客户端验证方法、装置、电子设备以及存储介质与流程

本申请涉及网络安全，尤其涉及一种客户端验证方法、装置、电子设备以及存储介质。

背景技术：

1、在平台设计中，存在多产品调用的需求。例如：在操作系统中，一项功能对应一个插件。当需要使用某一服务时，就需要在操作系统中安装相应的插件。为了提升操作的便捷性，中间件应运而生。中间件集成了各种服务。在操作系统中，仅需安装一个中间件，即可实现各种服务的调用。

2、目前，为了保障操作系统的安全，当操作系统内中间件的客户端与操作系统内中间件提供的某个服务进行通信时，客户端会对服务进行验证。具体来说，客户端向服务发送访问请求。服务基于访问请求生成反馈信息，并将反馈信息发送至客户端。客户端基于反馈信息对服务进行验证，当验证通过时，客户端再向服务发送消息，当验证未通过时，客户端不再与服务通信。

3、然而，当客户端存在安全问题时，服务仍然会根据问题客户端发送的访问请求生成反馈信息，并将反馈信息发送至问题客户端，使得问题客户端能够通过服务对中间件进行攻击，降低了中间件的安全性。

技术实现思路

1、本申请实施例的目的是提供一种客户端验证方法、装置、电子设备以及存储介质，以提升中间件的安全性。

2、为解决上述技术问题，本申请实施例提供如下技术方案：

3、本申请第一方面提供一种客户端验证方法，所述方法应用于中间件中的服务，所述方法包括：接收所述中间件的客户端发送的用于访问所述服务的访问请求；基于所述访问请求对所述客户端进行验证；当所述客户端未通过验证时，拒绝与所述客户端通信。

4、相较于现有技术，本申请第一方面提供的客户端验证方法，中间件服务在接收到中间件客户端发送的访问请求后，并不直接基于访问请求生成反馈信息，而是先基于访问请求对客户端进行验证，只有在客户端通过验证的情况下，才基于访问请求生成反馈信息，并将反馈信息发送至客户端，与客户端实现通信，而在客户端未通过验证的情况下，不再基于访问请求生成反馈信息，直接拒绝与客户端的通信。这样，能够避免中间件服务与问题客户端进行相互通信，进而提升中间件的安全性。

5、在本申请第一方面的一些变更实施方式中，所述基于所述访问请求对所述客户端进行验证，包括：判断是否能够基于所述访问请求和所述中间件当前所处的系统的系统信息获取签名；若是，则确定所述客户端通过验证；若否，则确定所述客户端未通过验证。

6、在基于访问请求对客户端进行验证的过程中，直接判断是否能够基于访问请求和中间件当前所处的系统的系统信息获取到签名，因为只有正常的客户端在发出请求时才能够签名成功，而问题客户端由于其证书等存在问题，无法成功进行签名，进而基于访问请求和系统信息也获取不到签名，因此，直接通过是否能够基于访问请求和系统信息获取到签名，从而进行客户端的验证，能够避免进行签名对比、计算等繁复的操作，提高客户端的验证效率。

7、在本申请第一方面的一些变更实施方式中，所述系统信息包括端口号与进程控制符(process identifier，pid)的第一对应关系和pid与进程路径的第二对应关系；所述判断是否能够基于所述访问请求和所述中间件当前所处的系统的系统信息获取签名，包括：从所述访问请求中提取端口号；从所述第一对应关系中查找出提取的端口号对应的pid；从所述第二对应关系中查找出查找到的pid对应的进程路径；判断是否能够从查找到的进程路径对应的文件中提取出签名。

8、在基于访问请求和系统信息获取签名的过程中，先从访问请求中提取出端口号，再在系统信息中根据端口号查询pid，进而根据pid查询进程路径，最终从进程路径对应的文件中进行签名提取，能够实现进行客户端验证的签名的精准提取，进而提高客户端验证的精准性。

9、在本申请第一方面的一些变更实施方式中，在判断是否能够从查找到的进程路径对应的文件中提取出签名之前，所述方法还包括：判断查找出的pid和进程路径是否与缓存中的pid和进程路径匹配，所述缓存中存储有验证通过的客户端对应的pid和进程路径；若是，则确定所述客户端通过验证；若否，则执行判断是否能够从查找到的进程路径对应的文件中提取出签名的步骤，并当能够提取出签名时，将查找出的pid和进程路径存储至所述缓存。

10、在进行签名提取之前，先将pid和进程路径在缓存中进行查询，由于缓存中存储的是验证通过的客户端对应的pid和进程路径，因此，通过缓存查询，能够避免对访问请求的签名逐个进行验证，提高客户端的验证效率。

