入网请求的处理方法、装置、服务器及介质与流程

1.本说明书一个或多个实施例涉及通信技术领域，尤其涉及一种入网请求的处理方法、装置、服务器及介质。


背景技术：

2.大部分企业网络每天需要处理海量的网络访问请求，管理包括个人计算机、笔记本、手机等各种各样的办公终端的接入，在这种情况下，网络安全建设工作就变得至关重要，如果网络安全建设工作不够完善则很容易会产生安全隐患。网络准入控制作为企业网络安全管理的第一步，是构建更为安全、稳定的企业网络环境的重要环节。
3.相关技术中，在进行网络准入控制时，主要是采用802.1x协议，来限制未经授权的用户对企业网络的访问。802.1x协议可以对连接到企业网络上的用户进行认证，并向被认证的用户发送入网证书，以便后续用户可以通过入网证书实现对企业网络的访问。
4.上述过程中所发送的入网证书的有效期一般为几年，即使用户的在职状态发生改变(例如，离职、冻结、调岗等)，但只要其持有的入网证书仍然处于有效期内，该用户仍然可以使用入网证书接入企业网络，这样会给企业网络管理带来极大的安全隐患。因此，亟需一种入网请求的处理方法，来实现企业网络的网络准入控制。


技术实现要素：

5.有鉴于此，本说明书一个或多个实施例提供一种入网请求的处理方法、装置、服务器及介质
6.为实现上述目的，本说明书一个或多个实施例提供技术方案如下：
7.根据本说明书一个或多个实施例的第一方面，提出了一种入网请求的处理方法，应用于服务器，该方法包括：
8.响应于接收到目标账号的入网请求，校验入网请求所携带的入网证书的有效性；
9.在入网证书的有效性校验通过的情况下，从入网证书中获取目标账号在目标应用程序中具有唯一性的身份源标识；
10.基于身份源标识，获取目标账号的账号状态；
11.基于账号状态，对入网请求进行处理。
12.在一些实施例中，身份源标识通过设定密钥对目标账号的账号标识以及目标账号所属机构的机构标识进行加密计算得到；
13.基于身份源标识，获取目标账号的账号状态，包括：
14.通过设定私钥对身份源标识进行解密，得到目标账号的账号标识以及目标账号所属机构的机构标识；
15.基于账号标识，从机构标识在服务器中对应的数据存储位置处，获取目标账号的账号状态；其中，不同机构标识在服务器中对应的数据存储位置不同。
16.在一些实施例中，基于账号状态，对入网请求进行处理，包括下述任一项：
17.在账号状态指示目标账号为设定状态的情况下，对入网请求进行响应；
18.在账号状态指示目标账号为非设定状态的情况下，拒绝入网请求。
19.在一些实施例中，响应于接收到目标账号的入网请求，校验入网请求所携带的入网证书的有效性之前，该方法还包括：
20.接收目标账号的登录请求，登录请求携带第一账号信息；
21.基于登录请求所携带的第一账号信息，校验目标账号的合法性；
22.在目标账号的合法性校验通过的情况下，允许目标账号登录。
23.在一些实施例中，在目标账号的合法性校验通过的情况下，允许目标账号登录之后，该方法还包括：
24.在目标账号为首次登录的情况下，响应于接收到目标账号的证书获取请求，基于证书获取请求所携带的第二账号信息，获取身份源标识，将身份源标识添加至为目标账号生成的入网证书中；
25.向目标账号对应的终端设备发送入网证书。
26.在一些实施例中，第二账号信息至少包括目标账号的账号标识以及目标账号所属机构的机构标识；
27.基于证书获取请求所携带的第二账号信息，获取身份源标识，包括：
28.基于设定密钥，对第二账号信息所包括的账号标识和机构标识进行加密计算，得到身份源标识。
29.在一些实施例中，基于证书获取请求所携带的第二账号信息，获取身份源标识，将身份源标识添加至为目标账号生成的入网证书中之前，该方法还包括：
30.对第二账号信息进行校验，在第二账号信息校验通过的情况下，执行基于证书获取请求所携带的第二账号信息，获取身份源标识，将身份源标识添加至为目标账号生成的入网证书中的步骤。
31.在一些实施例中，服务器包括第一服务器和至少一个第二服务器，第一服务器用于为至少一个第二服务器提供入网请求处理服务，第二服务器为目标账号所属机构所使用的目标应用程序对应的后台服务器，第二服务器至少用于存储目标应用程序中已注册账号的身份源标识和账号状态。
32.根据本说明书一个或多个实施例的第二方面，提出了一种入网请求的处理装置，应用于服务器，该装置包括：
33.校验模块，用于响应于接收到目标账号的入网请求，校验入网请求所携带的入网证书的有效性；
34.标识获取模块，用于在入网证书的有效性校验通过的情况下，从入网证书中获取目标账号在目标应用程序中具有唯一性的身份源标识；
35.状态获取模块，用于基于身份源标识，获取目标账号的账号状态；
36.处理模块，用于基于账号状态，对入网请求进行处理。
37.在一些实施例中，身份源标识通过设定密钥对目标账号的账号标识以及目标账号所属机构的机构标识进行加密计算得到；
38.状态获取模块，在用于基于身份源标识，获取目标账号的账号状态时，用于：
39.通过设定私钥对身份源标识进行解密，得到目标账号的账号标识以及目标账号所
属机构的机构标识；
40.基于账号标识，从机构标识在服务器中对应的数据存储位置处，获取目标账号的账号状态；其中，不同机构标识在服务器中对应的数据存储位置不同。
41.在一些实施例中，处理模块，在用于基于账号状态，对入网请求进行处理时，用于下述任一项：
42.在账号状态指示目标账号为设定状态的情况下，对入网请求进行响应；
