本發明公開了一種應用于終端的訪問控制方法，包括：當檢測到終端內的資源請求者向服務器發送訪問請求時，采集資源請求者的預置信息，預置信息包括與資源請求者相關的多個屬性信息，基于預置信息和訪問請求生成單數據包授權請求，向服務器發送該單數據包授權請求，在單數據包授權請求被服務器轉發給授權控制系統并且授權控制系統對單數據包授權請求驗證通過的情況下，使得服務器向資源請求者開放資源訪問端口。本發明還公開了一種應用于服務器的訪問控制方法、一種終端、一種服務器及一種訪問控制系統。本發明通過將資源請求者的預置信息作為授權憑證，使攻擊者無法輕易偽造單數據包授權數據，避免因授權信息泄露造成的非法訪問。

技術領域

本發明涉及計算機技術領域，尤其涉及一種訪問控制方法、終端、服務器及系統。

背景技術

SPA(Single Packet Authorization，單數據包授權)是基于默認丟棄數據包的過濾策略，通過單個加密數據包發送認證與授權請求，使被保護的服務端對特定客戶端開放端口的一種方法，而未通過認證授權的客戶端無法探測到被保護的服務端口，從而提升了系統安全性。

但是，現有單數據包授權都是基于預先制定的靜態單因子認證策略。一旦認證信息泄露，則可以輕易的偽造認證請求獲取端口訪問權限，非法獲取服務端資源；另一方面，具備單數據包授權認證能力的客戶端本身存在被入侵、劫持的風險，在此種情況下，攻擊者可以通過被劫持的客戶端直接訪問服務端資源。

發明內容

本發明的主要目的在于提供一種訪問控制方法、終端、服務器及系統。

本發明實施例第一方面提供一種訪問控制方法，應用于終端，包括：當檢測到終端內的資源請求者向服務器發送訪問請求時，采集所述資源請求者的預置信息，所述預置信息包括與所述資源請求者相關的多個屬性信息，基于所述預置信息和所述訪問請求生成單數據包授權請求，向所述服務器發送所述單數據包授權請求，在所述單數據包授權請求被所述服務器轉發給授權控制系統并且所述授權控制系統對所述單數據包授權請求驗證通過的情況下，使得服務器向所述資源請求者開放資源訪問端口。

根據本發明實施例，上述方法還包括：生成一次性授權碼。所述基于所述預置信息和所述訪問請求生成單數據包授權請求包括：基于所述預置信息、一次性授權碼和所述訪問請求，生成單數據包授權請求。

根據本發明實施例，上述與所述資源請求者相關的多個屬性信息包括網際協議地址、下一跳網關地址、MAC地址和應用執行文件的MD5摘要；向所述服務器發送所述單數據包授權請求之前，所述方法還包括：判斷所述資源請求者的MD5摘要是否為預置合法的MD5摘要，若為預置合法的MD5摘要，則向所述服務器發送所述單數據包授權請求。

本發明實施例第二方面提供一種訪問控制方法，應用于服務器，包括：接收資源請求者通過終端發送的單數據包授權請求，所述單數據包授權請求包括所述資源請求者的預置信息和訪問請求，所述預置信息包括與所述資源請求者相關的多個屬性信息，所述訪問請求為所述資源請求者為訪問所述服務器而向所述服務器發送的請求，將所述單數據包授權請求轉發給授權控制系統，接收所述授權控制系統對所述單數據包授權請求進行授權驗證生成的授權結果，若所述授權結果表示所述單數據包授權請求通過所述授權控制系統的授權驗證，則向所述資源請求者開放資源訪問端口。

根據本發明實施例，上述單數據包授權請求還包括：一次性授權碼，所述一次性授權碼為所述終端隨機生成的授權碼。

根據本發明實施例，上述與所述資源請求者相關的多個屬性信息包括網際協議地址、下一跳網關地址、MAC地址和應用執行文件的MD5摘要。所述接收資源請求者通過終端發送的單數據包授權請求，包括：在所述資源請求者的MD5摘要為預置合法的MD5摘要的情況下，接收所述終端內的資源請求者發送的單數據包授權請求。