云环境下的联网认证方法、计算机设备及存储介质与流程

1.本技术涉及网络安全技术领域，尤其涉及一种云环境下的联网认证方法、计算机设备及存储介质。


背景技术：

2.传统的联网控制主要是通过vlans(virtual local area network，虚拟局域网)、vxlan(virtual extensible local area network，网络虚拟化技术)、mpls(multi-protocol label switching，多协议标签交换)等技术限制网络的可达。在具体技术实现方面大多基于工作负载及进程的ip(internet protocol，网际互连协议)和port(计算机端口)通过规则化的描述和匹配实现。
3.但是，在云环境中工作负载是动态且可弹性水平扩展的，具有高弹性和高可用性，即云环境工作负载下的ip地址通常是不固定，因此通过进程的ip和port无法实现云环境下的联网认证。


技术实现要素：

4.本技术实施例提供一种云环境下的联网认证方法、计算机设备及存储介质，用于保证云环境下的联网认证的准确率。
5.本发明实施例提供一种云环境下的联网认证方法，该方法应用于服务器，方法包括：
6.在终端设备在向服务器发送用户数据包协议udp访问数据包之前，接收所述终端设备发送的敲门数据包，所述敲门数据包中包括终端设备中的服务请求进程标识；
7.确定预置策略表中是否存在允许所述服务请求进程标识访问的服务提供进程标识，所述预置策略表中的服务请求进程标识与服务提供进程标识之间的允许或拒绝访问的对应关系是由管理中心下发的；
8.若确定存在允许所述服务请求进程标识访问的服务提供进程标识，则认证通过，放行所述终端设备发送的udp访问数据包。
9.本发明实施例提供一种云环境下的联网认证方法，该方法应用于终端设备，方法包括：
10.在向服务器发送用户数据包协议udp访问数据包之前，根据服务请求进程标识构造敲门数据包；
11.向服务器发送敲门数据包，以使得所述服务器确定预置策略表中是否存在允许所述服务请求进程标识访问的服务提供进程标识，所述预置策略表中的服务请求进程标识与服务提供进程标识之间的允许或拒绝访问的对应关系是由管理中心下发的；若确定存在允许所述服务请求进程标识访问的服务提供进程标识，则认证通过，放行所述终端设备发送的udp访问数据包。
12.本发明实施例提供另一种云环境下的联网认证方法，该方法应用于管理中心，包
括：
13.根据终端设备发送的工作负载信息、进程信息计算所述终端设备对应的工作负载id、请求服务的进程id、以及属性标签，以及根据服务器发送的工作负载信息、进程信息计算服务器对应的工作负载id、请求服务的进程id、以及属性标签；
14.根据所述终端设备对应的工作负载id、请求服务的进程id、以及属性标签计算服务请求进程标识；根据所述服务器对应的工作负载id、请求服务的进程id、以及属性标签计算服务提供进程标识；
15.根据访问策略确定预置策略表，所述预置策略表中存储有服务请求进程标识与服务提供进程标识之间的允许或拒绝访问的对应关系；
16.将所述终端设备对应的工作负载id、请求服务的进程id、以及属性标签、所述预置策略表发送给所述终端设备，将所述服务器对应的工作负载id、请求服务的进程id、以及属性标签、所述预置策略发送给所述服务器。
17.本发明实施例提供一种云环境下的联网认证系统，该所述系统包括：管理中心、服务器和终端设备；
18.所述管理中心，用于根据终端设备发送的工作负载信息、进程信息计算所述终端设备对应的工作负载id、请求服务的进程id、以及属性标签，以及根据服务器发送的工作负载信息、进程信息计算服务器对应的工作负载id、请求服务的进程id、以及属性标签；
19.所述管理中心，用于将所述终端设备对应的工作负载id、请求服务的进程id、以及属性标签、预置策略表发送给所述终端设备，将所述服务器对应的工作负载id、请求服务的进程id、以及属性标签、预置策略发送给所述服务器；所述预置策略表中存储有服务请求进程标识与服务提供进程标识之间的允许或拒绝访问的对应关系；
20.所述终端设备，用于在与服务器建立传输控制协议tcp连接请求的过程中，向所述服务器发送敲门数据包，所述敲门数据包中包括终端设备中的服务请求进程标识；
21.所述服务器，用于确定预置策略表中是否存在允许所述服务请求进程标识访问的服务提供进程标识，若确定存在允许所述服务请求进程标识访问的服务提供进程标识，认证通过，放行所述终端设备发送的udp访问数据包。
22.本发明实施例提供一种服务器，所述服务器包括：
