CN112822217A - 一种服务器访问方法、装置、设备和存储介质 - Google Patents
一种服务器访问方法、装置、设备和存储介质 Download PDFInfo
- Publication number
- CN112822217A CN112822217A CN202110213451.3A CN202110213451A CN112822217A CN 112822217 A CN112822217 A CN 112822217A CN 202110213451 A CN202110213451 A CN 202110213451A CN 112822217 A CN112822217 A CN 112822217A
- Authority
- CN
- China
- Prior art keywords
- information
- server
- user
- access
- message information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 51
- 230000008569 process Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 238000012795 verification Methods 0.000 description 4
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000004806 packaging method and process Methods 0.000 description 2
- 230000009466 transformation Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008707 rearrangement Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种服务器访问方法、装置、设备和存储介质,包括:获取报文信息,其中,所述报文信息包括终端设备的设备信息和用户的用户信息;根据所述报文信息对访问服务器的所述终端设备和所述用户进行身份认证;若所述报文信息符合预设访问条件,则将访问令牌发送至所述终端设备,实现对所述服务器的访问,其中,所述访问令牌唯一对应所述终端设备和所述用户。上述技术方案,在获取到终端设备的设备信息和用户的用户信息之后,对设备信息和用户信息进行身份认证,若均符合访问条件,则终端设备可以通过服务器下发的访问令牌,实现对服务器的访问,减少匿名非法访问情况的发生。
Description
技术领域
本发明实施例涉及网络安全技术,尤其涉及一种服务器访问方法、装置、设备和存储介质。
背景技术
零信任提供了一系列概念和思想,在假定网络环境已经被攻陷的前提下,当执行信息系统和服务中的每次访问请求时,降低其决策准确度的不确定性。零信任架构则是一种企业网络安全的规划,它基于零信任理念,围绕其组件关系、工作流规划与访问策略构建而成。零信任网络要求对所有位于网络外部或网络内部的人和设备,在访问专用网络资源时,必须进行严格的身份验证。
现有技术中,终端设备与服务器交互过程中,终端设备可以随意访问服务器,导致大量匿名访问业务问题的存在。
本发明的目的是解决匿名非法访问的问题。
发明内容
本发明提供一种服务器访问方法、装置、设备和存储介质,以解决匿名非法访问的问题。
第一方面,本发明实施例提供了一种服务器访问方法,包括:
获取报文信息,其中,所述报文信息包括终端设备的设备信息和用户的用户信息;
根据所述报文信息对访问服务器的所述终端设备和所述用户进行身份认证;
若所述报文信息符合预设访问条件,则将访问令牌发送至所述终端设备,实现对所述服务器的访问,其中,所述访问令牌唯一对应所述终端设备和所述用户。
进一步地,在根据所述报文信息对访问服务器的所述终端设备和所述用户进行身份认证之前,还包括:
验证所述报文信息的合法性,若所述报文信息合法,则继续执行根据所述报文信息对访问服务器的所述终端设备和所述用户进行身份认证;
否则,拦截所述报文信息,并发出第一警报信息。
进一步地,验证所述数据信息的合法性,包括:
获取所述报文信息的私钥信息;
基于所述服务器的公钥信息和所述私钥信息验证所述报文信息的合法性。
进一步地,所述用户信息包括用户账号和用户密码,获取报文信息,包括:
根据所接收登录请求提取相应用户的用户账号和用户密码;
获取当前登录设备的设备信息。
进一步地,在根据所述报文信息对访问服务器的所述终端设备和所述用户进行身份认证之前,还包括:
基于预设解析方式对所述报文信息进行解析,得到所述服务器可识别的解析报文信息。
进一步地,所述方法还包括:
若所述报文信息不符合预设访问条件,则拦截所述报文信息,并发出第二警报信息。