43.在账号状态指示目标账号为非设定状态的情况下，拒绝入网请求。
44.在一些实施例中，该装置还包括：
45.接收模块，用于接收目标账号的登录请求，登录请求携带第一账号信息；
46.校验模块，还用于基于登录请求所携带的第一账号信息，校验目标账号的合法性；
47.在目标账号的合法性校验通过的情况下，允许目标账号登录。
48.在一些实施例中，标识获取模块，还用于在目标账号为首次登录的情况下，响应于接收到目标账号的证书获取请求，基于证书获取请求所携带的第二账号信息，获取身份源标识；
49.该装置还包括：
50.添加模块，用于将身份源标识添加至为目标账号生成的入网证书中；
51.发送模块，用于向目标账号对应的终端设备发送入网证书。
52.在一些实施例中，第二账号信息至少包括目标账号的账号标识以及目标账号所属机构的机构标识；
53.标识获取模块，在用于基于证书获取请求所携带的第二账号信息，获取身份源标识时，用于：
54.基于设定密钥，对第二账号信息所包括的账号标识和机构标识进行加密计算，得到身份源标识。
55.在一些实施例中，校验模块，还用于对第二账号信息进行校验，在第二账号信息校验通过的情况下，执行基于证书获取请求所携带的第二账号信息，获取身份源标识，将身份源标识添加至为目标账号生成的入网证书中的步骤。
56.在一些实施例中，服务器包括第一服务器和至少一个第二服务器，第一服务器用于为至少一个第二服务器提供入网请求处理服务，第二服务器为目标账号所属机构所使用的目标应用程序对应的后台服务器，第二服务器至少用于存储目标应用程序中已注册账号的身份源标识和账号状态。
57.根据本说明书一个或多个实施例的第三方面，提出了一种服务器，该服务器包括：
58.处理器；
59.用于存储处理器可执行指令的存储器；
60.其中，处理器通过运行可执行指令以实现上述第一方面以及第一方面中任一实施例所提供的入网请求的处理方法所执行的操作。
61.根据本说明书一个或多个实施例的第四方面，提出了一种计算机可读存储介质，其上存储有计算机指令，指令被处理器执行时实现上述第一方面以及第一方面中任一实施例所提供的入网请求的处理方法所执行的操作。
62.根据本说明书一个或多个实施例的第五方面，提出了一种计算机程序产品，包括
计算机程序，程序被处理器执行时实现上述第一方面以及第一方面中任一实施例所提供的入网请求的处理方法所执行的操作。
63.本技术通过提供一种包括目标账号的身份源标识的入网证书，以便可以在接收到目标账号的入网请求后，且入网请求所携带的入网证书的有效性验证通过的情况下，从入网证书中获取目标账号的身份源标识，而目标账号的身份源标识在目标应用程序中是具有唯一性的，从而可以基于身份源标识，获取到目标账号的账号状态，进而基于获取到的账号状态，来对入网请求进行处理，从而可以实现基于账号状态的网络准入控制。
附图说明
64.图1是一示例性实施例提供的一种入网请求的处理方法的实施环境示意图。
65.图2是一示例性实施例提供的另一种入网请求的处理方法的实施环境示意图。
66.图3是一示例性实施例示出的一种入网请求的处理方法的流程图。
67.图4是一示例性实施例示出的一种登录过程的流程图。
68.图5是一示例性实施例提供的一种登录过程的流程图。
69.图6是一示例性实施例示出的一种签发入网证书的流程图。
70.图7是一示例性实施例示出的一种入网证书签发过程的流程图。
71.图8是一示例性实施例提供的一种证书签发过程的流程图。
72.图9是一示例性实施例示出的一种网络准入控制过程的流程图。
73.图10是一示例性实施例示出的一种网络准入控制过程的流程图。
74.图11是一示例性实施例提供的一种网络准入控制过程的流程图。
75.图12是一示例性实施例示出的一种入网请求的处理方法的流程图。
76.图13是一示例性实施例提供的一种入网请求的处理装置的框图。
77.图14是一示例性实施例提供的一种服务器的示意结构图。
具体实施方式
78.这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书一个或多个实施例相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本说明书一个或多个实施例的一些方面相一致的装置和方法的例子。
79.需要说明的是：在其他实施例中并不一定按照本说明书示出和描述的顺序来执行相应方法的步骤。在一些其他实施例中，其方法所包括的步骤可以比本说明书所描述的更多或更少。此外，本说明书中所描述的单个步骤，在其他实施例中可能被分解为多个步骤进行描述；而本说明书中所描述的多个步骤，在其他实施例中也可能被合并为单个步骤进行描述。
80.首先，对本技术所涉及到的一些技术术语进行介绍：
81.安全访问服务边缘(secure access service edge，sase)：是一种软件和硬件工具的框架，可以确保通常以云服务形式提供的应用程序、服务、用户和机器对云和网络资源的安全访问。
82.公钥基础设施(public key infrastructure，pki)：一个包括硬件、软件、人员、策略和规程的集合，用来实现基于公钥密码体制的密钥和证书的产生、管理、存储、分发和撤销等功能。
83.在线证书状态协议(online certificate status protocol，ocsp)：用于验证安全套接字协议(secure socket layer，ssl)证书的有效性，以确保ssl证书未被吊销。
