CN114285845A - 云环境下的联网认证方法、计算机设备及存储介质 - Google Patents
云环境下的联网认证方法、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN114285845A CN114285845A CN202111491420.0A CN202111491420A CN114285845A CN 114285845 A CN114285845 A CN 114285845A CN 202111491420 A CN202111491420 A CN 202111491420A CN 114285845 A CN114285845 A CN 114285845A
- Authority
- CN
- China
- Prior art keywords
- service
- terminal device
- request
- server
- process identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种云环境下的联网认证方法、计算机设备及存储介质,涉及计算安全技术领域,用于保证云环境下的联网认证的准确率。方法主要包括:在终端设备请求与服务器建立传输控制协议TCP连接的过程中,接收所述终端设备发送的第一数据包,所述第一数据包中包括终端设备中的服务请求进程标识;确定预置策略表中是否存在允许所述服务请求进程标识访问的服务提供进程标识,所述预置策略表中的服务请求进程标识与服务提供进程标识之间的允许或拒绝访问的对应关系是由管理中心下发的;若确定存在允许所述服务请求进程标识访问的服务提供进程标识,且请求的TCP连接三次握手通过,则允许所述终端设备的TCP连接请求。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种云环境下的联网认证方法、计算机设备及存储介质。
背景技术
传统的联网控制主要是通过VLANS(Virtual Local Area Network,虚拟局域网)、VXLAN(Virtual Extensible Local Area Network,网络虚拟化技术)、MPLS(Multi-Protocol Label Switching,多协议标签交换)等技术限制网络的可达。在具体技术实现方面大多基于工作负载及进程的IP(Internet Protocol,网际互连协议)和PORT(计算机端口)通过规则化的描述和匹配实现。
但是,在云环境中工作负载是动态且可弹性水平扩展的,具有高弹性和高可用性,即云环境工作负载下的IP地址通常是不固定,因此通过进程的IP和PORT无法实现云环境下的联网认证。
发明内容
本申请实施例提供一种云环境下的联网认证方法、计算机设备及存储介质,用于保证云环境下的联网认证的准确率。
本发明实施例提供一种云环境下的联网认证方法,该方法应用于服务器,方法包括:
在终端设备请求与服务器建立传输控制协议TCP连接的过程中,接收所述终端设备发送的第一数据包,所述第一数据包中包括终端设备中的服务请求进程标识;
确定预置策略表中是否存在允许所述服务请求进程标识访问的服务提供进程标识,所述预置策略表中的服务请求进程标识与服务提供进程标识之间的允许或拒绝访问的对应关系是由管理中心下发的;
若确定存在允许所述服务请求进程标识访问的服务提供进程标识,且所述请求的TCP连接三次握手通过,则允许所述终端设备的TCP连接请求。
本发明实施例提供另一种云环境下的联网认证方法,该方法应用于管理中心,包括:
根据终端设备发送的工作负载信息、进程信息计算所述终端设备对应的工作负载ID、请求服务的进程ID、以及属性标签,以及根据服务器发送的工作负载信息、进程信息计算服务器对应的工作负载ID、请求服务的进程ID、以及属性标签;
根据所述终端设备对应的工作负载ID、请求服务的进程ID、以及属性标签计算服务请求进程标识;根据所述服务器对应的工作负载ID、请求服务的进程ID、以及属性标签计算服务提供进程标识;
根据访问策略确定预置策略表,所述预置策略表中存储有服务请求进程标识与服务提供进程标识之间的允许或拒绝访问的对应关系;
将所述终端设备对应的工作负载ID、请求服务的进程ID、以及属性标签、所述预置策略表发送给所述终端设备,将所述服务器对应的工作负载ID、请求服务的进程ID、以及属性标签、所述预置策略发送给所述服务器。
本发明实施例提供一种云环境下的联网认证系统,该所述系统包括:管理中心、服务器和终端设备;
所述管理中心,用于根据终端设备发送的工作负载信息、进程信息计算所述终端设备对应的工作负载ID、请求服务的进程ID、以及属性标签,以及根据服务器发送的工作负载信息、进程信息计算服务器对应的工作负载ID、请求服务的进程ID、以及属性标签;
所述管理中心,用于将所述终端设备对应的工作负载ID、请求服务的进程ID、以及属性标签、预置策略表发送给所述终端设备,将所述服务器对应的工作负载ID、请求服务的进程ID、以及属性标签、预置策略发送给所述服务器;所述预置策略表中存储有服务请求进程标识与服务提供进程标识之间的允许或拒绝访问的对应关系;
