一种业务访问方法、装置、终端、服务器及存储介质与流程

本发明涉及通信技术领域，具体涉及一种业务访问方法、装置、终端、服务器及存储介质。

背景技术：

随着互联网的发展，企业it架构正在从“有边界”向“无边界”转变。

过去企业it基础设备及用户办公都是在企业内网，企业it架构是有边界的。在移动化和云化的大背景下，越来越多的业务系统上云，企业的网络环境也越来越复杂。

当企业的业务系统(oa，crm，cms等)迁移到云端时，企业的各业务系统是暴露在公网云上，非常容易被探测发现，并遭受攻击。

技术实现要素：

本发明实施例的目的在于提供一种业务访问方法、装置、终端、服务器及存储介质，用以解决现有云端业务系统易被发现和攻击的问题。

为实现上述目的，本发明实施例提供一种业务访问方法，应用于认证服务器，所述认证服务器设置在业务服务器侧；所述业务访问方法包括：认证服务器从客户端接收认证信息，所述客户端为所述认证服务器关联的客户端；根据所述认证信息建立所述认证服务器和所述客户端之间的通信链路；所述通信链路用于从所述客户端接收业务访问请求，所述业务访问请求用于请求访问所述业务服务器。

在一种可能的实现方式中，认证服务器从客户端接收认证信息的步骤包括：所述认证服务器通过用户数据报协议端口从所述客户端接收所述认证信息。

在一种可能的实现方式中，所述认证信息包括以下任一种或多种：终端标识、用户的身份标识；所述根据所述认证信息建立所述认证服务器和所述客户端之间的通信链路的步骤包括以下子步骤中的任一个或多个：根据所述终端的标识验证所述终端是否为合法终端，根据所述用户的身份标识验证所述用户是否为合法用户，根据所述认证信息验证所述客户端是否为合法客户端；当所述终端为合法终端和/或所述用户为合法用户和/或所述客户端为合法客户端时，建立所述通信链路。

在一种可能的实现方式中，所述根据所述认证信息建立所述认证服务器和所述客户端之间的通信链路的步骤包括：根据所述认证信息在预设时间内为所述客户端开放业务访问端口，以在所述预设时间内利用所述业务访问端口完成所述通信链路的建立。

本发明实施例第二方面提供了一种业务访问方法，应用于终端，所述终端上安装有客户端；所述业务访问方法包括：通过所述客户端向认证服务器发送认证信息，所述客户端为所述认证服务器关联的客户端，所述认证服务器设置在业务服务器侧；所述认证信息用于建立所述认证服务器和所述客户端之间的通信链路；所述通信链路用于通过所述客户端向所述认证服务器发送业务访问请求，所述业务访问请求用于请求访问业务服务器。

本发明实施例第三方提供了一种业务访问装置，所述业务访问装置设置在业务服务器侧；所述业务访问装置包括：第一通信单元，用于从客户端接收认证信息，所述客户端为所述业务访问装置关联的客户端，处理单元，用于根据所述认证信息建立所述业务访问装置和所述客户端之间的通信链路；所述通信链路用于从所述客户端接收业务访问请求，所述业务访问请求用于请求访问所述业务服务器。

本发明实施例第四方面提供了一种业务访问装置，所述业务访问装置上安装有客户端；所述业务访问装置包括：通信单元，用于通过所述客户端向认证服务器发送认证信息，所述客户端为所述认证服务器关联的客户端，所述认证服务器设置在业务服务器侧；所述认证信息用于建立所述认证服务器和所述客户端之间的通信链路；所述通信链路用于通过所述客户端向所述认证服务器发送业务访问请求，所述业务访问请求用于请求访问业务服务器。

本发明实施例第五方面提供了一种业务访问装置，所述业务访问装置上安装有客户端；所述业务访问装置包括：

第二通信单元，用于通过所述客户端向认证服务器发送认证信息，所述客户端为所述认证服务器关联的客户端，所述认证服务器设置在业务服务器侧；所述认证信息用于建立所述认证服务器和所述客户端之间的通信链路；所述通信链路用于通过所述客户端向所述认证服务器发送业务访问请求，所述业务访问请求用于请求访问业务服务器。

