一种针对智能终端的数据安全及权限管控的方法与流程

1.本发明属于网络通信领域，涉及一种针对智能终端的数据安全及权限管控的方法。


背景技术：

2.网络通信是通过网络将孤立的终端设备连接起来，终端设备之间通过交互数据进行通信。通常情况下，终端需要对应的用户信息进行登录验证，系统通过构建不同权限的用户信息从而管控终端设备的权限，使得终端系统根据登录用户的权限进行相应功能的开启或者关闭。仅通过用户信息来进行网络通信系统的安全验证是单一的。第三方攻击者可以通过中间拦截窃取到登录账户信息，便可以伪装成该设备的用户入侵系统从而造成安全泄漏；同时，由于用户信息的权限已经被固定，造成终端的权限也被限定，当终端的权限需要临时变更时，只能修改用户的权限，造成用户权限的永久变动，这种情况是不能被允许的。


技术实现要素：

3.针对现有技术的技术问题，本发明提供了一种针对智能终端的数据安全及权限管控的方法，通过服务器为每一个终端生成安全令牌，用于终端设备之间通信安全验证。服务器将会监管终端设备的上、下线以及当系统时间的变动，从而刷新安全令牌，这样将保证安全令牌具有时效性。当终端之间进行通信时，需要交互安全令牌，服务器通过校验安全令牌是否匹配的形式，验证通信信息是否为有效信息，同时判断是否予以转发数据。同时，终端设备权限将不再固定，服务器通过转发申请权限请求的形式实现终端设备的权限变更。本发明包括以下步骤：
4.s100：服务器端启用终端设备的监管线程，包括以下步骤：
5.s101：创建终端mac地址、服务器与终端通道的通道字典，所述通道字典的键是终端mac地址，值是终端与服务器的通道；
6.创建终端mac地址、安全令牌的令牌字典，所述令牌字典的键是终端mac地址，值是安全令牌；
7.创建时间、安全令牌的时效字典，所述时效字典的键是安全令牌，值是终端mac地址；
8.s102：开启监管线程；
9.s103：等待并接收来自终端的连接请求；
10.s104：判断终端是否连接至服务器，如果是，执行步骤s105，否则，执行步骤s103；
11.s105：记录终端与服务器的连接通道并作为当前通道，获取终端并记录当前终端mac地址；
12.s106：判断当前mac地址的终端是否被允许连接至服务器，如果是，执行步骤s107，否则执行步骤s103；
13.s107在所述通道字典中存储连接终端的连接信息，其中，键为当前终端mac地址，
值为当前通道；
14.s108将当前时间及当前终端的mac地址作为令牌种子，生成n位随机数，作为当前安全令牌，并在所述时效字典中存储数据，其中，键为当前安全令牌，值为当前时间；
15.s109：通过当前通道向当前终端发送安全令牌作为当前安全令牌；
16.s110：在所述令牌字典中存储安全令牌信息，其中，键为当前终端mac地址，值为当前安全令牌；
17.s111：保存所连接终端的信息，包括通道信息、安全令牌信息；
18.s200：服务器端启用安全令牌的维护线程；
19.s300：终端连接服务器；
20.s400：终端存储/刷新安全令牌；
21.s500：管控并分发终端权限；
22.s600：终端间通信信息的交互：拥有管理权限的管理终端向普通权限的终端发送通信数据，记拥有管理权限的管理终端为管理终端，记普通权限的终端为普通终端，服务器端校验通信数据是否为管理终端所发送的数据，并且判断是否需要转发到指定的终端。
23.优选地，所述步骤s200包括以下步骤：
24.s201：设置维护阈值时间，用以防止线程的循环过度；
25.s202：开启维护线程；
26.s203：维护线程启动休眠，休眠时长等于所述维护阈值时间；
27.s204：获取当前时间作为维护刷新时间；
28.s205：遍历所述令牌字典，判断是否存在元素，如果是，执行步骤s206，否则，遍历结束并执行步骤s203；
29.s206：记录当前元素，当前元素包括键和值，根据当前元素获取键为当前元素_mac地址、值为当前元素_安全令牌，以当前元素_安全令牌为键，从所述时效字典中获取令牌生成的时间，记为当前元素_安全令牌_生成时间；
30.s207：判断当前元素_安全令牌_生成时间减维护刷新时间是否大于令牌有效期，如果是，则表示安全令牌过期，执行步骤s208，否则，执行步骤s205；
31.s208：根据当前元素_mac地址和维护刷新时间，在所述令牌字典中存储安全令牌信息；
32.s209：根据当前元素_mac地址，在所述通道字典中获取通道并记为刷新通道；
33.s210：判断当前刷新通道是否为空，如果是，执行步骤s211否则，执行步骤s212；
34.s211：通过刷新通道向当前终端发送安全令牌并记为当前安全令牌；
35.s212：终端安全令牌完成更新，执行步骤s205。
36.优选地，所述步骤s300包括以下步骤：
37.s301：设置重连时间阈值，用以防止终端频繁连接服务器；
38.s302：终端向服务器发送连接请求，包括终端mac地址；
39.s303：判断服务器是否下发安全令牌，如果是，执行步骤s400，否则执行步骤s304；
