本發(fā)明實(shí)施例提供一種網(wǎng)絡(luò)終端認(rèn)證的方法及裝置，該方法包括：網(wǎng)絡(luò)服務(wù)端接收網(wǎng)絡(luò)終端發(fā)送的第一訪問請(qǐng)求；第一訪問請(qǐng)求中攜帶訪問認(rèn)證策略；網(wǎng)絡(luò)服務(wù)端從端口策略記錄中，確定與訪問認(rèn)證策略匹配的端口策略；端口策略記錄中的各端口策略用于開啟對(duì)應(yīng)的各網(wǎng)絡(luò)端口；網(wǎng)絡(luò)服務(wù)端根據(jù)端口策略確定網(wǎng)絡(luò)終端訪問的第一網(wǎng)絡(luò)端口；網(wǎng)絡(luò)服務(wù)端接收網(wǎng)絡(luò)終端發(fā)送的第二訪問請(qǐng)求，第二訪問請(qǐng)求用于通過第一網(wǎng)絡(luò)端口獲取網(wǎng)絡(luò)服務(wù)。本申請(qǐng)可以實(shí)現(xiàn)在IP地址頻繁變化的情況下，根據(jù)端口策略記錄以及訪問認(rèn)證策略對(duì)用戶進(jìn)行認(rèn)證，消除IP地址與網(wǎng)絡(luò)服務(wù)端認(rèn)證機(jī)制的耦合，增加訪問IP地址的靈活性；提高第一網(wǎng)絡(luò)端口的安全性。

技術(shù)領(lǐng)域

本申請(qǐng)涉及網(wǎng)絡(luò)技術(shù)領(lǐng)域，尤其涉及一種網(wǎng)絡(luò)終端認(rèn)證的方法及裝置。

背景技術(shù)

在網(wǎng)絡(luò)安全攻防演練以及實(shí)際的網(wǎng)絡(luò)攻擊場(chǎng)景中，大多數(shù)攻擊者會(huì)在第一步的信息搜集階段，使用Nmap(Network Mapper，網(wǎng)絡(luò)掃描)等工具對(duì)擬攻擊目標(biāo)主機(jī)進(jìn)行端口掃描，獲取該主機(jī)IP地址中的所有開放的網(wǎng)絡(luò)端口，進(jìn)而實(shí)現(xiàn)進(jìn)一步的攻擊操作。例如，攻擊者可能會(huì)通過自動(dòng)化工具掃描網(wǎng)絡(luò)端口，以獲取MySQL等開放的網(wǎng)絡(luò)端口對(duì)應(yīng)的網(wǎng)絡(luò)服務(wù)；如果此時(shí)，網(wǎng)絡(luò)端口存在弱密碼等安全隱患，則將造成數(shù)據(jù)泄露、主機(jī)損壞等嚴(yán)重的安全事故。因此，現(xiàn)有技術(shù)中通過在主機(jī)的防火墻中設(shè)置對(duì)應(yīng)網(wǎng)絡(luò)端口允許訪問的IP地址白名單，當(dāng)確定用戶的IP地址屬于白名單中的IP地址，則允許該用戶訪問該網(wǎng)絡(luò)端口，并為該用戶提供該網(wǎng)絡(luò)端口對(duì)應(yīng)的網(wǎng)絡(luò)服務(wù)；否則，不對(duì)該用戶開放網(wǎng)絡(luò)端口；如此，實(shí)現(xiàn)對(duì)訪問用戶的權(quán)限控制。但上述方法在IP地址發(fā)生變化時(shí)，則需要修改IP地址白名單，尤其是IP地址頻繁變化，將導(dǎo)致IP地址白名單頻繁修改。

因此，現(xiàn)在亟需一種網(wǎng)絡(luò)終端認(rèn)證的方法及裝置，能夠消除IP地址與網(wǎng)絡(luò)服務(wù)端認(rèn)證機(jī)制的耦合，增加訪問IP地址的靈活性，并提高網(wǎng)絡(luò)端口的安全性。