本发明第五方面提供了一种认证服务器，包括第一处理器、第一存储器、第一通信接口；所述第一存储器用于存储计算机执行指令，所述第一处理器与所述第一存储器、所述第一通信接口连接，当所述认证服务器运行时，所述第一处理器执行所述第一存储器存储的所述计算机执行指令，以使所述认证服务器执行第一方面所述的业务访问方法。

本发明第六方面提供了一种终端，包括第二处理器、第二存储器、第二通信接口；所述第二存储器用于存储计算机执行指令，所述第二处理器与所述第二存储器、所述第二通信接口连接，当所述终端运行时，所述第二处理器执行所述第二存储器存储的所述计算机执行指令，以使所述终端执行第二方面所述的业务访问方法。

本发明实施例第七方面提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机执行指令，当所述计算机执行指令在计算机上运行时，使得计算机执行第一方面所述的业务访问方法或第二方面所述的业务访问方法。

本发明实施例具有如下优点：将业务系统隐藏在认证服务器后面，业务系统可以始终保持隐身不可见，隐藏的业务系统就成一个不可见边界；用户可以通过客户端和认证服务器之间的通信链路访问业务系统，从而在不影响用户访问业务系统的同时，避免了业务系统被发现或攻击。

附图说明

图1为本发明实施例1提供的一种业务访问方法流程图。

图2为本发明实施例2提供的一种业务方法装置结构示意图。

图3为本发明实施例3提供的一种业务方法装置结构示意图。

图4为本发明实施例4提供的一种认证服务器结构示意图。

图5为本发明实施例5提供的一种终端的结构示意图。

图中：11-12.步骤，21.第一通信单元，22.处理单元，31.第二通信单元，41.第一处理单元，42.第一存储器，43.第一通信接口，51.第二处理单元，52.第二存储单元，53.第二通信接口。

具体实施方式

以下由特定的具体实施例说明本发明的实施方式，熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效。

须知，本说明书所附图式所绘示的结构、比例、大小等，均仅用以配合说明书所揭示的内容，以供熟悉此技术的人士了解与阅读，并非用以限定本发明可实施的限定条件，故不具技术上的实质意义，任何结构的修饰、比例关系的改变或大小的调整，在不影响本发明所能产生的功效及所能达成的目的下，均应仍落在本发明所揭示的技术内容得能涵盖的范围内。同时，本说明书中所引用的如“上”、“下”、“左”、右”、“中间”等的用语，亦仅为便于叙述的明了，而非用以限定本发明可实施的范围，其相对关系的改变或调整，在无实质变更技术内容下，当亦视为本发明可实施的范畴。

在本发明实施例中，业务服务器始终保持隐身不可见，在采用本发明实施例提供的业务访问方法，通过认证服务器的认证时，才能通过特定的通信链路访问业务服务器。接下来，对本发明实施例提供的业务访问方法进行具体介绍。

实施例1

本实施例提供了一种业务访问方法，执行主体为认证服务器，认证服务器设置在业务服务器侧。

如图1所示，本实施例提供的业务访问方法包括如下步骤。

步骤11、认证服务器从客户端接收认证信息，所述客户端为所述认证服务器关联的客户端。

客户端安装在用户使用的终端上。终端可以为移动终端，例如手机、平板电脑、笔记本等；终端也可以为个人电脑。客户端具体可以为浏览器。

客户端和认证服务器关联，具体关联方式可以为专人预先配置。

认证服务器的地址不公开，只有通过与认证服务器关联的客户端才能发起认证信息。其他客户端因不知认证服务器的地址，不能发起认证请求。

用户通过客户端向认证服务器发起服务请求，具体为发送认证信息。

在一个示例中，所述认证信息包括以下任一种或多种：终端标识、用户的身份标识。

终端标识可以为终端的唯一标识码，用户的身份标识可以为用户自己的企业业务系统登录用户名。客户端发送的认证信息可以作为客户端的标识。

在具体实现中，在用户通过客户端发起服务请求时，可以将用户自己的企业业务系统登录用户名、终端的唯一标识码、随机数、时间戳、客户端版本号、请求类型，请求访问认证服务器的端口等中的一种或多种组装成数据包，将该数据包包括在认证信息中，发给认证服务器。在一个例子中，在组装数据包时，可以进行加密，例如，使用高级加密标准(advancedencryptionstandard，aes)算法加密，计算哈希消息认证码(hash-basedmessageauthenticationcode，hmac)后封装成密文数据包。

