一种在外网中实现服务器网络访问限制的控制方法及控制装置与流程

本发明属于互联网安全管理领域，特别涉及一种在外网中实现服务器网络访问限制的控制方法及控制装置。

背景技术

随着时代的进步，科技的飞速发展，人们的生活水平也逐渐提高，伴随着互联网的普及，越来越多的家庭及单位都离不开网络了，人们不论是购物、工作还是交友，都可以通过互联网轻松的完成。

现如今，生活的节奏越来越快，工作的压力也越来越大，稍有不慎就有可能面临淘汰的危机，所以，很多人们通常都通过加班来完成工作任务或多做一些业绩，所以，一天中绝大部分时间都是在公司或单位中度过的，根本没有时间在家中享受家庭温暖。

随着无纸化办公越来越普及，很多工作都可以通过互联网来完成，但是，一般公司的资料都需要进行商业保密，所以很多公司的办公网页或办公网站都会设置固定的域名，使得通过外网无法进入，所以为了使人们能够在家中也能够正常办公，就必须通过一些方式才能进行。

目前市场上常见的外网访问内网服务器通常只需要一个网址、用户名及密码就可以随意登录进入公司的内网，但是，这样的登录方式并不安全，现如今的网络中经常会出现一些安全隐患，从而使其账号密码全部被盗用，而一旦被盗用登录进入公司内网，对公司的损失将无法估量。

而目前，市场上并没有一种能够实现外网访问限制的方法，特别涉及一种在外网中实现服务器网络访问限制的控制方法及控制装置。

技术实现要素：

针对现有技术存在的技术缺陷，本发明的目的是提供一种在外网中实现服务器网络访问限制的控制方法，其用于当用户终端接入服务器网络时进行限制访问，包括如下步骤：

a.基于用户终端ip信息判断是否具有访问权限，若有，则进入步骤b；

b.接收来自用户终端使用私钥加密后的请求信息并基于与所述请求信息相关联的握手协议判断是否具有访问权限，若有，则进入步骤c；

c.所述用户终端与所述服务器网络实现数据交换。

优选地，所述步骤a包括如下步骤：

a1：基于用户的网络信息获取用户终端的ip信息；

a2：将所述用户终端的ip信息与所述服务器网络中的ip访问段进行匹配，确定所述用户终端ip信息是否具有访问权限。

优选地，所述步骤b包括如下步骤：

b1：用户终端使用私钥加密所述请求信息；

b2：服务器网络使用与所述私钥相匹配的公钥进行解密，获取所述请求信息；

b3：基于所述请求信息验证所述用户终端的安全信息。

优选地，在所述步骤b中，所述请求信息包括：

tsl版本协议信息；

加密套件候选列表；

压缩算法候选列表；

随机数；以及

扩展字段。

优选地，在所述步骤b3中，所述安全信息包括：

协议证书的合法性；

证书链的可信性；

证书是否吊销；

有效期；以及

域名。

优选地，所述步骤b3包括如下步骤:

b31：用户终端基于请求信息以及安全信息确定协商密钥；

b32用户终端基于协商密钥以及随机生成的数据与服务器网络完成数据握手验证。

根据本发明的另一个方面，提供了一种在外网中实现服务器网络访问限制的控制装置，包括：

第一判断装置1：基于用户终端ip信息判断是否具有访问权限；

第二判断装置2：接收来自用户终端使用私钥加密后的请求信息并基于与所述请求信息相关联的握手协议判断是否具有访问权限；

第一处理装置3：所述用户终端与所述服务器网络实现数据交换。

优选地，还包括：

第一获取装置11：基于用户的网络信息获取用户终端的ip信息；

第一确定装置12：将所述用户终端的ip信息与所述服务器网络中的ip访问段进行匹配，确定所述用户终端ip信息是否具有访问权限。

优选地，还包括：

第二处理装置21：用户终端使用私钥加密所述请求信息；

第二获取装置22：服务器网络使用与所述私钥相匹配的公钥进行解密，获取所述请求信息；

第三处理装置23：基于所述请求信息验证所述用户终端的安全信息。

优选地，包括：

第二确定装置231：用户终端基于请求信息以及安全信息确定协商密钥；

第四处理装置232：用户终端基于协商密钥以及随机生成的数据与服务器网络完成数据握手验证。

本发明提供了一种在外网中实现服务器网络访问显示的控制方法及控制装置，其主要解决服务器集群的接入控制问题，在公网环境下服务器组建成的集群，提供一种安全的访问权限控制的方法，阻止未经授权的用户接入和访问。通过判断用户ip是否具有访问权限，再通过私钥加密后基于握手协议判断是否具有访问资格，并最终实现用户终端与所述服务器网络交换的效果，本发明操作简单，使用方便，提供了一种在外网中实现服务器网络访问显示的控制方法及控制装置，具有极高的商业价值。

