(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111491446.5 (22)申请日 2021.12.08 (71)申请人 北京安天网络安全技 术有限公司 地址 100195 北京市海淀区闵庄路3号清华 科技园玉泉慧谷一期1号楼 (72)发明人 梁鑫　盛颖　肖新光　 (74)专利代理 机构 北京锺维联合知识产权代理 有限公司 1 1579 代理人 郑明明 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/1004(2022.01) H04L 67/146(2022.01) H04L 69/163(2022.01) H04L 69/164(2022.01) (54)发明名称 云环境下的联网认证方法、 计算机设备及存 储介质 (57)摘要 本申请提供了一种云环境下的联网认证方 法、 计算机设备及存储介质， 涉及计算安全技术 领域， 用于保证云环境下的联网认证的准确率。 方法主要包括： 在终端设备在向服务器发送用户 数据包协议UDP访问数据包之前， 接收所述终端 设备发送的敲门数据包， 所述敲门数据包中包括 终端设备中的服务请求进程标识； 确定预置策略 表中是否存在允许所述服务请求进程标识访问 的服务提供进程标识， 所述预置策略表中的服务 请求进程标识与服务提供进程标识之间的允许 或拒绝访问的对应 关系是由管 理中心下发的； 若 确定存在允许所述服务请求进程标识访问的服 务提供进程标识， 则认证通过， 放行所述终端设 备发送的UD P访问数据包。 权利要求书2页 说明书10页 附图6页 CN 114285607 A 2022.04.05 CN 114285607 A 1.一种云环境下的联网认证方法， 其特 征在于， 该 方法应用于服 务器， 所述方法包括： 在终端设备在 向服务器发送用户数据包协议UDP访 问数据包之前， 接收所述终端设备 发送的敲门数据包， 所述 敲门数据包中包括终端设备中的服 务请求进程标识； 确定预置策略表中是否存在允许所述服务请求进程标识访问的服务提供进程标识， 所 述预置策略表中的服务请求进程标识与服务提供进程标识之间的允许或拒绝访问的对应 关系是由管理中心下发的； 若确定存在允许所述服务请求进程标识访 问的服务提供进程标识， 则认证通过， 放行 所述终端设备发送的UD P访问数据包。 2.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 若确定不存在允许所述服务请求进程标识访 问的服务提供进程标识， 则认证失败， 拒 绝所述终端设备发送的UD P访问数据包。 3.根据权利要求1 ‑2任一项所述的方法， 其特征在于， 所述服务请求进程标识是根据 所 述终端设备对应的工作负载ID、 请求服务的进程ID、 以及属性标签计算得到的； 所述服务提 供进程标识是根据所述服务器对应的工作负载ID、 请求服务的进程ID、 以及属性标签计算 得到的， 其中， 所述 终端设备对应的工作负载ID、 请求服务的进程ID、 以及属性标签， 所述服 务器对应的工作负载ID、 请求 服务的进程 ID、 以及属性标签为所述管理中心下发的。 4.一种云环境下的联网认证方法， 其特 征在于， 应用于终端设备， 所述方法包括： 在向服务器发送用户数据包协议UDP访问数据包之前， 根据服务请求进程标识构造敲 门数据包； 向服务器发送敲门数据包， 以使得所述服务器确定预置策略表中是否存在允许所述服 务请求进程标识访问的服务提供进程标识， 所述预置策略表中的服务请求进程标识与服务 提供进程标识之间的允许或拒绝访问的对应关系是由管理中心下发的； 若确定存在允许所 述服务请求进程标识访问的服务提供进程标识， 则认证通过， 放行所述 终端设备发送的UDP 访问数据包。 5.根据权利要求4所述的方法， 其特征在于， 在根据服务请求进程标识构造敲门数据包 之前， 所述方法还 包括： 根据所述终端设备对应的工作负载ID、 请求服务的进程ID、 以及属性标签计算所述服 务请求进程标识。 6.一种云环境下的联网认证方法， 其特征在于， 该方法应用于管理中心， 所述方法包 括： 根据终端设备发送的工作负载信息、 进程信息计算所述终端设备对应的工作负载ID、 请求服务的进程ID、 以及属性标签， 以及根据服务器发送的工作负载信息、 进程信息计算服 务器对应的工作负载ID、 请求 服务的进程 ID、 以及属性标签； 根据所述终端设备对应的工作负载ID、 请求服务的进程ID、 以及属性标签计算服务请 求进程标识； 根据所述服务器对应的工作负载ID、 请求服务的进程ID、 以及属性标签计算服 务提供进程标识； 根据访问策略确定预置策略表， 所述预置策略表中存储有服务请求进程标识与服务提 供进程标识之间的允许或拒绝访问的对应关系； 将所述终端设备对应的工作负载ID、 请求服务的进程ID、 以及属性标签、 所述预置策略权　利　要　求　书 1/2 页 2 CN 114285607 A 2表发送给所述 终端设备， 将所述服务器对应的工作负载ID、 请求服务的进程ID、 以及属性标 签、 所述预置策略发送给 所述服务器。 7.一种云环境下的联网认证系统， 其特征在于， 所述系统包括： 管理中心、 服务器和终 端设备； 所述管理中心， 用于根据终端设备发送的工作负载信息、 进程信息计算所述终端设备 对应的工作负载ID、 请求服务的进程ID、 以及属性标签， 以及根据服务器发送的工作负载信 息、 进程信息计算 服务器对应的工作负载ID、 请求 服务的进程 ID、 以及属性标签； 所述管理中心， 用于将所述终端设备对应的工作负载ID、 请求服务的进程ID、 以及属性 标签、 预置策略表发送给所述 终端设备， 将所述服务器对应的工作负载ID、 请求服务的进程 ID、 以及属性标签、 预置策略发送给所述服务器； 所述预置策略表中存储有服务请求进程标 识与服务提供进程标识之间的允许或拒绝访问的对应关系； 所述终端设备， 用于在终端设备在向服务器发送用户数据包协议UDP访问数据包之前， 向所述服务器发送敲门数据包， 所述 敲门数据包中包括终端设备中的服 务请求进程标识； 所述服务器， 用于确定预置策略表中是否存在允许所述服务请求进程标识访问的服务 提供进程标识， 若确定存在允许所述服务请求进程标识访问的服务提供进程标识， 则认证 通过， 放行 所述终端设备发送的UD P访问数据包。 8.根据权利要求7所述的系统， 其特征在于， 所述服务器， 还用于在确定预置策略表中 是否存在允许所述服务请求进程标识访问的服务提供进程标识后， 缓存所述敲门数据包对 应的认证结果。 9.一种计算机设备， 包括存储器、 处理器以及存储在所述存储器中并可在所述处理器 上运行的计算机程序， 其特征在于， 所述处理器执行所述计算机程序时实现如权利要求 1至 6任一项所述的云环境下的联网认证方法。 10.一种计算机可读存储介质， 所述计算机可读存储介质存储有计算机程序， 其特征在 于， 所述计算机程序被处理器执行时实现如权利要求 1至6任一项 所述的云环 境下的联网认 证方法。权　利　要　求　书 2/2 页 3 CN 114285607 A 3