所述终端设备,用于在与服务器建立传输控制协议TCP连接请求的过程中,向所述服务器发送第一数据包,所述第一数据包中包括终端设备中的服务请求进程标识;
所述服务器,用于确定预置策略表中是否存在允许所述服务请求进程标识访问的服务提供进程标识,若确定存在允许所述服务请求进程标识访问的服务提供进程标识,且所述请求的TCP连接三次握手通过,则允许所述终端设备的TCP连接请求。
本发明实施例提供一种服务器,所述服务器包括:
接收模块,用于在终端设备请求与服务器建立传输控制协议TCP连接的过程中,接收所述终端设备发送的第一数据包,所述第一数据包中包括终端设备中的服务请求进程标识;
确定模块,用于确定预置策略表中是否存在允许所述服务请求进程标识访问的服务提供进程标识,所述预置策略表中的服务请求进程标识与服务提供进程标识之间的允许或拒绝访问的对应关系是由管理中心下发的;
允许模块,若确定存在允许所述服务请求进程标识访问的服务提供进程标识,且所述请求的TCP连接三次握手通过,则允许所述终端设备的TCP连接请求。
本发明实施例提供一种管理服务器,所述管理服务器包括:
计算模块,用于根据终端设备发送的工作负载信息、进程信息计算所述终端设备对应的工作负载ID、请求服务的进程ID、以及属性标签,以及根据服务器发送的工作负载信息、进程信息计算服务器对应的工作负载ID、请求服务的进程ID、以及属性标签;
计算模块,还用于根据所述终端设备对应的工作负载ID、请求服务的进程ID、以及属性标签计算服务请求进程标识;根据所述服务器对应的工作负载ID、请求服务的进程ID、以及属性标签计算服务提供进程标识;
确定模块,用于根据访问策略确定预置策略表,所述预置策略表中存储有服务请求进程标识与服务提供进程标识之间的允许或拒绝访问的对应关系;
发送模块,用于将所述终端设备对应的工作负载ID、请求服务的进程ID、以及属性标签、所述预置策略表发送给所述终端设备,将所述服务器对应的工作负载ID、请求服务的进程ID、以及属性标签、所述预置策略发送给所述服务器。
一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述云环境下的联网认证方法。
本发明提供一种云环境下的联网认证方法、计算机设备及存储介质,在终端设备请求与服务器建立传输控制协议TCP连接的过程中,接收终端设备发送的第一数据包,第一数据包中包括终端设备中的服务请求进程标识;确定预置策略表中是否存在允许服务请求进程标识访问的服务提供进程标识,若存在允许服务请求进程标识访问的服务提供进程标识,且请求的TCP连接三次握手通过,则允许终端设备的TCP连接请求。即本发明通过服务请求进程标识对终端设备发起的联网请求进行认证,相对于现有通过IP和PORT实现的联网认证,本申请可提高云环境下的联网认证的准确率。
附图说明
图1为本申请提供的一种云环境下的联网认证系统架构图;
图2为本申请提供的一种云环境下的联网认证方法流程图;
图3为本申请提供的另一种云环境下的联网认证方法流程图;
图4为本申请提供的又一种云环境下的联网认证方法流程图;
图5为本申请提供的服务器的结构示意图;
图6为本申请提供的管理服务器的结构示意图;
图7为本申请提供的计算机设备的一示意图。
具体实施方式
为了更好的理解上述技术方案,下面通过附图以及具体实施例对本申请实施例的技术方案做详细的说明,应当理解本申请实施例以及实施例中的具体特征是对本申请实施例技术方案的详细的说明,而不是对本申请技术方案的限定,在不冲突的情况下,本申请实施例以及实施例中的技术特征可以相互组合。
下面将结合附图1对本申请实施例的实施方式进行详细描述。
本申请实施例提供的方案可以应用于图1所示的云环境下的联网认证系统10中。如图1所示,该云环境下的联网认证系统10可以包括:管理中心11和多个终端设备12以及至少一个服务器13。
其中,所述管理中心11,用于根据终端设备12发送的工作负载信息、进程信息计算所述终端设备12对应的工作负载ID、请求服务的进程ID、以及属性标签,以及根据服务器发送的工作负载信息、进程信息计算服务器对应的工作负载ID、请求服务的进程ID、以及属性标签;
所述管理中心11,用于将所述终端设备12对应的工作负载ID、请求服务的进程ID、以及属性标签、预置策略表发送给所述终端设备12,将所述服务器对应的工作负载ID、请求服务的进程ID、以及属性标签、预置策略发送给所述服务器;所述预置策略表中存储有服务请求进程标识与服务提供进程标识之间的允许或拒绝访问的对应关系;
所述终端设备12,用于在与服务器建立TCP(Transmission Control Protocol,传输控制协议)连接请求的过程中,向所述服务器发送第一数据包,所述第一数据包中包括终端设备中的服务请求进程标识;
所述服务器13,用于确定预置策略表中是否存在允许所述服务请求进程标识访问的服务提供进程标识,若确定存在允许所述服务请求进程标识访问的服务提供进程标识,且所述请求的TCP连接三次握手通过,则允许所述终端设备12的TCP连接请求。
进一步的,所述服务器13,还用于将包含允许所述服务请求进程标识访问的服务提供进程标识的第二数据包发送给所述终端设备12,
