一种浏览器请求的访问权限的识别方法、识别装置及终端与流程

本发明涉及网路安全技术领域，尤指一种浏览器请求的访问权限的识别方法、识别装置及终端。

背景技术：

在错综复杂的网络环境及终端环境下，如何识别海量的浏览器请求，对网络安全有着重大意义。

目前，当用户通过终端(即客户端)向服务器(即服务端)发送浏览器请求时，服务器仅通过判断web账户密码的合法性来识别浏览器请求的访问权限，并且服务器根据浏览器请求只识别到终端的部分信息(例如ip地址)，无法得知当前终端的其它属性(例如操作系统账户等)。而这些属性由终端的操作系统制约，服务器无法从web前端编码中获取，使得服务器无法识别终端的操作者是谁，导致黑客渗透到终端主机上打开浏览器后，使用被攻击人的web账户密码，即可登录服务器进行破坏。

即针对任何一个浏览器请求，服务器对终端的认证无法做到精准地授权访问权限，换言之，服务器无法做到对终端操作系统账户，设备安全性等进行访问权限的识别。一旦不同的用户(包括非法用户、正常用户)使用同一web账户进行访问时，服务器都会认为是合法请求，从而进行回复，极大的增加了网络安全风险。如图1所示，无论设备是否异常、用户是否是正常用户，只要在终端100中使用同一个web账户访问服务器101，服务器101都会认为是合法请求，从而进行回复。

另外，服务器对终端的认证无法做到精准地授权访问权限，导致终端之间也存在网络安全风险，比如终端之间存在诸多的网络攻击，比如，数据包篡改，重放攻击，地址解析协议(addressresolutionprotocol，arp)欺骗，甚至是攻破了网关设备从而篡改web请求数据包，以达到攻击服务器的目的。如图2所示，当正常用户使用异常的终端100通过网关设备102访问服务器101时，终端100中携带的病毒木马(例如爬虫等)可以攻破网关设备102从而篡改web请求数据包，进而使得网关设备102与服务器101之间进行通信时，可以达到攻击服务器101的目的。

综上可知，现在方案中，存在服务器对终端的认证无法做到精准地授权访问权限，导致存在网络安全的问题。

技术实现要素：

本发明实施例提供一种浏览器请求的访问权限的识别方法、识别装置及终端，用以解决现在方案中存在服务器对终端的认证无法做到精准地访问权限的问题，提高网络的安全性。

第一方面，本发明实施例提供一种浏览器请求的访问权限的识别方法，改方法应用于识别装置，所述识别装置中的可信计算模块与终端中的代理模块和扩展模块通信；所述方法包括：

根据接收到的所述代理模块发送的所述终端的系统信息，计算标识所述系统信息的第一接入标识aid；

根据接收到的所述系统信息和所述终端的操作系统的会话session信息的校验值，对所述系统信息和所述session信息进行合规评估，得到评估结果；所述校验值为所述代理模块根据所述session信息和所述第一aid计算得到的；

根据所述评估结果，对所述系统信息和所述session信息进行权力标识，得到标识所述代理模块发出的浏览器请求的访问权限的权力标识信息；

根据所述浏览器请求的http/https协议的头部信息header和所述权力标识信息，识别所述浏览器请求的访问权限；其中，所述header包括由所述扩展模块插入的所述校验值、所述第一aid和所述session信息。

在一种可能的设计中，根据所述浏览器请求的http/https协议的header和所述权力标识信息，识别所述浏览器请求的访问权限，包括：

根据所述header获取所述校验值、所述第一aid和所述session信息；

根据所述第一aid获取所述系统信息；

根据所述校验值、所述系统信息、所述session信息和所述权力标识信息，识别所述浏览器请求的访问权限。

在一种可能的设计中，根据所述校验值、所述系统信息、所述session信息和所述权力标识信息，识别所述浏览器请求的访问权限，包括：

判断所述识别装置存储的各aid中是否存在与所述第一aid相同的aid；当确定所述识别装置存储的各aid中不存在与所述第一aid相同的aid时，确定所述系统信息、所述session信息不在所述各aid包含的系统信息和session信息范围内，确定所述浏览器请求不具备访问权限，重新对所述系统信息、所述session信息进行权力标识；或者，

