本发明涉及通信技术领域,尤其涉及一种终端设备的访问控制方法、装置、计算机设备和存储介质。
背景技术:
现有技术中,基于迎合商业运营等需求,终端设备在访问业务系统、读取数据或调用业务接口时,访问控制平台会对终端设备进行访问控制。例如,在访问控制平台可设置一些控制策略,访问控制平台接收到终端设备的业务访问请求时,会根据控制策略判断该业务访问是否放行。
但是,发明人研究发现,在上述访问控制方法中,访问控制平台实现的访问控制安全性较差,当攻击者、用户冒充者等非正常终端设备访问业务系统时,访问业务系统只能根据控制策略判断业务访问是否放行,无法有效对终端设备进行识别。
因此,提供一种终端设备的访问控制方法、装置、计算机设备和存储介质,以使访问控制平台能够更好的识别终端设备,成为本领域亟需解决的技术问题。
技术实现要素:
本发明的目的是提供一种终端设备的访问控制方法、装置、计算机设备和存储介质,用于解决现有技术中的上述技术问题。
一方面,为实现上述目的,本发明提供了一种终端设备的访问控制方法。
该终端设备的访问控制方法包括:接收客户端发送的终端标识认证请求,其中,终端标识认证请求包括终端设备的标识令牌和终端设备的身份信息;对标识令牌进行认证,以生成认证结果;发送携带身份信息的认证结果至访问控制平台;接收访问控制平台发送的访问信息查找请求,其中,访问信息查找请求包括身份信息;在存储的第一对应关系中查找与访问信息查找请求中的身份信息对应的访问信息,其中,第一对应关系为访问信息和身份信息的对应关系;发送查找到的访问信息至访问控制平台,以使访问控制平台根据访问信息对终端设备进行访问控制。
进一步地,标识令牌包括标识字符串和标识数字签名,标识字符串包括身份信息、与客户端协商的第一随机数和递增码,标识数字签名为利用客户端的私钥对标识字符串所做的数字签名,对标识令牌进行认证,以生成认证结果的步骤包括:利用存储的客户端的公钥验证标识数字签名,其中,客户端的公钥与客户端的私钥为密钥对;在标识数字签名验证成功时,判断标识字符串中的第一随机数和递增码,与存储的第一随机数和递增码是否匹配;当标识字符串中的第一随机数与存储的第一随机数,以及标识字符串中的递增码与存储的递增码分别对应匹配时,确定认证结果为认证成功;以及当标识字符串中的第一随机数与存储的第一随机数,和/或标识字符串中的递增码与存储的递增码不匹配时,确定认证结果为认证失败。
进一步地,终端标识认证请求中的标识令牌为通过服务端的公钥加密后的数据,在对标识令牌进行认证,以生成认证结果的步骤之前,终端设备的访问控制方法还包括:采用服务端的私钥对终端标识认证请求中的标识令牌进行解密,其中,服务端的公钥和服务端的私钥为密钥对。
进一步地,在接收客户端发送的终端标识认证请求的步骤之前,终端设备的访问控制方法还包括:接收客户端发送的标识令牌请求,其中,标识令牌请求包括身份信息和身份数字签名,其中,身份数字签名为利用客户端的私钥对身份信息所做的数字签名;利用存储的客户端的公钥验证身份数字签名;在身份数字签名验证成功时,生成第一随机数和递增码;将身份信息与第一随机数和递增码的对应关系存储为第二对应关系;以及将第一随机数和递增码发送至客户端。
进一步地,判断标识字符串中的第一随机数和递增码,与存储的第一随机数和递增码是否匹配的步骤包括:在第二对应关系中查找与标识字符串中的身份信息相对应的第一随机数和递增码;判断查找到的第一随机数与标识字符串中的第一随机数是否相同;在第二对应关系中查找与标识字符串中的身份信息相对应的第一随机数;对查找到的递增码按照预设的递增方式进行递增处理;判断递增处理后的递增码与标识字符串中的递增码是否相同。
进一步地,在对标识令牌进行认证,以生成认证结果的步骤之前,终端设备的访问控制方法还包括:接收客户端发送的终端设备认证请求;生成第二随机数发送至客户端;接收客户端发送的随机数数字签名和证书指纹;在第三对应关系中查找与证书指纹相对应的可信证书,其中,第三对应关系为证书指纹和可信证书的对应关系;根据可信证书获取客户端的公钥;利用客户端的公钥验证随机数数字签名,其中,当利用客户端的公钥验证随机数数字签名成功时,执行对标识令牌进行认证的步骤。
