用于网络应用访问的验证方法、装置和系统的制作方法

用于网络应用访问的验证方法、装置和系统的制作方法
【专利摘要】用于网络应用访问的验证方法、装置和系统，其中所述方法包括：验证服务器对终端进行用户身份验证，用户验证请求包括第一位置信息，验证服务器在确定终端通过用户身份验证后，根据用户验证请求中的第一位置信息生成加密令牌，验证服务器将所述加密令牌发送至控制设备。本发明实施例中的用于网络应用访问的验证方法，不但需要进行应用层验证，还需要通过终端的网络位置信息来进一步的确定进行内容访问的终端是否为合法；由于本发明实施例的终端验证方式，可以辨别进行内容访问的终端是否为进行了用户验证的用户所使用的终端，所以可以有效地避免如MITM等基于应用层的网络攻击，进而也就有效地提高了网络应用访问的安全性。
【专利说明】
用于网络应用访问的验证方法、装置和系统
技术领域
[0001]本发明涉及网络应用访问安全领域，尤其涉及一种用于网络应用访问的验证方法、验证服务器、转发设备、控制设备和验证系统。
【背景技术】
[0002]应用服务提供商(英文-applicat1n service provider，简称:ASP)在中断上部署、管理、维护应用程序以及应用程序所需的数据等访问对象，然后通过广域网络，向终端提供应用程序的处理能力。ASP的运营方式可以为:通过与互联网服务提供商(internetservice provider, ISP)的合作，将应用程序部署在ISP所提供的硬件设备和网络架构中。这样，对于应用程序以及应用程序所需的数据来说，其部署者和管理者为ASP，其硬件设备和网络架构的所在地为ISP，其使用者为ASP的客户。
[0003]基于上述的运营方式，当有终端进行网络应用访问时，ASP所设置的认证服务器可对终端进行用户身份验证，即终端在ASP所设置的认证服务器中进行身份认证，并在身份认证通过后获得权限，终端可依其权限访问设于ISP的硬件设备中的待访问的对象。
[0004]由于ASP所设置的认证服务器对终端采用基于应用层的数字版权管理(digitalrights managemen，DRM)，所以容易受到如中间人攻击(man-1n-the-middle attac,MITMk)等基于应用层的网络攻击，存在安全隐患。

【发明内容】

[0005]本发明实施例提供了用于网络应用访问的验证方法、验证服务器、转发设备、控制设备和验证系统，有助于提高安全性和解决存在安全隐患的问题。
[0006]第一方面，提供了一种用于网络应用访问的验证方法，包括:
[0007]验证服务器根据来自终端的用户验证请求，对所述终端进行用户身份验证，所述用户验证请求包括第一位置信息，所述第一位置信息用于标识所述终端发送所述用户验证请求时的网络位置；
[0008]所述验证服务器在确定所述终端通过用户身份验证后，根据所述用户验证请求中的第一位置信息生成加密令牌，所述加密令牌包括所述第一位置信息和用户的访问权限，所述用户的访问权限包括所述用户能够访问的内容的列表；
[0009]所述验证服务器将所述加密令牌发送至控制设备。
[0010]在第一方面的第一种可能的实现方式中，还包括:
[0011]所述验证服务器接收到所述终端发送的用户退出请求，所述用户退出请求包括第二位置信息，所述第二位置信息用于标识所述终端发送用户退出请求时的网络位置；
[0012]所述验证服务器根据所述第二位置信息生成令牌注销请求，所述令牌注销请求包括所述第二位置信息；
[0013]所述验证服务器将所述令牌注销请求发送至所述控制设备。
[0014]第二方面，提供了一种用于网络应用访问的验证方法，包括:
[0015]转发设备接收到终端发送的内容访问请求，所述内容访问请求包括加密令牌，所述加密令牌包括第一位置信息，所述第一位置信息用于标识所述终端发送所述用户验证请求时的网络位置；
[0016]所述转发设备将所述加密令牌发送至控制设备；
[0017]所述转发设备接收所述控制设备发送的第一消息，所述第一消息包括所述用户的访问权限，所述第一消息用于表示所述终端通过验证；
[0018]所述转发设备根据所述第一消息中的所述用户的访问权限，向所述终端提供所述终端所请求的内容。
[0019]在第二方面的第一种可能的实现方式中，所述内容访问请求还包括第二位置信息，所述第二位置信息与所述第一位置信息内容相同，所述方法还包括:
[0020]所述转发设备将所述第二位置信息发送至所述控制设备。
[0021]结合上述第二方面的第一种可能的实现方式，还提供了第二方面的第二种可能的实现方式，所述内容访问请求还包括第三位置信息，所述第三位置信息用于标识所述终端发送所述内容访问请求时的网络位置，所述第三位置信息与所述第二位置信息不同，所述方法还包括:
[0022]所述转发设备从所述内容访问请求获得所述第三位置信息；
[0023]所述转发设备将所述第三位置信息发送至所述控制设备。
[0024]第三方面，提供了一种用于网络应用访问的验证方法，包括:
[0025]控制设备接收验证服务器发送的第一加密令牌，所述第一加密令牌包括第一位置信息和用户的访问权限，所述第一位置信息用于标识所述终端发送所述用户验证请求时的网络位置，所述用户的访问权限包括所述用户能够访问的内容的列表；
[0026]所述控制设备根据所述第一加密令牌生成第二加密令牌，所述第二加密令牌包括所述第一位置信息；
[0027]所述控制设备将所述第二加密令牌发送至所述终端；
[0028]所述控制设备接收转发设备发送的所述第二加密令牌；
[0029]所述控制设备根据所述第一加密令牌对所述第二加密令牌进行验证；
[0030]所述控制设备在所述第二加密令牌通过验证后，向所述转发设备发送第一消息，所述第一消息包括所述用户的访问权限，所述第一消息用于表示所述终端通过验证。
[0031]在第三方面的第一种可能的实现方式中，还包括:
[0032]所述控制设备接收所述转发设备发送的第二位置信息，所述第二位置信息和所述第一位置信息相同；
[0033]所述控制设备根据所述第二位置信息和所述第一位置信息，对所述终端进行验证；
[0034]所述控制设备在所述终端通过验证且所述第二加密令牌通过验证后，向所述转发设备发送所述第一消息。
[0035]结合第三方面的第一种可能的实现方式，还提供了第三方面的第二种可能的实现方式，还包括:
[0036]所述控制设备接收所述转发设备发送的第三位置信息，所述第三位置信息用于标识所述终端发送内容访问请求时的网络位置，所述第三位置信息与所述第二位置信息不同；
[0037]所述控制设备根据所述第三位置信息，生成第三加密令牌，所述第三加密令牌包括所述第三位置信息；
[0038]所述控制设备将所述第三加密令牌发送至所述终端。
[0039]结合上述第三方面的第二种可能的实现方式，还提供了第三方面的第三种可能的实现方式，还包括:
[0040]所述控制设备用所述第三位置信息替换内容提供表中的第一位置信息，获得更新后的内容提供表，所述内容提供表为根据所述第一加密令牌生成的表，所述内容提供表包括所述第一加密令牌包括的第一位置信息和所述用户的访问权限，所述更新后的内容提供表包括所述第三位置信息和所述用户的访问权限；或者
[0041]所述控制设备将所述第三位置信息添加至内容提供表，获得更新后的内容提供表，所述内容提供表为根据所述第一加密令牌生成的表，所述内容提供表包括所述第一加密令牌包括的第一位置信息和所述用户的访问权限，所述更新后的内容提供表包括所述第三位置信息、所述第一加密令牌包括的第一位置信息和所述用户的访问权限。
[0042]结合第三方面、第三方面的第一种可能的实现方式、第三方面的第二种可能的实现方式或第三方面的第三种可能的实现方式，还提供了第三方面的第四种可能的实现方式，还包括:
[0043]所述控制设备接收到所述验证服务器发送的令牌注销请求，所述令牌注销请求包括所述终端的第四位置信息，所述第四位置信息于标识所述终端发送用户退出请求时的网络位置；
[0044]所述控制设备根据所述第四位置信息，注销与所述第四位置信息匹配的加密令牌。
[0045]第四方面，提供了一种验证服务器，包括:
[0046]身份验证模块，用于根据来自终端的用户验证请求，对所述终端进行用户身份验证，所述用户验证请求包括第一位置信息，所述第一位置信息用于标识所述终端发送所述用户验证请求时的网络位置；
[0047]令牌生成模块，用于在确定所述终端通过用户身份验证后，根据所述用户验证请求中的第一位置信息生成加密令牌，所述加密令牌包括所述第一位置信息和用户的访问权限，所述用户的访问权限包括所述用户能够访问的内容的列表；
[0048]第一发送模块，用于将所述加密令牌发送至控制设备。
[0049]在第四方面的第一种可能的实现方式中，还包括:
[0050]接收模块，用于接收到所述终端发送的用户退出请求，所述用户退出请求包括第二位置信息，所述第二位置信息用于标识所述终端发送用户退出请求时的网络位置；
[0051]注销请求生成模块，用于根据所述第二位置信息生成令牌注销请求，所述令牌注销请求包括所述第二位置信息；
[0052]第二发送模块，用于将所述令牌注销请求发送至所述控制设备。
[0053]第五方面，提供了一种转发设备，包括:
