WO2022052972A1

WO2022052972A1 - 一种网络终端认证的方法及装置

Info

Publication number: WO2022052972A1
Application number: PCT/CN2021/117358
Authority: WO
Inventors: 邱震尧; 杨阳; 陈舟; 黄自力; 熊璐
Original assignee: 中国银联股份有限公司
Priority date: 2020-09-11
Filing date: 2021-09-09
Publication date: 2022-03-17
Also published as: CN112165536A; CN112165536B

Abstract

本发明实施例提供一种网络终端认证的方法及装置，该方法包括：网络服务端接收网络终端发送的第一访问请求；第一访问请求中携带访问认证策略；网络服务端从端口策略记录中，确定与访问认证策略匹配的端口策略；端口策略记录中的各端口策略用于开启对应的各网络端口；网络服务端根据端口策略确定网络终端访问的第一网络端口；网络服务端接收网络终端发送的第二访问请求，第二访问请求用于通过第一网络端口获取网络服务。本申请可以实现在IP地址频繁变化的情况下，根据端口策略记录以及访问认证策略对用户进行认证，消除IP地址与网络服务端认证机制的耦合，增加访问IP地址的灵活性；提高第一网络端口的安全性。

Description

一种网络终端认证的方法及装置

相关申请的交叉引用

本申请要求在2020年09月11日提交中国专利局、申请号为202010954007.2、申请名称为“一种网络终端认证的方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及网络技术领域，尤其涉及一种网络终端认证的方法及装置。

背景技术

在网络安全攻防演练以及实际的网络攻击场景中，大多数攻击者会在第一步的信息搜集阶段，使用Nmap(Network Mapper，网络扫描)等工具对拟攻击目标主机进行端口扫描，获取该主机IP地址中的所有开放的网络端口，进而实现进一步的攻击操作。例如，攻击者可能会通过自动化工具扫描网络端口，以获取MySQL等开放的网络端口对应的网络服务；如果此时，网络端口存在弱密码等安全隐患，则将造成数据泄露、主机损坏等严重的安全事故。因此，现有技术中通过在主机的防火墙中设置对应网络端口允许访问的IP地址白名单，当确定用户的IP地址属于白名单中的IP地址，则允许该用户访问该网络端口，并为该用户提供该网络端口对应的网络服务；否则，不对该用户开放网络端口；如此，实现对访问用户的权限控制。但上述方法在IP地址发生变化时，则需要修改IP地址白名单，尤其是IP地址频繁变化，将导致IP地址白名单频繁修改。

因此，现在亟需一种网络终端认证的方法及装置，能够消除IP地址与网络服务端认证机制的耦合，增加访问IP地址的灵活性，并提高网络端口的安全性。

发明内容

本发明实施例提供一种网络终端认证的方法及装置，能够消除IP地址与网络服务端认证机制的耦合，增加访问IP地址的灵活性，并提高网络端口的安全性。

第一方面，本发明实施例提供一种网络终端认证的方法，该方法包括：

网络服务端接收网络终端发送的第一访问请求；所述第一访问请求中携带访问认证策略；所述网络服务端从端口策略记录中，确定与所述访问认证策略匹配的端口策略；所述端口策略记录中的各所述端口策略用于开启对应的各网络端口；所述网络服务端根据所述端口策略确定所述网络终端访问的第一网络端口；所述网络服务端接收所述网络终端发送的第二访问请求，所述第二访问请求用于通过所述第一网络端口获取网络服务。

上述方法中，网络终端发送第一访问请求至网络服务端，根据第一访问请求中的访问认证策略，匹配端口策略记录，以确定与其匹配的端口策略，进一步确定为网络终端提供网络服务的网络端口。如此，网络服务端根据端口策略记录对网络终端发送的第一访问请求中的访问认证策略进行认证，以及匹配第一网络端口。相比于现有技术中通过IP地址白名单对访问用户进行控制，本申请可以实现在IP地址频繁变化的情况下，根据端口策略记录以及访问认证策略对用户进行认证，消除IP地址与网络服务端认证机制的耦合，增加访问IP地址的灵活性；并保证第一网络端口只针对认证通过的用户开放，提高第一网络端口的安全性。

