标识码验证方法、系统、网关设备和存储介质与流程

1.本发明涉及通信安全技术领域，具体地说，涉及一种标识码验证方法、系统、网关设备和存储介质。


背景技术：

2.工业标识可赋予实体物品，如产品、零部件、机器设备等和虚拟资产，如模型、算法、工艺等唯一的身份标识，实现工业互联网的数据流通和信息交互。工业标识的现有注册量已非常庞大，深度融入到生产生活中。用户通过扫描工业标识，即能进入相关服务，十分便捷。
3.工业标识表现为二维码等标识码形式，容易被伪造。目前已出现不法者通过伪造标识码进行网络钓鱼攻击的情况，此类攻击非常隐蔽，用户常常无法辨别标识码的真伪，危害极大。目前针对标识码钓鱼攻击的防护技术有以下几类：
4.技术一：用户在网站预留信息，访问时回显辨别；此类技术需要用户逐一系统注册、登录、预留信息，操作繁琐，无法规模化推广，且页面预留信息可被复制伪造，无法从根源上杜绝标识码钓鱼攻击。
5.技术二：通过pc(personalcomputer，个人计算机)端和手机端同时访问，进行截图比对辨别；此类技术操作不便，且存在pc端和手机端同时被钓鱼攻击的可能性，无法从根源上避免标识码钓鱼攻击。
6.技术三：使用安全防护软件；此类技术需要技术鉴定，且在用户投诉后补充病毒库，属于被动拦截，无法准确及时地避免标识码钓鱼攻击。
7.可见，目前针对标识码钓鱼攻击的防护技术均无法从源头解决因用户无法分辨标识码真伪而带来的各类安全隐患问题。
8.需要说明的是，上述背景技术部分公开的信息仅用于加强对本发明的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。


技术实现要素：

9.有鉴于此，本发明提供一种标识码验证方法、系统、网关设备和存储介质，通过在网关节点放行访问请求前对标识码进行验证，实现主动精准的防护，从源头解决因用户无法分辨标识码真伪而带来的安全隐患问题。
10.本发明的一个方面提供一种标识码验证方法，应用于网关节点，包括：响应于一标识码的访问请求，获取所述访问请求携带的所述标识码的访问信息；对所述访问信息进行验证，获得所述标识码是否可信的验证结果；若所述验证结果指示所述标识码可信，转发所述访问请求；若所述验证结果指示所述标识码不可信，拦截所述访问请求。
11.在一些实施例中，所述对所述访问信息进行验证，获得所述标识码是否可信的验证结果，包括：通过一预存可信访问信息的访问凭证表验证所述访问信息；当所述访问信息与所述访问凭证表中的一条可信访问信息匹配，获得指示所述标识码可信的验证结果；当
所述访问凭证表中不存在与所述访问信息匹配的可信访问信息，获得指示所述标识码不可信的验证结果。
12.在一些实施例中，所述通过一预存可信访问信息的访问凭证表验证所述访问信息，包括：生成携带所述访问信息的验证请求，发送至存储所述访问凭证表的标识可信验证模块，以使所述标识可信验证模块根据所述访问信息查询所述访问凭证表并返回查询结果；根据返回的所述查询结果，获得所述验证结果。
13.在一些实施例中，所述通过一预存可信访问信息的访问凭证表验证所述访问信息，包括：生成所述访问凭证表的调取请求，发送至存储所述访问凭证表的标识可信验证模块，以使所述标识可信验证模块返回所述访问凭证表；根据所述访问信息查询返回的所述访问凭证表，获得所述验证结果。
14.在一些实施例中，所述标识可信验证模块与所述网关节点共同部署于第二代融合网络cn2中；或者，所述标识可信验证模块与所述网关节点跨网络部署，并通过可信信道连接。
15.在一些实施例中，所述标识可信验证模块与标识解析服务节点之间通过数据表方式或接口方式实时同步所述访问凭证表。
16.在一些实施例中，所述访问凭证表为基于elasticsearch构建的索引；所述访问凭证表中预存的每条可信访问信息包括可信的ip地址和/或域名。
17.在一些实施例中，所述获取所述访问请求携带的所述标识码的访问信息之前，还包括：判断所述访问请求是否携带待验证标记，于所述访问请求需要对所述标识码进行解析时所述访问请求携带所述待验证标记；若是，获取所述访问信息；若否，转发所述访问请求。
18.在一些实施例中，上述的标识码验证方法还包括：终端在生成所述访问请求时，判断所述访问请求是否需要对所述标识码进行解析；若是，在所述访问请求的请求头中添加所述待验证标记。