[0054]第一接收模块，用于接收到终端发送的内容访问请求，所述内容访问请求包括加密令牌，所述加密令牌包括第一位置信息，所述第一位置信息用于标识所述终端发送所述用户验证请求时的网络位置；
[0055]第一发送模块，用于将所述加密令牌发送至控制设备；
[0056]第二接收模块，用于接收所述控制设备发送的第一消息，所述第一消息包括所述用户的访问权限，所述第一消息用于表示所述终端通过验证；
[0057]第二发送模块，用于根据所述第一消息中的所述用户的访问权限，向所述终端提供所述终端所请求的内容。
[0058]在第五方面的第一种可能的实现方式中，所述内容访问请求还包括第二位置信息，所述第二位置信息与所述第一位置信息内容相同，所述转发设备还包括:
[0059]第三发送模块，用于将所述第二位置信息发送至所述控制设备。
[0060]结合上述第五方面的第一种可能的实现方式，还提供了第五方面的第二种可能的实现方式，所述内容访问请求还包括第三位置信息，所述第三位置信息用于标识所述终端发送所述内容访问请求时的网络位置，所述第三位置信息与所述第二位置信息不同，所述转发设备还包括:
[0061]位置获取模块，用于从所述内容访问请求获得所述第三位置信息；
[0062]第四发送模块，用于将所述第三位置信息发送至所述控制设备。
[0063]第六方面，提供了一种控制设备，所述控制设备包括:
[0064]第一接收模块，用于接收验证服务器发送的第一加密令牌，所述第一加密令牌包括第一位置信息和用户的访问权限，所述第一位置信息用于标识所述终端发送所述用户验证请求时的网络位置，所述用户的访问权限包括所述用户能够访问的内容的列表；
[0065]令牌生成模块，用于根据所述第一加密令牌生成第二加密令牌，所述第二加密令牌包括所述第一位置信息；
[0066]第一发送模块，用于将所述第二加密令牌发送至所述终端；
[0067]第二接收模块，用于接收转发设备发送的所述第二加密令牌；
[0068]令牌验证模块，用于根据所述第一加密令牌对所述第二加密令牌进行验证；
[0069]第二发送模块，用于在所述第二加密令牌通过验证后，向所述转发设备发送第一消息，所述第一消息包括所述用户的访问权限，所述第一消息用于表示所述终端通过验证。
[0070]在第六方面的第一种可能的实现方式中，还包括:
[0071]第三接收模块，用于接收所述转发设备发送的第二位置信息，所述第二位置信息和所述第一位置信息相同；
[0072]终端验证模块，用于根据所述第二位置信息和所述第一位置信息，对所述终端进行验证；
[0073]第三发送模块，用于在所述终端通过验证且所述第二加密令牌通过验证后，向所述转发设备发送所述第一消息。
[0074]结合上述第六方面的第一种可能的实现方式，还提供了第六方面的第二种可能的实现方式，还包括:
[0075]第四接收模块，用于接收所述转发设备发送的第三位置信息，所述第三位置信息用于标识所述终端发送内容访问请求时的网络位置，所述第三位置信息与所述第二位置信息不同；
[0076]令牌更新模块，用于根据所述第三位置信息，生成第三加密令牌，所述第三加密令牌包括所述第三位置信息；
[0077]第四发送模块，用于将所述第三加密令牌发送至所述终端。
[0078]结合上述第六方面的第二种可能的实现方式，还提供了第六方面的第三种可能的实现方式，所述控制设备还包括更新模块；
[0079]所述更新模块用于利用所述第三位置信息替换内容提供表中的第一位置信息，获得更新后的内容提供表，所述内容提供表为根据所述第一加密令牌生成的表，所述内容提供表包括所述第一加密令牌包括的第一位置信息和所述用户的访问权限，所述更新后的内容提供表包括所述第三位置信息和所述用户的访问权限；或者
[0080]所述更新模块用于将所述第三位置信息添加至内容提供表，获得更新后的内容提供表，所述内容提供表为根据所述第一加密令牌生成的表，所述内容提供表包括所述第一加密令牌包括的第一位置信息和所述用户的访问权限，所述更新后的内容提供表包括所述第三位置信息、所述第一加密令牌包括的第一位置信息和所述用户的访问权限。
[0081]结合上述第六方面、第六方面的第一种可能的实现方式、第六方面的第二种可能的实现方式或第六方面的第三种可能的实现方式，还提供了第六方面的第四种可能的实现方式，所述控制设备还包括:
[0082]第五接收模块，用于接收到所述验证服务器发送的令牌注销请求，所述令牌注销请求包括所述终端的第四位置信息，所述第四位置信息于标识所述终端发送用户退出请求时的网络位置；
[0083]令牌注销模块，用于根据所述第四位置信息，注销与所述第四位置信息匹配的加密令牌。
[0084]第七方面，提供了一种用于网络应用访问的验证系统，所述系统包括:
[0085]上述第四方面或第四方面的第一种可能的实现方式提供的上述验证服务器、上述第五方面、第五方面的第一种可能的实现方式或第五方面的第二种实现方式提供的所述转发设备、和上述第六方面或第六方面的任意一种可能的实现方式提供的所述控制设备。
[0086]本发明实施例提供的方法和装置中，验证服务器在终端通过用户身份验证后，根据获取的所述终端的网络位置信息和用户的访问权限，生成加密令牌；上述验证服务器将所述加密令牌发送至控制设备。所述控制设备根据来自验证服务器的加密令牌包括的网络位置信息，生成用于验证终端的加密令牌，所述用于验证终端的加密令牌包括所述终端的网络位置信息。所述控制设备将所述用于验证终端的加密令牌发送给终端，并利用所述用于验证终端的加密令牌，对请求访问转发设备上缓存内容的终端进行验证。本发明实施例提供的方法和装置，需要在不同的网络设备进行多重验证，比如在验证服务器进行用户身份验证，每次向转发设备请求访问内容时在控制设备进行终端验证，有助于避免如MITM等基于应用层的网络攻击，有助于提高网络应用访问的安全性。
【附图说明】
[0087]为了更清楚地说明本申请中发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明实施例的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
[0088]图1为本发明实施例提供的用于网络应用访问的验证方法的流程图；
[0089]图2为本发明实施例提供的用于网络应用访问的验证方法的又一流程图；
[0090]图3为本发明实施例提供的用于网络应用访问的验证方法的又一流程图；
[0091]图4为本发明实施例提供的用于网络应用访问的验证方法的又一流程图
[0092]图5为本发明实施例提供的验证服务器的结构示意图；
[0093]图6为本发明实施例提供的验证服务器的又一结构示意图；
[0094]图7为本发明实施例提供的转发设备的结构示意图；
[0095]图8为本发明实施例提供的转发设备的又一结构示意图；
[0096]图9为本发明实施例提供的控制设备的结构示意图；
[0097]图10为本发明实施例提供的验证服务器的硬件构成示意图；
[0098]图11为本发明实施例提供的转发设备的硬件构成示意图；
[0099]图12为本发明实施例提供的控制设备的硬件构成示意图。【具体实施方式】
[0100]本发明实施例提供了用于网络应用访问的验证方法、验证服务器和验证系统，以下结合说明书附图对本发明的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明。并且在不冲突的情况下，本发明实施例中的实施例及实施例中的特征可以相互组合。
[0101]本发明提供的实施例可应用于软件定义网络(Software Defined Network, SDN) 或内容分发网络(Content Delivery Network，CDN)中。
[0102]本发明实施例提供的应用场景可以为图1所示的场景。如图1所示，应用场景可以包括转发设备04、设于ASP网络侧的验证服务器01和设于ISP网络侧的控制设备03。
[0103]所述验证服务器上可存储有用户的身份信息，所述用户为被验证为合法的用户。 所述身份信息可包括所述用户的标识信息和密码，所述用户的标识信息可以是用户名，所述用户的ID，所述用户的邮箱等用来标识所述用户的信息。在此不在对可能采用的用户的身份信息进行逐一举例说明。
[0104]所述验证服务器接收来自终端的用户验证请求，对所述终端进行用户身份验证。 所述用户验证请求中可携带采用所述终端的用户的身份信息。举例来说，所述验证服务器可根据所述用户验证请求包括的所述用户的身份信息以及所述验证服务器存储的用户的身份信息，对所述终端进行用户身份验证，在此不在详细说明验证过程。
[0105]所述转发设备缓存有终端所访问的对象。所述转发可以是路由器、交换机等能够实现数据、报文、消息或控制指令转发的设备。所述转发设备能够获取与所述转发设备进行通讯的终端的网络位置。
[0106]所述控制设备能够对终端进行验证，还能够控制所述转发设备向所述终端提供所述终端所访问的对象，即通过所述控制设备的验证的终端能够访问所述转发设备提供的与所述终端对应的内容。
[0107]实施例一
[0108]本发明实施例提供了用于网络应用访问的验证方法。如图2所示，为本发明实施例中提供的用于网络应用访问的验证方法的流程图。与图2对应的实施例是从验证服务器的角度，对用于网络应用访问的验证方法进行说明。本发明实施例提供的验证方法具体如下。