可选的，网络服务端接收网络终端发送的第一访问请求之前，还包括：所述网络服务端将第二网络端口关闭，所述第二网络端口为用于提供网络服务的任一端口；所述网络服务端将第三网络端口开放，所述第三网络端口用于捕捉并分析恶意攻击消息。

上述方法中，网络服务端将用于提供网络服务的第二网络端口关闭，防止第二网络端口在开放状态，任何人都能访问该第二网络端口而造成被恶意攻击，增加第二网络端口的安全性。并将用于捕捉并分析恶意攻击消息的第三网络端口开放，由此，通过第三网络端口实现对攻击行为的防御，提高网络服务端的防御恶意攻击能力。

可选的，所述端口策略记录通过如下方式得到：所述网络服务端为各第二网络端口分别生成不同的端口策略；所述网络服务端将各端口策略记录在端口策略记录中；所述端口策略中包括端口信息、预设参数及访问时效；所述预设参数用于与访问认证策略进行匹配。

上述方法中，为各个第二网络端口分别生成不同端口策略；并记录在端口策略记录中。如此，实现在接收网络终端的第一访问请求时，对第一访问请求中的访问认证策略进行认证，获得和该访问认证策略一一对应的网络端口，不会出现对于同一个访问认证策略同时匹配多个网络端口而造成的网络服务混乱的情况。以及在端口策略中设置端口信息，以确定网络终端访问网络服务端的准确性；设置预设参数，以保证网络终端访问时进行访问认证策略和端口策略的匹配精确性；设置访问时效，以保证网络终端访问网络服务端的安全性，防止访问时间过长，增加该网络端口的被攻击风险。并且，通过策略匹配的方式对用户进行认证。消除IP地址与网络服务端认证机制的耦合，增加访问IP地址的灵活性。

可选的，网络服务端接收网络终端发送的第一访问请求之前，还包括：

所述网络服务端口将所述端口策略记录发布至所述网络终端；或所述网络终端中预装有端口策略获取脚本。

上述方法中，将包含各个网络端口的端口策略的端口策略记录发布至网络终端，或者网络终端预安装有端口策略获取脚本。以使得网络终端可以根据端口策略和所要获取的网络服务生成对应的访问认证策略，进一步，使得网络服务端对该网络终端进行认证。保证了网络终端访问网络服务的安全性。以使通过策略匹配的方式对用户进行认证。消除IP地址与网络服务端认证机制的耦合，增加访问IP地址的灵活性。

可选的，所述网络服务端根据所述端口策略确定所述网络终端访问的第一网络端口，包括：

所述第一访问请求中还包括所述网络终端的IP地址，所述网络服务端通过所述第一网络端口为所述网络终端提供网络服务之前，还包括：所述网络服务端将所述第一网络端口向所述第一访问请求中携带的所述网络终端的IP地址开放。

上述方法中，通过将网络服务端的第一网络端口配置为向第一访问请求中携带的网络终端的IP地址开放，实现第一网络端口有针对性的开放，并为该网络终端提供网络服务。也即，第一网络端口针对性的向第一访问请求中携带的网络终端的IP地址开放；保证第一网络端口只向认证后，确定合法的用户开放，保证第一网络端口的安全性。降低第一网络端口被攻击的几率，增加第一网络端口的安全性。

可选的，所述网络服务端为所述网络终端提供网络服务之后，还包括：

所述网络服务端确定所述第一网络端口向所述网络终端开放时间到达所述端口策略中的访问时效；所述网络服务端关闭所述网络终端对所述第一网络端口的访问权限。

上述方法中，超过预设的网络终端的访问时效，则关闭第一网络端口。如此，降低第一网络端口被攻击的几率，增加第一网络端口的安全性。

可选的，所述网络服务端为所述网络终端提供网络服务之后，还包括：所述网络服务端确定与所述网络终端断开网络连接，则关闭所述第一网络端口对所述第一网络端口的访问权限。

上述方法中，IP地址对应的网络终端断开网络连接，则关闭第一网络端口。如此，防止恶意攻击者获取该网络终端的IP地址后，攻击第一网络端口，增加第一网络端口的安全性。

第二方面，本发明实施例提供一种网络终端认证的方法，该方法包括：

网络终端向网络服务端发送第一访问请求，所述第一访问请求中包括访问认证策略；所述访问认证策略用于网络服务端从端口策略记录中确定出与所述访问认证策略匹配的端口策略，并根据所述端口策略确定所述网络终端访问的第一网络端口；所述网络终端向所述网络服务端发送第二访问请求，所述第二访问请求用于通过所述第一网络端口从所述网络服务端获取网络服务。

