一种基于SSL协议的访问控制方法及装置与流程

本发明涉及通信技术领域，尤其涉及一种基于SSL协议的访问控制方法及装置。

背景技术：

伴随着网络技术的发展和智能终端的普及，在电子商务、网上银行等互联网支付领域，信息交互的安全性成为大家关注的焦点。通常，在通信的双方建立一条加密通道对传输数据进行加密传输的方式已得到广泛的应用。

SSL(Secure Sockets Layer，安全套接层)是为网络通信提供安全及数据完整性的一种安全协议。SSL协议介于TCP(Transmission Control Protocol传输控制协议)层与应用层之间，是Web浏览器与Web服务器之间安全交换信息的协议，提供两个基本的安全服务：鉴别与保密。SSL协议可分为两层：SSL记录协议(SSL Record Protocol)：它建立在可靠的传输协议(如TCP)之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议(SSL Handshake Protocol)：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。

根据认证方式的不同，SSL协议分为单向认证和双向认证两种。单向认证为服务器需要向客户端提供数字证书，客户端对服务器进行身份验证。双向认证为客户端和服务器双方均需要向对方提供数字证书，并对对方的数字证书进行验证。目前的技术方案中，一个服务器(唯一的IP地址和端口)对外提供SSL服务，多是使用单一认证方式，要么使用单向认证，要么使用双向认证，不同认证方式需单独搭建认证系统，资源的利用效率较低。

技术实现要素：

本发明实施例提供一种基于SSL协议的访问控制方法及装置，用以解决现有技术中不同认证方式需单独搭建认证系统，资源的利用效率低的问题。

本发明实施例提供的基于SSL协议的访问控制方法包括：

入口服务器接收终端发送的访问请求；

所述入口服务器确定所述访问请求对应的安全套接层SSL认证方式；

若为双向认证，则所述入口服务器在与所述终端双向认证通过后，将所述终端的标识信息加入所述访问请求中并发送给后台服务器，所述后台服务器用于根据访问请求中是否携带终端的标识信息来确定终端的访问权限。