附图说明

通过阅读参照以下附图对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显：

图1示出了本发明的具体实施方式的，一种在外网中实现服务器网络访问显示的控制方法的具体流程示意图；

图2示出了本发明的第一实施例的，用户终端关闭p2p网络发现协议并输入节点间通信的端口号的具体流程示意图；

图3示出了本发明的第二实施例的，基于用户终端ip信息判断是否具有访问权限的具体流程示意图；

图4示出了本发明的第三实施例的，接收来自用户终端使用私钥加密后的请求信息并基于与所述请求信息相关联的握手协议判断是否具有访问权限的具体流程示意图；

图5示出了本发明的第四实施例的，基于所述请求信息验证所述用户终端的安全信息的具体流程示意图；以及

图6示出了本发明的另一具体实施方式的，一种在外网中实现服务器网络访问显示的控制装置的模块连接示意图。

具体实施方式

为了更好的使本发明的技术方案清晰的表示出来，下面结合附图对本发明作进一步说明。

图1示出了本发明的具体实施方式的，一种在外网中实现服务器网络访问显示的控制方法的具体流程示意图，具体地，包括如下步骤：

首先，进入步骤s101，基于用户终端ip信息判断是否具有访问权限，若有，则进入步骤s102，此步骤为判断步骤，本领域技术人员理解，由于很多的服务器内包含了很多商业机密以及技术核心，所以必须设置访问权限，而最有效的办法就是设置固定的访问ip，只允许固定的人员通过外网进行访问，才能有效的控制安全隐患，防止机密或技术泄露，在这样的条件下，首先就需要在服务器中设置允许访问的ip地址，若访问的ip地址核对后，并不具有访问权限，则立即中断关联，若具有访问权限，则执行后续步骤s102。

然后，进入步骤s102，接收来自用户终端使用私钥加密后的请求信息并基于与所述请求信息相关联的握手协议判断是否具有访问权限，若有，则进入步骤s103，此步骤为判断步骤，本领域技术人员理解，在确认了访问的ip具备访问权限后，为了防止用户终端丢失或是用户ip被盗用等突发状况的发生，需进行第二部的验证，即用户通过账号及密码的登录方式或手机收取验证短信等方式进行二次验证，同时，由于用户通过外网对服务器进行访问，需基于握手协议的验证才能对服务器进行访问，客户端向服务器发出请求信息，以文明传输请求信息，所述请求信息包含sl版本协议信息、加密套件候选列表、压缩算法候选列表、随机数以及扩展字段等信息，具体地，sl版本协议信息支持最高tsl协议版本version，若版本从低到高依次为sslv2、sslv3、tlsv1、tlsv1.1、tlsv1.2，则当前基本不再使用低于tlsv1的版本，客户端支持的加墨套件ciphersuites列表，每个加密套件对应前面tls原理中的四个功能的组合，即认证算法au(身份验证)、密钥交换算法keyexchange(密钥协商)、对称加密算法enc(信息加密)及信息摘要mac(完整性校验)，支持的压缩算法comoressionmethods列表，用于后续的信息压缩传输，随机数random_c，用于后续的密钥的生成，扩展字段extensions，支持协议与算法的相关参数以及其它辅助信息等，常见的sni就属于扩展字段。

最后，进入步骤s103，所述用户终端与所述服务器网络实现数据交换，当用户通过外网与所述服务器实现了连接，则用户端上即可在服务器内进行访问及操作，而服务器基于用户的操作向用户终端传输相应的反馈，实现数据交换，相应的，若用户通过外网实现了与服务器的连接，当用户需要下载文件或访问加密文件时，则需要再一次的进行验证，所述服务器也会自动生成提醒信息，向该文件的负责人进行发送。