40.s304：执行休眠，休眠时长为重连时间阈值，执行步骤s302。
41.优选地，所述步骤s500包括以下步骤：
42.s501：服务器创建管理终端的mac地址，记为管理权限mac地址并赋初值为空；
43.s502：普通终端向服务器申请获取管理权限，获取终端的mac地址作为申请终端mac地址；
44.s503：服务器判定管理终端mac地址是否为空，如果是，执行步骤s504，否则执行步骤s505；
45.s504：管理权限未授予给终端，将管理权限mac地址赋值为申请终端mac地址，执行步骤s510；
46.s505：终端被授予管理权限，根据管理权限mac地址，从所述通道字典中获取管理终端的通道并记为管理终端通道；
47.s506：向管理终端通道发送权限收回指令，要求收回管理终端的管理权限；
48.s507：等待管理终端返回响应结果并判断返回响应结果是否为同意，如果是，执行步骤s508，否则，执行步骤s510；
49.s508：服务器将管理权限mac地址的值修改为申请终端mac地址；
50.s509：根据申请终端mac地址，从所述通道字典中获取申请终端的通道并记为申请终端通道；
51.s510：向申请终端通道发送响应结果。
52.优选地，所述步骤s600包括以下步骤：
53.s601：终端向服务器发送通信数据，当前终端记为发送终端，通信数据包括终端mac地址、安全令牌及数据；
54.s602：服务器获取到发送终端的通信数据并拆分为通信数据_mac地址、通信数据_安全令牌、通信数据_数据；
55.s603：服务器根据通信数据_mac地址，从所述令牌字典中获取所存储的安全令牌信息，记录为待匹配_安全令牌；
56.s604：判断待匹配_安全令牌是否等于通信数据_安全令牌，如果是，表示安全令牌校验通过，执行步骤s605,否则执行步骤s610；
57.s605：判断通信数据_mac地址是否等于管理权限mac地址，如果是，表示发送数据的终端为管理终端，执行步骤s606，否则执行步骤s610；
58.s606：遍历所述通道字典，当元素存在时，记录为待发送元素，执行步骤s607，当不存在元素时执行步骤s610；
59.s607：获取待发送元素的终端mac地址和通道，记为待发送元素_mac地址、待发送元素_通道；
60.s608：判断待发送元素_mac地址是否等于通信数据_mac地址，如果是，执行步骤s606，否则，执行步骤s609；
61.s609：通过待发送元素_通道发送通信数据_数据；
62.s610：结束消息交互。
63.优选地，n为6。
64.本方法具有以下有益效果。
65.1、服务器动态地为终端分配安全令牌，防止非通信系统内终端伪装侵入系统；
66.2、安全令牌具有时效，防止安全令牌被窃取造成通信安全的隐患；
67.3、服务器自动校验通信信息的有效性，防止非法信息的传输；
68.4、以服务器监管的形式分配终端设备权限，使得权限可以动态变更。
附图说明
69.图1为本发明所提供的方法的总流程图；
70.图2为本发明所提供的方法中服务器端启用安全令牌的维护线程的具体流程图；
71.图3为本发明所提供的方法中管控并分发终端权限的具体流程图；
72.图4为本发明所提供的方法中终端间通信信息的交互的具体流程图。
具体实施方式
73.图1示出了本发明所提供的方法的总流程图。如图1所示，本发明的方法包括以下步骤：
74.s100：服务器端启用终端设备的监管线程，包括以下步骤：
75.s101：创建终端mac地址、服务器与终端通道的通道字典，所述通道字典的键是终端mac地址，值是终端与服务器的通道；
76.创建终端mac地址、安全令牌的令牌字典，所述令牌字典的键是终端mac地址，值是安全令牌；
77.创建时间、安全令牌的时效字典，所述时效字典的键是安全令牌，值是终端mac地址；
78.s102：开启监管线程；
79.s103：等待并接收来自终端的连接请求；
80.s104：判断终端是否连接至服务器，如果是，执行步骤s105，否则，执行步骤s103；
81.s105：记录终端与服务器的连接通道并作为当前通道，获取终端并记录当前终端mac地址；
82.s106：判断当前mac地址的终端是否被允许连接至服务器，如果是，执行步骤s107，否则执行步骤s103；
83.s107在所述通道字典中存储连接终端的连接信息，其中，键为当前终端mac地址，值为当前通道；
84.s108将当前时间及当前终端的mac地址作为令牌种子，生成6位随机数，作为当前安全令牌，并在所述时效字典中存储数据，其中，键为当前安全令牌，值为当前时间；
85.s109：通过当前通道向当前终端发送安全令牌作为当前安全令牌；
86.s110：在所述令牌字典中存储安全令牌信息，其中，键为当前终端mac地址，值为当前安全令牌；
87.s111：保存所连接终端的信息，包括通道信息、安全令牌信息；
88.s200：服务器端启用安全令牌的维护线程。
89.图2示出了本发明所提供的方法中服务器端启用安全令牌的维护线程的具体流程图。如图2所示，包括以下步骤：
