接入认证方法、装置、相关设备及存储介质与流程

本技术涉及网络通信，尤其涉及一种接入认证方法、装置、相关设备及存储介质。

背景技术：

1、先认证后连接的单包认证技术，该技术常用于使用零信任安全理念构建的业务系统中。在终端上的业务应用连接服务端的业务服务端口之前，终端先向服务端的认证服务端口发送一个认证数据包进行终端认证，认证数据包携带需要访问的业务服务端口及终端的认证信息。认证通过后，服务端通过源地址白名单的方式，将认证过的终端的源地址加入请求访问的业务服务端口的源地址白名单中，后续该源地址连接该业务服务端口的请求可被放行，不在该业务服务端口源地址白名单中的源地址连接该业务服务端口将被拒绝。

2、从服务端来看，源地址通常是复用的，如多个位置接近的移动终端连接至服务端，从服务端来看，使用的是同一个被移动网络分配的源地址，在办公场所、酒店、家庭等应用场景下，从服务端来看，多个终端使用的是同一个出口网关的地址。这使得在服务端某个业务服务端口源地址白名单中加入一个源地址后，同时也为其他的非授权终端打开了连接该业务服务端口的权限，导致复用同一源地址的非授权终端/非授权应用接入业务服务端口的问题。针对该问题，目前尚无有效解决方案。

技术实现思路

1、为解决相关技术问题，本技术实施例提供一种接入认证方法、装置、相关设备及存储介质。

2、本技术实施例的技术方案是这样实现的：

3、本技术实施例提供了一种接入认证方法，应用于服务器，包括：

4、接收终端发送的第一连接请求；所述第一连接请求中携带第一信息；所述第一信息包括所述终端的第一标识；

5、利用存储的单包认证的结果信息，确定与所述第一信息匹配的至少一个目标单包认证的结果信息；

6、利用所述至少一个目标单包认证的结果信息对所述第一标识进行认证，获得第一认证结果；

7、在所述第一认证结果表明所述至少一个目标单包认证的结果信息中记录的授权终端的第二标识与所述第一标识相同的情况下，允许所述终端接入所述服务器。

8、上述方案中，所述第一信息还包括第一单包认证信息，所述方法还包括：

9、利用所述至少一个目标单包认证的结果信息对所述第一单包认证信息进行认证，获得第二认证结果；

10、在所述第二认证结果表明所述至少一个目标单包认证的结果信息中记录的合法的第二单包认证信息与所述第一单包认证信息相同的情况下，允许所述终端接入所述服务器。

11、上述方案中，所述第一信息还包括第一单包认证信息和第一策略，所述第一策略用于指示所述第一单包认证信息的构建方式和加密算法；所述方法还包括：

12、利用所述构建方式和加密算法对所述至少一个目标单包认证的结果信息进行处理，确定第三单包认证信息；

13、将所述第一单包认证信息与所述第三单包认证信息进行匹配，获得匹配结果；

14、在所述匹配结果表明所述第一单包认证信息与所述第三单包认证信息匹配成功的情况下，允许所述终端接入所述服务器。

15、上述方案中，在所述接收终端发送的第一连接请求之前，所述方法还包括：

16、接收所述终端发送的第一数据包；所述第一数据包至少包括所述终端的业务应用端口的源地址、待访问的业务服务端口的目的地址、身份信息和标识信息；

17、对所述第一数据包进行认证；

18、在所述第一数据包认证成功的情况下，将所述第一数据包作为所述单包认证的结果信息。

19、上述方案中，所述方法还包括：

20、在所述第一认证结果表明所有目标单包认证的结果信息中记录的授权终端的第二标识与所述第一标识不相同的情况下，拒绝所述终端接入所述服务器。

21、上述方案中，所述拒绝所述终端接入所述服务器之后，还包括：

22、确定所述第一连接请求为恶意接入请求；

23、记录所述恶意接入请求的次数。

24、上述方案中，所述方法还包括：

25、累计所述恶意接入请求的总次数；

26、判断所述恶意接入请求的总次数是否大于第一阈值；

27、在所述恶意接入请求的总次数大于第一阈值的情况下，将所述终端的业务应用端口的源地址标记为黑名单。

28、上述方案中，所述方法还包括：

29、在第一周期内，确定所述恶意接入请求的频率；

30、在所述频率大于第二阈值的情况下，将所述终端的业务应用端口的源地址标记为黑名单。

31、本技术实施例还提供了一种接入认证方法，应用于终端，包括：

32、向服务器发送第一连接请求；所述第一连接请求中携带第一信息；所述第一信息包括所述终端的第一标识；所述第一信息用于指示所述服务器利用存储的单包认证的结果信息确定与所述第一信息匹配的至少一个目标单包认证的结果信息，基于所述至少一个目标单包认证的结果信息对所述第一标识进行认证。

33、上述方案中，所述第一信息还包括第一单包认证信息；所述第一单包认证信息用于指示所述服务器利用所述至少一个目标单包认证的结果信息对所述第一单包认证信息进行认证。