图2示出了本发明的第一实施例的，用户终端关闭p2p网络发现协议并输入节点间通信的端口号的具体流程示意图。

本领域技术人员理解，在步骤s201及步骤s202中，用户终端关闭p2p网络发现协议并输入节点间通信的端口号，在这样的实施例中，用户首先关闭p2p网络发现协议，避免被其他终端发现联入，然后修改节点间通信的端口号，并且监听在内网地址上，只有接入内网的终端可以直接连接，紧接着，基于私钥和公钥的身份信息认证，再然后基于协商秘钥的握手协议实现，同时基于防火墙的ip和端口限制，然后修改服务端口号，并且只有通过代理服务器才能访问服务。

本领域技术人员理解，服务器组网步骤和接入控制内容包括指定ip和端口号的服务器，可以相互连接；只有内网ip的服务器，可以相互连接；基于私钥和公钥的身份信息认证；基于协商秘钥的握手协议验证以及基于防火墙的ip和端口限制。

而对于用户终端的接入控制：用户终端不能直接连入服务器组成的网络，但可以访问服务器的提供的服务，用户终端只能通过代理服务器访问。

图3示出了本发明的第二实施例的，基于用户终端ip信息判断是否具有访问权限的具体流程示意图，本领域技术人员理解，所述图3为所述图1中步骤s101的子步骤，具体地，包括如下步骤：

首先，进入步骤s1011，基于用户的网络信息获取用户终端的ip信息，ip是英文internetprotocol的缩写，意思是网络之间互联的协议，也就是为计算机网络相互连接进行通信而设计的协议，ip地址被用来给internet上的电脑一个编号，大家日常常见到的情况是每台联网的pc上都需要有ip地址，才能正常通信，而在这样的实施例中，就是要基于用户的网络信息以及pc信息获取到用户终端的ip信息。

在一个优选地实施例中，用户还可以通过某些ip代理软件来提供ip地址，例如，用户的公司为能够有权限从外网登录服务器的工作人员配置专属ip，而这种专属ip需要通过某些ip代理软件来进行操作，这样则可以使用户并不局限于某一台终端进行登录。

最后，进入步骤s1012将所述用户终端的ip信息与所述服务器网络中的ip访问段进行匹配，确定所述用户终端ip信息是否具有访问权限，本领域技术人员理解，在这样的实施例中，首先需要在待访问的服务器中设置数据库，用于储存具有访问权限的ip或ip访问段，然后，将用户终端中的ip地址在数据库中进行匹配，若匹配成功，则可以进行下一步的操作，若匹配后发现用户的终端ip不具备访问权限，则断开连接。

在一个优选地实施例中，用户通过终端向服务器进行访问，但通过ip地址的匹配，发现用户的终端ip并不具备访问权限，此时，用户可通过联系网络管理员，获取动态码进行访问，也可以通过网络管理员在服务器中添加用户ip地址，从而使用户终端能够具备访问资格。

图4示出了本发明的第三实施例的，接收来自用户终端使用私钥加密后的请求信息并基于与所述请求信息相关联的握手协议判断是否具有访问权限的具体流程示意图，本领域技术人员理解，所述图4是所述图1中步骤s102的子步骤，具体地，包括如下步骤：

首先，进入步骤s1021，用户终端使用私钥加密所述请求信息，在这样的实施例中，用户通过终端向所述服务器发出请求信息，所述请求信息被用户通过私钥加密的方式进行发送，所示私钥加密使用单个私钥来加密和解密数据，由于具有密钥的任意一方都可以使用该密钥解密，所以必须辅以公钥才能确保信息的隐秘及访问的安全。

而在接下来的步骤s1022中，服务器网络使用与所述私钥相匹配的公钥进行解密，获取所述请求信息，公钥和私钥成对出现，当用户通过终端向所述服务器发出请求信息并附带私钥时，所述服务器通过公钥对所述私钥进行解密，而通过私钥加密的数据若能够被公钥加密，则说明配对成功，即代表用户通过了配对，具备访问权限，如果可以通过公钥进行解密，则说明必然是对应的私钥加的密，反之，如果通过私钥进行解密，则必然是对应的公钥加的密。

