[发明专利]访问控制方法、终端、服务器及系统

说明书

本发明公开了一种应用于终端的访问控制方法，包括：当检测到终端内的资源请求者向服务器发送访问请求时，采集资源请求者的预置信息，预置信息包括与资源请求者相关的多个属性信息，基于预置信息和访问请求生成单数据包授权请求，向服务器发送该单数据包授权请求，在单数据包授权请求被服务器转发给授权控制系统并且授权控制系统对单数据包授权请求验证通过的情况下，使得服务器向资源请求者开放资源访问端口。本发明还公开了一种应用于服务器的访问控制方法、一种终端、一种服务器及一种访问控制系统。本发明通过将资源请求者的预置信息作为授权凭证，使攻击者无法轻易伪造单数据包授权数据，避免因授权信息泄露造成的非法访问。

技术领域

本发明涉及计算机技术领域，尤其涉及一种访问控制方法、终端、服务器及系统。

背景技术

SPA(Single Packet Authorization，单数据包授权)是基于默认丢弃数据包的过滤策略，通过单个加密数据包发送认证与授权请求，使被保护的服务端对特定客户端开放端口的一种方法，而未通过认证授权的客户端无法探测到被保护的服务端口，从而提升了系统安全性。

但是，现有单数据包授权都是基于预先制定的静态单因子认证策略。一旦认证信息泄露，则可以轻易的伪造认证请求获取端口访问权限，非法获取服务端资源；另一方面，具备单数据包授权认证能力的客户端本身存在被入侵、劫持的风险，在此种情况下，攻击者可以通过被劫持的客户端直接访问服务端资源。

发明内容

本发明的主要目的在于提供一种访问控制方法、终端、服务器及系统。

本发明实施例第一方面提供一种访问控制方法，应用于终端，包括：当检测到终端内的资源请求者向服务器发送访问请求时，采集所述资源请求者的预置信息，所述预置信息包括与所述资源请求者相关的多个属性信息，基于所述预置信息和所述访问请求生成单数据包授权请求，向所述服务器发送所述单数据包授权请求，在所述单数据包授权请求被所述服务器转发给授权控制系统并且所述授权控制系统对所述单数据包授权请求验证通过的情况下，使得服务器向所述资源请求者开放资源访问端口。

根据本发明实施例，上述方法还包括：生成一次性授权码。所述基于所述预置信息和所述访问请求生成单数据包授权请求包括：基于所述预置信息、一次性授权码和所述访问请求，生成单数据包授权请求。

根据本发明实施例，上述与所述资源请求者相关的多个属性信息包括网际协议地址、下一跳网关地址、MAC地址和应用执行文件的MD5摘要；向所述服务器发送所述单数据包授权请求之前，所述方法还包括：判断所述资源请求者的MD5摘要是否为预置合法的MD5摘要，若为预置合法的MD5摘要，则向所述服务器发送所述单数据包授权请求。

本发明实施例第二方面提供一种访问控制方法，应用于服务器，包括：接收资源请求者通过终端发送的单数据包授权请求，所述单数据包授权请求包括所述资源请求者的预置信息和访问请求，所述预置信息包括与所述资源请求者相关的多个属性信息，所述访问请求为所述资源请求者为访问所述服务器而向所述服务器发送的请求，将所述单数据包授权请求转发给授权控制系统，接收所述授权控制系统对所述单数据包授权请求进行授权验证生成的授权结果，若所述授权结果表示所述单数据包授权请求通过所述授权控制系统的授权验证，则向所述资源请求者开放资源访问端口。

根据本发明实施例，上述单数据包授权请求还包括：一次性授权码，所述一次性授权码为所述终端随机生成的授权码。

根据本发明实施例，上述与所述资源请求者相关的多个属性信息包括网际协议地址、下一跳网关地址、MAC地址和应用执行文件的MD5摘要。所述接收资源请求者通过终端发送的单数据包授权请求，包括：在所述资源请求者的MD5摘要为预置合法的MD5摘要的情况下，接收所述终端内的资源请求者发送的单数据包授权请求。