进一步地,在接收客户端发送的随机数数字签名和证书指纹的步骤之前,终端设备的访问控制方法还包括:接收客户端发送的可信证书申请请求,其中,可信证书申请请求包括客户端的公钥、身份信息和定制信息;根据定制信息和预定的证书下发策略确定是否可向客户端下发可信证书;若可向客户端下发可信证书,则根据客户端的公钥和身份信息生成可信证书和可信证书的证书指纹;发送可信证书和证书指纹至客户端。
一方面,为实现上述目的,本发明提供了一种终端设备的访问控制装置。
该终端设备的访问控制装置包括:第一接收模块,用于接收客户端发送的终端标识认证请求,其中,终端标识认证请求包括终端设备的标识令牌和终端设备的身份信息;第一认证模块,用于对标识令牌进行认证,以生成认证结果;第一发送模块,用于发送携带身份信息的认证结果至访问控制平台;第二接收模块,用于接收访问控制平台发送的访问信息查找请求,其中,访问信息查找请求包括身份信息;第一查找模块,用于在存储的第一对应关系中查找与访问信息查找请求中的身份信息对应的访问信息,其中,第一对应关系为访问信息和身份信息的对应关系;第二发送模块,用于发送查找到的访问信息至访问控制平台,以使访问控制平台根据访问信息对终端设备进行访问控制。
为实现上述目的,本发明还提供一种计算机设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,该处理器执行计算机程序时实现上述方法的步骤。
为实现上述目的,本发明还提供计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述方法的步骤。
本发明提供的终端设备的访问控制方法、装置、计算机设备和存储介质,客户端需要携带标识令牌和身份信息在服务端进行认证,服务端将认证结果携带身份信息发送至访问控制平台,访问控制平台在接收到终端设备的业务访问时,可根据终端设备的身份信息查找其对应的认证结果,仅当终端设备为标识令牌的认证结果为认证成功的设备,访问控制平台才会进一步查找访问信息;服务端可存储访问信息和身份信息的对应关系,接收到访问控制平台访问信息查找请求后,根据身份信息来查找访问信息,并反馈至访问控制平台,以使访问控制平台根据平台上的控制策略对访问信息进行判断,最终确定如何进行访问控制,能够提升访问控制平台对终端设备访问控制的安全性。
附图说明
图1为本发明实施例一提供的终端设备的访问控制方法的流程图;
图2为本发明实施例二提供的终端设备的访问控制方法的流程图;
图3为本发明实施例三提供的终端设备的访问控制装置的框图;以及
图4为本发明实施例四提供的计算机设备的硬件结构图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供了一种终端设备的访问控制方法、装置、计算机设备和计算机可读存储介质。在该终端设备的访问控制方法中,对客户端的标识令牌进行认证得到认证结果,将携带身份信息的认证结果发送至访问控制平台,访问控制平台在接收到终端设备的业务访问时,可根据终端设备的身份信息查找其对应的认证结果,仅当终端设备为标识令牌的认证结果为认证成功的设备,访问控制平台才会进一步查找访问信息,根据查找到的访问信息来对终端设备进行访问控制,当终端设备为标识令牌的认证结果为认证失败的设备时,访问控制平台并不做访问控制策略的判断,直接拦截访问,提升访问控制平台对终端设备访问控制的安全性。
关于本发明提供的终端设备的访问控制方法、装置、计算机设备和计算机可读存储介质的具体实施例,将在下文中详细描述。
实施例一
本发明实施例一提供了一种终端设备的访问控制方法,该终端设备的访问控制方法可以应用于如下的业务场景,具体地:该访问控制方法的执行主体服务端,该服务端通过与访问控制平台和终端设备上的客户端的交互,实现对终端设备的标识令牌的认证,以及将认证结果反馈至访问控制平台,同时,服务端可向访问控制平台提供终端设备的访问信息,访问控制平台可利用访问信息对终端设备进行访问控制。通过该访问控制方法,能够提高访问控制平台对终端设备访问控制的安全性。具体地,图1为本发明实施例一提供的终端设备的访问控制方法的流程图,如图1所示,该实施例提供的终端设备的访问控制方法包括如下的步骤s101至步骤s106。
