防入侵认证方法、系统及装置与流程

本发明涉及云计算
技术领域：
，尤其涉及一种防入侵认证方法、系统及装置。
背景技术：
：在当前云计算的服务架构下，机器的网络协议(InternetProtocol，IP)地址的标识性越来越弱，特别针对平台即服务(PlatformasaService，PaaS)等弹性伸缩的云服务架构，部分应用的快速缩容扩容，导致这些应用的应用实例在不停的增加减少，承载这些应用实例的机器也随之变化，进而无法以变化的机器IP地址作为应用标识，来标识这些应用实例，应用实例没有确定的标识符，所以无法对应用达到防入侵认证的目的。例如以容器(如Docker)为载体的应用，在快速缩容扩容下，承载应用实例的机器也在相应的增加减少，导致这些应用实例的IP地址也在不断变化，无法确定哪些IP地址对应这些应用实例，所以以IP地址作为应用标识的配置方法不仅在流程上麻烦，且功能上行不通。同时，以IP地址为标识在安全性上存在较大漏洞，无法阻断仿冒IP地址的请求攻击。技术实现要素：为了解决现有技术的问题，本发明实施例提供了一种防入侵认证方法。所述技术方案如下：一方面，提供了一种防入侵认证方法，包括如下步骤：应用向服务端发送请求数据包，所述请求数据包包含所述应用的标识符，所述标识符与所述应用唯一对应；所述服务端接收所述请求数据包，并根据所述标识符对所述应用进行权限验证，得到权限验证结果；所述服务端将所述权限验证结果发送至所述应用。进一步的，所述应用向服务端发送请求数据包，所述请求数据包包含所述应用的标识符，所述标识符与所述应用唯一对应的步骤之前还包括：对所述标识符进行加密。进一步的，所述服务端接收所述请求数据包，并根据所述标识符对所述应用进行权限验证，得到权限验证结果的步骤具体包括：所述服务端接收所述数据请求包，并对加密后的所述标识符进行解密；所述服务端根据解密后的标识符识别所述应用的身份，进而对所述应用进行权限验证，得到所述权限验证结果。进一步的，所述服务端根据解密后的标识符识别所述应用的身份具体包括：所述服务端将解密后的标识符与标识符白名单进行比对，得到所述权限验证结果；或者所述服务端将解密后的标识符与标识符黑名单进行比对，得到所述权限验证结果。进一步的，所述标识符白名单至少记载有具有权限的应用的标识符；所述标识符黑名单至少记载有禁止访问的应用的标识符。进一步的，所述服务端将所述权限验证结果发送至所述客户端的步骤具体为：所述权限验证结果为允许所述应用访问调用，或者拒绝所述应用访问调用。另一方面，提供了一种防入侵认证系统，包括：客户端，所述客户端包括发送模块，用于发送请求数据包至服务端，所述请求数据包包含应用的标识符，所述标识符与所述应用唯一对应；服务端，所述服务端包括接收模块，用于接收所述请求数据包；所述服务端还包括权限验证模块，用于根据所述标识符对所述应用进行权限验证，得到权限验证结果。进一步的，所述客户端还包括加密模块，用于在所述发送模块发送所述请求数据包之前，对所述标识符进行加密。进一步的，所述服务端还包括解密模块，用于在所述接收模块接收所述请求数据包之后，对加密后的所述标识符进行解密。进一步的，所述权限验证模块还用于：将所述标识符与标识符白名单进行比对，得到权限验证结果；或者将所述标识符与标识符黑名单进行比对，得到权限验证结果；其中，所述标识符白名单至少记载有具有权限的应用的标识符，所述标识符黑名单至少记载有禁止访问的应用的标识符。进一步的，所述权限验证模块还用于将所述权限验证结果发送至所述客户端；所述权限验证结果为允许所述客户端访问调用，或者拒绝所述客户端访问调用。再一方面，提供了一种防入侵认证装置，包括：接收模块，用于接收请求数据包，所述请求数据包包含应用的标识符，所述标识符与所述应用唯一对应；权限验证模块，用于根据所述标识符对所述应用进行权限验证，得到权限验证结果，并将所述权限验证结果发送至所述应用。进一步的，所述权限验证模块还用于将所述标识符与标识符白名单进行比对，得到权限验证结果；或者将所述标识符与标识符黑名单进行比对，得到权限验证结果；其中，所述标识符白名单至少记载有具有权限的应用的标识符，所述标识符黑名单至少记载有禁止访问的应用的标识符。进一步的，所述权限验证模块还用于将所述权限验证结果发送至所述应用；其中，所述权限验证结果为允许所述客户端访问调用，或者拒绝所述客户端访问调用。本发明实施例提供的技术方案带来的有益效果是：本发明通过采用标识符来标识应用，该标识符与应用唯一对应，故应用标识不会因快速缩容扩容而改变，进而可避免在云计算的服务架构下因为快速缩容扩容导致无法以IP地址作为标识所带来的不足。进一步的，通过采用对标识符加密的形式增加了安全性，避免了仿冒ID的不安全请求，从而保证服务端可以准确过滤不安全请求，并通过标识符对应用进行定位。