19.本发明的又一个方面提供一种标识码验证系统，部署于网关节点，包括：响应模块，用于响应于一标识码的访问请求，获取所述访问请求携带的所述标识码的访问信息；验证模块，用于对所述访问信息进行验证，获得所述标识码是否可信的验证结果；转发模块，用于当所述验证结果指示所述标识码可信，转发所述访问请求；拦截模块，用于当所述验证结果指示所述标识码不可信，拦截所述访问请求。
20.本发明的又一个方面提供一种网关设备，包括：一处理器；一存储器，所述存储器中存储有可执行指令；其中，所述可执行指令被所述处理器执行时，实现上述任意实施例描述的标识码验证方法。
21.本发明的又一个方面提供一种计算机可读的存储介质，用于存储程序，所述程序被处理器执行时实现上述任意实施例描述的标识码验证方法。
22.本发明与现有技术相比的有益效果至少包括：
23.本发明通过在网关节点放行访问请求前对标识码进行验证，实现主动精准的防护，从源头解决因用户无法分辨标识码真伪而带来的安全隐患问题；且本发明无需标识码的服务提供方改造，也无需用户使用习惯改变，操作实施简便，有利于快速提升工业标识生态的整体安防水平。
24.应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本发明。
附图说明
25.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本发明的实施例，并与说明书一起用于解释本发明的原理。显而易见地，下面描述的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
26.图1示出本发明一实施例中标识码验证方法的步骤示意图；
27.图2示出本发明一实施例中标识码验证方法的实施场景示意图；
28.图3示出本发明一实施例中标识码验证方法的业务流程示意图；
29.图4示出本发明一实施例中标识码验证系统的模块示意图；
30.图5示出本发明又一实施例中标识码验证系统的模块示意图；
31.图6示出本发明一实施例中网关设备的结构示意图。
具体实施方式
32.现在将参考附图更全面地描述示例实施方式。然而，示例实施方式能够以多种形式实施，且不应被理解为限于在此阐述的实施方式。相反，提供这些实施方式使本发明全面和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。
33.附图仅为本发明的示意性图解，并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分，因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体，不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
34.此外，附图中所示的流程仅是示例性说明，不是必须包括所有的步骤。例如，有的步骤可以分解，有的步骤可以合并或部分合并，且实际执行的顺序有可能根据实际情况改变。需要说明的是，在不冲突的情况下，本发明的实施例及不同实施例中的特征可以相互组合。
35.本发明的标识码验证方法，通过在网关节点放行访问请求前对标识码进行验证，实现主动、精准防护，拦截存在钓鱼攻击风险的访问请求，从源头解决因用户无法分辨标识码真伪而带来的安全隐患问题；且本发明的标识码验证方法无需标识码的服务提供方改造，也无需用户使用习惯改变，通过网关节点实现全网防护，操作实施简便，有利于快速提升工业标识生态的整体安防水平。
36.图1示出一实施例中标识码验证方法的主要步骤，参照图1所示，本实施例中标识码验证方法应用于网关节点，包括：步骤s110，响应于一标识码的访问请求，获取访问请求携带的标识码的访问信息；步骤s120，对访问信息进行验证，获得标识码是否可信的验证结果；步骤s130，若验证结果指示标识码可信，转发访问请求；步骤s140，若验证结果指示标识码不可信，拦截访问请求。
37.在一个实施例中，对访问信息进行验证，获得标识码是否可信的验证结果，具体包
括：通过一预存可信访问信息的访问凭证表验证访问信息；当访问信息与访问凭证表中的一条可信访问信息匹配，获得指示标识码可信的验证结果；当访问凭证表中不存在与访问信息匹配的可信访问信息，获得指示标识码不可信的验证结果。
38.访问凭证表中预存的可信访问信息，来自于标识解析服务节点(国家标识运营单位)。当某服务提供方，例如某企业在标识解析服务节点登记注册服务信息，则标识解析服务节点向该企业授予标识资质，企业根据标识资质可生成对应的工业标识(例如二维码形式的标识码)，进而可对外发布标识码以供用户扫码访问服务。访问凭证表中的每条可信访问信息，具体包括可信的ip地址和/或域名，也可以包括其他的由服务提供方登记注册的服务信息。