步骤s101:接收客户端发送的终端标识认证请求。
其中,客户端在访问业务系统之前,需要先至服务端进行终端标识的认证,该终端标识认证请求包括终端设备的标识令牌和终端设备的身份信息。
可选地,终端设备的标识令牌可以为客户端根据自身的身份信息以及与服务端协商的数据生成的令牌信息;终端设备的身份信息可以为终端设备的硬件标识信息,例如,身份信息为终端设备的硬件标识码,可标识终端设备的硬件,可以由终端设备的若干硬件部分的标识信息计算生成,进一步地,根据终端设备的cpu标识、硬盘序列号和/或物理网卡的mac地址计算得到。其中,cpu标识包括信息处理器的类型、型号、制造商信息、商标信息、缓存大小和钟速度等等;硬盘序列号是指硬盘物理序列号,是指硬盘的出厂编码,具有唯一性;物理网卡的mac(mediaaccesscontrol,介质访问控制)地址是烧录在物理网卡里的硬件地址信息,是物理网卡厂家自己分配的唯一标志符。
采用cpu标识、硬盘序列号和/或物理网卡的mac地址来计算终端设备的硬件标识码,一方面,能够较好的从硬件角度标识终端设备,使得不同终端数设备具有不同的硬件标识码;另一方面,能够在终端设备发生磁盘磁道损坏、临时增加外设等临时性故障或变化时,硬件标识码不会发生变化,有利于提升标识令牌的稳定性。
步骤s102:对标识令牌进行认证,以生成认证结果。
其中,服务端根据存储的和标识令牌相关的信息,对标识令牌进行认证,当认证通过时,生成认证成功的认证结果,当认证没有通过时,生成认证失败的认证结果。
可选地,在一种实施例中,标识令牌包括标识字符串和标识数字签名,标识字符串包括身份信息、与客户端协商的第一随机数和递增码,该第一随机数和递增码具体可由客户端生成,也可由服务端生成,无论在哪一端生成,第一随机数和递增码在两端均分别存储。标识数字签名为利用客户端的私钥对标识字符串所做的数字签名。客户端在安装程序时,生成密钥对,该密钥对包括客户端公钥和客户端私钥。该步骤s102包括如下的步骤:
步骤s1021:利用存储的客户端的公钥验证标识数字签名。
客户端在与服务端通信的过程中,可将客户端的公钥发送至服务端,服务端将客户端的身份信息和公钥对应存储。在接收到终端标识认证请求时,通过终端标识认证请求中的身份信息获取到存储的客户端的公钥,然后利用客户端的公钥对终端标识认证请求中的标识字符串进行运算,得到验证签名,通过匹配验证签名与终端标识认证请求中的标识数字签名,对标识数字签名进行验证。当验证签名与标识数字签名相匹配时,说明标识数字签名验证成功,也即,在终端标识认证请求的发送过程中,标识字符串未被篡改,执行下述步骤s1022。当验证签名与标识数字签名不匹配时,说明标识数字签名验证失败,也即,在终端标识认证请求的发送过程中,标识字符串已被篡改,则不做后续处理。
步骤s1022:在标识数字签名验证成功时,判断标识字符串中的第一随机数和递增码,与存储的第一随机数和递增码是否匹配。
在标识数字签名验证成功时,服务端获取本地存储的与客户端相对应的第一随机数和递增码,然后将获取到的第一随机数和递增码与标识字符串中的第一随机数和递增码分别进行匹配。
步骤s1023:当标识字符串中的第一随机数与存储的第一随机数,以及标识字符串中的递增码与存储的递增码分别对应匹配时,确定认证结果为认证成功。
步骤s1024:当标识字符串中的第一随机数与存储的第一随机数,和/或标识字符串中的递增码与存储的递增码不匹配时,确定认证结果为认证失败。
进一步可选地,服务端在安装程序时,也生成密钥对,该密钥对包括服务端公钥和服务端私钥。客户端的安装程序可以在服务端生成,其中,将服务端公钥写入客户端的安装程序中,在客户端进行安装时,即可存储服务端公钥。终端标识认证请求中的标识令牌为通过服务端的公钥加密后的数据,在步骤s102之前,步骤s101之后,终端设备的访问控制方法还包括:采用服务端的私钥对终端标识认证请求中的标识令牌进行解密,其中,服务端的公钥和服务端的私钥为密钥对。
步骤s103:发送携带身份信息的认证结果至访问控制平台。
在得到认证结果后,将携带身份信息的认证结果发送至访问控制平台,从而在访问控制平台一端,可以通过认证结果识别可信任的终端设备,在接收到终端设备发送的业务访问请求后,先查询该终端设备对应的认证结果,查收到认证成功的认证结果后,向服务端发送访问信息查找请求。