附图说明为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1是本发明实施例一提供的防入侵认证方法的流程示意图；图2是本发明实施例一提供的一种防入侵认证方法的流程示意图；图3是本发明实施例二提供的一种防入侵认证系统的结构示意图；图4是本发明实施例二提供的另一种防入侵认证系统的结构示意图。具体实施方式为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。实施例一本发明实施例提供了一种防入侵认证方法，参见图1，包括如下步骤：S101：应用发送请求数据包至服务端，所述请求数据包包含所述应用的标识符，所述标识符与所述应用唯一对应。本方法所述应用是指运行在硬件设备上的应用程序或者服务进程，例如网易邮箱、阿里邮箱等邮件类应用，腾讯视频、搜狐视频等视频类应用。上述服务端为应用所发送请求数据包的接收方，例如各类服务器、上位机。在实施本步骤之前，需要提前为每一个应用规划分配标识符，该标识符与应用唯一对应，具体而言，唯一对应要求一个标识符只能对应一个应用，并且，每一个标识符也是唯一的，不会存在两个相同的标识符。进一步的，还能够对新认证的应用再分配标识符。具体地，该标识符可以是字符形式，例如一串数字、字母，或者一串代码；该标识符也可以不限于字符形式，只要能够起到标识作用，并且在技术上能够实现，均可以作为标识符使用。例如，用A1001来标识网易邮箱应用，该网易邮箱应用发送的请求数据包中包含该应用的标识符A1001。该标识符可以由应用添加在请求数据包中，应用在发送请求数据包时自动将该标识符添加至请求数据包中。该标识符还可以通过其他具有添加功能的装置或者部件添加，在应用发送请求数据包时，该装置或者部件将该标识符添加至请求数据包中。进一步的，该标识符可以添加在请求数据包的首部，也可以添加在请求数据包的中部或者尾部。为了增加标识符的安全性，还可以在本步骤之前，对标识符进行加密。上述加密过程可以由应用完成，还可以由其他具有加密功能的装置或者部件来完成。进一步的，加密过程中采用的加密算法不限，例如可以是散列算法(MessageDigestAlgorithm5，MD5)、数字签名算法(DigitalSignatureAlgorithm，DSA)、对称算法(DataEncryptionStandard，DES)。通过采取对标识符加密的形式增加了标识符的安全性，能够避免仿冒ID的不安全请求，从而保证服务端可以准确过滤不安全请求。对于应用发送的请求数据包的类型，可以是超文本传输协议(HyperTextTransferProtocol，HTTP)数据包、传输控制协议(TransmissionControlProtocol，TCP)数据包、用户数据报协议(UserDatagramProtocol，UDP)数据包，也可以是其他类型的数据包。需要说明的是，每一个标识符标识的是某一类应用，尽管该应用包括若干应用实例，但这些应用实例的标识符都是相同的，均为应用标识符。例如A1001标识的是网易邮箱应用，该网易邮箱应用可以安装在各个硬件设备上，例如个人电脑(PersonalComputer，PC)、手机、平板电脑，在这些硬件设备上运行的就是网易邮箱应用的应用实例，每一个网易邮箱应用的应用实例的标识符均为A1001。因而在应用的标识符确定的情况下，这些应用的具体应用实例的标识符也就确定并固定了，进而解决了在弹性伸缩的云服务架构下由于应用的快速缩容扩容，应用实例没有确定的标识符，无法对应用进行防入侵认证的问题。而IP地址标识的是应用实例，每一个应用实例的IP地址是由承载该应用实例的机器的IP地址所决定，但是每一个机器的IP地址是不一样的，在PaaS等弹性伸缩的云服务架构下，随着应用的快速缩容扩容，这些应用的应用实例也在相应的增加减少，导致承载这些应用实例的机器也在增加减少，进而这些应用实例所对应的IP地址也在变化，因而IP地址无法作为应用标识。S102：所述服务端接收所述请求数据包，并根据所述标识符对所述应用进行权限验证，得到权限验证结果。本步骤具体包括：所述服务端接收所述数据请求包，并对加密后的所述标识符进行解密。所述服务端根据解密后的标识符识别所述应用的身份，进而对所述应用进行权限验证，得到所述权限验证结果。具体而言，上述识别应用身份，对应用进行权限验证的方式有多种，作为其中的一种实施方式，可以通过服务端将解密后的标识符与标识符白名单进行比对，得到所述权限验证结果。其中，所述标识符白名单至少记载有具有权限的应用的标识符。该标识符白名单与标识符类似，需要提前设置。具体地，标识符白名单的形式可以是表格、数据库，并且白名单的内容可以进行修改，例如新增标识符或者对其中具体的标识符进行删除。当然，不是任何管理员或者装置都能够修改白名单，只有具有修改白名单权限的管理员或者装置才能够对其进行修改。下面给出一种标识符白名单的表格形式，如下表1所示。表1应用名称应用标识符访问权限网易邮箱应用A1001只能收发邮件QQ应用A1002部分访问腾讯视频应用A1003完全访问………………在上述表1中，第一列列出了常见的应用名称，第二列为第一列列出的应用所对应的标识符，表中采用了数字加字母的方式，第三列为第一列列出的应用所对应的访问权限。