在一个示例中，认证服务器从客户端接收认证信息的步骤包括：所述认证服务器通过用户数据报协议(userdatagramprotocol，udp)端口从所述客户端接收所述认证信息。

步骤12、根据所述认证信息建立所述认证服务器和所述客户端之间的通信链路；所述通信链路用于从所述客户端接收业务访问请求，所述业务访问请求用于请求访问所述业务服务器。

认证服务器在接收到认证信息时，验证其中的数据包的合法性、用户合法性、终端的合法性，验证成功后，在动态的为客户端打开请求访问的端口，建立业务访问的通信链路。

在一个示例中，所述认证信息包括以下任一种或多种：终端标识、用户的身份标识、客户端版本号；所述根据所述认证信息建立所述认证服务器和所述客户端之间的通信链路的步骤包括以下子步骤中的任一个或多个：根据所述终端的标识验证所述终端是否为合法终端，根据所述用户的身份标识验证所述用户是否为合法用户，根据所述认证信息验证所述客户端是否为合法客户端；当所述终端为合法终端和/或所述用户为合法用户和/或所述客户端为合法客户端时，开放端口，以建立通信链路。

终端的标识可以为终端的唯一标识码，可以根据终端的唯一标识码验证终端是否合法。当终端合法时，开放端口，以建立通信链路。

用户的身份标识可以为用户自己的企业业务系统登录用户名，可以根据用户的自己的企业业务系统登录用户名验证用户是否为合法用户。当用户为合法用户时，开放端口，以建立通信连接。

通过客户端发送的认证信息可以作为客户端的标识，可以用于判断客户端是否合法。当客户端为合法客户端时，开放端口，以建立通信连接。

也可以同时验证终端、用户、客户端的合法性，当终端、用户和客户端都合法时，才开放端口，以建立通信链路。

通过上述数据包，认证服务器可以从多个维度验证并控制用户的行为，从而进一步提高了安全性。

在一个示例中，所述根据所述认证信息建立所述认证服务器和所述客户端之间的通信链路的步骤包括：根据所述认证信息在预设时间内为所述客户端开放业务访问端口，以在所述预设时间内利用所述业务访问端口完成所述通信链路的建立。

在认证信息通过了验证时，认证服务器动态的为客户端端开放业务请求访问的端口。可以设置端口保留时间，在认证服务器为客户端打开业务请求访问的端口后，在端口保留时间内，客户端必须建立与认证服务器的通信链路，否则端口会关闭。从而进一步降低了被攻击的几率。

在客户端和认证服务器之间的通信链路建立后，用户可以通过该客户端业务访问请求，以访问业务服务器；并且用户只能通过客户端和认证服务器之间的通信链路发送业务访问请求，并由认证服务器转发业务访问请求，才能实现对业务服务器的访问。

本实施例具有如下优点：将业务系统隐藏在认证服务器后面，业务系统可以始终保持隐身不可见，隐藏的业务系统就成一个不可见边界；用户可以通过客户端和认证服务器之间的通信链路访问业务系统，从而在不影响用户访问业务系统的同时，避免了业务系统被发现或攻击。

实施例2

本实施例提供了一种业务访问装置，如图2所示，该业务访问装置包括：

第一通信单元21，用于从客户端接收认证信息，所述客户端为所述业务访问装置关联的客户端，

处理单元22，用于根据所述认证信息建立所述业务访问装置和所述客户端之间的通信链路；所述通信链路用于从所述客户端接收业务访问请求，所述业务访问请求用于请求访问所述业务服务器。

本实施例提供的业务访问装置可以参考实施例1记载的内容实现，此处不再赘述。

本实施例具有如下优点：将业务系统隐藏在业务访问装置后面，业务系统可以始终保持隐身不可见，隐藏的业务系统就成一个不可见边界；用户可以通过客户端和业务访问装置之间的通信链路访问业务系统，从而在不影响用户访问业务系统的同时，避免了业务系统被发现或攻击。