步骤s104:接收访问控制平台发送的访问信息查找请求。
其中,访问信息为访问控制平台中使用控制策略进行判断的依据,也即,访问控制平台利用控制策略对访问信息进行判断,根据判断结果来确定是否可以访问业务系统。该访问信息可以为业务系统为终端设备下发的运营方面的信息,也可以为终端设备自身的网络环境信息、设备环境信息、设备用户信息等等环境感知信息。服务端将终端设备的身份信息和其对应的访问信息作为对应关系存储,在该处将该对应关系定义为第一对应关系。
需要说明的是,本发明中的诸如上文中的“第一对应关系”以及下文中的“第二对应关系”中的“第一”和“第二”等,仅用于概念区分,并不构成次序上的限定。
访问信息查找请求包括身份信息,因此,通过访问信息查找请求中的身份信息,即可在第一对应关系中查找的访问信息。
步骤s105:在存储的第一对应关系中查找与访问信息查找请求中的身份信息对应的访问信息。
步骤s106:发送查找到的访问信息至访问控制平台,以使访问控制平台根据访问信息对终端设备进行访问控制。
在该实施例提供的终端设备的访问控制方法中,客户端需要携带标识令牌和身份信息在服务端进行认证,服务端将认证结果携带身份信息发送至访问控制平台,访问控制平台在接收到终端设备的业务访问时,可根据终端设备的身份信息查找其对应的认证结果,仅当终端设备为标识令牌的认证结果为认证成功的设备,访问控制平台才会进一步查找访问信息;服务端可存储访问信息和身份信息的对应关系,接收到访问控制平台访问信息查找请求后,根据身份信息来查找访问信息,并反馈至访问控制平台,以使访问控制平台根据平台上的控制策略对访问信息进行判断,最终确定如何进行访问控制,能够提升访问控制平台对终端设备访问控制的安全性。
实施例二
本发明实施例二在上述实施例一的基础上,提供了一种优选的终端设备的访问控制方法,相同的技术特征和技术效果,在该实施例二中不再详细描述,细节可参考上述实施例一。具体地,图2为本发明实施例二提供的终端设备的访问控制方法的流程图,如图2所示,该实施例提供的终端设备的访问控制方法包括如下的步骤s201至步骤s208。
步骤s201:响应于客户端发送的可信证书申请请求,发送可信证书和证书指纹至客户端。
业务系统的运营人员或安全维护人员等,可在服务端设置向客户端发送可信证书的策略,当接收到客户端发送的可信证书申请请求时,根据策略确定是否向客户端发送可信证书和证书指纹。可选地,在一种实施例中,该步骤s201包括如下的步骤s2011至步骤s2014。
步骤s2011:接收客户端发送的可信证书申请请求。
其中,可信证书申请请求包括客户端的公钥、身份信息和定制信息。该定制信息为基于发送可信证书的下发策略需求的信息。
步骤s2012:根据定制信息和预定的证书下发策略确定是否可向客户端下发可信证书。
步骤s2013:若可向客户端下发可信证书,则根据客户端的公钥和身份信息生成可信证书和可信证书的证书指纹。
其中,证书指纹可以通过加密可信证书的二进制信息获得。
步骤s2014:发送可信证书和证书指纹至客户端。
将可信证书和证书指纹发送至客户端后,客户端每次运行前,可对可信证书进行验证,例如,先对证书指纹进行验证,然后通过本地存储的身份信息与可信证书中的身份信息进行验证,通过客户端的私钥对可信证书中的客户端的总要进行验证,实现对可信证书的认证。
在可信证书认证通过后,客户端完成初始化,通过下述步骤,实现向服务端的设备认证,未经过认证的设备,服务端默认为不安全设备。
步骤s202:响应于客户端发送的终端设备认证请求,对终端设备进行认证。
服务端在对客户端进行认证时,可通过可信证书的相关信息进行认证。可选地,在一种实施例中,该步骤s202包括如下的步骤s2021至步骤s2026。
步骤s2021:接收客户端发送的终端设备认证请求。
步骤s2022:生成第二随机数发送至客户端。
步骤s2023:接收客户端发送的随机数数字签名和证书指纹。
其中,该随机数数字签名可以为客户端利用客户端的私钥对第二随机数进行的数字签名。
步骤s2024:在第三对应关系中查找与证书指纹相对应的可信证书。