所述终端设备12,还用于认证所述服务提供进程标识是否合法;
所述服务器13,还用于接收所述终端设备12发送的第三数据包,所述第三数据包中包括用于指示所述终端设备12认证所述服务提供进程标识是否合法的认证信息;
所述服务器13,还用于若确定存在允许所述服务请求进程标识访问的服务提供进程标识,以及所述认证信息为所述终端设备12认证所述服务提供进程标识合法,且所述请求的TCP连接三次握手通过,允许所述终端设备12的TCP连接请求。
其中,该终端设备12可以运行在手机、平板电脑、笔记本电脑、超级移动个人计算机(uitra-mobile personal computer,UMPC)、上网本、个人数字助理(personal digitalassistant,PDA)等电子设备上。作为一种实施例,本申请的终端设备12可以运行在智能手机上。
请参阅图2,为本发明实施例提供的一种云环境下的联网认证方法,该方法以终端设备与服务器交互的角度进行说明,具体包括步骤S201-步骤S205:
步骤S201,在终端设备请求与服务器建立传输控制协议TCP连接的过程中,将服务请求进程标识写入到第一数据包中。
其中,TCP连接为终端设备向服务器发起的三次握手连接,该三次握手连接可以为终端设备向服务器发起的第一次握手,也可以为终端设备向服务器发起的第三次握手,本实施例不做具体限定。
需要说明的是,本实施例中的服务请求进程标识用于唯一标识所在终端设备中对应的发起的进程,其涵盖了访问进程的信息、当前工作负载(所在终端设备的硬件资产信息)的信息、属性标签等信息。其中,当前工作负载为运行应用(软件进程)的终端设备的硬件资产信息,如终端设备所使用的网卡、CPU、硬盘等硬件资产信息;属性标签是对终端设备的画像描述,本实施例可通过几个维度来描述终端设备。包括:终端设备所处的位置、终端设备所应用的服务器、终端设备的使用环境。比如:描述计算A的标签,位置=北京;环境=研发中心;应用=web服务器。
在本发明提供的一个可选实施例中,根据终端设备对应的工作负载ID、请求服务的进程ID、以及属性标签计算服务请求进程标识,即可以根据终端设备对应的工作负载ID、请求服务的进程ID、以及属性标签生成一个摘要信息或者生成一个MD5值,然后将生成的摘要信息或MD5值确定为服务请求进程标识。需要说明的是,终端设备计算服务请求进程标识同管理中心计算服务请求进程标识的方式相同。
步骤S202,终端设备将第一数据包发送给服务器。
在一个可选实施例中,为了避免在终端设备和服务器之间产生过多的半连接,本实施例在终端设备在与服务器建立TCP连接过程,终端设备通过TCP连接请求中的第一次握手,向服务器发送第一数据包。
步骤S203,服务器接收终端设备发送的第一数据包。
步骤S204,服务器确定预置策略表中是否存在允许服务请求进程标识访问的服务提供进程标识,所述预置策略表中的服务请求进程标识与服务提供进程标识之间的允许或拒绝访问的对应关系是由管理中心下发的。
相应的,服务器在接收到终端设备通过第一次握手发送的第一数据包之后,服务器确定预置策略表中是否存在允许服务请求进程标识访问的服务提供进程标识,如果服务器确定存在允许服务请求进程标识访问的服务提供进程标识,则服务器向终端设备返回相应的第二数据包(即第二握手);如果服务器确定不存在允许服务请求进程标识访问的服务提供进程标识,则服务器无需向服务器返回第二数据包(服务器不触发进入第二握手状态)。
需要说明的是,该管理中心根据终端设备发送的工作负载信息、进程信息计算终端设备对应的工作负载ID、请求服务的进程ID、以及属性标签,以及根据服务器发送的工作负载信息、进程信息计算服务器对应的工作负载ID、请求服务的进程ID、以及属性标签。管理中心根据终端设备对应的工作负载ID、请求服务的进程ID、以及属性标签计算服务请求进程标识;根据服务器对应的工作负载ID、请求服务的进程ID、以及属性标签计算服务提供进程标识;根据访问策略确定预置策略表,预置策略表中存储有服务请求进程标识与服务提供进程标识之间的允许或拒绝访问的对应关系。
例如,终端设备A上的aaa进程去访问终端设备B上的bbb进程,此时,终端设备B上的bbb进程是服务提供进程,终端设备A上的aaa进程是服务请求进程。
步骤S205,若确定存在允许服务请求进程标识访问的服务提供进程标识,且请求的TCP连接三次握手通过,则服务器允许终端设备的TCP连接请求。
在本实施例中,若服务器确定存在允许服务请求进程标识访问的服务提供进程标识,即服务器中存在可为服务请求进程标识提供服务的服务提供进程标识,说明服务器可为终端设备中对应的进程提供服务,此时若请求的TCP连接三次握手通过,则服务器允许终端设备的TCP连接请求,之后终端设备和服务器之间可进行正常的数据传输。
本实施例提供一种云环境下的联网认证方法,在终端设备请求与服务器建立传输控制协议TCP连接的过程中,接收终端设备发送的第一数据包,第一数据包中包括终端设备中的服务请求进程标识;确定预置策略表中是否存在允许服务请求进程标识访问的服务提供进程标识,若存在允许服务请求进程标识访问的服务提供进程标识,且请求的TCP连接三次握手通过,则允许终端设备的TCP连接请求。即本发明通过服务请求进程标识对终端设备发起的联网请求进行认证,相对于现有通过IP和PORT实现的联网认证,本申请可提高云环境下的联网认证的准确率。