[0109]S101、验证服务器根据来自终端的用户验证请求，对所述终端进行用户身份验证， 所述用户验证请求包括第一位置信息，所述第一位置信息用于标识所述终端发送所述用户验证请求时的网络位置。
[0110]举例说明，用户可通过所述终端对转发设备上所访问的对象进行访问。所述终端需要通过所述验证服务器的身份验证，以确定用户的合法性。例如:所述验证服务器接收来自所述终端的用户验证请求。所述用户验证请求可是包括用户的用户名和密码，或者所述用户验证请求包括用户的证书和签名。在此不在对应用层验证用户的合法性可能采用的信息和方式进行逐一列举。
[0111]举例说明，所述验证服务器还可从所述用户验证请求获取所述第一位置信息。具体的，第一位置信息为所述终端发送所述用户验证请求时的网络位置。若所述终端发送所述用户验证请求之前和发送所述用户验证请求时的网络位置相同，则所述第一位置信息为所述终端发送所述用户验证请求之前的网络位置。若所述终端发送所述用户验证请求之前的网络位置发生改变，则所述第一位置信息可以为所述终端生成所述用户验证请求时的网络位置。第一位置信息既可以是终端根据自己发送所述用户验证请求时的网络位置获得的，并将第一位置信息加入用户验证请求中的；也可以是验证服务器根据解析终端所发送的用户验证请求的数据解析获得。
[0112]举例说明，所述终端的网络位置可以是所述终端的互联网协议(Internet Protocol，IP)地址、媒体接入控制(Media Access Control，MAC)地址和国际移动设备标识(Internat1nal Mobile Equipment Identity，IMEI)中的一种或任意一种组合，即所述终端的网络位置信息和所述终端的第一位置信息均可以是某一阶段所述终端的网络位置。 例如:所述第一位置信息可以是所述终端发送所述用户验证请求时的IP地址、MAC地址或頂EI。网络位置还可以是通过该终端的其他位置信息进行标识，只要能够可以在网络中标识该终端的位置即可，在此并不作具体的限定。
[0113]S102、所述验证服务器在确定所述终端通过用户身份验证后，根据所述用户验证请求中的第一位置信息生成加密令牌，所述加密令牌包括所述第一位置信息和用户的访问权限，所述用户的访问权限包括所述用户能够访问的内容的列表。
[0114]举例说明，所述验证服务器在确定了进行身份验证的用户为合法用户后，根据第一位置信息生成加密令牌。所述验证服务器生成的加密令牌是发送给控制设备的加密令牌，所述验证服务器生成的加密令牌能够使得控制设备可以确定能够对转发设备上的对象进行内容访问的终端。
[0115]举例说明，所述验证服务器加密令牌中还包括通过了身份验证的用户的访问权限。所述第一位置信息与用户的访问权限对应，有助于控制设备确定与第一位置信息中网络位置匹配的终端的访问权限。
[0116]S103、所述验证服务器将所述加密令牌发送至控制设备。
[0117]为了使控制设备可以以验证进行内容访问的终端，以及可以确定合法终端的相应权限，所述验证服务器将其生成的加密令牌发送至控制设备。
[0118]进一步的，为了进一步的提高加密令牌的安全性，S103之后，本发明实施例提供的方法还可以包括:
[0119]S104、所述验证服务器接收到所述终端发送的用户退出请求，所述用户退出请求包括第二位置信息，所述第二位置信息用于标识所述终端发送用户退出请求时的网络位置。
[0120]举例说明，在用户需要停止访问转发设备缓存的内容时，所述验证服务器接收所述终端发送的用户退出请求。所述验证服务器可获取第二位置信息。所述第二位置信息用于标识所述终端发送用户退出请求时的网络位置。若所述终端发送所述用户退出请求之前和发送所述用户退出请求时，所述终端的网络位置未发生改变，则所述第二位置信息可用于标识所述终端发送所述用户退出请求之前的网络位置。若所述终端发送所述用户退出请求之前和发送所述用户退出勤求时，所述终端的网络位置发生改变，则所述第二位置可用于标识所述终端生成所述用户退出请求时的网络位置。所述第二位置信息既可以是终端根据自己发送所述用户退出请求时的网络位置获取的，并将第二位置信息加入用户验证请求中的；也可以是验证服务器根据解析终端所发送的用户退出请求的数据解析获得。
[0121]S105、所述验证服务器根据所述第二位置信息生成令牌注销请求，所述令牌注销请求包括所述第二位置信息。
[0122]举例说明，验证服务器根据所述第二位置信息生成令牌注销请求时，通过在令牌注销请求包括所述第二位置信息。，
[0123]S106、所述验证服务器将所述令牌注销请求发送至所述控制设备。
[0124]举例说明，所述验证服务器能够获知所述终端所属的控制设备。例如:所述验证服务器上可包括控制设备和网段的对应关系，所述网段可以是所述终端能够采用的网络地址范围。
[0125]可选地，在本发明实施例中，所述控制设备对加密令牌的注销具体可以包括所述控制设备删除与加密令牌对应的记录，与加密令牌对应的记录可以包括令牌标识、第一位置信息和用户能够访问的内容的列表。
[0126]本发明提供的实施例中，验证服务起对终端进行用户身份验证，并且在终端通过用户身份验证后，根据所述终端的第一位置信息生成加密令牌。所述验证服务器将生成的加密令牌发送给控制设备，有助于控制设备对终端的每次内容访问请求进行终端验证，有助于识别进行内容访问的终端是否为进行了用户验证的用户所使用的终端，有效地避免如 MITM等基于应用层的网络攻击，进而也就有效地提高了网络应用访问的安全性。
[0127]实施例二
[0128]图3对应的实施例是从转发设备的角度，对用于网络应用访问的验证方法进行说明。如图3所示，本发明实施例提供的方法可包括如下内容。
[0129]S201、转发设备接收到终端发送的内容访问请求，所述内容访问请求包括加密令牌，所述加密令牌包括第一位置信息，所述第一位置信息用于标识所述终端发送所述用户验证请求时的网络位置；
[0130]在本发明实施例中，转发设备具体可以包括设有缓存的网络设备，比如，可以是设有缓存的交换机，其中的缓存可以用于具体存储终端的访问对象；此外转发设备还实现数据的转发，如将终端发送的数据转发至控制设备，或，将控制设备发送的数据转发至终端， 此外，转发设备还可以获取与本转发设备进行数据通讯的终端的网络位置。在本发明实施例典型的应用场景中转发设备可以设于ISP —侧的网络中。
[0131]举例说明，终端发送的所述内容访问请求所包括的加密令牌不同于图2中验证服务器生成的加密令牌。终端向转发设备发送内容访问请求，所述内容访问请求用于向所述转发设备请求访问内容。所述内容访问请求还可包括所述终端所访问的内容的标识。
[0132]S202、所述转发设备将所述加密令牌发送至控制设备；
[0133]举例说明，所述转发设备可从所述内容访问请求中获得所述加密令牌，将所述加密令牌发送至所述控制设备。其中，所述转发设备能够获知对所述终端的访问权限进行控制的控制设备。比如:所述转发设备上保存有内容的标识和所述控制设备的标识的对应关系。所述转发设备根据所述终端所访问的内容的标识和保存的对应关系，可确定用于对所述终端进行验证的控制设备。在此不再对可能的确定所述控制设备的方式进行举例说明。
[0134]S203、所述转发设备接收所述控制设备发送的第一消息，所述第一消息包括所述用户的访问权限，所述第一消息用于表示所述终端通过验证；
[0135]举例说明，所述第一消息中可包括用于表示所述终端通过验证的字段或标识。所述第一消息可以是基于开放流(openflow)协议的消息，在此不再对所述第一消息可能采用的格式进行赘述。
[0136]S204、所述转发设备根据所述第一消息中的所述用户的访问权限，向所述终端提供所述终端所请求的内容。
[0137]举例说明，所述转发设备从所述第一消息中获得所述用户的访问权限。所述终端根据所述用户的访问权限包括的内容的标识，将缓存的与所述内容的标识对应的数据提供给所述终端。所述转发设备向所述终端提供所述终端所请求的内容可以为:所述转发设备根据所述第一位置信息，向所述终端提高哦功能与所述内容的标识对应的数据。所述第一位置信息可来自于所述内容访问请求，还可来自于所述第一消息。由
[0138]进一步的，在本发明实施例中，所述内容访问请求还包括第二位置信息，S202或 S202之后还包括:
[0139]S211、转发设备将第二位置信息发送至控制设备。
[0140]为了避免其它非法终端冒用合法终端的令牌，在本发明实施例中，终端还可以在内容访问请求加入第二位置信息。若本发明实施例中的第二位置信息用于标识所述终端发送内容访问请求时的网络位置，所述第二位置与第一位置信息相同，则表示所述终端在通过验证服务器的验证后网络位置未发生改变。可选的，第二位置信息可以是终端自己加入内容访问请求中的；也可以是验证服务器根据解析终端所发送的用户验证请求的数据解析获得。
[0141]进一步的，在本发明实施例中，所述内容访问请求还包括第三位置信息，第三位置信息不同于第二位置信息，即所述终端通过验证服务器的用户身份验证后网络位置发生了改变，第三位置信息为改变后的位置信息，第二位置信息是改变前的位置信息，即第二位置信息与第一位置信息相同。所述方法还包括:
[0142]S221、转发设备从所述内容访问请求获得所述第三位置信息；