23.接收模块，用于在终端设备在向服务器发送用户数据包协议udp访问数据包之前，接收所述终端设备发送的敲门数据包，所述敲门数据包中包括终端设备中的服务请求进程标识；
24.确定模块，用于确定预置策略表中是否存在允许所述服务请求进程标识访问的服务提供进程标识，所述预置策略表中的服务请求进程标识与服务提供进程标识之间的允许或拒绝访问的对应关系是由管理中心下发的；
25.放行模块，若确定存在允许所述服务请求进程标识访问的服务提供进程标识，则认证通过，放行所述终端设备发送的udp访问数据包。
26.本发明实施例提供一种终端设备，所述终端设备包括：
27.构造模块，用于在向服务器发送用户数据包协议udp访问数据包之前，根据服务请求进程标识构造敲门数据包；
28.发送模块，用于向服务器发送敲门数据包，以使得所述服务器确定预置策略表中
是否存在允许所述服务请求进程标识访问的服务提供进程标识，所述预置策略表中的服务请求进程标识与服务提供进程标识之间的允许或拒绝访问的对应关系是由管理中心下发的；若确定存在允许所述服务请求进程标识访问的服务提供进程标识，则认证通过，放行所述终端设备发送的udp访问数据包。
29.本发明实施例提供一种管理服务器，所述管理服务器包括：
30.计算模块，用于根据终端设备发送的工作负载信息、进程信息计算所述终端设备对应的工作负载id、请求服务的进程id、以及属性标签，以及根据服务器发送的工作负载信息、进程信息计算服务器对应的工作负载id、请求服务的进程id、以及属性标签；
31.计算模块，还用于根据所述终端设备对应的工作负载id、请求服务的进程id、以及属性标签计算服务请求进程标识；根据所述服务器对应的工作负载id、请求服务的进程id、以及属性标签计算服务提供进程标识；
32.确定模块，用于根据访问策略确定预置策略表，所述预置策略表中存储有服务请求进程标识与服务提供进程标识之间的允许或拒绝访问的对应关系；
33.发送模块，用于将所述终端设备对应的工作负载id、请求服务的进程id、以及属性标签、所述预置策略表发送给所述终端设备，将所述服务器对应的工作负载id、请求服务的进程id、以及属性标签、所述预置策略发送给所述服务器。
34.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述云环境下的联网认证方法。
35.本发明提供一种云环境下的联网认证方法、计算机设备及存储介质，在终端设备在向服务器发送用户数据包协议udp访问数据包之前，接收终端设备发送的敲门数据包，该敲门数据包中包括终端设备中的服务请求进程标识；确定预置策略表中是否存在允许服务请求进程标识访问的服务提供进程标识，若确定存在允许所述服务请求进程标识访问的服务提供进程标识，则认证通过，放行终端设备发送的udp访问数据包。由于预置策略表中的服务请求进程标识与服务提供进程标识之间的允许或拒绝访问的对应关系是由管理中心下发的，因此通过该预置策略表可对发起udp访问的终端设备进行认证，即本发明通过服务请求进程标识对终端设备发起的联网请求进行认证，相对于现有通过ip和port实现的联网认证，本技术可提高云环境下的联网认证的准确率。
附图说明
36.图1为本技术提供的一种云环境下的联网认证系统架构图；
37.图2为本技术提供的一种云环境下的联网认证方法流程图；
38.图3为本技术提供的另一种云环境下的联网认证方法流程图；
39.图4为本技术提供的又一种云环境下的联网认证方法流程图；
40.图5为本技术提供的服务器的结构示意图；
41.图6为本技术提供的终端设备的结构示意图；
42.图7为本技术提供的管理服务器的结构示意图；
43.图8为本技术提供的计算机设备的一示意图。
具体实施方式
44.为了更好的理解上述技术方案，下面通过附图以及具体实施例对本技术实施例的技术方案做详细的说明，应当理解本技术实施例以及实施例中的具体特征是对本技术实施例技术方案的详细的说明，而不是对本技术技术方案的限定，在不冲突的情况下，本技术实施例以及实施例中的技术特征可以相互组合。
45.下面将结合附图1对本技术实施例的实施方式进行详细描述。
46.本技术实施例提供的方案可以应用于图1所示的云环境下的联网认证系统10中。如图1所示，该云环境下的联网认证系统10可以包括：管理中心11和多个终端设备12以及至少一个服务器13。
47.其中，所述管理中心11，用于根据终端设备12发送的工作负载信息、进程信息计算所述终端设备12对应的工作负载id、请求服务的进程id、以及属性标签，以及根据服务器发送的工作负载信息、进程信息计算服务器对应的工作负载id、请求服务的进程id、以及属性标签；
