WO2018121249A1 - 一种基于ssl协议的访问控制方法及装置 - Google Patents

Abstract

本发明涉及通信技术领域，公开了一种基于SSL协议的访问控制方法及装置，包括：入口服务器接收终端发送的访问请求；所述入口服务器确定所述访问请求对应的安全套接层SSL认证方式；若为双向认证，则所述入口服务器在与所述终端双向认证通过后，将所述终端的标识信息加入所述访问请求中并发送给后台服务器，所述后台服务器用于根据访问请求中是否携带终端的标识信息来确定终端的访问权限。本发明用以解决现有技术中不同认证方式需单独搭建认证***，资源的利用效率低的问题。

Description

一种基于SSL协议的访问控制方法及装置

本申请要求在2016年12月30日提交中华人民共和国知识产权局、申请号为201611264199.4，发明名称为“一种基于SSL协议的访问控制方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请实施例涉及通信技术领域，尤其涉及一种基于SSL协议的访问控制方法及装置。

背景技术

伴随着网络技术的发展和智能终端的普及，在电子商务、网上银行等互联网支付领域，信息交互的安全性成为大家关注的焦点。通常，在通信的双方建立一条加密通道对传输数据进行加密传输的方式已得到广泛的应用。

SSL(Secure Sockets Layer，安全套接层)是为网络通信提供安全及数据完整性的一种安全协议。SSL协议介于TCP(Transmission Control Protocol传输控制协议)层与应用层之间，是Web浏览器与Web服务器之间安全交换信息的协议，提供两个基本的安全服务：鉴别与保密。SSL协议可分为两层：SSL记录协议(SSL Record Protocol)：它建立在可靠的传输协议(如TCP)之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议(SSL Handshake Protocol)：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。

根据认证方式的不同，SSL协议分为单向认证和双向认证两种。单向认证为服务器需要向客户端提供数字证书，客户端对服务器进行身份验证。双向认证为客户端和服务器双方均需要向对方提供数字证书，并对对方的数字证书进行验证。目前的技术方案中，一个服务器(唯一的IP地址和端口)对外提供SSL服务，多是使用单一认证方式，要么使用单向认证，要么使用双 向认证，不同认证方式需单独搭建认证***，资源的利用效率较低。

发明内容

本发明实施例提供一种基于SSL协议的访问控制方法及装置，用以解决现有技术中不同认证方式需单独搭建认证***，资源的利用效率低的问题。

第一方面，本发明实施例提供的基于SSL协议的访问控制方法包括：入口服务器接收终端发送的访问请求；所述入口服务器确定所述访问请求对应的安全套接层SSL认证方式；若为双向认证，则所述入口服务器在与所述终端双向认证通过后，将所述终端的标识信息加入所述访问请求中并发送给后台服务器，所述后台服务器用于根据访问请求中是否携带终端的标识信息来确定终端的访问权限。

可选的，所述入口服务器在与所述终端双向认证通过，包括：所述入口服务器向所述终端发送所述入口服务器的证书并接收所述终端对所述入口服务器的认证结果；所述入口服务器向所述终端发送证书获取请求；所述入口服务器接收所述终端发送的终端证书，所述终端证书中包括所述终端的标识信息；所述入口服务器根据所述终端证书完成对所述终端的认证。

可选的，所述终端证书通过如下方式获得：所述终端根据所述终端的标识信息，生成证书请求CSR文件；所述终端向证书颁发机构发送所述CSR，以使所述证书颁发机构根据所述CSR生成所述终端证书；所述终端接收所述证书颁发机构发送的所述终端证书。

可选的，所述入口服务器确定所述访问请求对应的SSL认证方式，包括：所述入口服务器接收所述终端发送的所述访问请求，所述访问请求中包括端口号；所述入口服务器根据所述端口号，确定所述访问请求对应的SSL认证方式为双向认证或单向认证。

可选的，所述入口服务器接收终端发送的访问请求，包括：所述入口服务器接收所述终端发送的https请求；所述入口服务器将所述终端的标识信息加入所述访问请求中并发送给后台服务器，包括：所述入口服务器将所述https 请求转换成http请求，并在所述http请求的报文头中***所述终端的标识信息；所述入口服务器将加入标识信息的所述http请求发送给所述后台服务器。

第二方面，本发明实施例提供一种基于SSL认证的访问控制方法，包括：后台服务器接收入口服务器发送的访问请求；所述后台服务器根据所述访问请求中是否包括终端的标识信息，确定所述访问请求对应的SSL认证方式；所述后台服务器根据所述访问请求对应的SSL认证方式，对所述终端进行验证；所述后台服务器在对终端验证通过后，处理所述访问请求，并向所述入口服务器发送处理结果。

可选的，所述后台服务器根据所述访问请求对应的SSL认证方式，对所述终端进行验证，包括：若所述访问请求对应的SSL认证方式为单向认证，则所述访问请求中包括所述终端的登录账号和密码，所述后台服务器验证所述登录账号和所述密码是否匹配；若所述访问请求对应的SSL认证方式为双向认证，则所述访问请求的报文头中包括所述终端的标识信息，所述后台服务器验证所述终端的标识信息是否已登记。

第三方面，本发明实施例提供一种基于SSL协议的访问控制装置，包括：入口收发模块，用于接收终端发送的访问请求；入口认证模块，用于确定所述访问请求对应的SSL认证方式；入口处理模块，用于若为双向认证，则在与所述终端双向认证通过后，将所述终端的标识信息加入所述访问请求中；所述入口收发模块，还用于将所述访问请求发送给后台服务器，所述后台服务器用于根据访问请求中是否携带终端的标识信息来确定终端的访问权限。