对所述校验值进行验证；当所述校验值验证不通过时，确定所述浏览器请求不具备访问权限且存在安全隐患，拒绝所述浏览器请求；或者，

当所述校验值验证通过且所述识别装置存储的各aid中存在与所述第一aid相同的aid时，确定所述浏览器请求具备访问权限，接受所述浏览器请求。

在一种可能的设计中，所述权力标识信息表征为第一aid＝{session＝(t0)}；其中，t0表示权力大小，决定所述浏览器请求的访问权限的所在范围。

在一种可能的设计中，所述校验值为信息摘要算法md5校验值。

第二方面，本发明实施例提供一种浏览器请求的访问权限的识别方法，所述方法应用于终端，所述终端中的代理模块和扩展模块与识别装置中的可信计算模块通信；所述方法包括：

根据获取到的所述终端的操作系统的session信息和第一aid，计算得到所述终端的系统信息和所述session信息的校验值；所述第一aid为所述可信计算模块根据所述系统信息计算得到的标识所述系统信息的aid；

将所述校验值发送给所述可信计算模块，以使所述可信计算模块根据所述检验值和所述系统信息，对所述系统信息和所述session信息进行权力标识，得到标识浏览器请求的访问权限的权力标识信息；

向所述可信计算模块发送所述浏览器请求，以使所述可信计算模块根据所述浏览器请求的http/https协议的header和所述权力标识信息，识别所述浏览器请求的访问权限；其中，所述header包括由所述扩展模块插入的所述校验值、所述第一aid和所述session信息。

在一种可能的设计中，根据获取到的所述终端的操作系统的session信息和第一aid，计算得到所述终端的系统信息和所述session信息的校验值，包括：

获取所述扩展模块发送的进程标识pid；其中，所述pid为所述扩展模块在浏览器打开后初始化时所述终端当前的pid；

根据所述pid查找所述终端的操作系统的session，并根据所述session查找所述session信息；

根据所述第一aid和所述session信息，计算得到所述系统信息和所述session信息的校验值。

在一种可能的设计中，所述权力标识信息表征为第一aid＝{session＝(t0)}；其中，t0表示权力大小，决定所述浏览器请求的访问权限的所在范围。

在一种可能的设计中，所述校验值为md5校验值。

第三方面，本发明实施例提供一种识别装置，包括：可信计算模块，所述可信计算模块和终端中的代理模块和扩展模块通信；其中，所述可信计算模块用于：

根据接收到的所述代理模块发送的所述终端的系统信息，计算标识所述系统信息的第一aid；

根据接收到的所述系统信息和所述终端的操作系统的session信息的校验值，对所述系统信息和所述session信息进行合规评估，得到评估结果；所述校验值为所述代理模块根据所述session信息和所述第一aid计算得到的；

根据所述评估结果，对所述系统信息和所述session信息进行权力标识，得到标识所述代理模块发出的浏览器请求的访问权限的权力标识信息；

根据所述浏览器请求的http/https协议的header和所述权力标识信息，识别所述浏览器请求的访问权限；其中，所述header包括由所述扩展模块插入的所述校验值、所述第一aid和所述session信息。

在一种可能的设计中，所述可信计算模块具体用于：

根据所述header获取所述校验值、所述第一aid和所述session信息；

根据所述第一aid获取所述系统信息；

根据所述校验值、所述系统信息、所述session信息和所述权力标识信息，识别所述浏览器请求的访问权限。

在一种可能的设计中，所述可信计算模块具体用于：

判断所述识别装置存储的各aid中是否存在与所述第一aid相同的aid；当确定所述识别装置存储的各aid中不存在与所述第一aid相同的aid时，确定所述系统信息、所述session信息不在所述各aid包含的系统信息和session信息范围内，确定所述浏览器请求不具备访问权限，重新对所述系统信息、所述session信息进行权力标识；或者，