进一步的,请参阅图3,在确定存在允许所述服务请求进程标识访问的服务提供进程标识之后,所述方法还包括:
步骤S206,服务器将包含允许服务请求进程标识访问的服务提供进程标识的第二数据包发送给终端设备。
在一个可选实施例中,将包含允许所述服务请求进程标识访问的服务提供进程标识的第二数据包发送给所述终端设备,包括:通过TCP连接请求中第二次握手,将包含允许所述服务请求进程标识访问的服务提供进程标识的第二数据包发送给终端设备。
步骤S207,终端设备认证服务提供进程标识是否合法。
步骤S208,服务器接收终端设备发送的第三数据包,所述第三数据包中包括用于指示终端设备认证所述服务提供进程标识是否合法的认证信息。
在一个可选实施例中,所述接收所述终端设备发送的第三数据包,包括:接收所述终端设备在TCP连接请求中第三次握手过程中发送的第三数据包。
相应的,步骤S205,若确定存在允许服务请求进程标识访问的服务提供进程标识,且请求的TCP连接三次握手通过,则服务器允许终端设备的TCP连接请求,包括:若确定存在允许服务请求进程标识访问的服务提供进程标识,以及认证信息为终端设备认证所述服务提供进程标识合法,且请求的TCP连接三次握手通过,服务器允许终端设备的TCP连接请求。
本实施例提供一种云环境下的联网认证方法,在终端设备请求与服务器建立TCP连接的过程中,通过TCP连接的三次握手对终端设备发起的服务请求进程进行验证,即在三次握手过程中服务器获取终端设备的服务请求进程标识,然后基于预置策略表对服务请求进程标识进行验证,若验证通过且请求的TCP连接三次握手通过,服务器允许终端设备的TCP连接请求。由于本实施例中的服务请求进程标识终端设备是根据终端设备对应的工作负载ID、请求服务的进程ID、以及属性标签生成的,因此在云环境下,终端设备与服务器之间的进程联网控制,不再依赖IP和端口,可直接将服务请求进程标识作为身份认证的标识,实现终端设备与服务器之间的联网认证。另外,利用TCP协议的三次握手阶段完成认证,不影响连接建立后数据的传输,且本实施例可实现进程级别的细粒度网络微隔离。
请参阅图4,为本发明实施例提供的一种云环境下的联网认证方法,该方法以终端设备、服务器与管理中心交互的角度进行说明,具体包括步骤S401-步骤S405:
步骤S401,终端设备向管理中心发送其工作负载信息、进程信息,服务器向管理中心发送其工作负载信息、进程信息。
在本实施例中,具体可以通过在终端设备或服务器中安装的代理获取工作负载信息和进程信息。如通过安装的代理收集终端设备中的网卡、CPU、硬盘等硬件资产信息,会收集终端设备中应用(软件进程)联网的源IP端口、目的IP、端口、联网进程名等信息,本实施例不做具体限定。
终端设备通过安装的代理上报所在终端设备的资产信息到管理中心,管理中心根据上报的数据计算生成终端设备对应的工作负载ID,属性标签。例如,终端设备A 的代理上报资产数据给管理中心,管理中心计算完成后,再将终端设备对应的工作负载ID,属性标签同步给终端设备A。
步骤S402,管理中心根据终端设备发送的工作负载信息、进程信息计算所述终端设备对应的工作负载ID、请求服务的进程ID、以及属性标签,以及根据服务器发送的工作负载信息、进程信息计算服务器对应的工作负载ID、请求服务的进程ID、以及属性标签。
步骤S403,管理中心根据所述终端设备对应的工作负载ID、请求服务的进程ID、以及属性标签计算服务请求进程标识;根据所述服务器对应的工作负载ID、请求服务的进程ID、以及属性标签计算服务提供进程标识。
步骤S404,管理中心根据访问策略确定预置策略表,所述预置策略表中存储有服务请求进程标识与服务提供进程标识之间的允许或拒绝访问的对应关系。
管理中心可以获取到所有安装代理的终端设备或服务器之间进程的联网关系,比如终端设备A的aaa进程通过TCP协议访问服务器B的bbb进程,可以设置这个bbb服务进程允许或者禁止aaa这个进程访问,这个设置会计算成访问策略,下发到和这个策略相关联的2个工作负载,即终端设备A和服务器B。
控制策略会明确服务提供进程允许或禁止具体的哪个访问进程访问。例如:指定服务器B的bbb这个服务进程(bbb身份ID),允许或禁止指定的终端设备A的aaa这个进程(aaa身份ID)访问。另外,若不在策略描述的新的进程访问默认是拒绝的。
步骤S405,管理中心将终端设备对应的工作负载ID、请求服务的进程ID、以及属性标签、预置策略表发送给终端设备,将服务器对应的工作负载ID、请求服务的进程ID、以及属性标签、预置策略发送给服务器。
步骤S406,终端设备接收对应的工作负载ID、请求服务的进程ID、以及属性标签、预置策略表,服务器接收对应的工作负载ID、请求服务的进程ID、以及属性标签、预置策略表。