可选的，所述入口服务器在与所述终端双向认证通过，包括：

所述入口服务器向所述终端发送所述入口服务器的证书并接收所述终端对所述入口服务器的认证结果；

所述入口服务器向所述终端发送证书获取请求；

所述入口服务器接收所述终端发送的终端证书，所述终端证书中包括所述终端的标识信息；

所述入口服务器根据所述终端证书完成对所述终端的认证。

可选的，所述终端证书通过如下方式获得：

所述终端根据所述终端的标识信息，生成证书请求CSR文件；

所述终端向证书颁发机构发送所述CSR，以使所述证书颁发机构根据所述CSR生成所述终端证书；

所述终端接收所述证书颁发机构发送的所述终端证书。

可选的，所述入口服务器确定所述访问请求对应的SSL认证方式，包括：

所述入口服务器接收所述终端发送的所述访问请求，所述访问请求中包括端口号；

所述入口服务器根据所述端口号，确定所述访问请求对应的SSL认证方式为双向认证或单向认证。

可选的，所述入口服务器接收终端发送的访问请求，包括：

所述入口服务器接收所述终端发送的https请求；

所述入口服务器将所述终端的标识信息加入所述访问请求中并发送给后台服务器，包括：

所述入口服务器将所述https请求转换成http请求，并在所述http请求的报文头中插入所述终端的标识信息；

所述入口服务器将加入标识信息的所述http请求发送给所述后台服务器。

一种基于SSL认证的访问控制方法，包括：

后台服务器接收入口服务器发送的访问请求；

所述后台服务器根据所述访问请求中是否包括终端的标识信息，确定所述访问请求对应的SSL认证方式；

所述后台服务器根据所述访问请求对应的SSL认证方式，对所述终端进行验证；

所述后台服务器在对终端验证通过后，处理所述访问请求，并向所述入口服务器发送处理结果。

可选的，所述后台服务器根据所述访问请求对应的SSL认证方式，对所述终端进行验证，包括：

若所述访问请求对应的SSL认证方式为单向认证，则所述访问请求中包括所述终端的登录账号和密码，所述后台服务器验证所述登录账号和所述密码是否匹配；

若所述访问请求对应的SSL认证方式为双向认证，则所述访问请求的报文头中包括所述终端的标识信息，所述后台服务器验证所述终端的标识信息是否已登记。

一种基于SSL协议的访问控制装置，包括：

入口收发模块，用于接收终端发送的访问请求；

入口认证模块，用于确定所述访问请求对应的SSL认证方式；

入口处理模块，用于若为双向认证，则在与所述终端双向认证通过后，将所述终端的标识信息加入所述访问请求中；

所述入口收发模块，还用于将所述访问请求发送给后台服务器，所述后台服务器用于根据访问请求中是否携带终端的标识信息来确定终端的访问权限。

可选的，所述入口收发模块，具体用于：

向所述终端发送所述入口服务器的证书并接收所述终端对所述入口服务器的认证结果；

向所述终端发送证书获取请求；

接收所述终端发送的终端证书，所述终端证书中包括所述终端的标识信息；

所述入口处理模块，具体用于根据所述终端证书完成对所述终端的认证。

可选的，所述终端证书通过如下方式获得：

所述终端根据所述终端的标识信息，生成证书请求CSR文件；

所述终端向证书颁发机构发送所述CSR，以使所述证书颁发机构根据所述CSR生成所述终端证书；

所述终端接收所述证书颁发机构发送的所述终端证书。

可选的，所述访问请求中包括端口号；

所述入口认证模块，具体用于根据所述端口号，确定所述访问请求对应的SSL认证方式为双向认证或单向认证。

可选的，所述入口收发模块，用于接收所述终端发送的https请求；

所述入口处理模块，具体用于将所述https请求转换成http请求，并在所述http请求的报文头中插入所述终端的标识信息；

所述入口收发模块，用于将加入标识信息的所述http请求发送给所述后台服务器。

一种基于SSL认证的访问控制装置，包括：

后台收发模块，用于接收入口服务器发送的访问请求；

后台认证模块，用于根据所述访问请求中是否包括终端的标识信息，确定所述访问请求对应的SSL认证方式；

后台处理模块，用于根据所述访问请求对应的SSL认证方式，对所述终端进行验证；

所述后台处理模块，还用于在对终端验证通过后，处理所述访问请求；

所述后台收发模块，还用于向所述入口服务器发送处理结果。

可选的，所述后台处理模块，还用于：

若所述访问请求对应的SSL认证方式为单向认证，则所述访问请求中包括所述终端的登录账号和密码，验证所述登录账号和所述密码是否匹配；

若所述访问请求对应的SSL认证方式为双向认证，则所述访问请求的报文头中包括所述终端的标识信息，验证所述终端的标识信息是否已登记。

本发明实施例中，入口服务器接收终端发送的访问请求，并根据该访问请求确定对应的SSL认证方式为双向认证还是单向认证。若该访问请求的SSL认证方式为双向认证，则入口服务器与终端进行双向认证。双向认证通过后，入口服务器将终端的标识信息加入访问请求中，并将加入标识信息的访问请求发送给后台服务器。由于双向认证能够为终端的访问提供更为安全的保证，相较于双向认证，单向认证的安全性较低。因此，对于不同的认证方式，对应的访问请求的权限不同。后台服务器可以根据访问请求中是否携带终端的标识信息，来确定终端与入口服务器之间的SSL认证方式，从而进一步确定终端的访问权限。这样，可以将SSL双向认证的系统和SSL单向认证的系统设置于同一台后台服务器(唯一的IP地址和端口)，提高了后台服务器处理访问请求的灵活性，节省了服务器资源，解决了现有技术中不同认证方式需要单独搭建认证系统的问题。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例所适用的一种系统架构的示意图；

图2为本发明实施例中一种基于SSL协议的访问控制方法的流程图；

图3为本发明实施例一中SSL认证方式为单向认证的基于SSL协议的访问控制方法的流程图；

图4为本发明实施例二中SSL认证方式为双向认证的基于SSL协议的访问控制方法的流程图

图5为本发明实施例中一种基于SSL协议的访问控制装置的结构示意图；

图6为本发明实施例中另一种基于SSL协议的访问控制装置的结构示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明一部份实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