进一步地,将访问令牌发送至所述终端设备,包括:
建立所述终端设备与所述服务器之间的加密通道,并通过所述加密通道将所述访问令牌发送至所述终端设备。
第二方面,本发明实施例还提供了一种服务器访问装置,包括:
获取装置,用于获取报文信息,其中,所述报文信息包括终端设备的设备信息和用户的用户信息;
认证装置,用于根据所述报文信息对访问服务器的所述终端设备和所述用户进行身份认证;
发送装置,用于若所述报文信息符合预设访问条件,则将访问令牌发送至所述终端设备,实现对所述服务器的访问,其中,所述访问令牌唯一对应所述终端设备和所述用户。
第三方面,本发明实施例还提供了一种服务器访问设备,所述服务器访问设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如第一方面中任一所述的服务器访问方法。
第四方面,本发明实施例还提供了一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行如第一方面中任一所述的服务器访问方法。
本发明通过获取报文信息,其中,所述报文信息包括终端设备的设备信息和用户的用户信息;根据所述报文信息对访问服务器的所述终端设备和所述用户进行身份认证;若所述报文信息符合预设访问条件,则将访问令牌发送至所述终端设备,实现对所述服务器的访问,其中,所述访问令牌唯一对应所述终端设备和所述用户。上述技术方案,在获取到终端设备的设备信息和用户的用户信息之后,对设备信息和用户信息进行身份认证,若均符合访问条件,则终端设备可以通过服务器下发的访问令牌,实现对服务器的访问,减少匿名非法访问情况的发生。
附图说明
图1为本发明实施例一提供的一种服务器访问方法的流程图;
图2为本发明实施例二提供的一种服务器访问方法的流程图;
图3为本发明实施例二提供的一种提供的一种服务器访问方法的实现流程图;
图4为本发明实施例三提供的一种服务器访问装置的结构图;
图5为本发明实施例四提供的一种服务器访问设备的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
在更加详细地讨论示例性实施例之前应当提到的是,一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作(或步骤)描述成顺序的处理,但是其中的许多操作可以被并行地、并发地或者同时实施。此外,各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止,但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。此外,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
实施例一
图1为本发明实施例一提供的一种服务器访问方法的流程图,本实施例可适用于减少匿名非法访问的发生的情况,该方法可以由终端设备来执行,具体包括如下步骤:
步骤110、获取报文信息,其中,所述报文信息包括终端设备的设备信息和用户的用户信息。
为了解决匿名访问的问题,任一用户在任一终端设备上访问当前服务器之前,可以对用户的用户信息和终端设备的设备信息进行验证,验证通过之后,可以对服务器进行访问;如果用户信息和设备信息至少之一的验证没有通过,则对当前的访问进行拦截。
具体地,可以在接收访问之前,获取当前终端设备上进行操作的用户信息,其中,设备信息可以包括设备类型、设备型号和设备的位置信息等,用户信息可以把包括用户账号和用户密码信息。
终端设备和服务器之间的数据可以通过无连接的传输协议进行传输,该协议称为用户数据报协议(User Datagram Protocol,UDP)。UDP为应用程序提供了一种无需建立连接就可以发送封装的数据包的方法。本发明实施例中,报文信息可以作为数据包从终端设备发送至服务器。
本发明实施例中,在用户通过终端设备登录账号,准备进行服务器访问时,可以获取用户信息和设备信息。
步骤120、根据所述报文信息对访问服务器的所述终端设备和所述用户进行身份认证。
其中,身份认证可以包括对用户信息的身份认证和对设备信息的身份认证,具体可以包括:将当前用户信息与用户信息数据库中的所有用户信息进行比对,如果用户信息数据库中存储有当前用户信息,则当前用户信息符合访问条件;将当前设备信息与设备信息数据库中的所有设备信息进行比对,如果设备信息数据库中存储有当前设备信息,则当前设备信息符合访问条件。
具体地,用户信息可以包括用户的年龄信息,设备信息可以包括设备的位置信息。对用户信息和设备信息的身份认证还可以包括:将当前用户的年龄信息与该服务器的允许访问年龄范围进行比对,如果当前用户的年龄信息在允许访问年龄范围内,则当前用户信息符合访问条件;将当前设备的位置信息与该服务器的允许访问位置区域进行比对,如果当前设备的位置信息在允许访问位置区域内,则当前设备信息符合访问条件。