对所述校验值进行验证；当所述校验值验证不通过时，确定所述浏览器请求不具备访问权限且存在安全隐患，拒绝所述浏览器请求；或者，

当所述校验值验证通过且所述识别装置存储的各aid中存在与所述第一aid相同的aid时，确定所述浏览器请求具备访问权限，接受所述浏览器请求。

在一种可能的设计中，所述权力标识信息表征为第一aid＝{session＝(t0)}；其中，t0表示权力大小，决定所述浏览器请求的访问权限的所在范围。

在一种可能的设计中，所述校验值为信息摘要算法md5校验值。

第四方面，本发明实施例提供一种终端，包括：代理模块和扩展模块，所述代理模块和所述扩展模块与识别装置中的可信计算模块通信；其中，

所述代理模块，用于根据获取到的所述终端的操作系统的session信息和第一aid，计算得到所述终端的系统信息和所述session信息的校验值；所述第一aid为所述可信计算模块根据所述系统信息计算得到的标识所述系统信息的aid；将所述校验值发送给所述可信计算模块，以使所述可信计算模块根据所述检验值和所述系统信息，对所述系统信息和所述session信息进行权力标识，得到标识浏览器请求的访问权限的权力标识信息；

所述扩展模块，用于对所述代理模块发出的所述浏览器请求进行拦截，将所述校验值、所述第一aid和所述session信息插入所述浏览器请求的http/https协议的header；

所述代理模块，还用于向所述可信计算模块发送所述浏览器请求，以使所述可信计算模块根据所述header和所述权力标识信息，识别所述浏览器请求的访问权限。

在一种可能的设计中，所述扩展模块具体用于：

向所述代理模块发送进程标识pid；其中，所述pid为所述扩展模块在浏览器打开后初始化时所述终端当前的pid；

所述代理模块具体用于：

根据接收到的所述pid查找所述终端的操作系统的session，并根据所述session查找所述session信息；

根据所述第一aid和所述session信息，计算得到所述系统信息和所述session信息的校验值。

在一种可能的设计中，所述权力标识信息表征为第一aid＝{session＝(t0)}；其中，t0表示权力大小，决定所述浏览器请求的访问权限的所在范围。

在一种可能的设计中，所述校验值为md5校验值。

第五方面，本发明实施例提供一种识别装置，所述识别装置包括：至少一个处理器和存储器；其中，所述存储器用于存储一个或多个计算机程序；当所述存储器存储的一个或多个计算机程序被所述至少一个处理器执行时，使得所述识别装置能够执行上述第一方面或上述第一方面的任意一种可能的设计的方法。

第六方面，本发明实施例提供一种终端，所述终端包括：至少一个处理器和存储器；其中，所述存储器用于存储一个或多个计算机程序；当所述存储器存储的一个或多个计算机程序被所述至少一个处理器执行时，使得所述终端能够执行上述第二方面或上述第二方面的任意一种可能的设计的方法。

第七方面，本申请实施例提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，当所述计算机指令在计算机上运行时，使得所述计算机能够执行上述第一方面或上述第一方面的任意一种可能的设计的方法，或者能够执行上述第二方面或上述第二方面的任意一种可能的设计的方法。

本发明有益效果如下：

本发明实施例中，识别装置中的可信计算模块根据接收到的代理模块发送的终端的系统信息，计算标识系统信息的第一接入标识aid；根据接收到的系统信息和终端的操作系统的会话session信息的校验值，对系统信息和session信息进行合规评估，得到评估结果；校验值为终端中的代理模块根据session信息和第一aid计算得到的；根据评估结果，对系统信息和session信息进行权力标识，得到标识代理模块发出的浏览器请求的访问权限的权力标识信息；根据浏览器请求的http/https协议的头部信息header和权力标识信息，识别浏览器请求的访问权限；其中，header包括由终端中的扩展模块插入的校验值、第一aid和session信息。通过这种方式，可信计算模块可以在不借助于任何设备的前提下，可以对终端的系统信息和session信息进行合规性评估，从而对终端的操作者、系统应用、终端资产等属性进行合规性评估，进而可以精准地确定浏览器请求的访问权限，使得识别装置对终端的认证可以做到精准地授权访问权限，提高了网络的安全性。