如图1所示，本发明实施例所适用的一种系统架构，包括终端101、入口服务器102和后台服务器103。终端101可以是手机、平板电脑或者是专用的手持设备等具有无线通信功能的电子设备，也可以是个人计算机(personal computer，简称PC)，笔记本电脑，服务器等有线接入方式连接上网的设备。服务器102可以是计算机等网络设备。优选地，入口服务器102为F5服务器，提供互联网访问入口和各个入口的负载均衡。不同SSL认证方式的处理，可以由不同入口服务器102进行处理，即一个入口服务器102处理单向认证，另一个入口服务器102处理双向认证；也可以由同一个入口服务器102的不同端口实现，即入口服务器102上的一个端口处理单向认证，同一个入口服务器102上的另一个端口处理双向认证。后台服务器103可以是一个独立的设备，也可以是多个服务器所形成的服务器集群，用于处理终端发来的访问请求，若后台服务器103为多个服务器，则每个后台服务器中部署的应用系统完全一致，即每个后台服务器均可以处理双向认证对应的访问请求，以及单向认证对应的访问请求。入口服务器102和后台服务器103可以采用云计算技术进行信息处理。

终端101可以通过INTERNET网络与服务器102进行通信，也可以通过全球移动通信系统(Global System for Mobile Communications，简称GSM)、长期演进(long term evolution，简称LTE)系统等移动通信系统与服务器102进行通信。

图2示例性示出了本发明实施例提供的一种基于SSL协议的访问控制方法流程示意图。

基于前述内容，如图2所示，本发明实施例提供的一种针对监控软件的监控方法，包括以下步骤：

步骤201、入口服务器接收终端发送的访问请求。

步骤202、所述入口服务器确定所述访问请求对应的安全套接层SSL认证方式。

步骤203、若为双向认证，则所述入口服务器在与所述终端双向认证通过后，将所述终端的标识信息加入所述访问请求中并发送给后台服务器，所述后台服务器用于根据访问请求中是否携带终端的标识信息来确定终端的访问权限。

本发明实施例中，入口服务器接收终端发送的访问请求，并根据该访问请求确定对应的SSL认证方式为双向认证还是单向认证。若该访问请求的SSL认证方式为双向认证，则入口服务器与终端进行双向认证。双向认证通过后，入口服务器将终端的标识信息加入访问请求中，并将加入标识信息的访问请求发送给后台服务器。由于双向认证能够为终端的访问提供更为安全的保证，相较于双向认证，单向认证的安全性较低。因此，对于不同的认证方式，对应的访问请求的权限不同。后台服务器可以根据访问请求中是否携带终端的标识信息，来确定终端与入口服务器之间的SSL认证方式，从而进一步确定终端的访问权限。这样，可以将SSL双向认证的系统和SSL单向认证的系统设置于同一台后台服务器(唯一的IP地址和端口)，提高了后台服务器处理访问请求的灵活性，节省了服务器资源，解决了现有技术中不同认证方式需要单独搭建认证系统的问题。

用户浏览网络资源或对网络资源进行管理时，通过终端上的浏览器向服务器发送访问请求，服务器基于该访问请求向终端回复终端请求的信息。其中，终端的浏览器和服务器之间传输信息可以基于HTTP(Hyper Text Transport Protocol，超文本传输协议)。为了保证终端和服务器之间信息传输的安全性，在HTTP的基础上加入了SSL协议，即将HTTP换为HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer，基于安全套接层的超文本传输协议)。

本发明实施例中，上述步骤201，所述入口服务器接收终端发送的访问请求，包括：

所述入口服务器接收所述终端发送的https请求。

HTTP是一个客户端与服务器之间请求和应答的标准。客户端安装于终端上，服务器端可以是网站。通过使用网络浏览器、网络爬虫或者其它的工具，客户端发起一个到服务器上指定端口的HTTP请求。服务器上存储着资源，比如HTML(HyperText Markup Language，超级文本标记语言)文件和图像。

通常，由客户端发起一个请求，建立一个到服务器指定端口的TCP连接。HTTP服务器则在那个端口监听客户端发送过来的请求。将收到的请求处理之后，服务器向客户端回复响应消息，响应消息的内容可能是客户端请求的文件、错误消息、或者其它一些信息。