[0143]为了使终端使用的加密令牌中的位置信息随时与发送内容访问求时终端自身的位置一致，以提高加密令牌的安全性，在本发明实施例中，需要通过转发设备获得所述第三位置信息，来在终端的网络位置发生变化后，将变化后的网络位置发送给控制终端。
[0144]所述转发设备从内容访问请求获得第三位置信息，第三位置信息用于标识终端发送内容访问请求时的网络位置，由于此时的终端的网络位置发生了变化，所以，第三位置信息与第二位置信息不同。
[0145]S222、所述转发设备将第三位置信息发送至控制设备；
[0146]通过将第三位置信息发送至控制设备，可以使控制设备可以根据第三位置信息生成更新后的加密令牌，以提高加密令牌的安全性。
[0147]本发明提供的实施例中，转发设备将来自终端的加密令牌发送至控制设备，有助于控制设备对终端的加密令牌进行验证，可以有效地避免如MITM等基于应用层的网络攻击，进而也就有效地提高了网络应用访问的安全性。
[0148]实施例三
[0149]本发明实施例从控制设备的角度，对用于网络应用访问的验证方法进行说明。如图4所示，本发明实施例提供的方法包括如下步骤。
[0150]S301、控制设备接收验证服务器发送的第一加密令牌，所述第一加密令牌包括第一位置信息和用户的访问权限，所述第一位置信息用于标识所述终端发送所述用户验证请求时的网络位置，所述用户的访问权限包括所述用户能够访问的内容的列表。
[0151]举例说明，控制设备所接收的第一加密令牌指的是由验证服务器所生成的加密令牌，其具体的生成过程可以参考图2所对应的实施例，在此不再赘述。
[0152]S302、所述控制设备根据所述第一加密令牌生成第二加密令牌，所述第二加密令牌包括所述第一位置信息。
[0153]举例说明，控制设备接收到第一加密令牌后，可以通过解析令牌来获得第一位置信息，从而可以根据第一位置信息来建立终端的网络位置与用户能够访问的内容的列表的对应关系。例如:若控制设备上存储有验证服务器的公钥，第一加密令牌可以是利用验证服务器的私钥对第一位置信息和用户的访问权限进行加密后获得的数据，则所述控制设备可利用所述验证服务器的公钥，解密第一加密令牌，获得所述第一位置信息和用户的访问权限。控制器可利用其自身的密钥，对所述第一位置信息进行加密，获得第二令牌。
[0154]S303、所述控制设备将所述第二加密令牌发送至所述终端。
[0155]举例说明，所述控制设备可根据所述第一加密令牌包括的第一位置信息，将第二加密令牌发送给终端。
[0156]举例说明，S303可有助于合法终端获得在进行内容访问的验证凭证，S卩，终端可发送包括了第二加密令牌的内容访问请求至转发设备，所述控制设备可利用来自转发设备的第二加密令牌进行终端的验证。
[0157]S304、所述控制设备接收转发设备发送的所述第二加密令牌。
[0158]举例说明，S304中的第二加密令牌为S303中控制设备发送给终端的第二加密令牌。
[0159]S305、所述控制设备对第二加密令牌进行验证；
[0160]由于第二加密令牌是控制设备生成的，所以可以通过对第二加密令牌进行验证， 来确定发送内容访问请求的终端是否为合法终端。
[0161]举例说明，所述控制设备对第二加密令牌的验证包括:所述控制设备解密所述转发设备发送的第二加密令牌，获得所述第二加密令牌包括的第一位置信息；所述控制设备将所述第一位置信息与所述控制器上的内容提供表进行比对，如果所述第一位置信息包含于所述内容提供表中，则确定所述终端为合法终端。所述内容提供表为所述控制设备根据所述第一加密令牌生成的表。所述内容提供表包括所述第一加密令牌包括的第一位置信息和所述第一加密令牌包括的用户的访问权限。
[0162]S306、所述控制设备在所述第二加密令牌通过验证后，向所述转发设备发送第一消息，所述第一消息包括所述用户的访问权限，所述第一消息用于表示所述终端通过验证。
[0163] 举例说明，所述控制设备可通过openf low协议，向所述转发设备发送第一消息， 在此不再赘述。
[0164] 进一步的，在本发明实施例中，所述方法还可以包括对终端的网络位置进行验证的步骤，。即S305或S305之后，本发明实施例提供的方法还包括:
[0165]S311、所述控制设备接收所述转发设备发送的第二位置信息，所述第二位置信息和所述第一位置信息相同。
[0166]为了进一步的增强终端进行内容访问时的安全性，避免其他非法终端冒用合法终端的令牌，在本发明实施例中，控制设备还可以接收转发设备所发送的第二位置信息，在本发明实施例中的第二信息用于表示指终端发送内容访问请求时的网络地址。可选的，第二位置信息可以是终端自己加入内容访问请求中的；也可以是验证服务器根据解析终端所发送的用户验证请求的数据解析获得。当第二位置信息是终端自己加入内容访问请求中时， 第二位置信息可以包括终端进行了网络位置变化前的上一网络位置。
[0167]S312、所述控制设备根据所述第二位置信息和所述第一位置信息，对所述终端进行验证。
[0168] 举例说明，通过第二位置信息和第二加密令牌中的第一位置信息的比对，可以验证发送了内容访问请求的终端是否为合法终端。具体来说，由于非法终端无法获得第二加密令牌中的第一位置信息，从而也就无法得到与第一位置信息内容相同的第二位置信息。
[0169]S313、所述控制设备在所述终端通过验证且所述第二加密令牌通过验证后，向所述转发设备发送所述第一消息。
[0170]如果控制设备验证该加密令牌通过，则说明该发送的内容访问请求的终端为合法终端，此时，控制设备向转发设备发送第一消息。
[0171]由于第一消息用于表示所述终端通过验证，其中还包括用户的访问权限，所以可以使转发设备可以根据所述第一消息中的所述用户的访问权限，向终端提供所述终端所请求的内容。
[0172] 进一步的，为了使终端使用的加密令牌中的位置信息随时与发送内容访问求时终端自身的位置一致，以提高加密令牌的安全性，在本发明实施例中，还包括更新加密令牌的步骤。S306之后，本发明实施例提供的方法还包括:
[0173]S321、所述控制设备接收所述转发设备发送的第三位置信息，所述第三位置信息用于标识所述终端发送内容访问请求时的网络位置，所述第三位置信息与所述第二位置信息不同。
[0174] 举例说明，当终端的网络位置变化后，终端再发送内容访问请求时，转发设备根据解析内容访问请求数据所获取的第三位置信息将会与第二位置信息不同；从而控制设备可以根据第三位置信息与第二位置信息的比对结果判断终端的网络位置是否变化。
[0175]S322、所述控制设备根据所述第三位置信息，生成第三加密令牌，所述第三加密令牌包括所述第三位置信息。
[0176]举例说明，当控制设备确定终端的网络位置发生变化后，由于该终端为合法终端， 为了进一步提高加密令牌的安全性，控制设备将根终端变化后网络位置，即第三位置信息生成更新后的加密令牌，即第三加密令牌，在本申请中，第三加密令牌在终端的网络位置发生变化后由控制设备生成。
[0177]S323、所述控制设备将所述第三加密令牌发送至所述终端。
[0178]所述控制设备生成第三加密令牌的方法与所述控制设备生成第二加密令牌的方法相同，在此不再赘述。
[0179]在更新加密令牌后，控制设备将更新后的加密令牌，即第三加密令牌发送至所述终端，进而使网络位置发生变化后的终端可以使用新的加密令牌。
[0180]进一步的，在本发明实施例中，所述方法还包括更新内容提供表的步骤。本发明实施例提供的方法还包括:
[0181]S331、所述控制设备用所述第三位置信息替换内容提供表中的第一位置信息，获得更新后的内容提供表，所述内容提供表为根据所述第一加密令牌生成的表，所述内容提供表包括所述第一加密令牌包括的第一位置信息和所述用户的访问权限，所述更新后的内容提供表包括所述第三位置信息和所述用户的访问权限；或者
[0182]所述控制设备将所述第三位置信息添加至内容提供表，获得更新后的内容提供表，所述内容提供表为根据所述第一加密令牌生成的表，所述内容提供表包括所述第一加密令牌包括的第一位置信息和所述用户的访问权限，所述更新后的内容提供表包括所述第三位置信息、所述第一加密令牌包括的第一位置信息和所述用户的访问权限。
[0183]在本发明实施例中，控制设备可以通过维护内容提供表来记载各个终端的加密令牌。其中，内容提供表可以包括每个加密令牌所对应的令牌标识、网络位置、和用户能够访问的内容的列表等。
[0184]在为终端更新了加密令牌后，可以通过同步的更新内容提供表来使，内容提供表中的内容与更新后的加密令牌匹配，从而方便控制设备的令牌验证。
[0185]可选的，更新内容提供表的具体方式可以是替换，S卩，用所述第三位置信息替换内容提供表中的第一位置信息，获得更新后的内容提供表，此外，也可以是新增与更新后的加密令牌对应的记录，即，将所述第三位置信息添加至内容提供表。
[0186]进一步的，在本发明实施例中，所述方法还包括令牌注销的步骤，具体的:
[0187]S341、所述控制设备接收到所述验证服务器发送的令牌注销请求，所述令牌注销请求包括所述终端的第四位置信息，所述第四位置信息于标识所述终端发送用户退出请求时的网络位置。
[0188]所述控制设备根据所述第四位置信息，注销与所述第四位置信息匹配的加密令牌。其中，注销操作可以是删除第四位置信息和/或与所述第四位置信息匹配的加密令牌， 或者是使加密令牌失效。