附图说明

图1为现有的一种不同用户使用同一web账户访问服务器的示意图；

图2为现有的一种终端之间进行数据传输的过程示意图；

图3为本发明实施例提供的一种浏览器请求的访问权限的识别方法的流程示意图；

图4为本发明实施例提供的一种浏览器在初始化扩展模块时扩展模块与代理模块之间的数据交互过程的示意图；

图5为本发明实施例提供的一种识别装置的结构示意图；

图6为本发明实施例提供的一种终端的结构示意图；

图7为本发明实施例提供的一种识别装置的结构示意图；

图8为本发明实施例提供的一种终端的结构示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

附图中各部件的形状和大小不反映真实比例，目的只是示意说明本发明内容。

以下，对本发明实施例中的部分用语进行解释说明，以便于本领域技术人员理解。

(1)本发明实施例中，终端的系统信息包括终端的操作系统序列号、硬盘号等固有属性信息，还可以包括终端的操作系统账户、主机信息、软件信息、服务信息、硬件信息、浏览器信息、系统运行的状态信息，以及安全策略、账户信息、外围设备插入信息、网卡信息等信息，本发明实施例不限定。

(2)本发明实施例中，终端的操作系统的session信息，可以包括session的当前用户user、当前登录地址address，还可以包括session相关的已缓存数据、session的请求数据等，本发明实施例不限定，只要与session相关即可为session信息。

(3)本发明实施例中，代理模块(agent)为终端的主机操作系统安装的轻量代理软件，用于搜集终端的各类软、硬件信息，以及各项功能执行。

(4)本发明实施例中，扩展模块(bext)为终端中用于处理浏览器请求的扩展或插件，是嵌入到浏览器并随浏览器一起启动与工作的软件。

(5)本发明实施例中，可信计算模块为识别装置中用于根据终端的系统信息和session信息，以及不同的业务需求，对终端发出的浏览器请求进行可信度计算与识别的软件。

(6)本发明实施例中，终端可以是笔记本电脑、台式计算机、手机、平板等可以安装浏览器的设备，本发明实施例不限定。

(7)本发明实施例中，识别装置可以内嵌于或集成于web服务器、或者其他应用服务器、或者边界安全设备(比如防火墙设备，入侵检测系统设备，运营平台设备等)，等等，当然，还可以是其它设备，本发明实施例不限定。

(8)本发明实施例中，“第一”、“第二”是用于区别不同对象，而非用于描述特定顺序。此外，术语“包括”以及它们任何变形，意图在于覆盖不排他的保护。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。

由前述内容可知，在现在方案中，存在服务器对终端的认证无法做到精准地授权访问权限，导致存在网络安全的问题。为了解决该问题，本发明实施例中提供了一种浏览器请求的访问权限的识别方法。

下面具体介绍本发明实施例中终端与识别装置之间的通信过程。

示例性的，请参考图3所示，为本发明实施例提供的一种浏览器请求的访问权限的识别方法的流程示意图。其中，该方法可以应用于终端与识别装置之间的通信过程。如图3所示的方法，该方法流程包括：

s301、代理模块向可信计算模块发送终端的系统信息。

可选地，代理模块可以收集终端的系统信息，并可以将收集到的系统信息发送给可信计算模块。

需要说明的是，代理模块需要收集什么类型的系统信息，可以根据不同的业务需求进行，本发明实施例不限定。

s302、可信计算模块根据系统信息，计算终端的第一接入标识(accessidentifier，aid)，并在识别装置中保存第一aid；第一aid用于标识系统信息。