本实施例提供一种云环境下的联网认证方法,由管理中心根据终端设备对应的工作负载ID、请求服务的进程ID、以及属性标签计算服务请求进程标识,根据服务器对应的工作负载ID、请求服务的进程ID、以及属性标签计算服务提供进程标识,之后根据访问策略确定预置策略表,预置策略表中存储有服务请求进程标识与服务提供进程标识之间的允许或拒绝访问的对应关系,之后将预置策略表下发到对应的终端设备和服务器,使得终端设备和服务器根据该预置策略表实现进程级别的细粒度网络的联网认证。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
在一实施例中,提供一种服务器,该服务器与上述实施例中云环境下的联网认证方法一一对应。如图5所示,所述服务器各功能模块详细说明如下:
接收模块51,用于在终端设备请求与服务器建立传输控制协议TCP连接的过程中,接收所述终端设备发送的第一数据包,所述第一数据包中包括终端设备中的服务请求进程标识;
确定模块52,用于确定预置策略表中是否存在允许所述服务请求进程标识访问的服务提供进程标识,所述预置策略表中的服务请求进程标识与服务提供进程标识之间的允许或拒绝访问的对应关系是由管理中心下发的;
允许模块53,用于若确定存在允许所述服务请求进程标识访问的服务提供进程标识,且所述请求的TCP连接三次握手通过,则允许所述终端设备的TCP连接请求。
在一个可选的实施例中,所述服务器还包括:发送模块54;
发送模块54,用于将包含允许所述服务请求进程标识访问的服务提供进程标识的第二数据包发送给所述终端设备,以使所述终端设备认证所述服务提供进程标识是否合法;
接收模块51,还用于接收所述终端设备发送的第三数据包,所述第三数据包中包括用于指示所述终端设备认证所述服务提供进程标识是否合法的认证信息;
允许模块53,具体用于若确定存在允许所述服务请求进程标识访问的服务提供进程标识,以及所述认证信息为所述终端设备认证所述服务提供进程标识合法,且所述请求的TCP连接三次握手通过,允许所述终端设备的TCP连接请求。
在一个可选的实施例中,接收模块51,具体用于接收所述终端设备在TCP连接请求中第一次握手过程中发送的第一数据包;
发送模块54,具体用于通过TCP连接请求中第二次握手,将包含允许所述服务请求进程标识访问的服务提供进程标识的第二数据包发送给所述终端设备;
接收模块51,具体用于接收所述终端设备在TCP连接请求中第三次握手过程中发送的第三数据包。
在一个可选的实施例中,所述服务请求进程标识是根据所述终端设备对应的工作负载ID、请求服务的进程ID、以及属性标签计算得到的;所述服务提供进程标识是根据所述服务器对应的工作负载ID、请求服务的进程ID、以及属性标签计算得到的,其中,所述终端设备对应的工作负载ID、请求服务的进程ID、以及属性标签,所述服务器对应的工作负载ID、请求服务的进程ID、以及属性标签为所述管理中心下发的。
在一个可选的实施例中,所述服务器还包括:拒绝模块55;
拒绝模块55,用于若确定不存在允许所述服务请求进程标识访问的服务提供进程标识,或所述请求的TCP连接三次握手通过,或所述认证信息为所述终端设备认证所述服务提供进程标识非法,则拒绝所述终端设备的TCP连接请求。
关于服务器的具体限定可以参见上文中对于云环境下的联网认证方法的限定,在此不再赘述。上述服务器中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一实施例中,提供一种管理服务器,该管理服务器与上述实施例中云环境下的联网认证方法一一对应。如图6所示,所述服务器各功能模块详细说明如下:
计算模块61,用于根据终端设备发送的工作负载信息、进程信息计算所述终端设备对应的工作负载ID、请求服务的进程ID、以及属性标签,以及根据服务器发送的工作负载信息、进程信息计算服务器对应的工作负载ID、请求服务的进程ID、以及属性标签;
计算模块61,用于根据所述终端设备对应的工作负载ID、请求服务的进程ID、以及属性标签计算服务请求进程标识;根据所述服务器对应的工作负载ID、请求服务的进程ID、以及属性标签计算服务提供进程标识;
确定模块62,用于根据访问策略确定预置策略表,所述预置策略表中存储有服务请求进程标识与服务提供进程标识之间的允许或拒绝访问的对应关系;
发送模块63,用于将所述终端设备对应的工作负载ID、请求服务的进程ID、以及属性标签、所述预置策略表发送给所述终端设备,将所述服务器对应的工作负载ID、请求服务的进程ID、以及属性标签、所述预置策略发送给所述服务器。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图7所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种云环境下的联网认证方法。
在一个实施例中,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现以下步骤:
在终端设备请求与服务器建立传输控制协议TCP连接的过程中,接收所述终端设备发送的第一数据包,所述第一数据包中包括终端设备中的服务请求进程标识;
确定预置策略表中是否存在允许所述服务请求进程标识访问的服务提供进程标识,所述预置策略表中的服务请求进程标识与服务提供进程标识之间的允许或拒绝访问的对应关系是由管理中心下发的;