上述方法中，网络终端发送第一访问请求至网络服务端，以使的网络服务端根据第一访问请求中的访问认证策略，匹配端口策略记录，以确定与其匹配的端口策略，进一步确定为网络终端提供网络服务的网络端口。如此，网络服务端根据端口策略记录对网络终端发送的第一访问请求中的访问认证策略进行认证，以及匹配第一网络端口。相比于现有技术中通过IP地址白名单对访问用户进行控制，本申请可以实现在IP地址频繁变化的情况下，根据端口策略记录以及访问认证策略对用户进行认证，消除IP地址与网络服务端认证机制的耦合，增加访问IP地址的灵活性；并保证第一网络端口只针对认证通过的用户开放，提高第一网络端口的安全性。

可选的，网络终端向网络服务端发送的第一访问请求之前，还包括：

所述网络终端获取所述网络服务端口发布的端口策略记录。

上述方法中，网络终端获取网络服务端口发布的端口策略记录。以使得网络终端可以根据端口策略和所要获取的网络服务生成对应的访问认证策略，进一步，使得网络服务端对该网络终端进行认证。保证了网络终端访问网络服务的安全性。以使通过策略匹配的方式对用户进行认证。消除IP地址与网络服务端认证机制的耦合，增加访问IP地址的灵活性。

第三方面，本发明实施例提供一种用户认证的装置，所述装置包括：

收发模块，用于接收网络终端发送的第一访问请求；所述第一访问请求中携带访问认证策略；

处理模块，用于从端口策略记录中，确定与所述访问认证策略匹配的端口策略；所述端口策略记录中的各所述端口策略用于开启对应的各网络端口；

所述处理模块还用于，根据所述端口策略确定所述网络终端访问的第一网络端口；

所述收发模块还用于，接收所述网络终端发送的第二访问请求，所述第二访问请求用于通过所述第一网络端口获取网络服务。

第四方面，本发明实施例提供一种用户认证的装置，所述装置包括：

收发模块，用于向网络服务端发送第一访问请求，所述第一访问请求中包括访问认证策略；所述访问认证策略用于网络服务端从端口策略记录中确定出与所述访问认证策略匹配的端口策略，并根据所述端口策略确定所述网络终端访问的第一网络端口；

所述收发模块还用于，向所述网络服务端发送第二访问请求，所述第二访问请求用于通过所述第一网络端口从所述网络服务端获取网络服务。

第五方面，本申请实施例还提供一种计算设备，包括：存储器，用于存储程序；处理器，用于调用所述存储器中存储的程序，按照获得的程序执行如第一方面和\或第二方面的各种可能的设计中所述的方法。

第六方面，本申请实施例还提供一种计算机可读非易失性存储介质，包括计算机可读程序，当计算机读取并执行所述计算机可读程序时，使得计算机执行如第一方面和\或第二方面的各种可能的设计中所述的方法。

本申请的这些实现方式或其他实现方式在以下实施例的描述中会更加简明易懂。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种网络终端认证的架构示意图；

