终端设备的访问控制方法、装置、计算机设备和存储介质制造方法及图纸

本发明专利技术提供了一种终端设备的访问控制方法、装置、计算机设备和存储介质。该终端设备的访问控制方法包括：接收客户端发送的终端标识认证请求，其中，终端标识认证请求包括终端设备的标识令牌和终端设备的身份信息；对标识令牌进行认证，以生成认证结果；发送携带身份信息的认证结果至访问控制平台；接收访问控制平台发送的访问信息查找请求；在存储的第一对应关系中查找与访问信息查找请求中的身份信息对应的访问信息，其中，第一对应关系为访问信息和身份信息的对应关系；发送查找到的访问信息至访问控制平台，以使访问控制平台根据访问信息对终端设备进行访问控制。通过本发明专利技术，能够提高访问控制平台访问控制的安全性。

【技术实现步骤摘要】
终端设备的访问控制方法、装置、计算机设备和存储介质
本专利技术涉及通信
，尤其涉及一种终端设备的访问控制方法、装置、计算机设备和存储介质。
技术介绍
现有技术中，基于迎合商业运营等需求，终端设备在访问业务系统、读取数据或调用业务接口时，访问控制平台会对终端设备进行访问控制。例如，在访问控制平台可设置一些控制策略，访问控制平台接收到终端设备的业务访问请求时，会根据控制策略判断该业务访问是否放行。但是，专利技术人研究发现，在上述访问控制方法中，访问控制平台实现的访问控制安全性较差，当攻击者、用户冒充者等非正常终端设备访问业务系统时，访问业务系统只能根据控制策略判断业务访问是否放行，无法有效对终端设备进行识别。因此，提供一种终端设备的访问控制方法、装置、计算机设备和存储介质，以使访问控制平台能够更好的识别终端设备，成为本领域亟需解决的技术问题。
技术实现思路
本专利技术的目的是提供一种终端设备的访问控制方法、装置、计算机设备和存储介质，用于解决现有技术中的上述技术问题。一方面，为实现上述目的，本专利技术提供了一种终端设备的访问控制方法。该终端设备的访问控制方法包括：接收客户端发送的终端标识认证请求，其中，终端标识认证请求包括终端设备的标识令牌和终端设备的身份信息；对标识令牌进行认证，以生成认证结果；发送携带身份信息的认证结果至访问控制平台；接收访问控制平台发送的访问信息查找请求，其中，访问信息查找请求包括身份信息；在存储的第一对应关系中查找与访问信息查找请求中的身份信息对应的访问信息，其中，第一对应关系为访问信息和身份信息的对应关系；发送查找到的访问信息至访问控制平台，以使访问控制平台根据访问信息对终端设备进行访问控制。进一步地，标识令牌包括标识字符串和标识数字签名，标识字符串包括身份信息、与客户端协商的第一随机数和递增码，标识数字签名为利用客户端的私钥对标识字符串所做的数字签名，对标识令牌进行认证，以生成认证结果的步骤包括：利用存储的客户端的公钥验证标识数字签名，其中，客户端的公钥与客户端的私钥为密钥对；在标识数字签名验证成功时，判断标识字符串中的第一随机数和递增码，与存储的第一随机数和递增码是否匹配；当标识字符串中的第一随机数与存储的第一随机数，以及标识字符串中的递增码与存储的递增码分别对应匹配时，确定认证结果为认证成功；以及当标识字符串中的第一随机数与存储的第一随机数，和/或标识字符串中的递增码与存储的递增码不匹配时，确定认证结果为认证失败。进一步地，终端标识认证请求中的标识令牌为通过服务端的公钥加密后的数据，在对标识令牌进行认证，以生成认证结果的步骤之前，终端设备的访问控制方法还包括：采用服务端的私钥对终端标识认证请求中的标识令牌进行解密，其中，服务端的公钥和服务端的私钥为密钥对。进一步地，在接收客户端发送的终端标识认证请求的步骤之前，终端设备的访问控制方法还包括：接收客户端发送的标识令牌请求，其中，标识令牌请求包括身份信息和身份数字签名，其中，身份数字签名为利用客户端的私钥对身份信息所做的数字签名；利用存储的客户端的公钥验证身份数字签名；在身份数字签名验证成功时，生成第一随机数和递增码；将身份信息与第一随机数和递增码的对应关系存储为第二对应关系；以及将第一随机数和递增码发送至客户端。