当然,在实际应用中,也可以通过预设的其他用户信息和其他设备信息对服务器的访问进行限制,进而通过上述预设的用户信息和设备信息对当前用户信息和当前设备信息进行比对,判断当前用户信息和当前设备信息是否符合访问条件。
本发明实施例中,服务器的允许访问终端设备和允许访问用户均可以进行预设,允许访问终端设备和允许访问用户的具体信息可以根据实际需求进行确定。例如,可以对设备类型、设备型号或者设备的使用年限等进行预设,还可以对访问用户的年龄、性别和位置信息等进行预设,进而分别比对当前设备信息和预设设备信息,当前用户信息和预设用户信息,实现对终端设备和用户的身份认证。
步骤130、若所述报文信息符合预设访问条件,则将访问令牌发送至所述终端设备,实现对所述服务器的访问,其中,所述访问令牌唯一对应所述终端设备和所述用户。
其中,访问令牌是Windows操作系统安全性的一个概念。当用户登陆时,系统创建一个访问令牌,里面包含登录进程返回的安全标识符和由本地安全策略分配给用户和用户的安全组的特权列表。以该用户身份运行的所有进程都拥有该令牌的一个拷贝。系统使用令牌控制用户可以访问哪些安全对象,并控制用户执行相关系统操作的能力。
访问令牌可以与用户和终端设备唯一对应,如果通过当前设备登录服务器的用户发生变化时,用户信息发生变化,则需要重新对用户信息和设备信息进行认证;如果当前用户登录服务器的终端设备发生变化时,设备信息发生变化,则需要重新对用户信息和设备信息进行认证。
具体地,如果用户信息和设备信息均通过身份认证,符合服务器的访问条件,则服务器可以返回访问令牌。若同一用户在同一设备上对该服务器进行多次访问时,仅第一次需要进行身份认证,得到访问令牌,后续的访问可以携带该访问令牌,对服务器进行访问。
需要说明的是,如果用户信息和设备信息至少之一不符合预设访问条件,则可以拦截该次访问,并返回第二警报信息。
本实施例的技术方案,通过获取报文信息,其中,所述报文信息包括终端设备的设备信息和用户的用户信息;根据所述报文信息对访问服务器的所述终端设备和所述用户进行身份认证;若所述报文信息符合预设访问条件,则将访问令牌发送至所述终端设备,实现对所述服务器的访问,其中,所述访问令牌唯一对应所述终端设备和所述用户。上述技术方案,在获取到终端设备的设备信息和用户的用户信息之后,对设备信息和用户信息进行身份认证,若均符合访问条件,则终端设备可以通过服务器下发的访问令牌,实现对服务器的访问,减少匿名非法访问情况的发生。
实施例二
图2为本发明实施例二提供的一种服务器访问方法的流程图,本实施例是在上述实施例的基础上进行具体化。在本实施例中,该方法还可以包括:
步骤210、获取报文信息,其中,所述报文信息包括终端设备的设备信息和用户的用户信息。
一种实施方式中,所述用户信息包括用户账号和用户密码,步骤210具体可以包括:
根据所接收登录请求提取相应用户的用户账号和用户密码,获取当前登录设备的设备信息。
其中,登录请求中可以包括当前登录用户的用户账号和用户密码,接收到终端设备发送的登录请求之后,可以从登录请求中提取用户账号和用户密码,用于对当前用户进行身份认证。
具体地,设备信息和用户信息可以打包成为数据包,作为报文信息,通过UDP协议从终端设备发送至服务器。
需要说明的是,在获取报文信息之前,终端设备还需要对当前网络环境进行检查,若网络环境安全,则通过当前终端设备输入用户信息,进行访问服务器;否则,更换设备访问服务器或者退出访问服务器。
还需要说明的是,在获取报文信息之前,还需要根据设备信息和用户信息,对终端设备和服务器进行端口配置,得到配置信息。配置信息可以包括服务器地址、端口信息和连接参数等。
步骤220、验证所述报文信息的合法性,若所述报文信息合法,则继续执行步骤230;否则,拦截所述报文信息,并发出第一警报信息。
具体地,终端设备向服务器发送报文信息时,终端设备可以采用一个哈希函数从报文文本中生成报文摘要,然后用终端设备的私钥对这个报文摘要进行加密,这个加密后的报文摘要将作为报文信息的数字签名和报文信息一起发送给服务器,服务器首先用与终端设备一样的哈希函数从接收到的原始报文信息中计算出报文摘要,接着再公钥来对报文信息附加的数字签名进行解密,如果这两个摘要相同、那么服务器就能确认该报文信息是终端设备的,则还报文信息为合法报文信息。
如果报文信息不合法,则当前用户在当前终端设备上无法实现对服务器的访问,即该次访问可以为匿名访问,此时服务器可以向终端设备发送第一警报信息,第一警报信息可以为拦截提醒信息,用于告知用户无法通过当前设备访问服务器,并建议更换终端设备或者更换用户信息,以实现对服务器的访问。
需要说明的是,在验证报文信息的合法性之前,终端设备可以根据配置信息里的单包认证服务(Single Packet Authorization,SPA)地址与端口发送单包认证信息至服务器。
另外,服务器还可以包括SPA模块,SPA模块可以用于验证报文信息的合法性。