[0189]在当用户需要退出对于访问对象的访问时，验证服务器会接收到所述终端发送的用户退出请求，此时，验证服务器需要获取第四位置信息，在本发明实施例中，第四位置信息包括指终端发送的用户退出请求时，终端的网络位置；可选的，第四位置信息既可以是终端根据自己发送所述用户退出请求时的网络位置获取的，并将第四位置信息加入用户验证请求中的；也可以是验证服务器根据解析终端所发送的用户退出请求的数据解析获得。
[0190]本发明提供的实施中，交换设备能够根据终端的第一位置信息和来自终端的第二加密令牌，对加密令牌的合法性进行验证，无需再每次经过验证服务器进行验证。本发明实施例的验证方式，可以辨别进行内容访问的终端是否为进行了用户验证的用户所使用的终端，所以可以有效地避免如MITM等基于应用层的网络攻击，进而也就有效地提高了网络应用访问的安全性。
[0191]实施例四
[0192]本发明还提供了一种用于网络应用访问的验证服务器，如图5所示，验证服务器 01包括身份验证模块101、令牌生成模块102和第一发送模块103 ;
[0193]身份验证模块101用于根据来自终端的用户验证请求，对所述终端02进行用户身份验证，用户验证请求包括第一位置信息，所述第一位置信息用于标识终端02发送所述用户验证请求时的网络位置；
[0194]用户在通过终端02对访问对象进行访问时，首先需要通过身份验证模块101的身份验证，以确定用户的合法性，可选的:
[0195]身份验证模块101接收来自终端02的用户验证请求，在该用户验证请求中，可以是包括了用户的用户名和密码，或者是用户的证书和签名等常规的应用层验证方式所需的用于验证用户身份的数据信息。
[0196]此外，通过用户验证请求，身份验证模块101还可以获取第一位置信息，具体的， 第一位置信息为终端02发送用户验证请求时的网络位置；可选的，第一位置信息既可以是终端02根据自己发送用户验证请求时的网络位置获得的，并将第一位置信息加入用户验证请求中的；也可以是身份验证模块101根据解析终端02所发送的用户验证请求的数据解析获得。
[0197]可选的，在本发明实施例中，终端的网络位置可以是终端的IP地址、MAC地址或頂EI等；当然，网络位置信息还可以是该终端的其他位置信息，只要能够可以在网络中标识该终端的位置即可，在此并不作具体的限定。
[0198]令牌生成模块102用于在确定终端02通过用户身份验证后，根据用户验证请求中的第一位置信息生成加密令牌，加密令牌包括第一位置信息和用户的访问权限，用户的访问权限包括用户能够访问的内容的列表；
[0199]身份验证模块101在确定了进行身份验证的用户为合法用户后，根据第一位置信息生成加密令牌，此时的加密令牌是发送给控制设备03的，其作用为使控制设备03可以明确应该允许那些网络位置的终端才可以对访问对象进行内容访问。
[0200]此外，在此时的加密令牌中还包括通过了身份验证的用户的访问权限，这样就可以建立第一位置信息与相应的访问权限的对应关系，从而可以确定与第一位置信息中网络位置匹配的终端的访问权限。[〇2〇1]第一发送模块103用于将加密令牌发送至03控制设备。
[0202]为了使控制设备03可以以验证进行内容访问的终端，以及可以确定合法终端的相应权限，需要通过第一发送模块103将加密令牌发送至控制设备03。
[0203]进一步的，为了进一步的提高加密令牌的安全性，在本发明实施例中，如图6所示，还可以进一步包括接收模块104、注销请求生成模块105和第二发送模块106，
[0204]接收模块104用于接收到终端02发送的用户退出请求，所述用户退出请求包括第二位置信息，所述第二位置信息用于标识终端02发送用户退出请求时的网络位置；
[0205]在当用户需要退出对于访问对象的访问时，接收模块104会接收到终端02发送的用户退出请求，此时，接收模块104需要获取第二位置信息，在本发明实施例中，第二位置信息包括终端02发送的用户退出请求时，终端02的网络位置；可选的，第二位置信息既可以是终端02根据自己发送所述用户退出请求时的网络位置获取的，并将第二位置信息加入用户验证请求中的；也可以是接收模块104根据解析终端02所发送的用户退出请求的数据解析获得。
[0206]注销请求生成模块105用于根据第二位置信息生成令牌注销请求，所述令牌注销请求包括所述第二位置信息；
[0207]注销请求生成模块105根据所述第二位置信息生成令牌注销请求时，通过在令牌注销请求包括所述第二位置信息，可以使控制设备03知道需要将哪一个终端的加密令牌注销。
[0208]第二发送模块106用于将令牌注销请求发送至控制设备03。
[0209]为了可以告知控制设备哪一个终端的加密令牌失效，避免他人冒用，第二发送模块106将令牌注销请求发送至控制设备03,从而可以使控制设备03将与进行了用户退出请求的终端所对应的加密令牌进行注销；可选的，在本发明实施例中，对加密令牌的注销具体可以包括删除在控制设备中的加密令牌的相关记录，如，与进行了用户退出请求的终端所对应的令牌标识、IP地址、用户能够访问的内容的列表等。
[0210]由上可以看出，通过设有本发明实施例中的用于网络应用访问的验证服务器，不但需要访问用户进行身份验证，还需要在进行内容访问时通过包括了终端的网络位置的加密令牌来进一步的确定进行内容访问的终端是否为合法；由于本发明实施例的终端验证方式，可以辨别进行内容访问的终端是否为进行了用户验证的用户所使用的终端，所以可以有效地避免如MITM等基于应用层的网络攻击，进而也就有效地提高了网络应用访问的安全性。
[0211]实施例五
[0212]在本发明实施例的另一面，还提供了一种用于网络应用访问的转发设备04,如图 7所示，转发设备04包括第一接收模块401第一发送模块402第二接收模块403第二发送模块404:
[0213]第一接收模块401用于接收到终端02发送的内容访问请求，内容访问请求包括加密令牌，加密令牌包括第一位置信息，第一位置信息用于标识终端02发送所述用户验证请求时的网络位置；
[0214]在本发明实施例中，转发设备04具体可以包括设有缓存的网络设备，比如，可以是设有缓存的交换机，其中的缓存可以用于具体存储终端的访问对象；此外转发设备04还实现数据的转发，如将终端02发送的数据转发至控制设备03,或，将控制设备03发送的数据转发至终端02,此外，转发设备04还可以获取与本转发设备进行数据通讯的终端的网络位置。在本发明实施例典型的应用场景中转发设备04可以设于ISP —侧的网络中。
[0215]在图5所对应的实施例中，终端02已经获得了加密令牌，终端02通过向第一接收模块401发送内容访问请求来请求进行内容访问；第一接收模块401所获取到的终端的内容访问请求中，包括加密令牌，需要说明的是，在本发明实施例中，内容访问请求中所包括加密令牌是由控制设备03生成并发送给终端02的，与验证过服务器01生成并发送给控制设备03的并不是同一加密令牌。
[0216]第一发送模块402,用于将加密令牌发送至控制设备03 ;
[0217]由于转发设备04自身并不具有对于终端的验证功能，所以需要通过第一发送模块402将容访问请求中所包括的加密令牌发送至控制设备03 ;由于该加密令牌是由控制设备03生成并发送给终端的，所以控制设备03可以验证该加密令牌。
[0218]第二接收模块403,用于接收控制设备03发送的第一消息，第一消息包括用户的访问权限，第一消息用于表示终端02通过验证；
[0219] 如果控制设备03验证该加密令牌通过，则说明该发送的内容访问请求的终端为合法终端，此时，第二接收模块403将会接收控制设备发送的第一消息。
[0220]第二发送模块404用于根据第一消息中的用户的访问权限，向终端02提供终端02 所请求的内容。
[0221]由于第一消息中用于表示终端02通过验证，其中还包括用户的访问权限，所以第二发送模块404可以根据第一消息中的用户的访问权限，向终端02提供终端02所请求的内容。
[0222]进一步的，在本发明实施例中，如图8所示当内容访问请求包括第二位置信息时， 所述内容访问请求还包括第二位置信息，转发设备04还包括:
[0223]第三发送模块405,用于将第二位置信息发送至所述控制设备。
[0224] 为了进一步的增强终端进行内容访问使得安全性，避免其他非法终端冒用合法终端的令牌，在本发明实施例中，终端02还可以在内容访问请求加入第二位置信息，在本发明实施例中的第二信息是指终端发送内容访问请求时，在内容访问请求所包括的、在内容上与第一位置信息相同的位置信息。可选的，第二位置信息可以是终端自己加入内容访问请求中的；也可以是验证服务器根据解析终端所发送的用户验证请求的数据解析获得。当第二位置信息是终端自己加入内容访问请求中时，第二位置信息可以包括终端进行了网络位置变化前的上一网络位置。
[0225]在本发明实施例中，通过第二位置信息和第二加密令牌中的第一位置信息的比对，可以验证发送了内容访问请求的终端是否为合法终端。具体来说，由于非法终端无法获得第二加密令牌中的第一位置信息，从而也就无法得到与第一位置信息内容相同的第二位置信息。从而起到了提高终端进行内容访问时的安全性的作用。