由于HTTP以明文方式发送消息，不提供任何方式的数据加密，安全性很低，如果攻击者截取了浏览器和服务器之间的传输报文，就可以直接读懂其中的信息。

为了解决HTTP的这一缺陷，需要使用另一个协议：安全套接字层超文本传输协议HTTPS。为了数据传输的安全，HTTPS在HTTP的基础上加入了SSL协议，SSL依靠数字证书来验证服务器或客户端的身份，并为客户端和服务器之间的通信加密。

入口服务器接收到终端发送的访问请求后，由于该访问请求是基于HTTPS，则入口服务器需要根据访问请求确定如何认证数字证书。数字证书的认证分为两种方式，双向认证和单向认证，需要入口服务器上配置双向认证和单向认证的数字证书。可以将双向认证的数字证书与单向认证的数字证书配置于不同入口服务器内，这样，一个入口服务器只处理双向认证对应的访问请求，另一个入口服务器只处理单向认证对应的访问请求。不同认证方式的访问请求根据不同的IP地址或者不同网络域名，发送到相应的入口服务器，即双向认证对应的访问请求根据处理双向认证的入口服务器的IP地址，发送至处理双向认证的入口服务器；单向认证对应的访问请求根据处理单向认证的入口服务器的IP地址，发送至处理单向认证的入口服务器。较佳的，本发明实施例中，在一个入口服务器上同时配置双向认证和单向认证的数字证书，通过不同的端口区分访问请求对应的认证方式。则上述步骤202，所述入口服务器确定所述访问请求对应的SSL认证方式，包括：

所述入口服务器接收所述终端发送的所述访问请求，所述访问请求中包括端口号；

所述入口服务器根据所述端口号，确定所述访问请求对应的SSL认证方式为双向认证或单向认证。

由于双向认证和单向认证连接对应的服务器或端口不一样，也就是说，若客户端对应的认证方式为双向认证，则客户端发起的访问请求是直接发送到双向认证对应的服务器或端口；若客户端对应的认证方式为单向认证，则客户端发起的访问请求是发送到单向认证对应的服务器或端口。因此，若同一个入口服务器接收到终端发送的访问请求后，可以根据该访问请求中携带的端口号来判断该访问请求对应的SSL认证方式。

确定了SSL认证方式为双向认证或者单向认证之后，入口服务器执行与客户端之间的SSL认证。

若SSL认证方式为双向认证，则上述步骤203中，入口服务器与所述终端进行双向认证，包括：

所述入口服务器向所述终端发送所述入口服务器的证书并接收所述终端对所述入口服务器的认证结果；

所述入口服务器向所述终端发送证书获取请求；

所述入口服务器接收所述终端发送的终端证书，所述终端证书中包括所述终端的标识信息；

所述入口服务器根据所述终端证书完成对所述终端的认证。

具体来说，入口服务器判断终端发送的访问请求对应的认证方式为双向认证后，向终端发送入口服务器的证书，终端对入口服务器的证书进行认证，认证通过后会向入口服务器反馈认证成功的结果。由于是双向认证，则入口服务器向终端发送请求获取终端的证书，入口服务器接收到终端的证书后，对该终端的证书进行验证，由此完成入口服务器与终端之间的SSL双向认证。

若访问请求对应的认证方式为单向认证，则只需要入口服务器将服务器的数字证书发送给终端，使客户端对入口服务器的证书进行验证，终端无需将终端的证书发送给入口服务器。

也就是说，两种SSL认证方式的不同之处在于，双向认证中终端将证书发送给服务器，单向认证中终端不向服务器发送证书。因此，本发明实施例中，双向认证将证书发送给入口服务器，则可以在证书中加入终端的标识信息，一同发送给入口服务器，入口服务器再将获得的终端的标识信息放入访问请求中发送给后台服务器，则后台服务器可以从双向认证对应的访问请求中获取终端的标识信息。另一方面，单向认证是入口服务器将入口服务器的证书发送给终端，而终端无需发送终端的证书给入口服务器，则入口服务器不获取终端的标识信息，因此，单向认证的情况下，入口服务器发送给后台服务器的访问请求中不携带终端的标识信息。这样，后台服务器可以根据访问请求中是否携带终端的标识信息，判断该访问请求对应的认证方式是双向认证还是单向认证，从而确定该访问请求对应的权限。