可选地，可信计算模块在接收到代理模块发送的系统信息后，可以根据系统信息，计算终端的第一aid，并在识别装置中保存第一aid。其中，终端与系统信息之间的关系描述，可以用于第一aid＝(osid，hardid)进行描述。其中，osid用于标识系统信息中的软件信息、hardid用于标识系统信息中的硬件信息。osid和hardid可以是具体的数值，也可以是一个id号，也可以是其它标识信息，本发明实施例不限定，识别装置只要根据osid和hardid可以查到终端的系统信息中的软件信息和硬件信息即可。

在本发实施例中，用于标识终端的第一aid是由可信计算模块根据终端的系统信息进行计算得到的，从而可信计算模块在获取到第一aid时，可以根据第一aid获取终端的系统信息，进而可以在后续识别代理模块发送的浏览器请求时，可以根据系统信息对浏览器的访问权限进行识别。通过这种方式，可信计算模块可以更好地从操作系统账户的合法性、终端的安全性等方面来识别浏览器的访问权限，相较于现有方案中服务器仅判断web账户密码的合法性来识别浏览器请求的访问权限，可信计算模块可以应对更多维度浏览器与服务器通信的合规场景、更细粒度的应用程序接口(applicationprogramminginterface，api)请求场景下的合规性评估，从而满足基于浏览器下的，任何浏览器请求的访问权限控制、权力划分、地址合法、用户合法等属性依据，使得识别装置对终端的认证可以做到精准地授权访问权限，提高了网络的安全性。

s303、可信计算模块向代理模块发送第一aid。

s304、代理模块获取终端的操作系统的session信息，并根据session信息和第一aid，计算得到的系统信息和session信息的校验值。

示例性的，当终端的本地用户或者远程用户登录终端的桌面系统，尝试打开浏览器时，浏览器会自动初始化扩展模块，并与可信计算模块进行通信。在这个过程中，请参考图4所示，浏览器在初始化扩展模块时扩展模块与代理模块之间的数据交互过程可以如下：

s401、扩展模块向代理模块发送终端当前的进程标识(processidentifier，pid)和浏览器请求的请求内容。

s402、代理模块根据当前的pid查找终端的操作系统的session，并根据session查找session信息。

s403、代理模块根据第一aid和session信息，计算得到系统信息和session信息的校验值。

需要说明的是，该校验值可以是信息摘要算法(message-digestalgorithm，md5)校验值，即代理模块根据md5对第一aid和session信息计算得到的校验值，当然，该校验值还可以是代理模块根据其它算法，对第一aid和session信息计算得到的校验值，本发明实施例不限定。

s404、代理模块将计算得到的校验值发送给扩展模块。

s405、扩展模块缓存接收到的校验值。

需要说明的是，上述是以浏览器在初始化扩展模块时扩展模块与代理模块之间的交互数据包括pid、session信息为例，当然，浏览器在初始化扩展模块时扩展模块与代理模块之间的交互数据还可以包括其它数据，本发明实施例不限定。

在本发明实施例中，系统信息和session信息的校验值，是代理模块根据第一aid和session信息计算得到的，使得可选计算模块可以根据该校验值验证系统信息和session信息的完整性、安全性等，从而可以在后续识别代理模块发送的浏览器请求时，可以根据系统信息和session信息对浏览器的访问权限进行识别，实现了可信计算模块对任意浏览器请求的访问权限精准识别、精确匹配、权力认证，进而可以实现对不同维度的账户信息、终端的系统信息、session信息等内容进行合规性评估，实现对更细粒度的api判定、请求认证等，使得识别装置对终端的认证可以做到精准地授权访问权限，提高了网络的安全性。

s305、代理模块向可信计算模块发送检验值。

s306、可信计算模块根据检验值和系统信息，对系统信息和session信息进行合规评估，得到评估结果；根据评估结果，对系统信息和session信息进行权力标识，得到系统信息和session信息的权力标识信息，并保存权力标识信息；权力标识信息用于标识终端发出的浏览器请求的访问权限。