48.所述管理中心11，用于将所述终端设备12对应的工作负载id、请求服务的进程id、以及属性标签、预置策略表发送给所述终端设备12，将所述服务器对应的工作负载id、请求服务的进程id、以及属性标签、预置策略发送给所述服务器；所述预置策略表中存储有服务请求进程标识与服务提供进程标识之间的允许或拒绝访问的对应关系；
49.所述终端设备12，用于在终端设备在向服务器发送udp(user datagram protocol，用户数据包协议)访问数据包之前，接收所述终端设备发送的敲门数据包，所述敲门数据包中包括终端设备中的服务请求进程标识；
50.所述服务器13，用于确定预置策略表中是否存在允许所述服务请求进程标识访问的服务提供进程标识，若确定存在允许所述服务请求进程标识访问的服务提供进程标识，认证通过，放行所述终端设备12发送的udp访问数据包。
51.进一步的，所述服务器13，还用于在确定预置策略表中是否存在允许所述服务请求进程标识访问的服务提供进程标识后，缓存所述敲门数据包对应的认证结果。以便于服务器在收到终端设备发送的udp访问数据包之后，根据缓存中的认证结果，对udp访问数据包进行相应的处理，即若认证通过，则放行udp访问数据包；若认证不通过，则拒绝udp访问数据包。
52.其中，该终端设备12可以运行在手机、平板电脑、笔记本电脑、超级移动个人计算机(uitra-mobile personal computer，umpc)、上网本、个人数字助理(personal digital assistant，pda)等电子设备上。作为一种实施例，本技术的终端设备12可以运行在智能手机上。
53.请参阅图2，为本发明实施例提供的一种云环境下的联网认证方法，该方法以终端设备与服务器交互的角度进行说明，具体包括步骤s201-步骤s206：
54.步骤s201，在终端设备在向服务器发送用户数据包协议udp访问数据包之前，根据服务请求进程标识构造敲门数据包。
55.其中，敲门数据包中包括终端设备中的服务请求进程标识。当终端设备工作负载上的进程发起udp协议访问时，拦截发出的udp访问数据包，终端设备获取访问进程的信息、当前工作负载的身份id、标签等信息，计算生成服务请求进程标识，终端设备构造敲门数据
包，该敲门数据包包含服务请求进程标识、原始访问udp包标识值、时间戳。之后将将敲门数据包发送给udp服务器，使得服务器根据该敲门数据包对终端设备发起的联网请求进行认证。
56.在本发明提供的一个可选实施例中，在根据服务请求进程标识构造敲门数据包之前，所述方法还包括：根据所述终端设备对应的工作负载id、请求服务的进程id、以及属性标签计算所述服务请求进程标识。
57.需要说明的是，本实施例中的服务请求进程标识用于唯一标识所在终端设备中对应的发起的进程，其涵盖了访问进程的信息、当前工作负载(所在终端设备的硬件资产信息)的信息、属性标签等信息。其中，当前工作负载为运行应用(软件进程)的终端设备的硬件资产信息，如终端设备所使用的网卡、cpu、硬盘等硬件资产信息；属性标签是对终端设备的画像描述，本实施例可通过几个维度来描述终端设备。包括：终端设备所处的位置、终端设备所应用的服务器、终端设备的使用环境。比如：描述计算a的标签，位置＝北京；环境＝研发中心；应用＝web服务器。
58.在本发明提供的一个可选实施例中，根据终端设备对应的工作负载id、请求服务的进程id、以及属性标签计算服务请求进程标识，即可以根据终端设备对应的工作负载id、请求服务的进程id、以及属性标签生成一个摘要信息或者生成一个md5值，然后将生成的摘要信息或md5值确定为服务请求进程标识。需要说明的是，终端设备计算服务请求进程标识同管理中心计算服务请求进程标识的方式相同。
59.步骤s202，终端设备向服务器发送敲门数据包。
60.步骤s203，服务器接收终端设备发送的敲门数据包。
61.步骤s204，服务器确定预置策略表中是否存在允许服务请求进程标识访问的服务提供进程标识，所述预置策略表中的服务请求进程标识与服务提供进程标识之间的允许或拒绝访问的对应关系是由管理中心下发的。
62.需要说明的是，该管理中心根据终端设备发送的工作负载信息、进程信息计算终端设备对应的工作负载id、请求服务的进程id、以及属性标签，以及根据服务器发送的工作负载信息、进程信息计算服务器对应的工作负载id、请求服务的进程id、以及属性标签。管理中心根据终端设备对应的工作负载id、请求服务的进程id、以及属性标签计算服务请求进程标识；根据服务器对应的工作负载id、请求服务的进程id、以及属性标签计算服务提供进程标识；根据访问策略确定预置策略表，预置策略表中存储有服务请求进程标识与服务提供进程标识之间的允许或拒绝访问的对应关系。