上述终端证书通过以下方式获得：

所述终端根据所述终端的标识信息，生成证书请求CSR文件；

所述终端向证书颁发机构发送所述CSR，以使所述证书颁发机构根据所述CSR生成所述终端证书；

所述终端接收所述证书颁发机构发送的所述终端证书。

具体来说，终端利用终端的MAC(Message Authentication Code，消息认证码)、终端序列号等唯一标识生成私钥文件和CSR(Certificate Signing Request，证书请求)文件，并将CSR文件发送给证书颁发机构。证书颁发机构使用证书颁发机构的私钥对该CSR文件签名，就生成了证书公钥文件，也就是颁发给用户终端的证书，并将该终端证书发送回终端，该终端证书可以用于认证终端的安全性。因此，终端证书中携带该终端的标识信息，终端将终端证书发送给入口服务器，入口服务器可以从终端证书中获取终端的标识信息，并将其加入访问请求中。

此外，入口服务器将将所述终端的标识信息加入所述访问请求中并发送给后台服务器，包括：

所述入口服务器将所述https请求转换成http请求，并在所述http请求的报文头中插入所述终端的标识信息；

所述入口服务器将加入标识信息的所述http请求发送给所述后台服务器。

虽然HTTPS相较于HTTP是更为安全的通信协议，但是HTTPS需要后台服务器处理对方发来的证书，加重了后台服务器的工作量。由于入口服务器与后台服务器之间的连接属于内网连接，安全性已经很高，通信无需加密，因此，入口服务器将https请求转换为http请求，发送给后台服务器。同时，若访问请求对应的认证方式为双向认证，入口服务器将http请求中加入终端的标识信息，使得后台服务器可以根据访问请求中携带终端的标识信息，确定该访问请求对应的认证方式为双向认证。

相应的，本发明实施例中，后台服务器接收到访问请求后，根据该访问请求对应的认证方式，对访问请求进行处理，具体包括：

后台服务器接收入口服务器发送的访问请求；

所述后台服务器根据所述访问请求中是否包括终端的标识信息，确定所述访问请求对应的SSL认证方式；

所述后台服务器根据所述访问请求对应的SSL认证方式，对所述终端进行验证；

所述后台服务器在对终端验证通过后，处理所述访问请求，并向所述入口服务器发送处理结果。

由于SSL认证方式为两种，双向认证或单向认证，则针对不同的认证方式，后台服务器根据访问请求，对终端进行不同验证。

若所述访问请求对应的SSL认证方式为单向认证，则所述访问请求中包括所述终端的登录账号和密码，所述后台服务器验证所述登录账号和所述密码是否匹配。

对于单向认证，由于这种认证方式的安全性较低，则需要用户预先注册账户。后台服务器接收到访问请求后，验证该访问请求中携带的登录账号和密码是否正确且匹配，并将处理结果按源地址返回终端。

若所述访问请求对应的SSL认证方式为双向认证，则所述访问请求的报文头中包括所述终端的标识信息，所述后台服务器验证所述终端的标识信息是否已登记。

对于双向认证，这种认证方式的安全性较高，无需用户通过账号密码登录，后台服务器中会预先将终端的标识信息进行登记。这样，当终端发来访问请求时，后台服务器验证该访问请求中携带的终端的标识信息是否已存储在后台服务器中，若是，则通过对该访问请求的验证，否则不通过。

为了更清楚地理解本发明，下面以具体的实施例对上述流程进行详细描述，实施例一中的SSL认证方式为单向认证，具体步骤如图3所示，包括：

步骤301、终端向入口服务器发送https请求，该https请求中包括账号和密码，以及访问地址即端口号。其中，登录账号和密码，以及端口号，为终端注册时，向入口服务器申请获取。

