[发明专利]一种数据访问方法及装置

权利要求书

1.一种数据访问方法，其特征在于，所述方法包括：

获取客户端的注册设备标识，并根据所述注册设备标识生成设备特征码；

安全认证网关获取所述客户端发送的认证报文，并对所述认证报文进行合法性验证；

在所述认证报文验证为合法后，所述安全认证网关向所述客户端发送生成的KEY值以及为所述客户端分配的代理网关的代理网关地址；

所述客户端根据所述代理网关地址向所述代理网关发送UDP报文，所述UDP报文包括所述KEY值、所述设备特征码以及所述客户端的源地址；

所述代理网关对所述KEY值以及所述设备特征码进行验证，并在验证通过后，将所述源地址写入信任名单，并根据所述信任名单对接收到的所有报文进行过滤，以使所述客户端进行数据访问。

2.根据权利要求1所述的方法，其特征在于，认证报文包括账号、密码以及注册设备标识，对所述认证报文进行合法性验证的步骤包括：

所述安全认证网关在数据库中检索是否存在与所述账号、所述密码以及所述注册设备标识一致的数据。

3.根据权利要求1所述的方法，其特征在于，所述安全认证网关向所述客户端发送生成的KEY值以及为所述客户端分配的代理网关的代理网关地址的步骤之后，所述客户端根据所述代理网关地址向所述代理网关发送UDP报文的步骤之前，所述方法包括：

所述客户端根据所述KEY值进行鉴权认证以及单包认证。

4.根据权利要求1所述的方法，其特征在于，所述客户端根据所述代理网关地址向所述代理网关发送UDP报文的步骤包括：

所述客户端分别将KEY值以及设备特征码进行加密，以得到第一加密值以及第二加密值；

所述客户端向所述代理网关发送UDP报文，所述UDP报文包括所述第一加密值、所述第二加密值以及所述客户端的源地址。

5.根据权利要求4所述的方法，其特征在于，所述代理网关对所述KEY值以及所述设备特征码进行验证的步骤包括：

所述代理网关对所述第一加密值和所述第二加密值分别进行解密，以得到第一解密值以及第二解密值；

所述代理网关将所述第一解密值发送至所述安全认证网关进行验证，并根据数据库对所述第二解密值进行验证。

6.根据权利要求1所述的方法，其特征在于，所述KEY值在预设时间段内有效，所述代理网关对所述KEY值以及所述设备特征码进行验证，并在验证通过后，将所述源地址写入信任名单，并根据所述信任名单对接收到的所有报文进行过滤，以使所述客户端进行数据访问的步骤之后，所述方法还包括：

根据预设时间段判断所述KEY值是否失效；

若所述KEY值失效，则将所述源地址从所述信任名单中删除。

7.根据权利要求1所述的方法，其特征在于，所述代理网关对所述KEY值以及所述设备特征码进行验证的步骤之后，所述方法还包括：

在验证通过后，所述客户端与所述代理网关之间建立连接；

所述代理网关获取所述客户端的端口，并将所述端口加入信任名单，其中所述信任名单中所述端口与所述源地址匹配；

判断接收到的报文的源地址以及端口是否匹配且存在于所述信任名单中，若是，则放行所述报文。

8.根据权利要求7所述的方法，其特征在于，所述客户端与所述代理网关之间建立连接的步骤之后，所述方法包括：

所述代理网关从数据库中获取与所述客户端对应的访问策略控制列表；所述访问策略控制列表包括允许所述客户端访问的所有内部网络地址；

所述代理网关将所述访问策略控制列表发送至所述客户端；

所述客户端启用客户机的内核模块对访问地址为访问策略控制列表中内部网络地址的IP报文进行过滤；

所述客户端将所述IP报文拷贝到用户态，并通过所述客户端与所述代理网关之间建立的链路将过滤后的IP报文发送至所述代理网关。