[发明专利]一种网络终端认证的方法及装置

说明书

本发明实施例提供一种网络终端认证的方法及装置，该方法包括：网络服务端接收网络终端发送的第一访问请求；第一访问请求中携带访问认证策略；网络服务端从端口策略记录中，确定与访问认证策略匹配的端口策略；端口策略记录中的各端口策略用于开启对应的各网络端口；网络服务端根据端口策略确定网络终端访问的第一网络端口；网络服务端接收网络终端发送的第二访问请求，第二访问请求用于通过第一网络端口获取网络服务。本申请可以实现在IP地址频繁变化的情况下，根据端口策略记录以及访问认证策略对用户进行认证，消除IP地址与网络服务端认证机制的耦合，增加访问IP地址的灵活性；提高第一网络端口的安全性。

技术领域

本申请涉及网络技术领域，尤其涉及一种网络终端认证的方法及装置。

背景技术

在网络安全攻防演练以及实际的网络攻击场景中，大多数攻击者会在第一步的信息搜集阶段，使用Nmap(Network Mapper，网络扫描)等工具对拟攻击目标主机进行端口扫描，获取该主机IP地址中的所有开放的网络端口，进而实现进一步的攻击操作。例如，攻击者可能会通过自动化工具扫描网络端口，以获取MySQL等开放的网络端口对应的网络服务；如果此时，网络端口存在弱密码等安全隐患，则将造成数据泄露、主机损坏等严重的安全事故。因此，现有技术中通过在主机的防火墙中设置对应网络端口允许访问的IP地址白名单，当确定用户的IP地址属于白名单中的IP地址，则允许该用户访问该网络端口，并为该用户提供该网络端口对应的网络服务；否则，不对该用户开放网络端口；如此，实现对访问用户的权限控制。但上述方法在IP地址发生变化时，则需要修改IP地址白名单，尤其是IP地址频繁变化，将导致IP地址白名单频繁修改。

因此，现在亟需一种网络终端认证的方法及装置，能够消除IP地址与网络服务端认证机制的耦合，增加访问IP地址的灵活性，并提高网络端口的安全性。

发明内容

本发明实施例提供一种网络终端认证的方法及装置，能够消除IP地址与网络服务端认证机制的耦合，增加访问IP地址的灵活性，并提高网络端口的安全性。

第一方面，本发明实施例提供一种网络终端认证的方法，该方法包括：

网络服务端接收网络终端发送的第一访问请求；所述第一访问请求中携带访问认证策略；所述网络服务端从端口策略记录中，确定与所述访问认证策略匹配的端口策略；所述端口策略记录中的各所述端口策略用于开启对应的各网络端口；所述网络服务端根据所述端口策略确定所述网络终端访问的第一网络端口；所述网络服务端接收所述网络终端发送的第二访问请求，所述第二访问请求用于通过所述第一网络端口获取网络服务。

上述方法中，网络终端发送第一访问请求至网络服务端，根据第一访问请求中的访问认证策略，匹配端口策略记录，以确定与其匹配的端口策略，进一步确定为网络终端提供网络服务的网络端口。如此，网络服务端根据端口策略记录对网络终端发送的第一访问请求中的访问认证策略进行认证，以及匹配第一网络端口。相比于现有技术中通过IP地址白名单对访问用户进行控制，本申请可以实现在IP地址频繁变化的情况下，根据端口策略记录以及访问认证策略对用户进行认证，消除IP地址与网络服务端认证机制的耦合，增加访问IP地址的灵活性；并保证第一网络端口只针对认证通过的用户开放，提高第一网络端口的安全性。

可选的，网络服务端接收网络终端发送的第一访问请求之前，还包括：所述网络服务端将第二网络端口关闭，所述第二网络端口为用于提供网络服务的任一端口；所述网络服务端将第三网络端口开放，所述第三网络端口用于捕捉并分析恶意攻击消息。

上述方法中，网络服务端将用于提供网络服务的第二网络端口关闭，防止第二网络端口在开放状态，任何人都能访问该第二网络端口而造成被恶意攻击，增加第二网络端口的安全性。并将用于捕捉并分析恶意攻击消息的第三网络端口开放，由此，通过第三网络端口实现对攻击行为的防御，提高网络服务端的防御恶意攻击能力。