可选地，可信计算模块获取代理模块发送的校验值后，可以根据检验值和系统信息，对系统信息和session信息进行合规评估，以得到系统信息和session信息的权力标识信息。其中，权力标识信息可以表征为第一aid＝{session＝(t0)}，t0表示权力大小，决定浏览器请求的访问权限的所在范围。具体地，t0可以是可信计算模块根据不同的业务需求对系统信息和session信息进行合规评估得到的；其中，对系统信息和session信息进行合规评估是指对系统信息和session信息的完整性、安全性、可信度等进行评估。

在本发明实施例中，权力标识信息是可信计算模块根据检验值和系统信息，对系统信息和session信息进行合规评估得到的，从而可信计算模块根据后续该权力标识信息识别代理模块发送的浏览器请求时，可以根据权力标识信息精准地确定浏览器的访问权限，从而可以满足在不同的终端使用场景、浏览器访问场景、网络安全场景下，浏览器请求的访问权限的控制、浏览器请求的可信来源处理，增加了更多的可信因子，保证浏览器请求的完整性，进而可以精确识别浏览器请求的发起者，发起账户，发起终端等属性，使得识别装置对终端的认证可以做到精准地授权访问权限，提高了网络的安全性。

s307、扩展模块对代理模块发出的浏览器请求进行拦截，将校验值、第一aid和session信息插入浏览器请求的http/https协议的头部信息header，并将拦截处理后的浏览器请求同步给代理模块。

示例性的，当用户在终端安装的浏览器中输入网址向识别装置发送浏览器请求时，扩展模块可以拦截浏览器请求，并可以获取系统信息、session信息和浏览器请求的http/https协议。扩展模块可以将校验值、第一aid和session信息插入浏览器请求的http/https协议的header，并将拦截处理后的浏览器请求同步给代理模块，以使可信计算模块后续接收到代理模块发送的浏览器请求时，可以根据浏览器请求的http/https协议的header，获取到终端的系统信息和session信息，使得可信计算模块在不借助于任何设备的前提下，可以对终端的系统信息和session信息(例如web账户、操作系统账户、网卡信息等)进行验证，从而对终端的操作者、系统应用、终端资产等属性进行合规性评估，进而可以精准地确定浏览器的访问权限，使得识别装置对终端的认证可以做到精准地授权访问权限，提高了网络的安全性。

s308、代理模块向可信计算模块发送浏览器请求。

s309、可信计算模块根据header和权力标识信息，识别浏览器请求的访问权限。

可选地，可信计算模块接收到代理模块发送的浏览器请求时，可信计算模块根据header获取校验值、第一aid和session信息，并可以根据第一aid获取系统信息。之后，可信计算模块可以根据校验值、系统信息、session信息和权力标识信息，识别浏览器请求的访问权限。

其中，可信计算模块根据校验值、系统信息、session信息和权力标识信息，识别浏览器请求的访问权限可以存在如下三种情况：

第一种情况，可信计算模块判断识别装置存储的各aid中是否存在与第一aid相同的aid。当确定识别装置存储的各aid中不存在与第一aid相同的aid时，可信计算模块确定系统信息、session信息不在各aid包含的系统信息和session信息范围内，确定浏览器请求不具备访问权限，重新对系统信息、session信息进行权力标识，即返回执行s301。比如，在终端第一次安装代理模块和扩展模块时，由于终端的第一aid未在识别装置中进行保存，使得识别装置查不到与终端相关的信息。所以，可信计算模块不知道代理模块发送浏览器请求时终端的系统信息，需要等到代理模块上报系统信息后，识别装置存储系统信息和第一aid的对应关系，然后，对浏览器请求的访问权限再次进行识别。