[0226]进一步的，在本发明实施例中，当内容访问请求包括第三位置信息时，转发设备还可以包括有位置获取模块406和第四发送模块407,其中:
[0227]位置获取模块406用于从内容访问请求获得所述第三位置信息；
[0228]为了使终端02使用的加密令牌中的位置信息随时与发送内容访问求时终端自身的位置一致，以提高加密令牌的安全性，在本发明实施例中，需要通过位置获取模块406得第三位置信息，来在终端02的网络位置发生变化后，将变化后的网络位置发送给控制终端 03,为此，首先要从内容访问请求获得第三位置信息，第三位置信息用于标识终端02发送内容访问请求时的网络位置，由于此时的终端的网络位置发生了变化，所以，第三位置信息与第二位置信息不同。
[0229]第四发送模块407用于将第三位置信息发送至控制设备03。
[0230]通过将第三位置信息发送至控制设备03,可以使控制设备03可以根据第三位置信息生成更新后的加密令牌，以提高加密令牌的安全性。
[0231]由上可以看出，通过设有本发明实施例中的用于网络应用访问的验证服务器，不但需要访问用户进行身份验证，还需要在进行内容访问时通过包括了终端的网络位置的加密令牌来进一步的确定进行内容访问的终端是否为合法；由于本发明实施例的终端验证方式，可以辨别进行内容访问的终端是否为进行了用户验证的用户所使用的终端，所以可以有效地避免如MITM等基于应用层的网络攻击，进而也就有效地提高了网络应用访问的安全性。
[0232]实施例六
[0233]在本发明实施例的另一面，还提供了一种用于网络应用访问的控制设备，具体的， 如图9所示，控制设备03包括第一接收模块501、令牌生成模块502、第一发送模块503、第二接收模块504、令牌验证模块505和第二发送模块506 ;
[0234]第一接收模块501接收验证服务器01发送的第一加密令牌，第一加密令牌包括第一位置信息和用户的访问权限，第一位置信息用于标识终端02发送用户验证请求时的网络位置，用户的访问权限包括所述用户能够访问的内容的列表；
[0235]第一接收模块501所接收的第一加密令牌指的是由验证服务器所生成的加密令牌，其具体的生成过程可以参考图4所对应的实施例，在此不再赘述。
[0236]令牌生成模块502根据第一加密令牌生成第二加密令牌，第二加密令牌包括第一位置信息；
[0237]第一接收模块501接收到第一加密令牌后，可以通过解析令牌来获得第一位置信息，从而可以根据第一位置信息来建立终端的网络位置与用户能够访问的内容的列表的对应关系；进而也就可以获得该终端对应用户的访问权限。
[0238]为了可以通过控制设备03来验证进行内容访问的终端02是否合法，令牌生成模块502还根据第一位置信息中的网络位置生成了第二加密令牌。
[0239]第一发送模块503将第二加密令牌发送至终端02 ;
[0240]通过将第二加密令牌发送给终端，使合法终端可以获得在进行内容访问的验证凭证，即，用终端02可用通过包括了第二加密令牌的内容访问请求来进行终端的验证。
[0241]第二接收模块504接收转发设备04发送的第二加密令牌；
[0242]终端02在发送内容访问请求时，会将内容访问请求发送至转发设备，通过转发设备的转发，来使控制设备可以获取第二加密令牌。
[0243]令牌验证模块505对第二加密令牌进行验证；
[0244]由于第二加密令牌是令牌生成模块502生成的，所以令牌验证模块505可以通过对第二加密令牌进行验证，来确定发送内容访问请求的终端是否为合法终端。
[0245]第二发送模块506在第二加密令牌通过验证后，向转发设备发送第一消息，第一消息包括用户的访问权限，第一消息用于表示终端02通过验证。
[0246]由于第二发送模块506通过将向转发设备04发送第一消息，就可以使转发设备04 可以向终端02提供终端所请求的内容。
[0247]进一步的，在本发明实施例中，控制设备还可以包括第三接收模块511、终端验证模块512和第三发送模块513 ;
[0248]第三接收模块511接收转发设备04发送的第二位置信息，第二位置信息和第一位置信息相同；
[0249]为了进一步的增强终端进行内容访问时的安全性，避免其他非法终端冒用合法终端的令牌，在本发明实施例中，第三接收模块511还可以接收转发设备所发送的第二位置信息，在本发明实施例中的第二信息是指终端02发送内容访问请求时，在内容访问请求所包括的、在内容上与第一位置信息相同的位置信息。可选的，第二位置信息可以是终端02 自己加入内容访问请求中的；也可以是验证服务器01根据解析终端02所发送的用户验证请求的数据解析获得。当第二位置信息是终端02自己加入内容访问请求中时，第二位置信息可以包括终端02进行了网络位置变化前的上一网络位置。
[0250]终端验证模块512根据第二位置信息和第一位置信息，对终端02进行验证；
[0251]终端验证模块512通过将第二位置信息和第二加密令牌中的第一位置信息比对， 可以验证发送了内容访问请求的终端是否为合法终端。具体来说，由于非法终端无法获得第二加密令牌中的第一位置信息，从而也就无法得到与第一位置信息内容相同的第二位置fg息。
[0252]第三发送模块513在终端通过验证且第二加密令牌通过验证后，向转发设备04发送第一消息。
[0253]如果终端验证模块512验证该加密令牌通过，则说明该发送的内容访问请求的终端为合法终端，此时，第三发送模块513向转发设备04发送第一消息。
[0254]由于第一消息用于表示终端通过验证，其中还包括用户的访问权限，所以可以使转发设备可以根据第一消息中的用户的访问权限，向终端提供终端所请求的内容。
[0255]进一步的，为了使终端使用的加密令牌中的位置信息随时与发送内容访问求时终端自身的位置一致，以提高加密令牌的安全性，在本发明实施例中，控制设备03还包括:第四接收模块521、令牌更新模块522和第四发送模块523 ;
[0256]第四接收模块521接收转发设备04发送的第三位置信息，第三位置信息用于标识终端02发送内容访问请求时的网络位置，第三位置信息与第二位置信息不同；
[0257]当终端02的网络位置变化后，终端02再发送内容访问请求时，转发设备04根据解析内容访问请求数据所获取的第三位置信息将会与第二位置信息不同；从而第四接收模块521可以根据第三位置信息与第二位置信息的比对结果判断终端02的网络位置是否变化。
[0258]令牌更新模块522根据所述第三位置信息，生成第三加密令牌，第三加密令牌包括第三位置信息；
[0259]第四接收模块521确定终端的网络位置发生变化后，由于终端02为合法终端，为了进一步提高加密令牌的安全性，令牌更新模块522将根终端变化后网络位置，即第三位置信息生成更新后的加密令牌，即第三加密令牌，在本申请中，第三加密令牌在终端02的网络位置发生变化后由令牌更新模块522生成。
[0260]第四发送模块523将第三加密令牌发送至终端02。
[0261]在更新加密令牌后，第四发送模块523将更新后的加密令牌，即第三加密令牌发送至所述终端，进而使网络位置发生变化后的终端可以使用新的加密令牌。
[0262]进一步的，在本发明实施例中，所述控制设备还包括更新模块531:
[0263]更新模块531用所述第三位置信息替换内容提供表中的第一位置信息，获得更新后的内容提供表，内容提供表为根据第一加密令牌生成的表，内容提供表包括第一加密令牌包括的第一位置信息和用户的访问权限，更新后的内容提供表包括第三位置信息和用户的访问权限；或者
[0264]更新模块531将第三位置信息添加至内容提供表，获得更新后的内容提供表，内容提供表为根据第一加密令牌生成的表，内容提供表包括第一加密令牌包括的第一位置信息和用户的访问权限，更新后的内容提供表包括第三位置信息、第一加密令牌包括的第一位置信息和用户的访问权限。
[0265]在本发明实施例中，更新模块531可以通过维护内容提供表来记载各个终端的加密令牌，其中，可以包括每个加密令牌所对应的令牌标识、网络位置、和用户能够访问的内容的列表等。
[0266]在为终端更新了加密令牌后，可以通过同步的更新内容提供表来使，内容提供表中的内容与更新后的加密令牌匹配，从而方便控制设备的令牌验证。
[0267]可选的，更新内容提供表的具体方式可以是替换，S卩，更新模块531用所述第三位置信息替换内容提供表中的第一位置信息，获得更新后的内容提供表，此外，也可以是更新模块531新增与更新后的加密令牌对应的记录，S卩，将第三位置信息添加至内容提供表。
[0268]进一步的，在本发明实施例中，所述控制设备还包括第五接收模块541和令牌注销模块542:
[0269]第五接收模块541接收到所述验证服务器01发送的令牌注销请求，令牌注销请求包括终端02的第四位置信息，第四位置信息于标识终端02发送用户退出请求时的网络位置；
[0270]令牌注销模块542根据第四位置信息，注销与第四位置信息匹配的加密令牌。
[0271]在当使用终端02的用户需要退出对于访问对象的访问时，验证服务器01会接收到终端02发送的用户退出请求，此时，验证服务器01需要获取第四位置信息，在本发明实施例中，第四位置信息包括指终端02发送的用户退出请求时，终端02的网络位置；可选的， 第四位置信息既可以是终端02根据自己发送用户退出请求时的网络位置获取的，并将第四位置信息加入用户验证请求中的；也可以是验证服务器01根据解析终端02所发送的用户退出请求的数据解析获得。