34、上述方案中，所述第一信息还包括第一单包认证信息和第一策略，所述第一策略用于指示所述第一单包认证信息的构建方式和加密算法；所述第一单包认证信息用于指示所述服务器利用所述构建方式和加密算法对所述至少一个目标单包认证的结果信息进行处理，确定第三单包认证信息；利用所述第三单包认证信息对所述第一单包认证信息进行认证。

35、上述方案中，在所述向服务器发送第一连接请求之前，所述方法还包括：

36、向所述服务器发送第一数据包；所述第一数据包至少包括所述终端的业务应用端口的源地址、待访问的业务服务端口的目的地址、身份信息和标识信息；所述第一数据包用于服务器进行认证；在所述第一数据包认证成功的情况下，将所述第一数据包作为所述单包认证的结果信息。

37、本技术实施例还提供了一种接入认证装置，设置在服务器上，包括：

38、接收单元，用于接收终端发送的第一连接请求；所述第一连接请求中携带第一信息；所述第一信息包括所述终端的第一标识；

39、确定单元，用于利用存储的单包认证的结果信息，确定与所述第一信息匹配的至少一个目标单包认证的结果信息；

40、获得单元，用于利用所述至少一个目标单包认证的结果信息对所述第一标识进行认证，获得第一认证结果；

41、接入单元，用于在所述第一认证结果表明所述至少一个目标单包认证的结果信息中记录的授权终端的第二标识与所述第一标识相同的情况下，允许所述终端接入所述服务器。

42、本技术实施例还提供了一种接入认证装置，设置在终端上，包括：

43、发送单元，用于向服务器发送第一连接请求；所述第一连接请求中携带第一信息；所述第一信息包括所述终端的第一标识；所述第一信息用于指示所述服务器利用存储的单包认证的结果信息确定与所述第一信息匹配的至少一个目标单包认证的结果信息，基于所述至少一个目标单包认证的结果信息对所述第一标识进行认证。

44、本技术实施例还提供了一种服务器，包括：第一通信接口和第一处理器；其中，

45、所述第一通信接口，用于接收终端发送的第一连接请求；所述第一连接请求中携带第一信息；所述第一信息包括所述终端的第一标识；

46、所述第一处理器，用于利用存储的单包认证的结果信息，确定与所述第一信息匹配的至少一个目标单包认证的结果信息；利用所述至少一个目标单包认证的结果信息对所述第一标识进行认证，获得第一认证结果；在所述第一认证结果表明所述至少一个目标单包认证的结果信息中记录的授权终端的第二标识与所述第一标识相同的情况下，允许所述终端接入所述服务器。

47、本技术实施例还提供了一种终端，包括：第二通信接口和第二处理器；其中，

48、所述第二通信接口，用于向服务器发送第一连接请求；所述第一连接请求中携带第一信息；所述第一信息包括所述终端的第一标识；所述第一信息用于指示所述服务器利用存储的单包认证的结果信息确定与所述第一信息匹配的至少一个目标单包认证的结果信息，基于所述至少一个目标单包认证的结果信息对所述第一标识进行认证。

49、本技术实施例还提供了一种服务器，包括：第一处理器和用于存储能够在处理器上运行的计算机程序的第一存储器，

50、其中，所述第一处理器用于运行所述计算机程序时，执行上述服务器侧任一方法的步骤。

51、本技术实施例还提供了一种终端，包括：第二处理器和用于存储能够在处理器上运行的计算机程序的第二存储器，

52、其中，所述第二处理器用于运行所述计算机程序时，执行上述终端侧任一方法的步骤。

53、本技术实施例还提供了一种存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述服务器侧任一方法的步骤，或者实现上述终端任一方法的步骤。

54、本技术实施例提供的接入认证方法、装置、相关设备及存储介质，服务器接收终端发送的第一连接请求；所述第一连接请求中携带第一信息；所述第一信息包括所述终端的第一标识；利用存储的单包认证的结果信息，确定与所述第一信息匹配的至少一个目标单包认证的结果信息；利用所述至少一个目标单包认证的结果信息对所述第一标识进行认证，获得第一认证结果；在所述第一认证结果表明所述至少一个目标单包认证的结果信息中记录的授权终端的第二标识与所述第一标识相同的情况下，允许所述终端接入所述服务器；相应地，对于终端，向服务器发送第一连接请求；所述第一连接请求中携带第一信息；所述第一信息包括所述终端的第一标识；所述第一信息用于指示所述服务器利用存储的单包认证的结果信息确定与所述第一信息匹配的至少一个目标单包认证的结果信息，基于所述至少一个目标单包认证的结果信息对所述第一标识进行认证。通过终端向服务器发送的连接请求中携带可以表明自己身份的标识供服务端进行快速身份识别，避免复用同一源地址的非授权终端/非授权应用接入业务服务端口，以及验证信息灵活，多变，具有较高的安全性。