63.例如，终端设备a上的aaa进程去访问终端设备b上的bbb进程，此时，终端设备b上的bbb进程是服务提供进程，终端设备a上的aaa进程是服务请求进程。
64.步骤s205，若确定存在允许服务请求进程标识访问的服务提供进程标识，认证通过，放行所述终端设备发送的udp访问数据包。
65.步骤s206，若确定不存在允许所述服务请求进程标识访问的服务提供进程标识，则认证失败，拒绝所述终端设备发送的udp访问数据包。
66.本实施例提供一种云环境下的联网认证方法，在终端设备在向服务器发送用户数据包协议udp访问数据包之前，接收终端设备发送的敲门数据包，该敲门数据包中包括终端设备中的服务请求进程标识；确定预置策略表中是否存在允许服务请求进程标识访问的服
务提供进程标识，若确定存在允许所述服务请求进程标识访问的服务提供进程标识，则认证通过，放行终端设备发送的udp访问数据包。由于预置策略表中的服务请求进程标识与服务提供进程标识之间的允许或拒绝访问的对应关系是由管理中心下发的，因此通过该预置策略表可对发起udp访问的终端设备进行认证，即本发明通过服务请求进程标识对终端设备发起的联网请求进行认证，相对于现有通过ip和port实现的联网认证，本技术可提高云环境下的联网认证的准确率。
67.进一步的，请参阅图3，在确定存在允许所述服务请求进程标识访问的服务提供进程标识之后，所述方法还包括：
68.步骤s207，服务器将包含允许服务请求进程标识访问的服务提供进程标识的应答数据包发送给终端设备。
69.步骤s208，终端设备认证服务提供进程标识是否合法。
70.步骤s209，若终端设备认证服务提供进程标识合法，向服务器发送用户数据包协议udp访问数据包。
71.相应的，步骤s205，若确定存在允许所述服务请求进程标识访问的服务提供进程标识，则认证通过，放行所述终端设备发送的udp访问数据包，包括：若确定存在允许所述服务请求进程标识访问的服务提供进程标识，以及认证信息为终端设备认证所述服务提供进程标识合法，则认证通过，放行所述终端设备发送的udp访问数据包。
72.本实施例提供一种云环境下的联网认证方法，在终端设备与服务器建立udp连接的过程中，服务器获取终端设备的服务请求进程标识，然后基于预置策略表对服务请求进程标识进行验证，若确定存在允许所述服务请求进程标识访问的服务提供进程标识，以及认证信息为终端设备认证服务提供进程标识合法，则认证通过，放行终端设备发送的udp访问数据包。由于本实施例中的服务请求进程标识终端设备是根据终端设备对应的工作负载id、请求服务的进程id、以及属性标签生成的，因此在云环境下，终端设备与服务器之间的进程联网控制，不再依赖ip和端口，可直接将服务请求进程标识作为身份认证的标识，实现终端设备与服务器之间的联网认证。另外，利用tcp协议的三次握手阶段完成认证，不影响连接建立后数据的传输，且本实施例可实现进程级别的细粒度网络微隔离。
73.请参阅图4，为本发明实施例提供的一种云环境下的联网认证方法，该方法以终端设备、服务器与管理中心交互的角度进行说明，具体包括步骤s401-步骤s405：
74.步骤s401，终端设备向管理中心发送其工作负载信息、进程信息，服务器向管理中心发送其工作负载信息、进程信息。
75.在本实施例中，具体可以通过在终端设备或服务器中安装的代理获取工作负载信息和进程信息。如通过安装的代理收集终端设备中的网卡、cpu、硬盘等硬件资产信息，会收集终端设备中应用(软件进程)联网的源ip端口、目的ip、端口、联网进程名等信息，本实施例不做具体限定。
76.终端设备通过安装的代理上报所在终端设备的资产信息到管理中心，管理中心根据上报的数据计算生成终端设备对应的工作负载id，属性标签。例如，终端设备a的代理上报资产数据给管理中心，管理中心计算完成后，再将终端设备对应的工作负载id，属性标签同步给终端设备a。
77.步骤s402，管理中心根据终端设备发送的工作负载信息、进程信息计算所述终端
设备对应的工作负载id、请求服务的进程id、以及属性标签，以及根据服务器发送的工作负载信息、进程信息计算服务器对应的工作负载id、请求服务的进程id、以及属性标签。