例如，上述表1中，邮件应用所对应的标识符为A1001，邮件应用所具有的访问权限是只能发送邮件。当然，上述表1只是一个简单的例子，其具体内容根据具体应用，进行相应的修改。作为上述识别应用身份，进行验证的另一种实施方式，可以通过所述服务端将解密后的标识符与标识符黑名单进行比对，得到所述权限验证结果。所述标识符黑名单至少记载有禁止访问的应用的标识符。标识符黑名单形式类似于标识符白名单，在此不再赘述。S103：所述服务端将所述权限验证结果发送至所述应用。上述权限验证结果为允许所述应用访问调用，或者拒绝所述应用访问调用。如果权限验证结果为允许应用访问调用，则服务端返回所述应用访问调用的信息；或者，如果权限验证结果为拒绝所述应用访问调用，则所述服务端拒绝所述应用的访问调用并返回错误信息。进一步的，当权限验证结果为允许所述应用访问调用，此时应用发送的请求数据包中所包含的标识符，与标识符白名单比对成功，或者与标识符黑名单比对失败，则服务端将返回应用所调用的信息。当权限验证结果为拒绝所述应用访问调用，此时应用发送的请求数据包中所包含的标识符，与标识符白名单比对失败，或者与标识符黑名单比对成功，则服务端将拒绝应用的访问调用并返回错误信息。综上，结合S101至S103，参见图2，以对标识符进行加密，并且采用与标识符白名单进行比对的验证方式，本实施例提供的一种防入侵认证方法具体如下：执行步骤S201，应用对请求数据包中所包含的标识符进行加密，待加密完成后，执行步骤S202，应用将包含有加密标识符的请求数据包发送至服务端。之后，执行步骤S203及步骤S204，服务端接收请求数据包，并对请求数据包包含的加密标识符进行解密，待解密完成后，执行步骤S205，服务端将该标识符同标识符白名单进行比对。最后，执行步骤S206，如果比对成功，则服务端返回应用访问调用的信息；如果比对失败，则服务器返回错误信息。例如，上述应用为网易邮箱应用，服务端为服务器。网易邮箱应用将邮件(请求数据包)发送至服务器，该邮件中包含有加密后的标识该网易邮箱应用的标识符，服务器在接收该邮件后，对邮件包含的加密标识符进行解密并且与标识符白名单进行比对，如果比对成功，则服务器将该邮件发送至收件方，并且将邮件发送成功的信息返回至网易邮箱应用；如果比对失败，则服务器拒绝发送该邮件，并且将邮件发送失败的信息返回至网易邮箱应用。实施例二参见图3，本发明实施例提供了一种防入侵认证系统，可以执行实施例一中提供的防入侵认证方法，包括：客户端310，所述客户端310包括发送模块311，用于发送请求数据包至服务端320，所述请求数据包包含应用的标识符，所述标识符与所述应用唯一对应。服务端320，所述服务端320包括接收模块321，用于接收所述请求数据包；所述服务端320还包括权限验证模块322，用于根据所述标识符对所述应用进行权限验证，得到权限验证结果。在本实施例中，权限验证模块322还用于将所述标识符与标识符白名单进行比对，得到权限验证结果。标识符白名单至少记载有具有权限的应用的标识符。该标识符白名单与标识符类似，需要提前设置。作为权限验证的另一种实施方式，权限验证模块322还用于将所述标识符与标识符黑名单进行比对，得到权限验证结果。标识符黑名单至少记载有禁止访问的应用的标识符。该标识符黑名单与标识符类似，需要提前设置。在本实施例中，权限验证模块322还用于将所述权限验证结果发送至所述应用；所述权限验证结果为允许所述应用访问调用，或者拒绝所述应用访问调用。如果权限验证结果为允许所述应用访问调用，则所述权限验证模块322返回所述应用访问调用的信息；或者如果权限验证结果为拒绝所述应用访问调用，则所述权限验证模块322返回所述应用错误信息。具体地，当权限验证模块322对应用的权限验证结果为允许所述应用访问调用，此时应用发送的请求数据包中所包含的标识符，与标识符白名单比对成功，或者与标识符黑名单比对失败，则权限验证模块322返回应用调用的信息。当权限验证模块322对应用的权限验证结果为拒绝所述应用访问调用，此时应用发送的请求数据包中所包含的标识符，与标识符白名单比对失败，或者与标识符黑名单比对成功，则权限验证模块322拒绝应用的访问调用请求，并返回错误信息。参见图4，提供了本实施例的另一种防入侵认证系统。在图3所示的防入侵认证系统的基础上，所述客户端310还包括加密模块312，用于在所述发送模块311发送所述请求数据包之前，对所述标识符进行加密；所述服务端320还包括解密模块323，用于在所述接收模块321接收所述请求数据包后，对加密后的所述标识符进行解密。实施例三本发明实施例还提供了一种防入侵认证装置，其结构与图3或者图4的服务端320相同，本发明在此不再赘述。上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。当前第1页1 2 3