39.访问凭证表存储于一标识可信验证模块中，通过访问凭证表验证访问信息可由网关节点执行或由标识可信验证模块执行。具体来说，在一种实施方式中，通过访问凭证表验证访问信息，包括：网关节点生成携带访问信息的验证请求，发送至存储访问凭证表的标识可信验证模块，以使标识可信验证模块根据访问信息查询访问凭证表并返回查询结果；网关节点根据返回的查询结果，获得验证结果。在另一种实施方式中，通过访问凭证表验证访问信息，包括：网关节点生成访问凭证表的调取请求，发送至存储访问凭证表的标识可信验证模块，以使标识可信验证模块返回访问凭证表；网关节点根据访问信息查询返回的访问凭证表，获得验证结果。
40.访问凭证表可以是目录索引或其他可检索形式。在优选的方案中，出于性能考虑，可以构建es索引，使访问凭证表形成为基于elasticsearch构建的索引。elasticsearch，简称es，是一个分布式、高扩展、高实时的搜索与数据分析引擎，es索引能够实现数据的高效存储和查询。
41.标识可信验证模块可以部署于第二代融合网络(chinatelecom next
‑
generationconvergencynetwork，简称cn2)中，以便与同在cn2网络中的网关节点进行通信。或者，标识可信验证模块与网关节点也可跨网络部署，并通过可信安全的信道连接。当然，从安全和性能以及实操角度，由于网关节点在cn2网络中，因此标识可信验证模块也优先地部署于cn2网络中。本发明所指的网关节点是运营商网关，具体可以是无线网关，能够在基站间转发消息。在一些情况下，标识可信验证模块也可以部署于网关节点中。
42.图2示出一实施例中标识码验证方法的实施场景，本实施例新增标识可信验证模块210，其从标识解析服务节点220获取可信访问信息，构建访问凭证表。可基于java语言或springboot开源框架来构建标识可信验证模块210，并在标识可信验证模块210中构建es索引来存储可信访问信息。本实施例还对网关节点230进行改造，赋予其钓鱼码鉴别能力，使网关节点230可通过相关接口与标识可信验证模块210交互，实现标识码钓鱼攻击的主动精准防护。
43.参照图2所示，标识码验证方法的具体实施过程包括：s221，服务提供方240，包括提供方240a、提供方240b和提供方240c等多个企业，在标识解析服务节点220登记注册，获取标识资质。标识可信验证模块210与标识解析服务节点220之间可通过数据表方式或接口方式实时同步访问凭证表，以使标识可信验证模块210实时获取到新增的可信访问信息。s222，服务提供方240获取到标识资质后生成与其可信访问信息对应的标识码，对外发布。s223，用户通过扫码终端250扫描标识码，发出访问所扫描的标识码对应的服务的访问请
求。s224，网关节点230根据访问请求提取出访问信息，并与标识解析服务节点220通信，判断标识码是否可信。s225，于标识码可信时网关节点230转发访问请求，实现用户通过扫码终端250访问对应的服务提供方240的服务。s226，于标识码不可信时，该标识码很可能是非法服务方260伪造的非法标识码，存在被钓鱼攻击的风险，因此网关节点230拦截访问请求，终止请求服务。
44.上述的标识码验证方法，通过增加标识可信验证模块210、通过网关节点230改造，实现对标识码钓鱼攻击的主动精准拦截防护，实现变被动为主动，从源头进行安全管控。
45.进一步地，在一个实施例中，获取访问请求携带的标识码的访问信息之前，还包括：判断访问请求是否携带待验证标记，于访问请求需要对标识码进行解析时访问请求携带待验证标记；若是，获取访问信息；若否，转发访问请求。从而，网关节点能够精准地对需要对标识码进行解析的访问请求进行验证，而其他访问请求可直接放行。
46.待验证标记可通过终端侧软件添加，具体来说，标识码验证方法还包括：终端在生成访问请求时，判断访问请求是否需要对标识码进行解析；若是，在访问请求的请求头(header)中添加待验证标记(flag)，以实现针对性的标识码验证。
47.图3示出一实施例中标识码验证方法的业务流程，参照图3所示，在一个完整的业务流程中，各端之间就标识码验证的交互过程如下：
48.s331，服务提供方350向国家标识运营中心340，即标识解析服务节点登记注册访问信息，包括ip地址、域名等，获得标识资质，发布标识码。
