询白名单中是否有终端标识和终端切换后的ip(新ip，原ip成为旧ip)，如果白名单中存在相同信息，并且mdm认证成功，允许终端访问应用，并删除在白名单中旧ip；如果mdm认证失败，将此新ip和终端标识加入到黑名单中，阻断终端访问。

2)如果终端切换之后新ip不存在nac白名单中，查询灰名单中是否有终端信息，如果有并且mdm认证成功，允许终端访问应用，将此终端ip和终端标识加入白名单中并删除灰名单和黑名单；如果认证失败将终端信息添加到黑名单中并删除灰名单，阻断终端访问应用。

3)如果终端切换之后新ip在nac黑名单，如果终端认证成功，加入白名单并删除黑名单和灰名单，允许终端访问应用；如果认证失败或者超时，阻断终端访问应用。

4)如果新ip不存在黑白灰任何名单中，将新ip添加到灰名单中,并允许终端访问应用；如果超时未接收到mdm的认证结果，将此新ip和终端标识添加到黑名单中并删除灰名单，阻断终端访问；如果mdm认证成功，允许终端访问应用并且将此终端标识和新ip添加到白名单中，同时删除终端在灰名单新ip信息和原有白名单中旧ip，并允许终端访问应用；如果mdm认证失败，将新ip加入黑名单并且删除灰名单信息，并且阻断终端访问。

本发明公开了一个系统，参见附图4。该系统包括：移动终端(mdm客户端)，mdm服务端，nac服务器以及应用服务器。其中应用服务器提供移动终端访问的应用资源。nac服务器接收mdm服务端发送的mdm认证结果。并具有网络控制模块，名单管理模块，策略管理模块，缓存管理模块和存储管理模块。其中名单管理模块包括一个黑白名单，具体包括：黑名单，白名单和灰名单。

所述移动设备管理mdm系统接收所述移动终端发起的移动终端接入请求、移动终端切换请求以及移动终端设备认证请求；

所述移动设备管理系统对移动终端设备信息进行认证，并将认证结果和移动终端接入请求、移动终端切换请求发送给所述网络接入控制系统；

所述网络接入控制nac系统保存有黑白名单，该黑白名单中包括：黑名单、白名单和灰名单；

所述网络接入控制系统根据接收的所述认证结果，所述黑白名单，以及黑白名单管理策略对移动终端接入请求、移动终端切换请求进行控制：

查询移动终端设备信息是否位于白名单中，如果是，允许该移动终端访问所述应用服务器，否则查询移动终端设备信息是否位于灰名单中，如果是，允许该移动终端访问所述应用服务器，否则查询移动终端设备信息是否位于黑名单中，如果是，根据移动终端设备认证请求结果确定是否允许该移动终端访问所述应用服务器，否则将该移动终端设备信息添加进灰名单。

以下为移动终端打开一个具体应用时的流程：

1)移动终端在打开某一个应用时，接入控制系统nac将终端ip写入灰名单中，并允许移动终端可以直接访问应用

2)移动终端中的mdm客户端会发起认证请求给mdm服务端

3)mdm服务端认证终端是否合规，并认证结果发送给nac

4)接入控制系统根据mdm服务端的认证结果，如果是认证成功，继续让终端访问应用，并将终端ip和终端标识添加到白名单中同时删除灰名单和黑名单；如果认证失败，则阻断移动访问，并将此ip和终端标识加入到黑名单中

5)移动终端在变换位置时，切换ip，接入控制系统将新ip依此执行步骤1、2、3、4

6)接入系统没有接收到mdm服务端的认证结果，将新ip加入到黑名单中并删除灰名单，阻断终端访问

7)用户在接入控制系统增加了白名单，只要mdm认证成功则直接让移动终端访问；认证失败，则直接阻断

以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换以及改进等，均应保护在本发明的保护范围之内。