[0272]由上可以看出，通过设有本发明实施例中的用于网络应用访问的控制设备，不但需要访问用户进行身份验证，还需要在进行内容访问时通过包括了终端的网络位置的加密令牌来进一步的确定进行内容访问的终端是否为合法；由于本发明实施例的终端验证方式，可以辨别进行内容访问的终端是否为进行了用户验证的用户所使用的终端，所以可以有效地避免如MITM等基于应用层的网络攻击，进而也就有效地提高了网络应用访问的安全性。
[0273]实施例七
[0274]在本发明实施例的另一面，还提供了一种用于网络应用访问的验证系统，如图1 所示，包括验证服务器01、转发设备04和控制设备03 ;
[0275]由于在本发明实施例中的验证服务器01、转发设备04和控制设备03分别与实施例四、五和六中的验证服务器01、转发设备04和控制设备03相对应，其结构和原理类似，所达到的技术效果也类似，为此，在此就不再赘述。
[0276]通过本发明实施例中的用于网络应用访问的验证系统，不但需要访问用户进行身份验证，还需要在进行内容访问时通过包括了终端的网络位置的加密令牌来进一步的确定进行内容访问的终端是否为合法；由于本发明实施例的终端验证方式，可以辨别进行内容访问的终端是否为进行了用户验证的用户所使用的终端，所以可以有效地避免如MITM等基于应用层的网络攻击，进而也就有效地提高了网络应用访问的安全性。。
[0277]对应地，本发明实施例还提供了一种用于网络应用访问的验证服务器，所述用于网络应用访问的验证服务器可设于Controller、路由器或交换机等网络设备上，还可设置于其它独立设备上，在此不再逐一举例说明。所述用于网络应用访问的验证服务器可执行图5对应的实施例中任意一个实施例提供的方法。参见图10所示示意图，所述验证服务器可包括:处理器701、存储器702和通信接口 703。其中，处理器701、存储器702和通信接口 703可通过通信总线704连接。存储器702用于存储程序，处理器701根据从存储器702 中读取的程序所包括的可执行指令执行具体操作。
[0278]可选地，图6中的身份验证模块101、令牌生成模块102和第一发送模块103可由图10中的处理器701根据存储器702存储的可执行指令实现，处理器701可以包括至少一个物理处理器。
[0279]需要说明的是，图5所示的用于网络应用访问的验证服务器和图10所示的用于网络应用访问的验证服务器可以是同一个装置，可以认为，图5是从物理的角度显示了一个用于网络应用访问的验证服务器包括的内容，而图10则是从逻辑的角度显示了一个用于网络应用访问的验证服务器包括的内容。
[0280]图10所示用于网络应用访问的验证服务器，所述处理器701，用于读取存储器702 中存储的指令和数据，执行以下操作:
[0281]根据来自终端的用户验证请求，对所述终端进行用户身份验证，所述用户验证请求包括第一位置信息，所述第一位置信息用于标识所述终端发送所述用户验证请求时的网络位置；
[0282]在确定所述终端通过用户身份验证后，根据所述用户验证请求中的第一位置信息生成加密令牌，所述加密令牌包括所述第一位置信息和用户的访问权限，所述用户的访问权限包括所述用户能够访问的内容的列表；
[0283]将所述加密令牌发送至控制设备。
[0284]对应地，本发明实施例还提供了一种用于网络应用访问的转发设备，所述用于网络应用访问的转发设备可设于Controller、路由器或交换机等网络设备上，还可设置于其它独立设备上，在此不再逐一举例说明。所述用于网络应用访问的转发设备可执行图7对应的实施例中任意一个实施例提供的方法。参见图11所示示意图，所述转发设备可包括: 处理器801、存储器802和通信接口 803。其中，处理器801、存储器802和通信接口 803可通过通信总线804连接。存储器802用于存储程序，处理器801根据从存储器802中读取的程序所包括的可执行指令执行具体操作。
[0285]可选地，图7中的第一接收模块401第一发送模块402第二接收模块403第二发送模块404可由图11中的处理器801根据存储器802存储的可执行指令实现，处理器801 可以包括至少一个物理处理器。
[0286]需要说明的是，图7所示的用于网络应用访问的转发设备和图11所示的用于网络应用访问的转发设备可以是同一个装置，可以认为，图7是从物理的角度显示了一个用于网络应用访问的转发设备包括的内容，而图10则是从逻辑的角度显示了一个用于网络应用访问的转发设备包括的内容。
[0287]图11所示用于网络应用访问的转发设备中，所述处理器801，用于读取存储器802 中存储的指令和数据，执行以下操作:
[0288]接收到终端发送的内容访问请求，所述内容访问请求包括加密令牌，所述加密令牌包括第一位置信息，所述第一位置信息用于标识所述终端发送所述用户验证请求时的网络位置；
[0289]将所述加密令牌发送至控制设备；
[0290]接收所述控制设备发送的第一消息，所述第一消息包括所述用户的访问权限，所述第一消息用于表示所述终端通过验证；
[0291]根据所述第一消息中的所述用户的访问权限，向所述终端提供所述终端所请求的内容。
[0292]对应地，本发明实施例还提供了一种用于网络应用访问的控制设备，所述用于网络应用访问的控制设备可设于Controller、路由器或交换机等网络设备上，还可设置于其它独立设备上，在此不再逐一举例说明。所述用于网络应用访问的控制设备可执行图8对应的实施例中任意一个实施例提供的方法。参见图12所示示意图，所述控制设备可包括: 处理器901、存储器902和通信接口 903。其中，处理器901、存储器802和通信接口 903可通过通信总线904连接。存储器902用于存储程序，处理器901根据从存储器902中读取的程序所包括的可执行指令执行具体操作。
[0293]可选地，图8中的第一接收模块501、令牌生成模块502、第一发送模块503、第二接收模块504、令牌验证模块505和第二发送模块506可由图10中的处理器901根据存储器 902存储的可执行指令实现，处理器901可以包括至少一个物理处理器。
[0294]需要说明的是，图8所示的用于网络应用访问的控制设备和图12所示的用于网络应用访问的控制设备可以是同一个装置，可以认为，图8是从物理的角度显示了一个用于网络应用访问的控制设备包括的内容，而图12则是从逻辑的角度显示了一个用于网络应用访问的控制设备包括的内容。
[0295]图12所示用于网络应用访问的控制设备中，所述处理器901，用于读取存储器902 中存储的指令和数据，执行以下操作:
[0296]接收到终端发送的内容访问请求，所述内容访问请求包括加密令牌，所述加密令牌包括第一位置信息，所述第一位置信息用于标识所述终端发送所述用户验证请求时的网络位置；
[0297]将所述加密令牌发送至控制设备；
[0298]接收所述控制设备发送的第一消息，所述第一消息包括所述用户的访问权限，所述第一消息用于表示所述终端通过验证；
[0299]根据所述第一消息中的所述用户的访问权限，向所述终端提供所述终端所请求的内容。
[0300]所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统， 装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
[0301]在本发明实施例所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
[0302]所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0303]另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
[0304]所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
[0305]以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
【主权项】