一种实施方式中,验证所述数据信息的合法性,包括:
获取所述报文信息的私钥信息;基于所述服务器的公钥信息和所述私钥信息验证所述报文信息的合法性。
其中,数字签名为附加在报文信息上的一些数据,或是对报文信息所作的密码变换。这种数据或变换允许报文信息的接收者即服务器用以确认报文信息的来源和报文信息的完整性并保护报文信息,防止被人(例如服务器)进行伪造。它是对电子形式的消息进行签名的一种方法,一个签名消息能在一个通信网络中传输。
发送方即终端设备的私钥信息和接收方即服务器的公钥信息可以实现对当前传输的报文信息进行数字签名。
步骤230、基于预设解析方式对所述报文信息进行解析,得到所述服务器可识别的解析报文信息。
其中,SPA模块还用于识别报文信息,并对报文信息进行解析,将报文信息解析为服务器可识别的解析报文信息。
另外,服务器还可以包括统一认证模块,统一认证模块用于对终端设备和用户进行身份认证,所以,SPA模块可以将报文信息解析为统一认证模块可识别的解析报文信息。
步骤240、根据所述报文信息对访问服务器的所述终端设备和所述用户进行身份认证。
具体根据报文信息对访问服务器的终端设备和用户进行身份认证的方法和步骤在实施例一已经进行了详细的描述,在此不再赘述。
步骤250、若所述报文信息符合预设访问条件,则将访问令牌发送至所述终端设备,实现对所述服务器的访问,其中,所述访问令牌唯一对应所述终端设备和所述用户。
将访问令牌发送至所述终端设备,包括:
建立所述终端设备与所述服务器之间的加密通道,并通过所述加密通道将所述访问令牌发送至所述终端设备。
其中,加密通道可以保护访问令牌的合法性。
另外,SPA模块可以建立终端设备与服务器之间的加密通道,并将通过该加密通道将访问令牌发送至终端设备。
需要说明的是,如果在当前用户通过当前设备访问服务器之前,可以检测是否存在访问令牌,且访问令牌是否过期,若存在访问令牌且没有过期,则可以通过该访问令牌实现对服务器的访问;否则,继续执行步骤260。
步骤260、若所述报文信息不符合预设访问条件,则拦截所述报文信息,并发出第二警报信息。
具体地,如果设备信息和用户信息至少之一未通过身份认证,则可以拦截该次的报文信息,并拒绝该次访问。第二警报信息可以包括设备信息未通过身份认证或者用户信息未通过身份认证,并以文本框的形式发送至终端设备,终端设备接收到第二警报信息后,对第二警报信息进行显示,以提醒当前用户。
本实施例的技术方案,通过获取报文信息,其中,所述报文信息包括终端设备的设备信息和用户的用户信息;根据所述报文信息对访问服务器的所述终端设备和所述用户进行身份认证;若所述报文信息符合预设访问条件,则将访问令牌发送至所述终端设备,实现对所述服务器的访问,其中,所述访问令牌唯一对应所述终端设备和所述用户。上述技术方案,在获取到终端设备的设备信息和用户的用户信息之后,对设备信息和用户信息进行身份认证,若均符合访问条件,则终端设备可以通过服务器下发的访问令牌,实现对服务器的访问,减少匿名非法访问情况的发生。
另外,还可以对报文信息进行合法性验证,以及对报文信息进行解析,以方便服务器对报文信息的识别。
图3为本发明实施例二提供的一种提供的一种服务器访问方法的实现流程图,示例性的给出了其中一种实现方式。如图3所示,
步骤310、根据设备信息和用户信息,对终端设备和服务器进行端口配置,得到配置信息。
步骤320、检查当前网络环境,若网络环境安全,则继续执行步骤330,否则,退出访问。
步骤330、检测是否存在访问令牌,以及访问令牌是否过期,如果不存在访问令牌或者访问令牌已经过期,则继续执行步骤340;否则,通过该访问令牌实现对服务器的访问。
步骤340、获取设备信息和用户信息打包形成的报文信息。
步骤350、根据所述报文信息对访问服务器的所述终端设备和所述用户进行身份认证。
步骤360、若所述报文信息符合预设访问条件,则通过可信网关服务将访问令牌发送至所述终端设备,实现对所述服务器的访问。
步骤370、若所述报文信息不符合预设访问条件,则拦截所述报文信息,并发出第二警报信息。
本实施例的技术方案,根据设备信息和用户信息,对终端设备和服务器进行端口配置,得到配置信息;检查当前网络环境,若网络环境安全,则继续执行步骤330,否则,退出访问;检测是否存在访问令牌,以及访问令牌是否过期,如果不存在访问令牌或者访问令牌已经过期,则继续执行步骤340;否则,通过该访问令牌实现对服务器的访问;获取设备信息和用户信息打包形成的报文信息;根据所述报文信息对访问服务器的所述终端设备和所述用户进行身份认证;若所述报文信息符合预设访问条件,则通过可信网关服务将访问令牌发送至所述终端设备,实现对所述服务器的访问;若所述报文信息不符合预设访问条件,则拦截所述报文信息,并发出第二警报信息。上述技术方案,在获取到终端设备的设备信息和用户的用户信息之后,对设备信息和用户信息进行身份认证,若均符合访问条件,则终端设备可以通过服务器下发的访问令牌,实现对服务器的访问,减少匿名非法访问情况的发生。