图2为本发明实施例提供的一种网络终端认证的方法的流程示意图；

图3为本发明实施例提供的一种网络终端认证的方法的流程示意图；

图4为本发明实施例提供的一种网络终端认证的方法的流程示意图；

图5为本发明实施例提供的一种网络终端认证的装置示意图；

图6为本发明实施例提供的一种网络终端认证的装置示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

如图1所示，为本发明实施例提供的一种网络终端认证的系统架构，网络服务端101中设置有记录各个网络端口的端口策略的端口策略记录；网络服务端101将该端口策略记录发布至各预先确定允许访问的合法网络终端102。当网络终端102中的网络终端103需要从网络服务端101获取网络服务时，则根据端口策略记录确定该网络服务的端口策略，根据该端口策略生成包含访问认证策略的第一访问请求，网络终端103将该第一访问请求发送至网络服务端101。网络服务端101根据第一访问请求中的访问认证策略查找端口策略记录中与其匹配的端口策略，进一步根据查找到与访问认证策略匹配的端口策略，获取对应该端口策略的第一网络端口，将该第一网络端口向该访问认证请求的IP地址开放。网络终端103向网络服务端101发送第二访问请求，以获取网络服务。其中，第一访问请求和第二访问请求可以为两个不同的访问请求，也可以为同一个访问请求；如，当第一访问请求和第二访问请求为同一个访问请求时，则该访问请求中可以包含访问认证策略和用于获取网络服务的相关指令及信息，相应的，网络服务端101在接收到该访问请求后，根据该访问请求中的访问认证策略确定该网络终端103访问的第一网络端口，根据用于获取网络服务的相关指令及信息向该网络终端103提供网络服务；本申请对于第一访问请求和第二访问请求的说明方式只用于更清楚的阐述技术方案，并不对访问请求的具体形式做限定。网络服务端101可以安装端口策略脚本，用于生成各个网络端口对应的不同的端口策略，以及对访问认证策略进行匹配等。网络终端102中可以安装网络服务端101中的端口策略脚本的对应的端口策略获取脚本，用于获取端口策略记录以及根据端口策略记录生成访问认证策略等。这里只是提供一种可实施例，对于网络服务端101端口策略记录的生成与匹配，以及网络终端102的获取端口策略记录以及访问认证策略的生成，具体实现方式不做限定。网络服务端101可以存在多个，网络服务端101中可以包含一个或多个网络服务，各网络服务端101中可以包含相同的网络服务或不同的网络服务，具体不做限定。

基于此，本申请实施例提供了一种网络终端认证的方法的流程，如图2所示，包括：

步骤201、网络服务端接收网络终端发送的第一访问请求；所述第一访问请求中携带访问认证策略；

步骤202、所述网络服务端从端口策略记录中，确定与所述访问认证策略匹配的端口策略；所述端口策略记录中的各所述端口策略用于开启对应的各网络端口；

步骤203、所述网络服务端根据所述端口策略确定所述网络终端访问的第一网络端口；

步骤204、所述网络服务端接收所述网络终端发送的第二访问请求，所述第二访问请求用于通过所述第一网络端口获取网络服务。

此处，网络服务可以为远程桌面服务、文件传输服务、虚拟专用网络服务、网页服务等等，网络服务可以通过该网络服务对应的第一网络端口获取。

上述方法中，网络终端发送第一访问请求至网络服务端，根据第一访问请求中的访问认证策略，匹配端口策略记录，以确定与其匹配的端口策略，进一步确定为网络终端提供网络服务的网络端口。如此，网络服务端根据端口策略记录对网络终端发送的第一访问请求中的访问认证策略进行认证，以及匹配第一网络端口。相比于现有技术中通过IP地址白名单对访问用户进行控制，本申请可以实现在IP地址频繁变化的情况下，根据端口策略记录以及访问认证策略对用户进行认证，消除IP地址与网络服务端认证机制的耦合，降低工作人员工作量以及降低网络终端认证的成本，增加访问IP地址的灵活性；并保证第一网络端口只针对认证通过的用户开放，提高第一网络端口的安全性。

本申请实施例还提供了一种网络端口管理方法，网络服务端接收网络终端发送的第一访问请求之前，还包括：所述网络服务端将第二网络端口关闭，所述第二网络端口为用于提供网络服务的任一端口；所述网络服务端将第三网络端口开放，所述第三网络端口用于捕捉并分析恶意攻击消息。

此处，第二网络端口为向网络终端提供网络服务的网络端口。例如，虚拟专用网络服务的对应端口为1723端口；网页服务的对应端口为80端口。第三网络用于捕捉并分析恶意攻击消息，如，蜜罐服务对应的网络端口。蜜罐服务是一种对恶意攻击方进行欺骗的技术，通过布置作为诱饵的主机、网络服务或信息，诱使攻击方对其进行攻击，并对该攻击进行抓捕和分析。也就是说，在网络服务端接收网络终端的第一访问请求之前，将用于为网络终端提供网络服务的第二网络端口关闭，而开启欺骗攻击者的第三网络端口，以防止攻击者对第二网络端口进行攻击，增加第二网络端口的安全性。这里需要说明的是，若一网络端口即可用于提供网络服务又可用于捕捉并分析恶意攻击消息，则该网络端口可以作为第二网络端口关闭，也可作为第三网络端口开启，具体根据需求设定。