90.s201：设置维护阈值时间，用以防止线程的循环过度；
91.s202：开启维护线程；
92.s203：维护线程启动休眠，休眠时长等于所述维护阈值时间；
93.s204：获取当前时间作为维护刷新时间；
94.s205：遍历所述令牌字典，判断是否存在元素，如果是，执行步骤s206，否则，遍历结束并执行步骤s203；
95.s206：记录当前元素，当前元素包括键和值，根据当前元素获取键为当前元素_mac地址、值为当前元素_安全令牌，以当前元素_安全令牌为键，从所述时效字典中获取令牌生成的时间，记为当前元素_安全令牌_生成时间；
96.s207：判断当前元素_安全令牌_生成时间减维护刷新时间是否大于令牌有效期，如果是，则表示安全令牌过期，执行步骤s208，否则，执行步骤s205；
97.s208：根据当前元素_mac地址和维护刷新时间，在所述令牌字典中存储安全令牌信息；
98.s209：根据当前元素_mac地址，在所述通道字典中获取通道并记为刷新通道；
99.s210：判断当前刷新通道是否为空，如果是，执行步骤s211否则，执行步骤s212；
100.s211：通过刷新通道向当前终端发送安全令牌并记为当前安全令牌；
101.s212：终端安全令牌完成更新，执行步骤s205。
102.s300：终端连接服务器。包括以下步骤：
103.s301：设置重连时间阈值，用以防止终端频繁连接服务器；
104.s302：终端向服务器发送连接请求，包括终端mac地址；
105.s303：判断服务器是否下发安全令牌，如果是，执行步骤s400，否则执行步骤s304；
106.s304：执行休眠，休眠时长为重连时间阈值，执行步骤s302。
107.s400：终端存储/刷新安全令牌；
108.s500：管控并分发终端权限。
109.图3示出了本发明所提供的方法中管控并分发终端权限的具体流程图。如图3所示，包括以下步骤：
110.s501：服务器创建管理终端的mac地址，记为管理权限mac地址并赋初值为空；
111.s502：普通终端向服务器申请获取管理权限，获取终端的mac地址作为申请终端mac地址；
112.s503：服务器判定管理终端mac地址是否为空，如果是，执行步骤s504，否则执行步骤s505；
113.s504：管理权限未授予给终端，将管理权限mac地址赋值为申请终端mac地址，执行步骤s510；
114.s505：终端被授予管理权限，根据管理权限mac地址，从所述通道字典中获取管理终端的通道并记为管理终端通道；
115.s506：向管理终端通道发送权限收回指令，要求收回管理终端的管理权限；
116.s507：等待管理终端返回响应结果并判断返回响应结果是否为同意，如果是，执行步骤s508，否则，执行步骤s510；
117.s508：服务器将管理权限mac地址的值修改为申请终端mac地址；
118.s509：根据申请终端mac地址，从所述通道字典中获取申请终端的通道并记为申请终端通道；
119.s510：向申请终端通道发送响应结果。
120.s600：终端间通信信息的交互：拥有管理权限的管理终端向普通权限的终端发送通信数据，记拥有管理权限的管理终端为管理终端，记普通权限的终端为普通终端，服务器端校验通信数据是否为管理终端所发送的数据，并且判断是否需要转发到指定的终端。
121.图4示出了本发明所提供的方法中终端间通信信息的交互的具体流程图。如图4所示，包括以下步骤：
122.s601：终端向服务器发送通信数据，当前终端记为发送终端，通信数据包括终端mac地址、安全令牌及数据；
123.s602：服务器获取到发送终端的通信数据并拆分为通信数据_mac地址、通信数据_安全令牌、通信数据_数据；
124.s603：服务器根据通信数据_mac地址，从所述令牌字典中获取所存储的安全令牌信息，记录为待匹配_安全令牌；
125.s604：判断待匹配_安全令牌是否等于通信数据_安全令牌，如果是，表示安全令牌校验通过，执行步骤s605,否则执行步骤s610；
126.s605：判断通信数据_mac地址是否等于管理权限mac地址，如果是，表示发送数据的终端为管理终端，执行步骤s606，否则执行步骤s610；
127.s606：遍历所述通道字典，当元素存在时，记录为待发送元素，执行步骤s607，当不存在元素时执行步骤s610；
128.s607：获取待发送元素的终端mac地址和通道，记为待发送元素_mac地址、待发送元素_通道；
129.s608：判断待发送元素_mac地址是否等于通信数据_mac地址，如果是，执行步骤s606，否则，执行步骤s609；
130.s609：通过待发送元素_通道发送通信数据_数据；
131.s610：结束消息交互。
132.通过本发明所提供的方法，解决了现有技术中尚无一种针对智能终端的数据安全及权限管控的方法的技术问题。
133.应当理解的是，本发明不限于上述的举例，对本领域普通技术人员来说，可以根据上述说明加以改进或变换，所有这些改进和变换都应属于本发明所附权利要求的保护范围。