本申请公开了一种访问控制方法、系统及存储介质,用以降低服务器负荷,减少客户端的访问时延。所述方法包括:当接收到第一客户端发送的访问请求时,判断所述访问请求中是否携带唯一认证码;当所述访问请求中没有携带唯一认证码时,提取所述访问请求中的身份信息;计算所述身份信息所对应的ID值;根据所述身份信息所对应的ID值判断白名单中是否存在所述访问请求中的身份信息,其中,所述白名单中以所述ID值作为所述身份信息的索引,以数组形式对所述ID值和所述身份信息进行存储;当所述白名单中存在所述访问请求中的身份信息时,响应所述第一客户端的访问请求。采用本申请所提供的方案,降低了服务器负荷,减少了客户端的访问时延。延。延。
【技术实现步骤摘要】
一种访问控制方法、系统及存储介质
[0001]本申请涉及计算机网络
,特别涉及一种访问控制方法、系统及存储介质。
技术介绍
[0002]在客户端访问服务器的过程中,防火墙机制采用的是单包授权机制,具体的,首先发送加密的验证报文进行敲门,服务器收到该验证报文后,基于该验证报文的信息进行客户端的接入合法性进行验证。验证报文信息中一般包含客户端ID,初级校验码,加密后的验证key,时间戳,随机数等信息,只有该验证报文验证通过后,服务器才会响应发送该验证报文的客户端的后续业务接入请求报文,从而发出回应报文,对于非法的验证报文,服务器则静默的丢弃。
[0003]现有的技术中,在验证报文通过验证后,可以在防火墙的访问列表中记录发送该验证报文的身份信息,通过这样的方式来形成一条针对该客户端的访问规则。后续防火墙模块对该客户端的后续业务接入请求进行检查,假设该身份信息为五元组信息,那么,具体检查过程为:对后续业务接入请求对应的网络报文中携带的五元组信息与访问列表中的访问许可规则逐个比对,当访问列表中存在与该五元组信息全部匹配的一组五元组信息时,响应该客户端的后续业务接入请求报文。
[0004]上述方式的弊端在于:由于每个客户端都会形成一条访问规则,当存在大量的客户端接入时,访问列表中就会存在大量的访问规则,每个客户端的接入都需要遍历访问列表,即将请求报文中的身份信息与访问列表中的每条访问规则进行逐一匹配,假设身份信息为五元组信息,则每条规则匹配过程需要进行五次比对,这样的方式会对服务器的防火墙性规则查找性能形成巨大挑战,增加服务器负荷,增大客户端的访问时延。
技术实现思路
[0005]本申请提供一种访问控制方法、系统及存储介质,用以降低服务器负荷,减少客户端的访问时延。
[0006]本申请提供一种访问控制方法,包括:
[0007]当接收到第一客户端发送的访问请求时,判断所述访问请求中是否携带唯一认证码,其中,所述唯一认证码用于使所述第一客户端完成首次验证;
[0008]当所述访问请求中没有携带唯一认证码时,提取所述访问请求中的身份信息;
[0009]计算所述身份信息所对应的ID值;
[0010]根据所述身份信息所对应的ID值判断白名单中是否存在所述访问请求中的身份信息,其中,所述白名单中以所述ID值作为所述身份信息的索引,以数组形式对所述ID值和所述身份信息进行存储;
[0011]当所述白名单中存在所述访问请求中的身份信息时,响应所述第一客户端的访问请求。
[0012]本申请的有益效果在于:当接收到客户端的访问请求时,能够计算访问请求中身
份信息所对应的ID值,然后判断白名单中是否存在该ID值;由于白名单中存在以数组形式存储的ID值,而数组是有序存储的元素序列,因此,在验证客户端访问请求时,能够直接定位各ID值的存储位置,无需全局遍历白名单,减少匹配次数,降低了服务器负荷,减少了客户端的访问时延。
[0013]在一个实施例中,所述方法还包括:
[0014]当所述访问请求中携带有唯一认证码时,提取所述访问请求中的身份信息;
[0015]计算所述身份信息所对应的ID值;
[0016]以所述ID值为索引将所述身份信息存储到所述白名单中。
[0017]在一个实施例中,所述方法还包括:
[0018]当接收到第二客户端发送的注册请求时,验证所述注册请求所对应的信息是否合法;
[0019]当所述注册请求所对应的信息合法时,生成所述唯一认证码;
[0020]向所述第二客户端发送所述唯一认证码,以使所述第二客户端基于所述唯一认证码完成首次验证。
[0021]本实施例的有益效果在于:在接收到注册请求时,能够为发送注册请求的客户端提供唯一认证码,以帮助刚注册的客户端完成首次验证,并能够避免未注册用户进行非法验证。
[0022]在一个实施例中,所述提取所述访问请求中的身份信息,包括:
[0023]获取所述访问请求对应的报文信息;
[0024]从所述报文信息中提取以下至少一种身份信息:
[0025]源IP地址、目的IP地址、协议号、源端口、目的端口,服务类型以及接口索引。
[0026]在一个实施例中,所述计算所述身份信息所对应的ID值,包括:
[0027]对所述身份信息进行异或运算;
[0028]确定所述异或运算的运算结果为所述身份信息所对应的ID值。
[0029]在一个实施例中,所述方法还包括:
[0030]根据预设时间间隔对白名单进行遍历;
[0031]根据遍历结果剔除超时的第三客户端信息。
[0032]在一个实施例中,所述根据预设时间间隔对白名单信息进行遍历,包括:
[0033]根据预设时间间隔对白名单中的所有ID值各自对应的客户端的最近一次的访问时间进行遍历。
[0034]在一个实施例中,所述根据遍历结果剔除超时的第三客户端,包括:
[0035]判断遍历结果中是否存在最近一次访问时间距当前时间的时间差大于预设时间差的第三客户端;
[0036]当遍历结果中存在最近一次访问时间距当前时间的时间差大于预设时间差的第三客户端时,从白名单中删除所述第三客户端所对应的信息。
[0037]本实施例的有益效果在于:能够将长时间不访问的第三客户端从白名单中剔除掉,从而减少白名单中的冗余数据量,提升客户端的访问速度。
[0038]本申请提供一种访问控制系统,包括:
[0039]至少一个处理器;以及,
[0040]与所述至少一个处理器通信连接的存储器;其中,
[0041]所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行以实现上述任意一项实施例所记载的访问控制方法。
[0042]本申请提供一种计算机可读存储介质,当存储介质中的指令由访问控制系统对应的处理器执行时,使得访问控制系统能够实现实现上述任意一项实施例所记载的访问控制方法。
[0043]本申请的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请而了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
[0044]下面通过附图和实施例,对本申请的技术方案做进一步的详细描述。
附图说明
[0045]附图用来提供对本申请的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本申请,并不构成对本申请的限制。在附图中:
[0046]图1为本申请一实施例中一种访问控制方法的流程图;
[0047]图2为本申请另一实施例中一种访问控制方法的流程图;
[0048]图3为本申请又一实施例中一种访问控制方法的流程图;
[0049]图4为本申请一实施例中一种白名单的存储结构示意图;
[0050]图5为本申请再一实施例中一种访问控制方本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种访问控制方法,其特征在于,包括:当接收到第一客户端发送的访问请求时,判断所述访问请求中是否携带唯一认证码,其中,所述唯一认证码用于使所述第一客户端完成首次验证;当所述访问请求中没有携带唯一认证码时,提取所述访问请求中的身份信息;计算所述身份信息所对应的ID值;根据所述身份信息所对应的ID值判断白名单中是否存在所述访问请求中的身份信息,其中,所述白名单中以所述ID值作为所述身份信息的索引,以数组形式对所述ID值和所述身份信息进行存储;当所述白名单中存在所述访问请求中的身份信息时,响应所述第一客户端的访问请求。2.如权利要求1所述的方法,其特征在于,所述方法还包括:当所述访问请求中携带有唯一认证码时,提取所述访问请求中的身份信息;计算所述身份信息所对应的ID值;以所述ID值为索引将所述身份信息存储到所述白名单中。3.如权利要求1所述的方法,其特征在于,所述方法还包括:当接收到第二客户端发送的注册请求时,验证所述注册请求所对应的信息是否合法;当所述注册请求所对应的信息合法时,生成所述唯一认证码;向所述第二客户端发送所述唯一认证码,以使所述第二客户端基于所述唯一认证码完成首次验证。4.如权利要求1所述的方法,其特征在于,所述提取所述访问请求中的身份信息,包括:获取所述访问请求对应的报文信息;从所述报文信息中提取以下至少一种身份信息:源IP地址、目的IP地址、协议号、源端口、目的端口,服务类型以及接口索引。5.如...
【专利技术属性】
技术研发人员:姚成松,张志斌,林国敏,张静慈,杜常存,刘静,
申请(专利权)人:北京完信科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。