其中,服务端在通过上述步骤s2013生成可信证书和证书指纹时,将证书指纹和可信证书的对应关系进行存储,该处将该对应关系定义为第三对应关系。
步骤s2025:根据可信证书获取客户端的公钥。
步骤s2026:利用客户端的公钥验证随机数数字签名。
其中,可利用客户端的公钥对第二随机数进行运算,将运算结果与随机数数字签名进行比对,以验证随机数数字签名。当利用客户端的公钥验证随机数数字签名成功时,说明终端设备认证成功。
为了终端设备中的应用向业务系统发送业务请求时,能够使服务端先对标识令牌进行认证,在终端设备认证成功后,客户端向服务端请求标识令牌,也即执行下述步骤s203。
步骤s203:响应于客户端发送的标识令牌请求,将第一随机数和递增码发送至客户端。
服务端接收到客户端发送的标识令牌请求,生成第一随机数和递增码发送至客户端,客户端在接收到第一随机数和递增码时,可根据第一随机数和递增码,以及本地存储的其他信息,生成标识令牌。可选地,在一种实施例中,该步骤s203包括如下的步骤s2031至步骤s2035。
步骤s2031:接收客户端发送的标识令牌请求.
其中,标识令牌请求包括身份信息和身份数字签名,其中,身份数字签名为利用客户端的私钥对身份信息所做的数字签名。
步骤s2032:利用存储的客户端的公钥验证身份数字签名。
步骤s2033:在身份数字签名验证成功时,生成第一随机数和递增码。
步骤s2034:将身份信息与第一随机数和递增码的对应关系存储为第二对应关系。
步骤s2035:将第一随机数和递增码发送至客户端。
客户端在接收到第一随机数和递增码后,可生成标识令牌,进而可向服务端发送终端标识认证请求,也即执行下述步骤s204。
步骤s204:响应于客户端发送的终端标识认证请求,对标识令牌进行认证,以生成认证结果。
其中,终端标识认证请求包括终端设备的标识令牌和终端设备的身份信息。标识令牌包括标识字符串和标识数字签名,标识字符串包括身份信息、与客户端协商的第一随机数和递增码,标识数字签名为利用客户端的私钥对标识字符串所做的数字签名。可选地,在一种实施例中,该步骤s204包括如下的步骤s2041至步骤s2048。
步骤s2041:利用存储的客户端的公钥验证标识数字签名。
步骤s2042:在标识数字签名验证成功时,在第二对应关系中查找与标识字符串中的身份信息相对应的第一随机数和递增码。
步骤s2043:判断查找到的第一随机数与标识字符串中的第一随机数是否相同。
步骤s2044:在第二对应关系中查找与标识字符串中的身份信息相对应的第一随机数。
步骤s2045:对查找到的递增码按照预设的递增方式进行递增处理。
步骤s2046:判断递增处理后的递增码与标识字符串中的递增码是否相同。
步骤s2047:当标识字符串中的第一随机数与存储的第一随机数,以及标识字符串中的递增码与存储的递增码分别对应匹配时,确定认证结果为认证成功。
步骤s2048:当标识字符串中的第一随机数与存储的第一随机数,和/或标识字符串中的递增码与存储的递增码不匹配时,确定认证结果为认证失败。
步骤s205:发送携带身份信息的认证结果至访问控制平台。
步骤s206:接收访问控制平台发送的访问信息查找请求。
其中,访问信息查找请求包括身份信息。
步骤s207:在存储的第一对应关系中查找与访问信息查找请求中的身份信息对应的访问信息。
其中,第一对应关系为访问信息和身份信息的对应关系。
步骤s208:发送查找到的访问信息至访问控制平台,以使访问控制平台根据访问信息对终端设备进行访问控制。
在该实施例提供的终端设备的访问控制方法中,服务端向客户端下发可信证书,客户端在每次运行时对可信证书进行验证,服务端在向客户端下发标识令牌时,先对终端设备进行认证;下发的标识令牌信息包括随机数和递增码的信息,以在对标识令牌进行认证时,能够利用随机数和递增码进行认证,因而,能够通过各个验证和认证环节,提升终端设备的可靠性保证,进一步提升访问控制平台访问控制的安全性。
实施例三
对应于上述实施例一和实施例二,本发明实施例三提供了一种终端设备的访问控制装置,可以为设置于服务器设备上的服务端的组成部分,该访问控制装置与上述实施例一和实施例二提供的终端设备的访问控制方法相对应,相应的技术特征和技术效果在本实施例中不再详述,相关之处可参考上述实施例一和实施例二。