可选的，所述入口收发模块，具体用于：向所述终端发送所述入口服务器的证书并接收所述终端对所述入口服务器的认证结果；向所述终端发送证书获取请求；接收所述终端发送的终端证书，所述终端证书中包括所述终端的标识信息；所述入口处理模块，具体用于根据所述终端证书完成对所述终端的认证。

可选的，所述终端证书通过如下方式获得：所述终端根据所述终端的标识信息，生成证书请求CSR文件；所述终端向证书颁发机构发送所述CSR， 以使所述证书颁发机构根据所述CSR生成所述终端证书；所述终端接收所述证书颁发机构发送的所述终端证书。

可选的，所述访问请求中包括端口号；所述入口认证模块，具体用于根据所述端口号，确定所述访问请求对应的SSL认证方式为双向认证或单向认证。

可选的，所述入口收发模块，用于接收所述终端发送的https请求；所述入口处理模块，具体用于将所述https请求转换成http请求，并在所述http请求的报文头中***所述终端的标识信息；所述入口收发模块，用于将加入标识信息的所述http请求发送给所述后台服务器。

第四方面，本发明实施例提供一种基于SSL认证的访问控制装置，包括：

后台收发模块，用于接收入口服务器发送的访问请求；

后台认证模块，用于根据所述访问请求中是否包括终端的标识信息，确定所述访问请求对应的SSL认证方式；

后台处理模块，用于根据所述访问请求对应的SSL认证方式，对所述终端进行验证；

所述后台处理模块，还用于在对终端验证通过后，处理所述访问请求；

所述后台收发模块，还用于向所述入口服务器发送处理结果。

可选的，所述后台处理模块，还用于：若所述访问请求对应的SSL认证方式为单向认证，则所述访问请求中包括所述终端的登录账号和密码，验证所述登录账号和所述密码是否匹配；若所述访问请求对应的SSL认证方式为双向认证，则所述访问请求的报文头中包括所述终端的标识信息，验证所述终端的标识信息是否已登记。

第五方面，本申请实施例提供一种电子设备，包括收发器、处理器、存储器和通信接口，其中，所述收发器、所述处理器、所述存储器和所述通信接口之间通过总线连接；

所述收发器，用于接收终端发送的访问请求；将所述访问请求发送给后台服务器，所述后台服务器用于根据访问请求中是否携带终端的标识信息来 确定终端的访问权限；

所述处理器，用于读取所述存储器中的程序，执行以下方法：

确定所述访问请求对应的SSL认证方式；若为双向认证，则在与所述终端双向认证通过后，将所述终端的标识信息加入所述访问请求中；

所述存储器，用于存储一个或多个可执行程序，可以存储所述处理器在执行操作时所使用的数据。

第六方面，本申请实施例提供一种电子设备，包括收发器、处理器、存储器和通信接口，其中，所述收发器、所述处理器、所述存储器和所述通信接口之间通过总线连接；

所述收发器，用于接收入口服务器发送的访问请求；向所述入口服务器发送处理结果；

所述处理器，所述处理器，用于读取所述存储器中的程序，执行以下方法：

根据所述访问请求中是否包括终端的标识信息，确定所述访问请求对应的SSL认证方式；根据所述访问请求对应的SSL认证方式，对所述终端进行验证；对终端验证通过后，处理所述访问请求；

所述存储器，用于存储一个或多个可执行程序，可以存储所述处理器在执行操作时所使用的数据。

第七方面，本申请实施例提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使所述计算机执行第一方面或第一方面的任意可能的实现方式中的方法，或者所述计算机指令用于使所述计算机执行第二方面或第二方面的任意可能的实现方式中的方法。

第八方面，本申请实施例提供一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，使所述计算机执行第一方面 或第一方面的任意可能的实现方式中的方法，或者使计算机执行第二方面或第二方面的任意可能的实现方式中的方法。

本发明实施例中，入口服务器接收终端发送的访问请求，并根据该访问请求确定对应的SSL认证方式为双向认证还是单向认证。若该访问请求的SSL认证方式为双向认证，则入口服务器与终端进行双向认证。双向认证通过后，入口服务器将终端的标识信息加入访问请求中，并将加入标识信息的访问请求发送给后台服务器。由于双向认证能够为终端的访问提供更为安全的保证，相较于双向认证，单向认证的安全性较低。因此，对于不同的认证方式，对应的访问请求的权限不同。后台服务器可以根据访问请求中是否携带终端的标识信息，来确定终端与入口服务器之间的SSL认证方式，从而进一步确定终端的访问权限。这样，可以将SSL双向认证的***和SSL单向认证的***设置于同一台后台服务器(唯一的IP地址和端口)，提高了后台服务器处理访问请求的灵活性，节省了服务器资源，解决了现有技术中不同认证方式需要单独搭建认证***的问题。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例所适用的一种***架构的示意图；

图2为本发明实施例中一种基于SSL协议的访问控制方法的流程图；

图3为本发明实施例一中SSL认证方式为单向认证的基于SSL协议的访问控制方法的流程图；

图4为本发明实施例二中SSL认证方式为双向认证的基于SSL协议的访问控制方法的流程图；

图5为本发明实施例中一种基于SSL协议的访问控制装置的结构示意图；

图6为本发明实施例中另一种基于SSL协议的访问控制装置的结构示意图；

图7为本申请实施例提供的一种电子设备的结构示意图；

图8为本申请实施例提供的一种电子设备的结构示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明一部份实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