第二种情况，可信计算模块对校验值进行验证；当校验值验证不通过时，确定浏览器请求不具备访问权限且存在安全隐患，拒绝浏览器请求，结束此次浏览器与识别装置的通信过程。

第三种情况，当校验值验证通过且识别装置存储的各aid中存在与第一aid相同的aid(例如各aid中的第二aid与第一aid相同)时，可信计算模块确定浏览器请求具备访问权限，接受浏览器请求。之后，可信计算模块回复浏览器请求，完成浏览器请求对应的业务。

在本发明实施例中，可信计算模块可以根据http/https协议的header获取终端的系统信息和session信息，对浏览器请求的访问权限进行识别，使得识别装置对终端的认证可以做到精准地授权访问权限，提高了网络的安全性。

通过以上描述可知，本发明实施例中，识别装置中的可信计算模块根据接收到的代理模块发送的终端的系统信息，计算标识系统信息的第一接入标识aid；根据接收到的系统信息和终端的操作系统的会话session信息的校验值，对系统信息和session信息进行合规评估，得到评估结果；校验值为终端中的代理模块根据session信息和第一aid计算得到的；根据评估结果，对系统信息和session信息进行权力标识，得到标识代理模块发出的浏览器请求的访问权限的权力标识信息；根据浏览器请求的http/https协议的头部信息header和权力标识信息，识别浏览器请求的访问权限；其中，header包括由终端中的扩展模块插入的校验值、第一aid和session信息。通过这种方式，可信计算模块可以在不借助于任何设备的前提下，可以对终端的系统信息和session信息进行合规性评估，从而对终端的操作者、系统应用、终端资产等属性进行合规性评估，进而可以精准地确定浏览器的访问权限，使得识别装置对终端的认证可以做到精准地授权访问权限，提高了网络的安全性。

基于同一发明构思下，本发明实施例提供了一种识别装置。请参考图5所示，为本发明实施例提供的一种识别装置的结构示意图。

如图5所示，识别装置500包括：可信计算模块501，可信计算模块501和终端中的代理模块和扩展模块通信(图5中未示出)；其中，可信计算模块501用于：

根据接收到的代理模块发送的终端的系统信息，计算标识系统信息的第一aid；

根据接收到的系统信息和终端的操作系统的session信息的校验值，对系统信息和session信息进行合规评估，得到评估结果；校验值为代理模块根据session信息和第一aid计算得到的；

根据评估结果，对系统信息和session信息进行权力标识，得到标识代理模块发出的浏览器请求的访问权限的权力标识信息；

根据浏览器请求的http/https协议的header和权力标识信息，识别浏览器请求的访问权限；其中，header包括由扩展模块插入的校验值、第一aid和session信息。

在一种可能的设计中，可信计算模块501具体用于：

根据header获取校验值、第一aid和session信息；

根据第一aid获取系统信息；

根据校验值、系统信息、session信息和权力标识信息，识别浏览器请求的访问权限。

在一种可能的设计中，可信计算模块501具体用于：

判断识别装置500存储的各aid中是否存在与第一aid相同的aid；当确定识别装置500存储的各aid中不存在与第一aid相同的aid时，确定系统信息、session信息不在各aid包含的系统信息和session信息范围内，确定浏览器请求不具备访问权限，重新对系统信息、session信息进行权力标识；或者，

对校验值进行验证；当校验值验证不通过时，确定浏览器请求不具备访问权限且存在安全隐患，拒绝浏览器请求；或者，

当校验值验证通过且识别装置500存储的各aid中存在与第一aid相同的aid时，确定浏览器请求具备访问权限，接受浏览器请求。

在一种可能的设计中，权力标识信息表征为第一aid＝{session＝(t0)}；其中，t0表示权力大小，决定浏览器请求的访问权限的所在范围。

在一种可能的设计中，校验值为信息摘要算法md5校验值。

本发明实施例中的识别装置500与前述图3所示的浏览器请求的访问权限的识别方法是基于同一构思下的发明，通过前述对浏览器请求的访问权限的识别方法的详细描述，本领域技术人员可以清楚的了解本实施例中识别装置500的实施过程，所以为了说明书的简洁，在此不再赘述。