图3为本发明实施例三提供的终端设备的访问控制装置的框图,如图3所示,该装置包括第一接收模块301、第一认证模块302、第一发送模块303、第二接收模块304、第一查找模块305和第二发送模块306。
其中,第一接收模块301用于接收客户端发送的终端标识认证请求,其中,终端标识认证请求包括终端设备的标识令牌和终端设备的身份信息;第一认证模块302用于对标识令牌进行认证,以生成认证结果;第一发送模块303用于发送携带身份信息的认证结果至访问控制平台;第二接收模块304用于接收访问控制平台发送的访问信息查找请求,其中,访问信息查找请求包括身份信息;第一查找模块305用于在存储的第一对应关系中查找与访问信息查找请求中的身份信息对应的访问信息,其中,第一对应关系为访问信息和身份信息的对应关系;第二发送模块306用于发送查找到的访问信息至访问控制平台,以使访问控制平台根据访问信息对终端设备进行访问控制。
可选地,在一种实施例中,标识令牌包括标识字符串和标识数字签名,标识字符串包括身份信息、与客户端协商的第一随机数和递增码,标识数字签名为利用客户端的私钥对标识字符串所做的数字签名,第一认证模块302包括:标识数字签名验证单元、标识字符串判断单元以及认证结果生成单元。
其中,标识数字签名验证单元用于利用存储的客户端的公钥验证标识数字签名,其中,客户端的公钥与客户端的私钥为密钥对。标识字符串判断单元用于在标识数字签名验证成功时,判断标识字符串中的第一随机数和递增码,与存储的第一随机数和递增码是否匹配;认证结果生成单元用于当标识字符串中的第一随机数与存储的第一随机数,以及标识字符串中的递增码与存储的递增码分别对应匹配时,确定认证结果为认证成功,当标识字符串中的第一随机数与存储的第一随机数,和/或标识字符串中的递增码与存储的递增码不匹配时,确定认证结果为认证失败。
可选地,在一种实施例中,终端标识认证请求中的标识令牌为通过服务端的公钥加密后的数据,终端设备的访问控制装置还包括解密模块,用于在第一认证模块302对标识令牌进行认证,以生成认证结果之前,采用服务端的私钥对终端标识认证请求中的标识令牌进行解密,其中,服务端的公钥和服务端的私钥为密钥对。
可选地,在一种实施例中,终端设备的访问控制装置还包括第一响应模块,用于在第一认证模块302对标识令牌进行认证,以生成认证结果之前,响应于客户端发送的标识令牌请求,将第一随机数和递增码发送至客户端。具体地,第一响应模块包括标识令牌请求接收单元、身份数字签名验证单元、随机数和递增码生成单元、随机数和递增码存储单元和随机数和递增码发送单元。
其中,标识令牌请求接收单元用于接收客户端发送的标识令牌请求,其中,标识令牌请求包括身份信息和身份数字签名,其中,身份数字签名为利用客户端的私钥对身份信息所做的数字签名。身份数字签名验证单元用于利用存储的客户端的公钥验证身份数字签名。随机数和递增码生成单元用于在身份数字签名验证成功时,生成第一随机数和递增码。随机数和递增码存储单元用于将身份信息与第一随机数和递增码的对应关系存储为第二对应关系。随机数和递增码发送单元用于将第一随机数和递增码发送至客户端。
可选地,在一种实施例中,标识字符串判断单元在判断标识字符串中的第一随机数和递增码,与存储的第一随机数和递增码是否匹配时,具体执行以下步骤:在第二对应关系中查找与标识字符串中的身份信息相对应的第一随机数和递增码;判断查找到的第一随机数与标识字符串中的第一随机数是否相同;在第二对应关系中查找与标识字符串中的身份信息相对应的第一随机数;对查找到的递增码按照预设的递增方式进行递增处理;判断递增处理后的递增码与标识字符串中的递增码是否相同。
可选地,在一种实施例中,终端设备的访问控制装置还包括第二响应模块,用于在第一认证模块302对标识令牌进行认证,以生成认证结果之前,响应于客户端发送的终端设备认证请求,对终端设备进行认证。具体地,第二响应模块包括终端设备认证请求接收单元、第二随机数生成和发送单元、证书指纹接收单元、可信证书查找单元、公钥获取单元和数字签名验证单元。