本申请实施例还提供了一种端口策略记录的生成方法，所述端口策略记录通过如下方式得到：所述网络服务端为各第二网络端口分别生成不同的端口策略；所述网络服务端将各端口策略记录在端口策略记录中；所述端口策略中包括端口信息、预设参数及访问时效；所述预设参数用于与访问认证策略进行匹配。例如，一种端口策略记录可以分别为不同的网络端口，预设不同字节长度的ping(网络诊断命令)包、ID标志等对应的一串字符等预设参数，以及访问时效等，如下表1所示：

表1

以上方法中，网络服务端为各第二网络端口分别生成不同的端口策略，如此，不会出现对于同一个访问认证策略同时匹配多个网络端口而造成的网络服务混乱的情况。端口策略中设置端口信息，以使得网络终端可以根据要获取的网络服务的网络端口的端口信息，以及端口策略中的端口信息确定端口策略；设置预设参数，可以使得网络服务端根据访问认证策略中是否包含预设参数以确定该用户是否合法；设置访问时效，以保证网络终端访问网络服务端的安全性，防止访问时间过长，增加该网络端口的被攻击风险。另外，上述示例中，预设参数可以是ping包的长度，如此，可以迷惑攻击者，令攻击者认为其只是一个用于网络诊断的命令，不包含用于网络端口的访问认证的重要信息；增加网络服务的安全性。且网络终端根据端口策略生成该网络诊断命令，使得该网络诊断命令的字节数匹配该端口策略，便于后续网络服务端根据该端口策略对该网络诊断命令进行认证，进一步增加网络服务的安全性。

本申请实施例提供了一种网络终端获取端口策略记录的方法，网络服务端接收网络终端发送的第一访问请求之前，还包括：所述网络服务端口将所述端口策略记录发布至所述网络终端；或所述网络终端中预装有端口策略获取脚本。也就是说，网络终端获取端口策略记录可以通过在网络终端安装端口策略获取脚本实现，这里为了保证网络终端的合法性，可以通过安全邮件的方式，发送端口策略获取脚本对应的文件到网络终端，也可以通过其他安全通道发送，这里具体不做限定。当端口策略记录发生更新，则可以由网络终端主动从网络服务端获取更新，或者由网络服务端主动通知网络终端更新等方式，这里具体实现方式不做限定。

本申请实施例还提供了一种网络终端认证方法，所述网络服务端根据所述端口策略确定所述网络终端访问的第一网络端口，包括：所述第一访问请求中还包括所述网络终端的IP地址，所述网络服务端通过所述第一网络端口为所述网络终端提供网络服务之前，还包括：所述网络服务端配置所述第一网络端口向所述第一访问请求中携带的所述网络终端的IP地址开放。也就是说，网络服务端只会对通过认证的网络终端的IP地址开放且提供网络服务。这里提供一种实现方式，即，通过添加防火墙以实现只对通过认证的网络终端的IP地址开放且提供网络服务，该种实现方式只作为一种示例，具体实现方式不做限定。如此可以降低第一网络端口被攻击的几率，增加第一网络端口的安全性。

本申请实施例还提供了一种用户认证方法，所述网络服务端为所述网络终端提供网络服务之后，还包括：所述网络服务端确定所述第一网络端口向所述网络终端开放时间到达所述端口策略中的访问时效；所述网络服务端关闭所述网络终端对所述第一网络端口的访问权限。例如，若访问时效为一小时，则网络终端发送第一访问请求认证通过后，网络服务端将第一网络端口针对该网络终端的IP地址开放，且可以从该第一网络端口开放时开始计时，开放时间达到一小时，则将该第一网络端口关闭。还可以设置一种非应答期，即，用于在网络终端访问权限关闭后，在预设时间内，不对该网络终端再次开放第一网络端口。

本申请还提供了一种网络终端认证方法，所述网络服务端为所述网络终端提供网络服务之后，还包括：所述网络服务端确定与所述网络终端断开网络连接，则关闭所述第一网络端口对所述第一网络端口的访问权限。

基于此，本申请实施例提供了一种网络终端认证的方法的流程，如图3所示，包括：

步骤301、网络终端向网络服务端发送第一访问请求，所述第一访问请求中包括访问认证策略；所述访问认证策略用于网络服务端从端口策略记录中确定出与所述访问认证策略匹配的端口策略，并根据所述端口策略确定所述网络终端访问的第一网络端口；