若确定存在允许所述服务请求进程标识访问的服务提供进程标识,且所述请求的TCP连接三次握手通过,则允许所述终端设备的TCP连接请求。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
在终端设备请求与服务器建立传输控制协议TCP连接的过程中,接收所述终端设备发送的第一数据包,所述第一数据包中包括终端设备中的服务请求进程标识;
确定预置策略表中是否存在允许所述服务请求进程标识访问的服务提供进程标识,所述预置策略表中的服务请求进程标识与服务提供进程标识之间的允许或拒绝访问的对应关系是由管理中心下发的;
若确定存在允许所述服务请求进程标识访问的服务提供进程标识,且所述请求的TCP连接三次握手通过,则允许所述终端设备的TCP连接请求。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围,均应包含在本发明的保护范围之内。
Claims (10)
1.一种云环境下的联网认证方法,其特征在于,该方法应用于服务器,所述方法包括:
在终端设备请求与服务器建立传输控制协议TCP连接的过程中,接收所述终端设备发送的第一数据包,所述第一数据包中包括终端设备中的服务请求进程标识;
确定预置策略表中是否存在允许所述服务请求进程标识访问的服务提供进程标识,所述预置策略表中的服务请求进程标识与服务提供进程标识之间的允许或拒绝访问的对应关系是由管理中心下发的;
若确定存在允许所述服务请求进程标识访问的服务提供进程标识,且所述请求的TCP连接三次握手通过,则允许所述终端设备的TCP连接请求。
2.根据权利要求1所述的方法,其特征在于,在确定存在允许所述服务请求进程标识访问的服务提供进程标识之后,所述方法还包括:
将包含允许所述服务请求进程标识访问的服务提供进程标识的第二数据包发送给所述终端设备,以使所述终端设备认证所述服务提供进程标识是否合法;
接收所述终端设备发送的第三数据包,所述第三数据包中包括用于指示所述终端设备认证所述服务提供进程标识是否合法的认证信息;
所述允许所述终端设备的TCP连接请求,包括:
若确定存在允许所述服务请求进程标识访问的服务提供进程标识,以及所述认证信息为所述终端设备认证所述服务提供进程标识合法,且所述请求的TCP连接三次握手通过,允许所述终端设备的TCP连接请求。
3.根据权利要求2所述的方法,其特征在于,所述接收所述终端设备发送的第一数据包,包括:
接收所述终端设备在TCP连接请求中第一次握手过程中发送的第一数据包;
所述将包含允许所述服务请求进程标识访问的服务提供进程标识的第二数据包发送给所述终端设备,包括:
通过TCP连接请求中第二次握手,将包含允许所述服务请求进程标识访问的服务提供进程标识的第二数据包发送给所述终端设备;
所述接收所述终端设备发送的第三数据包,包括:
接收所述终端设备在TCP连接请求中第三次握手过程中发送的第三数据包。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述服务请求进程标识是根据所述终端设备对应的工作负载ID、请求服务的进程ID、以及属性标签计算得到的;所述服务提供进程标识是根据所述服务器对应的工作负载ID、请求服务的进程ID、以及属性标签计算得到的,其中,所述终端设备对应的工作负载ID、请求服务的进程ID、以及属性标签,所述服务器对应的工作负载ID、请求服务的进程ID、以及属性标签为所述管理中心下发的。
5.根据权利要求2所述的方法,其特征在于,所述方法还包括:
若确定不存在允许所述服务请求进程标识访问的服务提供进程标识,或所述请求的TCP连接三次握手通过,或所述认证信息为所述终端设备认证所述服务提供进程标识非法,则拒绝所述终端设备的TCP连接请求。
6.一种云环境下的联网认证方法,其特征在于,该方法应用于管理中心,所述方法包括:
根据终端设备发送的工作负载信息、进程信息计算所述终端设备对应的工作负载ID、请求服务的进程ID、以及属性标签,以及根据服务器发送的工作负载信息、进程信息计算服务器对应的工作负载ID、请求服务的进程ID、以及属性标签;
根据所述终端设备对应的工作负载ID、请求服务的进程ID、以及属性标签计算服务请求进程标识;根据所述服务器对应的工作负载ID、请求服务的进程ID、以及属性标签计算服务提供进程标识;
根据访问策略确定预置策略表,所述预置策略表中存储有服务请求进程标识与服务提供进程标识之间的允许或拒绝访问的对应关系;
将所述终端设备对应的工作负载ID、请求服务的进程ID、以及属性标签、所述预置策略表发送给所述终端设备,将所述服务器对应的工作负载ID、请求服务的进程ID、以及属性标签、所述预置策略发送给所述服务器。
7.一种云环境下的联网认证系统,其特征在于,所述系统包括:管理中心、服务器和终端设备;
所述管理中心,用于根据终端设备发送的工作负载信息、进程信息计算所述终端设备对应的工作负载ID、请求服务的进程ID、以及属性标签,以及根据服务器发送的工作负载信息、进程信息计算服务器对应的工作负载ID、请求服务的进程ID、以及属性标签;