11、在本申请第一方面的一些变更实施方式中，在若是，则确定所述客户端通过验证之前，所述方法还包括：判断所述缓存中匹配的pid和进程路径的存储时间是否超时；若是，则执行判断是否能够从查找到的进程路径对应的文件中提取出签名的步骤，并当能够提取出签名时，将查找出的pid和进程路径存储至所述缓存；所述若是，则确定所述客户端通过验证，包括：若查找出的pid和进程路径与缓存中的pid和进程路径匹配，并且所述缓存中匹配的pid和进程路径的存储时间未超时，则确定所述客户端通过验证。

12、在缓存中查找到匹配的pid和进程路径之后，还需要判断匹配的pid和进程路径是否超出了存储期限，只有在确定匹配的pid和进程路径未超出存储期限之后，才确定客户端通过验证，能够避免客户端长时间未发出访问请求导致的验证失效或者重放攻击，在提升验证效率的同时，确保服务的安全性。

13、在本申请第一方面的一些变更实施方式中，在判断查找出的pid和进程路径是否与缓存中的pid和进程路径匹配之前，所述方法还包括：将所述缓存中超出预设存储时间的pid和进程路径删除。

14、在缓存中引入超时清理机制，将超时存储的pid和进程路径删除，使得缓存中进行匹配的pid和进程路径都是近期通过验证的客户端对应的pid和进程路径，在提升验证效率的同时，确保服务的安全性。

15、本申请第二方面提供一种客户端验证装置，所述装置应用于中间件中的服务，所述装置包括：接收模块，用于接收所述中间件的客户端发送的用于访问所述服务的访问请求；验证模块，用于基于所述访问请求对所述客户端进行验证；当所述客户端未通过验证时，则进入拒绝模块；拒绝模块，用于拒绝与所述客户端通信。

16、本申请第三方面提供一种电子设备，所述电子设备包括：处理器、存储器、总线；其中，所述处理器、所述存储器通过所述总线完成相互间的通信；所述处理器用于调用所述存储器中的程序指令，以执行第一方面中的方法。

17、本申请第四方面提供一种计算机可读存储介质，所述存储介质包括：存储的程序；其中，在所述程序运行时控制所述存储介质所在设备执行第一方面中的方法。

18、本申请第二方面提供的客户端验证装置、第三方面提供的电子设备、第四方面提供的计算机可读存储介质，与第一方面提供的客户端验证方法具有相同或相似的有益效果。

技术特征：

1.一种客户端验证方法，其特征在于，所述方法应用于中间件中的服务，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，所述基于所述访问请求对所述客户端进行验证，包括：

3.根据权利要求2所述的方法，其特征在于，所述系统信息包括端口号与pid的第一对应关系和pid与进程路径的第二对应关系；所述判断是否能够基于所述访问请求和所述中间件当前所处的系统的系统信息获取签名，包括：

4.根据权利要求3所述的方法，其特征在于，在判断是否能够从查找到的进程路径对应的文件中提取出签名之前，所述方法还包括：

5.根据权利要求4所述的方法，其特征在于，在若是，则确定所述客户端通过验证之前，所述方法还包括：

6.根据权利要求4所述的方法，其特征在于，在判断查找出的pid和进程路径是否与缓存中的pid和进程路径匹配之前，所述方法还包括：

7.一种客户端验证装置，其特征在于，所述装置应用于中间件中的服务，所述装置包括：

8.根据权利要求7所述的装置，其特征在于，所述验证模块包括：

9.一种电子设备，其特征在于，所述电子设备包括：处理器、存储器、总线；其中，所述处理器、所述存储器通过所述总线完成相互间的通信；所述处理器用于调用所述存储器中的程序指令，以执行如权利要求1至6中任一项所述的方法。

10.一种计算机可读存储介质，其特征在于，所述存储介质包括：存储的程序；其中，在所述程序运行时控制所述存储介质所在设备执行如权利要求1至6中任一项所述的方法。

技术总结本申请提供一种客户端验证方法、装置、电子设备以及存储介质，客户端验证方法应用于中间件中的服务，该方法包括：接收中间件的客户端发送的用于访问服务的访问请求；基于访问请求对客户端进行验证；当客户端未通过验证时，拒绝与客户端通信。中间件服务在接收到中间件客户端发送的访问请求后，并不直接基于访问请求生成反馈信息，而是先基于访问请求对客户端进行验证，在客户端未通过验证的情况下，不再基于访问请求生成反馈信息，直接拒绝与客户端的通信。这样，能够避免中间件服务与问题客户端进行相互通信，进而提升中间件的安全性。技术研发人员：崔承前,薛仟浩,李博受保护的技术使用者：奇安信科技集团股份有限公司技术研发日：技术公布日：2024/8/1