如图1所示，本发明实施例所适用的一种***架构，包括终端101、入口服务器102和后台服务器103。终端101可以是手机、平板电脑或者是专用的手持设备等具有无线通信功能的电子设备，也可以是个人计算机(personal computer，简称PC)，笔记本电脑，服务器等有线接入方式连接上网的设备。服务器102可以是计算机等网络设备。优选地，入口服务器102为F5服务器，提供互联网访问入口和各个入口的负载均衡。不同SSL认证方式的处理，可以由不同入口服务器102进行处理，即一个入口服务器102处理单向认证，另一个入口服务器102处理双向认证；也可以由同一个入口服务器102的不同端口实现，即入口服务器102上的一个端口处理单向认证，同一个入口服务器102上的另一个端口处理双向认证。后台服务器103可以是一个独立的设备，也可以是多个服务器所形成的服务器集群，用于处理终端发来的访问请求，若后台服务器103为多个服务器，则每个后台服务器中部署的应用***完全一致，即每个后台服务器均可以处理双向认证对应的访问请求，以及单向认证对应的访问请求。入口服务器102和后台服务器103可以采用云计算技术进行信息处理。

终端101可以通过INTERNET网络与服务器102进行通信，也可以通过全球移动通信***(Global System for Mobile Communications，简称GSM)、长期演进(long term evolution，简称LTE)***等移动通信***与服务器102进行通信。

图2示例性示出了本发明实施例提供的一种基于SSL协议的访问控制方法流程示意图。

基于前述内容，如图2所示，本发明实施例提供的一种针对监控软件的监控方法，包括以下步骤：

步骤201、入口服务器接收终端发送的访问请求。

步骤202、所述入口服务器确定所述访问请求对应的安全套接层SSL认证方式。

步骤203、若为双向认证，则所述入口服务器在与所述终端双向认证通过后，将所述终端的标识信息加入所述访问请求中并发送给后台服务器，所述后台服务器用于根据访问请求中是否携带终端的标识信息来确定终端的访问权限。

本发明实施例中，入口服务器接收终端发送的访问请求，并根据该访问请求确定对应的SSL认证方式为双向认证还是单向认证。若该访问请求的SSL认证方式为双向认证，则入口服务器与终端进行双向认证。双向认证通过后，入口服务器将终端的标识信息加入访问请求中，并将加入标识信息的访问请求发送给后台服务器。由于双向认证能够为终端的访问提供更为安全的保证，相较于双向认证，单向认证的安全性较低。因此，对于不同的认证方式，对应的访问请求的权限不同。后台服务器可以根据访问请求中是否携带终端的标识信息，来确定终端与入口服务器之间的SSL认证方式，从而进一步确定终端的访问权限。这样，可以将SSL双向认证的***和SSL单向认证的***设置于同一台后台服务器(唯一的IP地址和端口)，提高了后台服务器处理访问请求的灵活性，节省了服务器资源，解决了现有技术中不同认证方式需要单独搭建认证***的问题。

用户浏览网络资源或对网络资源进行管理时，通过终端上的浏览器向服务器发送访问请求，服务器基于该访问请求向终端回复终端请求的信息。其中，终端的浏览器和服务器之间传输信息可以基于HTTP(Hyper Text Transport Protocol，超文本传输协议)。为了保证终端和服务器之间信息传输的安全性，在HTTP的基础上加入了SSL协议，即将HTTP换为HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer，基于安全套接层的超文本传输协议)。

本发明实施例中，上述步骤201，所述入口服务器接收终端发送的访问请求，包括：

所述入口服务器接收所述终端发送的https请求。

HTTP是一个客户端与服务器之间请求和应答的标准。客户端安装于终端上，服务器端可以是网站。通过使用网络浏览器、网络爬虫或者其它的工具，客户端发起一个到服务器上指定端口的HTTP请求。服务器上存储着资源，比如HTML(HyperText Markup Language，超级文本标记语言)文件和图像。

通常，由客户端发起一个请求，建立一个到服务器指定端口的TCP连接。HTTP服务器则在那个端口监听客户端发送过来的请求。将收到的请求处理之后，服务器向客户端回复响应消息，响应消息的内容可能是客户端请求的文件、错误消息、或者其它一些信息。

由于HTTP以明文方式发送消息，不提供任何方式的数据加密，安全性很低，如果攻击者截取了浏览器和服务器之间的传输报文，就可以直接读懂其中的信息。

为了解决HTTP的这一缺陷，需要使用另一个协议：安全套接字层超文本传输协议HTTPS。为了数据传输的安全，HTTPS在HTTP的基础上加入了SSL协议，SSL依靠数字证书来验证服务器或客户端的身份，并为客户端和服务器之间的通信加密。

入口服务器接收到终端发送的访问请求后，由于该访问请求是基于HTTPS，则入口服务器需要根据访问请求确定如何认证数字证书。数字证书 的认证分为两种方式，双向认证和单向认证，需要入口服务器上配置双向认证和单向认证的数字证书。可以将双向认证的数字证书与单向认证的数字证书配置于不同入口服务器内，这样，一个入口服务器只处理双向认证对应的访问请求，另一个入口服务器只处理单向认证对应的访问请求。不同认证方式的访问请求根据不同的IP地址或者不同网络域名，发送到相应的入口服务器，即双向认证对应的访问请求根据处理双向认证的入口服务器的IP地址，发送至处理双向认证的入口服务器；单向认证对应的访问请求根据处理单向认证的入口服务器的IP地址，发送至处理单向认证的入口服务器。较佳的，本发明实施例中，在一个入口服务器上同时配置双向认证和单向认证的数字证书，通过不同的端口区分访问请求对应的认证方式。则上述步骤202，所述入口服务器确定所述访问请求对应的SSL认证方式，包括：

所述入口服务器接收所述终端发送的所述访问请求，所述访问请求中包括端口号；

所述入口服务器根据所述端口号，确定所述访问请求对应的SSL认证方式为双向认证或单向认证。

由于双向认证和单向认证连接对应的服务器或端口不一样，也就是说，若客户端对应的认证方式为双向认证，则客户端发起的访问请求是直接发送到双向认证对应的服务器或端口；若客户端对应的认证方式为单向认证，则客户端发起的访问请求是发送到单向认证对应的服务器或端口。因此，若同一个入口服务器接收到终端发送的访问请求后，可以根据该访问请求中携带的端口号来判断该访问请求对应的SSL认证方式。

确定了SSL认证方式为双向认证或者单向认证之后，入口服务器执行与客户端之间的SSL认证。

若SSL认证方式为双向认证，则上述步骤203中，入口服务器与所述终端进行双向认证，包括：

所述入口服务器向所述终端发送所述入口服务器的证书并接收所述终端对所述入口服务器的认证结果；

所述入口服务器向所述终端发送证书获取请求；

所述入口服务器接收所述终端发送的终端证书，所述终端证书中包括所述终端的标识信息；

所述入口服务器根据所述终端证书完成对所述终端的认证。

具体来说，入口服务器判断终端发送的访问请求对应的认证方式为双向认证后，向终端发送入口服务器的证书，终端对入口服务器的证书进行认证，认证通过后会向入口服务器反馈认证成功的结果。由于是双向认证，则入口服务器向终端发送请求获取终端的证书，入口服务器接收到终端的证书后，对该终端的证书进行验证，由此完成入口服务器与终端之间的SSL双向认证。

若访问请求对应的认证方式为单向认证，则只需要入口服务器将服务器的数字证书发送给终端，使客户端对入口服务器的证书进行验证，终端无需将终端的证书发送给入口服务器。

也就是说，两种SSL认证方式的不同之处在于，双向认证中终端将证书发送给服务器，单向认证中终端不向服务器发送证书。因此，本发明实施例中，双向认证将证书发送给入口服务器，则可以在证书中加入终端的标识信息，一同发送给入口服务器，入口服务器再将获得的终端的标识信息放入访问请求中发送给后台服务器，则后台服务器可以从双向认证对应的访问请求中获取终端的标识信息。另一方面，单向认证是入口服务器将入口服务器的证书发送给终端，而终端无需发送终端的证书给入口服务器，则入口服务器不获取终端的标识信息，因此，单向认证的情况下，入口服务器发送给后台服务器的访问请求中不携带终端的标识信息。这样，后台服务器可以根据访问请求中是否携带终端的标识信息，判断该访问请求对应的认证方式是双向认证还是单向认证，从而确定该访问请求对应的权限。

上述终端证书通过以下方式获得：

所述终端根据所述终端的标识信息，生成证书请求CSR文件；

所述终端向证书颁发机构发送所述CSR，以使所述证书颁发机构根据所述CSR生成所述终端证书；

所述终端接收所述证书颁发机构发送的所述终端证书。

具体来说，终端利用终端的MAC(Message Authentication Code，消息认证码)、终端序列号等唯一标识生成私钥文件和CSR(Certificate Signing Request，证书请求)文件，并将CSR文件发送给证书颁发机构。证书颁发机构使用证书颁发机构的私钥对该CSR文件签名，就生成了证书公钥文件，也就是颁发给用户终端的证书，并将该终端证书发送回终端，该终端证书可以用于认证终端的安全性。因此，终端证书中携带该终端的标识信息，终端将终端证书发送给入口服务器，入口服务器可以从终端证书中获取终端的标识信息，并将其加入访问请求中。

此外，入口服务器将将所述终端的标识信息加入所述访问请求中并发送给后台服务器，包括：

所述入口服务器将所述https请求转换成http请求，并在所述http请求的报文头中***所述终端的标识信息；

所述入口服务器将加入标识信息的所述http请求发送给所述后台服务器。

虽然HTTPS相较于HTTP是更为安全的通信协议，但是HTTPS需要后台服务器处理对方发来的证书，加重了后台服务器的工作量。由于入口服务器与后台服务器之间的连接属于内网连接，安全性已经很高，通信无需加密，因此，入口服务器将https请求转换为http请求，发送给后台服务器。同时，若访问请求对应的认证方式为双向认证，入口服务器将http请求中加入终端的标识信息，使得后台服务器可以根据访问请求中携带终端的标识信息，确定该访问请求对应的认证方式为双向认证。

相应的，本发明实施例中，后台服务器接收到访问请求后，根据该访问请求对应的认证方式，对访问请求进行处理，具体包括：

后台服务器接收入口服务器发送的访问请求；

所述后台服务器根据所述访问请求中是否包括终端的标识信息，确定所述访问请求对应的SSL认证方式；

所述后台服务器根据所述访问请求对应的SSL认证方式，对所述终端进 行验证；

所述后台服务器在对终端验证通过后，处理所述访问请求，并向所述入口服务器发送处理结果。

由于SSL认证方式为两种，双向认证或单向认证，则针对不同的认证方式，后台服务器根据访问请求，对终端进行不同验证。

若所述访问请求对应的SSL认证方式为单向认证，则所述访问请求中包括所述终端的登录账号和密码，所述后台服务器验证所述登录账号和所述密码是否匹配。

对于单向认证，由于这种认证方式的安全性较低，则需要用户预先注册账户。后台服务器接收到访问请求后，验证该访问请求中携带的登录账号和密码是否正确且匹配，并将处理结果按源地址返回终端。

若所述访问请求对应的SSL认证方式为双向认证，则所述访问请求的报文头中包括所述终端的标识信息，所述后台服务器验证所述终端的标识信息是否已登记。

对于双向认证，这种认证方式的安全性较高，无需用户通过账号密码登录，后台服务器中会预先将终端的标识信息进行登记。这样，当终端发来访问请求时，后台服务器验证该访问请求中携带的终端的标识信息是否已存储在后台服务器中，若是，则通过对该访问请求的验证，否则不通过。

为了更清楚地理解本发明，下面以具体的实施例对上述流程进行详细描述，实施例一中的SSL认证方式为单向认证，具体步骤如图3所示，包括：

步骤301、终端向入口服务器发送https请求，该https请求中包括账号和密码，以及访问地址即端口号。其中，登录账号和密码，以及端口号，为终端注册时，向入口服务器申请获取。

步骤302、入口服务器根据https请求中的端口号，确定该https请求对应的SSL认证方式为单向认证。

步骤303、入口服务器向终端发送入口服务器的证书。

步骤304、在接收到终端反馈的验证通过消息后，入口服务器将https请 求转换为http请求。

步骤305、入口服务器将http请求发送给后台服务器。

步骤306、后台服务器根据http请求中不包括终端的标识信息，确定该http请求对应的认证方式为单向认证。

步骤307、后台服务器处理该http请求。

步骤308、后台服务器向入口服务器发送处理结果。

步骤309、入口服务器向终端发送处理结果。

实施例二中的SSL认证方式为双向认证，具体步骤如图4所示，包括：

步骤401、终端向入口服务器发送https请求，该https请求中包括访问地址即端口号。

步骤402、入口服务器根据https请求中的端口号，确定该https请求对应的SSL认证方式为双向认证。

步骤403、入口服务器向终端发送入口服务器的证书。

步骤404、终端对入口服务器的证书进行验证，并向入口服务器反馈验证结果。

步骤405、在接收到终端反馈的验证通过消息后，入口服务器向终端发送证书请求。

步骤406、终端将终端证书发送给入口服务器，其中，终端证书中包括终端的标识信息。

步骤407、入口服务器对终端证书验证通过后，将https请求转换为http请求，并将终端的标识信息加入http请求中。

步骤408、入口服务器将http请求发送给后台服务器。

步骤409、后台服务器根据http请求中包括终端的标识信息，确定该http请求对应的认证方式为双向认证。

步骤410、后台服务器处理该http请求。

步骤411、后台服务器向入口服务器发送处理结果。

步骤412、入口服务器向终端发送处理结果。

基于相同的技术构思，本发明实施例还提供一种基于SSL协议的访问控制方法装置，如图5所示，包括：

入口收发模块501，用于接收终端发送的访问请求；

入口认证模块502，用于确定所述访问请求对应的SSL认证方式；

入口处理模块503，用于若为双向认证，则在与所述终端双向认证通过后，将所述终端的标识信息加入所述访问请求中；

所述入口收发模块501，还用于将所述访问请求发送给后台服务器，所述后台服务器用于根据访问请求中是否携带终端的标识信息来确定终端的访问权限。

可选的，所述入口收发模块501，具体用于：

向所述终端发送所述入口服务器的证书并接收所述终端对所述入口服务器的认证结果；

向所述终端发送证书获取请求；

接收所述终端发送的终端证书，所述终端证书中包括所述终端的标识信息；

所述入口处理模块，具体用于根据所述终端证书完成对所述终端的认证。

可选的，所述终端证书通过如下方式获得：

所述终端根据所述终端的标识信息，生成证书请求CSR文件；

所述终端向证书颁发机构发送所述CSR，以使所述证书颁发机构根据所述CSR生成所述终端证书；

所述终端接收所述证书颁发机构发送的所述终端证书。

可选的，所述访问请求中包括端口号；

所述入口认证模块502，具体用于根据所述端口号，确定所述访问请求对应的SSL认证方式为双向认证或单向认证。

可选的，所述入口收发模块501，用于接收所述终端发送的https请求；

所述入口处理模块503，具体用于将所述https请求转换成http请求，并在所述http请求的报文头中***所述终端的标识信息；

所述入口收发模块501，用于将加入标识信息的所述http请求发送给所述后台服务器。

另一种基于SSL认证的访问控制装置，如图6所示，包括：

后台收发模块601，用于接收入口服务器发送的访问请求；

后台认证模块602，用于根据所述访问请求中是否包括终端的标识信息，确定所述访问请求对应的SSL认证方式；

后台处理模块603，用于根据所述访问请求对应的SSL认证方式，对所述终端进行验证；

所述后台处理模块603，还用于在对终端验证通过后，处理所述访问请求；

所述后台收发模块601，还用于向所述入口服务器发送处理结果。

可选的，所述后台处理模块603，还用于：

若所述访问请求对应的SSL认证方式为单向认证，则所述访问请求中包括所述终端的登录账号和密码，验证所述登录账号和所述密码是否匹配；

若所述访问请求对应的SSL认证方式为双向认证，则所述访问请求的报文头中包括所述终端的标识信息，验证所述终端的标识信息是否已登记。

应理解，以上各个单元的划分仅仅是一种逻辑功能的划分，实际实现时可以全部或部分集成到一个物理实体上，也可以物理上分开。

基于相同构思，本申请提供一种电子设备，可用于执行上述入口服务器执行的基于SSL协议的访问控制方法流程。图7为本申请提供的一种电子设备的结构示意图。该电子设备700包括收发器701、处理器702、存储器703和通信接口704；其中，收发器701、处理器7012、存储器703和通信接口704通过总线705相互连接。

其中，存储器703用于存储程序。具体地，程序可以包括程序代码，程序代码包括计算机操作指令。存储器703可以为易失性存储器(volatile memory)，例如随机存取存储器(random-access memory，简称RAM)；也可以为非易失性存储器(non-volatile memory)，例如快闪存储器(flash memory)，硬盘(hard disk drive，简称HDD)或固态硬盘(solid-state drive，简称SSD)； 还可以为上述任一种或任多种易失性存储器和非易失性存储器的组合。