实施例三
图4为本发明实施例三提供的一种服务器访问装置的结构图,该装置可以适用于在减少对服务器的匿名访问的情况,减少匿名非法访问情况的发生。该装置可以通过软件和/或硬件实现,并一般集成在计算机中。
如图4所示,该装置包括:
获取模块410,用于获取报文信息,其中,所述报文信息包括终端设备的设备信息和用户的用户信息;
认证模块420,用于根据所述报文信息对访问服务器的所述终端设备和所述用户进行身份认证;
发送模块430,用于若所述报文信息符合预设访问条件,则将访问令牌发送至所述终端设备,实现对所述服务器的访问,其中,所述访问令牌唯一对应所述终端设备和所述用户。
本实施例提供的服务器访问装置,通过获取报文信息,其中,所述报文信息包括终端设备的设备信息和用户的用户信息;根据所述报文信息对访问服务器的所述终端设备和所述用户进行身份认证;若所述报文信息符合预设访问条件,则将访问令牌发送至所述终端设备,实现对所述服务器的访问,其中,所述访问令牌唯一对应所述终端设备和所述用户。上述技术方案,在获取到终端设备的设备信息和用户的用户信息之后,对设备信息和用户信息进行身份认证,若均符合访问条件,则终端设备可以通过服务器下发的访问令牌,实现对服务器的访问,减少匿名非法访问情况的发生。
在上述实施例的基础上,所述用户信息包括用户账号和用户密码,获取装置具体用于:
根据所接收登录请求提取相应用户的用户账号和用户密码;
获取当前登录设备的设备信息。
在上述实施例的基础上,该装置还包括:
验证模块,用于验证所述报文信息的合法性,若所述报文信息合法,则继续执行根据所述报文信息对访问服务器的所述终端设备和所述用户进行身份认证。
一种实施方式中,验证模块具体可以用于:
获取所述报文信息的私钥信息;基于所述服务器的公钥信息和所述私钥信息验证所述报文信息的合法性。
第一拦截模块,用于拦截所述报文信息,并发出第一警报信息。
在上述实施例的基础上,该装置还包括:
解析模块,用于基于预设解析方式对所述报文信息进行解析,得到所述服务器可识别的解析报文信息。
在上述实施例的基础上,该装置还包括:
第二拦截模块,用于若所述报文信息不符合预设访问条件,则拦截所述报文信息,并发出第二警报信息。
在上述实施例的基础上,发送装置430具体用于:
建立所述终端设备与所述服务器之间的加密通道,并通过所述加密通道将所述访问令牌发送至所述终端设备。
本发明实施例所提供的服务器访问装置可执行本发明任意实施例所提供的服务器访问方法,具备执行方法相应的功能模块和有益效果。
实施例四
图5为本发明实施例四提供的一种服务器访问设备的结构示意图,如图5所示,该服务器访问设备包括处理器510和存储器520;服务器访问设备中处理器510的数量可以是一个或多个,图5中以一个处理器510为例;服务器访问设备中的处理器510和存储器520可以通过总线或其他方式连接,图5中以通过总线连接为例。
存储器520作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本发明实施例中的服务器访问方法对应的程序指令/模块(例如,服务器访问装置中的获取模块410、认证模块420和发送模块430)。处理器510通过运行存储在存储器520中的软件程序、指令以及模块,从而执行服务器访问设备的各种功能应用以及数据处理,即实现上述的服务器访问方法。
存储器520可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器520可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器520可进一步包括相对于处理器510远程设置的存储器,这些远程存储器可以通过网络连接至服务器访问设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
本发明实施例提供的服务器访问设备可以执行上述实施例提供的服务器访问方法,具备相应的功能和有益效果。
实施例五
本发明实施例五还提供一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行一种服务器访问方法,该方法包括:
获取报文信息,其中,所述报文信息包括终端设备的设备信息和用户的用户信息;
根据所述报文信息对访问服务器的所述终端设备和所述用户进行身份认证;
若所述报文信息符合预设访问条件,则将访问令牌发送至所述终端设备,实现对所述服务器的访问,其中,所述访问令牌唯一对应所述终端设备和所述用户。
当然,本发明实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上所述的方法操作,还可以执行本发明任意实施例所提供的服务器访问方法中的相关操作.
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