78.步骤s403，管理中心根据所述终端设备对应的工作负载id、请求服务的进程id、以及属性标签计算服务请求进程标识；根据所述服务器对应的工作负载id、请求服务的进程id、以及属性标签计算服务提供进程标识。
79.步骤s404，管理中心根据访问策略确定预置策略表，所述预置策略表中存储有服务请求进程标识与服务提供进程标识之间的允许或拒绝访问的对应关系。
80.管理中心可以获取到所有安装代理的终端设备或服务器之间进程的联网关系，比如终端设备a的aaa进程通过tcp协议访问服务器b的bbb进程，可以设置这个bbb服务进程允许或者禁止aaa这个进程访问，这个设置会计算成访问策略，下发到和这个策略相关联的2个工作负载，即终端设备a和服务器b。
81.控制策略会明确服务提供进程允许或禁止具体的哪个访问进程访问。例如：指定服务器b的bbb这个服务进程(bbb身份id)，允许或禁止指定的终端设备a的aaa这个进程(aaa身份id)访问。另外，若不在策略描述的新的进程访问默认是拒绝的。
82.步骤s405，管理中心将终端设备对应的工作负载id、请求服务的进程id、以及属性标签、预置策略表发送给终端设备，将服务器对应的工作负载id、请求服务的进程id、以及属性标签、预置策略发送给服务器。
83.步骤s406，终端设备接收对应的工作负载id、请求服务的进程id、以及属性标签、预置策略表，服务器接收对应的工作负载id、请求服务的进程id、以及属性标签、预置策略表。
84.本实施例提供一种云环境下的联网认证方法，由管理中心根据终端设备对应的工作负载id、请求服务的进程id、以及属性标签计算服务请求进程标识，根据服务器对应的工作负载id、请求服务的进程id、以及属性标签计算服务提供进程标识，之后根据访问策略确定预置策略表，预置策略表中存储有服务请求进程标识与服务提供进程标识之间的允许或拒绝访问的对应关系，之后将预置策略表下发到对应的终端设备和服务器，使得终端设备和服务器根据该预置策略表实现进程级别的细粒度网络的联网认证。
85.应理解，上述实施例中各步骤的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。
86.在一实施例中，提供一种服务器，该服务器与上述实施例中云环境下的联网认证方法一一对应。如图5所示，所述服务器各功能模块详细说明如下：
87.接收模块51，用于在终端设备在向服务器发送用户数据包协议udp访问数据包之前，接收所述终端设备发送的敲门数据包，所述敲门数据包中包括终端设备中的服务请求进程标识；
88.确定模块52，用于确定预置策略表中是否存在允许所述服务请求进程标识访问的服务提供进程标识，所述预置策略表中的服务请求进程标识与服务提供进程标识之间的允许或拒绝访问的对应关系是由管理中心下发的；
89.放行模块53，若确定存在允许所述服务请求进程标识访问的服务提供进程标识，则认证通过，放行所述终端设备发送的udp访问数据包。
90.在一个可选的实施例中，服务器还包括：拒绝模块54，用于若确定不存在允许所述服务请求进程标识访问的服务提供进程标识，则认证失败，拒绝所述终端设备发送的udp访问数据包。
91.在一个可选的实施例中，所述服务请求进程标识是根据所述终端设备对应的工作负载id、请求服务的进程id、以及属性标签计算得到的；所述服务提供进程标识是根据所述服务器对应的工作负载id、请求服务的进程id、以及属性标签计算得到的，其中，所述终端设备对应的工作负载id、请求服务的进程id、以及属性标签，所述服务器对应的工作负载id、请求服务的进程id、以及属性标签为所述管理中心下发的。
92.关于服务器的具体限定可以参见上文中对于云环境下的联网认证方法的限定，在此不再赘述。上述服务器中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
93.在一实施例中，提供一种终端设备，该终端设备与上述实施例中云环境下的联网认证方法一一对应。如图6所示，所述终端设备各功能模块详细说明如下：
94.构造模块61，用于在向服务器发送用户数据包协议udp访问数据包之前，根据服务请求进程标识构造敲门数据包；
95.发送模块62，用于向服务器发送敲门数据包，以使得所述服务器确定预置策略表中是否存在允许所述服务请求进程标识访问的服务提供进程标识，所述预置策略表中的服务请求进程标识与服务提供进程标识之间的允许或拒绝访问的对应关系是由管理中心下发的；若确定存在允许所述服务请求进程标识访问的服务提供进程标识，则认证通过，放行所述终端设备发送的udp访问数据包。