基于同一发明构思下，本发明实施例提供了一种终端。请参考图6所示，为本发明实施例提供的一种终端的结构示意图。

如图6所示，终端600包括：包括：代理模块601和扩展模块602，代理模块601和扩展模块602与识别装置中的可信计算模块(图6中未示出)通信；其中，

代理模块601，用于根据获取到的终端600的操作系统的session信息和第一aid，计算得到终端600的系统信息和session信息的校验值；第一aid为可信计算模块根据系统信息计算得到的标识系统信息的aid；将校验值发送给可信计算模块，以使可信计算模块根据检验值和系统信息，对系统信息和session信息进行权力标识，得到标识浏览器请求的访问权限的权力标识信息；

扩展模块602，用于对代理模块601发出的浏览器请求进行拦截，将校验值、第一aid和session信息插入浏览器请求的http/https协议的header；

代理模块601，还用于向可信计算模块发送浏览器请求，以使可信计算模块根据header和权力标识信息，识别浏览器请求的访问权限。

在一种可能的设计中，扩展模块602具体用于：

向代理模块601发送进程标识pid；其中，pid为扩展模块602在浏览器打开后初始化时终端600当前的pid；

代理模块601具体用于：

根据接收到的pid查找终端600的操作系统的session，并根据session查找session信息；

根据第一aid和session信息，计算得到系统信息和session信息的校验值。

在一种可能的设计中，权力标识信息表征为第一aid＝{session＝(t0)}；其中，t0表示权力大小，决定浏览器请求的访问权限的所在范围。

在一种可能的设计中，校验值为md5校验值。

本发明实施例中的终端600与前述图3所示的浏览器请求的访问权限的识别方法是基于同一构思下的发明，通过前述对浏览器请求的访问权限的识别方法的详细描述，本领域技术人员可以清楚的了解本实施例中终端600的实施过程，所以为了说明书的简洁，在此不再赘述。

基于同一发明构思下，本发明实施例提供了一种识别装置。请参考图7所示，为本发明实施例提供的一种识别装置的结构示意图。

如图7所示，识别装置700包括：

存储器701，用于存储一个或多个计算机指令；

至少一个处理器702，用于读取存储器701中的计算机指令，使得识别装置700能够实现图3所示的实施例中的全部或部分步骤。

可选地，存储器701可以包括高速随机存取存储器，还可以包括非易失存储器，例如磁盘存储器件、闪存器件或其他非易失性固态存储器件等，本发明实施例不作限定。

可选地，处理器702可以是通用的处理器(centralprocessingunit，cpu)，或asic，或fpga，也可以是一个或多个用于控制程序执行的集成电路。

在一些实施例中，存储器701和处理器702可以在同一芯片上实现，在另一些实施例中，它们也可以在独立的芯片上分别实现，本发明实施例不作限定。

基于同一发明构思下，本发明实施例提供了一种终端。请参考图8所示，为本发明实施例提供的一种终端的结构示意图。

如图8所示，终端800包括：

存储器801，用于存储一个或多个计算机指令；

至少一个处理器802，用于读取存储器801中的计算机指令，使得终端800能够实现图3所示的实施例中的全部或部分步骤。

可选地，存储器801可以包括高速随机存取存储器，还可以包括非易失存储器，例如磁盘存储器件、闪存器件或其他非易失性固态存储器件等，本发明实施例不作限定。

可选地，处理器802可以是通用的处理器(centralprocessingunit，cpu)，或asic，或fpga，也可以是一个或多个用于控制程序执行的集成电路。

在一些实施例中，存储器801和处理器802可以在同一芯片上实现，在另一些实施例中，它们也可以在独立的芯片上分别实现，本发明实施例不作限定。

基于同一发明构思下，本发明实施例提供了一种计算机可读存储介质，该计算机可读存储介质存储有计算机指令，当计算机指令被计算机执行时，使计算机执行图3所示的浏览器请求的访问权限的识别方法的步骤。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。