其中,终端设备认证请求接收单元用于接收客户端发送的终端设备认证请求;第二随机数生成和发送单元用于生成第二随机数发送至客户端;证书指纹接收单元用于接收客户端发送的随机数数字签名和证书指纹;可信证书查找单元用于在第三对应关系中查找与证书指纹相对应的可信证书,其中,第三对应关系为证书指纹和可信证书的对应关系;公钥获取单元用于根据可信证书获取客户端的公钥;数字签名验证单元用于利用客户端的公钥验证随机数数字签名,其中,当利用客户端的公钥验证随机数数字签名成功时,第一认证模块302执行对标识令牌进行认证的步骤。
可选地,在一种实施例中,终端设备的访问控制装置还包括第三响应模块,用于在证书指纹接收单元接收客户端发送的随机数数字签名和证书指纹之前,响应于客户端发送的可信证书申请请求,发送可信证书和证书指纹至客户端。具体地,第三响应模块包括可信证书申请请求接收单元、判断单元、可信证书生成单元和可信证书发送单元。
可信证书申请请求接收单元用于接收客户端发送的可信证书申请请求,其中,可信证书申请请求包括客户端的公钥、身份信息和定制信息;判断单元用于根据定制信息和预定的证书下发策略确定是否可向客户端下发可信证书;若可向客户端下发可信证书,可信证书生成单元用于根据客户端的公钥和身份信息生成可信证书和可信证书的证书指纹;可信证书发送单元用于发送可信证书和证书指纹至客户端。
实施例四
本实施例四还提供一种计算机设备,如可以执行程序的智能手机、平板电脑、笔记本电脑、台式计算机、机架式服务器、刀片式服务器、塔式服务器或机柜式服务器(包括独立的服务器,或者多个服务器所组成的服务器集群)等。如图4所示,本实施例的计算机设备01至少包括但不限于:可通过系统总线相互通信连接的存储器011、处理器012,如图3所示。需要指出的是,图4仅示出了具有组件存储器011和处理器012的计算机设备01,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
本实施例中,存储器011(即可读存储介质)包括闪存、硬盘、多媒体卡、卡型存储器(例如,sd或dx存储器等)、随机访问存储器(ram)、静态随机访问存储器(sram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、可编程只读存储器(prom)、磁性存储器、磁盘、光盘等。在一些实施例中,存储器011可以是计算机设备01的内部存储单元,例如该计算机设备01的硬盘或内存。在另一些实施例中,存储器011也可以是计算机设备01的外部存储设备,例如该计算机设备01上配备的插接式硬盘,智能存储卡(smartmediacard,smc),安全数字(securedigital,sd)卡,闪存卡(flashcard)等。当然,存储器011还可以既包括计算机设备01的内部存储单元也包括其外部存储设备。本实施例中,存储器011通常用于存储安装于计算机设备01的操作系统和各类应用软件,例如实施例一的终端设备的访问控制方法的程序代码等。此外,存储器011还可以用于暂时地存储已经输出或者将要输出的各类数据。
处理器012在一些实施例中可以是中央处理器(centralprocessingunit,cpu)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器012通常用于控制计算机设备01的总体操作。本实施例中,处理器012用于运行存储器011中存储的程序代码或者处理数据,例如终端设备的访问控制方法等。
实施例五
本实施例五还提供一种计算机可读存储介质,如闪存、硬盘、多媒体卡、卡型存储器(例如,sd或dx存储器等)、随机访问存储器(ram)、静态随机访问存储器(sram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、可编程只读存储器(prom)、磁性存储器、磁盘、光盘、服务器、app应用商城等等,其上存储有计算机程序,程序被处理器执行时实现相应功能。本实施例的计算机可读存储介质用于存储终端设备的访问控制方法,被处理器执行时实现实施例一的终端设备的访问控制方法。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。