存储器703存储了如下的元素，可执行模块或者数据结构，或者它们的子集，或者它们的扩展集：

操作指令：包括各种操作指令，用于实现各种操作。

操作***：包括各种***程序，用于实现各种基础业务以及处理基于硬件的任务。

总线705可以是外设部件互连标准(peripheral component interconnect，简称PCI)总线或扩展工业标准结构(extended industry standard architecture，简称EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示，图7中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

通信接口704可以为有线通信接入口，无线通信接口或其组合，其中，有线通信接口例如可以为以太网接口。以太网接口可以是光接口，电接口或其组合。无线通信接口可以为WLAN接口。

处理器702可以是中央处理器(central processing unit，简称CPU)，网络处理器(network processor，简称NP)或者CPU和NP的组合。还可以是硬件芯片。上述硬件芯片可以是专用集成电路(application-specific integrated circuit，简称ASIC)，可编程逻辑器件(programmable logic device，简称PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logicdevice，简称CPLD)，现场可编程逻辑门阵列(field-programmable gate array，简称FPGA)，通用阵列逻辑(generic array logic，简称GAL)或其任意组合。

所述收发器701，用于接收终端发送的访问请求；将所述访问请求发送给后台服务器，所述后台服务器用于根据访问请求中是否携带终端的标识信息来确定终端的访问权限；

所述处理器702，用于读取所述存储器703中的程序，执行以下方法：

确定所述访问请求对应的SSL认证方式；若为双向认证，则在与所述终端双向认证通过后，将所述终端的标识信息加入所述访问请求中；

所述存储器703，用于存储一个或多个可执行程序，可以存储所述处理器702在执行操作时所使用的数据。

可选的，所述收发器701，具体用于：向所述终端发送所述电子设备的证书并接收所述终端对所述电子设备的认证结果；向所述终端发送证书获取请求；接收所述终端发送的终端证书，所述终端证书中包括所述终端的标识信息；所述处理器702，具体用于根据所述终端证书完成对所述终端的认证。

可选的，所述终端证书通过如下方式获得：所述终端根据所述终端的标识信息，生成证书请求CSR文件；所述终端向证书颁发机构发送所述CSR，以使所述证书颁发机构根据所述CSR生成所述终端证书；所述终端接收所述证书颁发机构发送的所述终端证书。

可选的，所述访问请求中包括端口号；所述处理器702，具体用于根据所述端口号，确定所述访问请求对应的SSL认证方式为双向认证或单向认证。

可选的，所述收发器701，用于接收所述终端发送的https请求；将加入标识信息的所述http请求发送给所述后台服务器；所述处理器702，具体用于将所述https请求转换成http请求，并在所述http请求的报文头中***所述终端的标识信息。

本发明实施例中，电子设备接收终端发送的访问请求，并根据该访问请求确定对应的SSL认证方式为双向认证还是单向认证。若该访问请求的SSL认证方式为双向认证，则电子设备与终端进行双向认证。双向认证通过后，电子设备将终端的标识信息加入访问请求中，并将加入标识信息的访问请求发送给后台服务器。由于双向认证能够为终端的访问提供更为安全的保证，相较于双向认证，单向认证的安全性较低。因此，对于不同的认证方式，对应的访问请求的权限不同。后台服务器可以根据访问请求中是否携带终端的标识信息，来确定终端与电子设备之间的SSL认证方式，从而进一步确定终 端的访问权限。这样，可以将SSL双向认证的***和SSL单向认证的***设置于同一台后台服务器(唯一的IP地址和端口)，提高了后台服务器处理访问请求的灵活性，节省了服务器资源，解决了现有技术中不同认证方式需要单独搭建认证***的问题。

基于相同构思，本申请提供一种电子设备，可用于执行上述后台服务器侧执行的基于SSL协议的访问控制方法流程。图8为本申请提供的一种电子设备的结构示意图。该电子设备800包括收发器801、处理器802、存储器803和通信接口804；其中，收发器801、处理器8012、存储器803和通信接口804通过总线805相互连接。

其中，存储器803用于存储程序。具体地，程序可以包括程序代码，程序代码包括计算机操作指令。存储器803可以为易失性存储器(volatile memory)，例如随机存取存储器(random-access memory，简称RAM)；也可以为非易失性存储器(non-volatile memory)，例如快闪存储器(flash memory)，硬盘(hard disk drive，简称HDD)或固态硬盘(solid-state drive，简称SSD)；还可以为上述任一种或任多种易失性存储器和非易失性存储器的组合。

存储器803存储了如下的元素，可执行模块或者数据结构，或者它们的子集，或者它们的扩展集：

操作指令：包括各种操作指令，用于实现各种操作。

操作***：包括各种***程序，用于实现各种基础业务以及处理基于硬件的任务。

总线805可以是外设部件互连标准(peripheral component interconnect，简称PCI)总线或扩展工业标准结构(extended industry standard architecture，简称EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示，图8中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

通信接口804可以为有线通信接入口，无线通信接口或其组合，其中，有线通信接口例如可以为以太网接口。以太网接口可以是光接口，电接口或其组合。无线通信接口可以为WLAN接口。

处理器802可以是中央处理器(central processing unit，简称CPU)，网络处理器(network processor，简称NP)或者CPU和NP的组合。还可以是硬件芯片。上述硬件芯片可以是专用集成电路(application-specific integrated circuit，简称ASIC)，可编程逻辑器件(programmable logic device，简称PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device，简称CPLD)，现场可编程逻辑门阵列(field-programmable gate array，简称FPGA)，通用阵列逻辑(generic array logic，简称GAL)或其任意组合。