所述管理中心,用于将所述终端设备对应的工作负载ID、请求服务的进程ID、以及属性标签、预置策略表发送给所述终端设备,将所述服务器对应的工作负载ID、请求服务的进程ID、以及属性标签、预置策略发送给所述服务器;所述预置策略表中存储有服务请求进程标识与服务提供进程标识之间的允许或拒绝访问的对应关系;
所述终端设备,用于在与服务器建立传输控制协议TCP连接请求的过程中,向所述服务器发送第一数据包,所述第一数据包中包括终端设备中的服务请求进程标识;
所述服务器,用于确定预置策略表中是否存在允许所述服务请求进程标识访问的服务提供进程标识,若确定存在允许所述服务请求进程标识访问的服务提供进程标识,且所述请求的TCP连接三次握手通过,则允许所述终端设备的TCP连接请求。
8.根据权利要求7所述的系统,其特征在于,所述服务器,还用于将包含允许所述服务请求进程标识访问的服务提供进程标识的第二数据包发送给所述终端设备,
所述终端设备,还用于认证所述服务提供进程标识是否合法;
所述服务器,还用于接收所述终端设备发送的第三数据包,所述第三数据包中包括用于指示所述终端设备认证所述服务提供进程标识是否合法的认证信息;
所述服务器,还用于若确定存在允许所述服务请求进程标识访问的服务提供进程标识,以及所述认证信息为所述终端设备认证所述服务提供进程标识合法,且所述请求的TCP连接三次握手通过,允许所述终端设备的TCP连接请求。
9.一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至6任一项所述的云环境下的联网认证方法。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的云环境下的联网认证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111491420.0A CN114285845B (zh) | 2021-12-08 | 2021-12-08 | 云环境下的联网认证方法、系统、计算机设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111491420.0A CN114285845B (zh) | 2021-12-08 | 2021-12-08 | 云环境下的联网认证方法、系统、计算机设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114285845A true CN114285845A (zh) | 2022-04-05 |
| CN114285845B CN114285845B (zh) | 2023-09-22 |
Family
ID=80871306
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111491420.0A Active CN114285845B (zh) | 2021-12-08 | 2021-12-08 | 云环境下的联网认证方法、系统、计算机设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114285845B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902458A (zh) * | 2010-02-21 | 2010-12-01 | 中国联合网络通信集团有限公司 | 跨主机进程间通信的方法、装置及系统 |
| KR20130124885A (ko) * | 2012-05-07 | 2013-11-15 | 삼성전자주식회사 | 인증되지 않는 액세스를 방지하기 위해 클라우드 데이터에 보안을 제공하는 전자 장치 및 이의 보안 제공 방법 |
| CN103617380A (zh) * | 2013-11-28 | 2014-03-05 | 北京邮电大学 | 应用程序权限动态控制方法和系统 |
| CN105045625A (zh) * | 2015-07-17 | 2015-11-11 | 上海斐讯数据通信技术有限公司 | 一种Android平台下root权限管控方法 |
| CN113377507A (zh) * | 2021-05-07 | 2021-09-10 | 武汉虚咖科技有限公司 | 任务处理方法、装置、设备以及计算机可读存储介质 |
| WO2021238399A1 (zh) * | 2020-05-27 | 2021-12-02 | 华为技术有限公司 | 安全访问数据的方法及电子设备 |
-
2021
- 2021-12-08 CN CN202111491420.0A patent/CN114285845B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902458A (zh) * | 2010-02-21 | 2010-12-01 | 中国联合网络通信集团有限公司 | 跨主机进程间通信的方法、装置及系统 |
| KR20130124885A (ko) * | 2012-05-07 | 2013-11-15 | 삼성전자주식회사 | 인증되지 않는 액세스를 방지하기 위해 클라우드 데이터에 보안을 제공하는 전자 장치 및 이의 보안 제공 방법 |