在一个优选地实施例中，用户通过终端向待访问服务器发出访问请求信息，此时服务器会向用户发出公钥，需用户输入私钥进行配对，若配对成功，则证明用户具备访问权限。

最后，进入步骤s1023，基于所述请求信息验证所述用户终端的安全信息，用户通过私钥与服务器的公钥进行配对成功后，所述服务器需进一步地验证用户访问终端的安全信息，本领域技术人员理解，所述安全信息包括：协议证书的合法性、证书链的可信性、证书是否吊销、有效期以及域名，即协议证书的合法性，如果验证通过才会进行后续通信，否则会根据错误情况不同作出不同的提示和操作，而协议证书的合法性的验证包括验证证书链的可信性、证书书否被吊销、证书是否在有效的时间范围内及检查证书域名是否与当前的访问域名匹配。

图5示出了本发明的第四实施例的，基于所述请求信息验证所述用户终端的安全信息的具体流程示意图，本领域技术人员理解，所述图5是所述图4中步骤s1023的子步骤，具体地，包括如下步骤：

首先，进入步骤s10231，用户终端基于请求信息以及安全信息确定协商密钥，本领域技术人员理解，当服务器对访问的终端的合法性验证通过后，用户的终端计算产生随机数字，并用公证书公钥加密，发送至服务器，然后，此时用户终端已经获取到全部的计算协商密钥需要的信息，即两个明文随机数和用户的终端计算产生随机数字，由此计算出协商密钥，用户终端通知服务器后续的通信都采用协商的通信密钥和加密算法进行加密通信。

最后，进入步骤s10232，用户终端基于协商密钥以及随机生成的数据与服务器网络完成数据握手验证，结合之前所有通信参数的hash值与其它相关信息生成一段数据，采用协商密钥与算法进行加密，然后发送给服务器用于数据与握手验证，服务器用私钥解密加密的用户终端的数据，基于之前交换的两个明文随机数，计算得到协商密钥，计算之前所有接收信息的hash值，然后解密用户终端发送的数据，验证数据即密钥的正确性，用户终端计算所有接受信息的hash值，验证服务器发送的数据及密钥，验证通过则握手完成，在握手协议完成后，则可以与服务器进行通信及数据交互了。

图6示出了本发明的另一具体实施方式的，一种在外网中实现服务器网络访问显示的控制装置的模块连接示意图，本领域技术人员理解，本发明提供了一种在外网中实现服务器网络访问限制的控制装置，包括：第一判断装置1：基于用户终端ip信息判断是否具有访问权限，由于很多的服务器内包含了很多商业机密以及技术核心，所以必须设置访问权限，而最有效的办法就是设置固定的访问ip，只允许固定的人员通过外网进行访问，才能有效的控制安全隐患，防止机密或技术泄露，在这样的条件下，首先就需要在服务器中设置允许访问的ip地址，若访问的ip地址核对后，并不具有访问权限，则立即中断关联，若具有访问权限，则执行第二判断装置2，所述第一判断装置1与所述第二判断装置2连接，并分别连接所述第一获取装置11及所述第一确定装置12。

进一步地，还包括第二判断装置2：接收来自用户终端使用私钥加密后的请求信息并基于与所述请求信息相关联的握手协议判断是否具有访问权限，在确认了访问的ip具备访问权限后，为了防止用户终端丢失或是用户ip被盗用等突发状况的发生，需进行第二部的验证，即用户通过账号及密码的登录方式或手机收取验证短信等方式进行二次验证，同时，由于用户通过外网对服务器进行访问，需基于握手协议的验证才能对服务器进行访问，客户端向服务器发出请求信息，以文明传输请求信息，所述请求信息包含sl版本协议信息、加密套件候选列表、压缩算法候选列表、随机数以及扩展字段等信息，所述第二判断装置2与所述第一判断装置1及所述第一处理装置3连接，并分别连接所述第二处理装置21、所述第二获取装置22及所述第三处理装置23。

进一步地，还包括第一处理装置3：所述用户终端与所述服务器网络实现数据交换，当用户通过外网与所述服务器实现了连接，则用户端上即可在服务器内进行访问及操作，而服务器基于用户的操作向用户终端传输相应的反馈，实现数据交换，相应的，若用户通过外网实现了与服务器的连接，当用户需要下载文件或访问加密文件时，则需要再一次的进行验证，所述服务器也会自动生成提醒信息，向该文件的负责人进行发送，所述第一处理装置3与所述第二判断装置2连接。