进一步地，判断标识字符串中的第一随机数和递增码，与存储的第一随机数和递增码是否匹配的步骤包括：在第二对应关系中查找与标识字符串中的身份信息相对应的第一随机数和递增码；判断查找到的第一随机数与标识字符串中的第一随机数是否相同；在第二对应关系中查找与标识字符串中的身份信息相对应的第一随机数；对查找到的递增码按照预设的递增方式进行递增处理；判断递增处理后的递增码与标识字符串中的递增码是否相同。进一步地，在对标识令牌进行认证，以生成认证结果的步骤之前，终端设备的访问控制方法还包括：接收客户端发送的终端设备认证请求；生成第二随机数发送至客户端；接收客户端发送的随机数数字签名和证书指纹；在第三对应关系中查找与证书指纹相对应的可信证书，其中，第三对应关系为证书指纹和可信证书的对应关系；根据可信证书获取客户端的公钥；利用客户端的公钥验证随机数数字签名，其中，当利用客户端的公钥验证随机数数字签名成功时，执行对标识令牌进行认证的步骤。进一步地，在接收客户端发送的随机数数字签名和证书指纹的步骤之前，终端设备的访问控制方法还包括：接收客户端发送的可信证书申请请求，其中，可信证书申请请求包括客户端的公钥、身份信息和定制信息；根据定制信息和预定的证书下发策略确定是否可向客户端下发可信证书；若可向客户端下发可信证书，则根据客户端的公钥和身份信息生成可信证书和可信证书的证书指纹；发送可信证书和证书指纹至客户端。一方面，为实现上述目的，本专利技术提供了一种终端设备的访问控制装置。该终端设备的访问控制装置包括：第一接收模块，用于接收客户端发送的终端标识认证请求，其中，终端标识认证请求包括终端设备的标识令牌和终端设备的身份信息；第一认证模块，用于对标识令牌进行认证，以生成认证结果；第一发送模块，用于发送携带身份信息的认证结果至访问控制平台；第二接收模块，用于接收访问控制平台发送的访问信息查找请求，其中，访问信息查找请求包括身份信息；第一查找模块，用于在存储的第一对应关系中查找与访问信息查找请求中的身份信息对应的访问信息，其中，第一对应关系为访问信息和身份信息的对应关系；第二发送模块，用于发送查找到的访问信息至访问控制平台，以使访问控制平台根据访问信息对终端设备进行访问控制。为实现上述目的，本专利技术还提供一种计算机设备，包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，该处理器执行计算机程序时实现上述方法的步骤。为实现上述目的，本专利技术还提供计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述方法的步骤。本专利技术提供的终端设备的访问控制方法、装置、计算机设备和存储介质，客户端需要携带标识令牌和身份信息在服务端进行认证，服务端将认证结果携带身份信息发送至访问控制平台，访问控制平台在接收到终端设备的业务访问时，可根据终端设备的身份信息查找其对应的认证结果，仅当终端设备为标识令牌的认证结果为认证成功的设备，访问控制平台才会进一步查找访问信息；服务端可存储访问信息和身份信息的对应关系，接收到访问控制平台访问信息查找请求后，根据身份信息来查找访问信息，并反馈至访问控制平台，以使访问控制平台根据平台上的控制策略对访问信息进行判断，最终确定如何进行访问控制，能够提升访问控制平台对终端设备访问控制的安全性。附图说明图1为本专利技术实施例一提供的终端设备的访问控制方法的流程图；图2为本专利技术实施例二提供的终端设备的访问控制方法的流程图；图3为本专利技术实施例三提供的终端设备的访问控制装置的框图；以及图4为本专利技术实施例四提供的计算机设备的硬件结构图。具体实施方式为了使本专利技术的目的、技术方案及优点更本文档来自技高网...