| CN103617380A (zh) * | 2013-11-28 | 2014-03-05 | 北京邮电大学 | 应用程序权限动态控制方法和系统 |
| CN105045625A (zh) * | 2015-07-17 | 2015-11-11 | 上海斐讯数据通信技术有限公司 | 一种Android平台下root权限管控方法 |
| WO2021238399A1 (zh) * | 2020-05-27 | 2021-12-02 | 华为技术有限公司 | 安全访问数据的方法及电子设备 |
| CN113377507A (zh) * | 2021-05-07 | 2021-09-10 | 武汉虚咖科技有限公司 | 任务处理方法、装置、设备以及计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114285845B (zh) | 2023-09-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2019246872B2 (en) | Tiered connection pooling methods, systems and computer readable storage media | |
| CN109413032B (zh) | 一种单点登录方法、计算机可读存储介质及网关 | |
| US20150237035A1 (en) | Securing Organizational Computing Assets over a Network Using Virtual Domains | |
| US9083690B2 (en) | Communication session termination rankings and protocols | |
| US9584523B2 (en) | Virtual private network access control | |
| CN110197075B (zh) | 资源访问方法、装置、计算设备以及存储介质 | |
| JP5704517B2 (ja) | 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム | |
| CN112953745B (zh) | 服务调用方法、系统、计算机设备和存储介质 | |
| US20230336541A1 (en) | Method and device for two-factor authentication, computer device, and storage medium | |
| CN108881309A (zh) | 大数据平台的访问方法、装置、电子设备及可读存储介质 | |
| CN112948842A (zh) | 一种鉴权方法及相关设备 | |
| CN113872990B (zh) | 基于ssl协议的vpn网络证书认证方法、装置和计算机设备 | |
| CN113949579B (zh) | 网站攻击防御方法、装置、计算机设备及存储介质 | |
| CN112804222B (zh) | 基于云部署的数据传输方法、装置、设备及存储介质 | |
| US8087066B2 (en) | Method and system for securing a commercial grid network | |
| US20180145984A1 (en) | System and method for providing security solutions to protect enterprise critical assets | |
| CN114285845B (zh) | 云环境下的联网认证方法、系统、计算机设备及存储介质 | |
| CN114285607B (zh) | 云环境下的联网认证方法、系统、计算机设备及存储介质 | |
| CN110650132A (zh) | 边缘计算节点的接入方法、装置、计算机设备和存储介质 | |
| CN113806709B (zh) | 车机服务的激活方法、车辆和可读存储介质 | |
| CN112738215B (zh) | 区块链节点的授权方法、装置、终端设备及介质 | |
| WO2016177051A1 (zh) | 安全认证的方法及装置 | |
| US9781130B1 (en) | Managing policies | |
| US10789179B1 (en) | Decentralized access management in information processing system utilizing persistent memory | |
| CN118523960B (zh) | 对象存储服务端的数据认证处理方法、服务器、电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |