[发明专利]可信连接认证方法、装置、设备和计算机可读存储介质

说明书

本公开的实施例提供了可信连接认证方法、装置、设备和计算机可读存储介质。所述方法包括应用客户端向应用服务端发送报文数据；代理服务对所述报文数据进行拦截，将访问令牌加入所述报文数据后转发给所述应用服务端；其中，所述代理服务部署在客户端侧；网关服务对发送给所述应用服务端的报文数据进行拦截，从拦截到的报文数据中取出访问令牌并进行校验；若校验通过，则将拦截到的报文数据发送给应用服务端；其中，所述网关服务部署在服务端侧。以此方式，未携带正确令牌的报文帧将被丢弃，体现给客户端的效果为该服务地址和端口不存在。使攻击者无法判断服务是否存在，从而无法发起攻击，达到保护服务的目的。

技术领域

本公开的实施例一般涉及网络安全领域，并且更具体地，涉及可信连接认证方法、装置、设备和计算机可读存储介质。

背景技术

客户端与服务端在进行TCP(Transmission Control Protocol中文译名：传输控制协议)信道可信连接时的认证一般以用户身份为主体的认证手段，认证方式一般基于账号口令或数字证书。在进行可信接入之前，服务端的服务端口一直可以处于开放状态，客户端与服务端建立连接后，将认证信息发送到服务端进行认证，认证通过后可以对资源进行访问，没有通过则断开连接。

在目前的传统模式下，服务端口一直处于暴露状态，攻击者可以扫描到该端口，从而对该端口发起攻击，最常见的诸如DDOS(Distributed denial of service attack中文译名：分布式拒绝服务攻击)攻击，造成用户无法正常访问资源。

另外在现在流行的基于HTTP(Hyper Text Transfer Protocol中午译名：超文本传输协议)协议的Web(World Wide Web中午译名：全球广域网或万维网)API(ApplicationProgramming Interface中午译名：应用程序接口)模式下，通常将访问令牌放在每个协议报文中交由服务端进行认证。这样非常利于攻击者伪造或仿冒身份获取资源，典型诸如爬虫类程序从服务端获取大量资源，从而占用大量服务器资源，影响正常用户的资源访问。

发明内容

根据本公开的实施例，提供了一种可信连接认证方案。

在本公开的第一方面，提供了一种可信连接认证方法。该方法包括：应用客户端向应用服务端发送报文数据；代理服务对所述报文数据进行拦截，将访问令牌加入所述报文数据后转发给所述应用服务端；其中，所述代理服务部署在客户端侧；网关服务对发送给所述应用服务端的报文数据进行拦截，从拦截到的报文数据中取出访问令牌并进行校验；若校验通过，则将拦截到的报文数据发送给应用服务端；其中，所述网关服务部署在服务端侧。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述访问令牌是由认证服务根据所述代理服务发送的令牌获取请求生成并下发给所述代理服务的。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，代理服务对所述报文数据进行拦截，将访问令牌加入所述报文数据后转发给所述应用服务端包括：确定拦截的报文数据的对应服务；判断本地是否缓存有对应服务的访问令牌；如果是，将访问令牌加入所述报文数据后转发给所述应用服务端；如果否，向所述认证服务发送令牌获取请求，以便所述认证服务根据令牌获取请求，生成访问令牌并下发给所述代理服务。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述令牌获取请求包括身份信息；所述认证服务根据所述令牌获取请求中包括的身份信息进行登录认证。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述认证服务将所述访问令牌下发给代理服务的同时/之前/之后，将所述访问令牌发送给所述网关服务；所述网关服务对访问令牌进行校验包括：判断本地是否存储有与所述访问令牌对应的由认证服务下发的访问令牌，如果是，则校验通过。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述访问令牌包括应用客户端的设备标识与认证方式，且具备唯一性。