84.数字证书：在因特网(internet)上唯一地标识人员和资源的电子文件，ssl证书即为数字证书的一种。
85.可扩展认证协议-传输层安全协议(extensible authentication protocol-transport layer security，eap-tls)：tls是eap框架中的一种认证方法，主要使用x509数字证书进行入网认证。
86.身份源：存储账号信息的上游核心数据。例如，办公过程中所使用的目标应用程序，也即是办公软件，如多种类型的即时通讯应用程序、轻量目录访问协议(lightweight directory access protocol，ldap)、活动目录(active directory，ad)等。
87.身份源标识：sase系统中存储在入网证书中由企业标识和账号标识组成的加密字符串。
88.本技术提供了一种入网请求的处理方法，用于实现对接入网络(如企业网络)的账号状态的校验，从而可以提高网络安全性。参见图1，图1是一示例性实施例提供的一种入网请求的处理方法的实施环境示意图，如图1所示，该实施环境可以包括终端设备101、网络设备102和服务器103。
89.其中，终端设备101可以为多种类型的终端设备，例如，终端设备101可以为台式计算机、笔记本电脑、平板电脑、智能手机等等，本技术对终端设备101的设备类型和设备数量均不加以限定。终端设备101中可以安装有sase客户端，以便用户可以通过sase客户端来登录不同类型的办公软件，从而通过所登录的账号实现对网络的访问。
90.网络设备102可以为接入控制器(access controller，ac)，可选地，网络设备102还可以为其他类型的网络设备，仅需保证网络设备102可以实现终端设备的网络接入即可。
91.服务器103可以为一台服务器、多台服务器、服务器集群、云计算平台等，本技术对服务器103的设备类型和设备数量均不加以限定。服务器103可以包括多个容器(或处理区域)，用于为用户提供不同类型的服务，例如，服务器103可以包括两个容器，一个容器可以用于提供入网请求处理服务，另一个容器可以通过不同的数据存储位置，来对不同目标应用程序中已注册账号的身份源标识和账号状态进行存储。可选地，服务器还可以为用户提供更多类型的服务，本技术对此不加以限定。
92.其中，对于用于提供入网请求处理服务的容器，该容器中可以包括多个功能模块，不同功能模块可以为用户提供不同类型的服务，如证书签发服务、认证服务以及网络准入服务，以便该容器可以通过这多个功能模块所提供的服务，来为用户提供更为全面的入网请求处理服务。
93.需要说明的是，终端设备101可以通过有线或无线的连接方式与网络设备102进行通信，网络设备102可以通过无线连接方式与服务器103进行通信，以便可以通过本技术所提供的入网请求的处理方法，基于终端设备101、网络设备102以及服务器103之间的交互，实现对网络准入过程的控制。
94.图1仅为本技术的一种示例性实施环境，在更多可能的实现方式中，本技术所提供的入网请求的处理方法还可以应用于其他类型的实施环境中，例如，如图1中所示的服务器可以包括第一服务器和至少一个第二服务器，则参见图2，图2是一示例性实施例提供的另一种入网请求的处理方法的实施环境示意图，如图2所示，该实施环境可以包括终端设备201、网络设备202、第一服务器203和第二服务器204。
95.关于终端设备201和网络设备202的介绍可以参见上述图1中的相关内容，此处不再赘述。
96.第一服务器203可以为一台服务器、多台服务器、服务器集群、云计算平台等，本技术对第一服务器203的设备类型和设备数量均不加以限定。第一服务器可以用于为至少一个第二服务器提供入网请求处理服务，第一服务器可以包括多个功能模块，用于为用户提供不同类型的服务，如证书签发服务、认证服务以及网络准入服务，以便通过这多个功能模块所提供的服务，实现入网请求处理服务的提供。可选地，第一服务器还可以为用户提供更多类型的服务，本技术对此不加以限定。
97.第二服务器204可以为一台服务器、多台服务器、服务器集群、云计算平台等，本技术对第二服务器204的设备类型和设备数量均不加以限定。第二服务器204可以为目标账号所属机构所使用的目标应用程序对应的后台服务器，根据目标账号所属目标应用程序(也即是目标账号所属办公软件)的不同，可以对应有不同的第二服务器，一种目标应用程序即可对应于一个第二服务器，不同的目标应用程序可以对应于不同的第二服务器。
98.需要说明的是，终端设备201可以通过有线或无线的连接方式与网络设备202进行通信，网络设备202可以通过无线连接方式与第一服务器203进行通信，第一服务器203可以通过有线或无线的连接方式与第二服务器204进行通信，以便终端设备201、网络设备202、第一服务器203以及第二服务器204之间的交互可以通过本技术所提供的入网请求的处理方法，实现对网络准入过程的控制。
99.在介绍了本技术的实施环境之后，下面对本技术所提供的入网请求的处理方法进行详细说明。
100.参见图3，图3是一示例性实施例示出的一种入网请求的处理方法的流程图，该方法可以应用于服务器，如图3所示，该方法可以包括如下步骤：
101.步骤301、响应于接收到目标账号的入网请求，校验入网请求所携带的入网证书的有效性。
102.步骤302、在入网证书的有效性校验通过的情况下，从入网证书中获取目标账号在目标应用程序中具有唯一性的身份源标识。