【技术保护点】
1.一种终端设备的访问控制方法，其特征在于，包括：/n接收客户端发送的终端标识认证请求，其中，所述终端标识认证请求包括终端设备的标识令牌和终端设备的身份信息；/n对所述标识令牌进行认证，以生成认证结果；/n发送携带所述身份信息的所述认证结果至访问控制平台；/n接收所述访问控制平台发送的访问信息查找请求，其中，所述访问信息查找请求包括所述身份信息；/n在存储的第一对应关系中查找与所述访问信息查找请求中的身份信息对应的访问信息，其中，所述第一对应关系为所述访问信息和所述身份信息的对应关系；/n发送查找到的所述访问信息至所述访问控制平台，以使所述访问控制平台根据所述访问信息对所述终端设备进行访问控制。/n

【技术特征摘要】
1.一种终端设备的访问控制方法，其特征在于，包括：
接收客户端发送的终端标识认证请求，其中，所述终端标识认证请求包括终端设备的标识令牌和终端设备的身份信息；
对所述标识令牌进行认证，以生成认证结果；
发送携带所述身份信息的所述认证结果至访问控制平台；
接收所述访问控制平台发送的访问信息查找请求，其中，所述访问信息查找请求包括所述身份信息；
在存储的第一对应关系中查找与所述访问信息查找请求中的身份信息对应的访问信息，其中，所述第一对应关系为所述访问信息和所述身份信息的对应关系；
发送查找到的所述访问信息至所述访问控制平台，以使所述访问控制平台根据所述访问信息对所述终端设备进行访问控制。


2.根据权利要求1所述的终端设备的访问控制方法，其特征在于，所述标识令牌包括标识字符串和标识数字签名，所述标识字符串包括所述身份信息、与所述客户端协商的第一随机数和递增码，所述标识数字签名为利用所述客户端的私钥对所述标识字符串所做的数字签名，对所述标识令牌进行认证，以生成认证结果的步骤包括：
利用存储的所述客户端的公钥验证所述标识数字签名，其中，所述客户端的公钥与所述客户端的私钥为密钥对；
在所述标识数字签名验证成功时，判断所述标识字符串中的第一随机数和递增码，与存储的第一随机数和递增码是否匹配；
当所述标识字符串中的第一随机数与存储的第一随机数，以及所述标识字符串中的递增码与存储的递增码分别对应匹配时，确定所述认证结果为认证成功；以及
当所述标识字符串中的第一随机数与存储的第一随机数，和/或所述标识字符串中的递增码与存储的递增码不匹配时，确定所述认证结果为认证失败。


3.根据权利要求2所述的终端设备的访问控制方法，其特征在于，所述终端标识认证请求中的所述标识令牌为通过服务端的公钥加密后的数据，在对所述标识令牌进行认证，以生成认证结果的步骤之前，所述终端设备的访问控制方法还包括：
采用服务端的私钥对所述终端标识认证请求中的所述标识令牌进行解密，其中，所述服务端的公钥和所述服务端的私钥为密钥对。


4.根据权利要求2所述的终端设备的访问控制方法，其特征在于，在接收所述客户端发送的终端标识认证请求的步骤之前，所述终端设备的访问控制方法还包括：
接收所述客户端发送的标识令牌请求，其中，所述标识令牌请求包括所述身份信息和身份数字签名，其中，所述身份数字签名为利用所述客户端的私钥对所述身份信息所做的数字签名；
利用存储的所述客户端的公钥验证所述身份数字签名；
在所述身份数字签名验证成功时，生成第一随机数和递增码；
将所述身份信息与所述第一随机数和递增码的对应关系存储为第二对应关系；以及
将所述第一随机数和递增码发送至所述客户端。


5.根据权利要求4所述的终端设备的访问控制方法，其特征在于，判断所述标识字符串中的第一随机数和递增码，与存储的第一随机数和递增码是否匹配的步骤包括：
在所述第二对应关系中查找与所述标识...

【专利技术属性】
技术研发人员：邓凡，周道来，艾菲，
申请(专利权)人：北京奇安信科技有限公司，
类型：发明
国别省市：北京;11