值得注意的是,上述服务器访问装置的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (10)
1.一种服务器访问方法,其特征在于,包括:
获取报文信息,其中,所述报文信息包括终端设备的设备信息和用户的用户信息;
根据所述报文信息对访问服务器的所述终端设备和所述用户进行身份认证;
若所述报文信息符合预设访问条件,则将访问令牌发送至所述终端设备,实现对所述服务器的访问,其中,所述访问令牌唯一对应所述终端设备和所述用户。
2.根据权利要求1所述的服务器访问方法,其特征在于,在根据所述报文信息对访问服务器的所述终端设备和所述用户进行身份认证之前,还包括:
验证所述报文信息的合法性,若所述报文信息合法,则继续执行根据所述报文信息对访问服务器的所述终端设备和所述用户进行身份认证;
否则,拦截所述报文信息,并发出第一警报信息。
3.根据权利要求1所述的服务器访问方法,其特征在于,验证所述数据信息的合法性,包括:
获取所述报文信息的私钥信息;
基于所述服务器的公钥信息和所述私钥信息验证所述报文信息的合法性。
4.根据权利要求1所述的服务器访问方法,其特征在于,所述用户信息包括用户账号和用户密码,获取报文信息,包括:
根据所接收登录请求提取相应用户的用户账号和用户密码;
获取当前登录设备的设备信息。
5.根据权利要求1所述的服务器访问方法,其特征在于,在根据所述报文信息对访问服务器的所述终端设备和所述用户进行身份认证之前,还包括:
基于预设解析方式对所述报文信息进行解析,得到所述服务器可识别的解析报文信息。
6.根据权利要求1所述的服务器访问方法,其特征在于,还包括:
若所述报文信息不符合预设访问条件,则拦截所述报文信息,并发出第二警报信息。
7.根据权利要求1所述的服务器访问方法,其特征在于,将访问令牌发送至所述终端设备,包括:
建立所述终端设备与所述服务器之间的加密通道,并通过所述加密通道将所述访问令牌发送至所述终端设备。
8.一种服务器访问装置,其特征在于,包括:
获取装置,用于获取报文信息,其中,所述报文信息包括终端设备的设备信息和用户的用户信息;
认证装置,用于根据所述报文信息对访问服务器的所述终端设备和所述用户进行身份认证;
发送装置,用于若所述报文信息符合预设访问条件,则将访问令牌发送至所述终端设备,实现对所述服务器的访问,其中,所述访问令牌唯一对应所述终端设备和所述用户。
9.一种服务器访问设备,其特征在于,所述服务器访问设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-7中任一所述的服务器访问方法。
10.一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行如权利要求1-7中任一所述的服务器访问方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110213451.3A CN112822217A (zh) | 2021-02-25 | 2021-02-25 | 一种服务器访问方法、装置、设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110213451.3A CN112822217A (zh) | 2021-02-25 | 2021-02-25 | 一种服务器访问方法、装置、设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112822217A true CN112822217A (zh) | 2021-05-18 |
Family
ID=75863910
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110213451.3A Pending CN112822217A (zh) | 2021-02-25 | 2021-02-25 | 一种服务器访问方法、装置、设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112822217A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113992387A (zh) * | 2021-10-25 | 2022-01-28 | 北京天融信网络安全技术有限公司 | 资源管理方法、装置、系统、电子设备和可读存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110599651A (zh) * | 2019-09-11 | 2019-12-20 | 云南九机信息技术有限公司 | 基于统一授权中心的门禁系统及控制方法 |