103.步骤303、基于身份源标识，获取目标账号的账号状态。
104.步骤304、基于账号状态，对入网请求进行处理。
105.本技术通过提供一种包括目标账号的身份源标识的入网证书，以便可以在接收到目标账号的入网请求后，且入网请求所携带的入网证书的有效性验证通过的情况下，从入网证书中获取目标账号的身份源标识，而目标账号的身份源标识在目标应用程序中是具有唯一性的，从而可以基于身份源标识，获取到目标账号的账号状态，进而基于获取到的账号状态，来对入网请求进行处理，从而可以实现基于账号状态的网络准入控制。
106.在介绍了本技术的基本实现过程之后，下面对本技术的各个可选实现方式进行进
一步说明。
107.在一些实施例中，目标账号可以通过终端设备中的sase客户端登录目标应用程序(也即是办公软件)，从而通过sase客户端发起入网请求，以便终端设备可以向服务器发送携带入网证书的入网请求，来实现对网络的访问。服务器即可通过步骤301，响应于接收到目标账号的入网请求，校验入网请求所携带的入网证书的有效性。
108.在一种可能的实现方式中，在步骤301之前，服务器可以通过如下过程实现目标账号的登录：
109.步骤一、接收目标账号的登录请求，登录请求携带第一账号信息。
110.可选地，终端设备可以在可视化界面中显示sase客户端的登录界面，用户可以在登录界面中输入第一账号信息，终端设备响应于用户的输入操作，获取用户输入的第一账号信息，从而基于获取到的第一账号信息生成登录请求，进而将所生成登录请求发送给服务器，以便服务器可以接收到携带第一账号信息的登录请求。
111.其中，第一账号信息可以包括用户所输入的目标账号和密码，可选地，第一账号信息还可以包括其他类型的信息，本技术对第一账号信息所包括的具体内容不加以限定。
112.可选地，终端设备在向服务器发送登录请求时，可以将登录请求发送给网络设备(如接入控制器等)，由网络设备将登录请求发送给服务器，以便服务器可以接收到来自终端设备的登录请求。
113.步骤二、基于登录请求所携带的第一账号信息，校验目标账号的合法性。
114.需要说明的是，服务器中可以预先存储有多个账号的第一账号信息，基于此，服务器在接收到登录请求后，可以在已存储的第一账号信息中进行查询，以确定已存储的第一账号信息中是否存在与登录请求所携带的第一账号信息一致的第一账号信息，以此实现对目标账号的合法性的校验。
115.以第一账号信息包括目标账号和密码为例，服务器中可以预先注册有多个账号，并存储有多个账号的密码，服务器在接收到登录请求后，可以先查询已注册的多个账号中是否存在目标账号，在已注册的多个账号中存在目标账号的情况下，基于已存储的目标账号的密码，对登录请求所携带的密码进行校验，以实现对目标账号的合法性的校验。
116.步骤三、在目标账号的合法性校验通过的情况下，允许目标账号登录。
117.在一种可能的实现方式中，在登录请求所携带的第一账号信息与已存储的任一第一账号信息一致的情况下，即可确定目标账号的合法性校验通过，从而即可允许目标账号登录。
118.仍以第一账号信息包括目标账号和密码为例，在已注册的多个账号中存在目标账号，且已存储的目标账号的密码与登录请求所携带的密码一致的情况下，即可确定目标账号的合法性校验通过，从而即可允许目标账号登录。
119.在更多可能的实现方式中，在目标账号的合法性校验未通过的情况下，拒绝目标账号登录。
120.需要说明的是，目标账号的合法性校验未通过，也即是，登录请求所携带的第一账号信息与已存储的多个第一账号信息均不一致。以第一账号信息包括目标账号和密码为例，目标账号的合法性校验未通过，也即是，登录请求所携带的第一账号信息中的目标账号与已存储的多个账号均不一致，和/或，登录请求所携带的第一账号信息中的密码与已存储
的目标账号的密码不一致。
121.通过对目标账号的合法性进行校验，在目标账号的合法性校验通过的情况下，再允许目标账号登录，可以保证网络安全性，避免非法账号登录网络。
122.为便于理解，下面对通过终端设备和服务器之间的交互，来实现登录的过程进行说明，参见图4，图4是一示例性实施例示出的一种登录过程的流程图，该过程可以包括如下步骤：
123.步骤401、终端设备响应于目标账号的登录操作，生成登录请求，登录请求携带目标账号的第一账号信息。
124.步骤402、终端设备向服务器发送登录请求。
125.步骤403、服务器接收目标账号的登录请求。
126.步骤404、服务器基于登录请求所携带的第一账号信息，校验目标账号的合法性。
127.步骤405、在目标账号的合法性校验通过的情况下，服务器允许目标账号登录，并向终端设备返回目标账号的身份源标识。
128.需要说明的是，服务器内部可以包括多个功能模块，用于提供不同类型的服务，例如，服务器可以为用户提供认证服务和信息存储服务，以便通过认证服务，来实现登录过程中账号合法性的校验，并通过信息存储服务，来对不同目标应用程序中已注册账号的身份源标识和账号状态进行存储。参见图5，图5是一示例性实施例提供的一种登录过程的流程图，如图5所示，终端设备在向服务器发送登录请求后，服务器可以通过认证服务，来实现账号合法性的校验，进而向终端设备返回目标账号的身份源标识。
129.上述图4和图5所示的过程仅为对登录过程的流程性说明，各个步骤的具体实现方式可以参见上述各个实施例，此处不再赘述。
130.需要说明的是，在终端设备上登录有目标账号的情况下，终端设备即可通过已登录的目标账号来实现网络接入。
131.在一些实施例中，若目标账号在终端设备上为首次登录，则目标账号可以通过终端设备向服务器申请签发入网证书，再基于所签发的入网证书来申请入网。若目标账号在终端设备上为非首次登录，则目标账号可以直接基于已签发的入网证书来申请入网。
132.下面分别对目标账号是否为首次登录的两种情况下的处理过程进行说明。
133.一、目标账号在终端设备上为首次登录
134.若目标账号在终端设备上为首次登录，则终端设备可以基于目标账号的第二账号信息，生成证书获取请求，从而将证书获取请求发送给服务器，服务器可以响应于接收到目标账号的证书获取请求，基于证书获取请求所携带的第二账号信息，获取身份源标识，将身份源标识添加至为目标账号生成的入网证书中，进而向目标账号对应的终端设备发送入网证书。
135.可选地，第二账号信息可以包括目标账号的账号标识以及目标账号所属机构的机构标识(如目标账号所属企业的企业标识)，或者，第二账号信息还可以包括其他类型的信息，本技术对第二账号信息所包括的具体内容不加以限定。
136.其中，目标账号的账号标识的获取过程可以为：用户可以在终端设备的可视化界面上输入自己的账号，终端设备可以响应于用户的输入操作，获取用户输入的账号，作为目标账号的账号标识；或者，用户可以在终端设备的可视化界面上输入自己的账号名，终端设
备可以响应于用户的输入操作，获取用户输入的账号名，从而将所获取到的账号名发送给服务器，以便服务器可以基于接收到的账号名，来进行目标账号的账号标识的获取。
137.目标账号所属机构的机构标识的获取过程可以为：用户可以在终端设备的可视化界面上输入自己所属机构(如企业、组织等)的机构标识，终端设备可以响应于用户的输入操作，获取用户输入的机构标识，作为目标账号所属机构的机构标识；或者，用户可以在终端设备的可视化界面上输入自己所属机构的机构名，终端设备可以响应于用户的输入操作，获取用户输入的机构名，从而将所获取到的机构名发送给服务器，以便服务器可以基于接收到的机构名，获取目标账号所属机构的机构标识。
138.以第二账号信息包括目标账号的账号标识以及目标账号所属机构的机构标识为例，服务器在基于证书获取请求所携带的第二账号信息，为目标账号生成入网证书时，可以基于设定密钥，对第二账号信息所包括的账号标识和机构标识进行加密计算，得到身份源标识。
139.在一种可能的实现方式中，可以通过哈希加密算法，基于设定密钥，对第二账号信息所包括的账号标识和机构标识进行加密计算，以获取到身份源标识。可选地，还可以采用其他加密算法，来实现上述加密计算过程，本技术对具体采用哪种加密算法不加以限定。
140.其中，设定密钥可以为基于机构信息(如机构标识)进行加密计算得到的密钥，可选地，设定密钥还可以采用其他方式获取得到，本技术对设定密钥的具体获取方式不加以限定。
141.上述为目标账号生成入网证书的过程可以参见图6，图6是一示例性实施例示出的一种签发入网证书的流程图，服务器在获取到账号标识和机构标识后，先基于机构标识计算设定密钥，在基于设定密钥，对机构标识和账号标识进行加密计算，从而将加密计算的结果作为目标账号的身份源标识，进而将获取到的身份源标识添加到入网证书中，以得到专为目标账号生成的入网证书。
142.通过将目标账号的身份源标识添加至入网证书中，使入网证书不仅包括目标账号的基础信息，同还包括目标账号的身份源标识，而身份源标识即可用于后续账号状态的校验过程。
143.在通过上述过程生成入网证书后，即可将所生成的入网证书返回给目标账号对应的终端设备，终端设备可以对接收到的入网证书进行存储，以便目标账号后续可以基于入网证书来进行网络的接入。
144.为便于理解，下面对通过终端设备和服务器之间的交互，来实现入网证书的签发的过程进行说明，参见图7，图7是一示例性实施例示出的一种入网证书签发过程的流程图，该过程可以包括如下步骤：
145.步骤701、终端设备基于目标账号的第二账号信息，生成证书获取请求，证书获取请求携带第二账号信息。
146.步骤702、终端设备向服务器发送证书获取请求。
147.步骤703、服务器基于证书获取请求所携带的第二账号信息，获取身份源标识，将身份源标识添加至为目标账号生成的入网证书中。
148.步骤704、服务器向终端设备返回入网证书。
149.需要说明的是，服务器内部可以包括多个功能模块，用于提供不同类型的服务，例
如，服务器可以为用户提供证书签发服务，以便通过证书签发服务，来实现入网证书的签发过程。参见图8，图8是一示例性实施例提供的一种证书签发过程的流程图，如图8所示，终端设备在向服务器发送携带第二账号信息的证书获取请求后，服务器可以通过证书签发服务，来对第二账号信息进行校验，进而在第二账号信息校验通过的情况下，基于第二账号信息生成入网证书，进而向终端设备返回入网证书。
150.上述图7和图8所示仅为对入网证书的签发过程的流程性说明，各个步骤的具体实现方式可以参见上述各个实施例，此处不再赘述。
151.上述过程是以在接收到证书获取请求后，基于证书获取请求所携带的第二账号信息来进行入网证书的生成为例来进行说明的，在更多可能的实现方式中，在基于证书获取请求所携带的第二账号信息，为目标账号生成入网证书之前，可以对第二账号信息进行校验，在第二账号信息校验通过的情况下，再基于证书获取请求所携带的第二账号信息，为目标账号生成入网证书。