49.s332，标识可信验证模块330自动获取访问信息，根据ip地址、域名等建立es索引。标识可信验证模块330与国家标识运营中心340之间可以通过数据表的方式进行同步，也可以通过接口方式进行同步。
50.s333，用户通过扫码终端310扫描标识码，终端扫码软件根据是否需要解析标识码在访问请求的请求头中添加待验证标记。
51.s334，无线网关320接收到访问请求后，判断访问请求是否携带待验证标记。无线网关320能够实现无线环境下的标识码钓鱼攻击检测防护。
52.s335，若访问请求需要验证，无线网关320携ip地址、域名等访问信息向标识可信验证模块330发起验证请求；s336，标识可信验证模块330根据ip地址、域名等访问信息进行es检索，判断访问信息是否在es索引中。或者，对ip地址、域名等访问信息的校验，也可以是标识可信验证模块330将es索引传递给无线网关320，由无线网关320进行验证判断。
53.s337，若验证通过，则放行；若验证不通过，则终止请求服务。从而，通过无线网关320，结合标识可信验证模块330和扫码终端310，利用国家标识运营中心340的登记注册数据，实现对标识码钓鱼攻击的主动、精准防护，从源头解决因用户无法分辨标识码真伪而带来的安全隐患问题；且无需服务提供方350改造，也无需用户使用习惯改变，操作实施简便，实现全网防护，有利于快速提升工业标识生态的整体安防水平。
54.本发明实施例还提供一种标识码验证系统，可用于实现上述任意实施例描述的标识码验证方法。上述任意实施例描述的标识码验证方法的特征和原理均可应用至下面的标识码验证系统实施例。在下面的标识码验证系统实施例中，对已经阐明的关于标识码验证的特征和原理不再重复说明。
55.图4示出一实施例中标识码验证系统的主要模块，参照图4所示，本实施例中标识
码验证系统400部署于网关节点，包括：响应模块410，用于响应于一标识码的访问请求，获取访问请求携带的标识码的访问信息；验证模块420，用于对访问信息进行验证，获得标识码是否可信的验证结果；转发模块430，用于当验证结果指示标识码可信，转发访问请求；拦截模块440，用于当验证结果指示标识码不可信，拦截访问请求。
56.进一步地，标识码验证系统400还可包括实现上述各标识码验证方法实施例的其他流程步骤的模块。例如，图5示出又一实施例中标识码验证系统500的模块示意，参照图5所示，本实施例中标识码验证系统500除包含部署于无线网关500a的响应模块510、验证模块520、转发模块530和拦截模块540外，还包含标识可信验证模块500b，标识可信验证模块500b也可部署于无线网关500a，或与无线网关500a一同部署于cn2网络中，以通过标识可信验证模块500b和无线网关500a，实现对标识码钓鱼攻击的主动精准拦截防护，实现变被动为主动，从源头进行安全管控。
57.上述的标识码验证系统中的各个模块的具体原理可参照上述各标识码验证方法实施例的描述，此处不再重复说明。
58.如上所述，本发明的标识码验证系统，能够在网关节点放行访问请求前对标识码进行验证，实现主动、精准防护，拦截存在钓鱼攻击风险的访问请求，从源头解决因用户无法分辨标识码真伪而带来的安全隐患问题；且无需标识码的服务提供方改造，也无需用户使用习惯改变，通过网关节点实现全网防护，操作实施简便，有利于快速提升工业标识生态的整体安防水平。
59.本发明实施例还提供一种网关设备，包括处理器和存储器，存储器中存储有可执行指令，可执行指令被处理器执行时，实现上述任意实施例描述的标识码验证方法。
60.如上所述，本发明的网关设备能够在网关节点放行访问请求前对标识码进行验证，实现主动、精准防护，拦截存在钓鱼攻击风险的访问请求，从源头解决因用户无法分辨标识码真伪而带来的安全隐患问题；且无需标识码的服务提供方改造，也无需用户使用习惯改变，通过网关节点实现全网防护，操作实施简便，有利于快速提升工业标识生态的整体安防水平。
61.本发明的网关设备可以形成为通用电子设备结构。图6是示出一实施例中网关设备的结构示意图，应当理解的是，图6仅仅是示意性地示出各个模块，这些模块可以是虚拟的软件模块或实际的硬件模块，这些模块的合并、拆分及其余模块的增加都在本发明的保护范围之内。
62.如图6所示，网关设备600以通用计算设备的形式表现。网关设备600的组件包括但不限于：至少一个处理单元610、至少一个存储单元620、连接不同平台组件(包括存储单元620和处理单元610)的总线630、显示单元640等。