所述收发器801，用于接收入口服务器发送的访问请求；向所述入口服务器发送处理结果；

所述处理器802，所述处理器802，用于读取所述存储器803中的程序，执行以下方法：

根据所述访问请求中是否包括终端的标识信息，确定所述访问请求对应的SSL认证方式；根据所述访问请求对应的SSL认证方式，对所述终端进行验证；对终端验证通过后，处理所述访问请求；

所述存储器803，用于存储一个或多个可执行程序，可以存储所述处理器802在执行操作时所使用的数据。

可选的，所述处理器802，还用于：若所述访问请求对应的SSL认证方式为单向认证，则所述访问请求中包括所述终端的登录账号和密码，验证所述登录账号和所述密码是否匹配；若所述访问请求对应的SSL认证方式为双向认证，则所述访问请求的报文头中包括所述终端的标识信息，验证所述终端的标识信息是否已登记。

本发明实施例中，入口服务器接收终端发送的访问请求，并根据该访问 请求确定对应的SSL认证方式为双向认证还是单向认证。若该访问请求的SSL认证方式为双向认证，则入口服务器与终端进行双向认证。双向认证通过后，入口服务器将终端的标识信息加入访问请求中，并将加入标识信息的访问请求发送给电子设备。由于双向认证能够为终端的访问提供更为安全的保证，相较于双向认证，单向认证的安全性较低。因此，对于不同的认证方式，对应的访问请求的权限不同。电子设备可以根据访问请求中是否携带终端的标识信息，来确定终端与入口服务器之间的SSL认证方式，从而进一步确定终端的访问权限。这样，可以将SSL双向认证的***和SSL单向认证的***设置于同一台电子设备(唯一的IP地址和端口)，提高了电子设备处理访问请求的灵活性，节省了服务器资源，解决了现有技术中不同认证方式需要单独搭建认证***的问题。

本领域内的技术人员应明白，本申请实施例可提供为方法、***、或计算机程序产品。因此，本申请实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请实施例是参照根据本申请实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器 中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本申请实施例进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请实施例的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims (23)

1. 一种基于SSL协议的访问控制方法，其特征在于，包括：

   入口服务器接收终端发送的访问请求；

   所述入口服务器确定所述访问请求对应的安全套接层SSL认证方式；

   若为双向认证，则所述入口服务器在与所述终端双向认证通过后，将所述终端的标识信息加入所述访问请求中并发送给后台服务器，所述后台服务器用于根据访问请求中是否携带终端的标识信息来确定终端的访问权限。
2. 如权利要求1所述的方法，其特征在于，所述入口服务器在与所述终端双向认证通过，包括：

   所述入口服务器向所述终端发送所述入口服务器的证书并接收所述终端对所述入口服务器的认证结果；

   所述入口服务器向所述终端发送证书获取请求；

   所述入口服务器接收所述终端发送的终端证书，所述终端证书中包括所述终端的标识信息；

   所述入口服务器根据所述终端证书完成对所述终端的认证。
3. 如权利要求2所述的方法，其特征在于，所述终端证书通过如下方式获得：

   所述终端根据所述终端的标识信息，生成证书请求CSR文件；

   所述终端向证书颁发机构发送所述CSR，以使所述证书颁发机构根据所述CSR生成所述终端证书；

   所述终端接收所述证书颁发机构发送的所述终端证书。
4. 如权利要求1所述的方法，其特征在于，所述入口服务器确定所述访问请求对应的SSL认证方式，包括：

   所述入口服务器接收所述终端发送的所述访问请求，所述访问请求中包括端口号；

   所述入口服务器根据所述端口号，确定所述访问请求对应的SSL认证方 式为双向认证或单向认证。
5. 如权利要求2所述的方法，其特征在于，所述入口服务器接收终端发送的访问请求，包括：

   所述入口服务器接收所述终端发送的https请求；

   所述入口服务器将所述终端的标识信息加入所述访问请求中并发送给后台服务器，包括：

   所述入口服务器将所述https请求转换成http请求，并在所述http请求的报文头中***所述终端的标识信息；

   所述入口服务器将加入标识信息的所述http请求发送给所述后台服务器。
6. 一种基于SSL认证的访问控制方法，其特征在于，包括：

   后台服务器接收入口服务器发送的访问请求；

   所述后台服务器根据所述访问请求中是否包括终端的标识信息，确定所述访问请求对应的SSL认证方式；

   所述后台服务器根据所述访问请求对应的SSL认证方式，对所述终端进行验证；

   所述后台服务器在对终端验证通过后，处理所述访问请求，并向所述入口服务器发送处理结果。
7. 如权利要求6所述的方法，其特征在于，所述后台服务器根据所述访问请求对应的SSL认证方式，对所述终端进行验证，包括：

   若所述访问请求对应的SSL认证方式为单向认证，则所述访问请求中包括所述终端的登录账号和密码，所述后台服务器验证所述登录账号和所述密码是否匹配；

   若所述访问请求对应的SSL认证方式为双向认证，则所述访问请求的报文头中包括所述终端的标识信息，所述后台服务器验证所述终端的标识信息是否已登记。
8. 一种基于SSL协议的访问控制装置，其特征在于，包括：

   入口收发模块，用于接收终端发送的访问请求；

   入口认证模块，用于确定所述访问请求对应的SSL认证方式；

   入口处理模块，用于若为双向认证，则在与所述终端双向认证通过后，将所述终端的标识信息加入所述访问请求中；

   所述入口收发模块，还用于将所述访问请求发送给后台服务器，所述后台服务器用于根据访问请求中是否携带终端的标识信息来确定终端的访问权限。
9. 如权利要求8所述的装置，其特征在于，所述入口收发模块，具体用于：