152.例如，可以校验第二账号信息是否满足设定格式，在第二账号信息满足设定格式的情况下，即可确定第二账号信息校验通过。以第二账号信息包括账号标识和机构标识为例，可以校验账号标识和机构标识是否满足设定格式，从而实现对第二账号信息的校验。
153.通过先对第二账号信息进行校验，在第二账号信息校验通过的情况下，再基于第二账号信息进行入网证书的生成，从而可以提高网络安全性。
154.二、目标账号在终端设备上为非首次登录
155.需要说明的是，由于在目标账号首次登录时，已经为目标账号生成了入网证书，因而在目标账号再次登录时，即可直接基于已存储的入网证书来实现网络的接入，而无需再次申请签发入网证书。
156.可选地，上述过程中所涉及的入网证书可以是数字证书，例如，入网证书可以是x509数字证书，或者，入网证书还可以为其他类型，本技术对入网证书的具体类型不加以限定。
157.下面对基于入网证书来实现网络接入的过程进行介绍。
158.需要说明的是，目标账号可以通过终端设备触发入网请求，从而向服务器发送入网请求，可选地，终端设备可以将入网请求发送给网络设备(如接入控制器等)，网络设备可以将入网请求发送给服务器，以便服务器可以接收到来自终端设备的入网请求，进而基于入网请求所携带的入网证书来进行处理。
159.在一些实施例中，对于步骤301，在响应于接收到目标账号的入网请求，验证入网请求所携带的入网证书的有效性时，可以校验入网证书是否处于有效期内，或者，根据签发入网证书的机构的签名格式，确定入网证书的签名是否满足该签发机构的签名格式等，来实现对入网证书有效性的校验，可选地，还可以采用其他方式，来实现入网证书的有效性校验。
160.以校验入网证书是否处于有效期内，来对入网证书的有效性进行校验为例，在入网证书处于有效期内的情况下，即可确定入网证书的有效性校验通过。又例如，在根据签发入网证书的机构的签名格式，确定入网证书的签名是否满足该签发机构的签名格式，来对入网证书的有效性进行校验为例，在入网证书的签名是否满足该签发机构的签名格式的情况下，即可确定入网证书的有效性校验通过，从而即可通过步骤302，来从入网证书中获取
目标账号的身份源标识。
161.服务器在实现上述过程时，均可以通过该服务器中用于提供入网请求处理服务的容器(或处理区域)实现，而在获取到目标账号的身份源标识后，服务器即可通过用于提供不同目标应用程序中已注册账号的身份源标识和账号状态的存储服务的容器(或处理区域)，来基于获取到的身份源标识，来进行账号状态的获取。由于身份源标识是通过加密计算得到的，因而，对于步骤303，在基于身份源标识，获取目标账号的账号状态时，可以包括如下步骤：
162.步骤3031、通过设定私钥对身份源标识进行解密，得到目标账号的账号标识以及目标账号所属机构的机构标识。
163.步骤3032、基于账号标识，从机构标识在服务器中对应的数据存储位置处，获取目标账号的账号状态。
164.其中，不同机构标识在该服务器中对应的数据存储位置可以是不同的，因而，可以先基于机构标识，确定用于存储目标账号的账号标识和账号状态的数据存储位置，进而基于账号标识，从所确定出的数据存储位置处，获取目标账号的账号状态。
165.在获取到目标账号的账号状态后，即可基于所获取到的账号状态，来实现网络准入控制。在一些实施例中，对于步骤304，在基于账号状态，对入网请求进行处理时，可以包括下述任一种情况：
166.在一种可能的实现方式中，在账号状态指示目标账号为设定状态的情况下，对入网请求进行响应，也即是，接受目标账号的入网请求，允许目标账号接入网络，以便目标账号可以从网络中获取到数据。
167.在另一种可能的实现方式中，在账号状态指示目标账号为非设定状态的情况下，拒绝入网请求。
168.其中，设定状态可以为在职状态，非设定状态可以包括离职状态、转岗状态等。
169.上述基于入网证书实现网络准入控制的过程可以参见图9，图9是一示例性实施例示出的一种网络准入控制过程的流程图，服务器在接收到入网请求后，可以先对入网证书的有效性进行校验，在确定入网证书无效的情况下，即可直接拒绝入网请求。而在入网证书有效的情况下，服务器才可以继续对入网请求进行处理，也即是，服务器可以从入网证书中提取目标账号的身份源标识，并使用机构标识计算设定密钥，以便可以基于设定密钥对身份源标识进行解密，得到机构标识和账号标识，从而根据机构标识确定其在服务器中对应的数据存储位置，以便可以在对应的数据存储位置中根据账号标识来查询账号状态，进而根据账号状态判断对入网请求的处理方法，也即是，在账号状态为设定状态的情况下，接受入网请求，在账号状态为非设定状态的情况下，拒绝入网请求。
170.为便于理解，下面对通过终端设备和服务器之间的交互，来实现入网证书的签发的过程进行说明，参见图10，图10是一示例性实施例示出的一种网络准入控制过程的流程图，该过程可以包括如下步骤：
171.步骤1001、终端设备向服务器发送入网请求，入网请求携带入网证书。
172.步骤1002、服务器响应于接收到目标账号的入网请求，验证入网请求所携带的入网证书的有效性。
173.步骤1003、服务器在入网证书的有效性校验通过的情况下，从入网证书中获取目
标账号在目标应用程序中具有唯一性的身份源标识。
174.步骤1004、服务器基于身份源标识，获取目标账号的账号状态。
175.步骤1005、服务器基于账号状态，对入网请求进行处理。