63.其中，存储单元存储有程序代码，程序代码可以被处理单元610执行，使得处理单元610执行上述任意实施例描述的标识码验证方法的步骤。
64.存储单元620可以包括易失性存储单元形式的可读介质，例如随机存取存储单元(ram)6201和/或高速缓存存储单元6202，还可以进一步包括只读存储单元(rom)6203。
65.存储单元620还可以包括具有一个或多个程序模块6205的程序/实用工具6204，这样的程序模块6205包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。
66.总线630可以为表示几类总线结构中的一种或多种，包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
67.网关设备600也可以与一个或多个外部设备700通信，外部设备700可以是键盘、指向设备、蓝牙设备等设备中的一种或多种。这些外部设备700使得用户能与该网关设备600进行交互通信。网关设备600也能与一个或多个其它计算设备进行通信，所示计算机设备包括路由器、调制解调器。这种通信可以通过输入/输出(i/o)接口650进行。并且，网关设备600还可以通过网络适配器660与一个或者多个网络(例如局域网(lan)，广域网(wan)和/或公共网络，例如因特网)通信。网络适配器660可以通过总线630与网关设备600的其它模块通信。应当明白，尽管图中未示出，可以结合网关设备600使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储平台等。
68.本发明实施例还提供一种计算机可读的存储介质，用于存储程序，程序被执行时实现上述任意实施例描述的标识码验证方法。在一些可能的实施方式中，本发明的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当程序产品在终端设备上运行时，程序代码用于使终端设备执行上述任意实施例描述的标识码验证方法。
69.如上所述，本发明的计算机可读的存储介质能够在网关节点放行访问请求前对标识码进行验证，实现主动、精准防护，拦截存在钓鱼攻击风险的访问请求，从源头解决因用户无法分辨标识码真伪而带来的安全隐患问题；且无需标识码的服务提供方改造，也无需用户使用习惯改变，通过网关节点实现全网防护，操作实施简便，有利于快速提升工业标识生态的整体安防水平。
70.程序产品可以采用便携式紧凑盘只读存储器(cd
‑
rom)并包括程序代码，并可以在终端设备，例如个人电脑上运行。然而，本发明的程序产品不限于此，其可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
71.程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子包括但不限于：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑盘只读存储器(cd
‑
rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。
72.可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、rf等等，或者上述的任意合适的组合。
73.可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码，程序设计语言包括面向对象的程序设计语言—诸如java、c 等，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算
设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(lan)或广域网(wan)，连接到用户计算设备，或者，可以连接到外部计算设备，例如利用因特网服务提供商来通过因特网连接。
74.以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明，不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干简单推演或替换，都应当视为属于本发明的保护范围。