   向所述终端发送所述入口服务器的证书并接收所述终端对所述入口服务器的认证结果；

   向所述终端发送证书获取请求；

   接收所述终端发送的终端证书，所述终端证书中包括所述终端的标识信息；

   所述入口处理模块，具体用于根据所述终端证书完成对所述终端的认证。
10. 如权利要求9所述的装置，其特征在于，所述终端证书通过如下方式获得：

    所述终端根据所述终端的标识信息，生成证书请求CSR文件；

    所述终端向证书颁发机构发送所述CSR，以使所述证书颁发机构根据所述CSR生成所述终端证书；

    所述终端接收所述证书颁发机构发送的所述终端证书。
11. 如权利要求8所述的装置，其特征在于，所述访问请求中包括端口号；

    所述入口认证模块，具体用于根据所述端口号，确定所述访问请求对应的SSL认证方式为双向认证或单向认证。
12. 如权利要求9所述的装置，其特征在于，

    所述入口收发模块，用于接收所述终端发送的https请求；

    所述入口处理模块，具体用于将所述https请求转换成http请求，并在所述http请求的报文头中***所述终端的标识信息；

    所述入口收发模块，用于将加入标识信息的所述http请求发送给所述后台服务器。
13. 一种基于SSL认证的访问控制装置，其特征在于，包括：

    后台收发模块，用于接收入口服务器发送的访问请求；

    后台认证模块，用于根据所述访问请求中是否包括终端的标识信息，确定所述访问请求对应的SSL认证方式；

    后台处理模块，用于根据所述访问请求对应的SSL认证方式，对所述终端进行验证；

    所述后台处理模块，还用于在对终端验证通过后，处理所述访问请求；

    所述后台收发模块，还用于向所述入口服务器发送处理结果。
14. 如权利要求13所述的装置，其特征在于，所述后台处理模块，还用于：

    若所述访问请求对应的SSL认证方式为单向认证，则所述访问请求中包括所述终端的登录账号和密码，验证所述登录账号和所述密码是否匹配；

    若所述访问请求对应的SSL认证方式为双向认证，则所述访问请求的报文头中包括所述终端的标识信息，验证所述终端的标识信息是否已登记。
15. 一种电子设备，其特征在于，包括收发器、处理器、存储器和通信接口，其中，所述收发器、所述处理器、所述存储器和所述通信接口之间通过总线连接；

    所述收发器，用于接收终端发送的访问请求；将所述访问请求发送给后台服务器，所述后台服务器用于根据访问请求中是否携带终端的标识信息来确定终端的访问权限；

    所述处理器，用于读取所述存储器中的程序，执行以下方法：

    确定所述访问请求对应的SSL认证方式；若为双向认证，则在与所述终端双向认证通过后，将所述终端的标识信息加入所述访问请求中；

    所述存储器，用于存储一个或多个可执行程序，可以存储所述处理器在执行操作时所使用的数据。
16. 如权利要求15所述的电子设备，其特征在于，所述收发器，具体用于：

    向所述终端发送所述电子设备的证书并接收所述终端对所述电子设备的认证结果；

    向所述终端发送证书获取请求；

    接收所述终端发送的终端证书，所述终端证书中包括所述终端的标识信息；

    所述处理器，具体用于根据所述终端证书完成对所述终端的认证。
17. 如权利要求16所述的电子设备，其特征在于，所述终端证书通过如下方式获得：

    所述终端根据所述终端的标识信息，生成证书请求CSR文件；

    所述终端向证书颁发机构发送所述CSR，以使所述证书颁发机构根据所述CSR生成所述终端证书；

    所述终端接收所述证书颁发机构发送的所述终端证书。
18. 如权利要求15所述的电子设备，其特征在于，所述访问请求中包括端口号；

    所述处理器，具体用于根据所述端口号，确定所述访问请求对应的SSL认证方式为双向认证或单向认证。
19. 如权利要求16所述的电子设备，其特征在于，

    所述收发器，用于接收所述终端发送的https请求；将加入标识信息的所述http请求发送给所述后台服务器；

    所述处理器，具体用于将所述https请求转换成http请求，并在所述http 请求的报文头中***所述终端的标识信息。
20. 一种电子设备，其特征在于，包括收发器、处理器、存储器和通信接口，其中，所述收发器、所述处理器、所述存储器和所述通信接口之间通过总线连接；

    所述收发器，用于接收入口服务器发送的访问请求；向所述入口服务器发送处理结果；

    所述处理器，所述处理器，用于读取所述存储器中的程序，执行以下方法：

    根据所述访问请求中是否包括终端的标识信息，确定所述访问请求对应的SSL认证方式；根据所述访问请求对应的SSL认证方式，对所述终端进行验证；对终端验证通过后，处理所述访问请求；

    所述存储器，用于存储一个或多个可执行程序，可以存储所述处理器在执行操作时所使用的数据。
21. 如权利要求20所述的电子设备，其特征在于，所述处理器，还用于：

    若所述访问请求对应的SSL认证方式为单向认证，则所述访问请求中包括所述终端的登录账号和密码，验证所述登录账号和所述密码是否匹配；

    若所述访问请求对应的SSL认证方式为双向认证，则所述访问请求的报文头中包括所述终端的标识信息，验证所述终端的标识信息是否已登记。
22. 一种非暂态计算机可读存储介质，其特征在于，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使所述计算机执行权利要求1～5任一所述方法，或者所述计算机指令用于使所述计算机执行权利要求6～7任一所述方法。
23. 一种计算机程序产品，其特征在于，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，使所述计算机执行权利要求1～5任一所述方法；或者使所述计算机执行权利要求6～7任一所述方法。

Images