1.一种用于网络应用访问的验证方法，其特征在于，所述方法包括: 验证服务器根据来自终端的用户验证请求，对所述终端进行用户身份验证，所述用户验证请求包括第一位置信息，所述第一位置信息用于标识所述终端发送所述用户验证请求时的网络位置； 所述验证服务器在确定所述终端通过用户身份验证后，根据所述用户验证请求中的第一位置信息生成加密令牌，所述加密令牌包括所述第一位置信息和用户的访问权限，所述用户的访问权限包括所述用户能够访问的内容的列表； 所述验证服务器将所述加密令牌发送至控制设备。2.如权利要求1所述的验证方法，其特征在于，所述方法还包括: 所述验证服务器接收到所述终端发送的用户退出请求，所述用户退出请求包括第二位置信息，所述第二位置信息用于标识所述终端发送用户退出请求时的网络位置； 所述验证服务器根据所述第二位置信息生成令牌注销请求，所述令牌注销请求包括所述第二位置信息； 所述验证服务器将所述令牌注销请求发送至所述控制设备。3.一种用于网络应用访问的验证方法，其特征在于，所述方法包括: 转发设备接收到终端发送的内容访问请求，所述内容访问请求包括加密令牌，所述加密令牌包括第一位置信息，所述第一位置信息用于标识所述终端发送所述用户验证请求时的网络位置； 所述转发设备将所述加密令牌发送至控制设备； 所述转发设备接收所述控制设备发送的第一消息，所述第一消息包括所述用户的访问权限，所述第一消息用于表示所述终端通过验证； 所述转发设备根据所述第一消息中的所述用户的访问权限，向所述终端提供所述终端所请求的内容。4.如权利要求3所述的验证方法，其特征在于，所述内容访问请求还包括第二位置信息，所述第二位置信息与所述第一位置信息内容相同，所述方法还包括: 所述转发设备将所述第二位置信息发送至所述控制设备。5.如权利要求4所述的验证方法，其特征在于，所述内容访问请求还包括第三位置信息，所述第三位置信息用于标识所述终端发送所述内容访问请求时的网络位置，所述第三位置信息与所述第二位置信息不同，所述方法还包括: 所述转发设备从所述内容访问请求获得所述第三位置信息； 所述转发设备将所述第三位置信息发送至所述控制设备。6.一种用于网络应用访问的验证方法，其特征在于，所述方法包括: 控制设备接收验证服务器发送的第一加密令牌，所述第一加密令牌包括第一位置信息和用户的访问权限，所述第一位置信息用于标识所述终端发送所述用户验证请求时的网络位置，所述用户的访问权限包括所述用户能够访问的内容的列表； 所述控制设备根据所述第一加密令牌生成第二加密令牌，所述第二加密令牌包括所述第一位置信息； 所述控制设备将所述第二加密令牌发送至所述终端； 所述控制设备接收转发设备发送的所述第二加密令牌； 所述控制设备根据所述第一加密令牌对所述第二加密令牌进行验证； 所述控制设备在所述第二加密令牌通过验证后，向所述转发设备发送第一消息，所述第一消息包括所述用户的访问权限，所述第一消息用于表示所述终端通过验证。7.如权利要求6所述的验证方法，其特征在于，所述方法还包括: 所述控制设备接收所述转发设备发送的第二位置信息，所述第二位置信息和所述第一位置信息相同； 所述控制设备根据所述第二位置信息和所述第一位置信息，对所述终端进行验证；所述控制设备在所述终端通过验证且所述第二加密令牌通过验证后，向所述转发设备发送所述第一消息。8.如权利要求7所述的验证方法，其特征在于，所述方法还包括: 所述控制设备接收所述转发设备发送的第三位置信息，所述第三位置信息用于标识所述终端发送内容访问请求时的网络位置，所述第三位置信息与所述第二位置信息不同；所述控制设备根据所述第三位置信息，生成第三加密令牌，所述第三加密令牌包括所述第三位置信息； 所述控制设备将所述第三加密令牌发送至所述终端。9.根据权利要求8所述的验证方法，其特征在于，所述方法还包括: 所述控制设备用所述第三位置信息替换内容提供表中的第一位置信息，获得更新后的内容提供表，所述内容提供表为根据所述第一加密令牌生成的表，所述内容提供表包括所述第一加密令牌包括的第一位置信息和所述用户的访问权限，所述更新后的内容提供表包括所述第三位置信息和所述用户的访问权限；或者 所述控制设备将所述第三位置信息添加至内容提供表，获得更新后的内容提供表，所述内容提供表为根据所述第一加密令牌生成的表，所述内容提供表包括所述第一加密令牌包括的第一位置信息和所述用户的访问权限，所述更新后的内容提供表包括所述第三位置信息、所述第一加密令牌包括的第一位置信息和所述用户的访问权限。10.如权利要求6至9任一所述的验证方法，其特征在于，所述方法还包括: 所述控制设备接收到所述验证服务器发送的令牌注销请求，所述令牌注销请求包括所述终端的第四位置信息，所述第四位置信息于标识所述终端发送用户退出请求时的网络位置； 所述控制设备根据所述第四位置信息，注销与所述第四位置信息匹配的加密令牌。11.一种验证服务器，其特征在于，所述验证服务器包括: 身份验证模块，用于根据来自终端的用户验证请求，对所述终端进行用户身份验证，所述用户验证请求包括第一位置信息，所述第一位置信息用于标识所述终端发送所述用户验证请求时的网络位置； 令牌生成模块，用于在确定所述终端通过用户身份验证后，根据所述用户验证请求中的第一位置信息生成加密令牌，所述加密令牌包括所述第一位置信息和用户的访问权限，所述用户的访问权限包括所述用户能够访问的内容的列表； 第一发送模块，用于将所述加密令牌发送至控制设备。12.如权利要求11所述的验证服务器，其特征在于，所述验证服务器还包括: 接收模块，用于接收到所述终端发送的用户退出请求，所述用户退出请求包括第二位置信息，所述第二位置信息用于标识所述终端发送用户退出请求时的网络位置； 注销请求生成模块，用于根据所述第二位置信息生成令牌注销请求，所述令牌注销请求包括所述第二位置信息； 第二发送模块，用于将所述令牌注销请求发送至所述控制设备。13.一种转发设备，其特征在于，所述转发设备包括: 第一接收模块，用于接收到终端发送的内容访问请求，所述内容访问请求包括加密令牌，所述加密令牌包括第一位置信息，所述第一位置信息用于标识所述终端发送所述用户验证请求时的网络位置； 第一发送模块，用于将所述加密令牌发送至控制设备； 第二接收模块，用于接收所述控制设备发送的第一消息，所述第一消息包括所述用户的访问权限，所述第一消息用于表示所述终端通过验证； 第二发送模块，用于根据所述第一消息中的所述用户的访问权限，向所述终端提供所述终端所请求的内容。14.如权利要求13所述的转发设备，其特征在于，所述内容访问请求还包括第二位置信息，所述第二位置信息与所述第一位置信息内容相同，所述转发设备还包括: 第三发送模块，用于将所述第二位置信息发送至所述控制设备。15.如权利要求14所述的转发设备，其特征在于，所述内容访问请求还包括第三位置信息，所述第三位置信息用于标识所述终端发送所述内容访问请求时的网络位置，所述第三位置信息与所述第二位置信息不同，所述转发设备还包括: 位置获取模块，用于从所述内容访问请求获得所述第三位置信息； 第四发送模块，用于将所述第三位置信息发送至所述控制设备。16.一种控制设备，其特征在于，所述控制设备包括: 第一接收模块，用于接收验证服务器发送的第一加密令牌，所述第一加密令牌包括第一位置信息和用户的访问权限，所述第一位置信息用于标识所述终端发送所述用户验证请求时的网络位置，所述用户的访问权限包括所述用户能够访问的内容的列表； 令牌生成模块，用于根据所述第一加密令牌生成第二加密令牌，所述第二加密令牌包括所述第一位置信息； 第一发送模块，用于将所述第二加密令牌发送至所述终端； 第二接收模块，用于接收转发设备发送的所述第二加密令牌； 令牌验证模块，用于根据所述第一加密令牌对所述第二加密令牌进行验证； 第二发送模块，用于在所述第二加密令牌通过验证后，向所述转发设备发送第一消息，所述第一消息包括所述用户的访问权限，所述第一消息用于表示所述终端通过验证。17.如权利要求16所述的控制设备，其特征在于，所述控制设备还包括: 第三接收模块，用于接收所述转发设备发送的第二位置信息，所述第二位置信息和所述第一位置信息相同； 终端验证模块，用于根据所述第二位置信息和所述第一位置信息，对所述终端进行验证； 第三发送模块，用于在所述终端通过验证且所述第二加密令牌通过验证后，向所述转发设备发送所述第一消息。18.如权利要求17所述的控制设备，其特征在于，所述控制设备还包括: 第四接收模块，用于接收所述转发设备发送的第三位置信息，所述第三位置信息用于标识所述终端发送内容访问请求时的网络位置，所述第三位置信息与所述第二位置信息不同； 令牌更新模块，用于根据所述第三位置信息，生成第三加密令牌，所述第三加密令牌包括所述第三位置信息； 第四发送模块，用于将所述第三加密令牌发送至所述终端。19.根据权利要求18所述的控制设备，其特征在于，所述控制设备还包括:更新模块； 所述更新模块用于利用所述第三位置信息替换内容提供表中的第一位置信息，获得更新后的内容提供表，所述内容提供表为根据所述第一加密令牌生成的表，所述内容提供表包括所述第一加密令牌包括的第一位置信息和所述用户的访问权限，所述更新后的内容提供表包括所述第三位置信息和所述用户的访问权限；或者 所述更新模块用于将所述第三位置信息添加至内容提供表，获得更新后的内容提供表，所述内容提供表为根据所述第一加密令牌生成的表，所述内容提供表包括所述第一加密令牌包括的第一位置信息和所述用户的访问权限，所述更新后的内容提供表包括所述第三位置信息、所述第一加密令牌包括的第一位置信息和所述用户的访问权限。20.如权利要求16至19任一所述的控制设备，其特征在于，所述控制设备还包括: 第五接收模块，用于接收到所述验证服务器发送的令牌注销请求，所述令牌注销请求包括所述终端的第四位置信息，所述第四位置信息于标识所述终端发送用户退出请求时的网络位置； 令牌注销模块，用于根据所述第四位置信息，注销与所述第四位置信息匹配的加密令牌。21.一种用于网络应用访问的验证系统，其特征在于，所述系统包括: 前述权利要求11或12所述的验证服务器、前述权利要求13至15任一所述的转发设备、和前述权利要求16至20任一所述的控制设备。
【文档编号】H04L9/32GK106034104SQ201510100437
【公开日】2016年10月19日
【申请日】2015年3月7日
【发明人】刘树成
【申请人】华为技术有限公司