实施例3

本实施例提供了一种业务访问装置，如图3所示，该业务访问装置包括：

第二通信单元31，用于通过所述客户端向认证服务器发送认证信息，所述客户端为所述认证服务器关联的客户端，所述认证服务器设置在业务服务器侧；所述认证信息用于建立所述认证服务器和所述客户端之间的通信链路；所述通信链路用于通过所述客户端向所述认证服务器发送业务访问请求，所述业务访问请求用于请求访问业务服务器。

本实施例提供的业务访问装置可以参考实施例1记载的内容实现，此处不再赘述。

本实施例具有如下优点：将业务系统隐藏在认证服务器后面，业务系统可以始终保持隐身不可见，隐藏的业务系统就成一个不可见边界；用户可以通过该业务访问装置和认证服务器之间的通信链路访问业务系统，从而在不影响用户访问业务系统的同时，避免了业务系统被发现或攻击。

实施例4

本实施例提供了一种认证服务器，如图4所示，所述认证服务器包括包括第一处理器41、第一存储器42、第一通信接口43；

所述第一存储器用于存储计算机执行指令，所述第一处理器41与所述第一存储器42、所述第一通信接口43连接，当所述认证服务器运行时，所述第一处理器41执行所述第一存储器存储42的所述计算机执行指令，以使所述认证服务器执行实施例1所述的业务访问方法。

本实施例具有如下优点：将业务系统隐藏在认证服务器后面，业务系统可以始终保持隐身不可见，隐藏的业务系统就成一个不可见边界；用户可以通过客户端和认证服务器之间的通信链路访问业务系统，从而在不影响用户访问业务系统的同时，避免了业务系统被发现或攻击。

实施例5

本实施例提供了一种终端，如图5所示，所述终端包括第二处理器51、第二存储器52、第二通信接口53；所述第二存储器52用于存储计算机执行指令，所述第二处理器51与所述第二存储器52、所述第二通信接口53连接，当所述终端运行时，所述第二处理器51执行所述第二存储器52存储的所述计算机执行指令，以使所述终端执行实施例1所述的业务访问方法。

本实施例具有如下优点：将业务系统隐藏在认证服务器后面，业务系统可以始终保持隐身不可见，隐藏的业务系统就成一个不可见边界；用户可以通过客户端和认证服务器之间的通信链路访问业务系统，从而在不影响用户访问业务系统的同时，避免业务系统了被发现或攻击。

在本发明的实施例中，处理器可以是一种集成电路芯片，具有信号的处理能力。处理器可以是通用处理器、数字信号处理器(digitalsignalprocessor，简称dsp)、专用集成电路(applicationspecific工ntegratedcircuit，简称asic)、现场可编程门阵列(fieldprogrammablegatearray，简称fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。处理器读取存储介质中的信息，结合其硬件完成上述方法的步骤。

存储介质可以是存储器，例如可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。

其中，非易失性存储器可以是只读存储器(read-onlymemory，简称rom)、可编程只读存储器(programmablerom，简称prom)、可擦除可编程只读存储器(erasableprom，简称eprom)、电可擦除可编程只读存储器(electricallyeprom，简称eeprom)或闪存。

易失性存储器可以是随机存取存储器(randomaccessmemory，简称ram)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的ram可用，例如静态随机存取存储器(staticram，简称sram)、动态随机存取存储器(dynamicram，简称dram)、同步动态随机存取存储器(synchronousdram，简称sdram)、双倍数据速率同步动态随机存取存储器(doubledataratesdram，简称ddrsdram)、增强型同步动态随机存取存储器(enhancedsdram，简称esdram)、同步连接动态随机存取存储器(synchlinkdram，简称sldram)和直接内存总线随机存取存储器(directrambusram，简称drram)。

本发明实施例描述的存储介质旨在包括但不限于这些和任意其它适合类型的存储器。

本领域技术人员应该可以意识到，在上述一个或多个示例中，本发明所描述的功能可以用硬件与软件组合来实现。当应用软件时，可以将相应功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质，其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的技术方案的基础之上，所做的任何修改、等同替换、改进等，均应包括在本发明的保护范围之内。