| WO2020155492A1 (zh) * | 2019-01-31 | 2020-08-06 | 平安科技(深圳)有限公司 | 一种基于设备id的登录态共享方法及装置 |
-
2021
- 2021-02-25 CN CN202110213451.3A patent/CN112822217A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020155492A1 (zh) * | 2019-01-31 | 2020-08-06 | 平安科技(深圳)有限公司 | 一种基于设备id的登录态共享方法及装置 |
| CN110599651A (zh) * | 2019-09-11 | 2019-12-20 | 云南九机信息技术有限公司 | 基于统一授权中心的门禁系统及控制方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113992387A (zh) * | 2021-10-25 | 2022-01-28 | 北京天融信网络安全技术有限公司 | 资源管理方法、装置、系统、电子设备和可读存储介质 |
| CN113992387B (zh) * | 2021-10-25 | 2022-09-16 | 北京天融信网络安全技术有限公司 | 资源管理方法、装置、系统、电子设备和可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114553568B (zh) | 一种基于零信任单包认证与授权的资源访问控制方法 | |
| US9197420B2 (en) | Using information in a digital certificate to authenticate a network of a wireless access point | |
| CN107579991B (zh) | 一种对客户端进行云端防护认证的方法、服务器和客户端 | |
| CN112671779B (zh) | 基于DoH服务器的域名查询方法、装置、设备及介质 | |
| CN105471833A (zh) | 一种安全通讯方法和装置 | |
| CN111800378B (zh) | 一种登录认证方法、装置、系统和存储介质 | |
| CN105553666B (zh) | 一种智能电力终端安全认证系统及方法 | |
| US10257171B2 (en) | Server public key pinning by URL | |
| CN103297437A (zh) | 一种移动智能终端安全访问服务器的方法 | |
| CN108322416B (zh) | 一种安全认证实现方法、装置及系统 | |
| CN115277168B (zh) | 一种访问服务器的方法以及装置、系统 | |
| KR101631635B1 (ko) | 아이덴티티 인증을 위한 방법, 디바이스 및 시스템 | |
| CN108900595B (zh) | 访问云存储服务器数据的方法、装置、设备及计算介质 | |
| CN107888548A (zh) | 一种信息验证方法及装置 | |
| CN113055357B (zh) | 单包验证通信链路可信的方法、装置、计算设备及存储介质 | |
| CN112039857B (zh) | 一种公用基础模块的调用方法和装置 | |
| CN112822217A (zh) | 一种服务器访问方法、装置、设备和存储介质 | |
| US8661246B1 (en) | System and method for protecting certificate applications using a hardened proxy | |
| CN109587134B (zh) | 接口总线的安全认证的方法、装置、设备和介质 | |
| CN116707983A (zh) | 授权认证方法及装置、接入认证方法及装置、设备、介质 | |
| KR20170111809A (ko) | 대칭키 기반의 보안 토큰을 이용한 양방향 인증 방법 | |
| CN113468591A (zh) | 数据访问方法、系统、电子设备及计算机可读存储介质 | |
| CN113556365B (zh) | 认证结果数据传输系统、方法及装置 | |
| CN116318899B (zh) | 数据加密解密的处理方法、系统、设备及介质 | |
| CN117955735B (zh) | 一种数据安全访问控制方法、系统及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210518 |
|
| RJ01 | Rejection of invention patent application after publication |