96.在一个可选的实施例中，终端设备还包括：计算模块63，用于根据所述终端设备对应的工作负载id、请求服务的进程id、以及属性标签计算所述服务请求进程标识。
97.在一实施例中，提供一种管理服务器，该管理服务器与上述实施例中云环境下的联网认证方法一一对应。如图7所示，所述服务器各功能模块详细说明如下：
98.计算模块71，用于根据终端设备发送的工作负载信息、进程信息计算所述终端设备对应的工作负载id、请求服务的进程id、以及属性标签，以及根据服务器发送的工作负载信息、进程信息计算服务器对应的工作负载id、请求服务的进程id、以及属性标签；
99.计算模块71，用于根据所述终端设备对应的工作负载id、请求服务的进程id、以及属性标签计算服务请求进程标识；根据所述服务器对应的工作负载id、请求服务的进程id、以及属性标签计算服务提供进程标识；
100.确定模块72，用于根据访问策略确定预置策略表，所述预置策略表中存储有服务请求进程标识与服务提供进程标识之间的允许或拒绝访问的对应关系；
101.发送模块73，用于将所述终端设备对应的工作负载id、请求服务的进程id、以及属性标签、所述预置策略表发送给所述终端设备，将所述服务器对应的工作负载id、请求服务的进程id、以及属性标签、所述预置策略发送给所述服务器。
102.在一个实施例中，提供了一种计算机设备，该计算机设备可以是服务器，其内部结构图可以如图8所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包
括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种云环境下的联网认证方法。
103.在一个实施例中，提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行计算机程序时实现以下步骤：
104.在终端设备在向服务器发送用户数据包协议udp访问数据包之前，接收所述终端设备发送的敲门数据包，所述敲门数据包中包括终端设备中的服务请求进程标识；
105.确定预置策略表中是否存在允许所述服务请求进程标识访问的服务提供进程标识，所述预置策略表中的服务请求进程标识与服务提供进程标识之间的允许或拒绝访问的对应关系是由管理中心下发的；
106.若确定存在允许所述服务请求进程标识访问的服务提供进程标识，则认证通过，放行所述终端设备发送的udp访问数据包。
107.在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现以下步骤：
108.在终端设备在向服务器发送用户数据包协议udp访问数据包之前，接收所述终端设备发送的敲门数据包，所述敲门数据包中包括终端设备中的服务请求进程标识；
109.确定预置策略表中是否存在允许所述服务请求进程标识访问的服务提供进程标识，所述预置策略表中的服务请求进程标识与服务提供进程标识之间的允许或拒绝访问的对应关系是由管理中心下发的；
110.若确定存在允许所述服务请求进程标识访问的服务提供进程标识，则认证通过，放行所述终端设备发送的udp访问数据包。
111.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦除可编程rom(eeprom)或闪存。易失性存储器可包括随机存取存储器(ram)或者外部高速缓冲存储器。作为说明而非局限，ram以多种形式可得，诸如静态ram(sram)、动态ram(dram)、同步dram(sdram)、双数据率sdram(ddrsdram)、增强型sdram(esdram)、同步链路(synchlink)dram(sldram)、存储器总线(rambus)直接ram(rdram)、直接存储器总线动态ram(drdram)、以及存储器总线动态ram(rdram)等。
112.所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，仅以上述各功能单元、模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能单元、模块完成，即将所述装置的内部结构划分成不同的功能单元或模块，以完成以上描述的全部或者部分功能。
113.以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者
替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围，均应包含在本发明的保护范围之内。