發(fā)明內(nèi)容

本發(fā)明實(shí)施例提供一種網(wǎng)絡(luò)終端認(rèn)證的方法及裝置，能夠消除IP地址與網(wǎng)絡(luò)服務(wù)端認(rèn)證機(jī)制的耦合，增加訪問IP地址的靈活性，并提高網(wǎng)絡(luò)端口的安全性。

第一方面，本發(fā)明實(shí)施例提供一種網(wǎng)絡(luò)終端認(rèn)證的方法，該方法包括：

網(wǎng)絡(luò)服務(wù)端接收網(wǎng)絡(luò)終端發(fā)送的第一訪問請(qǐng)求；所述第一訪問請(qǐng)求中攜帶訪問認(rèn)證策略；所述網(wǎng)絡(luò)服務(wù)端從端口策略記錄中，確定與所述訪問認(rèn)證策略匹配的端口策略；所述端口策略記錄中的各所述端口策略用于開啟對(duì)應(yīng)的各網(wǎng)絡(luò)端口；所述網(wǎng)絡(luò)服務(wù)端根據(jù)所述端口策略確定所述網(wǎng)絡(luò)終端訪問的第一網(wǎng)絡(luò)端口；所述網(wǎng)絡(luò)服務(wù)端接收所述網(wǎng)絡(luò)終端發(fā)送的第二訪問請(qǐng)求，所述第二訪問請(qǐng)求用于通過所述第一網(wǎng)絡(luò)端口獲取網(wǎng)絡(luò)服務(wù)。

上述方法中，網(wǎng)絡(luò)終端發(fā)送第一訪問請(qǐng)求至網(wǎng)絡(luò)服務(wù)端，根據(jù)第一訪問請(qǐng)求中的訪問認(rèn)證策略，匹配端口策略記錄，以確定與其匹配的端口策略，進(jìn)一步確定為網(wǎng)絡(luò)終端提供網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)端口。如此，網(wǎng)絡(luò)服務(wù)端根據(jù)端口策略記錄對(duì)網(wǎng)絡(luò)終端發(fā)送的第一訪問請(qǐng)求中的訪問認(rèn)證策略進(jìn)行認(rèn)證，以及匹配第一網(wǎng)絡(luò)端口。相比于現(xiàn)有技術(shù)中通過IP地址白名單對(duì)訪問用戶進(jìn)行控制，本申請(qǐng)可以實(shí)現(xiàn)在IP地址頻繁變化的情況下，根據(jù)端口策略記錄以及訪問認(rèn)證策略對(duì)用戶進(jìn)行認(rèn)證，消除IP地址與網(wǎng)絡(luò)服務(wù)端認(rèn)證機(jī)制的耦合，增加訪問IP地址的靈活性；并保證第一網(wǎng)絡(luò)端口只針對(duì)認(rèn)證通過的用戶開放，提高第一網(wǎng)絡(luò)端口的安全性。

可選的，網(wǎng)絡(luò)服務(wù)端接收網(wǎng)絡(luò)終端發(fā)送的第一訪問請(qǐng)求之前，還包括：所述網(wǎng)絡(luò)服務(wù)端將第二網(wǎng)絡(luò)端口關(guān)閉，所述第二網(wǎng)絡(luò)端口為用于提供網(wǎng)絡(luò)服務(wù)的任一端口；所述網(wǎng)絡(luò)服務(wù)端將第三網(wǎng)絡(luò)端口開放，所述第三網(wǎng)絡(luò)端口用于捕捉并分析惡意攻擊消息。

上述方法中，網(wǎng)絡(luò)服務(wù)端將用于提供網(wǎng)絡(luò)服務(wù)的第二網(wǎng)絡(luò)端口關(guān)閉，防止第二網(wǎng)絡(luò)端口在開放狀態(tài)，任何人都能訪問該第二網(wǎng)絡(luò)端口而造成被惡意攻擊，增加第二網(wǎng)絡(luò)端口的安全性。并將用于捕捉并分析惡意攻擊消息的第三網(wǎng)絡(luò)端口開放，由此，通過第三網(wǎng)絡(luò)端口實(shí)現(xiàn)對(duì)攻擊行為的防御，提高網(wǎng)絡(luò)服務(wù)端的防御惡意攻擊能力。