176.需要说明的是，服务器内部可以包括多个功能模块，用于提供不同类型的服务，例如，服务器可以为用户提供网络准入服务，以便通过网络准入服务，来实现对网络准入的控制。参见图11，图11是一示例性实施例提供的一种网络准入控制过程的流程图，如图11所示，终端设备可以向服务器发送入网请求，服务器在接收到入网请求后，通过网络准入服务来对证书的有效性进行校验，在校验通过的情况下，根据目标账号的身份源标识，查询目标账号的账号状态，并根据查询到的账号状态来确定入网认证结果，以便根据入网认证结果，来批准或拒绝目标账号入网。
177.上述图10和图11所示仅为对网络准入控制过程的流程性说明，各个步骤的具体实现方式可以参见上述各个实施例，此处不再赘述。
178.需要说明的是，网络准入服务可以包括动态校验模块，从而可以通过动态校验模块，实现如图11所示的网络准入服务动态校验过程。
179.通过上述各个实施例，即可实现即使入网证书有效，但在账户状态不是设定状态的情况下不能接入网络的效果。同时，若目标账号恢复为设定状态，相应地，目标账号的身份源标识在目标应用程序中的账号状态即可恢复为设定状态，则后续可以继续接入网络，而无需重新签发入网证书。
180.此外，本技术所提供的方案无需使用多因子认证方式，便可在目标账号入网认证时根据身份源标识实现目标账号的账号状态的实时校验，而不会对用户的使用过程产生影响，因而不会降低用户体验。而且，本技术所提供的方案不用建设复杂的pki基础设施，网络准入服务不用对接ocsp服务(因为本技术所提供的方案无需校验证书是否被吊销)，从而可以降低系统复杂度。
181.上述过程是以在服务器中划分不同的容器(或处理区域)，以实现本技术所提的入网请求的处理方法为例来进行说明的，在更多可能的实现方式中，服务器可以包括第一服务器和至少一个第二服务器，第一服务器可以用于为至少一个第二服务器提供入网请求处理服务，第二服务器可以为目标账号所属机构所使用的目标应用程序对应的后台服务器，第二服务器至少用于存储所述目标应用程序中已注册账号的身份源标识和账号状态。
182.在这种情况下，本技术所提供的入网请求的处理方法可以参见图12，图12是一示例性实施例示出的一种入网请求的处理方法的流程图，该方法可以应用于第一服务器，如图12所示，该方法可以包括如下步骤：
183.步骤1201、响应于接收到目标账号的入网请求，校验入网请求所携带的入网证书的有效性。
184.步骤1202、在入网证书的有效性校验通过的情况下，从入网证书中获取目标账号在对应第二服务器中具有唯一性的身份源标识。
185.步骤1203、基于身份源标识，从第二服务器中获取目标账号的账号状态。
186.步骤1204、基于账号状态，对入网请求进行处理。
187.通过采用第一服务器和第二服务器来实现不同的功能，第一服务器和第二服务器之间的数据不会出现混淆，从而可以提高数据的安全性。
188.基于如图12所示的实施例，上述实现目标账号的登录以及验证入网证书有效性的过程以及相关内容可以由第一服务器执行，关于上述内容的介绍可以参见上述实施例，此处不再赘述。
189.在入网证书的有效性校验通过的情况下，第一服务器即可根据目标账号所属的机构标识，确定目标账号所属机构所使用的目标应用程序，进而从该目标应用程序的后台服务器(也即是第二服务器)中获取到目标账号的账号状态，从而基于所获取到的账号状态执行后续过程，关于获取账号状态以及后续过程的介绍可以参见上述实施例，此处不再赘述。
190.与前述方法的实施例相对应，本说明书还提供了装置及其所应用的服务器的实施例。
191.参见图13，图13是一示例性实施例提供的一种入网请求的处理装置的框图，该装置包括：
192.校验模块1301，用于响应于接收到目标账号的入网请求，校验入网请求所携带的入网证书的有效性；
193.标识获取模块1302，用于在入网证书的有效性校验通过的情况下，从入网证书中获取目标账号在目标应用程序中具有唯一性的身份源标识；
194.状态获取模块1303，用于基于身份源标识，获取目标账号的账号状态；
195.处理模块1304，用于基于账号状态，对入网请求进行处理。
196.在一些实施例中，身份源标识通过设定密钥对目标账号的账号标识以及目标账号所属机构的机构标识进行加密计算得到；
197.状态获取模块1303，在用于基于身份源标识，获取目标账号的账号状态时，用于：
198.通过设定私钥对身份源标识进行解密，得到目标账号的账号标识以及目标账号所属机构的机构标识；
199.基于账号标识，从机构标识在服务器中对应的数据存储位置处，获取目标账号的账号状态；其中，不同机构标识在服务器中对应的数据存储位置不同。
200.在一些实施例中，处理模块1304，在用于基于账号状态，对入网请求进行处理时，用于下述任一项：
201.在账号状态指示目标账号为设定状态的情况下，对入网请求进行响应；
202.在账号状态指示目标账号为非设定状态的情况下，拒绝入网请求。
203.在一些实施例中，该装置还包括：
204.接收模块，用于接收目标账号的登录请求，登录请求携带第一账号信息；
205.校验模块1301，还用于基于登录请求所携带的第一账号信息，校验目标账号的合法性；
206.在目标账号的合法性校验通过的情况下，允许目标账号登录。
207.在一些实施例中，标识获取模块1302，还用于在目标账号为首次登录的情况下，响应于接收到目标账号的证书获取请求，基于证书获取请求所携带的第二账号信息，获取身份源标识；
208.该装置还包括：
209.添加模块，用于将身份源标识添加至为目标账号生成的入网证书中；
210.发送模块，用于向目标账号对应的终端设备发送入网证书。