步骤302、入口服务器根据https请求中的端口号，确定该https请求对应的SSL认证方式为单向认证。

步骤303、入口服务器向终端发送入口服务器的证书。

步骤304、在接收到终端反馈的验证通过消息后，入口服务器将https请求转换为http请求。

步骤305、入口服务器将http请求发送给后台服务器。

步骤306、后台服务器根据http请求中不包括终端的标识信息，确定该http请求对应的认证方式为单向认证。

步骤307、后台服务器处理该http请求。

步骤308、后台服务器向入口服务器发送处理结果。

步骤309、入口服务器向终端发送处理结果。

实施例二中的SSL认证方式为双向认证，具体步骤如图4所示，包括：

步骤401、终端向入口服务器发送https请求，该https请求中包括访问地址即端口号。

步骤402、入口服务器根据https请求中的端口号，确定该https请求对应的SSL认证方式为双向认证。

步骤403、入口服务器向终端发送入口服务器的证书。

步骤404、终端对入口服务器的证书进行验证，并向入口服务器反馈验证结果。

步骤405、在接收到终端反馈的验证通过消息后，入口服务器向终端发送证书请求。

步骤406、终端将终端证书发送给入口服务器，其中，终端证书中包括终端的标识信息。

步骤407、入口服务器对终端证书验证通过后，将https请求转换为http请求，并将终端的标识信息加入http请求中。

步骤408、入口服务器将http请求发送给后台服务器。

步骤409、后台服务器根据http请求中包括终端的标识信息，确定该http请求对应的认证方式为双向认证。

步骤410、后台服务器处理该http请求。

步骤411、后台服务器向入口服务器发送处理结果。

步骤412、入口服务器向终端发送处理结果。

基于相同的技术构思，本发明实施例还提供一种基于SSL协议的访问控制装置，如图5所示，包括：

入口收发模块501，用于接收终端发送的访问请求；

入口认证模块502，用于确定所述访问请求对应的SSL认证方式；

入口处理模块503，用于若为双向认证，则在与所述终端双向认证通过后，将所述终端的标识信息加入所述访问请求中；

所述入口收发模块501，还用于将所述访问请求发送给后台服务器，所述后台服务器用于根据访问请求中是否携带终端的标识信息来确定终端的访问权限。

可选的，所述入口收发模块501，具体用于：

向所述终端发送所述入口服务器的证书并接收所述终端对所述入口服务器的认证结果；

向所述终端发送证书获取请求；

接收所述终端发送的终端证书，所述终端证书中包括所述终端的标识信息；

所述入口处理模块，具体用于根据所述终端证书完成对所述终端的认证。

可选的，所述终端证书通过如下方式获得：

所述终端根据所述终端的标识信息，生成证书请求CSR文件；

所述终端向证书颁发机构发送所述CSR，以使所述证书颁发机构根据所述CSR生成所述终端证书；

所述终端接收所述证书颁发机构发送的所述终端证书。

可选的，所述访问请求中包括端口号；

所述入口认证模块502，具体用于根据所述端口号，确定所述访问请求对应的SSL认证方式为双向认证或单向认证。

可选的，所述入口收发模块501，用于接收所述终端发送的https请求；

所述入口处理模块503，具体用于将所述https请求转换成http请求，并在所述http请求的报文头中插入所述终端的标识信息；

所述入口收发模块501，用于将加入标识信息的所述http请求发送给所述后台服务器。

另一种基于SSL认证的访问控制装置，如图6所示，包括：

后台收发模块601，用于接收入口服务器发送的访问请求；

后台认证模块602，用于根据所述访问请求中是否包括终端的标识信息，确定所述访问请求对应的SSL认证方式；

后台处理模块603，用于根据所述访问请求对应的SSL认证方式，对所述终端进行验证；

所述后台处理模块603，还用于在对终端验证通过后，处理所述访问请求；

所述后台收发模块601，还用于向所述入口服务器发送处理结果。

可选的，所述后台处理模块603，还用于：

若所述访问请求对应的SSL认证方式为单向认证，则所述访问请求中包括所述终端的登录账号和密码，验证所述登录账号和所述密码是否匹配；

若所述访问请求对应的SSL认证方式为双向认证，则所述访问请求的报文头中包括所述终端的标识信息，验证所述终端的标识信息是否已登记。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。