步骤302、所述网络终端向所述网络服务端发送第二访问请求，所述第二访问请求用于通过所述第一网络端口从所述网络服务端获取网络服务。

基于上述流程，本申请实施例提供了一种网络终端认证方法的流程，如图4所示，包括：

步骤401、网络服务端将所有用于为网络终端提供网络服务的第二网络端口关闭，并开启用于欺骗攻击者的第三网络端口。

步骤402、可以为所有第二网络端口对应生成不同的端口策略，或者选取部分第二网络端口对应生成不同的端口策略，并将各个第二网络端口的端口策略记录得到端口策略记录。这里可以根据网络终端需求以及第二网络端口的安全性考量，来确定第二网络端口的选取，并进行端口策略的配置。例如，可以为VPN(虚拟专用网络)服务的网络端口1723生成对应的端口策略，如表2所示：

表2

可以为Web(网页)服务的网络端口8080生成对应的端口策略，如表3所示：

表3

步骤403、分别为选取的第二网络端口设置访问时效，如，为VPN服务的网络端口设置的访问时效为12h，Web服务的网络端口设置的访问时效为∞。可以将访问时效对应添加到VPN网络端口和Web网络端口的端口策略中，如上述示例中的表2和表3中所示的访问时效。

步骤404、网络终端1为网络服务端认定的合法用户，可以为工作技术人员或者网络服务端相应的程序等确定的，则将端口策略获取脚本发送至网络终端1中，以使得网络终端1可以根据该端口策略获取脚本获取端口策略记录。

步骤405、网络终端1根据获取的端口策略记录生成第一访问请求，并使得第一访问请求中包含，网络终端1要访问的第一网络端口的端口策略对应的访问认证策略；在上述示例中，若第一网络端口为VPN网络端口：1723端口，第一访问请求可以为ping包，且ping包的长度为12345字节，所访问的网络服务端的IP地址为2.2.2.2。若第一网络端口为Web网络端口：8080端口，第一访问请求可以为HTTP请求，且HTTP请求中携带POST参数id＝9a6b3c0d，所访问的网络服务端的IP地址为2.2.2.2。

步骤406、网络服务端接收到网络终端1发送的第一访问请求，获取第一访问请求中的访问认证策略，并根据访问认证策略匹配端口策略记录，确定第一网络端口，并将第一网络端口向该网络终端1的IP地址开启。在上述示例中，当第一网络端口为VPN网络端口：网络服务端解析监听到的ICMP协议数据包，获取网络终端1的源IP地址(1.1.1.1)和ping包长度，根据ping包长度，即，12345字节匹配端口策略记录，确定ping包长度为12345字节的端口策略属于VPN网络端口，则判定为有效请求；若确定ping包长度为12345字节匹配不到端口策略，则判定为无效请求。

当第一网络端口为Web网络端口：解析监听到的HTTP请求，获取源IP地址(1.1.1.1)和POST参数id＝9a6b3c0d，根据POST参数id＝9a6b3c0d匹配端口策略记录，确定POST参数为id＝9a6b3c0d的端口策略属于Web网络端口，则判定为有效请求；若确定POST参数为id＝9a6b3c0d匹配不到端口策略，则判定为无效请求。

步骤407、若网络服务端确定网络终端1的第一访问请求为无效请求，则忽略该请求。若该网络终端1认证通过后，则将第一网络端口向网络终端1的IP地址开启。在上述示例中，将VPN网络端口或Web网络端口向网络终端1的IP地址(1.1.1.1)开启。

步骤408、网络终端1生成第二访问请求以获取网络服务。在上述示例中，网络终端1生成第二访问请求以获取VPN网络服务或Web网络服务。

步骤409、网络服务端接收到第二访问请求，通过第一网络端口为该网络终端1提供网络服务。在上述示例中，网络服务端接收到第二访问请求，通过VPN网络端口或Web网络端口为该网络终端1提供VPN网络服务或Web网络服务。

步骤410、网络终端2生成访问请求发送至网络服务端，但由于网络终端2没有网络服务端授予的端口策略记录，且网络服务端的所有第二网络端口对于网络终端2皆处于关闭状态，则网络终端2无法成功访问网络服务端的第二网络端口。并且由于所有第二网络端口对于网络终端2皆处于关闭状态，网络终端2使用Nmap(也就是Network Mapper，最早是Linux下的网络扫描和嗅探工具包)等自动化扫描工具，也无法访问第二网络端口。