211.在一些实施例中，第二账号信息至少包括目标账号的账号标识以及目标账号所属机构的机构标识；
212.标识获取模块1302，在用于基于证书获取请求所携带的第二账号信息，获取身份源标识时，用于：
213.基于设定密钥，对第二账号信息所包括的账号标识和机构标识进行加密计算，得到身份源标识。
214.在一些实施例中，校验模块1301，还用于对第二账号信息进行校验，在第二账号信息校验通过的情况下，执行基于证书获取请求所携带的第二账号信息，获取身份源标识，将身份源标识添加至为目标账号生成的入网证书中的步骤。
215.在一些实施例中，服务器包括第一服务器和至少一个第二服务器，第一服务器用于为至少一个第二服务器提供入网请求处理服务，第二服务器为目标账号所属机构所使用的目标应用程序对应的后台服务器，第二服务器至少用于存储目标应用程序中已注册账号的身份源标识和账号状态。
216.对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本说明书方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。
217.本技术还提供了一种服务器，参见图14，图14是一示例性实施例提供的一种服务器的示意结构图。请参考图14，在硬件层面，该服务器包括处理器1402、内部总线1404、网络接口1406、内存1408以及非易失性存储器1410，当然还可能包括实现其他功能所需要的硬件。本说明书一个或多个实施例可以基于软件方式来实现，比如由处理器1402从非易失性存储器1410中读取对应的计算机程序到内存1408中然后运行。当然，除了软件实现方式之外，本说明书一个或多个实施例并不排除其他实现方式，比如逻辑器件抑或软硬件结合的方式等等，也就是说以下处理流程的执行主体并不限定于各个逻辑单元，也可以是硬件或逻辑器件。
218.本技术还提供了一种计算机程序产品，包括计算机程序，计算机程序被处理器执行时实现本技术任一实施例所提供的入网请求的处理方法。
219.上述实施例阐明的装置或模块，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机，计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
220.在一个典型的配置中，计算机包括一个或多个处理器(central processing unit，cpu)、输入/输出接口、网络接口和内存。
221.内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(random access memory，ram)和/或非易失性内存等形式，如只读存储器(read-only memory，rom)或闪存(flash ram)。内存是计算机可读介质的示例。
222.计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(phase-change random access memory，pram)、静态随机存取存储器(static random-access memory，sram)、动态随机存取存储器(dynamic random access memory，dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(electrically erasable programmable read only memory，eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(compact disc read only memory，cd-rom)、数字多功能光盘(digital video disc，dvd)或其他光学存储、磁盒式磁带、磁盘存储、量子存储器、基于石墨烯的存储介质或其他磁性存储设备或任何其他非传输介质，可用于存储可以被服务器访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。
223.还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
224.上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。
225.在本说明书一个或多个实施例使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本说明书一个或多个实施例。在本说明书一个或多个实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
226.应当理解，尽管在本说明书一个或多个实施例可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本说明书一个或多个实施例范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
227.以上所述仅为本说明书一个或多个实施例的较佳实施例而已，并不用以限制本说明书一个或多个实施例，凡在本说明书一个或多个实施例的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本说明书一个或多个实施例保护的范围之内。