进一步地，还包括第一获取装置11：基于用户的网络信息获取用户终端的ip信息，ip是英文internetprotocol的缩写，意思是网络之间互联的协议，也就是为计算机网络相互连接进行通信而设计的协议，ip地址被用来给internet上的电脑一个编号，大家日常常见到的情况是每台联网的pc上都需要有ip地址，才能正常通信，而在这样的实施例中，就是要基于用户的网络信息以及pc信息获取到用户终端的ip信息，所述第一获取装置11与所述第一判断装置1及所述第一确定装置12连接。

进一步地，还包括第一确定装置12：将所述用户终端的ip信息与所述服务器网络中的ip访问段进行匹配，确定所述用户终端ip信息是否具有访问权限，首先需要在待访问的服务器中设置数据库，用于储存具有访问权限的ip或ip访问段，然后，将用户终端中的ip地址在数据库中进行匹配，若匹配成功，则可以进行下一步的操作，若匹配后发现用户的终端ip不具备访问权限，则断开连接，所述第一确定装置12与所述第一判断装置1及所述第一获取装置11连接。

进一步地，还包括第二处理装置21：用户终端使用私钥加密所述请求信息，用户通过终端向所述服务器发出请求信息，所述请求信息被用户通过私钥加密的方式进行发送，所示私钥加密使用单个私钥来加密和解密数据，由于具有密钥的任意一方都可以使用该密钥解密，所以必须辅以公钥才能确保信息的隐秘及访问的安全，所述第二处理装置21与所述第二判断装置2连接，并分别连接所述第二获取装置22及所述第三处理装置23。

进一步地，还包括第二获取装置22：服务器网络使用与所述私钥相匹配的公钥进行解密，获取所述请求信息，公钥和私钥成对出现，当用户通过终端向所述服务器发出请求信息并附带私钥时，所述服务器通过公钥对所述私钥进行解密，而通过私钥加密的数据若能够被公钥加密，则说明配对成功，即代表用户通过了配对，具备访问权限，如果可以通过公钥进行解密，则说明必然是对应的私钥加的密，反之，如果通过私钥进行解密，则必然是对应的公钥加的密，所述第二获取装置22与所述第二判断装置2连接，并分别连接所述第二处理装置21及所述第三处理装置23。

进一步地，还包括第三处理装置23：基于所述请求信息验证所述用户终端的安全信息，用户通过私钥与服务器的公钥进行配对成功后，所述服务器需进一步地验证用户访问终端的安全信息，本领域技术人员理解，所述安全信息包括：协议证书的合法性、证书链的可信性、证书是否吊销、有效期以及域名，即协议证书的合法性，如果验证通过才会进行后续通信，否则会根据错误情况不同作出不同的提示和操作，而协议证书的合法性的验证包括验证证书链的可信性、证书书否被吊销、证书是否在有效的时间范围内及检查证书域名是否与当前的访问域名匹配，所述第三处理装置23与所述第二判断装置2、所述第二处理装置21及所述第二获取装置22连接，并分别连接所述第二确定装置231及所述第四处理装置232。

进一步地，还包括第二确定装置231：用户终端基于请求信息以及安全信息确定协商密钥，服务器对访问的终端的合法性验证通过后，用户的终端计算产生随机数字，并用公证书公钥加密，发送至服务器，然后，此时用户终端已经获取到全部的计算协商密钥需要的信息，即两个明文随机数和用户的终端计算产生随机数字，由此计算出协商密钥，用户终端通知服务器后续的通信都采用协商的通信密钥和加密算法进行加密通信，所述第二确定装置231与所述第三处理装置23及所述第四处理装置232连接。

进一步地，还包括第四处理装置232：用户终端基于协商密钥以及随机生成的数据与服务器网络完成数据握手验证，结合之前所有通信参数的hash值与其它相关信息生成一段数据，采用协商密钥与算法进行加密，然后发送给服务器用于数据与握手验证，服务器用私钥解密加密的用户终端的数据，基于之前交换的两个明文随机数，计算得到协商密钥，计算之前所有接收信息的hash值，然后解密用户终端发送的数据，验证数据即密钥的正确性，用户终端计算所有接受信息的hash值，验证服务器发送的数据及密钥，验证通过则握手完成，在握手协议完成后，则可以与服务器进行通信及数据交互了，所述第四处理装置232与所述第三处理装置23及所述第二确定装置231连接。

以上对本发明的具体实施例进行了描述。需要理解的是，本发明并不局限于上述特定实施方式，本领域技术人员可以在权利要求的范围内做出各种变形或修改，这并不影响本发明的实质内容。