步骤411、网络服务端根据端口策略记录确定网络终端1所访问的第一网络端口的访问时效已到，则撤销对该网络终端1的IP地址的访问权限。或者网络终端1的IP地址发生网络断开，则撤销对该网络终端1的IP地址的访问权限。

在上述示例中，若网络终端1访问VPN网络端口，若网络服务端确定当前网络终端1对应的IP地址已经访问满12h，则撤销对该网络终端1的IP地址的访问权限；或者网络终端1在访问未满12h，但发生网络断开，则撤销对该网络终端1的IP地址的访问权限。或网络终端1访问Web网络端口，网络服务端确定当前网络终端1对应的IP地址没有访问时间限制，则网络终端1对应的IP地址不发生网络断开，不会撤销对该网络终端1的IP地址的访问权限。

步骤412、网络服务端的端口策略记录中的端口策略有发生修改，或者增加新的第二网络端口的端口策略。

步骤413、网络终端1获取更新后的端口策略记录。

这里需要说明的是，上述流程步骤并不唯一，如步骤410可以在除步骤401以外的上述流程步骤的任意一个流程步骤前或流程步骤后发生。

基于同样的构思，本发明实施例提供一种网络终端认证装置，图5为本申请实施例提供的一种网络终端认证装置示意图，如图5示，包括：

收发模块501，用于接收网络终端发送的第一访问请求；所述第一访问请求中携带访问认证策略；

处理模块502，用于从端口策略记录中，确定与所述访问认证策略匹配的端口策略；所述端口策略记录中的各所述端口策略用于开启对应的各网络端口；

所述处理模块502还用于，根据所述端口策略确定所述网络终端访问的第一网络端口；

所述收发模块501还用于，接收所述网络终端发送的第二访问请求，所述第二访问请求用于通过所述第一网络端口获取网络服务。

可选的，所述处理模块502还用于：将第二网络端口关闭，所述第二网络端口为用于提供网络服务的任一端口；将第三网络端口开放，所述第三网络端口用于捕捉并分析恶意攻击消息。

可选的，所述处理模块502还用于：为各第二网络端口分别生成不同的端口策略；将各端口策略记录在端口策略记录中；所述端口策略中包括端口信息、预设参数及访问时效；所述预设参数用于与访问认证策略进行匹配。

可选的，所述处理模块502还用于：将所述端口策略记录发布至所述网络终端；或所述网络终端中预装有端口策略获取脚本。

可选的，所述处理模块502具体用于：所述第一访问请求中还包括所述网络终端的IP地址，所述网络服务端通过所述第一网络端口为所述网络终端提供网络服务之前，还包括：所述网络服务端配置所述第一网络端口向所述第一访问请求中携带的所述网络终端的IP地址开放。

可选的，所述处理模块502还用于：确定所述第一网络端口向所述网络终端开放时间到达所述端口策略中的访问时效；关闭所述网络终端对所述第一网络端口的访问权限。

可选的，所述处理模块502还用于：确定与所述网络终端断开网络连接，则关闭所述第一网络端口对所述第一网络端口的访问权限。

基于同样的构思，本发明实施例提供一种网络终端认证装置，图6为本申请实施例提供的一种网络终端认证装置示意图，如图6示，包括：

收发模块601，用于向网络服务端发送第一访问请求，所述第一访问请求中包括访问认证策略；所述访问认证策略用于网络服务端从端口策略记录中确定出与所述访问认证策略匹配的端口策略，并根据所述端口策略确定所述网络终端访问的第一网络端口；

所述收发模块601还用于，向所述网络服务端发送第二访问请求，所述第二访问请求用于通过所述第一网络端口从所述网络服务端获取网络服务。

可选的，所述收发模块601还用于：

所述网络终端获取所述网络服务端口发布的端口策略记录。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims

一种网络终端认证的方法，其特征在于，所述方法包括：

网络服务端接收网络终端发送的第一访问请求；所述第一访问请求中携带访问认证策略；

所述网络服务端从端口策略记录中，确定与所述访问认证策略匹配的端口策略；所述端口策略记录中的各所述端口策略用于开启对应的各网络端口；

所述网络服务端根据所述端口策略确定所述网络终端访问的第一网络端口；

所述网络服务端接收所述网络终端发送的第二访问请求，所述第二访问请求用于通过所述第一网络端口获取网络服务。
如权利要求1所述的方法，其特征在于，网络服务端接收网络终端发送的第一访问请求之前，还包括：

所述网络服务端将第二网络端口关闭，所述第二网络端口为用于提供网络服务的任一端口；

所述网络服务端将第三网络端口开放，所述第三网络端口用于捕捉并分析恶意攻击消息。
如权利要求1所述的方法，其特征在于，所述端口策略记录通过如下方式得到：

所述网络服务端为各第二网络端口分别生成不同的端口策略；

所述网络服务端将各端口策略记录在端口策略记录中；所述端口策略中包括端口信息、预设参数及访问时效；所述预设参数用于与访问认证策略进行匹配。
如权利要求1所述的方法，其特征在于，网络服务端接收网络终端发送的第一访问请求之前，还包括：

所述网络服务端口将所述端口策略记录发布至所述网络终端；或

所述网络终端中预装有端口策略获取脚本。
如权利要求1至4任一项所述的方法，其特征在于，所述网络服务端根据所述端口策略确定所述网络终端访问的第一网络端口，包括：

所述第一访问请求中还包括所述网络终端的IP地址，所述网络服务端通过所述第一网络端口为所述网络终端提供网络服务之前，还包括：

所述网络服务端将所述第一网络端口向所述第一访问请求中携带的所述网络终端的IP地址开放。
如权利要求5所述的方法，其特征在于，所述网络服务端为所述网络终端提供网络服务之后，还包括：

所述网络服务端确定所述第一网络端口向所述网络终端开放时间到达所述端口策略中的访问时效；

所述网络服务端关闭所述网络终端对所述第一网络端口的访问权限。
如权利要求5所述的方法，其特征在于，所述网络服务端为所述网络终端提供网络服务之后，还包括：

所述网络服务端确定与所述网络终端断开网络连接，则关闭所述第一网络端口对所述第一网络端口的访问权限。
一种网络终端认证的方法，其特征在于，所述方法包括：

网络终端向网络服务端发送第一访问请求，所述第一访问请求中包括访问认证策略；所述访问认证策略用于网络服务端从端口策略记录中确定出与所述访问认证策略匹配的端口策略，并根据所述端口策略确定所述网络终端访问的第一网络端口；

所述网络终端向所述网络服务端发送第二访问请求，所述第二访问请求用于通过所述第一网络端口从所述网络服务端获取网络服务。
如权利要求8所述的方法，其特征在于，网络终端向网络服务端发送的第一访问请求之前，还包括：

所述网络终端获取所述网络服务端口发布的端口策略记录。
一种用户认证的装置，其特征在于，所述装置包括：

收发模块，用于接收网络终端发送的第一访问请求；所述第一访问请求中携带访问认证策略；

处理模块，用于从端口策略记录中，确定与所述访问认证策略匹配的端口策略；所述端口策略记录中的各所述端口策略用于开启对应的各网络端口；

所述处理模块还用于，根据所述端口策略确定所述网络终端访问的第一网络端口；

所述收发模块还用于，接收所述网络终端发送的第二访问请求，所述第二访问请求用于通过所述第一网络端口获取网络服务。
一种用户认证的装置，其特征在于，所述装置包括：

收发模块，用于向网络服务端发送第一访问请求，所述第一访问请求中包括访问认证策略；所述访问认证策略用于网络服务端从端口策略记录中确定出与所述访问认证策略匹配的端口策略，并根据所述端口策略确定所述网络终端访问的第一网络端口；

所述收发模块还用于，向所述网络服务端发送第二访问请求，所述第二访问请求用于通过所述第一网络端口从所述网络服务端获取网络服务。
一种计算机可读存储介质，其特征在于，所述存储介质存储有程序，当所述程序在计算机上运行时，使得计算机实现执行权利要求1至7或8、9中任一项所述的方法。
一种计算机设备，其特征在于，包括：

存储器，用于存储计算机程序；

处理器，用于调用所述存储器中存储的计算机程序，按照获得的程序执行如权利要求1至7或8、9任一权利要求所述的方法。