终端身份认证实现方法、系统和控制器与流程

本公开涉及网络安全技术领域，尤其涉及一种终端身份认证实现方法、系统和控制器。

背景技术

目前，服务端系统普遍采用的端口开放模式，合法设备和非法设备等任意设备都可以向服务端发起TCP(Transmission Control Protocol，传输控制协议)连接请求。只有在终端和服务端建立连接后，服务端才能对终端设备的身份合法性进行鉴别，这就导致服务器需要维护大量的会话，并且也给非法终端分配了访问资源。

技术实现要素：

本公开要解决的一个技术问题是，提供一种终端身份认证实现方法、系统和控制器，能够解决非法终端在身份认证前已经与服务端建立连接导致占用服务端资源的问题。

根据本公开一方面，提出一种终端身份认证实现方法，包括：接收终端在接入业务系统前发送的无状态的认证消息；提取认证消息中的终端的身份认证信息；对终端的身份认证信息进行认证；以及根据认证结果控制接入网关进行相应业务端口的开关。

在一些实施例中，认证消息为用户数据报协议UDP认证消息。

在一些实施例中，开放UDP端口，以便通过UDP端口接收终端发送的UDP认证消息。

在一些实施例中，根据认证结果控制接入网关进行相应业务端口的开关包括：若终端通过身份认证，则向接入网关发送端口开放控制策略，以指示接入网关开放终端与接入网关建立连接的端口。

根据本公开的另一方面，还提出一种控制器，包括：认证接收模块，被配置为接收终端在接入业务系统前发送的无状态的认证消息；认证解析模块，被配置为提取认证消息中的终端的身份认证信息；身份认证模块，被配置为对终端的身份认证信息进行认证；以及业务端口控制模块，被配置为根据认证结果控制接入网关进行相应业务端口的开关。

在一些实施例中，认证消息为用户数据报协议UDP认证消息。

在一些实施例中，控制器开放UDP端口，以便认证接收模块通过UDP端口接收终端发送的UDP认证消息。

根据本公开的另一方面，还提出一种控制器，包括：存储器；以及耦接至存储器的处理器，处理器被配置为基于存储在存储器的指令执行如上述的终端身份认证实现方法。

根据本公开的另一方面，还提出一种终端身份认证实现系统，包括：上述的控制器；终端，被配置为在接入业务系统前向控制器发送认证消息；接入网关，被配置为根据控制器发送的端口开放控制策略开放端口；以及业务系统，被配置为通过接入网关开放的端口与终端建立连接。

根据本公开的另一方面，还提出一种非瞬时性计算机可读存储介质，其上存储有计算机程序指令，该指令被处理器执行时实现上述的终端身份认证实现方法。

本公开实施例中，终端在接入业务系统前，必须先向控制器发送认证消息，仅身份认证通过的终端，才被允许接入业务系统，解决了非法终端在身份认证前已经与服务端建立连接导致占用服务端资源的问题。

通过以下参照附图对本公开的示例性实施例的详细描述，本公开的其它特征及其优点将会变得清楚。

附图说明

构成说明书的一部分的附图描述了本公开的实施例，并且连同说明书一起用于解释本公开的原理。

参照附图，根据下面的详细描述，可以更加清楚地理解本公开，其中：

图1为本公开终端身份认证实现方法的一些实施例的流程示意图。

图2为本公开终端身份认证实现方法的另一些实施例的流程示意图。

图3为本公开控制器的一些实施例的结构示意图。

图4为本公开控制器的另一些实施例的结构示意图。

图5为本公开终端身份认证实现系统的一些实施例的结构示意图。

具体实施方式

现在将参照附图来详细描述本公开的各种示例性实施例。应注意到：除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。

同时，应当明白，为了便于描述，附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。

以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本公开及其应用或使用的任何限制。

对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为授权说明书的一部分。

在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。

为使本公开的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本公开进一步详细说明。

图1为本公开终端身份认证实现方法的一些实施例的流程示意图。该实施例由服务端接入网元侧新增的控制器执行。

在步骤110，接收终端在接入业务系统前发送的无状态的认证消息。无状态的认证消息是指控制器不与终端建立连接，即控制器接收认证消息后，不向终端反馈任何信息。

在一些实施例中，该认证消息为UDP(User Datagram Protocol，用户数据报协议)认证消息。

在一些实施例中，终端在接入业务系统前，需先发送无状态的UDP认证包，该认证包中携带终端身份认证信息。

在一些实施例中，控制器开放UDP端口，使得终端能够通过该UDP端口发送UDP认证消息。

在步骤120，提取认证消息中的终端的身份认证信息。

在一些实施例中，对接收到的UDP认证包进行解析，提取相应的身份认证信息。

在步骤130，对终端的身份认证信息进行认证。

例如，通过认证中心完成对终端的身份认证。

在步骤140，根据认证结果控制接入网关进行相应业务端口的开关。

在一些实施例中，若终端通过身份认证，则控制器向接入网关发送端口开放控制策略，以指示接入网关开放终端与接入网关建立连接的端口。即接入网关针对该终端定向打开所需接口。

在上述实施例中，终端在接入业务系统前，必须先向控制器发送认证消息，仅身份认证通过的终端，才被允许接入业务系统，解决了非法终端在身份认证前已经与服务端建立连接导致占用服务端资源的问题。

图2为本公开终端身份认证实现方法的另一些实施例的流程示意图。

在步骤210，终端向控制器的认证接收模块发送包含身份认证信息的UDP包。

该认证接收模块只负责接收信息，而不向终端反馈任何信息。终端例如为智能设备。

在步骤220，认证接收模块将UDP包转发至认证解析模块。

在步骤230，认证解析模块解析UDP包，并提取身份认证信息。

在步骤240，认证解析模块向身份认证模块发送身份认证请求。

在步骤250，身份认证模块对完成终端的身份认证。

在步骤260，身份认证模块向业务端口控制模块发送端口开放控制策略。

在步骤270，业务端口控制模块向接入网关发送端口开放控制策略。

在步骤280，接入网关针对该终端定向开放TCP端口。例如，针对该终端，开放P1端口。

在步骤290，终端通过该TCP端口请求与接入网关建立连接，接入网关识别该终端的身份后，进行放行。

该实施例中，即便是认证系统也不允许认证通过前就建立与业务系统的连接。

在步骤2100，终端与业务系统进行业务交互。终端与业务系统建立TCP连接，进而能够进行业务交互。

在上述实施例中，终端与控制器在不建立任何端口连接的情况下，由终端向控制器发送UDP认证消息，控制器对认证消息进行解析并完成身份认证，最后根据认证结果通知接入网关进行定向端口控制，能够实现对零信任安全的终端进行身份认证后，才允许终端接入业务系统，服务端不再给非法终端分配访问资源，因此，无需维护大量的会话，减少了服务端的资源占用率。

图3为本公开控制器的一些实施例的结构示意图。该控制器包括认证接收模块310、认证解析模块320、身份认证模块330和业务端口控制模块340。

认证接收模块310被配置为接收终端在接入业务系统前发送的无状态的认证消息。

在一些实施例中，该认证消息为UDP认证消息。控制器开放UDP端口，使得终端能够通过该UDP端口发送UDP认证消息。

认证接收模块310只负责接收消息，而不向终端反馈任何信息。

认证解析模块320被配置为提取认证消息中的终端的身份认证信息。

在一些实施例中，认证解析模块320对接收到的UDP认证包进行解析，提取相应的身份认证信息。

身份认证模块330被配置为对终端的身份认证信息进行认证。

身份认证模块330例如为身份认证中心。

业务端口控制模块340被配置为根据认证结果控制接入网关进行相应业务端口的开关。

在一些实施例中，若终端通过身份认证，则业务端口控制模块340向接入网关发送端口开放控制策略，以指示接入网关开放终端与接入网关建立连接的端口。即接入网关针对该终端定向打开所需接口，终端通过该接口请求与接入网关建立连接，接入网关识别该终端的身份后进行放行，终端与业务系统进行业务交互。

在上述实施例中，终端在接入业务系统前，必须先发送认证消息，仅身份认证通过的终端，控制器才被允许接入业务系统，解决了非法终端在身份认证前已经与服务端建立连接导致占用服务端资源的问题。

图4为本公开控制器的另一些实施例的结构示意图。该控制器400包括存储器410和处理器420。其中：存储器410可以是磁盘、闪存或其它任何非易失性存储介质。存储器用于存储图1-2所对应实施例中的指令。处理器420耦接至存储器410，可以作为一个或多个集成电路来实施，例如微处理器或微控制器。该处理器420用于执行存储器中存储的指令。

在一些实施例中，处理器420通过BUS总线430耦合至存储器410。该控制器400还可以通过存储接口440连接至外部存储系统450以便调用外部数据，还可以通过网络接口460连接至网络或者另外一台计算机系统(未标出)。此处不再进行详细介绍。

在该实施例中，通过存储器存储数据指令，再通过处理器处理上述指令，能够实现对零信任安全的终端进行身份认证后，才允许终端接入业务系统，服务端不再给非法终端分配访问资源，因此，无需维护大量的会话，减少了服务端的资源占用率。

图5为本公开终端身份认证实现系统的一些实施例的结构示意图。该终端身份认证实现系统包括控制器510、终端520、接入网关530和业务系统540。控制器510已在上述实施例中进行了详细介绍，此处不在进一步阐述。

终端520被配置为在接入业务系统540前向控制器510发送认证消息。

接入网关530被配置为根据控制器510发送的端口开放控制策略开放端口。

业务系统540被配置为通过接入网关530开放的端口与终端520建立连接。即终端520通过接入网关530的端口与接入网关530建立连接，接入网关530对终端510进行身份识别后，终端520可以与业务系统540建立连接。

在上述实施例中，终端在接入业务系统前，必须先发送认证消息，仅身份认证通过的终端，才被允许接入业务系统，解决了非法终端在身份认证前已经与服务端建立连接导致占用服务端资源的问题。

在另一些实施例中，一种计算机可读存储介质，其上存储有计算机程序指令，该指令被处理器执行时实现图1-2所对应实施例中的方法的步骤。本领域内的技术人员应明白，本公开的实施例可提供为方法、装置、或计算机程序产品。因此，本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本公开是参照根据本公开实施例的方法、设备(系统)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

至此，已经详细描述了本公开。为了避免遮蔽本公开的构思，没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述，完全可以明白如何实施这里公开的技术方案。

虽然已经通过示例对本公开的一些特定实施例进行了详细说明，但是本领域的技术人员应该理解，以上示例仅是为了进行说明，而不是为了限制本公开的范围。本领域的技术人员应该理解，可在不脱离本公开的范围和精神的情况下，对以上实施例进行修改。本公开的范围由所附权利要求来限定。